レンダリングバージョンを変更する

WebBrowserコンポーネント¹は、何もせずにそのまま使用すると必ず IE7相当のレンダリングエンジンと JavaScriptエンジンになってしまう。これは <meta http-equiv="x-ua-compatible" content="IE=Edge" /> などを食わせても変わらない。² この問題を解決するには、レジストリを触るしか方法がない。

Try  
    Dim RendererVersion As Integer = 11000
    Dim ExecName As String = Path.GetFileName(Environment.GetCommandLineArgs()(0))
    Dim Regkey As RegistryKey = _
        Registry.CurrentUser.CreateSubKey( _
            "SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION")
    Regkey.SetValue(ExecName, RendererVersion)
    Regkey.Close()
Catch ex As Exception  
    Console.WriteLine("CreateSubKey: " & ex.StackTrace)
End Try

WebBrowser1 = New WebBrowser()  
WebBrowser1.ObjectForScripting = Me  

レジストリには、キー＝実行ファイル(EXE)名、値＝IEバージョンの1000倍のDWORD値 を登録する。存在しない時の既定値は 7000 と見做される。またこのとき Visual Studio のデバッグRunでは .EXE名が 〜.vhost.exe になるのを考慮する必要がある。結局のところ、プログラム実行毎に毎回自分自身の .EXE名を新規／上書き登録してしまうのが手堅い。またレジストリの登録タイミングは初めて New WebBrowser() する以前でなければならない。

マウスイベントを VB.NET側で使いたい

WebBrowserコンポーネント内で発生したイベントはほぼすべて JavaScript内で完結して外部（Windows.Forms）に伝播しない。必要なら JavaScriptから ObjectForScripting機能経由で Formクラスを呼んで RaiseEvent しろということになっている。だがそういう毎回使うような定形処理はサブクラス化してまとめといたほうが良いに決まっている。

Imports System.Windows.Forms  
Public Class WebBrowserEx  
    Inherits WebBrowser

    Private WithEvents Body As HtmlElement

    Public Shadows Event MouseDown(ByVal sender As Object, ByVal e As MouseEventArgs)
    Public Shadows Event MouseLeave(ByVal sender As Object, ByVal e As MouseEventArgs)

    Protected Overrides Sub OnDocumentCompleted(ByVal e As WebBrowserDocumentCompletedEventArgs)
        Me.Body = Me.Document.Body
        MyBase.OnDocumentCompleted(e)
    End Sub

    Private Sub Body_MouseDown(ByVal sender As Object, _
                               ByVal e As HtmlElementEventArgs) _
                           Handles Body.MouseDown
        RaiseEvent MouseDown(sender, New MouseEventArgs(e.MouseButtonsPressed, 1, _
                                                        e.ClientMousePosition.X, _
                                                        e.ClientMousePosition.Y, 0))
    End Sub

    Private Sub Body_MouseLeave(ByVal sender As Object, _
                                ByVal e As HtmlElementEventArgs) _
                            Handles Body.MouseLeave
        RaiseEvent MouseLeave(sender, New MouseEventArgs(MouseButtons.None, 0, _
                                                         e.ClientMousePosition.X, _
                                                         e.ClientMousePosition.Y, 0))
End Class

' WebBrowser1 = New WebBrowserEx()  
' WebBrowser1.Navigate("about:blank")  

ここでは一部しか書いてないが、Up/Enter/Move/Over も同様に実装³できる。

ただこの実装においては、WebBrowserコンポーネント内で Refresh() する、あるいはF5(Ctrl+R)キーを押してのページリロードに対応できない。というのも .NET版の WebBrowserコンポーネントはリロード時に一切イベントを発火しないからだ。ページ内のJavaScriptでは通常通り onload等が発火するので ObjectForScriptingで補完する（Me.Document.Body を読み直す）必要がある。

JScriptTypeInfo と .NET オブジェクトの相互変換

ObjectForScriptingと InvokeScriptを使えば .NETと JavaScriptのユーザ関数を相互に呼び出し合うことが出来る。この時確実に引き渡せる引数は、数値・文字列・真偽値・null の4種類しかない。配列や連想配列（ハッシュ）はシリアライズする必要がある。だが実際には次のコードを試せば解るが、JavaScriptで生成された複雑なデータ構造は .NETのなかを素通りさせることができる。

var r = window.external.foo({a:[123, 456], h:{s:789}, s:"Test"});  
function bar (data) {  
    return {b:data.a[0] + data.h.s};
}
console.log(r.b); // 912  

Public Function foo (ByVal d As Object) As Object  
    Console.log(d.s)    ' Test
    Console.log(d.a(1)) ' 456
    Console.log(d.h.s)  ' 789
    Return WebBrowser1.Document.InvokeScript("bar", d)
End Function  

WebBrowserコンポーネントにはこのJavaScriptネイティブのデータ構造＝JScriptTypeInfo型オブジェクトを解釈する機能（オブジェクト定義）がない。単純な文字列や数値は ToString()や ToInt32()メソッドで変換できるし、ハッシュの場合は Item() メソッドこそ使えるものの Count() も Containes() もないので「静的な構造体」以外は直接扱えないのだ。

Console.log(d.s)               ' sメンバーがあれば読み出せるがなければ例外発生  
Console.log(d.Item("s"))       ' これもメンバーがなければ例外発生  
Console.log(d.Conatines("s"))  ' これもメンバーがなければ例外発生  

.NETのほうでは3.5以降で JSON文字列をシリアライズ／デシリアライズ出来るため、引数も返値も JSON文字列化する取り決めにすれば良い話なのだが、ネイティブにデータ構造を受け渡しできたほうが（JavaScript側の視点では）利便性が良い。もっぱら融通が効かないのは静的型言語である .NETの側なので、こちらをもう少し頑張ってみよう。

取り敢えず、JScriptTypeInfoを読んで比較的扱いやすい Dictionary型にまるごと変換するなら次のようなコードが書ける。いったん IExpando型にキャストすればメンバーのプロパティリストを得られるので、CallByName()で実体を得ることができる。これを再帰的に適用すればいちおう全体にアクセスすることが出来る。ただし配列については手を抜いてハッシュ化してしまっているが。

' Imports System.Reflection  
' Imports System.Runtime.InteropServices.Expando

Private Function JscInfoToDict(ByVal jscinfo As Object) As Dictionary(Of String, Object)  
    Dim dict = New Dictionary(Of String, Object)
    Dim keys() As String = DirectCast(jscinfo, IExpando).GetProperties( _
        BindingFlags.Default).Select(Function(p) p.Name).ToArray()
    For Each Key In keys
        Dim Var As Object = CallByName(jscinfo, Key, CallType.Get)
        ' Console.WriteLine("Key:" & Key & ", Var:" & Var.ToString & ", Type:" & Var.GetType.ToString)
        If Var.GetType.ToString = "System.__ComObject" Then  ' これだけでは配列とハッシュの区別がつけられない
            dict.Add(Key, JscInfoToDict(Var))
        Else
            dict.Add(Key, Var)
        End If
    Next
    Return dict
End Function  

これとは逆に、Dictionary型を JScriptTypeInfo型に変換するのは、JScriptTypeInfo型の定義がないので不可能だ。ならば「JScriptTypeInfo型を知っている」言語に変換を委託してしまえば良い。そもそも相互変換をしたい場面において WebBrowserコンポーネントを使っていないということは滅多にないだろうから、InvokeScriptで JSONクラスメソッドを呼び出してしまえば良い。⁴

' Imports System.Web.Script.Serialization

' Friend WithEvents Converter As WebBrowser  
' Converter = New WebBrowser()  
' Converter.Navigate(New Uri("about:blank"))

Private Sub Converter_DocumentCompleted(ByVal sender As Object, _  
                                        ByVal e As EventArgs) _
                                    Handles Converter.DocumentCompleted
    sender.Document.InvokeScript("eval", New Object() {"function __j2s(j){return JSON.stringify(j)};"})
    sender.Document.InvokeScript("eval", New Object() {"function __s2j(j){return JSON.parse(j)};"})
End Sub

Public Function jobject_decoder(ByVal jscinfo As Object) As Dictionary(Of String, Object)  
    Dim jss As JavaScriptSerializer = New JavaScriptSerializer()
    Dim jstring As String = Converter.Document.InvokeScript("__j2s", New Object() {jscinfo})
    Return jss.Deserialize(Of Dictionary(Of String, Object))(If(jstring, "{}"))
End Function

Public Function jobject_encoder(ByVal dict As Dictionary(Of String, Object)) As Object  
    Dim jss As JavaScriptSerializer = New JavaScriptSerializer()
    Dim jstring As String = jss.Serialize(dict)
    Return Converter.Document.InvokeScript("__s2j", New Object() {jstring})
End Function  

.NET版の InvokeScript() は COM版のそれとは異なり、ルート要素のユーザ関数しか呼び出せず、クラスメソッドを直接叩くことが出来ない。本来なら JSON.stringify JSON.parse を直接使いたいが使えないので、DocumentCompleted を待ってから変換用ユーザ関数を eval で登録する方法を取った。なお JSONクラスは IE7ではそもそも存在しないので、前述した IEバージョン変更のレジストリ登録が事前に必要になる。⁵

余談：cscript.exeでの JSON変換

Windows標準でかつ標準入出力が使える汎用インタプリタとして、cscript.exe は貴重な存在だ。うまく使えば grep/sed/awk あたりの代用にもなる。だが標準では JSON変換機能を持っていないなど基本的な言語仕様が少々古い。しかし COMオブジェクトとして HTMLファイルにアクセスすると、その中の最新 JavaScriptエンジンから欲しい機能をアドオン的に持ってくることが出来る。

// Ex) cscript.exe //Nologo //U jconvert.js <STDIN >STDOUT
var htmlfile = WScript.CreateObject('htmlfile'), JSON;  
htmlfile.write('<meta http-equiv="x-ua-compatible" content="IE=9" />');  
htmlfile.close(JSON = htmlfile.parentWindow.JSON);

while (!WScript.StdIn.AtEndOfStream) {  
    var json = JSON.parse(WScript.StdIn.ReadLine()),
    // user code
    WScript.StdOut.WriteLine(JSON.stringify(json));
}

このテクニックは色々と応用が効く。同じようにして（役に立つかどうかはともかく）jQueryをインポートすることが出来るし、include／require文代わりに使うことも出来る。

なお cscript.exe の標準入出力は、素で起動すると ANSI すなわち日本語では CP932 になる。このため JSON文字列中のマルチバイト文字はエスケープされていなければ正しく扱えない。そこで //U オプション付きで起動すると UTF-16LE でマルチバイト文字を扱えるようになるが、改行コードも2バイト文字（ワード幅）にしなければならない罠がある。更に余談となるが、cscript.exe のスクリプトコードは、ANSI(CP932)または UTF-16LE（BOM付き）で記述されていなければならない。一般的な UTF-8N では文字化けが発生する。⁶

.ppmxファイルの保存

ppm install を実行すると、レポジトリから .ppmxファイルが tempディレクトリにダウンロードされてインストールされる。だがこのファイルはコマンド終了時に全削除されるため、普段目にすることがない。.ppmxファイル自体は ppm install の引数に渡すことでオフラインインストールできるため、消される前にファイルのコピーを別の場所に取っておけば、あとでおなじ環境を再構築することが容易くなる。

--- C:/Perl64/lib/ActivePerl/PPM/Client.pm      Tue Feb 16 06:02:11 2016
+++ D:/Perl64/lib/ActivePerl/PPM/Client.pm      Fri Mar 10 12:12:03 2017
@@ -1328,6 +1328,9 @@
                    if ($save_len != $len) {
                        die "Aborted download ($len bytes expected, got $save_len).\n";
                    }
+use File::Copy;
+my $File = File::Basename::basename($save, '.tgz');
+File::Copy::copy($save, $File.'.ppmx');
                }
                # XXX An MD5 checksum for the tarball would be a good thing
            }

5.18以降に通用するこのパッチを当てると、カレントディレクトリにダウンロードされた .ppmxファイルが残されるようになる。依存関係で複数のモジュールが取得された場合はその全てが残される。このコードを見れば解るが、 .ppmxファイルの実態は単なる .tgzアーカイブだ。わざわざ拡張子を代えているのは、そうしないと ppmコマンドがオフラインインストール用ファイル名として認識しないからである。

なお ppmコマンドは自前のデータベースとキャッシュでダウンロード履歴を管理しており、毎回必ずしもファイルダウンロードが発生するわけではない。情報は以下のフォルダに保存されているので、作業前にこれを空にしてやればよい。

%LOCALAPPDATA%\ActiveState\ActivePerl

保存しておいた .ppmxファイルは、ppm install でインストールすることが出来るが、依存関係にあるサブモジュールを先にインストールしておかないと、オンラインで取りに行こうとしてしまう。そこで複数の .ppmxファイルから .ppdファイルを取り出し、そこに書かれた依存関係リストを読み出し、優先順位を付けて順次処理することになる。

#!C:/Perl/bin/perl.exe
use utf8;  
use strict;  
use Archive::Tar;  
use File::Basename;  
use File::Find;  
use Cwd;

my $cwd = $ARGV[0] // getcwd;  
print "Search directory: ", $cwd, "\n";  
my(@ppmx_list, %ppmx_hash, %ppmx_path);  
find(sub {  
    if (m/\.ppmx$/io) {
        $ppmx_path{$_} = $File::Find::name;
        push @ppmx_list, $_;
    }
}, $cwd);
foreach my $ppmx (@ppmx_list) {  
    $ppmx_hash{$ppmx} = 9999;
}
foreach my $ppmx (@ppmx_list) {  
    my $tar = Archive::Tar->new();
    $tar->read($ppmx_path{$ppmx}, 1);
    foreach my $file ($tar->get_files()) {
        if ($file->{name} =~ /\.ppd$/io) {
            foreach my $line (split /\n/, $file->{data}) {
                if (my $require = ($line =~ m/REQUIRE NAME="([^\"]+)"/o)[0]) {
                    $require =~ s/::/-/go;
                    foreach my $hash (keys %ppmx_hash) {
                        $ppmx_hash{$hash}-- if 0 == index lc($hash), lc($require);
                    }
                }
            }
        }
    }
}
undef @ppmx_list;  
while (my($key, $var) = each %ppmx_hash) {  
    push @ppmx_list, sprintf "%04u %s", $var, $key;
}
foreach my $ppmx (sort {lc $a cmp lc $b} @ppmx_list) {  
    $ppmx =~ s/^\d+ //o;
    my $command = "ppm install ".$ppmx_path{$ppmx}." --nodeps";
    print $cwd, "> ", $command, "\n";
    system $command and die "$!";
    print "\n";
}

1;  
__END__  

このコードは .ppmxファイルを含む親ディレクトリを引数に取る。引数は複数でもよく、省略されればカレントディレクトリを起点にする。-nオプションは ppmコマンドに --nodeps を付加する。-n オプションなしで起動すると依存解決に失敗した場合（依存する .ppmxが見つからない場合）レポジトリからのダウンロードが生じる。

.ppmxファイルの作成

.ppmxファイルの実態は .tgzで固められた .ppdファイルと blibディレクトリだ。cpanでソースからビルドしたものを .ppmxファイルにして保存しておくと、再ビルドする手間を減らせる。cpanの作業ワークは C:\Perl64\cpan\build または C:\Perl\cpan\build にある。

例えば既に cpan install に成功した Foo::Bar モジュールに対応する Foo-Bar-0.1010-4UofsT というディレクトリがあったなら、まずそこに cd して dmake ppd を実行¹する。すると Foo-Bar.ppd というファイルが作成されるだろう。

> cd C:\Perl64\cpan\build\Foo-Bar-0.1010-4UofsT
> dmake ppd
> type Foo-Bar.ppd
<SOFTPKG NAME="Foo-Bar" VERSION="0.1010">  
    <ABSTRACT>foobar foobar</ABSTRACT>
    <AUTHOR>Charlie Root &lt;foobar@example.com&gt;</AUTHOR>
    <IMPLEMENTATION>
        <PERLCORE VERSION="5,006,0,0" />
        <REQUIRE NAME="Carp::" />
        <REQUIRE NAME="Cwd::" VERSION="3.16" />
        <REQUIRE NAME="Exporter::" />
        <REQUIRE NAME="strict::" />
        <REQUIRE NAME="vars::" />
        <ARCHITECTURE NAME="MSWin32-x64-multi-thread-5.24" />
        <CODEBASE HREF="" />
    </IMPLEMENTATION>
</SOFTPKG>  

REQUIRE 行は依存をあらわす。ARCHITECTURE 行はインストール先のプラットフォームを限定するものだが、ピュアPerlで書かれた環境非依存モジュールの場合は noarch に書き換えることでインストール先を選ばないようにすることもできる。

