ほほほのほ - tweet:2016

NGiNX+SSL+Authで認証に失敗する

anonymous@undisclosed.example.com (Anonymous) — Tue, 12 Jan 2016 07:08:53 +0000

NGiNX+SSL+Authで認証に失敗する

管理しているシステムで、不思議な挙動に遭遇したので、メモっておく。

とりあえず解決はしたっぽいのだが、あまりにもWorkAroundっぽいので、「これで今後も大丈夫なのか？」も含めて、原因は不明。

問題が発生した環境

対外部分：NGiNXを用いたHTTP/HTTPs LoadBalancer * OS: FreeBSD 10.2-RELEASE * NGiNX: 1.8.0 (portsから)

Compile Optionとして、LDAP AuthモジュールとDEBUG関連Moduleを投入している

内部: Zabbix * OS: CentOS 7 * Apache * Zabbix (http://zabbix.example.com / https://zabbix.example.com )

     +------------+     +-----------------------+
-----+ FBSD/NGiNX +-----+ CentOS7/Apache/Zabbix |
     +------------+     +-----------------------+

発生した症状

* https接続(SSL)で、Zabbixにアクセスし、スクリーンタブを開くと、Basic認証画面が表示され、一部の画像が取れなくなる。

そのページの全ての画像が見られなくなるわけではないところが悩ましい。
同じページをhttpで接続(not SSL)すると、問題なく表示できる。
認証に失敗し取得できなかった画像ページを直接アクセスすると、問題なく画像が取得できる。

発生時の設定(抜粋)

なお、ここでは、LDAP設定の方を記載しているが、BASIC認証でも同じ問題が発生した。

(snip...)
ssl_engine			cryptodev;	# for AES-NI
(snip...)
http {
(snip...)
	##### SSL Configuration
	ssl_ciphers			DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:CAMELLIA128-SHA:AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:CAMELLIA256-SHA:AES256-SHA:!aNULL:!MD5;
	ssl_prefer_server_ciphers	on;
	ssl_protocols			TLSv1.2 TLSv1.1 TLSv1;
	ssl_session_cache		shared:SSLresumption:10m;
	ssl_session_timeout		10m;

	##### LDAP Authentication Configuration
	ldap_server ldap {
		url ldap://...
		require valid_user;
	}

	upstream ZAB { server 192.0.2.128:80  max_fails=3 fail_timeout=10; }
	server {
		listen		198.51.100.128:80;
		server_name	zabbix.example.com;

		auth_ldap "Forbidden";
		auth_ldap_servers ldap;
		location / {
			proxy_pass		http://ZAB/;
			proxy_redirect		default;
		}
	}
	server {
		listen		198.51.100.128:443 ssl;
		server_name	zabbix.example.com;

		auth_ldap "Forbidden";
		auth_ldap_servers ldap;

		ssl on;
		ssl_certificate		/some/where/zabbix.cert;
		ssl_certificate_key	/some/where/zabbix.key;

		location / {
			proxy_pass		http://ZAB/;
			proxy_redirect		default;
		}
	}
}

WordAround

なぜか、設定を以下のように修正したら、この問題は再現しなくなった。

(snip...)
ssl_engine			cryptodev;	# for AES-NI
(snip...)
http {
(snip...)
	large_client_header_buffers	4 256k;

	##### SSL Configuration
	ssl_ciphers			DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:CAMELLIA128-SHA:AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:CAMELLIA256-SHA:AES256-SHA:!aNULL:!MD5;
	ssl_prefer_server_ciphers	on;
	ssl_protocols			TLSv1.2 TLSv1.1 TLSv1;
	ssl_session_cache		shared:SSLresumption:10m;
	ssl_session_timeout		10m;

	##### LDAP Authentication Configuration
	ldap_server ldap {
		url ldap://...
		require valid_user;
	}

	upstream ZAB { server 192.0.2.128:80  max_fails=3 fail_timeout=10; }
	server {
		listen		198.51.100.128:80;
		server_name	zabbix.example.com;

		auth_ldap "Forbidden";
		auth_ldap_servers ldap;
		location / {
			proxy_pass		http://ZAB/;
			proxy_redirect		default;
		}
	}
	server {
		listen		198.51.100.128:443 ssl;
		server_name	zabbix.example.com;

		ssl on;
		ssl_certificate		/some/where/zabbix.cert;
		ssl_certificate_key	/some/where/zabbix.key;

		auth_ldap "Forbidden";
		auth_ldap_servers ldap;
		location / {
			proxy_pass		http://ZAB/;
			proxy_redirect		default;
		}
	}
}

つまり、 * large_client_header_buffersを大きくすると問題は出なくなったという状況。

判明している条件

* SSLを利用している時に限定して問題が発現する * auth情報をlocation指定の外に置くと、問題が発現する * 問題が発生した場合、そのページ内では常に問題が発現し、再現可能

ただし、再現条件の詳細は不明。単純にURLの長さというわけではないように見える

とりあえずのメモ

なぜHTTPとHTTPsで異なるかは不明だが、HTTPsを利用している場合、414(URI Too Long)が返る。

これ以上は、後日。

さくらのVPSにFreeBSD 10.2を入れてみる

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 May 2018 04:50:32 +0000

さくらのVPSにFreeBSD 10.2を入れてみる

背景とまくら

自宅鯖缶をやっている場合、いわゆるCloudサービスやDataCenterを利用している場合と違って、対外接続環境は一般に貧弱になる。我が家も例に漏れず、対外接続環境はSPoFだし、対外接続用機器だってSPoFである。しかし、

自宅環境で
AS取って
Addressブロックも取って
BGPでMulti-Homing

などという大げさな事、やっていられるわけも無い。

ISPとの接続は２本あるのだが、Flet'sを利用したMulti-Sessionなので、当然、回線終端は工事業者が設置した終端装置。

とはいえ、終端装置はただのONUとして使っていて、Routerとしての機能はまるで利用せず、ONU→手元のSwitch→pfSense。

おかげさまで、終端装置の機能をまるで利用していないから、終端装置のSecurity Updateとか考える必要が（ほぼ）無い。

ツッコミが来たので書いておくと、ISPとの契約は２本あるが、1本のFlet's回線上にMulti-Sessionで接続している。

1つは、某ISPから/28の空間を割り当ててもらって、試験用サーバーやMail Serverなどを置いてあるService Network

1つは、某々ISPの普通のInternet接続を買い、自分や家族の生活用に利用している。

つまり、実質的には、複数のNetworkを独立して使っている。

このような環境において面倒なのは、

自宅鯖や自宅鯖基盤(仮装基盤)の更新における停止
雷などの天災による瞬停によるシステム再起動による停止
機器故障などによる物理的停止

である。

これらのサービス停止要因は、多くの場合、停止時間も短いから、まぁ、それなりになんとかなる（なってほしい）わけだが、それでも停止時間がかなり長くなる可能性は否定できない。

というわけで、やはりあまり止まって欲しく無いサービスに関しては、自宅環境が散っても最小限動作する環境が欲しいわけである。

以上から、とりあえず、DNS鯖(Contents鯖)とSMTP鯖(Backup MX)を外部のVPS上に置こうと決心した。

という状況はすでに10年以上前からあるので、当然外部に置いている鯖があったのだが、まぁ、心機一転。1から作ろうかと。

選択肢はいっぱいあるのだが、今回は、さくらの一番安いプラン(さくらのVPS 512)を選んだ、理由は、

安い (¥635/月)
FreeBSD 10.2を動かすことができる（保証は無いが、動作実績はある）
2week お試し無料(但しクレジットカード決済の場合のみ)
- 最低契約期間が3month。
VNCを利用して、Console画面が握れる
Diskが20GとはいえSSD

である。お試し期間中ならいつでもやめられるから、試してみるに最適という事もある。但し、プラン変更する場合、VM instanceを解約し、新しく作らなければならない(鯖の移行や、メモリー/Disk容量の増設、削減はできない)ということをちゃんと認識しておくこと

