popperを ipop3d から変更。安定。
8.6.12 からUpdate。local configuration Errorが出たが、修正後 正常稼働。アセった。
NCSA1.4.1 から 変更。軽い。が、一般ユーザとして使う分には特に違いは認識できないと思う。
インターネットサーバにおける「時間」の管理は重要である。・・・と、いいつつも、今までの時刻精度は十分ではなかった。傾向としては、「時間が進む」のである。IBMのサーバモデルだから、割と安心していたのだが、国産の98シリーズ等と比較すると、システム時計は10倍程度も精度が悪いのではないかという印象である。
そのため、ntpdateをcronでタイマー設定し、1日に 数回、某大学のタイムサーバに接続してシステム時計の較正を行なうことにした。このような時刻同期公開サービスを行っているサーバは、まだ数が少ない。
makeすると、案の定(?)*** Error code 1 Stop.。関数関係の宣言がおかしい。実は使っていた gccが旧すぎたのである。ver2.5.8がgcc2という名前になっていたので、config.dataのccをgcc2に書き換えてmakeすると一応正常終了。
しかし起動したものの、エラーメッセージが出まくり、再度makeからやり直し。
いやぁー、まさかコンパイルするのに 2時間もかかるとはなぁー。
.cshrcのpathをイジってgccといえば2.7.2.3が起動するようにした。
># Some older versions of Berkeley DB will fail tests 51, 53 and 55.
>FAILED at test 51
えいっ、とインストール。
What extensions do you wish to include?
[DB_File Fcntl IO NDBM_File Opcode POSIX SDBM_File Socket] DB_File Fcntl IO
NDBM_File Opcode POSIX SDBM_File
extentions から Socketをはずしたところ、正常終了。(^_^;)
gmakeである。これじゃないとmakeに失敗するモノもあるということでインストール。
APOP用のつもりだった。コンバート・ユーティリテイのmakeでコケるが、INSTALLにも「一部のOSでは、そーいうことがある」と書いてあったので、makeできたものだけインストール。
やはり、OSが旧い・・・(^_^;)
しかし、popperの方はいいのだが、popauthで実際にユーザ登録しようとするとSegmentation faultになってコケてしまう。gcc-2.7.2.3と2.5.8、どちらでコンパイルしても同じ。
しかたないので、APOP機能を使わないオプションで再コンパイル。
なお、RADIUS変更により、shivaの設定を一部変更。Livingston版RADIUS1.16用の設定をクリアしないと、LOGファイルにゴミが大量に出力される。
これで、IE からのFORM送信も OKになった。
1. 毎月1日〜月末の時刻順のアクセス記録。
月日時分秒 ユーザXXX アクセスサーバYYに接続 IPアドレス
月日時分秒 ユーザZZZ 切断。接続時間mm秒 入力ddバイト 出力ffバイト
2. ユーザごとの接続記録集計
ユーザXXX は、計YY回アクセスしにきて、総接続時間は ZZ分。
逆に、その月一度もアクセスしていない無接続ユーザの表示も可能。
3. 時刻毎(00時〜23時)のアクセス数、総接続時間、推定使用回線数、平均アクセス数、1アクセスあたりの接続時間、入・出力データ量
WebFORM から sendmailを呼び出すことを 要望があったユーザに開放。
カーネル再構築で改善されたこともある。いままで101キーボードとしてしか認識できなかった106キーボードが正常に認識されるようになった。
ページャとして lessも入れたが、日本語対応になっていない。jless-177はコンパイルに失敗。jless-290は、パッチの当て方が違うみたいでNG。由緒正しい patch を探してくればなんとかなるか?。
httpdをバグ持ち1.2.1から1.2.5へバージョンUP。
今回は Configurationファイルの見直しを行い、不要モジュールを外したので サイズは若干小さくなった。心なしかちょっと軽くなったような・・・気がするだけだよな、たぶん。
Configurationを編集し、./Configure と makeだけですんなりコンパイル。
各設定ファイル(srm.conf httpd.conf access.conf)は、ほとんど元のまま。mime.typesは、最新版のサンプルを参照してtypeを追加。
nsの disk quota ・・すなわちメイルスプール領域を 2MBから 3MBに拡げた。
edquota -u -p nonroot user1 user2 .... userN で、700人分 完了するのに 1時間半かかった。
apache の access.conf ファイルで、ユーザ・ディレクトリの Indexesを無効にした。
これにより、index.htmlが存在しないディレクトリへのアクセスは禁止。ただし、ファイル名指定すればOK。
ディレクトリへのアクセスのみで、そのディレクトリのファイル一覧が出てしまうのは、ユーザの意に反する場合が多いということとセキュリティ確保のため・・というのが変更理由。
また、nsの disk quota ・・すなわちメイルスプール領域のハード・リミットを 6912Kから 9216Kに拡げた。
ソフト・リミットは 3072Kなので、3倍のマージンがあることになる。
今回はタイプ打ちはせずに、repquota -a の出力をCOPYし、秀丸で整形してメイルIDのみにしてから、さらに「^(行頭)」を「edquota -u -p nonroot 」に置換した。
これで一行が「edquota -u -p nonroot user(改行)」というファイルができる。このファイルを telnetでコマンドラインへ送信した。
この方法だと、全工程を5分程度で済ますことができる。
なお、最近のメイル領域(/var/mail)の使用量は dfで見てもまだ余裕がある。
if ($chat =~ /<a/i) { &att; }
if ($chat =~ /<img/i) { &att; }
と、して aタグ と imgタグ の使用を禁止した。
問題は wwwの方で、ftpaccessを使っていろいろ試してみたが、guestgroupの機能を使うとホームディレクトリ以外へのアクセスができなくなる。これはいいのだが、lsも効かなくなるため各ユーザのディレクトリに lsを置かなくてはならなくなるという問題がおこる。
