編集 |
編集(管理者用) |
差分
秋の天気月。
これ以前の記事は2003年10月前半に移動しました。
Mac OS Xに脆弱性みつかる-但し10.3 Pantherなら大丈夫(CNET)などで取り上げられ、しかも10.2.8にはパッチ等のリリースが無いかも知れない、という点で叩かれているセキュリティ問題ですが、冷静に解説し、対策を述べたページを見つけられなかった。 ちょっとざっと情報を集めた範囲で、分かった部分だけまとめておこう。
まず、この「3点の脆弱性」について、実際に@stateから発行されたセキュリティアドバイザリーは以下にある。
10.3のセキュリティ強化内容の和訳を見ると、ざっとどんな問題であるかをつかむことができる。 CNETの記事によれば(1)は「デフォルトのインストールを行ったシステムあれば、この脆弱性の影響はない」、(3)については「リモートマシンからネットワーク経由でシステム内部にアクセスされてしまう可能性がある」としている。 そして、もっとも重大なのが(2)だ。
(2)は、アドバイザリー(それと私のつたない英語力)によれば、アプリケーションのインストール時に/Applicationディレクトリに、書込みが許されたディレクトリが作られるというものだ。 原因は2点あり、一点目はディレクトリをドラッグした際にディレクトリのパーミッションが保持されないことで、ドラッグを行う代わりにcpコマンドを使用することで回避できる。 もう一点はソフトウェアベンダーがこのディレクトリの扱いを間違えており、書込み可能なパーミッションを指定していることがある点だ。 アドバイザリーによれば、この問題を「ベンダーの大小を問わず」犯しているということなので、どの会社のソフトしかインストールしていないから、と油断するべきではなさそうだ。
同アドバイザリでは、対策として/Application以下のディレクトリに対して、書込み権限をはずすことを挙げている。 具体的には、ターミナルから以下を実行すれば良い。
find /Applications -type d -exec chmod o-w {} \;
これは/Application以下からディレクトリを検索し( find /Applications -type d )、見つかった端から( -exec )これのパーミッションを変更する( chmod o-w {} )、というものだ...と思う。 ただし、これ以下のディレクトリにデータを書き込もうとするような根本的に間違ったつくりのアプリケーションは、この影響で正しく動作しなくなる可能性がある。 ちょっとUnixの知識があり、私が上で書いたことを理解できれば、ここで書いているパーミッションの問題のあるディレクトリをfindコマンドでリストアップし、適切に自分で設定できるだろう。
セキュリティアドバイザリ(3)については、時間が取れれば内容を確認し、解説したいとは思っている。 ただ、できれば...脊髄反射で「Apple、何やってるんだ」と叫んでいる暇なブロガーにお願いしたいのだけど。 それから、私はMac OS Xに触ったことがないし、UnixといえばLinuxザウルスしか持っていない。 この内容が、とんでもない勘違いを含んでいないかの検証もしてもらえれば非常に助かる。 いっぱいいるんだから、一人ぐらい暇な人もいるでしょ?
