ぢみへんプログラミング日誌

サーバー構築超入門メモ(3)：ファイアウォール再び

2014-06-05T21:36:01+09:00

既にパケットフィルタで最低限セキュリティを保ってSSHだけは可能な状態でセットアップはしていたが、このままでは色々と問題がある。HTTP, HTTPSを遮断したままだし、他にも遮断したために、インターネットにアクセスする必要のある種々のコマンドが利用不能のはずである。
勿論そのままではアプリケーション開発どころではないので、必要になりそうなコマンドが使えるよう、ここではyumを例に、順を追ってファイアウォールを調整してみよう。

yum listと入力するとインストール済みのソフトウェアパッケージが一覧表示されるのだが、今の状況では最初にこういう出力が出てくる。

[root@ap]# yum list

Loaded plugins: fastestmirror, security

Loading mirror speeds from cached hostfile

Could not get metalink https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=x86_64 error was

14: PYCURL ERROR 6 - "Couldn't resolve host 'mirrors.fedoraproject.org'"

* base: ftp.iij.ad.jp

* epel: epel.mirror.net.in

* extras: ftp.iij.ad.jp

* updates: ftp.iij.ad.jp

http://ftp.iij.ad.jp/pub/linux/centos/6/os/x86_64/repodata/repomd.xml: [Errno 14] PYCURL ERROR 6 - "Couldn't resolve host 'ftp.iij.ad.jp'"

Trying other mirror.

...

...

(以下延々とエラーが続く)

『Couldn't resolve host 'ftp.iij.ad.jp』、つまりリモートホストの参照ができないと言われているわけだ。これを裏付けるためにパケットフィルタのログを見てみる。（最初の時点からログが出るように仕込んであったのだ。どういう具合に設定したのかはこのシリーズの1回目を参照のこと）

Jun  5 20:09:11 <ホスト名> kernel: [output rejected]IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=zzz.zzz.zzz.zzz LEN=73 TOS=0x00 PREC=0x00 TTL=64 ID=58532 DF PROTO=UDP SPT=59673 DPT=53 LEN=53

/var/log/messagesの内容が上記だが、リモートホストへのUDPプロトコル53番ポートへの送信が遮断されている。UDPで53番ポートを使うのはＤＮＳサービスであるから、なるほどホストの名前解決ができないのも納得だ。さっそくこの制限を外してみる。

[root@ap]# vi /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Thu Jun  5 20:39:55 2014

*filter

:INPUT DROP [2:64]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 1234 -m state --state NEW -j ACCEPT

-A INPUT -j LOG --log-prefix "[input rejected]"

-A FORWARD -p icmp -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p icmp -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 下の１行を追加！

-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT

-A OUTPUT -j LOG --log-prefix "[output rejected]"

COMMIT

設定追加後に再度yum --listとやってみると、今度は次のようなエラーが出た。

[root@ap]# service iptables restart

[root@ap]# yum list

Could not retrieve mirrorlist http://mirrorlist.centos.org/?release=6&arch=x86_64&repo=os error was

12: Timeout on http://mirrorlist.centos.org/?release=6&arch=x86_64&repo=os: (28, 'connect() timed out!')

エラーを見て察しがつく人もいると思うが、今度はhttpプロトコルが遮断されているためにcentos.orgと通信が通信ができてない。ログを見ても分かる。

Jun  5 20:42:53 <ホスト名> kernel: [output rejected]IN= OUT=eth0 SRC=<送信元MACアドレス> DST=2a02:2498:0001:003d:5054:00ff:fed3:e91a LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=TCP SPT=44504 DPT=80 WINDOW=14400 RES=0x00 SYN URGP=0

やはりTCPプロトコル80番ポートへの送信が遮断されている。
これも以下の行をiptablesファイルを編集し、OUTPUTルールの最後から2行目に挿入する。
-A OUTPUT -m tcp -p tcp --dport 80 -m state --state NEW -j ACCEPT
最後の行はそこよりも上の行のルールで引っかからなかったパケットを遮断する際のログ出力を指示しているので、必ずOUTPUTルールの最後にないといけない。これはINPUTやFORWARDでも同じことだ。

再びiptablesサービスを再起動してyumを実行する。

[root@ap]# yum list

Loaded plugins: fastestmirror, security

Loading mirror speeds from cached hostfile

Could not get metalink https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=x86_64 error was

12: Timeout on https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=x86_64: (28, 'connect() timed out!')

