カテゴリの投稿: » サーバ・ネットワーク

サーバ証明書の失効リスト(.crlファイル)をテキスト情報で得る

Written in 2018年02月05日 by | コメントする( 0件 )

サーバ証明書の失効リストを証明書情報に記載されているURLから.crlファイルでダウロードすることができる。これをダブルクリックするとchromeなどの機能でダイアログで失効した証明書のシリアルの一覧を閲覧できるが、検索もできなければコピペもできないので、大量にあるリストの中から該当のシリアルがあるかを確認するのが困難である。

その場合、Linuxのopensslコマンドでテキスト情報でリストを得ることができる。

openssl crl -inform der -in crlfile.crl -text > crl.txt

これで検索しやすい。

Let’s Encrypt certbot-autoでlibaugeas0が古いと怒られる場合

Written in 2017年11月06日 by | コメントする( 0件 )

古いOSでLet’s Encryptを導入する際に、certbot-autoを実行する際に、libaugeas0とaugeas-lensesのバージョンが古いと怒られることがある。私の場合はCentOS6.2で出ました。

Could not choose appropriate plugin: The apache plugin is not working; there may be problems with your existing configuration.
The error was: NotSupportedError(‘Apache plugin support requires libaugeas0 and augeas-lenses version 1.2.0 or higher, please make sure you have you have those installed.’,)
The apache plugin is not working; there may be problems with your existing configuration.
The error was: NotSupportedError(‘Apache plugin support requires libaugeas0 and augeas-lenses version 1.2.0 or higher, please make sure you have you have those installed.’,)

この場合、rpmインストールされているaugeas-libsのバージョンが古い。

rpm -qa | grep augeas

CentOS6.5などでは、

augeas-libs-1.0.0-10.el6.x86_64

と出るが、6.2では、

augeas-libs-0.9.0-1.el6.x86_64

である。それで、このパッケージをアンインストールして新しいものをソースインストールする。その際、readline-develパケージが必要なのでインストールしておく。

yum erase augeas-libs

yum install readline-devel

mkdir /usr/local/src/augeas
cd /usr/local/src/augeas
wget http://download.augeas.net/augeas-1.6.0.tar.gz
tar -zxf augeas-1.6.0.tar.gz
cd augeas-1.6.0
./configure
make
make install

ライブラリは/usr/local/lib/ 以下に生成されるが、これではcertbot-autoがlibaugeas.so.0を見つけられないようなので、以下のようにシンボリックリンクを張る。私の場合は、64ビットOSなのでlib64以下に作成した。

ln -s /usr/local/lib/libaugeas.so.0 /usr/lib64/

これで無事、certbot-autoを実行できた。

マイクロソフト系のメールアドレスへのメール送信ができない場合

Written in 2017年07月25日 by | コメントする( 0件 )

マイクロソフト系のメールアドレス

live.com
hotmail.co.jp
outlook.com
msn.com

など。

これらのドメインのメールアドレスへのメール送信ができずMAILER-DAEMONが帰ってくる場合、マイクロソフトのポリシーを確認しましょう。

https://mail.live.com/mail/troubleshooting.aspx

■以下のようなメッセージが帰ってくる場合(エラーコード:550 SC-001)

<nantarakantara@hotmail.co.jp>:

Connected to xx.xx.xx.xx but sender was rejected.

Remote host said: 550 SC-001 (BAY004-MC1F57) Unfortunately, messages from yy.yy.yy.yy weren’t sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.

エラーコード550の場合、対処方法はまず、SPI情報をDNSのTXTレコードとして登録しましょう。

TXT v=spf1 ip4:xx.xx.xx.xx mx:mail.simple-eye.com ~all

また、SC-001のエラーコードの説明は以下の通り。

ポリシーを理由にメールが Outlook.com によって拒否されました。拒否された理由は、メールの内容が迷惑メールの特徴に似ていることか、IP/ドメインの評価に関連している可能性があります。メールまたはネットワーク管理者のどちらでもない場合は、メールまたはインターネット サービス プロバイダーに連絡して支援を依頼してください。

とある。マイクロソフトは複数のサービスを利用して迷惑メール判断をしている。

https://mail.live.com/mail/services.aspx

この中で、「Junk E-Mail Reporting Program」というのがある。これはOutlook.com ユーザーによって報告された迷惑メールの問題についてレポートを提供してくれる。
記載されているリンク(https://postmaster.live.com/snds/JMRP.aspx)をクリックする。

