カテゴリー: Synology

Synology NASについてハード/ソフトの投稿

[Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]
Post Views: 1,248
ID22342
はじめに
これまで、DS918+を導入しblogを公開してから1年程度のサーバー管理をしてきましたが、アドレスを公開する前後では、サイバー攻撃を受ける割合が相当増えました。
WordPressへのログインは、ログを取っていない(何かいいプラグインがあるかも知れません)のでわかりませんが、DSMへのログイン攻撃が増加しました。これは、別の記事でも述べている通り、正に、「Low and Slow」によるブルートフォース攻撃です。ブルートフォース攻撃では、DSMのログインに対して、2~3分ごとに、IDをAdminやその他考えられるIDに変更しながら、パスワードを試行してくるのです。
今年2020の春ごろにDS918+のログを何気に見て気がついたので良かったものの、そのログから3ヶ月以上の間ひたすら2~3分毎に試行を繰り返していました。少し冷や汗が出てきます。
この攻撃に対して、どのように対処したら良いのか、最近起こった「ドコモ口座」の内容に絡めて解説します。
ドコモ口座の不正引き落としサイバー事件
ドコモ口座は、簡単な手続きで広くユーザーに使ってもらうというコンセプトがあったようです。その結果、ドコモ口座の取得には本人認証がなく、偽名での口座開設が可能だったこと、更に、コンピュータからのドコモ口座へのアクセスも可能であった事から、コンピューターパワーを使ったサイバー攻撃により、口座IDとパスワードが盗まれたのではないかと推定されています。
ドコモ口座について
ドコモ口座は、数十もの銀行と連携しており、ドコモ口座のアプリをインストールした携帯電話などに現金を振り込み(チャージ)できます。そのチャージで簡単に決済ができる仕組みです。
連携しているとは、ドコモ口座にログイすれば、ドコモ口座と連携している自分の銀行の口座から、ドコモ口座への入金が簡単にできてしまう事を意味します。
日本の銀行が、二段階認証を進めているのに、連携している「ドコモ口座」が「ザル」では、セキュリティは台無しになります。ドコモ口座は、セキュリティホールになっていました。
考えられるパスワードの漏出
ドコモ口座の構造が分かれば、攻撃手法は想像に難しくありません。私が経験した「Synology NASに対する不正ログイン攻撃」の手法が、まず考えに浮かびます。
そうです、2~3分おきにIPアドレスを変えながら(これを「Low and Slow」攻撃と言います)、一定のIDとその都度パスワードを変えて試行する事を、数ヶ月でも繰り返すやり方です。これをブルートフォース攻撃(あのブルートの力任せという意味)と言います。
前回、春頃と今回、クリーンインストールした直後に攻撃された際のログを見ると規則的に試行しているのが分かります。
あとは、類似の手法として、リバース・ブルトーフォース攻撃です。これは、パスワードを一定にその都度IDを変えて試行することを繰り返すやり方です。これらのほとんどは、攻撃に気付かれないように「Low and Slow」のやり方と合わせて攻撃してきます。最後に、参考文献では、「パスワードスプレー攻撃」というものもあるようです。少しロジックが凝っているので、ハッカー好みかもしれません。詳しくは、参考文献を確認してください。
Synology NAS製品での対策
Synology製品のルーターおよびNASであるRT2600acおよびDS918+では基本的に以下の対策を講じることができます。ルーターを直接攻撃あるいはアクセスしてくることは、機器の性質上から少ないのですが、それでもインターネットからのログインでルーターの管理を実施できるようにしている場合は、NASと同様の対策が必要です。Synology Routerの設定については、別の記事をご参照ください。NASの場合の設定は、「コントロールパネル」から行います。
1. 管理者権限ユーザーの2段階認証を設定
  - 「ユーザー」画面から設定する
  - 管理者を選択して、2段階認証を有効に設定する
2. パスワードを出来る限り長く複雑にする
  - ユーザー画面から設定する
  - 今回の「ドコモ口座の事件」では、他の銀行と同様にパスワードは4桁でした。ブルートフォース攻撃をしやすい桁数です
  - なぜなら、ドコモ口座へのログインは、パソコンを使用できるため、世界に溢れるその手のツールを使って、パスワードをハッキングする事は容易です
  - Synology NASやパソコンは、銀行口座のようにパスワードの長さ制限について、人間のレベルとしてほとんど無いと言えます。できるだけ長くして複雑にすれば、ハッキングでパスワードを盗まれるリスクは低下します
3. 「ファイアウォール」によるIPアドレス、ポートの閉鎖
  - 「セキュリティ画面」の「ファイアウォール」タグから設定する
  - Synolgoy製品には、NASとRouterがありますが、いずれもLinux系のOSが使用されています。もちろん、Linuxはサーバーを意識した設計であり、UNIXを親に持つため、サーバー系のツールが豊富にあります。Synolgoyは、台湾の企業であり世界的な企業です。自社製品に対する最適化は日々続けています。安心して導入しましょう。
  - NASでは、今回の攻撃に対して、「ファイアウォール」の設定によって、どうにかこうにか、攻撃を退けることができました。
  - 設定としては、受け付けない「IP」、「国」、「Port」を設定(Deny}することができますが、1つの設定に15か国までしか選択することができません。すべての国を選択し終えるには、数十のルールを作りました。日本以外のすべての国をDenyにします。この設定の結果、身に見えて2~3分の間隔でのアタック間隔は長くなり数十分程度になりました。漏れもあり完全ではありません。この漏れ対策は、以下の「自動ブロック」に続きます
4. 「DoS保護」
  - 「保護」タグから設定します
  - 「DoS保護を有効にする」をチェック
5. 「自動ブロック」によるブロックリスト化
  - セキュリティ画面の「アカウント」タグから設定します
  - 「自動ブロックを有効にする」をチェック
  - 「ログイン回数」を10 (緊急時には1:リアルタイムでの対策時の設定、でも1でもいいかも知れません)
  - 「分以内」を1440 (長い間隔でも漏らさないため)
  - 「ホワイト/ブロックリスト」ボタンで現れる画面から、「ブロックリスト」タグを開くと、自動で登録されたブロックIPアドレスを確認できます。このリストはエクスポートして、別のNASにインポートしておきましょう
  - 「ホワイトリスト」タグでは、ローカルのアドレスを設定しておきましょう。いざという時に、ローカルでのログインができるように。
  - 漏れたIPアドレスは、自動的に「ブロックリスト」に登録されますが、この設定の結果、「ファイアウォール」の設定により、70余りのIPアドレスがブロックリストに登録されました。その後、数日間続いたDSMへのログイン攻撃は、全く無くなりました
  - 自分の操作として出先から、DSMへのログインを上記の設定を超えて失敗した場合、自分の通信事業者のIPアドレスがブロックリストに追加されてしまい、出先からのログインができなくなります。その場合の対処方法は以下の通りです
    自宅に帰ってから、ホワイトリストに登録していローカルアドレスでログインして、ブロックリストから、おそらく通信事業者は日本のはずなので、日本を目当てにプロックされている項目を探して解除する。その他自分に関連するものも解除する
    出先からは、VPNに接続してローカルアドレスでログインして、上記の内容と同様に解除します
6. もしもSynology Routerを使用しているなら、「Threat Invension」は是非導入すべきです。もちろん「ファイアウォール」も設定することもできます。
[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは ID3801
参考文献
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた？　専門家の見解は
https://www.itmedia.co.jp/news/articles/2009/09/news048.html
「ブルートフォース攻撃」と「リバースブルートフォース攻撃」の違い
https://wa3.i-3-i.info/diff312attack.html
パスワードスプレー攻撃とは？仕組みと被害の特徴、対策方法について徹底解説, 2019 – CyberSecurity.com –
1) ブルートフォース攻撃とリバース・ブルートフォース攻撃 : ブルーとフォース攻撃とは、あるIDに対して、総当たりのパスワードを入力して当たりを探す、力任せの攻撃。転じて、リバースが付くリバース・ブルートフォース攻撃は、パスワードを固定してして、IDを総当たりで行ってくる攻撃
2) パスワードスプレー攻撃 : 同じパスワードで、同時に多数のアカウント(ID)に対して、不正アクセスを試みる攻撃
3) Low and Slow攻撃 : 攻撃もとのIPアドレスを一回一回変えながら、しかも、数分の間隔を空けて、不正アクセスを試みる攻撃の手法。ブルートフォースなどの攻撃手法と組み合わせて攻撃してくる
https://cybersecurity-jp.com/column/30629
まとめ
Synology NASの不正ログイン試行への対策について解説しました。レンタルサーバーを使わない茨の道を選んだのですから、頑張って地道に確実に行きたいものです。
編集履歴
```
2020/09/11 はりきり(Mr)
2020/12/31、追記 (自分がログインを何度も失敗してブロックされた場合の対処方法)
```
2020年9月11日

[Synology製品紹介] NVR DVA3219 – 顔認識システム – これからのセキュリティ対策は、中小企業でも顔認識も可能かも [2020/09/10]

Post Views: 502

NVR DVA3219

NVR DVA3219は、Synology Surveillance Stationのビデオ管理システムを構築するNASキットの推奨モデルです。顔認証におけるディープラーニングは、セキュリティ管理、顧客対応などに威力を発揮します。

個人的なアイデアでは、顔認証により会社の通用門(単にドアの鍵を開錠する)を開けるなどのセキュリティ対策を安価にできればいいなと思います。最近は物騒な事件もあります。部外者を容易に入れない方法、後々の録画確認などが容易にできる、バカンチョンなシステムであれば、毎日シームレスで、かつ、取り立てて追加の作業の無いスマートなシステムができればいいなと思います。

顔認識
Synology Surveillance Station のビデオ管理システムを、学校、企業、その他の業界の顔認識ツールと組み合わせて使用し、新しい監視方法を通じてセキュリティの全体的なレベルを向上させます。
https://www.synology.com/ja-jp/solution/surveillance_face_recognition

