セキュリティ Archive

どうなってんだ。

シーゲイトと言ったら、Maxtorとバリバリ競争してた頃から使ってますよ。つい先日Barracuda ES.2買ったから調べたら、見事に（モデル的には）該当してるワケでしてね…。

まあ個人的なコトはアタリが悪すぎた（それにしても、だが）としても、今回のシーゲイトの対応は如何なもんかと思います。

• 各国語版サイトがあるのに表示してるのは英語だけ。しかも日本語サイトにはニュースすらない
• 少なくない機種で、ファームウェアが必要な場合はメールしろ、とある
• 対象製品チェックページが削除されたり、公開中止になったり、まだ未提供だったりドタバタ
• Seagateが公開しているファームチェックツールがお粗末（ソフトウェアRAIDシステムでさえ正常認識しないが…ES.2の売りのひとつはRAIDボリュームの同時ファーム更新じゃなかったっけ？）

こちらのWikiによると、同ポートナンバーとやらのモデルで「特に目立った不具合はない」と言われているものの、それで安心出来るわけないわな。というか、こんなに公開停止やらメールしろやら、多言語で情報が公開できていないような状態で、送られてきたファームが果たして大丈夫なのか、また公開停止になったりしないのかと不安になるのは当然。ほとぼりがさめるまで、SeagateのHDDは避けたほうが無難だな。

今回痛いのは、モデルが幅広いとかシェアの大きさが仇になったというのもあるが、そもそもニアラインストレージモデルのES.2とか、信頼性が求められるような製品まで該当しているところ。すでに「ウチ今回のモデルのHDD使ってるから、データ念のためバックアップしといて！」つってるASPもありますし。まあ親切とも言えますが、こんな不具合で起きた障害まで自分のせいにされてはたまらないというのもあるでしょうが…。

追記：以下は株式会社データ復旧センターのご厚意で、Seagateは無関係でした。訂正してお詫びします。

で、Seagateの対応がまたアレですよ。
CNET Japan：【Seagate不具合HDD利用ユーザーに向けて、オンラインストレージを無料開放】

って、そもそも今からそんな聞いたことないサービス使うか、と思ったら…5GB？を、1ヶ月間無料？…ええと。どこのユーザーでも無料で使えるオンラインストレージで数GB単位の時代ですよ。不具合製品に当たったユーザーに限定されてるのに、5GBってさぁ…iPodの音楽だけでも一部しか入らないんだが。
これだけしか提供できないならやらない方が良かったんじゃないか、と思ってしまう。ネットワークで転送してまた戻す手間とか色々考えたら、適当にUSBメモリでも買ってくるユーザーのほうが多いと思うけど。

不具合のニュースだけ聞いたときは、「あーやっちゃったか…」と思った。ミスが許されない分野と言われるものは多いけど、それでも確実にミスの可能性はある。でも、その後の対応が最悪だ。個人的にもニュースを聞いた時点では次は大丈夫だろうと思っていたけど、色んなところを見たら買う気が失せた。次からは日立HGSTあたりにするか…。

不具合対応が誠実・迅速だったために、却ってブランドイメージが上がった、なんて話はよく聞くんだけど、いざとなったらこんな大手でも出来ないもんなのかねぇ、と。俺ですか？いつもガクブルだけどやるしかしょうがないって感じでやってます。ちゃんと肝には銘じるけどね～。

※ちなみに自分はアンチWinnyでもなければ、使ってもいないです。

ITmedia、いまさらWinny情報漏えいの話っすか。
N氏という人が息子が仕事PCでWinny使って仕事の情報流出、失職・長男家出・離婚という流れ。

• 重要データが入っているPCにパスワードロックもしていなかったN氏もダメ
• 「そんなの詳しくない人は知らない」？道具は持った時点で所有者に管理責任が発生します。詳しくないと分かっているなら、知ろうとするか、分かるまで使ってはいけない。
• その程度のリテラシーの人間が簡単に情報を持ち出せる企業の体制はどうなんだ

長男は明らかにボケナスなのでどうでもよろしい。

結局、ファイル共有ソフトの是非以前に色々とダメだろ、と思うのだが。
そういえば以前、mixiで愛人の全裸写真を公開して拡散したり、自分の犯罪歴をさも武勇伝のようにブログとかに書いて炎上させたりニュースになったり本名突き止められて流れたりとか色々あったなぁ…。でも、どれも見られたくない日記帳を道ばたに放置しておきましたレベルの話だと思うんだけどね。

