ほほほのほ - tweet:2015

DouwikiとNGiNXではまる

anonymous@undisclosed.example.com (Anonymous) — Wed, 07 Jan 2015 16:00:00 +0000

DouwikiとNGiNXではまる

なぜかわからないが、NGiNX上で動作させているDokuwikiに記事を投稿すると、「権限がないからかきこめないよ〜ん」と言い出してloginページに飛ばされる事案が発生。

散々色々調べ、何をどうしてもダメなので、Dokuwikiのdebug modeをonにしてみたが、&do=debugを「保存」ボタンと一緒に設定する方法がないことに気づいて、「やっぱりダメか」と…

とりあえず、debug mode中にlogが出てくれると…と期待して書き込んでみたら、「なぜか書き込めるようになっている」。

え？とおもって、debug modeを外したらやっぱり書き込めるようになっている。

どこかでConfigurationが狂ったとしか考えられないが、なぜ？？？

しかし、再現できないから追えないのであった、まる。

追記

結局、翌日になっても再現しないのであった。これはこれ以上追えない…

Test

anonymous@undisclosed.example.com (Anonymous) — Tue, 13 Jan 2015 10:15:02 +0000

Test

Dokuwikiのテスト。

Facebookに書いた駄文(20150115)

anonymous@undisclosed.example.com (Anonymous) — Wed, 20 May 2015 06:07:29 +0000

Facebookに書いた駄文(20150115)

Twitterでつぶやいたんだけど、こっちにも。こっちに書くのはそれはそれで怖いんだけど。

今日のJANOGで「なぜ、IPv6 対応したくないのか」というセッションがあって、そのツダリを見てて思った事。

IPv6にしたくない理由なんて、おそらく星の数ほどある。で、僕の観測範囲に限定すれば、「面倒臭い」と言えないから理由をつけてやらないと云うのが多い。(全てではない)

IPv6の最大の弱点はおそらくこの「面倒臭さ」を解消できなかった事じゃないかと。

で、面倒臭い理由が

「既にv4が広がってしまい、始めるためには結局v4もやらなければならない」
「v4でやれるなら両方ヤルのは工数からも運用からもコスティ」
「もういいよv4だけで」と多くの「Contents作成者」が思う

じゃないかと。(全てではない)

僕らインフラ側は、もう、IPv4だろうがv6だろうがなんとかなると思うわけですよ。それだけの期間IPv6を触ってきたし、そういうインフラも作ってきたし、ここからやることは恐らくほとんどデバッグ。

でも、コンテンツ側って、恐らく僕らがIPv6ネットワークを作り始めた頃はIPv6なんて関係なかったし、IPv6って言われ始めた頃は「対応が面倒」な上に、利用者も少なかった。しかも、今よく考えてみれば、v4 or v6なんて、本質的にどうでもよくて、作成したコンテンツが「最も消費してもらえる」プラットフォームを利用したいだけでしょう。Social Game作る人ですら、ほとんどの場合HTTPプロトコルのPayloadを利用するだけで別にSocket Programmingしているわけじゃないし。

(まぁ、log分析だの何だのを考えれば色々やることはあるだろうけど、そこはコンテンツ提供という当初の目的からすれば二次的な範囲なわけで)

その上で、IPv6は実質的に「アドレス空間が広いという事」以外にIPv4に対する優位点はないわけで、それも、「今のサービスモデル」を前提にするなら、NATだのLBだのである程度逃げられるから、Protocol的な優位点はないと思うわけです。

(新しいサービスモデルを考えるという「銀の弾丸」による解決は、コンテンツ提供側から出てこない限りインフラがいくら物申しても実装されない現状を考えれば、不可能という結論に落ちざるを得ない)

そういう状況だという僕の認識の上で、「僕が」今からIPv6「も」使ってもらおうとするなら、

「ミドルウェアまで面倒見るから、そこにアプリを乗せてくれれば大丈夫」と云える(一種のPaaSのようなBaaSのような)サービス基盤作る
コンテンツ制作者側に「本当に」アプリに注力してもらい、上記インフラを使ってもらう
インフラの運用はコンテンツ製作者側と連動しながら自前で行う

と云う作戦を取るような気がする。

この作戦がうまく行くとは言えない(時間かかるし、そもそもそういうニーズがあるか、コストが回収できるかなどの問題がある)が、もう「銀の弾丸はない」と骨身に沁みてる人が、「小さなことからコツコツと」時間かけてゆっくりやるしかないのかな、と思っている。

僕の結論は、よほど「新規性があっ」て「今までのインフラ上ではできない」ものでない限り、インフラの根本に関する巨大な変化を要求する技術のdeploymentは「結局面倒臭い」ものだということ。

それでも、僕は、「僕の出来ることはやり続ける」つもりだけどね。

まぁ、20年近くIPv6と付き合ってきて、今だから言えることなんだけどね。

XenServer 6.5の実験

anonymous@undisclosed.example.com (Anonymous) — Wed, 21 Jan 2015 09:40:07 +0000

XenServer 6.5の実験

手元の仮想環境試験用のサーバーにXenServer6.5のインストール終了。

6.2の時はControlVM(dom0)の割り当てメモリー、root partitionのサイズ、swapのサイズを変更していたが、6.5からは、dom0のメモリーを明示的に定義する方法が無くなったように見える。もちろん、root partitionのサイズやswapのサイズは6.2の時と同じ方法で変更可能。あとは、SRの設定、Network/vLANの設定してpool組んでインストール終了。

6.5は、dom0のkernel/userlandが64bitになった。しかし、ベースのCentOSは未だ5系統というのが悩ましい。XenServer 7.0あたりでdom0もCentOS7系統になるんだろうな。

XenServer 6.5 RC3 の頃、FreeBSDのインストール時に問題が発生していた。keyboard関係がおかしくなって、「:」や「^」が入力できないとかいうのがあって、FreeBSDが使えない状況に追い込まれていたのだが、この問題は解決した。これで6.5も使えそうだ。

XenServer6.5に対応するXenCenterは、なんかUIは維持したまま使いやすくなってた。

ここまでが良いニュース。

FreeBSDを利用する場合に限定で悪いニュースが一つ。

XenServer 6.5にFreeBSD 10.1をInstallする際、Virtual Disk(VD)を２台にしたら、インストーラーがDiskを認識する際に、VDが「認識してほしい順序で認識してくれない」ことが判明。

XenCenter側で「Disk0」「Disk1」としVMに割り当てた場合、ada0がDisk1、ada1がDisk0として認識されていた。おかげで、Install終了後、起動フェーズで、DiskからBoot loaderが読めないという問題が検出された。そりゃ、XenServerはDisk0からIPLを読み込むのだから、当然無理。

対処法は、Install時にはDiskを1台だけでVMを作って、あとからDiskを追加することにする。このやり方なら問題は出なかった。

ちょっと気持ち悪いなぁ。

Network機材とユーザー管理

anonymous@undisclosed.example.com (Anonymous) — Wed, 21 Jan 2015 09:41:31 +0000

Network機材とユーザー管理

あるシステムで、ユーザー管理を考えなければならなくなってしまった。

Router/Switchのアカウント管理
仮想基盤のアカウント管理
VMのアカウント管理
VM上で動くApplication(Redmineとか)のアカウント管理

などを連動させないと、運用・管理系のアカウント追加・削除とかの作業が死ぬし、アカウント共有モデルは今時許されないでしょう一般にNetwork機器はRadiusが利用できる場合が多いので、問題はServerとApplication系。この両方をNetwork機器系のアカウント管理と連動させることを考えるとグッとくるFreeware Solutionがない。

と一週間ばかり考えて、LDAP-Radius連携で頑張るしかなさそうだとの結論に落ち着いた。けど、もっとグッとくるSolutionないかねぇ？

気になったものメモ

anonymous@undisclosed.example.com (Anonymous) — Wed, 21 Jan 2015 10:14:52 +0000

気になったものメモ

CentOS7 Install memo

anonymous@undisclosed.example.com (Anonymous) — Mon, 02 Feb 2015 09:30:57 +0000

CentOS7 Install memo

CentOS7に色々入れたいので、その基盤を作る。

/etc/hostnameにhostnameを入れておく
/etc/sysconfig/selinux の設定はPermissiveにする
/etc/ssh/sshd_configを修正し、Port/PermitRootLogin/PasswordAuthenticationの設定を修正
- sshのpublic keyの転送を忘れずに
Accountを作成
firewalldの設定を変更しておく (systemctl disable firewall.service 等)
XenServer Toolsを入れる
当然 yum updateを実行する
yum install ntp して、ntpdの設定
resolv.confをちゃんと設定する。
- 異論はあるだろうが、options timeout:1 attempts:5 single-request-reopen 位を設定する
snapshotをとる

あとは、必要なpackageをyumから入れる

CentOS7にWordPressをInstall

anonymous@undisclosed.example.com (Anonymous) — Mon, 02 Feb 2015 11:43:29 +0000

CentOS7にWordPressをInstall

DBはMariaDBで、別に組んでおく

yum install php php-cli php-mysql
yum install http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm
/etc/yum.repos.d/nginxのbaseurlを変更する
- baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/
- 当然OSによってこのRepositoryは変化するので注意
DBにWordPress用のUserとDatabaseを作成する

Facebookに書いた駄文(20150203)

anonymous@undisclosed.example.com (Anonymous) — Wed, 20 May 2015 06:02:34 +0000

Facebookに書いた駄文(20150203)

相変わらずグダグダな、整理できてないことを書いてみる。

インターネットのインフラに絡んで、はや25年になる。この間の技術の進歩の話は置いておいて、今は運用のことを。セキュリティのコンテクストの中で、今日運用の話を幾つか見かけたので、も少し全体的な運用について書きたくなったから。

