hns - 日記自動生成システム - Version 2.19.9

先月 2008年08月 来月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい
検索式:

2008年08月31日() 旧暦 [n年日記] [更新:"2008/09/01 09:58:13"]

#1 [ham] hamlog を使って見る

hamlog を使って見る hamlog 自体は API library ということでそれを使うというもので もないかも知れないが。
IC-7000 + CT-17 + RS-232C -> NetBSD
という構成


2008年08月30日() 旧暦 [n年日記] [更新:"2008/09/01 09:58:02"]

#1 [無題] 某氏の還暦を祝う会

12 人くらい集まった。


2008年08月29日(金) 旧暦 [n年日記] [更新:"2008/08/30 10:25:31"]

#1 [無題] 青大将が

午後 2:00 頃家の前のせまい道の、30m くらい先の真中を 青大将 (アオダイショウ) が横切っているのを見た。 最近の雨のせいでどこからか出て来たのかも知れない。 何年か前にも、 自分の家のコンクリートの上を動いているのを見たことがある。 ずうっと住んでいたのかな ?


2008年08月28日(木) 旧暦 [n年日記] [更新:"2011/03/20 21:41:01"]

#1 [NetBSD] ssh を chroot 環境にする

ssh で入った先の環境を chroot にして利用を制限する場合がある。 以前は openssh に patch を当てる必要があったが 4.9 辺りから機能が組込ま れたようだ。例えば NetBSD/4.0 だと、おそらく、次の版が入っている。
ttyqc:makoto@genova 10:06:55/080830(...wip/cygwin-gcc)> ssh -version
OpenSSH_4.4 NetBSD_Secure_Shell-20061114, OpenSSL 0.9.8e 23 Feb 2007
Bad escape character 'rsion'.
これでは多分 chroot の機能はない。そこで /usr/pkgsrc/security/openssh を make package する。これで、次のように 5.0 が入る。
ttyp2:makoto@hostname  10:31:36/080830(~)> ssh -v
OpenSSH_5.0p1, OpenSSL 0.9.8e 23 Feb 2007
起動用の手続を写す:
cp /usr/pkg/share/examples/rc.d/sshd /etc/rc.d/sshd
設定は /usr/pkg/etc/ssh/sshd_config に行なう。 その後起動した場合に、もし以前の /etc/ssh/sshd_config が残っていると、それを知らせる 表示が出るので、消すか、名前を変えておく。 この後は、その sshd_config に
ChrootDirectory /export/ssh/chroot
のような設定をすれば良い。このディレクトリは / からの全ての枝で root 所有 にし、group writable は無にしておく必要がある。

特定の userid だけを chroot にしたい時には

Match User hoge
        ChrootDirectory /export/ssh/chroot
Match User foo
        ChrootDirectory /export/ssh/chroot
のようにして上書きの設定が可能。一致の条件には User だけ でなく Group, Host, Address なども使える。 実はここから先が少し大変。 ChrootDirectory で指定した先には
  1. 多分 scp は最低必要 (shell 無で scp のみ許す場合)
  2. shell を許すなら /bin/sh 等が必要
  3. 上のものが shared library を必要とするなら、 それらと ld.elf_so が必要 (usr/lib/ld.elf_so)。 安易に、全て置けば、ということで /etc/fstab に次のように書いて見る
    /usr/lib        /export/ssh/chroot/usr/lib      null    ro
    /lib            /export/ssh/chroot/lib          null    ro
    #libexec        /export/ssh/chroot/libexec      null    ro
    
    (実はまだ再起動していないのでこれらで良いか未確認) libexec は ld.elf_so だけで良い。
  4. passwd 関係も必要
    vipw -d /export/ssh/chroot
    
    のようにして作成。userid については本来の環境と chroot の両方 に必要で、例えば home については 本来の環境の方にも同じことを 書いておく必要がある
  5. etc/nsswitch.conf が必要なので写しておく
  6. etc/group を (passwd から参照している) 必要行だけを書いて作成
  7. dev/null が必要なので作っておく
    mkdir dev; mknod dev/null c 2 2;chmod 666 dev/null
    
