MONO*LOG

贈りもの

2008-11-03T17:20:29Z

3連休はひさしぶりに都内へ。実家にも数年ぶりに顔を出してきました。
事前にまったく連絡もせず、いきなりピンポンされて玄関に出てきた母も父も、当然びっくり(笑)
連れを待たせていたこともあって、ほんの10分ほどしかいれなかったけれど、実家はやっぱり自分のアイデンティティそのものというか、無条件に受け入れてくれるところというか、うれしものですね。
]]>
帰りがけに、実家が建ったときからずっと庭に鎮座している柿の木の、秋の贈りものを持たせてくれた。

桃栗三年柿八年っていうけれど、本当に実がなるまでに8年くらいかかったと思う。

初めて柿の実がなったとき、自然へのお礼に一つだけ、鳥にあげようと実を残そうとしたのに、父が取ってしまって母が悲しんでいたこともあったっけ。

とってもおいしくいただきました。
秋の味覚と、家族の健康に感謝。

冬支度

2008-11-03T17:01:35Z

先週末ついに初霜が降りた我が家。短い秋ももうすぐ終わり、長い冬がもうすぐやってきます。
ということでもう1ヶ月以上前(笑)のことですが、来シーズン用の薪も作り始めたのでした。

]]> 写真の奥には、今シーズン用の薪が山になっています。

ところが、薪割りの途中でトラブル発生。

なんと、薪割り台が粉砕(笑)
4年たった薪割り台は、中が腐り果て、ありんこ天国となっておりました。。(泣)

また、太い材を見つけてこないといけないなぁ。

薪割り終了後、今シーズンの火入れをして、わんこも初めての薪ストーブ体験となったのですがこのとおり(笑)

気持ちよさそうです。

光芒

2008-09-14T15:33:30Z

今日は久しぶりに暑いくらいの、いい天気。

日が傾いた頃、帰り道に空を見上げると、光芒(crepuscular rays)と呼ばれる空に出会えました。
ホントはもっと綺麗だったのですが、撮影場所を探しているうちに状況が変わってしまいました。

ゴーストが映っているのはご愛敬！

(Ricoh GX100;F11.7;44mm;1/1250;ISO100)

塩ひよこ

2008-08-20T14:31:22Z

東京駅限定のひよこだそうです。
面白そうなので帰りがけに買ってみました。

熊本産の自然海塩「天草の塩」を使っていて、餡は北海道の小豆餡なんだそうです。

ノーマルのひよこがどんなもんだったか忘れてしまいましたが(汗)...けっこうイケるかも。

わんこ

2008-08-18T13:12:36Z

我が家に新しい家族がやってきました。
クリーム色のミニチュアダックスフンド。

名前もつけたけど、ネット上では「クリーム」ってことにしますｗ

う～ん、カワイイ～。
これからはもうちょっとブログ更新しようっと(汗

雪の彫刻

2008-02-24T15:06:11Z

春一番と寒気が重なり、我が家の周りはまた雪模様。
強風によって削られた粉雪の表面が、砂漠のような幻想的なエッジを形作っていました。

リニューアル

2007-11-17T01:23:58Z

ブログシステムを入れ替えました。サイト名も変更しました。

旧サーバ不調のため、急遽リリースすることにしました。
デザインやモバイル対応もまだ完了しないので、レイアウトやデザイン上見づらい場合があります。あらかじめご了承ください。

