前提

前提としてメール保管形式は、Maildir形式にします。Postfixとdovecotの設定は、以下に設定してください。

Postfix　Maildir形式の設定

vi /etc/postfix/main.cf

#MailDir形式に設定
home_mailbox = Maildir/

設定の反映は、Postfixを再起動してください。

dovecot　Maildir形式の設定

まずdovecotのインストールします。すでにインストールされている場合は、飛ばしてください。

yum install dovecot

以下Maildir形式の設定です。

vi /etc/dovecot/conf.d/10-mail.conf

mail_location = maildir:~/Maildir

設定の反映は、dovecotを再起動してください。

バーチャルメールボックスを設定する方法

バーチャルメールボックスを実現する方法は、3つあります。それは、mydestinationを利用する方法、バーチャルエイリアスを利用する方法、バーチャルメールボックスを利用する方法です。

mydestinationを利用した場合

mydestinationは、宛先、行先を意味しここにドメインを設定するとメールの宛先を見て、設定されているドメインの場合、自サーバに配送されます。ここからどのユーザーに配送するか仕分けします。仕分けは、ドメインを完全に無視しユーザー名のみで仕分けされます。ユーザーは、Linuxで設定されているユーザーのメールボックスに配送されます。

例としてgmail.comと設定した場合、設定されたサーバから送信すると実際のgmail.com宛には配送されず自サーバに配送されます。

vi /etc/postfix/main.cf

mydestination = $myhostname, localhost.$mydomain, localhost,gmail.com

また、後に説明するバーチャルエイリアス、バーチャルメールボックスを設定してもmydestinationで設定したほうが優先され、仕分けもvirtual_alias_maps、virtual_mailbox_mapsで設定していても完全に無視され、Linuxのユーザーに仕分けされるので設定には注意が必要です。

バーチャルエイリアスを設定した場合

バーチャルエイリアスは、宛先のドメインがvirtual_alias_domainsで設定されているものと一致した場合、自サーバに配送されます。そしてvirtual_alias_mapsの記載されている内容を基に仕分けされます。virtual_alias_mapsは、宛先のメールアドレスを基に既存のどのLinuxユーザーに配送するかを記載します。

Postfixの設定

vi /etc/postfix/main.cf

virtual_alias_domains = hogehoge.com
virtual_alias_maps = hash:/etc/postfix/virtual

どのユーザーに配送するか設定する

vi /etc/postfix/virtual

#以下のように[ドメイン] anythingを記述したあとメールアドレスとユーザーを関連付ける
hogehoge.com              anything
newname@hogehoge.com      newname

hash化されたDBを作成します。以下のコマンドで設定が反映します。

postmap /etc/postfix/virtual

宛先のアカウントはadduserで作成しておきます。

バーチャルメールボックスを設定した場合

バーチャルメールボックスは、Linuxのユーザーを使わず独自にユーザーを作成しメールアドレスと関連付けます。Linuxのユーザーと切り分けができるため独立性が高まり、管理もしやすくなります。ユーザーとメールボックスは、Linuxのユーザーを使わないため独自に用意する必要があります。

バーチャルメールボックスは、宛先のドメインがvirtual_mailbox_domainsで設定されているものと一致した場合、自サーバに配送されvirtual_mailbox_mapsの記載されている内容を基に仕分けします。virtual_mailbox_mapsは、宛先のメールアドレス(ユーザー名)を基にどのメールボックスに配送するかを記載します。メールボックスのディレクトリは、virtual_mailbox_baseで設定します。メールボックスのディレクトの権限を持つユーザー、グループは、virtual_uid_maps、virtual_gid_mapsで定義します。

Postfixの設定

vi /etc/postfix/main.cf

#自サーバに配送するドメイン。複数記述する場合カンマで追加
virtual_mailbox_domains = hogehoge.com
#仕分け時に利用する関連付けファイル
virtual_mailbox_maps = hash:/etc/postfix/vmail
#メールボックスのディレクトの権限を持つユーザーID、グループID
virtual_uid_maps = static:10000
virtual_gid_maps = static:10000
#メールボックスのディレクトリ
virtual_mailbox_base = /var/www/vmailbox

メールボックスの作成

#メールボックスのディレクトの権限を持つユーザー、グループを作成
groupadd -g 10000 vmailg
useradd -u 10000 -g vmailg vmail
#バーチャルメールボックスのディレクトリを作成。このディレクトリにユーザーのメールボックスが作成される。
mkdir /var/www/vmailbox
#権限変更
chown -R 10000.10000 /var/www/vmailbox

どのユーザーに、どこのメールボックスへ配送するか記載する

ユーザー名と配送先のメールボックスのpathを記入します。ユーザー名はメールアドレスと同一にします。pathは/ドメイン名/@の前のユーザー名/Maildir/にします。これは後に設定するdovecotの設定と合わすためです。

vi /etc/postfix/vmail

test@hogehoge.com      hogehoge.com/test/Maildir/

hash化されたDBを作成します。以下のコマンドで設定が反映します。

postmap /etc/postfix/vmail

バーチャルメールボックスに対応したdovecotの設定

Postfixの設定で送信されてきたメールは、無事メールボックスに配送されます。しかしユーザーがメーラーでメールを受信するためには、バーチャルメールボックスに対応したdovecotの設定が必要です。

