屑俺日記

☆ 動画圧縮

スマホで撮った動画のサイズを 適当に検索して見たサイトの通りに、 縮めてみた例。
縦横を40%とする。

$ mpv orig.mp4 
Playing: orig.mp4
 (+) Video --vid=1 (*) (h264 1080x1920 29.320fps)
 (+) Audio --aid=1 --alang=eng (*) (aac 2ch 44100Hz)
Using hardware decoding (vaapi).
VO: [opengl] 1080x1920 vaapi[nv12]
AO: [pulse] 44100Hz stereo 2ch float
AV: 00:00:04 / 00:00:04 (97%) A-V:  0.000
 
 
Exiting... (End of file)

$ ffmpeg -i orig.mp4 -c:v libx264 -c:a aac -s  432x768 new.mp4

した結果、一応収まるサイズになった。

$ ls -alFh *.mp4
-rw-rw-r-- 1 user group 351K  2月 14 13:49 new.mp4
-rw-rw-r-- 1 user group 1.1M  2月 13 12:17 orig.mp4
 
$ file *.mp4
new.mp4:  ISO Media, MP4 Base Media v1 [IS0 14496-12:2003]
orig.mp4: ISO Media, MP4 v2 [ISO 14496-14]

$ mpv new.mp4 
Playing: new.mp4
 (+) Video --vid=1 (*) (h264 432x768 29.333fps)
 (+) Audio --aid=1 --alang=eng (*) (aac 2ch 44100Hz)
AO: [pulse] 44100Hz stereo 2ch float
Using hardware decoding (vaapi).
VO: [opengl] 432x768 vaapi[nv12]
AV: 00:00:04 / 00:00:04 (97%) A-V:  0.000
 
 
Exiting... (End of file)

なんか変だけど、やはり2023行の、非圧縮で99KBある ffmpegのmanを読むしか無いか...

☆ TLS-SNI対応

「アップデートしてないクライアントから、こないだ更新がかかった」という 警告メールが届いた。
分かったような分からないような話 を鵜呑みにして、 メールで教えてくれたURLなどに基づいて対応。

$ apt-cache show certbot | grep Version
Version: 0.10.2-1

backportsが必要と思われた。ので入れた。

$ apt-cache show certbot | grep Version
Version: 0.28.0-1~deb9u1
Version: 0.28.0-1~bpo9+1
Version: 0.10.2-1

$ sudo sh -c \
  "sed -i.bak -e 's/^\(pref_challs.*\)tls-sni-01\(.*\)/\1http-01\2/g' \
   /etc/letsencrypt/renewal/*; rm -f /etc/letsencrypt/renewal/*.bak"

上の処理は、何も変えなかったようだ。
certbot renew。一応、文句は言われなかった。
もう二日待ってから、のほうが良かったかも(既存ドメインの 更新期限は2/13)。

☆ EFSを試す

軽く検索して、触ってみた程度だけど。

Windows 10ではPro以上が対応しているらしい(Homeは駄目だった)。
ファイルの数が少なければ、そう時間もかからない。
暗号化した後は、普通に使える。アクセス権とファイルシステムに 依存しているらしく、 他所で見えない、勝手には持ち出せない工夫は大体できてるらしい。

少なくとも暗号化後にmkdirした サブフォルダ(もちろん、暗号化のチェックは入っていた)は、 覗けるようだ。
だから、ファイル名やファイルサイズ、タイムスタンプは隠せない。

取っ付き易い利点はあるようだけど、Homeに無いっぽいのは。

☆ ssh で mount $HOME

こないだの懸案なんとか解決。

まず、$HOMEのパーティションをマウントする前に 公開鍵を見られるよう、$HOME/.ssh/authorized_keys を /home に $USER-authorized_keys という名前でコピーする。
次いで、/etc/ssh/sshd_config 編集。 公開鍵のパスを追加し、 パスワード認証を許可するとともに、 両方が揃って初めてログインできるようにする。

PermitRootLogin no
AuthorizedKeysFile	.ssh/authorized_keys /home/%u-authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem	sftp	/usr/lib/openssh/sftp-server
AuthenticationMethods password,publickey password,keyboard-interactive

