技術書を読むということ
技術書を読んで毎回思うことがある。それは「かけた時間に対して身についたものが少ない」ということ。
そこで、自分なりに考えた点をまとめようと思う。
目的を言語化すること
これに関しては誰に聞いても同じ答えをもらえると思う。何故、自分がこの本を読むのか。これを「言語化」しないと意味が無い。なぜなら言語化できない時点で目的が曖昧である可能性があり、次以降の手法を実践する際の判断基準がなくなるため。
読まない章を決める
読む章ではなく、読まない章を決めること。これは、単純に効率化の話。読むべき箇所を絞るよりも、読まない箇所を絞ったほうが精神的に楽。常に、今必要かどうかを問い続けよう。
単語を調べる
個人的に、技術書を読んでいてわかっているふりをしている場合に多いのが、単語を文字として捉えていること。単語の意味を理解せず、文字としてしか認識していないので、理解が進まない。なので、読み終わった後も学んだ感を感じることができない。
なぜなら理解できていないのだから。
上記3つを実施しながら読めれば、読み終わった際に満足感が残るはず。あとは、読んだ後に何をするかが大切になる。それは別途お話致します。
メモ:読んだブログ
非常に興味深いと思う。何か一つを追求したほうが良いのかな。ただ、ひとつができても他がダメでは使い物にならないと思う。
最低限必要(求められる)な能力はあると思うが、何事も中途半端に行わず深く追求していくことが大事なんだと思う。
課題の解決はどの場所でも必要だが、課題は現場固有のため、より「一般的」な解決策を実施していく意識が必要なのか。ただ、その場その場だとしても組織の目的を理解し、現状をきちんと把握して効果的な解決策をうてれば必ずしも一般的である必要はないかなと思う。
読んでみたいスライド
シェルスクリプト勉強②〜sshdを読んでみる〜
シェルスクリプト勉強②
今日はsshdを読んでみる
前回の振り返り
せっかくリーディングした結果をブログに載せるのであれば、せっかくなので文章力の向上を目的にしてみたいと思う。ありがちだが、一年後の自分でも読みなおしてわかるレベルまで文章に落としこむことを目標とする。
では今回分へ。
sshd
# pull in sysconfig settings
/etc/sysconfig.sshd ファイルが存在しているのであれば、/etc/sysconfig/sshdを実行する。
prog="sshd"
lockfile=/var/lock/subsys/$prog
ロックファイルの場所を指定している。
# Some functions to make the below more readable
KEYGEN=/usr/bin/ssh-keygen
SSHD=/usr/sbin/sshd
RSA1_KEY=/etc/ssh/ssh_host_key
RSA_KEY=/etc/ssh/ssh_host_rsa_key
DSA_KEY=/etc/ssh/ssh_host_dsa_key
PID_FILE=/var/run/sshd.pid
スクリプトで使用する様々なファイルの場所を変数に格納している。
runlevel=$(set -- $(runlevel); eval "echo \$$#" )
ランレベルを位置パラメータに格納している。(おそらくこの段階で複数のランレベルが指定されている)そのランレベルの中で最大のランレベルの値を引数runlevelに格納している。
fips_enabled() {
if [ -r /proc/sys/crypto/fips_enabled ]; then
cat /proc/sys/crypto/fips_enabled
else
echo 0
fi
}
fips_enable()関数。fips_enabledファイルに読み取り権限があればcatで中身を表示し、権限がなければ0を出力する
do_rsa1_keygen() {
if [ ! -s $RSA1_KEY -a `fips_enabled` -eq 0 ]; thenecho -n $"Generating SSH1 RSA host key: "
rm -f $RSA1_KEY
$RSA1_KEY がファイルサイズ0以上のファイルでありかつ、fips_enabled 変数が0であるかどうかの判定している。真であれば文字列を表示し、$RSA1_KEYを削除している。
if test ! -f $RSA1_KEY && $KEYGEN -q -t rsa1 -f $RSA1_KEY -C '' -N '' >&/dev/null; then
chmod 600 $RSA1_KEY
chmod 644 $RSA1_KEY.pub
もし$RSA1_KEYファイルが存在しなければssh-keygen でRSA鍵を生成し、その鍵のパーミッションを更新している。
if [ -x /sbin/restorecon ]; then
/sbin/restorecon $RSA1_KEY.pub
fi
ファイルタイプの不整合を防ぐために、アクセス許可があればrestoreconコマンドの使用を実施する。
success $"RSA1 key generation"
echo
else
failure $"RSA1 key generation"
echo
exit 1
fi
fi
}
ここらへんの関数は/etc.init.d/functions に書かれているはず。
