OpenPGPの鍵失効

会社をクビになったので、PGPの証明書の失効手続きをやった。

PGPはメールに署名すると、改竄をチェックできるので、わしが送信するメールにはPGP署名する事にしている。改竄されて被害を受けた事は無いが、取引関係のメールだと、言った言わないの話があるので、あると便利だと思う。

あと、送る相手の公開鍵で暗号化すれば、そのペアとなる秘密鍵を持っている人にしか解読できない機能もある。これは海外との機密情報をやり取りするのに役に立つ。

特に支那の様な、国外への通信を傍受して検閲しているような所とのやり取りに向いている。

話はそれたが、そう、鍵の失効初体験!
Thunderbirdで、OpenPGP→鍵の管理 で鍵を選択して、編集→鍵を失効させる でローカルでは失効になる。

さらに 鍵サーバ→公開鍵をアップロード で鍵サーバに失効した鍵を登録すれば、完了。

鍵サーバ検索したら、Air internet使ってた時のPGPキーがまだあった(笑)。これって既にキーは無いし、失効もできないけど、キーサーバって随分長い間、鍵を保持してくれるんだなあと感心する事しきりである。

もう少し

何やら、永久に完成しないだろうと思っていたプロジェクトがまだ生きていたようである。

社長の話では、ハードウエア担当が、評価ボードを作ったので、データベースへ接続して欲しいと言い、「もう少しだ」とか言っている。

果てしなく嘘くせえ。

わしは、かつては、電気業界の組み込みソフトウエア部門に居て、ハードウエア担当と話をしていたから、話をすれば、どの程度の能力かってのは分かる。

このハードウエア担当は、わしの見立てでは、出来合いの物を買ってきて組み合わせる位の能力しかない。

なので、評価ボードを作ったと言っているが、売り物の評価ボードを買ってきて、組み立てただけの可能性が高いな。

わしとしては、「評価ボードを作った」というからには、「ALTERAにロジック焼きました」レヴェルの話でないと納得できないが、まあ、DOS/Vマシンにしたって、ただ組み立ててるだけなのに、「自作」って言うからねえ 🙂

社長は「もう少し」と言っているが、わしがその評価ボードに対して言う言葉は既に決まっている。

「論外じゃボケぇ!」(笑)

F-Secure Linux gateway

今更ながらに Ver.4.03にバージョンアップした。

元々、インストールした時に debパッケージは無く、tar ballの野良ビルドだったが、今は debパッケージがあり、それを入れると、ちゃんと、野良ビルド環境の設定を引き継いで何の問題もなく、バージョンアップが終了した。

そこで、設定を見ていてふと気づいたのが、SPAM RBL関係が「無効」になっている。

わしは余り深く考えずに、自動で SPAM を排除してくれる便利なもの程度で、気軽に有効にしていたが、時折、Junkにお客さんのメールが叩き込まれる事があり、難儀していた。

そして、会社からお客さんに送信したメールが届かないってので、調べると、お客さんのプロバイダに迷惑メールフィルタサービスがああり、どうもRBLを利用してるっぽい。

よくよく調べると、規制方法として、ボランティアの報告者が「SPAM業者許すまじ!」とIPアドレスグループでごっそり拒否とかしていて、無関係の善良なサーバがそのとばっちりで、SPAM発信者と誤認される事が多々あるそうだ。

それに、マルチドメインサーバーが多い昨今で、IPでの規制はすごく問題があるな。だから、F-SecureのLinux gateway はデフォルトで無効にしたのか。

会社で「メールが届きません」ってメールが来る事が度々あり、調査をするのだが、送信が正常にも関わらず、「届いていない」というのは、メールソフトの迷惑メールフォルダに入ってるか、サーバの迷惑メールフィルタで届く前に捨てられているかのどちらかだ。

しかし、この調査結果を依頼者に言うと、それを元にお客さんにメールで返答しているようだ(´・ω・`)

そのメールも届かない可能性が高いってのは思い巡らないのだろうか?

結局、お返事メール書いたところで、お客さんに届いていないのであれば、意味が無いし、メール書くのに費やした時間も全くの無駄だ。

インターネットで通販やってる会社で、インターネットの仕組みを理解して、ちゃんとした運用をやってる会社ってのは、案外少ないのかもしれないな。

イヤ~ンな仕様

ファイルのアップロードでディスクへの格納に、お客様の名前のディレクトリを作成して格納するって事になっている。

このお客様の名前というのは、フォームの名前欄で、どんな文字でも入力できるので、わしなら絶対に採用しない仕様。

とりあえず、phpの関数しか使っていないし、ヤバそうな文字は予めエスケープしたり、文字置換したりしているからいいかと思っていたが、バックアップでファイルをリアルタイムでコピーするって話になってさあ大変。

最初は php の move_uploaded_file() が成功したら、バックアップディスクにもファイルをcopy() でコピーするコードを書いた。

しかし、ファイルコピーが終了するまで、phpスクリプトが終了しないので、完了時間が数秒延びてしまう。

ディレクトリが入力フリーダムな状況で、その文字列をシェル渡しにするなんぞ、絶対にやりたく無かったが、仕方がないので、exec() でバックグラウンド起動し、スクリプトはすぐに終了するようにした。

シェル渡しにすると何が問題になるのか?

