コンピュータ – ページ 2

皇紀2685年6月1日2025年6月1日

silverfox.noizumi.orgのSSL証明書更新

家のホームサーバーのCronからのメールで、silverfox.noizumi.org のSSL証明書更新に失敗したと来た。

まあ、今、家の回線は光じゃなくて、povo2.0で繋いでるが、asahiネットのIDとパスワードを記載した書類が届いていないので、未だに光回線難民なのである。

動的IPアドレスをDNSに自動登録するスクリプトを組んでるので、silverfox.noizumi.orgをDNSで引くと、povo2.0のゲートウェイのIPアドレスになっている。

携帯電話の通信事業者は、各携帯電話にグローバルIPアドレスでは無く、プライベートアドレスを割り振っていて、インターネットにはゲートウェイサーバーを経由してアクセスし、携帯電話には直接アクセスできないようになっている。

なので、今まで https://silverfox.noizumi.org/ でインターネットからアクセスできていたのができなくなった。

それではSSLの証明書の更新はどうするのか? と言えば、今まで外からWebにアクセスできるのかで存在チェックしていたのを、DNSでチェックする方式が使えるらしい。

# certbot certonly --manual --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges dns -d silverfox.noizumi.org -m webmaster＠noizumi.org --agree-tos --manual-public-ip-logging-ok

1	# certbot certonly --manual --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges dns -d silverfox.noizumi.org -m webmaster＠noizumi.org --agree-tos --manual-public-ip-logging-ok

そうすると、次の表示になる。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.silverfox.noizumi.org with the following value:

3jUjp0z7k_1WxZcUOSv-1r5VoBeXU4wSKuoZXBBfnaE

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Please deploy a DNS TXT record under the name

_acme-challenge.silverfox.noizumi.org with the following value:

3jUjp0z7k_1WxZcUOSv-1r5VoBeXU4wSKuoZXBBfnaE

Before continuing, verify the record is deployed.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Press Enter to Continue

エックスサーバーにログインして、DNSレコード追加で、次のものを作成。

_acme-challenge.silverfox.noizumi.org　TXT 3jUjp0z7k_1WxZcUOSv-1r5VoBeXU4wSKuoZXBBfnaE

1	_acme-challenge.silverfox.noizumi.org　TXT 3jUjp0z7k_1WxZcUOSv-1r5VoBeXU4wSKuoZXBBfnaE

これで、certbot のPress Enter to Continueでエンターを押すと、DNSをチェックして、SSL証明書を更新してくれる。

あとは、DNSのチャレンジのレコードを削除してもOK。
noizumi.org のDNSを弄れるって事は、silverfox.noizumi.org のドメインの使用者だと分かるので、インターネットから隔絶したサーバーにもSSL証明書が発行できるという事だな。

ひとつ勉強になった 🙂

皇紀2685年5月22日2025年5月22日

VPSからメールが届かない

KAGOYA のVPSを契約していて、irc.noizumi.org というホスト名で、IRCdやVPNサーバーを動かしている。

サテライト型のメールサーバーも動かしていて、irc.noizumi.org から、sv13449.xserver.jpへSMTP認証で接続して、わしのメールアカウントでメールを送信するように設定している。

cat << _EOD_|/usr/sbin/sendmail -t -f yuji＠noizumi.org
>From: yuji＠noizumi.org
>To: yuji＠noizumi.org
>Subject: This is test.
>
>test mail.
>_EOD_

cat << _EOD_|/usr/sbin/sendmail -t -f yuji＠noizumi.org

>From: yuji＠noizumi.org

>To: yuji＠noizumi.org

>Subject: This is test.

>test mail.

>_EOD_

こんな感じでメールを送ると、ログには次のように記録されていて、正常に送信されているようだ。

May 20 23:25:34 irc postfix/smtp[1521519]: 5FEDCC0300: to=<yuji＠noizumi.org>, relay=sv13449.xserver.jp[162.43.118.130]:587, delay=0.19, delays=0.02/0.01/0.1/0.06, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 87D0950BBA46EA)

1	May 20 23:25:34 irc postfix/smtp[1521519]: 5FEDCC0300: to=<yuji＠noizumi.org>, relay=sv13449.xserver.jp[162.43.118.130]:587, delay=0.19, delays=0.02/0.01/0.1/0.06, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 87D0950BBA46EA)

SPF に +a:irc.niozumi.org と追加して、DMARCのポリシーで reject としていたのをnoneにすると、メールが届いた。

SMTP認証だから、送信元のIPアドレスはSPFでは問われないと思っていたが、メールヘッダの Received: の最初に Postfix とかが入ってると、スマートホストに接続したクライアントのIPアドレスチェックするのかな？

Received: from [192.168.11.2] (moX-XX-XX-XX.fix.mopera.net [X.XX.XX.XX])
	by sv13449.xserver.jp (Postfix) with ESMTPSA id 15DDF506774BF1
	for <yuji＠noizumi.org>; Thu, 17 Apr 2025 20:51:54 +0900 (JST)

