2018年01月
2018年01月31日
Webarena では SuitePRO という名称でサービスが提供されています。
SuitePRO V1/V2/V3 CPUの脆弱性に関するお知らせ
SuitePRO V4 CPUの脆弱性に関するお知らせ
なかなか歴史があり、 V1 から V4 までが活きているようです。現在は V4 ですね。
V3よりも古いサーバーについては、最近話題になっているMeltdown / Spectre には対応できないようです。
僕はこの中で、V2→V3→V4 とメンテナンスしているサーバーがありました。
ということで、現在利用中の V4 で Kernel Updateを行いたいと思います。
まんま引用です。
< kernelパッケージのアップデート実行手順>
1.「/etc/yum.conf」ファイルを編集
2.「exclude ...」行の先頭に「#」を追加することでコメントアウト。 「/etc/yum.conf」ファイルを保存
3.「yum update」コマンドを実行
4.「reboot」コマンド等で仮想サーバーを再起動
5.「uname -r」コマンドでKernelパッケージアップデートの確認
※再起動は1分以下でした。
# uname -r
2.6.32-696.20.1.el6.x86_64
上記の通り、現在の最新カーネルになりました。
一応上記手順を逆にやって、再度 yum でカーネルのアップデートは無効にしました。
SuitePRO V1/V2/V3 CPUの脆弱性に関するお知らせ
SuitePRO V4 CPUの脆弱性に関するお知らせ
なかなか歴史があり、 V1 から V4 までが活きているようです。現在は V4 ですね。
V3よりも古いサーバーについては、最近話題になっているMeltdown / Spectre には対応できないようです。
僕はこの中で、V2→V3→V4 とメンテナンスしているサーバーがありました。
ということで、現在利用中の V4 で Kernel Updateを行いたいと思います。
まんま引用です。
< kernelパッケージのアップデート実行手順>
1.「/etc/yum.conf」ファイルを編集
2.「exclude ...」行の先頭に「#」を追加することでコメントアウト。 「/etc/yum.conf」ファイルを保存
3.「yum update」コマンドを実行
4.「reboot」コマンド等で仮想サーバーを再起動
5.「uname -r」コマンドでKernelパッケージアップデートの確認
※再起動は1分以下でした。
# uname -r
2.6.32-696.20.1.el6.x86_64
上記の通り、現在の最新カーネルになりました。
一応上記手順を逆にやって、再度 yum でカーネルのアップデートは無効にしました。
2018年01月30日
メールは送受信が一体となっています。
しかし仕組みは異なっているので、片方を解決しても片方の問題はまだ・・そういうことがよくありますね。
ということで今回は メール受信の pop を暗号化したいと思います。 pops の利用です。
2015年06月09日:POP サーバーのセキュリティ設定
以前設定した通りではあります。
ここで証明書のパスを今回取得した証明書に置き換えます。
# vi /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = ssl_key = ssl_protocols = !SSLv2 !SSLv3
※ここで複数のドメインでSSLを利用する場合には、SNIの設定も必要です。
参考
With client TLS SNI (Server Name Indication) support
-- 引用 --
local_name imap.example.org {
ssl_cert = ssl_key = }
local_name imap.example2.org {
ssl_cert = ssl_key = }
# ..etc..
--------
しかし仕組みは異なっているので、片方を解決しても片方の問題はまだ・・そういうことがよくありますね。
ということで今回は メール受信の pop を暗号化したいと思います。 pops の利用です。
2015年06月09日:POP サーバーのセキュリティ設定
以前設定した通りではあります。
ここで証明書のパスを今回取得した証明書に置き換えます。
# vi /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = ssl_key = ssl_protocols = !SSLv2 !SSLv3
※ここで複数のドメインでSSLを利用する場合には、SNIの設定も必要です。
参考
With client TLS SNI (Server Name Indication) support
-- 引用 --
local_name imap.example.org {
ssl_cert = ssl_key = }
local_name imap.example2.org {
ssl_cert = ssl_key = }
# ..etc..
--------
2018年01月29日
SSLの流れが止まりません。
chrome を利用していると、http のサイトに、「保護されていない」 という表示が出るようになってしまいました。
firefox の場合には、 http でのフォーム入力で警告が表示されます。
hatena など、いろいろなブログサービスは、徐々に対応してきているのですが、 livedoor blog の場合、HTTPS、SSLを利用することについては、なんだか期待できないような気がします。
ということで、いろいろ試したのですが、以下の方法で途中までSSL化したのですが、最後がどうにも難しそうな感じでした。
要件としては以下の通り。
・ livedoor blog を利用