インターネットに接続されているシステムにおいて、運用は常に「後回し」にされ、顧みられることは少ない、しかしながら非常に大切な機能であると思う。

この「運用」ってやつは、利用者から見えない事が最も重要な事であって、「運用が見える=何らかの問題がある」事態であるわけです。これが意味することは、「利用者のみならず、システムを保持している者」にとっても、運用が見えなくなるということです。また、「運用」という行為は、非常にチマチマした、わからない人が見たら「何の意味があるのかわからない」作業の集合体であるということです。なので、運用経験のない人から見ると「無駄の塊」に見えるし、個々の作業が細いから「全体の行為内容にかかる作業量」が把握出来ず、むしろ、個々の小さい作業に引きずられて作業量を少なく見積もられがちになります。その結果引き起こされるのが、人員削減や、維持コスト削減というやつですね。いっぱい見てきました。

加えて、システムを作る側は、運用経験がないか、乏しいので、「運用が楽になる」システムを構築してくれることは稀です。考慮してくれたとしても、案外的外れなものが多い。これは、システムを設計するときに、運用視点が足りないことによって引き起こされるものです。その意味で、設計者側に多くの問題があるものです。運用側に相談があることは稀だし、あっても、運用側が何をお願いすべきなのかを適切に伝えられるかという問題も、もちろんある。その上で、少なくとも日本の会社組織で、「運用を正しく理解し適切に評価している」ところは非常に少ない。

このような運用環境の中で、一つのシステムを動かし続けることというのは、並大抵の事ではありません。だって、動かし続けてもその意味が理解されず、感謝もされず、評価もされないから。

運用というのは健康のようなものであって、病気になってから(障害が起きてから)初めてその存在に気づくものなのです。少なくとも日本の会社組織で、「運用を正しく理解し適切に評価している」ところは非常に少ない。これは、運用者の側から見れば、本当に悲しい事で、自分がそのシステムを支えているというプライドをモチベーションにするしかない。そうでなければ、普段評価されることもなく、何かあると責められるという仕事を続けられないわけです。

こういう状況が何を産むかといえば、凝り固まった運用、責任回避的反応、その結果としての、新しいことが出来ない環境だと思うのです。

ここまで書いたことは、勿論、ある意味での極論なのですが、なぜか、この極論のような環境をしばしば見かける。恐らくは、管理側の経験の欠如、想像力の不足、非合理な過度のプレッシャーからくるものだと思うんですね。で、運用側に甘えてしまってそこから目を背ける。また、運用側も、恐らくは(それまでの経験からくる)恐れ、勉強・訓練不足、整理した上での説明・報告不足、諦めなどがないまぜになって、唯々諾々と従う。これが、現在のシステム運用環境における状況ではないかと思うわけです。 (勿論、こういうところばかりではないですが)

本来、運用者ってもっと尊敬されていいと思うんですよ。運用者がもっと声をあげてもいいと思うんですよ。それができる環境が本当に必要だと思うのです。

今の日本の運用って、恐らくはオーバークオリティなんだと思う。その原因は、恐らくは世界一厳しいと言われる利用者のプレッシャーなんだと思う。でもね、厳しいのはいいけどモンスターになってはいけない。今の運用者の置かれてる環境は、「身内の中にいるモンスター」に理不尽な要求をされて、その要求と現状の整合性を取ることができない状態なのではないかと思うのです。システムってのは箱物ではないのだよ。箱物よりもはるかにたくさんの「維持の為の仕事」があるのだよ。

pydio

anonymous@undisclosed.example.com (Anonymous) — Tue, 10 Mar 2015 03:25:08 +0000

pydio

日本語ファイル名が扱えないと思い込んでいたPydioだが、ちょっとした設定の問題だった。でも、これ、分かりにくい…

CentOSの場合の修正点を以下に記載

# vi /etc/pydio/bootstrap_conf.php

/*
 * If you have a charset warning, or problems displaying filenames with accented characters,
 * check your system locale and set it in the form lang_country.charset
 * Example : fr_FR.UTF-8, fr_FR.ISO-8859-1, fr_FR.CP1252 (windows), en_EN.UTF-8, etc.
 *
 * Windows users may define an empty string
 * define("AJXP_LOCALE", "");
 */
//define("AJXP_LOCALE", "en_EN.UTF-8");
//define("AJXP_LOCALE", "");
define("AJXP_LOCALE", "ja_JP.UTF-8");			<--- ここを追加する

# vi /etc/pydio/bootstrap_context.php

@error_reporting(E_ALL & ~E_NOTICE & ~E_STRICT);
//Windows users may have to uncomment this
//setlocale(LC_ALL, '');
setlocale(LC_ALL, 'ja_JP.UTF-8');			<--- ここを追加する
@libxml_disable_entity_loader(false);

OS-X用Excelで金融機関からダウンロードしたCSVを開く

anonymous@undisclosed.example.com (Anonymous) — Wed, 11 Mar 2015 02:36:20 +0000

OS-X用Excelで金融機関からダウンロードしたCSVを開く

えー、愚痴になりますが。

OS-XとWindowsは、textファイルの改行コードが異なる
OS-XとWindowsは、UTF-8のEncode方式が異なる

という問題のおかげで、某SCからダウンロードしたCSVファイルをOS-X用のExcelで読み込むと文字化けする問題にぶち当たりました。ちなみにMGのN***Sだとこの問題がない…

というわけで、取り急ぎのDirtyHackです。

今回は、面倒だったのでnkf使いましたが、おそらくiconvでできるはず。

cat xxxx.csv | nkf -w | sed 's/.$//' | nkf -s > XXXX-norm.csv

要するに、

sedで処理するために一度UTF-8に変換
sedで行末の^M(CR)を取り除く
Excelで読み込むためにShift-JISに戻す

という作業をするだけ。

わかればまぁ、なんとかなるけど、面倒だよ、これ。

KVMでGuestの起動が遅い

anonymous@undisclosed.example.com (Anonymous) — Thu, 12 Mar 2015 11:25:10 +0000

KVMでGuestの起動が遅い

というより、全体的に遅い。

何はともあれ、ググって、関連しそうな記事だけとりあえずPickupする。

(解決していない)

ついでにHyper-Vの記事も

http://akira-junkbox.blogspot.jp/2013_07_01_archive.html

しかし、役に立つ記事がない…

RTC on CentOS7

anonymous@undisclosed.example.com (Anonymous) — Mon, 23 Mar 2015 12:06:30 +0000

RTC on CentOS7

CentOS-7をInstallすると、今までのCentOS6までのような/etc/sysconfig/clockがないため、大幅にはまる。特に、RTCがLocal Timezoneに設定されていたりなんかするとひどい目にあう。

というわけで、設定方法

timedatectl set-timezone Asia/Tokyo
timedatectl set-local-rtc 0
ntpdate ntp.nict.jp

なんか微妙に納得いかない

sshとcron

anonymous@undisclosed.example.com (Anonymous) — Mon, 30 Mar 2015 02:28:37 +0000

sshとcron

Backupを取得するに際して、Backupを元々のServerに置いておいたら、Disk破損の時に一気に死ぬ。で、そんな事態は救われないので、BackupをRemoteに置いておくために、Backup Scriptまで作ったわけだが、Serverの内側でcronなどでBackupを取得するのは設定ミスとか管理の分散とかが起こってうれしくない。というわけで、remoteからsshを利用してBackupを取得するようにscriptを作ったのだが、

Pseudo-terminal will not be allocated because stdin is not a terminal.

などといいうErrorが出た。で、これはptyの割り付けないremoteからのコマンドは実行できないということでsshが吐き出すErrorである。

しかし、shell scriptには-tは記載されていて、ちゃんと動くはずだとどはまりをしたわけで…

で、困りに困って調べてみたら、出てました。man ssh

 -t      Force pseudo-tty allocation.  This can be used to execute arbitrary screen-based pro-
         grams on a remote machine, which can be very useful, e.g. when implementing menu ser-
         vices.  Multiple -t options force tty allocation, even if ssh has no local tty.

よく見たら、Multiple -t options force tty allocation, even if ssh has no local tty.だそうな。

要するに、-t -tとしろと。

わかりにくいからメモにしておく。

教訓は、RTFM … orz.

気になった記事をまとめておく@20150402

anonymous@undisclosed.example.com (Anonymous) — Thu, 02 Apr 2015 12:54:40 +0000

気になった記事をまとめておく@20150402

さすがに忘れそうなものがいっぱいなので、こっちに釣っておく。

pfSense on XenServer

anonymous@undisclosed.example.com (Anonymous) — Mon, 06 Apr 2015 06:48:14 +0000

pfSense on XenServer

pfSense の記事は、そろそろ大幅に revise が必要なのだが、今そんな余裕はないので、メモだけ。

pfSense は FreeBSD 系統の OS で、kernel は FreeBSD なわけだが、従って、XenServer の Guest として動かすことができる。それだけではなく、XenTools も導入可能である。ただし、現行の pfSense 2.2.1-Release でしか確認していない。

問題は、pfSense のPackageにはxe-guest-utilitiesがないこと。そのため、以下の手順を実施する。

なお、以下の手順を実施するには、

ssh で login できること
sudo が導入されており、かつ sudo で root 権限を握れるアカウントで設定すること

が必要。

pfSense% sudo pkg install xe-guest-utilities
pfSense% sudo echo "xenguest_enable=\"YES\"" >> /etc/rc.conf.local
pfSense% sudo ln -s /usr/local/etc/rc.d/xenguest /usr/local/etc/rc.d/xenguest.sh
pfSense% sudo service xenguest start

この作業は、「おそらく」Major version up の度に実施しなければならない気がするし、時々はpkgの更新を実施してやる必要があると思われる。

CentOS上のNFS

anonymous@undisclosed.example.com (Anonymous) — Fri, 10 Apr 2015 07:02:23 +0000

CentOS上のNFS

原因は不明だが、とりあえず対処療法で逃げたのでメモ。

原因を追究する根性がない。

以下のマシンはすべてKVMのGuest VMとして作成。
- KVMはCentOS-7で構築している
NFS Server: CentOS 6.6/lsyncd/xintd/rsync
NFS Client: CentOS 6.6
NFS Protocol: v4 (nfsinfo -mで確認)

