2020年 02月 29日
SUSE Linux 15 (openSUSE Leap 15)の vncserver,VNC接続をする。
- はじめに -
MovaXterm で Mac の VNC 接続を始めたら、やめられなくてもう一度、 vncserver の事を、復習してみます。
参考ドキュメント
8 VNCによるリモートアクセスhttps://documentation.suse.com/ja-jp/sles/15-SP1/html/SLES-all/cha-vnc.html
- vncserver のインストール -
tigervnc がインストールされているか。YaST > Software Manegement で確認して、なければチェックしてインストールします。
手順 8.2: vncserverを使用した永続的VNCセッションの開始 REPORT DOCUMENTATION BUG#1. シェルを開き、VNCセッションを所有するユーザとしてログインしていることを確認します。2. VNCセッションで使用されるネットワークインタフェースがファイアウォールで保護されている場合は、ファイアウォール内でセッションによって使用されるポートを手動で開く必要があります。複数のセッションを開始する場合は、一連のポートを開くことができます。ファイアウォールの設定方法の詳細については、Chapter 16, Masquerading and Firewallsを参照してください。vncserverは、ディスプレイ:1にはポート5901、ディスプレイ:2にはポート5902という順序でポートを使用します。永続的セッションの場合、VNCディスプレイとXディスプレイは、通常、同じ番号です。3. 1024x768ピクセルの解像度と16ビットの色数でセッションを開始するには、次のコマンドを入力します。vncserver -alwaysshared -geometry 1024x768 -depth 16vncserverコマンドは、何も指定されない場合、未使用のディスプレイ番号を選択し、その選択内容を出力します。追加オプションについては、man 1 vncserverを参照してください。
opensuse151:~ # vncserver :0You will require a password to access your desktops.Password:12345678Verify:12345678Would you like to enter a view-only password (y/n)? nNew 'opensuse151:0 (root)' desktop is opensuse151:0Creating default startup script /root/.vnc/xstartupCreating default config /root/.vnc/configStarting applications specified in /root/.vnc/xstartupLog file is /root/.vnc/opensuse151:0.logopensuse151:~ #
※ desktop is opensuse151:0の ":0" に注意
- 仮想ホストの制限 -
※ 因みに SLES11, 以降の XEN/KVN の仮想 HVM を使っている場合、 lib-virt が使っているので vncserver :0 などの低いディスプレー番号は使えないようです。二桁以上のディスプレイ番号を使うと上手く動きました。あるいは、単にディスプレー番号を指定せず vncserver .... を実行すると、最初に空きがある番号に自動的に割り当てられます。
sle15:~ # vncserver :10 <-- 怒られたA VNC server is already running as :10sle15:~ # vncserver :11 <-- 11 番は使えたNew 'corsair:11 (knakaj)' desktop is corsair:11Starting applications specified in /root/.vnc/xstartupLog file is /root/.vnc/corsair:11.logsle15:~ #sle15:~ # vncserver <-- 番号を指定しないで単純起動New 'corsair:6 (root)' desktop is corsair:6 <-- :6 が割り当てられたStarting applications specified in /root/.vnc/xstartupLog file is /root/.vnc/corsair:6.logsle15:~ #
- MobaXtermにより接続 -
MobaXtermhttps://mobaxterm.mobatek.net
Session > VNC (必要に応じて "network settings" タブで SSH gateway 経由をチェック) で VNC 接続できました。
opensuse151:~ # ps ax | grep vnc*14306 pts/0 Sl 0:01 /usr/bin/Xvnc :0 -auth /root/.Xauthority -desktop opensuse151:0 (root) -fp /usr/share/fonts/misc,/usr/share/fonts/75dpi,/usr/share/fonts/100dpi,/usr/share/fonts/Type1 -geometry 1024x768 -pn -rfbauth /root/.vn /passwd -rfbport 5900 -rfbwait 3000015198 pts/0 S+ 0:00 grep --color=auto vnc*opensuse151:~ #opensuse151:~ # vncserver -kill :0Killing Xvnc process ID 14306opensuse151:~ #
- MacOS から VNC 接続 -
Finder > 移動 > サーバーに接続 > URL に
vnc://IP_Address:590n
(n は vncserver を立ち上げた時に指定した :0 のディスプレイ番号のパラメータ)
- セキュリティ -
- デフォルトポートの変更
デフォルトでは 5900 番台のポートが使われるので、いたずら対策にこのポートを変えておく事です。/usr/bin/vncserver スクリプトの
$vncPort = 5900 + $displayNumber;
の行を任意の違うポートに変えておくと良い。
- ファイアウォール
ファイアウォールはポート 5900 から開けておくこと。勿論、 vncserver のポートを変えた場合ほそのポートを開ける事になります。
- パスワード
接続するパスワードは vncpasswd コマンドで変更され。 ~: .vnc に保管される。もし動作が妖しければ、このディレクトリの中を削除すればリセットされる。vnc パスワードは最長8バイトであり脆弱である事に注意します。頻繁に変えるか、使う予定がなければ vncserver を立ち上げっぱなしにしない事をお勧めします。(そういう時に使いたくなるんですけど....)
opensuse151:~/.vnc # vncpasswdPassword:Verify:Would you like to enter a view-only password (y/n)? nopensuse151:~/.vnc # ls -ltotal 64-rw-r--r-- 1 root root 332 Feb 27 14:56 config-rw------- 1 root root 8 Feb 28 13:24 passwd-rwxr-xr-x 1 root root 639 Feb 27 14:56 xstartup-rw-r--r-- 1 root root 34652 Feb 28 11:12 opensuse151:0.log-rw-r--r-- 1 root root 6 Feb 28 11:09 opensuse151:0.pid-rw-r--r-- 1 root root 8788 Feb 27 18:10 opensuse151:1.log
- 暗号化
vnc プロトコルは、telnet 同様、暗号化されない平文通信なので、デリケートなケースでは安易に使わない事。 SSH によるポート転送との組み合わせを勧めます。少なくとも MovaXterm には VNC 接続の中に SSH ゲートウェイの設定があるのは単純にすごい。Mac の ”画面共有” は暗号化されないので注意。SSH トンネリングする方法があるので "mac vnc ssh トンネル" などで検索してください。
- まとめ -
一つしかないモニタに複数のホストを扱う事は、システム管理にとっては便利な機能です。しかし、vncserver を改めて研究してみると、そこには大きな脆弱性や欠陥が見えてきました。便利な反面、セキュリティホールでもあるんですね。今回は Windows の RDP については説明はしませんが、やっぱり RDP 接続も脆弱性があるので、何だかなぁ、という気分です。事業所内のプライベートネットワークであればまだしも、「働き方改革」なんかで、自宅からリモート接続したい、などの要求は高まるばかり。利便さと脆弱性との両立って難しいのです。ますますインフラ系の技術者にとっては厳しい要求があるのですね。
▲
by islandcenter
| 2020-02-29 13:30
| SUSE
|
Comments(0)
2020年 02月 27日
SUSE Linux 15 BtrFS のファイルシステム自動修復、チェック、スナップショット
- はじめに -
久しぶりに SUSE 11 の仮想マシンを起動したら、見事にコケました、仕方がないので、 fsck して起動しましたが、あまりいいものじゃありません。SUSE Linux Enterprise 12 から採用され、以降 SUSE Linux 15(SLE/openSUSE15) で openSUSE Leap で使われている BtrFS は、やれ「修復のため起動時の fsck の必要がない」とか、fsck しないので起動が速いとか、起動中にファイルシステムのチェックができるとか、いいことばかり書かれています。実際、この記事を書く時にたどり着いた情報は「BtrFS にクソハマった話」ばかりなのですが、それほど情報が少ないのはやはり安心して使えるファイルシステムだからでしょう。現実には、論理障害よりも、物理障害もあるわけですから、
「困った!」
時のために、BtrFS の、修復だとかチェック、メンテナンス、スナップショットの設定の方法について、ちゃんと勉強しておくことにします。- 参考にしたドキュメント -
SDB:BTRFS
- btrfs の修復 -
btrfs scrub start [mount_point]パーティションの論理障害を修復します。
opesuse151:~ # btrfs scrub start /scrub started on /, fsid 8466aee4-2738-4b0a-924a-79edad4b4676 (pid=23058)opesuse151:~ #
- 前回 scrub した結果の確認 -
brtfs scrub status [mount_point]scrub した結果を確認します。
opesuse151:~ # btrfs scrub status /scrub status for 8466aee4-2738-4b0a-924a-79edad4b4676scrub started at Wed Feb 26 14:05:43 2020 and finished after 00:01:50total bytes scrubbed: 7.54GiB with 0 errorsopesuse151:~ #