バーチャルメールボックスの設定

dovecotの認証関連の設定を変更します。デフォルトの認証方法は、Linuxのユーザーのみになっているので、dovecotで独自のユーザー情報を利用した認証方法に変更します。このユーザーを利用して先ほど設定したPostfixの設定に対応させます。

dovecotのアカウント情報は、ユーザーDBとパスワードDBで構成されています。DBは、外部のアカウントシステムやファイルを参照することで情報を管理します。今回は、ユーザーDBにstatic(静的にメールボックスのpathを定義)とpasswdfile(認証用ユーザー)、パスワードDBにpasswdfile(認証用ユーザーに対応したパスワード)を使用します。

以下の設定で認証方法を変更します。

vi /etc/dovecot/conf.d/10-auth.conf

#!include auth-deny.conf.ext
#!include auth-master.conf.ext
#認証時のパスフレーズの送信方法を指定。デフォルトは plain。
auth_mechanisms = cram-md5 plain login
#Linuxのアカウントを使って認証を使用する。使わない場合はコメントアウトする。
!include auth-system.conf.ext
#!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#Dovecotの認証データベースを使用する。#を外す
!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-vpopmail.conf.ext
#静的なPathを設定するデータベースを使用する。#を外す。この設定でPostfixのメールボックスに対応させる。
!include auth-static.conf.ext

dovecot独自のユーザーを設定する

以下の設定で独自のユーザー情報が記載されたファイルを定義します。

vi /etc/dovecot/conf.d/auth-passwdfile.conf.ext

passdb {
  driver = passwd-file
  #args = scheme=CRYPT username_format=%u /etc/dovecot/users
  args = scheme=CRAM-MD5 username_format=%u /etc/dovecot/passwd
}

userdb {
  driver = passwd-file
  #args = username_format=%u /etc/dovecot/users
  args = scheme=CRAM-MD5 username_format=%u /etc/dovecot/passwd
}

次は、ユーザーに設定するパスワードを先に作成します。

#パスワード生成コマンド
doveadm pw
Enter new password:←パスワードを入力
Retype new password:←再度パスワードを入力
#生成されたパスワードは後に貼り付けるのでコピーする
{CRAM-MD5}fe8522268d91e485ccac8f36800e4fa6b10363e2a371....

最後にユーザーを作成します。

vi /etc/dovecot/passwd

ユーザー名は、必ずメールアドレスと同一にします。これは、userdbで「username_format=%u」と設定したからです。%uは、メールアドレス全体を表します。これを「username_format=%n」とすると@の前のユーザー名で定義する必要があります。パスワードは、先ほどコピーしたパスワードを貼り付けます。

#ユーザー名:パスワード　で設定
#userdbでusername_format=%uにした場合
test@hogehoge.com:{CRAM-MD5}fe8522268d91e485ccac8f36800e4fa6b10363e2a371....

#userdbでusername_format=%nにした場合は@以降を削除する
#test:{CRAM-MD5}fe8522268d91e485ccac8f36800e4fa6b10363e2a371....

バーチャルメールボックスのPathを設定する

Postfixで設定したバーチャルメールボックスからメーラーで受信できるように設定します。
以下の設定でPostfixで設定したバーチャルメールボックス、ユーザーID、グループIDを設定します。
argsのhomeでメールボックスのpathを定義します。ユーザー名をメールアドレスにすることで変数%dと%nを使うことができます。%dは、ユーザー名の@以後のドメイン名を参照し%nは@の前のユーザー名を参照します。これでメールボックスのpathを動的に定義することができます。

vi /etc/dovecot/conf.d/auth-static.conf.ext

userdb {
  driver = static
  #args = uid=vmail gid=vmail home=/home/%u
  #Postfixで設定したバーチャルメールボックス、ユーザーID、グループIDを記載する
  #%dはユーザー名の@以後のドメイン名、%nは@の前のユーザー名
  args = uid=10000 gid=10000 home=/var/www/vmailbox/%d/%n
}

特殊変数の詳しい説明はこちら
https://doc.dovecot.org/configuration_manual/config_file/config_variables/#config-variables

dovecotを再起動すると設定が反映され、メーラーからメールを受信することができます。

前回までは「mynetworks」で設定したネットワーク内でしか外部送信できませんでしたが、今回は、「mynetworks」以外から送信をできるようにします。それを実現するためにSMTPに認証機能(SMTP-AUTH)を実装します。まずはSMTP-AUTHとはなにか理解する必要があります。

