Hatena::Grouptech

id:rx7(@namikawa)の技術メモ このページをアンテナに追加 RSSフィード

過去記事一覧 | Main Blog (元RX-7乗りの適当な日々) | SBM (id:rx7のBookmark)

2013/07/29

リクエストヘッダに付加されたX-Forwarded-Forを消去する

| リクエストヘッダに付加されたX-Forwarded-Forを消去する - id:rx7(@namikawa)の技術メモ を含むブックマーク はてなブックマーク - リクエストヘッダに付加されたX-Forwarded-Forを消去する - id:rx7(@namikawa)の技術メモ リクエストヘッダに付加されたX-Forwarded-Forを消去する - id:rx7(@namikawa)の技術メモ のブックマークコメント

通信経路上(ロードバランサ/リバースプロキシ等)でリクエストヘッダに付加されたものを、

他のプロキシサーバ上で取り除きたい場合は、当然ながらセットされたものをヘッダから消去できる。


RequestHeader unset X-Forwarded-For

他にも、つい忘れがちだが、Header/RequestHeaderディレクティブでは、

set/unsetの他にもappend/add/echoなどもあるので、ドキュメントを参考に。


あと、Header/RequestHeaderの両者も間違えないように。

トラックバック - http://tech.g.hatena.ne.jp/rx7/20130729

2013/03/05

Apache(mod_ssl)のSSLCipherSuiteの設定パラメータで有効な暗号化方式と強度を確認する

| Apache(mod_ssl)のSSLCipherSuiteの設定パラメータで有効な暗号化方式と強度を確認する - id:rx7(@namikawa)の技術メモ を含むブックマーク はてなブックマーク - Apache(mod_ssl)のSSLCipherSuiteの設定パラメータで有効な暗号化方式と強度を確認する - id:rx7(@namikawa)の技術メモ Apache(mod_ssl)のSSLCipherSuiteの設定パラメータで有効な暗号化方式と強度を確認する - id:rx7(@namikawa)の技術メモ のブックマークコメント

当然ですが、opensslコマンドを使う。

んですが、Apacheが稼働しているサーバのopensslライブラリに依存しているので、チェックしたいApacheが稼働しているサーバで確認しましょう。


例えば、

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

Apacheで、↑のように設定されていたとすると、、、


$ openssl ciphers -v 'HIGH:MEDIUM:!aNULL:!MD5'
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(256) Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
CAMELLIA256-SHA         SSLv3 Kx=RSA      Au=RSA  Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA      SSLv3 Kx=PSK      Au=PSK  Enc=AES(256)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1
KRB5-DES-CBC3-SHA       SSLv3 Kx=KRB5     Au=KRB5 Enc=3DES(168) Mac=SHA1
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-DSS-AES128-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(128) Mac=SHA1
DHE-DSS-CAMELLIA128-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(128) Mac=SHA1
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
CAMELLIA128-SHA         SSLv3 Kx=RSA      Au=RSA  Enc=Camellia(128) Mac=SHA1
PSK-AES128-CBC-SHA      SSLv3 Kx=PSK      Au=PSK  Enc=AES(128)  Mac=SHA1
DHE-RSA-SEED-SHA        SSLv3 Kx=DH       Au=RSA  Enc=SEED(128) Mac=SHA1
DHE-DSS-SEED-SHA        SSLv3 Kx=DH       Au=DSS  Enc=SEED(128) Mac=SHA1
SEED-SHA                SSLv3 Kx=RSA      Au=RSA  Enc=SEED(128) Mac=SHA1
RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1
PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1
KRB5-RC4-SHA            SSLv3 Kx=KRB5     Au=KRB5 Enc=RC4(128)  Mac=SHA1

こんな感じで確認。

ちなみに、↑を実行した環境はというと、、、

# openssl version
OpenSSL 1.0.0-fips 29 Mar 2010
トラックバック - http://tech.g.hatena.ne.jp/rx7/20130305

2012/11/29

"SSL received a record that exceeded the maximum permissible length."

| "SSL received a record that exceeded the maximum permissible length." - id:rx7(@namikawa)の技術メモ を含むブックマーク はてなブックマーク - "SSL received a record that exceeded the maximum permissible length." - id:rx7(@namikawa)の技術メモ "SSL received a record that exceeded the maximum permissible length." - id:rx7(@namikawa)の技術メモ のブックマークコメント

ApacheでSSLの設定をしたのですが、特に複雑な設定もなかったので一発でいけるだろうと思って、ドヤァ!ってブラウザたたいたら、表題のエラーメッセージ。

で、設定を見直すと、、、mod_ssl.soをLoadModuleしてなかった...しにたい...

トラックバック - http://tech.g.hatena.ne.jp/rx7/20121129

2011/01/27

Apacheで、Attempt to serve directory: ...

| Apacheで、Attempt to serve directory: ...  - id:rx7(@namikawa)の技術メモ を含むブックマーク はてなブックマーク - Apacheで、Attempt to serve directory: ...  - id:rx7(@namikawa)の技術メモ Apacheで、Attempt to serve directory: ...  - id:rx7(@namikawa)の技術メモ のブックマークコメント

Apacheの話。

[error] [client xxx.xxx.xxx.xxx] Attempt to serve directory: /path/to/dir/

↑のようなエラーログが出て、全然、ファンシーインデックスなページが生成されず、

404(Not Found)が返るなーと思ってたら、mod_autoindexが有効になってなかった。


# httpd -l

とかして、"mod_autoindex.c"が含まれているか確認しましょう・・・。

トラックバック - http://tech.g.hatena.ne.jp/rx7/20110127

2011/01/26

Apacheでフォワードプロキシ

| Apacheでフォワードプロキシ - id:rx7(@namikawa)の技術メモ を含むブックマーク はてなブックマーク - Apacheでフォワードプロキシ - id:rx7(@namikawa)の技術メモ Apacheでフォワードプロキシ - id:rx7(@namikawa)の技術メモ のブックマークコメント

諸事情で、ちょろっとだけお手軽Proxyを使いたくなったので、

それなら、既にインストールされていたApacheでお手軽に準備。


"mod_proxy"モジュールがロードされていることを確認(httpd -l || httpd.conf等)して、

以下みたいな感じで、設定ファイル(httpd.conf等)に書いておけばOK。

ProxyRequests On
ProxyVia On

<Proxy *>
Order deny,allow
Deny from all
Allow from 172.16.0.0/12 127.0.0.1
</Proxy>

接続ポートは、"Listen"ディレクティブで設定されているものへ。

トラックバック - http://tech.g.hatena.ne.jp/rx7/20110126