サーバー

Percona Server 5.7でrootのパスワードが分からない「Error: Access denied for user ‘root’@’localhost’ (using password: YES)」

Percona Server 5.7 でインストール後、起動してmysql_secure_installationを実行すると いきなりrootのパスワードを求められた。 公式ドキュメントを見てみると /var/log/mysqld.logに一時的なパスワードあるから! ということでこれを使ってmysql_secure_installationを行うらしいです。 [crayon-5b2888d348723098975183/]

virt-install の引数が覚えられないから対話式スクリプト作った

virt-install の引数、–os-variant で書ける内容とか覚えてますか? [crayon-5b2888d348a09266887507/] 覚えられねえ!!     virtInstall-prompt 自己満足スクリプトです。 そもそもCUIからVM作ることってそうそうないと思うんですよね。 でも僕はCUIからします。 virt-install にも --prompt というオプションがあって対話式がサポートされていますが サポートされてないようです。 > WARNING --prompt mode is no longer supported. virtInstall-prompt – https://github.com/rluisr/virtInstall-prompt このスクリプトはただ対話式で得られた値をそのままvirt-intallに渡してるだけなんですけどね。 割りと便利なような気がする。 エラーハンドリングは一切してないですw

起動中のKVMゲストを一括でシャットダウンするスクリプト

あるのかな〜て探してたら日本語のブログで見つかった。 forで回さずxargs使えばいいんじゃね?ってことで 紹介します。   /usr/local/bin とかにおけば shutdown-vmsで全てのVMが落とせる。 地味に便利。

激安10G NIC – Mellanox ConnectX-2 on CentOS 7でSR-IOVを使う

覚書っていうのと、ConnectX/ConnectX-2でのSR-IOV有効化の情報が少なすぎるのでまとめてみます。 ドライバーのインストール方法などはMellanoxの公式サイトからダウンロードすれば何となく分かると思います。     Canon IXY 430F (4.3mm, f/2.7, 1/20 sec, ISO1000) ちょっと前に10G NICを買いまいた。Mellanox ConnectX-2 EN というやつです。 中古で1枚3,000円ぐらいで買えます。安い! Single-Port 10G(SFP+)が使えます。 他にも仮想支援と言う名のSR-IOVという機能、その他諸々あります。 今回はSR-IOVの有効化を覚書で書き残します?     SR-IOV とは IIJさんが詳しく解説しています。 OpenStack環境でのSR-IOV活用法 – IIJ hypervisor(VMM)が処理していた要求を、NICに直接やらせて ネイティブに近いパフォーマンスを出そうといった感じです。     SR-IOV の利用条件 ・VT-x 対応のCPUとマザーボード ・SR-IOV 対応のNIC の2つが絶対条件     SR-IOVの有効化 ドライバーはCentOS7(多分CentOS5も)で標準で入ってますが このままではSR-IOVが有効化できない(Mellanoxのツール郡が入ってない)ので OFED版をインストールしてください。 [crayon-5b2888d348b2b520347251/] [crayon-5b2888d348b33764605196/] [crayon-5b2888d348b36139857072/] [crayon-5b2888d348b38616351630/] [crayon-5b2888d348b39776516788/] [crayon-5b2888d348b3b270633690/] [crayon-5b2888d348b3d791887633/] total_vfs NICで作成可能な最大VF数 ファームウェアのバージョンによって最大数が変わる。 ConnectX/ConnectX-2の最新ファームウェアでは63が最大 実際に作成するVF数に関わらずここで設定したVF数分のMMIO領域が確保される。 BIOSによっては最大が6ぐらいだったりする。(今回使用したPCが6 GA-X58-UD3R) MMIO領域が足りないと not enough MMIO resources for SR-IOV とdmesgに吐き出されてSR-IOVが無効になります。   port_type_array 1= InfiniBand, 2 = Ethernet   num_vfs 実際に作成するVF数 もちろん total_vfs > num_vfs じゃないとエラーになります。   probe_vf 良くわかってない…。 Mellanoxフォーラムには probe_vf – is the number of VF to be probed in the hypervisor. Probed in the hypervisor means that the VF will also have interface in the hypervisor (e.g. can be seen using the…

ownCloudとCloudFlare環境で構築をするとログインができなくなる現象 – Content Security Policy

さっき自車校の卒検が終わりました。 結果が発表される前に不合格という結果を教えていただきました。 納得がいかない長谷川です。こんにちは。 前回に続き、またCSP(Content Security Policy)のことで申し訳ないです。 ただ僕と同じような環境で困っている人は絶対いると思うので記事にしたいと思います。     症状 ownCloudのログインページが正常に表示されるもログインボタンを押しても全く反応がありません。 上記画像のようなエラーです。 [crayon-5b2888d348cbc164875616/] セキュリティの概念から Content Security Policy に反したのでインラインスクリプトの実行を拒否しました。っていう感じです(多分) じゃあヘッダーに書き加えればいいじゃんっていうことになるのですがどうもこのポリシーを書き換えてもダメなようです。(理由は分からない)     CloudFlare – Rocket Loader とは Rocket Loader は非同期のJavaScriptをまとめて仮想のブラウザでロードした後、うんたらかんたら…。 ロード時間が大幅に短縮されます。どういった原理かはよく分かりませんが。 どういった動きをするのか全く分かりませんがJavaScriptを呼び出す部分で書き換えを行っていたりします。 What does Rocket Loader do?       対処 CloudFlare の Rocket Loader を off にするだけです。 HTMLタグが書き換えられることによって Content Security Policy が機能しないのかなと思います。(間違ってる恐れ大アリ) これで正常にログインができるようになりました。     ownCloudはファイル側に Content Security Policy が設定されているので別途 nginx などで設定する必要性はないようですね。