とりあえずコレでも見せて脅しときなさい。
Winny個人情報流出まとめ
いつになったら凝りんの？この阿呆な人達は…

ここまで普及しちゃったもんはしょうがないけど、10年ほど前に「出張サポートでPC買って簡単ネット接続」とかほざいてたPCベンダー、当時から「その後OSとか不安定になったりしたらどうすんだろ。放置だろうなー。売りっぱなしでトラブッたら放置か。ひどい商売だなー」とガキながら思ってた記憶がありますが。今も、滅多にメールしてこないウチの親父から「次帰ってきたらPC見てくれ」メールが来たりする。とにかく、リテラシーが全然追いついてないのにFUD煽って売ってきた結果がこれだよ。最近販売不振ですか、そうですか。そうだろうな。

未だに「一般にPC普及してホントによかったのかねぇ？」と思うのは俺だけですか？（たぶんそう）

最近、すでに自宅サーバーブログじゃなくてふつーのブログになってるな。まあ、個人ブログだからどっちゃでもえーんですが。ああ、そういえばMacOS XはFree BSDベースですが、iPhoneもJailbrakeすればSSH接続できるらしいですよ（保証対象外）（でも自分はやらない）（だってベンダーデフォルト派なんだもん）（っていうか本題逸れてるよ）。ちなみに、Windows Mobile5で、CE用のHTTPD使ってハンドヘルドWebサーバーならやったことがあります（意味ねー）。

とりあえず、ずっとiptablesを勉強したいと思っておるのですが、Web検索した範囲ではなかなか基礎から説明されているサイトはみつからないのですが、とりあえずシェルスクリプトのサンプルをおいとくから各自の環境に合わせて設定してくれ、というところはいくつかありました。実際に自分が設定する際も、イチイチ毎回手動設定をするワケにはいかないので、基本的にはスクリプトとしてまとめておくことになると思います。

ITサイトの連載でもあったのですが、より優秀なスクリプトを紹介されている、有名なこちらで：CentOSで自宅サーバー構築。こちらを必要に応じて改造したものを使います。

#!/bin/bash

#---------------------------------------#
# 設定開始                              #
#---------------------------------------#

# インタフェース名定義
LAN=eth0

#---------------------------------------#
# 設定終了                              #
#---------------------------------------#

# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`

# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK

# ファイアウォール停止(すべてのルールをクリア)
/etc/rc.d/init.d/iptables stop

# デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
iptables -P INPUT   DROP   # 受信はすべて破棄
iptables -P OUTPUT  ACCEPT # 送信はすべて許可
iptables -P FORWARD DROP   # 通過はすべて破棄

# 自ホストからのアクセスをすべて許可
iptables -A INPUT -i lo -j ACCEPT

# 内部からのアクセスをすべて許可
iptables -A INPUT -s $LOCALNET -j ACCEPT

# 内部から行ったアクセスに対する外部からの返答アクセスを許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SYN Cookiesを有効にする
# ※TCP SYN Flood攻撃対策
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf

# ブロードキャストアドレス宛pingには応答しない
# ※Smurf攻撃対策
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf

# ICMP Redirectパケットは拒否
sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
    sysctl -w net.ipv4.conf.$dev.accept_redirects=0 > /dev/null
    echo "net.ipv4.conf.$dev.accept_redirects=0" >> /etc/sysctl.conf
done

# Source Routedパケットは拒否
sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
    sysctl -w net.ipv4.conf.$dev.accept_source_route=0 > /dev/null
    echo "net.ipv4.conf.$dev.accept_source_route=0" >> /etc/sysctl.conf
done

# フラグメント化されたパケットはログを記録して破棄
iptables -A INPUT -f -j LOG --log-prefix '[IPTABLES FRAGMENT] : '
iptables -A INPUT -f -j DROP

# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
# ※不要ログ記録防止
iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP

# 1秒間に4回を超えるpingはログを記録して破棄
# ※Ping of Death攻撃対策
iptables -N LOG_PINGDEATH
iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
iptables -A LOG_PINGDEATH -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH

# 全ホスト(ブロードキャストアドレス、マルチキャストアドレス)宛パケットはログを記録せずに破棄
# ※不要ログ記録防止
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP

# 113番ポート(IDENT)へのアクセスには拒否応答
# ※メールサーバ等のレスポンス低下防止
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset

#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから)               #
#----------------------------------------------------------#

# 外部からのTCP22番ポート(SSH)へのアクセスを許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 外部からのTCP80番ポート(HTTP)へのアクセスを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 外部からのTCP443番ポート(HTTPS)へのアクセスを許可
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 外部からのTCP21番ポート(FTP)へのアクセスを許可
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# 外部からのPASV用ポート(FTP-DATA)へのアクセスを許可
# ※PASV用ポート60000:60030は当サイトの設定例
iptables -A INPUT -p tcp --dport 60000:60030 -j ACCEPT

#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここまで)               #
#----------------------------------------------------------#

# 拒否IPアドレスからのアクセスはログを記録せずに破棄
# ※拒否IPアドレスは/root/deny_ipに1行ごとに記述しておくこと
# (/root/deny_ipがなければなにもしない)
if [ -s /root/deny_ip ]; then
    for ip in `cat /root/deny_ip`
    do
        iptables -I INPUT -s $ip -j DROP
    done
fi

# 上記のルールにマッチしなかったアクセスはログを記録して破棄
iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES INPUT] : '
iptables -A INPUT -j DROP
iptables -A FORWARD -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES FORWARD] : '
iptables -A FORWARD -j DROP

# サーバー再起動時にも上記設定が有効となるようにルールを保存
/etc/rc.d/init.d/iptables save

# ファイアウォール起動
/etc/rc.d/init.d/iptables start

長くなるので、汎用的な部分のみに削ってます。メールサーバーとかDNSサーバーとか、サーバーの用途に応じた設定は、他の行を参考にポートなどを適宜変えて行を追加していけば問題ないと思います。
また、参考にさせていただいた元ページでは、国外からの接続制限などをされていますが、汎用性を優先してそういった設定は外しています。

とりあえずifconfigで表示されるNICを最初のインタフェース名定義のところに書きます。ローカルホストは自動的に拾って許可してくれるようになっているので、あとはサーバーの用途に応じて、各種サービスを公開する場合の設定を追加・削除していけば良いと思います。あと、外部からの攻撃対策が幾つかありますが、必要に応じて調整はしてください（ただのWebサーバー、とかならそのままでも特に問題ありませんが…）。

あとは、この例ではSSH、FTPのポートはとりあえず通過できるようにしただけなので、当然TCP Wrapperやxinetd.d/で接続ホスト制限などを行ってください（そのままだとSSHにバカみたいにアタックに晒されるので）。公開鍵認証方式にもすると素敵。あとは25番など、メール関係の設定は踏み台にされる恐れがあるので慎重に行ってください（こちらもかなり来ます）。

最近のネットワーク機器、買ってきて図通りに接続したら、簡単に接続できるものが多いですよね。その中で最近「コレ恐いよなぁ」と思ったのが、無線LANルータ（アクセスポイント）の設定。
無線アクセスポイント、個人どころかオフィスしかないような場所でも、暗号化も接続制限もせずに、一般開放状態、生データだだ漏れなケースって結構ありますよね。ていうかあり過ぎる。メーカーもそこまで簡単に出来ることを目指すなら、暗号化設定も「かんたん設定」の中に含めておけよ、と思うんだが…。

個人的には良くわからないものを使うのは恐いので、自動設定を使うことは普通ないのですが、説明書などを見ても

1. PCや回線に接続
2. プロバイダなどの基本的な情報の入力
3. インターネットに接続できているか確認

くらいの後に「暗号化しないとタダ乗りや情報漏れます、設定する場合の方法は…」と書いてある。でもネットにさえつながれば後は読まない人が多いのは予想されるワケで、なんでそこは簡単設定に含まれてないんだろうか。確かに予備知識のない人には少し難しいかも知れないが、公衆アクセスポイントでもない限り、無線なんて暗号化して使うのが普通だろうと思う。「かんたん設定」などを

