アーカイブ

Archive for 2013年4月

Fedora18のApache2.4の罠

Fedora17までApache2.2がデフォルトだったのですが、Fedora18からApache2.4がデフォルトとなりました。
その影響でACL周りが大幅に変更され、以前の設定が機能しなくなります
場合によってはアップグレードの結果全てのACL設定が無効になって公開されてしまう可能性があるので注意。
(具体的には/var/www/htmlの下や~/public_htmlあたりはデフォルトがAllowなので.htaccessに書いてあったACLが無効になってしまう可能性有。)

さて、今まで当然のように使っていた

Order allow,deny
allow from 192.0.2.0/24
deny from all

ですが、一応mod_access_compatで提供されるもののApache2.4では使用が推奨されません。
Fedora18のApacheではデフォルトでは使用できないようです。デフォルトがDenyのところをDirectoryでAllowしても

[authz_core:error] [pid 25916] [client 192.0.2.100:50340] AH01630: client denied by server configuration:

となりました。
新しいmod_authz系だけではこの記述を無視するようです。

ホワイトリストの新しい書き方は

Require ip 192.0.2.0/24

のようです。
逆に、ブラックリストは

<RequireAll>
Require not ip 192.0.2.100
Require all granted
</RequireAll>

とします。ちょっと掴みづらい。
ipではなくhostとするとドメイン名を指定できます。「host」なのにドメイン。ipは単純なIPv4/v6アドレスの他、prefix表記のサブネット、mask表記のサブネットも受け付ける模様。
RequireAllとRequireAny、RequireNoneを組み合わせて複雑な指定が可能になった上、
意味のない指定(RequireAnyの中でall grantedとnot ipを同時に記述するなど)をすると500を吐いてアクセスできなくなります。安全側に倒しているということでしょう。

公式の移行ガイドはこちら
mod_authz_coreのマニュアルmod_authz_hostのマニュアルも参照。

カテゴリー:GNU/Linux タグ: ,

3DSのDSエミュレーションモードはWPA/WPA2で通信できない

思わず「ざあぁっけんな!」と叫んでしまった事実。
3DSを購入し、家族のWEP排除が完了し、
自宅ネットワークからついにWEPが追い出せると思ったらこれである。

3DS/たぶん3DSLLを使用している場合、「高速・高セキュリティ無線通信機能対応」を含む全DSソフトはWPA2での通信ができない。DSiでは当然できる。
どうして・・・こうなった・・・エミュレーションモードが本当に「DS」をエミュレーションしているのか・・・
アップデートでの改善に・・・期待できないなぁ・・・

カテゴリー:未分類

VPNのソースアドレス関係でルーティングテーブルと戦った

どうしてこんな構成にしてしまったのか。
vpn-gw用インターフェイス 192.168.1.250 (eth0)
管理用インターフェイス 192.168.122.137 (eth1) → natで192.168.1.137
デフォルトゲートウェイ 192.168.122.1

さて、この状況下でvpn-gwにインターネットからパケットが来ると当然送り返しはデフォルトゲートウェイになる。
すると困ったことに192.168.122.1は知らないので捨ててしまう。

それではデフォルトゲートウェイを192.168.1.1に変えてしまうとどうなるかというと、
192.168.1.0/24から192.168.1.137に対してsshをしたりなんかすると、帰りは192.168.1.250から出て行ってしまう。

正解はpolicy routingを使用して出口を切り分ける。
1. /etc/iproute2/rt_tablesに250 vpnと追記
2. /etc/sysconfig/network-scripts/route-eth0に以下の通り記述。これはそのままルーティングテーブル。

192.168.1.0/24 dev eth0 table vpn
default via 192.168.1.1 table vpn

3. /etc/sysconfig/network-scripts/rule-eth0に以下の通り記述。192.168.1.250に来た物はvpnルーティングテーブルにしたがって送り返せ、という意味らしい。

from 192.168.1.250 table vpn

4. service network restart

これで無事に切り替わった。

カテゴリー:GNU/Linux

Fedora18でノートPCを閉じた時の挙動を変える

旧ノートをバックアップサーバーとして活用するべくFedora18をクリーンインストールしました。
昔は画面を閉じてもサスペンドに入らなかったのですが、Fedora18では蓋を閉じるとスリープしてしまいこれではサーバーにならん。
ということで設定を変えました。
日本語の情報が尽く古く、systemd以前の情報しか出てこないのですが、最近のFedoraでは
/etc/systemd/logind.confで、
HandleLidSwitch=ignore
にすれば良いようです。
systemd-logindをrestartして画面を閉じてスリープしないことを確認。

カテゴリー:GNU/Linux タグ: , ,