俺の日記帳　第二冊目

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 2chのread.cgiへ]
Update time : 01/20 05:33 / Filesize : 273 KB / Number-of Response : 540
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

俺の日記帳　第二冊目

1 名前：login:Penguin mailto:sage [2007/05/03(木) 12:29:53 ID:CbgoHqlv]: 批判は受け付けない。
409 名前：今年のまとめ mailto:sage [2010/12/18(土) 00:08:02 ID:uNhNJH/0]: PCルーターを作ろうと思ってそろそろ1年。おおむね良好だが、よく分かってない部分も多い。
整理をかねて、分かっていないものの中からいくつか書いてみようと思う。

FORWARDでのESTABLISHEDなパケットの許可（内側[eth1]→インターネット側[eth0]）に
"! --syn"を念のためと加えてみたところ、

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　↓
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

以下のようなDROPログ（途中でマッチせず、デフォルトポリシーで弾かれるもの）が出るようになった。
[FORWARD DROP] : IN=eth1 OUT=eth0 SRC=192.168.0.3 DST=207.29.226.25 LEN=48 TOS=0x00
PREC=0x00 TTL=127 ID=61849 DF PROTO=TCP SPT=21610 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT …
192.168.0.3 : クライアントPC（WindowsXp SP3）
207.29.226.25 : tiger3556.maido3.com 2ちゃんねる yuzuru.2ch.net

上のは一例で、似たようなのは他にいくつかあるが、いずれも
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED -j LOG
にて、"! --syn"を足さなければESTABLISHEDとして許可されることを確認している。

「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
発生頻度は低く、再現性も無いが、たま～にポツリ…と発生する。

RFC793には、ESTABLISHEDステートでSYNビットが立っているのはエラーだと書かれているようだが？
英語能力も含め、いろいろスキルが足りないので原因が分かっていない。
410 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 00:30:17 ID:06Ck40yW]: AppArmor+Apache+php覚え書き

phpを使うとき、以下をincludeして除外しないといけない
#include <abstractions/user-tmp>

phpがファイルアップロードなどで/tmpを使っているため、
これをしないとアップロード自体出来ない。

ついで自分がWordPressにかけてるAppArmorの設定。

----
^mc_wordpress {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/php5>
#include <abstractions/user-tmp>

owner (WordPressのディレクトリ)/** rw,
owner (WordPressのディレクトリ)/ r,
/var/log/apache2/mc_access.log w,
/var/log/apache2/mc_error.log w,
}
411 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 00:33:53 ID:06Ck40yW]: この前Ubuntu10.04でapparmor関連のパッケージが更新されたんだけど、
どうやらその後からaa-logprofをするとエラーがでる。

$ sudo aa-logprof
Reading log entries from /var/log/messages.
Updating AppArmor profiles in /etc/apparmor.d.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 4.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 4.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 5.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 5.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 6.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 6.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 7.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 7.
※以下、上記のエラーがひたすら繰り返し…

ちょっとUbuntuスレで質問してみるか…
412 名前：今年のまとめ、その2/3 mailto:sage [2010/12/20(月) 00:46:36 ID:j4rBj8iP]: ループバックの許可は、"iptables -A OUTPUT -o lo -j ACCEPT"とすることが多いようだ（INPUTも）。
それを次のようにしてみた。
iptables -A OUTPUT -p all -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT （INPUTも同様に）

すると、icmpがマッチできなくなった。送信元や送信先アドレスが"127.0.0.1"ではないためだ。
許可には、あえて細かく書くと、例えば次のものが必要になる（発生頻度は非常に低い。）。
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $WAN_IP -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $LAN_IP -d $LAN_IP -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $CLIENT_IP -m state --state RELATED -j ACCEPT

また、PCルーターのeth1（LAN側）にクライアントがsshで接続中に、次のようなパケットが発生することがある。
iptables風に書くと、OUTPUT -o $WAN_IF -s $LAN_IP -d $SSH_CLIENT_IP --sport 22
"OUT=eth0"だが、"SRC=eth1のアドレス"になっている。ESTABLISHEDで、ネットワークの再起動時に発生する。

Linuxをさわり始めた頃は、インターフェイスとアドレスは必ず一致するものと思い込んでいた。
"OUT=eth0"なら"SRC=eth0のアドレス"というふうに。だが、実際には違った。
かといって、IPスプーフィングの発信元になるような許可はできない。

なぜ、インターフェイスとアドレスが一致しないのだろう。
そう疑問に思う一方で、上のloのような挙動は当然ではないのか？とも思う。
何にせよ、基本が理解できていないんでしょうな。
413 名前：今年のまとめ、その3/3 mailto:sage [2010/12/20(月) 00:52:07 ID:j4rBj8iP]: その2/3にも出てきたicmpのtype3だが、そのステートフル性についても分かっていない。
icmpのtype3の受信で、INVALIDと判定されてしまうものがあるのだ。
（外部からのパケットのみ。その2/3に書いた、loがらみのものは全てRELATED。）

中継してくれたルーターからの返答が、ごく一部とはいえ、どうしてINVALIDとなるのだろう。
こちらにも原因があると思うのだが、分からない。
とりあえず今は、icmp（3・4・11・12番）はステートフル性を用いずに運用し、
他のもの、例えば、いきなりの0番はINVALIDで弾いている。

…と、発生頻度が低いので後回しにしたものの中から3つばかり。

おわりに
・週末たまにちょこっと弄る程度じゃ、1年かけてもこんな程度しか勉強できんかった。
　Linux自体初めてだし、しゃーないか。弄るのは楽しいからいいけど。
・type8に対するtype0がRELATEDでなくESTABLISHEDなのに気づいたときは、「へー」と思った。
　そりゃそうですよね。なんでRELATEDだと思ったんだろう。
414 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 01:07:28 ID:06Ck40yW]: iptableかぁ…自分もよくわかってない（汗
>>400で百度のIPを弾いたんだけど、logwatch見てたらアイツらさらに別のIPから来てやがった。
ググる＆whoisで以下のIPが百度のものと判明。

119.63.192.0/24
119.63.193.0/24
119.63.194.0/24
119.63.195.0/24
119.63.196.0/24
119.63.197.0/24
119.63.198.0/24
119.63.199.0/24

早速ufwでdeny
sudo ufw deny from 119.63.192.0/24
※行数が多いので以下略

その後logwatchを見たところ…

Attempts to use known hacks by 3 hosts were logged 6 time(s) from:
150.70.75.166: 4 Time(s)
119.63.198.123: 1 Time(s)
119.63.198.89: 1 Time(s)
A total of 3 sites probed the server
119.63.198.123
119.63.198.89
150.70.75.166

あれ？deny出来てなくね？
※なお、150.70.75.166は日本のトレンドマイクロのスパイダーです。
　logwatchに自動的にhack扱いされる凄いスパイダーだよ。
415 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 01:15:43 ID:06Ck40yW]: うちはiptableじゃなくてufw使ってる。
結局中身は一緒っつーかufwはiptableのラッパーらしい。
現在かけているufwは↓
----
sudo ufw default deny incoming
sudo ufw allow from ※自宅IP to any port ※ssh
sudo ufw allow Apache
# baidu
sudo ufw deny from 119.63.192.0/24
sudo ufw deny from 119.63.193.0/24
sudo ufw deny from 119.63.194.0/24
sudo ufw deny from 119.63.195.0/24
sudo ufw deny from 119.63.196.0/24
sudo ufw deny from 119.63.197.0/24
sudo ufw deny from 119.63.198.0/24
sudo ufw deny from 119.63.199.0/24
----

どっかのサイトで「ufwとiptableはかける順序が違う部分があるから注意」みたいなのを読んだんだが、どこだったか失念。
英語読めんとmanが読めないので涙目。
頑張ってufwの情報探すか、それとも.htaccessで逃げるか…はぁ
416 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 01:33:26 ID:06Ck40yW]: ググり直したらufwの順序に関する情報見つかった＞＜
gihyo.jp/admin/serial/01/ubuntu-recipe/0077?skip

↑の情報を元にufwの設定を書き直し
----
sudo ufw default deny incoming
sudo ufw allow from ※自宅IP to any port ※ssh

## apache
# baidu deny
sudo ufw deny from 119.63.192.0/24
sudo ufw deny from 119.63.193.0/24
sudo ufw deny from 119.63.194.0/24
sudo ufw deny from 119.63.195.0/24
sudo ufw deny from 119.63.196.0/24
sudo ufw deny from 119.63.197.0/24
sudo ufw deny from 119.63.198.0/24
sudo ufw deny from 119.63.199.0/24

# apache allow
sudo ufw allow Apache
----

これで上手くいってくれ～＞＜
417 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2010/12/31(金) 03:00:11 ID:T8Q0RGRv]: >>398
そういうのはiptableでやるもんじゃないのか？
baidu.jpではじく書式もあったような記憶あるけど
host.denyは基本全部拒否だろ多分
必要なものだけ開ける
侵入されたりトラブルが起きたときの障害切り分けの負担を減らす

>>409
www.atmarkit.co.jp/flinux/rensai/security05/security05a.html

>>411
答え返って来た？
418 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2010/12/31(金) 03:04:17 ID:T8Q0RGRv]: >>412
icmpは必要か？
普段はコメントアウトして
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $WAN_IP -m state --state RELATED -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $LAN_IP -d $LAN_IP -m state --state RELATED -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $CLIENT_IP -m state --state RELATED -j ACCEPT