1. PCや回線に接続
2. 暗号化設定
3. プロバイダなどの基本的な情報の入力
4. インターネットに接続できているか確認

…などといったように、暗号化を一過程として入れてしまえば、意図的にスキップや解除しない限りは開けっ放しのAPが少しは無くなるだろう。

ただ、問題はたくさんある。とにかく「かんたん」にするには複雑すぎるのだ。現行機は一般にIEEE802.11a/b/gに対応していて、暗号化もWEP64/128、WPA/WPA2あたりに対応している。WEPは脆弱性があることを注意する必要があるが、所有者の多いNintendo DSはWEPにしか対応していない。手元のAPはIEEE802.11aとb/gでキーや暗号化方式を変えられるので、ゲーム機や古いデバイスとそれ以外で通信方式を分け、WEPにしておく方（おそらくb/gのほう）はMACアドレス制限をしておかないと、WEPの脆弱性を突かれた場合、通信内容がゲームのデータ程度で漏れて問題なくても、タダ乗りされる恐れがある。

さて、じゃあ「かんたん設定」の中でこれを分かりやすく説明しようか、といってもたぶん無理だ。少なくとも無線LANの規格が複数あること、暗号化方式が複数あること、WEPの脆弱性、盗聴の可能性、タダ乗りの危険性、それ以前になぜタダ乗りされることが危険なのか、程度まで理解している必要がある。「かんたん」どころか、分厚いマニュアルを読むのと変わらない。

一方で、そのような予備知識のない人にとってみれば、「え？無線LAN対応って書いてるけど、それだけじゃダメなの？」「電波なんて見えないから盗聴できないでしょ」「タダ乗りされてもネットタダで使われるだけだし、常時接続だから別に損しないし…」といったところじゃないだろうか。

インターネット人口が急増しはじめ、ISPや回線業者、PCメーカーがこぞって宣伝し始めたのを目の当たりにしていた頃は、（おいおい、そんなノリでPC買って最初だけ業者が設定したって、後でトラブルが起きたらどうすんの…売ったら終わりとは無責任な売り方だなぁ）と、そんな状況に批判的なイヤなガキだった。でも、今だって普通の人がワケわかんないものを「簡単だ」といって売るのは無責任な話だと思う。
ネットが普及した恩恵のほうが大きいじゃないか、と言われそうだが、それも疑ってかかる必要があると思う。例えば生産性がそれで倍になったところで、労働時間は同じで２倍の仕事をさせられるだけだ。むしろ自動化が難しく人の手が介入せざるをえない部分に無理がかかるようになったり、盲目的な生産性向上指向に歯止めが掛からなくなってきているように思う。まあ早い話、便利になったけど、じゃあ１０年前より幸せになったか？ということが重要なワケで。技術の進歩＝人の幸せではまったくない。

そんな中でクレジット情報だの名簿だの犯罪歴リストだの国家機密書類だの…がボロボロ漏れてるのを見ると、専門かどうかという以前に、免許のない人にフグと包丁渡して食えっていうくらい無責任な話だと思うんだけどね…。普及させるなら、予備知識がない人であっても安全に使えることが最低限必要なことだと思うのだが。もちろん、それが出来た技術であれば、等しく誰もが恩恵を受けられるようになればいいと思うけどね。

最近、セキュリティ研究者の高木浩光氏の日記をよく読んでいる。元々はあまり関係ないことを調べているときに発見して、「口調は乱暴だけど、筋は通てるし、検証もよくここまでするなー」などと思ってたらプロの方でした。

最近Googleではストリートビューのほうが議論の対象になってるし、実際にここでもそんなことを書いていた（Google Mapストリートビュー、法的OKでももっと慎重になるべきでは）けど、割とそっちのほうはネットでも騒がれてたし、目新しかったこともあってかあちこちで騒がれていた。しかし高木氏の日記を読んでいたら、（ストリートビュー問題は当然だが）ずっと前から公開されていたのに、Google マイマップの実装がかなりひどいことになっている点が指摘されていた。Map系のサービスはそれまでもあったから、あんまり話題にはなってなかったからだろうか。

• 非公開に設定したマップでも公開される（検索に引っかかることがある）
• 保存ボタンを押してないのに自動的に保存されてしまうので、非公開にするまえに公開されてしまうことがある
• 非公開はアクセス制御はしてないので、URLを叩かれたら誰でも見られる
• 消したデータが消えない
• Googleに問い合わせて削除依頼が受け付けられても長期間対応されない
• 消したとしても再度データが復活することが割とある

