System Admin – ページ 4

Comodo affiliate RA was compromised

2011-03-242021-11-16 清水文行

Comodoより重要サイトの証明書が不正な相手に発行されたという記事。RAはどこだったんでしょうか(参考1, 参考2)。ちょっと昔のnull-prefixの証明書の話とは異なります。

Comodo: Report of incident on 15-MAR-2011
Comodo: The Recent RA Compromise
Firefoxの対応(ブラックリスト)(他のMozilla製品の対応は?)
Microsoftの対応(ブラックリスト)(要Windows Update)

How to avoid fraudulent SSLでは、失効した証明書を

OCSPレスポンダが提供されていてOCSPをサポートしているクライアント使用でも
- OCSPを有効にしていない
- OCSPレスポンダの応答がタイムアウトした場合に有効な証明書とみなすようにしている
場合に、クライアント側が有効な証明書とみなしてしまう
大手ブラウザはそのような状況用にブラックリストを更新 ⇒ 最新にせよ
OCSPを有効にせよ、タイムアウト時に証明書を無効として扱うようにせよ
EV SSLを使用せよ(いきなりサーバ側の話)(現在CAはOCSPをサポートしないといけない参照: EV SSL Certificate Guidelines 11.1.1)

などの、サーバ証明書を売る立場での説明があります。特に今回のような大きな問題の場合は、クライアントが検証用にCRLをダウンロードするタイミングよりOCSPレスポンダへの問い合わせのタイミングのほうが早い場合が多いのでしょう。

秘密鍵がポストされてしまったようなので、ブラックリストでの対応があるクライアントは最新にアップデート、OCSPに対応している場合はタイムアウトした場合も無効となることの確認が急がれます。

参考: MS01-017

CVE-2011-0411 Plaintext injection in STARTTLS

2011-03-082021-11-16 清水文行

Plaintext command injection in multiple implementations of STARTTLS (CVE-2011-0411) Wietseさんが具体例でSendmailとEximに影響が無い理由とPostfix(2.8リリース時に修正済み)やQmail-TLSなどには影響がある理由を示しながら、いつものように上手に説明をしてくれています。
Bugtraqへのポスト
VU#555316
CVE-2011-0411
NVD

多くのSMTPクライアントはサーバ証明書を検証しない -> その場合そもそもMITMがいない確認ができていないので常にcommand injectionに脆弱な状態 -> だからこの問題は見た目より大きな問題ではない。という皮肉が効いてます…今時だとスマホアプリやIoT機器(こちらはそれなりの値段で買わないと手に入らないものが多いので比較的公開されてませんが、某社製のSSLスタックを積んでたりすると…)のサーバ証明書の検証不備の脆弱性がその状態ですね。

というわけでSTARTTLSからみでSMTP over TLS以外にもしばらく後続がありそうです。

FreeBSD ACPI acpi_tz0: _CRT value is absurd, ignored (256.0C)

2011-02-242021-11-16 清水文行

HP Compaq nx6320/CT Notebook PC(ノートPC)にFreeBSDをぶち込んだところ表題のメッセージが出続けます。absurdですか、そうですねハンダが溶けそうです。acpi(4) と SEE ALSO の acpi_thremal(4) が関係ありそうです。 hw.acpi.thermal.tz%d._CRT は致命的なのでシャットダウンする温度だそうな。上書きできると書いてありますが、実は一瞬できるように見えるだけですぐにもとの値に戻るようです。 hw.acpi.thermal.polling_rate を 0 にしてポーリングを止めてしまうという荒技だと猛暑のときに機械が壊れそうなので、こちらacpi_tz0: _CRT value is absurd, ignored (256.0C) (was pr kern/105537) FIX?のようにしてみます。

# acpidump -dt >nx6320.asl
# cp -p nx6320.asl nx6320.asl.orig

1 2	# acpidump -dt >nx6320.asl # cp -p nx6320.asl nx6320.asl.orig

中身を眺めると、 ThermalZone (TZ0) の中が記事で参照しているところと同様のようです。単位は0.1Kのようなので、90℃=363.15K=3631.5*0.1K を返すようにしてみます。

--- nx6320.asl.orig     2011-02-10 19:49:59.000000000 +0900
+++ nx6320.asl  2011-02-10 23:12:08.000000000 +0900
@@ -12942,7 +12942,8 @@

