うちのZero TrustはWSL2のGitHubへのsshを通してくれない

前回、CloudflareのZero Trustについてちょっとだけ書いた。
今のうちの環境では、Zero Trustを有効にしたCloudflare WARPをオンにするとGitHubと接続できなくなる。ブラウザで見たりはできるのだが、とりあえず git pull は通らない。通らないと言うか鍵のパスフレーズ入力にもたどり着かない。
ちなみに、Cloudflare WARP アプリの名前は Cloudflare One Client という名前にリブランディングされるようだ。

 

そんなもんかと思っていたがこれは WSL2 環境で行った場合で、Windowsの方で git pull すると成功した。WSL2 のすべての通信がダメなわけではなく apt get などは問題なさそうだ。よくある ssh -T git@github.com が進まない。ローカル環境の Raspberry Pi に SSH するのは問題ない。ping github.com なども通るので DNS は問題ないのだと思う。

ssh -Tv git@github.com で詳細を見てみる。

...略...
debug1: Local version string SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.14
debug1: Remote protocol version 2.0, remote software version b15cbbe
debug1: compat_banner: no match: b15cbbe
debug1: Authenticating to github.com:22 as 'git'
debug1: load_hostkeys: fopen /home/xxx/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: sntrup761x25519-sha512@openssh.com
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY

ここで止まっている。 
鍵交換の応答を期待しているが返ってきていない？
-o KexAlgorithms=ecdh-sha2-nistp521 をつけるとうまくいったという人がいたのでまねしたが変わらず。
ログに出てくる sntrup761x25519-sha512 というのが暗号量子対策として変更された方式なのかな。

Post-quantum security for SSH access on GitHub - The GitHub Blog

$ ssh -v git@github.com exit 2>&1 | grep 'kex: algorithm:'
debug1: kex: algorithm: sntrup761x25519-sha512@openssh.com
^C 

そういうのはともかく、Zero Trust なのか Cloudflare WARP なのかわからないが、それを有効にすると NGになるし影響があるのは WSL2 での ssh だけというのが気になる。 

 

何もしてないのに。。。

あとは Windows で設定しているファイアウォールが影響しているとか？と思ってゆるい設定にすると通ってしまった！
そして設定を戻したのに通ってしまった！

な、何もしてないのに。。。

 

しかしその後もあまり調子よくない

その後はあまり気にせず使っていたのだが、PCの再起動をしてからまた調子が良くない気がする。SSH などは問題ないのだが winget のサイトと接続できない。Chrome もなんか時間かかったし DNS関係でなんかあるのかねぇ。

2026/02/24追記

よくわからないのだが、メーラーのThunderbirdに設定している Yahooメールのアカウントだけアクセスに失敗する。Gmailや他のアカウントもあるのだが失敗するのはYahooだけだ。「ログイン情報を送信しています...」のあとに失敗したダイアログが出てくる。ファイアウォールでこけているわけでもなさそうだし、パスワードの渡し方の設定を変更すると「対応してない」と出ているので通信自体はしているようだ。海外からのアクセスを許可しないようにしていたので無効にしたのだが関係ない。まあ、もう1台で動かしている Thunderbird の方は問題なく動いているから PC 側の設定だ。

ああ、いまわかった。

Windowsの IPv4 DNSサーバを 1.1.1.1 にしていたのだが、これを宅内のルータに設定すると動くようになった。
Cloudflare WARPをオンにするとダメになるから、DNS周りのなにかなんだろうなぁ。 

ThinkPad T460sにUbuntu24.04を入れたがスリープから復帰しなかった

長らく使っていなかった ThinkPad T460s だったが、長時間アプリを動かすテストにちょうど良さそうだったので Ubuntu24.04 をインストールした。

それはよかったのだが、蓋を閉じたりしてスリープさせると復帰しなかった。電源オフにしてもキーボードのバックライトが点いたままで電源周りが上手く行ってなさそう。

Debianのページに書いてあるとおりに /etc/default/grub に修正するといまのところ大丈夫そうだ。 

InstallingDebianOn/Thinkpad/T460s - Debian Wiki 

 

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash intel_iommu=off"

 

