Mac OSX のインターフェースに複数のアドレスを割り当てる方法

OSXで複数のIPv6アドレスを割り当てたい

自宅のネットワークがIPoEによりIPv6ネイティブ接続になったので、クライアントであるMacにIPv6のアドレスを割り当てようとしました。今回割り当てようとしているIPv6アドレスは、機器に勝手に割り当てられるリンクローカルアドレス(fe80::/64)と、IPoEのRAでふってくるGUA(Global Unicast Address:今回は2409:252::/64)と、いわゆるプライベートアドレス的なULA(Unique Local Address:fd00::/48)の3つです。

リンクローカルアドレスは問答無用で割り当てられるので無視ですが、残りの2つは設定のネットワークを見てもどちらか一方しか割り当てられないように見えます。TCP/IPの設定のIPv6の設定は自動化か、手入力か、リンクローカルのみの三択です。自動はGUAの割当のことです。

さらにULAを割り当てたい場合は、左のペインで「+」を押して、インターフェースを増やします。今回の場合はWi-Fi 2という名前です。

この新しくできたインターフェースのTCP/IPの設定でIPv6の手入力を選択し、ULAを入力します。IPv4の設定や、DNSの設定は全て空白のままでいいです。

/sbin/ifconfigで見ると、IPv6のアドレスが追加されていました。

Netatmoで屋内のCO2を監視する

Netatmoはフランス生まれの気象観測ガジェット。日本でも販売しており、手軽に温度、湿度、気圧、二酸化炭素濃度などが測れます。

二酸化炭素濃度は室内を測っているのだけれど、生活の中ですごく変化する様子が面白い。屋外の濃度はおおよそ400ppmなのだが、室内で窓を閉め切ると人間の呼吸だけであっという間に600〜800ppmほどになります。さらに、調理などでガスコンロを使うとあっという間に1000ppmを超え、冬場の石油ストーブなどは締めきった部屋で使うとみるみる2000,3000ppmと上がっていき見ているだけで息苦しくなる気がします。

通常、1000ppm以下が快適とされている二酸化炭素濃度ですが、Netatmoで計測できても気軽に知る方法がありません。スマホアプリがあるので、スマホのウィジェットやタブレットなどに表示させておけるのですが、それでも見にくい。というわけで、7セグメントLEDとraspberry piを使い常時表示させるガジェットを作りました。

続きを読む

Raspberry pi zero w のネットワーク設定

無線の設定

Raspberry pi zero w は無線のインターフェースしかないので、最初のセットアップはモニターとキーボドを繋いでやるのが無難。起動したらまずは無線の設定から始める。

raspi-configで無線のSSIDとPASSWORDは設定できるので、/etc/wpa_supplicant/wpa_supplicant.conを確認しておく。もし、うまく設定できなかったら手動で以下のコマンドでもできる。

sudo wpa_passphrase SSID PASSPHRASE | sudo tee -a /etc/wpa_supplicant/wpa_supplicant.conf

問題はパスフレーズ。’!’などの文字が入っているとコマンドが正常に認識されないので、SSIDやパスフレーズなどは’で囲っておく。

ファイルのパーミッションは念のために600にしておくのが良いだろう。(上のコマンドのままだとPSKの平文が残る。念のためにhistoryも消しておくのが良かろう)

固定アドレス

固定アドレスはかつては/etc/network/interfacesで設定していたが、最近は/etc/dhcpcd.confでやるのが推奨されているらしい。以下を追加しておく

interface wlan0
statuc ip_address=192.168.0.79/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.75

無線はwlan0のインターフェース。

 

SlackのログをEvernoteに定期的にクリップ

Slackのログはライフログ

家庭内Slackを使い始めて2年ぐらいたつんですけど、無償版のSlackは発言が1万しか保存されません。一日30発言で1年ぐらいしか持たないので、結構少ないです。あとから、見返したいときにもうなくなっています。こいつはもったいないので、Evernoteに保存したいと思います。

SlackからEvernoteへの連携

SlackとEvernoteの連携はiftttとか使わなくても公式で連携があります。今回はこれを使います。連携を済ませると新たなスラッシュコマンドが追加されて、コマンドでSlackの発言をEvernoteに保存できます。/clip yesterday とやると昨日の分のチャネルの発言がEvernoteに保存されます。残念ながらノートブックは選べません。ライフログ用のノートブックを既定のノートブックにしました。

Cronで実行

このコマンドを手で入力ではなく、深夜0時を回った時に自動で実行します。Slack API のchat.postMessageでは発言はできますが、コマンドは実行してくれません。「/clip yesterday」という発言をするだけです。かわりに chat.command を使います。

1 0 * * * /usr/bin/curl -X POST "https://{domain}.slack.com/api/chat.command?token={token}&channel={channel_id}&command=/clip&text=yesterday"

channel_idの取得は https://qiita.com/Yinaura/items/bd28c7b9ef614696fb7e ここを参考にさせていただきました。

Mac OSX High Sierra にすると謎のパージ可能領域が消せない件

重い腰を上げてHigh Sierraにアップデート

Mac OSX のメジャーバージョンアップはいつも少し憂鬱。バージョンアップで動かなくなるソフトが出るのは承知のとおりだが、私の使っている大半のソフトはリリースまでに対応済みのことが多い。

問題は仮想化のVMware Fusionである。OSのバージョンアップのたびにVMwareのバージョンも上がり、毎回安くはないアップデート費用を取られる。それほど頻繁にVMwareを使うわけではないので、バージョンアップには乗り気になれない。そんなわけでVMware FusionからVirtualBoxに乗り換えたのだが、それはまた別の話。

ハードディスクのパージ可能領域

High Sierraにアップデートをした直後からハードディスクがみるみる減っていく。不要ファイルを消したり再起動しても一向に空き領域は増えず、むしろ時間とともに減っていく。いくらなんでもおかしいと思い調べたところ、パージ可能領域というのが圧迫しており、これがTime Machineと関係していることが判明した。このパージ可能領域を簡単に削除する方法が簡単ではなかった。

Time MachineはMacのバックアップソリューションだが、ノートパソコンなどではたまに外付けハードディスクをつけてバックアップすることが多いと思う。そんな運用が多いのはお見通しなのか、High Sierraからは外付けハードディスクがない間は内蔵ディスクにローカルスナップショットを保存取得しておく設定がデフォルトになった。これがパージ可能領域の正体だった。

ローカルスナップショットの確認と削除方法

まずはローカルスナップショットの確認

$ tmutil listlocalsnapshots /
com.apple.TimeMachine.2017-11-18-104524
com.apple.TimeMachine.2017-11-18-123140
com.apple.TimeMachine.2017-11-18-183524

ここでは3つのスナップショットが見つかった。削除方法は以下の通り。

$ tmutil deletelocalsnapshots 2017-11-18-104524
Deleted local snapshot '2017-11-18-104524'

これでパージ領域がなくなったはずだ。

ローカルスナップショットの停止方法

残念ながら、停止方法はわからなかった。Time Machineそのものを止めてしまえば、これ以上スナップショットが増えない。もしくは空き領域が極端に少なくなると自動的に削除されるそうだが、こちらは検証していない。

Raspberry piにmirakurunとchinachuをインストール

ハード

  • raspberry pi
  • PX-S1UD V2.0
  • ACR39-NTTCom(USBカードリーダー)

チューナーの設定

http://plex-net.co.jp/plex/px-s1ud/PX-S1UD_driver_Ver.1.0.1.zipをダウンロードして、ファームウェアをコピーする
$ sudo cp PX-S1UD_driver_Ver.1.0.1/x64/amd64/isdbt_rio.inp /lib/firmware
続きを読む

Raspberry pi インストールメモ

ハード

  • Raspberry pi 2 B+
  • micro SD 8GB
  • 無線LANアダプター(WDC-150SU2MBK)
  • Macbook (SDカード書き込み用)

Raspbianの書き込み

https://www.raspberrypi.org/downloads/raspbian/ からRASPBIAN STRETCH WITH DESKTOPをダウンロード。今回のダウンロードは2017-09-07-raspbian-stretch.zipというファイル。念のためにチェックサムを確認。

$ shasum -a 256 tmp/2017-09-07-raspbian-stretch.zip 
a64d742bc525b548f0435581fac5876b50a4e9ba1d1cd6433358b4ab6c7a770b tmp/2017-09-07-raspbian-stretch.zip
続きを読む

ssh-agentとpkcs11をmacOSXで使う

すごくわかりにくいタイトル

YubikeyにSSHの秘密鍵を入れて、ローカルのハードディスクに鍵は置かないといころまではうまく行った。つぎにあちこちのPCやらサーバから鍵を消しまくりたいのだが、接続した先のサーバから別のサーバに接続なんてケースはママある。ということでssh-agentの登場となるわけですが、ssh-agentにファイルとして存在していない鍵(Yubikeyのようなスマートカード)をどう追加するかという話。

ssh-add -s /usr/local/lib/opensc-pkcs11.so

これで行けることはわかっているんですが、Macだとどうしても動いてくれない。どうやらssh-agentのマニュアルを読むと-Pオプションで、信頼できるpkcsライブラリで指定するらしい。これがデフォルトだと/usr/lib*/*と、/usr/local/lib*/*になっているようで、上のopensc-pkcs11.soも問題ないじゃないかと思っていのだが、MacOSXの場合はHomebrewでopenscをインストールしており、上記のパッケージもシンボリックリンクでおいてあった。

-Pオプションにオリジナルの場所を追加しようとしたのだが、どうもうまく行かず、非常に安直なworkaroundだが、オリジナルをコピーして/usr/local/libにおいたらうまく動いた。

アップデートしたら動かなくなるかもしれないし、脆弱性があっても放置される可能性があるので、おすすめはできない。-Pオプションで解決したい。

Yubikey (スマートカード)に入れた秘密鍵を使ってSSHにログインする

ラノベのタイトルみたいになってしまった

すったもんだしてYubikeyにSSHの秘密鍵を入れるところまで行ったのだが、これを利用して、ローカルのハードディスクに秘密鍵を置かずに、SSHのログインを使用という話。クライアントはWindows,Mac,Linuxを想定している。
いままで、公開鍵暗号でのSSH接続ができていたことが前提。

Mac,Linux

Yubicoのページ( https://developers.yubico.com/PIV/Guides/SSH_with_PIV_and_PKCS11.html )のStep 4 からほぼそのままでいけた。

まずはOpenSCのインストール。Mac OSX の場合はhomebrewでインストールするのがよさ気。

brew install opensc

これだけでいける。インストール先は/usr/local/opt/openscになる。環境によっては、/usr/local/Cellar/openscになることもある。インストールされたディレクトリは以下のコマンドでも確認できる。

brew --prefix opensc

OSXはメジャーバージョンアップの際に/usr/localにものがあるとしくじる前科があるので若干心配だ。Linuxの場合は、それぞれのパッケージ管理ソフトに従う。

次に参考したページにはssh-keygenで公開鍵を取り出して、リモートホストのauthorized_keysに追加せよとあるが、今まで同じ鍵でサーバ運用していた場合は関係なし。

必要なのはpkcs11のライブラリの場所を調べてそいつがスマートカードを読み取れるかどうか。ちなみに手近のLinuxクライアントはVMware Player のDebianしかないのだが、VMのゲストOSがスマートカードを認識できないので確認できない。(no slotsというエラーが出る)

あとはsshコマンドを叩くときにIオプションでpkcs11ライブラリの場所を指定するだけ。

ssh -I /usr/local/opt/opensc/lib/opensc-pkcs11.so remotehost

こうするとYubikeyの中の秘密鍵を使ってセッションを確立します。しかしこれを毎回打つのは面倒なので、~/.ssh/configに記述しておきます。私の場合はこんな感じ。

Host hoge
        Hostname          hoge.example.jp
        Port              12345
        PKCS11Provider    /usr/local/opt/opensc/lib/opensc-pkcs11.so

 

4行目に書いてあるPKCS11Providerが追加されたところ。

Windows

WindowsのSSHクライアントといえば、TeratermかPuttyが思い浮かぶ。そんな人に手っ取り早いのが、Puttyの中に入っているPageantを使う方法。認証エージェントですが、スマートカード対応版があります。Puttyシリーズをスマートカード対応にしているPutty-CACというプロジェクトがあってバイナリを公開しています。

SSHサーバに接続するだけなら、Putty本体とTeratermでも使えるPageantをダウンロードするだけで大丈夫です。

Puttyそのものの使い方は割愛しますが、接続先ホストの設定でConnection-SSH-Certificationとすすみ、Attempt Certification Authentication にチェックを入れて、Set CAPI certで証明書を選び、PIN入力が出てくれば接続可能です。

同じようにpageantにも証明書を指定しておき、Teratermで接続する際にSSH認証で、pageantを使う、でPIN入力が出てくれば接続可能です。

pageantはOS起動時に起動させれば良いと思います。

その他

それにしてもECDSAの鍵を使えないのが痛い。。。

Yubikey 4 にSSHの秘密鍵を格納する

 

Yubico社のYubikey4は単なるワンタイムパスワード生成器じゃなくて証明書を格納可能になった。SSHの秘密鍵をYubkikeyに入れて、sshでログインするときだけYubikeyをPCに挿せば、秘密鍵をあちこちのPCに保存しておく必要がなくなり安心である。Yubikey4は日本のAmazonでも販売されている(AA)

Yubikey自体に鍵生成機能があるので、そこで秘密鍵と公会議のペアを作っても良いのだが、あちこちのサーバの公開鍵を置き換えるのが面倒なのと、Yubikey内で生成した秘密鍵はセキュリティ上取り出すことができないので、既存の鍵を使いたい。当然鍵は取り出せないのが安全なのだが、万が一Yubikeyごと秘密鍵をなくしてしまったら二度とその鍵でログインできなくなるのが怖いのだ。ちなみに、既存の秘密鍵をYubkikeyに入れたものも取り出せないので、一通り設定が終わったら、あちこちのPCにある秘密鍵を消し去って、信頼できるところにだけ秘密鍵のコピーを持っておくつもり。なんなら秘密鍵を紙に印刷しておくのが一番安全かもしれない。

以上の理由で、既存の秘密鍵をYubikeyに入れるのだが、やり方が簡単ではなかったのでメモっておく。前提として、rsa 2048bitの秘密鍵 id_rsa を格納するとする。

 

鍵の変換

まずは既存の鍵の変換から。sshの鍵生成は普通ssh-keygenで行うと思うのだが、これで作られる秘密鍵と公開鍵はopensshの独自仕様のようなので、まずはPEM形式に変換する。PEMとかDERとかいうのは鍵のエンコーディング形式でPEMは鍵をBASE64でエンコーディングしてあり、DERはバイナリのようだ。opensshはBASE64なのだが、PEMとヘッダーとかが違うそうだ。

opensll rsa -in id_rsa -out ide_rsa.pem -outform pem

これでPEM形式に変換。

次に同じように公開鍵も作る

openssl rsa -in id_rsa.pem -pubout >id_rsa_pub.pem

 

Yubikey4のPINコード等の変更

次にyubico社からダウンロードしたyubico-piv-toolを使う。ただしサンプルのとおりにコマンドを打ってもエラーが出る(Windows)ので多少工夫が必要。まずは、yukbikeyをUSBに差し込んで、まずはPINコード、PUKコード(管理者用)、マネジメントキーを変更する。

まずマネジメントキーを登録する。

yubico-piv-tool -a set-mgm-key -n (16進数48文字)

すでにマネジメントキーが登録されている場合は、-kオプションのあとに既存のキーを書く。不思議なのは、-kオプションの後にスペースをおいてキーを指定してもうまく動かない。オプションの後のスペースはあってもなくてもいいのだが、kオプションだけはなぜかスペースがあるとうまく動かない。

yubico-piv-tool -a set-mgm-key -n (16進数48文字) -k(古いマネジメントキー)

次にPIN

yubico-piv-tool -a change-pin

デフォルトのPINは123456で、同じくデフォルトのPUKは12345678。

yubico-piv-tool -a change-puk

同じく変更する。

この辺のキーの変更はGUIツールのほうが使いやすい。(ただしGUIツールはなぜかPUKコードが変更できない。なんだか中途半端……)

あと、好みではあるが、リトライ回数を設定する。

yubico-piv-tool -a verify -P(PIN) -a pin-retries --pin-retries=15 --puk-retries=15 -k(mgm key)

秘密鍵の格納

PEM形式に変換した秘密鍵をyubikeyに格納する。yubico-piv-toolのマニュアル( https://www.yubico.com/wp-content/uploads/2016/05/Yubico_PIV_Tool_Command_Line_Guide_en.pdf )によるとyubikeyの証明書を保存する領域は9a,9c,9d,9eと4つあるようで、9aがPIV Authentication、9cがDigital Signature、9dがKey Management、9eが- Card Authenticationらしい。今回は9aに格納する。

yubico-piv-tool -a import-key -s 9a -i id_rsa.pem -K PEM -k(マネジメントキー)

公開鍵の自己署名証明書作成と格納

次に公開鍵を自己署名する。自分で作った秘密鍵の正当性をどのように担保するかについて、第三者にお墨付きをつけてもらう方法もあるが、今回の目的は他人に自分の秘密鍵の正当性を主張したいわけではないので、自分の秘密鍵の正当性は自分で担保する。これをwebでやるといわゆるオレオレ証明書になるやつだ。今回、yubkikeyはOSから見るとスマートカードとして見えるので、SSHの秘密鍵の対になる公開鍵を自己署名して、自己署名証明書を作り鍵ペアをyubikey内部においておく。まずは公開鍵の自己署名証明書から。

この操作は指定されたスロットに秘密鍵が入っていることが前提。秘密鍵を入れずにやってもエラーになる。

yubico-piv-tool -a verify-pin -a selfsign-certificate -s 9a -S "/CN=SSH/" -i id_rsa_pub.pem -o 9a-cert.pem --valid-days=(日数)

この操作にはPINコードが必要になる。Sオプションはx.509証明書の記述だ。最低限CN(Common Name)さえ入っておけば大丈夫だと思う。OSの証明書選択画面などで使われる名前だ。–valid-daysは証明書の有効期限で、指定しないとでおフォルトで365日となる。試しに1日で作ったのだが、2日経っても期限切れの証明書が使えた。本当に意味あるのか不安。

次に、この証明書をyubikeyに格納する。

yubico-piv-tool -a import-certificate -s 9a -i 9a-cert.pem -K PEM -k(マネジメントキー)

以上でyubikeyに対する操作は終了

yubico-piv-tool -a status

で証明書の状態を確認できる。

CHUIDの作成

普通は必要ないと思うが、実験などでハードウェアリセットをかけてしまうとCHUIDがなくなってしまう。ランダムでCHUIDを発行する必要がある。

yubico-piv-tool -a set-chuid -s 9a

その他

同じ手順で、ECDSA384bit鍵の登録を試みた。同じ鍵を複数鍵を登録することは不可能なので、スロット82に格納してみたいが、Windowsからだと証明書の一覧にECDSAの鍵が出てこない。スロット82だとダメなのかと思って、9aに入れてみたが、やっぱり出てこない。