nDiki : SSH

Secure Shell。 フリーな実装として OpenSSH がある。

パスワード インストール Linux メール svn ノート PC SMTP Web Mew Debian 認証 Web サーバ TortoiseSVN Web ブラウザ ビルド USB 再起動 Skype POP before SMTP メモ インストーラ 開発 ルータ 公開鍵 Twitter Cygwin fetchmail ZIP バックアップ スクリーンキャプチャ

■ Unison + Zebedee

記事「Unison で展示会機器のセットアップ」に、

wtnabe 2004-06-10 15:51:09 rsync もまともな認証とは呼べないような気がしますが。。。同じことをするなら tcpwrapper を使うって形になるんでしょうけど、Zebedee などで認証を掛けるともっと融通が利いてなおかつセキュアなんじゃないでしょうか。

という貴重なコメントをいただく。

Zebedee 最近使ってなかったな。ホスティングサーバ(FreeBSD)がSSH接続を提供してくれていなかった時は、Linux BOX からZebedee 経由で telnet したり、mirror したりしていた。

ちなみに今回の用途では、通信路の暗号化はあまり重視していない(社内ネットワークで、対象ファイルはもともと皆が閲覧できるものだし、端末の前にも座れるから)。

@ Unison Soket メソッドでのサーバ側の問題

• 認証なし
• 接続ホストによるアクセスコントロール不可
• 同期対象となるローカルファイルの制限不可。

というのが問題。

c:ドライブ全体(だけでなく全てのドライブ)をパスワード無しで「読み書き可能なWindowsファイル共有」しているような感じであり、気持ち悪い。

@ rsync サーバの認証

• パスワード認証。平文では流れない。パスワードファイルは自体は平文で管理。
• 接続ホストによるアクセスコントロール可。
• 同期対象となるローカルファイル/ディレクトリは指定される。

平文でパスワードが流れることはないし、Unison でもこれぐらいの認証ができれば今回の用途では充分という感じ。

@ Unison + Zebedee

Windows 同士だと結局一方は Unison を Socket メソッドで起動しなければならない。 そのポートへは認証有のZebedeeトンネルで接続するとして、外部からは直接アクセスできないようにしなければならないので面倒。

Zebedee 自体はナイスなプログラムではあるのだが、Unison と組み合わせには使えないかな。 普段使いには Unison + SSH だし。

@ Windows 版

本家に Windows 版もあるのか。 インストーラの形になっているがインストールされる zebedee.exe は単体でも動く。 Unison との連携は別にしても、入れておいて損はないのでこれもUSBメモリにいれておこう。

• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)
• 普通の人向けに svnserve を立ち上げるか (2005-07-26)
• OpenSSH for Windows (2004-08-05)
• Unison で Windows 間 sync (2003-10-24)
• 自宅の無線 LAN を復旧 & IEEE 802.11g 化 (2004-11-26)

■ TortoiseSVN と svn+ssh な svn:externals

以前 TortoiseSVN から svn+ssh で接続する際にユーザ名をURIに含めることで認証が通るようにしてみた。

しかし今日 svn:externals プロパティで外部定義の設定をしていてはたと困る。 svn:externals で指定するURI はリポジトリ利用者で共有するので、チェックアウトする時のURIのようにユーザ名を含める訳にはいかない。

で、さらっと調べたところ TortoiseSVN の SSHクライアントの設定のところでユーザ名を指定できるようだ。 デフォルトで TortoisePlink.exe へのフルパスが設定されているが

 前略\TortoisePlink.exe -l ユーザ名

のようにすればユーザ名を指定できる。

一つのリポジトリにアクセスするだけならとりあえずこれでしのげそうだ。

それにしても更新をかけた際に外部定義毎にパスワードの問い合わせがあるので面倒(外部定義先が同じURIであっても)。

やはりきちんとセッションを保存しておくようにせねば。

それから、TortoiseSVN は 1.0.4 から 1.0.8 に上げておく。

• TortoiseSVN 1.0.4 (2004-05-17)
• 普通の人向けに svnserve を立ち上げるか (2005-07-26)
• TortoiseSVN と svn+ssh (2004-07-26)
• Unison + Zebedee (2004-06-11)
• ノート PC を持たずに会社に行きたい (2006-12-21)