Installの流れ

実は、それほど難しい事はなく、以下の流れでやるだけ。

さくらインターネットの http://vps.sakura.ad.jpから申し込む。
1. はじめてのばあい、「初めて利用する」と「同意する」にチェックを入れた上で「次へ」をクリック。
  - あとは、必要情報などを入力して、どんどん進めば良い
2. で、リージョンとプランを選択し、支払い方法を入力していけば、契約ができる。
手続き類が全部終わったら、http://vps.sakura.ad.jpからコントロールパネルログインをクリックする
1. 認証方法選択画面に飛ぶので、「会員IDでログイン」から「ログイン」をクリック
2. 会員IDとパスワードを入力して「ログイン(認証)」をクリックする
3. サーバー一覧画面が表示される。
今回契約したサーバーをクリックする
1. 諸元を確認する
2. 右上のOSインストール(Pull down Menu)からISOイメージインストールを選択
3. SFTPアカウントを作成
4. 指定された場所にISOイメージをsftpでputする
5. 書かれている通りに作業すれば、putしたISOイメージから起動するので、あとは普通にFreeBSD 10.2をInstallする
  1. この時、HTML5を解釈できるWeb Browserを利用して、VNC CosoleをHTML5から操作できるのが便利。
6. Installが終了したら、VM instanceをshutdown(HALT)する。
7. OSインストール(Pull down Menu)からISOイメージインストールを選択
8. SFTPアカウントを削除(ISOイメージも削除される)する
9. Instanceを起動する

手順的に面倒そうに見えるが、実際はとても簡単にInstallできた。

さて、ちょっとだけ落穂拾い

このプラン、Main Memoryが512MiBしかないので、ちょっとメモリー負荷が上がると色々面倒なことになりそうな気がする。しかし、たかだかほとんどRequestのないサイトのNSとBackup MXやるくらいでお値段1.8倍払うのもちょっと癪である。

しかし、このプランは「SSD」なので、Disk Accessは「それなりに高速」であることが期待出来る。

ならば… 「いざという時のために、SwapをFilesystem側に置いてしまえばいい!」という（ある意味でとても酷い）解決策を採る事にした。

以下に作業を。

まずswapinfoを実行し、Swapがどうなっているかを確認

# swapinfo 
Device          1K-blocks     Used    Avail Capacity
/dev/vtbd0p3      1048540      416  1048124     0%
#

次に、一応Diskのパラメータも見ておく
```
# gpart show /dev/vtbd0
=>      34  41942973  vtbd0  GPT  (20G)
        34      1024      1  freebsd-boot  (512K)
      1058  39844864      2  freebsd-ufs  (19G)
  39845922   2097084      3  freebsd-swap  (1.0G)
  41943006         1         - free -  (512B)

#
```
- これで、Swapが、Geom管理されているvtbd0下に1G確保されている事が分かった。
  - 実はこれを見て、拡張するかどうか少し迷ったが、今後の事も考えてあと1Gほどswapを追加する事にした。
ddでswapfileを作成する
- どこにファイルを置くかは悩んだのだが、/var/cache下にした。
dd if=/dev/zero of=/var/cache/swapfile1 bs=1m count=1024
1. 一応ファイルサイズを確認しておく。
2. Owner/Group/Permissionを設定
  - chmod 0600 /var/cache/swapfile1
  - chown root:wheel /var/cache/swapfile1
3. で、新しく作ったSwapfileをSwapに追加する
  1. mdconfig -a -t vnode -f /var/cache/swapfile1 -u 0 && sudo swapon /dev/md0
4. Swapの状態を確認する
```
# swapinfo -m
Device          1M-blocks     Used    Avail Capacity
/dev/vtbd0p3         1023       11     1012     1%
/dev/md0             1024        0     1024     0%
Total                2047       11     2036     1%
#
```
最後に、rc.confを設定
- 以下を追加
```
swapfile="/var/cache/swapfile1"
```

以上。

FreeBSD 10.2にrbenv

anonymous@undisclosed.example.com (Anonymous) — Mon, 15 Oct 2018 11:19:35 +0000

FreeBSD 10.2にrbenv

RedmineでKanbanをやろうと思い立ったので、環境を作る。

Ruby用Kanbanシステムは

Redmine Backlogs plugin
- 駄菓子菓子、これはRedmine 3系では動かない模様…
Agile Plugin
- 商用製品だが、Light版は無料で使える。
  - かんばん、バージョン計画、バーンダウンチャートが使えるらしい
scrum plugin
- Free
  - スプリントタスクボード(かんばん)、スプリントバーンダウンチャート、プロダクトバックログ、プロダクトバックログバーンダウンチャートが使えるらしい。
    - 要は、かんばんとバーンダウンチャートってところか。
  - 活動はしている模様
  - 駄菓子菓子、対応しているRedmineが3.0と3.1…

で、今回、Redmine 3.2に入れたいので、

まずscrum pluginを導入
1. 動けばここで終わり
ダメなら、Agile pluginを導入

の二本立てで試してみる。

FreeBSD環境構築

とりあえず、普通にFreeBSDを突っ込む。

NGiNXとchronyとzabbix24-agentを突っ込んで設定する
snapshotを取得

Preparation of install

問題はRubyの管理。で、pkgで頑張るとBundlerとかRails関係でよく分からない事になりそうなやな予感がしたので、rbenvで頑張る。 rbenvはgitを使って入れる。

pkg install git sudo bash

BASHがfdescfsを要求するので、/etc/fstabに以下を記載し、mount -aする。
```
        fdesc   /dev/fd         fdescfs         rw      0       0
```
visudo して、wheelメンバーがrootになれるようにする

以下の3行を追加

# Add for rbenv
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/rbenv/bin:/usr/l
ocal/rbenv/shims"
Defaults        env_keep += "RBENV_ROOT"

rbenvをinstall

cd /usr/local
git clone git://github.com/sstephenson/rbenv.git
mkdir /usr/local/rbenv/plugins
cd /usr/local/rbenv/plugins
git clone git://github.com/sstephenson/ruby-build.git

あとは、個々人の~/.profileなどに、以下を追加する。

# for rbenv...
export RBENV_ROOT="/usr/local/rbenv"
export PATH="${RBENV_ROOT}/bin:${PATH}"
eval "$(rbenv init -)"

Installing ruby

RubyをInstallするには、以下のようにする。

まず、InstallできるRubyのVersionを確認する
- rbenv install –list
RubyをInstallする
- sudo rbenv install 2.3.0
- sudo rbenv rehash
System WideにDefaultを設定する
- sudo rbenv global 2.3.0
実行されるrubyのVersionを確認する
- ruby -v