・ 独自ドメインを利用している
※ livedoor blog だけでSSL化するのはは本体が対応しない限り不可能です。
・ Cloudflare を利用。
手順。
1. Cloudflare で登録します。
僕は dynamic-one.com を利用しているので、このドメインを登録しました。
またDNSサーバーを、今まで利用していたものから、 Cloudflare の提供するDNSサーバーに変更します。
2. DNSサーバーの設定で Proxy が有効になっていることを確認します。
※オレンジの雲になっていればOKです。
DNS反映のため少し待ちます。このとき http でサイトにアクセスできることは常に確認しておきます。
3. 証明書を Flexible に変更
Cloudflare の Crypto から SSL の設定をFlexibleに変更します。
これで、ユーザー - (SSL) - Cloudflare - (平文) - livedoor blog
という接続になるようです。
4. livedoor blog のデザインを変更。
上記までの作業で https でアクセスすると、とりあえずアクセスはできるようになります。しかしこの状態ではレイアウトも崩れてしまいますし、各種パーツもほとんど表示されません。
いわゆる mixed contents という状態です。
あとはレイアウトを変更し、 http:// で読み込んでいるものを削除・修正していきます。
特に css などは、livedoor blog のブログパーツなどで読み込まれているものがたくさんあります。この場合には、独自タグ(CSSUrl)を削除して、直接URLを記載すれば大丈夫でした。
※最後出来ない部分が・・・
body タグの直下に http:// で読み込まれる javascript がありました。http://parts.blog.livedoor.jp/js/c2.js の部分です。
この部分については、削除できなさそうなので、どうにも難しいようにおもいました。
うーむむむ。どうしたものだろうか。
chrome を利用していると、http のサイトに、「保護されていない」 という表示が出るようになってしまいました。
firefox の場合には、 http でのフォーム入力で警告が表示されます。
hatena など、いろいろなブログサービスは、徐々に対応してきているのですが、 livedoor blog の場合、HTTPS、SSLを利用することについては、なんだか期待できないような気がします。
ということで、いろいろ試したのですが、以下の方法で途中までSSL化したのですが、最後がどうにも難しそうな感じでした。
要件としては以下の通り。
・ livedoor blog を利用
・ 独自ドメインを利用している
※ livedoor blog だけでSSL化するのはは本体が対応しない限り不可能です。
・ Cloudflare を利用。
手順。
1. Cloudflare で登録します。
僕は dynamic-one.com を利用しているので、このドメインを登録しました。
またDNSサーバーを、今まで利用していたものから、 Cloudflare の提供するDNSサーバーに変更します。
2. DNSサーバーの設定で Proxy が有効になっていることを確認します。
※オレンジの雲になっていればOKです。
DNS反映のため少し待ちます。このとき http でサイトにアクセスできることは常に確認しておきます。
3. 証明書を Flexible に変更
Cloudflare の Crypto から SSL の設定をFlexibleに変更します。
これで、ユーザー - (SSL) - Cloudflare - (平文) - livedoor blog
という接続になるようです。
4. livedoor blog のデザインを変更。
上記までの作業で https でアクセスすると、とりあえずアクセスはできるようになります。しかしこの状態ではレイアウトも崩れてしまいますし、各種パーツもほとんど表示されません。
いわゆる mixed contents という状態です。
あとはレイアウトを変更し、 http:// で読み込んでいるものを削除・修正していきます。
特に css などは、livedoor blog のブログパーツなどで読み込まれているものがたくさんあります。この場合には、独自タグ(CSSUrl)を削除して、直接URLを記載すれば大丈夫でした。
※最後出来ない部分が・・・
body タグの直下に http:// で読み込まれる javascript がありました。http://parts.blog.livedoor.jp/js/c2.js の部分です。
この部分については、削除できなさそうなので、どうにも難しいようにおもいました。
うーむむむ。どうしたものだろうか。
2018年01月28日
Ubuntu14.04 を利用しています。
Let's Encrypt を利用しようと、やり方を調べたところ、日本語のサイトでは
letsencrypt-auto や letsencrypt-auto を利用するように記載されています。
かつてはそうだったと思うのですが、今でもそうなのでしょうか。例えば CentOS のように yum とかで気軽にやりたい・・。
「certbot ubuntu 14.04」として google 検索すると、いくつか有益だと思える情報がでてきました。
※ちなみに Ubuntu 14.04 + Apache を利用です。
Certbot - All Instructions
How To Secure Apache with Let's Encrypt on Ubuntu 14.04
最初の参考サイトから以下の説明がありました。
Apache on Ubuntu 14.04 (trusty)
※上記サイトから引用
