VPSの設定(iptables等)
以下参照
ファイアウォールiptablesを簡単解説~初心者でもよくわかる!VPSによるWebサーバー運用講座(4) - さくらのナレッジ
iptables --append INPUT --proto tcp --dport 22 --jump ACCEPT
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP みたいな
iptables -(n)Lで確認
service iptables save ←大事
service iptables restart ←これで完了
Linuxコマンド集 - 【iptables】パケットフィルタリングを設定する:ITpro
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
①データを持たないパケットの接続を破棄する
②SYNflood攻撃と思われる接続を破棄する
③ステルススキャンと思われる接続を破棄する
-m multiport --dportsでポートをまとめて(,や:で)書ける
TCP wrapperについて
/etc/allow、/etc/deny プロセス名:ホスト名(IP) ALL:ALL
tcpdchkコマンドで書式のチェックができる…はず
LPIC 202 sambaサーバ
sambaサーバについて
コンフィグファイル⇒/etc/samba/smb.conf
centOSにはデフォルトで入ってる(入ってなかったらyumで入れる)
workgroup項目にWORKGROUP(windowsのワークグループ名)を入れる
hosts allow項目に許可IPを登録
一番下にシェアするフォルダの情報入力
[Share]# 任意の名前を指定
path = /home/share# 共有フォルダを指定
writable = yes# 書き込み許可
guest ok = yes# ゲストユーザー許可
guest only = yes# 全てゲストとして扱う
create mode = 0777# フルアクセスでファイル作成
directory mode = 0777# フルアクセスでフォルダ作成
pdbedit — SAM データベース (Samba ユーザーのデータベース) を管理する
⇒ sambaユーザ作成 pdbedit -u ユーザ名 -a(追加)
(既存のユーザを使うため、先にuseraddでユーザ作成!)
smbpasswd
⇒ オプションなしでパスワード変更
load printers = no
printing = bsd
printcap name = /dev/null
LPIC 201 バックアップ
フルバックアップ
増分バックアップ
オンサイト(同一拠点) オフサイト(別拠点)
/procやswapはバックアップしない
ローカル
mt -f テープ操作 fsf(早送り) bsf(巻き戻し)
デバイスファイル名 st0(自動巻き戻し) nst0(巻き戻し無し)
ネットワーク経由
rsync コピー元 コピー先 ⇒ ネットワーク経由でデータコピー
-a(-rlptgoD パーミッションやグループを保持したまま) -z(ip) -v(詳細表示) -r(ecurve再帰的) -u(増分?)
rsync -avz ~/dir1 nyakka@remote:/home/nyakka
--delete (送信元で削除したファイルを送信先でも削除)
LPIC 201 ソースからのソフトウェアインストール
gzip(gunzip) 圧縮・(解凍)
bzip2(bunzip2)
-d(解凍) -c(標準出力へ)
tar -zxvf(解凍(bzipはj)、展開、詳細表示、ファイル指定)
こんな書き方もできる gzip -dc example.tar.gz | tar xf - ←-は標準入力からという意味
-c(アーカイブ作成) -t(表示のみで展開しない)
patch -d(ディレクトリ) -p0,1,2(パッチファイル内のパスを削除する階層) -C(テスト) -R(取り消して元に戻す)
patch-kernel ⇒ 大量のパッチを一気に当てることができる
基本、引数無しでカレントディレクトリ内のものに対して作業する
※(make -Cでディレクトリ指定もできる --file=ファイル名でMakefileの指定も可能)
- Makefileの作成 sourceと一緒に取ってきた./configureスクリプト (make generateは逆?)
- make ← コンパイル
- make install ← パスの通った場所へコピー&パーミッション変更
⇒ソフトウェアやコマンドの完成
変更するときはmake cleanしてから再度make
起動時に共有ライブラリに問題が出たら、環境変数LD_LIBRARY_PATHを編集する必要があったりする
LPIC 201 ネットワーク関連
ネットワーク系コマンド
●arp -i(nterface) -a(ホスト名表示) -d(ホスト名削除) -n(逆引きしない)
MACとIPの解決 ブロードキャストを使う
arp -f ファイル ←ファイルの内容をキャッシュに追加(デフォルト/etc/ethers)
(ip neigh show)でも確認できる
●ifconfig
IPv6 ⇒ ifconfig eth0 inet6 add(del)
●ip オプション 操作対象 コマンド デバイス
-s(tatus) -r(esolve?名前解決して表示) -f inet/inet6(プロトコルファミリを指定)
link、addr、route、neigh
show、add
ip addr show eth0 や ip -s link show eth0
無線
WEP ⇒ RC4 古い
WPA ⇒ いくつかの技術の組み合わせ TKIPやAES
iwconfig essid key
iwlist
iwspy
●ping -b(roadcast) →DUP! 重複した回答 基本はブロードキャストあては不可
net.ipv4.icmp_echo_ignore_broadcast=
●route (表示) -n() -F(カーネルのテーブル) -C(カーネルのキャッシュ)
⇒ルーティング表示と設定
route add(del) -host(-net) IPアドレス
route add default gw IPアドレス デフォルトゲートウェイ用
●nmap スキャンタイプ オプション 対象
⇒ネットワークの調査やポートスキャン
スキャンタイプ ⇒ -sT(,U,P)それぞれTCP,UDP,Pingのスキャン
オプション ⇒ -p(ort) -F(有名ポート) -O(OS識別)
⇒様々な情報
-n(※ポートも数字で) -a(ll) -c(毎秒) -i(統計) -r(oute) -l(isten)
●tcpdump host(port) tcp(udp,icmp,arp) src(dst)
⇒パケットキャプチャ
-i(nterface) -n() -X(16進数とASCII形式の表で出力)
●nslookup
マルチホーム接続 ⇒ 1つのホスト名に複数のIP
●hostname -f(QDN) -d(omein) -i(p) -a(lias)
ネットワーク関連ファイル
/etc/hostsファイル (IPアドレスとホスト名の名前解決用)
IPアドレス ホスト名 [ホスト名…]
/etc/networksファイル (nwアドレスとネットワーク名の名前解決用)
ネットワーク名 nwアドレス
ネットワーク全体の設定ファイル
RHEL ⇒ /etc/sysconfig/network (NETWORKING=や_IPV6=、HOSTNAME=等)
Debian ⇒ /etc/network/interfaces ()
/etc/hostname
/etc/nsswitch.conf
ホスト名以外にもパスワードなど、名前解決の方法及び優先順位を設定するファイル
passwd: db files nisplus nis
hosts: files dns など
TCPラッパー
/etc/hosts.allow
/etc/hosts.deny
サービス名:ホスト名(IP):ALLOW(DENY)
※DENYが使えるのでhosts.allowだけでも問題なし
IP指定方法は192.168.10. や192.168.10.0/255.255.255.0