この記事は、「openSUSE AdventCalendar 2018」15日目の記事です。

今、諸事情でぜーんぜんアップグレードしていない、openSUSE13.2(32bit)のマシンがあります。さすがに何とかしたいのですが、最近のopenSUSE は 64ビット。アーキテクチャが違います。果たしてそのままアップグレードできるのでしょうか?
ということで、実際にどうなのか、実験してみることにしました。

まずは、openSUSE 13.2 (32ビット版)をテスト用の仮想環境にインストール。ただ、13.2は、すでにopenSUSEのサイト(ミラー含む)には存在していません。探しまくったあげく、ここにあることを発見。ダウンロードしました。一応 zypper update も動いたので、可能な限り最新版にしておきます。
次に、Leap 15.0 のDVDイメージを仮想環境にマウントし、DVDイメージからブート。アップグレードを選びます。一応通常通り起動し、アップグレードが始まります。しかし途中でアーキテクチャが違うという警告メッセージが出てしまいました。

警告なので、ここは取りあえず「続行」を選び、先に進むことにします。その後は特に警告が出ることもなく、無事アップグレードが終わり、Leap 15.0(64ビット版)にアップグレードができたようでした。

ただ、アップグレードすると、各ソフトウェアのバージョンもかなり上がります。とえば Samba は4.2.4から4.7.10になります。当然機能差があるので、個別に変更点を吸収していく必要があります。

橋本修太です。

このブログは「openSUSE Advent Clendar 2018」の4日目の記事です。

アドベントカレンダー完走目指して、急遽入れさせて頂きました。

初日から、覆面君さん、川上さん、鹿野月美さんと、レベルの高いブログが続き、私は非常に興奮しております。

が、ここで一息入れさせて頂きましょう。今日の話題はコンソールコマンドです。（タイトル詐欺感はご了承を・・・）

ある日、本家のサポートMLの、コンソールのフォントサイズだかの話題に、以下のような文章が現れました。

【意訳】

「今だったら、皆（バージョンにもよるけど）、vttyの行数、桁数は、次のコマンドで取得できるよ。

inxi -Gxx　か、inxi -Fxz　でね。」

ここで私は思うわけです。

（inxiってなに？）

というわけで、使ってみました。

使ってみる

さっそく、Leap 15のコンソールで実行。

$ inxi

しかし、こんなメッセージが。

If ‘inxi’ is not a typo you can use command-not-found to lookup the package that contains it, like this: cnf inxi

言わずと知れた、コマンドが無かった時のメッセージですね。

こうなると、次にすることはパッケージの検索。次のコマンドで検索します。

zypper se inxi

すると、該当パッケージが表示されます。これをインストールしましょう。

sudo zypper in inxi

zypperの使い方は、いずれどなたかがアドベントカレンダーしてくれると期待しています。

本題　inxiとは？

実行してみます。

inxi

すると、私の環境では以下のように出力されました。

Resuming in non X mode: glxinfo not found. For package install advice run: inxi –recommends
CPU~Quad core Intel Core i5-2400 (-MCP-) speed/max~3092/3400 MHz Kernel~4.12.14-lp150.12.25-default x86_64
Up~3:22 Mem~2698.9/7952.8MB HDD~1012.2GB(40.4% used) Procs~281 Client~Shell inxi~2.3.40

どうやら、ハードウェア情報を簡単に取得して出力してくれるようです。

マニュアルを見てみますと、

$ man inxi

頭に次のような説明が。

inxi  – Command line system information script for console and IRC

IRC!? それはさておき、システム情報を出力してくれるスクリプトのようですね。

ちなみに、コマンドの場所を確認し、

which inxi

そのコマンドが何かを調べてみますと、

file /usr/bin/inxi

以下のように出力されました。

/usr/bin/inxi: Bourne-Again shell script, UTF-8 Unicode text executable, with very long lines, with escape
sequences

