前方秘匿性 (forward secrecy) をもつウェブサイトの正しい設定方法
前方秘匿性(forward secrecy)とは、以下のような性質を指します。 公開鍵暗号の秘密鍵のように、比較的長期に渡って使われる鍵が漏えいしたときでも、それまで通信していた暗号文が解読されないという性質 鍵が漏れることも想定せよ――クラウド時代における「楕円曲線暗号」の必然性 - @IT 鍵が攻撃者や諜報機関など第三者の知るところとなった場合でも、それまで通信していた暗号文が解読されないようにしないといけない、という考え方とともに、最近 HTTPS を利用するウェブサイトにおいても導入が求められるようになってきた概念です。 前方秘匿性を満たすウェブサイトの設定方法については、TLSの暗号化方式をECDH_RSAあるいはECDHE_RSAに設定すれば良い、と述べている文献が多いです。 ですが、ほとんどのウェブサーバにおいて、それは誤りです。 なぜか。 通信を暗号化する鍵(セッション鍵)
Go言語でGraceful Restartをする
とあるHTTPサーバをGolangで立てようって話になったんだけど、 止まると困るので無停止でサーバ再起動をしたい。 PerlにはServer::Starterという有名モジュールがあるんだけど、 Golangはどうなってるの?ってことで調べてみました。 2017-01-22追記: Go1.8以降でGraceful Shutdownがbuild-inになるので、この記事で紹介したライブラリは不要となりました。 詳しくはGo1.8のGraceful Shutdownとgo-gracedownの対応を参照。 gracefulじゃないバージョン Golangの標準ライブラリを使ってHTTPサーバを立ててみる例。 レスポンスが一瞬で終わってしまうとよくわからないので、sleepするhandlerを追加しておきます。 package main import ( "fmt" "log" "net/ht
ニコニココメントサーバーにおけるメモリ使用量増大問題の調査と対策 - ドワンゴ 研究開発ブログ
はじめに コメントサーバーは、ニコニコ関連サービスのコメントを司るサーバーである。本稿は、ニコニコ広場で起こったコメントサーバーメモリ使用量増大問題について、我々コメントサーバー担当が行った調査と対策のまとめである。 今回のメモリ増大問題の解決にあたり、「仮説を立てる + 計測する→修正する→確認する」というパターンを繰り返した。このパターンは、ソフトウェアの様々な問題を調査するのに適用できる、基本パターンである。 コメントサーバー概要 コメントサーバーについて簡単に概説する。 コメントサーバーはニコニコ関連サービスのコメントを管理するサーバーである。基本的な機能は、新しいコメントの保存、およびコメントの出力である。ニコニコサービスのユーザーがコメントサーバーに直接触れることはなく、ニコニコのプレイヤーがコメントサーバーと直接やりとりを行う。ニコニコ動画の例でいうと、コメントサーバーを使用
RabbitMQ: One broker to queue them all | RabbitMQ
Why RabbitMQ?RabbitMQ is a reliable and mature messaging and streaming broker, which is easy to deploy on cloud environments, on-premises, and on your local machine. It is currently used by millions worldwide. InteroperableRabbitMQ supports several open standard protocols, including AMQP 1.0 and MQTT 5. There are multiple client libraries available, which can be used with your programming language
ejabberd XMPP Server with MQTT Broker & SIP Service
ejabberd XMPP Server is a Rock Solid, Massively Scalable, Infinitely Extensible Realtime Platform Modern Multi-protocol support: XMPP server, MQTT broker and SIP service Backend integration with REST API and ejabberdctl command-line tool Mobile libraries for iOS: XMPPFramework Mobile libraries for Android: Smack, Retrofit Web library with WebSocket support and fallback to BOSH support: Strophe Ope
nginx news
unit-1.32.0 version has been released, featuring the WebAssembly Component Model and Unit variables access from njs.