Received: from [192.168.11.2] (moX-XX-XX-XX.fix.mopera.net [X.XX.XX.XX])

by sv13449.xserver.jp (Postfix) with ESMTPSA id 15DDF506774BF1

for <yuji＠noizumi.org>; Thu, 17 Apr 2025 20:51:54 +0900 (JST)

こんな風に家からメールサーバーに接続して自分宛に送信したものは、SPFチェックがなく、DKIMの署名のみで、irc.noizumi.org から送信した場合は、SPFチェックがあり、スマートホストによるDKIMの署名が行われない。

そう言えば、会社の請求書発行してるマシンのメール送信もサテライト型で、プロバイダのメールサーバをスマートホストにしてるけど、会社の固定IPアドレスをSPFレコードに追加しないと迷惑メール排除で弾かれてたな。

皇紀2685年5月17日

CloudSecure WP Securityを入れてみた

エックスサーバーから、これからのWordPress簡単インストールにCloudSecure WP Security が自動的に入ると案内があった。

既存ユーザーでもプラグインにインストールできるとの事でインストールしてみたが、結構通好みなセキュリティプラグインだな。

今まで、SiteGuard WP Pluginというのを使っていて、ログイン時にひらがなで文字を入れさせるという外人に対する嫌がらせで、かなり効果的な総当りパスワード攻撃対策になっていた。

CloudSecure WP SecurityはGoogle Authenticatorというアプリで1分間有効な認証コードを発行してログインするようになってるので、ログインのし難さではほぼ同等かな？

気になる点は、コメント投稿フォームだが、画像認証が設定できるけど、ひらがなを入力するSiteGuard WP Pluginよりも画像を読み取ってアルファベットを入れるってのは結構ウザいので設定していない。

Akismet(非商用利用は無料)というSPAM防止プラグインだけでどこまで耐えられるかとりあえずは様子見。

皇紀2685年4月8日2025年4月8日

Ubuntu 24.04LTSが読み込み専用で起動して困った話

昨年末頃に内蔵ハードディスクがお亡くなりになり、Ubuntuはバックアップから外付けUSB RAID1ハードディスクに復旧して、WindowsはUSBハードディスクにインストールできないので、放置していた。

日曜にふと思い立ち、内蔵ハードディスクにWindows10をインストールし、Windows11 をISOでダウンロードして、マウントし、setup.exe /product server で強制インストールした。

Windows11 を直接インストールをしようとすると、PCが要件に合っていないので、拒否されるが、Windows10環境で、コマンドで先のセットアップを実行すると、要件チェックされないのでインストールできるのだ。

EFIのブートディスクが2つという事になるが、Ubuntuのgrubの起動メニューで、チェインロードにより、UbuntuとWindowsを選択可能にして起動できるようにする。

/etc/default/grub を編集して、GRUB_DISABLE_OS_PROBER=false を有功にし、次のコマンドを実行。

# os-prober
# grub-update

grub menu に Windows bootloader が表示されるようになった。

で、Ubuntu にて Windows 11のHDDをマウントしようとしたら、マウントできない。

Webで調べると、Windows11で高速スタートアップが有功になっていて、ディスクにゴミがある状態な為、マウントできないとの事。

ユーティリティの「ディスク」を使って、/dev/sda3 の「マウントオプションを編集……」で、「ユーザーセッションデフォルト」をOFFにしてやるとよいらしい。

そうすると、マウントはできるようにはなったのだが、ファイルをコピーしようと思ったらできない 🙁

再起動して Windows11のコントロールパネルで、高速スタートアップを無効化し、いざ、Ubuntuを起動すると、Failed to start: gdm.service とか出て起動しない。

Ctrl＋Alt＋F3 で端末ログインして、mount を見てみると、ルートFSが読み込み専用になってる。

こういう場合は、ディスク異常とかが定番だが、fsck しても異常なし。
/etc/fstab を見ると、さっき指定した /dev/sda3 のマウント定義が追加されているのだが、ルートのドライブ指定が消えている 🙁

そりゃ、fstab で起動ディスクの設定消えとったら、起動ディスクが read-only でマウントされて、read-write で remount されないから、読み込み専用のままだよなあ。

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda2 during curtin installation
/dev/disk/by-uuid/f227ee12-58e9-4291-acbd-8844f1448474 / ext4 defaults 0 1
/swap.img       none    swap    sw      0       0

# /etc/fstab: static file system information.

# Use 'blkid' to print the universally unique identifier for a

# device; this may be used with UUID= as a more robust way to name devices

# that works even if disks are added and removed. See fstab(5).

# <file system> <mount point> <type> <options> <dump> <pass>

# / was on /dev/sda2 during curtin installation

/dev/disk/by-uuid/f227ee12-58e9-4291-acbd-8844f1448474 / ext4 defaults 0 1

/swap.img none swap sw 0 0

# mount -o rw,remount / を実行して、/etc/fstab にルートのファイルシステムの定義を追加して復旧。

何で起動ディスクの設定が消えたのかさっぱりわからんけど、かなり初見殺しなOSですな 🙂

皇紀2685年2月27日

IPAからご連絡

会社が運営してるサイトに「クロスサイトスクリプティングできるよ」ってIPAから連絡があった。

検索キーワードに「<script>alert(1)</script>」とか入れて、反応したらアウトってやつで、運営サイトは前任者が作ったもので、ブラウザでソース見たら、パスワードが見えるとか、ちょっとセキュリティに関しては甘かった。

