ブログ

CentOS8やRedHat Enterprise Linux8ではiptablesは後継のnftablesに置き換えられました。iptables系のコマンドは依然として存在していますが、xtables-nft-multiという別のコマンドにリンクされています。

Varnishのキャッシュ無効化の方法の一つとしてBANがありますが、効率の面からBANは直ちに指定キャッシュを削除するのではなく、BANエントリをBANリストに登録するだけになっています。次回アクセス時にBANリストを評価しBANに該当するなら、キャッシュ済みデータを捨て、新たにデータを取得するようになっています。

今回は、BAN関連の(おそらく)Undocumentedな部分について少し解説したいと思います。

Webサイトのhttps化をGoogleが推奨したこともあり、httpsで運用しているサイトも以前に較べ多くなりました。多くのサイトを運用している会社などでは、それだけ扱うTLS証明書の数も増えるため、それらが期限切れにならないよう管理するのが大変になってきたようにみえます。

Linuxカーネルにはnetfilter(iptables,firewalld)というファイアウォール機能がありますが、Amazon EC2ではセキュリティグループを使って簡単にファイアウォールの設定を行うことができるので、iptablesやfirewalldを使うことはあまりありません。Amazon Linuxでもデフォルトではiptables,firewalldサービスはインストールされておらず、netfilterの設定は空になっています。

お客様が運用しているWebサーバー(国内向けECサイト)に海外からのアクセスが大量にあり高負荷になって困っているということで、フィルタリング設定のお手伝いをしました。

http(非SSL)で運用中のWebサイトのSSL化を行いました。

お客様のサーバーで、最近になって問合せフォームのメールが一部のアドレスに届かなくなったということでお問い合わせをいただき調査しました。

WebサイトをAWS(Amazon Web Services)上に構築する際、それなりに大きいサイトならEC2(Webサーバー)の前段にALB(Application Load Balancer)を配置して、Webサーバーを冗長化しておくことが多いかと思います(図1)。

前回の記事の補足になりますが、DoS攻撃を受けてWebサーバーが高負荷になった場合の対応の説明です。この場合、アクセスログやnetstatから怪しいIPアドレスを割り出して、そのIPからのアクセスをfirewall等で遮断することになると思います。

先日、お客様のサーバーをPlesk 12系からPlesk Onyx 17.8へアップグレードしました。