USBセキュリティキー Ubikey 5c NFC を使ってみる
Ubico Ubikey 5c NFC を使う
Google の強固なセキュリティ機能
で、これを実装する為には、物理セキュリティキーかスマホのU2F機能を使うかの2択になります。
強固なセキュリティ機能を使う場合、認証に使うデバイスが一つだとそれを紛失した時に自分のアカウントにアクセス出来なくなってしまいます。そこで、バックアップを用意しておく必要が出てきます。
認証デバイスにスマホを選んだ場合は、そのバックアップとして物理キーを用意しておく事が推奨されています。
Googleヘルプでは、Titanセキュリティキー/Yubico/Feitian のいずれかを進めているようです。support.google.com
- Titan Security Key USB-Cのみ取り扱いアリ
- Yubico はAmazonでの取り扱いもあるので買いやすい
- 安いのは青色のキーなんだけど、新しい方はNFC対応しています。
- Feitian の ePass FIDO は USB-A NCF のセキュリティキーはAmazon.co.jp での取り扱いがあるッポイ。
Yubikey 機能比較
| - | セキュリティキーシリーズ | Yubikey5シリーズ | Yubikey 5 FIPSシリーズ |
|---|---|---|---|
| FIDO2認証 | OK | OK | OK |
| FIDO U2F | OK | OK | OK |
| FIPS 140-2認証 | - | - | OK |
| WebAuthn | OK | OK | OK |
| FIDO2 CTAP1 | OK | OK | OK |
| FIDO2 CTAP2 | OK | OK | OK |
| U2F | OK | OK | OK |
| ICカード(PIV互換) | - | OK | OK |
| Yubico OTP | - | OK | OK |
| OATH-HOTP(イベント) | - | OK | OK |
| OATH-TOTP(時間) | - | OK | OK |
| Open PGP | - | OK | - |
| セキュアスタティックパスワード | - | OK | OK |
Yubikey で何をしようか
Yubikey でやったことメモ
Googleアカウントに登録
- 利用構成
- Yubikey を使ったUSB物理キーとする方法
- Smart Lock アプリを使ったスマホを物理キーとする方法
- バックアップもしくは復旧
- どちらかを持っていなければ終了
Microsoftアカウントに登録
GitHubアカウントに登録
watchOS 7.0 から 7.3 へのアップデートでハマってみた!!
Apple Watch Serise3 (GPS+Wifi) モデルの watchOS 更新にハマりました。
TL;DR 今北産業
- watchOS 7.3.3 にアップデート出来ない...。「容量が足りない...」とダイアログメッセージが表示される。
- Apple Watch のアプリやデータを削除するだけでは、ストレージの空き容量が増えない...
- アップルのサポートがアナウンスしている方法「ペアリングを解除してアップデートしろ」で更新出来るようになる。
- ペアリングを解除する。
- 新しい Apple Watch としてペアリングする。
- バックアップデータから復旧してしまうと、またストレージ容量足りなくなります。
- ペアリングしてから watch OS 7.3.3 にアップデートをする。
- watchOSアップデートが成功したら、再度ペアリング解除してデータ復旧する。
- WalletとApple Pay 以外は、設定やデータは復元されるのであまり手間はないと思います。
しかし、ペアリング解除 => 新規としてペアリング => 再度ペアリング解除解除 => データ復旧でペアリング の流れに2時間は掛かるんですよね、自分の経験では。
Apple Watch Serise3 のストレージ容量とは...
- Appleサポートではどうのように案内されているのだろうか
- 容量不足で Apple Watch をアップデートできない場合 - Apple サポート
- Apple Watch を再起動しろ。
- データを削除しろ。
- ペアリング解除して、新しいWatchとしてペアリングして、アップデートが終わったらバックアップから復元しろ。
- 容量不足で Apple Watch をアップデートできない場合 - Apple サポート
- 他の人達はどうなのか?
