コラボ製品の方は値上げラッシュに巻き込まれませんでした。
いわゆるスマートタグが比較的安価で売られていたことは幸いでした。
これをこんな形でキーリングに装着です。
これのお陰で
- スマートタグからスマートフォンを探す(音を出す)
- スマートフォンからスマートタグ付きの聞きを探す(音を出す)
の二面が可能になりました。これから、段々と治安が物騒になっていくため、この手の自衛のための買い物でした。
カテゴリー: ガジェット Page 28 of 85
分冊型の「ほぼ日手帳」を2冊めにしたことで、今年も折り返しであると知りました。
そこで、覚えている限り、2023年上半期に購入してよかったものの振り返りです。
割れないティーポット
これは革命的なものでした。
「自宅、職場を問わず本格的にお茶を入れられる」の安心感は果てしなく。
紅茶、緑茶、中国茶などのバリエーションを楽しむことができました。
- そのままレンジに入れて温める
- 水出しのため冷蔵庫に入れる
のパターンにより、季節を問わない喫茶ライフを構築です。
スマートウォッチ
健康診断で節制するように言われ、そのためには現状を知ることが第一と考えて購入したのがこのスマートウォッチ。
これも生活習慣を大きく変えてくれるものでした。
- 歩数
- 睡眠時間
の2つを教えてくれるのは安心感がありますし、自転車で移動時にマッピングをしてくれるのもありがたい限りです。
その他に
Kindle Paperwhite
宝石の煌めきデュエル
ジャイプル
下半期もいいものを買えればいいと思っています。
概要
2023/09/11にサポート終了を迎えるOpenSSL1.1.1。
2023年6月現在の最新安定版である3.1.1にアップデートを行います。
https://www.openssl.org/blog/blog/2023/06/15/1.1.1-EOL-Reminder/
環境
- OS:Ubuntu 20.04
openssl version -aOpenSSL 1.1.1f 31 Mar 2020
built on: Wed May 24 17:14:51 2023 UTC
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-mSG92N/openssl-1.1.1f=. -fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_TLS_SECURITY_LEVEL=2 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific参考とした手順
さっくりとした手順
- システム全体のバックアップ
- 必要なライブラリをインストールします。
- githubレポジトリから最新安定版のソースコードをダウンロードします。
- ソースからインストールしていきます。
- 設定を行います。(コンフィグを反映させ、パスを通します)
- バージョンアップを確認します。
実施した手順
全体のバックアップを取得します。
- Webアクセスの根幹となるプログラムであること
- 重要なデータが格納されている
ことから、AWS Lightsailのスナップショットを利用して全体のバックアップを取りました。
必要なライブラリのインストール
sudo aptitude install build-essential checkinstall zlib1g-dev
# 筆者はaptitudeを用いています。必要に応じてaptを使ってください。ソースコードの取得
sudo su -
# 以下、管理者権限で実施します
cd /hoge
# 任意のディレクトリを指定します
git clone https://github.com/openssl/openssl -b openssl-3.1.1
# 2023/06/20時点での最新安定版を指定します
cd opensslソースからインストール
./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
make
# makeは時間がかかります。状況を時折確認しながら待ちましょう。
make test
make installインストール後の設定
- 設定ファイル追記
cat <<- __EOF__ | tee -a /etc/ld.so.conf.d/openssl-3.1.1.conf
/usr/local/ssl/lib64
__EOF__- 設定反映
ldconfig -v- 既存プログラムの退避
mv /usr/bin/c_rehash /path/to/backup/c_rehash.$(date +%Y%m%d)
mv /usr/bin/openssl /path/to/backup/openssl.$(date +%Y%m%d)
# 任意の退避ディレクトリを指定します- パスを通す
cat <<- __EOF__ | tee -a /etc/environment
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"
__EOF__- 通したパスを反映
source /etc/environment
echo $PATH
# PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"
# と表示されることを確認しますバージョンアップ後の確認
openssl version -aOpenSSL 3.1.1 30 May 2023 (Library: OpenSSL 3.1.1 30 May 2023)
built on: Tue Jun 20 01:47:24 2023 UTC
platform: linux-x86_64
