rss ログイン
JJ1RLWのXOOPS Cube Siteにようこそ

メインメニュー

ログイン


ユーザー名:


パスワード:





パスワード紛失  |新規登録

オンライン状況

2 人のユーザが現在オンラインです。 (2 人のユーザが xpress ブログ を参照しています。)

登録ユーザ: 0
ゲスト: 2

もっと...

アーカイブ

カテゴリー

アクセスカウンタ

今日 : 5959
昨日 : 116116116
総計 : 230848230848230848230848230848230848

カレンダー

2017年11月
« 9月    
 1234
567891011
12131415161718
19202122232425
2627282930  

xpress ブログ » » IIS

  カテゴリー ‘IIS’ のアーカイブ
WordPress for XOOPS

IIS7.5でSVGファイルが表示されない

IIS7.5でSVGファイルが表示されない現象が見られたので、MIMEタイプを追加しました。

確か以前にも、設定を追加したと記憶していますが、Webサイトを再構築した際にMIME設定に追加するのを忘れていた様で、一部のフォントファイルも含めて再度追加しました。
これで、404エラーも無くなり、正常動作する様になりました。

サーバ環境
Windows server 2008R2
IIS7.5

参考サイト
Windows Server 2008 R2(IIS 7.5) で SVG が表示されないときは、web.config を用意する
IIS7.0 で SVG ファイルが表示されなかった
静的コンテンツの MIME マッピングの追加
WebフォントのMIMEタイプ(Content-Type)
woff → W3C
image/svg+xml → W3C

XOOPS Cubeを「HTTPS接続」に対応させる

相当前からXOOPS Cubeを「HTTPS接続」に対応させています。
この手の記事を投稿していませんでしたので、改めて投稿しました。

まず、使用するWebサーバが「HTTPS接続」に対応している事が前提条件です。

次に、XOOPS_ROOT_PATH/mainfile.php の

に変更。

これで「HTTP接続」と「HTTPS接続」の両方に対応します。

サーバ環境
Windows Server 2008R2
IIS 7.5
サーバ証明書、いわゆる「オレオレ証明書」で、OpenSSLを使って自己証明書を作っています。..(^_^;

Namazu for Windows 2.0.22 pre6(x64)を試して見た

最初はNamazu for Windows 2.0.21で試したが、ActivePerl-5.16、5.18環境に上手く導入できませんでした。
その後、Namazu for Windows 2.0.22 pre6(64ビット専用)が公開されているのを知りました。

Windows Server 2008 R2で、IIS、ActivePerl-5.18.4.1804-MSWin32-x64がインストール済み環境に、Namazu for Windows 2.0.22 pre6(x64)の導入を試して見ました。

動作環境をチェックする「alltests.pl」も「All 41 tests passed」となり問題無くパスし、当然、Namazu for Windowsも問題無く動作している様に見えます。

XOOPS使いには必要無いのですが、テキストデータ(SJIS、EUC-JP、UTF-8)などの検索に使えそうです。

Namazu による全文検索システムの画像
Namazu による全文検索システムの画像

参考サイト
Namazu for Windows 2.0.22 pre6 公開 ― 2015年02月08日 18時58分10秒
Windows Server 2008(R2)にNamazu for Windowsをインストールする
簡単なNamazu設置と2.0.21へのバージョンアップ法(windows版)
Namazu for Windows 2.0.21 インストール & 設定

Log Parser Studioを使って見る

Log Parser Studioを使うには、Log Parser 2.2 日本語版をインストールし、LPSV2.D2.zipを解凍し、Log Parser Studioを起動する。
Log Parser Studioで、ライブラリから[IIS:Request Per Hour by Bytes Sent]をダブルクリックし、IISのログファイルを選択してグラフを表示して見る。

SQL文を以下の様に変更して、
SELECT QUANTIZE(TO_TIMESTAMP(date, time), 3600) AS Hour,
COUNT(*) AS Total,
SUM(sc-bytes) AS TotBytesSent
FROM ‘[LOGFILEPATH]’
GROUP BY Hour
ORDER BY Hour

