FreeBSD 日誌

FreeBSD Security Advisory

Thu, 04 Sep 2008 17:21:03 +0900

9/3/08付でFreeBSD Security Advisoryが3つも出た。

FreeBSD-SA-08:07.amd64
FreeBSD-SA-08:08.nmount
FreeBSD-SA-08:09.icmp6

このサーバはamd64でIPv6接続もあるので、全部対処する必要がある。そのためmake worldする事にした。uptimeを見てみると、約70日連続稼働していたようだ。

BenQ G2400WD(WUXGA)でXorgが動いた

Mon, 25 Aug 2008 00:07:48 +0900

BenQのG2400WDがWUXGA(1920x1200dot)なのに４万円弱と安かったので購入した。正直職場のEIZO S2410Wと比べて値段の差程の画質の差は無い。買ってから１ヶ月程たつが快調に使えている。

ただし問題なのが、XorgではModelineが無いため表示する事ができない。色々探してみた所、このページに詳しい説明が載っていたので、設定の何が問題であるかはわかった。所が肝心のModelineの取得／計算方法が出ていないので、頓挫していた。

ところで購入する前に2ちゃんねるのハードウェア板を参考にしていたのだが、BenQ G2400W G2400WD V2400Wスレのまとめサイトを購入後読んでいた所、Monitor Asset ManagerというWindows用ユーティリティでModelineがわかるらしいと判明した。

MySQLのインストール

Sat, 12 Jul 2008 17:17:12 +0900

このサーバで提供している掲示板を新しくするために、MySQLを使うことにした。
インストール作業は以下の通り。

/usr/ports/databases/mysql51-client/tt>にて、make WITH_CHARSET=eucjpms WITH_XCHARSET=all installを実行。

/usr/ports/databases/mysql51-serverにて、make WITH_CHARSET=eucjpms WITH_XCHARSET=all installを実行。 PHPからMySQLを使うので、/usr/ports/databases/php5-mysqlにて、make installを実行。 /usr/local/share/mysqlに設定ファイルのサンプルがある。このサーバはメモリを4G積んでおり、半分程度はmysqlが占有してかまわないので、my-huge.cnfを使った。 cp my-large.cnf /etc/my.cnfとコピーして、以下のように編集した。 thread_concurrency = 2：CPUの数x2 skip-networking：他の計算機からMySQLサーバを操作しないため。 InnoDBを使う予定なので、# Uncomment the following if you are using InnoDB tables 以下を次のように変更した。 # Uncomment the following if you are using InnoDB tables innodb_data_home_dir = /var/db/mysql/ innodb_data_file_path = ibdata1:2000M;ibdata2:10M:autoextend innodb_log_group_home_dir = /var/db/mysql/ #innodb_log_arch_dir = /var/db/mysql/ # You can set .._buffer_pool_size up to 50 - 80 % # of RAM but beware of setting memory usage too high #innodb_buffer_pool_size = 384M innodb_buffer_pool_size = 1024M innodb_additional_mem_pool_size = 20M # Set .._log_file_size to 25 % of buffer pool size innodb_log_file_size = 256M innodb_log_buffer_size = 8M innodb_flush_log_at_trx_commit = 1 innodb_lock_wait_timeout = 50

なお、文字コードはEUCである。本来ならeucjpといったオプションがあるべきだが、MySQLにはeucjpms (EUC-JPのMS拡張？) しかない。SHIFT-JISならばsjis, UTF-8ならばutf8をmakeのeucjpmsの代わりに設定すれば良い。

