徒然なるままに プログラミングメモや日々の生活などつれづれとつづっていくblog

2016年10月5日

CentOS 7.2でDocker環境構築

Filed under: Docker,ESXi,Linux,OSS,PC — ranpei @ 9:22 PM

内部ツール系サーバーは CentOS 7.2を使って構築していきます。

外部と別ディストリビューションを使うのに特に理由はありません。

単に私がいろいろなディストリビューションを触りたいというだけですw

 

 

1.Dockerをインストール

// Dockerをインストール
#yum -y install docker
// サービスを起動
#systemctl start docker
#systemctl enable docker
// 動作確認
#docker run hello-world

2.Docker-Composeのインストール(最新版はここを参照)

こちらにもDocker-Composeをインストールしておきます。

#curl -L https://github.com/docker/compose/releases/download/1.8.1/docker-compose-`uname -s`-`uname -m` > docker-compose
#chmod +x docker-compose
#sudo mv ./docker-compose /usr/local/bin/docker-compose

あとselinuxが有効な状態だとマウントしたvolumeに書き込むことができないので
selinuxを無効化しておきます。

#vi /etc/selinux/config
SELINUX=enforcing
 ↓
SELINUX=disabled

再起動すれば設定が反映されます。
こちらもすんなりいきましたね。

Ubuntu 16.04でDocker環境構築

Filed under: Docker,ESXi,Linux,OSS,PC — ranpei @ 9:22 PM

外部公開ツール系サーバーはUbuntu Server 16.04 LTSで作成し、

複数コンテナの管理をやりやすくするためにDocker-Composeをインストールします。

※ Ubuntuのインストールは省略

1.Dockerのインストール (ここを参照)

// 最新パッケージをインストール
$sudo curl -fsSL https://get.docker.com/ | sh
// 一般ユーザに"docker"グループの追加
$sudo gpasswd -a {ユーザー名} docker
// ログアウト
$exit

再度ログインして以降の手順を実施

// Dockerサービスを起動
$sudo service docker start
// 動作確認
$docker run hello-world

2.Docker-Composeのインストール(最新版はここを参照)

$curl -L https://github.com/docker/compose/releases/download/1.8.1/docker-compose-`uname -s`-`uname -m` > docker-compose
$chmod +x docker-compose
$sudo mv ./docker-compose /usr/local/bin/docker-compose

自宅サーバーをDockerで再構築する

Filed under: Docker,ESXi,GitLab,Linux,OSS,PC — ranpei @ 3:08 AM

なかなか長続きしないものですね。。。

まあだらだら日記を書くよりもできるだけ有益な情報のみを書く方針なので

ネタがなかったってだけなんですがね・・・・

 

さて、今回は自宅サーバーをDockerを使って再構築した話を複数回にわたって書いて行こうと思います。

(後ろの方はDocker要素ほとんどないかと思いますがw)

 

1.Dockerで再構築しようと思った訳

Linuxのお試し用にVMを作ろうと思ったらメモリ残量がほとんどないことに気が付きまして・・・

サーバーリソース量

稼働中のVMを調べてみたところ各VMに設定しているメモリ量の合計が搭載メモリ量カツカツな状態でしたw

にもかかわらずVM内部では確保したメモリは半分も使用されていないという状況・・・

各VMのメモリ使用量

Dockerを使えば確保するメモリ量を減らし、なおかつサーバーリソースを有効に利用できるのでは?

