2017年03月02日

このエントリーをはてなブックマークに追加
最近になって、SSLサイトでエラーが出るようになりました。
エラーの内容については、以下の通り。
The connection to this site uses a strong protocol (TLS 1.2), a strong key exchange (ECDHE_RSA with P-384), and an obsolete cipher (AES_256_CBC with HMAC-SHA1).

表示の内容から推測するに、SHA-1 を利用していることが原因のようでした。

当初このエラーが出現したとき、WindowsIISで動作していることが問題なのではないかなど、証明書よりも環境を疑っていました。
IIS Crypto などで暗号化スイートの方式をしていしたり、結構色々やったのですが、結局解決しませんでした。

またStartSSLの root 証明書は Sha-1 となっていました。このことが原因なのではないか。なども疑って調べたのですが、特に情報は出てきませんでした。

で、色々調べた結果、以下のサイトが見つかったのです。
完全に闇に落ちていた StartSSL に ¥3,603 課金してしまったお話
STARTSSL の証明書が使い物にならなくなっていた件

課金されてしまった方の調査方法はとても常識的だと思いました。僕も同じようにトラブルシュートを最初は行いました。

当初クライアントや各種環境を疑っていましたが、結局のところこの StartCOM / StartSSL が原因でした。
ということで次は let's encrypt を利用したいと思います。

stock_value at 18:49|この記事のURLComments(0)TrackBack(0)技術 

2017年03月01日

このエントリーをはてなブックマークに追加
とりあえず以下の感じでした。

Plesk の ツールと設定から アップデートとアップグレード のページを表示させました。
そして https://X.X.X.X:8447/ というページにリダイレクトされます。

これはUbuntu上で、/opt/psa/admin/bin/autoinstaller がポートをつかんでいるようです。

で、まずはページが表示できませんというエラーとなりました。

以下のコマンドを実行します。
# netstat -natp | grep :8447

ポートをつかんでいるプロセスを調べます。
# ps -ef |grep autoinstaller

ここで表示されたプロセスを kill しました。

そして /tmp/ フォルダ内に psa-installer.lock が無いことを確認します。ある場合には削除します。

もう一度画面を表示させると無事に表示されるようになりました。おそらく autoinstaller が正しく終了しなかったということでしょうか。


ほかにも以下のエラーがでましたが、上記設定で大丈夫になりました。
Can't connect to backend: No such file or directory
stock_value at 18:12|この記事のURLComments(0)TrackBack(0)技術 

2017年02月28日

このエントリーをはてなブックマークに追加
Ubuntu で iptables の設定を保存する

僕は今まで CentOS をメインで利用しており、このとき iptables は service コマンドなどで管理できました。
しかし Ubuntu は この方法ではできないようです。

一番簡単なのは iptables-persistent を利用するようです。
iptables-persistent の場合
ルールの記載
#vi /etc/iptables/iptables.rules

# iptables-restore < /etc/iptables/iptables.rules



とりあえず僕の環境では以下の方法で行いました。

参考
LinuxのUbuntuやDebianでiptablesの設定方法・設定ファイル
IptablesHowTo

・設定ファイル
/etc/network/if-pre-up.d/iptables.up
/etc/network/if-post-down.d/iptables.down
/etc/network/interfaces
/etc/sysconfig/iptables.rule # 今までと同じ方法でルールを編集したかったので


まずは起動時に設定を読み込むようにします。
# vi /etc/network/if-pre-up.d/iptables.up
----
#!/bin/sh
/sbin/iptables-restore < /etc/sysconfig/iptables.rule
----
権限付与
# chmod +x /etc/network/if-pre-up.d/iptables.up

次はiptables の初期化設定を行います。
# vi /etc/network/if-post-down.d/iptables.down
----
#!/bin/sh
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # ルールの削除
iptables -Z # カウンターのリセット
iptables -X # 追加チェインの削除
# nat 等の設定は上記コマンドでは初期化されません。
----
権限付与
# chmod +x /etc/network/if-post-down.d/iptables.down

・インターフェースの設定で読み込むように設定
/etc/network/interfaces
pre-up /etc/network/if-pre-up.d/iptables.up
post-down /etc/network/if-post-down.d/iptables.down

※なお今回の運用では、iptables に設定するコマンドはすべてテキストファイルに書き込むことを前提としています。ipta
bles コマンドを利用して直接書き込んだ場合には、service networking restart などによって消えてしまうので注意が必要です。

あと、設定ファイルを書き換えた場合には、 iptables.up を直接実行します。
stock_value at 17:51|この記事のURLComments(0)TrackBack(0)技術 

2017年02月27日

このエントリーをはてなブックマークに追加
以下の設定がキモです。
bridge irb
interface Vlan1
no ip address
bridge-group 1
bridge-group 1 input-type-list 200