この環境で、以下の設定を実施

nfs server: /exports
/mnt	172.25.255.0/24(rw,root_squash,sync,no_subtree_check)

chkconfig --list
nfs            	0:off	1:off	2:on	3:on	4:on	5:on	6:off
nfslock        	0:off	1:off	2:off	3:on	4:on	5:on	6:off
rpcbind        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
rpcgssd        	0:off	1:off	2:off	3:on	4:on	5:on	6:off
rpcsvcgssd     	0:off	1:off	2:off	3:off	4:off	5:off	6:off

nfs client: /etc/fstab
nfs-server:/mnt /mnt nfs rw,sync,suid,exec,nouser,auto,hard,intr,noatime,actimeo=10      0 0

chkconfig --list
netfs          	0:off	1:off	2:off	3:on	4:on	5:on	6:off
nfs            	0:off	1:off	2:off	3:off	4:off	5:off	6:off
nfslock        	0:off	1:off	2:off	3:on	4:on	5:on	6:off
rpcbind        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
rpcgssd        	0:off	1:off	2:off	3:on	4:on	5:on	6:off
rpcsvcgssd     	0:off	1:off	2:off	3:off	4:off	5:off	6:off

この状況で、client側で dd if=/dev/zero bs=512 count=102400 of=/mnt/test を実行すると、以下のような症状が出る

コマンドは正常に終了する
しかし、/mnt/testのファイルサイズが32768であったり65536であったりする。

本来、ファイルサイズが102400にならなければならないのに、32768や65536バイトにしかならないのは明らかに異常。

原因を小一時間ググったが、参考になる情報がないので、仕方がないからfstabのOprtionをいろいろ変更したところ、syncを外したら問題が解決した。

この問題は、複数のCentOS VMで観測されたので、個々のVM Instanceの問題ではないと考えられる。

しかし、こんなことが起こる理由がよく分からない。

そろそろいろいろ片付けないと

anonymous@undisclosed.example.com (Anonymous) — Fri, 01 May 2015 00:05:18 +0000

そろそろいろいろ片付けないと

やらなきゃならないことが山のように溜まっているので、そろそろメモにしておく。

DNSサーバーとSMTPサーバーの移設
- KnotDNSはいいとして、Postfix+CyrusSASLで行くかPostfix+dovecotで行くか…
IMAPサーバーの移設
- SMTPサーバーから切り離す。
XenServerのβ版テストと、XenOrchestraのテスト
- Dom0がCentOS7になるので、その分の確認とか
OPNsenseの試験
- イケてたら移行も考えないとなぁ
NGiNXとmod_securityを利用したWAF構築
- NGiNX Proxy/LoadBalancer配下でWAF処理させる一連のシステムの構築
- SignatureはOWASPの奴かな
Snort+pf+pfSyncを利用したIPSの構築
- そろそろ新しいSnort使いたいんだよな。全然追えてないけど
NGiNXのSPDY/SNI対応と、FreeBSD/NGiNX上でAES/NIを利用したSSL Accelerator環境の構築
- SPDYは、NGiNXがHTTP2.0対応するまでのつなぎ

こうしてみるとてんこ盛りだ。全部それなりに時間がかかる。

気になった記事(20150512)

anonymous@undisclosed.example.com (Anonymous) — Tue, 12 May 2015 05:56:12 +0000

気になった記事(20150512)

ああ、気になった記事がたまっている。 FaceBookと連動できたら便利なのに… いや、FBでなくてもいつも使っているToolから直接URL送れるでもいい…

XenServer 6.5.0 Service Pack 1 あてねば
Postgres Toolkit 0.2をリリースしました便利そうだ
これに気づいてない日本人は永遠に英語を話せるようにはならない。英語を話せるようになるかどうかよりも、根本的に失礼なことをしていたということの方がはるかに悲しい
GCEのライブマイグレーションのすごさをまとめてみた単体レベルで考えれば、技術的には、それほどのことをしているわけではない。しかし、あの規模で確実に動くことはものすごいことだ
伊藤直也氏が語る、モダンなWebテクノロジーに共通する傾向とは？確かに、そういう傾向かもしれないと思った
Redmine 3.0.3 リリース
Gitと連動するWebベースのコードレビューツール「Gerrit 2.11」リリースへぇ。今度試してみないと
大規模データ時代に求められる自然言語処理 -言語情報から世界を捉える- これはあとでじっくり読まないと
RHEL7/CentOS7のLinux KVMリソース割り当て機能メモメモ
Metasploit――大いなる力と責任を体感する (1/2) うむぅ。これはやりながらじゃないとわからない
息が止まる超絶演奏。あるピアニストの『ラ・カンパネッラ』がスゴすぎる確かにこれはすごかった
CC0 日本語版の公開参照版ではなく正式版というところが素晴らしい

メモ(20150520)

anonymous@undisclosed.example.com (Anonymous) — Wed, 20 May 2015 05:46:06 +0000

メモ(20150520)

etckeeper関係 http://heartbeats.jp/hbblog/2013/09/etckeeper.html https://github.com/joeyh/etckeeper http://blog.inouetakuya.info/entry/20110605/1307261417
RANCID関係 http://dotwaffle.github.io/rancid-git/
etckeeper with ansible https://github.com/silpion/ansible-etckeeper
pure-vi http://ex-vi.sourceforge.net

Facebookに書いた駄文(20150520)

anonymous@undisclosed.example.com (Anonymous) — Wed, 20 May 2015 05:55:43 +0000

Facebookに書いた駄文(20150520)

少しだけ、思ったことを書いてみる。Security関連。例によって、グダグダで、まとまりは無い。

数年前は、XSSだのCSRFだののようなWebアプリケーション系のセキュリティが花盛りだった。もう少し言うと、Middlewareから上のレイヤーのセキュリティ。この状況が数年続き、そのエリアのセキュリティがビジネスに繋がってきたことから、Security技術者も、このエリアの人が増えた。知見もBad know-howも溜まった。これはこれで素晴らしいことだとは思う。

翻ってみると、その間Infra関連技術者はApplication技術者と違ってあんまり増えていない。また、Applicaton側と比べて技術的変化が少なかった。いまはやりのSDNだって、あれはInfra技術者側の技術ではなくApplication側の技術者向けの技術に近いと思う。
さて、この状況の中で、ShellShockや、Heartbleed、今回のracoon問題をみると、これがなかなか悩ましい。これらの問題は、少なくともApplicaton側の守備範囲からは少し離れている。むしろInfra側の守備範囲。ところが、これらの実装は、インフラ側で対処することが困難。だって、多くのインフラ技術者って、この領域に関して言えば「提供されたupdate」を適用するしかできないから。 OSのpatch、Server applicationのpatch、FirmwareのPatch、全部根は同じ。冪等だの青緑だの言うけど、これらは「インフラはちゃんと動く」という担保があって初めて意味を持つことであって、「インフラを動かすための技術ではない (使えないと言っているわけではない。構成管理や冗長を考えたらこの考え方はInfraにも有用)。

Securityの観点でここしばらくのようなこと(shellshock,heartbleed,…)が起こって困る事は、そもそも、インフラ側が提供している機能の根幹であるこの種のソフトウェアは、実はApplication側に比べて、余りにもぬるま湯に浸かってたという事。そして、多様性が足りなく、置き換え困難な事。さらに、一度何かが見つかると、その影響がとんでもない範囲まで広がっていて、かつ、その修正がとんでもないコストになる事。しかも、インフラは「動いて当たり前」と思われ、かつ、過剰な価格下落を要求されている事。

(ちと脱線) 運用者から見たら、「こんな報われない、旧態依然とした、辛い刺激しかない、激務」なんてやりたくない、と思う方が普通で、だから新しい人だって入ってこないしすぐに抜けてしまう事になると思う。 (元に戻して)

まぁ、まとまりもとりとめもないんだけど、今の状況はかなりまずいところまで来ている気がしている。善意に寄りかかった寄生虫がモンスターになっていろいろ崩壊するまえに、もう一度「Infraの総点検」と、「問題点の洗い出し」を徹底する必要があり、それを一つずつ潰していく必要があると思う。

少なくとも、Applicationエリアの近くまでInfraを引き上げないと、「共倒れ」になると思う。

年金機構の情報流出を見てちょっと思ったこと

anonymous@undisclosed.example.com (Anonymous) — Thu, 04 Jun 2015 17:15:24 +0000

年金機構の情報流出を見てちょっと思ったこと

いつもならFaceBookに先に書いているんだけど、今日はこっちに。あとでFBにも貼る。

いつものごとく時間がないので、雑感を駄文で。

年金機構が所謂職員の失敗で、年金情報を流出するという事件が発生した。詳しいまとめは、いつものごとく、高速に素晴らしいまとめをしてくれる日本年金機構の情報漏えいについてまとめてみたを参照。Kangoさん、いつも本当に素晴らしい。

さて。この事件とか事件について色々喋っている人とか、大臣と呼ばれる人とかを見ていて感じた雑感を。

非常に大量に情報を流出してしまった事件としては、ベネッセ事件があった。詳しくはベネッセの情報漏えいをまとめてみた。を参照。

この事件において、ベネッセは様々な方面から散々ぶん殴られた。マスコミもJIPDECも利用者も、好きなようにベネッセをサンドバッグにした。まぁ、自分も殴った側にいるのだから偉そうなことは言えない。この件について、株式会社LACの西本氏がしばしば言っているのは、「ベネッセの件は誰が事件化したのか？これを事件化したのは他ならぬベネッセである。ベネッセが、調査をし、ベネッセが犯人を特定し、ベネッセが漏洩した情報を特定し、その結果、犯人の告発を実施したから事件が表面化した。」ということ。つまり、組織として、仕組みとしてみれば、ベネッセはそこまで徹底したシステムを作り、あとから追えるところまで管理を徹底していたということ。これは、組織としていうなら素晴らしい事であって、ここまでやっている組織があった事に驚いた。しかも、その結果を告発だけじゃなく報告書として公開している。