options: bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DZLIB -DNDEBUG
OPENSSLDIR: "/usr/local/ssl"
ENGINESDIR: "/usr/local/ssl/lib64/engines-3"
MODULESDIR: "/usr/local/ssl/lib64/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0x7ffaf3ffffebffff:0x27abこれで、Ubuntu20.04でもOpenSSL3.1.1を利用することが可能になりました。
必要に応じて
- システムの再起動を行います。
- 既存サービスが正常に動くことを確認します。
作業日
2023/06/22
部屋を整理中に発掘です。
M.ZUIKO DIGITAL ED 40-150mm F4-5.6
かなり前にOLYMPUS PEN-Liteを購入したときの同梱品、望遠レンズです。
ダブルレンズキットの片方の標準レンズが非常に使い勝手が高かったことと、買った当時は望遠域を使わなかったことで長々と放置。
「面白そうだ」ということで、実際に試してみます。
比較1
左がいつも使っているマクロレンズ。右側が今回試したズームレンズです。
ズームレンズだけあって
- 被写体からかなり離れての撮影
- レンズ内の手ぶれ防止機能がないためにフレーミングに手間取る
の2つに面食らいましたが、キチッと撮影できます。
比較2
フィルターをかけての比較。同様に左がマクロレンズで右が今回のズームレンズです。
現時点での印象
やはりズームレンズはちょっとしたブレで全体がずれるので手持ち撮影には向きません。
ただ、この描写力は今後の可能性を感じさせます。まずはこのレンズでもう200枚ほど撮ってみてからフィードバックをしたいと思います。
こちらの記事から1年と4ヶ月。
- 音が途切れ途切れになった
- 充電が頼りなくなった
ことから、新調。この、物理的にまず落ちない形状は非常に気に入っていたのですがあいにく終売品。
そこで選んだのがこちらです。
Soundcore Sport X11
耳から落ちにくい形状で、比較的安価だったこのモデルを選択。
このようにイヤーフックがついていて、180度回転させることで耳にかけられるようになっています。
使ってみての感想
まず、ノイズキャンセリングが以前使っていたLife NCよりも段違い。外した瞬間に雑音だらけで戸惑ったほどです。
着用の手間は思った以上。いったん首にかけてから片耳ずつ嵌めていく運用と異なり、
一度片方を摂って展開し、装着してからもう片っぽを取り付ける形になるので、脱着自派より慎重になる必要がありました。
反面、一度でも取り付けてしまえば余程のことがない限り落ちないのは利点です。
音質に関しては余り気にしない性格なので、特に語ることはありません。
収納
以前よりも小さいケースなので
百均で購入したこちらを使います。
大きさも厚みもちょうどいいサイズ。
リュックにそのままぶら下げられるのも便利です。
はじめに
現在、growiのリバースプロキシとしてnginxを利用しています。
そこで、先だってご紹介したapache利用のサイトと同じようにセキュリティヘッダーを付与しました。
環境
- Ubuntu 20.04
- Growi v6.1.4
- nginx 1.24.0
前提
- サーバへの適切な証明書は準備済みです。
- 既にGrowiが稼働しているものとします。(hoge.example.com)
コンフィグファイル
以下、教義・信仰に沿ったエディタで編集します。自分の環境に合わせてください。
- ファイル名:/etc/nginx/sites-available/growi
upstream hoge {
server 192.168.1.101:3000;
#growiが稼働しているアドレス
}
server {
## http設定(常時SSL化を行います)
listen 80 http2;
server_name hoge.example.com;
server_tokens off;
return 301 https://$host$request_uri;
access_log /var/log/nginx/hoge.example.com/access.log;
error_log /var/log/nginx/hoge.example.com/error.log warn;
}
server {
## https設定
listen 443 ssl http2;
server_name hoge.example.com;
server_tokens off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_dhparam /etc/nginx/dhparam;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
#SecurityHeader
add_header Strict-Transport-Security 'max-age=63072000';
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
ssl_certificate /etc/certs/hoge.example.com.crt;
ssl_certificate_key /etc/private/hoge.example.com.key;
ssl_stapling on;
ssl_stapling_verify on;
access_log /var/log/nginx/hoge.example.com/ssl_access.log;
