複眼中心

Scientific Linux 6.1 で OpenLDAP 2.4.23 をインストール

Tats Shibata — Tue, 21 Feb 2012 13:16:50 +0000

ボクの環境では複数の仮想マシンが動いており、OS / Postfix / Devecot / Samba / Apache HTTP Server などがそれぞれ別々にパスワード管理していると面倒なので、LDAPで一元管理している。以下は OpenLDAP 2.4.23 を Scientifc Linux (SL) 6.1 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。

OpenLDAP 2.3 から非推奨になっていたslapd.confは2.4でついに廃止され、slapd-configを使う方法だけになったのだが、slapd-configでの設定方法が OpenLDAP Software 2.4 Administrator’s Guide を読んでも Red Hat Enterprise Linux 6 Deployment Guide: Directory Servers を読んでもさっぱり分からないので、この記事では従来のsplad.confをslapd-config用に変換するという手法を取っている。公式ガイドの A Quick-Start Guide もslapd.confを変換して使っているので（おい）、それほど時代遅れって感じでもないと信じたい。

そんなわけでインストール。インストール自体はRPMを入れるだけなので簡単だ。

[root@oscar ~]# yum install openldap-servers openldap-clients
......
================================================================================
 Package                  Arch           Version               Repository  Size
================================================================================
Installing:
 openldap-clients         x86_64         2.4.23-15.el6         sl         157 k
 openldap-servers         x86_64         2.4.23-15.el6         sl         2.0 M
......

LDAPサービスの管理者であるrootdnのパスワードを作成する。

[root@oscar ~]# slappasswd
New password: password
Re-enter new password: password
{SSHA}2kMGre6X2HahyBu2pTQ/kGOgNamKsaVx

slapd.confのサンプルとなるファイルをコピーし、suffix / rootdn / rootpwを設定する。rootpwは先ほどslappasswdで作成したものだ。

[root@oscar ~]# cp -a /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

database  bdb
#suffix    "dc=my-domain,dc=com"
suffix    "dc=rewse,dc=jp"
checkpoint  1024 15
#rootdn    "cn=Manager,dc=my-domain,dc=com"
rootdn    "cn=Manager,dc=rewse,dc=jp"
# Cleartext passwords, especially for the rootdn, should
# be avoided.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw    secret
# rootpw    {crypt}ijFYNcSNctBYg
rootpw    {SSHA}2kMGre6X2HahyBu2pTQ/kGOgNamKsaVx

加えてLDAPデータベースのアクセス権限を設定する。以下では、userPassword属性は自分自身のものであれば変更可能だが他人は認証にしか使えず、それ以外の属性は自分自身のものであれば変更可能だが他人は読込みしか行えない。

# allow onlu rootdn to read the monitor
#access to *
#        by dn.exact="cn=Manager,dc=my-domain,dc=com" read
#        by * none
access to *
        by dn.exact="cn=Manager,dc=rewse,dc=jp" read
        by * none

access to attrs=userPassword
  by self =rwcsx
  by anonymous auth
  by * none

access to *
  by self =rwcsx
  by * read

作成したslapd.confが文法的に正しいかテストしよう。

[root@oscar ~]# slaptest -f /etc/openldap/slapd.conf
config file testing succeeded

すでに設定されているslapd-configの設定を削除し、slaptestでslapd.confの設定をslapd-configでの設定に変換する。その後、ファイル所有者をldapに変更しよう。今後slapd.confを変更したら、この作業を毎回行う必要がある。

[root@oscar ~]# rm -rf /etc/openldap/slapd.d/*
[root@oscar ~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
config file testing succeeded
[root@oscar ~]# chown -R ldap:ldap /etc/openldap/slapd.d

OpenLDAPが内部で使用している Oracle Berkeley DB の設定ファイルのサンプルをコピーし、ファイル所有者を変更する。小規模環境ならサンプル・ファイルそのままで問題ないだろう。

[root@oscar ~]# cp -a /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@oscar ~]# chown ldap:ldap /var/lib/ldap/DB_CONFIG

OpenLDAPサーバーを起動し、OS起動時に同時起動するように設定する。

[root@oscar ~]# service slapd start
slapd を起動中:                                            [  OK  ]
[root@oscar ~]# chkconfig slapd on

LDAPデータベースの中身はまだ空っぽなので、ボクは以下のようなディレクトリをまずは用意した。

dn: dc=rewse,dc=jp
objectClass: organization
objectClass: dcObject
o: Rewse Lab.
dc: rewse

dn: cn=Manager,dc=rewse,dc=jp
objectClass: organizationalRole
cn: Manager

dn: ou=People,dc=rewse,dc=jp
objectClass: organizationalUnit
ou: People

dn: ou=Services,dc=rewse,dc=jp
objectClass: organizationalUnit
ou: Services

dn: ou=Groups,dc=rewse,dc=jp
objectClass: organizationalUnit
ou: Groups

dn: ou=Machines,dc=rewse,dc=jp
objectClass: organizationalUnit
ou: Machines

作成したLDIFを追加する。

[root@oscar ~]# ldapadd -xW -D cn=Manager,dc=rewse,dc=jp -h localhost -f /var/lib/ldap/ldif/init.ldif
Enter LDAP Password: password
adding new entry "dc=rewse,dc=jp"

adding new entry "cn=Manager,dc=rewse,dc=jp"

adding new entry "ou=People,dc=rewse,dc=jp"

adding new entry "ou=Services,dc=rewse,dc=jp"

adding new entry "ou=Groups,dc=rewse,dc=jp"

adding new entry "ou=Machines,dc=rewse,dc=jp"

正しく追加できたか確認し、問題なければOpenLDAPサーバーは一通り動作したことになる。

[root@oscar ~]# ldapsearch -xW -D cn=Manager,dc=rewse,dc=jp -h localhost
Enter LDAP Password: password
# extended LDIF
#
# LDAPv3
# base  (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# rewse.jp
dn: dc=rewse,dc=jp
objectClass: organization
objectClass: dcObject
o: Rewse Lab.
dc: rewse
......

