2022年6月 – Manualmaton's Laboratory

2022年上半期、買ったもの。

By manualmaton

オン 2022年6月30日

カテゴリー: Chromebook, iPad, Linux, PC, ガジェット, 写真

2022年もいよいよ折り返し。

今年は結構大きめの買い物がありました。

OLYMPUS E-P7

復活の『眼』。(OLYMPUS E-P7購入)

「オリンパスのカメラを手に虹を撮る」初夢がきっかけで以前使っていたカメラを引っ張り出したら「このレンズの魅力は引き出せる」思い、カメラも新調。

多彩なフィルター
圧倒的な軽さ

と、街歩きにもってこいなカメラです。

iPad mini 6 & Apple Pencil

iPad mini 6、到着。

こすいちのかくすらなきくどっとえぐぜ。(Apple Pencil 2到着)

これはリプレースしたもの。特にApple Pencilは「側面につければそのまま充電」により、運用がとても楽になりました。

また、大容量ストレージにより電子書籍閲覧も快適です。

Chuwi Herobox

2台目の自宅サーバ。(Chuwi Herobox Pro 2台目)

こちらは「新たなインフラ基盤」です。redmineによるスケジュール管理や各種データの保存がとても便利だったので専用機を導入。

コンパクトで
ディスプレイの裏にマウントでき
ファンレスの静音設計

と、家庭内サーバに求められる機能を全て持っていて、

Redmine
ローカルDNS
Webアルバム
Zabbix

を入れて自宅内のサーバ機能が充実しました。

Chromebook Duet 560

こちらは今月。

Chromebook 新調と買い足した理由。(Lenovo Duet 5)

こちらは店頭で見かけて即買ったというもの。キックスタンド型やらmicroSDスロットがついてないなど、自分が最初にChromebookを買ったときの要件から外れていましたけれど

8GB / 256GBの高性能
臨場感たっぷりのサウンド
視野角が広くベゼルが狭いために没入感たっぷり

と、出先でのエンタメにもジウうに分な活躍を見せています。

と、以上4つ。下半期もどんなガジェットに会えるのやら。

万年筆『ライティブ』セカンドインプレッション。

By manualmaton

オン 2022年6月29日

カテゴリー: ガジェット, 手帳, 文具

こちらの記事の続きとなります。

万年筆『ライティブ』ファーストインプレッション。

ライティブ・買い増し

一週間とたたずにもう一本。こちら、相当な魅力にあふれていました。

使ってよかったと思ったところ

長さと軽さの絶妙なバランス

軸が長いのにコンバータを入れても軽く、スッと書けます。細かい字を書いても振り回されるということがなかったです。

線の書きやすさ

これが一番驚いたところ。ノートの隙間を有効活用するため、ページを半分折って線を引いているのですが、ボールペンのような滑りで最初から最後まで滲むことなく引けます。

今まで、線を引くときにはボールペンを使っていたので、これはアルシュの革命と言えます。

ちょっと残念だったところ

クリップの硬さ

ペンホルダーに収める際、ペンクリップの隙間がややきつく、入れるのに難儀したのがちょっとした難点。

シールキャップの音

これは完全に好みの問題です。ライティブはプレピーと同じく、（安価なモデルでありながら）インクの乾燥を防ぐためのシールキャップを搭載しています。

この「パチン」とはめるときの音が少しパッとしないのが少々。

今の所の結論

比較的安価
大容量コンバータ対応
書きやすく
取り回ししやすく
なめらかに書ける

いい万年筆です。

特に、インクを買いましている自分にとって「比較的手に入れやすい価格で書きやすい」モデルはうってつけです。

ミニチュアとペンスタンド。-百均グッズの撮影用小物(その15)-

By manualmaton

オン 2022年6月28日

カテゴリー: ガジェット, 写真, 文具, 箱庭撮影

ミニ一斗缶

百均で新たに購入したのはこちらです。

ダウンサイジングした一斗缶。しっかりと「オリーブオイル」のラベルまで貼られています。これをさっそくこう使いました。

ペンスタンド

深さ、大きさがペンスタンドにピッタリ。しかも、適度な重さがあるので倒れにくいのもナイス。

撮影

と、このように、いつものフィギュア撮影に添えてもマッチします。

百均グッズ、思わぬところで思わぬ使い道があるのが素敵です。

数年ぶりの「紙」。(モダン:緑信心と統率者戦)

By manualmaton

オン 2022年6月27日

カテゴリー: MtG, モダン

実に久しぶりにMtGをテーブルトップでプレイしました。

使用デッキ:緑信心

## メインデッキ

### 土地

7 森
2 踏み鳴らされる地
1 成長の揺り篭、ヤヴィマヤ
1 幽霊街
1 ケッシグの狼の値
4 ニクスの祭殿、ニクソス
3 樹木茂る山麓
3 吹きさらしの荒野

### クリーチャー

4 東屋のエルフ
1 漁る軟泥
4 辛み根の霊
1 再利用の賢者
3 永遠の証人
4 老樹林のトロール
1 長老ガーガロス
1 原始のタイタン
1 探索する獣
1 女王スズメバチ
1 孔蹄のビヒモス

### 呪文

3 召喚士の契約
4 楽園の拡散
1 ナイレアの弓
4 野生語りのガラク
1 アーク弓のレインジャー、ビビアン
1 ビビアン・リード
1 原初の命令

## サイドボード

1 トーモッドの墓所
1 呪文滑り
3 窒息
1 部族養い
1 自由なる者ルーリク・サー
1 雲打ち
1 漁る軟泥
1 最後のトロール、スラーン
1 引き裂く突風
2 古えの遺恨
2 内にいる獣

マナ加速から優秀なクリーチャーを展開し
ニクソスにより更にマナを増やし
シルバーバレットによってフィニッシュする

好きなタイプのデッキ。特に、《老樹林のトロール》は緑への信心を3も稼ぎ、死亡してもマナ加速や追加のクリーチャーとなってくれるナイスなマスターピースでした。

プレイ雑感

数年前に組んだときよりも更にパワフルになったというのが第一印象。

また、ビートダウン相手にはサイズで圧倒してコントロールに教委のカードが含まれているので結構戦えるというのが分かりました。

統率者戦

「自分が作ったデッキが実際に動くのかを試して欲しい」とのことで統率者デッキを提供いただきプレイ。

《フェイに呪われた王、コルヴォルド》とその相性がいいカードばかりで占められ、あっという間に戦場を制圧していました。

それにしても、MtGのみで人と遊んだのは実に久しぶり。いい気分転換となりました。

Mod Securityが検知したIPアドレスの抜き出し。

By manualmaton

オン 2022年6月26日

カテゴリー: Linux, PC, redmine

やりたいこと

Mod Securityを導入してから、不正アクセスがerror.logに現れるようになりました。
そのアドレスをネガティブリストに放り込むことで後続のアクセスをブロックする方法は設定しました。

そこで、

日ごとにerror.logで検知したログを確認し
IPアドレスのみを抜き出してリスト化する

設定を行います。

環境

Ubuntu 20.04(Linux Mint)
Apache 2.4
Mod Security

※ログは/var/lib/redmine/log に格納されています。

手順

一般ユーザで実施します。

参考:

https://linux.just4fun.biz/?%E9%80%86%E5%BC%95%E3%81%8DUNIX%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89/%E3%83%86%E3%82%AD%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%8B%E3%82%89IP%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%AE%E3%81%BF%E6%8A%BD%E5%87%BA%E3%81%99%E3%82%8B

apacheのerror.logからIPアドレスを抜き出します。

cd /var/lib/redmine/log
cat error.log | awk 'match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/) { print  substr($0, RSTART, RLENGTH) }'
# IPアドレスのみ表示されることを確認。

IPアドレスを並べ替え、重複を除外します。

cd /var/lib/redmine/log
cat error.log | awk 'match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/) { print  substr($0, RSTART, RLENGTH) }' | sort | uniq
# 一意のアドレスのみが表示されることを確認。

自動実行するスクリプトを作成します。

cd /hoge/
vi negativelist.sh

スクリプト内容

#!/bin/sh

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

cd /var/lib/redmine/log
cat error.log | awk 'match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/) { print  substr($0, RSTART, RLENGTH) }' | sort | uniq > /var/lib/redmine/log/suspicious_ip.`date +%Y%m%d`

スクリプトに実行権限を付与します。

chmod +x negativelist.sh

日ごとに実行されるように設定します。

sudo su -
crontab -u www-data -e
# redmineのログプラグインで閲覧できるよう、apache実行ユーザのcronを編集します

cron内容

0 8 * * * /hoge/negativelist.sh

これで、「Mod Securityが不正アクセスと見なしたIPアドレスを日ごとに抜き出す」仕組みが整いました。

(シェルスクリプトで指定したディレクトリ内に、suspicious_ip.yyyymmdd というファイルが作成されます。
　また、/var/lib/redmine/log 配下に置くことで、redmineのログプラグインで表示することができます。)

直接ネガティブリストに追記しないのは、偽陽性で自分自身がブロックされるのを防ぐためです。

Mod SecurityによるIPアドレスブロック。(ネガティブリスト型)

