DMARC界隈の動きにあわせてPostfixをAuthenticated Received Chain(ARC)とEd25519 SHA-256のDKIMに対応させてみます。
続きを読む
カテゴリー: System Admin
消えたwakwak このwakwakの障害はglueレコードの理解を深めるチャンスです
お客様宛メールの配送エラー。XePhion エンタープライズの一部サービスにおける障害発生のお知らせについてPDF…
1. 発生日時
2019 年 7 月 30 日(火)2. 影響範囲
■現在ご利用いただけないサービス
(1) 「wakwak.com ドメイン」「wakwak.ne.jp ドメイン」のメール送受信
…
とのことで見てみるとns1.wakwak.comとns2.wakwak.comのglueレコードが消えたからwakwakも消えたのですね。
続きを読む
電波時計に10分前行動させてみる
CuPy, Chainer をAnaconda3で使う インフラ気にしたくない、Windowsでお気楽にCUDA, cuDNN使いたい
2018-11-30現在
CuPyをインストールするのにCUDAとかcuDNNとかWindowsだとVisual Studioとか大変だった方もいらっしゃると思いますが、 CuPyがcondaコマンドでインストールできるようになりました ということでWindows用も出来上がっているので、一利用者としてはもうAnaconda使うに限るっしょという感じです。バージョンちょっと旧くても良いし(2018-11-30現在だとChainer 4.5)、pipがどうとかインストールがどうとかどうでもよいけどNVIDIA積んでるからCuPy使いたいという方にAnaconda3はお勧めです。
ただ、
RTFM: CuPy 5.1.0 – Installation Guide
自動テスト通ってんのはUbuntu GNU/Linux 64bit LTS14.04/16.04とCentOS 7(64bit)だけだかんね。WindowsとかmacOSを含む他の環境でのCuPyは、動いてるように見えてもわしゃ知らんからね。
と書かれている(CuPy 5.1.0より前も同様)ので、テストの詳細はよくわかりませんが(オープンソースなんだから見ろという…)、機能まで含まれているとすると、違う環境で動作させようとしているまじめな良い子は
- 財布の紐のadminに相談、物で溢れ返っている人は空間デザイナーにも相談
- マルチブート
- クラウド, VPS,レンタルサーバ
等を駆使して、書かれているGNU/Linux環境を整えます。
この機械はWindowsゲーム用、まじめでもガチ勢でもないからこのままAnaconda3をインストールするくらいで、できるだけめんどいことしたくないけどCuPyは使いたいし、ということで進めます。
念のため CUDA GPUs の中からお持ちのGPUを探して、Compute Capabilityの数字を確認しておきます。Installing cuDNN に、必要なcompute capabilityが書かれて(ただ今だと3.0以上)います。
古いSymantecの証明書 The SSL certificate will be distrusted in M70.
DoT(DNS over TLS)とかECS(EDNS Client Subnet)とか DNS over TLS(RFC7858), +DNS over DTLS(RFC8310), EDNS Client Subnet RFC7871
去年の暮れからのpublic DNS界隈の盛りあがりに合わせて社内キャッシュサーバまわりを確認してみます。まずはECSをみてみました。DNS over TLSは後半に実際にUnboundで設定してみました。
8.8.8.8といえば元祖(2009年)サルでも覚えられるIPv4アドレスですが、2014年より昔にresolv.confに書いたまま放置してる方でECSに気付いていない方はいませんか。
続きを読む
DNSSECとDNS update(RFC2136,nsupdate)とdelegation Let's Encryptワイルドカード証明書とDANE TLSA RRを添えて
締め切りより品質という記事が出ていますが、お疲れ様です。Let’s Encryptのワイルドカード証明書のサポートはとても便利になるので期待しながらDNSSECでdns-01を使った自動化の下準備をしてみます。(2018/3/14 ACME v2 and Wildcard Certificate Support is Liveということでcertbotにてワイルドカード証明書を取得しました。末尾に簡単に追記します)
続きを読む
サーバ証明書更新 The SSL certificate will be distrusted in M70.
