tksm.org

巷ではガンブラー(Gumblar)がはやっているようなので、FTPサーバのセキュリティを考えてみる。
まぁ、FTPSにしろ、SFTP,SCPにしても、クライアントソフトからID,パスワードを抜かれる場合もあるので、あんまり意味はないような気もするけど、FTPって脆弱だよねと考える機会になるといいかな？
で、

◆FTPS
今回のvsftpdでもそうだけど、オレオレ証明書でいいのであれば実装はいたって簡単。
しかし、重大な課題として、一般的な環境のクライアントがNAPT（普通のNATでも同じか）環境の場合、（暗号化されない通常の）FTPは対応してますが、パケットが暗号化されたFTPSになると、データポートのIPや番号のやりとりの際にNAPTルータが判断できないので、変換がうまくできず繋がらない状態になることがあげられます。（ログインだけできて、ファイル一覧が出ないとかファイル転送ができない）、なので、個人的な感じでは、あまり使われることはないのかなぁ。または、ルータでFTPSにどうにかして対応できるのがでてくるのかなぁ。

◆SFTP,SCP
SSHが基本なので、シェルでログインできないようにとか、ファイル転送のみにするとか、chrootしたいとか面倒そう。
rsshを使用してファイル転送だけにしたり、chrootできるようなのですが、chrootのやり方がスマートでないというか、昔のFTPサーバでやってたような面倒なやり方なので。。現状は×かな。
今後、そいうのを作ってくれるいい人に期待です(笑)

◆クライアント
WinSCPかFileZillaあたりがどちらも対応しててフリーなので便利かな。（個人的にはWinSCPを使用）

◆vsftpdでFTPSの対応
サーバ証明書作成

cd /etc/pki/tls/certs
make vsftpd.pem

/etc/vsftpd/vsftpd.conf に以下を追記

#FTPS
ssl_enable=YES
force_local_data_ssl=NO
force_local_logins_ssl=NO
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem

「force_local_logins_ssl」と「force_local_data_ssl」は、SSL通信を必須にするかどうか、暗号化しないFTPでも繋ぐ場合は、NOです。

＜追記＞
vsftpd 2.1.0以上（CentOS6など）の場合は、以下の設定も追加が必要

require_ssl_reuse=NO

＜／追記＞

サーバ証明書の有効期限が1年(365日)なので延ばしておきたい場合
/etc/pki/tls/certs/Makefile

#/usr/bin/openssl req $(UTF8) -newkey rsa:1024 -keyout $$PEM1 -nodes -x509 -days 365 -out $$PEM2 -set_serial $(SERIAL) ; \
/usr/bin/openssl req $(UTF8) -newkey rsa:1024 -keyout $$PEM1 -nodes -x509 -days 3650 -out $$PEM2 -set_serial $(SERIAL) ; \

今年のバージョンが出ました。。ので一応メモ。
ATOKは変換効率はいいので、体験版とか入れるとイイ感じかなと思うのだけど、結局MSｰIMEに戻しちゃうんだよねーと思いつつ、今年も入れてみようかな(笑)

ATOK.COM

ATOK 2010 for Windows 通常版 メーカー：ジャストシステム 参考価格：\8,400 価格：\6,280 OFF : \2,120 (25%)

ATOK 2010 for Windows [プレミアム] 通常版 メーカー：ジャストシステム 参考価格：\12,600 価格：\9,280 OFF : \3,320 (26%)

デスクトップにアイコンがいっぱいあって整理しようとおもったついでにランチャーとか使ったらもしかして便利？とか思ったのでいれてみた。
いくつか探してみたところ、CLaunchが、自分的にはいい感じかなとおもったので、しばらく使ってみよう。
CLaunchは、x64版もあるし、機能もなんかいろいろついてそう。レジストリも使わないので、設定もバックアップしやすいので。

ランチャーではないけど、そういや昔、アイコン警察ってあったなーと、思い出したけど、これってなんのためにあったんだっけ(笑)、Windows3.1とかなつかしーなー(^^)このころから使ってると、いつ止まるかわからないので(笑)、すぐCtrl+S押しちゃう癖ついたんだよねー(–;

昨日の撮り比べのつづき、今日はいい天気だったので外で撮ってきたのでのせてみる。
IXY110ISも値段にしてはきれいだけど比べたら、やっぱり値段の差が出るのかな？