<ARCHITECTURE NAME="noarch" />  

.ppmx(.tgz)ファイルを作るための tar+gzアーカイバは、C:\Perl64\bin に ptar.batとしてインストールされている。すでにパスは通っているので次のようにすれば .ppmxファイルができあがる。

> ptar -v -c -C -z -f foo-bar.ppmx blib foo-bar.ppd

この際注意が必要なのは、.ppmxと .ppdのファイル名は一致させておかなければならない点だ。.ppmxファイル名にバージョン番号を付加する一般的なルールに従う場合は、.ppdファイル名にもバージョン番号を付加しておく。もちろんそのバージョン番号は SOFTPKG行の VERSIONと一致しているべきだ。

> ren foo-bar.ppd foo-bar-0.1010.ppd
> ptar -v -c -C -z -f foo-bar-0.1010.ppmx blib foo-bar-0.1010.ppd

--- C:\Perl64\site\lib\SOAP\Transport\HTTP.pm    2016-12-17 10:45:40.000000000 +0900
+++ D:\Perl64\site\lib\SOAP\Transport\HTTP.pm    2017-01-23 12:42:33.000000000 +0900
@@ -586,6 +586,7 @@
         #my $content = q{};
         if ( !$chunked ) {
             my $buffer;
+            no strict 'subs';
             binmode(STDIN);
             if ( defined $ENV{'MOD_PERL'} ) {
                 while ( read( STDIN, $buffer, $length ) ) {

直接原因はよくわからんがとにかくこうすれば正常動作はした。STDIN が strict subs に引っかかるって通常ではちょっと考えにくいところだが？

クライアント側は普通に open/close で読み書きできるので、サーバ側で namedpipe を作る部分を書いてみる。

use strict;  
use warnings;  
use Win32::API;  
use Fcntl;  
use constant {  
    PIPE_ACCESS_INBOUND     => 0x00000001,  # O_RDONLY相当
    PIPE_ACCESS_OUTBOUND    => 0x00000002,  # O_WRONLY相当
    PIPE_ACCESS_DUPLEX      => 0x00000003,  # O_RDWR相当

    PIPE_WAIT               => 0x00000000,
    FILE_FLAG_OVERLAPPED    => 0x40000000,
};

*STDOUT->autoflush;

my $PIPE_NAME = "\\\\.\\pipe\\pipesv";

my $CreateNamedPipe = Win32::API->new( "kernel32", "CreateNamedPipe", "PNNNNNNP", "N" ) or die;  
my $PIPE = $CreateNamedPipe->Call(  
    $PIPE_NAME,                #  LPCTSTR lpName,                             // パイプ名
    PIPE_ACCESS_DUPLEX,     #  DWORD dwOpenMode,                           // パイプを開くモード
    PIPE_WAIT,              #  DWORD dwPipeMode,                           // パイプ固有のモード
    255,                    #  DWORD nMaxInstances,                        // インスタンスの最大数
    0,                      #  DWORD nOutBufferSize,                       // 出力バッファのサイズ
    0,                      #  DWORD nInBufferSize,                        // 入力バッファのサイズ
    10_000,                 #  DWORD nDefaultTimeOut,                      // タイムアウト(msec)の間隔
    0,                      #  LPSECURITY_ATTRIBUTES lpSecurityAttributes  // セキュリティ記述子
);
my $CloseHandle = Win32::API->new( "kernel32", "CloseHandle", "N", "N" ) or die;

my $ReadFile = Win32::API->new( "kernel32", "ReadFile", "NPNPP", "N" ) or die;  
sub ReadFile {  
    my $hFile = shift;
    my $lpBuffer = "\0" x 512;
    my $nNumberOfBytesToRead = 512;
    my $lpNumberOfBytesRead = "\0" x 8;
    my $result = $ReadFile->Call(
        $hFile,
        $lpBuffer,
        $nNumberOfBytesToRead,
        $lpNumberOfBytesRead,
        0);
    return undef unless $result;
    my $length = unpack "V", $lpNumberOfBytesRead;
    return undef unless $length;
    return substr $lpBuffer, 0, $length;
}

my $WriteFile = Win32::API->new( "kernel32", "WriteFile", "NPNPP", "N" ) or die;  
sub WriteFile {  
    my $hFile = shift;
    my $lpBuffer = shift;
    while (my $nNumberOfBytesToWrite = defined $lpBuffer && length $lpBuffer) {
        my $lpNumberOfBytesWritten = "\0" x 8;
        my $result = $WriteFile->Call(
            $hFile,
            $lpBuffer,
            $nNumberOfBytesToWrite,
            $lpNumberOfBytesWritten,
            0);
        return undef unless $result;
        my $length = unpack "V", $lpNumberOfBytesWritten;
        $lpBuffer = substr $lpBuffer, $length;
    }
    return undef;
}

my $ConnectNamedPipe = Win32::API->new( "kernel32", "ConnectNamedPipe", "NP", "N" ) or die;  
my $DisconnectNamedPipe = Win32::API->new( "kernel32", "DisconnectNamedPipe", "N", "N" ) or die;

while ($ConnectNamedPipe->Call($PIPE, 0)) {  
    WriteFile($PIPE, "Welcome\n");
    print ReadFile($PIPE);         # client from "Hello"
    $DisconnectNamedPipe->Call($PIPE);
    #last;      # no loop
}
$CloseHandle->Call($PIPE);

1;  
__END__  

本来はセキュリティ記述子を指定すべきだが、本件は動作サンプルなので省略¹する。バッファサイズについてはダミーなので 0 と書いて良い。 こうして出来た PIPEハンドル（単なるint値）は、PerlIOの感知するところではないため² 通常の sysread/syswrite では扱えない。従って CloseHandle/WriteFile/ReadFile についても Win32API で実装する。

ConnectNamedPipe() はソケット通信の accept() に相当する関数で、クライアント側が同名パイプを開くまでI/Oブロックする。DisconnectNamedPipe()はこのセッションを閉じてクライアントを切断する。

いっぽう、クライアント側は普通のファイルアクセスとなんら変わるところはない。

use strict;  
use warnings;

*STDOUT->autoflush;

my $PIPE_NAME = "\\\\.\\pipe\\pipesv";

open my $FH, "+<", $PIPE_NAME or die "$!";  
$FH->binmode(":raw");
print scalar <$FH>;                # server from "Welcome"  
$FH->write("hello\n");
$FH->close;

1;  
__END__  

マルチクライアントサーバを実装する場合、基本的には ConnectNamedPipe のあとで CreateThread すればよいが、CreateNamedPipe に FILE_FLAG_OVERLAPPED の指定と、ConnectNamedPipe に lpOverlapped の指定が必要になる。³

// textareaでのTABキー入力
$('textarea').on('keydown', function(e){
    if (e.keyCode === 9) {
        e.preventDefault();
        var elem = e.target;
        var val = elem.value;
        var pos = elem.selectionStart;
        elem.value = val.substr(0, pos) + '\t' + val.substr(pos, val.length);
        elem.setSelectionRange(pos + 1, pos + 1);
    }
});

• e.keyCode === 9
  TABキー押し下げを検知する。
• e.preventDefault()
  ブラウザのデフォルト動作を停止する。つまりフォーカス移動をキャンセルする。
• e.target
  イベント対象のDOMエレメントを取得する。すなわち <textarea/> 本体。jQueryの $(this)[0] におなじ。
• elem.value
  入力されている <textarea/> の内容。
• elem.selectionStart
  キャレットカーソルの位置。次の行でこの位置に\tを挿入して書き戻している。
• elem.setSelectionRange(Start, End, [Direction])
  キャレットを\tの後ろへ進める。選択範囲は無いので Start と End にはおなじ値を指定する。

なお selectionStart/selectionEnd プロパティは直接書き換えることもできる。またキャレット選択範囲の後方は elem.selectionEnd で得られる。なので選択範囲があるなら丸ごとインデントするといったコードも書けなくはない。選択方向を指示する Direction はプラットフォームによって挙動が若干異なるのでこちら¹も参照のこと。

モジュールマップ登録では個々の.fcgiファイルについて1エントリが必要とされるため、拡張子.fcgi全体をひとつのモジュールマップで済ませるための簡単なラッパーを書いてみた。ものすごく単純だが用法を誤らなければ相応に使える。

use strict;  
use warnings;  
use FCGI;  
use File::Spec;  
open STDERR, ">&", STDOUT;  
my $request = FCGI::Request or die;  
while ( $request->Accept >= 0 ) {  
    my $stderr = '';
    eval {
        local $SIG{__WARN__} = sub { $stderr .= shift };
        local $SIG{__DIE__} = sub { die($stderr = shift) };
        my $file = File::Spec->catfile(
            $ENV{DOCUMENT_ROOT} // 'Undefined',
            $ENV{SCRIPT_NAME} // 'index.fcgi'
        );
        return print "Status: 404\n\n" unless -f $file;
        do $file;
    };
    $stderr = "$@" if $@;
    if ($stderr) {
        print "Status: 403\nContent-Type: text/plain\n\n", $stderr;
    }
}
1;  
__END__  

このラッパーを要求パス *.fcgi に対して適用する¹と、ドキュメントルート以下の FastCGIファイルについて 半常駐化状態で実行されるようになる。PATH_INFO は期待どうり動作するし、 既定のドキュメント に index.fcgi を追加した場合にも対応する。ただしあくまでも簡易的に、だ。

このラッパーがなぜ半常駐化なのかというと、常駐対象になるのが、特殊変数および our 宣言²されたパッケージ変数と use または require で読み込まれたモジュールに限定されているからだ。.fcgi ファイル自体は do $file の形式で読込実行されているが、これはこの命令が実行される度にファイルアクセスが発生し、コードが再コンパイル³されることによる。このとき do $file は package main 名前空間内で実行されているため、複数の .fcgi で同名のグローバル変数や関数宣言が共有されることになる。

.fcgi 自体は毎回再コンパイルされるが、その中で使われる use モジュールについてはコンパイル済コードが再利用されるため、その使用比率が大きいコードほどメリットがある。一方で名前空間のファイル別隔離処理を端折っているため同名関数は後続のコード実行で上書きされてしまうため注意を要する。このあたりが簡易版と称する所以だ。

エラー処理について言えば、FastCGI 起動前に STDERR を STDOUT にリダイレクトすることで、do $file 実行時の構文エラーが極力 IIS Worker Process へ渡らないように細工している。$SIG{} の定義も同様に STDERR を漏らさないためだ。これを怠ると IIS が 503 Service Unavailable を返すようになり、かつ、サーバ自体を再起動しなければ回復できない⁴ことがままある。

IISのCGIセットアップ

まず普通にIISでPerl CGIを動かすための手順。一応 Windows 10/Windows Server 2012 と ActivePerl 5.20(64bit) を前提にしているが、他の組み合わせでも大差はない。

コントロールパネル＞プログラム＞プログラムと機能＞Windowsの機能の有効化または無効化と辿ってダイアログを開き、インターネットインフォメーションサービスにチェックを付ける。更にそのサブメニューを開いてWorld Wide Webサービス＞アプリケーション開発機能>CGIにチェックを付ける。最低限これだけを有効化すれば要は足りるからOKを押して変更を確定する。初回導入時についてはサーバ再起動は必要ない。¹

ActivePerl(64bit)が既にインストールされており、パスが通っているならコマンドプロンプトを管理者権限で開いて以下のコマンドをタイプする。

ap-iis-config add all --site 1 --cgi  

するとIISマネージャーのサイト＞Default Web Site＞機能ビュー＞ハンドラーマッピングに以下のスクリプトマップが登録されているはずだ。

復数のサイトが作られている場合、個別にこのスクリプトマップが必要になる。前述の--site 1の数字がサイトの登録番号を示しているので、これを変更しながら必要なだけ繰り返す。あるいはこのダイアログ画像を参考に手動でスクリプトマップを追加する。

なお32bit版のActivePerlでは、ISAPIを使用することもできる。Windows機能ダイアログでISAPIフィルターとISAPI拡張にもチェックをつけていれば、以下のコマンドでISAPIのハンドラーが作成できる。²

ap-iis-config add all --site 1 --cgi --isapi  

以上で .pl ファイルはCGIとして認識されるようになる。.cgi ファイルを扱いたい場合は手動でスクリプトハンドラーを追加しよう。³

FastCGIを有効化する

FastCGIも同様にハンドラーマッピングを追加することで有効化できるが、ひとつのスクリプトに対してひとつのモジュールマップエントリが必要になる。例えば以下のスクリプトを登録してみよう。⁴

use strict;  
use warnings;  
use FCGI;

my $count = 0;  
my $request = FCGI::Request();  
while ( $request->Accept >= 0 ) {  
    print "Content-type: text/html\r\n\r\n", ++$count;
}

このファイルは通常のURIで辿れる場所に存在しなければならない。つまりC:¥inetpub¥wwwroot以下以外にあるのならば、仮想ディレクトリパスが通っている必要がある。そうした上で次のようにモジュールマップを登録する。

要求パス欄は実ファイル名と一致⁵させなければならない。モジュール欄はドロップダウンからFastCgiModuleを選択する。名前欄は同一サイト内で重複しなければ自由だ。そして実行可能ファイル欄にPerlの実行フルパス名とスクリプトのフルパス名"を半角パイプ記号で続けて記入する。なぜパイプで繋げるのかは解らないがこのように書かなければならない。これでOKを押すとハンドラを登録してよいか警告ダイアログが出るのではいで応答する。

正しくFastCGIハンドラが登録されていれば、このスクリプトをブラウザで開けば（例えば localhost/test/count.fcgi）カウンタが表示されるだろう。Ctrl+RやF5でリロードすればカウントアップが進むはずだ。

なおスクリプトを書き換えたあとは、実行中のFastCGIハンドラを再起動しなければならない。手っ取り早いのはタスクマネージャのプロセス一覧から、IIS Worker Process を探して タスクの終了 をさせてしまう方法だ。こうすればすぐに再度1からカウントをやり直す。

Mojolicious::LiteアプリをFastCGIで実行する

Mojoliciousは、その開発当初はともかく現在はIISをサポートしていない。だが前述のもっとも単純な FastCGIスクリプトを見ればわかるように、Requestループの中で普通にCGIスクリプトを利用すれば、そのままFastCGIプロセス (IIS Worker Process) として永続化される。かといってループ内で Mojolicious を呼び出してもそのままでは正常に動作しない。app->start が IIS/CGIであるかどうかを正しく認識できないためだ。そこで次のようなコードにする。⁶

use strict;  
use warnings;

use Mojolicious::Lite;

plugin 'basic_auth';

my $count = 0;

get '/' => sub { $_[0]->render(text => 'Non restricted area' . ++$count); };

under sub {  
    my ($c) = shift;
    return $c->basic_auth(
        realm => sub {
            if ( @_ && ( "@_" eq 'foo bar' ) ) {
                $c->req->env->{REMOTE_USER} = $_[0];
                return 1;
            }
        }
    );
};

get '/rest' => sub {  
    $_[0]->render(text => 'Hello ' . $_[0]->req->env->{REMOTE_USER} . ++$count . join(",", @ARGV));
};

if ($ENV{APP_POOL_CONFIG}) {  
    use FCGI;
    my $request = FCGI::Request();
    while ( $request->Accept >= 0 ) {
        app->start("cgi");
    }
}
else {  
    app->start();
}

これはIIS固有の環境変数が存在するならば、FCGI::Requestループ実行に切り替えるようにしている。そうでなければ、つまりコマンドプロンプトで実行すれば、従来通りの挙動となる。こうしておいたうえで、FastCGIハンドラには次のように指定する。

C:¥Perl64¥bin¥perl.exe|C:¥test¥apps.fcgi cgi -m production  

ここでCGI形式で実行することを強要し、かつproductionモードを強制する。このモード指定がないと developmentモードで実行されることになり、標準出力に非HTTPプロトコルな出力が混じってしまうので、結果IISはInternal Server Errorを返すことになってしまう。

apps.fcgiのある場所に logディレクトリを掘っておくとそこにログが吐き出されるので、モード指定がなくても一見問題が解決できるように見える。だが実運用段階ではこのログを定期的に削除する必要に迫られるので、ここではその方法は取らない。ログファイルは IIS Worker Process が握っているので、このプロセスを終了させないとログファイルを削除することができないのだ。他には IISの環境変数に MOJO_MODE を追加して回避する手段があるが、今回は設定が一箇所ですむ手法を取り上げた。⁷