サイト表示する時に、タグで使う<>とかを<>って変換して表示するのがお約束なのだが、初歩の初歩だから忘れないで欲しいな 🙁

IPAって組織があって、協力者が不具合を見つけて報告し、攻撃者の被害を未然に防いでくれる仕組みだけど、有り難いのう。

これなんかは、IPAに報告した方が良かったな。

皇紀2685年1月31日2025年1月31日

SSL証明書の期限切れ警告

Let’s encryptからSSL証明書期限切れの警告メールが来た。
家のサーバーのSSLの証明書は cron で自動的に更新するようになっているのだが、2月の初旬に切れるようだ。

サーバーにログインして調べてみると、名前が引けないので、bind9のdaemonをリスタート。

# systemctl restart bind9.service

そして、SSLの証明書更新。
# certbot renew

これで解決。相当長期間名前が引けない状態だったみたい。

最近、プロバイダのDNSでは、特定サイトの名前解決ができないとか、制限を掛けていたりするので、家のサーバーはDNSのルートサーバーから直接情報を得て無制限に使えるようにしてるんだな。

皇紀2684年12月28日2024年12月28日

ナツカシス

Power DoLLS 1 ダウンロード版をこうにう。
仮想マシンのWindows 11 Pro でも問題無く動く。

絵がリニューアルされていて、ちょっと違和感があるけど、PC-98版に比べると、システムは洗練されてる気はするね。 🙂

皇紀2684年12月27日2024年12月27日

Webデザイン業界に蔓延る悪癖

なんか、外部のデザイン系からHTMLを貰うと、必ず変なPATHになっている。

../../../../common/img/common/illust.png

相対で ../ を4つか5つ必ず入れてくるけど、サブディレクトリで開発やってる者にとっては一々置換しないといけないので、迷惑この上ない。

サーバールートなら、/common/img/common/illust.png と書くならまだ分かるが、相対PATHで、これでもかと ../ を入れる理由がさっぱり分からない。

恐らく、指定したファイルがサーバーの設定により、見つからないと表示される Not Found恐怖症の類だと思うけど、必死な書き込みにwwwが増える草メーターみたいにビビリメーターとでも呼ぶか 🙂

皇紀2684年12月6日

ホワイトガソリン

ベンジンの在庫が少なくなったので、今年の2月にホワイトガソリンをamazonで 2,574円で買っておいた。

500mlのベンジンは600〜800円くらいだが、このホワイトガソリンは、500mlあたり321.75円。

今日、ハクキンカイロに入れて使っているが、カイロ用のエビスベンヂンなどと使い勝手は変わらない。

今見たら、3,300円に値上がりしてたけど、それでも500mlあたり412.5円と安い。

4リットル缶のままだと、使い勝手が悪いので、エビスベンヂンの空き瓶に入れていて、ライター用にZIPPOオイルの空き缶にも入れてある。

非常用燃料として、ホワイトガソリン一本にしたいが、コンロが5千円くらいの中華の安物は★3以下と評価が低く、メーカーものは1万円以上とお高い。

ガスと違って、揮発させる為のプリヒーティングとか、結構面倒くさいのも難点。

まあ、当面はガスとホワイトガソリンの両建てでいきますか。

皇紀2684年7月31日2024年8月5日

OPPO Reno7 AのUSBテザリング使えねー

車載Raspberry Pi Zero 2 Wの通信回線で、povo 2.0 の128kbpsを ASUS Zenfone Max Pro M2 で行なっていた。

スマートフォンの機種変更したので、OPPO Reno7 Aだったら、5Gも使えるし、いざという時に課金すれば高速通信にできるので、Zenfoneと入れ替えた。

しかし、その時から、モバイル通信が全く行えなくなり、外部からSSHで繋げず、VPNで接続してカメラで状況を見るのもできなくなった。

どうにもおかしいので、Reno7 Aを外して、PCに繋いでテスト。

ふむふむ、WiFi接続時は USBテザリングでネットワーク通信できるけど、モバイル通信だと、一切通信できなくなると。

もうね、アフォかと、バカかと。

確かに取説には「WiFiルータのように使えます」って書いてるから、WiFiルータになれば、謳い文句通りだけど、モバイル通信をUSBテザリングできないってのは、頭おかしいだろ。

やっぱASUSだな。高いけど(´・ω・｀)

【追記：2684年8月5日】
OPPO Reno11 Aで試してみると、IIJmio のSIMでUSBテザリングはできた。

OPPO Reno7 Aはpovo 2.0低速通信でやったけど、まさか遅いから駄目って事は無いだろうし、こいつだけ腐ってるって事なんだろうな。

【/追記：2684年8月5日】

皇紀2685年8月
日	月	火	水	木	金	土
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31