たとえば、名前欄に「野泉雄嗣」と入れて、次のコマンドが実行される様な事を期待していたとする。

copy /var/www/upload/野泉雄嗣/filename.lzh /backupdisk/野泉雄嗣/filename.lzh

では名前欄に「; rm -rf /;」って入れたらどうなるか?

copy /var/www/upload/; rm -rf /;/filename.lzh /backupdisk/; rm -rf /;/filename.lzh

で、これがシェルに渡ると5つのコマンドと解釈される。
1. copy /var/www/upload/
2. rm -rf /
3. /filename.lzh /backupdisk/
4. rm -rf /
5. /filename.lzh

1,3,5はエラーで終わるが、2と4が実行されると、apacheに書き込み権のあるディレクトリのファイルが全部削除される。

php の copy() はパス名にこういうヤバい文字が含まれていても、うまい事握ってくれるが、exec()でやるとなると、この辺は自前で何とかしないといけない。

変なコマンドを実行されない為には、次の様にヤバい文字をエスケープすれば良い。

copy /var/www/upload/;\ rm\ -rf\ /\;/filename.lzh /backupdisk/\;\ rm\ -rf\ /\;/filename.lzh

escapeshellcmd()とか、ヤバい文字をエスケープしてくれる関数があるが、これはマルチバイト非対応で、漢字文字列があると全部削除される。

つまり「野泉雄嗣」の様な漢字のディレクトリが作られる事を想定しているプログラムには使えない。

とりあえず、escapeshellcmd()でエスケープする文字に空白とかも追加して
$str = addcslashes($str,’ \'”#&;`|*?~<>^()[]{}$\\’.”\x0A\xFF”);

とやったが、これってUTF-8の漢字の一部に該当するコードがあっても置換される予感がするなあ…。前に組んだmb_replace_string()って自作関数使った方が良さそう。

しかし、そもそも論で言えば、「何で人間が見て分かる形にする必要があるの?」ってのがある。

システム化というのは、「人間が見て判断する」という非効率でヒューマンエラーが発生しやすい状況を改善する事が目的である。

効率化を追求した結果、これ以上効率化が無理だからシステム化するってなら分かるが、非効率な手順は一切変えず、それを無理矢理システム化するってのは、システム化に対する幻想がある気がするな。

友人が電気店で見たある客がMacを指差しながら店員に「これ買ったらすごい絵が描ける様になるんですよね!?」って言ってたって話を思い出したな 🙂

Ubuntu 9.10のFDTI USB シリアル通信

会社でRBIO-2Uのシリアル通信プログラムが動かなくなったので、テストプログラムでテストしてみた。

ソース

Ubuntu 9.10 Desktop kernel 2.6.31

Ubuntu 9.04 Desktop kernel 2.6.28-16

9.04だと、”PCR01″って送信したら、”\r\nOK\r\n”って文字が返ってきている。
シリアルポートの設定は同じだが、read()で読み出した時の挙動が違う。
これは、kernel 2.6.31のFTDIのドライバか、シリアル関係がバグってそうな予感…。

ATCOM IP08

会社でATCOMのIP08の設定をやった。

同僚が設定していて、転送設定ができないとの事で、わしが見る事になった。
BAPsのfirmwareアップデート済みだったが、#を押しても”Transfer”っておねいちゃんの声が聞こえず、DTMFがスルーされてる感じ。

シリアル端末で、
ipkg remove asterisk-1.4.4
ipkg install asterisk-1.4.20

ってasteriskのバージョン上げても変わらず、しまいには、Grandstreamの電話機では繋がらず、ソフトフォンなら繋がるという謎の現象になってしまったので、BAPsのファームウエアは放棄!

ATCOMのDownload centerから、ファームウエアを落っことしてアップデートすると、転送の#押下は認識するようだが、電話がブチ切られる。

asterisk -vvvr でモニタすると、pbx-transferの音声ファイルが開けませんとかいうログが出ていた。

ファイルの位置を調べると、
/persistent/asterisk/sounds
とかにあるみたいで、

/var/lib/asteriskのディレクトリで、
ln -s /persistent/asterisk/sounds .