また、今回のシステムからコメント投稿には画像認証が必要になりました。
トラックバックは未サポートとします。

mod_tsunami-3.0

2007-07-31T15:09:36Z

DSOモジュール組み込みメモ。

$ tar zxvf mod_tsunami-3.0.tar.gz
$ cd mod_tsunami-3.0/
$ /usr/local/apache/bin/apxs -c mod_tsunami.c
gcc -DLINUX=22 -I/usr/include/db1 -DUSE_HSREGEX -fpic -DSHARED_MODULE -I/usr/local/apache/include -c mod_tsunami.c
gcc -shared -o mod_tsunami.so mod_tsunami.o
# /usr/local/apache/bin/apxs -i -a -n 'tsunami' mod_tsunami.so
[activating module `tsunami' in /usr/local/apache/conf/httpd.conf]
cp mod_tsunami.so /usr/local/apache/libexec/mod_tsunami.so
chmod 755 /usr/local/apache/libexec/mod_tsunami.so
cp /usr/local/apache/conf/httpd.conf /usr/local/apache/conf/httpd.conf.bak
cp /usr/local/apache/conf/httpd.conf.new /usr/local/apache/conf/httpd.conf
rm /usr/local/apache/conf/httpd.conf.new

iTunes7.3の改悪

2007-07-13T09:04:26Z

iPhone が盛り上がっている Apple から、さっそく iPhone に対応した iTunes7.3 が6月末(6/29)にリリースされてはや2週間。
いままでは何の気なしに最新版にアップデートしていたのですが、7.3はいただけません。
なんと、ライブラリやデバイス、プレイリストを切り替えるたびに、ブラウザ項目で選択したジャンル・アーティスト・アルバムがリセットされてしまいます。

これじゃあまりにも使い勝手が悪いので、しょうがなく7.2にダウングレードしました。
こんなこともあろうかと、毎バージョン手元にインストーラ残しておいてよかった。

というわけで、同じように困っている方は、ここに置いておきますので勝手にどうぞ。(回線遅いので、DLには時間がかかります)

qmailで「POP over SSL」

2007-04-20T05:50:00Z

メール受信(POP3)に使用するプロトコルはPOPが一般的であるが、オプションである暗号化パスワードを使用できるAPOP認証に脆弱性が見つかった。

情報処理推進機構セキュリティセンター(IPA)
「APOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について」

そもそも平文で認証を行うPOPを利用しているユーザはほとんどいないはず…であるがこれで、いま現在一般的に行われているAPOP認証も使えないものとなってしまった。
APOPパスワード漏洩によるさらなる重大な問題は、メールの不正送信をされる危険があることだ。

単純にAPOPパスワードが漏洩するだけでは、メールサーバに保存されている受信メールの読み出しが行えることと、サーバ上のメール消去が自由にできるようになるだけである。
ここで注意が必要なのは、一般的なメール送信の認証方法はAPOP認証に通過したネットワークからを無条件で許可する、という仕組みである。

・メールの受信プロトコルがPOP/APOP
・メールの送信認証がPOP before SMTP
・SMTPサーバとPOPサーバが同じ

という環境である場合、漏洩したアカウントで自由にメールを送ることが可能になる。
SMTP認証でSMTP-AUTHが提供されている場合にはこの限りではないが、今回のAPOP問題の根本原因はMD5ハッシュのコリジョンであるから、この先も安全が保証されるわけではない。

そこで、解決方法のひとつである「POP over SSL」である。

「POP over SSL」を利用することによって、メールの読み出しクライアントとPOPサーバとの間の通信はSSLにより暗号化される。アカウントのみならずPOPサーバから読み出し中のメール本文そのものも完全に隠蔽できるわけだ(※メールサーバ間の通信は平文なので注意)。]]>
まずは、tcpserverでSSL/TLSが利用できるようにするパッチをダウンロード。

MD5チェックサムはこちら。

cbe2443539d5289ffb5ae2a036e0ba3d ucspi-tcp-ssl-20050405.patch.gz

tcpserverにパッチを適用する。イチから構築するときは、以下のパッチも忘れずに。

「rblsmtpd をAレコード対応にするパッチ」 ucspi-tcp-0.88.a_record.patch
「glibc2.3.1以降に対応するパッチ」 ucspi-tcp-0.88.nobase.patch
(※) ucspi-tcp-0.88.errno.patch は ucspi-tcp-ssl-20050405.patch に同梱されています。