必要な時だけsshから繋いで#消して
iptables reloadしてから icmp有効にするとかはダメなのか？

＞なぜ、インターフェイスとアドレスが一致しないのだろう。
centosでもよく言われるが　NetworkManagerでインターネットに繋いでるんじゃないのか？
NetworkManagerを無効化
netlog.jpn.org/r271-635/2009/06/ubuntu_81networkmanager.html
記事が古いからあとは自分で確認して
CentOS　だと
service NetworkManager stop
service network start

vi /etc/sysconfig/network-scripts/ifcfg-eth0で
IPADDR=192.168.0.X
HWADDR=xx:xx:xx:xx:xx:xx # xx:xx:xx:xx:xx:xxにはNICのMACアドレスを設定

でIPアドレスとNICを固定させる　たしかこれで固定できた
うぶんちゅも似たような設定で出来たと思う

https://wiki.ubuntulinux.jp/UbuntuTips/DedicatedServer/OverSSHbyDebootstrap
419 名前：login:Penguin mailto:sage [2010/12/31(金) 17:52:04 ID:3dAmzO86]: >>418 レスありがとうございます。
> icmpは必要か？
いえ、icmpが必要かどうかではなく、"iptables -A OUTPUT -o lo -j ACCEPT"の時と同じにするためには、
以下のようなものが必要になる、という事を述べただけです（汗。

> centosでもよく言われるが　NetworkManagerでインターネットに繋いでるんじゃないのか？
いいえ、使っていません。
eth0とeth1が入れ替わるような事態も経験ありません。

>>412で言いたかったのは、「"-o lo"なのに"-s 127.0.0.1"ではない」、
「"OUT=eth0"なのに"SRC=eth0のアドレス"ではない」ことがあるが、何故だろう？ということです。
すいません、書きようが悪くて。

「Linuxをさわり始めた頃は、インターフェイスとアドレスは必ず一致するものと思い込んでいた。」
「なぜ、インターフェイスとアドレスが一致しないのだろう。」
これらの表現が間違ってますねorz。はしょりすぎです。

「『"SRC="に記されるアドレス』は、『"OUT="に記されるインターフェイスのアドレス』と必ず一致するものと思い込んでいた。」
「なぜ、"SRC="に記されるアドレスが、"OUT="に記されるインターフェイスのものと一致しないのだろう。」
と、それぞれ書くべきでした。
eth1のアドレスは変化せず、常に固定です。
eth0のアドレスはdhcpクライアントによって、ネットワーク再起動時に再取得されるので、固定ではありません。
（eth1のアドレスが振られるようなこともありません。）

ただ、発生頻度でも触れましたが、かなり特殊な状況なのだろう？と思っています。
とくに後者は「ESTABLISHEDで、ネットワークの再起動時に発生する。」と書きましたが、
言い換えると、ssh接続中にネットワークを再起動させない限り発生しません。

eth1とクライアントPCとのssh接続は、ネットワークの再起動後も継続されます。
（ネットワークを再起動させているので、実際には一旦切れているのでしょうが。）
420 名前：419 mailto:sage [2010/12/31(金) 18:16:40 ID:3dAmzO86]: > また、PCルーターのeth1（LAN側）にクライアントがsshで接続中に、次のようなパケットが発生することがある。
> iptables風に書くと、OUTPUT -o $WAN_IF -s $LAN_IP -d $SSH_CLIENT_IP --sport 22
> "OUT=eth0"だが、"SRC=eth1のアドレス"になっている。ESTABLISHEDで、ネットワークの再起動時に発生する。
これなんですが、
ssh接続中にネットワークを再起動させてますから、一旦接続は切れているでしょう。
そこで、sshサーバーが一度見失ったクライアントをあちこち捜している。
だから、"-s $LAN_IP -d $SSH_CLIENT_IP --sport 22"なパケットを、全てのethから飛ばしているのでは？

…などと妄想しています。もちろん、"OUT=eth0"はDROPしています。

「"SRC="に記されるアドレスが、"OUT="に記されるインターフェイスのものと一致しない」例をもう一つ。
最近見つけました。試しに実験したら、思い通りでした。

[IPTABLES BAD_IP] : IN= OUT=eth1 SRC=eth0のアドレス DST=クライアントPCのアドレス LEN=60 TOS=0x00 PREC=0x00
TTL=64 ID=3159 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=3840

見ての通り、pingの返答です。ESTABLISHEDなパケットですが、
一致しないOUTPUTはBAD_IPチェインで弾いているので、このログが残ります。
eth1側にぶら下がっているクライアントPCが、eth0に対してpingを打ったときのものです。

eth0がクライアントPCに返事をするためには、eth1を通るしかありませんから、
これはこれで当然なのだろうと考えてます。

長文失礼しました。
421 名前：login:Penguin mailto:sage [2010/12/31(金) 19:04:56 ID:3dAmzO86]: すいません、もう一つありました。

>>417
そこのリンク先は私が参考にしたサイトの一つです。
あらためて「通すべきではないパケット」であることの再確認は出来ます。

ですが、読み直しても
PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
分かりませんでしたorz
もちろん、不正アクセスなど考えていません。
422 名前：ヽ(´▽｀)ﾉ mailto:sage [2010/12/31(金) 19:21:54 ID:4gYdm2tF]: よいお年を
423 名前：デムパゆんゆん＠冬眠前線炎上中 !omikuji !dama mailto:sage [2011/01/02(日) 01:13:37 ID:5537oach]: >>421
＞PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
＞分かりませんでしたorz

ぐぐってたらここがヒットした
www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html
原因は　認識しておかなくてはならないのは、～　から書いてる

はしょって書いているというより
数行の中に疑問がいくつもあるからまづは文の解読から笑

>>412は>>409とは別の所に原因があると思う
icmpがマッチしなくなったのは
www.shitomi.jp/ubuntu1004/iptables.html
www.nina.jp/server/redhat/iptables/iptables.html
www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html
arisonsvr.org/web/maincontents/serverset/iptables/iptable.html

ネットワークの再起動したとき前回の設定が残ってるんじゃないか
スクリプトなり走らせて
最初に iptables -F でポリシを初期化してみる

>>413
icmpが弾かれるのもまた別の原因なんかな
www.atmarkit.co.jp/flinux/rensai/security05/security05b.html
www.forwhom.jp/mtaiptables.html
linux.kororo.jp/cont/security/iptables.php

icmpあんまり弾くばかりもだめなんだな　知らなかった
424 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 01:31:01 ID:5537oach]: ＞ネットワークの再起動したとき前回の設定が残ってるんじゃないか
もう少し書けば
前回LAN側eth1がネットワーク再起動したとき
設定が残っててeth1を使用済と判断してeth0をLANに割り当てたり
ネットワークのスクリプトがeth1をLANかWANかまで判別してないんだろ　多分

>>413は神経質にならなくてもいいんじゃないか？
www.atmarkit.co.jp/fnetwork/netcom/netcom01/netcom01.html
icmp type 3はビーコン見たいなもので
ルータAからパケット受けたルータBが送信元にエラーを送るみたいだ
送信元パケットがルータAからルータBなのか　発信元のPCなのかいまいちよくわからんけど
気になるならtype 3で捨てられたパケットの中身を調べるんだ笑

iptableの挙動が変わるのはTOMOYO Linux　学習モードで使えばどこで変わってるかわかりそうだな
ふむ
新しい使い道を発見した。
425 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 01:37:18 ID:5537oach]: >>421
＞PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html

リンク先の　この仕様が存在するのは、場合によっては、～　から読めばいいんでねか
一時的に必要な場合があるからそういう仕様になっているのでござる
ということらしい
426 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 01:39:08 ID:5537oach]: おまけ　うぶんちゅの簡単な設定
tobysoft.net/wiki/index.php?Ubuntu%2Fiptables%28firewall%29
427 名前：login:Penguin mailto:sage [2011/01/02(日) 02:29:25 ID:Ab3/z3Kq]: >>423
> はしょって書いているというより
だから日記スレにいるわけでしてｗ
まるで何も分かってない人間が書くとどうなるか、少しは自覚があります。
くだ質などへの質問は、もっと分かってからと考えております。

最初にお詫びしておきますが、以下の文章には条件の後出しも出てきます。
このレスのきっかけになった文章は全て、質問スレに書くつもりで書いたものではありませんので、ご容赦を。

> 原因は　認識しておかなくてはならないのは、～　から書いてる
これは「NEWステートでありながらSYNビットの立っていないパケット」の説明ですよね。
私のは「ESTABLISHEDステートでありながらSYNビットの立っているパケット」なのですが。

また、この「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式は
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
の形で実装しており、問題となった以下の式より前にあります。
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

よって、同じものとは思えませんが、等価なんでしょうか。
そうだすると、まだまだ理解が足りないようです。
428 名前：login:Penguin mailto:sage [2011/01/02(日) 02:30:09 ID:Ab3/z3Kq]: > 最初に iptables -F でポリシを初期化してみる
初期化はしております。
現在、Debian lenny を使っていまして、初期化スクリプトを
/etc/network/if-pre-up.d/ に置いています。

該当部分はこんな感じです。
# すべてのルールをクリア。
iptables -F
iptables -X
iptables -Z

for table in filter nat mangle
do
iptables -t $table -F
iptables -t $table -X
iptables -t $table -Z
done

# デフォルトルールの設定。
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
429 名前：login:Penguin mailto:sage [2011/01/02(日) 02:30:55 ID:Ab3/z3Kq]: icmpについては、ステートフル性を用いない方がいいのかなと、思うこともあります。
>>413に書いたように、実際今そうしています。
示してくださったurlも全てステートフル性を用いておりませんし。

