Manualmaton's Laboratory

Linuxにおけるrootの特別感

By manualmaton

オン 2025年10月30日

カテゴリー: Linux

なんとなくrootを使っている
そもそもrootしかアカウントを使っていない

と言う方への注意喚起としても書いている記事です。

Linuxにおける「root」の特別性：システムを司る絶対的な権限

Linuxサーバーを運用する上で、誰もが耳にする最も重要なアカウント、それが「root」ユーザーです。このアカウントは、単なる管理者権限を持つユーザーという枠を超え、システム全体を司る絶対的な権限を持つ存在として位置づけられています。

なぜrootはそれほどまでに特別か、というその問題提起を行います。

システム全体を制御する「神」の権限

Linuxは、セキュリティと安定性のために「権限分離（Privilege Separation）」の原則に基づいて設計されています。一般ユーザーは、自分のホームディレクトリや許可されたファイルに対してのみ操作が可能で、システムの中核に関わる重要な設定ファイルやディレクトリには基本的に触れることができません。

一方でrootユーザーは、この権限の壁を完全に超越します。

全ファイルの読み書き・実行権限: システム内のすべてのファイルとディレクトリに対して、制限なくアクセス、変更、削除が可能です。
カーネル操作: システムの心臓部であるLinuxカーネルの設定変更や、重要なモジュールのロード/アンロードが可能です。
全ユーザーの管理: どのユーザーのパスワードでも変更でき、プロセスを強制終了させ、システムを再起動・シャットダウンできます。
ポートの利用: 予約された特別なポート（1024未満）を利用したサービスを起動できます。

絶大な力と隣り合わせの危険性

この絶大な力は、システム管理者にとっては不可欠なツールですが、一歩間違えれば致命的な破壊に繋がりかねません。

例えば、一般ユーザーであれば誤って自分のファイルしか削除できませんが、rootユーザーが誤って / (ルートディレクトリ) で rm -rf のようなコマンドを実行すれば、システム全体が一瞬にして破壊されてしまいます。（システム権限に関する部分は維持されるでしょう。しかし、/homeディレクトリにあるユーザデータは消し飛びます。

そのため、システム管理者であっても、普段の作業は権限の制限された一般ユーザーとして行い、root権限は本当に必要な時だけ su や sudo コマンドで一時的に利用することが鉄則です。

ちょっとした具体例

例えば：

systemctl status apache2.service

は本当によく使うコマンドです。

同様に

exit

はコンソールから抜ける時にも使う初歩的なコマンドでしょう。

しかし、

systemctl

を打った状態で電話があった、声をかけられ中座する必要があった場合。（これは本当に頻発します）
「まぁいいや、そっちに集中したいからコンソールを抜けよう」と

systemctl exit

を実行すると

shutdown -h now

と全く同じ効果が得られます。これは笑い事ではない事実です。

systemctl exit一般権限のユーザで実行した場合は

==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ===
'exit.target'を開始するには認証が必要です。
Authenticating as:

と、「ん？　なんか様子が違うぞ？」で思い直すことができますが、これがrootユーザーの場合は

システム停止を自然に、言葉通りに受け止め実行します。

話は戻しましょう。

「全能である」がゆえの危険性と不可欠な存在という側面が、rootユーザーを他のアカウントと一線を画す「特別」な存在にしているのです。

一般的にrootのプロンプトが「#」とされているのは、この 「システムを破壊する力」 を持っていることを常に意識し、コマンドの入力に細心の注意を払うための、管理者自身への視覚的な警告として機能しているのです。

それを防ぐためのちょっとしたTIPS

これを防ぐために私がLinuxサーバを設定時に真っ先に指定する記述がこれです。

/home/hoge/.bashrc

hogeは自分のログインユーザです。

ここの末尾に以下のように記します。

PS1="[\u@\H \W]\$ "

# 一般ユーザ向けのプロンプト設定
if [ "$PS1" ]; then
  if [ "$(id -u)" -eq 0 ]; then # rootユーザの場合
    PS1='\[\e[0;31m\][\u@\H \W]#\[\e[0m\] '
  else # 一般ユーザの場合
    PS1='\[\e[0;32m\][\u@\H \W]$\[\e[0m\] '
  fi
fi

プロンプト設定の意図解説

このPS1設定の主要な意図は、セキュリティの確保と作業効率の向上のために、ユーザーの種別（rootか一般ユーザーか）と現在のコンテキストを視覚的に明確化の措置です。

ユーザー種別による視覚的な区別

最も重要な意図は、誤操作を防ぐためにrootユーザー（管理者）と一般ユーザーの環境を瞬時に見分けられるようにすることです。

rootユーザーの場合 (id -u が 0)
- 色: \e[0;31m は赤色を設定しています。絶大な権限を持つroot環境では、コマンド入力に細心の注意が必要であることを、視覚的な警告として管理者に促します。
- プロンプト末尾: \#（通常は#に展開）は、伝統的にrootユーザーを示す記号です。
一般ユーザーの場合:
- 色: \e[0;32m は緑色を設定しています。通常作業を行う安全な環境であることを示します。
- プロンプト末尾: $ は、伝統的に一般ユーザーを示す記号です。

コンテキストの明確化

ユーザーの種別に関わらず、プロンプトには以下の情報を含めることで、管理者が「誰として」「どのサーバーの」「どのディレクトリにいるか」を一目で把握できるようにしています。

記号	意味	例
`\u`	現在のユーザー名	`root` や `admin`
`\H`	ホスト（サーバー）の完全な名称	`server.example.com`
`\W`	現在の作業ディレクトリのベース名	`/var/log/` の場合は `log`

設定スクリプトの技術的な解説

初期設定

PS1="[\u@\H \W]\$ "

これは、色の設定が機能しない場合や、条件分岐（if文）に入る前のデフォルトのプロンプトとして機能します。

条件分岐によるプロンプトの切り替え

if [ "$PS1" ]; then
    if [ "$(id -u)" -eq 0 ]; then # rootユーザの場合
        PS1='\[\e[0;31m\][\u@\H \W]#\[\e[0m\] '
    else # 一般ユーザの場合
        PS1='\[\e[0;32m\][\u@\H \W]$\[\e[0m\] '
    fi
fi

if [ "$(id -u)" -eq 0 ]; then: コマンドid -uを実行し、現在のユーザーIDを取得します。0はrootユーザーを意味します。このIDに基づいてプロンプトを切り替えます。
\[と\]: これらは、エスケープシーケンス（色の設定部分）をbashに非表示文字として認識させるための重要な記号です。これがないと、bashがプロンプトの長さを誤認し、コマンド入力時の行がずれてしまう不具合が発生します。
\e[0m: これは色のリセットコードです。プロンプトの末尾にこれを記述することで、プロンプト以降に入力されるユーザーのコマンドや出力が色付きにならないように戻しています。

Ubuntu/Debian系での重要な留意点

このプロンプト設定は、ログインするユーザーの環境に適用される必要があります。

UbuntuやDebian系のシステムでは、rootユーザーとしてログイン（またはsu -で環境を切り替え）する際の.bashrcの扱いが、他のシステム（例：CentOS/RHEL）と異なる場合があります。

多くのシステムでは、rootユーザーのホームディレクトリは /root です。

一般ユーザーのプロンプト設定は、/home/（ユーザー名）/.bashrc に記述します。
rootユーザーのプロンプト設定は、通常 /root/.bashrc に記述する必要があります。

この設定は、root環境にも適用。コンソールログインなどでrootでログインした場合にも備え、/root/.bashrcにも明記する必要があります。

補足:

/etc/bash.bashrc などのシステム全体の設定ファイルに記述することも可能ですが、特定のユーザーのみに設定を適用したい場合は、ユーザーごとの.bashrcファイルを使用するのが最も確実な方法です。

まとめ

RHEL系で最初にsudo su -をしたときに明示される

「大いなる力には大いなる責任が伴う」

をより明確にした言葉があります。『鉄人28号』でも高らかに歌われている

あるときは正義の味方
あるときは悪魔の手先
いいもわるいもリモコンしだい

この3行は、まさにLinuxのrootアカウントという「大いなる力」の二面性を表しています。

サーバ管理者は、この力が「悪魔の手先」とならないよう、使う一瞬一瞬に

「自分は今、強大な力を得ているのか？」
「この力は良き目的、必要な手段として用いるのか？」

を自問する必要があります。その『意識のリモコン』を操作するために、筆者は明確にプロンプトで視覚化しているというお話でした。

MySQLのデータベースを暗号化してバックアップするスクリプト。(2025年10月版)

By manualmaton

オン 2025年10月29日

カテゴリー: Linux

本記事では、筆者が用いるバックアップスクリプトを元にして、バックアップの大切さを述べます。以前に作成した記事のリファインという形です。

『賢者の石』としてのバックアップ

LinuxのみならずとってITにおけるバックアップは、言うなれば『賢者の石/Philosopher's Stone』です。

ここまで断言できる根拠があります。筆者が前に述べたとおり、Linuxサーバは設定一つの変更、チューニング、誤操作などで全てが壊れる世界です。

そんな中、適切なバックアップを取っておくことで、失敗全てを帳消しにできる確率が飛躍的に高まります。

また、バックアップを取ることにより、他のサーバへの移し替えや「問題が発生した状況の再現」も容易になります。

筆者が手順で

sudo cp -pi /something/very/very/massive/important/file.conf /extra_sensitive_backup.conf.$(date +%Y%m%d)

等でバックアップを取り、

diff -u sudo cp -pi /extra_sensitive_backup.conf.$(date +%Y%m%d) /something/very/very/massive/important/file.conf