SMTP-AUTHとは

スパムメールがなかった時代、メール送信サーバは、認証などなくだれでも送信できる状態でした。しかしスパムメールが流行りだすと誰でも送信できないようにメール送信にも認証が必要になりました。当初は、そのような認証機能がなかったため、POP認証の機能を使い代用していました。それが「POP before SMTP」です。そして現在では、送信サーバは、自前の認証機能を持つようになりました。それが「SMTP AUTH」です。「SMTP AUTH」は、「SASL」をいうライブラリ(フレームワーク)を使って認証システムを実現しています。

SASL

SASLはSimple Authentication and Security Layerの略で認証システムを実現するライブラリ(フレームワーク)です。Postfixだけでなくさまざまなアプリケーションで使用されています。SASLは主に「Cyrus-SASL」と「Dovecot-SASL」というライブラリを使用しています。

Dovecot-SASL

今回は「Dovecot-SASL」ライブラリを使用して認証システムを実現します。Postfixはdovecotと親和性が高く、アカウントを共有することができます。POP認証用とSMTPの認証を一元管理することができます。ちなみに「Cyrus-SASL」はSMTP用とPOP用の2種類別々に管理する必要があります。

PostfixのSMTP AUTHの設定

まずはPostfixの設定から。「smtpd_sasl_type」をdovecotに指定することで「Dovecot-SASL」ライブラリが使用できます。

vi /etc/postfix/main.cf

##smtpauth setting
#SASL認証を有効にする
smtpd_sasl_auth_enable = yes
#RCPT TO コマンドへの対応方法を制御
#mynetworksで定義したものを許可、認証成功している場合許可、認証失敗は拒否
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
#Anonymous認証を拒否
smtpd_sasl_security_options = noanonymous
#outlookでSASL認証を使えるようにする。
broken_sasl_auth_clients = yes
#SASL認証で利用するレルム(ドメイン)を指定
smtpd_sasl_local_domain = $myhostname
#Dovecot-SASLを使用する
smtpd_sasl_type = dovecot
#Dovecot-SASLで使用するソケットファイル
smtpd_sasl_path = private/auth
#VRFYコマンドを無効化
disable_vrfy_command = yes

dovecotのインストール

まずは、POPサーバのアプリケーション、dovecotをインストールします。SMTPの認証に「Dovecot-SASL」を使用するとアカウント情報をdovecotに合わすため、dovecotをインストールする必要があります。

yum install dovecot

dovecot側のSMTP AUTHの設定

Postfix側が指定のソケットを通じてdovecotのアカウント情報にアクセスできるように設定します。
これでPostfixがdovecotのアカウントを使って認証することができます。

vi /etc/dovecot/conf.d/10-master.conf

  # Postfix smtp-auth
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }

dovecotの認証情報の確認

dovecotの認証に使っているアカウント情報がどこか確認します。デフォルトではLinuxのユーザーを使用しているので念のため確認します。「!include auth-system.conf.ext」がコメントアウトされていなければ問題ありません。ここがコメントアウトされている場合は、Linuxのユーザーを使用しない設定になっています。

vi /etc/dovecot/conf.d/10-auth.conf

#!include auth-deny.conf.ext
#!include auth-master.conf.ext
auth_mechanisms = plain login
#Linuxのアカウントを使って認証
!include auth-system.conf.ext
#!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-vpopmail.conf.ext
#!include auth-static.conf.ext

次回はバーチャルメールボックス(バーチャルホスト)の設定を説明します。

クライアントからメールを送るとメールサーバはそのメールを送信先へ配送します。配送されたメールは最終的に送信先の受信ボックスに届けられます。送信先のクライアントはメールを受け取るためサーバにアクセスし受け取ります。

この一連の流れではそれぞれ役割が分担されていて、バケツリレーのようにメールを配送していきます。そしてそれぞれの役割を理解することでメールの技術的なことを基本から理解することができます。

その役割は4つに分けられそれぞれ名前がついています。

■MUA(Mail User Agent)
メールを送受信するクライアントのこと。Thunderbirdやoutlookなどのメーラーがその役割を担当します。プロトコルはSMTP、POP3など。

■MTA（Mail Transfer Agent）
メールの配送・転送するサーバのこと。Postfixが担当します。プロトコルはSMTP。

■MDA（Mail Delivery Agent）
メールボックスにメールを配送するサーバのこと。Postfixが担当します。プロトコルはSMTP。

■MRA（Mail Retrieval Agent ）
配送されたメールをMUAに渡すサーバのこと。dovecotが担当します。プロトコルはPOP3など。

今回設定するPostfixはMTA、MDA、dovecotはMRAになります。これらを意識して設定すると理解力が上がります。

Postfixの設定

全体像を理解した上でPostfixの設定を行っていきます。SSHでサーバにログインしPostfixを起動します。

service postfix start

ローカルからの送信時のFromの値を設定する [mydomain]と[myorigin]

起動するとメールを送信することができますが、デフォルトではローカルからでしか送信できません。とりあえずサーバからメールを送信してみましょう。mailコマンドで送信します。送信先は任意で設定し送信してください。

#メールコマンド
mail 送信先メールアドレス

mail test@hogehoge.com
Subject: test
test
.

