Compnet

仕事とか遊びとか、日々折々

2017-12-04(月)

StartSSL が終わった

Posted by Nakane, R. in impressions   

Web サイトを SSL 対応にしたり、ログイン時の認証をクライアント証明書で行うようにするときには電子証明書を使います。 本ブログでも、このようなことを記事に書いています。 このときに使う電子証明書は StartSSL で発行したものを使い、記事にもそのように書いています。

しかし、昨年 (2016年) に証明書発行に関する問題がいくつも発覚したことで、Mozilla の Firefox や Google の Chrome などの主要なブラウザーが、StartSSL (これを管理する StartCOM 社) が発行した証明書を信頼できない証明書として扱うようになりました。 StartSSL は一般に公開された認証局の中で数少ない、無料で証明書を発行してくれる認証局です。 発行できる証明書は DV 証明書で、有効期間がサーバー証明書が 1 年、クライアント証明書が 2 年にという条件が付きますが、なによりも無料というのは実験的な使用には十分に魅力でした。

Read more...


2016-04-30(土)

クライアント認証でログインできるようにしたら Zabbix API がエラーになるので無理矢理回避しました

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

Zabbix には、外部プログラムから Zabbix が管理する情報を取り扱うための仕組みとして、Zabbix API が存在します。

Locked Zabbix

Zabbix API を使えば、Web UI を使わずにプログラムなどから Zabbix の各種情報、例えば登録されているホストの一覧や収集したホスト情報などを取得したり、新たな監視対象を登録したりできます。 筆者も Zabbix API を Python スクリプトから利用して、登録されている監視対象のホスト情報を取得して hogehoge して便利に活用しています。

さて、先の記事で Zabbix の Web UI にクライアント認証だけでログインできるようにしました。 これによって、Zabbix に対する不正アクセスを極端に減らせると喜んだのですが。 何というか、Zabbix API を使ったプログラムが軒並み動かなくなってしまいました。

Read more...


2016-04-26(火)

Zabbix 3.0 にクライアント認証だけでログインする

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

先の記事で Zabbix 3.0 のフロントエンドにクライアント認証を追加しました。 しかし先の記事にも書いたとおり、これだけでは StartSSL でクライアント証明書を発行した人 (StartSSL の利用ユーザーなど) 全員を承認してしまいます。

Locked Zabbix

そこで、クライアント証明書に記述されている情報を使って、特定の証明書の所有者だけを承認するようにします。 さらに、せっかくクライアント認証で個人を特定するのですから、その情報を使って Zabbix にログインまでできるようにもしましょう。

Read more...


2016-04-18(月)

Zabbix 3.0 にクライアント認証を追加

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

レンタル サーバーに Zabbix をインストールして使っているユーザーはかなり多いと思います。 筆者も他聞に漏れず、レンタル サーバーに Zabbix をインストールして使っています。 正確にはレンタル サーバーというよりも、レンタル VPS サーバーですが。

Zabbix にはログイン フォームがあり、ここにユーザー名と正しいパスワードを入力して初めて使えます。 ログイン フォームは Web アプリケーションにとっては基本ですが、ネットワーク越しにユーザー名とパスワードの組を送ることになるのが不安です。 そこで SSL 化 (HTTPS ) して、ログイン フォームの前後だけでも通信路を暗号化して、ユーザー名とパスワードが平文のまま送られないようにしたりもします。 しかし、SSL で通信路を暗号化しても総当たり攻撃には無力なままです。

そこで、クライアント証明書によるクライアント認証で、Zabbix の不正利用を防ごうと思います。

Locked Zabbix

Read more...