Manualmaton's Laboratory

車麩と吸収。

By

オン 2026年4月24日

カテゴリー: 食べ物・飲み物

昨日のちょっとした思考実験。「なぜ料理は後から調味料を入れた方が美味しくなるのか」をすでに実践し、さらなる旨味を作ったという母のやり方です。

メイン料理は肉豆腐…… に見えて、車麩が入っています。つまり、肉と煮汁の旨味をこちらに吸収させるというやり方。

では、そのとき何が起こったかをmermaid.jsで見てみましょう。

sequenceDiagram participant P as 煮汁 participant V as 既存食材 participant F as 車麩 Note over P, V: 【フェーズ1:盤面の安定】 Note right of P: 煮汁は調味され、適温。<br/>旨味は鍋全体に拡散している状態。 Note over P, F: 【フェーズ2:暴力的介入】 Note right of F: 車麩を投入 rect rgb(200, 220, 240) Note over P, F: 【物理的介入:温度低下】 F->>P: 大量の常温物質が熱を奪う Note left of P: 鍋全体の温度が急激に低下。<br/>既存食材の表面が引き締まる。 end rect rgb(240, 200, 200) Note over P, F: 【物理的介入:強制吸着 】 Note right of F: 乾燥した多孔質の組織が<br/>強烈な毛細管現象を発揮。 P->>F: 周囲の煮汁を強引に吸い上げる V-->>P: 旨味を鍋に残したまま、水分だけが移動 Note right of F: 煮汁の濃度が車麩内部で上昇。<br/>旨味が固定される end Note over F: 旨味の塊となった車麩の完成

敢えての「暴力的介入」の名にふさわしい逸品となっていました。

調理の順番。(浸透圧と調味料の入れ方)

By

オン 2026年4月23日

カテゴリー: IDEA SPHERE

筆者は弁当を作る際、スープジャーを用いて汁物を毎回作っていますが、教わったり実感として体験した

  1. 肉ジャガなどを作るときに味付けを最後にした方が逆に味が染みる。
  2. 調味済みの煮汁で煮てしまうと逆に煮崩れしたり味がしみない。

この一見して矛盾に見える調理法がなぜ理にかなうのか?

これを少し調べてみました。この現象を紐解く鍵は、主に

  1. 「浸透圧」
  2. 「熱による組織の変化」

の2点にあります。

以下、AIと壁打ちしながら得た結論です。

浸透圧と細胞壁のブロック

料理の基本は、食材の中に水分(だし汁)や調味料を送り込むことです。しかし、野菜や肉の細胞は「細胞膜」や「細胞壁」で守られており、いきなり濃い味(塩分や糖分)を加えると、逆効果になることがあります。

  • 脱水作用:
    • 最初から味を濃くしてしまうと、浸透圧の働きにより、食材の中の水分が外に引き出されてしまいます。その結果、組織がギュッと収縮して硬くなり、味が中に入っていく隙間がなくなってしまいます。
  • 味の通り道を作る:
    • まずは「だし汁(真水に近い状態)」で煮ることで、熱によって細胞同士を繋いでいる成分(ペクチンなど)が分解され、組織が柔らかくなります。この「組織が緩んだ状態」を作ってから味を入れるのが、最も効率的なのです。

2. 分子量の違い(さしすせその法則)

調味料の「分子の大きさ」も関係しています。

  • 砂糖(分子が大きい):
    • 組織に浸透するのに時間がかかります。
  • 塩(分子が小さい):
    • すぐに浸透し、組織を引き締めてしまいます。

先に塩分(醤油や塩)を入れてしまうと、組織が引き締まってしまい、後から大きな分子である砂糖が入り込めなくなります。

そのため、まずは組織をふっくらさせ、甘みを先に入れ、最後に塩分で味を固定するという順序が科学的にも推奨されます。

3. 「味が染みる」のは火を止めた後

実は、煮込んでいる最中よりも、「温度が下がっていくとき」に最も味が染み込みます。

  • 熱膨張と収縮:
    • 加熱中は食材の中の水分や空気が膨張し、外へ出ようとする力が働いています。火を止め、温度が下がる過程で、膨張していた組織が収縮し、その隙間に周囲の煮汁がグングン吸い込まれていきます。

