meta's blog - The Power To Serve

■ 無料化された八木山バイパスを走ってきた

ぐるぐるアンバランス 八木山バイパス より。

八木山バイパスは福岡県糟屋郡篠栗町と福岡県飯塚市を結ぶバイパス道路。国道201号バイパスの一部であり、同路線の難所・八木山峠を本来の峠よりやや南側に迂回する形で結んでいる。福岡市と近郊地域を結ぶ博多東バイパス、飯塚市と田川市を結ぶ飯塚庄内田川バイパスと直通しており、福岡都市圏と筑豊地方の時間短縮移動に欠かせない。

この自動車専用有料道路であった八木山バイパスが、2014年10月1日 0時に償還期限を迎え無料開放されました。当初の償還完了予定は2015年2月末だったのですが、建設費の返済が順調に進んだことから当初の予定より早く無料開放されることになったようです。この八木山バイパスを無料化後に早速走ってきました。

八木山バイパスは無料開放直前の9月29日21時より、無料開放に伴う工事のため通行止めとなっていました。通行止めが解除されるのは10月1日0時で、27時間にわたって通行止めとなっていたため、朝夕の通勤時間帯は八木山峠が大渋滞だったようです。そして通行止めがまもなく解除される9月30日23:45頃、既に無料開放を待つ車でバイパス入口に列ができ始めていました。写真は篠栗側です。

単独で走行のため、青色に取り替えられている標識などを撮影することはできませんでしたが、緑色のまま残っているもの、青色に交換されているものとが混在していました。緑色のまま残っていたのは、出口ICの補助標識(地名が縦書されているもの)や非常駐車帯の標識、トンネル入口のトンネル名が記してある標識などで、その他の標識は登坂車線の始まり、終わりを示すものなどを含めて青色の標識に交換されていました。

有料道路時代は篠栗方面から進入し本線料金所を通過したすぐ後に、飯塚方面へ向かう車のための休憩所(ピンの位置)があり、そこに車を停めて料金所を撮影することができた(右下の写真)のですが、無料化後に閉鎖されてしまったようで撤去中の料金所を撮影することはできませんでした。

この通り、休憩所は閉鎖されていました。下の写真の位置にそのまま車を停めて、歩いてポールを乗り越えて行けばかつての駐車場なので、そこから料金所撮影することもできなくはなかったのですが、やめておきました。撤去中の料金所は既に屋根と料金収受機が撤去され、下部のコンクリートを残すのみでした。また、料金所のレーンは一部閉鎖されていて走行時点では両方向共に一番左のレーンだけが走行可能な状態でした。

また、篠栗料金所には秘境ICとして知られる城戸出入口(ぐるぐるアンバランス・城戸緊急退出路訪問記)がありますが、無料開放後も有料道路時代から特に変わらず、一般に利用できるのは入口のみで出口は閉鎖されたままでした。

出口のバリケードは下の画像の通り、逆走事故など防止のため警察署の指示で設置されたもので、有料道路時代はリンク先の通り城戸出口(城戸緊急退出路)は管理事務所に出向いて申し出るとゲートを開けてもらえたのですが、無料開放され料金所の撤去工事が終わってしまえば管理事務所はいずれ無人になるでしょうからこのまま事実上廃止となってしまうのかもしれません。

「城戸緊急退出路」画像はWikipedia より引用。

入口の方はというと、舗装と標識が新しくなり、通行料金を示すNEXCOの標識は撤去されていました。こちらは引き続き利用可能です。舗装も標識も新しくなったのは無料開放以前で、無料開放の前後で変化があったのはNEXCOの標識の有無だけです。

以上、簡単ですが無料開放直後の八木山バイパスのレポートでした。2015年2月まで料金所の撤去工事が引き続き行われるようなので、無料自動車専用道路となった八木山バイパスはしばらく姿を変えていくことになります。いずれは4車線化されるのでしょうか。

• 国道201号（八木山バイパス）の無料開放について
• 国道201号（八木山バイパス）の無料開放について(魚拓)

そして、いくつかツイートまとめ。

八木山バイパス、後一時間で無料走行開始だけど、ゲートに開通一番乗りとか言って待機している人が居そう。

— yorimichi coffee (@yorimichicoffee) 2014, 9月 30

八木山バイパスは結局ETCのノンストップ通行は出来ないまま料金徴収が終わったのか…　自動収受機にカード入れなきゃだめだったんだよなぁ、それすら実装遅かったし

— かずみ (@kazmixworld) 2014, 9月 30

八木山バイパスって、普通車（軽自動車含）1回530円って凄い高いように見えるんだけど、本当に通行料だけで償還できたのって凄い。やはり福岡⇔筑豊の連絡にバイパス使う人多いんだなーとつくづくそう思うわ。

— hiro (@gurubara) 2014, 9月 30

いよいよ八木山バイパス無料化まであと3時間を切りました！現在、料金所の撤去工事などを行っているので通行止めの状態だけど、あと数時間すれば名実ともに「無料自専道」が福岡県に新たに誕生することに。

— hiro (@gurubara) 2014, 9月 30

さらばNEXCO西日本。またひとつ、有料道路が消え去った。有料時代の想いは、永遠に忘れない。

— hiro (@gurubara) 2014, 9月 30

八木山バイパス無料化開通でなんかカメラ持った人たちが現場きたけど((((；ﾟДﾟ))))))) おれ上登って必死に道路標識取り替えてたんだよね

— 真弘 (@1212Kurume) 2014, 9月 30

めた様が完全に松屋行ってる時のおわたんのそれ

— なーが (@na__ga) 2014, 9月 30

ちょっとはしゃぎすぎました。

この日記で使われている写真は、picasa のアルバムから大きなサイズを見ることができます。

■ TigerVNC 1.3.1 で通信が暗号化されているか確認する方法

この記事は TigerVNC 1.3.1 時点の情報を記述しています。

TigerVNC は TLS による暗号化通信に対応しているため、暗号化モードで通信すればすべてのトラフィックは暗号化されいくつかの条件付き(後述)でインターネット越しにも安全に使用することができます。

