|
|
| |||||||
| |||||||||
巻き戻し中。
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2011-01-03(月)
最終日 [長年日記]
_ 
winlockpwn
色々調べると、ウイルスバスタさんが「クラックツール」だと認識してるのか軒並みページをブロックするw
とりあえずubuntuあたりでやるしかないみたい。
libraw1394なのか、libdc1394なのかは諸説あるようだけど。
さてと、IEEE1394はあるものの、Centrinoなチップセットばっかりだからubuntu入れられるのだろうか。
Xが必須になってるとダメだなぁ。
とりあえずISOイメージ落としたので寝る。
2011-01-02(日)
初詣 [長年日記]
_ 午後から
親父の墓参り経由で恒例の千葉神社。
今年は本厄。いわゆる「課長さんの厄年」です。
ちゃんと本殿で祈祷してもらうのだ。
それにしても通常のお参りはすごい列。
裏の公園の中をうねうねと蛇行して神社の裏まで。
と言っても、30分ぐらいで済んだから良いけど。
長男の受験もあるし、一応学業の神様もいるらしいのでちゃんとお参り。
_ DNSSEC完結編
今度は、自分のゾーンも登録。
ISCDLVににa target="_blank" href="https://dlv.isc.org/">ナミマソ、キ、ニ、゜、ソ。」
、ヌ、筅テ、ニ。「こちらの手順で設定。
このページにある「dnsseczonetool」は結構便利。
ウチはrndcでrestartされるよりもdhcpdもあるのでお手製の再起動ツールを呼び出すように設定変更。
「dnsseczonetool keygen ゾーン名」でキーを作成。*1
ちょっと悩んだのは、登録するキーの内容。
「ksk-ほげほげ」に書かれている名前のキー(ファイル)を探してその内容*2をISCの登録欄に入れるわけですよ。
そうすると、ISCが「認証用のTXTフィールドを設定しろ」と内容を提示してくる。
これを「ゾーン名」にしたファイルに追記する。
「dlv.ほげら.jp. 0 IN TXT "DLV:1:もげら"」
みたいな感じ。
その後に「dnsseczonetool sign ゾーン名」で署名入りのzoneファイル出来上がり。
_ ところが
DNSの場合は伝達に時間が掛かるし、その上に問題発生。
シリアル値を「YYYYMMDD+通番二桁」で運用してきたのに、今度の署名ツールはunixtimeをシリアルに使う仕様。
unixtimeではまだ最上位は「1」なのよ。
つまり、今までの設定ファイルより数値が小さくなるからこのまま運用していても更新されない。
仕方が無いので、仮にシリアルを大きくしてTTL/Expireを極小にしたファイルを読み込ませて、その後にunixtimeな情報を流し込んだら上手くつながるかなと思ってお試し中。
しかし、「zoneedit.com」とウチの鯖はすぐに反映するけど、「お名前どっと混む」のセカンダリは更新通知があっちに届いてウチから読込までしているのに、digの返答では変更分を反映しない。
もしかして、Expireの12時間まで粘るのか?o(`ω´*)o
2011-01-01(土)
あけおめ [長年日記]
_ 初日の出
長男と、江見海岸まで行ってみた。
去年の5月に肋骨にヒビ入れて以来だ。
距離は片道100km強、予想時間は90分ほど。
風邪気味の次男は夜更かしして寝てるらしいので、4時に長男に起こしてもらう。
ナビは君津で降りて房総スカイラインを指しているけど、何となく館山周り。
ほぼ予定通りに5時半過ぎに到着。
月と金星がキレイ。
_ イベント
ここって、20年ぐらい前は初日の出も誰もいなくて静かだったんだけど、今回は派手に焚き火をやっている。
と言っても、餅つきの準備をしている町内会の人が数人。
町内の町おこし的イベントみたい。
焚き火に当たるだけでも助かるなぁ。
白んできた水平線と、焚き火の炎が幻想的。
そして、長男は町内会の子供だと思われたのか、日の出前から早速餅つきやらされてるw
_ 日の出
6時50分過ぎ。
水平線近辺は少し雲があるけど、丁度太陽の所が一番薄かった。
いや、キレイですね。
今年は良い年になりますように。
ご来光を拝んだところで、近所の人もわんさか。
ついた餅を使った雑煮の列に並ぶ。
はば海苔と、海産物で味噌仕立ての雑煮は磯の香りがすごい。
おじさんがサービスでエビの頭入れてくれたw
美味しかったです。
また来年も行きたいな。。。
帰りは房総スカイライン経由館山道〜京葉でサクッと。
途中でワゴン車がワンコで言うところの「服従の姿勢」になってた。
鹿とかサル、イノシシ注意の看板はあったが、何故か事故現場にニワトリ。(*゜∋゜)
しかも周辺に民家無いんですけど、これ野生?