「最後に味を調える」という工程は、この冷却による吸収の直前で、最も美味しい状態の煮汁をスタンバイさせる重要なステップなのです。

4. 肉や魚の場合

肉や魚も原理は似ていますが、特に「タンパク質の変性」が加わります。

  • 肉:
    • いきなり塩分濃度の高い液で煮ると、表面のタンパク質が即座に凝固し、中心部まで味が届くのを邪魔してしまいます。まずは水分を含ませながらゆっくり加熱し、組織が緩んだところで味を加える方が、しっとりと味が乗ります。
  • 魚:
    • 魚は身が崩れやすいため、先に表面を「霜降り」などで固めることがありますが、味の浸透についてはやはり「煮汁の濃度が徐々に上がっていく」状態の方が、身が締まりすぎずふっくら仕上がります。

調味料の蒸発・変成

これが一番の問題かもしれません。

醤油や味噌、酒といった調味料の芳香成分は、長く煮すぎると熱で飛んで(揮発して)しまいます。

最後に加えることで、素材の味を引き立てる「香り」や「風味」を最大限に維持できます。

結論

「だし汁で煮てから、最後に味を付ける」のは、食材のゲート(組織)を優しく開けてから、主役の味を招待するという、極めて効率的なアプローチです。

mermaid.jsによるメカニズム

失敗するパターン(先に調味料を入れる)

sequenceDiagram participant F as 食材 participant W as 水・出汁 participant S as 調味料 Note over F, S: 【フェーズ1:早すぎる介入】 S->>W: 調味料(醤油・塩・砂糖)を全投入 Note over W: 出汁の濃度が最初から極めて高い状態 Note over F, W: 【フェーズ2:細胞の防衛反応】 W-->>F: 高濃度の液が細胞壁に接触 F->>W: 浸透圧により<br />細胞内の水分が急激に脱出 Note right of F: 細胞が脱水し、<br/>タンパク質が強固に凝固(締まる) Note over F, W: 【フェーズ3:浸透の遮断】 W-x F: 旨味成分が中に入ろうとするが、<br/>硬くなった表面(鎧)に阻まれる F-x W: 食材自体の旨味も外に出られなくなる Note over F: 外側だけ味が濃く、中はパサパサで硬い<br/>「味の染まない煮物」の完成 
sequenceDiagram
    participant F as 食材
    participant W as 水・出汁
    participant S as 調味料

    Note over F, S: 【フェーズ1:早すぎる介入】
    S->>W: 調味料(醤油・塩・砂糖)を全投入
    Note over W: 出汁の濃度が最初から極めて高い状態

    Note over F, W: 【フェーズ2:細胞の防衛反応】
    W-->>F: 高濃度の液が細胞壁に接触
    F->>W: 浸透圧により<br />細胞内の水分が急激に脱出
    Note right of F: 細胞が脱水し、<br/>タンパク質が強固に凝固(締まる)

    Note over F, W: 【フェーズ3:浸透の遮断】
    W-x F: 旨味成分が中に入ろうとするが、<br/>硬くなった表面(鎧)に阻まれる
    F-x W: 食材自体の旨味も外に出られなくなる

    Note over F: 外側だけ味が濃く、中はパサパサで硬い<br/>「味の染まない煮物」の完成

成功するパターン(あとから調味料を入れる)

sequenceDiagram participant F as 食材 participant W as 水・出汁 participant S as 調味料 Note over F, W: 【フェーズ1:基盤構築】 W->>F: 加熱された出汁が細胞壁を軟化 F->>W: 食材自身の旨味を放出 Note right of F: 細胞がふっくらと開き、<br/>受け入れ態勢が整う Note over F, S: 【フェーズ2:味の介入】 S->>W: 調味料(醤油・塩)を投入 Note over W: 出汁の濃度が上昇(浸透圧の差が発生) W->>F: 浸透圧により味が細胞内へ移動 F->>W: 余分な水分を排出 Note over F, W: 【フェーズ3:定着】 Note right of F: 火を止め、冷却される過程で<br/>さらに味が奥まで引き込まれる Note over F: 中心まで味が染みた状態 
sequenceDiagram
    participant F as 食材 
    participant W as 水・出汁 
    participant S as 調味料 

    Note over F, W: 【フェーズ1:基盤構築】
    W->>F: 加熱された出汁が細胞壁を軟化
    F->>W: 食材自身の旨味を放出 
    Note right of F: 細胞がふっくらと開き、<br/>受け入れ態勢が整う

    Note over F, S: 【フェーズ2:味の介入】
    S->>W: 調味料(醤油・塩)を投入
    Note over W: 出汁の濃度が上昇(浸透圧の差が発生)

