Fedora12でQCOW2の圧縮機能を使ってみた
Fedora12の新機能の1つに、QCOW2形式のパフォーマンス向上がある。
( https://fedoraproject.org/wiki/Features/KVM_qcow2_Performance )
QCOW2はraw形式と比べて、ディスクの使用に従って、順次ファイルサイズを大きくしていくという利点がある。このため、新規に作成するVMについてはできる限りQCOW2形式を使うことにしたのだが、既存のVMをraw形式から変換することも試してみた。fedora-virt4というVMを例に取ると、
# cd /var/lib/libvirt/images # mv fedora-virt4.img fedora-virt4.img.raw # qemu-img convert -c -O qcow2 fedora-virt4.img.raw fedora-virt4.img
とした。
結果なのだが、コマンド中の-c (compression)のオプションが効いていたらしく、gzip圧縮によりVMを小さくしたのと同じ程度までVMのサイズが小さくなった。もちろん、直接virsh start fedora-virt4で起動可能である。
VMを大量に作っていくとディスクサイズを食いがちなので、Fedora12以降を使うなら、極力QCOW2形式を使い、ディスク使用量を抑えると良さそうだ。
LPIC303: openssl, GPGの使い方(リンク集)
openssl, GPGは、どちらも公開鍵方式で暗号化、署名等を行うツールで、LPIC303ではかなり序盤に出てくる。
実はこれらについては、あまり出来がよくなかったので恐縮なのだがww opensslについて、準備中一番役に立ったリンクは、こちらのHowToとなる。。
http://www.madboa.com/geek/openssl/
多分使わないであろうオプション (openssl passwd とか ww ) も含まれているが、証明書、証明書要求の違いなど微妙な説明が役に立った。
GPGについては、あまり詳しいWebページが無いので情報を探すのに苦労する。。今見てみたら、ここがかなり詳しかった。
http://www013.upp.so-net.ne.jp/ikeda/linux/gnupg.html
まあ、GPGについてはあまり出来ていなかったので、大きなことは言えないのだが。。 orz
LPIC303: Application Securityの参考資料
Application Securityの項目はネットワーク系のサービスがパラパラと出題される。この項目については、これといってまとまった資料が無いため、日頃この手の使っているかどうかが問われそうだ。。 SSHについては若干設問が多いため、詳しく見ておくとよさげである。。
これぐらいで、、あまり有益な情報は持っていないのである。。 ww orz
ちなみにシラバスにある、 ssh-vulnkey コマンドなのだが、Debian系OpenSSHの有名な脆弱性 ( http://japan.internet.com/webtech/20080516/12.html )について確認するもので、Ubuntu等を使っている場合には、試験に関係なく、一度確認しておくとよさそうだ。(Ubuntu8.04の筆者の環境でも、一部脆弱な鍵が見つかった。外向けのものではないので、問題は無いが。。)
使い方は次のようになる。
$ ssh-vulnkey
安全な鍵では、"Not blacklisted", 脆弱な鍵では、"COMPROMISED"の記述が出るようだ。
LPIC303: Encrypt Filesystems, Extended ACLの参考リンク
暗号化ファイルシステムでは、こちらのリンクを参考にした。
cryptsetup:
http://japan.internet.com/linuxtutorial/20070713/1.html
cryptmount:
http://sourceforge.jp/magazine/08/04/24/0156232
大体これくらい覚えておけば良さげである。。
ちなみにcryptsetupがdm-cryptを直接使うツールで、cryptmountは、それを使いやすくするためのラッパーのような感じらしい。。 多分。。 orz
Extended ACLは、こちら。
http://www.itmedia.co.jp/enterprise/0403/06/epn01.html
ちなみにUbuntuの /tmpで試したところ、Operation not Permitted のエラーが出たのだが、これはリンク先にある通り、マウントオプション acl が足りないことによるらしい。Fedora12では問題なく各コマンドが実施できた。
Extended ACLはそのままファイルをコピーすると、ACLが保たれなかったりと、色々とトラブルの元になりそうなのだが、、上手く使うと便利そうだ。。 w
LPIC303: Network Securityの参考リンク
Network Security については、snort, nmap, ntop, nagiosなど、様々なサービスから出題されるので、まずは一度一通りのサービスを使ってみることをお奨めする。。ただし、どれもかなり細かいところまで出るので、場合によっては簡単な設問を選んで回答することも必要かも知れない。。
特に、シラバス(http://www.lpi.org/eng/certification/the_lpic_program/lpic_3/exam_303_detailed_objectives)内での各項目で、"Key Knowledge Area"に"Configuration" とかかれている部分は大まかな内容だけでなく、設定ファイルの中身も出題されることがあるようなので、設定についても代表的なものだけは覚えていくとよさそうだ。。もっともどれが代表的な設定なのか、初見では判断しようがないのだが。。 orz
参考リンクだが、iptablesについてはこちらが参考になる。
http://www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html
iptablesのテーブルとしては、filterとnat以外は出ないようなので、それらを集中して確認しておくと良さそうだ。
OpenVPNについてはこちら。
http://freescitech.net/2/ovpn2_howto_ja.html
オプションの数が多かったり、ルーティングの構成が面倒だったりと、実際使ってみないと厳しそうだ。
他は各プロジェクトのman程度しか見ていなかったので、よく分からない。。 orz
尚、iptablesのNATの構成を試すときには、libvirtの"デフォルトネットワーク"(Fedora12インストール時に自動で構成される) を使うとブロードバンドルーターをいじらなくてもよいので、取っ掛かりとしては良さそうだ。( ホストOSでルーティング+iptablesによるマスカレード の構成になる)
※ 更に"デフォルトネットワーク"上に、OpenVPNクライアントの仮想マシンを作ると、OpenVPNのルーティング構成も試せそうなのだが、筆者は試していない。。 orz
長々と書いてしまったが、細かい設定以外に各ツールの用途程度の問題も多々出るので、一通り使ってみるだけでもそれなりに何とかなりそうではある。。 w
ちなみに問題数は少ないのだが、RCS+Puppetから2題出るようなので、余裕があればというところである。
※ バージョン管理+構成同期は一度使うと手放せない。。 ww
色々と情報が不足している面はあるが、セキュリティ全般に関するかなりおもしろい試験なので、LPIC所持者は是非。