error_log /var/log/nginx/hoge.example.com/ssl_error.log warn;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_max_temp_file_size 10240m;
client_max_body_size 10240m;
proxy_redirect off;
set $proxy_target 'hoge';
location / {
proxy_pass http://$proxy_target;
}
location /socket.io/ {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_cache_bypass $http_upgrade;
#SecurityHeader
add_header Strict-Transport-Security 'max-age=63072000';
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
proxy_pass http://$proxy_target/socket.io/;
}
}- 差分内容
+ #SecurityHeader
add_header Strict-Transport-Security 'max-age=63072000';
+ add_header X-Content-Type-Options "nosniff";
+ add_header X-Frame-Options "SAMEORIGIN";
+ add_header X-XSS-Protection "1; mode=block";
proxy_cache_bypass $http_upgrade;
+
+ #SecurityHeader
+ add_header Strict-Transport-Security 'max-age=63072000';
+ add_header X-Content-Type-Options "nosniff";
+ add_header X-Frame-Options "SAMEORIGIN";
+ add_header X-XSS-Protection "1; mode=block";
+
proxy_pass http://$proxy_target/socket.io/;コンフィグファイル反映
sudo nginx -t
# nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
# nginx: configuration file /etc/nginx/nginx.conf test is successful
# と出れば正常です
sudo systemctl restart nginxセキュリティヘッダー付与確認
curlを用いて、開発者ツールよりも手っ取り早くヘッダ付与を確認します。
curl -I 上記、設定を行ったURLstrict-transport-security: max-age=63072000
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=blockのように表示されればOKです。
概要
AWS Lightsailを用いて外部公開しているWebサイトのセキュリティを高めるため、セキュリティヘッダを更に付与しました。
環境
- Ubuntu 20.04
- Apache 2.4系
- Headerモジュール導入済み
また、/etc/apache2/sites-availavle配下にバーチャルサイトファイルで管理しています。
さっくりとした手順
- 現行のバーチャルサイトのコンフィグのバックアップを取得します。
- コンフィグにセキュリティヘッダを付与します。
- Webサービスの再起動を行います。
実施した手順
バックアップ
cd /etc/apache2/sites-available &&pwd
# 自環境のバーチャルサイトの格納場所に移動します
sudo cp -pi hoge.conf /path/to/directory/hoge.conf.$(date +%Y%m%d)
# バックアップ元とバックアップ先は自分の環境に合わせます。
diff -u hoge.conf /path/to/directory/hoge.conf.$(date +%Y%m%d)
# 差分がないことでバックアップが取れていることを確認します。セキュリティヘッダ追記
教義・進行に沿ったエディタを用いて、以下の差分になるようにセキュリティヘッダをコンフィグに付与します。
+ Header set X-Content-Type-Options "nosniff"
+ Header always append X-Frame-Options "SAMEORIGIN"
+ Header set X-XSS-Protection "1; mode=block"以下はChantGPTによる解説です。
X-Content-Type-Options: "nosniff"
このヘッダーは、ブラウザがレスポンスのContent-Typeヘッダーと実際のコンテンツの種類が一致しない場合に、ブラウザが自動的にコンテンツのタイプを推測するのを防止します。これにより、悪意のあるコンテンツが実行されるリスクを低減することができます。
X-Frame-Options: "DENY" または "SAMEORIGIN"
このヘッダーは、クリックジャッキング攻撃を防止するために使用されます。"DENY" を指定すると、ページがフレーム内で表示されることが完全に禁止されます。"SAMEORIGIN" を指定すると、同じオリジン(ドメインとプロトコルが一致)のフレーム内でのみページが表示されます。
X-XSS-Protection: "1; mode=block"
