FAQ概要

[シチュエーション]
Windows端末で、Teratermでリモートログイン(SSH)している際に、ログをtail -f で追っている。
ログは断続的に出てくるので、画面に張り付いた状態は面倒

[一時対策]
Teratermは、BEL文字が表示された際に、BEEP音が鳴るのを活用。
何気なく、bashのTAB補完している時などに、Windowsから「ぽーん」と音が鳴る奴

$ tail -f ログファイル名 | perl -spi -e "s/$/^G/"
   → キャレット(^)G の入力は、Ctrl + v , Ctrl + g

squidのaccess.log , rrdtool fecth の出力時の時間列がエポック秒
とりあえず、（時間を）見やすくしたい。

squidのログは、事前にログフォーマットを定義し、アクセスログに適用しておけば良いのだが、
やってなかった時や、管理者が設定変更を（何らかの理由により）やってくれない時など。。。。

[squid]
 $ cat access.log | perl -pe 's/^(\d+\.\d+|\d+)/localtime $&/e'

[rrdtool fetch]
 $ rrdtool fetch foo.rrd AVERAGE -s 20220101 | perl -pe 's/^(\d+\.\d+|\d+)/localtime $&/e'

通常、ステータスがエラー状態(Faild)なら、エラー状態を調査して復旧させるのだが、
もう、そのサービス(プロセス)は使わないとなった場合がある。レアケースだと思うが。

このような事象頻度は、そうそう無いのでOS再起動とかでやり過ごしていたが、
安易にOS再起動出来ないサーバーで起こってしまったので、調べてみた。

このサービス(プロセス)は使わないので、
#  systemctl stop sav-update.service
#  systemctl disable sav-update.service
を実行するも、

UNIT LOAD ACTIVE SUB DESCRIPTION
● sav-update.service loaded failed failed "Sophos Anti-Virus update"

と、エラー表示が残り続けたので、

# systemctl reset-failed sav-update.service
とする事で、除外された。

〇 秘密鍵作成

【パスフレーズなし】
$ openssl genrsa 2048 > server.key

【パスフレーズあり】
$ openssl genrsa -des3 2048 > server.key

〇 CSR作成

【対話型/秘密鍵作成済み】
$ openssl req -new -key server.key -out server.csr -sha256

【対話型/秘密鍵作成(パスフレーズなし) + CSR 同時作成】
$ openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -sha256

【ワンライナー/秘密鍵作成(パスフレーズなし) + CSR 同時作成】
$ openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out server.csr -subj "/C=JP/ST=Tokyo/L=Shinjuku-ku/O=ExampleCompany/CN=www.example.jp/"

〇 CSR確認

$ openssl req -in server.csr -text

〇 証明書発行

【openssl.cnf 諸設定済】

   -> 括弧[xxx]は、openssl.cnfに記述していれば不要。引数で渡した値が優先)
$ openssl ca -config openssl.cnf -in server.csr -out server.pem [-md sha256] [-days 365] [-extensions usr_cert]

〇 証明書確認

$ openssl x509 -in server.crt -text

〇 証明書失効

    -> xx(シリアル値)は、index.txtを確認
$ openssl ca -config openssl.cnf -revoke newcerts/xx.pem

〇 自己署名

$ openssl req -new -x509 -newkey rsa:2048 -nodes -keyout server.key -out server.pem -sha256

１．現状態を確認する
      VMwareでオンラインでHDDを追加した際に自動認識するかどうかは、VMwareのディストリビューションや、OS、自動認識させるアプリが起動しているかで変わる。
      まずは、認識しているかどうか確認する

      # cat /proc/scsi/scsi

２，追加したHDDが認識していなければ、以下のコマンドを実行する

    # echo "- - -" > /sys/class/scsi_host/host2/scan

3,　再度、確認コマンドを実行して確認する

     # cat /proc/scsi/scsi

HDDイメージが壊れている可能性も否めないが、VMware(を含む仮想基盤)では、DIskイメージをコピーして検証/調査したり、Masterイメージを作成してOSを構築を容易にする事も多い。

他のHDDイメージをmountすると「wrong fs type, bad option, bad superblock on…」と出て、ヒヤッとするが、まずは、/var/log/messages を見て欲しい。

Filesystem has duplicate UUID 12345678-1234-1234-1234-123456789012 - can't mount

と表示されていないだろうか

HDDイメージを流用すると、一意であるべきUUIDが重複してしまい、mount失敗を起こす。
仮想基盤ならではの、「あるある」だと思う。
対象方法は２つ

１．一時的にマウント
     マウント時にUUIDの重複を無視するオプション(-o nouuid)を渡します。

     # mount -t xfs -o nouuid /dev/sdb1 /mnt

２．永続的に使う場合は、UUIDを変更する
      Formatが xfsなら
     # xfs_admin -U generate /dev/sdb1
     → ext4とかは未調査

よく忘れるのでメモ

1. lsでも分かる
       $ ls -l /dev/disk/by-xxxxx/
          xxxx は、id, label, uuid などいつかあるので、
   

   $ cd /dev/disk
   $ ls 
   ​

   順に下層に降りていくのもあり。

2. マウントしているなら、
   
   

   $ blkid​

【現環境】
Linux ****.chovits.net 4.18.0-348.20.1.el8_5.x86_64 #1 SMP Thu Mar 10 20:59:28 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux
RAID Card: MegaRAID SAS 9240-8i (SAS2008)

【更新前の状況】
CentOS8.4より古いRAIDカードドライバーが削除(非対応)となり、マザーボード交換の際にOSを入れなおしたタイミング(OSをCentOS7系→8系)でRAIDカードがOSで認識されなくなった。
CentOS7系にすれば動作するはずだが、当時調べた際の対応として、RepositoryのCentOSPlusでリリースされたKernelであれば、SAS2008が使えるとの情報があり、CentOSPlusのkernelを使っていた。

その後CentOS8系のサポート終了となり、Kernelが標準ではない、CentOSPlusのkernelを使っているのも忘れ、RockyLinux8へそのままマイグレーション。再起動後、見事にOSが起動しなくなった。
※ OS起動中にcoreダンプして止まる

結局、RockyLinux8.5をクリーンインストールするも、RockyLinux8でもRAIDカード認識せず。
色々と情報をgoogleったが、RockyLinux8はまだまだ情報も薄く有益な情報がない。
本来のマシン用途(ファイルサーバー)が使えず、色々と支障が出てきたので、
RockyLinux8 で、kernelはCentOSPlusのkernel 4.18.0-305.25.1.el8_4.centos.plus.x86_64
を使う。
yum でインストールするが、OS起動時にkernelの署名のmismatchでエラーが出て起動できず。
マザーボードBIOSのUEFIセキュアモードをOFFにした。レガシーBIOSで起動しているはず。

【再挑戦】
前置きが長くなったが、
・ Rocky8.5 + kernel 4.18.0-305.25.1.el8_4.centos.plus.x86_64
の状態からスタートです。

この記事を参考にリベンジ
https://www.networkshinobi.com/centos-8-with-lsi-sas2008/
ダウンロードしたファイルは、dd-mptsas-3.04.20-6.el8_5.elrepo.iso
このisoファイルから、kmod-mptsas-3.04.20-6.el8_5.elrepo.x86_64.rpm を取り出して、
インストール後、再起動 -> RAIDカード認識しない。。。。

さらに、「kmod-mpt3sas」でgoogleと、CentOSコミュニティの記事を発見。
https://cbs.centos.org/koji/buildinfo?buildID=37234

This package provides the LSI MPT Fusion SAS 3.0 Device (mpt3sas) driver. Compared to the in-kernel driver this driver re-enables support for deprecated mpt2sas adapters: - 0x1000:0x0064: LSI SAS2116_1 - 0x1000:0x0065: LSI SAS2116_2 - 0x1000:0x0070: LSI SAS2004 - 0x1000:0x0072: LSI SAS2008 - 0x1000:0x0074: LSI SAS2108_1 - 0x1000:0x0076: LSI SAS2108_2 - 0x1000:0x0077: LSI SAS2108_3 - 0x1000:0x007E: LSI SSS6200

有志が一度削除されたRAIDドライバーをリビルドしてくれている模様
このページの mod-mpt3sas-4.18.0.348-3.el8.x86_64 をダウンロードしてインストール。
/boot配下の、initramfs-4.18.0-348.xx.x.el8_5.x86_64.img が再作成されている事を確認。
再起動して、grubから、最新の 4.18.0-348.20.1.el8_5.x86_64のkernelを選択し起動して、
RAIDカードが認識した事を確認できた

後は、デフォルトkernelを
4.18.0-305.25.1.el8_4.centos.plus.x86_64 → 4.18.0-348.20.1.el8_5.x86_64 変更。
# grub2-set-default 0
OS再起動して、grubメニューを触らずタイムアウトを待って起動しても、
kernel 4.18.0-348.20.1.el8_5.x86_64 で立ち上がってくることを確認。

【未確認】
yum update をかけると、elrepoのkmod-mpt3sas(37.101.00.00-1.el8_5.elrepo)のUpdateを促された・・・。
これは、SAS2008を認識するのか？？？
Changelogには、Version 35.101.00.00-1のコメントに、
- Use patch to revert removed devices
と書かれているが・・・
しばし現状の状態で使ってみて、kernelUpdateなどで認識しなくなったりしたら試してみるか・・・
とりあえず、
/etc/yum.confに
exclude=kmod-mpt3sas
を入れておこう。

【やり残し】
UEFIセキュアモードはOFFのまま。
この設定を変える(というか、マザーボード設定)と、碌なことがない。
おそらく、レガシーBIOSからUEFIからの起動に変わるはずなので、
・パテーションの切り方 (/boot/efi)
・ ディスクラベルがgptになっているか。
などなど確認して、最悪バックアップから戻すことまで視野に入れないと怖くて触れない。

結論からいうと、R(大文字)オプションを使えば良い。
# rsync -avR /var/log /backup/

実行完了イメージ
- /backup
       |- var
       |    |- log
       |    |    |- boot.log
       |    |    |- auth.log
       |    |    |-     :
       |    |    |-     :
       |    |    |-  ntpstats
       |    |    |       |- xxxxx
       |    |    |       |-    :
       |    |    |       |-    :

手間を省きたい時に便利。大文字Rオプションを使わないと、
事前(初回)に、
# mkdir -p /backup/var/log
 しておいて
# rsync -av /var/log/ /backup/var/log/
と、ひと手間増えるだけ。

ただ、バック対象ディレクトリが増えていけば、このひと手間が面倒くさい

(物理サーバーで)障害等の復旧の場合、
 ・同じ機種に)全戻しであれば、rsync を使う場合もあるが、ディスクイメージを取得しておくか、dump/restoreコマンドになるだろう。
 ・違う機種の全戻しであれば、rsyncで、クリーンインストール後に /dev や /sys 等以外のディレクトリを戻す。

しかし、バックアップ領域を十分に確保出来ない場合、
一つの選択として、クリーンインストールから設定ファイルや作り込んだスクリプトを戻せたら良い！ とした場合、
rsync で 必要なファイル/ディレクトリを保存しておく。
往々にして、バックアップしておくのを忘れた～という事にもなるのだが。

著者のrsyncでのバックアップ対象は、
・ /etc 配下
・ /root 配下
・ /home 配下 (makeした際のディレクトリは、excludeオプションで除外。しかし、config.log/config.statusはバックアップ対象)
・ /opt
・ /var/log 配下 (後追いでログ確認用。ただ、バックアップ周期に兼ね合いで、障害直前のログは取得出来ていないので気休め)
・ /var/spool 配下
などである。

【設定】
 -通常-
# sysctl net.ipv4.ip_forward=1

 -特殊- (柔軟な設定は出来ない？ 未検証)
# sysctl net.ipv4.conf.interface_name.forwarding=1

サーバーでルーティングと言えば、Destination Routing を、真っ先に想像します。
routeコマンドや、ip route add コマンドです。
このコマンドは、自身のサーバーがDefaultGWではなく、他のルーターを介して別セグメント(NW)へ通信したい場合に設定するものであり、
・自身のサーバーが、別セグメントにあるサーバーと通信させたい
・別セグメントにあるサーバーが自身のサーバーと通信させたい(帰りのパケット)
の際に使用します。つまり、起点は自身のサーバーです。

ところが起点とならない場合、つまり中継サーバー的な位置づけの場合です。
クライアントA[192.168.0.100/24] -> [192.168.0.1/24] 中継サーバーX [10.0.0.1/24] -> 目的のサーバー[10.0.0.50/24]
※ 所謂、ルーターと同様なふるまいを中継サーバーXにする必要があります。

単純にパケットルーティングやACLを行いたいのであれば、FWやルーターに置き換えれば良いのですが、
中継サーバーX上で行いたい場合が発生する場合があります。
私の場合は、OpenVPNを実装する際に必要となりました。

冒頭で記述したコマンドは、端的に言うと、ネットワークI/F間のパケットをフォワードするかどうかの設定です。
OpenVPN(tunデバイス)でいえば、tun0とeth0間をフォワードします。
※ OpenVPN(tapデバイス)の場合で、物理NICにブリッジすれば、ルーターやFWでルーティングも可能だと思いますが、
    OpenVPNの機能を使って、証明書でのACLやユーザー毎のVPN-IPを変更するなどやりたかったのでtunデバイスとした。
    tapデバイスでも出来るかもしれないが、ネットの情報ではtunデバイスを使った手法の情報が多かった。
    と、いうかtapデバイスでは調べたい情報は探し出せなかっただけだが。

ただ「net.ipv4.ip_forward=1」の利用には、個人的に少々使いたくない感がある。
真面目にACLしないとセキュリティ的に穴になる場合があるから。

Linuxディストリビューションの中には、デフォルトで「net.ipv4.ip_forward=1(有効)」となっている場合があるらしいが、
私がメインで利用していたRedhat(CentOS)系は、デフォルトは「net.ipv4.ip_forward=0 (無効)」です。
特に最近のサーバー向けOSは、デフォルト状態で最低限のセキュリティは確保されています。

昔のOSはセキュリティ概念が低かったのか、(使わないのに)最初から色々なソフトが起動していたり、管理用デフォルトパスワードも甘々だったりとしていたので「サーバーの要塞化」が必須でした。

OpenVpnを導入するにあたり、最初は既存サーバーにインストールしようと思いましたが、
「net.ipv4.ip_forward=1」を設定しないといけないと分かり、lo, eth0, eth1 が既に存在しているので、
eth0 - tun0 のパケットフォワードは行いたいが、eth1 - tun0は行いたくない。
新規サーバーにしても、iptables/nftablesは設定するが、既存サーバーでiptables/nftablesで実は通信止まってました～。
なんて事は、なりたくないな！と。
すぐに影響が出て気づけば、即修正すれば良いんだけど、かなり後になって「気づきました。止まってました！」は避けたい。
いや、単にすべての通信テストをやるのが面倒なだけです。はい。

【結論】

[Zoneファイル毎に実行]
# rndc sync -clean example.com
    (-clean と付けると、反映後に、example.com.zone.jnl は削除されます)

[全てのZoneファイルに対して実行]
# rndc sync -clean
    (-clean と付けると、反映後に、example.com.zone.jnl は削除されます)

手動反映させるには、上記の方法が一番、手っ取り早いと思う。
急がなければ、jnlファイルは定期的にzoneファイルへ反映しているので、
zoneファイルとjnlファイルのタイムスタンプを比較して、zoneファイルのほうが新しければ反映済み

単純にjnlファイルの情報を見たい場合は、
# rndc dumpdb -zones
# cat /var/named/data/cache_dump.db | grep ddns.example.com

その他の方法として、以下の方法もあるらしい (動作未確認)

# rndc freeze example.com
# cat /var/named/zone/example.com.zone
# rndc thaw example.com

しかし、この方法は、確実に「thaw」を実行しないと、
反映されなくなる点に注意が必要との事だった。

【結論】
・条件 Apacheバージョンが2.4.19以上の場合
Require forward-dns
が使えます。
設定例 ） Require forward-dns test.example.jp
test.example.jp のIPアドレスで制限をかける事が可能です。

WEBコンテンツで、一部の人にしか見せたくない、自分(管理者)だけしか見せたくない、アクセスさせたくないコンテンツが
あります。
特定の人だと、ユーザー/パスワード 認証とか、クライアント証明書による認証とかになると思うのですが、
IPアドレスレベルで良いと言った場合に、

Apacheの場合は、
<Directory "/var/www/html/secret">
    Options hogehoge
    AllowOverride foo
    Require ip 192.168.1.1
    Require host test.example.jp
</Diredctory>
Require ip や Require host で制限を書いてきました。

でも、アクセス元IPアドレスが動的IP（プロバイダからのグローバルIP配布）の場合は、
Require host は使えないのですよね。
例えば、上記のように、DDNSを利用し test.example.jp を指定すると、Apacheは
test.example.jp のIPアドレスをチェック。
そのIPアドレスの逆引きが、test.example.jpになるかチェックして、逆引きまでOKなら許可とします。

