本家のお世話-#104。(OpenSSL Security Advisory [6月5日] に対処のため Apache のアップデート)

投稿アップデート情報  追記(6/9)

 OpenSSL Security Advisory [6月5日] になんかいろいろと挙がっていて,どうするかなと思っていたら,さっそく Steffen が対処してくれたので, Apache 2.4.9 の 2014 5 Jun version を落として,アップデート。

 新バージョンは, ‘IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1h zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0’ と openssl-1.0.1h でのビルドとなっている。

 アップデートのやり方自体はいつもと同じ。そんでもって,Changelog

 いつも, Steffen への感謝の念に堪えない m(_”_)m。

追記(6/9):
 こんなんあったんで,貼っときます。
ハートブリード脆弱性から 2 か月で公開された OpenSSL の重大な脆弱性修正パッチ

「本家のお世話-#104。(OpenSSL Security Advisory [6月5日] に対処のため Apache のアップデート)」への18件のフィードバック

  1. おはようございます。
    他のサーバーは勝手に自動でアップしていましたが、
    pleskはyumをやってくださいとレンタルサーバーから連絡が来ました。シェルのログインは保障対象外といいながら、やってくださいといったり、代行でやりますよとかいってましたね。

    結局自分でやりましたけどね。

    1. くりくりさん,こんばんは。

      お疲れさまです。パッケージの場合は,その辺が省エネですよね。いいですね。

      pleskは,いろいろ実装している分,自動ではなくしている部分も多いのでしょうね。

    1. くりくりさん,こんばんは。

      > iisって一回も触ったことがないんですよ。
      私も,ほとんど触ったことないです。Windows NTの時代のすごーく評判の悪かったころに,かすった程度です。

      > iis注目ですね。
      IISは有料版だけでしょうからねぇ。
      私の場合,今から先,仕事でサーバ触るってことはなさそうなので,フルバージョンIISの載った少し値のはるサーバOSにタッチすることもなさそうです。 Nginxにでも食指を動かすべきでしょうかね?

  2. おはようございます。

    昨日の17時くらいに
    wordpressにDOS攻撃をくらいサービスが落ちました。

    これがリバースプロキシーならサービスの継続はできたかな?
    TODOSにちょっとかきこみましたが、高速化というのはfastcgi
    やopcacheで多少はできますが、こういう負荷にはapache2.2はもうむりですね・・・。nginx&php-fpmも多少は2.2よりましかなという認識です。

    これはびっくりしたんですが、リーバースプロキシーサーバー1台で一日数千万のhttpリクエストを処理してるサイトがあるそうです。

    >Nginxにでも食指を動かすべきでしょうかね?
    apache2.2なら是非とおすすめしますが、
    俺の個人的なサーバーではnginxもapache2.2どちらかを
    動かせる環境にしてます。また、一緒にnginx(80)とapache(8080)の構成で動かせるようにしてます。

    さて会社のサーバーに実装を考えています。

    どのように会社に実装しようかなとかんがえていたんですがwordpressの高速化というだけではなく、apacheのシェア低下によるサーバー変化の流れ、DOS攻撃(今もイスラエルから攻撃をうけました)を考えるとサーバーの構成を変える必要があると感じています。

    リバースプロキシーの話だけではどうも製作には理解できなかったみたいなんでやるやるといってやってませんでしたが、
    nginxによるnagiosサーバーをVPSを本格的にやり、
    サーバー構成を変化させる呼び水としてやってみるつもりに
    しました。

    1. くりくりさん,こんばんは。

      > wordpressにDOS攻撃をくらいサービスが落ちました。
      おや,週明け早々,それはご愁傷さまでした。ところで, Nagios ,便利そうですが,またもや UNIX 系でしか,動かないようですね。

      Apache 2.2 と 2.4 では, MPM がかなり変わりましたよね。この辺,DoS攻撃に対したとき,かなり違いがあるのではないかと思います。もっとも, mod_event が正規版になっても,周りが追い付いてなくて, 2.4 にしたら落ちまくるよーということもあったようですが。
      Win 上の場合は,相変わらず, MPM は winnt のままなのですが,起動時のログのメッセージは 2.2 と 2.4 で少し違います。名称は変わらなくても,実体は少し変わったのかもしれません。詳しくないのでいい加減な話ですが, worker に近いのではないかと思っています。 Windows 版の Apache の場合,スレッドセーフバージョンの PHP で使うところからの推測です。

      昨日は,バタバタして返事を書いたので,「Microsoft IIS、Apacheに肉薄 – Webサーバシェア調査」もチラ見だったのですが,さっき,元記事を読んできましたら,だいぶ感触が違いました。
      マイナビニュースの表題は,「Merket share of all sites」から来たものですが,「Merket share of active sites」に一切言及していないのは,私としては,どうかなと思いました。私見ですが,意図的に錯誤させようとしているように,感じます。まぁ,そうはいっても, Apache の一党独裁というのは,終焉を迎えているのかもしれません。