$ cd /usr/local/src/
$ wget http://www.nrg4u.com/qmail/ucspi-tcp-ssl-20050405.patch.gz
$ gzip -d ucspi-tcp-ssl-20050405.patch.gz
$ cd ucspi-tcp-0.88
$ patch -p0 < ../ucspi-tcp-ssl-20050405.patch
patching file FILES
patching file Makefile
patching file TARGETS
patching file addcr.1
patching file argv0.1
patching file date@.1
patching file delcr.1
patching file error.h
patching file finger@.1
patching file fixcrio.1
patching file hier.c
patching file http@.1
patching file mconnect.1
patching file recordio.1
patching file tcp-environ.5
patching file tcpcat.1
patching file tcpclient.1
patching file tcprules.1
patching file tcprules.c
patching file tcprulescheck.1
patching file tcprulescheck.c
patching file tcpserver.1
patching file tcpserver.c
patching file who@.1
$ patch -p1 < ../ucspi-tcp-0.88.a_record.patch
patching file rblsmtpd.c
$ patch -p1 < ../ucspi-tcp-0.88.nobase.patch
patching file rblsmtpd.c
Hunk #2 succeeded at 228 (offset 38 lines).

新規インストールなら、下記コマンドで /usr/local/bin/tcpserver (SSL対応) がインストールされる。

$ make
$ su
# make setup check
./install
./instcheck

すでにtcpserverがインストールされているなら、現在稼働している環境に影響を与えないように、別名でインストール(上記手順で上書きでも構いません)。

$ make
$ su
# cp tcpserver /usr/local/bin/tcpserver-ssl

サーバ証明書を作成する。応答ホスト名は、クライアントの接続先ホスト名と一致させてください。

# make cert
openssl req -new -x509 -nodes \
-out cert.pem -days 366 \
-keyout cert.pem
Using configuration from /usr/share/ssl/openssl.cnf
Generating a 1024 bit RSA private key
..++++++
..............++++++
writing new private key to 'cert.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]: JP
State or Province Name (full name) [Berkshire]: Tokyo
Locality Name (eg, city) [Newbury]: Chiyoda
Organization Name (eg, company) [My Company Ltd]: example.com ← 企業名・団体名・ドメイン名など
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []: mail.example.com ← 応答ホスト名
Email Address []: postmaster@example.com ← 管理者メールアドレス

作成した秘密鍵を設置し、適切にパーミッションをセット。

# mkdir /var/qmail/server.key
# cp cert.pem /var/qmail/server.key/
# chmod 700 /var/qmail/server.key/; chmod 600 /var/qmail/server.key/cert.pem
# rm cert.pem

qmail起動スクリプトの修正。tcpserver オプションに -s を追加し、-n オプションの引数に /var/qmail/server.key/cert.pem を指定する。Listenポートは「pop3s」または「995」です。

# vi /etc/rc.d/init.d/qmaild
--- (一部抜粋) ---
# port 110 POP3
/usr/local/bin/tcpserver -R -l mail.example.com 0 pop3

# port 995 POP3-SSL
/usr/local/bin/tcpserver-ssl -sR -l mail.example.com -n /var/qmail/server.key/cert.pem 0 pop3s

編集が終わったら、qmailを再起動。この状態で、110番と995番ポートが立ち上がっていればOK。

# /etc/rc.d/init.d/qmail stop
# /etc/rc.d/init.d/qmail start
# netstat -an | grep 995

いよいよ、クライアント側のメールソフトの設定を変更。

Becky!2であれば、「ツール」→「メールボックスの設定」→「基本設定タブ」→「サーバ情報」の「POP3サーバ欄」で "POP3S" にチェックを入れる。

Outlook Expressであれば、｢ツール｣→｢アカウント｣→｢メールタブ」の設定アカウントを選択し、｢プロパティ｣の「詳細設定タブ」のサーバーのポート番号のうち、受信メールのポート番号を "993" に変更し、"このサーバーはセキュリティで保護された接続(SSL)が必要" にチェックを入れる。