ちなみにslapd-configでさっぱり分からない点は「cn=configのolcRootPWをldapaddするときのパスワードってなに？パスワードなしだとログインできないし、/etc/openldap/slapd.d 以下は直接編集するなって書いてあるし……」と「include samba.schema ってLDIFにどうやってするの!?」の2つ。こんな基本的なことがマニュアルに書いてないなんて絶対おかしいよ。

Scientific Linux 6.1 に MySQL 5.1.52 をインストール

Tats Shibata — Wed, 15 Feb 2012 13:20:23 +0000

ボクは MySQL Community Edition をWordPressとZabbixで使用しているが、このように自宅でちょっと使う程度の小規模環境でとりあえずMySQLを動かす方法をメモしておく。以下は Scientific Linux (SL) 6.1 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。

MySQLのRPMは各Linuxディストリビューションに含まれるもの、MySQL純正、IUS Community 製などがあるが、バージョンにこだわりがないのであればLinuxディストリビューションに含まれるものが依存性解決でトラブらないので簡単だろう。

[root@oscar ~]# yum install mysql-server
......
================================================================================
 Package               Arch          Version                    Repository
                                                                           Size
================================================================================
Installing:
 mysql-server          x86_64        5.1.52-1.el6_0.1           sl        8.1 M
Installing for dependencies:
 mysql                 x86_64        5.1.52-1.el6_0.1           sl        888 k
 perl-DBD-MySQL        x86_64        4.013-3.el6                sl        133 k
 perl-DBI              x86_64        1.609-4.el6                sl        704 k
......

MySQLのサーバー設定を変更する。たいていの場合はデフォルトのままでもかまわないが、ボクは以下のような値で始めることが多い。

[mysqld]
#datadir=/var/lib/mysql
datadir=/var/lib/mysql/data
log-bin=/var/lib/mysql/binlog/binlog
socket=/var/lib/mysql/mysql.sock
user=mysql
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0
character-set-server=utf8
default-storage_engine=InnoDB
innodb_buffer_pool_size=50M
query_cache_size=8M
thread_cache_size=8
expire_logs_days=7
slow_query_log=1
long_query_time=1

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

[mysql]
default-character-set=utf8

必要なディレクトリを作成し、OS起動時にMySQLが自動起動するようにし、MySQLを起動する。

[root@oscar ~]# mkdir /var/lib/mysql/data /var/lib/mysql/binlog
[root@oscar ~]# chown -R mysql:mysql /var/lib/mysql
[root@oscar ~]# chkconfig mysqld on
[root@oscar ~]# service mysqld start
MySQL データベースを初期化中:  Installing MySQL system tables...
OK
Filling help tables...
OK

To start mysqld at boot time you have to copy
support-files/mysql.server to the right place for your system

PLEASE REMEMBER TO SET A PASSWORD FOR THE MySQL root USER !
To do so, start the server, then issue the following commands:

/usr/bin/mysqladmin -u root password 'new-password'
/usr/bin/mysqladmin -u root -h oscar.rewse.jp password 'new-password'

Alternatively you can run:
/usr/bin/mysql_secure_installation

which will also give you the option of removing the test
databases and anonymous user created by default.  This is
strongly recommended for production servers.

See the manual for more instructions.

You can start the MySQL daemon with:
cd /usr ; /usr/bin/mysqld_safe &

You can test the MySQL daemon with mysql-test-run.pl
cd /usr/mysql-test ; perl mysql-test-run.pl

Please report any problems with the /usr/bin/mysqlbug script!

                                                           [  OK  ]
mysqld を起動中:                                           [  OK  ]

初期パスワード設定などはmysql_secure_installationを使うのが簡単だろう。

[root@oscar ~]# mysql_secure_installation

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL
      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MySQL to secure it, we'll need the current
password for the root user.  If you've just installed MySQL, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.

MySQLのrootパスワードを設定する。

Enter current password for root (enter for none): [Enter]
OK, successfully used password, moving on...
Setting the root password ensures that nobody can log into the MySQL
root user without the proper authorisation.

Set root password? [Y/n] Y
New password: password
Re-enter new password: password
Password updated successfully!
Reloading privilege tables..
 ... Success!

通常は必要ない匿名ユーザーを削除する。

By default, a MySQL installation has an anonymous user, allowing anyone
to log into MySQL without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] Y
 ... Success!

rootはリモートからログインできないようする。

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] Y
 ... Success!

必要なければtestデータベースを削除する。

By default, MySQL comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] Y
 - Dropping test database...
 ... Success!
 - Removing privileges on test database...
 ... Success!

権限テーブルを再読み込みし、設定を即座に反映させる。

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] Y
 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MySQL
installation should now be secure.

Thanks for using MySQL!

これでとりあえず動くMySQLは用意できた。つづいてバックアップを行うCronスクリプトを設置する。以下のソースコードはBSDライセンスを元としたこちらのライセンスに従って再頒布および使用ができる。このスクリプトの最新版は GitHub: rewse / mysqlbackup.cron にある。

#!/bin/sh

# Password for MySQL root
password=

target_dir="/var/lib/mysql/bak"

mysqldump \
  --user=root \
  --password=$password \
  --lock-all-tables \
  --flush-logs \
  --default-character-set=utf8 \
  --all-databases \
  > $target_dir/mysql.dump.new

if [ $? != 0 ]; then
  echo "[ERROR] mysqldump was failed." 1>&2
  exit 1
fi

mv -f $target_dir/mysql.dump.new $target_dir/mysql.dump

ボクの場合、データ量もそれほど大きくないことから、mysqldumpで表ロックをかけた状態で毎日フルバックアップしているが、そうも行かない場合は差分バックアップや MySQL Enterprise Backup を検討してほしい。ローカルに出力されたMySQLバックアップは、その後のシステム全体のバックアップ・スクリプトで別サーバーにコピーされる。

Scientific Linux 6.1 にLDAP経由でログイン

Tats Shibata — Wed, 08 Feb 2012 13:46:06 +0000

LDAPデータをPOSIXユーザーとして使う、つまり、LDAPのデータでLinuxがログインできるようにしてみよう。これによってNISサーバーのようにユーザー管理が一元化できるし、NFSで共有したときのユーザーIDがぐちゃぐちゃになることもなくなる。

このエントリーではすでに構築済みのLDAPサーバーに Scientific Linux (SL) 6.1 をクライアントとしてPAM経由で接続する方法を示している。Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様の方法で設定できるだろう。

