なんだかblogは久し振り(笑
とりあえず覚書でざっくり。
[全体]
妙に重いな~と思ったらcowrie(ハニーポット)にアホほど接続しに来ているのがいて
DDOS状態になっていたので(笑) iptableで制限かけました。
#今はほぼツールでやっていて手間がほぼ無いから実行されてからは酷いね。
大体こんな感じ(もう少し厳しくしてもいい気がするけど少しゆるめ)
*********************************************************************************************************
新規接続(state NEW)で、送信元IP毎に連続5回(burst5)まで、時間当たり1回/1分(1回分回復)
情報保持は10分(600000ms) →この時間は変えるかも
ハッシュテーブルは xxxx_limit (/proc/net/ipt_hashlimit/xxxx_limit に作られる)
***************************************************************
-A INPUT -p tcp -m tcp --dport 対象ポート-m state --state NEW
-m hashlimit --hashlimit-name xxxx_limit
--hashlimit-upto 1/min --hashlimit-burst 5
--hashlimit-mode srcip
--hashlimit-htable-expire 600000 -j ACCEPT
*********************************************************************************************************
あとはハニー側にセッション張られているやつを一定時間で切りたいけど手を入れるのめんどくさいし
サービスoff、5分後ぐらいにon とかにしておくかなー(^^;
ちなみに、/var/log/secure ログ使ってhosts.denyに書き込むパターンのもあるけど
変なサービス立ち上げたりするよりも、どうせiptable使ってfirewall設定しているのだから
ハッシュリスト使った方がらくちんかな。
[個別]
・wordpressはほぼ自動更新なので、ちょっと外れたやつを手動更新
・OS側もほぼ自動なので、念のためチェックして上げ
・mastodon を最新(v1.6.0)に上げました。
top にタイムラインが出るようになったので個別に見に行かなくても状態が見えるように
あと何かちょっと最新のプロトコルとかなっていたけど…最近疎い&英語読みたくないので分かりません(笑
で、アップデートでちょっとだけはまったのでそれの覚書を。
[その1]
git checkout でファイル変わっているからダメと言われる
→ git stash save “こめんと”
とりあえず保存、終わってからapplyなりpopなりdropなりすればOK
[その2]
gcc (g++)のバージョンが古くてオプション無いんじゃといわれる
→ scl で突っ込んでるので “scl enable devtoolset-3 bash” やってから実行
[その3]
アップデート順
RAILS_ENV=production bundle exec rails db:migrate
RAILS_ENV=production bundle exec rails assets:precompile
RAILS_ENV=production bundle exec rails mastodon:maintenance:remove_deprecated_preview_cards
*3つめは無くてもいいかも
[その4]
サービス起動時に npm (streaming)でエラー(uws.js:38 とかなんとか)はかれて起動できない
→ npm rebuild uws
リビルドして作り直し
と言う事でとりあえずアップデートまわりは終わりっと。