マシタロの備忘録

カテゴリー: ICT

  • WordPressに含まれるxmlrpc.phpを無効化する方法

    WordPressに含まれるxmlrpc.phpは、外部からサイトを操作する時に使用される機能です。代わりとなる「REST API」登場してから、あまり使われないようになったものの、互換性の観点から残されています。
    一方、セキュリティの観点から利用しないのであれば無効化すべきです。今回は、「.htaccess」を利用した方法を紹介します。

    Apache HTTP Server 2.4の場合

    すべてのアクセスを拒否する時は、以下を.htaccessファイルに追加する。Apache HTTP Server 2.2とは記述が変わっています。

    <Files xmlrpc.php>
Require all denied
</Files>

    一部のIPアドレスからのアクセスを認めるときは、以下の通り。

    <Files xmlrpc.php>
Require ip 192.0.2.1
Require ip 198.51.100.0/24
Require ip 2001:db8::/32
</Files>

    参考:Apache HTTP Server 2.2の場合(サポート終了済み)

    <Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

  • Synology MailPlus ServerはIPv6を不完全に利用している

    公式にはIPv6非対応

    Synology MailPlus Serverは、Synology製のNASで利用できるアプリケーションであり、メールサーバー機能を提供します。このアプリケーションは公式には、IPv6非対応です1
    しかし、NASでIPv6を利用できる場合、このアプリケーションはIPv6を部分的に利用しているように見えます。
    具体的には、SMTP2ではIPv6を利用できるように見えますが、POP3/IMAP43では利用できないようです。こちらで指摘されているように、少なくともIMAP4の993ポートをリッスンしていません。これについては、IPv4にフォワードすることで回避しようとするツールがあるようです。

    中途半端は混乱を招く

    なぜ、私がこんなことを書いているかといえば、DNSにAAAAレコードを追加したとき、メールの送信はできるが受信できないという状態に陥ったからです。てっきりNAS(のOS)がIPv6対応なので、公式のアプリケーションもIPv6対応と思い込んでいたことと、MailPlusがIPv6に対して中途半端に対応していたで余計に混乱しました。非対応なら、ポートを閉じるなどしておいて欲しかった。

    IPv6完全対応はいつ?

    とはいえ、直近ではAWSのパブリックIPv4アドレスに課金が予告されるなど、いつまでもIPv4を使うのはつらい状況。早々に対応をお願いしたいところです。

    1. リンク先の、IPv6対応が謳われている「Synology Mail Server」は別のアプリケーション ↩︎
    2. おそらくPostfixを利用 ↩︎
    3. おそらくDovecotを利用 ↩︎
  • TCP no bits set

    TCP no bits set

    使用しているYAMAHAのルーターから不正アクセスとして「TCP no bits set」が検知された。
    ヘルプによると、

    フラグに何もセットされていない

    http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3

    ということらしいが、よくわからない。

    どういう意味かもう少し調べると、これは「NULLスキャン」ということで、このサイトが見つかった。
    これによると

    NULLスキャン
    どのフラグも立っていないNULLパケット*7を送信し、RSTパケットが返ってくるか調べる方法。RSTパケットが返ってきたら、サービスが稼働していないと判断する(サービスが稼働しているときは、何も返ってこない)。
    *7 すべてのフラグが0になっているパケット

    https://eset-info.canon-its.jp/malware_info/special/detail/200702.html

    ということなので、「TCP no bits set」は「外部からサービスが動いているかどうかを調べている」と捉えた。

    ちなみに、こちらによると

    なお、相手がMicrosoft Windowsホストの場合、RSTパケットさえも帰って来ないため、このポートスキャンは有効でない。代わりにWindowsホストであることが分かる。

    https://www.wdic.org/w/WDIC/TCP%20NULL%E3%82%B9%E3%82%AD%E3%83%A3%E3%83%B3

  • Bing Webmaster Toolsでドツボにハマった話

    結論

    Bing Webmaster Tools はTLS 1.3に(おそらく)対応していない。

    経過

    Bing Webmaster ToolsにHTTPSサイトを登録しようとした時、エラーが出て登録できなかった。(HTTPではいけた)
    しかも、エラーメッセージが詳細でないので何がおかしいかよくわからなかった。
    Google Search Consoleではエラーがないので、なおさらわからなかった。

    その後、セキュリティを高めることを目的にTLSバージョンを最新の1.3以外、受け入れない設定にしていることを思いだした。そこでTLS 1.2も受け入れるように設定したところ、エラーが出なくなった。

    教訓

    最新を追い求めるのもよくない。

  • Ubuntuにおけるアップデート方法

    コマンド

    $ sudo apt update
$ sudo apt dist-upgrade
$ sudo apt autoremove

    説明

    Ubuntu の最新のパッケージ情報を再取得
    $ sudo apt update

    Ubuntu のパッケージの更新
    $ sudo apt dist-upgrade

    Ubuntu の依存関係で必要なくなったパッケージを削除
    $ sudo apt autoremove