やってみたけど、Professional Pack 1.52からProfessional Pack 1.54になっただけ?
MT4からMT5にバージョンアップした時は、もっとガリガリDBのアップデートが走った気がする。
opensslのバージョンアップ
opensslの最新バージョンが2月8日にリリースされていたので早速アップデートを実施。
(1)最新のファイルをダウンロードして・・・
wget http://www.openssl.org/source/openssl-1.0.0d.tar.gz
(2)解凍して・・・
tar zxv openssl-1.0.0d.tar.gz
(3)configして・・・
cd openssl-1.0.0d
./config –prefix=/usr/local/
(4)makeとインストールする。
make
make install
【旧バージョン】
openssl version
OpenSSL 1.0.0c 2 Dec 2010
【新バージョン
openssl version
OpenSSL 1.0.0d 8 Feb 2011
PHPのバージョンアップ(5.3.6)
地震や放射能やらの騒ぎでチェックしていなかったけど、3/16にPHP5.3.6がリリースされていたので、アップデート。
初めてmake checkをやったけど、8435件もテスト項目があったなんて知らなかった。
iptablesの設定
自宅サーバのiptablesの設定。
今こんな感じ。
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 127.0.0.1からの通信を全て許可
-A INPUT -p tcp -i lo -j ACCEPT
# 自宅N/Wからの通信を全て許可
-A INPUT -p tcp -m tcp -s 192.168.100.0/24 -j ACCEPT
# セッション確立後のパケット疎通は許可
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# SSHへの接続制限
# 会社からの接続は許可
# それ以外は、ログを残して拒否
-A INPUT -p tcp -m tcp –dport 22 -s xxx.xxx.xxx.xxx -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 -j LOG –log-level debug
-A INPUT -p tcp -m tcp –dport 22 -j REJECT
# SMTPへの接続許可
-A INPUT -p tcp –dport 25 -j ACCEPT
# HTTPへの接続許可
-A INPUT -p tcp –dport 80 -j ACCEPT
# 上記以外を全て拒否
-A INPUT -p tcp -j LOG
-A INPUT -p tcp -j REJECT
COMMIT
iモード専用サイトのソースを見る方法
昨日に引き続き、セキュリティのお話。
携帯ブラウザは、ページのソースを見る機能はありません。
imodeブラウザ2.0からJavaScriptが搭載されたので、JavaScriptを使った携帯サイトのソースを見れる方法が紹介されていました。
http://mpw.jp/blog/2009/11/188.html
僕が使っている携帯はimodeブラウザ2.0では無いので確認していませんが本当にサイトのソースが見れるのであれば、これまで携帯からの接続しか通していない。として動かしていたサイトは危ないかもしれません。
Apache周りのセキュリティ
昨年末からいろいろあって、全てのWEBサーバのセキュリティ診断を行っています。
診断は、業界では有名なLAC社に委託をしているので、技術力は問題無いのですが、その指摘の細かさに驚きつつ、そんな穴誰も突付かないだろw(決してラックには言えませんが・・・)
とツッコミつつも、ミドルウェアの設定を変更したりバージョンアップを行っています。
で、その中では僕の認識が甘かった部分や、知らなかった物が何個もあったので、その対策とかのメモ。
【Apache】
(1)ローカルユーザー情報の漏洩
Userdir public_htmlとかなっていると、
http://ドメイン/~存在するユーザー名 ・・・ Forbbiden
http://ドメイン/~存在しないユーザー名 ・・・ Not Found
となり、生きてるユーザーがいる事が分かってしまう。
まぁ、会社のシステムでは使っていない機能なので停止。
Userdir disabled
(2)エラーページからシステム情報の漏洩
デフォルトだと400系や500系の時にApache情報が記載されるので、
そこから脆弱性が漏れる可能性がある。
ServerTokens Prod
ServerSignature Off
【SSL】
(3)脆弱な暗号化(SSLv2)のサポート
SSLv2をサポートしている事自体がダメなんだって。
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+Exp:+eNULL
SSLProtocol ALL –SSLv2
【PHP】
(4)PHPトラッカー情報の漏洩
これもシステム情報の漏洩系。
expose_php = Off
セミナー行き忘れたw
ネットワークを簡単に切り替える方法
複数台のPCを、一時的に社外のネットワークに切り替える必要があった。
ITスキルが乏しい人に代えてもらうので、「ゲートウェイを○○にして、DNSはxxで、ブラウザのプロキシを外して・・・」とかを1人1人説明していたら時間が掛かってしまう。
全員が同じ時間に設定を切り替えるのであれば、指定時間にまとめてタスクを走らせる事もできるんだけど、今回はそれもNG。
今回は一時的なものだし、利用者が任意かつ簡単にネットワークの方法を替えられるように、batファイルを作成して、それを実行してもらおう。
用意するもの1(社外のネットワークに変更)
①static.bat(社外ネットワークは固定です)
②delproxy.reg
用意するもの2(社内のネットワークに変更)
③dhcp.bat(社内はDHCP付与)
④setproxy.reg
これを同じフォルダに保存してもらう、
社外のネットワークに接続するときは、static.batをクリック後にLANケーブルの差し替え、
社内のネットワークに接続するときは、dhcp.batをクリック後にLANケーブルの差し替えをやってもらおう。
Linuxマスコットのストラップ
MT5.02にしてみたよ
MovableTypeのセキュリティリリースが5月12日にあったっぽいので、ウチもバージョンアップしてみました。
[重要] セキュリティアップデート Movable Type 5.02 の提供を開始
今までPostgreSQLでMT4.27を動かしていたけど、DBをMySQLに変更してMT5にアップグレードw
しかも仕事中にw
今も会社ですが、記事の作成テストを兼ねて、動作確認してみます。
問題なさそう?