最近、openSUSE Leap 15.6から16.0に乗り換え作業をしていたら、nmhのincコマンドが

"inc: error zero'ing /var/mail/user1: Permission denied, continuing..."

というエラーを吐いて、ファイルをゼロクリアできないことに気付きました。色々と原因の可能性をつぶしていった結果、表題のような問題だと判明しました。丸一日付き合ってくれたCopilotくんに感謝していますが、色々とヒントをくれたものの、ズバリの回答は出せませんでした。

原因究明のヒントになった記事がこちらです。

unix.stackexchange.com

ざっくり言うと、

# sysctl fs.protected_regular=0

にすると従来通り動作することが分かりました。

症状

以下のような条件で症状が出ました。

1. /var/mail/user1 は owner=user1, group=user1grp で、group R/W permissionが付いている。すなわち -rw-rw---- (0660) の状態。
2. incコマンドを実行するユーザは user2 で、user1grp がgroupsに含まれている。
   (コマンドラインからは問題なく cp /dev/null /var/mail/user1 とかできる)

当初、様々なものを疑いましたが、どれも当たらず_('､3｣∠)_

1. incコマンドのバグ？
2. メールスプールをNFSマウントしているので、NFSの問題か？
   (NFSv4からNFSv3に変更しても変わらず)
3. ロック機能の問題？
4. メールスプールのパーミッション、拡張パーミッションの問題？
   (ファイルを /tmp に移してみてもダメ)
5. umaskがおかしい？
   (umask 000 でもダメ)
6. AppArmorがブロックしている？

原因究明のためのツール

問題を絞り込むために、半日以上Copilotくんに相手をしてもらい、もらったサンプルコードを少し手直ししたのがこちら。

#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int main(void){
  int fd = open("/tmp/user1", O_WRONLY|O_CREAT|O_NONBLOCK, 0666);
  if(fd==-1){ perror("open"); return 1; }
  close(fd);
  puts("open ok"); return 0;
}

実行すると open: Permission denied になります。

次のコマンドにより、EACCES になっていることが分かりました。

(ユーザ user2 として実行)
$ strace -f -s 200 -e trace=process,openat,open,stat,access -o /tmp/open-c-full.strace ./open_test

$ sed -n '1,200p' /tmp/open-c-full.strace | egrep 'setgroups|setgid|setuid|setreuid|setresuid|openat|open|access|stat' | tail -n 80

出力はこんな感じ ↓

5242  execve("./open_test", ["./open_test"], 0x7ffc4ea90ed8 /* 66 vars */) = 0
5242  access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
5242  openat(AT_FDCWD, "/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
5242  openat(AT_FDCWD, "/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
5242  openat(AT_FDCWD, "/var/tmp/user1", O_WRONLY|O_CREAT|O_NONBLOCK, 0666) = -1 EACCES (Permission denied)

openのところで O_CREAT を外すと、open ok になります。つまり、上書きはグループパーミッションで正常にできるということです。

解決にむけて

ここまで相当の時間を費やしたのですが、ファイルサーバとして既に動いていたので、AppArmorを止めてみるところまでは試しませんでした。

翌朝、前述した記事を見つけて試してみたところ、見事に open ok になりました。

セキュリティ強化のために Linux に導入された fs.protected_regular が悪さをしていたようです。

しかし、これをオフにしたくはないので、別の方法がないかどうかさらに調査を進めます。

/tmp や /var/mail にスティッキービットが立っているのが気になって、Copilotくんに「影響ある？」と聞いてみたところ、きっぱりと否定されてしまいました。

しかし、どうしても気になったので、別のディレクトリを 0777 で掘って、そこで試してみたところ、open ok になるじゃあありませんか！chmod 1777すると、失敗します。

再度Copilotくんに聞いてみたところ、このようなお答えでした ↓

What to do (recommendations)

    Don’t remove the sticky bit on a multi-user shared directory like /tmp — that would be insecure.
    Preferred secure fixes while keeping fs.protected_regular=1 and keeping the sticky bit:
        Make the file owned by the writer process: sudo chown <writer-user>:<writer-group> /var/mail/user1 This is the simplest correct fix if that ownership change is acceptable.
        Avoid O_CREAT/O_TRUNC as a non-owner — write to a temp file and atomically rename into place: tmp=$(mktemp /var/mail/user1.tmp.XXXXXX)

はい、要するに /var/mail の中で group permission でゼロクリアするのは無理そうということです。

まとめ

こんな条件で問題が発生していたことが分かりました。

1. 最近のLinuxで、fs.protected_regular が有効になっている。
2. ディレクトリにsticky bitが立っている。
3. プログラム内で既存ファイルをopenするところに、O_CREAT が含まれている。(おそらくO_TRUNCも同様)
4. openしようとするファイルのownerは、プログラムを実行するownerと異なるが、ファイルにgroup r/w permissionが付いていて、実行者はそのグループに属している (他のプログラムでは正常に読み書きできることがある)。

原因は分かったものの、完全な解決には至りませんでした。

だ、だれかー_(ﾟ｡3」∠)_ 

無線LAN関係でよく見かける "ESSID" という用語、実はもう使われません！

ΩΩ Ω<な、なんだってー!!

