ソケット通信 possible SYN flooding on port 443. Sending cookies. がログに出てきた - Qiita
ソケット通信 possible SYN flooding on port 443. Sending cookies. がログに出てきたLinux はじめに インターネットに公開しているホームページが突然閲覧できなくなりました。サーバではロードアベレージも低く、負荷はかかっていないようでした。今回の記事ではこの状況下でのボトルネックの確認&対応方法について簡単にまとめてみました。 環境 CentOS6 Apache 参考 https://qastack.jp/server/294209/possible-syn-flooding-in-log-despite-low-number-of-syn-recv-connections https://github.com/hiboma/hiboma/blob/master/kernel/net/net-backlog.md https://qiit
taka's趣味の部屋 » apacheの同時接続数(MaxClients)を検証する
最近は、サーバネタで押してきます(^^; 先日、httpdのエラーログで不正なアクセスなどないか確認していたときに見慣れないログをapacheが吐いていた。 vi /var/log/httpd/error_log [Tue Dec 16 16:53:09 2014] [error] server reached MaxClients setting, consider raising the MaxClients setting こちらのサイト同時接続数(MaxClients)をいくつに設定すべきか?によるとMAXClientsの数値が低い場合にこのメッセージが出力されるらしい。 ということで参考にしていろいろと調べてみた。 するとhttpd.confの設定でapacheのホームページでは、”MaxClients は、リクエストに応答するために起動される 子プロセスの最大数となります。 デ
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
2017.09.04 プロフェッショナルサービス事業部 米山 俊嗣 セキュリティ診断(Webアプリケーション診断やネットワーク診断)の結果、バナーに表示されたバージョンを隠しましょう、TRACEメソッドを無効にしましょうなどの報告をすることがあります。これらの設定は、サーバを構築する上での”お作法”ではあると考えていますが、この”お作法”を行ったから大丈夫というわけではありません。 今回はこのような設定を行っても、バージョンは特定できるものなので、やはり、パッチはしっかりと当てましょうというお話になります。 さて、Apache httpd 2.2.XはEOLが2017年12月と発表されており、2.2.34が最終バージョンになる可能性が高く、このタイミングで、リプレースやバージョンアップを考えている方もいらっしゃると思います。既に運用中のシステムで何か変えることは色々と難しいと思いますが、リ
サーバーのSSL/TLS設定のツボ - Internet Week 2014 セッションS14
Internet Week 2014 セッションS14 サーバーのSSL/TLS設定のツボ (配布資料) 2014年11月20日(木) 13:45-14:15 於:富士ソフトアキバプラザ 漆嶌 賢二 本文中の登録商標および商標はそれぞれの所有者に帰属します。 富士ゼロックス株式会社 SkyDeskサービスセンター 漆嶌賢二 © 2014 Fuji Xerox Co., Ltd. All rights reserved. © 2014 Fuji Xerox Co., Ltd. All rights reserved. 1 時期 問題・事件 対策 2005.11 OpenSSL SSLv2バージョンロールバック アップデート 2009.01 RapidSSL MD5衝突偽造中間CA アップデートやPinning 2009.07 NULL終端による証明書ホスト名一致不備 アップデートやPinni
100行あったmod_rewirteを ngx_mrubyで書き換えた話
第5回ペパボテックカンファレンス〜インフラエンジニア大特集〜 で発表した資料です http://pepabo.connpass.com/event/30348/
WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう
この記事はWordPress Advent Calendar 2015の7日目の記事です。 今年初めてWordCamp Tokyoにて講演の機会をいただき、WordPressのセキュリティについて話しました(スライド)。そこでもお話ししましたが、WordPressに限らず、Webサイトへの侵入経路は2種類しかありません。それは以下の2つです。 ソフトウェアの脆弱性を悪用される 認証を突破される したがって、侵入対策としては以下が重要になります。 全てのソフトウェア(OS、Apache等、PHP、WordPress本体、プラグイン、テーマ等)を最新の状態に保つ パスワードを強固なものにする 以上! と叫びたい気分ですが、それではシンプル過ぎると思いますので、以下、WordCampでお話した内容とリンクしながら、もう少し細く説明したいと思います。 全てのソフトウェアを最新の状態に保つ Word