* base: ftp.tsukuba.wide.ad.jp

* epel: ftp.jaist.ac.jp

* extras: www.ftp.ne.jp

* updates: www.ftp.ne.jp

『Could not get metalink https://mirrors.fedoraproject.org』とエラーが出ているところを見ると、今度はhttpsプロトコルが遮断されているのが原因だろうと察しがつく。

Jun  5 21:01:25 <ホスト名> kernel: [output rejected]IN= OUT=eth0 SRC= DST=2001:4178:0002:1269:0000:0000:0000:fed2 LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=TCP SPT=43004 DPT=443 WINDOW=14400 RES=0x00 SYN URGP=0

ログには上記のエラーが数行あった。TCPでポート番号443はHTTPSだから、やはり見立ては合っている。そこでこれまでと同じやり方でHTTPSも許可してやろう。果たして今度はどうかと思いつつyum --listを実行した。
すると今度こそ、エラー表示なくyum が実行されたのだった。

というわけで、、、
ここまでにdns, http, https のファイアウォールを調整した。これで当面は問題ないはずだ。仮に問題が出てもまた今回のようにログを確認し、パケットが遮断されていればその内容を分析して必要なら通信を許可していけばよい。許可していいのか怪しいものに関しては識者に聞くなどして再度検討する。問題ないことがはっきりするまでは念のため当面はそのままにしておくのが良いだろう。
ここから先は過去にエントリしてきた記事の内容を頼りにruby, rails 等をインストールできるようになっているはず。超入門メモとしては十分な内容になったかな？少なくとも自分の備忘録としてはそれに近いと思うけど、読者の皆さんにも多少なりとも役立てば幸いです。

サーバー構築超入門メモ(2)：SSH公開鍵認証の設定

2014-06-04T22:08:12+09:00

SSH(Open SSH)公開鍵認証を使えるようにする

前回はSSHデーモンの設定で、とりあえずパスワード認証を使えるようにしておいたが、本当は公開鍵認証に切り替えないといけない。
公開鍵認証というのは……あまり理屈は良く分かってないのだが（汗）どうやら秘密鍵と公開鍵の２つで認証する方式であるということは間違いない。（苦笑）
その2つの鍵を作るツールはいくつかあるので、慣れてる人はそれをそのまま使えばいいだろうし、そうでなければ本などを読んでそれに従えば大体間違いないと思っていいだろう。

ここでは筆者が今まで使った２つの方法を紹介する。

①ssh-keygen
LinuxOSを使っていて、sshdとsshの二つがインストールされていればこのコマンドも入っている（多分）。鍵を作る暗号アルゴリズムにはDSAとRSAというのがあるが、ここではDSAを使った例を紹介する。まずSSHを使ってログインさせたいユーザーででOSにログイン（この例では「hoge」というアカウントを使用）した後、自分のホームディレクトリで必要なコマンドを入力していく。

[hoge@ap] $ pwd

/home/hoge

[hoge@ap] $ ssh-keygen -t dsa

Generating public/private dsa key pair.

Enter file in which to save the key (/home/hoge/.ssh/id_dsa):  [ここはエンターキーを押すだけ]



Enter passphrase (empty for no passphrase):  [パスフレーズを入力]

Enter same passphrase again: [同じパスフレーズを入力]



(この後公開鍵と暗号鍵を生成した結果が表示される)



[hoge@ap] $ ls -aF

./  ../  .bash_history  .bash_logout  .bash_profile  .bashrc  .ssh/

[hoge@ap] $ ls -aF .ssh

./  ../  id_dsa  id_dsa.pub

[hoge@ap] $ cd .ssh

[hoge@ap] $ cat id_dsa.pub >> authorized_keys

[hoge@ap] $ chmod 600 authorized_keys

[hoge@ap] $ cd ..

