tksm.org

Ubuntuにしたらsshが新しくなった(7系？)ので古いCentOSに鍵認証(id_dsa)で繋がらなくなったのでメモ
鍵を作り直せばいいのですが、いろいろ手間もあるので、とりあえずつながるようにする方法

.ssh/configに追加

Host *
    PubkeyAcceptedKeyTypes +ssh-dss

　
　
次に、そんなものが残ってるかはおいといて、RHEL3とかにはさらに、ChipherスイートがNGなので、つながるようにするメモ

# ssh xxx.xxx.xxx.xxx
Unable to negotiate with xxx.xxx.xxx.xxx port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se

こんなメッセージでるので、
　
.ssh/configに追加

Host xxx.xxx.xxx.xxx
  Ciphers aes128-cbc

もう一つ
sshdサーバとなる側で、鍵認証のキーを弱くしたい場合(クライアント側がed25519が新しすぎて対応できない場合)
/etc/ssh/sshd_config

PubkeyAcceptedKeyTypes=+ssh-dss

を追記

Excel2016ぐらいからだと思いますがExcelでピボットテーブルを作成した時に日付が勝手にグループ化して直し方わからなかったのが、設定であったのでメモ

Excelオプション→データ→□ピボットテーブルで日付/時刻列の自動グループ化を無効にする(G)

のチェックを「ON」にする

　
　
ついでに、YYYY/MM/DDとかを入れてるセルなのに、並び替えると日付になっていないのかうまく並ばない時に、日付に設定しなおすやつ。(文字列、数字でも有効かと)

該当の範囲を指定→「データ」タブ→「区切り位置」

あとは次へで進んでいいって、日付(YMD)とかにすればその列がキレイになります。
(CSVなどを読み込む際に設定するウィサード？)

SMTPとかPOP3とかSSHとか外部からの攻撃が面倒だけど、開けないわけにもいかないので日本のみとかでフィルタする方法

世界の国別 IPv4 アドレス割り当てリスト(Office Nami)

そのものズバリなリストがあるので、しかも適宜更新されているようなのでありがたく使わせていただくと。

http://nami.jp/ipv4bycc/cidr.txt.gz

がCIDR方式のファイルで、iptablesにも加工して入れやすいので、このページにもサンプルありますが、sedなどで加工してiptablesのコマンドに投げてあげればOKかと。

Allow,Deny式であれば以下のような感じ(抜粋)

iptables -P INPUT ACCEPT

wget http://nami.jp/ipv4bycc/cidr.txt.gz
gunzip -d cidr.txt.gz

sed -n 's/^JP\t//p' cidr.txt | while read ipaddress; do
    iptables -A INPUT -s $ipaddress -j ACCEPT -p TCP -m multiport --dports 25,587,465
#    iptables -A INPUT -s $ipaddress -j ACCEPT -p TCP --dports 25
#    iptables -A INPUT -s $ipaddress -j ACCEPT
done

iptables -A INPUT -j DROP -p TCP -m multiport --dports 25,587,465

ノートPCのタッチパッドですが、個人的にはあまり得意でなく、ファイルを選択してドラックなんてしようものなら変なところに落っこちてしまったり、キーボードでタイプしてると、タッチパッドに触ってしまって、カーソルが変なところに行ってたりとか、ノートPCメインの人たちは器用だなと思いつつマウスをつないで使っているのですが、メーカ？品の場合は、ドライバアプリなどががはいっていて、マウスを繋ぐとタッチパッドがOFFにできるものがついてることも多いのですが、今のやつは添付アプリがないやつなので、どうしようと思ってググってたら、そもそもWindows10の機能についてた模様。
　
いつのバージョンからは不明ですが、

設定→デバイス→タッチパッド

「マウスの接続時にタッチパッドをオフにしない」
なんて、そのまんまの設定ありました。
　

前記事のCentOS7のyumでUpdateしてハマった記事を書こうとしたらWordpressも勢いで5にあげてたので、エディタが変わってて記事が投稿できなくてハマった件(笑)

いつもテキストエディタで元ネタを書いて、貼り付けてたので、新しい記事のエディタだとうまくいかない模様。(っていかためしに「あああ」だけにしても「Updating faild」だしなんかおかしいのかな？？？)

まぁ、とりあえず、「Classic Editor」のプラグインをいれると従来型になります。

新しいエディタは「Gutenberg」とのことで(最近ついて行けてないので知らんかった)、ちょっとググって調べてみましたが、装飾などはしやすそうな気もしますが、テキストサイトだったらあんまりメリットなさそう、テキストエディタ作るか、Wordで書くかみたいな感じ？