詳しくは氏の日記で画像付で詳しく説明されているから、ここではあくまで個人的にはじめて知って驚いた点のみにとどめるが、実際コレで家庭訪問名簿とか、倒産しそうな企業リストとか、近所のマップとか、コメント付顧客名簿とか、かなり洒落になっていないものが流れてしまっているようだ。

Googleは才能やアイデアのある人が、自由にそれを発揮できるような会社ではあるのだろう、きっと。しかし、能があることと、それをどう使うかはまた別問題なワケで、自由が故に「普通だったらやめとくよね、倫理的に」ということも結構やっちゃう。それが人のモラルの範囲内で許容されるものだったら、これまでGoogleが提供してきた幾つものサービスのように賞賛されるのだろう。が、このへんは作りたいもの作った人が、法とかモラルとかそういったものをあまり重く見ずに作りっぱなしで公開しちゃった、後の対応はまあのらりくらりで…という感じがする。
高木氏、および書かれている日記内のGoogleとの電話でのやりとりはいい加減なものだった。電話担当者、無言。矛盾。言ってることが伝わってない。明らかに同様している。説明になってない。技術は一流だけど、事務的な部分に関しては普通よりも杜撰だ。

何で登録したのかは忘れたが、Googleアカウントで一番最初に違和感を感じたのは、検索履歴がデフォルトで収集される設定になっていたこと。まあ、誰が検索したのかと紐付けなければ、どこの検索サイトでもエンジンの解析のためにやっていることであって特に問題はないのだが、自分のWeb行動履歴が、自分しか見られない（はずの）アカウント内でとは言え、数年分に渡って残されていたわけだ（しかもそのことを自身がアカウント作成時には知らされていなかったし）。そのときはなんとなく気持ち悪かったので削除し、履歴を収集しないようにした。もしそれを知ったのが今だったなら、確実に漏洩が頭をよぎって削除するだろう。それ以降も「Google八分とは何か」を読んだとか、今回の件とか、不信感が募っていっていたのは確かだ。

仕事上、Webが絡む仕事なんて、もはやGoogleに擦り寄らないと飯が食えない業界だし、確かにテキスト検索では秀でていたからこそ急激にシェアも伸ばしてあそこまで大きくなったワケだけど、なんというか、さすがにちょっとやり過ぎ。個人情報の削除も依頼通り満足にこなせないようだし、ストリートビューも一定の評価はするものの、違法事例や「後から言ってくれたら削除するから」といった態度がどうも納得できない。個人情報取り扱いのポリシーを厳格化した上でちゃんと運営されるようになったとわかるまでは、極力個人情報を渡したくない会社だと思う。
以前本で（なんだったか、Web系の有名な本だ…）、「世界政府と呼ぶべきものがあるとしたら、Googleはそれになろうとしている」といった意のGoogle社員の発言があったが、お断りだ。謙虚さのない、傲慢なヤツが上に立ってまともな結果が得られた歴史なんてあっただろうか？

まあ、しばらくGoogle検索に頼ってはいたけど、最近はYahoo!やMSN Live Searchもエンジンがかなり高性能化してきたらしいし、この機会にそちらを使ってみてもいいかな。特に画像検索ではこの三者ならMSNが強いらしい（使わないけどさ）。

最近はサーバーよりも社内のPC・ネットワーク環境整備なんかが多く、張り合いがない今日この頃。サーバーとはあまり関係がありませんが、その中でひどい目にあったトラブルについて。

プライベートでは幾つかセキュリティ・ワクチンソフトを使ってきて、現在Kasperskyに落ちついているのですが、会社では「安い」ということで、自分が入社する前からウィルスセキュリティZEROが導入されています（企業でそんなもん導入すんな、という声もありそうですが、上司に言ってほしいところです）。

ところがこのウィルスセキュリティ、前からいろんなトラブルを起こしてくれています。特にファイアウォールの設定が非常に乱暴で、不具合が出るくらい余計なものまで遮断してしまったりします。社内では「何か異常があったらまずウィルスセキュリティを切ってみる」が常識化しつつあります。

