zabbix サーバー&エージェントインストール 2015年10月09日

My Day

久々に必要があってZabbixというLinuxベースのオープンソースのサーバーモニタリングツールであるzabbixをサーバーとエージェント両方のモジュールをインストール。

Zabbix – Wikipedia
↑ 後述するが、ある1台のマシンのCPU使用率、メモリ使用率、HDD使用率を見るくらいならSNMPとかでエージェントレスでも見れた模様。。。

v1.8.1を入れましたがインストール手順はだいたい以下で。

Zabbixのインストール(RPM編) | ZABBIX-JP

エージェントのインストールは至極簡単ですが、サーバー側のインストールが難しくはないものの、PHPやApache、DBとして使用するMySQLなどを別途手作業でインストールする必要があり、そちらの初期設定などZabbixのパッケージインストールとは別物なので少々時間がかかってめんどくさい。

Linuxのアプリケーションでも商用のものだとアプリケーションとともにだいたいDBが同時にインストールされて・・・なんてお手軽に作ってくれているものだから、たまにこういうオープンソースでインストールに手間のかかるものにあたると手間取る。

Zabbixのサーバー、エージェント、MySQLのインストール

yum install zabbix zabbix-agent zabbix-server zabbix-server-mysql zabbix-web zabbix-web-mysql
yum install mysql-server

から /etc/my.cnf の編集、DBサーバーの起動、zabbix用DBの作成、zabbix用DBユーザーの作成、スキーマのインポート などなど。ずーっとzabbix用DBユーザーの作成の権限設定でエラーが出続けるので結構迷ったが単純にprivilegesの綴を間違えて頂けでガックリ。。。zabbixサーバーのユーザーインタフェースになるHTTPサーバーはzabbixサーバーとともにインストールされているので( ← たぶん)そのまま http://own_zabbix_server_IP_Addr/zabbix を開く。そしたら今度はPHPの設定チェックが走り、エラーがある場合、php.iniファイルをviなどで手作業で直します。php.iniファイルを編集した後にはhttpdの再起動が必須。なのでhttpdの上で動いているウェブコンソールはチェックだけで修正までカバーしてくれてません。。。

ウェブコンソールの初期設定をすべて終わらせたら再度 /etc/zabbix/zabbix_server.conf でzabbixサーバーの設定。でもこれはウェブコンソールで設定した接続先DBの情報を手作業でconfファイルに書いてあげるぐらいの作業。

エージェントのほうは接続先のIPアドレスとサーバーのホスト名などを /etc/zabbix/zabbix_agentd.conf に書いてあげるだけなので結構簡単。

これで基本的にはzabbixサーバー、エージェントともに立ち上がります。さらに今度はウェブコンソール側で再度監視対象としてzabbixエージェントのホストを登録して、どういった項目を監視するかを登録する必要があってsquidのプロキシサーバーを1台モニタさせようと思っただけなんだけどかなり時間がかかった。とりあえず簡単にSquid入れてるサーバーのCPU使用率とかメモリ使用量、ディスクの使用量を見たかったのでLinuxのモニタテンプレートを当てて設定完了。

最後はchkconfigで各サービスがサーバーの起動時に立ち上がるように設定されているかを確認しておくことですな。

後はSquidのログ解析ツールを入れて終了というところですがこれはまだ未完。

Backup4allというバックアップツール 2014年11月28日

Backup

ちょいとウェブでいろいろ見ていたら気になるアプリケーションがあった。

Backup Software – Protect your Data

Windowsのバックアップツールで日本語化されていないので英語が苦手な人にはキツイのかもしれないけど英語が出来る人には非常にいいツールになりそうな予感がする。

機能をざっと書き出すと、

フル・増分・差分(Full/Incremental/Differencial)バックアップをサポート

バックアップ元にファイル共有のフォルダを指定可能(NASなどをリモートでバックアップ)

バックアップ先にはファイル共有、ローカルディスク、USBディスク、CD/DVD、FTP/SFTP、AmazonS3やMS Azureなどのクラウドバックアップもサポート

バックアップ世代管理もサポート

当然スケジュールバックアップもサポート

Eメール通知もサポート

Backup4allのインストール先としてWindows 8.1/8/7/Vista/XP/Windows Server 2012/2008/2003 と現実的にWindowsOSはすべてカバー

Webからインストーラーをダウンロード可能でフル機能の試用版が30日間

なによりも素晴らしいのはBackup4allの最上位のフル機能版でライセンスの価格が49.99USDという超破格値。ていうか個人で買えてしまう価格です。これは仕事でもプライベートでも使えるんじゃないかと現在テスト中。とりあえずWindows Server 2003上でテストしてみてますけどクラウドバックアップ以外はひと通り問題なく動いている感じ。ちょっと設定がややこしかったので後でまた設定方法をまとめてみますかね。

LINE 乗っ取られは。。。 2014年08月25日

Line powered by Naver Japan NHN
“Line powered by Naver Japan NHN by Jon Russell, on Flickr”

LINE乗っ取りの実情聞いてるとどうもパスワードの設定とか、モバイル側での設定とかそんなのじゃなくサーバーが脆弱性もっててサーバー側で丸ごと乗っ取られてるんじゃないかという気がしなくもない。

*つい先日の知り合いの事例
1. パスワードはランダムに発生させた文字列12文字以上
2. そのパスワードはLINE専用、他のサービスで使っていない
3. PIN CODEは設定済みとのこと
4. Email設定済みで他のPCでログインは可能

この人はセキュリティ対策もわかってる人なのでちゃんとパスワードはランダム関数で発生させた意味をなさない文字列のパスワードで12文字以上のものを設定していた。そして他のサービスではこのパスワードは使ってないらしい。

乗っ取りのひとつの理由として他のサービスで同じパスワードを使っていて、それが情報流出で乗っ取り犯に情報が渡り、そのパスワードでログインされるというもの。しかし、今回の場合それには当たらないし、パスワード情報が流出しようがほとんどの場合はパスワード情報自体はハッシュ値で保存されているだろうから、それはそのまま使えない。そのハッシュ値のもとになる文字列を探し当てるために再度総当りが必要になってひとつひとつのパスワード解析に時間がかかりすぎる気がする。

9-1. パスワードの取り扱い : IPA 独立行政法人 情報処理推進機構:情報セキュリティ

結局パスワードの総当たりなどで突破しようとすると一件一件に時間がかかりすぎて、その後のiTunesカードを買って送ってくれ作戦の成功率を考えてもそれだけ時間をかけるメリットがない。パスワード解析の暁には確実に騙して金を手に入れることができるのであれば時間かけてもやるだろうが、その後のメッセージの送り方、騙し方を考えると成功率は全然高くないはず。

セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティ

上記のリンクではPC上で総当りの手法でzipファイルのパスワードやMS Officeファイルのパスワードの突破を試みるときにかかる時間について実験してるが、英文字大小、数字、記号が入力できるパスワードで10桁のものが設定されていた場合すべてのパスワードのパターンを試すまでに341年かかる。これをネットワーク越しにやるなら時間的には何倍、何十倍とかかるはずなので、こんなことをやるぐらいならもっと金になる話がいっぱいあると思う。

今回のパスワードが突破されたことを考えたら、逆にサーバー側になんらかの脆弱性があって、乗っ取る時はサーバー丸ごと一台分、ユーザ数は何十万人分とかを一気に乗っ取って、それに対してiTunesカード買ってくれメッセージを一斉送信、返答のあるアカウントだけ、人が個別対応、とするなら効率的なんである程度やっても意味があるかなと思う。

LINEの他端末でのログインを不可にすれば乗っ取られの実績はないみたいだが、サーバー側が乗っ取られるのであれば、その対策も簡単にサーバー側で設定が書き換えられてしまう可能性があってすぐに他のPCでログインされてしまうと思う。とすればユーザ側でパスワード変更やらの設定で対策しようが何も意味がなく、サーバー側で脆弱性対策をしっかりやってもらわないといつまでもなくならいということになる。ネットでも「サーバー側に問題あるんじゃない?」的な事を書いてる記事が出てこないんだけどホントにユーザ側設定が原因で乗っ取られてるのかな?100%がそうじゃないと思うんだが。。。

まあ上記のような勘ぐりをしてしまう。ただ、個人的にはこういうセキュリティハッキング的な話なんて職場の人間とするようなこともとんとなくなっており、そういうニュースも最近は全然読まないので全然見当外れの内容を書いてしまってるかもしれない。なんか具体的にこんな形でハッキングしてんだよ、ってな面白い話を知ってる方はぜひご教示ください。。。

んで、結局現状LINE使ってる人はどうしたらいいの?って質問の答えは、「使わない」がいいんじゃないでしょうか。。。通常の使い勝手は別に悪くないんだが端末リセットした時とか、他の端末に乗り換えた時にメッセージ引き継げないのが(絶対サーバー側にメッセージ残してると思うんだけどなぜにユーザーに見せないのか?それともホントにサーバー側に残してないの?)どうもめんどくさくてイマイチ好きじゃないんだよなあ。それ考えるとFacebookメッセンジャーのほうが使いやすい。メッセージデータはサーバーにあってマルチデバイス対応ですもん。LINEと同じぐらいに使ってるユーザー多いし。ですが、他のサービス使おうが本質的に乗っ取りのリスク自体はLINEと一緒ですな。SMS使うか。。