Security – kana.me 要

CloudflareにGooglebotとBingbotを判別してもらう

2022-09-302022-10-11 清水文行

Bingbotの範囲が公開されてます

2022-09-30 BingbotをDNS使わないで検証するのは大変という話で2日前に書きましたが、IPアドレスの範囲が公開(2021-11)されていたことに気付いたので構成しなおしました。Cloudflareを使わずとも自力でDNS無しでシンプルに簡易検証できます。

続きを読む →

nginxでGooglebotとBingbotの検証シンプル版

2022-09-302022-11-03 清水文行

前置き

nginxでGooglebotの検証という記事を書きましたが、すぐ後にGoogleがGooglebotの範囲を公開しました。BingbotについてもVerify Bingbotの下の方で公開していることに気付き(Googlebotと同時期に公開した模様)それに合わせてシンプルに簡易検証ができるようになったので更新します。

続きを読む →

YubiKeyとSSH – Cygwin, Git for Windows, GnuPG

2021-10-282022-10-11 清水文行

macOS Ubuntu FreeBSD に続いてCygwinとGit for Windowsでed25519-sk鍵タイプを試していきます。 GnuPGは2021-11-17現在-sk鍵タイプに対応していないので、YubiKeyのOpenPGPモジュールにてEd25519の認証鍵と署名鍵を作ってGitHubで使うための操作です。

$ uname -a
CYGWIN_NT-10.0 gatherum 3.2.0(0.340/5/3) 2021-03-29 08:42 x86_64 Cygwin

1 2	$ uname -a CYGWIN_NT-10.0 gatherum 3.2.0(0.340/5/3) 2021-03-29 08:42 x86_64 Cygwin

続きを読む →

YubiKeyとSSH – FreeBSD

2021-10-262022-09-27 清水文行

macOS Ubuntu に続いてFreeBSD12でed25519-sk鍵タイプを試していきます。

% uname -a
FreeBSD principium 12.2-RELEASE-p7 FreeBSD 12.2-RELEASE-p7 GENERIC  amd64

% ssh -V
OpenSSH_7.9p1, OpenSSL 1.1.1h-freebsd  24 Aug 2021

% uname -a

FreeBSD principium 12.2-RELEASE-p7 FreeBSD 12.2-RELEASE-p7 GENERIC amd64

% ssh -V

OpenSSH_7.9p1, OpenSSL 1.1.1h-freebsd 24 Aug 2021

続きを読む →

YubiKeyとSSH – Ubuntu

2021-10-252021-11-22 清水文行

macOSに続いてUbuntu 20.04 LTSでed25519-sk鍵タイプを試していきます。

$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 20.04.3 LTS
Release:	20.04
Codename:	focal

$ ssh -V
OpenSSH_8.2p1 Ubuntu-4ubuntu0.3, OpenSSL 1.1.1f  31 Mar 2020

$ lsb_release -a

No LSB modules are available.

Distributor ID: Ubuntu

Description: Ubuntu 20.04.3 LTS

Release: 20.04

Codename: focal

$ ssh -V

OpenSSH_8.2p1 Ubuntu-4ubuntu0.3, OpenSSL 1.1.1f 31 Mar 2020

続きを読む →

YubiKeyとSSH – macOS

2021-10-152021-11-24 清水文行

前置きに続いて早速ed25519-sk鍵タイプを試していきます。

% sw_vers 
ProductName:	macOS
ProductVersion:	12.0.1
BuildVersion:	21A559
% ssh -V
OpenSSH_8.6p1, LibreSSL 2.8.3

% sw_vers

ProductName: macOS

ProductVersion: 12.0.1

BuildVersion: 21A559

% ssh -V

OpenSSH_8.6p1, LibreSSL 2.8.3

% sw_vers
ProductName:    macOS
ProductVersion:    11.6
BuildVersion:    20G165
% ssh -V
OpenSSH_8.1p1, LibreSSL 2.7.3

% sw_vers

ProductName: macOS

ProductVersion: 11.6

BuildVersion: 20G165

% ssh -V

OpenSSH_8.1p1, LibreSSL 2.7.3

続きを読む →

YubiKeyとSSH ed25519-skをmacOSとUbuntuとFreeBSDとCygwinで

2021-10-152022-06-09 清水文行

しばらくぶりの鍵周りの整理でOpenPGP(GnuPG)の暗号用鍵を更新したり、フォールバック用に長いこと残しっぱなしにしていたOpenSSHのRSAの公開鍵を消して回っているなどしている時に、だいぶ前の話のようですがOpenSSH 8.2でFIDO U2Fがサポートされ、ed25519-skおよびecdsa-skなる-skが付いた鍵タイプが追加されたという話にたどり着きました。

FIDO U2Fということは黒いYubiKey 5 NFCシリーズ(PDF)ではなくて、青いSecurity Keyシリーズ(PDF)でもOKということになことになります。これは試さねば! というわけでmacOSとUbuntuとFreeBSDとCygwinで試してみました。

続きを読む →

nginxでGooglebotの検証簡易版

2021-10-052022-09-30 清水文行

2022-09-30追記: この記事の後にGoogleがGooglebotの範囲を公開したので、もっと簡単に簡易検証できるようになっています。

Facebookと傘下が死んでいたようですがこの記事の

Internet providers usually update their DNS records every few hours, but they can take several days to fully propagate.