※あとでやろう、、、
do_rsa_keygen() {
if [ ! -s $RSA_KEY ]; then
echo -n $"Generating SSH2 RSA host key: "
rm -f $RSA_KEY
if test ! -f $RSA_KEY && $KEYGEN -q -t rsa -f $RSA_KEY -C '' -N '' >&/dev/null; then
chmod 600 $RSA_KEY
chmod 644 $RSA_KEY.pub
if [ -x /sbin/restorecon ]; then
/sbin/restorecon $RSA_KEY.pub
fi
success $"RSA key generation"
echo
else
failure $"RSA key generation"
echo
exit 1
fi
fi
}do_dsa_keygen() {
if [ ! -s $DSA_KEY ]; then
echo -n $"Generating SSH2 DSA host key: "
rm -f $DSA_KEY
if test ! -f $DSA_KEY && $KEYGEN -q -t dsa -f $DSA_KEY -C '' -N '' >&/dev/null; then
chmod 600 $DSA_KEY
chmod 644 $DSA_KEY.pub
if [ -x /sbin/restorecon ]; then
/sbin/restorecon $DSA_KEY.pub
fi
success $"DSA key generation"
echo
else
failure $"DSA key generation"
echo
exit 1
fi
fi
}
↑の関数と処理は一緒。
do_restart_sanity_check()
{
$SSHD -t
RETVAL=$?
if [ $RETVAL -ne 0 ]; then
failure $"Configuration file or keys are invalid"
echo
fi
}
テストモードとしてsshd を起動している。
start()
{
[ -x $SSHD ] || exit 5
[ -f /etc/ssh/sshd_config ] || exit 6
# Create keys if necessary
if [ "x${AUTOCREATE_SERVER_KEYS}" != xNO ]; then
do_rsa1_keygen
do_rsa_keygen
do_dsa_keygen
fi
よくわからんが、AUTOCREATE_SERVER_KEYSを評価し、必要があれば各暗号化の鍵を作成している。
echo -n $"Starting $prog: "
$SSHD $OPTIONS && success || failure
RETVAL=$?
[ $RETVAL -eq 0 ] && touch $lockfile
echo
return $RETVAL
}
正常に起動できたらロックファイルを作成。
stop()
{
echo -n $"Stopping $prog: "
killproc -p $PID_FILE $SSHD
RETVAL=$?
# if we are in halt or reboot runlevel kill all running sessions
# so the TCP connections are closed cleanly
if [ "x$runlevel" = x0 -o "x$runlevel" = x6 ] ; then
trap '' TERM
killall $prog 2>/dev/null
trap TERM
fi
[ $RETVAL -eq 0 ] && rm -f $lockfile
echo
}
reload()
{
echo -n $"Reloading $prog: "
killproc -p $PID_FILE $SSHD -HUP
RETVAL=$?
echo
}restart() {
stop
start
}force_reload() {
restart
}rh_status() {
status -p $PID_FILE openssh-daemon
}rh_status_q() {
rh_status >/dev/null 2>&1
}case "$1" in
start)
rh_status_q && exit 0
start
;;
stop)
if ! rh_status_q; then
rm -f $lockfile
exit 0
fi
stop
;;
restart)
restart
;;
reload)
rh_status_q || exit 7
reload
;;
force-reload)
force_reload
;;
condrestart|try-restart)
rh_status_q || exit 0
if [ -f $lockfile ] ; then
do_restart_sanity_check
if [ $RETVAL -eq 0 ] ; then
stop
# avoid race
sleep 3
start
else
RETVAL=6
fi
fi
;;
status)
rh_status
RETVAL=$?
if [ $RETVAL -eq 3 -a -f $lockfile ] ; then
RETVAL=2
fi
;;
*)
echo $"Usage: $0 {start|stop|restart|reload|force-reload|condrestart|try-restart|status}"
RETVAL=2
esac
exit $RETVAL
振り返り:
途中から完全に集中力が0となってしまった、、、
時間的にもあまりに細かくする必要はないと思うので、次からは読んでいてわからなかった点を重点的に行う方針とする。
シェルスクリプト勉強①〜httpdを読んでみる〜
シェルスクリプト勉強①
今回は、シェルスクリプトの勉強をしてみようと思う。ただ、どうやって勉強するかだが、今のところLinuxのOSにあるプロセスのシェルスクリプトを読みこんでみようと思う。
そもそも今回のシェルスクリプトの勉強の目的は、1.読めるようになる、2.書けるようになる なので、どちらの目的も達成するためには自分より知識のある人が書いたスクリプトを読み込むことが効果的だと思う。
※参考にしたサイト。参考というか答えが書いてあります。
起動スクリプト(httpd)を読んでみた - まどろみの思考空間
httpd
#!/bin/bash
言わずもがな。bashで起動するという意味。
# chkconfig: - 85 15
起動順序の指定。「スタートが85番」「ストップが15番」という意味。
# processname: httpd
# config: /etc/httpd/conf/httpd.conf
# config: /etc/sysconfig/httpd
設定ファイルの場所を記載。大体/etcの下にあるが、わからなくなったらスクリプトの中を見れば良いことがわかる。
### BEGIN INIT INFO
# Provides: httpd
# Required-Start: $local_fs $remote_fs $network $named
# Required-Stop: $local_fs $remote_fs $network
# Should-Start: distcache
# Short-Description: start and stop Apache HTTP Server
# Description: The Apache HTTP Server is an extensible server
# implementing the current HTTP standards.
### END INIT INFO
おまじないみたいなものらしい。
Required-Start:→httpdの起動前に起動しておかないと行けないスクリプト
Required-Stop:→httpdの停止前に停止しておかないと行けないスクリプト
# Source function library.
. /etc/rc.d/init.d/functions
functionsという共通のルーチンを呼び出してる。
if [ -f /etc/sysconfig/httpd ]; then
. /etc/sysconfig/httpd
fi
httpdのファイルが存在するかを確認している。もし存在しているのであれば、
. /etc/sysconfig/httpdを読み込む。
# Start httpd in the C locale by default.
自分で定義したHTTPD_LANGという変数に何も入っていなければ、アプリケーションにとってデフォルトの”C”を使用する。
# This will prevent initlog from swallowing up a pass-phrase prompt if
# mod_ssl needs a pass-phrase from the user.
INITLOG_ARGS=""
# Set HTTPD=/usr/sbin/httpd.worker in /etc/sysconfig/httpd to use a server
# with the thread-based "worker" MPM; BE WARNED that some modules may not
# work correctly with a thread-based MPM; notably PHP will refuse to start.
# Path to the apachectl script, server binary, and short-form for messages.
apachectl=/usr/sbin/apachectl
httpd=${HTTPD-/usr/sbin/httpd}
prog=httpd
pidfile=${PIDFILE-/var/run/httpd/httpd.pid}
lockfile=${LOCKFILE-/var/lock/subsys/httpd}
RETVAL=0
STOP_TIMEOUT=${STOP_TIMEOUT-10}
とにかくいろんな変数を定義している。 自分で設定していなければ、デフォルトの設定を使用する。
start() {
echo -n $"Starting $prog: "
LANG=$HTTPD_LANG daemon --pidfile=${pidfile} $httpd $OPTIONS
RETVAL=$?
echo
[ $RETVAL = 0 ] && touch ${lockfile}
return $RETVAL
}
Starting httpd を表示させ、LANGの設定(起動時の言語の設定)をしている。
その後、daemon関数を実行し、デーモンとしてhttpdを起動させている。(/etc/init.d/functions の中に記載されている)
実行結果をRETVALの中に格納し、正常終了していれば(0ならば)ロックファイルを作成する。
# When stopping httpd, a delay (of default 10 second) is required
# before SIGKILLing the httpd parent; this gives enough time for the
# httpd parent to SIGKILL any errant children.
stop() {
echo -n $"Stopping $prog: "
killproc -p ${pidfile} -d ${STOP_TIMEOUT} $httpd
RETVAL=$?
echo
[ $RETVAL = 0 ] && rm -f ${lockfile} ${pidfile}
}
killproc で対象のプロセスを停止している(はず)。functions の中身確認しないと、、、
その後、実行結果を評価して正常終了しているのであればロックファイルとPIDファイルを削除している。
reload() {
echo -n $"Reloading $prog: "
if ! LANG=$HTTPD_LANG $httpd $OPTIONS -t >&/dev/null; then
RETVAL=6
echo $"not reloading due to configuration syntax error"
failure $"not reloading $httpd due to configuration syntax error"
else
# Force LSB behaviour from killproc
LSB=1 killproc -p ${pidfile} $httpd -HUP
RETVAL=$?
if [ $RETVAL -eq 7 ]; then
failure $"httpd shutdown"
fi
fi
echo
}
最初の条件文で文法をチェックしている。もし文法に問題がなければ再読み込みを実施している。-HUPは親プロセスを殺さずに子プロセスを殺す。具体的な処理はやっぱりfunctionsを見ないとわからない。。
# See how we were called.
case "$1" in
start)
start
;;
stop)
stop
;;
status)
status -p ${pidfile} $httpd
RETVAL=$?
;;
restart)
stop
start
;;
condrestart|try-restart)
if status -p ${pidfile} $httpd >&/dev/null; then
stop
start
fi
;;
force-reload|reload)
reload
;;
graceful|help|configtest|fullstatus)
$apachectl $@
RETVAL=$?
;;
*)
echo $"Usage: $prog {start|stop|restart|condrestart|try-restart|force-reload|reload|status|fullstatus|graceful|help|configtest}"
RETVAL=2
esac
第一引数をみて、どのコマンドが入力されたかを評価している。
わからなかったものは別さいとから説明を引用させていただきます。
condrestartはプログラムが実行中であるかどうかを判定して実行中である場合のみ再起動、gracefulはapachectlに丸投げしています。
また、それ以外の場合はマッチするものがなかった旨を表示します。
exit $RETVAL
exitで終了。
Nagiosサーバ構築編②
Nagiosで監視対象ホストの追加方法
Nagiosをインストールしたので、まずは監視対象をローカルホスト以外にも追加してみようと思います。
参考サイト:Nagios ~ 監視ホストの設定 : あるサーバーエンジニアの練習場
#基本的に参考サイトに書いてあることをなぞっているだけなので、参考さいとを見た方がわかりやすいです。
Nagiosサーバの設定ファイル nagios.cfg を変更
①設定フィルを開く②対象の文字列を検索/cfg_dir で検索。③下記の行が見つかります。最初はコメントアウトされているので、#cfg_dir=/usr/local/nagios/etc/servers
④コメントアウトを外してあげます。
cfg_dir=/usr/local/nagios/etc/servers
⑤保存
:wq
その後は、/usr/local/nagios/etc/servers ディレクトリを作成してからnagiosプロセスの再起動を実施。
なんかいろいろ書いたけど参考サイトなぞるだけ(すごくわかりやすいので、、)になるし書くのをやめよう。
読んでくれていた人がいたらすいません。。
他に書くこと
check_ping の監視はおそらくnagios.cfgに書かれているinterval_lengthの60という値だと思われる。そのため監視間隔は60秒。
Nagiosサーバ構築編①
Nagiosサーバを構築してみよう
と、ふと思ったのでメモ書き程度でも残しておこうと思います。
Nagiosとは?
まずそもそもNagiosとは何なのか?ネットワークやホストの状態をネットワーク経由で監視するための「統合監視ツール」と呼ばれるものです。対象のホストに対してネットワーク的に疎通している必要があります。
監視対象はホスト、サービス。
ホストはそのままの意味です。サーバなどを表し、ホストに対しては主にpingコマンドで死活監視を行います。
サービスはHTTPの応答コードやSMTPの応答速度などそれぞれのアプリケーションで提供される機能の監視を行います。
Nagiosインストール準備
Nagiosをインストールするためには下記のモジュールをインストールしてなくてはいけない
#yum install httpd php gcc glibc glibc-common gd gd-devel
※GDライブラリというのはPHPの画像表示用のモジュールらしい
Nagiosインストール方法
すでに多くのサイトで紹介されているので、参考にしたサイトのリンクだけはっておきます。
注意点
SELinuxの設定を切らないとWeb画面からリンク先に行けない、、、
※SELinuxを切るなら自己責任で。
いじょ。
ShellShock〜bashの脆弱性とは〜
今、ネットではbashに脆弱性が見つかったと大騒ぎです。正直そんなに詳しくないのですが、自分なりに調べたことを書こうと思います。
結局何が怖いのか
bashとは、OSのコマンドを実行するために必要なプログラムです。そのbashに不具合があり、bashを使用しているサーバ上で外部から任意のコマンドを実行することができます。つまり、ファイルを勝手に削除したり情報を盗み出したりすることができてしまう。
どういう仕組でおきているのか
環境変数に、関数の定義の後に任意のコマンドを入力することでそのコマンドを実行できてしまうというものです。(内部処理までは押さえてないです、、不勉強ですいません)
例えば、以下のコマンドを実行すると「vuln」という文字がコンソール上に出力されます。このコマンドを分けると、まずは「X」という環境変数に「(){ :;};」という関数を定義してます。その後ろに「 echo vuln」というコマンドを書いています。そして、さらにその後ろに「bash -c 'echo'」が書かれています。
$ X='() { :;}; echo vuln' bash -c 'echo'
本当は環境変数 X に文字列を格納しているだけなので、コマンドの実行結果は'echo'だけつまり改行だけになるはずなのです。しかし今回見つかった脆弱性を修正しない限り echo vuln も実行されてしまいます。 echo は出力するだけなので問題ないですが、これが rm -rf などにされたりする可能性を考えると恐ろしいですね、、。
bash ではコマンドが実行される間に環境変数の一覧が内部で作成されるのですが、この時点でコマンドが実行されるため、環境変数の名前がなんであっても実行されてしまいます。
対策はどうすればよいのか
bashのアップデートを行う必要があります。以下のコマンドで可能です。筆者はまだ実施していないのですが、影響範囲・影響対象は見切れていないのですが早めに実施したほうが良さそうですね。
参考サイト
bash ShellShockメモ(Hishidama's bash "shell shock" Memo)
Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
先程から騒ぎになっているbashの脆弱性について | 上田ブログ
BASHの脆弱性でCGIスクリプトにアレさせてみました - ブログ - ワルブリックス株式会社
銀翼のイカロス感想
半沢直樹シリーズは最近になって読み始めたのですが、非常に面白くて寝不足気味です。
あらすじ
帝国航空の再建をまかされた半沢直樹。しかし、与党になった進政党の白井による再建私設タスクフォースと対立する。東京中央銀行は帝国航空の債権を放棄するように命じられるが、銀行員としてのプライドを貫き、半沢は断固拒否する姿勢を示す。しかし、タスクフォースは前政権を否定し、自分たちの功を得るため、銀行に債権の放棄を無理やりせまる。東京中央銀行vs私設タスクフォースの構図で描かれる作品。
以下、自分が思ったことを。
自分の中の正しさ→正義
半沢直樹は常に自分が正しいと思ったことをする。働き初めてからこの難しさがわかった気がする。というのも、まずは「何が正しいのか」ということがわからない。ここからスタートする必要がある。仮に自分が正しいと思っていても誰かと対立することがある。その時は徹底的に戦う必要があるが、そのための論理武装は常にしておかなければならない。そして、会社で行動を起こすのであれば、責任が伴う。その責任を負う覚悟も必要なのだと思う。
半沢直樹と自分の仕事
半沢を見ていると仕事ができるなと感じる。では、どの部分に仕事ができると感じるのだろう。「論理武装」「一手先をいく」「哲学がある」の3つが仕事ができると感じる要素なのではと思う。「論理武装」は相手の矛盾をつき、自分の論理の正当性をしっかりと説明できること。そのためには、なぜこうなのか、根拠はなんなのか、をはっきりさせることが大事だと思う。「一手先をいく」これはスピードに起因すると思う。とにかく早く考え、早く実行する。相手より先に行動を起こすことが大事。「哲学がある」は、銀行員としてどうすべきなのか、SIとしてどうすべきなのか、自分の行動の軸となる判断基準を持っていることが大事。
文章がめちゃくちゃですね、、もっとしっかりまとめてから書いたほうが良さそう。
ブログを書き始めるモチベーションとは?
ふとブログを書こうと思いました。なにかインプットやアウトプットを発信できる場はないかと思っていました。SNSもいいなあと思ったのですが、まだ知り合いの前で駄文をたれながすのは勇気が必要だと気が付きました。そこで、誰かが見ているかもしれないブログでならいけるのではと思い、始めてみようと思いました。
そこで、自分の中でブログを書くモチベーションをまずまとめてみようと思います。
簡単に発信できること
インターネットは全世界誰とでもつながりあうことができます。そして、ブログもアカウントさえ取得してしまえば数クリックで作成できてしまいます。誰かとコミュニケーションが取りたい。でもその機会が少ない。そういった場合に非常に適していると思います。上でも書いたようにSNSはより適していると思いますが、知り合いが多いというのが難点ですね、、、(逆に必ず誰か見ていて、フィードバックが得やすいというプラスのポイントがあると思いますが)
説明上手への第一歩
今回は説明を上手にいたいという目的があってブログを始めました。誰かに何かを説明する際に、誰に説明するのか。どのような順番で説明するのか。どのような言葉を使用するのか。毎回テーマを決めて(タイトル)そのテーマに対して自分で言葉を選び説明を行ってみようかと思います。
#説明って言葉はざっくりとしていて便利ですね。
文章力・語彙力の強化
文章にしろなんにしろ、鍛えなければ成長はしません。まずは大量に書き続けます。そして常に客観的に分析できればどんどん伸びていくのではないかと思っています。
というわけで、誰が読んでいるかわからないブログを初めて行きます。コメントはいつでもお願いします。
LAMP環境の構築その3
Apacheのインストール
今回はソースコードからインストール。
でも結構インストールするものがあるので
ダウンロード->解凍->インストールの繰り返し。。
・apacheの最新バージョン
・apr
・apr-util
./configure --with-apr=/usr/local/apr
・libpcre
gcc-c++もインストールしないとlibpcreはインストールできない。
これで完了!・・・・とはいかなかった。。。
この後は
・/etc/rc.d/init.d/に/Apacheのインストール先/bin/apachectl をhttpd としてコピー。
#chkconfig: - 85 15
#description:Apache
その後起動用にchkconfigを設定。
#chkconfig --add httpd
とかいろいろをやって
最後に/etc/sysconfig/iptables に80番ポートを許可する設定を追加。