追記

meta's blog - The Power To Serve

筆者について - No Unix, No Life

日本xrdpユーザ会発起人。

とある元大学院生の UNIX 系日記。FreeBSDを通じてOSSに囁かな貢献を。 FreeBSD ports contributor やってます。

For non Japanese native people:
If you are interested in my articles, please leave comments. I will do my best to give you articles in English.


2019-03-07 SoftEther 5のFreeBSD portを作成した (Raspberry Piで使えます) [長年日記]

SoftEther 5のFreeBSD portを作成した (Raspberry Piで使えます)

SoftEtherの解説は不要だと思いますが、筑波大学における学術目的の研究プロジェクトとして開発された強力なVPNソフトウェアで、高い移植性を念頭に開発されており、FreeBSDでの動作も公式にサポートしています

SoftEtherの最新リリースは、 4.29 Build 9680 RTM というバージョンです。余談ですが、このバージョンからupstreamでのライセンス変更が適用されていて、従来のGPLv2からApache License 2.0で提供されています。

そんなSoftEther 4ですが、FreeBSD上で動作させる場合はIntel i386/amd64アーキテクチャのみをサポートします(公式サイトのSoftEther VPN Server の仕様より)。ARMやMIPSなどのアーキテクチャでは使用することができません。FreeBSDのBSDライセンス、SoftEtherのApache License 2.0共々、組み込み機器で使いやすいライセンスにも関わらずSoftEtherがIntel以外のアーキテクチャで使用できないのは残念です。平たくいうと、Raspberry Piでは使えません。

実はGitHubで開発されているSoftEtherの開発版であるバージョン5系では、この「FreeBSDではi386とamd64のみサポート」いう制限がなくなっています。詳しく調べたわけではありませんが、特定のOSではサポートされるアーキテクチャが限定されるということはなくなり、OSによらず以下のアーキテクチャをサポートするようです。

  • Intel i386/amd64
  • ARM (arm/aarch64)
  • MIPS
  • PowerPC

というわけで、FreeBSD portsにSoftEther 5をコミットしました。これでRaspberry PiなどのARMデバイスでもSoftEtherを使ったVPNサーバ/VPNルータを構築できるようになりますね。

SoftEther 5は開発版なので、安定動作することは保証されていない点には注意が必要です。安定版が必要な場合には当面はIntel CPU上で動作させる必要があります。

インストール方法

書くまでもないかもしれませんが、一応インストール方法を書いておきます。

ports
portsnap fetch update
cd /usr/ports/security/softether5
make install
pkg
pkg update
pkg install softether5

バイナリパッケージはアーキテクチャによっては提供されていない場合があります。


2018-12-01 山の奥(感激的な格安価格) [長年日記]

山の奥(感激的な格安価格)

本記事は 山の奥 Advent Calendar 2018 1日目の記事ですが、諸事情により1日遅れでの公開です。

「山の奥」とは「イ 良い日ンマ」「スアグドデ」に代表される中国の怪しいSDカード…だったはずなのですが、実はそうでもありません。Amazon.co.jp に出店している中国の商社?のようで、主要な商品はmicroSDカード、日用雑貨、ファッションアイテムなどです。

その中でも、主力商品(と勝手に決めつけている)のmicroSDカードについて取り上げてみます。容量は32GBで値段は499〜600円程度で変動があります。中国から国際郵便で送られてくるので、発送から到着までは2週間くらいかかり、送料は関東以外だと300円前後かかります。アマゾンで購入する際は、出品者が「***山の奥(感激的な格安価格)***」であることを確認してください。他の出品者からも出品されていますが、そちらについては本物である保証がありません。

32GBで500円と考えるとそこそこ安いですが、関東以外で送料込だと800〜900円になるので、量販店での安売りと同じレベルなので圧倒的なやすさとまではいかなくなります。それでも安い方ですが。山の奥の良いところは、microSDカードに「山の奥」の印字があるところです。これは他の怪しいSDカードにはない点です。フォントは購入時期によってゴシック体と明朝体のバージョンがあるようです。

「山の奥」という「極度乾燥(しなさい)」に通じる謎の日本語が印字されているというだけで、500円の価値があると言っても過言ではないですが、なんとこれは本当にmicroSDカードとしても使用できます。容量の詐称等は購入した限りではなく、きっちり32GiB使用できました。耐久性については未知数ですが、速度はロットによって速いものと普通のものがあります。

