2017年12月14日木曜日

Cintiq Pro 16におけるMINI Displayport(DP)の変換について。DP変換が出来ない、映らない、を解決。

WACOMが(あからさまな)手抜きとしか思えないUSB-Cを採用したせいで、検証に結構お金をつぎ込んだ。

直付け
まず、液晶タブレットとPCを直付けするには、「PC側にUSB DP 「Alternate Mode」(Alt Mode)対応のUSBポート」が必要。
これはUSB-Cの規格をちゃんと理解していかないと分からなかった。2014年に発表されたばかりで、そもそも普及期に入っていない。
いわゆるThunderbolt3規格に完全に沿った物でなければならない。
現状でDP対応しているPCは限りなく少なく、Apple関係(2016年末~)とGIGABYTEやASUS(asrock)の限られたマザーボードのみ。
大半のPCは、wacom link経由で接続することになる。

余談だが、今回2chも結構見たけど、だらだらレスが続く割には「何故そうなのか」が書かれていなかったので、
結局画を描いてるユーザ層はPC方面に明るくないんだろうなあと想像。

WACOM LINK経由での接続
各種変換ケーブルを買いあさったが、一向に繋がらなかった。それもその筈。入出力を間違えていたから。
簡単に言うと、中学校レベルの話をすっかり忘れていたことが原因で繋がらなかった。
あくまでもPC側が入力で、液晶タブレットは出力側ということ。
セットアップ時に液タブからUSB-Cが生えてようが、タブレットという入力デバイスであろうが、液タブは出力。
なので、購買すべきはHDMIやDVIに変換するものではなく、「DisplayPort(もしくはmini DisplayPort)に変換するもの」だった。
幾らアクティブ変換の変換ケーブルやドングルを買ったとしても、逆方向には変換が効かない。
ここポイント。
もう一度言います。
けして逆方向には変換が効かない。
「DP→各種ポート」を買っても金の浪費なだけ。(クロックジェネレータで)アクティブ変換と書かれていても、信号方向が違うから無意味。

そうなると物は限られてくる。
ASROCKと並ぶ(と思っている)変態メーカーアメリカ「スターテック」社のHD2DP(wacom検証済み)。
https://www.startech.com/jp/AV/Converters/Video/hdmi-displayport-converter-4k~HD2DP
これが実売6000円以下位。
もしくはHD2DPVGADVI(僕が検証済み)。
https://www.startech.com/jp/AV/Converters/Video/hdmi-to-displayport-vga-dvi-adapter~HD2DPVGADVI
これが何故か3000円くらいだったけど、今見たら1万円まで上がっていた。何故。

日本が誇る汎用品メーカー「サンワサプライ」社のAD-DPFHD01(wacom検証済み)。
https://www.sanwa.co.jp/product/syohin.asp?code=AD-DPFHD01
これが4500円くらい。

あとは、みんな大好き中華の力「Ugreen」社のHDMI to Displayport Converter Model No.: 40238(これから検証予定)
http://www.ugreen.com.cn/product-924-en.html
これが3500円以下くらい。

日本では多分この4つしか買えないし、どれもamazonを見ている限り、普通に変換できている。
逆に、この4つしか選択肢が無い。サードパーティに依存するとか(しかもこれらの製品メーカーとつるんでるわけでは無いとか)勘弁して欲しい。

以下、wacomへの愚痴。
絶対中の人はとち狂ってるとしか言い様がない。
今現在でDisplayportのシェアはかなり低い。
一時期DPを流行りかけたこともあったが、いつの間にか収束してしまった。
これが3年前くらい。
ライセンス的にDPはHDMIに対して有利なだけで、今となっては普及率に差がありすぎる。
普及率は、カカクコムで液晶ディスプレイの数を端子で絞り込めば良い。
HDMIはDPに比べて2倍。3倍近い数ヒットする。
グラフィックカードもそう。
HDMIはメインで使ってそうだから、という言い訳をしそうなので、じゃあ次の候補は何かと言えば、間違いなくDVIである。
これも普及率。
察するに、wacomは「Apple対応面倒臭ー、お、USB-Cとかあるやん。AppleユーザーはチョロいからみんなTB3乗った奴に買い換えとるやろ。
DP?画を描くような奴はグラボ入れとる、へーきへーき」位でやったんだろう。
そしてオンボードユーザやモニタとDP接続していて1ポートしか無いユーザが泣きを見るという展開。
これから流行る、これから流行るって思いながら作ったんだろうけど、PCと一緒にくそ高いタブレット買い換えるってどんなブルジョアだよ。

因みに、どうもこのwacom link、公式的には2k出力しか出来ないと言っているが、usb dp対応のusb-cケーブルなら4k出力できるらしい。
そしてそれをお勧めは全くしない。
なぜなら、16インチで4K接続とかどんな拷問だよ、ということ。
拡大率調整でリッチppi!とかそんなのどうでも良いからコストダウンに精を出せば良い(4KコストをHDMIライセンス料に回せば良かったのだ)。
市場調査くらいはして欲しい。本当に。
wacomにも何度も煮え湯を飲まされ続けているので、そろそろ我が儘につきあいたくなくなってきている。

2017年10月27日金曜日

機種変で分かったwindows10mobileの良いところと悪いところ

blackberryPASSPORTの調子が悪くなったので、vaio phone bizに乗り換えを図ることにした。
ヨドバシカメラで3万円なり。
windows 10 mobile、サポート終了が宣告されているにしては強気の値段である。

いいところは、
・軽快な挙動
カメラを除いたすべての挙動が軽快。
ミドルレンジ端末とはけして思えない軽快さ。
・UIが秀逸
本当に良く出来てると思う。アイコンのグループ化や、アイコンの挙動、設定の呼び出しや通知など、
作り込まれたosであることは明白。
ほぼWindowsの挙動なので、学習コストが低い。
・デスクトップ(Windows)との情報統合環境
マイクロソフトアカウントによる情報統合がなされるので、楽。
・信頼性
魂(情報)の売り先としてはマイクロソフトは未だ良い方。流石にgoogleやAppleには売れない。