別に神経質になってるつもりはないですよ。疑問に思っているのは確かですが。
それにぶっちゃけicmpのtype3ですし。実用上、どうということはないです。

いろいろありがとうございます。
実は、正月早々のセントスレ214の発言を見て、レスするの止めようかとも思いました。
ところで、なんでうぶんちゅ？
一言も書いていないはずですがｗ
430 名前：login:Penguin mailto:sage [2011/01/02(日) 02:41:16 ID:Ab3/z3Kq]: 返事を書いている間に追加が

>>425
それは、「SYNビットの立っていないパケット」の話なのでは？
431 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:18:28 ID:5537oach]: >>430
netfilterのバグのような気もする
「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
ソースコードの　endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道

他の環境で試してみるとか
カーネルが古いせんとすとかカーネルが新しいFedoraとか　でぶあんsqueezeとか

くだ質は質問の内容が高度なのが多いけど実質あのスレしか機能してないから
あそこに質問が集中する
マ板もム板もほとんどスルーだし

icmpは常にセッション維持する必要はほとんどないんじゃねの？
パケットが相手の存在確認するくらいだけだし

>>427
＞よって、同じものとは思えませんが、等価なんでしょうか。
NOだな
432 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:26:59 ID:5537oach]: というか
>>409
何度も読み返して気になってたんだが
www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html
よく読んで
>>409でクライアントはウィンドウズ
ウィンドウズ以外でも同じ現象が出るかテストする
マイクロソフト製品は時としてコネクションが切れNEWステートになり
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
で弾かれてるんじゃないか　とか
気になるならルールの最後に--log-tcp-options つけろとも言ってるでござる

＞「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
＞発生頻度は低く、再現性も無いが、たま～にポツリ…と発生する。
iptablesをすり抜けるため意図的に作られたパケット
パケットキャプチャで監視
どこから来てどこへ行くか
iptables入れた鯖外部に公開してるなら　狙われてるんかもな
ハカーは少しずつこういうイレギュラーなパケット流して進入経路作るし
あるいはNSAに送信されるバックドア！

>>409のDROPログは正常じゃないの？
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
eth1からeth0のSYNビットがついていないコネクション継続中のTCPパケットを許可
DROPログはSYNビットがついているから弾かれた
SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない

「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ！
433 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:29:29 ID:5537oach]: なんでうぶんちゅとか言われても環境全然書いてないんだもん　わがんね
うぶんちゅ使いが多いからなんとなく
今日はiptablesの勉強をした
434 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:35:19 ID:5537oach]: >>431
間違えた
netfilterのバグのような気もする
×「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
○「ESTABLISHEDステートでありながらSYNビットの立っているパケット」を弾く条件式
ソースコードの　endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道
435 名前：login:Penguin mailto:sage [2011/01/02(日) 06:38:29 ID:Ab3/z3Kq]: > ウィンドウズ以外でも同じ現象が出るかテストする
Windowsだからこんな現象が出るのでは？って疑念は持ってます（>>366も私です。）。
今使ってる本番用の他に、同じ設定のPCルーターとDebianのクライアントの組み合わせもありますが
そちらでは、今のところ出ていませんから。
ただ、実験用で、そんなに使用時間は長くないんです。

発生頻度が低いと書いたように、滅多に出ないので、Windowsだけに出ても今は不思議ではありません。
もう一台のWindowsマシンでも出ませんが、これも使用時間的に、今は何とも。

> >>409のDROPログは正常じゃないの？
> SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない
仰るとおりです。
だからこそ何で「ESTABLISHEDかつSYN」なパケットが出てんの？と疑問に思ったわけです。

> 「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ！
ﾏ
ｼﾞ　ﾊ ,,ﾊ
ﾃﾞ　(；ﾟ◇ﾟ)z
!?
436 名前：login:Penguin mailto:sage [2011/01/02(日) 06:40:24 ID:Ab3/z3Kq]: > icmpは常にセッション維持する必要はほとんどないんじゃねの？
> パケットが相手の存在確認するくらいだけだし
これも仰るとおり。
>>429でも書きましたが、実用上、ステートフル性なんか用いる必要はないかもしれません。

ですが、「中継してくれたルーターからの返答が、ごく一部とはいえ、どうしてINVALIDとなるのだろう。」
という疑問はあるのです。

どうしてそんな疑問を持つかというと、ログを見ながら一つずつ原因を探る。必要なものなら許可していく。
そんな勉強法をとっているからでしょう。
未解決事案に、icmpがINVALIDとして弾かれているログが、いつまでも残っているわけです。
実用上は問題なくとも。

勉強中なんで、それでいいだろうと思ってます。おまけに趣味でやってることなので。
いつかはソースが見られるようになれたらと思います。が、今は無理っす。
長々相手をしてくださり、ありがとうございました。
437 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 13:43:14 ID:5537oach]: ESTABLISHEDかつSYNなパケットを監視するために
パケットキャプチャする
どこから来てどこへ行く　みんなどこへ行った　見送られることもなく
クライアント　ウィンドウズ2台　linux1台
パケット監視用PC1台　ルータ
12時間連続稼働なら大丈夫だろ
朝起きてPCに電源入れて帰ってきて飯食って風呂入ったら23時くらいだろ

icmp がINVALIDで弾かれる　は別の所が原因なんかな

くだ質は　iptablesで　ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか

>>413
＞icmpのtype3の受信で、INVALIDと判定されてしまうものがあるのだ。
弾いたログと前後を見ないと何とも言えない
ルータは基本中継するだけ丸投げがデフォ
何があってもボキュは知らない　それっ　ボキュに投げられても困る　それっ

早めにくだ質で聞くんだな
pfではどうやって弾いてるのか気になったでござる
その昔自作ルータ運用してたら侵入されたしなwwwwwwwwwwwwwwwwwwwwww
セキュリティ気にし出すと頭ハゲるね　いづれOpenBSDにたどり着く
438 名前：login:Penguin mailto:sage [2011/01/02(日) 16:42:49 ID:p7DyIEOy]: >>437
> くだ質は　iptablesで　ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか
申し訳ありませんが、それはないです。
弾くのは簡単です。
知りたいのは「発生原因・理由」です。発生頻度は月に1度あるかどうかですが（だから後回しにしてきた（汗）。

キャプチャについては、やってみます。
24時間つけっぱなしにしても、それだけでは出ませんが（何度も実験済み）。

> icmp がINVALIDで弾かれる　は別の所が原因なんかな
全く別の事象かと。
icmpに関しては、今回のことでもう一度見なおしましたが、「ひょっとして、これが原因？」というのはありました。
まだ全く自信はありませんが。

まぁ、ESTABLISHEDかつSYNなパケットにしても、icmpにしても、いずれ分かると気楽に考えてます。
くだ質もそのうち利用させてもらうでしょう。
439 名前：438 mailto:sage [2011/01/02(日) 16:58:11 ID:p7DyIEOy]: 438は失礼な物言いになってますね。すいません。
なら、iptablesで　ESTABLISHEDかつSYNなパケットが発生するのですが何故でしょう
と、したらってことですな。

もう少し好きにやらせてくださいな♪
440 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 17:46:07 ID:5537oach]: 月に一度あるかないかなのか
アクセスする日が10日から15日前後に限定され発信元はウィンドウズ
それはあっぷでと鯖に要求しているにちがいない
好きにやるといいよ　もう戻れないし底なし沼に片足突っ込んでいる　ﾌﾌﾌ
侵入や追跡に特化したのがいくつかあるけど
BackTrack Part2
hibari.2ch.net/test/read.cgi/linux/1232971901/l50

fedora security
spins.fedoraproject.org/security/

TOMOYO　Linuxも使うといい
tomoyo.sourceforge.jp
底なし沼へいらっしゃい。
441 名前：login:Penguin mailto:sage [2011/01/02(日) 18:09:34 ID:p7DyIEOy]: BackTrackは何度か使った事があります
wepキー簡単に解析できちゃいますね
TOMOYOは名前の由来でどん引きして以来、使うの止めました
由来と中身は無関係と分かっちゃいるんですがね～
442 名前：login:Penguin mailto:sage [2011/01/04(火) 20:11:03 ID:NgtfqTX0]: >>412のloの件（3番目の"-o lo -s $WAN_IP -d $CLIENT_IP"）について
後回しにしていたログをじっくり見てみた。どうやらtorrentが一因。
再現も出来た。そりゃあ、滅多に出んわ。普段使ってないから。

[IPTABLES LO_ICMP] : IN= OUT=lo SRC=現在のIPアドレス DST=クライアントPC LEN=76 TOS=0x00
PREC=0xC0 TTL=64 ID=30102 PROTO=ICMP TYPE=3 CODE=1
[SRC=クライアントPC DST=以前のIPアドレス LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=10727 DF
PROTO=TCP SPT=1176 DPT=61256 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) ]

どういう場合に出るかというと、以下の通り。
トレントで何かを共有→いったん中断→トレントを再開（ただし、IPアドレスが変わっちゃってた）

トレントのクライアント（トラッカーも）には前のアドレス情報が残っている。
そのため、前に使っていたIPアドレスに繋ぎに行っちゃう。
[]内の"DST="の部分がどういうIPアドレスであるのか。それに早く気付けば良かった。
（以前（直前とは限らない）に自分が取得していたアドレスなんて、覚えてない。）

私が解放したアドレスを、トレント再開時までに誰かが取得し、たまたま同じファイルを共有していたら、
また違った結果になるんだろうな。
443 名前：login:Penguin mailto:sage [2011/01/04(火) 20:12:08 ID:NgtfqTX0]: 他には、プロバイダのDNSサーバーへの接続に失敗したときに出てる（これも普段まずない）。
まとめると、なんのことはない、この2種類しかなかった。
いずれも同一プロバイダ内という、近い相手に接続できなかった場合ですな。