-dR オプションを付けると詳細な情報が分かります。
opesuse151:~ # btrfs scrub status -dR /scrub status for 8466aee4-2738-4b0a-924a-79edad4b4676scrub device /dev/vda2 (id 1) historyscrub started at Wed Feb 26 14:05:43 2020 and finished after 00:01:50data_extents_scrubbed: 247304tree_extents_scrubbed: 31902data_bytes_scrubbed: 7577907200tree_bytes_scrubbed: 522682368read_errors: 0csum_errors: 0verify_errors: 0no_csum: 5030csum_discards: 0super_errors: 0malloc_errors: 0uncorrectable_errors: 0unverified_errors: 0corrected_errors: 0last_physical: 11178868736opesuse151:~ #
- btrfs のファイルシステムのチェック -
btrfs check [/dev/partition]ファイルシステムのパーティションチェックです。※ --force を付けるとマウント中のファイルシステムをチェックできる。
opesuse151:~ # btrfs check --force /dev/vda2Opening filesystem to check...WARNING: filesystem mounted, continuing because of --forceChecking filesystem on /dev/vda2UUID: 8466aee4-2738-4b0a-924a-79edad4b4676[1/7] checking root items[2/7] checking extents[3/7] checking free space cache[4/7] checking fs roots[5/7] checking only csums items (without verifying data)[6/7] checking root refs[7/7] checking quota groups skipped (not enabled on this FS)found 7839363072 bytes used, no error foundtotal csum bytes: 7380260total tree bytes: 261373952total fs tree bytes: 238518272total extent tree bytes: 13942784btree space waste bytes: 41699539file data blocks allocated: 7779311616referenced 7561506816opesuse151:~ #
- btrfs での df (利用量)の確認 -
btrfs filesystem df [mount_point]従来の df コマンドの代わりになるものです。
opesuse151:~ # btrfs filesystem df /Data, single: total=8.01GiB, used=7.06GiBSystem, DUP: total=32.00MiB, used=16.00KiBMetadata, DUP: total=1.12GiB, used=249.25MiBGlobalReserve, single: total=21.73MiB, used=0.00Bopesuse151:~ #
btrfs filesystem usage [mount_point]
opesuse151:~ # btrfs filesystem usage /Overall:Device size: 14.00GiBDevice allocated: 10.32GiBDevice unallocated: 3.68GiBDevice missing: 0.00BUsed: 7.54GiBFree (estimated): 4.63GiB (min: 2.79GiB)Data ratio: 1.00Metadata ratio: 2.00Global reserve: 21.73MiB (used: 0.00B)Data,single: Size:8.01GiB, Used:7.06GiB/dev/vda2 8.01GiBMetadata,DUP: Size:1.12GiB, Used:249.25MiB/dev/vda2 2.25GiBSystem,DUP: Size:32.00MiB, Used:16.00KiB/dev/vda2 64.00MiBUnallocated:/dev/vda2 3.68GiBopesuse151:~ #
- デフォルトのメンテナンスは一週間ごと -
sysconfig の File systems の中に、自動メンテナンスの間隔を設定します。"BTRFS_BALANCE_PERIOD" のキーに設定されます。デフォルトは weekly となっています。
SDB:Disable btrfsmaintenance
weekly から none にすると、無効となります。
- snappper の初期設定 -
snapper は初期設定では無効です。snapper コマンドでスナップショットを初期化します。snapper -c create [YourSnapSotName] create-config [PathToYouNeedSpapShot]ここではルートパーティション全体を取っていますが、例えば DB ファイルがあるところとか、 /srv/www/htdocs などを指定します。設定ファイルは /etc/snapper/configs/ の下に作られます。
opesuse151:~ # snapper -c mysnapconfig create-config /opesuse151:~ #opesuse151:~ # ls /etc/snapper/configs -ltotal 4-rw-r----- 1 root root 1169 Feb 27 10:37 mysnapconfigopesuse151:~ #opesuse151:~ # cat /etc/snapper/configs/mysnapconfig# subvolume to snapshotSUBVOLUME="/"# filesystem typeFSTYPE="btrfs"# btrfs qgroup for space aware cleanup algorithmsQGROUP=""# fraction of the filesystems space the snapshots may useSPACE_LIMIT="0.5"# fraction of the filesystems space that should be freeFREE_LIMIT="0.2"# users and groups allowed to work with configALLOW_USERS=""ALLOW_GROUPS=""# sync users and groups from ALLOW_USERS and ALLOW_GROUPS to .snapshots# directorySYNC_ACL="no"# start comparing pre- and post-snapshot in background after creating# post-snapshotBACKGROUND_COMPARISON="yes"# run daily number cleanupNUMBER_CLEANUP="yes"# limit for number cleanupNUMBER_MIN_AGE="1800"NUMBER_LIMIT="50"NUMBER_LIMIT_IMPORTANT="10"# create hourly snapshotsTIMELINE_CREATE="yes"# cleanup hourly snapshots after some timeTIMELINE_CLEANUP="yes"# limits for timeline cleanupTIMELINE_MIN_AGE="1800"TIMELINE_LIMIT_HOURLY="10"TIMELINE_LIMIT_DAILY="10"TIMELINE_LIMIT_WEEKLY="0"TIMELINE_LIMIT_MONTHLY="10"TIMELINE_LIMIT_YEARLY="10"# cleanup empty pre-post-pairsEMPTY_PRE_POST_CLEANUP="yes"# limits for empty pre-post-pair cleanupEMPTY_PRE_POST_MIN_AGE="1800"
詳細はこちらをご参考下さい。
4 SnapperによるスナップショットとロールバックSLES12 の Snapper のチューニング
- snapper のスナップショットの設定 -
snapper を起動したら、YaST2 snapper で、スナップショットの設定をします。opesuse151:~ # yast2 &
opesuse151:~ # ls /.snapshots/1/snapshot/.snapshots boot etc lib mnt proc run selinux sys usrbin dev home lib64 opt root sbin srv tmp varopesuse151:~ #
SLES12が採用した btrfs, snapper を使った Snap Shot
なるほど、SUSE Linux 12, 15 でルートパーティションは標準の BtrFS は COW (Copy On Write) なので、ファイルの論理障害には強いんだ、という事です。しかし物理障害には無力な事には変わりません。やっぱり必要なのはバックアップです。一通りやってみて、Windows の起動直後の chkdisk や EXT3 の場合の fsck の待ち時間を考えると実に楽になったなと実感しています。
▲
by islandcenter
| 2020-02-27 14:20
| SUSE
|
Comments(0)
2020年 02月 26日
Windows から Mac へ MovaXterm で VNC デスクトップ共有接続
狭い机の上に、モニタ何台も置けないよ、という事で、Windows から、Mac をリモートデスクトップの様に接続して使う方法です。
あまり使わない Mac mini が、ほとんど iTunes マシンとなっているのですが、ライブラリを切り替えるのが面倒くさくて、つい同じライブラリを聞き続けています。ライブラリ切り替える度にキーボード引っ張り出して、モニタをHDMIに切り換えて、ってやっていたのですが面倒です。Mac の画面キャプチャも、撮っては、NASに保存して、GIMP で加工してって面倒だし、いい方法がないかと考えていました。という事で、MovaXterm を使って VNC 画面転送をしします。
- Mac 側の設定 -
Mac 側は「システム環境設定」から「共有」の画面共有を有効にします。また、Mac 側の IP は固定するか、事前に ifconfig で、IP アドレスを調べておく必要があります。 ip a コマンドじゃないのね...