これで、Rubyの環境が手に入った。

rbenvとruby-buildの更新

rbenvもruby-buildも、もちろん更新されるSoftwareなので、当然のように定期的な更新が必要。

cd /usr/local/rbenv
git pull
cd /usr/local/rbenv/plugins/ruby-build
git pull

これで良い。Ruby自体のVersionを挙げるならば、

Installの時と同じようにすれば良い。

詳細はhttps://github.com/rbenv/rbenvを参照

FreeBSD 10.2にRedmineを投入

anonymous@undisclosed.example.com (Anonymous) — Wed, 15 Feb 2017 04:37:32 +0000

FreeBSD 10.2にRedmineを投入

さて、これでrbenvも設定し、Rubyも2.3が動くようになったので、やっとRedmine 3.2のInstallへ。

まず、必要そうなものを入れておく。
- pkg install nginx ImageMagick mariadb100-client
- gem install bundler –no-rdoc –no-ri
- curl http://www.redmine.org/releases/redmine-3.2.0.tar.gz > redmine-3.2.0.tar.gz
Redmineを実行するアカウントを作る
- ここでは、redmineとする
Redmineを/usr/local/wwwに入れる
- mkdir /usr/local/www
- cd /usr/local/www
- tar xzf redmine-3.2.0.tar.gz
- ln -s redmine-3.2.0 redmine
Redmineの初期設定を行う
- cp redmine/config/database.yml.example redmine/config/database.yml
- vi redmine/config/database.yml
  - 書き換えるのは、productionの部分だけで良い
- ```
production:
  adapter: mysql2
  database: redminedb
  host: xxx.xxx.xxx.xxx
  username: redmine_user
  password: "UltraSecret"
  encoding: utf8
```
RubyのGemを入れる
- 今回はUnicornで動かすので、一手間かける。
  - vi redmine/Gemfile.local
```
gem "unicorn"
```
- bundle install –without development test postgresql sqlite
Redmineの初期設定を実行
- sudo -u redmine /bin/sh
- bundle exec rake generate_secret_token
- RAILS_ENV=production bundle exec rake db:migrate
- RAILS_ENV=production REDMINE_LANG=ja bundle exec rake redmine:load_default_data
Webrickでの試験
- Rails 4.2以降、Webrickで通信を待ち受ける場合、defaultではlocalhostしかListenしなくなった。
- ruby bin/rails server webrick -e production -b xxx.xxx.xxx.xxx と-bを指定してやれば、その引数のアドレスでListenするようになる。

NGiNXとUnicornの設定

/etc/rc.conf に nginx_enable=“YES”を追加

Unicornを設定

unicorn設定ファイル内after_fork内でuser,groupをredmine:redmineに設定しているので注意
ぐぐると、Process ownerのchown関係がちゃんと動かない(worker.userがなかった頃の)unicorn.rbが引っかかるので注意

vi redmine/config/unicorn.rb

# cat config/unicorn.rb 
# -*- coding: utf-8 -*-
# Unicorn Configuration File for Redmine
#       http://unicorn.bogomips.org/examples/unicorn.conf.rb

$unicorn_user = "redmine"
$unicorn_group = "redmine"

@dir = "/home/www/rrrm.rusty-raven.net/redmine"
working_directory @dir
worker_processes 2

listen "/var/run/unicorn_rrrm.sock", :backlog => 32
# listen 8282, :tcp_nopush => true

timeout 30

pid "/var/run/unicorn.pid"
stdout_path File.expand_path("log/unicorn.stdout.log", @dir)
stderr_path File.expand_path("log/unicorn.stderr.log", @dir)

preload_app true

check_client_connection false

before_fork do |server, worker|
  defined?(ActiveRecord::Base) and
      ActiveRecord::Base.connection.disconnect!

  old_pid = "#{server.config[:pid]}.oldbin"
  if old_pid != server.pid
    begin
      sig = (worker.nr + 1) >= server.worker_processes ? :QUIT : :TTOU
      Process.kill(sig, File.read(old_pid).to_i)
    rescue Errno::ENOENT, Errno::ESRCH
    end
  end
end


after_fork do |server, worker|
  defined?(ActiveRecord::Base) and ActiveRecord::Base.establish_connection
  begin
    worker.user($unicorn_user,$unicorn_group)
  rescue => ex
    STDERR.puts "could not change user, oh well"
    STDERR.puts ex.to_s
    raise ex
  end
end

#

sudo unicorn_rails -c config/unicorn.rb -E production -D でunicornが起動する。

NGiNXの設定

NGiNX.confを修正する

        upstream REDMINE {
                server unix:/var/run/unicorn.sock;
        }
        server {
                listen 80 sndbuf=16k
                server_name     redmine.example.net;
                location / {
                        proxy_pass                      http://REDMINE;
                }
        }

これで、とりあえず、Redmineまでは動くはず。

参考: http://www.virment.com/ubuntu-nginx-unicorn-rails/

Redmineの設定と看板Pluginの追加

anonymous@undisclosed.example.com (Anonymous) — Sun, 14 Feb 2016 01:12:28 +0000

Redmineの設定と看板Pluginの追加

Redmineをいじるところは少ない。

Redmine 3.2対応版のAgile開発系プラグインは少ない。

初期設定のメモ

ほとんどの設定はWebから出来るが、MailとDBの設定だけは、諦めて、Fileをいじる必要がある。

configration.yml

  email_delivery:
    delivery_method: :sendmail

database.yml

production:
  adapter: mysql2
  database: redmine
  host: xxx.xxx.xxx.xxx
  username: redmine-db-admin
  password: "UltraSecret"
  encoding: utf8

参考: http://fratelloworks.com/2015/07/redmine.html

Agileな看板系プラグイン

Plugin自体は色々あるが、古いのばかりでメンテされていないので、メンテされていそうなものだけ。

Redmine Backlogs
- http://www.redmine.org/plugins/backlogs
- 一番Googleで記事が見るかるのだが、Redmine 3系はサポート対象外なので諦め
scrum Plugin
- http://www.redmine.org/plugins/scrum-plugin
- Redmine 3.2では動かなかった (3.1では動くらしい…)
Agile Plugin
- http://www.redmine.org/plugins/redmine_agile
  - 入手にはアカウント登録が必要
- 商用版のPluginのLite版だが、看板機能はある
  1. http://www.redminecrm.com/projects/agile/pages/1からpluginをdownload
  2. plugin dirに展開
  3. bundler installを実行して、いつも通りrakeするだけ
- 最小限の看板は動いた。が、チケットの色を変えるとかはどうもできない模様。
  - まぁ、贅沢は敵だ

Pluginの追加

redmine_plugin というpluginを追加する

cd /path/to/redmine/plugins
# ここにPluginのファイルを持ってくる
bundle exec rake redmine:plugins:migrate RAILS_ENV=production

個別の設定は難しい事はない。Redmineの「管理」→「プラグイン」からプラグインを設定するだけ。

Pluginの削除

redmine_plugin というpluginを削除する

cd /path/to/redmine
bundle exec rake redmine:plugins:migrate NAME=redmine_plugin VERSION=0 RAILS_ENV=production
rm -rf plugins/redmine_plugin

Dokuwiki plugins

anonymous@undisclosed.example.com (Anonymous) — Thu, 18 Feb 2016 02:52:46 +0000

Dokuwiki plugins

Dokuwikiは、最近、Pluginを入れるときに、SSLでの接続を確認する模様。

FeeBSDの場合にやっておくべきこと(CentOSやUbuntuでは試してない)は

php-opensslを入れる→PHPでSSLを利用できるようにする
ca_root_nssを入れる→MozillaがInstallするCA証明書を入れる

の２点。

どはまったので、メモ。

あと、ついでに、PluginをDokuwikiからいじるには、php-zlibが要るので忘れないように。

Unicorn

anonymous@undisclosed.example.com (Anonymous) — Mon, 07 Mar 2016 11:13:22 +0000

Unicorn

Redmineを建てる際に、unicornで少しハマったので、記録として。

世に流通しているUnicornの設定において、起動後ProcessのUID/GIDを変える設定で正しく動くものが見つからなかった。

これは、どうやら、Unicornが5.0に上がった際に、Codeが変更されたためらしい。

したがって、Unicorn 5.0以降(試したのは5.0.1)のものを利用する場合には、以下のCodeを参照し、適切に修正すること。

unicorn.rb

# -*- coding: utf-8 -*-
# Unicorn Configuration File for Redmine
#       http://unicorn.bogomips.org/examples/unicorn.conf.rb
 
$unicorn_user = "redmine"
$unicorn_group = "redmine"
 
@dir = "/some/where/redmine"
working_directory @dir
worker_processes 2
 
listen "/var/run/unicorn.sock", :backlog => 32
 
timeout 30
 
pid "/var/run/unicorn.pid"
stdout_path File.expand_path("log/unicorn.stdout.log", @dir)
stderr_path File.expand_path("log/unicorn.stderr.log", @dir)
 
preload_app true
 
check_client_connection false
 
GC.respond_to?(:copy_on_write_friendly=) && GC.copy_on_write_friendly = true
 
before_fork do |server, worker|
  defined?(ActiveRecord::Base) and
      ActiveRecord::Base.connection.disconnect!
 