と差分を取るのも、「事前のちょっとした面倒な作業」は「後に発生する大災害」を救ってくれます。

特に重要なWebアプリでのDBバックアップの重要性

翻って、Webアプリケーションの運用となると、この「賢者の石」としてのバックアップの役割は、単なるシステム設定の保護を超え、Webサイトのみならず事業の存続に直結します。

なぜなら、Webアプリにおいて最も価値があり、最も頻繁に変化し続ける情報、すなわち『データ（データベース）』こそが、そのアプリケーションの「魂」だからです。

自分を含め

長年蓄積した記事
画像情報
(商用利用の場合は)決済情報、顧客情報

これらデータベースに格納された情報は、失われた瞬間、企業の信用も収益もゼロになります。法的な責任も発生すれば、これらは簡単にマイナスになるという、筆者が前にも述べている「理不尽な非対称性」が発生します。

ファイルシステム全体が健在であっても、データベースだけが破損すれば、サイトは事実上停止します。これは、設定ファイル一つを誤った際の「システム停止」とは次元の異なる、「世界の消滅」を意味します。

だからこそ、WebアプリのDBバックアップには、以下の3つの要素が絶対的に求められます。

完全なバックアップ（データの保護）: mysqldumpなどを利用し、停止時やトランザクション中のデータも漏れなくダンプすること。
確実な安全性（暗号化）: 個人情報を含む機密性の高いデータであるため、保管時には必ず強固なパスワードで暗号化し、不正アクセスからデータを守ること。
信頼できる世代管理: 毎日確実にバックアップを取り続け、かつ必要な日数分だけ保持し、古すぎるバックアップは自動で削除する仕組み（世代管理）が不可欠です。これにより、ディスク容量の圧迫を防ぎつつ、「昨日の正常な時点」や「1週間前の状態」へ確実に巻き戻せる保証を得るのです。

次に紹介するスクリプトは、このWebアプリの命綱たるデータベース (MySQL) を、安全性と世代管理を両立させながら、コマンド一つで確実に守り抜くために作成したものです。

事実、筆者はこの手のバックアップにより

AWS
WebArena
XServer

と3つのVPSからのWebサイト移行を行いました。

その前に事前確認

Prevention is better than cure.(転ばぬ先の杖)というやつです。

これはUbuntu系での手順です。

MySQL での操作です。

mysqldump 確認

which mysqldump

/usr/bin/mysqldumpなどと返ってくることを確認。見つからない場合は

sudo aptitude install mysql-client

データベースユーザーのアクセス権確認・付与（重要）

データベースユーザー（例: your_db_user）が、バックアップ対象のデータベース（$DATABASE_NAME）全体に対してデータを読み取る権限（SELECT）を持っている必要があります。

MySQL/MariaDBにrootでログインし、以下のコマンドで確認します。

SHOW GRANTS FOR 'your_db_user'@'localhost';

権限の付与:

もし権限が不足している場合は、rootでしてログインし、必要な権限を付与します。

データベースのダンプ（バックアップ）には、最低限 SELECT 権限が必要です。

また、--single-transactionオプションを使う場合、ほとんどのストレージエンジンでRELOAD（またはPROCESS）権限は必須ではありません。

ここまで来たら、いよいよスクリプトの作成です。

DBというシステムの生命線のバックアップたる「賢者の石」。パスの間違いなどで簡単に「持ってかれる」等価交換以上の代償を伴う作業。慎重にやっていきましょう。

さっくりとは言い難い手順

事前準備。DBアカウントファイルを作成します。
事前準備。バックアップなどを格納するディレクトリを作成します。
自分の環境に合わせて スクリプトを作成します。
動作の確認を行い、cron設定を行います。

必要なファイルとディレクトリ群、注意

項目	説明	設定値 (スクリプト内変数)
MySQLアカウントファイル	`mysqldump`実行に使用するデータベース接続情報ファイル。パーミッションは400必須。	`$CREDENTIALS_FILE` (`/home/hoge/script/config/db_account/db_account.txt`)
バックアップ保管ルート	圧縮後のバックアップファイルを保管するディレクトリ。	`$BACKUP_ROOT_DIR` (`/path/to/backup/directory`)
パスワード保管ディレクトリ	バックアップZIPファイルの解凍パスワードを保管するディレクトリ。	`$PASSWORD_DIR` (`/home/hoge/dbrestore_password`)
実行ユーザー	スクリプトを実行するOSユーザー。	`/home/hoge`の所有者

事前準備（ファイル・ディレクトリの作成とパーミッション設定）

スクリプトを実行する前に、以下のファイルとディレクトリを準備してください。

データベースアカウントファイルの作成

$CREDENTIALS_FILEで指定されたパスに、MySQLの接続情報を記述したファイルを作成します。

ディレクトリの作成: mkdir -p /home/hoge/script/config/db_account
アカウントファイルの作成 (/home/hoge/script/config/db_account/db_account.txt):

[mysqldump]
# [mysqldump]セクションが必要ですuser=your_db_user # ダンプ操作が可能なユーザー名 password="your_db_password" # ユーザーのパスワード

パーミッションの設定（重要）:
スクリプトの実行条件であり、セキュリティ上必須です。

chmod 400 /home/hoge/script/config/db_account/db_account.txt

※重ねての注意点このDBアカウント情報はrootアカウントと同等以上のリスク管理が必要です。すなわち

「No shown, No stolen, No matter what. (見せても盗まれてもならぬ、何があっても)」

の強い覚悟が必要です。(とはいえ自分の命と天秤にかけた状態で)

バックアップディレクトリの作成

バックアップファイルとパスワードファイルを保管するディレクトリを作成します。

バックアップルートディレクトリの作成:
bash mkdir -p /path/to/backup/directory
パスワード保管ディレクトリの作成:
bash mkdir -p /home/hoge/dbrestore_password
パーミッションの設定:
スクリプトを実行するOSユーザーが、これらのディレクトリに対して書き込み・読み取り・実行権限を持っていることを確認してください。通常はchownコマンドで所有者を設定します。

スクリプトの作成

backup_mysql.shを任意の方法で、或いは自身の教義・信仰に則ったエディタを用いて作成します。変数の部分は 自分の環境に合わせて 調整します。

#!/bin/bash

# コマンドの実行中にエラーが発生した場合、スクリプトを終了します
set -e

## 変数ここから ##
# $HOMEの変数を指定します。
HOME_DIR="/home/hoge"
# SQLをバックアップする**保管先**ディレクトリを指定します。運用に合わせて指定ください。
BACKUP_ROOT_DIR="/path/to/backup/directory"
# バックアップ処理用の一時ディレクトリ名を指定します。
TMP_SUBDIR="temp_dump"
# パスワードファイルを保管するディレクトリを指定します。
PASSWORD_DIR="${HOME_DIR}/dbrestore_password"

# 保持するバックアップの世代を日数で指定します。
KEEP_DAYS=7

# ファイルに付与する日付/作業ディレクトリ名/バックアップファイル名を指定します。
CURRENT_DATE=$(date +%Y%m%d%H%M%S) # 日付に時刻を加えて一意性を高める
BACKUP_BASE_NAME="database" # バックアップ対象のデータベース名などから命名
SQL_FILE_NAME="${BACKUP_BASE_NAME}.sql"
ZIP_FILE_NAME="${BACKUP_BASE_NAME}.${CURRENT_DATE}.zip"
PASSWORD_FILE_NAME="db-restore.${CURRENT_DATE}.txt"

# 一時的なバックアップディレクトリのフルパス
TMP_BACKUP_DIR="${BACKUP_ROOT_DIR}/${TMP_SUBDIR}"
# 圧縮後のバックアップファイルのフルパス
ZIP_FILE_PATH="${BACKUP_ROOT_DIR}/${ZIP_FILE_NAME}"
# パスワードファイルのフルパス
PASSWORD_FILE_PATH="${PASSWORD_DIR}/${PASSWORD_FILE_NAME}"

# アカウントファイルを指定します。運用に合わせて指定ください。
CREDENTIALS_FILE="${HOME_DIR}/script/config/db_account/db_account.txt"
# redmineのデータベース名を指定します。
DATABASE_NAME="database"
# バックアップ時に指定するオプションを指定します。
OPTIONS="--defaults-extra-file=$CREDENTIALS_FILE --no-tablespaces --single-transaction"

# 世代管理のためのファイルパターン
BACKUP_FILE_PATTERN="${BACKUP_BASE_NAME}.*.zip"
PASSWORD_FILE_PATTERN="db-restore.*.txt"
## 変数ここまで ##

## 処理ここから ##

# 1.アカウントファイルのパーミッションが400かどうかチェックします。
# 400以外は処理そのものを終了します。
permissions=$(stat -c "%a" "$CREDENTIALS_FILE")
if [ "$permissions" != "400" ]; then
    echo "🚨 エラー: アカウントファイル(${CREDENTIALS_FILE})のパーミッションは400である必要があります。(現在: ${permissions})" >&2
    exit 1
fi

# 2. 一時的なバックアップディレクトリを作成します。
# -pで存在しない親ディレクトリも作成し、既に存在してもエラーにしない
mkdir -p "${TMP_BACKUP_DIR}" || exit 1
mkdir -p "${PASSWORD_DIR}" || exit 1