メールを受信しメールの内容を確認すると差出人(from)がサーバのドメインになっていると思います。これはPostfixのmyoriginの設定がそのようになっているからです。この値を変えることでローカルからのメールを送信した場合、Fromの値を変えることができます。

vi /etc/postfix/main.cf

mydomain = sample.com
myorigin = $mydomain

ログインしているアカウントがrootの場合、fromの値はroot@sample.comになります。myoriginの設定はそれほど重要ではないのでデフォルトのままで結構です。mydomainの値はweb-creators-hub.comなど任意のドメインを設定します。

外部からPostfixに通信できるようにする

デフォルトではPCからPostfixに通信することができません。これを解決するためにはiptables、OP25B対策、postfixの設定を行います。
 

iptableで25番と587番を開放

iptablesの設定を変更しポートを開放します。

vi /etc/sysconfig/iptables

-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 587 -j ACCEPT

再起動し反映。

service iptables restart

ここを開放してもまだ通信できせん。次にpostfixの設定を変更します。
 

inet_interfacesの設定

この設定を変更しないと外部から送信できません。これはポートがlocalhostからしかバインドできずLISTEN状態になっていないからです。これはnetstatコマンドで確認することができます。

netstat -ant | grep LISTEN

tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN

これを外部からバインドできるように設定変更します。

vi /etc/postfix/main.cf

#inet_interfaces = localhost
inet_interfaces = all

この設定はiptablesのような効果があります。ここをallにすると25番ポートとバインドでき通信ができるようになります。
設定を反映するため再起動します。

service postfix restart

もう一度ポートの状態を確認します。

netstat -ant | grep LISTEN

tcp        0      0 0.0.0.0:25                0.0.0.0:*                   LISTEN

これで外部からバインドできるようになりました。
 

OP25B対策

OP25B対策としてPostfixに587番ポートを使って通信できるように設定します。

vi /etc/postfix/master.cf
#submission inet n - n - - smtpd
#↓
submission inet n - n - - smtpd

再起動します。

service postfix restart

これで587番ポートがListen状態になり通信できるようになります。
念のためnetstatで状態を確認します。

netstat -ant | grep LISTEN

tcp        0      0 0.0.0.0:25                0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:587                 0.0.0.0:*                   LISTEN

587番ポートがListen状態になっています。
 

通信テスト

それでは実際に通信できるかクライアントからtelnetを使って通信します。

telnet sample.com 587
220 ～ Postfix

応答が返ってきたら通信成功です。

PCからメールを送信できるようにする

Postfixと通信できるようになりましたが、まだPCから送信することができません。これはデフォルトの設定で「ローカルのみ送信可能」という設定になっているためです。この設定を変更し送信できるようにします。以下の「mynetworks」がこれにあたります。

この設定にネットワークIPをを記入すると無条件(パスワードなどの認証なし)で配送する項目になります。そのためこの設定をミスると踏み台に利用されるため注意が必要です。

vi /etc/postfix/main.cf

#mynetworks = 127.0.0.0/8
mynetworks = 192.168.0.0/16
relay_domains = $mydestination

デフォルトでは「mynetworks」に127.0.0.0/8が記入されているので自サーバからしか送信することができません。これを「mynetworks = 192.168.0.0/16」に設定すると192.168.～からのIPアドレスに限り無条件で配送する設定になります。

「relay_domains」は無条件で配送する送信先ドメイン(to)を設定します。例えばここに「gmail.com」と設定するとgmail.comを送信先とするメールは無条件で配送されます。

この二つの設定は、基本的にデフォルト設定で問題ありません。特にVPSなどで設定する場合は、プライベートアドレスを設定する場面が少ないため設定することがありません。「mynetworks」以外からの送信は、次回に紹介する認証機能(SMTP-AUTH)を使用して送信します。
 

「mynetworks」の設定する場面

プライベートネットワーク内でなにかしらのシステムが管理者にアラートを通知するときなどによく使われます。

つづきはこちら

サーバの監視アラートが発報されサーバが落ちていることが発覚し調査した。SSHでの接続は不可能だったので、さくらVPSのコントロールパネルから状態を確認。画面には「kernel panic」の文字。操作できなかったのでコンパネ上から再起動しサーバは復帰した。

原因究明

messagesログを確認すると「httpd invoked oom-killer: ～」というログを発見。どうやらメモリが枯渇しサーバが落ちた模様。以下が障害の流れ。

メモリ枯渇→oom-killer→カーネルパニック

oom-killerとは

物理メモリ、スワップメモリが枯渇したとき、システム全体に最も影響の与えてるプロセス(メモリを一番使っている)を選択しkillするプログラムのこと。init プロセスやカーネルスレッドなどは OOM Killer 発動対象外。