悪いところは
・挙動が安定しない
ロック中、かつ通話中にメールを受けると、PINパスワードを打てなくなり、電源長押しで強制終了の憂き目に遭うとか、泣きたくなる。
・各種ソフトウェアが正直使い辛い
特にメール。outlookに振り分け機能が無いので、メールが非常に読み辛い。
フォトの参照が指定フォルダのみで、いちいちエクスプローラーで見なければならない。また、エクスプローラーの作りも雑。
・Office365とは何なのか
上記に関連して、office365に含まれるoutlookをwindows10mobileで使いたくても使えない。
なんとwindows 10 mobileで使えるoffice365は、「word」「excel」「power point」の3つだけだそうだ(マイクロソフトに電話確認した)。
・bluetoothが安定しない
ハンズフリーマイクやスピーカー類をbluetoothで繋ぐと、ノイズが走ったり切断されたりする。
・電話とpeopleのシームレスな切り替えが出来ない
電話をかけようとすると、どうしても一度peopleに戻らざるをえないので、一手間かかってしまう。
・peopleの並べ替えが姓名のみ。あと挙動が遅い。
たとえば会社毎など、そのほかの並べ替えが出来ない。peopleでなぜか連絡先の再読み込みがかかる。それが遅い。1000件以上あるから?ビジネスマン舐めんな的何かでしか無い。

・追記
使えば使うほど気になるパフォーマンス
シームレスな切り替えが出来ない。多分昔のwindowsの悪いところを踏襲したと言えば、わかりやすい。
一瞬待たされる。アプリ内での挙動は快適だが、起動時にどうしてももっさり、というか一瞬待たされてしまう。
これが、people→ダイヤルのアプリ遷移等でぐっとくる結果になる。

端末単体だと、光検知のセンサーが、ガラスフィルムを貼ると感知しなくなる
(おかげで電話をかけると画面がブラックアウトしたまま、電話が切れない限りずっとその状態が維持され、操作不能になる)とか、
感知しないならしないで設定をいじれれば良いんだけれども、設定をいじれないとか。

総合すると、スマートフォンとして使うにはあまりに力不足。ビジネス用途としては使えないに等しい。
blackberryの方が数倍マシ。googleでソフト売ってるのも分かる。
使えば使うほど、ブラックベリーの使い勝手が凄くいい。これでハイパフォーマンスだったら完璧すぎる。

そもそも基本ソフトウェアの作り込みが足りていないため、使い込むには不自由すぎる。
大体office365がwindows10mobileを切り捨てている時点でお察しということか。
アドインを突っ込めない(iOS版は突っ込める)。
blackberryに戻るか戻らざるか考えている最中。
完全オワコンのblackberry(中国には魂を売りたくないので、またPASSPORTか)か、Androidかになる。

データ端末としては悪くないので(テザリングの手軽さも含めて)、使い続けてはいくと思うけど、ねえ。そりゃあゲイツもAndroidに乗り換えますわ。

追記
多分xperia zx1に乗り換えることになりそう。乗り換え時期は未定。3万台に落ちることは無さそうなので、4万台で買うことになる筈。

2017年9月22日金曜日

onenoteをインストールしようとしてはまった。akamaiとmicrosoftはツーカー

onenoteをインストールしようとしてはまったのでメモ。
プロキシでばしばしいろいろなところを切っているのだけれども、色々切りすぎて最近のインターネット様に対応できなくなっていたオチ。
edgesuite.net
がアカマイで、こいつを根元から切っていたのが原因だった。
 更に、wiresharkでログ取りして、http通信を眺めていたところ、
onenote.com
も開けないと同期が取れない事も判明。
microsoft officeは使用ドメインをきちんと書くべきだと思う。
そういえばazureもakamai提供だし、クラウドはマイクロソフト≒アカマイ関係なんだろうなあ。

2017年8月26日土曜日

起動時エラーが出るデーモンをつぶす

今日は何故か起動時エラーが出るデーモンをつぶす。
まず
rngd read error
と吐くrngd。
http://yokensaka.com/centos/?p=359
より
乱数を使った認証サーバーなどで使うデーモン

とのことで、使うなら恐らく何らかの設定が必要なのだろう。
また、乱数を使ったサーバなど立てていない(そもそもエラー)ので、こいつを殺す。
systemctl stop rngd.service
systemctl disable rngd.service
systemctl daemon-reload

次にfprintd。
これは
http://www.jitaku-svr.info/index.php?fprintd
より
指紋認証に使うデーモン
とのことなので、勿論要らない。
systemctl stop fprintd.service
systemctl disable fprintd.service
systemctl daemon-reload

最後に
ACPI Error: [DSSP] Namespace lookup failure, AE_NOT_FOUND (20130517/psargs-359)
をつぶしたかったが、どうやら単純に機材が認識出来ていないと言うことらしく、
https://www.linuxquestions.org/questions/slackware-14/acpi-error-%5Bdssp%5D-namespace-lookup-failure-ae_not_found-on-slackware-14-64-bit-4175448907/
を見てもBIOSをアップデートしろとしか言われなかった。

2017年8月15日火曜日

Netgearのarlo proでホームセキュリティを敷く

ぶっちゃけ「ホーム」では無いのだが、arlo proを使用したので設定関係のtipsと使用感。
レビューです。
 
監視カメラとしてarloを使用する場合、留意しなければならないことは3つある。

一つはずばりバッテリー。
人通りが多い場所に設置する場合、1ヶ月持たない可能性がある。
逆にバッテリー問題さえ解決してしまえば何とでもなる。
もしLANケーブルを引っ張れるのであれば、arlo q plusでPOE給電をお勧めする。
屋外ではそうはいかないのでバッテリー頼みになるが、大体30回程度1日に反応させると2ヶ月持つくらいである。
屋内でコンセントが近ければ、充電しながらの使用も可能。

