ほほほのほ - tweet:2018

WordPressとFacebookの連携

anonymous@undisclosed.example.com (Anonymous) — Thu, 11 Jan 2018 10:04:33 +0000

WordPressとFacebookの連携

WPに投稿した記事を自動でFBに投げてくれるPluginとして、Facebook Auto Publishがあるが、どハマったのでメモ

なお、無料で（Donateは可能）利用できるこの手のPluginで、2018/01時点のFB APIにOAuthレベルで完全に対応しているのはこれだけだった。とてもありがたい。

ただし、もし、SettingのAuthorizeがうまくいかなくて、NGINXのlogに

NGINX Error log (URL is changed to example.jp)
2018/01/11 18:30:20 [error] 27732#100162: *40 FastCGI sent in stderr: "PHP message: PHP Warning: session_start(): Cannot start session when headers already sent in /usr/home/www/wordpress/wp-content/plugins/facebook-auto-publish/admin/authorization.php on line 9
PHP message: PHP Warning: Cannot modify header information - headers already sent by (output started at /usr/home/www/wordpress/wp-includes/formatting.php:5100) in /usr/home/www/wordpress/wp-content/plugins/facebook-auto-publish/admin/authorization.php on line 28
PHP message: PHP Warning: Cannot modify header information - headers already sent by (output started at /usr/home/www/wordpress/wp-includes/formatting.php:5100) in /usr/home/www/wordpress/wp-content/plugins/facebook-auto-publish/admin/authorization.php on line 34" while reading upstream, client: 10.2.101.41, server: example.jp, request: "POST /wp-admin/admin.php?page=facebook-auto-publish-settings HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.sock:", host: "example.jp", referrer: "https://example.jp/wp-admin/admin.php?page=facebook-auto-publish-settings"

みたいなエラーが出ていたならば、以下のどちらかを行うこと

enable the output buffering in the server
uncomment the code ob_start(); in the file facebook-auto-publish.php (line no. 32)

但し、自分のところでは、1ではだめだったので、2を行なった。おそらく、一番最初の時だけ問題になると思われるので、PluginのUpdateには影響がないと信じて…

そのうち、詳細を書かないといかんなぁ。

S.M.A.R.T

anonymous@undisclosed.example.com (Anonymous) — Thu, 24 May 2018 09:05:55 +0000

S.M.A.R.T

ちょっと調べてたので、メモ書きだけ。

CentOS

XCP-ng はCentOSなので。XCP-ng 7.4.0 は CentOS 7.4.0 なので、Cent7の場合。

XCP-ngでCentOSのversionを知りたいときは、/etc/centos-releaseを見る。

smartctl -a /dev/sdb		# /dev/sdbのsmart情報を見る
smartctl -t short /dev/sdb	# short selftest (2分程度)
smartctl -t long /dev/sdb	# long selftest (3時間程度)
smartctl -H /dev/sda		# HDDの状態確認
smartctl -l selftest /dev/sdb	# Selftest結果の表示
smartctl -l error /dev/sdb	# error logの表示

修復に関してはここ参照

FreeBSD

確認したバージョンは FreeBSD 11.1

portsのsysutils/smartmontoolsをInstallする必要がある
smartctlに関しては、Linuxと一緒

ここを参照 SSDの場合はここも参照

FreeBSD and AlaxalA LAGG

anonymous@undisclosed.example.com (Anonymous) — Mon, 28 May 2018 05:45:37 +0000

FreeBSD and AlaxalA LAGG

NASを作るにあたって、NAS-Switch間の伝送性能を上げようと思い立った。一番簡単なのはLAGG(Link Aggregation)なので、その設定をメモ。

FreeBSD

今回のお題はFreeBSD 11.1で確認した。

FreeBSDはLink Aggregationの機能として

failover: 単純なFailover
FEC/LoadBalance: Cisco Fast EtherChannel (FEC)対応
LACP: The IEEE 802.3ad Link Aggregation Control Protocol
Roundrobin: 単純なRoundrobin

を持っている。

今回は、AlaxalAが相手なので、この中のLACP(IEEE 802.3ad Link Aggregation)を利用する。

Configuration

LAGGを行うI/Fを決定。今回は、em3とem5を利用する。(OnboardNICとPCIに追加したNICからportを割り当てる)

# ifconfig em3 up
# ifconfig em5 up
# ifconfig lagg0 create
# ifconfig lagg0 up laggproto lacp laggport em3 laggport em5 192.0.2.1/24

これで、FreeBSD側でのLAGG設定は終了。詳しいパラメータは、man ifconfigでlaggを探せば良い。

永続化するためには、/etc/rc.confに設定を記録する。

cloned_interfaces="lagg0"
ifconfig_em3="up"
ifconfig_em5="up"
ifconfig_lagg0="laggproto lacp laggport em3 laggport em5 192.0.2.1/24"

AlaxalA

Alaxalaには、LAGGに利用できる設定として

static: 固定で使えるLAGG。おそらくRoundRobin相当と思われる
LACP: The IEEE 802.3ad Link Aggregation Control Protocol がある。したがって、LACPを利用するのが一番明確に規格が存在するLAGG手法となる。

