2.10 rpmができていたのでバージョンアップ

Nagios

wget http://dag.wieers.com/rpm/packages/nagios/nagios-2.10-1.rh9.rf.i386.rpm
rpm -Uvh nagios-2.10-1.rh9.rf.i386.rpm
Preparing... ########################################### [100%]
1:nagios 警告: /etc/nagios/cgi.cfg created as /etc/nagios/cgi.cfg.rpmnew
警告: /etc/nagios/commands.cfg created as /etc/nagios/commands.cfg.rpmnew
警告: /etc/nagios/nagios.cfg created as /etc/nagios/nagios.cfg.rpmnew
警告: /etc/nagios/resource.cfg created as /etc/nagios/resource.cfg.rpmnew
########################################### [100%]

特に設定内容見ても変更なかったので問題なく稼動

Nagios 2.10 release

Nagios

2.9からの変更点は下記
http://www.nagios.org/development/changelog.php#2x_branch

とりあえず監視サーバーは
# rpm -qa | grep nagios
nagios-2.9-1.rh9.rf
ということだったので
DAGのRPMパッケージ待ち
http://dag.wieers.com/rpm/packages/nagios/


ネットワーク監視ツール「Nagios Plugins」にシステムアクセスの脆弱性
http://japan.zdnet.com/security/story/0,3800079245,20358319,00.htm
Nagios Plugins バージョン 1.4.10にアップデートすること


[ZDNet Japan] Nagiosの可視化アドオン「NagVis」1.1.1と1.2b同時リリース
http://news.livedoor.com/article/detail/3354960/

こんなのもあったのか…

postfix + geoip で国別ドメインスパム制御(Debian Etch)

postfix

元ネタはここからGeoIP面白そうということで
http://blog.browncat.org/2007/07/postfixgeoippolicy.html

GeoIP関連はaptでいれる。他はsrcより

apt-get update
apt-get install geoip-bin libgeoip-dev libgeoip1

wget http://www.maxmind.com/download/geoip/api/perl/Geo-IP-1.27.tar.gz
wget http://www.maxmind.com/download/geoip/api/perl/Geo-IP-1.28.tar.gz
wget http://www.maxmind.com/download/geoip/api/pureperl/Geo-IP-PurePerl-1.18.tar.gz
wget http://blog.browncat.org/files/geoip-policyd-0.01.tar.gz

tar zxf Geo-IP-1.27.tar.gz
cd Geo-IP-1.27
perl Makefile.pl
make
make test
make install
cd ..


tar zxf Geo-IP-PurePerl-1.18.tar.gz
cd Geo-IP-PurePerl-1.18
perl Makefile.pl
make
make test
make install
cd ..


tar zxf geoip-policyd-0.01.tar.gz
cd geoip-policyd-0.01
cp geoip-policyd /usr/local/sbin/
cp geoip-policyd.conf /usr/local/etc/

etchの環境ではGeo-IP-1.28.tar.gzではmake testが通らなかったので1.27で

制御したい国はこんな感じ

cat /usr/local/etc/geoip-policyd.conf
deny: CN KR RU BR AR TH TW PR PH FR DE IT

postfixの設定変更

vi /etc/postfix/master.cf
追加
policy unix - n n - 0 spawn
user=nobody argv=/usr/local/sbin/geoip-policyd

vi /etc/postfix/main.cf

smtpd_client_restrictionsに追加
check_policy_service unix:private/policy,
permitの後に
policy_time_limit=3600
追加

/etc/init.d/postfix stop
/etc/init.d/postfix start

GeoIPデータベース更新

http://flatray.com/geoip/
上記の「GeoIPデータベースの更新」をそのまま使わせてもらう
そのままだとデータが多少古いのでついでにshellscriptを実行して最新のdatに

ログ確認

grep geoip /var/log/mail.log
Oct 4 21:00:00 example /usr/local/sbin/geoip-policyd[16720]: address:xxx.xxx.xxx.xxx country:JP result:DUNNO
通った場合


Oct 4 21:00:00 example /usr/local/sbin/geoip-policyd[16720]: address:xxx.xxx.xxx.xxx country:TW result:REJECT
弾いた場合

メンテナンスが楽なのがいいですね

#policy serverが使えるのはpostfix 2.1以降

postfix最低限やっておくことメモ

postfix

ドメイン詐称のメールを弾く

smtpd_sender_restrictions = reject_unknown_sender_domain

postfix 1でも2でも同様。これやってないとメールを転送するときに、きちんとチェックしてるドメインからは

450 4.1.8 : Sender address rejected: Domain not found (in reply to RCPT TO command))

4.1.8エラーで帰ってくる

RBLを信頼するのであればall.rbl.jp + 国別 blackholeを追加すると幸せに
postfix 2.xなら

smtpd_client_restrictions =
permit_mynetworks,
reject_rbl_client all.rbl.jp,
reject_rbl_client cn.countries.blackholes.us,
reject_rbl_client kr.countries.blackholes.us,
reject_rbl_client br.countries.blackholes.us,
reject_rbl_client ru.countries.blackholes.us,
reject_rbl_client ar.countries.blackholes.us,
reject_rbl_client th.countries.blackholes.us,
reject_rbl_client tw.countries.blackholes.us,
reject_rbl_client pr.countries.blackholes.us,
reject_rbl_client ph.countries.blackholes.us,
reject_rbl_client fr.countries.blackholes.us,
permit

postfix 1.xなら

smtpd_client_restrictions = reject_maps_rbl
maps_rbl_domains = all.rbl.jp cn.countries.blackholes.us kr.countries.blackholes.us …と継ぎ足す

Munin-nodeをnagiosで使うプラグイン

Nagios

check_munin.pl

check_service_freshness=1
service_freshness_check_interval=60

が特殊だけど、NRPEとMunin-nodeを常駐させるよりもマシか…
あくまでも、NagiosでいうところのLocalしかできなさげ。remote使いたいときには意味ないかな?

該当サーバの /etc/munin/plugins/ にあるsymlinkが利用できる
check_munin.pl -H 192.168.100.1 -M df -w 90 -c 95
df の値 90% warning 95% critical の場合
check_munin.pl -H 192.168.100.1 -M load -w 5 -c 10
load 5 warning critical 10 の場合

ftpを許可する

iptables

ip_conntrack_ftpを追加する

/etc/sysconfig/iptable-config
IPTABLES_MODULES="ip_conntrack_ftp"

ネタ元はここから
http://novus.exblog.jp/i2/


こんなのも公開された.iptablesでの制御

Linuxブルートフォース防御ルールセット一式、簡易マニュアル
http://www.dit.co.jp/products/dl/bruteforce_def/index.html

Query_Cache 効かないSQL

MySQL

MYSQL全機能リファレンス
http://www.amazon.co.jp/MySQL%E5%85%A8%E6%A9%9F%E8%83%BD%E3%83%AA%E3%83%95%E3%82%A1%E3%83%AC%E3%83%B3%E3%82%B9-%E9%88%B4%E6%9C%A8-%E5%95%93%E4%BF%AE/dp/477412169X
チューニングのページがよい。内部構造について詳細に書いてるのはこの本だけだということを教えてもらって


Cacheが効かなくなるのでSQLには必ず使うなってことで

CURDATE
CURRENT_DATE
CURRENT_TIME
CURRENT_TIMESTAMP
CURTIME
NOW
RAND
RELEASE_LOCK
SYSDATE
UNIX_TIMESTAMP()
USER


http://xiffy.nl/weblog/tut/mysqlquerycache.php
http://opencage.info/mysqlref/mysql506/ja/query-cache-how.html