    W->>F: 浸透圧により味が細胞内へ移動 
    F->>W: 余分な水分を排出

    Note over F, W: 【フェーズ3:定着】
    Note right of F: 火を止め、冷却される過程で<br/>さらに味が奥まで引き込まれる

    Note over F: 中心まで味が染みた状態

まとめ

以前、『スーパードクターK』(或いは『ドクターK』)にあった

「理を料(はか)ると書いて料理」

とはよく言ったもの。昔ながらの作法が理にかなっているのは経験則という学びの結果だと思いました。

持ち運び、携行食。

By

オン 2026年4月22日

カテゴリー: 弁当, 食べ物・飲み物

折りたたみ自転車&椅子。

この検証時に持って行ったのはそれだけではありませんでした。

弁当箱とスープジャー。

  • ちりめん山椒の混ぜご飯
  • ドラムスティック蒸し焼き
  • チキンナゲット
  • えのきとネギの味噌汁。

そして、画像から見えていませんが、ついでに持って行ったハムとレタスのサラダがこの時の食事のMVP。サラダというよりはゆずポン酢の酸味と塩気が体にしみたという形です。

道中で購入したロールケーキの甘さもガツンときました。

折りたたみ自転車&椅子。

By

オン 2026年4月21日

カテゴリー: 東京都内, 自転車散歩

キャンプ用のローバックチェア。これを折りたたみ自転車と合わせてみたらどうなるだろうかと思いながら輪行してみました。

この通り、鞄で運べるレベルになるのがブロンプトンの強み。

輪行→自走後、レインボーブリッジの真下に到着。

ここで広げたのが、この、ローバックチェア。冒頭に示した収納ケースごとフロントバッグにも入りました。

この椅子を広げて思ったことは

  • 思った以上に快適
  • 背もたれのある安心感
  • 輪行後の休息手段を『自前で』用意する楽しさ

が加わった形。ここから荷物の加減乗除をしていながら、最適化を図っていきたいです。

RHEL系LinuxにZabbixサーバをインストール

By

オン 2026年4月20日

カテゴリー: Linux

RHEL系Linux(Rocky Linux 9)にZabbixサーバを構築したときのメモです。

環境

  • Zabbix 7.0
  • PHP-FPM 8.3
  • MySQL 8.0
  • Apache 2.4

前提

  • Linuxの初期設定完了済み
  • 以下のミドルウェアをインストール済み。
  • Apache 2.4
  • MySQL 8.0 (mysql_secure_installation込み)
  • PHP-FPM 8.3

さっくりとした手順

  1. php.iniを修正します。
  2. Zabbixパッケージをインストールします。
  3. DBを作成しスキーマをインポートします。
  4. ZabbixのDBを設定します。
  5. Apacheのバーチャルホストを設定します。
  6. Zabbixサービスを有効化してFirewalldを設定します。
  7. 初期インストールを行います。

PHP 設定の最適化 (php.ini)

Zabbix Web UI の動作要件に合わせて PHP のパラメータを修正します。おそらく多くの方がWebインストールした後に怒られる設定です。

  • php.iniのバックアップ
sudo cp -pi /etc/php.ini /path/to/backup/directory/php.ini.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

  • php.iniのバックアップ確認
diff -u /path/to/backup/directory/php.ini.$(date +%Y%m%d) /etc/php.ini

差分がなければバックアップ成功です。

  • php.ini 修正箇所:
  • post_max_size = 16M (8M から変更)
  • max_execution_time = 300 (30 から変更)
  • max_input_time = 300 (60 から変更)

上記は例です。環境に合わせましょう。

  • php.iniの編集確認
diff -u /path/to/backup/directory/php.ini.$(date +%Y%m%d) /etc/php.ini

+の箇所に修正した値になっていることを確認します。

  • php-fpmサービス再起動(設定反映)
sudo systemctl restart php-fpm

Zabbix パッケージのインストール

  • レポジトリ追加

2026年4月の最新パッケージである7.0.xを使うため、レポジトリを追加します。

  • Zabbixリポジトリのインストール
sudo rpm -Uvh https://repo.zabbix.com/zabbix/7.0/rocky/9/x86_64/zabbix-release-latest.el9.noarch.rpm
  • キャッシュのクリア
sudo dnf clean all
  • EPEL リポジトリとの競合を避けるため、リポジトリを指定してインストールします。

この指定が地味に詰まりました。

sudo dnf install -y --disablerepo=epel \
zabbix-server-mysql \
zabbix-web-mysql \
zabbix-apache-conf \
zabbix-sql-scripts \
zabbix-selinux-policy \
zabbix-agent2

