リンクとか備忘録とか日記とか@pcmgxxx

2005-12-26

[][] 窓の杜 - 【NEWS】MS、再起動ごとにOSをもとに戻すツールを誰でも使えるよう日本語化し無償公開   窓の杜 - 【NEWS】MS、再起動ごとにOSをもとに戻すツールを誰でも使えるよう日本語化し無償公開  - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -   窓の杜 - 【NEWS】MS、再起動ごとにOSをもとに戻すツールを誰でも使えるよう日本語化し無償公開  - リンクとか備忘録とか日記とか@pcmgxxx

メモメモ。ネタ元は、id:ishizu さん(が直接口頭で教えてくれました)

追記:関連記事

追記2:以前に書いた自分のメモで関連しそうなのを貼付け

■再起動でクリア、な製品
○ドライブシールド
http://www.idk.co.jp/products/cds/lineup.html

20ライセンス以上購入すると、コンプガード・コントロール・センターという
統合管理サーバ製品が無償で付くらしい。
http://www.idk.co.jp/products/PCprotecttool/comp/ccc/index.html

1ライセンスから購入できて、1万円くらいのよう。

・コーナーストーン
http://www.idk.co.jp/products/PCprotecttool/comp/cornerstone/index.html
同じ会社が出している、ドライブシールドよりちょっと高機能な似た製品

・参考:MacSheild
http://www.idk.co.jp/products/PCprotecttool/macshield/index.html
ドライブシールドのMac版。Mac OS X対応。
トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20051226

2005-12-07

[][][] SSL用証明書の作成(Linux編)  SSL用証明書の作成(Linux編) - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  SSL用証明書の作成(Linux編) - リンクとか備忘録とか日記とか@pcmgxxx

先日のこと、TigerなMac OS X Serverにて自前認証局+クライアント証明書による認証を設定する必要が有り、その際に参考にさせて頂いたページ。

当然、アップル - サーバ - 製品ドキュメント の最低でも『Webテクノロジー〜』と『メールサービス〜』には目を通しておくこと。

実際にはMac OS X Server固有の事情も加え、以下の様な手順で作業をしてみた。

とゆーか、自分でクライアント証明書による認証を設定したのはMacだろうとなかろうと初めてだったり。

【 クライアント認証対応手順】

以下、詳細な手順は
http://www.aconus.com/~oyaji/www/certs_linux.htm
を参考に。

◎サーバ内作業

◆◆◆◆◆サーバ証明書関連作業

■証明書作業用ディレクトリの作成

$ sudo -s
# cd Documents
# mkdir certs
# cd certs

■プライベートCAの作成
○openssl.cnfをサーバ証明書が発行できるように修正

# pushd /System/Library/Openssl/
# cp openssl.cnf openssl.cnf.orig
# vi openssl.cnf
# diff -U0 openssl.cnf.orig openssl.cnf
--- openssl.cnf.orig    2005-11-28 00:58:48.000000000 +0900
+++ openssl.cnf 2005-11-28 01:01:31.000000000 +0900
@@ -172 +172 @@
-# nsCertType                   = server
+nsCertType                     = server
@@ -241 +241 @@
-# nsCertType = sslCA, emailCA
+nsCertType = sslCA, emailCA

# popd

○CA.sh -newca によるプライベートCAの構築
# /System/Library/OpenSSL/misc/CA.sh -newca

■サーバ証明書の作成
○openssl コマンドを用いたサーバ用秘密鍵の作成
# openssl genrsa -out server.key 1024

○openssl コマンドを用いたサーバ用証明書要求(CSR)の作成
# openssl req -new -key server.key -out server.csr

○openssl コマンドを用いたサーバ用証明書の作成
# openssl x509 -CA ./demoCA/cacert.pem -CAkey ./demoCA/private/cakey.pem -CAserial ./demoCA/serial -req -days 365 -in server.csr -out server.crt

■サーバ証明書を、Mac OS X Serverの「サーバ管理へ取り込み」
○「サーバ管理」->「設定」->「証明書」->「読み込み...」から上記で生成したファイルを読み込み

