ipfwの場合

ipfw add allow tcp from any to me 22 setup limit src-addr 2

/etc/ssh/sshd_configの場合

MaxStartups 3

security/bruteforceblockerの場合

cd /usr/ports/security/bruteforceblocker
make install

pfの場合2
Block ssh bruteforce attempts_

コメントにより訂正:

MaxStartups をあんまり小さくすると、attack くらってる間は正規の user も接続できなくなったと思うので、どうかと……_:

株式会社ディアイティ | ニュース | 2006年 | 「Timbuktu Pro バージョン8.6」 販売開始_ で。
日本だとADSLや光回線の場合、ルーター越しのNAT接続になることが多いから「ルーター穴あけ」ってのは素人にはややこしい。だからUPnPとかSkypeのNATパンチングホールという便利機能が重宝するわけなんだけど。
Timbuktuみたいなパソコンに詳しくない人を遠隔サポートする用途で使われるツールに、最強の穴あけ機能をもったSkypeを組み合わせるのはアイデア賞ものだよな。しかも音声通話もできるし。

SambaでPDCにする予定。
本社に。停電中はメールサーバーをこっちに移動する感じで。夜中にやるしかねぇか。というかアニメ業界の夜中って日の出からお昼までという気もするが。
トポロジーがややこしいのでMac OS X Serverでospfd(quaggaとかzebra)を走らせたいが。pkgsrcにしか無いな。

別に「鉄道会社のトラブル対策コスト削減のために乗客の携帯電話使用は禁止させてもらいます」というアナウンスだったらオレは納得する。ホンネとタテマエの乖離している状況が違和感ありあり。
あと文部科学省も「常識の科学知識12問」なんて作ってないで、ペースメーカーと電磁波の関係を正確に発表した方が良いんじゃないか。まだ完全に安全性を保証できていないから誰も責任を取りたくないってのはありそうだけど。
ちなみにオレはあんまり電車に乗らないし、車内で携帯（AIR-EDGE Phone）を使って話すこともほとんどない。
と思ったら 【海外ケータイレポート】 ケータイ王国・北欧編_ によるとフィンランドでも電車内でのケータイの使用を禁止しているのね。

電波祭りに参加するためにAmazonで注文して読んでいた「電波男」。それを配偶者が読んでみたところ、大変に面白かったそうだ。
そこで思い出話が出てきたのでメモっておく。
1999年に「マトリックス」の先行ロードショーを夫婦で見に行った。
そして面白いと思った配偶者は古くからの女友達に「マトリックスって面白かったよ」と言ったそうだ。そうしたらその友達は「でもオタクが好きな映画でしょ」と一刀両断。（まだブームになる前の話）
そのときの友達の「オタ映画は見ない私は勝利者よ」というニュアンスに違和感を感じていたそうだが。電波男を読んだことでその違和感の正体を理解したそうだ。
自分は反恋愛至上主義で育てられてきたので、マトリックスを鑑賞することをけなす事で勝利するという感覚が分からなかったけど。それは友人の「脱オタした自分はセーフ」という恋愛至上主義の価値観からくるものだったんだと。

Tiger付属のSafariを使っているとDashboard Widgetを勝手にインストールされる可能性があるよという話題。

回避策は、「ダウンロード後、“安全な”ファイルを開く」のチェックをはずしておくこと。

　トヨタ自動車、ＮＴＴデータ、伊藤忠商事などが出資する映像・ソフト制作支援会社「ジャパン・デジタル・コンテンツ（ＪＤＣ）」（本社・東京）は８日、信託業に新規参入する方針を明らかにした。信託業法が今秋にも全面改正され、金融機関以外も参入が認められるようになるため、同社は異業種で第１号の参入を目指す。映画やアニメの制作費用を投資家から集め、収益を配当する「信託受益権」の販売などを計画している。
　同社はこれまで、テレビアニメ「かいけつゾロリ」や映画の著作権、特許権を対象に特別目的会社（ＳＰＣ）やファンドを設立し、投資家の出資を募るビジネスを手がけてきた。昨年１２月には新人女性アイドルに投資するファンドを１口５万円で発売、話題を集めた。
　改正法案では、これまで金銭や有価証券、土地などに限られていた信託財産の制限を撤廃、著作権や特許などの知的財産も信託の対象に認めている。このため、映画やアニメ制作会社との間で著作権の信託契約を結び、証券化して売り出すことができるようになる。
　同社によると、信託はＳＰＣなどにくらべ運営費用や手間がかからず、小規模な資金調達に適している、という。土井宏文社長は「投資家にとっても、信託は透明性が高く、メリットは大きい」と話しており、法改正後、金融庁に信託業の免許を申請する方針。
　信託業参入をめぐっては、数多くの特許を持つ大手電機メーカーのほか、大手商社、生命保険が検討を進めている。 (05/09 05:56)

MacユーザーにFreeBSDサーバーにログインしてもらうGUIフロントエンドとしてFuguを提示したけど。
実は ありみかさん_ の紹介しているCyberduckのほうが薦めやすいかも。
Japaneseリソースも入っているし。
つーか、scpじゃなくてsftpが中心のクライアントばっかりか。
WinSCPっぽいクライアントがCocoaであったりすると(……と言ってみるテスト)

各端末の入れ替え。

やってみようっと。
トラックバックは正直どうするかと思っているのだが。
コメント欄にanonymousな書き込みが多発するよりは面白いのかもしれないなぁ、とも思ったり。