二つ目は動体感知方式。
arloもarlo proも、PIRセンサーを使っているので、感知距離は4m~7m程度。

三つ目は録画開始タイミング。
公式でも1~4秒のラグがあることを明記しているので、素早く移動されると感知はするが、録画されたものには人が映っていないということがある。
ラグは無印arloの方が激しいし、バッテリーが電池なのを鑑みると、数年使うならproをお勧めする。

これら3つを勘案して、設置場所を選定することをお勧めする。
屋内で組むのであれば、arlo q plusを組み合わせてやることをお勧め。有線で検知方式が画像差分方式、且つ録画は数秒「前」から始まる。


利点・メリット
兎に角arloの利点はワイヤレスであること。ケーブルの引き出しをしなくて良いので、どこにでも付けられる。

また、基本はクラウド録画で、インターネット接続が切れた場合且つローカルストレージ(USBメモリなど)があれば、そちらに書き出してくれる(インターネットに接続された際にクラウドに送られる)。

設定が簡単。ベースステーションとのリンクはボタン式で、繋がってしまえばウェブ上で設定することになる。

思った以上に綺麗。光量があるところなら、そこそこ見られる絵作り。

アプリも使いやすい。

難点・デメリット
設定が簡単すぎて細やかな設定が出来ない。ベースステーション枠で1カメラにつき1設定で設定するため、
ある時間帯のみ、あるカメラだけアラート送信して欲しい、みたいな事をしたくても出来ない。(下記追記あり)

感度設定がピーキーなところ。移動する人を検知する場合、動体感知は100%にしておかないと撮り逃す。
また、音声検知は環境音を無駄に配慮してくれるらしく、車通りが多いところだとエンジン音を検知してくれない。だからといってレベル5にすると検知が止まらなくなる。

ベーシックプランの1アカウント5台制限。
これはアカウントに紐付けられた全てのカメラをまとめて5台と言うこと。たとえばarlo pro4台とarlo q plus2台を同一アカウントで管理は出来ない。
ただ別アカウントも組み合わせて共有すれば良いのだけれども、初期セットアップの際に面倒。(下記追記あり)

ブラウザで見る場合はflashプレーヤーが必須。

要望したいことは、ローカルストレージへの同時録画。あくまでローカルストレージはインターネット接続が切れた際のバックアップ扱いなのらしいので、ここは改善して欲しい。(下記追記あり)

また気付いたら追記予定。

追記
スケジュール機能を使えば、ある程度複雑な挙動も出来た。
たとえば、カメラ1で音声感知した場合、カメラ1で30秒、カメラ2で50秒録画する、等。

あと公式フォーラム曰く、画質を上げれば電池消費は増えるらしい(UIの説明書きが間違っている)。当たり前と言えば当たり前な話。

ローカルストレージは、クラウド関係なく録画している気がする。現状2GB程度使用しているところからの想像。

1台運用だとスケジュール機能が不便なので、想定2代運用~みたい。

バッテリー(電源周り)に若干問題がある。癖が強い感じ。
バッテリー挿入後、青ランプ点灯→消灯(これでバッテリー認識)。
その後、青ランプ点滅(ステーションとのリンクアップ)まで確認しないと、たまに接続をミスってそのままになる。
点滅して接続しない場合、バッテリーを抜き差しして点滅まで確認すること。
また、バッテリー挿入・取り出しの際に、充電中だとこれもまたリンクアップをミスったりする。
充電ケーブルは、arloが仕事をしていないとき(ランプ点灯が無いとき)に抜き差ししないと、これも問題になる。要は落ち着いて作業しましょうと言うことらしい。
因みにバッテリー無しでも、usb給電で動作することを確認した。※タイミングによってバッテリー無しだと駄目みたい。まだファームウェアが成熟しきってないのかな。

arlo関係のエントリーがたくさん増えたので、右側にあるラベルからaloを選択して記事見てください。不具合や、解決用のtips書いてます。

全くarloとは関係ないけど・・・
Planexのカメラ一発は兎に角不安定なのが敗因なんだよなあ。
遠隔で見ることは出来てもNAS録画されてないとかどうしてくれようと思うことが多々ある。
で、一番の解決策は再起動という・・・。1000円位の電源タイマーを組み合わせないと連続常用は難しい。

2017年7月10日月曜日

Proselfを弄ってみた。

Proselfを弄ってみた。
詳しいことは書かないけど、弄る機会がありまして。
UIは、なんというか、owncloudチック、というか丸パクリ感。
使いやすいUIをまんまパクるそのスタイル、嫌いじゃ無いです。
ver.4はまだ昔のストレージ感あるのにね。
機能面では、痒いところに手が届く感じはしました。gigaccとは大違い。
なんというか、Proselfは、ユーザフレンドリーなのに対して、gigaccは大上段に構えてる感じ。
詳しく弄ってない前提で、印象だけ語ると、色んな意味でがちがちなのはgigacc。組織ベース。上長確認システムとか旧態歴然とした組織にはがっつりはまります。でも融通は利かない。
Proselfは、ファイル主体。組織システムにがっちり合わせるというよりも、個人とグループというまとまりで管理するから、昔のはんこ回しとかはやらないよ、という。
FAQにもそれは現れていて、きめ細かいFAQが載っているのがProselfの方だったり。

FAQの話ついでに。
SSLプロキシを設定してから分かってきたことは、XSS対策としてリファラの参照を用いることが多いようなこと。
詳しく見てないけど、恐らくadobeもgoogleも画面遷移させる上でやってる。
Proselfもそうで、
https://www.proself.jp/support/faq341/
https://www.proself.jp/support/faq335/
とのこと。うちは勿論リファラ全切りなので(ブラウザは偽装だし)、勿論引っかかる。
ただ、リファラの偽装は昔からの手段で、携帯サイトを覗きたかったり、ブラウザ指定を回避する際にも弄る場所(だよね?)
XSS対策で入れるのは分かるけど、コントロールしたい人や企業は相当苦労しそう。
だからProselfは外せるようにしているんだろうし。

