php_modが非推奨になったのね

投稿者: -
昔のバージョンのphp環境でphpバージョンを上げるという対応中。 apache + PHP8のインスタンスを構築してドキュメントルートまで到達を確認。 対応する人にドキュメントルートまで到達するからプロジェクトのファイルを置いてバージョンアップのエラーを確認してもらうため依頼しましたが HTTP 503 Service Unavailable のエラーが出ているとのこと。 HTMLファイルはアクセスできているからPHPの実行ができていないと思い調べると Apache HTTP サーバーで使用するために PHP に提供されている mod_php モジュールが非推奨になりました。 php-fpmをインストールして起動し、リクエストを流してphp-fmpでphpを実行するようにして解決。 しばらくPHPを触っていなかったのでモジュールが非推奨になったことに気づかずでした。
コメントを投稿

fail2banをインストールしたときのメモ

投稿者: -

fail2banをインストールしたときのメモ

サーバ監視ツールでグラフを見ていたらアクセスも少ないのにロードアベレージが高い時間があったので調べてみたらSSHで不正アクセスの嵐が来ておりました。
基本的に鍵認証なのでアクセス出来ないんですがどうも負荷が高くなるのが気に入りません。

そこでfail2banというツールを導入することにしました。
fail2banは対象ログから指定した不正アクセスとみなす設定文字列を検出し指定回数出現した場合にFirewallを設定を変更して対象ログのIPをブロックするツールです。

これはAWSのEC2/amazonlinuxインストールした場合の参考です。

インストール
epel-releaseリポジトリからインストールします
epel-releaseリポジトリがインストールされていなければインストール

# sudo yum install epel-release
# sudo yum install --enablerepo=epel fail2ban

ログの場所を作る
# sudo mkdir /var/log/fail2ban

ログの場所を指定
# sudo vim /etc/fail2ban/fail2ban.conf

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# logtarget = SYSLOG  # コメントアウト
logtarget = /var/log/fail2ban/fail2ban.log # 追加
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


インスタンス起動時に有効になっておくようにしておきます
# sudo chkconfig --list
# sudo chkconfig fail2ban on
whoisを使えるようにしておく(IP情報をメールで送るときに使う)
# yum install jwhois

SSHのフィルタリング設定をしていきます
# vim /etc/fail2ban/jail.conf

sshを設定していきます
[ssh]セクションの
enabled = true
にして有効にします。
※ちょっと前に作業したときのメモをみて書いていたんですが曖昧のところがあったので今ローカルのdockerコンテナでインストールしてみたら[ssh-iptables]になっていました。デフォルトで有効にもなっていました。ここらへんは今のものに置き換えて対応してみてください。

独自のセクションを作って /etc/fail2ban/filter.d/ の中に名前とマッチするフィルターを置くことで独自設定も可能です。
例えば[dame-access]を作って/etc/fail2ban/filter.d/dame-access.confを作って設定をすることが可能。

本題に戻りフィルタリングルールを設定していきますがデフォルトである程度の記述がしてあるのでそのまま使えていました。しかしこれだけだとメールの送信などちゃんとできないこともあるので実際に設定してみての説明を以下に。

ですので他の設定項目について説明していこうと思います。
/etc/fail2ban/jail.conf

各セクションの中の設定
actionはフィルタリングに引っかかったときのアクションです
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
iptables[name=SSH, port=ssh, protocol=tcp]
iptables-multiport[name=dovecot, port="pop3,pop3s,submission,imap,imaps", protocol=tcp]
sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]

name(名称)
※ここのnameは同じポートの場合は一緒になる。例えばhttpでhttp-authやhttp-nohomeなど複数設定する場合は同じnameになります
port(対象ポート※multiportは複数設定できる)
protocol(対象プロトコル)
iptables(単体ポート)、iptables-multiport(複数ポート指定)
sendmail-whoisはnameは対象フィルタ名でdestでしていしたアドレスにメール送信します。senderは送信元メールアドレス、sendernameは送信者名です。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

logpathはフィルタ検出対象ログです。
maxretryは制限をかける回数設定
findtimeは出現制限時間(この時間内にmaxretryの回数出現してはならない)
bantimeはブロックしている時間

SSHのログインに対するブロック設定をした例です
/etc/fail2ban/jail.conf 内の既存項目を編集
[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=送信先メール, sender=送信メールアドレス, sendername="Fail2Ban"]
logpath  = /var/log/secure
bantime = 3600
maxretry = 3
※これでデフォルトの10分間に3回失敗すると1時間ブロックになります