# ls -l /etc/certificate/


◆◆◆◆◆クライアント証明書関連作業
■クライアント証明書の作成
○openssl.cnfをNetscape系のクライアント証明書に対応するよう修正

# pushd /System/Library/Openssl/
# cp openssl.cnf openssl.cnf.server
# vi openssl.cnf

# diff -U0 openssl.cnf.server openssl.cnf
--- openssl.cnf.server  2005-11-28 01:57:31.000000000 +0900
+++ openssl.cnf 2005-11-28 01:58:06.000000000 +0900
@@ -172 +172 @@
-nsCertType                     = server
+# nsCertType                   = server
@@ -178 +178 @@
-# nsCertType = client, email
+nsCertType = client, email

# popd

○クライアント認証使用者一覧のリストに基づいて、証明書バックアップ用ディレクトリを作成
# cd ./demoCA/certs/
# mkdir hoge huga honya hoe 
# cd ../../

○pkcs12形式の証明書を、CA証明書を含んで、CA.sh にて一人ひとり生成
(クライアント認証使用者一覧のリストに基づく)
※CA.sh を用いた生成では、一人ひとりの証明書を生成するたびにバックアップすること
※テスト用のクライアント証明書も数枚発行しておく

・-newreqする
# /System/Library/OpenSSL/misc/CA.sh -newreq

・-signする
# /System/Library/OpenSSL/misc/CA.sh -sign  
<略>
Sign the certificate? [y/n]:y
<略>
1 out of 1 certificate requests certified, commit? [y/n]y

・鍵込みでpkcs12形式にて書き出し
# openssl pkcs12 -export -inkey newreq.pem -in newcert.pem -certfile ./demoCA/cacert.pem -out .p12 -name "" -caname "hoge"

# mv ./new* ./demoCA/certs/
# mv *.p12 ./demoCA/certs/

※以上をリストの人数分繰り返し。


■クライアント証明書をまとめておく

# mkdir cl-certs
# cd ./demoCA/certs/
# find . -name "*.p12" -exec cp {} ~/Documents/cl-certs/ ¥;
# cd ../../
# tar czf cl-certs.tgz cl-certs


◆◆◆◆◆Apache関連作業

■Apacheへサーバ証明書を適用してHTTPS化
○「サーバ管理」->「Web」->「設定」->「サイト」にてVirtual Hostを追加
○Virtual Hostの設定を編集 ->「セキュリティ」->「SSLを使用する」
○証明書を取り込み
○保存して、HTTPSを有効にする

■サーバ用証明書と秘密鍵、CA証明書を/etc/httpd/以下にコピー
# cd ~/Documents/certs/
# cp ./server.crt /etc/httpd/ssl.crt/
# cp ./server.key /etc/httpd/ssl.key/
# cp ./demoCA/cacert.pem /etc/httpd/ssl.crt/ca.crt


■httpd.confにクライアント証明書を使用する設定を追加
# cd /etc/httpd/sites/
# vi hoge

        <IfModule mod_ssl.c>
                SSLEngine On
                SSLLog "/var/log/httpd/ssl_engine_log"
                SSLCipherSuite "ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL"
                SSLCertificateFile "/etc/certificates/hogehoge.crt"
                SSLCertificateKeyFile "/etc/certificates/hogehoge.key"
                SSLVerifyClient 2
                SSLCACertificateFile "/etc/httpd/ssl.crt/ca.crt"
        </IfModule>


※「サーバ管理」でApacheの設定をコネコネするのはあまり好きではありません…

■Apacheの再起動
# apachectl configtest
# apachectl restart


◎サーバ外作業

◆◆◆◆◆NATルータ兼Firewall上での作業
■NATルールとして、443/tcp を対象サーバにポートフォワード
■フィルタルールとして、443/tcp を allow any to 対象サーバ で追加
■その他、まぁよしなに


◆◆◆◆◆クライアント側手順
■テスト用の端末にて、https://サーバ/ へアクセス
 → 一度サーバ上でクライアント認証をオフにして、HTTPSのサーバにアクセスできるのを確認
 → 再度サーバ上でクライアント認証をオンにする
 → クライアント証明書をまだ取り込んでいないのでテスト端末側では見れないのを確認
■テスト端末に、クライアント証明書を取り込み
 → 取り込み後に再度アクセスし、閲覧できる事を確認

