タグ: WEBサーバの構築

カテゴリー
Windows

Cygwin 上で h2load をビルドする。

The same article in English
投稿アップデート情報  追記(2016/1/4) 追記2(2/7) 追記3(6/18)

[2016.6.18 時点の話] 実のところ,最新の Cygwin には libev および nghttp2 が含まれているので, h2load の機能を使うために,自分で nghttp2 をビルドする必要は無くなったのだが,それでも, nghttp2 をビルドするなら, Jansson および spdylay は, Cygwin にパッケージがないので,自分でビルドしなければならない。ただ,昨今の情勢からすると, spdylay はいらないかなとも思う。
—————————————————————————————————————————————————
 以下の 2 ファイルが手元にある。ひとつは H2LOAD_dll_package_x86.zip で,もうひとつは H2LOAD_dll_package_x64.zip である。ダウンロードして展開し,コンソール上で,
> h2load -n100000 -c100 -m10 https://localhost
とでもやれば, Windows 上で h2load テストができる。
 テストをやる場合はローカルにテストサーバを用意すべきだ。 -n -c -m の値によっては,対象サーバへのサイバー攻撃になりかねないからね。気を付けましょう。
 前に,「なんかどう見ても使用前の結果のほうが速いように見えません???ナンデェ!」と書いたのだが,今回のテスト結果は興味深い。 HTTPS with HTTP/2HTTPS without HTTP/2 をご覧あれ。 HTTP/2 をサポートしているサーバは,していないサーバよりも同時ストリー ムをうまく処理している。 HTTP/2 の特長の一つが顕著に表れているわけだ。

 さて,わが苦難の道の記録を書くことにしようかい (^_^;).
[注意]:以下の手順を踏むと, H2LOAD_dll_package_x64.zip のファイル群ができる。 H2LOAD_dll_package_x86.zip のファイルを手に入れるには, Windows x86 のパソコン上で setup-x86.exe を使って同じことをやらないといけない。

続きを読む “Cygwin 上で h2load をビルドする。”
カテゴリー
Windows

本家のお世話-#119。(HTTP/2 対応のための HTTPS 化-#3)

The same article in English

 先の記事の続き。 HTTP/2 使用の下準備が済んだので, httpd.conf と httpd-ssl.conf を再編集した。
 
 httpd.conf においては,以下の行をアンコメント。
     LoadModule http2_module modules/mod_http2.so
 httpd-ssl.conf においては, <VirtualHost o6asan.com:443> のすぐ後に,以下を追記。
     Protocols h2 http/1.1
 HTTP/2 with TLS のときは h2 , HTTP/2 without TLS のときは h2c ということらしいが,自鯖では h2c は使わない。
 
 Http/2 を有効化するために Apache を再起動。以上。

続きを読む “本家のお世話-#119。(HTTP/2 対応のための HTTPS 化-#3)”
カテゴリー
Windows

覚え書-#26。

The same article in English

 HTTP/2 にかまけているけれども, MariaDB 10.1.8 のインストールについても書いておこう。アップデートではないよ。 PHP5.6.15,phpMyAdmin4.5.1,ActivePerl-5.20.2.2002 も昨日まとめて面倒見たので,それについても触れておく。

続きを読む “覚え書-#26。”
カテゴリー
Windows

本家のお世話-#117。(HTTP/2 対応のための HTTPS 化)

The same article in English
投稿アップデート情報  追記(11/2) 追記2(11/6) 追記3(2017/6/20)

 10/13 に Apache 2.4.17 が出たのだが, Steffen のとこでも, 10/12 に同バージョンが出ていた。今回のバージョンからコアモジュールに mod_http2 が含まれるようになった。 Steffen はそのために, nghttp2 v1.3.4 も含めてビルドしてくれているようだ。その辺は, ChangeLog を見ていただきたい。というわけで,自鯖で HTTP/2 のテストが出来る。あくまで,テストだよ~ん。だって,「This module is experimental.」て書いてあるんだモン。

続きを読む “本家のお世話-#117。(HTTP/2 対応のための HTTPS 化)”
カテゴリー
Windows

覚え書-#25。

The same article in English

 Windows10 にかまけていて,書くのを忘れていたが, 8/5 に Apache 2.4.16 にアップデートした。昨日は,くりくりさんから PHP5.6.12 と MariaDB10.0.21 が出てますよと連絡をいただき, phpMyAdmin4.4.13.1 が出てるのにも気づいたので,それもアップデートした。ということで,その件を書いておこう。

続きを読む “覚え書-#25。”
カテゴリー
Vulnerability

本家のお世話-#115。(CVE-2015-1793 に対処のため Apache のアップデート)