Becky!2では、「詳細タブ」の「SSL/TLS関連」で "証明書を検証しない" にチェックを入れることで警告がでないようにできるが、Outlook Expressの場合では「接続しているサーバーは、確認できないセキュリティ証明書を使用しています。」と警告ポップアップが出てしまうので、秘密鍵から公開鍵を作成し、メールソフトにインポートしておこう。

秘密鍵から公開鍵をエクスポート。

# cd /var/qmail/server.key/
# openssl x509 -in cert.pem -outform DER -out cert.der

できあがった公開鍵を、メールソフトにインポートする。
この公開鍵は、WWW上に広く公開しても問題ない。(後述の、SMTP over SSLでは外部SMTPサーバからのメール受信で必要である)

Windowsであれば、手元にダウンロードした「cert.der」ファイルを右クリックし、「証明書のインストール」ウィザードからインポートする。そのさい、Verisignなどで署名されたサーバ証明書でない場合には Fingerprint (拇印) の確認画面が表示されるので、あらかじめ作成したサーバ証明書の Fingerprint も公開しておいた方がいいだろう。

サーバ証明書の Fingerprint の確認方法は、以下のコマンドで。
当サイトメールサーバの Fingerprint を晒しておく。

# openssl x509 -noout -fingerprint -sha1 -inform der -in cert.der
SHA1 Fingerprint=48:E8:6B:35:52:F0:97:30:AB:43:3D:E4:57:9B:64:42:83:58:85:D8

インポートが正常に完了すると、IEのインターネットオプションから「コンテンツタブ」→「証明書」→「信頼されたルート証明機関」に作成したサーバ証明書の Common Name で追加される。

以上で「POP over SSL」の環境は用意できた。
動作確認ができたら、qmail 起動スクリプトの標準POP3の起動エントリは忘れずに無効にしておくこと。

次回はプラスアルファの機能として「SMTP over SSL」も実装してみよう。

薪ストーブ掃除

2007-04-14T10:30:48Z

我が家の「ヨツール F500」は薪ストーブユーザのなかでも一番人気だそうで、我が家で選んだ理由はデザインとオーロラの炎。今年になってようやく上手に燃やすコツを掴んできたので待望のオーロラの炎も見ることができるようになってきた。

初心者は、どうしても効率的に薪ストーブを燃やすことができないのでストーブの温度を上げることや完全燃焼させることが難しい。そもそも、どういう状態が一番いい状態で燃えている状態なのか、薪はどういう薪がいいのか、なんてことを知らない。かといって、ベテラン諸氏のアドバイスも「なんとなくわかるようになるから」とか「細かいことは気にせずガンガン燃やせばいいんだよ」などとかなりアバウトであったりする(汗)

薪ストーブって、煙突なんかの施工料も入れると床暖房入っちゃう金額くらいは軽くかかるので、おいそれと壊すような真似はできません(泣)。で、燃やしすぎたら壊れちゃうんじゃないか、みたいな気持ちになってしまい、去年はずいぶん寒い思いをしたのでした。

そんな昨シーズンはさぞ煙突やストーブ内に煤だらけにしてしまったんだろうなと心配だったわけです。
不完全燃焼を続けたり乾燥していない薪を燃やして煙突を詰まらせると、最悪「煙道火災」を起こすといいますしね!!

で、ついに今日はいままで手をつけていなかったF500の内部に挑みます!!]]>
扉が外れたら、今度は天板を外します。

以前、知り合いに教わったときはそのまま持ち上がるとのことでしたが、我が家のF500は全く外れる気配がありません。手を突っ込んで内側をまさぐってみると、ボルトらしきものがあります。どうやら、外れ止めがついているようですね。とりあえず10mmのスパナで回してみると、ビンゴ！ナメないようにメガネで慎重に緩めると、外れ止めが回るようになります。ボルトを締める方向には回らないので注意。

