パスコードがとられても、第2暗唱をかけていたらiCloudから切断されません。
設定方法は?(現時点:iOS 17.1.1の場合)
その1
設定 ⇒ スクリーンタイム ⇒ スクリーンタイムをオンにする ⇒ これは自分のiPhone ですを選択
その2
スクリーンタイムパスコードを使用 ⇒ 4桁の数字を入力 ⇒ iCloudアカウントを入力
その3
スクリーンタイム ⇒ コンテンツとプライバシーの制限 ONにする ⇒ アカウント変更 ⇒ 許可になっているので許可しない にチェック
このあと設定を開いて、一番上まで行くと自分のアカウントがグレーになり押せなくなっています。この状態から、変更するのはスクリーンタイムを開いて、「その2」で設定した4桁の数字をいれ「その3」を許可しないから許可に変更すれば、iCloudの状態を変えることができます
※パスコードとスクリーンタイムで設定した4桁の数字の2段構成になる
その4 ロック画面から機内モードに変更されるのを防ぐ
設定 ⇒ FaceIDとパスコード ⇒ ロック中にアクセスを許可 ON から OFFに変更
変更後は「電源ボタンとボリューム上を同時押しで電源を一度落とし」、その後電源ONにしましょう
iPhoneとパスコードをセットで盗難されて泣かないようにスクリーンタイムパスコードを設定しておきましょう
その5
コンテンツとプライバシーの制限 ⇒ パスコードの変更 ⇒ 許可から許可しないに変更すると「設定の中にあるFaceIDとパスコード」が表示されなくなります
「FaceIDとパスコード」の中にある設定は4桁が分からないと変更できないと
カネも思い出もすべてを奪われる...米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口【2023編集部セレクション】
https://president.jp/articles/-/75747
Mac Fanの「急増するiPhoneの乗っ取りに「スクリーンタイム」が効果的」で知りました
アプリ内の広告ブロックできますが、子供や老人のスマホに設定しておけば
アダルトサイトの閲覧禁止、詐欺サイトでのコンビニに電子マネーを買いに行くのも防げるかもしれません
2021/09から利用、現時点で1年半ほど使っています
最近スマートなんちゃらを見る母のiPhoneに設定したら広告が表示されず使いやすくなったと言ってました
DNSでブロックするから画面に表示されない、接続できないということができます
逆に見たいサイトが見れないということも起きます
家のWi-Fi、外出先の4G、5Gでも動作します
家の中はルーターで管理できているが、よその家に行ったりしたら解除されるという心配もありません
使い方はiPhoneやAndroidでは
1.アカウント登録
2.広告ブロックの設定
3.アプリをダウンロード
4.アプリと登録したIDの紐づけ
の4ステップ
1.アカウント登録
https://nextdns.io/よりリンク先で「try it now」をクリック
新規登録をクリック
メールアドレスとパスワードを入力で新規登録が完了
※確認のメールは届きません。(ダブルオプトインではない)
2.プロファイルの設定と広告ブロックの設定
まず最初にするのは、ログインした後左上に「最初の設定」とあるここを選んで
新規作成⇒「Father」と入力作成をクリック
このプロファイルは Father 専用になります
プロファイルは選択で選んで変更できます。
例えば
18歳以上の子供がいるならポルノはOKだがギャンブルはダメ
10歳以下の子供がいるならポルノ、ギャンブル、出会い系はダメ
といった具合にプロファイル事に、設定とログを取ることができます
iPhone用、Android用、PC用用途別にすることも可能
・セキュリティ
そのままでよいでしょう
・プライバシー
ブロックリストを追加します。
「ブロックリストを追加する」をクリック
AdAway Blocking Hosts File for Japan
https://logroid.github.io/adaway-hosts
AdAwayで使用可能な、日本環境用 広告除去用hostsを公開します。日本環境用に特化しています。
16,225 エントリ 5日前に更新
280blocker
280blocker adblock domain lists.