なぜ「"OUT=lo"で"SRC=現在のIPアドレス"」なのかについては不明のままだが、
また何かのきっかけで分かることもあるでしょう。

icmpのtype3が一部INVALIDとなるのも、torrentが関係ありそうな感じ。
こちらは、まだまだはっきりしたことは言えないけど。

追記
合法なファイルの共有なので誤解しないでくださいね。
ここを見ているよう方々なら、そんな心配はないとは思いますが。

おまけ
Windowsでpingを打つと、デフォルトだと4回type8を飛ばすが、2回目以降も全てNEWステート。
tracertコマンドの場合、ESTABLISHEDステートでもtype8を飛ばす。
どうでもいいことだけど、せっかく気付いたので日記にメモ。
444 名前：デムパゆんゆん＠冬眠する mailto:sage [2011/01/04(火) 22:25:17 ID:we42EjNx]: 一つは解決したんだな
パソコン数台ならDHCPでばらまかないで固定の方が楽だ
発信元あのPCからかと見当がつく
安心自己解決はソニー損保
不安な年金アリコでごじゅうはちじゅう喜んで
445 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/01/06(木) 22:01:10 ID:E+i8GAI0]: 皆様あけましておめでとうございます＞＜
今年もよろしこですm(_ _)m

>>417
やっぱhost.denyは全拒否で、個別の拒否にiptablesだよね…
ググると違う使い方してる人がﾁﾗﾎﾗ存在していたから、
自分の考えが特殊なのかと不安だったよ。ありがとう＞＜

aa-logprofの件、答え帰ってこなかったですorz
てか日本でAppArmor利用者一体どれだけいるんだｗ
ググっても日本語情報なかなか出てこないｗ
TOMOYOの方が日本語情報ありまくるとかある意味泣けるなぁ
446 名前：デムパゆんゆん＠速＋の聖戦士様 mailto:sage [2011/01/07(金) 01:05:19 ID:BK7f5D/I]: >>445
あっちにもこっちにも設定書いてるとあとでわからなくなったり
障害が起きたとき面倒だし
とりあえずIPはiptablesで弾く　host.denyとかで弾くときは紙にメモしておくとか
王道進むのが近道　変態道進むとハマったとき抜け出すのがしんどい

なんでtomoyoじゃなくてapparmer使おうと思ったんだ？
日本語ならtomoyoで使う方が楽だろ　tomoyoもapparmerもやること一緒だし
apparmerはメンテナが全員ノベルから解雇されたからな
一時停滞してた
何人かはカノニカルに雇われてプロジェクト再開した
採用してたopensuse自体日本では人気ないし　資料もほとんどない

apparmerさわりたいなら日本語で充実してるのは
毎日コミュニケーションズの　openSUSE 10.3 ビギナーズバイブル
ISBN-10: 4839926069

古すぎるけどこれくらいしかなかったと思う
他のopensuseの入門書でも多分apparmerはふれてると思う
本屋で確認して
447 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/01/09(日) 01:19:27 ID:vPsFkiBT]: >>446
AppArmorはUbuntuの場合、カーネル入れ替えなくてもデフォで利用可能だから利用しました（＞＜；
あとAppArmorを入れた時点でTOMOYOの現状をよく知らなかったから（汗

さてさて、うちのサーバにRuby+ruby on railsを入れたい。
入れたいがそもそも動かしたいRuby製のプログラムがない。
作らなきゃな…
448 名前：login:Penguin mailto:sage [2011/01/14(金) 22:54:17 ID:7FiWvwm7]: いえい
449 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/01/15(土) 01:04:14 ID:wvcWLGHx]: >>448
ひゃっはー＞＜

ただいま業務の関係でRailsを勉強中。
お金貰いながら勉強出来るって最高ですYO!!＞＜
今度「俺のわんこ画像が火を噴くぜ！」みたいなサイトを作ってみたいお。

しかしRuby/Rails周りはバージョンによるトラブルが随分多いみたいだね。
十分気をつけないと涙目になっちゃうお＾＾；
450 名前：login:Penguin [2011/01/24(月) 10:48:38 ID:bjmxEWeE]: 凄い長寿スレだ。驚いた。

どさくさまぎれに宣伝を。

【心機】　rosetta@home　【一転】
kamome.2ch.net/test/read.cgi/volunteer/1295817634/
BOINCやFolding@homeのクライアントを実行(run)する人は多いですが、
意外と見落とされがちなのが、Rosetta@homeです。

Folding@homeはGPU版を使えば、グングンとスコアがあがりますが、
RosettaはCPU版のみでコツコツ計算することになります。
そこでせっかくBOINCをインストールしている人はロゼッタにも参加していただけませんでしょうか？

確かにSETIやMilkywayは夢があって面白いと思います。
しかし私は人々の日々の健康と病気治癒の医薬研究にCPU時間と電気を使いたいと思います。
健康は万人に関係するものです。どうか皆さんのお力を貸してください。

Rsetta@homeの実行法は実に簡単で、BOINCのクライアントをインストールしている人なら、
数クリックで参加できます。
そしてGPU版のFolding@homeと、CPUでのRosetta@homeの計算を同時に行うことができるのです。
これは大変都合の良いことだと思います。

なお実行するときにはTeam 2chへの参加も忘れないでくださいね！
451 名前：カミナリ桃＠代理レス [2011/02/03(木) 08:07:02 ID:NWv1k8lC]: rubyをローカルのテスト環境にインスコ中なんだが…
さすがにaptに全て投げるわけにはいかない様子。

現在の作業をレッツﾒﾓﾒﾓ
・Ubuntu 10.04にて作業、rvmでrubyを複数バージョンを入れちゃうYO!
・ひとまずruby自体をaptでｲﾝｽｺ
# sudo aptitude install ruby ri rdoc

・gemは手動でｲﾝｽｺ
# wget rubyforge.org/frs/download.php/74140/rubygems-1.5.0.tgz
# tar zxvf rubygems-1.5.0.tgz
# cd rubygems-1.5.0
# sudo ruby ./setup.rb
# sudo ln -s /usr/bin/gem1.8 /usr/bin/gem

・rvmをgitでゲットしてインスコ
# sudo aptitude install git-core curl libreadline-dev
# mkdir -p ~/.rvm/src
# cd ~/.rvm/src
# bash < <( curl rvm.beginrescueend.com/releases/rvm-install-head )

・パスを通す
# vim ~/.bashrc #末尾に追加
[[ -s "$HOME/.rvm/scripts/rvm" ]] && . "$HOME/.rvm/scripts/rvm"

・rvmで必要なソフトウェアを入れる
# rvm package install zlib
# rvm package install readline
# rvm package install openssl
452 名前：カミナリ桃＠代理レス [2011/02/03(木) 08:07:43 ID:NWv1k8lC]: ・rvmで1.9.2の最新を入れる
# rvm install 1.9.2 -C --with-zlib-dir=$HOME/.rvm/usr,--with-readline-dir=$HOME/.rvm/usr, --with-openssl-dir=$HOME/.rvm/usr

・1.9.2を使ってみる
# rvm use 1.9.2

・システムのrubyに戻す
# rvm reset
453 名前：login:Penguin mailto:sage [2011/02/03(木) 22:59:53 ID:5BqFtC6U]: rubyのパッケージ管理はカオス
454 名前：カミナリ桃＠代行 mailto:sage [2011/02/06(日) 00:40:07 ID:ZC7zQ+r5]: >>453
何よりgem先生がドSというか鬼畜すぎる
Ubuntuでgemが古いからsudo gem update --system したら
gemのディレクトリが変わるとかどういう仕様だよｗｗｗ
鳥の方で頑張って新しいgemを用意してくれYO!
sudo aptitude safe-upgradeさせてくれよ＞＜
そんなわけで鳥のgemは最初から入れずに公式のgem先生を入れてます。
でも公式のgem先生アンインストールしたいときとかどうするんだ…

前回の続き。
rvm入れたけどrvmに頼るとruby周りの管理が煩雑になりそうなので、
結局rvm resetしてaptitudeで普通にインスコ出来る1.8.7を使うことにしました。
てかrvm公式サイトに「これdevelopment用だから！」的なドキュメントを見たのが主な原因だけど…（－－；

さて、本来の目的であるrails環境を整えることを考える。
rvmやらgemやらいじってたら時間がかかって涙目。

・構成：Apache + Passenger(mod_rails)
　・Mongrelさんを入れたくないです…
　　昔JavaでTomcatの面倒を見てた経験があるんだけど、
　　アプリケーションサーバは色々と手間がかかるので正直鯖に入れたくない…
　・てか普通にPassengerの方が軽くね？
　　アレなバグが無いならこれでよくね？
455 名前：カミナリ桃＠代行 mailto:sage [2011/02/06(日) 00:40:26 ID:ZC7zQ+r5]: ・手元のUbuntu@VMWareで試してみた
# sudo aptitude install ruby1.8-dev
# sudo gem install passenger

# passenger-install-apache2-module
passenger-install-apache2-module を実行した際にｲﾝｽｺに必須のツールが無い場合、
必要なツールのapt-getでのパッケージ名まで出してくれる。
そいつらをsudo aptitude install してやる
※CentOSだとyumでのパッケージ名が出るらしい

インスコ後、「Apacheにこんな感じで設定してね★」ってメッセージが出るのでメモ。
自分は/etc/apache2の既存の設定を参考に以下のようにしてみた。
# sudo vim /etc/apache2/mods-available/passenger.load
LoadModule passenger_module /usr/lib/ruby/gems/1.8/gems/passenger-3.0.2/ext/apache2/mod_passenger.so

