2013年の9月頃にクロスバイクを購入して以来、都内の主要な移動手段が電車から自転車に変わった。背景として、

1. 12km圏内だと徒歩＋電車より徒歩＋自転車の方が速い
2. 運動になる
3. 道を覚える

IBM i OS上でやり取りされるメッセージの扱い方を確認する為、以下の操作を行う。

1. メッセージキューを作成
2. メッセージキューにメッセージを送信
3. メッセージを表示

尚、本記事内容に関わる公式のドキュメントは以下の通り。 メッセージ - IBM i information center

先日、自鯖のRedmineを公式のUpgrade手順を参考にSubversion経由でソースをupdate後にDBのマイグレーションを実施したところ下記のエラーが発生。

IBM i OSが出力するメッセージコードからその内容を調べたい場合は以下の検索手法がある。

DSPMSGD CPFXXXX

                       Select Message Details to Display
                                                             System:   XXXXXX
 Message ID . . . . . . . . . :   CPF5140
 Message file . . . . . . . . :   QCPFMSG
   Library  . . . . . . . . . :     QSYS2924
 Message text . . . . . . . . :   Session stopped by a request from device &4.
 Select one of the following:
      1. Display message text
      2. Display field data
      5. Display message attributes
     30. All of the above
 Selection
 F3=Exit   F12=Cancel

また、IBM i OSに登録されているメッセージコードを確認したい場合は以下の通り。

WRKMSGF MSGF(*ALL)

下記の画面にてQCPFMSG行のOpt列に5を入力の上、Enterを押下。

                            Work with Message Files
 Type options, press Enter.
   1=Create   2=Change   4=Delete      5=Display message descriptions
   12=Work with message descriptions   13=Change description
      Message
 Opt  File        Library     Text
      AMQMSG      QSYS2924    WebSphere MQ Message File
      EVFCMSGF    QSYS2924    ADM Check In Exit Hook
      QALRMSG     QSYS2924
      QAPFMSG     QSYS2924
      QBASMSG     QSYS2924
      QCBLMSGE    QSYS2924    COBOL RUN TIME MESSAGE FILE
      QCEEMSG     QSYS2924
      QCGMSG      QSYS2924
 5    QCPFMSG     QSYS2924
                                                                        More...
 Parameters for options 1, 2, 5, 12 and 13 or command
 ===>
 F3=Exit      F4=Prompt   F5=Refresh   F9=Retrieve   F11=Display names only
 F12=Cancel   F16=Repeat position to   F17=Position to   F24=More keys

本記事はWAF (Web Application Firewall)ソフトでApacheモジュールの一つである、ModSecurityのインストール及び簡易的な設定方法を記載する。本運用を考慮した設定は本記事では割愛するが、必要な参考リンクは適時記載するので参照されたし。

概要 (全体像)​

ModSecurity：TrustWave社がGPLv2 ライセンスのもと提供しているOSSのWAF。 ModSecurity: Open Source Web Application Firewall 下記の資料にWAFの概要からModSecurityの導入〜運用までの検討ポイントが記載されている。 IPA 独立行政法人 情報処理推進機構：Web Application Firewall 読本 OWASP Core Rule Set：OWASP(Open Web Application Security Project)がGPLv2 ライセンスのもと提供しているModSecurityのルール（シグネチャ）。 Category:OWASP ModSecurity Core Rule Set Project - OWASP Category:OWASP Best Practices: Use of Web Application Firewalls - OWASP OWASP 当サイトを含む下手なブログ記事等を参照するよりも先ずは公式と上記のリンクを読んだ方が理解が早い。

前回の記事にてメールサーバを構築。本記事は当該サーバに対する動作確認の手法や良くあるエラーの対処例を記載する。

nmapコマンドによるポート開放確認​

Postfix, Dovecotの動作確認の前に、そもそもサービスのポートが開放されているかをサーバの外部ネットワークからnmapコマンドを用いて確認する。（nmap自体は公式サイトより適切なモジュールをダウンロード・インストールすればWindows, Mac, LinuxのいずれのOSでも使用可能。） その実行結果例は下記の通り。nmapコマンドはデフォルトでwell knownポートに対してスキャンをかける。smtp, pop3, imap, imaps, pop3s等が、openであればOK。勿論、dovecot.confのprotocolsディレクティブ設定において、pop3, imapを指定してなければ当該ポートはopenとはならない。