CentOS7をなにげにyum updateしたらFTPが繋がらなくなって久しぶりに(しかも二重で)ハマったのでメモ

＜1件目＞
vsftpd を使用していて、かつ、Tcp Wrapperをつかっていて、IPはIPv4のみ。

おそらく、vsftpd-3.0.2-24 で、IPv6の認識が修正された点(詳細は未確認)により、
Tcp Wrapperで「/etc/hosts.allow」にIPv4のIPが記載されているものがマッチでき
なくて、「Connection refused: tcp_wrappers denial.」となってしまう。

2018-05-16 - Ond?ej Lyson?k  - 3.0.2-24
- Fix reverse hostname lookup with IPv6
- Resolves: rhbz#1576705

→対処
vsftpdがIPv6を使用しないように変更
/etc/vsftpd/vsftpd.conf

< listen=NO
< listen_ipv6=YES
> listen=YES
> listen_ipv6=NO

＜2件目＞
FTP専用ユーザなので、ログインシェルを「/sbin/nologin」にしていたら
つながらなくなった。

setup-2.8.71-10.el7.noarch へのアップデートで、「/etc/shells」の
「/sbin/nologin」「/usr/sbin/nologin」が削除された。(なにしてくれんねん)

2018-06-21 - Ondrej Vasik  - 2.8.71-10
- fix crudp name in /etc/protocols (#1566469)
- do not list /sbin/nologin and /usr/sbin/nologin in /etc/shells
(#1571104)

→対処
「/etc/shells」に「/sbin/nologin」「/usr/sbin/nologin」をviなどで追加しなおす

　
　
　
まぁ、テキトーにupdateしたのが悪いのですが、どちらもちょっとなんだかなーとおもいながら他のサーバのアップデートの際に気をつけよう

IEの互換表示設定ですが、追加するとドメインに対しての追加しかできないので、一部のURL(ホスト名)のサイト「だけ」がということができません(なんか意味あるのかな？)

ということで、ローカルグループポリシーで設定すると可能なのでメモ
　
gpedit.mscで、ローカルグループポリシーエディターを起動
　
管理用テンプレート→Windowsコンポーネント→Internet Explorer → 互換表示
Internet Explorer 7 サイトのポリシー一覧を使用

　
有効に変更して、サイトのリストにURLを追加

Adobe Acrobat Reader DC をいれてある端末でPDFを開いた時に気になってた件。

かならず、ツールパネルウィンドウが右側にでてきて邪魔なんですが、デフォルトで閉じれるんじゃないのと思ったので確認

昔のバージョンだと画面が違うようですが、最新だと、

「編集」→「環境設定」→「文書」→「ツールパネルの現在の状態を記憶」にチェック

して、ツールパネルウィンドウを閉じた状態でReaderを終了すれば次からはでなくなるはず。
　
　
意外と最近のは起動も速いのでAdobe純正のReaderでも使えないことはないかなと思ったりもしますが、PDF開くだけならSumatra PDFとかのほうが軽くていいかな。

CentOS7のサーバを複製してみる(Hyper-V → VMWare)
VHDをコンバートしてってもできそうな気もしますが、ssh経由のdump,restoreを使って複製してみる

パーティションは「/」だけにした。
スワップパーティションを作ってもいいし、swapファイルを作ってマウントしておいてもいいかと。
あとは自分用メモなので、コマンドの参考にでも。　
　
　
空のゲストOSを作成
複製したいサーバと同じLANインターフェースにする(つながればルータ超えてもかまわない)
CentOS7のISOファイルをマウントしてrescureモードで立ち上げ
fdiskでパーティション作成
mkfs.xfs でフォーマット
　
レスキューモードの複製先のサーバにIPアドレスを付与

  ip addr add 192.168.1.200/24 dev eno16780032

　
マウントポイント作成しディスクマウント

mkdir /dump
mount -t xfs /dev/sda1 /dump

　
複製先から複製元へSSHで繋いでdump,restoreで複製
xfsなので、xfsdump,xfsrestoreを使用(ext3などならdump,restore)

ssh 192.168.1.100 /sbin/xfsdump - /dev/sda1 | /sbin/xfsrestore - /dump/boot
ssh 192.168.1.100 /sbin/xfsdump - /dev/mapper/centos-root | /sbin/xfsrestore - /dump/

　
一旦リブートし、再度ISOファイルからブートしてレスキューモードで起動

chroot /mnt/sysimage/

　
起動用のRAMディスク再作成

cd boot
mv initramfs-3.11.9-200.fc19.i686.PAE.img initramfs-3.11.9-200.fc19.i686.PAE.img.old
dracut initramfs-3.11.9-200.fc19.i686.PAE.img 3.11.9.200.fc19.i686.PAE