  8. home も当然それなりに必要 (例えば home/user/.ssh)
「どこからか実行形式を写して来て自分の directory に置いて実行」 を防ぐ方法は ? .. やはり shell は禁止するか rssh (restricted shell) を使うべき ? ... 既に chroot しているのだから何を実行されてもいいという気もするけれど。

rssh:

pkgsrc/shells/rssh/DESCR には次のように書いてある。
Rssh is a restricted shell for use with OpenSSH, allowing only scp and/or sftp. For example, if you have a server which you only want to allow users to copy files off of via scp, without providing shell access, you can use rssh to do that.
shell の設定は「本来の passwd と chroot の両方に設定する」

rssh は /usr/pkg/etc/rssh.conf に設定が必要。安易には次の五つを 有効にすれば良い ?

allowscp
allowsftp
allowcvs
allowrdist
allowrsync
( 上記の chroot の設定をしているとこれだけでは公開鍵を読んでくれない ?)。 rssh は chroot のない openssh のためのものの気もする。 rssh を使うくらいなら openssh 側には chroot は要らない ?

何故 shell にこだわるかと言うと ls くらいは使えた方がいいかな と思っているから。
(という訳は現在は rssh は使わない方向で考えている)

readonly にしておけば良い ?:

「どこからか実行形式を写して来て自分の directory に置いて実行」 を防ぐ
と書いたが、これは scp で写すことを想定している。実際 scp -p を使えば、実行形式を写すことは可能だけれど、 ~/ を dr--r--r-- にしておけば良いのではないかな ? ( /tmp も Read Only にしておく必要がある) でもそうすると管理者側が書くの が少し面倒だから union_mount で上に R/O を被せておく ?

Match Group って動くのかな:

何とはなく sshd_config の Match Group が動かない気がする

(以下 2011/03/20 追記)
chroot on netbsd5



2008年08月27日(水) 旧暦 [n年日記] [更新:"2008/08/27 16:40:23"]

#1 [NetBSD] ssh-agent と keychain

以前に ssh-agent の話を書いたら、どなたかに、今は xxx を使うのでは ? と言われたが、それが keychain だったかどうか覚えていない。

自分では ssh-start というのを作って使っているが、望む機能はもしか したら同じかも知れない。それと、 2006/01/18 の日記 を見ると、何か書いてあるが、最近使っている方法は、それとは違って

  • .xsession では window manager は起動しないで xterm で止めておく
  • その xterm の中で ssh-start と ssh-add をして、その後に手で fvwm2 を起動する
としている。これで後から開けた全ての窓では ssh-agent が動作してくれている (本当はもっと良い方法があるのだろう)。

#2 [] 獣医さんが見て下さって二匹とも雌

シャムの薬をもらいに行くついでに 子猫 も獣医さんに連れて行った。 シャム(ミラノ) は歯石を取ってもらった。 子猫は二匹とも雌と判定された。

たまたま居合せた猫が良く似ていて、その飼主の方から、キジトラと呼ばれる と教わる。なるほど YouTube で検索すると同じ猫の映像が見つかる。



2008年08月26日(火) 旧暦 [n年日記] [更新:"2008/08/27 16:41:46"]

#1 [無題] 君津工区

 8:45 出発
 8:58 松ヶ丘
 9:45 富津市湊
10:50 白駒
12:50 君津市宮下(電気工事)
13:30 高倉(玄米 30kg)
14:30 帰着


2008年08月23日() 旧暦 [n年日記] [更新:"2008/08/26 22:33:48"]

#1 [無題] 土曜日の過し方 (Ham Fair とオペラ・アリア)

09:15 千葉
10:30 国際展示場
      (Ham Fair)
13:02 国際展示場前
13:36 溜池山王
      サントリーホール
      第44回日伊声楽コンコルソ入賞者披露記念      
14.5 m のグラスロッド (12,000 円)を買って来た。 格納時の長さは 1.8m。 外径は根本が 45m/m、先端が 11.5m/m。1.6m x 9段。 ただし、かなりへなへなという感じで、自立ではちょっと頼りない。 AH-4 と組合せて 14MHz の 5/8 波長とかを試したい。

サントリーホールでのお目当ては小川里美さんのアリア。 以前よりも声量も増して、うっとりと聴いてしまった。



2008年08月21日(木) 旧暦 [n年日記] [更新:"2008/08/22 00:18:50"]

#1 [機械] ML115 は瞬断に弱い ?

