読者です 読者をやめる 読者になる 読者になる

さくらVPSにオレオレ証明書を設定する方法

前準備

インストール
yum install openssl *opensslのコマンド使うため
yum install mod_ssl *ssl使用するため

鍵の作成

秘密鍵の作成
openssl genrsa -aes128 1024 > /etc/httpd/conf/server.key
Generating RSA private key, 1024 bit long modulus
......++++++
..++++++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:

openssl rsa -text < /etc/httpd/conf/server.key

公開鍵の作成
openssl req -new -key /etc/httpd/conf/server.key > /etc/httpd/conf/server.csr
証明書の作成
openssl x509 -in /etc/httpd/conf/server.csr -days 36500 -req -signkey /etc/httpd/conf/server.key > /etc/httpd/conf/server.crt
mv /etc/httpd/conf/server.key /etc/httpd/conf/server.key.bak
openssl rsa -in /etc/httpd/conf/server.key.bak > /etc/httpd/conf/server.key

サーバの設定

sslのサーバ設定
vi /etc/httpd/conf.d/ssl.conf
<VirtualHost _default_:443>以下に
SSLCertificateFile /etc/httpd/conf/server.crt
SSLCertificateKeyFile /etc/httpd/conf/server.key
iptablesの設定
vi /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
httpd再起動
service httpd restart

メールシステム

送信

SMTP

SMTPの通信シーケンス

・実際にコマンドプロンプトから自分のSMTPサーバに接続して実践
※本当はHELOとかが出来るはずIPS網からだと25番のtelnetが出来ない??自分の端末に入った後なら出来た。
telnet入ってなかったので以下でインストール

sudo yum -y install telnet

※いつか解決するその際に使用するリンク
http://server-setting.info/centos/sendmail_relay_test_telnet.html
http://server-setting.info/centos/postfix-relay-error-point.html
http://www.geekpage.jp/technology/ip-base/mail-2.php
https://teratail.com/questions/8722

telnet XX.XXX.XX.XXX 25
$ telnet mailhost.com 25
Trying XXX.XXX.XXX.XXX...
Connected to mailhost.com.
Escape character is '^]'.
220 mailhost.com ESMTP Postfix
HELO mailhost.com
250 mailhost.com
MAIL FROM:userid@mailhost.com
250 2.1.0 Ok
RCPT TO:receiptment@mail.com
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
HELLO This is test mail
.
250 2.0.0 Ok: queued as 5DF3AA0433
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

受信側

メール受信拒否

SPF

・内容
・設定方法
※ホストのIPで記述
※ホスト名で記述
※ネットワークで記述
・設定確認
・参考情報
IPA
http://www.ipa.go.jp/security/topics/20120523_spf.html

DKIM

・内容
・設定方法
http://cui.tokyo/2361
・参考情報

メールヘッダー情報

ヘッダーの見方

スパムメール

スパム度
算出方法

・キーワードマッチング
ヒューリスティック
ベイジアン

各種プロトコル

APOP

・内容
脆弱性
・現実

DNSに対する攻撃

DNS

DNSとは

Domain Name Systemの略
IPアドレスとDomainを紐付け、ドメインでのアクセスを可能にする仕組みのこと。

Domain(ドメイン)とは

領域・領土と訳される。
インターネット上の住所のこと。
.comとか.jpとかのことだが、一般的にいうと青字の部分がドメインと呼ばれる。
ex)

https://www.google.co.jp/

TLD(Top Level Domain)

.comとか.jpとかの部分。

FQDN(Fully Qualified Domain Name )完全修飾ドメイン

トップレベルドメインから以下すべてを含んだドメインのこと

https://www.google.co.jp/

ドメインの取得・登録方法

DNSサーバ

コンテンツサーバ

・役割

キャッシュサーバ

攻撃手法

キャッシュポイズニング

・内容
・対策
※Kaminsky Attack
・内容
・対策

DNSリフレクション(DNS amp)

・内容
・対策
・参考記事
www.atmarkit.co.jp

不正なゾーン転送

・内容
・対策

実践編

ドメイン検索

以下のサイトで検索するとこのような情報が出力される。
WHOIS検索 | ドメインの所有者情報を簡単検索 | すぐに使える便利なWEBツール | Tech-Unlimited

検索結果

hatena.ne.jp
[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Domain Information: [ドメイン情報]
a. [ドメイン名]                 HATENA.NE.JP
b. [ねっとわーくさーびすめい]   はてな
c. [ネットワークサービス名]     はてな
d. [Network Service Name]       hatena
k. [組織種別]                   ネットワークサービス
l. [Organization Type]          Network Service
m. [登録担当者]                 JK9494JP
n. [技術連絡担当者]             DT033JP
p. [ネームサーバ]               ns0.future-s.com
p. [ネームサーバ]               ns1.future-s.com
s. [署名鍵]                     
[状態]                          Connected (2017/03/31)
[登録年月日]                    2014/03/18
[接続年月日]                    2014/03/18
[最終更新]                      2016/04/01 01:11:34 (JST)

[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Contact Information: [担当者情報]
a. [JPNICハンドル]              JK9494JP
b. [氏名]                       近藤 淳也
c. [Last, First]                Kondo, Junya
d. [電子メイル]                 jpnic-apply@future-s.com
f. [組織名]                     株式会社はてな
g. [Organization]               Hatena Co., Ltd.
k. [部署]                        
l. [Division]                    
m. [肩書]                        
n. [Title]                       
o. [電話番号]                    
p. [FAX番号]                     
y. [通知アドレス]               jpnic-apply@future-s.com
[最終更新]                      2014/03/17 15:01:00 (JST)
                                form@dom.jprs.jp