  old_pid = "#{server.config[:pid]}.oldbin"
  if old_pid != server.pid
    begin
      sig = (worker.nr + 1) >= server.worker_processes ? :QUIT : :TTOU
      Process.kill(sig, File.read(old_pid).to_i)
    rescue Errno::ENOENT, Errno::ESRCH
    end
  end
end
 
 
after_fork do |server, worker|
  defined?(ActiveRecord::Base) and ActiveRecord::Base.establish_connection
  begin
    worker.user($unicorn_user,$unicorn_group)
  rescue => ex
    STDERR.puts "could not change user, oh well"
    STDERR.puts ex.to_s
    raise ex
  end
end

とても助かりました。ありがとう → ran

PHP LDAP Admin

anonymous@undisclosed.example.com (Anonymous) — Tue, 08 Mar 2016 07:16:27 +0000

PHP LDAP Admin

OpenLDAP用のData管理Applicationをいろいろ探しているのだがなかなかいいものがない。

Yet Another LDAP Administrator PHP。2008年で更新が止まっている
PHP LDAPAdmin PHP。2012年で更新が止まっている
PWM Java(J2SE/Tomcat)
LDAP Account Manager PHP
FusionDirectory PHP/Perl
- FusionDirectory Wiki
GOsa2PHP。2012年で更新が止まっている

さすがに、更新が止まっているものを何も考えずに使うのは恐ろしい。個人的にjavaは面倒見切れないので避けたい

という理由で、LDAP Account ManagerかFusionDirectoryにしようかと考えている。

LAM(LDAP Account Manager)

LAMは様々なデータを登録できるのだが、個人的に登録したSchema(mail.schemaやpostLDAPadmin)のデータを入力できなかった。これでは、今回の用途には使えないので、残念ながら落とす。

しかし、いつか試してみたい気もする

FusionDirectory

様々なPluginが利用できるので、一見なんとかできそうに見えたが、幾つかのPluginがrpmやdpkg形式であって、FreeBSDで利用する方法がすぐには理解できなかった。残念ながら落とす。

いつか試してみようと思う。

phpLDAPadmin

PHP5.6ではどうやら動かないらしい。FreeBSDのBinary pkgでも動作しなかった。 PHPを5.3にすれば動くようだが、このためにVersionを落とすのは嫌なので却下

結論

というわけで、いいものがなかった…

FreeBSDでZabbix3.0

anonymous@undisclosed.example.com (Anonymous) — Thu, 05 May 2016 12:43:20 +0000

FreeBSDでZabbix3.0

やっとFreeBSDのports/pkg HEADでZabbix 3.0が入ったので、早速試す。

ここに移動

zabbixでchronyを監視

anonymous@undisclosed.example.com (Anonymous) — Thu, 05 May 2016 12:45:27 +0000

zabbixでchronyを監視

zabbixを利用してchronydを監視する。ここに移動

Ubuntu 15.10にZenPhotoを入れる

anonymous@undisclosed.example.com (Anonymous) — Fri, 25 Mar 2016 12:07:59 +0000

Ubuntu 15.10にZenPhotoを入れる

メモ

静止画像ならこれで問題ないが、動画の場合に問題が出ることがわかった。ので、ZenPhoto自体をあきらめるしかないかもしれない。もしそれが正しいのならば、WordPressでギャラリーをやるしかないかもしれない

あと、FreeBSDでZenPhotoを実行すると、ファイル名の問題が起こることが判明した。要するに日本語ファイル名のハンドル問題。したがって、Linux系で頑張るしかないかもしれない。その場合、FreeBSDのNFSも捨てる羽目になるかもしれない…

UbuntuをVMとしてInstall
- minimumで入れる
- 初期設定だけする
  - /etc/network/interfacesを修正
  - UID/GIDの変更など
  - Rootになれるようにする人は、/etc/group のsudoグループに追加
  - apt-get update
  - apt-get upgrade
- NFS Client
  - apt-get install nfs-common
- sshd
  - .ssh/authorized_keys を入れる
  - portを変える
  - PasswordAuthentication no
  - UseDNS no
  - PermitRootLogin no
- ufwで必要なportのみ開ける
  - ufw allow (ssh port)
  - ufw allow (MySQL port)
  - ufw allow http
  - ufw enable
- 最小限のToolを導入
  - apt-get chrony
  - Zabbix-Agentd (Zabbix公式Repoから)
    - wget http://repo.zabbix.com/zabbix/3.0/ubuntu/pool/main/z/zabbix-release//zabbix-release_3.0-1+trusty_all.deb
    - dpkg -i zabbix-release_3.0-1+trusty_all.deb
    - apt-get update
    - apt-get install zabbix-agent
  - NGiNX (NGiNX公式Repoから)
    - curl http://nginx.org/keys/nginx_signing.key | sudo apt-key add -
    - sudo sh -c “echo 'deb http://nginx.org/packages/mainline/ubuntu/ wily nginx' » /etc/apt/sources.list”
    - sudo sh -c “echo 'deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx' » /etc/apt/sources.list”
    - sudo apt-get update
    - sudo apt-get install nginx
  - MariaDB Client
    - ここを参照
    - sudo apt-get install software-properties-common
    - sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xcbcb082a1bb943db
    - sudo add-apt-repository 'deb [arch=amd64,i386] http://ftp.yz.yamagata-u.ac.jp/pub/dbms/mariadb/repo/10.1/ubuntu wily main'
    - sudo apt-get update
    - sudo apt-get install mariadb-client
  - PHP関連
    - sudo apt-get install php5 libapache2-mod-php5 php5-mcrypt php5-mysql php5-gd
- あとは普通にZenPhoto関連の設定をするだけ

メモ

anonymous@undisclosed.example.com (Anonymous) — Wed, 30 Mar 2016 09:15:11 +0000

メモ

systemctl disable auditd.service
systemctl disable kdump.service
systemctl disable tuned.service
systemctl mask NetworkManager
systemctl stop wpa_supplicant
systemctl mask NetworkManager-dispatcher

なかなかできない経験

anonymous@undisclosed.example.com (Anonymous) — Fri, 15 Apr 2016 07:57:47 +0000

なかなかできない経験

近畿地方の地震のおかげで、なかなかできない経験をしたので、ちょっとメモ。

出張で京都に向かう
焼津あたりで、急に車内の電気が消える
- →車内は蛍光灯が一つだけ灯っていた
エンブレのような音がなり(新幹線はモーターなのでエンブレではない)だんだん減速
がくんと停止
静岡-岐阜羽島間で停電という車内放送が流れる
近畿地方の地震の影響で停電という車内放送が流れる
10分で車内に灯がともる
12分で車両が動き出す
いつもより少し早いような気がするくらいの速度で疾走する

思ったのは

高速走行している新幹線が停止するには物凄い時間が必要
鉄道の情報共有体制は凄い。あっという間に情報を収集して、アナウンスされる
車内への情報の提供が適切(これは、車掌によるのかもしれない)。わかっている事実をさっさと伝え、余計な情報は出さない
動き始めたら状況を回復する為の対応をしっかり実施している
緊急時の処置が早い(地震のせいで停電しておきながらたった20分で車両が動き出すなんて、どんな運用してるんだろう？)

これは、経験の蓄積と教育による物凄い運用体制があるということだと思う。

凄いなぁ。

pfSenseとXenServer

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 May 2018 04:50:47 +0000

pfSenseとXenServer

XenServerでpfSenseを使っていると、非常に限定された状況で、通信性能が激烈に劣化することがある。

この劣化は、以下の条件で発生することがわかっている。（ただし、これに限定されるかどうかは未確定）

同一のXenServer上に配置されているVM間での通信である
XenServer側及びVM側双方でTSO(TCP Checksum Offloading)が生きている