[hoge@ap] $ chmod 700 /home/biotopos/.ssh

ssh-keygenコマンドを使うことで.sshというディレクトリに id_dsa と id_dsa.pub という2つのファイルが生成される。これらはそれぞれ順に秘密鍵と公開鍵ファイルという扱いになる。
このうち公開鍵であるid_dsa.pubファイルを名前を「authorized_keys」に変えてコピーすると、OpenSSHがこのファイルを公開鍵として利用するようになる。

その後、各種SFTPツールを使って秘密鍵ファイル(id_dsa)をローカルホストにコピーしたら、それをteraterm等のコンソールツールに公開鍵認証時の秘密鍵として指定すればよい。

②puttygen
SFTPツールは各種あるが、いくつかのツールではputtyというコンソール端末ツールが使う形式の秘密鍵ファイルでないと受け付けないことがある。（例：WinSCP)
このため必要であればputtygen.exe をインターネットからダウンロードしてくる必要がある。
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

ツール自体の使い方は簡単で、ローカルホストで最初から秘密鍵と公開鍵の両方を作成したければ「generate」というボタンを押し、その後「Save plivate key」と「Save public key」のボタンをそれぞれ押して、ファイルに保存すればいい。
既にリモートホスト側（つまりサーバー側）で鍵自体は作成済みで、秘密鍵をローカルにダウンロード済みであれば「Load」ボタンを押してファイルを指定すれば、パスフレーズの入力を済ませたあとにputtyで使う形に変換してくれる（本当は名前だけ変えて中身は同じなんじゃ？　未確認だけど）。その後「Save private key」ボタンを押して、putty.ppk というファイルを作れば、以後それを秘密鍵ファイルとして使えるようになる。

パスワード認証を不可にする

前回sshdの設定で、パスワード認証を可能にしていたが、公開鍵認証ができるようになった後ではこの設定はただの脆弱性に過ぎない。このためパスワード認証は不可にする。sshd_configファイルを変更して保存したら、sshdを再起動すればよい。

[root@ap] vi /etc/ssh/sshd_config

....

....

PasswordAuthentication yes   ←これをyes に変える

...

これ以後はrubyなりrailsなりをインストールしていけばよいのでサーバ構築の話はここでおしまい、としたいところだが、ファイアウォール（パケットフィルタ）の設定はまだhttpとhttpsの送信を許可していないのでyumやrubygemが動かない等、再度ファイアウォールの関係で問題が起きることが予想される。ということで、その辺は次回に。

参考文献・URL：
CentOS6で作るネットワークサーバ構築ガイド　秀和システム刊
Linuxサーバーセキュリティ　オライリー刊

サーバー構築超入門メモ(1)：ファイアウォールとSSHの用意

2014-06-04T00:53:15+09:00

今回はサーバー構築の話です。

久々の更新ですが……みなさんいかがお過ごしでしょうか。

今回はサーバー構築の話です。
サーバー構築のネタは、Rails開発環境を作るという内容では過去数回やってきました。この2年ほど、いくつかRailsを使ったプロジェクトでWebアプリケーションを作る機会に恵まれた経験から言うと、やはり元々がLAMP型開発と言われていただけあって、ウェブアプリケーション開発者には仮想OSを用いた開発環境だけでなく本番稼働サーバーのことも視野に入れたノウハウが要求される機会が増えたと思います。昔はサーバー屋さんに任せていればよかったことも、ある程度のことは自分でできるか、頼むにしてもこちら側にある程度の知識がないと何をしてほしいのか説明するのも大変な時代になってきました。言い換えるならば、
「俺は開発者だからサーバーのセットアップなど関係ない」という時代はとっくの昔に終わっています。いや、終わっていた。（笑）
おそらく10年くらい前からそうなってきてたんでしょうが、個人的に経験しないと分からない性質なので最近になるまで分かりませんでした。例え本番サーバーでWebアプリケーションの環境を構築しなくても、これまでに見てきたようにWindows環境を使う開発者はVMWare等で仮想Linux環境を作らないことには仕事になりません。早急にVagrantやPappet/Chef といったツール習得の必要性を感じずにはおれない、今日この頃であります。なので、今後はサーバー環境の方に重点を置いた構築の備忘録も書いていこうと思います。
もっとも筆者はいわゆるインフラ専門の技術屋さんではありませんので、そこはあくまでも「ちょっと時代に取り残されてる」アプリケーション開発者から見た学習録であることはご了承ください。何か内容に間違いなどありましたら、ご指摘お願いします。

ファイアウォール

さて、本題に入りましょう。

まず、お断りしておかなくてはいけないのは、筆者はノートPCを1台しか持っておらず、他にサーバーに使えるような機械を持っていないため、もっぱらサーバー環境構築の作業は「さくらVPS」を使うことを通じて経験しています。ですので、マシンハードウェアにディスクを設置して電源は何を使って、OSはどうやってインストールするのか……ということはここでは触れません。もっとも、当ブログにて過去にVMWareでゲストOSの構築をやっている話も書いてきているので、多少はそこが参考にできるかもしれません。

で、さくらVPSですが、「VPS」というのは「仮想プライベートサーバー」の略語らしいですね。へぇ～。仮想化技術はほぼ上っ面の概略程度しか知りませんが、いやはや時代の移り変わりが早いこと。まぁボヤキはそのくらいにして、さくらVPSで仮想サーバーを1台レンタルすると、すぐにさくらから必要な情報の連絡が来てサーバーが使えるようになります。ちなみにOSはCentOS(多分、バージョンは6)を指定。
サーバーを起動した後、最初はさくらVPS専用コンソールからしかアクセスができません。そして、何はともあれこのコンソールから最低限のセキュリティ設定を真っ先にしなければなりません。具体的にはパケットフィルタリング（ファイアウォール）とセキュアシェル(SSH)の設定ですね。

基本設定
ファイアウォールは、icmp, ループバック、確立済みの接続とセキュアシェル新規接続以外の送受信を無効にします。

[root@ap]# iptables -t filter -F                                       

[root@ap]# ip6tables -t filter -F                                      

[root@ap]# iptables -P INPUT DROP                                      

[root@ap]# iptables -P FORWARD DROP                                    

[root@ap]# iptables -P OUTPUT DROP                                     

[root@ap]# ip6tables -P INPUT DROP                                     

[root@ap]# ip6tables -P FORWARD DROP                                   

[root@ap]# ip6tables -P OUTPUT DROP

iptablesとip6tablesはそれぞれIPv4とIPv6に対応したパケットフィルタリングを制御するためのコマンドで、この設定内容をサーバー再起動後も保存したい場合は

[root@ap]#service iptables save

[root@ap]#service ip6tables save

とやる。
その後、icmpとループバックプロトコル、一旦接続済みとなった通信を許可に変更。

[root@ap]# iptables -A INPUT -p icmp -j ACCEPT

[root@ap]# iptables -A FORWARD -p icmp -j ACCEPT

[root@ap]# iptables -A OUTPUT -p icmp -j ACCEPT

[root@ap]# ip6tables -A INPUT -p icmp -j ACCEPT

[root@ap]# ip6tables -A FORWARD -p icmp -j ACCEPT

[root@ap]# ip6tables -A OUTPUT -p icmp -j ACCEPT

[root@ap]# iptables -A INPUT -i lo -j ACCEPT

[root@ap]# iptables -A OUTPUT -o lo -j ACCEPT

[root@ap]# ip6tables -A INPUT -i lo -j ACCEPT

[root@ap]# ip6tables -A OUTPUT -o lo -j ACCEPT

[root@www6419up ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j AC

CEPT

[root@ap]# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j

ACCEPT

[root@ap]# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j A

CCEPT

[root@ap]# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j A

CCEPT

[root@ap]# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j

ACCEPT

[root@ap]# ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j

ACCEPT

それからSSHの受信ポートを開ける必要があるので、

[root@ap]# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1234 -j ACCEPT

とする。ポート番号は標準の22番ではなく1234とする。（この値はSSHの設定と同期がとれていれば、ポート番号の許容する範囲で何を使っても良い）
最後に、フィルタで処理を拒否したパケットのログが取れると通信が上手く行かないときに便利なのでその設定を入れる。

[root@ap]# iptables -A INPUT -j LOG --log-prefix "[input rejected]"

[root@ap]# iptables -A OUTPUT -j LOG --log-prefix "[output rejected]"

[root@ap]# ip6tables -A INPUT -j LOG --log-prefix "[input rejected]"

[root@ap]# ip6tables -A OUTPUT -j LOG --log-prefix "[output rejected]"

[root@ap]# service iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]

[root@ap]# service ip6tables save

ip6tables: Saving firewall rules to /etc/sysconfig/ip6tables: [  OK  ]

ちなみservice iptables save(IPv6の方はip6tablesに置き換える)で設定内容を保存すると、/etc/sysconfig/iptables(/etc/sysconfig/ip6tables)の内容はこんな感じになる。

# Generated by iptables-save v1.4.7 on Wed Jun  4 00:05:53 2014                 

*filter

:INPUT DROP [3:96]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 1234 -j ACCEPT

-A INPUT -j LOG --log-prefix "[input rejected]"

