「サーバ」の最近のエントリー

いよいよファイナルと言って良いのではないだろうか．DNSの設定が全て完了した．お忙しい中，ご協力頂きまして，ありがとうございました．

そして，即行でGoogle Appsの止まっていた手続きを進行させ，無事に設定完了．ただし，スタートページのカスタマイズは，特にコンテンツの変更は未ログイン者にしか適用されないので，準備してからやるべきだった．もうしらん．

それから，メーリングリストは簡単に作れるのだが，作ったメーリングリストが連絡先一覧に自動で登録されない．さらに，メーリングリストのメンバにメーリングリストを含めることはできない．要するに，エイリアスを束ねるような機能はない．ちょいと不便だ．細かいグループをいくつか作ろうと思ったのだが・・・．

後はSSL証明書か・・・．FlySSLの手続き進行中なのだが，クレジットの信用が足りないらしい．なんだそれ？まぁ，信用が足りないなら，取り消しで結構なのだが・・・．なんか，FlySSLはシングルルートではないらしい．中間証明書を入れなくちゃいけなくて，面倒くさい．やっぱRapidSSLが良かったかな．

続いて，今日やったこと！

・sambaで自動マウント/アンマウント
autofsっていう機能を利用すると，自動でマウントし，不要になったらアンマウントするらしい．smbclientコマンドを覚えていなくても，安心だねっ！参考にしたのはこちら．注意したいのはコメント欄．

debianでやるとなんかずっと同じフォルダを参照する不具合になりますね。
# apt-get install smbfs
をしてから、
auto.smbの
opts=”-fstype=cifs”
を
opts=”-fstype=cifs,iocharset=utf8″
にするとうまくいきました。

autofsを使ってsambaを自動マウント | ﾌﾞｰログ

確かに，同じディレクトリを参照しまくってました．/etc/auto.smbを以下のように書き換えて，ok．

mountopts="-fstype=cifs,iocharset=utf8"

これで，自宅等からSFTPしても，ファイルサーバにアクセスできるねっ！

今日も適度にチューニング．残る調整は，上位管轄DNSの設定とGoogle Appsへの丸投げとSquidの確認かな．最大の難関はサイトのデザインがテンプレそのままなのをなんかすることか．デザインセンスがないから，どうにもできないが．

・BINDがエラー吐きまくり
BINDが以下のようなエラーを吐きまくっている．以下，ログ．長すぎるので，適宜改行．

Nov 19 11:20:49 neodymium named[5139]: too many timeouts resolving
'195.206.188.210.in-addr.arpa/PTR' (in '206.188.210.in-addr.arpa'?): disabling EDNS
Nov 19 11:20:50 neodymium named[5139]: too many timeouts resolving
'178.68.125.75.in-addr.arpa/PTR' (in '125.75.in-addr.arpa'?): disabling EDNS

そうそう．前にサーバ名はhydrogenとか言いましたけど，hydrogenは無線LANルータが陣取っているので，無難なneodymiumを割り当てました．IPアドレスを推測しないでね＞＜．

閑話休題．エラーが起きた時は，too many timeouts resolving disabling EDNSって，そのままググればいいと思うよ．だって，そのためにエラーをそのまま貼り付けているわけだし．で，色々な情報に出会うわけだが，serverでedns noするのも，optionsでempty-zones-enable noするのも，両方ともに効果がなかったので，仕方がないので，以下の方法で対処した．根本的な解決ではないなぁ・・・．

とりあえずnamed.confに、

logging {
　　category edns-disabled { null;};
};

と書いておけば、以降は記録されなくなるらしい。

BIND9.5で謎のログ: さかなでブログ

対処療法的だなぁ．ついでだから，category lame-servers { null; };も合わせて書いておく．

・SSLサーバ証明書をゲットしよう！
安さ爆発はどの程度なのかを確認するため，以前にまとめたように，最安と思われるFlySSLを買ってみる．$9.99/年なので，$38/年でルートがmd5RSA-1024のヤツよりはいいと思います．値段的な意味で．

まず，ご存じのように，CSR（Corporate Social Responsibility; 企業の社会的責任）を作成します．っておい！違う違う．意味的にはあってるような，あってないような・・・．正しくはCSR（Certificate Signing Request; 証明書署名要求）です．作り方は，この辺かこの辺を参考にするといいと思います．一応，手順としては，

/etc/ssl/private# openssl genrsa -des3 -out FQDN.key 1024
Generating RSA private key, 1024 bit long modulus
.....++++++
................................................++++++
e is 65537 (0x10001)
Enter pass phrase for FQDN.key:
Verifying - Enter pass phrase for FQDN.key:

/etc/ssl/private# openssl req -new -key FQDN.key -out FQDN.csr
Enter pass phrase for FQDN.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:fuga
Locality Name (eg, city) []:hoge
Organization Name (eg, company) [Internet Widgits Pty Ltd]:fuga
Organizational Unit Name (eg, section) []:hoge
Common Name (eg, YOUR name) []:FQDN
Email Address []:webmaster@FQDN

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

/etc/ssl/private# openssl rsa -in FQDN.key -out nopass_FQDN.key
Enter pass phrase for FQDN.key:
writing RSA key

/etc/ssl/private# cat FQDN.csr
-----BEGIN CERTIFICATE REQUEST-----
なんやかんや
-----END CERTIFICATE REQUEST-----

rootで作業するなとかいうツッコミは華麗にスルーします．一応，鍵のパスフレーズを外しておきましたけど，外さない方がセキュリティ的にはいいと思います．

あとはFlySSLの方にCSRを投げつければ良いのだが，ドメイン所有者を確認するために，指定のメールアドレスに確認メールを送るから，どこに送ればいいか，選べと言われる．選択肢が，admin@とかroot@とかwebmaster@とかなっている．つまり，なんだ．メルサバを建てないと申請が進まない・・・．今日もsnakeoilで頑張る！

そろそろファイナルにしたいっす．回線が開通したので，接続テストやらなんやらやってたら，起動しなくなりました（ぇ．いや，まぁ，事なきを得たんですが，ヒヤリでした．

で．予想通りトラブルに見舞われています．全く理解できません．

・svn+sshできない
できないというのは嘘で，できるんだけど，できない．できる状況は以下の通り．

• サーバ内から，svn+ssh://ループバック/
• サーバ内から，svn+ssh://外部IPアドレス/
• サーバ内から，svn+ssh://FQDN/
• 研究室内回線から，svn+ssh://内部IPアドレス/

ダメな状況は以下の通り．

• 研究室内回線から，svn+ssh://FQDN/
• 研究室内回線から，svn+ssh://外部IPアドレス/
• 研究室外回線から，あらゆるsvn+ssh

FQDNは内部DNSで内部IPアドレスに変換しているはずです．少なくとも，nslookupではそう返事が返ってくる．外からFQDNへのアクセスは管轄上位のDNSによって外部IPアドレスが返されます．だからこそ，FQDNでアクセスしたいのだが・・・．

svn単体は許可していないので，sshポートフォワードが必要になるのだが，どうも外部線から入ろうとするとダメなようだ．何故だ．sshはどこからでも繋がるのに・・・．事実，svn+sshではなく，ssh単体はどこからでも繋がる．誰か・・・助けて＞＜．

で．自宅に帰ってきてからVPNを使わずに外部線でsvn+sshしたら，普通に繋がった件について．ぇー．もうこうなったら，研究室内部のネットワーク構成がおかしいってことじゃないですかー．もしくは，オレのPCがおかしいってことじゃないですかー．明日もトラブルシュートか．

・Satisfy Anyできない
研究室構成員だけが見られるようにしたいディレクトリがある．そこにパスワード認証をかけて，研究室外からはパスワード認証で，研究室内からはIP制限で通したいのだ．だから，.htaccessでsatisfy anyだ．だから，こう書いた．

AuthUserFile /etc/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter username and password"
AuthType Basic
require valid-user

Satisfy Any
order deny,allow
allow from 127.0.0.1
allow from 192.168.11.0/24
deny from all

なんがー！なにがダメがー！わからんちん．誰か・・・ボスケテ．

200811191047追記：
今日になったら両方とも絶好調稼働中な件について．なんじゃそら．きっと無茶苦茶な設定を繰り返す内に，オレPCのDNSやらなんやらがおかしかったんだろうなぁ・・・．再起動してテストしてたつもりだったんだけどなぁ・・・．

別にアグレッシブにやることではないけど，ルータ化を行ってみた．なお，テストはしていない．参考にしたのはここ．

それから，別件というか，関連というか，MTのカスタマイズを再度やってます．奥が深いなぁ．目処は付いたけど．

そろそろやることがなくなってきた．今日はSquidとvimの設定（ぇ．

・Squidの設定
設定の参考はこことかここ．設定してみたは良いけど，どうにも上手く動いていない気がする．気がするだけで，ちゃんとチェックはしてない．Squidなんて立てないで，OpenVPNを立てる方が健全だろうか．むしろ，iptablesを調整して，ルーター化するのがいいかもしれない．何がしたいんだろう・・・．

