TLSv1,TLSv1.1の非対応化

Webページのセキュリティ向上のために、SSL通信の対応規格を絞る。
きっかけは、Let’s EncryptからTLS-SNI-01非対応のメールが来たから。

ということで、Apacheの設定ファイルを開く。

# vi /etc/httpd/conf.d/ssl.conf

そんでもって、SSL関係の設定を変更!

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
#SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

最後にApache再起動!

# service httpd restart

自作PCが、ガンガン落ちる時のたった1つの対処方法【解決編】

BOD(Blue screen Of Death)という、真っ青な画面でPCがハングアップしてしまう現象が、何年も発生していた。

CDドライブを取り外したり、メモリーを抜き差ししたり、掃除機でPCの内部を掃除したり、神に祈ったり、、、で、現在は、落ちることなく快調に動いている。

何をやったか?

それは、↓コレ。

メモリーを抜いて、接点部分をコレでお掃除。

さらに、PC側の接点もお掃除。

あ~ら不思議。。。でも何でもないけど、快調ですよ。

ありがとうKURE!

これで、デスクトップPCの前に座るのが、億劫にならなくなったよ。

DTIサーバー構築 Let’s encryptを自動更新させるメモ

証明書の期限が90日なため、更新を頻繁に行う必要がある。
なので、

$ sudo crontab -e

34 2 * * 1 /opt/certbot/certbot-auto renew >> /var/log/certbot-renew.log && service httpd reload
これで毎週月曜の2:34に更新処理が走る。
有効期限が30日未満の時に更新される仕組みになっているらしい。

$ sudo chmod -R 666 /var/log/certbot-renew.log
これで、ログの編集も可能

さて、60日後無事更新されるのか?

DTIサーバー構築 Let's encryptをメールサーバーに設定したメモ

今日は完全にメモ

Let’s encryptが本格稼働しているとの噂を随分と前に聞いている。
多分サーバーにはその必要条件のPython2.7をインストールしたはず。

$ python -VPython 2.7.9

よし、俺天才!
Vは大文字だよ。小文字じゃないよ。
ということで、何だかんだ時は流れていて、letsencrypt-autoではなく、certbot-autoに改名されています。
なので、

$ sudo git clone https://github.com/certbot/certbot /opt/cerbot

で、取ってきて、

$ sudo ./certbot-auto certonly –agree-tos –rsa-key-size 4096 –renew-by-default -m dnsadmin@mydomain.com –webroot -w /var/www/html/ -d mail.mydomain.com –renew-by-default
で、証明書作成。
certonlyを入れないと、runモードになって、apacheの設定を変えに行くらしい。
-mのメールアドレスは連絡用。
-wのルートディレクトリは、今回メールの証明書だから意味なし。
更新は90日ごと必要。

Postfixの設定を変更

$ sudo vi /etc/postfix/main.cf

smtpd_tls_cert_file = /etc/letsencrypt/live/mail.mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.mydomain.com/privkey.pem
Dovecotの設定も変更

$ sudo nano /etc/dovecot/conf.d/10-ssl.conf

ssl_cert =
mail.mydomain.com/fullchain.pem
ssl_key = mail.mydomain.com/privkey.pemそして、サービスを再起動

$ sudo service postfix restart
$ sudo service docevot restart
Yes!
去年から止まっていたGmailからのメール取得が復活したぜ!

で、自動更新は、、、また今度

DTIサーバー構築35 「誰?私を見ているのは!」

Webサーバに誰が来たか?
それを簡単に調べるために、昔ながらのwebalizerを入れておく。

$ sudo yum -y install webalizer

ん?それから 何かしたっけ?
webminで設定した?
忘れた。


でも、ちょっと出来る人は、Google アナリティクスで解析しましょう。


★DTIサーバー構築一覧はこちら★