とシンボリックリンク貼ってやったら動いた。

AsteriskNowは、asteriskを作ったdigiumが作っただけあって、非常に良くできている。

パッケージのビルドさえ完璧であれば、GUIで設定できて、簡単なのだが、そうでない場合は、Linux弄る知識が無いと、とても触れたもんじゃない。ちょっと残念な製品だな。

バリスタ

バリスタと言っても、コーヒーを淹れる訳ではなくて、Variable resistorの略。

会社でソレノイドバルブを動かす回路を作ったが、RBIO-2Uのリレーでカチカチ作動させていると、RBIO-2Uでリセットが掛かる。

ソレノイドバルブの給電を止めた途端にリセットするので、過電流のせいでもないから、共立電子さんにWebフォームで「初期不良っぽいですけど交換して貰えますか?」って問い合わせてしまった。

付属マニュアルをじっくり読んでいて、大容量リレーを駆動させる回路ってのを読んでたら、バリスタを入れないと、リレーのサージによってマイコンが暴走するって書いてあった。

電子工作初心者だから、バリスタを入れないといけないなんて全然知らんかった。

Wikipedia見たら、

直流モーターソレノイドなどといった直流の誘導性負荷は、電源を切った際に自己誘導作用による高圧の逆起電圧を生じる。」

って、ソレノイドバルブの電源を切った途端に発生してるから、まんまこの現象だよ orz

RBIO-2U

社長にRBIO-2Uを買ってもらった。

USBインターフェースだが、Ubuntu 9.04 Desktopのマシンに繋いだら、USB Serialportとしてサックリ認識。

ターミナルで”PCR01″とかコマンド送るとリレーがカチカチ作動する。

使い方は色々あるが、例えば、パソコンの温度が高い時に、外付けの強力な電動ファンのスイッチを自動で入れるとか、炭酸ガスボンベのソレノイドバルブを開閉するとか応用次第で色々楽しそうな事ができそうだ。

リレー出力10、入力4だが、入力ポートが結構おもしろい。GNDと入力の線を短絡させて、RBIOに”FB0″とコマンドを送ると”0″と返ってきて、開放状態だと、”255″という文字列がシリアルから返ってくる。

これも色々と応用が効くが、出力と入力と合わせて、電動ねずみ取り機とか作れるな(笑)

餌のチーズに触れると、入力で検知して、リレー出力で扉をガシャンと電動で閉じるってな具合。果てしなく無用の長物感がするが、まあパソコンで入力の判断と出力ができるってのが色々応用できて、おもちゃとして面白い。

【Apache】穴

会社の自分のマシンは、NIC二枚挿しで、一方をネットワークテスト用のローカルネットが切ってある。

そのローカルネットで、motionを動かしているが、こいつは8081番のポートを、Webブラウザで叩いてやると、カメラ画像がモーションJPEGで見る事ができる。

これは、当然、ローカルネットの外では見る事ができないので、自分のマシンのApacheの特定ディレクトリの.htaccess で

RewriteEngine ON
RewriteRule  (.*)/ http://$1:8081/ [P]

なんてやって、ローカルマシンの motion のモーションJPEGを外部公開する設定にした。

http://localhost/hoge/camera/172.16.0.12/

とやると、外部から参照可能の自分のマシンのApacheが、
http://172.16.0.12:8081/

を実行して、先のURLのコンテンツを置き換えてくれる。

しかし、これって、camera以下のIPアドレス部分を変えれば、どんなホストにもアクセス可能だから、どうみても穴だよなあ…。

ただ、色々と制約があって、
・DNSは使えない
・閲覧するカメラの数は決まっていない。
・motionの動くマシンのネットワークは決定していない。

という理由から、mod_rewriteを使って、URLに任意のIPアドレスをぶら下げるというインターフェースしか思いつかぬ。

PHPで、proxyモドキを作ってみたが、JPEGの画像が書き換わってるのが分かる程、オーバーヘッドがでかいので、動画データの転送には向いてないから断念した。

なんかいい方法ないかなあ。

早弁小僧

中学生の時に、弁当箱が先生から見えないように教科書を立てて、早弁してる奴がいたが、会社で見れるとは思わなんだ 🙂

早弁してる訳では無いが、わしから自分のパソコンのディスプレイが見えないようにしているようで、ファイルを立てている位置が極めて不自然。

帰る時は、キチンと机の奥の方に立てかけているのに、出社してから、わしとの壁を作るようにファイルを立てかけ、勤務中にこまめに位置をずらすが、ファイルを見る訳でも無い。

チョーウケル(笑)

今、溜め込んでる仕事をサボタージュしていれば、適正無しとして配置転換して貰えるとでも思っているのか?

そもそもネットワーク技術者がデザイン部門へ配置転換して貰って何をするつもりだ?デザイン部門はデザインの仕事をする所で、ネットワーク設定をやる部門じゃないから、人事的に絶対に配置転換はあり得ない。

今の配属は、社長が役割を決めて、部門を新設して配置した訳だから、それに大した理由も無く異を唱えるつーのは、明らかに心証を悪くするだろうな。

まあ、わしは自分のスキルアップしつつ、ついでに会社の利益になるようにするだけだし、結局の所、自分のやった結果が自分に返ってくるだけだ。

天は自ら助くる者を助く。