追記

meta's blog - The Power To Serve

筆者について - No Unix, No Life

日本xrdpユーザ会発起人。

とある元大学院生の UNIX 系日記。FreeBSDを通じてOSSに囁かな貢献を。 FreeBSD ports contributor やってます。

For non Japanese native people:
If you are interested in my articles, please leave comments. I will do my best to give you articles in English.


2018-12-01 山の奥(感激的な格安価格) [長年日記]

山の奥(感激的な格安価格)

本記事は 山の奥 Advent Calendar 2018 1日目の記事ですが、諸事情により1日遅れでの公開です。

「山の奥」とは「イ 良い日ンマ」「スアグドデ」に代表される中国の怪しいSDカード…だったはずなのですが、実はそうでもありません。Amazon.co.jp に出店している中国の商社?のようで、主要な商品はmicroSDカード、日用雑貨、ファッションアイテムなどです。

その中でも、主力商品(と勝手に決めつけている)のmicroSDカードについて取り上げてみます。容量は32GBで値段は499〜600円程度で変動があります。中国から国際郵便で送られてくるので、発送から到着までは2週間くらいかかり、送料は関東以外だと300円前後かかります。アマゾンで購入する際は、出品者が「***山の奥(感激的な格安価格)***」であることを確認してください。他の出品者からも出品されていますが、そちらについては本物である保証がありません。

32GBで500円と考えるとそこそこ安いですが、関東以外で送料込だと800〜900円になるので、量販店での安売りと同じレベルなので圧倒的なやすさとまではいかなくなります。それでも安い方ですが。山の奥の良いところは、microSDカードに「山の奥」の印字があるところです。これは他の怪しいSDカードにはない点です。フォントは購入時期によってゴシック体と明朝体のバージョンがあるようです。

「山の奥」という「極度乾燥(しなさい)」に通じる謎の日本語が印字されているというだけで、500円の価値があると言っても過言ではないですが、なんとこれは本当にmicroSDカードとしても使用できます。容量の詐称等は購入した限りではなく、きっちり32GiB使用できました。耐久性については未知数ですが、速度はロットによって速いものと普通のものがあります。

「山の奥」の印字目当てで購入しても、32GBの容量である程度普通に使える、なかなかおすすめです。今まで数枚買った限りでは、高速なものと普通のもののどちらも普通に使えました。

※ 大事なデータにはTOSHIBAやSanDisk、Transcendなどの大手メーカーの正規品を使いましょう。

他のレビューはあっきぃさんのブログなどを参照。

購入は以下からどうぞ。

山の奥ユーザー会オープンソースカンファレンス2018 Fukuokaオープンソースカンファレンス2019 Tokyo/Springに出典しています。山の奥ユーザー会では山の奥ハッシュタグシールを配布していますので是非足をお運びください(山の奥ハッシュタグシールは感激的な格安価格とは関係のない非公式パロディグッズです)。


2018-11-30 NCロードスターバッテリー交換 [長年日記]

NCロードスターバッテリー交換

以前からバッテリーが弱っているのは承知の上で、騙し騙し「まだいける」と高をくくっていたらとうとう長距離走行の翌朝でもセルが回らなくなってしまっていたのでバッテリー交換しました。

前のバッテリーは2015年9月にNCを購入したときについていた、購入時に新品交換されていたかも不明なもの。仮に新品交換されていたとしても、丸3年以上経っています。不注意でトランクを開けたまま2日放置してバッテリーをすっからかんにしてしまったり、その後もセルがカチカチいう程度のバッテリー上がりを経験しているバッテリーなので、かなりへたっていたのでしょう。

2017年4月にすっからかん、2018年8月に9Vくらい、そして2018年11月にまた9Vくらい、まあ寿命でしょう。それなりの距離を走行した後の始動で上の動画のような感じだったので、うっかりエンストすると再始動できないかもしれないという恐怖があり、街乗りでは使えないレベル。

ロードサービスを呼ぶのが面倒だったので、ダメ元でカブから充電してジャンプスタートできないかなとやってみたけど無理でした。知ってた。数時間かけてバッテリーを充電してからなら始動できたかもしれないけど、敢えてやるものでもないですね。

カブでジャンプスタートを試している間に新しいバッテリーは発注していて、翌日となる今日届いたので、さっそく交換。新しいバッテリーは安定のパナソニックのカオスシリーズ。元からついていたのは韓国製のよくわからんバッテリー。