・vimの設定
vimって打てば使えるから入っているのかと思ったら，入っていなかった．なんてこったい．というわけで，vimのインストールから．

$ sudo apt-get install vim
$ cat ~/.vimrc
set nocompatible
set fileformats=unix,dos,mac
set vb t_vb=
set backspace=indent,eol,start
set nobackup
set writebackup
set history=100
set ignorecase
set smartcase
set wrapscan
set noincsearch
set title
set ruler
set showcmd
set laststatus=2
set showmatch
set matchtime=2
set hlsearch
highlight Comment ctermfg=DarkCyan
set wildmenu
set textwidth=0
set wrap
set statusline=%F%m%r%h%w\%=[TYPE=%Y]\[FORMAT=%{&ff}]\[LOW=%l/%L]
set tabstop=4
set softtabstop=4
set shiftwidth=4
set noexpandtab
set encoding=utf-8
set termencoding=utf-8
set fileencoding=utf-8
set fileencodings=ucs-bom,euc-jp,cp932,iso-2022-jp
set fileencodings+=,ucs-2le,ucs-2,utf-8
set hidden

適当！適当！参考にしたのはここ．

関連：
viキー操作メモ(Hishidama's vi Memo)
Vim 基本操作まとめ - Archiva
vimで効率的にコードを書くための小技 - bonar note

そろそろやることもなくなってきた．今日はDNS(BIND9)の設定と命名規則．

・BIND9
って書いたけど，まだドメインが決まってないので，フィーリングで作ってる．ということは，本番で作り直しになる可能性があるということ．大したことではないか．参考にしたのはここ．といっても，環境によって違うので，なんともかんとも．

・命名規則
BIND9の話と関連して，ホスト名をどうしようかっていう話．前所属では台風の名前を付けていた．命名規則を決める上で重要なのは，

• 通し番号がついていて，
• 英字（もしくはローマ字）表記できて，
• そこそこの数がある

こと．星座の名前や都市の名前を付ける人も多いが，個人的には通し番号が振られている方が管理しやすい．だって，IPアドレスに対応させちゃうもん！

で．また台風の名前でも良いのだが，それでは芸がないので，調べてみた．色々とあるものだ．これらの中から，今回は元素名を付けることにした．理由は上記3条件を満たしているから．ポケモンでもいいんだけどね（ぇ．

というわけで，サーバのホスト名はhydrogenとなりました．次はheliumか．

って，今更だけど，こんなことを独断で行っているけど，学生に勉強させなくて良かったんだろうか．教育的な配慮を考えれば，サーバを建ててみるなんて，滅多にできない上に，貴重な経験だと思うのだが・・・．といっても，時期的に今は忙しくて無理か．といっても，そんなこといったら，いつでも忙しいか．

関連：
「萌えの領域がまさかの元素！ｗ」 - アキバBlog

今回はサーバ監視系ツールを中心に．オマケとして，Subversion設定も一緒に．

・Webalizerの導入
余裕でした．特に設定することは何もない．ただ，グラフが日本語で文字化けします．GDのTTF問題です．別に，英語表示でも良いのだが・・・．ソースからコンパイルが面倒くさいので，このまま使う方向で．

・Muninの導入
今まではRRDtool+HotSaNICだったのだが，なにやら簡単らしいので，Muninを導入してみた．

$ sudo apt-get install munin munin-node

余裕でした．一応，参考にしたのは，こことここ．sendmailとかいくつかのグラフは不要なので，

/etc/munin/plugins$ sudo rm df_inode vmstat sendmail_mail* open_*

ってしてやりました！これらはシンボリックリンクなので，rm余裕です．

・Subversionの設定
svnっていうユーザをnologinで作って，serviceに3690をtcp/udpで登録して，今回はxintedを使うよ！参考にしたのは，こことここ．

$ sudo cat /etc/xinetd.d/svnserve
service svnserve
{
    disable = no
    socket_type = stream
    protocol = tcp
    wait = no
    user = svn
    server = /usr/bin/svnserve
    server_args = -i
}

後はservice xinetd restartで余裕です．FWには穴を開けません．sshポートフォワードを利用して，svn+sshな運用をする予定なので．22と80と443しか開けねーぞ！ゴルァ！

関連：
スラッシュドット・ジャパン | サーバ監視、何使ってる？

サイトリニューアルのベースにはMT4.22のプロフェッショナル ウェブサイトっていうテンプレートを用いることにして，適する形にカスタマイズ中なのだが，これ結構いい．簡単に高品質なウェブサイトが作れます．しかも，FTPでアップロード！みたいな古くさい作業はなく，ウェブブラウザのみで完結するし，基本的にブログツールであるMTがベースなので，HTMLが書けなくてもWYSIWYGなリッチエディタでバリバリ書けるし．

で．今日はそのスケルトン（要するにCSSは弄ってないという意味）が概ね固まったので，作業で詰まったり悩んだりした点を記録しておく．特に，2点目は3日くらい悩んだ．

