コンテンツへスキップ

公開日 ubuntu20.04でcronを設置する。 にコメントを残す

ブログのスパム攻撃とか変なアクセスが気になるので、日本とgoogle以外のIPをブロックするスクリプトを作りました。
テスト環境でうまくいっているみたいなので、アップ
ipblker

#!/bin/bash
#ssコマンドで15個までのIPを取得します。
ip=`/usr/sbin/ss -t | awk -F : '{print$2}' | awk '{print$2}' | grep -v Peer | sort | uniq | head -n 15`
echo "$ip"
echo "$ip" > /root/ipblk/ip_listold

#whitelistに記録されているIPを除外しip_listoldとして吐き出します。
for i in `cat /root/ipblk/whitelist`
do
cat /root/ipblk/ip_listold | grep -v "$i" > /root/ipblk/ip_listold1
cat /root/ipblk/ip_listold1 > /root/ipblk/ip_listold
cat /root/ipblk/ip_listold
cat /root/ipblk/ip_listold | wc -l
echo ""
echo "$i"
echo ""
done

#ip_listoldから日本とgoogleのIPをwhitelistに追加します
#それ以外をブロックし、blacklistに追加します
ipl=`cat /root/ipblk/ip_listold`
for i in `echo "$ipl"`
do

curl -kfsS https://ipinfo.io/"$i"/country >> /root/ipblk/ip_country
if [[ "$?" -eq 0 ]]; then
  echo "終了コードは0です 1"
   if [[ `tail -n 1 /root/ipblk/ip_country` = JP ]]; then
      echo "nonblock_JP"
      echo "$i"
      echo "$i" >> /root/ipblk/whitelist
      continue
   else
     echo 日本ではない
    fi
elif [[ "$?" -ne 0 ]]; then
  echo "終了コードは0以外です 1"
  continue
fi

curl -kfsS https://ipinfo.io/"$i"/ | grep org | awk '{print$3}' >> /root/ipblk/ip_org
if [[ "$?" -eq 0 ]]; then
  echo "終了コードは0です 2"
   if [[ `tail -n 1 /root/ipblk/ip_org` = "Google" ]] && [[ `host "$i" | awk -F . '{print$7}'` = "googlebot" ]]; then
      echo "nonblock_Google"
      echo "$ip"
      echo "$ip" >> /root/ipblk/whitelist
       continue
   else
      echo googleではない
   fi

  elif [[ "$?" -ne 0 ]]; then
      echo "終了コードは0以外です 2"
  continue
fi

curl -kfsS https://ipinfo.io/"$i"/ip >> /root/ipblk/ip_ip
if [[ "$?" -eq 0 ]]; then
  echo "終了コードは0です 3"
   if [[ `tail -n 1 /root/ipblk/ip_ip` = "127.0.0.1" ]]; then
      echo "nonblock_loopback"
      continue
   else
      echo `tail -n 1 /root/ipblk/ip_country`
      echo /sbin/iptables -I INPUT -s $i -j DROP
      echo iptables -I INPUT -s $i -j DROP >> /root/ipblk/blacklist
   fi
  elif [[ "$?" -ne 0 ]]; then
      echo "終了コードは0以外です 3"
      echo 127.0.0.1ではない
  continue
fi

done

と、 ipinfo.io 様からIPの情報を取得しています。
後半の行でIPをブロックしますが、
テストを兼ねてechoを付けていますので、
実際に実行される場合は、echoを外してください。

echo iptables -I INPUT -s $i -j DROP
iptables -I INPUT -s $i -j DROP

次に上記のスクリプトをcronに設置します。

cd /var/spool/cron/crontabs/
vim root
*/1 * * * * /root/ipblk/ipblker

エラー通知のみ受信したい場合
*/1 * * * * /root/ipblk/ipblker 1> /dev/null

全ての通知を受信しない場合
*/1 * * * * /root/ipblk/ipblker >/dev/null 2>$1

cronのログ自体を確認したい場合

vim /etc/rsyslog.d/50-default.conf

#cron.*                          /var/log/cron.log
コメントされている場合外してあげます。
cron.*                          /var/log/cron.log


テスト用としてcronを1分に一回と設定していますが、
ipinfo.ioの1日に取得できるIPは無料だと1000回までなので、
それを超えない設定にします。
今回の場合、1回につき最大IPを15個まで取得できるように設定しているので、
30分に一回、ipblkerを実行します。

*/30 * * * * /root/ipblk/ipblker 1> /dev/null

何かエラー通知あれば、確認して調整していく予定です。

公開日 自作イラストが本になった。 にコメントを残す

友人が文芸作品のフリーマーケット(文フリ)に小説を
出店するとのことで小説のカバーを担当しました。

当日、私が文フリに遊びに行ったところ友人から
製本されたものを頂いたのでアップします。

高校生の百合系もの

横からみると結構分厚い

おまけの裏表紙

本についてはそこそこ売れたそうです。コロナの時期にも関わらずよかった。
友人とは5年前くらいに知り合っていつかお互いの協力した何かしら作品ができたらいいねと
話してたのでついに実現できてよかったなあと思います。