# 3. mysqldumpを実行してデータベースのバックアップを取ります。
echo "⏳ ${DATABASE_NAME}のデータベースダンプを開始..."
mysqldump $OPTIONS -h localhost "$DATABASE_NAME" > "${TMP_BACKUP_DIR}/${SQL_FILE_NAME}" || {
    echo "🚨 エラー: mysqldumpが失敗しました。" >&2
    rm -rf "${TMP_BACKUP_DIR}" # 失敗したら一時ディレクトリをクリーンアップ
    exit 1
}
echo "✅ データベースダンプ完了。"

# 4. パスワードによる暗号化を実施します。
password=$(openssl rand -base64 12)

# 【ルートディレクトリ圧縮回避のため、一時ディレクトリに移動して圧縮対象ファイルを直接指定】
echo "⏳ バックアップファイルの圧縮・暗号化を開始..."
cd "${TMP_BACKUP_DIR}" || exit 1
# zipコマンドで、SQLファイルのみを対象とし、圧縮後のzipを一つ上の階層に出力
zip -P "$password" "${ZIP_FILE_PATH}" "${SQL_FILE_NAME}" || {
    echo "🚨 エラー: zip圧縮が失敗しました。" >&2
    cd - > /dev/null # 元のディレクトリに戻る
    rm -rf "${TMP_BACKUP_DIR}" # 失敗したら一時ディレクトリをクリーンアップ
    exit 1
}
cd - > /dev/null # 元のディレクトリに戻る
echo "✅ 圧縮・暗号化完了: ${ZIP_FILE_PATH}"

# 5. 一時的なバックアップディレクトリを削除します。
echo "🗑️ 一時ディレクトリを削除: ${TMP_BACKUP_DIR}"
rm -rf "${TMP_BACKUP_DIR}"

# 6. 解凍パスワードを指定ディレクトリに保存し、権限を設定します。
echo "🔐 解凍パスワードを保存: ${PASSWORD_FILE_PATH}"
echo "$password" > "$PASSWORD_FILE_PATH"
# 7.パスワードの読み取り権限を600に変更します。
chmod 600 "$PASSWORD_FILE_PATH"

# 8. 【確実にバックアップファイルを世代管理 (古いファイルの削除)】
echo "🧹 保持期間(${KEEP_DAYS}日)より古いバックアップを削除..."
# バックアップファイル本体の削除
find "$BACKUP_ROOT_DIR" -maxdepth 1 -name "$BACKUP_FILE_PATTERN" -type f -mtime +$KEEP_DAYS -print -delete
# 対応するパスワードファイルの削除
find "$PASSWORD_DIR" -maxdepth 1 -name "$PASSWORD_FILE_PATTERN" -type f -mtime +$KEEP_DAYS -print -delete
echo "✅ 世代管理完了。"

## 処理ここまで ##

スクリプトファイルの作成と配置:
このスクリプトをファイル（例：backup_mysql.sh）として保存します。
bash # 例 cp (修正済みスクリプトの内容) /home/hoge/backup_mysql.sh
実行権限の付与:
bash chmod +x /home/hoge/backup_mysql.sh
テスト実行:
bash /home/hoge/backup_mysql.sh
定期実行の設定（Cronなど）:
Cronを利用して、スクリプトを定期的に実行するように設定します。
bash # crontab -e で開き、以下の行を追加 (例: 毎日午前2時に実行) 0 2 * * * /home/hoge/backup_mysql.sh > /dev/null 2>&1

スクリプトの動き

このスクリプトは、運用者（つまり私のようなサーバ管理者）望む機能を盛り込んだ機能を持たせています。

予め配備されたアカウント情報に基づき、mysqldumpで、対象DBのみのバックアップを行います。
バックアップと同時に圧縮&暗号化を行います。
復号に必要なパスワードは同時に別ディレクトリに保管。有り体に言えば、スクリプト自身も知らないランダムパスワードなので推測される可能性はほぼありません。
その後、スクリプトはDBバックアップディレクトリとパスワード格納ディレクトリを精査。変数に基づいて、特定日数以上が過ぎたファイルを自動的に削除して、ディスクの容量を安定化します。

では、どうやって運用するの？

パスワードによる複合化

スクリプト実行後、対象の.zipファイルを

unzip database.20251028113148.zip

等として、スクリプト実行日時が入ったファイルを展開します。

このとき、パスワードを尋ねられるので、対になる複合化のパスワードファイルdb-restore.20251028113148.txtで開きます。database.sqlが平文で出てきます。

DBの切り戻し

こうして、DBのバックアップさえできていれば、その後の安心感はまるで異なります。

サーバが吹っ飛んだ
別サーバに移行したい

等の場合も、

mysql -h localhost -u your_db -p your_db < /path/to/backup/directory/database.sql

とすることで、切り戻しや移行のハードルが非常に楽になります。

最後に

「何かの事故」
「故意/未必の故意/ミス」

など、「障害」という奴は予測できないからこそ「障害」です。管理者にできることは

「障害が来ないことを祈る」

ではありません。

「障害が来ても大丈夫な備え」をシステム化することです。

「汝平和を欲さば、戦への備えをせよ」/"Si vis pacem, para bellum"

は、ローマより続く言葉であるからこそ、普遍性と不変性があるのです。

CPU/メモリの利用状況を確認するスクリプト

By manualmaton

オン 2025年10月28日

カテゴリー: Linux

Webサーバのみならず、サーバ運用において「どのプロセスがCPU/メモリを喰っているか」というボトルネックの把握は重要です。

それを把握するためのスクリプトのご紹介です。

なぜボトルネックの把握が重要なのか

以下の3点が主な理由です：

リソースの最適化と安定運用
　高負荷プロセスを特定することで、不要な消費を抑え、他のサービスへの影響を防げます。
障害予防と早期対応
　異常なリソース使用は障害の前兆であることが多く、早期発見によりダウンタイムを回避できます。
攻撃予兆への対応
　DDoS/執拗な攻撃などはリソース量にダイレクトに現れます。

把握するためのシェルスクリプト

といっても、topやwコマンドなどでは煩雑な情報が多いため、シンプルに

CPUを多く使っているプロセス
メモリを多く使っているプロセス

に絞り込みを行います。というのも、プロセスの暴走は先に示したとおり、CPU/メモリを多く使うからです。

それをより分かりやすく視覚化するスクリプト例が以下の通り。

top-procs.sh等の名前で、任意の場所に作成します。

#!/bin/bash

# スクリプト名: top-procs.sh
# 説明: CPU使用率またはメモリ使用率が高い上位5つのプロセスを表示します。

# 表示するプロセス数の設定
TOP_N=5

# ヘルプ表示関数
show_help() {
    echo "--- プロセス監視スクリプト ---"
    echo "このスクリプトは、システムのCPU使用率またはメモリ使用率が高い上位${TOP_N}つのプロセスを表示します。"
    echo ""
    echo "使用方法: $0 [オプション]"
    echo ""
    echo "オプション:"
    echo "  -c          : CPU使用率 (%\$CPU) の高い上位${TOP_N}つのプロセスを表示します。"
    echo "  -m          : メモリ使用率 (%\$MEM) の高い上位${TOP_N}つのプロセスを表示します。"
    echo "  -a          : CPUとメモリの両方の上位${TOP_N}つのプロセスを表示します。(引数なしと同じ)"
    echo "  -h          : このヘルプを表示します。"
    echo ""
    echo "出力形式: 割合(%) PID COMMAND"
    echo "-----------------------------------------"
}

# プロセス情報表示関数
# 引数1: ソート対象 (CPU/MEM)
# 引数2: ソートフィールド番号 (ps auxの3番目か4番目)
# 引数3: タイトル
show_top_procs() {
    local type=$1
    local field=$2
    local title=$3

    echo ""
    echo "--- ${title} (上位 ${TOP_N} プロセス) ---"
    echo " %${type}   PID  COMMAND"
    echo "-----------------------------------------"

    ps aux |
        # ヘッダー行をスキップ
        tail -n +2 |
        # 指定フィールド (CPU:%3, MEM:%4) で降順ソート
        sort -k ${field} -r |
        # 上位N行を抽出
        head -n ${TOP_N} |
        # PID ($2)、割合 ($field)、COMMAND ($11以降) を整形して表示
        awk -v field="${field}" '{
            cmd="";
            for(i=11;i<=NF;i++){
                cmd=cmd" "$i
            };
            # $fieldには$3(%CPU)または$4(%MEM)の値が入る
            printf "%6.2f%% %6s %s\n", $field, $2, cmd
        }'
}

# メインロジック

if [ "$#" -eq 0 ] || [ "$1" == "-a" ]; then
    # 引数なし、または -a の場合 (全て表示)
    show_top_procs "CPU" 3 "CPU使用率"
    show_top_procs "MEM" 4 "メモリ使用率"
elif [ "$1" == "-c" ]; then
    # -c の場合 (CPUのみ)
    show_top_procs "CPU" 3 "CPU使用率"
elif [ "$1" == "-m" ]; then
    # -m の場合 (メモリのみ)
    show_top_procs "MEM" 4 "メモリ使用率"
elif [ "$1" == "-h" ]; then
    # -h の場合 (ヘルプ)
    show_help
else
    # 不正な引数の場合
    echo "不正なオプションです: $1" >&2
    show_help
    exit 1
fi

仕組み

メインロジックは非常に簡単。

ps , sort, 等のコマンドとawkを発展させたもの。

./top-procs.sh

を実行することで、

--- CPU使用率 (上位 5 プロセス) ---
 %CPU    PID  COMMAND
-----------------------------------------
 52.10%  12345  ruby_app_server: /var/www/webapp1 (production)
  9.40%   1086  /usr/sbin/database_server [...]
  3.80%  42162  /usr/sbin/web_server -k start
  1.50%  42161  /usr/sbin/web_server -k start
  0.90%   7978  nodejs_process /path/to/nodejs_app/server.js