データベースの作成と初期データの流し込み

MySQL (MariaDB) に Zabbix 用の DB とユーザーを作成し、初期スキーマをインポートします。

  • mysqlログイン
mysql -u root -p
  • DB作成
CREATE DATABASE zabbix CHARACTER SET utf8mb4 COLLATE utf8mb4_bin;
CREATE USER 'zabbix'@'localhost' IDENTIFIED BY 'あなたのパスワード';
GRANT ALL PRIVILEGES ON zabbix.* TO 'zabbix'@'localhost';
SET GLOBAL log_bin_trust_function_creators = 1;
EXIT

SET GLOBAL log_bin_trust_function_creators = 1;を指定しないと、zabbixに必要なスキーマを拒否することがあります。

  • スキーマインポート
zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -uzabbix -p zabbix
  • 設定を元に戻す
mysql -u root -p -e "SET GLOBAL log_bin_trust_function_creators = 0;"

インポート後にこれを行っておかないと、MySQLがインジェクションとなり得るスキーマを許可することがあります。

Zabbix Server の DB 設定

サーバー本体が DB に接続するためのパスワードを設定します。

/etc/zabbix/zabbix_server.conf を以下のように修正します。

修正箇所:

  • DBPassword=あなたのパスワード (コメントアウト # を外して追記)

Apache (httpd) バーチャルホストの設定

上記、dnfで設定した標準設定を無効化し、/etc/httpd/virtual/ 配下で管理するように変更します。

これは、「一つのサーバにWebサーバとZabbixを同時に立てる必要がある」などで重要なテクニックです。

  • ディレクトリ準備
sudo mkdir -p /etc/httpd/virtual
  • 標準設定の退避
sudo mv /etc/httpd/conf.d/zabbix.conf /path/to/backup/direcotry/zabbix.conf.$(date +%Y%m%d)
  • バーチャルホスト設定の作成

/etc/httpd/virtual/zabbix.conf

等として、以下のようなファイルを作ります。

<VirtualHost *:80>
    # 自分の環境に合わせます
    ServerName zabbix.example.com
    DocumentRoot /usr/share/zabbix

    <Directory "/usr/share/zabbix">
        Options FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>
    # FPM設定
    <FilesMatch \.php$>
        SetHandler "proxy:unix:/run/php-fpm/www.sock|fcgi://localhost"
    </FilesMatch>
    # 任意のログディレクトリを指定します
    ErrorLog /var/log/httpd/zabbix_error.log
    CustomLog /var/log/httpd/zabbix_access.log combined
</VirtualHost>

サービスの起動と Firewalld の設定

全てのコンポーネントを起動し、必要なポートを開放します。これも地味にはまるポイントです。

  • サービスの有効化と起動
sudo systemctl enable --now zabbix-server zabbix-agent2 httpd php-fpm
  • Firewalld の許可
sudo firewall-cmd --permanent --add-service={zabbix-server,zabbix-agent,http}
  • Firewalldのリロード
sudo firewall-cmd --reload

Web セットアップとログイン

  1. ブラウザで http://(ServerName)/ にアクセス。
  2. 全てのチェック項目が OK であることを確認し、DB情報を入力して完了。
  3. 初期ログイン情報:
  • User: Admin (Aは大文字)
  • Password: zabbix

Apacheのインストールと初期設定(RHEL系)

By

オン 2026年4月19日

カテゴリー: Linux

概要

RHEL系(AlmaLinux / Rocky Linux 9等)にWebサーバーApacheをインストールします。最近のトレンドはNginxではあるものの、以下のメリットを考慮してApacheを選択します。

  1. 豊富なモジュールとカスタマイズ: 歴史が長く、情報の蓄積が膨大。
  2. 動的コンテンツの設定のしやすさ: PHP等との親和性が高い。
  3. 運用の手軽さ: 小規模サイトを迅速に立ち上げるのに適している。
  4. 高度なセキュリティ・ログ設定:
    • 自宅等からのアクセスログを除外するなどのログカスタマイズ。
    • 悪質なクローラーの排除。
    • mod_security(WAF)による防御。

さっくりとした手順

  1. firewalldの設定: 外部からのアクセス許可を与えます。
  2. Apacheのインストール: dnfを使用してインストールします。
  3. Apacheの設定: セキュリティとサーバー名の設定を行います。
  4. 設定の反映確認: 正常に動作しているかチェックします。

