IT系と日常系の備忘録。三日坊主。
SSHの秘密鍵、皆さんどうやって管理されてるんでしょう。
私はこれまで秘密鍵についてはCryptmatorを使って暗号化したうえでOneDriveに保存するようにしていました。
これだと複数マシンで楽に利用できますし、Cryptmatorの仮想ドライブ機能で復号したファイルを参照できるのでいちいちファイル暗号化、復号を行う必要がないわけです。
ここ数年はこれで問題なく運用してきましたし、別にこれで困ったことはありません。
ただ、普段パスワード管理で利用している1PasswordにSSHエージェント機能が搭載され(2022年のv8.6で)、わざわざ秘密鍵をファイルとして管理しなくとも、統一的かつ安全に管理することができるようになったので、重い腰を上げてそちらに置き換えることにしました。
これまでRaspberryPi上にISC DHCPをインストールして自宅内DHCPサーバーを運用してたんですが、USBメモリーブートのRaspberryPiだと長期間運用が厳しく、かといってこのためだけにUSB接続のSSDを導入するのももったいない。
今回仮想化プラットフォームのProxmoxを導入したので、この機会に環境を一新。
今回はただDHCPサーバーを構築するだけだとつまらない(?)ので、
を持ったサーバーを立ち上げることに。
というわけで、AdGuard HomeをインストールしてDHCP、DNS、広告ブロックを行いつつ、Tailscaleで自宅の外から広告カットできるVPN接続を行える環境構築。
今回構築したProxmoxマシンは録画マシンも兼ねているため、大容量HDDを直接VMから読み書きできるようにしたい。
VMware ESXiの頃はRDMの設定を行って直接読み書きできるようにでき、10年近く前にブログ記事にまとめていた。
Proxmoxでも同じように設定できたので覚書き。
ProxmoxではKVMを利用した仮想マシン作成だけでなく、LXCコンテナの作成も可能。
LXCはまるで仮想マシンのようにそれぞれのコンテナ単位で独立したOSをインストールして構築するわけではなく、一つのLinuxカーネルを利用して複数の独立した環境を作ることができるため、リソースの消費が少ないのが特徴。
またDockerとは違い1コンテナ当たり1プロセスというわけではないので、複数のプロセスを同時に動かせることがメリット。
Dockerはアプリケーションの隔離環境で、LXCは軽量な仮想マシン環境というイメージ。
前回までにProxmoxのインストールと初期設定が完了したので、今度は仮想マシンを作成するところから。
今回はWindows 11の仮想マシン作成。
これまでVMWare ESXiを利用して仮想環境を構築していたんですが、
という問題があり、また今後も継続的に無償で使うことができない可能性も否定できないこともあり、そろそろ別の仮想化ソリューションを検討したいなぁと。
そんなわけでいろいろ調べたところ Proxmoxというソリューションが大変よさげだったので導入しました。
なお、今回は一旦ESXi上で作っていた仮想化環境をすべてふっ飛ばして一から作ることにしたので移行作業はなし。
Windows 11の再インストールをする際、OOBE画面の操作でいちいちUSB接続のマウスを使う必要があるのは面倒だなぁと思っていたところ、知り合いから良い方法を教えてもらったのでメモ。
OOBE画面では Shiftキーを押しながらF10を押すとコマンドプロンプトが起動する。
コマンドプロンプトで start ms-settings: を実行すると、Windowsの設定画面が表示されるので、あとは頑張ってキーボードでBluetooth接続すればOK。
ネットワークを切断した状態でOOBE画面を進めることができる oobe\bypassnro も別途覚えておくとローカルアカウントでセットアップしたいときに便利。
新しくマシンを組んでWindows 11を入れてから、リモートデスクトップで正しいパスワードを入力して自動ログインできるよう設定していても、
![[はてなブックマークで表示]](http://b.st-hatena.com/entry/image/https://blog.hitsujin.jp/entry/2014/06/08/161357)
![[はてなブックマークで表示]](http://b.st-hatena.com/entry/image/https://forest.watch.impress.co.jp/docs/serial/yajiuma/1401644.html)
Windows Defender Credential Guard では、保存された資格情報を使用できません。資格情報を入力してください。
というエラーが表示されるように。
仕事用の接続先に入るときならともかく、録画マシンにログインするときに毎回パスワードを入力するのも面倒なので調べてみたところ、下記のサイトがヒット。
https://www.orangeitems.com/entry/2022/10/05/182144
バグというか、パスワードを入力せず自動ログインさせるなんて危ないからとはじいてるだけかなぁとは思うものの、とりあえず私の運用ではそこまで厳密にしなくてもよいので無効化することに。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard]
"RequirePlatformSecurityFeatures"=dword:00000000
"EnableVirtualizationBasedSecurity"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LsaCfgFlags"=dword:00000000
上記内容のレジストリファイルを作成して実行し、PCを再起動すれば Windows Defender Credential Guard が無効化され、これまで通り自動ログインできるようになるはず。
Windows Defender Credential GuardってWindows 10ではEnterprise向けだったはずなんですけど、11ではProfessionalでも有効になったのかな・・・。
本来無効化するのは脆弱になるという意味でよろしくないので、何か他の方法があればいいんですけど。
録画マシンとしてRaspberry Piを利用しているのですが、別の用途で利用したいので別の使っていないマシンに切り替えることにしました。 ちょうどUbuntu 22.04 LTSが公開されたタイミングだったのでそちらを用いることにしたのですが、SSHの鍵認証で躓いて30分ほど悩んだので備忘録。
これまでSoftEtherを利用したVPNを利用して来ましたが、最近Wireguardという新しいVPNが話題になっているので自分も使ってみました。
正確にはWireguardベースのTailscaleを利用したのですが、SoftEtherよりも簡単に構築できて便利でした。