技術

2017年01月25日

参考
ServerProtect for Linux 3.0 インストール

上記ページと全く同じでした。

ダウンロードします。
#wget http://files.trendmicro.com/products/splx/SPLX30_CentOS6.tgz

ファイルの解凍
# tar xzvf SPLX30_CentOS6.tgz

実行
# ./SProtectLinux-3.0.bin

エラー。
Installing ServerProtect for Linux:
Dependency failed:
Please install compat-libstdc++ package

必要なパッケージのインストール
# yum install compat-libstdc++-296

もう一度やったら次は下記エラーが。
Installing ServerProtect for Linux:
Unpacking...
Installing rpm file...
error: Failed dependencies:
libz.so.1 is needed by SProtectLinux-3.0-1362.x86_64
libuuid.so.1 is needed by SProtectLinux-3.0-1362.x86_64
/usr/bin/perl is needed by SProtectLinux-3.0-1362.x86_64

もう一度追加のパッケージをインストール。
# yum install zlib.i686 libuuid.i686 perl

以下の通り進みました。

Installing ServerProtect for Linux:
Unpacking...
Installing rpm file...
Preparing... ########################################### [100%]
1:SProtectLinux ########################################### [100%]
Do you wish to connect this SPLX server to Trend Micro Control Manager? (y/n) [y] n

Trend Micro Control Manager に接続するか聞かれます。今回はスタンドアロンで管理するのでnを選択。


続いて、アクティベーションについてアナウンスされます。
Activate ServerProtect to continue scanning and security updates.
Activation is a two-step process that you can complete during or after installation.

Step 1. Register
Use the Registration Key that came with your product to register online
(https://olr.trendmicro.com/redirect/product_register.aspx).
(Please skip this step if the product is already registered.)

Step 2. Activate
Type the Activation Code received after registration to activate ServerProtect.
(Press [Ctrl+D] to abort activation.)

Activation Code:

今回は Ctrl+D で飛ばします。
ここで Ctrl+C してしまうと、中途半端な状態になってしまいます。その場合には、参考サイトの通りですが、 -e でアンインストールします。
-------------
# rpm -qa |grep SP
SProtectLinux-3.0-1362.x86_64

#rpm -e SProtectLinux-3.0-1362.x86_64
-------------


続いてトレンドマイクロに各種情報を投げるか聞かれます。ウイルス情報を共有するみたいですね。
Yesを選択しました。
Yes, I would like to join the World Virus Tracking Program.
I understand that when a virus is detected on my system, aggregated
detection information, including virus names and number of detections,
will be sent to the World Virus Tracking Program. It will not send out
company names, individual names, machine names, site names, IP addresses,
or any other identifying information. I understand that I can disable
this automatic reporting function at any time by changing the
configuration to "No" within the product's management console.

Please input your choice [Yes] : yes


続いてサービスが起動します。アクティベーションコードを入れていないので、一部エラーになりまます。
Starting services...
Starting ServerProtect for Linux:
Checking configuration file: [ OK ]
Starting splxcore:
Starting Entity: [ OK ]
Loading splx kernel module: [FAILED]
Starting vsapiapp: [FAILED]
ServerProtect for Linux core started.
[ OK ]
Starting splxhttpd:
Starting splxhttpd: [ OK ]
ServerProtect for Linux httpd started.
[ OK ]
ServerProtect for Linux started.

ServerProtect has not been activated.
You must activate your product to enable scanning and security updates.

The virus notification program is not started. This program only starts in
K Desktop Environment (KDE). Start this program using the Quick Access
console in KDE.

ServerProtect for Linux installation completed.


続いてカーネルフックモジュールをインストールします。



stock_value at 13:06|この記事のURLComments(0)TrackBack(0)

2017年01月23日

先日サーバー構築を行っているとき、PHPやApacheなどのミドルウェアのバージョンについては、デフォルトの yum でインストールすることができるバージョンを提案していました。
このときのバージョンですが、 php-5.3.3-48.el6_8.x86_64 となっていました。

そしてPHPのサポートですが、5.3系についてはすでに終了しています。
Supported Versions
上記サイトを確認すると、5.3については、2014/8/14 に終了しています。

これって使っても大丈夫なのだろうか・・・そういう疑問が出てきました。
他のメンバーからも、PHP5.3についてはサポート期限過ぎてるから、避けて欲しいという要望も出てきましたし。

で、調べてみると「問題無い」ということで考えてもいいようです。
Backporting Security Fixes
※英語なので翻訳サイトつかってください。

深刻なセキュリティ問題については、RedHatサポート期間中は独自に対応しているということのようです。
すべてを鵜呑みにしてしまうのもアレですし、新しいバージョンを利用することが望ましいと考えています。が、それができない環境であれば、安心して使っても問題無い。とても素晴らしいですね。

参考
Yum だと PHP のバージョンが古い

stock_value at 10:32|この記事のURLComments(0)TrackBack(0)

