CloudflareにGooglebotとBingbotを判別してもらう

清水 文行

Bingbotの範囲が公開されてます

2022-09-30 BingbotをDNS使わないで検証するのは大変という話で2日前に書きましたが、IPアドレスの範囲が公開(2021-11)されていたことに気付いたので構成しなおしました。Cloudflareを使わずとも自力でDNS無しでシンプルに簡易検証できます。

続きを読む

nginxでGooglebotとBingbotの検証 シンプル版

清水 文行

前置き

nginxでGooglebotの検証という記事を書きましたが、すぐ後にGoogleがGooglebotの範囲を公開しました。BingbotについてもVerify Bingbotの下の方で公開していることに気付き(Googlebotと同時期に公開した模様)それに合わせてシンプルに簡易検証ができるようになったので更新します。

続きを読む

YubiKeyとSSH – Cygwin, Git for Windows, GnuPG

清水 文行

macOS Ubuntu FreeBSD に続いてCygwinとGit for Windowsでed25519-sk鍵タイプを試していきます。 GnuPGは2021-11-17現在-sk鍵タイプに対応していないので、YubiKeyのOpenPGPモジュールにてEd25519の認証鍵と署名鍵を作ってGitHubで使うための操作です。

続きを読む

YubiKeyとSSH – FreeBSD

清水 文行

macOS Ubuntu に続いてFreeBSD12でed25519-sk鍵タイプを試していきます。

続きを読む

YubiKeyとSSH – Ubuntu

清水 文行

macOSに続いてUbuntu 20.04 LTSでed25519-sk鍵タイプを試していきます。

続きを読む

YubiKeyとSSH – macOS

清水 文行

前置きに続いて早速ed25519-sk鍵タイプを試していきます。

続きを読む

YubiKeyとSSH ed25519-skをmacOSとUbuntuとFreeBSDとCygwinで

清水 文行

しばらくぶりの鍵周りの整理でOpenPGP(GnuPG)の暗号用鍵を更新したり、フォールバック用に長いこと残しっぱなしにしていたOpenSSHのRSAの公開鍵を消して回っているなどしている時に、だいぶ前の話のようですがOpenSSH 8.2FIDO U2Fがサポートされ、ed25519-skおよびecdsa-skなる-skが付いた鍵タイプが追加されたという話にたどり着きました。

FIDO U2Fということは黒いYubiKey 5 NFCシリーズ(PDF)ではなくて、青いSecurity Keyシリーズ(PDF)でもOKということになことになります。これは試さねば! というわけでmacOSとUbuntuとFreeBSDとCygwinで試してみました。

続きを読む

業務改善 – 添付ファイルの削除 Outlook VBA

清水 文行

なにやらExcel VBAとかGoogle Apps Scriptなど、普段は触らないものたちを触る機会が多かった1年でした。開発環境がしんどいですが、業務をストレートに機械にやらさせるので、楽しいという本能が出やすくもあります。

それでもって添付ファイルをざっくり削除して場所を確保したいという課題を、個人的には使うことがないOutlookで解くことになりました。

続きを読む

ドメインごとのDNSサーバ指定 macOS, Windows, 他

清水 文行
プライベートな名前の解決やマルチホーミングのお供に。所謂split DNSをクライアント側で設定してみます。systemd-resolved含めて普通のOSは接続ごとのDNSサーバと検索ドメインをみて良きに処理してくれます。一方で接続切れた時に内部用の名前を外に流したくないとか、ちょこっとテストしたいとかいう場面もあります。毎回ググって情報にたどり着くのがめんどくなったので備忘です。IPのルーティングは別途必要。懐かしいですがフレッツのサービス情報サイトの.fletsとかもそうですね… Root Zone Database 流石に確保してないですか。.nttは復活してたのですね。

続きを読む

nginxでGooglebotの検証 簡易版

清水 文行
2022-09-30追記: この記事の後にGoogleがGooglebotの範囲を公開したので、もっと簡単に簡易検証できるようになっています。

Facebookと傘下が死んでいたようですがこの記事

Internet providers usually update their DNS records every few hours, but they can take several days to fully propagate.

はちょっと何言ってるか良く分かりませんでした。他人のRRをプロバイダがアップデートしている??? いずれにせよ全部の権威サーバ[abcd].ns.facebook.comがAS32934の中にいてサービスを提供しているサーバごとBGPテーブルから消え去ったのでネガティブレスポンスのキャッシュではなくてサーバに到達できないというエラーのキャッシュになります。キャッシュが1000くらい直列になった謎沼の底でもない限り数日かかることはないかと思います。

それはともかく本題のGooglebotの検証方法は公式には

となっています。User-agentも逆引き(rDNS, PTR RR)も詐称したい側が容易に詐称可能です。.google.com や .googlebot.com のA RRやAAAA RRはGoogleの権威サーバを乗っ取るかどこぞのキャッシュサーバを攻略しないといけないため通常は正しい、GoogleはUser-agent詐称しない、という前提のもと検証できることになります。

Apache HTTPDでは HostnameLookups Double と SetEnvIf を組み合わせて検証できます。nginxではNginx HTTP rDNS moduleを使ってできそうです。パッケージになっているディストリビューションが少ないので、配置しなければいけないサーバが多い場合はテスト目的以外で使うにはちょっと躊躇します。

そこでFCrDNS部分をざくっと省略版にしてAS番号で処理することにします。

続きを読む

クロス署名された証明書でエラー再び クロス署名と古いOpenSSL

清水 文行
早朝に一部のメールが滞留してたのでログを見たら。

Let’s Encryptの証明書搭載のサーバなので、9月も終わりついにIdenTrustのX3が失効したか。にしても証明書の更新し損ねてたのだろか… と証明書のファイルの日付見ても9月1日のものです。古いサーバなので5年前のあれと同じだろうと思いつきますが、せっかくなので確認します。その機械から

続きを読む

KeePassXCインストール まずパスワードマネージャがどんなものなのか知らない人がはじめる編

清水 文行
なんかこんなキャンペーンのバナーを見たことがある方もいらっしゃるかと思いますが、コラムが長すぎて入ってこない刺さらないとかいう話は置いといて、ここではとにかくパスワードマネージャであるKeePassXCのデスクトップ版を使い始めてどういうものなのかを知ることにします。わかる人はこちらを見た方が早いです。
続きを読む

rsyslog, syslog-ng から rsyslog, syslog-ng へTLSで転送 separate BSD security.* facility and auth.* facility on rsyslog, RFC5424 frames, etc...

清水 文行
諸サーバの引っ越し、統合にともなうsyslog収集設定周り備忘走り書き。

  • Legacy BSD (RFC3164)のフォーマット: PRI(facility & severity) HEADER(timestamp & hostname) MSG(program[pid]:…)
  • new IETF(RFC5424): HEADER(facility severity, timestamp, hostname, appname, pid, …) DATA MSG

続きを読む