と思い立ったのがきっかけです。

 

2.サーバー構成を考えてみる

現在実運用中のサーバーは以下の図のようになっています。

現行サーバー構成図

  • ゲートウェイサーバー
    • インターネットからの入口に置かれ内部サーバーとの中継役を担うサーバー
    • Webサイト高速化のためにキャッシュ役も担う
  • アプリケーションサーバー
    • 実際のアプリ運用を担当するサーバー
    • ブログやCMSなど様々なアプリが同居している
  • データベースサーバー
    • 文字通りデータベースサーバー
  • Gitlab運用サーバー
    • GitlabやJenkinsなど開発サポート用のツール類を運用するサーバー
    • 内部利用が主のため基本的に外部に解放しない
  • メールサーバー
    • プライベートメールアドレスなどの運用を行うサーバー
    • アプリ運用中の通知メールなどを外部に送信する際に使用される

 

これをDockerを使って以下のように2台のVM内に集約してしまおうと画策してみました。

想定サーバー構成図

  1. ゲートウェイサーバー、アプリケーションサーバー、データベースサーバー、メールサーバーを集約
  2. 1アプリを1コンテナとして、蓄積データは個別のデータコンテナに保存することで永続化

が!しかし!?

結局想定通りにはいかず・・・・

以下の図のようになりました。

最終サーバー構成図

  1. メールサーバー、VPNサーバーはDocker化できず仕方なく通常のVMのまま運用・・・
  2. データコンテナはアプリによって保存がうまくいかないためデータボリューム方式に妥協・・
  3. 図では分かりにくいですがGitlabは永続化すらできていませんw

 

3.想定通りにいかなかった理由

自身のDockerへの理解不足などもあったためですが、個別にうまくいかなかった分けをつらづらと・・・・

  • メールサーバー

Linuxユーザーを作成して、各自の個人ディレクトリにメールを保存するという現状運用がDockerにミスマッチでした。

特に複数のユーザーアカウントをどのように永続化するか課題となり移行を断念。

おそらくですが複数ユーザーで運用する場合はユーザーアカウントはLDAPなどで一元管理して、

バーチャルメールボックス方式での運用となるのではないでしょうか?

  • VPNサーバー

構成自体はfrosquin/softetherを使って簡単に構築できたのですが、以下の2つの問題が発生。

1.DockerホストのVMにsshでログインできない

2.DockerホストのOSが64bitだったため「Softether VPN 経由でVMware vSphere Clientが開かない」の内容が再発してしまった

そのためリモート管理に支障を期すのでDocker化は断念し、

Dockerホストの環境を汚さないように別建てでVPN専用サーバーを建てるにしました。

  • Gitlab

PostgreSQLやWebサーバー等が1コンテナにまとまった物を使ったためコンテナ内で複数のデーモンが読み書きを行っており

DockerのVolumeのアクセス権限の問題について」の問題がネックとなって永続化は断念しました。

データの保全はGitlabのバックアップ機能を使って定期的にバックアップ作成し、Dockerホストにコピーして対応しています。

(今回、私は横着して1つにまとまった物を使用しましたが

Gitlabを運用する場合はデータベースサーバーやWebサーバーなどを個別に建てるのが正解だと思います)

 

4.最後に

一応移行自体は終わって1.5GBほどののメモリを確保できましたが、

今後のことを考えるとVPNサーバーはともかく、

Gitlabはバックアップでは心もとないためデータの永続化は必須ですし、

NASや各アプリのアカウント管理も地味に面倒なので、LDAP等で一元管理するようにして

メールサーバーの再構築ぐらいは行いたいですね。。。

では、実際の構築作業等は別記事で!!

2015年9月30日

PHPフレームワーク公開

Filed under: PHP,オープンソース,ソース配布 — ranpei @ 3:40 AM

仕事でPHPフレームワークを使ったときに以下の不満点がふつふつと湧き上がってきた。

・クラス名やメソッド名がURIパスになってしまう。

・各ファイルの配置先があらかじめ決められており自由度がない。

・内蔵ライブラリは便利だが外部ライブラリにもっと良いものがあるのに導入に手間がかかる。

 

上記の一部の不満点はメンバーから上がってきたもので

そのときはクラス名とメソッド名の変更で対応したもののもっとうまいやり方があったのでは?と思っていた。

 

もともとPHPは趣味でやっておりオレオレフレームワークで実装することが主だったため

既存フレームワークの良いところを取り入れつつ上記の不満点を解消できないかと試行錯誤していたものが形になったため

せっかくだから公開してみようとということになった。

 