2017年7月6日木曜日

ntpを設定するのと、squidプロキシを噛ませてyum出来るようにする

最近ファイルスタンプのずれが気になるという声が「やっと」聞けたので、ntpを設定していこうと思い立った。
もののついでに、SSLプロキシがはまったせいで、yumさえ出来なかったサーバプロキシの設定をしてyum出来るようにする。

まずゲートウェイサーバをNTPサーバにする。と言っても、外部NTPサーバと同期させるというだけである。
詳しいNTPについては
http://tech.ckme.co.jp/ntp.shtml

環境はcentos5~7、192.168.168.1がプロキシ兼NTPサーバとする。

yum install ntp
設定ファイルを編集
vi /etc/ntp.conf
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap <これをコピーして下で編集
restrict 192.168.168.0 mask 255.255.255.0 nomodify notrap

あと同ファイルで
server ntp.nict.jp#<<公開NTPサービス
server ntp1.jst.mfeed.ad.jp#<<公開NTPサービスに同期している会社の公開NTP
server ntp2.jst.mfeed.ad.jp
server ntp3.jst.mfeed.ad.jp
server 契約しているISPのNTPサービス
#server 0.centos.pool.ntp.org iburst#デフォルトのはコメントアウトして負荷を減らす
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst
これで設定終了。

ntpdate ntp.nict.jp
で手動同期。

systemctl start ntpd
systemctl enable ntpd
で自動起動させる。

iptablesでFW機能をさせているので、iptablesにローカルから自機へのNTP問い合わせ許可設定をする
iptables -I INPUT -p udp --dport 123  -s $trusthost -d $mylanip -j ACCEPT
*$trusthostはローカルIP群、たとえば192.168.168.0/24、$mylanipは、LAN側のIP(この場合は192.168.168.1)。厳密にしないなら-sと-dは無くても良い。

次に、クライアント側設定。
プロキシを通すので、yumの設定ファイルにプロキシを追加
vi /etc/yum.conf

#proxy=http://PROXY-SERVER.ADDRESS:port
proxy=http://192.168.168.1:8080


プロキシの噛ませ方は、以下のページが詳しい
http://fj.hatenablog.jp/entry/2014/08/20/204554

で、サーバと同じようにyumでNTPを入れる

yum install ntp
設定ファイルを編集
vi /etc/ntp.conf
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap <これをコピーして下で編集
restrict 192.168.168.0 mask 255.255.255.0 nomodify notrap
更に、サーバはnictを登録したけど、クライアントはnictを参照させず、NTPサーバを参照させるので
server 192.168.168.1
とする。
ntpdate 192.168.168.1
で手動同期。

systemctl start ntpd
systemctl enable ntpd
で自動起動させる。

追記
上記でも良いけど、設定しながら「これってntpdateをcronで動かした方がリソース消費しなくね?」という事実に気付き、上記の設定ファイルの編集をせず、たとえば
vi /etc/cron.daily/ntpdate_update.sh
とかで新規ファイルを作って
#!/bin/sh
ntpdate 192.168.168.1
で保存し、
chmod +x ntpdate_update.sh
で実行権限付けて、デーモンは動かさないことにした。クライアントなんだから走らせ続ける意味はないわな。
まあ別に走らせても良いと言えばいいわけで(どうせローカル参照だし)、取り消し線で済ませておくことにする。

手動あわせしようとした際に出る「the NTP socket is in use, exiting」というエラーメッセージは、読んで字のごとく、「NTPソケットはもう使ってるから!」と言われている。
おとなしく
systemctl stop ntpd
なり
service ntpd stopなりでNTPを止めてから
再度実行して下さい。

備忘録
オレオレ証明書等ルート証明書をlinuxに読ませる場合
centos7
https://cloudpack.media/14148
/usr/share/pki/ca-trust-source/anchors
に証明書をコピーして
update-ca-trust extract
を実行

centos5~6
https://wp.kaz.bz/tech/2013/05/02/1651.html
/etc/pki/tls/certs/にコピーか、
/etc/pki/tls/certs/ca-bundle.crtに追記する。

2017年7月1日土曜日

別環境にファイルサーバを据えたら認証で待たされる(遅くなった)。サーバが参照するdnsサーバを疑え

念願のclassB環境にネットワークを移行させたのは良いものの、結局トラブった。
classC環境(いわゆる192.168.x.x)からPC台数と管理の関係でclassBに移行したのだけれども、
何故か社内の特定ファイルサーバだけ、認証画面に行き着くまでかなりの時間(数十秒)待たされる。
認証してしまえば全く問題なく使えるのだけれども、統括部内だと全ての部署に配置されているファイルサーバに接続するため、
いちいち時間がかかってしようが無い。

結論から言うと、サーバ側の問題だったが、まあおつきあい下さい。
環境はcentos 5x~7xまでばらばらだが、centosとsambaで構成されたファイルサーバ群。クライアントは大半がwindows10。

まず疑ったのが、クライアントPCのルーティング。
クラスC環境は全て取っ払った」ので、192.168とか吐いたら間違いなくそれの筈。
そこで、Wiresharkで通信ログを取るが、
全てDHCPで管理しているので、ルーティングをしくじっている気配は無い。
192.168とか吐いていればこれだと言えるが、吐いているのはサーバ群のみ。
*このときに気付いていれば良かったが、CからBへの移行の際、シームレスに移行するためにファイルサーバにはIPアドレスを2つ(BとC)持たせていたので、別に不自然だとは思わなかった。

次に、正常なサーバと異常なサーバを比較。
smb.confを比較したが、特に引っかかるところは無かった。
強いて言えば、netbios_nameがあったりなかったり程度。
iptablesではじいてしまっているのかと思って比較するも、関係なし。
ただ、
いつもはさっと引ける「iptables -L」が異常に重い

google先生に
「iptables "-L" ローカルIPアドレス 遅い 表示」
で聞いてみると、どうやら名前を逆引き出来ないから、という結論に。
iptables -nLで逆引きしなければ良いよ、と教えて貰えるが、それはこの環境での答えとは違う。引いているのはローカルIPアドレスなのである。
ここら辺で、なんとなく名前の解決関係(DNS)がらみなのではと疑い出す。

