2017年12月一覧

nginx 1.13.8 Release

1.13.8リリース。1ヶ月くらい様子を見てからあげる予定。

Changes with nginx 1.13.8                                        26 Dec 2017

    *) Feature: now nginx automatically preserves the CAP_NET_RAW capability
       in worker processes when using the "transparent" parameter of the
       "proxy_bind", "fastcgi_bind", "memcached_bind", "scgi_bind", and
       "uwsgi_bind" directives.

    *) Feature: improved CPU cache line size detection.
       Thanks to Debayan Ghosh.

    *) Feature: new directives in vim syntax highlighting scripts.
       Thanks to Gena Makhomed.

    *) Bugfix: binary upgrade refused to work if nginx was re-parented to a
       process with PID different from 1 after its parent process has
       finished.

    *) Bugfix: the ngx_http_autoindex_module incorrectly handled requests
       with bodies.

    *) Bugfix: in the "proxy_limit_rate" directive when used with the
       "keepalive" directive.

    *) Bugfix: some parts of a response might be buffered when using
       "proxy_buffering off" if the client connection used SSL.
       Thanks to Patryk Lesiewicz.

    *) Bugfix: in the "proxy_cache_background_update" directive.

    *) Bugfix: it was not possible to start a parameter with a variable in
       the "${name}" form with the name in curly brackets without enclosing
       the parameter into single or double quotes.

HTTP/2対応した筈なのにHTTP1.1になってしまう件

自宅の端末で、せっかく設定したHTTP/2が有効にならない。いろいろ検索すると、下記の情報にたどりついた。

対応しているはずなのに、なぜかHTTP/2で通信できない原因

ESETのファミリーセキュリティ等、いわゆるウィルス対策ソフトが原因の模様。

ウチでも使っているよ、ソレー!

Twitter等の大手サイトだと問題なくHTTP2になっているので、端末側原因というよりサーバ側の設定と思っていたが…。

一部のSSLサイト(「https://」で始まるWebページ)が表示できない

フィルタリングモードを対話モードにする事で、ブロック対象となった場合は許可するか聞いてくるようで、必要に応じて許可してほしいとのアナウンス。

ブロックではなくHTTP/2が無効化されているだけだったので、特にポップアップ等もあがることなく、対話モードにすることでHTTP/2が有効になった。

心当たりはないが、ここのサイトと同じRapidSSLの証明書がブロックされていたので、これが怪しい。証明書の発行元でブロックされるのか、それとも別の原因でブロックされたので同じ証明書の発行元も同じくブロックされたのか。

 

 

 


nginxでsslの設定評価をA+にするメモ

間違った中間CA証明書をバンドルして運用していた事に気づいたので、その修正とともにNginxのHTTPS設定について見直した。HTTPS運用する上で事前に実施していたのは、下記くらいか。

  • RapidSSLで外部認証局の証明書を取得
  • RapidSSLの場合は、中間CA証明書もサーバ証明書にバンドルしておく
  • 取得した証明書はワイルドカード(マルチドメイン)対応でないため、バーチャルホストではなく証明書のドメインのサブディレクトリにコンテンツを変更する
  • SSL等の古いプロトコルは禁止しTLSのみにする

SSLv1-v3の設定はかなりハイリスクのため、これらを不許可にするだけでA-からスタートできるようだ。実質変更したのは、CipherListの変更、HSTSの設定、dhparamの設定くらい。

証明書+SSL設定の確認方法

SSL Server Test

上記サイトで確認したいホスト名をいれて確認が可能。

何度か実行し、赤く表示されているWeekポイントを修正する事で、最終的にはA+と判定された。暗号強度をあげれば、CipherStrengthあたりはもう少しあがるハズだが、落とし所としてはこのあたりだろう。

赤字は修正が好ましい指摘事項、緑は推奨設定事項のようなので基本的には赤字を潰していくように設定を変更していけばよい。まともな証明書を使う限り、大きく改善とみなされるのは、SSL不許可とStrict-Transport-Securityの設定のようだが、強制的にhttpsにリダイレクトされるためコンテンツ側の対応が必要だったり、ブラウザ側での例外設定ができなかったり等の弊害もあるので注意したい。

設定内容を変更後、サイドSSL Server Testを実施したい場合は結果画面より、clear cacheを選ぶとよい。

ちなみにテストでは、CAAレコードの追加がしていないと指摘されたため対応してみたが、特に減点対処とも加点対象ともならないようである。

DNSはホスティングを利用しているので、さくらのコンパネから追加してみた。

登録する値は、証明書の発行元によって変わるので注意。rapidSSLの場合はsymantec.comを下記のように登録すればいいようだ。

0 issue "symantec.com"

