iどさにっき shuffle 〜2007年9月上旬〜

by やまや
<< = >>

2007年9月3日(月)

無題

_ メール屋から Web 屋にジョブチェンジしてからもうすぐ半年だけど、使わないことはすぐ忘れるなー。

_ sendmail の設定をしようとするも、どこをいじれば何が変わるかといったことがかなり抜け落ちてる。長く使ってても深いところまで足をつっこんでたわけじゃなければそんなもんか。足どころか首まで埋まるぐらいに使ってた postfix の方はさすがにまだ鈍ってない(と思う)けど。

_ そこ、歳のせいだってゆーな。

サーバのバージョンは隠すのが常識?

_ あーあ、/. まで。もう好きにして。勝手な主張をこっちに押しつけてこないのであればどっちでもいいよ。

_ 効果があるのかないのかよくわからんものをどうするかというそんなつまらん議論をする暇があるなら、ニコ動に弾幕を張ってる方がよっぽど有意義だね。さらに生産的に時間を使いたいのならば、そんないいかげんなことではなく確実に効果があるとわかっているものをひとつでもいいからやっとけ。仮にバージョン隠しが効果あるとしても、1秒で侵入できるものが3秒耐えられるようになる、といった程度でしかないよ。


2007年9月5日(水)

なんかはじまったらしいよ

_ うーん、せっかくリソースは十分に用意したんだから、それを限界まで使ってもらわないとおもしろくないなぁ。

_ わかったこと。デカいファイルの配布に、varnish は向いていない。少なくとも現時点では。オリジンからの 206 の応答をキャッシュしない(分割ダウンロードに対応していない)ってのはイタい。パフォーマンスも微妙によろしくないっぽい(このへんはもう少し検証が必要)。マシンの負荷はスカスカなんだけど。このへんは将来に期待。

_ ちなみにリバースプロクシでは squid の coss が最近ときどき話題に出るけど、こいつは varnish 以上にデカいファイルの配布に向いていない。無理を承知で試してみたら、接続しているクライアントがひとつしかなくても CPU を 100% まで食い潰して速度もまったく出ない。これではまったく使いものにならない。ディスク I/O が減るから強いとは言われているけど、それとはまったく別の部分に特大の問題を抱えているようだ。そういう用途ではこれまでどおり diskd か aufs で。


2007年9月6日(木)

無題

_ 台風こわいよこわいよ。

_ うちの部屋、広いし家賃は安いんだけど強い風が吹くと揺れるんだよね:-)。しかも蛍光灯に寿命がきたらしく1時間ほど前から点滅はじめたし。がくぶる。

内→外

_ 侵入された後でなんかダウンロードされるのが怖いから wget のパーミッションを落とすんだって。なんつー中途半端。ファイルをダウンロードしてくる手段はいくらでもあるんだから、wget やその類似コマンドの実行権限を落としてまわってもキリがないよ。っていうか、750 とか 700 なんてパーミッションはつまり抜け道を許してるわけだし。

_ そもそも、クライアント機ならともかく、サーバとなるホストでファイルのダウンロード、っつーか外へのアクセスができる必要があるの? そのサーバがどんな役割をするのかにもよるから一概には言えないけど、ふつーのサーバは外部からファイルをダウンロードすることはないよね。だったら、そういうコマンドの実行権限を落とすのではなく、そもそも内から外への必要のない接続を遮断しちゃえよ。

_ 一般的な Web サーバや POP サーバならばふつーは外から内への接続だけで内から外にアクセスすることはないから、resolv.conf に記述されたホストへの53番、ntp.conf に記述されたホストへの 123/udp だけ開けておけば後はぜんぶ止めてもサービスは問題なく動く。メールサーバなら 25/tcp を追加で開ける。wget を使えないようにするなんていう抜け道の多い方法ではなく、もっと根本的なところで止めないと手間ばっかりかかってしかたない。

_ メンテでファイルをダウンロードしたい場合もたしかにある。が、そのサーバでどうしても直接ダウンロードが必要ということはほとんどない。たいていの場合は手元の PC でファイルをダウンロードしてから、そのサーバに置きにいくようなやりかたで問題なくメンテできるはずだ。それで問題あるようなときだけ外向きアクセスを許可すればいい。

_ プロクシサーバのように、あちこちにアクセスしまくるのが仕事のサーバも存在する。さすがにこういうものは外向きのアクセスを閉じるわけにはいかないけど、pf や ipfw や iptables では特定のユーザやグループだけに通信を許可する設定ができるので、それを駆使すればプロクシのプロセスだけが内から外につなげてそれ以外のユーザは外に出られないようにすることも可能。

_ これをやるのが正しいとは言わん。侵入を防ぐ話ではなく、侵入を許した後どうするかの話だし、セキュリティだけでなく組織内のネットワークの利用ポリシーにもかかわってくるので、ほんとにやれとは言わん。言わんけど、wget のパーミッションを落とすなんていうバカバカしい作業するぐらいなら、通信そのものを遮断するポリシーにした方が幸せにはなれるだろう。少なくともわしが前にいた会社ではこれをやっていて、それでとくに問題なく運用できていた。


2007年9月10日(月)

おうちサーバ

_ Apache 2.2.6 が出たので入れ替えた。2.2 になってからは ports から入れてたんだけど、どうにもやっぱりキモいっつーかやりにくいので、以前のように野良ビルドに戻した。

_ *BSD では --disabled-v4-mapped がデフォルトのはずなんだけど、無指定でコンパイルしたら enable になってた。なんでだろ。ふだんだったらまあどっちでもいいんだけど、今回はちゃんと区別したいんだよね。ちうわけで明示して作りなおし。

_ apache を入れ替えるついでに、意味もなく前段に Varnish を入れてみた。

_ 静的なコンテンツしかないし、たいしたアクセスもないし、ログ処理とか ACL まわりとかいろいろいじらなくちゃならんし、リバースプロクシなんかなくてもむきだしの apache で十分っつーかそっちの方が有利なんだけど、まあとりあえず実戦投入に向けての経験値を稼ぐということで(いや、すでに某所に投入しちゃってるけど)。

_ default_ttl を1時間に設定したので、この日記も最長で1時間ほどは更新前の内容が見えることになるはず。キャッシュをパージする方法はちゃんとあるし、HTTP 経由でキャッシュを消す設定してある(後日書く)けど、めんどくさいから日記を書くたびにパージなんかしない。ちなみにブラウザから強制リロードしても無視されるので念のため。

_ そのうち飽きたら戻す。


<< = >>
やまや