https://280blocker.net
1,671 エントリ 4ヶ月前に更新
※ゴタゴタがありました。経緯は下記
https://280blocker.net/blog/20201009/2561/
https://280blocker.net/blog/20201019/2620/
最初からある
NextDNS 広告とトラッカーのブロック
と合わせて、全部で3つ登録しています
理由は当時280blocker購入前で280blockerのリストが使えたのとAdAwayは昔入れたことがあるので信頼できそうってことで
・ペアレンタルコントロール
細かく設定できますが、私は何も追加していません
ウェブサイト、アプリ、ゲーム:Tiktok Tinder Snapchat Facebook Instagram VK 9GAG Fortnite Tumbler Messenger Roblox League of Legends Twitter Twitch Reddit Youtube Discord Dailymotion Minecraft Pinterest Blizzard Hulu Telegram WhatsApp Steam Imgur Netfilx Skype Vimeo Disney+ eBay Xbox Live プライムビデオ Spotify Zoom Amazon BeReal Signal Playstation Network HBO Max Mastodon Google Chat ChatGPT から選べます
カテゴリー: ポルノ、ギャンブル、出会系サイト、著作権侵害行為、ソーシャルネットワーク、オンラインゲーム、ビデオストリーミング から選べます
娯楽時間: 決まった時間だけTwitterをOnにして見れるとかできます
セーフサーチ:
YouTube の制限付きモード:
フィルタリング回避防止: VPNで制限回避されるのを防ぐならOnに
・拒否リスト
拒否したいドメイン名を入力 exsample.com
・許可リスト
許可したいドメイン名を入力 exsample.jp
・アナリティクス
どの端末がどれくらいクエリを要求したかわかります
・ログ
通信ログが見れます、サイトが見れないときにはここで確認が可能
誰が何見てるかとかわかりますが、興味ないので見ないです
逆に見たい人には有益な情報(子供が何を見ているかなど)
・設定
お好みで変更してください
ログの保持期間
3ヵ月 デフォルト
6ヵ月
1年
2年
ログの保存場所
アメリカ デフォルト
欧州連合
イギリス
スイス
キャッシュブースト
最小 TTL(Time to live)を適用することで、DNS クエリを最小限に抑えます。
デフォルトではOffなのでOnに変更
CNAME フラットニング
CNAME 追跡のリゾルバーが不要なクエリを実行し、中間ドメインクエリによりログを汚染することを防止します。
デフォルトではOffなのでOnに変更
3.アプリのダウンロード
4.アプリの紐づけ
セットアップの画面の下のほうにAndroidやiOSの設定方法が載っています
・Androidアプリ
https://play.google.com/store/apps/details?id=io.nextdns.NextDNS
NextDNS アプリで、Settings → Configuration ID に xxyyzz を入力し接続します。
※xxyyzz は自分の情報に変更してください
・iOSアプリ
https://apps.apple.com/app/nextdns/id1463342498
アプリを開いて設定に移動し、「Use Custom Configuration」をオンにします。 「Configuration ID」として xxyyzz を入力してください。
NextDNS を有効にします。
以上で設定は終了です。
ブラウジングやアプリ内の広告がどうなったか確認してみてください
管理画面内の、ログが増えていると思います
NextDNSをオフにしたいときは、アプリを立ち上げてEnabledをタップしてDisabledに変更してください。広告や見たいものが見れると思います
例えば
管理画面でペアレンタルコントロール:カテゴリー:ポルノを追加
ウェブサイト:Tiktokを追加
ポルノサイトとTiktokの利用ができなくなります
お好みで設定を
ただし、
VPNだとVPNのDNSを使って逃れられる可能性あります
※管理画面:ペアレンタルコントロール:フィルタリング回避防止をOnにしましょう
またiPhoneだと
設定⇒一般⇒VPN、DNS、デバイス管理⇒DNS⇒NextDNS
となっているのを自動に戻されると、NextDNSの管理から外れます
あとは、アプリでオン⇒オフが設定できるので、アプリにパスコードを設定して教えない
管理外に逃げようと思えばできるので、どうしたら外れるか理解しておきましょう
下記リンクにペアレンタルコントロールの体験談等ありますので、先輩の記事を参考にしてみてください
最後に大事なことですが、無料は月間30万クエリーまで
パソコンやルータに設定したい場合は年2500円のプランに入りましょう
現在のクエリーの数は、ログインしてメールアドレスをクリック
アカウントをクリックするとどれくらい利用しているかわかります
2020/01/19 CNAME Cloakingが回避できるらしい「NextDNS」の設定方法
https://note.com/dafujii/n/nb7cca325fb7c
2020/04/15 新進気鋭のDNSサービス「NextDNS」を使うと何ができるのか?
