屑俺日記

☆ apache再度

logorotedのために早朝6時にapacheを再起動させているが、

[Mon Jul 31 06:00:01 2006] [warn] Loaded DSO \
libexec/mod_mmap_static.so uses plain Apache 1.3 API,\
this module might crash under EAPI! (please recompile\
 it with -DEAPI)

のようなログが一杯。オプションを見直して再度make...は、 不要だったかも。apachectl(8)を少し変えていたことを 思い出した。pidファイルの置き場所とか。
ちゃんと新しいのに変ってなかったかも。

ともかくエラーはでなくなった(それでいいのか?)。

落ち着いてもう一度やりなおす。
前のバージョンと同じオプションで 再度makeし、installする前にapacheを止め、 httpdのすべてのプロセスが止まったことを確認し、 installが済んでからapachectlを書き換えて 再起動。
ログを見たが、特に異常はなかった。

PidFile の位置はhttpd.confで指定してるけど、 apachectlでも、なぜか決め打ちだ!?

☆ puttyとDNS

以前の再確認。

ブロードバンドルータのDNS(ひょっとすると単に転送してるだけかも)には、 DNSの逆引きを返さないものがある。M$だけでIEとOEに程度しか使わない環境では 気づきにくいが、システムによっては逆引きもまだ必要みたい。
puttyもそうらしく、DNSの正引きのあと逆引きをやってからTCPコネクション を開始するようで、逆引きが有効な環境では瞬時につながるが、 それがない(no such nameさえ返さない)と、 15秒も待たされた。

WireSharkで傍聴すると、 待ち時間の間、数回逆引きを試みて、あとはタイムアウトまで待っている様子だった。

☆ nslookup.exe

%ROUTER%は逆引きを返さない。
それより、helpどうやって見たらいいんだろか。 /? --? /help /h --help など、どれもダメだった。

C:\> nslookup.exe www.kuzuore.com %ROUTER%
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  %ROUTER%
 
DNS request timed out.
    timeout was 2 seconds.
Name:    www.kuzuore.com
Address:  210.138.41.18
 
C:\> nslookup.exe 210.138.41.18 %ROUTER%
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  %ROUTER%
 
DNS request timed out.
    timeout was 2 seconds.

☆ hostsからDNSへ

外の某ホスト、しばらく/etc/hostsに追記していたが、すぐ面倒になった。 当該ホストはリモートログインなどはできるけど、基本的にIPじか打ち。 まだどのDNS鯖にも載ってないのだ。
LAN内のゾーンファイルに、二行(AとPTR)追加。
実際のところ、FQDNはインチキだが LAN内の(FQDNな)名前が外とダブることはまずないし、外から名前を聞かれる 事もないので、これで大丈夫だろう。

後記(2006/08/05)。
LAN内のPTRに加えても無駄である。
プライベートアドレスのPTRにグローバルアドレスを 無理矢理追記しても、"ignoring out-of-zone data"とされるだけだ。

☆ HDDの苦悶

三年前の秋、 某所のジャンク大会で貰って来た、30GBのHDDがヤバくなってきた。 まず起動時、断続的に「ジージージージー」と鳴くこと数回。 ログインしたらXが起動できなくなっていた。はてと思って /var/log/syslogを見ると、

Aug  2 22:09:58 $DESKTOP kernel: hdb: task_in_intr:\
 status=0x59 { DriveReady SeekComplete DataRequest Error }
Aug  2 22:09:58 $DESKTOP kernel: hdb: task_in_intr:\
 error=0x40 { UncorrectableError }, LBAsect=7604023, sector=7604023
Aug  2 22:09:58 $DESKTOP kernel: ide: failed opcode was: unknown
Aug  2 22:09:58 $DESKTOP kernel: end_request: I/O \
 error, dev hdb, sector 7604023

KNOPPIXでrunlevel2。
デスクトップのブートメニューはPlamo-4.2のある/dev/hdb1に置いてある。 /dev/hdaのMBRと一緒に、まずバックアップを取った。
他に特別貴重なデータもなさそうなので、umountし、automountも 殺しておいて fsck -C をかけてみる。時折例の歯ぎしりが聞こえ、 ↑のメッセージも出てきたが、段々と大人しくなり、たまに

Entry 'libbidi-plugin.la' in /usr/lib/ (621989) has deleted/\
unusecd inode 956608.  Clear<y>?

とかいうダイアログが出るだけになった。処理が6割を過ぎると、 それも稀になった。

KNOPPIXを終了させて再起動する。

/dev/hdb1 contains a file system with errors, check forced.

しばらく待機。ずっとアクセスランプが赤く光り続けている。

...
一応復活したようだけど、やはり完全復旧とはいかないようだ。
afterstepのWharfが起動できなくなり、壁紙もなくなっている。
そういえば、w3mは起動したけど、画像が表示されなくなった。
さて、HDDの臨終まで、どうやって待つか。

おまけ。この温度では今ブログを綴っているNoteも結構苦しげだ。
静かなファンから熱気が立ち昇っている。

☆ glant?

mysql> glant HOGE FUGA ON DATABASE  to 'user'@'localhost' \
identified by 'PASSWORD';
ERROR 1064 (42000): You have an error in your SQL syntax; \
check the manual that corresponds to your MySQL server \
version for the right syntax to use near 'glant HOGE FUGA\
 ON DATABASE  to 'user'@'localhost' identified by 'PASSWORD''\
 at line 1

