【RHEL9】sshd_configで制御できないSSHの暗号化アルゴリズム脆弱性を塞ぐ
Posted inLinux RHEL9 ssh

【RHEL9】sshd_configで制御できないSSHの暗号化アルゴリズム脆弱性を塞ぐ

概要 RHEL9(およびAlmaLinux9, Rocky9など)では、SSHの暗号化アルゴリズムやハッシュ方式が OpenSSLポリシー(crypto policy) で一括制御される。そのため、/etc/ssh/sshd_config を編集しても、脆弱なSHA-1や古い暗号が残る場合がある。この記事では、暗号ポリシーの確認からSHA-1の無効化、検証までの手順を整理する。 1. 暗号化アルゴリズムの制御構造を理解する RHEL9では、SSHサーバ(sshd)の暗号制御はOpenSSLを経由して行われる。そのため、sshd_config のみで脆弱なアルゴリズムを除外しても、OS全体のポリシーが優先される。 2. デフォルトの暗号化アルゴリズムポリシーを確認 まず、現在のシステム暗号ポリシーを確認する。 # update-crypto-policies --show [root@localhost ~]# update-crypto-policies --show DEFAULT DEFAULT はRHEL標準ポリシーで、SHA-1がまだ一部許可されている。 DEFAULTポリシーは以下に設定されている /usr/share/crypto-policies/policies [root@localhost ~]# cd /usr/share/crypto-policies/policies…
November 8, 2025
【Zabbix】ZabbixでCiscoスイッチを監視する
Posted inLinux RHEL9 SNMP

【Zabbix】ZabbixでCiscoスイッチを監視する

ZabbixでCiscoスイッチ(Catalystなど)を監視するには、SNMP(Simple Network Management Protocol)を使う。CPU、メモリ、トラフィック、ポート状態などをZabbixが自動で取得できるようになる。今回は RHEL9でZabbixサーバを構築した環境を前提に、net-snmp の導入から実際の監視設定までをまとめる。 1. 前提環境 Zabbix環境構築は以下を参考【RHEL9】Zabbixサーバを構築する(MariaDB + Apache + PHP)https://www.kyororo.com/2025/11/01/%e3%80%90rhel9%e3%80%91zabbix%e3%82%b5%e3%83%bc%e3%83%90%e3%82%92%e6%a7%8b%e7%af%89%e3%81%99%e3%82%8b%ef%bc%88mariadb-apache-php%ef%bc%89/ CiscoでのSNMP設定は以下を参照【RHEL9】SNMPサーバを構築してCiscoスイッチを監視する - 3. Cisco C2960LのSNMP設定https://www.kyororo.com/2025/05/11/%e3%80%90oracle-linux9%e3%80%91snmp%e3%82%b5%e3%83%bc%e3%83%90%e3%82%92%e6%a7%8b%e7%af%89%e3%81%97%e3%81%a6cisco%e3%82%b9%e3%82%a4%e3%83%83%e3%83%81%e3%82%92%e7%9b%a3%e8%a6%96%e3%81%99%e3%82%8b/ 項目内容OSRHEL 9.x監視対象Cisco Catalyst 2960L Zabbixサーバ7.0以降ネットワーク要件UDP/161ポートがZabbixサーバ→スイッチ間で疎通していること 2. Zabbixサーバ側:net-snmp のインストール ZabbixサーバでSNMP通信を確認するため、まず net-snmp を導入する。# dnf…
November 1, 2025
【RHEL9】Zabbixサーバを構築する(MariaDB + Apache + PHP)
Posted inLinux RHEL9 Zabbix

【RHEL9】Zabbixサーバを構築する(MariaDB + Apache + PHP)

ZabbixをRHEL9上に構築した手順をまとめる。構成は「Zabbix 7.0 LTS + MariaDB + Apache + PHP」で、シンプルなオンプレ監視サーバとして動作させる構成にした。 構成イメージ graph TB subgraph RHEL["RHEL Server"] subgraph Zabbix["Zabbix 7.0 LTS"] ZS["Zabbix Serverポート: 10051"] ZA["Zabbix Agent"] end subgraph WebStack["Web Stack"] Apache["Apache HTTP…
November 1, 2025
【RHEL9】unzipなしでZIPファイルを解凍する
Posted inLinux RHEL9

【RHEL9】unzipなしでZIPファイルを解凍する

RHEL9ではunzipコマンドがデフォルトで入っていない。最小構成で環境を構築した場合、ZIPファイルを展開しようとして「unzip: command not found」と表示されて困ることがある。 とはいえ、Pythonが入っていれば問題ない。標準ライブラリのzipfileモジュールを使えば、追加パッケージなしでZIPを解凍できる。 Pythonワンライナーで解凍する 最も手軽なのが以下のコマンドだ。 python3 -m zipfile -e sample.zip ./unzipped -eは「extract(展開)」を意味する。このコマンドを実行すると、sample.zipの中身が./unzippedディレクトリに展開される。ディレクトリが存在しない場合は自動で作成される。 解凍後の確認 ls ./unzipped これで中身が展開されていれば成功。特にサーバー用途など、余計なパッケージを入れたくない環境では非常に便利だ。 まとめ unzipがなくてもPython標準機能で解凍可能 コマンドは一行だけ 追加インストール不要で最小構成でも動作する RHEL9などのクリーン環境でZIPを解凍する場合、この方法を覚えておくと地味に役立つ。
October 13, 2025
【RHEL9】Kea DHCPを最小構成で立ち上げる
Posted inLinux Red Hat Enterprise Linux RHEL9