やっと復帰しました。 Tue, 17 Jun 2008 22:36:09 +0900 こちらでお知らせした通り、本ドメインは約１ヶ月間落ちていた。編集ミスでhomev6.jpドメインのデータがnamedが読めなくなり、その状態が１週間以上続いたためTTLを過ぎてしまったため、slave serverでもデータが消えてしまった。気がついた時点でファイルを修復し手元の(master) namedおよびslaveのデータは復帰したのだが、問題はISP等のnamed上のキャッシュである。大規模なお客を抱えているnamedでは、処理が破綻しないようにキャッシュの有効期限を延ばしている。問題なのは「落ちた」という情報もキャッシュされるので、立ち上げ直してもISPのnamed上では落ちたままとなる。この期間が大抵１ヶ月なので、１ヶ月後に大半のnamed上でhomev6.jpドメインがやっと復帰した。しかしこんなミスをするとはまだまだroot修行が足りないようである。 6-STABLEから7-STABLEへ Sun, 18 May 2008 20:11:40 +0900 amd64 7.0-RELEASEはプロダクションリリースではあるが、運用を重視するならamd64 6-STABLEのまま運用すべきである。ところがそう言っていられない事情が起きてしまった。事の発端は先週職場のHP ML115でamd 6-STABLEをcvsupを使ってアップデートした所、それ以降必ずcvsupがSegmentation Faultを起こすようになってしまった。前回の調査で一度クラッシュさせてしまっていたので、その影響かもしれないという結論に達したのが金曜日。念のため自宅の試験用FreeBSDを最新のamd 6-STABLEにアップデートしてみたところ、問題が再現されてしまった。　その後友人に教えてもらったcsupは最新の6-STABLEでも正常に動作することがわかった。しかし7-STABLEではcvsup も正常動作するので、なんだかよくわからない不具合である。困ったのが運用中のamd64 6-STABLEの鯖である。うっかり/usr/src/以下をcvsupにて最新にしてしまっており、これをインストールすると同じ問題に直面することになる。問題が解決されるのを待ってそれまで放置する手もあまり望ましい手ではない。実はこの時CPUをAthlon64X2と勘違いしていたため、SMPカーネルにしようとしていたのである。前回の調査に出ているAMD64付のHP ML115は自宅用に購入したものである。NTT-X Store にて約1.5万円にて売られていたので、消費電力を減らすために導入した。(という理屈で衝動買いしたのだろうというご指摘は正しい:-) 6-STABLEのままにしようとすると、ソースはすでに問題のある最新版にしてしまっていたのでFreeBSD全体をバージョンアップする必要があるが、これは避けたい。だからといって6.3-RELEASEのCD-ROMからソースをコピーして、6.3-RELEASEに戻すのも面倒である。そこで、「プロダクションリリース」との言葉を信じて、7-STABLEへの以降を決断した。 CPUを休ませよう Fri, 16 May 2008 22:29:10 +0900 最近のCPUには、 Intel SpeedStepや AMD Cool'n'Quiet と言った省電力機能がある。当然これらを使いたいと思っていたが、「多分FreeBSDではサポートされていないだろう」という誤った先入観があったため、調べていなかった。最近鯖の消費電力が気になり始めたので、ひょっとしたら...と思って調べてみた所、このページに詳しい解説があった。詳しい内容はリンク先を読んでもらうとして、必要な作業だけ引用する： /boot/loader.confに、以下の1行を追加します。 cpufreq_load="YES" /etc/rc.confに、以下の1行を追加します。 powerd_enable="YES" そして再起動するか、もしくは、以下のようにコマンドを実行して、即座に試してみることも可能のようです。 # kldload cpufreq # powerd http://nhh.mo-blog.jp/ttt/2006/06/freebsd_cpu_9abd.html より引用なお7.0R以降ではGENERICカーネルでcpufreqがリンクされているので、loader.confへの追加は不要。やってしまった...orz Tue, 13 May 2008 07:16:12 +0900 最低なオペレーションミスをやってしまった...orz 4月末にnamedの設定を変更した際に、ケアレスミスをやってしまった。そこで気がつけば何ともなかったのだが、事後確認を怠った為にnamedが 10日間以上も止まってしまった。友人にお願いしているセカンダリも当然expireしており、１週間近くhomev6.jp domainが存在していなかった事になる。このためメールが届かない、web serverのお客も激減するなど、皆様に大変なご迷惑をおかけしてしまった。復旧した現在でも大手ISPなどのDNSサーバではhomev6.jpドメインがひけないようである。