友人

AMAZON

  • AMAZON
無料ブログはココログ

« 2008年2月 | トップページ | 2008年4月 »

2008年3月

2008年3月31日 (月)

サクラ大戦 ~君あるがため~ 本日の進行状況 3.31

 「サクラ大戦~君あるがため~」本日の進行状況は、合体攻撃を先日に続いて調べてみました。
 対象の隊員は「花火」で、「やる気最高!」になっています。

 ここで「巴里」の「見回り」に出かける。

 なかなか「花火」と出くわさなかったのですが、「花火」に遭遇し、リクエストを受け付け、クリアしました。

 帰還後にダンジョンへ向かったところ、「隊長」メニューに「合体攻撃」が表示されるようになりました。

 全キャラを発動できていませんが、「見回り」は「帝都と巴里」が「大神」、「紐育」が「大河」ですので、クロス発動はできないかもしれないと思いました。

 ここで判明している合体攻撃解除の条件は次の3つです。

  1. 発動したい隊員からのリクエストを完了している
  2. 発動したい隊員との相性度が「やる気最高!」になっている
  3. 少なくとも隊長のSPが満タン近くにある

 「サクラ大戦~君あるがため~」はCEROのレーティングが性的表現を理由に12歳以上と指定されていたので不思議だったのですが、もしかしたら合体攻撃のグラフィックが引っかかったのかもしれません。
 他にも「ドラマチック」という表現のもとに若干の恋愛状況が表示されるのも原因の1つかもしれません。

 さて、合体攻撃の条件が、ある程度は判明したので隊長のLvを上げつつ、全キャラ拝みに挑戦しますねぇ~。
 って、この時期、ヒラリーマンに遊んでるヒマが…無いです。

2008年3月30日 (日)

サクラ大戦 〜君あるがため〜 本日の進行状況 3/30

 「サクラ大戦 〜君あるがため〜」の本日の進捗報告は…

 (さくら風に)やりましたっ!!
 ってことはないですが、本当に発動しました〜合体攻撃

 いつものように「強化ドレインソード」と「強化巴里華激団の盾」を装備して巴里華激団・花組メンバーとレベル上げにダンジョンへ行く。
 3名の隊員との相性度は「かなりやる気」でスタート

 道中適当に進んでいくとグリシーヌが「やる気最高!」になる。

 ここでフと隊長メニューを開くと、なんと!!「合体攻撃」ってメニューがある。
 早速に発動!!

 SPが一気になくなりましたが、一度は拝みたかったので満足です。

 次に「花火」が「やる気最高!」になったので隊長メニューを開くと…
 今度は合体攻撃が表示されておらず…

 どうやら相性度の他にもキーがあるようです。

 ここフとプレイを思いかえす。
 確証は取っていませんが、恐らくの推察ですが、見回りに行き、特定キャラのリクエストを解決しておく必要がありそうです。
 他にも何かのキーがありそうだなぁ。

 おっと、隊長は何れも大神です。

 帝都と巴里は大神、紐育は大河が基本ですので、クロス化はその後かな。

 大神Lv47ですが、「氷獄深層」をクリアできていません…撤退余儀なくされ…。

 なにはともあれ…予告映像にあった合体攻撃は健在でした。

Fedora 8 で四苦八苦 クライアント編 フォルダ

 今までは「Fedora8で四苦八苦」シリーズでFedora8にてパッケージ供給されている主要なサーバー構築を記載してきました。今後はFedora8でパッケージ供給されていないもの(特にMovableType4とか)も記載していきます。
 また、サーバー構築してもメンテが必要になりますので、そうしたところでも記載していきます。

 今回はメンテナンスやサーバー構築よりも前段となるFedora8におけるフォルダ構成について記載します。
 私もLinuxに触れて最初に戸惑ったのは、フォルダ構造ですので、皆様も同じだろうと考え、記載します。
 プロな方には少し表現が異なる部分もあると思いますが、初心者の方にも理解してもらえるよう記載しています。

 Fedora8をインストールした直後のフォルダ構成と主な用途、Windowsとの対比は次のようになります(アルファベット順に記載)。Fedora8やTurboLinuxとかのLinuxやUNIXでは慣習的に使われているフォルダ名が同じだったりしますが、一部はパッケージ事に拡張されていたりします(Linux標準フォルダの正式名称を忘れてしまいました…汗)。

  • /bin
  •  基礎的なコンソール用のプログラムが格納されている
  •  C:\Program FilesとC:\Windows\System32に相当する
  • /boot
  •  ブートすなわち起動に読み込まれるカーネルとinitramファイルがある
  •  initramはSCSIドライバをRAMディスクへ展開するLinux独特のもの
  •  C:\のntldrとかが格納されていると思って欲しい(WinXPの場合)
  •  BCDデータに相当するものも格納されている(WindowsVistaの場合)
  • /dev
  •  デバイスキャラクタが格納されている
  •  デバイスキャラクタもLinux独特のもの
  •  C:\Windows\System32に相当
  • /etc
  •  Linuxにおける各種の定義ファイルが格納されている重要フォルダ
  •  C:\Windowsに相当
  • /home
  •  ユーザーホームディレクトリが格納されるフォルダ(rootは除く)
  •  本フォルダ下にユーザー名と同一のフォルダが作成され、その下にメール用フォルダとホームページ用フォルダを作成するのが通例
  •  C:\Documents and Settingsフォルダに相当
  • /lib
  •  実行に必要なライブラリが格納されるフォルダ
  •  C:\Windows\System32に相当
  • /media
  •  Fedora8オリジナルと思しきSDカードとかを接続した時にマウントされるフォルダ
  •  Windowsではトップドライブレターが割り当てられる
  • /misc
  •  謎なフォルダ
  •  Windowsでは該当なし
  • /mnt
  •  慣習的にマウントさせるために使われてきたフォルダ
  •  /dev/hda2とか/dev/sdc1とか//samba/shareとかをマウントさせる
  •  Windowsではネットワークドライブに相当する
  • /net
  •  謎なフォルダ
  •  Windowsでは該当なし
  • /opt
  •  謎なフォルダ(かなり古いUNIXでは/usrの代わりに使われていたようだ)
  •  Windowsでは該当なし
  • /proc
  •  デバイスの諸元が書き込まれているフォルダ
  •  Windowsではboot.logファイルしか相当するものがない
  • /root
  •  アカウントroot専用のユーザーディレクトリ
  •  WindowsではAdministrator用のディレクトリになる
  • /sbin
  •  /binよりも大きなプログラムが格納される(サーバー用デーモンとか)
  •  /binが*.comなら/sbinは*.exeのようなもの、/libは*.dllか。
  •  C:\Program Filesフォルダとかが相当
  • /selinux
  •  selinuxシステムが格納されている
  •  Windowsでは該当なし(強いて言えばnvidiaとかか…)
  • /srv
  •  bittorrent、gmediaserver等の新しい技術のサーバー用の公開データを保存するフォルダ(/homeや/varとは別にしているだけ)
  •  Windowsでは該当なし
  • /sys
  •  システム廻りのプログラムが使用するフォルダらしい
  •  メンテ上はさわらないフォルダ
  •  C:\Document and Settings\Allusers\ApplicationDataとかに相当
  • /tmp
  •  テンポラリ用フォルダ
  •  C:\Windows\Tempとかに相当
  • /usr
  •  直接/usrフォルダ下にプログラムとかのファイルは置かれない
  •  /usr/bin、/usr/sbinフォルダにプログラムが格納される
  •  /usr/libにライブラリ、/usr/shareに共用プログラムが格納される
  •  もともとはuserがシステムを拡張するために使用するプログラムが保存される。
  •  /bin、/usr/bin、/usr/share/binとかの何れにプログラムを置くかはパッケージャーの理念、Linuxシステムを使用するユーザーの理念による。
  •  似たようなフォルダで/usr/localってのもあり、一番混同しやすい
  •  Windowsでは該当なし
  • /var
  •  ログやwww公開用データ、メール(本来はログ)とかが格納されている
  •  Windowsではアプリケーション事に設定される

ざっと以上です。
 Fedora8のようなパッケージLinuxでユーザーが世話になるフォルダは、/etc以下、/home以下、/root以下、/var以下が殆どです。
 それ以外のフォルダはシステム(コミュニティーの指針に基づく)が使用します。

 Windowsのショートカットファイル(*.lnk)に相当するのがシンボリックファイルです。
 Linuxのシンボリックファイルは奥が深いようですが、ソフトとハードとがあります。通常はソフトリンクが使用されます。コマンドは次の通りです。
   ln -s <from> <to>
 Windowsではショートカットとなるので多くは使用されませんが、Linuxはシンボリックファイルを多用します。
 挙動がわかりにくい時は、/tmpあたりで上のコマンドで実際にシンボリックファイルを作成し、アクセスするとわかり易いと思います。

2008年3月28日 (金)

サクラ大戦~君あるがため~ 本日の進行状況 3/27

 サクラ大戦~君あるがため~の本日の進行状況は、3月26日公開されたパスクエ3つ(マリア、織姫、ジェミニ)のうち、Lv4と表示されているマリアをクリアさせました。
 大神はLv42です。
 出てきたモンスターはLv2が殆どで取り囲まれて連戦にでもならない限りは楽勝でした。

 ただし、メンバーにロベリアを入れていたので、炎の敵(フレイムだったけな?)に必殺技の「フィアンマ・ウンギア」を喰らわしてしまうと…とんでもないことになります。

 つまり、毎ターン事に炎の敵がLvアップしてしまいました。

 私の確認した炎の敵の最終Lvは9だか10になっていましたょ。

 それでも回復アイテム1回使って倒せてしまいました。
 獲得経験値はナント!!2000!!でビックリです。

 織姫とジェミニは挑戦していませんが、マリアのLv表示が正しければ楽勝かな…と。

 それと、攻撃力25だと思いましたが、星龍っていう剣を拾いましたが、料理人モンスターの攻撃で弁当にされてしまいました(装備しておらず、所持していただけの状態でした)…泣。

 本日の進行状況は以上です。

春のお彼岸の味 安政柑

 この時期になると毎年のように宅配してもらって食するのが安政柑と呼ばれる柑橘です。
 大きさや色は文旦や甘夏に近いです。

 まずは、いわぎ島物産センターさんのホームページをチェック他にも楽天でも取り置きがありますが、ようやく出荷が開始されたようで殆どが在庫無しです。

 安政柑の生産地は瀬戸内地方に限られており、私の食する安政柑は愛媛県みやぎ島産のもので、出荷量は然程なく、西日本の方なら目にする機会もあると思いますが、東京では普通の八百屋さんの店頭に並ぶことはありません。
 デパ地下でタマに見かける程度で、フルーツタカノさんでも写真だけ展示され、取り寄せ扱いになるものが多いです。

 フルーツタカノさんで取り寄せ…って書くと高級に思われますが、下手な文旦よりも安いと思います。

 安政柑の味は気候の変化をモロに受け、美味しい年もあれば、外れの年もあります。
 今年、宅配してもらった安政柑は当り!!です。
 果汁が多いので実もシットりとしています(逆に外れ年は果汁が少なく実もパサパサ)。
 味も濃厚で、程よい甘味と酸味が堪りません。

 安政柑の皮は厚く、1cm程にもなるので食する際は包丁で皮に切れ目を入れてから剥くのがベストです。
 文旦のように実の皮を内側から剥くように食べるのが一般的のようですが、私のところでは少し工夫しています。
 こういう大きな実の柑橘を食べる際に食べやすいように、実の皮の外側つまり皮の方から包丁で切れ目を入れてしまい、蝶々の羽根を広げたように実を広げ、口に運ぶだけです。
 こうすることで、種が落としやすくなるし、皮を剥くときに果汁がダラダラと垂れることも少なくなります。

 安政柑の欠点は日持ちがしないことです。
 今年採れたものはアタリとはいえ、日持ちしない品種ですので1週間以内に食べてしまうのがコツです。

 東京や関東の方で安政柑を知っている方は殆どいないと思います。
 機会があれば一度食してみてください。
 今年のものは本当にアタリですので取り寄せる価値はあると思いますょ。
 ちなみに出荷時期はこれからが本番ですので、楽天あたりで探せばみつかると思います。

2008年3月27日 (木)

Q9000シリーズ状況速報 最終

 Q9550のバルク品まで販売されましたので解禁状況報告の速報は今回で終わりにします。
 なにせ、ゲリラアップされたんじゃ~叩きようがありません。

 もっとも、アキバウォッチさんに流通量に関する記事も掲載されていましたので、スタートダッシュに躓いた方は参考にしてみては如何でしょうか…。
 (現在プレイ中の新作ゲーム「サクラ大戦~君あるがため~」のようにランダムで攻略のしようがありません…笑)

 ちなみに本日も0時からサーフィンを開始しました。
 殆どのアキバ系ショップでは、Q9300はリストアップが残っている状況で、予約すれば1か月程度の待ちで入手できる可能性はあります。
 また、Q9450はリストアップが無かったたり、入荷時期未定ってあるので上記の記事にもあるように6月になる可能性もあります。

 ただし、あの街の商法ですので、かつて偽者が横行したルートにも似た海外ルートからの調達もタマにはありそうです。
 この場合も日本向けと同様にゲリラアップされるものと思います。
 (一応は国内正規代理店を経由するでしょうから元々日本向けになっているか、そうではなく海外を経由したかの違いになるものが多い)

 マザーボードとのセット購入者にとっては、Core2Quadっていうブランドこそ無いものの、対応を確認できれば代替のXeonも狙い目かと思います。
 なぜかXeonは値段が少し安く、在庫量も豊富です。

 というか~同じならXeonでなくてCore2Quadで流せってぇの~インテルさん。

 まぁLinuxサーバー用で考えている私にとってはXeonの方が都合が良いところもありますけどねぇ。

 ここからはタイトルと無縁の自己満足の話になります。
 皆様のおかげを持ちましてCocolog館開設から5000アクセスを超えることができました。
 Cocologの解析機能における閲覧者率も50%程度となっており、LPO的にも上手くいったものと自分で納得しています。
 今後も読んでもらえるブログ、Fedora8で四苦八苦シリーズのような読んで役立つ情報に注力していきますので閲覧のほど、よろしくお願いいたします。