IXY 110 IS

IOS Kiss X3
レンズ:EF50mm F1.8 II

つい安かったのでIXY DIGITAL 110 ISをポチッとしてしまいました(^^)、
オレンジとか人気あるみたいですが、ふつうにシルバーにしました。
機能的には、こだわりオートってのがあるので、それにしとけばなんとなくそれっぽく？キレイに写ります。
へたくそなりに、Kiss X3と撮り比べてみました。部屋の中（窓際）でオートのフラッシュなしです、うーん、カメラって難しい。。

IXY 110 IS

IOS Kiss X3
レンズEF50mm F1.8 II

Canon デジタルカメラ IXY DIGITAL (イクシ) 110 IS シルバー IXYD110IS(SL) メーカー：キヤノン 参考価格：￥ 12,550

Canon デジタル一眼レフカメラ Kiss X3 ダブルズームキット KISSX3-WKIT メーカー：キヤノン 参考価格：￥ 73,358

Canon EFレンズ 50mm F1.8 II メーカー：キヤノン 参考価格：¥12,600 価格：¥8,483 )

3.6がリリースされました、たまたま、ソフトウエアの更新やってみたら落ちてきて気が付いた(^^;、おまけに上書きで当てちゃいましたが問題なかったようです。（一部拡張機能が動かなくなったけど）

変更点は、Personasが標準装備になったので、着せ替えスキン？が変更しやすくなったのかな、あとは、プラグインのチェック機能が実装されました、プラグインのアドオンの画面で「更新を確認」を押すとMozillaのサイトにつながって、インストール済みのプラグインのバージョンが最新かどうか確認できる様子。あとは、速度向上もされているみたいですが、気持ち早いような気もするけどよくわかんないです。

リリースノート
Personas

職人さんの秀逸な動画を貼ってみるテスト
もともとはニコニコの動画なんですが、youtubeに輸出されたのと二つ動画を貼ってみる。

昔、CentOS5 で iSCSI Tagetで、iSCSI Enterprise Target(IET)をインストールしてみましたが、そもそも標準のパッケージscsi-target-utils → Linux target framework (tgt)もあるので、今回はそっちを使ってみるの巻。

OpenfilerとかFreeNASとかでもいいのですが、今回は、サーバ機で、メーカーさんのハード監視ツールとか一応いれておきたかったので、RHELクローンのCentOSで構築。

iSCSIターゲットのインストール

yum install scsi-target-utils

マシン起動時に開始するように設定

chkconfig tgtd on

基本はtgtadmコマンドで操作します。

新しいターゲットを作成します。(lun 0ができる）
tgtadm --lld iscsi --op new --mode target --tid 0 --targetname iqn.2010-01.com.example.iscsi:tgtd
確認
tgtadm --lld iscsi --op show --mode target

LUN 1の作成
tgtadm --lld iscsi --op new --mode logicalunit --tid 0 --lun 1 --backing-store /dev/sda3

アクセスできるイニシエータのアドレスを登録
tgtadm --lld iscsi --op bind --mode=target --tid=0 --initiator-address=ALL
tgtadm --lld iscsi --op bind --mode target --tid 0 --initiator-address 192.168.1.0/24

イニシエータアドレスの削除
tgtadm --lld iscsi --op unbind --mode target --tid 1 --initiator-address 192.168.1.0

上のコマンドは、再起動してしまうと消えるので、マシン起動時に作成する
/etc/tgt/targets.conf

<target iqn.2010-01.com.example.iscsi:tgtd>
        # List of files to export as LUNs
        backing-store /dev/sda3

        # Authentication :
        # if no "incominguser" is specified, it is not used
        #incominguser backup secretpass12

        # Access control :
        # defaults to ALL if no "initiator-address" is specified
        #initiator-address 192.168.1.2
</target>

参考URL
iSCSIを使ってみる@CenOS5.2 (ターゲット) + Windows XP (イニシエータ) (Mazn.net)
DRBD＋iSCSI夢の共演（前編）(@IT)

AmazonからSUPER GT 2009 総集編のDVDのご紹介のメールがきたのでメモ

SUPER GT 2009 総集編 [DVD] 著：スポーツ 参考価格：¥3,990 価格：¥2,953 OFF : ¥1,037 (26%)

