Linux/CGP作業メモ

■メール送信不具合の初期調査方法
相手先にメールが適切に届かないケースにおける初期調査手法。
ここではCommuniGate Proをベースに説明するが他のMTAでも同様。

「メールが適切に届かない」とは、SMTPでUser unknowとか明示的なエラーが帰って来るケースではなく、セッションがリセットされたり再送を繰り返してしまうようなケースを想定する。
以下手順。

１）STMP送信の詳細なログを取得する
　CommuniGate Proの管理画面に入り、「設定」＞「メール」＞「SMTP」＞「送信」タブを開き、「ログレベル」を「全情報」にして「更新」ボタンを押す。これで設定した直後からほぼSMTP通信（送信/outgoing）のみがTCPダンプレベルでログに記録される。この設定をして問題の発生している相手先にメールを送信してみる。
　CommuniGate Proを使っていない場合には、素直にWireSharkとかtcpdumpを利用する。また、送信時にSMTP Proxy経由で送り出すようなケースはMTAでダンプ取得するのではなく、相手先と最終的に通信している機器で取得することを推奨する。

２）相手先のIPアドレスやMTAをログに記録された内容のバナー情報等から読み取る
　TCPダンプレベルのログが記録されるので、相手先MTAのSMTP応答も全て読み取ることができる。バナーがフェイク設定されていなければおよそ相手先のMTAが判断できる。

３）digコマンドで宛先ホストが正しいか確認する（サーバとは別マシンで行うのがよい）
　$ dig 先方ドメイン MX

４）digコマンドででホスト情報を確認する（サーバとは別マシンで行うのがよい）
　$ dig 先方MX宛先 A

５）ホスト情報から得られたIPアドレスの所有者をANSI WHOIS等で確認する
　３，４，５のこれらを確認することで、メールASPサービスを利用しているのか、自社設置しているのか、おおよそ判断することが可能になる。自社IP、自社サーバで運用している場合はメールサーバ管理者と直接コンタクトできる可能性が経験上高い。自社持ちでも運用を委託しているケースはあるので必ずではない。

６）メールASP等を利用している場合にはASPのサービスを調査する
　MXやIPネットワークが別ドメインだったり別会社名義だったりする場合には、他社委託やASPサービスを利用している可能性が高く、このケースはメールサーバ管理者とコンタクトできない率が多少高い。大手ASPなどは特定メールのトラブルにはほとんど取り合ってくれないので、世の中の事例検索に頼ることになる。

※ここまでの情報で、発生した応答メッセージ等で検索して類似事例を探す
　先方に問い合わせしないでできる範囲はここまで
　以下は相手先メールサーバ管理者と連絡が取れた場合。

７）相手先のメールサーバ管理者に状況を報告する
　起きている事象を的確に、できればログを添えて相手方に伝える。特に複数回確認できていること、取引上の支障になっていることなどを添えると効果は高い。ログを提出するのはタイムスタンプ等を比較して先方の調査を容易にするため。

８）可能であれば先方のメールサーバログを調査していただく
　自社持ちでも外部に管理を委託しているケースもあるので、あくまで調査可能か伺いを立てた上で依頼する。この時にこちらのログを提出しているとスムーズにやってもらえることが多い。ただし経験上外資系はほとんどダメ。調査はしてくれても結果を教えてもらえないとか…結構あった…。

９）先方のメール受信構成（SPAM対策など）をできるだけ詳しく聞く
　問題がMTAなのかSMTP proxyやロードバランサ等中継している経路にあるのか可能性を広げて検討を行うため、可能な限り構成についてヒアリングを行う。これも大手になればなるほど教えてもらえない率が高い。

10）同じアドレスに別サーバから同じメールを送信してTCPダンプした結果を比較する
　相手先と協調して、複数パターンで送信テストを行い、受信可能なパターンと不可能なパターンを洗い出す。この時双方でTCPレベルのダンプデータを突き合わせると意外なことがわかったりする。（TCPのダンプを行うのは、大抵SMTPレベルで解決しないから）

※再度、発生した応答メッセージ等で検索して類似事例を探す
　ここまでしてわからないケースはお手上げなのだが、そういうレベルのトラブルはMTAそのものではなく、OSのTCP設定やFirewall/ロードバランサなど複数の要因が関わっていることがあるので、構成がヒアリングできていると構成機器のバグ情報を探すことで原因が判明したりする。

(まだ評価されていません)

Loading...