17:30 から 19:00 の間の自分が不在の時に、雷に関係して 電源の瞬断があったらしい。18:00 頃らしい。 これで 4 台動いていた ML115 のうちの 3 台が落ちて、 そのままになっていた。 その他の機械は多分何も問題がなく動作継続。 だから別にどうっていうこともないけれど、UPS があった方が いいのかなと思ったりする。実は一台は NFS File server だったので、 止ったままだとかなり困る。 いや、また再起動してくれれば 良かったが、これってもしかして BIOS の設定の問題かな ?


2008年08月15日(金) 旧暦 [n年日記] [更新:"2008/08/19 08:53:08"]

#1 [無題] 墓参

いつものように六か所。7:03 出発、戻りは 12:30 頃
八街
小堤
東金
平和公園 x 2
千葉寺
東金では、他の方々でごった返していた。 こんなことは初めてだったが、今まで 8/15 当日に行ったことはなかったかも知れない。 東金と平和公園 x 1 の草とりに大変時間がかかる。集めた草は多分 7kg くらい。 *1 石を敷き詰めておいた方がいいのかな、ということになった。 平和公園は、前回から、南門が使えるようになり、渋滞がなくてとても楽。
*1: これをごみに出してしまうと 折角 植物が空中から固定してくれた C をまた空中にまいて しまうことになるので、場所を探して埋める。


2008年08月13日(水) 旧暦 [n年日記] [更新:"2008/08/15 16:44:04"]

#1 [無題] 君津方面に探索

某物件を見に君津方面に出かけた。


2008年08月10日() 旧暦 [n年日記] [更新:"2008/08/12 08:11:15"]

#1 [pkgsrc] mail/spamassassin mail/spamass-milter

/var/log/maillog に次のような文字が残っていることがある (SpamAssassin 3.2.5)
 Milter: data, reject=451 4.3.2 Please try again later
このように言われて処理を省略するのは何故だか分っていない。 単に負荷が重い時かと思っていたが、そうでもない気がする。
sendmail-8.14.1/sendmail/srvrsmtp.c:
   3245 static bool
   3246 smtp_data(smtp, e)
   3247         SMTP_T *smtp;

   3399                 response = milter_data(e, &state);
   3400                 switch (state)
   3401                 {

   3427                   case SMFIR_TEMPFAIL:
   3428                         if (MilterLogLevel > 3)
   3429                                 sm_syslog(LOG_INFO, e->e_id,
   3430                                           "Milter: data, reject=%s",
   3431                                           MSG_TEMPFAIL);
(やはりこれって、単に「一時的にサーバ機能が使えません」の意味かも知れない)

#2 [NetBSD] nis を使う (ypserv)

nis master の機能を他の機械に移そうとして、しばらく
NetBSD 4.99.9 (GENERIC-pci) #1: Fri Apr 13 18:27:57 JST 2007
な機械で設定していたが、例えば他の機械から、
 ypinit -s その機械
とすると、map がない、ちゃんと設定している ?
ypinit: Can't find any maps for domain_name on hostname
        Please check that the appropriate YP service is running.
というように言われて、どうも変だった。 server 側の /etc/rc.conf で
ypserv_flags='-d -l' 
のようにして、(上の時に) 聞かれた項目を表示するようにしていると、/var/log/messages か あるいは /var/log/daemon に次のような文字が出るが、最後の一文字が欠けている (byuid -> byui, byname -> bynam )。
Aug 10 18:18:28 hostname ypserv[3246]: master_2: 
	request from client.example.com, secure FALSE, 
	domain domain_name, map passwd.byui
Aug 10 18:18:28 hostname ypserv[3246]: master_2: 
	request from client.example.com, secure FALSE, 
	domain domain_name, map passwd.bynam
それで、更に別の機械に移して見たところ、問題はない。 つまり、自分で用意していた 4.99.9 の ypserv は何か変(問題がある) ということになった。
今まで動いていた機械移動先その一移動先その二移動先その三
3.99.3/macppc4.99.9/macppc4.0.0_PATCH/i3864.0/sandpoint
×
8/11 に 4.0/sandpoint (玄箱)に移動して見たが、問題ない。 PowerPC だから問題、という訳でもなさそう。