スワップメモリ追加

メモリは物理が4G、スワップが2G。スワップメモリがかなり少なかったので応急処置としてスワップメモリを6Gに増やした。

# dd if=/dev/zero of=作成ファイル bs=ブロックサイズ count=ブロック数
dd if=/dev/zero of=/var/swpfile4G bs=1M count=4096

ddコマンドで4Gの空ファイルを作成する。

mkswap /var/swpfile4G

mkswapでフォーマットしスワップとして使用できるようにする。

chmod 600 /var/swpfile4G

このままでは権限のエラーがでるのでパーミッション変更。

swapon /var/swpfile4G

スワップ領域を割り当てる

free

freeコマンドで確認。

vi /etc/fstab
#最終行に以下を追加
/var/swpfile4G          swap                    swap    defaults        0 0

OS再起動時に追加したSwap領域がマウントするようにfstabファイルを編集。

プロセスチェック

以下のコマンドを利用してメモリを使っているプロセスを割り出した。調査すると落ちたサーバがWEBサーバとして利用していることもあり「httpd」が一番怪しかった。Apacheの設定を確認すると「MaxClients」の値が256あり、1プロセス当たりのメモリ使用量が50Mの場合、12Gのメモリを使用することになり完全に枯渇することがわかった。

#ランキング
ps -eo comm,rss | sort -rn -k 2 | head -n 50

#指定プロセスの物理メモリ(RSS)合計
ps -eo rss,comm | awk 'BEGIN {SUM=0} {if ($2 == "[プロセス名]"){ SUM+=$1 }} END {printf("%dMB\n", SUM/1024)}'

#指定プロセス数
ps -eo rss,comm | awk 'BEGIN {COUNT=0} {if ($2 == "[プロセス名]"){ COUNT+=1 }} END {print COUNT}'

#指定プロセスの物理メモリ(RSS)平均
ps -eo rss,comm | awk 'BEGIN {SUM=0;COUNT=0} {if ($2 == "[プロセス名]d"){ SUM+=$1;COUNT+=1 }} END {printf("%dKB\n", SUM/COUNT)}'

#指定プロセスの物理メモリ(RSS)最大
ps -eo rss,comm | awk 'BEGIN {MAX=0} {if ($2 == "[プロセス名]"){ if (MAX < $1) { MAX=$1 }}} END {print MAX}'

#指定プロセスのCPU使用率
ps -eo %cpu,comm | awk 'BEGIN {SUM=0} {if ($2 == "[プロセス名]"){ SUM+=$1 }} END {print SUM}'

ちなみに主要プロセスのメモリ使用量は以下になった。
Postfixメモリ使用量:約33MB
PHPメモリ使用量 :0MB
MySQLメモリ使用量 :75.51 MB
httpdメモリ使用量 :443.44 MB
clamメモリ使用量 :806.4 MB

clamがメモリの使用量が大きかったので一旦停止した。

Apacheのチューニング

プロセスチェックの結果からApacheの設定に問題があることがわかりチューニングした。
以下チューニングに関係するディレクティブ。

・StartServers
Apache起動時の子プロセス数

・MinSpareServers
待機時の最小子プロセス数

・StartServers
Apache起動時の子プロセス数

・MinSpareServers
待機時の最小子プロセス数

・MaxSpareServers
待機時の最大子プロセス数

・ServerLimit
設定可能なサーバプロセス数の上限

・MaxClients
最大の小プロセス数

・MaxRequestsPerChild
1子プロセスが処理するリクエスト数(上限を超えると新しいプロセスに入れ替わる)

実際設定したのは以下の設定。

サーバが落ちた時の設定内容(デフォルト値)
<IfModule prefork.c>
StartServers         8
MinSpareServers         5
MaxSpareServers     20
ServerLimit     256
MaxClients     256
MaxRequestsPerChild  4000
</IfModule>

↓

<IfModule prefork.c>
StartServers         25
MinSpareServers         25
MaxSpareServers     40
ServerLimit     105
MaxClients     100
MaxRequestsPerChild  1000
MaxMemFree           2048
</IfModule>

「MaxSpareServers」はメモリが枯渇しないように設定。「MaxClients」は始め50ぐらいに設定していたが、すぐに上限に到達したので(apacheのエラーログでわかる)調整し100ぐらいに落ち着いた。

Zabbixでプロセスの監視

Zabbixでプロセスの監視をすることにした。今後これらの値を参考にさらなるチューニングなどに生かしていく。
テンプレートを作成しアイテムを追加する。

以下プロセスのメモリ容量を監視。

・postfixメモリ使用量
・phpメモリ使用量
・mysqldメモリ使用量
・httpdメモリ使用量
・clamメモリ使用量

あとはapacheのプロセス数、1プロセス当たりの平均メモリ使用量を監視。

プロセス名メモリ使用量

アイテム追加

名前:プロセス名メモリ使用量
タイプ:エージェント
キー:proc.mem[プロセス名,,sum,,rss]
データ型:数値(整数)
データ形式：10進数
単位：B