テスト結果およびNginxの関連ドキュメントを参照し設定した最終的な、SSLのバーチャルホスト部の設定はこんな感じ。

/etc/conf.d/ssl.conf
Server {

    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name moooi.jp;
    root /www/html/;

    add_header Strict-Transport-Security 'max-age=31536000';

    ssl_certificate	 /etc/nginx/cert/server.crt;
    ssl_certificate_key  /etc/nginx/cert/server.key;
    ssl_dhparam /etc/nginx/dhparam.pem;

    ssl_session_cache shared:le_nginx_SSL:1m;
    ssl_session_timeout 1440m;

    ssl_protocols TLSv1.2;

    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:!MD5;

    client_max_body_size 25M;

}
参考にした記事

HTTPS on Nginx: From Zero to A+ (Part 1)[原文] [日本語翻訳版]

HTTPS on Nginx: From Zero to A+ (Part 2)[原文] [日本語翻訳版]


CentOS6.x系でmySQLの最新バージョンを使う方法

centOS 6.9のyumでインストールしたmysqlを5.7にあげる作業メモ

データベースのバックアップ。

$ sudo cp -aR /var/lib/mysql/ /work/db_bk/

dumpデータもとっておく。

$ mysqldump --single-transaction -u root -p -x --all-databases > dump_yyyymmdd.sql
Enter password: {root_password}

削除する前にパッケージ一覧を出力してから、現行の古いパッケージは一括削除する。

$ sudo rpm -qa | grep mysql
$ sudo yum remove mysql*

公式ページよりRPMのURLを確認して、インストール。
ユーザ登録が求められるが急いでいるときは、”No thanks, just start my download.”のリンクから落とせる。

$ sudo yum install https://dev.mysql.com/get/mysql57-community-release-el6-11.noarch.rpm
$ sudo yum install mysql-community-server

既存のDBがある場合は、DBのアップデートも必要。セーフモードで起動し、DBのアップデートをおこなう。

$ /usr/bin/mysqld_safe --skip-grant-tables &
$ mysql_upgrade -u root -p 
[mysqlのrootパスワード]

Upgrade process completed successfully.
Checking if update is needed.

不足パッケージがあれば、個別に追加でインストールする。


CentOS6.XでHTTP/2のためにnginxを設定

centOS6.xはALPN対応パッケージがないので、自力でコンパイル&インストールする。

事前にやること

現在のパッケージインストールしたnginxのオプションを控えておく。

$sudo nginx -V

nginx version: nginx/1.12.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC) 
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments:
 --prefix=/etc/nginx
 --sbin-path=/usr/sbin/nginx
 --modules-path=/usr/lib64/nginx/modules
 --conf-path=/etc/nginx/nginx.conf
 --error-log-path=/var/log/nginx/error.log
 --http-log-path=/var/log/nginx/access.log
 --pid-path=/var/run/nginx.pid
 --lock-path=/var/run/nginx.lock
 --http-client-body-temp-path=/var/cache/nginx/client_temp 
 --http-proxy-temp-path=/var/cache/nginx/proxy_temp 
 --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp 
 --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp 
 --http-scgi-temp-path=/var/cache/nginx/scgi_temp 
 --user=nginx
 --group=nginx
 --with-compat
 --with-file-aio
 --with-threads 
 --with-http_addition_module
 --with-http_auth_request_module 
 --with-http_dav_module
 --with-http_flv_module
 --with-http_gunzip_module 
 --with-http_gzip_static_module
 --with-http_mp4_module
 --with-http_random_index_module 
 --with-http_realip_module
 --with-http_secure_link_module
 --with-http_slice_module 
 --with-http_ssl_module
 --with-http_stub_status_module 
 --with-http_sub_module
 --with-http_v2_module
 --with-mail
 --with-mail_ssl_module 
 --with-stream
 --with-stream_realip_module
 --with-stream_ssl_module 
 --with-stream_ssl_preread_module

OpenSSL1.0.1系のためALPNに対応した1.0.2系の最新版に変える。

パッケージアンインストールすると、現在の設定ファイル等も削除されてしまう場合があるので、/etc/nginx配下、/etc/inid.dの起動スクリプトをバックアップする。

