Eating weblog

最近收到友人詢問dns的錯誤訊息，狀況如下，可以解法作參考!!

通常想要了解dns的訊息可以在 /var/log/messages 中查欠的

#more  /var/log/messages

Case 1:

在/var/log/messages內發現如下訊息

Sep 19 15:56:09 www named[2204]: FORMERR resolving 'ocsp.entrust.net/AAAA/IN': 207.19.96.22#53 Sep 19 15:56:09 www named[2204]: FORMERR resolving 'ocsp.entrust.net/AAAA/IN': 208.16.208.26#53

參考作法：
這有可能 DNS 主機去向外面的 DNS 查詢IPv6的解析，但是對方的主機沒有設定IPv6或是IPv6的dns沒有設定正常造成。

 

Case 2:

在/var/log/messages內發現如下訊息

Sep 21 04:02:13 www named[2204]: lame server resolving '51.93.80.114.in-addr.arpa' (in '93.80.114.in-addr.arpa'?): 202.109.72.188#53 Sep 21 04:02:13 www named[2204]: lame server resolving '56.93.80.114.in-addr.arpa' (in '93.80.114.in-addr.arpa'?): 202.109.72.189#53 Sep 21 04:02:13 www named[2204]: lame server resolving '50.93.80.114.in-addr.arpa' (in '93.80.114.in-addr.arpa'?): 202.109.72.189#53

參考作法：
有可能 DNS 主機去向外面的 DNS 查詢某些網域的正反解析名稱時，此時對方 DNS 主機的設定可能有錯誤，導致無法正確解析網域的正反解作回應，就會發生 lame server 解析問題，這問題跟我們的 Name Server 主機沒關係但會一直看到訊息是有點討厭，可以修改 named.conf

#nano /var/named/chroot/etc/named.conf logging { //加入此三行 (在 靠rndc.key 上面) category lame-servers { null; }; }; include "/etc/rndc.key"; 修改完後重新啟動 named service 應該就可以了 #/etc/rc.d/init.d/named restart

Case 3:

在/var/log/messages內發現如下訊息

Sep 20 04:02:04 www named[2204]: unexpected RCODE (REFUSED) resolving 'ns.bta.net.cn/A/IN': 202.106.196.234#53 Sep 20 04:02:04 www named[2204]: unexpected RCODE (REFUSED) resolving 'ns.bta.net.cn/AAAA/IN': 202.106.196.234#53 Sep 20 04:02:04 www named[2204]: unexpected RCODE (REFUSED) resolving 'ns2.bta.net.cn/A/IN': 202.106.196.234#53

參考作法：
有可能是設定了查詢代理伺服器 (Forwarders)所以會看到最後 Name Server 主機是 Hinet Cache Server 回應的，解決方法就是你在整個 Named Server 主機的 allow-query、allow-recursion 只設給你信任的網域，而你所管理的 zone 則可設 allow-query { any; }

#nano /var/named/chroot/etc/named.conf options { allow-query { localnetwork; }; //設為您信任的網域 allow-recursion { localnetwork; }; //設為您信任的網域 }; zone "example.com" { //管理的 zone 設定 allow-query { any; }; //回應任何 IP 的查詢要求 }; 修改完後重新啟動 named service 應該就可以了 #/etc/rc.d/init.d/named restart

 

Case 4:

在/var/log/messages內發現如下訊息

Sep 19 16:09:05 www named[2204]: connection refused resolving 'ms2.cpatch.org/AAAA/IN': 140.133.50.1#53 Sep 19 16:15:04 www named[2204]: connection refused resolving 'www.ticrf.org.tw/A/IN': 59.120.215.116#53

參考作法：
有可能 DNS 設定中查詢代理伺服器 (Forwarders) 機制，對外的dns查詢都會先送到你所指定的查詢代理伺服器，讓查詢代理伺服器利用快取資訊幫您快速回應 dns 查詢，可以設定將forwarders指向誰即可，可以修改 named.conf

#nano /var/named/chroot/etc/named.conf options { forwarders { your_router_or_your_isp's_dns; };//設定路由器的ip或是上層的dns如市網中心dns }; 修改完後重新啟動 named service 應該就可以了 #/etc/rc.d/init.d/named restart

 

參考網址：

dns設定資訊

Unexpected rcode (SERVFAIL)

FORMERR resolving

connection refused  

最近突發現預設在xp中的print都不見了，原來是「print spooler」的服務沒有啟動(啟動->控制台->系統管理工具->服務)，但是手動在啟動時確發現「服務錯誤1068 依存服務或組…」的訊息，這時可能是「Remote Procedure Call (RPC)、Remote Procedure Call (RPC) Locator」沒有啟動，請將啟動方式改為自動後，再重新開機即可了!!

由於php的版本及未來xml交換，目前由中縣瑩光老師主要開發的sfs3.0未來將不再更新，需要換為3.1，線上有說明更新方式，大致上照著作就ok了，不過小弟自已在試時發生一個小問題就是在sfs原來的目錄下「data」裏面的system目錄的權限是755，需要成777才能夠讓新的upsfs.php的程式將文字檔寫入如下圖

#chmod 777 ****/data/system/  (****是指原來sfs3的目錄)

然後如果要立即更新成3.1版的話，請先在貴校的學務系統中，「學務管理系統首頁」->「系統管理」->「系統維護與管理」中設定臨時更新的時間後(請記得設定的小時要和目前主機實際時間的小時相同)，再手機執行upsfs.php，就會立即更新了!!

