モーグルとカバとパウダーの日記 このページをアンテナに追加 RSSフィード Twitter

モーグルやカバ(EXカービングスキー)、山スキー(BC)の山行記録などがメインの日記です。
いろんな条件のいろんなところを、その時々の条件にあった滑り方で楽しむ、フリースキーをして遊んでいます。

検索で来られた方は、上の検索窓から再度検索していただくか、右サイドバーのカテゴリーやトピックスの項目で絞り込んでみてください。
仕事柄、コンピュータ系のネタも多いので、スキー関連ネタだけ読みたい方は[ski]、コンピュータ関連ネタは[pc]、スパム関連ネタは[spam]で絞り込んでください。

2018-04-04 (Wed)

[]htaccessでBASIC認証掛けてあるが特定ファイルのみアクセス許可する htaccessでBASIC認証掛けてあるが特定ファイルのみアクセス許可するを含むブックマーク htaccessでBASIC認証掛けてあるが特定ファイルのみアクセス許可するのブックマークコメント

apache上のWordpressで管理画面ディレクトリBASIC認証が掛けているのですが、テーマから wp-admin/admin-ajax.php を呼ばれているため除外する必要がありました。


これを普通に.htaccess

<Files admin-ajax.php>
    Order allow,deny
    Allow from all
</Files>

と追記しても、結局BASIC認証のほうで引っかかってしまうためうまくいきません。


BASIC認証で特定のファイルを除外する方法を調べました。

.htaccessで特定のファイルやディレクトリのみBASIC認証を解除する | ザ サイベース

この場合「Satisfy any」指定を追加して、この条件のみでもallowするようにすればうまくいくようです。

<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

ちなみにこの設定は、そのままWordPressの公式にも案内がありました。

ブルートフォース攻撃 - WordPress Codex 日本語版


あと余談ですが「allow,deny」の間にスペース入れるとエラーになるんですよね。

ちょっとハマりました。

Order指示子のdenyとallowをカンマで並べる時、間に空白を入れてはいけない。 - ぐらめぬ・ぜぷつぇんのはてダ


このへんのSatisfyとかallow,denyの順番のこととかは、下記ページにまとまっていて大変参考になります。

Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記

トラックバック - http://d.hatena.ne.jp/stealthinu/20180404

2018-03-27 (Tue)

[]ダウンローダダウンロードのリクエストが二重に出ていた理由 ダウンローダでダウンロードのリクエストが二重に出ていた理由を含むブックマーク ダウンローダでダウンロードのリクエストが二重に出ていた理由のブックマークコメント

CMS用に独自のダウンローダが作ってあり、なぜかダウンロードのリクエストが毎回二重に行われる(そして大きなファイルだとそのせいで負荷が増えてしまう)という問題がありました。


非常に謎な動作だったのですが、理由は

  • Rangeには対応していないのにAccept-Range付けていた
  • Edgeのバグ

という2つの理由でした。理由も二重と。


Rangeには対応していないのにAccept-Range付けていた

HTTPではリクエストで「Range」ヘッダを指定すると、ファイルを部分的にGETすることができます。

例えば

Range: bytes=1000-2000

のように指定すると、該当ファイルの1000byteから2000byteを取得できます。

つまり分割ダウンロードが可能になっています。


ただこれは下記のように、レスポンスの「Accept-Ranges」ヘッダに「bytes」が指定されていて、ファイルが部分的GET可能であることが示されている必要があります。

Accept-Ranges: bytes


このダウンローダでは分割ダウンロード(部分的GET)に対応していないのに、この「Accept-Ranges」が設定されてしまっており、それを見てブラウザが分割ダウンロードをしようとしてきていました。

複数のGETにはそれぞれ「Range」が指定されていたのですが、ダウンローダ側は対応していないため、毎回大きなファイルを全部返してしまっていた、というわけです。


たぶん、ダウンローダを書いた人が参考にしたコードはRange対応になっていたのでしょうが、「Accept-Ranges」の意味を確認せずにそのままコピーしてしまってしまったのではないか、と思います。


Edgeのバグ

EdgeだとPDFダウンロードリクエストが二重に出てしまう件について、バグらしいということが報告されていました。

https://stackoverflow.com/questions/31850624/microsoft-edge-pdf-inline-issue-same-issue-again