--- メモリ使用率 (上位 5 プロセス) ---
 %MEM    PID  COMMAND
-----------------------------------------
 13.10%   1984  /usr/bin/java -Xms256m -Xmx256m [...] search_engine -Des.path.home=/usr/share/search_engine [...]
 10.00%   1086  /usr/sbin/database_server [...]
  7.50%  12345  ruby_app_server: /var/www/webapp1 (production)
  3.90%  78630  ruby_app_server: /var/www/webapp2 (production)
  3.80%  76583  ruby_app_server: /var/www/webapp3 (production)

が出てきます。

この例では、rubyアプリが圧倒的にCPUを消費し、ElasticSearchがメモリを食っているというのが分かります。

そして、

-a / 引数無し : CPUとメモリの両方を表示
-c : CPU情報のみを表示
-m : メモリ情報のみを表示
-h : これら引数やスクリプトの内容を表示

と、目的に合わせた柔軟な表示も可能にしています。

ついでにコマンド化

こういった障害発生時のボトルネック判定時、いちいちスクリプトの場所を探すという悠長なことはできません。

なので、余裕がある（つまりこのスクリプトを作成した直後です）状況で、

sudo ln -sf /path/to/script/top-procs.sh /usr/local/bin/top-procs

として、どこからでもコマンドを呼び出せるようにします。(スクリプトの場所は自分がこれを保存した絶対パスを指定してください)

which top-procs

で

/usr/local/bin/top-procs

と表示されればコマンド化は完了。こうすることにより、どのユーザーでもこのコマンド一発で上記のボトルネック判定が可能になります。

統率者デッキ、再修正。

By manualmaton

オン 2025年10月27日

カテゴリー: MtG, 統率者

本当は10月に回したかったデッキです。

統率者

F《起源の番人、ザーレル/Szarel, Genesis Shepherd(EOC)》

Szarel, Genesis Shepherd / 起源の番人、ザーレル (２)(黒)(赤)(緑)
伝説のクリーチャー — 昆虫(Insect) ドルイド(Druid)
飛行
あなたの墓地にある土地をプレイしてもよい。
あなたのターン中、あなたがトークンでもこれでもないパーマネント１つを生け贄に捧げるたび、これでないクリーチャー最大１体を対象とする。それの上にこれのパワーに等しい個数の+1/+1カウンターを置く。

2/5

クリーチャー

《甦りし悪夢、ブレイズ/Braids, Arisen Nightmare(EOC)》
《ユーミディアンの荒地起こし/Eumidian Wastewaker(EOC)》
《エヴェンドの低木刈り/Evendo Brushrazer(EOC)》
《アクームの怒り、モラウグ/Moraug, Fury of Akoum(ZNR)》
《土地守/Groundskeeper(EOC)》
《森を護る者/Sylvan Safekeeper(MH3)》
《事件現場の分析者/Aftermath Analyst(EOC)》
《サテュロスの道探し/Satyr Wayfinder(EOC)》
《春花のドルイド/Springbloom Druid(EOC)》
《機能不全ダニ/Haywire Mite(BLC)》
《不屈の追跡者/Tireless Tracker(EOC)》
- 1. 手掛かり
《不屈の補給兵/Tireless Provisioner(BLC)》
- 1. 宝物
  1. 食物
《水平線の探検家/Horizon Explorer(EOC)》
- 1. 着陸船
《進化の証人/Evolution Witness(MH3)》
《ムル・ダヤの巫女/Oracle of Mul Daya(EOC)》
《最強のベイロス/Baloth Prime(EOC)》
- 2. 4/4 ビースト
《アルゴスの庇護者、ティタニア/Titania, Protector of Argoth(EOC)》
- 3. 5/3 エレメンタル
《猛り狂うベイロス/Rampaging Baloths(EOC)》
- 2. 4/4 ビースト
《波乱の悪魔/Mayhem Devil(EOC)》
《ウィンドグレイスの魂/Soul of Windgrace(EOC)》
《ギトラグの怪物/The Gitrog Monster(EOC)》
《クロールの死の僧侶、マジレク/Mazirek, Kraul Death Priest(EOC)》
《フェイに呪われた王、コルヴォルド/Korvold, Fae-Cursed King(EOC)》

インスタント

《羅利骨灰/Tear Asunder(EOC)》
《砕土/Harrow(EOC)》
《コラガンの命令/Kolaghan's Command(DTK)》
《ウィンドグレイスの裁き/Windgrace's Judgment(EOC)》

ソーサリー

《信仰無き物あさり/Faithless Looting(UMA)》
《惑星殲滅/Planetary Annihilation(EOC)》
《冒涜の行動/Blasphemous Act(EOC)》
《害獣の侵入/Pest Infestation(EOC)》
- 4. 1/1 害獣
《森の占術/Sylvan Scrying(BFZ)》
《探検/Explore(WHO)》
《壌土からの生命/Life from the Loam(UMA)》
《自然の知識/Nature's Lore(EOC)》
《遥か見/Farseek(EOC)》
《耕作/Cultivate(EOC)》
《耕作の閃光/Flare of Cultivation(MH3)》
《形なき始まり/Formless Genesis(EOC)》
- 5. X/X 多相の戦士
《明日への探索/Search for Tomorrow(TSP)》
《見事な再生/Splendid Reclamation(EOC)》
《スカイシュラウドの要求/Skyshroud Claim(EOC)》
《世界魂の憤怒/Worldsoul's Rage(EOC)》
《大渦の脈動/Maelstrom Pulse(ARB)》
《花崗岩の凝視/Gaze of Granite(EOC)》
《僻境への脱出/Escape to the Wilds(EOC)》
《蟲の収穫/Worm Harvest(C18)》
- 6. 1/1 ワーム

エンチャント

《発生の器/Vessel of Nascency(SOI)》
《パーフォロスの槌/Hammer of Purphoros(THS)》
- 7. 3/3 ゴーレム
《鏡割りの寓話/Fable of the Mirror-Breaker(NEO)》
- 1. 2/2 ゴブリン・シャーマン

アーティファクト

《探検の地図/Expedition Map(2XM)》
《太陽の指輪/Sol Ring(EOC)》
《秘儀の印鑑/Arcane Signet(EOC)》
《探査幼生艦/Exploration Broodship(EOC)》
F《世界播種、ハースハル/Hearthhull, the Worldseed(EOC)》

プレインズウォーカー

レンと次元壊し

土地

4《沼/Swamp(EOE)》フルアート
4《山/Mountain(EOE)》フルアート
5《森/Forest(EOE)》フルアート
《土建組一家の監督所/Riveteers Overlook(EOC)》
《硫黄泉/Sulfurous Springs(EOC)》
《燻る湿地/Smoldering Marsh(EOC)》
《ラノワールの荒原/Llanowar Wastes(EOC)》
《カープルーザンの森/Karplusan Forest(EOC)》
《燃えがらの林間地/Cinder Glade(EOC)》
《春色の湿原/Vernal Fen(EOC)》
《黄昏のぬかるみ/Twilight Mire(EOC)》
《ボジューカの沼/Bojuka Bog(EOC)》
《ユーミディアンの孵化場/Eumidian Hatchery(EOC)》
- 8. 1/1 昆虫
《寓話の小道/Fabled Passage(EOC)》
《統率の塔/Command Tower(EOC)》
《ウルザの物語/Urza's Saga(MH2)》
- 9. 0/0 構築物
《変容する森林/Shifting Woodland(MH3)》
《モリアの坑道/Mines of Moria(LTR)》
《演劇の舞台/Thespian's Stage(WHO)》
- 宝物
《暗黒の深部/Dark Depths(UMA)》
- 20/20 マリット・レイジ
《ダクムーアの回収場/Dakmor Salvage(EOC)》
《見捨てられたぬかるみ、竹沼/Takenuma, Abandoned Mire(NEO)》
《不毛の大地/Wasteland(TMP)》
《魂の洞窟/Cavern of Souls(AVR)》
《虹色の眺望/Prismatic Vista(MH1)》
《樹木茂る山麓/Wooded Foothills(ONS)》
《新緑の地下墓地/Verdant Catacombs(ZEN)》
《血染めのぬかるみ/Bloodstained Mire(ONS)》
《草むした墓/Overgrown Tomb(RAV)》
《血の墓所/Blood Crypt(RTR)》
《踏み鳴らされる地/Stomping Ground(GTC)》
《耐え抜くもの、母聖樹/Boseiju, Who Endures(NEO)》
《ケッシグの狼の地/Kessig Wolf Run(ISD)》

