CentOS 5.2 の logrotate (logrotate-3.7.4-8) で postrotate 内のスクリプトを実行しないバグが、CentOS 5.3 の logrotate-3.7.4-9 で直ってるっぽいです。logrotate の挙動には悩まされたので、公開メモ。

Apache の access_log や error_log などを 日次で rotate して 日付を付けて gzip で圧縮している (したい) 方は多いと思います。下記のように postrotate 内のスクリプトで個別にもろもろ処理をしたいが、先のバグのため dateext 等の指定や自作スクリプトなどで対処していらっしゃる方もまた多いのではないでしょうか?

$ cat /etc/logrotate.d/httpd
/home/*/logs/*log {
    daily
    rotate 180
    create
    ifempty
    missingok
    <略>
    sharedscripts
    postrotate
        EXT=`date -d '1 day ago' +%Y%m%d`
        for F in $1; do
        mv $F.1 $F.$EXT
        <その他もろもろ略>
        done
    endscript
}

古いバージョンや他系列のバージョンなら機能するという logrotateのバグ や CentOS 5.2 の Logrotate などの貴重な情報もあります。それが CentOS 5.3 の logrotate-3.7.4-9 (09-Mar-2009 10:46) では修正されたようです。なんか postrotate 内が動いてないんじゃ ?? とお悩みの方は、以下の検査方法で切り分けできるかと。

【検査方法】
1. テスト用ディレクトリ作成:

$ mkdir -p /tmp/test_log/1 /tmp/test_log/2

2. テスト用設定ファイル (/tmp/test_log/config) 作成:

$ vi /tmp/test_log/config
/tmp/test_log/*/*_log {
    rotate 3
    compress
    missingok
    create
    sharedscripts
        postrotate
        echo $1
    endscript
}

3. テスト用ログ作成:

$ echo "hi" | tee /tmp/test_log/1/access_log > /tmp/test_log/2/error_log

4. テスト実行

$ logrotate -f /tmp/test_log/config

5. テスト結果確認
空行だけしか出力されなければ postrotate は機能してません。

$ /tmp/test_log/1/access_log /tmp/test_log/2/error_log

と表示されれば機能しています。

上記検査方法(再現方法)は、Bug 241766 – Logrotate ignores pre/postrotating scripts arguments （調査依頼書としてお手本にしたい簡潔明瞭さです。）を参考にワイルドカードもきちんと処理されるかを確認できるようにちょっとだけ変更。

【アップデート】

$ cd /usr/local/src
$ wget http://ftp.riken.jp/Linux/centos/5.3/os/i386/CentOS/logrotate-3.7.4-9.i386.rpm
$ rpm -Uvh logrotate-3.7.4-9.i386.rpm

上記 3.4.5.で再検査。

6. (後片付けするなら)

$ rm -fR /tmp/test_log

【※注意※】
ただし、かの logrotate には他にもいろいろバグがあるようで (参考1,2,3) それらが全て logrotate-3.7.4-9 で直っているかは確認していません。さらに Bug 445554 – Logrotate ignores pre/postrotating scripts arguments には、"Regression (退行)" している部分があるとの指摘もありますので、お約束で恐縮ですがくれぐれも各自の用途に沿った選択と自己責任でお願いいたします。

参考1：logrotateのバグ修正および機能拡張アップデート
参考2：https://bugzilla.redhat.com/buglist.cgi?component=logrotate&product=Red%20Hat%20Enterprise%20Linux%204
参考3：https://bugzilla.redhat.com/buglist.cgi?component=logrotate&product=Red%20Hat%20Enterprise%20Linux%205

不正侵入防止のために DenyHosts を設置している。

DenyHosts は、セキュリティログを監視して (筆者の環境 CentOS 5.2では/var/log/secure) 不正ログインを試みた痕跡があった場合に、/etc/hosts.deny (TCP wrapper によるアクセス規制リスト) に規制する IP を自動で追加してくれる。

設定ファイル (/etc/denyhosts/denyhosts.cfg) はデフォルトのもの (/usr/share/doc/denyhosts-2.6/denyhosts.cfg-dist相当) で必要十分に機能するようになっているが、筆者はさらに以下などのようにして少しばかり厳しくしている。

PURGE_DENY =                 ←2度とログインを受け付けない…
BLOCK_SERVICE = ALL          ←全てのサービスで…
DENY_THRESHOLD_INVALID = 1   ←1度でも…
DENY_THRESHOLD_VALID = 1     ←1度でも…
DENY_THRESHOLD_ROOT = 1      ←1度でも…しくじったら。

正しい意味は、本サイト http://denyhosts.sourceforge.net/faq.html 等々でご確認くださいね(^^;)

それがきちんと機能した…

FTP を スーパーデーモン (xinetd) 経由の起動に変更したので、念のため nmap などを使ってセキュリティ監査をしていたら、DenyHosts から報告メールが届いた。見覚えのあるIP。なんと自IPが蹴られるようになってるじゃないか…。(DenyHosts はきちんと働いてくれている。アンポンタン筆者の予見力がきちんと働いていない。)

筆者の設定では、1度でも不正アクセスを試みた IP からは hosts.deny を参照する全てのサービスへのログインができないようにしているので、FTP で ログインして /etc/hosts.deny を一旦削除するなどの方法もとれない。コンパネがあれば、それ経由で作業するなどしかないかと思うが、筆者はたまたまログイン中のコンソールがあったのでそこから作業した。

/etc/hosts.deny から自IPの行を削除。
ログイン → OK♪
ところが、しばらくすると再び DenyHosts からメールが来る。
(ホラー映画みたいだ･･)
/etc/hosts.deny を確認すると "きちんと" 再登録されている。
(真面目だ･･)