# sudo vim /etc/apache2/mods-available/passenger.conf
<IfModule mod_passenger.c>
PassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-3.0.2
PassengerRuby /usr/bin/ruby1.8
</IfModule>

# sudo a2enmod passenger
※この後、バーチャルホストの設定でrailsのpublicディレクトリを指定すればおｋ
456 名前：カミナリ桃＠代行 mailto:sage [2011/02/06(日) 00:40:42 ID:ZC7zQ+r5]: 通常はこれでApacheを再起動すればおｋ
自分はAppArmorをぶっ込んでて影響が出たので、一旦停止させた
# cd /etc/apparmor.d/
# sudo aa-complain usr.lib.apache2.mpm-prefork.apache2
# sudo service apparmor restart
# sudo service apache restart

なお、passengerは標準ではproductionモードになっている
なのでproduction用のDB作成＆マイグレーションを忘れないこと

※後でやることリスト
・rails用のapparmorの設定作り
・.htaccessでBASIC認証かけられるかどうかの確認

一時的に身内向けアプリを作成して身内のみに公開する予定なので、
basic認証＋apparmorが必須。
457 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/06(日) 15:46:05 ID:occzWThI]: うぐぐ、規制でここに直接書き込めないから●買ってしまったよ…
なんかうちのプロバイダが永久規制らしい。
モリタポとかニダーランとかﾏﾝﾄﾞｸｾ…
悔しいけど頑張って日記書き込んじゃうYO!（；ω；｀）

AppArmor+Passengerな暫定設定が出来たYO！
何気にはまりポイントがあったので大変だったよ…（－－；

今回のポイント
現象：
通常新たなWebアプリケーションをApacheに配置する場合、
/etc/apparmor.d/apache2.d 以下に設定を記述する。
ところがそこに設定を書いてもpassengerが立ち上がらない。

詳細：
上記の通常設定はサイト訪問者が訪れたタイミングでAppArmorがアクセス制限を行う。
しかし今回はapache起動時にpassengerを立ち上げられず死んでいる。

原因：
passengerはApacheのモジュールである。
つまり、passengerを入れたことにより、Apache自体のAppArmor設定を修正する必要があった。
458 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/06(日) 15:51:31 ID:occzWThI]: 対処 (暫定です。一部問題を残してるYO!)：
# sudo vim /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
capability chown,
capability dac_override,
capability dac_read_search,
capability fowner,
capability fsetid,
capability sys_ptrace,
capability sys_resource,
※上記の内容を既存のcapability設定の下に追加しました

# sudo vim /etc/apparmor.d/apache2.d/rails_app
^rails {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/ruby>
#include <abstractions/user-tmp>

/home/www/test_rails/hello/ r,
/home/www/test_rails/hello/* r,
/home/www/test_rails/hello/** r,
/home/www/test_rails/hello/log/* w,
/home/www/test_rails/hello/tmp/* rw,
/home/www/test_rails/hello/tmp/** rw,
/var/log/apache2/rails_access.log w,
/var/log/apache2/rails_error.log w,

/var/log/apache2/* w,
# ↑最後の行、動作確認のために/var/log/apache2以下の全ファイルに書き込みを許可してます。
# 本当は必要なファイルにのみ書き込み権限を与えるべきです。
}
459 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/06(日) 15:58:50 ID:occzWThI]: # sudo vim /etc/apache2/sites-enabled/rails_test
<VirtualHost *:80>
ServerAdmin webmaster@localhost

ServerName 192.168.11.20
DocumentRoot /home/www/test_rails/hello/public
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /home/www/test_rails/hello>
AAHatName rails
</Directory>
<Directory /home/www/test_rails/hello/public>
Options -MultiViews
AllowOverride All
</Directory>

ErrorLog /var/log/apache2/rails_error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog /var/log/apache2/rails_access.log combined
</VirtualHost>
#RailsEnv development

※あくまでローカル環境にpassenger + AppArmorを有効にしただけの設定です。
※参考にする場合は適宜自分の環境にあうよう書き換えて下さい。
460 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/06(日) 16:19:08 ID:occzWThI]: >>458 >>459
※Janeで↑のレスをポップアップ表示したらインデントが表示されて分かりやすいはず

「そもそもcapabilityって何よ」って方は以下のページが参考になります。
www.atmarkit.co.jp/fsecurity/rensai/lids03/lids01.html

疑問・課題：
・capabilityについて
Apacheのエラーログ、及びaa-complain と aa-logprofを使ってで必要なcapabilityを導きだしたワケですが、
上記記載のcapabilityが本当に全てapache自体のAppArmorの設定ファイルに必要かどうかは疑問。
もしかしたら一部のcapabilityはWebアプリ用のAppArmor設定に記載すれば良いのかもしれない。

・Railsアプリ用のAppArmor設定について
基本はプロジェクトディレクトリの読み込みを全部許可、
railsで書き込みが行われるtmpとlogディレクトリは書き込みも許可にしてみました。
ただ、自分はRailsの知識があんまり持ってないので、過不足があるかもしれません。

補足：
・/home/www/test_railsディレクトリ内に、テストとして「hello」という名称のRailsアプリを作成/設置しました。
・Passengerはデフォルトの挙動でProductionとして動きます。
　DBはProduction用のモノを作成し、マイグレーションしておきましょう。
・>>459の最後に「#RailsEnv development」とコメントアウトしてますが、
　このコメントを解除するとdevelopmentモードで動きます。
461 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/08(火) 00:30:28 ID:D8ya1mNa]: railsアプリのデプロイを考える

・Git + Capistrano で幸せになるらしい
　rubyonrails.org/deploy

・Gitのメリットは何ぞや？ってことで今更ながらにWikipediaで調べる俺Subversion派

・公開鯖ではGitをサーバとして動かしたくない。
　オイラのローカルマシン(Windows7)をサーバにして、リモートの公開鯖で自宅を見るようにしたい。
　※自宅が固定IPだから出来る荒技（？）です。

・Windows環境でGitサーバー環境を構築しようとすると死ねるらしいよ（－－；
　tobysoft.net/wiki/index.php?git%2Fwindows%A4%C7git%A4%F2%BB%C8%A4%A6%CA%FD%CB%A1

・VMWare上のUbuntuにGit入れてGit鯖として動かせばよくね？

・今日は眠い寝る　←　今ココ
462 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/10(木) 00:12:58 ID:f0jCGso1]: gitについての認識がかなり間違えていた様子。

・SSH使えば変なプロトコルあけなくておｋ
・というか特に設定しなければSVNみたくサーバとして起動してるわけじゃない？
・gitって↓みたいな流れなのか？
　・gitユーザ作る
　・SSH公開鍵作ってログイン出来るようにする
　・エンドユーザー側のgitコマンドがサーバ上のgitユーザのディレクトリにログイン
　・普通にファイルとしておいてる（？）リポジトリへコミットしたりクローンしたり…

日本語周りとWindowsそのものが鬼門くさいがあたって砕けてみるべし
463 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/11(金) 22:36:40 ID:8TVYQXiF]: gemのバージョンアップについてメモ
gemは手動でインスコしたため、aptitudeに頼らず自分でアップデートしていく必要がある。
今回、gemが1.5.2にアップデートしていたため、gem update --systemしたが「そんなコマンドねぇよｺﾞﾙｧ!!」って言われたorz
gem help したら普通にupdateについて載ってるんですけど…
この状況について思い当たる節があったので、以下実行

# sudo gem install rubygems-update
# sudo update_rubygems

これでgem -vしたらちゃんと1.5.2って返してくれたYO!
この状況で再度 sudo gem update --systemしたら
「現在のバージョンが最新だよ★」的なことを言われた。

以下、自分用メモ
・gem update --systemで問題ない時はこれをやる
・それが上手くいかない時はrubygems-updateを入れて対処する
・なんかおかしいと思ったらgem本家を覗いてみる
　rubygems.org/pages/download
464 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/12(土) 13:32:16 ID:KNpu3Vez]: gitをサーバ側にインストールする

・gitは分散リポジトリであるために便利でもあり、また不便でもある
　特に運用面については規模や既存の環境を考慮する必要有り。
・自分の運用を説明する前に、まず「通常であればこうするだろう」という意味を含めて
　Gitosisを紹介しておく
　progit.org/book/ja/ch4-7.html
・中央のリポジトリを運用する場合、間違いなくGitosisは有用。
　通常はこちらで構築した方が間違いなく楽

・さて、自分はGitosisを使わない。ssh+gitの構成のみでやっていく。
　理由は以下の通り。
　・コミットもプルもリポジトリの閲覧も自分しか行わない。
　　完全にクローズなリポジトリを作成したい。
　・自分一人であればローカル環境のみにリポジトリを作れば良いが、
　　Railsアプリのデプロイのためにgitを利用したい
　・自分だけで良いのであれば、余計なモノはサーバに入れず、セキュリティを優先させたい

　※注意：Gitosisのセキュリティが甘いワケではありません。
　　サーバ管理者として「不要なものは入れない」の原則を貫いているだけです。
465 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/12(土) 13:36:36 ID:KNpu3Vez]: ★以下、導入手順
sudo aptitude install git-core

# git用ユーザの作成
sudo adduser --system --shell /usr/bin/git-shell --gecos 'git version control' --group --disabled-password --home /home/git git

# リポジトリの作成
sudo -u git mkdir /home/git/project.git
cd /home/git/project.git
sudo -u git git --bare init

# sshの設定
sudo -u git mkdir /home/git/.ssh
sudo -u git chmod 700 /home/git/.ssh
sudo -u git touch /home/git/.ssh/authorized_keys
sudo -u git chmod 600 /home/git/.ssh/authorized_keys
### ssh-keygenなどで鍵を作成し、公開鍵をauthorized_keysに書き込んで下さい