　
/etc/default/grubを確認(vga=771にしとけばコンソールがデカくならない)

GRUB_CMDLINE_LINUX="vga=771"

　
起動用のgrub.cfgを自動作成して、grubをブートローダーに書き込む
(grub2になって、configが手書きするのは難しいので自動作成する)

grub2-mkconfig -o /boot/grub2/grub.cfg 
/sbin/grub2-install /dev/sda

　
再起動してちゃんと起動すれば完了

従来は/etc/inittabの変更でしたが、CentOS7から変わったのでメモ

id:3:initdefault:

ランレベル変更(CentOS7)

RunLevel 1（Single)  sytemctl set-default rescue.target
RunLevel 3（CLI）     systemctl set-default multi-user.target
RunLevel 5（GUI）     systemctl set-default graphical.target

CentOS7でも懲りずにvpopmail使っていますが、IMAPするのにDovecot使いたいのでSRPMからパッケージ再作成してインストールして設定してみる。
以下は、qmailとvpopmailはインストール済みでメールサーバとしては動いているところからになります。
　
qmail+vpopmail+Dovecot(CentOS5)のCentOS7への書き直し版
(ちょっとメモが不十分なので違うところがあるかも)
　
　
◆Dovecotのパッケージ作成とインストール
※とりあえず今のdovecotをアンインストール

rpm -e dovecot

※RPMをとってくる(バージョンなどは随時新しいファイル名で)

wget http://vault.centos.org/7.5.1804/os/Source/SPackages/dovecot-2.2.10-8.el7.src.rpm

※環境作るのに必要そうなものをyumでインストール

yum install rpm-build
yum install pam-devel bzip2-devel libcap-devel libtool autoconf automake sqlite-devel postgresql-devel mysql-devel openldap-devel quota-devel gettext-devel clucene-core-devel libcurl-devel xz-devel tcp_wrappers-devel

※SRPMをインストール
/home/vpopmail 以下のライブラリを見るのでroot以外だとvpopmailのユーザか/home/vpopmailを0755とかにしないとうまくいかないので、rootで作業したほうが楽

su -
cd 
rpm -ihv dovecot-2.2.10-8.el7.src.rpm

※specファイルを編集
configure のオプション内に「–with-vpopmail」を入れる
→rpmbuild/SPECS/dovecot.spec

%configure                       \
    --with-vpopmail              \ ← 追加

※コンパイル(パッケージ作成)

rpmbuild -bb --clean rpmbuild/SPECS/dovecot.spec

※作成されたパッケージをインストール

rpm -Uhv rpmbuild/RPMS/x86_64/dovecot-2.2.10-8.el7.x86_64.rpm

　
　
◆yumでアップデートされないように
→/etc/yum.conf

exclude=dovecot

　
　
◆Docecotの設定
→/etc/dovecot/dovecot.conf

#protocols = imap pop3 lmtp
protocols = imap           ←必要なプロトコルだけにしておく
#listen = *, ::
listen = 127.0.0.1         ←WebMailなどでローカルだけの接続でよければこちら

→/etc/dovecot/conf.d/10-auth.conf
「!include auth-system.conf.ext」をコメントにし、「!include auth-vpopmail.conf.ext」をコメントアウト

#!include auth-system.conf.ext
#!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
!include auth-vpopmail.conf.ext
#!include auth-static.conf.ext

(実はこの後「!include auth-system.conf.ext」が残っていてメーラからIMAPで繋がらなくてハマった)

→/etc/dovecot/conf.d/auth-vpopmail.conf.ext
コメントアウトをはずす

  args = quota_template=quota_rule=*:backend=%q

　
　
その他設定(Quota機能でディスクの使用容量を取得させる)
→20-imap.conf

protocol imap {
  mail_plugins = quota imap_quota
}

→90-quota.conf

plugin {
  quota = maildir
}

サービスの自動起動など

systemctl enable dovecot

やって意味があるかどうかわからないですが、別の切り分けでCentOS7のIPv6を停止した時に確認したのでメモ

とりあえず一時的であれば

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 1 > /proc/sys/net/ipv6/conf/default/disable_ipv6

とか

sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

　
　
恒久的にであれば
/etc/sysctl.d/disable_ipv6.conf とかを作成して(ファイル名は任意)

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

再起動か、「sysctl -p」で更新

　
　
留意事項としては、
◆Postfix
ipv4だけ使うよう指定する
/etc/postfix/main.cf

#inet_protocols = all
inet_protocols = ipv4

ipv6を無効、かつinet_protocols=allだとpostfixを起動出来ない。
　
　
◆SSH
AddressFamily を anyからinetに変更
/etc/ssh/sshd_config