「山の奥」の印字目当てで購入しても、32GBの容量である程度普通に使える、なかなかおすすめです。今まで数枚買った限りでは、高速なものと普通のもののどちらも普通に使えました。

※ 大事なデータにはTOSHIBAやSanDisk、Transcendなどの大手メーカーの正規品を使いましょう。

他のレビューはあっきぃさんのブログなどを参照。

購入は以下からどうぞ。

山の奥ユーザー会オープンソースカンファレンス2018 Fukuokaオープンソースカンファレンス2019 Tokyo/Springに出典しています。山の奥ユーザー会では山の奥ハッシュタグシールを配布していますので是非足をお運びください(山の奥ハッシュタグシールは感激的な格安価格とは関係のない非公式パロディグッズです)。


2018-11-30 NCロードスターバッテリー交換 [長年日記]

NCロードスターバッテリー交換

以前からバッテリーが弱っているのは承知の上で、騙し騙し「まだいける」と高をくくっていたらとうとう長距離走行の翌朝でもセルが回らなくなってしまっていたのでバッテリー交換しました。

前のバッテリーは2015年9月にNCを購入したときについていた、購入時に新品交換されていたかも不明なもの。仮に新品交換されていたとしても、丸3年以上経っています。不注意でトランクを開けたまま2日放置してバッテリーをすっからかんにしてしまったり、その後もセルがカチカチいう程度のバッテリー上がりを経験しているバッテリーなので、かなりへたっていたのでしょう。

2017年4月にすっからかん、2018年8月に9Vくらい、そして2018年11月にまた9Vくらい、まあ寿命でしょう。それなりの距離を走行した後の始動で上の動画のような感じだったので、うっかりエンストすると再始動できないかもしれないという恐怖があり、街乗りでは使えないレベル。

ロードサービスを呼ぶのが面倒だったので、ダメ元でカブから充電してジャンプスタートできないかなとやってみたけど無理でした。知ってた。数時間かけてバッテリーを充電してからなら始動できたかもしれないけど、敢えてやるものでもないですね。

カブでジャンプスタートを試している間に新しいバッテリーは発注していて、翌日となる今日届いたので、さっそく交換。新しいバッテリーは安定のパナソニックのカオスシリーズ。元からついていたのは韓国製のよくわからんバッテリー。

ただのバッテリー交換なので、特にこれといって面白いことはなくサクッと交換して無事にインストール完了。

ECUの初期学習とパワーウィンドウの位置学習などをしておしまい。今回購入したバッテリーは、廃バッテリー無料回収サービスつきなので、新品のバッテリーの入っていた箱に古いバッテリーを入れて購入店に着払いで送り返せばいいのですが、今回はもともとついていたバッテリーより小さいものに交換したので箱に入らず。

適当な手持ちの空き箱に詰めるとこんな感じに…。これを佐川急便で送ります。


2018-08-21 Mac版RDPクライアント10系が正式リリースされていた [長年日記]

Mac版RDPクライアント10系が正式リリースされていた

Microsoft公式のMac版リモートデスクトップクライアントには、2種類ありました。赤い四角いアイコンの8系と、青い丸いアイコンの10系です。青いアイコンの方は長らくBeta版で、App Store外からインストールする状態でしたが、めでたく10系が正式リリースとなっています。

Mac App Store では8系と10系は別アプリとして提供されているようです。

10系の正式リリースに伴い、旧版の8系はリタイアとなり、2018年9月以降8系はダウンロードできなくなります。


2018-08-09 自分のパスワードがメールで送られてきた [長年日記]

自分のパスワードがメールで送られてきた話

今朝、突然自分のパスワードがメールで送られてきました。以下がそのメール。メールアドレスとパスワードのみ伏せています。example.jp は自分のメールアドレスのドメイン名部分です。

From: Leann <info@example.jp>
To: meta@example.jp
Subject: meta@example.jp:__PASSWORD__

It appears to be that, (__PASSWORD__), is your password. You might not know me and you are most likely wondering why you're getting this e-mail, right?
 
actually, I setup a malware over the adult videos (adult) website and you know what, you visited this web site to have fun (you really know what What i'm saying is). When you were watching videos, your internet browser began functioning like a RDP (Team Viewer) which provided accessibility of your screen and web cam. after that, my software programs obtained your complete contacts from your Messenger, Microsoft outlook, FB, as well as emails.
 