つまり、アクセス元IPアドレスは、DDNSを使ってAレコード test.example.jp を登録していても、
プロバイダが所持しているグローバルIPの逆引きまでは設定出来ないので、事実上、Require host は使えない。
※ 静的グローバルIPアドレスを所持/貸与されており、DNS逆引き設定まで可能な場合は問題ありません。

ですので、ブロードバンドルータはほとんど電源OFFしないので、動的IPアドレスがあまり変わらないから、
Require ip xxx.xxx.xxx.xxx
で書いていたのですが、たまにルーターがフリーズして再起動を余儀なくされたりします。
その度にapacheの設定変更してました。
たまに、なんとかならんか・・・と思って、googleんだけど、

(方法1)
/etc/hosts に逆引きホストを書けば良い。動的IPが変わったら、/etc/hosts を自動updateされるよう、スクリプトを組む

(方法2)
CGIなら、(Apacheではなく)CGI側でアクセスコントールを行うように改修する

とかで、これらの手間を考えたら、棚上げ状態だったのですが。

運よく、Require forward-dns を使えばDDNSの人でも、アクセス制限可能との事。
バージョン 2.4.19で実装 って、かなり前からあったんだ。。。。
https://httpd.apache.org/docs/2.4/mod/mod_authz_host.html

今まで調べても、「これだ！」という解決法に辿りつけなかったのだが、「Require forward-dns」で検索したら、
一発だもん。
いや～。情報社会でこのような解決法に辿り着くには、つくづくgoogleの検索キーワード次第ですね。

早速、うちのコンテンツに実装しったた。

日本ミラーサイト https://www.debian.or.jp/using/mirror.html
# vi /etc/apt/sources.list

deb http://ftp.jp.debian.org/debian bullseye main contrib non-free
deb http://ftp.jp.debian.org/debian bullseye-updates main contrib
deb http://ftp.riken.jp/Linux/debian/debian-security bullseye-security main contrib
deb http://security.debian.org/debian-security bullseye-security main contrib

【余談】
日本ミラーでCDNを使わずに、直URL(WIDEやKDDI、理研など)を設定していたが、
本家からの同期が間に合っていないのか、サイトの有効期限切れに出くわしてしまう。

E: http://ftp.riken.jp/pub/Linux/debian/debian/dists/bullseye-updates/InRelease の Release ファイルは期限切れ (11日 22時間 39分 35秒 以来無効) です。このリポジトリからの更新物は適用されません。

著者は、直URLを諦め、「Debian 公式プライマリミラーサイト」から取得するように変更した。
しかしながら、「debian-security」のURLは見つからずに、
http://security.debian.org/ を使っていたが、理研にて公開されていたのを見つけたので、「debian-security」は
直URLを追記している

【やりたい事】
VMware ESXi 管理画面にアクセス(https)する際に、証明書エラーが発生するので、
プライベートCAの証明書に変更する事で、証明書エラーを出ないようにする。

【前提条件】
・プライベートCAの構築/運用を行っていること。
   → 自己署名証明書を使う手法もあるが、プライベートCAから発行した証明書を利用
   → プライベートCAは、opensslコマンドで発行している
   → 証明書チェーンは、ROOTCA証明書->中間CA証明書->サーバー証明書(ESXi)
   → サーバー証明書(ESXi)のCNは、192.168.100.1 のIPアドレス用証明書とする
   → 内部DNSサーバーで名前解決する方法もあるが、今回はIPアドレス用証明書を利用

・ROOTCA証明書は、利用するブラウザにインポート済であること

【環境】
・VMware ESXi 6.7.0 Update 3
   → 個人利用の為、ｖCenterはありません。
・FireFox 104.0.2 (64 ビット)
・OpenSSL 1.1.1k

【手順】

(1) サーバー証明書を発行し、プライベートCAの署名を行う。

(1-1) ESXiにSSHログインを行い、/etc/vmware/ssl/rui.key を取得。

[ESXi] # cat /etc/vmware/ssl/rui.key
         ※ 今回、秘密鍵ファイルは変更(再作成)しないので、そのまま利用

(1-2) CSR作成とCA署名の実施

[PCA] # vi /tmp/esxi.example.jp.key
        (1-1)のデータをコピペ＆保存

[PCA] # cd /root
        # openssl req -new -key /tmp/esxi.example.jp.key -out /tmp/esxi.example.jp.csr
           (DN情報を入れる)

         CSRが出来上がったら、プライベートCAで署名する。
         => 署名後のファイルを取得しておく。(esxi.example.jp.pem)

        ※CA署名時のポイント※
        X509v3拡張情報として、SAN (SubjectAltName)をCA側(openssl.cnf)で追加する。
        SubjectAltName = DNS.1: esxi.example.jp,IP.1: 192.168.100.1

        FireFoxでは、「DNS: 192.168.100.1」とDNS属性しても証明書エラーが発生するので、
      「IP: 192.168.100.1」IP属性にする必要があった。

(1-3) 中間CA証明書の取得

[PCA] # cat /opt/privateca/ICA/cacert.pem

(2) ESXiにて証明書ファイルを変更する

(2-1) 念のため、改修するファイルのバックアップを取得する

ESXi上では、
サーバー証明書ファイル ： rui.crt
サーバー証明書鍵ファイル： rui.key

# cd /etc/vmware/ssl
# mv rui.crt rui.crt.bak

# vi rui.crt
   (1-2)で取得したサーバー証明書ファイル(esxi.example.jp.pem)を貼り付け
   (1-3)で取得した中間CA証明書を貼り付け
   貼り付け順番は、サーバー証明書、中間CA証明書の順

ex) ESXi上にファイルとして保存した場合、

   サーバー証明書：/tmp/esxi.example.jp.pem
   中間CA証明書　：/tmp/cacert.pem

   [ESXi] # cat /tmp/esxi.example.jp.pem /tmp/cacert.pem > /etc/vmware/ssl/rui.crt

(2-2) プロセス再起動と変更内容をシステム ディスクに保存操作を行う。

# /etc/init.d/hostd restart
# /etc/init.d/vpxa restart
# /sbin/auto-backup.sh

※ 当環境では、OS再起動を行わずにプロセス再起動で対応しているが、
    正規手順は、ESXiの再起動を行う事になっているので、あくまで参考程度とすること。

ESXi Shell からのデフォルトの証明書とキーの置き換え
https://docs.vmware.com/jp/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-A261E6D8-03E4-48ED-ADB6-473C2DAAB7AD.html

(3) 掃除

[PCA] # rm /tmp/esxi.example.jp.key
        # rm /tmp/esxi.example.jp.csr
        # rm /tmp/esxi.example.jp.pem

        ※ 証明書データをコピペせずに、ESXi上にファイル転送(保存)した場合は、一時保存した(不要な)ファイルを削除すること

複数NICを使用してアクセルコントールを行っていた場合に、
利用するI/Fのみlistenするように設定したい場合がある。

【/etc/ntp.conf】

interface ignore wildcard
interface listen lo
interface listen eth0

Raspberry Pi OS (Legacy) 5.10.103 では、
「interface listen lo」を外しても、loopback I/Fで123/UDPがlistenされます。
ただ、以前に、「eth0」のみListenさせて「lo」はlistenさせない設定をした場合に、
  # ntp -q
で同期状況をチェックしていたが、いつまで経っても同期しなかった経験あり

IPv4のみListenさせたい場合などは、起動オプションで "-4" を指定する。
RasPI OS だと、/etc/default/ntp で設定する

*** この記事は、検証中の結果に対するものです。
*** 必ずしも、この記事の通りに設定しても解決しないかもしれません

【NW環境】
・ NTTフレッツ 光ネクスト 回線
・ ONU/ホームゲートウェイ -> 家庭向けBBルーター -> プロキシサーバー(debian10)
・ 家庭向けBBルーターは、HGWよりIPv6が割当され、DS-Lite接続されている。

【クライアント／サーバー環境】
・ debian10 + squid インストール
・ プロキシサーバー(debian10)にて、BBルーターLAN側のIPv4とIPv6がeth0に割り当てられている。

enx0123456789ab: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 01:23:45:67:89:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.100/24 brd 192.168.0.255 scope global enx0123456789ab
        valid_lft forever preferred_lft forever
    inet6 2409:10:****:0:0323:45ff:fe67:89ab/64 scope global dynamic mngtmpaddr
        valid_lft 86399sec preferred_lft 14399sec
    inet6 fe80::0323:45ff:fe67:89ab/64 scope link
        valid_lft forever preferred_lft forever

IPv4 GW: default via 192.168.0.1 dev enx0123456789ab onlink
ipv6 GW: default via fe80::cfef:01ff:fe23:4567 dev enx0123456789ab proto ra metric 1024 expires 104sec hoplimit 64 pref medium

・ resolv.confは、
nameserver 8.8.8.8
nameserver 8.8.4.4

【最初におかしいと気づいたこと】
別クライアントPCから当該プロキシサーバー経由で、amazon.co.jp ページを閲覧。ページ表示完了まで、30秒以上かかっている。
あまりにも表示完了するまで時間がかかりすぎ。

【調査開始】

(現象1)

プロキシサーバーへSSH。
$ wget "https://www.google.co.jp"
   www.google.co.jp (www.google.co.jp) をDNSに問いあわせています...
で、5秒程度DNS解決に時間がかかっている。

速攻で再度実行しても5秒程度待たされる。

(現象2)

Nagiosで監視項目に入れる予定だったので、以下の監視サーバー(別の端末)コマンドを実行。
$ cd /usr/lib/nagios/plugins
$ ./check_http -I 192.168.0.100 -t 20 -p 3128 -u https://www.google.co.jp/ -H www.google.co.jp -S -j CONNECT
   HTTP OK: HTTP/1.1 200 OK - 15102 bytes in 10.255 second response time |time=10.254999s;;;0.000000 size=15102B;;;0
と、チェックに10秒かかっている。

速攻で再度実行すると、
$ ./check_http -I 192.168.0.100 -t 20 -p 3128 -u https://www.google.co.jp/ -H www.google.co.jp -S -j CONNECT
   HTTP OK: HTTP/1.1 200 OK - 15129 bytes in 0.223 second response time |time=0.222529s;;;0.000000 size=15129B;;;0
0.2秒でレスポンスがある。

10数秒後に再実行すると、またもや10秒ほど時間がかかる。

(現象3)

プロキシサーバーへSSH。
$ dig a /www.google.co.jp
や
$ dig a /www.google.co.jp @8.8.8.8
としても、即解決する。

Windowsでも一昔前から起きているIPv6絡みのDNSレスポンス問題のようだ。
IPv6のNWは無いのに、WindowsのIPv6がデフォ有効になっていて、DNS IPv6解決(タイムアウト)→IPv4解決の動きになるので、
タイムアウト時間待たされるというもの。
でも、今回はIPv6/IPv4のDual-Stack状態なので、DNS IPv6でも即解決するはずだから、問題無いはず・・・と思っていたのだが。
  → この時の /etc/resolv/confは、
      nameserver 2001:4860:4860::8888
      nameserver 2001:4860:4860::8844
      nameserver 8.8.8.8

【よくある解決方法】

Windowsでこの問題が起きた時には、IPv6を無効化する方法が広まった。
また、LinuxでもOS上からIPv6を無効化する動きが多かった。

現在は、 /etc/sysctl.confに
net.ipv6.conf.all.disable_ipv6 = 1
を追加して再起動が有名。

当時IPv6の環境そのもの整っていないので、(IPv6が)使えないから、IPv6=OFF にするという判断だった。
今回の事象も試しに、IPv6を無効化すると、wgetテストは即反応を示した。(実際のプロキシ経由のhttpGetはしていない)

【IPv6有効状態で解決する方法は？】

結論からすると、まだ解決に至っていない。
他の方はこのような問題に直面していないのだろうか・・・。
まだ、「これだ！」という情報源にたどり着いていない状況である。

とある記事では、
squid.confで、
「dns_v4_first on」
を使って解決に至った記事もあるが、当該環境では解決に至っていない。

【現在エージング中】

この方法が解決方法なのか分からないし、環境に依存しそうなので「テスト中」というステータスである事に留意してほしい。

著者の環境で行っている設定は
squid.confで、
「dns_nameservers 2001:4860:4860::8888 8.8.8.8」
googleの代替DNSは、現段階では入れていない。
googleのPublicDNSは、かなり有名なのでDownしないだろう(クラスタ組んでるのでは？)と・・・勝手に思っている。

この設定を入れてから1時間経過したが、監視サーバー(Nagios)、タイムアウト10秒設定でも異常検知していない。

Azureの仮想マシン構築時に、RockyLinux8を入れたつもりが、RockyLinux9でした。
※ 色々試した訳ではないので、Microsoft側のOSイメージのリンクミスなのか、画像の表示ミスなのかは不明です

※ 2022/10/13 21:40(JST)現在、イメージは正しく差し変わりました。
※ やはり、RockyLinux8で動かしたいと思ったので、再度イメージ確認していたところ、イメージ選択表示文言が変わっていたので、
    再インストールしてみたところ、RockyLinux8になりました！

RockyLinux9のイメージが変更されているか(RSA鍵でログインできるのか)未確認の為、
一応、以下の情報は残しておきます。

出来る限り安価にする為に、こちらを選択しました。

インストール完了すると、

RockyLinux8を選択したのに、Linux (Rocky 9.0) と表示されている。
しかも、TeratermでSSHログイン(鍵認証)を行ってもログイン出来ない！！

【状況】

Teratermから鍵認証(仮想マシン構築時に作成)を使ってSSHログイン操作を行った。
IDとパスフレーズ(なし)と鍵ファイルを指定してログインしようとしても、ログインが拒否される。
再度、鍵ファイルを指定しなおしたり、TeraTermを終了して立ち上がなおし、再度ログイン操作を行うも、
ログインが拒否される。
初期構築後に1回もリモートログイン出来ない事態となった。

【ログイン出来ないと調べようがないので・・・】

このような状況に陥った方、結果的に方法はいくつかあります。

(方法1) 仮想まシンを再構築する
鍵認証で入れないのなら、「認証の種類」で「パスワード」を選択して再構築する。


(方法2) RSAアルゴリズム以外の鍵を作成して、Azureの管理画面で、「SSH 公開キーのリセット」で置換する


(方法3) Azureの管理画面で、パスワードでSSHログイン出来るように変更する。
-「構成のみのリセット」を行い、「パスワードのリセット」を行う

(方法4) Teratermではなく、別のSSHクライアントソフトを利用する。
- 現段階(2022/10/09時点)での私の認識では、TeraTerm(4.106)は rsa-sha2-256/512に対応していないからではないかと想定
- Linux(Rocky8)から、Azureの仮想マシンにログインしたらログインできました。

Azureの管理画面で「パスワードのリセット」でパスワードを設定し、Azure管理画面のシリアルコンソールからログインして設定変更する方法もあります。

【ログインしてみたら・・・】

中身は、RockyLinux9になってました。

SSHログイン出来ない理由として、/var/log/secureには、
　　userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
と出てて、ググりました。

ssh-rsaが無効になるから、鍵ファイルの変更など行わないといけないよ～みたいな記事がHit。
ただ、OpenSSHのバージョンは、openssh-server-8.7p1-8.el9
鍵アルゴリズム ssh-rsaが使用出来なくなるのは、openssh 8.8かららしい。

OpenSSH Release Notes
https://www.openssh.com/releasenotes.html 
OpenSSH 8.8/8.8p1 (2021-09-26) の箇所

一応、openssh-server-8.7p1-8.el9 の Changeログを見るも、ssh-rsaには触れていない。
※ 最新は、openssh-server-8.7p1-10。 Changeログは8.7p1-8までを確認
https://rockylinux.pkgs.org/9/rockylinux-baseos-x86_64/openssh-8.7p1-10.el9_0.x86_64.rpm.html

【結論 - TeraTermでRSA鍵を使ってログインしたい】

色々な記事を参考に試行錯誤してみたが、以下の設定を行う事でTeraTerm(4.106)から接続できるようになった。

# update-crypto-policies --show
DEFAULT
→ DEFAULTを確認

# update-crypto-policies --set LEGACY
Setting system policy to LEGACY
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.