WordPressで記事新規追加時にレイアウトが崩れたりした時の対処法 Refused to apply inline style because it violates the following Content Security Policy directive

お久しぶりな記事 この夏はインターンに参加したり、今は静岡で合宿免許に来てます。 平日の休みと言えば三日間ぐらいしかありませんでしたが毎日充実してます。(家帰りてえ・・・)   合宿免許で暇だったので記事を書こうと思ってWordpressの新規追加をクリックしたところ テキストボックスは表示されるもそれ以外は適当に表示されていて頭を抱えました。 そんなときに便利なデベロッパーツールを使うとこんなエラーが! Refused to apply inline style because it violates the following Content Security Policy directive ~~~ エラーログにも書かれているように Content Security Policy を適切に設定しろってことですね。 ブラウザのセキュリティの一環でXSS対策、クリックジャッキング対策ができます。 ただもちろん弊害もあって、インラインのコードが実行されなくなります。 詳しくは知らないのでこちらのサイトが参考になるかと思います。   対処 アクセス制御を行う値をヘッダーに載せます。 nginxでの設定を記述しますがApacheでもできます。 /etc/nginx/conf.d/.confのserver {}に以下を記述します。 [crayon-5b2888d348d59857734897/] 見にくいですけどとりあえずこのまんまコピペすればいいと思います。 値の意味に関してはこちらのサイトが参考になります。   これでnginxを再起動してヘッダーを見ると変わっている箇所があると思います。 このContent-Security-Policyにあるサイトからのファイルは展開されるようになります。 Content-Security-Policy, X-XSS-Protection, X-Frame-OptionsとかWebサイトを公開する人は知っておかないとダメですね…徒歩歩

家のネットワーク網のセキュリティを上げるために【WatchGuard Firebox XTM23】を買ってみた。

今日暑すぎる。エアコンついてるのに熱中症手前まで来た。 そんなこんなんで今回はセキュリティ製品で有名なWatchGuard社のFireboxシリーズ XTM23 seriesを買ってみた。 いわゆるファイアウォールです。     Canon IXY 430F (4.3mm, f/2.7, 1/30 sec, ISO320) この赤いやつが今回購入したFirebox XTM23です。 グレードとしては下から数えたほうが早いくらいなモデルです。 LANポートも少ないのでSOHOとか小さい会社向けの製品なのかなって感じです。 そもそもSOHOとか小さい会社がこういった製品を導入するのかが謎ですが。     Canon IXY 430F (4.3mm, f/2.7, 1/30 sec, ISO320) 裏面はこんな感じ。 10 x 100Mbps – 3port 10 x 100 x 1000Mbps – 3port といった感じ。 詳しい仕様はこちらにあります。     ネットワーク構成はこうなりました。 相変わらずデスクトップはレイテンシを考えてモデム直結としてます。意味があるのか分かりませんが少なからず効果はあるでしょう。     ちなみに設定ツールがWindowsに用意されていて日本語でそこそこ翻訳もされています。 WatchGuard.jp が日本語でドキュメントを作成しているので設定に困ることは無さそう。     ポートの開放なんかもWindowsからもGUIでできます。 大まかな設定はここからできます。VPNも設定が豊富です。     ログの記録もsyslogで飛ばせたりできます。     ちなみにこういったセキュリティ製品にはライセンスという概念があるわけですが ほとんど期限切れで使えません!!!!!!!!!!!!!!!!!!! Firmwareのアップグレードもできません!!!!!!!!     まあさすがにただのポートスキャンぐらいだったら防げる。 これがSYNになるとどうなんでしょうかね…。   正直買ってよかったとは思いますがライセンスがものによっては1年間で4万ぐらいするのでこのまま買わずになりそうです。 次はFortigateかな~といった所存。

SSHに成功するとSlackに通知するシェルスクリプト

僕は一々面倒なのでSSHに関しては鍵認証でもなければポートは22のままで運用しています。 そうなると毎日のようにSSHのブルートフォースアタックがくるわけですが万が一、ログインされた時に通知されるようにシェルスクリプトを”初めて”書いてみました。     設置の仕方 /home/user/.ssh の中に rc というファイル名で保存して chmod +x rc ね?簡単でしょ? Qiitaにも似たようなのがあるけどあれはログイン時に文字列が出力されちゃってるし、見た目もこっちのほうがいいでしょ?♥