オートスポーツ増刊 2009-2010 スーパーGT総集編公式ガイドブック 2009年 12/26号 [雑誌] 発行：三栄書房 価格：\1,100

NSX-GT1997-2009―HONDA RACING×SUPER GT (SAN-EI MOOK) 発行：三栄書房 価格：\1,500

DHCPでIPを取得したけど、resolv.confを書き換えて欲しくなくて調べたのでメモ。
（eth0でIPは固定なんだけど、テスト用にeth1でDHCPを取得したらresolv.confが書き換わってしまって困ったので）

/etc/sysconfig/network-scripts/ifcfg-ethx

PEERDNS=no

その他、ネットワークインタフェースファイルの説明
Red Hat Enterprise Linux 4: リファレンスガイド 章 8章. ネットワークインターフェース

sysconfigの中のファイルの説明

/usr/share/doc/initscripts-*/sysconfig.txt

画像関係は本業ではないのですが、年賀状を書かないといけないので。。。今年は、フリーのPaint.NETを使用してみたのでメモ
使ってみていくつかアレっと思ったけど、タダにしたら十分な出来です。なんとか年賀状はできそう。元旦には届かないかもしれないけど(笑)

・文字列って入力後編集できない？
・レイヤに大きさって概念がない？（聞き方おかしい？）
・意外と重い？（レイヤが増えると）

Paint.NET
PSDファイルが編集できるようになるプラグイン
Photoshop Plugin(start [frankblumenberg.de])

パソコンの中のディスクの整理をしていたらMedia Player Classicがはいっていたのだけど、これって新しいバージョンあるんかなと思ったのでメモ
Home Cinema版がメンテされているのかな？

Media Player Classic Home Cinema(本家）
日本語版Factory Mar(日本語化パッチ)
guliverkli(sourceforge)

Codec Guide(K-Lite Codec Pack,QuickTime Alternative,QT Lite,Real Alternative)

後輩君からのネタ提供、バックアップ用のシェルを作っててできたと思ってテスト兼開発機で動かしたら、SEさんがテスト運用中だったのに、DBのデータフォルダ以下をサクっと消しちゃったらしい。（ちなみに最近のDBのバックアップも無いらしい）

シェルは確認しなかったけど、たぶん、

cd hoge
rm -r ./
cp -r /hoge2 ./

とかやって、本番のパスにしたら、hoge ディレクトリがなくてcd できてないのに、rmで消えちゃったんだろっ(-д☆)キラッ
自分もやったことあるからすぐわかったわ、わっはっは！
で、なんとかならんけ？とかって話で、消したものはムリでない？と言ってたのですが、復旧できてしまったので、メモ

ファイルを消してしまっても、「プロセスが終了していない場合」は/proc内にファイルディスクリプタの情報があるんで、そこからcpとかで取り出せば復旧可能らしい。

lsof | grep deleted | grep hoge
user01     1683  user01   10u      REG        8,1 4194312192     835691 /hoge.dat (deleted)
user01     1683  user01   11u      REG        8,1  786440192     835652 /hoge.dat2 (deleted)
のとき、
cp /proc/1683/fd/10 /tmp/hoge.dat
cp /proc/1683/fd/11 /tmp/hoge.dat2

のような感じ
cp /proc/プロセスID/fd/ファイル記述子 復元先

今回は、あわててサービスや、サーバの再起動をしなかったので、ファイルが残っていました。ファイル復旧後もデータベース的には壊れている状態なので、今度はDB屋さんが出てきてなんかコマンドいくつかいれて起動後、ダンプとれたのだけど、結局おかしくて、最終的にはシステムのバックアップからDBを戻して古いデータになったところに、なんとかとれたダンプで復旧できたみたいです。

＜参考URL>
削除したファイルをlsofで復元する(DevIT)

参考書をペラペラとめくってなんとなくイケそうな感じだったので受けてみたのですが、十分な実力のため（ラッキーとも言う(笑)）合格いたしました。

ちなみに成績は、

午前Ⅰ得点 61.20点
午前Ⅱ得点 64.00点
午後Ⅰ得点 85点
午後Ⅱ得点 71点
全科目60%以上で合格。

午前がギリギリだ(笑)

昔は、オンライン情報処理技術者試験とかって、結構伝送路関係とか、待ち行列とか、苦手なのが多かったのですが、今回のネットワークスペシャリストは、サーバ、スイッチ、セキュリティ、運用とかって感じで日々なじみのあるのが多くなってきたので、合格したのかな。よかったよかった(^^)/

