syslogとは

• カーネルやアプリケーションから通知されたイベントメッセージをログファイルに記録する仕組み
• 問題点
  • デバイスとsyslogサーバとの通信にはUDPを使用しているため、信頼性がない→ログメッセージの取りこぼし、送信元の詐称の可能性がある
  • 暗号化できない
  • 自分でログローテートできない
  • fsyncするのでディスクIOが非効率

• syslogのログ取りこぼしの原因は2つ
  • UPDでの通信のため、パケットの取りこぼしがある
  • CPUの負荷が高い場合は受け取ったメッセージを処理できず、メッセージが消えてしまう

代替のsyslogデーモン

• syslog-ng: syslogと設定ファイルの互換性がない
• rsyslog: syslogと設定ファイルの互換性がある程度維持されてる, 最近のLinuxでよく使われてる

rsyslogとは

• syslogのフォーク
• rsyslogの r は reliable で、メッセージ転送の信頼性を表している
• TCPとかRELPとかRFC3195とかで通信することでメッセージ転送の信頼性が向上
• 転送先のサーバがダウンしてる場合でも、rsyslogはメッセージをキューイングして再送してくれる（syslogはキューイングしない）
• プラグインモジュールによる機能拡張が可能

rsyslogのバージョン

• ver.4, 5, 6があって、5と6は開発が続いている
• 後方互換モード(rsyslog -c0 で起動)は ver.6 でなくなったので、使いたい場合はver.5を使用

rsyslogのモジュールとか設定とかの話

• モジュール特有のディレクティブはそのモジュールのロード後に書く
• rsyslogの公式Webドキュメントに説明がないディレクティブが半分ぐらいあるので、名前から判断してくださいｗ
• rsyslogのセレクタの拡張機能
  • [facility].=[severity] でseverityに一致するもの
  • [facility].!=[severity] で一致しないものを指定
• アウトプットモジュールのomudpspoofは偽装した送信アドレスでUDPでメッセージを送信する。転送するときに元のアドレスで送りたいときに使うらしい。

暗号技術

• メールの脅威：盗聴、否認、改ざん、詐称→脅威への対策として暗号技術を利用
• ほとんどはセッション鍵(一定時間だけ有効な鍵)を使って暗号化。セッション鍵を公開鍵方式で渡して、あとは共通鍵方式でやりとりする。
• PGPは信頼の輪：友達の友達はみんな友達
• 公開鍵暗号では鍵配送が問題となる(暗号化は常に鍵配送との戦い)
  • 対策として公開鍵証明書を使用
  • 認証局自身の証明書を証明する仕組みが公開鍵基盤(PKI)
  • ルート認証局のルート証明書はOSやソフトウェアにバンドルして配布

SSL/TLS

• SSL/TLS: インターネット上の安全な通信を提供するプロトコル
  • TCP/IP通信に対して透過的に使える
  • ダウングレード攻撃の影響を受けるため、SSL2.0は無効にしなきゃダメ
• SMTPS: SMTPをSSL/TLSで暗号化するプロトコル
  • TCP 465番ポートを慣習的に使ってるけどIANAに正式に登録されていない（慣習的に使ってる）
  • メーラからSMTPサーバへのメール送信時のみで使われてて、SMTPサーバ同士のやりとりでは使えない

メール特有の話

• SMTP,POP3,IMAPのセッション中にSTARTTLSコマンドでTLS通信に切り替える
  • POP3だとなぜか短縮されてて STLS になってる
• SMTPサーバと接続確認するには
  • SMTPS: openssl s_client -connect localhost:465
  • STARTTLS: openssl s_client -connect localhost:587 -starttls smtp
• IMAPサーバとの接続確認
  • IMAPS: openssl s_client -connect ホスト名:993
  • STARTTLS: openssl s_client -connect ホスト名:143 -starttls imap
• POP3サーバとの接続確認
  • POP3S: openssl s_client -connect ホスト名:995
  • STARTTLS: openssl s_client -connect ホスト名:110 -starttls pop3
• STARTTLS以外はメール特有のものはない。SSL/TLSはTCP/IP通信に対して透過的に使える。