FreeBSD 日誌

FreeBSD Security Advisory

2008-09-04T08:21:03Z

9/3/08付でFreeBSD Security Advisoryが3つも出た。

FreeBSD-SA-08:07.amd64
FreeBSD-SA-08:08.nmount
FreeBSD-SA-08:09.icmp6

このサーバはamd64でIPv6接続もあるので、全部対処する必要がある。そのためmake worldする事にした。uptimeを見てみると、約70日連続稼働していたようだ。

BenQ G2400WD(WUXGA)でXorgが動いた

2008-08-24T15:07:48Z

BenQのG2400WDがWUXGA(1920x1200dot)なのに４万円弱と安かったので購入した。正直職場のEIZO S2410Wと比べて値段の差程の画質の差は無い。買ってから１ヶ月程たつが快調に使えている。

ただし問題なのが、XorgではModelineが無いため表示する事ができない。色々探してみた所、このページに詳しい説明が載っていたので、設定の何が問題であるかはわかった。所が肝心のModelineの取得／計算方法が出ていないので、頓挫していた。

ところで購入する前に2ちゃんねるのハードウェア板を参考にしていたのだが、BenQ G2400W G2400WD V2400Wスレのまとめサイトを購入後読んでいた所、Monitor Asset ManagerというWindows用ユーティリティでModelineがわかるらしいと判明した。

]]> 早速テスト用PCにインストールして調べてみた所、以下のようになった。

肝心な部分は以下の通り：

Modeline    "1920x1200" 154.000 1920 1968 2000 2080 1200 1203 1209 1235 +hsync -vsync

この値を信用する事にして、Xorgを設定してみた所無事WUXGAにて表示された。Xのデフォルト背景の白黒メッシュもノイズが全く無く表示できている。

具体的な手順は以下の通り。なお、Modelineの値を間違えると最悪ビデオカードやモニタを壊す事がある。ここにあげている値もたまたまFTNSの所でうまく動いただけで、あなたの所でうまく動く保証は無い。試すのは自己責任である事を念のため確認させて頂く。

1. xorg.confのテンプレートを作る

以下のコマンドを実行する事で、/root/xorg.conf.newというファイルができる。これはXorgコマンドが自動検知したハードウェア情報を含んでいるが、当然の事ながらモニタ関連は十分な情報がない。

# /usr/local/bin/Xorg -configure

2. xorg.conf.newを編集する

xorg.conf.newを適宜編集する。今回は以下の箇所を直すだけで動作した。

Section "Monitor"
    #DisplaySize      520   320     # mm
    Identifier   "Monitor0"
    VendorName   "BNQ"
    ModelName    "BenQ G2400W"
 ### Comment all HorizSync and VertRefresh values to use DDC:
    HorizSync    31.0 - 94.0
    VertRefresh  50.0 - 85.0
    Option      "DPMS"
    Modeline "1920x1200" 154.000 1920 1968 2000 2080 1200 1203 1209 1235 +hsync -vsync
EndSection

Section "Screen"
    Identifier "Screen0"
    Device     "Card0"
    Monitor    "Monitor0"
    SubSection "Display"
        Depth     24
        Modes   "1920x1200"
    EndSubSection
EndSection

3. /etc/X11/xorg.confにコピーし、試験する。

編集し終えたxorg.conf.newをroot権限で/etc/X11/xorg.confにコピーし、xinitを実行する。正常に画面が表示されれば終了だが、うまく行かない場合はエラーメッセージを良く読み、再度xorg.confを編集し直してxinitを試す。

MySQLのインストール

2008-07-12T08:17:12Z

このサーバで提供している掲示板を新しくするために、MySQLを使うことにした。
インストール作業は以下の通り。

/usr/ports/databases/mysql51-client/tt>にて、make WITH_CHARSET=eucjpms WITH_XCHARSET=all installを実行。