まずパスワード、続いて公開鍵の パスフレーズが続く。
起動直後、どこからもログインしていない状態で、 両方がないとログインできないことを何度か確認。
公開鍵はssh-agentとか使ってもいいか。

ユーザのログインパスワードと暗号化のパスワードを 同じにした結果、sudo などで長たらしいパスワード を頻繁に入力しなければならない結果になった。
また、入力した後、$HOMEのmountにしばらく待たされる。
これはまた別に。

☆ dovecotでPOP3d

IMAPしかやってなかったが、dovecot-pop3dを 追記してみた。
IMAPが動く仮想環境で、何も設定せずに995/tcpでPOPできたのが ちょっと不思議に思えた。

☆ Outlook13では

これまでSylpheedとThunderbirdしか考えてなかったが、このあたりも 試す。以前からAPOPには非対応だった。

/etc/dovecot/conf.d$ grep -v "^$\|^#" * | grep plain
10-auth.conf:disable_plaintext_auth = no
10-auth.conf:auth_mechanisms = plain

2016(平文の25/tcpなメール環境で 自動設定が失敗した記憶あり)や 2019はどう変ってることか。

☆ /dev/sdXYの暗号化

例によって archlinuxのwikiを見ながら。

cryptsetup -v  \
  -c aes-xts-plain64      \
  -s 512                  \
  -h sha512               \
  -i 5000                 \
  --use-urandom           \
      luksFormat /dev/sdaX

暗号化の可否を聞いてくるので、すべて大文字で"YES"。
でないと、"Operation aborted."
ここにしばらく嵌っていた。

暗号化したパーティションに適当な名前を付けてopen。

$ sudo cryptsetup open /dev/sdaX NAME

すると/dev/mapper/NAME ができるので、こちらをフォーマット。
ここでf2fsを試すことにする。
違うユーザでログインして、最前のユーザのデータを /dev/sdaXにコピーしておく。
ログイン時にmountするよう、 pam_mountを設定。パスワードを変えて、暗号化パスワードと 同じにする。

他のユーザからsu - $USER したり、 lightdm上からログインすると、その都度mountするようには なった。ちょっと待たされる。ログアウトするとumountされる。
でも、リモートから公開鍵でsshしようとすると失敗。さてどうしたものか。

☆ アップデート

某アンドロイドを9にあげた。

$IP - - [01/Feb/2019:09:57:14 +0900]
 "GET /mine/about/about.html HTTP/1.1"
 200 5051 "https://www.kuzuore.com/"
 "Mozilla/5.0 (Linux; Android 9; S3-SH)
 AppleWebKit/537.36 (KHTML, like Gecko)
 Chrome/71.0.3578.99 Mobile Safari/537.36"

☆ 遅いCPU同士で

$ grep "model name" /proc/cpuinfo                                   
model name      : Intel(R) Celeron(R) CPU 3865U @ 1.80GHz
model name      : Intel(R) Celeron(R) CPU 3865U @ 1.80GHz
 
$ grep "model name" /proc/cpuinfo 
model name      : Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
model name      : Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz

kernel4.20.6をビルド。前者はSSD、後者はHDDモデル。
前者から30分くらい遅れて後者のビルドを始めた。途中で 前者を抜いたので、前者は一旦中断とする。

後者がビルド(make deb-pkg)を終了するまで214分かかった。

☆ USB Type-C にて Androidテザリング

Win7とStretchで確認。
iPhoneのときとさほど違わない。
強いて言えば、引っこ抜いたら自動でOffになることくらいか。

☆ 某Androidでアクセスすると

$IP - - [30/Jan/2019:10:21:00 +0900]
 "GET /misc/documents/old.html HTTP/1.1"
 200 4967 "https://www.kuzuore.com/"
 "Mozilla/5.0 (Linux; Android 8.1.0; S3-SH)
 AppleWebKit/537.36 (KHTML, like Gecko)
 Chrome/71.0.3578.99 Mobile Safari/537.36" 