[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Contact Information: [担当者情報]
a. [JPNICハンドル]              DT033JP
b. [氏名]                       谷孝 大
c. [Last, First]                Tanitaka, Dai
d. [電子メイル]                 jpnic-apply@future-s.com
f. [組織名]                     株式会社フューチャースピリッツ
g. [Organization]               Future Spirits Co.,Ltd
m. [肩書]                       代表取締役
n. [Title]                      President
o. [電話番号]                   075-326-3700
p. [FAX番号]                    075-326-7400
y. [通知アドレス]               jpnic-apply@future-s.com
[最終更新]                      2016/09/14 10:54:20 (JST)
                                form@dom.jprs.jp
コマンド

管理者のためのコマンド活用講座 - nslookup(1)――ドメイン情報を検索する:ITpro

nslookup google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
Name:   google.com
Address: 172.217.26.14

※TXTレコードの確認

nslookup -type=txt google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
google.com      text = "v=spf1 include:_spf.google.com ~all"

Authoritative answers can be found from:

※Aレコードの確認

nslookup -type=a google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
Name:   google.com
Address: 172.217.25.110

※MXレコードの確認

nslookup -type=mx google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
google.com      mail exchanger = 20 alt1.aspmx.l.google.com.
google.com      mail exchanger = 50 alt4.aspmx.l.google.com.
google.com      mail exchanger = 10 aspmx.l.google.com.
google.com      mail exchanger = 30 alt2.aspmx.l.google.com.
google.com      mail exchanger = 40 alt3.aspmx.l.google.com.

Authoritative answers can be found from:
DNSサーバの構築と運用そして攻撃実験

hosts

情報セキュリティスペシャリスト勉強法

過去問題の解き方ルール

時間を計測して解く

→→4→→0分/問 + 10分(バッファ)

プロセスチェック(時間)

→→→→問題に対しての時間のかけ方

プロセスチェック(言葉)

→→→→問題文中の言葉に変換する。
①設問を理解し、その答えに目途がついたなら、いったんそれを自分の言葉で表現する。
②字数が少ない場合5W1Hで膨らまないか考える
③その後、自分の言葉を問題文中に出てくる用語で置き換えられないかをチェックする。そのためには、問題文のマーク個所に目を通す
④これである程度字数が決まるので、設問の制限字数内に収まるように、不要な部分から優先的にカットしていく。

*** 解答・解説確認

①一言一句違ってなければ○、まったく番うのであれば×、よく似ているなら△
②根拠となる記述を発見出来た時。→OK 発見出来な時。→問題文の読み方、マークの仕方を改善する。
③解答表現の突合せを試験センターの解答と行う。
合っていれば→OK
間違っていれば→なぜその用語を使用しなかったのか、どのように他の用語を使用することを判断したのか。

情報セキュリティスペシャリスト

■必要勉強時間
550時間(情報セキュリティスペシャリスト 資格の難易度とランキング
2015/4/16をターゲットにすると。
1,2,3で、土日が24あるとすると、24*10でも240時間。
平日1時間*180で。420時間。
12月後半からでかなりギリギリ。。

使用した教材

アウトプット

以下の本を解く。午前Ⅱは重要なところだけ乗っていて便利。午後に関しても重要なものから順番に章立てされているので順番に解いていけばよい。

極選分析 情報処理安全確保支援士 予想問題集 (予想問題シリーズ)

極選分析 情報処理安全確保支援士 予想問題集 (予想問題シリーズ)

インプット

全体を広く学習することが出来る。

情報セキュリティスペシャリスト 合格テキスト 2016年度 (情報処理技術者試験対策)

情報セキュリティスペシャリスト 合格テキスト 2016年度 (情報処理技術者試験対策)

広く学習した内容を掘り下げるのに使える。
情報処理教科書 情報セキュリティスペシャリスト 2016年版

情報処理教科書 情報セキュリティスペシャリスト 2016年版

試験構成の把握と戦略・解答順番

午前Ⅰ  30問で50分

戦略

  応用情報処理を過去6年分解ければ問題ない。

午前Ⅱ  25問で40分

戦略

  情報セキュリティスペシャリスト過去問6年分解ければ問題ない。

午後Ⅰ  2問で90分 午後Ⅱ  3問から2問選択で120分

解答順番

・設問確認、問いに対する回答時間見積もり(5分)
・問いには対象のページ番号を記載する。
・残り35分以内で回答を行う。

午後Ⅰから入る。

理由:午前は所詮暗記、午後Ⅰの方式になれることと、午前Ⅱの内容も同時に勉強するため。
TACにのっとり
①合格テキスト
②ポイント集
③合格トレーニング
④模試
でやろうかとしたが、形式になれるためにまずは模試から行う。
そこで足りないものを①から③で吸収していくようにする。
としようとしたが、その前に
午後試験攻略テクニックというものがあるので、それを理解してから試験を行った。

■日々行ったこと
文字を読むことが少なくなっているのでリハビリがてら小説を読むことにした。
鼻の呼吸が難しいので呼吸できるようにした。

IPsecの仕組み - (3/3)Part1 オリエンテーション---LAN同士をつなぐために安全なトンネルを作る:ITpro
技術解説:IT管理者のためのIPSec講座 (1/3) - @IT
CCNAネットワーク基礎講座「IPSecって何?」 - YouTube


■POP
やってみよう!実験室 - 第1回 電子メールを送受信するSMTPとPOP3:ITpro
Windows 7 Telnetの設定 | AIRnet

■syslog
Linuxサーバ運用マニュアル
Linux管理者への道(3):システム管理の基礎 syslogdの設定をマスターしよう (1/3) - @IT


Linuxサーバのセキュリティ対策 part1

SSHを公開鍵認証にしたらパスワード入力しなくていいので楽すぎる

■暗号化
Let's Encrypt - Free SSL/TLS Certificates