/usr/ports/databases/mysql51-serverにて、make WITH_CHARSET=eucjpms WITH_XCHARSET=all installを実行。 PHPからMySQLを使うので、/usr/ports/databases/php5-mysqlにて、make installを実行。 /usr/local/share/mysqlに設定ファイルのサンプルがある。このサーバはメモリを4G積んでおり、半分程度はmysqlが占有してかまわないので、my-huge.cnfを使った。 cp my-large.cnf /etc/my.cnfとコピーして、以下のように編集した。 thread_concurrency = 2：CPUの数x2 skip-networking：他の計算機からMySQLサーバを操作しないため。 InnoDBを使う予定なので、# Uncomment the following if you are using InnoDB tables 以下を次のように変更した。 # Uncomment the following if you are using InnoDB tables innodb_data_home_dir = /var/db/mysql/ innodb_data_file_path = ibdata1:2000M;ibdata2:10M:autoextend innodb_log_group_home_dir = /var/db/mysql/ #innodb_log_arch_dir = /var/db/mysql/ # You can set .._buffer_pool_size up to 50 - 80 % # of RAM but beware of setting memory usage too high #innodb_buffer_pool_size = 384M innodb_buffer_pool_size = 1024M innodb_additional_mem_pool_size = 20M # Set .._log_file_size to 25 % of buffer pool size innodb_log_file_size = 256M innodb_log_buffer_size = 8M innodb_flush_log_at_trx_commit = 1 innodb_lock_wait_timeout = 50

なお、文字コードはEUCである。本来ならeucjpといったオプションがあるべきだが、MySQLにはeucjpms (EUC-JPのMS拡張？) しかない。SHIFT-JISならばsjis, UTF-8ならばutf8をmakeのeucjpmsの代わりに設定すれば良い。 ]]> % sudo /usr/local/etc/rc.d/mysql-server start でmysqlを実行する。 % sudo mysqlでroot ログイン mysql> set password = password('パスワード'); でrootのパスワードを設定。 mysql> create database www; www用のデータベースを作成。 mysql> grant all on www.* to www@localhost; ユーザwwwを作成し、www databaseの全権限を与える。 mysql> set password for www@localhost = password('パスワード'); wwwユーザのパスワードを設定する。これで、最低限度の設定が終了した。参考にしている本は以下の通り。この本は古いので今更購入すべきではないと思われるが、最初に読むには適した本である。図書館等にあれば参考にして欲しい。この本はコマンドリファレンスではあるが、最初から読み進む事が可能なように工夫されている。ある程度MySQLがわかるようになった人向けである。