SELECT QUANTIZE(TO_LOCALTIME(TO_TIMESTAMP(date, time)), 3600) AS Hour,
COUNT(*) AS Total,
SUM(sc-bytes) AS TotBytesSent
FROM ‘[LOGFILEPATH]’
GROUP BY Hour
ORDER BY Hour
にすることで、UTCからJST(日本時間)のローカルタイムに変更して表示できます。

Log Parser Studioは、色々なライブラリがあり多機能ですので、今でも結構使えます。

また、Log Parserも多機能なツールとして色々な使い方ができますので、私自身、IISのログをapache形式に変換して、ログの分析に使っています。
Log Parserは、コマンドベースなのですがIISのログをSQL Serverに蓄積することも簡単に出来ます。

参照サイト
概要: Log Parser Studio – (旧) Exchange Team Blog 日本語版
Log Parser 2.2 日本語版
Log Parser Studioのダウンロード
Log Parserの概要

IIS 7.5のSSL/TLS設定を再確認

昨年のPOODLE脆弱性(CVE-2014-3566)への対応が必要なったのを機に、IIS 7.5のSSL/TLS設定を変更しましたが、本当に変更が反映しているのかを再度、確認して見ました。

このサイトにアクセスして、管理しているサイトのURLを入力してスキャンして貰い、結果を確認します。

マイクロソフト社の情報だとレジストリをいじる必要がありますが、上記サイトで提供しているIIS Cryptoの GUI Version 1.6 for .Net 4.0 又は、 Version 1.6 for .Net 2.0をダウンロードして、GUIでSSL/TLS設定を簡単に変更出来ます。
このツールの使用に関しては自己責任で。

参考サイト
インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法
IIS Cryptoを使ってIISでSSLv3を無効化する
IISCrypto
サーバーのSSL/TLS設定のツボ

OBS266にSnort(IDS(侵入検知システム))を導入

OBS266(OpenBlocks266)はメモリが64MBしか無い非力なマシンなので、あまり多くのアプリケーションを稼働させることは出来ませんし、現在でも乗せすぎの状態です。

それでも、あえて、OBS266にSnort(IDS(侵入検知システム(Intrusion Detection System)))を導入して見ました。

以下のファイルをダウンロードしてインストールしました。
libpcap-1.7.4.tar.gz
daq-2.0.5.tar.gz
snort-2.9.7.3.tar.gz
community-rules.tar.tar

インストール後の動作確認で、無事、snortのログに記録されています。

[**] [1:1000001:1] ICMP Testing Rule [**]
[Priority: 0]
07/12-16:31:48.085190 PCのIPアドレス -> ルーターのIPアドレス
ICMP TTL:128 TOS:0x0 ID:10632 IpLen:20 DgmLen:60
Type:8 Code:0 ID:1 Seq:80 ECHO

[**] [1:1000001:1] ICMP Testing Rule [**]
[Priority: 0]
07/12-16:31:48.085511 ルーターのIPアドレス -> PCのIPアドレス
ICMP TTL:64 TOS:0x0 ID:58264 IpLen:20 DgmLen:60
Type:0 Code:0 ID:1 Seq:80 ECHO REPLY

翌日には、本当の攻撃が記録され、いや~、ビックリですね。
以前から、PHPのCGI動作を悪用しようとする攻撃は、他にもサーバのログに残っていますね。
今回、あえて攻撃側のIPアドレス、ドメイン名を公開しました。

[**] [1:22063:9] SERVER-WEBAPP PHP-CGI remote file include attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1]
07/13-19:21:51.959986 198.154.63.131:45475 -> WebサーバのIP:80
TCP TTL:64 TOS:0x0 ID:11909 IpLen:20 DgmLen:1070 DF
***AP**F Seq: 0xF35E37E1 Ack: 0x3238C6BA Win: 0x200 TcpLen: 32
[Xref => http://cve.mitre.org/hogehoge1][Xref => http://cve.mitre.org/hogehoge2]…と続く。