★補足
・当然ですがsshは鍵を使ってのログインのみ許容、パスワードのみのログインは拒否してます。
・adduserは鳥/unixの種類によって大幅にコマンドラインオプションが違います。上記の内容はUbuntuのモノです。
・git-shellはgitコマンドしか実行出来ない特別なシェルです。
　このシェルを設定しているユーザーにteratermやsuとかでログインしようとすると「馬鹿なの？死ぬの？」って言われます。
　クライアント側のgitコマンドでのログインのみ許容する素敵シェルです。
　※gitosisだと通常の/bin/shが必要。git-shellを使うためにgitosisを入れないようにしました。
・上記の設定例では「git」ってユーザを作成してますが、自分は別のユーザーを作成してます。

Gitのサーバ構築については以下のサイトが滅茶苦茶参考になるので目を通すこと
※特に第4章がサーバ構築についての章なので、ここだけは必ず目を通すべし
Pro Git
progit.org/book/ja/
466 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/12(土) 14:14:01 ID:KNpu3Vez]: ★gitクライアント側に関するエトセトラ
ここではWindows環境でのgitについてメモ

・ファイル名に日本語使うとあらゆる意味で死ねる
・コメントはUTF-8で投げること
・WindowsでGitを使う場合、以下の3つが候補になるはず
　・msysGit
　・TortoiseGit
　・EGit(Eclipseプラグイン)
・msysGitの場合、ユーザディレクトリに.sshを作成し、以下のように配置していく
　.ssh/id_rasa #←秘密鍵
　.ssh/config #←サーバ毎の設定

・.ssh/configには以下のような感じで設定する
Host サーバ名
User Gitのユーザ名(上記の例だとgit)
Host サーバ名
Port sshのポート

　・Userの行以下は空白2文字あり。
　　Jane等で→のポインタにマウスをあわせれば確認可能(>>466)
　・秘密鍵を別名にしたい場合などはsshのconfigについてググるべし
467 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/12(土) 22:20:58 ID:KNpu3Vez]: 今Pro Gitのブランチ関連の章を見てるんだが、Subversion脳には理解が難しいお…

Pro Git
progit.org/book/ja/
468 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/13(日) 17:01:20 ID:jwfpOdmn]: うちのサーバからのメールが来るようになった―!!（＞＜

とりあえず走り書き
・exim4でスマートホスト
・gmailで独自ドメイン(Google Apps)
・/etc/aliasesでローカルユーザー宛のメールを独自ドメインメールアドレスへ飛ばす
469 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/14(月) 22:23:47 ID:CeEhppQu]: うぐぐ…
システムからのroot宛のメールが「root@独自ドメイン」になってて
メールでりばりーエラーとなっていた件。

設定修正しなくては…
470 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/14(月) 23:27:38 ID:CeEhppQu]: そいや>>411で報告していたaa-logprofのエラーが今は出ない様子。
カーネルがアップデートするたびにAppArmor関連のモジュールも更新されてるし、
その中で解決したのかな？
471 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/25(金) 00:08:48.08 ID:I6G8jR31]: うちのサーバからのcronメールの問題、
/etc/mailname を独自ドメインからlocalhostに変えて解決。
やっと作業の時間が取れたよ…
472 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/28(月) 00:47:33.16 ID:/JY34Mt2]: Passengerを3.0.2から3.0.3へアップデートしたのでメモ

# sudo gem install passenger
# passenger-install-apache2-module

passenger-install-apache2-module を実行した際に、
「Apacheの設定を書き換えてね♪」って例示付きで指示がある。
指示に従い、Apacheの設定ファイルを書き換える。

>>455で記載している設定ファイルの「3.0.2」となっているところを
「3.0.3」に書き換えるだけでおｋ

後はApacheを再起動して終わり

参考：本家のアップデート通知
blog.phusion.nl/2011/02/24/phusion-passenger-3-0-3-released/

本家みて思ったんだけど、最後の方にUbuntuのdebパッケージでのインスコ方法が
載っているような…orz
473 名前：カミナリ桃● ◆hzkudVaLnM [2011/03/06(日) 16:01:29.94 ID:jXEya1ZX]: 毎日メールでlogwatchの報告やらtripwireからの報告が届いてうれしい今日この頃。
でも後一個、アップデートが見つかったらメールで通知するようにしたい。
Ubuntuだとログイン時に「アップデートあったYO!」って通知してくれるんだが、
これをメールで受け取れるようにはならないかなぁ？

探してみたら「アップデートが見つかったら自動的にアップグレードする」ってパッケージは見つけたけど、
アップグレードは手動で行いたい。なんとかならんものか…
474 名前：login:Penguin mailto:sage [2011/03/07(月) 16:19:31.29 ID:PULTGviq]: aptの結果をgrepで拾って結果をメールするかしないか判断するスクリプト書けばいいんじゃないすかね？
475 名前：カミナリ桃● ◆hzkudVaLnM [2011/03/11(金) 00:18:22.79 ID:6KGTaDju]: >>474
あ、そっか。そんなスクリプトを組めばいい話だよね。
最近ぬるま湯に浸りすぎて作るという発想自体思い浮かばなかったよ（－－；

今度の休みに自分で作ってみるお。
ありがと～＞＜
476 名前：カミナリ桃● ◆hzkudVaLnM [2011/03/12(土) 00:21:44.60 ID:1GBrkqET]: ぐう、日本がヤバイやばいﾔﾊﾞｲ
とりあえず知り合いは全員無事を確認できたが、
ここの板のみんなは大丈夫か…？
477 名前：login:Penguin mailto:sage [2011/03/12(土) 01:52:04.84 ID:c/A6I+Tu]: ttp://news.google.com/news/search?hl=en&q=japan+earthquake
478 名前：login:Penguin mailto:sage [2011/03/12(土) 22:16:00.86 ID:7gaOP7un]: 今現在も小さな余震が続く。
479 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/03/13(日) 01:44:22.11 ID:vZR79RKZ]: 一日中テレビ見てる。
何かしたくても九州の安全な場所にいる自分には募金しか出来ねぇ…

ネットで何か出来ないか漁ってみるも、
ツイッターは誰も彼もが焦りすぎて正確性不明な情報のRTばかり。
精神的に結構くるね。
480 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/03/23(水) 23:43:15.22 ID:niKyx287]: 個人的な日記。色々ぼかしてます。

全ての勝負は後半年の間、何をするか、どんな自分になるかにかかっている。
上手く立ち回って半年後に次の段階へ進めたら、今度は一年、三年といった戦いになる。

けれども最初の半年にうまくいかず、しかも悔いが残る立ち回りであれば…
細くて暗い、茨道を歩むことになる。

だとすれば、常に答えを出し続けなくてはいけない。
1日の答え、1週間の答え、1ヶ月の答え…
最終的に出し続けた答えがその後の道になる。
481 名前：login:Penguin mailto:sage [2011/03/28(月) 21:42:35.36 ID:uBOArrBs]: debianをsqueezeにしたら、何だか
PM: Error -22 checking image file
がログに残るようになった。

で、えいやっと（私の場合、/dev/swap_partition は /dev/sda5）
swapoff /dev/swap_partition
mkswap /dev/swap_partition
swapon /dev/swap_partition
reboot

そしたら、エラーは出なくなったが、swapが0に。
/etc/fstab のswapのUUIDを書き換えるの忘れてたorz
482 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/04/05(火) 00:23:03.97 ID:kvHa8XQX]: サーバ管理をしてくれるChefを試す。
そのためには…
・UbuntuのVMWareのイメージを新たに作成
・必要最低限の設定とインスコ
・zipで固める
483 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/04/05(火) 20:50:28.43 ID:kvHa8XQX]: 昨日はVMWareのイメージを新たに作成してzipで固めるところまで実施。
今日こそはchefを入れるぞ！

ちなみにChefってのはこいつです。
wiki.opscode.com/display/chef/Home

ようはpuppetみたく多数のサーバ管理とかを効率化するためのもの（？）らしい

最近twitterでも日記を書き始めました。
#linux_ore_diary (←ハッシュって言うんだっけ？)を追いかけてくれれば作業ログとか
一言コメントを残す予定。

最終的にこのスレッドにまとめの日記を載せるようにすればｳﾏｰな予感！
484 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/04/05(火) 22:53:03.67 ID:kvHa8XQX]: ふぅ…ようやっと素のUbuntuインスコ直後の状態からchefインスコ完了。
以下まとめ

#sshいんすこ
sudo aptitude install openssh-server

#/etc/apt/sources.list を筑波大学のサーバに変更
#書くのが面倒なので省略

#aptitudeアップデート
sudo aptitude update

#ruby環境構築
sudo aptitude install ruby ruby1.8-dev ri rdoc

#pacoインスコ
sudo aptitude install paco

#gem先生をソースからゲット＆インスコ
mkdir src
cd src
wget production.cf.rubygems.org/rubygems/rubygems-1.6.2.tgz
tar zxvf rubygems-1.6.2.tgz
cd rubygems-1.6.2
sudo paco -D ruby setup.rb
sudo gem install chef

