屑俺日記

☆ Googleってると

変なサイトにヒットしてしまった。こりゃ一体何の役所だ？
いや、I'm Feeling Lucky で q=$(echo カワサキ|hexdump|sed 's/^0 * //' |sed 's/ /%/g')しただけなんですが。

☆ Firefox

のアドレスバーに"NEC"とか"富士通"とか打ち込むと 大体そっちのサイトに接続してくれるようだ。
例によってetherealでキャプチャしながら、"トヨタ"と打ち込んでみた。 最終的には トヨタ自動車株式会社 グローバルサイトに出た。が、キャプチャ結果 は随分と珍妙だった。

まず、DNSサーバのMACアドレスを確認した後、どういう訳か xn--5ckr0h をクエリーしている(当然No such name)。ぐぐるとxn--5chr0h.netが お名前.ＣＯＭであった。が、DNS queryではxn--5chr0h.netを探してはいない。 その次におそらくキャッシュでも効いていたのか、やにわに 64.233.189.104(googleらしい)にこんなのを投げてる。

Get /search?btnI=I%27m+Feeling+Lucky&ie=UTF-8&oe=UTF-8&q=%E3%83%88\
%E3%82%BF HTTP/1.1\r\n
Host: www.google.com\r\n
(以下環境変数が続く)

で、その後にDNSを引いて、目的のサイトに至る。

"トンボ"で試すと、株式会社トンボ鉛筆 に出る前にxn--fdkxbxdを引いていた(今のところ正体不明)。 No such nameの後にwww.google.comのアドレスを尋ねて、I'm Feeling Lucky。

えと、Mozilla/5.0 (X11; U; Linux i686; rv:1.7.3) Gecko/20041001 Firefox/0.10.1だ。そろそろageようか。

後記。

$ echo トンボ|idnconv -> xn--fdkxbxd
$ echo トヨタ|idnconv -> xn--5ckr0h

☆ namazu-2.0.15

ようやく鯖にmake install。する前に同梱のFile-MMagic1.25を 入れる必要があった(namazu-2.0.14には同じく1.20)。
さて上手くいったか、は4時過ぎのcronにひと仕事させてから。

一応バージョンアップは効いたらしい。検索にトラブル はなさげ。ひと安心。

☆ mingetty

は、agettyとは異なり、シリアルコンソールには不適当、 その時はmgettyを使え...とか書いてあった。
ちなみに mgettyはvine-3.2には入ってなかった。

Vineの/etc/inittab にはシリアルコンソールはエントリ自体が なかった。まあ、今これ書いてるNoteにしても シリアルポートはないが(代りに/dev/ttyUSB)
んで、Plamoからコピペ。kill -HUP 1 でOK。

☆ vineのイメージアップ

勿論、人気とりとは関係ない。qemuで起動させた vine-3.2/i386をapt-get update && apt-get upgrade させただけ。
糞ルータの設定を見直すと、LAN側はルーティングテーブルの 手動設定ができるようだった(グローバル側はできないと 注意書きがなされていた)。早速追記する。 qemuのホスト(この場合は NotePC)をゲートウェイにする。

あれ、名前解決ができない...と思ったら、DNSサーバの iptablesが邪魔していた。こちらにも一時的に穴を空ける。

kernelからxpdfまで52パッケージがageられた。
ただし、kernelは/etc/lilo.confに手を入れ、lilo(8)を 実行して再起動しないと揚がらない。ちなみに initrdは新しくはなってないようだ。
で、上げる前後のuname -a。

Linux localhost.localdomain 2.4.31-0vl1.8 #1 2005年\
  9月 5日 月曜日 03:33:25 JST i686 unknown
Linux localhost.localdomain 2.4.31-0vl1.12 #1 Mon \
  Dec 26 22:22:09 JST 2005 i686 unknown

/etc/inetd.confのin.telnetdをいつ有効にしたのか(デフォルトはおそらく/^#/だろう) 覚えていない。
しかしながらtelnetdはデフォでは入ってないらしい。 # apt-cache search telnet すると telnet-serverなるパッケージがあった。で、apt-get install。ついでに # ln -s /etc/rc.d/init.d/inet /etc/rc3.d/S77inetd 。

で、鯖とルータの設定を戻す。

☆ 今度は

デスクトップのFreeBSD-5.4の方でnfsdを走らせ、note側 にmountして、qemuでリモートのFreeBSD-6.0イメージを走らせてみた。
サーバ側の負荷はほとんどないようだ。
Macを混ぜればさらに面白そうだ!?

