http://www.yomiuri.co.jp/olympic/2012/news/martialarts/judo/1/20120513-OYT1T00462.htm
>全日本柔道連盟は13日、福岡国際センターで強化委員会を開き、男女全14階級のロンドン五輪代表を決定
>90キロ級 西山将士(新日鉄)
柔道は全くもって興味や関心はありませんが、元友人の弟なんで。
地元の連中は気にせず、自分を信じて突っ走って下さい。
最後に、五輪代表になりおめでとう。
■設定環境
WEBサーバのFQDN:www.ys-network.info
秘密鍵の鍵長 :2048bit
秘密鍵ファイル(KEYファイル) :/etc/pki/tls/private/
SSLサーバー証明書の署名要求ファイル(CSRファイル):/etc/pki/tls/
SSLサーバ証明書(CRTファイル):/etc/pki/tls/certs/
■概要
1. httpd、mod_sslのインストール
2. 秘密鍵の作成
2.1 乱数ファイルの作成
2.2 秘密鍵の作成
3. SSLサーバー証明書を発行するための署名要求(Certificate Signing Request)の作成
4. 自己署名証明書の発行
5. “ssl.conf”の設定
6. httpdサービスの再起動
番外編1
番外編2
番外編3
1. httpd、mod_sslのインストール
構築に必要なパッケージをインストールします
# yum install httpd mod_ssl
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
~~~ 省略 ~~~
Dependencies Resolved
====================================================================================
Package Arch Version Repository Size
====================================================================================
Installing:
httpd x86_64 2.2.15-15.el6.centos.1 updates 813 k
mod_ssl x86_64 1:2.2.15-15.el6.centos.1 updates 87 k
Installing for dependencies:
apr x86_64 1.3.9-3.el6_1.2 base 123 k
apr-util x86_64 1.3.9-3.el6_0.1 base 87 k
apr-util-ldap x86_64 1.3.9-3.el6_0.1 base 15 k
httpd-tools x86_64 2.2.15-15.el6.centos.1 updates 70 k
mailcap noarch 2.1.31-2.el6 base 27 k
Transaction Summary
====================================================================================
Install 7 Package(s)
~~~ 省略 ~~~
Complete!
事前準備として、作業ディレクトリに移動します。
# cd /etc/pki/tls/
適当なディレクトリ内のファイルから乱数ファイルを作成します。 ここでは、"/var/log/"ディレクトリ内にあるmessages*ログファイルから乱数ファイルを作成してますが 同じものが存在しづらければ、なんだって良いと思います。 # openssl md5 /var/log/messages* > rand.dat # 先ほど作成した乱数ファイル(rand.dat)ですが、中身はこんな感じになってます。 # cat rand.dat MD5(/var/log/messages)= 29ef225a57ceae83973ee75ec03e95da MD5(/var/log/messages-20120325)= d3325291b02e54a79fb38795246a6738 MD5(/var/log/messages-20120401)= 463f677870214b32a36b2ba5b8b62492
先ほど作成した乱数ファイルを元にして、秘密鍵を作成します。
# openssl genrsa -rand rand.dat -des3 2048 > /etc/pki/tls/private/www.ys-network.info.key
189 semi-random bytes loaded
Generating RSA private key, 2048 bit long modulus
........................+++
...................................+++
e is 65537 (0x10001)
Enter pass phrase:適当なパスワードを入力
Verifying - Enter pass phrase:適当なパスワードを再入力
認証局(ベリサイン、サイバートラスト等)に送付するCSRファイルを作成します。 # openssl req -new -key /etc/pki/tls/private/www.ys-network.info.key -out www.ys-network.info.csr Enter pass phrase for www.ys-network.info.key:秘密鍵のパスワードを入力 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- #国名を入力します。例:日本 Country Name (2 letter code) [XX]:JP #都道府県を入力します。例:東京 State or Province Name (full name) []:Tokyo #市町村を入力します。例:千代田区 Locality Name (eg, city) [Default City]:Chiyoda-ku #会社名を入力します。 Organization Name (eg, company) [Default Company Ltd]:ys-network.info.co.,LTD #部署名を入力します。 Organizational Unit Name (eg, section) []:www.ys-network.info #最重要項目ですが、サーバのFQDNを入力します。 Common Name (eg, your name or your server's hostname) []:www.ys-network.info #メールアドレスを入力します。空でOK Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request #パスワードを入力します。空でOK A challenge password []: #パスワードを再入力します。空でOK An optional company name []:
10年間有効の自己署名証明書(CRTファイル)を発行します。
# openssl req -x509 -in www.ys-network.info.csr -key /etc/pki/tls/private/www.ys-network.info.key -out /etc/pki/tls/certs/www.ys-network.info.crt -days 3650
Enter pass phrase for /etc/pki/tls/private/www.ys-network.info.key:秘密鍵のパスワードを入力
#
秘密鍵やSSLサーバ証明書を指定します。 # vi /etc/httpd/conf.d/ssl.conf 修正前 SSLCertificateFile /etc/pki/tls/certs/localhost.crt 修正後 SSLCertificateFile /etc/pki/tls/certs/www.ys-network.info.crt 修正前 SSLCertificateKeyFile /etc/pki/tls/private/localhost.key 修正後 SSLCertificateKeyFile /etc/pki/tls/private/www.ys-network.info.key 認証局が発行したSSLサーバ証明書を使用した場合、中間CA証明書とクロスルート証明書の設定が必要です。 ベリサインの場合、各証明書はここにあります 修正前 #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt 修正後 SSLCertificateChainFile /etc/pki/tls/certs/www.ys-network.info-chain.crt
上記設定の変更を反映させるためにhttpdサービスを再起動します
# /etc/rc.d/init.d/httpd restart
httpd を停止中: [ OK ]
httpd を起動中: [ OK ]
このままだと、httpdサービスを再起動する度に秘密鍵のパスワードを求められますが
以下を行えばパスワードを求められなくなります。セキュリティ上望ましくはありませんが・・・
# openssl rsa -in /etc/pki/tls/private/www.ys-network.info.key -out /etc/pki/tls/private/www.ys-network.info-nopass.key
Enter pass phrase for /etc/pki/tls/private/example.key:秘密鍵のパスワードを入力
writing RSA key
httpdサービスを再起動すると、サービスは起動するけど以下のようなエラーが出る場合があります。 # /etc/rc.d/init.d/httpd restart httpd を停止中: [OK] httpd を起動中: httpd: apr_sockaddr_info_get() failed for www.ys-network.info httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName [ OK ] 上記は、httpd.confの"ServerName"が未入力の為です。 # vi /etc/httpd/conf/httpd.conf 修正前 #ServerName www.example.com:80 修正後 ServerName www.ys-network.info:80
ブラウザにインポートされた証明書一覧
エキサイト:登録者メールアドレス1129件を誤送信
http://mainichi.jp/select/biz/news/20120325k0000m040062000c.html
たかが1100件足らずの誤送信で全国ニュースに掲載ですか。
最近、某OSベンダが約600件ほど誤送信してましたが、ニュースどころか電話連絡やPDFの報告書すらなく
誤送信した本人の数行の謝罪メールと上長からのメール削除依頼だけでした。
その際、各社が登録しているメールアドレスがわかりましたが、超有名企業も含めて
大半がメーリングリストアドレスでなく、個人メールアドレスだったのには萎えました。
担当が辞めたら(メールアカウントを削除したら)OSベンダからの連絡が一切なくなっちゃうし
重要なお知らせ(パッケージのバグ、更新等)等も担当じゃない人には一切わからないし・・・。
上記とは関係ありませんが、最近のNEC(子会社含む)の落ちこぼれぶりは目に余ります。
問い合わせしても、ここ数年間に返信してくるのはいつも同じ人だけだし、「確認します」の後、途中経過を催促しても無視するし。
昨日の戯れ言に載せた「さくらのクラウド」ですが、
「さくらのクラウド」障害多発で無償化、課金できる品質に達していないため
http://gigazine.net/news/20120322-sakura-cloud/
もの凄く悲しい・・・。
原因は使用しているストレージ”Sun ZFS Storage 7320 Appliance”にあるようですが
これって、Oracleが販売しているExadataに使用されてるストレージでは・・・?
Oracle Exadata Database Machine
http://www.oracle.com/us/products/database/exadata/resources/index.html
今月はブログネタがないんで、「勤め先もしくは自宅で導入を考えた」レベルの記事を載せようかと。
「さくらのVPS」がリニューアル、1Gプランが月額980円、2Gプランが月額1480円に
http://cloud.watch.impress.co.jp/docs/news/20120321_520024.html
http://vps.sakura.ad.jp/
>さくらのVPS 1G
>月額料金:980円
>CPU:2vCPU
>メモリ: 1GB
>ディスク容量:100GB
>管理者権限:root権限付与
格安だなぁ。少々のwebサーバならこっちに移行した方が良いのでは。
我が家だと電気代だけで4000~6000円/月掛かってるっぽいんで、”さくらのVPS 4G(4vCPU,4GB,400GB)”でも
十分に元が取れるなぁ。とはいえ、自宅サーバなんてコストパフォーマンスは眼中にないし
勤め先ならSLAがないと法人の客にはお勧めできん。
さくらのクラウド
http://cloud.sakura.ad.jp/
複数台のサーバグループを構築するならこっち、なのかな?