はちょっと何言ってるか良く分かりませんでした。他人のRRをプロバイダがアップデートしている??? いずれにせよ全部の権威サーバ[abcd].ns.facebook.comがAS32934の中にいてサービスを提供しているサーバごとBGPテーブルから消え去ったのでネガティブレスポンスのキャッシュではなくてサーバに到達できないというエラーのキャッシュになります。キャッシュが1000くらい直列になった謎沼の底でもない限り数日かかることはないかと思います。

それはともかく本題のGooglebotの検証方法は公式には

となっています。User-agentも逆引き(rDNS, PTR RR)も詐称したい側が容易に詐称可能です。.google.com や .googlebot.com のA RRやAAAA RRはGoogleの権威サーバを乗っ取るかどこぞのキャッシュサーバを攻略しないといけないため通常は正しい、GoogleはUser-agent詐称しない、という前提のもと検証できることになります。

Apache HTTPDでは HostnameLookups Double と SetEnvIf を組み合わせて検証できます。nginxではNginx HTTP rDNS moduleを使ってできそうです。パッケージになっているディストリビューションが少ないので、配置しなければいけないサーバが多い場合はテスト目的以外で使うにはちょっと躊躇します。

そこでFCrDNS部分をざくっと省略版にしてAS番号で処理することにします。

続きを読む →

クロス署名された証明書でエラー再びクロス署名と古いOpenSSL

2021-10-012022-01-07 清水文行

早朝に一部のメールが滞留してたのでログを見たら。

Sep 30 23:06:30 metal postfix/smtp[61376]: 7224324829CA: Server certificate not trusted
Sep 30 23:06:31 metal postfix/smtp[61376]: 7224324829CA: to=, relay=x, delay=5.4, delays=0.71/0.09/4.6/0, dsn=4.7.5, status=deferred (Server certificate not trusted)

1 2	Sep 30 23:06:30 metal postfix/smtp[61376]: 7224324829CA: Server certificate not trusted Sep 30 23:06:31 metal postfix/smtp[61376]: 7224324829CA: to=, relay=x, delay=5.4, delays=0.71/0.09/4.6/0, dsn=4.7.5, status=deferred (Server certificate not trusted)

Let’s Encryptの証明書搭載のサーバなので、9月も終わりついにIdenTrustのX3が失効したか。にしても証明書の更新し損ねてたのだろか… と証明書のファイルの日付見ても9月1日のものです。古いサーバなので5年前のあれと同じだろうと思いつきますが、せっかくなので確認します。その機械から

> openssl version
OpenSSL 1.0.2u-freebsd  20 Dec 2019

> openssl s_client -showcerts -connect x:25 -starttls smtp
CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
---

> openssl version

OpenSSL 1.0.2u-freebsd 20 Dec 2019

> openssl s_client -showcerts -connect x:25 -starttls smtp

CONNECTED(00000003)

depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3

verify error:num=10:certificate has expired

notAfter=Sep 30 14:01:15 2021 GMT

---

続きを読む →

KeePassXCインストールまずパスワードマネージャがどんなものなのか知らない人がはじめる編

2020-03-082021-11-16 清水文行

なんかこんなキャンペーンのバナーを見たことがある方もいらっしゃるかと思いますが、コラムが長すぎて入ってこない刺さらないとかいう話は置いといて、ここではとにかくパスワードマネージャであるKeePassXCのデスクトップ版を使い始めてどういうものなのかを知ることにします。わかる人はこちらを見た方が早いです。
続きを読む →

rsyslog, syslog-ng から rsyslog, syslog-ng へTLSで転送 separate BSD security.* facility and auth.* facility on rsyslog, RFC5424 frames, etc...

2019-12-192021-09-18 清水文行

諸サーバの引っ越し、統合にともなうsyslog収集設定周り備忘走り書き。

Legacy BSD (RFC3164)のフォーマット: PRI(facility & severity) HEADER(timestamp & hostname) MSG(program[pid]:…)
new IETF(RFC5424): HEADER(facility severity, timestamp, hostname, appname, pid, …) DATA MSG

続きを読む →