先日テレカンで指摘されるまで知りませんでした_('､3｣∠)_

ウェブを見ると、ESSID (Extended Service Set Identifier) として2025年の記事でも書かれていることが多いです。かつては、SSIDがESSIDの省略形として扱われていたのですが、仕様上はSSIDで、ESSIDは存在しないそうです。

IEEE 802.11-2020を見てみると、ESSIdentifier という用語は見えますが、ESSID はないことが分かります。-2016 や -2007 まで遡ってみても、見当たりません。

standards.ieee.org

RFC 5414 (obsoleted by RFC 5415) や、各種ソースコードの中には、名残を見つけることができました。

datatracker.ietf.org

ESS (Extended Service Set) という用語はあります。

BSSID (Basic Service Set Identifier) も存在します。基地局のMACアドレスに相当するものです。

似た名前で HESSID (Homonenuous Extended Service Set Identifier) という用語がありますが、これは基地局のMACアドレスを設定するものです。HESSIDは、複数ある基地局を仮想的に同一の基地局とみなすために用いられます。Passpointでよく見かけます。

というわけで、しつこく ESSID と書き続けていると、めでたくWi-Fi老人会の仲間入りということになるでしょう。ふえぇ

おしまい

EdgecoreのWi-Fi 7対応機、EAP105に、待望のWireGuard VPN機能が付きました。3年ほど前から、無線LANアクセスポイントにはオープンで高速なVPN機能が欲しいよと、お願いしていたものです。 

なんで「オープンで高速」なのかというと、何度か書いてきたように、ケーブルの部分で通信を保護したいことと、大して速くもないのに割高になるのが不可避な専用コントローラ (WLC)ではなくLinux箱などで受けたいことが理由です。EAP101の記事から抜粋します。

hgot07.hatenablog.com

顧客 (オーナー) の店舗に転がすようなマネージドWi-Fiの用途では、オーナーに自前の回線への接続を任せることがあります。このような設置方法の場合、通信事業者の立場では、フリーWi-Fiのトラフィックをオーナーや他の来客のいたずらから保護するために、ケーブルの部分をVPNで保護するなどの対策が欲しいものです。

なお、この記事ではWireGuardのみ扱い、無線LAN部分については一切触れません。

EAP105とは

とりあえず、バァーーン！

裏面はこう。全面がヒートシンクになっている感じです。

電源供給が従来の丸型DCジャックではなくPD3.0になっているところが目新しいです。もちろんPoEにも対応しています。

製品情報はこちら。なかなか魅力的なスペックです。

wifi.edge-core.com

プロセッサはQualcomm Dragonwing N7 Platform IPQ5332のようです。以前Immersive Home 3210 Platformと呼ばれていたものが、改名されたとのこと。

www.qualcomm.com

OSはいつものOpenWrtベースですが、例によってopkgによるパッケージマネージャは塞がれています。

EAP105のWireGuard VPN

Firmware v12.6.7から対応しています。

• Edgecore Help Center: Firmware EAP105
  https://support.edge-core.com/hc/en-us/articles/42737038539033-EAP105

今のところ、ecCLOUDには設定項目がなく、スタンドアロンで使うことになります。ecCLOUDに登録した状態でクラウド側の設定がプッシュされると、WireGuardの設定が無効になってしまいます。

設定画面はあっさりとしていて、こんな感じです。

ただし、ここだけではないので要注意です。設定項目が分散して分かりにくいのは、OpenWrtの悪いところですね。ファイアウォールの設定をしないと、パケットが流れません。

ip ruleで見ると、WireGuard VPNのトラフィックを分離するようなルールが入っていました。

本体からWireGuardサーバに到達できない？

WireGuardの設定はサクサクと進んで、wg show で見るとリンクアップしているのですが、コマンドラインからサーバ側のIPアドレスを叩くとなぜか

ping: sendto: Operation not permitted

になってしまいました。これでは、RADIUSパケットを通したり、リモートから管理画面に入ったりという、本当に使いたかった機能がダメです。ip ruleが設定されているので、素直には通してくれないようです。

散々悩みました_(ﾟ｡3」∠)_

/etc/config/network を見ると、まずは一つ落とし穴が。route_allowed_ipsを '1' に設定しないといけません。(なんで '0' のままだったの？)

次に、/etc/config/firewall にも落とし穴が！変更前の値はこのとおりで、input/output/forwardが全部DROPになっていました。

