2015年12月9日水曜日

CentOS7でLet's Encryptを試して失敗した話

http://www.websec-room.com/2015/12/04/2380
にならう。

まんまだと上記を見れば良いじゃんになるので、失敗ログも含めて以下。


まずhttpd、openssl、mod_sslが入っているかどうか確認

[root@SERVERNAME letsencrypt]# rpm -qa|grep httpd

httpd-2.4.6-31.el7.centos.1.x86_64
httpd-tools-2.4.6-31.el7.centos.1.x86_64
[root@SERVERNAME letsencrypt]# rpm -qa|grep openssl
openssl-devel-1.0.1e-42.el7.9.x86_64
openssl-libs-1.0.1e-42.el7.9.x86_64
openssl-1.0.1e-42.el7.9.x86_64
[root@SERVERNAME letsencrypt]# rpm -qa|grep mod_ssl
mod_ssl-2.4.6-31.el7.centos.1.x86_64

インストールスクリプトの実行
[root@SERVERNAME letsencrypt]# ./letsencrypt-auto --help


Bootstrapping dependencies for RedHat-based OSes...
yum は /usr/bin/yum です
読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
 * base: ftp.nara.wide.ad.jp
 * extras: ftp.nara.wide.ad.jp
 * updates: ftp.nara.wide.ad.jp
パッケージ python-2.7.5-18.el7_1.1.x86_64 はインストール済みか最新バージョンです
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ python-devel.x86_64 0:2.7.5-18.el7_1.1 を インストール
---> パッケージ python-virtualenv.noarch 0:1.10.1-2.el7 を インストール
--> 依存性解決を終了しました。

依存性を解決しました

================================================================================
 Package                アーキテクチャー
                                    バージョン               リポジトリー  容量
================================================================================
インストール中:
 python-devel           x86_64      2.7.5-18.el7_1.1         updates      389 k
 python-virtualenv      noarch      1.10.1-2.el7             base         1.2 M

トランザクションの要約
================================================================================
インストール  2 パッケージ

総ダウンロード容量: 1.6 M
インストール容量: 2.6 M
Downloading packages:
(1/2): python-devel-2.7.5-18.el7_1.1.x86_64.rpm            | 389 kB   00:00
(2/2): python-virtualenv-1.10.1-2.el7.noarch.rpm           | 1.2 MB   00:00
--------------------------------------------------------------------------------
合計                                               3.3 MB/s | 1.6 MB  00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  インストール中          : python-devel-2.7.5-18.el7_1.1.x86_64            1/2
  インストール中          : python-virtualenv-1.10.1-2.el7.noarch           2/2
  検証中                  : python-devel-2.7.5-18.el7_1.1.x86_64            1/2
  検証中                  : python-virtualenv-1.10.1-2.el7.noarch           2/2

インストール:
  python-devel.x86_64 0:2.7.5-18.el7_1.1
  python-virtualenv.noarch 0:1.10.1-2.el7

完了しました!
読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
 * base: ftp.nara.wide.ad.jp
 * extras: ftp.nara.wide.ad.jp
 * updates: ftp.nara.wide.ad.jp
パッケージ git-1.8.3.1-4.el7.x86_64 はインストール済みか最新バージョンです
パッケージ gcc-4.8.3-9.el7.x86_64 はインストール済みか最新バージョンです
パッケージ redhat-rpm-config-9.1.0-68.el7.centos.noarch はインストール済みか最新バージョンです
パッケージ ca-certificates-2015.2.4-70.0.el7_1.noarch はインストール済みか最新バージョンです
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ augeas-libs.x86_64 0:1.1.0-17.el7 を インストール
---> パッケージ dialog.x86_64 0:1.2-4.20130523.el7 を インストール
---> パッケージ libffi-devel.x86_64 0:3.0.13-11.el7 を インストール
---> パッケージ openssl-devel.x86_64 1:1.0.1e-42.el7.9 を インストール
--> 依存性の処理をしています: krb5-devel(x86-64) のパッケージ: 1:openssl-devel-1.0.1e-42.el7.9.x86_64
--> トランザクションの確認を実行しています。
---> パッケージ krb5-devel.x86_64 0:1.12.2-15.el7_1 を インストール
--> 依存性の処理をしています: libverto-devel のパッケージ: krb5-devel-1.12.2-15.el7_1.x86_64
--> 依存性の処理をしています: libselinux-devel のパッケージ: krb5-devel-1.12.2-15.el7_1.x86_64
--> 依存性の処理をしています: libcom_err-devel のパッケージ: krb5-devel-1.12.2-15.el7_1.x86_64
--> 依存性の処理をしています: keyutils-libs-devel のパッケージ: krb5-devel-1.12.2-15.el7_1.x86_64
--> トランザクションの確認を実行しています。
---> パッケージ keyutils-libs-devel.x86_64 0:1.5.8-3.el7 を インストール
---> パッケージ libcom_err-devel.x86_64 0:1.42.9-7.el7 を インストール
---> パッケージ libselinux-devel.x86_64 0:2.2.2-6.el7 を インストール
--> 依存性の処理をしています: libsepol-devel >= 2.1.9-1 のパッケージ: libselinux-devel-2.2.2-6.el7.x86_64
--> 依存性の処理をしています: pkgconfig(libsepol) のパッケージ: libselinux-devel-2.2.2-6.el7.x86_64
---> パッケージ libverto-devel.x86_64 0:0.2.5-4.el7 を インストール
--> トランザクションの確認を実行しています。
---> パッケージ libsepol-devel.x86_64 0:2.1.9-3.el7 を インストール
--> 依存性解決を終了しました。

依存性を解決しました

================================================================================
 Package                 アーキテクチャー
                                    バージョン                リポジトリー
                                                                           容量
================================================================================
インストール中:
 augeas-libs             x86_64     1.1.0-17.el7              base        332 k
 dialog                  x86_64     1.2-4.20130523.el7        base        208 k
 libffi-devel            x86_64     3.0.13-11.el7             base         22 k
 openssl-devel           x86_64     1:1.0.1e-42.el7.9         updates     1.2 M
依存性関連でのインストールをします:
 keyutils-libs-devel     x86_64     1.5.8-3.el7               base         37 k
 krb5-devel              x86_64     1.12.2-15.el7_1           updates     641 k
 libcom_err-devel        x86_64     1.42.9-7.el7              base         30 k
 libselinux-devel        x86_64     2.2.2-6.el7               base        174 k
 libsepol-devel          x86_64     2.1.9-3.el7               base         71 k
 libverto-devel          x86_64     0.2.5-4.el7               base         12 k

トランザクションの要約
================================================================================
インストール  4 パッケージ (+6 個の依存関係のパッケージ)