$ nmap mail.example.com
Starting Nmap 6.40-2 ( http://nmap.org ) at 2014-02-16 16:47 JST
Nmap scan report for mail.example.com (example.com 192.0.2.10)
Host is up (0.034s latency).
Not shown: 991 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
80/tcp  open   http
110/tcp open   pop3
113/tcp closed ident
143/tcp open   imap
443/tcp closed https
465/tcp open   smtps
993/tcp open   imaps
995/tcp open   pop3s
Nmap done: 1 IP address (1 host up) scanned in 81.68 seconds

仮にこの段階で期待するポートがopenで無かった場合、iptable設定やネットワークファイアウォールの設定を確認すると良い。ネットワーク型とホスト型(iptable)の切り分けは単純にメールサーバ上でlocalhostに対するnmapを実施すればよい。

先日、CentOS v5.X系にメールサーバを構築・動作確認した際の作業ログを以下に掲載。送信(SMTP, SMTPS)サーバにはPostfix、受信(POP3, IMAP, POP3S, IMAPS)サーバにはDovecotを使用。構築手順は基本的に記事末尾の参考サイトにならっている。尚、nmap, telnet等での動作確認やログからのトラブルシューティング等は別記事にて掲載予定。

構築の背景​

独自ドメインのメールはGmailやWindows Live、Yahoo等のフリーメールと異なり、一部のネットバンク等でもプロバイダメールと同等のアドレスとして評価され特定のサービスを使用する際に使えること、また、任意のメアド名を選択でき、送信先に対して自ドメインの宣伝にも使えるので、中々活用度が高い為。

事象​

Linux Debianで/etc/apt/sources.listに外部のリポジトリを指定した後にapt-get updateコマンドを実行したところ、下記のGPG errorが出力されupdateできない。

# apt-get update
Get:1 http://ftp.riken.jp squeeze-updates Release.gpg [836 B]
＜中略＞
Fetched 7,643 B in 0s (7,644 B/s)
Reading package lists... Done
W: GPG error: http://ftp.jp.debian.org wheezy Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 6FB2A1C265FFB764
W: GPG error: http://ftp.jp.debian.org wheezy-updates Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 8B48AD6246925553
#

本記事では先日学習したファイル改竄検知検知ツールのTripwireのインストールについて記載。インストール中のスクリーンショットが多いため、インストール後の設定や使い方については別記事として掲載予定。

Tripwire概要​

正常状態でのスナップショットをデータベースに保存し、現在の状態のスナップショット(ハッシュ値)と比較することで改竄を検知。検知対象はポリシーファイルで設定。チェック結果レポートは記載レベルをカスタマイズ可能。レポートのメール送信機能など。また、各種設定ファイルの暗号化機能(大事)。 Tripwire社は商用版・Open Source版の両方を提供。Open Source版は↓。 Looking for Open Source Tripwire? | Tripwire, Inc.

使用環境​

• Linux debian (VMware fusion上)
• インターネット環境(apt-get install用)

なお、学習用のインストール手法の為、本運用を考慮した手順は省いている。

前回の記事に続けて、Tripwireの初期設定、ファイル改竄チェック、レポートファイルの確認、そしてデータベースファイルの更新方法等の改竄検知の運用サイクルを記載。実施環境等は前記事をご参照。また、ここではポリシーファイルの詳細な説明は省く。あくまでツールの基本的な使い方の流れを説明。参考サイトは例によって記事末尾に掲載。 少し復習から入るが、Tripwireでは2つの鍵ファイル(site key, local key)を利用してファイルの暗号化(や署名)を行い、(インストール時に設定を求められたやつ。)site keyはTripwireの設定・ポリシーファイルを保護、local keyはTripwireのデータベースとレポートを保護するもの。 一つのポリシーファイルを複数のホストに適用し、ポリシー制御を集中させ、DB管理とレポートの生成はサーバー個々に分散させる手法もある。