YANO's digital garage

やっぱり雨の予報はハズレ。久々に実家に帰ったら風邪をもらってしまった。だるぅ。

イラクで拘束されていた日本人男性は最悪の結果になり、残された家族の無念さいかばかりかと思うと同情を禁じえない。何故にそうまでしてイラクの地に足を踏み入れたかったのかを本人の口から聞きたかったのだが、それが叶わなかったのは残念だ。

北九州市との合併を問う中間市の住民投票は合併賛成が圧勝して大きく前進。合併後の議席数を巡って3を求める北九州市と21を主張する中間市議会が対立していたのだが、この投票結果は往生際の悪い中間市議会に対してのダメ出しだろう。行政のスリム化と効率化は時代の流れだ。

中越地震の被災地でも合併により11月1日から魚沼市、南魚沼市の2市が誕生。スケールメリットを活かした震災復興が期待されるが、山間部など僻地を斬り捨ててしまうようだと市町村合併の意義を問われる。

【参照】
●西日本新聞 http://www.nishinippon.co.jp/
┗イラクで「日本人男性」拉致
●中間市 http://www.city.nakama.fukuoka.jp/
●北九州市 http://www.city.kitakyushu.jp/
●北九州市・中間市合併協議会 http://www.kitakyushu-nakama.jp/
●魚沼市 http://www.city.uonuma.niigata.jp/
●南魚沼市 http://www.city.minamiuonuma.niigata.jp/

週末は雨という天気予報はハズレまくり。晴れるんならオートポリスにGT選手権を観に行ったのに....今週末もついてなさそうだ。

さてhttp://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.10/msg00345.htmlでInternet ExplorerにURLを偽装できるバグがある事が指摘されている。具体的に言うと

<A href="http://www.microsoft.com/japan/"><TABLE><TR><TD><A href="http://www.google.com/">マイクロソフトっぽい？</A></TD></TR></TABLE></A>

とAタグの中にTABLEタグを折り込んでネストする事により、内部アンカーのURLを隠蔽し、外部アンカーで偽装できるというものだ。

手元で確認してみたところInternet Explorerだけでなく、mozillaとFirefoxでもステータスバーにhttp://www.microsoft.com/japan/と表示される事を確認した。正しくhttp://www.google.com/と表示できたのは Opera 7.53 だけだ。ちなみにmozillaとFirefoxでは左クリックではhttp://www.microsoft.com/japan/が開かれ、右クリックからのオープンではhttp://www.google.com/が開かれるという問題も確認した。

参考まで上記HTMLを文中に実装したのが後続の部分だ。マイクロソフトに見せかけているが、クリックするとGoogleが開く。TABLEタグの影響で改行される為に

マイクロソフトっぽい？

となり、若干違和感があるが、下のようにURLを書いておけば違和感は無くなる。

http://www.microsoft.com/japan/

取り敢えずリンクをクリックした場合はアドレスバーを良く確認するしかない。

義援金詐欺が流行の気配だっちゅうのに困ったもんだ。

【参照】
●セキュリティホール memo http://www.st.ryukoku.ac.jp/~kjm/security/memo/
┗New URL spoofing bug in Microsoft Internet Explorer 2004年10月29日

赤い羽根共同募金の「義援金依頼を偽装した詐欺メール」が出回っている模様。

「新潟県中越地震災害義援金」について、中央共同募金会名の義援金依頼メールが出回っておりますが、本会では電子メール（ｅメール）による義援金依頼は一切行っておりませんのでご注意ください。
なお、疑わしい電子メールを受信された方は、お手数ですが、本会までご転送くださいますようお願いいたします。（2004年10月29日）

奥村先生が「よくできた詐欺メール」としてサンプルを公開しているが、実は「新潟県中越地震災害たすけあい」のまんまコピーだ。

From: 中央共同募金会 <kyodo_bokin_to_niigata@mail.goo.ne.jp>

と、フリーメールを使ってたり、

4. 義援金受入口座（受付期間内は、振込み手数料免除）

三井住友銀行
ドットコム支店（支店番号：953）
普通預金
口座：1142782
名義人：イーバンクギンコウ（カ

振込口座がイーバンクだったり、怪しさ大爆発なのだが。(笑)

【参照】
●赤い羽根共同募金 http://www.akaihane.or.jp/
┗「新潟県中越地震災害」たすけあい 2004年10月25日
●奥村晴彦のWiki http://oku.edu.mie-u.ac.jp/~okumura/pukiwiki/
┗よくできた詐欺メール 2004年10月29日
●ITmedia http://www.itmedia.co.jp/
┗義援金詐欺が出没　市職員のふりして募金集める 2004年10月25日

10/27 南小国町、耕きちの湯にて

今のところ時間は自由になるのだが、この時期の新潟でのキャンプは無理だし自分の事すらままならない。混乱した状況に未経験者が入ったところで足手まといになるだけだ。

取り敢えず微力ながら誰かの役に立てれば…という事で、骨髄バンクへのドナー登録をする為に、キャナルシティの献血ルームへ。立て続けての災害で血液の在庫も急激に減っているそうなので、ついでに献血も出来ればいいし。

骨髄バンクのドナー登録に際し、「チャンス！」というパンフレットを事前に読んでおく必要があるが、Webサイトでpdfファイルとしても公開されているのでいちいち出向いたり郵送してもらう必要はない。

また登録手続きに際して電話予約(受付は平日の9〜17時)が必要なのだが、幸か不幸か登録希望者が殺到しているわけでもないので、前日予約でも大丈夫だった。献血ルームでは土日の登録も大丈夫みたいだが、ふらっと行ってふらっと登録できるわけではない。

当日の内容は10ccの採血をするだけと至って簡単。書類記入とガイドビデオを見る時間を含めて1時間もかからない。血小板献血のオマケのような形になりつつ都合1時間半ほどで終了。

あとはHLA型が適合する患者さんが見つかるまで待つだけだが、見つかって欲しいような欲しくないような…f(^^;;

【参照】
●骨髄移植推進財団 http://www.jmdp.or.jp/
┗骨髄バンク ドナー登録 http://www.jmdp.or.jp/reg/
●日本赤十字社 http://www.jrc.or.jp/
┗参加・協力＞献血 http://www.jrc.or.jp/sanka/blood/
●新潟県 http://www.pref.niigata.jp/
┗平成16年新潟県中越地震に関する情報
●新潟県災害救援ボランティア本部 http://www.nponiigata.jp/jishin/
●新潟復興ボランティアを支援するBLOG http://yaplog.jp/nigata/

portageで段階的にステップアップしてきた最終形 qmail-vida を導入する。

まずはdjb基本セットの daemontools と tcpserver からだ。いつものようにmakeすると「undefined reference to `errno'」というエラーが発生する場合がある…ていうかFedora Coreでは出る。調べたところglibcのアップグレードに伴う弊害だそうだ。

だが途方に暮れる事はない。error.hの

extern int errno;

という1行を

#include <errno.h>

に置き換えれば良い。editorさえ使えればたやすい事だ。

daemontools と tcpserver のインストールまで終わったら、qmail のビルドだが、その前にqmailプロセス用のアカウントを追加しておく必要がある。が、さらに言うなら

# setenforce 0

でenforcing設定をpermissiveモードに切り替えてからやった方が良い。

# mkdir /var/qmail
# /usr/sbin/groupadd nofiles
# /usr/sbin/useradd -g nofiles -d /var/qmail/alias -s /bin/false alias
# /usr/sbin/useradd -g nofiles -d /var/qmail -s /bin/false qmaild
# /usr/sbin/useradd -g nofiles -d /var/qmail -s /bin/false qmaill
# /usr/sbin/useradd -g nofiles -d /var/qmail -s /bin/false qmailp
# /usr/sbin/groupadd qmail
# /usr/sbin/useradd -g qmail -d /var/qmail -s /bin/false qmailq
# /usr/sbin/useradd -g qmail -d /var/qmail -s /bin/false qmailr
# /usr/sbin/useradd -g qmail -d /var/qmail -s /bin/false qmails
# /usr/sbin/groupadd vida
# /usr/sbin/useradd -g vida -d /var/qmail -s /bin/false qmailu
# /usr/sbin/useradd -g vida -d /var/qmail -s /bin/false authdb
# /usr/sbin/useradd -g members -d /home/pop/ -s /bin/bash pop

続いて qmail と qmail-vida のビルドとインストール。 今回はqmailパッケージとcheckpasswordパッケージへのパッチは以前に適用済みのものをportageからコピーしたので省略。オリジナルアーカイブから展開する場合はパッチを忘れずに。詳細は添付文書(doc/install.html)参照の事。

# cd qmail-1.03 ; make setup check
# cd ../qmail-vida-0.51/src/vida ; make setup check
# cd ../.. ; make install-doc

続いて実行環境の作成だが、SSLWrapを入れてなかったり環境が中途半端なので詳細は省略する。currentログで起動状態が確認できればOK。

# tai64nlocal < /var/log/qmail/current
2004-10-28 23:45:29.994960500 status: local 0/10 remote 0/20
# tai64nlocal < /var/log/qmail-smtpd/current
2004-10-28 23:45:27.942556500 tcpserver: status: 0/40
# tai64nlocal < /var/log/qmail-pop3d/current
2004-10-28 23:45:27.936246500 tcpserver: status: 0/40

続いてSELinuxならではのセキュリティポリシーの追加。audit2allow の出力から init_t の行を抽出して init.te を作成する。useradd/groupaddは日常的に行う処理ではないのでセキュリティポリシーの追加はしない。インストール作業の時はpermissiveモードにした方がいい。

# cd /etc/security/selinux/src/policy
# audit2allow -d -l
    :
allow init_t root_t:lnk_file { read };
allow init_t usr_t:file { execute execute_no_trans getattr ioctl read };
allow init_t usr_t:lnk_file { read };
    :
# cat > domains/init.te
allow init_t root_t:lnk_file { read };
allow init_t usr_t:file { execute execute_no_trans getattr ioctl read };
allow init_t usr_t:lnk_file { read };
# make reload

この後 enforcing モードにして、サービスがエラーを吐かなければOKだと思う。念の為、rebootしてもう一度確認。

完全に忘れていた個人別設定。

$ /var/qmail/bin/maildirmake ~/Maildir
$ echo ./Maildir/ > ~/.qmail
$ /var/qmail/bin/vida-passwd -a
Changing password for user yano
New password:********
Retype new password:********
vida-passwd: Password for user yano was changed
pwdbmake: authdb/pwdusers/cdb was updated

ローカル送信テスト。

$ /var/qmail/bin/qmail-inject yano
To: yano
From: local
Subject: localtest

This mail is test message.

$

qmailのログチェック。

$ tai64nlocal < /var/log/qmail/current
2004-10-29 00:09:48.170573500 new msg 850958
2004-10-29 00:09:48.170587500 info msg 850958: bytes 339 from <yano＠fedora.bravotouring.com> qp 10049 uid 500
2004-10-29 00:09:48.189297500 starting delivery 1: msg 850958 to local yano＠fedora.bravotouring.com
2004-10-29 00:09:48.192203500 status: local 1/10 remote 0/20
2004-10-29 00:09:48.239555500 delivery 1: success: did_1+0+0/
2004-10-29 00:09:48.241556500 status: local 0/10 remote 0/20
2004-10-29 00:09:48.241572500 end msg 850958

いけた！？

$ ll ~/Maildir/new
合計 24
drwx------  2 yano members 4096 10月 29 00:09 ./
drwx------  5 yano members 4096 10月 28 23:58 ../
-rw-------  1 yano members  426 10月 29 00:09 1098976188.10052.fedora.bravotouring.com
$ cat new/1098976188.10052.fedora.bravotouring.com
Return-Path: <yano＠fedora.bravotouring.com>
Delivered-To: yano＠fedora.bravotouring.com
Received: (qmail 10049 invoked by uid 500); 29 Oct 2004 00:09:45 +0900
Date: 29 Oct 2004 00:09:41 +0900
Message-ID: <20041028150941.10048.qmail＠fedora.bravotouring.com>
To: yano＠fedora.bravotouring.com
From: local＠fedora.bravotouring.com
Subject: localtest

This mail is test message.

$

これで配送までOK。

外部送信では表書き送信者アドレス(envelope sender address)にDNS未登録のホスト名が入ると接続拒否されるので、 qmail-inject のオプションでアドレスを指定するとうまくいく。

# /var/qmail/bin/qmail-inject -flocal＠bravotouring.com yano＠nifty.com
To:yano＠nifty.com
From:local＠bravotouring.com
Subject: outbound test

This mail is outbound test message.

#

単体での送受信が出来たら、続いてクライアントからの送受信だが、その前にいわゆるファイヤウォール iptables の設定を追加する。端末の場合は/usr/bin/system-config-securitylevelの「カスタマイズ」画面、GUIだと「システム設定」の「セキュリティレベルの設定」を開く。

smtpは既定で空いていたので、「その他のポート」にpop3:tcpを追加すれば良い。結果は /etc/sysconfig/iptables に保存される。

パソコンからも送受信を確認できたらOKだ。

【参照】
●qmail-vida http://qmail-vida.sourceforge.jp/
●MM総合研究所 http://www.mm-labo.com/
┗qmailがインストールできない