So-net無料ブログ作成
検索選択
スポンサードリンク
前の5件 | -

ping疎通はするけど、sshが接続できなかった場合の対応メモ [Linux]

Linux端末からLinuxサーバへssh接続しようとした時に、接続が出来なかった時の対応メモ。
$ ssh user@192.168.10.100
で、接続したときに初回接続時に表示される「The authenticity of host ・・・」が出て、yesを入力し、
続行するが、その後に何も表示がされず接続が出来なかった。
pingで疎通確認をしても、正常に応答が有るので物理的に接続は問題なし。
iptablesTCP Wrapperで、接続元の許可が無いまたは拒否されている状態または、
sshdが起動していないので有れば、「The authenticity of host ・・・」の表示は出てこない。

トラブルシューティングで、sshのオプション-vを付けて接続してみると、
$ ssh -v user@192.168.10.100
  :
  :
debug1: SSH2_MSG_KEXINIT sent
で止まっていることを確認。

調べたところ、バックアップ用セグメントのネットワークで、Jumboフレームに対応したL2SWへ
接続予定だったネットワークI/Fのため、MTU値9000に設定されていた。
このときは本設置前のテスト用ネットワークで、FastEthernetのL2SWに接続されていたので、
とりあえずMTU値を1500へ設定し、sshで接続が可能になった。
本設置時、Jumboフレームに対応したL2SWへ接続し、MTU値を9000に戻し、sshで接続したところ
問題なく接続が出来た。
インターネットVPNなどの接続で、MTU値の変更が必要な環境でも、同様のことが起こるのでこの辺りの確認が必要かも。

DNSサーバのKSKロールオーバー対応メモ [DNS]

ネットワーク関連のニュースで、KSKロールオーバーの情報がチラホラと出ています。
内容的にはDNSルートゾーンKSKが更新されて、一部のDNSサーバが正常に動作しなくなるもよう。
専門的な内容が多く、実際に何をしないといけないか分かりにくかったので、調べた内容のメモ。
KSKはKey Signing Keyの略

対応しないといけないサーバと内容は
DNSSECが有効になっているDNSキャッシュサーバトラストアンカーの更新
DNS応答で大きなサイズに対応可能なこと。
この2点のようです。

DNSキャッシュサーバのトラストアンカーの更新ですが、パッケージでインストールしていない場合は、
該当のキーファイルを更新するようになる。
yumなどのパッケージでインストールをしている場合は、アップデートをすることで対応が完了する。
CentOSの場合の確認はnamed.confで指定している、トラストアンカーファイル
/etc/named.iscdlv.key
で、このファイルの内容を確認すると古い日付になっている。
# These keys are current as of January 2011. If any key fails to

bindをアップデートし、
# yum update bind
再度、/etc/named.iscdlv.keyの中身を確認し、
# These keys are current as of Feburary 2017. If any key fails to
のように日付が更新されていれば良いかと。

DNSSECが無効になっていたら関係は無いようなのですが、bindは脆弱性も多いので、
念のためにアップデートはしておいた方が良さそう。
DNSSECはデフォルトでは有効になっているので、設定変更をしないかぎりは無効にならないので、
注意が必要。

DNS応答で大きなサイズに対応可能になっているかを確認するには、
digコマンドで、
$ dig +bufsize=4096 +short rs.dns-oarc.net txt
を実行し、以下のような返答が有ればOK

rst.x4050.rs.dns-oarc.net.
rst.x4058.x4050.rs.dns-oarc.net.
rst.x4064.x4058.x4050.rs.dns-oarc.net.
"xxx.xxx.xxx.xxx DNS reply size limit is at least 4064"
"Tested at 2017-xx-xx xx:xx:xx UTC"
"xxx.xxx.xxx.xxx sent EDNS buffer size 4096"

reply size limitの値が1424より大きければ対応済み。

もしくは、以下のサイトへブラウザでアクセスし、1から4の結果がpassになっていれば良いそうです。
通常のインターネット回線を利用していれば問題は無いと思いますが、VPN経由とかだと対応していない
場合も有るようなので、チェックはしておいたほうが良さそうです。