やっと復帰しました。 2008-06-17T13:36:09Z こちらでお知らせした通り、本ドメインは約１ヶ月間落ちていた。編集ミスでhomev6.jpドメインのデータがnamedが読めなくなり、その状態が１週間以上続いたためTTLを過ぎてしまったため、slave serverでもデータが消えてしまった。気がついた時点でファイルを修復し手元の(master) namedおよびslaveのデータは復帰したのだが、問題はISP等のnamed上のキャッシュである。大規模なお客を抱えているnamedでは、処理が破綻しないようにキャッシュの有効期限を延ばしている。問題なのは「落ちた」という情報もキャッシュされるので、立ち上げ直してもISPのnamed上では落ちたままとなる。この期間が大抵１ヶ月なので、１ヶ月後に大半のnamed上でhomev6.jpドメインがやっと復帰した。しかしこんなミスをするとはまだまだroot修行が足りないようである。 6-STABLEから7-STABLEへ 2008-05-18T11:11:40Z amd64 7.0-RELEASEはプロダクションリリースではあるが、運用を重視するならamd64 6-STABLEのまま運用すべきである。ところがそう言っていられない事情が起きてしまった。事の発端は先週職場のHP ML115でamd 6-STABLEをcvsupを使ってアップデートした所、それ以降必ずcvsupがSegmentation Faultを起こすようになってしまった。前回の調査で一度クラッシュさせてしまっていたので、その影響かもしれないという結論に達したのが金曜日。念のため自宅の試験用FreeBSDを最新のamd 6-STABLEにアップデートしてみたところ、問題が再現されてしまった。　その後友人に教えてもらったcsupは最新の6-STABLEでも正常に動作することがわかった。しかし7-STABLEではcvsup も正常動作するので、なんだかよくわからない不具合である。困ったのが運用中のamd64 6-STABLEの鯖である。うっかり/usr/src/以下をcvsupにて最新にしてしまっており、これをインストールすると同じ問題に直面することになる。問題が解決されるのを待ってそれまで放置する手もあまり望ましい手ではない。実はこの時CPUをAthlon64X2と勘違いしていたため、SMPカーネルにしようとしていたのである。前回の調査に出ているAMD64付のHP ML115は自宅用に購入したものである。NTT-X Store にて約1.5万円にて売られていたので、消費電力を減らすために導入した。(という理屈で衝動買いしたのだろうというご指摘は正しい:-) 6-STABLEのままにしようとすると、ソースはすでに問題のある最新版にしてしまっていたのでFreeBSD全体をバージョンアップする必要があるが、これは避けたい。だからといって6.3-RELEASEのCD-ROMからソースをコピーして、6.3-RELEASEに戻すのも面倒である。そこで、「プロダクションリリース」との言葉を信じて、7-STABLEへの以降を決断した。 ]]> ただしいきなりバージョンアップするのは無謀であるので、手元にあったamd64 6.2-releaseがインストールされていたHDDを用いて7-STABLEへバージョンアップしてみた。作業は以下の通りである。 cvsupにて/usr/src以下を7-STABLEへアップデート cvsupの設定ファイルで*default release=cvs tag=RELENG_6"となっているところを *default release=cvs tag=RELENG_7"に書き換えて、cvsupする。 make world 具体的には以下の通り。 % su # cd /usr/src # make -j4 buildworld buildkernel KERNCONF=(kernel config file) # make installworld installkernel KERNCONF=(kernel config file) # mergemaster # reboot (kernel config file)は/usr/src/sys/amd64/conf/以下にあるカーネルの設定ファイルである。GENERICでよい場合はKERNCONF=は必要ない。 mergemasterはinstallwoldが終わった後でないと動作しない。これで無事にバージョンアップできることがわかったので、運用鯖でも同じように作業した。その結果、現サーバのspec.は以下の通りになった。機種名 HP ML115 CPU AMD64 3500+ RAM DDR2-667 SDRAM unbuffered ECC/1Gbyte x 4 HDD Seagate ST3320620AS(Barracuda 7200.10 SATA) 320Gbyte x 2 RAID I/F 無し(software RAID1) Ethernet BroadCom BCM5750 Gigabit Ethernet (onboard) サーバ本体 OS FreeBSD amd64 7-STABLE 現状問題はみつかっていない。 DNS bind-9.x secondaryは友人にお願いしている。 mail postfix fmlで内輪MLをいくつか運用中。 web apache-2.0.xx name-based virtualhostで、いくつかのサイトを収容している。そろそろ2.2.xに移転したいが、今回も見合わせた。 ftp 　なし　認証でパスワードが暗号化されない物はすべて停止している。 telnet rsh, rlogin remote login openssh Brute Force Attack、キーロガー、shoulder sniffing(肩越しに覗き込む) などの対策のため、UID/PWDでのログインを禁止している vnc RealVNC Free Edition 自宅では直接、出先ではsshによるport forwardingで使っている。ファイル共有 samba Windows用 netatalk MacOS用。「ネタ」Talkではなく、net-atalk(AppleTalk)である。ソフトウェア、サービスなど CPUを休ませよう 2008-05-16T13:29:10Z 最近のCPUには、 Intel SpeedStepや AMD Cool'n'Quiet と言った省電力機能がある。当然これらを使いたいと思っていたが、「多分FreeBSDではサポートされていないだろう」という誤った先入観があったため、調べていなかった。最近鯖の消費電力が気になり始めたので、ひょっとしたら...と思って調べてみた所、このページに詳しい解説があった。詳しい内容はリンク先を読んでもらうとして、必要な作業だけ引用する： /boot/loader.confに、以下の1行を追加します。 cpufreq_load="YES" /etc/rc.confに、以下の1行を追加します。 powerd_enable="YES" そして再起動するか、もしくは、以下のようにコマンドを実行して、即座に試してみることも可能のようです。 # kldload cpufreq # powerd http://nhh.mo-blog.jp/ttt/2006/06/freebsd_cpu_9abd.html より引用なお7.0R以降ではGENERICカーネルでcpufreqがリンクされているので、loader.confへの追加は不要。 ]]> メーカ機種名 CPU uname 結果 Dell PowerEdge 400SC Celeron 2.2G i386 6.2-STABLE 3/10/08(?) ○ Dell PowerEdge SC430 CeleronD 331 amd64 6.3-STABLE 4/17/08 ○ HP ML115 Opteron 1210 (DualCore) amd64 6.3-STABLE 1/25/08 クラッシュ amd64 6.3-STABLE 5/14/08 ○ HP ML115 Athlon64 (3500+) amd64 6.3-RELEASE クラッシュ amd64 6.3-RELEASE 5/16/08 ○ HP nx6125 (notePC) Turion64 MT-40(?) amd64 6.3-STABLE 5/15/08 クロック変化しない amd64 7.0-RELEASE ○ GIGABYTE GA-M61P-S3 Athlon64X2 (3800+) amd64 6.2-RELEASE ○ 実行中の動作クロックは、sysctl -a dev.cpu.0.freqで参照できる。