  • Probelm with Edge and ContentType="application/pdf" And content-disposition "inline;filename=report.pdf" | Microsoft Connect

https://connect.microsoft.com/IE/feedback/details/1621308/probelm-with-edge-and-contenttype-application-pdf-and-content-disposition-inline-filename-report-pdf

https://developer.microsoft.com/en-us/microsoft-edge/platform/issues/7045462/

https://stackoverflow.com/questions/30918543/microsoft-edge-pdf-inline-issue


簡単にまとめると

  • EdgeでPDFのファイルをダウンロードしようとすると二重にリクエストがくる
  • 二回目のダウンロードではヘッダにGetContentFeatures.DLNA.ORGが付いてる
  • 一度直った(build 10158 2015/7頃)が再発(build 10240 2016/3頃)した

ということだそうです。

トラックバック - http://d.hatena.ne.jp/stealthinu/20180327

2018-02-28 (Wed)

[]ESXiのブラウザコンソールで「:」とかが入力出来ない問題 ESXiのブラウザコンソールで「:」とかが入力出来ない問題を含むブックマーク ESXiのブラウザコンソールで「:」とかが入力出来ない問題のブックマークコメント

ネットワーク含めたテスト環境を構築するため、ESXiでネットワークVMの環境を構築していました。

そこでVM上で動かしてるCentOSの設定ファイルを、ブラウザコンソールからviで編集している時、「:」がどうしても入力できなくてはまりました。

入力される文字からして英語キーボードとして認識されてるのはわかったのですが、どうやって抜けたものか…


実はブラウザコンソールウィンドウの右上に、国旗アイコンがあるのですね。

英語キーボードだとアメリカ国旗になっています。これをクリックするといくつか国旗が出てくるのでそれを日本の国旗を選べばOKです。


ただ、これだとデフォルトキーボード設定は変わらないので、VM毎に設定しないといけないと思います。

ESXiのウインドウ上部に「root@192.168.0.1」みたいに今ログインしているアカウント情報を表示しているところがあり、ここをクリックするとESXiの設定を変更出来るところがあります。

設定→コンソール→キーボードレイアウト→英語

となっているところを「日本語」を選択すると、デフォルトで日本語キーボードになります。

トラックバック - http://d.hatena.ne.jp/stealthinu/20180228

2018-01-31 (Wed)

[][]「SQLアンチパターン」読書会スペシャルに参加しました 「SQLアンチパターン」読書会スペシャルに参加しましたを含むブックマーク 「SQLアンチパターン」読書会スペシャルに参加しましたのブックマークコメント

1/27にGeeklab長野で行われた「SQLアンチパターン」読書会スペシャルに参加してきました。

「SQLアンチパターン」読書会スペシャル - connpass


内容や感想については @thinkAmi さんの

「SQLアンチパターン」読書会スペシャルに参加しました #nseg #glnagano #sqlap - メモ的な思考的な

が超まとまっていておすすめです。


ので、とりあえず自分はtogettertweetまとめました。

「SQLアンチパターン」読書会スペシャルまとめ - Togetter

勉強会の雰囲気をつかめるかと思います。


詳細については@thinkAmiさんのまとめ参照してもらうとして、twadaさんのお話で自分が一番感銘受けたのは、こういった機会に書かれている内容を現在の状況に合わせて見直されているというところでした。

例えば2.4章で、RDB木構造を表現する時ナイーブツリーはアンチパターンとなっていますが、CTEが使えれば使ってもよく(これは本書のアンチパターンを用いても良い場合にも元々書かれている)以前は利用できなかったMySQLSQLiteでも新しいバージョンではCTEが利用できるため、今後はアンチパターンから外すべきだろうとのことでした。


これは本の内容についての話ですが、システム開発でも、本来修正した方が良いところの構造を変えず、古い旅館よろしく継ぎ足し継ぎ足しでなんとか拡張延命させていくと、気がついたときには時代遅れのもう誰も根本的改善のできない恐竜システムとなってしまうことがあります。

そんなシステムは、使わされるユーザも、作らされる開発者にとっても、誰も幸福にならないと思います。

日々改善、リファクタリングをしていけるシステムを作りたいものです。

トラックバック - http://d.hatena.ne.jp/stealthinu/20180131

2018-01-22 (Mon)

[]EC2でのMeltdown/Spectreパッチでの性能低下 EC2でのMeltdown/Spectreパッチでの性能低下を含むブックマーク EC2でのMeltdown/Spectreパッチでの性能低下のブックマークコメント