用途

処理能力 : 入口や出口など、オフィスの交通量の多いエリアを監視できます
顔データベースに無い場合の警告 : 従業員以外が事務所に進入すると、システムは自動的に通知を作成して管理者に警告できます
従業員情報の管理 : Synology の顔認識を使用して従業員情報を簡単に管理できます
顔データベースの一括インポート機能 : 管理者は、手動で、またはローカル DSM またはドメイン/LDAP から、従業員情報を顔データベースにまとめてインポートできます
新規登録機能 : サイトに現れる顔を登録します。セキュリティ担当者は、顔の写真を使用して一致する人物を探し、データベース内の情報を表示できます
ブラックリスト機能 : ブラックリストに登録された人がオンサイトで特定されたら、セキュリティ担当者に直ちに通知を受け取るためのアラートを設定できます。万引き対策にも使用可能です
お得意様来訪通知機能 : VIP のプロファイル (名前、好みなど) を登録し、到着時にサービス担当者に通知します

セキュリティ

機密性の高い動画ファイルをローカルに保存しているためセキュリティ性が高い
個人データの管理は、セキュリティが高いDSMによるログイン管理で特定の担当者しか閲覧ができません
システム・ログには、すべての操作が記録されます

コスト

NVR DVA3219とカメラを購入すれば、追加のライセンスは必要ありません

システム構築

NVR DVA3219
- API 対応 : Surveillance Station は、Synologyが提供する API ファイルでサードパーティの製品やサービスと簡単に統合できます
IPカメラ
- 簡単統合 : 7,500種類のIPカメラに対応し、既存のカメラにビデオ解析機能を簡単に追加できます
HDD(できれば4 x HDDでRaid 5)
メモリ(できれば追加)

用途

Synology Surveillance Station のビデオ管理システムを、学校、企業、その他の業界の顔認識ツールと組み合わせて使用し、新しい監視方法を通じてセキュリティの全体的なレベルを向上させます。
既定のウォッチリストのユーザーが検出されると、適切なアクションを実行するように管理者に通知するイベント通知が送信される
NISTの顔認識ベンダーテストの WILD カテゴリで 97.04% の精度を誇るユニークなディープラーニングアルゴリズムを採用

管理方法

Webブラウザ
Survaillance Station (Windows デスクトップアプリ)

能力

GPUは、NVIDIA GTX 1050 Ti
同時に4つのリアルタイム分析
32台のカメラ接続
拡張ドライブは、2 x DX517で合計14台接続可能

表1. NVR DVA3219の仕様

項目	説明
CPU	Intel Atom C3538, 64-bit, クアッドコア 2.1 GHz
ハードウェア暗号化エンジン	AES-NI
GPU	NVIDIA GeForce GTX 1050 Ti (デスプレイ出力不可)
メモリ	4 GB DDR4 x 1 (スロット x 2)、最大 32 GB (16 GB x 2)
ドライブ	4
拡張ユニット	DX517 x 2台接続可能 (5 x 2 =10追加)
外部ポート	USB 3.0 x 3 eSATA x 2 COM x 1
電源	250 W, 100V から 240 V ACへ
消費電力	アクセス時 (53.78W), HDD ハイバネーション時 (34.01W)
保証	3年