ChromeおよびブラウザコミュニティによるSymantecの証明書の順次警告、無効化問題だそうで、該当する証明書(うちで該当するのはもちろん格安なDV RapidSSL)持ってるからさっさと更新せい、というメールが証明書屋さんから何度も来ました。TLSAの更新が必要なのでそれなりにめんどかったですが、本サイトも含めて2サイトの証明書を更新いたしました。皆さんどうしているのか見ようとしたところ…
続きを読む
RECV/CQ: Invalid WhiteTable code word, row 0, x 0
2017/5/22追記: libtiff本家から2017/5/22に4.0.8がリリースされたので、順次libtiffが4.0.8にアップデートされていけば以下の問題は発生しなくなるのでしょう。
与信を通過しましたとか、(情報) 統合思念体(ってなんだか知らないけどなんか納得)様からのFAXがしばらく来てませんでしたがFAXが必須な仕事でも無く、電話番号とTSIの一覧はエラーも含めてすべて毎日自動的に送られてくるので必要なものかどうかは一目瞭然なのと、そもそも必要ならば別のコンタクト手段がいくらでもあるので気付かないふりを継続していました。しかしついに年に1,2回のFAXを受けないといけない場面に出くわし、届かないので詳細ログを確認したところ、FAXサーバのlibtiffが4.0.7にアップグレードされた2016年の暮れ頃から3ヶ月以上FAXが正常受信されずに 続きを読む
ntpd – PPS discipline まずは普通に較正 編
A/Dコンバータでも作ろうかと秋月でセンサーを覗いているとGPS受信機キット 1PPS出力付き 「みちびき」対応 [AE-GYSFDMAXB]なるGPSが2,200円、こっちに目を奪われました。
- 出力データ形式
- NMEA0183V3.01準拠
- 電源電圧
- DC5V(3.8V~12V)
- 入出力信号レベル
- C-MOSロジック(3.3V)
- UART通信速度
- 9600bps(デフォルト)、4800~115200bps
- 1PPS出力
- 精度±10ns C-MOSロジック(3.3V)レベル,パルス幅:100mS(アクティブLow)
いー感じです。 続きを読む
Notable Changes in NSS 3.27 CA certs. - Removal of 'Equifax Secure Certificate Authority'
某メールサーバ宛TLSでエラー発生
|
1 2 |
postfix/smtp[28442]: ... delay=3866, delays=3865/0.04/0.31/0, dsn=4.7.5, status=deferred (Server certificate not trusted) postfix/smtp[28444]: certificate verification failed for ...:25: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority |
確認してみます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
> /usr/local/bin/openssl s_client -showcerts -connect ...:25 -starttls smtp CONNECTED(00000003) depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/OU=... i:/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3 -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- 1 s:/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3 i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA -----BEGIN CERTIFICATE----- MIIEJTCCAw2gAwIBAgIDAjp3MA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT ... gP8L8mJMcCaY -----END CERTIFICATE----- 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority -----BEGIN CERTIFICATE----- MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT ... b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S -----END CERTIFICATE----- |
3つ送られた証明書の最後の証明書のi:のCA証明書が無いのでエラーになっているようです。確かにNSS 3.27で削除された(コード)ようですが念のためコピペして食わせて確認してみます。 続きを読む
Unique Local IPv6 Unicast Addresses – ULA ユニーク ローカル IPv6 ユニキャスト アドレス
NURO光を導入した知人宅でNAT2段超えIPsecトンネルを作って遊んでいた際、HG8045QというONU(無効にできないルータ内蔵)にULAモードなる設定があり、そのお家ではULA無しに設定されましたが、そういえば大昔に自分でも付けたなと思い起こし、プレフィックス生成ツールがごろごろある中RFC4193 3.2.2. Sample Code for Pseudo-Random Global ID Algorithmのサンプル通りに手動で生成だけしてみます。
続きを読む
bruteblock – 非公式IPv6パッチ
キエフ発のbruteblockはSSHのbrute-force攻撃対策で参照されることが多いようですが、標準入力を読んでipfwのテーブルに追加(bruteblock)してくれ、テーブルから決められた時間経過後に削除(bruteblockd)してくれるというシンプルな作りのおかげで使い道は無限大、自分次第あなた次第、SMTP-AUTH, IMAP4へのあくなき挑戦や、公開していないポートへのアクセスなど、好きなトリガーを設定するだけです。
Apache HTTPDのCustomLog directiveはpiped logを出力できますし、SSHでの利用例のようにsyslogdもパイプに出力できるのでsyslogを吐くプログラムならば何でもbruteblockを利用できることになります。
Protocol 139なIPパケット – 備忘録
Protocolフィールドが139なIPパケットについての情報へのリンク(TCPやUDPではなく、またPortが139なのではない)。/etc/protocolsに載ってない機械だらけだけどIANA登録済み
- IANA Protocol Numbers
- RFC7401 Host Identity Protocol Version 2 (HIPv2)
- OpenHIP
.tc .vg .gd 問題
登録/更新料金の猛烈な値上げがレジストリによって行われるという笑撃の事態に出会ったのが1年ほど前、影響は比較的小さかったとはいえ先がやばそうなので3文字 .tc を1つその時に手放しました。
しばらくしてdd24.net(Key-Systems.com)のRSSでなんだかなアナウンスが出ていると思ってましたが、なんとこの事態は今まで続いていたということを最近のアナウンスで知りました。ググってみたところ、ちょっと見ない間にもうわけわからんことになっているようです。まがりなりにもTLDなのに恐るべし…
