![[Mail]](../img/mail.gif){kind=small}
<mimoriso@anet.ne.jp>.
All rights reserved. このサイトはリンク上等です。
| Last Modified : | 02/01 17:53 |
| Access : | |
| tds mode : | [static,site,cache:on] |
FireWire起動に対応してないという話をどっかで読んだはずなんだけどどこだったかなあ…ググっても見つからず。
一応 加賀電子の製品情報 でFireWire HDDのMacOS起動条件 対応機種を見ると以下のようなリストは得られる。
PowerMac G4(AGPバス搭載モデル),PowerMac G4 Cube, PowerBook G4,PowerBook G3(2000年モデル), iBook(Dual USBモデル以降),iMac DV以降,eMac
Xserveが抜けてるけどサーバーには使って欲しくないのであろう。
個人的ポイントはこんなところ
IPv6/transport IPsec(認証は証明書)/NFS とssh/rsyncのスループット比較とかしてみたい。
ssh_config の Ciphers のところ、最近のOpenSSHは aes128-cbc が最優先になっている。ssh -v すると確かに aes128-cbc hmac-md5 でネゴしてた。知らんうちにAES使いまくってたのかー。 Rijndaelの読み方は「ラインダール」
この記事結構よい。
週末の停電に備えて新しくFreeBSDマシンを立て、/homeの転送を実行…していると突然調子がおかしくなった。ハードディスクからの読み出しに失敗しているような感じで、 vinum ls とやるとこんなだったはず。
var_g.p0.s0 State: up var_g.p1.s0 State: faulty home_h.p0.s0 State: crash home_h.p1.s0 State: faulty
「crash と言ってるんだから home_h.p0.s0 の領域が悪者なんだろう *1 、とりあえずデータの吸い上げしないとな〜」と思って vinum start home_h.p1.s0 *2 したところ、 crashしたディスクを元に修復作業を開始しやがった。なんじゃそらーー。
かくして /home は永遠に失われたのだった。教訓: ミラーの復旧作業において 最初にやるべき作業はクラッシュしたHDDの隔離である。 とにかく抜け。vinumはマニュアル翻訳した経緯もあって愛着があったのだがなんかユーザ数少ないみたいだし、RAIDframe(かハードウェアRAID)への移行もなんとなく決意。
しかし絶大なる信頼をしていたBarracuda ATA IVもついに1台逝ったことになる。
/homeをrsyncで転送した先で ls -l とかやると大体正しいファイルが出来ていそうなのに中身が全部 \0 だったのはショックだったよ…
SSI関連でエラー出てるのを追うぐらいならtDiaryに移行するざんす。26日の停電復旧にあわせて新システムに移行じゃー。 ああでも diary/ ディレクトリ復旧の後 make all でスタティックHTMLが全部出来たのにちょっと喜び。
日記のcvsリポジトリは実は失われてしまったのだが、最新版があれば特に問題なかろう。やはり 自分の努力の成果は最低3箇所ぐらいに置けが鉄則。あわてふためいた時に残っている「唯一のバックアップ」というものは壊してしまうものだ。
今回クラッシュしたのは最近戦ってるNetBSDと同じ1Uベアボーンなのだが、実はNetBSD側でも以下のようなエラーが頻発している。
pciide0:0:0: lost interrupt
type: ata tc_bcount: 2048 tc_skip: 0
pciide0:0:0: bus-master DMA error: missing interrupt, status=0x60
pciide0:0:0: device timeout, c_bcount=2048, c_skip0
wd0a: device timeout writing fsbn 57484196 of 57484196-57484199 (wd0 bn 57485204; cn 57028 tn 15 sn 35), retrying
wd0: soft error (corrected)
1Uという狭いところに押し込めた1本のケーブルに2台の高速HDDをぶらさげるのが危険なのかもしれんなあ…転送レートをATA33に落とすオプションとかないんかしら。
というかATA66以上はIDEケーブルのスレーブ端子使わない方がいい気がする。死んだのがマスター側なのが腑に落ちないが。
WSH + VBScript は確かに文法のベースがVBではあるけれど。ActiveRubyScriptだったらすごく綺麗に書けると思うぞよ。
良くも悪くもTV向きの演劇だったのかもしれない。パルコ劇場に座ったのは初めてで、小さくて舞台の近い劇場だなーと開演前には思っていた、にもかかわらずライブ感の無さに驚いた。
劇団新感線の話にちょっとツマラナイと思うことがあったとしても、 お金を払って足を運ぶなら断然劇団新感線だ。やはりそのへんのこだわりはすごいんだなと改めて感じた。
utmp/utmpxまわりの処理に失敗してコンパイルできん。
sudo mv /usr/include/utmpx.h /usr/include/utmpx.h.orig で一時的に utmpx を使えなくしたらうまくいった。
#!/bin/sh sudo mv /usr/include/utmpx.h /usr/include/utmpx.h.orig env CFLAGS="-O2 -pipe" ./configure --prefix=/local --localstatedir=/var sudo mv /usr/include/utmpx.h.orig /usr/include/utmpx.h make