コンソールへのアラートを黙らせる

AR系や87xx系でファイアウォールを有効にすると、デフォルトではルールにないパケットを受信する度にマネージャ権限以上でログインしているコンソール（async/telnet/ssh）にアラート通知が流れてしまう。

XXX.XXX.XXX.XXX attempting to use non-policy interface

Denial of service attack from XXX.XXX.XXX.XXX is finished  

設定作業中にこれらが次々に流れてゆくと作業の邪魔も甚だしい（電源を切りたくなる）ので、次のコマンドでコンソールへのアラートは止めてしまおう。

disable firewall notify=manager  

UnTagポートにTagパケットが入ってきた時も attempting to use non-policyと怒られるので、VLAN変更をしている最中にも、これをしておくと結構助かる。

なおnotify=allにするとすべてのアラートが止まるが、ログにも残らなくなる。ファイアウォール設定が充分固まって逆に FIRE ATACK 通知で sh log が埋まるようになったら、全部止めたほうがむしろ都合が良いだろう。

時系列逆順ログ

コマンドラインヘルプ（?キーのあれ）では表示されないので気づきにくいが show log reverse (sh log rev) でログを時系列の逆順に見ることが出来る。最新のログだけ確認して Quitで抜けるのに便利だ。

> sh log rev

Date/Time   S Mod  Type  SType Message  
-------------------------------------------------------------------------------
27 17:58:21 3 IPG  IPFIL DUMP  Received invalid DA 8.240.213.66>22.103.89.96  
                               Prot=17 Int=ppp5
27 17:57:57 3 IPG  IPFIL FRAG  DirBcast Fail 6.102.80.241>22.103.89.103  
                               Prot=6 Int=vlan12
27 17:57:43 3 IPG  IPFIL FRAG  DirBcast Fail 19.6.240.45>22.103.89.103 Prot=6  
                               Int=vlan12

もちろん moduleと組み合わせて特定カテゴリのログだけ表示するときにも使える。

> sh log reverse module=ssh

Date/Time   S Mod  Type  SType Message  
-------------------------------------------------------------------------------
27 17:51:39 3 SSH  SSH   RJCT  Rejecting SSH connection from 43.29.53.43  
                               incompatible versions
27 17:43:23 3 SSH  SSH   RJCT  Rejecting SSH connection from 45.14.11.37  
                               incompatible versions
27 17:37:53 3 SSH  SSH   RJCT  Rejecting SSH connection from 43.29.53.51  
                               incompatible versions

この機能は AR5xxS系や8xxxXL系で使えるが、9424T/SP等では使えない。

Security Mode の有効時間を伸ばす

IPSec/PKI/SSH を有効化して SECURITYOFFICERユーザに切り替えると、デフォルトでは1分で再ログインを求められるようになる。いくらなんでもこれは短いと感じた時は、次のコマンドを打ち込む。

set user securedelay=3600  

設定可能な範囲は 10〜3600秒である。最短の10秒にすると相当の苦行を味わえるが、タイプ速度が上達する効能もある。

非同期ポートのボーレートを変更する

アラテレ製品では、管理用シリアルコンソールポートを非同期ポートと呼称する。初期値は baud=9600なのでこれを変更するには、次のようなコマンドを打ち込む。

set asyn=0 speed=115200

# 以下でも同じ（show conf dynの表示はこちら）
set asyn=asyn0 speed=115200  

打ち込んだ瞬間に設定が反映されるので、現在正に非同期ポートでログインしている場合は、対向端末側も設定を合わせるまで制御不能になることに注意しよう。

だがこの設定にかかわらず、機器ブート（起動時診断）メッセージは baud=9600固定である。従って動的にボーレートを変更できる端末ソフトを使っていないと思ったより難儀してしまう。結局できるだけ 9600固定で運用するほうがいざというとき慌てずに済むかもしれない。

なお設定内容は show asyn=0 で確認できる。

NTPモジュール

NTP時刻合わせのテンプレを以下に示す。ログ記録に関わるので、機器に IPを付したら真っ先に行う作業だ。

# NTPモジュールを活かして時差を指定する
enable ntp  
set ntp utc=+09:00:00

# peerアドレスは一つだけ書ける
# DNSモジュールを活かしていても FQDNでは指定できない。
add ntp peer=133.243.238.163

# 強制同期
# "ACTIVATE NTP" コマンドではない（そういうものはない）
reset ntp

# ステータス表示
show ntp

# peerアドレスの変更
# "SET NTP PEER"コマンドが存在しないので "DEL"して "ADD"する
# 当然DNSラウンドロビンも出来ないので機器毎にバラけた設定をしたりする
del ntp peer=133.243.238.163  
add ntp peer=133.243.238.164  

L3スイッチでの PPP接続

L3スイッチでのLAN型PPP接続の例を挙げる。下記は 8948XL、8724SL/8748SLでの場合だ。²

# Port1をアップリンクポートとして ONU接続に使う
create vlan="PPPoE-FLET" vid=4  
add vlan="4" port=1

# そのポートの中に PPPセッションを張って PPPインタフェースを作る
create ppp=4 over=vlan4-any  
set ppp=4 bap=off iprequest=on username="<ISPアカウント>" password="<パスワード>"  
set ppp=4 over=vlan4-any lqr=off echo=10 

# PPPインタフェースの IPは ISPから貰う
enable ip  
enable ip remote  
add ip int=ppp4 ip=0.0.0.0

# ・・・ことにしつつ、内側のVLANにそのIPを付けて NETMASKを切る
# これがL3スイッチ配下から見たゲートウェイIPになる
add ip int=vlan1 ip=<付与されたグローバルIPのひとつ> mask=255.255.255.248

# デフォルトルートは PPPインタフェースに丸投げする
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp4 next=0.0.0.0  

上位への接続は L3ルーティングとなる。設定のミソは本来 PPPインタフェースに付くべき IPを、内側の VLANにつけるところだ。

言うまでもなかろうが、IPが一つしか付与されない端末型接続の PPPでは、NATが使えなければおよそ意味が無い。L3スイッチ系では通常は NAT接続ができないので（ファイアウォールライセンスの購入が別途必須）、その場合はおとなしく ARシリーズを使おう。AR系と 89xx/87xx系の使い分けは、装備された物理ポートの数とNAT機能の有無で、PPPインタフェースの設定については概ね互換性がある。

工場出荷時初期化

Security Mode 状態から工場出荷時設定へ一気に戻すには次のようにする。AR550S v2.9.2 で確認した。

# 非同期ポート速度を初期値に変更
set asyn=0 speed=9600

# 設定ファイルを読み込まずにコールドスタート
restart router config=none

Warning: Config file MUST add a user with SECURITY OFFICER privilege.  
Do you wish to proceed with restart using specified config?(y/n)

INFO: Initialising Flash File System.  
INFO: Router startup complete

# 規定値ユーザの manager/friend でログイン
login: manager  
Password:

# SECURITY_MODE を切る
disable system security_mode

Warning: This command will disable security mode and delete all security files.  
Are you sure you wish to proceed?(y/n)  y

Info (1034003): Operation successful.

# 起動設定を消して、元の起動設定ファイルを rename あるいは delete fileする
set conf=none  
rename boot.cfg boot-old.cfg  

見れば解るが、デフォルトの managerユーザは Security Mode を切ることができる。起動設定ファイル（規定値では boot.cfg）を削除して再起動しても同じことだが、Security Mode 状態は設定ファイルと関係なく EEPROM内に保存されているため、これを切る方法を知らないと show confも create confも出来ない。

ところで起動診断時に以下のメッセージの途中で数秒間止まる。そこで "y" を押すと何が起きるだろう？

INFO: Self tests beginning.  
INFO: RAM test beginning.  
PASS: RAM test, 65536k bytes found.  
INFO: Self tests complete.  
INFO: Downloading router software.  
Force EPROM download (Y) ? 

INFO: Initialising Flash File System.  

INFO: Executing configuration script <flash:boot-1.cfg>  
INFO: Router startup complete

AR550S login:  

答えは「起動設定ファイルは読み込むが、すべてのEnableコマンドを無視する（組み込みモジュールを有効化しない）」である。このため Security Mode は切れて起動するものの、SET USERは通常通り実行されているために SECURITY OFFICERでログインすることが出来ず、かつ managerユーザが設定ファイルから削除もしくはパスワード変更されていたならば、結局は再ログイン手段が得られずに行き詰まる。

ところがここで "y" ではなく "s" を押すとどうなるだろう？³

Force EPROM download (Y) ?  
INFO: Initial download successful.

INFO: Initialising Flash File System.  


INFO: Router startup complete

 login: 

ログインプロンプトに "SET SYS NAME" が反映されていなければ成功である。つまり起動設定ファイルを読み込まないで起動できる。こうなれば自動的に managerユーザが復活するので、それでログインして Security Modeを切り、工場出荷時状態に戻してしまえる。

この Undocumentedな挙動は、対応しているいくつかの機種・ファームウェアでのみ可能⁴ですべての機種で可能なわけではない。同じ機種でもファームウェアによっては（Undocumentedなのだから当然だが）そもそも対応していなかったり、GS916M/GS924M に至っては managerユーザは復活するもののパスワードはリセットされない⁵ので、パスワード忘れ事案には対応できない。

注意点

memtestのシリアルコンソール対応は、既に充分にはメンテナンスされていないのか若干の不具合がある。例えば configurationメニューから抜けたあと画面が乱れるので起動後のテストオプションが事実上変更できないとか、ESCキーで終了したとき rebootではなく system haltで止まってしまうなどだ。とは言え VGAデバイスを持たない機材のメモリ健全性テストができるだけで充分な利用価値があったりする。

なお memtestバイナリは 32bit実行ファイルとなるので、64bit環境で buildするには /usr/include/gnu/stubs-32.hが要求される。

CentOSの場合

まず必要なパッケージをインストールする。基本的な gccやライブラリの類は yum groupinstall "Development Tools"で揃う。また memtestを makeするために 32bitバージョンの glibc-develもインストールする。

sudo yum groupinstall -y "Development Tools"

# 64bit環境の場合
sudo yum install -y glibc-devel-2.17-78.el7.i686  

memtestの SRPMをダウンロードし、rpmコマンドで展開する。展開結果は ~/rpmbuildディレクトリ以下に現れる。

rpm -iv ftp://ftp.pbone.net/mirror/vault.centos.org/7.1.1503/os/Source/SPackages/memtest86+-4.20-14.el7.src.rpm  

シリアルポートの設定は、memtestの condfig.hで行うので、これに対する patchファイルを用意する。SERIAL_CONSOLE_DEFAULT を1にするだけだが、これによって起動オプションとして console=CONFIGURATIONが記述できるようになる。

--- memtest86+-4.20/config.h        2011-01-24 03:11:04.000000000 +0900
+++ memtest86+-4.20/config.h.serial 2015-07-03 13:15:26.716441211 +0900
@@ -13,7 +13,7 @@
 /* SERIAL_CONSOLE_DEFAULT -  The default state of the serial console. */
 /*     This is normally off since it slows down testing.  Change to a 1 */
 /*     to enable. */
-#define SERIAL_CONSOLE_DEFAULT 0
+#define SERIAL_CONSOLE_DEFAULT 1

 /* SERIAL_TTY - The default serial port to use. 0=ttyS0, 1=ttyS1 */ 
 #define SERIAL_TTY 0

次いで specファイルを修正する。元の memtest86+.specをコピーして、これらを適切な場所に追加する。

cp ~/rpmbuild/SPECS/memtest86+.spec ~/rpmbuild/SPECS/memtest86+-serial.spec  

# Patch1指示を Patch0指示行の直後に追加
Patch1:   memtest86+-4.20-serial.patch

# %patch1コマンドを %patch0コマンド行の直後に追加
%patch1 -p1 -b .serial

あとは rpmbuildコマンドを叩けば、RPMパッケージが作成される。これをインストールすると /bootに展開されるが、LiveBootの場合必要なのは memtestバイナリ本体だけなので（LiveBoot環境で buildした場合は）出来上がった memtest.binを /run/initramfs/live/syslinux/mt86plusにコピーして、syslinux.cfgを編集すれば事足りる。²

rpmbuild -bb rpmbuild/SPECS/memtest86+-serial.spec

ls -l ~/rpmbuild/RPMS/x86_64/memtest86+-4.20-14.el7.centos.x86_64.rpm  
-rw-rw-r-- 1 liveuser liveuser 80616 Jul  2 18:31 rpmbuild/RPMS/x86_64/memtest86+-4.20-14.el7.centos.x86_64.rpm

ls -l ~/rpmbuild/BUILD/memtest86+-4.20/memtest.bin  
-rwxr-xr-x 1 liveuser liveuser 176500 Jul  2 18:31 rpmbuild/BUILD/memtest86+-4.20/memtest.bin

cp ~/rpmbuild/BUILD/memtest86+-4.20/memtest.bin /run/initramfs/live/syslinux/mt86plus  

# Troubleshootingメニューに追加
label memtest  
  menu label Test ^memory
  kernel mt86plus
  append console=ttyS0,115200n8

memtest.binは FDDブートイメージなので、FDDへはそのまま ddするだけでも使える。ただしそれでは今回のようなシリアルコンソール設定オプションを渡すすべがないので、syslinux等の汎用ブートローダーを利用して起動するほうが一般的だろう。

Ubuntuの場合

まず build環境を整える。apt-get build-dep PACKAGEで指定パッケージを buildするのに必要なツール類がまとめてインストールされる。

sudo apt-get update  
sudo apt-get install devscripts  
sudo apt-get build-dep memtest86+  
apt-get source memtest86+  

memtestのシリアルポート設定は CentOSの場合と同様だが（memtest86+-4.20/debian/rulesを修正するのも面倒なので）config.hは直接修正する。その後はソースディレクトリの中で debuild -us -ucを実行すれば memtest.binバイナリと、親ディレクトリに .debファイルが作成される。

cd memtest86+-4.20/

vi config.h

debuild -us -uc

ls -l memtest.bin  
-rwxr-xr-x 1 ubuntu ubuntu 164216 Jul  3 02:57 memtest.bin

memtest.binは LiveBootフラッシュドライブの mt86plusと差し替えて使用する。

ls -l /cdrom/install/mt86plus  
-rwxr-xr-x 1 root root 150024 Jun 22 16:11 /cdrom/install/mt86plus

cp memtest.bin /cdrom/install/mt86plus  

label memtest  
  menu label Test ^memory
  kernel /install/mt86plus
  append console=ttyS0,115200n8

要件定義

1. 対象機は x86_64（amd64）とする。
2. VGAデバイスは物理的に搭載されていない。GUIも使用しない。よって起動する CentOSはコンソールベースとする。
3. BIOSコンソールリダイレクト機能は対象機材でサポートされているものとする。
4. シリアルコンソールは baud=115.2kで接続する。¹
5. 成果物は ISOイメージとし、CD-R/DVD-Rに焼いて USB-ODDブート（USB光学ドライブ起動）できるものとする。通常は、再起動毎にあらゆる設定や痕跡は完全に忘却される。
6. 他の Linuxマシンを必要とすることなく、一般的な Windowsマシンから既成の USBインストーラを用いて、USBフラッシュドライブに変換できるものとする。この際 persistent領域を設定できなければならない。
7. yum一式を備えている。追加したパッケージや設定は、persistent有効時は維持される。
8. 既定のログインユーザ名は liveuser とし、パスワードも無しとする。ゆえにパスワード無しで sudoできるものとする。（一般的な LiveBootの流儀）
9. 既定のネットワーク設定・接続はオフとする。
10. これらのパスワードやネットワーク設定は persistent有効時には自由に設定変更して永続化することができ、再起動しても設定内容が失われてはならない。

以後は CentOS-7-x86_64-LiveCD-1503.iso をベースにして話を進める。32bit版や CentOS-6でも同様の手順で構築できる。²

Ubuntuでは最終的な rootfsを作るのにオンメモリ（2GiB程度）で作業できたが、CentOS用の rootfsを作成するには作業領域が足りないため、起動用 USBメモリの他に Ext4でフォーマットできるフラッシュドライブや HDDを別途用意しなければならない。なお最終的に出来上がるブータブルイメージは CD-Rに充分格納できるサイズ（640MiB以下）になる。

なお製作時のリファレンス機材には Riava RS670A を使用した。³

シリアルコンソール対応のインストーラUSBメモリを作る

まずヘッドレス環境で使用できる CentOSインストーラを LiveCD ISOイメージから作成する。Windows上でこれを行うには Fedora LiveUSB Creator⁴を使用する。

次に起動メニューを書き換える。LiveUSB Creatorが作成したベースファイルからの相違点はシリアルコンソール設定の追加が主だ。

#serial 0 115200
#console 0

default vesamenu.c32  
timeout 100  
menu background  
menu autoboot Starting CentOS Linux 7 in # second{,s}. Press any key to interrupt.