個人的な感情（僕はベネッセは嫌いである）を完全に除外するなら、このベネッセの件、僕はむしろ「褒める」べきだと思う。犯人が責められるのは当然である。しかし、ベネッセは（結果として）加害者になってしまったが、被害者でもある。それを監督責任というのは簡単だが、そこまでの監督なんて誰もやっていないと思っていたら、ここまでやっている会社があったわけだ。むしろ見本として、非常に良い会社だろうと思う。

翻って年金機構。

本音でいうと、年金機構がベネッセ並みの管理、運用、調査、報告ができるとは思えない。そしてできるようになるとも思えない。事件前からの（正規・非正規を問わず）職員のモラル（2chに書き込みとかありえないでしょ）や事件「発生」後の対応、事件「発覚」後の対応を見ていると、本音で、こんな組織にお金や情報を管理させるなんて金をドブに捨てているも同然。これは、こんな組織を監督している監督官庁も同罪。

本件、あまりにもお粗末である。お粗末ではあるが、国内の絶対的多数の組織は、民間・官庁・政府組織を問わず、この程度の事件がいつ起きてもおかしくない状態だろう。今回は、それが年金情報というエグい情報だっただけ。それ以外に大きな差はない。今回感染した職員(おそらくは正職員ではないのだろうけど)は、迂闊だとは思うが、「それが可能な状態ある事の方が問題であって、詰まる所は、システムとデータの管理責任の問題」という自明な事がおそらくはわかってないんだろう。個人的には、そんな連中が個人識別番号（要はマイナンバー）だの言っているのを見ていると、臍で茶が沸く。

年金機構は、詰まる所、この種の事故を引き起こした時にやらなければならない事を考えず、その場しのぎを続けているようにしか見えない。国民は時間が経てば忘れてくれるから。

さて、ここでよく「自分が所属している組織」を考えてみてほしい。自分が所属している組織はベネッセ型だろうか？それとも年金機構型だろうか？

統計をとったわけでもましてちゃんと調査したわけでもないが、個人的な感覚でいうなら、日本国内の絶対的多数の組織が年金機構型である。つまり、事前の検討も、そのための対策も、発生してしまった場合の対応も、おそらくその全てが年金機構型であろう。そして、この個人的感覚が正しいならば、今回のような事件は何度でも起こるだろう。起こるべくして。単に年金情報がマイナンバーに変わるだけ。オプトアウトした個人情報になるだけ。場合によっては、許可を得ていない個人情報かもしれないし、営業機密かもしれないし、それこそなんでも。

NHKニュースによれば、藤沢市が標的型メール対策に関する抜き打ち訓練を実施したらしい。藤沢市標的型メールの抜き打ち訓練

この標的型メール攻撃に関する予防接種、BBSecの時代、LACの時代に、同僚とやっていた。その時に、我々が口を酸っぱくして言っていたのが、

訓練なのだから、開いたことを責めるような雰囲気を作ってはいけません。
メールがおかしい事に気づけるようになる事は現実的に無理です。それでも事前に気づければ大きいから、そのポイントは強調しています。
開いた時の対処が本当の問題です。ちゃんと正しいところに報告できるか、正しい対処を取れたか、を注視してください。正しい対処が取れるようになる事が訓練の本当の意味です。
できれば、一般社員だけでなく、社長も含めた経営層にも実施してください。
くれぐれも、「訓練でメールを開いてしまった事を人事評価などに反映させるような事はしない」でください

ということだった。

訓練の結果、隠すようになるなら、そんな訓練は無駄。むしろ訓練しないほうがマシ。そうではなく、もう事故前提で考えるべきであって、訓練も、「絶対引っかかる」訓練メールにして、引っかからないやつは「メールを見てない」と結論付けられるようにするのがいいんじゃないかと思うし、「引っかかった時の対処」に主眼を置くべきで、そういう風に進化するべきじゃないかとほんとうに思う。

駄文でした。

2015/06/04 追記

本文中に、「このベネッセの件、僕はむしろ「褒める」べきだと思う。」と記載した。
この「褒めるべき」というのは、大変に残念ながら、僕が言い出したことではない。
ご本人に迷惑がかかるかもしれないので特にお名前は出さないが、大変に共感したし、その通りだと思ったので、私もしばしば利用させていただいている。
今後も利用させていただきます。

年金機構問題における部外者の反応を見て思った雑感

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 May 2018 04:44:02 +0000

年金機構問題における部外者の反応を見て思った雑感

昨日の駄文が結構多くの人の目にとまったらしく、嬉しいやら恥ずかしいやらという状態なのだが、人並みに自己顕示欲くらいはあるので、もう少し駄文を書いてみようと思う。

少なくとも昨日の駄文よりもさらに駄文なので、おヒマな方どうぞ。あと、あくまでも個人の雑感なので、どういう感想を持っていただいても構わない(当方は感知しない)が、気に入らないなら「華麗に」スルーしてください。

ちなみに、私も「部外者」なので、もちろん「天に向かって唾を吐いている」事は自覚がある。自分に対する戒めも兼ねて。

さて、年金機構の問題に関わらず、今の日本はこの種の「華麗にスルーする」というスキルが無くなって来ている気がしている。ちょっと何かあると、反射的に「非難」の意見を匿名（と思しき）方法（twitterや2ch等）で無造作に表明する。その意見表明は、多くの場合、「非難」であって「批判」になっていない。年金機構の問題で云っても、「そんな不審なメールを開くのが悪」的な意見を表明する方々が非常に多い。

はっきり言うが、この種の非難をしている人の多くは「不審なメールは誰にでもわかるものである」という「とてつもなく大きな誤解」をしているようにしか見えない。

10年前ならいざ知らず、今時のこの種の攻撃（の一部）は、「不審メールと思えない」ような精度で実施されている。一部の「セキュリティ知識を十分に持つプロフェッショナル」ですら引っかかる事があるようなレベルである。要するに、今回非難している方々の、おそらく、ほぼ100%近くが、まともに攻撃を受けたら引っかかるようなレベルのものである場合があるということ。しかも、このレベルの攻撃なら、引っかかった時に「引っかかったと認識できない」レベルであると言える。

ただし、今回の年金機構に来たメールがそのレベルのものだったかどうかは寡聞にして知らない。そのレベルのものであっても全く不思議はないし、逆に「こんなモノに引っかかったのかよ」レベルであったかもしれない。ここで言いたいのは、そういうレベルの攻撃が、もう普通に行われているということ。

ここで、「セキュリティ知識を十分に持つプロフェッショナル」の方々が違うのは、

引っかかったかどうかを判定するための判断材料の収集を「自動化」している・することができる
引っかかった可能性が高いと判断した時に、最小限何を行うべきかを熟知しており、そういう行動をそれこそ反射で実施する
実際に引っかかったかどうかを調べるための手段を持ち、その手段を適切に取ることができる
引っかかった時の影響範囲を（大まかにでも）想定でき、どうすればよいかを判断できる
引っかかった時の被害を最小限に抑えることができる
最終的に何が起こったと考えられるかを他人に説明できる

ということ。

つまり、「セキュリティ知識を十分に持つプロフェッショナル」は、技術力があるかどうかではなく、何をどうすればよいのかを正しく認識しているのである。もう少し言えば、「どこまでを自分で判断するか」、「どこからは他の力を借りるか」を想定し、判断することができる人のことをいうのである。

このような判断（作業）を普通のように行える人は、情報を「効率よく」収集し、自分の判断を素早く行えるようにする努力を「継続的に」実施している。（むしろ、すでに努力ですらなく、習慣化している状態かもしれない）従って、反射的な反応はあったとしても、入手してくる情報によって常によい方向にフィードバックをかけ、正しい方向に修正することができるし、その修正速度も非常に早い。

さて、反射的に「非難」するだけの人。この種の人たちは、「自分の仮説」や「自分の思い込み」に都合のよい情報を収集するのが非常に早い。その上で、一度自分が建てた仮説にしがみつき、その仮説が間違っているかもしれないという事を受け入れず、指摘された場合過剰反応するというループを繰り返す。

こういう人たちに必要なのは、いわゆるスケープゴートである。要するに、「非難されても仕方がない」と「（自分の）周囲の人たちが思ってくれる」攻撃対象である。しかも、攻撃対象がいわゆる「お上」であるならなお都合が良い。なぜなら、「弱い立場の自分」が権力を持っている「お上」に対して物申して憂さを晴らす事ができるから。

さて、よく考えると、「セキュリティ知識を十分に持つプロフェッショナル」が実行している事は普通の人にだってできる「はず」の事である。（よく見てほしいが、「セキュリティのプロ」の話をしているわけではない。）

もちろん、「セキュリティ知識を十分に持つプロフェッショナル」と同じ位の速度・同じ位の精度で実施することは難しい。しかし、時間や精度は知識や経験で、より短く・より高くなっていくものである。そのために必要なのは、

「ちゃんと考えておくこと」、つまり事前の準備
「時々でいいから」継続して見直すこと

くらいのものである。

問題は、「継続的に」情報を集める事と、集めた情報を以って、自分の仮説・思い込みを「適切に修正し続ける事」が難しい事である。
前者の難しさは、「習慣的に」実施できるようになるための努力が続かない（自分がまさにそう）こと。
後者の難しさは、自分の間違いを認めることに対する「不快感・恥ずかしさなどに対抗する」ことが心理的に難しいこと。
特に（個人的には）後者の問題が非常に大きい。

しかし、もう、反射的に「非難」して憂さ晴らししていられる状況ではなくなってしまったと思う。

日本では、すでにインターネットは一般に普及し、大多数の人がすでにインターネットをなんらかの形で利用している。もうすぐ、マイナンバーも施行される。GoogleやAmazonに限らず、e-Commerceなどでは、購買履歴などの情報も蓄積されているだろう。さらにはIoTなど、世の中を変えていく技術がどんどん出てくる。

そういうときに、「利便性をできる限り損なわず、可能な限り安全に」インターネットを利用するにはどうするべきか。非難して憂さを晴らしている場合じゃないし、他人が護ってくれるという幻想は捨てるべきだと思う。