■無償利用可能なLDAP管理ツール
CommuniGate ProのLDAPサーバ機能をより活用するために、汎用のLDAP管理ツールを検討した時のメモ。マネージメントのためのソフトウェアでLDAPサーバではない。

Apache Direcrory Studio
http://directory.apache.org/

LDAP administrator tools
http://sourceforge.net/projects/ldap-at/

LDAP admin
http://ldapadmin.sourceforge.net/index.html

Luma
http://luma.sourceforge.net/

Yet Another LDAP Administrator
http://freshmeat.net/projects/yala/

phpLDAPadmin
http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page

上記のうち、実際に試用したのはApache Directory Studio。EclipseプラグインバージョンがPleiadesというEclipse日本語化プラグインの日本語化機能に対応して、日本語で利用することが可能なため。

Eclipseプラグイン日本語化プラグイン Pleiades
http://mergedoc.sourceforge.jp/

非常にわかりやすく使い勝手もいいのでオススメ。
そのうちinstall手順なども記事にするかも。

(まだ評価されていません)

Loading...

■OSSのメールアーカイブ作成ソフト
最近はメールアーカイブ製品導入しているところが多いので、一応コストダウンの選択肢としてOSS製品を調べてみた。探し方の問題かあまり選択肢が出てこなかったのだが、以下が利用できるらしい。日本語対応等の詳細は未検証。

MailArchiva Linux用
http://www.mailarchiva.com/features.htm
http://sourceforge.net/projects/openmailarchiva/

MailArchiver (要Zope/Pythin環境）
http://oss.netfarm.it/archiver.php

Xineo XML Mail Archiver（古い）
http://freshmeat.net/projects/xineo-xma

メールアーカイブは、主に自社がやりとりしたメールの記録を残すことで、何か問題が発生した際に個人の情報保存状態に依存することなく調査を可能にしたり、裁判等での証拠として備えるためのもの。特に外資系企業とのやりとりについては、米企業の場合証券取引法等で電子メールの保存義務が課せられていることがあり、場合によっては先方には証跡があるがこちらにはないという状況で不利になる可能性もあるため、アーカイブを取得することがリスク対応となったりもする。

当然ながら複数年の比較的巨大なデータを保存することになるので、データの完全性安全性や検索機能が重要になるのだが、巨大なデータを素早く確実に検索するのは商用製品でも苦労している部分であり、この分野に関しては規模によってはOSS製品を勧めにくいと現時点では考えている。

■低コストで実現可能なCommuniGate Proでのメールアーカイブ実装

現在のところ、アーカイブ機能を低コストで実現するには、CommuniGate ProのCommunityライセンス（５ユーザまで無償利用可）を利用して、メインサーバからの転送メールを指定アカウントで受信し、メール振り分けルールで月単位等にメールボックスを分割して保管、Pronto Air版で検索するというのがオススメ。これならソフトウェアのコストはほぼ０。
振り分けの実装ではCLI/Perlのscript作成が自動化のために必要になるが、日付を指定したルールを手動作成しておくことでも対応可能なので、どちらを選択してもよい。
本格的な商用製品には劣るが、十分に実用的な管理が可能になる。

(まだ評価されていません)

Loading...

■CentOSサーバの負荷試験中の記録取得方法
iowaitに大きな影響を与えるファイルシステムの負荷試験の最中に実マシンだけでCPUの負荷状況の記録をできるだけiowaitに影響しない形式で記録取得する方法。

CPUの稼動状況を2秒おきにn回取得する (英語で）
# LANG=C sar -u 2 n > /dev/shm/cpu.log

ロードアベレージを2秒おきにn回取得する (英語で）
# LANG=C sar -q 2 n > /dev/shm/cpu.log

取得した値をグラフツールなどで加工すればより見やすく比較できる。

tmpfs（オンメモリに書くためディスクのiowaitの影響を受けない）に書き込むため、再起動するとデータが消えてしまう。注意。メモリの少ないマシンではオススメしない。

sarコマンドは -oオプションでログを書き出すことができるが、バイナリログでサイズもかなり大きくなるので、その方法は取らず上記のやり方を選択した。

(1 投票, 平均値/最大値: 5.00 / 5)

Loading...