-A FORWARD -p icmp -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p icmp -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -j LOG --log-prefix "[output rejected]"

COMMIT

# Completed on Wed Jun  4 00:05:53 2014

ぶっちゃけ、このファイルができたらその後はこれを直接いじって、iptables(ip6tables)を再起動させても良い感じではある。(再起動は service iptables restart)

セキュアシェルの基本設定

つぎにSSHサーバの設定をば。
デフォルトでは22番ポートを受信に使うところを、いかにもクラッカーに狙われそうなので先ほどパケットフィルタリングで接続許可した1234番に変更。ルートユーザーの直接ログインは不許可。それから公開鍵認証の設定を後で行うため、認証方式を一旦ユーザーアカウントパスワード認証に変更しておく。

[root@ap] #vi /etc/ssh/sshd_config           

(中略)

PasswordAuthentication yes   # <= これを追加

PermitRootLogin no                # <= これを追加

Port  1234                               # <:= これを追加

ここでSSHを再起動し、このサーバーに対してteraterm等のコンソールからSSHアクセスをテストすると、とりあえず通常のパスワード認証ではあるがログインできるようになるだろう。
ちなみに、ここには書いていないが、既にルートユーザーログインを遮断しているので、別途アカウントを作っておく必要はある。(コマンドはuseradd, passwdを使う)

（つづく）

参考文献・URL：
CentOS6で作るネットワークサーバ構築ガイド　秀和システム刊
Linuxサーバーセキュリティ　オライリー刊

visenere_cipher 1.0.0 リリース　笑

2013-11-18T00:34:08+09:00

先日お知らせしたヴィジュネル暗号処理用ライブラリ「vigenere_cipher」1.0.0 を本日リリースした。
探し方：

> gem search ^vigenere



*** REMOTE GEMS ***

...

...

vigenere_cipher (1.0.0)

インストール方法：

> gem install vigenere_cipher

もし興味があったら試してみてやってください。
ソースコードはこちら

CentOS6.4 + ruby2.0 + rails4 インストール備忘録(その弐：turbolink & passenger 編)

2013-11-18T00:22:13+09:00

Rails 4 になって turbolinkなる機能が追加されたらしいのだが、これが結構評判悪くて、外そうという話になった。外せ言われても、どうしたらいいのか分からないんですけど……
というわけで先人にお聞きしました　笑
Rails 4 で turbolinks をオフにする方法
簡単にポイントを挙げると、Railsアプリを生成する段階以降、以下の手順を踏めばいい。

Railsアプリを生成する際、bundlerの実行をスキップするオプションをつけてコマンド実行する。
```
rails new アプリケーション名  --skip-bundle
```
application.html.erb に記載されているHTMLタグの中にある、「"data-turbolinks-track" => true」という属性設定を削除
application.js に記載されている「//= require turbolinks」の行を削除
Gemfileの「gem 'turbolinks'」という記述をコメントアウト後、bundle install実行

さらに今までずるずると避けてきたpassenger のインストールと設定作業をすることになった。
作業自体は「Ruby on Rails 3 アプリケーションプログラミング」(山田祥寛著：技術評論社）に書いてある通りに行うことでほとんど悩みなく、結構手早くできた。
が、しかし、
いざそのpassengerを使ってApache経由でアプリを起動(=ブラウザで表示)させようとすると、「could not find a JavaScript runtime. 」というメッセージが表示されて何も動きやがらない。だがどう考えても前回までの作業でnode.js とそれに対応するrubyモジュール「execjs」はインストール済みなのは間違いなく、全く訳が分からない。
エラーの出ている箇所をスタックトレース情報を元にたどると、どうやら execjsの構成ファイルである「runtime.js」の以下の部分で指定されているはずのランタイムがない、と言ってるようなのだ。

  Node = ExternalRuntime.new(

:name        => "Node.js (V8)",

:command     => ["node"],

:runner_path => ExecJS.root + "/support/node_runner.js",

:encoding    => 'UTF-8'

)

なにぃぃぃ？！
それじゃ成す術なしじゃねぇかよ～……と思っていたら、やはりここでも同じことではまった先輩がいらっしゃいました。　笑
HOWTO: RubyOnRails + ExecJS + NodeJS - "Could not find a JavaScript runtime"
それによれば上記のコードを以下のように直せば行けるとのこと。

Node = ExternalRuntime.new(

:name        => "Node.js (V8)",

:command     => ["/usr/local/bin/node"],

:runner_path => ExecJS.root + "/support/node_runner.js",

:encoding    => 'UTF-8'

)

:command キーに対応する、ランタイムのパスを"node"から直接node.js がインストールされているパスに置き換えてしまうというわけだ。（注：ここでは/user/local/bin/node となっているが、実行環境によってここは読みかえる必要がある。whichコマンドもしくはwhereis コマンドを使えばそのパスは取得できる。[which node または whereis node])

実際にやってみるとこれがすこぶる上手く行った。
よかった、よかった……

番外編：production モードで rails console コマンドや rake db:migrate コマンド等を扱う際の注意。
Rails はデフォルトでは開発モードである develop 環境で作業をするため、運用時に指定することの多い、production モードで rails コマンドや rake コマンドを実行するには、オプションを付けないといけない。
Rails and rake db:migrate in Production Mode
ポイントになる具体例だけ書いておく。

rails console production

rails dbconsole production

rails server -e production

rake db:migrate RAILS_ENV=production

番外編2: passengerで動かすとasset pipeline が動かない
もしそうなったら、config/environment/production.rb の以下部分を修正する.

# Do not fallback to assets pipeline if a precompiled asset is missed.

#  config.assets.compile = false  #=> 旧

config.assets.compile = true     #=> 新

ヴィジュネル暗号用のgemを公開してみた。

2013-11-10T17:33:38+09:00

ヴィジュネル暗号というのはその名の通り暗号処理方式の一種で、その詳しい歴史についてはwikipediaを参照してもらうとして、本日その処理をrubyで簡単に行うためのライブラリ(vigenere_cipher 1.0.0.pre)を公開した。（ソースコードはgithubから入手可能）

gemを作るのもgithubを使うのも初めてだったので結構大変だった。
そのあたりについては後日、手順等をまとめておこうと考えている。

現在の暗号技術から言ってヴィジュネル暗号自体は大したものとは言えない。
しかし鍵となるキーワードが十分に長く、暗号方式が秘密であれば、簡易的用途で用いる分には、今でもある程度使える余地はある。

要望等はgithubの方か、もしくは当ブログにてお願いします。

rubygem が反応しなくなったら

2013-11-04T14:21:52+09:00

仮想マシンを使っていくつもOSをインストールし、Ruby on Rails の環境を作っていると、ときたまrubygemが全く反応しなかったり、反応しても不安定になることがある。筆者が確認できた特徴は以下である。
・gem list --remote が反応しない。(ごくたまに反応することはある)
・gem install が反応しない。
なお gem install については、V オプションを付けて実行すると、現在の通信状況が分かるので便利だ。
例) gem install -V gem名
(--no-ri --no-rdoc オプションを付けるとインストール時間の節約にもなる)

gem install にVオプションを付けて実行して以下のようなエラーが出たら要注意。

Unable to resolve dependencies: 

sprockets-rails requires sprockets (~> 2.8); 

railties requires thor (< 2.0, >= 0.18.1); 

actionmailer requires mail (~> 2.5.4); 

activerecord requires activemodel (= 4.0.1), arel (~> 4.0.0), activerecord-deprecated_finders (~> 1.0.2); 

actionpack requires builder (~> 3.1.0), rack (~> 1.5.2), rack-test (~> 0.6.2), erubis (~> 2.7.0); 

activesupport requires thread_safe (~> 0.1)



ERROR:  Could not find a valid gem 'rails' (>= 0), here is why:

Unable to download data from https://rubygems.org/ - no such name (https://rubygems.org/latest_specs.4.8.gz)

上記2点のエラーには非常に手こずらされた。
結論から言うと、これらのエラーは大体、次の問題のどれかまたは全てに起因している。
・DNSの問題で「rubygem.org」の名前解決ができない
・SSLの問題でHTTPSアクセスを拒否されてしまっている（ように見える)
・ファイアウォールで443番ポートへの送信を拒否している

ファイアウォールに関しては確認の上、443番ポートへの外部送信を許可すればよいとして、DNSを原因とする場合は、wget コマンドを使って確認することができる。

> wget https://rubygems.org/specs.4.8.gz

--2013-11-04 13:18:16--  https://rubygems.org/specs.4.8.gz

rubygems.org をDNSに問いあわせています... 失敗しました: ホスト名に対応するアドレスがありません.