しかし6.0、何だかわからないが、アクセス制御を有効にしてしまったっぽい。
こっちからの通信はpingでもhttpでもmailでもできたが、逆はすべて (色々あけてみたが)失敗。tcpdump しながら他所からのpingを見ていると、 echo requestを受けてはいるが、reply を返す(なんか 頭痛が 痛い?)様子がない。

packagesからcvsup-without-guiを入れて、cvsupする。
おっとっと、cvs鯖の/usr/local/etc/cvsup/cvsupd.accessに 一行追記しておかないと。

もう一つ。shutdown -h now の後、

The operating system has halted.
Please press any key to reboot.

になった途端、ホストのCPU使用率 が一気に極限まで上昇するのも謎。

☆ いつまでか

6.0を終了させて、今度はFreeBSD5.4の上で 再起動。更新したソースのGENERICに"options GEOM_BDE"を追記して カーネルのビルドにとりかかる。13時半くらいに始めたが、 さていつまでかかることやら。ホストのCPUを常時96%以上喰いつつ コンパイルは実に悠然と進行している。

23時30分頃にmake installが完了していた。ざっと10時間か。
とりあえずは動いている。
それにしても/boot/kernel/kernelのタイムスタンプは17:05分。 各モジュールが23:26から23:30...

☆ 元鯖にsmartctl -A

1 Raw_Read_Error_Rate 0x0008 096 086 000  Old_age Offline  - 158744749
(ry
7 Seek_Error_Rate     0x000b 070 060 030  Pre-fail  Always - 12958062063 

危険なのかな

☆ kernel-2.6.20

INSPIRON6000にぶち込んでみる。

デバイスの扱いが少し変ったようだ。
kernel-2.6.18.6の.configを流用して、make oldconfig してみたが、 つつがなくmakeして再起動すると、 常にカーネルパニックに至る(ChangeLog読まないと)。
2回ばかり骨折り損した末、思いついて設定を変更してみる。
/boot/grub.confと/etc/fstabをいじってsdaからhdaに 変えると動くようになった。

SCSIやATAのあたりを色々いじっているうちにsdaで動くようになった。
もう少しなんだかんだせねば。

fuse-2.6.3とntfs-3g-20070118-BATAでNTFSは問題なさげ。

☆ iso9660でDVD-ROM

$ sudo mount \
  -r \
  -o iocharset=euc-jp \
  -t iso9660 /dev/hdc /path 

でDVDの日本語ファイルがコンソールで見えた。

☆ DNS鯖も

交替させるべきと考えて、/etc/namedbの下を、Plamo-3.3からFreeBSD-6.2に そっくりコピーする。
named -4 -c named.conf -u bind すると、 無修正で 動いた(当り前?)。
ちょっと○○の余り、××しそうになった。

あれ、現用の奴隷鯖のnamed止まってる。capset failedか。なんだそら一体。
ぐぐると、/lib/modules/$KERNEL_VER/kernel/security/capability.koの事とわかった。
此奴を事前にmodprobeしてやらないと動かない。

☆ どうしても動かないVirtualBox

$ VBoxSVC
*************************************************
innotek VirtualBox XPCOM Server Version 1.5.4_OSE
(C) 2004-2007 innotek GmbH
All rights reserved.
 
