mike, tamaの更新

27日に書いたようにtamaのHDを丸ごとコピーして新しいG5 2GHz マシンが動くようだ。tamaでテスト中。tamaはproxy だからテスト期間中のデータを破棄してしまうが問題ない。
そこで手順
1)ハードディスクの設置。インストールDVDで起動、パスワードの設定。初期化。来週木曜日16時までに。HDの納品がいつになるかによる。
1)ユーザへの予告 来週はスケジュールがつまっているから木曜日16時から3時間とする。
2)予告時刻にネットから切り離す。
3)新しいG5をターゲットモードで起動
4)SliverKeeper でコピー。内臓HDで起動することを確認 3時間かかるだろう。
5)旧mikeをシャットダウン。棚から排除。
6)新mikeを棚に設置。起動。
現在のmikeのHDがホットスワップが可能だったら遮断時間がもっと短くできるがしょうがない。ネットワーク遮断しないと、移行中に来たメールをなくしてしまうからな。

mちゃんの更新

現在のmはPowerMacG4 (PCI Graphics) 400MHz 512MBRAM という前時代的遺物で動いているのだ。
HD2を2台内臓させ、毎日1回ミラーしている。起動HDがこけたらミラー先のHDから起動させれば最大24時間前のデータを失うが、こけたのが判明してmの傍に立ったら20分以内に回復できる。こけたのが判明してからmの傍にたどり着く時間は管理者がどこにいるかで変化する。
影武者として全く同一スペックのtamaを用意してあり、mike本体がこけたらmのHDをtamaに移動させれば1時間以内に回復できる。t を影武者としてそのままなにもせずに置いておくのは意味がないからtはproxyサーバとしてうごかしている。
これが今現在のシステムである。
PowerMacG5  2GHz 512MBRAM を2台手に入れた。したがって今まで同様の運用ができる。内臓HDが1ヶしかないから最低同じ容量のHDが2つ必要だ。
問題は現在のファイルをどうやって移動するかだ。現在のHDはATTなのでそのままつかえない。
使っているのは20GBもない。新しく手に入れたG5の内臓のHDに現在のシステムをそのままコピーして、起動できたらうれしいな。G5のデスクトップはFirewireで外付けHDとして動作するのだろう。そうだとしたら最も簡単だ。
そうでないと、どのファイルを移行していいのかわからん。再構築しないといけないかもしれない。大変な作業になる。
取りあえずはtをコピーして...
できたできた。
新しいG5のHDをOSXサーバインストールディスクで起動し、rootパスワードを変更してから、ディスクユーティリティで初期化し、firewire taraget disk として起動し(t キーを押しながら起動する)、firewire でtに接続し外付けHDとして認識させ、SilverKeeper で丸ごとコピーし、再起動させた。再起動は無事できて、ip address などもtのままコピーされたことを確認した。
したがって、この方法で 移行できるようだ。mike のネットを切って、新しいメールが着信しないようにして、コピーを開始し、入れ替えてネットに接続すればいい。コピーにかかる時間だけ、mは落ちることになる。3時間くらいかな。このへんがFreeBSD(UNIX)のいいところだ。機種を選ばない。Windows だとこうはいかないだろう。
というわけで、SATA 500 GB HD 4台(m と tに2台ずつ)注文。RAMも2GBにするように注文。合計7万円。

umin.ac.jp のくそったれ

m からumin.ac.jp に送信されるメールは届かない。umin.ac.jp はspam メールを防ぐためにenvelope のfrom 欄のドメインを読み、大学中央 のsmtpサーバにそんなドメインがあるか?と尋ねるのだ。で大学のsmtpサーバはそんなドメインはないと答える。当然だ。登録していないからね。m はk に信用されているので、kがリレーしてくれる。それだけでいいはずである。umin.ac.jp がfrom なんかを読んで処理するからいけない。from 欄なんか自由に書き換えられるのでspamメール対策になんかならないぞ。
umin.ac.jp だけだから対策をどうするかは迷っている。大学に届ければそれでいいけどね。別にこそこそ運用しているわけではないからね。
医学のネットワーク内でもk以外にもうひとつサーバがあると、トラブルの原因を探るのに便利だからね。

mでのメール・ウイルス・チェック

メーリングリストが遅い。前からわかっていたが、いよいよどうしようもないので、調べたら、どうもメーリングリストでは転送毎にウイルス・チェックしているみたい。だからリスト登録者が多いとやたら時間がかる。1通30秒くらいかかる。そのときmが何かサービスしているともっとかかる。循環グループでは登録者が100名を越えるので1時間もかかることがあった。Spamメールのチェックには時間はさほどかからない。
メール・ウイルス・チェックを止めた。これでmで消費する時間はかなり小さくなった。
X棟からメーリングリストに投稿すると、40弱登録者数のメーリングリストでは、m で消費する時間はこれまで2−4分位、さらにkaをsmtpサーバに指定しているとkaで30秒も消費するので、すぐに配信されず、失敗だと思って再投稿する奴がいる。
これでmで消費する時間は十数秒以内なのでX棟から投稿すると1分以内に配信されるであろう。
これまでmでひっかかったウイルスは数通なので、ユーザにちゃんとアンチウイルスソフトがあれば、いいでしょ。 危険(安全)ー便利(不便) とはつねにせめぎ合いなのです。

Spam-その41

11月27日の打率。8000件以上登録したのに打率は当初からかわらん。何故だ。

27日朝7時から、迷惑メールのデータベース更新をやめてみる。データベースはこれで自分が作ったものだけになる。ひょっとして、これまで蓄積したspam mail はデータベースをどっかのサイトに更新に行く度にちゃらになってしまったのではないだろうか?

Dos攻撃

学情からの連絡で、本日朝9時30分頃、学内のあるサーバがDDoS*1と思われる攻撃を受け10分間学外と通信できない状態になったそうな。学外から学内サーバがDoS攻撃を受けると、学情のところでトラフィックが増えるからだな。先月末のkiban が落ちたのは少なくとも学外からのDoS攻撃ではないようだ。
*1:DDoS攻撃(Distributed Denial of Service attack):セキュリティの甘い多数(分散;distributed)のパソコンを踏み台にして、特定のサーバ対して正常な要求を同時に行うことでサーバのリソース(メモリ)を食いつぶし、サーバを落とす攻撃。 サーバに対する正当な要求と区別しにくいため防御がむずかしい。

k が落ちた理由

10月26日から11月1日にかけてのkの不調の理由:
DNS(Domain Name Ssystem)サービス*1がどうやら過負荷だったようだ。何故、過負荷だったかの理由はわからない。
のDNSサービスは医学外部からの問い合わせ、医学内からの問い合わせに応答する。さらにサーバ自体の内部でメール等を処理するための問い合わせにも答える。これまで過負荷で落ちた事がなかったから何故このときだけ過負荷になったのかはわからない。医学外部からDoS攻撃*2があったのかもしれないが、証拠もないのでわからない。Yahoo とか官庁のサーバが攻撃を受け、ダウンしたた事はあるけど、kのような中規模サーバにこのような攻撃をするとしたら、管理者に個人的な恨みのある学内者か...
というわけで現在はDNSサービスを別のサーバとで分散処理して賄っている。これで将来とも問題ないかどうかはわからない。
*1 DNS:ネットワーク機器の通信はIPアドレスを使って送信者、受信者を決めて行われる。しかしながら、IPアドレスは数字の羅列であり、ネットワーク環境が異なれば変わってしまうし、ユーザは覚えきれない。そこでこれに代るDomain Name System が考案され、現在はこれがどのようなネットワークでも使われている。このサービスはkというサーバのドメン名を123.123.123.123 というIPアドレスに変換し通信を可能にするものである。逆にIPアドレスからドメイン名を教えることも行う。このシステムあるいはサービスが止まるとネットワーク通信ができなくなる。
*2DoS攻撃(Denial of Service Attack)サーバの本来の業務に過負荷を与えてサーバの機能障害を生じさせるような攻撃。大量のサービスの要求を同時に行うためには多くのパソコンが必要である。そうでないとサービスをする側は、特定の機器からの要求を受けないように防御できるからである。そのため、攻撃者は、セキュリティの甘いサーバや多数の個人のパソコンにウイルスソフトをインストールさせ(踏み台にする)、特定のサーバに日時を決めて一斉にアクセスさせる。ウイルスに感染した個人のパソコンは送信量が少ししかないので、ユーザは気がつかない。サーバ側からみると、さまざまなパソコンあるいはサーバがアクセスしてきたように見え、その要求は正当なものと区別がつかないから処理せざるを得なく、サーバの資源(メモリ)を食いつぶしてサーバがダウンしてしまう。