#AddressFamily any
AddressFamily inet

こっちはどっちでも動いたような気もしますが、一応

Excelで数値を貼り付けた時に、「数値が文字列として保存されています」となって並び替えとか合計がうまくいかない件
あと、日付とかの型が合わない件の修正方法。

やり方知らなくて、違うシート作ったりしてコピーしてたけど、あまりにも多くてどうんもならんなとおもってたところ、ググったら簡単にできたので嬉しくなってメモ(笑)

セルを範囲指定 →　データタブ　→　区切り位置　→　「次へ」で進める

MySQLサーバの引っ越し中、ダンプしたファイルを食わせたらエラーになったのでメモ

ERROR 2006 (HY000) at line 580: MySQL server has gone away

/etc/my.cnf

[mysqld]のところに追記
max_allowed_packet = 32M

32Mでいいのかはわからんがとりあえず通るサイズしてみる
　
　
ってそれじゃなんなんで、値を調べる方法

mysql -u root -p

変更前
MariaDB [(none)]> show variables like 'max_allowed_packet';
+--------------------+---------+
| Variable_name      | Value   |
+--------------------+---------+
| max_allowed_packet | 1048576 |
+--------------------+---------+
1 row in set (0.00 sec)

32MBに変更後
MariaDB [(none)]> show variables like 'max_allowed_packet';
+--------------------+----------+
| Variable_name      | Value    |
+--------------------+----------+
| max_allowed_packet | 33554432 |
+--------------------+----------+
1 row in set (0.00 sec)

→CentOS7のMariadbのデフォルトは1MBの模様

たまにはアップデートしておくかとyum updateしたらエラーになってしまった件

yum update –skip-broken でもなおらなかったので
epelリポジトリがあったので、epelをいったん止めてyum updateしたらうまくできた。

/etc/yum.repos.d/epel.repoを直接編集したけど
コマンドだとこんな感じか？

yum --disablerepo=epel update 

---> パッケージ perl-Mozilla-CA.noarch 0:20130114-5.el7 を インストール
---> パッケージ systemd-libs.i686 0:219-57.el7 を アップデート
--> 依存性の処理をしています: liblz4.so.1 のパッケージ: systemd-libs-219-57.el7.i686
--> 依存性解決を終了しました。
エラー: パッケージ: systemd-libs-219-57.el7.i686 (base)
             要求: liblz4.so.1
 問題を回避するために --skip-broken を用いることができます。
 これらを試行できます: rpm -Va --nofiles --nodigest

◆LANG=Cの場合

---> Package perl-Mozilla-CA.noarch 0:20130114-5.el7 will be installed
---> Package systemd-libs.i686 0:219-57.el7 will be an update
--> Processing Dependency: liblz4.so.1 for package: systemd-libs-219-57.el7.i686
--> Finished Dependency Resolution
Error: Package: systemd-libs-219-57.el7.i686 (base)
           Requires: liblz4.so.1
 You could try using --skip-broken to work around the problem
 You could try running: rpm -Va --nofiles --nodigest

Windows10(1709)で「.NET Framework 3.5」を役割の追加でインストールしようとしたらエラーになってしまうじゃんということで対処方法

インストール媒体をマウントして媒体からインストールすればいけそう
(D: はISOファイルをマウントしたり、DVDなどのメディアをいれてあるドライブ)

DISM /Online /Enable-Feature /FeatureName:NetFx3 /All /LimitAccess /Source:D:\Sources\sxs

ssh.com形式から、OpenSSH形式で使える形式に変換する方法
ssh.com形式って当初はこっちが本家だったよなとなんとなく思い出しつつ変換方法をメモ

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-aaa"
ごにょごにょ
---- END SSH2 PUBLIC KEY ----

の公開鍵をOpenSSHで使える公開鍵

ssh-rsa ごにょごにょと1行

に変換する、ssh-keygenで変換可能
　
　
SECSH → OpenSSH(import)

ssh-keygen -i -f secsh.pub > openssh.pub

　
　
逆のパターンであれば、OpenSSH → SECSH(export)

ssh-keygen -e -f openssh.pub > secsh.pub

自宅のWifi環境ですが「WHR-1166DHP」を２台でWDSして、AP用とNASなど接続しているのですが、Wifiが輻輳するのかつながりがすごく悪い時があるので、AP側を交換してみた。

WHR-1166DHP は購入履歴をみると2015年2月に購入して、3年前だったようなのですが、今回はBuffaloをやめてNECのAterm WG1200HP2をチョイス