スーツをやめてコーデュロイのジャケットを持参したのだけど、それでも寒い甲府です。 冬用のコート、出してはあるんだけど、来週着るのはまだ早いかなぁ。
当サイトですが、27日19:00:01より大量アクセスがあり、緊急対処として一時サイトが停止されていました。
アクセスログよりGETHTMLというソフトウェアの振舞いが問題だと判断し、このアクセスを拒否することにしました。 このため、GETHTMLでアクセスしている人、あるいはこれをプロキシに使用している人は、 http://digit.que.ne.jp/ 以下ほぼ全てのページ、データが取得できなくなります。 判断理由および制限内容は以下のとおりになります。
前述の問題、および以下に述べる理由によるものですので、申し訳ありませんがご了承ください。
■ GETHTMLによるアクセスだと判断した理由
昨日のアクセスログをチェックし、問題の時間に特定のIPアドレスから、ユーザーエージェント"Pockey-GetHTML"での大量アクセスがあったことを確認しました。 Google:Pockey-GETHTMLよりこれがGETHTMLのユーザーエージェントであるらしいという記述を見つけ、実際にGETHTMLWをインストール、ローカルのサーバーにアクセスし、実際にこのユーザーエージェントが使用されていることを確認しました。
■ ユーザーではなくGETHTMLの問題だと判断した理由
GETHTMLを利用した際に、以下の点に気になりました。
GetHTML では、Webサーバの付加を減らす通信プロトコルである KeepAlive? 通信を可能なサーバ(Apache の比較的新しいのものなど)に対して行っており、この方式のほうが大抵の Web サーバに対しては負荷が少なくパフォーマンスもよいと考えておりますが、この wait 指定を行う場合は、KeepAlive? 通信は行われません。
この状況で、一般にユーザーの使い方を想定すれば、4スレッドで全階層を、負荷をかけないようにという心遣いからno waitで取得させるでしょう。 したがってユーザーの使い方よりも、むしろソフトウェアの設計やドキュメントの問題と判断しました。
■ アクセス制限の内容
ユーザーエージェント"Pockey-GETHTML"のアクセスは拒否しております。 これにより、このユーザーエージェントを使用しているGETHTMLでは http://digit.que.ne.jp/ 以下ほぼ全てのページ、データが取得できなくなります。
このアクセス制限は、上の「ユーザーではなくGETHTMLの問題だと判断した理由」が解消され、それに私が気づくまで継続されます。
本日の19時〜19時半に100回/分以上のアクセスがzaq.ne.jpのサブドメインからあったらしく、QUE::NETWORKを運営しているinetdの方でまずはVisit.のCGIを停止、その上でここからのアクセスを遮断するという対策を採ってくださいました。 お手数をおかけしたこと、また同一サーバを利用されている方に影響があっただろうことをお詫び申し上げるとともに、いつもながら早く適切な対応に感謝いたします。
このアクセスですが、ドメインからするとZAQというサービスを利用している人による(あるいはその人のマシンを踏み台にした)ものと思われます。 IPアドレスとサブドメインも分かっているのですが、固定IPアドレスか今ひとつ確証がもてず、ZAQからのアクセスを全て拒否するなり、この時間のこのIPアドレスの使用者が誰であるか追及するなりが状況的に必要になっています。 心当たりがありましたら私がどちらの方策も採らなくて済むよう、メールで結構ですのでどのような状況でこうなったのかご連絡ください。
■ 新ザウルスは年内に?
昨日、ソニーコミュニケーションが、PDA向けの安価なPHS接続サービスを検討中、との報がITビジネス&ニュース(既に記事は消えています)、ZDNet、Mobile News等で流れました。 この、PDA一台でしか使えない代わりに月額2000円、という価格も目を引くのですが、それ以上に気になる点が一点。
最初の対象機器はシャープが年内にも発売見込みの次期ザウルスになる。(ZDNet)
ITビジネス&ニュースでは「発売予定」とちょっとニュアンスが違いましたが、やはりほぼ同様の一文を掲載していました。 これで俄然、信憑性を帯びてくるのが価格.comのSL-C760の口コミ情報。
■ 噂の内容。
ここ数回、Linuxザウルスの新製品情報は価格.comから漏れ始めている節があります。 真偽は不明ですが、今回もSL-C760の口コミ情報で、「[2028855]後継機種情報」以下に、次のような新製品の噂が流れています。
後継機種 SL-C860が12月上旬に発売予定 価格は760Cと同等の予定
CPUメモリーに関しては変更点なし、
外観シャンパンゴールド、
ソフト充実(ブラウザに英日翻訳機能)、 Windowsユーザーの連携機能強化(USBストレージ機能、CF、SD部はカードリーダとしても認識)
今まで読み流していたこの情報ですが、上の「年内発売(予定|見込み)の次期ザウルス」の報道がありましたし、また別口で「価格.comのものとほぼ同様のことを聞いた」等という話も聞いたりで、もしかすると本当なのかな、と思えてきました。
■ シャンパンゴールドってどんな色?