apacheとnginx – 忘れるために記す
主に、オープンソースカンファレンス2014 Tokyo/Spring Apacheコミッターが見た Apache vs nginx http://openstandia.jp/pdf/140228_osc_seminar_ssof8.pdf より webサーバ仕組み – ざっくりリクエストに対して、レスポンスを返却する apache – マルチプロセス、マルチスレッドアーキテクチャ-マルチプロセス、スレッドの場合、1つのプロセスまたはスレッドがこれを処理する。そのため、1アクセスを処理している間は他のアクセスを処理できず、同時接続数分だけプロセスまたはスレッドが必要となる マルチプロセス、マルチスレッドの違いマルチプロセスはメモリ空間を個別に持つが、マルチスレッドはメモリ空間を共有する メモリの使用効率が高く、プロセス切り替え時にメモリ空間の切り替えが発生しないためコストが低くなる マルチ
細かすぎて伝わらないSSL/TLS
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
ソースからインストールしたApacheにモジュールを後から追加する方法 - yummy-yummy
ソースからインストールしたApacheにモジュールを再起動無しで追加する方法です。 mod_soの確認 Apacheのコンパイル時にDSO(mod_so)が組み込まれていないと、この方法では追加できないので、DSOが組み込まれているか以下のコマンドを実行し手確認します。 # /usr/local/apache2/bin/httpd -l一覧に「mod_so.c」がある事を確認してください。 無い場合は組み込まれていないので、Apacheの再コンパイルが必要です。 インストール(モジュールの追加) >|| # cd /usr/local/src/httpd-2.2.15/src/modules/ | 上記ディレクトリ内にApache標準モジュールのソースが保存されています。 rewrite module は httpd-2.2.15/modules/mappers にありましたので、その中に
apxsでapacheにモジュールを追加する
ここでは、apache のモジュールの追加方法を説明します。 モジュール本体をコンパイルして今のapacheに追加する手順です。 apacheの拡張モジュールをビルドして、インストールしてくれる、apxsという便利なコマンドを使用します。 apxsコマンドは、apacheをインストールした際に、標準でついています。 mod_soというモジュールがapacheに組み込まれていないと、モジュールの追加はできません。 apache2.2.3での説明です。 Last Update : 2006年08月22日 apxsでapacheにモジュールを追加するの手順 mod_so の確認 ソースの用意とコンパイル。(試しに、「 rewrite_module 」を追加) ビルドとインストール httpd.conf の編集 apache 再起動とモジュールの確認 1. mod_so の確認 apacheにmo
プロキシの自動設定方法
概要 ローカルネットなどでアクセスする場合、ローカルネット内の直接接続可能なサイトと、インターネットの直接接続できないサイトがあります。 これらのサイトを、すべてプロキシサーバ経由でアクセスすると、ネットワークやプロキシサーバの負荷が高くなり、レスポンスが低下してしまいます。 そこで、NO_PROXY指定を行うことで、ローカルネット内の直接接続可能なサイトはプロキシサーバを経由せず、直接接続するようにします。 しかし、大規模な会社ほど、その設定は複雑になってきます。 そこで、クライアントが自動設定できるようにします。 自動設定では、プロキシサーバの設定をサーバで管理するため、変更が発生しても、サーバの設定変更だけでできます。
Apache module mod_rewrite
URL を操作するためのスイス製のアーミーナイフ、mod_rewrite へようこそ! このモジュールは、(正規表現パーサに基づく)ルールベースの 書き換えエンジンを使い、要求された URL を適宜書き換えます。 サポートするルールの数、および各ルールを適用する際のルール条件 の数に制限はなく、本当にフレキシブルでかつパワフルな URL 操作 メカニズムを提供します。この URL 操作に先立ち、次のようにいろいろな 評価を行なうことができます。たとえばサーバ変数、環境変数、HTTP ヘッダ、 タイムスタンプ、さらに外部データベースの検索結果までを評価の対象として、 各種のフォーマットを使った粒度の高い URL マッチングを実現できます。 このモジュールは、サーバ単位のコンテキスト (httpd.conf) およびディレクトリ単位のコンテキスト (.htaccess) において (PATH-