"splash" は元々書いてあったのでそのまま残しているだけだ。 

管理されたChrome

Google Workspaceのアカウントでログインしている Chrome だとこのような感じで組織によって管理されていることがわかる。

それはよいのだが、個人GoogleアカウントのChromeも管理されていることになっている。

 

よく見ると、どちらもブラウザは組織によって管理されているが、プロフィールが管理されているのは Google Workspace アカウントの方だ。

 

なぜ急に気にしだしたのかというと、前回 Cloudflare WARP(Cloudflare One Client) であれこれやっているときに DNSをどうしているのかがわからなくなったからだ。WARP(or Zero Trust)を有効にすると DNSはおそらく Cloudflare を見に行っている。Windowsの設定画面でも手動で設定していたDNSの方は見に行っていないというような記述に変わったからだ。

それはそれとしてブラウザはどうなっているのか Firefoxを見ると自前で設定を持っていた。では Chrome はというと「この設定は管理対象のブラウザでは無効です」とのことだ。 

組織ってどこよ？？というのはわからんが、解除の方法は載っていた。
レジストリ削除がいるらしい。あ、これ Enterprise and Education だから私の環境とは一致しないな。やってみたが、いくつか削除できなかった。
これってレジストリとChromeのアカウントは関係なさそうだからアプリごと管理されることになるんだろうか。

SpywareBlasterで設定した項目が policy の画面に出てきてので、外部から設定されると「組織での管理」と思われてしまうのだろうか。あるいはCloudflare WARPのインストール？
わからん。。。

Cloudflare WARP

仕事の打ち合わせで、家のWiFi以外の環境でPCを使うかもしれない、ということがあった。よくセキュリティの話で「自分は大丈夫、と思う人ほど危ない」ということを聞くが、ではそう思わない人はどこまでやればいいのだ？と思ってしまう。今回だと、オープンなWiFi環境を使うのに何を心配したらいいのだろうかがよくわからない。

こそっとUSBに挿されるなどの心配を除けば無線で何かされるのを警戒すればよいはずだし、Bluetoothを受け付けないようにしておけばWiFiだけ気にすればよいはずだ。
ファイアウォールでアプリごとの接続はある程度管理しているつもりだが、 接続先が本当にそうなのかなどは家のルーターにお任せしているので外の世界だよくわからない。

そういうときはよく聞くVPNかなあと思うのだが、今回のためだけにお金払うのも何だし、かといって無料VPNが信用できるとも言えないし。

いろいろ考えたが、VPNはあきらめてVPNっぽいものを導入することにした。 

• 1.1.1.1 — インターネットを高速にする無料アプリ
• About Cloudflare WARP · Cloudflare One docs

説明を見ても書いていないように、VPN、とは言っていない。
私の解釈では、通信先の直近がCloudflareになり、Cloudflareがチェックしてから接続先につながる、だ。
そこまでしなくても、DNSを 1.1.1.1 にするだけでよいのかもしれない。Google が 8.8.8.8 なので似たようなアドレスをみんな使っているのかもしれない。

悩ましい選択 

Cloudflareがよいか、Googleがよいか、自分のISPがよいか、あるいは他のDNSか、みたいな選択になるのかね。 どこかを使うことにはなるので選択するしか無い。
自己責任と言うか、選択の自由と言うか、ともかく悩ましいところだ。

 

Zero Trust

Cloudflare WARPの設定というか接続というか、Zero Trustというものがある。
これはどちらかというと会社のような複数端末で個別の設定ではなく共通の設定を使いたいときのサービスだと思う。 
Zero Trust自体はプライベートなネットワークにアクセスするときには必ず検証するというルールを敷くもので、Gatewayという機能がファイアウォールのような役割を果たすようだ。Email Security という機能だったり、他にもいくつか使える機能をまとめて Cloudflare One という名前になっているようだ。

 

これを有効にすると、Zero Trustサイトで設定しないと通信できなくなる。ブラウザは使えているから http や https はいけるのかな？ Windows Update も通りそうだが winget はダメかも。GitHub に push したり Thunderbird でのメールチェックもダメだし、実は全然使いこなせていない。

ま、まあ家の外で使うならそのくらいの方が安全かもね。 

 