総ダウンロード容量: 2.7 M
インストール容量: 5.6 M
Downloading packages:
(1/10): dialog-1.2-4.20130523.el7.x86_64.rpm               | 208 kB   00:00
(2/10): augeas-libs-1.1.0-17.el7.x86_64.rpm                | 332 kB   00:00
(3/10): keyutils-libs-devel-1.5.8-3.el7.x86_64.rpm         |  37 kB   00:00
(4/10): libcom_err-devel-1.42.9-7.el7.x86_64.rpm           |  30 kB   00:00
(5/10): libselinux-devel-2.2.2-6.el7.x86_64.rpm            | 174 kB   00:00
(6/10): libsepol-devel-2.1.9-3.el7.x86_64.rpm              |  71 kB   00:00
(7/10): libverto-devel-0.2.5-4.el7.x86_64.rpm              |  12 kB   00:00
(8/10): libffi-devel-3.0.13-11.el7.x86_64.rpm              |  22 kB   00:00
(9/10): krb5-devel-1.12.2-15.el7_1.x86_64.rpm              | 641 kB   00:00
(10/10): openssl-devel-1.0.1e-42.el7.9.x86_64.rpm          | 1.2 MB   00:00
--------------------------------------------------------------------------------
合計                                               2.8 MB/s | 2.7 MB  00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  インストール中          : libcom_err-devel-1.42.9-7.el7.x86_64           1/10
  インストール中          : keyutils-libs-devel-1.5.8-3.el7.x86_64         2/10
  インストール中          : libsepol-devel-2.1.9-3.el7.x86_64              3/10
  インストール中          : libselinux-devel-2.2.2-6.el7.x86_64            4/10
  インストール中          : libverto-devel-0.2.5-4.el7.x86_64              5/10
  インストール中          : krb5-devel-1.12.2-15.el7_1.x86_64              6/10
  インストール中          : 1:openssl-devel-1.0.1e-42.el7.9.x86_64         7/10
  インストール中          : dialog-1.2-4.20130523.el7.x86_64               8/10
  インストール中          : libffi-devel-3.0.13-11.el7.x86_64              9/10
  インストール中          : augeas-libs-1.1.0-17.el7.x86_64               10/10
  検証中                  : libselinux-devel-2.2.2-6.el7.x86_64            1/10
  検証中                  : libverto-devel-0.2.5-4.el7.x86_64              2/10
  検証中                  : libsepol-devel-2.1.9-3.el7.x86_64              3/10
  検証中                  : keyutils-libs-devel-1.5.8-3.el7.x86_64         4/10
  検証中                  : augeas-libs-1.1.0-17.el7.x86_64                5/10
  検証中                  : 1:openssl-devel-1.0.1e-42.el7.9.x86_64         6/10
  検証中                  : libffi-devel-3.0.13-11.el7.x86_64              7/10
  検証中                  : krb5-devel-1.12.2-15.el7_1.x86_64              8/10
  検証中                  : libcom_err-devel-1.42.9-7.el7.x86_64           9/10
  検証中                  : dialog-1.2-4.20130523.el7.x86_64              10/10

インストール:
  augeas-libs.x86_64 0:1.1.0-17.el7     dialog.x86_64 0:1.2-4.20130523.el7
  libffi-devel.x86_64 0:3.0.13-11.el7   openssl-devel.x86_64 1:1.0.1e-42.el7.9

依存性関連をインストールしました:
  keyutils-libs-devel.x86_64 0:1.5.8-3.el7
  krb5-devel.x86_64 0:1.12.2-15.el7_1
  libcom_err-devel.x86_64 0:1.42.9-7.el7
  libselinux-devel.x86_64 0:2.2.2-6.el7
  libsepol-devel.x86_64 0:2.1.9-3.el7
  libverto-devel.x86_64 0:0.2.5-4.el7

完了しました!
Creating virtual environment...
Updating letsencrypt and virtual environment dependencies...../root/.local/share/letsencrypt/lib/python2.7/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
  InsecurePlatformWarning
./root/.local/share/letsencrypt/lib/python2.7/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
  InsecurePlatformWarning
.
Running with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt --help

  letsencrypt [SUBCOMMAND] [options] [-d domain] [-d domain] ...

The Let's Encrypt agent can obtain and install HTTPS/TLS/SSL certificates.  By
default, it will attempt to use a webserver both for obtaining and installing
the cert. Major SUBCOMMANDS are:

  (default) run        Obtain & install a cert in your current webserver
  certonly             Obtain cert, but do not install it (aka "auth")
  install              Install a previously obtained cert in a server
  revoke               Revoke a previously obtained certificate
  rollback             Rollback server configuration changes made during install
  config_changes       Show changes made to server config during installation
  plugins              Display information about installed plugins

Choice of server plugins for obtaining and installing cert:

  --apache          Use the Apache plugin for authentication & installation
  --standalone      Run a standalone webserver for authentication
  (nginx support is experimental, buggy, and not installed by default)
  --webroot         Place files in a server's webroot folder for authentication

OR use different plugins to obtain (authenticate) the cert and then install it:

  --authenticator standalone --installer apache

More detailed help:

  -h, --help [topic]    print this message, or detailed help on a topic;
                        the available topics are:

   all, automation, paths, security, testing, or any of the subcommands or
   plugins (certonly, install, nginx, apache, standalone, webroot, etc)

インストール出来たのか・・・?
取り敢えず出来たことにして、先に進む。

./letsencrypt-auto --apache



で、httpdを止めて--debug付きで実行してみると・・・

[root@SERVERNAME letsencrypt]# service httpd stop                                Redirecting to /bin/systemctl stop  httpd.service
[root@SERVERNAME letsencrypt]# ./letsencrypt-auto certonly --standalone -d MY-DOMAIN-NAME.DOMAIN --debug

Updating letsencrypt and virtual environment dependencies.......
Running with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt certonly --standalone -d MY-DOMAIN-NAME.DOMAIN --debug
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/bin/letsencrypt", line 11, in
    sys.exit(main())
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/cli.py", line 1283, in main
    return args.func(args, config, plugins)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/cli.py", line 512, in obtain_cert
    _auth_from_domains(le_client, config, domains)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/cli.py", line 336, in _auth_from_domains
    lineage = le_client.obtain_and_enroll_certificate(domains)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/client.py", line 283, in obtain_and_enroll_certificate
    certr, chain, key, _ = self.obtain_certificate(domains)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/client.py", line 266, in obtain_certificate
    return self._obtain_certificate(domains, csr) + (key, csr)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/client.py", line 224, in _obtain_certificate
    authzr = self.auth_handler.get_authorizations(domains)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/auth_handler.py", line 84, in get_authorizations
    self._respond(cont_resp, dv_resp, best_effort)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/auth_handler.py", line 142, in _respond
    self._poll_challenges(chall_update, best_effort)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/letsencrypt/auth_handler.py", line 204, in _poll_challenges
    raise errors.FailedChallenges(all_failed_achalls)
FailedChallenges: Failed authorization procedure. MY-DOMAIN-NAME.DOMAIN (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client for DV :: Failed to connect to host for DVSNI challenge