これはnamedの負荷を下げる為に、DNS情報の更新の間隔を延ばしているためである。最悪今月いっぱいはトラブルが収まらないと予測している。【教訓】なにかやったら事後確認を必ずすること。 5/16/08追記：なぜかnospambbs.netドメインが生き残っていたので、掲示板をそちらに移す事にした。あとは主催者のH氏が私のメールに気づいてくれれば、メルマガで移動を周知出来るのだが.... 外からメールの読み書きと特権ポート Mon, 25 Feb 2008 23:55:51 +0900 前回でimap-uwの立ち上げは終わったが、外部からのメールの読み書きはまだ出来ていなかった。「port993を外へ公開すれば簡単」とはいかない。本サイトのポリシー、「http以外ではユーザ名とパスワードでの認証は外部からのログインには使わない」に抵触してしまうからである。「SSLで守られているから大丈夫だろう」という認識は甘い。なぜならSSLで守られていてもブルートフォース攻撃が可能であるから、破られる可能性は否定できない。よってsshでポートフォワーディングを行う事にした。sshはパスワード認証ではログインできず、公開鍵認証のみでログインできるようにしてある。 imap-UWへ移行 Mon, 18 Feb 2008 23:15:25 +0900 FTNSは複数の場所にてメールを読み書きするので、同じメール環境を共有できるimapを以前から使いたかった。しかし何年分ものMH形式のメールがあるため、これを移行する必要がある。またspam収集の為、MH形式でないとメール１通毎にgrepやbsfilterなどの操作がやりにくい。この観点からcourier-imap(/usr/ports/mail/courier-imap)とimap-UW(/usr/ports/mail/imap-uw)を比較してみた。 courier-imap 利点メールフォルダはディレクトリで実装されているため、imapクライアントからメールフォルダの中にサブフォルダを作る事ができる。 MH形式を直接扱う事はできないが、変換ツールがある。欠点 MH folderを扱えない。 Maildir形式の為、メール１通毎の操作がやや面倒 imap-uw 利点 MH folderを扱える。 procmailからimapサーバへフォルダを特定してメールを渡す機能(dmail)があるため、procmailと共存する。欠点メールフォルダはファイルで実装されている。そのため、imapクライアントで作ったフォルダもファイルとなってしまう為、サブフォルダを作る事ができない。フォルダを内包するフォルダはコマンドラインからmkdir で作る必要がある。上記より、ftnsはimap-uwを使う事にした。ただしMH形式やprocmailに拘らないのなら、courier-imapの方がお勧めである。特にユーザが自分以外にいる場合、imapクライアントからフォルダを内包するフォルダを作れないというのは問題である。 SATA2 I/Fを付けてみた Sat, 09 Feb 2008 13:16:41 +0900 前にも書いたとおり、Dell PowerEdge SC430ではatacontrol detachができないため、HDDのhotswapができない。そこでSATA I/Fを増設することを思いついた。増設したI/Fならばdetachできるかもしれない。購入したI/Fは玄人志向のSATA2I2-PCIeである。チップセットはSilicon Image社のSiI3132で、ataドライバでサポートされている。とりあえずインストールしてブートしてみたところ、予想に反して何も起こらずに起動してしまった。内蔵SATA I/Fに割り当てられていた/dev/ad4, /dev/ad6が追加したI/Fに割り当てられ、ソフトウェアRAID(gm0)も正常作動した。そして残念ながらatacontrol detachは動作しなかった。これではまったくの無駄であるが、I/FがSATA(1.5Gbps)からSATA2(3Gbps)になっただけはマシである。もっとも本体側I/FのPCI-express x1 は2.0Gbpsのため、フルスピードはでないが。ノイズキャンセルヘッドフォン Mon, 28 Jan 2008 12:34:49 +0900 FTNSの本業の自席にはPCサーバ数台がある。全部が稼働すると正直かなりうるさい。また集中したい時に隣の会話などが聞こえてしまい集中力が阻害されている。そこでノイズキャンセリングヘッドフォンを導入しようと考えて、某社のモニターに応募したが当然の事ながら選ばれなかった。仕方なく自腹でPanasonic RP-HC500-Sを購入してみた。定価（?）1.7万円は伊達ではなく、あまり期待していなかった音質もiPodで音楽を聴いている分には何ら不満がない。遮音性は別の部屋に入ったぐらいの効果があり、音楽を小さめに流しておけば周囲の雑音はまったく気にならない。久しぶりに良い買い物ができたと満足している。 "fixed" フォントが見つからない Sat, 26 Jan 2008 00:59:18 +0900 FTNSが仕事で使っているPCの一つは、HP ML115にFreeBSD amd64を載せたものである。