MR.HARIKIRI-INSIGHTS

カテゴリー: Synology

Synology NASについてハード/ソフトの投稿

  • [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する [2021/08/01]

    [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する [2021/08/01]

    Post Views: 501

    はじめに

    Synology NASおよびRouter製品のセキュリティの話です。今回は、Router製品の上位機種であるRT2600acのパッケージ「Threat Prevention」の分析結果をネットワーク管理者としてファイヤーウォールとの連携について解説します。

    Threat Preventionは、日々、怪しいパケットの重大度に応じて、バケットを「ブロック」、「アラート」及び「何もしない」の3つの基本的な処理を実行してくれます。

    怪しい動作をするパケットのデータベースは、外部のデータベースであり有志によって日々アップデートされています。Threat Preventionでは、重大度の高いパケットは、デフォルトでドロップ(ブロック)されます。

    たまには、Routerの管理者は自らで、Threat Preventionのログを確認して、怪しいパケットのIPアドレスを確認し、頻繁にアクセスするIPアドレスに対して、ファイヤウォールによる拒否設定をしておくことが、ネットワークセキュリティをより安全に維持できると考えます。以下は、そのルーチンワークとしての設定して方法を簡単に解説しました。

    ルーチンワークの概要

    1. Threat Preventionのログの日々の確認
    2. 怪しいIPアドレスを認識したら、
    3. ファイヤーウォールの設定で、そのIPアドレスを拒否設定

    ルーチンワークの詳細

    • 週に一度は、Threat Preventionのログを見る
    • Threat Preventionからのドロップ通知メールを活用しても良い
      • 例えば、通知メールがきたら、そのタイミングを活かしてThreat Preventionのログを確認する
    • Threat Preventionのログを確認して、アクセスしてくる(ソース)、または、自サイトのデバイスからの、アクセス先(ディスティネーション)として、頻度の多いIPアドレスを確認する
    • Threat Preventionのログにおいて、自動でドロップされているものは、セキュリティに重大な影響を与えるものと認識されているので、そのIPアドレスを手元に控える(コピー)
    • ネットワークセンターのセキュリティからファイヤウォールタグを開き、そのIPアドレスの「拒否」設定を行う

    Threat Preventionでは、アラート処理に留まっており、ドロップしていないことがログよりわかりました。何かの対応策が必要です。

    Threat Preventionの操作

    Threat Preventionとネットワークセンターを操作する
    Threat Preventionのイベントログを確認 – 赤丸の192.168.x.xから外部の132.255.x.xにパケットが送られて、それがドロップされているのが分かる
    ディステネーションとして132.255.x.xの他のパケットを確認すると、その他にも多数のパケットが確認できた

    ネットワークセンターの操作

    ネットワークセンターのセキュリティからファイヤーウォールを開いて、目的のIPアドレスを「拒否」設定する。「作成」タグを開いたら、設定画面が現れる。以下の設定リストを参照して、「名前」、目的のIPアドレスは「ソースIP」、「操作」は「拒否」に設定、その他はデフォルト(すべて)で問題ないと思います。

    Alert

    ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted

    • ID/PWをHTTP経由で送信する場合に、MD5アルゴリズムでBASE64(バイナリ基数64)に変換(エンコード)される。これは決して暗号化を意味していない
    • DDNSのサービスを提供している「myDNS.jp」関係で、このファルター検出に引っかかることがある(要調査)。

    RT2600acにいて

    Synology RT2600ac (WiFiルーター)については、以下の記事もご参照ください。

    まとめ

    Synology Router RT2600acのパッケージツールとして、「Threat Prevention」と「ファイヤーウォール」の連携による運用(ルーチンワーク)の事例を解説しました。

    Threat Preventionは、Synology Routerのパッケージなので、その他のメーカーのルーターで、同様の機能があれば、今回と同じ概念で運用が可能だと思います。因みに、Threat Preventionは、シンプルなIDSのひとつですが、一般的な家庭用ルーターには装備されていません。

    [Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある [2021/04/09] ID12353
    [Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31] ID22342

    編集履歴

    2021/03/22, Mr. はりきり
2021/05/08, 文言整備
2021/08/01, 文言整備
  • [Synology] DS918+/DS920+の2つのネットワークインターフェースを一つに束ねると通信速度を速くできるらしい – でも、Windowsとのファイル転送(SMB)で遅くなったのはなぜ? [2022/01/04]

    [Synology] DS918+/DS920+の2つのネットワークインターフェースを一つに束ねると通信速度を速くできるらしい – でも、Windowsとのファイル転送(SMB)で遅くなったのはなぜ? [2022/01/04]

    Post Views: 1,243

    はじめに

    DS918+/DS920+には、2つのLANインターフェースが装備されています。もっと上位機種では、4つも装備する機種もあります。これは、サーバーとしてのサービスを全(まっと)うするために、クライアントとの通信の分散、1つのLANポートが故障しても、他のLANポートでサービスを継続するためです。

    通信の分散の場合、Bondを作成します。これでネットの分散化により通信速度のアップが期待できると素人的には思っていました。しかし・・・

    Bondの作成

    • Bond作成
      • Link Aggregation modeを作成することです。
      • (現状では、Bondについて良く理解できていません。今後理解を進めます)
    • Link Aggregation modeは以下の4つ(Synology)
      1. 負荷分散機能
      2. (現状では、どうゆう構成が必要かを正確に理解できていません。今後理解を進めます)
      3. IEEE d802.3ad ダイナミックLink Aggregation
      4. バランス XOR
      5. アクティブ/スタンバイ

    Bondを作成することで、2つ(LAN1, LAN2)あるインターフェースを1にすることができます。一つにするということはどうゆうことか、それは、通信が、どちらのインターフェースに入ってきても、同一のIPアドレスに入って来ていると認識することです。複数の通信データをマージするイメージです。

    SMBによる転送速度が遅くなった!?

    NETGEARのルーターを最近購入して、これまで使っていたオモチャのルーターから置き換えました.との頃から転送速度の遅い症状が起こりました。WindowsマシンとSynology NAS (DS918+)の間では、NASのフォルダを共有フォルダに設定して、ファイルの共有をしていますが、そのファイルの転送をNASからWindowsに実行した時、普通であれば,60Mb/s程度である転送速度が170Kb/s(0.17mb/s)と非常に低速になったのでした。Bondのモードは、前述のように4つあるので、それぞれに設定し直して、ファイル転送速度を確認しましたが、速度の改善は見られませんでした。

    Synology NASは以下の2台を使用しています.

    1. DS920+
    2. DS918+

    iPadとNASとで、その転送速度の低下を確認するために、iPadのアプリの変更や、単純に読み込む、などで確認しましたが、Windows – NAS間の転送とは異なり,瞬時に完了することを確認できしまた。その結果から、Windowsの設定がおかしいのだと判断して、ネット検索してみましたが、該当する記事を見つれることはできませんでした。あったのは、ファイルサイズが大きい場合に、転送速度が低下するという記事がほとんどでした。

    ある日、アイデアが出たので試してみました。というのは、NASがDS920+の場合のWindowsとのファイル転送速度は、これまで通り、60MB/s程度出ていたので、2つのNASでの違いがあると判断できました.

    比較の結果,DS920+ではBondを作成していない、DS918+はBondを作成している、という違いです。

    • DS920+ : Bond作成なし
    • DS918+ : Bond作成あり

    そこで、DS918+のBondを削除することにしました。

    解決

    DS918+のBondを削除すると、Windowsとのファイル転送速度は、170kb/sから60Mb/sに改善できました。これで解決ということになりますが、更に、今度は、削除したBondを、改めて、Bond作成してみました。その結果、転送速度は、60Mb/sのまま維持できていました。

    まとめ

    • SMBによるNASとWindowsでのファイル転送が低下している問題があった
    • NASのBondのリセットで転送速度の低下に改善効果があった
      • その方法は、Bondを削除
      • あらためて、Bondを作成する
    • 以上で超低速(170Kb/s)となっていた転送速度が戻りました(60Mb/s).