LとRの間違いに気づくまで、何度虚しく打鍵したことか。
orz。

☆ WordPress ME

某所の懇親会でちょっと聞いたブログ。
三回インストールしてやっと動いた。

$ tail -f $ERROR_LOG
postdrop: warning: mail_queue_enter: create file \
maildrop/512362.8313: No such file or directory 
postdrop: warning: mail_queue_enter: create file \
maildrop/512362.8313: No such file or directory 
postdrop: warning: mail_queue_enter: create file \
maildrop/512362.8313: No such file or directory 
(ry

error_logを見、慌ててpostfixを設定、起動する。

☆ ImageMagickまでが

先ほどのエラーにより損傷。

$ identify some.png 
identify: error while loading shared libraries: \
libjpeg.so.62: cannot open shared object file: \
No such file or directory
 
$ ldd `which identify` | grep "not found"
        libjpeg.so.62 => not found
        libjpeg.so.62 => not found
        libjpeg.so.62 => not found

ldconfig程度では効き目はなかった。
幸いな事にgimp-2.2に怪我はなかったようだ。
再インストールは、一晩休んでから、だ。

☆ DVD-RW on Ubuntu

DVRP-UN8L (中身はソニーNECオプティアークの ND-7551A)をつけてみた。あっさり認識され、sambaでコピーした ファイルが焼けてしまった。
ただし、突っ込んだディスクをGUIで(取り出さず)アンマウントする方法が よくわからず、結局コンソールからやってしまった (マウントしている間は焼けなかった)。

自分は以前、機種依存文字が焼けないとか書いていたが、間違いだったようだ。
WinXPからドラッグアンドドロップした、"株"とか"キロ"とかを含んだ名前のファイル、フォルダが CD-RW/DVD-RWに焼けて、Ubuntuはもちろん、WinXPと2000で閲覧できている。

☆ ソフトウェアの更新(Firefox)

1.5.0.6に上がった。

☆ デスクトップ色々

shutdownしたつもりだったが、端末を間違えていた。
落ちていたのはWordPressを入れた鯖の方だった。南無。

libjpegパッケージを入れ直すと、壁紙もw3mのインライン画像も回復した。
一息。

☆ WordPressもげ

httpd.confでListenを80以外(8080とか)に設定すると、中のリンク先をつつく毎にアクセスできなくなる (その都度ポート指定が必要)って、どういう仕様なんだろうなぁ。
なんとかならないかなぁ。

<?php
$server_port = getenv("SERVER_PORT");       
echo $server_port; 
?>

☆ 蛍光ペンで墨塗り?

墨塗り破り 実験が面白そうなので追試してみる。
見た目真っ黒に塗りつぶした文書が でき、PDFに書き出すこともできた。

しかし、タダのAdobeReaderでも、「選択」ツールや「すべて選択」などで notepadなどにコピペ、とか「テキストとして保存」とかでも全部見えてしまった。 文字色と背景色を揃えても同様。
駄目だ、こりゃ。

AdobeAcrobatで「表示と印刷の制限」をいじれば、AbobeReaderで コピペはできなくなったけど。
これも破る方法はあるらしいが、このあたりで面倒になった。

☆ libtiff

久々な 脆弱性か。Solutionは"Do not open untrusted TIFF images." しか無いようだ。今のところ。

おっとっと。Debianなどは既に 対応済みか。使ってないけど。
ubuntuもだ。apt-get update && upt-get upgradeと。
FreeBSDは3.8.2になっている。/usr/ports/graph/tiff で make deinstall && make reinstallしておく。
コピペもこのくらいにしよう。

☆ AA罫線の折り返し

が邪魔臭い。
WordPressの見てくれをいじり、飽きたところで データベースを覗く。
select * from $Databaseは手っ取り早いが、 同時にうざい。

mysql> select * from wp_options
    -> where option_name='stylesheet';
+-----------+---------+-------------+-------------
----------+
| option_id | blog_id | option_name | option_can_o
 autoload |
+-----------+---------+-------------+-------------
----------+
|        50 |       0 | stylesheet  | Y
+-----------+---------+-------------+-------------
 yes      |
----------+
1 row in set (0.00 sec

まるで読めない。

mysql> select option_id from wp_options
    -> where option_name='stylesheet';
+-----------+
| option_id |
+-----------+
|        50 |
+-----------+
1 row in set (0.01 sec)
 
mysql> select autoload from wp_options 
    -> where option_name='stylesheet';
+----------+
| autoload |
+----------+
| yes      |
+----------+
1 row in set (0.00 sec)

☆ kernel-2.6.17.7

WordPressを入れたマシンはずっとvmlinux-2.6.15.7-plamoUPで使ってきたが 新しいカーネルを入れてみた。make oldconfigを使わずに三回ほど 入れ直して、どうにか動くようになった。 シリアルコンソールを有効にしていて助かったり。
オリジナルのカーネルはシリアルコンソールに起動時メッセージを出力しないようだ。

☆ nucleus

少しmysqlに慣れてきた気がした。
で、もう一発blogツールを試す。
というか、nucleusをいじっている時間より、スクリーンショットを gimpで加工している時間の方がずっと長かったり。

☆ さしあたりWordPressか。

結局、newcleusは10分いじったらどうでもよくなった。
もう少しWordPressに入れ込んでみる。

問題はコメントスパム。管理者の承認後に表示、をデフォルトとする。
メールで更新可能とあったので、表示通りPOPサーバを設定したが、WordPress がそっちを見に行く間隔はどのくらいなのか不明。

WordPressは2.0.3だったが、2.0.4にあげた。差分パッケージをコピーするだけだった。

☆ mysqlで誰かに"特権を与え"ること

grantで嵌ったと思ったら、今度は、

privileges

を何度も間違い続けた。こりゃいかん。

しかも、puttyで 間違ったホストに ログインしていた 事にも、ずっと気づかなかった。
だめじゃん。

☆ XOOPSCube on Sarge に失敗。

インストールは途中まで特にエラーもでなかったが、いざデータベースに 接続しようとしたら画面 真っ白け。 接続に失敗している模様。 mysql(1)で覗いても、テーブルが作られている様子もなし。
改めてphpinfoと睨めっこ。

