最近の投稿
HomeAssistant の CPU 負荷2026-05-29Dockerのプロセス負荷 サーバのプロセス負荷が先週から高くなり、色々と機能追加で遊んでいる […]
Antigravity CLI のインストール2026-05-26Gemini CLI を便利に使っているけど、新しく統合化された Antigravity CLI […]
WordPress 7.0 アップデート2026-05-21特に、WordPress […]
HomebridgeからHomeAssistantへ2026-05-17Docker 上の HomeAssistant の整備もすすみ、在宅/外出の tracker […]- 固定電話の解約2026-05-10固定電話を解約した。 […]
sshで多段loginでブラウザ起動
sshトンネル
リモートのFireWallの内側から自宅サーバにsshトンネルを必要に応じて掘るようにしている。
リモート$ ssh -R トンネルポート:localhost:22 自宅サーバ ping -i 30 -c 60 localhost
これにより、自宅サーバからリモートに接続する際には、slogin で接続できる。
自宅サーバ$ slogin -p トンネルポート localhost
トンネル経由でブラウザ起動
サーバのメンテナンス程度なら前述の slogin で便利に作業できるけど、リモートの FireWall の内側のWebサーバに接続したいことも出てくる。
こういう場合は、多段 login を使うけど、ssh, slogin の組み合わせが面倒なのでメモ。
自宅WindowsWSL$ ssh -t -X 自宅サーバ ssh -t -p トンネルポート -X localhost google-chrome
WP-WebAuthnで指紋認証login
WordPress の Two-Factor プラグインの多要素認証を使っているけど、メールで飛ばすワンタイムパスワードのコピペが面倒。最近は passkey などで指紋認証などが便利だし、プラグインを漁ってみた。
その中で、WP-WebAuthn が出てきた。現バージョンで検証されていない…とか表示されたけど、ひとまず動きそう。しかも、Two-Factor とも併用ができる。
WP-WebAuthn のインストール
gmp , mbstring が必要と書いてあったので、gmp を追加。(mbstringはインストール済み)
$ sudo apt install php8.4-gmp php8.4-mbstring
プラグインの WP-WebAuthn の設定では、特に変更なしで「変更を保存」
次にユーザのプロフィール画面を開き、「登録された WebAuthn 認証機能」にて「新しい認証の登録」を選び登録。
ログインの際には、以下のような画面で login できた。
forwarders 設定ミス
娘のスマホで AQUOS を購入ということで、メモ用にリンクを確認するが、SHARP でググったリンク https://corporate.jp.sharp を参照できない。最初は、 jp.sharp というドメイン名に驚くが、ググってみると .sharp とかの 新gTLD が使えるらしい。
自宅内上流ルータに DNS の問い合わせはできない
nslookup www.jp.sharp 8.8.8.8 は動くけど、nslookup www.jp.sharp は、返答が返ってこない。forwarders に書いてある DNS に問い合わせるけど、自宅内の上流ルータ 192.168.1.254 は nslookup 自体を拒否される。Buffalo の家庭用ルータなら、DNSにルータの IPアドレスを指定するのが普通なので、上流ルータの 192.168.1.254 を設定していたけど、これが間違いの元のようだ。
ということで、自宅上流ルータがもらっている丹南ケーブルの DNS 202.88.193.82, 202.127.80.3 を forwarders に記載して、正常動作するようになった。
((( /etc/bind/named.conf.options )))
forwarders {
// Google public DNS
8.8.8.8;
8.8.4.4;
// router
- 192.168.1.254; // 家庭内上流ルータのIPアドレス
+ 202.88.193.82; // ルータがもらう 丹南ケーブルの DNS
+ 202.127.80.3; // 丹南のセカンダリ DNS
};
gemini-cli 便利
Gemini をコマンドラインから使えるツール gemini-cli が公開されている。
インストールは、参考ページの中から、グローバルインストールで行った。
$ sudo npm install -g @google/gemini-cli ((( 更新も同上コマンドで可能 )))
単純に、$ gemini で 以下のような画面が表示され、プロンプトを入力すればいい。
でも、本領発揮なのは、フォルダ配下を読み込んだうえで、アドバイスが得られること。
実際、お試しで Three.js を実験していたけど、import でトラブル発生。でも「index.html が動かない」と入力したら、index.html やら、そこから読み込まれる *.js なども自動的に読み込んだうえで、修正点を指摘してくれる。
さらに指摘した修正点を、適用するか聞いてくれるので、Yes を答えたら、勝手にソースコードも修正してくれる。
LINE bot が動いていない… 月当たり最大数オーバー
我が家では、以前より 自宅専用の LINE bot を動かしていて、サーバからの通知に使っていた。
最近は、homebridge-people-pro による家への出入りの通知を、LINE に流す設定を便利に使っていたけど、先週からメッセージが滞っている。プログラムのトラブルかと思ったけど、特に問題はなさそう。
LINE bot 無料プランは最大200メッセージ/月
でも改めて考えてみたら、LINE bot が出せる最大メッセージ制限を疑う。確認すると、「無料プランだと月に200メッセージまで」とな。最近は、homebridge からの通知は1日10通ほどでてるし、軽くオーバーしてらぁ。先週 6/18 で止まってるし、まあまあ、そんなもんだな。
ということで、homebridge-inotify からの通知に LINE を使うのは最小限にしなくては。
rkhunter の設定
卒研のセキュリティの説明の中で rkhunter を紹介。説明してたら、自宅サーバにはサーバ機以降後に rkhunter がインストールされていなくって、説明がてらでインストール。
/usr/bin/lwp-request に警告が出ていたけど、Gemini で問い合わせしたら、Perl script なので、警告がでるかも。パッケージ情報を設定すれば、パッケージ情報を踏まえた検証をしてくれるようになって警告が消えるとのことなので、
