2016年10月の記事一覧

育メン日記 - リハビリ中

こんにちは、牟田口です。

嫁さんと赤ちゃんは11月第1週に戻る予定。
粗大ごみの廃棄や、不要な本やゲーム機の売却、部屋の片づけは一通り済んだので、のんびりしてます。

--- リハビリ

変わらず緊張性頭痛のリハビリ中。
早起きした時、自転車後で体冷えてきた時にちょっと頭痛む。のんびり付き合うか。

リハビリのSSPを少し強めでやった後、首のあたりが少し筋肉痛のような感じに。あら?強かったかも。
明日は控えめにしておこう。
毎日のリハビリ代は320円。健康保険利いてます。

リハビリのマイクロ波はじんわり暖かい感じ。装置との距離で温かさを調整できて自分で調整できる。わりと近くても温い程度で、近くしてる。
こんな2Wayの機械
同じ機種か不明だけど、新品で94.1万円(税別)。

SSP療法はピリピリする感じ。電圧を強めるか弱めるか看護婦さんに伝えて受ける。

https://www.nihonmedix.co.jp/support/03rehabilitation_about_item_01.html

SSP療法とは、「SSP電極を”ツボ”に置き、低周波通電を行うツボ表面刺激法」のことをいいます。
”SSP”(=Silver Spike Point)と呼ばれる特殊な金属電極を用いた経皮的ツボ電気刺激(TEAS)です。

あら、改めて調べてみたらSSPの略称ってそういう事なのね。
同じ機種か不明だけど、中古で300万

--- NetCommons3不具合報告

育メン日記書いてると、ちょっとした不具合がちらほら。
とりあえずGithubのNetCommons3リポジトリ報告。

--- 自転車動画に挑戦、そして落下


この後落ちました。

フィルムガラス破損、ケース破損、本体無事でした。
iphoneマウントの取り付け角度、悪かったです。

--- 八広図書館 一時リニューアル閉館

今日で一旦ラストでした。

http://www.library.sumida.tokyo.jp/libguide?1&pid=30#cal2

平成28年度、大規模改修工事のため、臨時休館いたします。
平成28年11月1日(火)から平成29年1月31日(火)まで

にゃ?

--- ザ・ゴール コミック版 読了

マンガなので分かりやすかった。展開も早くておススメ。
表紙真ん中の彼が主人公で工場の所長なんだけど、日本人でポケットに手を突っ込んで仁王立ちとか新しすぎるスタイル。
kindleでザ・ゴール2 コミック版も購入しました。

--- こころ 青い文学シリーズ 視聴

アニメなのに、今熱い真田丸の堺雅人さんの登場と作品紹介から始まる展開は、NHKかと思った。
この時点で「こころ」から夏目漱石の作風は暗い方向になっていくと紹介。
主人公の相方のKさんの声優は小山 力也さん。(Fate/Zero 衛宮切嗣役で慟哭に定評のある声優さん)
キャラクターデザインはデスノートでホットな小畑 健さん。

おお、バットエンドフラグを全力で立てていくスタイルか。
結果、びっくりするバットエンドでしたが、なかなか面白かったです。

0

育メン日記 - お宮参り

こんにちは、牟田口です。

--- お宮参り

午前中の早い時間からお宮参りに行ってきました。
お宮参り自体、なじみがなかったので検索

  • 生後30日前後に行くもの
  • 土地の神様にご挨拶
  • スーツ着用

ふむふむ。
とりあえずスーツはこんな感じ。


お宮参りの予約等は、嫁さんのご両親がやって頂いた。
場所は、豊受大神(トヨウケダイジン)


伊勢神宮の外宮の女神様で、農耕の神様。
お葬式や結婚式で仏教やキリスト教の儀式は体験したけど、土地神様の神社の儀式ははじめてかも。
お義母さんに赤ちゃんを抱いてもらい、赤い晴れ着のようなものを羽織って、嫁さんのご両親と共に儀式を受けた。

