コルネリウス・アルバ。駆け抜けた33ページ。
空の境界の一番の名場面(?)
どうしてもここの描写に期待していたのだが、結構あっさり風味。
しかしまぁ、レベルは高い。
2時間、どっぷり世界観に浸かった。
映像、音楽、原作の雰囲気の映像化。どれをとってもこれ以上は考えられない。
雰囲気を重視しているからなのか、話をとにかくぶちぎるところは若干(?)気になった。
時系列がわざとぐちゃぐちゃにされちゃっているので、原作既読の私でも混乱した。
未読者は多分、ついていけない。
で、本編以上に気になったのだが次回予告。
ついに妹のターンですよ。らっきょではアルバに次ぐ萌え要素。
期待してますよ。
相当以前に見たことがあったのだが、それを忘れててランキングにあるのを見て、爆笑してしまったので、マイリストへ。
ダンスがうまいのがシュールさに拍車がかかる。ネタもいかしてる。
昨日の深夜にしった驚愕の事実。
いったい俺はこの事実を知らずに何年SSHトンネルを使ってきたのかと・・・
というのも、今までアクセスすべきマシンが一個しかなかったから、気づきようもなかったというのが言い訳というかほんとのところ。(ただの不勉強だが・・・)
それまで、SSHトンネルはSSHサーバが動いているサーバ単体に有効な機能だと思っていた。2つパソコンがある場合は、それぞれにSSHを接続する必要があるものだと。
だって、ポートフォワーディングっていうじゃん。PCとサーバで一対一だと誤解してもおかしくなくない?
だから、下の説明を読んだときのITリテラシー的なギャップにショックをうけた。
トンネル
SSH暗号通信 ポート22 平文通信
localhost ――――――→ SSHサーバー(A) ――――――→ 接続先ホスト(B)
ポート1111 ポート2222localマシンの1111番ポート接続を、****サーバーの2222番ポートに転送(ポートフォワーディング)する。
localhost と host A の間は SSH で保護され、host A と host B の間は保護されない。
(中略)
ここで言う host Bは 、host A から見たときの host B であることに注意。
ホストBが192.168.0.2とかだったら、ルータ外のlocalhostからでもルータ内のサーバAからでも同じ192.168.0.2でアクセス出来る。
なんだこれ?もうVPNと一緒じゃん。VPNはあんなに大げさなのに、俺、こんなに簡単にやってていいんかいな、みたいな。
トンネル掘っただけでやりたい放題?
Windowsのファイル共有も下のリンクの方法でうまくいきました。
SSH経由でファイル共有
リモートデスクトップも、リナックスにSSH接続しただけで、接続出来ました。
なんとまぁ。
とりあえずサーバ移行に必要な要件はこれで全部満たしちゃったかも。
WEBの方をガチガチにしても、rootでログインしているような状態では意味がないと思われたので、sshの方もパスワード認証を禁止にした。
CentOS5 + OpenSSH + PuTTY の方法は沢山事例があるので、一点トラブルはあったものの、全体としてはスムーズにいった。
まずは、下記の通りに鍵交換方式の設定。
に従って設定を進める。一つ注意するところが、うちの環境だと
$ chmod 600 $HOME/.ssh/authorized_keys
だと、PuTTYからログインしようとすると、
#tail -f /var/log/secure
が
Authentication refused: bad ownership or modes for directory /home/hogehoge/.ssh
とエラーが出て失敗する。
SSHについて
を参考にして、
$ chmod -R 700 $HOME/.ssh
とフォルダごと、700の権限を与えてあげると、今度は成功した。
次に、rootでのログイン制限と、パスワードでの認証不可の設定。
CentOS 5 Sixwish 標準最小構成化マニュアル
の「SSHの設定変更」を設定したところ、うまくいった。
どうやらPuTTYは(?)鍵認証に失敗すると、パスワード認証を試みる仕様らしく、最初は上の設定ミスに気づかずに、出来た出来たと喜んでいたが、どうやらパスワード認証で入っていただけだったようだ。なぜかパスワード認証不可(PasswordAuthentication no)に設定すると、ログイン出来なくて、調べたら上の問題が原因だった。
2009.12.23追記
このエントリは内容が古いかもしれません。
まず一番下を読んで頂くようお願いします。
==========================
現在稼動しているサーバーは、このblogのほかにwikiも動かしていて、そちらは主に私の恥ずかしい方面の日記を記している。誰にも非公開。自分だけ。けど、どこからでも読み書きしたい。で、今はこのwikiはSSL+Windows統合認証でセキュリティを保っているつもり(あくまでつもり)。