以上

編集履歴
2020/09/10 Mr.HARIKIRI

2020年9月10日

[Synology] フルスペック化した DS918+ / DSM更新ができずクリーンインストールを余儀なくされたが、なんとか復旧に至るまでの道程 -[2021/03/06]
Post Views: 920
ID22058
はじめに
前回までに、導入初期にはDS918+を最小構成で立ち上げ、その後、予算と暇にまかせてフルスペックにしてきました。本サイトのWordPressによるblog配信やホームサーバーとして、しばらく安定稼働させていました。
最近、安定稼働への不安要素が出てきました。それは、DiskStation Manager (DSM)のバージョンアップがあり、更新をしようとするとディスクスペースが不足するとのメッセージが出て更新を受け付けてくれない事です。このままアップデートできない場合、セキュリティ問題を少ならかず抱えてしまいます。
[Synology] DS918+ 初期導入時にはJBOD HDD、その後、メモリ増設・SSDキャッシュ増設・HDD追加でRAID 5によりフルスペック化 — アプリ/ツール構成 [2021/08/28] ID33
- コントロールパネルのDSM更新画面を確認すると
- 状態が、「DSM 6.2.3-25426をダウンロードできます。」となっていた
- ダウンロードは正常に完了した
- 状態が、「今すぐアップデートする」に変わった
- アップデータを開始すると、確認画面が出るので、「はい」で開始した
- 開始した途端、すぐに「このシステムでの利用可能なドライブ　スペースが不足しています。」の表示が出て更新作業が中断された
図1. DSMの更新ができない
その後、なんとかしてDSMの更新作業ができないかSynologyのサポートを求めたり、ネットで調べたり(*)しましたが、結局は、以下のように、自力でクリーンインストールをすることにしました。問題があったバージョンは以下の通りです。
```
(*) 因みに、ネットで情報を得るには、原文を読まないといけません。英語を翻訳していたりすると、さっぱり意味がわからないことが多いです。Synologyサイトにしても原文は英語です。Synology関連の日本語の説明を読んでもよく分からないことがあります。そんな時は、英語の原文にあたります。
```
- マシン : DS918+
  - 16 GB メインメモリ(8GB x 2 * ), RAID5
  - 8TB HDD x 4 (WD RED)
  - SSD Cache 512 GB x 2 (WD), 読み書き
- 旧バージョン : 6.2.2-24922 Update
- 新バージョン : 6.2.3-25426
概要
Synologyのサポートセンター
図2. Synology サポートサービス
先ず、Synologyのサポートを利用(2020/06/05)しました。DSMにログインして「サポートセンター」から状況をテキストで記載して送信すると、数日するとemailに返事があり、状況をよく理解するために写真を送れと指示がありました。
- エラ〜メッセージのスクリーンショット
- ログ (debug.dat) : 「サポートセンター」の「サポートサービス」の「ログ作成」で「システム」をクリックして「ログ作成」をクリックすると、debug.datがダウンロードされる
iPadの録画機能を使って、DSM更新する様子として、更新ができないと表示されるまでので様子を録画して、Synology オフィシャルページ・サポートから添付し返信しました。サポートからの提案としては、サポートがログインして作業する案が提案されていましたが、少し躊躇しました。一時的にであってもです。
提案内容
リモートアクセスの情報提供の方法
1. 「メインメニュー」をクリックします。
2. 「サポートセンター」をクリックします。
3. 「サポートサービス」をクリックします。
4. 「リモートアクセスを有効にする」のチェックボックスにチェックし、「適用」をクリックします。
  - ※リモートアクセスの有効期限内であることを確認します。
5. 表示される「サポートIDキー」と「adminのパスワード（一時的パスワードに変更）」を当チケットに記載し、ご連絡ください。
  - 2段階認証が有効の場合は、当検証が完了するまで「無効」としてください。
いくらSynoloygと言っても、ネットに招待すること、しかも、管理者権限でのアクセスはセキュリティ上難しいと思いました。
数日考えた結果、その返事は保留して、クリーンインストールを含め自力で解決する方・対策を考えることにしました。
Synology テクニカルサポートとのやりとり期間は、2020/06/05~2020/06/11でした。06/15には、Synology Online Support Surveyがemailに来ました。もちろん、私は、サポートの提案から”逃げた” ので、サーベイすることはありませんでした。
方針はクリーンインストール
Linux関連でそれらしい記事を見つけることはできましたが、DSMがいくらLinuxを元にしていると言っても、Synologyがカスタマイズしているため、やはり別物であり、その成り立ちは同一ではないと思われました。この時点で、クリーンインストールを念頭に、考え始めました。以下は取り進めた概要です。
1. データバックアップは、Hyper Backupを使用します。共有フォルダ、インストールしたパッケージのアプリ、など全てをバックアップします。外付けUSB HDDでも、別のSynology NASのドライブでも可能です。
2. 対象としているSynology NASをWebブラウザから見つけられるか確認する
3. Synology NASをリセットして初期状態に戻す
4. 再導入したDSMでの初期設定 (別途詳細に説明しています)
以下に、上記概要の詳細を示しました。
1. バックアップ
できるだけ全てのDS918+にある情報をバックアップして、それから、クリーンインストールする戦略としました。
日頃から「Hyper Backup」と「Snapshot Replication」で主要なバックアップを定期的に行っているため、バックアップ体制の構築はしないで済みました。
今回は、Snapshot Replicationは使用しません。Hyper Backupのバックアップ機能とリストア機能で対応します。
Hyper Backupでは、基本的にDS918+の外付けUSB HDDにバックアップしています。クリーンインストールの際には、その方がアクセスしやすいです。Hyper Backupでのバックアップについては、以下の記事をご参考にしてください。
Hyper Backup のバックアップデータを .hbk ファイル形式で表示および復元する方法 – Synology Site –
https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/Backup/How_to_browse_and_restore_Hyper_Backup_backup_data_in_hbk_file_format
[Synology] NAS (DS918+/DS920+)のバックアップを考える – システム構成は「Hyper Backup」、「Snapshot Replication」および「Synology Drive」- Smartプラグによる外付けHDDケース電源の管理によるセキュリティ向上、最後にシステムコンフィグレーション /クラウドバックアップも考え [2023/11/15] ID3778
Hyper Backupの設定でバックアップに漏れがないかどうか、チェックを行い漏れている項目(システムアプリ、共有フォルダ)を追加して、最新のバックアップを取りました。
因みに、バックアップに時間がかかったのは、どうでもいいはずの「スプラツーン2のプレイ録画ファイル」でした。1TB近くあったため、あれやこれやとやり直したりして、1週間以上かかりました。いざ、そのデータの価値を考えた時に、数年の記録であることを考えると、どうでもいいはずのデータが価値を持っていることに気づきました。自己満足です。
2. 前準備 – Synology NASを見つけられるか
Hyper BackupによるDS918+全体のバックアップを完了したと判断(*)した後、以下の手順でクリーンインストールを実施しました。
```
* 当初は、クリーンインストールした後、リストアしてデータの復元具合を確認しておらず、思い通りのバックアップが、なされたのかどうかは分かりませんでした。実は、「暗号化」を解除していないと共有フォルダは、バックアップされていませんでした。それはそうなりますね、暗号化を解除しないとフォルダそのものが見えないからです。別途、暗号化を解除した状態で、WindowsのRobocopyによりバックアップ(Hyper Backupによる)のバックアップ(Robocopyによる)をとっていました。よかったです。全てはミスの可能性があります。そのためのリカバリーが大事であるということでしょうか。
```
- クリーンインストール後に、DS918+を見つけられるか確認します。Web ブラウザに「find.synology.com」を叩いて、現在のローカルネットワークに繋がっているSynology製品を表示されるか確認します。その他の確認手段として、「Synology Assistant」というアプリもあります。
3. NASのリセット
1. DSMにログイン
2. 「コントロールパネル」→「リセット」
3. 「すべてのデータを消去」をクリック
4. 確認ダイアログが表示されます。チェックボックスにチェックして「すべてのデータを消去」をクリック
5. パスワード入力が促されます
6. パスワードを入力して「送信」をクリック
7. 「DiskStationが再起動しています再起動が完了したら、Synology Assistantを使用してDiskStationを検索して接続します。」と表示が出ます
図3 ドライブ初期化の手順
4. クリーンインストール
1. Webブラウザから「find.sysnology.com」をたたく
2. 検索中の表示が出て、数十秒待つと画面が切り替わり、左上に「Web Assistant」と表示され、製品の写真が現れる
3. 複数台のSynology製品をネットに繋がっていれば、スクロールさせて、目的のクリーンインストールしたいDS918+を探す
4. 見つけたDS918+をクリック
5. ダイヤログが現れる「Synologyエンドユーザーライセンス合意書」。同意にクリックして「OK」をクリック
6. 「ようこそ！」画面となるので、「設定」をクリック
7. 「DiskStation Manager (DSM)をインストール」画面が現れる。インストールしたいHDDであることを確認しつつ「今すぐインストール」をクリック
8. データが削除されることの注意のダイアログが現れるので、チェックボックスにチェックして、「OK」をクリック
9. 「DiskStation Managerのインストール」画面が現れ、%表示が出て、初期化中 → システムパーティションのフォーマット → ダウンロード中 → DiskStation Managerのインストールと、表示が変わっていく
10. 「DiskStationを再起動しています」画面が現れる。10分間のカウントダウンです。
11. QuickConnectの設定もWeb Assistantから行います。
12. 「すべての設定が完了しました!」が表示されます。
13. 「私のSynologyデバイスのネットワーク位置を共有して、私がそれをfind.synoloyg.com経由で見つけることを許可します。私はサービス規約を読み同意します。そしてプライバシーに関する声明を承諾します。」のチェックボックスは、チェックしませんでした。「移動」をクリック。
  因みに、ホームネットワークからは、「find.synology.com」は機能するようです。
14. 以上で、クリーンインストールは完了です。DSM画面が現れます
15. 初期のDSM画面では、いくつかの初期チュートリアルがあります。指示の通りクリックして終了です。DSMは使用可能になました。
図4 DSMのインストール終了後の最初のログイン
再導入したDSMでの初期設定
システム設定
Hyper Backupのバックアップからリストア*しました。リストアするには、Hyper Backupをインストールして、先ずは、バックアップファイルと再リンクする必要があります*。また、システムの設定については、Hyper Backupでもバックアップされないので、再構成することはできません。
再導入したDSMから、再度設定する必要があります。具体的には、二段階認証やDoS保護など、特にセキュリティの設定がデフォルトになっていまいます。仕方がないので、以下のように特に重要な項目について再設定しておきます。
* Synologyサーバ間のバックアップとリストア – ホームNW研究所-
いつもお世話になっているblogerさんのページです。リストア方法の詳細が説明されています。Hyper Backupによるバックアップ先のSynology NASに必要なrsyncの設定、または、Hyper Backup Vaultをインストールする必要性についても解説されています。
https://nw.myds.me/wordpress/howto-wpbackup1/
「コントロールパネル」の「セキュリティ」
セキュリティ
- 「サイト間のリスクスト偽造攻撃からの保護を強化する」にチェック
- 「HTTP Content Security Policy(CSP)ヘッダーでセキュリティを強化する」をチェック
- 「iFrameでDSMが埋めこられないようにする」をチェック
- 「システムの再起動に伴い保存したユーザーログイン　セッションがすべてクリアされます」にチェック
- 「現在のIPが変更されたら、DSMデスクトップ上に通知を表示」にチェック
ファイヤーウォール
- このマシンを目掛けて2分に1回程度の不正アクセスが、各国踏み台を利用して仕掛けてきているので、これを玄関払いしてもらいます
- 最初、日本を許可を設定ししましたが、これでは、外国をブロックしてくれませんでした
- そこで、日本以外の国全てをDSMログインを拒否する設定とします。一件につき15か国までしか登録できないので、地道に全ての国を拒否として登録しました(日本を除く)(図5)
- リアルタイムに不正アクセスの攻撃のさなか、この設定が完了した直後から、DSMログインはぱったりなくなったことを確認できました(図6)。
図5 ファイヤウォール設定の様子
図6 設定によってブラックリストに自動的に登録される
保護
- 「保護」の「DoS保護を有効にする」をチェック
アカウント
- 自動ブロック
  - 「自動ブロックを有効化する」をチェック : 同一のIPアドレスからのエラー数でブロック
    「ログイン回数」を10
    「分以内」を1440
  - 「ホワイトリスト/ブロックリスト」から、ホワイトリストを作成 : 許すIPアドレス
    個別のIPの設定
    フザネットの設定
    IP範囲で設定
- アカウント保護
  - 「アカウント保護を有効化」をチェック
  - 「信頼されていないクライアント」も「信頼できるクライアント」のいずれも以下の設定にする
    「ログイン回数」:10
    「分以内」: 60 (<1000)
    「プロック解除」: 30
RAID5へ再設定
クリーンインストールによりRAID設定は無効になっています。ストレージマネージャから作業します。
1. 「ストレージマネージャ」の「ボリューム」に移動
2. 「作成」をクリックして、ボリューム作成ウィザードを開く
3. 「カスタマイズ」を選択し「次へ」をクリック
4. 「ストレージプールを選択」画面から「新しいストレージプールを作成」を選択し、「次へ」をクリック
5. 「ストレージプールのタイプを選択」画面から「より良いパフォーマンス」を選択し、「次へ」をクリック
6. 「ストレージプールのプロパティを構成」画面からRAIDタイプを「RAID5」を選択し、「次へ」をクリック
7. 「ディスクの選択」画面から、4つの全てのドライブが選択されていることを確認し、「次へ」をクリック
8. 「警告」画面が現れ、データの消去についてアラートされるので、「OK」をクリック
9. 「ファイルシステムを選択」画面から「Btrfs」(Snapshot Replicationの機能を利用するために必要です)を選択し、「」をクリック
10. 「ボリュームの容量の割り当て」画面が現れます。必要があれば、説明を記入し、「次へ」をクリック
11. 「設定の確認」画面が現れます。確認できれば、「次へ」をクリック
12. 「ストレージマネージャ」の「ストレージプール」画面が現れます。ステータスが「作成しています」になり、100%になると完了です。最初の投稿で記事にしたように、DS918+を最初にRAID5に設定した歳は、100%になるまで、丸3日を要しました。今回も、3日間を覚悟していましたが、丸1日で処理は完了していました。
13. ストレージマネージャのRAID5設定をしている間を活用してで、パッケージセンターからアプリをインストールしました(以下に続く)
図7 ボリューム1にRAID5を構築中の様子
SSDキャッシュの再設定
SSDの設定も必要です。今回、あらためて設定したRAID5へのリンクが切れているためです。この設定は、RAID5の設定処理が完了してから実施しました。RAID5設定途中でも可能かもしれません。
図8 割り当てがないSSDキャッシュをボリューム1のRAID5に再度割り当てる
HDDハイバネーション
RAIDシステムは常時稼働状態にするのが普通です。頻繁な電源の入り切りよりは、常時ONの方が安定稼働には良いようです。クリーンインストールの後は、「HDDハイバネーション」が有効になっているので、無効にしておきます。
コントロールパネルのハードウェアと電源の「HDDハイバネーション」で設定します。
図9 HDDハイバネーションを無効に設定
パッケージセンターからのアプリのインストール
ストレージマネージャがRAID5の設定をしている間を活用して、以下の主なアプリをインストールしました。後に実施するリストアで、設定内容を上書きし戻します。
基本的に各ホームサーバーのそれぞれのクライアントの設定は、Synologyのホームサーバー関連のサーバーでは、port/port転送で設定したportを使用します。Plex Serverでは、32400に固定されています。
付け加えて、port設定に関わることで重要な設定項目は、firewallの設定です。そのアプリをallowに設定します。
もしも、RT2600acルーターを使用していてUPnPによりport転送ルールが自動的にしている場合は、その関連するportのinternet側のport番号を確認しておく必要があります。
最後に、2段回認証を有効にしていても、各クライアントでの1回目のログイン設定の時に「デバイスを覚える」を設定すれば、その後ログインで「ワンタイムパス」を聞かれることはありません。
- Hyper Backup
- Hyper Backup Vaults
- Plex
  - マルチメディア・ファイルをどんなフォーマットでも対応したサーバーです。クライアントは、有料ですが、ネットの外から閲覧が可能になります。
  - 元のPlexサーバーではなく、新たなPlexサーバーになってしまったようです。以前のDS918+にあったPlexサーバーは「オフライン」で使用不可になっていました。
  - 新しいPlexサーバーと思われるサーバーには、メディアファイルが1つもありませんでした。クリーンインストールしたDSMにPlexサーバーをインストールしてしまったせいかも知れません。リストアで設定が上書きされると思っていましたが、以前のPlexサーバーと新規にインストールしたPlexサーバーが別物扱いになってしまうためと思われます。
  - メディアファイルをリストアした後、あらためてメディアのデータベースを作ることにして、データベースを復旧することは諦めました。
- Note Station
  - WindowsのOneNoteみたいなことができますが、もちろん、機能は、OneNoteの方が高いです。
  - iOSアプリ(DS note)
    address: port
    portは、外部からのDSMログイン時と同じ
    user id
    pass word
- Photo Station
  - 保管した写真を鍵付きで共有したり、動画をYouTubeにアップしたりできます
  - iOSアプリ(DS photo)
    address:port
    postは、外部からのDSMログイン時と同じ
    user id
    pass word
- Audio Station
  - 音楽ファイルをストリーミングできます。iTunesで購入した音楽ファイルを登録しています。外からアクセスかのです
  - iOSアプリ(DS audio)
    address:port
    postは、外部からのDSMログイン時と同じ
    user id
    pass word
- Video Station
  - Synology製の動画サーバーです
  - iOSアプリ(DS audio)
    address:port
    postは、外部からのDSMログイン時と同じ
    user id
    pass word
- メディアサーバー
  - Video Stationの動画データベースと統合して、機能拡張した動画サーバーです
  - UPnP/DLNA対応のテレビで視聴ができます。我が家では、東芝の古いRegza RE1があります。テレビにDS918+のメディアサーバーを表示させます。動画を再生させるためには、テレビにあったMIMEタイプの設定が必要なので、バカチョンで再生できない場合、テレビでの視聴についてはハードルが高くなります。
- Moments
  - 写真のストックと表示アプリです。iPad用のMomentsからDS918+にバックアップします
  - シーンを自動で作成して表示してくれます
  - iOSアプリ(Synology Moments)の設定
    address:port
    postは、外部からのDSMログイン時と同じ
    user id
    pass word
  - 注意点
    アップロードでは、MOVファイルはエラーが発生して、一時停止します
    その他、停止したまま動かなくなるファイルがあります。
    安定するバージョンアップが出るまで、無効化することにしました。
リストア
Webブラウザから「find.sysnology.com」をたたいて、クリーンインストールしたDS918+にログインします。その後、各システム設定を確認します。Adminが無効になっていることや、管理者権限のユーザーの設定です。以下の操作が必要ですが素早く、バックアップからリストアして、管理者などのシステム設定を元に戻す方法でも構いません。これは、セキュリティ対策の一環です。
Hyper Backupのインストール
DSMのパッケージセンターから、「Hyper Backup」をインストールします。ついでに、「Hyper Backup Vault」もインスーとるしておきます。Synology製品間でのHyper Backupによるリモートバックアップに必要なパッケージです。
Hyper backupからリストア
関連付け
クリーンインストールしたDSMに改めてインストールしたHyper Backを、以下のようにバックアップに関連付けします。
1. File Stationを使って、バックアップしたファイルが、どの外付けUSB HDDにあるかを確認します
2. Hyper Backupを起動します
3. 左下の「＋」をクリック
4. 「データバックアップタスク」を選択
5. 「バックアップウィザード」画面が現れる。左上のにあるSynologyの「ローカルフォルダ & USB」を選択し、「次へ」をクリック
6. 「バックアップ先の設定」画面が現れる。「既存のタスクに再リンク」を選択する。
  - 「共有フォルダ」には、前述で確認したバックアップファイルがのあるフォルダを選択(今回は、外付けUSB HDD)
  - 「ディレクトリ」には、拡張子「hbk」のある該当するファイルを選択
7. 「次へ」をクリック
8. 確認画面が現れるが、「はい」をクリック
9. 「データバックアップ」画面が現れる。
10. 「フォルダ」及び「アプリケーション」は、何も選択せず、「次へ」でどんどん進んでデフォルト設定のまま完了させる
11. 作成できたタスクは、Hyper Backupの左メニューに表示される。
リストア
関連付けされたタスクを使って、リストアを実行します。
1. Hyper Backupの左下の「時計のマーク」を選択し「データ」を選ぶ
2. 「復元タスクの選択」画面が現れる。先ほど再リンクしたタスクを選択し、「次へ」をクリック
3. 「システム設定」画面が現れる。「システム設定情報を復元する」をチェック(全システム構成)し、「次へ」をクリック
4. 警告ダイアログが現れるが、「はい」をクリック
5. 「データの復元」画面が現れる。全ての「フォルダ」を選択し、「次へ」をクリック
6. 「アプリケーションの復元」画面が現れる。全ての「アプリケーション」を選択し、「次へ」をクリック
7. 確認画面が現れるが、「はい」をクリック
8. 「データ復元サマリ」画面が現れる。確認して「適用」をクリック
9. 「復元状況」画面が現れる。各タスクが%表示される。
10. 以上で、処理が終了すればリストアは完了です。
まとめ
DS918+は、度重なるパーツの追加でフルスペックに仕立て上げ、blog配信やホームサーバーとして安定稼働させていました。しかし、DSMの新バージョン(6.2.3)への更新は、容量不足が原因ということで、古いバージョンのDSMでの運用が続いていました。新バージョンへの更新までのセキュリティに不安がありました。その間、Synologyのサポートパスに相談したり、ネットで解決策について情報を収集したりしてきました。意を決してクリーンインストールによる新パージョンのDSM 更新とシステム復旧を覚悟してDS918+の再構築を断行することができました。
以上、参考になれば幸いです。はりきり(Mr)
編集履歴
```
編集履歴v^^)
2020/09/05 HARIKIR(MR)
2020/09/06 追記(写真を追加)
2020/09/07 追記(ファイヤーフォールの設定によるDSMからの不正アクセスを拒否する設定)
2021/03/06 追記 (リストア関する概説 - 詳細は「ホームNW研究所」へのリンク)
```
2020年9月5日