      でもって,(all sites) – (active sites) = ??? なわけですが, ??? の内実はどうなのかということがひどく気になるところです。

      ところで,コメントに書きましたが, PHP 5.6.0 の RC1 が 6/19UTC に出るみたいです。 RC がいくつまで出るのかわかりませんが, GA も間近のようです。しかし,GA はどうやら,春過ぎて夏の来たころになりそうですねぇ。

  3. こんにちは

    apache2.4で構築したことはありませんが、
    2.2のworkerにした時Fast-cgiでphpをうごかしていました。
    eventsもこれなんじゃね?と推測でやっぱりfast-cgiです。
    検証してないんでなんともいえませんが、静的ファイルには
    eventsは相当強いですけど、fast-cgiじゃpreforkとかわらない?位に思ってます。

    apacheシェア低下ですが、オリジナルのサイトにいくとデータの取り方で大分違うことがわかりました。IISは他のデータじゃ全然だし、apacheが低下してnginxがのびてるくらいですね。

    (all sites) – (active sites) = ???
    私はそもそもactive自体????なんですが・・・。
    具体的にどういうサイトをいってるのかな

    とうとう5.6ですね。
    自分のサイトには仮想サーバーたててから適用してみよう。

    1. くりくりさん,おはようございます(こんにちは,かも…)。

      > eventsは相当強いですけど、fast-cgiじゃpreforkとかわらない?位
      そうなんですか。私は,このあたりまったくわかりません。ちっと,勉強しないといけないんですけど(汗^2)。
      多種のサーバを管理していると,各サーバによって,最適化の方法も全く違うでしょうから,大変ですね。そういえば,脇にそれますが,昨日,「(緊急)BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年6月12日公開) – キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –」ってのが出てましたよ。 BIND にしても Apache にしても,そのバージョンが作られたときには,問題にならなかったものが,こういうシビアな時代になって,どんどん出てきてる気がします。 BIND 関連では,先週でしたか,コンパイル関係で「Changes in GCC Code Optimization Can Cause a Crash in BIND」というのもありましたね。

      > そもそもactive自体????なんですが・・・。
      active sitesを読んでみると,彼らとしても,実際の判定を厳密に行うのは,なかなか難しいようですね。年々歳々,手法を変えて,できるだけ精確な数値を出そうと努力しているようです。単純にまとめると,本来の意味で読む(or 見る)べき内容がないものを外したものを active sites と考えたいんだよというように読めました。そういうわけで,私としては (all sites) – (active sites) = ??? の ??? が気になったんです。その部分に, IIS が多いってことになるってのは,どういうわけだろう ? と。

      > とうとう5.6ですね。
      ですね。7月には出るでしょうか。「Backward incompatible changes」を見る限り,あまり違いが大きくなさそうなので,それほど苦労なく移行できそうな気がします。甘いかな??

  4. こんにちは
    bindをみました。
    centos6と5は影響を受けないバージョンです。
    良かった・・・。動かしてるだけでサーバーで止まっても問題ないんですけどね。

    >そのバージョンが作られたときには,問題にならなかったもの
    サポートが終わったapacheで動かしてるサイトが1300万くらいあるそうです。トラブルがあるとまたシェアを減らす。それとなんちゃってnginx?apache?これはどうカウントするのか?
    http://www.superweibu.com/archives/4937.html
    こういう隠れてる奴もいるので正確の数字はわかりません。

    1. くりくりさん,こんばんは。

      > centos6と5は影響を受けないバージョンです。
      そうでしたか。それは,よかったです。

      > こういう隠れてる奴もいるので正確の数字はわかりません。
      Methodologyの部分に数式も出てきていて,すべてのサイトを調べるのは不可能なので,統計的手法を使っていることを書いてますから,隠れているものについても統計的推測の手法は使っているでしょうね。
      その辺の手法で,全体としてどのくらい実態に迫れているかが,彼らの研究と努力の成果ですよねぇ。

  5. こんにちは

    >Nginxにでも食指を動かすべきでしょうかね?

    リバースプロキシーはあくまでphp高速化の答えのひとつ
    くらいの認識だったんですが、改めていろいろ考えてみますと
    nginx&apacheをベースにapacheを進化させるとかapacheより汎用性が簡単に広がるという認識です。

    例えばphpはリバースプロキシー、nginxでnagiosを作るの大変そうだから、全部apacheにしちゃえとか、htmlはnginxの処理するということで高速化をnginxのconfigを変更するだけで色々できるのが魅力的だと感じています。

    1. くりくりさん,おはようございます。

      WordPress でいろいろとプラグインを使うと CSS やら js やらがごちゃごちゃといくつもできてしまいますよね。この辺をどうにかしたいと思って,最適化に取り組んだことがあるのですが,うまくいきませんでした。うちの場合,もともとアクセスの少ないサーバなのであまりやる意味はないのでしょうが……

      リバースプロキシそのものもよくわかっていないのですが, Nginx にそのあたりの静的コンテンツを振り分けてやると効果はあるものでしょうか。

      Opcache のときも,私自身の体感速度は改善したのですが,外からのアクセスということでは,あまり変わらなかった気がします。

      ところで, Apache2.4 では proxy 関係が少し変わっているようなのですが,もともと, proxy を使ったことがないので,どこがどう変わっているのか,よくわかりません(汗)。