■ TortoiseSVN と svn+ssh

マニュアルを読んだら、SSHクライアントの設定のところでユーザ名だけでなくパスワードも指定する例が示されていた。

 前略\TortoisePlink.exe -l ユーザ名 -pw パスワード

なるほど。動いた。しかしかなり嫌な感じ。

ということで、「PC日記: svn+ssh on Windows」で紹介されている方法にしてみた。

@ 準備 (Windows 側)

1. PuTTYをインストール。

@ SSH用の鍵ペアを作成 (Windows 側)

1. PuTTYgen を実行。
   1. SSH2 RSA を選択。
   2. Generate マウスを適当に動かす。
   3. パスフレーズを入力。
   4. Save private key ボタンで PuTTY Private Key File (.ppk) として保存。
   5. 「Public key for pasting into OpenSSH authorized_keys file:」 覧に表示される文字列をコピーして、テキストファイルに保存(名前は任意)。

@ SSHの鍵をサーバ側に置く (サーバ側)

1. そのファイルの中身を Subversion リポジトリのあるサーバの ~/.ssh/authorized_keys に追加。

@ 接続テスト (Windows 側)

1. PuTTY を実行。
   1. Session - Host Name にリポジトリのあるホスト名を指定。
   2. Connection - Auto-login username にリポジトリのあるホスト上のアカウントを指定。
   3. Connection - SSH - Auth - Private key file for authentication: で 保存した ppk ファイルを指定。
   4. Session - Saved Sessions にホスト名を入力して Save。
   5. Open ボタンを押して接続確認。

@ TortoiseSVN でパスフレーズ入力を省略できるように Pagent を起動 (Windows 側)

1. Pageant を起動。
   1. キーリストを開いて Add Key. 保存してある ppk ファイルを指定。パスフレーズを入力。

この状態で TortoiseSVN から接続できるようになった。

@ 追記

2005年8月4日に若干体裁を整理。

• 普通の人向けに svnserve を立ち上げるか (2005-07-26)
• TortoiseSVN 1.0.4 (2004-05-17)
• 自宅の無線 LAN を復旧 & IEEE 802.11g 化 (2004-11-26)
• Unison + Zebedee (2004-06-11)
• TortoiseCVS 1.8.0-RC4 (2004-08-26)

■ OpenSSH for Windows

やはり Windows - Windows で Unison を使う事に未練がある。 リモートの Windows BOX で sshd をたてればなんとかなる?

ということで OpenSSH for Windows。

• http://sshwindows.sourceforge.net/

Cygwin の中で必要なものだけを抜き出したパッケージ。 cwRsync と同じタイプ。

Windows XP Home Edition SP1 にインストーラでインストール後、説明どおり group と passwd を作成。 sshd をサービスとして開始する。 Internet Connection Firewall の設定を変更して22番ポートを開ける。

これで Linux BOX からSSH接続成功。

しかしなんか変なシェルで使いづらい。 またコマンドが実行に失敗してエラーモーダルダイアログが出る時は sshd が動いているPCの画面に表示される。SSHクライアント側からは知るよしもないし、ボタンを押すすべもない。

うーん。不便。

• ActivePerl で Ming (2005-02-23)
• Unison + Zebedee (2004-06-11)
• cwRsync (2004-07-31)
• Linux 上で Windows 用インストーラを作成する (2004-10-14)
• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)