OUT

《苦い真理/Painful Truths(BFZ)》
《秋の占い師/Augur of Autumn(MID)》

IN

《不屈の補給兵/Tireless Provisioner(BLC)》
《鏡割りの寓話/Fable of the Mirror-Breaker(NEO)》

トークンも用意できないていたらくでした。ただ、回していて楽しいデッキです。

10月の食事ピックアップ。

By manualmaton

オン 2025年10月26日

カテゴリー: 未分類

連休時の話。

お世話になっている肩にご馳走になりました。

伊勢エビ

予想外にも程があった伊勢エビ。過去に数回食べたことがありましたが

この量が出るのは驚きでした。しかし、それ以上に驚きだったのが「これは半身です」と言われたこと。

残りの半身は天ぷら。確かに海老は天ぷらの種としての定番ですが、伊勢エビというのも予想外でした。上品な甘味と歯触り、いずれも素晴らしいものでした。

しかし、話はそれだけでは終わらず。

刺身で出てきた尾頭は具足煮。しかも、前身をこんがりあぶった鬼殻焼きスタイルです。

頭の味噌から出る出汁がたっぷり出ていて、残っていた頭の肉も食べ応え十分。

その他食事

これをその他と言っていいのかは不明ですが：

兜煮。全体は崩れず、味がしっかり染みている当最高の出来。目玉のゼラチン質も最高です。

ご飯は伝統的な塩むすびと

ネギトロ&トロタク。

ここまで贅沢でいいのかという形の、非常に充実した食事でした。

『Elasticsearchを利用しているGrowiでのアップデート注意点(Growi特有のプラグインに起因するサービス停止)』

By manualmaton

オン 2025年10月25日

カテゴリー: 未分類

概要

GrowiでElasticsearchによる全文検索を利用している中でのアップデートの注意点です。なお、Growiをオンプレ運用していてサーバリソースの関係上などでElasticsearchを用いていないという方はここから下は参考程度にとどめてください。

環境

Grwoi v7.3.3
Elasticsearch v9.2.0
Apacheによるリバースプロキシ

パッケージアップデート時の注意

sudo aptitude upgrade

(※筆者は好みでaptitudeを使っています)

とした中で、

以下のパッケージが更新されます:          
  elasticsearch

と、elasticsearchを含むアップデートがあったときの注意点です。

注意1：設定ファイルの維持

(データベースを読み込んでいます ... 現在 170063 個のファイルとディレクトリがインストールされています。)
.../elasticsearch_9.2.0_amd64.deb を展開する準備をしています ...
elasticsearch (9.2.0) で (9.1.5 に) 上書き展開しています ...
elasticsearch (9.2.0) を設定しています ...

設定ファイル '/etc/elasticsearch/jvm.options'
 ==> これはインストールしてから (あなたかスクリプトによって) 変更されています。
 ==> パッケージ配布元が更新版を提供しています。
   どうしますか? 以下の選択肢があります:
    Y か I  : パッケージメンテナのバージョンをインストールする
    N か O  : 現在インストールされている自分のバージョンを残す
      D     : 両バージョンの差異を表示する
      Z     : 状況を調査するためにシェルを開始する
 デフォルトでは現在使っている自分のバージョンを残します。
*** jvm.options (Y/I/N/O/D/Z) [デフォルト=N] ?

の質問が来た場合、N を確実に選んでください。手なりでのyは厳禁です。なぜなら、Growi設定時に

-Xms256m
-Xmx256m

の2行を追記しているからです。(※数値は環境によって異なりますが、Growi推奨値が256MBです)

この -Xms256m および -Xmx256m の2行は、Elasticsearch の JVMヒープメモリの初期サイズ（Xms）と最大サイズ（Xmx）を指定しています。これが削除される、つまりデフォルト設定に戻ると、Growi の安定性やパフォーマンスに以下のリスクがあります。

削除された場合のリスク

メモリ不足によるクラッシュ

デフォルトではJVMが自動でヒープサイズを決定しますが、サーバのメモリ量や他プロセスの使用状況によっては、必要なメモリが確保されず、ElasticsearchがOutOfMemoryErrorで落ちる可能性があります。

パフォーマンスの低下

初期サイズが小さいと、ヒープの拡張が頻繁に発生し、GC（ガベージコレクション）による停止時間が増加します。これにより、Growiの検索やデータ取得が遅くなることがあります。

間違えて`Y`/`I`を選択してしまったら？

/etc/elasticsearch/jvm.options.dpkg-old

または

/etc/elasticsearch/jvm.options.dpkg-dist

にオリジナルが残されています。

sudo cp -pi /etc/elasticsearch/jvm.options.dpkg-old /etc/elasticsearch/jvm.options

または

sudo cp -pi /etc/elasticsearch/jvm.options.dpkg-dist /etc/elasticsearch/jvm.options

として復旧させましょう。

注意2：Growi依存プラグインによるサービス起動不可

そうして、アップデートが完了後、

Restarting services...
 systemctl restart elasticsearch.service
Warning: The unit file, source configuration file or drop-ins of elasticsearch.service changed on disk. Run 'systemctl daemon-reload' to reload units.


Job for elasticsearch.service failed because the control process exited with error code.
See "systemctl status elasticsearch.service" and "journalctl -xeu elasticsearch.service" for details.


systemctl status elasticsearch.service
failed (Result: exit-code)

と、failed (Result: exit-code)が出てサービスの再起動に失敗することがあります。この場合、Growiの全文検索は使うことができません。

原因:Growi固有のプラグイン

Growiインストール時、Elasticsearch用の

analysis-icu
analysis-kuromoji

のプラグインをインストールしています。これはパッケージと同時にアップグレードされません。Elasticsearchのコマンドで導入したパッケージのためです。

対処：再インストール

パッケージアンインストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin remove analysis-icu

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin remove analysis-kuromoji

パッケージ再インストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-icu

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-kuromoji

2つの注意点を対処後

まず、Run 'systemctl daemon-reload'と言われているので、

sudo systemctl daemon-reload

で更新されたデーモン設定ファイルを読み込みます。

次いで、

systemctl status elasticsearch.service

で、Elasticsearchが依然としてfailed (Result: exit-code)となっていることを確認。その後、

sudo systemctl restart elasticsearch.service

としてサービスを再起動。今度はエラーが起きないと思います。

systemctl status elasticsearch.service

でもactive/runningを確認しましょう。

Growi上での最終確認

Growiに管理者権限でアクセスします。
設定＞全文検索管理に進みます。

接続の状態接続されていますと表示されていることを確認し、

トップページに戻って検索を開始。想定通りの検索結果が出れば対処完了です。

攻撃者の「影響度」を確認するAbusedIPDB。

By manualmaton

オン 2025年10月24日

カテゴリー: Linux

Webサーバ管理者を悩ませる不正アクセス。これが「常習者か」を見極めるために有用なサイトと、その使い方を説明します。

そもそも論として「攻撃者は常習性があるか？」

これは明確に、明白にYESと大文字で答えます。彼らは無差別に、利用できるサーバを機械的に（または悪意を持って）攻撃します。

そのような攻撃者のアクセス元をユーザーの善意の報告の元でDB化しているサイトが本稿で紹介するAbuseIPDB.comです。

AbuseIPDB.comとは

AbuseIPDBは、悪意のあるIPアドレスを報告・検索できるサービスで、サイバー攻撃対策に活用されます。IPの信頼性を確認したり、APIで自動分析も可能です。（この自動分析は筆者は利用経験無し）

主に以下のような用途で利用されます。

IPアドレスの信頼性確認：検索ボックスにIPを入力すると、過去の報告履歴や「Abuse Confidence Score（悪用の可能性）」が表示されます。
不審なIPの報告：攻撃やスパムを検知した際に、行動の種類（例：SSH brute-force、DDoS）を指定して報告できます。
APIによる自動化：無料アカウントを作成すれば、APIキーを取得してスクリプトやセキュリティツール（例：Fail2Ban）と連携可能なようですが、筆者は未実施。

AbuseIPDB.com レポートサンプル

では、実際に上記のWebサイトを見てみましょう。

https://www.abuseipdb.com

にアクセスします。

そして、エラーログなどから攻撃の兆候があったIPアドレスを入力します。

その結果はこちらです。(IPアドレスや報告者はダミーデータ。そして、レポートは日本語にしています)

IPアドレス 198.51.100.123 はAbuseIPDBのデータベースに登録されていました！

このIPアドレスは 10,751回 報告されています。不正利用の信頼スコアは 100% です。

不正利用の信頼スコア: 100%
ISP: Example Hosting Ltd.
用途: データセンター/Webホスティング
ASN: AS65500
ホスト名: scan-server-01.example.com
ドメイン名: examplehosting.com
国: some country
都市: some city

最近の不正利用レポート (一部抜粋)

報告者 (国籍)	タイムスタンプ (UTC)	内容	カテゴリ
🇫🇷 Reporter Alpha	2025-10-23 01:16:03	`Firewall blocked port scan attempt [src port: 44256, dst port: 267]`	ポートスキャン
🇬🇧 User Bravo	2025-10-23 00:36:43	`SSH login attempt failed.`	ブルートフォース, SSH
🇩🇪 Security Team C	2025-10-22 22:49:36	`FW-PortScan: Traffic Blocked srcport=43104 dstport=22`	ポートスキャン, ハッキング, SSH
🇺🇸 Monitor Delta	2025-10-22 21:46:12	`Connection attempt to tcp/7707`	ポートスキャン
🇺🇸 Honeypot Echo	2025-10-22 20:02:02	`Unauthorized activity to TCP port 25.`	ポートスキャン
🇺🇸 Monitor Foxtrot	2025-10-22 16:28:59	`Connection attempt to tcp/25`	ポートスキャン

ここから分かること

あなたのサーバに攻撃した奴は、他のサーバにも万単位で攻撃しているパターンが極めて高い。
あなたのサーバに問題があるのではなく、あなたのサーバに問題があることを期待しての不正アクセスを試行する輩の問題である。

従って：これらのIPアドレスをブロックすることに遠慮も躊躇も必要ありません。彼らは閲覧者では断じてありません。単なる攻撃者です。

攻撃者には

交渉の余地を与えない
「攻撃が有効である」という成功体験を与えてはなりません。そして、一度でも要求を呑めば更なる被害を生みます。
聞く耳を持たない
上記に同じです。「騒げば主張を聞いてもらえる」などという考えは許されません。
名前を与えない
攻撃者は見返り以上に「この騒ぎを起こした」という一種の名誉を求めます。その名誉となる名前は剥奪します。