※注意点
・やっぱりgem先生は鬼畜
gemの最新版が1.7.1だったのでDLしたんです。
そしたら「hogeなパッケージ名 has an invalid value for @cert_chain」とか言われたんです。
検索したら「1.7.1は駄目な子。1.6.2を使え」って…orz bit.ly/eE6fEH
485 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/04/05(火) 23:33:24.97 ID:kvHa8XQX]: うーん、悩みながら作業する関係で、ここに書いた日記が微妙に整合性取れなくて涙目。
あれかな？wikiを立ち上げるしかないか？
486 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/04/09(土) 22:41:49.79 ID:8wqvIVDG]: Chefインスコについて、動かすのに後一個パッケージが必要だったのでメモ

sudo aptitude install libopenssl-ruby

chef、簡単に動かしてみただけだけど、便利っす。
何よりRubyで動かせるのはありがたい（＞＜
今回はとりあえずchefでvimとscreenをインストールしてみた。
だが詳しく掘り下げる時間がねぇｗ

chefインスコ後にどういった作業でサーバ管理できるかについて、
ちょっとした情報を見つけたのでメモ。
higelog.brassworks.jp/?p=654
487 名前：カミナリ桃● ◆hzkudVaLnM [2011/04/09(土) 22:46:58.31 ID:8wqvIVDG]: RSpecの本を購入
pragprog.com/titles/achbd/the-rspec-book

テスト駆動開発のツールについて書かれた洋書です。
電子書籍だと$24で購入出来るのでオススメ★
しかし自分TOEIC400点なんだよね('д`；）
が、頑張らなきゃ（＞＜；
488 名前：カミナリ桃● ◆hzkudVaLnM [2011/04/09(土) 22:51:05.96 ID:8wqvIVDG]: 今日これからやることリスト

・WEB+DB PRESS vol.61のRSpec特集を実際に動かして学ぶ

明日以降やること
・自分用Webアプリ「ご恩記録帳」の作成
489 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/04/10(日) 01:29:00.76 ID:kQsuJ8E6]: ぐぎぎ、Windows＋Aptana3＋RSpecでテストで日本語を書くとターミナルで化けるorz
・もちろん通常のcmdでも化ける
・なんかchcp＆レジストリを弄ってフォント変えて表示できるらしい、が、自分はうまくいかなかった
・となるとvimからrspec動かせば…
　しかしvimでrspec動かすためのプラグインがあるかどうかとか全然しらねー
・やっぱGUI Linux環境で開発した方が何かとよくないか？

時間を無駄にした感がありあり過ぎて困る。
今日はもう寝るorz
490 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/04/11(月) 11:03:46.83 ID:hbZhnoza]: ヤター！
Windows+Mingw Gitでcap deployすると失敗する状態の対処方法がわかったよ～＞＜

https://capistrano.lighthouseapp.com/projects/8716/tickets/166-capistrano-on-windows-with-git-and-copy-strategy

capistrano/recipes/deploy/strategy/base.rb　の50行目近辺を以下のように書き換えるとおｋ

if RUBY_PLATFORM =~ /win32/ || RUBY_PLATFORM =~ /i386-mingw32/
cmd = cmd.split(/\s+/).collect {|w| w.match(/^[\w+]+:\/\//) ? w : w.gsub('/', '\\') }.join(' ') # Split command by spaces, change / by \\ unless element is a some+thing://
if cmd =~ /\s\&\&\s/ && cmd =~ /^git\s+clone/
cmd1,cmd = cmd.split(" && ",2)
logger.trace "executing locally: #{cmd1}"
super(cmd1)
end
cmd.gsub!(/^cd /,'cd /D ') # Replace cd with cd /D
cmd.gsub!(/&& cd /,'&& cd /D ') # Replace cd with cd /D
logger.trace "executing locally : #{cmd}"
super(cmd)
else
491 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/04/14(木) 23:10:04.66 ID:+8HbjmC9]: 久しぶりにUbuntu デスクトップ版をインスコ。
これでRuby開発環境＆Rubyテスト環境をうまいこと整えることが出来ればベスト＞＜
492 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/04/14(木) 23:42:36.33 ID:+8HbjmC9]: >>451
rvmのインスコ時のURLを変更する必要あり
$ bash < <(curl -s https://rvm.beginrescueend.com/install/rvm)
493 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/04/15(金) 23:29:23.12 ID:6ema2nzR]: twitterのハッシュ#linux_ore_diary にて色んな作業について呟いていたんだけど…
なんてこった、過去のハッシュは辿れないようになってたorz
一ヶ月程度は残ってくれると思っていたけど、どうやら数日の模様。

こうなると何かしら残す手段が欲しい…
494 名前：カミナリ桃 ◆hzkudVaLnM [2011/04/16(土) 00:07:50.47 ID:Rr/NoQ08]: vimプラグインをaptみたくDL＆インストールしてくれるプラグインがなんだったか忘れたorz
あれ何だっけ…？cpan使ってインストールした記憶があるのだが何だったかマジでど忘れ。
495 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/04/16(土) 00:30:45.74 ID:Rr/NoQ08]: 思い出した、vimanaでした。
現在インストール作業中。

sudo cpan App::cpanminus
sudo cpanm Vimana
496 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/04/19(火) 00:20:18.41 ID:Th/S8WfW]: libcを自前でコンパイルするだけで色んなソフトがキビキビになった件
参考：nippondanji.blogspot.com/2011/04/mysql-5530.html
497 名前：login:Penguin mailto:sage [2011/04/19(火) 00:53:00.23 ID:NoyTpLkI]: 本末転倒だけどGentoo使ってみるとｲｲﾖ
498 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/04/22(金) 00:21:08.34 ID:7VH3OobB]: >>497
それは自分も思ったw
そいや自分Gentoo使ったことがないなぁ。
やっぱりデスクトップ環境でもキビキビなの？
それともGentooのメインユーザーはサーバー用途でしか使ってないとかそういう流れなんだろうか…？
499 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/04/22(金) 00:23:53.08 ID:7VH3OobB]: 最近ruby関連の投稿が増えてきた件。
主にtwitterで、だけど（ーー；

いずれにしてもログとしてまとめる必要を感じる今日この頃。
自分の鯖にwordpressを設置してるけど使ってないんだよなぁ…
新たにRuby用にWordPressを構築するか、
それともいい加減自分用wikiでも置いてみるか…
500 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/22(金) 01:01:06.93 ID:7VH3OobB]: うっし、やっぱwikiを立ち上げよう。
どのwikiにするか調査しないと＞＜

MediaWiki
www.mediawiki.org/wiki/MediaWiki/ja
WikiPediaでも使われてる例のアレ。
501 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/22(金) 01:02:36.66 ID:7VH3OobB]: 忍法帖のせいでLinuxに移ってから長文書き込みが出来なくて涙目w

Puki Wiki
pukiwiki.sourceforge.jp/
国内でメジャーなWikiといえばコレ。PHP製です。
しかし最近の更新具合はビミョーすぎて某所でｵﾜｺﾝ言われる始末…
502 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/22(金) 01:05:40.14 ID:7VH3OobB]: Hiki
hikiwiki.org/ja/
Ruby製のシンプルなWiki。
最新の安定版が2009年リリース、開発版の最後のコミットが２０１０年10月…（ーー；
503 名前：戦士カンガイバー ◆DMLinuxPbA mailto:sage [2011/04/22(金) 13:03:37.38 ID:yW29br0d]: っ Google SItes

BusyBoxのスレがどこにも無いな
立てちゃおうかな
504 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/23(土) 00:13:47.95 ID:SkgjSAL3]: そかそか、Google SitesもWiki機能持ってたね。
Google Sitesに個人用まとめwikiを作って運用してみるか。

BusyBoxスレ、確かに無いね…
携帯関連の板やらでよく言及されてるのに専門スレッドがないとは珍しい。
505 名前：login:Penguin mailto:sage [2011/04/23(土) 01:20:30.21 ID:sXq3imF7]: >>498
あたしゃ、実は素人なので、Desktop環境整えるのは面倒でやってない。
というか、やろうとして頓挫中・・・。

sambaでファイルサーバー的用途で使い始めたのが縁でsshで使ってる程度です。
xenでVGA-Passthrough(ATI-RadeonHD)でやろうとしてるのも困難な原因の一つだけどね。。。
506 名前：忍法帖【Lv=5,xxxP】 mailto:sage [2011/04/23(土) 10:03:10.08 ID:0iCn2kKr]: NattyのGMA500ドライバまだでござるか！
507 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/25(月) 21:19:04.39 ID:bTYwqcUH]: >>505
Radeonでデスクトップ環境構築はムズいっしょ～（＾＾；
前のPCはRadeonだったので何度か涙目になった…orz

Google Siteでメモ用サイト作ってみたよ＞＜
Linux & Development Diaries
sites.google.com/site/linuxdevelopmentdiaries/
508 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/25(月) 21:21:10.29 ID:bTYwqcUH]: 最近忍法帖のおかげで全然長文が書き込めなくて凹むなぁ…orz
「>>507のサイトに作業内容を書き込んで、こっちにはその経緯などを書く」ってスタンスでやってみる
509 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/25(月) 21:47:31.60 ID:bTYwqcUH]: Ubuntuのリポジトリのjdは古くて忍法帖に対応してないのか…
自前でコンパイルするしか（＞＜；
510 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/25(月) 22:26:29.97 ID:bTYwqcUH]: 試しにjdをコンパイルしてみた
書き込みテスト
511 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/25(月) 22:28:54.27 ID:bTYwqcUH]: もういっちょ書き込みテスト。
これで忍法帖のレベルが上がれば…
512 名前：カミナリ桃 忍法帖【Lv=2,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/25(月) 22:33:28.28 ID:bTYwqcUH]: 今度こそ3分たった＞＜；
513 名前：カミナリ桃 忍法帖【Lv=3,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/25(月) 23:49:45.72 ID:bTYwqcUH]: うっし、Ubuntu 10.10 64bit用のdebパッケージできたよ～

https://sites.google.com/site/linuxdevelopmentdiaries/linux/ubuntu10-10-x86_64you--jd-deb-package

