どさにっき
2012年3月27日(火) ■ mod_lua でリバースプロクシ _ もちろん apache 2.4、mod_lua が必要。さらに、mod_proxy と mod_proxy_http も。ProxyPass の設定は lua で置き替えるけど、よそにアクセスしにいく動作そのものは mod_proxy* がおこなうのでこいつらが不要になるわけではない。 -- httpd.conf LuaHookTranslateName /path/to/proxy.lua reverse_proxy -- proxy.lua backend = "http://127.0.0.1:8080" function reverse_proxy(r) r.handler = "proxy-server" r.proxyreq = apache2.PROXYREQ_REVERSE r.filename = "
Apache CVE-2012-0883 - どさにっき 2012年4月18日(水)
2012年4月14日(土) ■ BIND + SoftHSM _ 雨ってイヤね。 _ SoftHSM をインストール。手順略。 _ openssl の pkcs#11 engineをインストール。freebsd なので ports/security/engine_pkcs11 を入れるだけ。テスト。 % openssl engine dynamic -pre SO_PATH:/usr/local/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/local/lib/libsofthsm.so -t (dynamic) Dynamic engine loading support [Success]: SO_PATH:/usr/local/lib/engine
SMTP 受信の TLS 対応 - どさにっき
2011年11月11日(金) ■ RRSIG の有効期間 _ fbi.gov が DNSSEC fail してるよー、という話が聞こえてきたんだけど、うちの環境では ad フラグが立ったまま。dig の出力をよく見ると、うん、たしかに RRSIG の有効期間が切れてるな。なんで検証できちゃってるの? _ …unbound の小さな親切だったみたい。時刻のズレをある程度許容してるので、一定の範囲内であれば検証失敗にならないよ、と。へー。でもこういうのって署名する側であらかじめ余裕を持った範囲で期間を設定しておくものなんで、それを検証側でさらに緩めてしまうのもどうかと思うなぁ。 _ unbound.conf(5) を見ると、このへんのことは以下の値をいじることで制御できるみたい。夏時間の時差を許容するために1時間はおっけー、って、UTC なのになんで夏時間が? val-sig-skew-min
8.8.8.8 が速くなった - どさにっき
2011年9月11日(日) ■ 9.11 _ 今日で震災から半年というのもそうなんだけど、9.11 テロから10年でもあるんだよな。10年前、生まれて初めての海外行きでその前日に US 入りしてヒドい目にあった。行き先はテロの攻撃があったところからかなり離れてて直接なにかあったわけじゃないけど、それでも予定していたことがまったく何もできなくなって、空港が再開するまでの間ホテルで CNN を見る以外なにもすることがなかった。おかげで evacuate という単語を覚えた。CNN で The Whitehouse is evacuated. The FBI is evacuated. てなテロップがずっと流れ続けてたのが強烈に記憶に残ってる。 _ あ、10年てことは、パスポートの有効期限切れてんじゃん。2回しか使ってない。 2011年9月12日(月) ■ 無題 _ 震災から半年経ち、9月も半ば
DNS ラウンドロビンの実際
2011年7月15日(金) ■ DNS ラウンドロビンの実際 _ 先日、2台のホストを DNS ラウンドロビンで並行運用している POP サーバでホストの再起動をともなうメンテナンスをおこなったときのメモ。 _ 簡単なタイムチャート。 作業開始。片系を DNS ラウンドロビンの対象からはずす 10分後。キャッシュから消えて完全に片方に寄る(はず)。 3時間後。ホスト停止。 1時間後。ホスト起動。 14時間後。ふたたび両系を使うように DNS をいじる。 10分後。片系のみをキャッシュしている DNS がなくなる(はず)。 停止したのは片方のみ。再起動後14時間も片系のまま放置していたのは単なる横着。 _ 2台の IP アドレスは末尾が 1 違うだけで、 RFC3484の宛先選択アルゴリズムの rule 9 (longest match)が適用されても違いは生じない。 _ ちなみに作業は M
七夕
2011年7月4日(月) ■ mod_noloris _ 2年遅れの slowloris 対策つづき。続けるつもりはなかったんだが。 _ apache 2.3 のソースを眺めてたら、modules/experimental/ の下に mod_noloris.c がまぎれこんでた。同時接続数を制限して上限を越えたらエラーにしましょう、ってモジュールですな。ただし、リクエストを受けている途中のものしか数えないので、大量同時ダウンロードの制限をするような用途には流用できない。slowloris 系の攻撃を防ぐ以外にはまったく役に立つ場面はなさげな感じ。ちゃんとした同時接続数制限がやりたければ mod_limitipconn みたいなサードパーティモジュールでやってください、と。 _ これも slowloris attack によって受ける被害を緩和するだけで、根本的な問題を解決してるわけではない
