Gesaku's blog

Author: gami

  • 社会貢献

    DaiGoの炎上問題。 「生活保護受給者とかホームレスは猫より下だから死んでも関係ない」(意訳)とかいう発言が炎上している。 単にサンプルの選び方の問題だったような気がしないでもない。 これが犯罪者とか、犬(猫以外の動物)だったりしたら、「犯罪者に税金払うぐらいなら猫を助けろ」「犬は私にとってどうでもいいので死んでも関係ない」とかなら、炎上の仕方は変わっていたと思う。 要するに、「自分にとってどうでもいい存在」という一般名詞等があればよかったのだが、とりあえず日本語には無い。 それを生活保護受給者とかホームレスという具体例を(特に調べもせず)挙げてサンプルにしたのが間違い。(もしかしたらどんな理由にせよ生活保護を受けた人はすべからく社会に必要なく死んでも問題ないと思っているかもしれないが。ガンで働けなくなって保険も使い果たして生活保護で生き延びている人も同じカテゴリにするのだろうか) 生活保護受給者というのは基本、働きたいけど働けないので生きていけないので国が助ける人、である。たまに不正受給者とか居て働けるけど働かない人もいるだろう。ホームレスというのは家がない人であって、自らの失敗によって家を失った自業自得者もいるのかもしれないが、選んでホームレスになった人もいれば、望んでないがホームレスにさせられた人もいる。 おそらくDaiGoさんの言う「生活保護受給者とかホームレス」は、社会に貢献しないことを自ら選択した人たちの事を言いたいのではないかと思う。あそこでニートとか言ってればまた違ったのかも? 「社会に貢献しないことを自ら望んだ人」を総称する一般名詞がある国とかイヤだけど無いと不便だよね、って話。 個人的に文句を追加したいのは「占い師は言葉の詐欺師」ってやつで、そういうやつもいるかもしれないが、基本は星や易などで相手の状態を視るものであって、話術は本来関係ない。 まあ、話術がなければ商売として成り立たないので話術がうまいのが有名な占い師になる可能性は高いのだが。 同様に、政治家も本来は社会を良くするための職業であって、私腹を肥やす能力や票を集める能力がないと成り立たないからそういうのも多い、ってだけで「政治家」という言葉にそういった意味は(本来)無い。「占い師」にも(本質的には)相手を(主に相手の財布を)自分の思い通りにする趣旨はない。 所謂クズの確率が多そうなのは確かかもしれないがエビデンスある? グループの中の一部がそういう輩で、グループ全体を貶めているってパターンは多そうだけど、「メンタリスト」のイメージを貶めているのは誰でしょうかね? 有名になるとクズの確率が上がっているのは有名にしているマスコミがマスゴミだからってのはふと思ったりした。 「マスコミ」の中のクズを「マスゴミ」と言ったり、「政治家」の中のクズを「政治屋」と言ったり、うまい言いかえがあったりなかったり。「ハッカー」の中のクズを「クラッカー」というのだけどあまり広まっていない模様。 「占い師」とか「生活保護受給者」とか「ホームレス」にも侮蔑的な意味のみ取り上げた別単語ありませんかね? ※ 正しいグループの人は正しくないグループの人を同じカテゴリに扱って欲しくないと考えていると思います。「~の中のクズ」を表す接尾語とか無いのかしら?

  • ipv6 source address

    同一インターフェイスに複数のipv6アドレスが付いている時、通常使うアドレスを指定する方法。 サービスごとにアドレスつけてたりすると、どれをソースアドレスとして接続しに行くかわからんので優先順位をつける。何も設定しないと、大体アドレスの長い奴が優先されて、一番単純なアドレスが代表なのに使ってくれなかったりする。例:2001:db8::1>(代表)と2001:db8::143(dovecot imapd用)と2001:db8::53(bind用)があったりすると(16進ではなくてBCDなのです(言い訳))、他のPCに接続しに行くと大体2001:db8::143でログが残って、これ誰だっけ?になりやすい。本当は2001:db8::1で接続しに行って欲しい。 また、相手がv6アドレスで接続制御してたりするとソースアドレスが決められなくて困る。まあこういうやつはtransfer-source-v6とかオプションがあったりするので個別対応すればいいんではあるが。 /etc/systemd/network/interface.networkに、 とすると、PreferredLifetimeがinfinitが最優先、0だとソースアドレスとして使用しない事になる。 ちなみにRAでステートレスアドレスつけると有効期限がそのままPreferredLifetimeに付く。なので、 とかすればステートレスとかいいつつ2001:db8::1とホスト部が指定できて、デフォルトルートも設定できて、 ソースアドレスとして使用されない追加アドレスも設定できた。

  • StartTLS

    認証関係はやり始めると時間がかかる上、途中で辞められないので大変である。 やっとSSLとTLSとStartTLSの違いがわかった(気がする) SSLとTLSは実質一緒で、SSLがバージョンアップしてTLSになって、かつSSLはもう古いので使うな、ということらしい。でも通称SSLが多いのでSSL/TLSと表記することが多い、だそうな。 で、StartTLSは、最初から暗号通信するか途中から暗号通信するかの違いらしい。 httpsは最初から暗号通信を行う。http/StartTLSは最初httpで平文接続して、プロトコルの中でStartTLS -> ネゴシエーション -> 暗号化 という手順を行う。 同じポートで待ち受けできるので良いらしい。 そこでLDAPをTLS対応させてみたら色々はまりました。普通に間違えてつながらなくなってうひょーは割愛(これが大変だったのは確かだが… ldap.conf(のLDAPエントリ)に dn: olcDatabase={1}hdb,cn=configolcSecurity: tls=1 を追加すると、ldap://を受け付けるがStartTLSしないとダメ、と設定できる。この際なのでldapsの待ち受け消してldap/TLSのみにしてやろうと思ってやってみた。 結局のところ、クライアントにどうやってStartTLSを指示するか、が問題となった。あと、StartTLSをyesにして、ldaps://でつなぎに行くと2重になるのでエラーになる。なのでuri指定をldapi:/// ldap://…とldaps指定をやめた。ちなみにldapi:///指定でもStartTLSしないと弾かれる。UNIX socketなら暗号化は特にいらない気もするがまあ仕方ないのだろう。# それを言うとldap通信してるのは全部同一マシン内の仮想マシンなので根本的に暗号化の必要性は無いとも言えるが(汗 /etc/ldap/ldap.confにSSL start_tls でldap.confを読むやつはStartTLS対応になる。sudo-ldapなど。ただしTLS_REQCERTをneverとか、TLS_CACERTを適切に設定とかしないとはじかれる。nslcdもnslcd.confに同じ書き方で良さげ。 postfixはldap-*.cfにstart_tls = yes isc-dhcp-server-ldapはdhcpd.confにldap-ssl start_tls; wanderlust: .wlに(setq elmo-imap4-default-stream-type ‘starttls) openldap SyncRepl はstarttls=yesとtls_reqcert=allow|neverを指定。 と、ここまで来て困ってしまったのが、kerberos ldapだった。どうもMIT kerberosからLDAPを見に行くときにStartTLSの設定がないっぽい。このためだけにldapsを動かすのも嫌なのだが、諦めてldapsを指定してみる。 しかしオレオレ認証のためか検証エラーっぽくつながらない。やっぱりslapdのSecurity: tls=1 はダメなのだろうか・・・ 誰もkerberos ldap使ってないのだろうか。ググったけど1件だけ「まだ対応していないのでldapsにするかTLS諦めてね」というのがあっただけで、他は「対応しているかどうかは書かずに」「ldapにすれば動く」「ldapi:///でおけ」というものばかりだった。 世の中kerberosと言えばActive Directoryのようで、sambaとかAD使わずにkerberos+LDAP使っている人はかなり少数派のようである。 ldap://…/!StartTLSみたいなURIで指定する仕様もあるようだが、もちろんクライアントが対応していないと何ともならず。

  • Windows insider dev channel

    しばらく前にwindowsのinsider previewでdevチャネルを登録したのだが、ちょっと前のupdateがハードのせいか失敗しまくるようになったので、他のチャネルに変えた。 他のアップデートがあればそっちに行くだろうと思っていたら、devチャネルは他のチャネルに移行しないらしく、再インストールとか必要らしい。 しつこく「来月今のチャネル終了するからアップデートしろ」と言われまくったので何とかすることに。 あれこれやってみたけどやっぱり再インストールしかない、という結論になってついさっき再インストールしました。 意外と再インストールには手間がかからず、ちゃんと戻せたようです。 基本的に全部onedriveで同期させてて、Nortonでパスワード管理しているのでほぼ問題なく移行できました。まあ、最悪c:\windows.old\に残っているので何とかなりますし。 devチャネルは一度入ると出るのが大変、という話でした。

  • dhcp server 未解決

    自宅のipアドレスはdhcp serverで管理しているのだが増えすぎてワケワカになってきた。 クライアントによってグループ分けをしているのだが、グループによってアドレスプールを分けたいのだが、できない、もしくはすげーめんどくさい。 ちなみにdebianのisc-dhcp-server 4.4.1-2.2を使用。LDAP使用しているのでさらにややこしくなっているとも言う。 現在は全部hostでhardware ethernet 指定とfixed-addressで全部固定。 subnet 192.168.3.0 netmask 255.255.255.0 { pool { range 192.168.3.10 192.168.3.20; host aaa1 { … } host aaa2 { … } } pool { range 192.168.3.128 192.168.3.200; host bbb1 { … } host bbb2 { … } } pool { range 192.168.3.250 192.168.3.254; allow unknown clients; }} こんな感じでクライアントaaaを10-20の間で、bbbを128-200の間で、それ以外は250-でリースしたいのだが、host指定の位置に関係なく全pool内からリースされてしまう。 […]