ZABBIX-JP - Un-Official Support Page
このサイトは統合監視ソフトウェア"Zabbix"の非公式日本コミュニティサイトです。日本におけるZabbixの普及を目標としています。 ZabbixはZabbix LLCにより開発され、日本国内のオフィシャルサポートはZabbix Japanが提供しています。 Zabbixオフィシャルリリース(ソースコード) 6.2.3 (2022/9/21) [ダウンロード] : [リリースノート] 6.0.9 (2022/9/21) [ダウンロード] : [リリースノート] 5.0.28 (2022/9/19) [ダウンロード] : [リリースノート] 4.0.44 (2022/9/19) [ダウンロード] : [リリースノート] Zabbixオフィシャルパッケージ (rpm, deb) Zabbix LLCのZabbix 4.0、5.0、6.0オフィシャルRPM(RHEL, CentOS, SUSE
junoのへたれサーバ管理日記: iptablesのログをとる
ふとiptablesのログが気になって仕方なくなってしまった。 Firewallなのだから、単純にフィルタするだけでなく、ログくらいとっておこうと思う。 ipspoofing対策やICMP RedirectをDropすることをちゃんと実装しているBLOGも見かけるけど、、、、、偉いなぁ、と思う笑 究めれば奥は深いことがわかった、将来のネタとしてとっておこう^^; まず、ログをとる戦略を考えようっと。 どうもiptablesはsyslogのファシリティ kern でログをだしてくる。 これって、/var/log/messagesに記載されていくわけで、そんなことしたら、何かのときに、messagesを読むのが大変になるじゃないか! iptablesのチュートリアルを読むと、 無用なログがコンソールに直接吐き出されるという現象が見られる場合、それは iptables あるいは Netfilte
Tips Collection - tinydns
tinydnsは、djbdnsパッケージに格納されているDNSサーバである。運用にあ たっては、daemontoolsの導入がほぼ前提となっている。 関連: server - daemontools 以下の記述はdjbdns-1.05のインストール方法である。最新情報は 本家のdjbdnsのインストール方法 を参照されたい。 インストール先は${prefix}で示されている。例えば/usr/localなど、好みに 応じて選択する。 ソースファイル取得 wgetコマンドなどで djbdns-1.05.tar.gz を取ってくる。 展開 % tar xvzf djbdns-1.05.tar.gz % cd djbdns-1.05 設定 インストール先をconf-homeに、コンパイル方法をconf-ccに、リンク方法 をconf-ldに記述する。 Make % make インストール # ma
djbdns (tinydns, dnscache) を使う | Netsphere Laboratories
(2003.11.03新規作成。2004.12.19 加筆。2004.12.31 更新。) djbdns (tinydns, dnscache) は、小さく、信頼性の高いDNS権威サーバ/キャッシュサーバです。bindのような複雑怪奇で脆弱なものは使うべきではありません。私は、LAN内の各機械のためのDNSキャッシュ、それぞれの機械の名前解決として使っています。 重要. (2014.12.12) ずいぶん昔から djbdnsは開発が止まっています。どのようなセキュリティ上の問題があるかないかも分からないので, もはや使うべきではありません。 権威サーバはNSD, キャッシュサーバはUnboundをおすすめします。DNSキャッシュサーバを選ぶ (2019.9) まさか, djbdns が再始動しました。N-DJBDNS. Fedora Linux にもパッケージが用意されています。 思想は健
DNS(BIND)の設定(Windows編)
おやじ宅へのアクセスは、現在は自宅DynamicDNSにより運用されています。下記は、それ以前にお世話になっていた、ZIONさんのサブドメインで運用していたときのものです。基本的には、現在も変わりありません。 Windowsサーバでも内向きDNSを動かしてみました。おやじと同じように、家庭内でもホスト名でアクセスしたかったり、プロバイダのDNSで頻繁にDNSエラーがでるため、これを少しでも回避したい(つまりキャッシュ)、将来、固定IPにしたときにはDNSを設置するのでDNSの勉強をしたい方は動かしてみるといいでしょう。 以下は、おやじ宅のネットワーク構成での設定です。家庭内だけのDNSですので、インターネットで使われているドメイン名(example.zive.net)をそのまま使用できるようにし、内向きに、example.zive.netでサーバのプライベートアドレスを返すようにしました。
[インストール] Apache 2.x + mod_ssl + OpenSSL(新規・更新) | GMOグローバルサイン サポート
本マニュアルは、手順をご案内するものです。コマンドの意味等につきましては、各情報サイトや参考書籍等でご確認ください。 ※弊社では以下の手順にて動作検証をおこなった際の一例をご紹介しており、動作を保証するものではございません。本手順について内容の変更等や誤りがあった場合、弊社では一切の責任を負いかねることを予めご了承ください。 詳細は各アプリケーションのドキュメント等をご参照ください。 ※Apacheはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。 ※2020年8月14日にクイック認証SSLの中間CA証明書が新しくなりました。以降発行される証明書(再発行と更新も含まれる)は新しい中間CA証明書とともにインストールする