https://gigazine.net/news/20200415-next-dns-is-great/
2020/04/20 Androidでアプリを使わずに広告ブロック NextDNS
https://note.com/prinny/n/n1f3f2cd50955
2020/05/30 DNS で簡易ペアレンタルコントロール
https://yabe.jp/thoughts/parental-control-via-dns/
2020/06/06 NextDNSというサービスは子持ち家庭のインターネットを安心安全にする
https://kuenishi.hatenadiary.jp/entry/2020/06/06/111724
2020/10/20 自分でカスタマイズしたフィルターを適用できる"NextDNS"を使ってみる
https://nellab.net/archives/00690/
2021/01/21 NextDNSでDNSレベルでフィルタイリング
https://www.barasu.org/pc/14549.html
2021/02/09 nextdnsがペアレンタルコントロールにすごく良かった
https://qiita.com/nardtree/items/cae04f8ff8b44c1c1b43
2021/06/08 広告をフィルタリング その2
https://ohaohaoha.cocolog-nifty.com/blog/2021/06/post-98b418.html
2021/07/12 NextDNS おすすめ設定
https://note.com/gomamotikuriogo/n/ne3605bda0f56
Lightswitch05 - Ads & Tracking+Fanboy's Annoyance List
2021/10/08 NextDNSを使って深夜にTwitterにアクセスできないようにする
https://nixeneko.hatenablog.com/entry/2021/10/08/105730
2023/02/13 NextDNS 設定ガイド
https://memonotealpha.net/blog/archives/3723
ソースはGoogleから
https://support.google.com/mail/answer/81126#authentication
重要: 2022 年 11 月より、個人用 Gmail アカウントにメールを送信する新規の送信者は、SPF または DKIM を設定する必要があります。Google では、新規の送信者から個人用 Gmail アカウント宛てのメールをランダムにチェックして、認証されたメールであることを確認します。認証方法が一つも設定されていないメールは拒否されるか、迷惑メールに分類されます。この要件は、すでに送信者である場合は適用されません。ただし、組織のメールを保護し、今後の認証要件をサポートするために、必ず SPF と DKIM を設定することをおすすめします。
relay=gmail-smtp-in.l.google.com[xxx.xxx.xx.xx]:25, delay=1.5, delays=0/0.02/0.81/0.64, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[xxx.xxx.xx.xx] said: 550-5.7.26 This message does not pass authentication checks (SPF and DKIM both 550-5.7.26 do not pass). SPF check for [gmail.com] does not pass with ip: 550-5.7.26 [xx.xx.xx.xx].To best protect our users from spam, the message has 550-5.7.26 been blocked. Please visit 550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more 550 5.7.26 information. xxxx.xx - gsmtp (in reply to end of DATA command))
設定するドメイン名は exsample.jp
・CentOS 7 の場合
# yum install opendkim --enablerepo=epel
・Rocky/Alma/Oracle Linux 9 の場合
# yum install opendkim opendkim-tools --enablerepo=epel
・exsample.jp のディレクトリ作成と gen-key を利用して秘密鍵と公開鍵の作成# cd /etc/opendkim/keys
# mkdir exsample.jp
# opendkim-genkey -D ./exsample.jp -d exsample.jp
(省略すると -b 1024 -s default となる。1024bit selector名はdefaultという意味)
# chown -R opendkim:opendkim *
# cat exsample.jp/default.txt
v=DKIM1; k=rsa; p=yyyyyyyyyy
・DNSに公開鍵(default.txt)の内容登録(selectorがdefaultの場合)
いずれもTXTレコードに値を入力
default._domainkey
TXT
v=DKIM1; k=rsa; p=yyyyyyyyyy
・opendkim.conf の編集