menu clear  
menu title CentOS Linux 7  
menu vshift 4  
menu rows 12  
menu margin 8  
menu helpmsgrow 15  
menu tabmsgrow 13

menu tabmsg Press Tab for full configuration options on menu items.  
menu separator  
menu separator  
label linux0  
  menu label ^Start CentOS Linux 7 Live
  kernel vmlinuz0
  append initrd=initrd0.img root=live:CDLABEL=LIVE rootfstype=vfat ro rd.live.image quiet rd.luks=0 rd.md=0 rd.dm=0 console=tty0 console=ttyS0,115200n8
  menu default
menu separator  
menu begin ^Troubleshooting  
  menu title Troubleshooting
label check0  
  menu label ^Test this media & start CentOS Linux 7 Live
  kernel vmlinuz0
  append initrd=initrd0.img root=live:CDLABEL=LIVE rootfstype=vfat ro rd.live.image quiet rd.luks=0 rd.md=0 rd.dm=0 rd.live.check console=tty0 console=ttyS0,115200n8
menu separator  
label local  
  menu label Boot from ^local drive
  localboot 0xffff
menu separator  
label returntomain  
  menu label Return to ^main menu.
  menu exit
menu end  

このフラッシュドライブで、Troubleshootingサブメニュー内の Test this media & start CentOS Linux 7 Live を選んで起動しよう。しばらく待っているとログインプロンプトが出現する。ここからは root[ENTER]で rootシェルに入ることが出来る。

rootfsを作成する

この時点で NetworkManager は起動しているので DHCPでのIP取得は既に済んでいるだろう。作業に必要なパッケージを yumで追加する。

LANG=C  
yum install -y squashfs-tools  

作業用の追加ドライブを接続してパーテションをフォーマットし、/mntにマウントしてそこに移動する。ここでは /dev/sdb1とする。

mkfs.ext4 /dev/sdb1  
mount /dev/sdb1 /mnt  
cd /mnt  

起動時のフラッシュドライブは /run/initramfs/liveに ReadOnlyでマウントされているので、これを rwオプションでリマウントして書き換え可能にする。

mount -o rw,remount /run/initramfs/live  
cd /run/initramfs/live  

現在起動している rootfsの実体は /run/initramfs/live/LiveOS/squashfs.imgだ。このファイルを差し替えるのが最終目的だが、これは LiveOS/ext3fs.imgという loopbackファイルを squashfsで圧縮した構造になっている。そこでこれを以下のようにして再現する。rootfs容量はここでは8GiBとするが、適宜任意のサイズに変えても良い。

mkdir -p squashfs-root/LiveOS  
truncate -s $((2**33)) squashfs-root/LiveOS/ext3fs.img  
mkfs.ext4 -L _CentOS-7-livecd squashfs-root/LiveOS/ext3fs.img  

このファイルを loopbackマウントして /mnt/chrootでアクセスできるようにする。

mkdir /mnt/chroot  
mount -o loop squashfs-root/LiveOS/ext3fs.img /mnt/chroot/  

後は yumのグループインストールコマンド一発で、任意の新しい rootfs環境が構築できる。

yum --installroot=/mnt/chroot --releasever=7 -y groupinstall Core  

releaseverオプションに指定する CentOSのバージョンは、/etc/os-releaseファイルを参照すると良い。

rootfsの環境設定

まず各システム領域を chroot内に bindマウントする。そしてダミーの /etc/fstab（中身は空でも良い）を作成しておく。

mount -o bind /dev/ chroot/dev/  
mount -o bind /proc/ chroot/proc/  
mount -o bind /tmp/ chroot/tmp/  
mount -o bind /run/ chroot/run/  
touch chroot/etc/fstab  

initramfsの構築設定ファイルを追加する。これは LiveBoot可能な initramfsを作成するのに必須の設定だ。

hostonly="no"  
add_dracutmodules+="dmsquash-live"  
compress="xz"  

現在起動している LiveCDシステムの、livesysサービスファイルを chroot内にコピーしてサービス登録する。このサービスは初回起動時に liveuserアカウントの作成や rootパスワードの削除処理を行うようになっている。⁵

cp -p /etc/init.d/livesys* chroot/etc/init.d/  
chroot chroot/ chkconfig --add livesys  
chroot chroot/ chkconfig --add livesys-late  

タイムゾーンとロケール情報を設定し、NetworkManagerが初回起動時は起動しないように修正する。

ln -sf ../usr/share/zoneinfo/Asia/Tokyo chroot/etc/localtime

echo "LANG=en_US.utf8" > chroot/etc/locale.conf

chroot chroot /usr/bin/systemctl disable NetworkManager  

Linux kernelモジュールの組み込み

kernelと、その他の追加パッケージをインストールする。

yum --installroot=/mnt/chroot -y install kernel squashfs-tools dump isomd5sum epel-release  

kernelと作成された initramfsを、フラッシュドライブに移動する。rescue関係のファイルは必要ないので削除する。

rm -f chroot/boot/*rescue*  
mv chroot/boot/vmlinuz-* /run/initramfs/live/syslinux/vmlinuz0.new  
mv chroot/boot/initramfs-* /run/initramfs/live/syslinux/initrd0.img.new  

最後にクリーンアップを行ってアンマウントする。rootfsの umount後は fsckで損傷がないかチェックする。

yum --installroot=/mnt/chroot clean all  
find chroot/var/log -type f -exec /bin/truncate -s0 {} \;  
umount chroot/proc/  
umount chroot/dev/  
umount chroot/run/  
umount chroot/tmp/

du -sh chroot/  
720M    chroot/

umount chroot/  
fsck.ext4 squashfs-root/LiveOS/ext3fs.img  

squashfs.img ファイルの作成

こうして出来た rootfsを mksquashfsで圧縮すれば、LiveBoot可能な新しいシステムファイルになる。ただし Ext4フォーマットした loopbackファイルをそのまま圧縮するため、インストール過程で生じた削除ファイルの痕跡などもそのまま残っていて圧縮率が低下してしまう。

mksquashfs squashfs-root squashfs.img.new

ls -lh squashfs.img.new  
-rw-r--r--. 1 root root 474M Jun 24 08:21 squashfs.img.new

これを可能な限り取り除いて圧縮するには、dump/restoreコマンドを経由してファイルシステムを完全に作り直すとよい。ただし dumpコマンドはブロックデバイスしか扱えないので、losetupコマンドを用いて /dev/loopX に loopbackファイルをバインドして指定する。手順は面倒だが、比較するとその効果は絶大だ。

mv squashfs.img.new squashfs.img.nev

yum install -y dump

loopdev=$(losetup -f)  
losetup $loopdev squashfs-root/LiveOS/ext3fs.img  
dump -0z9 -f rootdump $loopdev  
losetup -d $loopdev

ls -lh rootdump  
-rw-r--r--. 1 root root 277M Jun 24 08:30 rootdump

rm -f squashfs-root/LiveOS/ext3fs.img  
truncate -s $((2**33)) squashfs-root/LiveOS/ext3fs.img  
mkfs.ext4 -L _CentOS-7-livecd squashfs-root/LiveOS/ext3fs.img

mount -o loop squashfs-root/LiveOS/ext3fs.img chroot  
(cd chroot/; restore -r -f ../rootdump)
rm -fr chroot/lost+found restoresymtable  
umount chroot

fsck.ext4 squashfs-root/LiveOS/ext3fs.img  
mksquashfs squashfs-root squashfs.img.new

ls -lh squashfs.img.ne?  
-rw-r--r--. 1 root root 474M Jun 24 08:21 squashfs.img.nev
-rw-r--r--. 1 root root 250M Jun 24 08:38 squashfs.img.new

cp squashfs.img.new /run/initramfs/live/LiveOS/  

新 rootfsでの起動テスト

こうして作成した rootfsファイルをブートUSBメモリにコピーして shutdownし、Windows（あるいは他のLinux機）で以下の起動用ファイルを差し替える。

• vmlinuz0.new を syslinux/vmlinuz0 へ
• initrd0.img.new を syslinux/initrd0.img へ
• squashfs.img.new を LiveOS/squashfs.img へ

syslinux/syslinux.cfg は前述のそのままでよいが、今度の起動は通常の Start CentOS Linuxラベルを選択する。ログイン・プロンプトは rootで直接、あるいは liveuser（いずれもパスワード無し）でシェルに入れる。liveuserアカウントは sudoで rootアカウントになれる。

NetworkManagerは停止状態なので、ネットワークに接続するには dhclientで Link Upするか、nmcli/nmtuiでインタフェース設定を行って NetworkManagerを起動する。

sudo -s

systemctl enable NetworkManager  
systemctl start NetworkManager

nmcli connection modify enp2s0 ipv4.method manual ipv4.addresses 192.168.240.101/24 ipv4.gateway 192.168.240.1 ipv4.dns 8.8.8.8

systemctl restart network.service

# cat /etc/sysconfig/network-scripts/ifcfg-enp2s0

ISOイメージを作成する

元の ISOの squashfs.img等を差し替えた、新しいISOイメージを作成する。まず作業に必要なパッケージをインストールし、作業領域に ISO内のファイルを展開して ReadOnlyを外す。

mount /dev/sdb1 /mnt  
cd /mnt

# install mkisofs tools
yum install -y mkisofs isomd5sum

# mount image: CentOS-7-x86_64-LiveCD-1503.iso
mkdir loop  
mount /dev/cdrom loop

# copy iso files and modify attributes
cp -rf loop files  
chmod -R +w files/  
umount loop  

フラッシュドライブから先に作成した新しいシステムファイルをコピーする。このときフラッシュドライブ上では /syslinuxに vmlinuz0と initrd0.img ファイルが置かれているが、ISOイメージでは /isolinuxディレクトリになる。⁶

# copy kernel and filesystem
cp -f /run/initramfs/live/syslinux/vmlinuz0 files/isolinux/  
cp -f /run/initramfs/live/syslinux/initrd0.img files/isolinux/  
cp -f /run/initramfs/live/LiveOS/squashfs.img files/LiveOS/  

files/isolinux/isolinux.cfg をシリアルコンソール対応に修正する。最初のシリアルポート設定は BIOSコンソールリダイレクトの有無による。また先に作成した rootfsは SELinuxをサポートするように構築してはいないので、これを無効にする。isolinux/mt86plusについては標準では存在しないが、これについては別稿を参照されたい。

#serial 0 115200
#console 0

default vesamenu.c32  
timeout 100  
menu background  
menu autoboot Starting CentOS Linux 7 in # second{,s}. Press any key to interrupt.

menu clear  
menu title CentOS Linux 7  
menu vshift 4  
menu rows 12  
menu margin 8  
#menu hidden
menu helpmsgrow 15  
menu tabmsgrow 13

menu tabmsg Press Tab for full configuration options on menu items.  
menu separator  
menu separator  
label linux0  
  menu label ^Start CentOS Linux 7 Live
  kernel vmlinuz0
  append initrd=initrd0.img root=live:CDLABEL=CentOS7-liveboot rootfstype=auto ro rd.live.image quiet rd.luks=0 rd.md=0 rd.dm=0 selinux=0 console=tty0 console=ttyS0,115200n8
  menu default
menu separator  
menu begin ^Troubleshooting  
  menu title Troubleshooting
label check0  
  menu label ^Test this media & start CentOS Linux 7 1503 Live
  kernel vmlinuz0
  append initrd=initrd0.img root=live:CDLABEL=CentOS7-liveboot rootfstype=auto ro rd.live.image quiet rd.luks=0 rd.md=0 rd.dm=0 rd.live.check selinux=0 console=tty0 console=ttyS0,115200n8 
label memtest  
  menu label Test ^memory
  kernel mt86plus
  append console=ttyS0,115200n8
menu separator  
label local  
  menu label Boot from ^local drive
  localboot 0xffff
menu separator  
label returntomain  
  menu label Return to ^main menu.
  menu exit

mkisofsコマンドで ISOイメージを作成する。ここではもっともシンプルなオプション構成として GRUB（gfxboot）や EFI対応、Macintosh対応は行ってはいない。注意が必要なのは -Vオプションに渡すCDラベルで、これは kernel起動オプションに記述したのと同じものでなければならない。またこのラベルは最大16文字なのでこれを超えないようにしよう。

find ./files -print | xargs touch -m {} \;  
LANG=C mkisofs -r -J -l \  
  -V CentOS7-liveboot \
  -cache-inodes \
  -b isolinux/isolinux.bin \n
  -c isolinux/boot.cat \
  -no-emul-boot \
  -boot-load-size 4 \
  -boot-info-table \
  -o CentOS7-liveboot.iso \
  ./files

こうして出来た ISOイメージに、それ自体の改竄検出 MD5チェックサムを implantisomd5コマンドで埋め込む。Ubuntuではファイル単位で MD5をチェックしていたが、CentOSではメディアそのものをチェックする。従ってフラッシュドライブではこの仕組は動かない。一方で CD-R等に焼いた際に Write Errorが有っても、メディアの完全性を確認することが出来る。⁷

LANG=C implantisomd5 CentOS7-liveboot.iso  

改竄チェックは checkisomd5コマンドで行える。引数には調べたい ISOファイルか、メディアを挿れた ODDのデバイスファイルを指定すればよい。なお implantisomd5と checkisomd5コマンドは、isomd5sumパッケージに含まれている。⁸

checkisomd5 CentOS7-liveboot.iso  
checkisomd5 /dev/cdrom  

CD-RW/DVD-RWに ISOイメージを焼く

光学メディアへのライティングは、Ubuntuとおなじく wodimコマンドで行える。

yum install -y wodim

# erase CD/DVD-RW media
wodim dev=/dev/sr0 blank=fast

# writing image
wodim -sao -eject dev=/dev/sr0 CentOS7-liveboot.iso

# check image
checkisomd5 /dev/sr0  

こうして作成した光学メディアで ODDブートが正常に行えたら、Test this media & start CentOSラベルで起動してみよう。検査が正常に終了するとログイン・プロンプトに進み、失敗した場合は System Haltするはずだ。⁹

persistentモードを設定する

前述の ISOイメージ/光学メディアで ODDブートが正常に行えたなら、次はその ISOイメージを Live USB Creatorでもって、今度は persistent領域を設定したフラッシュドライブを作成しよう。

persistentモードは kernelオプションの rd.live.overlay=LABEL=LIVEによって有効になる。initramfsは指定された LABELを blkidコマンドで探し、これを /run/initramfs/live/にマウントする。persistent領域ファイルは LiveOSディレクトリ内の overlay-${LABEL}-${UUID}というファイル名で探して、Device Mapperによって snapshotとして /に結合される。これ自体は初期状態では（ファイルシステムではないので）単なる Zero Fillファイルである。

blkid -L LIVE  
/dev/sda1

blkid /dev/sda1  
/dev/sda1: LABEL="LIVE" UUID="0621-6D9B" TYPE="vfat" 

ls -l /run/initramfs/live/LiveOS/  
total 1299100  
-rwxr-xr-x 1 root root      20480 Jun 26 05:26 osmin.img
-rwxr-xr-x 1 root root 1068498944 Jun 30 12:32 overlay-LIVE-0621-6D9B
-rwxr-xr-x 1 root root  261758976 Jun 30 08:26 squashfs.img

Ubuntuと異なり、Device Mapperを使用しているためもあって実際にあとどの程度データが書き込めるか（保存できるか）は dfコマンドでは判断することができない。dmsetupコマンドの statusサブコマンドで、live-rwボリュームの snapshot消費ブロック数（512byte単位）を知ることはできるから、これを利用するしかない。

dmsetup status live-rw  
0 16777216 snapshot 14960/2086912 72

echo | awk '{print 14960/2086912}'  
0.00716849  

また Ubuntuの場合は、persistentファイルは overlayfsで重ねられた独立したファイルシステムであったから、非起動状態のフラッシュドライブから persistent領域内のファイルを抜き出すことは容易だったが、CentOSではこれは容易なことではない。

（現在起動しているのとは別の）フラッシュドライブ内の persistent領域にアクセスするには、以下のようにする。

## 作業領域の準備

cd /mnt  
mkdir media squash rootfs

## フラッシュドライブを作業領域にマウントし、その中の squashfs.imgをマウントする

mount /dev/sdc1 media  
mount -o loop media/LiveOS/squashfs.img squash

## ext3fs.img（readonly）と overlayファイルに loopbackデバイスを割り当てる
## 空きデバイス名は losetup -fで得られる

losetup -f  
/dev/loop6

losetup /dev/loop6 squash/LiveOS/ext3fs.img -r  
losetup /dev/loop7 edia/LiveOS/overlay-LIVE-0621-6D9B

## ふたつのデバイスを束ねて rootfsを再生する

blockdev -q --getsz /dev/loop6  
16777216

dmsetup create live-rootfs --table "0 16777216 snapshot /dev/loop6 /dev/loop7 P 8"

dmsetup status live-rootfs  
0 16777216 snapshot 17312/2086912 80

## あとはfsckしたり・・・

fsck -f -y /dev/mapper/live-rootfs

## dumpしたり・・・
## （squashfs.img作成以後分だけを抜き出すのに /etc/dumpdatesを利用する例）

echo "/dev/mapper/live-rootfs 0 $(LANG=C \  
  date +"%a %b %d %X %z" \
    -r media/syslinux/ldlinux.sys)" >> /etc/dumpdates
dump -u1z9 /dev/mapper/live-rootfs -f rootfsdump

## mountしたり・・・

mount /dev/mapper/live-rootfs rootfs  
ls -a rootfs/home/liveuser

## 作業を終えたら後始末してフラッシュドライブを切り離す

umount rootfs  
dmsetup remove live-rootfs  
losetup -d /dev/loop6  
losetup -d /dev/loop7  
umount squash  
umount media  
rmdir media squash rootfs  

/homeや swapパーテションを設定する

/etc/init.d/livesysを覗いてみると解る¹⁰が、フラッシュドライブの /LiveOSディレクトリに、home.imgファイルがあれば /homeに、swap.imgファイルが有れば swapに、それぞれ自動的にマウントするようになっている。これらのボリュームファイルは以下のようにセットアップする。

## persistentオフの場合はフラッシュドライブを rwリマウントする 
mount -o rw,remount /run/initramfs/live

## 保存領域へcd
cd /run/initramfs/live/LiveOS

## home.img ボリュームの作成（サイズは適宜）
truncate -s $((2**31)) home.img  
mkfs.ext4 -L "home-vol" home.img

## swap.img ボリュームの作成（サイズは適宜）
truncate -s $((2**31)) swap.img  
mkswap -L "swap-vol" swap.img

## あとは特に設定変更もなく再起動するだけ
sync;sync;sync  
reboot

## homeボリュームの有無は losetupで確認できる
## 容量は dfコマンドで把握可能
losetup  
NAME       SIZELIMIT OFFSET AUTOCLEAR RO BACK-FILE  
/dev/loop0         0      0         0  1 /osmin.img (deleted)
/dev/loop1         0      0         0  1 /osmin
/dev/loop2         0      0         0  1 /run/initramfs/live/LiveOS/squashfs.img
/dev/loop3         0      0         0  1 /LiveOS/ext3fs.img
/dev/loop4         0      0         0  0 /LiveOS/overlay-LIVE-748B-70C6
/dev/loop5         0      0         0  0 /run/initramfs/live/LiveOS/home.img

## swapは freeコマンドで容量が確認できる
free  
              total        used        free      shared  buff/cache   available
Mem:        8162140      178452     7610852       16720      372836     7767880  
Swap:        262136           0      262136

ダウンロード

CentOS7-liveboot-20150703.iso 313MiB (md5sum)

要件定義

1. 対象機は x86_64（amd64）とする。
2. VGAデバイスは物理的に搭載されていない。GUIも使用しない。よって起動する Ubuntuはコンソールベースとする。
3. BIOSコンソールリダイレクト機能は対象機材でサポートされている。
4. シリアルコンソールは baud=115.2kで接続する。¹
5. 成果物はISOイメージとし、CD-R/DVD-Rに焼いてUSB-ODDブート（USB光学ドライブ起動）できるものとする。通常は、再起動毎にあらゆる設定や痕跡は完全に忘却される。
6. 他の Linuxマシンを必要とすることなく、一般的な Windowsマシンから既成のUSBインストーラを用いて、USBフラッシュドライブに変換できるものとする。この際 persistent領域を設定できなければならない。
7. apt-get一式を備えている。追加したパッケージや設定は、persistent有効時は維持される。
8. 既定のログインユーザ名は ubuntu とし、パスワードも無しとする。ゆえにパスワード無しで sudoできるものとする。（一般的なLiveBootの流儀）
9. 既定のネットワーク設定・接続はオフとする。
10. これらのパスワードやネットワーク設定は persistent有効時には自由に設定変更して永続化することができ、再起動しても設定内容が失われてはならない。

要するに、KVMやDocker等の仮想マシン環境のそれと同様の感覚で、気軽に使用できる使い捨て環境の物理版²である。その仕様上基本的には RAMシステムとなり Swapは初期設定しない。従ってメインメモリは充分潤沢に搭載されているものとする。³

Ubuntu LiveCD Customization については こちらを参照 のこと。

以後は ubuntu-15.04-desktop-amd64.iso をベースにして話を進める。32bit版でも同様だが、14.xx LTS では本稿で解説している手法は使えない。⁴

なお製作時のリファレンス機材には Riava RS670A を使用した。⁵

シリアルコンソール対応のインストーラUSBフラッシュドライブを作る

まずはヘッドレス環境で使用できるUbuntuインストーラを作らなければならない。UbuntuのインストーラISOには Desktop版と Server版があり、後者には CLI（テキスト）インストール機能があるが、本稿では Desktop版のISOイメージをベースにする。

端的には、内蔵ストレージにテキストベースの Ubuntuをクリーンインストールして GRUBで起動するのであれば、Server版をベースにするのが筋だ。だが Server版のISOイメージは LiveBoot機能を持たないため、今回の目的では Desktop版ISOイメージから作り出すほうが楽なのである。

用意するのは Ubuntu Desktop 64-bit Install ISO ファイルと、FAT32でフォーマットした1GiB以上のUSBフラッシュドライブと、Universal USB Installer⁶だ。

Windowsマシンで USBインストーラを立ち上げ、ダウンロードしたISOイメージと書き込み先フラッシュドライブを指定して起動可能メディアを作成する。この時 persistent領域は指定しない（永続化しない）。

次にブートメニューを書き換えてシリアルコンソールが使えるようにする。この作業は原則として TeraPadや MIFESのようなテキストエディタで行うが、Windows Notepadでもできなくはない。フラッシュドライブに書き込まれた元ファイルは LF改行なので Notepadでは全部が1行に繋がってしまうが、ブートローダー（SYSLINUX）は CR+LF改行でも動作するので、Notepadでも以下のテンプレートにそのまま入れ替えてしまってもよい。

isolinux.cfg冒頭のシリアルポート設定⁷は、BIOSにコンソールリダイレクト機能が備わっている場合には必要ない。BIOSとブートローダーの両方で設定をしてしまうと、入出力がバッティングして表示が崩れたりキー入力に不具合が生じる。従って今回の場合はコメントアウトで記述しておくだけとする。

#serial 0 115200
#console 0
path  
include menu.cfg  
default vesamenu.c32  
prompt 0  
timeout 50  

stdmenu.cfg からはスプラッシュ画像や表示色の設定をごっそり削る。またブートメニューが 80x24程度に収まるよう、vshift等を調整する。

menu vshift 4  
menu rows 10  
menu helpmsgrow 15  
menu cmdlinerow 16  
menu timeoutrow 16  
menu tabmsgrow 18  
menu tabmsg Press ENTER to boot or TAB to edit a menu entry  

txt.cfgのカーネルオプション行には、BIOSからカーネルに制御が渡った後のシリアルコンソール設定 console=tty0 console=ttyS0,115200n8を追記する。またLiveCD機能による自動ネットワーク構成が勝手に動かないよう ip=frommediaも必ず設定する。そしてこの段階では GUIと Ubuntuインストーラの起動をスキップしてシェルに落ちるための singleを指定しておく。

menu title Ubuntu Console boot menu  
default live  
label live  
  menu label ^Try Ubuntu Console
  kernel /casper/vmlinuz.efi
  append  file=/cdrom/preseed/ubuntu.seed boot=casper cdrom-detect/try-usb=true noprompt floppy.allowed_drive_mask=0 ignore_uuid initrd=/casper/initrd.lz ip=frommedia console=tty0 console=ttyS0,115200n8 single ---
label memtest  
  menu label Test ^memory
  kernel /install/mt86plus
  append console=ttyS0,115200n8
label hd  
  menu label ^Boot from first hard disk
  localboot 0x80

追加された kernel起動パラメータは以下の意味を持つ。

• boot=casper
  casperによるブートシーケンス（LiveBoot）を実行する。
• cdrom-detect/try-usb=true
  USBメモリブートデバイスを CDROMと同等に扱う。
• floppy.allowed_drive_mask=0
  フロッピーデバイスを無視する。
• ignore_uuid
  ブートメディアのUUIDをチェックしない。
• ip=frommedia
  ブートメディアの /etc/network/interfaces 設定を有効にする。
• console=tty0
  tty0をコンソール入出力に使用する。tty0は一般に VGA表示デバイスやフレームバッファである。
• console=ttyS0,115200n8
  ttyS0をコンソール入出力に使用する。ttyS0は一般に第一シリアルポート。通信要件は baud=115200、パリティなし、8bit幅とする。このふたつのconsole指定は、両方書く場合はこの順番（tty0、ttyS0）で書かなければならない。⁸
• single
  シングルモードで起動する。ここでは Ubuntuインストーラを起動させないために指定する。

なおインストールイメージに含まれる memtest86+（mt86plus）は、シリアルコンソールに対応していない。通常のVGA表示に加えてBIOSコンソール表示もするようにリビルドしたバイナリと差し替えておくと便利だ。⁹

rootfsを作成する

上記のUSBメモリで起動し Try Ubuntu Consoleを実行するとシングルユーザモードのbashシェルが起動する。まずは dhclientを起動したり、あるいは ifconfigと routeを叩くなりしてインターネットへ接続できるようにしよう。またロケール変数もセットする。

dhclient eth0

LANG=C  

現在起動しているこの環境は RAMシステムのため、8GiBの物理メモリを積んでいるなら 4GiB容量の RAMディスクが使える。これから作る rootfsは 2GiBも余裕があれば充分なので、/root以下を作業領域とする。なお /tmpは tmpfsマウント時のオプションのせいでそのままでは使用できない¹⁰。RAM容量が足りない場合には Ext4フォーマットした別の USBメモリや外付けHDD等を作業領域に使おう。

新しい rootfsは debootstrapパッケージを利用して作成する。さらにそれを LiveBootで使えるようにするために squashfs-toolsパッケージを用いるので、これらをインストールする。

apt-get install debootstrap squashfs-tools  

構築する Ubuntuのコードネームと CPUアーキテクチャは USBメモリから起動したそれと同じものとするが、これらは以下のコマンドで確認できる。

lsb_release -a  
No LSB modules are available.  
Distributor ID: Ubuntu  
Description:    Ubuntu 15.04  
Release:        15.04  
Codename:       vivid

dpkg --print-architecture  
amd64  

lsb_releaseコマンドが参照している実体は/etc/lsb-releaseなので、これをsourceコマンドで読めば環境変数で参照できるようになる。

cat /etc/lsb-release  
DISTRIB_ID=Ubuntu  
DISTRIB_RELEASE=15.04  
DISTRIB_CODENAME=vivid  
DISTRIB_DESCRIPTION="Ubuntu 15.04"

source /etc/lsb-release

echo $DISTRIB_CODENAME  
vivid  

これらを debootstrapコマンドの引数に記述してミニマムな新規 rootfsを構築する。

source /etc/lsb-release  
mkdir newroot  
debootstrap --arch $(dpkg --print-architecture) \  
   $DISTRIB_CODENAME newroot http://archive.ubuntu.com/ubuntu

rootfsの環境設定

構築された rootfsは上記のコマンドだけで、すでに chrootして一応 apt-getも実行できる状態になっているが、kernelはまだインストールされていない。そこでこれらを行う前の準備として /proc、/dev、/run を rootfs内にマウントする。またデフォルトロケールとタイムゾーンをセットする。

mount -o bind /proc/ newroot/proc/  
mount -o bind /dev/ newroot/dev/  
mount -o bind /run/ newroot/run/

chroot newroot/ /usr/sbin/locale-gen en_US.UTF-8  
chroot newroot/ /usr/sbin/update-locale LANG=en_US.UTF-8  
chroot newroot/ /usr/sbin/dpkg-reconfigure locales  
chroot newroot/ /usr/bin/timedatectl set-timezone Asia/Tokyo  

さらに aptが参照する newroot/etc/apt/sources.listには必要最小限の1行しか書かれていないので、これを以下の内容に書き換える。¹¹

deb http://jp.archive.ubuntu.com/ubuntu/ vivid main restricted  
deb-src http://jp.archive.ubuntu.com/ubuntu/ vivid main restricted  
deb http://jp.archive.ubuntu.com/ubuntu/ vivid-updates main restricted  
deb-src http://jp.archive.ubuntu.com/ubuntu/ vivid-updates main restricted  
deb http://jp.archive.ubuntu.com/ubuntu/ vivid universe  
deb-src http://jp.archive.ubuntu.com/ubuntu/ vivid universe  
deb http://jp.archive.ubuntu.com/ubuntu/ vivid-updates universe  
deb-src http://jp.archive.ubuntu.com/ubuntu/ vivid-updates universe  
deb http://jp.archive.ubuntu.com/ubuntu/ vivid multiverse  
deb-src http://jp.archive.ubuntu.com/ubuntu/ vivid multiverse  
deb http://jp.archive.ubuntu.com/ubuntu/ vivid-updates multiverse  
deb-src http://jp.archive.ubuntu.com/ubuntu/ vivid-updates multiverse  
deb http://jp.archive.ubuntu.com/ubuntu/ vivid-backports main restricted universe multiverse  
deb-src http://jp.archive.ubuntu.com/ubuntu/ vivid-backports main restricted universe multiverse  
deb http://security.ubuntu.com/ubuntu vivid-security main restricted  
deb-src http://security.ubuntu.com/ubuntu vivid-security main restricted  
deb http://security.ubuntu.com/ubuntu vivid-security universe  
deb-src http://security.ubuntu.com/ubuntu vivid-security universe  
deb http://security.ubuntu.com/ubuntu vivid-security multiverse  
deb-src http://security.ubuntu.com/ubuntu vivid-security multiverse  

次に LiveBoot専用の管理者ユーザ ubuntuおよびグループを作成し、パスワードなしでログイン出来るようにする。さらにrootアカウントでは直接ログイン出来ないようにロックしておく。このユーザ名は LiveBoot機能を提供している casperモジュールの設定に合わせたものだ。むろんそれぞれに任意のパスワードを設定しても構わない。（それを忘れたりしなければ）

chroot newroot/ /usr/sbin/addgroup --system --gid=999 ubuntu  
chroot newroot/ /usr/sbin/useradd -s /bin/bash -g ubuntu --uid=999 -m -k /dev/null ubuntu  
chroot newroot/ /usr/bin/passwd -d ubuntu  
chroot newroot/ /usr/sbin/usermod -L root  

内蔵ストレージに直接起動可能な rootfsをインストールする場合は、この時点で/etc/fstabを作成しなければならないが、LiveBootではこれが起動中に動的に作成・設定されるため、必要ない。

以上の環境設定が済んだら、apt-getで update/upgradeを行って chroot環境を更新する。

chroot newroot/ /usr/bin/apt-get update  
chroot newroot/ /usr/bin/apt-get upgrade  

Linux kernelモジュールの組み込み

いよいよ rootfs内に kernelモジュールをインストールするのだが、その前に現在起動中の USBメモリ（この例では/dev/sda）の MBRセクタを一応バックアップしておく。kernelインストール中に grub-pcセットアップが走るのだが、このとき MBRが上書きされてリブート不能¹²になるのを避けるためだ。なおインストールする kernelパッケージ名は 64bitと 32bitでは異なる。

dd if=/dev/sda of=mbr count=1  

chroot newroot/ /usr/bin/apt-get install linux-signed-image-$(uname -r)  

chroot newroot/ /usr/bin/apt-get install linux-image-$(uname -r)  

grub-pcセットアップは Continue without installing GRUB?を選んで何もせずに抜ける。そして忘れないうちにバックアップしておいた MBRを書き戻す。

dd if=mbr of=/dev/sda  

続いてその他のパッケージを追加インストールし、整合性を確認したのち、パッケージキャッシュを削除する。少なくとも plymouthはインストールが必要である。

chroot newroot/ /usr/bin/apt-get install plymouth squashfs-tools openssh-client  
chroot newroot/ /usr/bin/apt-get -f install  
chroot newroot/ /usr/bin/apt-get upgrade  
chroot newroot/ /usr/bin/apt-get autoremove  
chroot newroot/ /usr/bin/apt-get clean  