また、sysctl -a dev.cpu.0.freq_levels は動作クロックのリストと思われるが、以下の通り各CPUの性格を現しているようで興味深い。しかし以下の表をじっくり眺めていると、ML115をAthlonX2 3800+に差し替えたくなる。　(^^;; CPU TDP sysctl -a dev.cpu.0.freq_levels Turion64 MT-40(?) 25W 2178/35000 1980/29000 1782/24000 1584/20000 1386/17500 1188/15000 990/12500 792/9000 693/7875 594/6750 495/5625 396/4500 297/3375 198/2250 99/1125 Athlon64X2 (3800+) 65W 2010/65000 1809/53726 1005/27309 Athlon64 (3500+) 35W 2189/100000 1990/84531 1791/70547 995/28061 Opteron 1210 65W 1791/100000 995/39776 Celeron 2.2G 57.1W 1985/-1 1736/-1 1488/-1 1240/-1 992/-1 744/-1 496/-1 248/-1 CeleronD 331 84W 2647/-1 2316/-1 1985/-1 1654/-1 1323/-1 992/-1 661/-1 330/-1 参照元 Wikipedia(http://en.wikipedia.org/) List of AMD Athlon 64 microprocessors Turion 64 List of AMD Opteron microprocessors List of Intel Celeron microprocessors やってしまった...orz 2008-05-12T22:16:12Z 最低なオペレーションミスをやってしまった...orz 4月末にnamedの設定を変更した際に、ケアレスミスをやってしまった。そこで気がつけば何ともなかったのだが、事後確認を怠った為にnamedが 10日間以上も止まってしまった。友人にお願いしているセカンダリも当然expireしており、１週間近くhomev6.jp domainが存在していなかった事になる。このためメールが届かない、web serverのお客も激減するなど、皆様に大変なご迷惑をおかけしてしまった。復旧した現在でも大手ISPなどのDNSサーバではhomev6.jpドメインがひけないようである。これはnamedの負荷を下げる為に、DNS情報の更新の間隔を延ばしているためである。最悪今月いっぱいはトラブルが収まらないと予測している。【教訓】なにかやったら事後確認を必ずすること。 5/16/08追記：なぜかnospambbs.netドメインが生き残っていたので、掲示板をそちらに移す事にした。あとは主催者のH氏が私のメールに気づいてくれれば、メルマガで移動を周知出来るのだが.... 外からメールの読み書きと特権ポート 2008-02-25T14:55:51Z 前回でimap-uwの立ち上げは終わったが、外部からのメールの読み書きはまだ出来ていなかった。「port993を外へ公開すれば簡単」とはいかない。本サイトのポリシー、「http以外ではユーザ名とパスワードでの認証は外部からのログインには使わない」に抵触してしまうからである。「SSLで守られているから大丈夫だろう」という認識は甘い。なぜならSSLで守られていてもブルートフォース攻撃が可能であるから、破られる可能性は否定できない。よってsshでポートフォワーディングを行う事にした。sshはパスワード認証ではログインできず、公開鍵認証のみでログインできるようにしてある。 ]]> UNIXでは1024以下のポート番号を「特権ポート」と呼び、この範囲のポートを使う為にはroot権限が必要である。なので、普通にポートフォワーディングしようとしても、 % ssh admin.homev6.jp -L25:localhost:25 -L 143:localhost:143 -L 993:localhost:993 Privileged ports can only be forwarded by root. と拒否されてしまう。ならばroot権限を使えば良いように思われるが、今度は % sudo ssh admin.homev6.jp -L25:localhost:25 -L 143:localhost:143 -L 993:localhost:993 Permission denied (publickey). と拒否される。これはsudoによりルート権限を得たのでport 25,143,993を開く事はできるが、相手のサーバ(admin.homev6.jp)にもルートでログインしようとしてしまっているためである。では-lオプションを使ってユーザ名を指定すれば良いだろうとやってみたら、 % sudo ssh -l ftns admin.homev6.jp -L25:localhost:25 -L 143:localhost:143 -L 993:localhost:993 Permission denied (publickey). と変わらない。何が悪いのか30秒程悩んだが、これは手元の端末ではルートのままなので、秘密鍵がない為であろうと思いついた。よって以下のように秘密鍵のファイルを指定してみた所、無事にメールの読み書きができた。 % sudo ssh -i ~ftns/.ssh/id_rsa -l ftns admin.homev6.jp -L25:localhost:25 -L 143:localhost:143 -L 993:localhost:993 Enter passphrase for key '/Users/ftns/.ssh/id_rsa': Last login: Mon Feb 25 23:28:20 2008 from ************ Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD 6.3-STABLE (sc430) #0: Fri Feb 15 16:16:35 JST 2008 Welcome to FreeBSD! imap-UWへ移行 2008-02-18T14:15:25Z FTNSは複数の場所にてメールを読み書きするので、同じメール環境を共有できるimapを以前から使いたかった。しかし何年分ものMH形式のメールがあるため、これを移行する必要がある。またspam収集の為、MH形式でないとメール１通毎にgrepやbsfilterなどの操作がやりにくい。この観点からcourier-imap(/usr/ports/mail/courier-imap)とimap-UW(/usr/ports/mail/imap-uw)を比較してみた。 courier-imap 利点メールフォルダはディレクトリで実装されているため、imapクライアントからメールフォルダの中にサブフォルダを作る事ができる。 MH形式を直接扱う事はできないが、変換ツールがある。欠点 MH folderを扱えない。 Maildir形式の為、メール１通毎の操作がやや面倒 imap-uw 利点 MH folderを扱える。 procmailからimapサーバへフォルダを特定してメールを渡す機能(dmail)があるため、procmailと共存する。欠点メールフォルダはファイルで実装されている。そのため、imapクライアントで作ったフォルダもファイルとなってしまう為、サブフォルダを作る事ができない。フォルダを内包するフォルダはコマンドラインからmkdir で作る必要がある。上記より、ftnsはimap-uwを使う事にした。ただしMH形式やprocmailに拘らないのなら、courier-imapの方がお勧めである。特にユーザが自分以外にいる場合、imapクライアントからフォルダを内包するフォルダを作れないというのは問題である。]]> インストール % cd /usr/ports/mail/imap-uw % sudo make install inetdからimapdが実行されるようにする。具体的には/etc/inetd.confを以下のように書き換える。 # # example entry for the optional imap4 server # imap4 stream tcp nowait root /usr/local/libexec/imapd imapd imaps stream tcp nowait root /usr/local/libexec/imapd imapd # 認証のために、pam関連の設定を行う。 /etc/pam.confに以下の行を追加する。 imap auth required pam_unix.so imap account required pam_unix.so imap session required pam_unix.so ìmap-uwのデフォルトではSSL経由のアクセスしか受け付けない。そのため証明書を用意する必要がある。 /usr/ports/mail/imap-uw % sudo make cert Password: Generating a 1024 bit RSA private key ..............................++++++ ..........................................++++++ writing new private key to '/usr/local/certs/imapd.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [NO]:JP State or Province Name (full name) [Some-State]:Tokyo Locality Name (eg, city) []:. Organization Name (eg, company) [FooBar Inc.]:private Organizational Unit Name (eg, section) []: Common Name (FQDN of your server) []:localhost Common Name (default) []:localhost subject= /C=JP/ST=Tokyo/L=/O=private/CN=localhost/CN=localhost notBefore=Feb 18 13:34:42 2008 GMT notAfter=Feb 19 13:34:42 2009 GMT MD5 Fingerprint=**:**:**:**:** /usr/ports/mail/imap-uw @opserv% ls /usr/local/certs imapd.pem* ipop3d.pem これで出来る証明書はいわゆる「オレオレ証明書」（CAから認証されていない証明書）だが、これがないとimap-uwが動かないので、とりあえずこれを使う事にする。 httpsサーバ用のホスト証明書は買ってあるので、多分証明書の形式を変換すれば利用可能であろう。しかし認証された証明書を使う際のメリットは、外部から直接imapsポートに接続する時のみである。これはimapsポートを外部に対して公開する事になるのでプルートフォース攻撃などを招き、運が悪いとクラックされてしまう事がある。そのためimapsを外へ公開する事はしないので、認証された証明書を使う必要もあまりない。ユーザ設定何も設定しないと、imapdはユーザのホームディレクトリにフォルダを展開してしまう。そこで~/.imaprcというファイルを作成し、内容を以下の通りとする。 set mail-subdirectory Imap このように設定すると、imapdは~/Imap以下にフォルダを展開するようになる。ftnsはMHフォルダ( ~/Mail )と混乱しないようにこのようにしたが、他のディレクトリ名にしても構わない。次にフォルダを用意する。以下はその一例である。 ~ % mkdir Imap ~ % cd Imap ~/Imap % touch foge-ml ~/Imap % touch friends ~/Imap % mkdir admin ~/Imap/admin % cd admin ~/Imap/admin % touch root ~/Imap/admin % touch postmaster ~/Imap/admin % touch www これで出来たフォルダは以下のようになる。 +foge-ml +friends +admin --- +postmaster +root +www 最後はprocmailの設定である。以下のように.procmailrcを書き換えれば良い。 # 書換前 :0 * (^To|^Cc|^From).*root@example\.com $Mail/admin/root/. 　　　　↓ # 書換後 :0 * (^To|^Cc|^From).*root@example\.com | dmail +admin/root 【注意】この後imap client(Thunderbirdなど)でMHフォルダからimapのフォルダへメールを移動させる訳だが、大量のファイル(1000通程度？)を移動させようとすると、メールが複製されてしまい同じメールが何通もできてしまう事がある。よって移行する場合には一度に100通程度ぐらいにしておく事をお勧めする。原因がimap-uwにあるのか、Thunderbirdにあるのかは不明である。 SATA2 I/Fを付けてみた 2008-02-09T04:16:41Z 前にも書いたとおり、Dell PowerEdge SC430ではatacontrol detachができないため、HDDのhotswapができない。そこでSATA I/Fを増設することを思いついた。増設したI/Fならばdetachできるかもしれない。購入したI/Fは玄人志向のSATA2I2-PCIeである。チップセットはSilicon Image社のSiI3132で、ataドライバでサポートされている。とりあえずインストールしてブートしてみたところ、予想に反して何も起こらずに起動してしまった。内蔵SATA I/Fに割り当てられていた/dev/ad4, /dev/ad6が追加したI/Fに割り当てられ、ソフトウェアRAID(gm0)も正常作動した。そして残念ながらatacontrol detachは動作しなかった。これではまったくの無駄であるが、I/FがSATA(1.5Gbps)からSATA2(3Gbps)になっただけはマシである。もっとも本体側I/FのPCI-express x1 は2.0Gbpsのため、フルスピードはでないが。ノイズキャンセルヘッドフォン 2008-01-28T03:34:49Z FTNSの本業の自席にはPCサーバ数台がある。全部が稼働すると正直かなりうるさい。また集中したい時に隣の会話などが聞こえてしまい集中力が阻害されている。そこでノイズキャンセリングヘッドフォンを導入しようと考えて、某社のモニターに応募したが当然の事ながら選ばれなかった。仕方なく自腹でPanasonic RP-HC500-Sを購入してみた。定価（?）1.7万円は伊達ではなく、あまり期待していなかった音質もiPodで音楽を聴いている分には何ら不満がない。遮音性は別の部屋に入ったぐらいの効果があり、音楽を小さめに流しておけば周囲の雑音はまったく気にならない。久しぶりに良い買い物ができたと満足している。 "fixed" フォントが見つからない 2008-01-25T15:59:18Z FTNSが仕事で使っているPCの一つは、HP ML115にFreeBSD amd64を載せたものである。このPCでX11をstartxで起動しようとすると、fixed fontが無いというエラーを出してXサーバが落ちてしまう。この時の仕事ではX11は必須ではなかったので、新しいPCとamd64での不具合だろうと思って放置しておいた。それから半年程経って時間の余裕ができたので、なにが悪いのか調べてみる事にした。まず第一にFreeBSD-6STABLE (amd64)をmake worldする事で最新版にした。次に以下のような方法でxorg*をアンインストールした。 % cd /var/db/pkg % sudo pkg_delete -f xorg* そして/usr/ports/x11/xorgを再インストールしてみた。ところが症状は変わらない。fixed fontを確認してみたところ、ちゃんと/usr/local/lib/X11/fonts/miscに存在した。 % cd /usr/local/lib/X11/fonts/misc % grep ^fixed fonts.alias fixed -misc-fixed-medium-r-semicondensed--13-120-75-75-c-60-iso8859-1 /etc/X11/xorg.confのFontPathを見ても正常で、何が悪いのかさっぱりわからない。仕方なくGoogleで色々調べてみたところ、このページにたどり着いた。そのページの内容によれば、font-misc-miscと font-cursor-miscを再インストールすれば良いらしい。早速以下の通りにやってみたところ、無事X11が動作するようになった。 portupgrade -f font-misc-misc font-cursor-misc Security Updateをあてるため、make worldする。 2008-01-15T14:49:50Z FreeBSD announce-jp MLに入っている人はすでにご存知だとは思うが、FreeBSD Security Advisoryが2つ発行された。一つ(FreeBSD-SA-08:01.pty)はroot権限でないptyの内容を盗聴できるという物で、侵入された場合scriptを不用意に使っていると中身を読まれてしまうという脅威である。もう一つ（FreeBSD-SA-08:02.libc）はinet_network()がbuffer overflowを起こすというもので、これを使っているネットワークアプリケーションに不正な値を入力するとメモリの特定箇所を書き換える事ができるという脅威である。自宅鯖に取って脅威度が高いのは後者であるが、前者も決して軽視できないので必ずパッチを当てる事をお勧めする。 FTNSは6-STABLEをアップデートする事にした。6.3-RELEASE6.3-PRERELEASEが出ているようなので、もう安定しているだろうという判断からである。 ]]> 準備ソースを最新の状態にするために、cvsup-without-guiをpackageからインストールするか、/usr/ports/net/cvsup-without-guiでportsからインストールする。GUI付き(cvsup)でも構わないが、意味が良くわからないGUIなので少しでも軽くした方が良い。またcvsup-without-guiに限ってはportsよりpackageをお勧めする。portsでコンパイルするとModula-3などの規模が大きい割に普段使われないアプリケーションをインストールされるので、時間とディスクスペースの無駄である。インストールが終わると、/usr/share/examples/cvsupの下にcvsupの設定ファイルの例がいくつかある。ここでは6-STABLEをアップデートする為、stable-supfileを/usr/srcにコピーする。このコピーした/usr/src/stable-supfileを以下のように編集する。編集前： # Defaults that apply to all the collections # # IMPORTANT: Change the next line to use one of the CVSup mirror sites # listed at http://www.freebsd.org/doc/handbook/mirrors.html. *default host=CHANGE_THIS.FreeBSD.org 編集後： # Defaults that apply to all the collections # # IMPORTANT: Change the next line to use one of the CVSup mirror sites # listed at http://www.freebsd.org/doc/handbook/mirrors.html. *default host=cvsup6.jp.FreeBSD.org 1/15/08現在、cvsup2.jp.FreeBSD.org〜cvsup6.jp.FreeBSD.orgが存在する。 portsをアップデートするなら同じ所のports-supfileを/usr/portsにコピーして同様に編集して用いる。後は次のコマンドでアップデートができる。 # cd /usr/src # cvsup stable-supfile 再構築(make world) 後は FreeBSD ハンドブックの「Worldの構築」にある通り行えば良い。具体的には以下の通り。 % cd /usr/src % sudo make -j4 buildworld buildkernel KERNCONF=sc430 ここの"KERNCONF=sc430"は、カーネルの設定を行っている場合である。行っていない場合は削除する。また"-j 4"は並列にmakeする際の並列数である。CPUが１つの場合は4が最適であるらしい。DualCore等CPUが複数ある場合は適宜増やせば時間が短縮できる。 # shutdown now システムをシングルユーザモードに落とす。なお、これ以降はリモートではできない。鯖のコンソールから行う必要がある。 # mergemaster 設定ファイルをアップデートする。 # make installworld installkernel KERNCONF=sc430 新しいシステムをインストールする。なおbuildkernelで指定したオプションはここでも指定する必要がある。 # reboot 終了したので、リブートして新しいシステムで立ち上げる。念のため、uname -aで確認する。 % uname -a FreeBSD admin.homev6.jp 6.3-PRERELEASE FreeBSD 6.3-PRERELEASE #1: Tue Jan 15 20:54:29 JST 2008 root@admin.homev6.jp:/usr/obj/usr/src/sys/sc430 amd64 読めないspam 2007-12-20T12:07:17Z 最近読めないspamが大量に送られてくる。 base64 encodingで送られてきているのだが、decodeエラーになってしまう。一部は空白を除去する事で読めるのだが、残りはどうやっても読めない。一部の文字は読めるのでunicodeという事はなさそうだが、いったい何のつもりやら。それともOutlook/Outlook Expressだと読めたりするのだろうか。以前からspamを収集してきたが、今回ばかりは参ってしまった。以前はベイジアンフィルタとNGワードで不要なスパムを十分除去できていたのだが、読めないメールはさすがにどうにもならない。inboxに毎日毎日多量のスパムが溜まるので、やむなくgrey listing（/usr/ports/mail/postgreyなど）を導入しようかとも思っていた。ところが某掲示板のあるスレに「Content-Transfer-Encoding: base64のメールを除去したらspamがかなり減った」とあった。自分でも考えてみたところ、通常のメールでbase64 encodingを使う必要はまず無い。添付ファイルのみこれを使うが、振り分けに使っているprocmailはヘッダ情報しか見ないので、添付ファイル付きのメールが排除される事もない。実際設定してみたら見事にspamばかりが除去されるので、当面はこれで行こうと思う。 status report 2007-12-07T11:33:45Z ここの所トラブルも無く、只時間が流れて行くだけの日々である。本業が忙しくなってきたというのもあり、特に書くべき事はないのだが、一応現状報告をしておこうと思う。 nospambbs.netは無事動いているが、bbsを作って使って頂いているお客様はまだ１名である。後２名のお客が作りかけたが、「連絡先」を入力する画面で止めてしまったようである。システムとしては何も入力しなくても良いので、「入力は任意です。何も入力しなくても構いません。」と表示するようにした。また、http://nospambbs.net/spam/ にて自動排除したspam投稿を表示しているが、rrdtoolを使ってグラフを表示してみようと思う。プログラムは一応完成しているので、２〜３日試験してOKなら表示させる事にする。 ]]> ハードウェアは特に問題が起きていない。ただしCPUがCeleronDなので、消費電力が最大73Wと大きい。Core2Duoの65Wより大きいので、資金が出来たら再度サーバー移転を考えている。

