久し振りにfrontier-lineサーバ経由でメールを送信しようとしたら、Relay Access Deniedエラーが出て送れない。この間、SMTPAuthを使うように設定して送信できることもチェックしたはずななのに。
 ネットで簡単に調べたら、

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

はPostfix 2.10以降では使えなくて、かわりに、

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

をつかべし、という情報を拾った。設定ファイルを書き直してデーモンを上げ直したがやっぱり送れない。
 よくよく調べたら、Thunderbirdの送信サーバの設定が、SSL/TLSを使うようになっていなかったし、パスワード認証も無しになっていた。送信サーバの設定を、SSL/TLS使用かつ通常のパスワード認証に設定しなおしたら何の問題もなく送信できた。



SMTPAuth導入

|2015/4/30(木曜日)-23:06| カテゴリー: コンピューターの使い方関係
| コメントする

 以前、メールが送れないということを書き、サブミッションポートの設定とPOP before SMTPの設定で解決したと書いたのだけど、いつの間にかまた送れなくなっていた。dracdは動いていてくれるのだけど、送信しようとするとrelayできないというエラーになる。
 で、あきらめてSMTPAuthを導入することにした。SMTP認証の際、SMTP over SSLでユーザー名とパスワードを暗号化する。

 まず、Cyrus SASL2をインストール。


cd /usr/ports/security/cyrus-sasl2
make BATCH=yes WITHOUT_OTP=yes WITH_BDB=yes install clean

 次に、Cyrus saslauthd インストール。


cd /usr/ports/security/cyrus-sasl2-saslauthd
make BATCH=yes WITH_BDB=yes install clean

インストールできたら、


/usr/local/etc/rc.d/saslauthd start

で、デーモンを起動しておく。

 暗号化のためのOpenSSLをインストール。ソースをダウンロードして展開したディレクトリにcdした後、


./config
make
make test
make install

とやれば、


/usr/local/ssl/bin/openssl

にインストールされる。
 /etc/pki/tls/certsディレクトリが無いので作った後、


cd /etc/pki/tls/certs
/usr/local/ssl/bin/openssl req -new -x509 -nodes -days 365 -out mail.crt -keyout mail.key

を実行。いろいろきいてくるので、次のように入力。


Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:*.frontier-line.org
Email Address []:

 これが終わると、mail.crtとmail.keyができる。パーミッションを変更。


chmod 600 mail.key

セキュリティ証明書の作成。


/usr/local/ssl/bin/openssl x509 -in mail.crt -outform der -out mail.der

 次にPostfix本体の再インストール。一度make deinstallしてからmake reinstallとかするとうまくいく。


make WITH_SASL2=yes WITH_TLS=yes WITH_BDB=yes WITH_BDB_VER=41

で適当にインストール。
 portsから入れると/usr/local/sbin/postfixが動く。ソースから入れた時とディレクトリが違い、いろいろやってるとどっちかわからなくなるので要注意。

 もろもろの設定は次の通り。

/usr/local/etc/postfix/main.cfは、


myhostname = frontier-line.org
mydomain = frontier-line.org
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
relay_domains = $mydestination
alias_maps = hash:/etc/postfix/aliases
alias_database = hash:/etc/postfix/aliases
mail_spool_directory = /var/mail

とやっておいて、ファイルの最後に、SMTPAuthに必要な設定を追加。

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
broken_sasl_auth_clients = yes

さらに、TLSを使うための追加。

smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/pki/tls/certs/mail.key
smtpd_tls_cert_file = /etc/pki/tls/certs/mail.crt
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes

添付ファイルの大きいのを受信できるようにするための設定を追加。

mailbox_size_limit= 102400000
message_size_limit = 51200000
body_checks_size_limit = 204800000

/etc/rc.confは、


saslauthd_enable="YES"
saslauthd_flags="-a sasldb"

を追加。saslauthdを自動起動するように設定。
postfixを最初に入れた時に変更した分


sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
postfix_enable="YES" 

はそのまま。

/usr/local/lib/sasl2/smtpd.confに、


pwcheck_method: auxprop

と書いておく。

/etc/periodic.confは、既に変更済みだが、


daily_clean_hoststat_enable="NO"
daily_status_mail_rejects_enable="NO"
daily_status_include_submit_mailq="NO"
daily_submit_queuerun="NO"

となっているのを確認。

/etc/mail/mailer.confは、


sendmail        /usr/local/sbin/sendmail
send-mail       /usr/local/sbin/sendmail
mailq                   /usr/local/sbin/sendmail
newaliases              /usr/local/sbin/sendmail

