![]() |
![]() |
| |||||||
|
巻き戻し中。
|
|
2012-09-05(水)
名刺 [長年日記]
_
トラップ?
ある人からもらった名刺にバーコードが印刷してあった。
まさかと思ってスマホのリーダーで読んでみた。
pdfファイルへの直リンクだた。
絶 対 ふ ま ね ー ぞ w
でも、wgetしてみちゃうんだろうな、おれ。
トラップは冗談としても、「ほぅら、直接こういうファイル開いちゃ危ないでしょ。てへぺろ(・ω<)」
ぐらいの事は書いてありそうだしw
2012-09-04(火)
ブラックリスト [長年日記]
_
( ゜ω゜ ) お断りします
基本的に、中国とか韓国は用がないしメールの必要もないし、webページを見てもらう必要もない。
時々いろんなログを見てうざい所はwhoisしてCIDR単位でぶっちぎってるけど面倒。
APNICのリストから、国コードでipfwルールを生成するツールを作成中。
これを改造すると.htaccessで中国なら「魚釣島は日本の領土」、韓国なら「竹島は日本の領土(σ'д`)アッカンベー」とか表示させることも出来るなw
_
やっぱり
とあるボット検出システムの話。
サービス始めたら「何で親の敵みたいに韓国のサイトが引っ掛かるんですかねぇ?」と。。。
いや、そりゃ客観的にネットの治安状況見回したら分かるでしょ。
なまじインフラが発達して回線速度も速いところに、全体のリテラシーが低いんだから。
ましてや日本のIPからのアクセス狙い撃ちでマルウェア喰らわすとかやりかねん国民性。
つか、オタクの組織は仕事中にそっち系のサイト見てるヤツが多いんじゃないのかね?
2012-09-02(日)
SPF [長年日記]
_
ついでに
SPFレコードのチェックと書式間違いの修正。
sendmail社のSPFチェッカー便利。
「"v=spf1 a mx ptr a:daemon5.uekusa-com.com include:hogehoge.ne.jp a:61.206.119.196 -all"」
とか書いてあったけど、エラー。
SPFの出始めの頃に、どっかのページを参照して書いたんだけど、ダメダメですね(;´Д`)
いつ頃か忘れたけど、wikiによるとRFCになったのは2006年頃か。
要するに各要素に「+」とか「-」の定義がない。
includeしていた携帯用の外部送信サービスも使っていないし、シンプルに修正。
逆引きの一致(ptr)とか処理の重くなる処理は後ろに移動。
「"v=spf1 +a:daemon5.uekusa-com.com +ip4:61.206.119.196 +a +mx +ptr -all"」
これで、ウチの鯖のFQDNかつ逆引きも出る名前のみが許可されるようになった。
メール送受信に使わない「uekusa.com」は「"v=spf1 -all"」で詐称防止。
SPFの詳細な説明は、インターネット協会のここ。
とても分かりやすい。
_
詐称
本当のドメイン名での詐称はSPFである程度防止できるけど、
「uekusa_com.com」とか「ueknsa-com.com」とか紛らわしいドメイン取って、
そこの正当なFromとSPFレコードなら防ぎようがないのが、この仕組みの限界。
いわゆる標的型とか呼ばれる攻撃なら、こういった手段もありそうですな。
_
STARTTLS
sendmailの証明書の件、このテストサイトやら、
LogLevelを9から14に上げてみるとかで調査。
証明書が繋がって見えていない感じ。
あ、「O CACERTFile」ってルートの証明書か。
中間証明書と勘違いしてた。
portsのsecurity/ca_root_nssをインストールして、
「O CACERTFile=/usr/local/share/certs/ca-root-nss.crt」
でちゃんと「verify=OK」が出るようになった。
┐(´д`)┌ヤレヤレ
_ 歯医者
7月から、ほぼ毎週通っていたのも今日でファイナル。
先週点検中に見つかった、上の前歯の小さな虫歯を削ってお終いなのだが、
いくら麻酔が効かないからって、相変わらずの麻酔増量で困るw
1時間経っても、上唇が痺れてメシ食えないwww
2012-09-01(土)
アフィ [長年日記]
_ リンク
一応、ブログの内容に関連するamazonのアイテムを文中に貼ったり、
左上にランダムリンクが出るわけですが。。。。。
3年やっても紹介料は500円に満たないので一度ももらえてませんが、
ネタのつもりで貼ってるわけですよ。
で、思い出したようにamazonの売上レポート見てワロタ。
今年の頭に、ここのリンクからオナホ買ったヤツ誰だよwwwww
少なくとも本文中のリンクには無いはずなんだが。
あえてリンクは貼らんけど。。。
2012-08-28(火)