これまでuntangleやAstaroのUTM話をしてきましたが、先日行われた情報セキュリティEXPOでEndian社の方（日本人）と直接製品についてお話することが出来たので、インターフェースが若干わかりにくいなぁとは思っていたのですが、評価して試験的にAstaroの代わりに実家に導入してみました。今回はEXPOで聞いたお話とuntangle/Astaroとの簡単な比較を紹介します。

Endian UTM (Endian Firewall)は基本OSSで構成されているのでCommunity Editionが存在し、その利用は無料です。Endian社からはアプライアンス製品が数種類提供されており、Community Editionよりもバージョンが新しいものが採用されているそうです。国内ではプラムシステムズさんがサポートするとのこと。

Endian UTM
http://www.endian.com/jp/

プラムシステムズ
http://www.plum-systems.co.jp/endian/index.html

Endian UTMはヨーロッパで広く導入されているそうで、Endian社としてはサポートやカスタマイズが収入源になっているとのことでした。カスタマイズについてはそもそもOSSで構成されているのでかなり自由に行うことが可能で、アプライアンス製品についてもユーザがroot権限を持っていろいろな操作が可能とのこと。RHELベースなのでカスタムも容易で、Endian社としてはアンチウイルス商用製品の組み込みや管理画面のカスタマイズなどをよくやっているそうです。

Endian社に日本人がいて日本語対応を積極的に行っていることや、ユーザのカスタマイズに寛容なことなどから、システム的な使い勝手は非常に期待できる製品と思われました。関連する日本語リソースもそこそこあったので以下に紹介しておきます。

Endian UTM Appliance v2.3 日本語ドキュメント
http://oss.infoscience.co.jp/endianfirewall/

EFWセットアップ
http://matzjiro.at.webry.info/theme/d833c1e61d.html

EFWリファレンス
http://matzjiro.at.webry.info/theme/cc4b381c36.html

EFW TIP
http://matzjiro.at.webry.info/theme/025ce09f41.html

今回実家に試験導入するに当って、以前untangleなどを評価した際と同じように、Dell D600 PenM1.8GHz 1Gメモリのマシンに導入してみました。EthernetはUSBタイプのバッファローのLUA3-U2-ATXが問題なく利用できました。インストールしたのはCommunity Edition v2.3のiso版です。

インストール後の起動直後でメモリ使用量は30%程度、CPU負荷も数%、実際にEndianを経由したWeb接続ではuntangleよりも体感でよいレスポンスが得られました。PenM1.8GHzでも小規模のネットワークであれば十分なパフォーマンスを発揮してくれます。インターフェースがわかりにくいと感じていたのは、各種proxyやフィルタが稼働しているかどうかサマリを見るページはあっても、実際に機能をどこで設定するのか直感的にわかりにくく、設定を有効にするインターフェースがまちまちで統一感に欠け、Web管理画面の全体デザイン自体が美しいのと対照的に、機能的な把握がしにくいという点につきると思います。個々の機能は適切な日本語訳と相まって比較的よい印象にも関わらず、UTM全体の印象はあまり良くないという不思議な感覚になります。せめて機能稼働状況のページから各設定にわかりやすく誘導して欲しいなと思います。

Endian社はデザイン専門の人を１名確保しているそうで、HPも含めて鮮やかな緑でまとめられた製品コンセプトは、セキュリティ製品にはあまり見られない取り組みで、イタリアの会社らしい素敵なアイデアに感じられ非常に好感が持てます。イタリアでセキュリティ製品というのは珍しい感じもしますが、Zone-Hなども存在する国ですし優れたハックスキルを持つ人材が実は多いのかもしれませんね。

Community Editionはuntangle同様、https等の暗号化通信のVirus Scanには対応していませんが、アプライアンス製品は対応しているそうです。また無線LANにも積極的に対応しているため、USBやPCMCIAに非対応のAstaroと比較して、ノートPCなど底コストのリソースも非常に活用しやすい素地を持っています。更にインターフェースが洗練されて、使いやすくなることを期待したいと思います。

とりあえず実家で使い始めてみたので、また気付いたことがあれば書きたいと思います。

(まだ評価されていません)

Loading...