2008年3月25日 (火)

サクラ大戦~君あるがため~ 本日の進行状況

 サクラ大戦~君あるがため~の本日の進行状況は…皆無です。
 サラリーマンですからねぇ~この時期遊んでる暇をつくれないボンくらヒラリーマンですのでご勘弁を…。

 しかし、折角、足を…もとい、サイトを訪ねてくれたんですから、少しだけオミヤゲ情報をば…。
 DS版から参戦した方へ、元祖から遊んだ者からのアドバイスをば…。

  • 隊長を倒さないこと。戦略的撤退を使う方が良い
  • 特定キャラとの相性を上げたければ、「かばう」と「華撃団の盾」を上手く使う
  • 「華撃団の盾」は帝都、巴里、紐育とあるので、1人だけ該当させ、他を別な華撃団から選ぶ。相対的に特定キャラとの相性が良くなる。
  • 相対的な手法としては、もう1つある。特定キャラ以外をワザと離脱させる。時間を要するが、相対的って視点では効果あり
  • ジャンヌ・ダルクを倒した後も継続してプレイできることから、特定キャラとヒタスラ組んで上げる
  • 今作はRPGって銘打たれているのでアドベンチャーで相性を上げることを考えるよりも戦闘で相性度を稼ぐ方が得策と思います

 とはいえ、図鑑をコンプしていないし、合体攻撃も全部見ているわけでもなし…。
 当然ながら、このシリーズの特徴でもあり、今作でもありそうなオマケシーンの確認がとれていません。
 このシリーズの特徴とダンジョンRPGの特徴を考慮したアドバイスです。
 おそらく、私よりも尋ねてくれた方のほうが進行が速いと思います。
 (私のところでは1名が「最高」って表示になっている状態ですが、戦闘で稼ぐようにしています)

Q9300とQ9450の続報

 Q9300については、先日の解禁直後の深夜の状況をお伝えしましたが、1日経過したところで他にも情報を求めてサーフィン開始です。
 流石に大手価格比較サイトにアップされているだろうと思いましたが、項目はあるものの在庫店数は0のマンマ…。
 3月25日1:00ではdosparaさんに3個だけQ9300があるようです。ただし、お値段が気持ち高いなぁ。
 Q9450はSofmapさんの昨日のものがヒットしたようで、他は壊滅な状況。
 Q9550に至っては初回入荷が6月!!って…インテルさぁ~ん!!

 X48マザーも販売開始されとりましたぁ~。

 面白かったのはアキバウォッチに掲載されていた九十九電機さんのオリジナルセット商品です。
 X48マザーにQ9450、4GB分のDDR2メモリがセットにされ、アルミアタッシュ風ケースに入って、付録付きってのがありました。
   記事はこちら
 単純に計算すると、付録分だけ上乗せされているような…。

 うぅ~む、値段だけ追いかけているとイマイチ踏ん切りがつかない…。

 迷った時は「待ち」。

 ちなみにCleveryさんはQ9450とQ9300は他店よりも気持ち安いですねぇ。

Fedora 8 で四苦八苦 ヨタ話7 暗号化方式

 今回のヨタ話はFedora8のSSLなんかで使われる暗号化方式の「公開鍵方式」と「秘密鍵方式」です。
 このあたりを書くと学者のサイトみたいな固いページになりますが、私自身が精通していないこと、職場の同僚なんかに教えるような基礎的内容で記載します。正式な表現とは異なる向きがありますが、予め御容赦願います。

 サーバーとクライアントの間を暗号化して通信する際に使用される暗号化方式としては、鍵の種類によって大別すると「公開鍵方式」と「秘密鍵方式」の2つとなります。
 この「公開鍵方式」と「秘密鍵方式」の2つの言葉から連想する鍵方式のイメージは「公開鍵方式は公開鍵を使用した暗号化方式」、「秘密鍵方式は秘密鍵を使用した方式」ってあたりになろうかと思います。
 つまり、「公開鍵方式は公開しても大丈夫な暗号化方式」、「秘密鍵方式は秘密にしておかなければならない暗号化方式」だと思います。
 このようなイメージを持てれば迷いは少ないと思います。

 「公開鍵方式」にしろ、「秘密鍵方式」にしろ、上述のイメージと異なるイメージの方は、捉え方を変えてみてください。
 そうは言われても…って方も多いと思います。私もサーバー構築の最初の頃は理解できませんでした。
 そこで、語弊はありますが、喩え話で説明します。

 状況としては、マンションの管理人、ホテルの管理人になったとします。
 管理人ですので、鍵1つで全ての部屋の開錠と施錠ができる鍵を持っています。いわゆるマスターキーってヤツです。
 次に、マンションの部屋に住んでいる人、ホテルのお客さんには、その部屋だけ開閉できる鍵を渡します。いわゆるルームキーってヤツです。
 これが、ポイントになります。
 つまり、ルームキーは公開しても平気、というよりも公開するために作成します。逆にマスターキーは管理人専用で滅多ヤタラと複製したり、公開したりせず、大事に保管します。
 これが、「公開鍵方式」の前提となります。つまり、ルームキーのように「公開」しても平気な「鍵」を使用して通信経路を暗号化し、管理人すなわちサーバー内部に保管されているマスターキーのような「公開できない鍵」を使用して情報を復元します。

 もう1つの「秘密鍵方式」ではどうなるか…。
 ストレートな言い方になりますが、「秘密鍵方式」は「マスターキー」を複製しています。つまり、不特定多数の相手に同じ鍵を使わせています。

 Fedora8の鍵作成ユーティリティであるOpenSSLコマンドとかで証明書を作成していると「鍵」は1つだけ作成されるハズ…。実はこれが間違いの始まりでした。
 証明書そのものが「鍵」と思ってください。
 つまり、「鍵」として作成される「鍵」ファイル、「証明書」として作成される「鍵」ファイルとになります。
 「秘密鍵方式」では、この2つの鍵が同じになります。
 逆に「公開鍵方式」では、「鍵」として作成される「マスターキー」ファイル、「証明書」として「ルームキー」ファイルが作成され、管理者は「マスターキー」さえ秘密にしておけば済むことになります。

 そうなると、「公開鍵方式」にしてしまえば…私もそう思いますが、簡単にはいかないようです。
 「公開鍵方式」は「秘密鍵方式」に比べて演算負荷が大きく、HTTPSやTLSには不向きとされ、「秘密鍵方式」が上記の危険を含みつつ使用され続けています。
 もっともアクセスが少なく、サーバーの処理が追いついていれば「公開鍵方式」も使用できますが、多くは使用されていないようです。
 そのため、「秘密鍵方式」として使用する場合はパスフレーズやパスワードをワザとシステムのパスワードを類推できないようなものにしておく必要があります。

 では、「公開鍵方式」と「秘密鍵方式」はドの方式が該当するかです。
 全部の暗号化方式をチェックしていませんが、DESとAESは秘密鍵方式、RSAは公開鍵方式とされているようです。
 MD5とかKerberos、ワイヤレスLANで使用されているTKIPにWEPは、私にはわかりませんでした。

 暗号化を構築していると「鍵」と「キー」ってのがヤタらと出てきて頭の整理がつかなくなりやすいですが、「マスターキー」と「ルームキー」を思い出せれば少しは整理できると思います。

2008年3月24日 (月)

Q9000シリーズ解禁です!!

 アキバウォッチで仕入れていた解禁日となる3月24日0時における状況をアキバ系ショップのサイトで一通りチェックしてみました。
 大手は殆ど予価情報もない状況でした…壊滅だな。

 しか~し!!
 やはり、老舗中の老舗となる九十九電機さんだけはシッカリと情報がアップされていました。
 Q9000シリーズの最下位となるQ9300が3月24日の開店より販売されるそうです。これまでの九十九電機さんの販売方法と同じでTsukumoExにて開店より配布予定の整理券が必須とのことです。
 となれば徹夜組も居ることと思いますので、9時30分頃には整理券を配布して終了とも思われ。
 また、3月24日はQ9300だけで中間となるQ9450は26日予定、最上位となるQ9550は未定とのことです。
 値段はシッカリと告知されており、Q9300が私の予想よりも下になりましたが大筋の予想通りとなる35,000円を切る34,800円也。
 初回販売としては手頃なお値段とも思えますが、266US$からすると気持ち強気の販売価格と思います。もっとも九十九電機さんは平均よりヤヤ高目な価格が多いので、他のショップに行けば1~2千円ほど安くなると思います。
 他にQ9450の予価は42,800円で、ある意味では一番コストパフォーマンスが良いかも!?
 最上位となるQ9550の予価は69,800円となっています。
 このあたり、直接確認したい方はTsukumoExブログにて確認してください。
 はぁ~こりゃ~今は我慢の時だねぇ。
 ちなみに対応マザーの動きも今のところはBIOSアップデートだけのようですが、4月になればボードそのもののリビジョンアップ品が流通し始めるとも思いますのでセットコースなら安定する迄待つのも一手と思いますょ。
 もっとも、DDR3が急激に下落していますのでゴールデンウィーク明けから夏のボーナス期にかけて更に値下がりする可能性もあるので待てば官軍ってのも必要なことかもしれません。
 ちなみに、ここ数年はゴールデンウィーク明けから夏のボーナス期にかけてがアキバにおけるメモリ価格が一番低下する時期です。昨年は、その後の反動もなく底値で安定していましたが、その前までは冬にかけてジリジリと値段が上がっていました。今年はどんな値動きをするか楽しみでもあります。
 って株価じゃないんだよねぇ~メモリの値段ですょ。

 書きながら裏でチェックしているとsofmapさんが…在庫ある模様でしたQ9300!!
 しかも値段は九十九電機さんと同じです。
 sofmapさんのQ9450は瞬殺かな?3月24日発売で数量終了となっていました。

 その後も巡回し、0時45分にはSofmapさんでもQ9300完売となってました。

 守備良く買えた方はベンチ情報に期待しておりますょ~!!
 私のところじゃSocket478マザーしかないのでセット購入になりますが、最新チップセットとなるインテルX48搭載Gigabyte製マザーの予価がSofmapさんで出てました。
 そのうち、Faithさん、Twotopさん、T-Zoneさんなんかの大手も挙ってゲリラアップしそうですので要チェックですょ~!!

2008年3月23日 (日)

Fedora 8 で四苦八苦 プロキシ編 Squidその2

 「Fedora8で四苦八苦プロキシ編Squidその1」を書いてから、「サクラ大戦~君あるがため~」で遊びつつ、リバースプロキシの構築もソコソコ進みましたので記載いたします。
 制約等がありますが、まずは定義ファイルのサンプルを見てください。
   「squid.conf.sample」をダウンロード
 上記の定義ファイルは、Fedora8の場合は、/etc/squid/squid.confファイルになります。

 制約事項は次のとおりです。

  • リバースプロキシのみ構築しました。
  • cachemanagerを使用するには通常型/透過型の構築が必要になるので1行だけコメントにし無効にしてあります。cachemanagerを使用する際はコメントとなっている1行を修正すれば使用できますが、セキュリティが不十分とも思いますので適宜ACLを構築してください。
  • WAN-SQUID間はポート403のhttpsに対応しています。しかし、SQUID-APACHE間はSSLに対応していません(もとい、させ方がわかりません)。
  • APACHEでポート80とポート443とで異なるサイトを構築している方は上述のように別途構築する必要があります。
  • 私の場合は、www.inter.net(静的index.html)、mediawiki.inter.net(PHP)、moinmoin.inter.net(Python)の各仮想ホストで試験し、動作しました。ただし、Squidを立ち上げて即は使用できないみたいで、放置することも必要なようです。
  • 上述のようにバーチャルホスト環境でも使用できます。
  • UNIX_SOCKETでSELinuxが反応していますのでEnforcingな方はモジュールを作成し、許可する必要があります。
  • APACHEの修正も必要で、127.0.0.1:80だけに反応するようにします。
  • サンプルファイルはデフォルトの定義ファイルから説明文を削除しています。ただし、TAGでコメントになっている部分は残してあります。該当する部分をデフォルトファイルで修正するか、公式サイトでヘルプを参照してください。公式サイトの情報も基本はデフォルト定義ファイルに書かれている内容と同じ記載となっています。Fedora8の場合は2.6になります。

 おおよその制約は上記のとおりです。
 次に修正した箇所の説明です。行数はサンプルファイルとなっています。

  • 132~144行:ACLに使用する環境等を定義しています。言語開発で言うところの定数定義ってヤツに似ています。先に行っておく必要があります。
  • 157~160行:cachemanagerへのアクセスの有効と無効を定義しています。この設定はアクセスを「有効か無効」にするだけで、使用「する/しない」とは別です。
  • 164~178行:squidの入口(今回はリバースプロキシなのでWAN側クライアントからの接続要求になる)に関する有効/無効を定義しています。
  • 243行:WAN側クライアントへのリバースプロキシを「使用する」にしています。本行ではポート80のhttpだけです。
  • 255行:WAN側クライアントへのリバースプロキシを「使用する」にしています。本行ではポート443のhttpsだけです。
  • 249行:これを有効にするとcachemanagaerが使用できるようになりますが、セキュリティ設定が甘いところもあります。
  • 332~337行:cache_peerを使用して本来のWebサーバーから情報を取得しています。roundrobin(ロードバランスとか負荷分散)ではないと二重定義でエラーとなり、squidが起動しません。
  • 660行:viaすなわち「経由」を隠蔽しています。
  • 733~735行:通常型と透過型では隠蔽に使用されるものをリバースでも有効にしています。
  • 824行:有効にするとエラーでsquidが起動できないのでコメントにしました。
  • 1110行:日本語ページとなるように定義しました。しかしエラー出力がsquidではなくapacheから返されている模様で、英語のまま。apacheも日本語だったと思うけど、apacheから見たクライアントはsquidなので英語情報が引き渡されている可能性がある。これを日本語にする方法はわかりません。

