どさにっき 3D 〜2011年7月上旬〜

2011年7月4日(月)

■ mod_noloris

_ 2年遅れの slowloris 対策つづき。続けるつもりはなかったんだが。

_ apache 2.3 のソースを眺めてたら、modules/experimental/ の下に mod_noloris.c がまぎれこんでた。同時接続数を制限して上限を越えたらエラーにしましょう、ってモジュールですな。ただし、リクエストを受けている途中のものしか数えないので、大量同時ダウンロードの制限をするような用途には流用できない。slowloris 系の攻撃を防ぐ以外にはまったく役に立つ場面はなさげな感じ。ちゃんとした同時接続数制限がやりたければ mod_limitipconn みたいなサードパーティモジュールでやってください、と。

_ これも slowloris attack によって受ける被害を緩和するだけで、根本的な問題を解決してるわけではない。直すのはあきらめて、こういう対症療法的なモジュールで何とかしのぐ、という方針で確定ってことでいいのかな。

2011年7月7日(木)

■ 七夕

               ｜
               ｜
          +----＋----+
          |    ○    |
          | ★       |
          |  ☆      |
          |    Ｂ    |
          |    Ｉ    |
          |    Ｎ    |
          |    Ｄ    |
          |    の    |
          |    穴    |
          |    が    |
          |    な    |
          |    く    |
          |    な    |
          |    り    |
          |    ま    |
          |    す    |
          |    よ    |
          |    う    |
          |    に  ☆|
          |      ★  |
          +----------/

■ unbound 1.4.11

_ まーた BIND 即死バグかよ。今年何回目だよ。ほんとなんとかならんかね。BIND が動いてる近所のキャッシュサーバの一覧を見ながら、unbound にリプレースできるものがないか考えてみたり。うーん。

_ そっちの検討はさておき、自宅で動いてる unbound を最新版の 1.4.11 にアップデート。ついに query log を取れるようになった。同じ NLnetLabs の NSD は「クエリログはないから欲しいならパケットキャプチャするツールを使ってね」とドキュメントに明記されてるぐらいなんで、unbound もずっと対応しないつもりかと思ってたよ。

_ とはいえ、こんなの常時取得しておくようなログじゃないので、設定では有効にしたりなんかはしない。rndc querylog と同じように、必要になったときだけ

# unbound-control set_option log-queries: yes

と叩いて切り替える。コマンド長いよ。

_ で、この unbound-control にも 1.4.11 で大きな変化があって、制御用のポートが BIND の rndc と同じ 953 から独自の 8953 になった。Changelog より。

        - Unbound control port number is registered with IANA:
          ub-dns-control  8953/tcp    unbound dns nameserver control
          This is the new default for the control-port config setting.

…おい。たしかに 登録されてるな。そこまでしなくていいのに。外に晒すわけじゃない内部用途のものだし、使う人がちゃんとわかってるのであれば 8953 じゃなくてもどこでも問題ないんだから、いちいち登録して仁義を切るまでせんでいいだろ。rndc の 953 だって登録されてないし、それどころか SMTP over SSL の 465 のような広く使われてるものですら IANA 未登録なのに ^(*1)。

---

(*1): pop3s や imaps はちゃんと登録されてる。smtps だけなぜか登録されてない。多くの OS で /etc/services に 465/tcp は smtps と書いてあるが、これは利便性のためであり、IANA ではまったく別の urd というプロトコルとして登録されている(MacOSX は urd になっている)。

2011年7月10日(日)

■ 週末避暑

_ 今年もまた目覚しがなくても暑さで強制的に起こされる季節がやってまいりました。つーことで、 昨年に続いて、安眠を求めて高い山の上に逃避する週末避暑。

_ 今年最初は赤城山の標高 1350m 地点で車中泊。これだけ高いところだと熱帯夜なんか関係ないね。

_ で、朝。梅雨も明けて雲ひとつない見事な晴天。まだ朝も早いうちからどんどん気温が上昇する。…え、惰眠を貪るために山の上に来てるんだから、気温上がっちゃダメだってば。車の中でごろごろしてたものの、ついに耐えられなくなって起きだしたらまだ8時前だった。暑いといっても下界に比べればかなり涼しいが、陽のあたるところに停めた車の中はやっぱりエアコンがないと辛いわ。

_ しばらく体を動かしてなくて鈍ってるので、リハビリがてら軽い運動程度に赤城山のてっぺんまで登る。…あれ、やばい。足に力がぜんぜん入らない。いくら鈍ってるとはいえ、これはちょっとひどすぎじゃないか。気温は高く、前夜の雨のせいで湿度も高く、樹林の中で風もなく、汗と洟をだらだらと流しながら重い足を動かす。…え、洟？ もしかして、風邪ひいてる？

_ ほんとに風邪みたい。登りはじめるまで自分でもまったく気がつかなかったくらいなので症状はそれほどひどくはないが、それでも前夜の雨でぬかるんだ登山道をしっかり踏みしめて歩くには支障のある程度にはひどい。 全行程たった 5km 3時間のしょぼい山登りがこんなに辛くなるとは思わなかった。さすがに平坦な道ならそれほど辛くはないので、山を下りた後もカルデラ内の沼をいくつか歩きまわってたんだけど、調子にのって症状を重くしたかも。明日は休むことになるかもしれない。

_ 黒檜山中腹から見た大沼

オダマキ(だと思う)。覚満渕と小沼で。


これまでより写真のサイズをひとまわり大きくしてみた。