$ mkdir ~/backup
$ cd ~/backup
$ sudo cp -r /etc/nginx .
$ sudo cp /etc/init.d init_nginx

コンパイル

作業ディレクトリでopensslの最新版とnginxの最新版をダウンロードし、展開する。

$ wget https://www.openssl.org/source/openssl-1.0.2m.tar.gz 
$ tar zxvf openssl-1.0.2m.tar.gz 
$ wget https://nginx.org/download/nginx-1.13.7.tar.gz
$ wget zxvf nginx-1.13.7.tar.gz

コンパイルオプションは、各種技術系サイトの情報をベースに、設定パスやユーザ名等は極力、パッケージ版のものを踏襲するようにして、設定ファイル等の変更が発生しないようにしている。

$ cd nginx-1.13.7
$ ./configure  \
   --prefix=/etc/nginx \
   --sbin-path=/usr/sbin/nginx \
   --conf-path=/etc/nginx/nginx.conf \
   --error-log-path=/var/log/nginx/error.log \
   --http-log-path=/var/log/nginx/access.log \
   --pid-path=/var/run/nginx.pid \
   --lock-path=/var/run/nginx.lock \
   --http-client-body-temp-path=/var/cache/nginx/client_temp \
   --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
   --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
   --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
   --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
   --user=nginx \
   --group=nginx \
   --with-http_ssl_module \
   --with-http_realip_module \
   --with-http_addition_module \
   --with-http_sub_module \
   --with-http_dav_module \
   --with-http_flv_module \
   --with-http_mp4_module \
   --with-http_gunzip_module \
   --with-http_gzip_static_module \
   --with-http_random_index_module \
   --with-http_secure_link_module \
   --with-http_stub_status_module \
   --with-http_auth_request_module \
   --with-threads \
   --with-stream \
   --with-stream_ssl_module \
   --with-http_slice_module \
   --with-mail \
   --with-mail_ssl_module \
   --with-file-aio \
   --with-http_v2_module \
   --with-ipv6 \
   --with-openssl=../openssl-1.0.2m/

–with-http_v2_module、–with-openssl=../openssl-1.0.2m/の指定必須。opensslは事前にコンパイル不要なので-with-opensslで指定するフォルダに展開しておけばよい。

足りないヘッダ等があれば、makeファイル作成時にエラーがでるのでxxx-devel等の該当パッケージをいれる。

$yum install pcre-devel
インストール、設定の戻し
$ make

ここまでエラーなく完了したら、nginxの既存パッケージをアンインストールして、コンパイルしたものをインストールする。

$ sudo yum remove nginx*
$ sudo make install

設定ファイルの書き戻し、ownerをnginx:nginxに戻しておく等。

$ cd ~/backup
$ sudo cp init_nginx /etc/inin.d/nginx
$ sudo cp -R nginx /etc/
$ sudo chown -R nginx:nginx /etc/nginx

ちゃんと反映されているか確認。

$ sudo nginx -V

nginx version: nginx/1.13.7
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC) 
built with OpenSSL 1.0.2m  2 Nov 2017
TLS SNI support enabled
configure arguments:
 --prefix=/etc/nginx
 --sbin-path=/usr/sbin/nginx
 --conf-path=/etc/nginx/nginx.conf
 --error-log-path=/var/log/nginx/error.log
 --http-log-path=/var/log/nginx/access.log
 --pid-path=/var/run/nginx.pid
 --lock-path=/var/run/nginx.lock
 --http-client-body-temp-path=/var/cache/nginx/client_temp
 --http-proxy-temp-path=/var/cache/nginx/proxy_temp
 --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
 --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
 --http-scgi-temp-path=/var/cache/nginx/scgi_temp
 --user=nginx
 --group=nginx
 --with-http_ssl_module
 --with-http_realip_module
 --with-http_addition_module
 --with-http_sub_module
 --with-http_dav_module
 --with-http_flv_module
 --with-http_mp4_module 
 --with-http_gunzip_module
 --with-http_gzip_static_module
 --with-http_random_index_module
 --with-http_secure_link_module
 --with-http_stub_status_module
 --with-http_auth_request_module
 --with-threads
 --with-stream
 --with-stream_ssl_module
 --with-http_slice_module
 --with-mail
 --with-mail_ssl_module
 --with-file-aio
 --with-http_v2_module
 --with-openssl=../openssl-1.0.2m/

あとは、起動して今までのコンテンツが動作している事を確認して完了。

$ service nginx start

//追加