2016年11月26日

[WebSphere]WebSphereでコネクションプールの状況をコマンドから確認する方法

昔はPMIモジュールを有効にして、TPVするしか確認できなかったのに、
最近は簡単になったんだねぇ。

1.wsadminツールにて管理ノードへ接続します

wsadmin.sh -lang jython -user <USERNAME> -password <PASSWORD>

2.対象のMbeanを検索します。

ds=AdminControl.queryNames('*:j2eeType=JDBCDataSource,name=DS名,process=AS名,*')

3.pool状況をモニタします

AdminControl.invoke(ds,"showPoolContents")


出力される内容の

Total number of connections: 1 (max/min 10/1, reap/unused/aged 180/1800/0, connectiontimeout/purge 180/EntirePool)
                               (testConnection/inteval false/0, stuck timer/time/threshold 0/0/0, surge time/connections 0/-1)

ここがプールの状況で、(これは1つプールされていて、最小1 最大10って意味)

Shared/Unsahred Connection information

ここにコネクションの使用状況が出る。スレッドIDが出るので、javacoreを吐かせて処理を特定できる。
同じスレッドIDがいくつもつかんでいたりすると開放漏れのリークかもねぇ。


参考

posted by koteitan at 10:39| Comment(0) | TrackBack(0) | WebSphere | このブログの読者になる | 更新情報をチェックする

2016年11月10日

RHEL de Tomcat

・バンドルされているTomcatだと、背筋の良い猫の画面やマネジメント画面がでない
 必要なファイルセットが不足。TOMCATとしては機能している。
 WASでいうところの管理コンソールとDefaultApplicationがインストールされていない状態。
 yum installで追加インストールすれば行けるみたいだが、
 ネットワークにつながらない場合はめんどくさい上に古いから、
 本家から拾ってきたほうがいいと思う。


 どんな罠だよ。

・最新はTomcat9だが、Tomcat9にするにはJava8が必要。

・管理画面を使うにはtomcat-users.xmlの編集が必要


バンドルじゃなかったらサポートはありませんとか言われるんだろうな、これ。
Tomcatのインストールなんて3分かからないのにねぇ・・。

posted by koteitan at 23:48| Comment(0) | TrackBack(0) | OSS | このブログの読者になる | 更新情報をチェックする

2016年11月03日

誕生日攻撃 CVE-2016-2183

誕生日のパラドックスからもじったんだ。
しらんかった。わかりやすいようなわかりにくいような・・・。




我々はブラウザとウェブサイト間を長期間トリプルDESのHTTPS通信を監視できるネットワークの攻撃者が785GBのトラフィック量をキャプチャすることでセキュアなHTTPクッキーを再生できることを示す。

785GBがいまどきの感覚で多いのか少ないのか、議論が分かれそうですな。



posted by koteitan at 10:23| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2016年10月24日

Dirty COW

ロゴといい、サイトといい脆弱性ビジネスの香りが若干するが・・・。
ローカルユーザーから権限を昇格させたり、ReadOnlyファイルに書き込んだりできる。
外部からは厳しいね。
なにかの脆弱性経由でシェル取られた後なら可能だろうけど。




POC

posted by koteitan at 23:11| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2016年10月22日

small WindowSize DOS

攻撃手法としては古めかなー。
大抵のFW製品やIPSは検知してくれるだろうしね。
slowlorisとか懐かしいな。めがねサルだかリスの画像が出てくるんだよね。
個人鯖とかだとmod_antilorisとかmod_security2をコンパイルビルドして、バーリアッ!しなきゃならんが
エンタープライズな環境だと、専用の防御サーバーが居るだろうしそっちに任せるが
役割分担的にもいいんでないかなー。両方守っておけばそりゃいいけどさ。


備忘録としてメモ


posted by koteitan at 10:07| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2016年10月13日

MIBファイルをどうにかして読みやすくする方法

snmptranslate コマンドでツリー表示させるのが楽なんじゃなかろうか。

cygwinでやってもええが、Ubuntuが楽か。インストール的に。

snmptranlate -m MIBファイル -Tp (OID)

たぶん、enterpriseのmibのimportのところで、ハァ?ってエラーになるから、

↓こんな感じのエラーね
Cannot find module (SNMPv2-SMI): At line 34 in /usr/share/mibs/netsnmp/UCD-SNMP-MIB
Cannot find module (SNMPv2-TC): At line 37 in /usr/share/mibs/netsnmp/UCD-SNMP-MIB
Did not find 'enterprises' in module #-1 (/usr/share/mibs/netsnmp/UCD-SNMP-MIB)
Did not find 'DisplayString' in module #-1 (/usr/share/mibs/netsnmp/UCD-SNMP-MIB)
Did not find 'TruthValue' in module #-1 (/usr/share/mibs/netsnmp/UCD-SNMP-MIB)

たらないMIBを一発ダウンロードする。
オフライン環境の人はちまちまとってくるしかないな・・。

sudo apt-get install snmp-mibs-downloader

あとはトリガでかってにダウンロードしてくれまっさ。

んで、/etc/snmp/snmp.conf のmibs:をコメントアウトする。
これ忘れるとうまく反映されない。
既存のMIBDIRの中身を無効にして、ダウンロードした場所へエイリアスを作っている感じだった。
詳しくは各自google先生するなりしてくだせい。
目的はMIBを読むことであって、snmo-mibs-downloader の動作確認違うからな。


http://qiita.com/Tocyuki/items/9aaae3de2858b2bfed7d

さらにサードパーティのMIBを追加する場合は以下の手順で
私の場合はSystemXのIMMのMIBが読みたかったのだ。


mkdir -p  $HOME/.snmp/mibs
echo "mibdirs +$HOME/.snmp/mibs" >> $HOME/.snmp/snmp.conf

mibファイルを$HOME/.snmp/mibsに配置する

ファイル名から拡張子を消し、全て大文字にする
ファイル名はIMM-MIBのようにする ← これはいらないかも

$HOME/.snmp/snmp.conf に以下のように追加する

mibs +IMM-MIB
mibs +IMMALERT-MIB



ややこしいのぅ。
RHEL系ではどうするんだろな。/etc/snmp/snmp.confに書くだけかなー?
またヒマがあればやってみよう。yumで一発だといいなー。

posted by koteitan at 00:19| Comment(0) | TrackBack(0) | その他備忘録 | このブログの読者になる | 更新情報をチェックする

2016年10月09日

plugin転送のあれこれ

http->httpのトランスポートに
https->httpsのトランスポートに

80−>9080
443−>9043

ってのがまず大前提としてあって、


https->http みたいなセキュリティ度外視転送をする場合、
新しいWebSphereではpluginのUseInSecureプロパティををTrueにしなければエラーにされる。
むしろそれが正しい。


変換したとしてもHTTPで通信されるのはIHS->WAS間であり、
元々のユーザーからのリクエストをWASヘッダ$WSSCに記憶しているので、
アプリケーション内でのgetScheme()などはちゃんとhttpsで判定してくれる。

じゃあ、WASに直接リクエストして、$WSSCヘッダつけたらどうなるんだろうかって試してみたくなった。
たぶん判定してくれないと思うな。セキュリティの穴になりそうだし。
posted by koteitan at 12:42| Comment(0) | TrackBack(0) | WebSphere | このブログの読者になる | 更新情報をチェックする

RHEL de Wireshark

linuxならtcpdumpでいいやん、って話だけどさ。
もう昔みたいにテキストでだーっと出るのをちまちまgrepしたりって時代じゃないのかもね。
ただ、wiresharkがインストールできる環境かどうかまではわからないので、
昔のやり方を知っていて損はなかろうよ。

炊飯器があれば米は炊けるが、無くても土鍋とかで炊けるわけだしね。

yum install wireshark
yum install wireshark-gnome


posted by koteitan at 12:34| Comment(0) | TrackBack(0) | その他備忘録 | このブログの読者になる | 更新情報をチェックする

IHS de SSL

よく忘れるので、メモしておこう。

1 keyストア作る
2 証明書入れる(自己でも買ったやつでもなんでも)
3 httpd.conf に以下を入れる
 (デフォルトで入っているのを有効化するだけでいい)

キーストアのパスは適宜直すこと
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443
<VirtualHost :443>
SSLEnable
SSLClientAuth None
</VirtualHost>

SSLDisable
KeyFile "c:/program files/ibm http server/key.kdb"


posted by koteitan at 12:29| Comment(0) | TrackBack(0) | WebSphere | このブログの読者になる | 更新情報をチェックする