             Method (_CRT, 0, Serialized)
             {
-                Return (C316 (0x04, 0x00))
+                Return (3632)
             }

             Method (_TMP, 0, Serialized)

--- nx6320.asl.orig 2011-02-10 19:49:59.000000000 +0900

+++ nx6320.asl 2011-02-10 23:12:08.000000000 +0900

@@ -12942,7 +12942,8 @@

Method (_CRT, 0, Serialized)

{

- Return (C316 (0x04, 0x00))

+ Return (3632)

}

Method (_TMP, 0, Serialized)

これを元に

# mkdir tmp
# iasl ./nx6320.asl
# mv -i ./tmp/acpidump.aml /boot/nx6320.aml

# mkdir tmp

# iasl ./nx6320.asl

# mv -i ./tmp/acpidump.aml /boot/nx6320.aml

あとはハンドブックの通りに /boot/loader.conf に以下を追加。

acpi_dsdt_load="YES"
acpi_dsdt_name="/boot/nx6320.aml"

1 2	acpi_dsdt_load="YES" acpi_dsdt_name="/boot/nx6320.aml"

リブートして表題のメッセージは止まりました。よかったよかった。

PivotXを利用されている方は最新版にアップデートするべし (was: PivotXを利用されている方は2.2.5以降へアップデートするべし CVE-2011-1035)

2011-02-152021-11-16 清水文行

2011/10/8追記: WordPress TimThumb RFI Vulnerability used as Botnet Recruitment Vectorにあるようなurlがquery string上で目立つTimThumbを狙ったアクセスを頻繁に観測していますが、PivotXも2.3.0のリリースノートでさりげなく書いてあるように本体がTimThumbを搭載しています。常にリリース状況を確認して最新にされることをお勧めします。なおこの問題に脆弱なPivotXのfingerprintingも、多くのケースでそうであるようにヘッダも含めてバージョン表示を消したところで即時に可能です。

2011/2/19追記: CVE-2011-1035, Vulnerability Note VU#175068

2011/2/14: PivotX 2.2.4がリリースされても告知が無く、SourceForgeにもリリースのアーカイブファイルがアップロードされないのでどうなっているのか見てたところ、フォーラムで開発チームからいくつか発言が出てきました。

2.2.4は緊急セキュリティ修正、そしてまもなく2.2.4での修正による悪影響を修正した2.2.5が~~出てくるそうです~~2011/2/17早朝に2.2.5リリースされました。SourceForgeにも置かれています。実際に攻撃があったことが複数報告されています。開発チームは詳細の公開を望んでいないようですが、結構誰でもすぐにわかってしまうかも…というかそもそも攻撃が現在進行形であるようなので可及的速やかに~~2.2.4、そしてリリースされ次第~~2.2.5以降にアップデートする必要があることになります。 http://pivotx.net/ の下の方にある最新情報を軒並み注意しておくとよろしいかと思います。アップデートだけではなく images/ と pivotx/templates/ を含むすべてのフォルダにmalwareが置かれていないことも要確認です。必要の無いファイルがある場合はダッシュボードに注意をうながすメッセージが出るようですが、出ないからと安心してしまわないようにしたいものです。全員のユーザ名が予測困難なものであることの確認とパスワードの変更を検討された方がよろしいかもしれません。

直接この問題とは関係無く、admin,system,pivotxなどの容易なユーザ名や、簡単にblogエントリから推測できるようなユーザ名は使用しないことを周知するとよろしいです。またCSRFはかわせないですがscript kiddieによる外部からのpivotx/index.phpへの直接攻撃には、例えばApache HTTPDで10.1.2.128/25,192.168.0.0/16からしかログインできないようにして良い状況でサーバ設定ファイルが変更できるのであれば

<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   Order Deny,Allow
   Deny from all
   Allow from 10.1.2.128/25
   Allow from 192.168.0.0/16
</locationMatch>
とか
<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   <RequireAny>
     Require ip 10.1.2.128/25
     Require ip 192.168.0.0/16
   </RequireAny>
</locationMatch>