# vi /etc/opendkim.conf
Mode sv
# Sign と Verify 両方行うので sv
SoftwareHeader no
# DKIM-Filter: OpenDKIM Filter v2.xx.0 exsample.jp とメールヘッダーに表示されるので no に変更
Domain exsample.jp
# 該当ドメイン名
KeyFile /etc/opendkim/keys/exsample.jp/default.private
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
・KeyTable の編集
# vi /etc/opendkim/KeyTable
default._domainkey.exsample.jp exsample.jp:default:/etc/opendkim/keys/exsample.jp/default.private
書式:
[セレクタ名]._domainkey.[ドメイン名] [ドメイン名]:[セレクタ名]:[秘密鍵へのパス]
・SigingTable の編集
# vi /etc/opendkim/SigningTable
*@exsample.jp default._domainkey.exsample.jp
書式:
*@[ドメイン名] [セレクタ名]._domainkey.[ドメイン名]
・TrustedHosts の編集・確認
# vi /etc/opendkim/TrustedHosts
127.0.0.1
::1
・postfix/main.cf 一番下に追加
# vi /etc/postfix/main.cf
# OpenDKIM
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
・起動、自動起動の登録、postfix restart
# systemctl start opendkim
# systemctl enable opendkim
# postfix check
main.cf の設定間違いなど確認可能
# systemctl restart postfix
・opendkim-testkey による確認
# opendkim-testkey -d exsample.jp -k /etc/opendkim/keys/exsample.jp/default.private -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from /etc/opendkim/keys/exsample.jp/default.private
opendkim-testkey: checking key 'default._domainkey.exsample.jp'
opendkim-testkey: key OK
となっていたら、問題ありません
あとはGmailにメール送信してみて、縦...マークから
メッセージのソースを表示
SPF:
DKIM:
のところを確認してみてください
GMAILが24/02から拒絶する方針を出してから、各社DKIM DMARC対応を始めた
24/02までに対応できるところが増える
人気のXserverが
23/02/14 sv14450.xserver.jp 以降でDKIM対応しました
default._domainkey.exsample.jp TXT "v=DKIM1; k=rsa; p=" 設定される selector名 default
24/01/09 DMARC設定機能を追加
_dmarc.exsample.jp TXT "v=DMARC1; p=none;" で設定される
coreserverのV2(CORE-X)プランでDKIM対応
技術解説:DKIM (Domainkeys Identified Mail)
https://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/dkim/
その他:
ドメイン名とセレクタ名で確認
https://dmarcian.com/dkim-inspector/
TXTレコードに設定可能な文字数は最大255文字までとなります。https://support.muumuu-domain.com/hc/ja/articles/360046453854-%E3%83%A0%E3%83%BC%E3%83%A0%E3%83%BCDNS%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E8%A8%AD%E5%AE%9A
TXTレコード 255文字が上限です。
DKIM(TXT)レコード 255文字以内に収まるよう1,024ビットドメインキーをご利用ください。https://help.onamae.com/answer/7894
TXTレコードに限りVALUE値の最大文字数は510文字になります。(DKIM設定等で長いVALUE値の設定が求められるため)https://aws.amazon.com/jp/premiumsupport/knowledge-center/route-53-configure-long-spf-txt-records/
TXT レコードの値の最大文字数は 4,000 文字です。
※Gmailにメール転送するなら
ARCを導入しましょう。(opendkim,openarcの設定)そのまま転送すると弾かれます
転送より、gmailからpopなりimapで取込するのが簡単です
default.private のまま ARC に利用