SSL [長年日記]
_
証明書
夜中に申し込むと、4時間ぐらいで発行される。
4年で1,000円弱/年はお安いわ。
csr作成時に2,048ビットにしてみた。
早速Apacheとsendmailに設定。
Apacheの場合、
SSLCertificateFile /home/www/conf/cert/ほげほげ.crt(入手した証明書) SSLCertificateKeyFile /home/www/conf/cert/ほげほげ.key(パスを取っ払った鍵) SSLCertificateChainFile /home/www/conf/cert/ほげほげ_CA.crt (証明書発行時に供給された中間証明書)
_ という感じ。
_
忘れずに
「ln -s ほげほげ_CA.crt `openssl x509 -noout -hash -inform pem -in ほげほげ_CA.crt`.0」
で、リンク作成しておかないと中間証明書は読んでくれない。
オレオレ証明書の時は、自己署名だったので中間証明書の意味が無かったけど、今回は設定することでGeoTrustまでつながる。
あとは、httpsで来たらCNとリクエストが一致するように「daemon5.uekusa-.com.com」にrewiteするようにhttpd.confと.htaccessを変更。
RewriteEngine On RewriteCond %{HTTPS} on RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]
_ 強制的にhttpsにしたいページはこんな感じ。
RewriteCond %{HTTPS} off RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L] RewriteCond %{HTTPS} on RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]
_
sendmail
Apache同様に中間証明のリンクも作成しておく。
だけど、中間証明は「openssl s_client -connect 鯖のアドレス:465 -CAfile GeoTrustの証明」では検証が失敗する。
どうやら、RapidSSLからメールで送られてきた中間証明じゃなくてRapidSSLとGeoTrustの関係を証明する部分も含んでいる必要があった。
RapidSSLのこのへんの「RapidSSL CA Bundle」を入手。
一応検証おk。
但し、今のところ「verify=OK」になる相手もおらず寂しい感じ。
まだ何か設定が足りないのかも。
sendmail.cfは↓
# CA directory O CACertPath=/etc/mail/cert # CA file O CACertFile=/etc/mail/cert/ほげほげ_CA-RapidSSL.crt # Server Cert O ServerCertFile=/etc/mail/cert/ほげほげ.crt # Server private key O ServerKeyFile=/etc/mail/cert/ほげほげ.key # Client Cert O ClientCertFile=/etc/mail/cert/ほげほげ.crt # Client private key O ClientKeyFile=/etc/mail/cert/ほげほげ.key
2012-08-25(土)
待機 [長年日記]
_
SSL
仕事でSSLのProxy動作について調べていたついでに、最安値だと年間1,000円ぐらいで証明書が買えると判明。
おそらくsmtpsでも使えると思われ。
ウチは.jpと.comが両方あるんだけど、鯖のofficial-nameは.comだ。
証明書の矛盾を防ぐために、httpsの場合は「uekusa-com.com」に転送するようにした。
オレオレじゃない、ちゃんとした証明書は数日中に配送される予定。
2012-08-23(木)
久しぶりに [長年日記]
_ 映ったw
「標的型メール、552件=不正接続先は中国が最多−協議会発足、上半期・警察庁」
これの関係でカメラが入った。
キー局のニュースはほとんど記事になったみたい。
テレ東の映像、オレ分かりやすくてワロタw
↑そのうちリンク切れになるかも。
2012-08-18(土)
Ϣ日 [長年日記]
_ 仕掛け
満潮で夕暮れなので、エサは子供に任せてルアーなど。
なんか追ってきてる感じだけどボラかもしんないし、喰い付きはない。
そんなこんなで、セイゴのラッシュ開始。
21時で撤収するまでにセイゴ7匹。
Tweets by RC31E | |||||||||
| |||||||||
|