((( /etc/rkhunter.conf ))) PKGMGR=DPKG # Ubuntuなので
を設定。
Checking if SSH root access is allowed [ Warning ] の警告も出ていて確認したが、確実に PermitRootLogin no に設定しておこう。
((( /etc/ssh/sshd_config ))) #PermitRootLogin prohibit-password (デフォルト) PermitRootLogin no
network トラブル kde-plasma-desktop
自宅ネットワークが動かなくなる。
原因は Ubuntu の記事で KDE Plasma が X11 から Wayland への移行がすすみ安定してきたとのことで、”apt install kde-plasma-desktop”を実行。これがトラブルの始まりだった。
この中でたっぷりパッケージインストールがあったけど、この中で firewalld がインストールされたと共に、iptables-persistent , netfilter-persistent が uninstall された。最終的な症状としては firewalld が DNS をブロック(他のポートもほぼ全部シャットアウト)したようで、自宅ネットワークで名前解決が動かなくなり、自宅全体が ネットワークにつながらない(パケットは流れるけど、名前解決できなきゃ何もできない)
端末側で nslookup server 192.168.xx.xx でサーバに問い合わせをかけても返事がない。nmap 192.168.xx.xx で確認すると、ssh 以外のポートが全滅。iptables -L -n してもちゃんと普通のルールが表示されるし、iptables を消去しても変化なし。この辺でようやく iptables の問題ではないと見えてくる。(でもこの段階で別のFireWallが動いているとはイメージできてなかった)
ということで、
$ sudo apt purge firewalld $ sudo apt install iptables-persistent netfilter-persistent $ sudo netfilter-persistent save # 最初、iptables-persistent も消えているのに気づかず、 # netfilter-persistent save が動かず悩んだ。
設定を復旧するなか途中で LAN (enp2s0) も動かなくなるけど、netplan の設定をやり直して無事回復。(netplanの一言をメモに残しておかないと、IPアドレス固定の設定どこでやったっけ…ということを思い出せない NetworkManager だっけ /etc/network 配下だっけ…と無駄に悩む)
$ cd /etc/netplan $ sudo vi 90-NM-xxxx....xxxx.yaml $ sudo netplan apply
raspbianのaptでのgpgキーのエラー
設定を間違えたのか、apt の update, upgrade で GPG キーのエラーが出るようになった。
GPGキー の再設定
GPG キーファイルの扱う debian-archive-keyring (raspbianでは raspbian-archige-keyring) を強制再インストールして、更新された /etc/apt/trusted.gpg を参照するように /etc/apt/sources.list.d/* のファイルの deb 行に書き込む
((( 標準パッケージの GPG keyring を強制再インストール )))
$ sudo apt reinstall --allow-unauthenticated raspbian-archive-keyring
$ sudo apt update ; sudo apt upgrade
((( パッケージの GPG 参照ファイルを設定 )))
$ sudo vi /etc/apt/sources.list.d/*.list
deb [signed-by=/etc/apt/trusted.gpg] ...略...
~~~~~~~~~~~~~~~~~~~~
letsencryptのCAA関連のトラブル再び
letsencrypt から自宅サイトの証明書の更新が切れるとの警告メール。
自動更新にしているはずなのに….
確認してみると、CAAのエラー
$ sudo /etc/dehydrated/update-dehydrated --force --cron
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "http-01"
["url"] "https://acme-v02.api.letsencrypt.org/acme/chall/xxxxxxx/xxxxxxxxxxxx/_VfALA"
["status"] "invalid"
["validated"] "2025-06-06T00:54:07Z"
["error","type"] "urn:ietf:params:acme:error:caa"
["error","detail"] "During secondary validation: While processing CAA for tsaitoh.net:
CAA record for tsaitoh.net prevents issuance"
["error"] {"type":"urn:ietf:params:acme:error:caa",
"detail":"During secondary validation: While processing CAA for tsaitoh.net:
CAA record for tsaitoh.net prevents issuance"}
["token"] "xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx"
["validationRecord",0,"url"] "http://tsaitoh.net/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx"
mydns.jp で運用している DNS の設定に、IN CAA 0 issue “letsencrypt.org” を加える必要があるらしい。
でも、長年運用していたので、問題ないはずなんだけど、dig で確認すると、設定が消えている。
$ dig @8.8.8.8 tsaitoh.net CAA tsaitoh.net. 300 IN CAA 0 issue "\000"
実際、自分の記事で確認すると、CAA のトラブルの記事 でちゃんと設定していたはず。
サーバの移行によって、CAA レコードが消えたのかな…!?!? mydns の設定を間違って消したのかな…!?!?
ということで、mydns.jp で CAA の設定を修正して無事更新。
Google 検索