結局、いつものとおり、まとまりのない駄文であるけど、最後に一言。

なぜか日本では、水に落ちた犬を叩く事で何かした気になる人が多すぎる気がします。明日は我が身という事を本当に考えるべきです。
水に落ちた犬に手を差し伸べるような社会の雰囲気とセキュリティ運用が望まれると思います。

以上、駄文でした。

公開直後の追記

ここで僕が言いたかったことの半分くらいを端的に表現している言葉に出会ってしまって、大変に悔しいんですが、こちらに引用しておきます。

セキュリティ事故も技術も人を貶めるためにあるんじゃないってことですね。

はい。本当にそう思います。

セキュリティに関して思うこと

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 May 2018 04:56:06 +0000

セキュリティに関して思うこと

年金機構問題でつい色々書いてきたが、まぁ、自分のセキュリティ知識なんて知れている。知らないことがたくさんあるから、うまくまとまらないし、話もあっちこっちに散らばってしまうわけだ。でもまぁ、思っていることがある間に、少しずつ駄文を生産することにする。素人考えなので、専門家から異論があるかもしれないが、私の思う事をグダグタ書いてみる。

例によって、飽くまで個人の雑感なので、気に入らない人は華麗にスルーしてください。

さて、お題のセキュリティ。

本来、セキュリティという言葉は、ラテン語の「Se-(〜から離れる)」＋「cura(心配事)」から成り立っている。つまり、個人や組織などが持っている心配事から離れていくことがセキュリティの基本的なイメージと言える。

では心配事とはなんだろう？色々な考え方があると思うが、例としては「人の生き死に」や「財産や収入の毀損」など、何らかの不利益が思い浮かぶのではないだろうか？

よく考えると、この心配事は大きく分けて三つの面を持っている。それが

守るべき対象(生死や財産、収入、愛情など)
(守るべき対象に対する)不利益が起こる可能性
不利益が起こった時の影響（死ぬ、大怪我をする、財産がなくなる、振られるなど）
- この不利益が起こった時の影響を算定するために、保護対象の価値などを十分に考える必要がある。

であると私は考えている。

セキュリティを考える上で、非常に重要な言葉としてリスクというのがあるが、このリスクを私は

リスク＝不利益が起こる可能性×不利益が起こった時の影響

と考えている。もちろん、相当に単純化しているが、これで概ねの用は足りる。

さて、このリスクが「足し算(加算)」ではなく「掛け算(乗算)」である事が重要なのだ。

極端な例で考えてみよう。

もし「不利益が起こった時、その影響がない」のであれば、「不利益が起こる可能性が100%」であっても問題ない。
- なぜなら影響を被らないから。
逆に「不利益が起こる可能性が0%」ならば、「不利益が起こった時の影響が甚大」であっても問題ない。
- なぜなら、不利益が起こらないから。

もちろん、この例は極端であり、単純すぎる。なぜなら、不利益が起こる可能性が0なら、そもそもそんな事を考える必要がないし、影響がないなら、それはそもそも不利益ではない。しかし、「可能性は(非常に小さいかもしれないが)０じゃない」場合や、「影響はないわけではないが非常に小さい」場合がある。その判断ができるのは、当然、「それをリストアップしている」からであって、考えた結果として棄却できるだけであろう。

セキュリティを確保するという事は、保護する対象それぞれと、想定されるリスク、そしてリスクに対する対策を行うという事を意味するのだから、最低限この単純な考えを持っているべきであろう

ここで、自分の事を考えてみる。自分は、このようなセキュリティの確保の事をちゃんと考えているだろうか？

正直に言えば、残念ながら(少なくとも私は)ここまでいつも考えているわけではない。なぜ考えないのだろうか？

少なくとも私の場合、「守る・護る」べきものをそこまで明確に定義しているわけではない。そして、失う事を考える事自体が恐ろしいから、リスクを詳細に分析しない。

「そんな事が起こる可能性は低い」と思い込みたい
不利益が大きければ大きいほど、可能性を低く考えたい

から、リスクから目を背けてしまう。

現実の問題として、正しく準備していれば、影響を小さく、もしくは可能性を小さくする事ができるのかもしれないが、「コスト(お金や時間)がかかる」というすぐ目の前にある「小さな不利益」を大きく取り上げて、本来のリスクという「大きな不利益」に蓋をしてしまうわけだ。

この流れ、見かけた事がありませんか？自分の家族、自分の所属する組織などで。

つい風呂敷を広げてしまったが、このしばしば見かける流れの延長線上に、いわゆるITセキュリティ関係の事件が発生していると思っている。

「今そこにある危機」、それに対して「自衛する手段」、それは、この単純な考えなのではないか？そして、継続的に実施すること(できてないけど)などと思う次第であります。そして、自分の課題は、「どうやって(時々でいいから)継続的に見直すか」なのだろうと思います。

もう少し掘り下げたいと思うが、時間もないので、今日のところはこの辺で駄文を終りにします。

セキュリティに関して思うこと(その2)

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 May 2018 04:54:59 +0000

セキュリティに関して思うこと(その2)

もうしばらくセキュリティの一般的な部分に対する思うことを書いておく。

しつこいが、例によって個人の雑感なので、どう思っていただいても結構だが、気に入らない方は華麗にスルーしてほしい。

先日の記事で、リスクを

リスク＝不利益が起こる可能性×不利益が起こった時の影響

と書いた。

今回は、不利益が起こった時の影響の部分を少し書いてみる。

仮にあなたが市場価格１億円のダイヤモンドを持っているとしよう。 話を簡単にするために、このダイヤモンドは純粋に資産として持っているものであり、価値のみが評価基準だとする。このダイヤモンドを守るというのはどういうことだろうか？まず、心配事を書き出してみよう。

盗まれる
壊れる(割れる、燃えるなど)
価値が減少する

と言ったあたりが心配事の中心になるだろう。（他にも、例えば借金の担保だったり、見物料などを取っていたりするかもしれないがきりがないのでこの程度で）これらの心配事が不利益を考える上での第一歩である。

次に不利益となる事態が発生したら何が起こるのかを「盗まれる」という不利益を例に考えてみる。

ダイヤが盗まれる→１億円の資産が０になる→取り戻すために何らかの行為を行わなければならない→コストが発生→被害が拡大する
ダイヤが盗まれる→それだけの資産を持っているくせに防御が甘いと認識される→常に狙われる立場になる
ダイヤが盗まれる→盗まれた事実を知られてしまう→やっかみ等の対象にされる→人間関係が悪化する
ダイヤが盗まれる→盗まれるような体制を敷いていたお前が悪いと非難される→気分が悪い

(他にも様々あって、ここではいちいち書ききれない)

セキュリティを考える上では、「保護すべき対象」と「対象の価値」と「対象に付随する価値」をしっかり見つめる必要がある。特に、「対象に付随する価値」は、「対象の価値」と違い、時代や状況などによってしばしば大きく変化してしまうものである。そして、この「対象に付随する価値」を見極めなければ、不利益が起こった場合の影響を算定する事ができない。

ISMSやP-Markを取得する際に、必ず保護しなければならない情報のリストを作成し、機密度等を見直し、（ある程度の）価値算定を行うのは、まさにリスクを（できる限り）明確にするために必要だからである。

ベネッセの件でJIPDECがプライバシーマーク認定を剥奪した。この件で、実はJPIDECに質問を出し、回答をもらった。ここにそのまま貼るわけにもいかないので、サマリーを記載しておく。

プライバシーマーク制度委員会で審議した。
審議内容は非開示である。
取り消し措置の根拠は第15条7項による。
実覚事項および判断基準は
- 乳児を含む機微情報であり、影響が長期間継続する可能性が高い
- 社会への影響および「制度への影響が大きい」こと
- 流出した個人情報数が過去最大規模であること
ただし、各自項において閾値を「制度としては設定していない」

個人的には、このような決定を下した段階で、「プライバシーマーク制度は死んだ」と言わざるを得ない(認定を取得しても意味がないことが明確になった）と考えているが、飽くまでも個人の考えなので、異論・反論はあるだろうとは思う。

これを見て、「対象に付随する価値」というのは算定が難しいものであり、評価者次第で物凄い差が出るものであると思う。

セキュリティを考える上で、おそらく一番難しいのは、この「不利益が起こった時の影響の算定」なのだろうと思っている。なぜなら、影響を算定するための「価値」の算定根拠はどうしても主観が入らざるを得ないものであり、したがって、主観が異なってしまえば算定価値が変化してしまうからである。

結論のない、グダグダの駄文だが、思うことということでお許しいただきたい。

squid on freebsd memo

anonymous@undisclosed.example.com (Anonymous) — Wed, 22 Jun 2016 07:55:25 +0000

squid on freebsd memo

ちょっとした理由で、ProxyServerを作る羽目になったので、メモ

pkg install squid
check /var/squid/cache , /var/log/squid

vi /boot/loader.conf

kern.ipc.msgmnb=8192
kern.ipc.msgssz=64
kern.ipc.msgtql=2048

echo 'squid_enable=yes' » /etc/rc.conf.local

http://hp.vector.co.jp/authors/VA022911/tec/centos/squid5.htm

SQUID COnfiguration

AquidのConfigurationは、上からParseされるので、注意(末尾に書けばいいというものではない)
今回はFreeBSDのInstall時のsquid.confの先頭に以下を追加するだけで良い

*** squid.conf.sample	Thu Aug 20 19:18:40 2015
--- squid.conf	Wed Aug 26 14:03:38 2015
***************
*** 2,7 ****
--- 2,15 ----
  # Recommended minimum configuration:
  #
  
+ visible_hostname squid1
+ 
+ # Auth Param
+ auth_param basic program /usr/local/libexec/squid/basic_pam_auth
+ auth_param basic children 2 startup=2 idle=1
+ auth_param basic realm Squid proxy-caching web server
+ auth_param basic credentialsttl 2 hours
+ 
  # Example rule allowing access from your local networks.
  # Adapt to list your (internal) IP networks from where browsing
  # should be allowed
***************
*** 24,29 ****
--- 32,39 ----
  acl Safe_ports port 777		# multiling http
  acl CONNECT method CONNECT
  