しかし、価格.comの話が本当だとすると、ほぼまったくのマイナーアップグレード。 個人的に気になるのは「シャンパンゴールド」の色味です。
探してみるとこのシャンパンゴールドを配した製品を、シャープは少なからず過去にも出しているようです。 例えば、デジタルオーディオシステム「Auvi」。
他にもamazon.co.jpやyodobashi.comに、いくつかの商品の、写真を拡大表示できるページがありました。 さすがに転載がためらわれますので、直接リンク先でご覧ください。
これをみると、概ねシャープの「シャンパンゴールド」は、上のAudiで使われている色だと思って良さそうです。 ちょっとSL-C700に近いラインに回帰、でもやっぱり別のテイスト、というところでしょうか。 SL-Cxx0のカラーリングとして、馴染めるかどうかは店頭で見てみないと分からないですけど。
体調不良。 寝ます。
きょうはApacheもmod-perlも惨敗のまま終了。 ホテルに戻ってからも結構がんばったのですけど。
やはり勘が働かない作業は難しいです。
谷口さんからの宿題、mod_perlのビルドに挑戦。
2003-10-20 (Mon) 12:22:44 谷口 : 宿題…増えましたね。Apache のソースツリーが見つけられなくて怒られてるんじゃないでしょうか。「リビルドしない」ってのであれば、../apache_*/src とかにない場合、APACHE_SRC オプションで指定しないと path が見つけられなくて怒ってるとか?(以下略?)
このコメントを見て、そもそもApacheのソースが入っていないのだから、Apacheからビルドしてみようかな、と思い始めました。
しかしそこで思い出したのが、以前にcURLをビルドしようとしたときに、OpenSSLのヘッダファイルが見つからない、と言われたこと。 そのときの問題は、OpenSSLをインストールしようとすると、cramfs内のincludeフォルダにヘッダファイルをインストールしようとして、結局ヘッダファイルがインストールされないということだったようです。 そう考えると今回も、include領域がcramfsにあるとまずいのかも知れません。
実際のところはわからないのですが、エラーが起きてから悩むより整えられる条件は整えておくのが吉。 特に経験のない、勘の働かない作業では。
ということで、次のような計画を立てました。
ひとまず、dogコマンドをmakeできることまでは確認できましたので、ここまでの手順をまとめました。
さて、次はApacheですか。 素養のない人間に、こんな大物がビルドできるとも思えないですけど。
さすがに、18日(土)がShibuya Perl Mongers後の懇親会+2次会、19日(日)がお久しぶり会(そーいう会だったのか?)と続いて、ヘビーな週明けです。 週末2日とも飲むなんて機会はあまりないし。
...などといってると、19日が情報処理試験だった富安さん他の皆様に怒られそうですけど。
谷口さんからの宿題、mod_perlのビルドに挑戦。 やる気になれたのは、NDO::Weblogの説明が非常に丁寧で、何とかなりそうに見えたのが大きな理由の一つですけど。
■ ビルドの準備
まずはNDO::Weblogの説明を読み、以下を実施。
さて、これで上のページに従ってビルドすればよさそうですが。
■ ビルド〜エラー
実際にビルドを試みます。 環境はLinuxザウルス/セルフ開発環境の通り。 まず普段はoffにしてあるswapを有効にしてから...。
$ tar zxvf mod_perl-1.0-current.tar.gz $ cd mod_perl-1.29 $ perl Makefile.PL \ > USE_APXS=1 \ > WITH_APXS=/home/www/bin/apxs \ > EVERYTHING=1
途中で以下のメッセージが出るのが気になります。
./configure /home/www/bin/apxs
しかし、確かにこのファイルは存在するので、ひとまずそのまま続行。
make
エラーが出て終了。
apache_inc.h:120: httpd.h: No such file or directory (略) apache_inc.h:129: httpd_vhost.h: No such file or directory make[1]: *** [mod.perl.lo] Error 1 make[1]: Leaving directory /home/zaurus/Documents/Install_Files/mod_perl/apaci make: *** [apxs_libperl] Error 2
cURLをうまくビルドできなかった際の経験からすると、apache本体についているはずのヘッダーファイルがない、ということでしょうか。 谷口さ〜ん?