[] デスマーチが起きる理由 - 3つの指標  デスマーチが起きる理由  - 3つの指標 - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  デスマーチが起きる理由  - 3つの指標 - リンクとか備忘録とか日記とか@pcmgxxx

昨日、職場で人的リソースがどーのこーのでコストがどーのこーの、という話をしている(というか書いているというか)時にふと思い出したので。

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20051207

2005-06-16

[][][] Tiger Server検証事始め:その1  Tiger Server検証事始め:その1 - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  Tiger Server検証事始め:その1 - リンクとか備忘録とか日記とか@pcmgxxx

そんな訳で上述の通り、Tigerのクライアント版/サーバ版ともに検証を始めた訳ですが。

Mac OS X Server 10.4.1をMac miniで稼働させてます。ま、検証機だからminiで十分でしょう。

用途によっては本番稼働もminiでやらせるモノもある予定だし。

で、Mac OS X Server 10.4 をインストール後に、

  1. Active Directoryにぶら下げて、
  2. Weblogサーバ立ち上げて、
  3. WebDAV(をとりあえずBasic認証で)立ち上げて、

ってトコまでやったけど、やっぱ激しく楽チンだわ。Mac OS X Serverは。

ってゆーか、apple_auth_module*1があるから楽なんだけど。

ADにぶら下げてるから、結果的に全社員で使えるブログサーバ兼WebDAVサーバができてる*2訳なんだけど、コレ、慣れると

  1. Mac miniにMac OS X Serverをインストール
  2. 基本設定+ソフトウェアアップデート
  3. 上記の設定

まで1時間程度で行けるんじゃないかなぁ。ってゆーか、その1時間の内、実際の設定は10〜15分位の感じだなぁ。

まぁ、標準添付の blojsom だと「貧弱だなぁ」思ったりして、結局他のブログツール入れるハメになりそうだけど。

WebDAVの方は、取り急ぎWindows 2000 Proの端末から、ファイル名に半角カナだの機種依存文字だの化けそうなの使いまくりなのを幾つかアップロード/ダウンロードしたり、それをMac OS Xで眺めてみたりしたけど、サクっと見た限りは問題無いみたい。

あぁでも、WebDAV上のMS Accessのファイルをダブルクリックしても上手く開けないってのがあったか。

ま、私的にはどうでもいーっつーか。いや、仕事上は大きな問題なんだけど(笑

[][][] Tiger Server検証事始め:その2  Tiger Server検証事始め:その2 - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  Tiger Server検証事始め:その2 - リンクとか備忘録とか日記とか@pcmgxxx

上記の説明には一つだけウソが有って(笑

実際には、Mac OS X Server 10.4のインストール直後に Osiris の version 4.1.8 をインストールしてます。

クライアント版の10.4でビルドしたバイナリをサーバに持っていってインストールしたんですけど。

セキュリティの観点からインストールしたってゆーよりは、

  • セットアップしていくに従って変更されるファイルやらは何じゃろね。
  • まぁセットアップ中でなく平常時にOSが何してるか知りたいし。
  • つか10.4.1でも「まだまだ」だし。何か有った時の原因究明の補助も必要だよね。

位の気持ちでインストールしてます。

結果、ホストベースのIDSをこんな感じで使うってのもアリだなぁと思ってます。色んなコトが解って結構面白いです。

osirisの設定は以下な感じ。一部伏せてますが。

osiris-4.1.8-release: print-mhost-config

[ management config (127.0.0.1) ]

syslog_facility = DAEMON
control_port = 2266
http_port = 2267
http_host = 000.000.000.000
notify_email = osiris@example.com
notify_app =
notify_smtp_host = 000.000.000.000
notify_smtp_port = 25
hosts_directory =
allow = 127.0.0.1
allow = 000.000.000.000
allow = 000.000.000.000


osiris-4.1.8-release: print-host-config hoge

[ host config (hoge) ]

host = 000.000.000.000
description = hoge
type = generic
enabled = yes
notify_enabled = yes
notify_flags = 5
notify_email =
session_key = 0000000000000000000000000000000000000000
base_db = 64
log_to_file = yes
schedule_start = 1118329692
schedule_period = 30
db_flags = 6
port = 2265
config =