儀式後に、いくつか写真撮ってたけど、赤ちゃんがぐずり始めたので手早く終了。
少し肌寒いけど雨にも降られず良かった良かった。

健やかに育っておくれ。

0

育メン日記 - ポメラれたい

こんにちは、牟田口です。

育児休業なのに、育児はじまってないです。
嫁さんと赤ちゃんは11月第1週に戻る予定なので、そこからが本番です。
日記の更新が止まったらお察しください。
第1子なので、パパママも1年生。おっかなびっくり進みます。

--- ポメラれたい

ほめられたいので、ツイートしてみた。
あわよくばポメラ欲しいに決まってるじゃない。

--- 一年間に一度だけ

0

育メン日記 - ルンバかわいい

こんにちは、牟田口です。

育児休業なのに、育児はじまってないです。
嫁さんと赤ちゃんは11月第1週に戻る予定なので、そこからが本番です。
日記の更新が止まったらお察しください。
第1子なので、パパママも1年生。おっかなびっくり進みます。

--- ルンバさん

消費税増税前に駆け込み購入したルンバ。
スイッチ入れるだけで、部屋を掃除してくれる便利な子。

何度も掃除をかけると、部屋の地図を覚えるらしく、部屋の端もちゃんと掃除してくれるようになりました。


何度も使っていると、いろいろやってくれます。

  • 玄関に落ちて止まる(対策:付属のバーチャルウォールで先に進めないようにした)
  • 狭い部屋の隅に入ったはいいけど、出られず止まる(対策:棚などちょっと移動する)
  • 絨毯の隅を自分で折り返して乗り上げて止まる(しゃあない)
  • コードをひっかけてUSB無線LANをUSB部分を破壊。破損部品を吸い込み、気づかず廃棄(対策:ケーブル類が床に垂れてないかチェック)
  • ゴミを捨ててもが満タンだとランプが付くので、のぞいてみたらUSBケーブル吸い込んでた(被覆が所々見えてたので、そのまま廃棄)(対策:同上)
  • コードをひきずって、なんか伸びてる
  • うっかり絨毯の上に置いていた領収書がくしゃくしゃに (対策:絨毯に領収書おいておかない)

結果だけみると、猫のいたずらのようで微笑ましい。
ルンバかわいい。と噂で聞いた時は丸い機会のどこがかわいいねん。と思っていたのがうそのようです。
体験しないとわからない事でした。

ルンバを導入すると、ルンバ対策で部屋を片付けて、結果きれいになる副効果もありました。
だって、ほっとくとケーブル伸ばされるんですもん。

家事の自動化に貢献してくれるので、個人的にありだと思います。
掃除機を毎日かけるのは無理でも、家を出ていくときに毎日ルンバをぽちっとするのは可能かと。
(実際は毎日かけてないです。ルンバにスケジュール覚えさえて、定期的に自動で掃除させることも、機種によってできるみたい)

--- 洗濯

午前中に洗濯しておいたものを、もくもく勉強会前にかけこみで干す。

洗濯頻度は、現在1人なので、4日に1回程度か。
2人(嫁さん含む)だと2,3日に1回。
3人(あかちゃん含む)だと毎日になりそう。

省力化を心がけてみよう。

--- 牟田口代理

「牟田口代理」がさらにバージョンアップしました。
なんかあれだったので、1発殴りました。

--- NetCommons3もくもく勉強会

木曜17時から国立情報学研究所で開催されている、NetCommons3のもくもく勉強会。通称もくもく会。
もくもくと各自作業するので、もくもく会と呼ぶそうです。

今は一人だから参加できるけど、来週から参加は怪しそう。

もくもく会中に、不具合1件修正する。

Wysiwygで画像を編集時に画像のサイズを変更できるように対応

--- ミカエル

https://twitter.com/nc3_michael

NetCommonsをもっともっと知ってもらう為にに新しく生まれたミカエルにゃ。

出産祝いで頂きました。
これで育休日記がはかどります。
主に牟田口のテンションがあがりました。
にゃー。

--- 自転車

普段運動していない方からすると、20km走るとクタクタになった。ちょっとやりすぎ。

午前中でカロリー使ってるのは、荒川沿いの河川敷コース7kmで、平地で信号なしなので、楽しくなって飛ばしたため。
ちょっとおちつこうか俺。

--- 今日の簡単男メシ

0

育メン日記 - 掃除はエクササイズに入りますか?

