DigiLoog

続きを読む »

筆者は自宅サーバでLinuxの経験が10年以上、仕事でLinuxを使ったシステム開発に10年弱を費やしている。
とは言いつつ直近は自宅サーバでLinuxを弄る事が殆どで、そんな人がLPIC-3(300-300)まで取得してみた。

………

LPIC vs LinuC

資格を取得するにあたり、最初に立ちはだかるのがLPICとLinuCのどちらを選ぶかになる。
筆者はLPICを取得していた期間があるので今回もLPICを選択した。
LinuCも教材が充実している上、ITSSレベル4相当の上位資格もあったりするので、
国内でLinuxを糧に飯を食べるならLinuCを選択するのもアリだと思う。

あと、筆者はLPICとLinuCを同時進行で両方取得しようと考えていたが、
同じ領域の資格をダブらせてもと思ったのでLPIC一本で行く事にした。

誤解が無い様に改めて書くが、OSCでLinuCブースを実際に見てLinuCも良い資格と思うし、
何よりLPICを取得した事が無ければ筆者もLinuCを選択していた。
あくまで、筆者はLPICを選択しただけなのでLPICとLinuCに優劣は無いという事を書かせてもらう。

勉強スケジュール

勉強や暗記が超絶大嫌いな事もあり、資格を取得するためだけの勉強はしないと決めていた。
「それでは、どうやって受験勉強を？」と疑問が生じるが実際に手を動かすのを重視して習得した。
あと、半年に1回受験のサイクルにした事で試験更新をずらし時間を稼げるのは大きいと思う。

• 自宅サーバや仕事で使える様に身につけるのを意識する
• 資格の丸暗記はせず、仕組みとコマンドの挙動を理解する
• 毎日15～30分は時間を確保して、無理せず習得を進める
• 半年に1種類は試験に合格する

実際に取得したのも計画通りで、5～6ヵ月に1回のペースで取得が出来た。
筆者は冬コミで冊子頒布する事が多く12月は執筆時間を確保したいので、
LPICの受験タイミングは6月と11月に絞るスケジュールで進めた。

勉強方法

• LPIC-1・LPIC-2

いろんな所でおススメされているスピードマスター問題集は偉大だった。普通はコレだけで行けると思う。
詳細が図示されているので仕組みを理解しつつもターゲットを絞った勉強も出来たのは功を奏した。
流れは、スピードマスターを1周読んで全体を掴んだ後、2週目は実際に手を動かしながら読み進めた。
特に、各章の最後にある模擬試験を全問正解できる様になれば、本番の試験も合格に一歩近づくと言える。

とは言え、書籍だけでは試験対策が弱いと思ったので、
スピードマスターを制覇した後にPing-tも全問ヒットにして1問1度は読んだ状態にしてから、
Ping-tの模擬試験も85～90%を取れる様にした。

• LPIC-3

苦労したのはLPIC-3の書籍が存在しないこと。
Amazonにペーパーバックで販売されているが、バージョンが低い上6,000円以上するので流石にやめた。
OSCのLPICブースで聞いたりして情報収集した上で、LPIC-3の勉強はWEBに限定して進める事にした。

まず、Ping-tの該当範囲(392～397)を教科書替わりに解きつつ実機を弄る事で基礎知識を習得した。
その中で特に苦労したのは、samba-toolのコマンドオプションが多すぎて覚えるのが大変なのと、
FreeIPAは情報が少なく実際に手を動かさないとわからない箇所が大半だった2点。
途中でRHELを使ってActive Directoryを新規構築しつつ実際にコマンドを叩くのも勿論やった。

Ping-tをひと通り解いてから、学易を使った試験対策と詳細なコマンドのフィードバックへ移行。
学易の問題が8割は試験にかすっていた事もありコレだけでも合格は出来ると今なら思うが、
Ping-tで土台を固めていたからこそ理解度を深めつつ解けたのが筆者には合っていたと今ながら思う。

実際の試験

国内で受験するならピアソンVUE一択なので、ピアソンVUEアカウントも作成して受験を申し込んだ。
筆者は少しでも受験料を安くしたかったのでPing-tでバウチャーチケットを購入して使っていた。
数が多いので1,000円程度でも安くなるのは助かった。