ダウンロードから設置までの流れはこちらにまとめている。(内容が薄いため今後拡充していく予定)

 

現状ではフレームワークの骨組みはどのように作られているかという勉強用のソースという意味合いが強い。

最終的には小規模なシステム開発に向いたフレームワークとしていきたい。

(さすがに中大規模は無理なのでメジャーなPHPフレームワークを使用していただきたい。)

 

あと、ソース類はgithubなどのサービスを利用して配布していければ良いなーとか考えていたり・・・

2014年10月15日

不正アクセス再び

Filed under: postfix,ログ,不正アクセス — ranpei @ 12:20 AM

以前Webサーバーを踏み台にされた話をしましたが。

今度はMailサーバーを踏み台にされてしまいました;x;

 

 

ことの発端は以下のメールが送られてきたことでした。
————————————————————————————————
警告:お客様サーバーからのフィッシングメール送信行為について

いつもMyDNS.JPをご利用頂きましてありがとうございます。

お客様が使用している回線から、フィッシングメールがMyDNS.JPのメール
リレーサーバー経由で送信されていることを確認いたしました。

このような行為は、社会的に非常に迷惑であり、加入規約に反しており
ますので行なわないようにして頂けますようお願い致します。

再度行なわれた場合には、以後の利用を禁止させて頂きます。

もし身に覚えがないようであれば、お客様のサーバーがクラッキングを
受けていないかどうか確認をしていただけますようお願いいたします。

また、本件についてお客様のアクセス状況や個人情報を関係省庁に報告
することもありますので予めご了承ください。
————————————————————————————————

 

昼間はとりあえずスマホからVPNでメールサーバーを停止して、これ以上のスパム送信を防ぐ暫定措置をとり。

帰宅後にぐぬぬ、postfixで踏み台にされたお話を参考にログを解析しました。

以下が実際のログの一部です。

Sep 14 15:36:25 localhost postfix/smtpd[28698]: connect from unknown[216.251.77.186]
Sep 14 15:36:27 localhost postfix/smtpd[28698]: 06A9780053: client=unknown[216.251.77.186], sasl_method=LOGIN, sasl_username=○○○○@mail.ranran.mydns.jp
Sep 14 15:36:28 localhost postfix/cleanup[29044]: 06A9780053: message-id=<>
Sep 14 15:36:28 localhost postfix/qmgr[1936]: 06A9780053: from=<info@rolandbest.com>, size=1949, nrcpt=5 (queue active)
Sep 14 15:36:28 localhost postfix/smtpd[28698]: disconnect from unknown[216.251.77.186]
Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<tunde.adeoye@aol.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9)
Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<gordonbank11@gmail.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9)
Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<adamfarm103@hotmail.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9)
Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<honare.ravzio@ig.com.br>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9)
Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<a4deoye2004@yahoo.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9)
Sep 14 15:36:29 localhost postfix/qmgr[1936]: 06A9780053: removed

アカウントは伏せていますが、あるアカウントがハックされて1秒ごとに3~5通のペースでメールを送信していました。

(1週間余りでログが2Gぐらいになっていた)

参考にした「online106の日記」と同じで特定のアカウントをのっとってメールを不正に送信されていたようです。

 

とりあえず該当のアカウントのパスワードを変更して、様子を見ています。

今のところ、すべて認証エラーとなっていますが、先々のことを考えるとセキュリティを強化する必要がありそうです。

幸いにも「online106の日記」さんの中でそのことについても触れられているので、参考にして実施することにします。

とりあえず今日はここまで。

2014年9月8日

Softether VPN 経由でVMware vSphere Clientが開かない

Filed under: ESXi,SoftEtther VPN,VPN — ranpei @ 11:30 PM

以前構築したSoftetherのVPN

サーバー構成を変えたため再度構築しなおしたのだが、それ以来VPN経由ではVMware vSphere Clientが開かなくなった・・・・・

正確には、インベントリロードがいつまでたっても終わらずにタイムアウトするのだが
調べても調べても原因がさっぱりわからなかった。

唯一それっぽい情報は
IPアドレスでWeb VMコンソール接続不可
vSphere Clientがインベントリのロード中に接続できないとかぬかす・・・
というもの

ホストの解決ができないか、ルーティングがおかしいのかな???と試行錯誤するもどうにもならず・・・

で、ディストリビューションを変えながら構築してたら、32bitのOSだと開くようになった!?