最後に newroot/var以下のクリーニング¹³と、newroot/bootから kernelとinitrdの削除する。LiveBootではブートデバイスの casperディレクトリにある kernelとinitrdをそのまま使用するのでこれらの容量を節約する。

find newroot/var/log -type f -exec truncate -s 0 {} \;  
find newroot/var/cache -name \*-old -delete  
rm -fr newroot/var/lib/apt/lists/*

rm -f newroot/boot/vmlinuz-* newroot/boot/initrd.img-*  

以上で rootfsの構築は完了したのだが、作業時にマウントした /proc、/dev、/run がアンマウントできない場合がある。その際は lsofコマンドで掴んでいるプロセス探して killすればよい。正しくアンマウントできていれば duコマンドで使用容量が把握できる。

lsof | grep newroot

kill <PID>

unmount newroot/run  
unmount newroot/dev  
unmount newroot/proc

du -sh newroot/  
420M    newroot/  

filesystem.squashfs ファイルの作成

構築した rootfsを mksquashfsコマンドで圧縮する。このファイルはUSBメモリの /casperディレクトリに格納するが、これは /cdrom/casperとして見ることが出来る。ただし /cdrom（USBメモリ）は roマウントされていてそのままでは書き込めないため、rwオプションでリマウントする。またそこにある filesystem.squashfsはいままさに /rofsにマウントして使われているため、直接上書きしてはならない。そこで別のファイル名で保存しておく。またこの rootfs全体のブロックサイズも保存しておく。

mount -o rw,remount /cdrom  
mksquashfs newroot /cdrom/casper/filesystem.squashfs.newroot  
printf $(du -s --block-size=1 newroot | cut -f1) > /cdrom/casper/filesystem.size.newroot  

ちなみに mksquashfsで作成したファイルは unsquashfsコマンドで展開することが出来る。

unsquashfs -d expand-root /cdrom/casper/filesystem.squashfs

ls expand-root/  
bin   dev  home        lib    media  opt   root  sbin  sys  usr  vmlinuz  
boot  etc  initrd.img  lib64  mnt    proc  run   srv   tmp  var  

新 rootfs での起動テスト

これらの作業を終えたら poweroff（shutdown -h）して、USBメモリを Windowsマシンに戻して以下の修正を行う。

• 既存の /casper/filesystem.squashfs を filesystem.squashfs.org にリネーム
• /casper/filesystem.squashfs.newroot を filesystem.squashfs にリネーム
• 同様に filesystem.size も差し替える。
• /isolinux/txt.cfg の append行からキーワード single を削除する。

この新たな環境での LiveBoot起動に失敗した場合は、上記の逆の手順でインストーライメージのシングルモードに戻す。そして unsquashfsコマンドで rootfsを展開して修正することを繰り返す。

新たな LiveBootが正しく起動してログイン・プロンプトが現れたら、ユーザ名 ubuntu（パスワード無し）でコンソールに入れるはずだ。また sudo -sで rootシェルになれる。

ISOイメージを作成する

こうして作成した filesystem.squashfsと、ブートメニューファイルを差し替えた ISOイメージを作成する。

まずベースになる Desktop版ISOイメージをローカルに展開する。これはODD（光学ドライブ）から読みだしても良いし、フラッシュドライブにISOイメージをコピーしておいて loopbackマウントで読みだしても良い。コピーしたファイルは書き込み不可となっているので chmodコマンドでパーミッションを変更する。

cd /tmp

mkdir loop

sudo mount -o loop ubuntu-15.04-desktop-amd64.iso loop/  
mount: /dev/loop2 is write-protected, mounting read-only

cp -r loop files  
sudo umount loop  
chmod -R +w ./files

ls files/  
autorun.inf  casper  EFI      isolinux    pics  preseed             ubuntu  
boot         dists   install  md5sum.txt  pool  README.diskdefines  wubi.exe  

現在起動している filesystem.squashfsは /cdrom/casper/以下に見えているのでこれをコピーする。

cat /cdrom/casper/filesystem.squashfs > files/casper/filesystem.squashfs  

isolinux/isolinux.cfg¹⁴や stdmenu.cfgについては前に上げたのと同じなので割愛する。新しい ODDブート用の isolinux/txt.cg は以下のように記述する。

menu title Ubuntu Console boot menu  
default live  
label live  
  menu label ^Try Ubuntu Console
  kernel /casper/vmlinuz.efi
  append  file=/cdrom/preseed/ubuntu.seed boot=casper initrd=/casper/initrd.lz quiet ip=frommedia console=tty0 console=ttyS0,115200n8 ---
label check  
  menu label ^Check disc for defects
  kernel /casper/vmlinuz.efi
  append  boot=casper integrity-check initrd=/casper/initrd.lz quiet console=tty0 console=ttyS0,115200n8 ---
label memtest  
  menu label Test ^memory
  kernel /install/mt86plus
  append console=ttyS0,115200n8
label hd  
  menu label ^Boot from first hard disk
  localboot 0x80

md5sum.txtは2番目の起動選択 Check disc for defectsを選んだ際に参照される改竄チェックファイルだ。単純にこのファイルをゼロバイトに切り詰めれば何もチェックされない。一方この機能を活かしたい場合、チェックファイルを作成した後に md5sumが変わってしまうファイル、すなわち md5sum.txt自身と mkisofsコマンドが作成・更新する boot.cat、isolinux.bin はチェックリストから除外しておかなければならない。

pushd ./files  
rm -f md5sum.txt isolinux/boot.cat  
find . -type f -print | xargs md5sum | grep -v isolinux.bin > ../md5sum.txt  
mv ../md5sum.txt .  
popd  

ISOイメージを作成する mkisofsコマンドは、同名のパッケージでインストールできる。

sudo apt-get install mkisofs  

mkisofsコマンドの引数¹⁵のうち -b（ブートローダーファイル）と-c（カタログファイル）は構築対象ディレクトリを基準とした場合のパス指定になるので注意しよう。また出力する ISOファイルは、先に上げた USBインストーラを使用する場合はその制限によりファイル名中に desktopの文字列が入っていなければならない。ともかく指定するオプションが多いのでシェルスクリプトにしておいたほうがコードの再利用と修正はしやすい。

find ./files -print | xargs touch -m {} ¥;  
LANG=C mkisofs -r -J -l \  
  -V UBUNTU64 \
  -cache-inodes \
  -b isolinux/isolinux.bin \
  -c isolinux/boot.cat \
  -no-emul-boot \
  -boot-load-size 4 \
  -boot-info-table \
  -o ubuntu-15.04-desktopless-amd64.iso \
  ./files

ls -la ubuntu-15.04-desktop*  
-rwxr--r-- 1 ubuntu ubuntu 1150844928 Jun 17 16:59 ubuntu-15.04-desktop-amd64.iso
-rw-rw-r-- 1 ubuntu ubuntu  238929920 Jun 17 17:25 ubuntu-15.04-desktopless-amd64.iso

出来上がった ISOイメージはフラッシュドライブや NASなどにコピーして保存しておこう。

CD-RW/DVD-RWに ISOイメージを焼く

前項で作成したISOイメージを Linuxで CD-RW/DVD-RWメディアに焼くには以下のようにする。

まずライティングソフトとして wodimパッケージをインストールする。

sudo apt-get install wodim  

USB-ODDは、おそらく /dev/sr0 等に見えるだろう。wodimコマンドの -scanbusオプションは SCSIバス以外には機能しないので、dmesgでデバイスノードを確認する。

sudo wodim dev=/dev/sr0 --devices  
wodim: Overview of accessible drives (1 found) :  
-------------------------------------------------------------------------
 0  dev='/dev/sr0'      rwrw-- : 'Slimtype' 'eTAU108   1'
-------------------------------------------------------------------------

CD-RW/DVD-RWメディアをブランク消去するには wodimコマンドの blankオプションを使う。

sudo wodim dev=/dev/sr0 blank=fast  

wodimコマンドにISOイメージファイルを与えると、それを指定のドライブに焼きこむ。

sudo wodim -sao -eject dev=/dev/sr0 ubuntu-15.04-desktopless-amd64.iso  

persistentモードを設定する

前述の ISOイメージ/光学メディアで ODDブートが正常に行えたなら、次はその ISOイメージを USBインストーラでもって、今度は persistentモードを設定した USBメモリを作成しよう。

persistentモードが有効な USBメモリは、kernel起動オプションに persistentが加わり、USBメモリのルートに casper-rwというファイルが作成される。このファイルの実体は overlayfsを用いて /に重ねられた ext4フォーマットの loopbackマウントファイルだ。/rofsにマウントされた filesystem.squashfsとの変更差分は、この casper-rwに記録されるようになる。

df -Th  
Filesystem     Type      Size  Used Avail Use% Mounted on  
udev           devtmpfs  3.9G     0  3.9G   0% /dev  
tmpfs          tmpfs     798M  8.6M  789M   2% /run  
/dev/sda       vfat      2.0G  1.5G  468M  76% /cdrom
/dev/loop0     squashfs  182M  182M     0 100% /rofs
/cow           overlay   976M   14M  895M   2% /
tmpfs          tmpfs     3.9G     0  3.9G   0% /dev/shm  
tmpfs          tmpfs     5.0M     0  5.0M   0% /run/lock  
tmpfs          tmpfs     3.9G     0  3.9G   0% /sys/fs/cgroup  
tmpfs          tmpfs     3.9G     0  3.9G   0% /tmp  
tmpfs          tmpfs     798M     0  798M   0% /run/user/999  

persistentモードが正しく効いているかどうかは、更新したログインパスワードやネットワーク設定が再起動しても正しく機能するか否かで容易にわかる。例えばrootアカウントでログイン可能にし、ubuntuアカウントを無効にして新たにadminユーザを作成し、rootとadminにパスワードを設定してみよう。

sudo -s

usermod -U root

passwd root  
Enter new UNIX password:  
Retype new UNIX password:  
passwd: password updated successfully

usermod -L ubuntu

addgroup --system admin  
Adding group `admin' (GID 112) ...  
Done.

useradd -s /bin/bash -g admin -m -k /dev/null admin

passwd admin  
Enter new UNIX password:  
Retype new UNIX password:  
passwd: password updated successfully  

/etc/network/interfaces に記述したネットワーク設定も persistentモードでなら起動時に反映される。¹⁶

source-directory /etc/network/interfaces.d

auto lo  
iface lo inet loopback

auto eth0  
iface eth0 inet static  
    address 192.168.240.135
    network 192.168.240.0
    netmask 255.255.255.0
    broadcast 192.168.240.255
    gateway 192.168.240.1
    dns-nameservers 192.168.240.1 8.8.8.8 8.8.4.4

auto eth4  
iface eth4 inet dhcp  

persistentモードで記録された内容を無視してデフォルト状態で起動するには、ブートメニューの起動ラベル選択時に persistentラベルを取り除けば良い。あるいは casper-rwファイルをリネームして再起動してしまう。¹⁷

cd /cdrom  
mv casper-rw casper-rw.bak  
reboot  

新たな（まっさらの）1GiBの casper-rwファイルは Linux上では以下の手順で作成できる。また事のついでなので、Windows上からもこのファイルを容易に置き換えられるように、フォーマットしたばかりの casper-rwファイルを zipコマンドで圧縮バックアップしておくと、USBインストーラを使わなくても最初期化できるので、いざというとき何かと便利だ。¹⁸

cd /cdrom

rm -f casper-rw.bak

truncate -s $((2**30)) casper-rw

ls -l casper-rw  
-rwxr-xr-x 1 root root 1073741824 Jun 18 13:11 casper-rw

mkfs.ext4 -L casper-rw casper-rw


apt-get install zip

zip casper-rw.zip casper-rw  

なお FAT32での最大のファイルサイズは 4GiB-1バイトなので、truncateコマンドでの容量指定は$((2**32-1))となる。¹⁹

ダウンロード

ubuntu-15.04-desktopless-amd64-20150703.iso 174MiB (md5sum)

犯人はだれ

Linuxサーバをテキトーに作ってテキトーに運用してるとやらかしがちなのがrootメールの始末だろう。ターミナルログインしてrootにsuしたら毎回You have mailと言われるアレである。mailコマンドを打ってもよくわからんメールが大量に溜まっておりいちいち読むのも削除するのも面倒だからと放置しがちだが、気を抜くと何年かして忘れた頃に突如ディスクが溢れて、システム丸ごと制御不能ということも稀にあるからあなどれない。それはまあ自業自得なのだが、ミニマルな普通のRHEL/CentOS（Linux）ならrootメールの生成元は基本的に以下のふたつだけだ。

• crond
• logwatch

たったふたつしかないのだからサーバセットアップ時に忘れずに対処しておくに越したことはない。あとからnagiosやらchkrootkitやらを動かしだすと当然メール生成元が増えてゆくわけだしその前に、である。とりあえず手堅いのは/etc/aliasesを編集してrootメールを外部のまともなメールアドレスに丸ごと転送してしまうことだ。

aliasesで転送する

/etc/aliasesの末尾を見ると次のようになっている。

# trap decode to catch security attacks
decode:         root

# Person who should get root's mail
#root:          marc

見れば分かる通り root: USERIDを追記すれば、 root宛のメールは指定のローカルアカウントに転送され、 rootのスプールには残らなくなる。従って普段コンソールログインに使用するアカウントを指定してやれば、 rootにならなければメールが来ていることに気付かない、という事態は避けられる。

/etc/aliasesを編集したら忘れずに newaliasesを実行してMTAを更新しよう。

当然、USERIDの代わりに外部メールアドレスを記述すれば、 rootメールはすべてそこに送られる・・・はずなのだが、システムによってはうまく動かない。その秘密が直前にある decode: rootだ。コメントにある通りセキュリティ上の理由で rootメールが外部に送信されないよう制限をかけている。故にこの制限をコメントアウトすれば意図通りあらゆる rootメールが外部メールアドレスへ全転送されるようになる。

# trap decode to catch security attacks
#decode:        root

# Person who should get root's mail
root:           log@example.com  

言うまでもなくこの設定で万一あれやこれやをされるとたいへん面白くない事態になる。セキュリティ設定は無闇に外すべきではないのが筋であるから、いったん普段使いのログインアカウントに転送し、そちらで外部メールアドレスへ再転送するように設定するのが正しい。

# trap decode to catch security attacks
decode:         root

# Person who should get root's mail
root:           charlie

charlie:        log@outer.example.com  

ログイン管理者が複数いるなら、カンマで区切って転送先を列挙すればめいめいに転送される。これは簡易的なメーリングリストの作成方法と同じだ。

root:           charlie, dennis  

当たり前だが自分自身に転送すればループメールになってしまう。外部転送しつつローカルにもメールを残したい場合は、バックスラッシュをつけたエイリアス名を記述する。

X charlie:        charlie, log@outer.example.com

O charlie:        \charlie, log@outer.example.com  

aliasesで MailFroｍを書き換える

ところで、当然ながら外部メールアドレスへの転送を行う場合は、リジェクトやらドロップやらでエラーメールが戻ってくる¹ことになる。これをまた転送してしまえば当然無限ループになるので、回避するために転送メールの Fromをカスタマイズする手がある。各メール生成元で個別に MailFromを設定するのが正道だが、上記のエイリアスの仕組みを使えば該当アカウントを通過するすべてのメールのFromをもれなく上書きしてしまえる。

charlie:          \charlie, "|/var/local/fw-charlie-to-log.sh"  
owner-fw-charlie: \charlie  

#!/bin/sh -
/usr/lib/sendmail -f owner-fw-charlie@mydomain log@outer.example.com

これは、charlieに届いたメールは自分自身のローカルに保存されるとともに、指定スクリプト²の標準入力に送る。スクリプトの方は Fromを charlieのエイリアス owner-fw-charlie³に書き換えつつ外部の log@outer.example.comに送信する。こうしておいていざリジェクトメールが帰ってくると、それは owner-fw-charlie宛に着信することになる。 owner-fw-charlieのエイリアス設定行では charlieへのローカル保存のみを指示しているので、再度の外部転送は発生せず、ループメールもここで止めつつリジェクトを捨てずに保存させることができる。

