カテゴリー: Security

CloudflareにGooglebotとBingbotを判別してもらう

清水 文行

Bingbotの範囲が公開されてます

2022-09-30 BingbotをDNS使わないで検証するのは大変という話で2日前に書きましたが、IPアドレスの範囲が公開(2021-11)されていたことに気付いたので構成しなおしました。Cloudflareを使わずとも自力でDNS無しでシンプルに簡易検証できます。

続きを読む

nginxでGooglebotとBingbotの検証 シンプル版

清水 文行

前置き

nginxでGooglebotの検証という記事を書きましたが、すぐ後にGoogleがGooglebotの範囲を公開しました。BingbotについてもVerify Bingbotの下の方で公開していることに気付き(Googlebotと同時期に公開した模様)それに合わせてシンプルに簡易検証ができるようになったので更新します。

参考: GPT botの範囲: 各botの範囲はお互いに重複している部分があります。

続きを読む

YubiKeyとSSH – Cygwin, Git for Windows, GnuPG

清水 文行

macOS Ubuntu FreeBSD に続いてCygwinとGit for Windowsでed25519-sk鍵タイプを試していきます。 GnuPGは2021-11-17現在-sk鍵タイプに対応していないので、YubiKeyのOpenPGPモジュールにてEd25519の認証鍵と署名鍵を作ってGitHubで使うための操作です。

$ uname -a
CYGWIN_NT-10.0 gatherum 3.2.0(0.340/5/3) 2021-03-29 08:42 x86_64 Cygwin
続きを読む

YubiKeyとSSH – Ubuntu

清水 文行

macOSに続いてUbuntu 20.04 LTSでed25519-sk鍵タイプを試していきます。

$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 20.04.3 LTS
Release:	20.04
Codename:	focal

$ ssh -V
OpenSSH_8.2p1 Ubuntu-4ubuntu0.3, OpenSSL 1.1.1f  31 Mar 2020
続きを読む

YubiKeyとSSH ed25519-skをmacOSとUbuntuとFreeBSDとCygwinで

清水 文行

しばらくぶりの鍵周りの整理でOpenPGP(GnuPG)の暗号用鍵を更新したり、フォールバック用に長いこと残しっぱなしにしていたOpenSSHのRSAの公開鍵を消して回っているなどしている時に、だいぶ前の話のようですがOpenSSH 8.2FIDO U2Fがサポートされ、ed25519-skおよびecdsa-skなる-skが付いた鍵タイプが追加されたという話にたどり着きました。

FIDO U2Fということは黒いYubiKey 5 NFCシリーズ(PDF)ではなくて、青いSecurity Keyシリーズ(PDF)でもOKということになことになります。これは試さねば! というわけでmacOSとUbuntuとFreeBSDとCygwinで試してみました。

続きを読む

nginxでGooglebotの検証 簡易版

清水 文行
2022-09-30追記: この記事の後にGoogleがGooglebotの範囲を公開したので、もっと簡単に簡易検証できるようになっています。

Facebookと傘下が死んでいたようですがこの記事

Internet providers usually update their DNS records every few hours, but they can take several days to fully propagate.

はちょっと何言ってるか良く分かりませんでした。他人のRRをプロバイダがアップデートしている??? いずれにせよ全部の権威サーバ[abcd].ns.facebook.comがAS32934の中にいてサービスを提供しているサーバごとBGPテーブルから消え去ったのでネガティブレスポンスのキャッシュではなくてサーバに到達できないというエラーのキャッシュになります。キャッシュが1000くらい直列になった謎沼の底でもない限り数日かかることはないかと思います。

それはともかく本題のGooglebotの検証方法は公式には

となっています。User-agentも逆引き(rDNS, PTR RR)も詐称したい側が容易に詐称可能です。.google.com や .googlebot.com のA RRやAAAA RRはGoogleの権威サーバを乗っ取るかどこぞのキャッシュサーバを攻略しないといけないため通常は正しい、GoogleはUser-agent詐称しない、という前提のもと検証できることになります。

Apache HTTPDでは HostnameLookups Double と SetEnvIf を組み合わせて検証できます。nginxではNginx HTTP rDNS moduleを使ってできそうです。パッケージになっているディストリビューションが少ないので、配置しなければいけないサーバが多い場合はテスト目的以外で使うにはちょっと躊躇します。

そこでFCrDNS部分をざくっと省略版にしてAS番号で処理することにします。

続きを読む

クロス署名された証明書でエラー再び クロス署名と古いOpenSSL

清水 文行
早朝に一部のメールが滞留してたのでログを見たら。

Let’s Encryptの証明書搭載のサーバなので、9月も終わりついにIdenTrustのX3が失効したか。にしても証明書の更新し損ねてたのだろか… と証明書のファイルの日付見ても9月1日のものです。古いサーバなので5年前のあれと同じだろうと思いつきますが、せっかくなので確認します。その機械から

続きを読む

KeePassXCインストール まずパスワードマネージャがどんなものなのか知らない人がはじめる編

清水 文行
なんかこんなキャンペーンのバナーを見たことがある方もいらっしゃるかと思いますが、コラムが長すぎて入ってこない刺さらないとかいう話は置いといて、ここではとにかくパスワードマネージャであるKeePassXCのデスクトップ版を使い始めてどういうものなのかを知ることにします。わかる人はこちらを見た方が早いです。
続きを読む

rsyslog, syslog-ng から rsyslog, syslog-ng へTLSで転送 separate BSD security.* facility and auth.* facility on rsyslog, RFC5424 frames, etc...

清水 文行
諸サーバの引っ越し、統合にともなうsyslog収集設定周り備忘走り書き。

  • Legacy BSD (RFC3164)のフォーマット: PRI(facility & severity) HEADER(timestamp & hostname) MSG(program[pid]:…)
  • new IETF(RFC5424): HEADER(facility severity, timestamp, hostname, appname, pid, …) DATA MSG

続きを読む

消えたwakwak このwakwakの障害はglueレコードの理解を深めるチャンスです

清水 文行
お客様宛メールの配送エラー。XePhion エンタープライズの一部サービスにおける障害発生のお知らせについてPDF…

1. 発生日時
2019 年 7 月 30 日(火)

2. 影響範囲
■現在ご利用いただけないサービス
(1) 「wakwak.com ドメイン」「wakwak.ne.jp ドメイン」のメール送受信

とのことで見てみるとns1.wakwak.comとns2.wakwak.comのglueレコードが消えたからwakwakも消えたのですね。
続きを読む

古いSymantecの証明書 The SSL certificate will be distrusted in M70.

清水 文行
せっかく古いSymantec-rooted Infrastructure発行のサーバ証明書を持っているので実験です。distrust後も「警告」と書いてあるところがあったりしますが、「証明書のエラー」です。続行しちゃダメ。ゼッタイ。
続きを読む