実際のテストは20～30分で問題を1回解いて安心感を得た上で、1問目から全てを見直すスタイルで取り掛かった。
人それぞれ解き方があると思うが、問題原文(英語)の翻訳ミスとかもあるので見直しはした方が良いと思う。

試験に無事合格してLPICを取得出来たなら、名刺や自鯖サイトにロゴを掲載する人もいると思う。
この記事を書いた当時だと、LPI公式で認証ロゴを配布しており名刺などに利用できるとの事だった。
人によっては認証ロゴを目的に資格取得する人もいると思うのでリンクも掲載しておく。

• Linux Professional Institute (LPI) ロゴ

………

無事にLPIC-3まで揃った状態ではあるが、まだ足りない知識はあるので他のLPIC-3を引き続き受験する予定。
何から行くか迷うが、無難にセキュリティから着手しようと考えているところ。
残り3つなので大変ではあるが、Linuxスキルの習得にも繋がるのでペースを維持しながら進めようと思う。

« 続きを隠す

続きを読む »

筆者が管理しているWebサーバの内1台でシステム負荷を見ると次の状況だった。

約2時間の周期でCPU負荷が飽和する位の処理が発生し、
ネットワーク観点だとTCPセッション数が瞬間的に1,500～2,000に高騰していた。
なお、スクリーンショットだとTIME-WAITのみセッション数がバーストしているが、
システム監視の周期都合なので実際はESTABLISHEDも同数が発生していた状況となる。

CPU負荷に周期性がある事からBOTで機械的に処理をされていると予測しつつ、
インターネット回線からWebサーバまで各種ログを確認したところ、
Google CloudのグローバルIPからScrapyのWebスクレイピング通信が大量に来ていた。

実際に来たHTTPクエリのログがこちら。
明確にScrapyのUser-Agentが記録されており、利用バージョンは2.11.2と少し低めの模様。
Webサイトのトップページから準繰りに全ページを辿っている状態で中々のクエリ数になっていた。

………

筆者が趣味で管理するサーバでは悪質で無ければWebスクレイピングを禁止していないが、
今回は結構なクエリが来ていた事もあり遮断しようか迷いつつ様子見していた。

本来なら、この記事を書く直前に遮断して記事にしようと思っていたものの、
夜中にWebスクレイピング自体が止まっていた。
Scrapy爆弾の報告がTwitterでも上がっていたので、
誰かがGoogleに通報したかWebスクレイピングを実行した管理者が止めたのでは無いかと思う。

通信が止まっているので筆者も様子見継続だが、
システム負荷が上がり切るレベルの高頻度Webスクレイピングはマナー違反だと思う (´・ω・`)
AIの時代だしWebスクレイピングをするなとは言わないが、やるとしても加減はして欲しいと感じた。

« 続きを隠す

続きを読む »

SquidでSSL Bumpを実行するには、Squid本体が中間者攻撃の様にインターセプトする動作となるので、
PC ⇔ Squid・Squid ⇔ サーバで通信セッションを都度作り直す事となる。

SSL Bumpを動かすにはSSL復号化用のオレオレ証明書を作成し、
認証局の証明書をPC、サーバ証明書をSquidにインストールする必要があるのだが、
サーバ証明書を更新してもSquidが保持するSSL復号化用の証明書キャッシュを更新してくれないため、
Webブラウザでガチの中間者攻撃と検知されてしまい通信が出来なくなる。

………

Squidのcacheログには次のログが出力されるのみで内容を判断しにくい状態となっており、
フォーラムでもOpenSSLの出力するログなので、Squidでは無くOpenSSLを見る様に書かれている。

一概にズバリと解消できる方法は無いのがコレだが、
筆者の環境ではSquidの保持するSSL復号化用の証明書キャッシュを完全初期化する事で直った。

SSL復号化用証明書のキャッシュ保存先ディレクトリが “/var/cache/squid/ssl_db” の場合、
フォルダを削除した後に次の初期化コマンドを打ち込めばエラーが直るはず。
コレでもエラーが直らなかった場合は、証明書の生成コマンド自体を見直せば不具合が解消出来るかも。

コマンドを打ち込んでSSL Bumpのキャッシュディレクトリを初期化した後は、
今まで通りにWebサイトをSSL復号化しつつ閲覧できた。
今の時代、SquidでSSL復号化をするケースは少ないかもだがTIPSとしてメモしておく。

« 続きを隠す