cles::blog

僕がファイルサーバに ZFS を使っているのは、ネットワーク越しにスナップショット転送ができるからと言っても過言ではありません。
しかも差分転送に対応しているので、ファイルが膨大に入っていても rsync などのように重くなるということがありません。

• ZFS データを送信および受信する - Oracle Solaris ZFS 管理ガイド

問題はこのスナップショットを定期的に作成したり、転送するためのジョブをいちいち書く必要があること。
これまではサーバを立てる度にスクリプトを手作りしていたのですが、いい加減面倒になってきたので、汎用的なものを作成してみました。

• hsur/ZFSSnapUtil: ZFS Snapshot Transfer Utility Script

このスクリプトを使えばいちいちスナップショットの名前を調べたりする必要なくリモートにボリュームのコピーが作れるようになります。

Google が「Guetzli」という新しい JPEG エンコーダーを公開していたのでさっそく試してみました。
公式ブログの解説と、GitHub のリポジトリは以下にあります。

• Research Blog: Announcing Guetzli: A New Open Source JPEG Encoder
• google/guetzli: Perceptual JPEG encoder

† インストール方法は

手っ取り早く試したいという場合には Releases にアップロードされているコンパイル済みのバイナリを使うのが楽です。
インストール方法は 64bit 版 Linux の場合には guetzli_linux_x86-64 を適当な場所 （例えば /usr/local/bin ）などに突っ込むだけで OK です。

† guetzli の特徴は？

この guetzli の特徴はより高品質で小サイズな JPEG を生成できることのようです。
ただし、エンコード時間が長くなる（遅い）という欠点はあるようです。

Google、より高画質で小サイズを実現するJPEGエンコーダをオープンソースで公開 - PC Watch

Guetzliによる変換で従来よりもファイルサイズを小さくできるものの、検索アルゴリズムの処理に時間が必要で、結果として従来のlibjpegといったエンコーダを用いるよりもエンコード時間が長くなってしまうというデメリットが発生する。

これと同じようなプログラムとしては Mozilla が開発した mozjpeg があるので、今回はこれと比べてみようと思います。
左が mozjpeg で最適化したもの 、右は左をさらに Guetzli で最適化したもの。


これを見比べる限りでは、どちらも遜色ないように見えます。

ファイルサイズと処理にかかる時間ですが、ファイルサイズについては mozjpeg よりも若干小さくなるのは間違いないようです。
ところが、1200x800 の JPEG をエンコードすると、Xeon E5-2650v2 を使ってもなんと1分/枚くらいかかります。
アルゴリズム的に仕方ないのかもしれませんが、現在のところ実用的には mozjpeg（数秒/枚） で十分と言えそうです。

さくらの VPS はさくらのクラウドと違って、契約後にサーバのプランを変更することができませんでしたが、上位プランへのスケールアップに対応していました。

実は年末に VPS に移行したときに、余裕をもって上位プランにしてしまったんですよね。何ともタイミングが悪いです。
以下のプレスリリースの注記にもありますが、下位プランへの変更はできないということで、いろいろと悔やまれます。

さくらインターネット、「さくらのVPS」にスケールアップ機能を追加～契約中のプランから上位プランへの変更が可能に～

これまで「さくらのVPS」は、契約時のプランから他のプランへの変更ができませんでしたが、「利用しているサーバーのスペックが足りなくなったので、上位プランに変更したい」などのユーザーからのニーズにお応えし、このたびのスケールアップ機能を提供するに至りました^※2。

^※2下位プランへの変更や、「さくらのVPS ベアメタルプラン」、「さくらのVPS for Windows Server」でのスケールアップはご利用いただけません。また「さくらのVPS」から「さくらのVPS ベアメタルプラン」、「さくらのVPS for Windows Server」にプラン変更することはできません。

Btrfs もいいのですが、やはりファイルサーバには ZFS をネイティブにサポートした OS の方が使いやすいので OmniOS をインストールしてみました。

ZFS をネイティブにサポートしているというと Solaris ということになりますが、フリーの OpenSolaris プロジェクトは既に終了しており、OpenSolaris　のフォークである illumos をベースにしたディストリビューションが OmniOS です。OmniOS には Web 管理画面的なものがないので、今回は napp-it を導入して管理画面を構築します。

インストールについては 「Macユーザーに贈る!OmniOSで作るお手軽・カンタン・高性能なZFS-NAS!」と napp-it のマニュアルですんなりとインストールができました。

基本的な使い方は OpenSolaris と変わりませんね。
（入っているソフトウェアはかなり新しくなっていますが。。。。）

僕の運転免許は取得したときこそ普通自動車免許でしたが、現在は法改正により、いわゆる中型8t限定になっています。この免許で運転できる自動車は定員10人以下に限られるものの、総重量8t未満、最大積載量5t未満とかなり大きな車まで運転できます。業務で運転をする必要がなければ、運転する車は最大でもハイエース（積載量 1.25t）くらいまででしょうから、明らかにオーバースペックです。

もちろん僕はこれまでに軽トラ以外のトラックを運転したことがありません。こういう人が突然トラックを運転したら危ないということは現実として明らかになっており、その結果、2007年に中型免許（総重量11t未満、 最大積載量6.5t未満）が導入され、普通免許は普通自動車免許（総重量5t未満、 積載量3t未満）になりました。また、中型免許は20歳以上で免許を受けていた期間が通算して2年以上なければ取得できず、適性検査にも深視力検査が追加されました。教習自体もトラックで行われており、我々の時代の普通自動車免許とは難易度が全然違うものになっています。