IMPORTANT NOTES:
 - The following 'urn:acme:error:connection' errors were reported by
   the server:

   Domains: MY-DOMAIN-NAME.DOMAIN
   Error: The server could not connect to the client for DV


うん、エラーで止まった。
httpdを有効にしてスタートすると、メールアドレス入力までは行き着くが、80番を聞いてるから落として再実行しろとのたまう。
現状ここまで。


追記
成功したのは
http://roserogue.blogspot.jp/2016/10/centos-owncloud-lets-encrypt.html
で。
というか、これもある意味成功していたのだけれども、ルータとサーバでポートを空けていなかったから、letsencrypt側から確認出来なかった、というのが原因でエラーを吐いていた。
あと、あるあるミスのselinux。

2015年11月26日木曜日

rsyncで外付けUSBハードディスクにバックアップするシェルスクリプトのメモ。

rsyncを使ったバックアップ用のシェルスクリプトを書いたのでメモ。
USBに対してバックアップする用途。
USBにはあらかじめ「backupdata」というディレクトリを作成しておく。

vi backupusb.sh
で作成。

#!/bin/sh

#変数。上がソースで下が書き出し先
sharedir=/backup-source-directory
backupdir=/media/backupusb/backup-data-directory

#if文で同ディレクトリが存在するかどうか確認(特にバックアップ先のマウント忘れ防止)

if [ -e $backupdir ] && [ -e $sharedir ]; then

#ログファイル作成
touch $backupdir/rsync.log

#rsyncでバックアップする。
#書式はrsync -オプション /バックアップ元ディレクトリ /バックアップ先ディレクトリ

rsync -avhP $sharedir $backupdir --delete --log-file=$backupdir/rsync.log

#各オプションは、大文字小文字の区別あり。
#「-a」再帰的に様々な要素を複製する。ざっくり言うと、極力まんまコピーする。
#「-v」おしゃべり。
#「-h」単位を丸める
#「-P」進捗表示
#「--delete」オプションはバックアップ元ディレクトリとバックアップ先ディレクトリを比較
#バックアップ元から無くなっている場合はバックアップ先からも消去する。
#「--log-file」オプションは、指定先に対してログを書き出す。

else
 echo "DONT MOUNTED!!"
fi
以上で。

chmod +x backupusb.sh
で実行権限を付けて、
sh backupusb.sh
で実行。
cron等に登録するのも良い。

オプションに-nが入るとテストモード。

http://open-groove.net/shell/if-and-or/
とまんま同じところではまったので、リンクを残しておく。
要はif文で、●●かつ■■が正しい場合、はandではなくtest文の[]を&&でつなぐという。

http://inaz2.hatenablog.com/entry/2013/07/10/142129
がわかりやすい。

2015年11月9日月曜日

F-Secure問題の続報が酷すぎる

どうしたんだろう。

前のエントリから一転、トンデモリリースが出た。

11/4のニュースについての続報
https://www.f-secure.com/ja_JP/web/press_jp/news-clippings/-/journal_content/56/1082220/1423364


二文目
エフセキュアの社内のお客様情報や業務上知りえた個人情報が外部に漏えいしたという事実はありません。
ここが既に五文目と矛盾しているのだが、気にしない。
恐らくf-secureとしては触れたくないのだろう。
あくまでも、自社で収集した個人情報は漏洩していないとアピールしているのである。
そして当該(元)社員が行った行為は、業務時間外で且つ業務システムは使っていないと暗に示している、というところか。

三文目
エフセキュアはフェイスブックやその他SNSに登録されている個人情報を保持しておりません。
もし
http://news.mynavi.jp/news/2014/05/21/295/
で説明されているように、エンジンのみの提供で通知は全てfacebookからなのであれば、たしかに個人情報を持っていない可能性はある。
ただそうなると、今回炎上した理由の一つ(どうやってリストを作成したのか)を説明できない。

四文目
エフセキュア製品が、エフセキュア製品をご利用のお客様の個人情報を収集することは、いかなる利用形態においてもございません。
いやユーザー登録するでしょ、というツッコミが入ることを気にもせず言い切ったのは偉いと思います。

五行目
エフセキュアでは、今回公開されたとされるリストは所持しておらず、内容も確認致しておりません。
これが一番拙い点。
検証するためには内容確認は最低限必要。
問題が起こったにもかかわらず、それを調査する気は無いと断言しているようなもの。
そもそも手に入れようと思えば簡単に手に入るものなのに、である。
何故これを書いてしまったのか、その意図が兎に角つかみかねるところ。

六行目
なお、不適切なSNS利用があったとされている社員は、本人の意思により既に弊社を退職しております。
これは言わずもがな。海外ならこれで通用するのかも知れないが、日本だと反感を買うだけである。

何とも言えない、としか言えない。
日本でリリースする文章ではないのは明白だし、意図を掴みかねている。
下衆の勘繰りで想像するならば、敢えてこう書かなければならなかった会社内部の事情があるとしか思えない。

何にしろ、この一件は、兎に角これで幕引きをしたいというf-secure側の意図が見えるので、恐らく続報はもう無いだろう。
そして間違いなく言えることは、今後の案件でf-secure製品とサービスを利用する人は圧倒的に減るだろうということである。

追記
あまりにも納得いかなくてggったところ、大体同じように思っている人や政治家が見つかった。
http://abyssus.hatenablog.com/entry/2015/11/07/203647

https://samurai20.jp/2015/11/f-secure/

まあ日本人だとそう思いますし、そうしますよね。

ただ、英文だと
https://www.f-secure.com/en/web/press_global/news/news-archive/-/journal_content/56/1075444/1423376

なので、訳が正しければ、こちらの方がまともな文章にみえる。
ということは、水面下では動いているのかも知れない。

2015年11月5日木曜日

F-Secure問題に見る、顧客を安心させる秀逸なリリースの掲出

大変気になるニュースと感心したことがあったので備忘録として。

【エフセキュア株式会社】F-Secure社、久保田直己氏の情報漏洩事件
http://matome.naver.jp/odai/2144661883763922401
F-Secure(エフセキュア)の久保田直己氏が大量の個人情報漏洩で炎上
http://matome.naver.jp/odai/2144661266249874601

要旨としては、フェイスブックで特定の記事に対して「いいね(like)」ボタンを押した人の個人情報を、
公開/非公開にかかわらず収集してリスト公開したらしいというもの。