以上、使ってみた個人メモでした。

コメント

コメントを投稿

このブログの人気の投稿

nginxで画像が表示されない。。

投稿者: -
nginxで画像が表示されない。。 表題の通りなんですがnginxを試しに使いブラウザ表示したのですが画像が表示されませんでした。 原因は簡単で設定ファイルに画像系(というか静的)ファイルにアクセスした時にどのディレクトリに流すのかを明記していなかったからです。     location ~* .(html|css|js|jpe?g|png|gif|ico|swf|woff2|ttf)$ {       root /home/user/html;       expires 10d;       access_log off;     } 下のようにしか書いていなかったのでphp拡張子にアクセスした時だけ指定のディレクトリを参照するようになっていただけなんですね。先ほど書いた設定を追加して無事表示されました。     location ~ \.php$ {   ・・・・     } 今まではapacheしか使ったことがなかったので対象ホストのドキュメントルート指定すれば大体は動いていたんでよかったんですが今回初めてnginxを使ったのですが細かく指定するみたいですね。 ------------------2018/04/01 追記 今、単純な静的WEBサイトを構築しているのですが上の記述だと画像を表示するためには画像のlocation設定をしなければならないように捉えられるなと思ったので追記しました。上の記述はphpのlocation設定しかしていなかったので画像のlocation設定も加えないと参照されないといことです。 例えばデフォルトの記述があるのですが     location / {         root   /var/www/html;         index  index.html index.htm;     } こちらですと画像だろうがHTMLファイルだろうがアクセスできました。 ただし直接アクセスできてはよろしくないファイルなんかもあるので拡張子設定やドキュメントルート設定をしていくんでしょうね。
続きを読む

AWSのS3バケットをマウントするs3fsでマウントが外れた件

投稿者: -
s3fsでマウントが外れた件のお話し ネットで検索すると予期せずマウントが外れたなんて記事を見かけてて そんなことあるの〜?? うちは大丈夫でしょ! なんて鷹を括っていましたが なんと起きてしまいました。。。 しかも本番で… まぁ起きてしまったことはしょうがない。。 一応発生した時に再マウントしようとするとエラーがでますのでそれも参考に備忘録しておきます。 発生 A:すいません今大丈夫ですか?? 私:ええよ〜 A:なんか画像が表示されないんです。 私:大丈夫ですか言っとる場合やないやん!! ということで事象の認知がされました。しかも本番です。 インスタンスにログインして確認するとこんな感じです。 ※うちは大量のユーザーごとに登録するイメージファイルをイメージディレクトリとS3バケットをマウントすることでEC2のイメージボリュームを抑えるようにしていました。 # cd /image_dir # ls -a # イメージが入ってなぁーい!! AWSのコンソールからS3のバケットを見るとイメージはある ということでマウントされているかの確認 # df -h df: `/image_dir': 通信端点が接続されていません 通信端点が接続されてないってどういうこと? と思いながらマウントを試みる # s3fs bucket-name /image_dir -o allow_other,use_cache=/tmp,uid=48,gid=48,passwd_file=/etc/passwd-s3fs s3fs: unable to access MOUNTPOINT /image_dir: Transport endpoint is not connected ※uid,gidはアパッチ操作なのでそのIDです。 エンドポイントと接続できないと。。。 なんだかこれが出る理由はいろいろあるらしいのですが、意図せずマウントが外れているがNFSではマウントしている情報が残ったりのようなことだったりいろいろ。。。 今まで見てきた記事によるとマウントできない場合は 一度アンマウントしてからマウントすれば成功するよ!! ってことなので、一度アンマウントし
続きを読む

CakePHP3でHTTPSにする

投稿者: -
CakePHP3でHTTPSにする 表題の件ですが、以前も同じような記事を書いています。 ELBで80番ポートアクセスをしていたのですべてのアクセスを443番ポートにアクセスさせる しかし、基本的にHTTPアクセスしていたものをHTTPSでリダイレクトさせているだけです。 以前対応した時は、AWSのELB(Elastic Load Balancing)で80番ポートも443番ポートも解放していたので、80番でアクセスしてきたものを443番でリダイレクトして解決させたのです。 がしかし、今回この構成をベースに新たなサービスの開発をする際にハマりました。。 環境自体は私が構築しないので、サーバー管理に依頼して出来上がってきた時に一言添えられていました。 【HTTPアクセスは推奨しないのでHTTPSしか許可していない構成です】 まあ、HTTPSなんて当たり前だから気にもせずコードをGITからcloneして配置 アクセスしてみると、以前と同じようにHTTPSからHTTPに切り替わる と言うことでhttpd.conf(正確にはvirtualhost.confですが)に以前やった対応を記載してgracefulをしてみると、ログインフォームからログイン時にログイン成功しているけれどもTOPページが表示されず、、、 どうやらリダイレクトしているっぽい、、、 TOPページのURLを直打ちすればログインしている状態で表示されます。 その状態で、ログアウトするとまたログインページが表示されずにグルグルとアクセスしようとしている感じがありますがページは表示されません。 少し調べると、なんとなくわかりました。 発生している場所は、CakePHPでリダイレクトしている箇所です。 その時点で気付きました。。 今回はELBは443ポートしか解放されていません。 リンクやFORMは相対パスなので現在アクセスされているプロトコルで遷移していきます。つまりはTOPから設定メニューのリンクはHTTPSでアクセスしていればHTTPSで遷移していきます。 しかしリダイレクトはリダイレクトURLを生成して転送をかけるので、ここでどうやらHTTPでURLを生成してリダイレクトし
続きを読む