 /etc/squid/squid.confファイルは以上です。
 次に、/etc/squid/cachemgr.confファイルです。
 このcachemgr.confファイルはcachemanagerが参照する定義ファイルのようで、localhostだけが指定されていますが、サンプルのようにポートを付加しないと上手く動作しませんでした。
   「cachemgr.conf.sample」をダウンロード
 これでsquidの設定は終わりますが、apacheの設定が残っていますので設定していきます。
 まずは待受のアドレスを全部やethxデバイスとかではsquidの待受と衝突しますので、apache側を127.0.0.1だけに絞りこんでやります。
   「httpd.conf.sample4」をダウンロード
 ポートは80と443をマンマ使用しています。待受アドレスが異なりますのでポートをワザワザ変更する必要はありませんでした。
 上のサンプルファイルとなっているhttpd.confファイルはFedora8の場合は、/etc/httpd/conf/フォルダにあります。次にSSLの設定を行っている/etc/httpd/conf.d/ssl.confファイルも修正します。修正箇所は18行目のlisten:443ディレクティブをコメントにするだけです。
 次に/etc/httpd/conf.d/squid.confファイルを修正します。このファイルはcachemanagerを有効にさせるApache用の定義ファイルで、デフォルトのままでは上手く動作しませんでした。サンプルのように127.0.0.1を追加します。
   「squid.conf.sample2」をダウンロード
 これでApacheの修正も終わりです。
 あとはApacheとSquidを再起動、始動させてやるだけでリバースプロキシの完成となります。
 それと、動作させてみて次の方策も必要になることが判明しました。こちらは上級コースとなり、私の力量ではイツになるかわからない代物です。

  • 携帯振分1:User-AgentはSquidからApacheへ引き渡されているようなのでブラウザ環境で振分する。
  • 携帯振分2:Apacheが受け取るIPアドレスはSquidの接続要求となる127.0.0.1なのでIPアドレスベースの振分はSquidで実装する必要がある。ただし、cache_peerの二重登録ができないのでRewrite辺りで実現させる必要がありそうです。
  • Squidのログの充実:デフォルトでは日時が記録されていないようです。エラー解析するときに苦労しました。またSquidを使用するとApacheのログでは情報が不足してしまいますのでリファラ情報とかはSquidとApacheとで共有するような設定が必要になりそうです。
  • 他のプロトコル:FTP、メール、SNMPもSquidが直接管理できるみたいです。そこで素人の思いつきですが、DLNAサーバーのキャッシュもできたら…メモリ容量が鬼のようになりそうですが、複数のプレイヤーからストレスなくアクセスできそうだなぁ。とわいえcache_peerが二重定義できないようじゃ無理か…。

 ここまで来ると学者が書いたApache本やSquid本が必要になりそうだが、素人じゃヤめときます。

サクラ大戦~君あるがため~エンディング?まで進みました

 あんまり、本文に書くとネタバレになりそうなので、テキストファイルにしておきました。攻略サイトのような攻略ネタはありませんが、シナリオが予想できるのでリンクにしておきました。
   「continue.txt」をダウンロード
 さてと、これからは対戦に備えて準備…って相手いるかなぁ。
 というかWiFi使ったマルチ対戦とかって相手の検索がどうなっているか不明だょ。
 DSワイヤレスなら直接だから相手とフェイス・トゥ・フェイスだけど、WiFiで不特定って割にはシステムがイマイチ不明だな。
 書かれている内容を素直に読めば、どこかのサーバーに接続して相手が見つかったら対戦開始のように思えるが…。
 一番基本とも思える、不特定相手に2名でパーティーは隊長オンリーにして接続してみたら…相手がみつからない様子。
 もう少し、経ってからでないと相手がみつからないかなぁ。
 そうそう、私のコードは1461-6040-8338なので、出没した際は良しなに相手してやってくださいねぇ~。

2008年3月22日 (土)

サクラ大戦〜君あるがため〜にハマっております

 サクラ大戦シリーズ最新作の「サクラ大戦〜君あるがため〜」がSEGAより発売されて数日が経過しました。
 サクラ大戦シリーズはPS2版「サクラ大戦〜熱き血潮に〜」から始めましたが、最終的にはPC版を全て買い漁り、Vも遊んでしまった…。
 挙句にパチンコシミュレータゲームまでも遊んでいるが…。
 もともとがパチ好きだけにパチンコシミュレータは飽きませんねぇ〜。
 特に負られて軍資金が無いときはシンミリとシミュレータで遊んでいます。
 さて、「君あるがため」の公式サイトでブログパーツが配布されていましたので、WordPressの練習を兼ねて、拙者のWordPressテストサイトに直貼りしておきました。
 本来なら右とか左とかのナビゲーションエリアに貼り込めれば良いのですが、方法がわからずしまい。
 しかも全キャラ分を一気に貼り付けていますのでブラウザ環境によってはアクセスが上手くいかないかもしれません(なにせ今時のブログパーツ供給方法のjavascript方式)。
 進行状況としては巴里まで辿りついたあたりで強敵が多くなり、「戦略的撤退」を行なってレベル上げに勤しんでいるところです。
 FFやDQ、YSに英伝なんかの正統派RPGとは一線を画すダンジョンRPGですのでソコソコ遊べますょ(サクラ大戦シリーズですので帝劇流ですからねぇ)。
 って、流石に歳も歳だけにマイク機能は…使えないなぁ〜汗。

 おっと、squidもそれなりに進めていますが、リバースプロキシの情報…少な〜汗。

いよいよ販売らしい…Q9000シリーズ

 いよいよ販売が開始されそうですょ〜インテルの新型Core2QuadとなるQ9000シリーズ。
 真っ先に確認するサイトの1つであるアキバウォッチさんに載ってました。
  アキバウォッチさんの記事はこちら
 どうやら週明けの24日(月)が解禁のようです。
 値段は書かれていませんが、発売開始が判っただけでも有り難い。
 でも〜予約できないって…E8000と同じコースか…汗。
 こりゃ〜4月末にならんと供給が安定しないってことか…。
 まぁマザーボードの方に動きがないから静観するのも手かな。
 マスクチェンジで対応しているようだが、設計段階から対応するようになってる方が良いからねぇ。
 特に電解コンデンサが海外製とかの貧弱品だと容量上限でコキ使うことになるので電解コンデンサすなわちマザーの寿命がガツンと短くなる。
 ↑PentiumIIIのSlot1でBIOSアップデートで100x10=1GHzを使用したが、アッというまに電解コンデンサが膨れてきた経験あり。自分で電解コンデンサを換装して動作させたからなぁ。
 とにもかくにもQ9300狙ってみよ〜!!

2008年3月19日 (水)

Fedora 8 で四苦八苦 プロキシ編 Squidその1

 今回の「Fedora8で四苦八苦」はプロキシのSquidです…ってタイトルの後に「その1」と付いていますので続きがあるってことです。
 私の目的はWeb2.0でマイっているapache君の負荷を少しでも下げてやろうとリバースプロキシ(又はhttpdアクセラレータとも呼ばれるが、私はリバースプロキシ)に挑戦してみました。
 「その1」と付加したように、初回は失敗に終わりました。
 公式サイトのFAQを見ましたが、どこか勘違いしているようで起動こそしてくれたものの、ブラウザからアクセスすると「Access Denied」…表示された内容ではACLの設定とhttp_accessあたりかと思われます。
 このあたりを修正しても、次なるエラーが発生し、リバースプロキシとして動作してくれませんでした。

 また、cache_peerを使用して情報を取得するようですが、port80だけじゃダメなのでport443を指定する…つまり同一IPアドレスでportを2つ定義してやると二重指定とかで、これまたエラー。

 こりゃ〜一筋縄じゃ行かない模様です。

 ちなみに通常のProxy、透過型Proxyは使用しません。
 外部方向のProxyを導入するほどのクライアントがないためです。

 構築に失敗しているところですが、リバースプロキシの考え方みたいなものは次のとおりです。

  • Squidの入口は外部クライアントからの要求となり、Port80か443とする。
  • Squidの出口は御自宅サーバーのPort8080とPort8443とする。
  • 御自宅サーバーのApacheが監視するアドレスはlocalhostのみとする。
  • よってApacheは127.0.0.1:8080と127.0.0.1:8443だけで動作させる。
  • Squidをリバースプロキシで動作させるのでvhostオプションを付加する。
  • アクセスできるようにACLを設定し、有効にさせる。

 テキストで図示すると以下のような感じになります。
 外部アクセス80→←Squid→←localhost:8080

 公式サイトのFAQやアチコチのサイトではホンの数行を追加するだけのようでしたが、私のところでは失敗に終わっています。
 まさか〜SELinuxのsocketエラー…関係ないよなぁ〜汗

 そんなんで暫くは追跡やってます。

2008年3月18日 (火)

Fedora 8 で四苦八苦 ヨタ話7 Samba Windows

 前に「Fedora8で四苦八苦 Samba編2」を書いたのですが、友人よりVistaで接続できないとの報があった。
 設定ファイルは「Fedora8で四苦八苦 Samba編2」に掲示してあるサンプルファイルと同様な内容であった。

 まずは私自身の目で確認してみたが、やはりログインで失敗しているようだ。
 仕方ない…サポートしました。

 作業は、Linux側とWindows側の両方から行います。
 まずはガチガチに固めてしまっているセキュリティをフルに近い状態で開放してやります。
 サンプルファイルの19行目あたりから始まる次の設定を修正する。

  • lanman auth = No
  • ntlm auth = No
  • client NTLMv2 auth = Yes
  • client lanman auth = No
  • client plaintext auth = No

  • lanman auth = Yes
  • ntlm auth = Yes
  • client NTLMv2 auth = No
  • client lanman auth = Yes
  • client plaintext auth = No

 plaintextを有効にすると、暗号化認証が有効かどうかの判別がつかなくなるのでNoのまま。
 次にWindows Vistaのローカルセキュリティポリシーを開く。
 その中に「セキュリティオプション」って項目があり、更に「LAN Manager 認証レベル」って項目がある。
 Windows VistaのデフォルトではNTLMv2ってなってると思うが、ここをNTLMにする。
 すなわち、Windows2000の頃まで使用されていた暗号化の緩い方式へ変更する。
 変更したら、いきなりアクセスできるようであるが、念のためWindowsを再起動させる。
 すると、今度は正常にログインできるようになった。
 後は面倒なので、友人自身でセキュリティバージョンを上げながら調整するようにしました。
 しばらくしたら返事が返ってきたのですが、最終的にはWindows側の設定を「NTLMv2応答のみ送信でNTLMとLMを拒否する」にし、Samba側をサンプルファイルのようにしたら接続できるようになったとのこと。
 どうやら、SambaかWindowsのどちらかでクセを付けてやらないとダメらしい。
 相性だったようにも思えるが、変更する場所がわかればシめたモノ。
 他にも認証に失敗している方は少しばかり根性と時間を割いて調整してみて欲しい。

2008年3月17日 (月)

Q9300不穏な動きだぁ…汗 ってWindows Vista SP1おめでとう

 前回の「Q9300まだ出ない…3月中に出るのかな??」を書いてるソバから…。
 某価格比較最大手とも思えるサイトのアキバ総研に不穏な記事が~汗。

 

Windows Vista SP1発売記念イベントの記事に、インテルの天野伸彦氏が登壇した模様が掲載されている。
 その中で、インテルの神様が次のようなスライドを発表した写真が掲載されていました。
 「Core 2 Quad Q9xxx番台も出だしは、(E8xxx番台と)似たような状況ではないかと…」

 こりゃ~Q9300を安定して手に入れるには4月末に入ってからになりそうだなぁ。
 出た早々じゃ、深夜販売されて昼間に買いに行ったら×印の入った値札しか残ってないような…。

 もっともQ9300じゃなく、その上なら値段が値段だけに暫くは在庫がありそうかな。

 インテルやAMDにしろ、CPUって3万円が爆発限界だからなぁ。
 4万円を楽に越えるQ9450以上じゃ~深夜並ばなくても買えそうにも思うが…。

 Q9300狙ってる私にとってはPCの買換が更に先送りか…。

 ようやくWindows VistaもSP1投入ですか。
 暫くは人柱情報を観察しますかねぇ。

 って、なにげにベータテストやってた頃のRC1とかRC2あたりが快適に動作していたように思うのは私だけかな…。

2008年3月16日 (日)

日帰り温泉旅行に行ってきました

 今回はパソコン関係とは縁も由もない旅行ネタです
 週末雑貨って看板ですから、こういうのが本旨なんですけどねぇ〜。
 今回は旅行案内TVのように練習がてらアップです(写真とかイメージはありませんが雰囲気だけでも…)。

 今回の趣旨は日帰温泉に行きがてら、そこそこ美味しいものを食べて帰ってくることです。
 メンバー数人でイロイロ相談しましたが、結局は時折出かける群馬県の水沢観音方面となりました。

 都区内在住ってこともあり、自宅を出たのが午前10時頃です。
 スキーシーズンでもありますが、流石に日曜もお昼前って時間ですので関越自動車道の下り車線は順調に流れていました。
 100kmチョットのところですので1時間程で渋川・伊香保ICに到着する。

 まずは幼稚園児がいるので観光を兼ねてイチゴ狩りへ向かいました。
 事前に渋川市役所ホームページに記載されている観光案内をチェックし、今回は赤城地区の観光イチゴ園へ向かいました。
 この時期の料金は30分で1,300円/人で統一されているようです。
 イチゴの品種は今までに聴いたこともないもので思い出せませんが、xxxヒメっていうものでした。トチオトメとかベニホッペとは異なるものでした。
 イチゴ狩り園を出る前に御土産もシッカリと購入しました。
 御土産用はトチオトメよりも味が濃かったベニホッペっていうものにしました。
 また、今回、足を運んだ須田いちご園さんではサービス品として長ネギを配布していましたのでシッカリと貰ってきました。
 関東の長ネギですので白ネギの仲間ですが、白いところがスーパーに並んでいるようなものとは異なり、太いものでした。

