ほほほのほ - tweet:2019

気になった記事 (20190116)

anonymous@undisclosed.example.com (Anonymous) — Wed, 16 Jan 2019 03:24:01 +0000

気になった記事 (20190116)

記事はためているが公開が遅い。もう少し簡単な方法はないかなぁ…

shbang

anonymous@undisclosed.example.com (Anonymous) — Fri, 01 Feb 2019 07:48:34 +0000

shbang

Shell scriptを書くときに sh-bang(#!)を記述することは多いが、ちょっと試してみた。

どこかでまとめるかも。

recipie.sh

#! ./test.sh

recipe.conf

# Configuration file for recipe

test.sh

echo "Argument=$#"
 
echo "Myname=$0"
[ ! -z "$1" ] && echo "Arg[1] = $1"
[ ! -z "$2" ] && echo "Arg[2] = $2"

んで、これを試す。

$ chmod +x test.sh recipe.sh
$ ./recipe.sh

動かない。

調べてみた。

http://myfuturesightforpast.blogspot.com/2017/01/what-is-shebang-binsh-in-posix-shell.html

へぇ。shbangでshellscriptを呼び出せないのか…

https://qiita.com/ngyuki/items/8d2a4a203087221bfafd

ほほう。/usr/bin/envを利用すればなんとかなるのか。

recipie.sh

#! /usr/bin/env ./test.sh

$ ./recipe.sh recipe.conf
Argument=2
Myname=./test.sh
Arg[1] = ./recipe.sh
Arg[2] = recipe.conf

ふむ。FreeBSDの/bin/shとbashは、envかませばなんとかなるのか。
$0 に test.sh
$1 に recipe.sh
$2 に recipe.conf

なるほどね。

ちょっとPOSIX的に微妙だけど、仕方がないこととするか…

気になった記事(20190204)

anonymous@undisclosed.example.com (Anonymous) — Mon, 04 Feb 2019 06:52:56 +0000

気になった記事(20190204)

getconf is supported FreeBSD jail

anonymous@undisclosed.example.com (Anonymous) — Wed, 27 Feb 2019 09:36:35 +0000

getconf is supported FreeBSD jail

マイナーの極致くらいのところにあるが、CEoRというShell Scriptを公開している。

要するに、ChefとかAnsibleとかFabricが色々なものを仮定するのに嫌気がさして、とりあえず最小限自分がやりたい操作をするためのscript群という位置付けである。

最近 FreeBSDでJailを利用し始めたのだが、このPrisonerに対してCEoRのgetconfがうまく動かない事が判明したので、修正を入れた。

これで、Prisonerの設定も一通り取得できるようになった。

よしとしよう。

気になった記事 (20190227)

anonymous@undisclosed.example.com (Anonymous) — Wed, 27 Feb 2019 10:23:19 +0000

気になった記事 (20190227)

まぁ、溜め込む癖がついてしまって、Realtime性がないという話はある。

CEoR getconf更新

anonymous@undisclosed.example.com (Anonymous) — Thu, 07 Mar 2019 04:14:58 +0000

CEoR getconf更新

CEoRのgetconfでは、packageのInstall状況を記録していなかったが、今回の更新で、info/PACKAGES.txtを追加し、InstallされているPackage listを取得するようにした。

今の所FreeBSDでしか試していないが、CentOSとUbuntuの分も更新は入れてあるので、誰か試してくれると嬉しい

そろそろetckeeperのような、設定ファイル管理＋VCS連動を考えてもいいかもしれない。

FreeBSD jailの不具合@20190307

anonymous@undisclosed.example.com (Anonymous) — Thu, 07 Mar 2019 06:31:14 +0000

FreeBSD jailの不具合@20190307

散々踏んでいるが、そろそろ一回 List-up

jail+bridge+epair を利用している時に、epairをbridgeからdetachする前にbridgeを潰すとHangup
jailer側にmountしたNFS file system をnullfsでmountさせると、prisoner側でアクセスした際にHangup
prisoner内でsysctl -a するとpanic reboot…
- 訂正。jailer側でもpanicした。なんだ、これ
- Panicするものとしないものがあるなぁ。
  - Jailを利用していて、epairを使っていて、bridgeが2つ→ Panicしない
  - Jailを利用していて、epairを使っていて、bridgeが4つ→ Panicする
  - 再現条件がまだ詰め切れてない…