# update-crypto-policies --show
LEGACY
→ LEGACYになった事を確認

# shutdown -r now
→ 再起動する

これでOS起動すると、TeraTerm(4.106)から、仮想マシン構築時に作成した鍵ファイルでログイン出来るようになった。

【セキュリティ的には・・・】

あくまで暫定対応で、セキュリティが低下している状態だと思う。
update-crypto-policies コマンド 「DEFAULT」-> 「LEGACY」に変更する前後で、
# sshd -T | grep -i "pubkeyacceptedalgorithms"
を見たら、「LEGACY」では、
ssh-rsa
ssh-rsa-cert-v01@openssh.com
が増えている。だから、TeraTermでRSA鍵(sha1?)でログイン出来るようになったと思う。

TeraTermがrsa-sha2-256/512に対応すれば、update-crypto-policiesの設定を元に戻してログイン可否を確認しようと思う。

【最後に】

RPM openssh-server-8.7p1-8.el9.x86_64 だったが、(デフォルトでは)既にssh-rsaが無効になっているように思われます。
本家では、8.8からとなっていますが、RPMでは往々にして既に対策済みだったりするので、一苦労しました。
ちなみにubuntuとかだと、sshd_configに「PubkeyAcceptedAlgorithms=+ssh-rsa」を入れるようです。
(最初は)RockyLinux9で、「PubkeyAcceptedAlgorithms=+ssh-rsa」を入れたのですが反映されません(SSHログイン出来ません)でした。
その後、update-crypto-policiesコマンドで解決

【参考サイト】
RedHat Customer Potal
https://access.redhat.com/discussions/5251241

OpenSSH
https://www.openssh.com/txt/release-8.8

WebARENA お客さまサポート
https://help.arena.ne.jp/hc/ja/articles/7134065589271-Tera-Term%E3%81%A7%E3%82%A4%E3%83%B3%E3%82%B9%E3%82%BF%E3%83%B3%E3%82%B9%E3%81%B8SSH%E6%8E%A5%E7%B6%9A-%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%8C%E3%81%A7%E3%81%8D%E3%81%BE%E3%81%9B%E3%82%93-

TeraTerm
https://ja.osdn.net/projects/ttssh2/ticket/36109

その他、個人のブログサイト等

【環境】

Linux ******.chovits.net 4.18.0-348.23.1.el8_5.x86_64
RAID Card: MegaRAID SAS 9240-8i (SAS2008)

OS部分のHDD(SSD)は、マザーボードSATA接続
その他データ領域として、マザーボード(PCI-E) => RAIDカード(SAS2008) => HDD 接続。

RAIDカードが認識しなくても、OSは立ち上がる構成
※ RAID未認識状態では、/etc/fstab でmountしているので、Diskが読み取れずEmergencyモードで立ち上がる

【更新時の状況】

(現在)   Kernel 4.18.0-348.23.1.el8_5
(１つ前) Kernel 4.18.0-348.20.1.el8_5
Kernel 4.18.0-348.20.1.el8_5 -> 4.18.0-348.23.1.el8_5 のUpdateでは、問題なくRAIDカード(SAS2008)を認識していた。

(最新) Kernelが、4.18.0-372.26.1.el8_6
リビルドバージョンが、 348系から372系と変わるので、RAIDカード認識しなくなるだろうなぁと思いながらもUpdate実施。
まあ期待通りではあるのだがRAIDカードが認識しなくなり、Emergencyモードで立ち上がった。やっぱりか！

Boot時に、１つ前のKernel 4.18.0-348.23.1.el8_5 を指定して立ち上げれば、(kmod-mpt3sasは更新していないので)SAS2008は認識される。

【前回のSAS2008認識作業で】

前回の記事、「Rocky Linux8.5 にSAS2008を認識させる」 https://www.chovits.jp/phpmyfaq/index.php?action=faq&cat=1&id=8
にて、elrepoのkmod-mpt3sasでも認識するのでは？ とのコメントを書いたので、
今回、kmod-mpt3sas-39.100.00.00-1.el8_6.elrepo.x86_64 (現時点最新)にUpdateし、再起動を行うが、
Kernel 4.18.0-372.26.1.el8_6.x86_64 では、SAS2008は認識しなかった。

【復旧作業 - SAS2008を再認識させる】

さて。
見事にSAS2008が認識されなくなりました。
現時点のKernelは、4.18.0-372.26.1.el8_6
ドライバーは、kmod-mpt3sas-39.100.00.00-1.el8_6.elrepo.x86_64

前回の記事を参考に、kmod-mpt3sasのSAS2008組み込み版を探す。
kmod-mpt3sas-4.18.0~372.9.1-2.el8 https://cbs.centos.org/koji/buildinfo?buildID=40841

Description This package provides the LSI MPT Fusion SAS 3.0 Device (mpt3sas) driver. Compared to the in-kernel driver this driver re-enables support for deprecated mpt2sas adapters: - 0x1000:0x0064: LSI SAS2116_1 - 0x1000:0x0065: LSI SAS2116_2 - 0x1000:0x0070: LSI SAS2004 - 0x1000:0x0072: LSI SAS2008 - 0x1000:0x0074: LSI SAS2108_1 - 0x1000:0x0076: LSI SAS2108_2 - 0x1000:0x0077: LSI SAS2108_3 - 0x1000:0x007E: LSI SSS6200

こちらから、x86_64 RPM https://cbs.centos.org/kojifiles/packages/kmod-mpt3sas/4.18.0~372.9.1/2.el8/x86_64/kmod-mpt3sas-4.18.0~372.9.1-2.el8.x86_64.rpmをダウンロード。
有志の方、ありがとうございます。

Emergencyモードで立ち上がっており、ネットワークが認識されていない状態なので、PCでダウンロード後にUSBメモリーに保存。
USBメモリーを実筐体に挿す。/dev/sde1 で認識された。

# mount /dev/sde1 /mnt
# cp /mnt/kmod-mpt3sas-4.18.0~372.9.1-2.el8.x86_64.rpm /tmp
# umount /mnt

# dnf install /tmp/kmod-mpt3sas-4.18.0~372.9.1-2.el8.x86_64.rpm
# rm /tmp/kmod-mpt3sas-4.18.0~372.9.1-2.el8.x86_64.rpm

ダメ元で入れた、kmod-mpt3sas-39.100.00.00-1.el8_6.elrepo.x86_64がRemoveされ、
kmod-mpt3sas-4.18.0~372.9.1-2.el8.x86_64がインストールされる

後は、OS再起動して、無事 SAS2008を再認識させる事が出来た。

【環境】

RockyLinux 9.0

【開発機を準備】

最近は、仮想OSがPCでも使える(VirtualBoxとか)ので便利。
RPMをリビルドする際は、かなり多くのRPMを入れる。RPM化が済むとRPM化する為にインストールしたRPMは、通常稼働中は使われないので、
リビルドマシンを準備したほうが、色々とメリットが大きい。

【リビルド時に必要なRPMをインストール】

準備として
・ リビルドする為のディレクトリツリーの作成 (rpmdev-setuptreeコマンドを利用)
・ ソースやソースRPMからRPMを作成するコマンド (rpmbuild)
・ perlモジュールからRPMを作成するコマンド (cpanflute2)

# dnf install rpmdevtools yum-utils gcc perl-CPAN

cpanflute2 (RPM-Specfile)は、RPMが無いのでCPANからインストール

# cpan
cpan[1]> make RPM::Specfile
/usr/bin/make -- OK OKが表示されたので、
cpan[2]> install RPM::Specfile
cpan[3]> exit

【リビルドする】

同じディストリビューションのLinux。今回で言えば、Redhat系のソースRPMであれば、SPECファイルをいじる必要は、ほとんどありません。
※ パッケージ情報(rpm -qip xxxxx.rpm で出てくる情報)を書き換える必要がある場合などは、SPECファイルからRPMを作成します。
※  この記事では一撃Buildを行っていますが、"Release" 番号とか、"Source RPM" の情報は変更したほうが良いかも・・・とは思いますが。

今回の例では、CentOS7の「logcheck-1.3.15-2.el7.src.rpm」ソースRPMを持ってきてリビルドします。
※ 著者が利用しているサイト
RPMfind https://www.rpmfind.net/
RockyLinux pkgs.org https://rockylinux.pkgs.org/
meta::cpan https://metacpan.org/
を利用しています。

(1) ビルドツリーを作成する

一般ユーザで、
[開発機] $ cd ~
[開発機] $ rpmdev-setuptree
これで、rebuildディレクトリ (ビルドツリー)が出来上がる
→ 以前は、このmkdirでディレクリーを作ったり、変数を設定したり面倒だったが、rpmdev-setuptreeで完結

(2) リビルド

[ソースRPMから]
[開発機] $ cd ~/rpmbuild/SRPMS
[開発機] $ wget "https://download.fedoraproject.org/pub/epel/7/SRPMS/Packages/l/logcheck-1.3.15-2.el7.src.rpm"
[開発機] $ cd ~
[開発機] $ rpmbuild --rebuild --clean rpmbuild/SRPMS/logcheck-1.3.15-2.el7.src.rpm
             error: Failed build dependencies:
             docbook-utils is needed by logcheck-1.3.15-2.el9.noarch

はい。後はひたすら依存関係に必要なパッケージを追い求める。レポジトリーにあれば、ラッキーである。
一般ユーザとrootユーザーにスイッチするので、コマンド行の # と $ の違いでユーザーが違う事を留意頂きたい。

[開発機] # dnf --enablerepo=crb install docbook-utils
[開発機] $ rpmbuild --rebuild --clean rpmbuild/SRPMS/logcheck-1.3.15-2.el7.src.rpm

画面に実行ログが出てきて、リビルド成功すれば、rpmbuild/RPMS配下にRPMが出来上がっている。

検証機に作成したRPMをファイル転送して、
[検証機] # dnf install logcheck-1.3.15-2.el9.noarch.rpm
           エラー:
             問題: 競合するリクエスト
             - lockfile-progs が提供されません logcheck-1.3.15-2.el9.noarch に必要です
             - perl-mime-construct が提供されません logcheck-1.3.15-2.el9.noarch に必要です
               (インストール不可のパッケージをスキップするには、'--skip-broken' を追加してみてください または、'--nobest' を追加して、最適候補のパッケージのみを使用しないでください)

リビルド中には依存関係のエラーが出なくても、実際にRPMインストール時にエラーが出た。
やはり、レポジトリーに見つからないので、lockfile-progs と perl-mime-construct も作ることになる。

[開発機] $ cd ~/rpmbuild/SRPMS
[開発機] $ wget "https://download-ib01.fedoraproject.org/pub/epel/8/Everything/SRPMS/Packages/l/lockfile-progs-0.1.17-13.el8.src.rpm"
[開発機] $ cd ~
[開発機] $ rpmbuild --rebuild --clean rpmbuild/SRPMS/logcheck-1.3.15-2.el7.src.rpm
             error: Failed build dependencies:
                     liblockfile-devel is needed by lockfile-progs-0.1.17-13.el9.x86_64
[開発機] # dnf install --enablerepo=crb liblockfile-devel.x86_64
[開発機] $ rpmbuild --rebuild --clean rpmbuild/SRPMS/lockfile-progs-0.1.17-13.el8.src.rpm

[perlモジュールのRPM化]

[開発機] $ cd ~/rpmbuild/SOURCES
[開発機] $ wget "https://cpan.metacpan.org/authors/id/R/RO/ROSCH/mime-construct-1.11.tar.gz"
[開発機] $ cpanflute2 --buildall rpmbuild/SOURCES/mime-construct-1.11.tar.gz
             Can't locate YAML.pm in @INC (you may need to install the YAML module) (@INC contains: /usr/local/lib64/perl5/5.32 /usr/local/share/perl5/5.32 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5) at /usr/local/bin/cpanflute2 line 17.
             BEGIN failed--compilation aborted at /usr/local/bin/cpanflute2 line 17.
[開発機] # dnf install perl-YAML
[開発機] $ cpanflute2 --buildall rpmbuild/SOURCES/mime-construct-1.11.tar.gz

検証機に作成したRPMをファイル転送して、
[検証機] # dnf install logcheck-1.3.15-2.el9.noarch.rpm perl-mime-construct-1.11-8.noarch.rpm lockfile-progs-0.1.17-13.el9.x86_64.rpm

ようやく検証機で、作成した logcheck RPMがインストールできた。

【本番機へインストール】

検証機でインストール出来たので、本番機へもインストール。
※ コマンドは検証機にインストールした手順と同じなので割愛

【最後に】

PerlモジュールもソースRPMからRPMを作成する方法もあるが、私が試した際には依存関係の問題で上手くRPM化出来なかった。
※ SPECファイルを見ても、依存するPerlモジュールはインストールされているのに、rpmbuildを実行すると、依存するPerlモジュールが無いと表示され解決出来なかった。

logcheckをソースファイルからRPM化すれば、こんなに手間では無かったかもしれない。
ただ、CentOS7の際に使っていた logcheck RPM内にはフィルター設定のレシピファイルが多数収録されているので、今回 logcheckをソースRPMからリビルドしたかった。
(ソースからビルドすると、レシピファイルは入っていなかった)

インターネット(クラウド)上のサーバー間でセキュリティを考慮して通信させたい

【シチュエーション】

インターネット(クラウド)上のサーバー間で(バックエンドNW：裏LAN を使わずに)
・ DBのレプリケーションしたい
・ バックアップサーバーへ日々、バックアップを行いたい
などなど、インターネット上に(素で)3306/TCPや873/TCPを使わない為には・・・

【方法】

Tunnelを張る。ぱっと思いつくアプリは
・ OpenVPN
・ stunnel
・ OpenSSH

【(比較的簡単な)OpenSSHを使ってトンネルを張る】

最近はSSHがデフォでインストールされているし、追加インストール無で済む。
しかし、root権限レベルの設定変更は必要だが、googleと設定方法はたくさんHitするし、
比較的、簡単に設定できると思う。
googleなら、「SSH」「ポートフォワーディング」

【設定を行うにあたり】

OpenSSHの本来の使われ方は、対象機器に(Secureに)ログインする為に利用。
ログイン後は、対象機器で色々なコマンドを(権限の範囲で)実行可能。

〇 対象機器の管理者＝SSHログイン利用者
普通に対象機器のアカウント/パスワードを作成すれば良い。

リモート端末上では、MySQL TCP/IP Socket 127.0.0.1:3306 がListen状態の場合、
トンネル ローカル端末(127.0.0.1:33306)→リモート端末(127.0.0.1:3306) フォワード設定

ちょっと難しいですが、
SSH接続(通信方向： ローカル端末 -> リモート端末
トンネル通信方向： ローカル端末 -> リモート端末
トンネル通信方向で、設定が微妙に異なりますので注意が必要です。

[Windows機でTeratermなら]

① 事前設定
    Teratermのメニューバー [設定] -> [SSH転送] -> [追加]
     (1) ローカルのポートをチェック。「33306」を入力
     (2) リッスンは未入力 (未入力だと127.0.0.1)
     (3) リモート側ホスト 「127.0.0.1」を入力
     (4) ポート 「3306」を入力
     [OK] -> [OK] で、設定完了

② 対象機器にログインする
    Teratermのメニューバー [ファイル] -> [新しい接続]
    ホスト 「203.0.113.1 ポート 「22」
    でSSHログインする

③ ローカル端末のTCP/IPソケット確認
    コマンドプロンプトを開いて、「netstat -ant」とかで見ると、
    ローカル端末で、33306/TCP ポートがListenされているはず。

④ ポートフォワード(トンネル)で接続
    C:\>mysql -h 127.0.0.1 -P 33306 -u foo -p'takoika'
    すると、リモート端末(172.16.20.1)で動作しているMySQLへ接続できる。

[Linux端末なら]
$ ssh -L 33306:127.0.0.1:3306 operator001@203.0.113.1
        ~~~~~~~~~~~~~~~
        LocalPort:リモートIP:リモートポート

※ ポートフォワードするローカル端末側のIP(リッスンIP)は、127.0.0.1 としてください。
もしプライベートIPアドレス 192.168.1.1 を設定しまうと、
Bさんが、Aさんの端末を踏み台にして、172.16.20.1:3306 (MySQL)へ接続できてしまうかもしれません。
→ Windows端末だとWindowsファイアーウォール設定や、MySQLの接続許可ホスト設定など通信拒否されるかもしれませんが。

teratermのSSH転送設定 「リモートサーバーのポート(ラジオボタン)」とか、ssh の -R オプションがあるが、
トンネルの通信を逆方向(リモート端末->ローカル端末)にするものだが、滅多に使わないので忘れて良い。
=> 逆方向も出来たよな～ぐらい覚えておいて、使う必要が出来たら、改めて調べたら良いレベル。
=> 著者は、業務上で-R は使った事がない。

〇 対象機器の管理者ではない、SSHログイン利用者
   結局の話、どこまで信用できる？という話になってしまいます。

① SSHのポートフォワードだけやりたい。(コマンド実行しない)

    sshd_configを編集しないといけないので、設定はサーバー管理者が行う事になるだろう。
    ログイン不要(/bin/bashは必要ない)なので、sshd_config に

Match User user001
AllowTCPForwarding yes
ChrootDirectory /root/dummylogin/user001

    とか書いておいて、公開鍵認証するなら、
    /root/dummylogin/user001/.ssh/authorized_keys
    設定しておく。

    利用者には、ポートフォワード利用時に、sshの "-N" オプションを付けて接続を行ってもらう。

    ※ ずっと張りっぱなしなら、'autossh' が便利。
        万一セッションが切断されたら、autosshが再接続してくれる。

② SSHログインしたい場合

[方法1] rbashを使う。
[方法2] CHROOT環境を構築する。(sshd_config ChrootDirectoryを使う)