・MTタグのデバッグ
MTには色んなテンプレートタグがあるわけですが，その値がどうなっているのかっていうデバッグをしたくなりますよね？なるんですよ，主にトラブった時に．で．このテンプレートタグは再構築時に解釈されるものなので，Firebugでは拾えないし，MT独自のものだから，PHPやPerlのデバッガは効かない．こりゃ困った！

で．調べた．Build Tracerなる素晴らしいトレースツールが見つかった．これ，スゲーです．余裕で問題点をトレースできました．変数がどういう風になっているかを確認できるのは素晴らしい！どの命令（タグ？）が変数をどう操作したかまでは分からないんだけど，どこでどう変化したかは分かる．問題解決ですよ！

ただし，注意があります．これ，ダイナミックパブリッシングだと上手くいかないので，一時的にスタティックでやる必要がある気がします．

・ブログアーカイブでサイドバーにエントリー一覧が出ない
そうなんです．これを解決するために，上のトレーサーを導入したんです．何かというと，ウェブページのテンプレートで作ったページは2コラムデザインなんだけど，ブログアーカイブだと3コラムデザインになってしまう問題があった．と同時に，ウェブページテンプレートとブログ記事テンプレートではサイドバーに記事概要を出力できるのだが，同じウィジットをブログアーカイブテンプレートで使うと何も出力されないという難解な状態であった．

で．トレーサーを駆使して調べたところ，コラムデザインはレイアウトの変数があるので，決め打ちで強制してやった．サイドバーに記事概要が出ない問題は，ウィジェットを書き換えればいいことが分かった．デフォの状態のウィジェットだとmtentriesで書かれていたので，mtarchivelistに置き換えたらok．ブログアーカイブでもウェブサイトでも表示されるようになったので，たぶんこれで宜しいかと．

今日も頑張った．インフラ面は整ったかなっと．後はグローバルIPをもらって，ドメインを割振ってからじゃないと，細かいところは詰められないかな．

・iptablesの設定
設定はここを参考にした．できあがるファイルを/etc/network/if-pre-ip.d/iptablesにroot:rootで700で置けばok．

・sambaの導入
特に細かい設定はしないけど，unix charsetなどはutf-8に．

・apacheでsslの設定
案外面倒くさかった．SSL化ってこんなに面倒だったっけ？Vineだと，オレオレ証明書ですぐに使えたような・・・．参考資料はこちら．

・iptablelogの導入
使ったことがなかったので入れてみたが，不要だったやもしれん．導入の参考はここ．

・vncの導入
sshだけでもいいんだけど，何となくGUIもいいかなって．というわけで，やるべきはvncサーバの導入．参考はこちら．

・MT4.22でプロフェッショナル ウェブサイト
サイトリニューアルを睨んで，HTMLでマークアップしなくてもある程度は保守できるように．かといってwiki文法もいやーんなので，ブログツールのMTをベースにしてみる．ある程度までは思い通りにできたのだが，どうにもウェブページとブログの連携が上手くいかない．インデックステンプレートを書いてしまった方が手っ取り早くできそうだけど，それじゃぁねぇ．

大絶賛サーバ構築中です．Ubuntuを使うのは初めてですが，Debianベースだけあって，それなりになんとなく何とかなってます．ドキュメントを参照しなくても1時間でLAMPに仕立てられるのは，Vineだけですが．aptが使える仲間と思いきや，パッケージ名が微妙に違うから悩むぜ．

というわけで，そんなVine使いがお送りする，初めてのUbuntuで詰まったことを書き連ねて参る．

・chkconfigがない！
マジか！って感じ．chkconfigないのに，どうやってサービス設定しろっちゅうねん．ググったところ，sysv-rc-confってのがchkconfig相当らしい．なんでchkconfigじゃないんだろう・・・．シンボリックリンク張っちゃうぞ！この野郎！

・webminはどうしよう
Webminをaptしようと思ったら，なんかパッケージが古いから入れない方がいいよ的なことを言われた．しょんぼりーな．仕方がないからここを参考に，debパッケージを落としてdpkgしてみた．うーん．色んなパッケージ管理があって，便利なような面倒なような・・・．1.441を入れたが，sudoできるユーザならログインできるぽ．それにしても，最近のwebminはすごいカッコイイ！ちょっと見ないうちにクールなデザインになっていたよ．侮れない．

・無線LANの自動接続
結構難しかった．ログインしないと無線LANの接続が確立せず，サーバ機としてどうなんだろうという状態なので，なんとかしてみた．参考にしたのはこことここ．以下，やったこと．

$ sudo wpa_passphrase "ここにSSIDを書く" "ここに鍵情報を書く"