これに類することを新サーバでも行いたかったので、標記の通り。
とはいえ、これに関してはあまりにも完璧なサイトがあるので、その通りにやれば出来てしまった。
CentOS の Apache でクライアント証明書認証
追記することとして、あらかじめ、
# yum install mod_ssl
を行っておく。
注意点として、上記は証明書の有効期間を30年に設定しているが、これだと、途中で
entry 1: invalid expiry date
というエラーが出る。
2038年問題勃発
伝統的なUnixのC言語のtime関数の限界って 2038年にくるんだったよ。 ということは今年以降は30年を越えるような計算はすべて不正になってしまう訳ね。という訳で、CAの有効期間を20年とすることで取り合えず正常に処理はできましたが、このままでは2038年問題はその10年程度前に問題が顕在化するわな。
とのことで、私も20年にしておいた。
以上。
実際に使ってみた。
上記設定後に、httpsでログインしようとすると、証明書のインストール画面が出てくる。通常はここで適当に選んでいくと、なんかページが見えてしまうが、今回は見れない。
そこで、上記で作ったクライアント証明書ファイルをコピーしてきて、インストール。
ファイルをExportしたときに設定したパスワードを入力
再度、アクセスしようとするとなんか出てくる。
で、OKして、ブラウザをごにょごにょやれば、見れるようになる。
はずだったのに、失敗しました。今回、ブログを書きながら作業を進めていたので、まさかここまできて失敗するとは思いもしませんでした。あまりのかっこ悪さに寝込んでしまいました。(単に深夜作業になっていただけ・・・)
最初の問題は、
「この Web サイトのセキュリティ証明書には問題があります。: この Web ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません。」
と出て証明書がエラーを吐いていること。
これは、なんだかよく分かりませんが、下の解決編の後、クライアントPCの日付を2日先に進めてみたら解消しました。証明書を作ると、有効期限が翌日から始まるみたいです。
で、次が本番。
証明書が、
「証明のパスの証明機関は証明書を発行する権限がないか、この証明書をエンドエンティティ証明書として使うことができないため、この証明書は無効です。」
とか出て不正な証明書扱いされて、うまくいかない。
これについてはのべ2日に渡ってググりまくったところ、下記のサイトが参考になった。
Apache + mod SSL / openssl.cnfの初期設定 / X.509v3 Basic Constraints
結論から言えば成功したのだが、イマイチ理屈が分かっていないので、あくまで暫定版として、うまくいった方法を書き連ねてみる。
CentOS5 + Apache2 + mod_SSL でクライアント証明書認証をやってみる<解決編>
参考文献:CentOS の Apache でクライアント証明書認証
基本的にこれに沿って作業する。
(1)前回失敗した作業を全て削除
#cd /var/www/ssl
#rm -rf *
(2)openssl.cnfをCA証明書用に設定
# emacs /etc/pki/tls/openssl.cnf
[ usr_cert ]セクション
##basicConstraints=CA:FALSE
basicConstraints=CA:true
keyUsage = cRLSign, keyCertSign
nsCertType = sslCA, emailCA
(3)参考文献の「◆認証局CAの作成」を実行
(4)openssl.cnfをサーバー証明書用に設定
# emacs /etc/pki/tls/openssl.cnf
[ usr_cert ]セクション
####CA
#basicConstraints=CA:true
#keyUsage = cRLSign, keyCertSign
#nsCertType = sslCA, emailCA
####Server
basicConstraints=CA:FALSE
nsCertType = server
(5)参考文献の「◆apacheのサーバで使うサーバ証明書を作成」を実行
(6)openssl.cnfをクライアント証明書用に設定
# emacs /etc/pki/tls/openssl.cnf
[ usr_cert ]セクション
####CA
#basicConstraints=CA:true
#keyUsage = cRLSign, keyCertSign
#nsCertType = sslCA, emailCA
####Server
#basicConstraints=CA:FALSE