Apple Watchによると入るようです。

こんにちは、牟田口です。
午前中に掃除しました。
掃除機かけとか、オーブントースターのコゲ取り除きが熱くて夢中になります。


育児休業なのに、育児はじまってないです。
嫁さんと赤ちゃんは1週間後に戻る予定なので、そこからが本番です。
日記の更新が止まったらお察しください。
第1子なので、パパママも1年生。おっかなびっくり進みます。

--- NetCommons2不具合の解決策報告

CMSであるNetCommons2の不具合の連絡があったので、解決策をgithubに投稿。
Unicodeの改行コードが機種依存文字であるとか、奥深すぎです。

WysiwygでLine Separator(U+2028))が含まれると編集不能 - NetCommons2

※ Wysiwyg(ウィジウィグ)とは、wordチックに文字入力できるウェブ画面の事です。

--- NetCommons3不具合の報告

育メン日記を書いていたら、NetCommonsの新しいバージョン、NetCommons3の不具合を踏んだので、内容をgithubに報告する。
NetCommons2でも3でも、Wysiwygの不具合に当たるのは、何かのご縁かしら。

Wysiwygで画像を編集時に画像のサイズを変更しても変わりませんでした - NetCommons3

--- 液晶モニターの廃棄

赤ちゃんを迎え入れるため、家にある不要なものはなるべく捨てる方針。
自作パソコンで使っていた古い液晶モニター(自動車で有名な韓国のHYUNDAI製、昔は安い家電を扱ってた)1点のみを、パソコン回収.comで無料(送料も)で引き取ってもらった。
1点なら、自分で梱包してクロネコヤマトの着払い伝票を貼って送ればオッケー。非常に簡単でした。

梱包済みの液晶モニター

パソコン廃棄を検索すると、複数業者が出てるけど、街に回ってくる無料の粗大ごみ回収業者と同様に、ちゃんと処分してくれるのか不安が残る。
パソコン回収.comにしたのは、PR記事だけどITMediaにあった記事を読んで。

--- 正規の液晶モニター廃棄方法(撤退したメーカー)

パソコンや液晶モニターはパソコンリサイクル品目の対象になる。
パソコンや液晶モニターは墨田区では回収しておらず(他の区も同様だと思う)、各メーカーが回収する決まり。

http://www.city.sumida.lg.jp/kurashi/gomi_recycle/syusyudekinai/pc.html

自作のパソコンや、撤退等でメーカーの存在しない場合は、パソコン3R推進協会(http://www.pc3r.jp/)にお問合せください。

との事なので、パソコン3R推進協会を確認。
撤退しているHYUNDAIの名前なし。

回収するメーカ等がないパソコンの改修申込みに進む。

確認したがこちらの作業が多く、お申込みから回収までに10日前後かかり、4000円(税抜)かかる所で心が折れた。

--- 墓参り

一人でも行こう行こうと思っていた友達の墓参りに行く。
お盆でも命日でもないけれども、忙しさにかまけて先延ばしすぎた。いかんね、でもこれてよかった。
子供生まれた事を報告して帰宅する。

--- さんきゅうパパプロジェクト ロゴマーク使用報告書提出

内閣府子ども・子育て本部 少子化対策担当さんからメールで、報告先のFAX番号とメールを回答して頂いた。
ダメ元で問い合わせフォームにも書き込んでいたのを見てくれたみたい。ありがたい。

早速、使用報告書を印刷して手書きした後、写真を撮ってメールする。
多分担当者の方は、これ見て手打ちするか、紙で保管するのかな。
長いURLを手書きしてみて、これ私も担当者の方も誰も得しないだろうと思いました。