■ リモートポートフォワーディングでライブカメラを晒す

プライベートネットワーク上に設置したBL-C10を外部からアクセスできるようにする時の方法を確認。

• カメラはプライベートネットワーク上にあり、外からは直接アクセスできない
• プライベートネットワーク(ルータ)の IP アドレスは秘密のままにしておきたい

ということで、公開しているサーバでHTTPを中継するという方向で。 となると SSH の remote port forwarding か。

• 公開サーバ: www.example.com
• BL-C10: 192.168.0.X

として192.168.0.0/24 にいる自分のPCから

 ssh -R 3000:192.168.0.X:80 www.example.com

で www.example.com:3000 にアクセスするとライブカメラが見られるようになる。 ただし www.example.com の sshd の設定で

 GatewayPorts yes

になっていないと、他のホストからアクセスできない。 www.example.com 上の stone で外部からアクセスできるようにさらに転送用のポートを作る。

自分のPCから

 ssh -R 3000:192.168.0.X:80 www.example.com stone 127.0.0.1:3000 30001

で、

www.example.com:3001 -> www.example.com:3000 -> 192.168.0.X:80

と転送されるようになる。 実験も成功 (実験環境では ssh を実行する時に -1 オプションをつけないと -R がうまく動かない事を忘れていてちょっとはまった)。

自宅(ADSL接続)上の BL-C10 を上の方法で晒してアクセスしてみる。 ADSL回線を上って下る事になるが、ちょっと覗くにはそれなりの描画更新ができている様子。 BL-C10 の内蔵 Web サーバで動画を見ながらカメラを操作した時のレスポンスが悪かったのだが、これは stone の -f オプションで子プロセスを数個上げておくようにすることで改善された。

上の方法だと ssh を止めてもリモートホストの stone のプロセスが残ってしまい、別途 kill しないといけないのでちょっと面倒。 何かうまい方法はないかな。

• [ お仕事 ] OCNエコノミー -> OCN ADSLアクセスIP8「フ... (2004-01-16)
• Tor で hidden service (2005-02-13)
• ホームネットワークカメラ BL-C10 買っちゃった (2005-01-18)
• [ Linux ] SSH remote port forwarding (2004-02-02)
• ネットワークカメラが欲しい (2005-01-15)

■ Tor で hidden service

Tor: An anonymous Internet communication system を試してみる。 Torは匿名接続を提供するシステム。 アプリケーションで Tor クライアント(あるいはサーバ)をSOCKSサーバとして指定すると、いくつかの Tor サーバを経由して目的のサービスに接続されるようになる。 途中の経路は時間とともにどんどん変わっていく(らしい)。

@ インストール

Debian パッケージになっているので apt-get。

@ Privoxy と連携させて Web閲覧

もともと普段から使用している Privoxy の config に、

 forward-socks4a / localhost:9050 .

という設定を追加して再起動。Privoxy がローカルサーバで動いている Tor 経由で接続するようになる。

 Firefox -> Privoxy(localhost:8118) -> Tor(localhost:9050)
         -> Tor server -> ... -> Tor server -> Web サーバ

という感じに複数の Tor サーバを経由して目的にサーバに接続されるようになる。

Web サーバのアクセスログを見ながら何度かHTTPアクセスをしてみると、IP アドレス(経路の最後の Tor server)が変わっていくのがわかる。

@ 使用感

かなりレスポンスが悪くなる。 現状では常時設定しておくのは辛い感じ。

Tor では名乗りを上げない限り(待ち受けポートを開けた上で、ディレクトリサーバに登録する)サーバにはならない。 このため、Tor server が絶対的に足りていないのかもしれない。

@ hidden service

Tor の面白い機能の一つに匿名サービスを提供する機能がある。 Web サーバやSSHサーバなどを匿名で晒すことができる。

この時動かす tor は Tor サーバである必要はなく Tor クライアントでかまわない。

/etc/tor/torrc に

 HiddenServerDir /var/lib/tor/hidden_http_service/
 HiddenServicePort 80 127.0.0.1:80

を追加して、tor を再起動。

/var/lib/tor/hiden_http_service/hostname というファイルに ****************.onion というホスト名が書かれているので、Tor + Privoxy 経由で http://****************.onion/ にアクセスすると、先ほどの tor が動いているサーバの Web サーバのページが見える。 hidden service を提供している tor は NAT の中にいてもOK(のようだ)。

閲覧者側に Tor (とPrivoxyなど)がインストールしてあれば、ダイナミックDNSに登録したりしなくても好きなタイミングで Web サーバにアクセスしてもらえるようになる。 面白い。