「今頃言われても」感たっぷりですが、18時ごろ、田町駅近辺でsho?さんと食事を、という話をしています。 お暇な方がいらっしゃっいましたら、私宛にメールをお願いします。 ここにコメントでも良いのですが、連絡先必須です。
今日はShibuya Perl Mongers テクニカルトーク#4。 目黒駅近くの東急目黒ビル8階で14時から。 いつもと時間が違うので、注意しないといけないですね。
Shibuya Perl Mongers テクニカルトーク#4に行ってきました。
■ リアルで見るのが面白い!
興味があったけど資料が公開されるだろう、と思っていた方、今回のライトニング・トークのうち、最高に笑えた二本「ネットピープル分類学、その傾向と対策」と「オープンソースソフトウェア開発者はなぜ飽きるのか」は資料が公開されない(そもそも「〜なぜ飽きるのか」は資料なしでのセッションでした)のです。 件のドラも「ボワーン」と鳴ってたし、リアルでの見所満載でした。
2003年9月のyomoyomo in tokyo Reloadedでも思ったのですが、やはりこういうのは、リアルで見て、参加するのが面白いです。 次回はぜひ、実際に足をお運びください。
■ ○○でPerlが動くと思う方
今回はライトニング・トークのスピーカに混ぜてもらって、「Perl on PDAs」のタイトルで5分間話しました。 最初は取りこぼしのないように文章を作成し、ここから内容を削って3,000字程度に、と思っていたのですが、トーク直前になっても5,000字を切ることもできず、ついに断念してアドリブでしゃべりました。 練習を重ねてこられ、5分きっかり、話し終わると同時にドラがなった河合さんに比べると、あまりにお粗末ですね。 かなり反省。
ところで、その冒頭で「PalmでPerlが動く/動かないと思う方」「WindowsCEでPerlが動く/動かないと思う方」という質問をさせていただきました。 Linuxザウルスは当然動きそうなものですし、Psionはまずそれ自体を知っているかいないかから始めないといけなそうだったので、割愛。 目分量で正確さはまったくないものの、概ね、結果は以下の通り。
| OS | 動く | 動かない | 挙手せず |
| Palm | 約10人 | 約5人 | 約40人 |
| WindowsCE | 約35人 | 0人 | 約20人 |
正解を言えば、Palmでは動かない、WindowsCE、Psion、Linuxザウルスでは動く、です。 ただここで確認したかったのは、PDAのPerl環境について、どの程度皆様が知識ないし興味を持っておられるかで、やはりあまりご存じなかったようです。 トークをした意味がありました。
正解を含め、当初作成した文章を「PDA/Perl」というページに掲載しました。 また、発表時の資料は、渋谷PerlMongersのサイト上で公開されます。 ご一読いただき、PDAでのPerl使用に興味を持っていただければ幸甚です。 なお、発表資料の先頭および最終ページには、K.K.さんのお許しをいただき、モバチキのトップページの画像をお借りしました。 ありがとうございました。
■ ところで...