+ acl pamauth proxy_auth REQUIRED
+ 
  #
  # Recommended minimum Access Permission configuration:
  #
***************
*** 52,64 ****
  http_access allow localnet
  http_access allow localhost
  
  # And finally deny all other access to this proxy
  http_access deny all
  
  # Squid normally listens to port 3128
! http_port 3128
  
! # Uncomment and adjust the following to add a disk cache directory.
  #cache_dir ufs /var/squid/cache 100 16 256
  
  # Leave coredumps in the first cache dir
--- 62,85 ----
  http_access allow localnet
  http_access allow localhost
  
+ http_access allow pamauth
+ 
  # And finally deny all other access to this proxy
  http_access deny all
  
  # Squid normally listens to port 3128
! #http_port 3128
! http_port pppp
! icp_port 0
! 
! # NEIGHBOR SELECTION
! # TEST
! cache_peer  aaa.aaa.aaa.aaa parent pppp 0   no-query
! acl         TEST dst nnn.nnn.nnn.nnn/mm
! cache_peer_access aaa.aaa.aaa.aaa allow TEST
! never_direct allow TEST
  
! # Uncommen an adjust the following to add a disk cache directory.
  #cache_dir ufs /var/squid/cache 100 16 256
  
  # Leave coredumps in the first cache dir

/etc/pam.d/squid

auth		required	pam_unix.so		no_warn try_first_pass
account		required	pam_unix.so

詳しいことは別の記事でまとめる

気になった記事(20150901)

anonymous@undisclosed.example.com (Anonymous) — Tue, 01 Sep 2015 06:12:34 +0000

気になった記事(20150901)

散々溜めてしまったので、一気に行く。

FreeBSD 10.2 with CARP の設定でどはまりをブッこいたメモ

anonymous@undisclosed.example.com (Anonymous) — Wed, 16 Sep 2015 08:11:25 +0000

FreeBSD 10.2 with CARP の設定でどはまりをブッこいたメモ

某所の某サービスの構築をするにあたって、FreeBSD/CARPを使った冗長構成を取らなければならなくなったわけだ。

その際に、FreeBSDがMultiUser modeでlogin promptまで行かなくなったので、その記録。

NICの設定に際し、一般にFreeBSDでは、以下のように記述する

ifconfig_xn1="inet 192.0.2.2/24   -rxcsum -txcsum -tso -lro"

ここに、CARPの設定を入れる場合、aliasで設定する

ifconfig_xn1="inet 192.0.2.2/24   -rxcsum -txcsum -tso -lro"
ifconfig_xn1_alias0="inet vhid 1 advbase 1 advskew 100 pass Password-0-0-0 alias 192.0.2.1/32"

見た感じ、これで問題なさそうに見るのだが、実はこの設定を行うと、boot時にlogin promptまでたどり着かないことがある。

なぜそうなるかを追いかけるために /etc/rc.d/netif → /etc/network.subr の順に、そして呼ばれる関数ごとにprintf debugをかけた。実は最後までは追いかけていないのだが、printf debugの結果

network.subr内の ifalias_af_common_handler内のloopで「無限loop」している
原因は、CARP Passwordに記載している “数字-数字” を含んだ文字列

で、ここをexpandするために無限loopしているのではないかと推測される。

さすがに、こんなのわからないわけで…

というわけで、こういうパスワードを入れるのはやめましょう。絶対に。

TaskBoard

anonymous@undisclosed.example.com (Anonymous) — Fri, 23 Oct 2015 08:43:25 +0000

TaskBoard

自分のTaskを管理するにあたり、Agileでよく使われているTaskBoardを使ってみようかと思って調べてみた。

いろいろ書きかけ。

TaskBoardのApplicationを探しまくっているが、とりあえず

kanboard
SimpleTaskBoard
Restyaboard

が見つかった。(いや、ものすごくたくさん、いろいろな実装があるのだが、複雑すぎて悩ましいのでこの程度に絞った。今後も適当に増えると思う)

kanboard

非常に簡単にInstallできる。
- 単にファイルを展開して、Web Accessを飛ばすだけ。
しかし、Task変更時にMailが飛ばなかったので(FreeBSD/CentOSともに)、とりあえず諦める
FreeBSDはportsでInstallできる。http://kanboard.netにSource Archiveがある

RestyaBoard

高機能なTaskBoard
Elastic Searchなど、様々な周辺システムが必要
Elastic Searchを冗長化する余力がないので、今後考える

SimpleTaskBoard

ドキュメント通りに設定しようとしたが、動作しない。というよりも、Install memoが不親切。
結構良さそうに見えるだけに、残念。

Restya Board

FreeBSDにportsはなかった。
FreeBSDでは、うまく動かせなかった。技術不足。残念

Wekan

もうやり直しが違いすぎたので、新しくエントリを起こす

セキュリティー人材とやらについて

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 May 2018 04:49:59 +0000

セキュリティー人材とやらについて

まくら

最近忙しすぎて、ちっともTwitterでもFaceBookでも駄文を書けなかったのだが、今日久しぶりにTwitterでちょっとした会話をしたので少し書いてみたくなった。

お題はSecurity人材というもの。もちろん、このコンテクストでは情報セキュリティを採り上げるので、物理セキュリティはあまり考慮に入ってません。

まぁ、個人的考えだし、異論反論はあると思うけど、例によって気に入らない人はスルーしてくださいな。

本文

世は「セキュリティ人材不足」とやらで姦しいわけだが、そもそも個人的には「セキュリティ人材 is なに？」的な気分なわけだ。もっと言えば、それ以前にいわゆる「セキュリティ is なに？」という気分になるわけで。

日本は島国であって、かつ江戸時代という「外国の影響を極力排除」した上で、合衆国のような「小さな単位で分割統治」することによる「均質化」を経験してきた歴史がある。この歴史観には異論が多々あるだろうが、個人的にそう感じるわけだ。

この歴史が、「均質化の結果」としての「異物の排除」が文化として定着させたように思う。その結果としての「身近に異物がない」状態がすなわち「感覚的な安全」論（つまり「安全でないなら異物を排除すれば良い」的考え）になっているように感じる。もちろんこれはある一面から切った見方であって、当然それ以外の流れも考えもあるが、今でもこの「感覚的な安全」論が割と幅を利かせているのではないか？と思わざるをえない。

自分がセキュリティの話をする時に必ず使う説明に、Securityの元となる単語のSecureの語源の話がある。

Secure = Se-Cure = Se + Cura = (〜から)離れる(という接頭語) + 不安・心配事

つまり、Secureとは「不安や心配事から離れた状態」＝「不安や心配事がない状態」が原義である。

この原義から、日本における「感覚的安全」を実装するための「異物排除」はそれがいいか悪いかは置いておいて確かにセキュリティ対策と言える。もちろん、今のご時世、このセキュリティ実装では、対策としてはあまりにもお粗末に過ぎるのだが、自分の経験では、日本において、れがセキュリティ対策の一番目に入りやすいように思う。（単に日本以外の国の事を知らないだけです）

セキュリティ対策の話は本題ではないので、話を引き戻す。

自分が、「ゼキュリティ人材不足」という表現を見た時に思うことは、

セキュリティ人材と言われた時に想像するのはどういう人材だろう？
不足していると言われているセキュリティ人材ってなんだろう？

ということ。そして、実はこの言葉、おそらく定義がないまま「イメージ」だけで語られているような気がする。曰く

情報システムへの攻撃を防いでくれる正義の味方
情報システムへの攻撃を見つけて対応してくれるスーパーマン

じゃないか？と思うわけだ。

ぶっちゃけ、「他力本願で甘えすぎじゃない？」と思わざるをえない。

インターネットは、(ある意味)異物の集合体である。Internet = Inter-Network であり、Network間接続なのだから、そもそも定義として異物の集合とも言える。そこに、黄門様よろしく「葵の紋所」を見せれば問題が解決するだの、ウルトラマンよろしく最後は「スペシウム光線」で、などという「必殺技」や「銀の弾丸」なんてあるはずがない。

私見だが、 ;#; 「何(対象)」を、「誰(攻撃者)」から、「どのくらいの期間」、「どんな手法」で、「いくら(費用)」かけて護るか - (1) ;#; が定義されない限り、いわゆるセキュリティを実装することはできない。この定義がないまま「規定」だけ実装している例はごまんと見ているが、そんなものはセキュリティではない。

とすると、(少なくとも自分が考える）セキュリティ人材とは、上記(1)を定義・実装できる人ではないかと思う。

翻って、いわゆる報道などで見かけるセキュリティ人材とやらは、「セキュリティ関連技術を知っている人」に矮小化されているように感じる。報道で取り上げられるようなセキュリティの専門家と言われる人は、「セキュリティ関連技術を知っている『だけ』の人」では断じてないにもかかわらず、そういう取り上げられ方がされやすいように見受けられる。もちろん、「関連技術」は実装する際に非常に重要だし、緊急時の対処にもやはり非常に重要である。だから、セキュリティ技術がある人材はもちろん育てなければならないし増えるべきだと思うが、「セキュリティ人材不足」というコンテクストで考えるなら「そこは本質ではない」と言いたくなるわけだ。

会話中に

「セキュリティ人材という言葉でいうと発する人、受け取る人によって定義、理解も曖昧でどこまでのことを求めているのか、先ほどのどの範囲をどのようにカバーできるのかも見えてこず、足らない足らないと騒ぐだけになっちゃうのが怖いなって思います」

という発言があったが、まさにこの「騒ぐだけ」になること、そして「何が足りないのか」という場合の「何」の部分が置き去りになるのが恐ろしい。

今本当に必要なのは、「できるだけ根に近い部分」を（なんとなくでも）理解している人材なのだろうと思う。そこがあって初めて、実装できる技術者も生きるのだろうと。「排除する」だけでなく、「入り込まれても大丈夫なように対策」することや、「攻撃成功時のリターンよりも攻撃失敗時のリスクのほうが大きい」ようにすることを考えられる人材や制度が必要なのだろうなと思う。