どちらの方法も、一長一短です。
結局のところ、どこまで「SSHログイン者を信用できるか」というレベルになります。
rbashの設定は比較的設定が簡単ですが、正しく設定しないと期待した効果が得られないかもしれません。
chroot環境を構築するのは、手間がかかります。

著者の場合は、設定に手間はかかるけど、chroot環境を作って設定しています。
手間がかかる部分(chroot環境の構築)は、自作スクリプトで簡易化しています。
自作スクリプトは、別の記事で公開予定です。

【きっかけ】

データ同期の際、rsync+SSHを利用。自動化を行う為に公開鍵認証方式(パスフレーズなし)で行っているが、
セキュリティ的に心配。万一の場合でも実行可能コマンドが制限されている、chroot環境を構築してみよう。

【手順】

chroot環境を作るのは、意外と手間な作業の為、ネット上で紹介されていたスクリプトを改修して、簡易化を行った。

(0) chroot環境構築スクリプトの入手

 https://www.chovits.jp/git/?p=chroot_mk.git;a=summary

「shortlog」 一番上(最新)の[snapshot]をクリックするか、
 https://www.chovits.jp/git/?p=chroot_mk.git;a=tree
から、chroot.sh、useradd.sh を入手。

[スクリプト作成環境]
RockyLinux8 X86_84
おそらく、同系統のOS(RHEL8やCentOS8)でも動作すると思う。

(1) SSHログイン(chroot環境で利用する)アカウントを作成。(例：user001)

# useradd -u xxxx -g xxxx user001

(2) 公開鍵を配置

※ 公開鍵/秘密鍵はログイン元の端末で作成済
# su - user001
$ mkdir .ssh
$ chmod 700 .ssh
$ cd .ssh
$ vi authorized_keys
  (公開鍵をコピペ)

(3) chroot構築スクリプト実行

# cd ~
# /root/chroot.sh
(デフォは、/chrootに出来る)

(4) /chroot配下(chroot環境)にアカウント情報を反映するスクリプト実行

# cd ~
# /root/useradd.sh user001

(5) sshd_configを修正する

cd /etc/ssh
# cp -pi sshd_config ~/sshd_config.bkup.YYYYMMDD
# vi sshd_config

Match User user001
ChrootDirectory /chroot/home/user001

(6) sshdをプロセス再起動

# systemctl restart sshd

(7) SSHログイン可能か確認

chroot環境にログインしているか確認
※ chroot環境内で必要なコマンドは、chroot.shを修正。
    既にchroot環境を構築済みでも、必要コマンド追記後に再実行OK。
    必要コマンドを除外した場合は、chroot環境から削除されないので手動で削除すること。

【最後に】

chroot環境が必要となる機会はあまり無いと思う。

sftpだけであれば、sshd_config 「ChrootDirectory /home/user001」を設定すれば、
/bin/bash などのshellが/home/user001配下に存在しなくても、ファイル転送できるらしい。

(参考サイト)

ChrootDirectoryを使ってsshでchroot環境の作成
https://lab.sonicmoov.com/development/server/chrootdirectory-ssh-chroot/

sshd_configを編集後の、コンフィグチェック(構文チェック)

# sshd -t

テストモード。

パラメータのスペルミス等がある場合は、エラー出力される。

# sshd -T

拡張テストモード。

sshd_config編集前であれば、有効化されているパラーメータ一覧が表示される。
sshd_config編集後(プロセス再起動前)に、”sshd -T” にて設定したパラメータをチェックして、
問題なければ、プロセス再起動を行う手順を取ると良い。

また、sshd_configの未設定パラメータも表示されるので、明示的に設定していないパラメータの
デフォルト値を確認したりする場合に有用である

著者はRocky8にて、OSロケールを日本語に設定(LANG=ja_JP.utf8)しており、
fail2banを動作させている。

[状況]

以下の設定/条件において、通知メールのメール本文が文字化けを起こす
・fail2banの設定で、ban確定IPアドレスのwhois結果をメール通知設定
(action = %(action_mw)s)
・banIPが日本(JPNIC)管理のIPアドレスの場合

fail2banの通知メール(テンプレート)は、英語表記だが、
日本(JPRS database)のwhoisサーバーで検索すると、whois結果は日本語で表示される
結果、メール本文(whois結果の部分)が文字化けを起こす

[対処方法]

日本(JPRS database)のwhoisサーバーで検索時は、/e 引数を追加すれば結果は英語表記となるが、
/e 引数が世界標準かは未調査。
日本人としては、せっかく日本語表記となっているので、通知メール(テンプレート)側で対応した。

・「Content-Type: text/plain; charset="UTF-8"」を追記

action.d/sendmail-whois.conf

actionban = printf %%b "Subject: [Fail2Ban] : banned from
Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"`
From: <>
To:
Content-Type: text/plain; charset=\"UTF-8\"
\n
Hi,\n
The IP has just been banned by Fail2Ban after
attempts against .\n\n
Here is more information about :\n
`%(_whois_command)s`\n
Regards,\n
Fail2Ban" |

【環境】

OrangePI5 (MicroSDへインストール)
OS：Armbian 23.02.0-trunk.0112 Bullseye
ベース： Armbian_23.02.0-trunk.0112_Orangepi5_bullseye_legacy_5.10.110_minimal.img.xz
OS連続稼働(約12日間程度)中であった。

【状況】

apt update/upgradeにて、パッケージをUpdate。
OS再起動後に、OSが起動しなくなった。

• ディスプレイ接続。OrangePi5電源ONしても、HDMI信号無状態で画面は真っ黒
• OrangePI上のLEDは赤点灯のみ。
   → 正常起動時は、赤LED点灯。赤LED横の緑LEDが点滅状態となる 

    →つまり、MicroSDカードに読込にいっていない模様。

• 別端末のLinux(RockyLinux)に、当該のMicroSDカードをUSBカードリーダー挿して、USBソケットに挿す。
  → MicroSDカード上のファイルシステムは、mount出来て、lsでファイル一覧が出る事を確認。

おそらく、何らかの理由でMicroSDのMBR領域が破損しており、再起動タイミングで発症。
boot出来なくなっていたものと思われる。

MicroSDカードは年末に購入。年明けに開封して使用しており、構築数日+連続稼働(12日)で総使用時間は、24HX12日+α = 300時間程度。
故障するには早すぎる印象。

【復旧手順】

データ領域は読み込めるようなので、MicroSDカードをバックアップして、
新MicroSDカードへリストアする方針で進める。
作業端末として、WindowsPCとLinuxPCで作業する。

最初は、MicroSDをdump後に、新品メディアにrestore予定だったが、dumpコマンドの進捗速度で、
進捗表示に 残り10時間と出た時点で強制終了。こんなに待ってられない。

(1) 情報取得

故障MicroSDカード(USBカードリーダー)をLinux機へ挿し込む

# fdisk -l /dev/sdj

ディスク /dev/sdj: 14.9 GiB, 15938355200 バイト, 31129600 セクタ
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
ディスクラベルのタイプ: gpt
ディスク識別子: 7B1D8540-A4BF-FA4B-AEE5-9CE0FF2DDF0C

デバイス 開始位置 終了位置 セクタ サイズ タイプ
/dev/sdj1 32768 557055 524288 256M Linux 拡張起動
/dev/sdj2 557056 30801920 30244865 14.4G Linux ファイルシステム

# blkid -o list /dev/sdj1

device fs_type label          mount point              UUID
---------------------------------------------------------------------------------------------
/dev/sdj1 ext4 armbi_boot (マウントされていません) 4df504c6-1128-4e4d-aae9-012e346055d7

 # blkid -o list /dev/sdj2

device fs_type label          mount point              UUID
---------------------------------------------------------------------------------------------
/dev/sdj2 ext4 armbi_root (マウントされていません) 9c0b2228-0de6-4207-b1d5-6b655d76f817

(2) バックアップ

# dd if=/dev/sdj of=/root/orangepi.img status=progress
完了したら、MicroSDカードを抜いておく。

(3) 新MicroSDカードへイメージデータを書込み

[Windows機で操作]
当初OrangePI5インストール時に使用したイメージデータ
Armbian_23.02.0-trunk.0112_Orangepi5_bullseye_legacy_5.10.110_minimal.img.xz
を解凍し、「Win32DiskImager」で新MicroSDカードへ書込み。

(4) OrangePI5へ新MicroSDカードを挿し込み起動

一度起動して、初期設定(パスワードとロケール設定等)のみ終わらせる。
プロンプトが出たら、shutdownコマンドで終了
→ ファイルシステムの自動拡張を終わらせるのが目的

(5) 新MicroSDカード(USBカードリーダー)をLinux機へ挿し込む

新MicroSDカードのファイルシステムをフォーマット
# mkfs.ext4 -L armbi_boot /dev/sdj1
# mkfs.ext4 -L armbi_root /dev/sdj2

→ (3)の操作は、MBR領域とパテーション作成が目的で、ファイルシステム内のデータは不要。
データは、全てバックアップデータから戻す。

(6) 新MicroSDカード 情報取得

# fdisk -l /dev/sdj

ディスク /dev/sdj: 29.18 GiB, 31331450880 bytes, 61194240 セクタ
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
ディスクラベルのタイプ: gpt
ディスク識別子: 118f5c48-eacf-317b-cfd8-c7fd542c51b3

デバイス 開始位置 終了位置 セクタ サイズ タイプ
/dev/sdj1 32768 557055 524288 256M Linux 拡張起動
/dev/sdj2 557056 60555264 59998209 28.6G Linux ファイルシステム

# blkid -o list /dev/sdj1

device fs_type label          mount point              UUID
---------------------------------------------------------------------------------------------
/dev/sdj1 ext4 armbi_boot (マウントされていません) 24d9d921-5af7-33b8-a353-2b53fb3be0da

# blkid -o list /dev/sdj2

device fs_type label          mount point              UUID
---------------------------------------------------------------------------------------------
/dev/sdj2 ext4 armbi_root (マウントされていません) 02c288bb-34d8-86bc-3def-ea8f075b676a

(7) バックアップデータ 情報取得

(8)にて、マウント時にoffset値を算出する為に、下記値を利用する。
利用する値は、開始位置の値
1番目パテーション 32768
2番目パテーション 557056

# fdisk -l /root/orangepi.img

ディスク /root/orangepi.img: 14.9 GiB, 15938355200 バイト, 31129600 セクタ
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
ディスクラベルのタイプ: gpt
ディスク識別子: 7B1D8540-A4BF-FA4B-AEE5-9CE0FF2DDF0C

デバイス 開始位置 終了位置 セクタ サイズ タイプ
/root/orangepi.img1 32768 557055 524288 256M Linux 拡張起動
/root/orangepi.img2 557056 30801920 30244865 14.4G Linux ファイルシステム

(8) リストア

# mkdir /mnt/{old,new}

〇 1番目のパテーションのリストア
# mount -t ext4 -o loop,offset=$((32768*512)) /root/orangepi.img /mnt/old
   → 32768 は、(7)で取得した値 [/root/orangepi.img1]
# mount /dev/sdj1 /mnt/new
# cd /mnt/old
# rsync -av . /mnt/new/
# cd /mnt/new
# vi armbianEnv.txt
「rootdev=UUID=」行のUUID値を変更。値は、(6)で取得した /dev/sdj2のUUID

verbosity=1
bootlogo=false
overlay_prefix=rockchip-rk3588
fdtfile=rockchip/rk3588s-orangepi-5.dtb
rootdev=UUID=02c288bb-34d8-86bc-3def-ea8f075b676a
rootfstype=ext4

# umount /mnt/new
# umount /mnt/old

〇 2番目のパテーションのリストア
# mount -t ext4 -o loop,offset=$((557056*512)) /root/orangepi.img /mnt/old
   → 557056は、(7)で取得した値 [/root/orangepi.img2]
# mount /dev/sdj2 /mnt/new
# cd /mnt/old
# rsync -av . /mnt/new/
# cd /mnt/new
# vi etc/fstab
mountポイント「/」を (6)で取得した /dev/sdj2のUUID
mountポイント「/boot」を (6)で取得した /dev/sdj1のUUID へ変更

UUID=02c288bb-34d8-86bc-3def-ea8f075b676a / ext4 defaults,noatime,commit=600,errors=remount-ro 0 1
UUID=24d9d921-5af7-33b8-a353-2b53fb3be0da /boot ext4 defaults,commit=600,errors=remount-ro 0 2
tmpfs /tmp tmpfs defaults,nosuid 0 0

# umount /mnt/new
# umount /mnt/old

(8) 新MicroSDカードをOrangePiへ挿して起動

【原因は？】

確証はありませんが、思い当たる節があるとすれば「MicroSDカード」

言い訳になるが・・・・
SBC(シングルボードコンピュータ)は、Xwindowを入れなければ、8GBで十分すぎる。
しかし、MicroSDカードも大容量化が進み、(店舗で)売られている最低容量は32GBから。
ネット通販で探せば、8GB/16GBもまだ販売されているが、8GB/16GBの値段と32GBの値段は、
（ノーブランドで）数十円程度だったりする。

だったら・・・と思って、（思いっきり）中華製の安いSDカード(16GB)に手を出したのが敗因かも。

以前は、上海問屋のノーブランドを長年使ってきたが、上海問屋がドスパラに吸収されて
最近は、ノーブランドのMicroSDカードは販売されていない模様。(SANディスクOnly)

中華製の大容量メディア(MicroSDやSSD)は、容量偽装のパチモンが出回っているが、
16GBや32GB程度の容量では大丈夫だろうと、タカをくくっていた。
今回をきっかけに、同メディア(新品)を「h2testw」でチェックしたが容量偽装はない。
「h2testw」の最終結果で表示された値では、Write 約11MB/s Read 約17MBと表示。
一応 Class10なので転送速度は及第点だと思う。

故障したMicroSDのバックアップ中の転送速度が怪しかった（遅い）
ddコマンドで、最初、転送速度2MB/s、1GB程度完了で 1MB/s 5GB程度完了では4MB/s
ddコマンドで転送速度ってこんなに変わるもの？ いや、10MB/s出ない時点で怪しいか。
故障メディアは廃棄して、未開封の同製品は完全にテスト用にしないといけない。

dnf update 等を行うと、ダウンロード速度が遅い時がある。
IPアドレスを確認すると、海外のレポジトリサーバーへ接続している場合がある。
ロケーションは日本なので、日本のレポジトリサーバーへ接続して、ダウンロード速度を早くしたい

【RockyLinux】

/etc/yum.repos.d/xxxxx.repo の
mirrorlist=URL の末尾に、&country=JP を追記する

/etc/yum.repos.d/Rocky-BaseOS.repo の場合、

mirrorlist=https://mirrors.rockylinux.org/mirrorlist?arch=$basearch&repo=BaseOS-$releasever

を

mirrorlist=https://mirrors.rockylinux.org/mirrorlist?arch=$basearch&repo=BaseOS-$releasever&country=JP
と追記する

【Fedora】

/etc/yum.repos.d/xxxxx.repo の
mirrorlist=URL の末尾に、&country=JP を追記する

/etc/yum.repos.d/fedora.repo の場合、

metalink=https://mirrors.fedoraproject.org/metalink?repo=fedora-$releasever&arch=$basearch


を

metalink=https://mirrors.fedoraproject.org/metalink?repo=fedora-$releasever&arch=$basearch&country=JP

と追記する

著者は、Rocky8 と fedora36 にて確認した。
おそらくCentOSも同じように設定可能だと思われる。

他のRH系ディストリビューションは触った事が無いので未確認。
yum時代は、fastestmirror.conf に「include_only=.jp」を指定していたが、
dnfになってから設定方法が不明だった。

【事象】

データが格納されている MySQLのテーブルで、カラムを追加して複合プライマリキーを付与しようとした際、
「ERROR 1068 (42000): Multiple primary key defined」と表示され、付与できない。
(最終的には、付与する必要は無くなったが)
対象のテーブルは、カラムの１つに「auto_increment」を設定している状態。

【やったこと】

いくつか試してみたが、データをバックアップしてからテーブル再作成を行った。
※ カラム追加なので、既存のカラム名変更や型変更等は行っていない

対象のテーブル名は「address_list」

1. テーブル構造の出力

「show create table address_list」で出力。結果をテキストエディタへコピペ。
このcreate table文に、新カラムや型情報を追加。
PRIMARY KEY 行の部分に、新カラム名を追加

2. mysqldump に 「-c」オプションと付けて実行

当初は、
「mysqldump -u dbuser -p -t SampleDB address_list > address_list.sql」 を実行。
-t オプション -> テーブル構造は出力しない
これは、「4. データのリストア」で失敗する。
address_list.sqlを見れば分かるが、
INSERT INTO `address_list` VALUES ･･･
と、カラム名が書き出されていないので、カラムの総数が違うとエラーが吐かれる。

