"Rspamd 1.6.0 has been released" ということなので

あまり周りで使っているという話を聞かない、 Rspamd ですが、1.6 のリリースがアナウンスされておりました。

Today, we release the new major version 1.6.0 of Rspamd. The most significant change in this version is the addition of Milter protocol support in Rspamd.

[From Rspamd 1.6.0 has been released]

実際は、アナウンスよりも先に、パッケージがアップデートされたので気がついたんですけど。

で、 1.6 から、rmilter の利用が非推奨(使えないわけではないが)となり、その代わりに Rspamd Proxy を利用して、 MTA との milter 接続を行うように変更されています。

The introduction of this feature also finally obsoletes the Rmilter project in honor of the new integration method.

[From Rspamd 1.6.0 has been released]

ということで、設定を一部変更してみた。

Rspamd 側は、 /etc/rspamd/local.d/worker-proxy.inc を、次のように。

milter = yes;	# enable milter mode
timeout = 120s;

#upstream "local" {
# default = yes;
# self_scan = yes;
#}

upstream "scan" {
default = yes;
hosts = "round-robin:127.0.0.1:11333:10";
# compression = yes;
}

この場合だと、ローカルで稼働する Rspamd でスキャンするようになってます。 "hosts" に Rspamd の稼働するサーバを複数羅列すると負荷分散が出来るようですが、自分のとこはそこまでは必要ないので、その設定はしてないです。
で、 Rspamd 自身を再起動して、正しく起動できれば、OK。

チャイルドフィルターを少し試してみたけど、やっぱりお薦めできなかった…

さて、ここしばらく(表立ってアナウンスされてはいなかったけど)メンテナンスを理由に新規申込みが停止していた、サイバーセキュリティ財団が提供するチャイルドフィルター。どうやら、サービスを提供するためのインフラ部分を作り直していた模様。

それならそれで、ちゃんとアナウンスすればいいのに、と思いつつ、利用申し込みフォームも再び有効になったので、改めて使ってみようということで、申込みをしてみた。

チャイルドフィルター利用申込みフォーム

申し込みの一時停止前は、メールアドレスだけで登録出来たのですけど、メンテナンスのタイミングで変更されていました。
メールアドレス以外に、チャイルドフィルターを利用させたい子供の学年と性別、使わせている iOS デバイスを選択した上での申込みとなります。

rspamd の Web UIの URLを 書き換える

さて、前回の落穂拾いです。

ところが、実際 Apache に対して設定してみたのだけど 500 Internel Server Error が出て上手く行かなかったので、結局 rspamd 側の設定でポート開放して、 iptables でアクセス元を絞る形に。

[From rspamd の Web GUI にアクセスしてみる - Soukaku's HENA-CHOKO Blog]

rspamd の Web UI の書き換え、 FAQ 通りに設定したのに上手く行かなかったといういうのは、前回書いた通り。

/var/log/apache2/error.log を眺めると、

[Thu Apr 27 16:18:59.762601 2017] [proxy:warn] [pid 14798] [client xxx.xxx.xxx.xxx:55948] AH01144: No protocol handler was valid for the URL /rspamd/. If you are using a DSO version of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule.

と出力されているので、改めてその内容でクグってみたところ、

こんなエラーが出た.Pを指定したのにapacheにproxyに関するモジュールが入っていなかったのが原因の様だった.proxy,proxy_httpをロードするようにしたら解決した.

[From mod_rewriteによるURLの書きかえ - yuu_nkjm blog(2014-04-13)]

と書かれているサイトがあったので、早速 mod_proxy 関連のモジュールを有効にしてみることに。

続・ボクがチャイルドフィルターをオススメしない理由

質問しても、利用解除申し込んでも、梨の礫だったわけですが、ちょっと動きが出てきたので、その辺をまとめておきます。

とにかく、利用する上で機能面でも運営面でも規約面でも不明な点、不安な点が多すぎる、ということで、オススメできないと思った次第。

[From ボクがチャイルドフィルターをオススメしない理由 - Soukaku's HENA-CHOKO Blog]