ただのバッテリー交換なので、特にこれといって面白いことはなくサクッと交換して無事にインストール完了。

ECUの初期学習とパワーウィンドウの位置学習などをしておしまい。今回購入したバッテリーは、廃バッテリー無料回収サービスつきなので、新品のバッテリーの入っていた箱に古いバッテリーを入れて購入店に着払いで送り返せばいいのですが、今回はもともとついていたバッテリーより小さいものに交換したので箱に入らず。

適当な手持ちの空き箱に詰めるとこんな感じに…。これを佐川急便で送ります。


2018-08-21 Mac版RDPクライアント10系が正式リリースされていた [長年日記]

Mac版RDPクライアント10系が正式リリースされていた

Microsoft公式のMac版リモートデスクトップクライアントには、2種類ありました。赤い四角いアイコンの8系と、青い丸いアイコンの10系です。青いアイコンの方は長らくBeta版で、App Store外からインストールする状態でしたが、めでたく10系が正式リリースとなっています。

Mac App Store では8系と10系は別アプリとして提供されているようです。

10系の正式リリースに伴い、旧版の8系はリタイアとなり、2018年9月以降8系はダウンロードできなくなります。


2018-08-09 自分のパスワードがメールで送られてきた [長年日記]

自分のパスワードがメールで送られてきた話

今朝、突然自分のパスワードがメールで送られてきました。以下がそのメール。メールアドレスとパスワードのみ伏せています。example.jp は自分のメールアドレスのドメイン名部分です。

From: Leann <info@example.jp>
To: meta@example.jp
Subject: meta@example.jp:__PASSWORD__

It appears to be that, (__PASSWORD__), is your password. You might not know me and you are most likely wondering why you're getting this e-mail, right?
 
actually, I setup a malware over the adult videos (adult) website and you know what, you visited this web site to have fun (you really know what What i'm saying is). When you were watching videos, your internet browser began functioning like a RDP (Team Viewer) which provided accessibility of your screen and web cam. after that, my software programs obtained your complete contacts from your Messenger, Microsoft outlook, FB, as well as emails.
 
What did I actually do?
 
I produced a double-screen video clip. First part shows the video you're watching (you've got a good taste haha . . .), and 2nd part shows the recording of your web cam.
 
exactly what should you do?
 
Well, in my opinion, $1200 is a reasonable price for our little secret. You will make the payment by Bitcoin (if you don't know this, search "how to buy bitcoin" search engines like google).
 
BTC Address: 1L8nG6ETuWEvoBkTS2GGx7oncATc9vkcq1
(It's case sensitive, so copy and paste it)
 
Important:
You've 1 day to make the payment. (I've a completely unique pixel within this e mail, and at this moment I know that you have read through this email message). If I do not get the BitCoins, I will certainly send your videos to all of your contacts including family, colleagues, and so forth. Having said that, if I get the payment, I'll destroy the video immidiately. If you want evidence, reply with "Yes!" and i'll definitely mail out your video recording to your 6 contacts. It is a non-negotiable offer, that being said don't waste my personal time and yours by responding to this message.

要するに、PCにマルウェアを仕込んでお前の恥ずかしい動画を撮ったから、友達や家族にその動画を送られたくなかったら1200ドルビットコインで払えという要求。そのメールに実際に使われていたパスワードをつけることによって、説得力を増すいうからくり。

パスワードは昔実際に使っていたもので、結構なサイトで使いまわしていました。2010年のTwitterパスワード強制リセットのときにはそのパスワードをTwitterのパスワードにしていました。

かなり多くのサイトで使いまわしていたパスワードなので、今となってはどこのサイトが流出させたものかはわかりませんが、どこかのサイトが流出させたメールアドレスとパスワードのリストを入手してメールアドレス宛に脅しめいたメールを送っているパスワードリスト型攻撃ですね。

Twitterパスワードの強制リセット当時、同じパスワードを使いまわしていたサイトのパスワードも同時に変えましたが、いくつかのサイトで未だに使っていたので一通りパスワード変更して対応完了。普段の生活環境はFreeBSDデスクトップなので、絶対にマルウェアを仕込まれないとは言いませんが他にもっと効果的なターゲットがいるのは明らかなので、ウェブカムで恥ずかしい動画を撮ったというのははったりとすぐにわかりました。

みなさんも、自分が実際に使っているパスワードが「お前のパスワードこれだろ?」というメールに書かれて送られてきても落ち着いて対応できますように。

自分以外にも同様のメールが届いている人がいるようです。

追記: こうやってブログを書いている間にも、同じような文面をちょっと変えたメールが何通も届いていました。同じパスワードがメールに含まれるのは最初にきたメールと同様。