もう一つ。やはり会話中に

「それで数年後には量産された人材がぽいっとされてしまうこととか考えると心が痛くなります。」 </note> という発言もあって、これは自分も同感するところである。

しかし、この点は実は自分は楽観している。

自分は、現時点では、セキュリティ関連技術を「現場で身につける」のは多くの人にとって難しいと思う。それは、必要となる知識が多岐にわたるからであり、セキュリティ技術を身につける余力があるような「現場」は少ないからである。

この問題は、少し前の「プログラマが足りない」→「学校で教える」→「JAVA(等各種言語)プログラマ量産」の流れと同じだと思っている。今、曲がりなりにもプログラマやコーダーがそこそこの人数存在しているのは、この「プログラマ量産」プログラムのおかげである。（足りているかの議論は別）

量が増大したことにより質が劣化したという話もしばしば聞くが、供給がないと今よりもさらにプログラマ不足になっていたであろうことは想像に難くない。もちろん、質の向上は永遠のテーマだが、そもそも量が提供されなければ質の向上は望めない。（量が不足していると、高品質のプログラマも時間に追われ、結果として単体あたりの品質が劣化する可能性が高い）

いうまでもないが、個人としての質が向上しないならば必ず淘汰されてしまう。ここでの議論は個人レベルの話はしていないので、為念。

セキュリティの基本を学んだ人材は量産されるべきである。というより、セキュリティの基本はすべての人が学ばなければならない。基本を理解した上で、それが正しいか間違っているかを考えるべきであって、「観念」だけでセキュリティを語られてはたまらない。

そして、セキュリティの基本を学んだ人の中から、セキュリティ技術を理解し使える人を量産しなければならない。そして、常識的に供給されなければならないと思う。

セキュリティの基本的な考え方は、(情報システムに限らず)どこでも必ず使えるものだから、セキュリティを学び、曲がりなりにも身につけた、人材は、たとえ量産型であろうとも、簡単に「ポイ捨て」されるようなことはないと、そして「ポイ捨て」されても次のチャンスはきっとあると思っている。

少なくとも、現時点（というよりこれから10年くらい？）は、ちゃんと基本的な知識を持った人材が増え、今の疲弊したITという土壌をもう一度豊かにする段階ではないかと思う。

最後に、やはり会話からの言葉で

一点集中というよりはもう少しセキュリティとそれを支えるものまでと付随した上での知識、技術を身に着けられるようにしていくことが大事なんだろうなと思います。

というのがあったが、これがおそらく最も大事なんだろうと思う。

Wekan

anonymous@undisclosed.example.com (Anonymous) — Thu, 18 May 2017 06:47:09 +0000

Wekan

というわけで、KanbanアプリであるWekanを作る。

もともとの記事は、下部の「古い記事」に移した。メモとして残すが、参考にはならんでしょう。

Wekanを入れる

古い記事に書いた通り、真面目に入れようとするとうまくいかないことが多すぎたので、CentOS7にDocker環境作ってそこにWekanを入れる。ちょうどいいから、Dockerの勉強も兼ねて

参考: https://docs.docker.com/installation/centos/ Docker Install
参考: http://fight-tsk.blogspot.jp/2015/04/centos7-docker-docker-compose.html docker-compose Install
参考: http://isoittech.hatenablog.com/entry/2015/08/04/Dockerコマンドまとめ Docker コマンドまとめ
参考: http://blog.amedama.jp/entry/2015/09/24/222040 CentOS7 で Docker を使ってみる
参考: http://qiita.com/74th/items/e8dc1ac1295140413dc8 dockerコンテナをsystemdで管理させる
参考: http://7me.oji.0j0.jp/memo/centos-docker-systemd.html Dockerコンテナをsystemd管理にしてCentOS起動時に自動起動する

参考: https://github.com/wekan/wekan/wiki/Install-and-Update Install and Update (Wekan)

yum install telnet tcpdump bind-utils openssh-clients ntpdate man man-pages wget git
curl -sSL https://get.docker.com/ | sh
systemctl enable docker && systemctl start docker
- これでdockerがInstallされ、起動される
curl -sSL https://get.docker.com/ | sh
- Warningsが出るが、とりあえず、無視する。
git clone https://github.com/wekan/wekan.git
cd wekan
sudo docker-compose up -d
- これで、Wekanは起動する。
- Containerとしては、Wekan用のjsが動くものとmongodbが動くものの２つが走る。
- 起動は、docker docker start

古い記事

https://github.com/wekan/wekan/wiki
FreeBSDで頑張ったが、ダメだった
- これは、node.jsか、npmで入れたPackageのいずれかがlibstdc++.so.6 とか libm.so.6を仮定しているため
- FreeBSDでgccを入れても、libm.so が libm.so.5 なので、ダメだった。
  - もちろん、Symlink張る手はあるが、これだと、pkg updateなどのときに何が起こるかわからないので不採用
- いちいちnode.js関連のPackageを全部自分でコンパイルするとかありえない
CentOS7に入れることに決定
- yum install epel-release
  - yum install nodejs npm
- yum&s[]=yum&s[]=nginx&s[]=repos
  - yum install nginx
- http://qiita.com/fetaro/items/acad2991efc2bc2274b5 mongoDB関連(簡易)
  - vi /etc/yum.repos.d/mongodb-org-3.0.repo
  - ```
  [mongodb-org-3.0]
  name=MongoDB Repository
  baseurl=http://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.0/x86_64/
  gpgcheck=0
  enabled=1
```
- yum install mongodb-org
- systemctl start mongod
- chkconfig mongod on
- ご本尊のWekan
  - https://github.com/wekan/wekan/releases/latestから最新版を拾う
  - tar xzvf wekan-v0.9.0.tar.gz
  - cd bundle/programs/server/ && sudo npm install
  - cd ../../
  - vi wekan.sh
  - ```
  #! /bin/sh
  export MONGO_URL='mongodb://127.0.0.1:27017/rrwekan'
  export ROOT_URL='http://kb.rusty-raven.net'
  export MAIL_URL='smtp://127.0.0.1:25/'
  export PORT=8080
  node main.js
```

このやり方だと、node.jsが少し古くて、Meteor requires Node v0.10.40 or later.と怒られるので、明日、修正する

結論。node.jsはyumでinstallしてはいけない。ダメったらダメ。
全部やり直し
http://moro-archive.hatenablog.com/entry/2015/07/27/225747

Mail Serverをつくる

anonymous@undisclosed.example.com (Anonymous) — Thu, 12 Nov 2015 07:38:46 +0000

Mail Serverをつくる

現行の MailServer が古くなってしまい、さすがに再構築しなければならなくなった。

この際だから、FreeBSD 10.2で構築してみる。

もちろん、NetBSDも考えたんだけど、最近はFreeBSDに体重をかけ始めているので、そちらで行く事にした。まぁ、実際にはApplication ServerのLayerなので、違いはほとんどないはず。

Install

* OSはFreeBSD 10.2 で、環境はXenServer 6.5SP1上。 * Memoryはどうせそれほどのアクセスはないはずなので、2G * Home DirectoryはNFSで供給する。

一応、xe-guest-utilitiesとxen-guest-toolsは仕込んでおき、Zabbixでの監視設定は突っ込んだ。

Mail関連

sendmailやEximなども考えないでもないが、今回は移設が目的なので、

Postfix 3系
dovecot 2系

を利用し、SMTP/SMTPS/IMAP/IMAPsを動作させる事を主眼に置く。なお、一部LDAPを利用しているので、その設定も入れておく。

そもそも旧来の環境があまりにも古い( Postfix 2.6系 / Dovecot 1系 )なので、ちょっと作業が多い…

* 参照URL

Postfix関連
- PolicydによるSPF制御関連
  - http://server-setting.info/centos/postfix-policyd-spf-python-redhat.html (今回は未導入)
    - py27-postfix-policyd-spf-python を使えばいいらしい
Dovecot2関連
- AntiSPAM制御関連

　　 * http://arika.org/2010/08/20/dovecot-antispam-plugin/ (今回は未導入)

http://arika.org/2010/08/20/dovecot-antispam-plugin/
- ovecot2-antispam-pluginを使えばいいらしい
PostfixへのTLS適用関連
https://blog.apar.jp/linux/678/

FreeBSDのpostfix/dovecotはdefaultではLDAPに対応していないので、portsから作らなければならないしかし、全てをいちいち作っていたら馬鹿らしいので、Postfixのみ作成すればいいように、以下をpkgでInstallしておく。

perl5
pcre
openldap-client
db5
gmake
gettext-tools
expat
gettext-runtime
indexinfo

pkg install perl5 pcre openldap-client db5 gmake icu gettext-tools expat gettext-runtime indexinfo

なお、ports作成時の依存リストを見るには、

make build-depends-list

を実行すれば良い

次に、dovecot2をInstallする。これはLDAPに対応する必要があるので、portsから入れるしかない。

cd /usr/ports/mail/dovecot2
make rmconfig-recursive
make config-recursive
  * LDAPをEnableする
make
make install

Dovecotを動かすためには、dovecot_enable=“YES”を忘れない事

次にPostfix

cd /usr/ports/mail/postfix-current
make rmconfig-recursive
make config-recursive
  * BDB/EAI/LDAP/DOVECOT2をEnableする
make
make install

Postfix をActivateするために、

Would you like to activate Postfix in /etc/mail/mailer.conf [n]? y

しておく。また、postfix_enable=“YES”を忘れない事

Sendmailを止めるために/etc/rc.confに

sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

を設定し、/etc/periodic.conf に

daily_clean_hoststat_enable="NO"
daily_status_mail_rejects_enable="NO"
daily_status_include_submit_mailq="NO"
daily_submit_queuerun="NO"

