カテゴリー: System Admin
nginxでGooglebotとBingbotの検証 シンプル版
前置き
nginxでGooglebotの検証という記事を書きましたが、すぐ後にGoogleがGooglebotの範囲を公開しました。BingbotについてもVerify Bingbotの下の方で公開していることに気付き(Googlebotと同時期に公開した模様)それに合わせてシンプルに簡易検証ができるようになったので更新します。
続きを読むYubiKeyとSSH – Cygwin, Git for Windows, GnuPG
YubiKeyとSSH – FreeBSD
YubiKeyとSSH – Ubuntu
YubiKeyとSSH – macOS
YubiKeyとSSH ed25519-skをmacOSとUbuntuとFreeBSDとCygwinで
しばらくぶりの鍵周りの整理でOpenPGP(GnuPG)の暗号用鍵を更新したり、フォールバック用に長いこと残しっぱなしにしていたOpenSSHのRSAの公開鍵を消して回っているなどしている時に、だいぶ前の話のようですがOpenSSH 8.2でFIDO U2Fがサポートされ、ed25519-skおよびecdsa-skなる-skが付いた鍵タイプが追加されたという話にたどり着きました。
FIDO U2Fということは黒いYubiKey 5 NFCシリーズ(PDF)ではなくて、青いSecurity Keyシリーズ(PDF)でもOKということになことになります。これは試さねば! というわけでmacOSとUbuntuとFreeBSDとCygwinで試してみました。
続きを読むDHCPでWindows用メトリックを配布
ドメインごとのDNSサーバ指定 macOS, Windows, 他
nginxでGooglebotの検証 簡易版
Facebookと傘下が死んでいたようですがこの記事の
Internet providers usually update their DNS records every few hours, but they can take several days to fully propagate.
はちょっと何言ってるか良く分かりませんでした。他人のRRをプロバイダがアップデートしている??? いずれにせよ全部の権威サーバ[abcd].ns.facebook.comがAS32934の中にいてサービスを提供しているサーバごとBGPテーブルから消え去ったのでネガティブレスポンスのキャッシュではなくてサーバに到達できないというエラーのキャッシュになります。キャッシュが1000くらい直列になった謎沼の底でもない限り数日かかることはないかと思います。
それはともかく本題のGooglebotの検証方法は公式には
となっています。User-agentも逆引き(rDNS, PTR RR)も詐称したい側が容易に詐称可能です。.google.com や .googlebot.com のA RRやAAAA RRはGoogleの権威サーバを乗っ取るかどこぞのキャッシュサーバを攻略しないといけないため通常は正しい、GoogleはUser-agent詐称しない、という前提のもと検証できることになります。
Apache HTTPDでは HostnameLookups Double と SetEnvIf を組み合わせて検証できます。nginxではNginx HTTP rDNS moduleを使ってできそうです。パッケージになっているディストリビューションが少ないので、配置しなければいけないサーバが多い場合はテスト目的以外で使うにはちょっと躊躇します。
そこでFCrDNS部分をざくっと省略版にしてAS番号で処理することにします。
クロス署名された証明書でエラー再び クロス署名と古いOpenSSL
1 2 |
Sep 30 23:06:30 metal postfix/smtp[61376]: 7224324829CA: Server certificate not trusted Sep 30 23:06:31 metal postfix/smtp[61376]: 7224324829CA: to=, relay=x, delay=5.4, delays=0.71/0.09/4.6/0, dsn=4.7.5, status=deferred (Server certificate not trusted) |
Let’s Encryptの証明書搭載のサーバなので、9月も終わりついにIdenTrustのX3が失効したか。にしても証明書の更新し損ねてたのだろか… と証明書のファイルの日付見ても9月1日のものです。古いサーバなので5年前のあれと同じだろうと思いつきますが、せっかくなので確認します。その機械から
1 2 3 4 5 6 7 8 9 |
> openssl version OpenSSL 1.0.2u-freebsd 20 Dec 2019 > openssl s_client -showcerts -connect x:25 -starttls smtp CONNECTED(00000003) depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3 verify error:num=10:certificate has expired notAfter=Sep 30 14:01:15 2021 GMT --- |
続きを読む
rsyslog, syslog-ng から rsyslog, syslog-ng へTLSで転送 separate BSD security.* facility and auth.* facility on rsyslog, RFC5424 frames, etc...
ARC(RFC8617)とEd25519 SHA-256のDKIM(RFC8463)にさくっと対応させてみる Postfix + OpenARC + dkimpy-milter on FreeBSD
消えたwakwak このwakwakの障害はglueレコードの理解を深めるチャンスです
1. 発生日時
2019 年 7 月 30 日(火)2. 影響範囲
■現在ご利用いただけないサービス
(1) 「wakwak.com ドメイン」「wakwak.ne.jp ドメイン」のメール送受信
…
とのことで見てみるとns1.wakwak.comとns2.wakwak.comのglueレコードが消えたからwakwakも消えたのですね。
続きを読む