恐らく
Facebookがマルウェア対策を無償提供 - TrendMicro、F-Secureと提携
http://news.mynavi.jp/news/2014/05/21/295/
の一環で、顧客情報へのアクセスをfacebookがf-secureに提供しているから実現できたと思われる。

セキュリティ会社がセキュリティホールでしたというお粗末な話のようだが、f-secureのリリースが秀逸過ぎた。

04 11月 2015
弊社社員による個人的なソーシャルメディアの不適切な利用とされている件について
https://www.f-secure.com/ja_JP/web/press_jp/news-clippings/-/journal_content/56/1082220/1423363

まずタイトルから
弊社社員による個人的なソーシャルメディアの不適切な利用とされている件について
自分のところの従業員であることを認めながらも、個人が行ったことであるとしている。
これによって、会社側としての保険をまず担保している。また、あくまでもソーシャルメディアを利用したとして、
f-secureのシステムを使ってやったわけでは無い(のではないか)と示している。
また、「されている」という、未だ未確認である旨を示すことで、確定情報では無いと暗に示している。
これは上のf-secureのシステムを使ったかどうかも現状不明であるとも示しているが、文言としてのニュアンスで解釈するところ。
上手い。

一行目
エフセキュア日本法人の社員が、ソーシャルメディアの個人使用において、不適切な使用を行ったとされております。
こちらもタイトルの内容をそのまま繰り返しているが、微妙にソーシャルメディア(に紐付いたシステムを)個人使用したかも?ともとれる。ここは何ともいえない歯切れの悪さでいい。

二行目
エフセキュアは、社員の行動規範には厳しい基準を設けており、本件を非常に重く受け止めており、現在この件について社内調査を進めております。
会社としてはあり得ない話だから、がんばって調査をしているよ、と社内コンプライアンスは完璧だが、一部の社員のせいでこうなったのだとアピールしている。
また、ここで現状の確定報告(社内調査中である)している。タイトルに対するリリースとしてはここが本旨だったりする。

三行目
また、当該社員によるエフセキュア重要データ等へのアクセスは行われておらず、本件によるお客様へのエフセキュアのサービスやデータに影響はございません。
ここが秀逸。
あくまでも「エフセキュア重要データ等へのアクセス」はされてなく、且つ顧客に提供しているサービス、及びデータは問題ない、安心してね、と書いてある。
裏を返せば、facebookのデータ(facebookから提供される個人情報を含めた諸々)は知らない(調査中だ)ということ。

そのあとは謝罪文と問い合わせ文。

ぱっと見だと「ああ、問題ないんだな」と思わせる(実際f-secure製品としては問題ないという)リリース。
かなり参考になった。

要点は
・まず分からないことは分からないようにする(伝聞や想定であるとアピールする)。要は、徹底的にはぐらかす。
・現状は断言する。二行目の文章。強い企業の姿勢もアピール。
・実際問題ないところは問題ないとアピールする(言い方は悪いが、話を上手くすり替える。今回の件だと、facebookの個人情報の件は調査中であると言っているので、文章としてもリリースとしても全く問題が無い)

かな。

個人的には痛い話。
F-Ssecure製品を購入するという選択肢が無くなってしまう。セキュリティ企業で無ければ、未だよかったのにとつくづく。
企業コンプライアンスって大事ですね。
特にマイナンバーが始まるので、もしかしたらSophosが全取りするんじゃないかと密かに思っていたり(まあ、なさそうだけど)。
また、どうやって非公開の個人情報を抜いたらしいのかが一番気になるところ。想像通りfacebook←→f-secureのデータ融通なのであれば良いけど。

今後のリリースも練られたものが出るはずなので、続報を待つことにする。

続報
http://roserogue.blogspot.jp/2015/11/f-secure_9.html
酷い。

2015年7月4日土曜日

cache.google.com

この忌々しきgoogleのトラフィックはいつも僕を悩ませる。

人がいるときにcache.google.comに対するトラフィックが半端ないのである。
何かと思ったら、
http://www.ozonesolutions.com/programming/2011/07/cache-google-com/

なんとyoutube。
80番で通信してるんですね。
ということは、やっぱりまだ動画がダウンロードできるということなのか。

2015年7月1日水曜日

owncloud8.0.4-12.1yumインストール時ログ(最小構成からのインストール時@centos7)


===============================================================================================================================
 Package                                  アーキテクチャー バージョン                   リポジトリー                      容量
===============================================================================================================================
インストール中:
 owncloud                                 noarch           8.0.4-12.1                   isv_ownCloud_community            25 k
依存性関連でのインストールをします:
 audit-libs-python                        x86_64           2.4.1-5.el7                  base                              69 k
 checkpolicy                              x86_64           2.1.12-6.el7                 base                             247 k
 libcgroup                                x86_64           0.41-8.el7                   base                              64 k
 libsemanage-python                       x86_64           2.1.10-16.el7                base                              94 k
 owncloud-3rdparty                        noarch           8.0.4-12.1                   isv_ownCloud_community           3.2 M
 owncloud-app-activity                    noarch           8.0.4-12.1                   isv_ownCloud_community           106 k
 owncloud-app-external                    noarch           8.0.4-12.1                   isv_ownCloud_community            56 k
 owncloud-app-files                       noarch           8.0.4-12.1                   isv_ownCloud_community           244 k
 owncloud-app-files_encryption            noarch           8.0.4-12.1                   isv_ownCloud_community           153 k
 owncloud-app-files_external              noarch           8.0.4-12.1                   isv_ownCloud_community           706 k
 owncloud-app-files_locking               noarch           8.0.4-12.1                   isv_ownCloud_community            22 k
 owncloud-app-files_pdfviewer             noarch           8.0.4-12.1                   isv_ownCloud_community           1.7 M
 owncloud-app-files_sharing               noarch           8.0.4-12.1                   isv_ownCloud_community           155 k
 owncloud-app-files_texteditor            noarch           8.0.4-12.1                   isv_ownCloud_community           879 k
 owncloud-app-files_trashbin              noarch           8.0.4-12.1                   isv_ownCloud_community            73 k
 owncloud-app-files_versions              noarch           8.0.4-12.1                   isv_ownCloud_community            55 k
 owncloud-app-files_videoviewer           noarch           8.0.4-12.1                   isv_ownCloud_community           186 k
 owncloud-app-firstrunwizard              noarch           8.0.4-12.1                   isv_ownCloud_community            71 k
 owncloud-app-gallery                     noarch           8.0.4-12.1                   isv_ownCloud_community            71 k
 owncloud-app-provisioning_api            noarch           8.0.4-12.1                   isv_ownCloud_community            23 k
 owncloud-app-templateeditor              noarch           8.0.4-12.1                   isv_ownCloud_community            53 k
 owncloud-app-user_external               noarch           8.0.4-12.1                   isv_ownCloud_community            20 k
 owncloud-app-user_ldap                   noarch           8.0.4-12.1                   isv_ownCloud_community           254 k
 owncloud-app-user_webdavauth             noarch           8.0.4-12.1                   isv_ownCloud_community            48 k
 owncloud-config-apache                   noarch           8.0.4-12.1                   isv_ownCloud_community            18 k
 owncloud-server                          noarch           8.0.4-12.1                   isv_ownCloud_community            15 M
 php-ldap                                 x86_64           5.4.16-36.el7_1              updates                           51 k
 policycoreutils-python                   x86_64           2.2.5-15.el7                 base                             434 k
 python-IPy                               noarch           0.75-6.el7                   base                              32 k
 setools-libs                             x86_64           3.3.7-46.el7                 base                             485 k