What did I actually do?
 
I produced a double-screen video clip. First part shows the video you're watching (you've got a good taste haha . . .), and 2nd part shows the recording of your web cam.
 
exactly what should you do?
 
Well, in my opinion, $1200 is a reasonable price for our little secret. You will make the payment by Bitcoin (if you don't know this, search "how to buy bitcoin" search engines like google).
 
BTC Address: 1L8nG6ETuWEvoBkTS2GGx7oncATc9vkcq1
(It's case sensitive, so copy and paste it)
 
Important:
You've 1 day to make the payment. (I've a completely unique pixel within this e mail, and at this moment I know that you have read through this email message). If I do not get the BitCoins, I will certainly send your videos to all of your contacts including family, colleagues, and so forth. Having said that, if I get the payment, I'll destroy the video immidiately. If you want evidence, reply with "Yes!" and i'll definitely mail out your video recording to your 6 contacts. It is a non-negotiable offer, that being said don't waste my personal time and yours by responding to this message.

要するに、PCにマルウェアを仕込んでお前の恥ずかしい動画を撮ったから、友達や家族にその動画を送られたくなかったら1200ドルビットコインで払えという要求。そのメールに実際に使われていたパスワードをつけることによって、説得力を増すいうからくり。

パスワードは昔実際に使っていたもので、結構なサイトで使いまわしていました。2010年のTwitterパスワード強制リセットのときにはそのパスワードをTwitterのパスワードにしていました。

かなり多くのサイトで使いまわしていたパスワードなので、今となってはどこのサイトが流出させたものかはわかりませんが、どこかのサイトが流出させたメールアドレスとパスワードのリストを入手してメールアドレス宛に脅しめいたメールを送っているパスワードリスト型攻撃ですね。

Twitterパスワードの強制リセット当時、同じパスワードを使いまわしていたサイトのパスワードも同時に変えましたが、いくつかのサイトで未だに使っていたので一通りパスワード変更して対応完了。普段の生活環境はFreeBSDデスクトップなので、絶対にマルウェアを仕込まれないとは言いませんが他にもっと効果的なターゲットがいるのは明らかなので、ウェブカムで恥ずかしい動画を撮ったというのははったりとすぐにわかりました。

みなさんも、自分が実際に使っているパスワードが「お前のパスワードこれだろ?」というメールに書かれて送られてきても落ち着いて対応できますように。

自分以外にも同様のメールが届いている人がいるようです。

追記: こうやってブログを書いている間にも、同じような文面をちょっと変えたメールが何通も届いていました。同じパスワードがメールに含まれるのは最初にきたメールと同様。

一応拙訳置いときます。

あなたのパスワードは (__PASSWORD__) のように見えます。私のことはご存じないだろうし、なぜこんなメールを受け取っているのか不思議に思っていることでしょう。
実はとあるアダルトサイトを通じてマルウェアを仕込みました、例のあのサイトです。あなたはこのサイトを訪れてお楽しみでしたね(言っている意味がわかりますよね)。あなたが動画を見ている間、ブラウザがリモートデスクトップのように機能し、あなたの画面とウェブカムにアクセス可能でした。そして、メッセンジャーやメールからあなたの知り合いの連絡先を手に入れました。
私は何をしたでしょうか?
2画面の動画を作ったんです。片方があなたが見ていた動画(いい趣味してるね笑)、もう片方がそれを見ていたあなたをウェブカムで撮影したもの。

さあ、どうしますか?$1200 は私達の秘密の値段として高くないと思います。あなたはビットコインで支払いをすることになるでしょう(方法がわからなければググって)。

BTC Address: 1L8nG6ETuWEvoBkTS2GGx7oncATc9vkcq1

重要:
支払いまでに1日の猶予があります(1x1ピクセルのユニークな画像を仕込んでいるので、あなたがこのメールを読んだことはわかっています)。もし支払わなければ、さっきの動画をあなたの家族、友人などに送ります。支払えばすぐに動画を破棄します。証拠が欲しければ「Yes!」と返信してください。あなたの友達6人に動画を送ります。メールでのやり取りでお互いの時間を無駄にしたくないので、交渉の余地はありません。

訳注: 1x1の画像はなかった(メールはプレーンテキストだった)