この話はクラウドVPS等の運用でグローバルIPを持っておりかつ SMTPポートを開けてメール受信もする正規のサーバでのことだが、送信元サーバ自身でエラーメールを受け取らないような運用でも、同じように MailFromを書き換える価値はある。とは言えその場合は From偽装とやっていることは同じなので正しく着発信できループにもならないよう充分に気を払う必要がある。

crondのメール送信を止める

ここまでは各種ステータス＆ジョブメールを捨てずに外部転送して受け取り＆閲覧する前提の話⁴だったが、ここからはメール生成そのものを元から止めてしまう方法である。

cronの出すジョブメールを止めるには、まず第一に cron実行されるジョブがstdoutもstderrも吐かないことが最重要だ。出力が何もなければ cronメールは生成されない。本来cronジョブのバックグラウンド終了結果を実行ユーザに返す仕組みなので、その中身は個々のジョブが責任を持っている・・・が、そうも言ってられない事態も時にはあるもので、そういう時は /etc/sysconfig/crond のCRONDARGSを次のように修正し、 service crond restartする。

# Settings for the CRON daemon.
# CRONDARGS= :  any extra command-line startup arguments for crond
CRONDARGS="-m off"  

もう少し一般的な（汎用的な）メールの止め方としては、 /etc/crontabに MAILTO=""を書く方法だろう。この方法は RHEL/CentOSに限らず Linux全般や *BSDにも通用する。そして編集後には crondを再起動（あるいはkill -HUP）しなければならないのだが、どういうわけか誰もが頻繁にプロセス再起動を忘れるのは定番のお約束である。⁵

SHELL=/bin/bash  
PATH=/sbin:/bin:/usr/sbin:/usr/bin  
MAILTO=root  
MAILTO="log@outer.example.com"  
MAILTO=""  
HOME=/

# For details see man 4 crontabs

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name command to be executed

ところがこの方法には落とし穴がある。crontabファイルは /etcの下にあるものばかりではない。

# /usr/bin/crontab -l
MAILTO="root"  
#* * * * * /etc/pound/poundchk.sh 1>/dev/null 2>&1
* * * * * /etc/rc.d/secure_cleaning.pl
*/3 * * * * /etc/rc.d/dns_listen_flush.sh

/var/spool/cron/ 以下には各ユーザ別の crontabファイルを作ることが出来る。 /etc/crontabに比べると6カラム目のユーザ指定がない⁶ことを除けば実質同じものだ。当然MAILTO環境変数も同様に指定できるので、こちらでもメール送信が設定されていないか確認したほうがよい。

言うまでもなく先に上げた /etc/sysconfig/crondでメールを止める方法はメール送信が完全に止まるので、MAILTO環境変数を改めて指定してもジョブメールが出たりすることはない。

logwatchのレポートメールを止める

logwatchについては、もっと高級なシステム監視（ZABBIXやNagios）を採用しているなら不必要なことがほとんどなので、logwatchパッケージ自体を削除して最初からなかったことにしてしまうのが一番シンプルで確実だ。

sudo yum remove logwatch  

logwatchはperlやsendmail（postfix）くらいにしか依存していないはずなので、依存性により本パッケージ削除できないという事態は滅多にない。だが事情により既存パッケージを削除したくない・できない⁷等という運営上の理由があるならば、以下の設定で動作を止めることができる。

echo "DailyReport=No" >> /usr/share/logwatch/default.conf/logwatch.conf  

これは/etc/cron.daily/0logwatchが次のように書かれているためだ。

#!/bin/bash

DailyReport=`grep -e "^[[:space:]]*DailyReport[[:space:]]*=[[:space:]]*" /usr/share/logwatch/default.conf/logwatch.conf | head -n1 | sed -e "s|^\s*DailyReport\s*=\s*||"`

if [ "$DailyReport" != "No" ] && [ "$DailyReport" != "no" ]  
then  
    logwatch
fi  

/etc/cron.daily/0logwatchを削除したり実行パーミッションを落とせば良くないか？という発想は甘い。yum updateの際に欠損ファイルが復旧されたり、パーミッションが元通りに修復されてしまう事態がおこるため、こういうものは設定ファイルで動作を止めるのが正義である。

溢れたrootメールを消す・証拠を残す

以上の予防処置を講じるまでもなく rootメールが溢れたあとでは、まあだいたいシステム（のディスク残量）が終わっているのでこうするしかない。

# > /var/spool/mail/root 

ゼロバイト消去をするか、rm -fで削除するかは好みではあるが、いずれにせよ早急にディスク容量を回復する必要がある状況のはずだ。悠長に問題ファイルのバックアップを保存して・・・などという余裕はないだろう。そもそもファイルコピーするだけのリソース余地なぞ残っていまい。

だが障害報告書に貼り付けるだけの最小限の状況証拠は残しておきたい場合はどうするか。かろうじてリモートターミナル⁸が繋がっているなら、ターミナルアプリのログ機能を利用して記録を取ることができる。要するにスプールファイルを catでコンソールに流して保存したりスクリーンショットを撮影したりする。

もっとも真正直に catで全部流すと何時間掛かるか分かったものではないので、 head と tailで最初と最後の数メールぶん程度を記録すれば充分だろう。少なくとも何時からメールが溜まり始め、何時までシステムが動いていたかの問題期間を特定することは出来るはずだ。

Postfixのドロップメールを消す

rootメールを外部送信するようにしていながら送信先がなかったり間違っていた場合、maildropやbounceディレクトリが溢れることになる。「それ」が溢れていることが自明⁹であるならば、敢えてディレクトリの中を lsしようとしたり、rm -fしようとしたりしてはいけない。¹⁰

# rm -f /var/spool/postfix/maildrop/*
Too many arguments  

この場合は該当ディレクトリごと rm -frして改めてディレクトリを作りなおすか、 find|xargsで消すか、今時の findなら -deleteオプションが備わっているので、それを使って消す。

# rm -fr /var/spool/postfix/maildrop
# mkdir /var/spool/postfix/maildrop
# chown postfix:postdrop /var/spool/postfix/maildrop
# chmod 730 /var/spool/postfix/maildrop

# find /var/spool/postfix/maildrop/ -type f -print | xargs rm -f

# find /var/spool/postfix/maildrop/ -type f -delete

/bootbank/boot.cfg の修正

通常の手順で既にインストール＆稼働済のESXiホストが相手の場合、シリアルコンソール化するには起動設定ファイルに修正を加えるだけで済む。ESXiのバージョンによって多少異なるが、5.x系はkerneloptの1行にシリアルコンソール設定を加えるだけで良い。

bootstate=0  
kernel=tboot.b00  
kernelopt=no-auto-partition text nofb com1_baud=115200 com1_Port=0x3f8 tty2Port=com1 gdbPort=none logPort=none  
modules=b.b00 --- useropts.gz --- k.b00 --- a.b00 --- net-ixgb.v00 --- ata-pata.v00 --- ata-pata.v01 --- ata-pata.v02 --- ata-pata.v03 --- ata-pata.v04 --- ata-pata.v05 --- ata-pata.v06 --- ata-pata.v07 --- block-cc.v00 --- ehci-ehc.v00 --- s.v00 --- ima-qla4.v00 --- ipmi-ipm.v00 --- ipmi-ipm.v01 --- ipmi-ipm.v02 --- misc-cni.v00 --- misc-dri.v00 --- net-be2n.v00 --- net-bnx2.v00 --- net-bnx2.v01 --- net-cnic.v00 --- net-e100.v00 --- net-e100.v01 --- net-enic.v00 --- net-forc.v00 --- net-igb.v00 --- net-nx-n.v00 --- net-r816.v00 --- net-r816.v01 --- net-s2io.v00 --- net-sky2.v00 --- net-tg3.v00 --- ohci-usb.v00 --- sata-ahc.v00 --- sata-ata.v00 --- sata-sat.v00 --- sata-sat.v01 --- sata-sat.v02 --- sata-sat.v03 --- scsi-aac.v00 --- scsi-adp.v00 --- scsi-aic.v00 --- scsi-bnx.v00 --- scsi-fni.v00 --- scsi-hps.v00 --- scsi-ips.v00 --- scsi-lpf.v00 --- scsi-meg.v00 --- scsi-meg.v01 --- scsi-meg.v02 --- scsi-mpt.v00 --- scsi-mpt.v01 --- scsi-mpt.v02 --- scsi-qla.v00 --- scsi-qla.v01 --- scsi-rst.v00 --- uhci-usb.v00 --- imgdb.tgz --- state.tgz  
build=5.0.0-3.48.1851670  
updated=3  

このファイルは起動中なら上記のパスにある。そうでなければ起動ディスク中のVFATフォーマットされたパーテションの一つにある。¹

ヘッドレスインストール

ヘッドレスで起動できることが確認できたから、これを応用すればヘッドレスインストールだってできる。インストールディスクはブートローダーにISOLINUXを使用しているので、これを丸ごとtftpサーバの/tftpboot/images/esxにコピーして、要所をPXELINUX用に修正すればよい。この時のpxelinux.cfgは以下のようになる。

serial 0 115200  
console 0

DEFAULT menu.c32  
MENU TITLE ESXi-5.x.x-XXXXXX-full Boot Menu  
NOHALT 1  
PROMPT 0  
TIMEOUT 80  
LABEL install  
  KERNEL images/esx/mboot.c32
  APPEND -c images/esx/boot.cfg text nofb com1_baud=115200 com1_Port=0x3f8 tty2Port=com1 gdbPort=none logPort=none
  ipappend 2
  MENU LABEL ESXi-5.x.x-XXXXXX-full ^Installer

LABEL hddboot  
 LOCALBOOT 0x80
 MENU LABEL ^Boot from local disk

1,2行目がSYSLINUXの表示をシリアルポート（0=最初のシリアルポート）にもリダイレクトするための設定²だが、PCのBIOS自体にリダイレクトコンソールサポートがある場合は必要ない。これは存外見落としがちなのだが、BIOSでそれが有効な場合、SYSLINUX（やGRUB）のほうでも有効にしてしまうと入出力が二重化してしまい、特にキーボード入力で不具合が生じる。従ってこれはBIOSリダイレクトコンソールを使えない環境・設定においてのみ必須となる。

一方10行目のカーネルパラメータは、コンソール制御がBIOSやSYSLINUXから離れてカーネルに移ってから有効になるものなので、BIOSリダイレクトコンソールの有無に関わらず必要となる。

bootstate=0  
title=Loading ESXi installer  
prefix=images/esx/  
kernel=tboot.b00  
kernelopt=runweasel text nofb com1_baud=115200 com1_Port=0x3f8 tty2Port=com1 gdbPort=none logPort=none  
modules=b.b00 --- useropts.gz --- k.b00 --- chardevs.b00 --- a.b00 --- user.b00 --- s.v00 --- ata_pata.v00 --- ata_pata.v01 --- ata_pata.v02 --- ata_pata.v03 --- ata_pata.v04 --- ata_pata.v05 --- ata_pata.v06 --- ata_pata.v07 --- block_cc.v00 --- ehci_ehc.v00 --- weaselin.t00 --- esx_dvfi.v00 --- xlibs.v00 --- ima_qla4.v00 --- ipmi_ipm.v00 --- ipmi_ipm.v01 --- ipmi_ipm.v02 --- misc_cni.v00 --- misc_dri.v00 --- net_be2n.v00 --- net_bnx2.v00 --- net_bnx2.v01 --- net_cnic.v00 --- net_e100.v00 --- net_e100.v01 --- net_enic.v00 --- net_forc.v00 --- net_igb.v00 --- net_ixgb.v00 --- net_nx_n.v00 --- net_r816.v00 --- net_r816.v01 --- net_s2io.v00 --- net_sky2.v00 --- net_tg3.v00 --- net_vmxn.v00 --- ohci_usb.v00 --- sata_ahc.v00 --- sata_ata.v00 --- sata_sat.v00 --- sata_sat.v01 --- sata_sat.v02 --- sata_sat.v03 --- sata_sat.v04 --- scsi_aac.v00 --- scsi_adp.v00 --- scsi_aic.v00 --- scsi_bnx.v00 --- scsi_fni.v00 --- scsi_hps.v00 --- scsi_ips.v00 --- scsi_lpf.v00 --- scsi_meg.v00 --- scsi_meg.v01 --- scsi_meg.v02 --- scsi_mpt.v00 --- scsi_mpt.v01 --- scsi_mpt.v02 --- scsi_qla.v00 --- scsi_qla.v01 --- scsi_rst.v00 --- uhci_usb.v00 --- tools.t00 --- xorg.v00 --- imgdb.tgz --- imgpayld.tgz  
build=  
updated=0s  

インストーラ起動用のboot.cfgにもシリアルポート用の設定を加える。またネットワークブートカーネルのパスも修正が必要だ。

以上でESXiインストーラを動かせるはずだがインストール終了後に、最初に述べた/bootbank/boot.cfgの修正が必要だ。ここを自動化したい場合にはインストーライメージ内からkickstartファイルを見つけて、postスクリプトセクションに以下の1行を加えておく。

sed -i '/no-auto-partition/ s/$/ text nofb com1_baud=115200 com1_Port=0x3f8 tty2Port=com1 gdbPort=none logPort=none/' /bootbank/boot.cfg  

DynDNSプロトコル

まず基本的な情報だが、ARルータ側の設定項目はこう定義されている。

SET DDNS [SERVER=server] [PORT=port] [USER=userid] [PASSWORD=password] [DYNAMICHOST=hostnames] [PRIMARYINT=ipinterface] [SECONDARYINT=ipinterface] [OFFLINE={YES|NO|ON|OFF}] [PERIODICUPDATE={1..60|ON|OFF}]

server: ダイナミックDNSサーバー名。（1～31文字。英数字）  
port: HTTPポート番号。80(HTTP)または 8245(HTTP Bypass)  
userid: ユーザーID。（1～15文字。英数字。大文字小文字を区別する）  
password: パスワード（1～15文字。英数字。大文字小文字を区別する）  
hostnames: ホスト名（URL形式。カンマ区切りで複数指定可能。カンマを含め128文字まで。）  
ipinterface: インターフェース名。(ppp0など)  

その結果、DNSサーバには次のようなリクエストが送信される。

GET /nic/update?system=dyndns&hostname=example.dyndns.org&myip=123.45.67.89&wildcard=OFF&offline=OFF HTTP/1.1  
Host: members.dyndns.org  
Authorization: Basic [BASE64-ENCODED-USERNAME:PASSWORD-PAIR]  
User-Agent: Dyn DNS Client/CentreCOM AR560S version 2.9.2-09 21-Aug-2012  

これに対してサーバレスポンスにgood <IP_ADDR>が返るとそれは正常に受け付けられたことになり、show ddnsで確認できるステータス表示が更新される。

送信URIとして/nic/updateは固定、ユーザ認証はBASIC認証方式、パラメータとしてhostnameは必須。CGIインタフェースとして実装すべき内容はこれだけなのでそう難しいことではない。

ここでの実装では要件的には必要ないのだがエラーログを残すのにも使うので、good以外のレスポンス文字列も上げておく。¹

|応答|状態|説明|
|good <IP_ADDR>|OK|リクエストは正常に受け付けた|
|nochg <IP_ADDR>|OK|リクエストは正常だが更新されるステータスはない|
|nohost|NG|hostnameは存在しない|
|badauth|NG|認証に失敗した|
|badagent|NG|この機器は許可されていない|
|!donator|NG|利用料が支払われていない|
|abuse|NG|ユーザはブロックされている・乱用|
|911|NG|重大なエラー|

nginx perl moduleでの実装

今回はnginxのperl module機能を用いて実装する。CentOS版のnginxはこれに対応しているが、公式サイトで配布しているバイナリは対応していないため要リビルドである。次のようにしてなにも表示されなければ、このビルドオプションが足りていない。

$ nginx -V 2>&1 | tr ' ' '\n' | grep perl
--with-http_perl_module

perlモジュールが有効なら、レスポンスハンドラをperlで記述することが出来る。そこで以下のコードを/etc/nginx/lib/dyndns.pmに用意した。

#
# $Id: dyndns.pm 159 2015-05-15 04:18:23Z askn $
#
package dyndns;  
use strict;  
use utf8;  
use 5.010;  
use nginx;  
use Net::DNS;  
use MIME::Base64;  
use Sys::Syslog;

sub update_handler {  
    my $r = shift;