    Bondを使用しない場合の知識として

    Bondを構築する場合、1つのIPアドレスに複数のLANポートを構成するのだから、以下の疑問はありませんが、基本的な知識として記述しておきます。

    Bondを使用しないで、同一のネットワークに1台のNASの複数のLANポートを繋いだらどうなるのか疑問を持っています。複数のLANポートなのに、同一のホスト名は使用できるのかが具体的な疑問です。以下は、完全な答えはありませんが、Bondを構築する場合の基本的な知識として記述しておきました。

    • まず、プライベートIPアドレスには、ネットワーク部とホスト部で構成されています。プライベートIPアドレスは、クラスCの構成で十分です。
    • プライベートIPアドレス「192.168.1.1」において、クラスCの場合、ネットワーク部は192.168.1.」、ホスト部は「1」です。因みに、ホスト部の「1」という数値はルーター用です。
    • サブネットマスクは、ネットワーク部とホスト部がどのように構成されているか示しています。上記の場合は「255.255.255.0」がサブネットマスクです。
    • 以上、IPアドレスとサブネットマスクの2つを使って、サブネットとホストの組合せ状況を知ることが出来ます。サブネットマスクのネットワーク部「255」により、IPアドレスの192.168.1.1の内、192.168.1までがネットワーク部であり、複数設定している場合はサブネットワークの1つということになります。
    • 同様に、サブネットマスクの「0」はホスト部を示しており、IPアドレスの192.168.1.1の内、最後の「1」がホスト部です。
    • 以上を踏まえて,同じネットワーク又はサブネットに対してNASにある複数のIPポートを同時接続すると、同一のホスト名は通常割り振られず、何かの設定が必要になるようです。以下に英語の参考ページを示しました。
    • 関連する基礎的知識の記述はここまでです。

    Which LAN interface will get the server name?

    https://community.synology.com/enu/forum/17/post/79778?reply=279579

    リンク アグリゲーションの設定

    リンクアグリゲーションの設定方法について以下に示しました。現在は、ネットワークは1つしかないのですが、今後、サブネットワークも構築した際には、リンクアグリゲーションを設定したいと思います。

    「コントロールパネル」をクリック
    「ネットワーク」をクリック
    「ネットワークインターフェース」を確認
    LAN 1とLAN 2がBondされてい事がわかる
    Link Aggregation Modeの種類
    BondするためのLAN 1とLAN 2を選ぶ
    IPアドレスの設定
    最終確認
    設定されている間、少し待つ。
    「Bond」が作成された

    まとめと今後

    「ファイルの転送速度が遅い」とは認識していなかったWindowsとNAS間でバックアップのために不定期に手動により「ROBOCOPY」や「FAST COPY」などのツールを使って、ファイルの同期をしています。

    ある日、その作業の際、余りの遅さに気がつきました。しばらく悩みましたが、今回解決したので記事にしました。同様の悩みで苦しんでいるユーザーさんには、参考になると思います。

    最近、NETGEARのルーターを導入したのですが、まだ、その設定方法がよくわかっていません。リンクアグリゲーションの設定がありますが、とりあえず、デフォルトで使用しています。NETGEARにログインすることで、色々と詳細に設定することが可能なGearです。今後、最適化も進めたいと思っています。

    編集履歴

    2021/05/01 HARIKIRI(MR)
2022/01/04,追記(2021/12/19に記載した、”異なるサブネットに接続したNASにおいてリンクアグリゲーションは可能となる”ことは誤記であり、元に戻すと共に、関連知識に落とし込んだ -> 複数のLANポートには同一のサブネットでは異なるホスト名を付けられないこと)
2023/10/14,文言整備
  • [Synology] 写真の管理 / Photo Station & Moments はDSM 6用 [2021/08/01]

    [Synology] 写真の管理 / Photo Station & Moments はDSM 6用 [2021/08/01]

    Post Views: 496

    はじめに

    DSMがUpdate (DSM 6.2.3-25426 Update 3) されました。来年2021年には,DSM Version 7が正式リリースの予定です.年末年始の休みにも入ったことですし,これを機に,iCloudの写真をMomentsにバックアップしようと思います.\400/月のiCloud容量は満杯になっているので,古い写真は,バックアップをとってからiCloudから削除して容量を増やし,もうしばらくはこのままのiCloudの容量で我慢するつもりです.

    注) 2021/07にDSM 7.0がリリースされましたが、Photo StationとMomentsは「Synology Photos」に統合されました。DSM 7.0にアップデートするとDSM 6に戻すことはできません。そのままDSM 6を使い続ける場合、Photo StationとMomentsを使い続けることになります。

    Synology NASでの写真管理には、Photo StationとMomentsがあり、それぞれ補完関係にあります。Photo Stationは、写真の共有に重きを置き、Momentsは、iPad/iPhoneの写真から自動的にアップロードするアプリがあり、AIエンジンによる写真のグループ化による提案など個人的な機能に重きを置いています。更に、Synologyの弁を借りると、以下のように定義されています。

    必要なもの

    • Synology NAS
      • Photo Stationアプリ(サーバーとクライアント)
      • Momentsアプリ(サーバーとクライアント)
    • Windows10
      • iCloudアプリ
      • FastCopy

    補完的に活用する

    • Photo Station
      • プロの写真家がやるように写真をアップロードする前に整理します。Photo Stationは写真ビジネス向けの製品です。
      • フォルダ・ベースのアルバム
      • 写真共有はパスワード付きのリンクアドレスで可能です。
      • iOS/Android/Windows10タプレットをサポートしています
      • モバイルからのバックアップ
      • Apple TVやAndroid TVに表示可能
      • マップに表示可能 (但し、iOSの写真アプリのような名所の固有名詞は、表示されない。今後に期待したい)
    • Moments
      • 撮影した写真を全てご自分のブライベートストレージに簡単にアップロードし、後でそれを整理できるMomentsは個人やホームユーザー向けのまったく新しい写真ソリューションです。
      • 画像認識技術(人、場所、テーマ、など)によるアルバムの自動作成
      • 写真の共有はリンクアドレスで可能ですが、パスワード設定はできません。パスワード付きのアドレスリンクを作成したい場合は、Momentsの写真のをPhoto Stationのフォルダー内に、移動もしくはコピーして対処します source
      • IOS/Andoroidをサポートしています
      • モバイルからのバックアップ
      • Momentsのプレゼントアイコン (For You)クリックから、AIエンジンを有効化すれば、AIエンジンが色々なシチュエーションに分類して、グループ化し提案のためのインデックスの作成をしてくれます

    写真アルパム
    Photo StationとSynology Momentsはそれぞれプロの写真家と一般ユーサー用に作られた二種類の写真管理ソリューションです。

    https://www.synology.com/ja-jp/dsm/photo_vs_moments

    バックアップ

    以下に、複数あるiOSの写真のバックアップ法およびMomentsのを示しました。

    • Momentsでは、iPad/iPhoneのモバイルアプリから、写真をSynology NASに自動的にバックアップできます。バックアップされたMomentsの写真は、Homesディレクトリの該当するユーザーフォルダーにあるDriveに、Momentsフォルダーとして作成されます
    • 問題点は、iPad/iPhoneのストレージを最適化/オリジナルをダウンロード、のいずれにしているかです。もしも最適化していると、オリジナルでない劣化した写真がバックアップされます
    • バックアップの更なるバックアップとして,上記のMomentsのモバイルアプリからのバックアップに加えて,Window10のiCloudフォトからバックアップを取っておきます.この場合、年ごとにフォルダーが作られるので、整理するには助かります。Windows10からSynology NASにはFastCopyを使っています
    • 更に、更なるバックアップとして、以降に示したようにDS Photoアプリからバックアップの設定をしておきます。

    Windows10のiCloudフォトからバックアップを取る

    iCloudフォトを開いてダウンロードします.ダウンロードしたい年をセレクトしてダウンロードします.ダウンロードしたファイルは,Synology NASのPhoto Stationのフォルダにアップロードして,Photot StationやMomentsから閲覧できるように設定すれば,昔の写真は,Synology NASで管理できます.最近の写真は,引き続きiCloudフォトで管理します.blogのメンテナンスは,iPadで行っているので,写真のアップロードも引き続きiPadの写真から行います.