ローカルの Apache に 「ServerAlias *.onion」な Virtual Host の設定を追加して、Tor 経由専用のWebサイトも実験的に準備しておいてみた(例によって Wiki)。

• ノート PC で Apache Virtual Host (2004-12-15)
• Debian GNU/Linux に Hyper Estraier 1.2... (2006-05-31)
• Firefox 拡張機能の整理 (2005-02-05)
• [ Debian ] Privoxy + SSH (2004-01-28)
• [ お仕事 ] OCNエコノミー -> OCN ADSLアクセスIP8「フ... (2004-01-16)

■ 普通の人向けに svnserve を立ち上げるか

開発チームでは主に svn+ssh で Subversion を利用している。

Windows ユーザは

1. 前準備「PuTTYgen で鍵ペアを生成し」「リポジトリのあるサーバ(Linux)側に公開鍵を登録」
2. 前準備「Pagent を動かして秘密鍵を指定しておく」
3. TortoiseSVN でリポジトリアクセス

という手順をとっている(参考記事)。 しかしこの方法は SSH に詳しくなかったり Linux のオペレーションとかに慣れていなかったりするユーザにはかなり敷居が高い。

最近ソフトウェア開発以外でのチームでも Subversion の利用を検討しているが、この手順だと多分萎えるはず。

SSHで暗号化するほどのセキュリティが必要ない運用なので、svnserve を起動して運用した方が楽そうだ。まだ使ったことがないけれど。

svnserve を実行する権限を気にする必要がある以外は基本的には手間なしのはず。 しかし svnserve の組み込みの認証機能を使う場合には、平文パスワード文字列を含むパスワードファイルを使う必要があるのがちょっと嫌。

• TortoiseSVN 1.0.4 (2004-05-17)
• TortoiseSVN と svn+ssh (2004-07-26)
• Unison + Zebedee (2004-06-11)
• ノート PC を持たずに会社に行きたい (2006-12-21)
• Subversion で大文字・小文字のみ違うファイル名へ変更 (2004-08-02)

■ 帰省後のメール取得トラブルは Linux kernel 選択ミスが原因

4日ぶりにPC生活に復帰。 メールは naney.org の方に800通ちょっと、会社の方に100通弱。 fetchmail。

取れぬ。例によって溜めすぎかなぁ。

naney.org の方は一時的に、SSH port forwarding 経由にするのをやめたら取得できた。

会社の方は駄目。サーバ側の問題か? (1通ずつとか)きざんで fetch すると、取れるようだ。 fetchmail の -B オプションを指定してチマチマとる。 これである程度取得できたが、サイズの大きいメールは1通単位でも取れない。

しょうがない。サーバの Maildir を tarball にまとめてとってくるか。

……あれ。 サーバでまとめた tarball を scp で持ってこれない。転送途中で止まってしまう。 うーん。困った。

試してみたところどうやら大きなファイル転送はメールに限らず駄目なようだ。 あれ? 前にもこんな症状あったような。 nDiki を見直したら MADWIFI 試行錯誤していたときにあったな。

とりあえずリブートしてみるか。

再起動してGRUBのメニューをみて気がついた。 うまく動くように設定していないままの kernel 2.6 でブートしていたようだ。 帰省前にかなり久しぶりにシャットダウンしたので、帰ってきて起動した時に 2.4 系を選んでブートしなければならなかったことを忘れていたよ。

これに気がつくまで、結局3時間ぐらい苦戦してしまった。とほほ。

• メールボックスを Gmail に集約 (2007-08-08)
• [ ThinkPad X31 ] Linux kernel を 2.4.2... (2004-03-04)
• ISP から Outbound Port25 Blocking を行うとの... (2006-05-23)
• sniffit 0.3.7 beta をインストール (1999-01-22)
• USB HDD 上に ext3 ファイルシステムを作ろうとしたらフリーズ (2006-01-16)

