2016年3月19日土曜日

nginx + LibreSSLでSSL Server TestをA+評価にする

ようやく nginx に リバースプロキシとキャッシュ機能をいれて一息ついていたら、
が目に止まって、それならやってみようと思いました。


まず nginxの標準設定でテスト(Qualys SSL Labs)してみました。



ふむ、B評価か。特にDHキー鍵が 1024bitなのが評価が大きく下がっている所ですね。
設定は

ssl_prefer_server_ciphers  on;
ssl_ciphers  AESGCM:HIGH:!aNULL:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  5m;

あたりです。


それをサイトをみて、赤文字を追加し、
  • openssl dhparam 2048 -out dhparam.pem
コマンドで 2048bitの DH鍵を作成すると・・・・

ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_prefer_server_ciphers  on;
ssl_ciphers ECDHE+RSAGCM:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!aNULL!eNull:!EXPORT:!DES:!3DES:!MD5:!DSS;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  5m;  
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';


ふむ、マジでした...


2016年3月18日 @kimipooh


2016年3月17日木曜日

【備忘録】なんでこんなにややこしい NFS v4のマウントでハマった件

と思わず件名に書きなぐってしまうほど、1時間ほどハマったのでメモっておきます。

参考情報


もうね、いろいろ調べましたよ..最終的に
  • NFSv4(Stray Penguin)
より抜粋「このようにエクスポーとすると、NFSv4 では、サーバ上の /home/hoge/ が server:/ として開放される。Windowsファイル共有のイメージに近い。」で分かりました。とりあえず3つぐらい関門があったので順次説明していきます。

以下、NFSを通じて旧サーバーから新サーバーへホームディレクトリの移行(rsyncとかで)する目的です。従って、一時的にセキュアでない設定(no_root_squash)をしています。これをしないと、サーバーとクライアント間で UID/GIDが引き継がれないためです。

NFSサーバー側

NFSサーバー側の設定

2016年3月16日水曜日

【備忘録】nginx にて phpMyAdminを動作させるには

ちょっとハマったのでメモしておきます。

2016年3月16日  Nginx 1.9.12 + PHP7.0.4 (PHP-FPM) (RedHat EL 6)をソースからコンパイルした環境でのお話です。なお、DBとしては MariaDB 10.1.12を yum からインストールしました。

構築しながらのメモのため、もっとうまい方法があるかしれません。
またサーバー管理者向けのメモという感じです。


がphpMyAdminにログインしたときの、サーバー情報です。
データベースのクライアントのバージョン:libmysql - mysqlnd 5.0.12-dev - 20150407 は、 MariaDBのものが誤認識されてるのかなぁと思います。
yum remove mysql* で削除(rpm -qa |grep -i mysql でパッケージないことを確認)したのですけどねぇ

PHPをyumで入れてるなら


素直に、epelリポジトリでも追加して、 yum install phpMyAdmin して入れるほうがらくです。

何故 yumを使わぬ?

php-mysql とか諸々のライブラリやモジュールがいっしょに入る(/etc/php.d/以下に大体インストールされる)のですが、PHPをソースからコンパイルしている場合、それってどの程度まで影響があるかチェックするの面倒!!だからです。

前提条件

2016年3月15日火曜日

【備忘録】 nginx + LibreSSLのソースからのコンパイルに挑戦

半日苦戦したのでメモっておきます。

2016年3月15日  Nginx 1.9.12 + LibreSSL 2.3.2 (RedHat EL 6)のお話です。

LibreSSL自体は簡単

./configure
make
sudo make install

です。何も苦労はしません。

Nginx 用に LibreSSLソースのカスタマイズ

2016年3月10日木曜日

【備忘録】手持ち独自ドメイン(kitaney.jp)を自前サーバーから完全移行完了〜

Mac Mini(MacOS 10.4)をサーバーにしていたのでした。
こやつは、Google Apps 無料版の実験機でもあり、ゲートウェイサーバーテストなどいろいろ役立ってくれました。2007年1月に立ち上げてHDDを2回換装して、10年間壊れずに何とか元気に動作していたってことになります。

しかし仕事で管理するサーバーも増えて、個人サーバーまで面倒見切れませぬってことで、さっくりと自前サーバーを放棄。

ドメインは、JPDirect→ムームードメインへ(指定事業者変更
メールは、Google Apps 無料版 へ MXレコードを変更、ウェブはロリポップへ、DNSはムームーDNSへ、それぞれ変更。JPDirectでもDNSも提供されていたのですが、ウェブのレンタルサービスも合わせて使いたかったので移管しちゃいました。。。

以下が、以前のサーバーの公開していた記録になります。

2016年3月9日水曜日

【備忘録】Pukiwiki Plus!をPHP5.6で動作させる方法

ちょっと古いサーバーで動作させていた Wiki(Pukiwiki Plus!)の情報を取り出したいと思って、手持ちのMAMP(PHP 5.6)で確認したのですが動作せず...
どうやら、PHP5.4からの仕様変更によって動作しなくなっていることが判明。

動作させるようにしたので、備忘録メモとして記載しておきます。
※なお PHP7に対応するには、 split --> explodeとpreg_splitに変更、lib/lang.php の$_x = $obj_lng->$lng_func[$i](); を $_x = $obj_lng->{$lng_func[$i]}(); など面倒なことを全部こなしたらいけるかもしれません(筆者は試しませんが)。

参考にした情報




PHP 5.4より標準搭載された「hex2bin」への対策