[Synology] 高速WiFiルーター RT2600ac – 独自VPN Plus Server – 海外からのアクセスには独自のSSL VPNが高速、19のライセンスを無償で追加 [2022/06/16]

Post Views: 480

はじめに

VPN clientでVPN serverに接続すると、そのVPN serverで設定されたローカルのIPアドレスが与えられます。そうすることで、Internetにアクセスする場合、そのローカルIPからルーターのグローバルIPを窓口としてアクセスすることになります。すなわち、ローカル環境を手に入れたことになる訳です。

VPN提供業者のサービスでは、仮装ロケーション、位置情報の隠蔽などが可能と謳っていますが、この原理は、VPN接続したクライアントのIPアドレスが、サーバーのIPアドレスになるためです。VPNサーバーがアメリカにあれば、そのアメリカのIPアドレスがクライアントのIPアドレスになります。複数の国にVPN serverを持っているVPN提供業社では、それに応じたグローバルIPアドレスの取得が可能なようです。

SynologyのVPN Plus Serverは、L2TPやOpen VPNなどに対応していますが、やはり、VPN Plus独自のSSL VPNは、L2TPよりも通信速度は高速でした。

SSL VPNの使用をお勧めします。

因みに、VPN提供業者の評価は、以下のリンクが参考になります。

2022年のベストVPN – TOP10VPN –
https://www.top10vpn.com/japan/v/asia/?bsid=c0jpse1kw005&gclid=CjwKCAjwloCSBhAeEiwA3hVo_TtrjkTThBdk9NnkZ9cm1orW3ZQhSPOEpOmR3EH6rN_QluEOXBgYzhoCqhkQAvD_BwE

いろいろなプロトコル

vpnのプロトコルについて以下の表に示しました．古い順にしめしてあります．最も新しいのがOpenVPNです．

プロトコル	説明
PPTP	古いプロトコル．macOS/iOSに非対応
L2TP/IPsec	PPTP互換，速度遅い，ファイアウォールにブロックされることがある．
SSTP	Windows向け
IKEv2	モバイル向き
OpenVPN	開発進行中．オーブソース．

VPN対応ルーターとは? 初心者が知っておくべき選び方・注意点 ~ ITトレンド
https://it-trend.jp/vpn/article/48-0068

Synology VPN Plus

Synology RT2600ac ルーターは、パッケージセンターにあるVPN Plus Serverを導入することで、手軽にVPNサーバーを構築できます。

iOSのiPadやiPhoneでは、クライアントアプリから手軽にVPN接続することが可能です。

Windowsでは、ブラウザからVPNに接続すれば、クライアントのダウンロード/インストールが催促されます。一回、インストールすれば、この催促は表示されなくなり、ブラウザからVPNに接続できるようになります(前掲のリンクをご参照ください)。

インターネットからの接続の場合、証明書がエクスパイアしていて接続できない等、いざと言う時には、ローカル環境が必要な場面があります。その他、ID/PWによるログインにより、不運にも何度も失敗しアカウントが自動ブロックされた場合です。攻撃者であるなら、そのまま永遠にブロックリストに登録(等)されていてもいいのですが、自分自信の場合は、ブロックリストから解除しなければなりません。しかし、アクセスとして外部IPアドレスを許す設定はセキュリティ的には低くなるため、許可するIPアドレスとしてローカルのみを設定しています。そうすると、もしもの時には、自宅に帰ってローカル環境でブロックリストにアクセスすれば良いのですが、どうしても出先にいる場合は、VPNに接続して擬似的にローカル環境で作業を行う訳です。

RT2600ac

ハードウェアインストールに関する取扱説明書は、以下のリンクからご参照ください。

Synology Router RT2600ac
ハードウェア行くストールガイド
https://global.download.synology.com/download/Document/Hardware/HIG/Router/17-year/RT2600ac/jpn/Syno_HIG_RouterRT2600ac_jpn.pdf

出先からRT2600acにアクセスするには

不正にログインすることを防御するには、Two Factorを使うことが有効です。一方、通信途中の傍受(盗聴、改ざん)については、通信内容の暗号化技術の導入が有効です。それが、VPN (Virtual Private Network)です。

先ず、自宅のネットワークやSynology機器のDSMなどにアクセスする方法として、Internetからhttpsで入る方法があります。更にセキュリティを上げるには、追加で暗号化されたVPNを通じて入る方法があります。

Synology RouterのRT2600acに対して出先からアクセスする場合、DS routerというアプリを使用できます。DS router アプリは機能制限があるので、設定が必要な場合は、ブラウザからRT2600acにアクセスする必要があります。

VPN Plus Server – Synology –
https://kb.synology.com/ja-jp/SRM/help/VPNPlusServer/vpnplus_server_desc?version=1_2

VPN プロトコルの種類

SynologyのVPN Plus serverが提供するVPNは以下の通りです。

Synologyが提供するVPN server
- Synology VPN
  - SSL VPN : ライセンス数1 (同時アクセスできるユーザー数)、19の優勝クライアントライセンスは、2021/09に無償化された。
  - WebVPN : ライセンス数1
標準VPN
- SSTP VPN : ライセンス数1
- OpenVPN : ライセンスフリー (複数設定可能)
- L2TP/IPSec VPN : ライセンスフリー (複数設定可能)
- PPTP VPN : ライセンスフリー　(複数設定可能)

