▲ PC LABO Menu
■ ADSL・VineLinux 関連日記 ■
※ 上の方が日付が新しいです。
※ 日を追うにつれ無意味に長くなってますね… (;TДT)
目次
2001/10/13(土)--- SSHアクセス成功 / FTPサーバ公開
SSHでリモートアクセスできました。
途中でハマりましたが(爆)
手順としては以下のような感じだったんですが。
- Linux機で、アクセスしたいユーザ名でlogin。
- ssh-keygenと打ちこむ。
- 保存する場所(ファイル名)を聞いてくるのでそのままEnter。(デフォルトにしときました)
- パスフレーズを聞いてくるので長々と打ちこむ。(短いとヤバイらしいです…ってことなんだよね? たぶん)
- ~/.ssh/の中に、そのユーザの identity(秘密鍵) と identity.pub(公開鍵) のファイルが出来る。
- identityをWindowsにコピー。(今回は試しにFloppyDiskを利用して移してみた。)
- TeraTermProを立ち上げ、接続のサービスでSSHを選択して、目的のマシンへアクセス。
…だったんですがねぇ…
SSH認証の際、「plain/textを使う」なら、アクセスできるんですよ。
(このやり方の場合、先ほどコピーしてきた identity ファイルは使わないで済むみたい。)
ところが、「RSA鍵を使う」で、identityファイルを指定すると…
認証に失敗しました、と言われる。
パスフレーズをわざと間違えて入力してみると、
「そのパスフレーズでは復号できない」
と言われるんで、identityの中身がおかしいわけではないみたい。
…結局
ココで書かれてるのと同じミスをしてました。
- ~/.ssh/idntity.pub を ~/.ssh/authorized_keys にリネームしてなかった。
- パーミッション設定がおかしかった。~/.ssh は744。~/.ssh/authorized_keys は644。~/.ssh/identity は600。
で、ようやくSSHもバッチリ、みたいです。
バッチリなので、telnetは止めちゃいます。
rootになって、 /etc/inetd.conf の中の、telnetうんぬんの行の頭に#をつけてコメント化。
再起動して、WindowsのTeraTermProから、telnetでアクセスできないことを確認して、作業終了。
あ。
FloppyDiskへのidentityのコピーは、mtoolsとやらを使いました。
mdir a: で、FDの中が見れて、 mcopy identity a: でコピー、だったと思います。
FTPサーバ、公開しました。
公開と言っても…
ユーザアカウントとパスワードが無いと利用できませんけど(爆)
(anonymousで覗くことは出来るけど、中にはテスト用のテキストファイルしか無いです (T▽T) )
利用してみたい方はメールください。バシバシアカウントを用意しますです。
動作確認で、Y氏に協力を仰いだんですが、氏の手をかなり煩わせてしまいました…
ホストのアドレスを間違えて伝えてしまったり、FTPクライアント側でPORTモードとPASVモードを切替えてもらったり…
でも、お蔭様で、無事動作してることが判明です。
氏には感謝、大感謝です〜 (´▽`)
で。
どうやらPASVモードでないとアクセスできないみたいなのでした。
PORTモードだと、loginは成功するものの、ファイル一覧表示で固まってしまうようです。
FTPの場合、ルータを介する場合はPASVモードじゃないと不具合が起きる、なんて話を聞いた事があるんで…
もしかして、それなんでしょうか? (・_・?)
で、ちょこっとそのへん調べて始めたら…
どうやら自分、色々とトンデモな勘違い・思い込みをしてるようです。
「FTPは、ルータで、TCP 20番、21番だけ開けておけばいい」とか、
「PASVモードは、ルータで、TCP 21番だけ開けておけばいい」とか…
そのへん、私の勝手な思い込み。大嘘です(たぶん)
なんか全然想像してたのと違うみたいで。
FTPの仕組みについて、もっと根本的なところから勉強しないとダメですね (;´Д`)
でないと、何故にPASVモードじゃないとダメなのか、理解できそうにない感じです。
FTPの理解うんぬんはともかく、残る作業は…
- ログを適度に分割して、保存する設定にする。logrotateとやらを使うみたい。
- Nimdaからのアクセスがうっとおしいので、それらはlogに記録しないよう、httpd.confを設定する。
- 現在設置してるBBSは、表示が重い上に、記録件数を超えるとアップしたファイルが同番号のファイル名で上書きされてく=バックアップが取りづらそう。代わりに、imgboard.cgiを設置してみたい。
- ダイナミックDNSの登録を、一定時間毎にチェック・登録できるような方法を見つける。
ぐらいでしょうか。そこまでやれば、一段落かな。
4だけ、ちょっと先行き不透明ですけど。
他のは大体どこかで情報を目にしてるんで、たぶんサクッとできる…
…といいなぁ… (´-`).。oO
2001/10/12(金)--- GNOME+sawfishの不具合 / suの制限
Linux機で、GNOME+sawfish使って作業してたんですが。
なんだか不具合が。
画面の上の方にメニューパネルが存在するんですが…
startxでGNOME起動するたび、画面の真中に表示されちゃうんですよ。
しかも、起動を繰り返すと、どんどん下へと位置がずれていく。なんでやねん。
Win9xのタスクバーみたいに位置を変えられないか…
などとタコ初心者らしくドラッグしてみても…
そもそもそのメニューパネルとやらは位置を変えられる類のものじゃないみたいで。
試しに、そのメニューパネルを強制終了。
(メニューパネルの上でポップアップメニューを出して「強制終了」を選択)
GNOMEを再起動したら…
今度は、画面下にあったはずのパネルが、真中に表示されてしまった(泣
まあ、まだそちらのパネルは、パネルのプロパティを弄ればすぐ元の位置に戻るんで、メニューパネルよりマシなんですが。
結局、原因・対策がわからず。
VineデフォルトのWindowMakerに戻しちゃいました (T_T)
一体何が起きてるのか。設定ファイルが壊れてるのかな。
ていうか、そもそもそのへんの設定ファイルってどれなんだろう。
もしかして…ファイルが壊れてるとしたら…
以前「コッカガカガカ」とか怪しい音を立ててくれやがったHDDへインストールしてしまったのが不味かったのかしら。HDDの寿命とか。
あーでも、Winで言うところのscandiskって、Linuxではどうやればいいんだろう (・_・?)
ちなみに、/home(ユーザ別のファイルが格納されるディレクトリ)は、別の真っ当な(?)HDDに割り振ってます。
皆さんがカキコ・アップしたデータは、/home以下に格納されますので、
万が一、Linux本体が格納されてるHDDがお亡くなりになっても、/home以下のファイルは無事なはず。
安心してください (´ー`)
もっとも、どんなHDDでも、何の前触れもなく突然お亡くなりになる可能性は充分あり得ますけど…
そういう事態を考えると、RAID(ミラーリング)って明らかに効果がありますよね。
本格的(?)なサーバ設置をするのであれば、必須なんだろうな。
Linuxって、
SoftwareでRAIDができるみたいだし。(という認識でいいのかな?)
ハード資源がもしあれば、試してみたいところではあります。
suを使えるユーザを制限してみたりしてました。
suってのは、たしか Super Userの略だったかな…
(他にも、Switch Userとか、Substitute Userとか、諸説あるらしい)
一般ユーザが、rootユーザ(管理者)になったり、他のユーザになったりできるコマンドです。
もちろんその際、それぞれのユーザのパスワード入力を求められますけど。
例えばtelnetなどは、セキュリティを考慮し、rootでloginすることが出来なくなってます。
(Vineの場合、デフォルトで /etc/securetty がそのように設定してあるみたい)
では、リモートアクセスで、管理者権限が必要な作業をしなきゃいけない場合にどうするか。
その場合は、一般ユーザでloginした後、suでrootになって作業をします。
ですが、仮にrootのパスワードが悪意あるユーザに漏れてしまったら…
どんな一般ユーザでもsuでrootになれちゃう。やり放題。それはマズそう。
そこで、特定のユーザしかsuでrootになれない設定にします。
これで多少はセキュリティが増す…らしいです。
実際の設定としては
こんな感じです。
/etc/login.dfs
/etc/pam.d/su
/etc/group
に設定するみたいですね。
でも、自分の場合、/etc/login.dfs に SU_WHEEL_ONLY yes って書いてないけど制限できてるみたい。
実際、Vineのサイトでは、
それに関しての記述は無いみたいだし。
もしかすると、Vineのデフォルトで、色々やってくれてる…ってことなんですかね (・_・?)
関係無いけど、このへんの情報探してると、面白い文献?を目にしたりしますね。
例えば、それら対策を打っておくことで、「会社を首になった元社員が、腹いせに何かしようとしても防御できる」とか書いてあったり。
どこにでもクラッキングされる機会は転がってるから決して油断するなよ…ってことなんでしょうけど (;^_^A
2001/10/11(木)--- WindowsでSSH / Vine起動時のUSB関係エラー
とうとうこのページのタイトルを変えてしまいました (^^;
本当は、ADSL/VineLinuxでページを分けようと試みたんですが…
流れ的に、サーバを設置し始めたあたりから、分離するとわけわからなくなりそうで。
そもそもメモ代わりみたいなものだから、そのへん気にしても意味は無いんですが。
かえって1ページにまとまってるほうが、後から見るとき、検索しやすいかもしれないしなぁ…
WindowsでSSHを使う方法ですが。
どうも、
TeraTermPro +
TTSSH ってのが主流?らしいですね。
(参考ページ)
一応、設定ダイアログ等が日本語化された、TeraTermPro、TTSSHもあるらしく。
TeraTermProの日本語化版は、
「TeraTermPro本家ページ」から辿れます。
TTSSHの日本語化版は、その
「TeraTermPro日本語化版のページ」から更に辿れます。
どちらも、本家との差分ファイルしか入ってないので、本家も必要です>日本語化版
自分の場合、本家と共に、それら日本語化版もDL・インストールしてみました。
んで。
TeraTermProを起動。
ひとまず、接続で「telnet」を選択。
Win機からLinux機へ、loginできることを確認しました。
ちなみに、TeraTermProの漢字設定をEUCにしておけば、ちゃんと漢字で各種メッセージが出てきます。
うーむ、いい
漢字感じ。
一応Win98にもtelnetは入ってますので、動作確認だけならそちらで充分なんですが。
(MS-DOSプロンプトを開いて、telnet[Enter]で起動)
ただ、Winに標準で入ってるtelnetはオマケみたいなモノですし。
今日はここまで。
まだLinux機のほうでは必要な作業をしてませんです (^^;
VineLinuxの起動時に出てるUSB関係のエラーメッセージですが。
どうも、非Intel製チップセット対応のUSB関連モジュールの模様です。
二つあるみたいですね。USB関連モジュール。(モジュールって呼んでいいのかな?)
Intel製チップセット用と、非Intel製チップセット用。
自分のは、430TX=Intel製チップセットです。
だから、非Intel製用のは [FAIL] になって当然というか。
でもこれ消せないのかな…
というか、消してないけど不具合起きないんだろうか。
そもそも自分の環境では、USBは使えないし。
一応、430TXはUSBに対応し始めたチップセットということになってますけど…
Vineを動かしてるM/B、Tyan 1573S は、基板上にUSB用のピンが申し訳程度についてまして。
その端子に線を繋いで、なんとか外部へ引き摺り出さない限り、チップセット自体の持つUSB機能は利用できない…
しかし、その接続するパーツ、当時購入しなかった。現在では入手不可能。
つまりこの環境では存在しないも同然なんです >USB
あの頃、まだUSBは先行き不透明でしたからねぇ…
あちこちで不具合報告しか聞いてなかった。
まさかこれほどメジャーなI/Fになるとは思ってもみなかったですよ。
まあ、特に不具合が無ければこのままでいいか <モノグサ
2001/10/10(水)--- SAMBAとProFTPDとApache
なんか「部屋とYシャツと私」みたいな今日のタイトルですね <そうか?
Linux機、Webサーバとして公開できてるみたいです。
動作確認してくれたY氏に感謝です〜 (´▽`)
さて、サーバをメインPCと分離できた…もうサーバ機はほったらかしでOK。
心置きなくメインPC…Win機でエロ画像がガンガン見れる!ってなんじゃそりゃ!!
や、結構落ちるんですよ。画像見るだけで。シャレにならない。
特にSusieがヤバイ。
「あふ」から、Susieのカタログファイルを指定して実行すると…
→ 高い確率でエクスプローラが落ちる
→ タスクトレイ消滅
→ 常駐ソフトが終了できない
→ Winを終了しようとすると「プログラムがまだ動いてる」と言ってきて終了できない…
(Ctrl+Alt+Delでメニュー開いて、事前に常駐ソフトを強制終了して難を逃れてますけど)
常駐ソフトの類は、タスクトレイ以外からも無事に終了できる方法を用意しておいて欲しいものです…
つか、エクスプローラがOSと絡み合ってるのがそもそもの問題点だけど…
つか、そもそもエロ画像見てる場合じゃないだろ >俺
今日は色々やってました。
SMABA、ProFTPD、Apacheの設定あたりを。
Webサーバとは関係無いけど、
SAMBAを設定してみたり。
やはりWin機から手軽(?)にファイルをやり取りしたいんで。
本来、Webブラウザ等から
SWATで簡単設定できるはずなんですが。
これが動かない。
原因は、VinLinuxのドキュメントのFAQにも書いてありますが、
/etc/hosts が、
1行目 127.0.0.1 localhost.localdomain localhost
2行目 192.168.0.5 hoge.fuga.org hoge
となってなかったからでした。
ってさらりと書いてますけど、ここに辿りつくまで一苦労。タコです。
あと、アクセスできるIPを、192.168.x で制限したり。
LAN外からのアクセスにまで門戸を開く意味はないだろうから。
もっとも、何らかの手段で外部から「俺は192.168.x.xのIPだぞ」とか言われたらダメなんでしょうね。
あるいはLAN内のPCを踏み台にしてアクセスとか…
不安なのは、SAMBAに関して、パスワードを暗号化せずやり取りする設定にしてあることです。
なぜかというと、自分の手持ちのPCのうち、旧PC-9821に入ってるのがWin95でして。
Win95OSR2以降は暗号化パスワードをやり取りできるようですが(SAMBAの方でも対応済み)、Win95無印はそうなってない。
彼だけ仲間はずれ(他のPCとアクセスできず)にするのは忍びなく…
FTPの設定もやってました。
VineLinux 2.1.5には、
ProFTPDってFTPデーモンが使われてるようです。
/etc/proftpd.conf が設定ファイル。
これを修正して…
と言っても、実はインストールされたデフォルト設定のままでほぼOKでした(爆)
親切(?)にも、anonymousFTPまで有効になってるみたいです。
ProFTPD、便利そうです。
以前、別のFTPD(何使ったか忘れた)の設定した時は苦労したんですが。
今回全く苦労無し。
例えば、
「ユーザにホームディレクトリ(~/)より上の階層を見せたく無い」
場合とか。
自分が以前利用したFTPDは、そういう設定にすると、同時に、ユーザはファイル一覧すら見れなくなりました。
一覧を見るためのコマンドすら呼び出せなくなるから…らしいんですけど。
そこで、最低限のコマンドを使えるよう、ユーザのアクセスできるディレクトリ(~/以下)に、/bin/〜などを別途用意しなきゃいけないらしく。
…面倒臭いですよね。その分HDD容量も食うし。
ProFTPDの場合、ProFTPDだけで、
最低限FTPに必要なコマンドが使えるみたいで。
たった1行、proftpd.confの中に、
DefaultRoot ~
と書いてさえいればOK。簡単すぎるぅ (T▽T)
Webサーバである、
Apacheの設定もしてました。
/etc/httpd/conf/httpd.conf というファイルを修正して設定します。
で、これがハマった…
cgiが動きやがらないのでございますですよ。
半日ほどジタバタして、ようやく動くようになりました。
以下の点でハマってたようです。
1.簡単なテスト用cgiすら動かない
テスト用スクリプトを、Win機からFTPで転送してたのですが…
なんと binary mode でせっせと送ってました(爆)
おそらく改行コードが違ってて、Perlがcgiスクリプトを動かせなかったのでしょう。
あまりにアホらしいミス。
2./cgi-bin/ 以下のディレクトリ中の画像ファイルなどが読めない
ユーザの ~/cgi-bin/以下なら読めるのです。例えば、
http://localhost/~blackwater/cgi-bin/imgdata/5.png
なんてブラウザのURL欄に打ちこむとちゃんと読める(画像が表示される)。
でも、
http://localhost/cgi-bin/imgdata/5.png
はダメ。
どうも、/var/log/httpd/error.log に残るApacheのエラーログを見る限り、「権限がない」と言われてる模様。
結局、httpd.confの、
ScriptAlias /cgi-bin/ /home/httpd/cgi-bin/
の記述が良くなかったようです。
この記述があると、
http://localhost/cgi-bin/imgdata/5.png
の場合、
「cgi-bin/以下のファイルは、全て実行できるファイルだ。
5.pngファイルを動かせ! 実行しろ!」
とApacheが思っちゃうみたい。
実行しようとしてるから、
「実行する権限はあなたにはない=権限がない」
と言ってくるらしいです。
ファイルのパーミッションでotherに実行権限与えてもダメです。
画像ファイルを実行できるはずないですから。
この場合、
ScriptAlias /cgi-bin/ /home/httpd/cgi-bin/
を、
Alias /cgi-bin/ /home/httpd/cgi-bin/
と書き換え、
また、
AddHandler cgi-script .cgi
(あるいは AddHandler cgi-script .cgi .pl とか)
を追加します。(コメントアウトされてたらそれを外す)
(参考ページ)
そんな感じでようやく動くようになりました。ヤレヤレ。
現在、telnetを使わず
SSHでリモートアクセスできないかな、などと調べてます。
telnetだと、パスワードをそのまま送ったりするらしいんですが、SSH(OpenSSH)を使うとそのあたりも暗号化されるんでセキュリティ面が増すらしく。
ひとまずそこまでやったら、ftpも公開してみようかなと。
まあ…
ウチの環境ではルータを使ってますから、綿密にやらなくてもいいかもですけど。
21,20番(ftp)と、80番(http)以外のポートからの外部アクセスはルータが無視してくれるので。(…のはず)
でも、一応、手を打てそうなところは打っておきたい…
一番怖いのは自分のPCのHDDがグチャグチャにされることじゃなく…
踏み台にされ、外部への攻撃手段に使われる・こちらが加害者になることなので。
やれることはやっておきたいと思うのであります。勉強にもなるし。
ちなみに…
なぜ手元にLinux機があるのに、わざわざリモートアクセスしたいかというと…
単にモニタが不調なせいでして。
「モニタ表示をWin機とLinux機で切りかえるたびに、
モニタ画面がSTAR WARS状態になっちゃうから」
なのですよ…(T▽T)
2001/10/08(月)--- userとgroup その1
ずーっとLinuxのドキュメント読んでました。Linuxの画面で。
Windowsの画面、なんか新鮮…
更に、サブPCのキーボードが
小さくて薄いヤツでして。
それをずっと触ってたもんだから、メインPCの、フツーのキーボードを叩いたら妙な違和感…
アハ〜ン、キーが深く押しこまれちゃうの〜、みたいな。
サブPCのキーボード、取り替えようかな。
作業効率(?)が明らかに落ちるし >小さいキーボード
それともメインPCからtelnetで入って作業してみようか。
でも、余計な作業するとWinが落ちそうで怖い。
そういや、セキュリティを考えると、最終的にはtelnetも止めなきゃ、なんでしょうね。たぶん。
しかし…今日やったことと言えば…
RPMでいくつかモジュールをアップデートしたのと、
viの使い方を覚えたことぐらいでしょうか。
進捗、ないですね。
外部の方も利用できるアカウントを作ろうと思ったのです。
その為、
ひとまず外部からアクセスするであろうユーザは、特定のgroupにして、
ホームディレクトリも特定のフォルダ下において管理するのがいいかなと…
通常、
useradd minkymomo
などとユーザ追加すると、
/home/minkymomo/
という感じに、
/home下にユーザ名で、ユーザのホームディレクトリが作成されます。
それを、例えば、/home/www/ の下に作りたい…となった時どうするか。
/home/www/minkymomo/ とか
/home/www/pastelyumi/ とか…
そういう管理をしたいなと。
で、そのへん上手く出来る方法はないか、延々と探してたのでした。
一般的なプロバイダなんかじゃ、大抵そういうディレクトリ構成になってるから、きっと何かおいしいやり方があるに違いない、と…
でも結局見つからず、
useradd -g wwwuser -d /home/www/minkymomo minkymomo
といった具合に、毎回、ユーザを追加する度、ホームディレクトリ自体を指定する方法しかわかりませんで。
でも、このやり方でも、簡単なシェルスクリプト(て言うの?)を書けばサクッと作業できるみたい
(参考URL)
なんかこのページ…
「ADSL関連」って言うより「Linux関連」のページになりつつある… (;´Д`)
2001/10/07(日)--- Win→Linuxへファイルを渡したいのだけど…
Linuxのドキュメントを読み漁ってます。
まだ全然、
/etc/httpd/conf/httpd.conf (=Apache(Webサーバ)の設定ファイル)
/etc/proftpd.conf (=proftpd(FTPサーバ)の設定ファイル)
の修正まで行ってません。
VineLinux 2.1.5 のままじゃ、セキュリティホールがあるようで。
いくつかアップデートしなきゃいけないものがあるんですね。
(例えばこれだけあったりする)
で、そのアップデート用の
RPMファイルはDLしてあるんですが。
そのRPMファイル達…Win機(メインPC)の中なのです。
Linux機(サブPC)でDLし直してもいいんだけど…
どうせなら、今後の為にもWin機から渡したいじゃないですか。
でもその方法がまだわからなくて。
やり方はいくつかあると思うんです。
方法その1:ftpを使う。
方法その2:SAMBAを使う。
方法その3:Rに焼いてLinux機で読む
…他にもあったら教えてください。
とりあえず、現在そのへんを勉強中なのでした。
お。
試してみたら、ftpで送る事ができましたよ。
proftpdを、デフォルト設定のままで起動しただけなのですけど。
ただ、一般ユーザでアクセスしてるのに、ルートフォルダが見えちゃいますね。
これっていいのかな。良くないですよねぇ (-_-;)
2001/10/06(土)--- 動的IPの問題 / Linuxインストール中
何時の間にかIPが変わってたようで、ウチのサーバにアクセスできなかったようです。
アクセスを試みてた方、申し訳ないです。
今は登録しなおしたので大丈夫のはず…
しかし変ですわ。
ルータは、勝手に切断しないよう設定してたはずですが。
(デフォルトでは、10分間通信が無ければ切断する設定になってる >coregaのルータ)
もしかして…
「電話を使うと切断される」問題だったり?
何にしても、定期的にIPを登録しなおすソフト・スクリプト等を導入しないとアレですね。
探してみないとだなぁ。
サーバと言えばやっぱりUNIX系OSだろう、てことで。
今、サブマシンに VineLinux 2.1.5 をインストールしてます。
VineLinuxのサイトを辿って、ミラーサーバへと。
インストールCDを焼く為の .isoファイルを落としてきたんですが…
(DL時間、2時間半ですよ…以前は3日かかったのに。)
これ、Track-Imageだから、特に名前の設定とかフォルダ階層とか指定しなくても焼けるんですかね?
そういや以前、
Vine入れたときにメモを書いてたっけ…
メモを読み返してみたら、「名前付けはJoliet、フォルダ階層15を指定」と書いてある…
あの…WinCDRでそういう設定は出来ないんですけど…
Jolietにすると、「フォルダ階層は9まで」って言われますが? (;´Д`)
一体どんな魔法を使ったんですか… >過去の自分
ひとまず「ISO9660Level2、フォルダ階層8」に設定して焼いてみましたが…
この設定…やっぱり関係ないのかな…そんな気がするなぁ…
ひとまずインストールは出来ました。
でも、起動時、USB関係でエラーが出てるっぽい。
どうやってこのサービスを削除すればいいんだろう。
それとも放置しといていいのかな。
そういや初めてFIPS使いました。
FIPSってのは、HDDに既に出来てるパーティションを「分割するだけ」のプログラムです。
二つのパーティションを一つにしたりは出来ません。ただ分けるだけ。
ちなみに無料。
なんでこういうのを使うかと言うと…
例えば、一般的なメーカ製PCは、HDDの領域全てをWindows用として割り振ってます。
そこに、Linuxなり、別のOSを入れようとしても、もう空きが無い。
ですから、この手のを使って空きを作り、空いた領域に別のOSを入れる、というわけでして…
(分けた領域を、Windows用に改めて使ってもいいわけですけど。)
ただ、この手のプログラムは怖いところもあって。
間違って、既存のOSが使ってる部分で分割しちゃうと、既存のOS自体動かなくなるかもしれないのですね。
HDDの最後のほうが、明らかに使われてないような状況でないと使えないわけです。
(それはFIPSに限らず、同様の処理をする市販ソフトも基本的には同じ(はず))
今回LinuxをインストールするPCには、既にWin98が入ってました。
全部をLinuxにしても良かったのですが、一応Win98を緊急時用に残そうかなと。
とすると、Win用の無駄な領域は、できるだけLinuxに使わせたい。
そこで、8GBのHDD上で、Win98用の領域を、6GB→3GBにしてみました。
流れとしては、
・Win98でデフラグをかけ、パーティションの頭の方にファイルをまとめる。
(でも、いくつか動かせずに残った部分もあります。幸い、約2GBより後ろは何も無い状態になりましたが。)
・Win98の起動FDにFIPS.EXEをコピー。
・起動FDからWin98(DOS)を立ち上げ、FIPSを実行。
・分割後、念の為にスキャンディスクを実行してエラーがないか調べる。
作業後も、Win98がちゃんとHDDから起動しました。
意外とすんなり。こんなに簡単でいいのかな。
一応FIPSのほうでも、どこから分割できるか(どの範囲が使われてないか)を調べてくれてたっぽい気もしますが。気のせいかな。
さて。
あとはLinuxをバシバシ設定しなきゃ…
2001/10/05(金)--- Webサーバへの攻撃 / ICQのファイル受信成功 / 画像掲示板スゴイ
Apacheのログ見たら、かなりの攻撃がありましたです。
ていうか、ログのほとんどが攻撃で埋め尽くされてるのねん(爆)
win98にwinntフォルダは無いのになぁ…
初心者の方などが上記の文を読むと、
「攻撃されるような悪い事をしてるのか! (`□´)/ 」
などと誤解されそうなんで一応…
攻撃ってのは、今流行の「CodeRedII、III」だか「Nimda」だかのウイルスからのアクセスです(たぶん)。
彼等は、WinNT,2000系にインストール・稼動してるIISに感染し、手当たり次第に感染対象を探してアクセスしてくるのですね。
別に私が悪い事して報復されてるとか、そういう話じゃありませんで。
皆さんも気付かないだけで、実はそれらの攻撃に晒されてる(らしいです) (^^;
いや、自分もあまり詳しくないんで、言ってる事が怪しい気もします。
誰か詳しい人が居たらツッコミお願いしますです m(_ _)m
それにしても…
MSから公開されてる情報を元に、パッチ当てたり、対策してれば感染しないはずですが。
(もっとも一度感染したらOS再インストールしないとヤバイらしい)
未だに全く無頓着な管理者の方が多い…
というより、
自分が「管理者」に等しい立場にあることにすら、気付いてないNT,2000ユーザが世間には多い…
ということなのでしょうか (・_・?)
で。
気になって、攻撃してきたIPの情報を漁ってみたりして。
例えば、
IPからドメイン名を検索してみたりとか。
調子に乗って、試しに、
「http://(攻撃してきたIP)/」
をブラウザに打ちこんでみたら…
漢字だらけの「404ページ」が表示されると共に、別ウインドウが開き…
「readme.emlを読みこんでいます」
のメッセージが。
ギャアー。やっぱりNimdaだったー 。。。。゛(/><)/
なんとなく
「CodeRedで巨大な赤丸状態を見事達成した」
あのお国あたりから…なのでしょうかね。
いや…
私の場合、漢字だらけのページ見ても、どの国のページなんだかサッパリわからんってのが実情なんで。
完全に根拠のない勝手な推測です(爆)
しかし変ですね…
IE5.5SP2にしてあるのに、何で読みこもうとするかな。
MoonBrowserでアクセスしてたからでしょうか。
感染方法、もう一度勉強し直さないとだな…
ていうか。
そもそも攻撃元のIPをブラウザに打ちこむなんて、恐ろしい事するなよぅ… (;´Д`) >自分
ちなみにその後、ウイルスチェックもしましたし、
手作業でも、感染してるかどうかチェックしました。
自分のPCは感染してません。
アクセスされた方、安心してください (´ー`)
サーバ立てたと言ってもApacheで立ててますから、IIS対象のウイルス攻撃で感染したりしませんです。
メールに添付されたウイルスを、オイラ自身が実行してしまう、とかならいざ知らず。
もっとも、Apacheのセキュリティホールや、Win98の脆弱性(?)に対する攻撃なら話は別…
やっぱり、早いトコLinux入れて、キッチリそういうの勉強しないとだな…
Linuxなんかでも、例えば無頓着にメールサーバ立ち上げてると、SPAMメールの踏み台にされたり、なんてこともあるらしいし…
勉強することたくさんありそうです… (;´Д`)
で、今、サブPCにLinuxをインストールすべく、中身をバックアップしてます。
さてどうしよう。Winを全部消してLinuxだけにしちゃおうか。
それともFIPSでWinの領域を削ってみるか。
(とか悩んでる時間が一番楽しい気もする。)
にしても…
ヤツラ(感染PC)を黙らせるわけにはいきませんかね。
バックドア開いてるから外部から何でもやり放題、とは聞くんですが…
マジに黙らせたらやっぱり犯罪になるんだろうなぁ…
いやーん、まいっちんぐマチコ先生 <古ぅ…
ICQでファイル受信ができましたー。
設定方法ですが…
先日入手したcoregaのルータが、範囲指定でポート設定できないのは以前書きましたが、今現在、妥協案(?)として、
・5190番のUDPポート
・2000,2001,2002,2003,2004番のTCPポート
を、一つずつ指定して、ICQを利用するPCのIPへ送るようにルータを設定してます。
あと、ICQのオプション→接続で、
・firewall越え
・proxy利用せず
・2000-2004番のTCPを利用
と設定してます。
実験に協力してくれたA氏に感謝です〜 (´▽`)
先日Y氏と実験した時も同様の設定だったつもりなんですが…
実は…最後の2004番だけ、TCPではなくUDPで間違えて設定してたみたい(核爆)
おそらくそれが原因だったのだろうか…みたいな。
ただ、巷のページを検索してると、
空いてるポートが少ないと接続し難い状態になるとか、
最低12個は空けておかないと真っ当な(?)ファイル受信ができない、
という記述も見かけたりしました。
まあ…動いたようだからいいかな <モノグサ
実験的に、自鯖に画像貼付掲示板を設置してみました。
cgiの動作確認、みたいなものです。
受けつけるファイル容量を40MByteまでに設定したら…
( ̄□ ̄;)!!
ホントに使えましたよ、40MByteまで…
スゴイ。こんな能力を秘めてたのか>画像貼付掲示板
あんな簡単な操作で、これだけのファイル交換ができるとは素晴らしいですね。
実験に協力してくれたY氏、D氏に感謝〜 (´▽`)ノ
もっとも、途中で回線が切れたら泣きそうです。
やっぱりレジュームが有効なFTPとかが使えるといいのだろうな。
それにしても。
あらゆる内容が、ことごとく「〜らしい」で終わってるのはどういうことでしょう >自分
2001/10/04(木)--- ダイナミックDNS / WinでHTTPサーバを立てる
ダイナミックDNSサービスを申しこみ、
Apache for win32を導入してWebサーバを立ててみました。
ダイナミックDNSサービスというのは…
例えば、フレッツADSLの場合…
ネットに接続するたび、自分のPCに割り当てられるIPが変化してしまいます。
これでは外部からアクセスしようにも、どのIPにアクセスしたらいいかわからない。困ります。
そこで、一時的に自分に割り当てられたそのIPを、
特定のページ、あるいはソフト上から登録して、
「http://〜」という「ドメイン名」でアクセスできるよう見せかけて(?)くれる…
それがダイナミックDNSサービスです。
有料のモノもあるし、無料のモノ(ボランティアでやってくれてるらしい)もあります。
今回は、↓こちらのサービスを利用させてもらいました。
・家サーバー・プロジェクト
このサービスを提供してくれてる管理者さんに大感謝、です (´▽`)
さて、動的IPの問題は、これでほぼ解決しました。
もう直接、IPアドレスを打ちこまなくてもいい…はず。
次は、HTTPサーバ(Webサーバ)の導入です。
Win上で動作するHTTPサーバ(Webサーバ)ですが、ネットを検索したところ、以下の二つを見つけました。
・Apache for win32
・AN-HTTPD
今回は、Apache for win32 を導入してみました。versionは、1.3.20です。
このページから、apache_1.3.20-win32-src-r2.msiというファイルをDLしてきました。
(あちこちにミラーがあるそうなので、探して、DLしやすいところから落としてきたほうがいいようです。)
このApache、ネット上で数多く利用され、導入実績も高い、と言われてるHTTPサーバです。
そういや、先日もどこかの会社が、
「セキュリティ面を考えるなら、そもそもMSのIISなど使うな。使うならApacheを使え」
と警鐘を打ってましたっけ…
Apacheも、バージョンや設定によってはセキュリティホールがあるはずですが…
それでもまだ、IISよりはよほどマシ、ということなんでしょうか。
で。
インストール後、httpd.confという設定ファイルを書き換え、自分の使いたいような設定にします。
例えば、外部から見れるディレクトリを設定したり、cgi動作の許可・非許可…とかそのへんですね。
たぶん初心者の方は、このへんで挫折しそうです。
AN-HTTPDなら、このへんの設定は全てGUIで出来るので、
「テキストファイルを書き換えて設定するなんて…」
と拒否反応を示す方は、まだAN-HTTPDのほうが利用できるのかもしれません。
もっともAN-HTTPDの場合、設定次第で、匿名proxyとして外部から利用できたりするそうで…
何にせよ、設定項目はしっかり確認しとかないとマズそうです。
クラッカー(悪いハッカー)の身元隠しに、自分のサーバが使われたらヤバイ…
下手すりゃ自分は何もしてないのに、自分がハッキングしたとみなされてお縄になっちゃう…
さて。
自分の環境の場合、これだけでは、LAN内のPCからは見れても、外部からは見れません。
なぜならルータを使用してるので、ICQ利用時と同様、外部からのアクセスをルータが全て無視してしまう…
「Webページ見せてよ」という外部からのアクセスをルータが無視しちゃって、ページが見えないのです。
そこで、特定のポートに来たアクセス(「Webページ見せてよ」の要求)は、
LAN内の特定のIP(HTTPサーバを立ち上げてるPC)に渡すよう、ルータを設定します。
今回はHTTPアクセスに一般的に使われる80番を開けてみました。
これで、外部からもアクセスできるはず。
と同時に、今流行のCodeRedやNimdaウイルス、クラッカーの類からも、ひっきりなしにMyPCが攻撃される可能性もあるわけです(爆)
今まではルータがそれら攻撃を無視してくれてましたが、今度からは自分のPCまでその攻撃が届きます。開けてあるポート番号を通して…
たぶんパッチを当ててないIISなんか使ったら一発で感染なのでしょうね(ってWin98でIISって動くのかしら…?)
後でApacheのlogを見て、攻撃があったかどうか確認してみるとしましょう…
ちなみに、昨日の日記に書き忘れましたが、これはFTPサーバ利用時も同様です。
FTPの場合、21番をFTP用、20番をFTPデータ用としてTCPポートを開けてます。
というわけで。
現在、Apacheを試しに動かしてます。
上記のダイナミックDNSサービスの恩恵で、
http://blawat2015.dip.jp/ (念の為に消しました。2001/10/05)
…でアクセスできると思います。
モナーが座ってるページが見れたら成功。
あなたが見たそのモナーは、私のPCの中に居るモナーなんだモナー。
ちなみにこれも、FTPサーバ導入時と同様、LAN内のPCからは動作確認できないのでした(爆)
が、友人達の報告によると、今のところ一応動作してるようです。
動作確認してくれた皆様に感謝です〜 (´▽`)
ただ、このApacheを動作させてると…
リソースが減っちゃってツライ…(今残り19%ナリ…)
これじゃFTPサーバと同時稼動は無理だ…
自分のPCはWin98なんで、セキュリティ面でもリソース面でも厳しいものがありますね…
これまた最近バカスカ落ちるし…その点でも非常に不安 >My PC's Win98
やっぱりサーバ専用機(Linuxマシン)を導入しないとダメですな。
ひとまず、簡単なBBS設置ぐらいした後で、Linuxマシン設置作業を始めようかなと。
あー、サブPC内のデータ、バックアップ取らなきゃだな…
2001/10/03(水)--- ICQ利用時の問題 / WinでFTPサーバを立てる
ICQ、利用できました。協力感謝です>Y氏
(ICQに関しては、こちらのサイトを参照してください。)
ただし、ファイル受信に関しては難あり。
こちらから相手に対してファイル送信は可能ですが…
相手からこちらへのファイル受信ができません。
なぜなら、ルータが、外部からのアクセスを破棄してしまうからです。
YAMAHAのルータを利用してた時は、範囲指定でICQが使うポートを開けることができたのですが。
(例: 2000-3000 TCP → TCP 2000〜3000番のポートを開ける)
coregaのはできない。
一つのポート(20番とか21番とか80番とか)を決め打ちっぽい形でしか指定できなくて。
このへんが、やはり安物なのでしょうか。
一応、DMZ機能という、外部からの全てのアクセスをLAN内の特定のIPに送ってしまう機能を使えば、恐らく利用は可能でしょう。
でも、そこまでやりたくないなぁ…なんだか危なそう…
危なそう、などと言った舌の根が乾かぬうちに…
サーバを立てる為の情報を集めてました(爆)
なにゆえサーバを立てたいかというと…
友人達とデータのやり取りができないか、と思ったからです。
流行(?)のネット仮想ストレージサービスを使ってもいいのですが。
それだと、UPもDLも大変。
個人的には、接続が頻繁に切れてしまった悲しい思い出しかないので。
ひとまず、現在、実験的にWinでFTPサーバを立ててみよう、と思ってます。
セキュリティがヤバそうではありますが…(Win98だしね…(爆) )
とりあえず、実験さえ上手くいけば、
(ルータのバーチャルサーバ設定さえまともに出来てれば)
それで充分かなと。
それさえクリアすれば、将来的にはLinux上で用意したいです。
しかし、どのディストリビューションを使おうか… >Linux
古めだけど初心者に優しい、インストール経験もあるVineあたりかな。
Kondaraも興味あるけど、設定ファイルの類が最初から入ってないらしいし。ヘタレの自分にはツラそう。
ひとまずWinで動くFTPサーバソフトの候補として、
・TinyFTP Deamon
・NekosogiFTPD
の二つをDLしてきました。
試しに、TinyFTPDのほうを、先ほどインストールしてみました。
設定は結構簡単そうです。
で、動かしてみました。
IEでアクセスした場合、おそらく anonymousユーザとしてアクセスしてるはず。
パスワードは設定してませんが、ファイル書きこみ・削除等は禁止してますので、単に覗けるだけ、のはず。
ちなみにLAN内からは見れないので、私自身は動作確認できないのでした(涙)
※ 2001/10/04 PM10:00現在、FTPサーバは動かしてません。
HTTPサーバと同時稼動は、リソースとの兼ね合いで、結構厳しそうです…
※ 危ない気もするのでIP記述は消しました。(2001/10/05)
そういや、IPを晒すという恐ろしい事してますが…
どうせ上記のIPは、そう長い間は使えないでしょうから。
フレッツADSL=動的IP割り当てですしね。
将来的には、ダイナミックDNSサービスを利用して、
「http://loliloli2dhappy.〜/」
とかでアクセス出来るようにしたいものです ( ̄ー ̄)
2001/10/02(火)--- 速度測定
ADSL、爆速ですね…
現在、以下の速度測定サイトを利用してますが、やはり600kbps前後、下りで出てるようです。
http://member.nifty.ne.jp/oso/speedtest/
http://speedtest.pos.to/
http://www.musen-lan.com/speed/
各Webページを見ていても、その恩恵はたしかにあります。
例えば↓ココ。
[AKIBA PC Hotline! 今週見つけた主な新製品・一覧]
ISDNでは、このページを開くと、必ず途中で画像が×印になってました。
画像数が多すぎてtimeoutを起こしてしまうのですね。
しかしADSLだと、一発で全ての画像が表示されます。全くストレスを感じません。
逆に考えれば…
如何にこのページの制作者が、低速回線を無視した作りを平気で行っていたか、ということでしょうか。
よっぽど快適な回線環境なんだろうなぁ…
(もっとも最近は、項目毎に分けたページを制作してはいるようですが。
利便性も向上し、低速回線でもストレス無く見れる。一石二鳥ですね。)
ムービーが見れるのも嬉しいですね。
COWBOY BEBOP映画版の予告ムービーを見て喜んでました。
ただ、やっぱり画質は汚いなぁ…
14インチTVに表示して見ても、ブロックノイズが目立ってしまって萎えますね。
やっぱりムービーは、xMbpsのレートじゃないと画質がツライ…
音声は、もうかなりのクオリティなんですが。
試しにIriaでDLなどもしてみました。
スゴイですね…転送速度、一桁違います。
今までン時間単位で落ちてきたデータが、分単位で終わってしまう。
昔、某掲示板で、
「でかいデータを教えてくれ。バンバンダウンロードしてないと不安でしょうがない」
というカキコを見た記憶がありますが…
当時は、
「それワレズ欲しいってのを誤魔化してないか」
と思いましたが、今ならそういう気持ちもわかる…
低速回線でキュウキュウ言いながらDLしてたのが、急に一瞬でDLできるようになると…
居心地が悪いというか、妙に不安になるというか。
早いとこ、韓国なみに、日本でも全国で普及して欲しいものです >ADSL
その場合、足枷になるのはNTT…
ラストワンマイルを握っているのは、現在どうしたってNTTですから。
日経で、NTT東日本・西日本の社長の甘えた(?)コメントを読むと、つい苦々しい顔になってしまいます…
そういや、未来博・NTT館の「ADSL体験コーナー」には腹が立ったなぁ…
提供できない地域がまだたくさんあるのに宣伝ばかりして…コイツラ何やってんだ、と。
(ていうか、未来博の会場近辺そのものが提供予定地域にすらなってない。)
お前らがそもそもサービス提供を阻害してるんじゃないか…
ISDNと干渉するから使えんって言ってたの誰よ? みたいな。
2001/10/01(月)--- ADSL導入成功
ADSL導入成功しました (´▽`)
とりあえず、どんな感じで進んだか、そのへんずらっと書いてみます。
だらだらと長いので、読まないほうがいいかもですが。
興味ある人の、何かの参考になれば <なるのか?
今回申し込んだのは、自分で各機器の設置・設定を行うタイプ。
作業自体はケーブル繋ぐだけですから簡単ですし、導入費用も安く済みますので。
さて、NTTから連絡されていた工事予定時間は、10月1日 AM9:00〜AM10:00、でした。
当日(今日)のAM9:30頃、NTTから、
「これから工事をしますので、機器を外しておいてください」
と電話で連絡がありました。
この後、電話を受けた親父さんと一緒に作業をしていくことになります。
モジュラージャックからケーブルを外し、今まで使ってたISDNルータ(YAMAHA RTA-50i)をお片付け。
NTTから既に届いていた、スプリッター、ADSLモデム(どちらもレンタル)の梱包を解きます。
そうこうしてるうちにAM10:00ぐらいに。
もう工事は終わってるだろうと考え、スプリッターを設置。
ひとまず、FAX、電話機だけを繋げてみます。
電話が使えなきゃ、不具合起きてもNTTに連絡のしようが無いですし…
ここで問題発生。
受話器を取ると「ツー」という音は聞こえるものの、こちらから電話をかけることができません。
さあ、困ったぞ…
ふと思い当たったのが、電話機の、パルス or トーンの設定でした。「タタタタタ」or「ピポバポ」のアレです。
ISDNからアナログに戻った時点で、通話に関しては、最低限のサービスになってるんじゃなかろうかと。
電話機の「10・20・PB」スイッチを、「PB」→「10」に変更。
繋がりました。時報が聞けます。
これで電話が利用できるようになりました。
いよいよADSLモデム設置。
スプリッターと接続して、モデムの電源を入れます。
セルフテストを示す、全ランプの点滅。
セルフテスト終了後、ADSLランプが点滅し始めます。
ADSLランプの点滅が終わらない場合、LINKが確立できないということ…
つまり、ADSL利用不可能ということです。
…ドキドキ。
4,5回、モデムから、「カチッ」「カチッ」というリレー音らしきものが聞こえます。
結構長い時間の後、点滅が終了。点灯したままになりました。
良かった〜 (T▽T)
ADSL、なんとか使えそうかも。
ここまでくれば勝ったも同然ナリ。
一台だけPCをADSLモデムに繋いで、ネットに接続できるかどうか確認してみます。
…ていうか、ルータないから、そもそも一台しか繋がらないんだけど (;´ー`)y-~~
接続するPCの設定を行います。
ウチの全てのPCは、LANに接続して使用してましたから、念の為、そのあたりをデフォルト状態に。
IPアドレスを自動取得に設定したりとか…そのへんですね。
NTTから送られてきたCD-ROMをドライブに入れ、「フレッツ接続ツール」をインストール。
LANケーブルをモデムに差し、PCを再起動。
フレッツ接続ツールを起動し、NTTが用意した接続確認用のサイト?に繋いでみます。
繋がりました。万歳。
が、そのサイトで速度を測定してみたところ…
結果は、400kbps。
たしかにISDNより全然速いわけですからアレなんですが…
個人的には、512kbpsは達成して欲しいなと思ってたので、実はガックリ (T_T)
これでひとまず、家族用のPCはネットに繋がる事になりました。
が、親父さんに操作させてみると…
ネットに繋ぐたびに「フレッツ接続ツール」を立ち上げるあたり、どうも引っ掛かる模様。
「将来的には、二階のPCをネットに繋ぐためにルータを導入する。
ルータ導入すれば、今までと同じ操作になる(フレッツ接続ツールを使わなくて済む)」
と説明したら、
「じゃあすぐ買ってこよう」という話に。
てっきり、家族用PCが動いた時点で家族は満足して、二階のPCはしばらくほったらかしになると思ってました。
なんだか意外な展開。
午後、隣の市のヤマダ電機まで、車を走らせます。
(ちなみに運転は親父さん。俺はもう親父さんの横では運転しません(笑) )
狙うルータは、
corega BAR SW-4P。
選択理由は…一番安いようなので…(爆)
ただ、「デフォルトではフレッツADSLに非対応」という話も聞いてて、ちと心配。
でもまあ、ファームウェアが新しくなっていれば対応してるらしいし。
店頭で見たら、以前下調べしてた時より安くなってました。12800円。
その横に、
ELECOM LD-BBR4が12400円であるのを発見。
たった400円の差ですが…真剣に悩んでしまいます。
しかもケース形状が同じ…
どちらも同じ製品だったりするのか。それとも中身は違うのか。
結局、既に情報を集めていて、そこそこ使えそうだと判明してる corega BAR SW-4P を購入。
ちなみにお金出したのは親父さん。うう…こんな金額すら出せない自分が情けない…
帰宅後、早速ルータを設置。
マニュアル見ながら、PC、及びルータの設定をしていきます。
途中、一瞬ですが、MSのサイトに繋がりました。
良かった。フレッツADSL対応してたみたい。
が。
PCのIPアドレスを固定にしようと試みてたら。
LAN内は繋がるものの、外が全く見れなくなりました。
数時間色々試してみて、ようやくネット利用可能に。
なんのことはない…今までISDNルータを使ってた場合と全く同じ設定にすれば良かったのです(爆)
IP固定にして、デフォルトゲートウェイ、DNSにはルータのIPを指定する、みたいな。
(これが正しいのかは自信無いけど。でも使えてるから、まあ、いいんだろうな、たぶん…)
二階のPCも同様に設定。
各PCのIPアドレス指定を、ルータの扱える範囲に変更しただけですが。
YAMAHA RTA-50iが、192.168.0.1〜254だったのが、
corega BAR SW-4Pは、192.168.1.x〜254なのですね。
RTA-50iは、そのへん設定の自由度が高かったのだけど。
BAR SW-4Pは、192.168.1.x しか扱えないみたい。
そんな感じで、ひとまずどのPCも接続可能になったんですが。
やはり速度が気になる…
そこで試しに、ADSLモデムの場所を変えてみました。
ここまでは、ISDNルータが置いてあった場所…
茶の間のTVの、すぐ横に置いてました。
明らかにソレってヤバそう。
場所を変え、速度測定してみてビックリ。
700kbps出てますよ…
一気に300kbpsも向上した。
場所を変えるのは有効のようです。
家族の協力で、モデム・ルータ・電話・台をTVから離して本設置。
再度、速度を測定してみると…
ああ…下がってる…
600kbpsになってる… (T△T)
ツイストペア(?)のモジュラーケーブル導入を試してみようか…
モデム付属の1mのケーブルより、5mツイストのほうが速度が上がったという話も。
NTT-ナントカが出してるノイズフィルタも効果ありそう。
1〜2割速度が向上した例もあるとか。
でも、いい加減疲れてきて、
「まあ512kbpsは超えてるからいっかな」
という気持ちにもなってたり…
ということで、今日の作業はひとまず終わり。
▲ PC LABO Menu