- apple watch 容量不足 - Google 検索
- Apple Watch Serise3 の人はほぼほぼ漏れなく watchOS のアップデートに失敗しているのでは?という勢いである。
- apple watch 容量不足 - Google 検索
- Series3 はストレージ容量が 8GB ととても小さい...
再ペアリングしただけではダメ
公式のアナウンスでも書かれているように、再ペアリングする時にバックアップする時に、過去のデータから復元してしまうとストレージを古いデータで埋めてしまうため、容量不足でアップデート出来ない状態まで復元されてしまいます。
Xperia 10 ii はやっぱり諦めてみた... (AQUOS Sense5Gも諦めてみた)
Xperia 10 ii はちょっと操作感が重いな...
そもそも SoC が Snapdragon 665 というミドルレンジ(中の低モデル)なのでというのはあるが...。 Xiaomi とか OPPO とか Galaxy とかとかでもスナドラ600番台の低廉化モデルはあるのですが、それらを使った時の感覚よりも、Xperiaは重い感じがします。
夜中にYoutubeや尼プラを観たり、Twitterをダラダラやりながら音楽やニュースを聴く等という時には、まったく不満を感じないのです。
しかし、移動中にメールを読みながらマップで待合せまでの経路確認をしつつ、チャット対応したりするという、人間にも即応性とマルチタスクを求められるような状況で、デジタルガジェットにもたつかれると「おめぇー、仕事出来ねぇなー」というマッチョな価値観によってゴミ扱いされてしまうわけです。
これは、単にアプリを行き来するだけでなく、間で Authenticator でOTPをコピペして、Dashlaneでクレデンシャルをコピペしてという面倒な操作も含めて求められる操作性は割りとハードルが高いのです。
急いでいる!急いでいるのだよ!と言う時のプチフリはやっぱり我慢が出来ないものだ。
縦長で細身のボディサイズは握りの収まりも良かったし、独特のディスプレイサイズも1画面に収まる情報量の多さも面白かった。
それでも、この場面で Teams に Slack に返信出来ない/返信に時間が掛かる というのはもどかしさがある。 一つ一つの動作にもたつきがあると、トータル時間が掛かるっってなるのは我慢できなかった。
結局どの辺が良いのか?
4万円前後クラスのスマホで誰が強いか
- iPhone SE (5万円税込〜、キャンペーン狙いなら33千円もある)
- お高め予算超える訳だが圧倒的性能なのでディスプレイサイズに不満がなければ iPhone SE 最強なのである。
- SoC(CPU): Antutu 40万超え
- Felica / NFC
- 防水/防塵
- Qi 充電、USB PD 18watt充電
- 生体認証(指紋センサー)
- カメラは単眼だが写りは良い
- Apple Watch(モバイルSuica)対応
- お高め予算超える訳だが圧倒的性能なのでディスプレイサイズに不満がなければ iPhone SE 最強なのである。
- OPPO Reno 3a (実質 14千円税込くらいの割引きもある)
- Redmi Note 9T 5G
やっぱ値段相応の性能で、後はどこに自分の好みを振るかという感じだろうか。そもそもスマホに5万円出したら高いと思う年頃である。 しかし、やっぱりプチフリはイヤだとなると限られてしまうものだ。
鬼門は NFC/Felica で JPKIクライアントに対応しているかという点
↑↑↑このページの マイナンバーカード対応NFCスマートフォン(PDF) のリストに載っている端末でないとマイナンバーカードの読み取りアプリをインストール出来ない(または、インストールしても動かない)という地獄。これはもう闇と言って差し支えない。
これからのAndroidスマホの選定基準になると言って良いだろう。
追記: AQUOS Sense5g も諦めた
Xperia 10ii で FOMA(3G)とDSDVにハマってみた...イマカヨ
FOMA(ドコモ 3G)が鬼門になる...