【RHEL9】Kea DHCPを最小構成で立ち上げる

小規模セグメントに、Kea DHCPv4 で「192.168.12.10 から 192.168.12.200 の範囲だけ」IP を払い出す最小構成を、RHEL 9で作成する。初期セットアップ、設定ファイル、起動・確認までをまとめる。 Kea DHCPとは? Kea DHCPは、Internet Systems Consortium(ISC)が開発する次世代のオープンソースDHCPサーバで、DHCPv4とDHCPv6の両方をサポートする。設定はJSON形式で扱え、Control AgentのREST APIで動的制御できるほか、リースはmemfileに加えてMySQL/PostgreSQLへ保存できる。旧来のISC DHCPは2022年にEOLとなり、Keaへの移行が公式に推奨されている。(isc.org) 想定イメージ flowchart LR subgraph LAN["192.168.12.0/24"] GW["Router192.168.12.1"] Srv["Kea DHCPv4RHEL 9.5192.168.12.11"] C1["Client A"] C2["Client B"]…
August 31, 2025
Windowsの標準機能だけでポートをリッスンする方法
Posted inLinux RHEL9 Windows

Windowsの標準機能だけでポートをリッスンする方法

はじめに セキュリティが厳しい企業環境やサーバー環境では、ncやnmapなどの便利なツールをインストールできないことがある。しかし、Windowsの標準機能だけを使って、ポートのリッスンやネットワークのテストを行うことは可能だ。本記事では、PowerShellの標準ツールを使ったワンライナーでポートをリッスンする方法を紹介する。 PowerShellを使った方法 基本的なTCPリスナー PowerShellのSystem.Net.Socketsを使って、簡単にTCPポートをリッスンできる。 powershell # ポート8080でリッスン(ワンライナー) $l=New-Object System.Net.Sockets.TcpListener(8080);$l.Start();Write-Host 'Listening on port 8080...';$c=$l.AcceptTcpClient();$s=$c.GetStream();$r=New-Object System.IO.StreamReader($s);while($d=$r.ReadLine()){Write-Host $d};$c.Close();$l.Stop() 設定反映確認(LISTENしているポートを確認) netstat -an | findstr :8080 実行結果 PS C:\Users\Administrator> netstat -an | findstr :8080…
July 5, 2025
【RHEL9】SNMPサーバを構築してCiscoスイッチを監視する
Posted inLinux Red Hat Enterprise Linux RHEL9

【RHEL9】SNMPサーバを構築してCiscoスイッチを監視する

ネットワーク機器の状態監視をしたいと考えたとき、もっともシンプルな方法のひとつが SNMP(Simple Network Management Protocol) を使った監視になる。 この記事では、RHEL9を使ってSNMPサーバを構築し、Cisco Catalyst C2960Lスイッチの状態を取得する方法を記載する。 1. SNMPとは? SNMP(Simple Network Management Protocol)は、ネットワーク機器の情報(インターフェース状態、CPU使用率、システム名など)を取得・管理するためのプロトコル。 Ciscoスイッチを監視するには、SNMPでデータを取得する「サーバ(監視側)」と、情報を提供する「スイッチ(被監視側)」が必要になる。 2. 構成の概要 役割内容SNMPサーバRed Hat Enterprise Linux 9被監視機器Cisco Catalyst C2960LSNMPバージョンv2c(シンプルで学習向け)コミュニティ名public(※実運用では変更推奨) graph TD Client["管理者PC(snmpwalk使用)"] SNMPServer["Red Hat…
May 11, 2025
【RHEL9】ダウンロード済みパッケージでローカルリポジトリを作成し、別環境に持ち込み・インストールする
Posted inLinux Red Hat Enterprise Linux RHEL9

【RHEL9】ダウンロード済みパッケージでローカルリポジトリを作成し、別環境に持ち込み・インストールする

概要 RHEL9環境でパッケージを事前にダウンロードし、createrepo でリポジトリ化。これを別のオフライン環境に持ち込んで、dnf でインストールする手順を解説。 主に以下の用途を想定: オフラインサーバにパッケージを導入したい ダウンロード済みのパッケージを複数サーバで使い回したい CD/DVD等も使えない環境でのパッケージインストール 手順 ① 必要なパッケージをダウンロード まずはパッケージとその依存関係をダウンロード。パッケージインストール先ディレクトリを作成。 # mkdir -p /tmp/myrepoインストール先ディレクトリにパッケージをダウンロード。# dnf download --resolve --alldeps --destdir=/tmp/myrepo パッケージ名 例:Apache(httpd)の場合 # dnf download --resolve --alldeps --destdir=/tmp/myrepo httpd…
May 4, 2025
【RHEL9】オフライン環境でISO(CD/DVD)リポジトリを使ってdnfでパッケージをインストールする
Posted inLinux Red Hat Enterprise Linux RHEL9

【RHEL9】オフライン環境でISO(CD/DVD)リポジトリを使ってdnfでパッケージをインストールする

Red Hat Enterprise Linux 9(RHEL9)環境で、インターネットに接続せずにISOイメージ(DVD/CD)を使ってdnfインストールする手順。 特にオフライン環境や社内閉域ネットワークでの構築時を想定。 以下手順はすべて管理者権限で実行 1. 準備:ISOをマシンにマウント RHEL9のインストールDVD(ISOイメージ)を物理ドライブまたは仮想マシンのCD/DVDドライブにセット。 通常、CD/DVDドライブは/dev/sr0として認識される。 確認:# lsblk [root@localhost ~]# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 32G 0 disk tqsda1…
May 4, 2025