wget: ホストアドレス `rubygems.org' を解決できませんでした。

この反応が出たら、何らかの理由でDNSが名前解決をできていない可能性を疑うべきだろう。
それに加えて、SSLの問題が絡んでいる可能性もある。それについてはGitHubに掲載されている。

ではここまでに書いた状況に陥ってしまったらどうすればいいのだろう？

gemコマンドの入力を通常とは変える、というのがその答えとなる。

> nslookup rubygems.org

;; Question section mismatch: got rubygems.org/AAAA/IN

Server:         220.152.38.201

Address:        220.152.38.201#53



Non-authoritative answer:

Name:   rubygems.org

Address: 54.245.255.174



> gem install -V rails --source http://54.245.255.174

まずはnslookup(またはdig)コマンドでrubygems.org のIPアドレスを特定する。
次にgem install で --source オプションを指定し、gemのダウンロード元のサーバーを特定するのだが、このときに先のIPアドレスを指定する。またプロトコルはhttps ではなく「http」とする。この対応で正常にgemをインストールできるようになるはずだ。

リモートサーバー（ダウンロード元サーバー）にあるgem の一覧を見るときもこれと同じ工夫をすれば良い。

> gem list --remote --source http://54.245.255.174

が、しかし、

まだこれで終わりではなかった……笑

恐らくこのブログを見ている人の少なくない数がRailsを使っていると思われるが、もしその人の環境で上述したようにrubygem が動かない場合、それは

bundlerも動かない

ことを意味している。
そして筆者もすぐにその穴に落ちてしまったのだった　笑
この場合、良いのか悪いのか別にして筆者の場合は/etc/hosts ファイルに直接 rubygems.org のアドレスを書くことで回避できた（ように見えるが確信はない）。

vi /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

54.245.255.174  rubygems.org

CentOS6.4 + ruby2.0 + rails4 インストール備忘録

2013-10-23T02:12:25+09:00

今春rubyがバージョン2に、夏に入ってRailsも正式にバージョン4となった。
そしてまた、筆者の担当するプロジェクトでそれらの組み合わせを再度CentOS上に構築しなくてはならなくなったので、備忘録的にメモを残しておく。

メモといっても、実際には過去Rails3 をインストールしたときの教訓がそのまま使えるのでその分についてリンクのみ提示し割愛させていただく。

ruby-1.9.3-p392とrails3.2.13 を CentOS 6.4 にインストールするまで (1)
ruby-1.9.3-p392とrails3.2.13 を CentOS 6.4 にインストールするまで (2)
ruby-1.9.3-p392とrails3.2.13 を CentOS 6.4 にインストールするまで (その後)

今回さらに引っかかったのは、rails server とコマンドを打ったところで、以下のエラーが出た点だった。
「/usr/local/lib/ruby/gems/2.0.0/gems/execjs-2.0.2/lib/execjs/runtimes.rb:51:in `autodetect': Could not find a JavaScript runtime. See https://github.com/sstephenson/execjs for a list of available runtimes. (ExecJS::RuntimeUnavailable)」

どうやら execjs というモジュールが使うはずのランタイムとやらがないらしい。
そこで参照しろと指示してあるページ(https://github.com/sstephenson/execjs)に行くと、そのランタイムとはJavascript ランタイムのことであるらしいことが分かる。Rails の機能として、そうしたランタイムを使う機能がデフォルトで追加された……と考えておこう。（前回同じことで引っかかった覚えがないため、いつからそうなっているのか不明）

いくつかランタイムの候補が挙げられているのだが、筆者はnode.js を選んだ。
http://nodejs.org/

こちらでソースをダウンロード、ビルドしてから再度 rails server を実行した。



> cd /tmp

> wget http://nodejs.org/dist/v0.10.21/node-v0.10.21.tar.gz

> cd node-v0.10.21

> ./configure

> make

> make install

> cd  

> rails server

=> Booting WEBrick

=> Rails 4.0.0 application starting in development on http://0.0.0.0:3000

=> Run `rails server -h` for more startup options

=> Ctrl-C to shutdown server

[2013-10-23 02:10:36] INFO  WEBrick 1.3.1

[2013-10-23 02:10:36] INFO  ruby 2.0.0 (2013-06-27) [x86_64-linux]

[2013-10-23 02:10:36] INFO  WEBrick::HTTPServer#start: pid=25526 port=3000

どうやらうまくいったっぽい。

※注：node.js のコンパイルにはgccだけでなく、g++(gcc のC++バージョン)も必要

Enumerator がなんで必要なのかようやく分かった(2)