このPCでX11をstartxで起動しようとすると、fixed fontが無いというエラーを出してXサーバが落ちてしまう。この時の仕事ではX11は必須ではなかったので、新しいPCとamd64での不具合だろうと思って放置しておいた。それから半年程経って時間の余裕ができたので、なにが悪いのか調べてみる事にした。まず第一にFreeBSD-6STABLE (amd64)をmake worldする事で最新版にした。次に以下のような方法でxorg*をアンインストールした。 % cd /var/db/pkg % sudo pkg_delete -f xorg* そして/usr/ports/x11/xorgを再インストールしてみた。ところが症状は変わらない。fixed fontを確認してみたところ、ちゃんと/usr/local/lib/X11/fonts/miscに存在した。 % cd /usr/local/lib/X11/fonts/misc % grep ^fixed fonts.alias fixed -misc-fixed-medium-r-semicondensed--13-120-75-75-c-60-iso8859-1 /etc/X11/xorg.confのFontPathを見ても正常で、何が悪いのかさっぱりわからない。仕方なくGoogleで色々調べてみたところ、このページにたどり着いた。そのページの内容によれば、font-misc-miscと font-cursor-miscを再インストールすれば良いらしい。早速以下の通りにやってみたところ、無事X11が動作するようになった。 portupgrade -f font-misc-misc font-cursor-misc Security Updateをあてるため、make worldする。 Tue, 15 Jan 2008 23:49:50 +0900 FreeBSD announce-jp MLに入っている人はすでにご存知だとは思うが、FreeBSD Security Advisoryが2つ発行された。一つ(FreeBSD-SA-08:01.pty)はroot権限でないptyの内容を盗聴できるという物で、侵入された場合scriptを不用意に使っていると中身を読まれてしまうという脅威である。もう一つ（FreeBSD-SA-08:02.libc）はinet_network()がbuffer overflowを起こすというもので、これを使っているネットワークアプリケーションに不正な値を入力するとメモリの特定箇所を書き換える事ができるという脅威である。自宅鯖に取って脅威度が高いのは後者であるが、前者も決して軽視できないので必ずパッチを当てる事をお勧めする。 FTNSは6-STABLEをアップデートする事にした。6.3-RELEASE6.3-PRERELEASEが出ているようなので、もう安定しているだろうという判断からである。読めないspam Thu, 20 Dec 2007 21:07:17 +0900 最近読めないspamが大量に送られてくる。 base64 encodingで送られてきているのだが、decodeエラーになってしまう。一部は空白を除去する事で読めるのだが、残りはどうやっても読めない。一部の文字は読めるのでunicodeという事はなさそうだが、いったい何のつもりやら。それともOutlook/Outlook Expressだと読めたりするのだろうか。以前からspamを収集してきたが、今回ばかりは参ってしまった。以前はベイジアンフィルタとNGワードで不要なスパムを十分除去できていたのだが、読めないメールはさすがにどうにもならない。inboxに毎日毎日多量のスパムが溜まるので、やむなくgrey listing（/usr/ports/mail/postgreyなど）を導入しようかとも思っていた。ところが某掲示板のあるスレに「Content-Transfer-Encoding: base64のメールを除去したらspamがかなり減った」とあった。自分でも考えてみたところ、通常のメールでbase64 encodingを使う必要はまず無い。添付ファイルのみこれを使うが、振り分けに使っているprocmailはヘッダ情報しか見ないので、添付ファイル付きのメールが排除される事もない。実際設定してみたら見事にspamばかりが除去されるので、当面はこれで行こうと思う。 status report Fri, 07 Dec 2007 20:33:45 +0900 ここの所トラブルも無く、只時間が流れて行くだけの日々である。本業が忙しくなってきたというのもあり、特に書くべき事はないのだが、一応現状報告をしておこうと思う。 nospambbs.netは無事動いているが、bbsを作って使って頂いているお客様はまだ１名である。後２名のお客が作りかけたが、「連絡先」を入力する画面で止めてしまったようである。システムとしては何も入力しなくても良いので、「入力は任意です。何も入力しなくても構いません。」と表示するようにした。また、http://nospambbs.net/spam/ にて自動排除したspam投稿を表示しているが、rrdtoolを使ってグラフを表示してみようと思う。プログラムは一応完成しているので、２〜３日試験してOKなら表示させる事にする。