で、これは最初のインストールの時のまま。

/etc/make.confは、


PERL_VERSION=5.14.4
NO_MAILWRAPPER=YES
NO_SENDMAIL=YES

で、これも他のインストールで決めたまま変更なし。何も設定していないなら特に何かする必要は無いかも。

/usr/local/etc/postfix/master.cfで、以下の部分のコメントを外す。


smtp      inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=may

smtps     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes

 smtp authユーザーを追加する。


saslpasswd2 -c username

で、登録したいユーザーをusernameのところに書くと、パスワードをきいてくる。
登録後は、


sasldblistusers2

で確認。この登録でデータベースができるので、所有者とパーミッションを変更。


chown cyrus:mail /usr/local/etc/sasldb2
chmod 640 /usr/local/etc/sasldb2

 /etc/servicesで、サブミッションポート587とSMTP over SSLのポート465がコメントアウトされていることを確認し、


/usr/local/sbin/postfix stop
/usr/local/sbin/postfix start

とやって、設定を確実に読み込ませる。

 デーモンが上がったら、


netstat -na | grep 587
netstat -na | grep 465

を実行し、この2つのポートをlistenしていることを確認する。

 TLSの動作確認は、


telnet localhost 25
してから、
EHLO localhost
STARTTLS
.

を順番に入力して様子を見る。

 今回、どういうわけか、newaliasesでできる/etc/aliasesがうまくpostfixに認識されず、データベースを開けないために接続が拒否され、外部からのメールが到達しないという現象にみまわれた。main.confで、


alias_maps = hash:/etc/postfix/aliases
alias_database = hash:/etc/postfix/aliases

と設定し、/etc/postfix/aliasesを書き換えたら


/usr/local/sbin/postalias  /etc/postfix/aliases

を実行するとエラーは出ない。メーラーデーモン共通で使えるaliasesでうまくいかない理由はよくわからない。

 Thunderbird側の設定は、
サーバ名:frontier-line.org
ポート番号:465
接続の保護:SSL/TLS
認証方式:通常のパスワード認証
で接続できる。

 なお、今回作ったTLSの証明書は、いわゆるオレオレ証明書なので、Thunderbird様から怪しいと怒られますorz。でもまあ、オレがrootでオレが設定してオレしか使わないオレ専用サーバなので、証明書もオレオレでいいんですよね。例外設定して警告しないようにしても問題なしです。



 mod_evasive入れたんで、ちょっとはDOS攻撃に強くなるかと思ったのだけど、それでも時々サーバが動かなくなる。OS自体は動いてるのだけど、swapを使い尽くして何もできなくなる。swap_pagerのエラーログが出続け、logrotateしてると、肝心のエラーが出始める直前の状態のログが流れ去っていたりする。原因究明のために、パソコンから端末を開いてtopコマンドを動かしっぱなしにしてみた。これだと、swapを使い尽くすと通信も激重になるので、端末画面にトラブルの状態がそのまま残る。
 その結果、原因はhttpdで、httpdの数はそれほどでもないが使用メモリが跳ね上がってるケースと、httpd1つの使用メモリはそれほどでもないが一度に大量に動いてメモリを食い尽くすケースの2通りが起きることがわかった。
 apacheからはプロセスの管理がデフォルトでeventになっているので、これを、PHPを使う場合のお薦めとされているpreforkに変更。
./configure –prefix=/usr/local/apache2 –enable-so –enable-mods-shared=all –enable-rewrite=shared –with-mpm=prefork
とやってから make install。
http -V
で、mpmがpreforkであることを確認。

 設定は、httpd.confで、extra/main.confとextra/mpm.confを見に行くようにしておいて、main.confでKeepAliveをOffにする。mpm.confは、
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxRequestWorkers 12
MaxConnectionsPerChild 100
という、数を増やさず、接続回数100回で一度メモリを解放させるということにして様子を見ることにした。お行儀の悪いPHPが紛れ込んでもこの程度なら何とかなるかな。

 やってみた結果、まず、httpdのプロセスのSIZEが平均350Mくらいだったのが165M〜180Mに減り、WordPressの画像の多いページにアクセスしてもプロセスの数が無闇に増えることもなくなった。その分、アクセスが集中すると重くなるだろうとは思うが、最初だけ多少早くてもswapに落ち始めたらどのみち激重になって復活させるには強制リブートしかないので、それなら少しタイミングを外せばまた軽くなる方がましだろう。