ACCEPTに変更して、やっと開通ヽ(・∀・)ノ

これでVPNサーバにRADIUSの通信を集約したり、サーバを踏み台にして基地局の管理画面にアクセスできるようになります。

WireGuard VPNの性能

最近のCPUで、そこそこ上位の機種なので、500Mbpsぐらい出るものと期待していました。初めに、下りが300～400Mbpsぐらい出る自宅の光回線で試してみたところ、ありゃ？50Mbpsしか出ない……？？？どうも上りが遅いのに引っ張られているようです。あと、盆休みで回線が混雑していた兆候もあったので、とりあえず保留。

仕事場のLAN (GbE)で試してみたところ、予想通りの性能が得られました。

Speedtestで上下530Mbps出ています。

次に、VPNサーバのIPアドレスをめがけて iperf3 を試してみると、こんな感じ。

正直なところは、700Mbpsぐらい出るCPUだとよかったのですが、フリーWi-Fiの用途では十分かもしれません。Wi-Fi 7の速度はうたえないことになりますが、速度が欲しい場所は、いたずらされないようにガッチリとケーブルを固定して、VPN無しで設置しましょう。

他社も追従して、オープンなVPN機能を搭載してくれたらいいのになぁ。

あと、Edgecore / IgniteNet さんは、EAP105以外のモデルにもVPN機能を追加して、ecCLOUDやecOPENから設定ができるようにしてほしいところです。VPN箱は自前で高速なものを用意するから。

欲を言えば L2TP/IPsec と OpenVPN のソフトウェアも入れておいてほしい。

おしまい

「APIの認証ではよくJSON Web Token (JWT)が使われている……」なんてあちこちに書かれているので、そんなに面倒なことはないだろうと思っていたら、結構な いばらの道 でした (2025年7月時点の話)。JWTの構造自体は単純で、そこそこ年数も経っているのに。

AlmaLinux 9のパッケージだけで、なんとか認証までたどり着くことができたので、自分用のメモとして残します。色々とウソもつかれたけど、調査を助けてくれたCopilotくんに感謝！

やりたかったこと:

• 異なる組織、異なる計算機にまたがってアプリを連携させたいので、APIのための安全で軽量な認証がほしい。(Basic認証とIPアドレス制限では怖い)
• できればそこそこ枯れた新しい技術を使ってみたい。
• 共通鍵ではなく、公開鍵暗号を使いたい。
• いつも使っているのがApache HTTP Serverなので、これを使いたい。
• 自前でビルドするのは避けたい。

つまずいたのは、ざっとこんなところです ↓

• Apache用のJWT認証というと、まっさきに mod_auth_jwt が出てくる (Copilotくんも)。しかし、肝心のリポジトリが見当たらない。似たようなものがGitHubに幾つかあるものの、パッケージで提供されているようなものではない。
• Apache 2.5には mod_autht_jwt というモジュールがあり、これがApacheの本命に見える。しかし、2.5はまだ出ていない。
• とりあえずトークンを自前で作ってみようとしたら、署名がうまく行かない。

今回、本当に綱渡りで動かしたので、バージョンが違うと動かないことがあるかもしれません。それはそれで、ソフトウェアの品質としてどうなのという思うところはあります。Apacheには早く mod_autht_jwt を提供していただきたいところ。

以下、ノークレームで！

Apache 2.4でJWT認証できる簡単な方法を探す

まず、Copilotくんに聞いてみたら、「mod_auth_jwt というのがあるよ」とのこと。使い方も簡単に見えたので、いざAlmalinuxでdnf searchしてみたら、ない、ないよ……

Copilotくんが指し示したリポジトリは 404 でした。

他に使えそうなものを探しまくっていたら、Apache 2.5にはmod_autht_jwtがあるとのこと。ところが、2.5なんて出ていないんですよねー。

さらにCopilotくんと頑張って探し続けていたところ、ポロリと有用な回答が。

「それ、mod_auth_openidc でもできるよ！」

OIDC特有のリダイレクト機能などを使わず、JWTの認証部分だけを使えばよいとのこと。

mod_auth_openidc の設定例では動かなかった

ドキドキしながら、AlmaLinux 9でdnf searchしてみたら、ありました、mod_auth_openidc-2.4.10-1 ！

Copilotくんが示した Complete working example がこちら ↓ (httpdの設定ファイルの中に書くもの)

OIDCValidateJWT On
OIDCJWTIssuer https://your-issuer/
OIDCJWTVerifyJwksUri https://your-issuer/.well-known/jwks.json
OIDCJWTRequiredClaim aud your-audience

