かってきままな日々

_ macOS Catalina の NFS 問題

rpcbind (portmap) への登録ができない件。

ESET がそれを [::]:xxx から [::xxx:xxx:0:0]:111 への TCP アクセスと認識 して落としてる。xxx 部分は毎回変わる。

ただ、TCP の片側が :: なんて、おかしいにも程がある。

com.apple.rpcbind.plist を見たところ、/var/run/portmap.socket で listen してる。launchctl で見ても同様。/var/run/portmap.socket は確かにある。 しかし macOS ではその socket をどのプロセスが使ってるかは判らない。 でもまぁ socket activation なのだろう。

launchctl で rpcbind に SIGTERM を送ると確かに落ちるけど、 sudo nfsd restart すると上がってくる。 これは socket activation の機能。

nfsd と rpcbind は、IP でなく /var/run/portmap.socket を使って通信してるのではないか?

だとすると ESET が記録している TCP 接続は何だろう? UNIX domain socket を何らかの手法で INET domain に mapping して、 その上で filtering している??

などと、あまりのわけわからなさに思考がめちゃくちゃになってきた…

tcpdump や wireshark で見ても捕まえられないんだよねー。

_ lsof

そういや lsof なんてあったんだな。macOS にもあったのか。

lsof -niU で望みの出力が得られた。

なんと launchd は TCP port を一つも listen していなかった。まじか。 /var/run/portmap.socket は listen していた。

つーことは、rpcbind は /var/run/portmap.socket の通信が始まったことで起動した、 と考えて間違いなさそう。

そうすると、やっぱり ESET のログがさっぱり解らん。

_ 原神

トワリンを救出！

あ、岩はこの後だったのね。

あとバーバラはここでゲットか。

でも岩エリアにはもう到達してるし、 バーバラはガチャでゲットしてある。

で、岩エリアへは、雪山を迂回して到達するんだったのね。 さっき気づいたわw

_ 原神 - 海祇島→淵下宮

海祇島を探索しようとして話しかけたら、淵下宮に連れて行かれた…

ど…ど…どうしよう… 一旦戻って海祇島を探索するか…？

とりあえず、今日は淵下宮を探索してみた。

岩壁にシミのように描かれた模様なんて見つからないんだけど!? 蝋燭で仄かに明るいことに気づいて、仄かに明るい場所を探しまくった… 大変だわ、ここ…

_ Xorg で kde screenlocker

Xorg にしたら問題ないのね…

Xorg、さすがの歴史だけあって、安定してるなぁ。

でも Xorg だと HiDPI モニタがピンぼけしてすごくイヤ… ん? Global scale を設定すると、わりといける?

_ 崩壊3rd - 武器スキル

武器スキルにも、操作で効果を得られるものと、 passive なものがあるのね。 操作によるものは EP/クールタイム の記載があるけど、 passive なものにはない、と。

で、武器スキルはキャラ画面には表示がなさそうなんだけど、 第2部のキャラには表示されてる。 (ただ、いくつかのキャラについて見ただけなので、 全ての第1部キャラに表示がないのかどうかはわからない)

そんな感じかな。

三分結晶、つらい…

_ 原神 - やり残し世界任務をやる

独り立ちの日が発生しないので、 aki-games さんの動画を見て、 やり残し世界任務を潰していった。

よく数えてないけど、4個前後くらいあった。

独り立ちの日が発生した！ 進めるのは明日かな。

_ 鳴潮 - 紀行課金

「紀行」じゃないな、えーっと、ユニバースなんちゃら？ 覚えられないわ。課金。

_ 原神 - リンネアの授業

「飴細工・リンネア」をもらった。 これ、ほとんど効果がないのに23時間後に期限切れって、 どうしたらいいんだ ^^;

_ secure boot 障害

納得いかない。先日の日記を見ても、Windows Update が入り込むタイミングなんてないじゃん。

というわけで、例によって gemini と相談しながら設定を調査・対処していった。

まず、

# pesign -i /efi/EFI/Limine/BOOTX64.EFI -l
---------------------------------------------
certificate address is 0x7f0bad4c3008
Content was not encrypted.
Content is detached; signature cannot be verified.
The signer's common name is MosbyKey [2026.04.21]
No signer email address.
Signing time: Tue Apr 21, 2026
There were certs or crls included.
---------------------------------------------

Content is detached が問題らしい。署名がバイナリに埋め込まれていない。 だから signature cannot be verified。

埋め込みたいんだけど、pesign にはその方法がないらしく、sbsign に切り替えることにした。

使い方的には↓こんな感じ。

sbsign --key /etc/pki/pesign_luna/MosbyKey.nopass.pem \
       --cert /etc/pki/pesign_luna/MosbyKey.crt \
       --output /efi/EFI/Limine/BOOTX64.EFI \
       /tmp/a.efi

/tmp/a.efi は、config の b2sum を enroll-config したもの。

nopass は↓で作った。

openssl rsa -in MosbyKey.key -out MosbyKey.nopass.key

sbverify で確認。確認方法は↓。

# sbverify --cert /etc/pki/pesign_luna/MosbyKey.crt /efi/EFI/Limine/BOOTX64.EFI
Signature verification OK

この BOOTX64.EFI で Limine は起動できた。

ただ、linux kernel も同じ方法を使ってたので、こちらも sbsign に切り替える。

UKI (Unified Kernel Image) 方式。

これまで、/etc/initcpio/post/uki-pesign を作って、そこで pesign してたんだけど、 uki-sbsign を使うようにした (なんでか、私のはもうちょっと複雑。なんで？このページのスクリプトが最近簡素になった？？)。

直った…

結局、何が変わったのかは判らないままだけど、回復はできた。

ん？あれ？

# pesign -i /efi/EFI/Limine/BOOTX64.EFI -l
---------------------------------------------
certificate address is 0x7f91f1c21008
Content was not encrypted.
Content is detached; signature cannot be verified.
The signer's common name is MosbyKey [2026.04.21]
No signer email address.
Signing time: Wed Apr 22, 2026
There were certs or crls included.
---------------------------------------------
# sbverify --cert /etc/pki/pesign_luna/MosbyKey.crt /efi/EFI/Limine/BOOTX64.EFI
Signature verification OK
#

おかしいなぁ・・・・ pesign はダメ言うてるけど sbverify は OK って言ってる。

まぁ、secureboot 用には sbsign/sbverify 使え、ってことでいいのだろうな ^^;

あと、証明書の親子関係なんだけど、

luna:~ % mokutil --pk |sed -n -e '/^.key/p' -e '/Issuer:/p' -e '/Subject:/p'
[key 1]
        Issuer: CN=Mosby Generated PK [2026.04.21]
        Subject: CN=Mosby Generated PK [2026.04.21]
luna:~ % mokutil --kek |sed -n -e '/^.key/p' -e '/Issuer:/p' -e '/Subject:/p'
[key 1]
        Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
        Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
[key 2]
        Issuer: C=US, O=Microsoft Corporation, CN=Microsoft RSA Devices Root CA 2021
        Subject: C=US, O=Microsoft Corporation, CN=Microsoft Corporation KEK 2K CA 2023
luna:~ %

これはもう、そういうもんなんだろうな。

それと、MosbyKey [2026.04.21] は db に入ってる。efi-readvar -v db で確認できる。 Mosby がここにも入れるんだろうな。

今となっては全然解らないのが、何故 sbsign をやめて pesign にしたか。 以前の日記に、「使い方がよく解らなかったので、理解できた pesign で」とか書いてある。 sbsign の何がそんなに難しかった？ むしろ簡単じゃん。解せぬ…

_ NTE

事前登録済み。