の三原則の元、iptables(ufw) や筆者が前述したblacklistなどに放り込みましょう。

まとめ

このようにAbuseIPDBを確認することで、特定のIPアドレスがどのような不正行為を行っているか、世界中のユーザーからの報告を通じて把握することができます。

信頼スコアや報告回数、ISP、国などの情報から、そのIPアドレスをブロックすべきかどうかを判断する重要な材料になります。

不正アクセスは確かに脅威ですが、こちらのAbusedIPDBのような善意の協力者がいるという強みがあります。

これらを利用・貢献するというのも、自身が管理するWebサーバを攻撃から守る手段の一つです。

Redmineインストール後に行う避難訓練(Redmineの再作成)

By manualmaton

オン 2025年10月23日

カテゴリー: Linux, redmine

ここでは、Redmineを立ち上げ、基本的な設定を済ませた人が行っていただきたい「避難訓練」について述べます。

環境

Ubuntu 22.04
動かしていたRedmine:5.1
Apache 2.4 / mod-passangerでRubyアプリを使用(Ruby 3.2.3)
MySQL 8.0.3

避難訓練の内容

最終的な目的
- Redmineの再構築
避難訓練で行うこと
- DBバックアップ
- 「稼働環境のDBの削除」
- Redmine再構築
- バックアップしたDBの流し込み
- 再構築確認

何故このタイミングで？

「他の人が誰も使っていない状態だから」に尽きます。

自分以外の誰かが使っている中で

障害が発生してしまった状況でいきなりリストアを行う
最初にリストア訓練を行っている

状況下、安心できるのはどちらでしょうかという単純な問題。

そして、Redmineは古くから(2006年)使われているため

プラグインの相性問題
チューニングミス
設定変更

などで簡単にぶっ壊れます。筆者は2桁単位で壊してます。なので「壊れないようにする」ではなく「壊れてもすぐ元に戻せる」心構えがRedmineは特に重要です。

作業前のチェック

以下が必須です。

[ ] 慎重な心構え
[ ] ある程度リラックスできて集中できる環境。

さっくりとはならない手順

スナップショットのバックアップ (推奨)
DBのバックアップ
redmineのディレクトリを一度mvでリネームしてバックアップ。
apache停止
redmineのDBを消す。
redmineのDBを新たに作る。（ユーザは全て権限があるので問題なし)
apache再開
ディレクトリを再作成。
themesとpluginを再配置。
themesとpluginを再配置した状態でDBマイグレーション。
DBリストア。
動作確認。

システム全体のバックアップ（推奨）

万一に備え、システム全体のバックアップを取ることを推奨します。AWSや仮想サーバ等の場合は、インスタンスをまるごとバックアップしておくと良いでしょう。

mysqldumpによるDBバックアップ

保存ディレクトリに移動

cd /hoge

任意のバックアップディレクトリを指定します。

mysqldump -h localhost -u redmine -p --no-tablespaces --single-transaction redmine > redmine_backup.$(date +%Y%m%d).sql

DB名やDBユーザは自分の環境に合わせます。

データ退避

Redmineのルートディレクトリの上に移動

cd /home/www-data && pwd

Redmineが格納されているディレクトリの親ディレクトリに移動します。筆者環境は/home/www-dataなので、自分の環境に合わせます。

ディレクトリがあることを確認

ls -ld redmine

退避対象のディレクトリがあることを確認します。

リネームして退避

sudo mv redmine redmine_$(date +%Y%m%d)

退避確認

ls -ld redmine_$(date +%Y%m%d)

ファイルがあることを確認します。

apache停止

ここでWebサービスを停止するのは、DBを削除するためです。

apache停止前確認

systemctl status apache2.service

active(running)を確認します

apache停止

sudo systemctl stop apache2.service

apache停止後確認

systemctl status apache2.service

inactive(dead)を確認します

DB削除と再作成

この作業は慎重に行って下さい。

管理者権限でmysqlにログイン

sudo mysql -u root -p

DB確認

SHOW DATABASES;

redmineのDBがあることを確認します。

RedmineのDBを削除

DROP DATABASE redmine;

DB名は再確認してください。この作業前に3回ほど深呼吸して、何か飲み物をゆっくり飲んでからにしましょう。

RedmineのDB削除確認

SHOW DATABASES;

RedmineのDBがないことを確認します。

空のDB再作成

CREATE DATABASE redmine CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

同じDBを作り直します。

空のDB再作成確認

SHOW DATABASES;

作成したDBがあることを確認します。

EXIT

redmineDBユーザでログイン

mysql -u redmine -p

DB再作成前、redemineのDBにアクセスできるユーザー名です。上記操作はDBの削除は行いましたがユーザーの削除は行っていません。従って、削除前のユーザー名とパスワードでRedmineのDBにアクセス可能です。

DB確認

SHOW DATABASES;

作成したDBがあることを確認します。

EXIT

ディレクトリ退避

Web格納ディレクトリに移動

cd /home/www-data && pwd

自分の環境に合わせます。

退避前ディレクトリ確認

ls -ld redmine

Redmine格納ディレクトリは自分の環境に合わせます。このでぃれくとりがあることを確認します。

Redmineディレクトリ退避

sudo mv redmine /path/to/backup/redmine_$(date +%Y%m%d)

バックアップ環境は自分の環境に合わせます。

Redmineディレクトリ退避確認

ls -l /path/to/backup/redmine_$(date +%Y%m%d)

ディレクトリやファイル一式があることを確認します。

退避後ディレクトリ確認

ls -ld redmine

退避させたディレクトリが元のでぃれくとりにないことを確認します。

ソースダウンロード

ディレクトリ作成

sudo mkdir /home/www-data/redmine

自分の環境に合わせます。

ディレクトリの所有者変更

sudo chown -R www-data:www-data /home/www-data/redmine

svnダウンロード

sudo -u www-data svn co https://svn.redmine.org/redmine/branches/5.1-stable /home/www-data/redmine

5.1系の最新安定版をダウンロードします

退避させたディレクトリからconfigファイルコピー

退避させたRedmine→ 新規に作成したRedmineにコンフィグをコピー

sudo cp -pi /path/to/backup/redmine_$(date +%Y%m%d)/config/database.yml /home/www-data/redmine/config/database.yml

コピー元・コピー先は自分の環境に合わせます。

コンフィグの中身確認

cat /home/www-data/redmine/config/database.yml

コピーされていることを確認します。

退避させたRedmine→ 新規に作成したRedmineにメール設定情報などをコピー

sudo cp -pi /path/to/backup/redmine_$(date +%Y%m%d)/config/configuration.yml /home/www-data/redmine/config/configuration.yml

コピー元・コピー先は自分の環境に合わせます。

設定情報の中身確認

cat /home/www-data/redmine/config/configuration.yml

Redmineインストール

ディレクトリ移動

cd /home/www-data/redmine

bundle

sudo -u www-data bundle install --without development test --path vendor/bundle

シークレットトークン発行

sudo -u www-data bundle exec rake generate_secret_token

DBマイグレーション

sudo -u www-data RAILS_ENV=production bundle exec rake db:migrate

言語設定

sudo -u www-data RAILS_ENV=production REDMINE_LANG=ja bundle exec rake redmine:load_default_data

apache再開

apache再開前確認

systemctl status apache2.service

inactive(dead)を確認します

apache再開

sudo systemctl start apache2.service

apache再開確認

systemctl status apache2.service

active(runnning)を確認します

再作成後の仮パスワード作成

対象のRedmineにアクセスします。

IDとパスワードがadmin / admin に戻っている状態のため、ログイン後、仮パスワードを発行します。

退避したディレクトリからデータを再配置

この状況では単に「再作成されたRedmine」だけができている状況です。ここから、バックアップを流し込んでいきましょう。

退避したRedmineのプラグインディレクトリに移動

cd /hpath/to/backup/redmine_$(date +%Y%m%d)/plugins && pwd

プラグイン一式のコピー

sudo cp -pir ./* /home/www-data/redmine/plugins/

退避したRedmineのテーマディレクトリに移動

cd /path/to/backup/redmine_$(date +%Y%m%d)/public/themes

テーマ一式のコピー

sudo cp -pir ./* /home/www-data/redmine/public/themes/

いくつかのファイルを上書きするか求められるので、yで返します。

退避したRedmineの添付ファイル格納ディレクトリに移動

cd /path/to/backup/redmine_$(date +%Y%m%d)/files

添付ファイル一式のコピー

sudo cp -pir ./* /home/www-data/redmine/files/

退避したRedmineのログディレクトリに移動

cd /path/to/backup/redmine_$(date +%Y%m%d)/log

ログ一式のコピー

sudo cp -pir ./* /home/www-data/redmine/log/

プラグイン再マイグレーション

Redmineのルートディレクトリに移動

cd /home/www-data/redmine

bundle

sudo -u www-data bundle install

プラグインのDBマイグレーション

sudo -u www-data bundle exec rake redmine:plugins:migrate RAILS_ENV=production

apacheリスタート

apache再開前確認

systemctl status apache2.service

active(running)を確認します

apache再開

sudo systemctl restart apache2.service

apache再開確認

systemctl status apache2.service

active(runnning)を確認します

DBリストア

mysqldumpを行ったディレクトリに移動

cd /hoge && pwd

DBリストア

mysql -h localhost -u redmine -p redmine < redmine_backup.$(date +%Y%m%d).sql

パスワードはredmineインストール時に設定したDBユーザのパスワードです。

apacheリスタート

apache再開前確認

systemctl status apache2.service

active(running)を確認します

apache再開

sudo systemctl restart apache2.service

apache再開確認

systemctl status apache2.service

active(runnning)を確認します

動作確認

この状態でRedmineに管理者権限でログインします。手順通りなら

テーマ
添付ファイル
プラグイン
チケット一覧

などが有効に動いています。

オプション：作業後-退避前のディレクトリ一式を削除-

退避させたディレクトリの直上に移動

cd /path/to/backup

自分の環境に合わせます。

退避ディレクトリ確認

ls -ld redmine_$(date +%Y%m%d)