多い… これじゃ、LinuxのContainerに行きたい気持ちがよくわかるよなぁ。

opensslでs_connectの時にSANを確認する方法

anonymous@undisclosed.example.com (Anonymous) — Tue, 23 Apr 2019 10:30:04 +0000

opensslでs_connectの時にSANを確認する方法

これではSANは表示されない
- openssl s_client -connect mail.example.com:443
こうすればSANの情報が見える
- openssl s_client -connect mail.example.com:443 | openssl x509 -text | grep DNS
- grep DNSはまぁ、IPとか色々考えてください。

OpenBSD acme-client-portable

anonymous@undisclosed.example.com (Anonymous) — Tue, 23 Apr 2019 10:31:33 +0000

OpenBSD acme-client-portable

作者がportableの開発をやめて５ヶ月経っていることが判明。

FreeBSDで使いたい自分なので、これは、もうOpenBSDからportするしかない…

pledgeとcapsicamに合わせて移植しないといけないとか、ちょっと面倒…

気になった記事(20190507)

anonymous@undisclosed.example.com (Anonymous) — Tue, 07 May 2019 04:39:44 +0000

気になった記事(20190507)

世の中は令和になったらしいが、そんなことには関係なく平成から溜まってた気になった記事を。

Security関連

技術関連

読み物

気になった記事(20190613)

anonymous@undisclosed.example.com (Anonymous) — Thu, 13 Jun 2019 03:07:51 +0000

気になった記事(20190613)

最近、少し忙しいこともあって、あんまり追えていないんだよね…

架空世界認証セキュリティセミナー読み物として面白い
コンテナはなぜ安全（または安全でない）なのか
- そろそろ、VMとContainerをちゃんと整理しないといけないんだよなぁ…
「Docker Hub」ポータル、著名コンテナの20％に設定ミス
- 他人が作ったものを何も考えず信用する人がいかに多いか。その意味ではDockerは害悪の部分だってある。物事には表も裏もあるということだよな。
Product Security Incident Response Team (PSIRT) Maturity Document
不正指令電磁的記録の罪が 対象とすべき本来の範囲とは浩光センセの資料。内容が濃くて詰まっているから読むのが大変
Coinhive事件に学ぶ、エンジニアが刑事事件で身を守る方法
エンジニアのための刑事手続入門
QEMU脆弱性を利用したVMエスケープ攻撃の検証：メモリ情報漏えいの脆弱性編
公開鍵を「公開しない」ってどういうこと？
世界中の数百万のCisco製ルータにルートアクセスの危険性あり Ciscoクラスになると、もう、たった一つのミスが世界中に影響するよね。
Serious SQLite Remote Code Execution Vulnerability Discovered
JSでDoSる/ Shibuya.XSS techtalk #11
"Gimme a bit!" - Exploring Attacks in the "Post-XSS" World
ブラウザセキュリティ機能はバイパスされる為にある
Site Isolationの話
Node.jsにおけるprototype汚染攻撃への対策
Browser Side Channels
フロントエンドでもTrivyを使って脆弱性対策したい！
【OSS】サイバーセキュリティ対策用OSSツール7選---NSA(アメリカ国家安全保障局)が主導して開発する「Ghidra」他重要
Mirai の新亜種を確認、ルータやデバイスにおける13件の脆弱性を利用こういう優秀なツールは使い回されて成長し、いつまでもなくならない…
「笑い男」事件は実現可能か　「攻殻機動隊 S.A.C.」好きの官僚が解説