    MomentsからPhoto Stationのフォルダを見る

    DSMからMomentsアプリを開き、マイ写真ライブラリと共有写真ライプラリを切り替えることで、Moments管理の写真とPhoto Station管理の写真を確認する事ができます。

    • マイ写真ライブラリ
      • ユーザー別に保管されている写真です
      • 対象のフォルダーは、/homes/<user directory>/Drive/Moments
    • 共有写真ライブラリ
      • Photo Stationが管理している写真です
      • 対象のフォルダーは、/Photo

    iOSからMomentsアプリ

    • Momentsアプリから
      • 以下の通りで接続設定する
      • Synology NASの「ネットワークアドレス:ポート」を指定
        • ポートは、管理用と同じ
      • 2段階認証を設定していれば、6桁のコードを入力する

    Momentsの写真を共有化する方法

    • DSMにログイン
    • File Station 起動
      • Homes/<user directory>/Drive/Moments に移動
      • 例えば、全フォルダーを選択
      • コピーまたは移動を選択
      • Photo Stationのフォルダー 「Photo」に移動
      • コピーまたは移動を実行
    • Photo Stationから、共有の設定を行う

    Photo Stationによる管理

    iOSの写真を自動的にバックアップしたり、Photo Stationの動画をYouTubeにアップロードすることができます。

    • Web Browserからログイン
      • https://:port/photo
        • ポートは、管理用では無く、Photo Station用のport
      • サインインする
    • iOS写真の自動バックアップ
      • ログイン設定(「Web Browserからのログイン」と同様)
      • DS Photoアプリを起動(下図)
      • メニューから「画像バックアップ」を選択
      • Geofenceは位置情報です。この位置に入ったり/出たりするとパックアップのためのアップロードが開始される
      • ベタコピーされるので、後で年フォルダーを自分で作成して整理などが必要となる
    • メディアのYouTubeへのアップロード
    [Synology] NAS – Photo Stationに保管しているファイルをYouTubeにアップする機能を試してみた 「ロンドンからスカボロ城へ行く(2016)」 ID3200

    編集履歴

    2020/12/30 Mr. Harikiri
2020/12/31、追記(内容の詳細)
2021/08/01, 追記(DSM 7.0ではPhoto StationとMomentsは、Synology Photosに統合された)
  • [Gear] DS918+

    [Gear] DS918+

    Post Views: 399

    DS918+; 台湾のSynology社が開発販売しているエントリー級のハイスペックNAS。DS918+の内、9は、拡張ボックスを追加する最大デバイス数、18は2018年製品を表しているとされる。

  • [WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン-「WP Super Cache」で再構成した [2021/11/05]

    [WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン-「WP Super Cache」で再構成した [2021/11/05]

    Post Views: 440

    ID22640

    はじめに

    このblogは、レンタル・サーバーではなくSynology NASを使っています。やはり、性能的にはレンタル・サーバーに勝てません。そこで、自宅のNASを使ったblogでは、以下のような工夫が必要になってきます。

    • ベージ表示などのレスポンスの改善
    • セキュリティの確保
    • NASの管理を含めたWordPressの管理

    この記事では、ページのレスポンスを向上させる2つのプラグインとして、「AMP」と「キャッシュ」・プラグインを組み合わせてについて解説しています。以前は、AMP対応をせずにページレスポンスの改善を目指していたので、AMPプラグインを使用せず、Autoptimizeプラグインを使用していました。現在では、AMP対応にしてページのレスポンスの改善を図っています。

    • AMPプラグイン
    • WP Super Cache
    • WP Optimize
    • WP Rocket

    ついでに、AMPプラグインで何度も生じている「検証済み」の問題についても経験談を載せています。

    これらのページレスポンスの向上プラグインなどのSoftwareの適用以前に、ネットワーク回線やHardwareスペックアップの問題もありますが、ここでは述べていません。

    [Synology] DS918+ 初期導入時にはJBOD HDD、その後、メモリ増設・SSDキャッシュ増設・HDD追加でRAID 5によりフルスペック化 — アプリ/ツール構成 [2021/08/28] ID33

    ページのAMP化のみでもレスポンス改善は十分高い

    AMPプラグインは、HTMLを高速化するために元のHTML文やJavaScriptなどをサブセットに変換します。それがblogのページになります。投稿/ページの編集を終えて、「公開」すると、このタイミングでAMP化の変換が行われます。変換時間は、AMP化を適用していない場合と比較して、5~10秒程度余分の時間を要します。変換時間を要しただけのレスポンス改善は、目を見張ります。当サイトでは、モバイルの場合、GoogleのSpeedPage Insightsを使って測定すると、5~10倍のポイントアップが見られました。それでも、当サイトのMobileで閲覧した場合、30~40%でした。100%が最高値なのでまだまだです。PCでは、80%程度です。

    更にレスポンス改善するには、「キャッシャ」プラグインを追加します。そうすると、Mobileでは、50~60%に改善されました。キャッシュ・プラグインには、WP Super Cacheプラグイン、WP-Optimizeプラグインがありますが、主に、WP-Optimizeを使っています。

    今回の記事では、WP Super Cacheにするメリットについて解説します。

    AMP

    キャッシュプラグインを追加する

    キャッシュプラグインにも種々ありますが、これまでに色々試しました。その結果、ここ半年間使用し続けたのは、「WP-Optimize」プラグインでした。WP-Optimzieでは、データベースの最適化やデータベース・テーブルがアントールされているテーブルなのか、無効化されているプラグインのデータベース・テーブルなのか、すでに削除されているプラグインに関するデータベース・テーブルなのか、を示してくれます。この情報を確認しながら、データベース・テーブルを削除したり管理することができます。WP-Optimizeは、データベース管理プラグインであると認識するのが妥当です。WP-Optimizeは、キャッシュ機能もありますが、これまでに試したキャッシュ・プラグインの中で僅差ですが、最もレスポンス改善効果があったため、今回まで、キャッシュ機能も有効にしていました。

    プラグインは専用機能がいい

    WP-Optimizeプラグインには、多数の機能が搭載されています。キャッシュ機能には「プリロード」機能も使えます。全ての投稿/ページのキャッシュする機能です。

    今回、WP-Super Cacheプラグインをネットで発見して、キャッシュ・プラグインとして使用することにしました。その理由は、プラグインは多機能でない方が管理がし易いと考えているからです。それに、付属的な機能では、微調整ができないことが大です。WP-Optimizeのプリロード機能では、繰り返すプリロードの時間設定しかできず微調整ができません。もう少しでも攻め込みたい。やはり、専用機能に特化したプラグインを指向したいと思います。

    ただし、ネットで調べてみると、WP Super Cacheのプリロード機能、その他の機能は使用しないことを推奨しているようです。WP-Optimizeのブリロード機能を使用しても、キャッシュ機能が効いていないようです。と言うのは、WP-Optimizeでブリロードした後に、PageSpeed Insightsでランダムにベージ/投稿を選んで測定したところ、モバイルで50程度、PCで80程度とPCの測定値が低くなりました。間髪入れず、もう一度測定すると、モバイル50程度、PCで95程度と改善しました。何度やってもこの傾向は、どのページでも同様でした。