2.9がリリースされました。
大きいところでは、インストールの必須条件がMySQL 4.1.2 以上になりました、新しいところなら大丈夫でしょうが古いところだと注意が必要かも。
ここは、たいしたプラグインも使ってないので2.8.6から上書きであっさりアップグレード完了しました。

WordPress 日本語
新機能など

WordPressいれてみたらやっぱりサクサクでMT5のもっさり具合に我慢できなくなったので、コンバートしました(^^

パーマリンク変わっちゃったのですんません、検索エンジンから来てくれた奇特な方は、右上の検索で記事探してやってください(^^)

最近家ので使ってるAviraの日本語版がリリースされました。もともと英語でも難しくはないのですが、とりえず日本語ということで。
Avira
ダウンロード(Vector)
老舗の無償ウイルス対策ソフト「Avira AntiVir Personal」が日本語化(窓の杜)
以下、自分用メモ
スプラッシュの件

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="\"C:\\Program Files (x86)\\Avira\\AntiVir Desktop\\avgnt.exe\" /min /nosplash"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe\" /min /nosplash"

アップデート時の広告の件

C:\Program Files (x86)\Avira\AntiVir Desktop\avnotify.exe
C:\Program Files\Avira\AntiVir Desktop\avnotify.exe

AdministratorsとUsersの読み取りと実行を拒否

MovableTypeって不便だなーと思ってた件、エントリをちょっと修正しようと思った時、管理画面にログインして該当のエントリを探すの大変、エントリが多いともっさりだし、検索もできないし。WordpressとかDrupalとか普通についてるのになんでだろ。仕組み上ダイナミックかスタテックでの表示なので考え方が違うからかなぁ。
で、対処方法、MT側はなにもしなくてもいいので、オススメというか一番簡単そうなのは、その１のBookmarkletです。その２はMTの管理画面へのリンクが普通にバレてしまったり、見た目がちょっとカッコ悪いので、その対処としてその３です。
◆その１

javascript:d=document;f=d.comments_form||d.forms['comments_form'];if(f){id=f.entry_id.value;
location.href='http://www.example.com/mt/mt.cgi?__mode=view&_type=entry&id='+id+'&blog_id=BlogID';}

＜参考＞
“Edit This” Bookmarklet(Ogawa::Buzz)
◆その２
ブログ記事の概要とかブログ記事 とかに挿入します。

<span class="separator">|</span><a href="<$MTCGIPath$>mt.cgi?__mode=view&_type=entry&id=<$MTEntryID$>&blog_id=<$MTBlogID$>" target="_blank">編集</a>

◆その３
どっかでCOOKIEをセットしておいて、そのCOOKIEがあるかどうかで、その２の編集リンクを表示するようにする（要PHP化）
PHPで判断できればいいので、接続IPアドレスとかそういうのもアリかな。
＜参考＞
Movable Typeでセキュアに[編集]リンクを設置するTips（追記アリ）

＜追記＞
2009/11/28
KBの題名が変ったみたい。
Upgrading ESX 4.0 to 4.0 Update 1 on HP Proliant systems can fail or time out and leave the host in an unusable state if the host has HP Insight Management Agents running
HPの「Insight Management Agents」がインストールされている環境だけ注意が必要の様子。んで、さっき1台アップデートしていないのをやってみたらHost Update UtilityにUpdate1(208167)も出てきてアップデートできました。（このマシンだけ10分ぐらいかかったので途中で止まってるか心配でした）
＜／追記＞
Update 1のアップグレードの仕組みにに不具合があったようで取り下げになった様子。サードパーティのAgent系がはいっていた場合、アップグレード後、再起動時したら紫？の画面になるみたい。not recoverableって書いてあるので失敗するのヤバかったのかな。
Upgrading ESX 4.0 to 4.0 U1 fails or times out and rebooting the host results in a purple diagnostic screen(Knowledge Base)

MovableType 5が正式リリースされたのでいれてみました。RCから使ってたのであんまりかわらないか(^^;、バージョン５からMySQLだけ（EnterpriseはOracle,MSSQLはありますが）になってしまったので、PostgreSQLやSQLiteは推奨されないようです。（インストール時に選択はできるので動くことは動くけどサポートはしないよってことでしょう）
Movable Type(sixaprt)
MTOS: Movable Type オープンソース・プロジェクト
Movable Type 5 ドキュメント