上記の命令後に出力された文字列を以下のようにする．protoとkey_mgmtは追記した．適当に．

$ sudo cat /etc/wpa_supplicant.conf
network={
    proto=WPA
    key_mgmt=WPA-PSK
    ssid="ここはSSID"
    #psk="ここは鍵情報"
    psk=9b11defce929e1de942ceab41e69459b50cc4faa63a04dffe663945358affcaa
}

準備ができたら，接続確認を実行する．

$ sudo wpa_supplicant -Dwext -iath0 -c /etc/wpa_supplicant.conf

negotiation completedっぽいメッセージが出ればok．後はinterfaceを書き換えれば完了．追記部分を強調．

$ sudo cat /etc/network/interfaces
auto ath0
iface ath0 inet dhcp
wpa-driver wext
wpa-conf /etc/wpa_supplicant.conf
auto lo
iface lo inet loopback
    post-up iptables-restore < /etc/iptables.up.rules

すばらC！

・リダイレクトができない！
んなバカなって思うだろうが，それが真実．やんなっちゃうわ．上記の設定は，本当はこうしろと書いてあるんだ．

$ sudo wpa_passphrase "ssid" "crypt key" > /etc/wpa_supplicant.conf

でもこれができない．permission deniedとか言われる．んなバカなって感じだ．もちろん調べてみた．調べてみたところ，どうにもこうにもリダイレクト先にはsudoの効果が適用されないようだ．確かに効かなそうだ．面倒なことだ．でも，だからって，

$ sudo wpa_passphrase "ssid" "crypt key" > sudo /etc/wpa_supplicant.conf

こんなコードは通らない．結局，衝撃のバッドノウハウを発見．

$ sudo su

っておい！suできるのかよ！

・テキストログイン化
サーバ機だから，グラフィカルログインとか，リソースの無駄ですよね．テキストログイン化の方法はここを参考にした．情報があるって素晴らしい！

日本語版は31日中にでるとのこと．

これは，日本時間だよね？

2008-10-31 - naoeの日記

超高速で入れてみた．Ubunutu8.10のDesktop．rikenから落としたものですが，日本語でインストールできたけど，デスクトップのメニューが一部英語のままです．なんだか違和感ありあり．ローカライズ版じゃないのかな？と思いきや，言語の設定から日本語を増やしてやれば，日本語になりました．アーサム．と思いきや，こんな情報もorz．

今回インストールしたのは，今日届いたばっかりのIntel Mac miniです．すぐに消されちゃうLeopard涙目＞＜．それから，何がアーサムって，無線LANがデフォの状態で使えます．WPA/WPA2で使えてます．素晴らしい！もうね，何がなにやら簡単すぎて拍子抜けです．色々と事前に計画していたのに！

Intel Mac mini は，今までの MBR の代わりに GPT でパーティションテーブルを管理しているので，ちと Windows Xp や Linux のインストールには苦労するみたいなのねん．

調べてみると，BootCamp で Windows 領域を確保したときに GPT と一緒に MBR も作られるみたいなのです．

ところが，通常 MBR を前提にしている Linux からパーティションをいじると，MBR は書き換えられるけれども GPT と同期が取れなくなってしまい，EFI 対応ブートローダーから見えないようです．

Intel Mac mini に Ubuntu 8.04 をインストール - がべこれログ - Garbage Collection Log

ってありますけど，何もなく，普通にUbuntu8.10はインストールできました．一応，Leopard上からBootCampしたけど，間違いに気がついて，普通にcキーでCDブートさせてインストールし直したんだけど・・・．案外大丈夫になってる？

どうもここ最近，TBスパムが増えているようなので，ログを見てみた．以下，一部抜粋．

@s333:~/log> cat 4403.biz.2008-10-26.log | grep tb.cgi
67.159.44.159 - - [26/Oct/2008:00:12:14 +0900] "POST /mt/mt-tb.cgi/416 HTTP/1.0" 200 79 "-" "Jakarta Commons-HttpClient/3.0.1"
67.159.44.159 - - [26/Oct/2008:01:57:31 +0900] "POST /mt/mt-tb.cgi/254 HTTP/1.0" 200 79 "-" "Jakarta Commons-HttpClient/3.0.1"
208.43.255.124 - - [26/Oct/2008:03:41:16 +0900] "POST /mt/mt-tb.cgi/162 HTTP/1.0" 200 79 "-" "Jakarta Commons-HttpClient/3.1"
78.86.153.121 - - [26/Oct/2008:04:12:35 +0900] "POST /mt/mt-tb.cgi/254 HTTP/1.0" 200 79 "-" "Jakarta Commons-HttpClient/3.1"
208.109.181.122 - - [26/Oct/2008:04:15:17 +0900] "POST /mt/mt-tb.cgi/64 HTTP/1.0" 200 79 "-" "Jakarta Commons-HttpClient/3.1"