#nsCertType = server
####Client
basicConstraints=CA:FALSE
nsCertType = client,email
(7)参考文献の「◆クライアント側の証明書を作成」
以上。
で、完了。でも、オレオレ証明書・・・
2009.12.23追記
参考文献様の記事が修正されてます(リンクも変更になってます)。
CentOS の Apache でクライアント証明書認証(修正版)
私は試していないので、まだなんとも言えませんが、当エントリは必要なくなった可能性が高いです。ご注意を。
(最近のお気に入りは、タイトルだけ読めば、本文を見る必要がない感じのエントリ作り・・・)
簡単といえば簡単だったし、苦労したといえば苦労した。
主に苦労した点は2つ。
1.どこ探してもVMware Consoleがない。
私は、過去にVMwareを使ったことがあるので、当然サーバーと同じところにあると思っていたのだが、どこにもない。ググっても出てこない。
Serverをインストールしている最中に、httpのポートを聞かれて、「あー、VMwareもWEBで使えるようになったのかな?」と思ってからさらに一時間くらいネットをさまよって、たどり着いたのがこのページ。
Linux で VMware Server 2 を使ってみた。
VMware Server の最新版、2 は、何が目玉かというと、管理がブラウザからできること。
というわけで、どうやらWEBでしか出来ないみたいで。
2.VMware Toolsが見つからない
ぐぐってみると、Fedoraに入れるのに苦労している記事はよく見つかるのだが、Windowsゲスト用のVMware Toolsが見つからずに英文マニュアルとかをひたすら読んでたら、一番手前にあった。
それ以外は、特に詰まなかった。
適当にメモ。
初めは下のページを見ながらやっていたので、
VMware Server on CentOS 5.1
VMware Serverのインストールに先立って準備が必要。
YUMでDevelopment Tools、kernel-develおよびxinetdをインストールしておく。* # yum groupinstall “Development Tools”
* # yum install kernel-devel xinetd
これをしていた。必要だったのかは分からない。
ゲストをインストールするときに、初めは物理CDドライブを指定したかったが選べなかった。うちはUSB外付けのドライブだけど、いつ接続してもX上では認識していたのだが、どうやら、接続後にOS再起動しないとVMwareから見えるようにならないみたい。
いじょ。
公式の説明書通りやっただけで、インストール完了。
MovableTypeからの移行もメニューに従っただけで、普通に動く。
笑っちゃうくらい簡単。(※MovableTypeのインストール経験が前提)
まぁ、パーマネントリンクが壊れるとか、気にする人は気にする影響はあるみたいだけど、幸い私は全く興味がない。
とりあえず、外向けサービスに関してはこれで完了。
後はファイルサーバだとか、Diceだとか、その他Winアプリとかの代替を探せば、主従の切り替えはもうすぐ。
MovableTypeの引越し(2) Windows上のMTデータをLinuxに移行
MovableTypeの引越し(1)
MovableTypeのバックアップ&復元で、画像等の移行に失敗する件、の続き
しょうもない妥協案を思いついて、とりあえずそれで落ち着いてます。
以上。
だいぶ正規の方法とは違うが、少なくても見かけ上は分からないハズ。
MTに画像がアイテムとして登録されなかったりするが、全く気にしないところがこの方法のしょうもないところ。
出来てませんorz
おかしい。
一昨日、「ずいぶん簡単になったね」ってエントリを書く瞬間までいっていたのだが、一部の画像ファイルが引越し出来ていないのを発見してしまったのを皮切りにやればやるほど、どつぼに嵌っている。
一回、間違ってこっち(現稼動中)のブログを消しちまったよ・・・
さすがにバックアップ&復元を何十回とテストしているので、腐るほどバックアップは取ってあったので、一見元通りに見えるが、確認してないのでわかんね。もう疲れた。
何がどうなっているのかわかんね。
manifestって方で復元しようとすると、一個ずつ画像ファイルを指定しないといけない。100近くあるのにそんなもんやってられん。大体3個くらいで飽きて中断してしまう。
xmlだと、即効で親オブジェクトが見つからないとかでエラーを吐きやがる。
つーか、一番初めはどうやって成功させたのかすでにわかんねー。
(画像はなかったけど・・・)
いいかもう、画像なんていらねーや、ってのが最近の気分。
寝る前にちょっと、みてみたらこんなんだった・・・
なんだこれ?
そいえば、オバマ就任おめ。