1. firewalldの設定

サーバー移設などでハマりやすいのが「設定は正しいのにページが表示されない」現象です。RHEL系ではデフォルトで強力なファイアウォール(firewalld)が動作しており、ポート80/443を明示的に開放する必要があります。

大前提

SSH接続(ポート22)は許可されている前提で進めます。設定を誤るとリモート操作ができなくなるため、慎重に行いましょう。

  • HTTP通信を許可する
sudo firewall-cmd --permanent --add-service=http
  • HTTPS通信を許可する
sudo firewall-cmd --permanent --add-service=https
  • 設定を反映させる
sudo firewall-cmd --reload
  • 設定を確認する
sudo firewall-cmd --list-all

services の欄に httphttps が含まれていればOKです。

2. インストールを行います

RHEL系ではApacheのパッケージ名は httpd です。

  • パッケージ全体のアップデート
sudo dnf update -y
  • Apache (httpd) のインストール
sudo dnf install httpd -y
  • バージョン確認
httpd -v

-(表示例)-
Server version: Apache/2.4.57 (AlmaLinux)

  • サービスの起動と自動起動設定
sudo systemctl enable --now httpd
  • サービス稼働確認
systemctl status httpd

enabledactive (running) を確認します。

3. 設定を行います

  • 設定ファイルのバックアップ

RHEL系の設定ファイルは /etc/httpd/conf/httpd.conf です。

sudo cp -pi /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.$(date +%Y%m%d)

※任意のバックアップディレクトリを指定してください。

  • 設定ファイルのバックアップ確認
diff -u /etc/httpd/conf/httpd.conf.$(date +%Y%m%d) /etc/httpd/conf/httpd.conf

エラーがないことを確認します。

  • 設定ファイルの書き換え(追記)

セキュリティ向上のため、署名の非表示化とサーバー名を追記します。

sudo bash -c "cat >> /etc/httpd/conf/httpd.conf" << 'EOF'

# Custom Settings
ServerSignature Off
ServerTokens Prod
ServerName example.com:80
EOF

example.com の部分は、ご自身のドメイン名またはホスト名に置き換えてください。

  • 差分の確認
diff -u /etc/httpd/conf/httpd.conf.$(date +%Y%m%d) /etc/httpd/conf/httpd.conf

末尾に指定した3行が追加されていることを確認します。

4. 設定反映を確認します

  • 構文確認
sudo httpd -t

Syntax OK と表示されることを確認します。

  • サービス再起動
sudo systemctl restart httpd
  • 設定の反映確認(ヘッダー確認)
curl -I http://localhost

以下のように、Server ヘッダーが Apache のみ(バージョン情報なし)になっていれば成功です。

HTTP/1.1 200 OK
Date: ...
Server: Apache
...

手なり作業の恐怖。(DNSの特異性)

By

オン 2026年4月18日

カテゴリー: Linux

ちょっとしたミスで地獄行きになるところだったので、自戒を込めてメモを記します。

何をやらかそうになったか?

「DNSの設定変更中、Aレコードとシリアル番号を間違えて登録するところだった」

なお、LinuxのDNS、BINDを用いての作業です。

なぜこれが危険なのか?

DNSレコードの設定は、インターネット上の住所録を書き換えるような作業です。一歩間違えると、メールが届かない、ウェブサイトが見られない、あるいは悪意のある第三者に通信を乗っ取られるといった甚大な被害に直結します。
というか、やらかしかけました。

なぜこれほどまでに慎重さが求められるか? 改めて、「自分に言い聞かせるレベルで」メモをします。

DNS設定ミスが引き起こす主なリスク

DNSは「一度間違えると修正が反映されるまで時間がかかる」という特性があるため、ミスが致命傷になりがちです。

サービス全停止(可用性の喪失)

AレコードCNAMEの記述ミスにより、全世界からサイトやAPIへの接続が断たれます。

メールの不達・消失(機会損失・信用リスク・レピュテーションリスク)

MXレコードの設定ミスは、ビジネス連絡の遮断を意味します。また、SPF/DKIM/DMARCなどの送信ドメイン認証に不備があると、正当なメールが「迷惑メール」として破棄されます。

サブドメイン乗っ取り(Subdomain Takeover)

これがある意味の恐怖です。不要になった外部サービス(SaaS等)へのCNAMEを残し続けると、そのドメインを第三者に取得され、せっかくのブランド名で偽サイトを運営されるリスクがあります。

キャッシュによる影響の長期化

後述するTTLの設定により、間違った設定が世界中のキャッシュサーバーに残り続け、即座に修正しても数時間は復旧しないことがあります。

BINDにおける「シリアル番号」とテキスト管理の罠

BIND(Berkeley Internet Name Domain)のようなテキストベースの管理では、私のようなエンジニアの「うっかり」が原因で同期不全が起きることがよくあります。

シリアル番号(Serial Number)の更新忘れ

BINDのゾーンファイルには、SOA (Start of Authority) レコード内にシリアル番号が存在します。

  • 仕組み:
    • セカンダリサーバーは、プライマリサーバーのシリアル番号が「現在より大きい数字」になった時だけ、新しい設定を同期(ゾーン転送)します。
  • リスク:
    • レコードの内容を書き換えても、シリアル番号を増やし忘れると、セカンダリサーバーには古い設定が残り続けます。 これにより、場所によって新旧の設定が混在する不安定な状態になります。

構文ミスとドット(.)の有無

BINDでは、FQDN(完全修飾ドメイン名)の末尾にドットを付け忘れると、オリジンのドメイン名が自動的に付加されてしまいます。

  • 例:
    -example.com と書くべきところを example.com.(末尾ドットあり)としなかった場合、example.com.example.com. という意図しないレコードとして解釈されます。

ミスを防ぐための4つの鉄則

これに関してはAIと壁打ちしながら設定しました。

1. TTL(Time To Live)を事前に短縮する

作業の数日前から、対象レコードのTTLを短く(例:300秒など)設定しておきます。

  • 理由:
    • 万が一ミスをしても、キャッシュが早く切れるため、被害を最小限に抑えられます。作業完了後に元の値に戻すのを忘れないようにしましょう。

2. BINDの構文チェックコマンドを活用

ファイルを保存した後、サービスを再起動(reload)する前に必ずチェックコマンドを叩く習慣をつけます。

named-checkzone [ドメイン名] [ゾーンファイル名]

`

ゾーンファイルの整合性確認(シリアル番号の形式ミスなども検知できます)

3. シリアル番号の運用ルール化

シリアル番号は YYYYMMDDNN(日付+その日の更新回数)の形式で運用するのが一般的です。

例: 2026年4月16日の1回目の修正 → 2026041601

この、第三者が見ても分かる増分をやりましょう。極端な話

  1. Friends
  2. Romans
  3. Countrymen

のような「ローマ的増分」は分かっているのが自分であっても混乱の元です。

4. 変更後の浸透確認(digコマンド等)

設定を反映したら、自分のPCのブラウザで確認するだけでなく、外部から正しく引けるかを確認します。

  • Google Public DNSで確認
dig @8.8.8.8 example.com A
  • 同期設定をしたセカンダリDNSで確認
dig @[セカンダリDNSのIP] example.com A

まとめ

DNS設定は、「間違えた瞬間に世界中にそのミスが拡散し、しかもすぐには消せない」という怖さがあります。

特にBINDなどの手動管理では、「シリアル番号のカウントアップ」と「末尾のドット」を指差し確認するだけでも、トラブルの多くを回避できます。作業前のTTL短縮と、作業後の多角的な検証をセットで行うようにしましょう。

「かんばん」を掲げる意味

拙稿にて、ドメインを掲げる意味として

  • Web上の住所
  • ブランドの顔
  • 信頼の証

の3つを挙げています。また、池波正太郎の

「人間、落ちるところへ落ちてしまっても、なにかこう、この胸の中に、たよるものがほしいのだねえ」
「たよるもの、ねえ…」
「いえば看板みたいなものさ」
「かんばん、かね…?」
「人間、だれしも看板をかけていまさあね。旦那のお店にもかけてござんしょう」
――『にっぽん怪盗伝』

にも感銘を受けています。「ちょっとしたミスによって看板に泥を塗る」事態が起きかけたという話でした。

Cockpitを用いたVMインストールメモ。

By

オン 2026年4月17日

カテゴリー: 未分類

機会があったのでメモです。

前提

  • LinuxサーバにKVMがインストールされていること。
  • ISOイメージをサーバ内に格納していること。
  • Cockpit(Webブラウザ経由でLinux各種操作が行えるサービス)がインストールされていること。

1. ホスト側での事前準備(ターミナル操作)

仮想マシン用の論理ボリューム(LV)を作成します。

  • ボリュームグループ(VM)内に500GBのLV(ホスト名)を作成
sudo lvcreate -L 500G -n vm_host VMdisk

2. Cockpit ストレージプールの作成

予め作成されていたcockpitにブラウザからログインします。

  1. 「仮想マシン」 > 「ストレージプール」 を開く。
  2. 「ストレージプールの作成」 をクリック。
    • 名前: VM
    • タイプ: LVM ボリュームグループ
    • ターゲットパス: VM (※/dev/を含まないVG名のみを入力)
  3. 「作成」 をクリック。

3. 仮想マシンの作成と詳細設定

  1. 「仮想マシン」 > 「VMの作成」 をクリック。
  2. 基本情報: 名前、インストールタイプ、メモリ(8GB)を入力し、一旦作成する。
  3. CPUの編集:
    • vCPU最大値: 4 / vCPU数: 4
    • ソケット: 2 / ソケットごとのコア: 2 / コアあたりのスレッド: 1
  4. ディスク(LVM)の割り当て:
    • 既存のディスクがあれば編集、または追加。
    • ソース: 既存のストレージ
    • パス: /dev/VMdisk/vm_host を選択。
  5. インストールメディア(ISO)の追加:
    • 「ディスクの追加」 でホスト上のISOファイルを選択。
  6. ブート順序の変更:
    • cdrom を追加し、最上位(1番目)にドラッグして移動。
  7. ネットワークの設定:
    • インターフェース: Bridge to LAN を選択。

4. インストールの実行

  1. 「インストール開始」 をクリック。
  2. 「コンソール」 タブを開き、OSのセットアップを進める。

Linux Webサーバの基本的な設定ミス(カモ)を狙ったログの傾向。

By

オン 2026年4月16日

カテゴリー: Linux, PC

筆者のvpsに訪れる攻撃者。基本や最新のトレンドまで多くのパターンがあります。

そんな中、1分の間に大量の情報略取を試みる攻撃者のログがありました。

これらを紹介します。

ログ抜粋

例によって、テロリストに名前を与えないという哲学の元、アクセス者のグローバルIPは晒しません。

[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.10] ModSecurity: Access denied with code 404 (phase 1). [msg "[CUSTOM RULE] Host header is a numeric IP address. Blocked immediately."] [hostname "vps.example.jp"] [uri "/"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/.env"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/sendgrid.env"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/web/.env"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/static//etc/passwd"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/static//home/user/.aws/credentials"]

主な略取対象

どのようなファイルを見ようとしているのか?

言語・フレームワークの特定(Configuration Exploration)

  • 対象:
    • /settings.py (Django),
    • /config.js (Node.js),
  • 攻撃者の意図:
    • サーバの下調べです。フレームワークを特定することでどの脆弱性があるかを調べようとしています。

秘匿情報の取得(Environment Files)

  • 対象:
    • /.env
    • /sendgrid.env
    • /.env.local
    • /application.yml
    • /database.yml (Rails)
  • 攻撃者の意図:
    • 攻撃者がまず狙う情報です。ここにはデータベースの接続パスワード、SendGrid(メール配信サービス)のAPIキー、アプリケーションのシークレットキーがむき出し/平文で置かれていることが多いです。
  • 危険性:
    • ここが突破されれば、サーバのデータベースは私物化され、メール送信機能はスパムメール配信の踏み台にされます。

システムの脆弱性(Path Traversal & LFI)

  • 対象:
    • /static//etc/passwd
    • /static//etc/shadow
    • /static//proc/self/environ
  • 攻撃者の意図:
    • 静的ファイルのディレクトリから、強引にOSの中枢ファイルへ手を伸ばそうとしています。特に shadow ファイルなどは、ログイン情報の心臓部です。
  • 危険性:
    • /etc/passwd が奪われれば、サーバー内のユーザー一覧が露呈し、次の攻撃の正確な座標を与えてしまうでしょう。
    • /etc/shadow も暗号化されているとは言え、ローカル環境でハッシュ値を割り出されてしまいます。
    • 特に /proc/self/environ が読めると、実行中のプロセスの環境変数が丸見えになり、壊滅的な被害に繋がります。
  • 補足:
    • /staticこれは、特定のWAF(Webアプリケーションファイアウォール)や、リバースプロキシの設定(Nginxのエイリアス設定の不備など)をバイパスしようとする試みです。正規化の過程で // が / に変換される挙動を悪用し、本来アクセスできないディレクトリの外側へ飛び出そうとしています。

クラウドの鍵の窃取(Cloud Credentials)