opelab 波多野さんの資料集。重要
関数プログラミングことはじめ kazuさんの資料。わかりやすい
電気通信事業法における検閲の禁止とは何かたまに見直しておかないと、やっぱり間違いや勘違いをするんだよね…
「Apple PayがNFCタグに対応するってよ」をやさしく解説してみるこういう解説は助かるのです。
物理データセンターでも NoOps NoOps、流行っているけどさ、なにかが違う感があるんだよな。それが説明できれば飯が食えそうではあるんだけどさ
エンジニア歴17年の俺が、事業系の開発タスクをバンバン投げてくる非エンジニアに、保守の必要性を死ぬほど分かりやすく説明する。こういう長いタイトル、センスがないと思うんだよね。内容が良いだけに、ちょっと勿体無い気がする
DNS over TLS/HTTPSについて考える
マイクロソフトやHashiCorpらが「Service Mesh Interface」（SMI）を発表。Kubernetes上のサービスメッシュAPIが標準化へこういう動きは大事
なぜMicroservicesか? よーく考えてみよう。向き不向きを考えないでやっちゃう人多いんだよね…
シャノン限界を達成しかつ実行可能な通信路符号を実現要するに、既存の符号化に比して20%程度伝送性能が上がる可能性のある符号化技術ということかな？
「Mathematica」や“Wolfram|Alpha”の核「Wolfram Engine」が開発者向けに無償開放

岡田を切る技術こういう執念好き
『傘がない』を英訳するとどうなる？ロバートキャンベル氏が翻訳して気付いた井上陽水の深〜い詞世界面白い。読んでみたい。
技術書のレビューの経験則
どうやって校閲記者は調べているかこういう情報が公開されているの、助かるよね。重要
だらしない夫じゃなくて依存症でした一度はちゃんと読むべき。
ハーバード大学卒業生に向けた独メルケル首相のスピーチ
- タイトル他、COURRiERの付けた部分は不要。むしろ害。だが、メルケル首相の言葉は素晴らしい。
- 普段はやらないのだけど、これだけはあえてWebのタイトルをLinkに取り入れず、自分で付けた。ご容赦ください

気になった記事(20190613) 補遺

anonymous@undisclosed.example.com (Anonymous) — Thu, 13 Jun 2019 03:33:16 +0000

気になった記事(20190613) 補遺

Rclone Rclone is a command line program to sync files and directories to and from many services.
libinotify-kqueue kqueueを利用した inotifyの実装
Hackle censys/shodan/zoomeye 他をまとめて調べることができるFrontEnd
EXIST EXternal Information aggregation System against cyber Threat
Termshark 結局Wiresharkが必要なのであれば、Terminalである必要ないじゃないか…
NEMU, a cloud hypervisor
Golangでターミナル接続sshクライアントを作成する(PKCS11での物理トークン(Yubikey)を用いた接続
【OSS】イギリス国防科学技術研究所、追跡アルゴリズム開発用フレームワーク「Stone Soup」をリリース---5ヶ国による共同研究プロジェクト
sysctlview FreeBSD用。間違わないようにw
https://runhyve.app/runhyve The Virtual Machines Manager for Bhyve
Explore GitLab Estonia 電子政府ソフトウェア公開プロジェクト
- https://economies2.com/feature/e-governance-in-estonia/ エストニアの電子政府]]
- エストニアのデジタル国家ソリューションのすべてのソースコードが公開されます

sshに関するメモ

anonymous@undisclosed.example.com (Anonymous) — Tue, 15 Oct 2019 06:01:59 +0000

sshに関するメモ

SSHに関するメモをとりあえず。

ssh とは

sshは、Secure Shell から名前をとった、リモート端末との通信を行うためのプロトコル、コマンドのことをいう。

大本に、rsh(remote shell)がある。rshは、Remote Shellから名前をとったもの
- 他に、telnetやrloginなどもある。何れにしても暗号化などの保護はない。なお、telnetにSSL/TLSを組み合わせたtelnetsもあるが、ほぼ利用されていない。
rshには、通信保護の機構はなく、通信内容はRPCを利用し、生データが流れていた
sshでは、RPCを利用することをやめ、ssh daemonとssh client間で暗号化された通信路を用いてデータをやりとりする