Order Deny,Allow

Deny from all

Allow from 10.1.2.128/25

Allow from 192.168.0.0/16

</locationMatch>

とか

Require ip 10.1.2.128/25

Require ip 192.168.0.0/16

</RequireAny>

</locationMatch>

さらに403では無くてリダイレクトさせるには追加で

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$    /$1/? [R=301,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$ /$1/? [R=301,L]

.htaccessしか使えない場合はyourblogdir/pivotx/.htaccessファイルを作成して

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

(yourblogdirはそれぞれの環境に合わせて)程度の制限をしておいても良いかもしれません。くどいようですがCSRFはこれでは防げません。pivotx/index.phpを利用した直接攻撃だけに対する限定的な緩和策で、基本は常に最新版へのアップデートです。

なおこの問題に脆弱なPivotXのfingerprintingは、多くのケースでそうであるようにヘッダも含めてバージョン表示を消そうとも即時に可能です。

2011/2/22:

netname: VODAFONE-TURKEY-3G-46-106
descr:   Vodafone Turkey 3G IP Pool
country: TR

netname: VODAFONE-TURKEY-3G-46-106

descr: Vodafone Turkey 3G IP Pool

country: TR

から、google.com.tr の検索語 “inurl:jp pivotx” のSERPがReferer:の攻撃を観測しましたよ。

2011/2/17早朝:2.2.5がリリースされてSourceForgeにも置かれました。

2011/2/16朝:pivotx.netさきほど復活しました。

2011/2/15現在:pivotx.netがある共有サーバがダウンしてSourceForgeでも2.2.4以降のリリースとしてのアーカイブは入手方法がありませんが、SVNにコミットされたリリース前版は入手可能です:

http://sourceforge.net/projects/pivot-weblog/develop
http://web.archive.org/web/20160416045740/http://book.pivotx.net/page/1-2 trunk は現在2.3pre-alphaだそうなので、2.2系利用中の方は2.2.xのbranchが良いかと思います。SVN無しでもSorceForgeのレポジトリからのtar機能も一応使えます。リリース前なのでバージョン表記の変更が入ってませんが、 svn co した場合は pivotx/lib.php の $Rev$ が 3505 以降になっているはずです。なおリリースのアーカイブに含まれるextentionsは別途取得となります。gettextの.poファイルはPixotXの実行時に必要ありません。
- svn co https://pivot-weblog.svn.sourceforge.net/svnroot/pivot-weblog/branches/2.2.x 2.2.x
- http://pivot-weblog.svn.sourceforge.net/viewvc/pivot-weblog/branches/2.2.x/

浮動少数問題 Java版 CVE-2010-4476

2011-02-112021-11-16 清水文行

NIST: Vulnerability Summary for CVE-2010-4476 2011/2/18に update 24 関連CVE(結構たくさん)summaryが有効になりました。
Security Alert For CVE-2010-4476 Released
Oracle Security Alert for CVE-2010-4476
CVE-2010-4476(description入りました)

どっかで見たことのある数字のような気がしますが(表記されている1個の値だけではなく範囲になります。DoS仕掛けてくれちゃってる人検出用シグナチャを作る方はこちらやそこから参照されているOpenJDKのBTSですがこちらを。少数をパースする場面って何気に多いですね)。さっそくfp87な機械のEclipseにコピペして自動的に文法チェックされた日にはそのままEclipseハングするので半べそです。2011/2/15に(日本では15日深夜にJava SE 6 Update 24登場しました)6u24が出るまではJava SE Floating Point Updater Toolでしのぎましょうということなので管理者権限でunzipしたjarを実行したら、一生懸命ランタイムライブラリをばらかしてからアーカイブし直してるようでした。インストール先の空き容量がぎりぎりな人はちょっと注意かも。

IPv4無くなりました

2011-02-012021-11-16 清水文行

枯渇時計を表示させていた方はお気づきのことでしょうが、IANAから通常の分配が終了し、Two /8s allocated to APNIC from IANA や【速報】IANAからAPNICへ、二つの/8ブロックが割り振られましたによると近日中に最後の/8の5ブロックを5つのRIRに割り振って完全終了になるそうです。v4.fullbogons.cymru.com は今年から来年にかけて bogons.cymru.com との違いがほとんどなくなるはずです。(Bogons vs. Fullbogons – what’s that all about?) とはいえまだあるっちゃあるわけですが…