現在の VNC セッションが TLS で通信しているかどうかは F8 → Connection info... で接続情報を表示することで確認できます。下の画像のように Security method が TLS または x509 で始まっていれば、通信が TLS で暗号化されています。TLS/x509 に続く文字列は None / Vnc / Plain の3種類があり、合わせて以下の6種類のパターンがあります。

• TLSNone
• TLSAuth
• TLSPlain
• x509None
• x509Auth
• x509Plain

TLS は「アノニマス TLS モード」といい、すべての通信を暗号化しますが、サーバ＆クライアントの検証は行わないため中間者攻撃に対しては安全ではありません。より安全に使うには、別の手段でサーバの正当性を確認する必要があります。またこの中でも TLSNone は認証なしで接続できるモードのため、単に通信が暗号化されているだけで、誰でも接続できてしまうためあまり意味はないでしょう。

x509 は TLS による暗号化に加えて、サーバ証明書＆クライアント証明書の検証を行う、TigerVNC がサポートしているうちもっとも安全なモードです。証明書で認証を行うため、HTTPS でクライアント認証を行う場合などと同等の安全性です。

■ TigerVNC 1.3.1 で暗号化通信を強制する方法

TigerVNC ではサーバとクライアントの両方が TLS をサポートしていれば自動的に TLS を使ったセッションが確立されますが、接続しようとしているサーバが TigerVNC でない場合、クライアントが TigerVNC を使っていても TLS が使われない場合があります。

クライアント側で暗号化をサポートしていないサーバには接続しないという設定にしたい場合は Options... → Security → Encryption から None のチェックを外します。これで暗号化をサポートしていないサーバに接続しようとした場合は接続エラーとなり、暗号化をサポートしたサーバにのみ接続できるようになります。

サーバ側で暗号化をサポートしていないクライアントは接続させないという設定にしたい場合は、SecurityTypes オプションを指定します。SecurityTypes は複数指定可能です。None と VncAuth(※1) は暗号化されないモードなので、これらを含まない形で指定してやれば OK です。

$ vncserver (適当なオプション) -SecurityTypes=TLSVnc

vncserver ではなく Xvnc を直接使う場合も同様です。

$ Xvnc (適当なオプション) -SecurityTypes=TLSVnc

クライアント＆サーバ証明書で認証を行う場合は、さらにオプションで証明書ファイルのパスも指定してやります。

$ vncserver (適当なオプション) -SecurityTypes=x509None -x509ca=/path/to/ca -x509crl=/path/to/crl

上記はあくまでも例なので、環境に合わせて適切にオプションを指定してください。

また、これらの設定をした場合はサーバ・クライアント共に TigerVNC でないと接続できなくなる可能性があります。 OS Xの画面共有など、他の VNC クライアントで接続する必要がある場合には注意してください。

※1 VncAuth では認証時のパスワードのみがチャレンジ＆レスポンス方式で、キー入力や画面の転送は暗号化されません。

■ FreeBSD 10.1-BETA1 から BETA2 の間で xrdp の PAM 認証ができなくなった(調査編)

FreeBSD 10-STABLE に xrdp でデスクトップ環境を構築した環境で普段生活してるんですが、stable ブランチを追いかけていて 10.1-BETA1 から BETA2 にしたタイミングで PAM 認証が通らず接続できなくなった。

リビジョンでいうと r271848 と r271444 の間の変更で何かが変わったのが原因なので、中間のリビジョンをチェックアウトして buildworld して、ダメならまたその中間をチェックアウト…という手順で特定。

やはり r271766 でPAM まわりのコードで変更があったのが原因ぽい。該当する Bugzilla は Bug 83099 で、なんと2005年8月に報告されたバグが9年越しで修正されて MFC された結果、影響を受けてしまったらしい。

差分 をざっと見ると pam_sm_acct_mgmt は PAM_TTY か PAM_RLOGIN のどちらかに何かをセットしていないとエラーになるように変更されたみたいなので、このへんで pam_acct_mgmt を実行する前に pam_set_item(pamh, PAM_TTY, something) みたいなコードを追加すればいいっぽい。

■ 月まであと半分

1km過ぎてしまったけど、地球から月までの平均距離とされる384400kmの半分、192200kmに到達しました。 9月と10月は車で移動することが多かったので、35日間で2200kmと普段よりかなり多め。20万キロが近づいてきました。

■ FreeBSD 10.1-BETA1 から BETA2 の間で xrdp の PAM 認証ができなくなった(解決編)

前回の記事で突き止めた FreeBSD base の PAM まわりの修正によって xrdp の PAM 認証ができなくなった件は、PAM_TTY に "xrdp-sesman" をセットすることで解決した。

PAM まわりに変更が入った後の FreeBSD で正常に動くことを確認して、プルリクエストを投げてマージしてもらいました。いくつか FreeBSD 固有の事情に対する修正を upstream に投げてるので、一通り取り込んでもらってから 0.6.2 としてリリースしてもらうことを検討中です。

• https://github.com/neutrinolabs/xrdp/pull/176

FreeBSD ports の方の更新も Bugzilla に投げてるのでそのうちコミットされると思います。

• https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=194474