はてなブックマーク

ホスティングサービスの仕様に、独自SSL / 共用SSL という表記があります。いずれも ブラウザで表示されるページを SSLにより暗号化する機能です。特にネットショップ運用を前提とした場合、重要なチェックポイントとなりますので、この違いについて説明します。 【独自SSL】 対応のホスティングサービス. ネットショップ運営者が、法人（個人）名義で取得したSSLサーバ証明書（有料）を利用してサイトをSSL暗号化する方法です。独自ドメインでのSSL暗号化が可能になります。 http://hogehoge.net/ 非暗号化　（独自ドメイン） https://hogehoge.net/　SSL 暗号化　（独自ドメイン） クレジットカード会社との直接加盟店契約によるクレジットカード即時決済を行う必要があるネットショップ運用では必須となります。 SSL 暗号化を行うために必要なサーバ証明書は、基本的

公衆無線LAN サービスとは、無線LANアクセスポイントを街中のいたる処に設置して、出先でもLAN による高速インターネット環境を提供するサービスです。 公衆無線LANサービスのタイプ 公衆無線LAN サービス には、大きく２つのタイプに分類できます。通信事業者が提供するサービス（有料）と、個人が所有する（ISP契約）回線を開放するタイプ（殆どは無料）に大別する事が出来ます。 通信事業者が提供する 公衆無線LANサービス. インターネット接続事業者など通信事業者が、会員、又は一般に提供する有料の公衆無線LANサービスです。 HOTSPOT （ホットスポット）>>>　NTT コミュニケーションズ . NTT コミュニケーションズ が提供している公衆無線LANサービスです。空港、駅、ホテル、図書館、ビジネス関連施設など公共性の強いエリアに展開しています。無線暗号化は会員制のため ダイナミックW

Snort 起動オプションの設定 (/etc/sysconfig/snort) Snort-2.6.x ??より、snort の起動スクリプト(/etc/rc.d/init.d/snortd)は、/etc/sysconfig/snort を参照するように変更されています。 配付されている過去のバージョンも調べましたが、以前配布されていたソースと異なり、変更されていました。ソース自体も rpm を意識した内容となっています。 アップグレードが大変なので簡単にして欲しいのですが配付されている パッケージ（rpm / src.rpm） は矛盾している所が散見します。 INTERFACE= 起動因数に関しては、/etc/sysconfig/snort で指定します。 /etc/sysconfig/snort で指定可能な起動オプションは以下の通りです。

「パーみっちょん？なんですかそれ？」 な方向けにわかりやすく説明してみました。元ネタは以下のページです。 ムービーのまんまです、、 Linux Security http://www.linuxsecurity.com/images/stories/permissions.html ディレクトリgomiを作る $ mkdir gomi ディレクトリgomiへ移動 $ cd gomi $ ls file1 2 3 を作成 $ touch file1 file2 file3 ディレクトリの内容を表示 $ dir file1 file2 file3 一覧を表示する $ ls -la drwxrwxr-x drwx------ -rw-rw-r-- file1 -rw-rw-r-- file2 -rw-rw-r-- file3 見方は以下のとおりです。 -rw-r--r-- -rwxrwxrwx

phpPgAdmin の導入とセットアップ ～ CentOS-4.5 phpPgAdmin はブラウザ経由で PostgreSQL サーバを操作可能なPHP で書かれたブラウザ上で動作するプログラムです。MySQL で言うところのphpMyAdminに相当します。 SSH など psql コマンド操作を提供しない環境においては、phpPgAdmin などのツールをインターフェイスとしてユーザーに提供する必要があります。 セキュリティに関して phpPgAdmin (WEBサーバ)と PostgreSQL サーバが同一ホストでPostgreSQL が自ホストの接続に限定している場合、Webサーバを経由して操作するため Webサーバに接続可能なホスト全てが接続出来てしまうことになります。 そのため、PostgreSQL の認証方式や phpPgAdmin を設置するWebサーバの公開ディレクト