Configuration

今回は AX2430-48Tの19/20番ポートを利用する。

# conf t
(config)# interface range gigabitethernet 0/19-20
!(config-if-range)# switchport mode access
!(config-if-range)# no switchport access vlan
!(config-if-range)# channel-group 1 mode active
!(config-if-range)# !
!(config-if)# interface port-channel 1
!(config-if)# channel-group periodic-timer short
!(config-if)# switchport mode access
!(config-if)# switchport access vlan 2
!(config-if)# !
!(config)# save

AlaxalAの設定をする際、LAGGを組みたいポートに余計な設定が入っていると、 interface : this command is different from this one i n channel-group port. のようなよくわからないメッセージが出る。これは、Port channelを組むI/F間で設定が異なっているとSwitchが認識しているということで、筆者の例では、両方のポートにswitchport access vlan 2が記述されていたため、エラーが発生した。

したがって、LAGGを組むI/Fは、事前設定を全部Offにし、switchport mode access以外の設定を含まないようにしてから設定することを強く勧める。

luaを勉強してみる

anonymous@undisclosed.example.com (Anonymous) — Tue, 29 May 2018 12:35:40 +0000

luaを勉強してみる

思うところがあって、luaを始めることにした。今まで何回か、始めてみては挫折してきたが、流石に今回は続くといいなぁ。

きっかけはCEoR。 shell scriptなので、同時処理(マルチタスク処理)が難しい。また、testなど、何度も外部コマンドを呼ぶので、そろそろ遅さを感じ始めた。

まぁ、もうしばらくshell scriptも考慮しながら進めるが、そろそろlua位は使えるようになりたいのも本音なので。

shellでMultiProcess

anonymous@undisclosed.example.com (Anonymous) — Tue, 05 Jun 2018 04:16:54 +0000

shellでMultiProcess

目から鱗だったので。

POSIX主義者としてはちょっとアレではあるのだが、それでもあまりにも便利だったのでメモらずにはいられない。

結論

xargs -Pは神。

神を召喚するのは、おまじないが必要
- -P拡張されているxargs
-Pをうまく使うには、-nか-Lが必要
- -nの方がshell scriptとしては簡単かもしれないけど、ケースバイケース

Sample

ためしてみた。これは、ちょっと試すためなので、bashを使った。 bashの数値計算拡張が一番簡単だったので。

echo 2 3 4 1 2 3 4 1 2 3 4 1 | xargs -n 1 -P 3 -I % sh -c 'sleep $((%)); echo "%" '
2
3
1
4
2
3
1
4
2
3
1
4

何をしているのか？というと、

“2 3 4 1 2 3 4 1 2 3 4 1” という文字列を
xargs に渡して
渡された文字列を1つずつ分離(-n 1) し、実行させたいコマンドの % の部分に投入(-I %)し、3プロセスずつ実行(-P 3)させる。
xargsが実行するのは、渡された引数を文字列から数値に変換($((%)))し、sleepの引数に渡し、sleepが終了したら渡された引数を出力する

という作業。

あとはパズルなので、ちゃんと考えればわかると思うが一応

シリアルに実行したら2 3 4 1 2 3 4 1 2 3 4 1の順になる。
このスクリプトだと、2 3 1 4 2 3 1 4 2 3 1 4の順になる。

これは、xargsが「プロセスの終了を待って」、「プロセスごとにどんどん-Pの引数分だけ」処理を開始させることを意味している。つまり、疑似マルチタスクを実行することができるということになる。

感想

POSIXにもこの引数を取り入れてほしい…

CEoRとpSST

anonymous@undisclosed.example.com (Anonymous) — Fri, 22 Jun 2018 03:05:16 +0000

CEoRとpSST

正直なところ、gitが好きなわけではない（というより、svnでいいじゃん。局面によってはcvsでもrcsでもいいと思っている）が、まぁ、色々あって、GitHUBに

CEoR Command Executer on Remote
pSST personal Shell Script Tools

を公開した。

システム管理支援のためのScriptなので、基本はPOSIXに閉じたいという考えはある。（完全に閉じることは不可能だが、ツール自体は閉じたい）

POSIXに閉じたい理由は、「多くのUNIX系システムであれば、POSIX準拠していればInstall baseの段階で利用できる 可能性が高い 」からである。

結局初期段階であれもいれてこれもいれて、
そんでこうしないとリモートから管理できない

などというのは、運用上は辛いことだし、入れたツールがDis-Continuedになってしまえば、その後の対応で辛い思いをすることは自明。

Python2系と3系で互換性がなくなったため、今はまだ色々面倒な思いをしているわけだしそのような事態は別にPythonに限らず、昔PHPにもあったし、Rubyにもあった。

まぁ、POSIXだから大丈夫というつもりはないが、今のところもっともConcreteでかつ普及しているのがPOSIXだから、それを使えばいいか、くらいの考え。

興味ある人は少ないだろうな(笑)