このヘッダーは、クロスサイトスクリプティング(XSS)攻撃からの保護を目的としています。ブラウザによって検出されたXSS攻撃が検出された場合、ブラウザはページをブロックするように指示されます。
コンフィグの整合性確認と再起動
- コンフィグ確認
sudo apache2ctl configtest
#Syntax OKを確認します- サービス再起動
sudo systemctl restart apache2.service
systemctl status apache2.service
#Active(running)を確認しますヘッダ付与確認
- Google Chromeを開き、対象のウェブサイトにアクセスします。
- ウェブサイトを表示した状態で、右クリックしてコンテキストメニューを表示し、「検証」を選択します。
- 開発者ツールが表示されたら、上部のメニューバーの中から「Network」(ネットワーク)タブを選択します。
- ページをリロードするか、ウェブサイト上で任意のアクションを実行してネットワークタブにリクエストが表示されるようにします。
- ネットワークタブで、対象のリクエストを選択します。
- 右側のパネルで、"Headers"(ヘッダー)セクションを展開します。
- ヘッダーセクションには、レスポンスヘッダーが表示されるので、以下を確認してください。
- X-Content-Type-Options
- X-Frame-Options
- X-XSS-Protection
ヘッダーが正しく設定されていれば、それぞれのヘッダーの値が表示されます。
侵入防御システム、Fail2banを本格的に導入してから半年余り。その効果のフィードバックです。
導入環境
- Ubuntu 20.04
- Fail2ban 0.11.1
- AWS Lightsailで運用しており、鍵交換認証を行っています。
- Lightsailで開けているポートは22(SSH),80(http),443(https)の3つです。
設定ファイル
- /etc/fail2ban/jail.local
[ufw]
enabled=true
filter=ufw.aggressive
action=iptables-allports
logpath=/var/log/ufw.log
maxretry=1
bantime=-1
ignoreip = 127.0.0.0/8 ::1
# 他、自環境のアクセス元
[sshd]
enabled=true
filter=sshd
mode=normal
port=22
protocol=tcp
logpath=/var/log/auth.log
maxretry=3
bantime=-1
ignoreip = 127.0.0.0/8 ::1
# 他、自環境のアクセス元
bantimeは「-1」。つまり、一度でもリストに入るような不審な兆候があれば、永久に追放します。
半年の経過
この設定で、どのぐらいのIPアドレスを弾いたのか、確認してみました。
- 確認コマンド(ufw)
sudo fail2ban-client status ufw- 確認結果(ufw)
Status for the jail: ufw
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/log/ufw.log
`- Actions
|- Currently banned: 187
|- Total banned: 187
`- Banned IP list: (後略)- 確認コマンド(sshd)
sudo fail2ban-client status sshd- 確認結果(sshd)
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 29
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 5125
|- Total banned: 5125
`- Banned IP list: (後略)驚くべきはSSHのリスト数。半年で5000件を超えているので、単純計算で一月に833件超。BANされたリストをランダムに選んでabusedIP (https://www.abuseipdb.com/)で検索をかけると、いずれも
Confidence of Abuse is 100%
と表示されるものがほとんどです。
- 鍵交換認証だろうとお構いなしに攻撃を仕掛けるアクセス元の多さ
- これらを(ほぼ自動的に)弾いてくれるシステムのありがたさ
を改めて思い知りました。また、IPアドレス固定サービスを利用しているのであれば、アクセス許可を固定する(ポジティブリスト形式)が確実です。
はじめに
プライベートのオンラインストレージをWebベースで構築できるNextcloud。
ブラウザ上からもアップデートなどを行えるのは大きな利点ですが:メンテナンス中にWebブラウザが落ちてしまった場合に
このようなメンテナンスモードが出ます。(ブラウザ上で処理ができなかったことが原因です)
サーバ自体を
sudo rebootと再起動を行ってもその状態であることが多いです。
「処理が終わるまでブラウザを落とさず待つ」が正常な手順ですが、それを怠った場合のリカバリについてです。
動作環境
- Ubuntu 20.04
- Nextcloud
- Apache 2.4
- PHP8.1
さっくりとした手順
- Nextcloudサーバにアクセスします。
- 設定ファイルを書き換えます。
- Apacheサービスを再起動します。
- メンテナンスモードの解除を確認します。
Nextcloudサーバへのアクセス
cd /home/www-data/nextcloud/config && pwd