なるほどなるほど．クズだな．じゃぁ，それならそれで，それなりに対処して差し上げよう．以下，対策を抜粋．

@s333:~/public_html/4403.biz/mt> cat .htaccess
<Files mt-tb.cgi>
<limit POST>
SetEnvIf User-Agent "^TrackBack/1.6" trackers
SetEnvIf User-Agent "^TrackBack/1.02" trackers
SetEnvIf User-Agent "^libghttp/1.0" trackers
SetEnvIf User-Agent "^$" trackers
SetEnvIf User-Agent "^.$" trackers
SetEnvIf User-Agent "^NP_Trackback/2.0.3" trackers
SetEnvIf User-Agent "^User-Agent" trackers
SetEnvIf User-Agent "^Opera/" trackers
SetEnvIf User-Agent "^Mozilla/" trackers
SetEnvIf User-Agent "^USERAGENT" trackers
SetEnvIf User-Agent "^Jakarta Commons-HttpClient/3" trackers

Order Allow,Deny
Allow from all
Deny from env=trackers
</limit>
</Files>

死ねばいいのに．

関連：
芳立五蘊 | Jakarta Commons-HttpClient/3.0.1
Jakarta Commons-HttpClient (翻弄されつづけるblog)
ねこまじん王国 » トラックバックスパム対策（Jakarta Commons-HttpClient）

オレ，この論文を書き終えたら，サーバ管理者になるんだ（死亡フラグ）．

・目的（外向き）
CiNiiの指定IPアドレス帯に入るため（ぇ．対外用WWWサーバ．FWでブロックされているntpとsvnとcvsを使うため．

・構想
Atomの小型タワーを買って，UbuntuかDebianかCentかVine（たぶんやらない）で1時間以内にLAMPサーバを構築する．もしくは，Mac miniかEee Boxでもよいかも？いや，Eee BoxはCDドライブが付いてないし，Mac miniはディスプレイを繋がないと起動しないらしいので，却下．サーバに繋がってていいものは電源と有線LANだけだよねー．

LAMP構成で，MTをベースとしたポータルにしたいな（初挑戦）．Google Appsを利用したメールサーバ丸投げ作戦．これは何がいいかって，アカウントもメーリングリストも作り放題なので，OB/OGを残しっぱなしにできる．ドキュメントの共有もメーリングリストで関係者全員にぶん投げておけば，グーグル様の強大なストレージ空間をもってすれば，こっちで何も準備しなくてok．グーグルカレンダーもあるから，スケジュール調整も容易．正にソリューション．ついでに，dazukoによるリアルタイムウィルススキャン（初挑戦）．

外からはsshのみを許可して，ftpは禁止（学科の方針に準拠）．sftpとか，scpとか適当に．sshはもちろん公開鍵で．VPNは頑張れたら導入する．squidは後で考える．

・目的（内向き）
1人/1PCの実現が完全に不可能（既に今もだけど）なので，Active Directoryで移動ユーザプロファイルを構成しようかと．

・構想
構想もなにも，Windows2k3でAD構成に．頑張れたら，外向きサーバをNIC2枚で内外切り分けて，Samba+NISとかLDAPで頑張ってみる？→たぶん頑張れない．いや，そもそもADの勉強なんてそうそうできないだろうから，ADの勉強をする目的も含めて，ADで構成する！Samba+LDAPとか何故にそんな苦労しなくちゃならないのかと，小一時間問い詰めたい．

知っておきたいSSLサーバ証明書の取得までがホッテントリなので，触発されて書いてみる．前研究室の証明書も切れていることだし，ちょうどいいので，まとめ．

・ワイルドカード証明書

また、負荷分散などでサーバが複数台ある場合は、SSLサーバ証明書も複数個必要でしたが、最近では1つのSSLサーバ証明書で済むサービスもできたようです。

知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)

それがワイルドカード証明書です．つまりは，*.exmaple.comっていう証明書が作れます．ということは，hoge.example.comでも，www.example.comでもokということです．分かりやすいねっ！

さて，ワイルドカード証明書はどこで手に入るのか．

• RapidSSL Wildcard $199/年
• RapidSSLワイルドカード 23,000円/年
• Essential SSL ワイルドカード証明書 67,000円/年 他にもあり
• AlphaSSL Plus Wildcard 75,600円/年
• True Business ID Wildcard $799/年
• FlySSL Wildcard $119.99/年

などなど，いろいろあります．値段も様々です．True Business IDは実在証明がついているはずです．必要な場合にはどうぞ．手軽に導入するのならば，FlySSLが安くていいんじゃないかと思います．