PAMでLDAPを使用できるようにするモジュールであるpam_ldapとnss-pam-ldapd（nss_ldapは Scientific Linux 6 から廃止）、設定ツールであるauthconfig、毎回LDAPサーバーにアクセスせずにローカルでキャッシュるためのネーム・サービス・キャッシング・デーモン (nscd) をインストールする。なお、この環境ではauthconfigはインストール済みであった。

[root@oscar ~]# yum install pam_ldap nss-pam-ldapd authconfig nscd
......
================================================================================
 Package            Arch             Version                 Repository    Size
================================================================================
Installing:
 nscd               x86_64           2.12-1.25.el6           sl           199 k
 nss-pam-ldapd      x86_64           0.7.5-7.el6             sl           147 k
 pam_ldap           x86_64           185-8.el6               sl            86 k
......

authconfigを使用してLDAP認証でログインできるように設定ファイルを書き換える。

[root@oscar ~]# authconfig --update --enableldap --enablecache --enableldapauth --ldapserver=ldap.rewse.jp,ldap2.rewse.jp --ldapbasedn="dc=rewse,dc=jp"
nslcd を起動中:                                            [  OK  ]
nscd を起動中:                                             [  OK  ]

加えて、このままではLDAPサーバーにもし接続できなかった場合に延々とリトライしてしまうで、すぐにエラーになるようにbind_policyを設定した。

URI ldap://ldap.rewse.jp/ ldap://ldap2.rewse.jp/
BASE dc=rewse,dc=jp
TLS_CACERTDIR /etc/openldap/cacerts
bind_policy soft

また、ホーム・ディレクトリが存在しない場合に自動作成するようにした。

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
session     optional      pam_mkhomedir.so skel=/etc/skel umask=077

これでLDAPサーバーの情報を参照できるようになっているはずなので、/etc/passwdに存在しないユーザー情報が見えることを確認してみよう。

[root@oscar ~]# grep tats /etc/passwd
[root@oscar ~]# getent passwd tats
tats:*:1000:1000:Tatsunori Shibata:/home/tats:/bin/bash
[root@oscar ~]# id tats
uid=1000(tats) gid=1000(tats) 所属グループ=512(Domain Admins),2000(hobbit),1000(tats)

以下のように、LDAP認証でログインできるようになったはずだ。

[root@oscar ~]# su - tats
ディレクトリ '/home/tats' を作成中

Scientific Linux 6 でのSELinux管理コマンドまとめ

Tats Shibata — Mon, 06 Feb 2012 12:30:59 +0000

CentOS 5 から Scientific Linux 6 で環境再構築するタイミングでSELinuxを有効にして運用しているので、SELinux運用において必要なコマンドをまとめておく。SELinux管理について体系的に学びたい場合は日経Linux: 第一人者がやさしく教える新SELinux入門が良いだろう。

セキュリティ・コンテキストの読み方

<ユーザー名>:<ロール>:<ドメイン or タイプ>:

識別子	意味
ユーザー名	プロセスまたはファイルを作成したSELinuxユーザー名。あまり気にしなくてよい
ロール	Strictポリシーで使用する。Targetedポリシーでは使わないので無視してよい
ドメイン or タイプ	プロセスの場合はドメインと呼び、ファイルなどのリソースの場合はタイプと呼ぶ。重要な識別子
MLS	MLSポリシーで使用するレベルやカテゴリー。Targetedポリシーでは使わないので無視してよい

SELinuxは「○○ドメインは△△タイプを□□できる」（例: smbd_tドメインはsamba_share_tタイプをreadできる）といった定義がされたポリシー・ファイルによってアクセス制御を行う。つまり（Targetedポリシーの）SELinux管理とは、このドメインとタイプを管理することが中心となる。

Targetedポリシーの場合、unconfined_tとinitrc_tドメインはすべてのリソースへのすべてのアクセスが許可されている。ログイン・ユーザーの起動したプロセスはすべてunconfined_tドメインで起動されるので、ログインして使用する限りはSELinuxにアクセス拒否されることはない。

プロセスのセキュリティ・コンテキストの確認方法

[root@oscar ~]# ps auxZ | grep smbd | head -1
system_u:system_r:smbd_t:s0     root      1645  0.0  0.1 211984  2568 ?        Ss   Jan01   0:06 smbd -D

リソースのセキュリティ・コンテキストの確認方法

[root@oscar ~]# ls -dZ /var/pub
drwxrwxrwx. root root unconfined_u:object_r:samba_share_t:s0 /var/pub

動作モードの確認方法

[root@oscar ~]# getenforce
Enforcing

モード	意味
Enforcing	SELinuxが有効で、ポリシー違反のアクセスは拒否される。本番モード
Permissive	SELinuxが有効だが、ポリシー違反のアクセスはログに記録されるだけでアクセスは拒否されない。テスト・モード
Disabled	SELinuxが無効

動作モードの変更方法

setenfoce 0

引数	意味
0	Permissiveモードに一時的に変更。SELinuxが原因で想定どおり動作しない場合は、このモードに変えてテストしてみるとよい
1	Enforceモードに一時的に変更。Permissiveモードから元に戻す場合に使用

SELinuxの有効無効を変更する、またはEnforcingモードとPermissiveモードを永続的に変更する場合は /etc/selinx/config を変更してOSを再起動する。disabledからenforcingに一気に変更してしまうとセキュリティ・コンテキストが誤っていた場合にOSが起動しないなどの問題が起きるので、permissiveで一度起動し、以下のrestoreconしてからenforcingにするのが安全だろう。

SELinuxでアクセス拒否されたかどうかの確認方法

auditパッケージがインストールされており、auditdが起動していれば /var/log/audit/audit.log にtype=AVCとして記録される。以下はsmbd_tドメインのsmbdプロセスがinitrc_tmp_tタイプの /tmp/zabbix_restart.log をappendしようとしたが拒否されたログだ。