勤め先だと「ファイアーウォールがない」「KVMだと不安」か。
「ファイアーウォールなんてiptablesで良いじゃん!」
「ゲストOSがWindowsならKVMは嫌だけど、やるとなったらLinuxじゃん!」と思ったり。
======================================================
さくらインターネットも大きくなって普通の会社になったなぁ。
ADSLとINSが主流の時代に回線帯域が太かったから、違法ファイルの主公開先になってたのを思い出す。
とはいえ、エイプリルフールネタでこんな催しをしたりしてて結構面白い会社です。
馬鹿高いKDDIのホスティングサービスを利用している顧客を全部こっちに移したい・・・。
つうか、KDDIのホスティングサービスはどうなってんの?先週に連絡があったばかりなのに5月までに移行しろだ?ふざけるな!
ブログに載せることがないんで、勢い余って買ったもんの画像を載せます。
ブログの特性上、情報/精密機器等が良いんでしょうが、今回は敢えて異色の分野です。
1.マイセン ブルーオニオンコーヒーカップ
西洋陶磁器といえばマイセン、マイセンといえばブルーオニオン。これはそのコーヒーカップです。
定番で超有名なくせに、販売価格は定価から40%~50%オフで割引率が凄いような・・・。
マイセン ブルーオニオン
ロイヤルコペンハーゲン フルレース
ロイヤルコペンハーゲン フローラダニカ
西洋陶磁器
CentOS6でrsyslogが大幅にバージョンしてて、掲載していた内容と大きく異なったので3回目の再掲載。
うんで、今回はMySQLに放り込むログをフィルタリングするように設定してます。
■インストールしたパッケージ
・rsyslog-4.6.2-3.el6_1.4.x86_64
・rsyslog-mysql-4.6.2-3.el6_1.4.x86_64
■Mysqlのデータベース
対象ログ :local1(ネットワーク機器等のSyslog設定でファシリティー”local1″を受信する場合)
DBサーバ :localhost
DB名 :Syslog
アクセスユーザ:root(実際はrootは好ましくない。適宜変更する)
パスワード :test
■フィルタリングの内容(#### RULES ####以下)
対象ログ :local1
内容 :Netscreenのブロードキャストログ(キーワードは”dst=224.0.0.18″)だけを破棄。
上記の内容を元に設定例を記してます。
Mysqlにシスログを格納するデータベースを作成
# mysql -u root -p Syslog < /usr/share/doc/rsyslog-mysql-4.6.2/createDB.sql
設定ファイルを編集する
# vi /etc/rsyslog.conf
#### MODULES ####
$ModLoad imuxsock.so
$ModLoad imklog.so
# Provides UDP syslog reception
#$ModLoad imudp.so
#$UDPServerRun 514
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp.so
#$InputTCPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
#### GLOBAL DIRECTIVES ####
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#### RULES ####
$ModLoad ommysql.so
if ( $syslogfacility-text == 'local1' ) and \
not ( $msg contains 'dst=224.0.0.18' ) then \
:ommysql:localhost,Syslog,root,test
local2.* ~
//AND検索用に加工
$str = array(" "," and "," AND ");
$SEARCHKEYWORD = str_replace($str," ",$SEARCHKEYWORD);
$SEARCHWORD = str_replace(" ","% %",$SEARCHKEYWORD);
・表示する検索キーワードの変数をSEARCHKEYWORDに変更変更前 echo "検索キーワード:".$SEARCHWORD; 変更後 echo "検索キーワード:".$SEARCHKEYWORD;
CentOSで自宅サーバー構築(SWATCH)
http://centossrv.jp/swatch.shtml
上記サイトを参考にさせていただいて設定しておりましたが、自宅のネットワークにファイアーウォールがあるんで
サーバのiptablesポリシーに追加ではなく、ファイアーウォールの設定変更に改悪しました。
うんで、ログを見るに一度不正アクセスを試みてるIPアドレスは忘れた頃に再来襲してるっぽいんで
ファイアーウォールの拒否設定はそのまま残します。
不正アクセスするのに固定IPアドレスとかアホか・・・。ま、どっかのサーバが踏み台にされてるんでしょう。