sshはRFCにより仕様が規定および公開されている。

RFC 4250 : The Secure Shell (SSH) Protocol Assigned Numbers
RFC 4251 : The Secure Shell (SSH) Protocol Architecture
RFC 4252 : The Secure Shell (SSH) Authentication Protocol
RFC 4253 : The Secure Shell (SSH) Transport Layer Protocol
RFC 4254 : The Secure Shell (SSH) Connection Protocol
RFC 4255 : Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints
RFC 4256 : Generic Message Exchange Authentication for the Secure Shell Protocol (SSH)

とりあえずのメモ

以下、CEoR改を実装するために必要となりそうなsshの機能のみに限定してメモを記載する

対象とする実装は、 OpenSSH とする。これは、CEoRで管理をしたい対象がFreeBSD/OpenBSD/Linux系のOS環境であり、これらには標準的にOpenSSHが採用されているからである。

Option	Config Param name	default	descriptions
-A/-a			認証Agentの転送を許可/禁止
-D			Debug logを引数で指定したファイルに書き出す(-v/-vv/-vvv出力)
-e	EscapeChar	`~`	`文字`/`^文字` 指定文字/制御文字をエスケープ文字にする
-e	EscapeChar	`~`	none: エスケープ文字を禁止する。(Binary Dataに対して透過になる)
-F		~/.ssh/config	設定ファイルを指定する。システムdefaultは無視される
-f			sshの認証後、BackGroundに移行する
-J			引数で指定されたマシンを踏み台にして対象ホストに接続する
-J			対象ホストの名前解決ができなければならない
-L	LocalForward		Local forward
-l	User		login名
-N			リモートコマンドを実行しない (-Mと併せて使う)
-n			stdinを/dev/nullに切り替える。Passphraseなどを入力する必要がある場合 `-f` を使う
-O			-Mで作ったMasterへの制御コマンドを送る。 check: Masterがあるかのチェック
			forward: port forwardを要求 / cancel: port forwardをキャンセル
			exit: Master Processを終了する / stop: これ以上の分岐を禁止する
-o			設定ファイルと同じ形式でのオプション指定
-M	ControlMaster	no	単一のネットワーク接続において、複数セッションを共有するか
-Q			問い合わせ。cipher(対象暗号の種類)/cipher-auth(認証付き暗号化をサポートする対象暗号の種類)
			mac(メッセージ認証コードの種類)/kex(鍵交換アルゴリズム)/key-cert(証明書の鍵の形式)

-q			quiet mode
-R	RemoteForward		リモーロフォワード
-S	ControlPath		Master modeにおける制御用Socketファイルの指定
-T/-t	RequestTTY		セッションに対してTTYを要求するか？ no:要求しない/yes:要求する(-t)/forcce:強制的に割り当て(-tt)
-X/-x	ForwardX11	no	X11接続を転送するか yes:許可/no:禁止
-y			logをsysぉg経由で飛ばす。defaultではstderrに出力される
	BatchMode	no	Password/Passphrase入力を求めるか？
	CheckHostIP	yes	knwnhostsファイルのエントリーとの比較を行うか？
	ConnectionAttmpts	1	接続試行回数
	ConnectTimeout		TCP Connectionが成立するまでのTimeout時間の設定
	ControlPath		Master modeにおける制御用Socketファイルの指定
	ControlPersist		no: MasterはForegroundのまま、最初のClientが終了した直後に終了
			yes / 0 : MasterはBackgroundに移行し、永続的に保持される
			数値(秒) / 時間形式 : idleな時間が指定値を越えると接続が終了
			OpenSSH 5.6以降でのみ利用可能
	ForwardAgent	no	認証エージェントへの接続を転送するか
	IdentityFile		利用する秘密鍵
	IdentityFile		force: 常に要求 /auto: loginセッションの時だけ要求する