お礼として寿司とクレープをご馳走になりました。ありがとうございました。
来年も機会があれば、小説の挿絵も描かないとなと他の文フリの作品を見て思いました。

公開日 プロセスを監視するテンプレートスクリプト にコメントを残す 
サーバー監視において、高負荷が上がった場合、
サーバーにssh接続できないことがあるからcronで対応することがあります。
その条件として何かしらのプロセス数を用いることが多いからテンプレートを作成しました。

#!/bin/bash
ps=`ps -ef | grep <監視したいプロセス> | wc -l`
date=`date '+%Y/%m/%d - %H:%M:%S'`

if [[ $ps -gt <プロセス数> ]]; then
echo $date ; <実行内容>

else
  echo $date  "プロセス数:$ps"

fi


cronとあわせる場合
1 * * * * /usr/local/bin/test >> /var/log/test_log

elseの結果を /var/log/test_log から確認した場合、
2021/10/02 - 13:22:01 プロセス数:1

公開日 特定の国を除いたIPをブロックするスクリプト にコメントを残す

やけにサイトが重かったりメールが送信できなかったりしたときにサーバー内の接続状況を確認すると、同じIPから大量の接続があったりしますよね。そのようなときはIPをブロックしますが、IPによってはブロックできないことってありますよね。

私の場合、毎回IPの情報を確認してからブロックしています。しかしIPの数によっては大変なので今回はシェルスクリプトで一回で作業を済ますコードを書いてみました。

コードを書く際に至って、https://ipinfo.io を借りています。1日1000件まではIPの情報を取得できるらしい。

ipblocker.sh

#/bin/bash
ip=`ss -t | awk -F : '{print$2}' | awk '{print$2}' | grep -v Peer | sort | uniq`
for i in `echo $ip`
do
cn=`curl https://ipinfo.io/"$i" | grep country | awk '{print$2}'`
echo $i
echo $cn
if [ "$cn" = "\"JP\"," ]; then
  echo "nonblock_JP"
  elif [ `curl https://ipinfo.io/"$i" | grep org | awk '{print$3}'` = "Google" ]; then
    echo "nonblock_Google"
  elif [ `curl https://ipinfo.io/"$i" | grep ip | awk '{print$2}'` = "\"127.0.0.1\"," ]; then
    echo "nonblock_loopback"
  else
      echo "iptables -I INPUT -s $i -j DROP"
      iptables -I INPUT -s $i -j DROP
      fi
done

コードの内容としては、ss コマンドでIPを取得してから、
日本とGoogle、ループバックに関するIP以外だったらブロックする内容になっています。

ブロックした内容は iptables -nL とかで確認してみてください。

公開日 まるで学校祭の準備期間 にコメントを残す

ここ2週間近く友人の小説の表紙と裏表紙の手伝いをしていました。
ひとまず製本依頼までできたので後は本が届くのを待つだけですね。
まだ公開していいか微妙なので
ほぼあらすじ用のベタと文字で見えなくなった裏表紙をぺたり

幻想的な湖と月


その他ボツ

月が近すぎるとのこと。

都会的な場所なので山はいらないとかでラフの段階で止まり

そんな感じで普段描かない背景に挑戦したので苦楽ありでよかったです。

友人の手伝いが終わった後は気分転換に落書きしてました。

久々の人物画。モノクロで描いて思ったけど塗りも丁寧に塗らないとムラができて汚いですね。

公開日 Linuxでファイルの移動や、コピー、同期をする場合、ソース元には注意する。 にコメントを残す

今回はrsyncコマンドを用いて、サーバーのデータ移行をするときに移動したいファイルを間違えてしまったのでメモをする。

rsyncコマンドは、ソース元のデータをソース先に同期をしてくれるコマンド。

ソース元のデータがソース先にある場合はスキップし、 ソース先にない場合、ソース先に対象のデータを追加してくれるから非常に使い勝手のいいコマンド。

ただし、仕様上パスを間違えてしまうと、関係のないソース先に余計なファイルがたくさん同期されることがあるから注意すること。

今回自分は、ソース元のディレクトリ以下のファイルをソース先のディレクトリ以下に同期をする予定だったものの、ソース先のディレクトリ以下にソース元のディレクトリごと同期させてしまった。