■ファイアーウォールにアドレスグループ&ポリシーを追加
ファイアーウォールに、不正アクセスしてきたIPアドレスを追加していくアドレスグループ(例:Dust_Group)を作成しつつ
UntrustゾーンからDMZゾーンへの通信で、ソースアドレスが作成したアドレスグループにマッチしたら拒否するように
ポリシーを作成してます。
なお、下記設定はJuniper Netscreen50の場合です。
-> set group address "Untrust" "Dust_Group" -> set policy from "Untrust" to "DMZ" "Dust_Group" "Any" "ANY" deny log
# vi /usr/local/bin/swatch_action.sh
if [ $cnt -ge 3 ] || [ $# -eq 2 -a "$2" = "lock" ]; then
# 該当IPアドレスからのアクセスを拒否するルールを挿入
#iptables -I INPUT -s $IPADDR -j DROP #コメントアウト
# 上記ルールを24時間後に削除するスケジュールを登録
# echo "iptables -D INPUT -s $IPADDR -j DROP > /dev/null 2>&1" | \ #コメントアウト
# at now+720hour > /dev/null 2>&1 #コメントアウト
#### 以下を追加 ####
NETMASK="255.255.255.255"
USERID="ファイアーウォールのユーザID"
PASSWORD="パスワード"
FWNAME="ファイアーウォールのホスト名"
expect -c"
set timeout 10
spawn telnet $FWNAME
expect login
send $USERID\r
expect password
send $PASSWORD\r
expect $FWNAME
send \"set address untrust Dust_$IPADDR $IPADDR $NETMASK\r\"
expect $FWNAME
send \"set group address untrust Dust_Group add Dust_$IPADDR\r\"
expect $FWNAME
send \"save\r\"
expect $FWNAME
send \"exit\r\"
"
#### ここまで ####
================================================
評価版Excange Server2010をインストールしようとしたところ失敗したので、その際の備忘録を残しときます。
評価版パッケージは下記ページの右上にある”ダウンロード”からダウンロードしました。
http://www.microsoft.com/exchange/2010/ja/jp/default.aspx
インストール手順については、下記ページの“1. インストール編”を参考にしました。
手順書ではSP1までですが、現在はSP2まで公開されております。
Exchange Server 2010 自習書シリーズ
http://technet.microsoft.com/ja-jp/exchange/2010/dd775186
“ハブ トランスポートの役割“のインストールで失敗しましたが、下記マイクロソフトページで公開されている通り
サーバのIPv6を中途半端に無効にしていた為失敗しました。
Windows Server 2008 ベースのコンピューターで、Exchange Server 2007 のハブ トランスポートの役割または Microsoft Exchange Server 2010 のハブ トランスポートの役割のインストールが失敗する
http://support.microsoft.com/kb/952842/ja
>この問題が発生するのは、[ローカル エリア接続] で IPv6 を無効にした場合に IPv6 がトンネル インターフェイス上で
>無効にならないためです。
>既定では、Windows Server 2008 では IPv6 が有効になっています。何らかの理由により
>IPv6 を無効にする必要がある場合は、レジストリ エディターを使用して IPv6 を完全に無効にする必要があります。
エラー内容は下記の通りです。
サービス 'MSExchangeTransport' は状態 'Running' に到達できませんでした。
ハブ トランスポートの役割
失敗
エラー:
"$error.Clear();
if ($RoleStartTransportService)
{
start-SetupService -ServiceName MSExchangeTransport
}
" の実行時に、次のエラーが生成されました: "このサーバーで、
サービス 'MSExchangeTransport' は状態 'Running' に到達できませんでした。"。
このサーバーで、サービス 'MSExchangeTransport' は状態 'Running' に到達できませんでした。
ヘルプを参照するにはここをクリックしてください...
