2009年07月18日

HostnameLookups Onは良くない?

 Apacheでログにホスト名を残したい場合があります。そのための設定が次のものです。

HostnameLookups On

 これはデフォルトではOffになっているようですが、これ有効にして、逆引きをする設定になっていることがあるようです。忙しいサーバではOffにしてパフォーマンスを上げるチューニングが良く紹介される設定ですが、ガラガラなサーバなら問題がなさそうにもみえます。しかし、この設定だと逆引きした結果のみをそのままログに記録してしまうようです。

 ふつう逆引きの結果が記録されることに問題はありませんが、逆引きと正引きが必ずしも一致しているとは限らない点がセキュリティー的なリスクになる恐れがあります。仮に悪いヤツが逆引き権限の委譲を受けている場合、好きな値に設定できてしまうからです。
 ためしに次のような設定にしてみました。(ふだんはnakahara.michitomo.jp ←→ 206.225.17.15が設定されています)

正引き nakahara.michitomo.jp → 206.225.17.14
逆引き 206.225.17.15 → nakahara.michitomo.jp

 この状態で206.225.17.15からApacheにアクセスすると、ログは次のようになります。

nakahara.michitomo.jp - - [14/Jul/2009:10:12:54 +0000] "GET / HTTP/1.1" 200 780 "-" "Opera/9.80 (X11; Linux i686; U; ja) Presto/2.2.15 Version/10.00"

 ドメイン所有者が設定しているIPアドレス以外からのアクセスにもかかわらず、ログにはnakahara.michitomo.jpのドメインが残りました。これだとnakahara.michitomo.jpからのアクセスに見えます。
 このドメインがわかりづらいですが、逆引きの設定は委譲を受けていれば自由にできてしまうので、例えばsoftbank***.bbtec.netやkantei.go.jpなどのオレオレ逆引きが設定されていてもApacheのログにはそのまま逆引きの結果だけが残ってしまう点が問題です。
 静的なサイトでは特にいいかもしれませんが、動的な、例えばアップローダなどを運営しているサーバの場合、アップロード主を追跡できないと厄介なファイルをアップロードされたときに困るかもしれません。

 ところで、SSHの場合は対策がされているようです。上と同じ状況で接続したときのauth.logは次のようになります。

Jul 14 10:14:06 sf sshd[12263]: Address 206.225.17.15 maps to nakahara.michitomo.jp, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

 「206.225.17.15はnakahara.michitomo.jpに逆引きされているが、nakahara.michitomo.jpは206.225.17.15になっていない。不正侵入の可能性!」という意味のメッセージです。さらに、ログイン中のユーザ一覧を表示するwhoやwコマンドでホスト名が表示されるためにも逆引きと正引きの一致が条件になっているようです。

 Apacheでも「アクセス元ホスト名をログに残したい」利便性と「偽装ホスト名は困る」のセキュリティを両立した設定があるといいわけですが、どうやら

HostnameLookups Double

 があるようです。DNSの負荷が2倍になる問題はありますが、個人的に画像のアップローダをやるなら、OnにしておくよりはDoubleの方がいいかなと。今のところ私自身はIPアドレスだけを記録して後で必要なら正引きをしています。

 というわけで、閲覧者がコンテンツに編集を加えられるサイトでホスト名を記録したい場合にはHostnameLookups Doubleがいいんじゃないか?という話でした。

Michitomo - 2009年07月18日 2時58分 | コメント0匹 | トラックバック0羽 | コンピュータ

2009年07月05日

ブラウザ高速起動OS構想

 学校の出席をブラウザ経由で行うことがあるんですが、Vistaだと起動に時間がかかりすぎるので、ブラウザまでを高速起動させるLinux環境構想です。

 この話をしたところサークルでinitrdなしにすることで30秒で起動する環境作ってくれた人がいたので、こちらは逆にinitrdだけだとどうなるかという実験版を作ってみました。

 カーネル・initrdの読み込みに10秒。initrdの解凍に6秒。カーネル、X、ブラウザ起動実際に計3秒くらい。20秒でブラウザが起動はしますが、DHCPクライアントの起動からブラウザ起動まで2秒しかなくIPアドレスをもらうまでの待ち時間があるため、実際に使えるようになるまではやはり30秒かかってしまいます。

 さすがにinitrdだけではこれ以上短縮できなそう。initrd以降にファイルを読み込む必要があると無駄な待ち時間が増えるし、なかなか難しいですねー。

 Operaを組みこんでしまったので公開は難しそうです。Operaを使うメリットはStatic版が手に入りやすく容量を削れることや、MDIなのでWindow Managerなしでもそこそこ使える点。その他はDebianベースなのでソースの公開整備も難しくなさそうなので、時間があれば公開できるようにvrmsに怒られないような環境を作りたいところ。

Michitomo - 2009年07月05日 23時27分 | コメント0匹 | トラックバック0羽 | コンピュータ

2009年06月26日

chxy.jp

Last Train!

 なにかと終電と共存、な感じです。。

 今日教室で寝てる友人をアドエスで撮ったら光のコントラストがいい感じだったので、地下で「安CMOSならでは」っぽい写真を撮ってみました。
 いろいろもうちょい手際よくやれば終電とも無縁になれそうなのだけど、そういうタイプでもないし、まあ仕方がない。

 先週の話ですが「診断くん」の再発名でchxy.jpというのを突発的に作ってみました。他に必要な要素がわからないし、自分用的なところが大きくはありますが、せっかくの.jpドメイン。ドメインだけ超高級品なのでお役立てくださればー。
 ちなみにブラックリストに入ってしまってるIPからのアクセスだとこんな感じになります。

Michitomo - 2009年06月26日 1時23分 | コメント0匹 | トラックバック0羽 | コンピュータ

2009年06月24日

ワンセグチューナーDUS-01購入

IMGP0598_.JPG

 あきばお〜で1200円だったので在庫を全部買ってきた。店員さんが裏から「こちらはいかかがですか?」と左上にある赤いの(UOSG-WM)が500円だと誘惑してくるんで買ってしまったけれど、こちらは残念ながら使えそうにないです。

 普通は24時間ワンセグ野郎用にして視聴するんだろうと思われそうですが、それ以外にいろいろと放送波を使いたいアイデアがあるので、この値段で全局分そろうチャンスはもうないだろうと。これで今、手元にDUS-01が8台あります。普通8台あると全地上局を受信して1台あまるはず。

 とりあえずは複数台同時に字幕が抜けるようにするのが第一歩。出来ればカーネルドライバーいじりたいし。そこまでいったら用途側の実装です。

IMGP0600_.JPGIMGP0599_.JPG

 その他購入したものはペンコン(Panerina)用にと8GBのCFと、Spark Plugの改造キット。

 あとはあきばお〜でDVD-Rが1枚10円の激安価格と、別の店ではR4が1万円の激高に驚愕。あと、どっかの店でB-CASカードを単品1799円で売ってたのにも!

 サークルさぼってすみません。

Michitomo - 2009年06月24日 23時43分 | コメント0匹 | トラックバック0羽 | コンピュータ
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。