一般家庭、ビジネス向けの無線LAN に求められるセキュリティは、"クライアントとアクセスポイント間の盗聴" と "アクセスポイントへの不正侵入" 防止機能です。 無線LAN のセキュリティ は規格化されており、既にセキュリティとしては意味を成さない規格や脆弱性を持つ規格も 2006年 中現在も発売されています。 ここでは、無線LAN 製品を購入する上で抑えておきたいセキュリティに関する規格について説明します。これらの機能を有する無線LAN 製品を購入する必要があります。 PSK認証　（不正侵入対策）. 無線LAN アクセスポイントへのアクセス制限は、こちらで説明しているように複数の対策があり、併用する必要があります。中でも重要なのがネットワーク認証です。 現在発売されている無線LAN アクセスポイントに実装されるネットワーク認証方式に PSK 認証方式があります。これは共通鍵により無線通信

サーバー管理者がクライアント（ローカル）の要求に応じて PostgreSQL データベースアカウントの発行作業を例に説明します。便宜上、PostgreSQL データベースアカウントの発行はスーパーユーザーである postgres を使用しています。 phpPgAdmin でSQLユーザーを追加する phpPgAdmin を利用したデータベースユーザーの追加は以下のようにします。ここでは便宜上、postgres を使用しますが、サーバー管理者が phpPgAdmin を利用したユーザー管理を行う場合はサーバ管理者専用のスーパーユーザーを作成して行う事をお勧めします。 ちなみに postgres で phpPgAdmin を利用する場合は、 phpPgAdmin.conf の設定で $conf['extra_login_security'] = false; と設定する必要があります。 セキュ

ここでは不特定多数に公開する WEB サーバーを対象としておりません。独自CA による WEBサイトの暗号化は限られた用途のみに限定する必要があります。 クライアント認証が目的の一つなので 自CA（認証局）は立ち上げている事が前提となります。まず、サーバー証明書の作成から行います。 サーバー証明　署名要求書（CSR）を作成 今回、クライアント認証が導入目的の一つなので自CA署名による証明書の発行となります。SSLサーバーに必要なサーバー証明書を得るために、サーバー管理者は自CA管理者に渡すCSRを作成します。 Apacheの証明書カレントディレクトリは /etc/httpd/ssl としました。 # mkdir /etc/httpd/ssl # chmod og-rwx /etc/httpd/ssl # cd /etc/httpd/ssl # openssl req -new -nodes

eth1 に接続された　ローカル クライアント 192.168.1.0/24 をインターネットへ接続できるように、iptables に新しい natテーブル PREROUTINGチェーンを追加します。ここでは、ADSL回線のように動的に割当てられるルーター（PPPoE） のケースと異なり、eth1（192.168.1.56） の 静的 IPアドレスをマッピング が目的なので、送信元のアドレス変換を行う事になります。 以下の iptables コマンドを実行します。nat テーブルを指定する必要があるので注意して下さい。 これで eth1 → eth0 への送信元のアドレスは、eth0 に割当てられた 192.168.0.56 に変換され、eth0（192.168.0.56） のゲートウェイである ルーター（192.168.0.1） へ通り抜けるようになります。 IPマスカレード であるため

DAViCAL サーバーのセットアップ手順について説明しています。公開されているドキュメントはバージョンが古く、現在配布されているバージョンと内容が一致していないので注意が必要です。（データベース名そのものもやdbユーザー名も変わってます・・・） ここで確認した Linux 環境 CentOS-4.7 （RHEL4系） にてセットアップを行っています。CentOS-4.x では PHP4、PostgreSQL-7.4 であるため DAViCAL の動作条件を満たしていませんので、CentOS Plus リポジトリより PHP-5関連、PostgreSQL 関連をアップデートする必要があります。 PHP4 は既にサポートが終了しており、セキュリティメンテナンスも 2008年 8月で終了しています。PHP5への以降により、稼動中のサービスに不具合が出る可能性もあるため、慎重に判断してください。

このページでは OpenX （Openads）の基本的な概念とインターフェイスについて簡単に説明します。全ての機能を試した訳ではないので要点だけを掻い摘んで説明しています。詳細はドキュメントを参照して下さい。 OpenX （Openads） の概念 OpenX は広告代理店広告主広告掲載者に対して様々な機能が提供されています。現在、誰の立場で作業しているか明確にしておかなければ混乱すると思います。 ここでは WEBサイト運営者のみが広告配信システム OpenX （Openads） を利用する目的、目線で紹介しています。 以下の３つの要素から成り立っています。順にポイントを説明します。 Agency Management （広告代理店）. 広告主、広告掲載者の間に立つ広告代理店の役割を持ちます。OpenX のシステムそのものが広告代理店として機能します。 また、管理者（Administrat