プロセス名はpostfix、php、mysqld、httpd、clamを入れる。

httpdの1プロセス当たりの平均メモリ使用量

アイテム追加

名前:httpdメモリ使用量平均
タイプ:エージェント
キー:proc.mem[httpd,,avg,,rss]
データ型:数値(整数)
データ形式：10進数
単位：B

httpdプロセス数

アイテム追加

名前:httpdプロセス数
タイプ:エージェント
キー:proc.num[httpd,,,]
データ型:数値(整数)
データ形式：10進数

Zabbixでログ監視

ログを監視し問題のあるものはアラートを飛ばす設定にした。
テンプレートを作成しアイテム追加、トリガーを追加する。

messages監視

以下の設定でmessagesログを監視し「oom-killer」が出たらアラートを飛ばすようにする。

アイテム追加

名前:messagesログ監視
タイプ:アクティブ
キー:log[/var/log/messages,,,,,]
データ型:ログ

トリガー

名前:OOM killer が発動されました。
条件式:
{Template linux logs:log[/var/log/messages,,,,,].regexp(oom-killer)}=1 and 
{Template linux logs:log[/var/log/messages,,,,,].nodata(10m)}=0

apacheのエラーログ

以下の設定でapacheのエラーログを監視し「MaxClients」が出たらアラートを飛ばすようにする。
このアラートは、apacheのプロセス数が「MaxClients」の値に到達したことを意味し再チューニングの参考にできる。

・アイテム

名前:apache error_log
タイプ:アクティブ
キー:log[/var/log/httpd/error_log,,,,,]
データ型:ログ

トリガー

名前:apacheのプロセスが上限に達しました。
条件式:
{Template linux logs:log[/var/log/httpd/error_log,,,,,].regexp(MaxClients)}=1 and 
{Template linux logs:log[/var/log/httpd/error_log,,,,,].nodata(10m)}=0
説明:
apacheのプロセスが上限に達しました。

今後

・MySQLなどの設定もデフォルト値のままなので見直す必要がある。
・サイト数が40サイトぐらいあるサーバなのでapacheのログを集計しどのサイトがアクセス数が多いかを把握し対応(サーバ移行など)する必要がある。

SSLProtocol All -SSLv2 -SSLv3 -TLSv1

しかしバーチャルホストの設定をしている場合、設定するドメインのみ無効化の設定をしても反映されません。ssl.confなどSSLの設定をしているすべてのドメインに設定する必要があります。

検索して設定が必要なファイルを探す

SSLの設定をしているドメインを検索します。

cd /etc/httpd/conf.d/
grep "SSLEngine" *.conf

検索に引っかかったファイルにSSL3の無効化設定を行います。

設定確認

設定の確認にはコマンドを利用した方法とSSLの安全性をチェックできるサイトを利用する方法があります。

・コマンドの場合

openssl s_client -ssl3 -connect [ドメイン]:443

・サイトを利用する場合
Qualys SSL Labs
https://www.ssllabs.com/ssltest/

指定プロセスの物理メモリ(RSS)合計

ps -eo rss,comm | awk 'BEGIN {SUM=0} {if ($2 == "httpd"){ SUM+=$1 }} END {printf("%dMB\n", SUM/1024)}'

指定プロセス数

ps -eo rss,comm | awk 'BEGIN {COUNT=0} {if ($2 == "httpd"){ COUNT+=1 }} END {print COUNT}'

指定プロセスの物理メモリ(RSS)平均

ps -eo rss,comm | awk 'BEGIN {SUM=0;COUNT=0} {if ($2 == "httpd"){ SUM+=$1;COUNT+=1 }} END {printf("%dKB\n", SUM/COUNT)}'

指定プロセスの物理メモリ(RSS)最大

ps -eo rss,comm | awk 'BEGIN {MAX=0} {if ($2 == "httpd"){ if (MAX < $1) { MAX=$1 }}} END {print MAX}'

プロセスメモリ使用率ランキング top50

ps -eo comm,rss | sort -rn -k 2 | head -n 50

指定プロセスのCPU使用率

ps -eo %cpu,comm | awk 'BEGIN {SUM=0} {if ($2 == "httpd"){ SUM+=$1 }} END {print SUM}'

read 入力を受け付ける

readコマンドでユーザーから入力を受け付ける部分を作成します。オプション「-p」を付けると入力する前に表示するプロンプトの文字を設定できます。

・使用例

echo "+-------------------------------------------------------+"
echo "文字を入力してください。"
echo "+-------------------------------------------------------+"
read -p ":" INPUT_STR
echo "入力した文字は[$INPUT_STR]です。"
read -p "ENTERキーを押してください。"

while true do done で無限に繰り返す

while trueにすれば無限に繰り返します。これを利用して確認から文字入力に戻るところを再現します。繰り返しのループから抜けるにはbreakを使用します。

・使用例

#!/bin/bash
i=0
while true
do
  echo $i
  i=`expr $i + 1`
  if [ $i -eq 10 ]; then
    break
  fi
done

case

caseを利用して確認画面のYes、noの処理を作成します。

・使用例

#!/bin/bash
read -p " (y/n):" CHECK_YN
case "$CHECK_YN" in
[yY])
    echo "YES"  
;;
[nN])
    echo "NO"
;;
esac
read -p "ENTERキーを押してください。: "
clear