記事を書いた当時(2020)はL2TP以外のVPN接続を確認できていませんでしたが、Synology SSL VPNの接続も確認できました(2021/01/05)。

iOSは、SystemとしてL2TPに対応していますし、Synology SSL VNPへの接続には、接続アプリが提供されています。VPN Plusをアプリストアから探してインストールしてください。L2TPよりは、SSL VPNを使った方が接続は安定しています。

設定概要

共通の設定(ここでは、詳細な説明はしません)
- Internetからのアクセスには、DDNSによるドメイン名の取得が必要
- RT2600acでSRMのポートを開放 (L2TPでは必要ではない)
- iPhoneへのDS routerアプリのインストール (ネット管理のため)
- iPad/iPhoneのファイルブラウザアプリ (FileBrowser Biz)のインストール　(ローカルアドレスによるファイルにアクセスするために使用しています)
VPN経由
- VPN接続までの経路では、httpsのSSLで通信内容は暗号化されます。
- VPN接続後の通信内容は、VPNにより暗号化され、その後のInternetへのアクセスは、1つ余分なVPNを経由します。これによってローカル環境を取得できます。具体的な接続のイメージは、
  Client → VPN (Server) → Internet、です。
- 効率性 : 追加したVPNでの暗号化・複合化があるためレスポンスが低下はやむを得ないですが、RT2600acの性能次第です。2022上半期にSynologyは新しいルーター製品を販売開始するとアナウンスされています。性能がアップされているようなので、手に入れた際には性能比較をする予定です。
- 設定概要
  - RT2600acへのVPN Plus Serverのインストール
  - iOSでの設定
    - L2TPでは : iPad/iPhoneの設定 → 「VPN構成を追加」にて設定
    - VPN Plus アプリ内で設定して接続
  - Wondowsでの設定
    - WebブラウザでRT2600acのVPN Plus Serverにアクセスして接続
  - 管理
    - ローカルネットの管理は、接続しているVPNのローカル環境からDS RouterアプリでRT2600acに接続にて行います。
    - VPNの管理は、接続しているVPNのローカル環境からRT2600acにログインし、VPN Plus Servrから、接続状況、ログなどで確認になります。
Internetのみの経由 (VPN接続との違い)
- 端末からのローカル環境は利用できない。

VPNによる暗号化

VPNの暗号化通信には、RouterにVPN ServerとClient側の設定が必要です。以下の「VPNのインストールと設定」を行ってください。

VPNサーバー

下図は、RT2600acのデスクトップです。

下図は、パッケージセンターにあるパッケージです。VPN Plus Severをインストールします。

左上の窓アイコンから、使用できるアプリが表示されます。VN Plus Severを起動して設定してきます。

SSL VPN

SSL VPNサーバの設定

クライアントIPの範囲
- Local Networkに設定してください。この設定は、もしもの時に、Local Networkからはアクセスを許可する設定にしているため、外からVPNに入ってローカルIPアドレスを取得することで、外からローカルIPアドレスによりアクセスが可能とするためです。
- NASの「コントロールパネル → アカウント → ホワイト/ブロックリスト」のホワイトリストには、ローカルIPアドレスを設定していることが前提です。
ポート
- 以降に解説しているL2TPの場合とは異なり、ポート番号が必要です。重要な事は、ポート番号は、その他のサービスと重ならない番号を設定することです。重ならないポート番号を設定することで、そのポート番号を使ったコールは、本RT2600acルーターのサービスとみなされ、SLL VPNサーバーをコールすることができます。
- 割り当てられている「ポート番号」は、「ネットワークセンター → 転送」にて確認してください。

SSL VPN クライアント

DDNS名とポート番号(<your DDNS name>:<port no>)とUI/PWを入力して接続します。2ファクターを設定していれば、認証番号の入力を求めてきます。入力して接続します。

接続できれば、ローカル環境と同様に作業が可能です。NASの接続IPアドレスも、ローカルIPアドレスで可能になっています。

どのVPNを使うか

以下に示したL2TPの記事を書いたのは2020/7でした。最近、海外に行くことになり、海外からの接続をしたのですが、iPhoneからのL2TP接続では、そのネット速度が非常に遅く使い物になりませんでした。

Synology独自のSSL VPNでは、VPNを接続していない時と比べて速度は当然落ちますが、使用に耐えうるものでした。

SSL VPNの使用をお勧めします。

SSL VPN

SSL VPNサーバの設定

デフォルト設定でOKです。ただし、ルーター経由の内外の転送ボートは確認してください。

クライアント

iOSのクライアントは、App Storeから取得し、随時接続を実行します。

Windowsクライアントは、ブラウザからの最初の接続時にクライアントの導入が促されるので、それをダウンロード/インストールしてください。その後、接続のクライアントは、最初と同様ブラウザからの接続ですみます。クライアントの導入が促さ素れることは無くなっているはずです。

IPアドレスの確認

VPN接続ができていれば、IPアドレスは、VPN Serverが繋がっているグローバルIPアドレスに変わっているはずです。

「確認くん」、「nordVPN」などを使用して、IPアドレス/住所などを確認してください。

L2TP

L2TPサーバの設定

iOSはL2TPに対応しています。
- でも、iOS用に　Synology アプリとしてVPN Plusがあるので、上記に示したSSL VPNを使う方が素直です。
VPN Plus Serverの標準VPN → L2TP、を開く
クライアントIPの範囲 → (Local Network)にセットすること
事前共有鍵 : 最下の2カ所を入力
[適用]

iPhoneの設定 (クライアント)

iOSでのクライアントの設定手順は、設定 → VPN → VPN構成を追加に進みます。
- タイプ : L2TP
- 説明 : 任意の説明
- サーバ : ドメイン名(インターネットからアクセスできる名前)
- アカウント : ローカルのユーザーID
- パスワード : 上記ユーザーIDのパスワード
- シークレット : VPN Plus サーバの管理画面で設定したパスワード
- プロキシ

まとめ

VPNを活用すると、出先からでも暗号化された通信が可能となり、割り当てられるIPアドレスをローカルのIPアドレスになるよう設定していれば、ローカル環境を享受できます。これにより、ローカル環境でしかできない作業でも、VPNによりリモートで作業ができます。

セキュリティ面のメリットだけでは無いことを理解して、是非、活用してください。

編集履歴
2020/07/15 Mr.HARIKIRI
2021/01/05 追記 (SSL VPNの設定、まとめ)
2022/03/27 追記 (VPN提供業者について、その他追記)
2022/04/08 追記 (VPN PlusのSSL VPNクライアントライセンスを無償で追加)
2022/04/10 文言整備
2022/6/16 追記(VPNプロトコルのいろいろ)

