iproute2でLinuxのネットワークインターフェイスの接続状況-ppp編

iproute2でLinuxのネットワークインターフェイスの接続状況-ppp編


いつもアクセスいただきありがとうございます。匠技術研究所の谷山 亮治です。
今日は「iproute2でLinuxのネットワークインターフェイスの接続状況-ppp編」です。

Linuxはルーターそのものにもなります。社内でもLinuxサーバーが、直接PPPoEで接続していることがあります。

■接続中のPPPoEインターフェイスの情報
# ip addr show ppp0
17: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1454 qdisc pfifo_fast qlen 3
link/ppp
inet xxx.xxx.xxx.xxx peer yyy.yyy.yyy.yyy/32 scope global ppp0
LINK状態と、IP情報を知ることができます。

類似のipコマンドip link showでは、ip addr showのLINK情報のみを表示します。
# ip link show ppp0
17: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1454 qdisc pfifo_fast qlen 3
link/ppp

送受信パケット数を知るには、PPPの場合はpppstatsコマンドです。接続開始後の累積送受信パケット数を表示します。
プロバイダとの接続では、圧縮関連は行わないことがほとんどですが、オプションで圧縮関連情報を見ることができます。
# pppstats -a ppp0
IN PACK VJCOMP VJUNC VJERR | OUT PACK VJCOMP VJUNC NON-VJ
349502527 2060409 0 0 0 | 448610829 2628722 0 0 2628722

# adsl-status
内部でip addr show ppp0を呼んでいますね。
adsl-status: Link is up and running on interface ppp0
17: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1454 qdisc pfifo_fast qlen 3
link/ppp
inet 183.180.160.25 peer 163.139.152.226/32 scope global ppp0

■Linuxのバージョンなど
# uname -a
Linux takumigiken 2.6.18-194.11.3.el5 #1 SMP Mon Aug 30 16:23:24 EDT 2010 i686 i686 i386 GNU/Linux
# lsb_release -a
LSB Version: :core-3.1-ia32:core-3.1-noarch:graphics-3.1-ia32:graphics-3.1-noarch
Distributor ID: CentOS
Description: CentOS release 5.5 (Final)
Release: 5.5
Codename: Final

9月29日(月)のつぶやき

　ヤマハルーター　@takuminews　08:11

「iostatでLinuxのディスクI/O（ディスクアクセス）情報を確認する」 goo.gl/tKbbDB

1 件 リツイートされました

from gooBlog

返信 リツイート お気に入り

---

Follow @takuminews

iostatでLinuxのディスクI/O（ディスクアクセス）情報を確認する

iostatでLinuxのディスクI/O（ディスクアクセス）情報を確認する


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今回は「iostatでLinuxのディスクI/O（ディスクアクセス）情報を確認する」です。Linux上でディスクのアクセスを情報を取得します。

iostatはUNIX、Linux系基本ソフトが備えており、各ディスクへの読み書きの状況を確認することができます。

■Linuxの情報
$ uname -a
Linux kawasakibk.local 2.6.32-431.11.2.el6.i686 #1 SMP Tue Mar 25 17:17:46 UTC 2014 i686 i686 i386 GNU/Linux
[takumi@kawasakibk ~]$ lsb_release -a
LSB Version: :base-4.0-ia32:base-4.0-noarch:core-4.0-ia32:core-4.0-noarch:graphics-4.0-ia32:graphics-4.0-noarch:printing-4.0-ia32:printing-4.0-noarch
Distributor ID: CentOS
Description: CentOS release 6.5 (Final)
Release: 6.5
Codename: Final
$

■iostat
いつも、使っているのは2種類です。

$ iostat --help
使い方: iostat [ オプション ] [ <間隔> [ <回数> ] ]
Options are:
[ -c ] [ -d ] [ -N ] [ -n ] [ -h ] [ -k | -m ] [ -t ] [ -V ] [ -x ] [ -y ] [ -z ]
[ -j { ID | LABEL | PATH | UUID | ... } [ <device> [...] | ALL ] ]
[ <device> [...] | ALL ] [ -p [ <device> [,...] | ALL ] ]
$

$ iostat -x
Linux 2.6.32-431.11.2.el6.i686 (kawasakibk.local) 2014年09月29日 _i686_ (4 CPU)

avg-cpu: %user %nice %system %iowait %steal %idle
2.26 0.00 1.08 10.18 0.00 86.48