なお、コンソールがないとできませんでした。
もしくは、複数のIPを割り当てて、セッションが切れないように(もしくは切れても再接続できるように)しておかないと大変です。
今回の設定では、ローカルIPは interface BVI1 に割り当てているため、VLAN1で設定しているとTelnet応答がなくなります。


参考
IPv6 パス スルー設定例(ルーテッド インターフェイスの場合)

#show run
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname HomeGW
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
ethernet lmi ce
clock timezone GMT 9 0
!
!
!
!
!
ip nbar http-services
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.128
default-router 10.10.10.1
dns-server 10.10.10.1
lease 0 2
!
!
!
ip domain name mydomain
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
parameter-map type inspect global
max-incomplete low 18000
max-incomplete high 20000
nbar-classify
!
license udi pid C841M-4X-JSEC/K9 sn XXX
!
!
object-group network Others_dst_net
any
!
object-group network Others_src_net
any
!
object-group service Others_svc
ip
!
object-group network Web_dst_net
any
!
object-group network Web_src_net
any
!
object-group service Web_svc
ip
!
object-group network local_cws_net
!
object-group network local_lan_subnets
any
10.10.10.0 255.255.255.128
!
object-group network vpn_remote_subnets
any
!
username admin privilege 15 secret 5 XXX
!
redundancy
!
!
!
!
no cdp run
!
!
class-map type inspect match-any Others_app
match protocol https
match protocol smtp
match protocol pop3
match protocol imap
match protocol sip
match protocol ftp
match protocol dns
match protocol icmp
class-map type inspect match-any Web_app
match protocol http
class-map type inspect match-all Others
match class-map Others_app
match access-group name Others_acl
class-map type inspect match-all Web
match class-map Web_app
match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
class type inspect Web
inspect
class type inspect Others
inspect
class class-default
drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-POLICY
!
!
!
!
!
!
bridge irb
!
!
!
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
no ip address
ip tcp adjust-mss 1412
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
bridge-group 1
!
interface GigabitEthernet0/5
no ip address
ip tcp adjust-mss 1412
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
bridge-group 1
bridge-group 1 input-type-list 200
!
interface Dialer1
mtu 1454
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1412
dialer pool 1
dialer-group 1
ppp mtu adaptive
ppp authentication chap callin
ppp chap hostname XXX
ppp chap password 7 XXX
ppp ipcp dns request
no cdp enable
!
interface BVI1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 23 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
!
ip access-list extended Others_acl
permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip any any
!
dialer-list 1 protocol ip permit
!
!
access-list 23 permit 10.10.10.0 0.0.0.127
access-list 200 permit 0x86DD 0x0000
access-list 200 permit 0x0800 0x0000
access-list 200 permit 0x0806 0x0000
bridge 1 protocol ieee
bridge 1 route ip
!
!
line con 0
login local
no modem enable
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server ntp.jst.mfeed.ad.jp
!
end
stock_value at 16:04|この記事のURLComments(0)TrackBack(0)技術 

2017年02月26日

このエントリーをはてなブックマークに追加
メモです。
静的なhtmlでSSIを利用しているサイトがありました。

僕が設定した apache は標準的な設定になっており、SSIについては、 shtml の拡張子が必要でした。
ということで以下の設定を追加です。

httpd.conf に以下の内容を追加

Options Includes
AddType text/html .shtml .html
AddOutputFilter INCLUDES .shtml .html

これで html 拡張子の状態でもSSIが有効になりました。



stock_value at 19:12|この記事のURLComments(0)TrackBack(0)技術 

2017年02月25日

このエントリーをはてなブックマークに追加
最近送られてくるスパムメールがかなり減ってきたと思っていました。

フィルターを適切に管理しているからか、先方が面倒になって送らなくなったのか。。。それはわかりませんが、以前のようにがっつりとしたスパムは減ったように思っていたのです。

かつては、ちょっと油断したら、1日に100通とかありましたからね。

しかし先日になって、1日に1,000通近くも迷惑メールが送られてきました。その執念すごい!
これは同じ業者で、異なるIPから・・・そうはいっても、/24の範囲とかで・・・送られてきていました。

僕が管理しているメールサーバーでは、フィルターをかけているので、このような大量のスパムメールを送信してくるサーバーについては、通常DNSBLに該当するようになります。
このDNSBLに該当すれば、拒否が始まります。しかし該当するまでの1日のうちに、さっさと送りきってしまうという考えなのでしょうか。
該当するまでの短時間が勝負ですね。それもまたすごいことです。

今回のIPは 103.236.182.XX というものでした。

スパムメール発信元 IPアドレス一覧
上記情報では、なかなか闇が深そうでした。

コメント欄でもやりとりがあるようなのですが、 TOKAIコミュニケーションズ というのは、スパム発信元を調べていると、見かけることがあるように思いました。

stock_value at 12:12|この記事のURLComments(0)TrackBack(0)技術