これらの設定は、/etc/sysconfig/networking ディレクトリに記録されますが、RHEL4 の説明によれば、手動による修正は推奨されていません。手動でこれらの設定ファイルを編集する場合、このツールを誤って起動、実行した場合、記述内容が正しくても初期化さ れる事があります。 X-Window 備え付け GUI システム設定ツールについて これらの設定ツールは、設定ファイルを直接編集する必要がないように作られているため、初心者でも比較的簡単に設定を行う事が出来ます。 しかし、微かな調整まで出来ない、自分で設定を書いた場合、内容に間違いがなくても設定ツールの書式ルールと異なるため、勝手に削除されりする事も あり、敬遠する人は多いと思います。特に Webmin などのブラウザ操作で各種サーバー設定を行うツールは、最悪、サーバー アプリケーション が起動しなくなる場合もあり、この場

本稿では CalDAV サーバー DAViCAL の導入とカレンダー情報の共有手順について説明します。 CalDAV について CalDAV とはカレンダー情報の標準フォーマットである iCalendar （.ics） を WebDAV サーバー上に保存する事でカレンダー共有を実現する比較的新しい標準プロトコルです。WebDAV （httpプロトコル）を利用するため、ネットワーク環境に依存せず導入し易い特徴があります。 カレンダー情報へのアクセス制限は WebDAV のファイル管理、および Webサーバーの接続制限を利用する事になりますが、複数のカレンダーユーザー管理や共有を行うためには、フロントエンドで橋渡しを行う何らかの CalDAV サーバーが必要になります。 本稿で紹介してるカレンダー共有用途 カレンダー情報をネットワークで共有するには、技術面で幾つかの選択肢があります。また、クラ

ここでのクライアントとは、メインのインターネットサーバーとなります。SSH サーバーに対する認証方法はいくつかありますが、ここではDSA（RSA）による認証鍵を使用した認証を行います。つまり、有効な鍵がなければ、セッションが確立できない認証方式です。 クライアント側の準備 流れとしては、サーバー管理者から証明書を発行する HTTPSのクライアント認証や、Zebedee とは違い、クライアント（ユーザー）側から公開鍵を提出し、サーバー管理者がそれを受理することで本人確認を行います。 Open SSH プロトコル2 DSA鍵の場合 先に説明したとおり、鍵にはプロトコル1　プロトコル2　があります。基本的に互いに互換はありません。鍵を作成する場合は、接続先がどのプロトコルなのか知っておく必要があります。ここでは、プロトコル2　に限定しています。 接続を行なうユーザーになり、ユーザーのホームディレ

ここでは、独自ドメインによる SSL ウェブサイト運用に必要な SSLサーバ証明書の仕組みと取得方法について説明します。 ショップの身元を証明・保証する仕組み インターネット上に存在するネットショップは　"バーチャル（仮想）店舗" であり、実際に店舗は存在する訳ではありません。そのため、利用者はショップ運営者が実在するのか第三者が証明する技術的な仕組みが必要となりました。 通信経路の暗号化と、公の機関（第三者）が、サイトの身元保証を行う仕組みがNetscape 社の開発したSSL暗号化の仕組みであり、今日の E ビジネスを支えています。 公的認証機関（CA）から証明書を取得に関して SSL暗号化は、単に通信を盗聴、改竄から守るだけではありません。SSL暗号化に使用する証明書は公の認証機関（CA）から取得しますが、取得には身元を証明するための審査が必要となります。 証明書の種類 証明書には目

このコンテンツは、これからネットショップ運用を考えている方を対象に、様々な視点から実体験に基づくアドバイスを紹介しています。 『 これからインターネットを活用して商品を販売したいけど、インターネットを始めて間がないので良く分からない 』　といった主婦やサラリーマンのサイドビジネス、自営業を業む小、中規模経営者の方を対象としています。 一般の方には判断が難しいと思われる技術的なポイントや、個人情報保護に関連するセキュリティに関する情報も公開しています。ネットショップ運用をテーマにしていますが、セキュリティに関するコンテンツ はインターネット利用者（個人・ビジネスユーザ） に共通する内容となっています。 更新案内はこちら ネットショップ開業 基礎知識編. ネットショップ構築にあたって必要となる技術に関して、はじめてネットショップ運用を考えている方を対象に説明します。目的にあったネットショップ形

