2021年10月 – kana.me 要

YubiKeyとSSH – Cygwin, Git for Windows, GnuPG

2021-10-282022-10-11 清水文行

macOS Ubuntu FreeBSD に続いてCygwinとGit for Windowsでed25519-sk鍵タイプを試していきます。 GnuPGは2021-11-17現在-sk鍵タイプに対応していないので、YubiKeyのOpenPGPモジュールにてEd25519の認証鍵と署名鍵を作ってGitHubで使うための操作です。

$ uname -a
CYGWIN_NT-10.0 gatherum 3.2.0(0.340/5/3) 2021-03-29 08:42 x86_64 Cygwin

1 2	$ uname -a CYGWIN_NT-10.0 gatherum 3.2.0(0.340/5/3) 2021-03-29 08:42 x86_64 Cygwin

続きを読む →

YubiKeyとSSH – FreeBSD

2021-10-262022-09-27 清水文行

macOS Ubuntu に続いてFreeBSD12でed25519-sk鍵タイプを試していきます。

% uname -a
FreeBSD principium 12.2-RELEASE-p7 FreeBSD 12.2-RELEASE-p7 GENERIC  amd64

% ssh -V
OpenSSH_7.9p1, OpenSSL 1.1.1h-freebsd  24 Aug 2021

% uname -a

FreeBSD principium 12.2-RELEASE-p7 FreeBSD 12.2-RELEASE-p7 GENERIC amd64

% ssh -V

OpenSSH_7.9p1, OpenSSL 1.1.1h-freebsd 24 Aug 2021

続きを読む →

YubiKeyとSSH – Ubuntu

2021-10-252021-11-22 清水文行

macOSに続いてUbuntu 20.04 LTSでed25519-sk鍵タイプを試していきます。

$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 20.04.3 LTS
Release:	20.04
Codename:	focal

$ ssh -V
OpenSSH_8.2p1 Ubuntu-4ubuntu0.3, OpenSSL 1.1.1f  31 Mar 2020

$ lsb_release -a

No LSB modules are available.

Distributor ID: Ubuntu

Description: Ubuntu 20.04.3 LTS

Release: 20.04

Codename: focal

$ ssh -V

OpenSSH_8.2p1 Ubuntu-4ubuntu0.3, OpenSSL 1.1.1f 31 Mar 2020

続きを読む →

YubiKeyとSSH – macOS

2021-10-152021-11-24 清水文行

前置きに続いて早速ed25519-sk鍵タイプを試していきます。

% sw_vers 
ProductName:	macOS
ProductVersion:	12.0.1
BuildVersion:	21A559
% ssh -V
OpenSSH_8.6p1, LibreSSL 2.8.3

% sw_vers

ProductName: macOS

ProductVersion: 12.0.1

BuildVersion: 21A559

% ssh -V

OpenSSH_8.6p1, LibreSSL 2.8.3

% sw_vers
ProductName:    macOS
ProductVersion:    11.6
BuildVersion:    20G165
% ssh -V
OpenSSH_8.1p1, LibreSSL 2.7.3

% sw_vers

ProductName: macOS

ProductVersion: 11.6

BuildVersion: 20G165

% ssh -V

OpenSSH_8.1p1, LibreSSL 2.7.3

続きを読む →

YubiKeyとSSH ed25519-skをmacOSとUbuntuとFreeBSDとCygwinで

2021-10-152022-06-09 清水文行

しばらくぶりの鍵周りの整理でOpenPGP(GnuPG)の暗号用鍵を更新したり、フォールバック用に長いこと残しっぱなしにしていたOpenSSHのRSAの公開鍵を消して回っているなどしている時に、だいぶ前の話のようですがOpenSSH 8.2でFIDO U2Fがサポートされ、ed25519-skおよびecdsa-skなる-skが付いた鍵タイプが追加されたという話にたどり着きました。

FIDO U2Fということは黒いYubiKey 5 NFCシリーズ(PDF)ではなくて、青いSecurity Keyシリーズ(PDF)でもOKということになことになります。これは試さねば! というわけでmacOSとUbuntuとFreeBSDとCygwinで試してみました。

続きを読む →

業務改善 – 添付ファイルの削除 Outlook VBA

2021-10-102021-11-16 清水文行

なにやらExcel VBAとかGoogle Apps Scriptなど、普段は触らないものたちを触る機会が多かった1年でした。開発環境がしんどいですが、業務をストレートに機械にやらさせるので、楽しいという本能が出やすくもあります。

