■CALENDAR■
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31   
<<前月 2019年10月 次月>>
■LOGIN■
現在のモード: ゲストモード
USER ID:
USER PW:
■ADMIN■
ADMIN ID:
ADMIN PW:
■NEW ENTRIES■
■RECENT COMMENTS■
■RECENT TRACKBACK■
  • 吉本隆明の死去に寄せて - 反「反核」ということ
  • 2010 年の釣り - 2010~11 シーズン開幕! 肝和えの素(カワハギ)
  • 震災後の復興を考える
  • 夏本番ですが ・・・ 水の事故を防ぐために
  • 2011 年の釣り - 遅ればせながらシーズン開幕 東京湾のマゴチ
■CATEGORIES■
■ARCHIVES■
■PROFILE■
■POWERED BY■
BLOGN(ぶろぐん)
BLOGNPLUS(ぶろぐん+)
■OTHER■

openssl req コマンド1発で、秘密鍵(pkey)ファイルとサイト自己証明書(cert)ファイルを生成する手順
UNIX / Linux 環境で、SSL/TLS を利用する際に使用する極めて多機能なコマンド「openssl」は、その多彩な機能を呼び出すために、多くの「サブコマンド」が第1引数として用意されています(なんと man ページもこのサブコマンド毎に用意されている)。
この openssl で、サイト自己証明書を作成しようとするとき、ネットで検索して見つかる手順の多くは、以下のようなものです(わきたもこれまではこの手順によっていました)。
  1. openssl genrsa コマンドで、秘密鍵(pkey)ファイルを生成
  2. openssl req コマンドに1.で生成した秘密鍵ファイルを与えて、サイト証明リクエスト(csr)ファイルを生成

  3. openssl x509 コマンドで2.で生成したサイト証明リクエストファイルに基づいて、自分自身でサイト「自己」証明書(cert)ファイルを生成
この手順の1.~2.は、信頼できる認証局に「ちゃんとした証明書(自己証明書ではない)」を発行してもらう場合と同じ手順です。 これに加えて、本来は認証局が行う3.の手順も自分自身で行うことで、自己証明書を発行する訳です。
先日ネットで自己証明書作成方法について改めて調べていたら、これら手順をひとまとめにして、openssl コマンド1発で、秘密鍵(pkey)ファイルとサイト自己証明書(cert)ファイルを生成する方法があるということが判りました。

以下に、備忘録の意味も含めて整理しておきます。

続き▽
| http://blog.wakita.cc/index.php?e=97 |
| サーバ・Linux::ネットワーク | 07:19 PM | comments (0) | trackback (0) |
グレゴリウス通日を求めるコマンド
https による web サイトや、ftps サーバなどで使用する自己証明書を作るとき、証明書有効期限を日数で与える場合があります。
こんなとき例えば「3年後の12月31日までの日数」なんてのを簡単に算出したいと思い、UNIX / Linux で、ある基準日から指定日までの通算日数を表示するコマンドを探したのですが、これが見つからない。
date コマンドのオプションで何とかならないかと調べてみたけど、UNIX時間の通算「秒」を表示することはできるのですが、通算「日」はムリそう。
そこで、自分で作ることにしました。

続き▽
| http://blog.wakita.cc/index.php?e=96 |
| サーバ・Linux | 01:29 PM | comments (0) | trackback (0) |
自己証明書(オレオレ証明書)サイトを Chrome 70 で「この接続は保護されています」と言わせる方法
 わきたは Google Chrome のバージョンがある程度上がってからは、自己証明書(オレオレ証明書)サイトでは Chrome に「この接続は保護されています」と言わせることは出来なくなったと諦めていました。
 ところが、別件でネットをググっていたところ、Chrome の最新バージョンでも自己証明書サイトを「保護されている」と言わせることができるということが判りました。
 その方法を、自分自身の備忘録を兼ねて、以下に書き留めておきます。

続き▽
| http://blog.wakita.cc/index.php?e=95 |
| サーバ・Linux::ネットワーク | 10:29 AM | comments (0) | trackback (0) |
プロバイダ内 smtp リレーサーバが、「smtp 認証」仕様に!
 わきたの自宅サーバでは smtp サーバが稼働しており、わきたのプライベートメールアカウントもそこで運用されています。 このプライベートメアド宛に送られたメールは自宅のクライアントPCでも受信・閲覧しますが、勤務先事務所でも受け取れるよう勤務先メアド宛にも自動転送するようになっています。
 ところがこの夏のある日、突然プライベートメアド宛のメールが、自宅サーバから勤務先に転送されなくなってしまいました。 さては連日の猛暑で熱暴走したか、とも考えましたが、サーバも smtpd もいたって正常に稼働。
 その後、着信したメールの自動転送のみならず、自宅から外部へのメール送信もできなくなっていることが判りました。 要するに、smtpサーバ@自宅 から外部へ向けた全てのメールが送信不能ということ。
 maillog を調べてみると、外部へ送信する際に中継をお願いしてるプロバイダ(@nifty)の smtp サーバが、ステータス:553 5.7.1 にて当方からのリレーを拒否している(Relay operation rejected)ことが判明。