ControlMaster

Masterになる場合、 -M もしくは -o ControlMaster=yes を指定し、 ControlPath=[SocketFilename] を指定する。
Masterの接続を流用する場合、-o ControlMaster=no を指定し、 ControlPath=[SocketFilename] を指定する。
- ControlPathに指定されたSocket Fileがない場合には、通常の接続が行われる
-o ControlMaster=autoを指定すると、「Master接続が利用できる場合にはそれを利用、利用できない場合には自動的に新しい接続を作成」する
ControlPathの引数にはEscape Sequenceが利用できる
- %L : Localのホスト名の最初の部分
- %l : localのホスト名(hostnameコマンドの返り値)
- %h : remoteのホスト名
- %n : コマンドラインで指定された(remote)ホスト名
- %p : remoteのport番号
- %r : remoteのログイン名
- %u : sshを実行したユーザーのログイン名
- %i : sshを実行したユーザーのUID
- %C : %l%h%p%r

ControlMasterに関するCommand line

ssh -M 127.0.0.1
- Masterとして動作し、RemoteのTTYを掴む。
- 制御用socketは(FreeBSDの場合)/tmpに置かれる
- 制御用socketのファイル名を取得する方法がない
ssh -M -S [SocketFileName] 127.0.0.1
- Masterとして動作し、RemoteのTTYを掴む。
- 制御用socketは-Sの引数に記載された[SocketFileName]になる
ssh -N -f -M -S [SocketFileName] 127.0.0.1
- Masterとして動作し、Socketを作成した後sshはBackgroundに
- 制御用socketは-Sの引数に記載された[SocketFileName]になる
ssh -N -f -O exit -S [SocketFileName] 127.0.0.1
- [SocketFileName]]'に紐づいたssh接続が終了する *ssh -N -f -M -S [SocketFileName] 127.0.0.1を２回起動する *ControlMaster=auto'' 相当の挙動をする

rbenv環境下のRubyで動作しているRedmineのupdate

anonymous@undisclosed.example.com (Anonymous) — Sat, 16 May 2020 15:25:40 +0000

rbenv環境下のRubyで動作しているRedmineのupdate

いや、Update自体は別に普通にやればいいのだが、今回、RubyのVersion upと併せてRedmineを更新しなければならないので、メモを、

rbenvを利用して最新版のrubyを導入

自分の場合、Redmineのみを動作させているJail上での作業なので、以下のようになる。

$ sudo -i
# rbenv versions
  2.6.1
* 2.6.4 (set by /usr/local/rbenv/version)
# cd /usr/local/rbenv
# git pull
# cd plugins/ruby-build
# git pull
# rbenv install -l	←Install可能なVersionを確認
# rbenv install 2.6.5
# rbenv versions
  2.6.1
* 2.6.4 (set by /usr/local/rbenv/version)
  2.6.5
#

最新のRedmineをdownloadし、展開する
- 自分の場合、redmineを展開した時にできる redmine-x.x.x の Directory を redmineにsymlinkしているので特に苦労はない
Redmineを停止する
- 自分の場合、pumaを利用しているので、こんな感じ。ps ax | grep puma | grep -v grep | awk '{print $1}' | xargs kill -QUIT
Symlinkの付け替え
- rm /some/where/redmine
- ln -s redmine-4.0.5 /some/where/redmine
現在動作しているRedmineをバックアップする
- Redmineのシステム自体は、cpなりtarなりでBackup
- Databaseは、dump: mysqldump -h 192.0.2.1 -u redmine -p redmine > rmdb-dump.yyyymmdd.sql

