WiFi接続で暗号接続が簡単なWEPで危険性が増してきていると言われているため、 WEP接続の見直しを行った。

まずは、WEPで設定されている、1Fに接続されている旧式のAPを削除。 代わりに、2Fに設置していたFONを接続しておく。 次に、ルータ WZR-HP-G300NHのWiFiの隔離機能を、WEP接続で利用する。 ルータの隔離機能とは、インターネット側の接続しかできなくする機能で、 LAN内部の機器に接続できなくすることができる。 しかし、自宅内はDHCPサーバを運用しているけど、ネームサーバには自宅サーバを 指定している。このため、隔離機能を使うと、DNSに接続することができなくなり、 最終的にどこにも接続できなくなってしまう。

といっても、WEP接続で残っているのは、あゆちゃんとママのDS-Liteだけ。 色々と試してみたが、隔離機能を使うと(DHCPがルータでなくLinuxサーバで動かいているので)、 DHCPさえ利用できなくなっている。 ということで、固定IPアドレス割り当てで、DNSも丹南のDNSを直接設定するしかなかった。

自宅に届くspamは、spamassassinで分類＆procmail で除去しているけど、 急に .info なspamが増加中。今までは即廃棄については、レシピにパターン追加していたけど面倒。 でも、.info で重要メール送ってくる人はいないだろうし、 軽微なspam判定 + .info は即廃棄に変更。ついでに、怪しげな国ドメインも同様に始末！ ".info + その他"なレシピは、削除する。

(( $HOME/.procmailrc ))
:0
* ^From:.*@.*\.(info|biz|bz|ch|cx|la|me|tv|to|sc)
* ^X-Spam-Level:.*\*\*\*
/dev/null

追記：最近、届くspamで明らかにウザそうなドメイン名を追加していたら、 .procmailrc がムダに肥大化しているし、以下のレシピも追加。 Bcc書き並べて、大量送付だと、受信側のTo:には、"undisclosed-recipients:;"が付いているので、spamスコアが高い場合も無条件削除。

:0
* ^To: undisclosed-recipients:;
* ^X-Spam-Level:.*\*\*\*\*\*\*\*\*
/dev/null

んでも、相変わらず、".com/.net/.jp" なspamは、手書きメンテにしておこう。

先日、WiFiでWEP解読でタダ乗りされていないかの確認の一端として、 arpwatch なるIP＆MACアドレス対応チェックをしてくれるソフトを入れてみた。

すると警告メールがポロポロ。「げろタダ乗りされてる？」と思わず心配になってきた。

new station (192.168.1.100) eth0
new station (192.168.5.3) eth0
new station (192.168.1.101) eth0
flip flop (192.168.1.100) eth0

我が家では、192.168.1.X とか 5.X なんてアドレス使っていない。 でもよくよく送られてきたメールのMACアドレスを見ると、MacBook と iPod touch。 すると、192.168.1.X は、Pocket WiFi のアドレス、192.168.5.X は、職場のTimeCapsule… ということが見えてきた。

ある意味当たり前なんだけど、モバイル機器が自動でWiFi切り替える前に、 前のWiFi接続でのIP,MAC組みで通信を試みているのが原因。 ネットワークセグメントが違うから、警告に上がってくるとは予想してなかったけど、 arpwatchは、ARPパケットの視点でチェックするから、異常接続と誤認するわけやね…
# モバイル系、外で使った後はその度に警告でるのね…
# ちょっとうざいなぁ…

arpwatchの導入時に参考にした記事では、 「DHCP系はその度に違うアドレスが振られて警告がうざい」と書いてあったけど、 自宅は DHCPもMACアドレスで静的な対応を取らせてるから、 問題なしと思っていたんだが….甘かったな….

bogonを無視するように設定

arpwatchのマニュアルを見ると、関係ないネットワーク"bogon" を無視する機能がついている。 "-n network/width" でLocal以外を無視することもできるけど、 ブラックリスト方式よりはホワイトリスト方式の方がちょっとマシ。ということで、設定ファイルを書き換え。

(( /etc/arpwatch.conf ))
eth0    -m root -z 192.168.1.0/255.255.255.0 -z 192.168.5.0/255.255.255.0

公民館祭りにて、近所の人と雑談の中で、WiFiの危険性の話がでてきた。 「WEP危ない」とか一般論を説明したけど、 その割に、自宅では DS Lite のために、WEP も残ってる。 MACアドレス制限もしているけど狙われたら危険に変わりはない。 まあ、危険性のネタからも、勝手に使われていないかのチェックぐらい しておこうと、見かけないIPアドレスを検出させようと思ったけど、 arpwatch なるソフトの方が簡単。 我が家では、DHCPもMACアドレスで静的に割り振っているし、 arpwatch で MACアドレスとIPアドレス対のチェックをするだけで十分だろう。

(( インストール ))
# aptitude install arpwatch
(( /etc/arpwatch.conf ))
# 検索対象のインタフェースとメールの送信先を追加
eth -m root
(( arpwatchを再起動 ))
# /etc/init.d/arpwatch restart

ただし、WiFiのクラッキングソフト使えば、IPアドレス・MACアドレス対ぐらい 取得されちゃうだろうし、これを入れてもセキュリティ的には万全ではない。

Facebookを使い始めてみたけど、 ベースは今まで通りになりそうなので、 他のWebコンテンツと連携する機能を 色々と追加してみた。

ひとまず、かぶらなさそうな恒例のtsaitoh.netのユーザネームを取得したり、 プロフィール画面に Twitter の自分のつぶやきを表示するタブや YouTube のMy動画のサムネールを表示するタブを追加してみた。

自分のBlogのRSSフィードを表示するタブがあれば、 既存のWebコンテンツの相互連携が完成するんだけど、 設定がうまくいかないなぁ。

といいつつ、この書き込みは、FacebookのRSSフィードタブの動作確認も兼ねてたり….

Facebookを使い始めてみた。 あんまり、良さがわかってなかったりするけど、 ネットサービスの連携が面白そうなので、 自宅サーバの記事にLikeボタンを設置してみる。

Likeした相手の写真が表示されるのか、記事までの空間が間延びしてるな… 表示形式をbutton_countにしておこう。 ついでにTwitterとFacebook絡みをMovableTypeのモジュールを使うように修正。

自宅サーバにて、処理しているメール数がモニタリングできるようにしてあるんだけど、 どうも昨日から読み込んでいるメール件数が激減。 そんなに自分宛のメールが届いてるというよりは、大量のspamなんだけど。 先日のsudoのトラブルもあったので、心配になりいろいろ調べる。

我が家に届くメールといっても、正確には丹南ケーブルに届いたメールを、fetchmail で 取得して自宅メールサーバに転送しているので、fetchmail のトラブルが考えられた。 以前にも、fetchmail のバージョンアップでトラブルになったこともあったので、 試に fetchmail を起動すると、以下のようなメッセージを表示して、over 100件のメールが 溜まっている様子。

foo@my-mail-address.jp 宛に届いた 54 番目のメッセージ
(全部で 106 通)を読み込んでいます (4733 バイト)
サーバからメッセージを削除しませんでした。
fetchmail: SMTP エラー: 451 Open SMTP Relay See:
http://www.sorbs.net/lookup.shtml?127.0.0.1

"Open SMTP Relay"と表示されるので、メールサーバの設定を間違えて、 大量の迷惑メールの中継に利用されたかと心配になる。 でも、ひとまずブラックリストには載っていないようだし、アドレスが 127.0.0.1 なんて、 ループバックアドレスへの警告。 ひとまず、URLが書いてあるし、sorbs.net にアクセスするが、返答がない。 どうも迷惑メールのブラックリスト情報を提供してくれている、sorbs.net に接続できないのが 原因っぽい。

sorbs.netって、サービス停止(2010/10/7現在)？それとも、サーバトラブル？どちらにしろ、 qmail の中のブラックリスト判定のサーバのリストから、sorb.s.net を取り除く。

(( /etc/init.d/qmail の diff ))
rblmsg=" (with rblsmtpd)"
- rblsmtpd="/usr/bin/rblsmtpd -r bl.spamcop.net -r dnsbl.sorbs.net -r all.rbl.jp"
+ rblsmtpd="/usr/bin/rblsmtpd -r bl.spamcop.net -r all.rbl.jp"

sorbs.netについてもう少し調べてみると、あまりいい評判でもなさそうだし、 記事を参考に Spamassassin のレーティングも変更する。

blogの家族のページに、記事をメールで送ったけど、記事が書き込まれない。 再送しても書き込まれないので変だなぁと思っていたら、 localのメール配送が止まっている。"ps ax | grep qmail"すると、いくつかの qmail-local が 走りっぱなし。"qmHandle -l" を実行すると、ローカル配送が60件以上たまっている。 MRTGのメール処理数のグラフを見ると、昨日の夜からメール処理数(といっても実際はspamばっかり)が減って、朝方からはメール処理数が0件となっていた。

"qmHandle -D"を実行しても、qmailプロセスが再スタートもしてくれない。 しかたがないので、qmail-local を手作業ですべてkillしてから、qmailを再起動。

原因究明のためにも、止まってたメールの実体を確認すべきだったかな…

原因が見えてきた。メールからMovableTypeへの記事の投稿で、 qmail-local ⇒ dot-qmail ⇒ "sudo www-data …" ⇒ "mail2entry.pl" の流れでプロセスが起動されている。んで、処理が終わった後で、mail2entry.pl がゾンビになってる…

XXXXXX ?   Z  0:06 [mail2entry.pl] <defunct>

sudo 1.7.4p4が原因みたい

mail2entry.pl が停止しているのに、sudo が止まらないということで、試しに sudo のバージョンを下げてみた。

# aptitude install sudo/stable

すると、今まで通りMovableTypeに記事が書き込まれ、sudo プロセスも残らない。 原因と思い、sudo-1.6.9から1.7.4までの違いを確認…と思うけど、頻繁に更新があるみたいで、 すぐに原因が解らないな…

みつくんが、宿題をするように言われているのに、のんびりとゲーム雑誌を読んでいた。 ペナルティとして、DSをゲーム禁止用の手提げ金庫に没収。 当分ゲーム禁止処分を言い渡す。 巻き添えの、あゆちゃん涙目。

PCアクセス制限

我が家の場合、携帯ゲーム機没収でもパソコンで遊んでは意味がないので、 コンテンツフィルタも禁止状態にする。 ただし、我が家のコンテンツフィルタは、一定時間で通常状態(無難なサイトはOK,それ以外はkids.goo.ne.jpに判断委譲)に復帰するようにしてあったけど、 「当分禁止」を言い渡したこともあるし機能を追加。 通常状態に復帰させるためのcron処理を、止めたり復帰させたり制御できるようにしておいた。

ということで、パソコンはアクセス全面禁止＆通常復帰処理禁止とする。

Wiiは全面禁止の時だけ

さて、今からWiiの電源＆映像ケーブルを抜こうかな…
２人とも、まだTV裏の配線やらは触ったことがないので、映像ケーブル抜くだけで十分な 効果があるはず。

とはいえ、反省したら映像ケーブルも戻すつもりだけど、いつでも制限を加えられるように、 WiiもProxyを通してフィルタ対象にする。ただし、Wiiには様々な機能があるため、全面禁止の時だけ ネットワークを使えないようにするに留める。

DSは…Proxy設定が無い

今のところ、前述のように禁止の時は、手提げ金庫に入れてるけど、 これまた必要に応じていつでも制限…と思い、Wiiと同様のProxyフィルタを準備。 だけど、実際にProxy設定と思ったら、DSにはProxy設定項目が無いじゃん。