めでたく、天板が上方向から外せました。
写真はもう掃除してしまった後ですが、外した直後には天板のすぐ下にパウダーのような灰が積もってました。
ちょうどこの下にオーロラの炎の源である二次燃焼室があるのですが、二次燃焼室と天板の間には断熱材が入っていました。この断熱材があるおかげなのか、F500は他のメーカーのストーブほど天板の温度が上がりません(よっぽどガンガン炊かないとヤカンのお湯も沸騰しません)が、外したままにしてしまっても問題ないのかどうかまではわかりません。
断熱材は綿みたいに柔らかく、すぐに崩れてしまうので掃除機で吸ってはだめそうです。屋外で積もった灰をはたくくらいにしておきましょう。

これが、外した天板です。
10mmでちょうどぴったりです。ノルウェーって、インチじゃないんですかね。
掃除が終わった状態です。煙突から落ちてきた灰や煤が積もるので、綺麗に掃除しましょう。
これが、断熱材です。
周りの部分はストーブの内壁に密着しているのでさすがに煤で真っ黒です。
掃除が終わったら、断熱材を元通りに戻します。
たぶん、きちんと密着するように端のほうも巻き込んだ方がいいんでしょうね。
というわけで初めてにしてはまともに掃除できました(笑)
掃除する前は、べとべとの煤だらけかと心配していましたが、思っていたほど煤が少なくて、安心しました。
ほとんどがサラサラの灰、量も一枚目の写真に写っているくらい、どんぶり一杯分くらいでしょうか。

薪ストーブの構造のシンプルさ、それとヨツールというメーカーの創業150年は伊達じゃないなというメンテナンス性の良さがよくわかって、とても楽しいものでした。

PostgreSQL 8.1.5 認証版

2007-04-12T05:41:59Z

ZDNetの記事によると、NTTデータが PostgreSQL で ISO/IEC15408 認証を取得したそうだ。

『NTTデータは4月11日、オープンソース（OSS）のDBMS「PostgreSQL」と、その運用モデルでISO/IEC15408に基づくITセキュリティ認証を取得したと発表した。OSSのDBMSでITセキュリティ認証を取得したのは世界初という。

ISO/IEC15408は、情報技術に関連した製品やシステムが適切に設計され、正しく実装されているかどうかを評価するセキュリティ評価の国際標準規格。独立行政法人情報処理推進機構（IPA）が国内で制度を運営している。

認定取得にあたりNTTデータでは、PostgreSQLのセキュリティ関連機能を強化するとともに、セキュアな運用ガイドラインを規定。2006年9月に申請を行い、今回の取得に至った。

なお、認証を取得したPostgreSQLは、PostgreSQL 8.1をベースに、パスワード認証、監査ログ表示・閲覧機能などを強化してセキュリティ評価基準に適合するよう構成されている。』

ダウンロードは
http://www.nttdata.co.jp/services/postgreSQL/
から。

MD5 チェックサムは

a6037990f222f3f4bb909ebfa9d9d552 postgresql-8.1.5-ISO15408_Linux.i386.rpm

最近、オープンソース RDBMS の信頼性向上がめざましい。
ちなみに、かの「mixi」も mod_perl + MySQL 構成だそうですね。

マカフィーが重い

2007-03-25T11:36:14Z

PCに「McAfee Managed Total Protection」がインストールされていたんだが、圧縮ファイルも読み込み時にすべてウィルススキャンするもんだから、仕事になりません。

JAVAアプリケーションなんかだと、クラスパッケージであるJARファイル(ZIPアーカイブ)が大量にあるから、起動しようとしたとたんにフリーズ状態のごとく、マカフィーが資源を食いつぶしてしまう。
ほかのウィルスソフトなんかだと、拡張子でスキャン対象から除外できたりするのだが、どうやらマカフィーは設定自体できない模様。

で、調べてみたらレジストリでアーカイブのスキャンを行わない方法を発見したのでメモ。

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\ManagedServices\Agent\Subsystems\myOnAcc\Configuration\Default