"configure command"の項目に'--without-mysql'とあり、 dbxの"supported databases"の項目にMySQLが含まれている。
何か忘れものなかったっけ。解凍したアーカイブの ユーザ、グループは真っ先に変えているが。

# sudo -u $WWW /usr/bin/mysql -u$USER -p $DB
Enter password:***********
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 7 to server version: 4.1.11-Debian_4sarge5-log
 
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
 
mysql> show databases;
+----------+
| Database |
+----------+
|   $DB    |
+----------+
1 row in set (0.00 sec)
 
mysql> use $DB;
Database changed
mysql> show tables;
Empty set (0.00 sec)
 
mysql> \q
Bye

phpが動かしてる筈の、MySQLのユーザがMySQLのデータベースに触れないわけでもないらしい。
う〜む。わからん。

☆ どうにかXOOPSCubeうごいた

ツッコミを受けて気力を取り戻し、再セットアップ。を2回繰り返し、データベースを1回 作り直し(指定したデータベースにテーブルが既にあると、インストーラは先に行かない)、 どうにかログイン画面にこぎつけた。
やれやれ。

☆ arkLinux

OTPの記事を読み、LiveCDを貰って焼いて突っ込んでみた。 今のところ、KNOPPIXより優れたところがあるのかよくわからない。NTFSの マウントは、少なくともマウスクリックだけではできなかった。

やはりスリム(700MBって、デスクトップシステムには狭すぎるのだろうか)に なるよう、色々工夫している様子だった。/usr/X11R6/binの下は ほとんど何もなし。
LiveCDイメージを覗くと、 LFSのLiveCD同様(gentooもそうだったっけ?) squashfsらしい。KNOPPIXの暖簾分けではないようだ。

もう少しつつく。あんだけアプリケーションを削ってるのに、なぜか ゲームが一杯(という程でもないかも)。tuxracerまであったが、 起動させるとXが落ちた。
デフォルトのデスクトップはKDEだけど、Knoquerorを すこしいじった程度では、日本語の表示はできなかった。
shutdownしても、まだちゃんと電源の落ちたマシンはない。

☆ 俺々認証ふたたび

さっき 中央図書館から借りてきた Apacheクックブックをめくる。
デスクトップに放りこんだapache-2.2.0を再度、 --enable-sslつきでmake install。

; 証明書作成
$ openssl genrsa -out hostname.key 1024
 
; 証明書署名要求
$ openssl req    -new -key hostname.key -out hostname.csr
 
; 俺々署名
$ openssl x509   -req -days 365 -in hostname.csr \
 -signkey hostname.key -out hostname.crt
 

でもって、httpd.confもしくはそれにインクルードする ssl.confに追記。

SSLCertificateFile /http/conf/hostname.crt
SSLCertificateKeyFile /http/conf/hostname.key

# apachectl configtestでOKが出たので、 Ethereal改めWireSharkでloをみながら firefoxでhttps://$HOSTNAME/ する。

お定まりの警告。証明書を飲んだら、httpsである 旨を告げるダイアログだけになった。
ロケーションバーが黄土色になって、"It works!"。 もちろん右下の南京錠は閉じている。
WireSharkのログを見たが、一応暗号化もできてるようだ。

とりあえずは、そこまで。
以前よりはすっきりしたかも。

☆ 鍵登録を忘れて

WordPressな鯖に、外からアクセスできなくなってしまった。
パスワード認証をやめたので、鍵を登録したホストから、パスフレーズを 入力しないと入れなくなってしまっている。
アクセスできる中のホストはすべて電源OFF状態。
orz.

☆ また--enable-ssl

WordPressが動く鯖のapache-2.2.2を再構築する。
今度はapachectl stopを忘れずに。

httpd-2.2.2$ head hoge
./configure   \
  --enable-modules=all \
  --enable-mods-shared=all \
  --enable-ssl            \
  --enable-so 

特にトラブルもなく終了。httpd.conf に少し手を加えて、動作確認後ひといき。

続きは夜が明けてからにしよう。
明日(既に今日だが)もあることだし。

おっと、~/ssh_dss.pubを~/.ssh/authorized_keys2に 追記しておかないと、 昨日を繰り返すことに。

~/.ssh/authorized_keys2をよく見直して気づく。
コピペした公開鍵に改行が入ってしまっていた ことを。 そしてviで"7J"などと打鍵して一行に繋いだとき、 改行が になってしまい、:s/ //gして、 必要な空白までを消してしまっていた事も。

具体的には、

ssh-dss AAAAB3NzaC1kc3MAAACBXXXX(ry= user@host

が、

ssh-dssAAAAB3NzaC1kc3MAAACBXXXX(ry=user@host

となり、違うキー(もどき)になってしまっていたのだ。

☆ なんでcrontabダメなの

ちょっとPlamo-4.2でcronを確認したくなった。

$ crontab -l
-bash: /usr/bin/crontab: 許可がありません
 
$ ls -l `which crontab`
-rwsr-x---  1 root wheel 10020 2004-08-20 11:58 /usr/bin/crontab*

Plamo-4.0.xは "-rwx--x--x"、FreeBSD-5.3は"-r-sr-xr-x"だった。
これもセキュリティ対策の一環なんだろうか。 とりあえずは通常のユーザを/etc/groupのwheelに加えて対応。

それにしても、パーミッションの数値変換が分かり難い。
chmod **** hogehoge を何回も何回も繰り返したが、-rwsr-x---が "4750"だとはどうしても当てられなかった。
ちなみにFreeBSDは"4555"、Plamo-4.0.xが"0711"。