	この本は古いので今更購入すべきではないと思われるが、最初に読むには適した本である。図書館等にあれば参考にして欲しい。
	この本はコマンドリファレンスではあるが、最初から読み進む事が可能なように工夫されている。ある程度MySQLがわかるようになった人向けである。

機種名	HP ML115
CPU	AMD64 3500+
RAM	DDR2-667 SDRAM unbuffered ECC/1Gbyte x 4
HDD	Seagate ST3320620AS(Barracuda 7200.10 SATA) 320Gbyte x 2
RAID I/F	無し(software RAID1)
Ethernet	BroadCom BCM5750 Gigabit Ethernet (onboard)

telnet
OS	FreeBSD amd64 7-STABLE	現状問題はみつかっていない。
DNS	bind-9.x	secondaryは友人にお願いしている。
mail	postfix	fmlで内輪MLをいくつか運用中。
web	apache-2.0.xx	name-based virtualhostで、いくつかのサイトを収容している。そろそろ2.2.xに移転したいが、今回も見合わせた。
ftp	なし	認証でパスワードが暗号化されない物はすべて停止している。
rsh, rlogin
remote login	openssh	Brute Force Attack、キーロガー、shoulder sniffing(肩越しに覗き込む) などの対策のため、UID/PWDでのログインを禁止している
vnc	RealVNC Free Edition	自宅では直接、出先ではsshによるport forwardingで使っている。
ファイル共有	samba	Windows用
ファイル共有	netatalk	MacOS用。「ネタ」Talkではなく、net-atalk(AppleTalk)である。

