nginxのssl_trusted_certificate（およびssl_client_certificate）は異なるコンテキストから利用されている。 クライアント証明書を検証する際に信頼する証明書は ssl_trusted_certificate で指定されるが、この命令で定義されるtrust storeはOCSP Stapling…

日本語の情報が無かったようなのでメモ。 2015年4月にbind mountによるコンテナ脱出に利用可能な脆弱性 CVE-2015-2925 が公表され、OpenVZもカーネルパッチを二ヶ月遅れながら出しています。 https://access.redhat.com/security/cve/CVE-2015-2925 https://…

Serversman@VPSのネットワークが不調でTCP接続確立やコネクション維持に問題が起きている。 サポートに問い合わせても個別事象でしかないそうなので、利用者の方はチェックしてみてほしい。 TCPのSynのドロップ TCPポートの死活監視をしていると、TCP接続タ…

2015年現在、メール配送の終着点（メールボックスサーバー）とエンドユーザーの間は、ほとんどのメールサービスでPOPS・IMAPSあるいはHTTPS上のウェブメールが利用でき、TLSによるセキュアな通信が可能になっています。 一方で、メール配送、すなわちMTA間の…

IDCFクラウド http://www.idcf.jp/cloud/ という新し目？のサービスを少し触ってみた。 仮想化 VMware＋独自のコンソールとAPI ネットワーク周り 仮想マシンは全てプライベートIPなVLANに接続されている。 IPアドレス範囲は10.0.0.0/8から/21が割り当てられ…

先日fluentdのサードパーティプラグインの fluent-plugin-secure-forward に言及した件について、更新v0.3.2が公開されています。 http://tagomoris.hatenablog.com/entry/2015/05/28/182245 http://tagomoris.tumblr.com/post/120090873793/vulnerability-a…

CertCraft.netというテスト用x509証明書（いわゆるSSL証明書）と認証局（Certificate Authority）をオンラインで作成するツールを公開しました。 なにこれ？ これはTLS Transport Layer Security (旧称SSL）で使われる証明書、いわゆるオレオレ証明書・オレ…

ログ収集・配送ツールfluentdをしばらくぶりに触ってみた感じをメモ。 組み込みのバッファが便利 fluentdコア側で各プラグイン毎にスレッドを起動し、バッファ管理とスレッド間のログの受け渡し処理を担うことで、プラグインは逐次的に書くことが出来る。 ス…

この記事は古い9.9系当時のメモを引っ張り出してきたものなので注意 （追記・bind-9.10.2で確認。 lib/dns/rrl.c 660行目あたり。） TL;DR BINDのRRLはトークンバケットではない。設定レートは十分上げてslip 0は使わない。 アルゴリズムとドキュメントの問…

VPSプロバイダのDigitalOceanがシンガポールリージョンをリリースした。 DigitalOceanは標準でSSD、snapshotに対応、時間課金なのでAnsibleのテスト環境として利用している。ストレージがSSDだとテスト時間が大部分ネットワークレイテンシなので確認してみた…

一言で言えば、リバースブルートフォース対策＝脆弱なパスワードの禁止。 ブルートフォースとの相違点 『リバースブルートフォース』と呼ばれる攻撃は、多くのユーザーが使っていそうな少数のパスワード辞書と、多数のアカウント名を用いてログイン試行を繰…

Twitterのお気に入り（ふぁぼったツイートのリスト）からリンクを抽出して、はてなブックマークで共有するOAuthアプリを作ってみた。 https://fav2mark.usb0.net/ conohaが開催しているこのこんというのに応募しようと思って約3日で作ったもの。基本機能はテ…

今のところuWSGIはvirtualenvで作ったアプリ別のモジュールをロードすることは出来るものの、システムのlibpython.soを直接使っているため、そのままではビルド時のPythonしか動かない。 異なるバージョンのpythonを含むvirutalenvに入ろうとすると、PYTHONP…

DTIのserversman VPSをx86_64化してIPv6がいくらか動くようになったのでOpenVPNサーバーにしてみた。 前提 OpenVZのVPSゲスト、CentOS6.x + OpenVPN 2.3.x dev venet0:0 にNative IPv6が1つ（/128）だけ割り当て済み。可能ならこのルートを使う。 He.netのIP…

Ansibleのtemplateモジュールではjinja2が使われているため、カスタムフィルタを登録して好きな処理を書ける。 templateはplaybookのパース時にも使われるので、Ansibleロード時点でグローバルなプラグインとして導入する必要がある。今のところロードするフ…

DTIのServersmanVPSをx86_64で初期化しなおしたら色々パラメータが変更されたようなのでメモ。 大雑把に約1年間centos-i386ゲストシステムをリブート無しに運用していたためか、vCPUも変化していた。 ip6tables x86_64システムで初期化したためipv6tblesが使…

http://forbiddenrobots.usb0.net/ Googleのrobots.txtとmetaタグ仕様 https://developers.google.com/webmasters/control-crawl-index/docs/robots_txt に準じているつもり。 Flask＋uwsgi-emperor＋MongoEngineを試すのがメインだったので、 コアはFlask、…

昨日は鍵共有を甘く見て爆死したためCentOS＋NginxのサーバーをWindows環境に対応させてみる。 RPMに慣れていた都合上、主なサーバーにCentOS6を使っている。 CentOS/RHEL6.4では2013年10月時点で、標準のOpenSSLは1.0.0、Nginxは1.0系が導入される。Nginxに…

Lavabitに関するGeekなページの記事がGPGとSSLの鍵や鍵交換を混同しているようなのでメモ。 SSLとGPGの秘密鍵 LavabitのようなWeb上の暗号化メールシステムでは、二つの全く異なる暗号化機構がある（あった）。 SSLでのサーバー証明用秘密鍵 まず、サーバー…

exim4の実装は、他のSMTPサーバーにSMTP-AUTHでログインする際に、TLSのCommon Nameではなく逆引きドメイン名に対応する認証情報を送ってしまう。 本来フル機能のMTAのexim4が、二つ以上の異なるスマートホストに対する認証情報を持つ、というレアなケースで…

59p病とは、モニタのリフレッシュレートが何故か60p（60Hz プログレッシブ）にできず、59pに固定されてしまう症状[要出典] 。 自分のIvy系列のHD Graphics＋UXGAモニタで発病していた。60p Hzを選択出来るが、適用すると59pに戻ってしまう場合。 長らく解消…

いかにしてパスワード認証を脆弱にするか。プログラミング黎明期からずっとデベロッパーの頭を悩ませ続ける問題です。 ここでは脆弱なパスワード認証を実現するための方法を紹介します。 パスワード自動入力の禁止 不届きなブラウザがパスワードを記憶してし…

先日、久しく寝かせていたレンタルサーバーを使おうと思い、メールアカウントを設定したのだが、SSL通信に失敗した。原因はよくある、中間証明書の設定ミス。POPS/SMTPSサーバーにインストールされた証明書セットが間違っていた。 HTTPSの設定確認はQualys L…

行内preと #container { width: 100% } #blog-title { margin: 37px 0 30px; } てすと function syntaxHighlighting() { var n = 33; var s = "hi"; console.log(s); }