[root@oscar ~]# grep type=AVC /var/log/audit/audit.log* | head -1
/var/log/audit/audit.log.1:type=AVC msg=audit(1327050451.239:26832): avc:  denied  { append } for  pid=11406 comm="smbd" path="/tmp/zabbix_restart.log" dev=dm-9 ino=22 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:initrc_tmp_t:s0 tclass=file

audit.logは日時が読みにくいので、ausearchを使うのもよい

[root@oscar ~]# ausearch -m avc
----
time->Fri Jan 20 18:07:31 2012
type=SYSCALL msg=audit(1327050451.239:26832): arch=c000003e syscall=59 success=yes exit=0 a0=1e6f170 a1=1e72e70 a2=1e73610 a3=18 items=0 ppid=11405 pid=11406 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="smbd" exe="/usr/sbin/smbd" subj=system_u:system_r:smbd_t:s0 key=(null)
type=AVC msg=audit(1327050451.239:26832): avc:  denied  { append } for  pid=11406 comm="smbd" path="/tmp/zabbix_restart.log" dev=dm-9 ino=22 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:initrc_tmp_t:s0 tclass=file

setroubleshoot-serverパッケージがインストールされていれば /var/log/message にもアクセス拒否が記録される。

[root@oscar ~]# grep setroubleshoot /var/log/messages* | grep SELinux | head -1
/var/log/messages:Jan 01 05:20:47 oscar setroubleshoot: SELinux is preventing the spamd daemon from reading users' home directories. For complete SELinux messages. run sealert -l 301adeba-8de8-4b94-aaa4-be18f4a4ecad

ログに記されたsealertを実行すると、どのようにすればアクセス拒否を解除できるのかのアドバイスがもらえる。ただ、このアドバイスで拒否が解除できるのは五分五分って感じかな。

[root@oscar ~]# sealert -l 301adeba-8de8-4b94-aaa4-be18f4a4ecad
要約:

SELinux is preventing the spamd daemon from reading users' home directories.

詳細説明:

[SELinux は許容モードになっています。このアクセスは拒否されませんでした。]

SELinux has denied the spamd daemon access to users' home directories. Someone
is attempting to access your home directories via your spamd daemon. If you only
setup spamd to share non-home directories, this probably signals an intrusion
attempt.

アクセス許可:

If you want spamd to share home directories you need to turn on the
spamd_enable_home_dirs boolean: "setsebool -P spamd_enable_home_dirs=1"

Fix コマンド:

setsebool -P spamd_enable_home_dirs=1

追加情報:

ソースコンテキスト               system_u:system_r:spamd_t:s0
ターゲットコンテキスト           unconfined_u:object_r:admin_home_t:s0
ターゲットオブジェクト           /root/.razor/server.c302.cloudmark.com.conf [ file
                              ]
ソース                           spamd
ソースパス                       /usr/bin/perl
ポート                           <不明>
ホスト                           oscar.rewse.jp
ソース RPM パッケージ            perl-5.10.1-119.el6_1.1
ターゲット RPM パッケージ
ポリシー RPM                     selinux-policy-3.7.19-126.el6_2.4
Selinux 有効化                   True
ポリシータイプ                   targeted
強制モード                       Permissive
プラグイン名                     spamd_enable_home_dirs
ホスト名                         oscar.rewse.jp
プラットフォーム                 Linux oscar.rewse.jp 2.6.32-220.2.1.el6.x86_64 #1
                                 SMP Thu Dec 22 11:15:52 CST 2011 x86_64 x86_64
通知カウント                     1
最初の画面                       Tue Jan 01 05:20:28 2012
最後の画面                       Tue Jan 01 05:20:28 2012
ローカル ID                      301adeba-8de8-4b94-aaa4-be18f4a4ecad
行番号

生の監査メッセージ

node=oscar.rewse.jp type=AVC msg=audit(1327350028.189:3734): avc:  denied  { write } for  pid=13429 comm="spamd" name="server.c302.cloudmark.com.conf" dev=dm-0 ino=5571 scontext=system_u:system_r:spamd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file

node=oscar.rewse.jp type=SYSCALL msg=audit(1327350028.189:3734): arch=c000003e syscall=2 success=yes exit=9 a0=4ae3c30 a1=241 a2=1b6 a3=3a6371dba0 items=0 ppid=13427 pid=13429 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=244 comm="spamd" exe="/usr/bin/perl" subj=system_u:system_r:spamd_t:s0 key=(null)

/var/lib/setroubleshoot/email_alert_recipients にメールアドレスを記述しておくと、setroubleshootがアクセス拒否を見つけ次第、sealeartの結果をメールしてくれるので「SELinuxが原因で動作しない」という状況にすぐに気づくことができる。

example@gmail.com

/etc/setroubleshoot/setroubleshoot.cfg のfrom_addressに記述されたメールアドレスからメールが届くが、私の環境ではドメイン部分がホスト名で補完されると送信拒否されてしまうので、以下のように変更している。

# from_address: The From: email header
# from_address = SELinux_Troubleshoot
from_address = SELinux_Troubleshoot@rewse.jp

セキュリティ・コンテキストを初期化する

リソースに正しいセキュリティ・コンテキストがついていないためにアクセス拒否されている場合、restoreconでデフォルトのセキュリティ・コンテキストに初期化できる。

[root@oscar ~]# restorecon filename
[root@oscar ~]# restorecon -R /

セキュリティ・コンテキストはリソースが生成されたタイミングで /etc/selinux/targeted/contexts/files/file_contexts に記述されたパスに従ってデフォルト値が設定される。つまり、cpでは新たなコンテキストが設定されるが、mvではコンテキストは更新されない。圧縮ファイルを/tmpに展開して、そこからmvしたときは必ずrestoreconで初期化しよう。

条件付きポリシーを変更する

デフォルトでは厳しいポリシーになっていてアクセス拒否されてしまうが、用途に合わせてポリシーを緩める必要がある場合に簡単に変更できるのが条件付きポリシーだ。どのような条件付きポリシーが用意されているかはgetseboolで分かる。

[root@oscar ~]# getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
allow_console_login --> on
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on
......