 さて、その後は県道33号線を伊香保温泉方向に向かい、途中から県道15号線を使って水沢観音へ。
 観音様へは立ち寄らずにウドン屋へ向かう。
 私のところでは水沢ウドンといえば、岡本太朗画伯の展示品があることでも有名な大澤屋に向かう。
 大澤屋は2つの店舗がありますが、好んで行くのは店舗が大きい第一店舗です。
 ここでシッカりと大ざるウドンの他、食べごたえ十分の舞茸の天麩羅を頂く。
 その他にセットコースでしたので山菜の漬物もあり、田舎生まれの私にとっては最高の取り合わせ。
 今日行ったところでは、ワラビの漬物とウドの漬物が美味しかったですょ。
 ちなみに大澤屋さんではホームページも運営されており、ネットからも注文できるようになっています。

 その後は県道15号線を戻り、33号線に出たところで伊香保温泉方面へ向かう。
 さすがに帰る時間と渋滞を気にし始めているので、伊香保温泉の石段には行かず、伊香保温泉の入口的なところにある伊香保グランドホテルさんが営業されている黄金の湯へ浸かることにしました。
 伊香保温泉の本来の温泉は鉱泉で赤褐色なのですが、黄金の湯さんではナトリウム系の温泉で無色透明です。硫黄も含まれていないので匂いもありません。

 温泉に浸かったあとは県道33号線を渋川市中方向へ向かい、17号線を少し下って「道の駅こもち」へ向かいました。
 この時点で既に15時近くになっており、店内をサッと見る。
 春先の時期ですので山菜モノには早く、フキノトウ、栽培山ウドが目玉でした。他にもウドンを自分で打つ時もあるので地粉も購入しました。
 さすがに15時でしたので桜アイスクリームは売り切れで食せなく残念…。

 さぁ〜後は帰るだけ!!
 …って渋川・伊香保IC入口の電光掲示板に渋滞情報発令されてました。
 道中、トイレ休憩したりしながら帰ってきましたが、自宅到着は19時頃でした。

 時間にして9時間の日帰温泉旅行はお終いです。

 今回の費用(ガソリン代は除き、自動車1台を使用し、大人4名)
 高速料金:練馬−渋川・伊香保 3,000x2=6,000円
 イチゴ狩:1,300x4=5,200円(御土産除く)
 ウドン:6,000円程度(御土産除く。天麩羅は人数より少なめで注文)
 合計:17,200+αです。
 って、入浴代と子供料金足してなかったです…。
 イチゴ狩:650x1=650
 入浴代:680x4+340x1=3,060
 合計20,910円+αでした。
 まぁ、3万円ほどの日帰旅行です。

 所用時間:9時間程度

 Link情報:
 渋川市役所ホームページ
 須田いちご園さん
 大澤屋さん
 伊香保グランドホテル

 後記:
 ココログってこともあり容量制限対策でイメージはありません。
 自身のサイトで公開できるようになったら、イメージ使ったり、今回のルートをGoogleマップで表示したりしてみたいです。
 伊香保と水沢は近い距離にあり、更に榛名湖、榛名山もあります。
 少し距離がありますが、中之条方面に行ければ日本ロマンチック街道に指定されている国道をドライブすることができますょ。

2008年3月15日 (土)

Q9300まだ出ない…3月中に出るのかな??

 しばらく前に「Q9300まだ出ない…3月末頃かなぁ」を書いてから3週間近く経過し、単品やショップブランドPCでの予約と受注なんかはどうなってるかなぁ〜とアキバ情報を一巡りする。
 大元となるIntel(インテル)社のプレスページもチェックしてみた。

 この時期になっても未だ出荷に関するアナウンスが出てきませんでした(探し方が悪いかも…)。

 その他にもマザーボードもチェックしてみましたが、目立ったところは無く…。

 まさか多くの国内企業が決算を迎える3月末日近くにならないだろうなぁ…。

 インテルも公式的には第1四半期すなわち、1〜3月ってことだから、3月末でも公表通りになる。
 困るのは日本の法人であろう。
 3月末に製品投入されても、販売されて入金されるのが年度を跨いだ4月になってからになる。
 そうなると、スタートダッシュこそ良いものの、後が続かない。
 その上、ここ最近になって急激に円高を迎え、輸入の多いPC業界にとっては何としてでも今年度中の差益を確保したいところだろう。
 ましてや、この円高が続くかどうかも微妙なら余計だろう。
 そんな時にタマが無いんじゃ〜どうにもならんだろうなぁ。
 円高の理由も円が強いから高くなったものでなく、ドルが弱くなったから高くなったようなもんだし…。

 さて経済の素人である私が多くを語ることはできませんが、ギガバイトの公式ページでCPUサポートリストを見たら、Q9000系のサポート情報がアップされていました。
 FSB廻りで出荷延期されただけにCPUサポートリストは気になるところ。
 ちなみに3月15日に検索してヒットしたものは次の通りです。
 Q9000系を狙っている方には販売情報ではないけど準備するには良い情報かな。
 (ギガバイト公式ページの情報より転載)
 ASUSについてはCPUサポートリストの出し方が不明です。

Model PCB Core™ 2 Quad Q9300
(1333)
GA-EX38-DQ6 1.1 F2
GA-EX38-DS4 1.1 F2
GA-P35-DS3P(rev. 2.1) 2.1 F9
GA-EP35-DS4(rev. 2.1) 2.1 F2
GA-P35-DS3R(rev. 2.1) 2.1 F11
GA-EP35-DS3R(rev. 2.1) 2.1 F2
GA-P35-DS4(rev. 2.1) 2.1 F11
GA-EP35-DS3(rev. 2.1) 2.1 F1
GA-EP35-DS3P(rev. 2.1) 2.1 F3
GA-X38-DS4 1.0 F2

2008年3月13日 (木)

Fedora 8 で四苦八苦 ヨタ話6 文字コード

 今日はヨタネタが、もう1つあります。
 それは、文字コードです。

 こいつも説明するのに苦労したシロモノです。
 初心者やワープロオンリーな人にとっては文字コードって未知な言葉なんですよねぇ…泣。
 仕事で忙しいのに基本的なツマラない説明させられたのには参った。

 さて、その文字コードですが、原型と思しきものはASCII文字コードになると思います。
 8ビットCPUの頃(それ以前は皆目記憶にございません。ビジコン世代まで遡ってどうなっているか迄はわかりません)には使われていた由緒あるコードです。
 &h00〜&hFFまでの256通りの表現があれば充分ですからねぇ。文字コードには文字(例えばaとかZ)としてのコードと、改行やスペースを表す特殊なものとが割り当てられています。
 8ビットCPUがパソコンとして家庭に普及し始めた頃は漢字が使用できず、半角カタカナが主流だったと思います。
 16ビットCPUのパソコンとして絶大な人気を博したPC-9801が発売され、漢字ROMが搭載されたあたりから日本語が使えるようになり、FDDユニットが搭載され、一太郎が発売されたあたりから爆発的に広がったと思います。
 その当時の主流はMS-DOSで、使用していた文字コードがShift JISって呼ばれる文字コードです。
 もちろん、JISとして定義された文字コードがあり、それを基本にトある領域に集中的にShiftさせて使用していたあたりからShift JISって名前だったと思います。
 Shift JISとはS-JISとも言われるモノでWin2kの頃まで現役で使用された息のナがぁ〜い文字コードとなりました。
 一方、UnixではJISやeuc-jpが使用されていました。
 つまり、MSのOSとUnixとでは同じ亜の字でも文字コードが異なっていました。
 LinuxもUnix互換のようなものですから、JISやeuc-jpに自ずとなってしまいます。
 これでは弊害が生じてきます。
 更にアジア圏におけるPCの普及も重なり、文字コードを見直す風潮が誕生します。
 そこで結果的に生まれたのがUnicode、つまりUTF-8というもので、WindowsXPやFedora8で採用されている文字コードです。
 Unicodeも従来のコード部分と同じのは英数字領域で、その他の領域はS-JISやeuc-jpと異なっています。
 つまり、アルファベットと数字なら文字コードが(アラビア語のような特殊なものを除き)、異なっていても平気なんです。
 しかし、ひらがなやカタカナ、漢字は異なってきます。
 この相違が文字化けの原因となります。
 使用している方の多くは今使っている文字コードを理解していませんから、OSが変わったり、環境が変わったりして文字がオカシくなったと思いますが、逆ですょ。
 文字は化けてなく、キチンとコード通りに表示しているだけです。
 だからオカシな文字になるんですねぇ。

 サーバーはLinux、クライアントはMSっていう黄金コンビの環境では、文字コードをキチンと理解しておきましょう。
 MSの製品同士でも古いものと新しいものとでは文字コードが異なりますので、これまた合わせるしかありません。
 今の流行ならUTF-8に合わせておくことが楽な方法だと思います。

Fedora 8 で四苦八苦 ヨタ話5

 今回の「Fedora8で四苦八苦ヨタ話」は、何気ない会話から記載します。
 と言うのも発端は知人の「サーバーならOSはドレ?」である。

 この知人…WordやExcelのビジネス用途のWindowsアプリケーションならオンラインヘルプを自力で読んで解釈できるレベルにあるので、全くの初心者ではないが、サーバーは未知の世界の模様。
 当然ながら得意なところで「Windows Serverかな?」と来たぁ〜!!
 すかさず、私が一言…「ダメじゃん…それっ!!」である。
 理由は次のとおり。

  • 絶対的な値段が高い
  • アクセス数で値段が決定され、アップグレード制度がない(昔かな?)
  • ウィルス対策どうするの?
  • Googleしてみて文献は見つかるか?
  • 日本語で書かれた書籍は充分かつ適正な値段か?

 どうやら、文献のあたりが効果があった模様。しかもウィルス対策で頭を悩ませたくないようで「やっぱりLinuxかぁ〜」となった。

 となれば次はディストリビューションの話になる。
 そこでディストリビューションの説明をするハメに…。
 一長一短にまとめると次のように説明しました。

  • Fedora8:Redhatと思って欲しい。傾向としては最先端が素早く導入される。世界的(特にアルファベット圏)においては絶対的なシェアを誇る。最先端なのでトラブルも発生しやすく、和訳が間に合わない状況もあり英文を読むようになる。
  • Redhat:法人向きのパッケージ展開が主となり高額。その他の特徴はFedoraと同じ。
  • TurboLinux:日本語やアジア圏に強い。ローカライズが売り物のようなところがある。安定を求めているところがあり、Fedora8のような最先端はないが、トラブルが少なくなる。値段も手頃ではないかと思う。
  • VineLinux:コメント書けるほど使っていない。
  • Debian:パッケージ管理機構が異なる。上のディストリビューションはRPM系…Redhat Package Manager系列なので似たよったところがあるが、Debianはaptを使用している。裾野が少ないので文献も少なくなる。

 まぁ、こんな説明すれば、自然にTurboLinuxになる訳です。
 私もServerでは8を使用していましたし、デスクトップもFujiがありますので…。Linux使ってみたいけどサポートも欲しい方はTruboLinuxをお勧めします。正規版ならインストールサポートが付いていますので安心かと…。
 Fedoraも良いですが、Googleして文献を探し出す自助努力が必要になりますょ。

 それとフリー版…いわゆる無償公開版の説明もしておきました。
 TurboLinuxも無償公開版が用意されており、有償部分となる日本語フォントが付属していませんが、安定した日本語環境は試す価値はあると思いますょ。
 私もTurboLinuxを使い、勉強させてもらったからこそ、RPM系列で似通ったFedoraを使えるようになったものだし…。
 最初からFedoraじゃ〜挫折してたと思われ。

 それと、Linux雑誌が少ないですねぇ。
 私がLinuxをやり始めたのはKernel2.2系列の頃。月刊誌としては、現在も発行されている日経Linuxが創刊された頃で、アスキーもLinux Magazineってのを発行していましたが現在は廃刊、名前を思い出せなくなりましたがLaser5あたりが発行していたものがあったと思います。
 内容を見て3冊全部買ったり、1冊だけにしたり…付録のCD使ってインストールしたり…。3年程読んでいるうちに内容が循環し始めてきたように感じましたので購入をやめました。これまたLinux Magazineなんかの廃刊時期と重なるかな…。

 昔話をし始めるとキリが無くなくなる…親爺だな。

 それと、サーバーを運用する際の初心者向きのポイントです。

  • 日本語文献が多いと思うものが無難
  • 設定こそ面倒だが運用すれば管理だけになるので、ある意味では楽
  • クライアント用途はコロコロと変わるので、ある意味では苦
  • 最低限のセキュリティーは導入する(踏台にされない)
  • ログは毎日チェック

 おっと、知人の話に戻すと、どうやらTurboLinuxに興味深々の御様子でした。

2008年3月12日 (水)

Fedora 8 で四苦八苦 DLNA編 MediaTombその2

 Fedora8におけるDLNA編も今回のMediaTombその2で一区切りです。
 前回の「Fedora8で四苦八苦 DLNA編 uShare」のページ末に記入しましたが、今回のMediaTombではMySQLを使用しています。
 まずは「Fedora8で四苦八苦 Blog構築編 MySQL」と「Fedora8で四苦八苦 ブログ構築編 PhpMyAdmin」を参考にMySQLサーバーを構築し、サービスを開始しておくことが必要です。
 さて、MediaTombの構築は前回までに記載したGmediaserverやUshareに比べて煩雑になりますので、アバウトな作業の流れを以下に記載します。

