_ 先週から

2年ぶりにやる気になって設定していたDKIM、ようやくまとまった。

とりあえずopendkim突っ込んで、uekusa.jpとuekusa-com.comだけ署名。*1

これに伴ってsendmail.cfもmcに

INPUT_MAIL_FILTER(`dkim-filter', `S=_YOUR_SOCKET_SPEC_, F=T, T=R:2m')
define(`confINPUT_MAIL_FILTERS', `dkim-filter, clamav-milter')dnl

を追加して作成。

（したのをdiff取って人力patchでcf書き換え（；^ω^））

なお、milterの設定は書かれた順番どおりに流れるので、cfで

O InputMailFilters=dkim-filter, spamassassin, clamilter

という順番になっていないと、受信時にDKIM検証する前にspamassassinやClamAVがヘッダとか書き換えて検証エラーにしかならない。

_ Fromが

各サーバのアラート通知など、smartrelayで受け付けていると署名ができない。

仕方が無いので、内部サーバのメール鯖向けはsubmission/587でMUA動作にして、[アドレス]@[ドメイン名]にした。

問題はメール鯖自身のrootなどが送ってくるメール。

どうやっても[ユーザ名]@[ホスト名].[ドメイン名]となってしまい、署名とマッチしない。

sendmailのMASQUERADE使って、エンベロープごと書き換えも試したけど、そもそも書き換える時点で署名とマッチしなくなる。*1

仕方が無いので、[ユーザ名]@[ホスト名].[ドメイン名]もちゃんと署名するように、opendkim-SigningTable*2を

*@[ホスト名].[ドメイン名]        default._domainkey.[ホスト名].[ドメイン名]
*@[ドメイン名]                   default._domainkey.[ドメイン名]

とかして、opendkim-KeyTableを

default._domainkey.[ホスト名].[ドメイン名]       [ホスト名].[ドメイン名]:default:/var/db/opendkim/hogehoge.private
default._domainkey.[ドメイン名]       [ドメイン名]:default:/var/db/opendkim/hogehoge.private

にした上で、DNSレコードには「_domainkey」「_adsp._domainkey」「default._domainkey」を

ホスト名無し(ドメイン名のみ)とホスト名付きの両方を登録して完了。

_ 署名できると

完全に検証可能な署名が全部のメールに付与できれば、DKIMレコード的には「署名が無いヤツは削除してもいいよ」フラグが立てられる。

現在のところ「_adsp._domainkey」は「unknown」として緩くしてあるが、いずれ「all」か「discardable」にすることも可能だ。

ただし、会社のメールもそうだけど「DKIMで署名してるってヘッダに表示してるのに、経路の何処かに署名した要素を書き換えて検証台無しにする糞アプライアンスかスキャナがいやがる」と台無しである。。。orz

_ 今年も

_ 更新

FreeBSDのpkg、昨日あたりからぞろっとupdateが出ている。

だがperl/ruby/pythin/MySQL/gccあたりが軒並み新しくなっており、恐ろしくてリモートからできない。

（と言いつつやって、明日の夜までアワワってなってる未来が容易に予想できるｗ）

_ 温泉

車座が終わって宿に戻っても十分温泉に入れた。

サウナが終わってたのは残念だが、マッサージいすと併せて極楽極楽。

（；^ω^）

_ ここ2週間ほど

vCenterの試用版で色々やろうとして四苦八苦。

なぜかと言えばESXi、リソースプールの設定が標準Webクライアントから作成/変更できない。

C#クライアントだとできたんだけど。

つか、それがなければウチの環境ではvCenter立てる必要性がない。

_ 性能か

家の非力な仮想基盤では何度インスコしても失敗する。

どうやら色々立ち上がってるおかげで起動に20-30分かかるレベルなので、インストーラが色々サービス立ち上げてもタイムアウトしてしまうみたい。

なので、母艦のVMwarePlayer上*1にESXiを2階建てして単独でvCenterインスコすると成功する。

結局、これで作成したVMをvCenterConverterで家の仮装基盤に移動。

もちろん、同じサブネット/VLANにしておかないと厄介だし、Player上のESXiはブリッジモードで通しておいて、vCenterのアドレスは内部DNSで引けるようにしておくのは必須。