基本的にエントリ、中堅機ぐらいで、お値段が手ごろなものを選択しましたが、867Mbps+300Mbps タイプなので仕様は前のと同じだった(^^;
でも、ハイエンド機はチャンネルを束ねて速度を出すだけなので、近所にWifiが飛びまくりな環境だとどうせ速度出せないよねとも思ったり。
　
「WG1200HP2」になったことで、前回「WHR-1166DHP」にしたときにあきらめてた、「見えて安心ネット」「こども安心ネットタイマー」の機能で、接続する端末ごとに使用できる時間帯を制御できる機能がついてますので、息子くんのWifiの使用時間帯の制御が簡単に可能になります。（いままでは息子くん用の別の専用APを建ててたので１台減らせます）
　
で、「WG1200HP2」をメインAPとして、「WHR-1166DHP」子機側にして、WDSとして接続してみたのですが、WDS間がすこぶる調子が悪くとても不安定で、しまいには切れて繋がらなくなる状態に、なんとなくチャンネルが輻輳してそうなので、AP側の「クワッドチャネル機能」を使用しないにしてチャンネルを複数使わないようにすることで安定しました。最大速度はでなくなりますが、そもそもそんな100Mbps単位で通信は必要ないので、レスポンスよければそれで良しです。
　
そんなこといったら、「WHR-1166DHP」でも、チャンネル数減らせば解決したんじゃね？と思ったりもしましたが「こども安心ネットタイマー」がついたのでよしとしておきます(笑)
　

「WAS-LX2JC635B188」がOTAで降ってきたので更新

前回同様に、BootLoaderで「PHONE Unlock」「FRP Locked」なのでTWRPにしたRecoveryがStockのRecoveryにfastbootで戻せない状態。
また、バックアップとって、ReLock,UnLockは面倒だなと思いながら、試しにTWRPのままOTAを当ててみる。

ダウンロードして再起動後、リカバリを起動してくると、TWRPが起動してしまうので、ここでイメージインストールしちゃえばいいんじゃねということで、OTAでダウンロードされたファイルをTWRPからインストール、なんかすこしエラーっぽいところもありましたが、再起動するときちんと更新できてしまった模様。rootもその他アプリもそのままだったので、これていいのかな？（しばらく使ってみないとなんとも言えませんが。。）
　

/data/update/HwOUC/118082/update.zip
/data/update/HwOUC/118082/update_data_public.zip
/data/update/HwOUC/118082/update_WAS-L22J_hw_jp.zip

FTPじゃ暗号されなくていやーんとなってきたのでsftpを調査
sftpといってもSSHが外部に公開されるので攻撃されたら困るので、sftpユーザはchrootすることとシェルでログインできないようにする設定

/etc/ssh/sshd_configの最後ぐらいに追記

Match User test-*
  ChrootDirectory ~
  ForceCommand internal-sftp
  #ログを/var/log/secureに落としたい場合
  #ForceCommand internal-sftp -f local5 -l INFO

　
sftpを利用するユーザは「test-*」の命名規則にする
ログイン後chrootされて、「/upload/」 フォルダが読み書き可能
「/」はownerがrootのため、読み込みのみで書き込みはできない
のようにする場合は、以下のような感じ。

adduser test-sftp01
chown root:root /home/test-sftp01/
chmod 755 /home/test-sftp01/
mkdir /home/test-sftp01/upload/
chown test-sftp01:test-sftp01 /home/test-sftp01/upload/

　
chrootしたディレクトリのOwnerがrootでないと以下のようなエラーとなる
/var/log/secure

 fatal: bad ownership or modes for chroot directory component "/home/test-sftp01/" [postauth]

　
sftpでchrootに設定しているユーザがSSHで繋ごうとすると以下のようなメッセージで接続拒否する

This service allows sftp connections only.

　
　
＜追記＞
CentOS6の場合
（openssh-server-5.3p1-123.el6_9）

#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp

として、大本のsftpのSubsystemを切り替えておかないと
以下のようなメッセージで怒られることが判明、
Match User句でForceCommandでinternal-sftpを指定して
いてもNGな模様。

 subsystem request for sftp
 error: subsystem: cannot stat /usr/libexec/openssh/sftp-server: No such file or directory
 subsystem request for sftp failed, subsystem not found
 The session allows sftp connections only

＞ CentOS7(openssh-server-7.4p1-13.el7_4)はSubsystemは変更なしでもOKでした。

　
＜その他メモ＞
Match User の中にsshd_configで個別ユーザに設定できるような制御も可能
→鍵認証のみにする、しない
PasswordAuthentication no
→umaskを変えたい場合
ForceCommand internal-sftp -u 002