  1. /etc/mediatomb.confファイルを修正
  2. mediatombを起動し、すぐに終了させ、/root/.mediatomb/ディレクトリ以下に3つのファイルを作成する
  3. 上記の2で作成した3ファイルを/etc/mediatomb/ディレクトリにコピペする
  4. /etc/mediatomb/config.xmlファイルを修正
  5. service mediatomb startでMediaTombが正常に起動すれば完了です

1 まずはMediaTombで使用するMySQLのデータベースを用意する
 サンプルファイルではデータベース名「mediatomb」、データベース管理者名「mediatomb」、データベース管理者パスワード「適当に作成」としています。

2 /etc/mediatomb.confファイルの修正
 まずはサンプルファイルをば…
   「mediatomb.conf.sample」をダウンロード
 サンプルファイルの最終行あたりでmediatombの挙動に関する定義ファイルの在り処が定義されています。この段階では/etc/ディレクトリになっていますが、/etc/mediatomb/ディレクトリには何のファイルもありません。

3 service mediatomb startして即service mediatomb stopする
 すると/root/.mediatomb/ディレクトリに次の3ファイルが作成される。

  • config.xml ←重要な定義ファイル(修正対象)
  • mediatomb.db ←SQLITE3用のデータベースファイル(?)
  • mediatomb.html ←修正しません

 これらの3ファイルを空っぽディレクトリの/etc/mediatomb/へコピーする。

4 /etc/mediatomb/config.xmlを修正する。
 説明よりもサンプルを見てください。
   「config.xml.sample」をダウンロード
 コメントやらオプションを追加し、ドキュメントの順番になるように並び替えてていますのでデフォルトのものと行番号が異なりますが、幾つかのポイントを記入しておきます。

  • 4〜10行目:有効にすると起動時にエラーとなり起動しませんでした
  • 44行目:PS3対応にするには有効にします
  • 55〜67行目:対象機器を持っていませんのでコメントのまま
  • 85〜107行目:データベースの定義です。MediaTombはデフォルトのSQLITE3とMySQLを排他使用しますので、SQLITE3を無効にし、MySQLを有効にしています
  • 127〜129行目:MagicファイルとあったのでApache用のMagicファイルを指定してみましたがエラーだったのでコメントにしました
  • 149〜170行目:MP4やDivXにも対応させています
  • 172〜188行目:デフォルトのままです。mp4やDivX用が必要になる可能性があります。
  • 190〜208行目:IDからのライブラリに関するものと思いますが、意味不明なのでコメントにしてあります(私の英語読解能力では意味不明でした)。
  • 213〜242行目:新機能のTrancecodeをドキュメントに従って入力してあります。ただし、無効にしていますのでチャレンジ精神溢れる方は有効にしてチャレンジしてみてください(私の英語読解能力では意味不明でした)。

5 service mediatomb startで正常に起動し、Windows側でUPnPとして認識されれば終了です。
 MediaTombはWebブラウザ越の管理画面を持っていますので、上のサンプルではポート50500としてアクセスできます。

2008年3月11日 (火)

Fedora 8 で四苦八苦 DLNA編 uShare

 前回の「Fedora8で四苦八苦 DLNA編 gmediaserver」に続き、今回はUshareとなります。Fedora8ではushareパッケージとして供給されています。
 まずは定義ファイルですが、/etc/ushare.confになります。

   

「ushare.conf.sample」をダウンロード

 通常なら定義を終了した後にサービス起動スクリプトを起動するだけ…なんですけどねぇ。
   service ushare start

 ところが、このushareというservice起動スクリプトを実行するとBashとかのshエラーが発生し、動作してくれませんでした。

 そこでushareサービス起動スクリプトを見ると正常に思えます。しかし、サービススクリプトではなく、アプリケーションとしてのushareとしても見つかりません。
 つまり、サービススクリプトで記載されている同名のアプリケーションがインストールされていないことになります。
 そこでパッケージを見てみると…ushareではなくushare-fedoraがインストールされている模様。
 修正したら正常に起動することができました。
 修正対象のファイルは/etc/rc.d/init.d/ushareファイルです。
 位置は19行目あたりにある"prog=ushare"ってのを"prog=ushare-fedora"に直すだけです。
 単純な修正ですのでパッケージャーの入力ミスと思います。

   

「ushare.sample」をダウンロード

 uShareはWeb越の管理画面が用意されており、「共有する/共有しない」程度の管理ができるようになっています。
 ファイルの転送はSambaやFTP等で行う必要がある模様です。
 こちらも使用者で文字コードを勘違いしていなければ正常に日本語で表示されるようです。私のところではUTF-8で統一的になっていますので文字化けはありませんでした。

 なお、私のところではPS3がなく、XBOXもありません。Nero7のNero Homeで試験しただけです。

 さて、残るはMediaTombとなります。
 MediaTombは今までに紹介したgmediaserverやushareとは異なり、設定作業が煩雑になります。
 また、MySQLを使用したものとなりますので、当ブログのMySQL編を参考にしながらMySQLを構築しておいてください。更にMediaTomb用のデータベースを作成していますので、MySQL上にMediaTomb用のデータベースと管理者を作成しておいてください。
 これらの管理にはphpMyAdminが役に立つと思いますので、当ブログの過去記事を検索してみてください。
 MediaTombの設定は煩雑ですが、Web越の管理が比較的に高機能なので便利といえば便利ですょ。

Fedora 8 で四苦八苦 DLNA編 GmediaServer

 今回はFedora8でパッケージ供給されているGmediaServerによるUPnPのMediaServerです。
 前回の「Fedora8で四苦八苦 DLNA編プレイヤー環境」に書きましたが、MediaTombのようなWeb越の管理ツールは不明です←MozillaからアクセスしてもHTTP500エラーでダメでした。
 しかし、MediaServerとしては機能しています。
 では早速にサンプルファイルをば…
   「gmediaserver」をダウンロード

 gmediaserverファイルの置き場所は/etc/sysconfig/ディレクトリになっています。PSPから認識するかなぁ〜とオモムロにテストしたところもあり残骸が残っていますが御了承ください。

 私のところではPS3が無いのでPS3の特殊性を検証できませんが、WindowsXP-SP2ではUPnPデバイスとして認識され、Nero7 Nero Homeからも「デバイス」ー「MediaHomeネットワーク」と辿れば「GMediaServer on www.inter.net」で認識されます。
 あとは認識されたデバイスを表示させるとフォルダやファイルがズラ〜っと表示されます。
 Nero HomeのPDFマニュアルではDLNAって記載がないのでUPnPだけに留まっているものと思いますが、この状態で巧く認識できなければ、その先にあるPS3では無理があろうかと思います。
 アチコチのMediaServerのドキュメントなんかを見ましたが、ワザワザPS3用の設定を設けているのが実状でした。
 どういう処理を施しているかまでは皆目理解できませんが、MediaTombあたりのオプションを見るとProtocolInfoを拡張する必要がありそうです。
 まっ、今回のGmediaServerでもオプションでPS3ってのが付いてますのでPS3を持っている方は試してみてください。
 Fedora8でキチンと日本語表示されているファイルならNero Homeでもファイル名が日本語で表示されます。
 これはOSの文字コードに由来するものです。
 WindowsXPはUnicodeつまりUTF-8で動作して(いるハズだと思った)おり、Fedora8もUTF-8ですのでマンマ転送しても文字化けしないからです。ファイルの中身にIDとかの情報が書きこまれており、UTF-8で保存してあれば文字化けは無いと思います。しかし、古いOSなんかで、SJIS、JIS、EUC-JP、CP932なんてのを使ってた方は文字が化けると思います。その場合は打ち直すか、どっかからユーティリティ持ってきて修正するより他はありません。

 脱線しましたが、上のサンプルを/etc/sysconfig/ディレクトリに置いて、次のコマンドでサーバーとして動作を開始します。
  service gmedia start
 フォルダの追加やファイルの保存は、Sambaなり、FTPなり好きな方法で行ってください。

2008年3月10日 (月)

Fedora 8 で四苦八苦 DLNA編 プレイヤー環境

 前回の「Fedora8で四苦八苦 DLNA編 雑多」で色々と書きましたが、性懲りも無く追跡調査なんぞを行いました。
 いやはや時間をかけると宝の情報が出てきますねぇ〜先人達に感謝!!
 散見する文書で多かったのは「玄箱+Debian+MediaTomb+PS3」って感じのミーハー環境だったりしました…PS3に玄箱を持ってない私には高嶺の華ってヤツかな。
 そんな状況でもシッカりと情報を集めてきました。

1 DLNAってUPnPの仲間じゃん
 やはりと言うか、当たり前のことですがDLNAってUPnPのお仲間でした。UPnPって鳴物入りで誕生したけれども、MSが絡むことによって無茶苦茶使いにくい仕様に思える←特にポート管理!!
 UPnPやDLNAの公式サイトでセキュの基本ともなるポートが出てこないたぁ〜とんでもない。
 幾つかのサイトでポートがポンスカ変わっている訳を理解しました。
 UPnPってSamba同様にポートレンジで管理するところがあるから使いにくい。
 しかもWindows Media V11をメディアサーバーにしてしまう資料を読みましたが、ポートが飛び番号で記載されていました。
 ちなみにWMP11のヘルプで見れますが、1900UDP/2869TCP/10243TCP/10280-10284UDPって迷惑なだけだなぁ。

2 DLNA1.5ってなんだぁ?
 当初のDLNAでは音声、動画、静止画の対応フォーマットは1つづつでしたが、1.5になって拡張されました。URLを書きとめられませんでしたがIntelの英文ヘルプあたりでズラ〜っと出てました。
 これを見る限りでは、PS3で対応しているフォーマットって1.5の拡張仕様部分ってことになります。
 また、WMPで採用されている著作権管理機構のDRMも拡張仕様ってことでした。

3 PC環境でどうにかチェックしてみる
 DLNA対応しているかどうかは不明ですが、Nero7のNeroHomeってのがMediaPlayer機能を持っています←単にファイルを再生するのではなく、UPnP上のMediaServerから受信して再生するPlayerです。
 WMP11をサーバーにしたり、NeroMediaHomeサーバーを使用しつつ、Fedora8側でもMediaTomb、ushare、gmediaserverを起動し、対応していることを確認しました。
 PS3が無くてテスト環境に尻込みしていましたが、Nero7でテストできました。ただし、Nero7NeroHomeがDLNAに対応しているかまではチェックしていませんので少なくともNeroHomeで再生できなければPS3では無理って考えていますので丁度良いテスト環境です。
 しかもOSにPCが完全に別ですのでテストするにはモッテこいな環境になりました。

4 動いてしまえばシメタもの
 次回以降に構築した定義ファイルをサンプルとして順次アップしていきます。上記3の環境で少なくともファイル名が日本語で表示されていました。Fedora8もWindowsもUTF-8で動作していますのでスンナリでした。何も苦労はしませんでした。

5 チョットだけ事前情報
 gmediaserverを試験している時に気がついたのですが、ushareやMediaTombみたいな管理画面が無いッポイです。WindowsでUPnPとして認識された時にアイコンが表示されますが、それをクリックしブラウザを立ち上げると…見事にHTTP500エラー、つまりInternalErrorと表示されてしまいました。ログ出力もなく原因不明で使用を諦めてかけていましたが、MediaServerとしてはキチンと動作していました。
 uShareはFedora8の現行パッケージでは起動用スクリプトを修正する必要があります。プロジェクトサイドの単に記入ミスと思いますが、デフォルトではbashエラーで動作しませんでした。
 MediaTombはMySQLで快適に動作している模様です。ただし、新機能のTranscodeはFedora8ではOffにされています。よって私のところでもOffのままとしてあります。

6 ちなみに…
 gmediaserver、uShare、MediaTombの3つは同一PC上で同時に実行できました。排他じゃなくても平気でした。器用にポートを使い分けていました。このあたりは逆にUPnPの成せる技かな。

 KDE派でgstreamerって?な私のとってgmediarenderは皆目見当がつきませんでした。しかし、泡食って試験している最中に奇妙な現象を見ました。WMP11の共有の設定ってところにgmediarenderが表示されました。Serverが表示されなくてイライラしているのにRenderが表示されるとわ〜驚きでした。

2008年3月 8日 (土)

Fedora 8 で四苦八苦 DLNA編 雑多

 前回の「Fedora8 で四苦八苦 DLNA編 MediaTomb」では触りの部分だけを記載しました。
 私にとっては「今のところは必要ない」機能ですが、PS3を何れは購入するようになるので勉強を兼ねて追跡調査してみました。
 今回は検証ネタはありませんが、これからDLNAを構築する上で基礎的なところをまとめてみます。

1 DLNAってなんだ??

 そもそもDLNAって何者かってところから調査しました。
 wikipediaを見れば何となくはわかるのですが、技術背景等が不明なんですよねぇ。
 露骨に「dlna」ってGoogleすれば「DLNA」の公式ページがトップに表示されます。業界団体だけあって肝心のテクニカル部分が素直に出てこない…流石です!!
 DLNAとは「Digital Living Network Alliance」の略称で直訳しても意味不明なので尾ひれを付ければ「デジタル情報を利用した寛ぎの空間を提供するネットワークに関する共同組織」ってところだろうねぇ。
 そのDLNAに関する記事らしきものがないか追いかけると幾つか出てきました。

  1. 日経BP DLNAの背景が記載されている
  2. 日経BP プレイヤ(主要ハードウェア)別の機能一覧が便利
  3. e-words 「続きを読む」にUPnPとの関連が明言されていた
  4. BroadBand Watch DLNAそのものってよりはPS3対応フォーマットが貴重

 私の個人的な見解では、次のように解釈しました。

  1. 基本技術はUPnPを使用する
  2. 配信はDigital Media Serverを使用する
  3. 視聴はDigital Media Playerを使用する
  4. 一覧はXMLフォーマットで定義し配信する
  5. プロトコルはhttpそのもの
  6. ポートは不明ですが80とか443とかとは別の模様
  7. 対応画像フォーマットはJPEGのみ
  8. 対応動画フォーマットはMPEG2のみ
  9. その他のフォーマットはプレイヤーによる
  10. サーバー側ではmime設定を適切に行っておく必要がある