どさにっき
2011年6月21日(火) ■ ルートサーバ更新 _ D がデュアルスタックに。 重複案内。 _ でさぁ、 以前も書いたし、dnsops ML にも同じこと考えてる人いたけどさ(あれってそういう意味だよね?)、ヒントファイルの配布のしかたどうにかならんの? ダメだよあんなのじゃ。以下、前回の繰り返しなので、べつに読まなくてよし。 _ ヒントファイル置き場は素の HTTP/FTP なんで、接続先をねじまげられて変なところに誘導させられても確認のしようがない。PGP の署名もあるけど、署名鍵がホンモノかどうか確認できないので意味ない(しかも前回更新のときと違う鍵が使われてる)。なんとびっくり、internic.net は DNSSEC による署名があるようだけど、上位に DS が登録されてなくて信頼の連鎖が切れてるから検証できない。HTTP/FTP を使わなくても、DNS で拾ってきた情報を
PrimDNS をいじってみた - どさにっき
2011年4月21日(木) ■ qmail の DNS パッチの当てかた _ きのうの DNSSEC スプリングフォーラムとか、その後の dnsops BoF でもあらためて話題になったので、もっかい。 qmail にパッチ当ててね。 _ 前任者がろくに引き継ぎせず残していった qmail なのでよくわからない。ベンダーから買った製品が qmail を使っていて中身を把握してない。ごてごてと qmail にいろんなパッチを当てすぎてカオスになってしまってもう一度作り直すのがこわい。そんな中身がよくわからないけど元気に動いてる qmail に対して DNS パッチを適用する方法。 _ netqmail-1.06と DNS パッチ、ついでに DNS とは関係ないけど このパッチを拾ってきたら、 % tar xvzf netqmail-1.06.tar.gz % cd netqmail-1.06
どさにっき - mod_lua であそぼう
2011年4月13日(水) ■ mod_lua であそぼう _ 絶賛開発中の apache 2.3 (正式版では 2.4) では mod_lua なんてモジュールが含まれてるですよ。ということで遊んでみる。コンパイルの方法とかそういうのは略。 _ キホンの hello world。デフォでは handle() という関数が呼ばれる。 -- httpd.conf AddHandler lua-script .lua -- hello.lua function handle(r) r.content_type = "text/plain" r:write "hello, world\n" end で、http://localhost/hello.lua にアクセスすると、hello world が表示される。注意すべきは、通常の CGI などとは異なり標準出力を使わないということ。このスクリプ
どさにっき - プログラムがメールを受け取るには
2009年6月11日(木) ■ 続・ゾーン外 CNAME _ この前の CNAME の指してる先がよそで管理してるゾーンだった場合に BIND が妙な挙動を起こす件。 _ そういえば、 zone "." { type hint; file "/dev/null"; }; という設定の BIND でゾーン外 CNAME に対して再帰検索すると SERVFAIL が返るということは、こいつを別のキャッシュサーバで forwarders として指定すると名前がひけなくなるってことだな。外部からは解決できないプライベートネットワーク内のゾーンを type forward で参照するという設定はわりとありがちだけど、これだとゾーン外 CNAME が解決できないので注意する必要あり、と。 _ まあ、コンテンツサーバを forwarders に指定するのがそもそも間違ってるんだけどな。正しく設定すれば問
どさにっき
2008年4月21日(月) ■ 無題 _ 今朝の電車でおっさんが読んでたスポーツ新聞からちょっと見えてた見出し。頭のおかしい人が新幹線で全裸になってタイーホ。春だなぁ。 _ 出社してからニュースサイトを巡回して、それが ファーストサーバの社長だったと知る。あぁ。 _ ち、ちがうよっ、春だから頭のおかしい人が湧いてきたんじゃないよっ。だってレンタルサーバ会社の社長だよ? 頭がおかしいなんてことはないよ。最近のデータセンターは電力問題とか熱問題とかいろいろ大変だからね、きっと陽気がよくなってあったかくなったから熱暴走を起こして、その冷却のために大事なところを放熱してただけなんだよっ。 _ てか、ファーストサーバっていつのまにか yahoo の系列になってたのか。昔はクボタ(もちろん農業機械のクボタのことだ)の子会社だったよね、たしか。 2008年4月28日(月) ■ 無題 _ メール屋を廃業し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