Starting event loop....
[press Ctrl-C to quit]
Could not open catalog:
 XercesMessages_en_US.cat
 or XercesMessages_en_US.cat
Cannot load message domain

エラーメッセージからxercesが問題かもなぁ。と考えて 何度もxercesを入れなおす。 さっきは "./runConfigure -p linux -m iconv -t IconvGNU" 。
XercesMessages_en_US.catが /usr/local/msgの下にあることも、確認。
VirtualBoxも、vboxdrv.koも、その都度ビルドをやり直す。

捨て台詞が0x8004004か。次の手やいかに。

☆ 何処までダメなのか

インストーラの吐いたブルースクリーンなんて初めて見た(WinXP Pro、ASUS EN7300GS、ASUS P5LD2)。
結構ありふれてるっぽい ことを、知らなかっただけかも。
あと、 SP2(以外も)当てたイメージを作れるツールもあった。

☆ iptables -P INPUT/OUTPUT DROP

なポリシーでは、 パッシブFTPは無理なんだろうか。

と思いながらぐぐってみたら、 ステートフルな設定例がみつかった。
ip_conntrack_ftp モジュールを読んで、 -m state -state RELATED するらしい。

以下、NATの中からNATの中に、ncftpでlistできることを確認。

iptables -A INPUT  -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
 
iptables -A INPUT  -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT  -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

☆ YahooMail

登録してずっと放置していた。
locate でメモが出てきたが、タイムスタンプは本ブログよりも昔だった。
ログインしてみて、Expireしている様子を見てひと安心。
二度とログインするつもりもなかった。

☆ Gmail

実名はありふれすぎて駄目。
自分のドメイン名に@をくっつけて登録してみた。

さて、SPAM第一号はいつ来るか。

☆ ファイルベースの暗号化対応

jesseも Preciseも駄目っぽい。
なぜならext4の暗号化機能に対応したe2fsprogsは 1.43以降...

☆ lxc環境下でopendkimなど

仮設のサーバ(MXも逆引きもSPFも設定済みだけど) で、ようやく動くようになった。
VPSに立てたstretch 64bitにlxc(これもstretch) を何度も入れて試す。
一応動くものができたっぽいのでまとめておく。
なお全部ゼロから作ったというより、ほとんどは 別のクラウドサービスで試したファイルの使い回し だったりする。

VPSはグローバルIPv4アドレスを一つ借りている。lxcのために、 一種のNATにする。
ホストの/etc/network/interfaces編集。

auto lo
iface lo inet loopback
auto br0
iface br0 inet static
  address $GROBAL_IP
  netmask $MASK
  gateway $GW
bridge_ports ens3
iface br0 inet static
  address $PRIVATE_IP
  netmask $24BIT_MASK

/proc/sys/net/ipv4/ip_forwardを1にする。
iptablesのnatは次のようになった。

Chain PREROUTING (policy ACCEPT 74751 packets, 3257K bytes)
 pkts bytes target     prot opt in     out     source    destination
   18   748 DNAT       tcp  --  br0    *       0.0.0.0/0
           $HOST_IP      tcp dpt:80 to:$LXC_HOST:80
   11   460 DNAT       tcp  --  br0    *       0.0.0.0/0
           $HOST_IP      tcp dpt:443 to:$LXC_HOST:443
   16   904 DNAT       tcp  --  br0    *       0.0.0.0/0
           $HOST_IP      tcp dpt:25 to:$LXC_HOST:25
   14   840 DNAT       tcp  --  br0    *       0.0.0.0/0
           $HOST_IP      tcp dpt:587 to:$LXC_HOST:587
   10   600 DNAT       tcp  --  br0    *       0.0.0.0/0
           $HOST_IP      tcp dpt:995 to:$LXC_HOST:995
 
Chain POSTROUTING (policy ACCEPT 115 packets, 7009 bytes)
 pkts bytes target     prot opt in  out  source       destination
  723 47262 MASQUERADE  all  --  *  br0  $LXC_NET/24  0.0.0.0/0

