イトウ アスカ blog このページをアンテナに追加 RSSフィード

2010-09-22

NoSQL サーバ Cassandra を Ubuntu にさっくりとインストールする

 もともと Debian 向けなんだけど、Ubuntu 10.04 でも上手くいったっぽいのでメモ。

 まず、/etc/apt/sources.list.d/cassandra.list というファイルを作る。内容は以下のとおり。

deb http://www.apache.org/dist/cassandra/debian unstable main
deb-src http://www.apache.org/dist/cassandra/debian unstable main

 次に公開鍵のインポート。以下の二つのコマンドを打つ。

gpg --keyserver wwwkeys.eu.pgp.net --recv-keys F758CE318D77295D
gpg --export --armor F758CE318D77295D | sudo apt-key add -

 最後に cassandra のインストール

sudo apt-get update
sudo apt-get install cassandra

 設定は /etc/cassandra 起動オプションは /etc/default/cassandra をいじりましょう。

2010-05-10

クライアント認証で大ハマり

 とあるところに CentOS で構築した Web サーバを収めました。それは、LAN 内からしかアクセスできないのですが、そこの決まりでクライアント認証をしなければならなかったのでかように設定をしました。

 ところが最近、これにつながらなくなりましてさあ大変。

 まったく原因がわかりませんでした。


現象1 Linux からはつながる

 このサーバ自身に入れておいた Firefox からは接続することができました。でも、お客様が使っているのは Windows。ここかはらなぜかアクセスできない。ブラウザIE7Firefox 3.0.x でも試してみたけどダメ。


現象2 再現できない(と思ってた)

 仕方がないので、似たような環境を自社内に構築して確かめてみたら。上手くいく。と思っていたけど、試していたのは証明書と LAN 用に構築した CA のみで、ディレクトリ構造などは二の次にしておりまして、ディレクトリ構造も真似てみたら再現できました。


再現方法確定

 Location ディレクティブでクライアント認証が必要なところを限定すると上手くいかないということが発覚。Googlability を挙げるために /etc/httpd/conf.d/ssl.conf の断片を載せときます。

<Location "/hoge/">
    SSLVerifyClient require
    SSLVerifyDepth 1
</Location>

そして解決へ

 どうも再ネゴシエーション脆弱性対応のため、サーバ側にあたったアップデートが原因らしい。そのため、RFC 5746 非対応のブラウザでは接続できなくなっていたようです。ということで、ブラウザを変えられない膠着した組織ではサーバ側でこの脆弱性対応をあえて無効にしなければ従来のように接続させることはできません。次の一文を /etc/httpd/conf.d/ssl.conf に書きましょう。

SSLInsecureRenegotiation on

その名のとおり「安全でない再ネゴシエーション」です。ご利用の際は十分な了解を得ましょう。

2009-07-10

アドオンを入れるまでもなかった

 前回のエントリの続き。アドオンを入れなくても対応可能でした。

 アドレスバーに以下のように入力

about:config

 自己責任だからね!と注意を受けるも、それをものともせず続行。

 「general.useragent.extra.firefox」という項目に「Shiretoko/3.5」とあるので、そこを「Firefox/3.5」と書き換えてしまいましょう。

 これで、お前はFirefoxじゃない!ってUser Agentで判断して怒ってくるサイトに怒られなくなります。

2009-07-09

Ubuntu 9.04 で Firefox 3.5 を使いたければ User Agent を詐称するんだ!

 Firefox 3.5 が出ましたね。Ubuntu 9.04 のデフォルトのリポジトリにはβ4があるだけなので、正式リリース版が使いたいという場合は PPA リポジトリを追加しなければなりません。その辺の手順は↓こちらが参考になります。

Ubuntu 9.04 の Firefox 3.5 と 3.5 対応の WP!Pikon | hiromasa.another :o)

 ところで、これでインストールできる Firefox の User Agent ではβ時のコード名である Shiretoko を名乗っているので、Google Toolbar をインストールしようとすると、Firefox 2.0 以上を使え!と Google に怒られてしまいます。仕方がないので、User Agent Switcher を使って User Agent を詐称しましょう。私は Shiretoko のところだけ書き換えて以下のようにしています。

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1) Gecko/20090701 Ubuntu/9.04 (jaunty) Firefox/3.5

でも、いろんな統計にできるだけ正確に寄与したいな、なんて思うと、すぐにデフォルトに戻しちゃったりするんですけどね。

2009-05-12

Tripwire を運用するのは難しいね

 Tripewire ( http://www.tripwire.org/ )を自分が管理しているサーバに仕掛けている方も少なくないと思いますが、ポリシーを設定するのは骨が折れますね。

 チェック時にエラーがいっぱいでるので、/proc をチェック対象から外している方も少なくないと思うのですが、以前、サーバに侵入されて /proc 下になんか変なのを作られたのを見たことがあるので、どうしたものかと悩んでいます。

 それから、メールボックスなんかも中身が変わってあたりまえですから悩ましいですね。特に Maildir 形式にしていると、チェック対象から外したくなります。でも、私が侵入者だったらここに良くないものを置いたりするかもしれません。

 /usr や /etc が触られたことだけ検知するんだ! と思えば別にそこまでナーバスになる必要はないと思いますけどね。