力業はCPUに任すことにする。
稚拙なシェルスクリプトで、 4096通りの組み合わせをすべて 演算、出力し(実行にCeleron2GのCPUで 30秒程)、grep -- -rwsr-x--- する。

しかしこのスクリプトを実行するたびに、 "[0-9][0-9][0-9][0-9][0-9]LIST"とかいう0KBのファイルが できてしまう理由がよくわからない。

☆ 外からmod_sslで403

寝る前の設定ではsslは有効にならない。もう一度やり直す。
鍵も用意し、configtest でOKが出たので、443のTCPに穴を開けた ルータの外から httpsで叩いてみる。

しかし何度試しても、 Forbiddenされる ばかりだった。
mod_sslのドキュメントを拾い読みして色々いじったが、 効果は全然なかった。
このへんで、手を休めよう。

中から見ても、httpsは403だった。また作りなおす。

☆ sambaの「ごみ箱」

各セクションに "vfs objects = recycle" を記述すると、共有ごとに .recycleとか いうディレクトリができて、消したものは そっちに移動する。らしい。

☆ apache-2.2.3 with php-4.4.3

apache2のドキュメントをあちこち拾い読みしながら、 ./configure の後ろを色々変えて何度も入れ直す。
前に編集したhttpd*.confなどはmake installの前に どっかにmvして、差分を確認しつつconfigtestを繰り返して編集する。
LoadModulesなどは大抵勝手に按排してくれるが、時には自分で 書き加える必要があるかもしれない。
細かい設定は大体Include $FILEに逃す。

phpは一度入れれば何度も入れ直す必要はないらしい。

☆ UserDirの罠

ドキュメントを見ながら色々設定したが、 どうしても有効にならない。
そんなユーザが/etc/passwdに いなかったから。

☆ opera

の、9.01-20060728.1-static-qt.i386-en-400を ringサーバから貰って入れてみた。 複数のブラウザを同時に使うことを考えたから。
まあまあ見えるけど、ちと重い。

☆ またまたforbidden

usrdirやwordpressに熱中していたら、いつのまにか httpsが繋がらなくなっていた。orz

☆ WordPress続く

WordPressを入れたマシンの名前が外からでも中からでも 同じになるように、LANのDNSとプロバイダの DNSとにAレコードを追加する。

一難去ってまた一難。
しかし、外からhttpsでアクセスすると(どえらく待たされるのみならず)、 スタイルシートが 反映されない。 @import url( http://host/path/style.css ); なんて書いてあるせいだ。行き先が80だと、今のところは別のマシンに行ってしまう。
ログインのリンク先などもhttpべた書きだ。

☆ 443/tcpだけじゃ無理なんだ。

WordPressな鯖でiptablesを使い、--dport 80 -j DROP してみる。
そして、WordPressのURLにアクセスしてみる(https://host/path/)。
案の定、証明書の確認ダイアログの後、スタイルシート無しのWordPressがブラウザに表示されるまで2分近く待たされる。

ちなみに、tdiaryは同様の環境でも全く問題無く、443/tcpだけを通して 本文も画像もスタイルシートもちゃんと送ってきた。
やっぱりtdiaryはいいなぁ。

☆ WPにトラックバック

AirHから,w3mでhttpsからコメントはできたが、 トラックバックはうまくいかない。
まあ、自分から自分にトラックバックなんて まず自分はやらないか。

☆ pngからhtmlへ

$ convert hoge.png hoge.html
 
$ cat hoge.html
<html version="2.0">
<head>
<title>hoge</title>
</head>
<body>
<center>
<h1>hoge.html</h1>
<br><br>
<img ismap usemap="#hoge" src="hoge.gif" border=0>
<map name="hoge">
  <area href="hoge.html" shape=rect coords="0,0,199,199">
</map>
</center>
</body>
</html>
 
$ ls -l hoge.*
-rw-r--r--  1 user group 16867 2006-08-12 12:11 hoge.gif
-rw-r--r--  1 user group   260 2006-08-12 12:11 hoge.html
-rw-r--r--  1 user group 23825 2006-08-06 23:03 hoge.png

gimpでのhtml化とか、 convert(1)のtxt化 に比べるとかなり見劣りする。

☆ 鯖移行

を考える。というか、大体はできてしまったが。

Webサーバに2年ほど使ってきた MA30Hは、流石に少し辛くなってきた。
4GBのHDDはずっとUse70%程だけど、tdiaryが(プラグイン追加も祟って)段々 重くなってきている。このあたりでWebサーバを交替させても、と SSLをいじるうちに考えるようになった。

コンテンツの大半はrsyncで移せる。手間取るのがUserDir。
こっちまでrsyncすると、公開鍵やドットファイルまでが上書きされてしまう(excludeも抜けが怖い)し、 crontab.txtからcronに読み込むまでは自動ではできない。もちろん /etc/passwd のコピーは試したくない。

mirrorサイトの複製は明日から新しいサーバにする。 ftpサイトは当面 現状維持としよう。メールサーバも同様。
今これを書いているtdiaryは最後にrsyncすることになりそうだ。
その後でnamazuのindexを更新するcrontabを読み込む、か。

殆どアクセスのない、古いコンテンツもできる限りURLは変えない方向で。

☆ mod_ruby with tdiary part2

移行中の鯖にmod_rubyを入れる。

apache2とphp4を何回かmakeした為か、かなり楽に導入できた、ようだ。
topコマンドで鯖を眺めながら、tdiaryの過去コンテンツを読み込むこと数回。 rubyコマンドが浮かびあがらず、代りにhttpdがいくつか上下している。
前回とは逆に(?)、マシンスペックに若干余裕があるはずだけど (Celeron466MHz+Mem128MB)、 劇的に速く(軽く)なった気には、 やはりならない。