つか、それを避けようとして横転とかだと可哀相すぎる。(´・ω・`)ショボーン
そう言えば片貝漁港付近で見ていた会社の人、珍走団に巻き込まれないで帰れたかな?
_ DNSSEC
このあたりのページを参考に設定開始。
まずはOpenSSL有効のbind9.7を入れる。
FreeBSDベースの9.4と競合するのでアンインストールしないとportsでmake出来ない。
念のため、VMwareに待避してあるバックアップで検証と予行演習。
ルートの証明書を検証する所までは
dig +noall +answer +multiline DNSKEY . > pubkey
で持ってきたキーのうち、「AwEAAagAIKlV・・・・」を使う。
で、named.confに「managed-keys」セクションを作って
managed-keys {
. initial-key 257 3 8 "
AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVL
・・・・・・
LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=";
};
と、optionに
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
でとりあえず動作おk。
「dig +dnssec .」とか「dig +dnssec www.isc.org.」とかして、flagesに「ad」が入れば署名検証できてる。
DNS絡みは更新タイミングやら色々あるので、自分側の不安要素を減らすために出来れば気持ちよく再起動がよいね。
と言うのも、相手側がラウンドロビンしていてタイミング/当たるサーバーによって*1署名が上手く対応できていなかったりすると「出たり出なかったり」して精神衛生上よろしくない。
*1 仕事としてはダメだろ、そう言うのw
2010-12-31(金)
年末ですね [長年日記]
_ 冬休みの
宿題のDNSSEC。
その前に、POP3S/IMAPで使っている証明書の期限が切れた。
あぁ、デフォは365日か。
10年かつ2048bitで再作成。
いや、さっさと片付けようや。。。
ついでに最新のsendmailに更新しようとしたらportsからだとコアダンプして使いモノにならんのでsourceから。
でもsite.config.m4設定するの忘れたりとか、証明書のpermissionが600でなくて怒られたりとかgdgd。。。OTL
2010-12-30(木)
年末 [長年日記]
_ とりあえず
洗濯したり髪切ったり、クリーニング出したり。
_ 切ないw
いや、不二子藤雄っぽいこれ。
「気分だけを味わう寂しいゲーム」ってwwww
その通りですけど(゜Д゜ )ナニカ??
どうでも良いけど、本日時点でのamazonのレビューはちょっと泣けるモノがある。。。
2010-12-29(水)
セキュリティ [長年日記]
_ 冬休みの
宿題。
元ネタ自体は2年前から出てるらしいけどちょっと興味のあるwinlockpwn。
ウチで再現環境作ってみるかな。
IEEE1394はVMware等ではサポートされないから実機でやるしか無さそう。
んー、1394持ってるPCは母艦の他に実験用ノートが2台とゴツイノートが1台。*1
残念ながらプライベートで動き回る用のパナのノートは装備していない。*2
実験で上手く行けば、次はPCMCIAのインターフェースに挿したカード経由で試すかね。
_ 紛失
スマホの紛失、T-01Cの場合はガラケーみたいにドコモが丁寧にロックしたり場所を探してくれるわけじゃない。*1
調べたら「A-Secure」ってのが良くできてる。
1-1.紛失時に特定の番号から1分以内に指定回数の着信でロック。
1-2.紛失時に特定のサブジェクトとキーワードのメールでロック、結果を返信。
2.ロックしたら、10分おきにGPSで場所を指定のアドレスにメール送信。
3.発見できたらパスワード入力でロック解除。
4.ダメな場合、1-2のメールに返信して端末のデータを削除。
をを、ここまで出来て無料とは素晴らしいw
早速設定して、データ削除以外をテスト。
バッチリですね。
*1 利用者が余計な事を考えないという意味ではよいシステムだったのかもね
| Tweets by RC31E | |||||||||
| |||||||||
| |||||||||
| |||||||||