2017年01月22日

今まで僕自身が利用する環境では、グローバルIPが複数個の環境であっても、すべてNAT/マスカレードをしていました。
そのため、公開するサーバーに割り当てるIPはローカルIPでした。

しかし最近の案件で、グローバルIPを直接サーバーに割り当てたいというのがあったのでメモ。
※ちなみに今回の場合、ルーター・ファイアーウォールを設置するのですが、透過タイプがNGでPPPoE もさせたくないということで、結局その機器のために固定IP8個を契約し、そのうちの一つを配下のファイアーウォールに向けるという内容でした。

なおYamahaのサイトには例が記載されていました。
http://jp.yamaha.com/products/network/solution/internet/multiple/

DMZ構成になるようです。

ここで気になったのは、PPのファイアーウォール設定がDMZに流れるパケットについても有効になるようです。(それ自体は普通のことだと思いますが)
そのため今回のようにDMZ内のサーバーでセキュリティの設定をさせて、こちらでは管理しない場合、PP内のフィルターは無しでもいいかもしれません。
※僕は特定のグローバルIPに対してのみ、行き帰りのパケットをすべて許可の設定にしました。

stock_value at 11:48|この記事のURLComments(0)TrackBack(0)

2017年01月21日

ハマりました。
ハマった状況としては、以下の通りでした。

スイッチA - スイッチB で48ポートで tag VLAN を設定。
tag vlan は 1,10 という2つ。

スイッチAはH3Cのスイッチで、タグを送るために trunk というポート設定を行っていました。
こんなかんじ。
そして vlan 1 は管理用のIPが当たっています。

interface GigabitEthernet1/0/48
port link-type trunk
port trunk permit vlan 1 10

しかし vlan 1 を経由してスイッチBに接続ができません。 ping の応答がないのです・・。
これは、スイッチの pvid がデフォルト 1 になっており、pvidの vlan はタグが付かずに送出されているようでした。

そのため、pvid を変更すれば tag になってくれるようでした。
結局わかりやすくするためにいかの方法を利用しました。

interface GigabitEthernet1/0/48
port link-type hybrid
port hybrid vlan 1 10 tagged

stock_value at 19:24|この記事のURLComments(0)TrackBack(0)

2017年01月20日

リンクアグリゲーションを利用するとき、負荷分散をどのように考えるのか。そういうことを決める必要があります。
一般的には、送信元MACアドレスによる負荷分散が多いようです。

その他にも、宛先MACによる分散や送信元IP、宛先IPによる分散が可能なようです。

サーバーが多くて、クライアントが少ない場合には、宛先MAC、クライアントが多くて、サーバーが少ない場合には、送信元MACで良さそうでした。

で、それはつまり、通常デフォルトの設定でOKのようですね。

参考
Link Aggregation
べっ、別に・・・あんたの(以下略)

stock_value at 10:58|この記事のURLComments(0)TrackBack(0)

2017年01月19日

Trunk を利用する環境の要件定義をしているとき、trunk については、Staticで行う場合と、LACPを利用する場合とがあります。

Staticの場合には、リンクアグリゲーションの設定が正しくされている前提として通信が行われます。LACPの場合には、相互にLACPのパケットが交換され、リンクアグリゲーションとして認識されるようです。

個人的には、「自動」っていう考え方はあまり利用しないことが多いため、Staticでの設定を好んで利用します。(ちなみに、LANケーブルのストレート・クロスを判断するMID/MDI-Xや、リンクスピードをネゴシエーションする部分などは、最近はもう自動で信じます。)

で、LACPを利用する理由が何か見つからないかと調べてみたら、参考サイトに挙げたようなページが見つかりました。

参考サイトの要約をすると、LACPを利用している場合には、リンクダウンを伴わない障害の時に正しく検知されるというものです。

・・・正直なところ、リンクアグリゲーションを使っている環境で、中継装置が入る構成というのは滅多に無いように思います。が、ゼロでもありません。たとえば光ケーブル-LANケーブルを変換するメディアコンバーターを利用している場合、光ケーブルが障害で切断されると、LANのステータスは切断にはなりません。が、これもまた、メディアコンバーターで対応されている場合がほとんどのようです。
LFP(Link Fault Pass Through)とはどのような機能ですか

ということで、リンクダウンを伴わない障害・・かぁ。

ただし、そういう状況があり、LACPパケットの交換が正常に行えず、自ら進んで落ちてくれるというのは、魅力に感じました。

参考
【ネットワークのお話】なぜ LACP を使うか

stock_value at 10:38|この記事のURLComments(0)TrackBack(0)

2017年01月13日

非常に単純ですが、 hosts ファイルに記載が無かったからのようです。 localhost localdomain のみの記載となっていました。

Apacheエラー「httpd: apr_sockaddr_info_get()」、「httpd: Could not reliably determine the server's fully qualified domain name」のエラーの原因と解決方法

httpd.conf で servername を指定しておらず、IPから逆引きできない場合にこのエラーになるようです。
とりあえずは hosts にIPアドレスと名前を記載して解決しました。

stock_value at 12:38|この記事のURLComments(0)TrackBack(0)