この条件に合致する場合に、TCP Checksumがおかしくなって性能が激烈に低下するように見える。こういう場合には、以下の設定をVM側で行えば良い

/boot/loader.conf.localを作成し、以下を記載

net.inet.tcp.tso=0
kern.ipc.nmbclusters=1000000	# この行は、NICがIntel系(em等)の場合に入れておくと良い

/etc/sysctl.confに以下を記載

net.inet.tcp.tso=0
kern.ipc.nmbclusters=1000000	# この行は、NICがIntel系(em等)の場合に入れておくと良い

加えて、rc.confなどで設定するifconfigの引数に -tso を加えると良い。自分の場合は、 -rxcsum -txcsum -tso -lro を加えている

これをpfSenseで行うには以下を実行する。

System → Advanced → System Tunables を選択
1. net.inet.tcp.tso エントリーがあれば、それを編集、なければ、「＋」をクリックして作成し、値を 0 にする
2. kern.ipc.nmbclusters エントリーがあれば、それを編集、なければ、「＋」をクリックして作成し、値を 1000000 にする
Diagnostics → Edit File を選択
1. ファイル名に /boot/loader.conf.local を指定し Load をクリック
  - 以下を記載する
```
net.inet.tcp.tso=0
kern.ipc.nmbclusters=1000000	# この行は、NICがIntel系(em等)の場合に入れておくと良い
```

これで、再起動すればOK。

なお、XenServer側からの設定に関しては、

    xe vif-param-set uuid=VMに割り当てられているVIFのUUID other-config:ethtool-gso="off"
    xe vif-param-set uuid=VMに割り当てられているVIFのUUID other-config:ethtool-ufo="off"
    xe vif-param-set uuid=VMに割り当てられているVIFのUUID other-config:ethtool-tso="off"
    xe vif-param-set uuid=VMに割り当てられているVIFのUUID other-config:ethtool-sg="off"
    xe vif-param-set uuid=VMに割り当てられているVIFのUUID other-config:ethtool-tx="off"
    xe vif-param-set uuid=VMに割り当てられているVIFのUUID other-config:ethtool-rx="off"

とすれば良いのだが、自分の場合は面倒なので、全VMのTSO類をoffにするために以下のようなscript実行している

#! /bin/sh
# See http://cloudnull.io/2012/07/xenserver-network-tuning/
#
# for All VM's VIF NIC offloading to off.
#
for VMUUID in `xe vm-list | awk '/uuid/ {print $5}'`; do
  INSTANCEID=`xe vm-list uuid=$VMUUID | awk '/name-label/' | grep -v "Control domain" | sed 's/     name-label ( RW): //'`
  for VIFUUID in `xe vif-list vm-uuid=$VMUUID | awk '/uuid/ {print $5}' | sed '/^$/d'`; do
    echo $INSTANCEID
    xe vif-param-list uuid=$VIFUUID | grep "other-config"

    xe vif-param-set uuid=$VIFUUID other-config:ethtool-gso="off"
    xe vif-param-set uuid=$VIFUUID other-config:ethtool-ufo="off"
    xe vif-param-set uuid=$VIFUUID other-config:ethtool-tso="off"
    xe vif-param-set uuid=$VIFUUID other-config:ethtool-sg="off"
    xe vif-param-set uuid=$VIFUUID other-config:ethtool-tx="off"
    xe vif-param-set uuid=$VIFUUID other-config:ethtool-rx="off"

    xe vif-param-list uuid=$VIFUUID | grep "other-config"
  done
done

この時、XenServerのdom0側も設定したいのであれば、併せて以下のscriptを実行するのも良い。

#! /bin/sh
# See http://cloudnull.io/2012/07/xenserver-network-tuning/
#
# for All XenServer PIF NIC offloading to off
#
for PIFUUID in `xe pif-list | awk '/uuid/ {print $5}' | sed '/^$/d'`
  do
    xe pif-param-list uuid=$PIFUUID | grep "other-config"

    xe pif-param-set uuid=$PIFUUID other-config:ethtool-gso="off";
    xe pif-param-set uuid=$PIFUUID other-config:ethtool-ufo="off";
    xe pif-param-set uuid=$PIFUUID other-config:ethtool-tso="off";
    xe pif-param-set uuid=$PIFUUID other-config:ethtool-sg="off";
    xe pif-param-set uuid=$PIFUUID other-config:ethtool-tx="off";
    xe pif-param-set uuid=$PIFUUID other-config:ethtool-rx="off";

    xe pif-param-list uuid=$PIFUUID | grep "other-config"
done

vuls on FreeBSD

anonymous@undisclosed.example.com (Anonymous) — Mon, 06 Feb 2017 05:41:55 +0000

vuls on FreeBSD

Last update: 2017/02/06 : Check on FreeBSD 11

VulsというToolが公開されている。https://github.com/future-architect/vuls/blob/master/README.ja.md

要するに、Linux(現時点ではUbuntu, Debian, CentOS, Amazon Linux, RHEL)及びFreeBSDに対する脆弱性検出ツールである。誤解する人もいるみたいだが、このツールは脆弱性を「検出」するだけであって、対処(pkgのUpgradeとか)はしない。対象のServerにsshでloginして、様々な情報を持ってくることでそのシステム内の脆弱性を検出する。したがって、rootでsshするという操作になる。（ただし、これは現在改良中らしい)

Vulsは、Goで動作する。散々わがままを言った挙句、VulsはFreeBSD上でも問題なく動作した。

FreeBSD 11.0をInstallする
- いつもの通りで良い。難しいことはなに一つしない。
- pkg install go git sqlite3
  - 2017/02/06時点では必要なかったが、場合によってはgccを入れておくこと。
vulsを実行するAccountを作成し、sshの鍵を生成する(ここでは、仮にmonitorとする)
- vuls関連のDBなどは全て~monitor下に配置する
- adduserなどでアカウントを作成。
- ssh鍵関連の設定
  - cd ~monitor
  - sudo -u monitor ssh-keygen -t ed25519
  - cat ~/.ssh/id_ed25519.pub » ~/.ssh/authorized_keys
  - chmod 600 ~/.ssh/authorized_keys
    - 公開鍵は、検査対象マシンのauthorized_keysにも転記しておくこと
- vuls Install前の準備
  - mkdir /var/log/vuls
  - chown monitor /var/log/vuls
  - comod 700 /var/log/vuls
- 環境の整備
  - .profileに以下を記述
  - ```
  export GOPATH=$HOME/go
  export PATH=$PATH:$GOPATH/bin
```
  - 注意点。$GOROOTは設定しないこと。迂闊に設定すると色々ハマるので、自分で何をやっているかわからない人は触らないのが吉
  - go関係の実行ファイルなどは、$GOPATH内に配置される。
- go-cve-directonary をinstallする
  - mkdir -p $GOPATH/src/github.com/kotakanbe
  - cd $GOPATH/src/github.com/kotakanbe/
  - git clone https://github.com/kotakanbe/go-cve-dictionary.git
  - cd $GOPATH/src/github.com/kotakanbe/go-cve-dictionary
  - make install
    - cc関連でWarningが出る。これは、FreeBSDのccはclangであり、gccではないため。
  - ```
  for i in 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017; do
  go-cve-dictionary fetchnvd -years $i
  go-cve-dictionary fetchjvn -years $i	# もしJVNの情報が要らないならば、ここはskipしても良い
  done
```
  - 自分はbashを使わないのでこんな迂遠なことになるが、bashなら for i in {2002..2017}; do go-cve-dictionary fetchnvd -years $i; done で行ける
  - ここは時間がかかるので覚悟すること。（昔と比べると本当に早くなったけど）
    - 2017/02/06現在、作成されるDBファイルは、以下のようになった。
    - -rw-r--r-- 1 monitor staff 740999168 Feb 6 12:38 cve.sqlite3 -rw-r--r-- 1 monitor staff 32768 Feb 6 12:39 cve.sqlite3-shm -rw-r--r-- 1 monitor staff 22956672 Feb 6 12:39 cve.sqlite3-wal
- vuls をinstallする
  - mkdir -p $GOPATH/src/github.com/future-architect
  - cd $GOPATH/src/github.com/future-architect
  - git clone https://github.com/future-architect/vuls.git
  - cd $GOPATH/src/github.com/future-architect/vuls
  - make install
    - cc関連でWarningが出る。これは、FreeBSDのccはclangであり、gccではないため。
  - go get github.com/future-architect/vuls
  - vulsのdictionary serverを起動する。
    - go-cve-dictionary server
- 設定ファイルを作成する
  - 設定ファイルをどこに置くかは少し問題になる部分だが、今回は、~monitor/vuls下にvuls関連のファイルを全部置く前提で行く。
  - config.toml
    