対象のサーバを運営している場合は、名前解決が出来なくなり、サーバに接続が出来ないなどのトラブルが発生するので、早めの対応しておいた方が良さそうです。

SRX JUNOSコマンドメモ [Network]

JuniperfirewallSRX300を触る機会が有ったので、操作した時のメモ。
デフォルトで設定が入っているので、初回に接続するときは、ge-0/0/1ポートへLANケーブルを接続し、
Webだとブラウザを起動して、
http://192.168.1.1
へアクセスすると、初期設定画面が表示されるので、wizardに従って入力すると初期設定は完了する。
DHCPサーバ機能が動作しているので、接続するクライアントPCのIP設定はDHCPで接続可能。
インターフェースge-0/0/0にはdhcpクライアントが設定されているので、DHCPサーバ機能が有るルーターなどの配下に設置するとネットへ接続がされるが、何らかの設定を入れるとデフォルトに設定されいたautoinstallation設定が削除され、ge-0/0/0に設定されていたbootpの設定も削除されるので、ge-0/0/0が取得していたIPアドレスも取れなくなり、ネットへ接続が出来なくなる。
ただ、SRXシリーズは前のNetscreenSSGと違い、Webで設定するのは難しいので、コマンドで設定するほうが良さそう。

Consoleで接続する場合は、シリアルポートから付属のシリアルケーブルで接続する。
コネクタが邪魔な場合は、Ciscoのコンソールケーブルでも接続可能。
ターミナル設定でTeratermの場合は、デフォルトの設定で利用可能。
Configが有れば、Configの流し込みで設定は可能だが、SRXの反応が遅いせいか、
入力漏れする場合が有るので、Teratermで長いConfigを流し込む場合は、
設定→シリアルポートの送信遅延設定
に10から20くらいを入れて実行したほうが良いかも。

コンソールで設定する場合はrootでログインした後に、シェルモードに入るので、
root@% cli
cliコマンドで、オペレーションモードへ移行、
root> configure
configureコマンドで、コンフィギュレーションモードへ移行する。
root#
初期設定で、rootのパスワードを設定する。パスワード設定をしないと以降の設定を反映出来ない。
root# set system root-authentication plain-text-password

設定をしたあと(流し込みなど)は、commitで設定反映をするが、その前に確認をしたほうが良い
root# commit check
問題なければ、
root# commit
設定に不具合が有れば、commitまたはcommit check実行時に該当の設定行が表示される。

工場出荷時状態の設定ファイルを読み込む場合は
root# load factory-default
を実行し、commitすれば工場出荷時状態になる。
本体のフロントパネルにあるRESET CONFIGボタンを30秒ほど押すと同様になる。

設定した内容を見る場合は、オペレーションモードで
root> show configuration
で、閲覧可能。これで表示されるのは階層型なので、configの流し込みには使用できない。
config流し込み用または設定用で表示するのは、
root> show configuration | display set
で、表示する。表示途中にmoreが表示され一時停止するので、一度に表示させたい場合は、
root> show configuration | display set | no-more
で、表示する。

電源を落とすときは、オペレーションモードで
root> request sysytem power-off
で、シャットダウンする。
電源ボタンや電源ケーブルを抜いて電源を落とすと不具合が出る場合が有る。
再起動する場合は
root> request sysytem reboot
で再起動可能。
再起動含めた電源の切入は時間が掛る(10分程度)ので、作業時間は余裕を見てやったほうが良さそうです。

使用しているプロバイダがOP25B(メール送信規制)や、メール送信は出来るけど送付したメールが迷惑フィルタに掛る場合のメモ。 [Linux]

自ネットワーク内でメールサーバを構築したのは良いけど、インターネット回線で使用しているプロバイダがOP25Bで規制が掛かっているため25/tcpポートを使用してメール送信が出来なかったり、グローバルIPアドレスがブラックリスト(RBL)に入っていて、送信でエラーにならなくても、相手先で迷惑メールフィルタなどに引っかかり届かない場合のメモ。