  • 対象:
    • /static//home/user/.aws/credentials
  • 攻撃者の意図:
    • AWS(Amazon Web Services)のアクセスキー。サーバ内にこれを置きっぱなしにしている管理が甘い人たちを狙っています。
  • 危険性:
    • ある意味で最も危険と言えるでしょう。これを奪われれば、aws資産は攻撃者のビットコイン採掘場に変貌し、管理者の元には天文学的な請求書という地獄が待っています。

ここから分かること

彼らは「置き忘れ」や「甘い設定」を狙っています。

  • 初期値だから
  • 便利だからとstaticを使う
  • 管理が楽だから

などは組織の運用であって、攻撃者はそういうところが絶好のカモにしています。これは、私にも跳ね返る言葉ですが:

「ポーカーを始めて30分が過ぎても誰がカモか分からなければ、あなたがカモだ」

のウォーレン・バフェットの言葉はサーバ管理でも通用するというお話しでした。

LAMPサーバの一覧を表示するワンライナー。

By

オン 2026年4月15日

カテゴリー: Linux

UbuntuのLAMPサーバの環境確認に使える一式のワンライナーの紹介です。

 echo -e "| Item | Version / Status |\n|:---|:---|\n| **OS** | $(lsb_release -d | cut -f2) |\n| **Memory** | $(free -h | awk '/^Mem:/ {print $2" (Used: "$3")"}') |\n| **Web Server** | $({ apache2 -v 2>/dev/null || nginx -v 2>&1; } | head -n 1 | sed 's/^[ \t]*//') |\n| **PHP** | $(php -v 2>/dev/null | head -n 1 | cut -d' ' -f1,2 || echo "Not Installed") |\n| **PHP-FPM** | $(systemctl list-units --type=service | grep -o 'php[0-9.]*-fpm' | tr '\n' ' ' | xargs || echo "Not Running") |\n| **DB** | $(mysql -V 2>/dev/null | grep -oE '[0-9]+\.[0-9]+\.[0-9]+' | head -n1 | sed 's/^/MySQL /' || psql --version 2>/dev/null || echo "Not Installed") |\n| **Node.js** | $(node -v 2>/dev/null || echo "Not Installed") |\n| **Python** | $(python3 -V 2>/dev/null || echo "Not Installed") |\n| **Ruby** | $(ruby -v 2>/dev/null | cut -d' ' -f1,2 || echo "Not Installed") |"

全体の構造

このコマンドは echo -e を使用して、1つの大きな文字列を出力しています。

  • | Item | ... |:Markdownの表ヘッダーを作成しています。
  • $( ... )コマンド置換と呼ばれる仕組みです。カッコ内のコマンドを先に実行し、その結果を文字列の中に埋め込みます。

各項目の詳細解説

項目実行している処理の内容
OSlsb_release -d でOSの説明行を取得し、cut -f2 でタブ以降のOS名(Ubuntu…など)だけを抜き出しています。
Memoryfree -h でメモリ情報を取得。awk を使って「全容量($2)」と「使用量($3)」を抽出して整形しています。
Web Server{ apache2 -v || nginx -v } で両方を試し、見つかった方の1行目を表示。sed で行頭の余計な空白を消しています。
PHPphp -v の1行目から、cut を使って「PHP 8.x」のような名称とバージョンのみを取得しています。
PHP-FPMsystemctl で起動中のサービス一覧から php*-fpm に一致するものを探し、trxargs で横一列に並べています。
DBまず mysql -V を試し、バージョン番号を正規表現で抽出。それがなければ psql(PostgreSQL)を確認します。
Node / Pythonそれぞれ -v または -V オプションでバージョンを確認。インストールされていなければ "Not Installed" を返します。
Rubyruby -v の結果から、最初の2単語(例:ruby 3.x)だけを抜き出しています。

出力イメージ

実行すると、以下のような表がターミナル(またはMarkdown対応のエディタ)に表示されます。

ItemVersion / Status
OSUbuntu 24.04.4 LTS
Memory5.8Gi (Used: 3.8Gi)
Web ServerServer version: Apache/2.4.58 (Ubuntu)
PHPPHP 8.3.30
PHP-FPMphp8.3-fpm
DBMySQL 8.0.45
Node.jsv20.19.2
PythonPython 3.12.3
Rubyruby 3.2.3

サーバー構築直後の確認や、GitHubのIssueに環境情報を貼る際にとても重宝するものです。

Page 1 of 289

Powered by WordPress & Theme by Anders Norén