久しぶりの勉強会に行って参りました。
前回もフューチャーアーキテクト様にお邪魔したのですが、
とても綺麗ですねぇ。羨ましい限りです( ´∀｀)

以下、メインセッション＆LTです。

「rsyslog入門」滝澤@ttkzw様

syslogのおなじみの下記内容はやっぱり押さえとかないと、
始まらないですね。

・Facility(ファシリティ)
　　メッセージの種類
・Severity(重大度)
　　メッセージの重大度

syslogの設定ファイル"syslog.conf"で各ログをどこに出力するかを設定できるとのこと。
また、平文のためパケットキャプチャすることで内容が筒抜けと。
そういうこともあり、次世代のログがセキュリティ面も含めて向上したとのこと。

その１つであるrsyslogがTCPに対応し、TLSによる通信路の暗号化可能となったとのこと。
また、MySQlやPostgreSQL等のDB出力に対応しているとのこと。
後述するけど、条件を絞ってDBに出力とかできたらいいよね。
更に、テンプレート機能を使ってログを整形して出力することで、
容易にログ監視・解析ができそうですね。

rsyslogの設定は優位性をもとに反映されるとのこと。
　1.グローバルディレクティブ
　　半分以上が公式で説明がないとのこと
　　　(詳しくは参考サイト「Configuration Directives - rsyslog.conf rsyslog」参照)
　2.テンプレート
　3.アウトプットチャネル
　　アクションに対して様々な処理を行うことを目指した機能
　4.ルール

rsyslogの設定ファイルにはインクルード機能があって
設定ファイルを複数ファイルに分けることが出来るの。
そのため、設定内容に合わせてファイルを分けたりもできるの。

ログの出力方法に同期方式と非同期方式があるとのことです。
同期方式にした場合に大量にログを出力する場合にサーバダウンの可能性があります。
そういった場合には非同期などの対応が必要となりますね。
非同期にする設定はアクションの"-"オプションを使用とのこと。

アクションでは出力場所等を指定することが出来るとのこと。
"@@hostname"と指定することで別のホストへTCPメッセージを転送できるとのこと。
IPv6アドレスにも対応していてなかなか優秀ですね。

TCPで死活監視ができて、落ちている場合にはキューイングして、復活後に再送するとな

アウトプットモジュール機能でSNMPトラップを発行できるとのこと。
その際にもいろいろな設定ができるようです。

また、rsyslogの開発状況は現在、v4、v5、v6 の３バージョンで開発を進めているとの
こと。商用利用の主流は v5 らしいです。

まとめ:「rsyslogを使わない理由はない」


「暗号入門 -アリスとボブの恋の行方-」 滝澤@ttkzw様

メールの暗号化の必要性は以下のようなことを常に念頭に入れないと行けないからですね。
　・盗聴
　・否認
　・改ざん
　・詐称

また、暗号とは復号するためにあるため、
永遠にクラッカーとの戦いになりますね。
そこで、現在の暗号化アルゴリズムで求められていることは
　・アルゴリズムが広く公開されていること
　　　独自に暗号化方式を考えてもいつかは破られるので、
　　　素直に一般的に安定したアルゴリズムを使用する事。
　　　脆弱性が見つかった場合でも、一般的なアルゴリズムのため、
　　　早急に対応出来ますね。
　・数学的に困難であること
　　　上記理由を満たしていれば、こちらは大丈夫だと思いますが、
　　　今の暗号化のスタンスとして、総当りチェックを行われた時に、
　　　数学的(天文学的)に困難な方式を取ることでクラッキングを防止している。

受信側の公開鍵を利用して送信側が暗号化し送信する。
受信側は秘密鍵を利用して復号化する。受信側の公開鍵では復号化できない。
そのため、盗聴されたとしてもメールの内容を復号化できないため、閲覧ができない。
結局鍵の渡し方が問題となる。

認証の図がとっても複雑ではあるんですが、
不要なものは何もないため、そもそも複雑なロジックであったということ。
公開鍵基盤(PKI)の図がわかりやすいですね。


「SSL/TLS」 滝澤@ttkzw様

暗号入門まではなんとか説明ありきでついていけたのですが、
こっちはきついですね。参考文献買ってちょっと勉強しないとですね。
結局、鍵配信問題が最終的に残るということらしいです。

以下、メモとなります。
支離滅裂な記載もあるかもしれませんが、参考文献購入して、
あとで改めて勉強します。
あとで勉強するのは対情報セキュリティスペシャリストともいうのかもしれませんね。

サーバの管理者が設定すること 　・プライベート鍵 　・サーバ公開鍵証明書(証明書チェーン) 　・中間CAの証明書(証明書チェーン) STAERTTLS 　→ハンドシェイク 　　→途中で切り替わる STARTTLSのテスト確認方法 　openssls s_client -connect localhost:587 -starttls smtp 　openssls s_client -connect localhost:587 -starttls imap 　openssls s_client -connect localhost:587 -starttls pop3 POP3のコマンドはSTARTTTLSじゃなくてSTLSとなる。

「logと監視の微妙な関係」 ～こんなlogはイヤだ～ 伊藤@qyuu様

・イベントログのログ監視できていない
　　ログの出力方法が悪いです。
　　テンプレートとか、DLLとかあるかちゃんとみる事。

・ログローテーションすると文字化けする
　　Zabbixではlogrtを使ってログローテーションをするのですが、
　　そのタイミングで圧縮すると、当然ファイルは読み込めなくなります。
　　だから圧縮する場合には一世代前のログは圧縮しないこと。

・logが遅れて検知される
　　syslogの仕様です。
　　syslogでは完全に同一メッセージを受信した場合、
　　２つ目以降のメッセージは異なるメッセージを受診したタイミングで反映されます。


次回以降
　・迷惑メール対策
　・メールサーバの監視設計/運用設計
　・DomainKeys
　・メール配信システムの話(SESとか?)
　・Postfixコンフィグリーディング


参考サイト
　logstudy01 & mailerstudy02 本編 on Zusaar
　　ttp://www.zusaar.com/event/206001
　logstudy01 & mailerstudy02 本編 #logstudy #mailerstudy - Togetter
　　ttp://togetter.com/li/259798
　イベント座席表 [ #logstudy 01 & #mailerstudy 02 ]
　　ttp://seats.nekoruri.jp/25
　Configuration Directives - rsyslog.conf rsyslog
　　ttp://www.rsyslog.com/doc/rsyslog_conf_global.html
　Web/DB プログラミング徹底解説
　　ttp://keicode.com/

発表資料
　logstudy01 LT - Google ドキュメント
　　ttps://docs.google.com/presentation/pub?id=1wGLr5am-N4WfeXiGculVxZFdw140w18nbnkIPtmJ4W4&start=false&loop=false&delayms=5000#slide=id.g206f1fe_0_17
　#logstudy 01 rsyslog入門
　　ttp://www.slideshare.net/ttkzw/logstudy01-rsyslog-primer
　#mailerstudy 02 暗号入門
　　ttp://www.slideshare.net/ttkzw/mailerstudy02cryptographyprimer
　#mailerstudy 02 メールと暗号 - SSL/TLS -
　　ttp://www.slideshare.net/ttkzw/mailerstudy02mailandtls

参考文献
　新版暗号技術入門――秘密の国のアリス
　　ttp://www.amazon.co.jp/新版暗号技術入門-秘密の国のアリス-結城-浩/dp/4797350997
　ソフトバンク クリエイティブ:暗号技術大全
　　amazon様では絶版の様子
　マスタリング TCP/IP SSL/TLS編
　　ttp://www.amazon.co.jp/マスタリングTCP-SSL-TLS編-Eric-Rescorla/dp/4274065421