2 クライアントはどうなってるかな?
 私のところには前述のようにPS3がないので一般的なユースを説明できる環境にない。となれば他に方法がないかを探すことになる。
 候補としてPSPを筆頭にしてみました。これは、PS3との連携機能もありLocationFreeなる機能で似たようなことができるからです。
 しかし、追っかけてみると…NetAV機能で実現しているが、Sonyのサポート情報ではNetAVとDLNAとは別物…つまりSonyさん独自の仕様らしい。
 PSPではNetAVだが、PS3ではDLNAと使い分けている模様。ちなみにSCEIの公式ページで「DLNA」を検索するとPS3だけがヒットし、PSPはヒットしない。逆に「NetAV」で検索するとPSPだけがヒットし、PS3はヒットしない。
 どうやら強硬にPSPでDLNAを使用するには相当な困難が待ってる模様…諦めだな。
 次にLinuxなんかで対応しているものがないかを追いかけてみました。
 すると、djmountなるmountツールがあることが判明しました。
 ドキュメントを読んでいくと…こりゃ〜便利そうだなぁ。
 Fedora8でパッケージ供給されていないかと露骨に「djmount」を検索するがヒットせず。他にも「dj」とか「mount」で検索してもヒットしない。どうやらFedora8では供給されていない模様。
 こうなりゃ〜ソースからでもインストールしてみるより他はない模様だが、ドキュメントを読むとubuntuとdebianであるっぽい。実行していませんが、Fedora8にはdebianパッケージも取りこめるaptパッケージがあるので、aptから見つかる可能性があります(検証していません)。
 それか、次のURLからソース持ってきてコンパイルしインストールする。
        djmount
 djmountもファイルシステムとしてマウントするだけなのでlsコマンドでチェックするとか、kaffeineで再生するしかない模様です。
 ちなみにkaffeineで思いついたのがTurboLinux10以降のTurboメディアプレーヤです。Fedora8の試験端末を構築するのに削除してしまっていますが、TL10DやTurboLinux Fujiでは実装されているのでテストできたら面白そうです。

3 Fedora8での他のパッケージ
 MediaTomb以外に関連するものがないか探してみました。キーワードで「UPnP」で検索すると幾つかがヒットします。以下に一覧で表示します(検証はこれからになります)。

  • gmediaserver -UPnPと記載されている。公式ページでPS3対応の記載あり。
  • ushare -UPnPと記載されている。公式ページでPS3対応の記載あり。
  • linux-igd -Gatewayなので後回し。
  • rhytmbox-upnp -入れてみましたが音楽再生のみの模様

4 gmediaserver
 GNUプロジェクトによるUPnP対応のMediaServer。ページは次のところです。

  1. 公式ページ
  2. プロジェクトページ

 追いかけるとPS3に対応している模様だが、configドキュメントが見当たらない…参った。

5 GeeXboX uShare
 Fedora8パッケージでは単にuShareと記載されていますが、ドキュメントを追いかけるとGeeXboXってのが付くらしい。
 このGeeXboXってところでは更にlibdlnaっているライブラリも公開しており、uShareでdlnaを使用する際は必要になる模様です。
 uShareのデフォルトでdlnaは無効になっており、オプション付けて有効にする必要がある模様(コンパイル時点か起動時点かは不明)です。
 ページは次のところです。

  1. 公式ページ
  2. libdlnaのページ

6 こりゃ〜参った
 TurboLinux Fuji…アンインストールしている状況だから検証作業は相当に先な話です。Fedora8でもKaffeine入れてありますが、Turboメディアプレーヤの方が上ですからねぇ。kaffeine用のpluginインストールって成功したことない…汗。
 少なくともMPEG2、MPEG4(AVC)、WMVが再生できないと検証進まないです。

2008年3月 6日 (木)

Fedora 8 で四苦八苦 DLNA編 MediaTomb

 SonyさんところのPS3、IOさんところのAVeL、NAS箱にDLNA搭載、ブロードバンドルーターにUSB-HDDつなぎこんでDLNA対応…とまぁ〜新しいモノ好きの拙者にとっては魅力な訳です。
 しかし、いずれもハードウェアと一体となっており、サーバー部分が不明でした。数千円で買えるブロードバンドルーターに内蔵されるくらいですのでフリーがあるだろうと推察できる訳です。
 検索サイトでDLNAを検索していくと、やはりありました。DLNAサーバー!!
 MediaTombってヤツです…遅。
 このMediaTombはFedora8でパッケージ供給されており、ソース展開は不要です。
 いやはや探し方が悪くて時間がかかってしまった…。
 Fedora8で「ソフトウェアの追加と削除」ってヤツから検索で露骨にmediatombってやれば素直にリストアップされます。

 さてmediatombをインストールすると、/usr/share/doc/mediatomb/ディレクトリにドキュメントがあり、/etc/mediatomb.confファイルが作成されます。
 まずはドキュメントを読み、/etc/mediatomb.confファイルを修正します。
 修正したら、service mediatomb startでサービスを起動させます。
 すると今度はconfig.xmlってファイルが~/.mediatombディレクトリに作成されます。
 このあたりからは実機で動作させないとわからないところですが、いかんせんとも…DLNA対応のプレーヤがありませんので検証できません。
 (Fedora8で供給されているRhythmplayer用のPluginを追加してやれば出来そうな模様ですが、Windowsでmediaplayer使った方が楽だから必要性がウスいなぁ)。

 PS3ではファイルタイプの追加設定をする必要があるように書かれていました。

 まぁ、私のところでmediatombを動かす時は、PS3をFFXIIIとセット購入した時だろうから随分と先の話になりそうです。
 というかぁ〜初期型買ってないからPS2互換がないんだよねぇ〜今のPS3。
 PS3の販売開始時期を考えたら、FFXIIIの前後に新型投入されるだろうからなぁ。あの会社の新型=価格低下ってのが標準パックなので待ちだな〜こりゃ。

2008年3月 5日 (水)

Fedora 8 で四苦八苦 WebDAV編その2

 前回の「Fedora8 で四苦八苦 WebDAV編」で失敗していました。
 しかぁ〜し某友人曰く…「詰めが無さ過ぎ〜!!」ってことに…。
 そこで帰宅した早々に第2ラウンドを開始したところ、今度は正常に動作しました!!
 しかも、仮想ホストによる選択利用も視野に入る方法です。

 要約だけを記載したものですが、添付ファイルを見てください。
   「webdav.txt」をダウンロード

 <VirtualHost *:443>だけでDavを定義しています。Davディレクティブが(下位ディレクトリを除く)他ディレクトリや他Locationなりに影響しなければ、requireディレクティブのuser名と相まって、他の仮想ホストとユーザーではDAVが無効になっています。
 このあたりはマルで検証していません。
 理由はDAV使う利点がない!!
 それだけです。

 当初はSambaからの置き換えを予定していましたが、いざ開通してみると、ファイルのアップはできますが、ダウンができません。
 私のDAVに対する認識不足と思いますが、Explorerでアップして、IEでダウンしてディスク保存してからでないと使用できない模様です。
 これじゃ〜Explorerだけで完結するSambaの方が楽ですから…。

 それと、いくつかのサイトで記載されてる日本語文字コード変換モジュールのmod_encodeは不要の模様です(私が上記の環境で試したところでは不要でした)。
 Windowsディレクトリに保存されている全角名称の付いた壁紙ファイルを転送してみましたが、Fedora8側でもキチンと正常な日本語で表示されました。
 どうやら、Fedora8がUTF-8ですのでWindowsXP-SP2でUnicode(つまりUTF-8)ならば、FTPと同様に正常に日本語が表示されるようです。
 (うろ覚えですがWindowsXPはUTF-8だと思ったが…)

 ModSecurityを有効にしているとAccess DeniedつまりWebDAVが開通しませんでした。私のところで変更したところを添付ファイルに記載してあります。
 もしApacheのerrorログを見てヘッダーマッチでエラーが出ているようでしたらModSecurityが原因と思いますのでパターンを追いかけて修正するか、ModSecurityを無効にしてやる必要があるようです。

 htpasswdもデフォルトで作成されるパスワード形式がCRYPTになっているようです(-hオプションで表示される)。よってログインエラーが出るようでしたら、パスワード形式が異なっている可能性がありますので-mを付加してMD5形式のパスワードを作成する必要がある模様です。

Fedora 8 で四苦八苦 WebDAV編

 SquirrelMailが巧く動作しましたのでWebDAVでも…shock
 結果を先に書きますが、私のところでは動作しませんでした。
 失敗談を後述しますが、Googleで「Fedora8 WebDAV」とかでFedoraと8の間にスペース付けないようにして検索すると成功事例が出てくるようです。
 このブログでも成功談を載せたかったのですが、動かなくては載せようがありませんweep
 FTPやSCP、smbが構築できていますので無理してWebDAVを使うことがないしなぁ〜という甘えもあります。

失敗事例1 仮想ホスト _default_:443で失敗
 仮想ホストの_default_:443内にWebDAVロックファイルを除くDAV On以降を定義しましたが、何れも失敗。
 通常はLimitディレクティブでhttpコマンドに制限を加えますが、コレをフル開放し、ブラウザからアクセスさせてもダメでした。
 <Location>と<Directory>の両方試しましたがダメダメでした。

失敗事例2 httpd.confに取り込まれるwebdav.confでもダメ
 上で失敗したので、試験端末という甘えもあるのでポート80のhttpで試したところ、ようやくブラウザでリスト表示されるようになりました。
 行けそうと考え、WindowsXPからネットワーク追加を行ったところログイン画面が表示されたのでアカウントを入力しました。
 ここでアウトになりました。
 MSサポート資料を読んで、サーバー名を含めたアカウントを使用してもダメ。

 ちなみに私のFedora8では/etc/httpd/modsecurity.d/modsecurity_crs_10_config.confファイルを修正しないとリストすら表示しない有様でした。
 修正箇所は1つづつ直すのが面倒なので53行目のSecRuleEngine OnをOffにしてセキュリティを無効にする必要がありました。

 セキュリティを外しまくって、単にDAV Onだけのような環境で動作しなかったので諦めです。
 まぁ、smbの代用にならないかなぁ〜と思っていたところで、このような結果でしたので素直にsmb使います。

2008年3月 3日 (月)

Fedora 8 で四苦八苦 WebMail編 SquirrelMail

 「Fedora8で四苦八苦」シリーズも終盤に向けてスパート体制…dash
 って、終わりなんかないんだよねぇ〜この世界。

 さて今回はSSLによるhttpsが構築できたのでポート403のhttpsベースだけで使用したいウェブメールを記載します。
 Fedora8ではWebMailとしてSquirrelMailがパッケージ供給されています。
 まずはSquirrelMailパッケージをインストール。
 すると、以下のディレクトリに展開されます(主要なもの)。

  • /etc/cron.daily/squirrelmail.con
  • /etc/httpd/conf.d/squirrelmail.conf
  • /etc/squirrelmail/config.php
  • /usr/share/doc/squirrelmail-1.4.13/
  • /usr/share/squirrelmail/
  • /var/lib/squirrelmail/
  • /var/spool/squirrelmail/

 このうち、重要なものが/etc/httpd/conf.d/squirrelmail.confファイルと /usr/share/squirremail/config/config.plファイル、 /usr/share/squirrelmail/config/config.phpファイルの3つです。

 squirrelmail.confファイルはapacheでの定義ファイルとなっており、includeディレクティブにより基本設定として取り込ま れます。内容はaliasディレクティブだけになっています。つまり、http://www.inter.net/webmailだろうがhttp: //hoge.inter.net/webmailだろうがhttps://hogu.inter.net/webmailであっても応答してしまいま す。
 私の場合は、https://www.inter.net/webmailだけに応答させたいので、squirrelmail.confの内容をコメン トにしてしまい、前回構築したポート403だけの仮想ホスト内に定義してあります。これでポート80では使用できなくなり、他の仮想ホストからもアクセス できなくなります。
 個人のWebMailでISPのWebMailサービスとは異なりますので、この程度のセキュ対策はとっておいた方が良いと考えたからです。

 さて、apacheの定義が終えたら次はSquirrelMailの設定になります。デフォルトのインストール状態では日本語が使えず、IMAPとの相性も悪いので設定変更が必要になります。
 ちなみにSquirrelMailには日本語サイト(少し古いようです…)があり、以下のURLとなっています。
   SquirrelMail日本語サイト

 これまた余談ですが、SquirrelMailは個人ユーザー向けの無償ソフトとなり、法人向けではRisuMailとして販売されています(今は違うのかな…)。

 Fedora8でPostfix+Dovecotで構築し、メールクライアントでOutlookExpress(Thunderbirdでもカスタムして合わせ込んでいる)な方は以下のサンプルを参照してください。←私の使用環境で、SquirrelMailの設定も合わせています。
 ちなみにOutlookExpressでは送信フォルダが露骨に日本語で「送信済みアイテム」となっており、Sentを使用していません(WindowsXP)。ThunderbirdではSentフォルダを使用していますが、Thunderbird側で「送信済みトレー」に置き換えています。DovecotもデフォルトではSentになっています。
 この相違が重要で、昔からIMAPでメールを使うときの良くある障害になっています(MSのモノは他にも問題アリアリでサーバー構築上の障害になるときがありますが…汗)。
 今回の作業でテストしたところ、SquirrelMailでも「送信済みアイテム」として表示し、送信控え保存トレーとして機能しました。しかし、至極強行にしていますので参考にしてみてください。
 では、サンプル(というかオプションの解説)です。
   「squirrelmail_config.txt」をダウンロード

