JuLog

国勢調査、インターネットで回答しました。

なんか起きないかなーと、良からぬ期待をしながら
ポチポチと回答入力。。。。。

特に何も起きず5分で完了。

ちょっと残念でした。

いただきものです。

おまけに納豆味のアメが入っているとのこと

納豆は好きですが、怖くて食べられない。。。

個別に対策してきた脆弱性についてもまとめ。

脆弱性の有名どころと対策

Heartbleed

・OpenSSLのバージョン 1.0.1g以降を使用すること

POODLE

・SSLv3の使用を中止。併せてSSLv2も同様に使用中止
※Apache2.2をmod_sslの場合
・SSLProtocol に「-SSLv2 -SSLv3」を追加する。

FREAK

・Export Cipherの使用を中止。
※Apache2.2をmod_sslの場合
・SSLCipherSuite に追加「!EXPORT」
・SSLCipherSuiteから以下のものを除外することが目的

• EXP-DES-CBC-SHA
• EXP-RC2-CBC-MD5
• EXP-RC4-MD5
• EXP-EDH-RSA-DES-CBC-SHA
• EXP-EDH-DSS-DES-CBC-SHA
• EXP-ADH-DES-CBC-SHA
• EXP-ADH-RC4-MD5

config設定

いくつか前提

• Apache2.2系
• Apache-sslではなくmod_ssl
• Apache起動時にパスフレーズの確認は許容

発行された証明書をApacheの設定ファイルに反映する。

• SSLCertificateFile：発行されたSSLサーバ証明書を指定
• SSLCertificateKeyFile：サーバ証明書作成時に使用した秘密鍵を指定
• SSLCertificateChainFile：発行された中間CA証明書＋クロスルート証明書を指定

クロスルート証明書についてもう少し掘り下げてみた。

証明書の階層構造が異なるらしい。

3階層

・サーバ証明書 – 中間CA証明書 – ルート証明書

4階層

・サーバ証明書 – 中間CA証明書 – クロスルート証明書 – ルート証明書
 

ルート証明書は各ブラウザに組み込まれているため
中間CA証明書を参照できない端末がクロスルート証明書を必要とする。

PCのブラウザは、セキュリティパッチやバージョンアップなどの際に新しいルート証明書が提供されているが、
携帯端末等は、ルート証明書の更新機能がない場合や、そもそも組み込まれているルート証明書が少ない場合、クロスルート証明書を経由する。

相互認証なることを行い認証するので、ルート証明書との相互認証により警告なしで使用可能とある。

脆弱性対策については別途

SSL証明書の更新を行うことになった。
今回は証明書のハッシュアルゴリズムをSHA-1からSHA-2に変更する必要があるとのこと。

変更理由はここがわかりやすい。

各社対応時期に多少の違いはあれど、2015年中の対応が必要で、ざっくり言うとこんな手順

1. 乱数を生成
2. 乱数から秘密鍵生成
3. 秘密鍵を使用してCSRファイル生成
4. 認証局へSSLサーバ証明書を発行依頼
5. 発行された証明書の取り込み

乱数を生成

#openssl sha256 /var/log/messages > randam.dat

• 乱数として使用するだけなのでmd5でも問題ない
• 「/var/log/messages」としているが「/dev/random」などでも問題ない

秘密鍵の生成

#openssl genrsa -aes256 -rand randam.dat 2048 > private.key

• 作成したrandam.datを元にパスフレーズ付きの秘密鍵を生成する
• デフォルトで生成される鍵の長さ1024Bitだが、長さ指定で2048Bitの指定である場合が多い
• 「-rand」オプションを使用しないことも可能だがその場合、乱数取得元が未確認。「/dev/random」等か？
• 秘密鍵が平文のままだとマズイのでAESでパスフレーズ付きに暗号化する

生成された秘密鍵を使用してCSRを生成する。

#openssl req -new -key private.key -sha256 -out server.csr

• 「-sha256」が今回の本命で、いくつかあるSHA-2のうちSHA-256を選択している。
  他との主な違いはハッシュ値長の違い。
• CSR:サーバ証明書を発行要求する署名（Certificate Signing Request）
• 以下このマンドで生成したCSRファイルの内容を確認することが出来る。

#openssl req -in server.csr -text

認証局へSSLサーバ証明書を発行依頼

• 販社のサイトなどで発行作業

発行された証明書の取り込み

• また別途。

いつもながら何処で探してくるのか不思議である。

意外と美味しいのだなこれが。

自宅の洗面台が残念なコトになった。

先日、洗顔中にギックリ腰に見舞われたが、
今回は洗顔中、気がつくと足元がなんか冷たい。

原因は、水栓についているジャバラの部品が経年劣化のため、
激しく水漏れしている。

劣化している部分だけ取り替えて終了かと考えていたが、
見積もりしてもらうと中々良い数字になる。

ホームセンターで買い物の際に、洗面台を展示している箇所があり
色々見ていると工事したくなってきた欲しくなってきた。

以前シンクに物を落として、少し欠けていることもあり、
思い切って全部自分で交換すると決めた。

ざっと思いつく課題
・持ち帰りの可否→車に乗れば持って帰る、無理なら配送
・交換手順→Google先生が知っている
・古い洗面台の廃棄→個人作業なら市の大型粗大ごみ回収サービスが利用可能

この辺を確認して、ホームセンターでいざ購入。
車には乗ったし、交換手順は確認した。大型ゴミ回収手配も完了。
いざ実施してみると。。。全然楽勝。

多少の切った張ったは必要ですが、半日かからず交換完了。

水漏れもなく、しっかり水平出てるし全く問題なし。

一番の問題は「腰」でした。ホーローの洗面台は重い。

朝洗顔中、いきなり来た。

噂以上の痛み。

動けない。寝ても、座っても、立っていても辛い。

近所の整骨院で施術してもらい、とりあえず動ける位まで復活。

翌日以降、午前中は平気だが、夕方疲れてくるとだんだん重くなる。

定期的に通院して良くなることを期待。

前回よりゆるいものつながりで。

常駐先のエースがこれにハマっている様子。

まずい、、、見始めたら止まらない、、、