条件付きポリシーはsetseboolで変更する。

[root@oscar ~]# setsebool -P samba_enable_home_dirs 1

条件付きポリシーは手軽ではあるが、onにすればするほどSELinuxの防御は弱くなるので、onにするべきかどうかは慎重に判断しよう。

セキュリティ・コンテキストを一時的に変更する

一部のリソースのセキュリティ・コンテキストを手動で変更する場合はchconを使用する。

[root@oscar ~]# chcon system_u:object_r:samba_share_t:s0 /var/pub

セキュリティ・コンテキストを永続的に変更する

chconで変更したセキュリティ・コンテキストはrestoreconしてしまうと再びデフォルトに戻ってしまうので、semanageでfile_contextsに新たなルールを追加しておくのが良いだろう。追加するパスは正規表現で記述する。

[root@oscar ~]# semanage fcontext -a -t samba_share_t "/var/pub(/.*)?"
[root@oscar ~]# restorecon -R /var/pub

file_contextsは直接開いても良いが、semanageからは以下のように一覧できる。

[root@oscar ~]# semanage fcontext -l
SELinux fcontext                                   タイプ                コンテキスト

/                                                  directory          system_u:object_r:root_t:s0
/.*                                                all files          system_u:object_r:default_t:s0
/[^/]+                                             regular file       system_u:object_r:etc_runtime_t:s0
......

追加したルールを削除する場合は以下のように行う。

[root@oscar ~]# semanage fcontext -d -t samba_share_t "/var/pub(/.*)?"
[root@oscar ~]# restorecon -R /var/pub

新しいポリシーを追加する

「○○ドメインは△△タイプを□□できる」というポリシーを新たに追加する必要がある場合は、audit.logからテキスト形式のTEファイルを作成し、TEファイルからバイナリ形式のPPファイルというモジュール・パッケージを作成し、PPファイルをポリシー・ファイルに追加するという手順になる。

/var/log/audit/audit.log をそのまま使うと今までアクセス拒否されたすべてがごちゃ混ぜになってしまうので、抽出してから使用するのが良いだろう。

[root@oscar ~]# grep type=AVC /varlog/audit/audit.log | grep amavis > /tmp/audit.log

抽出されたaudit.logからaudit2allowを使ってTEファイルを作成する。

[root@oscar ~]# audit2allow -M amavislocal -i /tmp/audit.log
******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i amavislocal.pp

作成されたTEファイルを見てみよう。

module amavislocal 1.0;

require {
  type amavis_t;
  type initrc_t;
  type lib_t;
  type var_run_t;
  class unix_dgram_socket sendto;
  class file execute_no_trans;
  class sock_file write;
}

#============= amavis_t ==============
allow amavis_t initrc_t:unix_dgram_socket sendto;
allow amavis_t lib_t:file execute_no_trans;
allow amavis_t var_run_t:sock_file write;

PPファイルはaudit2allowが自動生成してくれるが、手動でTEファイルを編集した場合などは /usr/share/selinux/devel ディレクトリにTEファイルを移動してmakeする必要がある。

[root@oscar ~]# cd /usr/share/selinux/devel
[root@oscar devel mv /tmp/amavislocal.te .
[root@oscar devel]# make
/usr/bin/checkmodule:  loading policy configuration from tmp/amavislocal.tmp
/usr/bin/checkmodule:  policy configuration loaded
/usr/bin/checkmodule:  writing binary representation (version 10) to tmp/amavislocal.mod
Creating targeted amavislocal.pp policy package
......

作成したPPファイルをインストールする。

[root@oscar devel]# semodule -i amavislocal.pp

現在のモジュール一覧を以下のように取得できる。

[root@oscar ~]# semodule -l

インストールされたモジュールを削除する場合は以下のように行う。

[root@oscar ~]# semodule -r amavislocal

Oracle OpenWorld Tokyo 2012 | JavaOne Tokyo 2012 お申込み受付開始

Tats Shibata — Wed, 25 Jan 2012 12:23:31 +0000

Oracle OpenWorld Tokyo 2012 と JavaOne Tokyo 2012 のお申込み受付が始まりました。Oracle OpenWorld Tokyo 2012 は4月4日から6日まで、JavaOne Tokyo 2012 は4月4日から5日まで、それぞれ六本木ヒルズなどで開催されます。参加費は Oracle OpenWorld Tokyo 2012 が無料で、JavaOne Tokyo 2012 が5,250円です。

以下のバナーからお申込みいただき、招待コードに「2715」を入力していただくと、Oracle OpenWorld Tokyo 2012 では Leaders Club メンバーとして招待者限定セッションに参加できるようになります。JavaOne Tokyo 2012 では招待コードを入れるメリットは参加者の皆さまには特にないのですが……、私がほんの少し上司にほめられるかもしれません。

Scientific Linux 6 をインストールして最初に行なう18の設定

Tats Shibata — Mon, 23 Jan 2012 13:35:37 +0000

ボクが Scientific Linux 6 を使う始めるときに、必ず設定やインストールしている項目をここでまとめておく。これらの設定は Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様に使用できるだろう。

rootユーザーのメールアドレスの設定

Scientific Linux から管理者であるroot宛に様々なメールが届くが、そのままではrootで当該マシンにログインしないと読めないので、いつも使っているメールアドレスに届くように変更する。ボクの場合、rewse.jpのメールアドレスをメインに使っているけど、そのメール・サーバーに障害が起きたときにそれを通知するメールが受け取れないので、Gmailのアドレスを設定している。

# Person who should get root's mail
#root:          marc
root:           example@gmail.com

/etc/aliasesを編集しただけでは設定は有効にならないので、忘れずにnewaliasesを実行する。

[root@charlie ~]# newaliases

ボクの自宅サーバーで使っている固定IPアドレスは逆引き設定できず、逆引きすると契約ISPのドメインが戻ってしまうため、Gmailに直接メール送信すると The IP you’re using to send mail is not authorized to 550-5.7.1 send email directly to our servers. で受信拒否されてしまう。対策方法は Gmail: The IP you’re using to send email is not authorized… に載っているとおりなので、契約ISPのSMTPサーバーに中継するように設定変更する。

Postfixに中継サーバーを設定する。SMTPサーバー名を指定する場合には必ず [ ] をつけることを忘れずに。

#relayhost = $mydomain
#relayhost = [gateway.my.domain]
#relayhost = [mailserver.isp.tld]
#relayhost = uucphost
#relayhost = [an.ip.add.ress]
relayhost = [mail.asahi-net.or.jp]

また、Postfixのデフォルト設定では送信元メールアドレスのドメイン部分はホスト名になっているが、このままだと Sender address rejected: Domain not found エラーで受信拒否される場合があるので、ドメイン部分を変更する。

#myorigin = $myhostname
#myorigin = $mydomain
myorigin = $mydomain

設定ファイルを再読み込みする。

[root@charlie ~]# service postfix reload
Reloading postfix:                                         [  OK  ]

このように受信側メール・サーバーのいろいろなポリシーで拒否される場合があるので、必ずテスト・メールを送ってみよう。mailでは本文を書き終えたら.（ピリオド）だけの行を入力すると本文終了の意味になる。

[root@charlie ~]# mail -s "Test Mail" root
This is a test mail.
.
EOT

NTPの設定

時刻がずれていると今後のいろいろ編集するファイルの更新時刻もずれてしまってよく分からなくなるので、時刻は早めに正しくてしまおう。なお、Xenなどの仮想マシンは物理マシンの時刻に完全に同期しているので、仮想マシンでNTPを設定する必要はない。

ボクの環境ではNTPが入っていなかったので、まずはインストール。

[root@charlie ~]# yum install ntp
......
================================================================================
 Package        Arch          Version                           Repository
                                                                           Size
================================================================================
Installing:
 ntp            x86_64        4.2.4p8-2.el6                     sl        444 k
Installing for dependencies:
 libedit        x86_64        2.11-4.20080712cvs.1.el6          sl         73 k
 ntpdate        x86_64        4.2.4p8-2.el6                     sl         57 k
......

海外NTPサーバーだとレイテンシーが大きいので、国内NTPサーバーを追加する。ボクは情報通信研究機構 (NICT) / INTERNET MULTIFEED の定番に加えて、契約ISPのASAHIネットを追加した。なお、強制的にIPv4で通信するように-4をすべて追加している。

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server -4 0.rhel.pool.ntp.org
server -4 1.rhel.pool.ntp.org
server -4 2.rhel.pool.ntp.org
server -4 ntp.nict.jp
server -4 ntp.jst.mfeed.ad.jp
server -4 ntp.asahi-net.or.jp

NTPサーバーとの時刻が違いすぎると自動調整が利かないので、一度、手動で合わせてしまう。

[root@charlie ~]# ntpdate ntp.nict.jp
28 May 22:45:46 ntpdate[5030]: step time server 133.243.238.244 offset -18.324051 sec

NTPサービスを起動時から有効になるように設定変更し、サービスを開始する。

[root@charlie ~]# chkconfig ntpd on
[root@charlie ~]# service ntpd start
ntpd を起動中:                                             [  OK  ]

しばらくすると以下のコマンドでNTPの同期状況が分かるようになる。上3つは NTP Pool Project のものなので自動的に選ばれたものだ。先頭に*（アスタリスク）がついているサーバーが現在同期中のサーバーで、ntp.nict.jpを使用しているようだ。ntp.nict.jpはストラタムが1なので（一次サーバーなので）選ばれやすい。

[root@charlie ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+ntp.kiba.net    195.71.81.206    2 u   12   64  377   11.793  -34.807   2.153
 www.4koma.com   133.243.238.163  2 u   12   64  377   41.168  -15.576   4.411
-foneus.gimasyst 10.0.5.10        2 u   12   64  377    4.741  -40.622   5.522
*ntp-b2.nict.go. .NICT.           1 u   12   64  377    4.223  -35.788   2.374
+ntp3.jst.mfeed. 210.173.160.86   2 u    8   64  377    2.192  -34.882   2.264
+orion.asahi-net 133.243.238.244  2 u   11   64  377    1.900  -36.306   2.281
 LOCAL(0)        .LOCL.          10 l    2   64  377    0.000    0.000   0.002

SSHの設定

SSHサーバーはデフォルトではパスワード認証だが、クライアント側のSSH鍵を登録しておくと、登録されたSSH鍵を持っているクライアントからはパスワードを入力なしでログインできるので楽できる。

クライアント側の公開鍵を確認しよう。SSH鍵を持っていない場合は、LinuxやMacであればssh-keygenで作成できる。以下はMacでの操作だ。

[tats@evian ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): [Enter]
Enter same passphrase again: [Enter]
Your identification has been saved in .ssh/id_rsa.
Your public key has been saved in .ssh/id_rsa.pub.
The key fingerprint is:
91:2e:58:0f:ba:26:bf:2f:e8:0c:63:03:8c:2b:93:6d tats@evian.rewse.jp
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|         .       |
|      o o        |
|o    + + .       |
|o.  o . S        |
|.+   . .         |
|BoE.o            |
|o*o+.            |
| .o o+.          |
+-----------------+
[tats@evian ~]$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC3szz6E5F8ykxkZBtZTszlYWnz4BIBEFNh59zQMuUa1w9VGg8yJIUOswcfsKxi8YrLATOW/6O1REUPZTAopLvR0TB92m4tlVCE7tFxWfJFCSgf42a6MAdx3eOtn+v5kZG3jx8kPp+Mba9wc/+gBa5CNLLNw841QRLZZ5tbSwsWIgeQfyHIaawHy171csPv28KuhTNRE5wHmK5KYJ+EW+Cx+ljDVLDBYE9v/w2Ty+5sv1mN3n6GHRYfasnuLWwRzWCKiQj8rcod91ILYZXILfZ5GN7en8sNPRoHawOuJFcnMGiVyhk685RXHI+eP5AjJ5FlsbW7h9qde+opN5c/bobD tats@evian.rewse.jp

上記の公開鍵を Scientific Linux 側の ~/.ssh/authorized_keys にコピペする。なお、ディレクトリやファイルの権限が緩すぎると鍵認証でログインできないので注意しよう。

[root@charlie ~]# mkdir .ssh
[root@charlie ~]# chmod 700 .ssh
[root@charlie ~]# vi authorized_keys
[root@charlie ~]# chmod 600 .ssh/authorized_keys

SSHをインターネットに公開しているサーバーでは、パスワード認証をせずに鍵認証だけにしてしまったほうが安全だろう。

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
#PasswordAuthentication yes
PasswordAuthentication no

ポート番号をデフォルトの22から変えてしまうとボクの経験では不正アタックは全くなくなるので、可能であれば変更してしまおう。

#Port 22
Port 12222

変更したらSSHを再起動しよう。

[root@charlie ~]# service sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]

Yumの設定

デフォルトでは海外にある公式サイトの更新サーバーを見に行ってしまって遅いので、国内ミラーに設定変更する。変更方法は複眼中心: 国内 Scientific Linux 6 サーバーのためのyum設定を参照してほしい。

Cronの設定

何台かのマシンがあるとき、すべてが同じ時刻にCronを動かすとその瞬間だけ高負荷になってしまうので、個々のマシンで実行時刻をずらす。このマシンでは以下のように変更した。

SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
#01 * * * * root run-parts /etc/cron.hourly
11 * * * * root run-parts /etc/cron.hourly

Scientific Linux 5 と違って、cron.daily / cron.weekly / cron.monthly はAnacron経由で実行される。AancronはSTART_HOURS_RANGEの時間帯のみ実行され、period in days の日数ごとにAnacronデーモンが起動してから delay in minutes + RANDOM_DELAYの間にcommandが実行される。つまり以下の設定がされた常に起動しているサーバーの場合、/etc/cron.dailyは1日ごと（毎日）の3時05分から3時50分の間に実行され、/etc/cron.weeklyは7日ごと（毎週）の3時25分から4時10分の間に実行される。

# the maximal random delay added to the base delay of the jobs
RANDOM_DELAY=45
# the jobs will be started during the following hours only
START_HOURS_RANGE=3-22

#period in days   delay in minutes   job-identifier   command 
1       5       cron.daily              nice run-parts /etc/cron.daily
7       25      cron.weekly             nice run-parts /etc/cron.weekly
@monthly 45     cron.monthly            nice run-parts /etc/cron.monthly

デフォルトの値はワークステーションが前提なのか深夜以外の時間帯にCronを実行するようになっているので、これを深夜のみに変更する。Anacron自体は/etc/cron.hourly/0anacronから実行されるので、デーモンの再起動などは必要ない。

# the jobs will be started during the following hours only
#START_HOURS_RANGE=3-22
START_HOURS_RANGE=3-6

パフォーマンス関連パッケージのインストール

OSの統計情報を獲るためのdstatとsysstatをインストールする。

[root@zulu ~]# yum install dstat sysstat
......
================================================================================
 Package           Arch             Version                  Repository    Size
================================================================================
Installing:
 dstat             noarch           0.7.0-1.el6              sl           136 k
 sysstat           x86_64           9.0.4-11.el6             sl           214 k
......

不要なサービスの停止

この環境では必要ないサービスを自動起動しないように変更し、サービスを停止する。

[root@zulu ~]# chkconfig sysstat off
[root@zulu ~]# service sysstat stop

必要なサービスの開始

この環境に必要なサービスを自動起動するように変更し、サービスを開始する。

[root@zulu ~]# chkconfig ipmi start
[root@charlie proc]# service ipmi start
Starting ipmi drivers:                                     [  OK  ]

ディスクのチューニング

ext4ではデフォルト予約ファイルシステム・ブロックとして全容量の5%が割り当てられている。dfしたときに「使用」+「残り」の値が「サイズ」と違うのはこの予約ファイルシステム・ブロックがあるためで、この予約ファイルシステム・ブロックにはrootのみが書き込むことができる。そのため、例えば一般ユーザーが/tmpをあふれさせてしまっても、rootは予約ファイルシステム・ブロックを使って/tmpにまだ書き込むことができ、管理作業を行うことができる。ただ、最近の大容量ディスクではデフォルトの5%は大きすぎると思うので、これを容量に従って少し小さくする。仮想マシンのディスク・イメージを配置するパーティションなんかは大容量だけど不意の書込みはほとんどないので、予約ファイルシステム・ブロックは少なくできる代表例だろう。

パーティション容量	予約ファイルシステム・ブロック
1GB未満	5%
1GB以上	4%
10GB以上	3%
100GB以上	2%
1TB以上	1%

また、ファイルシステムをチェックする最大マウント回数 (-c) とファイルシステムをチェックする最大時間間隔 (-i) も気をつけよう。デフォルトでは30回程度（ランダム）のマウントまたは180日目のマウントで自動的にfsckが実行される。OS起動時に予期せず巨大なパーティションに対してfsckが実行されてしまい、いつまで経ってもOSが起動しないというようなことが起きないように、ボクは -c 0 -i 0 にすべてのパーティションをしているし、GUIインストーラーであるAnacondaで自動フォーマットした場合は自動的に -c 0 -i 0 になっている。

[root@charlie ~]# tune2fs -m 1 -c 0 -i 0 /dev/sdd1
tune2fs 1.39 (29-May-2006)
Setting maximal mount count to -1
Setting interval between checks to 0 seconds
Setting reserved blocks percentage to 1% (2441406 blocks)

smartdの設定

ディスクのS.M.A.R.Tを監視し、異常が発見された場合は告知してくれるsmartdはデフォルトの設定ではSATAディスクに対応していないので、それを修正する。

# The word DEVICESCAN will cause any remaining lines in this
# configuration file to be ignored: it tells smartd to scan for all
# ATA and SCSI devices.  DEVICESCAN may be followed by any of the
# Directives listed below, which will be applied to all devices that
# are found.  Most users should comment out DEVICESCAN and explicitly
# list the devices that they wish to monitor.
#DEVICESCAN -H -m root
DEVICESCAN -H -m root -d sat

99-raid-checkの設定

/etc/cron.weekly/99-raid-checkはRAIDの各ディスク間でデータ不一致がないかどうかを見つけてくれるのだけど、そのためにディスクを全走査するので2TBが3本のRAID5で5時間以上掛かってしまう一方、スワップ領域を含むディスクはデータ不一致を誤検知することがあって信用ならないので、スワップで使用しているLVMの論理ボリュームを含む2TBの領域はこのチェックを行なわないようにした。この問題の詳細はへびにっき: WARNING: mismatch_cnt is not 0 on /dev/md0 が詳しい。

......
# To check devs /dev/md0 and /dev/md3, use &quot;md0 md3&quot;
CHECK_DEVS=&quot;&quot;
REPAIR_DEVS=&quot;&quot;
#SKIP_DEVS=&quot;&quot;
SKIP_DEVS=&quot;md1&quot;

iptablesの設定

iptablesを使ってファイアウォールを構築する。構築方法は複眼中心: iptablesによるファイアウォール設定を参照してほしい。

Avira AntiVir Personal (UNIX) のインストール

ウイルス対策に Avira AntiVir Personal (UNIX) をインストールする。インストール方法は複眼中心: Avira AntiVir Personal (UNIX) 3.1.3.5-0 インストールを参照してほしい。

chkrootkitのインストール

ルートキット対策にchkrootkitをインストールする。インストール方法は複眼中心: Scientific Linux 6.1 に chkrootkit 0.49 をインストールを参照してほしい。