# 自分のディレクトリを指定しますコンフィグファイルのバックアップ
sudo cp -pi config.php /path/to/backup/directory/config.php.$(date +%Y%m%d)ファイルの内容書き換え
sudo -u www-data sed -i "s/'maintenance' => true/'maintenance' => false/" config.php
# メンテナンスモードを無効化します。apache2サービス再起動
sudo systemctl restart apache2.service再起動後の確認
メンテナンスモードが解除されました。「アップデートを開始」をクリックします。(今度はブラウザを閉じないようにしましょう)
その後、NextcloudのWeb画面が出てきたので問題なくアップデートされました。
概要
サイトのセキュリティを高めるため、HSTSプリロードを設定したときのメモとなります。
環境
- OS: Ubuntu 20.04
- Apache 2.4系
- Let's Encryptで取得した証明書を利用
前提条件
- インターネット上に公開されたサイトであること。(非ローカル環境)
- 公開するWebサイトドメイン全てに適切な証明書が設定されていること。
- Webサーバの設定で、httpアクセス全てをhttpsに変換する設定になっていること。
- 必要なモジュール(header、SSL等)がインストールされていること。
ここでは、hoge.example.com というサイトに対してHSTSプリロードを設定します。
注意点
- サブドメイン全てに対して適用されます。(hoge.example.comの場合はwww.example.comはもちろん、example.comも対象となることを注意してください)
- https化されていないサイトに対してもhttps接続を強制します。つまり、他にhttps化されていないシステムに対してもです。
- プリロードリストに登録された場合、解除はとても難しくなります。相応の運用が試されることに注意してください。
さっくりとした手順
- HSTSを有効にします。
- httpdサービスを再起動します。
- HSTSサイトにドメインを登録します。
実施手順
apacheのバーチャルサイトファイルを修正します。
- 修正後のファイル
※ドメインやDocumentRoot等は書き換えてください。また、サブドメインごとに複数のサイトがある場合、その全てを修正します。
<VirtualHost _default_:80>
servername hoge.example.com
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</VirtualHost>
<VirtualHost _default_:443>
servername hoge.example.com
ErrorLog /var/log/apache/error.log
CustomLog /var/log/apache/access.log combined
DocumentRoot /var/www/html/hoge
<Directory /var/www/html/hoge>
Options -MultiViews
AllowOverride All
Require all granted
</Directory>
SSLEngine on
Protocols h2 http/1.1
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
SSLCertificateFile /etc/certs/hoge.example.com.crt
SSLCertificateKeyFile /etc/private/hoge.example.com.key
</VirtualHost>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off- 主な差分
- Header always set Strict-Transport-Security "max-age=63072000"
+ Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
-SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
+SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2- HSTSのプリロードを有効化しています。
- ついでに弱いSSL(TLSv1.2)を無効化します。
apacheサービスを再起動します。
sudo apache2ctl configtest
# Syntax OKを確認します
sudo systemctl restart apache2.service
systemctl satus apache2.service
# active(running)を確認します。HSTSプリロードサイトへの登録
- https://hstspreload.org/ にアクセスします。
- 上記で設定したドメイン名を入力して登録を進めていきます。(サブドメインは含みません)
- エラーがなければ
Status: laplacemine.com is pending submission to the preload list.と表示されます。 - 2~3週間ほど待って正式に登録されるのを待ちます。
設定確認
- https://www.ssllabs.com/ssltest にアクセスします。
- HSTSを設定したサイトのドメイン名を入力して診断します。
- Strict Transport Security (HSTS) が「YEえs」となっていれば成功です。