現在動作しているRedmineから、必要な情報をコピーする

# cp redmine-4.0.4/files/*                          redmine-4.0.5/files/
# cp redmine-4.0.4/Gemfile.local                    redmine-4.0.5/Gemfile.local
# cp redmine-4.0.4/config/additional_environment.rb redmine-4.0.5/config/additional_environment.rb
# cp redmine-4.0.4/config/configuration.yml         redmine-4.0.5/config/configuration.yml
# cp redmine-4.0.4/config/database.yml              redmine-4.0.5/config/database.yml
# cp redmine-4.0.4/config/puma.rb                   redmine-4.0.5/config/puma.rb

RubyのVersionを上げる
- rbenv global 2.6.5

単純にRedmineを初期処理する

# gem install bundler
# gem install rake
# chown -R www:www redmine-4.0.5
# cd some/where/redmine-4.0.5
# sudo -i -u www
$ cd some/where/redmine-4.0.5
	# 2020/05/17 追記
	# $ bundle install --path vendor/bundle --without development test postgresql sqlite
	# --pathはDEPRECATEDになって、bundle set pathで設定しなければならなくなった
	# 同様に、--withoutもDEPRECATEDになって、bundle set withoutで設定しなければならなくなった
	# Ruby 2.7系からは、実際にbundle installが止まるようになった。2.6.6ではまだこのまま通るが、WARNINGは出る
$ bundle config set path 'vendor/bundle'	
$ bundle config set without 'development test postgresql sqlite'
$ bundle install
$ bundle exec rake generate_secret_token
$ RAILS_ENV=production bundle exec rake db:migrate
$ mkdir -p tmp tmp/pdf public/plugin_assets
$ chown -R www:www files log tmp public/plugin_assets
$ chmod -R 755 files log tmp public/plugin_assets
$ find files log tmp public/plugin_assets -type f -exec chmod -x {} +

pumaの起動

cd /home/www/rrrm.rusty-raven.net/redmine
/usr/local/rbenv/shims/bundle exec /some/where/redmine/vendor/bundle/ruby/2.6.0/bin/puma -e production --config config/puma.rb --daemon

macでzipコマンド

anonymous@undisclosed.example.com (Anonymous) — Mon, 21 Oct 2019 07:42:26 +0000

macでzipコマンド

まとめてデータを圧縮したい場合に command line で作業したくなることがあるので、メモ。

暗号化Zipファイルを作成する場合
- zip -r filename.zip -e -P password files…..

FreeBSDでIPv6 Router

anonymous@undisclosed.example.com (Anonymous) — Fri, 15 Nov 2019 09:08:13 +0000

FreeBSDでIPv6 Router

絶賛試験中。 IPv6のみ処理するRouter nodeを作成する。ただし、制御用にxn0にはIPv4のみ割り当てる

rc.conf

ip6addrctl_enable="YES"
ip6addrctl_policy="ipv6_prefer"
ipv6_activate_all_interfaces="YES"
ipv6_defaultrouter="NO"
ipv6_dateway_enable="NO"
ipv6_network_interfaces="auto"

とりあえず、これで何とかなる。ただし、これだと、Router Advertiseを受け取らない。どうするのが正しいかはまだはっきりしていないが、

# ifconfig xn1 inet6 accept_rtadv

すればとりあえず何とかなる。

Catalina Emacs full-disk access

anonymous@undisclosed.example.com (Anonymous) — Tue, 19 Nov 2019 02:37:55 +0000

Catalina Emacs full-disk access

macOS Catalinaから、ファイルアクセス系にものすごくきついチェックが入ったせいで、Emacsでアクセスできないディレクトリ(フォルダ)が多発した。 DesktopとかDocumentsとかにアクセスできないのはあまりにも辛いので、何とかする。

「システム環境設定」
「セキュリティとプライバシー」
「プライバシー」
「フルディスクアクセス」
「鍵マーク」をクリックしてパスワード入力
「＋」をクリック
「Shift+Command+.」を入力して画面切り替え
usr → bin → ruby を選んで開く
画面内に ruby が表示されるので、check boxをcheck

これで、Emacsを再起動するとアクセスできるようになる。