報告先のメールアドレスは、WEBになく、ウイルスメール予防のため掲載できないルールとの事。
それじゃ仕方ないよね。

--- ロゴマーク使用報告の流れ

内閣府のセキュリティを考慮した上で、どうやら申請手順は最短だったようだ。

(1). 内閣府に電話して、内閣府子ども・子育て本部 少子化対策担当のメールを教えてもらう
(2). 使用報告書PDFを印刷する
(3). 使用報告書に申請内容を手書きする
(4). 使用報告書の写真を撮る
(5). メールに添付して送る

せめて(2)の使用報告書PDFで、注釈入力を許可する設定にしてくれれ(3)の手書きは無くなり、(4)はスクリーンショットでOKになるので、申請者は楽になると思う。
あとURLを報告するなら、こっちの方がお互い見やすいと思うのですが、どうでしょう。

もう困ってないけど今度、内閣府のフォームに送っておこう。そうしよう。

--- 今日の男の簡単メシ

 

男の簡単メシ、永谷園の広東風かに玉

Mitsuru Mutaguchiさん(@akagane99)が投稿した写真 -

0

育メン日記 - 腕がなまらないように図書館でプログラミング

こんにちは、牟田口です。
育児休業2日目です。

--- リハビリ

緊張性頭痛のリハビリのため、近所の加藤クリニックにて30分位、マイクロ波とSSP療法(通称、電気のリハビリ)をやる。

  • マイクロ波 - 電子レンジを応用で中からあっためるみたい。
  • SSP療法 - 電気流してマッサージ。電気ながして肩こりとるやつの業務用っぽいやつ。

緊張性頭痛についてはおいおい書きたいな。
既に回復傾向なので、比較的楽。

--- 運動

荒川の河川敷をぐるっと回る7kmコース。
20分程度なので、お腹は凹まないと思われる。
リハビリの延長もかねてるので、続けよう。

--- プログラミング

育児休業中、腕がなまるといけないので、プログラミングをしたい。
世の中便利なものでGithubがあるので、プログラムコードの共有に苦労しない。ありがたや。

曳舟の銀行ATMに預金を預けがてら、曳舟図書館でプログラミングをする。
曳舟図書館は数年前に作られた新しい図書館。
電源、無線LAN、予約席あり、ペットボトルなら予約席で飲んでOKと至れり尽くせり。自分でできる自動貸出機もある。

予約席をとろうとしたら「2年の更新時期なのでカウンターに来てください」と親切なエラーが出る。
カウンターで本人確認の書類(免許証)を提出して、数分で更新完了。予約がとれるようになる。

予約席は2時間制。館内の専用端末か、インターネットで予約できる。
2時間後も続けて同じ席をとる方法があるみたいなんだけど、わからず。
2時間毎に予約とって席を移動してる。

でも、がっつり時間をとってプログラミングできるのも今だけだろう。

--- 本とDVDを借りた

自動貸出機を初めて使う。
かしだし券(会員証)をバーコードリーダかざす、借りる数量を入力、本をICカード読み取り機の上にのせる。で貸し出し終了。
早いし便利だった。

  • トヨタの片づけ
  • カフェ・バッハの接客サービス
  • ザ・ゴール-コミック版-
  • こころ(青い文学シリーズ)-DVD

貸出期間は2週間。長めで助かる。
墨田区のどこの図書館でも返せるみたい。あら便利。

こんな事もできるようだ。
FeliCaを共通利用カードの代わりに使うことができます。
まじか!

--- おまけ

「牟田口代理」がバージョンアップした。
もっといい写真はないのかとリクエストがあったので、送ったら更新してくれた。
ありがたや?
(いじめではありません。ありません)

0

お祝い 育メン日記 - 育児休業開始

こんにちは、牟田口です。

育児休業初日です。
後で見返せるように、その日あった事、感じたことを記録していこうと思います。

--- 予定変更

初日から予定変わって、嫁さんと赤ちゃんはまだ実家のまま。11月に戻ってくる事になりました。

--- 運動

体重74kg~75kgをふらふら。
脂肪が腹回りに付いてヤな感じなので、運動する事に。
目標は70kg。

髪切りがてら、行きつけの本八幡の美容室TORONまで自転車で行ってみたら、片道11kmでフラフラになる。
京橋の自社に行くより時間かかるとは思わなかった。だが楽しい(^-^)

美容室の竹村さんに、本八幡でおススメの喫茶店をいくつか教えてもらった。
その中で落ち着いた雰囲気のオシャレカフェ、ヤワタ+コーヒーに行くことにした。

嫁さんの戻りが変わってぽっかり時間があいたので、やりたい事、今だから出来る事がぐるぐる頭を回り、混乱したのでその計画を立てたい。

--- 計画

ヤワタ+コーヒーで少な目のランチプレート。

食後に愛用のホワイトボードノートの(nu board (ヌーボード))にやりたい事・今だから出来る事を吐き出してみる。

 

優先順位を考えてないもの、実現可能性を無視したもの、荒唐無稽のものまで含めて出してみた。
これでやりたい事は全部?と思いながら、紙っぽいものに吐き出せてスッキリする。
ハートマークは息抜き系。実施するのもいいけど、時間とのバランスでやるかやらないか見直すのもあり。

とりあえず以下をやっていこうと思う。

  • 定期的な運動 - 自転車、雨ならラジオ対応など軽いもの。
  • リハビリ - 肩こりからくる緊張性頭痛の解消。近所の加藤クリニックにて。
  • 料理スキルのアップ - 嫁さんリクエスト。自炊しなきゃね。

--- さんきゅうパパプロジェクト

さんきゅうパパプロジェクト。内閣府が啓発する活動の1つ。
育児休業前の出産準備クラスに行った時にパンフレットで知りました。
申請しようしようと思い、育児休業になりました(;'∀')

ロゴ

ロゴを使用させて頂いてます。
使用規約には、利用したら「内閣府子ども・子育て本部少子化対策担当」にメールかFAXしてねという事でしたが、
どこにも見当たらないので、内閣府に電話して折り返し待ちです。
おおよそ担当者の方も忙しいだろうから、またこちらから電話しよう。そうしよう。

--- 料理

男の簡単メシ。
マグロの漬け丼

 

簡単マグロ漬け丼

Mitsuru Mutaguchiさん(@akagane99)が投稿した写真 -

--- おまけ

育児休業とったら「人が減って寂しいので代打立てた」と連絡あり。
どうしてこうなった。
(いじめではありません。ありません)

 

0

SSH & SSL設定例

こんにちは、牟田口です。
SSHとSSLの設定はやっているけど、実際の値はどうなんだろう?と思い、設定を再確認しながら対応しました。
参考になれば幸いです。

--- レジュメ

・SSH&SSL対応
・チェックサイト、参考資料、サイト
・その他

------------------------------------------------------------
・チェックサイト、参考資料、サイト
------------------------------------------------------------

--- SSH

▼ SSHサーバセキュリティ設定ガイド V1.0 - 日本シーサート協議会
http://www.nca.gr.jp/imgs/nca_ssh_server_config_v01.pdf
→ (P.6) 3 チェックリストあり
→ (P.22~24) 4.2.8. 弱い暗号方式やメッセージ認証コードを利用しない【オプション】
→→ 確認方法がわかりやすかった。

--- SSLチェックサイト

▼ SSL Server Test (Powered by Qualys SSL Labs)
https://www.ssllabs.com/ssltest/index.html
→ セキュリティ屋のSSL無料チェックサービス
→→ □ Do not show the results on the boards(ボード上の結果を表示しません) にチェック付ければ、サイト公表されない

--- SSL:Apache 等のSSLの設定ジェネレータ (Mozilla)

▼ Generate Mozilla Security Recommended Web Server Configuration Files
https://mozilla.github.io/server-side-tls/ssl-config-generator/
→ Mozillaの Apache 等のSSLの設定ジェネレータサービス
→→ 設定値の参考に。
→→→ Server Version、OpenSSL Version指定できる
→→→ 設定は、Modern(近代的),Intermediate(中間)、Old(古い)から選べる

===================================
・SSH&SSL対応
===================================

------------------------------------------------------------
- OpenSSH
------------------------------------------------------------

--- 対応

// default設定から 以下の弱い暗号化を除外.
// Ciphers→ CBC, RC4(arcfour)を除外
// MACs→ MD5, SHA1, 96bitを除外
// SSHのサーバ(/etc/ssh/sshd_config)、クライアント(/etc/ssh/ssh_config)を対応する

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
MACs umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512

--- OpenSSH default設定はこうなってる

Ciphers
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-gcm@openssh.com,aes256-gcm@openssh.com,
chacha20-poly1305@openssh.com,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

MACs
hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,
hmac-md5-96-etm@openssh.com,
hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,
hmac-sha1-96,hmac-md5-96

 

※引用元 : OpenBSD 5.5 Doucment
http://man.openbsd.org/cgi-bin/man.cgi/OpenBSD-5.5/man5/ssh_config.5?query=ssh_config%26sec=5%26manpath=OpenBSD-5%252e5

--- 設定を新規作成

# vi /etc/ssh/ssh_config

// 最下部に追加
// 注意:Ciphers、MACsは複数行記述はダメだった。

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
MACs umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512

# vi /etc/ssh/sshd_config

// 最下部に追加

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
MACs umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512

--- 文法チェック

# sshd -t

# ssh -vv localhost
→ エラーがでなければOK
http://www.nca.gr.jp/imgs/nca_ssh_server_config_v01.pdf
→→ (P.22~24) 4.2.8. 弱い暗号方式やメッセージ認証コードを利用しない【オプション】
→→→ 確認方法がわかりやすかった。

--- sshd再起動

# systemctl restart sshd.service
# systemctl status sshd.service


--- 参考URL

▼ OpenSSHでRC4とMD5を無効にしてみた - Qiita
http://qiita.com/emittam/items/cff927f232c958c2dccf

▼ sshdで弱い暗号方式を使用しないようにする。 - labunix's blog
http://labunix.hateblo.jp/entry/20160228/1456586770

https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s1-ssh-configuration.html#s2-ssh-configuration-configs

Red Hat Enterprise Linux には、全般的な OpenSSH パッケージ (openssh) と共に、OpenSSH サーバー (openssh-server) 及びクライアント (openssh-clients) パッケージが含まれています。
OpenSSH パッケージには、重要暗号化ライブラリをインストールして OpenSSH の暗号化通信を可能にする OpenSSL パッケージ (openssl) が必要な点に注意して下さい。


------------------------------------------------------------
- Apache -> OpenSSL
------------------------------------------------------------

--- 注意

・暗号化を最新のものしか許さない設定にすると、古い携帯など対応していない端末は、表示できなくなる。やりすぎ注意。
→ 外部のSSLチェックサービスで確認できる https://www.ssllabs.com/ssltest/index.html

// default設定から 以下の弱い暗号化を除外。
// Ciphers→ CBC, RC4(arcfour)を除外
// MACs→ MD5, SHA1, 96bitを除外

--- 設定

※ 設定は、ssl.confとバーチャルホスト毎に行う

# vi /etc/httpd/conf.d/ssl.conf

### <VirtualHost _default_:443> の上付近に追記
# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)


#SSLProtocol all -SSLv2 -SSLv3
SSLProtocol all -SSLv3 -TLSv1

#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
SSLCipherSuite HIGH:!aNULL:!MD5:!SEED:!IDEA:!RC4:!SHA1:!3DES

#SSLHonorCipherOrder on
SSLHonorCipherOrder on


# vi /etc/httpd/conf/sites/xxxxxxx.co.jp.conf

#SSLProtocol all -SSLv2 -SSLv3
SSLProtocol all -SSLv3 -TLSv1

#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
SSLCipherSuite HIGH:!aNULL:!MD5:!SEED:!IDEA:!RC4:!SHA1:!3DES

#SSLHonorCipherOrder on
SSLHonorCipherOrder on

// 補足
SSLHonorCipherOrder on (// SSLダウングレード攻撃を防ぎます。)
SSLCompression off (default=off Available in httpd 2.4.3 and later, if using OpenSSL 0.9.8 or later; virtual host scope available if using OpenSSL 1.0.0 or later。default=offなので設定不要)
SSLSessionTickets off (default=on Available in httpd 2.4.11 and later, if using OpenSSL 0.9.8f or later. httpdのバージョン対応してない)

--- 設定確認 & 再起動

# apachectl configtest
Syntax OK

# systemctl restart httpd
# systemctl status httpd

 


--- 設定例

▼ サーバーが設定しているSSL暗号を確認したい時 - Qiita
http://qiita.com/ionis_h/items/277430a8807ee09c8b46

▼ Generate Mozilla Security Recommended Web Server Configuration Files
https://mozilla.github.io/server-side-tls/ssl-config-generator/

▼ mod_ssl - Apache HTTP Server Version 2.4
https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite
→ apache設定の SSLCipherSuite パラメータ説明

--- Modern

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

--- Intermediate

SSLProtocol all -SSLv3
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

--- Old

SSLProtocol all
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP

--- Qiita記事(http://qiita.com/ionis_h/items/277430a8807ee09c8b46

SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK


--- 設定値確認

# openssl ciphers -v 'HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!RC4:!SHA1:!3DES'

ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-DSS-AES256-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(256) Mac=SHA256
ECDH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(256) Mac=SHA384
ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256) Mac=SHA384
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
DHE-DSS-AES128-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(128) Mac=SHA256
ECDH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(128) Mac=SHA256
ECDH-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128) Mac=SHA256
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256

左から
・暗号スイートの名前 KRB5-RC4-MD5
・プロトコルのバージョン SSLv3
・鍵交換の方法 Kx=KRB5
・サーバ認証の方法 Au=KRB5
・暗号化の方法 Enc=RC4(128)
・HMAC のハッシュアルゴリズム Mac=MD5

--- 暗号化設定マニュアル

# man ciphers


--- SSL確認方法

▼ サーバーが設定しているSSL暗号を確認したい時 - Qiita
http://qiita.com/ionis_h/items/277430a8807ee09c8b46

入力待ちモードでなくても良いので、/dev/nullを投げています
指定したcipherが使えなかった場合は、「error」や「Cipher is (NONE)」等が出ていると思います
ローカルのopensslに依存するので、ローカルのopensslが使えないcipherは試せないです

# openssl s_client -connect example.com:443 -cipher ECDHE-RSA-AES128-GCM-SHA256 < /dev/null

--- OCSP Stapling確認

▼ Apache 2.4 OCSP Staplingを有効にする ← RootLinks Co., Ltd.
https://www.rootlinks.net/2016/02/07/apache-2-4-ocsp-stapling%E3%82%92%E6%9C%89%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B/

// 入力待ちモードでなくても良いので、/dev/nullを投げています

# openssl s_client -connect localhost:443 -tls1_2 -status < /dev/null | head

--- 参考URL

▼ 私が愛した openssl (SSL/TLS 編) - してみむとて
http://d.hatena.ne.jp/blooper/20120910/1347285980

▼ UNIXの部屋 コマンド検索:openssl (*BSD/Linux)
http://x68000.q-e-d.net/~68user/unix/pickup?openssl

▼ mod_ssl - Apache HTTP Server Version 2.4
https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcompression

▼ SSL_TLS 暗号設定ガイドライン_IPA - C.2.2. OpenSSL 系での暗号スイートの設定例
https://www.ipa.go.jp/files/000045645.pdf

 

0