巻き戻し中

googleで
サイト内検索

このブログ
を検索！　　help

巻き戻し中。

Tweet
Follow @RC31E

2012-09-05(水) 名刺 [長年日記]

_ トラップ?

ある人からもらった名刺にバーコードが印刷してあった。

まさかと思ってスマホのリーダーで読んでみた。

pdfファイルへの直リンクだた。

絶　対　ふ　ま　ね　ー　ぞ　ｗ

でも、wgetしてみちゃうんだろうな、おれ。

トラップは冗談としても、「ほぅら、直接こういうファイル開いちゃ危ないでしょ。てへぺろ(・ω<)」

ぐらいの事は書いてありそうだしｗ

[ツッコミを入れる]

2012-09-04(火) ブラックリスト [長年日記]

_ （゜ω゜）お断りします

基本的に、中国とか韓国は用がないしメールの必要もないし、webページを見てもらう必要もない。

時々いろんなログを見てうざい所はwhoisしてCIDR単位でぶっちぎってるけど面倒。

APNICのリストから、国コードでipfwルールを生成するツールを作成中。

これを改造すると.htaccessで中国なら「魚釣島は日本の領土」、韓国なら「竹島は日本の領土(σ'д｀)アッカンベー」とか表示させることも出来るなｗ

_ やっぱり

とあるボット検出システムの話。

サービス始めたら「何で親の敵みたいに韓国のサイトが引っ掛かるんですかねぇ?」と。。。

いや、そりゃ客観的にネットの治安状況見回したら分かるでしょ。

なまじインフラが発達して回線速度も速いところに、全体のリテラシーが低いんだから。

ましてや日本のIPからのアクセス狙い撃ちでマルウェア喰らわすとかやりかねん国民性。

つか、オタクの組織は仕事中にそっち系のサイト見てるヤツが多いんじゃないのかね?

[ツッコミを入れる]

2012-09-02(日) SPF [長年日記]

_ ついでに

SPFレコードのチェックと書式間違いの修正。

sendmail社のSPFチェッカー便利。

「"v=spf1 a mx ptr a:daemon5.uekusa-com.com include:hogehoge.ne.jp a:61.206.119.196 -all"」

とか書いてあったけど、エラー。

SPFの出始めの頃に、どっかのページを参照して書いたんだけど、ダメダメですね（;´Д｀）

いつ頃か忘れたけど、wikiによるとRFCになったのは2006年頃か。

要するに各要素に「+」とか「-」の定義がない。

includeしていた携帯用の外部送信サービスも使っていないし、シンプルに修正。

逆引きの一致(ptr)とか処理の重くなる処理は後ろに移動。

「"v=spf1 +a:daemon5.uekusa-com.com +ip4:61.206.119.196 +a +mx +ptr -all"」

これで、ウチの鯖のFQDNかつ逆引きも出る名前のみが許可されるようになった。

メール送受信に使わない「uekusa.com」は「"v=spf1 -all"」で詐称防止。

SPFの詳細な説明は、インターネット協会のここ。

とても分かりやすい。

_ 詐称

本当のドメイン名での詐称はSPFである程度防止できるけど、

「uekusa_com.com」とか「ueknsa-com.com」とか紛らわしいドメイン取って、

そこの正当なFromとSPFレコードなら防ぎようがないのが、この仕組みの限界。

いわゆる標的型とか呼ばれる攻撃なら、こういった手段もありそうですな。

_ STARTTLS

sendmailの証明書の件、このテストサイトやら、

LogLevelを9から14に上げてみるとかで調査。

証明書が繋がって見えていない感じ。

あ、「O CACERTFile」ってルートの証明書か。

中間証明書と勘違いしてた。

portsのsecurity/ca_root_nssをインストールして、

「O CACERTFile=/usr/local/share/certs/ca-root-nss.crt」

でちゃんと「verify=OK」が出るようになった。

┐(´д｀)┌ヤレヤレ

_ 歯医者

7月から、ほぼ毎週通っていたのも今日でファイナル。

先週点検中に見つかった、上の前歯の小さな虫歯を削ってお終いなのだが、

いくら麻酔が効かないからって、相変わらずの麻酔増量で困るｗ

1時間経っても、上唇が痺れてメシ食えないｗｗｗ

[ツッコミを入れる]

2012-09-01(土) アフィ [長年日記]

_ リンク

一応、ブログの内容に関連するamazonのアイテムを文中に貼ったり、

左上にランダムリンクが出るわけですが。。。。。

3年やっても紹介料は500円に満たないので一度ももらえてませんが、

ネタのつもりで貼ってるわけですよ。

で、思い出したようにamazonの売上レポート見てワロタ。

今年の頭に、ここのリンクからオナホ買ったヤツ誰だよｗｗｗｗｗ

少なくとも本文中のリンクには無いはずなんだが。

あえてリンクは貼らんけど。。。

[ツッコミを入れる]

2012-08-31(金) 終電 [長年日記]

_ 今週は

結局月曜から木曜まで終電だた。

_ なので

今日はさすがに逝ったわけですよ。

（;´Д｀）

[ツッコミを入れる]

2012-08-28(火) SSL [長年日記]

_ 証明書

夜中に申し込むと、4時間ぐらいで発行される。

4年で1,000円弱/年はお安いわ。

csr作成時に2,048ビットにしてみた。

早速Apacheとsendmailに設定。

Apacheの場合、

SSLCertificateFile /home/www/conf/cert/ほげほげ.crt（入手した証明書）
SSLCertificateKeyFile /home/www/conf/cert/ほげほげ.key（パスを取っ払った鍵）
SSLCertificateChainFile /home/www/conf/cert/ほげほげ_CA.crt
（証明書発行時に供給された中間証明書）

_ という感じ。

_ 忘れずに

「ln -s ほげほげ_CA.crt `openssl x509 -noout -hash -inform pem -in ほげほげ_CA.crt`.0」

で、リンク作成しておかないと中間証明書は読んでくれない。

オレオレ証明書の時は、自己署名だったので中間証明書の意味が無かったけど、今回は設定することでGeoTrustまでつながる。

あとは、httpsで来たらCNとリクエストが一致するように「daemon5.uekusa-.com.com」にrewiteするようにhttpd.confと.htaccessを変更。

RewriteEngine On
RewriteCond %{HTTPS} on
RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]

_ 強制的にhttpsにしたいページはこんな感じ。

RewriteCond %{HTTPS} off
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]
RewriteCond %{HTTPS} on
RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]

_ sendmail

こっちは、ベリサインとか、このへん参考に。

Apache同様に中間証明のリンクも作成しておく。

だけど、中間証明は「openssl s_client -connect 鯖のアドレス:465 -CAfile GeoTrustの証明」では検証が失敗する。

どうやら、RapidSSLからメールで送られてきた中間証明じゃなくてRapidSSLとGeoTrustの関係を証明する部分も含んでいる必要があった。

RapidSSLのこのへんの「RapidSSL CA Bundle」を入手。

一応検証おｋ。

但し、今のところ「verify=OK」になる相手もおらず寂しい感じ。

まだ何か設定が足りないのかも。

sendmail.cfは↓

# CA directory
O CACertPath=/etc/mail/cert
# CA file
O CACertFile=/etc/mail/cert/ほげほげ_CA-RapidSSL.crt
# Server Cert
O ServerCertFile=/etc/mail/cert/ほげほげ.crt
# Server private key
O ServerKeyFile=/etc/mail/cert/ほげほげ.key
# Client Cert
O ClientCertFile=/etc/mail/cert/ほげほげ.crt
# Client private key
O ClientKeyFile=/etc/mail/cert/ほげほげ.key