_ vMotion

移動終わって気付いた。

そういえばvCenter自身もvMotionできるんだよな。

パタリロが自分の襟首つかんで自分を持ち上げたの思い出してフフってなってる。

VMware実践運用管理
日本仮想化技術株式会社・遠山洋平
秀和システム
(no price)

_ インストール失敗の原因

vCenterの問題、色々調べると「ポートグループとvSwitchの名前が一意でないとアレ」とかある。

え？だめなん？*1

独立してるサブネットなのでvSwitch=ポートグループで同じ名前にしてたのあった。

どおりでGUIから設定変えようとするとエラーが出たりしていた訳だ。

この状態からだとGUIで削除や名前変更もできないので、sshからコマンドラインで「esxcli network」とか「esxcfg-vswitch」であれこれ。

_ 大杉ｗ

密林でポチったHDD、お急ぎ便で翌日には届くの便利。

しかし、「2個」買ったのに「バラの箱が1個」と「4個入りの箱が1個」届いたのだが。。。

合計で5本。

「あざっす！」って訳にもいかないので密林のサポートチャットで連絡して返送。

さすがにHDDは「返送しないでそのままお使い下さい」にはならなかったｗ

HGST(エイチ・ジー・エス・ティー) Travelstar 1TB パッケージ版 2.5インチ 7200rpm 32MBキャッシュ SATA 6Gb/s 【3年保証】 0S03565

HGSTジャパン
￥ 6,300

_ どうせ

ESXi入れ直し確定なので、新しいディスクでRAID再構築から。

というか、そもそも交換手順ミスってるし（；^ω^）

密林で2本ポチった。

前回は東芝2発だったが、今回はやはり日立にする。

2.5インチの1TB、ずいぶん安くなったなぁ。

_ 中身

幸いにして*1ミラーだったので、VMや設定類は生き残った片側のHDDから救出。

6.0からパッチ蓄積であげてきたが、6.5U1一発インストールでスッキリ。

バックアップ(ghettoVCB)の設定とか若干( ﾟДﾟ)ﾏﾝﾄﾞｸｾｰ

_ アラーム

家のサーバの周辺でピーって鳴ってるという長男からの報告。

うむぅ、IPMIでステータス取れない普通のマザボだし、遠隔からすぐにはRAIDカードのステータス見れないし、鯖近辺でアラーム鳴っていても手も足も出ない。

あーこりゃ鯖のファンがどれか死亡のアラート音だ。

しばらくブラックアウト・・・

_ はわわ

HDD障害でRAIDが再構築走ってアラーム

→そういやVMware純正だとADAPTECのコントローラのステータス見えない

→なになに？ドライバ更新してツール入れれば

→社外ドライバにした途端にディスクID変わってVMstorageが見えなくなる

↑いまここ

_ ぐぬぬ

VMwareのaacraid純正ドライバはパッチから見つけたけど、esxcliでのオンラインインストールができないので詰んだ。

これ、6.5を入れ直して設定するしか手がない。

今晩まであきらめorz

_ 原因

そうそう、これこれ。

新しいドライバーでスキャンやり直せば見えるかなぁ(´・ω・`)

ESXiをアップデートしたらデータストアが見えなくなった

_ RasPi温度計

I2Cバスで読み出す値に加えてCPU温度もcronで毎分取得してログにしてみた。

で、gnuplotでグラフのpngに吐き出す＆nginxで内部公開→メイン鯖のapacheのmod_proxyからマウント。

直近24時間分がこちら

直近一週間分がこちら

当月分がこちら

一応、毎分更新death。。。

_ gnuplot

面倒なんで「#!/usr/bin/gnuplot」を冒頭に書いてchmod755でシェルとしてcronから実行。

「set grid」を入れないと補助線が入らなくて読みにくい。

あと、I2Cから温度読み出して記録するツールも毎分起動なので、crontabに「sleep 15;/usr/local/etc/ほげほげ.plt」で遅延させないと結構な割合でエラーになるｗ