2020年7月15日

[サイト運用] これまで使ってきたTooltipプラグインであるEncyclopedia Proを今後は使わないことにした – その後、再インストールして復活させた理由 [2020/12/16]
Post Views: 453
はじめに
WordPressの投稿において，登録したワードに吹き出しをつけることができる「Encyclopedia」というプラグインに関する内容です．現在，このサイトでは，Encyclopediaによる吹き出しはしなくななりました．自分でphpコードを作り代替できるようになったこと，および，EncyclopediaはAMP対応ではななかったこと，更にサイトのレスポンスを向上させたいためです．
以下の記載は，Encyclopediaを使用しないくなるまでのプラグイン導入記です．備忘として残します(2022/11/18, by Mr. Harikiri)
Encyclopedia Pro
Encyclopedia Proは、有料版です。Tooltip(用語を登録しておけば吹き出しを出したり、hyper linkへ飛ぶことが可能となる)プラグインです。Encyclopediaは、ページへのアクセスがあった場合に、表示の際に登録リストから、そのページに記述されているワードを検索して、リンクを付ける処理をリアルタイムで行うプラグインです。そのため、Encyclopediaに登録されている数が多くなるほど表示レスポンスが低下することが予想されますが、しぱらくは運用を続けてみます。
Disable期間と再開
Pro版を購入して半年以上運用してきましたが、以下の理由のから、このプラグインを外すことにして、2020/07/11から2020/12/13までDisableにしていました。Diableの理由は、以下の通りですが、今回、Enableにした理由は、十分ではないものの対策が得られたためです。
Disableとした理由
- 英語と日本語が併記されたページで不具合がある
  - 日本語で単語が一致してするように設定すると、英語単語において一部の一致でも認識されてしまう
  - 原因は、日本語では単語と単語には空白がありませんが、アルファベット圏の文章では、単語と単語の間には、必ず空白があります
  - この処理が丁寧にコードとして盛り込まれていないと日英の併用は難しいことを理解しました。今後のバージョンアップで対応できる内容出ないことも理解しました
- 登録していたほとんどのエントリーの記述内容(excerption)が消えてしまっていた
  - 原因は、よくわかりませんが、以下のイベントがありました
  - WordPress ServerをDS918+からDS920+に載せ替えた
  - WordPressのバージョンアップをした
  - Encycropedia Proのバージョンアップをした
- Tooltipプラグインを導入する当初から懸念していた問題を、自分の中で払拭できなかった
  - 投稿ページを表示する場合、Tooltipプラグインは、その内容を登録されたワードの全てを使って検索してhtmlのhyper lineを作ると考えられるが、登録ワードの数，または/および，投稿に出で来る単語のガスが増えてきた場合、その処理にかかる時間が，その数に応じて増えていくと考えられる
  - この問題はサイトの応答速度に影響するため、登録することの足かせとなってくるのではないかとの懸念を持っていた
- 代替案を具体化できるphpコードを書けるようになってきた
  - 説明したいワードについて、必ずしもhyper linkや吹き出しにせずとも、投稿の最後に一括して、キーワードとして表示されることでも良いのではないかと納得できるようになってきた
  - 投稿の最後に一括して、必要なワードの表示を可能とするコードを実際にサイトに載せてみたところ、使えそうであることが確認できた
今回、Enableして再開した理由
- 以下のように、Case sensitivityを有効にすることで、ある程度の対策となるため。
- 例えば、AMPを登録していて、Sampleという文言があった場合、Sampleのように赤字のampが当たっていまう。そこで、大文字のAMPで無い限り当たらないようにすることで、Sampleのampには当たらないようにした。
- この対策は、完全ではないですが、登録ルールの徹底によって、途中マッチングを相当数を抑制できると思われる。この運用でしばらく継続していこうと考えている。
まとめ
- Encyclopedia Proを2020/07/11~2020/12/13まで、disableとして、Encycropediaによる機能を停止していた。
- Encyclopedia で登録してしていた、ワードについては、投稿ページに再登録してきたが、投稿ページには、豊富な情報の登録のために使用することを今後も継続する。
- phpコードの概要 : 登録する投稿ページのタグには、タイトルと同じワードを登録する。このタグを離床して投稿ページを表示した後、タグ検索により関わるワードを一括表示される。今後も継続する。
- 運用しなが、phpコードの成熟を図っていく。今後も継続する。
そして、サイトはの作りは、単純化されていくことをEncyclopediaの無効化と「投稿ページにキーワードを登録する方法」で目論んだものの、やはり、インタラクティブな単語の意味の理解が可能となるEncyclopediaプラグインを外すことは残念であると考えていた。今回のEncyclopediaの再開を許容できたことは、満足している。
Simple is best, but additional better function is wonderfull!
```
編集履歴
2020/07/11 Mr.はりきり
2020/12/14、追記 (Encyclopedia Proの再開)
2020/12/16、追記 (SPIスコアの劣化は避けられない、現時点で8~10ポイントの低下)
2022/11/18，追記 (完全にEncyclopediプラグインを削除した)
```
2020年7月11日
[WordPress] ブログサイトのスピード測定 – GTmetrix.com [2020/07/24]
Post Views: 338
はじめに
サイトのスピード測定には、GTmetrix.comとPageSpeed Insightsがあるが、それぞれ測定方法に違いがあることを、EWWW Image Optimizerの有料版のサポートEmailで情報を頂いた。
最初のサイト速度改善は画像圧縮
サイトの速度改善として、画像圧縮は最初に直面してする課題です。「はりきり(Mr)サイト」では、「EWWW Image Optimizer」プラグインを使っています。Free版を使用してから有料版に切り替えました。有料版は、Free版より更に圧縮率が高くなります。3000枚単位は1000円程度ですが、割安の1万枚単位でもクレジットできます。
その次の対策は・・・
画像圧縮の次は、キャッシュ設定、JavaScriptやHTMLなどのコードの最適化を行います。これらの詳細については、当サイトの関連記事をご覧ください。
サイト速度の評価
対策の結果を知るには、評価が必要です。
速度対策の成果を測定するには、皆さんよくご存知のGoogle PageSpeed Insightsが有名ですが、今回紹介する「GTmetrix.com」とでは、画像の圧縮形式に対してそれぞれ以下特徴があるようです。向き不向きは、さて置き、GTmetrix.comでは、どの処理にどれくらいの処理がかかったのか、そのシーケンスをチャートで詳細に得られたり、その他、詳細な分析結果が得られることが特徴です。
- Google PageSpeed Insights : 不可逆圧縮画像を配信するサイトの評価に向く
- GTmetrix.com : 不可逆圧縮画像を配信しないサイトの評価に向く
GTmetrix.com
- GTmetrix.com : 不可逆圧縮画像を配信しないサイトの評価に向く
- どの処理がどれくらい処理時間を要したかのタイムライン・チャート表示
- その他
GTmetrix.com (サイト速度分析サイト)
http://gtmetrix.com/
```
編集情報
ID 9721
2020/06/15 Mr.はりきり
2020/07/24 GT metrixサイトで測定している動画を追加
```
以上
2020年6月15日
[WordPress] プラグインのアンインストールで残骸が残るプラグイン -アンインストールで共通する問題の備忘記録 [2021/10/16]
Post Views: 573
はじめに
WordPressのプラグインで必要でなくなれば、即削除するのが通常と思われますが、そのプラグインの残骸が残るケースを体験しました。今後の教訓にすべき内容です。
以下に、その現象と対策について備忘記録します。
今後の問題発生に備えて、プラングインのアンインストール時には、必ずその対策の実施をお勧めする。
問題の現象
「Social Counter」は、WordPressサイトに、FaceBookやTwitterのリンクと共に、そのフォロワー数を表示するプラグインです。
AMPプラグインと相性が悪く、AMPで検証して、コードやJavaScriptのAMP最適化をした場合、カウンターの表示色や体裁が崩れてしまうことが多かったため、削除することにしました。
その結果、ページに表示されていた「カウンター」は、ショートコードをそのまま残したままになってしまいました。
最初の対応策は、キャッシュをクリアしてみましたが、効果がありませんでした。
結局、削除した「Social Counter」を再インストールして、FaceBookとTwitterのカウンターが有効になっているのを、無効にしました。すると、ページには、カウンターは表示されなくなりました。1つのページで確認した後、「Social Counter」を無効化しました。その後、他のページを表示させてみると、同じ問題が生じました。
どうやら、ページ毎に「カウンター」を埋め込んでいるようです。その機構はわかりませんが、ページが表示される度に処理しているものと考えられます。そうだとすると、これまでに、表示したことのあるページには、「カウンター」が埋め込まれているので、それを、カウンターの無効化での表示が1度は必要ということになります。
問題点のまとめ
- アンインストールしても、ショートコードが残る
英語書くのは気合が必要なので、開発者には、気が向いたら連絡したいと思います。
1.「Social Counter」
- アンインストールの方法
- 「Social Counter」を有効化のままにしておく
- 「FaceBook」,「Twitter」のカウンター表示を無効化にセットする
- 以上の設定により、1度はカウンター表示で表示されたことがあるページは、もう一度表示された時にカウンター表示のショートコードが削除される
- 各ページの表示を訪問者さんに任せるか、自分で一つずつ表示して確認するか、いずれかで実施する。でも、最終的には、自分で確認することになりますね。
という、まどろっこしい対策となりました。
Advice
必要でなくなったプラグインは、先ず、無効化にしてしばらく様子を見ましょう。速攻削除してしばらく経過してしまうと、削除したプラグインの名前すら忘れてしまい。問題が起こった時に、どのプラグインが原因であるかの示唆も選られに難くなってしまいます。必要出ないプラグインの無効化が、ある程度の期間で問題が生じないなら、削除するという二段階での削除が安全です。
2.「AMP」
本家のAMPプラグインは、データベース(DB)に残骸が残ります。そのため、直接、DBを操作する必要があるようです。これまでに経験する不具合として、検証済みURLのページに投稿が表示されなく問題があります。普通にAMPプラグインを無効化して削除するものの、残骸の残っているようで、再インストールしても、その問題は解決されずの残るというものです。DBを弄る度量はないし、仕方がないので、コツコツと作業をする羽目になるのでした(Mr.Harikiri)。
How to Remove AMP Plugin Data on Your Site (参照日 2021/10/16)
https://mainwp.com/how-to-remove-amp-plugin-data-on-your-site/
対策
WordPressでは、プラグイン/テーマを削除したとしても、一部の独立したテーブルやデータが残るようです。以下のプラグインの説明にそのように書いてありました。インストールしていたプラグインの影響を完全になくすためには、プラグインを削除した後、関連するデータベースの削除も同時に必要だということです。
現在、AMPオフィシャルプラグインで問題が起こっています(2020/09/23)。プラグインの削除と再インストールでは、問題は同様に発生しているため、関連するデータベースの削除を考えています。その後、調査した結果は、前述のようにDBの削除しか無いようです。僕の場合は、削除が目的ではなく不具合の修正なのですが、安全策としてDBを操作せずにコツコツと他の方法で対応することにしました。
Advanced Database Cleaner
https://ja.wordpress.org/plugins/advanced-database-cleaner/
```
編集履歴
2020/06/06 はりきり(Mr)
2020/09/24 追記 (同問題の原因がDatabaseにあり、それの削除も必要であること。AMPプラグインでの問題の対策予定)