再び、「なんで〜??」

もしや nmap の使い方を間違えて再三ポートスキャンでもさせちゃってるのかと当初見当外れな調べからはじめたが、一息ついて DenyHosts の動き方を考え始めてやっとこさ理解。

DenyHosts は、冒頭に書いたように、定期的にセキュリティログを監視して、その結果不正アクセスを試みたIPを hosts.deny に追記している。そのため履歴が残っている限り登録し続けるようだ。
(あなたが正しい、私が正しくない)

で、「どうすれば…?」

当該ログから自IPでの不正アクセスの痕跡(?)と判断される行を探して削除するとか、
DenyHosts のワークファイル (/usr/share/denyhosts/data 以下) を触るなどしても可能なのかも(?)しれませんが、
筆者はなるべく簡単確実そうな (←これ重要)、 以下のアプローチを試しました。

1. /etc/denyhosts/denyhosts.cfg の以下を変更。

 > #RESET_ON_SUCCESS = yes
 < RESET_ON_SUCCESS = yes

2. /etc/hosts.deny から 自IP を削除。

3. DenyHosts を再起動

$ service denyhosts restart

4. なんらかのサービス (SSH, FTPなど) で "即" ログイン

↑ "即" がキモです。

DenyHosts をデーモンとしてデフォルト設定で起動している場合には、

DAEMON_SLEEP = 30s

となっているかと思いますので、その30秒のインターバルの間に正しいログインをすればそれまでの悪行(?)、もとい愚行をチャラにしてくれます。

半年前からテスト用に借りている某VPSサーバのコンパネがPleskという商用コントロールパネル。

これが、なかなかの曲者。

”えぇ〜?”というような（サービスの稼働状況表示みたいな）基本的なところにでさえバグはあるし、
(2008-09バグレポート提出, 現時点アナウンスなし、)
公開情報が少ない独自仕様で解説書のような一般書籍も（もちろん?）出ていない。
Administrator's Guideには基本設定手順くらいしか記載されていない。
Webのサポート情報も(本国含め)十分とはいえない。

その上、サーバ事業者のサポートも同様に素敵だ。
自社で採択したコンパネの特有の癖くらいは情報提供してこそサーバサービス事業者たると私は思うのだが、事業者はそうは思わないらしいので見解の不一致(*1)。
端から "root権限付きは全て自身で解決していただくのが基本です" と紋切り型スタンス。
おっしゃるとおりです。オープンソースの世界で一般公知情報の類であれば、私もそう思います。

しかたなく･･･(?)苦労した先達の奉仕的情報公開や、他(!)事業者さんのサポートフォーラムの情報（「使えるネット」さんなど）などを参考にしたりしながらなんとかしてきたけど、知るほどにその独自仕様に嫌気が･･･

Webサービスを組み上げるためにはいろいろと手を施してやらなければならないのに、これまでの（WebサーバやDBサーバの設定といった）基本的なところまででの制約を鑑みると先が思いやられるというか…

そもそも、コンパネの存在意義って、設定操作を簡便にするためだと(私は)思うのだが、Pleskで設定できることはごく基本的なことに限られている上に、それ以外の本来各サーバソフトウェア群でできるはずの設定をしたいと思うと、途端に情報が少ない独自仕様の世界に付き合わされることになる。
各サーバソフトウェア群もPleskと協調させるためにカスタマイズしているようなので、例えばMySQLやPHPを最新バージョンに上げたいとか、Apacheのオプションを追加/変更してビルドしなおしたいなどというようなことが難しい。
その上、事業者はPleskのアップデータの適用さえ推奨していない(動作保障できないと）及び腰だ。

せっかくオープンソースの世界にいるのに、これでは某ソフトウェア帝国を想起させられる窮屈さだ。

･･･ということで、これ以上１ベンダーの１製品に足を縛られるのがあほらしくなってきたので、見切りをつけてサーバ移転を検討開始だ。

(*1)
[追記：2009-01-24]
後日発見。「くららオンライン」さんには十分な注意書きが掲載されているのを発見。コンパネを選択する際には参考にさせていただくと宜しいかと思います。

Pleskご利用マニュアル｜サーバ管理｜クララオンライン｜カスタマーサポート

http://support.clara.jp/clarafaq/index.php?action=artikel&cat=11&id=104&artlang=ja

<以下、抜粋引用>

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

Pleskご利用上のご注意

Pleskはあらゆる操作をWebブラウザを通して行うことを想定しており、SSHなどを用いて直接コマンドを操作しサーバの設定を変更することを許可していません。そのため、Pleskの動作に関係するソフトウェアの設定をサーバ内で手動で書き換えた場合、Pleskだけではなく、サーバ自体が正しく動作しなくなる可能性がありますのでご注意ください。

手動でhttpd.confの設定を変更する場合、Pleskが許可している外部ファイルの読み込み手順に従って作業していただく必要があります。詳しくは弊社のFAQをご覧ください。 PleskはMySQLやPHPを用いて動作しています。PleskはOS標準のバージョンにより動作確認を行っており、お客様にてソフトウェアの入れ替えを行われる場合などにはParallels 社 ( 旧 SWsoft 社 )及び弊社からの動作保証がございません。お客様にてMySQLやPHPについて、OS標準バージョン以外のソフトウェアの導入をご希望の場合には、PleskではなくWebminを用いた構成をお選びいただくことを推奨いたします。

サーバに含まれる設定ファイルをお客様にて書き換えられた場合の動作保証はございません。お客様の責の範囲でご利用いただきますよう予めご了承ください。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

<引用終わり>

[追記：2009-02-10]
Pleskはごく初歩的なサーバ運用で十分というニーズにはユーザーフレンドリで適しているのかもしれませんね。
筆者のニーズにはマッチしなかったので専用サーバに移転しました。