ScriptAlias
Summary The directives contained in this module allow for manipulation and control of URLs as requests arrive at the server. The Alias and ScriptAlias directives are used to map between URLs and filesystem paths. This allows for content which is not directly under the DocumentRoot served as part of the web document tree. The ScriptAlias directive has the additional effect of marking the target dir
メンテナンス中画面を出す正しい作法と.htaccessの書き方 | Web担当者Forum
今回は、Webサイトやサービスをメンテナンス中にする場合に、どのURLにアクセスしても「メインテナンス中です」の画面を出す正しいやり方を、人間にも検索エンジンにも適切にする作法を主眼に解説します。 この週末の土曜深夜~日曜早朝にかけて、データセンターの設備メインテナンスのため、Web担を含むインプレスグループのほとんどのWebサイトが、どのURLにアクセスしても「メンテ中です」という表示になっていました。 なのですが、その実装がちょっと気になったので、「正しいメンテナンス画面の出し方」を説明してみます。 ※2010-01-16 Retry-Afterを指定するHeaderの指定を修正しました(コメント参照) ※2009-06-17 RewriteCondから [NC] 条件を削除しました(コメント参照) ※2009-06-16 Retry-Afterの記述をGMTに変更しました(コメント参
Apache 2.0の新機能とその実力(2/4)
Apache 2.0の新機能とその実力 ~Webサーバはどこまで進化するのか~ 一志 達也<ichishi@pochi.tis.co.jp> TIS株式会社 2001/5/12 2.0の新機能概説 それでは、Apache 2.0の新機能について簡単にサマリーしておくとしよう。このサマリーは、Apacheの公式サイトで公開された文書を参考にしているが、実際にはこれ以外にも新機能の追加があるかもしれない。 ■コアの変更 MPMとAPR、これらは「機能」ではないが、Apache 2.0を語るうえで欠かせない要素だ。 MPM(Multi Processing Module)は、2.0から使われるようになったApacheのコアである。これまで、Apacheのコアを示す言葉は特になかったが、今回のバージョンアップに伴い、その根幹をなすモジュールとしてMPMという言葉が使われるようになった。MPMの特徴
Apache2 を SSL に対応
Apache2 を SSL に対応 Secure Sockets Layer (SSL) ブラウザーと Web サーバー(httpd)との通信は、Hyper Text Transfer Protcol (HTTP) と呼ばれるプロトコルでデータをやり取りします。しかし、生データが流れるためインターネットショッピング等をする際に、個人情報が漏れるなどセキュリティー上不具合が生じます。そこで、データを暗号化する Secure Sockets Layer (SSL)という仕組みが考えられました。 Apache 2.0 を SSL対応にするために必要なモジュール 上記のモジュールをダウンロードして SSL対応の Apache を作る場合、ソースそのものが改ざんされていないかチェックしておくと良いでしょう。MD5, PGP Signatures が用意されているので、改ざんされていないかモジュールを
CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x - LowPriority
数日前からFull Disclosureで騒がれてたけどやっとCVE採番されたので。 以前のISC BINDの脆弱性(CVE-2011-1910)とかに比べるとzero-day状態に なったにも関わらずApache側の動きが遅い気もします。(表に見えてなかっただけ?) アドバイザリは以下 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/raw/%3C20110824161640.122D387DD@minotaur.apache.org%3E/ DoSだけといってしまえばそれまでですが、Apache HTTPDでは久しぶりに 現時点で出ている全バージョンが対象 (2011/
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://ssl-tools.verisign.com/
mod_sslの組み込み方法
【6】SSL対応 Apache のインストール/サーバー管理者論