メーカ	機種名	CPU	uname	結果
Dell	PowerEdge 400SC	Celeron 2.2G	i386 6.2-STABLE 3/10/08(?)	○
Dell	PowerEdge SC430	CeleronD 331	amd64 6.3-STABLE 4/17/08	○
HP	ML115	Opteron 1210 (DualCore)	amd64 6.3-STABLE 1/25/08	クラッシュ
HP	ML115	Opteron 1210 (DualCore)	amd64 6.3-STABLE 5/14/08	○
HP	ML115	Athlon64 (3500+)	amd64 6.3-RELEASE	クラッシュ
HP	ML115	Athlon64 (3500+)	amd64 6.3-RELEASE 5/16/08	○
HP	nx6125 (notePC)	Turion64 MT-40(?)	amd64 6.3-STABLE 5/15/08	クロック変化しない
HP	nx6125 (notePC)	Turion64 MT-40(?)	amd64 7.0-RELEASE	○
GIGABYTE	GA-M61P-S3	Athlon64X2 (3800+)	amd64 6.2-RELEASE	○

CPU	TDP	`sysctl -a dev.cpu.0.freq_levels`
Turion64 MT-40(?)	25W	2178/35000 1980/29000 1782/24000 1584/20000 1386/17500 1188/15000 990/12500 792/9000 693/7875 594/6750 495/5625 396/4500 297/3375 198/2250 99/1125
Athlon64X2 (3800+)	65W	2010/65000 1809/53726 1005/27309
Athlon64 (3500+)	35W	2189/100000 1990/84531 1791/70547 995/28061
Opteron 1210	65W	1791/100000 995/39776
Celeron 2.2G	57.1W	1985/-1 1736/-1 1488/-1 1240/-1 992/-1 744/-1 496/-1 248/-1
CeleronD 331	84W	2647/-1 2316/-1 1985/-1 1654/-1 1323/-1 992/-1 661/-1 330/-1