トップ «前の日記(2009-06-17) 最新 次の日記(2009-06-19)» 編集

ヨタの日々

2001|08|09|10|11|12|
2002|01|02|03|04|05|06|07|08|09|10|11|12|
2003|01|02|03|04|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|06|07|08|09|10|11|12|
2013|01|02|03|04|05|06|07|08|09|10|11|12|
2014|01|02|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|05|06|07|08|09|10|11|12|
2016|01|02|03|04|05|06|07|08|09|10|11|12|
2017|01|02|03|04|05|06|07|08|09|10|11|12|
2018|01|02|03|04|05|06|07|08|09|10|11|12|
2019|01|02|03|04|05|06|07|08|09|10|11|12|
2020|01|02|03|04|05|06|07|08|09|10|11|12|
2021|01|02|03|04|05|06|07|08|09|10|11|12|
2022|01|02|03|04|05|06|07|08|09|10|11|12|

2009-06-18 :-)

_ 朝ッ

0530 起床

_ 仕事

0830 出勤。

_ [FreeBSD]FreeBSD勉強会 第2回 リモート管理の活用法とシステムトラブル対応の基礎

技術評論社本社ビル

ust やるようだけどせっかくだから行ってきた。スピーカーは 佐藤広生さん。後日ウェブに資料が置かれるとのこと。

FreeBSD は使ってないのだけど IPMI などはどこぞの maripara.jp にも設置してあるんじゃないかなあ、などと夢想しながら聞いた。なお自宅にある計算機には RS-232C ポートがないのでシリアルコンソールは工夫する必要がある。

  • リモート管理とは
    • ハードウェアの操作
      • 電源まわり
      • オン/オフ/リセット
      • 構成変更
      • 機器が故障したので切り離す
      • CPUとかメモリとか
    • ソフトウェアの操作
      • OSに頼る方法
      • OSへのログイン
      • 停止
      • 攻撃されて高負荷のときなど
      • 状態をモニタリング
  • SSH
    • screen でセッション管理とか
    • OSが正常に動作してるときに使える
      • 異常のときは sshd 死んでるかもしれないし
      • TCP が死んでるかもしれないし
    • priv/pub 鍵管理
      • pub 鍵に対応した priv 鍵を持っている計算機からアクセスできる
    • priv 鍵を増やすな
      • 自分の計算機の外に priv 鍵を出してはいけない
      • 他人の計算機で priv 鍵を作ってはいけない
      • 自分以外が root になれる環境では priv 鍵を盗まれる可能性が出てくる

多段接続するときに量産してしまうひとがいる

計算機A ----> 計算機B ----> 計算機C

計算機B を踏み台にするときに priv 鍵を計算機B にも置いてしまうひとがいる。priv鍵は A のみにしないとダメ。ぜったい

それ AgentForward で

計算機A ----> 計算機B ----> 計算機C
  ssh        ssh-agent       sshd

こう?

A のみに priv 鍵を置いておけばいい

A->B で認証したので B->C も認証させる

あわせて読みたい

Unix ドメインのソケットが作られ、そのソケットの名前が SSH_AUTH_SOCK 環境
変数に入れられます。このソケットはそのユーザのみがアクセス可能ですが、現
在のところ root または同一ユーザの別プロセスによって簡単に悪用される危険
性があります。

ふむ。

  • screenを使う
    • 画面分割
    • 上下左右

おお。こういうことか

  • シリアルコンソール
    • ANSI/TIA/EIA-574-90
      • いわゆる RS-232C
    • シリアル over Ethernet
    • シリアル over Firewire( IEEE1394 )
    • シリアル over IPMI over LAN
  • RS-232C を使う
    • FreeBSD ハンドブック - シリアルコンソールの設定
    • アクセスされる側
      • /etc/ttys を編集するなど
      • ログインプロンプトを出す先を制御してる
    • アクセスする側
    • 出来ること
    • OS へログイン
    • ローダーのレベルで操作
    • panic してもデバッガに落とせる
    • お勧めカーネルオプション
      • options DDB
      • options KDB
      • options GDB
      • options ALT_BREAK_TO_DEBUGGER ← CTRL + ^ + BREAK で( だったか? ) ddb に落ちるらしい
      • options KDB_UNATTENDEND
    • これやっておけば panic すると ddb に落ちる
  • リモートホスト対策
  • OS 生きてる場合 → ssh
  • ssh 死んでる場合 → break
  • OS 死んだ場合 → panic するので ddb などでがんばる
  • どうしようもない場合 → watchdogd(8) で復帰させるというのもアリか
本日のツッコミ(全2件) [ツッコミを入れる]
_ スナイプストーカー (2009-06-19 01:18)

全然わからないけどカッコイイ!

_ みわ (2009-06-19 23:02)

うふ。しかしすぐに試せないのが悲しいでう