firewalldで即時止める

centos

fail2banは動かしている。

特に目立つIPアドレスがあって、即時止めたかったので調べて止めた。

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="80.xx.xx.xxx" drop'

firewall-cmd --reload

自作メールサーバからiPhoneでメールが受信できない

dovecot+postfixのメールサーバが２台ある。

iPhoneでメールの送受信ができる。

dkimとかなんとかも設定している。

iPhoneが２台あるので、2台目でも受信できるようにしようとアカウントを設定した。

CA証明書もメールで送りインストールした。

しかし、2台目のiPhoneでだけ受信できない。

CA証明書が違うものか？と思って有効期限やシリアルを見て同じであることを確認した。

サーバで拒否している？fail2banで落としている？

が、firewall-cmdやfail2banで落としているかどうかもパッとわからない。

tcpdumpしてみる。

受信できる方は自宅のwifiにつなぎ、できないほうはwifiを切ってIPが変わるようにする。

それぞれのIPアドレスを確認し（いわゆる確認君の自作版で）、tcpdumpしてみると、

どちらからもサーバへのアクセスがある。

/var/log/maillog をtail -f で見る。

不正アクセスというか、ブルートフォースアタックというか、いたずらなのか、認証失敗アクセスが大量に来ている。

その中に自分のiPhoneのログもあった。

Mar 13 03:16:59 hogehoge dovecot[862]: imap-login: Disconnected: Connection closed: SSL_accept() failed: error:0A000416:SSL routines::ssl/tls alert certificate unknown: SSL alert number 46 (no auth attempts in 0 secs): user=<>, rip=49.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, TLS handshaking: SSL_accept() failed: error:0A000416:SSL routines::ssl/tls alert certificate unknown: SSL alert number 46, session=<cBUowtdMuuUxbXwH>

証明書がどうこう書いている。certificate unknown

証明書が不明、信頼できない、ということのようである。

証明書を見るのはクライアントである。クライアントがサーバの証明書を見る。それを信頼するためにサーバ証明書を発行（署名）したCA証明書をインストールしたのだ。

なのに、信頼できないと言っている。

copilotにこのログを投げつけ、いくつか情報を補足すると原因がわかった。

CA証明書はiPhoneにインストールしただけではだめで、

設定→一般→情報→証明書信頼設定　で、「ルート証明書を全面的に信頼」をオンにしなければならない。

PowerEdge R620にproxmoxをいれてCMLを動かす

ディスクは5枚入っているが使っているのは2枚だけ。

2枚でVIrtualDiskを作っている。どうやってやったかよく覚えていなかったが、OSではなくその前でやる必要があったことだけは覚えていた。

調べると、iDRACとかではなく、BIOS、起動するときにF2を押してはいるメニューでやることがわかった。

HDD2枚でVirtualDiskの2組目を作り、残り1枚のSSDでVirtualDiskの3つ目を作る。これは1枚だけだ。1枚でもVirtualDiskを作らないと使えないのだろうか？ハードウェア的には認識されていたのだが、OSインストール時にターゲット選択の対象として表示されていなかったが、VDを作ったら出てきた。

いつも使っていたVD1にはubuntuが入っていたが、やっぱりproxmoxを使いたくなりインストールした。新しく作ったVD2に入れて再起動するとVD1にインストールされているubuntuが起動した。

よそ見をしていたので、ブートするOSの選択が出るのかなともう一度再起動したが選択画面は表示されずにubuntuが起動した。

ただ、proxmoxのインストール時に3つのVDが選べたので、たぶん何かすればVD2からproxmoxを起動するようにできそうだったが、めんどくさいのでVD1にproxmoxを入れなおした。