Xperia 10 ii SIMフリー (XQ-AU42) は DSDV デュアルSIM
Xperia 10 ii SIMフリー版(XQ-AU42)は、デュアルSIM端末です。デュアルSIMというのは、1台のスマートホンに2枚のSIMが搭載可能なモデルのことを意味しています。
今回入手した 10 ii のSIMフリー版は、デュアルSIMです。そして、DSDVと言われるタイプのものです。
- DSSS
- Dual SIM, Single Standby: 2つのSIMを装着出来て、どちらか1つの回線を待ち受け可能。
- DSDS
- DSDV
- DSDA
- Dual SIM, Dual Active : 2つのSIMで、同時に2つの回線を使用できる。
FOMA(3G) と DSDV の組合せは、チョットムズカシイ...
さて、便利そうな DSDS/DSDV ですが、はまりパターンがあります。 私の持っている FOMA回線の契約にはデータ通信がありません。
旧プランのタイプシンプル バリュー+iモードで「メール使いホーダイ」にしていたのでした。 この状態から、さらに iモード契約も解約してタイプシンプルバリューのみのファミ割MAX50によって、¥780円/月 にしたものが私が持っている FOMA(3G) SIMの正体なのです。
FOMA SIM ではデータ通信出来ないため、FOMA SIMを1枚挿しただけでは有効化出来ません。(何故だかは自分は分からないのですが...)。と言うわけで、データ通信出来るSIMも一緒に挿すことで FOMA(3G)を有効化して使えるようにする必要があります。
- 参考
Xperia 10 ii SIMフリー (XQ-AU42) で FOMA(3G) はダメだ...
価格コムの書き込み では、FOMA SIMで使えたとの報告があるが、あるのだが、実際には...。
- 試したけどNGだったこと
どうダメだったかというと、実に微妙なんですね。
FOMA SIM を挿したスロットを有効化すると一旦はリンクアップします。アップするのですが、しばらく時間が経つとアンテナピクトがグレーになってしまいます。確かにピクトが立っている時には、音声通話の発着信もSMSの発着信も出来ますので、一見、まともに動きます。しかし、精々5分もすると3Gアンテナピクトはグレーになり、着信も出来ないし、発信することも出来なくなります。
XQ-AU42 (DSDV機器) のスクショ例
「モバイル通信・SIMカード」設定画面 - 一見、リンクアップするかに見えるのだが...
FOMA SIMを入れた方がリンクダウンしてしまう - すぐにリンクダウンして「通信サービスはみつかりません」というキャプションになってしまう。こうなるとFOMA SIM側では、音声もSMSも発着信が出来ない状態になる。
Uniherts ATOM (DSDS機器) のスクショ例
DSDSデバイスで 3G SIMがリンクアップしている例
Xperia 10 ii を買ってみた...今更
ちなみに、未だ届いていません。 届いた。
全部入りミッドレンジAndroidスマホを買ってみた
- デュアルSIM(DSDV、物理SIMが良い)
- Felica/NFC(おサイフケータイ/マイナンバーカード)
- マイナンバーカードに対応出来るスマホはリストがあるので必ず調べておく必要がある。
- 防水(特にこだわりは無いが)
- 生体認証(指紋 or 顔)
- マルチカメラ(広角/標準)
- LiDARスキャナ(あったらい良いけど贅沢すぎる...)
これまでは、Uniherz ATOM を使っていたのですが、2018年11月から使っていてボディのラバーカバーが外れてきました。AtomのOSも Android 8.0 からアップグレードされないようですし、端末ごと新しくした方が良さそうな頃になってきた感です。
候補機種
考えてみる...
- Unihertz Jelly2 は...
- OPPO Reno 3a
- MVNOキャリアが扱っているので、サポートも公式に受けられる。
- ちょっと大きい。
- Xperia 10ii
- 細長いので、大き過ぎないサイズ感かも...
- Xperia は使ったことないので、試してみるのも良いかも...
- ミッドレンジとしては割高だが、24k円くらいならまぁ良いかも...
IIJmio のMNPキャンペーンで購入すると...