☆ 配線整理と撮影

鯖移転のついでに、載せていた写真を貼り変え、 文章も少し変えることにする。HTML自体の 進歩はゼロだけど。

そのために部屋の埃を払い、配線を束ね直したり、 使ってないLANケーブルなどを取り除いたりする。
いくらやっても、ごちゃついた感じはさほど変らない。

手前のPCが新鯖。
遂に棚に収まらなくなった。

☆ xoopscubeとhttps

やはり80/tcpを塞がれると(インストールしたての状態では)、 たとえ管理画面であっても、まともに動作できないようだった。
ログインしようとしても、"接続がタイムアウトしました"

httpsでトップページにアクセスしてみた。Wiresharkで 見ながらログインしてみる。ユーザ名とパスワードは エンコードさえしていない。
"uname=$USER&pass=$PASSWORD&xoops_redirect=%2Fxoopscube%2f&op=login" といった調子である。
なんとかならんもんかの。

設定を見直して、ログインだけはsslで隠蔽できるようには、なった。
SSLログインを有効にした上で、ログインに使われるスクリプトを指定して、 トップページからは"SSL"という文字をつつき、新しく開いた画面の、 中央の(左端でない)ログイン画面から入ればいいようだ。

でも管理者オペレーションの、だだ洩れは変らない。新規ユーザを作ってみたが、 こっちはsslで送信できるのだろうか(まだ見当たらない)。 今度はパスワード以外にメールアドレスなど 俗にいう個人情報とかも流れる筈なんだけど。

と、考えながら 公式サイトをみたりぐぐったりしているうちに、 「どこでもSSL」なるモジュール に気づく。
後で料理しようか。

☆ 入ってない画像

WordPressにゴニョゴニョしていて、アクセスログを見ると、

$ grep 404 $ACCESS_LOG | awk '{print $7}'
wp-admin/images/box-butt-left.gif HTTP/1.1" 404 472
wp-admin/images/box-head-left.gif HTTP/1.1" 404 472
wp-admin/images/box-head-right.gif HTTP/1.1" 404 472
wp-admin/images/box-bg-left.gif HTTP/1.1" 404 472
wp-admin/images/box-bg-right.gif HTTP/1.1" 404 472
wp-admin/images/box-butt-right.gif HTTP/1.1" 404 472

WordPressMEのアーカイブをほどいてかき回したが、↑な画像など 入ってなかった。
入ってるのは、

$ ls -l wp-admin/images/box*
-rw-r--r--  1 user  group  111 Dec 27  2005 box-bg.gif
-rw-r--r--  1 user  group  347 Dec 27  2005 box-butt.gif
-rw-r--r--  1 user  group  879 Dec 27  2005 box-head.gif

だけである。面倒になって、

$ for file in box*;
  do ln -s $file `basename $file .gif`-right.gif ;
     ln -s $file `basename $file .gif`-left.gif ;
  done

してしまった(後でだけど)。

☆ 新鯖公開

交替した鯖がwww.kuzuore.comとして外から見えるようにルータの設定を変えた。
さてうまく見えるかどうか(一応見えている)。

ちなみにuptimeは、

 06:23:19 up 8 days, 11:23,  1 user,  load average: 0.02, 0.04, 0.00

☆ tcpdumpで

80/tcpみながら、リモートからhttpsを介してw3mでtdiaryに 書き込んでみる。
ずっと何もなし。操作性も若干向上したようだ。sshで webサーバにログインし、内側のw3mとnviでもって日記を編集するのは、 比較的セキュアかもしれないが、やはり重い...

☆ RoR

市立中央図書館にてゴニョゴニョ。

今朝方ノートにMySQLとrubygemsを入れておいた。 その他は出先でAirHから。rubyとMySQLを仲介するものはあまりよくわからなかった。 gemからはエラーで入らない(ライブラリのパスが探せなかったから?)。適当に ruby-mysql-0.2.6を入れる。それから/ruby1.8.3も1.8.4に上げないとダメらしい。 これもダウンロードして上げた。

三時間するかしないかでどこかに目移り。南無。

☆ アイコンが見えてなかった。

トップページの底に貼っていた Plamoと viのバナーが見えない。
apache2.2.3は、/usr/local/apache2/iconsを/iconsに、デフォルトで マッピングするようにはなっていなかった。
conf/extra/httpd-autoindex.confをIncludeするように httpd.confを設定し直し、apachectl restart。

やはり鯖の負荷は、徐々にあがってゆく。

☆ 一時的なメールアカウント

を作ってみた。/etc/aliasesに、

temp_account: usual_account

して、newaliases(1)するだけ。
アドレスが晒されるのは零時頃と思われる。 さて、スパムが舞い込むまでのタイムラグはどのくらいなんだろうか。

☆ SCIMとFirefox

SCIM起動中にsubmitなどするとFirefoxが凍り付く。
初め ScrapBookが原因かと思ったが、消しても直らない。

☆ 一からRoR

また中央図書館でごそごそ。 どこが間違っているのか、ともかく山程エラーが出た。
作成したディレクトリとデータベースを消して、もう一度 出直す。しかし、余計おかしなエラーで更に進まなくなった。
orz

☆ RSS変更

mixiのクローラは、以後 WordPressの RSSを読みに行く筈である。

こちらのアクセスは激減するだろうな。

☆ ServerTokens

Apache2.2.3では、"Full","OS","Minor","Minimal","Major","Prod" のどれかを選ぶらしい。デフォルトは"Full"である。
適当に書き換えながら再起動してみた。