トランザクションの要約
===============================================================================================================================
インストール  1 パッケージ (+30 個の依存関係のパッケージ)

総ダウンロード容量: 25 M
インストール容量: 71 M
Is this ok [y/d/N]: y
Downloading packages:
(1/31): audit-libs-python-2.4.1-5.el7.x86_64.rpm                                                        |  69 kB  00:00:00
(2/31): libcgroup-0.41-8.el7.x86_64.rpm                                                                 |  64 kB  00:00:00
(3/31): checkpolicy-2.1.12-6.el7.x86_64.rpm                                                             | 247 kB  00:00:00
(4/31): libsemanage-python-2.1.10-16.el7.x86_64.rpm                                                     |  94 kB  00:00:00
warning: /var/cache/yum/x86_64/7/isv_ownCloud_community/packages/owncloud-8.0.4-12.1.noarch.rpm: Header V3 DSA/SHA1 Signature, key ID ba684223: NOKEY
owncloud-8.0.4-12.1.noarch.rpm の公開鍵がインストールされていません
(5/31): owncloud-8.0.4-12.1.noarch.rpm                                                                  |  25 kB  00:00:01
(6/31): owncloud-app-activity-8.0.4-12.1.noarch.rpm                                                     | 106 kB  00:00:01
(7/31): owncloud-app-external-8.0.4-12.1.noarch.rpm                                                     |  56 kB  00:00:01
(8/31): owncloud-app-files-8.0.4-12.1.noarch.rpm                                                        | 244 kB  00:00:02
(9/31): owncloud-app-files_encryption-8.0.4-12.1.noarch.rpm                                             | 153 kB  00:00:03
(10/31): owncloud-3rdparty-8.0.4-12.1.noarch.rpm                                                        | 3.2 MB  00:00:11
(11/31): owncloud-app-files_locking-8.0.4-12.1.noarch.rpm                                               |  22 kB  00:00:00
(12/31): owncloud-app-files_pdfviewer-8.0.4-12.1.noarch.rpm                                             | 1.7 MB  00:00:10
(13/31): owncloud-app-files_sharing-8.0.4-12.1.noarch.rpm                                               | 155 kB  00:00:02
(14/31): owncloud-app-files_external-8.0.4-12.1.noarch.rpm                                              | 706 kB  00:00:15
(15/31): owncloud-app-files_trashbin-8.0.4-12.1.noarch.rpm                                              |  73 kB  00:00:02
(16/31): owncloud-app-files_texteditor-8.0.4-12.1.noarch.rpm                                            | 879 kB  00:00:04
(17/31): owncloud-app-files_versions-8.0.4-12.1.noarch.rpm                                              |  55 kB  00:00:01
(18/31): owncloud-app-files_videoviewer-8.0.4-12.1.noarch.rpm                                           | 186 kB  00:00:02
(19/31): owncloud-app-firstrunwizard-8.0.4-12.1.noarch.rpm                                              |  71 kB  00:00:01
(20/31): owncloud-app-provisioning_api-8.0.4-12.1.noarch.rpm                                            |  23 kB  00:00:00
(21/31): owncloud-app-gallery-8.0.4-12.1.noarch.rpm                                                     |  71 kB  00:00:01
(22/31): owncloud-app-user_external-8.0.4-12.1.noarch.rpm                                               |  20 kB  00:00:00
(23/31): owncloud-app-templateeditor-8.0.4-12.1.noarch.rpm                                              |  53 kB  00:00:01
(24/31): owncloud-app-user_webdavauth-8.0.4-12.1.noarch.rpm                                             |  48 kB  00:00:01
(25/31): owncloud-config-apache-8.0.4-12.1.noarch.rpm                                                   |  18 kB  00:00:00
(26/31): php-ldap-5.4.16-36.el7_1.x86_64.rpm                                                            |  51 kB  00:00:00
(27/31): setools-libs-3.3.7-46.el7.x86_64.rpm                                                           | 485 kB  00:00:00
(28/31): python-IPy-0.75-6.el7.noarch.rpm                                                               |  32 kB  00:00:00
(29/31): policycoreutils-python-2.2.5-15.el7.x86_64.rpm                                                 | 434 kB  00:00:00
(30/31): owncloud-app-user_ldap-8.0.4-12.1.noarch.rpm                                                   | 254 kB  00:00:03
(31/31): owncloud-server-8.0.4-12.1.noarch.rpm                                                          |  15 MB  00:02:48
-------------------------------------------------------------------------------------------------------------------------------
合計                                                                                           122 kB/s |  25 MB  00:03:26
http://download.opensuse.org/repositories/isv:/ownCloud:/community/CentOS_CentOS-7/repodata/repomd.xml.key から鍵を取得中です。
Importing GPG key 0xBA684223:
 Userid     : "isv:ownCloud OBS Project "
 Fingerprint: f9ea 4996 7473 104e 7947 4c44 977c 43a8 b868 4233
 From       : http://download.opensuse.org/repositories/isv:/ownCloud:/community/CentOS_CentOS-7/repodata/repomd.xml.key
上記の処理を行います。よろしいでしょうか? [y/N]y
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  インストール中          : checkpolicy-2.1.12-6.el7.x86_64                                                               1/31
  インストール中          : audit-libs-python-2.4.1-5.el7.x86_64                                                          2/31
  インストール中          : libcgroup-0.41-8.el7.x86_64                                                                   3/31
  インストール中          : python-IPy-0.75-6.el7.noarch                                                                  4/31
  インストール中          : php-ldap-5.4.16-36.el7_1.x86_64                                                               5/31
  インストール中          : setools-libs-3.3.7-46.el7.x86_64                                                              6/31
  インストール中          : libsemanage-python-2.1.10-16.el7.x86_64                                                       7/31
  インストール中          : policycoreutils-python-2.2.5-15.el7.x86_64                                                    8/31
  インストール中          : owncloud-app-gallery-8.0.4-12.1.noarch                                                        9/31
  インストール中          : owncloud-app-files_external-8.0.4-12.1.noarch                                                10/31
  インストール中          : owncloud-app-user_ldap-8.0.4-12.1.noarch                                                     11/31
  インストール中          : owncloud-app-files_sharing-8.0.4-12.1.noarch                                                 12/31
  インストール中          : owncloud-app-user_webdavauth-8.0.4-12.1.noarch                                               13/31
  インストール中          : owncloud-3rdparty-8.0.4-12.1.noarch                                                          14/31
  インストール中          : owncloud-app-activity-8.0.4-12.1.noarch                                                      15/31
  インストール中          : owncloud-app-external-8.0.4-12.1.noarch                                                      16/31
  インストール中          : owncloud-app-files_locking-8.0.4-12.1.noarch                                                 17/31
  インストール中          : owncloud-app-provisioning_api-8.0.4-12.1.noarch                                              18/31
  インストール中          : owncloud-app-files_trashbin-8.0.4-12.1.noarch                                                19/31
  インストール中          : owncloud-app-firstrunwizard-8.0.4-12.1.noarch                                                20/31
  インストール中          : owncloud-app-files_versions-8.0.4-12.1.noarch                                                21/31
  インストール中          : owncloud-app-files_texteditor-8.0.4-12.1.noarch                                              22/31
  インストール中          : owncloud-app-files_videoviewer-8.0.4-12.1.noarch                                             23/31
  インストール中          : owncloud-app-templateeditor-8.0.4-12.1.noarch                                                24/31
  インストール中          : owncloud-app-user_external-8.0.4-12.1.noarch                                                 25/31
  インストール中          : owncloud-app-files_encryption-8.0.4-12.1.noarch                                              26/31
  インストール中          : owncloud-app-files-8.0.4-12.1.noarch                                                         27/31
  インストール中          : owncloud-app-files_pdfviewer-8.0.4-12.1.noarch                                               28/31
owncloud-server: First install starting
  インストール中          : owncloud-server-8.0.4-12.1.noarch                                                            29/31
owncloud-server First install complete
  インストール中          : owncloud-config-apache-8.0.4-12.1.noarch                                                     30/31
owncloud-config-apache: First install complete
owncloud-config-apache: Reloading
Redirecting to /bin/systemctl status  httpd.service
httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
   Active: active (running) since 火 2015-06-30 18:08:21 JST; 13min ago
 Main PID: 19019 (httpd)
   Status: "Total requests: 5; Current requests/sec: 0; Current traffic:   0 B/sec"
   CGroup: /system.slice/httpd.service
           ├─19019 /usr/sbin/httpd -DFOREGROUND
           ├─19021 /usr/sbin/httpd -DFOREGROUND
           ├─19022 /usr/sbin/httpd -DFOREGROUND
           ├─19023 /usr/sbin/httpd -DFOREGROUND
           ├─19024 /usr/sbin/httpd -DFOREGROUND
           ├─19025 /usr/sbin/httpd -DFOREGROUND
           ├─19026 /usr/sbin/httpd -DFOREGROUND
           ├─19027 /usr/sbin/httpd -DFOREGROUND
           └─19028 /usr/sbin/httpd -DFOREGROUND