WebServerの更新

anonymous@undisclosed.example.com (Anonymous) — Mon, 02 Jul 2018 10:34:37 +0000

WebServerの更新

以前から、本ページがしばしば 502 Bad Gateway を出すので気になっていたのだが、原因がつかめず、修正できなかった。

今回、FreeBSD-11.2-RELEASEが出たのをいいことに、完全にVMからReplaceしてみたところ、症状が改善され、とりあえず現時点では502が返らなくなった。

Dokuwikiのコンテンツは書き換えていないこと（ほぼそのまま移行）したことを考えると、OS側のTuning関連で何らかの大ボケをかましていた可能性が濃厚になった。

原因追求は別途行うとして、とりあえず、問題が出なくなった（ように見える）ので、今は、良しとしよう。

弁当blogの更新

anonymous@undisclosed.example.com (Anonymous) — Tue, 03 Jul 2018 09:00:12 +0000

弁当blogの更新

サーバーが全く502を返さなくなったので、上げていなかった弁当記事を一気に全部あげた。

しかし、2015年6月〜2017年3月までの22ヶ月分のデータがなくなっていることに気がついて愕然とした。

この種の情報はなくすと二度と取り戻せないので、結構凹んでしまった。

もう少し頻繁にあげるようにしないと…

WordPressをUnisonで同期する

anonymous@undisclosed.example.com (Anonymous) — Mon, 30 Jul 2018 08:12:32 +0000

WordPressをUnisonで同期する

WordPressをFreeBSD上で稼働させている。このWordPressはサービスサイトなので、可能な限りサービスを停止したくない。

こういう時には、冗長構成を取りたいのだが、WordPressの場合、記事はDBで管理しているので分散は簡単なのだが、ファイルはWordPressのwp-contentsに配置されているため、迂闊なことをすると破損する可能性がある。

しかし、今回の場合、幸いなことに、Realtime Synchronizationを行う必要はないので、unisonで同期することにする。

なお、もし Realtime Syncをしたいのならば、Linuxでlsyncdを利用して頑張るしかないので、かなり辛いことになる。

基本構成

FreeBSD上にNGINX+PHP-FPM+MariaDBを利用してWordPressを構築していることとする。

MariaDBの同期に関しては、Semi-Sync Replicationを利用しているが、これに関してはすでに本サイト上に記事があるのでそちらを確認のこと。

/data/www/wordpress にすでにWordPress環境が構築されているものとする

UnisonのInstall

もちろんGUIなんて必要ないので、pkg install unison-nox11を導入する。

unisonで同期したいファイルは、nginxの実効UIDになるので確認すると、www:wwwだった。従って、~wwwを作成する必要がある。

vipwを利用して、~www関連の設定をする。

sudo vipw
- HomeDir : /home/www
- login shell : /bin/sh
sudo mkdir ~www;chown www:www ~www
passwd www
- www用のpasswordを設定すること
su www
- ssh-keygen -t ed25519
  - 自動での作業になるので、passphraseは設定しないこと

UNISONの設定

現代のWordPressは自動で自身を更新する機能があり、その結果、迂闊にUNISONで同期すると、同期に失敗することがある。なので、WordPress本体は同期せず、wp-content のみを同期する方針で進める。

Wordpressの準備

まず、1台、WordPressをClean Installする
最小限の動作確認
/data/www/wordpressをClone先のマシンに転送して展開

Unisonで同期

wwwになって、以下のコマンドを実行し、wp-content を同期する
- /usr/local/bin/unison -batch -confirmbigdel=false /data/www/wordpress/wp-content ssh:www@targetdata/www/wordpress/wp-content
- これで、target側でDirectoryが同期されていることを確認する。
逆方向も確認する。
- /usr/local/bin/unison -batch -confirmbigdel=false /data/www/wordpress/wp-content ssh:www@originaldata/www/wordpress/wp-content
- 逆方向で、何も置き換えが発生しなければOK

shell scriptの設置

設定をunisonの設定ファイル (~/.unison/default.prf) に記述することも可能だが、どうせUNISONをcronで起動するので、いっそshell scriptにする。

unison.sh

/usr/local/bin/unison -batch -confirmbigdel=false /data/www/wordpress/wp-content ssh://www@target//data/www/wordpress/wp-content

このunison.shを~www/binに設置する

UnisonをCronで動作させる

Unisonで同期する際には、同期時刻がかぶらないようにしておくべきである。（特に問題が発生するという情報はないが、問題になりかねない状況は作らない方が良い）

また、今回のサイトは更新頻度が低いので、同期頻度を5分程度にする。 Unisonは基本的に双方向同期なので、

Original: 05,15,25,35,45,55
Target : 00,10,20,30,40,50

でcronからshell scriptを呼び出すものとする。

wwwになる

crontab -e で以下の設定を投入

Original

SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
 
#minute	hour	mday	month	wday	command
5,15,25,35,45,55  * *   *       *       /bin/sh /home/www/bin/syncwp.sh

Target

SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
 
#minute	hour	mday	month	wday	command
0,10,20,30,40,50  * *   *       *       /bin/sh /home/www/bin/syncwp.sh