AWS EC2で動いるシステムが、1月4日のMeltdown/Spectreパッチ適用以降すごくパフォーマンスが落ち、その影響でシステム障害が発生しました。

そのとき、twitterFaceBookで情報いただいた件を簡単にまとめます。


EC2m1.medium)上で動いている非常にDBヘビーな商用CMSがあり、年明け後そのCMSMySQLへのセッション数が溢れてしまうことが原因でシステム障害が発生していました。

調査すると1月4日以降、MySQLで域値を0.1sに設定してあるslow-queryの発生数が何倍にも増えていることがわかり、少なくともMySQLのパフォーマンス低下があることがわかりました。

1月4日にはEC2計画再起動が行われており、これはMeltdown/Spectreパッチ適用によるものでした。


そのため、パッチ適用前と後のDB処理速度を数値的に比較できるものがないか探してみました。

MySQLのslow-queryのログに、毎日定期で重いバッチクエリのものが出ていたため、この処理時間の変動である程度比較できるのではと考えました。

そこで以下のように、4つの重いバッチクエリに対して、パッチ適用前後5日のクエリ処理時間平均を算出しました。

   適用前   適用後   倍率
A  226.26s  375.06s  1.66倍
B  110.09s  210.94s  1.92倍
C   30.68s   56.83s  1.85倍
D   23.18s   74.56s  3.21倍

1.6から3.2倍となっており、少なくともこれらのクエリについては2倍弱は遅くなっている感じがわかりました。


この結果から、twitterFaceBookで同様の状況になっている方がいないか聞いたところ、何人もの方から同じような状況だったり、そのためにインスタンスタイプを変更されているとのお話をうかがいました。

どうもEC2の旧世代PV方式インスタンスのものだと、特に今回のMeltdownパッチの影響を大きく受けるようで、少なくとも20%程度、RDBだとそれ以上の速度低下があるようです。

Auroraでは6割から7割程度までにパフォーマンスが下がっているというレポートもあり、それはこの障害で出ている状況とも感覚的に一致していました。

ただt2インスタンスなど、新しいHVM方式のものだと性能も上がっているうえ、パッチの影響によるパフォーマンス低下も少ないため、問題が起きないようです。


(参考)

MeltdownとかSpectreとか騒ぎがあったので、Amazon Aurora(MySQL互換)R4インスタンス再テスト(mysqlslap) - Qiita

Auroraでのパフォーマンスが63%〜73%程度に落ちていることがレポートされています。

投機実行の脆弱性修正、Haswell世代以前では性能への影響大 〜I/O集中型アプリケーションを利用するサーバーは慎重な選択を。AMDはほぼ影響受けず - PC Watch

Haswell世代以前の古いCPUのほうが影響を受けることが指摘されています。


ただし、AWSの公式見解としてはMeltdown/Spectreでの性能低下はほとんどなかった、という立場のようです。

AWSもSpectreとMeltdownの対策完了を報告。対策後、Amazon EC2で性能の低下は見られないと − Publickey


そのため、インスタンスタイプを

m1.medium → t2.medium

に載せなおすのが最善策ではないかという結論になりました。


PV方式のインスタンスからHVM方式のインスタンスへの載せ替えについて、下記エントリ

AWS EC2のインスタンスが新年早々各地で起動しなくなる可能性がある件 - 株式会社アクシア

に、EBSをほぼそのまま付けなおして移行する手法が、ある程度詳しく書かれていました。

HVM方式が始まったあたりにPV→HVMへの移行について書いてあるものは、変換が必要だったりともっと手数が掛かって大変なものが多いので、この手法が良さそうに思います。

ただ、bootのコピーなどの詳細までは書かれていないので、多少実験して経験を積んでから行ったほうが安全そうです。


先日twitterFaceBookで情報やアドバイスいただいた皆様、ありがとうございました。

トラックバック - http://d.hatena.ne.jp/stealthinu/20180122

2017-12-15 (Fri)

[]MySQL-5.1からMariaDB-5.5へのアカウント情報の移行 MySQL-5.1からMariaDB-5.5へのアカウント情報の移行を含むブックマーク MySQL-5.1からMariaDB-5.5へのアカウント情報の移行のブックマークコメント