$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache
※上記コマンドで 必要なモジュールをインストールする
※webroot の指定がポイントのようです。
$ sudo certbot --authenticator webroot --installer apache -d [ドメイン名]
..well-known を作成するパスを聞かれるので、指定します。
これで無事に証明書が発行されました。
※後半は、試行錯誤しながらやっていたので、記載に間違いがあるかもしれません・・
参考
Certbot User Guide
Let's Encrypt を利用しようと、やり方を調べたところ、日本語のサイトでは
letsencrypt-auto や letsencrypt-auto を利用するように記載されています。
かつてはそうだったと思うのですが、今でもそうなのでしょうか。例えば CentOS のように yum とかで気軽にやりたい・・。
「certbot ubuntu 14.04」として google 検索すると、いくつか有益だと思える情報がでてきました。
※ちなみに Ubuntu 14.04 + Apache を利用です。
Certbot - All Instructions
How To Secure Apache with Let's Encrypt on Ubuntu 14.04
最初の参考サイトから以下の説明がありました。
Apache on Ubuntu 14.04 (trusty)
※上記サイトから引用
$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache
※上記コマンドで 必要なモジュールをインストールする
※webroot の指定がポイントのようです。
$ sudo certbot --authenticator webroot --installer apache -d [ドメイン名]
..well-known を作成するパスを聞かれるので、指定します。
これで無事に証明書が発行されました。
※後半は、試行錯誤しながらやっていたので、記載に間違いがあるかもしれません・・
参考
Certbot User Guide
2018年01月27日
僕が自分で構築するサーバーについては、もはや平文で通信することが無いように意識しています。
HTTP は別にOKなのですが、それ以外の特にパスワードを利用する部分については、オレオレ証明書を利用しても、必ず暗号化されるようにしています。
しかしあくまでテスト用途であるため、他との接続はかなり限定的で、もし接続してもすぐにリカバリーなどで、その環境が失われ、エラーとなってしまいます。だからそうした状態で気になることはありませんでした。
最近になって、自分でテスト用に構築していた環境のメールを受信したいことがありました。出来れば送信も。それらはあくまでテスト的に一時的なものだったのですが、送受信する必要性が強くありました。
オレオレ証明書を利用し pops と smtps を設定していましたが、この状態では gmail で送受信できないことが分かりました。
理由としては、証明書の検証ができず、このエラーを無視することもできないようです。
解決する手段は2つです。
1つは平文を使用すること。ポート110で、暗号化しない通信であればそのまま受信出来るように思われます。
2つめは正しい証明書を利用することです。
今回は翌日の記事の通り、 Let's Encrypt を利用したいと思います。
※投稿して気づきましたが、以前にも同じ記事かいていました・・・。
2016年03月21日:gmail でPOP受信するとき、セルフサイン証明書は拒否される。
HTTP は別にOKなのですが、それ以外の特にパスワードを利用する部分については、オレオレ証明書を利用しても、必ず暗号化されるようにしています。
しかしあくまでテスト用途であるため、他との接続はかなり限定的で、もし接続してもすぐにリカバリーなどで、その環境が失われ、エラーとなってしまいます。だからそうした状態で気になることはありませんでした。
最近になって、自分でテスト用に構築していた環境のメールを受信したいことがありました。出来れば送信も。それらはあくまでテスト的に一時的なものだったのですが、送受信する必要性が強くありました。
オレオレ証明書を利用し pops と smtps を設定していましたが、この状態では gmail で送受信できないことが分かりました。
理由としては、証明書の検証ができず、このエラーを無視することもできないようです。
解決する手段は2つです。
1つは平文を使用すること。ポート110で、暗号化しない通信であればそのまま受信出来るように思われます。
2つめは正しい証明書を利用することです。
今回は翌日の記事の通り、 Let's Encrypt を利用したいと思います。
※投稿して気づきましたが、以前にも同じ記事かいていました・・・。
2016年03月21日:gmail でPOP受信するとき、セルフサイン証明書は拒否される。
2018年01月26日
詳細な情報は不明です。伝聞ですが聞いた話です。
Hyper-VのVHDファイルとして納品されるサーバーがあったようです。お客様はHyper-Vサーバーを所有しており、要件の通りゲスト環境に割り当てることが可能だったようです。
そのため、構築は製品の開発元が自社のHyper-V環境で行い、VHDファイルを納品し、細かい設定を経て運用に入ったそうです。
運用を始めると、Windowsのライセンス認証を行うようにという警告がでてくるようになったということです。
なおライセンスの種類は問題無いそうです。
どのタイミングでライセンス認証したのか分かりませんが、その企業は大企業であったため、潤沢にプロダクトキーを所有しており認証回数の上限などということでは無いことがはっきりしていました。