    結論としては、WP-OptimizeもWP Super Cacheも、プリロード機能は、使用しない方が良いということです。

    WP Super Cacheの設定のほんとのところ

    • プリロード機能は使用しない
      • 理由 : 古いキャッシュの表示が起こる場合がある
    • 投稿またはページが公開されたときにすべてのキャッシュファイルをクリアする機能は使用しない
      • 理由 : 新しい投稿を作成するたびに、WPスーパーキャッシュが数分間効果的に無効になってしまうためです

    WP Super Cacheの推奨設定

    結局推奨設定は、以下の図の通りになります。プリロードの使用を推奨していないのは残念です。

    上記推奨設定のサイト

    https://translate.google.co.jp/translate?hl=ja&sl=en&u=https://support.tigertech.net/wp-super-cache&prev=search&pto=aue

    WP Super Cache

    WP Super Cacheプラグイは、プラグインのキャッシュ/ブリロードに特化しています。多数の設定項目があり微調整も可能です。初心者には優しくて、デフォルトの設定についての解説もわかりやすいです。プリロードのキャッシュファイルの圧縮の設定もできます。

    繰り返すプリロードの時間の設定は、ももちろん可能です。初期値は600分です。プリロード処理が開始される時、及び100や200毎に、メールを飛ばす機能もあります。機能していることが分かるので安心ですし管理に役立っています。

    今回、WP Super Cacheの試用を開始しましたが、これまで使用していたWP-Optimizeの設定は、キャッシュを無効化し、データベース管理機能のみを使用している状態に設定しました。

    SpeedPage Insightsによるレスポンスの測定結果は、従前の設定の場合と比較して同等の結果でした。しばらく攻め込んでみたいと思います。結果は、随時、追記していきます。

    WP Super Cache

    WP-Optimize

    WP-Optimizeは、キャッシュ機能だけではなく、データベース管理、イメージ圧縮などの複数の機能を備えています。

    WP-Optimize – Cache, Compress images, Minify & Clean database to boost page speed & performance

    WP Rocket

    kinstaというレンタルサーバーがあります。日々、パフォーマンス改善を進めていて、WP Rocketによるキャッシュ機能に関する記事がありました。その記事では、プリロード機能は、逆にパフォーマンス低下になるので、有効化しないことを推奨しています。プリロード機能は、理想としては良い機能なのですが、実際には、技術として実用化はまだのようです。

    Kinsta and WP Rocket: Now Speeding up WordPress Together, 2020/10

    https://translate.google.co.jp/translate?hl=ja&sl=en&u=https://kinsta.com/blog/wp-rocket/&prev=search&pto=aue
    Super Page Cache for Cloudflare

    WP Super CacheとWP-Optimizeの比較

    約900ある投稿とページをプリロードする時間を比較しました。先ず、全ての投稿とページについて、AMPで再検証します。全てが完了してから、ブリロード機能を実行しました。その結果、WP Super Cahceでは約50分、WP-Optimizeでは約25分でした。WP-Optimizeの方が高速でした。

    設定の際に思いもよらず得られた懸案の解決

    AMPの再検証エラー問題

    AMPプラグインを使用していて、数ヶ月前の9/21に投稿/ページの「再検証」が、以下のエラーログと共に不可になっていました。

    • cURL error 28: Operation timed out after 15001 milliseconds with 0 bytes received. Please check your Site Healthto verify it can perform loopback requests. If you are stuck, please search the support forum for possible related topics, or otherwise start a new support topic including the error message, the URL to your site, and your active theme/plugins. Please include your Site Health Info.

    ネットで調べてみましたが、DNSが悪いので、ローカルにDNSを立ち上げろとか、AMPのサポートでは、AMPプラグインによる不具合ではないとか、結局、原因を見つけることは、できずにいました。

    WP Super Cacheのワーニングのお陰

    WP Super Cacheを導入後、blogのフォルダーにパーミッション設定がおかしいので修正するように、というようなワーニングが出ました。そこで、NASにログインして、chmodコマンドで、そのフォルダーのパーミッションを設定して確認をしている時に、それは起きました。

    WordPressの管理者画面の左のメニューが、突然シンプルになりました。原因は、プラグインの全てが無効になっていた事でした。パーミッションの設定を間違えたことで、WordPressがプラグインにアクセスできなくなり、それを受けてWordPressが全てのプラグインを無効化したものと考えられました。

    その後の対応

    パーミッションを元に戻して、プラグインが認識されるようにしました。無効化になっているプラグインの全てを1つ1つ有効化していきました。

    その結果

    AMPプラグインで不可であった「再検証」が問題なく機能するようになっていました。これまでは、なんだったのか?

    キャッシュのブリロード

    再検証を完了した後は、WP Super Cacheによる「ブリロード」を実行しました。

    広告表示の確認

    Advanced Adsは、AMPページ対応の広告表示プラグインです。色々な設定が可能です。これらの表示について、実際の投稿/ページを表示させて確認しました。

    まとめ

    今回は、AMPプラグイン導入していることを前提に、キャッシュ・プラグインの変更について解説しました。また、相変わらず、AMPプラグインにおける「検証済み」において検証ができない記事があります。また、リストにすら表示されない問題もあります。その問題となる要因は、画像数が多かったり、記事が大きかったり、など色々と考えられます。一方で、シンプルな文字のみの投稿、文書量が少ない、埋め込みリンクがない場合には、ほとんどは問題が生じることはありません。マシンのパワー不足があるのかもしれません。今後も検討を続けます。

    以上

    編修理歴

    2020/11/07、はりきり(Mr)
2020/11/15、追記 (プルロード機能は使えない)
2020/12/11、追記 (文言整備)
  • [Synology] 以前からeo光(1Gコース)なのに速度が遅く感じられていた(100Mbps) – 6A型(CAT6)のネットケーブルで改善 (300 ~ 500Mpbs) [2021/03/30]

    [Synology] 以前からeo光(1Gコース)なのに速度が遅く感じられていた(100Mbps) – 6A型(CAT6)のネットケーブルで改善 (300 ~ 500Mpbs) [2021/03/30]

    Post Views: 539

    eo光の速度の測定

    もう数年以来、ネットの速度が遅いなぁ~と思っていたが、ありまり実害が感じ無かったので放置していました。ネットでの実害と言えば、nintendo Swithcの「スプラトゥーン2」をしていて、夜中12になるとそろそろ始まり、1時には、もう頻繁に接続が切れることくらいでした。現在も続いていますが、以下のネットワークケーブルを交換してどうなることは、今後確認してみます。

    今回は、単にネットの測定結果として、速度が改善されたという話題です、以下のeo専用のeo光の速度測定サイトから測定します。

    http://speedtest.optage.co.jp/index2.html

    コースごとの測定

    コースごとの測定が選べますが、全てのコースで測定しましたが、僕にとっては、どれもそれほど差があると思えないのですが、とりあえず1Gコースがホームネットワークに適用されています。eo光は100Mコースから始めていますが、途中、色々とコースが提供されていました。でも、特に必要性を感じなかったので、これでまで流されてきています。100Mコースが自動的に200Mコースになり、今の1Gコースも多分自動的に適用されたと記憶しています。

    今回、上述したようにネトゲの通信問題、WordPressでのあるプラグインで処理した時のtime out問題、少し放置しておくのも限界と思いたました。

    ケーブル交換前の速度

    朝10時ごろの測定結果を以下の図に示します。下りが131Mbps、上りが76Mbpsと、あっと驚く測定結果でした。まさかと思いました。

    ケーブル交換後の速度

    ケーブルの交換後、朝11時ごろの測定結果を以下に示します。下りが、1回目で304Mbpsと上りが488Mbps、2回目で364Mbpsと538Mbps、結構な改善効果でした。