    $r->send_http_header("text/plain");
    return OK if $r->header_only;

    eval {
        openlog("ddns_update", "cons,pid", "daemon");

        die "unknown:nothing parameters\n" unless $r->args;

        my $auth = $r->header_in("Authorization") // "";

        die "badauth:bad authorization.\n"
            unless $auth =~ m{^Basic ([0-9a-z\+\/\=]+)}i;

        my $user = (split /:/, decode_base64($1))[0];

        my $q = {};
        foreach my $pair (split /&/, $r->args) {
            my($key, $val) = split /=/, $pair;
            next      unless defined $key;
            $val = "" unless defined $val;
            $q->{$r->unescape($key)} = $r->unescape($val);
        }

        my $hostname = lc($q->{hostname} // "");
        my $myip     =    $q->{myip} || $r->remote_addr;
#        my $system   =    $q->{system}   // "";
#        my $wildcard =    $q->{wildcard} // "";
#        my $offline  =    $q->{offline}  // "";
#        my $mx       = ls($q->{mx}       // "");

        syslog("info", "USER=".$user." HOSTNAME=".$hostname." MYIP=".$myip);

        die "unknown:badformat myip.\n"
            unless $myip =~ /^(\d{1,3}\.){3}\d{1,3}$/;

        my $resolver = new Net::DNS::Resolver;
        $resolver->nameservers("127.0.0.1");

        my @fqdn = split /,/, $hostname;

        die "numhosth:too many hostname.\n"
            if 4 < scalar @fqdn;

        foreach my $fqdn (@fqdn) {

        # ZONE name resolv stage

            defined $fqdn and $fqdn =~ s{(^\s+|\s+$)}{}g;

            die "nohost:badformat hostname.\n"
                unless defined $fqdn;

            die "badfqdn:badformat hostname.\n"
                unless $fqdn =~ /^([\w\-]+\.)*[\w\-]+$/;

            my $zone = "";
            my $ns = "";
            my(@stack, @ns);
            foreach my $dotted (reverse(split /\./, $fqdn)) {
                $zone = $dotted.".".$zone;
                unshift @stack, $zone;
            }

            foreach my $test (@stack) {
                my $query = $resolver->query($test, "NS");
                if ($query) {
                    foreach my $rr (grep {$_->type eq "NS"} $query->answer) {
                        push @ns, $rr->nsdname;
                    }
                    $zone = $test;
                    syslog("info", "ZONE=".$zone." NS=".join(",", @ns));
                    last;
                }
            }
            die "dnserr:Undefined query nameservers.\n"
                unless @ns;

            $resolver->nameservers(@ns);

        # Update stage

            my $update = new Net::DNS::Update($zone);
            $update->push(update => rr_del($fqdn.". IN A"));
            $update->push(update => rr_add($fqdn.". 3600 IN A ".$myip));

            my $reply = $resolver->send($update);

            die "dnserr:reply resolver ".$resolver->errorstring."\n"
                unless $reply;

            die "dnserr:reply ".$reply->header->rcode."\n"
                unless $reply->header->rcode eq "NOERROR";
        }

        $r->print("good " . $myip . "\n");
        syslog("info", "update success.");
    };
    if ($@) {
        chomp $@;
        syslog("info", "ERROR: " . $@);

        my $result = (split /:/, $@)[0];
        $r->print($result."\n");
    }

    return OK;
}
1;  
__END__  

コード中の$rはnginxから渡されるリファレンスオブジェクトで、mod_perlのそれと似た表現になっている。$r->argsに送信されたクエリが入っているのでこれをパースしてhostnameとmyipを受け取っているが、myipがなければ$r->remote_addrを代わりに使うよう²にもしている。その他のパラメータについてはこのコードでは対応していない。なお処理過程のログに付いては（perlの）Sys::Syslogモジュールを用いてsyslogのdaemonファシリティに送信するようにしている。

DNS Aレコード処理は（perlの）Net::DNSモジュールで行う。まずlocalhostネームサーバにFQDNを問い合わせてNSレコード=当該ネームサーバIPを取得し（resolvステージ）そこに対して既存DNS Aレコードの削除および新規DNS Aレコードの登録（updateステージ）を行う。ここでは処理を端折っているが、本格的な汎用サービス目的で実装するなら、updateステージではアクセス認証キーの処理を追加する必要があるだろう。³

nginx.conf側の記述

nginx.confから要点だけを抜き書きすると次のようになる。

http {  
    perl_modules  /etc/nginx/lib;
    perl_require  dyndns.pm;

    server {
        location /nic/update {
            auth_basic            "closed site";
            auth_basic_user_file  /etc/nginx/_htpasswd;
            perl                  dyndns::update_handler;
        }
    }
}

まずグローバル設定内でperl_modulesとperl_requireディレクティブを用いてperlコードをnginx本体にロードする。プロセス起動時にメモリ上に読み込まれるためコードを書き換えた場合は逐一nginxをreloadする必要がある。ここで読み込まれたperlコードのpackage名前空間名とハンドラ関数名をlocaltionブロック内で指定すると、URL（/nic/update）とperlコードとを紐付けることができる。またこの時BASIC認証を行うので、認証用パスワードファイルをauth_basic_user_fileディレクティブで指定する。

named.conf側の設定

named.confの設定では、FQDNが属すZONEを有しており、かつ上記のリクエストレコード送信元IPがallow-updateディレクティブで指定されていればよい。

zone "example.org" IN {  
    type master;
    :
    allow-update {
        127.0.0.1;
        192.168.0.0/24;
        key host1;
    }
}

参考：Perl-CGI版

nginx版の前に作成・使用していたPerl-CGIバージョンを以下に上げておく。こちらは単にnsupdateコマンドを叩くだけのシンプルなものだ。⁴

#!/usr/bin/perl
use strict;  
use CGI;  
use Sys::Syslog;  
use 5.010;

my($q, $hostname);  
my $myip = '0.0.0.0';  
eval {  
    openlog('ddns_update', 'cons,pid', 'daemon');

    $q = new CGI;
    $hostname = $q->param('hostname');
    $myip     = $q->param('myip') || $ENV{HTTP_X_FORWARDED_FOR} || $ENV{REMOTE_ADDR};
#    $system   = $q->param('system');
#    $wildcard = $q->param('wildcard');
#    $offline  = $q->param('offline');
#    $mx       = $q->param('mx');

    syslog('info', 'HOSTNAME='.$hostname.' MYIP='.$myip);

    unless ($hostname =~ /^([\w\-]+\.)*[\w\-]+$/) {
        die "nohost\n";
    }

    unless ($myip =~ /^(\d{1,3}\.){3}\d{1,3}$/) {
        die "unknown\n";
    }

    open my $PIPE, '|-', '/usr/bin/nsupdate' or die "badcall nsupdate.";
    print $PIPE <<__EOF;
server 127.0.0.1  
update delete ${hostname}. IN A  
update add ${hostname}. 3600 IN A ${myip}  
send

__EOF  
    close $PIPE or die "break nsupdate.\n";

    print 'Content-type: text/plain', "\r\n\r\n";
    print 'good ', $myip, "\n";
    syslog('info', 'Success.');
};
if ($@) {  
    print 'Content-type: text/plain', "\r\n\r\n";
    print 'nochg ', $myip, "\n";
    syslog('info', 'ERROR: '.$@);
}
1;  
__END__  

IPアドレスリストをAPNICから入手する

世界中に分配されているIPv4アドレスは総元締めのIANAから、世界を分割支配する5つの団体（ARIN/APNIC/LACNIC/AfriNIC/RIPE NCC）に分配され、そこからさらに各国別の元締め（日本ならJPNIC）に再分配されている。このIP分配リストは各団体のFTPサイト等で公開されているので、これを入手して日本にアサインされたIPリストだけを抽出すればACL（アクセス制限リスト）の元を作ることが出来る。今回の場合はJPNICに割り当てられたIPリストを得るために、APNICのFTPサイトから更新リストを入手する。

この更新リスト¹はほぼ毎日アップデートされている。ファイルサイズは1.8MBほどで約4万行弱ある。また世界中からダウンロードに来ることもあって、日に何回もアクセスにゆくと回数制限に引っ掛かって数時間ブロックされるということもある。故に基本的には1日1回、cronを使用してダウンロードすることになる。

一方で毎日更新されているとはいえ、日本にアサインされたIPが日々こまめに変化しているというわけでもない。だいたい週に1〜2回程度、僅かな追加と削除²が発生している程度だ。そこでダウンロードと共に前回のリストと比較して変化があったらメール通知を行い、さらにACLの更新処理を行うという仕組みを作ることにする。

なお以下の仕掛けはすべてrootユーザが行い、メインのワークエリアとしては/etc/rc.dを使用するものとする。

#!/bin/sh

### /etc/rc.d/apnic.list_update
###
### delegated-apnic-latest を取得して変化があれば
### メール通知およびrc.iptablesの再実行を行うスクリプト
###
### /etc/cron.daily からsymlinkを張るか、そこに配置すること
###

new=`mktemp`  
errors=`mktemp`  
DIR="/etc/rc.d"  
list="$DIR/delegated-apnic-latest"

test -f $list || touch $list  
wget -q -O - "http://ftp.apnic.net/stats/apnic/delegated-apnic-latest" > $new 2> $errors

if [ $? -eq 0 ]; then  
    sort_new=`mktemp`
    sort_old=`mktemp`
    diff_out=`mktemp`

    # 日本国内IPについてのみ比較する
    /bin/grep '^apnic|JP|ipv4|' $new > $sort_new
    /bin/grep '^apnic|JP|ipv4|' $list > $sort_old
    diff --ignore-matching-lines="^#" $sort_new $sort_old > $diff_out
    if [ $? -ne 0 ]; then
        (
         echo '-------------------- old delegated-apnic-latest --------------------'
         grep -P '^\d' $list
         echo
         echo '-------------------- new delegated-apnic-latest --------------------'
         grep -P '^\d' $new
         echo '---------------------- difference ----------------------'
         cat $diff_out

         # メールは rootにだす（ /etc/aliases に従う）
        ) | mail -s "delegated-apnic-latest updated $(hostname)" root
        cp -f $new $list

        # iptables の -s に渡せる形式に変換
        $DIR/jponly.pl < $list > $DIR/jponly.list

#        # rc.iptables を再実行する
#        \time $DIR/rc.iptables

         # iptables-save/restoreで更新する
         $DIR/update_mangle.pl
    fi
    rm -f $sort_new $sort_old $diff_out
else  
    cat $errors | mail -s "delegated-apnic-latest update check error $(hostname)" root
fi  
rm -f $new $errors  

このスクリプトは1日1回、APNICにお伺いを立てて（日本に割り当てられた）IPv4アドレスリストが変化していたら/etc/rc.d/delegated-apnic-latestファイルを更新する。通知メールはrootに向けて投げるため、/etc/aliasesに実際の通知先メールアドレスを書いておこう。

取得したリストの中身は概ね以下のような行の羅列である。

apnic|CN|ipv4|223.214.0.0|131072|20100803|allocated  
apnic|JP|ipv4|223.216.0.0|262144|20100712|allocated  
apnic|CN|ipv4|223.220.0.0|131072|20100723|allocated  
apnic|KR|ipv4|223.222.0.0|65536|20100721|allocated  
apnic|JP|ipv4|223.223.0.0|32768|20100803|allocated  
apnic|IN|ipv4|223.223.128.0|8192|20100809|allocated  

バーチカルラインで区切られた各カラムは次の意味を持つ。

• IP管理組織
• 2文字の国コード
• IP種別
• 割り当てブロック先頭のIPアドレス
• 割り当てブロックに含まれるIP数（2の冪乗に一致）
• 割り当てられた日付
• 現在のステータス

注意するのは5カラム目のIP数がIPマスクでもCIDRでもないという点で、ACLとして使用するにはこれをCIDRに変換する必要がある。これを行っているのが43行目のjponly.plだ。

日本国内IPのCIDRを抽出する

このフィルタスクリプトは、国コードがJPかつステータスがallocatedの行を抽出し、そのIP数からCIDRを計算して出力する。

#!/usr/bin/perl
use strict;  
use utf8;

###
### /etc/rc.d/jponly.pl
###
### delegated-apnic-latest から日本国内IPのCIDRを抽出する
###

my %CIDR;  
for my $bit ( 0..32 ) {  
    my $len = 2 ** ( 32 - $bit );
    $CIDR{$len} = $bit;
}
while ( <> ) {  
    chomp;
    if ( m{^apnic\|JP\|ipv4\|(\d+(?:\.\d+){3})\|(\d+)\|\d+\|allocated} ) {
        my $addr = $1;
        my $cidr = $CIDR{ $2 || 32 };
        printf "%s/%u\n", $addr, $cidr;
    }
}
exit 0;  
__END__  

これを通して生成した/etc/rc.d/jponly.listは1行1ブロックのIP/CIDRリストとなる。

223.216.0.0/14  
223.223.0.0/17  

iptablesでのACL

これを用いて例えばiptablesのmangleテーブル・Jponlyチェイン（フィルタ）に書き込むには次のようにする。

#!/bin/bash
JPONLY=/etc/rc.d/jponly.list

# mangleテーブルでフィルタを作る
iptables -t mangle -N Jponly  
cat $JPONLY | while read; do  
  iptables -t mangle -A Jponly -s $REPLY -j MARK --set-mark 2/2
done

# 上記のフィルタをINPUT/FORWARDに適用してパケットにmarkビットを立てる
iptables -t mangle -A INPUT -j Jponly  
iptables -t mangle -A FORWARD -j Jponly

# 他のチェインの中で、markビットが立っているならACCEPT、なければDROPする例
iptables -A Accept -m mark --mark 2/2 -j ACCEPT  
iptables -A Accept -j DROP  

mangleとmarkビットマスクを使うことで、このJponlyフィルタを容易に再利用できるようにしている。この他にホワイトリストチェイン・ブラックリストチェインを併用する場合も、markビットマスクを利用することで柔軟なACLフィルタを作り出すことが出来る。

フィルタチェインの高速更新

apnic.list_updateの49行目で呼び出しているupdate_mangle.plは、iptablesで設定した既存のJponlyチェインをアップデートするスクリプトだ。これはiptables-save・iptables-restoreコマンドを使用して高速に更新処理を行う。初回こそ前項のようにiptablesコマンドで丁寧に設定する必要があるが、これは数秒〜数十秒の処理時間が掛かってしまう。そこで2回目以降は該当チェインだけを書き換えることでダウンタイムを実用上問題ない時間（ミリ秒オーダー）まで切り詰める。³

#!/usr/bin/perl
use strict;

my $JPONLY  = '/etc/rc.d/jponly.list';  
my $UPDATE  = '/etc/rc.d/iptables.bak';  
my $SAVE    = '/sbin/iptables-save -c';  
my @RESTORE = ('/sbin/iptables-restore', '-c');

my $SEARCH   = qr{-A Jponly -s};  
my $TEMPLATE = "[0:0] -A Jponly -s %s -j MARK --set-xmark 0x2/0x2 \n";

my $BEFORE;  
my $AFTER = [];  
my @INSERT;

my $PIPE;  
open $PIPE, '<', $JPONLY or die;  
while (<$PIPE>) {  
    chomp;
    push @INSERT, sprintf $TEMPLATE, $_;
}

close $PIPE;  
open $PIPE, '-|', $SAVE or die;  
while (<$PIPE>) {  
    unless ($BEFORE) {
        if ($_ =~ $SEARCH) {
            $BEFORE = $AFTER;
            push @$BEFORE, @INSERT;
            next;
        }
    }
    elsif ($_ =~ $SEARCH) {
        next;
    }
    push @$AFTER, $_;
}
close $PIPE;

open $PIPE, '>', $UPDATE or die;  
print $PIPE @$BEFORE;  
print $PIPE @$AFTER;  
close $PIPE;

system @RESTORE, $UPDATE;

1;  
__END__  

ApacheでのACL

前述のjponly.listからApache用のACLを作り出すには次のようにする。

#!/bin/bash
JPONLY=/etc/rc.d/jponly.list

( cat $JPONLY | while read; do
  echo "Allow from $REPLY"
done ) > /etc/httpd/conf/jponly.conf  

こうして生成したACLを、必要な場所でIncludeディレクティブを使用して読み込む。なおリストが更新されたらhttpdプロセスをreload(あるいはgraceful)しなければ実際には反映されない。⁴

Order Allow,Deny  
Allow from localhost  
Allow from 192.168.0.0/16  
Include conf/jponly.conf  
Deny from All  

nginxでのACL

nginxでACLを掛けるには、geoモジュールを使用する。まずApacheの場合と同様にInclude可能なファイルを作成する。

#!/bin/bash
JPONLY=/etc/rc.d/jponly.list

( cat $JPONLY | while read; do
  echo "$REPLY 2;"
done ) > /etc/nginx/jponly.conf  

これをhttpブロックのgeoモジュールで読み込み、$acl変数に反映させる。これをlocationブロック内で参照して条件分岐する。なおリスト更新後はnginxプロセスをreloadしなければ実際には反映されない。

http {  
    geo $acl {
        default        0;
        127.0.0.1      1;
        192.168.0.0/16 1;
        include jponly.conf;
    }
    server {
        location /jponly/ {
            root /var/www/html_jponly;
            if ($acl = 0) {
                return 403;
            }
        }
        location / {
            root /var/www/html_public;
        }
    }
}