 6月 30 18:08:21 localhost.localdomain systemd[1]: Started The Apache HTTP Server.
Redirecting to /bin/systemctl reload  httpd.service
  インストール中          : owncloud-8.0.4-12.1.noarch                                                                   31/31
  検証中                  : libsemanage-python-2.1.10-16.el7.x86_64                                                       1/31
  検証中                  : owncloud-app-gallery-8.0.4-12.1.noarch                                                        2/31
  検証中                  : owncloud-config-apache-8.0.4-12.1.noarch                                                      3/31
  検証中                  : owncloud-server-8.0.4-12.1.noarch                                                             4/31
  検証中                  : owncloud-app-files_external-8.0.4-12.1.noarch                                                 5/31
  検証中                  : owncloud-app-user_ldap-8.0.4-12.1.noarch                                                      6/31
  検証中                  : setools-libs-3.3.7-46.el7.x86_64                                                              7/31
  検証中                  : owncloud-8.0.4-12.1.noarch                                                                    8/31
  検証中                  : owncloud-app-files_sharing-8.0.4-12.1.noarch                                                  9/31
  検証中                  : owncloud-app-user_webdavauth-8.0.4-12.1.noarch                                               10/31
  検証中                  : php-ldap-5.4.16-36.el7_1.x86_64                                                              11/31
  検証中                  : owncloud-3rdparty-8.0.4-12.1.noarch                                                          12/31
  検証中                  : owncloud-app-activity-8.0.4-12.1.noarch                                                      13/31
  検証中                  : owncloud-app-external-8.0.4-12.1.noarch                                                      14/31
  検証中                  : python-IPy-0.75-6.el7.noarch                                                                 15/31
  検証中                  : owncloud-app-files_locking-8.0.4-12.1.noarch                                                 16/31
  検証中                  : owncloud-app-provisioning_api-8.0.4-12.1.noarch                                              17/31
  検証中                  : policycoreutils-python-2.2.5-15.el7.x86_64                                                   18/31
  検証中                  : libcgroup-0.41-8.el7.x86_64                                                                  19/31
  検証中                  : owncloud-app-files_trashbin-8.0.4-12.1.noarch                                                20/31
  検証中                  : owncloud-app-firstrunwizard-8.0.4-12.1.noarch                                                21/31
  検証中                  : audit-libs-python-2.4.1-5.el7.x86_64                                                         22/31
  検証中                  : owncloud-app-files_versions-8.0.4-12.1.noarch                                                23/31
  検証中                  : owncloud-app-files_texteditor-8.0.4-12.1.noarch                                              24/31
  検証中                  : owncloud-app-files_videoviewer-8.0.4-12.1.noarch                                             25/31
  検証中                  : checkpolicy-2.1.12-6.el7.x86_64                                                              26/31
  検証中                  : owncloud-app-templateeditor-8.0.4-12.1.noarch                                                27/31
  検証中                  : owncloud-app-user_external-8.0.4-12.1.noarch                                                 28/31
  検証中                  : owncloud-app-files_encryption-8.0.4-12.1.noarch                                              29/31
  検証中                  : owncloud-app-files-8.0.4-12.1.noarch                                                         30/31
  検証中                  : owncloud-app-files_pdfviewer-8.0.4-12.1.noarch                                               31/31