これで、/var/log/cron.logにShellscriptの実効logが出ればOK

IPv6のこと

anonymous@undisclosed.example.com (Anonymous) — Mon, 06 Aug 2018 07:50:05 +0000

IPv6のこと

1996年くらいからWIDE Projectの活動を通じてIPv6と比較的仲良くしてきた。 IPv4アドレスの枯渇が見えてきた頃から活動しているIPv4枯渇TF内でHandsOn含めた普及活動に協力し、その活動を引き継いだJPNICでもやはり普及啓発活動に協力させていただいている。

今日、某FaceBookの某人のタイムラインでこのHandsOnの件が少し話題になったのだが、そこでふと思ったことをつらつらと綴ってみようと。

そのFBのチャットに参加している人を見ていると、多くの人が、ISPの運用やサービサーの運用、設計や構築などを手掛ける、少なくともIPv4に関しては十分に知識のある人たちといえる。にも関わらず、そのレベルにいる人たちであっても、「IPv6触ったことない」、「IPv6よくわからない」と言った声は聞こえてくる。

もちろん、これらの人たちは、HandsOnの想定対象よりもはるかに技術力がある人たちだし、彼らに必要なのはHandsOnではなく「もくもく会」だろうとは思うのだ。彼らに環境を与えれば、少なくとも「正常系におけるIPv6対応」くらいは即行えるはずのレベルにはある人達なのだから。

問題は、このレベルの人達ですら「v6と仲良くなることができる環境がない」ということだろう。

年寄の繰り言かもしれないが、昔（と言っても1995年ごろ）は、ISPですら、なんだかんだ言ってサービス上のトラブルを抱えながら、泣きながらでもサービスを提供することはできたし、それによって経験や知見を蓄積し、共有することで今の日本のInternetを作り上げてきた。しかし、今「今度はIPv6に対応しよう」と思った時に、あの時よりも格段に情報が増えているにも関わらず、実体としては

IPv6環境を簡単に入手できない
- /64ではなく/48くらいの空間
- 多少の利用者を抱えながらサービスを供給する「実験を行えるだけの上流」を提供するISP
実際にIPv6を運用することで得られる知見を共有する場
- 環境がないのに共有できるはずがない
- 大規模ISPインフラ環境の知識は貴重だが、実は小規模運用に適用できるとは限らない

という大きな課題があるように思う。

正直言ってこの問題に対する回答を自分は持っていないのだが、それはそれとして何か考えなければらないのだろうなぁ、という思いだけ新たにしたので、とりあえずメモとして残しておくことにする。

IPv6のこと (2)

anonymous@undisclosed.example.com (Anonymous) — Mon, 06 Aug 2018 08:20:41 +0000

IPv6のこと (2)

ちょっとIPv6のことを書いたついでに、以前Twitterに上げたIPv6に関するつぶやきをちょっとまとめておく。

2018年8月段階での自分の考えなので、まぁ、色々意見はあるだろうけど、気に入らない人はスルーしてください。

小川晃通氏が、ラムダノート社から「プロフェッショナルIPv6」という本を上梓された。この壮挙には拍手しかない。 2018年8月段階でここまでIPv6という技術の根の部分を記述してくれた書籍は現時点で存在しない。にも関わらず、氏およびラムダノート社は、この本のPDFを「無料でも」配布している。技術者は、一度は目を通していただきたい書籍であり、可能ならば購入すべき書籍であると思う。

この本が上梓された時に、ちょっと思ったことを以下につぶやいてみる。

今のInternetで主に利用されているIPv4の次がIPv6でなければならない技術的な理由はないと思うのですよ。
ただ、もしIPv6ではないとするなら、代わりとなるProtocolを用意しなければならないのですよ。
そして、その「代わりとなるプロトコル」は今(2018年8月現在)のところ存在しないのですよ。
今の今ということなら、日本にいる限り、別にIPv6にしなくたっていいんですよ。実際困りはしない。
でも、世界的に少しずつIPv6の利用者は増えているというのは事実。
はたと気がついた時に、すでにガラパゴスになっていたとしても驚きはしない。

IPv6対応は、恐らく、多くの人が思うほど難しくもないし、すでに使ってる人が言うほど簡単でもない。新しい通信規約で通信する、それもマルチプロトコルでと言うことを考えれば、そんなことは当然。
その上で、何をどこからv6にも対応させていくのか、をしっかり考えることが必要なんだが、恐らくその前に思考停止するんだろうな。

いずれにしても、NATのおかげでEnd-to-End通信が前提のプロトコルは瀕死もしくは死亡した。今時はほとんどHTTPでカプセリングされてると言っても過言ではなかろう。
これがIPv6になったら復活するか？恐らく復活しないだろうね。もう、HTTPでカプセリングするのが「普通」になっちゃったから。そのほうが簡単で、性能を出しやすいから。
ともあれ、正直に言って、日本でIPv6が通信プロトコルの主役になるにはまだまだ時間がかかると思う。

じゃぁ、主役になるのはいつなのか？
そんなことがわかるわけがない。
ただ、AKAMAIの観測データを見る限り、北米は20％程度はIPv6も使えるユーザーがいる事はわかるし、コンテンツ提供者もIPv6でのコンテンツ提供「も」行なっている。
この流れは恐らく、もう止まらないのだろう。

そうだとすると、日本以外の国でIPv6が着々と使われ始めているとは言えるだろう。
それが拡大する間も、日本国内では「日本語だけでインターネット生活」を送る人はv4だけで生活するだろう。
外国語は理解が大変だろうし、面倒だし。しかも、日本はなんだかんだ言ってもv4アドレスは沢山あるのだから。

思うに、日本においてIPv6が普及するために一番必要なことは、「それを使わなければ生きて行かれなくなる」という状況なのではないか？
その状況とは、日本が一国で経済を賄うことができなくなって、どうしても外国とやり取りする基盤としてIPv6を使わざるを得なくなるという状況なのではないだろうか？（個人の考え）
人口が減り、若者が減り、生産人口が減るのが何年後なのか？と言う話とリンクするのかもしれない。
この想像がもし正しいのならば、あと10年くらいはv4で生きて行かれるんだろうな。
そしてその頃、生き残るために、外国とやりとりするために、IPv6対応を迫られ、最後尾から追いかけるようになる、と云うシナリオだって考えられる。

自分は、新しいプロトコル作るだの、v4をさらに延命するだのに力を注ぎ込むつもりは毛頭ない。
IPv6が完璧でないことなんて、そんな事はよく知ってる。その上で、言っても20年と云う時間をかけて少しずつ枯れてきたプロトコルなんだから、わざわざ今から車輪を再発明してもしょうがない。
そんな効率悪いことするなら、さっさとv6に移った上で、問題があるところを改善しようとするほうが、「今の段階では」良いと思う。いつまでもv4にしがみついてても未来があるようには思えない。

まぁ、例によってまとまっていないわけだが、その辺はご容赦ください。

気になった記事 (2018/08/08)

anonymous@undisclosed.example.com (Anonymous) — Wed, 08 Aug 2018 04:08:04 +0000

気になった記事 (2018/08/08)

久しぶりに取り上げることにする。書き出すといつも、「これを楽に投稿できたらメモに毎日残せるんだけどなぁ」と思うのだが、億劫で調べていない。

過去にPickupしたLinkも張るので、時期的にはバラバラ。

NGINX関連

DB, DNS等各種サーバー関連

手元の環境、運用関連

Security関連
- NO MORE RANSOM!
- NVD - CVE-2016-6922

読み物
- 200万ドメインを超えるレンタルサーバのコンテンツキャッシュ機能の裏側
- Wired 連載: The Rise and Fall of Silk Road(日本語訳版)

気になった記事(2018/08/09)

anonymous@undisclosed.example.com (Anonymous) — Thu, 09 Aug 2018 07:57:06 +0000

気になった記事(2018/08/09)

まだ気力はある模様。

Keycloak、JAVAなのか…そこだけが…

Securty関連
Service関連
- Mattermost 5をFreeBSDでも動くようにしてみた
- Keycloakとは
  - KeyCloak Advent Calendaer 2017
- ついでにSSO関連/Wikipedia
  - An open source platform for web, mobile, and desktop. Aerobase
  - single gSSO 巨大すぎて追えない。多分ここのgSSOをみればいいんだと思うんだけど…
  - CAS Enterprise Single Sign-On for AllとCASのgithub これもJAVAだね
  - Distributed Access Control System SourceForge 配布サイトこれはCで書かれているのか。
  - Enterprise Sign On Engine(サーバーに繋がらなかったので、書いておくだけ)
  - SHIBBOLETH 悪くはなさそう。Communityもそこそこ活発っぽい
- Phishing…that’s gonna leave a DMARC!
手元環境関連
- Simple Tor Setup on macOS
ドキュメントなど
- The pfSense Book is now available to everyone
- コンピュータシステムのサマータイム対応を巡る二つの楽観論

佐藤先生の公開している資料(おそらくまだあるはずだけど、見つけられない)
佐藤先生の資料探してて見つかった良い資料(主にFreeBSD関連)
- コンテナ？それFfeebsdでもできるよ！
- OpenStack環境で、FreeBSD Jail + VIMAGEを使った疑似インターネット実験環境の構築

気になった記事(20180814)

anonymous@undisclosed.example.com (Anonymous) — Tue, 14 Aug 2018 06:40:48 +0000

気になった記事(20180814)

やっぱり面倒になってきた (^^;)

Security関連
- HoneyPot分析記事。継続しててすごい
- HoneyPotterになります
  - 俺、ハニーポッターになりますその1　-WOWHoneypotを構築してみた-
  - http://waaai-tanoshiiiii.hatenablog.com/entry/2018/03/11/182310|俺、ハニーポッターになりますその2　- honeytrapを構築してみた -]]
  - ハニーポットを観察してみるその１ -honeytrapのログを漁る-
- IoT関連
- Bitter Harvest: Systematically Fingerprinting Low- and Medium-interaction Honeypots at Internet Scale
- ダークウェブについて
- RANSOMWARE VIRUS HISTORY
- 中小企業向けサイバーセキュリティ対策の極意
- Googleの「データ持ち出し手続き」やってみたら想像以上にヤバかった
- 商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ

Service System関連

読物

気になった記事(20180815)

anonymous@undisclosed.example.com (Anonymous) — Wed, 15 Aug 2018 05:31:06 +0000

気になった記事(20180815)

Security: Honeypot
- 【ハニーポットの検証】ハニーポット設置219日目　～８月前半の攻撃を検証！～
- ハニーポット分析(8/13:6日目)

Security: L1 Terminal Fault (or in another name) Foreshadow
- Intel CPUの「SGX」機能に新たな脆弱性、仮想マシンなどにも影響
- Three more data-leaking security holes found in Intel chips as designers swap security for speed The Registerの記事
- Breaking the Virtual Memory Abstraction with Transient Out-of-Order Execution 名前が混乱しているなぁ。L1 Terminal FaultなのかForeshadowなのか…
- Q3 2018 Speculative Execution Side Channel Update Intelの資料
- L1 Terminal Fault (L1TF). Specifically this covers CVE-2018-3615,CVE-2018-3620, CVE-2018-3646) illumos(OpenSolaris)公表
- Intel Processor L1TF vulnerabilities: CVE-2018-3615, CVE-2018-3620, CVE-2018-3646 Oracle公表
- L1 Terminal Fault / CVE-2018-3615 , CVE-2018-3620,CVE-2018-3646 / INTEL-SA-00161 Intel公表
- VMware Overview of ‘L1 Terminal Fault’ (L1TF) Speculative-Execution vulnerabilities in Intel processors: CVE-2018-3646, CVE-2018-3620, and CVE-2018-3615 (55636) VMware公表
- Understanding L1 Terminal Fault aka Foreshadow: What you need to know RedHat公表

読み物

気になった記事 (20180817)

anonymous@undisclosed.example.com (Anonymous) — Fri, 17 Aug 2018 03:20:57 +0000

気になった記事 (20180817)

Security: 暗号
- Electronic Code Book (ECB) and Cipher Block Chaining (CBC)
Security: HoneyPot
Security: Attacking/Vulnerabilities…
Security: Political
- 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ（案）に対する意見募集

BlockChain関係
- Japan Restricts Privacy Tokens Following Massive Hack — Part 1
- What has the Japaneses Privacy Token Ban Started Elsewhere? — Part 2

読み物

その他
- RFC標準を調べるための知識やツール

気になった記事(20180822)

anonymous@undisclosed.example.com (Anonymous) — Wed, 22 Aug 2018 07:04:06 +0000

気になった記事(20180822)

気になった記事(20180828)

anonymous@undisclosed.example.com (Anonymous) — Tue, 28 Aug 2018 05:25:07 +0000

気になった記事(20180828)

気になった記事(20180830)

anonymous@undisclosed.example.com (Anonymous) — Thu, 30 Aug 2018 04:07:34 +0000

気になった記事(20180830)

Security
読物
- Dropboxが匿名データを研究目的で大学に提供、その倫理的な是非これはちょっとなぁ。
- スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていたこういうの増えてきてるよなぁ。
- GoogleのエキスパートがChromeのフリーズを直すまでの奮闘記
- OSSのNoSQLデータベース「Redis」、一部拡張モジュールが非OSSにやっぱりこういうことが起こってくるんだな。
- 教員パソコンをカンニングで大阪医科大生逮捕　患者カルテなど４６万件流出これもどうなんだよなぁ…
- pythonで小さなツールを作る時のtips
- 貼り付けるだけであらゆる物体をIoT化できる超薄型金属タグ「LiveTag」これは面白そう

気になった記事(20180905)

anonymous@undisclosed.example.com (Anonymous) — Wed, 05 Sep 2018 09:27:15 +0000

気になった記事(20180905)

ちょっとサボったけど、溜まってた気になった記事を。

気になった記事(20180910)

anonymous@undisclosed.example.com (Anonymous) — Mon, 10 Sep 2018 02:31:03 +0000

気になった記事(20180910)

Security関連
Software/Freeware
- MariaDB 10.1.36 and MariaDB Connector/C 2.3.7, Connector/J 2.3.0 and Connector/ODBC 2.0.18 now available
- CentOS7.0 + HHVM3.5 + Nginx環境構築そろそろHHVMを本気で…
読み物
- 漫画村外伝：広告詐欺と仕掛け人三兄弟
- 「インターネット・アーカイブのウェイバックマシンが記録した過去のウェブサイトの情報」に証拠能力があると裁判所が認める
  - Archive.org's Wayback Machine is legit legal evidence, US appeals court judges rule
- Javaカードの世界 / The world of Java Card IC内蔵カードの話
- いくつもの人気iPhoneアプリがユーザーの位置情報を売っているまぁ、結構いるだろうなぁ。無料アプリで収益上げるのは難しいからなぁ。
- DXレポート～ITシステム「2025年の崖」克服とDXの本格的な展開～ DX=Digital Transformation
- 「函数」が音訳というデマと、本当の語源

気になった記事 (20180911)

anonymous@undisclosed.example.com (Anonymous) — Tue, 11 Sep 2018 05:10:43 +0000

気になった記事 (20180911)

Security
- 脆弱性
  - WordPressのプラグインDuplicator 1.2.40以前にリモートコード実行の脆弱性
- 読み物
  - Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた個人的にはとっくにTM社は採用してないけどひどいな、これ。
  - 日経ビジネスが報じたパスワード16億件流出についてまとめてみた安定のセキュインコさんの記事。素晴らしいよな。
  - マルウェア検出数に異変、攻撃者の手法にも変化--半期レポート
  - WidnowsでOVAL情報を使おう
System関連
- XenServer 7.6 XCP-ngももうすぐVersionUpなのか。準備が必要だな。
読み物
- 機械学習についての考え方 (Benedict Evans, a16z)

気になった記事(20180918)

anonymous@undisclosed.example.com (Anonymous) — Tue, 18 Sep 2018 02:53:05 +0000

気になった記事(20180918)

ここ数日の気になった記事

気になった記事(20180926)

anonymous@undisclosed.example.com (Anonymous) — Wed, 26 Sep 2018 02:43:38 +0000

気になった記事(20180926)

少し間が空いたので、記事が溜まってしまった。

気になった記事(20180928)

anonymous@undisclosed.example.com (Anonymous) — Fri, 28 Sep 2018 06:06:18 +0000

気になった記事(20180928)

Security関連
技術関連
- 分岐予測の簡単な歴史 – Part 2
- Ophal: The highly scalable Lua CMS/CMF and web platform
- 普通のHTMLの書き方
- Now Chrome Doesn’t Delete “Google Cookies” Even If You Clear All Cookies 撤回されたみたいだけど、裏側で何を考えているのかそろそろ恐ろしくなってきた。
- Sequel Proを超えるGUIツールが出てきたぞ
- TeamSQL もいいけど、 DBeaver もいいぞ
その他
- 「無敵の人」問題　ネットからリアルへ波及した事件について、謝罪と炎上の専門家が議論うん、まぁ、そうだよな。
- 科学の方法中谷先生の文章。ちゃんと読むべき。
- 「白ブリーフ裁判官」と「新潮45」問題に共通するものとは何か
- 「macOS Mojave」でフォントが汚い・見づらい・ボヤける問題の対処法

気になった記事(20181004)

anonymous@undisclosed.example.com (Anonymous) — Thu, 04 Oct 2018 08:34:10 +0000

気になった記事(20181004)

Security関連
技術関連
読み物
- 府中三億円事件を計画・実行したのは私です。事実かどうかには興味ない。まぁ、そこそこ面白かった。
- 「樹木希林さんはギャラ求めず、取材中の食事代まで払ってくれた」不登校新聞編集長が明かすギャラだの何だのは蛇足だし、タイトルにするようなことじゃない。でも、樹木希林さんの言葉には重みがあった。
- 王貞治、長嶋茂雄、田中将大、大谷翔平……球界のレジェンド・野村克也が『パワプロ』各選手＆自身の能力データをボヤキながら分析してみたなんだかんだ言っても野村さんのボヤキとか面白いからね。
- 世界最高「1200テスラ」という強力な磁場を発生させることに成功、実験の様子が完全にSF映画

気になった記事(20181015)

anonymous@undisclosed.example.com (Anonymous) — Mon, 15 Oct 2018 02:34:15 +0000

気になった記事(20181015)

やっぱり、投稿を面倒くさがる自分がいる…

気になった記事(20181019)

anonymous@undisclosed.example.com (Anonymous) — Fri, 19 Oct 2018 06:17:14 +0000

気になった記事(20181019)

気になった記事(20181030)

anonymous@undisclosed.example.com (Anonymous) — Tue, 30 Oct 2018 05:33:37 +0000

気になった記事(20181030)

Security

技術

その他

愚痴(20181108)

anonymous@undisclosed.example.com (Anonymous) — Thu, 08 Nov 2018 03:37:54 +0000

愚痴(20181108)

XCP-ng上で、FreeBSD 11.2のVMを作って、Disk追加して、追加したDiskをzfs の vdev=diskで作成しようとした。

# zpool create -O atime=off -O normalization=formD zdata disk /dev/ada1
cannot open 'disk': no such GEOM provider
must be a full path or shorthand device name

なぜ？どうして？ちっともわからなかったのだが、ふと

# zpool create -O atime=off -O normalization=formD zdata /dev/ada1

で成功する。

なんでこんなところのI/Fがman pageと違うんだ？

     zpool create [-fnd] [-o property=value] ...
           [-O file-system-property=value] ... [-m mountpoint] [-R root]
           [-t tempname] pool vdev ...
....
   Virtual Devices (vdevs)
     A "virtual device" (vdev) describes a single device or a collection of
     devices organized according to certain performance and fault
     characteristics. The following virtual devices are supported:

     disk    A block device, typically located under /dev.  ZFS can use
             individual slices or partitions, though the recommended mode of
             operation is to use whole disks. A disk can be specified by a
             full path to the device or the geom(4) provider name. When given
             a whole disk, ZFS automatically labels the disk, if necessary.

どこにも vdev を省略可能なんて書いてねーぞ!

nginx tips (20181109)

anonymous@undisclosed.example.com (Anonymous) — Fri, 09 Nov 2018 10:26:44 +0000

nginx tips (20181109)

この記事はあくまでメモです。もう少し整理したら、nginx関連のPageに記載します。

WordPressやDokuwikiでサイトを作成すると、ある条件ではcacheしてほしくないとかある条件ではupstreamを固定したい(冗長化している場合)という要望に出くわすことがある。

この場合、本質的には、条件によって upstream を切り替えるという作業が必要になる。

WordPressの場合

WordPressの場合、/wp-admin や /login.php へのアクセスは、Cacheしたくないし、できれば代表サーバーにアクセスを集中させたい。

upstream EXAMPLE {
  ip_hash;
  server 192.0.2.1:80 max_fails=3 fail_timeout=3s;
  server 192.0.2.2:80 max_fails=3 fail_timeout=3s;
  server 192.0.2.3:80 max_fails=3 fail_timeout=3s;
}

upstream EXAMPLE_ADMIN {
  server 192.0.2.1:80 max_fails=3 fail_timeout=3s;	# /wp-adminへのアクセスはここにまとめる
  server 192.0.2.2:80 backup;				# もし 1 が死んでいる場合、2に。

map $UpStreamFlags $MYUPSTREAM {
    default http://EXAMPLE;
    ADMIN   http://EXAMPLE_ADMIN;
}

server {
  ....
  location ~* ^/(wp-admin|wp-login.php) {
    set $UpStreamFlags ADMIN;
    proxy_pass         $MYUPSTREAM;
    ....
  }

  location / {
    set $UpStreamFlags "";
    proxy_pass         $MYUPSTREAM;
    ....
  }
}

これで、 wp-admin.* と wp-login.php.* へのアクセスは EXAMPLE_ADMIN になる。

DokuwikiのCookieを利用した制御

Dokuwikiは、クッキーにあるように、DokuwikiはCookieを3種類利用する。

DW<md5-hash>: ( ^DW[0-9a-f]* ) 認証に使用 (以下認証クッキー)
DOKU_PREFS: ユーザーの好みを覚えておく
DokuWiki: PHPのセッション識別子

認証クッキーを利用して、以下の処理を行う

認証された者のアクセスは、コンテンツキャッシュを行わない
認証された者のアクセスは、接続先を固定する

認証済みかどうかの判断を map で行う

# for Authorization with cookie
map $http_cookie $http_authorization {
  default          0;
  ~.*DW[0-9a-f]+=.* 1;
}

proxy_passを認証済みかどうかで切り替える

    if ($http_authorization = 0 ) { proxy_pass http://EX_DOKU; }
    if ($http_authorization = 1 ) { proxy_pass http://EX_DOKU_AUTH; }

認証済みの時のCacheを切る

    proxy_cache_bypass   $http_authorization $nocache_dokup;
    proxy_no_cache       $http_authorization $nocache_dokup;

これで、認証されているかどうかでupstreamを切り替えることができるようになる。

ここで、if文を利用するのは気分が悪いが、このためにさらにMAPを利用すると、mapの制御順序などできっと迷うので、そこは諦める

Tips

Cache関連の設定で、Set-Cookie Headerが付いてくる時に強制Cacheするなら、

proxy_ignore_headers Set-Cookie;	# (1)
proxy_hide_header    Set-Cookie;	# (2)

をcache関連の部分に投入することが必要になる。

(1)の設定だけを行う例をしばしば見かけるが、(1)は、「Cookieの値を無視してCache処理する」ことになるので、CacheにCookieが記録されてしまう。(2)を利用することで初めて、CookieをCacheに残さなくなる。

気になった記事(20181113)

anonymous@undisclosed.example.com (Anonymous) — Tue, 13 Nov 2018 06:06:59 +0000

気になった記事(20181113)

溜めすぎてしまった…

FreeBSD and suricata

anonymous@undisclosed.example.com (Anonymous) — Sun, 18 Nov 2018 04:58:32 +0000

FreeBSD and suricata

本記事は、最終的に、整理し直して記述する。本記事はあくまでmemoである。

suricata は、Linux/MacOS/FreeBSD/OpenBSDで動作する I[DP]S 実装である。

同様の実装にsnortやIronBeeがあるが、IronBeeは2018/11段階で3年ほど更新が途絶えている。

suricataは、基本的に、ある種のパターン(Signature)にMatchするパケットを検出し、Logに記録したり、OS側のFirewall機構を利用してパケットをDropしたりすることができる。

FreeBSDでsuricataを利用する場合、System側のFirewall実装として pf と ipfw が利用でき、suricataはipfwに関するInstallationの情報を公開しているが、個人的な慣れと気分でpf+suricataでIPSを実装したいので、いろいろ調べてみた。

結論：suricata+pfでIPSを作成する場合、pfのruleに

pass quick on egress inet proto tcp to port 80 divert-packet port 700

のように dirvert-to を利用すること

しかし、まだ、divert-toの使い方はよくわかっていない…

気になった記事(20181219)

anonymous@undisclosed.example.com (Anonymous) — Wed, 19 Dec 2018 03:39:18 +0000

気になった記事(20181219)

本当に長期溜め込んでしまった…

Security

Tech