Tsukiji Systems

RSS1.0


googleで
サイト内検索
このブログ
を検索!
  help

巻き戻し中。

過去の日記


2017-10-15(日) DKIM [長年日記] この日を編集

_ PC 先週から

2年ぶりにやる気になって設定していたDKIM、ようやくまとまった。

とりあえずopendkim突っ込んで、uekusa.jpとuekusa-com.comだけ署名。*1

これに伴ってsendmail.cfもmcに

INPUT_MAIL_FILTER(`dkim-filter', `S=_YOUR_SOCKET_SPEC_, F=T, T=R:2m')

define(`confINPUT_MAIL_FILTERS', `dkim-filter, clamav-milter')dnl

を追加して作成。

(したのをdiff取って人力patchでcf書き換え(;^ω^))

なお、milterの設定は書かれた順番どおりに流れるので、cfで

O InputMailFilters=dkim-filter, spamassassin, clamilter

という順番になっていないと、受信時にDKIM検証する前にspamassassinやClamAVがヘッダとか書き換えて検証エラーにしかならない。

*1 というか、それ以外のドメイン送信許可してないし、SPFでも捨てて良いことにしてるw

_ PC Fromが

各サーバのアラート通知など、smartrelayで受け付けていると署名ができない。

仕方が無いので、内部サーバのメール鯖向けはsubmission/587でMUA動作にして、[アドレス]@[ドメイン名]にした。

問題はメール鯖自身のrootなどが送ってくるメール。

どうやっても[ユーザ名]@[ホスト名].[ドメイン名]となってしまい、署名とマッチしない。

sendmailのMASQUERADE使って、エンベロープごと書き換えも試したけど、そもそも書き換える時点で署名とマッチしなくなる。*1

仕方が無いので、[ユーザ名]@[ホスト名].[ドメイン名]もちゃんと署名するように、opendkim-SigningTable*2

*@[ホスト名].[ドメイン名] default._domainkey.[ホスト名].[ドメイン名]

*@[ドメイン名] default._domainkey.[ドメイン名]

とかして、opendkim-KeyTableを

default._domainkey.[ホスト名].[ドメイン名] [ホスト名].[ドメイン名]:default:/var/db/opendkim/hogehoge.private

default._domainkey.[ドメイン名] [ドメイン名]:default:/var/db/opendkim/hogehoge.private

にした上で、DNSレコードには「_domainkey」「_adsp._domainkey」「default._domainkey」を

ホスト名無し(ドメイン名のみ)とホスト名付きの両方を登録して完了。

*1 どうやらmilterよりも後で書き換えるっぽい

*2 多分上からマッチすると思うのでこの順番がベターかと。

_ PC 署名できると

完全に検証可能な署名が全部のメールに付与できれば、DKIMレコード的には「署名が無いヤツは削除してもいいよ」フラグが立てられる。

現在のところ「_adsp._domainkey」は「unknown」として緩くしてあるが、いずれ「all」か「discardable」にすることも可能だ。

ただし、会社のメールもそうだけど「DKIMで署名してるってヘッダに表示してるのに、経路の何処かに署名した要素を書き換えて検証台無しにする糞アプライアンスかスキャナがいやがる」と台無しである。。。orz


2017-10-06(金) 越後湯沢 [長年日記] この日を編集

_ 今年も

行ってきまっす! 上越新幹線

_ PC 更新

FreeBSDのpkg、昨日あたりからぞろっとupdateが出ている。

だがperl/ruby/pythin/MySQL/gccあたりが軒並み新しくなっており、恐ろしくてリモートからできない。

(と言いつつやって、明日の夜までアワワってなってる未来が容易に予想できるw)

_ 温泉

車座が終わって宿に戻っても十分温泉に入れた。

サウナが終わってたのは残念だが、マッサージいすと併せて極楽極楽。

(;^ω^)


2017-09-26(火) vCenter [長年日記] この日を編集

_ PC ここ2週間ほど

vCenterの試用版で色々やろうとして四苦八苦。

なぜかと言えばESXi、リソースプールの設定が標準Webクライアントから作成/変更できない。

C#クライアントだとできたんだけど。

つか、それがなければウチの環境ではvCenter立てる必要性がない。

_ PC 性能か

家の非力な仮想基盤では何度インスコしても失敗する。

どうやら色々立ち上がってるおかげで起動に20-30分かかるレベルなので、インストーラが色々サービス立ち上げてもタイムアウトしてしまうみたい。

なので、母艦のVMwarePlayer上*1にESXiを2階建てして単独でvCenterインスコすると成功する。

結局、これで作成したVMをvCenterConverterで家の仮装基盤に移動。

もちろん、同じサブネット/VLANにしておかないと厄介だし、Player上のESXiはブリッジモードで通しておいて、vCenterのアドレスは内部DNSで引けるようにしておくのは必須。