で、先日PCの入れ替え作業をしておりましたところ、ウィルスセキュリティZEROをアンインストールした途端にネットワークに接続できなくなってしまいました。仮にもネットワーク屋でもあるので一通り設定を確認しましたが、特に問題はナシ。起動したときにDLLがない旨のエラーが出て、OKを押しても無限に出続けるので、何か余計なものまで削除していったのか？と。いい加減辟易していたのでとことん検証してやろうと、ウィルスセキュリティZEROを再度インストールすると、なんとネットワークが再度利用可能に。こいつ、確実にOS標準の通信環境をいじりまわしてやがる…。

これまでの不具合も含めてサポートに電話しようとすると、話中でツーツー音。その後、サイトに「空いている時間帯」と書いてあった時間まで、1時間半ほど何度かかけ直してみましたが、さっぱりつながりませんでした。

自力でなんとかしようとネットで情報を検索すると、案の定というか散々な評価や不具合報告だらけ。特にAmazonの評価では異常にコメントが多かったのですが、最初のほうは星５つで不自然に評価が高くなっていたため、「社員の工作じゃないのか」的なコメントもありましたし、何より不満が高評価をはるかに上回って大量にあったので、結局評価は星１つでした。（ネット・CGM時代に工作してる企業ってバカだなぁと思うのだが…本当に工作だとしたら、ですが）

結局インストール後ネットワークがつながらなくなる不具合は大量に報告されていたのですが、アンインストールしたら…という情報はみつけられず、ネットワークがつながらいと仕事にもならんし、ウィルスセキュリティを使い続けるのも嫌だったので、OSをリストアする羽目に。現在は先輩と自分でそれぞれウィルスセキュリティ以外のセキュリティソフトを検証中。つーか、もうAVGとかでいいんじゃね…

他、直接被害はなかったのですが、検出率が有名市販ソフトより2割～5割劣るという報告が幾つもありました（時期や検証時の対象としたウィルスにも左右されるので差があるわけですが）。フリーでもここまで酷いのは聞いたことがない。最悪なパターンでは、ウィルスセキュリティから乗り換えたとたんに検出された（＝ウィルスセキュリティを入れていたのに感染していた）という報告。当然どんなソフトも確実に安全とはいえませんが…ねぇ。

現在丁度ライセンスが不足してきているので、次にセキュリティソフトを導入するときは確実にウィルスセキュリティは選びませんね。「安いから」という声があったとしても、これまでの不具合の数々を聞けば反対する人はいないでしょう…。仮にいたとしたら、んじゃフリーのがあるからそれ使ってください、と。

　連休で帰省していたので若干久々の更新になります。

　さて、WordPress 2.6日本語版がリリースされました。っていうか最近のWordPressとかAkismetとかって、バージョンアップがあると自動的に管理画面上で通知してくれるんですね。ちょっと前のバージョンしか触ってなかったので知りませんでしたが。

　当然気になるのはFix内容です。WordPressは比較的バージョンアップしやすいつくりにはなっていますが（やり方は本家から辿れるリンクあたりで十分な情報が得られますのでそちらをごらんください）、正常に稼動や表示されていたものに手を加えるのはやはり最低限に抑えたいところ。そんなワケでリリースノートを流し読みしてから、バージョンアップするかしないか決めるわけですが…今回は本家が映像でリリース内容を出してくるほど大きな変更があったぜ！的な部分と、（個人的にはこっちが重要なわけですが）セキュリティフィックスがあった模様。前者はともかく、後者は放置しておくワケにはいきません。仮にもサーバー管理ブログだし。

　そんなワケで2.6に移行しました。そんだけ。

tarとDAR、DARのよくあるエラーと対処法でも触れたバックアップの話題ですが、実際にできたアーカイブを外部のストレージなりメディアなりに保存しないと意味がありません。今回はマウントする類の話ではなく、NASやストレージサーバーに転送する話。

よく使われるのがscpやsftpだと思いますので、今回はscpを使います。scpは基本的にSSHベースなので、既にSSHでクライアントから操作している場合は、特に何の設定もなく利用することができるのが利点でしょうか。個人的にはGB単位のデータを転送してみたりしましたが、ローカルネットワークを使うならば特に遅いなどとは感じませんでしたので、余程ファイルサイズが巨大といったことがなければscpを利用するのが良いかと思います。ちなみにscpとはSecure CoPyの略。