よって、
「mysqldump -u dbuser -p -t -c SampleDB address_list > address_list.sql」 を実行。
-c オプション -> カラム名を出力する
address_list.sqlでは、
INSERT INTO `address_list` (`id`, `ganre_id`, `company_id`, `username`, `address`) VALUES ･･･
と、カラム名が追加された

念のため、
「mysqldump -u dbuser -p SampleDB address_list > address_list.org.sql」
を実行して、元に戻す用データも取得しておく

3. 思い切ってdrop table

「drop table address_list」でテーブル削除
1. で作成した create table文を実行して、テーブル作成。
「desc address_list」でテーブル構造を確認

4. データのリストア

「mysql -u dbuser -p SampleDB < address_list.sql」でデータ復元

【最後に】

そもそも、テーブル作成後にカラム追加するなどという事は、本番環境では稀だと思う。
HDD故障や有事の際のDBバックアップとして、定期的にmysqldumpで取得しているケースが多いと思うが、
今回はテーブル構造を変更してからのデータの戻し作業だったので、カラム名も出力する
mysqldumpの「-c」オプションが役に立った。

Nagiosにてsnmpによる値監視をするにあたり、nagios-plugins 「check_snmp」が用意されている。
ググると、トラフィックの監視事例が上位にHitする。
値が＋方向に上昇していくパターンを監視しようというものだ。

今回やりたかった事は、値が1=正常、0=異常という事をやりたい。
例えば、NW機器の物理ポート(SWHUBのPort1)I/FがLinkUpしているかどうかという場合だ。

OID:
・ifAdminStatus(.1.3.6.1.2.1.2.2.1.7)
1 - Up
2 - Down
3 - Testing

・ifOperStatus(.1.3.6.1.2.1.2.2.1.8)
1 - Up
2 - Down
3 - Testing
5 - Dormant（休止）
6 - notPresent

上記の場合は、ifAdminStatus=1, ifOperStatus =1 が正常なので、1以外の値は異常(Critical)とした場合、
(Warningはなし)

check_snmp -H 192.168.1.1 -P 2c -C public -o .1.3.6.1.2.1.2.2.1.7.1 -c 1:1
「1:1」と下限値:上限値 を指定する。この値なら正常。この値以外は異常となる。

詳しくは、
check_snmp -h
にて、

Notes:
- Multiple OIDs (and labels) may be indicated by a comma or space-delimited
list (lists with internal spaces must be quoted).
- See:
https://www.nagios-plugins.org/doc/guidelines.html#THRESHOLDFORMAT
for THRESHOLD format and examples.
- When checking multiple OIDs, separate ranges by commas like '-w 1:10,1:,:20'
- Note that only one string and one regex may be checked at present
- All evaluation methods other than PR, STR, and SUBSTR expect that the value
returned from the SNMP query is an unsigned integer.

と書かれており、上記URLの [Threshold and Ranges] を参照して欲しい。

一部抜粋
Table 4. Command line examples

今回、例にしたOIDは正の整数しか値として格納されない想定だが、
check_snmp 以外にも同様に、-w , -c の値を範囲指定する事が可能なプラグインが存在する。
状況に応じて、範囲の書き方を確認しないと、予想値以外の値が格納された場合、本来は異常となって欲しいのに、”正常”とみなされる場合があるので注意が必要だ。

通常は、ローカル内のサーバーを管理すると思うので、IPv4アドレスで接続を行うと思う。
しかしながら、IPv6アドレスで接続したい場合に、IPv4と同じ感覚で、
munin.conf に、

[mail.example.com]
address 192.168.1.1
use_node_name yes

[www.example.com]
address 1111:2222:3333:4444::1
use_node_name yes

と設定すると、

Failed to connect to node 1111:2222:3333:4444::1:4949/tcp : Invalid argument
[ERROR] Munin::Master::UpdateWorker<www.example.com> failed to connect to node

と怒られます。

address の引数には、IPアドレスやFQDN(DNS解決可能な場合)でも設定可能ですが、
IPv6アドレスを指定する場合は、かっこ [] で囲む必要があります。

正しくは、

[www.example.com]
address [1111:2222:3333:4444::1]
use_node_name yes

と設定しましょう。

表題に書いてしまったが、shellスクリプト + 設定ファイル(ini形式)でスクリプトを書くには、
crudini を使うと便利だ。

RedHat系であれば、
dnf install crudini

RasPiOSやarmbianでは、
apt install crudini

など、crudiniはパッケージとして用意されている。
※ 他のディストリビューションは未確認

例えば、pingを実行するスクリプトを書くとすると、

【/home/user/test.sh】

※ 7行目の部分(TARGET=)で、バッククォートを入れていますが、何故か表示上消えてしまいます
    PHPMYFAQの仕様だと思うのですが・・・・

#!/bin/bash

CRUDINI=/usr/bin/crudini
INIFILE=/home/user/test.ini

source <($CRUDINI --get --format=sh $INIFILE common)
TARGET=(`echo $TARGET|xargs`)

for tgt in ${TARGET[@]}
do
  source <($CRUDINI --get --format=sh $INIFILE $tgt)
  echo "*** Ping $HostName ($IP) ***"
  ping -c $PingCount $IP | tee /tmp/${HostName}.pingout
  echo ""
done

【/home/user/test.ini】

[common]
TARGET="hostA hostB hostC"

[hostA]
HostName=hostA
IP=192.168.0.1
PingCount=5

[hostB]
HostName=hostB
IP=192.168.0.2
PingCount=3

[hostC]
HostName=hostC
IP=192.168.0.3
PingCount=1

実行例
$ /home/user/test.sh

おそらく一部の構築エンジニアを除いて、カスタムISOイメージを作成するシチュエーションは
あまり無いと思うが、備忘録として残しておきます。

【対応策】

Rocky Linuxの場合、
livemedia-creator の引数に、--anaconda-arg="--product Rocky Linux" を付け加える

【環境/手順】

参考サイト https://github.com/lunatilia/el8-livemedia-japanese

※ 手順はほぼサイト通りですが、イメージを作成するOSのバージョンでエラー発生。
Rocky Linux 8.4 では、ソフトウェアの選択で「Server(GUI)」では成功。「最小限インストール」や「Server」はエラー発生。
Rocky Linux 8.6, 8.7では、「最小限インストール」や「Server」「Server(GUI)」エラー発生。

エラー内容(抜粋)
-----
エラーメッセージは次のとおりです:
The RHSM DBus API is not available.

インストーラーを終了します。
-----

最初は、イメージ作成専用のサーバーを、Rocky Linux 8.4 ソフトウェアの選択で「Server(GUI)」で構築し、
dnf -y update で、一気に8.7最新まで上げて作っていたが、以下の記事を見つけて試したらエラー回避できた。

https://bugzilla.redhat.com/show_bug.cgi?id=2034601

バグとして報告されているようだが、記事内に以下の発言があった。

「try running livemedia-creator with --anaconda-arg="--product CentOS Linux"」

この発言通りに実行したら、ISOイメージが作成出来て、そのISOイメージを使って、VMware上では起動出来た。
この方法が正しいのかどうかまでは不明。

(1) イメージ作成専用のサーバーを準備する。

・ VMware WorkStatioinで構築
・ Rocky-8.7-x86_64-minimal.iso を利用
キーボード ： 日本語
言語サポート： 日本語
時刻と日付 ： アジア/東京 タイムゾーン
ソフトウェアの選択： 最小限のインストール
インストール先： 適当に
ただ、イメージ作成で中間ファイル・完成ファイル等で空き容量不足にならない程度。
著者の場合は、仮想ディスク 20GB (SWAP 2GB / で18GB)
※ ホスト名とIPアドレスの設定は、インストール完了後に実施

(2) イメージ作成専用サーバーの諸設定

(2-1) コンソール画面より、
・ IPアドレス設定
・ ホスト名設定

(2-2) OSを最新にしておく。
# dnf -y update

(2-3) selinuxをdisabledに
# vi /etc/sysconfig/selinux

OS再起動する

(3) イメージ作成の為のインストール

# dnf -y install git lorax-lmc-novirt

OS再起動

(4) ISOイメージ作成

# git clone https://github.com/lunatilia/el8-livemedia-japanese
# cd el8-livemedia-japanese
# mv samples/rocky8live-builder .
# vi rocky8live-builder

・ --anaconda-arg="--product Rocky Linux" を付け加える
・ 8.3 -> 8.7 に変更

--- 抜粋 ---
livemedia-creator \
--ks ${kickstart} \
--no-virt \
--iso-only \
--make-iso \
--nomacboot \
--volid RockyLinux-8 \
--iso-name "Rocky-8.7-x86_64-LiveGNOME.iso" \
--title "Rocky Linux Live 8.7 (JP)" \
--project "Rocky Linux Live" \
--releasever "8\.7\ \(JP\)" \
--fs-label "Rocky-8-7-x86_64" \
--extra-boot-args noswap \
--tmp ${temp} \
--resultdir ./${resultdir} \
--logfile ${logdir}/${logfile} \
--anaconda-arg="--product Rocky Linux"

(5) 実行する

# ./rocky8live-builder kickstarts/rocky-8-live-gnome.cfg

今回は、
el8-livemedia-japanese の kickstartファイルを利用しましたが、
kickstartファイルを自分好みに作成すれば良いと思います。

RockyLinux8にて、Dr.WEBのトライアルライセンスを入手し利用してみたが、
ソフト自体がリソースを圧迫するなどの事もなかったし、Linux対応のAntiVirusソフトが
他に見つからなかった事もあり、Dr.WEBの正規ライセンスを購入した。

(1) オンラインストアからの購入

https://estore.drweb.co.jp/home/
購入の仕方は、他社のオンラインストアでの操作方法と変わらない。
オンラインストアにてクレジットカード等にて購入/決済が完了すると、
購入時に登録したメールアドレスへ「シリアルコード」が記載されたメールが到着する。

※ ここで登録するメールアドレスは、Dr.WEBの個人向けポータルサイトにログインしたり、
    Dr.Webキーファイル入手の際にも使われるので、捨てアド（捨て垢）等は注意してください。

※ 購入時に、ライセンス期間とPC台数を入力するが、例えば、1年、PC2台で購入すると、
    シリアルコードが１つ発行される。
    有効期限はシリアルコード毎となり、PC毎の有効期限では無い事に注意が必要。

    → 1台目 : 2023/01/01 使用開始
        2台目 : 2023/02/01 使用開始
        と、時期をずらしても有効期限は、2台とも 2024/12/31 となる。

(2) 使用開始日にDr.Webキーファイルの取得を行う。

ソフト上にライセンスを付与する方法は、Dr.Webキーファイルを取り込む事で登録する。
この、Dr.Webキーファイルを入手する
https://products.drweb.co.jp/register/v4/

上記URLより、メールで到着した「シリアルコード」を登録すると、
Dr.Webキーファイルが発行される。
Dr.Webキーファイルは、上記URLから登録直後に表示されるリンクからもダウンロード可能だが、
登録したメールアドレスにも到着する。

※「シリアルコード」を登録（ Dr.Webキーファイルを発行した）時点で、ライセンス使用開始となる。
   よって、「シリアルコード」は先行して購入していても問題ないが、
   ソフト使用開始直前に、「シリアルコード」を登録したほうが良い。
   → ライセンス使用開始は、ソフトにDr.Webキーファイルをインポートした時点ではない！

(3) Dr.Webキーファイルをソフトに取り込む

GUI操作にて、Dr.Webキーファイルをインポートする事でライセンス登録が可能らしいが、
著者の場合は、Xwindow未導入の為、コマンドラインにて操作する。

(3-1) Dr.Webキーファイルを指定の場所に保存する。
       保存先： /etc/opt/drweb.com/drweb32.key

(3-2) プロセスを再起動する。
        # systemctl restart drweb-configd

(3-3) ライセンス期間の確認する
        # drweb-ctl license

(1) オンラインストアからの購入

https://estore.drweb.co.jp/renew/

更新を行う為のライセンスは、2通りの方法が存在する。

・ 新規ライセンスを購入して、更新用ライセンスとして使用する

→ (新規登録操作ではなく) 特定の操作を行う事で、ライセンス期限が+150日追加される
    → 既存ライセンス有効期限が切れていないこと
    → 既存シリアルコートを入力する必要がある
    → 価格は新規ライセンス価格だが、150日追加されることで更新割引価格と同等の値段設定

・ 更新用ライセンスを購入する

→ 既存ライセンス有効期限が切れていないこと
→ 既存シリアルコートを入力する必要がある
→ 購入価格は、更新割引価格(1年の場合、40%割引)が適用される。

→ 更新用ライセンスは、既存シリアルコードをベースにする為、PC台数は変更出来ず、ライセンス期間のみ変更可能（1年/2年/3年）

著者は、後者を選択。
上記URLより、既存のシリアルコード、新規登録時に入力したメアドを入れて購入。
メールに、新しいシリアルコードが到着した。

(2) 新しいシリアルコードの登録

結果から先に言うと、この操作を行えばライセンス更新作業は終了する。
Dr.Webキーファイルのダウンロード、メールでもDr.Webキーファイルが添付ファイルで受信したが、
このファイルを使うことなく、ライセンス期間が延長された。

[状態]
対象サーバーは、
　　・ ライセンス有効期限は切れていない状態
     ・ インターネットへ公開(外部へのアクセスが可能状態)

https://products.drweb.co.jp/register/v4/

にて、新しいシリアルコードを登録。
次の画面にて、既存のシリアルコードがあるかどうか聞かれる。
この画面にて、既存のシリアルコードを入れると、
既存ライセンスの有効期限から、契約年数分が付与されたライセンス状態となる。
・ Dr.Webキーファイルのダウンロード
・ メールでも、Dr.Webキーファイルが到着している事を確認

著者の場合、有効期限が2023-09-07 で、2023-08-30に1年2台のライセンス購入。
この作業を実施したところ、Dr.Webキーファイル内の有効期限は、
2024-09-07 となっていた。
既存のライセンス有効期間が反映されていた。

(3) Dr.Webキーファイルを差し替えしようと思ったら・・・

念のため、作業前に
# drweb-ctl license
を実施したところ、既に有効期間が延長されていた。

反映タイミングは不明。
内部的にライセンスが有効かどうかのチェックを行っているらしいので、
タイミングよく反映されたのか、
「drweb-ctl license」コマンドを実行した際に、反映されたのか・・・

/etc/opt/drweb.com には、
drweb32.key (新) と、リネームされたであろう drweb32.key.xxxxx (旧キーファイル)が
保存されていた。

という訳で、
今回は、 Dr.Webキーファイルを差し替え、ソフトの再起動等は行う必要は無かった。

どのバージョンから規制されたのか不明ですが、以下の記事によると
default_handler()は、GET/POST/OPTIONS以外は、受け付けないようになっているらしい。
https://www.softel.co.jp/blogs/tech/archives/5685

セキュリティの観点から、Limitディレクティブを使って、GET/POTのみ受け付けるように制限を
かける事が言われていて、Googleと、それらの記事も多くHitする。
ただ、どの記事も日付が古い。Apache(httpd)側で対策したから、わざわざ制限を加えなくても
良いとの観点だろう。

今回、ファイルをサーバー側に置いて処理させる要件が出て、HTTPかSCP/SFTPのどちらかで
実装だろうな・・・と思っており、HTTP PUTのほうが単純で(実装が)楽じゃね？と思った次第。
当初は、httpd.confでPUTメソッドを許可する設定を書けば良いと思っていた。
だが、難航極まりない。結局、行き着いたのが上記URLで、設定では許可出来無さそうだった。
その記事で「Scriptディレクティブで設定するのが簡単」とあったので、やってみた。

*** 注意 ***
以下にサンプルスクリプトを掲載するが、あくまでサンプル。
そのままコピペして公開サーバーで実装しないで欲しい。
公開サーバーへ実装を予定されている場合は、実装予定のサーバーの環境に応じて、
有識者がスクリプトのセキュリティ診断を行うなど対応が必要である。

〇 試した環境

・ WEBサーバー (192.168.100.100)
    Debian GNU/Linux 11 Debian 5.10.197-1 (2023-09-29) x86_64
    apache2 2.4.56-1~deb11u2
    perl v5.32.1
・ クライアント (192.168.100.1)
    Rocky Linux 8.9 4.18.0-513.5.1.el8_9.x86_64
    perl v5.26.3

〇 インストール

[WEBサーバー]

# apt-get install apache2
# a2enmod actions
# a2enmod cgid
# mkdir /var/www/html/test
# chown www-data. /var/www/html/test
# apt-get install libcgi-pm-perl

# vi /etc/apache2/sites-enabled/000-default.conf
   変更箇所は以下の通り

*** 000-default.conf.bak
--- 000-default.conf
***************
*** 27,32 ****
--- 27,39 ----
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
+ <Directory /var/www/html/test>
+ AllowOverride AuthConfig
+ Require method PUT
+ Require ip 192.168.1
+ Script PUT /cgi-bin/put.cgi
+ </Directory>
+
</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

