2011-09-30

FreeBSD ports/packagesで導入したパッケージの脆弱性をチェックする。ついでにjailも。

freebsd

FreeBSD Ports/Packagesの脆弱性をチェックするには、ports-mgmt以下にある、portauditと呼ばれるツールを使用すると良い。

# portaudit -Fda

脆弱性のあるパッケージの情報を取得し、表示する。これを導入すると、/usr/local/etc/periodic/security/410.jailauditというファイルが作成され、毎日送られてくるシステムレポートのメールに結果が記されるようになる。

さて、ここでjailを利用している場合、各ホストでjailauditを導入するのは手間であるので、可能ならばホストで実行したい。この場合はjailauditを用いれば良い。jailauditを導入すると、ホスト環境から各jail環境でportauditを実行しその結果を取得できるようになる。
portsから導入した後、以下のようにして利用できる：

# jailaudit generate ← データベースを作成
# jailaudit mail - ALL ← 全てのホスト(ALL)に対して実行し、結果は標準出力に表示(-)

これを毎日実行したい場合は、以下を/etc/periodic.confに追記(無い場合は作成)する:

daily_status_security_jailaudit_enable="YES"

これでデイリーのシステムレポートメールに書かれるようになる。

2011-08-21

afp(netatalk)サーバにインターネット越しに接続する

mac

$USERにユーザ名、$SERVERにサーバアドレスを指定。

$ ssh -l $USER $SERVER -L 10548:127.0.0.1:548 sleep 3000

次に、Finderの[移動]->[サーバへ接続]
サーバアドレスを「afp://127.0.0.1:10548」として接続を行う。万歳ポートフォワーディング！

……ssh越しのafp超重い。

2011-08-09

Linux KVMでPT2パススルーは茨の道(未解決)

linux

このエントリは未解決事件を取り扱っています。解決策をお求めの方は、一緒に謎解きしましょう。もし、有益な情報を持っていたらご連絡お願いします。

やりたいこと

ゲストOSにPCIパススルーしてPT2環境を隔離したい！

材料

ハードウェア
- vt-d対応マシン(ML110G6 Xeon版)
- PT2
- ICカードリーダ(NTT-ME SCR3310-NTTCom)
ソフトウェア
- ホストOS
  - Debian Squeeze 64bit
  - qemu-kvm-0.14.1
  - Linux Vanilla Kernel 2.6.39.4
- ゲストOS: Debian Squeeze 32bit
  - recpt1 chardev版(ココの最新版、手を加えていないモノ)

2011-08-07

libvirtで、仮想マシンごとに利用するエミュレータ(qemu)を変更する

linux kvm

libvirtを用いたvirshを管理ツールと利用した仮想環境を運用していて、kvmのバグかもしれない挙動に遭遇したとき、エミュレータであるqemuのバイナリを変更したいときがある。
ここでは、libvirtの設定ファイルを書き換え、仮想マシンごとにエミュレータ、つまりqemuのバイナリを指定する方法を章秋する。これにより、最新版のqemuを検証しながら、同一のホストで安定版のqemuを利用することが可能になる。

2011-07-27

ソフトウェアルータ触ってみている件。vyattaとpfsenseを比較して。

network

ちょっと触ってみたのは、Linuxベースで近頃話題のvyattaと、FreeBSDベースのpfsense。

2011-05-28

sshの鍵認証の設定

unix

sshサーバでパスワード認証を許可していると、非常に危険である。踏み台にされたりして、被害者ではなく加害者になる恐れもある。
パスワード認証を行うには、sshdの設定、sshd_configを編集し、以下のような設定にしてやればよい。

PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

この三つの設定のうち、上の一つを設定するだけで鍵認証は有効になる。しかし、一番下の設定を有効にしておかないと、鍵認証が失敗した際にPAM認証によってパスワードでログインできてしまう。これでは意味が無いので、Offにしておく。
なお、上から二番目は空パスワードを許可しない、というもの。念のために設定してある。

後は、各ユーザのホームディレクトリ以下の.ssh/ディレクトリにある、authorized_keysに公開鍵を追記すれば良い。なお、この公開鍵が存在しなければ作成する。

$ cat mykey.pub >> ~/.ssh/authorized_keys

2011-05-25

macでホスト名固定 -- snow leopard

mac

macでは、接続するネットワークによってホスト名が変化してしまう。マシン名を指定しても、これは変わらない。
以前は/etc/hostconfigを編集していたのだが、こちらはそろそろ消え去る運命のようだ*1。
では、何を使ったらいいのか、ということだが、scutilコマンドを利用すれば良い。
ホスト名が変わってしまうと発生してしまう問題としては、Time Machineなどが挙げられる。Time Machineは、ホスト名が変わると異なるバックアップを作ってしまうからだ。遠隔地などからバックアップを行う際には、ホスト名を固定しておいた方が良いだろう。

具体的な利用方法

[ホスト名]には、指定したいホスト名を入れる。

$ sudo scutil --set HostName [ホスト名].local
$ sudo scutil --set LocalHostName [ホスト名]

これで、ホスト名が固定される。

参考

*1:Snow Leopardで消え去るという話があったようだが、未だに残っている