*1 仮想基盤よりリソース潤沢w

_ PC vMotion

移動終わって気付いた。

そういえばvCenter自身もvMotionできるんだよな。

パタリロが自分の襟首つかんで自分を持ち上げたの思い出してフフってなってる。

VMware実践運用管理
日本仮想化技術株式会社・遠山洋平
秀和システム
(no price)


2017-09-25(月) 重複 [長年日記] この日を編集

_ PC インストール失敗の原因

vCenterの問題、色々調べると「ポートグループとvSwitchの名前が一意でないとアレ」とかある。

え?だめなん?*1

独立してるサブネットなのでvSwitch=ポートグループで同じ名前にしてたのあった。

どおりでGUIから設定変えようとするとエラーが出たりしていた訳だ。

この状態からだとGUIで削除や名前変更もできないので、sshからコマンドラインで「esxcli network」とか「esxcfg-vswitch」であれこれ。

*1 いや、内部的にも名前で扱ってるんかい!それこそ一意のIDでやれや!


2017-09-10(日) 予備物品? [長年日記] この日を編集

_ PC 大杉w

密林でポチったHDD、お急ぎ便で翌日には届くの便利。

しかし、「2個」買ったのに「バラの箱が1個」と「4個入りの箱が1個」届いたのだが。。。

合計で5本。

「あざっす!」って訳にもいかないので密林のサポートチャットで連絡して返送。

さすがにHDDは「返送しないでそのままお使い下さい」にはならなかったw

HGST(エイチ・ジー・エス・ティー) Travelstar 1TB パッケージ版 2.5インチ 7200rpm 32MBキャッシュ SATA 6Gb/s 【3年保証】 0S03565

HGSTジャパン
¥ 6,300


2017-09-09(土) 交換手順 [長年日記] この日を編集

_ PC どうせ

ESXi入れ直し確定なので、新しいディスクでRAID再構築から。

というか、そもそも交換手順ミスってるし(;^ω^)

密林で2本ポチった。

前回は東芝2発だったが、今回はやはり日立にする。

2.5インチの1TB、ずいぶん安くなったなぁ。

_ PC 中身

幸いにして*1ミラーだったので、VMや設定類は生き残った片側のHDDから救出。

6.0からパッチ蓄積であげてきたが、6.5U1一発インストールでスッキリ。

バックアップ(ghettoVCB)の設定とか若干( ゚Д゚)マンドクセー

*1 当然ながら?


2017-09-08(金) 障害 [長年日記] この日を編集

_ PC アラーム

家のサーバの周辺でピーって鳴ってるという長男からの報告。

うむぅ、IPMIでステータス取れない普通のマザボだし、遠隔からすぐにはRAIDカードのステータス見れないし、鯖近辺でアラーム鳴っていても手も足も出ない。

あーこりゃ鯖のファンがどれか死亡のアラート音だ。

しばらくブラックアウト・・・

_ PC はわわ

HDD障害でRAIDが再構築走ってアラーム

→そういやVMware純正だとADAPTECのコントローラのステータス見えない

→なになに?ドライバ更新してツール入れれば

→社外ドライバにした途端にディスクID変わってVMstorageが見えなくなる

↑いまここ

_ PC ぐぬぬ

VMwareのaacraid純正ドライバはパッチから見つけたけど、esxcliでのオンラインインストールができないので詰んだ。

これ、6.5を入れ直して設定するしか手がない。

今晩まであきらめorz

_ PC 原因

そうそう、これこれ。

新しいドライバーでスキャンやり直せば見えるかなぁ(´・ω・`)

ESXiをアップデートしたらデータストアが見えなくなった


2017-08-15(火) 温度計 [長年日記] この日を編集

_ PC RasPi温度計

I2Cバスで読み出す値に加えてCPU温度もcronで毎分取得してログにしてみた。

で、gnuplotでグラフのpngに吐き出す&nginxで内部公開→メイン鯖のapacheのmod_proxyからマウント。

直近24時間分がこちら

直近一週間分がこちら

当月分がこちら

一応、毎分更新death。。。

_ PC gnuplot

面倒なんで「#!/usr/bin/gnuplot」を冒頭に書いてchmod755でシェルとしてcronから実行。

「set grid」を入れないと補助線が入らなくて読みにくい。

あと、I2Cから温度読み出して記録するツールも毎分起動なので、crontabに「sleep 15;/usr/local/etc/ほげほげ.plt」で遅延させないと結構な割合でエラーになるw