現在自分用に--with-nativeオプションをつけてコンパイルしたdebパッケージ作成中。
そんなに劇的に変わるわけではないと思うけど（＾＾；
514 名前：login:Penguin mailto:sage [2011/04/26(火) 15:21:46.38 ID:oxGTsJAO]: 俺はPPAにあるJDを使っている
515 名前：カミナリ桃 忍法帖【Lv=4,xxxP】 ◆hzkudVaLnM mailto:sage [2011/04/26(火) 22:06:35.51 ID:uHLfIqs7]: PPAって何ぞや？と思ったらこれか
https://launchpad.net/ubuntu/+ppas
gihyo.jp/admin/serial/01/ubuntu-recipe/0046

こちらの方のパッケージが使いやすいかもしれない
https://launchpad.net/~ikoinoba/+archive/ppa/+packages

----
やべぇ…これある種の暗号化だろ…
homepage2.nifty.com/kujira_niku/okayu/misa.html
516 名前：カミナリ桃 忍法帖【Lv=8,xxxP】 ◆hzkudVaLnM mailto:sage [2011/05/03(火) 16:00:45.25 ID:AH166HjL]: Ruby認定試験のSilverゲットしますた＞＜
Goldも取りたいけどさすがに書籍がまだ出てない状態で突っ込めるほどの知識は持ち合わせて無いので、
Javaの資格に手を出してみる。

まずJava開発のためにNetBeansを入れてみた。
込み入ったことをやってるわけではないので何が便利かわかんねぇ…orz
まぁそのうちわかるでしょ、という気楽な気持ちで構えますか
517 名前：カミナリ桃 忍法帖【Lv=9,xxxP】 ◆hzkudVaLnM mailto:sage [2011/05/03(火) 16:36:19.19 ID:AH166HjL]: 意外とJRubyとの組み合わせがいけるかもしれない予感。
特にRSpec最高かもよ？的な意味で。
518 名前：login:Penguin mailto:sage [2011/05/06(金) 19:33:42.64 ID:VZGvA0+H]: いきなりHDDが死んだorz
そんなわけで8GのUSBメモリにUbuntuをインスコ。
ブラウズとかそーゆーレベルの使用なら問題ない様子
519 名前：login:Penguin mailto:sage [2011/05/11(水) 15:43:19.13 ID:eInB3ySP]: ただいまPCを修理に出している最中。
来週には戻ってくる予定。

家族所有のノートPCでUSBのUbuntu動かしてるが、
容量が少ないためあんまりプログラミングが出来なくて涙目。
はよ戻ってこないかなぁ…
520 名前：login:Penguin mailto:sage [2011/05/13(金) 16:45:51.08 ID:3lN08hUO]: ゲートウェイ内設置の強制プロキシ型のURLフィルタソフトを導入しようとたくらんでいる。
会社なので、私的利用をできるだけ減らすのが目的。
それから、マルウェアやウイルスよけ。
521 名前：login:Penguin mailto:sage [2011/05/15(日) 17:16:01.30 ID:niaHPG5Z]: 某スレで自分の書き込みに擁護レスが付いた
2chを使うようになって初めての出来事だ
嬉しいんだけどこの後書きこむと彼が自演扱いされそう
ID貼るのも気が引ける。
ここで礼を言います。ありがとう！
522 名前：login:Penguin [2011/05/15(日) 23:59:33.17 ID:6O93+UHy]: ncursesライブラリ使ってテトリスもどきを作成し、完成させた
うれしい
523 名前：login:Penguin mailto:sage [2011/05/21(土) 02:05:37.03 ID:iqOI/qvA]: グギギ、故障したpcが戻ってくるのが待ちきれなくて
古いノートにarch linux入れた。

xorgがわからなさ過ぎて死亡。
lubuntuを入れ直す作業が始まるお…
524 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/05/21(土) 14:45:34.43 ID:iqOI/qvA]: やっとPCが戻ってきたよ～（涙
今せっせとWindows環境を整え中。

終わり次第、Ubuntuの新しいのを入れるとするか
525 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ◆hzkudVaLnM mailto:sage [2011/05/22(日) 22:59:42.02 ID:AfgkqzNB]: ただいま～＞＜

Ubuntu 11.04入れた。
噂の変なUIってこれか。
Mac風にメニューが上に表示されるのね。
とりあえずターミナルとブラウザさえあればあとはどうでも良いのでこれでいいや。

ここ最近インストール作業がやたらと多いので、Wikiを充実させておこう…
https://sites.google.com/site/linuxdevelopmentdiaries/
526 名前：耶蘇善財 mailto:sage [2011/05/29(日) 15:39:29.78 ID:lifAIGzy]: ここすごい！4年過ぎてる長寿スレですか！

最近Linuxに興味を持ったのですが、とりあえず素人向けのUbuntuの10.04LTSを入れてます。
これを使ってる限りスキルは伸びなさそうです。
うぶんつってデスクトップ64bit版はないんですかね？
Fedoraにでもするしかないのか？

とりあえずUbuntuにVLCを入れてDVD-Videoだけは見られるようになりました。
ただ日本語入力が駄目ポなのが気になりました。

あとGNOMEよりもKDEのほうが面白そうなので、KDEで使いやすいディストリの選定中。
それからATOK X3 for Linuxが手に入ったので、それを入れて使えるようにすることが当面の目標です。
527 名前：login:Penguin mailto:sage [2011/05/29(日) 15:46:38.44 ID:ptnrr8NX]: >>526
UbuntuのDesktopEditionの64Bit版もあるよ
日本語Remixのは無いけど、本家からDLして、日本語パッケを入れればいいよ
528 名前：耶蘇善財 mailto:sage [2011/05/30(月) 06:50:59.94 ID:gts6wU2X]: >>527
へぇそうだったんですか！
早速試してみます。
ありがとうございます。
529 名前：login:Penguin mailto:sage [2011/05/30(月) 06:58:51.73 ID:ZEeogF5R]: >>528
日本語パッケっていうか、日本語Remixが置いてあるところに、64版の日本語化の方法が書いてあるから
そのとおりにやれば、日本語Remix版と同環境になる
530 名前：カミナリ桃 忍法帖【Lv=12,xxxPT】 ◆hzkudVaLnM mailto:sage [2011/06/20(月) 14:40:40.40 ID:h77mBmCv]: やっとこさOJC-P取得したお＾＾

以前いた会社に連絡取ってみたんだが、開発のメインメンバー二人が退社してたorz
2009年ぐらいまではいたはずなんだが…独立したのかな？
531 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/07/30(土) 22:22:36.45 ID:EFc15Oek]: Gitoliteインストール完了！
設定方法はこちら↓
sites.google.com/site/linuxdevelopmentdiaries/linux/gitolite-install-and-settings

これで色々管理できるお。
常にgituser@servernameとやらないといけないのを、
勘違いして(レポジトリを弄るユーザー)@servername で操作しようとして涙目になったおorz
532 名前：カミナリ桃 忍法帖【Lv=1,xxxP】 ● ◆hzkudVaLnM mailto:sage [2011/07/30(土) 22:25:28.07 ID:EFc15Oek]: そういえば…
ひさかたぶりに正社員で就職できました＞＜
まだ試用期間だけど、うまくいきゃ3ヶ月後にはガチ就職です。
ここまでくるのは長かったお…
533 名前：ヽ(´▽｀)ﾉ mailto:sage [2011/08/02(火) 21:38:56.95 ID:GdO04YDD]: >>532
おめでとうございます。
534 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/08/12(金) 00:43:02.78 ID:bDYvzNqW]: >>533
ありがと～＞＜
試用期間中＆まだ業務が始まったばかりということもあり、
だいぶ緩い感じで仕事をさせて頂いてます。
雰囲気も良い感じだし、これなら長く勤められるかも…＞＜
535 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/08/12(金) 00:48:41.33 ID:bDYvzNqW]: WindowsにおけるGit環境構築について手順を書きました。
https://sites.google.com/site/linuxdevelopmentdiaries/windows/git-and-tortoisegit-install-for-windows

うちの会社、Subversionを使ってるんだけど、
業務内容的にGitなどの分散管理型じゃないとしんどそうな状態。
なんとかGitの導入を進められないかここしばらくTortoiseGitやら調査してたんだけど、
意外とTortoiseGitがﾇﾙﾎﾟだったのでびっくり。
けど、コマンドラインだけでも入れれば相当業務効率が上がりそうなので
どうにか説得材料を増やしたいところ。

そうなると分散型を使ったときに何がメリットとなるか、
逆にデメリットは何か、
具体的な操作手順はどうすればいいのか、
こういった情報を作成しないと説得しずらいだろうなぁ。
頑張って文章作成せねば！
536 名前：login:Penguin [2011/10/01(土) 19:40:33.54 ID:wDLj9D1W]: こっちにもあったのか
537 名前：login:Penguin mailto:sage [2011/11/05(土) 18:14:07.43 ID:0N0BkC61]: (ﾟдﾟ )ﾟдﾟ )
/　　つ⊂　　＼
538 名前：login:Penguin mailto:sage [2011/11/06(日) 04:25:17.31 ID:GkJ3HfQl]: ぼくんちのCentOS5.7は元気に静かに動いています。
539 名前：login:Penguin mailto:sage [2011/11/28(月) 07:19:38.04 ID:k6xaMFqY]: CentOSすばらしいよ
SAMBA3.7がyumでインスコできるようにならないかなあ。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef