悪霊にさいなまれる世界 -The Demon-Haunted World

30代独身機械系技術者が雑記/セキュリティ/資産運用なんかを書きます/PGP・GPG Key:D1BC 2E2A 76F4 509E 525E 5A3B E409 7C46 4976 EA5A

「みんなの自動翻訳@TexTra」を使い始めた

性能の良いDeepL翻訳に課金して使おうかな、と先日より考えていたところ、フォロアーからこんなツイートを紹介された。

えー、でもFirefoxアドオンのSinpleTranslateを使ってるから、そこで使えないとなー…などと思ってサイトをつらつらと見てみたところ、なんと公式でFirefoxアドオンを出している。これは使ってみるしかない。

Simple Translate | WebExtensions for translating text on web pages

便利アプリ - みんなの自動翻訳@TexTra®

さくさくとユーザ登録をして使ってみた。翻訳精度は高いが、Google翻訳やDeepL翻訳ほどのレスポンスはさすがに期待できない。とは言え個人的には気にならないし、せっかく税金で作ったツールなので当面使ってみようと思う。

なお注意点。標準設定では翻訳結果はサーバに普通に残される。残したくないならトップページ右上の「リサイクル」から設定を変更しておこう。

後々同じことを調べることは多々あるので、3ヶ月は長くても1週間か1ヶ月ぐらい残しておくと捗るかもしれない。いじょ

「ピアリング戦記 - インターネットを繋ぐ技術者たち」を読んだ

ピアリング戦記 ― 日本のインターネットを繋ぐ技術者たちwww.lambdanote.com宅内ネット環境を弄る関係上、TCP/IPとかは最低限の知識はあるけど、IXやAS、BGPとかは「聞いたことがある」レベルの知識しか無いので読んでみた。

日本で初めての商用IXであるJPIXの計画中、IIJの社長に相談に行ったら「日本にIXは不要。IIJがIXなんだから」と豪語されたと言うくだりはさすがにちょっと笑ってしまった。

「堂島問題」(大阪は堂島のNTTテレパークが関西のネットワークの中心なのだが、ビルが4つあるのに管理がNTTでも微妙に会社が違うとか、4つのビルの構内配線が困難だったとか色々あったらしい)とかへー、と思いつつ読んでたんだけど、一番驚いたのはIXと契約してBGPルータを物理的に接続しても、同じIXに繋がってる他の事業者とは個別に了承しないとピアにはならない、ということ。てっきり同じIX内なら相互に全部繋がってるんだと思ってた。

また、専用線の料金は距離だけで決まるわけではないので、近畿地方どころか中国地方や四国、九州からですら大阪に繋ぐより東京に直接繋いだ方が安い、と言う状況が最近まで続いてたらしい。東日本大震災とそれに伴うBCPがらみで大阪のピアリング拠点として地位が上がり、最近やっとトントンになったとか。

その他、近年のコンテンツプロバイダのCDNとの関係などについても色んな関係者のインタビューが載っていて、130ページ程度とページ数は少ないモノの内容は濃いのでオススメ。

 
 

 

 

メモ:UbuntuをアップグレードしたらTorレポジトリのapt-keyが非推奨の警告を吐くようになったので直した話

Torリレー用サーバにアクセスしたところ、"do-release-upgrade"出来るぞと言う表示が出ていたので、Focalこと20.04 LTSからJammyこと22.04 LTSにバージョンを上げてみた。するとapt updateしても以前指定したTor公式のレポジトリへアクセスを行わない

RaspberryPi 3B+に公式リポジトリを追加して最新のTorを入れてリレーノードを構築した - 悪霊にさいなまれる世界 -The Demon-Haunted World

調べてみると予想通り、/etc/apt/sources.listに追加しておいたリンクが自動で無効化されている(ご丁寧に"# disabled on upgrade to jammy"とコメントが追加されていた)。

行頭の#を削除してapt updateをすれば問題なくレポジトリにリクエストを投げるようになった…のだが、エラーメッセージを吐く。

曰く、"W: https://deb.torproject.org/torproject.org/dists/jammy/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details."とのこと。日本語でおk

調べてみたところ、前掲記事にもあるとおりTor公式レポジトリのgpg鍵はapt-keyで追加しているのだがこの機能が非推奨になり近いうちに削除されるらしい。なのでのでいつまでも古い機能を使ってんじゃない、と言うのがエラーの趣旨のようだ。

gihyo.jp

と言うわけで今のTor公式サイトを参考に鍵を新規に追加してみる。

Debian Repository | Tor Project | Support

今回は上の方は無視して"Why and how I can enable Tor Package Repository in Debian? ""3. Then add the gpg key used to sign the packages by running the following command at your command prompt:"を行えば良い。

wget -qO- https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --dearmor | tee /usr/share/keyrings/tor-archive-keyring.gpg >/dev/null

つまりwgetで公開鍵をダウンロードし、gpg -dearmorでASCII文字列をバイナリ化、しかる後に保存する…のだが、teeにsudoを付けないとPermission Deniedと言う非情なエラーが出るので留意されたい、と言うか出た。次は

sudo apt install tor deb.torproject.org-keyring

である。NEW packageとしてdeb.torproject.org-keyringをインストールするぞ、と言うメッセージが出るのでyを押して続行。最後にapt updateを行いさっきのエラーメッセージが出ないことを確認すれば完了である。

メモ:unboundを入れたらsystemd-resolvedをちゃんと無効化しないといけない件

science-as-a-candle-in-the-dark.hatenablog.com

サーバを再起動したところ再度Overloadが出るのではてな?と思いsyslogをよく確認してみたところエラーが出てた。曰く、

unbound[3942]: [1657868920] unbound[3942:0] error: can't bind socket: Address already in use for 0.0.0.0 port 53
unbound[3942]: [1657868920] unbound[3942:0] fatal error: could not open ports
systemd[1]: unbound.service: Failed with result 'exit-code'.
systemd[1]: unbound.service: Scheduled restart job, restart counter is at 1.