信用ではなく利用なんだ 

Cloudflareのアカウントがないと使用できないが、アカウントは個人で使用する分には無料でも作ることができる。商用とか非商用とかではなく小規模というところか。
私は、お名前.comでドメインを取ったが面倒になってきたのでCloudflareに移管した際にアカウントを作った。ついでに個人事業主のホームページも Cloudflare Pagesでつくったし、なんかもうズブズブになってしまった。

まあでも、そこは信用したのではなく利用しているだけという意識は強く持っておきたい。それこそ Zero Trust というか、Trustminimization というか。

 

おまけ

ドメイン管理をしているからか Pages を使っているからか、AIからのクローリングを許す・許さない設定がある。うちみたいなところでもクローリングされるのね。。。
なんとなく全部ブロックするようにした。 

 

 

SSDが高騰しているそうだ(2025/11/30)

2025年10月の初頭に、デスクトップPC の m.2 SSD が寿命を迎えそうだ(すでに迎えていた？)ということだったので買い替えた。

hiro99ma old blog: SSDの「使用率」

今でも特に問題なく使っている。
それとは別に、この2か月ほどでメモリなのか半導体製品全般なのかわからないがいろいろ高騰しているという話を目にした。

 

2025/10/06 に届いた SN7100(1TB) は 11,880円だった。税込みかな。

 

 

2025/11/30 に Amazon で同じ SN7100 を見てみると・・・2万円！
危ないところだった・・・。

 

このページは Western Digial の商品紹介ページだったのだが、クリックして商品詳細を見ると 1TB は価格が出てこなかった。
そういえば売り切れが相次いでいるという話もあったので、これがそういうことなのか。
ちなみに 500 GB のは 9,080円でした。

よかったよかった、で終わればよいのだけど、消耗品だからいつかは買い替えるだろうし、デスクトップ PC 本体だってもう3年経っているから細々使っていても3年くらいしたら買い替えになるだろう。
その時が怖いですな。

 

高騰の理由は、てきとうに記事を眺めたところでは AI関連でデータセンター設立だったりして使用される量が多くなって品不足になった、みたいな感じらしい。本当かどうかは知らないがそれっぽい理由ではある。

こういうのは落ち着くまで・・・AI事業者の勝者/敗者が目立ち始めるまでは続くのだろうね。

 

2026/02/10

Raspberry Piで動かしている HDDの調子が良くなさそうなので、調べるついでにこちらの値段も再確認。

約3.5万円！

ああ、1.2万円だったころに予備を買っておけばよかった。。。 

 

AmazonでHDDを見ていたが「整備品」がかなりたくさん出てくる。
きれいにした中古品らしいので、ストレージだとジャンク品を買うような気持ちでないといかんだろうな。
以前買ったときは新品のつもりで買っていたのだが「整備済み」と書いていなければ新品なのだろうか？ なんかこう、信用ならんのよね。。。
ただ、Amazonは少なくともこういう製品については「危険を承知で買う」というところになってしまったという印象を受ける。

2026/02/13

なんとなく今日見るとちょっとだけ下がっていた。
「残り1点！」というのが、本当なのだかどうかはまあわからんね。 

販売元はAmazon以外しかなかったのだが、しばしば「すり替え防止対策済み」などと書いてあった。使ってみないとわからない商品がすり替えられていたりするとガッカリというか怒りというか、単なる犯罪だよねぇ。

値段に釣られやすいのがわかっているのでせめて販売元もAmazonのを探したいところだがどうなんだろうね。 

2026/02/21

金額だけでいいや。\33,660。Amazonが出荷元だと \34,350が最低額だった。 

最近のノートPCは薄い

デスクトップPCも持っているがノートPCも持っている。
ThinkPad T14sという機種で、キーボードにトラックポイントがある。

最近のノートPCは薄く薄くしようとしているためか、トラックポイントのキャップの高さがどんどん低くなっている。T14s は購入して3年くらい経つのだが、たぶんまだ同じタイプだと思う。
3種類あるが、たぶん、たぶんだが真ん中のやつだ。対応機種などを書いてくれないので心配になる。それに10個もいらないので最初から3個くらい付けておいてほしい。私は6年くらいで買い替えているので買えば年1個交換してもよいのだけど、前回は追加で買ったけど新しいPCでは使えずに余って哀しい思いをした。削って使ってるけど。