osiris-4.1.8-release: host-details hoge

[ host details for: (hoge) ]

  enabled          : yes
  hostname/IP      : 192.168.0.0
  configs          : 0
  databases        : 2
  host type        : generic
  log files        : yes
  archive scans    : no
  auto accept      : yes
  purge databases  : yes
  notify enabled   : yes
  notify always    : no
  notify on rekey  : yes
  notify scan fail : yes
  notify email     : (management config)
  scans start      : Fri Jun 10 00:08:12 2005
  scan period      : every 30 minutes
  base DB          : 64
  agent port       : 2265
  description      : hoge

osiris-4.1.8-release: print-config default.darwin

 config name:  default.darwin
          ID:  0a1b019c
      status:  valid
      errors:  0
    warnings:  0
       lines:  57

-------- begin config file --------

# Default Configuration for Mac OS X.
Recursive   no
FollowLinks no
IncludeAll
Hash md5
<System>
Include mod_users
Include mod_groups
Include mod_kmods
</System>
<Directory />
Recursive no
Include file( "mach_kernel" )
</Directory>
<Directory /private/var/root>
Recursive yes
Include executable
</Directory>
<Directory /bin>
IncludeAll
</Directory>
<Directory /usr/bin>
IncludeAll
</Directory>
<Directory /usr/local/bin>
IncludeAll
</Directory>
<Directory /usr/local/sbin>
IncludeAll
</Directory>
<Directory /sbin>
IncludeAll
</Directory>
<Directory /usr/sbin>
IncludeAll
</Directory>
<Directory /System>
Recursive yes
IncludeAll
</Directory>
<Directory /Applications>
Recursive yes
IncludeAll
</Directory>
<Directory /Library>
Recursive yes
IncludeAll
</Directory>
<Directory /Users>
Recursive yes
IncludeAll
</Directory>
<Directory /etc>
Recursive yes
IncludeAll
</Directory>
# EOF

--------  end config file  --------

osiris-4.1.8-release: 

まぁその。/System, /Applications, /Library, /Users, /etc 辺りまで再帰的に見てる上に 30 分に一回スキャンかけてるってゆー、Mac mini にはちょっと辛そうな状態ですが。

*1:だっけ?正確な名前忘れた...

*2:もちろん検証機を全社員に公開なんてしてませんのでご安心を>誰となく

こじまこじま2005/06/17 01:57私は tripwire-portable を使ってます。

vm_convertervm_converter2005/06/17 03:17Tripwire(tm) Patchesのサイトはしばらく前から知ってはいたんですが、どうも使うのを躊躇しちゃうんですよね。> Tripwire やはりマカーには敷居が高いと感じるというか、触ったことも無いのに言うのもアレですが、インストールから設定までがちょっと面倒くさそうというか…。
レポートの見易さとかは圧倒的にTripwireの方が良いとは思うんですが。<http://www.itmedia.co.jp/help/howto/security/trip/03/index.html> など見る限りは。
ただ何というか、セキュリティ系のエンジニアでもない私のようなナンチャッテな人は、Osirisだと取りあえず入れとけって気になれる位には初期設定が楽だというか。
それと、Osirisって公式サイトのドキュメント(http://www.hostintegrity.com/osiris/handbook.html)内で使われているhost名が「mac-ibook」であることからも解るように、Mac OS Xで安心して使えるんですよね。そのドキュメントの末尾にあるように、リソースフォークも一応見てくれたりしますし。Tigerから cp, mv, tar, rsync 辺りがリソースフォークの扱いもサポートしてる <http://pcweb.mycom.co.jp/special/2005/tiger/013.html> んで、Osiris の方が検証にはより好ましかったりする事情も有ったりします。
その割には、個人的にFreeBSD 5.3RとDebian woodyとでさらっと使ってた感触からも、「portable」だなぁと思えますし。
でも、参考文献の数は圧倒的にTripwireの方が多いですから、あんまり他人には勧められないかもしれませんね。> Osiris

