※ このエントリは、はてなグループ終了に伴う、サブブログからの引越エントリ(2011/02)です。
※ 情報が古い可能性もありますので、ご留意ください。

NFS マウントを試みるときに、下記エラーが出た場合。

# mount -a
mount.nfs: Input/output error

portmap が動いていなかった。というわけで、、、

# /etc/init.d/portmap start

で対応。

某所の環境で、何もしていないのに、SSHでのログイン時に以下の警告が出るようになりました！と報告を受けました。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.

・・・・・以下省略・・・・・

ほうほう、と見てみると、

# ll /etc/ssh/ssh_host_rsa_key.pub
-rw-r--r--. 1 root root 401 Nov 15 06:47 /etc/ssh/ssh_host_rsa_key.pub

今朝方、SSH (v2) 用の RSA 公開鍵が変更されているような形跡があります。

通常、SSH でリモートホストにログインする際は、リモートホストの SSH 用公開鍵をクライアントの ".ssh/known_hosts" に登録するのですが、公開鍵が変わったりすると、こうして警告が出ます。

ログを見る感じ、

Nov 15 06:47:58 hostname instance-setup: INFO Generating SSH key /etc/ssh/ssh_host_ed25519_key.
Nov 15 06:47:58 hostname instance-setup: INFO Unable to write ssh-ed25519 host key to guest attributes.
Nov 15 06:47:58 hostname instance-setup: INFO Generating SSH key /etc/ssh/ssh_host_ecdsa_key.
Nov 15 06:47:58 hostname instance-setup: INFO Unable to write ecdsa-sha2-nistp256 host key to guest attributes.
Nov 15 06:47:58 hostname instance-setup: INFO Generating SSH key /etc/ssh/ssh_host_rsa_key.
Nov 15 06:47:59 hostname instance-setup: INFO Unable to write ssh-rsa host key to guest attributes.

まるっと更新されています。

instance-setup が何か思い出せないけど、おそらく事前にログに残っていた、以下のアップデート作業に影響されているのかなぁと予想。

Nov 15 06:47:53 hostname yum[18934]: Updated: python-google-compute-engine.noarch 1:20191112.00-g1.el7

なんとなく原因のアタリがついたので、今回はこの辺で良しとします。（雑

復習: CentOS 7 系での yum 関連の自動アップデート設定について

最近ほとんど CentOS 系を触らなくなったので、メモを残しておく。

自動アップデートの設定

"/etc/yum/yum-cron.conf" の以下項目で設定されている。

apply_updates = yes

こうなっていたら、自動アップデートは有効。

アップデート対象のスコープ

同じく "/etc/yum/yum-cron.conf" の以下項目を見る。

update_cmd = default

項目の意味は、設定ファイルに書いてある通りですが、以下のような感じ。

#  What kind of update to use:
# default                            = yum upgrade
# security                           = yum --security upgrade
# security-severity:Critical         = yum --sec-severity=Critical upgrade
# minimal                            = yum --bugfix update-minimal
# minimal-security                   = yum --security update-minimal
# minimal-security-severity:Critical =  --sec-severity=Critical update-minimal

実行

あとは、デーモンとして動いていればOKって感じみたいです。

# systemctl status yum-cron
● yum-cron.service - Run automatic yum updates as a cron job
   Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled)
   Active: active (exited) since Thu 2019-09-19 08:00:13 JST; 1 months 26 days ago

今日はここまで。
それでは！=͟͟͞͞(๑•̀=͟͟͞͞(๑•̀д•́=͟͟͞͞(๑•̀д•́๑)=͟͟͞͞(๑•̀д•́

[改訂新版]プロのためのLinuxシステム構築・運用技術 (Software Design plus)

• 作者: 中井悦司
• 出版社/メーカー: 技術評論社
• 発売日: 2016/09/22
• メディア: 大型本
• この商品を含むブログ (2件) を見る

※ このエントリは、はてなグループ終了に伴う、サブブログからの引越エントリ(2011/02)です。
※ 情報が古い可能性もありますので、ご留意ください。

設定値       ログバッファ→ログファイル  ディスクフラッシュ
======================================================================
0            毎秒                        毎秒
1 (初期値)   COMMIT時                    COMMIT時
2            COMMIT時                    毎秒

innodb_flush_log_at_trx_commit が0に設定された時は、ログ バッファは1秒に一回ログ ファイルに書き込まれ、ディスク操作へのフラッシュはログ ファイル上で行われますが、トランザクション コミットの際には何も行われません。この値が1(デフォルト)の時は、ログ ファイルは各トランザクション コミットの時にログ ファイルに書き込まれ、ディスク操作へのフラッシュはログ ファイル上で行われます。2に設定された時は、ログ バッファはコミット毎にファイルに書き込まれますが、ディスク操作へのフラッシュはそこでは行われません。しかし、値が2の時もログ ファイル上でのフラッシュは1秒に1回行われます。1秒に1回のフラッシュは、処理スケジュールの発行の為100% 保証された物ではないという事に注意してください。