本日のツッコミ(全1件) [ツッコミを入れる]

Σ KIO [どこで漏れたのか、こちらにも同じメールが来ました。ありがとうございました。]


2018-08-08 [長年日記]

freebsd-update したら ZFS のバージョンも上げるのを忘れずに

割と忘れるのでメモ。

freebsd-updatebuildworld 等ででFreeBSDのバージョンを上げたら、ZFSのバージョンも上がっていることがある。メジャーバージョンが上がるとZFSのバージョンも上がっていることが多いが、必ずしも上がるわけではない。

いつもFreeBSDのバージョンを上げただけで満足してしまうので、ZFS (zpool) のバージョンの確認も忘れないように。

$ zpool status -v                                                                                           
  pool: zroot1                                                                                                         
 state: ONLINE                                                                                                         
status: Some supported features are not enabled on the pool. The pool can                                              
        still be used, but some features are unavailable.                                                              
action: Enable all features using 'zpool upgrade'. Once this is done,                                                  
        the pool may no longer be accessible by software that does not support                                         
        the features. See zpool-features(7) for details.                                                               
  scan: resilvered 8.32M in 0h0m with 0 errors on Wed May 10 10:10:15 2017                                             
config:                                                                                                                
                                                                                                                       
        NAME                               STATE     READ WRITE CKSUM                                                  
        zroot1                             ONLINE       0     0     0                                                  
          mirror-0                         ONLINE       0     0     0                                                  
            diskid/DISK-WD-WMC4M3026594p3  ONLINE       0     0     0                                                  
            diskid/DISK-WD-WMC4M3152869p3  ONLINE       0     0     0                                                  
        cache                                                                                                          
          gpt/l2arc0                       ONLINE       0     0     0                                                  
                                                                                                                       
errors: No known data errors

zpool upgrade すると全ての機能が使えるようになるといわれるので、OS側のZFSの対応バージョンが上がっている。 あまり調子に乗って上げていると、トラブルが発生してOSのバージョンを下げる必要があるときに困ったことになる。

ファイルシステムのバージョンは基本的に下げられないと思っていたほうがいいので、OSの新しいバージョンが十分に安定稼働していることを確認してから上げたほうがよさそう。

ZFS (zpool) のバージョンを上げるには、言われたとおりのコマンドを実行する。

# zpool upgrade zroot1
This system supports ZFS pool feature flags.

Enabled the following features on 'zroot1':
  device_removal
  obsolete_counts
  zpool_checkpoint

If you boot from pool 'zroot1', don't forget to update boot code.                                                      
Assuming you use GPT partitioning and da0 is your boot disk
the following command will do it:

        gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 da0

最後に、ブートローダーも新しいZFS対応のものに上げないと起動できなくなるのでこれはきっちりやっておく。da0は適宜読み替える。

以上、手順自体は今更メモしておくほどのことではないけど、ZFSのバージョンを上げるのを数年忘れていたので思い出しついでにメモ。


2018-08-07 [長年日記]

Amazon Route 53 Health Check の User-Agent が変わっていた

Amazon Route 53 Health Check で HTTP/HTTPS でヘルスチェックするときの User-Agent が変わってました。

新旧はこんな感じ(UUIDはダミーです)。

旧:

Amazon Route 53 Health Check Service; ref:b0eb04d5-cb5e-40e7-839b-558e52fc3f0d; report http://amzn.to/1vsZADi

新:

Amazon-Route53-Health-Check-Service (ref b0eb04d5-cb5e-40e7-839b-558e52fc3f0d; report http://amzn.to/1vsZADi)

Apache 側で以下のようにしてヘルスチェックのアクセスはログに残さないようにしていたので、User-Agent が変わっていていつのまにか全部ログに残っていました。

SetEnvIf      User-Agent      "Amazon Route 53 Health Check Service;.*"       nolog
CustomLog     /path/to/access_log combined env=!nolog

ログによると、JSTで 11/Jul/2018:02:03:16 +0900 からこのUser-Agentでアクセスしているっぽい。

ちょっとググったところ、以下のAWSフォーラムの投稿が見つかりました。以前のUser-Agentのセミコロンの使い方がよくないということで、それを反映した変更っぽい? RFC7231を斜め読みしただけではいまいちよく理解できてないけど、( ) の中にセミコロンが登場するのは許されるということだろうか。