月別アーカイブ: 2014年9月

【セキュリティ】「GNU Bash に OS コマンドインジェクションの脆弱性」の対策

最近世間をにぎわせているBashの脆弱性。
ご多分に漏れず当サーバも該当していました。

Bashをアップデートすれば対策になるので、
以下のように実施しましょう。

▼JVNの通達
http://jvn.jp/vu/JVNVU97219505/

▼CentOS6の情報はこちら
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html

▼Red Hat から出ているチェックコマンド

[admin@server ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
[admin@server ~]$

「vulnerable」なので脆弱性あり、ってことでしょう。

▼現在のbashのバージョンを確認

[admin@server ~]$ sudo rpm -q bash
bash-4.1.2-15.el6_4.i686
[admin@server ~]$

▼RPMはこちらから
http://rpm.pbone.net/
32bit版:「bash-4.1.2-15.el6_5.2.i686.rpm」で検索すると出る
64bit版:「bash-4.1.2-15.el6_5.2.x86_64.rpm」で検索すると出る

▼RPM取得

[admin@server ~]$ wget ftp://ftp.muug.mb.ca/mirror/centos/6.5/updates/i386/Packages/bash-4.1.2-15.el6_5.2.i686.rpm
--2014-09-29 11:21:05-- ftp://ftp.muug.mb.ca/mirror/centos/6.5/updates/i386/Packages/bash-4.1.2-15.el6_5.2.i686.rpm
=> `bash-4.1.2-15.el6_5.2.i686.rpm'
ftp.muug.mb.ca をDNSに問いあわせています... 130.179.31.46
ftp.muug.mb.ca|130.179.31.46|:21 に接続しています... 接続しました。
anonymous としてログインしています... ログインしました!
==> SYST ... 完了しました。 ==> PWD ... 完了しました。
==> TYPE I ... 完了しました。 ==> CWD (1) /mirror/centos/6.5/updates/i386/Packages ... 完了しました。
==> SIZE bash-4.1.2-15.el6_5.2.i686.rpm ... 908364
==> PASV ... 完了しました。 ==> RETR bash-4.1.2-15.el6_5.2.i686.rpm ... 完了しました。
長さ: 908364 (887K) (確証はありません)

100%[==============================================================================================================================================================>] 908,364 358K/s 時間 2.5s

2014-09-29 11:21:15 (358 KB/s) - `bash-4.1.2-15.el6_5.2.i686.rpm' へ保存終了 [908364]

[admin@server ~]$

▼RPMのコマンド
http://itpro.nikkeibp.co.jp/article/COLUMN/20060228/231208/

▼アップデートで実行

[admin@server ~]$ sudo rpm -Uvh bash-4.1.2-15.el6_5.2.i686.rpm
[sudo] password for admin:
準備中... ########################################### [100%]
1:bash ########################################### [100%]
[admin@server ~]$

▼再度チェックコマンドを実行

[admin@server ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
[admin@server ~]$

「vulnerable」が表示されなくなったのでOK

入門bash第3版 [ キャメロン・ニューハン ]

価格:3,024円
(2014/10/4 11:05時点)
感想(2件)

【サーバ】無料でサーバ運用しようぜ!

ずっと書こう書こうと思いつつ先延ばしにしていたのですが、
やっと筆を執りました。

▼ランニングコスト・ゼロでWEBサーバ運用!?
http://system.khl.mydns.jp/running_zero.php

興味のある方はぜひぜひ、一度お試しください!

「独習Linux専科」サーバ構築/運用/管理 [ 中井悦司 ]

価格:3,218円
(2014/10/4 11:13時点)
感想(1件)

【Apache】ブラウザキャッシュの設定

サーバの速度を改善しようと思った時に、色々とできることがあります。
ブラウザキャッシュの設定がそのうちの一つです。

Google先生のご指摘
https://developers.google.com/speed/docs/insights/LeverageBrowserCaching

Apacheでの設定方法
http://oxynotes.com/?p=6024

▼画像やCSSやJSを1週間キャッシュする場合は、以下をhttpd.confに追記します
# BEGIN Browser Cache
<ifModule mod_expires.c>
ExpiresActive On
ExpiresByType image/png “access plus 1 weeks”
ExpiresByType image/jpeg “access plus 1 weeks”
ExpiresByType image/gif “access plus 1 weeks”
ExpiresByType text/css “access plus 1 weeks”
ExpiresByType text/javascript “access plus 1 weeks”
</ifModule>
# END Browser Cache

