カテゴリー: linux

sshdはやっぱりデフォルトポート使わないほうが良いな・・・

サーバー更新した時に他の対策も入れたんでポートをデフォルトに戻してみたが・・・
あまりにもアタックが多い、かすりもしない攻撃でもログ多すぎてウザイ。
ということで以前のようにポート変更、
それでもたまにポートスキャンで見つけて叩いてくる奴がいるのでfail2banも必要ではある。


そりゃああんな状況じゃノーガードで使ってたらすぐに乗っ取られるわ、世の中にやられてるサーバーがいっぱいあるのも納得。

ついでにfail2banを入れてサーバーの防御力も上げてみた

以前はblocksshdとか使ってたけど最近は動かなくなってたのでポート変更で対応してた、色々やるついでに fail2ban を導入して smtps の防御も追加。

fedoraの場合は簡単に導入できる
dnf install fail2ban
systemctl enable fail2ban
vi /etc/fail2ban/jail.local
ファイルには以下を記入
[sshd]
enabled = true
bantime = 600
findtime = 10
maxretry = 1

[postfix-sasl]
enabled = true
maxretry = 10
findtime = 60
bantime = 1800
ここまで
systemctl start fail2ban
完了

設定値はまだ結構適当なので運用しながら調整していく。

4×4 BOX 4800Uを買ってサーバーを入れ替えた

しかし届いたときはあまりの軽さにびっくりした、
私が今まで買ったPCの中でも一番軽い、もう少し重くて大きいものだと思っていたのに、めちゃくちゃちっさいし軽い。
面積は10インチタブレットよりも小さい。

JEDEC準拠のDDR4-3200 8GBを2枚、
PLEXTERのPX-512M9PGN+(NVMe SSD 512GB)
あとはロジテックの無線キーボード、
マウスはあんまり使わずに放置してたロジテックの無線があったのでそれを使う。
Unifyingの設定はWindowsでやった、LinuxからもできるらしいのだがWindowsでやったほうが簡単だし。
4Kディスプレイを買って余ってた飯山のWUXGAがあったのでそれとDP接続。

ちょうどFedora 34が出たばかりということもあるのでこの際ゼロから構築しなおして設定とかデータだけ移動することにした。
なにしろ初代Fedoraの頃からずっとアップグレードで使っていたのでゴミが溜まりまくってたり、一部設定とか形式古くて更新しろと怒られたりするのでw

パワーマネージメントのせいかログインプロンプト出て数秒で画面がフェードアウトする。
ディスプレイのメニューボタン押すと復活するのでどうやらディスプレイ側の機能で消えてるらしい、Linux側で省電力系の機能をオフにしたりいろいろやっても解決できず・・・
まぁせっかくAPUだし使ってみようということでGUI起動に設定してみたところ問題なく動作してる。

最新OSだけあって2.5GbEもデフォルトで認識してる、無線LANのAX200もそのまま認識、音も鳴ってる、ハードウェア関連は何もしなくても全部使えてるっぽい。
Vega8ももちろん認識されてる、AMDのドライバはカーネルにマージされてるので楽ちん。

dns、web、メール、dhcpdがほぼ問題なく動かせるようになったので完全に入れ替え、あまり使わないデータ類はまだ旧サーバーにあるので暇を見てコピーしていく感じ。

さすがZen2APU、SandybridgeなXeon 1260Lに比べてクロックめっちゃ低いしTDPも20Wくらい低いのにブーストしなくても性能は倍以上、CPUの処理性能は大幅に上がったので大満足、
SSDのほうはベンチしてみてもそんなに速くなってない感じ、
SATAからNVMeだからもっと差があるかと思ったんだけどな。

Fedora 32→33へ、今回は二か所

アップグレード方法は公式で。

network-scriptsでpppoeを設定している場合、NetworkManagerでやってる場合はそのままでいいのかな。
rp-pppoe.soのパスが変わってるので ifcfg-ppp に書いてあるパスを変更
LINUX_PLUGIN=/usr/lib64/pppd/2.4.8/rp-pppoe.so
インターフェースを再起動、ifupは非推奨だからNetworkManager使ってねみたいな警告出るからそのうち変更するか・・・

Dovecotのdh.pemでエラーが出るので
sudo openssl dhparam -out /etc/dovecot/dh.pem 4096
これは結構時間がかかる。
終わったら。
sudo systemctl restart dovecot
で完了。

今日はFedora 29リリース予定日

https://fedoraproject.org/wiki/Releases/29/Schedule

元は23日予定だったけど延期されて30日に、
それ以降延期は発表されてないので今日来るんですかね。

日本時間じゃないのでまだ来てませんが、
明日までにはアップグレードできるようになってるのかな。

imapsの証明書が切れてた

昨日の夜に警告が出てたんで今日帰ってから調べたところ・・・
WEBの証明書はちゃんと更新されているので証明書の更新処理に問題があるわけではない、
ならば、指定がオレオレ証明書にでもなってたっけかとconfを調べてみたがそんな事はなく、
ちゃんとletsencryptの奴を参照していた。

そこですぐに気が付いてしまった、ちょっと俺勘が良すぎないか?
もうちょっと気が付かない方が楽しかったのにw

なんてことはない、dovecotは証明書更新しただけでは読み直してくれないと言うだけの事だった、
リスタートかけたらOK、
つー事で、cronの証明書更新してるところで一緒にdovecotも再起動するようにした、
もうこれで大丈夫だろう。

Fedora 28でTCP Wrapperがなくなってた・・・

Changes/Deprecate TCP wrappers

なんかFedora 28にしてから blocksshd からのメールが急激に増えたなーと思ったらそういうことか・・・
sshd : .jp
とかやってjpドメイン以外からアクセスできないようにしてたのでそれがなくなったから cn とかの方面から攻撃をもろに食らってた模様。
まぁrootだのadmin,muninってそんなの許可してないので大丈夫ではあるんですけどね。

メールがやたらと飛んできてウザイので sshd_config 側で Match とか設定してとりあえず収まったかな。