The same article in English

 Apache 2.4.12 (httpd-2.4.12-win32-VC14.zip) を 2015.7.9 版にアップデートした。 Alternative chains certificate forgery (CVE-2015-1793) に対処するためである。

 2015.7.9 版は ‘IPv6 Crypto apr-1.5.1 apr-util-1.5.4 apr-iconv-1.2.1 openssl-1.0.2d zlib-1.2.8 pcre-8.37 libxml2-2.9.2 lua-5.1.5 expat-2.1.0′ でビルドされている。そんでもって, Changelog
 この版は, Windows® Visual Studio C++ 2015 RC 別名 VC14 がないと動かない。私は, 6/2 から VC14 版 に替えた。 OpenSSL 1.0.2 系を使うためである。そんなわけで,同版を使われる場合は,前もって忘れずに vc_redist_x64/86.exe をインストールのこと。

 いつもながら, Steffen には,頭が下がる。本当にありがとうございます。

 ところで, phpMyAdmin 4.4.11MariaDB 10.0.20 へのアップデートもやった。

 phpMyAdmin については 2 つばかり気づいたことがある。 4.4.10 からダウンロード先が, sourceforge.net から phpmyadmin.net に変わった。 4.4.11 からは MD5/SHA1 だけでなく, GPG も利用できるようになった。 sourceforge と phpmyadmin 間でなんかあったんかいネ。

カテゴリー
Vulnerability

遅ればせながら, Logjam の話。

The same article in English
投稿アップデート情報  追記 追記2(7/7) 追記3(9/2) 追記4(9/5)

 昨日, 8 時くらいに帰宅したのだが,今年,初の蛍を見た。まぁ,時刻的問題もあるから,昨日から飛び始めたとは限らないけど。

Server Test1 で,本題。 21 日に “TLSに脆弱性「Logjam」 – 国家レベルなら1024ビットまで盗聴可能” というのを読んで, Guide to Deploying Diffie-Hellman for TLS に行った。特に何も対策せずに,テストしてみたんだけどさ, 2014.Oct.28 (= OpenSSL で作る SANs 対応かつ SHA256 使用の自前認証局) のままで,右図の結果が出た。んで,「まっ,いいか」となった。

 その夜,くりくりさんから, Logjam についてのコメントをいただいた。そんで「記事。何とか,がんばってみます」と返信したので,今,がんばってるところ。ヘヘッ。

 最初にテストをした時点では,うちのサーバは,下の Cipher Suites をサポートしていた。

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-CBC-SHA384
  • ECDHE-RSA-AES128-CBC-SHA256
  • ECDHE-RSA-AES256-CBC-SHA
  • ECDHE-RSA-AES128-CBC-SHA
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-CBC-SHA256
  • DHE-RSA-AES256-CBC-SHA
  • DHE-RSA-CAMELLIA256-CBC-SHA
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-CBC-SHA256
  • DHE-RSA-AES128-CBC-SHA
  • DHE-RSA-SEED-CBC-SHA
  • DHE-RSA-CAMELLIA128-CBC-SHA

 実のところ,ほとんどいらないんだよね,こいつら。だって,うちの SSL サーバのユーザは私だけで,私は,最新のブラウザしか使わんのだもん。ホンでもって,使ってるのは ECDHE-RSA-AES128-GCM-SHA256 だけなんス。この際, SSLCipherSuite を下に書き換えることにした(爆)。
   SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256
 当たり前だけど,このコンフィグは,ほかの人の役には立たない。現実的にコンフィグを知りたい人は, Guide to Deploying Diffie-Hellman for TLS を見に行ってくだされ。 Apache 2.4.8 以降と OpenSSL 1.0.2 以降を使っている場合は, SSLOpenSSLConfCmdor ディレクティブで,直接 DH params ファイルを指定できる。そうでない場合には, SSLCipherSuite と SSLProtocol を代わりに使ってやって, Logjam attack を回避することになる。

Sever Test2 実のとこ, ApacheLounge の HTTPD はいまだに OpenSSL 1.0.1 なんだよね。というわけで, SSLOpenSSLConfCmd は使えんかった。まぁ, SSLCipherSuite が上記のようにキチガイじみてる(汗)ので,変更後のテスト結果は,右図のような感じになった。

Another Test   別の Logjam Attack チェッカーでやってみたら,⇒みたいになった。

 おまけだけど, Apache 2.4 で OpenSSL 1.0.1 以降を使ってる場合は, SSLProtocol all は +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 の意味になる。 Apache 2.4.7 以降を使っている場合は, aNULL, eNULL and EXP ciphers are always disabled になっているんだそうだ。