また、guestgroup機能をはずすと、今度は 全ディレクトリが見えてしまう。
結局、元のftpdに戻した。これはwu-ftpdにパッチを当てたもので、起動オプション・スイッチ(-r)で ftp時のルート・ディレクトリを /usr2/home に設定し、それ以上のディレクトリへのアクセスを制限できる。
それで、wwwの方の namedは止めてしまった。(/etc/rc に起動設定があり、/etc/named.bootというファイルが存在すれば namedが起動するようになっている。今回はこのファイルをrename)
8.8.8からバージョンUPし、sendmail.cfもCF-3.7Wを使用して再構築した。
例の不正中継を抑止する設定も行った(つもり)。
sendmailのコンパイル時 m4が旧いと怒られたので、某GNUのftpサーバから m4もgetし、インストール。その他、bitypes.h が無いというメッセージも出たため、bind-4.9.7付属のものをcpした。
いろいろ情報を漁っていると、マクニカのページに BSDI の ar で15文字以上のファイル名のものをアーカイヴすると ranlibが怒る・・と書いてあった。そんなときは -Tオプションをつけろ・・と。
それで ./Configureのあとで modules/standard/Makefile中の arに -Tオプションを追加し、 ar crTとしたら、warningが出たもののめでたくmakeが通った。
なお、今回は Configurationファイル中で autoindexのモジュールをコメントアウトしているため、Indexes関係は完全に無効になっていて、Fancyindexing、Addicon等の confファイル中の設定もコメントアウトしないとエラーでコケる。
また、make installでは logディレクトリやconfディレクトリを作成してくれない。特にlogディレクトリが存在しないと なんたらlockファイルが無い と怒って起動してくれない。
なお実行ファイルのサイズはモジュールを外したせいか、バージョンが上がったものの約290KBと小さい。心なしかちょっと軽くなったような・・・気がするだけだよな、たぶん。(^_^;)
また、カーネル再再構築を行い、余計なdeviceをかなり削った。
結果、カーネルサイズは600KBを切った。
心を入れ替えて 残りのsendmailも8.9.1に変更し、中継制限。
no ip domain-lookup 間違ったコマンドでDNSを引きに行くのをやめさせる
service password-encryption パスワード暗号化して表示する
no ip source-route 見せかけのソースルートを持つパケットを禁止
また、access-list でルータへのTelnet接続に制限をかけた。
apacheは、src/Configurationファイルを修正して、./Configure し、1.3.1と同じ ar の不具合があるので、同様にMakefileを修正。
make完了後、src/.apaci.build.ok というファイルを touchしてから、cd .. して、make install した。
どちらも特に設定変更点はない。
ns のメモリを48MBから64MBに増設。
Proxyサーバについては セキュリティの問題もあり、できるだけ最新版を入れるようにしている。
DeleGateは、/tmpに ./delegateというディレクトリを作るのだが、このOwnerが rootになっていたので、proxyに変更。これで cannot create /tmp/delegate/......というエラーをFIXした。
久々に Apache を Version UP した。今回は、make install ではなく、makeでできた httpd をそのまま /usr/local/apache/sbin にcpした。
Configurationファイルは、前の Versionと同じ。
Delegateは例によって念のため。
さらにdeviceを削り、カーネルサイズは500KBを切った。
ようやくmake完了したものの、一発で起動できず、バックグラウンドではなくshell上で起動してみたところ、dictionaryファイルにinvalidな値があるとのエラー・メッセージを確認。調べたところ「VENDER なんたら・・SHIVA」という行で引っかかっていた。この行はSHIVAのアクセスサーバ追加時に書き足したものだ。
とりあえず、この行をコメントアウトしてみたら、正常起動したものの、2台のSHIVAサーバからradiusが使えるのか非常に不安であった。
例によって念のためのUPDATE。
現在は、以前と同じ設定で稼働中のものは皆無。Y2Kになんとか間に合ったな。
ちなみに、以下は2000年正月に書いた某MLへの投稿である。
あけまして、おつかれさまでした>正月出勤のみなさまへY2Kも暮が近づくにつれてシステム担当の仕事から次第に逸脱し、防災担当の仕事に近づいてしまいましたが、そう簡単に担当が移るわけもなく、なれない仕事をするはめになってしまってたりします。
サーバは、なんとかマトモに動いているようですが、これは昨年暮に更新したものです。
旧サーバの方を新年になってからスタンドアロンで起動してみたところ、みごとに日時の取得に失敗していました。
2台あるうちの1台は、2037年2月。もう1台は1931年12月という、わけのわからない日付になっておりました。もちろん、時刻もメチャクチャです。NTPサーバに接続して時刻同期をさせようとしましたが、なぜか同期に失敗。結局、手動で日時設定を行なったら、それ以後は再起動後もとりあえず正常な日時を示しています。
電源ONのまま年越しさせれば、それなりに正常に作動していたのかもしれません。自宅にあるパソコンの中にも、いわゆる「年をとらない」マシンが存在します。これも電源が入っていれば年越ししてくれますが、今年はY2Kで出勤だったので電源を入れるのを忘れ、今日になって起動したら1999年1月2日でした。(^_^;)
※現在は、某ISPとの関係は完全に切れている。
人事異動により、本業(?)の方のサーバ管理からも 公式には はずれたが、非公式には現在も継続している(部長レベルでは承認?)。・・結局、二足の草鞋をいまだ履いている 裏Network管理者 という現状。
元の情報部門ではネットワーク管理の一部をアウトソーシングしてるような感じになってるわけだけど、それでいいのか*!!・・・な??