syslogをsyslog-ngに置き換えるには- @IT
Fedora Core 5(FC5)をはじめとする多くのディストリビューションは、syslogを採用している。しかし、syslogは処理が比較的重く、ログを取りこぼすことがあり、セキュリティがあまり考慮されていないといった問題点がある。 そこで、syslogの代わりとしてsyslog-ng(http://www.balabit.com/products/syslog_ng/)を使用する方法を紹介する。FC5の場合はFedora Extrasにパッケージが用意されており、以下のコマンドでインストールできる。 syslog-ngの設定は、/etc/syslog-ng/syslog-ng.confで行う。FC5の場合、syslogとsyslog-ngの設定ファイルは同じ内容のログを取得するようになっている。syslogをデフォルト設定で使用していたのであれば、特に/etc/syslog-ng/s
syslogdの限界と次世代シスログデーモン(1/3) ― @IT
UNIX系OSのシステムロギングをおよそ20年の長きにわたって支えてきた「syslogd」にも、限界が見えつつあります。その限界を打ち破る機能を備えた新しいシスログデーモンを紹介します。(編集部) シスログデーモン「syslogd」は、UNIX系OSのシステムロギングをおよそ20年の長きにわたり支えてきました。しかし、増大する信頼性や安全性への要求、ログの適正保管といった要望に応えるには、syslogdでは力不足との声が高まっています。 そんな折、システムロギングをより確実に行い、RDBMSへのデータ保存や監視システムの連携といった可用性にも優れた、「syslog-ng」や「rsyslog」が注目を集めています。この連載では、こうした次世代シスログデーモンを取り上げ、導入方法や活用方法を解説します。 システムロギングとsyslogd 実行したイベントの履歴、システム不調や変更の記録、不正ア
[ThinkIT] 第4回:アクセス分散とスケールアウトの条件 (1/2)
前回までで、スケールアウトに欠かせないアクセス分散について理解できたと思います。今回は、まずIPTablesとIPRoute2によるアクセス分散の実際を解説します。 IPTables(FreeBSDではNetFilter)は、TCP/IPネットワークのパケットの受信/送信/ルーティングを制御するプログラムで、Firewall構築に利用されます。IPTablesは多くの機能をサポートしていますが、中でもNAT(Network Address Translation)機能が負荷分散を行う機能を持っています。送信元のアドレスの変換を行うSNATと、送信先のアドレス変換を行うDNATの2種類のNAT機能がありますが、このうちDNATがアクセス分散に利用できます。 図10の構成では、IPTablesを実行するコンピュータはFirewall(ルータ)のように動作させ、実際にネットワークリクエストを処理
オンラインマニュアル - VPS・仮想専用サーバ WebARENA SuitePRO
SuitePROの仮想専用サーバには初期状態で「Postfix」というメールサーバプログラムがインストールされています。 ほかに「sendmail」というメールサーバプログラムもインストールされていますが、 このマニュアルでは設定が比較的容易なPostfixを使用する方法を掲載しています。 メールサーバを構築する場合はPostfixの設定を行ってください。 このマニュアルでは、例として以下のようなご利用形態を前提として記述しております。 メールサーバに設定する内容はお客様のご利用形態によって変わりますが、 オンラインマニュアルに記載されていない設定については弊社のサポート対象外となりますので、 この例と異なるご利用形態でお使いになる場合はPostfixの設定方法について解説されている書籍・Webサイトなどをご参考に お客様にて設定ファイルの内容を書き換えてご利用ください。 仮想専用サーバ上
チープなDNSラウンドロビンは高価なロードバランサの座を奪い返せるか:Web屋のネタ帳 on CNET - CNET Japan
結論。DNSラウンドロビンという古くからある技術を取り巻く状況の変化を見過ごしている結果、負荷分散と可用性確保のために高価なロードバランサー機器を導入しているWebサイトは、実は大幅に金を無駄にしているのかもしれない。 一部の人には「今頃気がついたか」と笑われる可能性が高い話だ。 筆者が気づいたきっかけはとあるブログに書かれたこんな一節である。 あまり知られていないことかもしれませんが、DNS があるホスト名に対して複数の IP アドレスを返した場合、多くのウェブブラウザは、その全てのアドレスに対して接続を試みます (接続に成功するまで)。 Kazuho@Cybozu Labs: DNS ラウンドロビンと高可用性 (High Availability) 「えっ?そうだったの?だとすれば、、、」というのが筆者の素直な感想である。これだけでピンと来ている人はいいのだが、詳しくない人のために
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Red5 : Open Source Flash Server
@IT:システム管理の基礎 syslogdの設定をマスターしよう(3-3)
Linux Square全記事インデックス