件のドラですが、相模PMの河合さんが、自社内でライトニング・トークを実施される際に、鳴り物として購入されたのだそうです。 むぅ。
下の「Linuxザウルスでdog」は、最初は「Linuxザウルスの犬たち」にしようかと思ってました。 ...短編集「帝王」をふと読み返してしまって、F・フォーサイス週間です。
■ ls、といえばsl。
Unix文化というのは、一面でジョーク文化だな、と思うことがあります。
非常に多用されるコマンドにファイル一覧を表示させる"ls"というコマンドがあるのですが、よくユーザーがやってしまうのが"sl"という打ち間違い。 ところが、そこで思わずUnixerがやってしまうのが「sl?じゃあ機関車を走らせたかったんだね」と聞き返すというちょっと皮肉なジョークで、しかも彼らときたら、実際に機関車が走っていくSLコマンドを実際に作ってしまいます。
まだ見たことがない方は、KenjiさんがLinuxザウルス用にビルドし、パッケージ化してくださったものがA Way Outの3月25日にありますので一度どうぞ。 簡単な解説を2003年3月に「Linuxザウルスでもslコマンド。」という題で書いています。
■ catといえば、当然dog。
lsと同じぐらいポピュラーなコマンドが、テキストファイルの内容を表示させるコマンドのcat。 つい先ほど、このcat互換のツールで「dog」というツールを見つけてしまいました。 catのエミュレーションが可能で、しかも追加機能もあるとのこと。
ソースをLinuxザウルスに持ち込んだところ、すんなりとセルフコンパイルができてしまいました。 パッケージ化したdog_1.7-1_arm.ipkをLinuxザウルス/ダウンロードにおいておきます。 ライセンスはGPLです。
■ catにはないdogの機能
名前からして「catがあるんだからやっぱりdog」とか、そういったジョークが当初の同期だったんじゃないかとは思いますが、dog 1.7版にはcatにはない機能もいくつかあります。
例えば、catで指定できるのはテキストファイルですが、dogの場合URLの指定も可能です。 しかも、オプションにリンク先のユニークなリストを出力する"--links"や、画像のリストを出力する"--images"などというオプションもあり。 例えば、次のようなコマンドで、指定したURLのリンク先を出力させることができます。 ダウンロード系のシェルスクリプトを作成する時には役立ちそうです。
dog --links http://digit.que.ne.jp/visit/
通常の出力系の機能では、各行の先頭から指定した文字数だけを表示する"-w 文字数"、指定した行だけを表示する"-l 行番号"などのオプションがあります。 出力の編集系では、例えば16進ダンプで出力させる"--hex"など。 コマンド名と並んでジョークだとしか思えないのが、"--rot"オプション。 さて、わかりますか?
bash-2.05$ dog hello.txt Hello, dogs. bash-2.05$ dog --rot=3 hello.txt Khoor, grjv.
ツッコミビリティ(圏外からのひとこと)とは、また名言ですね。
同じようなことは以前から気になっていて、このサイトでもある時期を境にかなり意図的に文章ではなく箇条書きを多用するようにしていました。 日記なのに。 それを最近、ツッコミビリティを維持しながら、何とか文章で書いていけないかとおそるおそるチャレンジしています。 yomoyomo in reloaded / Flashbackと、その2とか。 あ、「一般に文章だとツッコミビリティが低い」のではなく、「私の文章力だとツッコミビリティを保つのは難しい」という話です、もちろん。
こればかりは、お読みいただいた皆様の審判を待つしかないわけですが。
■ Linuxザウルス/天気予報公開
日記形式で天気予報の0.2.x系の話をしてきましたが、だいぶ総テキスト量も長くなってきましたし、スクリプト自体も仕上がってきました。 そこでこれまでの内容を、電車の中とか休み時間にこそこそと書き続けて、ようやく「Linuxザウルス/天気予報」に一通りまとめました。 スクリプトの正式公開に先立ち、まずはこのページを公開いたします。
例によってクイックスタートつき。 それからおまけもあるのです。
■ 天気予報取得ツール "weather" 0.2.0-pre3版
"weather" 0.2.0-pre3版を公開します。
今回は、pre2版でTo Doとしていた、複数地域の天気予報の取得と、取得間隔の設定ができるようになっています。 これで0.1.0版とした前系の機能は一通り実装し、その上で週間予報と、予想降水確率にも対応した新版という、看板どおりのものになったかと思います。 また、この他に通常実行時、デバッグ時とも出力するログの調整を進めてあります。
この版で特に大きな問題が出なければ、それほど手を入れないままで0.2.0版として正式にリリースしたいと思います。 問題がおきそうな部分は大体つぶしてあると思いますので、様子見だった方にも試していただいて、確認をしていただけると助かります。
詳細はLinuxザウルス/天気予報で。 また、ダウンロードはLinuxザウルス/ダウンロードからになります。
■ そして、おまけ
Linuxザウルス/wgetplusの時にそうしたように、weatherをホーム画面から起動するためのweather-runというスクリプトとアイコンのセットを用意しました。
実を言えば、前版はターミナルからしか起動できないという点がネックで、私自身ついつい実行し忘れてばかりいたのです。 今回は、そういうことはなくそう、と。
これも詳細はLinuxザウルス/天気予報で。