続き▽
| http://blog.wakita.cc/index.php?e=93 |
| サーバ・Linux::ネットワーク | 06:17 PM | comments (0) | trackback (0) |
PL/pgSQL で、第xN分位数を得る集約関数を定義する(その4)
 前回までで解説した、第xN分位数とジニ係数を求める関数を、実際に使ってみます。

続き▽
| http://blog.wakita.cc/index.php?e=89 |
| サーバ・Linux::PostgreSQL | 01:38 PM | comments (0) | trackback (0) |
PL/pgSQL で、第xN分位数を得る集約関数を定義する(その3)
 前の記事で、レコード毎に投入されるフィールドデータをソートし、配列にエレメントとして格納して保持する集約関数 arraySorted() を定義しました。
 今度は、それを使って第xN分位数を求める関数と、ジニ係数を求める関数を、定義します。

続き▽
| http://blog.wakita.cc/index.php?e=88 |
| サーバ・Linux::PostgreSQL | 02:53 PM | comments (0) | trackback (0) |
PL/pgSQL で、第xN分位数を得る集約関数を定義する(その2)
 以前の記事で、「集約演算部分は、レコード毎に投入されるデータをソートして配列に格納し保持する処理のみで良い」と書きました。 そのような処理を行う集約関数を定義します。

続き▽
| http://blog.wakita.cc/index.php?e=87 |
| サーバ・Linux::PostgreSQL | 05:35 PM | comments (0) | trackback (0) |
PL/pgSQL で、第xN分位数を得る集約関数を定義する(その1)
 わきたは、仕事柄、統計量を扱う機会が多々あります。 典型的には、毎年の春闘時に要求案を検討する際、賃金の産別水準/自組織内水準 双方の代表値(=要約的統計量)を算出して比較する、という作業が欠かせません。

 この賃金水準比較、22歳(新卒入社者)~59歳(定年直前)までの1歳刻みの年齢ごとに双方の代表値を比較するのですが、その代表値として何を使うべきでしょうか。
 すぐに思いつくのは「平均値」ですね。 「産別の35歳の平均賃金は○○万円。 これに対してウチの平均は××万円だから、ウチの35歳の賃金はちょっと低いね」なんて分析は、容易に想像できると思います。
 しかし、これだとちょっとまずい場合があります。

続き▽
| http://blog.wakita.cc/index.php?e=84 |
| サーバ・Linux::PostgreSQL | 06:58 PM | comments (0) | trackback (0) |
自鯖の dovecot に辞書攻撃 その後・・・対策を実施
 前報以後、例の辞書攻撃は止まっています。 しかし、再び攻撃を受けて知らぬ間に dovecot が落ちてしまうと、事情を知るわきたは構わないけど、家人はチト困る。
 そこで、この記事を参考にして、iptables を利用してブロックすることにしました。

続き▽
| http://blog.wakita.cc/index.php?e=47 |
| サーバ・Linux::ネットワーク | 05:29 PM | comments (0) | trackback (0) |
自鯖の dovecot に辞書攻撃
 今朝、自宅でメインに使用しているPC(Win XP)を立ち上げてメールチェックしようとしたところ、自鯖からの応答がなく、エラーとなってしまいました。
 ssh で自鯖にログインして調べたところ、dovecot が落ちてる。 startup スクリプトを叩いて再起動しても、数分後にはまたダウン。
 /var/log/maillog を見てみたところ・・・これですヮ

Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<000000>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<aba>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<123>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<abdul>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<abbott>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<abbie>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100


<以下、"user"のみが異なる同様のアクセス記録が、数百行に亘り...>
 ps コマンドで見てみたら、login プロセスが山のように起動されては死んで行き、最後には、

Jun 22 08:46:28 XXXXX dovecot: Login process died too early - shutting down
で、お亡くなりに ・・・ おそらくは辞書攻撃でしょう。

 同日の昼頃には攻撃は収まり、無事 dovecot の運用を再開することができました。
 でもいつまた、攻撃が再開するとも限りません。 近日中に対策を施します。

| http://blog.wakita.cc/index.php?e=46 |
| サーバ・Linux::ネットワーク | 01:43 AM | comments (0) | trackback (0) |
PAGE TOP ↑