CentOS6系からCentOS7系への移行案件があり、そこでMySQL-5.1からMariaDB-5.5への移行を行う必要がありました。

他にも色々と変わる部分があるため、一旦動作テスト用のサーバを作って確認することになり、データの移行を行いました。

そのとき、アカウント情報の移行ではまったのでメモしときます。


まずアカウント情報は普通にフルダンプしても取れないため、下記のようにmysqlテーブルを指定して取ります

正式移行の際には -x オプション付けてロックしたほうがよいでしょう。

# mysqldump -u root -p --allow-keywords mysql > user_dump.sql

その後、テスト用サーバにコピーしてリストアします。

# mysql -u root -p mysql < user_dump.sql

自分はもうこれだけでいいのかな、と思っていたのですが、これだけだと認証が通りませんでした。

まずバージョンが上がっているため、mysql_upgradeを掛ける必要があるそうです。

# mysql_upgrade -u root -p

また、移行元の環境はフロントのwwwサーバとバックエンドのdbサーバが分かれているのですが、テストサーバでは同一上で動かしているため、アカウントの接続元サーバ名の指定がそのままだと通らないので、クエリlocalhostに書き換えました。

が、それだけでは動かないで悩んでいたところ、flush privileges掛ける必要があると教えてもらいました。

update mysql.user set Host="localhost" where Host="www";
update mysql.db set Host="localhost" where Host="www";
flush privileges;

これで無事に動くようになりました。

とみたさんありがとうございます!!

トラックバック - http://d.hatena.ne.jp/stealthinu/20171215

2017-12-08 (Fri)

[]pearでXML_RPCのインストールに失敗する pearでXML_RPCのインストールに失敗するを含むブックマーク pearでXML_RPCのインストールに失敗するのブックマークコメント

とあるWebサーバのリプレース案件PHP環境の移行準備をしていたのですが、pearでXML_RPCを入れようとするとこんな感じにエラーが出てインストールできない問題が起きました。

# pear install XML_RPC

…略…

Could not download from "https://de.pear.php.net/get/XML_RPC-1.5.5.tgz", cannot download "pear/XML_RPC" (Connection to `de.pear.php.net:443' failed: )

Error: cannot download "pear/XML_RPC"

Download failed


手で試してみるとこの「https://de.pear.php.net/get/XML_RPC-1.5.5.tgz」をダウンロードすることは可能なのですが、SSL証明書が2013/8/21で切れており、セキュリティ例外に追加しないと取得できませんでした。

たぶんそのせいでダウンロードに失敗するのだと思います。


そこで下記のように、curlで一度tgzファイルをダウンロードし、ダウンロードしたファイルを使ってpearインストールすることで、無事インストールすることができました。

curl -k -O https://de.pear.php.net/get/XML_RPC-1.5.5.tgz

pear install XML_RPC-1.5.5.tgz


まあ今となってはpearでXML_RPCを入れたいという需要は少ないとは思いますが。

トラックバック - http://d.hatena.ne.jp/stealthinu/20171208

2017-11-18 (Sat)

[][]nseg94で「障害対応の失敗事例から学ぶこと」というLTをしました nseg94で「障害対応の失敗事例から学ぶこと」というLTをしましたを含むブックマーク nseg94で「障害対応の失敗事例から学ぶこと」というLTをしましたのブックマークコメント

久しぶりにnseg(長野のIT勉強会)に参加させていただき、LT大会だったので、LTもさせていただきました。


NSEG94

https://nseg.connpass.com/event/69877/


ETロボコンGoogle Homeプログラミングなど、自分はまだ触ったことないような新しいことの発表が多く、刺激を受けました。

やっぱり技術者は常に新しいものを触っておかないとダメですね…


あと、以前やったディープラーニングハンズオンに参加していただいた方と久しぶりに会って、ディープラーニング系の話が出来たりして楽しかったです。

最近は記事や本を読むくらいで、実際に動かして試すとかしてなかったので、また再開せねばと思いました。

もくもく会みたいなのやろうかな。


自分のLTは「障害対応の失敗事例から学ぶこと」という題で、障害対応で起きた問題のその本当の原因は何か、そして自戒も含めて撤退戦にはどう対処するべきか、というような話をしました。

…というと、なんかちょっと生産的な話っぽく聞こえますが、すごく後ろ向きで救いのない話でした。

なので、資料も配信もありません。


ちなみに質問で@kotyさんから、そのJKは真の問題点について上長に指摘したのか?という話がでましたが、ちょっと僕の解答外してたなと思うところがありました。ので蛇足ながら追記します。

