Nacky - Snowland.net

Nacky(Issei Ishii)がDJ/Composerのようなふりして書き散らすblogサイト

Info

«Prev || 1 | 2 | 3 || Next»

2009-02-18

サーバ/インフラを支える技術

[24時間365日] サーバ/インフラを支える技術 ~スケーラビリティ、ハイパフォーマンス、省力運用 (WEB+DB PRESS plusシリーズ) (WEB+DB PRESS plusシリーズ)

止められないサービス,しかし障害は起きる…さてどうやって運用するんだか!

自宅サーバ程度,社内の軽度のイントラサーバ程度なら適当にPC-UNIXをつっこんで運用できるが,さてサービス本番サーバとなると…あれ,どうやってんの?
というような部分を解説してくれた本.

高いサーバパーツがなくてもソフトウェアでなんとかできたりするあたりとか,見ていて楽しい!
工夫の仕方は色々あるのだろうけど,一種の定石本,みたいな感じになるのかな?


01:33:58 - nacky - Category: book , Com/Tech ( Internet , UNIX ) - No comments - No Trackbacks

2009-02-16

OpenVPNのkeepalive

事務所~自宅間でOpenVPNを繋いでいるのですが,たまーに切れたようになる.
# おかげで自宅サーバのmp3を再生するのに支障が!

Bフレが弱いからか,ルータが弱いからか(おそらく後者).
多少なりでもマシになれば良いなーということでkeepaliveの設定をしてみる.

keepalive 30 120
confに書くだけ.
30秒ごとにpingして,120秒応答がなかったら切断.
11:49:56 - nacky - Category: Com/Tech ( Internet , UNIX , Windows ) - No comments - No Trackbacks

2009-02-13

あなたのパスワードをサーバがどう保存しているか

■おことわり
・今更感があります
・もっと詳しい人がゴマンといます


先日,とあるwebサービスが流行の兆しを見せ始めたので,とりあえず自分も登録してみた.
そしたら登録完了メールに自分の入力したパスワードがバッチリ書いてある.
nackyさん,ようこそ○○へ!あなたのパスワードは MyPassWd です!


ということは,おそらくDB上には次のように記録されている.
+--------+--------+
|nacky   |MyPassWd|
+--------+--------+

つまりこれ,webサービスの管理人が,見ようと思えばそのパスワードを見ることができるわけですよね.
通常DBにはwebサービス本体か管理者からしかアクセスできないようになっていると思いますが,それでもパスワードが平文でそのまんま入っているのは気持ちよくないです.
ユーザーによっては共通のパスワードを他のサービスでも使っていることがあるでしょうから,平文で見えちゃったら,その人が使ってる他のサービスにログインできちゃうことになります.

通常,パスワードは非可逆アルゴリズムを使って変換して格納されます.されるべきです.
(方法には色々あって利点欠点もありますがその話は別として)
例えばこんな風に格納されるはず.
+--------+--------+
|nacky   |q9asbn4x|
+--------+--------+
格納後の文字列から元のパスワードを得ることができないのが非可逆なアルゴリズム.こうなると回数をこなしてアタックするしかパスワードを解析する方法はありません.

こういうある程度しっかりした方式をとっているサービスでは,ユーザーが入力したパスワードをメールで通知したりできません.だって元のパスワードを得る方法がないんだもの.
逆に,通知してくるサービスはパスワードが平文で登録されています.そういうサービスに他のサービスと同じパスワードを使うのは危険だと思います.
その程度のサービスを提供するところの管理者はその程度のモラルだ!と想像するともっと危険に思えてきます.


先日,とあるエンジニアが会員登録システムを作っていて,そのDBを見たらパスワードが平文で入っておりました.
再通知のときに困る等の運用面での問題もあるでしょうけど(とはいえ,再発行→変更の手続きを踏んでもらう手間をどう説明するか程度),それ以上に平文格納は問題だと思います.
(このときは他社さんでしたがすぐ直させました)


ユーザーの側からできることは少ないとは思うんですが,このへんの話を少しでも気にしておけば作る側も使う側もステップアップできるかなーと思います.



# この手の話はもう何回もいろんなところで繰り返されてるんだろうなぁと思いつつも,気になったのでまた書く

Webサイトがパスワードを可逆状態で保存しているかを見分ける10のポイント - Webと何かとその近所
ブログが続かないわけ | [PHP]パスワードのハッシュ化にはcrypt を使ってはいけない
13:46:17 - nacky - Category: Com/Tech ( Internet , PHP ) - No comments - No Trackbacks

2008-08-15

ストリートビューを活用(?)

初めて行く会社があったとして

・住所から道順を覚えます
 これは従来のGoogleMapsでOK

・重要な交差点とかを覚えます
 ここでストリートビューがあると実感が沸きまくり

・最終的な目的地を覚えます
 ここでストリートビューを使って建物を確認

こんな感じで使えますね.

最初は趣味の出会い(知らない街を歩いてみたい,的な)用途だったけど,ビジネスでも使えちゃうなぁ.
楽しくて便利だけど,なんだか寂しい気もしてきたなぁ.
12:23:25 - nacky - Category: Diary , Com/Tech ( Internet ) - No comments - No Trackbacks

2008-08-12

webminのSSL証明書

サーバを管理する際に何かと便利な反面いろいろ信用おけないwebminですが,インストール直後はrootのパスワードで使用してしまったりするのでSSL化しておきたいものです.
(miniserv.confにssl=1を設定,もしくはwebminから設定w)

しかしデフォルトで使用されるSSL証明書のminiserv.pemはいろんなサーバで共通のものが使われてしまう場合があるので,firefox3ではセキュリティ警告が出ます.

安全な接続ができませんでした

(server):(port) への接続中にエラーが発生しました。

無効な証明書を受信しました。サーバ管理者またはメール送信者に次の情報を知らせてください:
あなたのサーバ証明書は認証局によって発行された他の証明書と同じシリアル番号を持っています。一意なシリアル番号を持つ新しい証明書を取得してください。
(エラーコード: sec_error_reused_issuer_and_serial)

受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
* この問題については Web サイトの管理者に問い合わせてください。

初回にアクセスすると例外の登録などもできるのですが,その後に他のサーバの同様にインストールされたwebminにアクセスすると,上記のエラーが出ます.rpmからのインストールだったりで証明書が同じだから出るエラーのようです.
このエラーの場合はfirefoxの操作で例外に指定することができません.
オプション-詳細-暗号化-証明書を表示…としてWebmin Webserver on localhost.localdomainの証明書を削除すると他のサーバにアクセスできるようになります.
(当然,また別のwebminにアクセスすると同様にエラーになります)

回避するにはwebminデフォルトの証明書を使うのではなく,個別に(オレオレ)証明書を用意することでしょうね.
localhost.localdomainだと見分けも付けにくいし.
01:35:13 - nacky - Category: Com/Tech ( Internet , UNIX ) - No comments - No Trackbacks
«Prev || 1 | 2 | 3 || Next»