文字入力→確認→完了

「read」「while」「case」を使って任意の文字入力→確認→完了 を完成させます。
以下がサンプルコードになります。

#!/bin/bash
while true
do
clear
echo "+-------------------------------------------------------+"
echo "文字を入力してください。"
echo "+-------------------------------------------------------+"
read -p ":" INPUT_STR
echo "+-------------------------------------------------------+"
echo "入力した文字は[$INPUT_STR]でよろしいですか？"
echo "+-------------------------------------------------------+"
read -p " (y/n):" CHECK_YN
case "$CHECK_YN" in
  [yY])
echo "+-------------------------------------------------------+"
echo "完了しました。"
echo "+-------------------------------------------------------+"
  ;;
  [nN]) echo "作成はキャンセルされました。" ;;
esac

read -p "処理を終了しますか? (y/N): " yn
case "$yn" in
  [yY]) break
  ;;
esac
done
read -p "ENTERキーを押してください。: "
clear

SSHとはサーバをリモートで操作するプロトコルです。ポートはデフォルトで22番を利用します。現場ではリモートでLinuxのサーバを操作するために利用されます。SSHの略は「Secure SHell」です。Secureと言う単語あるようにSSHでアクセスすると通信はすべて暗号化され盗聴されません。認証方法はパスワード以外にも公開鍵認証が利用されます。これはデータを暗号化する公開鍵とデータを復号（解読）する秘密鍵を使って通信する暗号化方式です。公開鍵と秘密鍵はペアになっています。

公開鍵認証でアクセスする方法を紹介します。

前提

クライアントにはWindows10を利用します。サーバはLinux CentOS6または 7での解説になります。

クライアント：Windows10 (GitBashインストール)
サーバ　　　：Linux CentOS6 or 7

windowsで秘密鍵と公開鍵を作成

1.GitBashをインストール

Windowsで秘密鍵と公開鍵を作成するには「GitBash」を利用します。これはWindowsでBash(linuxのコマンド)が利用できる地味にすごいツールです。これを以下のURLからダウンロードしインストールします。すでにインストールされている人は飛ばしてください。

https://gitforwindows.org/

インストール画面はすべて「next」でOKです。

Git Bashを起動し秘密鍵・公開鍵を作成

プログラムメニューから「Git Bash」を起動します。起動後、以下のコードを入力し秘密鍵・公開鍵を作成します。「.ssh」フォルダはデフォルトの鍵の保存場所になります。

秘密鍵・公開鍵の作成

ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/c/Users/[username]/.ssh/id_rsa): <-- 鍵を保存するフォルダ（ Enterキー ）
Created directory '/c/Users/[username]/.ssh'.
Enter passphrase (empty for no passphrase): <-- パスフレーズを入力（ Enterキー ）
Enter same passphrase again: <-- もう一度、パスフレーズを入力（ Enterキー ）
Your identification has been saved in id_rsa.
Your public key has been saved in id_rsa.pub.

ssh-keygenのコマンドを入力すると秘密鍵・公開鍵のペアを作成することができます。オプションを何も入力しない場合は、暗号化方式はRSA、鍵の長さは3072で作成されます。鍵の強度は鍵の長さが2048以上、暗号化方式はRSAであれば問題ありません。パスワードを入力するのが面倒な場合パスフレーズをなしにします。その場合パスフレーズを何も入力せずにEnterキーを押します。

保存場所や鍵の名前などなにも指示しない場合、秘密鍵と公開鍵は以下のフォルダに作成されます。
c:\Users[username].ssh\id_rsa　　 （秘密鍵）・・・ クライアントPCに配置
c:\Users[username].ssh\id_rsa.pub （公開鍵）・・・ 接続対象サーバに登録

ちなみに鍵の強度は以下のコマンドで確認することができます。
ssh-keygen -l -f ~/.ssh/id_rsa.pub

公開鍵をサーバに渡す

作成した公開鍵をサーバに渡します。渡し方は公開鍵のファイルを開いて中身をコピーし
貼り付けてもいいですが、今回はscpコマンドを使ってサーバに渡します。scpコマンドはリモートにデータをコピーするコマンドです。コピーするコマンドcpにsshのsがついています。これで盗聴されずに安全にサーバにコピーができます。

それでは「Git Bash」でscpコマンドを使って公開鍵をサーバにコピーします。前提としてサーバー側に.sshディレクトリを作成しておきます。その後以下のコマンドを入力します。

scp ./id_rsa.pub user@host:~/.ssh/authorized_keys

サーバにログインし「.sshフォルダ」と「authorized_keys」のパーミッションを変更します。

cd ~
chmod 700 .ssh
cd .ssh
chmod 600 authorized_keys

SSHの設定を変更

公開鍵認証できるようにサーバ側のsshの設定を変更します。

vi /etc/ssh/sshd_config
以下の行のコメントをはずして有効化する。

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
↓
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