☆ $HOMEの暗号化

vagrant+libvirt(kvm-qemu)環境下のstretchでもって、 debian wikiの通りにやってみた。

$ sudo ecryptfs-migrate-home -u $ENC_USER
INFO:  Checking disk space, this may take a few moments.  Please be patient.
INFO:  Checking for open files in /home/$ENC_USER

でしばらく待たされる。やがて ログが ひとしきり流れた(ファイルの一部を省略)。

暗号化するユーザでログインしないことは分かったが、 ecryptfs-unwrap-passphrase(1)にちょっと嵌った。
パスワードを入力すると、パスフレーズが出てきた。
man 見ると、標準入力から指定もできたようだけど。

vagrant reload の後、データの暗号化されたユーザに なってみた。ログインにわずかもたつく以外、 何も変ってないように見えた。
スーパーユーザで、そのユーザの $HOME を見てみる。

$ sudo ls -l /home/$ENC_USER
total 0
lrwxrwxrwx 1 $ENC_USER group 56 Jan 30 14:52
 Access-Your-Private-Data.desktop ->
 /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
lrwxrwxrwx 1 $ENC_USER group 52 Jan 30 14:52
 README.txt ->
 /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt

暗号化されたユーザのホームディレクトリの実体は、 /home/.ecryptfs/$ENCRYPTED_USER/.Privateの下にあった。
なにやら長たらしいファイル/ディレクトリがぞろぞろ。

詳しくは見てないが、暗号化しても隠せない情報いくつかに気づく。
ファイル単位で暗号化しているためか、暗号化してもファイル/ディレクトリの数は同じ。 ファイルのタイムスタンプも同じ。ディレクトリ構成も見えてしまう。
中身の違う、同じサイズのファイルは、やはり同じサイズの暗号化ファイルになる。
もちろん、中身の同じファイルは、それぞれ違う中身に暗号化される。

さて、元に戻すには。

☆ Archlinux

Debianがほぼ全自動なら、こちらは半自動といった感じ。
インストールガイドなどを 読みながら、起動、grubのインストール、 xorg まとめて放り込み、lightdmとLXDE、 日本語フォントなど。
fcitxの自動起動はどうするんだっけ、あたりまで。

☆ 遅延

710MB、42ファイルのISOイメージを mountして、中身をUSB(3.0)にrsyncしてみる。

$ time sudo rsync -a /media/iso/ /media/usb/
 
real    0m36.659s
user    0m2.721s
sys     0m1.419s

この段階では、USBは抜ける状態には、なってなかった。

$ time sudo umount /media/usb/
 
real    0m37.194s
user    0m0.001s
sys     0m0.124s

☆ 届いた。

年末年始を挟んだとはいえ、やはり待ちくたびれた。
一日は自分が遅らせたのではあるが。

Vaio S11を開梱して、Win10は難なくセットアップ。LTEは当初圏外だったが、 何回か起動しているうちに有効になった。
キャリアグレードNATで、IPv6未対応だから、 継続使用する気にはとてもなれない。

製造元: Telit
モデル: Telit LN940 Mobile Broadband
ファームウェア: T77W676.F0.0.0.4.4.KD.015
029
ネットワークの種類:     GSM
データ クラス:  UMTS, HSDPA, HSUPA, LTE, HSPA+
IMEI:   XXXXXXXXXXXXXXX
携帯電話番号:
IMSI:   YYYYYYYYYYYYYYY
SIM ICCID:      ZZZZZZZZZZZZZZZZZZZZ

$ nkf ipconfig_all.txt | grep -v "^[[:space:]]"
Windows IP 構成
イーサネット アダプター イーサネット:
Wireless LAN adapter Wi-Fi:
Wireless LAN adapter ローカル エリア接続* 1:
Wireless LAN adapter ローカル エリア接続* 2:
モバイル ブロードバンド アダプター 携帯電話:
イーサネット アダプター Bluetooth ネットワーク接続:

Ubuntu18.10も、電源投入前にF3またはF4(いずれも取説通り) 押下でUSB起動選択で特に何も設定なしでXにwifiにsound。
ただし、設定メニューにLTE関連は表示されていなかった。

lspci(1)でも、それらしいものは 見えず。
今日は このあたりが限界か。