CentOS Stream 9 を使った所、こんなメッセージが出てサーバサイドの暗号化ができなかったので調査しました。

multikeyencryption failed error:0308010C:digital envelope routines::unsupported

調べると Node.JS 関連の情報が出てきますが、多分違うだろうと考えて SSL 周りを調査。

• https://www.openssl.org/docs/manmaster/man7/OSSL_PROVIDER-legacy.html
• legacy
• fips
• OSSL_PROVIDER-legacy
• NODE_OPTIONS=--openssl-legacy-provider
• https://github.com/nodejs/node/issues/40455

これらの文字列からたどり着いたのは openss.cnf の以下の部分。

修正したらサーバサイドの暗号化が動く様になりました。

ただ、occ preview:pre-generate が動かなくなり、バックグラウンドでのプレビュー画像生成ができなくなります。これが意外と被害でかいんだよね。

当然ですがレガシー対応した形なので、OSとしては少しセキュア度が下がりました。

--- openssl.cnf.orig    2022-01-21 23:28:48.000000000 +0900
+++ openssl.cnf 2022-01-27 13:49:37.335117079 +0900
@@ -58,13 +58,13 @@
 [provider_sect]
 default = default_sect
-##legacy = legacy_sect
+legacy = legacy_sect
 ##
 [default_sect]
 activate = 1
-##[legacy_sect]
-##activate = 1
+[legacy_sect]
+activate = 1
 [ ssl_module ]

変更したあとは php-fpm を再起動して openssl.cnf の設定変更を反映させます。

systemctl restart php-fpm
systemctl restart httpd

無事 サーバサイドの暗号化が動きました。一気に全ファイルを暗号化します。一応解除も試します。

# 暗号化
sudo -u apache php occ maintenance:mode --off
sudo -u apache php occ encryption:enable
sudo -u apache php occ encryption:encrypt-all
sudo -u apache php occ encryption:status

# 暗号化解除
sudo -u apache php occ maintenance:mode --off
sudo -u apache php occ encryption:decrypt-all
sudo -u apache php occ encryption:disable
sudo -u apache php occ encryption:status

使用容量は増えるけど、安心できるからやむを得ず。

前から気になっていた QNAP の NAS を購入してみました。比較的あたらし目の機種で TS-550 Pro にしました。

• QNAP TS-550 Pro × 1 台
• ST31000528AS (1TB 500GBプラッタ 7200rpm) × 6 本 (内 1本予備)

さすがにニアライン版の HDD は倍の値段するので普通版、昔から好きで使っている Seagate です。あのファームウェア事件の後も使ってますよ。

買う前までは、結構不安だったのですが、箱、マニュアル、緩衝材、付属品など、いろいろしっかり作られていて、使う前から結構一安心。

まだ箱を開けて間もないのですが、設定は簡単ですでにばりばりに使ってます。まずはテストで負荷掛け気味でね。

電源を入れて、まずは RAID の初期化が動いたのですが、まずここが時間かかりました。その後、RAID のリビルド？。これまたリビルドも結構時間がかかります。リビルド最中に激しく操作したためか勝手に再起動？(やな予感) 再度 0% からリビルドになっちゃいまました。。。追求したいところだけど、この時点では終わるまで我慢で触るの止めときました。

無事リビルドが終り、こんな形で遊んでます。

• VMware ESXi と NAS 接続
• VMware ESXi と iSCSI 接続
• Windows Server と iSCSI 接続
• マイパソコンから CIFS 接続

QNAP 側は LACP 設定して 1GbE を束ねて 2 本で hp ProCurve に接続。

簡単手間いらずな ＮＡＳ のできあがり、良くできてますね。あとは障害時のテストとか RAID6 にしてみたりホットスペアを付けてみたり、これからしばらくテストかな。

先日の米民間団体ICANNの発表の影響でしょうか？JPNICのIPアドレス申請を受け付けているサーバが、大量にIP申請されてパンクしたようです。

そんな訳で？ここ m3a.org の自宅サーバも IPv6 Ready にしました。

フィルタ類の動作確認のために Windows XP に ipv6 install で IPv6 環境をインストールして Teredo を使って確認。

ipv6 install

netsh interface ipv6 set teredo enterpriseclient teredo.ipv6.microsoft.com. 30

netsh interface ipv6 show teredo

それでも正しく動いているのかが不安だったので IPv6 Enabled Program に登録してみました。基本的なテストは Pass したので、IPv6 サイトとしては問題なさそう。評判はあまりよくないけど無償でRT57iのDTCPで収容出来るFeel6でIPv6です。

RT57iのDTCPだけど通信していないと切れちゃうみたいで、しょうがないので定期的にping6撃ってます。

• ICANN事務総長による「IPv4アドレスの割り振り、2010年10月終了」 (JPNIC)
• ICANNのCEO曰く「IPアドレスの枯渇、Xデーは2010年10月」  (Slashdot)
• ＩＰｖ４でのアドレス割り当て、10年10月終了 管理団体ＣＥＯ (NikkeiIT)
• IPv6対応製品にDoSの脆弱性、IPAらが注意喚起 (ITmedia)

何度かの切り替えテストを行い、やっと VMware ESXi 4.0 上の FreeBSD 7.2 (amd64) へ移行を完了させました。

rsync や rcp コマンドなどを組み合わせて、何度も何度も移行テストを行っているのでエラーは今のところ無しです。

用途としてはこんな感じ。

• Web (http, https)
  • Movable Type (mod_fcgid)
  • Word Press
  • XOOPS
  • pukiwiki
  • Fresh Reader (RSSリーダ)
• メール
  • pop3s, pop3, imap, imaps, smtp, smtps
  • fetchmail / procmail
  • 膨大な過去メールの MH 階層
  • 迷惑メール対策用途
    • SpamAssassin
    • bogofilter
    • bsfilter
• 管理の為にリモート接続ポート
• ファイルサーバ
  • samba
  • NFS server
• Dynamic DNS の更新 (ddclient を改造)
• データベース (MySQL)

今回の移行でははまったのが amd64 版の FreeBSD 環境にした影響で Fresh Reader に同梱されている iocube にはまったところ。これは amd64 対応版のライブラリを集めてきて無事動きました。あとは Apache 2.2 でキャッシュ関連かな、こっちも結構悩んだので少し勉強になりました。

以前の Celeron 2.3 Mhz から Athron64 LE-1640B (2.7GHz, 512kB, 65nm, 45W) と結構スピードが早くなって、Fresh Reader と Movable Type の管理画面が快適なところが嬉しい。当分はこの CPU で遊べそうです。

あとは、ESXi 側 3ware 9650SE の RAID10 のエラーを ssh 経由で検知する仕組みをどうにか作っておかないといけないのと、UPS の電池切れのため交換が必要なところ。VMFS 信じてます。壊れませぬように。

デフォルトで無効になっている様なので、vm.pmap.pg_ps_enabled を 1 にしてみましたが。

• FreeBSD 7.2 注目の新機能 - gihyo.jp
  • 第1回 Superpagesの仕組みと意義 - gihyo.jp
• FreeBSD 7.2の新機能 - Superpage、マルチIP対応Jail仮想環境、ほか - マイコミジャーナル

以下はどちらも有効に出来ずで read only と出る。

• sysctl vm.pmap.pg_ps_enabled=1
• /etc/sysctl.conf : vm.pmap.pg_ps_enabled=1

で、すっかり忘れていた。/boot/loader.conf に設定したら出来ました。

• /boot/loader.conf : vm.pmap.pg_ps_enabled=1

VMware ESXi 3.5 Update 3 上に FreeBSD amd64 が入っていますが、メモリーは 1GB 程度しか割り当てていない訳で、amd64 の意味もなく、Superpages も。

SPARC と Solaris で有名な Sun が Oracle 社に買収されましたねー。

• OracleがSunを買収、今年の夏には完了へ - GIGAZINE
• 【速報】オラクルが74億ドルでサンを買収 － ＠IT
• 速報：Oracle、Sunを74億ドルで買収 - ITmedia エンタープライズ
• 404 Blog Not Found-news - Oracle to buy Sun

仕事でも趣味でも Solaris と SPARC マシンを扱っていたので、Sun ブランドが無くなってしまうのは、なんだか悲しいです。買収が完了したら Oracle ブランドになってしまうんですね。Oracle Solaris ？なのでしょうか？

もう一つ気になるのが Sun の持っている MySQL です。

Oracle 社もデータベースの会社なので Sun の買収で MySQL と Oracle Database の二つの大きなプロダクトを抱えたことになるのですが。こちらも、どうなるのだろうか。

また NTT-X Store で 4000 円割引やってたんで1台ゲット。金曜日に4000円引き情報をとある方のブログで知った時は在庫180台、日曜日の購入時点で100個の在庫。一人で何台も買ってるんだろうね。

• ML115 G5 スタートダッシュ3 キャンペーン(S) 4577670-ADRP
  • お？今(2008/1/26 12:20)見たら 2000 円割引に変わってる。4000円割引でゲットできたのでラッキー！
  • (2008/1/28 21:05) お、また 4000 円引きになったかな。http://nttxstore.jp/_II_HP12697443

この格安のは去年もやってたんだけど、AMD CPU は過去 1 度しか使ったことがなかったんで手を出さなかったんだよね、今回は他に人柱になってくれた方がたくさんいたので買いました。

クライアントとしても、もう一台買っちゃいそうだったけど電源いれた時のあの爆音はかなわないからね。あくまでもサーバ用途でね。クライアントは、今サーバとして使ってる ATX のケースと電源が余るし、W数が足りればそのまま使って自作でどうにかするつもり。もう販売停止品だから、抱えすぎても捨てるの困るしね。

購入に踏み切った理由はこんな感じ。

• 今の最新 AMD Phenom II が unkown 認識ながら動いたという情報があってしばらく楽しめそう
• メモリーは 16 GB まで対応しているから、とりあえず格安 non-ECC 2GB x 2 で 4GB
• VMware ESXi が USB ブートで動くから
• ESXi でも Smart Array e200 でハード RAID が組めるから。でも遅いらしい。
  • オンボード RAID コントローラーが動けば安上がりなんだけどな。
• ホストは Xen ベースのどれかを使う予定。最終的には、オンボード RAID も使えるLinux OS としても、自由に使える CentOS かな。
  • Citrix XenServer Express Edition
  • Oracle VM
  • CentOS Xen
• ホスト OS はファイルサーバ iSCSI, NFS, DNLA, SMB としても兼ねる
• ゲスト OS に FreeBSD で公開サーバ
  • Xen で仮想化用のイメージじゃなく、物理的ディスクを直接マウント出来るらしいからそれを試す

こんな計画でい行けそうだったからです。気になるのがケースファン、がかなりの爆音らしいです。どうやって静音化をしようかな。とりあえず超格安な non-ECC メモリー、SATA ディスク、E200 128 BBWCC をゲットしなくては。 着払い限定 15,750 円が 11,750 円です。送料と代引き手数料つけて 12,170 円、これを2回の分割払い。

昨日見たときは30個くらいまで在庫が減ってたけど、今は2000円割引の在庫が80個。あともう一台を ESXi ディスクレス化のiSCSI ターゲット用として欲しいな。悩み中。

以前つかっていた Hyper Hacking Keyboad の Professional モデルに日本語配列モデルが出たみたいです。

• Happy Hacking Keyboad Professional JP (HHKBJP)
• PFU、HHK最上位機種初の日本語配列モデル

Lite 版と比べると、Professional 版は格段にキーのタッチがいい感じなんですよ。その分、値段も 24,990 円とかなり高いんですけどね。

日本語だけど、僕には必要のない「かな」は刻印されていないからぱっと見シンプルで好きです。

• 高級コンパクトキーボード「Happy Hacking Keyboard Professional JP」新発売
• HHKB Professional JP

今回からはキートップだけを、別売りで購入できるんですね。 

久々更新！なのに画像とか無し。

出た出た Movable Type 4.2。このブログも Movalbe Type 4.01 なので早速バージョンアップしました。

といっても、いきなり上書アップグレードじゃなくってアップグレードテストしてからね。実際にテストやってみても、何も問題無し。たぶん。

使っているプラグインが少ないとアップグレードも簡単ですね。30分後には本番の環境をアップグレードしちゃいました。

1. ディレクトリ /mt42j へ新規に Movable Type 4.2 をインストール
2. テスト用のMySQLデータベースでアップグレードテスト
3. テスト用の公開ディレクトリで再構築テスト
4. 必要なプラグインを /mt42j/plugin 等へコピー
5. PerlDynamic の 4.2 対応版を入れ込み
6. 本番環境アップグレード実行
7. テンプレートの "スタティック" ってなったものを "手動" へ変更

あっけなく終わってしまいました。

せっかくなのでコミュニティ機能がついた Movable Type 4.2 です。っていってもテンプレート引き継いでるからコミュニティ機能は使わないけどね。

このブログ "[M]BLOG - Harley-Davidson Road King Life" が動いている自宅のサーバだけど FreeBSD 6.2-RELEASE-p11 とレガシー組になってきたのでアップグレードの準備をしてます。最終的には 7.0-RELEASE までアップグレードを予定しとくけど、怖くてあきらめるかも。短いし。