- Windows側の操作 -
movaXterm はこちらからダウンロードしてインストールします。openSUSE のアプリケーションをWindows からGUI操作する。MobaXtermmovaXterm がを起動したら、"Session" を開き、"VNC" 接続します。その時、Mac 側の「画面共有」パスワードをセットすると VNC 接続ができます。
- ちょっと感動した -
どーんと Mac のデスクトップが Windows 側の MovaXterm のウィンドウ内にフルサイズで表示されます。サイズの変更も簡単だし "Fullscreen" 表示にも切り替えられます。
普段、SUSE Linux を操作するために MovaXterm を使って Linux のための X サーバー(端末)、 SSH ターミナル便利だなと思って使っていました。色々ひっくり返して突きまわると、こんなに強力、多機能だったとは気が付きませんでした。すまぬ MovaXterm よ。これなら Pro 版買ってもいいくらいです。もうWSLもいらないくらいです。
▲
by islandcenter
| 2020-02-26 11:44
| MacOS
|
Comments(0)
2020年 02月 19日
SUSE Linux で fuser, ファイルロックしているプロセスを強制停止
SUSE Linux での fuser、ファイルを開いているプロセスを kill します。
マウント中のデバイスを umount しようとすると ”Device busy” なんてことがあります。あるいは、ファイルを開こうとしたら、ファイルがゾンビなプロセスなんかに、ロックされている。そんな時に覚えておきたいコマンドが lsof と fuser です。lsof はインストールされていないようなので、YaST か zypper を使ってインストールします。
SUSE Linux でパッケージインストールの色々な方法
- fuser のヘルプ -
まずは使い方から
opensuse151:~ # fuserNo process specification givenUsage: fuser [-fIMuvw] [-a|-s] [-4|-6] [-c|-m|-n SPACE][-k [-i] [-SIGNAL]] NAME...fuser -lfuser -VShow which processes use the named files, sockets, or filesystems.-a,--all display unused files too-i,--interactive ask before killing (ignored without -k)-I,--inode use always inodes to compare files-k,--kill kill processes accessing the named file-l,--list-signals list available signal names-m,--mount show all processes using the named filesystems orblock device-M,--ismountpoint fulfill request only if NAME is a mount point-n,--namespace SPACE search in this name space (file, udp, or tcp)-s,--silent silent operation-SIGNAL send this signal instead of SIGKILL-u,--user display user IDs-v,--verbose verbose output-w,--writeonly kill only processes with write access-V,--version display version information-4,--ipv4 search IPv4 sockets only-6,--ipv6 search IPv6 sockets only- reset optionsudp/tcp names: [local_port][,[rmt_host][,[rmt_port]]]
- lsof でディレクトリ以下のオープンファイルを確認 -
opensuse151:~ #opensuse151:~ # lsof /home/lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfsOutput information may be incomplete.COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEsftp-serv 21170 knakaj cwd DIR 0,47 404 258 /home/knakajbash 21204 knakaj cwd DIR 0,47 404 258 /home/knakajoosplash 23270 knakaj cwd DIR 0,47 404 258 /home/knakajsoffice.b 23289 knakaj cwd DIR 0,47 404 258 /home/knakajsoffice.b 23289 knakaj 3u REG 0,47 8107 826 /home/knakaj/test/test.odtsoffice.b 23289 knakaj 24uW REG 0,47 91 728 /home/knakaj/.config/libreoffice/4/user/uno_packages/cache/log.txtsoffice.b 23289 knakaj 26uW REG 0,47 127 772 /home/knakaj/.config/libreoffice/4/user/extensions/bundled/extensions.pmapdbus-daem 23304 knakaj cwd DIR 0,47 404 258 /home/knakajat-spi-bu 23305 knakaj cwd DIR 0,47 404 258 /home/knakajat-spi-bu 23305 knakaj mem REG 0,47 787 825 /home/knakaj/.config/dconf/userdbus-daem 23310 knakaj cwd DIR 0,47 404 258 /home/knakajat-spi2-r 23312 knakaj cwd DIR 0,47 404 258 /home/knakajgvfsd 23318 knakaj cwd DIR 0,47 404 258 /home/knakajgvfsd-fus 23323 knakaj cwd DIR 0,47 404 258 /home/knakaj
- fuser でオープンファイル、プロセスID、ユーザを確認 -
-a 全部、-u ユーザID、-v 詳細モード
opensuse151:~ # fuser -avu /home/knakaj/test/test.odtUSER PID ACCESS COMMAND/home/knakaj/test/test.odt:knakaj 23289 F.... (knakaj)soffice.bin
- fuser でオープンしているプロセスを kill -
-k で kill、 -i で kill の確認メッセージ
opensuse151:~ # fuser -avuki /home/knakaj/test/test.odtUSER PID ACCESS COMMAND/home/knakaj/test/test.odt:knakaj 23289 F.... (knakaj)soffice.binKill process 23289 ? (y/N) yopensuse151:~ #
- マウント中のデバイスとユーザ、プロセスの確認 -
-m でマウントオプション
opensuse151:~ # fuser -mauv /mnt/sdcUSER PID ACCESS COMMAND/mnt/sdc: root kernel mount (root)/mnt/sdcknakaj 22618 f.c.. (knakaj)smbdopensuse151:~ #
-m と ki オプションでモンダイの smb プロセスを kill する。
opensuse151:~ # fuser -mauvki /mnt/sdcUSER PID ACCESS COMMAND/mnt/sdc: root kernel mount (root)/mnt/sdcknakaj 21867 f.c.. (knakaj)smbdKill process 21867 ? (y/N) y
セッションが kill され、開いているファイルがリセットされました。ディレクトリに cd している場合は bash がディレクトリファイルをオープンしています。よくある話。
opensuse151:/home/knakaj # fuser -vau .USER PID ACCESS COMMAND/home/knakaj: root 22884 ..c.. (root)bashroot 22982 ..c.. (root)fuseropensuse151:/home/knakaj #opensuse151:/home/knakaj # fuser -vau /home/knakaj/USER PID ACCESS COMMAND/home/knakaj: root 22884 ..c.. (root)bashroot 23149 ..c.. (root)fuseropensuse151:/home/knakaj # cd ..opensuse151:/home # fuser -vau /home/knakaj/USER PID ACCESS COMMAND/home/knakaj:opensuse151:/home #※ ちなみに bash のプロセスを kill するとそのターミナルは固まります......
▲
by islandcenter
| 2020-02-19 12:45
| SUSE
|
Comments(0)
2020年 02月 15日
ユーザのどの端末のIPからログイン?許可されたIPアドレスでログイン制限
Microfocus Open Enterprise Server (OES Linux)はファイルサーバーに特化したシステムです。セキュリティ面での柔軟性、高機能性には特筆するものがあります。
その一つが、ユーザがどの端末からログインしているかを確認。指定した端末以外からログインをブロックする機能、ケツを拭かないでトイレを使うユーザの多重ログインを防止する機能です。
1.OES Linux のファイルサーバーでゴォーンさんのログオンアドレスを調べたい。
2.OES Linux のファイルサーバーでゴォーンさんがログインできるIPアドレスを制限したい。
3.OES Linux のファイルサーバーでゴォーンさんが同時ログインできる台数を制限したい。
- ユーザはどのIPアドレスからログインしているかを調べる -
OES Linux の iManager > "ユーザー名" modify Object の General タブから、ユーザが現在ログインしているIPアドレスを調べる事ができます。
ー ユーザがログインできるIPアドレスを制限したい ー
例えば、ゴーンさんのような、特殊な経営者や特許に関わるエンジニア、システム管理者やヘルプデスク、パートさん、総務、経理などのユーザには、特定のPC(IP アドレス)からのみ、アクセスさせたい場合があります。この人たちが許可なく、他所のフロアの他人のPCからデータの持ち出しをさせたくない場合などですね。固定したIPからはログインできるけど、DHCPのネットワークからはログインさせたくない。
その場合、固定IPをもった、特定のIPからしかログインできないようにする機能が Novell OES Linux にあります。
iManager >Modify Object > "ユーザ" > Restrictions タブ > Address Restriction に、ユーザが「ログイン許可」できるIPアドレスを記述します。
IPアドレス制限をかけると、許可されていないアドレックスからアクセスすることはできなくなります。
- 同時接続数を制限する -
よくある、「ケツも拭かずに片っ端からPCにログインしまくる」ヒトを取り締まり、セキュリティを確保するための方法として、同時ログインするユーザを制限する方法が、OES Linux には普通にあります。
iManager >Modify Object > "ユーザ" > Restrictions タブ > Login Restriction の Limit Concurrent connections をチェックして、同時接続数に”2”以上の数値を設定します。
※ ”1”だと eDirectory の仕様により、うまくログインできない場合がありました。今はよく分かりません。
なお、このログイン制限は NCP (524ポート)プロトコルを使った場合にのみ有効で、SMB/CIFS,FTP,NFS など、違うプロトコルを使った場合は制御できません。
セキュリティ上、重要なサーバーには CIFS などをインストールせず、Microforcus Client for OES を使ってNCP のみの接続制限をすることをお勧めします。
User Restrictions: Some OES Limitations#
This is generally true, with two important exceptions:* Maximum number of concurrent connections in login restrictions* Address restrictionsThese two specific restrictions are enforced only for users who are accessing the server through NCP. Connections through other access protocols (for example, HTTP or CIFS) have no concurrent connection or address restrictions imposed.For this reason, you probably want to consider not enabling services such as SSH and FTP for LUM when setting up Linux User Management. For more information on SSH and LUM, see Section 9.4, SSH Services on OES.