例えば、ディレクトリhogeとディレクトリhoge2があったとき

rsync -av /root/hoge /root/hoge2/

このようにすると、/root/hoge2/hoge といった結果となる。

もし、ディレクトリ以下の中身を同期させたい場合は

rsync -av /root/hoge/ /root/hoge2/

とソース元を  /root/hoge から  /root/hoge/  とスラッシュを追加しなければならない。

ちなみに mv コマンドの場合は、

mv /root/hoge/* /root/hoge2/  

とアスタリスクをつけないといけないから注意する。

公開日 Linuxで鍵認証の設定を一回で終わらせるスクリプト(CENTOS) にコメントを残す

サーバー立てるたびに鍵認証設定するの面倒だからね。
ssh-keygen時にパスワードを聞かれず、最後に秘密鍵を
表示してくれるスクリプトです。

makekey.sh

yum -y install openssh-server
ssh-keygen -N "" -f ~/.ssh/id_rsa
mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
sed -i 's/^PubkeyAuthentication.*$/PubkeyAuthentication yes/' /etc/ssh/sshd_config
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart sshd
cat ~/.ssh/id_rsa

公開日 自作シェルスクリプトにオプションをつけてみる にコメントを残す

これまでシェルでいくつかスクリプトを作ってきたけど、オプション要素がどれもなかった。
オプションをつけることは敷居が高そうだと思ったので手をつけなかったけど、
実際に検索したら思ったよりも簡単そうなのでためしてみた。

opt_test
#/bin/bash
while getopts sdt OPT
do
case $OPT in
s) ss -t ;;
d) df -h ;;
t) top ;;
esac
done

重要なのは、【getopts】コマンドで、その横、オプションとなる一文字を記入
今回の場合、s,d,tの計3つのオプションをつけたかったので、「sdt」と記載。
OPTの部分は変数を記載する。
結果的に opt_test -s とすれば ss -t  のコマンド、 opt_test -d とすれば、df -h が可能となりましたとさ。 

参考
https://atmarkit.itmedia.co.jp/ait/articles/2002/13/news025.html

公開日 自作ファイルをファイル名だけで実行したい にコメントを残す

最近スクリプトを作成することが増えてきたけども、毎回フルパスで指定するの面倒くさい。
なので、スクリプト名を打つだけで実行できるようにしたかった。

今回は下記ファイルを用意した
/root/cmd/test 
echo "test"

方法1 .bash_profile 内のexportにパスを記載する。



vim .bash_profile
export PATH=$HOME/cmd:$PATH
# test
test

方法2 /usr/local/bin 以下にシンボリックリンクを追加する。

# ln -s ~/cmd/test /usr/local/bin/tes
# tes
test

上記の方法は環境変数$PATH内にパスがあれば、
CUI内でコマンドを探して実行してくれるというルールの上で成り立っているらしい。
ちなみに 
/bin/はシングルモード用(OSが壊れてときとか)
/usr/bin/はシングルモードではないかつ、RPM等のパッケージに入っているコマンド等が収納
/usr/local/binは自作スクリプトなどを置くディレクトリ
なので今回は上記の記載をした。

公開日 lxc用の関連スクリプト にコメントを残す

最近LXCばかり触っていたのでホストからゲストOSを設定できるスクリプトをかいてみた。
ネットワークとSSH公開鍵認証の設定。sshは内容軽くいじれば他でも使いまわせそう。
OSはcentos7.9を想定

#network config
rm /var/lib/lxc/$1/rootfs/etc/sysconfig/network-scripts/ifcfg-eth0
lxc-attach -n $1 -- bash -c 'echo "DEVICE=eth0" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "BOOTPROTO=none" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "ONBOOT=yes" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "NM_CONTROLLED=no" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "TYPE=Ethernet" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "IPADDR='$1'" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "NETMASK='$2'" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "GATEWAY='$3'" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "DNS1=8.8.8.8" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 -- bash -c 'echo "DNS1=8.8.4.4" >> /etc/sysconfig/network-scripts/ifcfg-eth0'
lxc-attach -n $1 systemctl restart network
#ssh config
lxc-attach -n $1 -- yum -y install openssh-server
lxc-attach -n $1 -- ssh-keygen -N "" -f ~/.ssh/id_rsa
lxc-attach -n $1 mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
lxc-attach -n $1 chmod 600  ~/.ssh/authorized_keys
lxc-attach -n $1 -- sed -i 's/^PubkeyAuthentication.*$/PubkeyAuthentication yes/' /etc/ssh/sshd_config
lxc-attach -n $1 -- sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
lxc-attach -n $1 systemctl restart sshd
lxc-attach -n $1 cat ~/.ssh/id_rsa

個人的に下記行の引数を展開できないことに苦労した。
lxc-attach -n $1 -- bash -c 'echo "IPADDR='$1'" >> /etc/sysconfig/network-scripts/ifcfg-eth0'

シングルクォーテーションって強制的にすべて文字列にするものだと思ってるから
echo以降は全て文字列しかできない。
でもぐぐったら、むしろ$1の場所をシングルクォーテーションでさらに囲ったら変数扱いとなった。
なぜ


参考
sed-iについて
https://www.usupi.org/sysad/197.html

lxc-attachについて
https://gihyo.jp/admin/serial/01/linux_containers/0008?page=4