ググって出てくるページがまとまってました。whoisも両レジストリ(?)のデータベースで内容が違ったりしているようです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
> host whois.adamsnames.com whois.adamsnames.com has address 109.234.109.174 (netname:KEY-SYSTEMS-GMBH) > whois -h 109.234.109.174 adamsnames.tc ; The data in the WHOIS database of AdamsNames Limited is provided by ; AdamsNames Limited for information purposes, and to assist persons in ... domain name: ADAMSNAMES.TC registrar: AdamsNames Limited url: http://www.adamsnames.com status: ok created date: 1998-08-28 00:00:00 updated date: 2012-08-27 13:17:17 expiration date: 2013-08-28 00:00:00 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
> host whois.meridiantld.net whois.meridiantld.net has address 77.79.76.2 (netname:NET-MTV-GRID, country:TR) > whois -h 77.79.76.2 adamsnames.tc Domain Name: adamsnames.tc WHOIS Server: whois.meridiantld.net Updated Date: 2013-03-08T16:24:46.023Z Creation Date: 1998-08-27T21:00:00.000Z Registry Expiry Date: 2013-08-28T21:00:00.000Z Sponsoring Registrar: Meridian Internal Sponsoring Registrar IANA ID: -- Domain Status: ok Registrant Name: Meridian TLD Corporation Registrant Organization: Meridian TLD Corporation Registrant Street: Mill Mall Tower Registrant Street: Wickhams Cay, 1 Registrant City: Road Town Registrant State/Province: Tortola Registrant Postal Code: VG1110 Registrant Country: VG Registrant Phone: +445603689891 Registrant Phone Ext: Registrant Email: [email protected] |
グルーレコードは大丈夫なのかとかも含めて違いを探すだけで小一時間は遊べそうですが、はちゃめちゃすぎて時間の無駄っぽいですね…そして先ほどのフォーラムに出ていたIANAのページの抜粋です。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
Delegation Record for .TC Sponsoring Organisation Melrex TC Richmond House PO Box 127 Leeward Highway Providenciales Turks And Caicos Islands Registry Information URL for registration services: http://meridiantld.net WHOIS Server: whois.meridiantld.net Record last updated 2013-05-03. Registration date 1997-01-27. |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Delegation Record for .VG Sponsoring Organisation Pinebrook Developments Ltd Craigmuir Chambers P.O. Box 71 Road Town Tortola Virgin Islands, British Administrative Contact Technical Contact Registrar AdamsNames Ltd c/o 3 Adams Road Cambridge CB3 9AD United Kingdom Email: [email protected] Voice: +442033972738 URL for registration services: http://www.adamsnames.tc/ WHOIS Server: whois.adamsnames.tc Record last updated 2013-02-05. Registration date 1997-02-20. |
レジストリ(誰?)の指示だとして該当ドメインのDNSのリソースレコードの変更まで禁止されて悶絶の方々も見つかります。そこにその方自身がMeridial TLDとコンタクトを取った返事として載せられていることには、「AdamsNamesを動かしていたチームはMeridial TLDを動かしているチームだ。AdamsNamesにはもうレジストリを運用するインフラも知識もない」となっています。
レジストリのバックエンド担当のdd24と同じグループのKSregistryの2013/3/11ニュースのUpdate(4/12)では「(Key-Systemsの)RRPproxyは.tcと.gdと.vgの変更、登録、トランスファーを有効にしない」となっています。これはリソースレコードの変更には特に抵触しないですね。
AdamsNamesは違法に横取りされた(されるような退職者メールアドレスの管理をしているのが一番まずいと思いますが)、Meridian TLDが勝手にAdamsNamesを名乗ってICANNのミーティングに出席したと言っています。この記事によればAdamsNamesの言い分ではKey-Systems(KSregistry)を共犯としていたようです。
先ほどのニュースには、もうひとつ5/6にKSregistryが.gdのレジストリになったと書かれています。これは.gdのSponsoring Organisationが国立のNTRCだったからできたのでしょう。
ハチャメチャながらも少し流れがわかったところで先ほどの最近のアナウンスに戻ります。”The current operator of the ccTLDs is Meridian TLD Corp.” だそうです。っておーい、どういう流れでそうなったのか、IANAだかICANNだかの見解の説明をKSRegistryなりKey-SystemsなりKeyDriveの誰かがしてくれないと、これから公式ハイジャックとかできるようになるの?とか思っちゃいます。オペレータってなんだろう。
実際にこれらのドメインを使っていた人にとって、長期間にわたる不便は本当に困ったもんだと思いますが、わけのわからないccTLDと認識されてしまった痛手も長引きそうです…DNSSEC使ったところでレジストリが簡単にハイジャックされたとなれば意味がなくなっちゃいます。インターネットが脆弱なことを示す事件がまた増えましたが、事実関係が早くちゃんと明らかにされるとよいです。