;Full
Server: Apache/2.2.3 (Unix) DAV/2 mod_ssl/2.2.3 \
OpenSSL/0.9.8a PHP/4.4.3 mod_ruby/1.2.6 \
Ruby/1.8.4(2005-12-24)
 
;OS 
Server: Apache/2.2.3 (Unix)
 
;Minor
Server: Apache/2.2
 
;Minimal
Server: Apache/2.2.3
 
;Major
Server: Apache/2
 
;Prod
Server: Apache

結局Prodにしておく。ちょっと寂しい気も。
以前(apache-1.3x)はProductOnlyだった。

☆ tdiary+mod_ruby

新鯖移行まで動作確認は何度かしていたけど、 書き込みは試さなかったかもしれない。
記事追加やsubmit後の再読み込みで、時々こんなの。

undefined method `transaction' for nil:NilClass (NoMethodError)
 
/$UserDir/diary/tdiary.rb:1516:in `load'
/usr/local/lib/ruby/1.8/auto-reload.rb:77:in `require'
/$UserDir/diary/tdiary.rb:846:in `initialize'
/$UserDir/diary/tdiary.rb:1421:in `initialize'
/$UserDir/diary/tdiary.rb:1498:in `initialize'
/$UserDir/diary/index.rb:35
/usr/local/lib/ruby/1.8/apache/ruby-run.rb:53:in `handler

同じ操作を複数回続けると出なくなったり、再現性いまいち。 とりあえずは、だましだましつづけるか。

☆ デッドリンク

LAN内のPCのとあるフォルダを「お気に入り」に入れておいた。
ショートカットを消そうとすると、 エクスプローラが「応答なし」になってしまう。全くどうかしている。

セーフモードで消そうかと思ったが、コマンドプロンプトでdelすれば簡単だった。

☆ nmbdが落ちたら

DNSがnmbdの代りになるか試す。localnetゾーンを定義し、クライアントのWinXPで、DNSに サフィックスを追記する。そしてnmbdを殺す。

それでも名前解決はできた。
しかし、ネットワークコンピュータのアイコンは出てこなかった。

☆ なんとなくsed

$ echo $PATH | sed 's/:/\n/g'
/usr/heimdal/bin
/usr/local/bin
/bin
/usr/bin
/usr/local/mysql/bin
/usr/games
/home/$USER/bin

☆ 京滋バイパスの中でブログかきかき

AirHのLEDが真っ赤になっていた。
結局切れなかったが。

$ ping  hogehoge
(ry
64 octets from 210.138.41.18: icmp_seq=1013 ttl=56 time=72940.6 ms
wrong data byte #0 should be 0xc2 but was 0x7a7a \
bb e5 44 a7 d0 1 08 9 a b c d e f 10 11 12 13 14 \
15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 \
25 26 27 28 29 2a 2b 2c 2d 2e 2f 

☆ KosenBUG BOF

urdtools(ぐぐって一発)の、開発者による解説を聞く。

ついで高専における電算機、ネットワーク環境での教育支援、教育コンテンツ 作成などについてもひとくさり。

それからUN*X系OS(とサーバソフト色々)に広く対応したロシア製アンチウイルス ソフト(DrWeb)紹介。
CEOが日本語に堪能だそうな。

最後にGo-Globalという、Windowsアプリケーションの非windowsサーバ (も可能)-シンクライアント (この場合USB起動のTurbo)のデモ。定型アプリケーションしか使用しないユーザ が複数拠点に分散している大規模システム向けとか。

☆ SPAMが届くまで

アドレスがNetに晒されたのは2006年8月16日午前零時頃。
最初のSPAMは2006年8月18日午前8時10分48秒(JST)らしい。
タイムラグは56時間10分48秒。

公開MLは目的を果たしたが、アドレスを捨てるまでもう少し待つか。

☆ php-4.4.4

4.4.3から、同じオプションであげた。
若干のセキュリティ強化が図られているようだ。

☆ 不正アクセス企図!?

220.213.201.100 - - [20/Aug/2006:17:44:46 0900] \
"GET /~kuzu/diary/?date=200509 HTTP/1.1" 200 155177 \
"http://search.yahoo.co.jp/search?p=掲示板　パスワード抜き取り\
&ei=UTF-8&fr=top_v2&x=wrt&meta=vc=" "Mozilla/4.0 (compatible;\
MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

2005年9月24日の記事は役に立ったのかい?

☆ sambaに必須?

sambaへの接続台数が少し多いのなら、smb.confに"os level = 0" 程度の設定をしておくのが良いかも。
中途半端にsambaにブラウザをやらせると、同一ワークグループに属している ネットワークコンピュータが見えなくなる。

ところで、規定値、じゃない既定値はいくつだったっけ。
20だ。

☆ デジカメ写真

引越しのどさくさに紛れて、USBのCFアダプタをなくしてしまったようだ。
現在、デジカメの写真はCFスロットとCardBusスロットのある ノートPC以外からは取り出せない。

外に出なくてもノートPCは休めないようだ。

☆ 新鯖反応なし

今朝方の9時過ぎには見えていた新鯖がおかしくなった。

ping や nmap には反応するけど、サービスが全く機能しないようだ。
sshdは開いていても、リモートログインできない。
やっぱりPlayStation2のHDDが暑さ負けしたのかなぁ。せっかく扇風機の前に置いたのに。

致し方ない。この通り旧鯖でしのぐ。

☆ 新鯖確認

夕方に、新鯖にnmapやると、sshとMySQLが死んでいた。
apacheは動いていたが、tdiaryは動かなかった。

どうやらHDDがいかれかけた模様。別のディスクにrsyncしてみたが、 あちこちI/O errorだらけ。こりゃデータだけ助けて作りなおした方が がまともかな。

さしあたりtdiaryは助けた(200608.td*を旧鯖にコピーして、200608.parserを消す) が、wordpressは今のところ(ry

☆ primes(6)

