技術

Fail2banを入れてみた


 iptablesのチュートリアルを読んでいたが、えらく長大なチュートリアルであった。これ作るのも翻訳も大変だろーなー。というかぶっちゃけ途中までしか読んでない。まー、あとは人真似でも動かせるだろー、とか。

 で、待望(?)のFail2ban導入。例によってLogwatchのメールがうざいことになっているので。
 基本的には、ログから不正アクセスの試行を検出して遮断するツールの一つである。が、検出パターン(filter)は正規表現二つ(failとignore)で比較的自由に作成可能だし、検出時の動作(action)はかなり詳細に作成出来るので、例えばNginxのHttpLimitZoneModule(標準組み込み)などと組み合わせると、「ダウンロード用ポートへのn本以上の同時アクセスを禁止し、何度も引っ掛かる人は警告画面へ飛ばしつつ当分は転送速度も落とす」などの挙動も可能と思われる。iptablesのhashlimitとか使えば多分。
 つっても、今は大人しいサーバしか動かしていないので、無難な設定で十分だけど。

 んで、例によってyum install fail2banして、cd /etc/fail2banして、jail.confを見てみる。ふむ。これはあまり好みじゃないから、サンプルとしてリネームした方がいいかな。だって、例えばSMTP認証のエラーを拾った時にも25しか塞いでないし。587とかも塞ぎたいぞ。
 という訳で、スクラッチから適当にガシガシ書いていく。メール通知系のアクションはまあ、要らないかな。しかしまー、色々なフィルタが公開されてていいなあ。例えばDovecotのフィルタとかも標準添付されてないけど、Dovecot Wikiからのコピペで済ませたし。結構流行ってるのかなこれ。
 とりあえず、認証を使うサービス全部を監視対象にしたが、ついでにFail2ban自身も監視したい。"Fail2ban monitoring Fail2ban"というページで紹介されているが、要するに何度もbanされる人はもっと長期的にbanしよう、という奴。再帰的な動作なので多少の注意点はあるようだけど、多分大丈夫だろー、ということで入れてみる。

 さくらのVPSはシリアルコンソールもあるのでかなり気楽に導入してしまったが、Osukiniの方はどうすっかなー、と思ってよくよく考えると、認証が必要なサービスを外部に公開していない予感。オーケー、問題無しだ。
 待てよ、IPv6ってちゃんと塞がれるのかなこれ。えーと。iptablesに投げてるから無理じゃね。ip6tablesのactionとか入ってないしなあ。自前で書く気力は今は無いし。hostsdenyアクションとか使えば当面は行けるんだろうか。いや、そもそもIPv6アドレスを拾ってくれるのか?
 つーかIPv6ってクラッカー的には狙い目なんだろうなあ(笑)。普及してある程度落ち着くとこまで早く行って欲しいけど。


いっそSPF非対応に戻したいが


 SPFがどうにもこうにも納得行かない仕様なので、ぐだぐだ悩む記事を書きかけては公開せずに消すことを繰り返してきたが、いよいよSPFレコードを消去したい気分になった。俺の利用状況からすると、現時点ではほとんど弊害しか生まないので。
 まあ、結論から言えば消さなかったのだけど。無駄な労力だなあと思いながら、なるべく対応側にも非対応側にも人畜無害な設定にしようと努力はした。

 つーか、Gmailからの送信をSPFで許可するにはどこをincludeすりゃいいんだろうと思ってGoogleのヘルプを見たら、-allは配信に問題が発生する可能性がある、とちゃんと書いてあったのだ。理屈でそう思ってはいたし、今までも~allにしていたけれど、この文章を見たら何かの糸が切れた。
 もう、いいよね、頑張らなくても。v=spf1 mx include:_spf.google.com ?allにしちゃっていいよね。~allでも無害だろうけど、SPFに納得出来なかった思いを?allに込めるのだ。メール転送されただけで信用を下げる理由にする気など無い。