インストール:
  owncloud.noarch 0:8.0.4-12.1

依存性関連をインストールしました:
  audit-libs-python.x86_64 0:2.4.1-5.el7                         checkpolicy.x86_64 0:2.1.12-6.el7
  libcgroup.x86_64 0:0.41-8.el7                                  libsemanage-python.x86_64 0:2.1.10-16.el7
  owncloud-3rdparty.noarch 0:8.0.4-12.1                          owncloud-app-activity.noarch 0:8.0.4-12.1
  owncloud-app-external.noarch 0:8.0.4-12.1                      owncloud-app-files.noarch 0:8.0.4-12.1
  owncloud-app-files_encryption.noarch 0:8.0.4-12.1              owncloud-app-files_external.noarch 0:8.0.4-12.1
  owncloud-app-files_locking.noarch 0:8.0.4-12.1                 owncloud-app-files_pdfviewer.noarch 0:8.0.4-12.1
  owncloud-app-files_sharing.noarch 0:8.0.4-12.1                 owncloud-app-files_texteditor.noarch 0:8.0.4-12.1
  owncloud-app-files_trashbin.noarch 0:8.0.4-12.1                owncloud-app-files_versions.noarch 0:8.0.4-12.1
  owncloud-app-files_videoviewer.noarch 0:8.0.4-12.1             owncloud-app-firstrunwizard.noarch 0:8.0.4-12.1
  owncloud-app-gallery.noarch 0:8.0.4-12.1                       owncloud-app-provisioning_api.noarch 0:8.0.4-12.1
  owncloud-app-templateeditor.noarch 0:8.0.4-12.1                owncloud-app-user_external.noarch 0:8.0.4-12.1
  owncloud-app-user_ldap.noarch 0:8.0.4-12.1                     owncloud-app-user_webdavauth.noarch 0:8.0.4-12.1
  owncloud-config-apache.noarch 0:8.0.4-12.1                     owncloud-server.noarch 0:8.0.4-12.1
  php-ldap.x86_64 0:5.4.16-36.el7_1                              policycoreutils-python.x86_64 0:2.2.5-15.el7
  python-IPy.noarch 0:0.75-6.el7                                 setools-libs.x86_64 0:3.3.7-46.el7

完了しました!
[root@localhost yum.repos.d]#

owncloudをインストールして、しょうもないことで引っかかったこと。configディレクトリとか、config.phpとか。

owncloudで、どうしてもconfigディレクトリに書き込めないだの、参照できないだのと言われてどつぼにはまる。
一度OSから入れ直すというしょうもないことをした。
原因は、selinux。
もうね。
何で切らなかったのかと。

しかも入れ直して、何故か繋がらなくて焦るというね。
原因は、firewalld。
もうね。
なんでiptablesの設定忘れるのかと。

あと今回初めて内向きで、且つ別ドメインからの接続をやったのだけれども、
信頼できないホストがどうのとか。
原因は、/config/config.php。

いや、これはわからんだろう・・・。
ということで、
config.phpの説明。
//https://doc.owncloud.org/server/7.0/admin_manual/configuration/config_sample_php_parameters.html
$CONFIG = array (
  'instanceid' => 'uniqueidentifier',//ユニークID。勝手に付く。
  'passwordsalt' => 'auto-generatedbytheownCloudinstaller',//インストーラが自動生成
  'secret' => 'SecretusedbyownCloudforvariouspurposesegtoencryptdata',//暗号化に使ったりする何か
  'trusted_domains' =>//信頼できるドメイン。arrayのところに番号とともに増やしていく。localhostは指定できない
  array (
    0 => 'example.com',
    1 => '192.168.100.10',
  ),
  'datadirectory' => '/var/www/html/owncloud/data',//データ保持ディレクトリ
  'overwrite.cli.url' => 'https://127.0.0.1/owncloud',//コマンドラインツール用のパス
  'dbtype' => 'mysql',//使用データベース
  'version' => '8.0.4.2',//バージョン情報
  'dbname' => 'owncloud',//データベース名
  'dbhost' => 'localhost',//ホスト名
  'dbtableprefix' => 'oc_',
  'dbuser' => 'owncloud',//データベースユーザ名
  'dbpassword' => 'ownclouddatabasepassword',//データベースパスワード
  'installed' => true,//インストール状況
  'forcessl' => true,//SSL強制か否か
  'forceSSLforSubdomains' => true,//サブドメインにSSLを強制するかどうか
  'loglevel' => 2,//ログレベル
);
もうね・・・もうね・・・。

ネットワーク関係小ネタまとめ。nmap、ネットワークモニタリング等

http://takuya-1st.hatenablog.jp/entry/2014/10/07/013407

nmapでローカルアドレスレンジの機器を調べる方法。
nmap -sP 192.168.2.0/24
なるほどね。

ネットワークモニタリングツールまとめ
http://orebibou.com/2014/09/linux%E3%81%A7%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%AE%E7%9B%A3%E8%A6%96%E3%82%92%E8%A1%8C%E3%81%88%E3%82%8B%E3%83%A2%E3%83%8B%E3%82%BF%E3%83%AA%E3%83%B3%E3%82%B0%E3%82%B3/

ポートが分かるiftop(hでヘルプが開く)はお勧め。ただウェブサーバには微妙な感じ。
iftopはepelリポジトリの中なので、
yum install --enablerepo=epel iftop
http://techblog.clara.jp/2015/02/iftop/

epelは
http://www.kakiro-web.com/linux/epel-install.html
を参考に
yum install epel-release
で突っ込む。

総量をみるなら、bwmonの方がいいかな。
http://bwmon.sourceforge.net/

ifconfig、route、netstat、arp等は
yum install net-tools
でインストールできる。
http://blog.be-dama.com/2014/06/18/red-hat-el-7%E3%81%AEifconfig%E3%81%A8%E3%81%8B%E3%83%AC%E3%82%AC%E3%82%B7%E3%83%BC%E3%81%AAnet-tools%E3%81%8C%E3%81%AA%E3%81%8F%E3%81%AA%E3%81%A3%E3%81%9F/

2015年6月23日火曜日

windows7とファイルサーバのやりとりを高速化したい(large mtuの有効化)

windows7とファイルサーバのやりとりを高速化したい(large mtuの有効化)

何故今まで知らなかったんだろうという目から鱗の記事。

http://d.hatena.ne.jp/ogawad/20130702/1372719890

windows8から標準化されたlarge MTUをwindows7で有効化すると、約30%以上の高速化が見込まれる。
普通にジャンボフレームとか設定しては挫折したのに、たったこれだけで「本当に」高速化した。

Registry key    HKEY_LOCAL_MACHINE
Registry path    System\CurrentControlSet\Services\Lanmanworkstation\Parameters
Value Name    DisableLargeMtu
Value type    REG_DWORD
Value range    1=disable, 0=enable
Default value    1 (if not present)