■FreeBSD 7.3にCommuniGate Proをインストールする
評価用にFreeBSD 7.3にCommuniGate Proをインストールする。8.0でないのはCommuniGate ProのFreeBSDバイナリが７用までしか提供されていないから。8にinstall不可とは書かれていないが、一応オフィシャルにサポートされているバージョンを利用してみる。

■FreeBSDの設定
・minimalインストール
・UFS2ファイルシステム
・IPv4 network有効
・sshd有効

１）CommuniGate ProのFreeBSD用バイナリを以下よりダウンロード（今回は64bit版）
　http://www.communigate.com/pub/CGatePro/5.3/CGatePro-FreeBSD7-AMD64-536.tgz

２）インストール
[code]# pkg_add CGatePro-FreeBSD7-AMD64-536.tgz[/code]

３）起動
[code]# /usr/local/etc/rc.d/CommuniGate.sh start[/code]

起動前にsendmailが起動していないことを確認しておく。
[code]# ps aux | grep sendmail[/code]

sendmailgが起動している場合には停止
[code]# /etc/rc.d/sendmail stop[/code]

sendmailを使わない場合には/etc/rc.dから削除しておく。

４）停止
[code]# /usr/local/etc/rc.d/CommuniGate.sh stop[/code]

(まだ評価されていません)

Loading...

■メールサーバ負荷試験ツール mstone のインストール
メールサーバCommuniGate Proの高負荷試験のためにmstoneをUbuntu 10.04 LTS デスクトップのマシンに導入する。使用目的はメールサーバとして（主にIMAPで運用することを想定）CommuniGate Proを使用した際に、少数ユーザでもmaildirに大量のファイルが存在した場合、ファイルシステムの違いによりサーバにかかる負荷状態がどの程度違うのか比較を行うこと。比較対象ファイルシステムはExt4,xfs,ReiserFSをUbuntu10.04Serverで、ZFSをFreeBSD8.0で想定。全てCore2Duo E6600の同一ハードウェアにて検証を行うことにする。

検証ツールとしてIMAPの負荷を発生させることができるmstoneを選択。
このツールは比較的簡単に高負荷を発生させることができるため、取扱に注意が必要。自分の管理サーバでないサーバに対して不用意に使用した場合、DoSを発生させることとなり、場合によっては威力業務妨害等犯罪構成要件を満たす可能性があるので注意。

純粋な試験用途に限って以下のインストール手順を参照されたし。

続きを読む

(まだ評価されていません)

Loading...

■Ubuntu 10.04 LTS リリース版のインストール
ついにUbuntu 10.04の正式版がリリースされたのでRC版で運用していたUL20AとU100に新規でインストールしてみた。betaやRCからのアップデートもできるようだが、こういうものはやはり新規インストールをし直す方が安全だと思う。

■10.04 LTS デスクトップ版のインストール
以下のダウンロード先からDesktop版をダウンロードする。
http://www.ubuntu.com/getubuntu/download

しばらく待てば日本語Remixもリリースされると思うが5/4時点ではまだ出ていない模様。
http://www.ubuntulinux.jp/products/JA-Localized/download

例によってUnetbootinを使ってisoをUSBメモリに焼く。
焼いたUSBメモリUL20AとU100に挿してUSBメモリから起動。
ディスク全体を使う設定で日本語指定してインストール。Wizardに従えば特に面倒はない。

インストール完了後すぐに再起動するボタンを選択すると今回他にも都合３台インストールしたのだが、全てスムーズに再起動できずI/Oエラーを出しながら止まってしまったので、やむを得ず電源長押しで落として、再度電源ボタンを押して起動することに。微妙。

再起動後、UL20AもU100も特に問題なく起動。なんだか起動がRCと比べても更に速くなっている気がする。ここで気付くのは日本語フォントがVLゴシックからTakaoフォントに変更されていること。うーん、液晶でも割と見やすいフォントだとは思うけど、ちょっと好みでない。/usr/share/fonts/trutype/以下を見ても今回はVLゴシックはインストール対象になっていないようなので、別途VLフォントをインストールする。

■VLゴシックのインストール
以下のVLゴシックのページからフォントをダウンロードする。5/4時点の最新はVLGothic-20100416.tar.bz2。
http://dicey.org/vlgothic/

ダウンロードしたフォントを展開し、VLGothicフォルダを開く。
VL-Gothic-Regular.ttfとVL-PGothic-Regular.ttfを残して他を消す。
その上でVLGothicフォルダを/usr/share/fonts/truetype/以下に移動する。

この時点で画面がリフレッシュされてVLゴシックがメインに反映される。が、一応所有権を変更しておく。
$ sudo chown -R root:root /usr/share/fonts/truetype/VLGothic

これで完了。

■起動速度の測定
設定は自動ログイン。無線LANの接続は認証ダイアログが出ないよう自動接続にしておく。
ちなみに無線LANの自動接続手順は以下。

　メニューから「システム」→「設定」→「ネットワーク接続」→「無線」
　接続している無線IDを名前の一覧から選択して「編集」ボタンを押す。
　認証ダイアログでパスワード入力
　編集画面が開いたらダイアログ下部の「全てのユーザで有効」にチェックして「適用」ボタンを押す。
　場合によっては「セキュリティ」タブでパスワード入力をする必要があるかも。
　これで無線LANへの自動接続が可能になる。

測定値。手動ストップウォッチなので多少の誤差はあるが平均してこんな感じ。

１）U100
　電源オンからデスクトップ表示まで　30秒
　電源オンから無線LAN接続完了まで　43秒

２）UL20A
　電源オンからデスクトップ表示まで　20秒
　電源オンから無線LAN接続完了まで　23秒

どちらもSSD搭載していることで非常に高速に起動する。若干U100での無線接続が遅い気がするが総合的には体感が向上している。
終了はどちらも電源オフからLED消灯まで５秒以内。とても快適。
レスポンスも非常によく十分常用に堪えると思う。

UL20Aで突然一瞬だけ画面が乱れることがある問題が直っていない模様。
beta版からたまに発生していたがリリースでも同じ。発生条件は不明。頻度が高くないのでスルーかな…。

(まだ評価されていません)

Loading...

■UTM専用マシンを低予算で組む
せっかく無償のUTMを利用するのにマシンが高価ではあまり嬉しくないということで、できるだけ低予算でUTMに必要なスペックが動作するように組んでみる。そして手元にあったDellのノートPC D600 PentiumM1.8GHz 1Gメモリのマシンでの動作報告も。ターゲットはuntangleとastaro。ブリッジモードで動作させることを前提とする。

■Dell D600 での動作
まずは軽くD600の動作報告。D600のスペックはPentiumM1.8GHz 1Gメモリ 40GHD 100MEthernet x1 カードスロットx1 USB2.0 x2。ブリッジモードで動作させるためにはEthernetの口が２つあると便利なので追加しないといけない。手元にあるLinuxの動作実績のあるバッファローのLUA3-U2-ATXを利用した。

１）untangle
　問題なく動作。untangle自体がDebianベースということもあり、Debianでの動作実績のあるLUA3-U2-ATXはドライバなどを用意しなくてもスムーズに認識された。もうひとつ手元にあるPlanexのUE-200TX-Gでも同じチップなのでたぶん大丈夫。おそらくDebian(lenny)で動作するものは（無線LAN除く）動作すると思われる。
　インストール直後のメモリ使用量は65%程度。CPU負荷も30%程度あったが落ち着いた後は数％程度になった。Webの管理画面はやや重い感じ。

２）astaro
　インストール自体はできるものの、LUA3-U2-ATXは認識されず。astaroのフォーラムやハードウェア互換リスト確認したところ、astaroはUSB及びPCMCIAのデバイスは一切サポートしていないとのこと。サポート外で使えるとか使えないとかはなく、そもそも認識しないようになっているらしい。インストール後コンソールからシステム構成を覗いてみても、ほとんどのサービスがchroot化されていて/var/log等も一般的なLinuxの構成とかなり違うため、外部から勝手にいじられないように相当しっかりカスタマイズされているようだ。セキュリティ製品としては安心感の高い造りになっているように感じる。ただその反面利用可能なデバイスが極めて限定されることになる。事実上Ethernetの口がひとつしかないノートPCや小型PCではastaroの利用はできないと思った方がよいということに。
　インストール直後のメモリ使用量は30%程度。CPU負荷は数%。Web管理画面は最初の読み込みに時間がかかるが操作は快適。

■専用マシンを組む
untangleは実際に試すことができたが、動作はやや重い印象だったことと、astaroをちゃんと動作させてみたいと思ったので、実家用に導入する前提で専用マシンを１台組むことにしてみた。予算はできるだけ低予算にしたいところだが、置き場所等の関係もあり低価格＆コンパクト＆静音のバランスを取ってトータル３万〜４万程度で検討。結果以下の構成になった。

　ケース：岡谷 MX1202-BK Mini-ITX 200W SFX電源付き（5800円 テクノハウス東映）
　マザーボード：Intel DG41MJ LGA775 Mini-ITX（7480円 テクノハウス東映）Giga Ethernet RTL8111D
　CPU： Intel Celeron DC E3400（5400円 テクノハウス東映）
　メモリ：PQI DDR2-800 1G x2（手持ち）
　HDD：Western Digital WD800BEVT（手持ち）
　PCIカード：Corega CG-LAPCITX（840円 T-ZONE PC DIY）100M Ethernet RTL8139D

一部手持ちのパーツを流用したので購入額は約２万。全部新規調達でも３万円程度ということでまずまず。光学ドライブは手持ちの外付けを利用。
実際組み上げてみるとケースの電源がCPUファンにちょっと当ってしまうのだが、ケースのフタが閉められないというレベルではなく異音もしないので、無理やりそのまま組んでしまった。CPUファンはリテールのまま、音はあまり気にならない。電源ファンの音は多少気になるが比較的低い音で耳障り度は低いのでそのまま利用できそう。組み上げてまずはUbuntu10.04で動作確認。USBメモリからの起動でも十分快適に動作。CPUコアも２つ、Ethernetもちゃんと２つ認識されている。消費電力はインストール途中のMAXで52W、インストール後のアイドル状態で31W程度。十分省エネかな。

このケースを選んだのは一応電源がSFX規格なので交換が容易と思われたから。ATX電源を搭載可能なものもあったが値段が高目だったりオプション購入しないとPCIスロットが使えなかったりで微妙だったため除外。余裕のある時にまた試してみたいところだが…。

■専用マシンにastaroをインストール
Astaroの公式ページで必要事項を入力しHomeライセンスを取得する。
http://www.astaro.com/landingpages/en-worldwide-homeuse__register

レジストすると「Astaro Security Gateway Home Use Firewall」というメールが送られてきて、そこにダウンロードURLと「astaro_home_license.txt」というライセンスファイルが添付されている。指定されたダウンロードURLから最新のisoをダウンロードする。（４月末時点でasg-7.504-100318-1.iso）

isoファイルをCDに焼き、組んだマシンにつないだUSB CD/DVDドライブから起動する。（USBメモリ起動でもたぶんOK）
起動後は英語の画面でWizardが表示されるので、それに従ってENTERとF8を押していく。
インストール先のHDDのデータは完全消去されるので注意（デュアルブート設定などはできない）。

Wizardに従うだけでこの時点では多くの設定はしないが、注意が必要なのはマネージメントに利用するEthernetデバイスを指定してIPアドレスを設定する画面で、必ず上記で紹介したハードウェア互換リストにあるデバイスを指定すること。今回のマシンには内蔵GigaEthernetにRTL8111D、PCIバスに100MEthernet RTL8139Dが接続されていて、どちらもインターフェースとしてastaroのインストーラで認識される。しかしRTL8111Dは互換リストになく、こちらをマネージメントデバイスとして設定しIPを設定すると、インストール完了後にデバイスが有効になっておらず指示されるURLにアクセスできない状態に。この場合には互換リストにあるPCI側のRTL8139Dをマネージメントデバイスとして設定する必要がある。

マネージメントデバイスを設定してインストール完了したら、画面に表示されたURL（https://host-IPaddress:4444/）に別マシンからアクセスする。
そこで管理者のパスワードを設定して、ログイン後各種設定をする。ログイン後はRTL8111D側も適切に設定できるようになる。
　
　
Astaroのインストール自体は本当にシンプルですが、ハードウェアの選択が非常に重要になりますので注意が必要です。untangleに比べて高機能なこともあり、設定等がやや複雑なのでAstaroの設定はまた別に書きたいと思います。

(まだ評価されていません)

Loading...