「bScanArchives」を「0」に変更。

これで、毎回「McShield.exe」をタスクマネージャーから殺すイライラからも解放です。

「メイリオ(meiryo)」フォント

2007-02-10T03:38:53Z

Windowsフォントといえば「MSゴシック」「MS Pゴシック」。

当たり前のように目にするフォントですが、Macユーザはみんな馬鹿にしますね。そう、Macには「Osaka」「ヒラギノ」など、とても綺麗なフォントがインストールされているからです。WEBデザイン・DTPの世界でMacユーザが多いのには、それなりの理由があるのです。

さて、先日登場した Windows Vistaですが、フォントについても全く新しいフォントが導入されました。

新フォント「メイリオ」英語表記「meiryo」。
その名の通り明瞭なのか、早速 XP にインストールしてみた。]]> ここに置いておいた。

インストールは簡単。
コントロールパネルから「フォント」を開き、フォントの追加から解凍した ttc ファイルをそれぞれ選択するだけ。

・meiryo.ttc
　メイリオ＆メイリオイタリック
・meiryob.ttc
　メイリオボールド＆メイリオボールドイタリック

がそれぞれインストールされる。
フォントはインストールしただけではなんの役にも立たない。早速ブラウザのフォントに割り当ててみよう。
IE の場合は「インターネットオプション」→「フォント」→「WEBページフォント」から「メイリオ」を選択する。
Firefox の場合は「オプション」→「コンテンツ」→「フォントと配色」から変更できる。

なお、XPでは標準で「ClearType」が無効になっている。
「画面のプロパティ」→「デザイン」→「効果」→「次の方法でスクリーンフォントの縁を滑らかにする」から「ClearType」を選択すること。

参考までに、「MS Pゴシック」「メイリオ」「Osaka（Windows移植版）」のスクリーンショットを載せておく。
ClearType については好みもあるかと思うが、劇的に綺麗になっていることがわかる。

メールの送受信が遅い

2007-01-30T02:50:23Z

年末からここ最近、当サイトのメールサーバの応答性が非常に悪くなっていたのだが、原因はこんなことだった。

・スパム対策ブラックリストの「ORDB.org」がサービス停止：ITPro
・ORDBが閉鎖：スラッシュドットJ
・迷惑メールブラックリストを提供してきたORDB.orgが活動停止：ITmedia

スパムメールへの対策としてここ5～6年の間一般的にプロバイダやサーバ管理者に取り入れられることも多かった仕組みが「RBL」である。
RBLはインターネットの基幹技術であるDNSを利用し、スパムメールを送信しようとするメールサーバのIPアドレスをデータベースに管理し、広く公開することによっていわばブラックリストを全世界で共有できるというシステム。枯れた技術であるDNSを利用することによって、またDNSは通信プロトコルとして非常に高速なUDPであるから、とても有用で画期的であったわけだ。

しかし、DNSを用いている以上、根本的な問題を抱えるシステムであるともいえる。
「RBLサービスのDNSサーバが停止すると、著しくメールサーバの応答性が悪化する」のである。

RBLサービスは複数あり、たいていのRBL導入システムでは複数のRBLサービスを参照する。
今回のように、ORDBのようなRBLサービスが停止することによって、メールサーバはORDBからのDNSレスポンスが得られないため、メールの送信処理に進むことができないのだ。]]> テスト方法は単純で、外部のサーバ（Windowsのコマンドプロンプトでもいい）から、telnetコマンドを利用して、直接SMTPコマンドをたたくものだ。

$ telnet lunasys.net 25
Trying XX.XXX.XXX.XXX...
Connected to lunasys.net (XX.XXX.XXX.XXX).
Escape character is '^]'.
220 xxxx.lunasys.net ESMTP ← このレスポンスが非常に遅い
… (省略) …
quit
221 xxxx.lunasys.net
Connection closed by foreign host.

遅延が確認できたら、利用しているすべてのRBLサーバが生きているか、ダミーIPアドレスで LOOKUP を試してみよう。応答がないようであれば、該当するRBLサービスを利用しないようにすればよい。

ちなみに、qmail を tcpserver 経由で起動しているとき、オプションによっては ident パケット待ちのため同様に遅延する場合がある。この場合は、「-R」オプションを付与すること。