可能性としては、構築環境でライセンス認証を行い、Hyper-Vホストサーバーが変更後に再認証を求められ、認証出来なくなってしまったようです。
上記の通りであるため、他のプロダクトキーを入力してもだめだったと言っていました。
以上のことから最終的には、構築環境のホストサーバーが 2012 R2 で納品後のホストサーバーが2008などのHyper-Vバージョンの不一致ではないかということを疑っていました。僕が当事者でないので詳細は不明なのですが、今後注意したいと思います
Hyper-VのVHDファイルとして納品されるサーバーがあったようです。お客様はHyper-Vサーバーを所有しており、要件の通りゲスト環境に割り当てることが可能だったようです。
そのため、構築は製品の開発元が自社のHyper-V環境で行い、VHDファイルを納品し、細かい設定を経て運用に入ったそうです。
運用を始めると、Windowsのライセンス認証を行うようにという警告がでてくるようになったということです。
なおライセンスの種類は問題無いそうです。
どのタイミングでライセンス認証したのか分かりませんが、その企業は大企業であったため、潤沢にプロダクトキーを所有しており認証回数の上限などということでは無いことがはっきりしていました。
可能性としては、構築環境でライセンス認証を行い、Hyper-Vホストサーバーが変更後に再認証を求められ、認証出来なくなってしまったようです。
上記の通りであるため、他のプロダクトキーを入力してもだめだったと言っていました。
以上のことから最終的には、構築環境のホストサーバーが 2012 R2 で納品後のホストサーバーが2008などのHyper-Vバージョンの不一致ではないかということを疑っていました。僕が当事者でないので詳細は不明なのですが、今後注意したいと思います
2018年01月25日
最後のところでエラーに。
Error while trying to create admin user: An exception occurred while executing 'INSERT INTO `oc_migrations` (`app`,`version`) SELECT ?,? FROM `oc_migrations` WHERE `app` = ? AND `version` = ? HAVING COUNT(*) = 0' with params ["core", 20170101010100, "core", 20170101010100]:
SQLSTATE[HY000]: General error: 1665 Cannot execute statement: impossible to write to binary log since BINLOG_FORMAT = STATEMENT and at least one table uses a storage engine limited to row-based logging. InnoDB is limited to row-logging when transaction isolation level is READ COMMITTED or READ UNCOMMITTED.
以下の方法で解決しました。
・ config/config.php の確認
dbuser などの記載を確認します。僕のところでは、 dbuser と dbpassword が変な値になっていました。
mariaDB の設定ファイルの修正。
# vi /etc/mysql/my.cnf
参考
An exception occurred while executing ‘INSERT INTOエラーの対処方-owncloud
> binlog_format=mixed を追記する
[mysqld] セクションに追加しました。
サービス再起動
# service mysql restart
解決しました。
Error while trying to create admin user: An exception occurred while executing 'INSERT INTO `oc_migrations` (`app`,`version`) SELECT ?,? FROM `oc_migrations` WHERE `app` = ? AND `version` = ? HAVING COUNT(*) = 0' with params ["core", 20170101010100, "core", 20170101010100]:
SQLSTATE[HY000]: General error: 1665 Cannot execute statement: impossible to write to binary log since BINLOG_FORMAT = STATEMENT and at least one table uses a storage engine limited to row-based logging. InnoDB is limited to row-logging when transaction isolation level is READ COMMITTED or READ UNCOMMITTED.
以下の方法で解決しました。
・ config/config.php の確認
dbuser などの記載を確認します。僕のところでは、 dbuser と dbpassword が変な値になっていました。
mariaDB の設定ファイルの修正。
# vi /etc/mysql/my.cnf
参考
An exception occurred while executing ‘INSERT INTOエラーの対処方-owncloud
> binlog_format=mixed を追記する
[mysqld] セクションに追加しました。
サービス再起動
# service mysql restart
解決しました。