iOS4.2のアップデートを適用したら、自宅サーバのメールを読む際に、 不正な認証キーの警告がでてきた。 自宅サーバのオレオレ認証キーなので、許可するだけの話なんだけど、 キーの有効期間が2008年と表示されていた。 どうせオレオレ認証だからどーでもいいんだけど、一応2008年と表示されるのは さみしいので、更新を行う。 ついでに、apache2+SSLも更新しておこう…

# make-ssl-cert /usr/share/ssl-cert/ssleay.cnf \
/etc/apache2/ssl/apache.pem --force-overwrite
# /etc/init.d/apache2 restart
# make-ssl-cert /usr/share/ssl-cert/ssleay.cnf \
/etc/courier/imapd.pem --force-overwrite
# /etc/init.d/courier-imap-ssl restart

ダイエット運動を兼ねて子供を連れて近所の運動公園にウォーキング。 帰り道、iPodでWiFiのモニタしながら自宅周辺の無線LANの状況を調べると、 家の周囲にも予想以上に沢山のAPがある。 部屋(北側)で近所の無線LANが見えるから、北側の家で使っていると思ったけど、南側の方が多かった。家も多いし当たり前か…

WiFi接続で暗号接続が簡単なWEPで危険性が増してきていると言われているため、 WEP接続の見直しを行った。

まずは、WEPで設定されている、1Fに接続されている旧式のAPを削除。 代わりに、2Fに設置していたFONを接続しておく。 次に、ルータ WZR-HP-G300NHのWiFiの隔離機能を、WEP接続で利用する。 ルータの隔離機能とは、インターネット側の接続しかできなくする機能で、 LAN内部の機器に接続できなくすることができる。 しかし、自宅内はDHCPサーバを運用しているけど、ネームサーバには自宅サーバを 指定している。このため、隔離機能を使うと、DNSに接続することができなくなり、 最終的にどこにも接続できなくなってしまう。

といっても、WEP接続で残っているのは、あゆちゃんとママのDS-Liteだけ。 色々と試してみたが、隔離機能を使うと(DHCPがルータでなくLinuxサーバで動かいているので)、 DHCPさえ利用できなくなっている。 ということで、固定IPアドレス割り当てで、DNSも丹南のDNSを直接設定するしかなかった。

自宅に届くspamは、spamassassinで分類＆procmail で除去しているけど、 急に .info なspamが増加中。今までは即廃棄については、レシピにパターン追加していたけど面倒。 でも、.info で重要メール送ってくる人はいないだろうし、 軽微なspam判定 + .info は即廃棄に変更。ついでに、怪しげな国ドメインも同様に始末！ ".info + その他"なレシピは、削除する。

(( $HOME/.procmailrc ))
:0
* ^From:.*@.*\.(info|biz|bz|ch|cx|la|me|tv|to|sc)
* ^X-Spam-Level:.*\*\*\*
/dev/null

追記：最近、届くspamで明らかにウザそうなドメイン名を追加していたら、 .procmailrc がムダに肥大化しているし、以下のレシピも追加。 Bcc書き並べて、大量送付だと、受信側のTo:には、"undisclosed-recipients:;"が付いているので、spamスコアが高い場合も無条件削除。

:0
* ^To: undisclosed-recipients:;
* ^X-Spam-Level:.*\*\*\*\*\*\*\*\*
/dev/null

んでも、相変わらず、".com/.net/.jp" なspamは、手書きメンテにしておこう。

先日、WiFiでWEP解読でタダ乗りされていないかの確認の一端として、 arpwatch なるIP＆MACアドレス対応チェックをしてくれるソフトを入れてみた。

すると警告メールがポロポロ。「げろタダ乗りされてる？」と思わず心配になってきた。

new station (192.168.1.100) eth0
new station (192.168.5.3) eth0
new station (192.168.1.101) eth0
flip flop (192.168.1.100) eth0

我が家では、192.168.1.X とか 5.X なんてアドレス使っていない。 でもよくよく送られてきたメールのMACアドレスを見ると、MacBook と iPod touch。 すると、192.168.1.X は、Pocket WiFi のアドレス、192.168.5.X は、職場のTimeCapsule… ということが見えてきた。

ある意味当たり前なんだけど、モバイル機器が自動でWiFi切り替える前に、 前のWiFi接続でのIP,MAC組みで通信を試みているのが原因。 ネットワークセグメントが違うから、警告に上がってくるとは予想してなかったけど、 arpwatchは、ARPパケットの視点でチェックするから、異常接続と誤認するわけやね…
# モバイル系、外で使った後はその度に警告でるのね…
# ちょっとうざいなぁ…

arpwatchの導入時に参考にした記事では、 「DHCP系はその度に違うアドレスが振られて警告がうざい」と書いてあったけど、 自宅は DHCPもMACアドレスで静的な対応を取らせてるから、 問題なしと思っていたんだが….甘かったな….

bogonを無視するように設定

arpwatchのマニュアルを見ると、関係ないネットワーク"bogon" を無視する機能がついている。 "-n network/width" でLocal以外を無視することもできるけど、 ブラックリスト方式よりはホワイトリスト方式の方がちょっとマシ。ということで、設定ファイルを書き換え。

(( /etc/arpwatch.conf ))
eth0    -m root -z 192.168.1.0/255.255.255.0 -z 192.168.5.0/255.255.255.0

公民館祭りにて、近所の人と雑談の中で、WiFiの危険性の話がでてきた。 「WEP危ない」とか一般論を説明したけど、 その割に、自宅では DS Lite のために、WEP も残ってる。 MACアドレス制限もしているけど狙われたら危険に変わりはない。 まあ、危険性のネタからも、勝手に使われていないかのチェックぐらい しておこうと、見かけないIPアドレスを検出させようと思ったけど、 arpwatch なるソフトの方が簡単。 我が家では、DHCPもMACアドレスで静的に割り振っているし、 arpwatch で MACアドレスとIPアドレス対のチェックをするだけで十分だろう。

(( インストール ))
# aptitude install arpwatch
(( /etc/arpwatch.conf ))
# 検索対象のインタフェースとメールの送信先を追加
eth -m root
(( arpwatchを再起動 ))
# /etc/init.d/arpwatch restart

ただし、WiFiのクラッキングソフト使えば、IPアドレス・MACアドレス対ぐらい 取得されちゃうだろうし、これを入れてもセキュリティ的には万全ではない。

Facebookを使い始めてみたけど、 ベースは今まで通りになりそうなので、 他のWebコンテンツと連携する機能を 色々と追加してみた。

ひとまず、かぶらなさそうな恒例のtsaitoh.netのユーザネームを取得したり、 プロフィール画面に Twitter の自分のつぶやきを表示するタブや YouTube のMy動画のサムネールを表示するタブを追加してみた。

自分のBlogのRSSフィードを表示するタブがあれば、 既存のWebコンテンツの相互連携が完成するんだけど、 設定がうまくいかないなぁ。

といいつつ、この書き込みは、FacebookのRSSフィードタブの動作確認も兼ねてたり….