ディレクトリがあることを確認します。

退避ディレクトリ削除

sudo rm -rf redmine_$(date +%Y%m%d)

退避ディレクトリ確認

ls -ld redmine_$(date +%Y%m%d)

ディレクトリが無いことを確認します。

オプション：作業後-MySQLのダンプファイルを削除-

mysqldumpを行ったディレクトリに移動

cd /hoge && pwd

ダンプファイル確認

ls -l redmine_backup.$(date +%Y%m%d).sql

ファイルがあることを確認します。

ダンプファイル削除

rm redmine_backup.$(date +%Y%m%d).sql

ダンプファイル削除確認

ls -l redmine_backup.$(date +%Y%m%d).sql

ファイルが無いことを確認します。

備考

Redmineはバージョンさえ合っていれば

DB
設定ファイル
添付ファイル
プラグイン
テーマ
ログ

を移行することで、Redmineの作り直しのみならず、別のサーバへの引っ越しが可能になります。

この、避難訓練さえ行っていけば「何かがあってもバックアップさえあれば動かせる」という心の安定につながるでしょう。

免責事項：これは甲斐谷忍先生の作品『ONE OUTS』に敬意を表したシステム名/ファンアートであり、公式（集英社、製作委員会など）とは一切関係ありません。

『ONE OUTS』システム(Apache/Mod_Security/テキストファイル連携によるWeb防御)解説。 3 OUT

By manualmaton

オン 2025年10月22日

カテゴリー: Linux

概要

Apache
Mod_Security
テキストファイル

連携によるWeb防御『ONE OUTS』3回目。

ここでは応用編として、筆者の具体的なチューニングや追加設定などをご紹介します。

Cron設定

前項で説明したone_outs.sh。これは、筆者はCron化して自動運用しています。そのため、スクリプトは以下のように簡素化しています。

#!/bin/bash
#
# ONE OUTS System - IP Blacklist Auto-Generator (for cron)
#
# このスクリプトは、Tor出口ノードのリストとApacheのエラーログから
# 不審なIPアドレスを抽出し、ModSecurity用のブラックリストを自動生成します。
# cronなどで定期的に実行することを想定しています。
#

# === 変数の定義 ===

# --- 基本設定 ---
SCRIPT_BASE_DIR="/usr/local/scripts/security"
APACHE_LOG_DIR="/var/log/apache2"
MODSEC_BLACKLIST_FILE="/etc/modsecurity/ip-blacklist.txt"

# --- 除外設定 ---
EXCLUDE_IPS_FILE="${SCRIPT_BASE_DIR}/conf/exclude_ips.txt"

# --- 中間ファイル設定 ---
TOR_EXIT_LIST_RAW="${SCRIPT_BASE_DIR}/work/tor_exit_nodes_raw.txt"
TOR_EXIT_LIST_IPS="${SCRIPT_BASE_DIR}/work/tor_exit_nodes_ips.txt"
SUSPICIOUS_IPS_DAILY="${SCRIPT_BASE_DIR}/work/suspicious_ips_daily.txt"
SUSPICIOUS_IPS_ALL="${SCRIPT_BASE_DIR}/work/suspicious_ips_all.txt"

# === 処理の開始 ===

# 1. Tor出口ノードリストの取得
curl -s -o "${TOR_EXIT_LIST_RAW}" "https://check.torproject.org/exit-addresses"
if [ $? -ne 0 ]; then
    # エラーが発生した場合は syslog に記録
    logger "ONE OUTS Script Error: Failed to download Tor exit node list."
    exit 1
fi
awk '/^ExitAddress/ {print $2}' "${TOR_EXIT_LIST_RAW}" | sort -u > "${TOR_EXIT_LIST_IPS}"

# 2. Apacheエラーログからの不審IP抽出
grep "ModSecurity" "${APACHE_LOG_DIR}/error.log" | \
    grep -o -E "([0-9]{1,3}\.){3}[0-9]{1,3}" | \
    sort -u > "${SUSPICIOUS_IPS_DAILY}"

touch "${SUSPICIOUS_IPS_ALL}"
cat "${SUSPICIOUS_IPS_ALL}" "${SUSPICIOUS_IPS_DAILY}" | sort -u > "${SUSPICIOUS_IPS_ALL}.tmp" && mv "${SUSPICIOUS_IPS_ALL}.tmp" "${SUSPICIOUS_IPS_ALL}"

# 3. ブラックリストの生成
# 変更前のチェックサムを保存
PREV_CHECKSUM=$(md5sum "${MODSEC_BLACKLIST_FILE}" | awk '{print $1}')

# Torリストと不審IPリストを結合して一時ファイルを作成
cat "${TOR_EXIT_LIST_IPS}" "${SUSPICIOUS_IPS_ALL}" | sort -u > "${MODSEC_BLACKLIST_FILE}.tmp"

# 4. 除外IPの削除
if [ -f "${EXCLUDE_IPS_FILE}" ]; then
    grep -v -f "${EXCLUDE_IPS_FILE}" "${MODSEC_BLACKLIST_FILE}.tmp" > "${MODSEC_BLACKLIST_FILE}"
else
    mv "${MODSEC_BLACKLIST_FILE}.tmp" "${MODSEC_BLACKLIST_FILE}"
fi
rm -f "${MODSEC_BLACKLIST_FILE}.tmp" # -f オプションでファイルがなくてもエラーにならないように

# 変更後のチェックサムを取得
POST_CHECKSUM=$(md5sum "${MODSEC_BLACKLIST_FILE}" | awk '{print $1}')

# 5. ファイルに変更があった場合のみApacheをリロード
if [ "${PREV_CHECKSUM}" != "${POST_CHECKSUM}" ]; then
    logger "ONE OUTS Script: Blacklist updated. Reloading Apache."
    systemctl reload apache2.service
fi

exit 0

これをcrontabで設定。(その際にはchmod +x one_outs.shを忘れないように)

# ONE OUTS
0 4 * * * sleep $(shuf -i 0-59 -n 1)m && /home/hoge/script/server/one_outs.sh

として実行します。この、実行分をランダムにするのは、リストが更新されるというトリガーをつかみにくくするためです。

スローロリス攻撃への対処

この、ONE_OUTSの自動実行を行った頃、サーバのレスポンスが悪くなると言う状況を確認しました。以下のようなログを確認（アクセス元などはダミーに置き換えています）

# [クライアントIP] [タイムスタンプ]
# --- 攻撃検知 (1/2): カスタムルールが矛盾したConnectionヘッダーを検知 ---
[Mon Oct 20 11:30:05 2025] [security2:error] [client 198.51.100.201] ModSecurity: Warning. ... [id "10001"] [msg "[CUSTOM RULE] Contradictory Connection header, possible Slowloris probe."] [hostname "your-domain.com"] [uri "/search?query=some-long-query"]

# --- 攻撃検知 (2/2): CRSの標準ルールも同じ異常を検知 (スコア+3) ---
# data "keep-alive, close" の部分で、実際にどのようなデータが送られてきたかを確認できます。
[Mon Oct 20 11:30:05 2025] [security2:error] [client 198.51.100.201] ModSecurity: Warning. ... [id "920210"] [msg "Multiple/Conflicting Connection Header Data Found"] [data "keep-alive, close"] [severity "WARNING"] [hostname "your-domain.com"] [uri "/search?query=some-long-query"]

# --- 最終報告: 合計スコアとブロックに至らなかった状況を記録 ---
# この攻撃単体ではスコアが3のため、ブロックしきい値の5には達していません。
# 他の攻撃と組み合わさった場合に、ブロックの判断材料となります。
[Mon Oct 20 11:30:05 2025] [security2:error] [client 198.51.100.201] ModSecurity: Warning. ... [id "980170"] [msg "Anomaly Scores: (Inbound Scores: blocking=3, detection=3, ... threshold=5)"] [hostname "your-domain.com"] [uri "/search?query=some-long-query"]

これは典型的なスローロリス攻撃。

「Connectionヘッダーにkeep-aliveとcloseを同時に送信する」ことで、コネクションを矛盾させリソースを奪い最終的に枯渇を狙うというのは、攻撃者がCRS(Core Rule Set)に基づいた防御を行っていると確認した際/または単純な威力偵察の際によく使う手です。

漫画『ドリフターズ』に曰く

「こりゃ堕とせんと思ったら
その時から目的は変わるのよ
占領からいやがらせに変わる」

この、いやがらせ目的のため、自分のサーバのリソースが奪われるという状況は見過ごせません。以下のような処置を設けます。

『ONE OUTS』システム(Apache/Mod_Security/テキストファイル連携によるWeb防御)解説。 2 OUT

By manualmaton

オン 2025年10月21日

カテゴリー: Linux

概要

IPアドレスリストによるブロック
エージェントのブロック
ModSecurityのブラックリストのブロック

の3段階のフィルタを設けたONE OUTSシステム。その核となる「ModSecurityのブラックリストの自動生成」です。

スクリプト内容

one_outs.sh

こちらを、変数を自分の環境に合わせた状態で 修正していきます。性質上、root権限で作成します。

#!/bin/bash
#
# ONE OUTS System - IP Blacklist Auto-Generator
#
# このスクリプトは、Tor出口ノードのリストとApacheのエラーログから
# 不審なIPアドレスを抽出し、ModSecurity用のブラックリストを自動生成します。
# cronなどで定期的に実行することを想定しています。
#