後日

CMLの必要なファイルをダウンロードする。

本体と、refplat。refplatは２つある。

zipで固められているので解凍してisoファイルをproxmoxにアップロードする。

ここからはesxiと同じ感じ。まあ、調べればいろんな人が（といってもproxmoxの情報はそれほど多くないが）情報を提供してくれているのでそれを参考にする。

CML自体のインストールをする。

以前はsysadminとadminで同じパスワードが設定できなかったが今はできるようになった。

この時注意するのはキーボードレイアウトが英語になっていることだ。（キーボードタイプをどこかで設定すればいいのだろうが）

@ のつもりが [ とかになるので気を付ける。

refplatの内容をコピーしようとしたら、空き容量がないと言われる。

おかしいな。そんなに容量は必要ないと思ったけど。今までにそんなエラーになったことはない。

仮想マシンを作り直す。ディスクの設定を間違えていたかもしれない。

refplatをコピーするときは仮想マシンの外部ドライブにisoファイルを指定して起動し、:9090でcockpitにアクセスしておこなう。

refplatは入ったがsupplementalでやっぱり容量不足になる。

でもあと数GBのようなので、ディスク容量を目いっぱい取ってもう一回やる。

やっぱり足りない。ログを見るとavilable disk spaceが必要な容量より小さく、その容量が小さすぎる。1TB以上あるはずなのに。

おかしいなと思いcockpitで見ると、CMLで使っているディスク容量が数十GBしかなく、使い切っている。

こんなこと今までやったことなかったのだが、ストレージメニューでごちょごちょやって容量を増やした。なんかよくわからないのだが調べたり適当にやって増やした。

ようやくrefplatとrefplat supplementのファイルをコピーでき、やっとnodeにルータ等が出てきた。

ライセンスを登録した。これでしばらくCMLが使える....

LPIC305

参考書：インプレス「徹底攻略　LPICレベル３[305] 教科書&問題集」

あとping-tのプレミアムコンテンツ（１か月）

準備期間：約2ヶ月、実際の勉強時間は30時間程度か？

得点：630(800点満点、合格点500点）

簡単な部類に入るだろう。実機演習と言えるほどのことはしていない。

参考書は1回一通りよんで、章末の問題はテキストを見ながら答えた。

模擬試験2回分は1回目はテキストを読みながら答えた後、ping-tをやった。

ping-tはとりあえず全部コンボにして、不安があったのでそのあとも何回か繰り返す。

だがこれ以上やっても無駄だし必要もないと思い、ある程度で終わりにして

模擬試験を普通にやる。2回分とも7割程度の正解率。

これも何周もやる必要はないなと思い、受験する。

受験日を忘れてしまい、開始時刻を2時間くらい過ぎてから気づいたが電話すると今日中に来て席が空いていれば受験できるとのことで、行くと普通に受験できた。

試験の難易度は参考書やping-tよりちょっと難しいというか知らないコマンドなどが出てきたりしたが、それほど面食らうというほどではなく、簡単な問題もけっこうあった。

60問、90分

一通り解き終わって55分余っていた。

「後で確認」マークをつけた問題を見直すが、ほとんど変えることはなかった。

また、この試験はわかるものはわかるし、わからないものは時間をかけて考えてもわからない。

何度か見直して、たぶん大丈夫だろうと思って終了した。時間は見ていなかったがたぶん20分くらい余っていたのではないか。

合格してもあまりうれしくない。linuxの仮想化について高度な知識や技術を持っています、などとは決して言えない。むしろ、『俺は何にも知らないな』という自覚を強くしただけである。

また、『こんな試験とってなんの意味があるのか』という虚しさも感じた。

次は何にしようか。

CCNPの更新はまだまだだと思っていたがあと1年しかなかった。

PROXMOXでCMLを動かす

 ESXiが個人で買えなくなってしまったようだ。

無償版が使えるのだが数か月（3ヵ月？）でライセンスが失効してしまう。再インストールすれば使えるようになるがめんどくさい。

PROXMOXというものを使ってみる。フリーだ。

ネットやcopilotなどで調べつつインストールする。

少しゴタゴタしたが、無事インストールできて起動した。

VMの設定

Memory: 64GB

CPU: 2sockets x 12 cores = 24 type: host

BIOS: OVMF (UEFI)

Machine: Default(i440fx)