    その他のコースで測定

    参考に、適応されている1Gコースではない、その他のコースで測定した結果を以下に示します。

    関西在住者必見「10ギガ」の「eo光」はどのくらい速い? – ASCII –

    ブラウザによつては、ネットの速さはだいぶ違うようだ(はりきり)。

    https://ascii.jp/elem/000/001/830/1830511/2/

    使用したケーブル

    ケーブルの選択は、同じ過ちをしないために、これまで使用していたスリムタイプでなく、シールドがしっかり施されている従来通りの太いケーブルを選びました(A6, ストレート)。特に「eo光」対応や、A6と記載されている、少し価格帯が高いものです。

    ホームネットワークの無線ルーターは、Synology RT2600acです。eo光の終端装置は、富士通のONU3GEF/FE2です。この間の上記ケーブルの5mで接続しました。また、この終端装置は、1Gコースまで使用できるとOptageからアナウンスされている機種です。今後、5G/10Gコースに変更する場合は、変更が必要な終端装置になります。

    ●バッファローのケーブル表示 E301195 AWM STYLE 2725 V W− — 教えて! goo —

    CAT5e相当のケーブルでは、信号線のツイストペアが4本(合計8本)は、平型ケーブルで作られているものがあるが、CAT6では、ツイストペアを確実に分別するために十字の仕切り物があるので、平型は作ることはできない。CAT7では、更に各サイストペアにシールドが施され、コネクタがアースが必須のSTPコネクタとなっており、業務用となっている

    https://oshiete.goo.ne.jp/qa/11918302.html

    回線テスト

    ある時刻になると、途端に接続が断続的に切れたり、繋がったりを1分間隔で発生してます。毎日です。この現象は、24時を過ぎる、あるいは調子がいいとは、1AMまで大丈夫で突然に発生します。~6PM頃でも、同様の現象を経験していますが、時間が一定であることから、eo光側の運用の影響ではないかと強く思っています。

    そこで、ネットが切れる現象が生じた時を見計らって、以下のリンクに示したeo光のユーザーサポートにある「回線テストを行う」を実施してみました。その結果、接続に問題なしの判定でした。

    この問題は、1年以上前から生じているので、現在のeo光1Gコースから5Gコース、または、10Gコースに変更することを何度か検討しましたが、現在まで保留にしていました。現在(2021/03)、インターネットの切断/接続を繰り返すという原因を掴み切れていませんが、最近、Synology Router のRT2600acのネットワークモニターとNintendo Switchの回線ストを使って確認してみました。ネットワークモニターでは、(1)WiFiは正常につながっているのに、(2)インターネット側で「制限付き接続」という表示が、上記の記載の通りに断続的に表示されます。正常接続を交互に繰り返しています。

    Nintendo Switchの回線テストを実施したとき、まず、インターネットの接続状況を判定し、正常であれは、NATタイプ、ダウンロード速度およびアップロード速度を測定します。それぞの値は、通常、~70kbpsと~30kbpsです。この場合、RT2600acのネットワークモニターでのピーク速度は、ダウンロードで300KB/s、アップロードで6KB/sです。一方、ダウンロードで150KB/sを下回ってくるとと、この測定の段階でエラー(接続不良)を報告してきます。

    Nintendo Switchでの回線テストを実施しなくても、インターネットの接続は、断続的に接続/切断を繰り返すことを観察できているので、ゲームによる大容量の通信が原因でインターネットの回線が切断されているとは考えられず、eo光側の問題であると思われます。ただ、RT2600acのハードウェア的な問題である可能性も排除できていません。この問題については、もう一台RT2600acを準備してから検討する予定です。

    eo光側が原因である可能性というのは、eo光の設備の問題、加入しているコース(1G)の問題も含みますが、コースの問題だとして5Gコースのコース変更は、現在、申し込みが停止されています。新型コロナの問題が発生した初期(2020/~5)では、まだ、コース変更の申し込みは停止されていませんでしたが、現在は、5G/10Gコースへの変更・新規加入は停止されています。世界的に半導体の供給が少ないことが理由であるとOptageは言っています。以上のように、現在まで、長らく続くホームネットワーク問題です。

    障害情報一覧 — Optage —

    「回線テストを行う」から光回線の状態をテストできます。eo光設備から、宅内のONU(終端装置)までの不具合をチェックできるようです。おそらく、光ファイバーの劣化・断線についてチェックされるものと思われます(2021/03/30, MR.HARIKIRI)

    https://support.eonet.jp/ac_list/

    [Q] eo光ネット 1ギガコースへ変更したが、コース変更前と速度が変わらない – eo光ネット –

    https://support.eonet.jp/usqa/net/4202367_14139.html
    編集履歴
2020/10/19 Mr.Harikiri
2021/03/27 ホームネットワークのメンテナンスとしてELECOM Laneed 6A型を1m x 2, 2 m x 3, 3m x 1を購入したので、この機に文言整備、CAT5,6および7の違いについて、教えて!goo、blue_plusさんの回答を参照.
2021/03/30 追記 (eo光の「回線テスト」について)
  • [Synology – Plex] Plex Serverに繋がらなくなったときの対処法 [2020/10/04]

    [Synology – Plex] Plex Serverに繋がらなくなったときの対処法 [2020/10/04]

    Post Views: 1,055

    はじめに

    Plexは、自宅のサーバーにあるメディア(音楽、動画)をインターネット経由でもストリーム配信できるメディア・サーバーです。

    DS918+にPlex Serverをインストールしていれば、Plexへの接続が上手くいかない場合を、よく経験します。

    ある日、PlexのクライアントをインストールしたiPadからiTunesの購入音楽を試聴しようとしていたときです。追加したファイルが更新されておらず、リストに出てこないことがありました。おそらく、通常は、Up Loadしたファイルについて自動でファイルのスキャンしているはずです。でも、その自動スキャンができていないものと思われまた。

    そこで、Plex Serverの管理画面に接続して、マニュアルで「スキャン」させたかったのですが、管理画面にたどり着けませんでした。

    課題

    今回のお題は、以下の通りです。

    • 新しく追加したファイル(Up Load)があるのに、追加されていない
    • Plex Serverの管理画面に接続してマニュアルで「スキャン」させたい

    しかし、以下のように管理画面に繋げようと試みるものの、接続できないことがあります。Plex Serverは、頻繁にUp Dateします。でも、Synologyのパッケージは、あまり更新されず、SynologyによるケージでのUp Dateは、滅多に上がってきません。そこで、Plexサイトに行って、Synology用の新しいバージョンをダウンロードし、DS918+にマニュアルインストールしてUp Dateするのですが、これが少し厄介を連れてきます。

    その厄介ごとですが、Plex Serverの認証が切れていまいます。管理画面に接続できなくなるのです。

    まとめると、

    • マニュアルインストールした後、管理画面への接続、クライアントでの接続もできなくなったりする

    実際の接続できない現象としては、以下のような感じです。

    • IPadのsafariから、https://ds918:port、に繋いでDSMに接続している時に
    • DS918+からアプリの「Plex」を起動(これはServerの管理画面の起動を意味している)してみると、
    • Sarariは、接続できませんでした。と表示されて、Plex Serverの管理画面に接続できない

    このような時、Safariの表示は、以下のようになっていました

    • ds918:32400/web

    原因は、特定できていませんが、証明書関連でローカルの接続ができないのかもしれません。

    対処方法

    更に試してみます。以下のように、IPアドレスを直接使えば、少し先まで接続が進みます。

    • 192.168.xx.xx:32400/web

    と、iPadのSafariから入力すると、Plex Webの接続ダイアログが開きました。

    ログイン方法として以下のリストが現れます。やはり、認証が切れているようです。認証のやり直しが必要のようです。

    • Googleで続行
    • Facebookで続行
    • Appleで続行
    • メールアドレスで続行

    メールアドレスで続行を選択して、既に登録してある、User IDか、Email Addressと、Pass Wordを入力して進みます。

    そうすると、plex.txにログインしますか?、と表示されます。

    続けると、接続が完了して、Plex Serverの管理画面に入れます。

    Plexの管理画面でできること

    管理画面では、以下の作業が可能です。

    • 共有
      • 他のユーザーを指定して共有を設定
      • 他のユーザーは、クライアントにPlexを有料でインストールしていること
    • スキャン
      • マニュアルで「スキャン」して、Plex Serverのデータベースを更新
      • 更新が完了すると、メディアのリストに表示されるようになる
    • サーバー管理

    まとめ

    Plexは、良い製品です。Serverは無料でインストールできますが、クライアントは、有料です。

    Serverは、もっと多機能な「プレミアム」バージョンに乗り換えることもできますが、Serverのプレミアムは、当面必要ないと思っています。ただ、クライアント(client)は、デバイス毎に必要なので、家族で共有する場合は、台数が必要です(数百円/台)。

    編集履歴
2020/10/04 Mr.Harikiri
  • [WordPress] 「AMP」対応奮闘記 – プラグインAMPはVer.2.20になったけれど。[2022/01/05]

    [WordPress] 「AMP」対応奮闘記 – プラグインAMPはVer.2.20になったけれど。[2022/01/05]

    Post Views: 392

    ID22520

    はじめに

    AMPページに対応すべく奮闘しています。当サイトで記事にしたAMP関連と情報リンクをまとめました。AMPプラグインはVer. 2.2.0になりました。プラグインをアップデートした際、またもや、「検証済みURL」での投稿の非表示の問題が出ました。対応策を見つけて何とか全ての投稿ページを検証済みURLのリストに登録させることができました(直近の対応)。

    Google Search Console

    Google Search ConsoleのAMP項目に、「エラー」、「有効(警告あり)」および「有効」があります。有効(警告あり)では、画像の大きさ関連のものが多く、推奨サイズを使うようにコメントが出ていることがあります。そのような場合には、投稿のアイキャッチ画像のサイズが小さいことが考えられます。当サイトでは、画像の最適化には「EWWW Image Optimizer」プラグインを使用していますが、画像のアップロード時にリサイズする設定において、推奨サイズ以下のサイズに設定されていることがあるので確認してみます。サイズが1200 x 675を推奨しているようなので、これより大きいサイズを設定し直します(例えば、2000 x 2000)。

    すでにWordPressにアップロードした画像を大きいサイズにリサイズすることはできないので、改めて同じ画像を元サイズを大きくするか、多いサイズが既にあれば、それをWordPressにアップロードして、更に、アイキャッチ画面に設定しなおしなす。

    AMPプラグインの「更新済みURL」が作成されない問題と対策

    AMPプラグインが正常に動かないことが多々あります。未だに完全解説には至っていませんが、以下の記録を続けてその内完全な解決策を見出せることを願いつつ、活動を続けていきたいと思います。

    おそらくは、AMPプラグインとその他使用しているプラグインとの相性の問題があると考えています。

    AMPプラグインのバージョンは、初期のバージョンアップの頻度からすると、現在は、その頻度は低くなっています、また、バージョンもだいぶ上がっています。また、使用経験も積み重ねているものの、このAMPプラグインについては、まだまだ挙動が読めません。まだまだ開発途上ということですね。

    2020/09/13

    投稿は存在しているのに、AMPの更新済みURLが作成されていなと、AMPプラグインの関連するページの各種操作において、タイムエラーなどを起こす。また、更新済みURLが作成されていないことは気持ちが悪いなどのデメリットがある。

    • 現象 : 投稿を新規に公開する場合、他のサイトを参照するプラグインを使用して多数のリンクを貼っていると、AMPのデータペースを作成/更新できなくなることがある
    • 具体例 : Advance Gutenberg Blocksプラグインの「Plugin」を使って、あるプラグインのリンクを10個張っている投稿の作成において、それを公開/更新した時、完了までの時間が非常に長くなる。投稿自体は作成/更新できるが、AMPの「検証済みURL」は作成されない。
    • 対策 : 投稿の公開/更新の最初に、原因であるAdvance Gutenberg Blocksの「Plugin」を取り除いて公開/更新を行って、AMPの「更新済みURL」が作成されたことを確認した後、原因であるそれを追加して投稿を公開/更新する

    AMP: a well-lit path to optimizing for Google’s page experience signal

    https://blog.amp.dev/2020/05/28/amp-page-experience/?utm_source=amp_newsletter&utm_medium=email&utm_campaign=amp_highlights_20126252

    AMPページに対応するプラグインは、このリンクにリストされています。

    「CoBlocks」には、アコーディオン・ブロックがあるので、助かっています。

    https://amp-wp.org/ecosystem/plugins/

    2021/10/10

    自宅のblog Serverを2台目として購入したDS920+に移行した時に、AMPの検証済みリストが出なくなってしまいました。データベースから消えたのか、データベースには存在するが、何らかの問題がありリスト化できないのか、理由はわかりません。

    以前に、再検証済みのリストを表示されるようにできた経験があります。その方法は、作業中の不手際でフォルダのアクセス権の設定(777とか664とかの設定)でミスした結果、全てのプラグインの無効化が生じた時です。その後、レスキュー作業で全てのプラグインの有効化を行なったことで解決した過去の経験です。具体的には、「WP Super Cache」プラグインを導入後、blogのフォルダーにパーミッション設定がおかしいので修正するように、というようなワーニングが出ました。そこで、NASにログインして、chmodコマンドで、そのフォルダーのパーミッションを設定して確認をしている時に、それは起きました。

    現在、過去の記事については、AMPの検証済みリストとして全く表示されないものの、新規に作った投稿では、AMPの検証済みリストに現れます。このことを利用して、投稿を一つ一つ開いて「更新」することで、AMPの検証済みリストに現れるようにできます。この作業は結構骨が折れます(2021/10/10 by MR.HARIKIR)。

    結局、一つ一つ投稿を開いては更新する作業を850行いました。完全な力技で対応してしまいました。本当は、こんなことはしたくはなかったのですが、他に解決策を見つけられず仕方くな実施しました(2021/11/05)。

    2021/01/05 : AMP Ver.2.20

    まだ、「検証済みURL」の問題は続いています。いっそのこと、有償版がある「AMP for WP」に乗り換えようとインストールして評価してみましたが、Free版では少しも速度アップは確認できませんでした。評価は、Page Speed Insightsを使用しています。
    対策(2022/01/05): 「検証済みURL」が作成されない場合、
    (1)AMPのデータベースが壊れている可能性があるので、「忘れる」処理をした後、投稿のページで更新する。
    (2)直近のプラグインの更新により「検証済みURL」が消えてしまいました。AMPデータベースが壊れた可能性/仕様の変更があります。実施した対応は、以下の通りです。キャッシュプラグインの少なともデータベースを無効にしてから、投稿ページを一つずつ開く操作を実施すると「検証済みURL」にリストされことを確認できたので全ての投稿ページに実施することにしました。素早く操作するには以下の方法が可能です。「投稿一覧」から一つずつ開き、その投稿の編集ページが開いたら直ぐにブラウザの戻るボタンで「投稿一覧」に戻るを繰り返して、一つ一つの投稿ページを開く処理する方法をとることです。連続操作できる数はNASの処理能力に依存します。投稿ページが開く速度が低下してきたら(5秒以上)、一旦休止してください。因みに、AMP関連のデータベースは、AMPプラグインの削除で削除されない仕様であることは開発者の間では知られていますが、その改善対応は未だ不十分の状況のようです。そのような状況下、プラグインのアップデートにより挙動の変化が毎回起こっています。まあ、ユーザーの立場で追従するのは大変です^^)。

    3つのURL

    AMP対応にすると3つのURLができます。以下の参考文献に詳しく書かれています。

    AMP URLの正体

    https://developers-jp.googleblog.com/2017/02/whats-in-amp-url.html

    編集履歴

    2020/09/13 はりきり(Mr)
2020/12/13 Mr.Harikiri
2021/02/11 追記 (Google Search Consoleのエラーや警告に対応する方法)
2021/10/10,追記(AMP 検証済みリストが表示されない場合のとりあえずの対処法を「その他、問題解決」に記載)
2021/11/05,追記(検証済みリストにリストさせるために、一つづつ記事を更新する作業を実施)
2022/01/05,追記(AMPプラグインVer.2.20での「検証済みURL」の問題に対する対応策)
  • [WordPress] Synology (新)NASに立ち上げたWordPressから外へメールを飛ばす – WP Mail SMTP by WPFormsプラグインとGMail APIの設定 [2020/09/13]

    [WordPress] Synology (新)NASに立ち上げたWordPressから外へメールを飛ばす – WP Mail SMTP by WPFormsプラグインとGMail APIの設定 [2020/09/13]

    Post Views: 647

    はじめに

    レンタルサーバーでのWordPressの運用とは違い、Synology NASにWordPressを構築して、サイト外へのメール送信するには、少し面倒な作業をしなければなりません。自分が選んだ道であり仕方がいなのです。

    今回の作業は、「WP Mail SMTP by WPForms」プラグインのインストール、およびGmail API (Google Developer Consoleの設定)によって、WordPressおよびその他のプラグインが、サイト外にメールを飛ばせるようにします。例えば、以下のケースです。

    • コンタクトフォーム・プラグイン
      • WordPressには、基本情報として訪問者のemailアドレスを記入し保管しています
      • 訪問者が、コンタクトフォームに当サイトへの質問、コメントを記載して送信するとき、その内容を、管理者メールアドレスに送信されます。この時、今回のプラグイン「WP Mail SMTP by WPForms」とGoogle Developer Consoleの「APIの作成」が必要です
    • Ultimate Member プラグイン
      • Ultimate Memberは、メンバーシップを構築できるプラグインです。
      • 訪問者が当サイトにemailを新規登録する場合、その申請内容を管理者メールアドレスに送信されると共に、訪問者が記載したメールアドレスに、確認用のメールを当サイトから送信します。いずれにも、今回の作業が必要です
    • UpdraftPlus プラグイン
      • UpdraftPlusは、WordPressとプラグインなど、全体的をバックアップ、リストアするツール・プラグインです
      • バックアップを開始した後、作業が終了した際に、管理者メールアドレスに、終了通知のemailを送信します。この送信を可能にするには、今回の作業が必要です

    準備

    「Google Developer console」でOAuth 2.0 クライアント IDを設定します。そのために、Google Developer consoleを使用可能にしてください。

    プラグインのインストール

    WP Mail SMTP by WPFormsをインストールします。

    インストール後は、「一般」から以下の設定の必要です。

    1. 以下の図のように設定します
    2. 送信元アドレス : これは、WordPressの設定から自動的に入力される
    3. 送信者名 : 同上
    4. メーラー : ここをGoogleに設定します

    次に、以下の設定が必要ですが、その値は、Google Developer ConsoleのAPIの設定と同時に進めていきます。

    1. ①と②は、Google Developer Console APIを設定して完了後に使用可能になります。そこからコピペします。
    2. ③は、このプラグインから提供させる値です。この値をGoogle Developer Console APIの「OAuth クライアント IDの作成」のURIの設定に使用します。まずは、右横のアイコンをクリックしてコピーしておきます

    API プロジェクトの作成

    Google Developer Consoleに入ります。

    1. 以下の図のような画面が現れます。以下の作業を進めます。
    2. メニューの「My Project」をクリックすると、「プロジェクトの選択」画面が現れます(図1)
    3. 右上の「新しいプロジェクト」をクリック

    1. 適当なプロジェクト名で、「プロジェクト」を作成(既存のプロジェクトにGMAIL APIがあれば、それを使用しても良い)
    1. メニューの「My Project」から作成した「プロジェクト」を選択
    2. もしも、左メニューの「認証情報」をセレクトしてあれば、選択した「プロジェクト」の「認証情報」画面が現れます
    3. その画面の一段目に、「同意画面の構成」ボタンが現れます。これをクリック。もしくは、左メニューの「OAuth 同意画面」をクリック

    1. 「OAuth同意画面」が現れるので、外部をチェック(内部はセレクトできない)して、「作成」ボタンをクリック
    1. 図は示しませんが、以下のような設定項目が現れるので設定していきます
    2. アプリケーション名 :プラグインがわかるように適当な名前
    3. サポートメール : Google Developer Consoleにログインしたメールアドレスが自動に入力されている
    4. 承認済みドメイン : harikiri.diskstation.me
    5. 「アプリケーション ホームページ」リンク : 同上(正確には、リンクですが、これでもOK)
    6. 「アプリケーション プライバシー ポリシー」リンク : 同上(正確には、リンクですが、これでもOK)
    7. 「アプリケーション利用規約」リンク : 必要ないようです
    8. 「保存」をクリック
    9. 確認画面が現れます。この設定内容は、左メニューの「OAuth同意画面」をクリックすると確認してできます。よく読んでみると、
    10. 確認ステータス : 検証は不要です、とあります。
    11. ユーザーの種類 : 外部
    12. OAuthレート制限
    13. 以上で、ようやく、「OAuth クライアント IDの作成」が可能となりました

    OAuthクライアント IDの作成

    1. 「認証情報」のメニューの「認証情報を作成」をクリックすると、更に目にメニューが現れます。二番目の「OAuthクライアント ID」をクリック
    1. アプリケーションの種類を「ウェブアプリケーション」に設定します
    1. その後、以下の設定を進めます
    2. ①は、とくに必要ないかもしれません。
    3. ②は、プラグインからのコピペです。
    1. 設定が完了すれば、メニューの「My Project」からプロジェクトを選択すると、「OAuth 2.0 クライアント ID」の項目にリストが追加されています
    2. その追加された項目リンクをクリックします。
    1. ③と④の「クライアント ID」と「クラアンスト シークレット」をコピーして、WP Mail SMTP by WPFromsプラグインの設定項目に、それぞれペーストします。
    1. プラグインの設定項目にペーストします。
    2. 最後に、「Authorization」項目で、橙色のボタン「Allow plugin to send emails using your Google account」をクリックします。
    1. Google Developer ConsoleでのAPI設定が正しく実施されていレバ、以下のような画面になります。

    以上で、プラグインとGMAILのAPIの設定が完了しました。Email Testで送信テストを実施してみてください。

    これで完了です。

    参考文献

    WP Mail SMTP Documentation

    https://wpmailsmtp.com/docs/how-to-set-up-the-gmail-mailer-in-wp-mail-smtp/

    参考文献

    Gmail APIでクライアントIDを有効にするまでの手順

    https://spica.tokyo/note/275
  • [Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]

    [Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]

    Post Views: 1,127

    ID22342

    はじめに

    これまで、DS918+を導入しblogを公開してから1年程度のサーバー管理をしてきましたが、アドレスを公開する前後では、サイバー攻撃を受ける割合が相当増えました。

    WordPressへのログインは、ログを取っていない(何かいいプラグインがあるかも知れません)のでわかりませんが、DSMへのログイン攻撃が増加しました。これは、別の記事でも述べている通り、正に、「Low and Slow」によるブルートフォース攻撃です。ブルートフォース攻撃では、DSMのログインに対して、2~3分ごとに、IDをAdminやその他考えられるIDに変更しながら、パスワードを試行してくるのです。

    今年2020の春ごろにDS918+のログを何気に見て気がついたので良かったものの、そのログから3ヶ月以上の間ひたすら2~3分毎に試行を繰り返していました。少し冷や汗が出てきます。