# vi /usr/lib/cgi-bin/put.cgi

#!/usr/bin/perl -T
use strict;
use warnings;
use CGI;
use File::Basename;
use CGI::Carp qw(fatalsToBrowser);
$CGI::POST_MAX = 1024 * 100;
my $q       = CGI->new;
my $method  = $q->request_method();
my $redirect= $ENV{'REDIRECT_URL'};
my $data    = '';
my $msg     = '';
my $ref_base= '';
my $ref_dir = '';
my $save_nm = '';
unless ( $redirect eq '' ) {
    ($ref_base, $ref_dir) = fileparse $redirect;
    if ( $method eq 'PUT' and $ref_dir =~ m!^/test/! ){
        $data  = $q->param('PUTDATA');
        if ($ref_base =~ /^([\w\.-]+)$/) { $ref_base = $1; }
        else { die 'Unable to extract file name';  }
        $save_nm = "/var/www/html/test/${ref_base}";
        open(OUT, ">$save_nm") or die "File ($save_nm) open Error\n";
        print OUT $data;
        close OUT;
        $msg = "$save_nm write";
    }
    else {
        $msg = 'Method Error';
    }
}
else {
    $msg = 'Direct execution prohibited';
}
# HTML
print $q->header,
  $q->start_html('hello world'),
  $q->p("$msg") . "\n";
print $q->end_html;

# systemctl restart apache2

[クライアント]

$ vi test.pl

#!/usr/bin/perl
use strict;
use warnings;
use HTTP::Request;
use LWP::UserAgent;
my $method = 'PUT';
my $uri    = 'http://192.168.100.100/test/test.txt';
my $header = ['Content-Type' => 'text/plain; charset=UTF-8'];
my $data   = 'Hello Wolrd';
my $req = HTTP::Request->new( $method, $uri, $header, $data );
my $ua  = LWP::UserAgent->new(timeout => 10);
my $res = $ua->request($req);
print $res->content();

$ chmod 744 test.pl

〇 実行してみる

(1) クライアントよりコマンド実行
$ ./test.pl

<!DOCTYPE html
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en-US">
<head>
<title>hello world</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
</head>
<body>
<p>/var/www/html/test/test.txt write</p>
</body></html>

(2) サーバー側にログインしてファイルが出来ている事を確認

(3) クライアントよりブラウザで、http://192.168.100.100/test/test.txt にアクセスしてみる

〇 感想

結局、CGI(put.cgi)を動かしているので、CGI.pm 使っている時点で、POSTでも良かったかも・・・・と気づいた。
今回のWEBサーバーはphp入れていないけど、mod_phpなんて入って入たら、test.phpを置くと実行できるのでは？
/var/www/html/test ディレクトリは、PUTメソッドのみ許可にしてブラウジング出来ないようにするとか、
そもそもドキュメントルート以外に保存して閲覧用のCGIを別途用意するとか、対策施さないと危険すぎる。
text.txtファイルのパーミッションは[0644]なので、シェルインジェクションは出来ないと思うけど。

〇 要件

これまで、php7.4にてWEBサーバーを運用していたが、とあるアプリケーションのバージョンアップをする為には、
php8.2 or php8.3に上げる必要があった。
しかしながら、単純にphpを7.4 -> 8系に上げると稼働しているCMSが動作しない事が判明。
まあ、諸事情によりCMSのphp8系対応は見通しが立たない。

という訳で、とあるアプリケーションだけphp8系に上げる事にした。

[環境] ※導入前

・Rocky Linux 8.9 (Green Obsidian)
・httpd-2.4.37-62.module+el8.9.0+1436+2b7d5021.x86_64
・php-7.4.33-1.module+el8.8.0+1150+ac720675.x86_64
  → コンテンツは、php7.4にて稼働中

※ この記事は検証環境で試して成功した段階で忘れないように執筆しています。
    本番環境を弄った際に手順が異なったら、後ほど記事を修正します。

〇 Googleと・・・・

世の中には同様に考えている人が多いもので、さくっと見た限りでは2通りの方法がある。
・バーチャルホスト毎にphpバージョンを分ける
・ドキュメントルート ディレクトリでphpバージョンを分ける。
今回は後者のディレクトリでphpバージョンを分ける方法を選択した。

〇 php8系のインストール

RockyLinux8のAppStreamは8.0までのようなので、Remiレポジトリを追加
※ EPELリポジトリは既に設定済。未導入の場合は、依存関係で必要なRPMがあるので導入必須
# dnf install https://rpms.remirepo.net/enterprise/remi-release-8.rpm
# dnf update

今回は、php8.2をインストールする。
# dnf install php82 php82-php-gd php82-php-xml php82-php-mbstring php82-php-mysqlnd php82-php-embedded

インストール完了後
# systemctl restart httpd
# ps -ef | grep -e "httpd" -e "php-fpm"
php-fpmのインスタンスが、/etc/php-fpm.confに加え、/etc/opt/remi/php82/php-fpm.confの2つが立ち上がる。

root 2231 1 0 16:48 ? 00:00:00 php-fpm: master process (/etc/php-fpm.conf)
root 2233 1 0 16:48 ? 00:00:00 php-fpm: master process (/etc/opt/remi/php82/php-fpm.conf)
root 2238 1 0 16:48 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 2240 2233 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2241 2233 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2242 2233 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2243 2233 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2244 2233 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2245 2238 0 16:48 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 2246 2238 0 16:48 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 2247 2238 0 16:48 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 2248 2238 0 16:48 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 2460 2231 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2461 2231 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2462 2231 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2463 2231 0 16:48 ? 00:00:00 php-fpm: pool www
apache 2464 2231 0 16:48 ? 00:00:00 php-fpm: pool www

*** 問題発生 ***
サイトを確認すると、php画面が真っ白。もしかして・・・と思って、速攻でphpinfoファイルを作って、
ブラウザで読み込ませてみると、「PHP Version 8.2.13」orz

httpdの設定ファイルを確認すると、
/etc/httpd/conf.dに、既存 php.conf に加え、php82-php.confが出来上がっている。
内容を確認したが重複する設定内容となっており、php.conf　-> php82-php.confの順で読み込まれている推測。
結果的に、php82-php.confの設定内容が、有効化されたものと思われる。

[php82-php.confを無効化]
# cd /etc/httpd/conf.d
# mv php82-php.conf php82-php.conf.off
→ httpd.conf で、「IncludeOptional conf.d/*.conf」となっているので、拡張子が変われば読み込まれない。
# systemctl restart httpd

再度、ブラウザでphpinfo確認「PHP Version 7.4.33」に戻った。
とりあえず、これでphp8系の使える事前準備が完了した。
(現状の設定では、全てのコンテンツ(バーチャルホスト含め)でphp7.4が使われるはず)

〇 とあるアプリだけphp8系を使う設定を行う

アプリ名(仮)が、php-ABCsoft
/var/www/html/php-ABCsoft-1.2.3 が本体のディレクトリ名
シンボリックリンクを張っている。php-ABCsoft -> php-ABCsoft-1.2.3

設定は、「.htaccess」でも良いのだが、私はどちらかというとconfファイルに書く性分だ。
どうせ時間が経つと忘れるので、confで設定したほうが手を加えている事に早く気付ける。

という訳で、
httpd.confの追加設定で、

<Directory "/var/www/html/php-ABCsoft">
  Options +FollowSymLinks
  <FilesMatch \.php$>
    SetHandler "proxy:unix:/var/opt/remi/php82/run/php-fpm/www.sock|fcgi://localhost"
  </FilesMatch>
</Directory>

念のため、
・/var/www/html/php-ABCsoft/phpinfo.php
・/var/www/html/phpinfo.php
ファイルを置いておく。
phpinfo.php の中身は、言わずもがな <?php phpinfo(); ?> である。

# systemctl restart httpd

後は、ブラウザにて、
https://hogehoge.chovits.jp/phpinfo.php
  -> PHP Version 7.4.33
https://hogehoge.chovits.jp/php-ABCsoft/phpinfo.php
  -> PHP Version 8.2.13
を確認。

phpのバージョン確認が終わったら、phpinfo.phpを削除するのを忘れずに・・・

〇 感想

php-fpmを使う以外に、php-cgi を /cgi-bin配下に置いて、Actionディレクティブに引き渡す方法もGoogleったら出てきた。

最初は、

# cp -p /opt/remi/php82/root/usr/bin/php-cgi /var/www/cgi-bin/php-cgi

<Directory "/var/www/html/php-ABCsoft">
  Options +FollowSymLinks
  <FilesMatch \.php$>
    Action php82 /cgi-bin/php-cgi
    AddHandler php82 .php
  </FilesMatch>
</Directory>

しかしながら、この設定方法ではうまくphp82のphp-cgiを使ってくれなかった。
phpinfoでは、7.4.33 のままでphp8系にならない。

/etc/httpd/conf.d/php.conf で、デフォルトはphp7系を使うように、SetHandler で php-fpmに渡す設定がされている。
あくまで予想だが、Actionディレクティブよりも、SetHandlerが優先されたのだろう。
ここでハマって時間を要してしまった。

PCのHDD容量が不足してきたため、ファイルサーバーのHDDの一部領域を、PCに割り当てたく
iscsiで設定してみた

個人で利用している環境では、PCにドメイン名を設定せずに利用している事が多い。
今回の設定では、ドメイン名が必要となるので、マイドメインを取得していない場合は、
テスト用のドメインを利用して欲しい。
今回は、example.jp を利用して情報を残しておく

２つの記事に分けて執筆しているので、必要に応じて参考にして頂きたい
・ RockyLinux8 と Windows10間でiscsi接続設定 (iscsi ターゲットサーバー設定)  *** この記事 ***
・ RockyLinux8 と Windows10間でiscsi接続設定 (iscsiイニシエーター設定) 

(1) iscsi設定を行う為の事前情報

iscsiの設定を行うに辺り、iSCSI ターゲット名/イニシエーター名を事前に決めておく。
命名規則があるので、フォーマットに倣って決定する
フォーマットは [ iqn.年-月.ドメイン名の逆:任意の名前 ]

【環境】
 ・サーバー (iscsiターゲットサーバー)
     RockyLinux8.9
     Hostname : server.example.jp
     IPAddress: 192.168.1.84
     iscsiで利用する名前： iqn.2023-12.jp.example:server

・ クライアント (iscsiイニシエーター)
    Windwos10Pro
    Hostname : client.example.jp
    IPAddress: 192.168.1.85
    iscsiで利用する名前： iqn.2023-12.jp.example:client   

(2) サーバー設定

(2-1) サーバー側にiscsi管理ソフトを導入

 # dnf -y install targetcli
 # systemctl enable target
 

(2-2) ディスクイメージ場所の選定

Windows10で利用する(割り当てる) Disk領域の場所
# mkdir /iscsi_disks 

(2-3) iscsi管理ソフトで設定

# targetcli 

Warning: Could not load preferences file /root/.targetcli/prefs.bin.
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.
/>

対話モードなるので、コマンドを実行していく。
設定中はプロンプトが "> になっている事に留意して欲しい。
コマンドはシェルに似ている

(2-3-1)  Windows10で利用するDiskイメージの作成

disk01と名前で、作成場所、ファイル名は、/iscsi_disks/client_disk01.img
とりあえず容量を10GBとした。
以下、絶対パスで項目を移動(感覚的に分かりやすいかも)
> cd backstores/fileio
/backstores/fileio> create disk01 /iscsi_disks/client_disk01.img 10G

Created fileio disk01 with size 10737418240

(2-3-2) iscsiターゲットの作成

/backstores/fileio> cd /iscsi
        
(1)で命名した名前で作成する
/iscsi> create iqn.2023-12.jp.example:server

Created target iqn.2023-12.jp.example:server.
Created TPG 1.
Global pref auto_add_default_portal=true
Created default portal listening on all IPs (0.0.0.0), port 3260.

(2-3-3) LUNを割り当て

/iscsi>  cd /iscsi/iqn.2023-12.jp.example:server/tpg1/luns

(2-3-1)で作成したディスクイメージ "disk01" にLUNを割り当てる
明示的にLUN番号を指定できるが、省略すると空き番号を自動割り当てされる。
        
/iscsi/iqn.20...ver/tpg1/luns> create /backstores/fileio/disk01

Created LUN 0.

→ 0番が割り当てられた

(2-3-4) AccessControL (ACL) の設定

disk01に接続可能なクライアント(Windows10)を登録する
※ この設定(接続クライアントの制限)や、(2-3-5)で設定するID/PASSも不要な場合は、
    別設定(制限しない=全て接続する)を行えば、「来るもの拒まず」状態になる

/iscsi/iqn.20...xample:server> cd /iscsi/iqn.2023-12.jp.example:server/tpg1/acls
/iscsi/iqn.20...ver/tpg1/acls> create iqn.2023-12.jp.example:client

Created Node ACL for iqn.2023-12.jp.example:client
Created mapped LUN 0.

(2-3-5) クライアントがサーバーに接続する際のID/Passを設定

/iscsi/iqn.20...ver/tpg1/acls> cd /iscsi/iqn.2023-12.jp.example:server/tpg1/acls/iiqn.2023-12.jp.example:client
/iscsi/iqn.20...xample:client> set auth userid=iscsiuser001 password=123456789012

Parameter userid is now 'iscsiuser001'.
Parameter password is now '123456789012'.

※ PASS(シークレット)の文字数は12～16文字で設定する必要がある(CHAPの仕様)

(2-3-6) ID/PASS認証を行うように設定

(2-3-5)にて、ID/PASSを登録したが、ID/PASSを使っての認証をするかしないかの設定が必要となる。
また、この設定はターゲットポータルグループ (TPG) 毎の設定となる。
現在、グループ名"tpg1" が作成されているので、「tpg1グループはID/PASS認証を行う」設定となる。

/iscsi/iqn.20...xample:client> cd /iscsi/iqn.2023-12.jp.example:server/tpg1
/iscsi/iqn.20...e:server/tpg1> set attribute authentication=1

Parameter authentication is now '1'.

 ※ ここで、"get attribute"と打てば、その他の設定項目も表示される。

(2-3-7) 設定の完了と確認

"ls /" にて設定の簡単な設定確認が出来る。
しかし、ID/PASSなどはこの画面には出て来ないので、確認コマンドはあるが、生ファイルを見たほうが早い
設定ファイル  /etc/target/saveconfig.json

 /iscsi/iqn.20...xample:client> ls /

o- / ............................................................................................................................................. [...]
  o- backstores ............................................................................................................................. [...]
  | o- block ........................................................................................................... [Storage Objects: 0]
  | o- fileio ............................................................................................................ [Storage Objects: 1]
  | | o- disk01 ............................................ [/iscsi_disks/client_disk01.img (10.0GiB) write-back activated]
  | |   o- alua ............................................................................................................ [ALUA Groups: 1]
  | |     o- default_tg_pt_gp ...................................................................... [ALUA state: Active/optimized]
  | o- pscsi ............................................................................................................ [Storage Objects: 0]
  | o- ramdisk ........................................................................................................ [Storage Objects: 0]
  o- iscsi ............................................................................................................................ [Targets: 1]
  | o- iqn.2023-12.jp.example:server ....................................................................................... [TPGs: 1]
  |   o- tpg1 ................................................................................................... [no-gen-acls,auth per-acl]
  |     o- acls .......................................................................................................................... [ACLs: 1]
  |     | o- iqn.2023-12.jp.example:client ....................................................................... [Mapped LUNs: 1]
  |     |   o- mapped_lun0 .................................................................................... [lun0 fileio/disk01 (rw)]
  |     o- luns .......................................................................................................................... [LUNs: 1]
  |     | o- lun0 ......................................... [fileio/disk01 (/iscsi_disks/client_disk01.img) (default_tg_pt_gp)]
  |     o- portals .................................................................................................................... [Portals: 1]
  |       o- 0.0.0.0:3260 ................................................................................................................... [OK]
  o- loopback ....................................................................................................................... [Targets: 0]

/iscsi/iqn.20...xample:client> exit

Global pref auto_save_on_exit=true
Configuration saved to /etc/target/saveconfig.json

(2-4) iscsiサーバーサービスを起動する

# systemctl start target

 TCP 3260でListen状態となっている事が確認できる
 # ss -ant | grep 3260

LISTEN 0      256          0.0.0.0:3260       0.0.0.0:*

以上で、ターゲットサーバー側の設定は完了

(3) クライアントの設定

(3-1) iscsiイニシエータ プログラムの起動

説明を簡略化する為、ショートカットキーで執筆している。
     
・iSCSI イニシエーター
   [Windows]キー + R で、「ファイル名を指定して実行」を開く。
  「iscsicpl」と入力し、OKをクリック

(3-2)  (初めて起動すると)以下の画面が表示されるので「はい」を選択

以下の画面が出なかった場合は、サービスが起動しているか確認すること。
 
・サービス
   {Windows}キー + R で、[ファイル名を指定して実行]を開く。
  「SERVICES.MSC」と入力し、OKをクリック
    サービス名：Microsoft iSCSI Initiator Service が[実行中] で[自動]となっている事