んではまずscpをシェルで利用する場合。基本的な使い方をする分にはcpと似たようなもんなのでさほど困ることはないかと思います。

# scp report.tex username@hostname.com:filename

ハイ。scp コピーするファイル コピー先 と、cpと変わりません。これがリモートサーバからローカルへ、という場合は引数の順序が逆になるだけです。ディレクトリをコピーする場合は、scp -r としてやればOK。簡単ですね。

ではスクリプトに埋め込む場合ですが、以前も書いたように、セキュリティの観点からは、シェルスクリプトでexpectを使うのは良い方法とは言えません（ローカルからしか参照できない・しない、とかなら別ですが）。いろいろ方法はあると思いますが（パスワードなし鍵認証にするとか）、自分の場合はPerlモジュールにあるNet::SCPやNet::SCP::Expectを用います。Net::SCPは鍵認証用で対話機能がないので、ユーザー名・パスワードを利用して認証をしている場合の対話処理はNet::SCP::Expectを用います。とりあえずこれらが入っていない場合は

# perl -MCPAN -e shell　←初回起動の場合は設定に入ります。標準的な構成であれば、基本的にEnter（デフォルト）で問題ありません
↓　こうなるので
cpan> install Net::SCP　←install 必要なモジュール名 を。

…とやると、簡単にCPANからモジュールがインストールできます。（※ちなみに先ほどCentOS5.2でやったら、perl -MCPAN -e shellではなくcpanだけでも起動しました…んー？）

サーバーにあわせて必要なモジュールをどっちかまたは両方導入したら、Perlスクリプトで use Net::SCP::Expectなど利用するモジュールを書いときます。んで簡単なスクリプトとしましては

#!/usr/bin/perl

$usr = ‘root’;
$pwd = ‘xxxxxxxx’;

use Net::SCP::Expect

my $scpe =　Net::SCP::Expect->new(user=>”$usr”,password=>”$pwd”);
$scpe->scp(’192.168.0.2:/dir/filename’,”/dir/filename”);

これがリモートサーバーからローカルサーバーに落とす場合です。詳しい記述法は各モジュールの配布元などをごらんください。
ちなみにファイル単位ではなく、ディレクトリごと落としたい場合はコレだとエラーになるので、上の「my $scpe =…」の行を

my $scpe =　Net::SCP::Expect->new(user=>”$usr”,password=>”$pwd”,recursive=>’1′);

とrecursiveオプションを追加して1にします。

　会社でもこの自宅サーバーもそうですが、外部に公開されているサーバーでは、ログにSSHでのログインをはじいた形跡が大量に見られます。設定に穴がなければ運用上影響はないのですが、実験ということで下記のサイトを参考にし、アタックが多いと言われる国はじくようにしてみました。

krfilter
うざい国からのアクセスを全て遮断

　こうした不正アクセス数は、アメリカなどを抜いて、現在は中国・韓国・台湾・香港などからがもっとも多くなっているようです。上のほうのリンク先では、インド、インドネシア、フィリピン、タイなども含む細かいフィルタが選択できるようになっているので、自分のサイトのコンテンツやアクセス元などを考えて適用することが出来るので便利です。

　パケットレベルでDropしてしまうので、メールサーバーなども運用している場合、メールが届かないなどの問題が起きる可能性がありますので、やろうと思われている方は注意しましょう。

　結局昔趣味でやってたPerlで昨日のSSH通信を書いてしまいました。Net::SSH::Perlモジュール。RHEL系（うちのCentOSとか）でRPM使わずに入れるとかなりの確率でプロセスがハングしちゃったり、うまくいっても計算に相当時間が掛かったりしちゃうので。今回のサーバは計算プロセスをkillしたらなんかインストールできちゃったので、やっちまった次第ですｗ

　ところで、ウチはあまり大きな会社ではないので、結構どの部署でも複数の職種を兼ねていることが多いのですが、中でもサーバー屋は何でもやってるなぁ、ホント。LANケーブルも業種上いろんな長さが必要になるので、100メートルのを買ってきて基本的に手作りです。上司はPGの仕事覚えて開発参加してますし、割といろんなスキルが要求されたりします。
　今日はサーバールームで仕事があったので、そのとき見つけた通電しないケーブルを修復して、ついでにこんなん作ってました。一応ノートPCで通電確認したので使えますが…用途はわかりませんｗ