 いつもながら piyolog さんのまとめが出てましたね。「Logjam Attackについてまとめてみた

追記:
 The Logjam Attack page には, Google Chrome (含 Android ブラウザ), Mozilla Firefox, Microsoft Internet Explorer, 及び Apple Safari はすべて Logjam attack に対して修正を配備と書いてあるのだが,現時点でも (午前 9:45),当該ページに FireFox 38.0.1, Google Chrome 43.0.2357.65 あるいは SeaMonkey 2.33.1 でアクセスすると Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption. You should update your browser が出る。 Good News! Your browser is safe against the Logjam attack が戻ってくるのは, Internet Explorer 11.0.19 でアクセスしたときだけである。
注意) この件,他のブラウザおよびバージョンではチェックしていない。

追記2(7/7):
 昨日, FireFox 39.0 になりましたね。でもって, Good News! Your browser is safe against the Logjam attack になったでアリンス。

追記3(9/2):
 しばらく,チェックを忘れてて,今日, Google Chrome の 45.0.2454.85 が来たのでチェックしてみたら Good News! Your browser is safe against the Logjam attack になっていた。ウーン,いつなったんだろ,ワカンネ!!

追記4(9/5):
 今 5 日になったばかりだが,久々に SeaMonkey のアップデートが来て, 2.35 になった。でもって,やっと Good News! Your browser is safe against the Logjam attack が出るようになった。

カテゴリー
Windows

覚え書-#24。

The same article in English
投稿アップデート情報  追記(2016/6/1)

 いくつかのサーバソフトをアップデートした (OS は Win7 HP SP1 x86)。

  • MariaDB 10.0.17 —->> MariaDB 10.0.19 (Changelog)
  • PHP 5.6.8 —->> PHP 5.6.9 (Changelog)
  • phpMyAdmin 4.4.6 —->> phpMyAdmin 4.4.7 (Changelog)
  • sc_serv2_win32_09_09_2014.exe —->> sc_serv2_win32-latest.exe (Ver. 2.4.7)
    shoutcast-dsp-2-3-4-windows.exe —->> shoutcast-dsp-2-3-5-windows.exe
    注) ファイルのダウンロードに,有効なメールアドレスが必要である。公式からのダウンロードは,フリーバージョンでも,レジストしないとできなくなってしまった。それもかなり細かい情報まで記入を求められる。 (2016.6.1)
カテゴリー
WordPress

覚え書-#23。

The same article in English

 いくつかのサーバソフトをアップデートした (OS は Win7 HP SP1 x86)。

  • MariaDB 10.0.16 —->> MariaDB 10.0.17 (Changelog)
  • PHP 5.6.7 —->> PHP 5.6.8 (Changelog)
    注) <php_root> 直下に lib というディレクトリが増えた。 bug #65406 の関連。
  • phpMyAdmin 4.3.10 —->> phpMyAdmin 4.4.3 (Changelog)
    注) config.sample.inc.php から下記の行が削除されていた。

    • * default display direction (horizontal|vertical|horizontalflipped)
      */
      //$cfg[‘DefaultDisplay’] = ‘vertical’;
      /**
  • ActivePerl 5.20.1.2000 —->> ActivePerl 5.20.2.2001
  • WordPress 4.1.1 —->> WordPress 4.1.2
    注) このアップデートは自動で行われた。
カテゴリー
Windows

本家のお世話-#114。(PHP5.6.7へアップデート)

The same article in English
投稿アップデート情報  追記(4/14)

 Windows 版の PHP5.6.7 が Mar-19 23:50:34UTC に出ていた。結構な数のバグフィックスと CVE-2015-0231 (bug #68976), CVE-2015-2305 (bug #69248), CVE-2015-2331 (bug #69253) へのパッチが含まれているようだ。
 CVE-2015-0231 については,以前の PHP5.6.5 でも修正が入っていた覚えがあるのだが,この脆弱性に対する問題はまだまだ残っているのだろうか。まっ,とにかく,アップデートした。(サーバ OS : Windows7HP+SP1(x86)).

 ところで,新バージョンは OPcache に関するいくつかのバグフィックスを含んでいた。もっとも, Bug #67937 ではなんら新しい報告はないので,あの件に関しては何も変わっていないのかもしれないが,一応,試しに OPcache をサーバ上で有効にしてみた (Mar-29@6:55)。吉と出るか凶と出るか。ドキドキ。

 インストールについて詳しい情報が必要な場合は,「PHP 5.5.16 から PHP 5.6.0 への移行」をご覧ください。

追記(4/14):
 自鯖上の OPcache だが,あれ以来 2 週間以上ちゃんと動いている。なんでかは解んない(汗)。でも,パフォーマンスが良くなって,嬉しいッ!!