■CALENDAR■
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31     
<<前月 2019年12月 次月>>
■LOGIN■
現在のモード: ゲストモード
USER ID:
USER PW:
■ADMIN■
ADMIN ID:
ADMIN PW:
■NEW ENTRIES■
■RECENT COMMENTS■
■RECENT TRACKBACK■
  • 吉本隆明の死去に寄せて - 反「反核」ということ
  • 2010 年の釣り - 2010~11 シーズン開幕! 肝和えの素(カワハギ)
  • 震災後の復興を考える
  • 夏本番ですが ・・・ 水の事故を防ぐために
  • 2011 年の釣り - 遅ればせながらシーズン開幕 東京湾のマゴチ
■CATEGORIES■
■ARCHIVES■
■PROFILE■
■POWERED BY■
BLOGN(ぶろぐん)
BLOGNPLUS(ぶろぐん+)
■OTHER■
 

openssl req コマンド1発で、秘密鍵(pkey)ファイルとサイト自己証明書(cert)ファイルを生成する手順
UNIX / Linux 環境で、SSL/TLS を利用する際に使用する極めて多機能なコマンド「openssl」は、その多彩な機能を呼び出すために、多くの「サブコマンド」が第1引数として用意されています(なんと man ページもこのサブコマンド毎に用意されている)。
この openssl で、サイト自己証明書を作成しようとするとき、ネットで検索して見つかる手順の多くは、以下のようなものです(わきたもこれまではこの手順によっていました)。
  1. openssl genrsa コマンドで、秘密鍵(pkey)ファイルを生成
  2. openssl req コマンドに1.で生成した秘密鍵ファイルを与えて、サイト証明リクエスト(csr)ファイルを生成

  3. openssl x509 コマンドで2.で生成したサイト証明リクエストファイルに基づいて、自分自身でサイト「自己」証明書(cert)ファイルを生成
この手順の1.~2.は、信頼できる認証局に「ちゃんとした証明書(自己証明書ではない)」を発行してもらう場合と同じ手順です。 これに加えて、本来は認証局が行う3.の手順も自分自身で行うことで、自己証明書を発行する訳です。
先日ネットで自己証明書作成方法について改めて調べていたら、これら手順をひとまとめにして、openssl コマンド1発で、秘密鍵(pkey)ファイルとサイト自己証明書(cert)ファイルを生成する方法があるということが判りました。

以下に、備忘録の意味も含めて整理しておきます。

続き▽
| http://blog.wakita.cc/index.php?e=97 |
| サーバ・Linux::ネットワーク | 07:19 PM | comments (0) | trackback (0) |
自己証明書(オレオレ証明書)サイトを Chrome 70 で「この接続は保護されています」と言わせる方法
 わきたは Google Chrome のバージョンがある程度上がってからは、自己証明書(オレオレ証明書)サイトでは Chrome に「この接続は保護されています」と言わせることは出来なくなったと諦めていました。
 ところが、別件でネットをググっていたところ、Chrome の最新バージョンでも自己証明書サイトを「保護されている」と言わせることができるということが判りました。
 その方法を、自分自身の備忘録を兼ねて、以下に書き留めておきます。

続き▽
| http://blog.wakita.cc/index.php?e=95 |
| サーバ・Linux::ネットワーク | 10:29 AM | comments (0) | trackback (0) |
プロバイダ内 smtp リレーサーバが、「smtp 認証」仕様に!
 わきたの自宅サーバでは smtp サーバが稼働しており、わきたのプライベートメールアカウントもそこで運用されています。 このプライベートメアド宛に送られたメールは自宅のクライアントPCでも受信・閲覧しますが、勤務先事務所でも受け取れるよう勤務先メアド宛にも自動転送するようになっています。
 ところがこの夏のある日、突然プライベートメアド宛のメールが、自宅サーバから勤務先に転送されなくなってしまいました。 さては連日の猛暑で熱暴走したか、とも考えましたが、サーバも smtpd もいたって正常に稼働。
 その後、着信したメールの自動転送のみならず、自宅から外部へのメール送信もできなくなっていることが判りました。 要するに、smtpサーバ@自宅 から外部へ向けた全てのメールが送信不能ということ。
 maillog を調べてみると、外部へ送信する際に中継をお願いしてるプロバイダ(@nifty)の smtp サーバが、ステータス:553 5.7.1 にて当方からのリレーを拒否している(Relay operation rejected)ことが判明。

続き▽
| http://blog.wakita.cc/index.php?e=93 |
| サーバ・Linux::ネットワーク | 06:17 PM | comments (0) | trackback (0) |
自鯖の dovecot に辞書攻撃 その後・・・対策を実施
 前報以後、例の辞書攻撃は止まっています。 しかし、再び攻撃を受けて知らぬ間に dovecot が落ちてしまうと、事情を知るわきたは構わないけど、家人はチト困る。
 そこで、この記事を参考にして、iptables を利用してブロックすることにしました。

続き▽
| http://blog.wakita.cc/index.php?e=47 |
| サーバ・Linux::ネットワーク | 05:29 PM | comments (0) | trackback (0) |
自鯖の dovecot に辞書攻撃
 今朝、自宅でメインに使用しているPC(Win XP)を立ち上げてメールチェックしようとしたところ、自鯖からの応答がなく、エラーとなってしまいました。
 ssh で自鯖にログインして調べたところ、dovecot が落ちてる。 startup スクリプトを叩いて再起動しても、数分後にはまたダウン。
 /var/log/maillog を見てみたところ・・・これですヮ

Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<000000>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<aba>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<123>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<abdul>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<abbott>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100
Jun 22 08:44:00 XXXXX dovecot: pop3-login: Aborted login: user=<abbie>, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=192.168.1.100


<以下、"user"のみが異なる同様のアクセス記録が、数百行に亘り...>
 ps コマンドで見てみたら、login プロセスが山のように起動されては死んで行き、最後には、

Jun 22 08:46:28 XXXXX dovecot: Login process died too early - shutting down
で、お亡くなりに ・・・ おそらくは辞書攻撃でしょう。

 同日の昼頃には攻撃は収まり、無事 dovecot の運用を再開することができました。
 でもいつまた、攻撃が再開するとも限りません。 近日中に対策を施します。

| http://blog.wakita.cc/index.php?e=46 |
| サーバ・Linux::ネットワーク | 01:43 AM | comments (0) | trackback (0) |
イーモバイル「Pocket WiFi S」(S31HW)を、ESSIDステルスなWiFi環境で自動接続させる
 2年前にASUS EeePC 1000Hを100円で買う代償に契約したイーモバイルですが、先般やっと2年縛りの年季が明け、晴れて自由の身となりました。
 @nifty からは、契約料なし/ポケットWiFi無料/1年間月額基本料0円の従量制、という内容のWiMAX新規加入キャンペーンのオファーが来るし、このさいイーモバイルは解約か、とも考えていた矢先・・・
 知人から、WiFiテザリングをサポートしたスマートフォン「Pocket WiFi S」の登場を教えられ、リアクションバイトしてしまいました。

 いやぁ、世の中でこれだけスマートフォンがもてはやされる理由が判りました。 出先でPCのメールを(ノートPCに依らずとも)送受信できるわ、「PCサイトビューアーの利用は別料金」なんてケチ臭いこと言われずにウェブサイト見られるわ・・・
 一番たまげたのは、Google マップの経路探索では、探索結果でナビゲーションすることができること。 GPS機能を使って、Pocket WiFi S が立派なカーナビゲーションに変身するのです。 

 そんな便利なイーモバのPocket WiFi Sですが、ひとつ腑に落ちないことがありました。 ESSIDステルスを効かせた自宅の無線LAN環境下では、ネットワークに接続できないのです。 
 3G接続は完全パケット定額制を選択したので「WiFi接続できるときはWiFi優先で」ってことにあまり執着はありませんが、でも繋がるはずの自宅無線LANに繋がらないのはキモチ悪い。 そこで色々と試行錯誤しました。

続き▽
| http://blog.wakita.cc/index.php?e=36 |
| サーバ・Linux::ネットワーク | 10:14 PM | comments (0) | trackback (0) |
NTT東日本 光回線工事だってサ ・・・
 本日、NTT 東日本 光回線工事が、わきたの自宅近くで実施されました。 このために、本日昼過ぎよりこの記事を書いている今この時まで、当ブログやわきたの HP 本家NHK & CNN 外国語ニュースバックナンバー ダウンロードページなど、わきたのホームサーバで公開しているコンテンツがすべて、外部からアクセスできませんでした。

 皆さまに多大なご迷惑をお掛けしましたこと、心よりお詫び申し上げます (爆

続き▽
| http://blog.wakita.cc/index.php?e=15 |
| サーバ・Linux::ネットワーク | 07:06 PM | comments (0) | trackback (0) |
PAGE TOP ↑