サイドメニューの「Junk Mail Reporting Program」から、自分のSMTPサーバのIPを登録すると、「View IP Status」メニューでそのIPがブロックされているかが確認できる。

Blocked due to user complaints or other evidence of spamming

というメッセージとともに該当IPがブロックされてしまった場合、以下のページからメール送信者情報をマイクロソフトに送る。

https://support.microsoft.com/ja-jp/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&locale=ja-JP&ccsid=636365643354583281

私の場合は1日後には上述のブロック情報のページで解除されたことが確認できた。

macでsmbサーバへの接続のパフォーマンス向上

Written in 2017年07月06日 by | コメントする( 0件 )

パケット署名を無効にすることでパフォーマンスが向上する可能性がある。

https://support.apple.com/ja-jp/HT205926

/etc/nsmb.conf を以下のように編集する。

[default]
signing_required=no

その後、SMBに再接続する。

rsyncで別サーバに差分転送をする際にパスワード省略

Written in 2016年06月16日 by | コメントする( 0件 )

転送元ホストにおいてrsyncコマンドでリモートホストにホームディレクトリ全体を差分転送する場合は以下のようにする。

rsync -avz –delete –progress -e "ssh -i /root/.ssh/id_rsa_nopass" /home root@yourtargethost.com:/

-aは、下層ディレクトリも再帰的に処理し、シンボリックリンクをシンボリックリンクとして転送し、パミッションを保存し、更新日時を保存し、所有者とグループを保存し、デバイスファイルとスペシャルファイルを保持するオプションです。

-zは、転送する際に圧縮をかけるオプションです。

-vは、冗長メッセージをださせ、–progressは各進捗状況を表示させるオプションです。

–deleteは、転送元に存在しなくなったファイルを、転送先において削除するようにするオプションです。

-eで、リモートシェルを指定し、ここではsshとし、-iオプションによって、パスフレーズをなしにした秘密鍵を指定しています。この秘密鍵は転送元ホストで生成しておき、その公開鍵を転送先ホストのauthorized_keysに登録しておくのです。

これで、バッチなどでパスワードを訊かれずにrsyncコマンドを実行できます。expectコマンドなどでパスワードを自動で入力させるようなシェルを書くよりもスマートでしょう。

USBメモリにUbuntuをインストール

Written in 2016年03月15日 by | コメントする( 0件 )

64GBのUSBメモリにUbuntu14.04LTSをインストールして、いろんなPCにさして起動できるようにした。

 

■イメージダウンロード

以下のページからUbuntu14.04 (LTS) 32bit版をダウンロードし、イメージをDVDに焼いた。

http://www.ubuntulinux.jp/download/ja-remix

 

■パーティションの作成とインストール

参考サイト: http://cloud-work.net/

上記サイトを参考にして、USBメモリーにパーティションを作成し、Ubuntuをインストールした。

Windowsに挿したときに認識するFAT32のパーティションを8GB作っておいた。また、参考サイトではSWAPは作らない方針のようだが、私は4GBのSWAPパーティションを作った。

 

■各種アプリのインストール

Ubuntuソフトウェアセンターからは以下のようなアプリをインストールした。

GVim, GNU Emacs23, Konsole, PuTTY SSH Client, gSTM, classicMenu Indicator, KeePassX, Zenmap, gPHPEdit, Geany, FileZilla, GIMP

WEBからは以下のようなアプリをダウンロードしてインストールした。

Skype, DropBox, TeamViewer

 

■ネットブックで起動できなかった

DELLのワークステーションPrecision690でインストール作業と最初の作業をしたのだが、古いネットブックNECのLaVie light BL330/Vで起動しようとしてできなかった。

disabling IRQ #9

と表示されて止まってしまうのであった。。。

    1. http://pagent.github.io/2014/11/01/irq-problem/
    2. Ubuntu Wiki

を参考に、’e’をタイプして起動コマンドの編集画面にはいり、linuxの起動オプションを、

quiet splash

だったところを

quiet splash pci=noacpi

とした。Ctrl + x で起動をかけると起動できた。

PCIやACPIに関することは、以下のようなサイトを参照。

http://www.valinux.co.jp/technologylibrary/document/linux/interrupts0002/

Precision690でも同様に起動できたので、この設定を恒久化する。

$ gksudo gvim /etc/default/grub

を実行し、

GRUB_CMDLINE_LINUX_DEFAULT=”quiet splash pci=noacpi”