2011/4/16 追記:APNICにも通常割り振りの在庫が無くなったそうです。

2011/2/5 参考追加

DNSSEC始めました

2011-01-272022-09-27 清水文行

祝ルートからJPへのチェイン。弊社が利用しているドメイン(co.jp jp ch me es be dk com net org…)もすべてDNSSECおよびDANE/TLSA対応完了。DNSSECが有効でTLSA RR,CAA RRにも対応したセカンダリDNSサーバ,DANE,TLSA,DMARC,DKIM,SPFに関するご相談は弊社へどうぞ。と宣伝をしたところで以下は設定を確認するためのリンク集と自分で確認する手順。

続きを読む →

タイムゾーンのオフセット+09:18:59 はて、18:59はなんぞや?

2011-01-152021-11-16 清水文行

いろいろ検索したつもりでしたが、実は :18:59 timezone と検索することで先人の方々のサイトがヒットし、Google先生がいれば誰でも天才ということで表題の件は簡単に速攻で解決できたことがわかりました。しかしせっかく書いたので恥ずかしながら公開しておきます…

続きを読む →

devel/libltdl22 (port directory error)

2010-12-152016-08-26 清水文行

portupgrade中

        - devel/libltdl22 (port directory error)
        - devel/libtool22 (port directory error)

1 2	- devel/libltdl22 (port directory error) - devel/libtool22 (port directory error)

毎度おなじみ/usr/ports/UPDATING を見ると、バージョン付きでなくなったものがいろいろあるようです。

# portmaster -o devel/autoconf devel/autoconf268
# portmaster -o devel/automake devel/automake111
# portmaster -o devel/libtool devel/libtool22
# portmaster -o devel/libltdl devel/libltdl22

# portmaster -o devel/autoconf devel/autoconf268

# portmaster -o devel/automake devel/automake111

# portmaster -o devel/libtool devel/libtool22

# portmaster -o devel/libltdl devel/libltdl22

か

# portupgrade -o devel/autoconf devel/autoconf268
# portupgrade -o devel/automake devel/automake111
# portupgrade -o devel/libtool devel/libtool22
# portupgrade -o devel/libltdl devel/libltdl22

# portupgrade -o devel/autoconf devel/autoconf268

# portupgrade -o devel/automake devel/automake111

# portupgrade -o devel/libtool devel/libtool22

# portupgrade -o devel/libltdl devel/libltdl22

で置き換えるように指示されていますが、多くの人がビルド専用でしょうから

# pkg_deinstall -R autoconf-\* automake-\* libtool-\*
# portsnap fetch && portsnap update
# portupgrade -o devel/libltdl devel/libltdl22

# pkg_deinstall -R autoconf-\* automake-\* libtool-\*

# portsnap fetch && portsnap update

# portupgrade -o devel/libltdl devel/libltdl22

で十分かも。

PDF -> e-mail添付 -> FAX送信でペーパレス続爆速インストールHylaFAX

2010-11-062016-08-26 清水文行

FAX受信 -> e-mailに引き続き今度は送信側。不適切な設定で勝手に使われるなどして莫大な電話代請求されても責任は取れませんので、細心のご注意を。HylaFAXクライアントを使用すればキューの制御もできて便利ですが、いろいろなOSで使えるような良いものを探すのも面倒です。今回はHylaFAX付属のfaxmailをPostfix経由で使用します。メールを読んでlatin1テキストならばそのまま、MIMEならば引っぺがして変換可能であれば変換してsendfaxに送り込んでくれます。

あて先の電話番号は [email protected] (Postfix master.cfで${user}使用) でも [email protected] (${extension}使用) でも良いですが、今回は簡単のために後者にします。まかり間違っても認証もなしに普通にインターネットから到達できる構成にしてはいけないです。

適切に設定されて動作している内部向け専用Postfixの etc/postrix/master.cf に

fax        unix -       n       n       -       1       pipe
  flags=q user=uucp argv=/usr/local/bin/faxmail -n -T -s a4 -t done -d ${extension}

1 2	fax unix - n n - 1 pipe flags=q user=uucp argv=/usr/local/bin/faxmail -n -T -s a4 -t done -d ${extension}

を追加。ここで指定したfaxという名のサービスに [email protected] で到達させるために、etc/postfix/transports(etc/postfix/main.cfでtransport_maps=regexp: で指定されている場合)に、