一応拙訳置いときます。

あなたのパスワードは (__PASSWORD__) のように見えます。私のことはご存じないだろうし、なぜこんなメールを受け取っているのか不思議に思っていることでしょう。
実はとあるアダルトサイトを通じてマルウェアを仕込みました、例のあのサイトです。あなたはこのサイトを訪れてお楽しみでしたね(言っている意味がわかりますよね)。あなたが動画を見ている間、ブラウザがリモートデスクトップのように機能し、あなたの画面とウェブカムにアクセス可能でした。そして、メッセンジャーやメールからあなたの知り合いの連絡先を手に入れました。
私は何をしたでしょうか?
2画面の動画を作ったんです。片方があなたが見ていた動画(いい趣味してるね笑)、もう片方がそれを見ていたあなたをウェブカムで撮影したもの。

さあ、どうしますか?$1200 は私達の秘密の値段として高くないと思います。あなたはビットコインで支払いをすることになるでしょう(方法がわからなければググって)。

BTC Address: 1L8nG6ETuWEvoBkTS2GGx7oncATc9vkcq1

重要:
支払いまでに1日の猶予があります(1x1ピクセルのユニークな画像を仕込んでいるので、あなたがこのメールを読んだことはわかっています)。もし支払わなければ、さっきの動画をあなたの家族、友人などに送ります。支払えばすぐに動画を破棄します。証拠が欲しければ「Yes!」と返信してください。あなたの友達6人に動画を送ります。メールでのやり取りでお互いの時間を無駄にしたくないので、交渉の余地はありません。

訳注: 1x1の画像はなかった(メールはプレーンテキストだった)


2018-08-08 [長年日記]

freebsd-update したら ZFS のバージョンも上げるのを忘れずに

割と忘れるのでメモ。

freebsd-updatebuildworld 等ででFreeBSDのバージョンを上げたら、ZFSのバージョンも上がっていることがある。メジャーバージョンが上がるとZFSのバージョンも上がっていることが多いが、必ずしも上がるわけではない。

いつもFreeBSDのバージョンを上げただけで満足してしまうので、ZFS (zpool) のバージョンの確認も忘れないように。

$ zpool status -v                                                                                           
  pool: zroot1                                                                                                         
 state: ONLINE                                                                                                         
status: Some supported features are not enabled on the pool. The pool can                                              
        still be used, but some features are unavailable.                                                              
action: Enable all features using 'zpool upgrade'. Once this is done,                                                  
        the pool may no longer be accessible by software that does not support                                         
        the features. See zpool-features(7) for details.                                                               
  scan: resilvered 8.32M in 0h0m with 0 errors on Wed May 10 10:10:15 2017                                             
config:                                                                                                                
                                                                                                                       
        NAME                               STATE     READ WRITE CKSUM                                                  
        zroot1                             ONLINE       0     0     0                                                  
          mirror-0                         ONLINE       0     0     0                                                  
            diskid/DISK-WD-WMC4M3026594p3  ONLINE       0     0     0                                                  
            diskid/DISK-WD-WMC4M3152869p3  ONLINE       0     0     0                                                  
        cache                                                                                                          
          gpt/l2arc0                       ONLINE       0     0     0                                                  
                                                                                                                       
errors: No known data errors

zpool upgrade すると全ての機能が使えるようになるといわれるので、OS側のZFSの対応バージョンが上がっている。 あまり調子に乗って上げていると、トラブルが発生してOSのバージョンを下げる必要があるときに困ったことになる。

ファイルシステムのバージョンは基本的に下げられないと思っていたほうがいいので、OSの新しいバージョンが十分に安定稼働していることを確認してから上げたほうがよさそう。

ZFS (zpool) のバージョンを上げるには、言われたとおりのコマンドを実行する。

# zpool upgrade zroot1
This system supports ZFS pool feature flags.

Enabled the following features on 'zroot1':
  device_removal
  obsolete_counts
  zpool_checkpoint

If you boot from pool 'zroot1', don't forget to update boot code.                                                      
Assuming you use GPT partitioning and da0 is your boot disk
the following command will do it:

        gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 da0

最後に、ブートローダーも新しいZFS対応のものに上げないと起動できなくなるのでこれはきっちりやっておく。da0は適宜読み替える。

以上、手順自体は今更メモしておくほどのことではないけど、ZFSのバージョンを上げるのを数年忘れていたので思い出しついでにメモ。


2018-08-07 [長年日記]