<Location /api>
    AuthType openid-connect
    Require valid-user
</Location>

さっそくhttpdを再起動してみたら……、立ち上がりません _('､3｣∠)_

そもそも Syntax error なので、重症です。

色々と戦った後に得られたのがこちら ↓ 

OIDCOAuthVerifyJwksUri https://your-issuer.example.com/.well-known/jwks.json
OIDCOAuthRemoteUserClaim sub
OIDCOAuthVerifyClaims "iss=your-issuer" "aud=your-audience"

 

<Location /api>
    AuthType oauth20
    Require valid-user
</Location>

まだ、立ち上がりません _('､3｣∠)_

OIDCOAuthVerifyClaimsがおかしいので、削除してみたところ、httpd が動き始めました。

(認可周りの調査は今後の課題)

ES256にチャレンジしてみる

結論から述べると、ES256で特に面倒が増えるという感じはなかったです。強いて言えば、情報が少ないぐらい。

さくっと鍵を作ってしまいます。

$ openssl ecparam -name prime256v1 -genkey -noout -out privkey.pem
$ openssl ec -in privkey.pem -pubout -out pubkey.pem

JWTは、<ヘッダー>.<ペイロード>.<署名> というシンプルな構造をしているので、とりあえず簡単なヘッダーとペイロードを作って、BASE64URLエンコードして、ピリオドで連結しておきます。

$ echo -n "{\"alg\":\"ES256\", ...}" | basenc --base64url -w0 > tmp.txt
$ echo -n "." >> tmp.txt
$ echo -n "{ペイロード...}" | basenc --base64url -w0 >> tmp.txt

改行コードが入らないように細心の注意を払います。不安だったら hexdump -Cv で確認。

署名の罠

「あとは署名だから openssl dgst -sha256 -sign privkey.pem tmp.txt で簡単やろ」と思ったら、落とし穴がわんさか……。

opensslで作った署名をBASE64URLエンコードしてくっつけても、JWTデコーダー に突っ込んでみると Invalid Signature になってしまいます。

ES256 (ECDSA P-256)

    The signature is a concatenation of two 32-byte numbers: R and S.
    Many libraries and tools (like OpenSSL) output ECDSA signatures in ASN.1 DER format, but JWT expects the raw format:
        Raw format: [R (32 bytes)] || [S (32 bytes)] (total 64 bytes)
        Then base64url-encoded without padding.

ぁー、形式が違うんですね。

Copilotくんに言われるまま、

$ openssl asn1parse -in signature.der
Error: offset out of range
$

ありゃ？

-inform der が要ります。Copilotくんの嘘つき！(

いや、この辺の処理が面倒くさいので、perlでスクリプトを書いてしまった方が早いです。use Crypt::JWT qw(encode_jwt); して、秘密鍵を読み込ませて、以下の感じで行けます (なげやり)。keyを参照で渡さないといけないところに気付くまでさらにウン十分。

my $j = encode_jwt(
        payload => $payload,
        alg => 'ES256',
        key => \$privkey,
        extra_headers => {typ=>'JWT',kid=>'012389'},
);
print $j;　

やっとこさ、JWTデコーダー で Signature Verified になりました。

ウェブサーバに公開鍵を仕込む

jwks.json というファイルに、こんな風に書きます。

{
  "keys": [
    {
      "kty": "EC",
      "kid": "012389",
      "use": "sig",
      "crv": "P-256",
      "alg": "ES256",
      "x": "...",
      "y": "..."
    }
  ]
}

はて、xとyは？

以下のようにすると、公開鍵の中身が表示されます。

$ openssl ec -in pubkey.pem -pubin -text -noout

pub: の項目で、最初の 04 を除くと、残りが32バイトのx座標値と、32バイトのy座標値です (P-256/ES256なので)。コロンを削除して、16進数表記をBASE64URLに変換して、パディングを削除して……って、やってられんわー・・・・・(ノ｀Д´)ノ彡┻━┻

(自動化すべき)

[2025/7/31追記] 以下のperlスクリプトで x, y 座標値が表示できます。

#!/usr/bin/perl

use Crypt::PK::ECC;
use MIME::Base64;
use JSON::PP;

# Read public key from PEM
my $pem = do { local $/; open my $fh, '<', 'pubkey.pem' or die $!; <$fh> };
my $pk = Crypt::PK::ECC->new(\$pem);

my $pub = $pk->export_key_jwk('public');

my $json=JSON::PP->new->pretty->canonical;

print $json->encode( $json->decode($pub) );

結果

できました！ヽ(・∀・)ノ

こんな感じで動作確認できます ↓

$ curl -H GET 'https://api.example.com/api/index.txt' -H 'Content-Type: application/json;charset=utf-8' -H 'Authorization: Bearer <作成したトークン>'

念のため、JWTを送らなかったり、わざと別のJWTを送ってみたりして、アクセスが拒否されることを確認します (重要)。

ペイロードに exp を埋め込んでおくと、その時刻以降は"正しく"認証が通らなくなります (確認済み)。

おしまい