By manualmaton

オン 2022年6月25日

カテゴリー: Linux, PC, redmine

攻撃の兆候

Mod Securityを導入して一昼夜――

公表していないURLであるにも関わらず、しっかりと攻撃の予兆がログに現れました。

※この方法で、サーバにアクセスすることなく、redmineへのログを一元管理しています。

redmineのアクセスログを統合。

この、不正アクセスの予兆を示したアクセス元を調べると

Torから来ている望ましくないものまであり、昨今の驚異を嫌でも感じずにいられません。

そこで、Apacheの設定ファイルではなくMod Securityの機能を用いてIPアドレスを遮断していきます。

参考：
Apache×Mod SecurityでカンタンWAF構築
https://qiita.com/m0nch1/items/ac7255399366fb113a82

環境

Ubuntu 20.o4 (Linux Mintでも同様)
Apache 2.4
Mod Security導入済み

手順

すべて管理者権限で実施しています。

バーチャルファイル編集

vi /etc/apache2/sites-available/VIRTUALHOST.conf
# 使っているバーチャルファイルに読み替えます

追記内容

## Negativelist
SecRule REMOTE_ADDR "@pmFromFile negativelist.txt" "phase:1,id:2,deny,msg:'Negativelisted IP address'"

ネガティブリスト作成

vi /etc/etc/apache2/sites-available/negativelist.txt

ネガティブリストの内容

XXX.XXX.XXX.XXX
YYY.YYY.YYY.YYY
#ブロックしたいIPアドレスを記入していきます
# 設定確認のため、自分自身のアクセス元を記入しました

ネガティブリスト反映

cd /etc/apache2/site-enabled
ln -s ../sites-available/negativelist.txt negativelist.txt
# 設定ファイルの位置を明示していないのでシンボリックリンクを張ります

設定変更

apache2ctl configtest
#Syntax OK を確認します
systemctl restart apache2

設定確認

上記手順で、「自分自身をブロックする」設定を入れ、redmineにアクセスして「403」が返ってくることとエラーログにその旨が記録されていることを確認。(その後、このアドレスは削除しています)

今後の展望

不正アクセスを検知したらそのIPアドレスを自動的に追記する
数が増え続けるため、いっそのことポジティブリストに切り替える

などが必要になってきます。

Apache + redmine環境にMod Security導入。

By manualmaton

オン 2022年6月24日

カテゴリー: Linux, PC, redmine, ガジェット

インターネット環境に構築したredmineに不正アクセスが飛んでくるというエントリーを投稿したところ、

ApacheによるredmineサイトのIPブロック。

「Mod Security導入も一つの手」

というコメントをいただき、早速導入することにしました。

環境

Ubuntu 20.04 (Linux Mintでも動作確認済み)
Apache 2.4

参考

インストール方法

全て管理者権限で実施しました。

システム全体のアップグレード

aptitude update
aptitude upgrade

Ubuntu 20.04にMod Securityをインストールします。

aptitude install libapache2-mod-security2
systemctl restart apache2

ModSecurity 設定ファイル/ディレクトリをコピーしていきます。

cp -pi /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
cd /tmp
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd /owasp-modsecurity-crs
cp -pi crs-setup.conf.example /etc/modsecurity/crs-setup.conf
cp -pir rules/ /etc/modsecurity/

ModSecurityの設定を行います。

vi /etc/apache2/mods-available/security2.conf

設定ファイル内容

<IfModule security2_module>
   # Default Debian dir for modsecurity's persistent data
   SecDataDir /var/cache/modsecurity

   # Include all the *.conf files in /etc/modsecurity.
   # Keeping your local configuration in that directory
   # will allow for an easy upgrade of THIS file and
   # make your life easier
   IncludeOptional /etc/modsecurity/*.conf
   Include /etc/modsecurity/rules/*.conf
</IfModule>

設定反映

systemctl restart apache2

redmine設定ファイル修正

vi /etc/apache2/sites-available/VIRTUALHOST.conf
# 各自のバーチャルホストファイルに読み替えます

追記内容

# Mod Security
SecRuleEngine On
## ModSecurity有効化
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
## ファイルのアップロードをできるようにします。
SecRuleRemoveById 949110
SecRuleRemoveById 941310
SecRuleRemoveById 980130
SecRuleRemoveById 911100
SecRuleRemoveById 200002
SecRuleRemoveById 200003
## 上記を無効化しないとチケット更新時にエラーとなりました(偽陽性)ため、上記ルールを除外します。
    SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
## テスト用の検知パラメータを付け加えます。