エラーだしまくるベアボーンに搭載されているHDDの転送レートをATA33(DMA2)に設定。 ついでに Quiet Seek Mode にしてみた。いろんなところが微妙にHitachiと書いてあって気持ち悪い。そのうち慣れるんだろうけど。
rsyncで大量にデータ転送してみたけど、エラーは出なくなった模様。
ATA33 40GBだと17分ぐらいだったのが40分ぐらいの見積もりに増加。
/usr/src と /usr/pkgsrc を同時進行でrsyncしたらやっぱりエラー出た。うむう…
/usr/pkgsrc/sysutils/cdrecord からインストールすると入っている。mkisofsで作成したトラックイメージのマウントについてはFreeBSDと同じで vnconfig を利用する。
man 4 gif するとちゃんと書いてあったのだが、 gif0自体にトンネルの始点アドレスを振っておくのが重要。そうしておかないと受信パケットを捨ててしまうらしい。(送信はしていた)
gifトンネルがIPv6デフォルトルートの場合の /etc/ifconfig.gif0
create inet トンネルの始点アドレス netmask 0xffffffff tunnel トンネルの始点アドレス トンネルの終点アドレス up !route add -inet6 :: default -ifp $int
MR104FHに関してはかなーり叩かれまくってたけど、やっとアップデートすると 発表しましたな。MR104DVも対象だけど、あんまり期待しないで待つことにする。
で会社のサーバが全部止まってる間に韓国でワームの嵐。
セキュリティーパッチはまめに当ててるつもりだけどSQL2000SP3を全マシンに展開する前だったのでちと怖かった。
去年このサービスがあれば紙に書き込むなんつー無駄な作業せんでよかったのにー。 今年は年末調整で戻ってきてるので確定申告しない予定。
ここで入力されたデータに番号振っといてあとで参照可能とかにしてるのかなあ。
A1-2 国税庁のサーバーに記録されません。入力された内容は、一時的にサーバー上に記録されますが、ご利用後に自動的に削除される仕組みとなっています。 したがって、一度操作を終了された場合には、改めて、始めから入力していただくことになります。
まー情報漏えいしたら激しくやばいのは確かだが…
ZDNetのApple Remote Desktop記事 を読みつつクライアントソフトもMacだけかーとググって調べてたらここに。さっきIPsecで見たとこやん。
Share My Desktop がすごいよさそうなのに、MacOSX 10.2限定でさびしい気持ちになった。もう10.2買うしかないんかなー。 iMac用の10.2なら別にいいけど、XServeの10.2Serverを買うのはあまりにくやしい。…が、Apple Remote Desktopに3万円払うよりはましか。
Bombich Softwareのソフト一覧 っていちいち濃いソフトばっか。もうちょっとOSXをまじめに使ってたら全部世話になるかも。
IIS関連の管理はこいつでやるのがいいんか。ファイル名悪すぎ。 内部的にはADSI経由で IIS Admin Objects をいじくっているということらしい。
AdminSamplesディレクトリはインストール直後に抹殺してたので発見に手間取る…
cscript adsutil.vbs ENUM /P W3SVC とやると定義されているWebサイトの列挙(Webサイトは数字で管理されている。)
cscript adsutil.vbs ENUM /P W3SVC/1/Root とやるとWebサイト内に存在するアプリケーションの列挙
cscript adsutil.vbs APPUNLOAD W3SVC/1/Root/hogeapp とやるとアウトプロセスアプリケーションのアンロード
マシンを通常運用環境に移行。細かい設定はいろいろ残ってるが…
ほぼ身内用チャットにどういうわけかネットカフェ内のリンク集からリンクが張られていてウザイのを拒否するルール。 チャットのディレクトリにある .htaccess に以下のような奴を記述。
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://www\.tako/.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://www\.ika/.*$ [NC]
RewriteRule .*$ - [F]
とりあえず1つでよかったんだけど複数になるかもしれないのでORの使い方の勉強がてら2行にしてみた。 以前はmod_rewriteが分からなかったのでDirectoryIndexに対してrubyスクリプトをかましていたけど、 *1 汎用になってこっちのが便利。
%N (1<=N<=9) でRewriteCondの後方参照ができるらしいので、 Host拒否 を参考にしてこんなのを考えてみた。
RewriteEngine on
RewriteMap hosts-deny txt:/path/to/hosts.deny
RewriteCond %{HTTP_REFERER} ^http://([^/]+)/.*$ [NC]
RewriteCond ${hosts-deny:%1|NOT-FOUND} !=NOT-FOUND
RewriteRule ^/.* - [F]
CN(CommonName)を "mimori CA" に設定した証明機関で発行した証明書のみ通すディレクトリの設定をするために ssl.confに書いたルール
SSLCACertificateFile /etc/ssl/certs/ca-bundle.crt
SSLVerifyClient require
SSLVerifyDepth 10
<Location "/hoge">