 |
▲
by islandcenter
| 2020-02-15 12:16
| SUSE
|
Comments(0)
2020年 02月 10日
SUSE Linux15(SLE/openSUSE) 開発環境をインストール
SUSE Linux 15(openSUSE/SLE) にコンパイラをインストールする方法です。
SUSE Linux Enterprise 15(SLE) から、インストールの手順の中に gcc などの開発環境のインストール手順が見当たらなかったのでその補完です。
SUSE Linux でパッケージインストールの色々な方法
https://islandcnt.exblog.jp/240051518/
YaST (yast2) による SUSE Linux のパッケージ管理, インストールと削除
https://islandcnt.exblog.jp/23923745/
SUSE Linux 15 YaSTの基本 (openSUSE Leap, SLE)
https://islandcnt.exblog.jp/238758768/
- SLE15 の場合 -
yast より yast2 がいいでしょう。
yast2 の Software > "Add-on Packgage" か "Software Repositories" のどちらからか、レポジトリの追加をします。ソースとして、SLE15 の Package DVD1 を指定します。利用可能な Extension に "Development Tools...." がリストされるので、チェックを入れます。
この後、 Software Management の中から "View" をトグルして "Pattern" に変更して、”Development” の必要なパッケージをインストールします。
- opensuse15.1 の場合-
opensuse15.1の場合は、そのまま Software Management の中から "View" をトグルして "Pattern" に変更して、”Development” 以下の必要なパッケージをチェックします。
▲
by islandcenter
| 2020-02-10 15:53
| SUSE
|
Comments(0)
2020年 02月 10日
SUSE Linux 15 inotify-tools でファイルアクセス監査
一般的に Linux のファイルアクセス監査ってどうするのか、ふと疑問が出てきました。そこで、SUSE Linux 15(openSUSE/SLE) でファイルアクセス監査ツール inotify-tools を使ったファイルアクセスのチェック方法を調べてみました。
inotify - get your file system supervised
inotify自体は、カーネルに組み込まれた API でそのAPIから、ファイルアクセス監視をするためのツールが inotofiwait と inotifywatch コマンドです。
- openSUSE 15 での inotify-tools インストール -
openSUSE 15.1 では標準リポジトリに inotify-tools パッケージが含まれているので、zypper か YaST の Software Management からインストールできます。SUSE Linux でパッケージインストールの色々な方法https://islandcnt.exblog.jp/240051518/YaST (yast2) による SUSE Linux のパッケージ管理, インストールと削除https://islandcnt.exblog.jp/23923745/SUSE Linux 15 YaSTの基本 (openSUSE Leap, SLE)https://islandcnt.exblog.jp/238758768/
- SLE15 の場合 inotify-tools のインストール -
SLE15 の標準パッケージや、リポジトリに含まれていません。2020の現時点では1 Click Install はできないようです。そこで openSUSE の 1 Click インストールから、"Expart Download"を開いて、指示通り zypper install しました。SLE のユーザ登録したレポジトリではないので、エラーが出まくりました。エクスパートインストールでは、次のコマンドラインが提示されたので、そのまま実行してインストールできました。
# zpper addrepo https://download.opensuse.org/repositories/filesystems/SLE_15/filesystems.repo# zypper refresh# zypper install inotify-tools
インストールができたら、inotifywait, inotifywatch というコマンドがインストールされます。opensuse151:~ # find / -name "inotify*"/usr/share/man/man1/inotifywait.1.gz/usr/share/man/man1/inotifywatch.1.gz/usr/share/man/man7/inotify.7.gz/usr/share/man/man2/inotify_add_watch.2.gz/usr/share/man/man2/inotify_init.2.gz/usr/share/man/man2/inotify_init1.2.gz/usr/share/man/man2/inotify_rm_watch.2.gz/usr/lib/perl5/vendor_perl/5.26.1/x86_64-linux-thread-multi/bits/inotify.ph/usr/lib/perl5/vendor_perl/5.26.1/x86_64-linux-thread-multi/linux/inotify.ph/usr/lib/perl5/vendor_perl/5.26.1/x86_64-linux-thread-multi/sys/inotify.ph/usr/bin/inotifywait/usr/bin/inotifywatch/proc/sys/fs/inotify
 |  |
- inotifywait のヘルプを見てみた -
opensuse151:~ # inotifywait --helpinotifywait 3.14Wait for a particular event on a file or set of files.Usage: inotifywait [ options ] file1 [ file2 ] [ file3 ] [ ... ]Options:-h|--help Show this help text.@<file> Exclude the specified file from being watched.--exclude <pattern>Exclude all events on files matching theextended regular expression <pattern>.--excludei <pattern>Like --exclude but case insensitive.-m|--monitor Keep listening for events forever. Withoutthis option, inotifywait will exit after oneevent is received.-d|--daemon Same as --monitor, except run in the backgroundlogging events to a file specified by --outfile.Implies --syslog.-r|--recursive Watch directories recursively.--fromfile <file>Read files to watch from <file> or `-' for stdin.-o|--outfile <file>Print events to <file> rather than stdout.-s|--syslog Send errors to syslog rather than stderr.-q|--quiet Print less (only print events).-qq Print nothing (not even events).--format <fmt> Print using a specified printf-like formatstring; read the man page for more details.--timefmt <fmt> strftime-compatible format string for use with%T in --format string.-c|--csv Print events in CSV format.-t|--timeout <seconds>When listening for a single event, time out afterwaiting for an event for <seconds> seconds.If <seconds> is 0, inotifywait will never time out.-e|--event <event1> [ -e|--event <event2> ... ]Listen for specific event(s). If omitted, all events arelistened for.Exit status:0 - An event you asked to watch for was received.1 - An event you did not ask to watch for was received(usually delete_self or unmount), or some error occurred.2 - The --timeout option was given and no events occurredin the specified interval of time.Events:access file or directory contents were readmodify file or directory contents were writtenattrib file or directory attributes changedclose_write file or directory closed, after being opened inwriteable modeclose_nowrite file or directory closed, after being opened inread-only modeclose file or directory closed, regardless of read/write modeopen file or directory openedmoved_to file or directory moved to watched directorymoved_from file or directory moved from watched directorymove file or directory moved to or from watched directorycreate file or directory created within watched directorydelete file or directory deleted within watched directorydelete_self file or directory was deletedunmount file system containing file or directory unmountedopensuse151:~ #
- inotifywait の使用例 -
1. 一番単純な使い方
opensuse151:~ # inotifywait /etc/hostsSetting up watches.Watches established./etc/hosts OPENopensuse151:~ #
ファイルオープンの後 access がありますが、一発目のイベント、”open” のみ記録されます。今度は -e イベント access を付けて、「ファイルが読みだされた」イベントを監視します。
opensuse151:~ # inotifywait -e access /etc/hostsSetting up watches.Watches established./etc/hosts ACCESSopensuse151:~ #
2. 指定した /etc/passwd ファイルに -e vent に access 一発アクセスがあれば log.txt に時刻を記録してそのまま終了する。常駐したら /etc/passwd ファイルを読み込んでみます。
opensuse151:~ # inotifywait -e access --outfile=log.txt -q --format \'%T %w%f (%e)' --timefmt '%F %T' /etc/passwdopensuse151:~ # cat log.txt2020-02-08 13:42:55 /etc/passwd (ACCESS)opensuse151:~ # ps ax | grep inotify18129 pts/0 S+ 0:00 grep --color=auto inotifyopensuse151:~ #
一発アクセスで終了した。3. -r オプションで /etc/ の下の何かのファイルに -e イベント Access があれば記録する。-m は常駐モニタモード、 -r で指定したディレクトリ以下を全部再帰的に監査。コマンドの末尾に "&" を付けてデーモン化させる。 --outputfile でログファイルに記録する。
opensuse151:~ # inotifywait -m -r -e access \--outfile=log.txt -q /etc/ &[2] 17390opensuse151:~ # cat log.txt/etc/ ACCESS passwd/etc/ ACCESS passwd/etc/ ACCESS hostsopensuse151:~ # ps ax | grep inoti17390 pts/0 S 0:00 inotifywait -m -r -e access --outfile=log.txt -q /etc/17410 pts/0 S+ 0:00 grep --color=auto inotiopensuse151:~ # kill 17390 ログがあふれるのでkillする
常駐しているので kill しました。常駐しているので複数のイベントが記録されます。4. 3.にもう少し色を付けてアクセス時刻をログに書きます。& を付けてデーモン化させます。
opensuse151:~ # inotifywait -m -r -e access --outfile=log.txt \q --format '%T %w%f (%e)' --timefmt '%F %T' /etc/ &[2] 17743opensuse151:~ # ps ax | grep inoti17743 pts/0 S 0:00 inotifywait -m -r -e access --outfile=log.txt -q --format %T %w%f (%e) --timefmt %F %T /etc/17753 pts/0 R+ 0:00 grep --color=auto inotiopensuse151:~ # kill 17743opensuse151:~ # cat log.txt2020-02-08 13:37:40 /etc/passwd (ACCESS)2020-02-08 13:37:50 /etc/hosts (ACCESS)opensuse151:~ #
ファイルアクセスのイベントが記録できますが、低水準ファイルシステムの API なので、誰がアクセスしたのかの監視はできないようです。
- inotifywatch も見てみる -
こちらは、ファイルアクセスのイベントの統計を取るために利用します。まず inotifywatch のヘルプから
opensuse151:~ # inotifywatch --helpinotifywatch 3.14Gather filesystem usage statistics using inotify.Usage: inotifywatch [ options ] file1 [ file2 ] [ ... ]Options:-h|--help Show this help text.-v|--verbose Be verbose.@<file> Exclude the specified file from being watched.--fromfile <file>Read files to watch from <file> or `-' for stdin.--exclude <pattern>Exclude all events on files matching the extended regularexpression <pattern>.--excludei <pattern>Like --exclude but case insensitive.-z|--zeroIn the final table of results, output rows and columns evenif they consist only of zeros (the default is to not outputthese rows and columns).-r|--recursive Watch directories recursively.-t|--timeout <seconds>Listen only for specified amount of time in seconds; ifomitted or 0, inotifywatch will execute until receiving aninterrupt signal.-e|--event <event1> [ -e|--event <event2> ... ]Listen for specific event(s). If omitted, all events arelistened for.-a|--ascending <event>Sort ascending by a particular event, or `total'.-d|--descending <event>Sort descending by a particular event, or `total'.Exit status:0 - Exited normally.1 - Some error occurred.Events:access file or directory contents were readmodify file or directory contents were writtenattrib file or directory attributes changedclose_write file or directory closed, after being opened inwriteable modeclose_nowrite file or directory closed, after being opened inread-only modeclose file or directory closed, regardless of read/write modeopen file or directory openedmoved_to file or directory moved to watched directorymoved_from file or directory moved from watched directorymove file or directory moved to or from watched directorycreate file or directory created within watched directorydelete file or directory deleted within watched directorydelete_self file or directory was deletedunmount file system containing file or directory unmountedopensuse151:~ #
-e でイベント access, open を -r で /etc の下全部 -t 20 秒間、 -v verbose モードで統計を取ってみる。
opensuse151:~ # inotifywatch -r -e access -e open -t 20 -v /etcEstablishing watches...Setting up watch(es) on /etcOK, /etc is now being watched.Total of 394 watches.Finished establishing watches, now collecting statistics.Will listen for events for 20 seconds.total access open filename6 0 6 /etc/zabbix/web/6 2 4 /etc/opensuse151:~ #
- まとめ -
実際には、スクリプトを書いて、特定のファイルにイベントが発生したらログに残すとかメールするとかに使えるようです。また、incron と言う cron の様なツールで、イベントが発生したら処理を実行するという地味に資料が少ないツールも別にありました。試してみるのもいいでしょう。
inotify - get your file system supervisedinotify
また audit コマンドが openSUSE 15 には標準で入っているようなので、これもまた方法。それに AppArmor もあったなぁ。それぞれ目的も用途も違います。
と、あまり突っ込むとハマりそうで深いのがファイルアクセス監査のツールなのだな、と感じました。
▲
by islandcenter
| 2020-02-10 13:21
| SUSE
|
Comments(0)
2020年 02月 07日
SUSE Linux でパッケージインストールの色々な方法
SUSE Linux でパッケージインストール、色々な方法
このブログにたどり着いた方には、どうも SUSE Linux のパッケージのインストール方法が分からずに来てしまった方が多い様です。お気の毒です。こんなに内容のない記事しか頼りにならないのも何とかしたいものです。パッケージのインストール方法は幾つかの方法があります。
- コンパイルしてインストール
- rpm のインストール
- zypper ツールによるインストール
- YaST によるインストール
- ブラウザから1クリックインストール
という事で、SUSE Linux 15(openSUSE/SLE) でのパッケージのインストール方法を幾つかご紹介します。
- よくある間違え -
パッケージ管理のコマンドを実行中は、パッケージDBがロックされ、他のパッケージ管理コマンドはエラーになってしまいます。例えば
# zypper update
を実行中は YaST のソフトウェア管理は使えません。また、Software Management のアイコンをダブルクリックしてしまう。よくやっちゃう間違えです。
- こだわるヒトは make する -
もう、ソースコードしかない場合や、プロプラエタリなデバイスドライバのバイナリパッケージをインストールする場合ですね。デバイスドライバなどを make install する場合、なるべくカーネルパッチなど当たっていない、「素の状態」でインストールする事をお勧めします。ドライバ屋さんも、最新パッチが当たった状態で make することは考えていないようなので、カーネルがマイナーバージョンアップした状態で、見事にコンパイルエラーとなった事がありました。
- お馴染みの rpm -
単体の依存性が少ない rpm パッケージは rpm コマンドでインストールするか、nautilus ファイルマネージャなどで右ボタンから開くとそのまま yast2 が起動してインストールができます。
- バッチ処理向けの zypper -
他のディストリビューションでは yum や apt に相当するコマンドです。例えば、inotify-tools パッケージをインストールする場合は次の様に実行します。
opensuse151:~ # zypper in inotify-toolsLoading repository data...Reading installed packages...Resolving package dependencies...The following 2 NEW packages are going to be installed:inotify-tools libinotifytools02 new packages to install.Overall download size: 57.9 KiB. Already cached: 0 B. After the operation, additional 111.7KiB will be used.Continue? [y/n/v/...? shows all options] (y): yRetrieving package libinotifytools0-3.14-lp151.2.3.x86_64: 略opensuse151:~ #
恐らく次に説明する、yast/yast2 のパッケージ管理を使い始めると、面倒くさくてやってられないよ、という事になりそうです。一番使いそうなのが # zypper update と zypper patch でしょう。インストールが終わって、おおよそのサービスやデバイスドライバが問題なくうごいたら、 zypper update を使って全てのインストール済のパッケージをアップデートできます。YaST Online Update (YOU) だと一つ一つアップデートするため、非常に面倒くさい。 YOU はピンポイントでパッケージをアップデートする作業に向いています。zypper update は時間がかかります。
opensuse151:~ # zypper updateLoading repository data...Reading installed packages...The following 11 package updates will NOT be installed:cdda2wav cdrecord libnuma1 libscg1_0 libssh4 lsof mkisofs numactl prctl urlscan urlviewThe following 15 NEW packages are going to be installed:firebird gnome-shell-classic-session kernel-default-4.12.14-lp151.28.36.1 libfbclient2libfreebl3-hmac libib_util libidn2-lang libixion-0_15-0 libmediacheck5 liborcus-0_15-0libprocps7 libreoffice-base-drivers-firebird librevenge-stream-0_0-0 libsoftokn3-hmaclibtommath1The following package is going to be REMOVED:libwicked-0-6The following 517 packages are going to be upgraded:: 略
全体ではなくセキュリティパッチなどを適用するなら
# zypper patch
でも十分でしょう。Zypperの使用ただし zypper はシェルに組み込んで、インストールや設定をバッチ化できるので、沢山 SUSE Linux に付き合うヒトには向いているかもしれません。
- 綴りが分からなくてもインストールできる yast/yast2 -
パッケージの正しい綴りもバージョンも分からないけど、パッケージを操作したい。その場合の強力なツールが YaST です。# yast コマンドはテキストコンソールで、カーソルキーや Tab キーなどでサクッ使い。 GUI 環境では複雑なパッケージを調整したり、じっくりリポジトリを変更するには GUI のコピーペーストが簡単な # yast2 コマンドの二つがあります。SUSE Linux が他のディストリビューションとは段違いに使いやすいと思ってしまう最大の特徴があるYaSTの機能です。テキストコンソールでは
# yast
GUIでは YaST アイコンを開くか、xterm などから
# yast2 &
でGUIが開きます。
YaST (yast2) による SUSE Linux のパッケージ管理, インストールと削除
yast と yast2 は見てわかる通り、メニューの階層構造やタブの位置、執行するための Accept ボタンもほとんど同じ場所にあります。YaSTでパッケージをインストールするには、YaST > Software > Software management から、インストールしたいパッケージやキーワードを適当に "Search" します。リポジトリにあれば、綴りが分からなくても、キーワードに一致するパッケージのリストから、チェックマークを付けてインストールするだけです。ここでは "ino...." というキーワードで探して "inotify-tools" というパッケージをインストールしようとしています。