先週末くらいからしばしばこのサーバが止まりまして、swap_pagerでエラー発生で、強制リブート以外に動かす手段が無くなります。

apacheのログを見てみると、WordPressのログインに連続して関係無いアドレスから連続アクセスがあったりして、まあよくあることだけど攻撃されてるなと。因果関係がはっきりしないのだけど、集中的な攻撃の後、FreeBSDがswap確保に失敗するということもあるようなので、DoS攻撃対策をして様子を見ようと思いました。

ApacheのDos対策モジュールというと、mod_evasiveが有名です。インストール記録もいろんなサイトさんにあるのだけど、実は罠が。Apache2.2までは検索して出てくるサイトさんのやり方でインストールができるのですが、2.4で同じようにするとエラーが出てインストール不可能です。2.Xで使える、と書いてあるのでつい信用して痛い目を見ました。どうも、2.4からApacheのAPI変更があったのがきいているようです。動かすには、ソースコードを何行か変更しなければならないのです。それで、探し回って、修正済みのものがhttp://sites.extremehosting.ca/mod_evasive24/で公開されているのを見つけました。

このファイルをダウンロードしてきて、/usr/local/srcに入れます。
tar zxvf mod_evasive_1.10.1_apache_2.4.tar.gz
で、mod_evasiveというディレクトリに展開されます。mod_evasive24.cが、mod_evasive20.cを置き換えたものになります。変なコードが仕組まれてないか、オリジナルのものとdiffで確認しましたが大丈夫のようです。
ウチでは、apacheは、/usr/local/apache2に入れているので、

cd mod_evasive
/usr/local/apache2/bin/apxs -i -a -c mod_evasive24.c

でインストールが完了します。

一応、インストールするにはapacheにmod_so.cが入ってないといけないので、

/usr/local/apache2/bin/apachectl -l

で確認してから作業します。

インストールが終わると、httpd.confに、

LoadModule evasive20_module modules/mod_evasive24.so

が追加されます。

動かすには、ログファイル出力先を用意します。どこに作ってもいいので、Apacheのログのところに入れることにしました。

mkdir /usr/local/apache2/logs/mod_evasive/
chown nobody:nobody /usr/local/apache2/logs/mod_evasive/

書き込めるようにファイル所有者を変えておきます。

httpd.confに次の内容を追加します。

<IfModule mod_evasive24.c>
DOSHashTableSize 3097
DOSPageCount 3
DOSSiteCount 20
DOSPageInterval 2
DOSSiteInterval 1
DOSBlockingPeriod 3600
# DOSWhitelist 127.0.0.1 テスト後にこれをコメントアウトし、ループバックアドレスは全部許可に。
DOSLogDir "/usr/local/apache2/logs/mod_evasive"
# DOSEmailNotify xxxxx@xxxx.jp ←拒否したIPアドレスをメール送付。
</IfModule>

これが終わったら、./apachectl graceful を実行して設定を反映させます。

./apachectl -M

を実行すれば、モジュールが組み込まれたことを確認できます。

動作確認は添付のPerlスクリプトを使って行います。

cd /usr/local/src/mod_evasive
chmod +x test.pl
/usr/local/src/mod_evasive/test.pl

を実行し、途中まではOKで、途中からForbiddenになれば問題なく動作しています。このテストが棲んだら、httpd.confのループバックアドレスのところのコメントを外し、ループバックについては全て信頼するという設定に変更し、再度、./apachectl graceful を実行します。どこからのアドレスを拒否したかをメールで受け取りたければ、コメントを外して送り先メールアドレスを書き込めばできるようです。うるさそうなのでやってませんが。



去年、eBay.itやeBay.frで予約注文を受け付けていた、ダイザーの掌の上を走るデュークのフィギュアを注文しました。300EUR前後とかなりお値段高めで、最初は確か6月発売だったのがのびのびになって、つい最近届きました。

こんなカタログ写真で販売されていたので、見たことのある方もいらっしゃるかと思います。

Catalog

実は注文したら、本体価格に近い金額の送料を請求され、届いたら届いたで関税2500円を払わされました。これまでフランスやイタリアのグッズ蒐集ではなかったことなので、一体何事かと思ったら、えらくでかい荷物が届きました。

まず、台になるグレンダイザーの掌。絵がちょっと切れちゃってますが、下の方にあるのは20cmの定規です。掌の形は四角っぽい感じです。持つとずっしりと重いです。中央の穴が、デュークフィギュアをとりつけるところです。