† 今回の準中型導入で・・・・

今回の法改正の施行により、準中型免許（総重量7.5t未満、 積載量4.5t未満）が追加されたため、普通自動車免許の範囲は総重量3.5t未満、積載量2t未満となりました。かなり範囲が縮小されているように見えますが、これでも一般家庭にある自動車の運転に何ら困ることはありません。

• 準中型自動車・準中型免許の新設について(平成29年3月12日施行)　警視庁
• 3月12日スタート、改正道路交通法の主なポイント（その1）　18歳から取得できる「準中型」免許が新設されました！：政府広報オンライン

最高裁の大法廷が警察の GPS 捜査について、令状がない場合は違法という判決を出していたことがニュースになっていたのでメモ。
判決の全文については以下から PDF で全文を読むことができます。

• 平成28年(あ)第442号 窃盗,建造物侵入,傷害被告事件 平成29年3月15日大法廷判決

キーとなるのは以下の部分でしょうか。これを読んでみると単に令状があればよいという訳ではなく、現在の法的な枠組みでは扱えないものなので、新たな立法的な措置が必要と言っています。これはなかなか警察にとっては厳しい判決といえそうですね。。。。

平成28年(あ)第442号 窃盗,建造物侵入,傷害被告事件 平成29年3月15日大法廷判決 全文, p.3.

個人のプライバシーの侵害を可能とする機器をその所持品に秘かに装着することによって，合理的に推認される個人の意思に反してその私的領域に侵入する捜査手法であるＧＰＳ捜査は，個人の意思を制圧して憲法の保障する重要な法的利益を侵害するものとして，刑訴法上，特別の根拠規定がなければ許容されない強制の処分に当たる

同, p.5.

ＧＰＳ捜査が今後も広く用いられ得る有力な捜査手法であるとすれば，その特質に着目して憲法，刑訴法の諸原則に適合する立法的な措置が講じられることが望ましい。

JPCERT/CC が Active Directory に対する攻撃検知方法をまとめた「ログを活用したActive Directoryに対する攻撃の検知と対策」を公開していたのでメモ。
PDF で 85ページほどとそれほどボリュームも多くないので、時間があるときにサラッと目をとおしておくだけでも役に立ちそうです。

JPCERT コーディネーションセンター ログを活用したActive Directoryに対する攻撃の検知と対策

JPCERT/CCでは、Active Directoryが侵害されることによって被害が拡大する高度サイバー攻撃の事例を多数確認しており、これらの事例のなかには、脆弱性に対処していなかったり、ログが適切に保存されていなかったりしたために、被害状況の調査が困難なケースが多くみられました。

対象の読者としては以下が想定されているようです。

• AD への攻撃手法を理解したい
• ログを分析してAD への攻撃を検知したい
• AD への攻撃を抑止（予防）するための対策を打ちたい
• 検知されたAD への攻撃について対処し、悪用されたアカウントや端末を特定したい

AD といっても中身は Kerberos （RFC1510）だったりするので、このあたりの仕組みを理解（復習）しておきたい時にも役立つのではないかと思います。

今日は月例 Windows Update の日。

先月は急遽延期になったので実質2ヶ月ぶりの Windows Update ということになります。2ヶ月分なので内容もかなり多く、緊急 9 件（MS17-006, MS17-007, MS17-008, MS17-009, MS17-010, MS17-011, MS17-012, MS17-013, MS17-023）、重要 9 件の計 18 件となっています。既に攻撃が行われている脆弱性もあるので、なるべく早くパッチの適用と再起動を行っておきたいところです。

• 2017 年 3 月のセキュリティ情報 (月例) – MS17-006 ～ MS17-023 – 日本のセキュリティチーム
• 2017 年 3 月のマイクロソフト セキュリティ情報の概要

一時期は無茶振りすぎると言われていた Google の reCAPTCHA ですが、2014年にリスクベースの考え方が取り入れられ、リスクが高いと判断されたユーザー以外はチェックボックスにチェックを入れるだけで認証が完了するようになっていました。今回それがさらに一歩進んで、リスクの低いユーザーは何もしなくても認証されるようになりました。

reCAPTCHA: Easy on Humans, Hard on Bots

Since the launch of No CAPTCHA reCAPTCHA, millions of internet users have been able to attest they are human with just a single click. Now we're taking it a step further and making it invisible. Human users will be let through without seeing the "I'm not a robot" checkbox, while suspicious ones and bots still have to solve the challenges.

仕様については以下に詳細がありますが、reCAPTCHA v2 からの移行はサーバサイドのプログラムに手を入れる必要はなく、クライアント側のみ対応が必要になります。

• Using the Invisible reCAPTCHA | reCAPTCHA | Google Developers

さっそくこのサイトにも組み込んでみました。spam対策とはいえ、正規のユーザーに負担を掛けないようになったのは喜ばしい限りです。

Visual Studio をインストールすると様々なプログラムが導入されるので、綺麗にアンインストールするのが難しいのですが、このような問題を解決してくれる Visual Studio Uninstaller を見つけたのでメモ。GitHub に上がっていたので始めは気づきませんでしたが、よく見たら Microsoft のリポジトリだったので、半ばオフィシャルのアンインストーラーということになります。

• GitHub - Microsoft/VisualStudioUninstaller: Visual Studio Uninstallation sometimes can be unreliable and often leave out a lot of unwanted artifacts. Visual Studio Uninstaller is designed to thoroughly and reliably remove these unwanted artifacts.

使い方は Releases · Microsoft/VisualStudioUninstaller から zip ファイルをダウンロードして、適当な所に展開し、出てきたSetup.ForcedUninstall.exe を管理者権限で実行してやるだけです。