どうやら、シェルスクリプトのようです。思い切って中身を見てみましょう。

less /user/bin/inxi

すると、先頭に見慣れた次の一行が。

#!/usr/bin/env bash

そう、シェルスクリプトの先頭に記述する一行ですね。つまり、inxiはシステム情報を取得・出力してくれる、シェルスクリプトでした。

コマンドを実行した結果の所に、glxinfoが無いよ、といった警告が出ていたことに気付きましたでしょうか。システム情報の収集は、inxiが他のコマンドを呼び出すなりして行う為、そのコマンドが無かったりすると警告となるわけです。

以上、簡単にハードウェア情報（というか、システム情報でしたね）を取得する、inxiコマンドの紹介でした。

MLにあった、inxi -Gxx や、 inxi -Fxz、試してみると面白いですよ。

ううむ、このブログ、inxiの紹介では無くて、見慣れないコマンドを見た時の遊び方のチュートリアルみたいになってしまいましたねぇ。

という事で、近いうちにcnfでも遊びたいと思っています。

今日は Windows や Mac でおなじみの商用のアンチウイルスソフト Sophos Antivirus の個人向け無償版のを Leap 42.1 にインストールする方法を紹介します。

まずはダウンロードします。以下の URL からダウンロードできます。
https://www.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux.aspx

ダウンロードまでの間に、氏名とメールアドレスなどを２回求められます。２回目は米国輸出管理法の輸出先の確認のためのようです。職業は「個人利用者」、会社名は「個人」とでもしておけばよいでしょう。

ここからはターミナルで作業です。ファイルを回答してインストーラーを走らせるだけです

ここからはインストーラの指示に従って作業を進めます。まずは使用許諾契約に同意します。Enter キーを押して契約書を表示して、読んだあとに、Yキーで同意します。

ライセンス内容に同意しますか？ はい(Y)/いいえ(N) [N]
> y

次にインストール先を求められます。特にこだわりがなければそのままで問題ありませんので、何も入力せずにEnterを押します。なお、インストール先には1GB程度の空き容量が必要なようです。

Sophos Anti-Virus のインストール先を指定してください。 [/opt/sophos-av]
>

アプリケーションからファイルにアクセスしたときに検索を行う、オンアクセス検索を有効にします。

オンアクセス検索を有効にしますか？ はい(Y)/いいえ(N) [Y]
>

アップデートのダウンロード元です。そのままでOKです。

オートアップデートの種類を選択してください: ソフォス(s)/自社サーバー(o)/なし(n) [s]
>

今回は無償版を使うので f を入力します。

SAV for Linux の無償バージョン (f) と サポート対応付きバージョン (s) のどちらをインストールしますか？ [s]
> f

プロキシは必要に応じて設定してください。

ソフォスからアップデートを行うためにプロキシが必要ですか？ はい(Y)/いいえ(N) [N]
>

しばらくすると、インストールが終わります。動いているかを確認するには、savdstatus コマンドを使います。

openSUSE にこの方法でインストールすると、オンアクセス検索を行うために、fanotify とよばれるファイルへのアクセスイベントを捉える仕組みが使われます。現時点では fanotify を使った検索が、NFS と CIFS (Samba) で有効になっていると問題があるようです:
https://www.sophos.com/ja-jp/support/knowledgebase/14377.aspx

対策としては、NFS や CIFS でマウントしたディレクトリを検索対象から除外すれば良いようです。どうやって除外するかというと、savconfig コマンドの ExcludeFilePaths で、除外するファイルまたはディレクトリのパスを指定します。複数のパスを追加したいときは、繰り返しsavconfigを実行します:

除外する範囲は、ファイルシステム名でも指定できるようです。ExcludeFilesystems で除外するファイルシステムを指定します。ファイルシステムの名前は /proc/filesystems に書かれたものを入力すればよいそうです。

初投稿です。

先日 M17N プロジェクトに Mozc を追加しました。
Mozc は Google によって開発された日本語入力エンジンです。Windows や Mac OS X 向けに提供されている Google IME とは変換に用いる辞書が異なり、オープンなものに置き換えられています。
間に合えば、11月に公開される openSUSE 12.1 に搭載される予定です。（標準の IM エンジンは Anthy）

2011/10/15 追記: 12.1 への搭載は見送られました。今度のバージョンについては利用者数などに応じて判断が変わる可能性があります。議論は是非 opensuse-ja の ML にて。12.1 も以下の手順で導入することになります。