2017-08-14(月) Let'sEncrypt [長年日記] この日を編集

_ PC 夏休みの

工作というかアレ。

ウチの鯖は「daemon5.uekusa-com.com」だけが正式なSSL証明書を持っていた。*1

今まではhttpsでのリクエストでFQDNが「daemon5.uekusa-com.com」以外だったらmod_rewiteで書き直していた。

でも、uekusa.(jp/com/info/org)もちゃんとしないとなぁということで、お金のかからないLet'sEncryptで(゚∀゚)

解説サイトhttps://letsencrypt.jp/を見ながらcertbotを入れる。

結構簡単にできるねこれ。

「certbot certonly」で-dに別名が指定できる。

ウチだと「uekusa.jp」「daemon5.uekusa.jp」「www.uekusa.jp」みたいにドメイン名のみ/FQDN/Webとかあるのが全部指定できるの助かる。

で、cronに「certbot renew」を一日一度仕掛けておけば期限切れ前に自動更新してくれる(はず)。

*1 とは言ってもRapidSSLのお安いの!

_ PC HSTS

HSTSの絡みでサブドメインでDNS設定していた内部ドメインのWebアクセスがちょっと影響受けて嵌まった(´・ω・`)

つか、HSTSはなんでドメイン単位で設定/判断しちゃうんだ・・・

こちらのページとかこちらを参考に対応。

この規格考えたヤツ、自分の裕福な単一組織のことしか考えてなかったろ?

世の中にはサブドメイン毎に管理人が違ったり、内部ドメインにまで証明書買うほどお金が無い人だっているんだぞo(`ω´*)o*1

*1 いやま、「内部はオレオレ証明書でもSSLにしとけばいいいんじゃね?」という解もあるけどねぇ

_ PC 4096bit

Let'sEncryptをcertbotのデフォで取得すると2048bitの証明書になる。

せっかくやるなら、デフォの2048bitじゃなくて「--rsa-key-size 4096」でw

え?性能?いやいや、今時大丈夫でしょ??(白目


2017-07-17(月) RasPi追加 [長年日記] この日を編集

_ PC 週末に

思いついてRasPiでサーバ置き場用のシリアルサーバ兼温度計作った。

amazonすぐ届くの便利(・∀・)

でも、プライムセールの時に買っとけばヨカターヨ・゚・(ノД`)・゚・

温度センサはI2Cでとりあえずアドレス変えて2個ぶら下げて、ケース上とサーバの熱い空気(?)を計測する。

シリアルは手持ちのUSBシリアルコンバータでとりあえず困らないようにルータ用、そのうちスイッチ用も増設するかも。

Raspberry Pi3 Model B ボード&ケースセット 3ple Decker対応 (Element14版, Blue)

TechShare
¥ 5,980

I2C接続 BME280使用 温度/湿度/気圧センサーモジュール・キット

Victory 7
¥ 1,300

uxcell ジャンプワイヤ ジャンパケーブル 2ターミナル メスーメス 多色 5本入り 40cm長さ

uxcell
¥ 423

Raspberry Pi用電源セット(5V 3.0A)-Pi3フル負荷検証済

TechShare
¥ 1,580

TOSHIBA microSDHCカード 16GB Class10 UHS-I対応 (最大転送速度40MB/s) 5年保証 (国内正規品) MSDAR40N16G

東芝
¥ 883

_ PC screen

Raspebianでシリアル通信させるのどうすんべ。

BSDなら「cu -l」でやっつけるのだけど。

調べたらscreenコマンドでデバイスファイルと速度指定がよさげ。

操作側のターミナルぶっちぎれてもコンソールを維持してくれる。

ただし、「CTRL+a→d」で抜けたつもりになると、どんどん一つのシリアルポートに接続するコンソールが増えてエライ事になる。

「CTRL+a→k」でkillして抜けるようにしないと危ない。

_ PC 温度計

モジュールのサンプルを参考に温度読み出し用のpyを書く。

出力はこんな感じ。

----------------------------------

2017/07/xx 22:30:00

Addr = 118

Location = external

Temp = 36.76 deg C

Humidity = 40.96 %

Pressure = 1009.87 hpa

----------------------------------

2017/07/xx 22:30:00

Addr = 119

Location = on_the_case

Temp = 30.89 deg C

Humidity = 57.85 %

Pressure = 1009.08 hpa

----------------------------------

アドレス表示はHEXじゃなくて10進数に変換されちゃってるね。

なお、CPU自体の温度はセンサが上記数値の時に約47℃という感じ。


過去の写真!
(一覧はここをクリック)


上越新幹線 またもカロリー自慢w 2階建て(改) プラグの形状は・・・
アクセスカウンター!


トータル:
本日:  
昨日:  
最近のツッコミ

(´・ω・`)ショボーン