    [servers] [servers.example] host = "192.0.2.1" port = "22" user = "monitor" keyPath = "/home/vuls/.ssh/id_rsa"
- 対象となるServerに必要な設定を突っ込む
  - 対象となるホストに、config.tomlに記載したアカウントを作成する(仮にmonitorとする)
  - ~monitor/.sshにauthorized_keysを設置する
  - visudoを実行し、monitorがno passwordでroot権限を取得できるように設定する
    - monitor ALL=(ALL) NOPASSWD: ALL
    - 将来的には、実行できるコマンドを制限するべきだが、とりあえず今はこれで。
  - vulsを動作させるServerから対象のサーバーにsshで接続でき、かつsudoを実行してpasswordなしでrootになれることを確認する
- ここまでできたら、vuls prepareを実行する
  - エラーが出たら、何らかのpermissionがおかしいなどが考えられるので、対応する
    - どうしても分からなければ、vulsのslackに報告するか、gitでissueを上げる
- で、最後にscanする。
  - vuls scan

まだまだ考える必要がある部分はあるが、なかなか素晴らしい。

Issue
- Dictionary Serverの扱い
  - daemon的に動かし続けるのがいいのか、vulsを実行する際に起動するのがいいのか？
    - dailyでauto scanかけるなら、動かし続けるのもいいのだが… localhostからしか接続を許可していないからよしとするか？
- CPEの設定
  - これは、やはり様々なSampleが欲しいところ。

Dokuwiki theme

anonymous@undisclosed.example.com (Anonymous) — Tue, 19 Apr 2016 09:40:12 +0000

Dokuwiki theme

GAの関係で、ちょっと面倒になってきたので、テーマを変更した。

感じが変わってしまったので、もしかしたら近いうちにまた変えるかもしれない。

Web log分析

anonymous@undisclosed.example.com (Anonymous) — Thu, 28 Apr 2016 06:48:50 +0000

Web log分析

WAFやってて、log分析を考えないといけないとぼんやり思い始めたので、メモを。

PIWIK かなりAnalyticsっぽく見える。PHP+MySQL
Webalizer 割合古くからあるツール。C
AWStats AWSっぽい分析ツール。Perl

試してみる必要はあるけど、WebalizerかAWStatsかなぁ。

FreeBSDと分散ファイルシステム

anonymous@undisclosed.example.com (Anonymous) — Mon, 09 May 2016 09:42:34 +0000

FreeBSDと分散ファイルシステム

FreeBSDで分散ファイルシステムを作りたいのだが、まぁ、なかなか難しい。要するに、Remote FileSystemの冗長化を考えると色々悩ましい問題の解決をどうするかという話。

とりあえず、候補としては、

OpenAFS Portから利用可能。Kerberos(Heimdal)が必須
GlusterFS FreeBSDのPortから利用可能。
- Gfarmの日本語情報
Gfarm FreeBSDで使えるか不明。

あたりがある。が、NFSで使うことも考慮に入れるとGlusterにならざるを得ないのかなぁ。

悩ましい。

追記

つぶやいてみたら、Gfarmに関して、soda御大からコメントをいただきました。

とりあえずCompileは通る。FUSEを通した試験は(sodaさんは)やっていない
GlusterFSはメジャー。
- GlusterFSの場合、データノードを追加・削除する時にリバランスをする。この負荷が「場合によっては」問題になるかもしれない。
- Gfarmの場合、容量の偏りはノードのスケジューラーが「ファイル新規作成の度に少しずつ是正」していく感じになる。
  - つまり、GlusterFSと異なり、一気にリバランスしたりはしない
Gfarmは、「最初に」 gfncopy -s [複製の数] [対象Directory] とか実行しておかないと、「初期状態では冗長性が無い」
Gfarmは、現状では、「Close時 Async copy」なので、DBやlogには不向き

さすがsoda御大。自分が知りたい部分を実に確実に…精進が足りんな、俺。

CMS関連のメモ

anonymous@undisclosed.example.com (Anonymous) — Mon, 23 May 2016 07:09:52 +0000

CMS関連のメモ

ちょっと色々あって探し物してたので、メモ

GNU Social TwitterのようなMicroBlogらしい。
ClipBucket 動画管理系。一応保守はされているように見える。PHPshieldとかいうPHP Extensionが必要らしい
PHPmotion 動画管理系。DownloadにRegistrationがいるので今はPend。PHPshieldとかいうPHP Extensionが必要らしい
Elgg
NetCommons 国産

こうしてみると、欲しい機能にぴったりあったCMSってのはないものだなぁ。

Vagrant

anonymous@undisclosed.example.com (Anonymous) — Tue, 31 May 2016 04:53:45 +0000

Vagrant

今更Vagrantを始めることになったので、メモ。環境はOS-X

HomeBrewを入れる
HomeBrewにCaskも入れる
- brew install caskroom/cask/brew-cask
VirtualBoxを入れる
- Caskから入れる場合は brew cask install virtualboxで
- OS-XのPackageとして入れる場合はhttps://www.virtualbox.orgから
Vagrantを入れる
- brew cask install vagrant
- brew cask install vagrant-manager
box fileを追加する
- Ubuntu 16.04 を入れる場合。
  - vagrant box add https://vagrantcloud.com/ubuntu/boxes/xenial64
- FreeBSD 10.3-RELEASE を入れる場合
  - vagrant box add https://atlas.hashicorp.com/freebsd/boxes/FreeBSD-10.3-RELEASE
- 要するにVagrantのBoxファイルを探して入れれば良い
  - boxファイルなどは、.vagrant.d以下に設置される
Imageの準備
- vagrant box list でリストを確認
- vagrant init ubuntu/xenial64 (Ubuntuの場合)
VMの制御
- 基本は、Vagrant initしたDirで作業すると、VMを意識する必要がなくなる
- vagrant up
- vagrant ssh で起動したVMにsshでloginする
  - vagrant ssh-config で起動したVMに読み込まれている設定が見られる
- vagrant haltでVMを止める
- vagrant reloadでVMを再起動する
- vagrant provisionでVMにProvisioningで記述した操作を適用する
  - provisioningに記載された内容は、VM作成後初めてVMを起動する時のみ実行される。

ハマリどころ

原因不明だが1.8.1で出た問題

手元のVagrantは1.8.1で、1.7系では出ていないという話を聞いたが、同一のBoxを元にVMを二つ起動しようつするとVMのVirtualBox上での識別子が被ってしまい、起動できないという症状が出た。

回避には、以下を記載することでしのいだ。

    config.vm.provider "virtualbox" do |vb|
      vb.name = "nginx" # これがVB上の識別子になるので、重複しないよう機器をつけること。
    end