そういえば構成変更する前のOSは32bitだったな・・・
なんだか腑に落ちない結果になったが、まあ開くようになったのでよしとしよう。

2014年5月26日

あんてなサイトのサンプルソース公開

Filed under: PHP,アンテナサイト,ソース配布 — ranpei @ 3:53 AM

話題にしたの結構前ですが、公開するのすっかり忘れていました;;
というわけでソースを公開いたします。

基本的な部分は気ままアンテナ☆ミヾ(*´∇`)σと同じですが、
HTML部分は必要最低限のみを記載してシンプルにしています。

配布・解説等は試験的にConcrete5で構築したサイトで行っていますのでこちらをご覧ください。

ご質問等ありましたらコメント等でお願いします。

あんてなサイトサンプルダウンロード先:徒然なるままに

2014年5月23日

concrete5で日本語が入力できない・・・

Filed under: apache,OSS,PHP,オープンソース — ranpei @ 12:53 AM

現在ブログをCMSツールに移行する計画を実行中なのだが、
その過程で起こった問題を記録のためにメモって置く。

タイトルの通りConcrete5日本語版をインストールして、
さあ、記事を編集だ~~と思っていた矢先
日本語を入力しても化けて表示される問題にぶち当たった。

公式サイトの『よくあるインストール時の問題』に日本語が入力できない場合について書かれているのだが
「これは、お使いのサーバーの設定が、きちんと行われていない為に発生する問題だと思われます。”だと・・・
公式にも書いている.htaccessの記載もやっとるっちゅ~ねん。
MySQLの文字コードもUTF-8だし・・・

いろいろ試してみたところ.htaccessに以下の設定を追加することで解決しました。

php_flag mbstring.encoding_translation Off

2014年3月31日

apacheの不可解なログ

Filed under: apache,ログ,不正アクセス — タグ: , , , — ranpei @ 12:16 AM

サーバーのアクセス解析をふと見てみると
訪問者数の割にページ数が異常に多いことに気がついた
awstats3月の解析結果
※うちのサーバーはアクセス解析にAwstats(日本語版)を利用しています。
このサーバーのメインコンテンツはこのブログだけなので
1訪問者につき500ページ以上も閲覧されることなどあり得ない・・・