 

 

その前代であるT460sを久々に使ったのだが、トラックポイントはよいとしてそのときのクリックするボタンが押しやすいことに気づいた。 
いまの T14s はパームレストとほぼ同じ高さなのだが T460s は高さがあって指で探しやすいし押すときにキーボードのキーを押すくらいの感覚で押し込めるのだ。

まあ、ノートPCは持ち運びたいだろうから薄く作って軽くしたいのだろうけど、持ち運ばない人用に多少厚みがあっても打ち込みやすいタイプが売られるといいなあ。無理だろうなあ。 

 

CrystalDiskInfo

bitcoind を動かしている HDD が死にかけているっぽい。

• rpi: HDDの調子がよくないのでツールにチェックしてもらう | hiro99ma blog

費用としても手間としても手痛い。。。

それはともかく、せっかくそういう状態なので CrystalDiskInfo で見てみよう。

• Crystal Dew World [ja] - 2026年の抱負

PCにインストールされていなかったので窓の杜で探そうと思ったが、winget で取ってきてもよいかと UniGetUI で探した。

 

たくさんエディションがあるのだが、一番上だけ毛色が違う。

毛色と言うか、名前がそもそもスペースで区切られていて違うし、他が CrystalDewWorld.CrystalDiskInfo なのに WsSolInfor.CrystalDiskInfo だ。

zipファイルだけとってきて証明書を見ると、本家の9.7.2はこう。 

 WsSolInfor のほうはこう。

 

ち、違う。。。と思ったが、本家の 9.6.2 もそうだったのでちょうど切り替わったタイミングというだけなんだろうか。

zip ファイルが、本家からとってくるとアンダーバーで区切られているのだが winget に載っていた方からダウンロードするとハイフンとドットになっていたり気になるところはある。 

 

あるのだが、DiskInfo64.exe のハッシュ値は一致していたりしてなんだかもうわからない。 

https://github.com/microsoft/winget-pkgs/commits?author=wssolinfor

「パブリッシャー」がこの wssolinfor という人で作者はオリジナルの人だったから、単にパブリッシュした人が違うというだけなんだろうか。winget がよくわからなくなってきた。
自分では winget に登録していないけど、そのアプリを使っている誰かがこれは便利だと思ってパブリッシュした、という感じなのだろうか。

Windows11のDownloadsがグループになるのはあきらめた

Windows11のExplorerではファイルの表示方法がいくつか設定できる。

どうするかは個人の好みだが、私は「一覧」で「ファイル名の昇順」にしている。たくさん表示したいのだ。デフォルトは「詳細」なのかな。

ちゃんと調べてないのだが、「フォルダーの表示」で現在の表示方法を他にも反映できるのだが、反映する範囲は「フォルダーの種類」の範囲になるんじゃないかと思っている。 

 

 

この表示設定だが、ときどき変更されることがある。タイミングはよくわからないが Windows Update で比較的大きめの内容だと変わりやすい気がする。

その中でも「ダウンロード」フォルダの表示設定が「グループ」になるのが気に食わない。いつダウンロードしたかということをわかりやすくしているのだろうが、ファイル名順になっている前提で探すし、ダウンロードし終わったらファイルは削除しているのでグループになっているだけで腹立たしいという感じだ。

いろいろやって変更が戻らないようにできないか調べていたが・・・あきらめた。
%USERPROFILE% は OS が管理するので何をされても文句を言えないのだ。これはプロパティで「場所」を変更してもついて回るように見える。
なので、標準の「ダウンロード」や「ドキュメント」などのフォルダは使わず自分で別の場所を作ってそちらで作業するようにした。

 

Open-Shell menu

普段はExplorerの設定を「一覧」にしているが、他の設定で見たいこともある。そういうときにいちいちコンテキストメニューを開いたりリボンを開いたりするのは面倒なので Open-Shell menu をインストールしていた。

が、最近は Windows の仕様変更関連だと思うが表示されなくなった。 

https://github.com/Open-Shell/Open-Shell-Menu/issues/2406