特定の条件でrspamdを通さないようにする設定をpostfixに施す

内容の怪しいメールは、相変わらず送られてくるわけですが、 rspamd を使っているおかげで 40 〜 50 通/日程度のスパムメールがブロックされているので、目にすることは少ないのですけど、それでもすり抜けてくるものが、ちらほら。

すり抜けてきたもので、明らかに「フィッシングだよな〜」というやつに関しては、フィッシング対策協議会の情報提供窓口に転送をしているわけですが、

フィッシング対策協議会では、フィッシングサイトに関する情報提供の窓口も準備していますので、怪しいメールを受け取ったら情報提供をするのも良いかもしれません。

[From フィッシングサイトへの誘導メールが届いた - Soukaku's HENA-CHOKO Blog]

その転送メールが、今度は rspamd でブロックされてしまって、情報提供できないことが過去に何度も起きてたんですよね。
すり抜けてきたタイミングでは、 rspamd がスパムとして判定するスコアの閾値を超えていなかったのに、フィッシング対策協議会へ転送しようとしたタイミングで閾値を超えるスコアになってしまう、ということが原因であるんですが、これだと情報提供できず都合が悪いということで、なんとかしたいなと思っていたわけです。

VyOSでconfigを外部保存する設定しておいたら、エラーが出るようになったので対処したメモ

Vyatta から VyOS へと使い続けて、10年近くなるんだなぁ、などと思いつつ、

GX240の内蔵NICがeth2なのでこれをPPPoE用に、増設したPRO/1000がeth0とeth1になるので、eth1をグローバル側、eth0をプライベート側という形にネットワークを構成してみた。 とりあえずコレが最低限の設定なので、ここから色々といじっていくことになるわけだけど、やっぱりIPv6関連の設定をしたいよねぇ・・・。

[From Vyattaでホームルータ - Soukaku's HENA-CHOKO Blog]

このところ、 VyOS でちょっと困ったことがあったのが解消できたので、それに関してのメモ的エントリー。

VyOS には、設定内容を指定したサーバや PC 上を書き出すようするために、下のような設定をしておくと、

set system config-management commit-archive location 'scp://xxxxxxxx:yyyyyyyyyy@172.16.0.101/Users/soukaku/vyos_config'
set system config-management commit-archive location 'scp://xxxxxxxx:yyyyyyyyyy@172.16.255.254/home/soukaku/vyos_config'
set system config-management commit-revisions '128'

設定の追加や変更を行い、それらを反映するために commit を実行したタイミングで config の書き出しが行われる。(このあとに save を実行しておかないと、ローカル保存は行われないので、不意の電源ダウンなどで追加・変更点がすっ飛ぶ。)
それが、一ヶ月ほど前から commit を実行しても

soukaku@sweethome# commit
[ service dhcp-server ]


Archiving config...
scp://172.16.0.101/Users/soukaku/vyos_config curl: (60) SSL peer certificate or SSH remote key was not OK
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
Failed!
scp://172.16.255.254/home/soukaku/vyos_config curl: (60) SSL peer certificate or SSH remote key was not OK
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
Failed!
[edit]

とエラーを吐いて、外部へ config 書き出しが実行されない状態に…。
外部保存には curl を内部的に実行しているようで、 どうも curl が証明書などのチェックに失敗したことで外部保存ができなくなった模様。保存先になっている側でも、 OpenSSH をバージョンアップしていたりしているので、それもエラーに関係していそうではあるんですが、保存先側の OpenSSH をダウングレードはすることはできない。

GeForce GT635搭載ビデオカード×4で、FAHClientを実行してみた

思い立っちゃったんで、買ってきましたよ。> Geforce GT635 搭載ビデオカード
前のエントリーに書いたとおりで、 2枚めの GT635 なビデオカードを追加したときにチェックしたとおり

でも、エッジフリーな PCI-E × 1 スロットが、まだ 2 本空いてるんで、もしかしたら 4 枚刺しイケたりする?