GCP インスタンスVM 無料枠利用に失敗した
(タイトルは嘘)LXDコンテナのストレージファイルシステムがちょいちょい壊れるッポイ
LXDコンテナで GitLab を動かしているが、ちょいちょいストレージ応答が固まってしまう。
本日も GitLab の sidekick、redis が重くなってしまい応答が無くなるという事が起きた。これはちょいちょい週1くらいの頻度で起きている問題で、毎日のバックアップに起因していると思われるのだが、どうにか回避出来ないものか...。
- 問題箇所かもしれないところ(上から怪しい順)
- sidekiq
- redis
- puma
GitLab を動かしている環境について
GitLab の構成については公式ドキュメントのチャートがある。全然ワカランくらいに多くのミドルウェアで構成されている。で、宅サバでは GitLab Omnibus のEE版で構築している。
宅サバ環境は、こちら図のようにLXDコンテナにGitLab環境をインストールしている。
2台の Ubuntu VM 上で LXDコンテナ環境を用意しているが、これらはクラスタ化はしておらず独立させていて、スクリプトでイメージバックアップは取っているという状態。
事象の発生状況
ある時、気付くとGitLabのウェブUIの応答が無くなっていて、それに気付いてGitLabマシンにSSHするとSSHに対する応答も無いという状態になる。
LXDホスト上で top コマンドをみた時の状況
- ディスクIOでのロックがかかっているように見える...
疑ったこと(順に...
問題の切り分けとして試したこと
Windows の「高速シャットダウン」の無効化
バックアップスクリプトの停止
ストレージイメージを複数にしてコンテナを移動
- 疑義ポイント
一時的な解決
現状: 何の役にも立たない結論(過去時点)
- バックアップスクリプトの停止
- lxc コマンドで stop && copy && start をしているところのどこかで転けてしまっていそうである。
- GitLabコンテナが完全に停止していない状態で再startしているとかなのかなぁ?と妄想している。
- バックアップ処理を止めると、GitLabコンテナが固まることは起きていないように見える...。
現状その2: 何の役にも立たない結論(現時点)
- GitLab omnibus のアップグレード
- バックアップを停止してから暫く経って、ウェブUIを操作中にGitLabが固まる事が起きている。
- 以前と異なるのは、我慢して待っていれば自然復旧するという点にある。
- 固まった時の簡易な様子としては CPU Load Ave. 30以上、io wait 96% といういつもの状態になる。
- 15分ほど放置すると、CPU Load Ave. は通常通りの 1.0 以下に下がってくる。こうなるとウェブUIの操作もスムーズに出来るように戻ってしまう。
- この問題も深追いすると面倒そうなので、GitLabのアップデートが降ってくるまで放置することにした。
- GitLab 13.6.2(?)だったかな、では再現せずに安定している。
その後、現在について Ver-14.9.2-ee
やはり、13.6.2 以降でもストレージを嘗め回すようにディスクスループット(帯域)を使い切るようにリードIOが発生する。何が原因なのか分からないが別に困ってないしぃ、的に放置していた。
最近は(14.x以降)、Gitlabにブラウザアクセスする度にリードフラッド(read flood)状態が発生してしまって Gitlab を使う気が起きない状態になっていた。面倒くさいので放置していたが、ふと検索してみたところ Prometheus を無効にする というページを見つけたので試してみた。
$ sudo rcsdiff -ub /etc/gitlab/gitlab.rb =================================================================== RCS file: /etc/gitlab/RCS/gitlab.rb,v retrieving revision 1.1 diff -ub -r1.1 /etc/gitlab/gitlab.rb --- /etc/gitlab/gitlab.rb 2022/04/05 07:20:09 1.1 +++ /etc/gitlab/gitlab.rb 2022/04/05 07:21:21 @@ -1647,7 +1647,7 @@ # gitlab_exporter['probe_sidekiq'] = true # To completely disable prometheus, and all of it's exporters, set to false -# prometheus_monitoring['enable'] = true +prometheus_monitoring['enable'] = false #######################
確かに、自分の環境ではわざわざ Prometheus で監視してても無意味なので要らなかったな...。未だ、30分も経っていないので暫く様子見しましょう。