参考にさせて頂いたサイト
Snortを利用したIPSの構築
IDS(侵入探知システム)の導入
ネットワーク型IDS「Snort」の導入
SNORT FAQ日本語版
Snortの起動
出力の設定

PHP7でのaddslashesの動き

PHP7でmysql拡張がなくなりますが、そのほかにも上手く動かない関数が見られます。
addslashes関数を使い、URLのUTF8からのデコードをしている部分で、PHP5.6では問題ないがPHP7では上手く動きません。
そこで、urldecode関数を使うと近い動きをしますがいまいちです。

まだ、PHP7は開発途上なので今後に期待したいと思います。

Schannelエラーのログが記録される

最近、IISでのSchannelエラーのログが記録される量が多くなってきました。

エラーの説明では、「リモート クライアント アプリケーションから TLS 1.2 接続要求を受信しましたが、クライアントでサポートされている暗号がサーバーでサポートされていません。SSL 接続要求は失敗しました。」とのこと。

当サイトでは、SSL接続を必須とするサービスは特に無いので、SSL接続要求を破棄しただけで、特に実害はないのですが、OpenSSLの暗号化に関連した攻撃の様にも思われますが??です。

Analyzer for XCとlogcounterxの改造のまとめ

当サイトで使用しているXOOPS Cubeのモジュール、Analyzer for XCとlogcounterxの改造のまとめて見ました。
IISでの運用で、ちょっとした不具合を修正するためにPHPコードの一部を書き換えて対応しています。

資料室のソフトウェアに追加しました。
Analyzer for XCの改造
logcounterxの改造

Analyzer for XCは、既に開発サポートが終了しています。

IIS7.5とOpenSSLでSHA-2証明書(オレオレ証明書)を作成

IIS7.5とOpenSSLで、SHA-2証明書(オレオレ証明書)を作成して見ました。

1.予めOpenSSLをインストールしておき、IISマネージャで「サーバー証明書」から「証明書の要求の作成」を選択してウィザードに従って、2048ビットの証明書の要求を作成して「certreq.txt」とファイル名で保存して、OpenSSL\binに置きます。

OpenSSLのコマンドプロンプト(OpenSSL\bin)で、

2.認証局の秘密鍵を作成。
openssl genrsa -des3 -out server2.key 2048 -sha256

3.認証局の秘密鍵のパスフレーズを解除。
openssl rsa -in server2.key -out server2.key

4.証明書の要求ファイルから、証明書を作成。
openssl x509 -in certreq.txt -out testsite.crt -req -signkey server2.key -days 3650 -sha256

5.IISで使う為に、pkcs12という形式に変換します。
openssl pkcs12 -export -in testsite.crt -inkey server2.key -out testsite.pkcs12

6.IISマネージャで「サーバー証明書」から「インポート」を選択して「testsite.pkcs12」取り込みます。

7.mmcを使って、証明書を「信頼されたルート証明機関」としてインポートします。
私の環境では、「信頼されたルート証明機関」としてインポートしないと、IISの「サーバ証明書」に証明書に問題があるとされてしまいます。

サーバ証明書を表示した画像
サーバ証明書を表示した画像

参考にさせて頂いたサイト
IISのSSL証明書をDebian + OpenSSLで作成する
IIS + OpenSSL
OpenSSLでIISのサーバー証明書を作成・導入する
SHA-2証明書の作成方法・サーバ証明書がSHA-2証明書になっているかの確認方法
CentOS6 / Ubuntu14.04 でのサーバ証明書の作成方法
テスト環境で大活躍なオレオレ証明書を作ろう!
OpenSSL で作る SANs 対応かつ SHA256 使用の自前認証局。
OpenSSL による CSRの作成について
OpenSSL による PKCS #12 形式の操作方法


 

Powered by XOOPS Cube 2.2 © 2001-2016 XOOPS Cube Project Distributed by XOOPS Cube 2.2 Distribution Team.