変更後sshを再起動します。
service sshd restart

SSHで認証する

それでは設定がうまくいっているか秘密鍵を使ってサーバにログインします。

ssh アカウント名@ホストIPアドレス

例rootユーザーでIPアドレス192.168.1.110の場合
ssh root@192.168.1.110

初回ログインのみ「このサーバを信頼していいか」という警告メッセージが英語で表示されます。フィンガープリントと呼ばれるハッシュ値が表示され、本当に接続していいですか？と確認してくるので「yes」と入力します。

本来ならサーバに公開鍵を渡す前にフィンガープリントを事前にメモっておき警告時に表示されたフィンガープリントの値と一致するか確認するのですが面倒なのでほとんどの場合はyesと答えておきます。

一度YESと答えると次回から聞いてきません。一度接続するとフィンガープリントはクライアントPCの「~/.ssh/known_hosts」ファイルに保存されます。

configファイルはssh接続情報を定義して保存するファイルです。これを設定すると接続するホスト情報を簡略化できたり接続が簡単になります。

業務でデカイファイルがあると連絡があり調べてみると「25,000,000」という単位があり「これ25Gぐらいあるの？」という質問にすぐに回答できなかった。そこで単位を見やすくするために

ls -lh

コマンドで確認すると25MBだった。感覚で判断すると、とんでもない間違いをしてしまう。見やすくするのは大事だと感じた。

オプションhは何の略？

調べてみると「human-readable」。「人間が読めるようにするよ」という意味だった。まさかの「human」の「h」だとは思わなかった。

hを使う他のコマンド

ほかには

du -f

ディレクトリの容量を調べるコマンド

df -f

ディスクの容量を調べるコマンド

で使います。こちらのほうが単位に直結しているのでよく使うと思います。

クライアントから電話で「メールが受信しない」とのことで調査しました。その時の対応をまとめてみました。サーバ管理をしているとよくあるトラブルなのですが、たまに忘れるので記録しておきます。

基本はメールログを確認する方法まとめています。メールサーバはPostFix+dovecotでログファイルは「/var/log/mailog」で確認できます。

/var/log/maillogを確認する

POPサーバにアクセスしているかgrepコマンドを使ってログを確認していきます。

#正常にログインしているかどうか
[root@local ~]#cat /var/log/maillog | grep "pop3-login: Login: user=<username>"
#正常にログアウトしているか
[root@local ~]#cat /var/log/maillog | grep "pop3(username): Disconnected: Logged out"

「username」の部分は受信できないアカウント名を記入します。受信できている場合は下記のように表示されます。

#正常にログインしている場合
Nov  9 0:42:11 mailserver dovecot: pop3-login: Login: user=<username>,
method=PLAIN, rip=接続元IPアドレス, lip=サーバのIPアドレス, mpid=*****

#正常にログアウトしている場合
Nov  9 0:42:11 mailserver dovecot: pop3(username): Disconnected: Logged out
top=0/0, retr=4/686581, del=0/23, size=132808

正常にログインされている場合は「pop3-login: Login: user=」と表示されます。
「method=PLAIN」は認証方法、「rip」は接続元IPアドレス、「lip」サーバのIPアドレスになります。

正常にログアウトしている場合は、「Disconnected: Logged out」と表示されます。
top=0/0
top=topコマンドの実行回数/topコマンドで転送されたバイト数

retr=4/686581
retr=メールの受信(ダウンロード)数/受信したバイト数

del=0/23
del=メールを削除した件数/サーバに保存されているメール件数

size=123808
size=メールボックスのバイト数

ログインやログアウトを失敗している場合のエラー

パスワードが間違ってログインできていない場合

Nov  9 0:42:11 mailserver dovecot: pop3-login: Aborted login: user=<username>,
method=PLAIN, rip=接続元IPアドレス, lip=サーバのIPアドレス, mpid=*****

パスワードが間違っている場合は「Aborted login: user=」が表示されます。

ログアウトが正常にされていない場合

Nov  9 0:42:11 mailserver dovecot: pop3(username): Disconnected: 
top=0/0, retr=0/0, del=0/23, size=987

「Logged out」の文字がない場合は正常にログアウトされていません。

ログ以外に確認する方法

実際にサーバの受信ボックスの中身を見て受信されているか確認することもできます。
MailDir形式の場合は「/home/username/Maildir/」から確認できます。

未読メールを確認する

[root@local ~]#ls -l /home/username/Maildir/new/

「new」ディレクトリでまだ受信していないメールを確認することができます。

既読メールを確認する

[root@local ~]#ls -l /home/username/Maildir/cur/

「cur」(カール)ディレクトリで受信(ダウンロード)したメールを確認することができます。