素因数分解をするfactorといえば1だったり(GNU)、6だったり(BSD,etc)するが、 素数を探すprimesはゲームだけかも。

$ primes 10000 10040
10007
10009
10037
10039

☆ 再度構築

Plamo-4.2を別のPCからインストールする。
今度はお任せにせず、適当に選び、起動後これまた 適当にremovepkg。
で、/etcの下をこりこり。他所からnmapで叩いても sshしか出なくなるのを確認して、ひと息。

残念ながら、そろそろタイムリミットにしないと、 明日が保たないだろうな。

☆ 新鯖に相継いでmake install。

まず真っ先にGNU screen。escape ^z^zは必須。

☆ sshdへの不正侵入

実証例、じゃなくて観測レポートがあった。
セキュリティホールmemoから辿る。

リンク先のpdf(10ページ)は、半分くらいは実感した事なので、 わりと分りやすく感じた。
攻撃者がランダムに打ちまくるパスワードといえば (日本語を含めた)ユーザ名、数字の連続、慣用表現、誕生日などが浮かぶが、 それらの組み合わせ("admin1")とか キーボードの隣接(qwertyなら"1qa2ws"とか)も既に辞書に入っている模様。
携帯向けサイトなんかも、おそらく似た事情がありそうだ。

☆ がんばれmixi

Internal Server Error
 
The server encountered an internal error or misconfiguration \
and was unable to complete your request.
 
Please contact the server administrator, mixi@mixi.jp and \
inform them of the time the error occurred, and anything \
you might have done that may have caused the error.
 
More information about this error may be available in the \
server error log.
Apache Server at amlia Port 8080

☆ 継ぎはぎ復旧

apache2とphp4はいいけど、問題はmysql。 前の設定が最初からcharset=ujisなんて憶えていない。

☆ FreeBSD-SA-06:08

ppp(4)の脆弱性か。不正なLCPパケットによる カーネルパニックの危険性、でいいのかな。

もちろんFreeBSDのpppは ( 以前はともかく、今のところは) 使ってないが...

☆ wordpress復旧未了

本文の文字化け癒らず。orz

☆ GNU開発ツールの本

予約。

受け付けメール確認。
"From_"(not From:)あるいは"Return-Path"が "anonymous@host.domain.tld"つうのはちょっと...
ドメインもなんか面白い。

☆ FreeBSD-SA-06:18.ppp [REVISED]

あれえ、またか。
2006年 8月26日 (土) 07:39:40 JST現在、まだWebには出てないようだ。
ppp(4)じゃなくてsppp(4)らしい。manみてもピンとこない。
どっちにしろ、現在の自分の環境には関係なさげ。

☆ 伸縮と回転、どっちが先か(1)

まず最初に、ただ縮小しただけの画像一枚。

$ xwd -root  | \
 convert -resize 25% first.png

☆ 伸縮と回転、どっちが先か(2)

次に、回転してから縮小した画像。

$ xwd -root  | \
 convert -roll -200+130 -resize 25% second.png

☆ 伸縮と回転、どっちが先か(3)

それから縮小してから回転した画像。

$ xwd -root  | \
 convert -resize 25% -roll -200+130 third.png

全部一緒に張り付けると、firefoxでのレンダリングが汚いので 分割。

☆ 好い加減な文字化け対応

httpd.confにDefaultLanguage ja。

☆ postfix-2.2.3 with tls + dovecot sasl

これまでSASL認証にcyrus-sasl2をずっと(まだ2年経ってないが) 使ってきていた。
が、 SASLのドキュメントを見て、先行きに一抹の不安を感じたので、 復旧中の鯖に、 dovecotをmake install してから Postfix-2.2.3を入れてみる。

$ make makefiles \
  CCARGS='"-DUSE_TLS" \
           -DUSE_SASL_AUTH \
           -DDEF_SASL_SERVER_TYPE=\"dovecot\"' \
  AUXLIBS="-lssl -lcrypto"
 
$ make

で、最後まで進んだようだ。postconf -a で"dovecot"が返る。
/etc/aliases がない。/etc/postfixの下だ。 newaliasに/etc/postfix/main.cfひとしきりいじって、一応動く。
tlsやsaslは...またの機会に。

☆ kenel2.6.17.11

ミラーサーバに行きわたるのを待てずにget。 2.6.15.7_PlamoUpからmake oldconfig。
使わなそうなもの(Video for linuxとか)を適当に消す。

☆ なんとか復旧?

wordpressとtdiaryなんとか。
しかし前よりもなんか重くなった気が。

☆ FirefoxのDoS脆弱性

セキュリティホールmemoより。
リンク先のスクリプトは少し違っていて動作しなかった。その さらなる リンク先のスクリプトを実行すると、"ftp://D:oS@localhost:2121/" と表示された。
Sargeからnmapかけると、"2121/tcp open ccproxy-ftp"と出た。

で、そちらにリモートのFirefox1.5.0.6でアクセスすると、警告ダイアログが。
WinXPでは「応答なし」にはならなかったが、Firefoxから砂時計が消えず、 ほとんど操作できなくなり、結局タスクマネージャから殺す以外なくなった。
UbuntuではダイアログにOKした途端、Firefoxがすとんと落ちた。