ゲートウェイやDHCPはクラスB環境に移行していたので、最後にファイルサーバ群のネットワークの記述をクラスCのみにすることに。
ここで比較していると、一点だけ違う、奇妙なことに気がついた。
PEERDNS。
解説は
http://think-t.hatenablog.com/entry/20110113/p1
が詳しいのだけれども、あるなしの違いがあった。
正常に繋がる方は、PEERDNS=no、繋がらない方は記述自体が無い。
上記ページに従うと、resolv.confの記述内容を使うかどうかということ。
Centos5から使い続けていたので、NetworkManagerとは因縁がある。
もしNMを使っていれば関係ないのかもしれないが、
NMを使っていると、勝手にresolv.confを書き換えるので、意図的に停止させているのである。
なので、resolv.confの書き換えをしないと、設定は生きっぱなしになる。
resolv.confには、ばっちりclassCのDNSサーバアドレス。
しかも僕はご丁寧に(移行中だったからだけど)NICの設定ファイル(ifcfg-foobar)にも書いていた。

ということで、問題点は、
「存在しないDNSサーバにファイルサーバが問い合わせまくって、その問い合わせの答えが出ないから時間がかかりまくった」
ということでした。
解決法は
NICの設定ファイル(/etc/sysconfig/network-scripts/ifcfg-foobar)に正しいDNSサーバアドレスを書く
ことと、
resolv.confを見直し、ちゃんと正しいDNSサーバアドレスを認識しているかどうかを確認する
こと。

前者は、たとえばNICの設定ファイルがifcfg-eth1だった場合、
vi /etc/sysconfig/network-scripts/ifcfg-eth1
で、正しいDNSサーバのIPアドレスを指定する。たとえば
DNS=192.168.0.1
と記述してやる。
僕がはまったのは、サーバは番号を振ればいくらでも登録出来るので
DNS1=192.168.XXX.XXX
DNS2=172.16.YYY.YYY
のように登録して、DNS1は既に取り外していたこと。

後者も同じように、nameserver=でいくつでも登録出来るので、使う(使える)DNSサーバだけにする。

これで問題なくなった。

以下はgoogle先生に聞きまくったときに出てきた似たような事例。
残念ながら答えは出ていなかったが、恐らく問題は同じだろうと推察。
http://cgi.samba.gr.jp/mailman/archives/samba-jp/2013-July/003306.html
クライアント-サーバ間では全く問題ないログしか吐かないし、Wiresharkでも問題が認識出来ないのがミソ。

自分の関連過去エントリは
resilv.confとPEERDNSなど
http://roserogue.blogspot.jp/2011/10/cent-os6resolvconf.html

sambaがらみ
http://roserogue.blogspot.jp/2007/08/samba.html

2017年6月26日月曜日

SSLプロキシとして動作中のSquid内ネットワークでwindows機にwindows updateさせたい

もう透過プロキシなんて全く考えなくなってしまった僕です。
SSL対応させて分かったことは、もう透過させて何とかしようっていうのが無意味に感じたこと。
証明書読ませる時点で何やってるか自明ですやん・・・。

で、表題の件。
SSL bumpでSSL対応プロキシとして動作しているSquidを頂点としたネットワーク内から、windows updateさせようとしてはまった。
構成は

インターネット - Squid入りゲートウェイ - ハブで分かれたPC群(ほぼwindows10)

まず、Squid公式で、windows updateの項目を見る
http://wiki.squid-cache.org/SquidFaq/WindowsUpdate#Squid_with_SSL-Bump_and_Windows_Updates
To pass WU check through Squid splice, you only need to splice next MS servers:

update.microsoft.com
update.microsoft.com.akadns.net

For use in real setups, write file url.nobump:

# WU (Squid 3.5.x and above with SSL Bump)
# Only this sites must be spliced.
update\.microsoft\.com
update\.microsoft\.com\.akadns\.net

Just add this file as Squid ACL as follows:

acl DiscoverSNIHost at_step SslBump1
acl NoSSLIntercept ssl::server_name_regex -i "/usr/local/squid/etc/url.nobump"
ssl_bump splice NoSSLIntercept
ssl_bump peek DiscoverSNIHost
ssl_bump bump all

どうやらurl.nobumpに正規表現で書いたドメインをプロキシから除くということらしい。



centos7のrpmインストールなので、/usr/local/squidは/etc/squidに読み替え。
update.microsoft.com
update.microsoft.com.akadns.net
だけ接いでやればいいから!と読めるが、実はそうでも無かった。
実行すると、
一部の署名ファイルが正しく署名されていません。
エラー コード: (0x800b0109)
とでる。
恐らくオレオレ証明書を参照しているからだろうと推測できるが、となると全く接げてないじゃん。
で、更にgoogle先生にお伺いを立てると
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/
結構あるぞ・・・。
全部上記に追加して、Squidを再起動してみるが、駄目。
割り切って
windows\.com
windowsupdate\.com
microsoft\.com
とすると、繋がった。がばがばである。
ただ、アップデータをダウンロードするところまで見られていないので、もしかしたらダウンロードに失敗するかもしれない。
等と思っていたら、

が出た。
Squidログを見ていると、
live.net
live.com
宛てにも接続しようとしている。
なので
live\.net
live\.com
を追加して、事なきを得た。
筈だった。
たまたまonenoteを立ち上げたら、onedriveと同期できない。
で、google先生に再度お伺いを立てると、
https://support.microsoft.com/ja-jp/help/2894304
という、winhttpという機構にもプロキシを噛まさなければならないことが判明。
どういう理屈なんだろう・・・・・・・。
プロキシを通せば良いので、
netsh winhttp set proxy proxy-server="server-domain-or-ip-address:12345"  bypass-list=""
としてあげると繋がった。必ず管理者権限で動かすこと。バイパスは多分ローカルだけで良いと思う。
※12345はポート番号。
winhttpについては
http://www.maruko2.com/mw/WinHTTP%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%AE%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95

さて、SSLゲートウェイを通すためにユーザに配布するものを整理しよう・・・。
・自己署名証明書ファイル(.derファイル。ブラウザに読ませる)
・winhttpを設定するバッチファイル(管理者権限で動かすこと)
・windowsのプロキシ設定ファイル(設定のネットワークとインターネットから設定するシステムのプロキシをレジストリ直で書くもの。)
この3つかな。
多分透過で上手く動くのであれば、下2つは要らない。
最後の一つのレジストリ上プロキシの場所は
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

2017年6月24日土曜日

AMD APUのA10-7890Kで、D-SUB出力しようとしたら解像度ではまる

windows10をインストールした表題のA10-7890Kマシンで、何故か上限が1600×1200ピクセル止まりになって悩んでしまった。
そもそもモニタが非pnpディスプレイとして認識され、削除しようが結局同じ。
モニタのプロファイルを導入しても変わらず。
グラフィック側のプロパティで上げようとすると、インターレース扱いになる。
その解決法は、実は未だ分かっていないのだけれども、何故かDVI接続すると、DVIは1920出せる。
うちの環境だと、DVI一本だと表示さえされず、D-SUBとDVIの二本繋ぎでデュアルディスプレイとして認識し、ミラーリングしたらしっかり認識した(そしてその後はDVIのみで繋がっている)。
解決という解決ではないが、不思議。

2017年6月23日金曜日

squidをSSLに対応させたい。https通信なんて大っ嫌いだ・・・。

今回何をやったかというと、SquidのSSL対応である。その備忘録。やり方は後日ここにも書きます。ひとまずわかりやすいpslaboさんの記事の方へ

元々
http://pslabo.hatenablog.com/entry/20150703/p1
で、https通信、しかも透過型で噛ませられることは認識していた。
ただ二の足を踏んでいたのは、
・作っている暇が無かった。
 作るならゲートウェイサーバをすげ替えることになるので、何より面倒くさかった。
・透過型なのだけれども、証明書をクライアントにインストールしなければならなかった。
 実は結構これが大きくて、今はプロキシが噛んでいることをユーザは認識せずに使っているのだけれども、証明書を入れなければいけない時点で認識されてしまう。
 また、ゲストネットワークをどう認識させるかという問題もあった。ゲストがネットワークに繋ごうとすると、証明書のインストール必須だと、まあ誰も接続しないだろうし、接続したいと言い張られてサポートに人手が必要とか、切ないことになりそうだったので。

でももう背に腹は代えられなくなってしまった。
どうも社内ファイルがgoogleドライブで作業されているようなのである。
せめてoffice onlineなら分かる。お漏らし回数で考えると、圧倒的にまだマイクロソフトに分があるから。
googleはあくまでも自己責任ツールの集合体で、信用しても信頼してはならない。
大企業だからって信頼してはならないことを知っているはずなのに。
また、銀行系マルウェアに感染した人が居て、大騒ぎになった。愚かとしか言い様がないが、いとも簡単に感染してしまっているのが現実。
で、そのマルウェア、誘導にSSL使っていやがります。
今のままだと、まず間違いなくやられる。
ということで、以下を実行。
pslaboさん本当にありがとうございます。。。見ず知らずなのに即行エントリ書いてもらいました・・・。
http://pslabo.hatenablog.com/entry/2017/06/18/CentOS7%E3%81%A7squid%E3%81%A7SSL%E3%82%92%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%AA%E3%83%B3%E3%82%B0%E3%81%99%E3%82%8Bproxy%E3%82%92forward_proxy%E3%81%A7%E8%A8%AD%E5%AE%9A%E3%81%97%E3%80%81

はまったところは、透過プロキシとフォワードプロキシで動作が違うらしく、google「だけ」HSTS通信と見なされ、証明書エラーで通らないこと。facebookもtwitterもHSTS通信でも大丈夫だったのに。
透過プロキシだとどうしても通らなかったのが、通常のプロキシだと通るという・・・。
ここからカスタムしていくことになるのだけれども、まずはOK/NGという初期段階まではいけたということで。
#検証前だけど、googleがリダイレクト動作をしているので、そこで引っかけている可能性が高そう。どう回避するかなあ・・・。

2017年6月21日水曜日

WannaCry対策をする(SMB1からの決別)

WannaCryという米NSAの悪意あるお土産のせいで、世間が阿鼻叫喚になったのは記憶に新しいが、
まともに対策を書いていない感じがあるので、対策。
WannaCryの概要は
https://syobon.jp/2017/05/15/wanacrypt0r-spread-of-infection-around-the-world/
を拝見しました。

ファイルサーバがSMB1を使わないようにする。
sambaだと、SMB1で通信出来るようになっているので、明示的にSMB2以上で接続するようにsmb.confのglobal部分に以下を書く。
server min protocol = SMB2
もしくは
min protocol = SMB2

で、設定の再読込
service smb reload

クライアント側は、windows7以前のOSを排除する。
SMB2.0以降を使うOSだけにする。
その場合、古いAndroidも恐らく対象になる。具体的には、AndroidOS2.Xは全滅じゃ無いかな・・・。

また、win10でもSMB1通信が出来るので、出来ないようにする。
「Windowsの機能の有効化または無効化」の「SMB 1.0/CIFSファイル共有のサポート」チェックボックスを「外す」
http://news.mynavi.jp/column/win10tips/047/
URLは真逆のことをやっていることに注意。

ゲートウェイ上の対応は、とりあえずbotネットワークに組み込まれないように、torネットワークへの接続をしないようにする。
https://dist.torproject.org/への接続をSquidで切ったり、IPを引いてiptablesで遮断する。
http://roserogue.blogspot.jp/2014/01/toriptables.html

あと出来れば、脅威の主体国が保持するIPアドレスに対してアクセスしないようにするのが適当だけど、仕事上そうも行かない可能性が高い。
ロシア、中国、イラン、北朝鮮、パキスタン、シリアへのアクセスは本音では切りたい。
個人的にはスプートニクが見られなくなることが残念だけど。

https://www.osstech.co.jp/support/2017-05-16
は眉唾だなあ・・・XPがある環境だとSMB1に対応せざるをえないからなあ・・・。
まさかとは思いますが、「サーバが感染しない(暗号化されないとは言っていない)」というだけだったりして・・・。

Windowsタブレットの有意義な使い方を発見

みんながやりたかったあの機能が、windowsタブレットなら出来ることを発見した。
androidとVNCを組み合わせて、遠隔PCとして使用するには、androidの場合、タップした位置にマウスカーソルが来ないという、
まあある意味必然的な結果があるのだけれども、なんとwindowsタブレットならばそれが無い。
タップ位置がままマウスカーソル位置になる。
使ったソフトウェアはtight-vnc
タブレットには勿論client、デスクトップPCにはserverをインストールする。
タブレットのtight vncは全画面設定にした。
まさに快適。
こんな使い方があるなら早く誰か紹介してくれれば良いのに。
と小躍りしていたら、
http://www.atmarkit.co.jp/ait/articles/1311/06/news111.html

マイクロソフト純正でリモートデスクトップか・・・。
無印だから該当しなかったけれども、pro持っていたらこっちかな・・・。

http://blog2.k05.biz/2016/05/win10home-rdp.html
も発見。RDP Wrapperだと・・・。
せっかくの発見が薄れていく・・・。

2017年6月20日火曜日

DHCPサーバを立てたくてraspberry piを買う。そして御作法に泣かされる

ラズベリーパイ、それは苦行・・・。

基本的にサーバは仮想化せず、全て別サーバとして立てている。
仮想化したり統合することのメリットはよく分かっているのだけれども、パフォーマンス分析やら不具合やらに付き合うとろくでもなかった経験がある。
よっていつも通り別サーバを組んでいこうと思ったのだけれども、予算が無い。
なので今流行の(いや遅い・・・)ラズベリーパイで組んでみようと思い立った。
DHCPサーバは、基本設定を流し込めば終了なので、なんとでもなるだろうと思っていたのが運の尽き。

前提として、僕が付き合ってきたのはcentosである(≒RHEL)。
なので、centosの「御作法」は分かっているつもりである。が、Rasberryはdebian(Rasbianなら)である。御作法が違う。

ログインユーザが「pi」


・・・このユーザは何なのだ。
あと、キー配列が英。コンフィギュレーションを出して編集。
おかしいだろ・・。

気を取り直して少し弄る。
sudoは通る。ただ、ログアウトしてpiで入ろうとするとパスワードが分からない。
・・・とりあえず、rootパスワードを設定する。
sudo passwd root
その次に、得体の知れないpiから離れるために、自分のユーザを作る。
useradd foobar
よく分からない住所やらが求められるが、気にせずエンターで済ませる。
ここではまったのが、なんとsudoerでなければGUIログイン出来ない・・・。
sudoerに追加する。
sudo gpasswd -a foobar sudo
で、piを消す。
sudo userdel -rf pi

次にネットワークだ。

NICに一意の固定IPを持たせるために、/etc/network-scr...と探そうとすると、無い。
ググると/etc/network/interfacesがネットワーク情報とのこと。
ううむ・・・とりあえず編集する。
sudo vi /etc/network/interfaces
ここで驚愕の事実。
ラズパイのviは、viだった・・・。
使い慣れているのはvimである。もう泣きたい。
カーソルの動かし方だけなんとなく思い出して必死に編集。
HJKLでキー移動。カーソルはそれぞれ←↓↑→に対応。
注:192.168.xxx.1はゲートウェイサーバ
eth0のところを
iface eth0 inet static
address 192.168.xxx.xxx
netmask 255.255.255.0
gateway 192.168.xxx.1
とするが、繋がらない。
ifconfigでeth0を見ると、169.254...が出る。
本当に泣きたい。
更にググると、dhcpcd.confに書き込めとのこと。
http://qiita.com/MarieKawasuji/items/b088ffb252a92eee8f5d
・・・どういうことかさっぱり分からない・・・自分自身にDHCP機能を使っているということ?
と思っていたら、dhcp「c」d.confだった。
・・・もう何も気にせず書くことにする。
sudo vi /etc/dhcpcd.conf
interface eth0
static ip_address=192.168.xxx.xxx/24
static routers=192.168.xxx.1
static domain_name_servers=192.168.xxx.1

・・・繋がった・・・。

sudo apt-get update
sudo apt-get upgrade
更に、digを入れたいが無いと言われる。
ググると
http://d.hatena.ne.jp/rx7/20080306/p1
dnsutilか・・・。

sudo apt-get install dnsutils
vimも入れる。
sudo apt-get install vim

・・・次。DHCPサーバ。

sudo apt-get install isc-dhcp-server
centosもそうだけど、linuxは少しはパッケージ名とか気を遣ってほしい。
これが入ってるパッケージはこれ!みたいなのがさっぱり分からない。

vim /etc/dhcp/dhcpd.conf
ddns-update-style interim;
#クラスBで立てるので、IPアドレスは172.16.X.X。
subnet 172.16.16.0 netmask 255.255.254.0 {
        option routers          172.16.16.1;
        option subnet-mask           255.255.254.0;

        option domain-name           "ufotable.net.local";
        option domain-name-servers      172.16.16.1;

        option time-offset           -18000; # Eastern Standard Time
        default-lease-time 65530;
        max-lease-time 65535;
        }#EOS

        host insert_client_name {
               hardware ethernet HO:ST:MA:CA:DD:RE;#SS
               fixed-address 172.16.16.XXX;
               }
                                            }#EOT

やっと書けたが、次はサービス追加が分からない。弄っているとsystemdな事が判明するが、dhcpdを立ち上げようとし続けてはまる。
そう、isc-dhcp-server(名前が違うんだ・・・)。

sudo systemctl start isc-dhcp-server
エラーで止まる。
ううむ・・・。
http://www.mugbot.com/2016/08/21/raspberry-pi%E3%81%ABisc-dhcp-server%E3%82%92%E8%A8%AD%E7%BD%AE%E3%80%81%E8%87%AA%E5%8B%95%E8%B5%B7%E5%8B%95%E3%81%95%E3%81%9B%E3%82%8B/


/etc/default/isc-dhcp-serverの編集

・・・はあ?
もう本当によく分からない。
INTERFACES=""

の””の中にeth0を挿入
 ・・・。
sudo vim /etc/default/isc-dhcp-server
でINTERFACEにeth0を指定。
クラスCで指定した固定IPアドレスは、走らせる前にクラスBに指定し直さないと走らないので注意。
しかもその時、interfacesも弄らなきゃいけなくて、全く直感的じゃないし面倒なだけという・・・。
とりあえず諸々で、再度sudo systemctl start isc-dhcp-serverで走った。
自動化は
sudo systemctl enable isc-dhcp-server

御作法、恐るべし・・・。

個人的にはデスクトップ用途でしかdebian≒ubuntu≒mintを弄っていなかったので、良い勉強になった。
嘘です。もうCUIで正直弄りたくありません・・・。
慣れって大事。本当に・・・。

2017年6月10日土曜日

中国製で唯一「信頼」しているブランドはNillkin

Made in ChinaもしくはMade in PRCは結構あるが、大抵は日本のメーカーや商社が製造元や輸入代理店として立っている。
その場合、大抵は責任がそれらのメーカーに行くので、そこそこのクオリティを保っていることが多い。
じゃあ中国ブランドで中国製のものはどうかと言えば、大企業になっているところ(たとえばLenovoやHuaweiでもやらかすし、それ以下のものだと正直使えないものが多い。というか多すぎる。
そんな中で、唯一「信頼」しているのが、Nillkin。但し、スマホ用の保護ガラスで。
Shenzhen Nillkin Technology Co.,Ltdが正式名称らしい。
何故信頼しているかというと、時速70kmで携帯落としても割れなかったから。
悲しいことに傷は入ってしまったのだけれども、流石に仕方が無い。
安い海外製液晶保護ガラスは数あれど、実証できたのはこれだけ。
で、ガラスというものは、衝撃を加えて割れなかったとしても、衝撃を中に蓄積していって、結局割れてしまう代物。
なので、新しい保護ガラスを購入して貼り替えようと、古いガラスを剥がそうとしたところ、パキッという音と共に、割れた。
流石に限界だったらしい。ああ、ちゃんと飛散防止フィルムが入っているので飛び散ることは無い。
飛散防止フィルムの名前が格好良くて、中国語(と英語)が格好良くて、「anti-burst=防爆」。流石爆発の国。いや、実は飛散防止フィルムの名前じゃなくて、本当に「防爆」なのかもしれない。
で、実験してみたのだけれども、平滑な机に割れた保護ガラスを貼って、マイナスドライバーでゴリゴリしたり、ゴンゴン突いてみたり。
結果、やはり傷は付かないし、穴も開かなかった。ただ、ダメージを与えたところをゆっくり曲げると、ぱきりといった。

パッケージクオリティも高い。ちゃんと商品を売ろうという姿勢(ガラスなのに簡易包装だったりみたいな手抜きが無い)が感じられる。Wet&dryクリーナに、埃取りフィルム、マイクロファイバーシート、シール類がちゃんと入っている。

他のポストでも書いたけど、Shinezoneという名前で商品が結構出ているけど、あれこそ輸入代理店みたいな奴で、Shinezone名義で色んな会社の商品が送られてくる。
Nillkinを知ったのも、実はShinezoneという名前で出ていた物を買って、中身がNillkinだったから。
じゃあShinezone=Nillkinかというと、そうでもなかったりする。

一応Nillkinの公式を貼っておく。
http://www.nillkin.com

2017年3月27日月曜日

excelでアドレス帳を管理する際のtips

excelで管理しているアドレス帳がよく分からなくなっていくので、整理するtips。

まず被っているアドレスを洗い出す。

https://oshiete.goo.ne.jp/qa/6286968.html

countif関数で、総リスト中何回出現するかをカウントさせる。

A列の二行目からが総リストなら、B2に
=countif(A:A,A2)
    A総列(AからAまで)からA2の出現数を出す

とする。
教えてgooのように、二つのリストを比較する場合は、
=countif(A:A,C2)
    A総列(AからAまで)からC2の出現数を出す

ドメインで並べ替えたい場合、ドメインを抽出するには

http://qiita.com/yuwaita/items/b7445bcc7b09c143fcf7

A2からアドレスリストが始まる場合
=RIGHT(A2,LEN(A2)-(FIND("@",A2)))
とする。


thunderbirdでフォルダ内のメールからメールアドレスのリストを作成する(メールアドレスを抽出する)場合、
https://nic-nac-project.org/~kaosmos/index-en.html#eac
←アドオン配布サイトだがmozilla公認のサイトではないので自己責任で。
公認の方は動かなかった。
インストール後、フォルダを右クリックして、抽出先のアドレス帳を指定する(アドレス帳はこれ用に新規で作成した方が良い)
リスト化はアドレス帳をexportすればいい。


リストからメールを同胞する場合
http://www.matsuyuku.com/keniamemo/2011/10/thunderbird---mail-merge.html

mail-mergeプラグイン
https://addons.mozilla.org/ja/thunderbird/addon/mail-merge/
を使ってやる。

csvの一行目に差し込みする代数を入れる
例:name campaney email
二行目以降に差し込むモノを書いていく
山田太郎 山田商会 yamada@example.com
...
...


差し込み先のメールを作成。

たとえばtoに{{email}}、本文に{{capmaney}}{{name}}のように差し込みたいものを波括弧2つ{{}}で囲う。
最後にファイルからmail mergeを選択して、csvを読ませる。
csvは文字コードが間違っていると読まなかったりするので、文字コードには気をつけること。