JKは手順書ではなくスクリプト自動化すべき、という提案をして、その際に今の技術者がいない状況では自動化しないと障害時に回らないから、という説明をしたらしいです。

(その時「この件は手順書の更新がされていなかったのが原因だ」という認識だったのでやる気が失せたそうです)

「対応できる技術者がいない」のが大元の問題である、というのは当然向こうもわかっているがそれはどうにもできない、ということで自動化の提案をしたそうです。

なので技術者を増やすべきだ、という提案はしていないそうです。


(追記)

ちなみに一つ前のエントリー

findで特定ディレクトリ以下のみを検索 - モーグルとカバとパウダーの日記

http://d.hatena.ne.jp/stealthinu/20171020/p1

がこの話関連だったりします。


@matchy3 さんが動画上げてくれてました。

長野のテック勉強会 #NSEG 94 フリーテーマプレゼン大会 - YouTube

トラックバック - http://d.hatena.ne.jp/stealthinu/20171118

2017-10-20 (Fri)

[]findで特定ディレクトリ以下のみを検索 findで特定ディレクトリ以下のみを検索を含むブックマーク findで特定ディレクトリ以下のみを検索のブックマークコメント

なにかで障害が起きて、メールスプールから障害時点以降のファイルだけを抽出したい、みたいなことって時々あると思うんです。てかよくありますよね!


そういう時は普通、findを使って抽出すると思いますが、Maildir形式で保存している場合、例えば

/var/mail/exampleuser/Maildir/dovecot.index
/var/mail/exampleuser/Maildir/maildirsize
/var/mail/exampleuser/Maildir/new/...
/var/mail/exampleuser/Maildir/cur/...
/var/mail/exampleuser/Maildir/tmp/...

のようなファイルとディレクトリ構成になっているとき、これを単純に

find /var/mail -mtime -5 -type f

とすると、検索したい対象は「Maildir/new/」と「Maildir/cur/」以下だけなのに、dovecot.indexとか、それ以外な不要なファイルが引っかかってくる可能性があります。

なので、検索するディレクトリを「Maildir/new/」と「Maildir/cur/」に絞りたいなと思いましたが、うまいことやる方法が思いつきませんでした。

というようなことをtweetすると、ふみやすさん @satoh_fumiyasuから -path オプションを使う方法を教えてもらいました。


find /var/mail \( -path '*/Maildir/new/*' -o -path '*/Maildir/cur/*' \) -mtime -5 -type f

findの使い方が解説してあるページでも「-pathオプションについて記述してるところ少なくて、とりあえずgnu findtuilsのmanページ

https://linuxjm.osdn.jp/html/GNU_findutils/man1/find.1.html


自分はこのtweet間に合わなくて、結局一旦textに吐いてからgrepで除去してやりました。

メールスプールに対してfind掛けるような行為はとにかくファイル数が多くて、すげえ時間がかかって泣けますね…

2017-10-11 (Wed)

[]httpsのサイトがChromeのみ「このサイトへの接続は完全には保護されていません」と言われる httpsのサイトがChromeのみ「このサイトへの接続は完全には保護されていません」と言われるを含むブックマーク httpsのサイトがChromeのみ「このサイトへの接続は完全には保護されていません」と言われるのブックマークコメント

httpsのページだとURLの横のところに、保護されたページであることを示す「緑の鍵」マークが表示されるようになります。


とあるページをChromeで見ると、httpsのページなのですが「緑の鍵マーク」ではなく、「灰色の(i)マーク」となっており、ここをクリックすると

このサイトへの接続は完全には保護されていません

と表示されるものがありました。


ただ、FirefoxIEで見ると問題がなく保護されたページとして表示されていました。


ChromeのDeveloper ToolsでSecurityタグを確認したところ

Non-secure form

The page includes a form with a non-secure "action" attribute.

と書かれていました。


そこでHTMLソースを確認すると

<form name="tmp_gsearch" action="http://example.jp/search/result.html">

となっているところがありました。


Chromeの場合、ここで「action」に指定されている先が「https」ではなく「http」のため、この表示が出てしまうようです。

つまり、現在危ないのではないけど、ここからなにか操作したら漏れるから危険、ということですね。

トラックバック - http://d.hatena.ne.jp/stealthinu/20171011