www.kinryo.net

ファイルサーバーが動いている本番環境では問題があるので、3番目のホストに同期するようにしてテストする。すべて同じネットワークにある。

1. ホスト名: smb7 ファイルサーバーが動いているサーバー
2. ホスト名: smb6A ファイルサーバーをコピーしたホスト、IPとホスト名だけを変更、     rsyncで30分毎に同期している。バックアップとしている
3. ホスト名: smb3 ファイルサーバーをコピーしたホスト、IPとホスト名だけを変更、rsyncで30分毎に同期している。2番目のバックアップとしている

前提:smb3でrsyncの設定が済んでいる亊。私はファイルサーバのバックアップしているので設定は終わっているが、Cronで30分毎のバックアップは止める。
smb6Aでの設定。
先ずはlsyncdのインストール
# dnf install lsyncd
Verは2.2.3がインストールされた。でもってlsyncdの設定
# gedit /etc/lsyncd.conf

-- sync{default.rsyncssh, source="/var/www/html", host="localhost", targetdir="/tmp/htmlcopy/"}

settings{
	logfile = "/var/log/lsyncd/lsyncd.log",
	statusFile = "/var/log/lsyncd/lsyncd.stat",
	statusInterval = 1,
--	同期先との接続に失敗しても再接続を試み続ける
         insist         = 1,
}
sync{
	default.rsync,
--      同期元のパス
	source ="/SmbData/",
--	同期先のパス
	target="root@192.168.xx.xx::SmbData/",
	delete =true,
	excludeFrom="/root/exclude1",
	delay = 1,
	rsync = {
		archive = true,
		links = true,
		update = true,
		verbose = false,
		password_file="/etc/rsyncd.passwd",
	}
}

このファイルではーーがコメントの様だ。でlsyncdをスタート
# systemctl start lsyncd
# systemctl enable lsyncd
テストをする。smb6Aに何か保存、smb3に反映してるか、保存したファイルを消去、smb3から消えているか。（ただこれは30分毎に本チャンのファイルサーバーから同期が入るので、その影響の無い時間にテストする)　無事確認が済んだ。
少し様子を見てから、本番環境に設定する。

ちなみに、lsyncdはファイルの作製、変更、消去などをOSが通知するのを受けて動作するが、最大数があるので調べて見る
# sysctl -a | grep inotify
fs.inotify.max_queued_events = 16384
fs.inotify.max_user_instances = 128
fs.inotify.max_user_watches = 262144
user.max_inotify_instances = 128
user.max_inotify_watches = 262144

fs.inotify.max_queued_eventsとは(googleより)
もし、ファイルシステムの変更が頻繁に発生し、イベントの取りこぼしが発生している可能性がある場合は、max_queued_eventsの値を大きくすることを検討すると良いでしょう。ただし、値を大きくしすぎると、カーネルのメモリ消費量が増加する可能性があるため、適切な値を設定する必要があります。

fs.inotify.max_user_instancesとは(googleより)
このパラメータは、各ユーザーが同時に使用できる inotify インスタンスの数を制限します。inotify インスタンスは、ファイルシステムの監視対象ごとに作成されます。例えば、多数のディレクトリやファイルを監視するアプリケーションでは、多くの inotify インスタンスが必要になります。

fs.inotify.max_user_watchesとは(googleより)
Linuxカーネルのinotifyサブシステムにおける、ユーザーが監視できるファイルの最大数を設定するパラメータです。inotifyは、ファイルシステムの変更を監視するためのカーネル機能で、例えばファイルが作成、削除、変更されたときにアプリケーションに通知を送るのに使われます。fs.inotify.max_user_watches は、inotifyインスタンスごとに監視できるファイルの最大数を制限し、システムリソースの過剰な消費を防ぎます。

参考：https://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/
ウィンドウのアンチウィルスで有名なKasperskyがLINUX用のアンチウィルスソフト、Kaspersky Virus Removal Tool for Linux が出たので試してみる
まずはダウンロード、https://www.kaspersky.com/downloads/free-virus-removal-tool
すると下の画面が開くので

downloadをクリックすると

が表示されるので、３つあるチェックボックスをチェックし、Accept をクリックし、好きな場所にkvrt.runを保存。このソフトは常駐ソフトではないので、このkvrt.runを走らせてウィルスチェックをする。試しに走らせるがその前にこのプログラムに実行権限を与える。ノーチラス（ウィンドウのエクスプローラー）でこのファイルを選び右クリックでプロパティーを選び

でもって、kvrt.exeを走らせるが、https://blog.kaspersky.co.jp/kvrt-for-linux/36511/
にあるように、root権限で実行する事。

そして Start scanをクリックするとスキャンが始まり

スキャンが終了すると

で、右上の QuarantineやReportsなどで状況を見ることが出来る。
ただ、このkvrt.runはウィルスのアップデートなどはしてくれないし、(https://blog.kaspersky.co.jp/kvrt-for-linux/36511/ から引用