やり方としては、他のメールサーバをリレーして送れば改善出来る可能性が有る。
ダメな場合も有るかも。
Gmailが利用しやすいので、Gmailを利用してみる。
OSはCentOS7
メールサーバはpostfix
予め利用するGmailアカウントを作成する。手持ちのアカウントがあれば使用可能。

CentOS7はOSインストール時にpostfixが入っているので、改めてインストールは不要。
認証でcyrus-saslcyrus-sasl-plainが要るので、入っていなければインストールする。
# yum install cyrus-sasl cyrus-sasl-plain

メール送信テストをするのに便利なmailxも入れておく。
# yum install mailx

postfixの設定
# vi /etc/postfix/main.cf

・メール受信を許可する設定
inet_interfaces = localhost
他の端末からのリレーを許可する場合は、設定を変更する。
inet_interfaces = all
など

・ipv4のみ利用
inet_protocols = ipv4

・メールリレー許可のネットワーク設定
mynetworks = 127.0.0.0/8
他の端末から許可する場合は
mynetworks = 192.168.1.0/24
など、許可するネットワーク・アドレスを指定する。

・gmailサーバへリレー
relayhost = [smtp.gmail.com]:587
smtp_use_tls = yes
smtp_tls_CApath = /etc/pki/tls/certs/ca-bundle.crt
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_mechanism_filter = plain

sasl_passwdの設定
# vi /etc/postfix/sasl_passwd
[smtp.gmail.com]:587 username@gmail.com:password
アクセス権変更
# chmod 600 /etc/postfix/sasl_passwd
DBの作成
# postmap /etc/postfix/sasl_passwd

設定ファイルの確認
# postfix check

postfix再起動
# systemctl restart postfix
または
# systemctl reload postfix

メール送信テスト
# mail username@domain_name
Subject: testmail  ←タイトル
testmail        ←本文
.             ←終了コマンド(Ctrl+Dでも可)
EOF

メールログ確認
# tail /var/log/maillog
ログに以下の認証エラーが出ていて、メール送信ができない場合
SASL authentication failed

使用してるgmailアカウントのメールに
件名:リンクされている Google アカウントのセキュリティ通知
内容で「安全性の低いアプリのアクセスの許可
のメールが届いていたら、文面にあるURLをクリックし、
安全性の低いアプリのアクセスの許可の設定を有効に変更する。
安全性の低いアプリの許可: 無効 → 有効

後は送信先のメールソフトなどで受信する。
送信元がリレーで使用しているgmailアカウントになるので注意。
大量にメール送信するとgmail側でブロックされる可能性も有るのでこれも注意かな。
Gmailヘルプを確認すると、1日に500通超や1通のメールで500人超の送信を行うと制限が掛るようです。

proxy配下でRocket.Chatをインストールした時のメモ。 [Linux]

proxy配下でRocket.Chatをインストールした時のメモ。
基本的には、前にRocket.Chatをインストールしたメモがベースですが、一部proxy設定をしないと、インストールをすることが出来ないので、ポイントだけを抽出。
OSは同じくCentOS7。

1.yum利用時
yumの設定にproxy設定を記述する。
# vi /etc/yum.conf
に以下の行を追加する。
proxy=http://proxy-server:port番号

2.npm利用時
# npm install -g inherits n
の前に以下を実行する。
# npn -g config set proxy http://proxy-server:port番号
# npn -g config set https-proxy http://proxy-server:port番号
# npn -g config set registry http://registry.npmjs.org/
以下で設定内容を確認
npm config list

3.node.jsのバージョン変更時
# n 4.5
の前に
export http:_proxy=http://proxy-server:port番号
export https:_proxy=http://proxy-server:port番号
4.Rocket.Chatのダウンロード
curl -L --proxy http://proxy-server:port番号 https://rocket.chat/releases/latest/download -o rocket.chat.tgz

で、proxy経由でインストールすることが出来ました。
前の5件 | -
スポンサードリンク
シャンパン酵母エキス