/^hoge\+\+?[-.0-9a-yA-Y]{5,13}@fax.test$/       fax:

1	/^hoge\+\+?[-.0-9a-yA-Y]{5,13}@fax.test$/ fax:

を、引っかかるような位置に追加。local_recipient_mapsが/etc/aliases.dbと指定されている場合はreject_unlisted_recipientが使えるように/etc/aliasesに hoge: root とでも追加してnewaliasesしておきます。etc/postfix/main.cfのmydestinationに@のドメイン部分であるfax.testを追加すればPostfixの設定終了でPostfix再起動。

HylaFAXのサーバはデフォルトでIPv6の*:4559をlistenしていて、クライアントはデフォルトでlocalhostのサーバにアクセスします。/etc/hostsで::1がlocalhostではなくてlocalhost-v6である場合には/usr/local/lib/fax/hyla.confに

Host: localhost-v6

1	Host: localhost-v6

を追加。パスワード無しでサーバにアクセスするために/var/spool/hylafax/etc/hosts.hfaxdに

localhost (/etc/hostsの::1の行の先頭)

1	localhost (/etc/hostsの::1の行の先頭)

を追加。この時点で

faxstatコマンドが認証無しで実行できてしまうようになります。続いて/usr/local/lib/fax/faxmail.confに

PageHeaders: Yes
AutoCoverPage: No
Headers: clear

PageHeaders: Yes

AutoCoverPage: No

Headers: clear

などをお好みで追加。/var/spool/hylafax/bin/notifyの内容を見ながら、お好みで/var/spool/hylafax/etc/FaxNotify作成。

TOADDR=FaxMaster@example.jp
NOTIFY_FAXMASTER=errors

1 2	[email protected] NOTIFY_FAXMASTER=errors

hfaxd(hylafax)再起動。ここまでで [email protected] 宛e-mailにPDFやPostScriptを添付しするとFAXとして送信されるようになりました。残念なことにfaxmailはMIMEではないメールの扱いがlatin1のみでtyperulesも効かないので修正が必要です。時間が取れたらパッチ作成。万が一電話番号を間違えたら自力でfaxstatしてfaxrmするのが手間ですが、PDF添付でFAXが送れるだけでも十分実用的。

p5-Compress-Zlib, p5-IO-Compress-Base, p5-IO-Compress-Zlib, p5-IO-Compress-Bzip2 -> p5-Compress

2010-10-152016-08-26 清水文行

Perl5.8のFreeBSDマシンにて

** Port directory not found: archivers/p5-Compress-Zlib
** Port directory not found: archivers/p5-IO-Compress-Base
** Port directory not found: archivers/p5-IO-Compress-Zlib

** Port directory not found: archivers/p5-Compress-Zlib

** Port directory not found: archivers/p5-IO-Compress-Base

** Port directory not found: archivers/p5-IO-Compress-Zlib

/usr/ports/UPDATING を見ると、p5-Compress-Zlibとp5-IO-Compress-* が p5-IO-Compressにまとめて置き換わったそうな。perl5.10以降の人はデフォルトのライブラリなので関係ないと。いつものように

# portsnap fetch && portsnap update
# pkg_info -R p5-Compress-Zlib p5-IO-Compress-\*

1 2	# portsnap fetch && portsnap update # pkg_info -R p5-Compress-Zlib p5-IO-Compress-\*

で依存しているものたちをメモ。

# portupgrade -o p5-IO-Compress p5-Compress-Zlib p5-IO-Compress-\*

1	# portupgrade -o p5-IO-Compress p5-Compress-Zlib p5-IO-Compress-\*

で置き換え完了したら

# portupgrade -fr p5-IO-Compress

1	# portupgrade -fr p5-IO-Compress

か

# portupgrade -f [依存しているものたち...]

1	# portupgrade -f [依存しているものたち...]