  6. こんにちは

    このようにコメントが長くなってしまって申し訳ありません。

    >リバースプロキシそのものもよくわかっていないのです。
    簡単に説明いたしますとWEBサーバーでアプリケーションFWみたい動作をします。
    今、俺がo6asanさんのwordpressサイトにアクセスしますと

    俺→A
    俺←A
    上記のやりとりが俺のパソコンとo6asanさんのサーバーでやりとりがあります。サーバー側でこの構成を
    俺→N→A
    俺←N←A
    に変更するとNがリバースプロキシーになります。
    さらにNにはFW言う所の色々なルールを決めることが可能で
    全部apacheで処理させろとか、Nがhtml処理しろとかキャッシュを返せとかです。

    個人的感想ですが、
    >静的コンテンツを振り分けてやると効果はあるものでしょか。
    nginxを導入し全部apacheで処理しろと設定して
    apacheはmpmをeventsにしてphp-fpmとopcacheの構成
    静的コンテツンはapache2.4>nginxですからね。

    調べましたらapacheでリバースプロキシーは確かに2.2でもあるんですよね。しかし、マイナーすぎる。

    >よくわかりません(汗)。
    俺もよくわかりません・・・。

    1. くりくりさん,おはようございます。

      > このようにコメントが長くなってしまって申し訳ありません。
      どうぞお気になさらず。

      > 俺→N→A
      > 俺←N←A
      > に変更するとNがリバースプロキシーになります。
      > さらにNにはFW言う所の色々なルールを決めることが可能で
      > 全部apacheで処理させろとか、Nがhtml処理しろとかキャッシュを返せとか
      このあたりの理屈は,分かるのですが,細かい話がねえ,どうも……

      > apacheはmpmをevents
      Win上では,eventsは無理なようです。デフォルトのwinntでしか行けないようでして。

      > 静的コンテツンはapache2.4>nginxですからね。
      2.4でもそうなんですね。
      くりくりさんのお話を読んでから,ちょこちょこあちこち見たのですが,2.4の話はまだ少ないですね。WinでのNginx&Apache2.4となると,さらに少ないようです。
      なかなかその元気が出ませんが,やはり,自分で試してみないといけないんでしょうね。

      > 調べましたらapacheでリバースプロキシーは確かに2.2でもあるんですよね。
      なんか,2.4でそのあたりだいぶ変わっているようで,2.22.4ではDocの分量が変わっています。しかし,困ったことに,もともとがわかってないので,読み比べてもどう違うのかよく分からないのです。

  7. こんにちは
    apache2.2はもう終わる技術なんでどうでもいいんですが、
    2.4のプロキシー関係のディレクティブを読んでみました。

    nginxと似たような機能はありそう。しかし、
    英語だからより一層難しく感じるだろうけど、
    設定がむずかしそうだな・・・。
    ディレクティブも色々変更になってるし。

    >なかなかその元気が出ませんが,やはり,自分で試してみないといけないんでしょうね。

    CentOS7でapache2.4がきてからなんでしょうけど・・・。
    私もいつかはたしかめなくちゃいけないけど、ブルーですね・・。

    よくnginxの方がapacheより簡単だなんていうけど、
    nginxの設定の方が簡単だと初めておもいました。

    1. くりくりさん,こんばんは。

      Apache2.4のディレクティブは,いろいろ変ってはいますが,どちらかというと,わかりやすくなったように思います。まぁ,バージョンが上がったのに,わかりにくくなるのでは目も当てられませんが……

      > 私もいつかはたしかめなくちゃいけないけど、ブルーですね・・。
      本職でしかも現役の方は,好きなとこだけやればいいわけではないですから,大変ですねぇ。

      いろいろと,くりくりさんが,試されてたこと―特にNginxについて―参考にさせていただきたいとは,思っているのですが,今のところ,その元気がありません(滝汗)。

  8. こんにちは
    o6asanさん長い間nginxの話にお付き合い頂きありがとうございました。一応結論らしき物にたどり着いたので一区切りつけます。

    つーかもうつかれました。
    3週間やってきましたが、なんとかなるでしょう。

    >本職でしかも現役の方は
    >その元気がありません(滝汗)。

    別に表示できてればどうでもいいんですが、
    一度設置したものを改造とか面倒だしそのままうごいてくれればいいんですけどね。そういうわけにもいかず。
    自分は面倒くさがり屋でして、呼吸するのも面倒なんて考えたくらいなんですよ。死んじゃうからあきらめましたけどね(w

    今度はapache2.4ですねw
    nginxお付き合い頂き本当にありがとうございました。

    1. くりくりさん,こんばんは。

      いえ,お役に立ちませんで。
      仕事のほうに役立てばいいですね。勉強って,必ずしもすぐに役立つってものではないですが,とんでもないときに,ああこの件,あれと関係あったんだと,思ったりします。そうは言うものの,直に役立ってくれれば,学習のモチベーションも,ぐっと上がるでしょうから,今の業務ですぐに使えればいいですね。

      いずれにしても,お疲れさまでございました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください