技術書を読むということ

技術書を読んで毎回思うことがある。それは「かけた時間に対して身についたものが少ない」ということ。

 

そこで、自分なりに考えた点をまとめようと思う。

 

目的を言語化すること

これに関しては誰に聞いても同じ答えをもらえると思う。何故、自分がこの本を読むのか。これを「言語化」しないと意味が無い。なぜなら言語化できない時点で目的が曖昧である可能性があり、次以降の手法を実践する際の判断基準がなくなるため。

 

読まない章を決める

読む章ではなく、読まない章を決めること。これは、単純に効率化の話。読むべき箇所を絞るよりも、読まない箇所を絞ったほうが精神的に楽。常に、今必要かどうかを問い続けよう。

 

単語を調べる

個人的に、技術書を読んでいてわかっているふりをしている場合に多いのが、単語を文字として捉えていること。単語の意味を理解せず、文字としてしか認識していないので、理解が進まない。なので、読み終わった後も学んだ感を感じることができない。

なぜなら理解できていないのだから。

 

上記3つを実施しながら読めれば、読み終わった際に満足感が残るはず。あとは、読んだ後に何をするかが大切になる。それは別途お話致します。

 

最近読んだブログなどなど

www.slideshare.net

 

www.slideshare.net

 

 

新卒インフラエンジニアを育成した話 | 外道父の匠

メモ:読んだブログ

blog.kentarok.org

 

非常に興味深いと思う。何か一つを追求したほうが良いのかな。ただ、ひとつができても他がダメでは使い物にならないと思う。

 

最低限必要(求められる)な能力はあると思うが、何事も中途半端に行わず深く追求していくことが大事なんだと思う。

 

課題の解決はどの場所でも必要だが、課題は現場固有のため、より「一般的」な解決策を実施していく意識が必要なのか。ただ、その場その場だとしても組織の目的を理解し、現状をきちんと把握して効果的な解決策をうてれば必ずしも一般的である必要はないかなと思う。

 

読んでみたいスライド

bibourock.hatenablog.jp

シェルスクリプト勉強②〜sshdを読んでみる〜

シェルスクリプト勉強②

今日はsshdを読んでみる

前回の振り返り

せっかくリーディングした結果をブログに載せるのであれば、せっかくなので文章力の向上を目的にしてみたいと思う。ありがちだが、一年後の自分でも読みなおしてわかるレベルまで文章に落としこむことを目標とする。 

では今回分へ。

 

sshd

# pull in sysconfig settings

[ -f /etc/sysconfig/sshd ] && . /etc/sysconfig/sshd

/etc/sysconfig.sshd ファイルが存在しているのであれば、/etc/sysconfig/sshdを実行する。 

 

prog="sshd"
lockfile=/var/lock/subsys/$prog

ロックファイルの場所を指定している。

 

# Some functions to make the below more readable

KEYGEN=/usr/bin/ssh-keygen
SSHD=/usr/sbin/sshd
RSA1_KEY=/etc/ssh/ssh_host_key
RSA_KEY=/etc/ssh/ssh_host_rsa_key
DSA_KEY=/etc/ssh/ssh_host_dsa_key
PID_FILE=/var/run/sshd.pid

スクリプトで使用する様々なファイルの場所を変数に格納している。

 

runlevel=$(set -- $(runlevel); eval "echo \$$#" )

ランレベルを位置パラメータに格納している。(おそらくこの段階で複数ランレベルが指定されている)そのランレベルの中で最大のランレベルの値を引数runlevelに格納している。

 

fips_enabled() {
if [ -r /proc/sys/crypto/fips_enabled ]; then
cat /proc/sys/crypto/fips_enabled
else
echo 0
fi
}

fips_enable()関数。fips_enabledファイルに読み取り権限があればcatで中身を表示し、権限がなければ0を出力する

 

do_rsa1_keygen() {
if [ ! -s $RSA1_KEY -a `fips_enabled` -eq 0 ]; then

echo -n $"Generating SSH1 RSA host key: "
rm -f $RSA1_KEY

$RSA1_KEY がファイルサイズ0以上のファイルでありかつ、fips_enabled 変数が0であるかどうかの判定している。真であれば文字列を表示し、$RSA1_KEYを削除している。

 

if test ! -f $RSA1_KEY && $KEYGEN -q -t rsa1 -f $RSA1_KEY -C '' -N '' >&/dev/null; then
chmod 600 $RSA1_KEY
chmod 644 $RSA1_KEY.pub

もし$RSA1_KEYファイルが存在しなければssh-keygen でRSA鍵を生成し、その鍵のパーミッションを更新している。

 

if [ -x /sbin/restorecon ]; then
/sbin/restorecon $RSA1_KEY.pub
fi

ファイルタイプの不整合を防ぐために、アクセス許可があればrestoreconコマンドの使用を実施する。

 

success $"RSA1 key generation"
echo
else
failure $"RSA1 key generation"
echo
exit 1
fi
fi
}

ここらへんの関数は/etc.init.d/functions に書かれているはず。 

※あとでやろう、、、

 

do_rsa_keygen() {

if [ ! -s $RSA_KEY ]; then
echo -n $"Generating SSH2 RSA host key: "
rm -f $RSA_KEY
if test ! -f $RSA_KEY && $KEYGEN -q -t rsa -f $RSA_KEY -C '' -N '' >&/dev/null; then
chmod 600 $RSA_KEY
chmod 644 $RSA_KEY.pub
if [ -x /sbin/restorecon ]; then
/sbin/restorecon $RSA_KEY.pub
fi
success $"RSA key generation"
echo
else
failure $"RSA key generation"
echo
exit 1
fi
fi
}

do_dsa_keygen() {
if [ ! -s $DSA_KEY ]; then
echo -n $"Generating SSH2 DSA host key: "
rm -f $DSA_KEY
if test ! -f $DSA_KEY && $KEYGEN -q -t dsa -f $DSA_KEY -C '' -N '' >&/dev/null; then
chmod 600 $DSA_KEY
chmod 644 $DSA_KEY.pub
if [ -x /sbin/restorecon ]; then
/sbin/restorecon $DSA_KEY.pub
fi
success $"DSA key generation"
echo
else
failure $"DSA key generation"
echo
exit 1
fi
fi
}

↑の関数と処理は一緒。

 

do_restart_sanity_check()
{
$SSHD -t
RETVAL=$?
if [ $RETVAL -ne 0 ]; then
failure $"Configuration file or keys are invalid"
echo
fi
}

テストモードとしてsshd を起動している。

 

start()
{
[ -x $SSHD ] || exit 5
[ -f /etc/ssh/sshd_config ] || exit 6
# Create keys if necessary
if [ "x${AUTOCREATE_SERVER_KEYS}" != xNO ]; then
do_rsa1_keygen
do_rsa_keygen
do_dsa_keygen
fi

よくわからんが、AUTOCREATE_SERVER_KEYSを評価し、必要があれば各暗号化の鍵を作成している。

 

echo -n $"Starting $prog: "
$SSHD $OPTIONS && success || failure
RETVAL=$?
[ $RETVAL -eq 0 ] && touch $lockfile
echo
return $RETVAL
}

正常に起動できたらロックファイルを作成。

 

stop()
{
echo -n $"Stopping $prog: "
killproc -p $PID_FILE $SSHD
RETVAL=$?
# if we are in halt or reboot runlevel kill all running sessions
# so the TCP connections are closed cleanly
if [ "x$runlevel" = x0 -o "x$runlevel" = x6 ] ; then
trap '' TERM
killall $prog 2>/dev/null
trap TERM
fi
[ $RETVAL -eq 0 ] && rm -f $lockfile
echo
}

 

reload()
{
echo -n $"Reloading $prog: "
killproc -p $PID_FILE $SSHD -HUP
RETVAL=$?
echo
}

restart() {
stop
start
}

force_reload() {
restart
}

rh_status() {
status -p $PID_FILE openssh-daemon
}

rh_status_q() {
rh_status >/dev/null 2>&1
}

case "$1" in
start)
rh_status_q && exit 0
start
;;
stop)
if ! rh_status_q; then
rm -f $lockfile
exit 0
fi
stop
;;
restart)
restart
;;
reload)
rh_status_q || exit 7
reload
;;
force-reload)
force_reload
;;
condrestart|try-restart)
rh_status_q || exit 0
if [ -f $lockfile ] ; then
do_restart_sanity_check
if [ $RETVAL -eq 0 ] ; then
stop
# avoid race
sleep 3
start
else
RETVAL=6
fi
fi
;;
status)
rh_status
RETVAL=$?
if [ $RETVAL -eq 3 -a -f $lockfile ] ; then
RETVAL=2
fi
;;
*)
echo $"Usage: $0 {start|stop|restart|reload|force-reload|condrestart|try-restart|status}"
RETVAL=2
esac
exit $RETVAL

 

振り返り:

途中から完全に集中力が0となってしまった、、、

時間的にもあまりに細かくする必要はないと思うので、次からは読んでいてわからなかった点を重点的に行う方針とする。

シェルスクリプト勉強①〜httpdを読んでみる〜

シェルスクリプト勉強①

今回は、シェルスクリプトの勉強をしてみようと思う。ただ、どうやって勉強するかだが、今のところLinuxのOSにあるプロセスのシェルスクリプトを読みこんでみようと思う。

そもそも今回のシェルスクリプトの勉強の目的は、1.読めるようになる、2.書けるようになる なので、どちらの目的も達成するためには自分より知識のある人が書いたスクリプトを読み込むことが効果的だと思う。

 

※参考にしたサイト。参考というか答えが書いてあります。 


起動スクリプト(httpd)を読んでみた - まどろみの思考空間

httpd

まずはhttpdスクリプトを読んでみようと思う。

#!/bin/bash

 言わずもがな。bashで起動するという意味。

 

# chkconfig: - 85 15

起動順序の指定。「スタートが85番」「ストップが15番」という意味。

 

# processname: httpd

# config: /etc/httpd/conf/httpd.conf

# config: /etc/sysconfig/httpd

# pidfile: /var/run/httpd/httpd.pid

設定ファイルの場所を記載。大体/etcの下にあるが、わからなくなったらスクリプトの中を見れば良いことがわかる。

 

### BEGIN INIT INFO

# Provides: httpd

# Required-Start: $local_fs $remote_fs $network $named

# Required-Stop: $local_fs $remote_fs $network

# Should-Start: distcache

# Short-Description: start and stop Apache HTTP Server

# Description: The Apache HTTP Server is an extensible server

#  implementing the current HTTP standards.

### END INIT INFO

おまじないみたいなものらしい。 

Required-Start:→httpdの起動前に起動しておかないと行けないスクリプト

Required-Stop:httpdの停止前に停止しておかないと行けないスクリプト

 

# Source function library.

. /etc/rc.d/init.d/functions

 functionsという共通のルーチンを呼び出してる。

 

if [ -f /etc/sysconfig/httpd ]; then

        . /etc/sysconfig/httpd

fi

 httpdのファイルが存在するかを確認している。もし存在しているのであれば、

. /etc/sysconfig/httpdを読み込む

 

# Start httpd in the C locale by default.

HTTPD_LANG=${HTTPD_LANG-"C"}

自分で定義したHTTPD_LANGという変数に何も入っていなければ、アプリケーションにとってデフォルトの”C”を使用する。

 

 

# This will prevent initlog from swallowing up a pass-phrase prompt if

# mod_ssl needs a pass-phrase from the user.

INITLOG_ARGS=""

 

# Set HTTPD=/usr/sbin/httpd.worker in /etc/sysconfig/httpd to use a server

# with the thread-based "worker" MPM; BE WARNED that some modules may not

# work correctly with a thread-based MPM; notably PHP will refuse to start.

 

# Path to the apachectl script, server binary, and short-form for messages.

apachectl=/usr/sbin/apachectl

httpd=${HTTPD-/usr/sbin/httpd}

prog=httpd

pidfile=${PIDFILE-/var/run/httpd/httpd.pid}

lockfile=${LOCKFILE-/var/lock/subsys/httpd}

RETVAL=0

STOP_TIMEOUT=${STOP_TIMEOUT-10}

とにかくいろんな変数を定義している。 自分で設定していなければ、デフォルトの設定を使用する。

 

start() {

        echo -n $"Starting $prog: "

        LANG=$HTTPD_LANG daemon --pidfile=${pidfile} $httpd $OPTIONS

        RETVAL=$?

        echo

        [ $RETVAL = 0 ] && touch ${lockfile}

        return $RETVAL

}

 Starting httpd を表示させ、LANGの設定(起動時の言語の設定)をしている。

その後、daemon関数を実行し、デーモンとしてhttpdを起動させている。(/etc/init.d/functions の中に記載されている)

 実行結果をRETVALの中に格納し、正常終了していれば(0ならば)ロックファイルを作成する。

 

# When stopping httpd, a delay (of default 10 second) is required

# before SIGKILLing the httpd parent; this gives enough time for the

# httpd parent to SIGKILL any errant children.

stop() {

echo -n $"Stopping $prog: "

killproc -p ${pidfile} -d ${STOP_TIMEOUT} $httpd

RETVAL=$?

echo

[ $RETVAL = 0 ] && rm -f ${lockfile} ${pidfile}

}

killproc で対象のプロセスを停止している(はず)。functions の中身確認しないと、、、

その後、実行結果を評価して正常終了しているのであればロックファイルとPIDファイルを削除している。 

 

reload() {

    echo -n $"Reloading $prog: "

    if ! LANG=$HTTPD_LANG $httpd $OPTIONS -t >&/dev/null; then

        RETVAL=6

        echo $"not reloading due to configuration syntax error"

        failure $"not reloading $httpd due to configuration syntax error"

    else

        # Force LSB behaviour from killproc

        LSB=1 killproc -p ${pidfile} $httpd -HUP

        RETVAL=$?

        if [ $RETVAL -eq 7 ]; then

            failure $"httpd shutdown"

        fi

    fi

    echo

}

 最初の条件文で文法をチェックしている。もし文法に問題がなければ再読み込みを実施している。-HUPは親プロセスを殺さずに子プロセスを殺す。具体的な処理はやっぱりfunctionsを見ないとわからない。。

 

# See how we were called.

case "$1" in

  start)

start

;;

  stop)

stop

;;

  status)

        status -p ${pidfile} $httpd

RETVAL=$?

;;

  restart)

stop

start

;;

  condrestart|try-restart)

if status -p ${pidfile} $httpd >&/dev/null; then

stop

start

fi

;;

  force-reload|reload)

        reload

;;

  graceful|help|configtest|fullstatus)

$apachectl $@

RETVAL=$?

;;

  *)

echo $"Usage: $prog {start|stop|restart|condrestart|try-restart|force-reload|reload|status|fullstatus|graceful|help|configtest}"

RETVAL=2

esac

第一引数をみて、どのコマンドが入力されたかを評価している。

わからなかったものは別さいとから説明を引用させていただきます。

condrestartはプログラムが実行中であるかどうかを判定して実行中である場合のみ再起動、gracefulはapachectlに丸投げしています。
また、それ以外の場合はマッチするものがなかった旨を表示します。

 

exit $RETVAL

exitで終了。 

Nagiosサーバ構築編②

Nagiosで監視対象ホストの追加方法

Nagiosをインストールしたので、まずは監視対象をローカルホスト以外にも追加してみようと思います。

 

参考サイト:Nagios ~ 監視ホストの設定 : あるサーバーエンジニアの練習場

#基本的に参考サイトに書いてあることをなぞっているだけなので、参考さいとを見た方がわかりやすいです。

 

Nagiosサーバの設定ファイル nagios.cfg を変更

①設定フィルを開く
#vi /usr/local/nagios/etc/nagios.cfg
 
②対象の文字列を検索
/cfg_dir で検索。
 
③下記の行が見つかります。最初はコメントアウトされているので、
#cfg_dir=/usr/local/nagios/etc/servers 

 

コメントアウトを外してあげます。

cfg_dir=/usr/local/nagios/etc/servers 

 

⑤保存

:wq

その後は、/usr/local/nagios/etc/servers ディレクトリを作成してからnagiosプロセスの再起動を実施。

 

なんかいろいろ書いたけど参考サイトなぞるだけ(すごくわかりやすいので、、)になるし書くのをやめよう。

 

読んでくれていた人がいたらすいません。。

 

他に書くこと

check_ping の監視はおそらくnagios.cfgに書かれているinterval_lengthの60という値だと思われる。そのため監視間隔は60秒。

 

 

 

 

Nagiosサーバ構築編①

Nagiosサーバを構築してみよう

と、ふと思ったのでメモ書き程度でも残しておこうと思います。

 

Nagiosとは?

まずそもそもNagiosとは何なのか?ネットワークやホストの状態をネットワーク経由で監視するための「統合監視ツール」と呼ばれるものです。対象のホストに対してネットワーク的に疎通している必要があります。

監視対象はホスト、サービス。

ホストはそのままの意味です。サーバなどを表し、ホストに対しては主にpingコマンドで死活監視を行います。

サービスはHTTPの応答コードやSMTPの応答速度などそれぞれのアプリケーションで提供される機能の監視を行います。

 

Nagiosインストール準備

Nagiosをインストールするためには下記のモジュールをインストールしてなくてはいけない

#yum install httpd php gcc glibc glibc-common gd gd-devel

※GDライブラリというのはPHPの画像表示用のモジュールらしい

glibcC言語用の標準ライブラリ

 

Nagiosインストール方法

すでに多くのサイトで紹介されているので、参考にしたサイトのリンクだけはっておきます。

Nagiosのインストール | Linuxで自宅サーバ構築

 

注意点

SELinuxの設定を切らないとWeb画面からリンク先に行けない、、、

SELinuxを切るなら自己責任で。 

 

 いじょ。

 

 

 

 

 

 

 

ShellShock〜bashの脆弱性とは〜

f:id:c_taquna:20140928001927j:plain

今、ネットではbash脆弱性が見つかったと大騒ぎです。正直そんなに詳しくないのですが、自分なりに調べたことを書こうと思います。

 

結局何が怖いのか

bashとは、OSのコマンドを実行するために必要なプログラムです。そのbashに不具合があり、bashを使用しているサーバ上で外部から任意のコマンドを実行することができます。つまり、ファイルを勝手に削除したり情報を盗み出したりすることができてしまう。

 

どういう仕組でおきているのか

環境変数に、関数の定義の後に任意のコマンドを入力することでそのコマンドを実行できてしまうというものです。(内部処理までは押さえてないです、、不勉強ですいません)

例えば、以下のコマンドを実行すると「vuln」という文字がコンソール上に出力されます。このコマンドを分けると、まずは「X」という環境変数に「(){ :;};」という関数を定義してます。その後ろに「 echo vuln」というコマンドを書いています。そして、さらにその後ろに「bash -c 'echo'」が書かれています。

 

$ X='() { :;}; echo vuln' bash -c 'echo'

 

本当は環境変数 X に文字列を格納しているだけなので、コマンドの実行結果は'echo'だけつまり改行だけになるはずなのです。しかし今回見つかった脆弱性を修正しない限り echo vuln も実行されてしまいます。 echo は出力するだけなので問題ないですが、これが rm -rf などにされたりする可能性を考えると恐ろしいですね、、。

 

bash ではコマンドが実行される間に環境変数の一覧が内部で作成されるのですが、この時点でコマンドが実行されるため、環境変数の名前がなんであっても実行されてしまいます。

 

対策はどうすればよいのか

 bashのアップデートを行う必要があります。以下のコマンドで可能です。筆者はまだ実施していないのですが、影響範囲・影響対象は見切れていないのですが早めに実施したほうが良さそうですね。

 

yum update bash

 

 

参考サイト

bash ShellShockメモ(Hishidama's bash "shell shock" Memo)

Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研

先程から騒ぎになっているbashの脆弱性について | 上田ブログ

BASHの脆弱性でCGIスクリプトにアレさせてみました - ブログ - ワルブリックス株式会社