# yum instll openarc
# mkdir /etc/openarc/
# cp /etc/opendkim/keys/exsample.jp/default.private /etc/openarc/openarc.private
# chown -R openarc:openarc /etc/openarc/
・openarc.conf の編集
# vi /etc/openarc.conf
PidFile /var/run/openarc/openarc.pid
Syslog yes
#Umask 002
UserID openarc:openarc
Socket inet:8894@localhost
Mode sv
AuthservID exsample.jp
Canonicalization relaxed/simple
Domain exsample.jp # change to domain
Selector default
KeyFile /etc/openarc/openarc.private
SignatureAlgorithm rsa-sha256
# systemctl enable openarc
# mkdir /var/run/openarc
# chown openarc:openarc /var/run/openarc/
# systemctl start openarc
・postfix /etc/postfix/main.cf に「inet:127.0.0.1:8894」の追加
# vi /etc/postfix/main.cf
smtpd_milters = inet:127.0.0.1:8891, inet:127.0.0.1:8894
# systemctl restart postfix
メールを Gmail に転送するおすすめの方法
https://support.google.com/mail/answer/175365?hl=ja
・必要なメール admin@ verification-noreply@ だけ
admin@onamae.com ドメイン登録などの重要なメール
admin@onamae.com [お名前.com]DNSレコード設定 完了通知
verification-noreply@onamae.com 【重要】Whois情報 正確性確認
・不要なメール
recommend@onamae.com の登録を確認
coupon@onamae.com .comドメインが≪500円≫【本日23:59まで】
setting@onamae.com 無料ブログにおすすめの「URL転送Plus
news@onamae.com 世界1600ブランドが登録【.inc】企業向けの新ドメイン
info@mail.onamae-server.com
info@onamae.com 【1年間ずっと5%OFF】VPSプランリニューアルを実施!【ConoHa
infomail@onamae.com お探しの【xxxx】が取得可能です
renewannounce@onamae.com
renewcoupon@onamae.com
announce@onamae.com Whois情報公開代行設定が無効です
announce@onamae.com 2段階認証を
announce@onamae.com 【重要】Webサイトコンテンツがブロックされる可能性があります
announce@onamae.com は売買相談が受け取れない状態です
announce@onamae.com Whois情報公開代行を設定された
announce@onamae.com 様の情報がWEB上に公開されています
ドメインを移管すれば1年有効期限が伸びるし、不要なメールが来なくなり快適になります
サービス維持調整費 18.25% を払いたくないなら
2023.01.26 【お知らせ】 [お名前.com]「サービス維持調整費」についてのお知らせ
・ドメイン移管に必要なもの
authcode whois代行なら解除して、自分の情報に変更後に申請(JPドメインでは不要)
ドメインの有効期限が15日以上あること
トライ&エラーを楽しむ
使い勝手の良い xserver系のxdomain おススメ
期間限定特別価格
(ローマ字JP).jp 移管 1円
.com 移管 1円
.net 移管 1円
通常時
(ローマ字JP).jp 移管 3000円
.com 移管 950円
.net 移管 1180円
私は同じxserver系StarDomain使ってます
(ローマ字).jp 移管 3000円
.com 移管 1200円
.net 移管 1300円
.com
22/08/31 値上げ前 $8.39
22/09/01 卸価格の7%値上げ $8.97
23/09/01 卸価格の7%値上げ $9.59
24/09/01 卸価格の7%値上げ予定 $10.26
25/09/01 卸価格の7%値上げ予定
26/09/01 卸価格の7%値上げ予定
27/09/01 卸価格の7%値上げ予定
28/09/01 卸価格の7%値上げ予定
29/09/01 卸価格の7%値上げ予定
30/09/01 卸価格の7%値上げ予定
31/09/01 卸価格の7%値上げ予定
.net
2023年2月 7%値上げ予定
もう決まっていることなので、受け入れるか、ドメインを破棄するか、10年分更新するか考えたほうが良いと思います
情報ソース:
Verisign announces another .com price hike
# dig jp.archive.ubuntu.comぐぐるとよくでてくる ja.archive.ubuntu.com
jp.archive.ubuntu.com. 8 IN CNAME ubuntutym.u-toyama.ac.jp.