_ 夏休みの

工作というかアレ。

ウチの鯖は「daemon5.uekusa-com.com」だけが正式なSSL証明書を持っていた。*1

今まではhttpsでのリクエストでFQDNが「daemon5.uekusa-com.com」以外だったらmod_rewiteで書き直していた。

でも、uekusa.(jp/com/info/org)もちゃんとしないとなぁということで、お金のかからないLet'sEncryptで(ﾟ∀ﾟ)

解説サイトhttps://letsencrypt.jp/を見ながらcertbotを入れる。

結構簡単にできるねこれ。

「certbot certonly」で-dに別名が指定できる。

ウチだと「uekusa.jp」「daemon5.uekusa.jp」「www.uekusa.jp」みたいにドメイン名のみ/FQDN/Webとかあるのが全部指定できるの助かる。

で、cronに「certbot renew」を一日一度仕掛けておけば期限切れ前に自動更新してくれる(はず)。

_ HSTS

HSTSの絡みでサブドメインでDNS設定していた内部ドメインのWebアクセスがちょっと影響受けて嵌まった(´･ω･`)

つか、HSTSはなんでドメイン単位で設定/判断しちゃうんだ・・・

こちらのページとかこちらを参考に対応。

この規格考えたヤツ、自分の裕福な単一組織のことしか考えてなかったろ？

世の中にはサブドメイン毎に管理人が違ったり、内部ドメインにまで証明書買うほどお金が無い人だっているんだぞo(｀ω´*)o*1

_ 4096bit

Let'sEncryptをcertbotのデフォで取得すると2048bitの証明書になる。

せっかくやるなら、デフォの2048bitじゃなくて「--rsa-key-size 4096」でｗ

え？性能？いやいや、今時大丈夫でしょ？？（白目

_ 週末に

思いついてRasPiでサーバ置き場用のシリアルサーバ兼温度計作った。

amazonすぐ届くの便利(・∀・)

でも、プライムセールの時に買っとけばﾖｶﾀｰﾖ･ﾟ･(ノД`)･ﾟ･

温度センサはI2Cでとりあえずアドレス変えて２個ぶら下げて、ケース上とサーバの熱い空気(?)を計測する。

シリアルは手持ちのUSBシリアルコンバータでとりあえず困らないようにルータ用、そのうちスイッチ用も増設するかも。

Raspberry Pi3 Model B ボード＆ケースセット 3ple Decker対応 (Element14版, Blue)

TechShare
￥ 5,980

I2C接続 BME280使用 温度/湿度/気圧センサーモジュール・キット

Victory 7
￥ 1,300

uxcell ジャンプワイヤ ジャンパケーブル 2ターミナル メスーメス 多色 5本入り 40cm長さ

uxcell
￥ 423

Raspberry Pi用電源セット(5V 3.0A)－Pi3フル負荷検証済

TechShare
￥ 1,580

TOSHIBA microSDHCカード 16GB Class10 UHS-I対応 (最大転送速度40MB/s) 5年保証 (国内正規品) MSDAR40N16G

東芝
￥ 883

_ screen

Raspebianでシリアル通信させるのどうすんべ。

BSDなら「cu -l」でやっつけるのだけど。

調べたらscreenコマンドでデバイスファイルと速度指定がよさげ。

操作側のターミナルぶっちぎれてもコンソールを維持してくれる。

ただし、「CTRL+a→d」で抜けたつもりになると、どんどん一つのシリアルポートに接続するコンソールが増えてエライ事になる。

「CTRL+a→k」でkillして抜けるようにしないと危ない。

_ 温度計

モジュールのサンプルを参考に温度読み出し用のpyを書く。

出力はこんな感じ。

----------------------------------

2017/07/xx 22:30:00

Addr = 118

Location = external

Temp = 36.76 deg C

Humidity = 40.96 %

Pressure = 1009.87 hpa

----------------------------------

2017/07/xx 22:30:00

Addr = 119

Location = on_the_case

Temp = 30.89 deg C

Humidity = 57.85 %

Pressure = 1009.08 hpa

----------------------------------

アドレス表示はHEXじゃなくて10進数に変換されちゃってるね。

なお、CPU自体の温度はセンサが上記数値の時に約47℃という感じ。