とある。つまり53/tcpが既に使われててunboundが起動できてない。どうやら先の設定では再起動するとsystemd-resolvedも起動する様子。よく考えるとstopしてるだけだしね。そう言う訳で無効化する。

sudo systemctl disable systemd-resolved

これで再起動したところおおむね問題なさげ。以上

立てているTor relay nodeがOverloadしたので対策した

TL,DR; 名前解決でOverloadしているのでsystemd-resolvedではなくUnboundを入れた。

自前で立ててるサーバをTorのリレーノードにしていることは何度か紹介したが、先日Relay Searchでチェックしてみるとノード名の後ろにオレンジの丸と、"This relay is overloaded"の文字が。

f:id:scienceasacandleinthedark:20220219191921p:plain

適当に選んだOverloadしているリレーのスクショ

articleを読め、と言うので読んでみる。基本的にTCPポートが足りなくなっているか、DNSタイムアウトしているかのいずれからしい。どちらが問題か切り分けるのがセオリーである。

My relay or bridge is overloaded what does this mean? | Tor Project | Supporto

まずはlsofコマンドで、Torがポートをどれほど使っているか確認してみる。オプションの意味は適当に検索されたい。

sudo lsof -a -iTCP -n -c tor -P

f:id:scienceasacandleinthedark:20220219192802p:plain

Torの接続数

結論としてTorの接続数は高々5000程度で、少なくはないが溢れるほどではない(net.ipv4.ip_local_port_rangeのデフォルト値が32768 65000なので、接続数は3万程度は問題ないはずである)

となるとDNSの名前解決が問題になってそうである。確かに普通にapt updateをして見てもレポジトリの名前解決に失敗することが頻発する。

Torリレー用のサーバはUbuntuなので、デフォルトでは名前解決にsystemd-resolvedが使われている。前述のTor公式ではtimeoutの設定を変えてみるように記載されているが、試しにtimeout:3(デフォルトは5)などにしても変わりは無かった。

と言うわけでsystemd-resolvedからUnboundに変更してみる。これは以前の記事を参考にされたい。今回はIPv6云々は関係ないのでインストールして設定するだけで十分である…が、インストール後にsystemd-resolvedを停止してUnboundを再起動する必要がある。

RaspberryPiにUnboundを入れたけど、IPv4/v6デュアルスタックだとv6のDNSサーバに出来なかった件 - 悪霊にさいなまれる世界 -The Demon-Haunted World

sudo systemctl stop systemd-resolved
sudo systemctl restart unbound.service

nslookup等で正常に動作することを確認する。これでしばらく様子を見たところ、ノードの名前の後ろの丸が緑になり、Overloadの表示も消えた。一件落着である。

雑記:最近買ったモノ

たまには買ったモノを書いておく。

  • 広栄社 クリアデント 歯垢染色錠 12錠入

www.cleardent.co.jp  小学校とかでたまに使わされるヤツ。電動歯ブラシを使ってるんだけど、本当に歯垢が取れているのか結構気になっていたので使ってみたところ、それなりに取れているのが確認できたので満足。ただし、歯と歯のすき間なんかはやはり難しいので、定期的に歯石を取りに歯医者には行こう。

www.nexcare.jp 新品の靴を買ったら靴ずれが出来てめっちゃクチャ痛いので慌てて購入。こんな薄いテープ一枚を貼るだけで全然靴ずれが出来ない。いつだって科学が勝利してきた。

kc.kodansha.co.jp 最近コミカライズが進むFGOシリーズの中でも、イラストの質、ストーリー、スタックサーバントまでちゃんと活用してて、マスターがマスターをちゃんとやってるのでほぼほぼベストの作品。全巻買え。

 今回はとりあえずこれぐらいにしておく。

「ログを一切取らない」と謳っていたVPNサービスから、2000万件を超える個人情報が流出した件

完全に笑い話。

www.hackread.comwww.privateinternetaccess.com

香港を拠点とする"UFO VPN"なるサービス、この手のVPNではよくある「No Log Policy」(ログは一切取らない)を掲げてたにもかかわらず、ログどころかユーザ名・平文パスワード・IPアドレス・接続先・タイムスタンプ諸々が保存されていて、これが流出した。

しかも、発覚したきっかけは、VPNMenterと言う調査サービスがElasticsearchクラスタに894GBのデータベースがパスワード無しで保存されていたのを発見したこと、というアボガドバナナかと案件。

ほかにも"FAST VPN", "FREE VPN", "Super VPN", "Flash VPN", "Rabbit VPN"と言うサービスのデータも含まれていたが、どうやらサービスの名前だけ違って全て同じアプリを使っていた模様。

今までも「ログは取りません」と謳ってたVPNサービスがFBIにログを提出していた、とかそう言う事件もあった(「そもそも月数ドル払うだけで、会社が法的リスクを背負ってくれると本気で思ってるのか?」と言う根本的な疑問がある)ので、わざわざおカネを払ってサードパーティVPNを利用する意味が本当にあるのか、よく検討が必要だろう。