YANO's digital garage

5/3 愛媛県久万高原町にて

先週末までの曇天続きがウソのように、月曜日から気持ちの良い好天が続いている。

梅雨入り宣言をしなかった気象庁はさすがと言えよう。

難航していた問題の方もついに容疑者を突き止める事ができ、ようやく解決の糸口が見えた。

今思うと、先週もそんな気がしてたのだが詰めが甘かった。(笑)

やっぱり急がば廻れ、地道にコツコツやるのが一番の早道と言う事だ。

5/1 因島大橋入口にて

情報処理推進機構からTCP/IPに関する既知の脆弱性などをまとめた文書が公開された。

PDFファイルで128ページある報告書はラックによるもので、「ソフトウェアのプログラマ向けの実装ガイド、システムエンジニアやサーバ運用者向けの運用ガイドなども、個々のぜい弱性の問題ごとに記載しております」という事だ。

継接ぎだらけのTCP/IPにも関わらずこういう纏まった資料が無かった事もあり、開発ベースにおいて既知の脆弱性への対応をチェックするのは非常に困難だったのだが、ありがたく参考にさせて頂きたい。

【参照】
●日経ITPro http://itpro.nikkeibp.co.jp/
┗TCP/IPのセキュリティをまとめた文書，IPAが公開 2006年5月30日
●情報処理推進機構セキュリティセンター http://www.ipa.go.jp/security/
┗「TCP/IPに係る既知のぜい弱性に関する調査報告書」の公表について 2006年5月30日
★TCP/IPに係る既知の脆弱性に関する調査 http://www.ipa.go.jp/security/fy17/reports/vuln_TCPIP/
┗「TCP/IPに係る既知の脆弱性に関する調査報告書」

昨日、サーバーへの道が閉ざされたGLAN Tankだが、120GB-HDD2台でミラーリングNASの構成で使う事に。

マスターHDDをデスクトップPCに接続して添付のCD-ROMから起動。ミラーリング設定でインストールを行った後、HDDをマスター／スレーブ構成でGLAN Tankに接続して起動。画面が見えないのでそこはかとなく不安だが、30分程でガリガリ音も治まって無事にミラーリング構成が終わったらしい。

まずはwebブラウザで管理コンソール(http://192.168.0.201/)に接続。ビルトインのアカウントは"admin"だ。まずはtelnetを有効にした後、IPアドレスを192.168.199.2(=glantank)に変更して再起動。管理コンソール(http://glantank/)に接続出来る事を確認したら、telnetでログインする。

続いて追加パッケージの導入。何はともあれaptを使う為、/etc/apt/sources.listを変更する。YANOさんの最寄りのサーバーはring.airnet.ne.jpなので

#deb http://ftp.debian.org/debian sarge main
#deb-src http://ftp.debian.org/debian sarge main
deb http://ring.airnet.ne.jp/archives/linux/debian/debian sarge main
deb-src http://ring.airnet.ne.jp/archives/linux/debian/debian sarge main
deb http://security.debian.org/ sarge/updates main
deb-src http://security.debian.org/ sarge/updates main

な感じで。さっそく、取り急ぎ必要なsshやsamba等のパッケージをインストールする。

$ su
Password:
# apt-get update
# apt-get install gnupg gnupg2 less ssh samba swat

ちなみにでapt-getでインストールされたパッケージは/var/cache/apt/archives/にダウンロードされている。

お次ぎにユーザーアカウント。何はなくともyanoを追加。

# useradd -g users yano -d /home/yano -s /bin/bash
# mkdir /home/yano
# cp -pr /etc/skel /home/yano
# chown -R yano:users /home/yano

suで昇格できるよう/etc/groupのadm行を

adm:x:4:admin,yano

と変更。そうそう、visudoでも書いとかないと。

でもってサービス周り。sshもポート変更。既定の22だとアタックを受けやすいので、/etc/ssh/sshd_configのPortを2222にして再起動。この後はtelnetを止めてsshで。

そしてsambaのWeb管理ツールswatをinetd経由で起動すべく、/etc/inetd.confの最後に一行追加。

#:OTHER: Other services
swat        stream tcp nowait.400 root /usr/sbin/swat swat

管理コンソールからtelnetを起動・停止すると/etc/inetd.conf.startか/etc/inetd.conf.stopに置き換えられるので、こっちにも入れておいた方が良い。

ちなみにswatへのアクセスはhttp://glantank:901/。アカウントは"root"だ。まずは"Share Parameters"のhome設定を確認。"read only"が"yes"だったが、書き込みしたいので"no"にする。個別のユーザー追加も忘れずに。

【参照】
●ITmedia +D http://plusd.itmedia.co.jp/
┗112Mbpsを実現──ギガビット対応になったNASキット「GLAN Tank」のパフォーマンスをチェックする 2006年5月15日
●MYCOM PC WEB http://pcweb.mycom.co.jp/
┗【ハウツー】GLAN TankをHDDビデオレコーダーに仕立てる 2006年4月22日
●株式会社アイ・オー・データ機器 http://www.iodata.jp/
┗PCパーツブランド『挑戦者』GLAN Tank http://supertank.iodata.jp/
●ヨドバシ・ドット・コム http://www.yodobashi.com/
┗挑戦者 SOTO-HDLGW [USB2.0対応 GIGAbit LAN Linuxサーバ組立キット GLAN Tank] http://www.yodobashi.com/enjoy/more/i/48720528.html
●LANDISKで漕ぎいでな～♪ http://eggplant.ddo.jp/www/
┗GLANTANK

昨日ジャワ島中部でM6.2の地震が発生、これまでに死者が4600人超した模様。また今日はCNNによるとパプアニューギニアとトンガでも強い地震も報じられ、全地球的に活動期に入ったような雰囲気だ。

ちなみに昨年3月に発生した福岡県西方沖地震はジャワ島のそれより大きいM7.0。改めて震源が離れてて良かったと思う。

さっそく日本赤十字社の災害救援金募集と、日本ユニセフ協会の緊急募金が始まったそうだ。

週末に当った事もありまだ公式サイトにはアナウンスが掲載されて無いが、週明け早々にはインターネット緊急募金も含めて追加されるだろう。また日本ユニセフ協会では電子マネーでの募金も受け付けている。今のところWebMoneyとビットキャッシュだけだが、使い残った端数の電子マネーがあれば、ぜひ活用したい。

なお、義援金詐欺なども予想されるのでも、振込先口座等は面倒でも必ず各団体の公式サイトを参照して確認するように注意しなければならない。新聞記事やＴＶならまだしも、Webサイトは偽装しやすいので騙されてしまう危険性がある。

またユニセフも注意を促しているように、街頭募金を装った詐欺も横行している。極端な話だがもし犯罪者集団に渡るとテロの資金となる危険性もあり得るわけで、自分では良い事をしたつもりが逆の結果になるかもしれない。お金を出して自己満足で終わるのではなく、例え善意の募金でも結果にまで責任を持たなくてはいけないと思う。

【参照】
●NIKKEI NET http://www.nikkei.co.jp/
┣ジャワ島中部M6.2の地震、建物倒壊で死傷者 2006年5月27日
┗ジャワ島地震、死者4600人超す・救援活動難航 2006年5月28日
●日本赤十字社 http://www.jrc.or.jp/
┗ジャワ島中部地震災害救援金の募集を開始 2006年5月28日
●日本ユニセフ協会 http://www.unicef.or.jp/
┗ジャワ島地震 ユニセフ緊急支援活動を開始
◆注意◆街頭でのユニセフ募金活動、個別訪問に関する注意

4/22に買ったGLAN Tankだが、いろいろ弄っていると何となく遅い印象を感じるようになった。nx9030と比較してあまりにも遅いようだとサーバーとしては致命的なので、早めにパフォーマンスを比較する事に。

まずはLinux上でCPUがどう認識されているか確認してみる。glantankは

$ dmesg | grep ^CPU
CPU: XScale-IOP8032x Family [69052e20] revision 0 (ARMv5TE)
CPU: D VIVT undefined 5 cache
CPU: I cache: 32768 bytes, associativity 32, 32 byte lines, 32 sets
CPU: D cache: 32768 bytes, associativity 32, 32 byte lines, 32 sets
CPU: Testing write buffer coherency: ok

対してnx9030は

$ dmesg | grep ^CPU
CPU 0 irqstacks, hard=c0447000 soft=c0446000
CPU: After generic identify, caps: a7e9f9bf 00000000 00000000 00000000 00000000 00000000 00000000
CPU: After vendor identify, caps: a7e9f9bf 00000000 00000000 00000000 00000000 00000000 00000000
CPU: L1 I cache: 32K, L1 D cache: 32K
CPU: L2 cache: 512K
CPU: After all inits, caps: a7e9f1bf 00000000 00000000 00000040 00000000 00000000 00000000
CPU: Intel(R) Celeron(R) M processor 1300MHz stepping 05

という表示だが、物差になるものが無いのではっきり言ってよくわからない。

取り敢えずglantankにもspamassassinを入れてスパムメール処理時間を測定して比較する事に。これならばサーバーとして現実的に最も頻度・負荷共に高いアプリケーションなので、サーバーとしての潜在能力を測るにはおあつらえ向きだ。

で、結果としてはnx9030の3.6秒に対して、glantankは6.1秒と倍近く掛かってしまう淋しい結果に終わってしまった。これはnx9030のCeleronが1.3GHzでドライブされているのに対してglantankのXScaleはおよそ1/3の400MHzでしかないのを如実に表わしている。ま、「それなり」と言えばそれなりなのだがパフォーマンスが半分というのはリプレース候補としては心許ないという結論に到らざるを得ない。

せっかくなので、なんか客観的なベンチマークは無いだろうか？と探してみたところ、パスワード解析ツールのJohn the Ripperにベンチマークモードがあるという事なので、やってみたのが下の表だ。

	Traditional DES		BSDI DES		FreeBSD MD5	OpenBSD Blowfish	Kerberos AFS DES		NT LM DES
	Many salts	Only one salt	Many salts	Only one salt	Raw	Raw	Short	Short	Raw
glantank	25494	24402	868	857	538	34.3	12179	37252	344354
nx9030	131174	120718	4043	4016	3104	208	118067	316160	1856K

という、総じて対nx9030で20%程度の淋しい数字に終わってしまった。最適化コードがサポートされているx86の方が高い数字が出やすい事を割引いてあげないといけないが、コンパイルを始めた段階で圧倒的な遅さを体感し、サーバーにしようなんて気はさらさら無くなった。

まぁ24,800円という価格からして、こんなもんかな。

【参照】
●ITmedia +D http://plusd.itmedia.co.jp/
┗112Mbpsを実現──ギガビット対応になったNASキット「GLAN Tank」のパフォーマンスをチェックする 2006/05/15
●MYCOM PC WEB http://pcweb.mycom.co.jp/
┗【ハウツー】GLAN TankをHDDビデオレコーダーに仕立てる 2006/04/22
●株式会社アイ・オー・データ機器 http://www.iodata.jp/
┗PCパーツブランド『挑戦者』GLAN Tank http://supertank.iodata.jp/
●ヨドバシ・ドット・コム http://www.yodobashi.com/
┗挑戦者 SOTO-HDLGW [USB2.0対応 GIGAbit LAN Linuxサーバ組立キット GLAN Tank] http://www.yodobashi.com/enjoy/more/i/48720528.html
●LANDISKで漕ぎいでな～♪ http://eggplant.ddo.jp/www/
┗GLANTANK