#./upsfs.php (切換到upsfs.php放的目錄，並upsfs.php改成700時)

#/usr/bin/php /upsfs.php (透過php來執行亦可) 

其它設定的方式參考中縣的sfs網頁 [補充說明]即可了解!!

由於ssh遠端連線是平常網管十分常用的服務，但是目前ssh attack真是相當的作，如果平常有在收linux server的log，就會發現每天測試的主機不計其數，為了主機控管的安全，可以考慮修改sshd的連接埠(預設是22)，所以可以考慮安裝一個free的軟體在linux主機上面，「fail2ban」，安裝方式還算簡單，操作如下：

修改sshd的連接埠

#nano /etc/ssh/sshd_config 改完後存檔離開即可

將port前面的#移除，並將22改為其它port如6666

#service sshd restart即可

 

fail2ban的官網

http://www.fail2ban.org/wiki/

http://www.fail2ban.org/wiki/index.php/Downloads

在本機下yum確認python的套件是否都有安裝

 #yum install python*

下載fail2ban的rpm套件

以centos5為例  http://download.fedora.redhat.com/pub/epel/5/i386/repoview/fail2ban.html

目前的版本是「fail2ban-0.8.4-23.el5.noarch」

#wget http://download.fedora.redhat.com/pub/epel/5/i386/fail2ban-0.8.4-23.el5.noarch.rpm

#rpm -ivh fail2ban-0.8.4-23.el5.noarch.rpm (有可能有問題，因為少了其它套件)

所以還是透過yum來安裝比較方便，如果是fedora的linux應該直接yum就有fail2ban的套件了，如果是 CentOS 使用者
請先設定使用 ATrpms 的套件庫，再使用 yum 來安裝較新版本的 Fail2ban (目前大概是 0.8.4-24)

#nano /etc/yum.repos.d/atrpms.repo 輸入下面的內容後存檔離開

[atrpms] name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms gpgcheck=1 enabled=1

 #yum install fail2ban

#nano /etc/fail2ban/jail.conf 修改下面兩個部分

#排除 IP 範圍, 以空白隔開 ignoreip = 127.0.0.1 192.168.0.0/24   bantime  = 86400 ( 遭拒絕的ip被拒絕的時間長短，單位是秒 )   findtime  = 600 ( 第1次觸發後要等待的時間區間進行計算，單位是秒 )   maxretry = 3 ( 在 findtime 時間內觸發的次數 )

[ssh-iptables]   enabled  = true ( 是否開啟 true or false ) filter   = sshd action   = iptables[name=SSH, port=ssh, protocol=tcp] ( 設定處理的service名稱、port號、第4層通訊協定 )            sendmail[name=SSH, <a href="mailto:dest=admin@tc.edu.tw">dest=admin@tc.edu.tw</a>] ( 發出警告信及警告信的mail ) logpath  = /var/log/secure ( log檔案位置 ) bantime = -1 ( -1代表無限 ) maxretry = 3 ( 觸發次數 )

#service fail2ban restart (重新啟動fail2ban)

之後要知道fail2ban是否有運作，可以透過觀察記錄檔 /var/log/fail2ban.log，來觀察有無錯誤或是觀察 iptables 的防火牆規則

#more /var/log/fail2ban.log
   
#iptables -L -n

 

相關資訊可以參考光榮的blog

透過oracle公司(原sun公司開發之軟體)virtual box可以在一個os上同時產生其它的os來測試，但是原來的vbox中安裝的os(linux或是windows)一開始裝完後都只有800x600的解析度，但是透過「VirutalBox Guest Additions」可以讓解析度隨著你手動拉vbox的視窗而作大小的變動，簡單說明如下：

先啟動你安裝的windows或是linux作業系統，從 VirtualBox 上面選單選擇「裝置」 > 「客戶端額外功能」，你會發現有一片光碟被掛載 ，如果是windows的話就直接會出現。如果是在linux上有啟動x-windows時，可以直接將光碟機中的檔案直接執行即行

在ubuntu中的作法，點遠完之後系統會自動掛載 vbox 的 GuestAdditions 的 iso 檔，在 linux 或 windows 的光碟機就會是 GuestAdditions 的光碟，如果光碟沒有掛載成的話，可以重新開機一次後應該就會正常，然後打開光碟可以找到安裝檔，以 linux 32bit 為例的安裝檔為 VBoxLinuxAdditions-x86.run，只要在終端機的介面下使用 root 權限去安裝後重新開機即可(用sudo加上完整檔案路徑)，須注意的地方就是虛擬系統可以調整的解析度的範圍為小於母系統目前螢幕的解析度。

如果遠端電腦使用遠端桌面連線到該虛擬系統會有滑鼠無法同步的狀況，一樣安裝 vbox 的 GuestAdditions 後就可以正常操作!!