■ USB HDD 上に ext3 ファイルシステムを作ろうとしたらフリーズ

会社で使っている Linux サーバ (DELL PowerEdge 2600)内のファイルについて、バックアップをとっていないのがずっと不安であった。 なので、まずは外付け HDD を接続して pdumpfs でバックアップしておくことにした。

以下の実作業は松下君が行ってくれたもの。

電源内蔵の HDD BUFFALO HD-H300U2 を購入。 比較的人気なのか、市場では品薄の様子。

購入時は FAT32 で1パーティションでフォーマットされている。 なんかいろいろソフトが入っているみたいだけれど、まあ使わないからいいや。 さっそく接続して mkfs.ext3 でファイルシステムの作成。

ここでトラブル。

inode table を書き込んでいる途中で進行状況を示す数字のカウントアップがだんだん遅くなっていき最後には止まってしまった。 おかしいなと思っているうちに Linux 自体がフリーズ。 SSHもWebも接続できないし、コンソールも反応なし。

一瞬「マズ。もしかして間違えて、システムの入っているパーティション指定しちゃった?」と思ったが、再起動すると問題なく立ち上がって一安心。

うーん。原因はなんだろう。いまだに Red Hat Linux 8.0 で Linux kernel も 2.4.20 のままなんだけれど、そのあたりに何かあるのだろうか。

• ファイルシステム作成はノート PC でやっておいた (2006-01-17)
• [ Debian ] GRUB でソフトウェアRAID1 ブート設定 (2004-01-05)
• 私的10大ニュース2004 [ comp ] (2004-12-31)
• 今日のさえずり - スポーツの制裁金ってどこにいくのだ? (2008-06-11)
• [ Debian ] ThinkPad X31 にインストール (2003-12-03)

■ www.naney.org サーバ断続的にダウン

朝 www.naney.org の過去記事を確認しつつ作業をしていたら、9:00 前に急にアクセスできなくなった。 ping も通らない。 9:20 ぐらいに 1度復帰したが、また10:00 前にダウン。

それから何度も落ちては復帰を繰り返すようになってしまっている。 SSH で接続している途中にも突然刺ささるし、傍から見ていても原因が良くわからない。

昨日 WiKicker をアップデートしたから「もしかしてうちが原因?」とちょっと心配もしたりするのだが、無限ループに入ったりメモリを使い尽すようなコードが追加してはいないはずだしなぁ(ローカルでのテストではそのような現象は見られない)。

落ちる直前まで見ていてもそれほど load average が高いわけでもないようだしなぁ。

とまぁ、しばらく様子を見ているうちに NaneyOrgWiki と nDiki が Internal Server Error。 止められた。 正確には SpeedyCGI のフロントエンド speedy コマンドの実行権限を管理者に落とされた。

• (大半はロボットによるものなのだけれども) NaneyOrgWiki と nDiki のどちらか(あるいは両方)に常にアクセスがあってスクリプトが動いている
• top すると他のユーザの CGI プログラムは 'perl' か 'perl 5.00503' と表示されるのに対し、これらは speedy、speedy_backend と表示されるため、管理者の目を引きやすい

ということもあって疑われたと推測。

一応こちらでも SpeedyCGI を使わないで直接 Perl で実行するように変更してみたり、Memcached を起動するのをやめてみたりなど設定を変更してみたりするのだけれど、関係なく落ちる落ちる。

管理者がシステムの設定を変えていないで発生するようになったのなら、ハードウェア障害が起きているんじゃないかと想像してしまうのだが、実際どうなんだろうか。

結局夜 23:00 過ぎだかに落ちたあとは復帰する様子がないので(管理者が落ちたかな?)、今日はあきらめ。

• [ Perl ] Log::Log4perlのはまりどころ (2004-03-02)
• サーバ高負荷状態につき DiKicker 機能修正とサーバ設定変更 (2006-03-03)
• [ WiKicker ] 「最近のアクセスログ」処理思案 (2004-01-17)
• [ WiKicker ] Memcachedのメモリ使用量 (2004-02-15)
• サーバの負荷が高くなったら DiKicker が 503 を返して沈静化を... (2007-04-05)