tomnekotomneko2005/06/17 04:49何かのアプリケーションでファイルを更新すると、たいていはHDDの違う領域に更新後のデータが書き込まれますね。ですから、更新されたファイルは「確実にゴミ箱を空にする」では本当に完全な消去にならないんですが、「確実」って言葉で安心してしまう人がけっこういるんじゃないかと思います。って、わたしは最近やっと気がついたのですけど。(「Secure Empty Trash」のSecureもくせもの)

shiroshiro2005/06/17 08:42「確実にゴミ箱を空にする」です。
あと、jerm の時も minicom とか tip に比べれば無名でした。けど、何かいいところのあるツールはきっとみんな分かってくれますから、多数派に流れる必要はないですよ。てか多数派に流れるならそもそも OS X / OS X S をすすめる事自体が(ry

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20050616

2005-06-08

[][][][] LANDesk Softwareが、管理コンソールのMac OS X ‘Tiger’のサポートを発表  LANDesk Softwareが、管理コンソールのMac OS X ‘Tiger’のサポートを発表 - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  LANDesk Softwareが、管理コンソールのMac OS X ‘Tiger’のサポートを発表 - リンクとか備忘録とか日記とか@pcmgxxx

LANDesk Management Suite 8: Mac対応 も併せて参照のこと。

Mac OS X 対応のインベントリツールって他に有るんでしょうかね。

いや、NetBootやNetwork Login環境とかARDとかである程度はできるのは解ってるんですけど。

追記:LANDesk® の ® を入れると化けるんで、上記では抜いてます。

インベントリに関しては、 資産管理ツール/キーマンズネット が解りやすいみたい。

vm_convertervm_converter2005/06/08 23:02あらら。化け化けだ。

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20050608

2005-06-07

[][] スラッシュドット ジャパン | Debian GNU/Linux 3.1 "sarge" リリース!  スラッシュドット ジャパン | Debian GNU/Linux 3.1 "sarge" リリース! - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  スラッシュドット ジャパン | Debian GNU/Linux 3.1 "sarge" リリース! - リンクとか備忘録とか日記とか@pcmgxxx

「AppleがIntelチップ採用だってのに sarge の話題からかよ!」と突っ込まれそうですが。

まぁ業務として対応したのはこっちが先なので。

そんな訳で、woodyでテンポラリーに立てているサーバがあるので /etc/apt/sources.list の stable を woody に置き換え。

$ sudo -s
# vi /etc/apt/sources.list

:%s/stable/woody/g
:x

(以下、念のため)
# apt-get update
# apt-get -s upgrade
# apt-get upgrade
# ^D
$ ^D

あぁ、ホントは vi する前に cp して sources.list のバックアップを念のため取って下さいね。>誰となく

[][] WebObjects 5.3  WebObjects 5.3 - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  WebObjects 5.3 - リンクとか備忘録とか日記とか@pcmgxxx

出てますね。

Tech Specs を見てて気になったんですが、webサーバってもぉ Apache 1.3.x しか公式にサポートしないんでしたっけ? 前からでしたっけ?? 前は IIS が入ってましたよね… 確か…。

まぁ個人的に関係ないから良いですけど…。

しかし何かもぉ、Apple的にはすっかり開発はMac OS Xだけって感じですね…。いや、しばらく前からそうだとは言え。

以上、ネタ元は Life With "WebObjects": WebObjects5.3

cobart7cobart72005/06/08 23:16ご無沙汰してます。ついでにIntel-based Macにコメント~
こちらでは、”そんなのMacじゃない!”とへこむ方と
”ハードで儲けてるAppleだから、PowerPCがPentiumに変わるだけだよ”という方、そして”VAIOでMac~”と騒ぐ自分の3者で
盛り上がっておりました
最初の一名の方を除き、仕事で使わないならかなり面白いというのが
共通の見解です。
ちなみに、現在組織変更により上記3名は同じグループになってます
そして、cobart7は今ではMac超初心者・・・(笑)

vm_convertervm_converter2005/06/08 23:52おーーー。ついにMac超初心者になりましたかー>cobart7さん
いやぁ、「そんなの〜」と「ハードが〜」と言ってるのはどっちがどっちか知りたいなぁ。(^^;;
しかし、3人同じグループですか。それはまた(笑 しかし何だか楽しそうだなぁ。

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20050607