ああ、これ車で聞いてたよ。
前の日にロフトプラスワンのイベント報告で細かいことを見ていたから、よく理解できるラジオ番組だった。

Sambaの共有にログインできない問題は、smbpasswd周りだと判明。これ3D CG室と同じ現象だな。（遠隔デバッグのためにワザと似せて構築しているのだけど）
portupgradeしてなんかsmb.confの変更が有ったか？

Dell PowerVault 725Nの遠隔設定:

Dell PowerVault 725N NASシステム 管理者ガイド_:

ポート1278と3368を転送してメンテ:

SambaのWITH_LDAPが原因だった:

WinSCP成功:

Windows Powered NASとユーザー認証:

読み逃していた。
「指紋を付けたがる」のくだりがオモシロ。

blogについて考える。 / ＨＰ制作＠山田ＢＢＳ_ から。

ロリムトーの新たなアクセスポイント。
あとwakwakとかを抑えておけばNTT系制覇じゃねーか？

GreedyDog_
なんだかんだで、パケット解明にはこのツールがいちばん使いやすい。UNYUN氏は素晴らしい。
そういえばports化してねぇなぁ。

httpd.conf

Alias /hoge "/usr/jail/hoge"
<Location /hoge>
        DAV On
        LimitXMLRequestBody 0
        AllowOverride None
        Options None
        AuthUserFile    /usr/local/etc/apache2/.htpasswd_hoge
        AuthGroupFile   /dev/null
        AuthName        "Hoge Auth"
        AuthType        Basic
        <Limit GET HEAD PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
                Require valid-user
        </Limit>
</Location>

LimitXMLRequestBodyは0で無制限だけど、デフォルト100000から適当に増やした値でも良いかも。
んでhtpasswd -cでBASIC認証用ファイルを作る。
apachectl configtestして、apachectl gracefulして再起動。
これもLDAP認証にすればややこしいこと無いんだけどな。
このへんはJFのyomoyomo訳 Apache based WebDAV with LDAP and SSL_ などを参考に。
でもFreeBSDはauth_ldapがportsにあるけど、Apache1.3用くさい。
Apache2でのLDAP認証について調査するToDo。./configureで--enable-ldapとかだったけかな?
野良portsにWITH_LDAPで--enable-ldap --enable-auth-ldapするMakefileを。

.if defined(WITH_LDAP)
LIB_DEPENDS+=  ldap.2:${PORTSDIR}/net/openldap20
CONFIGURE_ARGS+= --with-ldap \
 --with-ldap-include=/usr/local/include \
 --with-ldap-lib=/usr/local/lib \
 --enable-ldap \
 --enable-auth_ldap
.endif

/usr/local/etc/pkgtools.confのMAKE_ARGSに

'shells/scponly' => '-DWITH_SCPONLY_RSYNC -DWITH_SCPONLY_WINSCP', 

してportinstall shells/scponlyでインストール。
そしてWinSCPやり取り用のユーザーIDとグループIDを決めておく。
ここではwinscp_hoge UID 10001 GID 10000として考える。
/etc/groupに

winscp::10000:

を。pw groupadd winscp -g 10000でもかまわない。
scponly用の暫定的な/etc/pw.confを作る。

minuid 10000
maxuid 10100
mingid 10000
maxgid 10100
home /chrooted_hoge

homeは実は必要ない。適当な場所に。/usr/local/home/winscp/などでも良いかも。QUOTAの適用しやすいスライスで。
cd /usr/ports/shells/scponly/work/scponly*/ ; sh ./setup_chroot.sh　で。

Next we need to set the home directory for this scponly user.
please note that the user's home directory MUST NOT be writable
by the scponly user. this is important so that the scponly user
cannot subvert the .ssh configuration parameters.

for this reason, an "incoming" subdirectory will be created that
the scponly user can write into. if you want the scponly user to
automatically change to this incoming subdirectory upon login, you
can specify this when you specify the user's home directory as
follows:

set the home dir to /chroot_path//incoming

when scponly chroots, it will only chroot to chroot_path and
afterwards, it will chdir to incoming.
enter the home directory you wish to set for this user:

と表示されたらchrootしたいディレクトリを入力。

Install for what username?

でユーザー名を入力する。
ミニツリーの場所をやり直したいときはschgフラグを消さないとrmできない。cd chrooted_hoge; chflags noschg usr/lib*/*して外してからrm -rfする。
パスワードと公開鍵認証について調べるToDo。

松沢呉一の本が好きなオレとしては未チェックだった。

タモリ倶楽部と1年前までのサイゾーでしか見た事の無い杉作J太郎。

ビックカメラとかでEtherケーブル買うと、万引き防止のゲート対策用にアルミ箔みたいな袋に入れてくれるじゃん。
あれに入れたらスキャンできなくなるのかなぁ？
じっさい、 アメリカで集団万引き団_ が使っているけど。

色々な日記で見付けたICタグ／RFID／Auto-ID／ミューチップにまつわるWeb記事を追加。
しかしoffice.acの No1357 / [Tea Room for Conference]_ も含めるべきだよなー。アンカーの指定方がいまいち不明だけど。
クールなWebのURIは変わらない（Web KANZAKIあたりの挨拶で）

バードN津はある意味である方面に有名なので理解できるが。
たかまぁが出てくるのは……。
彼が雑誌にでたのは1990年の「アクロス」ぐらいだと思っていた。
つーか、ほんとうにそれはオレの知っているたかまぁなのでしょうか？
彼はコロンビアマフィアと裁判するために南米に行くような奴ですが。

これ凄い。
send-prまで持っていきたい感じ。