・携帯電話対応のSSL証明書

近年，需要が爆発的に増加中のはずです．しかしながら，携帯電話対応は難しいです．普通のPC用ブラウザと違って，「携帯電話対応」と明示されていないものは，使えないと思ってほぼ間違いないです．それは何故かと言いますと，ルート証明書の問題があるからです．

携帯電話に内蔵されているルート証明書は以下のサイトで参照できます．

• 作ろうiモードコンテンツ：主なスペック | サービス・機能 | NTTドコモ
• KDDI au: 技術情報 > SSL通信
• ソフトバンク

知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)

つまりは，ここに示されているルート証明書の下に繋がっているSSL証明書でなくては使えないことを意味しています．では，ここに挙げられている3キャリア全てに搭載されているルート証明書はなんでしょうか？3キャリアの情報を比較してみると，こうなります．

• VeriSign Class 3 Primary CA
• VeriSign Class 3 Primary CA-G2
• RSA Secure Server Certification Authority
• Equifax Secure Certificate Authority
• GeoTrust Global CA
• GTE CyberTrust Global Root
• Baltimore CyberTrust Root
• GlobalSign Root CA
• ValiCert Class 3 Policy Validation Authority
• RSA Security 2048 V3
• Security Communication RootCA1

以上に挙げたルート証明書にぶら下がっているSSL証明書なら，一応3キャリアで使えそうです．ただし，注意したいのは，古い機種は古い機種で，また別のルート証明書を持っているという点です．面倒だぜ．

さて，では携帯電話対応のSSL証明書はどこで手に入るか．

• グローバル・サーバID EV for Mobile 229,950円/年 他にもあり
• AlphaSSL 12,600円/年 Plus Wildcardもokのはず
• QuickSSL Premium $179/年
• TrueBusinessID $299/年 Wildcardもokのはず

この辺りでしょうか．グローバル・サーバIDがぶち抜けて高いですが，これはアドレスバーが緑になることで有名なEV SSL証明書で，携帯電話対応という珍しいやつです．QuickSSLはクイックSSLのような名称で，色々な代理店経由で買えますし，値段も色々です．中身は一緒のはずなんですけどねぇ・・・．オレが前に買った携帯電話対応のSSL証明書はEquifax Secure Certificate Authorityをルート証明書とするGeoTrustのです．値段は忘れた．それにしても，AlphaSSLは安いなぁ・・・．

・格安SSL証明書

とにかく安い証明書が欲しい！そんなあなたにオレオレ証明書．えー．

• RapidSSL $32/年 英語に自信があるなら$12.88/年でも買える
• FlySSL $9.99/年

うーん．安い．ちなみに，30日間の無料お試しができるFreeSSLってのもあります．

まとめ：
主にはこのような用途でしょうか．抜けがいっぱいありそうな気がしますが，皆さんのお役に立てばと思います．正しい証明書を正しい運用で，セキュアなインターネットを！enjoy!

関連：
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
携帯電話とSSLルート証明書

Movable Type 4.1x をお使いで、カスタムフィールドを利用している場合、4.2 へアップグレードは行わないでください。

Six Apart - Movable Type News: MT4.1x とカスタムフィールドをお使いの場合は MT4.2 へのアップグレードはおまちください

んなこと6日後に言われたって，遅いっちゅーねん．

Movable Type 4.2 のリリース後、重要な2つの問題を確認しました。この問題を解決した新しいバージョン Movable Type 4.21 の提供を開始します。Movable Type 4.21 で解決される問題は次のとおりです。

• カスタムフィールドのデータ: エンタープライズ, コミュニティー・ソリューション含む MT4.1x から MT4.2 にアップグレードを行う際、その Movable Type でカスタムフィールドを利用しており、100以上のデータを持っていた場合、カスタムフィールドのデータを一部消失する可能性があります。

Six Apart - Movable Type News: [重要] Movable Type 4.21 出荷開始

仕方がないので，4.21に上げた次第です．別に，カスタムフィールドの内容は消失してないと思うけど・・・．未確認ですorz．

200808232253追記：
カスタムフィールドの内容は全部消えてました！ちょー涙目ｗｗｗ．面倒くさいから，過去の記事はさようならの方向でｗｗｗ．

200808232325追記：
どうもカスタムフィールドの内容は編集画面等には出てこないし，バックアップにも記録がないけど，パブリッシュされると何故か表示される．どこかにデータはあるようだ．DBをダンプして，救出しろってことだろうか．救出したところで，どうやって戻してやればいいかわからなくて，涙目．もうつかわねーよ！うわーん．