あたりで処理。

HTTPS Everywhere – 自分で任意に指定したサイトで自動的にhttpsになるようにする – Force-TLSをやめたときの覚え書き

2010-10-152021-11-16 清水文行

自動的にhttpsにするといえば、HSTSをFirefoxも4にて実装、とかのサーバ側で何かしないといけない仕組みの話題ばかりで、ブラウザ側に能動的に設定するための情報が探しにくくなったようです(Firesheepのおかげでまたそうでもなくなったようですが…)。かくて、自分で登録したサイトでhttpsを強制するFirefoxプラグイン Force-TLS

と、PC引っ越し用に覚え書きしましたが、あろうことか引っ越し先PCではサイトが追加できなかった(すごいところに設定ファイルがあったりするのだろうか)ので、問題の検証もせずにさくっと方針転換でhttps://addons.mozilla.org/firefox/tag/httpsを眺めてHTTPS Everyehereを試しました。https://www.eff.org/https-everywhere/rulesetsに従って簡単な正規表現を含むシンプルなXMLを作成。(2010/11/25追記: 自動更新版だと0.9.0よりtargetで1次フィルタするようになりました。targetが無いと気づかないうちにルール全体が無視されているので注意です。要エラーコンソールでの確認)

<ruleset name="HOGE">
  <target host="example.com" />     (自動更新版だと0.9.0より必要)
  <target host="www.example.com" /> (自動更新版だと0.9.0より必要)
  <rule from="^http://(?:www\.)?(example\.com/)" to="https://www.$1" />
</ruleset>

<target host="example.com" /> (自動更新版だと0.9.0より必要)

<target host="www.example.com" /> (自動更新版だと0.9.0より必要)

</ruleset>

書かれている場所に保管してFirefox再起動。さくっと動作。設定ダイアログにも指定したものたちがちゃんと登場。ファイル作る手間があるけどルールが汎用的に作れるのでこっちの方が便利かも。

2010/11/25追記: 一部であらかじめ登録されたサイトにしか使えないと受け取れる説明がされているようですが、HTTPS Everywhereは説明や上記のとおり、自分の好きなサイトを指定できます。

2010/11/25追記: 同じく一部で家庭用の無線LANでは不要と受け取れる記述もありますが、家庭用無線LANでも暗号化無しであったり弱い暗号でtap可能であれば同じこと(パスワード漏れ & セッションハイジャックされる可能性のある状態)です。モニタポートのある有線LANのスイッチングハブや、買うのが難しいでしょうがリピータハブにアクセス可能である状況もまた同じことです。Firesheepを相手に対策するのではなく、平文パスワードと、そしてセッションハイジャック対策としてクッキーを秘匿するためにHTTPSを使用すると考えなければいけないです。URLがhttps://で始まっていても、secure無しcookieで内容にHTTPが混在していたりJavaScriptでHTTPでアクセスしにいってしまっては元も子もないじゃん、というサイトもあり、今に始まった問題では全然ないですが、script kiddieでもFiresheepで簡単にセッションハイジャックできるようになったという状況のおかげでそのようなサイトが改善されるチャンスでもあります。

HSTSはSSL/TLSが有効なコンテキストにて、Apache HTTPDならば一番簡単な使い方で

Header set "Strict-Transport-Security" "max-age=ブラウザがこのことを覚えていて良い最大秒数"

1	Header set "Strict-Transport-Security" "max-age=ブラウザがこのことを覚えていて良い最大秒数"

とするだけです。

Windows で sockstat (lsof)

2010-10-062016-08-26 清水文行

fport(XP以前)とかの3rdパーティーのコマンドを使わずに素のWindowsだけでsockstat -46(lsof -i)したい時。

netstat -anb

1	netstat -anb

とか

netstat -ano
tasklist /svc | find "_pid_"

1 2	netstat -ano tasklist /svc \| find "_pid_"

netstatに-oなるオプションがあったり、find(fgrep)で””が必ず必要(command.comゆずりでcmd.exeも処理していないのか、はたまた処理してさらに”を渡しているのか…)だったり。

LibClamAV Error: cli_dbgets: Line too long for provided buffer – bytecode.cvd: version: 71

2010-09-282016-08-31 清水文行

bytecode.cvd: version: 71, sigs: 10, f-level: 53, builder: edwin で LibClamAV Error: cli_dbgets: Line too long for provided buffer が出るようになったようです(–bytecode=noでは起きません)。手元ではFreeBSD 8.1と7.1のClamAV 0.96.2で確認されていますが、0.96.3でも他のOSでも起きているようです。bytecode.cvdが修正されるまでエラー通知をどうにかしないと…といってるうちに修正されました。bytecode.cld: version: 72, sigs: 10, f-level: 53, builder: edwin で修正済みです。ありがたやありがたや。