 /usr/share/squirrelmail/config/ディレクトリに移動し、次のコマンドで修正用スクリプトを走らせます。
  ./config.pl
 あとは上のサンプルを見ながらでも、項目番号を入力し、設定し…を繰り返してください。
 最後に保存のために、Sを入力し、Enterを入力します。その後でQを入力して設定完了です。
 おっと、config.plですが、konsoleやgnome-terminalでは一見バグったように見えてしまいます。これの原因はFedora8のkonsoleのデフォルト配色が白地に黒字となっていることです。config.plは白文字を表示するようにデフォルトで設定されていますので、この状態を直す必要があります。
 方法としては2つあります。1つはconfig.plを実行した時にCを入力して、カラーモードを無効にする。もう1つはkonsoleのスキームを変更し、黒地に白字としてしまいます。
 さて、config.plでの修正が終わりましたら、「送信済みアイテム」を強行修正します。
 対象ファイルは/usr/squirrelmail/config/config.phpファイルです。エディター等で開いておいて76行目の「Sent」って文字列を「送信済みアイテム」に変更してしまいます。
 もっともSentのままでも、SquirrelMailへWeb越に接続し、オプションのフォルダのところで変更することも可能なようですが、私は最初から直して接続したので不明です。
 ほかに注意すべきはTLSの設定です。私のところではTLS環境を構築しています(Thunderbirdでも使用しています)が、SquirrelMailで有効にするとエラーで使いモノになりません。TLSを無効な状態で使用しないとダメみたいです。
 それとSELinux君にも叱られます。
 最低でも"setsebool -P httpd_can_network_connect=1"はしておきましょう。ファイルラベルは適当にしてください(私の環境はPermissiveで蓄積モード)。

 確認送信してみたのですが、SquirrelMailでは@www.inter.netというドメインのようにwwwを付けてしまいます。気になる方はヘッダー情報を書き換えるようpostfixなり、SendMailなりを修正する必要があります。

2008年3月 2日 (日)

Fedore 8 で四苦八苦 SSL編 https

 ようやくapacheの最終地点ともなるhttps…SSLサイトの構築です。
 前回までにサーバー証明書が作成できていますので、それを使ったSSLサイトの構築になります。
 Fedora8でhttps…SSLを使用するには、mod_sslパッケージを別途インストールする必要があります。
 mod_sslパッケージをインストールするとSSLに必要なmod_sslモジュールがインストールされると共に、/etc/httpd/conf.d/ssl.confファイルが配置されます。
 このssl.confファイルは/etc/httpd/conf/httpd.confファイルの最初の方にあるincludeディレクティブで読み込まれるGenerl定義ファイルとなっています。
 しかし、httpsやSSLつまりポート443に関しては、<Virtualhost>ディレクティブによって仮想ホストで構築されます。
 つまり、私のようにホスティングベースで構築しているのでは使い勝手が無茶苦茶悪いところで定義されています。
 そこで、今回はwww.inter.netを定義しているファイル中にポート443も定義して、www.inter.netをポート80とポート443とで定義するサンプルファイルを用意し、添付しておきます。
 このため、/etc/httpd/conf.d/ssl.confの<Virtualhost>ディレクティブから最終行に至るまでを削除するなり、コメントにして無効化し、次のような定義ファイルへコピペして定義します。
   「www.conf2.sample」をダウンロード

 このサンプルを見ればわかると思いますが、SSLつまりポート443は基本ホストとして定義するのではなく、仮想ホストとして定義します。
 つまり、ポート80で使用されるものとは別モノですが、rootdirectoryで同じになっているので、あたかも同じサイトのhttps版に見えるだけになっています。
 私もそうでしたが、この違いを理解していないとhttpsサイトは構築できません。

 面倒なことですが、ポート80用とポート443用とで同一の設定をしたい時は、コピペする等して、各々のところで定義してやる必要があります(ほんと〜面倒)。
 逆に、ポート80用は一般公開用として管理画面を許可せず、ポート443用だけに配置することも可能になります。

 本サンプルではポート443側でSSLRequirerSSLを入れてありますので、例えばhttp://www.inter.net:443/としてもエラーになります。これはポート443でもhttpsを使用していないhttpによるアクセスを禁止しているからです。
 また、https://hogehoge.inter.net/としてもhogehoge用のポート443定義ファイルがなければ、ブラウザ上にhttps://hogehoge.inter.net/というURLを表示したまま、https://www.inter.net/を表示します(Virtualhostの特性)。
 これらの挙動を理解できれば、httpsだけでWebDAVをサービスしたり、httpsだけでSquirelmailをサービスしたりできるようになります。また、今まで紹介したSever-Status、MRTGも同様にしてポート443だけに限定することもできます。
 さらにポート80側へもSSL設定を書いておくと、ポート80番でもhttpsが使えるようになる模様です。
 またクライアント証明書との連携が疎いので検証していませんが、組み合わせれば.htaccessだけよりも遥にセキュリティ的に巧妙なサイトを構築できると思います。
 .htaccessは入口だけパスワード…ですのでパスワード通過後のURLをブックマークしておくと…「頭隠して尻隠さず」な状態になります。そこでクライアント証明書を併用したり、スクリプトが出来る方ならCookie使ったりして防衛できるようになります。

Fedora 8 で四苦八苦 OpenSSL編 クライアント証明書

 今回はクライアント証明書です。
 Fedora8のクライアント証明書もOpenSSLで作成できます。
 クライアント証明書も前回のサーバー証明書と同様にして作成できます。

  1. /etc/pki/tls/openssl.cnfファイルの修正(server用かclient用かの相違だけ)
  2. opensslコマンドで秘密鍵を作成
  3. opensslコマンドで秘密鍵から認証部分を削除して再作成
  4. 3で作ったファイルから証明書(署名要求書)を作成
  5. 4で作ったファイルから自己認証局署名入り証明書を作成
  6. 5で作ったファイルからゴミを除いた証明書を再作成
  7. 6で作ったファイルをクライアント証明書として形式変換
  8. 7で作ったファイルをクライアントに渡して登録してもらう

 しかし、今回は別な方法がありましたの記載します。
 その方法は主要なところをCAスクリプトで作成するものです。
 (CAスクリプトもソース見るとわかりますが、opensslへ引き渡しています)
 まずは大まかな流れです。

  1. /etc/pki/tls/openssl.cnfファイルを修正
  2. CAスクリプトで署名要求書と秘密鍵を作成
  3. CAスクリプトで自己認証局署名
  4. 出来上がったクライアント証明書からゴミを取り除く
  5. クライアント証明で使用するpkcs12形式へ変換

 手順に沿って記載します。

1 /etc/pki/tls/openssl.cnfファイルの修正は次の箇所です。
 176行目 nsCertType=server (コメントを解除)

2 /etc/pki/tls/misc/ディレクトリへ移動し、CAスクリプトを走らせる。
 作業前にCAスクリプトの35行目と36行目に日数オプションがある。
 有効日数を3652(10年)にしておくと楽です
 ./CA -newreq
 すると、入力作業になります。

  • Enter pass phrase:… <任意で入れる>
  • verifying-Enter PEM pass phrase:… <上と同じものを確認で入力>
  • Country Name:JP <日本ならJP>
  • State or Province Name:Tokyo <州ってことだが、日本なら県>
  • Locality Name:Chiyoda-ku <日本なら市区町村名>
  • Organization Name:inter.net <会社名等で英字、困ったらドメインでもOK>
  • Organization Unit Name:inter.net <部課名等で英字、困ったらドメインや用途でもOK>
  • Common Name:hogehage@inter.net <クライアント名称やメアド等の所有者を使用する>
  • Email Address:hogehage@inter.net <所有者のメールアドレス>
  • A challenge password:なし <何も入力しないでEnter>
  • An optional company name:なし <何も入力しないでEnter>

 これで、/etc/pki/tls/misc/ディレクトリ以下にnewkey.pem(秘密鍵)、newreq.pem(要求書)が作成されます。

3 自己認証局で署名する
 /etc/pki/tls/misc/ディレクトリで次のコマンドを入力
 ./CA -sign

  • Enter pass phrase:… <認証局作成で使用したパスフレーズ>
  • 〜〜ズラっと表示される〜〜
  • Sign the certificate?:y <作成するにはy>
  • commit?:y <作成するにはy>

 これで/etc/pki/tls/misc/newcert.pem(クライアント証明書の原版)が作成される。

4 3で作ったファイルに含まれるゴミを取り除きます。
 /etc/pki/tls/misc/ディレクトリで次のコマンドです。
 openssl x509 -days 3652 -in newcert.pem -out client.crt

5 クライアント証明書として使用できるpkcs12形式へ変換します。
 /etc/pki/tls/misc/ディレクトリで次の1行を入力する(今回はパイプ処理)
 cat newkey.pem newcert.pem | openssl pkcs12 -export -out client.p12 -name "hogehage"

  • Enter pass phrase:… <要求書作成で使用したパスフレーズ>
  • Enter Export Password:… <pkcs12ファイル用のパスワード>
  • Verifying Enter Export Password:… <pkcs12ファイル用のパスワードを確認>

 これで/etc/pki/tls/misc/client.p12というpkcs12形式のクライアント証明書が作成されました。

6 出来上がったclient.p12をhogehage@inter.netさんに渡し、使用するように設定してもらうだけになります。
 これを使用するとS/MIME、httpsの有効ユーザー等に使用できる模様です。
 思いつきで検証していませんが、smtpdへのログインで使用できれば第三者中継を弾き返す強烈な武器と思われます。これまた思いつきですが、ホスティングで特定URLのhttpsを構築し管理者だけに限定する強烈な武器とも思われます。クライアント証明書ですのでユーザー名とパスワードを使用する前段で使用すれば強烈なセキュだろうなぁ。
 役所の入札システムも最近では電子化されているのでクライアント証明書を使って絞り込んでいるようだし。

7 署名作業で作成したファイルは適当なフォルダへ入れ、chmod640にて保管しておけば、管理者として有能と思われると思いますょ(無くすユーザーさん多いですからねぇ〜特に法人関係)。
 その際も各ユーザー名を付けたりしてファイルを識別できるようにしておいた方が良いでしょう。
 修正したファイルを元に戻すのをお忘れなく

いつのまにやらハードウェアRAIDカードが安くなってました

 スループットの差が歴然とあるようですが、ハードウェアRAIDカードが3万円切ってますねぇ。
 これ、Highpointって会社のカードです。
 HPT-xxxなんかのHDD用コントローラチップを製造していた会社です。
 Promise(Fasttrack)、SiliconImage(CMD/Sil)に並ぶ大手の会社ですので信用あると思います。
 拙者もソケット7時代にHPTオンボードマザーを使っていた経験がありますが、ハード上のトラブルはありませんでした。
 そんな会社が3万円を切る価格でSATA4台程度のRAID5対応ハードウェアRAIDカードを売っていたとは知りもせず…涙。
 ちなみにPCI-expressX4だかX8だかの高速でIOPの付いているものは4万円だが、Adaptec社に比べたら安いもの。
 こりゃ〜予算をどうにかして…。

 速度やソフトウェアRAIDの面倒さが我慢できない方には一考の価値あるものと思いますょ。

 なおHighPoint製のカードは某価格比較サイトではヒットしないみたいなので、oliospecっていうakibaのショップが参考になると思います。
 oliospec様のI/Fページ

 cocolog館じゃアフィリエイトコード付いてませんから安心してクリックしてくださいね。

Fedora 8 で四苦八苦 OpenSSL編 署名サーバー証明書

 前回の「Fedora8で四苦八苦 自己認証局編 OpenSSL」に続く自己認証局署名入りサーバー証明書の作成です。
 まずは基本的な流れは次のとおりです。

  1. /etc/pki/tls/openssl.cnfファイルの修正
  2. opensslコマンドで秘密鍵を作成
  3. opensslコマンドで秘密鍵から認証部分を削除して再作成
  4. 3で作ったファイルから証明書(署名要求書)を作成
  5. 4で作ったファイルから自己認証局署名入り証明書を作成
  6. 5で作ったファイルからゴミを除いた証明書を再作成
  7. 6で作ったファイルをサーバー証明書として使用

 上記の順を追って書いていきます。

1 /etc/pki/tls/openssl.cnfファイルの修正
 176行目 nsCertType=server (←コメントを削除するだけ)

修正箇所は上の1箇所のみで良いようです。

2 サーバー証明書用秘密鍵の作成
 サーバー証明書とサーバー証明書用秘密鍵の保存ディレクトリは任意で良いようです。Fedora8では/etc/pki/ディレクトリが基本的なcertsファイル等の置き場となっており、/etc/pki/dovecot/と/etc/pki/bittorrent/ディレクトリが作成されているところから想像し、/etc/pki/user/ディレクトリを作成し、更に./certs/ディレクトリをサーバー証明書置場、./private/ディレクトリをサーバー証明書用秘密鍵置場としました。
 各デーモン毎にディレクトリを作成しても良いですが、私の場合は上記のディレクトリ内へsmtpとかimapとかftpやwebなんかのカシラを付けて識別しています。
 では、/etc/pki/user/private/ディレクトリへ移動し、次のコマンド(1行)を入力。
 openssl genrsa -des3 1024 -days 3652 > smtp.key

 ↑1024ビット長のdes3形式でrsaを有効期限3652日で作成します。
 コマンドを入力すると必要事項の入力になります。

  • Enter pass phrase:… <任意で入れる>
  • verifying-Enter PEM pass phrase:… <上と同じものを確認で入力>

 これで/etc/pki/user/private/smtp.keyが作成されます。

3 秘密鍵から認証部分を削除して再作成
 上のファイルをマンマ使おうとするとイチイチpassフレーズを入力するようになってしまい、postfixなんかではtlsが自動起動しないためにエラーとなり、SMTP-authが使用できなくなります。
 そこで、秘密鍵を認証してしまい、認証部分を削除してイチイチ認証しなくても良い状態の秘密鍵を再作成してしまいます。
 次のコマンドを入力(1行です)。
 openssl rsa -in smtp.key -out smtp.key
 するとパスフレーズを確認のために入力する必要があるので2で入力したパスフレーズを入力します。
 これで認証を省略できる秘密鍵が作成されました。