2013-10-16T16:41:25+09:00

以前のエントリ「Enumerator がなんで必要なのかようやく分かった」でEnumratorクラスの存在意義について書いたが、少し補足をば。
以前の内容では本来enumerableモジュールをincludeしていないクラスでも、その代替となるメソッドを指定し、eachメソッドを持つかのように見せかけるラッパークラスとしてEnumerator の存在意義を紹介した。
irbを使って具体的に示すと以下のようになる。



irb(main):036:0> class Abc

irb(main):037:1>   def initialize

irb(main):038:2>     @arr = [1,2,3,4,5,6]

irb(main):039:2>   end

irb(main):040:1>

irb(main):041:1*   def my_each

irb(main):042:2>     @arr.each{|n| yield n}

irb(main):043:2>    end

irb(main):044:1> end

=> nil

irb(main):045:0>

irb(main):046:0* abc = Abc.new

=> #

irb(main):047:0> enum = Enumerator.new(abc, :my_each)

=> #:my_each>

irb(main):048:0> sum = enum.inject(0, :+)

=> 21

見ての通り、クラスAbcはenumerable をinclude してないが、my_eachメソッドを指定してEnumerator オブジェクトを生成すると、そのEnumeratorオブジェクトを通じてmapやinject等の、enumerableモジュールをinclude しなければ使えないメソッドが使えるようになる。
ここまでが以前のエントリ内容であった。

しかし現在、Object#to_enum, Object#enum_for というメソッドの存在により（enum_for はto_enum の別名メソッドで機能は同じ)、直接Enumeratorをnewメソッドで呼び出すことは滅多にない、と「プログラミング言語Ruby」(David Flanagan/まつもとゆきひろ著)には記されている。
「プログラミング言語Ruby」の「5.3.4 Enumerator」の章ではこれらのメソッドを引数無しで呼び出すと、呼び出し主体であるオブジェクトのeachメソッドを呼び出すだけのeachメソッドを持ったEnumeratorオブジェクトを返す。つまり a.to_enum と記述すると、Enumerator.new(a, :each) を実行するということだ。Object#to_enum に引数をつけると、Enumerator.new の第二引数の部分に任意のメソッド名を指定できる。その場合、to_enum よりも enum_for を使う方が名前として適しているかもしれないとも記されている。

実際にやってみるとこういうことだ。



irb(main):049:0> enum = "1234".enum_for(:each_char)

=> #

irb(main):050:0> enum.map{|c| c.to_i * 2}

=> [2, 4, 6, 8]

さらにRuby 1.9からは、引数無で呼び出された場合にEnumeratorオブジェクトを返すイテレータメソッド(あるいはイテレータ的なメソッド)が増えた。特にEnumerableモジュールをミックスインした場合、each, map 等は引数無しだと全てEnumeratorオブジェクトを返す。そうした場合では、to_numもenum_for も記述不要となる場合も多くなった。



irb(main):051:0> "1234".each_char.select{|c| c.to_i.even?}

=> ["2", "4"]

これはまぁ、便利っちゃー便利な機能だと思う。

ActiveRecordのヴァリデーションを自動化する

2013-09-12T13:37:45+09:00

ActiveRecord(以下ARと略)にはデータの整合性をチェックするためのヴァリデーションメソッドが用意されているんだが、たくさんのARを扱うWEBアプリを作ろうとすると、個々のARにいちいちテーブルのカラム制約に合せたヴァリデーションを記述するのが面倒くさくなってくる。
そもそもARは対応するテーブルのメタ情報は全て持っているので、それを利用してヴァリデーションを自動記述してしまった方がはっきり言って楽だろう。

――ということで作ってみました。

module AutoValidates

def self.included(klass)

  klass.class_eval{ 

    klass.columns.each do |column|

      next if ["id"].include?(column.name)

      if [:integer].include?(column.type) && !column.array

        # 数値型確認

        validates column.name.to_sym, 

                  numericality: {unless: Proc.new{|k| eval("k.#{column.name}").nil?}, 

                  only_integer: true  

      elsif column.null == false

        # NOT NULL

        validates column.name.to_sym, 

                  presence: {if: Proc.new{|k| eval("k.#{column.name}").nil?}

      end

    end

  }

end

end

これをAR側でincludeすればOK.(のはず)