2011/11/17 追記: 12.1 用のリンクを追加しました。11.4 用のリンクを修正しました

以下の手順で 12.1 の公開を待たずに、11.4 や Thumbleweed でもインストールして使うことができます。

続きを読む »

openSUSE 11.4 がリリースされましたが、
今回は geeko を折り紙で折ってみる方法をご紹介します！

続きを読む »

こんばんは、桔梗です。
Linuxでサーバーを立てるとき、どのように考えて作っていますか？

これは今の職場で実際にあった話ですので、参考にしてください。

・必要ないパッケージまで全部入れる。
これはまず、間違っているでしょう。OSはRHEL3.9です。RHELの古いやつはアップデートにものすごい時間がかかるんです。
さらに、パッケージによっては強制的に設定ファイル上書きするみたいで、必要な設定ファイルを全部バックアップとって・・・とやるから一日がけなんですよね。その点、SUSEであれば、DeltaRPM の機能で差分だけの提供ですから、設定ファイル書き換えなんていう事態も発生しないと思います。そして何より、アップデートにさほど時間がかからない点でしょうか。
後は、必要ないパッケージまで入れることで、セキュリティホールを生み出しています。いやね、使いもしないもの入れておいて、クラッキングされた後が怖い。自分ならそんな変な構成はしませんよ。
私なら、必要最低限のパッケージを導入した後に必要なものを導入していきます。これが一番構築の手間はかかるけれども、後の管理は楽です。SUSEなら、CUI上でもYaSTくんが使えるのでGUIじゃなくてもさほど苦労しないかと思います。

・セキュリティOSが有効になっていない
外部に公開しているサーバーなのに、セキュリティOSが有効ではありませんでした。
RHELなのでSELinuxなのですが、SELinux Policy Editorができたとはいえまだ、難解な面は残っています。とは言っても、軍の用途にも耐えられるくらい強力なものです。いくら強力なものを作ったとしても使い勝手がよくなければ、ユーザーは増えないものですよね。
SUSEであれば、AppArmerという機能があります。SELinuxより設定が簡単で使い勝手がよいものです。これはYaSTくんから設定が可能です。拍子抜けするくらい簡単に設定ができますよ。

・FWの設定は？
FWの設定はGUIでやれば今でこそ簡単ですが、実際に運用されているサーバー群でどれだけXが使えるというのでしょうか。
FWはGWでやっているから安全だ、という人がいますが、実際は違います。GWに設置してあるFWは確かに外からの攻撃には強いですが、 LAN内部からの攻撃は素通りしてしまいます。また、LAN内部のユーザー全体がTelnet等でサーバーにアクセスできてしまうのも考え物です。サーバーごとに制御をかけるのであれば、サーバー自体にもFWの設定は必要でしょうね。

サーバーを守る手段は考えてみればいくらでもあるものです。
攻撃にあったときに被害を最低限にとどめるために、もう一度セキュリティを見直しを含めて、サーバー全体を見直してみませんか？
そして、実際にこれじゃだめだ、ということがわかったとき、乗り換え対象のディストリビュージョンとして、openSUSEやSLES、SLEDが候補に挙がってくれれば幸いです。openSUSEやSLES、SLEDであればセキュリティ対策はとても簡単にできるものなのですから。

気がついたら一年ぶりですか?
どうも、お久しぶりです、桔梗です。
仕事が忙しくてなかなか更新する暇がありませんでした。

表記、八月勉強会のネタですが・・・・
C++＆QtによるSUSE Linuxでのクロスプラットホーム開発入門＆SUSE LinuxでWAFを作ろうの二本立てを予定していますが、どこまで準備できるのかが疑問です。
現在、メインマシンがトラブル(発熱)を抱えており、プレゼンで使えるマシンがない状態になっています。
仕方ない、はやりのNetBookでも買おうかな・・・・
#それはそれでWintelの策略に乗ったみたいで悔しい。

ちなみにIDEは物置から引っ張り出してきたBorland　C++ BuilderXもしくは、Turbo C++を予定していますが、
時代が時代なのできちんとKDEのIDEでもやる予定です。