 という訳で、SPFは「送信以外の側に」普及するまでは、無難な設定で死蔵しよう。
 DKIMなら多少厳しく設定しても平気なのかなあ。


微妙に軽いWD1002FAEX


 という訳で、RMAで交換したWD1002FAEXを懲りずにシステムドライブにした。WD10EALSからクローンして差し替えたのだが、地味ながら明らかに軽い。まあSSDと比べたら大した差ではないのだが。
 しかし、補助記憶が少しでも軽くなった時の快適さをこうやって体感してしまうと、やはりSSDに走ってみたい気分になるなあ。いくらするんだろ。二万円は出したくないから、それ以下で調べてみよう。ふむ。Intelの80GBが15000円って、大して下がってない気がするな。ファンの法則とかえらい短い有効期間だったのでは(笑)。
 でもまー、システムと一部アプリだけなら80GBでも足りるんかな…。移行準備も兼ねて、データを別パーティションに逃がして容量がどうなるか調べてみてもいいかもしれない。つーか、クローンを一台潰して、データをバッサリ削除すればいいのか。VHDとか使えたら実験も楽なんかなー。XPじゃ無理だよなー。
 とか思いつつ調べてたら、Windows Complete PCバックアップ、とかいうVista以降の標準機能が便利らしいと知る。システム丸ごとVHD書き出しで差分対応でホットバックアップだとか。何だその完璧超人は。ちゃんと動かない、みたいな人もいるらしいのが気になるけど、俺PCの更新の時にはWindows 7 Professionalにしてみるかなあ。


RMA完了


 FedEx経由で西武運輸から代替品が届く。帰路は早かったなあ。往路もEMSにしてれば相当早かったんだろうけど。
 FedExの追跡記録とか二度と見ないかもしれないから、今のうちに写しておこう。

All shipment travel activity is displayed in local time for the location

Date/Time Activity Location Details
Feb 14, 2011 01:23 Shipment information sent to FedEx
Feb 14, 2011 17:36 Picked up SINGAPORE SG
Feb 14, 2011 18:49 Left FedEx origin facility SINGAPORE SG
Feb 14, 2011 21:34 In transit SINGAPORE SG
Feb 14, 2011 21:35 In transit SINGAPORE SG
Feb 14, 2011 21:57 In transit SINGAPORE SG
Feb 15, 2011 01:32 Arrived at FedEx location GUANGZHOU CN
Feb 15, 2011 02:00 In transit GUANGZHOU CN
Feb 15, 2011 03:06 Departed FedEx location GUANGZHOU CN
Feb 15, 2011 07:38 At dest sort facility NARITA-SHI JP
Feb 15, 2011 08:18 Int’l shipment release NARITA-SHI JP
Feb 15, 2011 08:18 In transit NARITA-SHI JP Package available for clearance
Feb 16, 2011 14:41 Delivery exception NARITA-SHI JP Customer not available or business closed
Feb 16, 2011 17:55 Delivered xxx, xxx JP

 これらを見ると分かることは、えーと、何も分からんな…。発送は13日夕方だったはずだから、シンガポールから三日で到着してしまう、ということは分かった。最終日の14:41に変なことになっているのは、俺がたまたま不在だったのである。うちにしょっちゅう来てるヤマトや佐川辺りなら、事務所に置いてくんだろうけど、これは仕方ない。

 開封すると、えらくしっかりしたスポンジ製クッションでガッチリとガードされたブツが。これは次のRMAがあった時とかの為にとっとこう。
 んで、ESDバッグを見ると、「ATTENTION! ADVANCED FORMAT DRIVES REQUIRE(以下略)」とか書いてあるんだけど、いやいや。単に袋を使い回してるだけだろ。ジャンパーとかも無いし。まあ、適当に接続して見てみれば分かるだろ。
 という訳で、都合により外付けの箱で一時的に接続。やはりAdvanced Formatではないようだ。ついでにExtended Test開始。引っ掛からなかったらそのままクローンしてメインにするかな。引っ掛かったら心底うんざりだな(笑)。


踊る亀を見た


 HTTP用のフリーなIPv4-IPv6ゲートウェイとか無いんかな、と思ったらSixXSのWeb Gatewayがほぼ希望通りの物だった。なるほど、ホスト名に情報を持たせることでWeb Gatewayは作りやすくなるのだなあ。DNSのワイルドカードはこうやって使うものか。
 という訳で、IPv6でアクセスすると踊る亀が見られることでも知られるKAMEのサイトへ。うむ。何かネタバレを見た気分に近いものが。