バックアップの設定

rsyncを使用してNFS経由で別マシンに日次バックアップを行うスクリプトを設置する。このスクリプトは Mac OS X の Time Machine にインスパイアされたもので、ハードリンクを使用した重複排除や、週次の間引きなども行うようになっている。スクリプトの詳細は GitHub: rewse: backup.cron を参照してほしい。

Zabbixエージェントのインストール

統合監視にZabbixを使用しているので、そのエージェントをインストールする。

LDAPとOSユーザーを連携

ボクの環境にはLDAPサーバーがあり、OSユーザーはローカル管理せずにこのLDAPサーバーを使うようにしているので、この連携を行う。連携方法については複眼中心: Scientific Linux 6.1 にLDAP経由でログインを参照してほしい。

各種の設定

/etc/profile.d, /etc/inputrc, /etc/screenrc, /etc/vimrc にいつもの設定を追加する。vimrcについては複眼中心: 2011年5月のvimrc を参照してほしい。

小樽ミコマミコマ弁当

Tats Shibata — Tue, 17 Jan 2012 12:29:08 +0000

Apple iPhone 4, 1/17, f/2.8, ISO500, 3.9mm (35mm), but might be post-producted

小田急百貨店新宿店で「冬の北海道物産展」をやっていたので、小樽ミコマのミコマ弁当を購入。このボリュームだけど酢飯はすり切りしか入っておらず、山はカニのほぐし身で支えられている。

冬の北海道物産展は2012年1月17日から2012年1月31日まで。

店舗名	小樽ミコマ
商品	ミコマ弁当
購入場所	小田急百貨店新宿店
購入日	2012-01-17
価格	1,680円

KALITA セラミックミル C-90 レビュー

Tats Shibata — Mon, 09 Jan 2012 10:45:07 +0000

お店でひいたコーヒーはどうも足が速くて苦手なもので、買おう買おうと思っていたコーヒー・ミルをついに購入した。KALITA セラミックミル C-90 である。

粉の大きさが均一にならない回転羽式（プロペラ式）は味の評判が悪いので臼歯式に絞って検討し、KALITA セラミックミル C-90 か Melitta パーフェクトタッチ II CG-5B の2つで悩んでいたんだけど、会社の共有品としてCG-5Bを使っていて自宅でC-90を使っている岡田有花さん（ゆかたん）がC-90をボクの家に持ってきてくれて実演レビューしてくれときの味がとても良かったので、ボクもC-90を選ぶことにした。カット式の KALITA ナイスカットミルが良いのは分かるんだけど、置き場所がないので……。ゆかたんもナイスカットミルが欲しいと言ってたけど。

セラミックミル C-90 でひくと雑味が出ずに味と香りが深まり、へたな喫茶店で飲むよりおいしいコーヒーが自宅で入れられるようになる。構造は単純なので100杯程度では壊れそうもないので、1杯あたりで考えたらお得な買い物だろう。ただ、油分の少ない豆だとC-90からコーヒー・ドリッパーに移すときに静電気で本体と周りに粉が飛び散りまくるのがちょっと気になるかなー。ハケが一応付属しているけど、水洗いしない限りはきれいにならないし。最後の1粒が飛び跳ねてなかなかひかれないこともあるけど、本体が小さくてそれほど重くないので軽く振れば問題ない。

合わせてコーヒー・ドリッパーもゆかたんが自宅で使っている HARIO カフェオールドリッパー02 CFOD-02 に変更。ペーパーを使わずに、さわってもさらさらしているくらい目の細かいステンレス・メッシュでできているドリッパーで、コーヒー・オイルが抽出されるので味に深みが出る。ペーパーを使わないことでのメンテナンス性は一長一短で、掃除機の紙パック方式とサイクロン方式の違いに近いかも。ペーパー型だと入れた後にそのままポイ捨てすればすむけど、CFOD-02だと水を入れてすぐに生ゴミ受けにひっくり返す作業を何回かする必要がある。ただし、ペーパーを買いに行く手間やコーヒーを飲もうとしたら自宅にペーパーの在庫がない！なんてアクシデントが起こらない。

電気ケトルには T-fal ニューヴィテスプラスを持っていたんだけど、この勢いで Russell Hobbs Cafe Kettle 7110JP を購入。ステンレス製なので本体がかなり熱くなるけど、これは普通のヤカンも同じだと思えば気にならない。それよりもドリップしやすい注ぎ口と安定した取っ手の形状、そして何よりもデザインの美しさがいいね。

Cafe Kettle 7110JP に水をセットしてから、食品庫から豆を出してセラミックミル C-90 でひいて、カフェオールドリッパー02 CFOD-02 に移し替えて、粉だらけのC-90をハケでざっと清掃したくらいの時間で、7110JPが沸騰してから数分経っているので90度以下になっててちょうど良い感じ。こんなにおいしいならさっさと買っておけば良かったよ。

メーカー	カリタ
製品	セラミックミル C-90
購入場所	Amazon.co.jp
購入日	2011-11-20
価格	7,454円

メーカー	ハリオグラス
製品	カフェオールドリッパー02 CFOD-02
購入場所	Amazon.co.jp
購入日	2011-11-20
価格	1,344円

メーカー	Spectrum Brands
製品	Russell Hobbs Cafe Kettle 7110JP
購入場所	A-PRICE
購入日	2011-11-20
価格	7,410円

平成二十四年謹賀新年

Tats Shibata — Thu, 05 Jan 2012 05:02:45 +0000

本年も複眼中心をよろしくお願い申し上げます。

紙の年賀状が届くのより早く公開するのもあれかなと思っていたら、こんなタイミングでの公開となりました。今年こそは元旦に年賀状が届くように準備するぞ！

明治神宮外苑いちょう並木

Tats Shibata — Sat, 10 Dec 2011 13:02:25 +0000

Apple iPhone 4, Instagram

会社から歩いてすぐのところに明治神宮外苑のいちょう並木があるので、いちょう祭りの屋台でランチを取った。2011年のいちょう祭りは12月11日まで。