不安に思いapacheのログを見てみると以下のような不可解なログが大量に出力されていました。

85.25.226.154 - - [23/Mar/2014:05:26:02 +0900] "GET http://www.mzllock.com/plus/guestbook.php?action=admin&id=20124 HTTP/1.1" 200 6890 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:26:02 +0900] "POST http://myinfo.any-request-allowed.com/?a=tt4mq2&b=e33bu HTTP/1.1" 200 839 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:26:02 +0900] "GET http://chelseafc360.com/2013/10/07/chelsea-alerted-as-real-are-looking-to-offload-benzema-for-17million/comment-page-1/ HTTP/1.1" 200 22427 "http://chelseafc360.com/2013/10/07/chelsea-alerted-as-real-are-looking-to-offload-benzema-for-17million/comment-page-1/?replytocom=27046" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
192.99.2.75 - - [23/Mar/2014:05:26:03 +0900] "GET http://www.europaa.net/zboard/bbs/zboard.php?id=diary&page=39&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=595 HTTP/1.1" 200 55730 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:26:03 +0900] "GET http://www.labspace911.co.kr/bbs/view.php?id=photo&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=288 HTTP/1.1" 200 13711 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
192.99.2.75 - - [23/Mar/2014:05:26:03 +0900] "POST http://addls.com/wp-comments-post.php HTTP/1.1" 302 5939 "http://addls.com/tt_news%e5%b8%b8%e7%94%a8ts%e9%85%8d%e7%bd%ae.html/comment-page-3?replytocom=2764" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:26:02 +0900] "POST http://mashika-unika.com/about-the-ridgeback/pagina-1.html HTTP/1.1" 200 74 "http://mashika-unika.com/about-the-ridgeback/pagina-1/item/1-about-dafina-wa-afrika/1-about-dafina-wa-afrika.html?start=310" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:26:03 +0900] "GET http://blog.rgbsocial.com/2012/09/13/3-links-blog-posts-worth-checking-out/comment-page-1/%23comment-form-guest HTTP/1.1" 404 28592 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:26:04 +0900] "GET http://www.mzllock.com/plus HTTP/1.1" 301 184 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:26:03 +0900] "POST http://www.litcso.com/bbs/savepost.asp?action=sre&method=fastreply&BoardID=2 HTTP/1.1" 200 5641 "http://www.litcso.com/bbs/dispbbs.asp?boardid=2&id=81&page=2&move=pre" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:25:17 +0900] "GET http://japanese.turbinewheel.com/china-gtc12v_turbo_compressor_wheels_for_cars_skoda_audi_turbo_775517_0001-1853697.html HTTP/1.1" 200 14966 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:25:14 +0900] "GET http://grevesmuehlen.umnet.de/de/index.php?sat=10&kate=13&kat2=0&kat3=&d1=20&ppp=1&alle=1&mini=&mini2=&sch=9&page=9&mehr=9&read=&a HTTP/1.1" 503 409 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
192.99.2.75 - - [23/Mar/2014:05:25:15 +0900] "GET http://lkccwkfy.uni86.net/group/ViewBBS.asp?ID=20091226940408634&page=3 HTTP/1.1" 503 405 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:24:32 +0900] "GET http://planet.edu.vn/component/k2/item/202-gi%C3%A1m-kh%E1%BA%A3o-kh%C3%A1ch-m%E1%BB%9Di-pnet-idol-2012/202-gi%C3%A1m-kh%E1%BA%A3o-kh%C3%A1ch-m%E1%BB%9Di-pnet-idol-2012.html?start=5259 HTTP/1.1" 502 822 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:24:33 +0900] "GET http://forum.muhhh.org/index.php?page=UserGalleryPhoto&photoID=45&l=2&s=abc434968af7e0ca896e535b2a3f9d210bff3cfd HTTP/1.1" 502 704 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:24:34 +0900] "GET http://rikmccloud.deviantart.com/journal/New-Start-423875238%23comments HTTP/1.1" 502 608 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:24:32 +0900] "GET http://cupark.co.kr/bbs/board.php?bo_table=qa&wr_id=13&page=1 HTTP/1.1" 200 90758 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:26:04 +0900] "GET http://www.eduno1.net/cmppage/zxly.asp?id=14714 HTTP/1.1" 200 8733 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:25:13 +0900] "GET http://www.xfrenjiapaints.cn/toupiao.asp?page=84206 HTTP/1.1" 502 564 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:25:58 +0900] "GET http://www.aiesec.or.kr/bbs/view.php?id=Main_board&page=1&sn1=&divpage=1&category=2&sn=off&ss=on&sc=on&select_arrange=hit&desc=desc&no=8 HTTP/1.1" 200 534027 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.226.154 - - [23/Mar/2014:05:26:04 +0900] "GET http://www.mzllock.com/plus/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
192.99.2.75 - - [23/Mar/2014:05:26:38 +0900] "GET http://www.dakarteamholland.nl/index.php?print=1&op=viewpage&page=183&mod_op=add_comment_form&content_id=9&comment_id=8&from=0&from_page=showContent HTTP/1.1" 200 5764 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"