2021/10/16,追記(AMPプラグインの不具合は、DBのようであることについて)
```
2020年6月6日
[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- [2021/08/01]
Post Views: 1,333
ID16720
はじめに
この2021/07/27から8/1にかけて「brute-force attack」によるUID/PW情報を破る試行行為が静かに行われていました。Synology NASおよびRouter製品のセキュリティの話です。
前回、2020/06に気が付いたケースでは、Mail Serverへのattackを3ヶ月間、もしかすると半年間許してしまったことに焦りを感じました。それ以来、Log Centerの確認は1日に1回は無理でも1週間に数日は確認するようにしていたため、このコロナ禍の7/30には、そのattack (DSMへのログイン試行)を認識することができました。数日後の8/1まで対策に時間を要したのは、対策方法を見つけるまで時間がかかったためです
Warning Logの内容は以下の通りです。
```
User [admin] from [xxx.xxx.xxx.xxx]failed to log in via [DSM] due to authorization failure.
```
以下、今回のケースの対策方法についても、この記事にまとめておきたいと思います。
前回(半年以上のアタックを受けていたケース)の対策を施してからは、Log Centerの日常な監視を強化して、追加の設定等により、その有効性を高めていたつもりでした。Log Centerの確認では、表示したいグループを、接続(Connection)にして、黄色で表示されるWarning情報に記録されている怪しいIPアドレスはブロックリストに登録し、更に、効果的な自動ブロックはアクセス制限の設定値を熟慮して設定しています。
NASやRouterには、必要なセキュリティ機能が装備されています。ローカルネットワークの外からのアクセスを許可している場合は、適切に設定しておかなければ、不正アクセスの踏み台になったり、データを失ったりすることもあり得ます。NAS/Routerには、それぞれで、何らかのサーバーが構築されているはずです。これらのサーバーへのattackを受け難くするために、Synology製のNAS/Routerには、不正ログインやアタックを阻止する強化された機能があるので、適切に設定することでよりセキュリティを高めることが可能です。
前回のケースは、MailPlus Serverに対する不正ログイン試行 (frute-force-attach)を偶然に発見しました。その日まで半年の間、四六時中、ログイン試行を許していたのでした。
以下に紹介した方法は、外部からのアクセスを許しているサーバー全般に対して、ログイン試行 (brute-force-attack)を共通に自動ブロックして阻止することができます。この自動ブロックは、特定のIPアドレスに対してのものであり、一定期間で解除される仕組みとなっています。しかし、今回のように、Synology DSMに対して、特定のポート番号を知られて、毎回、IPアドレスを変更してくるattackには完全に遮断することができておらず、Log Centerの記録に警告(warning)として残ることになりました。このケースの場合、基本設定というよりは、対処療法となります。その都度対処することが対応策の基本ということです。
今回のケースではDSMへのLog in試行でしたが、IDは[admin]固定でIPアドレスを変化させながら、また、PWは色々と試行していると考えられます。以下に解説している基本設定のままでは、警告「ログインの失敗」(failure to log in)が4分おきに記録されていました。この状態を良しとしておいてもしばらくは良いと思いますが、その内、ヒットされる危険性もあります。でもadminは無効にしておけば、ヒットされることはありませんが。でも、ログに残ってくるattackは鬱陶しいですね。
ログセンターをまだインストールしていない場合は、パッケージセンターからインストールを済ませておきます。インストールできていれば、下図のように「ロクセンター」が表示されるはずです。
Mr.Harikirの環境の場合、Routerのログは、NASに転送して一元管理しています。RouterとNASにLog Centerをインストールしてあり、ログが集まってくるNASのLog Centerを定期的に確認しています。
DSM
図1. ログセンターは毎日確認
Log Center
Log Centerが少しトリッキーなので、少し注意点と簡単な使用方法を以下に示しておきます。
1. 注意点、概要とログのタグページがありますが、表示内容がなぜか一致していない。概要ページのログには記録されているログインの失敗情報がログページで接続(connection)表示させても、その情報が無い場合がある。
2. 使い方、表示を一般から接続(connection)にして警告(warning)を確認する。
3. 今回のケースでは、DSMへのログインの失敗が約4分間隔で記録されていた。以下に開設している今日までの設定では、Mail Serverへのattackには効果がありました。しかし、DSMへのattackに対しては、attack自体を許しており、そのため記録が残っている。
これまで2回のattackに対する設定概要
1. 前回のケースであるMail Serverへのattackの対策は、以下の「基本設定」以降に詳しく解説しています。
2. 今回のケースであるDSMへのLog in attackの対策は、追加事項として、ここに示しておきます。
  1. DSMへのログイン(log in)では、ポート番号が知られてしまっているため、attackを許していると考えて以下の対策で解決しました
  1. コントロールパネル→ネットワーク設定→DSM設定
  2. ポート番号の変更と適用。モグラ叩き的な対策ですが有効な対策の一つです(2021/08/01)。
  3. DSMのポート番号は、PhotoStationやCalenderなどに使われているので、クライアントからの接続設定も更新しておく必要もあります。
基本設定
前回のケースでは、attackを受けたのはMail Serverであったため、Mail Serverへのattackが無くなるように設定されています。今回の対応により、その設定内容の変更はありません。今回のDSMへのログイン試行の対処療法として設定すべき項目は、DSMのポート番号の変更のみです。
前回、MailPlus Serverへのattackを受けた時の状況
これまで、Log Center (ログセンター)のログは、時折確認していました。しかし、Warningに関しては、重要視していませんでした。
たまたま、今日(2020/06/05)、Warningをしっかり見てみたところ、3分間隔で、MailPlus Serverに対するログイン試行を繰り返していることに気づきました。しかも、3日間に渡ってです。Logを遡って見てみると、以下のことがわかりました。
- 一回の攻撃は、約3日間をひとまとまりとして行われていた
- その約3日間が数日間の間隔を置いて、同様の攻撃が行われていました
- これを大きな「かたまり」として1つと勘定すると、まとまった攻撃の回数は半年間で、5回を確認できました
- 3日間でのやり口は、約3分間隔でログインの試行をユーザー名を色々と変えながら行っていました。
  - ユーザーIDは、home、ad, user, user0など、よく使われるものでした(図1)
この攻撃を許していたことに冷や汗です。
図1. MailPlus Serverへのログイン試行ログ
基本設定による対策
DS918+のアクセス制限の適切な設定
アクセス回数によるログインの制限を、以下のような考え方によって適切に設定します。
- 3分間隔のログイン間隔を前提にします
- 3回のログイン・ミスが生じた場合にブロックするようにします
- 3 x 3 =9 分間で、3回のミスが生じた場合をブロックできれば良いことになります
- 時間に余裕を持たせて例えば、12分を設定します
- 回数は、3回を設定します
コントロールパネル→セキュリティ→アカウント
図2. ログイン制限の設定
設定例
当初の設定では、時間の設定を1分にしていました。早めに検知できた方が良いと直感的に考えたからでしたが、その設定は間違いでした。1分以内で実行できるログイン試行数は、それほど多くありません。時間は、10分から60分程度が、検知するには必要です。更に、自分がログインしてすることと、不正アクセス者がログイン試行することを考えると、60分の時間内でのログイン試行数が設定の鍵になります。
例1
12分間の間で、3回~(最大4回)のログインを試行して失敗した場合、自動的にブロックします。4分間隔以下を検出できます。この場合、12分間で3回間違えるとブロックされます。自分がログインする場合も同様なので、少ない回数の3回については注意が必要です。
- ログイン試行回数(Login Attempts) : 3 回
- その時間範囲 (Within) : 12 分
例2
例1は、4分間隔のログイン思考を前提にしましたが、不正アクセス者は検知をさせるためには、間隔を更に長くすることも考えられます。
そこで修正して、各値を約3倍にを考えてみます。60分間の間で、10回のログイン試行のブロックを考えます。この場合、60分間以内に、10回ミスするとブロックできます。自分がアクセスする場合、10もミスはしないと思います。また、不正アクセス者が、10回の限られた回数でID/PWを破れるとは考えられません。妥当な設定だと思います。ただし、この設定では、不正ログイン試行を6分に1以上のアタックに対しては、自動ブロックができません。
この自動ブロックができない状態がそのまま続いたとして24時間経過後には、240回のログイン試行がおこなわれてしまいます。
- ログイン試行回数(Login Attempts) : 10 回
- その時間範囲 (Within) : 60分
- 自動ブロックができない最悪のケースでは、24時間後には、240回のログイン試行を許してしまう
例3
例2の、10回、60分の設定では、最悪の場合、24時間後には、240回のログイン試行を許します。
そこで、10回のミスは、自分もあり得ると許容して、時間をもう少し考えます。24時間以内に10回ミスしたら、自動ブロックするようにすればどうでしょうか。
自分がログインする時、1日の内に連続して10回もミスはしません。10回、24 x 60 =1440分の設定を最終案として考えてみましょう。
不正ログイン試行が、この設定を最悪逃れられた場合、1日(24時間、1440分)で10回を許すことになります。1日で10回ということは、1週間で70回の試行回数になります。
Log Centerの確認を毎日行えば、10回の試行回数で発見できます。1週間毎の確認であれば、70回の試行回数で発見できることになります。なかなか、リーズナブルな設定値になってきました。これを最終提案とします。
- ログイン試行回数(Login Attempts) : 10 回
- その時間範囲 (Within) : 1440分
- 自動ブロックができない最悪のケースでは、24時間後には10回、1週間では70回ののログイン試行を許してしまいますが、それ以外は自動ブロックできます。
- 妥当な設定であると判断しました。
設定の効果
ログイン制限の設定は、12分-3回に設定してみました。今、まだ、不正ログイン施工を実行中(bot)ですが、以下の様に、3回のログイン試行により、自動的にブロックされたことが、Log Centerのログから確認できました。
図3. 自動ブロックされたことを確認
メール通知
NASシステムの通知方法として、メールアドレスを設定しているなら、前述の設定で、自動ブロックされた時には、メールで通知がきます。
図4. 自動ブロックされたると携帯に通知がくる
永遠にブロックする
自分がブロックされることもあると思います。そこで、自動ブロック期間は、1日にしています。
自動ブロックの通知が届いた場合は、自分に関係しないIPアドレスは，設定から永遠にブロックしておきます。
コントロールパネル → セキュリティ→ アカウント→ブロックリスト
ブロックリストには、自動的にブロックしたIPアドレスがリストされていので、そのIPアドレスを控えておき、作成したブロックリストを改めて作成します。上書きするか聞いてきますが、気にせず上書きして、永遠にブロックします。
自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。
図5. ブロックリストに永遠にリストしておく
まとめ
1回目の「Brute-force-attack」と思われる不正アクセスの心込みについは、新型コロナウイルスのため、自宅待機していたことで気が付けましたが、これまでの少なくとも6ヶ月間、不正アタックを放置していたことになります。
ざっくり計算してみると，3日間で3分間隔の不正ログイン試行では、その総試行回数は、3 × 24 × 60 ÷ 3 = 1,440回です。
それをこの半年間で、少なくとも5回行われていたので、1,440 x 5 = 7,200回の不正ログイン試行を許してしまったことになります。