SSLRequire %{SSL_CLIENT_I_DN_CN} eq "mimori CA" \
or %{REMOTE_ADDR} =~ m/^192\.168\.[0-9]+\.[0-9]+$/
</Location>
SSLVerifyClient require の影響で 相手が 192.168.0.0/16 だったら、ca-bundle.crt *1 に書いてある証明機関で発行した証明書が必要(あんまり意味なし)。
これで証明機関にぎっておけば複数アカウントの管理ができる〜ユーザー証明書のCNかメールアドレスをログに出すとなおよし。
apache-2.0.44 だったら別に何もしなくてもデフォルト状態でWebDAVが使える。上記 証明書認証とあわせてこんなのを書いた。
# WebDAV
DAVLockDB logs/DAVLock_SSL
DAVMinTimeout 600
Alias /webdav "/home/hoge/webdav"
<Directory "/home/hoge/webdav">
DAV On
SSLRequire %{SSL_CLIENT_I_DN_CN} eq "Mimori CA" \
or %{REMOTE_ADDR} =~ m/^192\.168\.[0-9]+\.[0-9]+$/
<Limit GET OPTIONS>
Order allow,deny
Allow from all
</Limit>
<Limit HEAD PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Order allow,deny
Allow from all
</Limit>
<LimitExcept GET OPTIONS HEAD PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>
DAVLockDB に指定したファイルを最初に生成するのは httpd で、しかも実際にできるファイルは *.dir, *.pag とdbmなファイル。 なので、httpdの実行ユーザが読み書きできるパーミッションを与えるのは、 /home/hoge/webdav ディレクトリだけでなく DAVLockDB に指定されているディレクトリにも必要だった。 あと Alias の行は Apacheデフォルトについてくる icons の例だと最後に/がついているが、webdavの場合は最後に / がついていると失敗する。
WindowsXPのネットワークプレースの追加から https://hoge/webdav で証明書を要求しつつ読み書きできるのが確認できた。 これで共有ストレージへの暗号化アクセスが楽になったぞ。ユーザ証明書のインストールを除いて。
ちなみにログを確認したらいきなりIPv6経由だった。
Pentium無印-133MHz時代から愛用している自作アクセスカウンタ(apacheの mod_includeにパッチあて)、 apache2.xへの対応が面倒だし、もはやマシンリソースの心配をせんでもいいだろう…と世間のアクセスカウンタをググってみる。
が、ディレクトリのパーミッションを777にしろ、とか書いてあるカウンタは使いたくないなあ、とか悩むよりアクセスカウンタぐらい自作した方が速い気がしてきた。 Ruby/GDの仕様を見てたらPNGの画像連結さくっとできそうだし。Ruby/GD の公式ホームページは現在閉鎖中のようなので ports より作成。
database/db4, textproc/diffutils, www/neon を portinstall で入れてから以下の configure で作成
#!/bin/sh
apachesrc=../httpd-2.0.44
apachedest=/usr/local/apache2
env CFLAGS='-O2 -pipe -fomit-frame-pointer' ./configure \
--prefix=$apachedest \
--with-apxs=$apachedest/bin/apxs \
--with-apr=$apachesrc/srclib/apr \
--with-apr-util=$apachesrc/srclib/apr-util \
--with-berkeley-db=/usr/local/include/db4:/usr/local/lib \
--with-neon=/usr/local \
--with-diffutils=/usr/local \
make
とりあえずの利用は大体CVSと同じなんだけど、設定ファイルの書き方 *1 に関するドキュメントが全然見つからないのが辛い。
システム管理に利用するにはインストールまでの道のりが長いかなーと思ったが、最新データ持ってくるだけなら普通のHTTPなので fetch や wget でok。
でも cvs pserver でいいような気がしてきたので chroot 環境での cvs pserver を作る支援ソフト。/usr/ports/devel/cvsd で作ってREADMEの通りにやれば出来そうな雰囲気だ。
/usr/local/sbin/cvsd-buildroot で必要なchroot環境を作ってくれるのが楽。
chmod 755 log cache cache_static で777なディレクトリを落としておく。
.htaccess の変更。
Options +Includes +ExecCGI DirectoryIndex index.html # AddHandler server-parsed .html XBitHack full
ファイアウォールをNetBSD化してそこのntpを基準にしようとしたからだろうか、clockspeedでの時計合わせで 時計がどんどん狂う。TAIとUTCの差で悩むのも面倒になってきたのでntpでの時計合わせに戻した。
<mimoriso@anet.ne.jp>.
All rights reserved. このサイトはリンク上等です。