LXC。lxc-create -n NAME -t DISTRO で作って、 configにネットワークを追加。

lxc.network.type = veth
lxc.network.link = br0
lxc.network.flags = up
lxc.network.hwaddr = XX:XX:XX:XX:XX:XX
lxc.network.ipv4 = PRIVATE_IPv4_ADDR
lxc.network.ipv4.gateway = PRIVATE_IPv4_GW

で、肝心のLXCコンテナの中身の方。
ネットワークの設定は、こちらの方ではなしでもいいようだ。
まず/etc/localtimeをAsia/Tokyoにし、メール送受信の ユーザを作った。面倒なのでシステムアカウント。

# LANG=C apt-get install vim-tiny lv less nmap tcpdump 
 rsync rsyslog nginx bsdcertbot postfix dovecot-pop3d 
 opendkim opendkim-tools iputils-ping -y

デフォルトではpingもない。rsyslogがないとログが記録されない。
LANG=C でないとPostfixのインストールが毎回失敗したり する。letsencryptなど省略。
postfix、dovecot、opendkimは一旦systemctl stop しておいた。

/etc/dkimkeysは opendkimユーザ、グループが所有していた が、どうもうまくいかない。中身もろともroot:rootに変える。
opendkimグループにpostfixを追加した。

$ opendkim-genkey -s SELECTOR_NAME -b 1024 -d DOMAIN.TLD

利用しているDNSサーバはデフォルトの鍵長(2048ビット)がTXT レコードに収まらないようだ。
ダブルクォートで括れ、というTipsも聞いたが、結局うまくいかず 1024ビットで我慢。

# grep -v "^$\|^#" /etc/opendkim.conf
Syslog			yes
UMask			000
Domain			kuzuore.net
KeyFile		/etc/dkimkeys/DOMAINKEY_NAME
Selector		SELECTOR_NAME
Canonicalization	relaxed/simple
Mode			sv
Socket			inet:8891@localhost
PidFile               /var/run/opendkim/opendkim.pid
OversignHeaders		From
TrustAnchorFile       /usr/share/dns/root.key
UserID                opendkim

postfixの関係部分はこれくらい。

milter_default_action = accept
milter_protocol = 2
non_smtpd_milters = inet:localhost:8891 
smtpd_milters=inet:127.0.0.1:8891

MUAより送信したメールのヘッダに、DKIM-Signature: が付いていることを確認。 gmailも'PASS'(シングル クォーテーションが幾分気になった)。

Authentication-Results: mx.google.com;
 dkim=pass header.i=@kuzuore.net header.s=myselector 
 header.b=G6bjuE4V;
 spf=pass (google.com: domain of UUUUUUU@kuzuore.net 
 designates YYY.YYY.YYY.YYY as permitted sender) 
 smtp.mailfrom=UUUUUUU@kuzuore.net

mail(1)などで内部から送信したメールには、 まだ付けられないでいる。
また、立ち上げがうまくないと、メール送受信はできてもDIMG-Signatureが 付かなかったりする。

Feb  6 11:33:59 $LXC_HOST postfix/submission/smtpd[10503]:
 warning: connect to Milter service inet:127.0.0.1:8891:
 Connection refused

ststemctlを色々と叩いたり lxc-stop lxc-startしたりしていた。 上のエラーの後、設定を変えてもいないのに、無事に通るようになった。

inetを少し変えて、本番サーバにもほぼ同じ設定。メールを投げ合って みたところ、とりあえずは動いてる、らしい。

☆ dovecotでPOP3d

IMAPしかやってなかったが、dovecot-pop3dを 追記してみた。
IMAPが動く仮想環境で、何も設定せずに995/tcpでPOPできたのが ちょっと不思議に思えた。

☆ Outlook13では

これまでSylpheedとThunderbirdしか考えてなかったが、このあたりも 試す。以前からAPOPには非対応だった。

/etc/dovecot/conf.d$ grep -v "^$\|^#" * | grep plain
10-auth.conf:disable_plaintext_auth = no
10-auth.conf:auth_mechanisms = plain

2016(平文の25/tcpなメール環境で 自動設定が失敗した記憶あり)や 2019はどう変ってることか。