ここでは不特定多数に公開する WEB サーバーを対象としておりません。独自CA による WEBサイトの暗号化は限られた用途のみに限定する必要があります。 クライアント証明書の発行 クライアント認証に必要な証明書を作成します。認証の際、ユーザーが提示しなければならない証明書です。クライアントが有効な証明書を提示しない限り、Apache はセッションを確立しないため、ツールを利用した総当り攻撃を無効にする事が出来ます。 ここではサーバー管理者が Apche WEBサーバー上で動作する管理ツール、例えば、phpMyAdmin などの WEBインターフェイスを外部ネットワークから接続する際にセキュリティ・レベルを引き上げる目的で利用します。 クライアント証明　署名要求書（CSR）を作成 手順としてはサーバー署名要求と全く同じですが、CAで署名する際の nsCertType が異ります。 ユーザー証

このステップでは先のステップで構築したAPOP受信、AUTH SMTP MD5 SMTP認証メールサーバーに対し、SSLによる暗号化認証を実装します、これにより、Outlook / Netscape 等、幅広いメーラーにおいて暗号化認証が行えるようになります。 現在、APOP、MD5 AUTH SMTP 認証は脆弱性が存在するため、POP Over SSL、SMTP Over SSL のみに限定すべきです。 STARTTLSについて SendmailのSTARTTLSを有効にすることで、SSL SMTPサーバーとして機能するようになります。これにより、HTTPS同様、経路をSSL暗号化により保護する事が出来ます。Netscapeや Outlookは、平文認証しか行えませんが、SSL通信をサポートします。 暗号化されたセッションを確立し通信を行うため、平文認証であっても経路そのものが暗号化さ

Swatch の設定ファイルは実行させるユーザーのホームディレクトリに設置します。ここではユーザーswatch を新規に作成し、Swatch を実行する例で説明します。 /home/swatch/.swatchrc ユーザーの作成とログファイルの読み込み権限 ユーザーtaro で Swatch を走らせる場合は、監視するログファイルに対して、ユーザーtaro に読み込み権限が必要になります。rootユーザーで実行すればその必要はありませんが、セキュリティ上問題なので、taroにログファイルの読込み許可を与えます。 新規に secureグループを作成し、secureグループに所属するユーザーswatchを作成します。rootユーザーで行います。

WEB サイトの運用目的によっては、ウェブページを暗号化により保護する仕組みが必要になります。ここでは WEBサイトの暗号化に必要な機能について注意すべきポイント、セキュリティに関する機能について説明します。 共用 SSL と 独自（専用） SSL 暗号化で保護された WEB サイトは通信経路ごと暗号化されます。そのため、ウェブページに記述された文章すべてを盗聴から守ることが出来るようになります。 SSL暗号化で保護された WEB サイトのアドレスは https:// で始まります。 暗号化の仕組み WEB サイトを暗号化するには、SSLサーバー証明書が別途必要になります。この証明書は、WEB サーバーとの暗号化通信を可能にするのと同時に、サーバーの身元保証を行っています。 つまり、１つのドメイン、正確には IP アドレスに対して証明書が必要となるため、１台のコンピュータ（サーバ）を共有す

実際に Snort が検出した不正パケットを出力するデータベースを準備します。 初めての方のために、先に MySQL について少し補足しておきます。 Snort 用データベースを作成する ～ MySQL MySQL DBサーバ構築、mysql コマンドについてはここでは割愛します。MySQL ユーザに関する理解、権限など一定の知識は必要です。 MySQL を初めて利用される方は はじめて MySQL を利用する場合は、必ず root パスワードを設定するようにして下さい。これは、Linux のスーパーユーザの root ではなく、MySQL ユーザの root の事です。MySQL 内で MySQL ユーザを管理しています。Linux ユーザと混同しないで下さい。 参照 => MySQL 4.1 リファレンスマニュアル :: 4.4 MySQL のユーザ管理 MySQL root パスワー