Category: Network

Let’s Encrypt導入状況

さて,Let’s EncryptによるSSLの運用は,まずまずです.一番手こずったというか,今も完全には機能していないのがLDAPです.

  • IPv4では,SSL接続がうまくいく(以下,特に注釈なければSSL接続です)
    • 家庭内LANからも外部からも接続できる
  • IPv6では,同じマシン::1からの接続は,SSL接続でうまくいく
    • iPhoneからは,家庭内LANのIPv6でも,外部からのIPv4からも接続できる
      • ただし,検索には20秒くらいかかる
    • iPadからは,同じ設定でも家庭内LANのIPv6でつながらない
    • PCからは,Thunderbirdのアドレス帳によりIPv4で接続した時のみ接続できる.
    • Macの”連絡先”は,家庭内LAN内のIPv6, 外部からのIPv4,いずれもつながらない
      • ただし,この”連絡先”も,SSLを外すとちゃんと機能する
      • 同じMacからldapbrowserを使うと,IPv4ではつながるがIPv6ではつながらない(SSL on)

という,状況です.アプリケーションの相性と,tcp-wrapperの特性とかあるようで,ちっとも解りません.もうちょっと条件を整理しないといけないですね.

関連記事

 

 

ただし,いずれの接続も第三者に対してはiptablesで制限かけてます.
Slackware64.

Let’s Encryptの証明書取得に成功

サブドメイン名が上限数に達しても,毎日前のデータがクリアされるからということで,暇があれば,certbotコマンドを使って,証明書の取得に挑んだところ,3日目ぐらいにして,なんとか当サイトののドメイン名 je1sgh.mydns.jp についてはLet’s Encryptの証明書が得られました.

この表のドメイン名は,どういうわけか,CAcertと相性が悪く,何度試してもCAcertの証明書は得られませんでした.

そこで,SSL接続のためにもう一つのドメイン名をキープしているのですが,こちらは,いくつかのWeb browserや,ウィルスソフトが,危険サイト扱いします^^; まさに,裏ドメイン名と呼ぶにふさわしいです.

逆に,そういう訳でこの裏ドメイン名には人が近寄りにくいので,自分専用のクラウドとして活用してきました.こちらはCAcertですんなり証明書を発行してくれるのです.

しかし,この裏ドメインのおおもとには,数万ものサブドメインがあるとのことで,毎日Let’s Encryptの証明書取得に挑んでも,いつ証明書がとれるか,見当もつきません.

表ドメイン名に一本化する時期が来たのかなと思います.もう少し考えて結論出します^^;

関連記事

 

Let’s Encrypt導入予定

先にLet’s Encryptを導入したサイト,特に大きな問題はないようです.AVASTは,Let’s Encryptを認めてくれないようで,警告が出ますが^^;

当サイトでは,これまで,CAcertによるSSLサーバーを動かしてきましたが,おおっぴらにしていなくて,自分専用cloud的サービスに使って来ました.

来週あたりにLet’s Encryptに切り替えて,しばらく様子を見て,最終的にはこのWordPressもSSLにしちまおうかと思います.自分向けのリンクを全部書き直さなければならないのは,ちょっと難儀ではありますが.

関連記事

 

辞書攻撃

先日,サーバーに高負荷がかかっていることに気がつきました.調べてみると,連続的にこのWordPressにログインしようとしています.クラックした,ユーザーとパスワードの組み合わせを連続して試みる辞書攻撃です.

IPv4のIPアドレスをブロックしたら,IPv6で攻撃を続けてきます.はじめてIPv6をブロックしました.

今月,1,000回以上,ログインをかけてきた回数とIPアドレスは次の通りです.

ukattacker のコピー

195から始まるもの以外はすべてウクライナの同一人物(またはグループ)と思われます.

昔は辞書には1,000以上のユーザー/パスワードの組み合わせがある,といわれてましたが,今は一桁多いようです.

追記

2002::/16は,6to4というIPv6 <-> IPv4をリレーするためのアドレスだそうです

5b c8 c 84は,91.200.12.132です.

いろいろ,手間のかかることをしてきやがります^^;;

しかるべき変換ルーターを介している.

id_rsaからppkを作成

どうってことない話ですが,ネット検索すると,ppkファイルからsshのキーファイルを作る方法は山ほど見つかりますが,その逆がなかなか見つからないので,メモっときます.

ppkファイルは,PuTTYで使用する鍵の型式なので,基本的にはPuTTYかその付属ツールでしか作れないようです.

わたしの場合は,WindowsからSSHでつなぐなんてことはしないので,OpenSSHのid_rsa鍵は各マシンに作っていますが,ppkファイルはありません.

ppkファイルが必要になったのは,FileZillaでキーファイル認証のsshホストにつなぐためです.

まず,PuTTYのソースからbuildします.今どきのLinuxディストロ上であれば簡単にできると思います.できあがったputtygenというツールを使います.

puttygen ~/.ssh/id_rsa -O private -o マシン名など.ppk

であっさりできます.

Mac OS XではGTKの関係で,PuTTY本体のbuildができませんが,puttygenはできます.ただし,Makefileのうちの,

WARNINGOPTS = -Wall -Werror

WARNINGOPTS = -Wall

とする必要がありました

あくまで,当社調べです.

少なくともわたしの環境では.