とりあえず今日いじったシステムの公開できる箇所

忘れると面倒なのでメモ

 

■時刻設定（GMT→JST）
timedatectl list-timezones | grep Tokyo
timedatectl set-timezone Asia/Tokyo

■日本語設定
apt install language-pack-ja-base language-pack-ja fonts-takao または fonts-noto
update-locale LANG=ja_JP.UTF-8 LANGUAGE="ja_JP:ja"
source /etc/default/locale
apt install ibus-mozc

■iBusデーモンの起動設定
vi /etc/profile
--
export GTK_IM_MODULE=ibus
export XMODIFIERS=@im=ibus
export QT_IM_MODULE=ibus
exec ibus-daemon -drx &
--
 

From: "確認Apple" <noreply-jembutsalto-jpmasuk22091344@familykonoha.tokyo>

というヤツから、「Apple付録に注意してください.pdf」というファイルが添付された

フィッシング詐欺メールらしいものが届いた。

To: no-reaply@apple.com

はカモフラージュ。Apple社からのメールを偽装して、実際はBCCで送っている。

 

最初は添付ファイル自体がトロイの木馬だと思ったのだが、このPDFのリンク先が

フィッシングサイトのようだ。一部全角表記にしたから決して踏まないようにｗ

 

https：／／frama.link／konohacorp12

 

フィッシングサイトのframa.linkのIPアドレスは、78.46.248.82で、持ち主はドイツのFRAMASOFT

だった。なぜか登録者はフランスのGOSSET Pierre-Yves。

会社名の入ったドメインで詐欺を働くことはないだろうから、登録はデタラメだろう。

 

ドメインのレジストラはgandi.netらしい。

whois.gandi.netのIPアドレスは217.70.184.133でフランス

www.gandi.netのIPアドレスは151.101.229.103でサンフランシスコ

なんか怪しい。

 

 

何がイヤかというと、DKIMを通過して届いている。

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=familykonoha.tokyo; s=google;
そりゃそうだ。送信元ドメインは詐称していないｗ

 

このfamilykonoha.tokyoのレジストラはお名前COM。GMOだ。

ネームサーバがNS-A*.CLOUD.Z.COMだからDKIMの設定はGMOだろう。

このフィッシングメールの報告は上がっているのだから、GMOは早急にドメインを凍結すべきだ。

 

おそらく送信元はココ。

Received: from konohacorp123-ide50-6646135 (128.86.226.35.bc.googleusercontent.com. [35.226.86.128])
        by smtp.gmail.com with ESMTPSA id 134sm1309051itl.25.2019.01.04.17.11.55
        (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
        Fri, 04 Jan 2019 17:11:56 -0800 (PST)

 

Googleクラウドから送信されている。

つまり、

Gmailのkonohacorp123-ide50-6646135アカウントが使えるヤツが犯人だ。

タイムスタンプにも注目！-0800 (PST)は米国西海岸。サンフランシスコも含む。

どことどこがどう乗入れているのかも気になる。

https://support.google.com/cloudidentity/answer/1389731?hl=ja

サンフランシスコは踏み台かもしれないが、とりあえずGoogleにはこのアカウントを無効にしてほしい。

東芝の海外向けのNASが3TBで1万円以下で売られていた。

https://review.rakuten.co.jp/item/1/231894_10004417/14y5-i0nys-fj5m_2_239232960/

これ、調べても型名がわからない。実際、届いた製品にも型名が書かれていない。

 

SMBのバージョンを聞こうにも正月休みでサポートデスクが機能していない。出荷だけは毎日行っているとのことなので、とりあえず買ってみた。

 

どうやらSMB1.0でしか動いていない

今どきのLinuxはSMB2.1以降しかマウントしないので、いきなりゴミ！

 

姿かたちからToshiba CANVIO HOME(HDNB130XKEK1)と推定して調査開始。

GPLに準じてソースが公開してあったので確認。

samba-3.5.6なのね。samba-3.6.0以降じゃないとSMB2.1じゃないよね。

ファームを改造しちゃった変態記事も見つけたが、信頼性に欠けるので却下。

ということで、後でバラしてディスクだけ抜くことにする。

 

 

さて、NASにしちゃうのはもったいないけど、ROCK64を実戦配備することにする。

4GBメモリ＋USB3.0＋GB-NICだが、USBとNICのコントローラに共通部分があって性能が出ないという噂がある。

 

まぁこれだけメモリ積んでいれば気にならないハズと実装開始。

 

最近は、PINE64 Installerなる便利ツールもあるのね。

Windows上で最新のディスクイメージを選択してMicroSDに焼いてくれる。

 

今回使ったのはArmbian Bionic Beaverちゃん。

armbian-configで最低限の設定をしてからUSBディスクを接続。

XFSのままだとやや不安なのでEXT4で切り直す。

そしてSamba導入。

バージョンはsamba-4.7.6+dfsgだった。

 

CentOS7最新のsamba-client-4.8.3-4.el7は難なく繋がった。

でもsamba-client-3.6.23-51.el6から繋がらない。

 

デフォルトがSMB1.0で繋ぎに行くから、SMB2.1以降で繋ごうとするが効かない。
NT_STATUS_NO_SUCH_USERとか吐いてて認証に失敗してる。

authでgrepして成功時と失敗時を比較。ログレベルは2くらいで十分だった。
さんざん調べた挙句、mount -t cifs -o に sec=NTLMSSP を追記したら直った。

早めにEL6捨てなきゃ