▼GTmetrix先生に評価してもらうと、ブラウザキャッシュの得点がびっくりするぐらい上がります
http://gtmetrix.com/

サーバ構築の実際がわかるApache実践運用 / 管理 / 鶴長鎮一

価格:3,218円
(2014/10/4 11:09時点)
感想(0件)

技術書は高価だが…、モノは考えよう

このあいだ、広島の学生からの友人が
出張で東京に来たので一緒に飲んだのですが、
彼が上司から言われたという話が興味深かったので、ここで紹介します。

我々の業界は工学系であり、
それにまつわる書籍は基本的に¥2,000を超え、
ものによっては¥6,000だって平気で超えます。

社会人1年目にナケナシの金をはたいて
新書・古書を問わず技術書を買い漁っていた身としては
これは投資だ、これは投資だ、ぐふっ・・・でしたが、
会社の立場で見ると、どうも¥6,000だろうが安いらしいのです。

社会人3年目だとして、単金(時給)が¥1,800だったとしましょう。
時給¥1,800円なのなら、¥6,000円と言うのはどういう金額ですか?

4時間も働けば、その金額を追い抜くわけです。
ということは?

必死にググって半日かけて調べた内容が、
この技術書読んだらしっかりまとまってた、というような場合。

ググって出てきた内容の信憑性は低い。
一方で書籍は検閲を経ているだけに信憑性が高い。

そうすると、お前が必死こいて探すよりも、
大人しく本読んでる方が、断然コスパいいじゃないか!
ってことですよ。

今までの経験を元に考えれば分かるはずだったのですが、
言われて初めて気づいたので興味深かったです。

今の会社にもビジネス書籍手当があったりしますが、やっぱり上限が低いです。
この話を聞くと、もっと投資したって回収できそうな気もします。
まあ、実際そういう手当を運用していると、いろいろあるんでしょうが…。

とまあ、そんな話も聞けつつ、浜松町で美味しいお酒を飲めました。


▼この本も名著だと言われてるけど読めてないな…

人月の神話 [ フレデリック・フィリップス・ブルックス ]

価格:3,456円
(2014/9/15 23:56時点)
感想(0件)

【英語】英語はハッカーの必修科目ですよ!?

知り合いには誰にも言っていませんが、
6月から密かに英会話スクールに通っています。

そろそろ日常会話を終えて、
ビジネス英語に行けるかな、という頃合いなのですが、
よく先生に指摘されることがあります。

君は発音は良いし、実用的な文章を見せてくれるのだが、
文法がイマイチだな、と。

特に多いのは名詞の前に付くあれですよ。
そう、a(不定冠詞) とか the(定冠詞) とか my(所有格)ですよ。

↓の本を読んだりしつつ思っているのですが、
日本語は省略の文化であり、「誰の」をぼかした表現が多いですが、
英語は白黒つける文化であり、「誰の」を付けずにはいられないようです。

a(別に特定しないけど、とある1つの) とか
the(さっき話に出たアレ or 一般的に分かるでしょ) とか
my(オレの)
はとても重要なのです。

↓の本はまだ買ったばかりで全て目を通せていませんが、
立ち読みした限りでは
上記のように暗記するばかりではない、
理解する方向での内容が色々と書かれています。

本屋さん(八重洲ブックセンター)でもオススメだったので良書だと思いますよ。

頑張らない英文法 [ 西澤ロイ ]

価格:1,404円
(2014/9/15 23:02時点)
感想(1件)

暗号プロジェクト

大学時代に作っていた暗号化・復号プログラムがあるのですが、
WEB上でそれらを動かせないかと思いつつ着手しました。

ひとまず、シフト暗号を実装しました。

▼こんな感じ
http://system.khl.mydns.jp/program/cipher/shift/shift.php

暗号プログラムはC言語で書いているのですが、
コマンドライン上での対話型にしていたので
PHPでexec関数実行した際に値を返すように改修しました。

社会人になってからはJavaやPHPばかりだったので、
C言語のクセが頭から完全に抜けていて、しっかり苦戦しましたよ。

文字列操作があんなにややこしいとは…。
PHPって、つくづくとっつきやすいんだな。
配列気にしなくて良いし、そのまま代入できるし。

純粋C言語で頑張らない方が良いかなあ…。
C++勉強してみて、どっちが良いか比較してみるか。


▼大学時代にこの本で暗号への理解を深めました。読み物としても面白いですよ。

暗号解読(上巻) [ サイモン・シン ]

価格:680円
(2014/9/15 22:52時点)
感想(16件)

【1000円以上送料無料】暗号解読 下/サイモン・シン/青木薫

価格:723円
(2014/9/15 22:53時点)
感想(0件)