# === 変数の定義 ===

# --- 基本設定 ---
# スクリプトのベースディレクトリ。環境に合わせて変更してください。
SCRIPT_BASE_DIR="/usr/local/scripts/security"
# Apacheのログディレクトリ。環境に合わせて変更してください。
APACHE_LOG_DIR="/var/log/apache2"
# ModSecurityのブラックリストファイル。SecRuleで指定したパスに合わせます。
MODSEC_BLACKLIST_FILE="/etc/modsecurity/ip-blacklist.txt"

# --- 除外設定 ---
# ブラックリストから除外したいIPアドレスを記述したファイル
# (例: 自分のIPアドレスや、正常なクローラーのIPなど)
EXCLUDE_IPS_FILE="${SCRIPT_BASE_DIR}/conf/exclude_ips.txt"

# --- 中間ファイル設定 (通常は変更不要) ---
# Tor出口ノードの生データをダウンロードする一時ファイル
TOR_EXIT_LIST_RAW="${SCRIPT_BASE_DIR}/work/tor_exit_nodes_raw.txt"
# Tor出口ノードのIPアドレスのみを抽出したリスト
TOR_EXIT_LIST_IPS="${SCRIPT_BASE_DIR}/work/tor_exit_nodes_ips.txt"
# Apacheのエラーログから抽出した不審なIPリスト (日次)
SUSPICIOUS_IPS_DAILY="${SCRIPT_BASE_DIR}/work/suspicious_ips_daily.txt"
# 過去分も含めた、全ての不審なIPリスト
SUSPICIOUS_IPS_ALL="${SCRIPT_BASE_DIR}/work/suspicious_ips_all.txt"
# スクリプト実行時の日付 (YYYYMMDD形式)
TODAY=$(date +%Y%m%d)

# === 処理の開始 ===

echo "--- IP Blacklist Generation Started at $(date) ---"

# 1. Tor出口ノードリストの取得
echo "[Step 1] Downloading Tor exit node list..."
curl -s -o "${TOR_EXIT_LIST_RAW}" "https://check.torproject.org/exit-addresses"

if [ $? -ne 0 ]; then
    echo "Error: Failed to download Tor exit node list."
    exit 1
fi

# ExitAddress行からIPアドレスのみを抽出し、ソートして重複を排除
awk '/^ExitAddress/ {print $2}' "${TOR_EXIT_LIST_RAW}" | sort -u > "${TOR_EXIT_LIST_IPS}"
echo " -> Tor IP list created: ${TOR_EXIT_LIST_IPS}"


# 2. Apacheエラーログからの不審IP抽出
echo "[Step 2] Extracting suspicious IPs from Apache error log..."
# エラーログの中からModSecurityが検知したIPアドレスを抽出
# (grepとsedでIPアドレスのパターンのみを抜き出す)
grep "ModSecurity" "${APACHE_LOG_DIR}/error.log" | \
    grep -o -E "([0-9]{1,3}\.){3}[0-9]{1,3}" | \
    sort -u > "${SUSPICIOUS_IPS_DAILY}"
echo " -> Daily suspicious IP list created: ${SUSPICIOUS_IPS_DAILY}"

# 過去の不審IPリストと今日の日次リストを結合し、最新の完全なリストを作成
# (ファイルが存在しない場合のエラーを避けるため、touchで空ファイルを作成)
touch "${SUSPICIOUS_IPS_ALL}"
cat "${SUSPICIOUS_IPS_ALL}" "${SUSPICIOUS_IPS_DAILY}" | sort -u > "${SUSPICIOUS_IPS_ALL}.tmp" && mv "${SUSPICIOUS_IPS_ALL}.tmp" "${SUSPICIOUS_IPS_ALL}"
echo " -> All suspicious IPs list updated: ${SUSPICIOUS_IPS_ALL}"


# 3. ブラックリストの生成
echo "[Step 3] Generating the final blacklist..."
# TorのIPリストと、これまで蓄積した不審なIPリストを結合
cat "${TOR_EXIT_LIST_IPS}" "${SUSPICIOUS_IPS_ALL}" | sort -u > "${MODSEC_BLACKLIST_FILE}.tmp"


# 4. 除外IPの削除
echo "[Step 4] Removing excluded IPs from the blacklist..."
if [ -f "${EXCLUDE_IPS_FILE}" ]; then
    # grep -v -f を使い、除外リストにあるIPを行ごと削除
    grep -v -f "${EXCLUDE_IPS_FILE}" "${MODSEC_BLACKLIST_FILE}.tmp" > "${MODSEC_BLACKLIST_FILE}"
else
    mv "${MODSEC_BLACKLIST_FILE}.tmp" "${MODSEC_BLACKLIST_FILE}"
fi
rm "${MODSEC_BLACKLIST_FILE}.tmp"
echo " -> Final blacklist created: ${MODSEC_BLACKLIST_FILE}"


# 5. Apacheの再読み込み (設定の反映)
# echo "[Step 5] Reloading Apache to apply changes..."
# systemctl reload apache2.service
# echo " -> Apache reloaded."
# ※ cronで実行する際は、再起動処理が多発しないよう注意が必要です。
#    ファイルに差分があった場合のみ再起動する、などの工夫を推奨します。


echo "--- IP Blacklist Generation Finished at $(date) ---"

作成後、

chmod +x oune_outs.sh

で実行権限を付与します。

そもそも、何故このスクリプトに至ったか？

Torという絶好の隠蔽手段のアクセス者を「バッターボックスに立たせない」

Tor (The Onion Router)はインターネット上での通信を匿名化するための技術とネットワークです。

プライバシー保護
検閲回避
ジャーナリストや活動家の安全確保

が利用目的。

入り口ノード(本来のアクセス元からここにアクセス)
中継サーバ(タマネギの皮を重ねる/剥くように暗号化と複合化で通信の秘匿性を維持)
出口ノード(アクセス先のサーバにはこの出口ノードからのIPアドレスが表示される)

の三段階で高い匿名性を保っています。ですが、

通信元のIPアドレスが隠されるため、誰がアクセスしているか特定しづらい。

という、サイバー攻撃者にとって非常に都合がいい技術となっています。そのため、この隠蔽手段は最初からアクセスを排除します。

また、このTorの出口ネットワークはほぼ日替わりで更新。

https://check.torproject.org/exit-addresses

この、「攻撃者にとって都合のいい情報」を「防御側も利用できる情報」として転用。

上記スクリプトでは、このURLにアクセスし、出口ノードをダウンロード。その後、IPアドレスの形式で出力します。

攻撃を試みた者は「二度目のチャンスを与えない」

Torを失ってでも不審なアクセスを試みた場合は、Mod_Securityが検知。以下のようなログを検出します。（IPやURLはダミーにしています）

2025年10月
月	火	水	木	金	土	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Linuxにおける「root」の特別性：システムを司る絶対的な権限

システム全体を制御する「神」の権限

絶大な力と隣り合わせの危険性

ちょっとした具体例

それを防ぐためのちょっとしたTIPS

プロンプト設定の意図解説

ユーザー種別による視覚的な区別

コンテキストの明確化

設定スクリプトの技術的な解説

初期設定

条件分岐によるプロンプトの切り替え

Ubuntu/Debian系での重要な留意点

補足:

まとめ

『賢者の石』としてのバックアップ

特に重要なWebアプリでのDBバックアップの重要性

その前に事前確認

さっくりとは言い難い手順

必要なファイルとディレクトリ群、注意

事前準備（ファイル・ディレクトリの作成とパーミッション設定）

バックアップディレクトリの作成

スクリプトの作成

スクリプトの動き

では、どうやって運用するの？

パスワードによる複合化

DBの切り戻し

最後に

なぜボトルネックの把握が重要なのか

把握するためのシェルスクリプト

仕組み

ついでにコマンド化

統率者

クリーチャー

インスタント

ソーサリー

エンチャント

アーティファクト

プレインズウォーカー

土地

OUT

IN

伊勢エビ

その他食事

概要

環境

パッケージアップデート時の注意

注意1：設定ファイルの維持

削除された場合のリスク

間違えてY/Iを選択してしまったら？

注意2：Growi依存プラグインによるサービス起動不可

原因:Growi固有のプラグイン

対処：再インストール

2つの注意点を対処後

Growi上での最終確認

そもそも論として「攻撃者は常習性があるか？」

AbuseIPDB.comとは

AbuseIPDB.com レポートサンプル

最近の不正利用レポート (一部抜粋)

ここから分かること

まとめ

環境

避難訓練の内容

何故このタイミングで？

作業前のチェック

さっくりとはならない手順

システム全体のバックアップ（推奨）

mysqldumpによるDBバックアップ

データ退避

apache停止

DB削除と再作成

ディレクトリ退避

ソースダウンロード

退避させたディレクトリからconfigファイルコピー

Redmineインストール

apache再開

再作成後の仮パスワード作成

退避したディレクトリからデータを再配置

プラグイン再マイグレーション

apacheリスタート

DBリストア

間違えて`Y`/`I`を選択してしまったら？