Compnet

仕事とか遊びとか、日々折々

2016-04-26(火)

Zabbix 3.0 にクライアント認証だけでログインする

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

先の記事で Zabbix 3.0 のフロントエンドにクライアント認証を追加しました。 しかし先の記事にも書いたとおり、これだけでは StartSSL でクライアント証明書を発行した人 (StartSSL の利用ユーザーなど) 全員を承認してしまいます。

Locked Zabbix

そこで、クライアント証明書に記述されている情報を使って、特定の証明書の所有者だけを承認するようにします。 さらに、せっかくクライアント認証で個人を特定するのですから、その情報を使って Zabbix にログインまでできるようにもしましょう。

Read more...


2016-04-18(月)

Zabbix 3.0 にクライアント認証を追加

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

レンタル サーバーに Zabbix をインストールして使っているユーザーはかなり多いと思います。 筆者も他聞に漏れず、レンタル サーバーに Zabbix をインストールして使っています。 正確にはレンタル サーバーというよりも、レンタル VPS サーバーですが。

Zabbix にはログイン フォームがあり、ここにユーザー名と正しいパスワードを入力して初めて使えます。 ログイン フォームは Web アプリケーションにとっては基本ですが、ネットワーク越しにユーザー名とパスワードの組を送ることになるのが不安です。 そこで SSL 化 (HTTPS ) して、ログイン フォームの前後だけでも通信路を暗号化して、ユーザー名とパスワードが平文のまま送られないようにしたりもします。 しかし、SSL で通信路を暗号化しても総当たり攻撃には無力なままです。

そこで、クライアント証明書によるクライアント認証で、Zabbix の不正利用を防ごうと思います。

Locked Zabbix

Read more...


2016-03-22(火)

Zabbix 3.0 をインストール

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

1年半毎の LTS リリースの予定から順調に 9ヶ月ほど送れて Zabbix 3.0 LTS がリリースされました。 ちなみに、ポイントリリースになる 2.6 は出ないままに終わりそうです。 もっとも、監視に必要な機能は Zabbix 2.2 LTS で十分にこなれていて、バージョン アップが予定よりも少々遅れたところであまり影響はありませんでしたし、Zabbix 2.6 が出ないことになってもたぶん困らないでしょう。

Zabbix 3.0 LTS に期待しているのは、Zabbix Proxy や Agent と暗号化通信が可能になる点です。 暗号化通信についてはまだ試していませんが、Zabbix 3.0 がリリースされてから、筆者なり試行したことをまずは書いておきます。

手始めは、Zabbix 3.0 のインストールです。 インストールする OS は Ubuntu 14.04 LTS です。

Read more...


2016-02-04(木)

ネットワークが遅いという問い合わせ

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

最近別々のお客さまから二件ほど連続して、ネットワークが遅いとの問い合わせがあっりました。 片方のお客さまにどのような現象なのかをお聴きすると、Web ブラウザを使った業務で、ページが中々表示されないというものでした。 また他方のお客さまも、Web ブラウザでの閲覧に時間が掛かるというものです。

渋滞イメージ

それぞれのお客さまに詳しくお聴きしたところ、ファイル共有などでは特に遅いとは感じず、Web ブラウザでの閲覧に時間が掛かるとのことでした。 さらに詳しくお聴きすると、Web ブラウザのアドレス欄に URI を入力して Enter キーを押すしたとき、Web ページが表示されるまでに、ブラウザ左下に「名前解決しています」と表示されるようです。 さらにどちらのお客さまも、Active Directory ドメイン環境で運用しています。

結論からすると、どちらも同じ対応で解決しました。

Read more...


2015-10-28(水)

RTX と Linux を IPsec で接続 (Openswan) - メインモードで成功

Posted by Nakane, R. in technical   

Note

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

2年近く前に書いた「RTX と Linux を IPsec で接続 (Openswan)」を再検証して、IPsec を使った VPN セッションの確立になんとかこぎ着けたので、それを記す。

Openswan

IPsec を使った VPN セッションを確立したとはいうものの、それは両端を固定 IP アドレスにしたメイン モードのときだけだ。 片側の IP アドレスを不定にできるアグレッシブ モードのときや、NAPT 越えのための NAT Traversal を使ったときの VPN セッションの確立には、未だに至っていない。 これらについては、さらなる検証が追って必要だ。

Read more...