2008年08月06日(水) 旧暦 [n年日記] [更新:"2008/08/07 07:47:32"]

#1 [機械][NetBSD] OpenBlockS

いにしえの機械 OpenBlockS を入手。付属品 は AC アダプタ TAS0061 (5V 3A) だけ。CF カードもなし。 NP-BBR に付属していた RJ-45 <-> DB-9 (RS-232C) の変換器 を通すと Modem (DCE, Data Circuit End) になるので、直線 (Straight Cable) で接続。9600bps でつなぐと、

と出て user1/user1 と入力するとログイン出来る。 説明書がなかったので、ここまで必要な情報は全て Google で検索した。


2008年08月05日(火) 旧暦 [n年日記] [更新:"2008/08/05 21:57:06"]

#1 [Network] allow-recursion is necessary ?

Intranet の DNS master になっている機械の /var/log/messages に、次のような 文字がいくつも表示されている
Aug  5 11:00:11 
catania named[2999]: 
client 218.44.234.236#50828: 
view internal: query (cache) 'example.com/AAAA/IN' denied
これは、単に、 /etc/named.conf に次の行が足りなかったためのようだ。
  allow-recursion {local-net;};
view internal の中に recursion yes; と書いただけでは、有効でなかった。
Getting above error message may be fixed by adding 'allow-recursion' statement in /etc/named.conf.

因みに版は次のもの。

bind-9.4.2pl1       Version 9 of the Berkeley Internet Name Daemon, implementation of DNS
しかし変だと思うのは、この版にしたのは例の cache poisoning の話が出た 2008/07/12 で、 その後しばらく 7/30 日頃まではこの問題はなかった気もする。... そうではない。7/31 に、 Intranet DNS master を入替えていた (OS や機械を交換した)。

さて、 既にもう一つ新しいものが出ているらしい。

上に書いた話は、ネットワーク構成にも依るらしい。上の設定がなくても、recursion による検索が可能な機械もある。



2008年08月02日() 旧暦 [n年日記] [更新:"2008/09/10 00:00:30"]

#1 [] 猫の体重

Date
2008/07/31
310340
2008/08/02
315375
2008/08/02350350
2008/08/04
430420
2008/08/05
415420
2008/08/06
450450
2008/08/07
470470
2008/08/08
490490
2008/08/10
515510
2008/08/12520530
2008/08/12555540
2008/08/13560545
2008/08/13575550
2008/08/15590585
2008/08/17600600
2008/08/17620610
2008/08/18675660
2008/08/20690670
2008/08/20730695
2008/08/21730695
2008/08/26760745
2008/09/01
890850
2008/09/03
920930
2008/09/07
1000970
2008/09/09
1010990
単位は g。8/10 現在の判定では両方とも雄。 8/26 現在の判定は両方とも雌。


2008年08月01日(金) 旧暦 [n年日記] [更新:"2008/08/01 11:10:40"]

#1 [Emacs] Emacs が core dump した時にどう救済する

以前に見つけたこの説明が今回なかなか見つからなかったので 再録しておく (「徒然な覚書」から) でも実は、今回うまく行かなかった。(いや、最近良く落ちるのですよね) と言っても、3 月の版だけれど。



最近の日記
2019年08月24日
for 9.0_BETA
2019年08月22日
Could not locate a virtual/physical font for TFM "rml".
2019年08月14日
bulklog/rust-1.36.0nb1/install.log
completed with error 5
2019年06月28日
config-set for 8.99.45
2019年05月05日
graphic monitor for bulkbuild count
以上、15 日分です。
タイトル一覧
カテゴリ分類
Powered by hns-2.19.9, HyperNikkiSystem Project

Count.cgi (since 2000/02/05)