YaST ツールは、エンジニアから「タッチタイピング」というエンジニアの秘儀を忘れさせてしまうキラーツールです。頼りすぎると、私の様に他のディストリビューションに戻れないダメ人間製造機、危険なツールかもしれません。また、YaST のパッケージ管理は YaST の機能の一部です。インストールから、サービスの初期設定、チューニングまで YaST で完結できる強力なツールです。
- 1 Click Install -
- まとめ -公式リポジトリにない、あるいは公式リポジトリにあっても古いパッケージなので、最新版をインストールしたい場合は、ブラウザを使って software.opensuse.org の1クリックインストールを使うと良いでしょう。1クリックインストールのメタファイルを開くと、YaST が起動して自動的にリポジトリの追加から、必要なパッケージのダウンロード、インストールまで、ウィザード形式でやってくれます。software.opensuse.org は、基本 openSUSE のタメのものですが、SLE 用の1クリックインストールもあるので、SLE でも使えます。ただし SLE のサブスクリプションを購入しているなら、自己責任です。openSUSE のリポジトリが追加されます。テクニカルサポートの指示に従って正しく利用すべきでしょう。SLE ではうまくインストールできなかったり、不安定なケースがあります。出来るだけシステム依存の少ないパッケージをインストールしたい場合は便利です。1クリックインストールが上手くいかない場合は、”Expart Download” から、手動でインストールすると上手くいく場合があります。openSUSE では問題が少ないのですが、SLE の場合と時折トラブります。まぁ依存性の少ないパッケージなら、ほとんど問題には出会わないンですけどね。時々 opensuse のサイトが不安定なのがガンです。
SUSE Linux(openSUSE/SLE) のパッケージ管理ツールの全体をまとめると
- YaST は初心者からベテランまでパッケージ管理に使えるツール- コマンドライン命で YaST が使いにくいケースでは zypper を使う。スクリプト化にも便利、中上級者向け- rpm や make install は他に手段が無い場合につかう。
と言ったところです。
SUSE Linux でよく使う忘れやすい使えるコマンド
▲
by islandcenter
| 2020-02-07 12:45
| SUSE
|
Comments(0)
2020年 01月 19日
SUSE Linux の stat 系管理ツール多用途ツールdstat を使ってみる
dstat は vmstat, iostat, netstat などの stat 系管理ツールをまとめた、多用途管理ツールです。
SESE Linux(SLE/openSUSE)15 ではデフォルトでインストールされていないので、 yast > software > Software Manegement から検索するか、 software.opensuse.org から検索して、1クリックインストールします。
 |
 |
- まずは動かしてみる -
まず使ってみます。デフォルトで1秒間隔でステータスを返してくれます。
sle15:~ # dstatYou did not select any stats, using -cdngy by default.--total-cpu-usage-- -dsk/total- -net/total- ---paging-- ---system--usr sys idl wai stl| read writ| recv send| in out | int csw5 1 89 5 0| 52k 996k| 0 0 | 13B 298B|1335 37844 1 92 3 0|4096B 520k| 85k 86k| 0 0 |1373 38766 1 89 4 0|4096B 348k| 109k 112k| 0 0 |1500 41615 1 91 4 0|4096B 524k| 65k 66k| 0 0 |1312 37265 1 91 3 0|8192B 413k| 109k 112k| 0 0 |1412 426811 1 85 2 0|4096B 156k| 158k 162k| 0 0 |1517 39515 2 80 13 0| 0 1224k| 105k 106k| 0 0 |1498 40454 1 90 5 0| 0 3384k| 72k 72k| 0 0 |1327 39425 1 92 2 0| 0 224k| 112k 113k| 0 0 |1405 40705 1 91 3 0|8192B 780k| 90k 90k| 0 0 |1342 3978 ^Csle15:~ #
ー help を見てみる ー
Help で使い方を調べてみます。
sle15:~ # dstat --helpUsage: dstat [-afv] [options..] [delay [count]]Versatile tool for generating system resource statisticsDstat options:-c, --cpu enable cpu stats-C 0,3,total include cpu0, cpu3 and total-d, --disk enable disk stats-D total,hda include hda and total-g, --page enable page stats-i, --int enable interrupt stats-I 5,eth2 include int5 and interrupt used by eth2-l, --load enable load stats-m, --mem enable memory stats-n, --net enable network stats-N eth1,total include eth1 and total-p, --proc enable process stats-r, --io enable io stats (I/O requests completed)-s, --swap enable swap stats-S swap1,total include swap1 and total-t, --time enable time/date output-T, --epoch enable time counter (seconds since epoch)-y, --sys enable system stats--aio enable aio stats--fs, --filesystem enable fs stats--ipc enable ipc stats--lock enable lock stats--raw enable raw stats--socket enable socket stats--tcp enable tcp stats--udp enable udp stats--unix enable unix stats--vm enable vm stats--vm-adv enable advanced vm stats--zones enable zoneinfo stats--list list all available plugins--<plugin-name> enable external plugin by name (see --list)-a, --all equals -cdngy (default)-f, --full automatically expand -C, -D, -I, -N and -S lists-v, --vmstat equals -pmgdsc -D total--bits force bits for values expressed in bytes--float force float values on screen--integer force integer values on screen--bw, --black-on-white change colors for white background terminal--color force colors--nocolor disable colors--noheaders disable repetitive headers--noupdate disable intermediate updates-o, --output file write CSV output to file--profile show profiling statistics when exiting dstat-V, --version show version and system info--debug 1,2,3 debug modedelay is the delay in seconds between each update (default: 1)count is the number of updates to display before exiting (default: unlimited)sle15:~ #
- とりあえず全部見る dstat -af -
-af オプションですべてのステータスを見てみます。ディスクの数が多いと、画面に収まり切りません。sle15:~ # dstat -af--total-cpu-usage-- --dsk/sr0-----dsk/vda-- --net/eth0- ---paging-- ---system--usr sys idl wai stl| read writ: read writ| recv send| in out | int csw1 0 93 5 0| 1B 0 :7910B 535k| 0 0 | 3B 22B| 192 4111 0 91 7 0| 0 0 : 0 190k| 560B 270B| 0 0 | 212 3371 0 89 10 0| 0 0 : 0 692k|3206B 716B| 0 0 | 236 5201 1 72 25 1| 0 0 : 0 2500k| 518B 1756B| 0 0 | 176 4950 0 98 2 0| 0 0 : 0 873k| 728B 784B| 0 0 | 193 3836 2 84 8 0| 0 0 : 112k 1010k| 660B 566B| 0 0 | 290 773 ^Csle15:~ #
- インターバルを指定する n -
デフォルトインターバルを3秒に設定してみました。
sle15:~ # dstat 3You did not select any stats, using -cdngy by default.--total-cpu-usage-- -dsk/total- -net/total- ---paging-- ---system--usr sys idl wai stl| read writ| recv send| in out | int csw5 1 89 5 0| 52k 996k| 0 0 | 13B 298B|1335 37845 2 91 3 0|2731B 391k| 51k 51k| 0 0 |1331 38515 1 90 4 0|1365B 504k| 76k 76k| 0 0 |1349 40535 1 86 7 0|5461B 639k| 75k 75k| 0 0 |1475 39875 1 89 5 0|4096B 358k| 93k 93k| 0 0 |1380 4637 ^Csle15:~ #
- vmstat の互換モードで表示する -v -
-v を付けると vmstat と同じフォーマットで出てきます。
sle15:~ # dstat -v---procs--- ------memory-usage----- ---paging-- -dsk/total- ---system-- --total-cpu-usage--run blk new| used free buff cach| in out | read writ| int csw |usr sys idl wai stl0 1.0 0.5|9332M 161M 1080k 5185M| 13B 298B| 52k 996k|1335 3784 | 5 1 89 5 03.0 1.0 0|9332M 161M 1080k 5185M| 0 0 |4096B 1804k|1227 3773 | 4 1 91 3 00 2.0 0|9332M 161M 1080k 5185M| 0 0 |4096B 1260k|1423 3547 | 4 1 80 15 01.0 0 0|9332M 161M 1080k 5185M| 0 0 | 0 1220k|1535 3744 | 5 1 70 24 02.0 1.0 0|9332M 161M 1080k 5185M| 0 0 | 0 364k|1213 3266 | 4 1 92 3 01.0 0 0|9332M 161M 1080k 5185M| 0 0 | 0 184k|1264 3916 | 5 2 90 4 00 1.0 0|9332M 161M 1080k 5185M| 0 0 | 0 412k|1276 3595 | 5 1 90 4 0^Csle15:~ #
ー cpu, disk, network のみ表示する ー
-cdn オプションは、それぞれ cpu, Network, Disk のステータスを返してきます。
sle15:~ # dstat -cdn--total-cpu-usage-- -dsk/total- -net/total-usr sys idl wai stl| read writ| recv send5 1 89 5 0| 52k 996k| 0 05 1 92 2 0|4096B 212k| 170k 174k6 4 90 0 0|4096B 180k| 60k 60k12 2 84 2 0|4096B 196k| 87k 87k5 1 92 2 0|4096B 284k| 87k 88k5 1 92 2 0|4096B 188k| 73k 73k4 1 92 2 0|4096B 196k| 67k 67k5 1 93 2 0|4096B 212k| 74k 74k^Csle15:~ #
ー 表示結果に時刻を付ける ー
-t オプションで、収集した時刻を付けてくれます。
