このアカウントは、notestockで公開設定になっていません。

そもそも個人利用サーバはどう足掻いても inbox/outbox の共有できないし、クソデカ収容サーバに特例で shared のメリットがあるだけ

メールの配送システムわかってたら疑問に思わなそうだし実質トートロジー

と、トラックバック (白目)

ボキボキ勃起できるよ！ という謎のお薬みたいなものの広告が出るよりはだいぶマシ

gitea on docker セットアップできたが、正直かなり気に入らない構成になっており、たぶん作り直す

* gitea 自体は HTTP(redirect/ACME) + HTTP + SSH 構成で listen できるが、 docker では git ユーザ等で起動するため 80/443/22 の特権ポートを listen できない
* ホストで root で gitea を起動するのは……セキュリティ的にどうなんだろう
* gitea の設定を (環境変数経由で) 弄って --net=host な docker で gitea を root 起動しても、ACME 用の一時的な HTTP サーバがどうも root 権限を使っていないようで listen に失敗している
* nginx の stream モジュールで 80/443/20 への通信を全部垂れ流すことはできるが、ほぼ何もせず通信が通るだけの不要なコンポーネントが発生する (しかも接続が切れたとか何とか謎のログも出す)
* ホスト側の iptables/ip6tables で転送するという手もあるが、状態つきの機能を明示的なデーモンでないものに与えて放置すると後で絶対忘れて悩むことになりそう

たぶん構成として一番マシなのは CAP_NET_BIND_SERVICE を与えた gitea バイナリをユーザ権限で起動することで、セキュリティが一番マシなのは nginx の stream モジュールで垂れ流すやつだけを露出させること

docker コンテナ内で setcap できると一番良いのだが、それだと Dockerfile を弄るか自分で Dockerfile を用意するかする必要があり、どうにか起動前にフックできないものか……という気持ちが

Add /etc/entrypoint.d entrypoint logic to docker images. by nwmcsween · Pull Request #173 · alpinelinux/docker-alpine
https://github.com/alpinelinux/docker-alpine/pull/173

だめそう

gitea/docker/root/usr/bin/entrypoint at release/v1.20 · go-gitea/gitea
https://github.com/go-gitea/gitea/blob/release/v1.20/docker/root/usr/bin/entrypoint

こっちもだめそう

entrypoint はそのままにして、 CMD に自前スクリプトを渡す運用でいくか？

【原神】ファルザン、誕生日おめでとう！
https://youtu.be/q5hx5JBzCOg

急に真面目になるな！ びっくりするだろ

サングロシ

マクドネル・ダグロシ

alpine イメージに setcap がデフォで入ってなかった、終了

ページねーじゃん

やめだやめだ、 docker で IPv6 は割に合わん

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

実行時のリスクについては proc-macro と言わずとも悪意ある依存関係が紛れ込めば普通に駄目なので、そこは audit なり何なりで解決すべきレイヤーということで現状では落ち着いた答えがあると思う。

そのうえで、 proc-macro そのものが悪さをするのを防ぐのは、リッチなエディタ (特に language server や IDE 系のもの) による編集という段階でのリスクに対しては確実に効果があり、そっちの話をしているという理解。

むろん proc macro だけで済む話ではなく場合によっては build.rs のようなものについても処置は必要ではあるけど、セーフゾーンを広げられるという点では進歩が大きい

成果物実行時のリスクについては audit 以外にもそれこそ std に capabilities 的なものを付けちゃえとか wasi 経由でやってサンドボックスに突っ込めば雑な悪行くらいはどうにかなるやろとかいろいろ試みはあるけど、とりあえず low-hanging fruit は既におおよそ採り尽されていそうという点では落ち着いている

gitea だるいな、 gitlab の方が一周回って楽なのではという気がしてきた (ほんまか)

どうせメモリ128GBあるしな……

gitea が悪いというよりは SSH を安全に露出する方法がないのが険しいという話なんだが

ここでいう安全にとは、自宅の IP アドレスを隠蔽してサービスを公開できる、くらいの意味

今回の gitea だるい案件は、 TurnKey Linux の gitea のデータディレクトリが /home/git にバイナリやログ、一時ディレクトリと並べて複数ぶちまけられているせいで、 LXC コンテナに NAS のブロックストレージをマウントしようにもパスが定まらず困った困った、というやつ

/home/git/custom/ (←最初から LXC イメージに入ってる)
/home/git/gitea-repositories/ (←データ)
/home/git/data/lfs/ (←データ)
/home/git/log/ (←ログ)
/home/git/run/ (←ソケットが置いてある)
/home/git/gitea (←たぶん最初から LXC イメージに入ってる)

こんなんどうせえと

自宅の IPv6 アドレスを DDNS 化した cloudflare DNS API でドメインに紐付けているので、場合によっては自宅の v6 アドレスが割れてしまう

半固定なのでいつ変わるとも変わらんとも知れないし

cloudflare tunnel では SSH をそのままトンネルしてくれないっぽいし (クライアントに何かツールが必要らしい？)

かといって VPS に立てると自宅の冗長化大容量ストレージと有り余るメモリを活用できないし

VPN なぁ、ちゃんと勉強しないとだめか……

(べつにプロキシするだけなら、どこかの VPS に適当に nginx 立てといて stream モジュールで全部転送するという雑な手もあるにはある (IP アドレスの共有には DNS 以外の手法を使う))

実は Prometheus 向けの自宅メトリクス用のドメインも DNS にそのまま突っ込んでいるので既にアドレス洩れており、セキュリティは HTTPS 強制と basic 認証で誤魔化すという雑メソッドにしている

まあそのうち cloudflare tunnel にすると思う、どうせ HTTPS が外から見えれば十分だから

https://mastodon.cardina1.red/@lo48576/110929148446667025

ネットワークはさておきこれがあり、もういっそ面倒だし rootfs ごと全部 NAS に置くか……？ となっています (気が乗らないが……)

4.2.1 か 4.2.2 が慌てて出されるまでは保留かなぁ

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

安ど

このアカウントは、notestockで公開設定になっていません。

よく見ると足が3本ある辺り AI 生成っぽい (?)

このアカウントは、notestockで公開設定になっていません。

エミッタとコレクタとベース……

電界効果トランジスタグラマーはもっと扁平だろ (?)

ケース内にたくさんホコリが溜まるほどの環境でない前提で話すと、埃でそこはかとなくフィンの色は変わるけど (これは普通) エアブロワーで困るような事態には今のところなっていない

よく考えると、寝室用途込みの居室においてあってほぼ常時リモートワークで24時間稼働のサーバがこのレベルというのはだいぶ調子が良いな……
昔ロフトベッドの下にデスクトップ機置いてたときの地獄と比べて懐かしくなったわ

このパターンは初めて見るわwww

このアカウントは、notestockで公開設定になっていません。

臭くなりそう

気持ちはわかるのと、スプレーは缶の処分が面倒なので、100円ショップで買った手動ブロワー使ってる (劣化して握るゴムの部分から空気が漏れ出す)

真ん中のファン外すのが簡単なら別に他に気にするようなことはあまりない、というか挟まれたファンを外せないものなんて知らない

賞味期限が今年1月の #myoldgear 経口補水液があったのを思い出したので、物理出社のお供がこれになった #労働は健康に悪い

暑い、暑いが自宅の部屋よりは涼しい……

品川駅、ﾌﾞﾘｭﾘｭﾄｮｰｽがﾌﾞﾁﾌﾞﾁキレるな。もう帰りたくなってきた

Ogre meat house

調理、工夫したので1食の洗い物が全部込みでフライパンと箸2膳しかなくなった

CHI

なんかラーメンにシャキシャキの草が乗ってるんだが、草の名前わからないので「シャキシャキの草だ……」と思いながら食ってる

このアカウントは、notestockで公開設定になっていません。

「リアルな」の意味

❌ 現実に即して
⭕ 写実的な画風で

まあ日常でもこういう使い方はするので理解できなくはないが、歴史とか事実を扱う文脈なんだからそこはちゃんと気を遣えよとはなる

このアカウントは、notestockで公開設定になっていません。

そ、ソフトリアルタイム

ハードリアルとソフトリアル？

件の問題は「リアル」よりも「復元」が引っかかる

生成AIにより大震災の様子を伝えるプロジェクト「関東大震災 100年前の100人の新証言」を日本赤十字社が開催 | 知財図鑑
https://chizaizukan.com/news/1Ah5tmfnlNwhY3lTwDDlAO/

> また、当時の文献データからAIライティングシステムにより、生成AIによる“新”証言を導き出した。

よく読んでみたら、最初からエモ全振りの倫理ガバガバ企画やんけ！

https://mastodon.cardina1.red/@lo48576/110931405299228040

やっぱ擁護できない

カブ……カブなぁ

このアカウントは、notestockで公開設定になっていません。

結局、事実だろうが虚偽だろうがエモけりゃ人は都合良く動くと思われていて、だからこういう企画が堂々と行われるわけ。民衆が舐められてるのよ

こうしてプロパガンダで人々をコントロールしようとする光景を見るに、戦争から何も学んでないのだろうなとは。
いやある意味 “効果的な手法” を学んだといえるのか？

https://mastodon.cardina1.red/@lo48576/110931422016897813

このアカウントは、notestockで公開設定になっていません。

従軍慰安婦の “新証言” が出てくるまであと何日？

このアカウントは、notestockで公開設定になっていません。

邪悪なオタクは俺だけじゃないと思うと安心する (最悪)

遺言書なぁ

遺書ファイル、遺書リポジトリ - Togetter
https://togetter.com/li/1079434

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

調教したｴｰｱｲ同士で不毛な論争させるの、「機械化して人が死ななくなった戦争」じゃん……

このアカウントは、notestockで公開設定になっていません。

すこられているに空目

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

か、帰りたくねえ

#労働は健康に悪い
#人生は健康に悪い
#死は健康に良い
#memento_mori

勘弁してくれ〜〜 #人生は健康に悪い

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

1秒もプレイしてないゲームのサントラだけ買うの、あるあるすぎて

Random Time Clock

UTC-1464:00 の地域にいらっしゃいます？

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

60Hz くらいじゃチカチカするよね (?)