著者アーカイブ ym

著者:ym

Symantec と Broadcom

なんとブロードコムがシマンテックの企業部門を107億ドルで買収したとのこと。
しかもニコニコ現金払い!キャッシュですよ!かっこいい(笑)

ブロードコム、シマンテックの企業向け事業部門を買収へ-107億ドル

法人向け製品では以前 Endpoint Security を使用していました。今ではスタッフ数も減った関係で仮定向けの Norton 製品へ切り替えてしまいました。個人製品は引き続きシマンテック社の様です。ウィルス検知エンジンなど、そもそも別なのでしょうか。なんだか先行き不安ですが。

著者:ym

DNS サーバ BIND の TXT レコード長

最近 DKIM の公開鍵をレコードに記述する機会が増えて来たのですが、BIND の TXT レコード長には 255 文字という制限がある様です。

調査したところ SOA レコードの様に複数に分けて記述することで記述するとのこと。しかしこの TXT レコードを必要とする側のアプリケーション実装によっては分割された TXT レコードを解釈出来ずにエラーとなる、アプリケーション次第とのこと。

dkim._domainkey IN TXT ( "v=DKIMv1; " " abcdefg" "opqrstu" )

こんな感じ。
OpenDKIM 等はどうなのだろうか。
そもそも DKIM の TXT レコードが長くなることは想定の内だろうから、問題は無いのだと思うけど。

著者:ym

送信メール認証と DMARC

メールが正しいメールかを判断する仕組みとして、最近では SPF や、DKIM は当たり前になってきています。

ただ、DKIM シグネチャの準備もしっかり対応した上で送信してくる迷惑メールもあるので、どちらもいまいちなんですよねぇ。

DMARC というのも、かなり前から目にすることがあったのですが、そういう状態だとなかなかねぇ

最近どこかの記事でDMARCについての話題が出ていたので少し設定してみようかと思います。

著者:ym

clamav と disable-unrar で warning

disable-unrar とすることで、古い ccplus でもコンパイル自体は通りますが、今度は実行じに Warning といった警告メッセージが表示される様になりました。

LibClamAV Warning: Cannot resolve: Undefined symbol "libclamunrar_iface_LTX_unrar_peek_file_header" (version mismatch?) - unrar support unavailable

オプション指定で disable-unrar をしたのですが、どうやらモジュールを作成する、しない、の disable 化の様です。

ワーニングメッセージというのことで、現状では 0.101.2 で稼働している為、問題はないのですが、いずれは消したい。なにか新しい c++ コンパイラを入れる以外に良い方法は無いだろうか。

著者:ym

clamav と libunrar

少し前からコンパイルが出来なくなってしまったので、調査していましたが、最終的に .rar 圧縮なんて滅多に見ないじゃん?(exe でも中身は rar の可能性はあるが。)

-Wno-logical-op-parentheses
-Wno-dangling-else

この2つのオプションが関連しているところは libclamunrar です。
ということで disable にすることにしました。

./configure --prefix=/usr/local/clamav --enable-milter --enable-clamdtop --disable-unrar

いままで 0.100.3 を使用していましたが、次からは 0.101.2 にアップ。

著者:ym

CDNで使用されるSSLとSANs

CDN やレンタルサーバでは他社とサーバやポート番号を共有ことが多くあります。最近では SSL/TLS の処理も必要になるので、443 番ポートを共有し、SNI に対応した Web サーバで処理することが普通かと思います。

しかし SSL/TLS 証明書まで共有している例は初めてみました。www.nikkei.com が採用している CDN では SSL/TLS 証明書まで共有している様です。確かに DV 証明書であれば問題は無いですが、この証明書は OV 証明書ですよね?認証上はドメイン使用承諾している状況かな。
SANs (Subject Alt Name)へ共有しているコモンネームが網羅されるので、結構気になるんですよね。

あれ?CN(コモンネーム)違うじゃん O(組織) が Fastly ? 他社じゃん。やべっ・・・。って、びっくりしました。
こうやって、SSL証明書を見て、本当に接続したサイトは正サイトと確認している人もいるので、どうかと思うんですよねぇ。

SSL証明書の発行日を見ると、2019年7月18日、つい先日更新している様子ですが、以前からなのかな。

著者:ym

7payの乗っ取りからID連携での対策

Yahoo! ID 連携の方法で、なにか情報がでた様なので引用します。

▼脆弱性のある実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリで ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、 ユーザー識別子を送信しログインできてしまうため、不正にログインされる可能性があります。
そのため、上記のような実装は推奨しておりません。

▼推奨する実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリではユーザー識別子を直接取得するのではなく、 サーバーサイド・アプリケーションで利用されるフロー(Authorization Codeフロー)を用いて認可コードを連携し サーバーサイドでユーザー識別子などの属性情報を取得してください。

https://developer.yahoo.co.jp/changelog/2019-07-18-yconnect.html

7pay を使用していなかったのですが、ログインする際の認証に使用する場合のところだと思います。

最近SNSを使用した認証が増えているので、注意してた実装が必要そうです。

著者:ym

JMeter でのリモート実行できずに

Apache JMeter はサーバ1台で実行可能ですが、大きな負荷をかける場合は複数サーバに分散する仕組みが用意されています。

しかしこれがうまく動作しないのです。

create-rmi-keystore.sh

jmeter クライアント側で Java の keytool を使用して rmi のキー rmi_keystore.jks を作成。
これをリモート側 (jmeter-server) へコピーして準備します。もちろん rmi という名称部分は同じ様に指示通りに。
jmeter.properties などの .properties ファイル類の server.rmi.ssl.keystore を調整。コメントアウト化されているので、有効化してみたり。戻して見たり。

jmeter-server を起動させ 1099 ポートで待機させます。 クライアントは同じセグメント。

tcpdump しながら 1099 ポートへの通信を確認しているのですが、一行にタイムアウトで接続できず。

リモート実行する形での情報が少ないので非常に困り物です。

著者:ym

AWS RDS SQL Server にファイルからデータ復元

先日 RDS for SQL Server を使ってテストしていましたが、無事に .bak ファイルからの復元ができることを確認しました。

ハマった点といえば、アクセスキーの有効期限。

期限の警告はでていたけど、普通にアプリから使えていただので問題ないと思っていたところ、インポートで RDS から S3 への接続で Key Id なんたらとエラーメッセージが表示されました。

まさかこのキーの有効期限だとは思いませんでしたが、アクセスキーを更新して無事インポートができる様になりました。

著者:ym

AWS RDS for SQL Server で

手元の SQL Server バックアップファイル (*.bak) ファイルから AWS RDS へ復元をしようと下のですが、無償の db.t2.micro インスタンスではできないっぽいことが書かれていたので調べて見たところ。

Amazon S3 からのインポートは、db.t2.micro DB インスタンスクラスでサポートされていません。ただし、1 つの DB インスタンスクラスに復元した後、後でインスタンスクラスを変更できます。インスタンスクラスの詳細については、「利用可能なすべての DB インスタンスクラスのハードウェア仕様」を参照してください。

https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/MySQL.Procedural.Importing.html

とのことで、あとでインスタンスを変更することで対応できるようなので、ファイルを S3 へ配置し、S3 側から取り込み可能っぽい。

可動させたまま忘れてしまいがちですが、最速でチャレンジしてみるかな。