それでもって添付ファイルをざっくり削除して場所を確保したいという課題を、個人的には使うことがないOutlookで解くことになりました。

続きを読む →

DHCPでWindows用メトリックを配布

2021-10-092022-07-22 清水文行

引き続きマルチホーミングのお供に。ちょこっとテストしたいとかいう場面や、Wi-Fiと有線LANでもWi-Fi側を優先させたいという場面があります。毎回ググってたどり着くまでがめんどくなったので備忘です。Windows専用。

続きを読む →

ドメインごとのDNSサーバ指定 macOS, Windows, 他

2021-10-072022-10-11 清水文行

プライベートな名前の解決やマルチホーミングのお供に。所謂split DNSをクライアント側で設定してみます。systemd-resolved含めて普通のOSは接続ごとのDNSサーバと検索ドメインをみて良きに処理してくれます。一方で接続切れた時に内部用の名前を外に流したくないとか、ちょこっとテストしたいとかいう場面もあります。毎回ググって情報にたどり着くのがめんどくなったので備忘です。IPのルーティングは別途必要。懐かしいですがフレッツのサービス情報サイトの.fletsとかもそうですね… Root Zone Database 流石に確保してないですか。.nttは復活してたのですね。

続きを読む →

nginxでGooglebotの検証簡易版

2021-10-052022-09-30 清水文行

2022-09-30追記: この記事の後にGoogleがGooglebotの範囲を公開したので、もっと簡単に簡易検証できるようになっています。

Facebookと傘下が死んでいたようですがこの記事の

Internet providers usually update their DNS records every few hours, but they can take several days to fully propagate.

はちょっと何言ってるか良く分かりませんでした。他人のRRをプロバイダがアップデートしている??? いずれにせよ全部の権威サーバ[abcd].ns.facebook.comがAS32934の中にいてサービスを提供しているサーバごとBGPテーブルから消え去ったのでネガティブレスポンスのキャッシュではなくてサーバに到達できないというエラーのキャッシュになります。キャッシュが1000くらい直列になった謎沼の底でもない限り数日かかることはないかと思います。

それはともかく本題のGooglebotの検証方法は公式には

となっています。User-agentも逆引き(rDNS, PTR RR)も詐称したい側が容易に詐称可能です。.google.com や .googlebot.com のA RRやAAAA RRはGoogleの権威サーバを乗っ取るかどこぞのキャッシュサーバを攻略しないといけないため通常は正しい、GoogleはUser-agent詐称しない、という前提のもと検証できることになります。

Apache HTTPDでは HostnameLookups Double と SetEnvIf を組み合わせて検証できます。nginxではNginx HTTP rDNS moduleを使ってできそうです。パッケージになっているディストリビューションが少ないので、配置しなければいけないサーバが多い場合はテスト目的以外で使うにはちょっと躊躇します。

そこでFCrDNS部分をざくっと省略版にしてAS番号で処理することにします。

続きを読む →

クロス署名された証明書でエラー再びクロス署名と古いOpenSSL

2021-10-012022-01-07 清水文行

早朝に一部のメールが滞留してたのでログを見たら。

Sep 30 23:06:30 metal postfix/smtp[61376]: 7224324829CA: Server certificate not trusted
Sep 30 23:06:31 metal postfix/smtp[61376]: 7224324829CA: to=, relay=x, delay=5.4, delays=0.71/0.09/4.6/0, dsn=4.7.5, status=deferred (Server certificate not trusted)

1 2	Sep 30 23:06:30 metal postfix/smtp[61376]: 7224324829CA: Server certificate not trusted Sep 30 23:06:31 metal postfix/smtp[61376]: 7224324829CA: to=, relay=x, delay=5.4, delays=0.71/0.09/4.6/0, dsn=4.7.5, status=deferred (Server certificate not trusted)

Let’s Encryptの証明書搭載のサーバなので、9月も終わりついにIdenTrustのX3が失効したか。にしても証明書の更新し損ねてたのだろか… と証明書のファイルの日付見ても9月1日のものです。古いサーバなので5年前のあれと同じだろうと思いつきますが、せっかくなので確認します。その機械から

> openssl version
OpenSSL 1.0.2u-freebsd  20 Dec 2019

> openssl s_client -showcerts -connect x:25 -starttls smtp
CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
---

> openssl version

OpenSSL 1.0.2u-freebsd 20 Dec 2019

> openssl s_client -showcerts -connect x:25 -starttls smtp

CONNECTED(00000003)

depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3

verify error:num=10:certificate has expired

notAfter=Sep 30 14:01:15 2021 GMT

---

続きを読む →