Log Centerは、週に2回は見ていましたが、今思えば、なんの基準もなく漫然と見ていました。今回は、それでも偶然見つけた訳ですが、大事になる前で良かったと思います。
Log Centerは、最初に設定した時や設定を変更した時には、しばらくは、できれば毎日見た方が良いですし、今回の教訓から特にWarningは、文字通り注意して見る必要があります。特に，同じIPアドレスが何度も記録されていることは要注意です。
前述した「例3」の設定では、24時間で10回以上、または、1週間で70回以上のログイン試行を同じIPアドレスからされた場合に自動ブロックできます。
もしも、自動ブロックが出来ない間隔で不正ログイン試行をされた場合でも、毎週1回のLog Centerの確認によリ、最悪でも70未満の試行回数で発見できます。もちろん、毎日のLog Centerの確認により、10回未満の試行回数で発見できます。
勿論、少ない回数で鍵を開けられない程度の複雑なPW設定を前提にしています。攻撃者に対して、決して、宝くじの当たる確率を上げないように運用していきたいものです。
Synology Routerの設定
以上の設定は、Synology Routerにも同様に設定できるので、それぞれがターゲットとなっても大事に至らないよう、同様に設定しておきます。
- ネットワークセンター → セキュリティ → 自動プロック
まとめ
レンタルサーバーを使わず、自前のマシンを使っってBlogをしたり、ホームサーバーとして構築していたとしても、外部からのアクセスを許して運用している御同輩の皆さんは、一般ユーザーとは異なり、私もそうですが、茨の道を進んでいるのです。
防御能力は攻撃能力よりも重要です。しっかり「マイホーム」を守れるように日々精進したいと思います。
以上
編集履歴
```
2020/06/05 はりきり(Mr)
2020/06/06 追記(例3)
2021/01/22 文言整備、図の追加
2022/11/20 文言整備
```
2020年6月5日
[Synology] DS918+ , 3 x 8TB HDD Raid 5に最後の1台のHDDを追加する [2020/05/30]
Post Views: 941
RAID5 (3 x 8TB HDD)へHDD追加
DiskStation Manager (DSM)のアップデートをしようとしたが、約4TBも有るのに空き容量が足りないと警告が出てアップデートできなかった。
(アップデートできなかった理由は、結局、HDDの容量不足ではありませんでした。他の記事にしましたが、クリーンインストールするしかありませんでした)
そんな事はないと思ったが、以前から、3 x HDDのRaid 5構成は、いずれHDDを追加して容量を増加( (N-1) x 最小HDD容量 )*1させようとは考えていたので、何はともあれ、AmazonでHDDを購入して増設するにことにした。
この1台のHDD追加によってDS918+は、フルスペックとなる。ここまでのアップグレードの詳細は、以下の記事をご覧ください。
[Synology] DS918+ 初期導入時にはJBOD HDD、その後、メモリ増設・SSDキャッシュ増設・HDD追加でRAID 5によりフルスペック化 — アプリ/ツール構成 [2021/08/28] ID33
*1 : RAIDに関する情報は、以下のSynologyサイトをご覧ください。
https://www.synology.com/ja-jp/knowledgebase/DSM/help/DSM/StorageManager/storage_pool_what_is_raid
編集履歴
2020/05/30 はりきり(Mr)ドライブ追加処理開始: 17:30~
準備
1. DS918+のシャットダウン
2. しばらく待つ
3. ダイソンハンディーを使って、HDDを取り外し「ワタゴミ」の掃除
4. 3 x 8TB HDDではない、1.5TB HDDを取り外した
5. 代わりに8TB HDDを装着
6. DS918+の電源ボタンを押して起動
7. しばらく待つ
8. ピーッい鳴るので、DSMにログイン
9. 「ストレージマネージャ」起動
ストレージマネージャ
ディスクトップ・モードにして、画面の左上にある「窓アイコン」をクリックすると図1のように表示される。ストレージマネージャをクリックして起動する。
DSM
図1. ストレージマネージャを起動
「概要」画面
概要画面で、現状を確認する。
1. ボリューム1は、ストレージプール1で構成されている
2. 使用容量は、10.3TB
3. 総容量は、14.0TB
4. RAID5(データ保護あり)
5. 挿入した新しいHDDは、「未使用のドライブ」として、DS918+のHDDストレージの左から2つ目にあることを確認
図2. 概要画面で、状態を確認
「ボリューム」画面
ボリューム画面から、利用可能な容量が、3.72TBであることを確認
図3. ボリューム画面で、状態を確認
「ストレージプール」画面
ストレージプール画面から、現在の構成は、3 x HDDであることを確認。更に、ボリューム画面の表示とは異なり、利用可能な要領は、884MBを表示している。この値が、実際に使用可能な容量であるなら、DSMのアップデートが、容量不足により出来なかったことは理解できる。
図4. ストレージプール画面で、状態を確認
「HDD/SSD」画面
HDD/SSD画面から、ドライブ2は、非初期化であることを確認。
図5. HDD/SSD画面で、状態を確認
ストレージプール画面に戻る
ドライブを追加
画面の右側に有るドライブ2(非初期化)を選択状態にして、「操作→ドライブを追加」を選択する。
図6. ストレージプール画面でドライブを追加
ディスクの選択画面が表示される。ドライブ2(非初期化)が選択状態であることを確認して「次へ」。
図7. 追加するドライブの選択
次に、設定の確認の画面(図8)が表示されます。ドライブ2をストレージプール1に追加して、合計容量が21.82TBであることを確認。
図8. 設定の確認画面
最後の確認の画面(図9)が表示されます。OKで処理を開始します。
図9. 最終確認(以降は追加ドライブは初期化されます)
図10は、ドイブの増設中が状態を示しています。
1%が完了するのに要する時間は約30分でした。100%が完了するには約2日です。DS918+自体は、稼働状態のまま、ドライブの追加処理が裏で動くことになります。気長に待ちます。
- 1%完了に30分
- 27.8%完了に19時間
- 80.6%完了に54時間
- ３日目のAM7には完了していた
- (DSMの更新ができない問題は、解決できていなかった)
図10. ストレージプール画面で、状態を確認
以上
2020年5月30日
[WordPress] その昔憧れた、パーソナル・データベース生活を実現。 – イベント・プラグイン – を選定/導入する [2020/05/23]
Post Views: 478
ID18377
イベント・プラグインの使用目的
背景
初代iPadが発売されてから、iPad3くらいまでは、iPad用のDatabaseアプリが沢山ありました。
使い方としては、データベースとして残しておきたい情報や自分のイベントなどについて、その情報のデザインを自分で行い、そのフォーマットにデータをエントリーしていくものです。
以前にエントリーしたデータを見たくなった時、そのデータは検索により瞬時に得ることができます。しかも、端末がiPadやiPhoneなので、何時でも情報にアクセスできるという憧れのデーターベース生活を達成できるアプリたちでした。
編集履歴
2020/05/23 はりきり(Mr)
中でも、デザインも機能も使いやすさも優れていたのが、Mac用のデータベースソフトで知られていたFileMaker (会社名も同じ)が開発した、iPad/iPhone用の
bento
でした(2012/07/16)。
更に、機能を求めるなら、FileMakeを購入してWindows/Macにインストールし、少しフォーマットを開発すれば、以下のことが可能となる予定でした。
- 親データベース自体は、Mac/Windowsに置く
- 端末であるiPad/iPhoneの「bento」から吸い出して外出
- オフライでのデータベースのアップデートや検察
- その後帰ってから、親データベースに「bento」で接続してアップデート
Windows用のFileMakerの購入も考えていましたが、2013年に突然の提供の終了となりました。
FileMaker、パーソナルデータベース「Bento」の提供を終了へ – ITmedia NEWS 2013/08/01 – より
あれから7年が経ちました(2020年)。1.5年前には、WordPressなるものがあることを知りました。WordPressには、mySQLのサブセットであるMaria SQLが搭載されていることも知りました。
目的
その昔憧れた、「パーソナルデータベース生活」は、今日、可能になった!! のではないでしょうか。
今回は、導入編です。
イベント・プラグインを選ぶ理由
WordPressのポスト機能を使用せず、イベント・プラグインを導入する理由ですが、やはり使い勝手の問題です。
- プライベートを維持できるか
- データー・エントリーは簡便か
- 複数のイベント表示は、タイトな表示が可能か、カスタマ泉性は高いか
検討したイベント・プラグイン
4つのイベント・プラグインを選択し、インストールしました。「Setting」を一通り確認した後、イベントのエントリーの具合を以下の内容で確認しました。
- イベント・プラグインを「event」で検索
- 目ぼしいプラグインの詳細に飛び、「スクリーンショット」を確認して、自分が望む表示なのかを確認
- 気に入ったプラグインは、「インストール」
- 結果的に、4つをインストールしました
- 各プラグインの「Setting/設定」を一通り流し読み
- イベントをエントリーしてみて、表示機能を探して表示さる
- 「Private」というキーワードが「Events Made Easy」プラグインにあることを確認
- フル機能が「Upgrage」しないといけいプラグインをボツにする
- 「Events Made Easy」はフル機能が提供されていることを確認
- 一通りのプラグインのエントリーのしやすさを比較
- 表示の比較
イベントプラグイン
Events Make Easy
を選択。
その結果、「Events Made Easy」を選定しました。更に、よりディープにつかいこんでみました。
- 30レコードほどのイベントを入力
- エントリーのしやすさの確認
- 一括管理のしやすさの確認
- 表示のショートコードの確認
- Widgetの確認
- Private機能の確認
選定理由
- フル機能が提供されている
- 色々な機能が装備されていおり、支払い情報関連、メーリングリスト関連、メンバーシップ関連など多数あり、現状は必要ないが、将来性を買った
- その内、有料版になると予想されるくらい完成度が高い
- エントリーが簡便にできる
- 表示など、ショートコードが充実しており、望む表示とカスタマイズ性も高く、将来的には使い込んでみたいと思った
- Widgetも使用可能
- イベントに「Private」を簡単に設定できる
- イベントに「カテゴリー」をセットできる
- WordPress内の検索機能ではヒットしないように、専用の検索を行うようになっている。
使い方
メニュー
最小限の設定と最小限のエントリーの概要
設定項目がおおいのですが、早速使ってみるための最小限の取り扱いについて、以下にまとめました。
- 多数の設定項目はあるが、ほとんど、デフォルトで良い
- 最小限のエントリーは、「タイトル」と「日付」を入力して保存する。その他、ロケーションなども使用可能
- カレンダーの表示には、固定ページを設定する
- カレンダーのWidgetも設定しておく
- 「Private」にセットしている場合、ログイン・ユーザーでなければ、カレンダーに表示されない。ログイン・ユーザーであれば、リンク付きで表示される
- 1点注意として、WordPress標準の検索では、引っかからない(タイトルさえ引っかからない)。これは、「Private」の維持としては正解である。
- 因みに、メンバーシップを構築できるUltimate Memberプラグインでは、WordPressの標準の検索で、秘密の投稿でもタイトルはヒットしてしまう。
- では、Events Made Easyで検索したい時、どうするか? 充実したショートコードを使用する(と現在は理解している)。ショートコードのサンプルは多数が紹介されている
表示はどんな感じ?
まだ、使い込んでいませんが、コンパクトにリスト化できれば、先ずは良しです。
以下のショートコードで、1つのイベントのタイトル(リンク付き)が1行で表示されます。全体の俯瞰には、このシンプルさが最適です。
もちろん、日付のカラム内にリンク付きで「カレンダー」表示が可能です。これもシートコードの挿入で簡単に、PAGEに配置できます。ページの属性を非公開にすれば、そのカレンダーは、パーソナルなカレンダーになります。
Events Made Easy site
- Shot code
Events Made Easyのメニュー
まだまだ、使いこなすには至っていないので、設定画面など写真のみで雰囲気を感じてください。今後、レポートしていきたいと思います。
Settingsのメニュー
Generalの設定
SEOの設定
Eventsの設定
Locationsの設定
以上
2020年5月23日