sle15:~ # dstat -tcdn----system---- --total-cpu-usage-- -dsk/total- -net/total-time |usr sys idl wai stl| read writ| recv send17-01 14:12:39| 5 1 89 5 0| 52k 996k| 0 017-01 14:12:40| 4 1 93 2 0| 0 176k| 266B 420B17-01 14:12:41| 5 0 91 4 0| 0 412k|2432B 6838B17-01 14:12:42| 4 1 91 4 0| 0 968k|2127B 2163B17-01 14:12:43| 5 1 87 7 0|4096B 780k| 106B 228B17-01 14:12:44| 5 1 91 3 0| 0 256k|1326B 2622B17-01 14:12:45| 4 1 91 4 0| 0 280k| 408B 784B17-01 14:12:46| 5 1 92 2 0| 0 188k| 638B 1096B^C
ー 結果を csv ファイルに書き出す ー
--output FileName で結果をテキスト化してくれます。これはこれで便利そう。sle15:~ # dstat -v --output dstat.csv---procs--- ------memory-usage----- ---paging-- -dsk/total- ---system-- --total-cpu-usage--run blk new| used free buff cach| in out | read writ| int csw |usr sys idl wai stl0 1.0 0.5|9326M 155M 1080k 5198M| 13B 301B| 52k 996k|1335 3784 | 5 1 89 5 01.0 0 0|9326M 155M 1080k 5198M| 0 0 |4096B 396k|1460 4840 | 7 5 86 2 00 1.0 0|9326M 155M 1080k 5198M| 0 0 |4096B 460k|1454 3902 | 11 3 82 3 00 0 0|9326M 155M 1080k 5198M| 0 0 | 12k 188k|1521 4287 | 12 1 84 2 00 1.0 0|9326M 155M 1080k 5198M| 0 0 |4096B 3052k|1809 3747 | 5 1 88 5 01.0 1.0 0|9326M 155M 1080k 5198M| 0 0 |4096B 424k|1346 3628 | 5 1 90 4 00 1.0 0|9326M 155M 1080k 5198M| 0 0 |4096B 260k|1249 3593 | 5 1 92 2 00 0 0|9326M 155M 1080k 5198M| 0 0 |4096B 288k|1229 3657 | 4 2 89 5 02.0 0 0|9326M 155M 1080k 5198M| 0 0 |8192B 268k|1236 3578 | 5 1 90 4 00 0 0|9326M 155M 1080k 5198M| 0 0 |4096B 284k|1247 3440 | 5 1 91 2 00 0 0|9326M 155M 1080k 5198M| 0 0 |4096B 345k|1414 3987 | 7 2 88 4 0^Csle15:~ #
▲
by islandcenter
| 2020-01-19 14:37
| SUSE
|
Comments(0)
2020年 01月 15日
SUSE Linux でよく使う忘れやすい使えるコマンド
SUSE Linux でよく使う、忘れやすい使えるコマンド
普段よく使うのに、毎日は使わないので、ついつい引数やオプションを間違えてしまうったり、使い方を忘れるコマンド、よく使うケースをまとめてみました。ダメですね。最近物忘れがひどい。本当に「ダメ人間」です。お前、何年やってんだって言われそうです。
- ps と kill -
プロセスを止めるためによく使います。例えば、Firefox ブラウザが調子悪い時
sle15:~ # firefox &[1] 20876sle15:~ # ps aux | grep firefoxroot 20876 13.5 1.4 2105552 232876 pts/5 Sl 11:39 0:04 /usr/lib64/firefox/firefoxroot 20989 0.0 0.0 7432 828 pts/5 S+ 11:40 0:00 grep --color=auto firefoxsle15:~ # kill 20876sle15:~ # ps aux | grep firefoxroot 21004 0.0 0.0 7432 988 pts/5 S+ 11:41 0:00 grep --color=auto firefoxFirefox がプロセスの一覧から消えました。ただし単純なユーザアプリケーションの場合はこれでもいいのですが、サービスデーモンの場合は、もっと慎重にやるべきです。
結局、「再起動したら治った」ケースも良くあります。
- ファイルを探す find -
アプリケーションや、サービスの設定ファイルを探すためによく使います。 SUSE Linux の場合、ほとんど YaST ツールで設定するのが無難なのですが、時折、「xxx.conf ってどこ?」という SUSE ならではの場合があります。そんな時に使います。
sle15:~ # find /etc -name hosts <- /etc 以下の hosts というファイル/etc/hostssle15:~ # find /etc -name "host*" <- host...で始まるすべてのファイル、" " で括ります。/etc/host.conf/etc/hostname/etc/hosts/etc/hosts.allow/etc/hosts.deny/etc/hosts.equiv/etc/hosts.lpd/etc/wicked/extensions/hostname/etc/hosts.YaST2savesle15:~ #sle15:~ # find /etc -name "*host*" <-- hostが含まれるすべてのファイル/etc/opt/chrome/native-messaging-hosts/etc/dbus-1/system.d/org.freedesktop.hostname1.conf/etc/host.conf/etc/hostname/etc/hosts/etc/hosts.allow:中略/etc/nginx/vhosts.dsle15:~ #
Nintendo Switch 本体 (ニンテンドースイッチ) Joy-Con(L)/(R) グレー(バッテリー持続時間が長くなったモデル) 新品価格 |  |
- ファイルの日付を調べる stat, find -atime -
普段、あまり使わないのですが、ファイルの更新日付や最終アクセス日を確認するために使います。stat へぇーでした。find の方が実用的なケースが多いでしょう。
sle15:~ # touch /home/user/test.txtsle15:~ # ls -al /home/user/test.txt-rw-r--r-- 1 root root 0 Jan 12 12:16 /home/user/test.txtsle15:~ # cat /home/user/test.txt <-- cat してみるsle15:~ # stat /home/user/test.txtFile: /home/user/test.txtSize: 0 Blocks: 0 IO Block: 4096 regular empty fileDevice: 35h/53d Inode: 278 Links: 1Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)Access: 2020-01-12 12:16:53.934678002 +0900 <---cat したのでアクセス時間だけ微妙に違うModify: 2020-01-12 12:16:37.529088236 +0900Change: 2020-01-12 12:16:37.529088236 +0900Birth: -
また、長期間アクセスがないファイルを探すには find コマンドに -atime オプションを使います。例えば 365 日、アクセスが無いファイルを探すには次の様に実行します。
sle15:~ # find /share/SISO/ -atime +365/share/SISO/rhel/rhel-server-5.9-x86_64-dvd.iso/share/SISO/rhel/rhel-server-6.8-x86_64-boot.iso/share/SISO/rhel/rhel-server-6.8-x86_64-dvd.iso/share/SISO/rhel/rhel-server-7.3-x86_64-boot.iso/share/SISO/rhel/rhel-server-7.3-x86_64-dvd.iso:以下略
※ ただし、バックアップジョブなどで、日々アクセスされているとアクセス日も更新されます。ちょっと向いていないかも知れません。ただ、最終更新日を見つけるには -ctime オプションの方がいい様です。
- ログの最後を確認 tail, less -
sle15:~ # rcntpd restart <-- サービスをリスタートしてみるsle15:~ # tail /var/log/messages <-- tail のデフォルトは10行表示2020-01-15T10:17:27.156734+09:00 sle15 snmpd[1598]: Connection from UDP: [192.168.1.221]:58800->[192.168.1.240]:1612020-01-15T10:17:42.856286+09:00 sle15 systemd[1]: Stopping NTP Server Daemon...2020-01-15T10:17:42.934525+09:00 sle15 systemd[1]: Stopped NTP Server Daemon.2020-01-15T10:17:42.935309+09:00 sle15 systemd[1]: Starting NTP Server Daemon...2020-01-15T10:17:43.000095+09:00 sle15 ntpd[10995]: ntpd 4.2.8p11@1.3728-o (1): Starting2020-01-15T10:17:43.000354+09:00 sle15 ntpd[10995]: Command line: /usr/sbin/ntpd -p /var/run/ntp/ntpd.pid -g -u ntp:ntp -c /etc/ntp.conf2020-01-15T10:17:43.007380+09:00 sle15 ntpd[10996]: proto: precision = 0.072 usec (-24)2020-01-15T10:17:43.030409+09:00 sle15 ntpd[10996]: switching logging to file /var/log/ntp2020-01-15T10:17:43.037980+09:00 sle15 start-ntpd[10990]: Starting network time protocol daemon (NTPD)2020-01-15T10:17:43.038376+09:00 sle15 systemd[1]: Started NTP Server Daemon.sle15:~ # tail /var/log/messages -n 5 <--- -n [数字] で「数」行分表示2020-01-15T10:17:43.000354+09:00 sle15 ntpd[10995]: Command line: /usr/sbin/ntpd -p /var/run/ntp/ntpd.pid -g -u ntp:ntp -c /etc/ntp.conf2020-01-15T10:17:43.007380+09:00 sle15 ntpd[10996]: proto: precision = 0.072 usec (-24)2020-01-15T10:17:43.030409+09:00 sle15 ntpd[10996]: switching logging to file /var/log/ntp2020-01-15T10:17:43.037980+09:00 sle15 start-ntpd[10990]: Starting network time protocol daemon (NTPD)2020-01-15T10:17:43.038376+09:00 sle15 systemd[1]: Started NTP Server Daemon.sle15:~ #
less は表示画面をカーソルキーでスクロールできるので、便利ですね。意外と知らなかったりします。sle15:~ # less /var/log/messages <---- ファイルを開いたら "G" (shift+g)か ”>” で行末に移動します。終了する時は "q" で抜けます。
sle15:~ # tail -n 10000 /var/log/messages | grep fail <-- 10000 行の中から "fail" の文字列を抜き出す。2020-01-13T00:00:02.249817+09:00 sle15 logrotate[9676]: error: stat of /var/log/chrony/*.log failed: Permission denied2020-01-13T00:00:02.292435+09:00 sle15 systemd[1]: logrotate.service: Unit entered failed state.2020-01-13T20:52:32.361748+09:00 sle15 smartd[906]: Device: /dev/sdd [SAT], SMART Prefailure Attribute: 1 Raw_Read_Error_Rate changed from 75 to 762020-01-14T00:00:01.960473+09:00 sle15 logrotate[18671]: error: stat of /var/log/chrony/*.log failed: Permission denied2020-01-14T00:00:02.031651+09:00 sle15 systemd[1]: logrotate.service: Unit entered failed state.2020-01-15T00:00:00.252361+09:00 sle15 logrotate[24918]: error: stat of /var/log/chrony/*.log failed: Permission denied2020-01-15T00:00:00.272513+09:00 sle15 systemd[1]: logrotate.service: Unit entered failed state.