Ubuntu 16.04の問題

Ubuntu 16.04はNICの命名規則が変わっている(15.10以降かららしい) そのため、

  config.vm.define "nginx" do |loop|
    loop.vm.network "private_network", ip: "192.168.1.11", virtualbox__intnet: "intra"
    loop.vm.network "private_network", ip: "192.168.2.11"
    loop.vm.provider "virtualbox" do |vb|
      vb.name = "nginx1"
    end
  end

のような記述をすると、eth0が見つからないと言って大騒ぎする回避するには、

  config.vm.define "nginx1" do |loop|
    loop.vm.network "forwarded_port", guest: 80, host: 2001
    loop.vm.network "private_network", ip: "192.168.1.11", virtualbox__intnet: "intra", auto_config: false
    loop.vm.network "private_network", ip: "192.168.2.11", auto_config: false
    loop.vm.provider "virtualbox" do |vb|
      vb.name = "nginx1"
    end
    loop.vm.provision 'shell', inline: "/sbin/ifconfig enp0s8 192.168.1.11/24"
    loop.vm.provision 'shell', inline: "/sbin/ifconfig enp0s9 192.168.2.11/24"
  end

のように、network設定でauto_configをfalseに設定し、provisioningで取り急ぎのアドレスを割り当てる。当然、2回目の起動からはアドレスが設定されなくなるので、システムにアドレス設定を記述する必要がある。

無論、旧来のようにDevice nameをeth*にする方法もあるらしいのだが、試していない

その他

書きかけ

華為のスイッチ触って思ったこと

anonymous@undisclosed.example.com (Anonymous) — Tue, 14 Jun 2016 16:32:43 +0000

華為のスイッチ触って思ったこと

FBにも投稿したけど、こっちにも。

ここ数日、なぜか華為なL3SWを弄っているのだが、これがなかなか良い。

もちろん、ただの普通のL3SWなわけだが、まぁ、命令体系が微妙。

cisco的コマンド→華為的コマンド enable→system-view sh run→display current-config no shut→undo shutdown

など。まぁ、コマンドの単語が異なるだけな感じ。

「慣れが必要」
「本当に正しく動く(現時点では動くことが強く期待できる程度。確認できてないから)」
「通信内容などが漏れるという噂がただのデマである」

という事を前提とした上での個人的感想を以下に述べてみる。

とにかく、まぁ、安い。
- これは、本当に見積もりを取ってみる価値があります。特に10Gとか25Gとか100G考えるなら、選択肢に入れざるを得ない価格
なんだかんだ言って、L3swとして動いて欲しい機能はほぼ網羅している
- けど、マニュアル探すのは辛い。命令の単語が違うから
マニュアルがまとまって手に入る
- けど、英語(笑)
- あと、特殊形式なので、アプリが必要
ファームウェアのupdateが工夫されてて、reboot不要なpatchで済むこともある。
- rebootが必要かどうかは、filenameでわかる
サポートが本当に優秀
- 一昔前の日本のベンダーのように、本当に全力で協力してくれる
- これは、もっと売れてきて手が回らなくなったらどうなるかという問題は孕むのだが、少なくとも今の段階では、本当に良い対応をしてくれる

総体でいうなら、色々考える必要はあるし、検証も必要だとは思うけど、真面目に、いいなぁと思った。

少なくとも、明示的に却下されない限り、基本的には選択肢に入れる方向で考えようと思った。

日本のメーカーさん、何とか本気で変わらないと、かなり厳しいと思うよ。いや、ciscoやjuniperだってのんびりしてられないと思う。

個人的にはAlaxalAとかYamahaとか応援してるけど、公平に見たら華為に負けてると思うなぁ。巻き返しに期待してます。

FreeBSDにNGiNXをSourceからInstall

anonymous@undisclosed.example.com (Anonymous) — Mon, 03 Oct 2016 05:37:30 +0000

FreeBSDにNGiNXをSourceからInstall

Sourceからといっても、全部頑張るのは管理上も面倒なので、最小限だけpkgで導入する

FreeBSDをInstall
pkg update; pkg upgradeを実行
pkg install wget git openssl pcre
NGiNXを持ってくる。NGiNXの公式のDownload pageからNGiNXを拾う
- wget https://nginx.org/download/nginx-x.xx.x.tar.gz (このURLはWeb Pageから正しいものを得てください)
- 署名の検証は各自でおこなうこと
NGiNX RTMPモジュールを取得する
- Gitで公開されているので、https://github.com/arut/nginx-rtmp-moduleを参照して必要なURLを得ること
- git clone https://github.com/arut/nginx-rtmp-module.git
展開する
- tar xzf nginx-x.xx.x.tar.gz
コンパイルする
- configureの引数にRTMPモジュールの設定を入れるのを忘れないように
- configure –prefix=/usr/local –add-module=../nginx-rtmp-module
- make install
あとは、NGiNXの設定をするだけ

FreeBSDでOBSを使う

anonymous@undisclosed.example.com (Anonymous) — Thu, 06 Oct 2016 04:56:39 +0000

FreeBSDでOBSを使う

OS-XやWindowsでStreaming配信を行う際にしばしば利用される配信ソフトウェアにOBS-studioがある。このソフトウェアはFree and Open Sourceとして公開されているが、これが大変によくできたSoftwareで、こんなのFreeでいいの？と思うような出来である。

このOBS、長らくWindows/MacOS-Xでしか動かないのだろうと思っていたら、よく見るとLinuxの文字列があった。もしかしてと思ってportsを調べてみたら…「すごいや、OBSはFreeBSDにもあったんだ」と。

ということで、FreeBSDでOBSを動かしてみようと。

FreeBSDをInstall

これは、いつも通り。普通に入れれば良い。

OBSをInstall

pkg install obs-studio

しかし、当然、これではOBSの配信画面は出せないので、XOrgも入れる。

pkg install xorg

これで、とりあえずOBS環境はできるわけだ。

USB Cam関係のInstall

ここまでの作業で、画面Captureを流すことはできるようになる。しかし。できれば外部からのWebCam画像/音声を流したい。というわけで、さらに作業する。

Kernel sourceをInsatllする。今回の環境はFreeBSD 10.3 なので、 svnlite checkout http://svn0.eu.freebsd.org/base/releng/10.0/ /usr/src

次に、portsから multimedia/cuse4bsd-kmod をInsatllする。これは、kernelのVersionにも依るだろうから、自前でCompileして導入するべき

で、multimedia/webcamdをInsatllする。これはpkgで良い pkg install webcamd

OBS-Studioの起動

まず、OBS-StudioはDBUSを要求するので、 /etc/rc.confにdbus_enable=“YES” を追記し、service dbus start する

次に、WebCamのDevice Driverを動作させる kldload /boot/modules/cuse4bsd.ko

そして、webcamdを動作させる。この時、webcamdの引数にUSB Camのデバイス名を記載しなければならない。これは、 pciconf -lv や usbconfig list を実行して、取得する。今回は ugen1.2 にWebCamが生えているので、それを指定する。 webcamd -d ugen1.2

こうすると、/dev/video0が出来上がる。

恒久的に対応するなら

echo 'cuse4bsd_load="YES"' >> /etc/rc.conf.local
echo 'webcamd_enable="YES"' >> /etc/rc.conf.local
service devd restart
pw groupmod webcamd -m <username>

を実行するれば良い

これで動作確認するわけだが、動作確認には multimedia/pwcview が利用できる。というわけで pkg install pwcview を実行し、実行する。

結論

現時点では、KODAK PIXPRO SP360-4K は認識しなかった orz…

FreeBSD 11.0 Release

anonymous@undisclosed.example.com (Anonymous) — Tue, 25 Oct 2016 07:45:12 +0000

FreeBSD 11.0 Release

FreeBSD 11.0 Releaseが出ている。元々は、8月くらいにShipされるはずだったのだが、OpenSSLを始めとする様々な脆弱性が公開されたことから、その対応を待って公開することになったものだ。そのせいもあって、Release時点で11.0-RELEASEではなく11.0-RELEASE-p1として公開された。

# 実際には、11.0 は少し前に公開されたのだが、脆弱性問題があるので使うな！ということになっていた。

さて、というわけで、手元のFreeBSD 10.3で動いているServerを11.0にupgradeしようとしたメモを。

FreeBSDはOSのUpgradeが原則としてとても簡単なOSである。

freebsd-update -r 11.0 upgrade
freebsd-update install
reboot
freebsd-update install
(場合によってpkg-static upgrade -f pkgを先に実行)
pkg update
pkg upgrade
portsnap fetch
portsnap update
(場合によってfreebsd-update installを実行)
reboot

のような手順でいいのだが、今回は少しハマったので愚痴を兼ねて。

まだ、SLB系とDNS系しかupgradeしていないのでこのくらいだが、もしかしたらもっと出るかもしれない…出たら追記する。

knot DNS 2.3.0

11.0-RELEASE-p1 のlibcに含まれているrecvmmsgにはBUGがあり、ある条件下のUDPパケットに関してmsg_lenが設定されない。これによって、（少なくとも）knotDNS 2.3.0及び2.3.1においてDNS ServerへのUDP Queryを受け付けてくれない問題が発生する。

つまり、DNS Serverとして動作しなくなるわけでとても困る。

この問題は https://github.com/freebsd/freebsd/commit/3fa64907439c00965fb0cbb222a6bf073c452630 で解決したみたいだが、これいつになったら取り込まれて配布されるのだろうか…

とりあえず、knotを利用する場合は、10.3で凌ぐしかあるまいと思われる。

# もちろん、libcを作り直して頑張る手はある。 # しかし、試験環境ならともかく、公開サーバーでそういう運用やったら、更新時に死ぬのは目に見えている。忘れるから。

あとこの問題はUDPで割に発生しそうな問題だから、AsteriskとかUDPで通信するアプリに影響が出る可能性があるんじゃないかと。

# もちろん、recvmmsg 使ってなければ問題はでないはずなので、出ない可能性もある

追記

どうしても納得がいかなかったのでもう少し調べたら、以下の事実が判明した。

FreeBSD 10.0までは、そもそもrecvmmsgは存在していない
- もともとrecvmsgは存在している。recvmmsgは、11.0になって追加された。
- glibcには存在していることから、おそらくはportされたのだろうと思うけど、そこまで見てない
knotDNS 2.3.0は、recvmmsgが壊れている場合に備えて、recvmmsgを利用しないようにするconfigure optionが存在する。

というわけで、とりあえず、以下のようにして対処

# cd /usr/ports/dns
# cp -rp knot2 knot23
# cd knot23
=== 以下 diff file ===
# diff -cr knot2 knot23
diff -cr knot2/Makefile knot23/Makefile
*** knot2/Makefile      Mon Oct 17 16:53:48 2016
--- knot23/Makefile     Tue Oct 18 11:22:28 2016
***************
*** 2,8 ****
  # $FreeBSD: head/dns/knot2/Makefile 421635 2016-09-09 19:42:46Z amdmi3 $

  PORTNAME=     knot
! PORTVERSION=  2.3.0
  CATEGORIES=   dns ipv6
  MASTER_SITES= https://secure.nic.cz/files/knot-dns/ \
                http://dns-lab.com/downloads/knot-dns/
--- 2,8 ----
  # $FreeBSD: head/dns/knot2/Makefile 421635 2016-09-09 19:42:46Z amdmi3 $

  PORTNAME=     knot
! PORTVERSION=  2.3.1
  CATEGORIES=   dns ipv6
  MASTER_SITES= https://secure.nic.cz/files/knot-dns/ \
                http://dns-lab.com/downloads/knot-dns/
***************
*** 28,33 ****
--- 28,34 ----
  GNU_CONFIGURE=        yes
  CONFIGURE_ARGS=       --with-rundir=/var/run/knot \
                --with-storage=/var/db/knot \
+               --enable-recvmmsg=no \
                --with-pkgconfigdir=${PREFIX}/libdata/pkgconfig

  INSTALL_TARGET=       install-strip
diff -cr knot2/distinfo knot23/distinfo
*** knot2/distinfo      Mon Oct 17 16:53:47 2016
--- knot23/distinfo     Tue Oct 18 01:38:43 2016
***************
*** 1,3 ****
--- 1,5 ----
  TIMESTAMP = 1470789106
  SHA256 (knot-2.3.0.tar.xz) = 8abf9a6562ecf2f7f4222d16ca6c75463399870db360eda7caa40530b469533c
+ SHA256 (knot-2.3.1.tar.xz) = 42e4ec64dc8f017329d1753eb074a5759d6bb380e1f2a272101adccc0552f9b4
  SIZE (knot-2.3.0.tar.xz) = 1066852
+ SIZE (knot-2.3.1.tar.xz) = 1072808
diff -cr knot2/pkg-plist knot23/pkg-plist
*** knot2/pkg-plist     Mon Oct 17 16:53:48 2016
--- knot23/pkg-plist    Tue Oct 18 01:54:20 2016
***************
*** 72,79 ****
  lib/libdnssec.so.2.0.0
  lib/libknot.a
  lib/libknot.so
! lib/libknot.so.3
! lib/libknot.so.3.0.0
  lib/libzscanner.a
  lib/libzscanner.so
  lib/libzscanner.so.1
--- 72,79 ----
  lib/libdnssec.so.2.0.0
  lib/libknot.a
  lib/libknot.so
! lib/libknot.so.4
! lib/libknot.so.4.0.0
  lib/libzscanner.a
  lib/libzscanner.so
  lib/libzscanner.so.1
***************
*** 87,93 ****
  man/man1/knot1to2.1.gz
  man/man1/knsec3hash.1.gz
  man/man1/knsupdate.1.gz
- man/man1/kzonecheck.1.gz
  man/man5/knot.conf.5.gz
  man/man8/keymgr.8.gz
  man/man8/knotc.8.gz
--- 87,92 ----
***************
*** 95,98 ****
  sbin/keymgr
  sbin/knotc
  sbin/knotd
- sbin/kzonecheck
--- 94,96 ----

勢い余って2.3.1にしてしまったが、2.3.0で行くなら、Makefileで

  CONFIGURE_ARGS=       --with-rundir=/var/run/knot \
                --with-storage=/var/db/knot \
+               --enable-recvmmsg=no \
                --with-pkgconfigdir=${PREFIX}/libdata/pkgconfig

だけ対処すれば良いはず。(試してない)

さらに追記（recvmmsgについて）

recvmmsgは、systemcallの一つであって、recvmsgの拡張である。

このシステムコールを使うことで、recvmsgと比較して以下のメリットがある。

一回のsyscall呼び出しでソケットから複数のメッセージを受信できる
受信操作においてタイムアウトがサポートされる

確かに、DNS Server、特にQueryが多いDNSサーバーには大きな意味がありそうな気がする。

recvmmsgシステムコールは Linux kernel 2.6.33 で追加されている。glibc 2.12 以降で利用可能できる。 FreeBSDの場合、11.0からこれが利用できるようになっている。

rbenv+ruby

FreeBSD 11.0 で Redmine を NGINX 環境で動かしている際に、rbenv で ruby が作れなくなるという症状が発生。

この原因は、pkg(ports)から NGINX を導入する際に OpenSSL を pkg としてインストールしているからという事が判明。さらに、libreadlineも見つけてくれなかった。

詳しいことは OpenSSL問題はこのthread、readline問題はこのthreadを参照。

というわけで、対処としては、

export RUBY_CONFIGURE_OPTS="--with-openssl-dir=/usr/local --with-readline-dir=/usr/local"
rbenv install 2.3.1

などとし、opensslの関連がInstallされているディレクトリを明示的に渡すこと。

# 正直、こんなのわからないよ…orz