Amazon Route 53 Health Check の User-Agent が変わっていた

Amazon Route 53 Health Check で HTTP/HTTPS でヘルスチェックするときの User-Agent が変わってました。

新旧はこんな感じ(UUIDはダミーです)。

旧:

Amazon Route 53 Health Check Service; ref:b0eb04d5-cb5e-40e7-839b-558e52fc3f0d; report http://amzn.to/1vsZADi

新:

Amazon-Route53-Health-Check-Service (ref b0eb04d5-cb5e-40e7-839b-558e52fc3f0d; report http://amzn.to/1vsZADi)

Apache 側で以下のようにしてヘルスチェックのアクセスはログに残さないようにしていたので、User-Agent が変わっていていつのまにか全部ログに残っていました。

SetEnvIf      User-Agent      "Amazon Route 53 Health Check Service;.*"       nolog
CustomLog     /path/to/access_log combined env=!nolog

ログによると、JSTで 11/Jul/2018:02:03:16 +0900 からこのUser-Agentでアクセスしているっぽい。

ちょっとググったところ、以下のAWSフォーラムの投稿が見つかりました。以前のUser-Agentのセミコロンの使い方がよくないということで、それを反映した変更っぽい? RFC7231を斜め読みしただけではいまいちよく理解できてないけど、( ) の中にセミコロンが登場するのは許されるということだろうか。


2018-07-31 SoftEther VPN でRADIUS認証時に送信される Attribute [長年日記]

SoftEther VPN でRADIUS認証時に送信される Attribute

SoftEther VPN でRADIUS認証を使用する際、RADIUSサーバに送られるAttributeを調査したのでメモ。

本当はソースコードを参照するべきかもしれないが、とりあえずパケットキャプチャして調査。IPsec over L2TP で接続した場合の結果。

AVP: l=6 t=User-Name(1): username
AVP: l=34 t=User-Password(2): Encrypted
AVP: l=22 t=NAS-Identifier(32): SoftEther VPN Server
AVP: l=6 t=Service-Type(6): Framed(2)
AVP: l=6 t=NAS-Port-Type(61): Virtual(5)
AVP: l=6 t=Tunnel-Type(64) Tag=0x00: PPTP(1)
AVP: l=6 t=Tunnel-Medium-Type(65) Tag=0x00: IP(1)
AVP: l=5 t=Called-Station-Id(30): rad
AVP: l=14 t=Calling-Station-Id(31): (VPN接続元IPアドレス)
AVP: l=14 t=Tunnel-Client-Endpoint(66): (VPN接続元IPアドレス)

SoftEtherはVPN接続時、@suffix をつけることによって接続先の仮想ハブを制御することができるので username@hub というフォーマットでユーザ名が与えられたら、@ で分割して usernameUser-Name に、 hubCalled-Station-Id にセットしたRADIUSサーバに送信する。

本来のユーザ名に@を含む、メールアドレス形式のような場合は username@example.com@hub とするとRADIUSサーバに送信されるユーザ名は username@example.comCalled-Station-Idhub となる。

NAS-IdentifierCalled-Station-Id の組み合わせを見ると、いろいろ細かく制御できるかもしれない。

802.1X で Wi-Fi の認証を行う場合

余談として、802.1X で Wi-Fi の認証を行う場合は Called-Station-Id にAPのMACアドレスと、接続しようとしているSSIDをセットして送信する。SSIDごとに接続できるユーザを制御したいという場合、このあたりを見れば良さそう。

まともなAPの場合、RADIUS認証のAttributeはRFC3580準拠で送信しているはず。

AVP: l=6 t=User-Name(1): username
AVP: l=6 t=NAS-IP-Address(4): 192.168.0.24
AVP: l=6 t=NAS-Port(5): 0
AVP: l=23 t=Called-Station-Id(30): 00-00-00-00-00-00:SSID
AVP: l=19 t=Calling-Station-Id(31): 01-01-01-01-01-01
AVP: l=6 t=Framed-MTU(12): 1400
AVP: l=6 t=NAS-Port-Type(61): Wireless-802.11(19)
AVP: l=23 t=Connect-Info(77): CONNECT 0Mbps 802.11a
AVP: l=96 t=EAP-Message(79) Last Segment[1]
AVP: l=18 t=State(24): 7e1b872e76259ebf56d52794715f8ebb
AVP: l=18 t=Message-Authenticator(80): 9040a06e011eaeb51518a6fa683f0293