KVRT for Linuxには、アンチウイルスデータベースを自動更新するメカニズムがありません。最新の脅威を認識させたい場合は、当社のWebサイトから新しいバージョンのプログラムを毎回ダウンロードする必要があります。そこでホストされているパッケージは1日に数回更新されています。

最新のものを使うにな毎回ダウンロードしないとならないとある。これは後で考えるとして、一々手動でやるのも面倒なので、定期実行のためにcronを使いCLIで走らせる。
参考させてもらった https://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/　によると
# cd kvrtのあるディレクトリ
# ./kvrt.run -- -silent -accepteula

Running with root privileges
Generated directory is </tmp/fb497e860bffa13210288>
Verifying archive integrity...  100%   SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux  100%  
=================================
Running kvrt with args <>
=================================
compver: 24.0.5.0 x86-64 (Jul  9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
kvrt exited with code <0>
=================================
[root@kvm6 ~]# ./kvrt.run -- -silent -accepteula
Running with root privileges
Generated directory is </tmp/faf476070b5b3ebc14036>
Verifying archive integrity...  100%   SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux  100%  
=================================
Running kvrt with args <-silent -accepteula>
=================================
compver: 24.0.5.0 x86-64 (Jul  9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
Scan is started
=================================
=================================
Scan is finished with results:
	Processed: 16377
	Processing errors: 0
	Detected: 0
	Password protected: 0
	Corrupted: 0
=================================
=================================
kvrt exited with code <0>
=================================

processedの数がGUIとCLIでは少し違うがまあ良としよう。
https://www.eicar.org/download-anti-malware-testfile/ から４つのテスト用のウィルスをダウンロードし検査してみる。(下の説明はhttps://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/ の受け売り）
-trace トレースを有効にします。
-tracelevel 「DEBUG」に設定し、イベントログをすべて出力させます。
-custom　検査ディレクトリを指定します。
-processlevel　今回は3に設定し、low~highの範囲すべての脅威を検出させます。
# ./kvrt.run — -accepteula -trace -tracelevel DBG -custom / -processlevel 3 -silent

Running with root privileges
Generated directory is </tmp/b37e793259399d0b19080>
Verifying archive integrity...  100%   SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux  100%  
=================================
Running kvrt with args <-accepteula -trace -tracelevel DBG -custom / -processlevel 3 -silent>
=================================
compver: 24.0.5.0 x86-64 (Jul  9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
Scan is started
=================================
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar.com>
Threat <EICAR-Test-File> is detected on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D>
Threat <EICAR-Test-File> is detected on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar.txt>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar_com.zip>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicarcom2.zip>
=================================
Scan is finished with results:
	Processed: 226696
	Processing errors: 0
	Detected: 6
	Password protected: 0
	Corrupted: 0
=================================
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com>
Action <Delete> is selected for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D>
Action <Delete> is selected for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip>
=================================
Disinfection is started
=================================
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <Quarantined>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <CureFailed>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <Deleted>
=================================
Disinfection is finished with results:
	Processed: 10
	Processing errors: 0
	Skipped: 0
	Quarantined: 6
	Quarantine failed: 0
	Cured: 0
	Cure failed: 4
	Cure on reboot: 0
	Deleted: 6
	Delete on reboot: 0
	Restored: 0
	Restore on reboot: 0
=================================
=================================
kvrt exited with code <0>
=================================

テスト用のウィルスがキャッシュにも残っていたので、6個見つかっている。隔離ファイルなどは /var/opt/KVRT2024_dataに保存されている。取り合えず新しいダウンロードはせず、現状のkvrt.runをcronで毎日朝の4時に走らせる
# echo “15 4 * * * root /root/kvrt.run” > /etc/cron.d/KvrtRun
その内、virusを発見した時にメールを送信するようなスクリプトを作ろう。

KVMのホストで怪現象が起こってる！
１：lvscan や pvscan の表示が出ず、フリーズ(問題のサブホストを立ち上げていると）
２：仮想マシンマネージャーの表示が出るまでものすごく遅いが(多分30秒から1分位かかる）表示は出てくる。あるサブホストを止めてから仮想マシンマネージャーを立ち上げるとすぐに表示がでる。
３：あるサブホストを立ち上げるのに非常に時間がかかったり、表示が真っ黒のだったりするが、他のサブホストでは問題ない。
４：dmesgにI/O error, dev sdb, sector 676830506 op 0x1:(WRITE) flags 0xc800 phys_seg 77 prio class 0”があった。

なので、/dev/sdbに問題があるので問題のサブホストを落としておいてファイルの修復を試みる
# xfs_repair /dev/Backup/Backup

Phase 1 - find and verify superblock...
Phase 2 - using internal log
        - zero log...
ERROR: The filesystem has valuable metadata changes in a log which needs to
be replayed.  Mount the filesystem to replay the log, and unmount it before
re-running xfs_repair.  If you are unable to mount the filesystem, then use
the -L option to destroy the log and attempt a repair.
Note that destroying the log may cause corruption -- please attempt a mount
of the filesystem before doing this.