要はレジストリエディタで、

HKEY_LOCAL_MACHINE



System\CurrentControlSet\Services\Lanmanworkstation\Parameters

を開き、新規で

DisableLargeMtu

を追加(reg_DWORD)。

値を0に。

すると、クライアント→ファイルサーバの送信が
350mbps→430mbps(最速値。2GBのファイルを送信。22%高速化)
ファイルサーバ→クライアントが
500mbps→700mbps(最速値。同ファイルを受信。40%高速化)
した。

何で知らなかったんだろう本当に・・・。
因みにいわゆるMTU値を弄るジャンボフレームはオフでの値。

無知は恥ですわ・・・。

2015年6月17日水曜日

squid.conf設定(squid3のコンフィグレーションファイル)

一寸前のsquid設定を。
今はこれよりもっと書いてしまっているが、収拾が付かなくなりそうなので一度上げとこうかと。
透過プロキシで、httpアクセラレーター設定。
iptablesでポートの転送設定しないといつまでも繋がらないので注意。
あとhttps(ssl通信)をsquidで乗っ取ろうとしたけど断念。
理由は透過プロキシだとman inthe middleになってしまうので、sslbumpを入れないといけなくなる(入れたら入れたで、証明書が違うと警告がユーザークライアントに多発するので現実的では無いという判断)。
結局iptablesで、どうしてもはじきたい所をはじくという、苦肉の策になる。
どうにかならないものかなあ・・。


http://roserogue.blogspot.jp/2014/12/1e100netgoogle.html

 を参照のこと。


#squid3
#
#http://squid.robata.org/
#が一番情報載ってる
#
# Recommended minimum configuration:
# ここら辺はデフォルト設定をそのまま
#
#acl cache object localhost
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1


#acl ipv4local address ipv6 local unicast address
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed

#user user
cache_effective_user squid
cache_effective_group squid



###########################################
#user blacklist
###########################################
#接続させたくないURL、IPアドレス、URLパス
#
#dstdomain ドメイン名を正規表現で表記。ドットから始めればサブドメインも含まれる
#ダブルクォーテーションでくくってファイル参照
#regex
#path
#user blacklist

acl blacklist dstdomain "/etc/squid/blacklist"
acl blacklist_regex url_regex "/etc/squid/blacklist_regex"
acl blackpath urlpath_regex -i "/etc/squid/blackpath"
#blacklist deny list
http_access deny blacklist
http_access deny blacklist_regex
http_access deny blackpath


###########################################
#deny user
###########################################
#接続させたくない特定のユーザー(クライアント)を指定。ローカルIPアドレスで指定する。

acl deny_userlist src "/etc/squid/userlist_deny"
#acl deny_userlist src 192.168.1.255 192.168.1.254
http_access deny deny_userlist


###########################################
#limit user
###########################################
#限定的に接続させたい任意のユーザー(クライアント)を指定。ローカルIPで指定する。

acl limit_userlist src "/etc/squid/userlist_limit"
acl limit_domain_url dstdomain "/etc/squid/url_limit_domain"
acl limit_regex_url url_regex "/etc/squid/url_limit_regex"
http_access allow limit_userlist limit_domain_url
http_access allow limit_userlist limit_regex_url
http_access deny limit_userlist


###########################################
#特定URL等。遅延プール
###########################################
#http://www.itmedia.co.jp/enterprise/articles/0812/01/news024_2.html

#acl peakperiod time 10:00-16:00

#Delay_Pool
delay_pools 3

#-----------pool 1 ----------------
#userlist_delayの中のIPアドレスユーザーを遅延させる
delay_class 1 1 # pool 1 is a class 1 pool
acl delay_userlist src "/etc/squid/userlist_delay"
#
# SPEED
delay_parameters 1 320/320
#
delay_access 1 allow delay_userlist
delay_access 1 deny all


#-----------pool 2 ----------------
#リストに表記されているURLなどへのアクセスを遅延させる
delay_class 2 1 # pool 1 is a class 1 pool

acl dstdelaylist dstdomain "/etc/squid/delaylistdst"
acl regex_delaylist url_regex "/etc/squid/delaylist_regex"
acl pathdelaylist urlpath_regex -i "/etc/squid/delaylistpath"

#1408kbit/s
delay_parameters 2 176000/176000
#896kbit/s
#delay_parameters 2 112000/112000
# 64 Kbit/s
#delay_parameters 2 8000/8000

delay_access 2 allow dstdelaylist
delay_access 2 allow regex_delaylist
delay_access 2 allow pathdelaylist
delay_access 2 deny all


#-----------pool 3 ----------------
#特定のブラウザ使用者を遅延させる
delay_class 3 1 # pool 1 is a class 1 pool
acl delaybrowser browser -i Chrome
acl delaybrowser browser -i Safari
# 128 Kbit/s
delay_parameters 3 16000/16000

delay_access 3 allow delaybrowser
delay_access 3 deny all


#----------delaypool end------------------#

###########################################
#user FTP
###########################################

acl FTP proto FTP
always_direct allow FTP


###########################################
#最終許可
###########################################

http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

######################################################################################
###########################################


# Squid normally listens to port 3128
#user
#http_port 3246
http_port 3246 transparent
#http_port 3128 transparent
#http_port 3128

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

#--------------------------
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256
#user

#cache_dir 32GB
cache_dir aufs /var/spool/squid/cache_l 32768 16 256

#maximum_object_size 128MB
maximum_object_size 131072 KB

#cache_mem 1GB(total 3GB or so)
cache_mem 1024 MB
memory_pools_limit 0

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid
#--------------------------------

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
#refresh_pattern .              0       20%     4320
##################################
#USER ADD REFRESH PATTERN
##################################
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 10080 80% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i \.(iso|avi|wav|mp3|mp4|mpeg|3gp|swf|flv|x-flv)$ 43200 90% 432000 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i \.(deb|rpm|exe|msi)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private

refresh_pattern -i \.index.(html|htm)$ 0 40% 10080
refresh_pattern -i \.(html|htm|css|js)$ 1440 40% 40320
refresh_pattern . 0 40% 40320
##################################


#user
#LOG
logfile_rotate 14
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
access_log /var/log/squid/access.log

#user
#auth_param basic program
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#user
pipeline_prefetch on

###########################################
#user anonymize
###########################################
icp_port 0
forwarded_for off
client_db off
#user HEADER ANONYMIZING
#header_accessは30系で無くなったらしい
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all


###########################################
#SQUID3 HEADER REPLACE###
###########################################

request_header_access From deny all
request_header_access Referer deny all
request_header_access User-Agent deny all
header_replace User-Agent Mozilla/5.5 (Windows NT 55.0; Win64; x64) AppleWebKit/555.55 (KHTML, like Gecko) Chrome/55.0.0005.05 Safari/555.55 Edge/15.0

#user
visible_hostname none

#header_replace Referer google.com