Microsoft Windows 10 Home April 2018 Update適用 32bit/64bit 日本語版【最新】|オンラインコード版
新品価格
¥17,926から
(2020/1/16 14:35時点)
- 即時時刻合わせ ntpdate -ub ntp.server -
普段 ntpd で、外部のタイムソースと同期している場合、あまり使う事がないかもしれません。で、時刻のズレがある場合に慌ててしまうのですね。
sle15:~ # ntpdate -q ntp.nict.jp <-- 同期状態を -q オプションで確認するserver 133.243.238.163, stratum 1, offset 0.096820, delay 0.16020server 133.243.238.164, stratum 1, offset 0.098111, delay 0.16058server 133.243.238.244, stratum 1, offset -0.000385, delay 0.23285server 133.243.238.243, stratum 1, offset 0.009039, delay 0.2154115 Jan 10:46:29 ntpdate[12177]: adjust time server 133.243.238.163 offset 0.096820 sec<-- ほぼ合っているsle15:~ # dateWed Jan 15 10:46:33 JST 2020sle15:~ # date -s "10:40" <-- 強制的に時刻を変えてみたWed Jan 15 10:40:00 JST 2020sle15:~ # ntpdate -q ntp.nict.jpserver 133.243.238.163, stratum 1, offset 415.140090, delay 0.15050server 133.243.238.164, stratum 1, offset 415.205100, delay 0.14244server 133.243.238.244, stratum 1, offset 415.079092, delay 0.23996server 133.243.238.243, stratum 1, offset 415.208039, delay 0.1628015 Jan 10:40:13 ntpdate[12256]: step time server 133.243.238.164 offset 415.205100 sec <--- 時刻ずれが発生している。sle15:~ # ntpdate ntp.nict.jp15 Jan 10:40:25 ntpdate[12259]: the NTP socket is in use, exiting <-- ntpdでソケットが使われているよsle15:~ # ntpdate -ub ntp.nict.jp15 Jan 10:47:33 ntpdate[12264]: step time server 133.243.238.163 offset 415.208919 sec <-- -u: 非特権モード -b:Step モード(即時同期)で時刻合わせをしてみた
※ 本来はアプリケーションの動作に影響する step モードで変更すべきではありません。Slew モード(徐々に合わせる方法)で修正します。 -B オプションを使います。
【 ntpdate 】コマンド――時刻をNTPサーバと同期する
sle15:~ # dateWed Jan 15 10:47:39 JST 2020sle15:~ # ntpdate -q ntp.nict.jpserver 133.243.238.163, stratum 1, offset -0.019178, delay 0.10196server 133.243.238.164, stratum 1, offset -0.055371, delay 0.17729server 133.243.238.244, stratum 1, offset -0.054022, delay 0.17772server 133.243.238.243, stratum 1, offset 0.011321, delay 0.1458315 Jan 10:47:55 ntpdate[12363]: adjust time server 133.243.238.164 offset -0.055371 sec <-- 大体合っている
- ディスクの占有量を調べる df -h と du, ncdu -
何だか動きが妖しいな、という時は、意外とディスクの容量不足が原因だったりします。その場合、犯人捜しにつかえるのが df と du です。
sle15:~ # df -hFilesystem Size Used Avail Use% Mounted on/dev/sda8 50G 30G 20G 60% /udev 3.8G 316K 3.8G 1% /devtmpfs 3.8G 6.4M 3.8G 1% /dev/shm/dev/sda6 164M 24M 140M 15% /boot/efi/dev/sda9 493G 385G 84G 83% /var/dev/sda3 48G 19G 30G 39% /windows/C/dev/sda4 98G 107M 98G 1% /windows/D/dev/sda11 148G 94G 48G 67% /share/dev/sdb2 1.8T 1.7T 4.2G 100% /hdd/sdbsle15:~ # du /home4 /home/user/bin4 /home/user/.fonts4 /home/user/.mozilla68 /home/user72 /home/sle15:~ # du /home -m1 /home/user/bin1 /home/user/.fonts1 /home/user/.mozilla1 /home/user1 /home/sle15:~ #
※ -m を付けると M byte 表記になります。メニュー形式で便利な ncdu も便利です。ぜひインストールして置きたい。
ディスク占有犯は誰!SUSE Linux でディレクトリの占有量を調査 ncduhttps://islandcnt.exblog.jp/239841590/
- tar でのファイルのアーカイブとリストア -
tar は、お馴染みのコマンドですが、奥が深い。つい使い方をググってしまうのが、tar のコマンドラインオプションです。ここでは、圧縮アーカイブと、アーカイブからあの解凍という「一発芸」の使い方のみ取り上げてみました。
user@sle15:~> tar czf mypics.tar.gz ./pics <--指定したディレクトリをアーカイブuser@sle15:~> ls *.gzmypics.tar.gzuser@sle15:~> mv pics deleteme <-- オリジナルのディレクトリを削除(リネーム)してみたuser@sle15:~> tar xzf mypics.tar.gz <-- 解凍してみるuser@sle15:~> lsbin deleteme mypics.tar.gz pics public_html test test.txt <-- オリジナルのディレクトリを作成し解凍された。user@sle15:~>
※ 通常ではは v オプションを付けて、圧縮、解凍の進捗を表示させて「ヤッテル感」を実感したい人が多いでしょうね。私もそうしています。# tar cvzf myarchive.tar.gz path-to-source でアーカイブ作成# tar xvzf myarchive.tar.gz でアーカイブ抽出します。
- シンボリックリンクを作る ls -s -
以外とよく使うのに、いざ使おうとすると、使い方を忘れるのが ln -s コマンドです。リンク先とシンボリックリンク名を逆にしてハマったりします。# ln -s リンクソース(先) リンクファイル名
user@sle15:~> ls -ltotal 0drwxr-xr-x 1 user users 0 Feb 20 2019 bindrwxr-xr-x 1 user users 2064 Jan 15 12:57 picsdrwxr-xr-x 1 user users 20 Feb 20 2019 public_htmldrwxr-xr-x 1 user users 8 Jan 15 13:40 test-rw-r--r-- 1 root root 0 Jan 12 12:16 test.txtuser@sle15:~> ls ./testpicsuser@sle15:~> ln -s ./test/pics/ mypicuser@sle15:~> ls -ltotal 4drwxr-xr-x 1 user users 0 Feb 20 2019 binlrwxrwxrwx 1 user users 12 Jan 15 13:46 mypic -> ./test/pics/ <--- これdrwxr-xr-x 1 user users 2064 Jan 15 12:57 picsdrwxr-xr-x 1 user users 20 Feb 20 2019 public_htmldrwxr-xr-x 1 user users 8 Jan 15 13:40 test-rw-r--r-- 1 root root 0 Jan 12 12:16 test.txtuser@sle15:~> cd mypicuser@sle15:~/mypic> ls -ltotal 3532-rwxr--r-- 1 user users 47052 Feb 26 2006 06226a.jpg-rwxr--r-- 1 user users 71472 Feb 13 2006 ChryslerProwler10.JPG-rwxr--r-- 1 user users 105900 Feb 11 2006 kin2.jpg-rwxr--r-- 1 user users 44569 Feb 11 2006 kin3.jpg-rwxr--r-- 1 user users 83056 Feb 11 2006 kin.jpguser@sle15:~/mypic>user@sle15:~/mypic> pwd/home/user/mypic <-- 実体ではない、シンボリックリンクがパスになっていますuser@sle15:~/mypic>
- まとめ -
毎日、コンソールに向かって Linux をツツイテいるヒトには「何をいまさら感」がある内容ばかりですが、意外とまとめてみると、自分でもあまり意識していない、あるいは「あれ! どうだっけ?」という、コマンドは多いものです。特に
- find- ln -s- ntpdate
などは、よく使いそうで意外と使い方が分かっていない、という自分に気が付きました。いざ、という時の引き出しを用意するためにも、普段慣れしたコマンドの使い方を知っておくべきだと改めて感じました。
▲
by islandcenter
| 2020-01-15 19:41
| SUSE
|
Comments(0)