[From Folding@homeに参加してみた、ので設定とかをもう少し細かく書いておく - Soukaku's HENA-CHOKO Blog]

スロット空いてたので、試してみようと思った次第。

追加で買ってきたGT 635搭載ビデオカード

買ってきたお店は、お約束の秋葉原最終処分場さん。金曜日( 4/3 )の夕方の時点では、まだまだブツはありましたね。

CELSIUS W520 のスロット構成だけど、 PCI Express × 16 が 1 本、 × 4 が 1 本(コネクタ形状は × 16 )、 ×1 が 3 本(エッジフリーコネクタの × 1 が 2 本と × 16 コネクタ)。あと、最近では出番の殆どない PCI スロットが 2 本。

エッジフリーなPCI Express ×1スロット

上の画像でいうと、 中央の青いエッジフリーコネクタの右側が × 16 、 左側が × 16 コネクタの × 1 。 × 16 の更に右側に × 4 が並んでます。
#ホコリ、すげぇな…。今度掃除しよ…。

Folding@homeに参加してみた、ので設定とかをもう少し細かく書いておく

前回のエントリーで端折っていた

自分のところでは、 Debian sid をインストールしたマシン 2 台に FAHClient をインストール。それぞれのマシンに GeForce GT 710 、 GT635 & Quadro 600 で2枚刺しって構成になっています。 Debian には CUDA を利用するためのソフトウェア群もインストール。

[From Folding@homeに参加してみた、ので設定とかイロイロ - Soukaku's HENA-CHOKO Blog]

ハードウェア周りのこととか、 CUDA 周りのこととかを追記しておきますね。

ハードウェア周り

現時点で、自分とこで、 Folding@home に参加させているマシンは、以下の 2 台。

  • 富士通 CELSIUS W520 (以下、 W520 )
    • Xeon E3-1245 v2搭載モデルで、こちらに GeForce GT635 搭載カードを2枚刺し。
    • 残念なことに電源 300Wモデル 、さらに PCI-E 補助電源ケーブルも生えてないののもあってハイパワーな GPU は使えないんで、 GT 635 で妥協。
    • でも、エッジフリーな PCI-E × 1 スロットが、まだ 2 本空いてるんで、もしかしたら 4 枚刺しイケたりする?
  • HP Pro 6300 SFF (以下、 Pro 6300 )

メインマシンである Z620 にも FAHClient 入れてはみたんですが、 OpenGL/OpenCL サポートが非推奨という OS 的な制約で RX580 使った解析ができないんで、さっくりとアンインストールしちゃいました。う〜ん、残念。
その代わり、 Z620 には BOINC の方を頑張ってもらうことにする。
# RX570 版例のカードも、手元にあったりするんだけど、なんだかんだと制約があるおかげで使えないだよね…。

Folding@homeに参加してみた、ので設定とかイロイロ

長年参加してた SETI@home が、この3月末をもって休止する事になった

On March 31, the volunteer computing part of SETI@home will stop distributing work and will go into hibernation.

[From SETI@home hibernation]

ってんで、せっかくだし他の分散コンピューティング・プロジェクトでもやってみるか〜、と思っていたところに、タイミングよく Folding@home が新型コロナウイルスの解析に対応したというのをみて、いっちょやってみるかということに。

解析用クライアントである FAHClient の入手方法やインストールの手順については、探せばイロイロ出てくるので、そっち任せるとして、自分のとこで動かす上で、ちょっとハマったポイントなどを、書き残しておく。

MojaveをインストールしたSSDが、Zabbixでディスカバリされなかったので

HDD に Mojave インストールして動かしてたときは、Zabbix のローレベルディスカバリで、システムディスクが検出されて、ちゃんと利用量などの値が取れていたのに、システムディスクを SSD に換えてから一向にディスカバリされなくて「なんでかな〜?」と思ってたんですが…。

ふと思い立って、管理 > 正規表現 > "File systems for discovery" とチェックしていったところ…。

管理 > 正規表現 > File systems for discovery

条件式に、 APFS が含まれてない!

そそくさと、以下のように修正してみたところ、正しくディスカバリされ、値が取れるように。

Before:
^(btrfs|ext2|ext3|ext4|reiser|xfs|ffs|ufs|jfs|jfs2|vxfs|hfs|refs|ntfs|fat32|zfs)$

After:
^(btrfs|ext2|ext3|ext4|reiser|xfs|ffs|ufs|jfs|jfs2|vxfs|hfs|apfs|refs|ntfs|fat32|zfs)$

バグ、というわけではないけど、見つけちゃったんで一応フィードバックしてはみたので、どっかのタイミングで取り込まれるといいなぁ…。

フィードバック前に、似た事例がないか調べてみたけど、見つからなかったので、意外と誰も困ってなかったりする?
#というか、フィードバックするような内容でもなかったりしたのかな…?

Zabbix 4.0 LTS リリース!