Hand

こちらはデュークフリード。走っている姿で身長が20cmくらい。このサイズで直立すればもうちょっとあるでしょうかね。

Duke1

掌にとりつけて、後ろから見たところ。手首に当たる部分に金属製のプレートが埋め込まれていて、グレンダイザー、と書いてあります。

Back2

で、このデューク、まさかのヘルメット可動でした。

以前に、マリア、甲児、ヘルメット姿の戦闘服、素顔の戦闘服、とシリーズで出たフィギュアでは、そもそもヘルメットの内側は造形されていませんでした。その後に出た30cmの大型のフィギュアでは、バイザーの内側が見えて、一応外すことはできましたが、可動ではありませんでした。さらにその後、少し小さいサイズで出たダイザーチーム4体セットでもバイザー越しに顔を見ることはできましたが、やはり可動ではなく。フランスで作られたフィギュアもヘルメットは取り外し方式、日本のガレージキット(コテメンドウ製)も取り外しでした。ということで、これが初のバイザー完全可動のデュークということになります。

Duke2

顔のアップ。眉毛は割れていないし、顔自体も少しグラデーションがかかった塗りになっています。表情もイマイチかなあ……。まあサイズが小さいのと、材料がレジンではなさそうで、細かくて鋭い凹凸を表現できないようですので、仕方無いでしょう。

Duke3

多分これ、レジンキャストじゃなくてポリストーンでできてます。重量と質感はむしろセメントやセラミックに近い感じです。デュークのバイザーが割と厚いのも、薄くすると割れるからじゃないでしょうかね。落としたりぶつけたりしたらヒビが入って欠けたり砕けたりするでしょう。割れ物として、壺や花瓶と同じように扱うしかありません。でかいし重いし、他のフィギュアに混ぜて飾るのではなく、玄関の下駄箱の上か、床の間にでも飾っておけという感じです。フィギュアを通り越してもはやオブジェの一種になってます(爆)。



ワンフェスに行きました

|2015/2/8(日曜日)-23:16| カテゴリー: 雑記
| コメントする

WF2015冬を見てきました。とりあえずカタログを見ると、普段チェックしてるディーラーさんのところにも情報無かったし……と、ゆっくり出かけました。

で、これ↓を見逃してて買い損なった。

Nautilus

きっとまた再販されるでしょうから、夏に期待。次は事前問い合わせを入れるぞ、と。

アブドラU6は人気だったらしく、会場持ち込み分は完売。ネット通販とかは受け付けてくれるそうです。

AbudoraU6

ダイザー+ダブルスペイザーは既に予約したのですが、同じシリーズでスペイザーとTFO付のものの販売もするらしいです。アニメのイメージだとかなり平たかったスペイザーですが、ダイザーのボリュームが凄いので、分厚い円盤になってました。

GrenTFO1

スピンドリルも出せます。差し替えパーツかな。

GrenTFO2

TFOが強そうです。ディテールが追加され、金属光沢に。実写モノのSFで飛んでいても違和感がありません。

GrenTFO3

でじたみんさんのところで見かけたダイザーヘッド。この秋に、ジェットパイルダー+マジンガーヘッド、ブレーンコンドル+グレートマジンガーヘッドが相次いで発売されましたが、そのシリーズだそうで。パイルダーで乗り込まないグレンダイザーなので、シュートインの部分を再現するしかなさそうですが、何とも思い切った表現というか、其の手があったかというか。小さいデュークピットはダイカスト製だそうです。アニメ通り180度の回転2回は……無理でしょうね。落ちないようにレールの脇に出っ張りがありますし。でもまあここまでやるなら同スケールの移動車もつけてほしいところ。

また、アニメではスペイザー、ダイザーともにキャノピーはほぼ透明か、薄い水色で内部が良く見えていたのですが、このキットでは濃い青色です。この色だと、デュークがどちらに居るのかはっきりしません。同じシリーズのパイルダーは中がよく見えるつくりなので、こちらも見やすく改良してほしいところです。

DizerHead1

タツノコキャラもチェック。発売中の破裏拳ポリマー。

Hariken

次に発売予定のキャシャーン。

Casshern

開発中のガッチャマン。バイザーの下の髪の毛までしっかり表現されています。期待が高まります。

G1

同じくG-2号、コンドルのジョーさん。腰のエアガンは外して持たせられるのかな。ピン状のパーツでベルト部分につながってました。

G2

会場を移動していたら、あしゅら男爵さんが登場。

Asyura

結局、マジンガーZ解剖図手ぬぐいだけ買って帰りました。欲しいものは大体が開発中ばっかりだったので。

LayLaxさんの出品した攻殻機動隊ARISEのシュレーディンガー(アサルトライフル)はかっこよかったです。BB弾撃てる方が発売されたら是非ほしい。



新年おめでとうございます

|2015/1/1(木曜日)-20:34| カテゴリー: 雑記
| コメントする

今年もどうぞよろしくお願いします。

 

今年はグレンダイザー放映40周年です。グレンダイザーは、日本でもそこそこ人気がありましたが、日本よりもむしろイタリア・フランスとアラビア語圏で凄い人気でした。40周年を機に、海外展開がどうだったか、いくつか資料を訳して日本で紹介できればと思っています。

Lab 66

そういえば、(以前にも紹介したことがありますが)本編でも研究所の玄関に門松が飾られていましたね。



コミケお礼

|2014/12/28(日曜日)-23:00| カテゴリー: 雑記
| コメントする

本日、C87サークル参加を無事に終了しました。

前回(2013年夏)は、油断して遅く出たら遅刻してしまい、随分待たされた上に開店が昼の11時過ぎになり、ジャンルもアニメ評論で出していたので売れ行きが今一つでした。

今回は、アニメ(その他)でひとくくりになったので、グレンダイザーやマジンガーやゲッターなど、ダイナミック系アニメのサークルの列に配置してもらうことができました。

とはいえ、マイナーサークルですし、サークル参加を初めて間もないので、それほど売れないだろうと思い、小説は各4部、翻訳本は各10部前後の持ち込みでした。それでも半分以上は売れ残って持って帰ることになるんじゃないかと予想して、持ち運びによる本の傷みを防ぐために売る分はビニール袋に入れて、立ち読み用の1冊だけSAMPLEスタンプを押して出した状態で展示しました。ところが、ありがたいことに、翻訳本は、サンプル用も含めて完売しました。

○イタリアのグレンダイザーのポルノがいろいろとおかしい 上 サンプル1+販売分8
○【新刊】イタリアのグレンダイザーのポルノがいろいろとおかしい 下 サンプル1+販売分10
○Origins de Goldorakの世界 サンプル1+販売分6
○ACTARUS 1 悪魔のいる高原 サンプル1+販売分12

袋入りが無くなってしまった後「これしかないのですか、売り切れですか」と訊かれたので、展示品なので100円引きにしてサンプル分まで全部売りました。あと、ファンフィクの「Battle Proof」が2部、「帰還(おまけ本「ふたりの王子」セット)」が1部売れました。どうも、フィクよりも、翻訳本の売れ行きの方が良いようです。海外資料をかなり集めたのですが、読むにはそれなりに時間も手間もかかるので、せっかく意味が分かったのだから誰かと共有したいと思って始めたのが翻訳シリーズです。ムック本などで、イタリア、フランスでの展開が紹介された時に、本も少し紹介されていましたが、実際に買って訳してみた人は見かけないので、多分やってる人がほとんど居ないのではないかとは思います。

買いに来て下さった方とお話して、いろいろ情報をいただきました。

「資料的価値が高い」とおっしゃって下さった方、ありがとうございます。今後も翻訳本を出す元気と勇気をいただきました。また「来年5月に中野まんだらけで資料系同人誌の即売会があるので翻訳本でエントリーしては」というアドバイスもいただきました。戻ってネットで調べたところ、「資料性博覧会08」というのが見つかりました。小さなイベントですが、かなりマニアックぽいので、落とされるのを覚悟でエントリーしてみようかと思います。

1年半前の2013年夏コミで「イタリアのグレンダイザーのポルノがいろいろとおかしい 上」をお買い上げ戴いたお客様が、また来て下さり、下巻を買っていかれました。連続でコミケに落ち続けていたのですが、覚えていてくださったことがうれしかったです。前回お買い上げの時、会社で友達に見せるとおっしゃっていましたが、見せた結果爆笑で大ウケだったという結果を教えていただきました。下巻も上巻に負けず劣らずむしろ輪を掛けてひどい内容(笑)ですので、みなさんでネタにして笑っていただければと思います。

そんなわけで、最後の方に通って下さった方には、今回持って来た翻訳本を見せることもできない状態でした。申し訳ありません。あと各数部、多めに持ち込むべきでした。通販をhttp://www.frontier-line.org/mail-orderにて受け付けておりますので興味のある方はご利用ください。なお、帰宅は明後日になる予定ですし、年末年始も挟みますので、新年1月5日以降、対応いたします。

会場では、お隣のサークルの売り子さんに手助けしていただいたりということもありました。ありがとうございました。次の夏コミにもエントリーするつもりなので、当選すればまた会場で新刊を手にとっていただけるかと思います。今後ともよろしくお願いいたします。