Firefox-1.5.0.6は最新安定版のはずで、 変なリンクを踏まないようにする しか対策はなさそうだ。

も少しだけつついてみる。向こうから送信された文字列は

220 Z<CR><LF>
331 Z<CR><LF>
500 DoS<CR><LF>
500 Z<CR><LF>

Plamoに入れたFirefox-1.5.0.6はMozilla Quality Feedback Agentなるものが起動した。
報告する気になれないので、Cancel押そうとしても押せない。killするしかなかった。
と思ったら、Firefoxが起動すると同時にAgentも復活してくる。しつこい。psやら何やら見ていると、 talkbackとかいうextensionの仕業らしい。talkbackを消すと、Agentはあがってこなくなった。

☆ WinXPのオフラインアクティベーション

ウィザードに表示された数字54桁をフリーダイアル で送信し、42桁の番号を受信して入力。

送信は6字ずつの記号入力と、"継続"、"繰り返し"といったモード変換の1字(なんかviみたい)を繰り返す。
受信も然り。
言うまでもなく非常に面倒くさい。
一発で通ったのがまだしもだ。この番号が毎回変化するのかどうか 確認する気力も沸かなかった。

電話番号が 16進でない のは喜ぶべきか否か。

☆ backslashをgrepするには

""で括るとbackslashを 三つ以上、六つ以下重ねるとマッチする(GNU grep 2.5.1)。

$ cat test.txt
hoge\fuga
hogefuga
 
$ grep "e\f" test.txt
hogefuga
 
$ grep "e\\f" test.txt
hogefuga
 
$ grep "e\\\f"
hoge\fuga
 
$ grep "e\\\\\\f" test.txt
hoge\fuga
$ grep "e\\\\\\\f" test.txt
 

''で括る場合、backslash三つか二つでマッチする。

$ grep 'e\f' test.txt
hogefuga
 
$ grep 'e\\f' test.txt
hoge\fuga
 
$ grep 'e\\\f' test.txt
hoge\fuga
 
$ grep 'e\\\\f' test.txt
 

そうか、そうなんだ。
backslashを複数重ねれば、さらに面白そうだけど、、、今はここまで。

☆ Firefox脆弱性適当につつく

昨日みた スクリプトをもう少しつついてみる。

portを6000(X11)にしてみる。
一応、危険防止はできているようだ。portを25(SMTP!) とか23(telnet)とか9(discard) にしても同様。
でも80(http)とか8080(web cache)とか443(https)は 案の定というべきか、見事に嵌ってくれた。

IE6はこの罠にはひっかからないようだ。

☆ さい坊主

脆弱性対応のついでに。

少なくともデフォルトでは認証は平文のようだ。wiresharkで拾ったパケットをもとに 別の端末からアクセスしてみる。

$ w3m "http://$SERVER/$PATH/ag.cgi?_System=login\
&_Login=1&GuideNavi=1&_ID=XX&Password=XXXXXXXX\
&Submit=%38%8D%83O%83C%83%93"
 

あっさりログインできてしまった。ネット越しにやるならsslなどが必要と思われる。
"%38%8D%83O%83C%83%93" は、shift-jisで"ログイン"となった。

☆ exim4

Sargeに標準で入っているので、ちょっと好奇心で/etc/exim4/を覗く。
30秒で意気消沈。Debianでの初対面はまずかったか。

☆ 注目されるほどにインデックスは狂う

"gnome-livecd-2.12-i386-ja-6.iso" でぐぐってこっちにきた香具師がいた。気の毒なことに、 くだんのキーワードが"本日のリンク元"に 記述されているだけの、全く関係ないページに 飛び込んでいた。

ふと気にかかったので、同じキーワードを namazuに喰わせてみる。
三件ヒットしたが、上位二件が"本日のリンク元" だった。
記事本文に語句の出てくるページが一番下になってしまっている。
まして 実際に動かしてみたページは頭から無視だ。キーワードを 使ってなかったから、当然だけど。

うーむ。どうにかしないと...

☆ カレンダー.cgi

以前こしらえた、当月のカレンダーをhtml形式に標準出力する スクリプトをCGIに書き換えた。
自分で書いた筈なのに、一体どこがどういう意味なのか、 コメントを読んでもほとんど分からなくなっていた。

なかなか正常に動かず、error_logと睨めっこ。 Content-type: text/html\n\nを忘れていた。 orz.

print文とタグ大杉。
これ以上凝ったものにするなら 根本から作り直さないと無理だ。というか馬鹿馬鹿しい。

とはいうものの、一応動くものができて、意欲は既に九割がた枯渇...

☆ logrotate

Plamo-4.2の/etc/logrotate.confは同3.3と少し違っていた。/etc/logrotate.dの 下にいくつかファイルができていて、それで設定する、みたいだ。
apacheのログを毎日切り分けるよう、適当に編集してみたが、うまくゆくかどうか。

☆ Namazuのindex

更新が止っていた。新鯖のcronに登録してなかったから。
tdiaryを稼動させているUserDirのユーザは、アカウントはほとんど使ってないので、そのcrontabも見過ごしていた。
既存ユーザにさせるよう、追記。

cronの設定をcrontabに読ませてなかった。またまたorz。

☆ 祭坊主

ユーザに複数のメールアカウントを与えたり、複数のプロバイダの複数のメールボックスを 見せるたりする方法がわからない。 可能かどうかさえ、マニュアルをナナメに見ただけではわからない。
SMTPとPOPを一緒くたにした設定がいくつか定義できる (ユーザはひとつしか選択できない)だけみたい。
送信は一ヶ所からでも我慢してもらうとして、 メールボックスだけでもなんとかしよう。
SargeにPostfix(eximにさよなら)とqpopperと fetchmail(SSL対応版) を入れて popauthに~/.fetchmailrc ちょこちょこ。
昨日少し考えて、今日のんびり実行。 ほぼ目算通りにはなりそうだ。