cles::blog

折角なのでサーバにインストールしてあるProFTPDもFTPS対応にしておくことにします。
とりあえず「FTPS(FTP over SSL)環境構築」の解説を参考に設定ファイルを下記のように変更して、デーモンの再起動しました。
ココまではスムーズでした。

ところが、FileZillaから接続しようとすると "GnuTLS error -9: A TLS packet with unexpected length was received." と言われてコケてしまいます。どうやらFileZillaの実装の問題のようで、ProFTPDでも最新のバーションであればfixされているという情報を見つけたので、ProFTPDのアップデートをしたところ正常に接続できるようになりました。

先日、大学で作業をしていて新たなSQL実行ツールを見つけたのでメモ。

Execute Query

Introducing Execute Query

Execute Query is an operating system independent database utility written entirely in Java.
Using the flexibility provided by Java Database Connectivity (JDBC), Execute Query provides a simple way to interact with almost any database from simple queries to table creation and import/export of an entire schema's data. See Features for a list of some of the available tools.

このExecute QueryはJavaで作られているSQL実行ツールで、JDBCドライバさえあれば様々なデータベースに接続してクエリを実行することができるので、ちょっとしたデータのメンテナンスをするときに重宝します。

この手のツールとしては僕はずっとSQuirreL SQL Clientを使ってきたのですが、Execute QueryはデータのImport/Exportが簡単にできるので、テストデータの投入なんかには良さそうです。

自分のメールサーバーがDNSBLに登録されていないかチェックする方法としては、これまでRBL.JPのチェックツールを使っていましたが、100個近くのDNSBLへの登録状況を一括でチェックできるサイトを見つけました。

What Is My IP Address? - Is my IP address blacklisted?

Spam Database Lookup Check to see if your IP addresses are listed with nearly 100 DNS based anti-spam databases! Will your mail server be blocked by DNSbl filters?

調べたいIPアドレスを入力すると右記の画像のような画面でチェック結果が一覧できます。なお、画像の結果はこのサーバのIPアドレスを入力した結果になっています。

spamcop.netとか、spamhaus.orgなどのメジャー所から、かなりマイナーなところまで網羅されていますね。こんなにDNSBLが運用されているということも驚きですが。

DNSサーバを作成したら、仕上げにDNSをチェックするサービスでゾーンファイルに問題が無いかどうかチェックしておくと便利です。特にコンテンツサーバとキャッシュサーバが一体になっている場合には、DNSサーバはセキュリティの関係で、外部から見た場合と、内部から見た場合の動作が異なるのでこういうサービスが便利です。

　・ CheckDNS.net - Online DNS Report Tool
　・ squish
　・ ZoneCheck

上記に加えてDNSキャッシュポイズニングの脆弱性の有無も確認を確認しておくと安心です。

新しくメールサーバを作ったので、仕上げにオープンリレーになっていないかを下記のサービスでチェック。

　・第三者中継チェック RBL.JP
　・Mail relay testing

今どきよっぽどおかしな設定をしなければ、メールサーバーがオープンリレーになる事はないと思いますが。

先日設定したクライアント証明書のウェブサーバですが、突然アクセスできなくなったのでエラーログをさらってみたところ、下記のようなログが沢山出ていました。

エラーを素直に読む限り、CRLの有効期限が切れているので、CRLがアップデートされるまでは全ての証明書は無効化されているということのようです。考えたら当たり前ですが、CRLの有効期限が切れると、結果的にクライアント証明書の真偽の判定結果が保証できないので、安全側に倒して全て無効と判断するという動作になっているんですね。それにしてもCRLに有効期限があったというのは盲点でした。

昨年の９月にLinux標準教科書が出ていましたが、今度はLinuxサーバー構築標準教科書が発表されています。前回はLinuxの基本的な使い方を解説した感じでしたが、今度はDNS,Web,Mailなどのデーモンを設定してサーバを作るという内容のようです。ライセンスはクリエイティブコモンズのBY-NC-NDになっています。