Device: rrqm/s wrqm/s r/s w/s rsec/s wsec/s avgrq-sz avgqu-sz await svctm %util
sdb 0.06 0.40 2.03 0.05 325.31 3.57 158.19 0.05 25.66 2.16 0.45
sdc 0.09 0.22 0.12 0.15 5.93 3.11 34.01 0.00 1.76 1.12 0.03
sda 4.43 14.70 121.35 0.86 159.79 123.73 2.32 0.32 2.59 0.06 0.78
dm-0 0.00 0.00 0.21 0.35 5.93 2.76 15.77 0.01 18.89 0.54 0.03
dm-1 0.00 0.00 0.00 0.00 0.00 0.35 5005.78 0.00 2.39 0.29 0.00
md127 0.00 0.00 125.34 15.44 151.80 123.49 1.96 0.00 0.00 0.00 0.00
dm-2 0.00 0.00 0.00 0.00 0.00 0.00 8.01 0.00 0.36 0.31 0.00

$ iostat
Linux 2.6.32-431.11.2.el6.i686 (kawasakibk.local) 2014年09月29日 _i686_ (4 CPU)

avg-cpu: %user %nice %system %iowait %steal %idle
2.26 0.00 1.08 10.18 0.00 86.48

Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn
sdb 2.08 325.30 3.57 3813391686 41896856
sdc 0.27 5.93 3.11 69520448 36465186
sda 122.20 159.80 123.73 1873299676 1450450936
dm-0 0.55 5.93 2.76 69465274 32399936
dm-1 0.00 0.00 0.35 5080 4064616
md127 140.77 151.81 123.48 1779609282 1447555458
dm-2 0.00 0.00 0.00 10538 568

$

9月28日(日)のつぶやき

　ヤマハルーター　@takuminews　14:49

「久しぶりに立ち上げたWindows 7 PCから「調子が悪い」と訴えられた」 blog.goo.ne.jp/takuminews/e/d…

from gooBlog

返信 リツイート お気に入り

---

Follow @takuminews

久しぶりに立ち上げたWindows 7 PCから「調子が悪い」と訴えられた

久しぶりに立ち上げたWindows 7 PCから「調子が悪い」と訴えられた


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今回は久しぶりに立ち上げたWindows 7 PCから「調子が悪い」と訴えられたことを紹介します。

四ヶ月弱でしょうか、久しぶりに作業用のWindows 7 NetBookが「スッ」と立ち上がらずに「ディスクガリガリ」が始まりました。「ちゃんとシャットダウンできていなかったんだな」と、終わるのを待つしかありません。

翌朝見るとメッセージが出ています。「何だこりゃ？？」初めて見るメッセージです。
皆様にも紹介をと思い「記念撮影」。

■不調を訴え現れたメッセージ


■文字起こし
コンピューターにされているデバイスとの通にがしました。

けUSBドライブのようなリムーバブル記がデバイスがにりされた
や、ハードディスクやCD-ROMドライブなどのハードウエアにがあるにこのエラー
はきるががあります。リムーバブル記がしくされていること認
して、コンピューターをしてください。

このメッセージがききされるは、ハードウエアの造にいわせてくだ
さい。

: 0xc00000e9
: しない I/O エラーがしました。


なるほど。調子が悪いことは、良く判りました。

9月27日(土)のつぶやき

　ヤマハルーター　@takuminews　04:27

「たくさんのアクセスありがとうございます。-もうすぐ累積600万PV」 goo.gl/Pev8TE

from gooBlog

返信 リツイート お気に入り

---

　ヤマハルーター　@takuminews　04:54

おはようございます。今日はLinuxでのL2VPNの実装で出張です。さて、出発の準備をしよう！

from Hootsuite

返信 リツイート お気に入り

---

　ヤマハルーター　@takuminews　05:01

@yo12525 ご無沙汰しています。弊社のお客様も含めて特段の不便を感じることはないですね。後々気づくことはあるかもしれませんが。ISDNの時は取引先の交換機の機器識別子が正しく設定されていなくて「着信できない」という「クレームをいただいた」ことがあります（笑。

from Hootsuite

返信 リツイート お気に入り

---

Follow @takuminews

たくさんのアクセスありがとうございます。-もうすぐ累積600万PV

たくさんのアクセスありがとうございます。-もうすぐ累積600万PV


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今日も沢山のアクセスいただきました。こころより御礼申し上げます。

この技術ブログを開設して２０１４年9月26日で2600日を経過し、おかげさまで590万PVを越え、もうすぐ累積600万PVのところまで来ました。累積IPでは、1,617,000ほどです。この結果に励まされて、ここまで続けてくることができました。重々御礼申し上げます。



もともと表現は下手で、開設当時は筆も進みませんでしたが、だんだんと書くことに慣れてきています。
今でも、記事を一本投稿する度に、ホッとしています。
この辺りのことも、ブログに書いた方が良いかもしれませんね。

これからも、日々精進して参りますので、引き続きよろしくお願いします。

9月26日(金)のつぶやき

　ヤマハルーター　@takuminews　08:06

「事務所のISDN電話回線をひかり電話に移行しました」 goo.gl/x1STTl

from gooBlog

返信 リツイート お気に入り

---

　ヤマハルーター　@takuminews　11:45

「redhat発表によるbashの環境変数経由の脆弱性の簡単な確認方法」 blog.goo.ne.jp/takuminews/e/e…

from gooBlog

返信 リツイート お気に入り

---

　ヤマハルーター　@takuminews　18:58

「Linux/CentOS6/yum updateでエラー（PANIC、db3 Error）が出る際の対処」 goo.gl/OhU0cV

from gooBlog

返信 リツイート お気に入り

---

Follow @takuminews

Linux/CentOS6/yum updateでエラー（PANIC、db3 Error）が出る際の対処

Linux/CentOS6/yum updateでエラー（PANIC、db3 Error）が出る際の対処


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今回は「Linux/CentOS6/yum updateでエラー（PANIC、db3 Error）が出る際の対処」です。

社内Linuxサーバーのbashの脆弱性対応で、CentOS 6.5上でbashを緊急アップデートしようとしたところ、yum updateでエラーが出ます。

■yum updateに失敗
# yum update
rpmdb: PANIC: fatal region error detected; run recovery
エラー: db3 エラー (-30974) (dbenv->open において): DB_RUNRECOVERY: Fatal error, run database recovery
エラー: Packages インデックスを db3 でオープンできません - (-30974)
エラー: /var/lib/rpm にある Package データベースをオープンできません。
CRITICAL:yum.main:

Error: rpmdb open failed
#

リポリトジからアップデート情報を取得する「以前の状況」です。あれれ。rpm関連dbが壊れています。

■rpm関連dbを作り直し
# rm -f /var/lib/rpm/__db*
# rpm --rebuilddb
# yum clean all
Loaded plugins: fastestmirror, security
Cleaning repos: base epel extras updates
Cleaning up Everything
Cleaning up list of fastest mirrors
#

さっくりと更新できました。
では、

■bashのみアップデート
# yum update bash
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
* base: www.ftp.ne.jp
* epel: ftp.tsukuba.wide.ad.jp
* extras: www.ftp.ne.jp
* updates: www.ftp.ne.jp
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package bash.x86_64 0:4.1.2-15.el6_4 will be updated
---> Package bash.x86_64 0:4.1.2-15.el6_5.1 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
Package Arch Version Repository Size
================================================================================
Updating:
bash x86_64 4.1.2-15.el6_5.1 updates 905 k

Transaction Summary
================================================================================
Upgrade 1 Package(s)

Total download size: 905 k
Is this ok [y/N]: y
Downloading Packages:
bash-4.1.2-15.el6_5.1.x86_64.rpm | 905 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : bash-4.1.2-15.el6_5.1.x86_64 1/2
Cleanup : bash-4.1.2-15.el6_4.x86_64 2/2
Verifying : bash-4.1.2-15.el6_5.1.x86_64 1/2
Verifying : bash-4.1.2-15.el6_4.x86_64 2/2

Updated:
bash.x86_64 0:4.1.2-15.el6_5.1

Complete!
#

無事完了です。

redhat発表によるbashの環境変数経由の脆弱性の簡単な確認方法の実際

redhat発表によるbashの環境変数経由の脆弱性の簡単な確認方法


こんにちは。いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今日はLinux等で広く使われているbashのシェルプログラム実行時の脆弱性の速報です。

Linux等UNIXおよびその影響のある基本ソフト上の「shell」の一つである「bash」はプログラム（=コマンド）を実行する環境として広く使われています。プログラムは、実行時に必要な情報を「環境変数」として受け取る機能を備えています。

一般的に各shellは複数のプログラムを連携して実行する為に「シェルプログラム」を書くことができ、そのプログラムを実行することができます。シェルプログラムも、それ以外のプログラムも「プログラム」としての取り扱いに違いはなく、実行時に必要な情報を「環境変数」として受け取る機能があります。

今回のbashの脆弱性は、bashで作られたプログラムを実行する際のこの機能を利用して、環境変数に悪意の情報を仕込み、実行することができるというもので、最悪の場合システムを乗っ取ることもできる可能性があります。

では、どうやって外部から基本ソフト上のbashを実行するのでしょうか。それは、外部からのアクセスを許可した、様々な「サーバープログラム」を経由します。代表的にはWebサーバー、ファイルサーバー、sshサーバー等、様々なサーバープログラムがありますが、その中で使われているかもしれないbashプログラムを経由して実行します。

緊急の対処としては、以下の対応が必要です。

■サーバーでのbashプログラムの更新あるいは実行停止と他言語プログラムへの差し替え
基本ソフト、サーバーに関係なくbashを使うことができるサーバーは、このbashの脆弱性を改修した更新bashに変更します。

Webサーバー上でいわゆるcgiとしてbashプログラムを使っている場合は、いったんそのプログラムの利用を停止し、perlなど別のプログラム言語に書き直したものに差し替える必要があります。書き換える際、類似の脆弱性が予想されるshellプログラムは避けるべきです。

■サーバー管理者！必見！RedHatの情報提供（英文）
Bash specially-crafted environment variables code injection attack

記事中のテストコードを弊社サーバーで実行してみました。尚、お客様用サーバーのbashはすべて更新済みです。

$ uname -a
Linux okavms 2.6.32-431.17.1.el6.x86_64 #1 SMP Wed May 7 23:32:49 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
$ lsb_release -a
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
Distributor ID: CentOS
Description: CentOS release 6.5 (Final)
Release: 6.5
Codename: Final
$

$ bash --version
GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

環境変数"x"に仕込まれた、echoコマンドが実行され、
"vulnerable"
が表示されました。ここに任意のコードを組み込むことができます。

行の最後の、bashが実行され
"this is a test"
が表示されます。これは期待の動作です。

このbashをアップデートして、実行します。
# yum update bash
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
* base: www.ftp.ne.jp
* epel: ftp.tsukuba.wide.ad.jp
* extras: www.ftp.ne.jp
* updates: www.ftp.ne.jp
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package bash.x86_64 0:4.1.2-15.el6_4 will be updated
---> Package bash.x86_64 0:4.1.2-15.el6_5.1 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
Package Arch Version Repository Size
================================================================================
Updating:
bash x86_64 4.1.2-15.el6_5.1 updates 905 k

Transaction Summary
================================================================================
Upgrade 1 Package(s)

Total download size: 905 k
Is this ok [y/N]: y
Downloading Packages:
bash-4.1.2-15.el6_5.1.x86_64.rpm | 905 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : bash-4.1.2-15.el6_5.1.x86_64 1/2
Cleanup : bash-4.1.2-15.el6_4.x86_64 2/2
Verifying : bash-4.1.2-15.el6_5.1.x86_64 1/2
Verifying : bash-4.1.2-15.el6_4.x86_64 2/2

Updated:
bash.x86_64 0:4.1.2-15.el6_5.1

Complete!
#

$ bash --version
GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

（＊）マイナーアップデートのためか、バージョン表示は変わりません。
確認コードを実行します。


$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
$

環境変数"x"に埋め込まれた機能を無視した旨のWaringと"x"の実行エラーが表示され、"x"に埋め込まれたコードは実行されず、その後の"test"行が表示されました。期待する動きです。

当面、bashの改修は続くと思われるので、常に最新バージョンに維持する必要があります。

事務所のISDN電話回線をひかり電話に移行しました

事務所のISDN電話回線をひかり電話に移行しました


こんにちは。いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今日は「事務所のISDN電話回線をひかり電話に移行」したことを紹介します。

2002年に開設した匠技術研究所の電話回線をISDNからひかり電話に移行しました。このISDN回線は、ISDNをご利用のお客様のために、継続して使っていたものです。FAX回線は2年ほど前に先行して光回線に移行しています。

もともと、ヤマハルーターRT57i、58iで長年運用してきましたが、ISDNの移行に伴い、こちらも運用終了です。ひかり電話回線のFAXをRT58i、NVR500を使ってIP延長し、受信は一ヶ所、発信は複数箇所でできるようにしています。

■IP延長機器構成イメージ

9月25日(木)のつぶやき

　ヤマハルーター　@takuminews　19:47

こんばんは。もうこんな時間に。

from Hootsuite

返信 リツイート お気に入り

---

Follow @takuminews

9月24日(水)のつぶやき

　ヤマハルーター　@takuminews　14:38

こんにちは。川崎市付近は夕方から雨だそうです。

from Hootsuite

返信 リツイート お気に入り

---

　ヤマハルーター　@takuminews　18:43

都心の天気の荒れ様はひどく、初めて開いた傘が、開くと同時に骨が曲がりました。服もびしょ濡れに。でも、川崎市北部はまだ雨が降っていない？ようです。

from Hootsuite

返信 リツイート お気に入り

---

Follow @takuminews

9月23日(火)のつぶやき

　ヤマハルーター　@takuminews　17:15

「Linux/Ubuntu Studio/OpenVPNによるL2VPN(Bridge)の紹介-何故ルーターではなくLinuxか」 goo.gl/rbsPL7

from gooBlog

返信 リツイート お気に入り

---

Follow @takuminews

Linux/Ubuntu Studio/OpenVPNによるL2VPN(Bridge)の紹介-何故ルーターではなくLinuxか

Linux/Ubuntu Studio/OpenVPNによるL2VPN(Bridge)の紹介-何故ルーターではなくLinuxか


こんにちは。匠技術研究所の谷山 亮治です。
今日はLinux/Ubuntu Studio/OpenVPNによるL２VPNの紹介の第一回です。
匠技術研究所では、Linuxを使ったVPN構築に取り組んでいます。

■何故Linuxか
私たち匠技術研究所はヤマハルーターによるVPN構築を手掛けてきました。VPN以前からすると約20年間中小規模のネットワーク構築に携わってきています。長年の実際のネットワーク構築の中で、市販ルーターでは構築できない、あるいは実現が難しいネットワークの構成に出会っています。その部分を埋めるためにLinuxでのネットワークを併用しています。

今回の構築では、L2VPNが必要です。すでに、2010年にEMobileとフレッツ光ネクスト回線を使ったLinux/OpenVPN/L2VPNを臨時回線として安定運用した実績がありこのブログでも紹介しています。この「極めて安定した」運用実績を基にL2VPN接続を実現します。LinuxでのL2VPN装置は、設定を変更することでルーターにもなります。将来的なネットワーク変更にも柔軟に対応することができます。

Linux/Ubuntu OpenVPNでの東京-横浜ブリッジ接続は順調

Linuxでの実装を採用する大きな理由の一つが、PCアーキテクチャを採用する小型低消費電力PCの登場です。今回も低消費電力の超小型PCを採用します。オールインワン設計により、追加するパーツもありません。長期間に渡り運用する部分に最適です。

今回は、LIVA/SoCミニPCにUbuntu Studio 14.04.1 LTSをインストールしてOpenVPNを導入します。


■ルーターは使わないのか
インターネットを終端しているルーターはヤマハルーターです。その配下のプライベートIPのセグメントを、同一セグメントとして別の建屋に延長する必要があります。同一セグメントが必要な理由は簡単で、そのセグメント上で使っているソフトウエアがセグメント越えに対応していないのです。一般的なルーター機能でのセグメントを超えるVPNもテスト済みで、期待したようにアプリケーションが動きませんでした。また、VLANが組まれ、セグメント相互のセキュリティをフィルターで制御しています。この構成に大きな影響を与えることはできません。そこで、該当するセグメントに中継装置を置いて、別の場所まで延長します。

次回は、実装試験の様子です。