nginxのssl_trusted_certificate（およびssl_client_certificate）は異なるコンテキストから利用されている。 クライアント証明書を検証する際に信頼する証明書は ssl_trusted_certificate で指定されるが、この命令で定義されるtrust storeはOCSP Stapling…

日本語の情報が無かったようなのでメモ。 2015年4月にbind mountによるコンテナ脱出に利用可能な脆弱性 CVE-2015-2925 が公表され、OpenVZもカーネルパッチを二ヶ月遅れながら出しています。 https://access.redhat.com/security/cve/CVE-2015-2925 https://…

Serversman@VPSのネットワークが不調でTCP接続確立やコネクション維持に問題が起きている。 サポートに問い合わせても個別事象でしかないそうなので、利用者の方はチェックしてみてほしい。 TCPのSynのドロップ TCPポートの死活監視をしていると、TCP接続タ…

2015年現在、メール配送の終着点（メールボックスサーバー）とエンドユーザーの間は、ほとんどのメールサービスでPOPS・IMAPSあるいはHTTPS上のウェブメールが利用でき、TLSによるセキュアな通信が可能になっています。 一方で、メール配送、すなわちMTA間の…

IDCFクラウド http://www.idcf.jp/cloud/ という新し目？のサービスを少し触ってみた。 仮想化 VMware＋独自のコンソールとAPI ネットワーク周り 仮想マシンは全てプライベートIPなVLANに接続されている。 IPアドレス範囲は10.0.0.0/8から/21が割り当てられ…

先日fluentdのサードパーティプラグインの fluent-plugin-secure-forward に言及した件について、更新v0.3.2が公開されています。 http://tagomoris.hatenablog.com/entry/2015/05/28/182245 http://tagomoris.tumblr.com/post/120090873793/vulnerability-a…

CertCraft.netというテスト用x509証明書（いわゆるSSL証明書）と認証局（Certificate Authority）をオンラインで作成するツールを公開しました。 なにこれ？ これはTLS Transport Layer Security (旧称SSL）で使われる証明書、いわゆるオレオレ証明書・オレ…

ログ収集・配送ツールfluentdをしばらくぶりに触ってみた感じをメモ。 組み込みのバッファが便利 fluentdコア側で各プラグイン毎にスレッドを起動し、バッファ管理とスレッド間のログの受け渡し処理を担うことで、プラグインは逐次的に書くことが出来る。 ス…

この記事は古い9.9系当時のメモを引っ張り出してきたものなので注意 （追記・bind-9.10.2で確認。 lib/dns/rrl.c 660行目あたり。） TL;DR BINDのRRLはトークンバケットではない。設定レートは十分上げてslip 0は使わない。 アルゴリズムとドキュメントの問…