とし、

$ sudo update-grub

を実行してシステムに反映。これで普通に起動できるようになった。

 

■感想

ネットブックは古くてCPUはAtom、メモリは1GB、2.5インチHDDであり、Windows7がもはや使い物にならないほど遅かった。2GBのメモリをさして、USBからUbuntuを起動することで、使用に耐える速度となりました。

また、さらに古いDELLのノートPCのINSPIRON1300だが、こちらはCPUはCeleron M、メモリは512MB、2.5インチHDDで、Windows XPを動かしていて、これまた遅くてかなわんな状態だったが、USB目盛からUbuntu起動では結構速い。ネットブックより速い。これはいい。

ワークステーションPrecision690に挿せば、とっても快適。デュアルモニタだし。

Ubuntuはワークスペースの機能があって、Macみたいにデスクトップ画面を切り替えられるので、画面の小さいノートでの作業にはとてもいいですね。

qmailのキューの不整合解消

Written in 2016年02月16日 by | コメントする( 0件 )

qmailでキューの不整合が発生し、

Jan 17 05:08:05 sakuravps qmail: 1452974885.252009 warning: trouble opening remote/0/40960677; will try again later

のようなエラーメッセージがmaillogに繰り返し吐き出されたりする場合、メールキューの不整合を解消する。

queue-fixをダウンロード

# wget http://www.netmeridian.com/e-huss/queue-fix.tar.gz

解凍

# tar xvzf queue-fix.tar.gz
# cd queue-fix-1.4

修正

# vi error.h

----------------------
「extern int errno;」→「#include <errno.h>」
----------------------

# make

不整合解消

# service qmail stop
# ./queue-fix -i /var/qmail/queue
# service qmail start

Gmailのスパム判定とSPF情報

Written in 2015年04月01日 by | コメントする( 0件 )

■Gmailのスパム判定について

https://support.google.com/mail/answer/81126#sub

■SPFの仕様

http://www.openspf.org/

■SPF情報の書式

http://www.openspf.org/SPF_Record_Syntax

たとえば。。。

v=spf1 ip4:1.2.3.4 ip4:5.6.7.0/24 mx:simple-eye.com ~all

IPアドレス1.2.3.4と5.6.7.0/24および、simple-eye.comのMXレコードにあるホストのIPにマッチすればPass。それ以外はSoftFail

特定のTCPポートを使っているプロセスを知る

Written in 2015年01月30日 by | コメントする( 0件 )

fuser -vn tcp ポート番号

たとえば、25番ポートなら、

# fuser -vnu tcp 25
                     USER        PID ACCESS COMMAND
25/tcp:              qmaild    28896 F…. (qmaild)tcpserver

のようにでる。

OpenSSLの脆弱性 The Heartbleed Bug

Written in 2014年04月09日 by | コメントする( 0件 )

OpenSSLの新しいバージョンにかなり危険な脆弱性が報告されています。早急に対処が必要です。

 

■対処バージョン

OpenSSL 1.0.1 から 1.0.1f

OpenSSL 1.0.2-beta から 1.0.2-beta1

 

■修正済みバージョン

OpenSSL 1.0.1g

Tarballs : http://www.openssl.org/source/

■JPCERTによる勧告

http://www.jpcert.or.jp/at/2014/at140013.html

OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの

脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す

ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得

する可能性があります。

管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合

は、OpenSSL Project が提供する修正済みバージョンへアップデートすること

をお勧めします。

 

■参考サイトURL

・Heartbleed解説ページ(英語)

http://heartbleed.com/

・参考となるブログ(記事をありがとう)

http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

http://devlab.isao.co.jp/openssl_cve-2014-0160/

・脆弱性テストができるサイト

http://filippo.io/Heartbleed/#www2.millet.co.jp

 

■対策等

【1】以下のコマンドでバージョン確認

rpm -qa |grep openssl

openssl version

【2】RPM版ならyumでアップデート

CentOS6.5 では、opensslのRPMにおいてopenssl-1.0.1e-16.el6_5.7 で修正されている

http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

yum update openssl

※ソースならOpenSSL 1.0.1g 以降をインストールする。

【3】opensslのライブラリを使っているプロセスを確認

lsof | grep ssl

【4】それらのサーバプロセスを再起動

service crond restart

service httpd restart

service php-fpm restart

service fail2ban restart

service vsftpd restart

service mysql restart

service postfix restart

など。

出来れば、サーバマシンごと再起動がよい。