2.10 rpmができていたのでバージョンアップ
wget http://dag.wieers.com/rpm/packages/nagios/nagios-2.10-1.rh9.rf.i386.rpm
rpm -Uvh nagios-2.10-1.rh9.rf.i386.rpm
Preparing... ########################################### [100%]
1:nagios 警告: /etc/nagios/cgi.cfg created as /etc/nagios/cgi.cfg.rpmnew
警告: /etc/nagios/commands.cfg created as /etc/nagios/commands.cfg.rpmnew
警告: /etc/nagios/nagios.cfg created as /etc/nagios/nagios.cfg.rpmnew
警告: /etc/nagios/resource.cfg created as /etc/nagios/resource.cfg.rpmnew
########################################### [100%]
特に設定内容見ても変更なかったので問題なく稼動
Nagios 2.10 release
2.9からの変更点は下記
http://www.nagios.org/development/changelog.php#2x_branch
とりあえず監視サーバーは
# rpm -qa | grep nagios
nagios-2.9-1.rh9.rf
ということだったので
DAGのRPMパッケージ待ち
http://dag.wieers.com/rpm/packages/nagios/
ネットワーク監視ツール「Nagios Plugins」にシステムアクセスの脆弱性
http://japan.zdnet.com/security/story/0,3800079245,20358319,00.htm
Nagios Plugins バージョン 1.4.10にアップデートすること
[ZDNet Japan] Nagiosの可視化アドオン「NagVis」1.1.1と1.2b同時リリース
http://news.livedoor.com/article/detail/3354960/
こんなのもあったのか…
postfix + geoip で国別ドメインスパム制御(Debian Etch)
元ネタはここからGeoIP面白そうということで
http://blog.browncat.org/2007/07/postfixgeoippolicy.html
GeoIP関連はaptでいれる。他はsrcより
apt-get update
apt-get install geoip-bin libgeoip-dev libgeoip1wget http://www.maxmind.com/download/geoip/api/perl/Geo-IP-1.27.tar.gz
wget http://www.maxmind.com/download/geoip/api/perl/Geo-IP-1.28.tar.gz
wget http://www.maxmind.com/download/geoip/api/pureperl/Geo-IP-PurePerl-1.18.tar.gz
wget http://blog.browncat.org/files/geoip-policyd-0.01.tar.gztar zxf Geo-IP-1.27.tar.gz
cd Geo-IP-1.27
perl Makefile.pl
make
make test
make install
cd ..
tar zxf Geo-IP-PurePerl-1.18.tar.gz
cd Geo-IP-PurePerl-1.18
perl Makefile.pl
make
make test
make install
cd ..
tar zxf geoip-policyd-0.01.tar.gz
cd geoip-policyd-0.01
cp geoip-policyd /usr/local/sbin/
cp geoip-policyd.conf /usr/local/etc/
etchの環境ではGeo-IP-1.28.tar.gzではmake testが通らなかったので1.27で
制御したい国はこんな感じ
cat /usr/local/etc/geoip-policyd.conf
deny: CN KR RU BR AR TH TW PR PH FR DE IT
postfixの設定変更
vi /etc/postfix/master.cf
追加
policy unix - n n - 0 spawn
user=nobody argv=/usr/local/sbin/geoip-policydvi /etc/postfix/main.cf
smtpd_client_restrictionsに追加
check_policy_service unix:private/policy,
permitの後に
policy_time_limit=3600
追加
GeoIPデータベース更新
http://flatray.com/geoip/
上記の「GeoIPデータベースの更新」をそのまま使わせてもらう
そのままだとデータが多少古いのでついでにshellscriptを実行して最新のdatに
ログ確認
grep geoip /var/log/mail.log
Oct 4 21:00:00 example /usr/local/sbin/geoip-policyd[16720]: address:xxx.xxx.xxx.xxx country:JP result:DUNNO
通った場合
Oct 4 21:00:00 example /usr/local/sbin/geoip-policyd[16720]: address:xxx.xxx.xxx.xxx country:TW result:REJECT
弾いた場合
メンテナンスが楽なのがいいですね
#policy serverが使えるのはpostfix 2.1以降
postfix最低限やっておくことメモ
ドメイン詐称のメールを弾く
smtpd_sender_restrictions = reject_unknown_sender_domain
postfix 1でも2でも同様。これやってないとメールを転送するときに、きちんとチェックしてるドメインからは
450 4.1.8
: Sender address rejected: Domain not found (in reply to RCPT TO command))
4.1.8エラーで帰ってくる
RBLを信頼するのであればall.rbl.jp + 国別 blackholeを追加すると幸せに
postfix 2.xなら
smtpd_client_restrictions =
permit_mynetworks,
reject_rbl_client all.rbl.jp,
reject_rbl_client cn.countries.blackholes.us,
reject_rbl_client kr.countries.blackholes.us,
reject_rbl_client br.countries.blackholes.us,
reject_rbl_client ru.countries.blackholes.us,
reject_rbl_client ar.countries.blackholes.us,
reject_rbl_client th.countries.blackholes.us,
reject_rbl_client tw.countries.blackholes.us,
reject_rbl_client pr.countries.blackholes.us,
reject_rbl_client ph.countries.blackholes.us,
reject_rbl_client fr.countries.blackholes.us,
permit
postfix 1.xなら
smtpd_client_restrictions = reject_maps_rbl
maps_rbl_domains = all.rbl.jp cn.countries.blackholes.us kr.countries.blackholes.us …と継ぎ足す
Munin-nodeをnagiosで使うプラグイン
check_service_freshness=1
service_freshness_check_interval=60
が特殊だけど、NRPEとMunin-nodeを常駐させるよりもマシか…
あくまでも、NagiosでいうところのLocalしかできなさげ。remote使いたいときには意味ないかな?
該当サーバの /etc/munin/plugins/ にあるsymlinkが利用できる
check_munin.pl -H 192.168.100.1 -M df -w 90 -c 95
df の値 90% warning 95% critical の場合
check_munin.pl -H 192.168.100.1 -M load -w 5 -c 10
load 5 warning critical 10 の場合
ftpを許可する
ip_conntrack_ftpを追加する
/etc/sysconfig/iptable-config
IPTABLES_MODULES="ip_conntrack_ftp"
ネタ元はここから
http://novus.exblog.jp/i2/
こんなのも公開された.iptablesでの制御
Linux版ブルートフォース防御ルールセット一式、簡易マニュアル
http://www.dit.co.jp/products/dl/bruteforce_def/index.html
Query_Cache 効かないSQL
MYSQL全機能リファレンス
http://www.amazon.co.jp/MySQL%E5%85%A8%E6%A9%9F%E8%83%BD%E3%83%AA%E3%83%95%E3%82%A1%E3%83%AC%E3%83%B3%E3%82%B9-%E9%88%B4%E6%9C%A8-%E5%95%93%E4%BF%AE/dp/477412169X
チューニングのページがよい。内部構造について詳細に書いてるのはこの本だけだということを教えてもらって
Cacheが効かなくなるのでSQLには必ず使うなってことで
CURDATE
CURRENT_DATE
CURRENT_TIME
CURRENT_TIMESTAMP
CURTIME
NOW
RAND
RELEASE_LOCK
SYSDATE
UNIX_TIMESTAMP()
USER
http://xiffy.nl/weblog/tut/mysqlquerycache.php
http://opencage.info/mysqlref/mysql506/ja/query-cache-how.html