今まで乗ったことの無いカンブリア号に。
天気が良かったので新緑がキレイだった...。
シャボン玉って意外と撮るのが難しい...。
虹の郷の駐車場入り口近くにあるそば屋さんで山菜の天ぷら800円と、
手打ちそば。これが意外に美味しかった。
たまにはLinuxのネタを書かないと何のブログだか分からなくなっちゃう。というかもう相当に分からないから、そんなことは構いやしないのだが、あまりにも見かねた、というか呆れたので書くと。ただし個人の見解であって所属する組織の見解を代表するものではありませんよ、っと。まあチームで話し合った結果だし、セキュリティ界隈の方を中心に激しく同意はいただけるだろうと推測して書くのだけれど。
職場で出したドキュメントの掲題の件について某所から修正の依頼が来た。曰く「それらを有効にして運用すべき技術的要件が無いのなら削ってください」と。思わず目が点になった。久しぶりに「しょっぱい」気分になった。
むしろ「それらを無効にして運用すべき技術的要件があるなら教えて欲しい」のだが。
おそらくその某所が作った(?)ミドルウェア等がiptablesやSELinuxに「ひっかかって」動作しない、あるいはトラブルの原因になるから無効にする、というのが彼らの言い分なんだろう。立派な「技術的要件」ですことw
今更書くまでも無いが、iptablesはホストレベルのファイアウォールで、古くから使っている人なら昔はipchainsだったことを記憶していると思う。実績は十分あるし、そもそも市販のルータの中身なんてLinux kernel + netfilter + iptablesだろう。これをオフにするなんていうのは小学生までしか許されないと思っていたが、どうやらそうではない「IT関連企業」が世の中には存在するらしい。
SELinuxは確かに敷居が高いかもしれない。Fedora Core 2の悪夢を知っている人なら、反射的にオフにしたいかもw
しかしSELinuxはNSA(米国家安全保障局)が先頭に立って開発している「ミリタリー」レベルの仕組みだ。いつまでも「まともに動作しない」状況が放っておかれるはずはないし、Secure OSの実装として他のOSに参考にされる程度に成熟してきた。Common Criteriaで認定されるためには必須だし、だからこそ米国を中心にサポートするサーバベンダーも多い。
さて、ここであなたがこのミドルウェア等のユーザである場合によくよく検討して欲しいことは何かというと、「自分たちが作成した、あるいは構築したミドルウェアが、『どのホストとどのポートで何のプロトコルを使って通信するか』、あるいは『どのプロセスがどのリソースにどのようにアクセスするか』、完全に把握してないようなベンダーとお付き合いするのが正しいか否か」だ。
まして、そのベンダーがサーバと一緒にネットワークファイアウォール製品やIDS / IDPS製品を持ってきたら「ちょっと待て!」と、勇気を持って言おう!w あなた、絶対にカモにされてますから。サーバ単体でセキュアじゃないのにネットワークになれば安全だなんて...、正気の沙汰じゃ無いですよ!「ほら、この豆腐を積むと鉄筋コンクリート並みの強度になるんですよ!」なんて言われて、一戸建てを発注したりしないだろ?
もしホワイトボックス的にミドルウェアの中をチェック出来ないなら、iptablesはロギングする機能があるんだから、そこからtable設計すりゃ良い。SELinuxだってPermissiveにしてログからポリシーを作れば同じこと。本当にセキュアにしたいなら、このあたりからやるのが常識なんだがなぁ。
3月は平年よりかなり日照時間が少なかったことに加え、娘が生まれたので暖房で消費電力が増大。
EOS 7D + EF-S 15-85mm F3.5-5.6の落下、PowerShot S95の落下に続き、半年で3回目(:_;)
同僚からは「歳だ...」っていじめられる始末...。
念願のフルサイズ、買っちゃった(^_^;
2TBのHDDが容量不足になってバックアップがとれなくなった。というのも、IntelのSSDが250GBと160GB、それにデータ領域用に2TBのHDDを搭載しているから合計は2.4TB。世代管理していると2TBのバックアップ領域では当然容量不足になるわけで。
- 250GB SSD(6Gbps)
- 2TB HDD(6Gbps)
- 160GB SSD(3Gbps)
- 2TB HDD(3Gbps)
- 1TB HDD(3Gbps、未使用なの発見!)
- Blu-ray(1.5Gbps)
で、3TB玉を買うべきか悩んでいたんだけど、ケースを空けたら接続していない1TB玉を発見www
とりあえずJBODにしてしのいだ。どーせバックアップ用領域なので飛んでも良いでしょ?w
ただし、既にM/B上の6Gbps SATAは使い切っちゃったので、これ以上の拡張はPCIeバスにカードを挿さないと...。
やっぱり2月は厳しいなぁ。寒いから消費電力が増えるし、今年は平年と比較して日照時間が短かったし。
日照時間は夏場とそれほど変わらないのだけど、やはり高度が低いせいか日照時間(黄色)と発電量(オレンジ)が離れるのね...。
ImageMagickによってリサイズされた画像(デフォルトで640 x 480)にはオリジナルのICCプロファイルが埋め込まれているけど、サムネイルからはそれが削除されちゃう問題。/usr/share/gallery2/modules/imagemagick/classes/ImageMagickToolkit.class の145・146行目をコメントアウトすればメタデータを削除しなくなる。
144 /* Strip metadata to make derivative files smaller.. */
145 list ($ret, $removeMetaDataSwitch) =
146 GalleryCoreApi::getPluginParameter('module', 'imagemagick', 'removeMetaDataSwitch');
ヒューガルデンホワイトを呑みながらラベルを眺めていて、変なことに気付いた。
「生きた酵母」って何だ? 生きてる酵母、サッカロミセス・セレビシエしか発酵作用を示さないんだから、生きてるのを入れるのは当たり前だし、生きてるものを「酵母」と呼ぶんだと思うんだが。死んだら「澱」じゃん。
あと「びん内で二次発酵させた自然な濁り」ってなんだよ。通常ビール作りに用いられる大麦麦芽(六条大麦とか)だけじゃなくて小麦(小麦麦芽じゃない小麦そのもの)を入れるからそのタンパク質で濁るんであって、ヒューガルデンは典型的なベルギーの「ヴィット」=ホワイトビールだろう。二次発酵の主な効果はむしろカーボナイズ、二酸化炭素がビールに溶け込む、つまり炭酸になることだろ。
うーん、アサヒビールがこういうこと書くのはどうなの?
面倒くさいから説明を省いてる?
近頃都で流行るもの。
日照時間は平年より多かったから、少しはマシだったのかなぁ。
地元の消防の出初式とは規模が違いすぎて、もうwww
機材が色々ありすぎ!
SE Hypervisorという形で予測しとった。sVirtはlibvirtをSELinux対応にするものだから、正確にはHypervisorがSecurity Enhancedになるわけじゃないけどね。
