1年ぶりに帰ってきました!コミケ90の3日目、西4 f-44b に出展します。「低級はっかーズ」です。
今回は前回までとは異なり、HTTP/2のお話です。Nginxを使って「安全で高速な」HTTP/2サーバーを構築するまでのガイドを掲載しています。SSL LabsでももちろんAランクになります。
その他、平文HTTP/1.1とのベンチマーク比較、Cipher suiteの解読方法など、見本には載せきれない内容が詰まってます。会場でお待ちしています!
タイトルは「Get Started with HTTP/2」です。表紙はきのとなおとさんに描いていただきました。
Linux Kernel Updates 2015.08と2014.12も持っていきます。会場でお待ちしています!
コミケが終わったら出せてなかった過去のLinux Kernel Updatesの分も含めてKindle版出します。
VENOM脆弱性(CVE-2015-3456)についての情報をまとめました。
影響範囲は広いのですが、一部のクラウドベンダー以外は心配する必要はありません。一人で仮想環境を使っている場合には実質的な影響は受けません。なお、AWSは影響を受けないとアナウンスされています。
QEMUに存在するフロッピーディスクコントローラー(FDC)にバッファオーバーフローのバグがあり、そのコードを利用するKVM, Xenが影響されます。なお、このコードはコマンドラインでFDの利用を指定しているかなどに影響を受けず、すべての設定で利用されます。詳しい内容については、Red Hat Security BlogのVENOM, don’t get bitten.という記事が参考になります。
この脆弱性を利用すると、本来アクセスができない他のVM、ホストOSへのアクセスが可能になります。
この脆弱性を利用するには、仮想マシン上で管理者権限を持っている必要があります。つまり実質的に問題となるのは、複数のユーザーに仮想マシンを管理者権限付きで貸している場合です。
この脆弱性は2004年に、FDCのコードがQEMUにマージされたときから存在します。
直前になりましたが、コミケ87でLinux Kernel Updates 2014.12を頒布します。
スペースは西い-36bです。
ここのところ小さな変更点が多かった Linux ですが、今回は Overlayfs を初めとして魅力的な機能がいくつか導入されました。
サンプルを掲載します。
今回もソースコードをもとに動作を解説しています。
既刊は、2013.08, 2013.12, 2014.08がそれぞれ若干数ありますので持っていきます。よろしくお願いします。
sshの鍵を生成するのにssh-keygenをよく使いますが、無意識的に ssh-keygen -t rsa -b 2048 などと指定していました。ところが最近のバージョンのssh-keygenはオプションなしでもとりあえず動きます。
yuryu@ubuntu:~$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/yuryu/.ssh/id_rsa): Created directory '/home/yuryu/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/yuryu/.ssh/id_rsa. Your public key has been saved in /home/yuryu/.ssh/id_rsa.pub. The key fingerprint is: 7f:5a:1d:54:6a:30:dd:5c:ab:0c:8b:c6:9c:d6:3c:b8 yuryu@ubuntu The key's randomart image is: +--[ RSA 2048]----+ | o. o+| | o.o+| | . +. | | o * +o. | | SO = o. | | o.. .. . | | E. o . | | + | | . | +-----------------+
よく見ると答えが書いてありますが、デフォルトではどんな種類の鍵を生成しているのでしょうか?
[ RSA 2048]と書いてありますね。 RSAの2048bitsです。この種類の鍵と長さは今のところ安全だと言われているので、普通に使うのであればssh-keygenとオプション無しに実行すれば良いわけです。 DSAは鍵の長さが1024bitsでしか使えず、もはや安全な長さだとは言えないので使うべきではありません。なおECDSAの方が安全で鍵が長くなった場合に破綻しづらいと言われていますが、サポートされたのが比較的最近で例えばOS Xでは動かなかったりするので、まだ広く使えるとは言いがたいようです。
昔の記憶をたどると、-t を指定しない場合にはエラーだったり、標準の鍵長が1024bitsだったりしたことがあったと思うのですが、いつから変わったのでしょうか。コミットログを追ってみました。
| 年月 | 変更点 | デフォルトで生成される鍵 |
|---|---|---|
| 1999年9月 | 最初のコミット | rsa1 1024 |
| 2000年4月 | DSAをサポート | rsa1 1024 |
| 2000年11月 | RSA(SSH2)がサポート | rsa1 1024 |
| 2001年12月 | 鍵の種類の指定が必須に | N/A |
| 2005年6月 | デフォルトの鍵長が2048bitsに(ただし種類の指定は必須) | N/A |
| 2005年12月 | デフォルトの鍵がRSAに | rsa 2048 |
というわけで、2001年よりも前のシステムはそもそも脆弱なので省くとすると、鍵の指定をしなくても動くシステムでは標準で RSA 2048bits の鍵が生成されるようです。鍵の指定をしなくてはいけない(-tオプションを省くとエラーになる)システムでは鍵長も指定した方が安全でしょう。
将来ECDSAが広く使われるようになったらまた状況が変わるのかも知れませんが、randomart image([ RSA 2048]から始まる模様)をちゃんと確認する癖をつけるのが良いかもしれませんね。
英語の冠詞は、実はプログラマーにはとてもわかりやすいんです。
int i; i = 100;
1行目のint iは宣言なので「a」です。"Declare an integer variable."
次の i = 100 はその変数を参照しているので「the」です。 "Assign 100 to the integer variable."
int func(int v)
{
return v * 2;
}
関数の仮引数と戻り値は「a」です。"This function takes an integer argument and returns an integer value."
もちろん、その引数を関数内で使う場合は「the」になります。"Double the first argument and return the result."
特定の変数についてだけ会話するときは「the」ですが、それ以外は「a」です。日常会話もそんな感じです。
コミケ86で出版したLinux Kernel Updates 2014.08のKindle版を出版しました。
Linux Kernel Updates 2014.08の購入はこちらから!
以下は冊子版のプレビューです(Kindle版とはレイアウトが異なります)。