この変数のデフォルト値は1です。これは ACID 整合性に要求されている値です。より良い性能の為に1以外の値を設定する事もできますが、その場合1つのクラッシュの中で最大1秒分のトランザクションを失う可能性があります。もし値を0に設定すると、全ての mysqld プロセス クラッシュは最後の秒のトランザクションを消す場合があります。もし値を2に設定すると、OS のクラッシュか停電によって、最後の秒のトランザクションが消されてしまいます。 しかし、InnoDB のクラッシュ復旧は影響を受けないので、値に関係なくクラッシュ復旧は行われます。多くの OS といくつかのディスク ハードウェアはディスクへのフラッシュ操作を欺く事があると覚えておいてください。それらはフラッシュが行われていなくても、行われたと mysqld に伝える可能性があります。1の設定がしてあってもトランザクションの耐久力が保証されないという事になり、さらに悪い事に、停電によって InnoDB データベースが破損する可能性もあります。SCSI ディスク コントローラ内やディスク自体の中での、バッテリーに頼っているディスク キャッシュの利用はファイル フラッシュのスピートを上げ、操作を安全に行う事ができます。ハードウェア キャッシュ内でディスク書き込みのキャッシュを無効にする為に、Unix コマンド hdparm を利用してみたり、ハードウェア ベンダに対しての特定の別のコマンドを利用したりもできます。

注意:InnoDB とトランザクションを共に利用して複製設定内で最大の耐久力と一貫性を得る為に、お使いのマスタ サーバ my.cnf 内で innodb_flush_log_at_trx_commit=1 と sync_binlog=1 を利用しなければいけません。

http://dev.mysql.com/doc/refman/5.1/ja/innodb-parameters.html

1以外は危険ということだな。
1にしておけば、最悪OSクラッシュを招いても、ディスク上のログファイルにフラッシュされているということか。
(ログから復元できる、と。)

mysql> show variables like 'innodb_flush_log_at_trx_commit';
+--------------------------------+-------+
| Variable_name                  | Value |
+--------------------------------+-------+
| innodb_flush_log_at_trx_commit | 1     |
+--------------------------------+-------+
1 row in set (0.00 sec)

mysql> set global innodb_flush_log_at_trx_commit = 2;
Query OK, 0 rows affected (0.00 sec)

9年ほど前にこういうエントリを書いたのですが、まだそれなりに見られているようなので、最近はどうなのかなーと、再検証・再計測してみたエントリーです。

↑の過去エントリにも記載しているのですが、SSH/SCP では暗号化方式（強度）によってファイル転送のスループットが変わります。

もちろん、オープンなネットワークでやるにはセキュリティがー、とか、インターナルでやるなら、そもそも netcat (nc) でいいやんー、とか、そもそも大量にファイル数あるなら、事前に固めてしまえー、とか色々あると思うのですが、本エントリではあくまで暗号化方式 の違いでスループットがどう変化するのか、それはどのくらいスループットが出るのか、を確認したログとなります。

# iperf -c 10.xxx.xxx.12
------------------------------------------------------------
Client connecting to 10.xxx.xxx.12, TCP port 5001
TCP window size:  518 KByte (default)
------------------------------------------------------------
[  3] local 10.xxx.xxx.13 port 55778 connected with 10.xxx.xxx.12 port 5001
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec  9.81 GBytes  8.42 Gbits/sec

The supported ciphers are:

       3des-cbc
       aes128-cbc
       aes192-cbc
       aes256-cbc
       aes128-ctr
       aes192-ctr
       aes256-ctr
       aes128-gcm@openssh.com
       aes256-gcm@openssh.com
       chacha20-poly1305@openssh.com

The default is:

       chacha20-poly1305@openssh.com,
       aes128-ctr,aes192-ctr,aes256-ctr,
       aes128-gcm@openssh.com,aes256-gcm@openssh.com

The list of available ciphers may also be obtained using "ssh -Q cipher".

$ ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

Ciphers 3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com

$ scp -c ${cipher} ./filename username@hostname:/ramdisk/

参考

• SSH_CONFIG (5)
• 新しいTLSの暗号方式ChaCha20-Poly1305 - ぼちぼち日記

OpenSSH[実践]入門 (Software Design plus)

• 作者: 川本安武
• 出版社/メーカー: 技術評論社
• 発売日: 2014/11/01
• メディア: 単行本（ソフトカバー）
• この商品を含むブログ (4件) を見る

※ このエントリは、はてなグループ終了に伴う、サブブログからの引越エントリ(2011/01)です。
※ 情報が古い可能性もありますので、ご留意ください。

今まで、3128 とか 8080 ポートの Proxy しか使ったことなかったから、あまり気にしたことなかった。

http_proxy="http://xxx.xxx.xxx.xxx"

80 ポートへの接続だからといって、↑のようにポート番号を省略せずに、

http_proxy="http://xxx.xxx.xxx.xxx:80"

という感じで、クライアントに依存する話ではあるけど、ポート番号を明示的に指定しておいた方が良さそうだ。