ここ数年の飯のネタとなってる Zabbix 。
いよいよ長期サポート版としての 4.0 がリリースとなりました。(パチパチ)

2.0 から使い始めて、仕事では 2.2 から 3.4 へと(さらに 4.0 にすることを見据た上で)移行が進みつつあり、自宅でも時々ハマりながら、

実際、 Zabbix がそうだったんですが、 Zabbix が公式に用意している Zabbix 3.4 / pre-4.0 のパッケージを sid にインストールするために stretch 対応のものでよかったのですけど、 sid の curl のバージョンが上がったことで libcurl3 から libcurl4 への変更が発生。

[From Debian sidに公式配布版のZabbixパッケージがインストールできなかったので - Soukaku's HENA-CHOKO Blog]

順次バージョンアップしなから使い続けてきているわけで、当然のことながら 4.0 へのアップデートをしたわけですよ…。

Debian sidに公式配布版のZabbixパッケージがインストールできなかったので

Debian sid 使っていると、 Debian のリポジトリ以外からインストールするパッケージのインストールやアップデートが出来なくなるので「困ったな〜」となることがあったりします。

実際、 Zabbix がそうだったんですが、 Zabbix が公式に用意している Zabbix 3.4 / pre-4.0 のパッケージを sid にインストールするために stretch 対応のものでよかったのですけど、 sid の curl のバージョンが上がったことで libcurl3 から libcurl4 への変更が発生。

# dpkg -i /tmp/zabbix-release_3.4-1+stretch_all.deb
以前に未選択のパッケージ zabbix-release を選択しています。
(データベースを読み込んでいます ... 現在 155180 個のファイルとディレクトリがインストールされています。)
.../zabbix-release_3.4-1+stretch_all.deb を展開する準備をしています ...
zabbix-release (3.4-1+stretch) を展開しています...
zabbix-release (3.4-1+stretch) を設定しています ...
# apt update
ーーー 中略 ーーー
# apt install zabbix-server-mysql zabbix-frontend-php
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています
状態情報を読み取っています... 完了
インストールすることができないパッケージがありました。おそらく、あり得
ない状況を要求したか、(不安定版ディストリビューションを使用しているの
であれば) 必要なパッケージがまだ作成されていなかったり Incoming から移
動されていないことが考えられます。
以下の情報がこの問題を解決するために役立つかもしれません:

以下のパッケージには満たせない依存関係があります:
zabbix-server-mysql : 依存: libcurl3 (<= 7.28.0) しかし、インストールされようとしていません
E: 問題を解決することができません。壊れた変更禁止パッケージがあります。

その影響で libcurl3 に依存していた公式配布版のZabbixパッケージがインストール/アップデートができなくなってしまう、と…。
libcurl3 → libcurl4 になる前に公式配布版の Zabbix パッケージをインストールしていたので、 libcurl4 に依存する apache2 関連のパッケージのアップデートを libcurl3 に依存する Zabbix パッケージが邪魔をするという状態になってしまったというのが、自分のところで起こっていた状況だったわけです。

NTPsec その2 :ntpviz で統計情報を取得する

んで、前エントリーの続き。
NTPsec に変えた一番の目的は、 ntpviz という ntp に関する統計情報を出力するコマンドがある、ってことなので、それを含む ntpsec-ntpviz パッケージをインストールして、統計情報が取れることを確認します。

まずは、 aptitude コマンドに -s オプションつけて、依存関係を確認。

root@vhost01:~# aptitude -s install ntpsec-ntpviz
以下の新規パッケージがインストールされます:
aglfn{a} gnuplot{a} gnuplot-data{a} gnuplot-qt{a} libwxbase3.0-0v5{a} libwxgtk3.0-0v5{a}
ntpsec-ntpviz
更新: 0 個、新規インストール: 7 個、削除: 0 個、保留: 24 個。
アーカイブの 6,863 kB を取得する必要があります。展開後に 24.3 MB のディスク領域が新たに消費されます。

注意: 'シミュレーション' モードを使用します。
先に進みますか? [Y/n/?] y
パッケージのダウンロード/インストール/削除を行います。

削除されるものはないようなので、このままインストールするなら、-s を外して、aptitude を実行すれば、完了。

ntpviz コマンドを実行してみる

細かい使い方とかオプションは、 "man ntpviz" するか、NTPsec サイトに有るドキュメントを参照してもらうとして、実際に特定に NTP サーバとの Offset に関する統計情報を出力するには、以下のようにコマンドを実行します。

root@vhost01:~# ntpviz --peer-offsets ntp-a2.nict.go.jp
set grid
set autoscale xfixmin
set autoscale xfixmax
set xdata time
set xlabel "Time UTC"
set xtics format "%d %b\n%H:%MZ"
set timefmt "%s"
set lmargin 10
set rmargin 10
set terminal png size 1340,720
set title "vhost01.local.downtown.jp: Peer Offset ntp-a2.nict.go.jp"
set ylabel ""
set ytics format "%.1f ms" nomirror
set yrange [-0.8955:3.5569]
set key top right
plot 0.3909 title '50th percentile', '-' using 1:($2*1000.0) title 'ntp-a2.nict.go.jp' with line, \
'-' using 1:(($2+$3/2)*1000.0) title 'offset+rtt/2' with line, \
'-' using 1:(($2-$3/2)*1000.0) title 'offset-rtt/2' with line