Hard Disk: 500GB

Network bridge=vmbr0, e1000

ライセンスを登録

refplatをディスクに設定しなおしてCMLを再起動

:9090 でアクセスし sysadmin でログイン

パスワードの"@"が"["になっていた

refpatの内容をコピー

ライセンスが out of complianceになっている。

いったんderegisterして再登録で直る。

簿記3級

3 度目にしてようやく合格した。

勉強期間は10/22～12/7、時間でいうと108時間32分。時間を日数で割ると４時間弱だが、平日は２～３時間、土日に少し長めに、５，６時間くらいやった。

過去２回はたぶん、それぞれ２０時間くらいしかやっていなかったと思う。

簿記３級なんて簡単でしょ、７０点ならなんとかなるでしょ、となめていたら全然歯が立たなかったので、今回は絶対に受かる、と本腰をいれた。

excelに予定と実績を書いて、間違った内容などを記録し、ちょっとした自作の参考書ができた。

仕事が暇かつ在宅勤務なので、仕事時間中に勉強できた。今までの資格試験で、こんなにやったことはない、というくらいやった気がする。

試験はCBT。

使用テキスト

・いちばんわかる日商簿記3級の教科書　第2版（CPA出版）

・合格するための本試験問題集2025年AW（秋冬）対策（TAC出版）

・合格トレーニング日商簿記3級 ver14.0（TAC出版）※未実施の半分

「合格トレーニング」は、前回受験時に使用し、後半半分くらい未実施だったものの、残りをやった。

youtubeの動画は適当に流し見たが、それで勉強する、という感じではなかった。

教科書を読む→本試験問題集実施→間違いの復習→間違った問題のみ再実施

→再度間違えた問題の復習→本試験問題集再実施

本試験問題集再実施で平均90点くらいとれるようになったところで、受験予定日を1週間早めて受験した。

絶対に落ちっこない、というくらい自信があったが、受けてみたら78点で危なかった。

大問１は満点、大２が9点、大３が24点。

間違ったところはだいたいわかる。

誤算の一つは、ずっと紙に書いて解いていたが、CBTなので問題用紙に書き込めない。

そのことは試験前日くらいに気づいた。ずっと、手で書くよりキーボードで選んで数字を打つ方が速い、と思っていたのだが、問題用紙に書き込めないことは、特に大問３で戸惑った。

そこで、いつもやらないメモ用紙にTフォームを書いてやった。本当は普段からそうすべきだったのかと、当日になって思う。

簿記は特に必要なわけではない。

確定申告をするときも、とくに簿記の知識はなくても、国税庁の確定申告作成サイトや会計ソフトを使えばできる。

ただ、いかに今までの確定申告がいい加減だったかはよくわかった。

あと、簿記の考え方は、直接関係ないことでも役立つと感じた。

簿記とは、簡単に言えばミスを防ぐ仕組みだと思う。

ひとつひとつの処理（仕訳）で貸借が合っていれば、合計したときにも必ず貸借が合うはず。

何かが増えれば何かが減る。発生した時点でそれを処理する。

そういう考えは仕事をしているときに、会計でなくても、採用できる考えだと思った。

簿記の勉強をすることはあまり苦痛ではなく、なんだか頭がスッキリして気持ちいいとさえ感じた。

TOEICとか、IT系の試験とかではなかったことだ。

openssl事例集

openssl.cnfを探す

#find / -name openssl.cnf

/etc/pki/CA/gomibako/openssl.cnf

/etc/pki/tls/openssl.cnf

/etc/ssl/openssl.cnf

/usr/lib/dracut/modules.d/01fips/openssl.cnf

#csrの内容確認

openssl req -in postfix.csr -text -noout

証明書の内容確認

openssl x509 -in monqy.postfix.pem.251213 -text -noout

#postfix用のcsrを作成

openssl req -new -key ./postfix.key -out ./postfix.csr.251213 -extfile ./server.ext

# cat server.ext

[ v3_server ]

basicConstraints = critical, CA:false

keyUsage = digitalSignature, keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectKeyIdentifier = hash

authorityKeyIdentifier = keyid,issuer

subjectAltName = DNS:mail.monqy.net

csr（メールサーバ）用

[ v3_req ]

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = mail.monqy.net

ca用

[ v3_ca ]

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid:always,issuer

basicConstraints = critical,CA:true

#CAによる署名

openssl ca -in ./server.csr -keyfile ./private/cakey.pem -cert ./cacert.pem -out ./server.pem -extfile ./myext.txt

#revoke

openssl ca -revoke ./newcerts/06.pem

#pkcs12でエクスポート

openssl pkcs12 -export -out ./server.pfx -inkey ./serverkey.pem -in ./server.pem