http://technet.microsoft.com/ja-JP/library/ms.exch.err.default(EXCHG.141).aspx?v=14.1.218.11&e=ms.exch.err.Ex88D115&l=0&cl=cp
今までビデオカード(RADEON HD4850)2枚差しで3枚のモニタを使用してましたが、HD6850枚だけに差し替えました。
ついでにモニタもEIZOのL567からSX2462W-HXへ変更、と。
尚、当方はブラウン管時代からEIZOオンリーです。T962、T965。液晶になってL567、L997、SX2461W、SX2462W-HX・・・・。
ビデオカード:ATI RADEON HD6850(SAPPHIRE HD6850 1G GDDR5 PCI-E DL-DVI-I/SL-DVI-D/HDMI/DP)
モニタ1 :EIZO L997(DVI-I)
モニタ2 :EIZO SX2462W-HXPX(DisplayPort)
モニタ3 :EIZO SX2461W(DVI-D)
・DVIケーブルですが、上記モニタ構成だとSX2461WをDVI-IではなくDVI-D接続じゃないと3画面とも何も映りませんでした
・SX2462W-HXですが、入力信号の自動判別が出来ない(入力端子を手動設定しなければならない)糞仕様でした
同梱のEIZO EasyPIXはキャリブレータとしてはこんなもん・・・なの?色温度は同じ6500Kなのに妙に青みがかってるんですが・・・。
グループ会社でCG221 + Spyder3(?)を使ってるところがあった筈なんで、年始にサボりがてら確認してみましょうかねぇ。
画面の論理構成
画面の物理構成
EIZO EasyPIX
Active Directoryで、ドメインコントローラをWindows2008で構築しておりましたが、1台構成で心許ないので
Windows Server2008R2を新ドメインコントローラとして追加してみました。
・既存ドメインコントローラ:Windows Server2008 SP1
・新規ドメインコントローラ:Windows Server2008R2 SP1
1.Windows Server2008サーバ上でフォレスト全体のスキーマを拡張する
Windows 2008R2インストールメディアをサーバに挿入(Dドライブ)して以下を実行 D:\support\adprep>adprep /forestprep ADPREP の警告: adprep を実行する前に、フォレスト内のすべての Windows 2000 Active Directory ドメ イン コントローラーを Windows 2000 Service Pack 4 (SP4) 以降にアップグレードする 必要があります。 [ユーザーによる操作] 既存の Windows 2000 Active Directory ドメイン コントローラーのすべてがこの要件を 満たす場合は、C キーを押してから Enter キーを押して続行してください。中止するに は、その他のキーを押してから Enter キーを押してください。 既存Active Directoryサーバ名 への接続を開始しました SSPI 結合に成功しました 現在のスキーマのバージョン 44 スキーマをバージョン 47 にアップグレードしています ファイルの署名を検証しています "既存Active Directoryサーバ名" に接続しています SSPI を使って現在のユーザーとしてログインしています ファイル "C:\Windows\system32\sch45.ldf" からディレクトリをインポートしています エントリを読み込んでいます...................................................... ............. 66 個のエントリを正しく修正しました。 コマンドが正しく完了しました ファイルの署名を検証しています "既存Active Directoryサーバ名" に接続しています SSPI を使って現在のユーザーとしてログインしています ファイル "C:\Windows\system32\sch46.ldf" からディレクトリをインポートしています エントリを読み込んでいます.... 3 個のエントリを正しく修正しました。 コマンドが正しく完了しました ファイルの署名を検証しています "既存Active Directoryサーバ名" に接続しています SSPI を使って現在のユーザーとしてログインしています ファイル "C:\Windows\system32\sch47.ldf" からディレクトリをインポートしています エントリを読み込んでいます..... 4 個のエントリを正しく修正しました。 コマンドが正しく完了しました "既存Active Directoryサーバ名.ys-network.info" に接続しています SSPI を使って現在のユーザーとしてログインしています ファイル "C:\Windows\system32\PAS.ldf" からディレクトリをインポートしています エントリを読み込んでいます.............. 13 個のエントリを正しく修正しました。 コマンドが正しく完了しました ................................................................................ ................................................................................ ................................................................................ .................................................................. ................................................................................ ................................................................................ ................................................................................ .................................... ................................................................................ ................................................................................ ................................................................................ ................................................................................ ...................... Adprep はフォレスト全体の情報を正しく更新しました。
D:\support\adprep>adprep.exe /domainprep
Domainprep を実行中...
Adprep はドメイン全体の情報を正しく更新しました。
Active Directoryのセットアップを開始する
Active Directoryドメインサービス インストールウィザードの開始
展開の構成の選択
ネットワーク資格情報
ドメインの選択
サイトの選択
サイトの選択(DNS構成を検査)
追加のドメインコントローラ オプション
追加のドメインコントローラ オプション(DNSの委任について)
データベース、ログファイル、およびSYSVOLの場所
ディレクトリサービス復元モード Administratorパスワード
セットアップ内容の概要
セットアップ内容の概要(セットアップ中)
Active Directoryドメインサービス インストールウィザードの完了