1520082169.9069996 0.000877718 0.006074248
1520082171.9029999 0.000886769 0.005951494
1520082173.9040003 0.001002837 0.006294607
1520082175.9029999 0.000845034 0.006395244
1520082177.9029999 0.000154835 0.006268685
1520082179.9029999 0.000068847 0.006168117
1520082238.9029999 0.000573531 0.006166704
1520082305.9029999 0.001171861 0.006490722
1520082371.9029999 0.001739808 0.006436721
1520082437.9029999 0.002143953 0.006363756
1520082506.9029999 0.002659486 0.006837424
1520082574.9029999 0.000615921 0.006515450
1520082641.9029999 -0.000142259 0.006613719
1520082710.9029999 -0.000232807 0.006154115
1520082778.9029999 -0.000240509 0.006034757
1520083317.9020004 0.000009325 0.005811048
1520083857.9029999 0.000189473 0.006146113
1520083994.9029999 0.000548237 0.006358728
1520084467.9029999 0.000307157 0.006439212
1520084737.9020004 0.000390939 0.005914518
1520085779.9029999 0.000421743 0.006194988
1520085908.9029999 0.000345647 0.006118246
1520086307.9029999 0.000400457 0.005986258
1520086571.9020004 0.000375874 0.005964945
1520086835.9020004 0.000262098 0.005901524
1520088949.9029999 0.000424563 0.005911586
1520089471.9029999 0.000545216 0.006119386
1520090532.9029999 0.000681996 0.006185292
1520091598.9029999 0.000646152 0.006545365
1520092139.9029999 0.000566383 0.006364219

-- snip --

NTPsec その1 :既存のntpパッケージを置き換える

ほぼ、日課と化しているパッケージのアップデートチェック。
NTPsec というパッケージに目を引かれたので、実際にインストールしてみた。

サーバの運用をしていると、各サーバの時刻同期しておくのが当たり前というか、サーバ間で時刻にズレが有ると、トラブルの原因調査する際のログの突き合わせがめんどくさくなったり、デーモンによっては正しい動作をしてくれなかったりと、割と重要。
そんなわけで、ntp の実装もオリジナル以外にも幾つか存在してるわけですが、 NTPSec もその一つのようです。Debian だと、今回紹介する NTPsec とオリジナルの ntp 以外に OpenNTPD のパッケージが提供されてますね。

root@vhost01:~# aptitude show ntpsec
パッケージ: ntpsec
バージョン: 1.0.0+dfsg1-3
状態: インストールされていません
優先度: 任意
セクション: net
メンテナ: Richard Laager
アーキテクチャ: amd64
展開サイズ: 750 k
依存: adduser, lsb-base (>= 3.2-13), netbase, python3 (>= 3.3), python3-ntp, tzdata (>=
2015d-1), libc6 (>= 2.15), libcap2 (>= 1:2.10), libssl1.1 (>= 1.1.0)
推奨: systemd | cron | cron-daemon
提案: apparmor, ntpsec-doc, ntpsec-ntpviz
競合: ntp, time-daemon
破損: apparmor-profiles-extra (< 1.8)
置換: ntp, time-daemon
提供: time-daemon
説明: Network Time Protocol daemon and utility programs
NTP, the Network Time Protocol, is used to keep computer clocks accurate by synchronizing them
over the Internet or a local network, or by following an accurate hardware receiver that
interprets GPS, DCF-77, or similar time signals.

This package contains the NTP daemon and utility programs. An NTP daemon needs to be running
on each host that is to have its clock accuracy controlled by NTP. The same NTP daemon is also
used to provide NTP service to other hosts.

This is the NTPsec version of NTP. NTPsec is a secure, hardened, and improved implementation derived from the original NTP project.

For more information about the NTP protocol and NTP server configuration and operation, install
the package "ntpsec-doc".
ホームページ: https://www.ntpsec.org