    この攻撃に対して、どのように対処したら良いのか、最近起こった「ドコモ口座」の内容に絡めて解説します。

    ドコモ口座の不正引き落としサイバー事件

    ドコモ口座は、簡単な手続きで広くユーザーに使ってもらうというコンセプトがあったようです。その結果、ドコモ口座の取得には本人認証がなく、偽名での口座開設が可能だったこと、更に、コンピュータからのドコモ口座へのアクセスも可能であった事から、コンピューターパワーを使ったサイバー攻撃により、口座IDとパスワードが盗まれたのではないかと推定されています。

    ドコモ口座について

    ドコモ口座は、数十もの銀行と連携しており、ドコモ口座のアプリをインストールした携帯電話などに現金を振り込み(チャージ)できます。そのチャージで簡単に決済ができる仕組みです。

    連携しているとは、ドコモ口座にログイすれば、ドコモ口座と連携している自分の銀行の口座から、ドコモ口座への入金が簡単にできてしまう事を意味します。

    日本の銀行が、二段階認証を進めているのに、連携している「ドコモ口座」が「ザル」では、セキュリティは台無しになります。ドコモ口座は、セキュリティホールになっていました。

    考えられるパスワードの漏出

    ドコモ口座の構造が分かれば、攻撃手法は想像に難しくありません。私が経験した「Synology NASに対する不正ログイン攻撃」の手法が、まず考えに浮かびます。

    そうです、2~3分おきにIPアドレスを変えながら(これを「Low and Slow」攻撃と言います)、一定のIDとその都度パスワードを変えて試行する事を、数ヶ月でも繰り返すやり方です。これをブルートフォース攻撃(あのブルートの力任せという意味)と言います。

    前回、春頃と今回、クリーンインストールした直後に攻撃された際のログを見ると規則的に試行しているのが分かります。

    あとは、類似の手法として、リバース・ブルトーフォース攻撃です。これは、パスワードを一定にその都度IDを変えて試行することを繰り返すやり方です。これらのほとんどは、攻撃に気付かれないように「Low and Slow」のやり方と合わせて攻撃してきます。最後に、参考文献では、「パスワードスプレー攻撃」というものもあるようです。少しロジックが凝っているので、ハッカー好みかもしれません。詳しくは、参考文献を確認してください。

    Synology NAS製品での対策

    Synology製品のルーターおよびNASであるRT2600acおよびDS918+では基本的に以下の対策を講じることができます。ルーターを直接攻撃あるいはアクセスしてくることは、機器の性質上から少ないのですが、それでもインターネットからのログインでルーターの管理を実施できるようにしている場合は、NASと同様の対策が必要です。Synology Routerの設定については、別の記事をご参照ください。NASの場合の設定は、「コントロールパネル」から行います。

    1. 管理者権限ユーザーの2段階認証を設定
      • 「ユーザー」画面から設定する
      • 管理者を選択して、2段階認証を有効に設定する
    2. パスワードを出来る限り長く複雑にする
      • ユーザー画面から設定する
      • 今回の「ドコモ口座の事件」では、他の銀行と同様にパスワードは4桁でした。ブルートフォース攻撃をしやすい桁数です
      • なぜなら、ドコモ口座へのログインは、パソコンを使用できるため、世界に溢れるその手のツールを使って、パスワードをハッキングする事は容易です
      • Synology NASやパソコンは、銀行口座のようにパスワードの長さ制限について、人間のレベルとしてほとんど無いと言えます。できるだけ長くして複雑にすれば、ハッキングでパスワードを盗まれるリスクは低下します
    3. 「ファイアウォール」によるIPアドレス、ポートの閉鎖
      • 「セキュリティ画面」の「ファイアウォール」タグから設定する
      • Synolgoy製品には、NASとRouterがありますが、いずれもLinux系のOSが使用されています。もちろん、Linuxはサーバーを意識した設計であり、UNIXを親に持つため、サーバー系のツールが豊富にあります。Synolgoyは、台湾の企業であり世界的な企業です。自社製品に対する最適化は日々続けています。安心して導入しましょう。
      • NASでは、今回の攻撃に対して、「ファイアウォール」の設定によって、どうにかこうにか、攻撃を退けることができました。
      • 設定としては、受け付けない「IP」、「国」、「Port」を設定(Deny}することができますが、1つの設定に15か国までしか選択することができません。すべての国を選択し終えるには、数十のルールを作りました。日本以外のすべての国をDenyにします。この設定の結果、身に見えて2~3分の間隔でのアタック間隔は長くなり数十分程度になりました。漏れもあり完全ではありません。この漏れ対策は、以下の「自動ブロック」に続きます
    4. 「DoS保護」
      • 「保護」タグから設定します
      • 「DoS保護を有効にする」をチェック
    5. 「自動ブロック」によるブロックリスト化
      • セキュリティ画面の「アカウント」タグから設定します
      • 「自動ブロックを有効にする」をチェック
      • 「ログイン回数」を10 (緊急時には1:リアルタイムでの対策時の設定、でも1でもいいかも知れません)
      • 「分以内」を1440 (長い間隔でも漏らさないため)
      • 「ホワイト/ブロック リスト」ボタンで現れる画面から、「ブロックリスト」タグを開くと、自動で登録されたブロックIPアドレスを確認できます。このリストはエクスポートして、別のNASにインポートしておきましょう
      • ホワイトリスト」タグでは、ローカルのアドレスを設定しておきましょう。いざという時に、ローカルでのログインができるように。
      • 漏れたIPアドレスは、自動的に「ブロックリスト」に登録されますが、この設定の結果、「ファイアウォール」の設定により、70余りのIPアドレスがブロックリストに登録されました。その後、数日間続いたDSMへのログイン攻撃は、全く無くなりました
      • 自分の操作として出先から、DSMへのログインを上記の設定を超えて失敗した場合、自分の通信事業者のIPアドレスがブロックリストに追加されてしまい、出先からのログインができなくなります。その場合の対処方法は以下の通りです
        • 自宅に帰ってから、ホワイトリストに登録していローカルアドレスでログインして、ブロックリストから、おそらく通信事業者は日本のはずなので、日本を目当てにプロックされている項目を探して解除する。その他自分に関連するものも解除する
        • 出先からは、VPNに接続してローカルアドレスでログインして、上記の内容と同様に解除します
    6. もしもSynology Routerを使用しているなら、「Threat Invension」は是非導入すべきです。もちろん「ファイアウォール」も設定することもできます。
    [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは ID3801

    参考文献

    「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は

    https://www.itmedia.co.jp/news/articles/2009/09/news048.html

    「ブルートフォース攻撃」と「リバースブルートフォース攻撃」の違い

    https://wa3.i-3-i.info/diff312attack.html

    パスワードスプレー攻撃とは?仕組みと被害の特徴、対策方法について徹底解説, 2019 – CyberSecurity.com –

    1) ブルートフォース攻撃とリバース・ブルートフォース攻撃 : ブルーとフォース攻撃とは、あるIDに対して、総当たりのパスワードを入力して当たりを探す、力任せの攻撃。転じて、リバースが付くリバース・ブルートフォース攻撃は、パスワードを固定してして、IDを総当たりで行ってくる攻撃

    2) パスワードスプレー攻撃 : 同じパスワードで、同時に多数のアカウント(ID)に対して、不正アクセスを試みる攻撃

    3) Low and Slow攻撃 : 攻撃もとのIPアドレスを一回一回変えながら、しかも、数分の間隔を空けて、不正アクセスを試みる攻撃の手法。ブルートフォースなどの攻撃手法と組み合わせて攻撃してくる

    https://cybersecurity-jp.com/column/30629

    まとめ

    Synology NASの不正ログイン試行への対策について解説しました。レンタルサーバーを使わない茨の道を選んだのですから、頑張って地道に確実に行きたいものです。

    編集履歴

    2020/09/11 はりきり(Mr)
2020/12/31、追記 (自分がログインを何度も失敗してブロックされた場合の対処方法)