まず、既にエントリーに書いていた、解除申込みのその後ですが、

解除申込みすると「通常3営業日以内にご連絡いたします。」と表示され、「入力された内容を確認しだい、削除用のプロファイルをこのメールアドレス宛てにお送りします。」という内容の確認メールも届くのですが、それ以降は音沙汰がありません。とりあえず、このまま督促しないでいたらどうなるか試してみますけど、自力でプロファイル削除できないユーザだと、解除申込みからプロファイル削除までの間、アクセスログ抜かれ放題になるんですけど、それで善しと思ってるんですかね…。

[From サイバーセキュリティ財団って、実際どうなのよ?というお話 - Soukaku's HENA-CHOKO Blog]

結局、10 営業日(実際に解除申し込みしたのが 3 月 11 日の夜なので、 2 週間も)放置されたままだったんですが、痺れを切らしてしまいまして、 26 日のお昼過ぎに再度解除申し込みをしてみたところ、27 日の朝に解除プロファイルが添付されたメールが送られてまいりました。
#おまけに、そのメール、SPAMに分類されてたという…。

メール本文には「ご連絡が遅くなり申し訳ありません。」とありました、一応…。
多分、再度解除申し込みしていなかったら、そのまま放置状態が続いていたんじゃないかと思うと、ちょっとねぇ…。

サイバーセキュリティ財団って、実際どうなのよ?というお話

先週末に書いた、チャイルドフィルターに対する批判エントリー、結構いろんな方に読んでいただけたようです。

自分のやってる事業が窮地に陥るようなセキュリティインシデントが発生している最中という、本来であれば何事にもおいて最優先でその対策への対応・指揮に当たらなければならない状況下であったにも関わらず、人に会うことを優先させた人がトップに立つ組織ですよ、サイバーセキュリティ財団って。多少、話盛ってるにしても、そういうことを対外的に文章にしてしまう時点で、信用しちゃいけないタイプの人だ、と感じましたし、そういう人物がチャイルドフィルターに絡んだ情報流出事故が発生した際に、果たして誠意を持って対応・対処できるのかという点において不安しかない、というのが正直なところなのです。

[From ボクがチャイルドフィルターをオススメしない理由 - Soukaku's HENA-CHOKO Blog]

しばらく、それに関することは書かなくていいかな、とか思ってたんですが、今週も終わりになって、動きがあったのでその辺をまとめておきます。
#流石に週刊化はしないと思うが…。

忽然と消えた特別顧問

財団案内に、国内でも著名なセキュリティベンダーの名前がいくつか載っていたことは把握していたんですが、とりあえず言及しないで静観しておこうという感じでいたところに、突如それらの会社の名前が消えたということで、取り上げておきます。

3 月 16 日あたりまでは、財団案内には以下のような形で 4 社の名前が乗っていたのですけど、3 月 17 日の時点で突如名前が消えました。

チャイルドフィルター プロジェクトメンバー

F-Secure は法人向けのアンチウィルス製品で、デジタルアーツは Web フィルタリング製品で有名なところですし、インフォセックも脆弱性診断やセキュリティ監視と行った分野では実績のある会社だったりします。最初は特別顧問とはいえ「へぇ、なんでか知らんけど、よく参加してるよなぁ」と感じてはいました。
先週後半にチャイルドフィルターの話が流れ始めたタイミングで、財団案内を見た時に特別顧問がごっそりチャイルドフィルター プロジェクトに移動したのをみて、「あ〜、自分とこの製品とバッティングするようなプロジェクトにデジタルアーツの名前載せちゃってて、ホント大丈夫?」と気にはなっていたんですけどね。やはりなんらかの形で問題になったために会社側から降りるという申し出がなされたのか、はたまた財団側で「迷惑かけちゃいかん」と判断して名前を消したのか、その真相は闇の中ではありますが、結果的に特別顧問から名前が消えた会社が出てきた、ということになったというわけです。
#自分のエントリーが影響した、とは考えにくい…。

セキュリティに関する情報交換や注意喚起やってます?

ところで、財団案内のビジョン、書かれていることには、とても良いことが書いてあるなぁ、と思う部分もあるんですよ。

これから訪れる超ICT化の時代に対応出来うるサイバー防衛戦士の育成は全ての企業・個人において最重要課題であります。
業界の垣根を越え全ての人々がサイバーセキュリティに対する注意意識を持たなくてはならない今当財団が設立されました。

[From 一般財団法人 サイバーセキュリティ財団]

書いてあるのはいいんですけどね、財団メンバー間でのセキュリティ関する情報交換、注意喚起や「注意意識」(ふつう、危機意識のような…)を持つための活動といったこと、普段からやってるんですかねぇ、という疑惑がが出てきた…。

ボクがチャイルドフィルターをオススメしない理由

子を持つ親として、またIT技術者として、自分の子供達に PC やスマホを与える時にどうしよう、って結構悩みどころ。世の中には同じように悩んでいる方も多いと思うんですが、そこにそういう話が流れてきた。

子どもがインターネットの交流サイトなどを通じて犯罪に巻き込まれるのを防ごうと、福岡市のIT企業などで作る財団が、子どものスマートフォンにダウンロードすれば有害なサイトへの接続を制限できる「フィルタリング」サービスを開発し、無料で提供を始めました。

[From 無料で有害サイト接続を制限 - NHK 福岡 NEWS WEB]

当財団が提供するフィルタリングサービスは全ての通信を暗号化しフィルタリングを行いますので、特定のアプリを使う必要はありません。
また、利用するための費用は一切かかりません。

[From 一般財団法人 サイバーセキュリティ財団]

フィルタリングについては、法律でも「保護者の責務」として規定されてますんで、それを無視するのもアレですし、

(保護者の責務)
第六条  保護者は、インターネットにおいて青少年有害情報が多く流通していることを認識し、自らの教育方針及び青少年の発達段階に応じ、その保護する青少年について、インターネットの利用の状況を適切に把握するとともに、青少年有害情報フィルタリングソフトウェアの利用その他の方法によりインターネットの利用を適切に管理し、及びその青少年のインターネットを適切に活用する能力の習得の促進に努めるものとする。
2  保護者は、携帯電話端末及びPHS端末からのインターネットの利用が不適切に行われた場合には、青少年の売春、犯罪の被害、いじめ等様々な問題が生じることに特に留意するものとする。

[From 青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律]

まぁ、どんなもんかと思って申し込んだり、色々と調べてみたりしたんですが、使い始める前「こりゃダメだ」って結論に至ったので、その辺をまとめておく。

rspamd の Web GUI にアクセスしてみる

rspamd をアップデートしたことで、使えるようなった機能があるので、いろいろと試してみよう

アップデートだけで結構な分量になってしまったので、フィルタについては別エントリーにて。バージョン上がったことで追加された機能もあるようなので、そのあたりの話もおいおい書いてきたいですね〜。

[From rspamd と rmilter をアップデート - Soukaku's HENA-CHOKO Blog]

ということで、まずは Web GUI から

Web GUI を有効にしてみる

と言っても、実際のところデフォルトの設定の状態でも、Web GUI は待受ポート 11334 で起動していて、下のような形で待ち受けしています。ただ、そのままでは localhost からの接続要求しか受け付けてくれないので、外部からも見れるように設定を変える必要があるというわけです。

root@vps2:~# lsof -i:11334
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rspamd 13943 root 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13943 root 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13945 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13945 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13946 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13946 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13948 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13948 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13949 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13949 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)

手っ取り早いのは、 rspamd 自身が待ち受けしている 11334/tcp を localhost 以外からアクセスできるよう設定することなんだけど、それはそれで芸がないし、無制限にアクセスを許可するのもよろしくないので、rspam の FAQ の中にある WebUI questions の部分に記述されている httpd からリダイレクトさせる方法で。

ところが、実際 Apache に対して設定してみたのだけど 500 Internel Server Error が出て上手く行かなかったので、結局 rspamd 側の設定でポート開放して、 iptables でアクセス元を絞る形に。

rspamd と rmilter をアップデート

ここ 2 年半ぐらい、rspamd を使い続けているサーバ、動作上特に不満があるわけでもなかったのだけど、

以前、インストールメモをエントリーとしてあげていた、 rspamdrmilter の組み合わせ、なかなか調子良く動作してくれている。

[From rspamd + rmiter の組み合わせに、ClamAV を連携させてみた - Soukaku's HENA-CHOKO Blog]

2週間ほど前から、そのサーバが受信・配送したメールに Spam がチラホラ紛れ込んでくるようになったので、「こりゃ自前でフィルタ書かんと駄目かな~」と思いつつ、公式サイトをチェックしてしてみたら…。

Rspamd is also available in some versions of Debian and Ubuntu. However, we are looking for an active maintainer for rspamd in these ‘official’ repos, as now rspamd is terribly outdated there.

Please DO NOT use those packages, as they are no longer supported.

[From Downloads]

「パッケージ、アップデートされねぇなぁ、 sid なのに…」とは感じてたんですけどね、「メンテナ探してるんだけど、 Debian/Ubuntu の公式サイトで配布してるのは古いんで使わないでね。」という状況だったはつゆ知らず…。

ということでフィルタを書く前に、公式サイトに書いてある手順を元に、最新バージョンの rspamd / rmilter にアップデートしてみた。

ということで、以下作業手順とログ

まず、現時点で、インストール済みのバージョンは、以下の通り。

root@vps2:~# dpkg -l rspamd rmilter
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==================-==============-==============-=========================================
hi rmilter 1.6.3 amd64 Another sendmail milter for different mai hi rspamd 0.9.9+b1 amd64 Rapid spam filtering system

公式サイトで見ると、 rspamd は 1.4.4 、rmilter は 1.10 が最新のようなので、随分とバージョンが上がってますね…。

隠蔽するのが常識、になってるもんだと思ったら…

とあるサイト、特定の順番に従ってアクセスすると、ページの表示が出来なくなるという事象があるようで、それの確認をしていたところ、全く別の問題点にヒットしてしまいまして…。

見つけてしまったからには、黙っているわけにはいかんよなぁ、ということで、見つけた直後に管理者に対する連絡はしてあるんですけど、なにせ腰の重そうな組織の管理する Web サーバなんで、対処までに時間かかりそうだなぁ、というのが…。
# IPA 通すようなレベルでもないんで、今回は直接問い合わせメールフォームから連絡しましたが。

内容的には「Web サーバの設定としては、やっちゃいけないよね」的なことなんで、構築ベンダの技術レベルを疑いたくなりますし、そもそも公開前に脆弱性診断的な事をやってないのか、ということも気になるわけで…。

#ホントに知らせようと思っていた問題点は、まだ伝えられてなかったりするんだよね…。

「社内の常識」の押し付けで躓いたゴルスタ

利用者である中高生に、「運営批判したら即アカウント凍結、解除には反省文」という対応を行っていた中高生専用を謳っていたSNS 「ゴルスタ」の騒動ですが、結局運営会社であったスプリックスが非を認め(形式上は)謝罪することになったわけですが…。

ちなみに、スプリックス社長の平石明氏は、自身のインタビューが掲載されたWebページにどんどん削除依頼を出しているのか、ページが消えていってます。

[From ゴルスタ運営会社スプリックスの「謝罪文その2」がいろいろと酷い - Hagex-day info]

とまあ、社長の過去のインタビュー記事消されているということなのですけど、残ってたら困るようなことでも話してたんですかね、と勘ぐりたくなりますね。

やはり、騒動の影響は大きかったのでしょう。一時期、謝罪文とゴルスタ終了の告知の画像だけが表示されるページを表示していたスプリックスのWebサイトも、先週あたりから通常時のものに近いものが表示されるようにはなりましたが、企業コンセプトを説明するページや採用情報といったメニューが復活しておらず、事業の柱のひとつであるはずの教育IT事業の紹介ページへのリンクも消されているなど、本来の内容には戻せていないようです。

なぜ、スナップスタディまで?

「教育IT事業」の目玉としていたゴルスタで、盛大に躓いたわけですから、事業体制の立て直しは大変でしょうね。で、本来サービス止めなくても良さそうな「スナップスタディ」というサービスも終了しているんですね。

その辺の疑問のヒントとなるようなことをまとめてくれていた人が居たようで、

ツイッターおじさんがなぜ「ゴルスタ」が生まれたのか
をかってに推測してみた。

[From 「ゴルスタ」がなぜ生まれたか考えてたツイッターおじさん。(だれも聞いてない) - Togetterまとめ]