なので、-Lを付けて
# xfs_repair -L /dev/Backup/Backup

Phase 1 - find and verify superblock...
Phase 2 - using internal log
        - zero log...
ALERT: The filesystem has valuable metadata changes in a log which is being
destroyed because the -L option was used.

 でもいつまで経ってもこれ以上進まないので、ctrl+cでキャンセルしたが、できないので、ターミナルごとクローズした。
その後、この領域はサブホストのデーターをbaculaでバックアップしているが幸い他の全サブホストのデーターに問題は無いので、フォーマットする事にした
# mkfs.xfs /dev/Backup/Backup
mkfs.xfs: cannot open /dev/Backup/Backup: デバイスもしくはリソースがビジー状態です
もちろんここは何処にも使ってないしmountもしていない！！
今は家からリモートでやっているので、明日会社に行ってこのデバイスを外して、新しいSSDと取り替えて見る

会社で問題のSSDを外し、再起動すると問題無くなった。
それではと、USBの外付けのアダプターのSSDを入れ、ホストに接続。このSSDは全てのサブホストなどのデーターバックアップに使用していた２TBで、パーティションは1つのみなので
# xfs_repair /dev/sdd

Phase 1 - find and verify superblock...
bad primary superblock - bad magic number !!!

attempting to find secondary superblock...
.found candidate secondary superblock...
unable to verify superblock, continuing...
...............^C

途中でCtrl+c で止めたが、continuingが縦しなく続き終わらない。
これはSSDをRAWフォーマットするしか無いと思うので、gpartedでパーティションを削除し、適用をクリックするとエラーが出て出来なかった。
今度は駄目とは思いつつ、Windows11でディスクの管理をやったら

なんと出来た。早速ＬＩＮＵＸにつなぎなおして、
# mkfs.xfs /dev/sdd1
でフォーマットし直して、メインのホストにアタッチ、バックアップされていた全てのデーターは消失したが、前に述べたように、このメインやサブホストの順調なので、フルバックアップをやればよい。無事サブホストの backupのバックアップ領域に出来た。

きっかけは、仮想マシンマネージャーなどで、サブホストのクローンを使って新たにサブホストを作ったりした時に、DiskのUUIDなどがダブる事である。ホスト名やIPアドレスもダブルがこれは変更の方法があるが、UUIDを使わないでブートする方法を見つけた。
（よく/etc/default/grubで変更しgrub2-mkconfigで設定を反映するようにあるが、KVMのサブホストの場合はブートする領域の中にさらに領域を作っている関係で、サブホストの/etc/default/grub変更するためにはlosetupやkpartxを使って、どこかにマウントして、変更をするが、問題はgrub2-mkconfigでマウントしたファイルを（/etc/default/grub）を指定する方法が解らない。
UUIDでブートし変更をすれば良いが、もし失敗するとブートできなくなる）蛇足になるが、ある時親のホストがフリーズして、うっかり領域を作り直してフォーマットして(ここでUUIDが変更になる）そしてtimeshiftでリストアしてブートしたらUUIDが変更になっているので、ブートできなくなり（USBのtimeshiftを使えばよかったのだろうが？）往生した。そんな関係でやっとUUIDを使わずにブートする方法を見つけた

その方法はgrub2-editenvを使う。参考：https://qiita.com/saito_now/items/acacf3f5830fdfb90283
まずは現在の状況をチェック
# grub2-editenv list | grep kernelopts
何も表示されないので kernelopts が無い、では grub.cfg を見る
# grep kernelopts= /boot/grub2/grub.cfg
set kernelopts=”root=UUID=e809a914-84b6-4d48-94cf-6239230b9d2a ro resume=UUID=38b4c675-b822-457b-b597-8ac55f49231a rhgb quiet “
で、UUIDを指定しているので、変更をする。私は /dev/vda1がroot領域なので
# grub2-editenv – set “kernelopts=root=/dev/vda1 ro rhgb quiet”
変更できたか確認
# grub2-editenv list | grep kernelopts=
kernelopts=root=/dev/vda1 ro rhgb quiet
確かに変更になっている。参考のWEBによれば、 grub2-editenv 場合はこの変更だけで言いそうだ。
そして/etc/fstabの指定をUUIDで無く .dev/vda1 などに変更し再起動
無事起動したが、ブートディスクのUUIDは変更していないので、本当にUUIDでなく/dev/vda1でブートしたのか心配になり /etc/grub2/grub.cfg を見ると
set kernelopts=”root=UUID=e809a914-84b6-4d48-9**** 後略
となっており、このUUIDは/dev/vda1と一致した。でも結局はUUIDでブートしているんだ！！