ブログ・ソフトウェアおよびサービス大手のシックス・アパート株式会社（本社：東京都港区、代表取締役：関 信浩）は、ブログ･ソフトウェア「Movable Type 4.2」が、株式会社ミクシィ（本 社:東京都渋谷区、代表取締役社長: 笠原 健治）が本日発表したOpenID認証サービス「mixi OpenID」に対応したことを発表します。シックス･アパートは「mixi OpenID」認証を利用可能にするMovable Type用プラグインを開発し、本日よりMovable Typeユーザー向けに「Movable Typeプラグインディレクトリ」にて無償で提供します（mixiCommentプラグイン）。

Six Apart - シックス・アパートが、Movable Typeを「mixi OpenID」に対応

mixi OpenIDが始まったので，MTの対応をｗｋｔｋしていたわけですが，即日対応とはやりおるわ．OpenIDファウンデーションは名ばかりじゃないってことですね．というわけで，超高速で対応してみた．誰か，mixiでコメント付けてみてくれぃ！

関連：
速報、1500万人が使える mixi OpenID の技術面を解説するでござるの巻 - Yet Another Hackadelic

200808201846追記：
ちょｗｗｗ．mixiなidが表示されてるからｗｗｗ．これはまずいｗｗｗ．コメントテストしたけど，消しますorz．

nicknameがSREGから取得されます．urlにmixiのidがばっちり入ってます．

MT4.2が正式リリースされたので，早速入れてみた．アップグレード時の注意事項があるので，参照されたい．別に，気がつかなかったら気がつかないなりに，それなりに動作しそうな気がする程度の注意事項なので，適当に自己責任で．

新機能というか機能改善というか，いくつかあるわけですが，どうにもこうにも，テンプレートを新しいのにしないとダメみたいです．面倒なので，対応しなくても良いかなって気分で．それ以外ででかいところといえば，OpenID2.0対応かな．たぶん，コメントを付けるときに，Yahoo!でログインできるようになっていると思います．確認してないけど．

てか・・・．過去のタグがぶっ壊れてるんですけど・・・．

200808151853追記：
これって，標準の機能じゃなくて，プラグインだった．TaggingHelperっていうプラグインで，MT4.2対応版が出てました．一安心．

200808151908追記：
でも，やっぱりダメでした＞＜．

リファラではじく策を講じたところ，全く無力だったので，新しい策を講じます．同時に，リファラではじく作戦は終了します．意味なかったorz．

新しい作戦として，MT-Keystrokesプラグインを導入しました．「投稿」ボタンを押さなくてはいけないので，対スクリプトには強そうです．期待して入れてみる．入れ方はこのサイトを参考にしました．MT4.1に導入しているので，手順3の「コメント・プレビューのテンプレートを修正する」は不要でした．いいね！

ただ，逆にこのプラグインはMT3を対象にしているらしく，MT4以降では動作しません．

1.MT-Keystrokesプラグインで問題がおき、再構築できず。

3.3で使用していたコメントスパム対策のため導入した「MT-Keystrokes」も忘れずにセットアップしたのだが、どうもそれが原因で問題が起きていることが推測された。
keystrokes.plの中でMTのバージョン確認を行っているので、下の3のところを4に変えることで解決。

まゆさんのつぶやき: MT3.3から4.0へアップグレード時のトラブル

とこのことなので，仰せのままにkeystrokes.plの65行目を修正．

return 1 unless $MT::VERSION =~ m(^4\.);

簡単ねっ！しばし，様子見．

6. なお、「フォクすけ」バージョンのブログパーツは、先着3,333サイト様限定で提供。

Firefox3への移行状況、ブラウザのシェアを調べるブログパーツ

というわけで，速攻で確保してみた．フォクすけかわいいよフォクすけ．さぁ，このサイトのFF3移行率はどのくらいだろう．結構高そうな気がするが・・・．

関連：
サイト訪問者のFirefox3移行状況をチェックできるブログパーツ「FoxMeter」 - GIGAZINE

CAPTCHA認証を外して，コメントスパムの様子を眺めていたのですが，61件/15日なので，看過できません．よって，新しい方策を試みます．

コメントを付ける際はリファラ送信でお願いします．

アイディアは至って簡単で，スパムはcgi直叩きだろうから，リファラは付けていないだろうという考え．ログを確認しないで試みてみる．セキュリティソフト等でリファラ抑制をされている方で，このブログにコメントを付けようとお考えの方は，お手数ですがリファラ送信にてお願い致します．

暫し，様子見．

CAPTCHがスパムです！

との指摘を受けました＞＜．ボット等によるコメントスパム対策で導入していたんですが，人間すらも排除してしまうようなので，コメント欄におけるCAPTCHA認証の使用を中止したいと思います．ログを見る限り，コメントスパムは少ないみたいなので，様子を見たいと思います．ダメだったら，また考える方向で．