(3-3) イニシエーター名の設定

① iSCSI イニシエーター画面が表示。構成タブを選択
② [変更]ボタン押下


③ 予め決めておいたクライアントのイニシエータ名 「iqn.2023-12.jp.example:client」入力後、[OK]ボタン押下


④ イニシエータ名が変更された事を確認し、[探索]タブを選択

(3-4) ターゲットポータルの設定

① [ポータルの探索]をクリックする


② ターゲットサーバーのIPアドレスを入力後、[OK]をクリック
    ※ ここでは、詳細設定は行わない


③ ターゲットを検索するポータルにエントリされた事を確認し、[ターゲット]タブを選択

(3-5) ターゲットへの接続設定

① (3-4)の設定が完了すれば、[検出されたターゲット]の欄にターゲット名が表示されている
    状態は[非アクティブ]
    ターゲット名を選択された状態にし、[接続]をクリックする


② [詳細設定]をクリックする


③ [CHAP ログインを有効にする]にレ点を入れ、
    (2-3-5) で設定したID/PASS情報を入力する
    名前： iscsiuser001
    ターゲット シークレット： 123456789012
    入力後、[OK]をクリック


④ 1つ前の画面に戻るので、[OK]をクリックする


⑤ 状態が"接続完了"となれば設定完了
    ※ 設定に誤りがあると、エラーウインドウが表示される。
        設定ミスの箇所により、エラーウインドウが出るまでの時間はマチマチである。
        早い時は1秒未満、遅い時は3分ほど待たされ、エラーウインドウが表示された。

(3-6) ディスクの管理より領域を割り当て

ここまでくれば、HDD増設時と同じ手順となる
・ディスクの管理
   {Windows}キー + R で、[ファイル名を指定して実行]を開く。
  「diskmgmt.msc」と入力し、OKをクリック

「新しいシンプル ボリューム」にて容量を割り当てれば完了

以上で設定は完了。Eドライブとして使用できるようになる。

【結論】

Windows側のエクスプローラの表示設定「隠しファイルを表示する」に設定していると、
表示されます。
「隠しファイルを表示しない」にすると非表示になりますので、samba側は正しく機能しています。

Windowsのデフォルト状態では、「隠しファイルは表示しない」となっているので、一般の人は
非表示状態となっていますが、IT系よりの人は、「隠しファイルは表示する」ように設定変更していたりするので、
sambaが正しく機能していないと勘違いしてしまいます。

【詳細】

smb.confのデフォルト設定では、
hide dot files = yes (既定値)
となっているので、.(ドットから始まる)ファイルに対しては、隠しファイル属性となっています。
.(ドットから始まらない)ファイルに対しては、
hide files =
の設定で追加します。
しかしながら、双方、隠しファイル属性となるだけで、Windows側の表示設定を変更すると表示されるようです。

【「隠しファイルは表示する」に設定していてもsmb.conf設定で隠れないか？】

似たような設定に、
veto files =
があります。こちらは、一覧することもアクセスすることもできないファイルとディレクトリのリストを指定します。
こちらで設定すれば、表示されません。
しかしながら、"veto files =" で設定すると「知っている人はアクセス出来る」ような事は出来ません。

サーバーに複数のIPアドレスを割り当てている場合に、明示的にListenIPアドレスを指定したい場合がある。
例えば、postfixで、

inet_interfaces = 127.0.0.1, 192.168.1.1

等を設定した場合、OS再起動するとpostfixが起動に失敗するケースに遭遇する。
ネットワークインターフェースがLinkUpする前に、postfixが起動してしまい、指定したIPアドレスの25/TCPポートを割当出来ない状態だ。

対応方法としては、systemdのユニットファイルを編集するのが一般的であろう。
今回はpostfix.service を例として、"systemctl edit postfix.service"でユニットファイルを編集する場合について。

"systemctl edit postfix.service"で

[Unit]
After=network-online.target

として保存すれば、今回の要件は完了する。

だがデフォルトでは、
After=syslog.target network.target
となっていて、syslog使ってないし、network-online.target があれば、
（他のサービスで立ち上がるはずなので）"network.target" 不要じゃないか！と
思った時、つまりは、デフォルトで記述されている場合を削除したい場合だ。

結論から言えば、著者は、"systemctl --full edit postfix.service"でしか対応しきれなかった。
--full オプションは、すべての設定項目を記述する。保存先は、/etc/systemd/system/postfix.service となる。

[Service] セクションであれば、例えば、
ExecStartPre=
ExecStartPre=hogehoge
と書けば、1行目のExecStartPre行でクリアされ、2行目の１行のみとなる。

同様の事を[Unit] セクションで行ったが、
[Unit]
After=
After=network-online.target
としても"network-online.target"が追記されるだけで、"syslog.target"も"network.target"も存在する。

だいぶん話が脱線してしまったが、これらの調査を行った際に利用したコマンドが、

〇 編集する場合

・ systemctl edit postfix.service

〇デフォルト設定部分を含んだユニットの設定内容を確認する場合

・ systemctl cat postfix.service

〇反映された設定内容を確認したい場合

・systemctl show postfix.service -p After

ちなみに、"systemctl show postfix.service"とすると、ユニットファイルに記述していない項目も出てくるので、
-p オプションで After とか、ExecStartPre とか書けば、その行が表示される。
ま、grep しても良いが・・・

man を見ると、"systemctl edit" で編集保存すると、"systemctl daemon-reload"を(自動)実行してくれるようだ。

確認環境
Rocky Linux release 8.9 (Green Obsidian)

著者が使用しているメインのLinuxディストリビューションはRockyLinux
シングルボードコンピューター(RaspberryPiやOrangePIなど)は、「Raspberry Pi OS」「Armbian」を使用している。
Armbianの最新OSを使用しだしたら、rsyslogの時刻フォーマットが変更されていた。
まあ、検証や調査等で他のディストリビューションを使用したりしていた時に、チラホラ見かけていたのだが。

(A) Armbian 24.2.1 bookworm で使用されているrsyslogの時刻フォーマット

2024-02-13T03:22:26.022354+00:00 orangepi5 kernel: [    4.767558] Linux version 5.10.160-legacy-rk35xx (armbian@next) (aarch64-linux-gnu-gcc (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #1 SMP Fri Feb 2 07:51:33 UTC 2024
2024-02-13T03:22:26.022358+00:00 orangepi5 kernel: [    4.778703] Machine model: Orange Pi 5
2024-02-13T03:22:26.022360+00:00 orangepi5 kernel: [    4.778870] efi: UEFI not found.

(B) よく見る時刻フォーマット

May 12 06:00:48 rocky8 kernel: Linux version 4.18.0-513.18.1.el8_9.x86_64 (mockbuild@iad1-prod-build001.bld.equ.rockylinux.org) (gcc version 8.5.0 20210514 (Red Hat 8.5.0-20) (GCC)) #1 SMP Wed Feb 21 21:34:36 UTC 2024
May 12 06:00:48 rocky8 kernel: Command line: BOOT_IMAGE=(hd0,gpt2)/vmlinuz-4.18.0-513.18.1.el8_9.x86_64 root=UUID=bad16281-a882-42c0-aec0-d7e2d5e712d6 ro crashkernel=auto resume=UUID=4912a5e2-2ddd-4121-8164-a44ebf092b2b
May 12 06:00:48 rocky8 kernel: x86/fpu: Supporting XSAVE feature 0x001: 'x87 floating point registers'

今回は(諸事情により)、時刻フォーマットを(A) から (B)に変更します

〇 rsyslogでロギングされる全てのファイルの時刻フォーマットを変更する場合

rsyslog.conf に、

$ActionFileDefaultTemplate RSYSLOG_SysklogdFileFormat

を追加してrsyslogを再起動する

〇 任意のログファイルのみ変更する

(例) /var/log/syslog に定義部分を変更
rsyslog.confにて、

*.*;auth,authpriv.none          -/var/log/syslog
を
*.*;auth,authpriv.none          -/var/log/syslog;RSYSLOG_SysklogdFileFormat

に変更(赤文字を追記)して、rsyslogを再起動する

【補足】

rsyslogでは、出力フォーマットをカスタマイズできる機能がある。
自分で定義しても良いが、rsyslog本体に予め定義されている形式を使用した。
「RSYSLOG_」で始まるテンプレート名である。
定義済みテンプレートの種類については、本家ドキュメントを参照して欲しい。
https://www.rsyslog.com/doc/configuration/templates.html

著者が参考にしたサイト
・ rsyslog のログフォーマットを変更する
https://tech-lab.sios.jp/archives/37409

【本番運用では】

後々の事を考えて、rsyslogで定義されているルールは変更せずに、ルールを追加する事になるだろう。
*.*;auth,authpriv.none          -/var/log/syslog
*.*;auth,authpriv.none          /var/log/syslog_kanshi;RSYSLOG_SysklogdFileFormat # この行を追加

logrotateの設定も忘れずに！
# /etc/logrotate.d/kanshi

/var/log/syslog_kanshi
{
    missingok
    sharedscripts
    postrotate
        /usr/bin/systemctl -s HUP kill rsyslog.service >/dev/null 2>&1 || true
    endscript
}

【環境】

• Rocky Linux 8.9
• postfix-3.5.8-7.el8
• NagiosCore 4.5.2 (check_smtpを利用)
• 監視サーバー ホスト名のDNS登録において、正引き/逆引き名が不一致である

【事象】

監視サーバーよりメールサーバーへポート監視(25/TCP)のタイミングで、
/var/log/maillog に

warning: hostname hogehoge.foo.bar does not resolve to address 203.0.113.1: Name or service not known

が定期的(ポーリング間隔)で表示される。
監視サーバーからのアクセスによるWarningメッセージは既知である為、Warningメッセージを抑制したい

【解決方法】

check_smtpは、通常のメール送信と同様のアクセスを行っている。
監視サーバー ホスト名のDNS登録において、正引き/逆引き名を同一にするのが望ましいが、不可能な場合は、

(方法1) check_tcpに変更する。但し、3ハンドシェークまでのチェックとなってしまうのが欠点
(方法2) メールサーバーの/etc/hosts に監視サーバー名のIPアドレス/ホスト名を登録する
           → postfix-3.5.8-7.el8 では、DNS解決に /etc/hosts も参照している
           ※ postfixの他のバージョンについては動作未確認

著者の環境では、「Google ドライブ (パソコン版ドライブ)」が常駐している状態だと、
Win32DiskImagerが立ち上がらない状態を確認しています。

著者がWin32DiskImagerを利用する場合には、常駐タスクアイコンを右クリック。歯車マークから一旦終了させれば、
Win32DiskImagerは立ち上がりました。
おそらく「Google ドライブ (パソコン版ドライブ)」がUSBメモリードライブを占有した状態と予測しています。

Google ドライブ (パソコン版ドライブ)を利用中の方で、「Win32DiskImager」が立ち上がらない方は、
Google ドライブ (パソコン版ドライブ)を終了させてみてください。

【結論】
設定IPアドレスが重複(2台以上のデバイスで同じIPを使用)されている可能性がある。
※ 自分が設定や変更してなくても、他の人が空きIPだと思って接続している場合がある

【現象】
「自動構成 IPv4 アドレス」にDHCP未取得時のIPレンジ(169.254.38.105)が割り当てられ（優先）
 IPv4 アドレス に、設定したプライベートIP 192.168.0.115に（重複）と表示される。

 ※ この「重複」は、IPアドレスが重複割当されている事を意味しているようだ。
     最初は、169.254.x.x と 192.168.0.101が２つ設定されているから重複、と勝手に勘違い。

     Windows7の頃、IPを二重割当(重複)させると、ポップアップで警告メッセージで出ていた記憶があったので、
     すぐに「同じIPを2台の機器に設定している」と気づけず。。。。

【原因】
 数時間前に設定した、NW機器の設定ミス

 Windows10が起動中(192.168.0.101)で、NW機器のSrcNAT設定をしたが、
 その後、最終的にSrcNATは行わない方向となり、今回設定したSrcNAT設定を削除しなければならないのに、一部設定が残っていた。

  たぶん、NW機器上では内部的にエラーになっていたはずだが、WEB設定の際には特に気づかず、
  Windows10 OS再起動中に、192.168.0.101の使用優先権がNW機器に移り、
  Windows10 OS起動後に、192.168.0.101が他デバイスで使用中であったため、強制的に169.254.38.105 を割り当てて、
  IP重複を回避していた模様。

  私の認識では、169.254.x.x は、「DHCP未取得時に設定されるアドレス」という認識だけで、今回のような事でも、
  169.254.x.x が割り当てられるとは思っていなかった。

C:\Users\User001>ipconfig /all
Windows IP 構成
   ホスト名. . . . . . . . . . . . . . .: clientpc001
   プライマリ DNS サフィックス . . . . .: chovits.net
   ノード タイプ . . . . . . . . . . . .: ハイブリッド
   IP ルーティング有効 . . . . . . . . .: いいえ
   WINS プロキシ有効 . . . . . . . . . .: いいえ
   DNS サフィックス検索一覧. . . . . . .: chovits.net
イーサネット アダプター イーサネット 1:
   接続固有の DNS サフィックス . . . . .:
   説明. . . . . . . . . . . . . . . . .: Realtek PCIe GbE Family Controller
   物理アドレス. . . . . . . . . . . . .: D0-50-99-XX-XX-XX
   DHCP 有効 . . . . . . . . . . . . . .: いいえ
   自動構成有効. . . . . . . . . . . . .: はい
   自動構成 IPv4 アドレス. . . . . . . .: 169.254.38.105(優先)
   サブネット マスク . . . . . . . . . .: 255.255.0.0
   IPv4 アドレス . . . . . . . . . . . .: 192.168.0.101(重複)
   サブネット マスク . . . . . . . . . .: 255.255.255.0
   デフォルト ゲートウェイ . . . . . . .: 192.168.0.1
   DNS サーバー. . . . . . . . . . . . .: 8.8.8.8
   NetBIOS over TCP/IP . . . . . . . . .: 有効
C:\Users\User001>

vmware workstation上の仮想ホストで、Windows10 または、Windows11に、WindowsUpdate 21H2 や 22H2をインストールすると、
(仮想ホストの) Windows OS再起動後に、ブルースクリーン (BSOD) が表示され、エラーメッセージ：Unsupported Processor
が表示される。

自動的にOSは再起動が行われ、またまたブルースクリーン。3回目の起動で、OSの自動修復が行われ、起動完了する。
起動後のWindowsは、WindowsUpdate実施前状態にロールバックされ、実質、WindowsUpdateが行えない状態となる。

【vmware社からの公式発表】
Windows 10 or Windows 11 may BSOD in a VM on VMware Workstation while using Host VBS Mode
https://kb.vmware.com/s/article/90134

This issue is resolved in Workstation 17.0 and later versions.
vmware workstation 17では解決済み。
→ つまりは、vmware workstation17に VerUpしろってことみたい
→ これって、workstation16系では修正するつもりは無いように思える

〇 2022/12/22追記
vmware workstationにて脆弱性 (CVE-2022-31705)が発見される。
https://www.vmware.com/jp/security/advisories/VMSA-2022-0033.html
この脆弱性を修正したバージョン 16.2.5 がリリース。併せて、この記事(Unsupported Processorで起動しない)の
不具合も解消されている。

再度、https://kb.vmware.com/s/article/90134 にアクセスすると、
「This issue is resolved in Workstation 16.2.5, 17.0 and later versions.」と記事が修正されていた。

【対処方法】
vmware workstation のバージョンを16.2.5へアップデートする

【暫定対応】

ホストOS側の設定 (仮想ホスト側ではありません)
「デバイスセキュリティ」→「コア分離 (コア分離の詳細)」→ 「メモリーの整合性」を「オン」から「オフ」へ変更
※ セキュリティレベルが低下するらしいので注意の事

【対応経緯】

以下の方法は、私が行った方法で暫定ではあるが解消している。
(ググれば、世界中の方々が同問題に直面し、対処方法を記載してくれている)

(1) 仮想ホスト(Windows10Pro)に21H2へUpdate。仮想ホストのOS再起動後に、この問題に直面。
     結局、自動OS修復が実行され、WindowsUpdate 21H2が当たっていない状態。

(2) CPU数をシングル(プロセッサ数1:プロセッサ毎のコア数1)にすれば良いらしいとの情報で、CPUの割当を変更した
     → CPU処理不足で、OS起動もかなり「もったり」状態

(3) WindowsUpdate 21H2を適用してOS再起動。
     → (CPU 1 なので)、ちゃんと立ち上がってきた。

(4) Windows10を終了させ、CPUプロセッサ数を元の状態(プロセッサ数1:プロセッサ毎のコア数2)へ変更し、OS起動。
     → 見事にブルースクリーン。速攻で仮想ホストを終了。(OSの自動修復がかからないように)
     → 再度、(プロセッサ数1:プロセッサ毎のコア数1)にして、OS起動

(5) WindowsUpdate 22H2を適用してOS再起動。

(6) Windows10を終了させ、CPUプロセッサ数を元の状態(プロセッサ数1:プロセッサ毎のコア数2)へ変更し、OS起動。
     → またｍた、見事にブルースクリーン。速攻で仮想ホストを終了。(OSの自動修復がかからないように)
     → 再度、(プロセッサ数1:プロセッサ毎のコア数1)にして、OS起動

(7) さらに情報収集して、
    「Windowsセキュリティ」のコア分離->メモリ整合性を"オフ"にすると良いらしい。との情報

 (7-1) [スタートボタン] -> 上部の検索できるところで、「windows セキュリティ」と入力。(windows と セキュリティの間は半角スペース)
         もしくは、
         マウスポインターを[スタートボタン]上に合わせ、右クリック。「設定」 をクリック。
         左メニュー「プライバシーとセキュリティ」→ 右上の「Windows セキュリティ」→「Windows セキュリティを開く」

(7-2) 「デバイスセキュリティ」→「コア分離 (コア分離の詳細)」→ 「メモリーの整合性」を「オン」から「オフ」に変更。
         OS再起動が促されるので、OS再起動を実施。

(8) vmware workstation16を立ち上げ、仮想ホスト WIndows10のCPU割当を(プロセッサ数1:プロセッサ毎のコア数2)へ変更

(9) 仮想ホスト(Windows10)が立ち上がる。

【最後に】

上記の方法は、暫定対応です。
ご丁寧に、コア分離->メモリ整合性の部分の注意メッセージで、
「メモリ整合性はオフです。お使いのデバイスは脆弱な状態にある可能性があります」と表示されています。

決して気持ちの良い状態ではないのですが、前述の通り、workstation16系の修正版が出れば良いけど、望み薄な状態。
vmware workstation17を購入するか、それとも、Oracle VirtualBoxを使ってみるか。
正直なことろ、(このような状態で) キャッシュアウトは苦しい。

家庭内LAN環境において、DLNAサーバーを起動させて、VLCで視聴するケースの場合、
家庭内LANネットワークが一般の方に比べて複雑の方は、VLCで視聴出来ないケースがあります。

【遭遇する可能性がある方】

・クライアント端末(VLCがインストール)されている端末で、ネットワークI/Fが複数存在し、
2つ以上のセグメントで利用している場合で、かつ、DLNAサーバーがあるセグメントは、
デフォルトGWが設定されていない側のセグメントに接続している。

・（著者の場合）OpenVPN + DLNAサーバー + VLC
出先(出張先等)から撮り貯めた動画ファイルを視聴したくて、調査/検証している際に遭遇。
クライアント端末(VLC)は、物理NIC + TAPネットワークデバイス(OpenVPN)

【解決方法】

DLNAサーバー ～ VLC 間は、UPnP(マルチキャストアドレス)を使用してます。
VLCのデフォルト設定では、デフォルトGWが設定されているセグメント側のI/FでUPnPを通信する模様。

以下のように設定変更する事で、DLNAサーバーと通信が可能となった。

1. ツール > 設定 > 左下の[設定の表示]で「すべて」を選択。
2. [ストリーム出力]の[出力手段]を選択。
3. 右側の[マルチキャスト出力インターフェース]にインターフェース名を入力する
4. [保存]をクリックして、一度VLCを終了させる。
5. VLCを起動して、[プレイリスト]の[ユニバーサルプラグ＆プレイ]をクリックする

※ Windowsの場合、インターフェース名が「ローカルエリア接続」とか「イーサネット１」とか日本語だったり、
OpenVPNのTAPネットワークデバイスも、インターフェース名に「OpenVPN TAP-Windows6」とかスペースが使われている。
VLCが正しく認識するか心配だったので、インターフェース名を「Ethernet1」とか「TAP0」とかのアルファベットに変更した

[状況]

サウンドの音量設定にて、システム音が大きいので、
100% -> 20% に設定していたが、サウンドがうるさいなぁ～と思い、
設定を確認すると、100%(デフォルト)状態となっていた。
再度、100% -> 20%に再設定しても、OS再起動の度に100%に戻ってしまう

[結論]

オーディオドライバーのダウングレードを実施した

[詳細]

思い当たるとすれば、オーディオドライバーのバージョンアップを実施した後からと思われる。
同様な事が発生しているのであれば、ドライバーバージョンを確認して欲しい。

不具合が発生したバージョン (コントロールパネル：プログラムと機能)
・ Realtek Audio Driver 6.0.9605.1

不具合が解消されたバージョン (マザボメーカーサイトより再入手)
・ Realtek Audio Driver 6.0.9601.1

ドライバーバージョンアップのきっかけは、マザボメーカーのユーティリティソフト(LiveUpdate)で
最新ドライバーが提供されている情報が表示されたので、アップデートした。
googleったら、realtekドライバーは以前にも、同様な事象が発生しる記事があったので、その記事を参考にした。
その記事では、
OS起動時に立ち上がる「スタートアップ アプリ」(タスクマネージャー：タブ「スタートアップ アプリ」)で
「Realtek HD Audio Universal Service」をオフにするとあった。

私の環境(Windows11 22H2) では、
RtkAudUService64.exe (説明欄にRealtek HD Audio Universal Serviceと明記)
こちらを、無効化してOS再起動を実施。音量設定を変更して再度OS再起動。音量設定が意図した音量(デフォルトに戻らない)である事を確認した。

この対応でも良かったのだが最終的には、
Realtek Audio Driverを以前使用していたバージョンに戻した。

主要なブラウザは、セキュリティの観点からローカルファイルの実行が制限されている。

ファイルサーバーを利用している会社では、ドキュメントやマニュアル、業務文書などを保存して、
随時ファイルサーバーからファイルを参照/利用していたりするが、WEBサーバーのコンテンツ内で、
ファイルの場所を "file:///" でハイパーリンクを貼り、クリックするとファイルやフォルダーが開けていた。
実に便利な機能である。
しかしながら、その機能が上述したブラウザの制限により、動作しなくなっている。

ブラウザ内でファイル/フォルダの一覧を表示させる方法について紹介したい。

〇 Firefox

※ Windows10, Windows11 FireFox 122.0.1 (32 ビット) にて動作確認
Firefoxでは、2通りの設定方法がある。

[方法1] about:config のUIにて設定する

(1) URL入力欄に、about:config と入力後、「エンター」押下

(2) 下記３行を入力する

2番目の「http://192.168.1.81」 は、file:/// のハイパーリンクを貼るサイトのURLです。
各自の環境に併せて、IPアドレス等を変更してください。
複数台のWEBサーバーで利用する場合は、スペース区切りで入力します。

[方法2] user.js というファイルに以下３行を記入し、FireFoxのプロファイルフォルダへ保存する

(1) プロファイルフォルダを確認する
    URL入力欄で、about:profiles と入力後、「エンター」押下

(2) [ルートディレクトリー] 右の[フォルダを開く] をクリック

(3) このディレクトリ内に "user.js" が無いか確認。(デフォルトは存在しない)

•  ファイルが存在する場合は、"user.js"を開き、下記３行を追記する。
•  ファイルが存在しない場合は、テキストエディターなどで下記３行を入力。ファイル名を"user.js" として、保存する。

2番目の「http://192.168.1.81」 は、file:/// のハイパーリンクを貼るサイトのURLです。
各自の環境に併せて、IPアドレス等を変更してください。
複数台のWEBサーバーで利用する場合は、スペース区切りで入力します。

(4) Firefoxを再起動する。

※ 注意
Firefoxを新規に開く時に"user.js"が読み込まれ、Firefoxを閉じた時に"prefs.js"に保存される。
従って１度読み込ませたら、"user.js"は不要となる。
つまり、設定を削除したいと"user.js"ファイルを削除しても、"prefs.js"に保存されているので設定は消えない。
(Firefox バージョンアップ時等は不明)
設定を削除したい場合は、[方法1]のabout:config UI で設定を削除する必要がある。

主要なブラウザは、セキュリティの観点からローカルファイルの実行が制限されている。

ファイルサーバーを利用している会社では、ドキュメントやマニュアル、業務文書などを保存して、
随時ファイルサーバーからファイルを参照/利用していたりするが、WEBサーバーのコンテンツ内で、
ファイルの場所を "file:///" でハイパーリンクを貼り、クリックするとファイルやフォルダーが開けていた。
実に便利な機能である。
しかしながら、その機能が上述したブラウザの制限により、動作しなくなっている。

ブラウザ内でファイル/フォルダの一覧を表示させる方法について紹介したい。

〇 Google chrome

※ Windows10  121.0.6167.161（Official Build）(64 ビット） にて動作確認

Google chromeでは、拡張機能を利用して設定を行った。
拡張機能では、有志の方々がいくつか同様の拡張プログラムを提供しているが、
今回は、「ローカルファイルリンク有効化」を利用した。

(1) chromeにてchrome ウェブストアにアクセス
    https://chromewebstore.google.com/?utm_source=ext_app_menu
    上部の [拡張機能とテーマを検索] より、「ローカルファイルリンク有効化」を検索し、
    この拡張機能を"chromeに追加"する。

(2) URL入力欄で、「chrome://extensions/」と入力。
    [ローカルファイルリンク有効化] の[詳細] ボタンを押下して、
    [ファイルの URL へのアクセスを許可する] を Onの状態にする。

以上で設定は終了

今回は、ブラウザで "file:///" のハイパーリンクをクリックすると エクスプローラが起動する方法を紹介するが、
Windowsレジストリを設定するので、細心の注意を払う必要がある。
レジストリは、プログラムが随時読み書きを行っている。
ちょっとした手違いが、「Windows再起動したら、OSが立ち上がらない！」という事もありえる
ので注意して欲しい。
重要なので２回言いました

紹介にあたり、この設定は
「Webブラウザからエクスプローラーを起動する」 Gomita氏執筆
https://zenn.dev/gomita/articles/3446c5764265c2
を参考（リスペクト）させて頂きました。ありがとうございます。

〇 やりたいこと

ブラウザで "file:///" のハイパーリンクをクリックすると エクスプローラを起動したい。
(エクスプローラ上でファイル一覧を確認したい)

〇 実装環境・条件について

[ファイルサーバー]

Rocky Linux 8.8
・ httpd-2.4.37-56
・ samba-4.17.5-3
WEBコンテンツ("file:///"のリンクを貼る)は、新規作成する

[クライアント]

Windwos10/11
ブラウザは、Firefox, chrome
ブラウザからファイルサーバー上のWEBコンテンツのハイパーリンクをクリックすると、
エクスプローラで対象のディレクトリが表示される

〇 実装手順

[ファイルサーバー]

動作確認の為のhtmlを作成

_{<html>
<p> ServerGroup ショートカットリンク
  <ol>
    <li>Teraterm</li>
      <ul>
        <li><a href="file-explorer:\\192.168.1.81\ServerkGrp\Software\teraterm\Main">本体</a> プログラム</li>
        <li><a href="file-explorer:\\192.168.1.81\ServerkGrp\Software\teraterm\TTL">マクロ</a> 業務に必要なマクロ集</li>
        <li><a href="file-explorer:\\192.168.1.81\ServerkGrp\Software\teraterm\INI">初期設定ファイル</a> 新人の方は、まずこれをひな型に</li>
        <li><a href="file-explorer:\\192.168.1.81\ServerkGrp\Software\teraterm\TTL">ヘルプ</a> 使い方、マクロ修正時の参考に</li>
      </ul>
    <li>WinSCP</li>
    <li>VirtualBox</li>
  </ol>
</html>}

通常は、href= の所に、"file/////192.168.1.81/ServerkGrp/Software/teraterm/Main" と入れるだろう。
もしくは、メールで「ここに保存したよ！」とアナウンスする場合は、
\\192.168.1.81\ServerkGrp\Software\teraterm\Main

今回の仕掛けでは、
先頭に、 file-explorer:と書くと、後述するレジストリ設定のトリガとなる。
例) file-explorer:\\192.168.1.81\ServerkGrp\Software\teraterm\Main"

[クライアント側]

ユーザー名は、testuser01

(1) 参考サイトより、"エクスプローラー起動用Windows Script (file-explorer.js)"を入手 orz
     著者は、C:\Users\testuser01\browser2expolorer\file-explorer.js に配置

(2) レジストリファイルの作成
      (1)で保存場所を変更したので、こちらも修正。ファイル名は任意(file-explorer_regist.reg)

<sub>Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Classes\file-explorer]
@="URL:FileExplorer Protocol"
"URL Protocol"=""

[HKEY_CURRENT_USER\SOFTWARE\Classes\file-explorer\shell\open\command]
@="\"wscript.exe\" \"C:\\Users\\testuser01\\browser2expolorer\\file-explorer.js\" \"%1\""</sub>

このレジストリ設定が完了すると、
例えば、href="file-explorer:\\192.168.1.81\ServerkGrp\Software\teraterm\Main" では、
"file-explorer:" に反応して、
"wscript.exe C:\Users\\testuser01\browser2expolorer\file-explorer.js file-explorer:\\192.168.1.81\ServerkGrp\Software\teraterm\Main" が実行され、
file-explorer.js が、"explorer.exe \\192.168.1.81\ServerkGrp\Software\teraterm\Main" を実行。
結果、エクスプローラが指定のフォルダを開くという動作となる。

(3)レジストリファイル(file-explorer_regist.reg)を実行して登録する

(番外編) (3)で登録したレジストリを削除したい場合は、下記をファイルに保存して実行する

<sub>Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\SOFTWARE\Classes\file-explorer]</sub>

(4) ブラウザにて動作確認

MPLAB X IDE と Apache NetBeansの関係性が(私が)不明な状態で掲載するのもいかがなものかと思ったが、
ネットで拾った情報で、試したら日本語メニューになった。

【環境】

• Windows11
• MPLAB X v6.00 (MPLABX-v6.00-windows-installer.exe)
• MPLAB XC8 (xc8-v2.36-full-install-windows-x64-installer.exe)

NetBeansの日本語翻訳 junichi11氏
https://github.com/junichi11/netbeans-translations-ja
https://github.com/junichi11/netbeans-translations-ja/releases
-> org-apache-netbeans-localise-ja-0.0.3.nbm

【適用方法】

1. MPLAB X v6.00 インストール
2. MPLAB XC8 インストール
3. MPLAB X v6.00を立ち上げる
4. メニューから「Tools」→「Plugins」を選択
   
   
   
5. 「Download」タブの「Add Plugins」をクリック
   
6. ダウンロードした、ファイル(org-apache-netbeans-localise-ja-0.0.3.nbm)を選択する
   
7. 「Install」をクリックする
   
8. 新たに[plugin Installer]ウインドウがたちがるので、「Install」→「Next」と進めていくと、
   MPLAB X IDE のリスタートの選択が出るので、リスタートする。
   おそらく、Restart Laterを選択しても、アプリを再立ち上げで反映されるはず。。。
   
9. 「Restart Now」を選択し、「Finish」をクリックすると、アプリが終了→起動して、日本語メニューとなった
   
   
   

ノイズ対策でよく使われる、フェライトコア。
「パッチンコア」とか「トロイダルコア」とも呼ばれるが、商品によって低周波用/高周波用とあるので購入の際は注意が必要。

概ね1MHzを境に、
・1MHz以下のノイズ低減用を低周波用
・1MHz以上のノイズ低減用を高周波用
のフェライトコアを用いる必要がある

単純にフェライトコアを付けても、低周波用/高周波用の違いで効果が思うように効果が出ない場合がある。
メーカー製のものは購入前に商品仕様書等を入手すれば、低周波用か高周波用かは判別できるが、アマゾン等で売られているフェライトコアは、記載されていない商品もあるので、購入時には注意した。

著者はFortiGate60Dを利用しており、管理画面(Web)を用いれば、(管理画面から設定した箇所の)設定確認が出来る。
しかしながら、一部の設定については、管理画面からの設定U/Iが用意されていない部分もある。
管理画面にて設定U/Iが無く、CUIコマンドで設定した場合は、確認したい設定内容や付随情報なども、CUIコマンドでしか確認出来ない場合がある。

使用頻度は低いのでコマンドを覚えておらず、利用する度にググっているが、未来永劫、ググれば必ずHitする訳ではないので、情報を残しておきたい

IPv6関連

プロバイダからのIPv6アドレス(IPoE) や、サブネットを切って、I/Fにプリフィックスを割り当てた場合など。

【IPv6割当確認】

　　diagnose ipv6 address list

【近隣キャッシュ(Neighbor Cache): IPv4で云うところの arpテーブル】

　　diagnose ipv6 neighbor-cache list

IPv4関連

IPv4アドレスでは、PPPoEアドレスも管理画面に表示されるので、あまりコマンドを打った事はないので、
とりあえず、対比的に認めておく

【arpテーブル】

　　diagnose ip arp list

【IPv4割当確認】

　　diagnose ip address list