4 署名するのに必要なサーバー証明書(署名要求書)を作成する
 /etc/pki/user/certs/ディレクトリに移動し、次のコマンドを入力(1行です)。
 openssl req -new -key ../private/smtp.key -out smtp.csr -days 3652

 すると入力作業になります。

  • Country Name:JP <日本ならJP>
  • State or Province Name:Tokyo <州ってことだが、日本なら県>
  • Locality Name:Chiyoda-ku <日本なら市区町村名>
  • Organization Name:inter.net <会社名等で英字、困ったらドメインでもOK>
  • Organization Unit Name:smtp <部課名等で英字、困ったらドメインや用途でもOK>
  • Common Name:smtp.inter.net <smtpのサーバー名称を指定する。CA用とは別な必要がある>
  • Email Address:mailmaster@inter.net <管理者のメールアドレス>
  • A challenge password:なし <何も入力しないでEnter>
  • An optional company name:なし <何も入力しないでEnter>

 今回は自己署名してしまいますが、公的署名機関を使用する場合は、このcsrファイルが使えるらしいです。

5 サーバー証明書に自己署名する
 /etc/pki/user/certs/ディレクトリに移動します。
 コマンド入力の前にオプションを書いておきます(私は最初はコレがわかりにくかった…書いておきます)。

  • -config ←コンフィグファイル(/etc/pki/tls/openssl.cnfファイル)
  • -in ←手順4で作成した証明書(署名要求書/etc/pki/user/certs/smtp.csr)
  • -keyfile ←CA局の秘密鍵ファイル(/etc/pki/CA/private/cakey.pem ←自己認証局用秘密鍵)
  • -cert ←CA局の証明書ファイル(/etc/pki/CA/cacert.pem ←自己認証局用証明書)
  • -out ←作成されるサーバー証明書(今回は/etc/pki/user/certs/smtp.pem)
  • -days ←有効日数

 次のコマンドを入力(1行です)。
 openssl ca -config /etc/pki/tls/openssl.cnf -in /etc/pki/user/certs/smtp.csr -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -out smtp.pem -days 3652

 すると入力作業になります。

  • Enter pass phrase:… <認証局作成で使用したパスフレーズ>
  • 〜〜ズラっと表示される〜〜
  • Sign the certificate?:y <作成するにはy>
  • commit?:y <作成するにはy>

 これで自己認証局の署名入りサーバー証明書(pem形式)が作成されます。
 このままでも使用できますが、ゴミを取り除きます。

6 ゴミを取り除いたサーバー証明書
 /etc/pki/user/certs/ディレクトリで、次のコマンドをポンです。
 openssl x509 -days 3652 -in smtp.pem -out smtp.crt

 これで作成したsmtp.crtをpostfixのSSL用ファイルとして使用できます。しかし、/etc/user/private/smtp.keyファイルも指定してやる必要があります。単純なテキストファイルなので、テキストエディタで証明書と鍵を1つのファイルにしたものを指定しても良いようです。

 前回のder形式による自己認証局をルート証明書としてインポートされていれば、今回作成したサーバー証明書を最初にアクセスした時の警告は表示されないと思いますが、表示される時があるようです。
 このあたり、OSやブラウザの親切??な設計とも思えますが付き合うしかないと思います。

 おっと、今回はpostfixのsmtpを想定して作成しましたが、pop用やftp用、web用に果てはssh用も同じようにしてサーバー証明書を作成することができます。

2008年3月 1日 (土)

Fedora 8 で四苦八苦 自己認証局編 OpenSSL

 これからhttpsの所謂SSLを構築してやろうと作業を開始しました。
 そこでフと思い返したのですが、メール編でもSSLは触れていませんでした。
 そこでSSLを書いてみます。
 SSLの予定としては3回を予定しており、今回はベースともなる自己認証局の作成です。2回目は(自己)認証局署名入りサーバー証明書、3回目は(自己)認証局署名入りクライアント証明書となります。
 認証局はCAとも呼ばれており、Windowsではベリサイン等が予めインストールされています。もっともFedora8を始めとしたLinuxでも予めインストールされていますし、他のOSでもブラウザーがインストールされていれば大概はインストールされています。
 しかし、ベリサイン等の公的な認証局は有料であることから個人の趣味としては高額に値すると思います。
 そこで行われるのが自己認証局の設置で、「自分のサイト」で「自分の為に暗号化できれば良い」程度にはもってこいな訳です。
 もっとも認証局もサイトそのものが存在していることを証明する程度で、内容や信用度を証明するものではありません(実際には審査があり多少の事は審査していると思いますが、株式の信用度みたいな事まではしていない…ハズ)。
 Fedora8で自己認証局を作成するにはOpenSSLパッケージをインストールしておきます。
 私は認証とかの暗号に関してはズブの素人レベルですので以下のサイトがわかりやすかったので参考にしてみてください。
  Unixな生活 自己認証作成ページ

 自己認証局を作成する大まかな流れは次のとおりです。

  1. 自己認証局のアドレスでアクセスできるサイト(単独が好ましい)を構築
  2. /etc/pki/tls/openssl.cnfファイルを修正(←Fedora8の場合)
  3. 自己認証局用の証明書を作成
  4. 自己認証局用の証明書から認証局として登録してもらうファイルの作成
  5. 4で作ったderファイルを公開し、クライアントにインポートしてもらう

 以上で自己認証局が立ち上がります。
 自己認証局はトあるコマンドに対して返事を返すものではなく、暗号化する際に使用する証明書を署名する機関になり、OSやブラウザに登録されていれば良いものらしいです。
 よって、上記の1で単独サイトを構築していますが、トップページで認証局である事を記載したものを表示するだけで良いようです。
 作成にあたり、留意することは上記の2で書いたopenssl.cnfファイルは今後も修正しながら作成しますのでデフォルト状態のものをバックアップするなり、作業が終わったら忘れずに戻しておくのが懸命です。
 作成方法は次のようになります。
 1 /etc/pki/tls/openssl.cnfファイルを修正 (修正箇所は次のとおり)
   170行目 basicConstraints=CA:TRUE (FALSEから修正)
   176行目 nsCertType=server (コメント解除)
 2 /etc/pki/tls/misc/CAファイルを修正 (修正箇所は次のとおり)
   35行目 DAYS="-days 3652" (10年)
   36行目 CADAYS="-days 3652" (10年)
 3 /etc/pki/tls/misc/ディレクトリに移動し次のコマンドを入力
   ./CA -newca
  (更に-days 3652を付加してもエラー出なかったが有効かは不明)
 4 実行したら入力作業になるので次のように入力していく

  • 「ファイルが存在するエラー」2つが出ますが気にしない
  • 新規作成なので単に「enterキー」を押す
  • pass phrase:… <任意で入れる>
  • verifying-Enter PEM pass phrase:… <上と同じものを確認で入力>
  • Country Name:JP <日本ならJP>
  • State or Province Name:Tokyo <州ってことだが、日本なら県>
  • Locality Name:Chiyoda-ku <日本なら市区町村名>
  • Organization Name:inter.net <会社名等で英字、困ったらドメインでもOK>
  • Organization Unit Name:CA <部課名等で英字、困ったらドメインや用途でもOK>
  • Common Name:ca.inter.net <CAのサーバー名称を指定する。よって単独が好ましい>
  • Email Address:root@inter.net <管理者のメールアドレス>
  • A challenge password:なし <何も入力しないでEnter>
  • An optional company name:なし <何も入力しないでEnter>
  • Enter pass phrase for …:… <上で入力したものと同じものを入力>

 これで3つの証明書関連のファイルが作成されています。
 3つとは次のものです。

  1. /etc/pki/CA/cacert.pem ←自己認証局用証明書(pem形式)
  2. /etc/pki/CA/careq.pem ←リクエスト用証明書(pem形式)
  3. /etc/pki/CA/private/cakey.pem ←自己認証局用秘密鍵(pem形式)

 次に認証局としてインポートしてもらうためのファイルであるderファイルを作成します。

  1. /etc/pki/CA/ディレクトリに移動
  2. openssl x509 -days 3652 -inform pem -in cacert.pem -outform der -out cacert.der (←長いけど1行)

 出来上がったcacert.derファイルをメール添付したり、ダウンロードできるようにして公開し、クライアントにルート認証局としてインポートしてもらえば自己認証局の完成らしい。
 もっとも最初だけは「信用しますか?」程度は訊かれるようです。

 次にpem形式ではゴミが多いのでcrt形式へ吸い上げてしまいます。
 コマンドは長いですが、次のような1行です(/etc/pki/CA/ディレクトリに移動しておいてください)。
 openssl x509 -days 3652 -in cacert.pem -out cacert.crt

 あとは最初の方で修正した/etc/pki/tls/openssl.cnfファイルを元通りにしておいてください。

Fedora 8 で四苦八苦 Server Status Server Info編

 サーバーの動作状態を表示させる「Server-Status」と「Server-Info」の有効化を行いました。
 Server-Statusは無難に動作しましたが、Server-Infoはヤヤ不具合ぎみでした。どうやらセキュリティ制限を緩めてやらないと上手く動作してくれない模様ですが、定義そのものはシンプルなので記載しておきます。
 Fedora8の「server-status」と「server-info」はhttpdパッケージをインストールするとデフォルトで組み込まれます。
 定義も/etc/httpd/conf/httpd.confファイルに書かれており、デフォルトではコメントになっていますので、コメントアウトにして有効化してやるだけです。
 しかし、今後のセキュリティ強化を考慮すれば、別ファイルの方が扱いやすいですのでhttpd.confの定義はコメントのままにしておき、/etc/httpd/conf.d/ディレクトリ以下に例えばstatus_info.confファイルとして保存しておきます。

 ・Server-Status
  mod_status.soファイルで提供され、ハンドラとして有効化してやるだけです。

 ・Server-Info
  mod_info.soファイルで提供されハンドラとして有効化してやるだけです。

 ・/etc/httpd/conf.d/status_info.conf
  /etc/httpd/conf/httpd.confのうち、ServerSignatureディレクティブ、ExtendedStatusディレクティブ、<Location /server-status>〜</Location>、<Location /server-info>〜</Location>をコメントにして、作成する定義用ファイルです。

 status_info.confはhttpd.confファイルの上の方にあるincludeディレクティブで読み込まれます。
 サンプルを添付しておきます。
   「status_info.conf.sample」をダウンロード

 Virtualhostディレクティブ内で定義できるかはチェックしていません。これはドキュメントを読む限りでは出来そうにないからです。
 「server-status」と「server-info」は基本となっており、General定義部分だけで有効になるようです。よって「server-status」と「server-info」を有効にした際はサンプルにあるようにAllowなんかでホストを制限してやる必要があります。サーバー情報の表示ですのでモジュール自体は悪さをしませんが、サーバーの状態を表示し、推察することによってセキュリティホールを突いた攻撃を受ける基となりますので対策しておきます。

 「server-info」が少し調子悪いです。
 この状態でアクセスしましたが、/server-infoだけでは404エラーとなりました。どこかの制限を緩める必要がありそうです。どのディレクティブに反応しているかは不明です…すみません。
 しかし、オプションを付けてアクセスしてやることで、どうにか表示してくれました。以下に有効なオプションは記載しておきます。

  1. ?<module-name> 例:http://www.intra.net/server-info?mod_info.c
  2. ?config 例:http://www.intra.net/server-info?config ←404エラー
  3. ?hooks 例:http://www.intra.net/server-info?hooks
  4. ?list 例:http://www.intra.net/server-info?list
  5. ?server 例:http://www.intra.net/server-info?config

 各オプションの意味は次のとおり…らしい。

  1. 指定されたモジュールに関連する情報
  2. 設定ディレクティブのみ表示
  3. 各モジュールが使用するフックのみ(?<module-name>のリンク集)
  4. 上のリンクがないリスト
  5. 基本的なサーバー情報のみ

 瞬間的に利用されるだけのものは表示されないらしいから、常時見るような内容ではなく、エラった時に見る程度と思います。

Windows Vista SP1

 マイクロソフト社の最新OSとなる「Windows Vista SP1」が突如として予約開始されました。
 マイクロソフトの日本語ページにも情報がありますが、詳細になると英語へ跳ばされます…泣
 報道ページにも記載はなし。

 仕方がないので米国本社のMicrosoftサイトを見にいきました。

 探し方が悪かったせいかパッケージ版発売日やMicrosoft Updateダウンロードサービス開始に関する日付は確認できませんでした。
 まぁ、世界に冠たるITショップバレーのAkibaですので日本時間3月15日午前0時に間違いないと思います。
 特に大手の九十九電機さんで公開されていれば信用できるでしょう。

 英語ページでは既に要約等が用意され、PDFやXPSでダウンロードできるようにもなっています。

 今回の目玉はナンといっても膨大なバグの修正にあろうかと思います。
 その他にいくつかの気になる情報も要約に書かれていました。

  1. Microsoft UpadateからGetできる模様(アドレス記載されてましたょ)
  2. ファイルコピー速度の向上(同一ディスク25%〜SP1同士のLAN間50%)
  3. スリープ状態からの起動が改善
  4. スリープ状態におけるビデオカードアドレス問題の解決
  5. 圧縮(zip)フォルダの改善
  6. Direct3D10が10.1になる
  7. 新ファイルシステムexFATの導入

 鱈腹ありますのでユーザーによっては別なところが重要視されると思います。
 そこで英語ページですがリンクは次のとおりです
   要約ページ
   要約ダウンロードページ
 要約ダウンロードは直リンクではありません英語ガイドページですが、日本語ページと同様な作り方ですので直感で操作してください…この程度の英語ならどうにかなりました。

 累積エラーの修正…見るだけの根性ないのでスッ飛ばしました。

 気になる箱入版の価格ですが、FDDセットDSP版Ultimateで2.5万円を切る模様です。

« 2008年2月 | トップページ | 2008年4月 »

2013年12月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

最近のトラックバック

ウェブページ