(※ログのほんの一部です)

本来リクエストされたファイル名が出力される部分にhttp://から始まる別ドメインへのURLが出力されているのである。
このログの出力形式について調べたところどうやらproxyサーバーとして稼働した場合に出力されるらしい。。。。
apacheのアクセスログについて 先日、リクエストヘッダが他サイトへのリクエストが…
Apache – proxyを使って人様のアクセスをログする
つまりうちのサーバーが勝手にProxyサーバーとして利用されている?ということみたいだった

しかし、Proxyとして利用する設定にした覚えはないんだけどな~~?っと思いながらapacheの設定を確認すると・・

<IfModule mod_proxy.c>
ProxyRequests On
:

うわ~~!!昔設定していたリバースプロキシの設定が中途半端に残っている!!!
速攻でOFFにしました;;;

P.S
過去のログも組めて調べると11月ごろからちょくちょく中国からProxyサーバーとして使われていました。

IPAが公開しているiLogScannerで解析したところ攻撃と思われるリクエストが3週間ほどで1700件報告されているため
踏み台として利用されていたみたいです。。

iLogScanner

(※該当箇所はすべてProxyアクセスのログでした。)

自分のミスとはいえ改めて不正アクセスの怖さを実感しました。。

2014年1月13日

SoftEther VPN でVPN環境を構築 (SoftEhter VPN Serverトラブル編)

Filed under: ESXi,SoftEtther VPN,VPN,オープンソース — ranpei @ 2:41 AM

VPN Serverの設定が終わったので、
携帯のデザリングを利用して接続確認をしたのですが接続できませんでした。

ポートの設定などを確認しましたが、とくに問題はなく
vpnserver/server_log内のログを確認すると以下の気になる記述が・・・

DHCP サーバーからの IP アドレスの取得に失敗しました。PPP の通信を受諾するためには DHCP サーバ>ーが必要です。仮想 HUB の Ethernet セグメント上で DHCP サーバーが正しく動作しているかどうか確認してください。DHCP サーバーを用意することができない場合は、仮想 HUB の SecureNAT 機能を用いることもできます。

で、調べてみるとSoftEtherVPNのマニュアルから以下の記述を発見
10.3 コンピュータ間VPNの構築 10.3

ここまで来てようやく気付いた・・・
今仮想HubはDHCPサーバーにつながっていない・・・
VPN構成図1

よって、このような構成にする必要があった
VPN構成図2

■OSにブリッジ用Nicの追加
ESXiのVMの設定からNicを1つ追加して以下の設定を行いました。
1.eth1の設定を追加

#vi /etc/sysconfig/network-script/ifcfg-eth1
  ・以下を設定
  BOOTPROTO=none
  ONBOOT=yes
  DEVICE=eth1
  TYPE=Ethernet
  IPV6INIT=no
  IPADDR=0.0.0.0

  :wqで保存

※IPADDRが0.0.0.0であることがミソのようです

2.ネットワークを再起動

#service network restart

エラーなく起動すればOK

■VPN Serverのローカルブリッジを設定する
ローカルブリッジの設定からローカルブリッジを追加します。
設定は割愛。

それでも接続できず・・・・
途方に暮れていたときこちらの記事を発見「[SoftEther VPN] リモートアクセスVPNの設定 (2/4) – NICの追加
なるほど「プロミスキャスモードに対応したLANカード」が必要と、
でEsxiでそれをやるには「無差別モード」を許可すればいいのね・・・

というか、うちと同じような構成で構築しているうえに、手順がわかりやすい・・orz
もっと早くにこの記事にたどり着けていればよかったですね・・・

記事にならって「無差別モード」を許可したネットワークを新たに追加して、
それをブリッジ側のNicに設定したところうまく動作しました。

これでSoftEtherVPNを使ったVPNが構築できました。

« Newer PostsOlder Posts »

Powered by WordPress