細かいConfigの変更点は、とりあえず割愛。

重要

dovecotをopenssl s_connect で試験する場合に「どはまり」をしたのでメモしておく。

まず、telnetで試験する
1. telnet fqdn imap
  1. ? login foobar ultrasecret
  2. これで認証できればOK
2. openssl s_client -connect fqdn:imaps
  - これで、証明書等が見える。
  - ? login foobar ultrasecret
    - これで成功する人はおそらくWindowsな人だけ。
    - syslogに　… imap-login: Disconnected (no auth attempts in ? secs):… rip=…, lip=…, TLS, session=<…>などと出力される。
    - これでは、試験が成功しない。
3. openssl s_client -connect fqdn:imaps -crlf
  - これで同じく証明書等が見える。
  - ? login foobar ultrasecret
    - これで認証に成功しなければdovecotの設定が間違っていると考えられる。

こんなのわかりません。実際、1日使ってしまったorz…

pf/IPS/WAFと通信制御雑感

anonymous@undisclosed.example.com (Anonymous) — Wed, 18 Nov 2015 02:25:33 +0000

pf/IPS/WAFと通信制御雑感

最近、会社の仕事として、うちの会社のお客様限定で安価なWAFサービスを作った。安価と言っても、一応ちゃんとしたWAFとhttp cache機能をもたせているので、理想的な状態(通信が十分にcacheされており、伝送遅延が少ないことが仮定できる状態)であれば、ピークで約2Gbps程度の通信性能を叩き出すことができた(ただし、検査対象の通信は400Mbps程度)。このシステムは全て仮想環境で組んだのだが、これだけの性能が出せる近年のハードウェアの性能には驚くばかりだ。

packet filter firewall(以下pf)
- もっとも基本的な検査手法
- 対象はいわゆるIP通信
- 基本的には3層のヘッダ(IP Header)と4層のヘッダ(TCP/UDP/… Header)の情報を以って検査する
- 独立した機器として認識されることが多いが、多くの場合Routerなどのネットワーク機器や、node(サーバーや末端の端末)にも実装されている
Intrusion Prevention System(以下IPS)
- 通信内容をもとにした検査手法
- 対象は通信内容そのもの
- 様々な通信の内容を検査しなんらかの手法で「攻撃と思われるもの」を検出する。
- 検査手法として有名なものに、攻撃パターン表(signature)を用いるものと、振る舞いから判断するものがある。
- signature型の場合、signatureの精度が重要になる
- 一般に、Rourterのような3層での中継デバイス(Network node)型の実装とSwitchのような2層での中継デバイス(Bridge)型(透過型などとも言う)の実装がある
Web Application Firewall(以下WAF)
- Web通信(もっと言えばHTTP通信)に限定した、通信内容検査を行う
- 検査手法として有名なものに、攻撃パターン表(signature)を用いるものと、振る舞いから判断するものがある。
- signature型の場合、signatureの精度が重要になる
- 実装としては、HTTP proxyとしての実装と、2層での中継デバイス(Bridge)型(透過型などとも言う)の実装がある

一般に、pf/IPS/WAFは、検査項目の量に応じて転送性能が落ちる・CPUやメモリーを食うわけで、検査対象の通信量は少ないに越したことはない。

従って、検査対象外の通信をいかにして検査しないかが大変重要になる。例えば、WAFにhttp以外の通信を食わせても仕方がないように、「通信検査対象外」の通信を検査システムに流し込むことは、単純に伝送遅延の増加とマシンリソースの無駄使いが発生するばかりで、いいことが何一つない。

以上から、個人的には、以下のような通信制御を行うのが良いのではないかと思っている。

Externalとの境界、Network policyの境界に置いたRouterでpfを設定する
- ここでhttp系とそれ以外に通信を分離する
  - policy routingはなかなか面倒だが、これは仕方がないと諦める
- 検査すべきhttp系通信はWAFで検査し、httpサーバーに直接転送する
- 検査すべきそれ以外の通信はIPSで検査し、転送する

こんな事は「論理的には」自明なのだが、実装を考えるとなかなか難しい。初段の通信分離がどうしても「面倒」なのだ。なぜなら、

pf/IPS/WAFのポリシー作成が難しい
pf/IPS/WAFのデバッグが難しい
policy routingができるかがわからない
policy routingの設定が難しい
policy routingのデバッグが難しい
この程度の構成にするだけで、障害時の切り分けが格段に大変になる

ここまで考えると、やっぱり少し高くてもオーバースペックな機器を入れて、全部見させる方が楽なのかもしれないとも思い始めてしまうわけで、まだまだネットワーク設計はちょっと踏み込むと罠があるなぁと思う。

Apache mod_security + OWASP CRS

anonymous@undisclosed.example.com (Anonymous) — Fri, 25 Dec 2015 05:34:59 +0000

Apache mod_security + OWASP CRS

NGiNXでうまくいかなかったので、とりあえず動く例が欲しくなって試す。環境は、基本、NGiNXの時と同じ

環境

XenServer 6.5SP1
CPU	2
Memory	2048M
Disk	20G
NIC	2
OS	FreeBSD 10.2

準備

ApacheにModSecurityを入れるなら、pkgでよい。
- pkg install ap24-mod_security
  - NGiNXの時よりも入れるものが少ない。自前でCompileしないからかな。

httpdの設定

Apacheなんて15年ぶりなので、正直、グッとくるhttpd.confのサンプルがない。なので、とりあえずの設定。

FreeBSDの場合、ports/pkgからInstallすると、Apache関連の設定ファイルは/usr/local/etc/apache24に格納される。

httpd.confの設定
- mod_securityでWAFをさせるだけなので、CGIは使わない。LoadModule alias_module libexec/apache24/mod_alias.soをコメントアウト
- ServerAdminを設定する
- ServerNameを設定する
- DocumentRoot下の<Directory “/usr/local/www/apache24/data”>内にあるOptions Indexes FollowSymLinksをOptions -Indexes +FollowSymLinksに変更

Includes下にsecurity.confを作成

security.conf

#
# Apache Security Conf.
#

# Prevent CrossSite Tracing
TraceEnable Off

# Hide Apache Version
ServerTokens ProductOnly
ServerSignature off

<IfModule headers_module>
  # Hide Header X-Powered-By
  Header always unset X-Powered-By
  # Prepend Click-Jacking
  Header append X-FRAME-OPTIONS "SAMEORIGIN"
  # for IR^?E
  Header set X-Content-Type-Options: "nosniff"
</IfModule>

# Anti POODLE
<IfModule ssl_module>
  SSLProtocol All -SSLv2 -SSLv3
</IfModule>

# Prevent to access to SCM Dir.
<DirectoryMatch "/\.svn">
   Require all denied
</DirectoryMatch>

<DirectoryMatch "/\.git">
   Require all denied
</DirectoryMatch>

<DirectoryMatch "/\.hq">
   Require all denied
</DirectoryMatch>

<DirectoryMatch "/\.bzr">
   Require all denied
</DirectoryMatch>

extra/httpd-autoindex.confを編集
- 単純に全部をコメントアウト
extra/httpd-userdir.confを編集
- 単純に全部をコメントアウト

Apache用mod_securityの設定

Includes/mod_security.confに以下を記載

# Include mod_security module
LoadModule security2_module libexec/apache24/mod_security2.so
<IfModule security2_module>
  Include etc/modsecurity/*.conf
</IfModule>

mod_securityの設定

素人のメモ

Apacheなんて正直15年位真面目に使ってなかった(LighttpdとかNGiNXに転んだから)のでとてつもなく恥ずかしいが、幾つかのメモ

実行中のApacheが読み込んでいるModuleを見る
- Compile時に組み込まれているModuleを見る apachectl -l
- 実行時に読み込まれているModuleを見る apachectl -M

参考

ModSecurityをソースからビルドしてhashdos対策に活用する CentOSでmod_security等を利用する場合に参照しておくこと

ほほほのほ - tweet:2015

DouwikiとNGiNXではまる

DouwikiとNGiNXではまる

追記

Test

Test

Facebookに書いた駄文(20150115)

Facebookに書いた駄文(20150115)

XenServer 6.5の実験

XenServer 6.5の実験

Network機材とユーザー管理

Network機材とユーザー管理

気になったものメモ

気になったものメモ

CentOS7 Install memo

CentOS7 Install memo

CentOS7にWordPressをInstall

CentOS7にWordPressをInstall

Facebookに書いた駄文(20150203)

Facebookに書いた駄文(20150203)

pydio

pydio

OS-X用Excelで金融機関からダウンロードしたCSVを開く

OS-X用Excelで金融機関からダウンロードしたCSVを開く

KVMでGuestの起動が遅い

KVMでGuestの起動が遅い

RTC on CentOS7

RTC on CentOS7

sshとcron

sshとcron

気になった記事をまとめておく@20150402

気になった記事をまとめておく@20150402

pfSense on XenServer

pfSense on XenServer

CentOS上のNFS

CentOS上のNFS

そろそろいろいろ片付けないと

そろそろいろいろ片付けないと

気になった記事(20150512)

気になった記事(20150512)

メモ(20150520)

メモ(20150520)

Facebookに書いた駄文(20150520)

Facebookに書いた駄文(20150520)

年金機構の情報流出を見てちょっと思ったこと

年金機構の情報流出を見てちょっと思ったこと

2015/06/04 追記

年金機構問題における部外者の反応を見て思った雑感

年金機構問題における部外者の反応を見て思った雑感

公開直後の追記

セキュリティに関して思うこと

セキュリティに関して思うこと

セキュリティに関して思うこと(その2)

セキュリティに関して思うこと(その2)

squid on freebsd memo

squid on freebsd memo

気になった記事(20150901)

気になった記事(20150901)

FreeBSD 10.2 with CARP の設定でどはまりをブッこいたメモ

FreeBSD 10.2 with CARP の設定でどはまりをブッこいたメモ

TaskBoard

TaskBoard

kanboard

RestyaBoard

SimpleTaskBoard

Restya Board

Wekan

セキュリティー人材とやらについて

セキュリティー人材とやらについて

Wekan

Wekan

Wekanを入れる

古い記事

Mail Serverをつくる

Mail Serverをつくる

Install

Mail関連

重要

pf/IPS/WAFと通信制御 雑感

pf/IPS/WAFと通信制御 雑感

pf/IPS/WAFと通信制御雑感

pf/IPS/WAFと通信制御雑感