授業に使える「Linuxサーバー構築標準教科書」，LPI-JapanがPDFで無償公開：ITpro

「Linuxサーバー構築標準教科書」は120ページ。Linuxをインストールしサーバーを構築，DNS，Webサーバー，メール・サーバーを設定し動作させる実習を行う。想定学習時間は12時間で，6時間2日または90分間8コマ。LinuxディストリビューションとしてはCentOSを使用している。

こういうのも実際作ろうと思うと膨大に手間がかかるので、すばらしいプロジェクトだと思います。

先日、クライアント証明書を作ったのですが、誰（というか、どの証明書）がどれくらいアクセスしているのかログファイル中にも記録しておきたかったので、mod_sslのマニュアル（mod_ssl - Apache HTTP Server）を調べてみたところ、mod_sslが設定する環境変数情報はかなり膨大な量があるようです。

とりあえずSSL_CLIENT_S_DN_CNがクライアント証明書のSubjectのDistinguishd NameのCommon Name部分を表すようなので、これをhttpd.confを下記のように書き換えてログに出力されるようにしてみました。

↓

これで、後でログを確認しても誰がアクセスしたか一目瞭然ですね。

これまでSSLのクライアント証明書を作るときには、クライアント証明書とCAのルート証明書を別ファイルで作ってクライアントにインストールしていたんですが、p12形式は複数の証明書をひとつにまとめることが出来るようなので、これらを別々にインポートする必要はないようです。自分の手間はあまり変わりませんが、人に証明書を配るときには相手の手間が１ステップ分軽減されるのでいいかもしれません。

クライアント証明書の発行

なお、今回はCAの証明書については前回のサーバ証明書でインポート済みなので入れていませんが、実際にプライベートCAの運営で証明書を配布していくときはCAの証明書もつけてあげないといけません。
CAの証明書は接続先のサーバ証明書の署名検証するために必要になります。
CAの証明書もつけるときはこんな感じでOKです。

% cp /etc/CA/ca.crt ./
% cat client.key client-ca.crt ca.crt | openssl pkcs12 -export -out client.p12 -name "client key"

pkcs12はそもそも複数の鍵や証明書をひとつにしてインポートするためにあるので、この方法を使えばいくらでも証明書をくっつけることができます。
RootCAまでのchainとかをこの方法でまとめるといいと思います。

ちなみにPKCSはRSAが策定したキーストア形式で、Windows以外でもJava 暗号化アーキテクチャー (JCA)なんかでもサポートされているみたいです。RSAのサイトにはPDFファイルのPKCS #12: Personal Information Exchange Syntax Standardというファイルがありました。

先日仕掛けておいた過去ログ（50G）のインポートに結局２日くらいかかりました。マシンの性能が良くてもDNSのルックアップ速度にどうしても足を引っ張られますね。

AWStatsはフリーのサーバログ型のアクセス分析システムとしては出力されるレポートがそこそこ詳細なので気に入っているのですが、GoogleAnalyticsとかOmnitureなどの比較的最近登場したビーコン型のアクセス解析と比べるとだいぶインタフェイスがWeb1.0的です。そんなAWStatsの見た目をWeb2.0ライクにしてくれるJAWStatsというソフトを見つけました。

JAWStats Web Site Statistics & Analytics | An AWStats Companion

JAWStats is a free, open-source website statistics and analytics package. It runs in conjunction with AWStats and produces clear and informative charts, graphs and tables about your website visitors.

JAWStatsはPHPで書かれており、AWStatsのファイルを直接読み込んでjQueryを使ってきれいに表示をしてくれるフロントエンドです。実際に導入してみると同じAWStatsのデータを表示しているとは思えません。AWStatsを使っていて、ウェブの見た目がちょっと・・・・という場合には導入して見る価値アリです。