ある日ソフトエラーを目の当たりにする

2010-09-072021-11-16 清水文行

アプリケーションの計算結果のテストのためにDBで大量の検索、挿入、更新、そして照合用も含めてファイルも大量に新規作成、削除、読み込みを何日も連続で繰り返さなければならないことがあります。連続で読み続けたり書き出し続けたりするのでディスクキャッシュを数百メガバイトに設定したところで効く由もなく、連続稼動用を謳っているハードディスクを3,4台のストライピングで使用しても負荷が激しすぎで3,4週間程度でお亡くなりになるのでどんだけひどい仕打ちをしてるんだろうと思ってしまいます。古いflash SSDだったら即死するかもしれません。ハードディスク交換していてはエコじゃないので使用量を減らすとすると、DBのデータを最初にRAMディスクにコピーし、一時ファイルもRAMディスク上というのが良さげですが、いっそOSごとDRAMのRAMディスクにして物理ディスクレスにしてしまおう、ということで1年ほど前にRAMディスク化しました。

マニュアルとOEM元Q&Aは良い(しかしどちらも日本語訳はすごすぎ)のですが、なぜかそれらと輸入代理店のFAQがいい感じに違っている某商品、DDR2メモリを積めるものです。1年たった今になって、実はunbuffered ECC対応、さらにunbuffered non-ECCでもジャンパーを刺せば容量の1/9使ってをECCエミュレーションをしてくれる(ハミング符号だとすると比率から64ビットバス+8冗長ビットのエミュレーションですね)という結構優秀な機能を持っていることがわかりました(輸入代理店はECC非サポートと明記している)。コストパフォーマンスからはunbuffered non-ECCのメモリを使ってECCエミュレーションするのが一番良さそうです。

しかしインストール時はそんなことには気づいてなかったのでnon-ECCメモリでECCエミュレーションも使わずに1年近くたった先日、その日はきました。演算結果の検証エラー。

正解	検証対象
.19;5	.1995

正解は数値であるはずだったので、すぐに正解の方がおかしいことに気づくことができるのが不幸中の幸いです。別途ハードディスク上に圧縮して保管されている検証用データと比較すると、検証対象の値で正しいことがわかりました。面白いのでこのファイルの文字セットUS-ASCIIでのコードポイントを調べてみます。

	9	;
hex	3 9	3 b
bin	0011 1001	0011 1011

その他の1GB程度の正解ファイルの検証、さらにOSとports部分はTripwireしているので検証したところ違いは検出されず()、RAMディスク起動時のデータも同様、そしてその後このようなエラーも起きずにいるのでソフトエラーということで間違いないようです。ビット反転によく見える形で遭遇してしまいました。機材近辺でのノイズであればエラーが頻発してもおかしくないような気がするので日常の宇宙線か、太陽フレアか、などと空のかなたに思いをはせていたところ、こんな記事がありました。

Google: Computer memory flakier than expected　(邦訳 – なぜか思い入れがえらく強いタイトルになってます…)

周辺の状況などもあるでしょうから場所、そして何の作業をしているところか、などの条件をどうしているのかちょっとわかりませんが、温度なんかどーっちゅうこともない、ハードエラーの方がソフトエラーよりcommonである(ECC前提での話?)、など面白いです。温度が経年変化に与える影響なんかも調べられてるんでしょうか。時間ができたら元の論文読むべしです。

さらに温度といえばグーグルの最新のデータセンターは非常識なほど進化しているだそうで、自宅サーバなんて昔から室温50度超えになっちゃうようなところで並んで動いていたわけで進化なのかどうかは置いておくとして、かつて大学のコンピュータがある場所では壁一面にウルトラマンに出てくるような巨大なテープが回ってる箱が並んでいてエアコンがガンガンに効いている、なんてのはいったい何の話?ってなもんですね。

何よりも実感したのは、サーバだけじゃなくてテスト機にもECC使わないとだめじゃん、ということです。考えれば当たり前な話ですが、それを言い始めるとnon-ECCで良い仕事ってあるんだろうか…

追記: bitsquatting面白い!

kana.me 要

カテゴリー: System Admin