ubuntutym.u-toyama.ac.jp. 8 IN CNAME ubuntutym1.u-toyama.ac.jp.
ubuntutym1.u-toyama.ac.jp. 8 IN A 160.26.2.185
# dig ja.archive.ubuntu.com
ja.archive.ubuntu.com. 60 IN A 91.189.91.38
ja.archive.ubuntu.com. 60 IN A 91.189.91.39
ja.archive.ubuntu.com. 60 IN A 185.125.190.39
ja.archive.ubuntu.com. 60 IN A 185.125.190.36
どこの国なんだろうなーと whatismyip.com で調べると
91.189.91.x City: Douglas State: Scotland
185.125.190.x City: London State: England
グレートブリテン及び北アイルランド連合王国
# dig archive.ubuntu.com
archive.ubuntu.com. 48 IN A 91.189.91.39
archive.ubuntu.com. 48 IN A 91.189.91.38
archive.ubuntu.com. 48 IN A 185.125.190.36
archive.ubuntu.com. 48 IN A 185.125.190.39
ああ、うん。察し。jaが存在しないんだなと
結論 archive.ubuntu.com となりました
余談:
国内の速いミラーは秋葉原UDXにある 経済産業省のICSCoE(産業サイバーセキュリティセンター) が100Gbps で高速(12 mirror 120Gbpsのうちの100Gbps)
https://launchpad.net/ubuntu/+archivemirrors
https://ftp.udx.icscoe.jp/Linux/ubuntu/
http://ftp.udx.icscoe.jp/Linux/ubuntu/
sedでftp.udx.icscoe.jpに置き換えるなら
sed -i.bak -r 's@http://(jp\.)?archive\.ubuntu\.com/ubuntu/?@http://ftp.udx.icscoe.jp/Linux/ubuntu/@g' /etc/apt/sources.listftp.udx.icscoe.jpは http:// と https:// 両方あるのでお好みで
Ubuntuだけでなく
CentOS stream 9 http://ftp.udx.icscoe.jp/Linux/CentOS-stream/
almalinux 8 8.6 9.0 http://ftp.udx.icscoe.jp/Linux/almalinux/
rocky 8 8.4 8.5 8.6 9 http://ftp.udx.icscoe.jp/Linux/rocky/
alpine 3.0 から 3.16 http://ftp.udx.icscoe.jp/Linux/alpine/
raspbian http://ftp.udx.icscoe.jp/Linux/raspbian/
使うと良いと思います
deb https://ftp.udx.icscoe.jp/Linux/ubuntu/ YOUR_UBUNTU_VERSION_HERE main
deb-src https://ftp.udx.icscoe.jp/Linux/ubuntu/ YOUR_UBUNTU_VERSION_HERE main
こんな記事もありました 2011/01/09
https://ftp-admin.blogspot.com/2011/01/ubuntu.html
Ubuntuのアップデートでパッケージのダウンロードが遅いのは、デフォルトで設定される「日本のサーバ(jp.archive.ubuntu.com)」が遅いからです。サーバの変更方法を覚えてもらうために、意図的に性能を落としているそうです。そこで、アップデートに用いられるサーバを「日本のサーバ」から変更する方法を紹介しておきます。対象のバージョンは10.10です。既に10年以上前の記事で、元ネタは見つけられないのですが、jp.archive.ubuntu.com マジでいらない子]]>
・やっていたこと
WEB xserverのシン・レンタル xserverのメールは使わない
MAIL さくらインターネットVPS postfix+dovecot+Let's encrypt(DKIM,DMARC,ARC)
gmail 個人のアドレスで取込や送信があるので include:_spf.google.com 記述
SPF dnsレコード設定済
"v=spf1 a:exsample.co.jp a:www.exsample.co.jp mx a:sv????.wpx.ne.jp include:_spf.google.com include:spf.sender.xserver.jp ~all"
DKIM opendkimとdnsレコード設定済 s=default
"v=DKIM1; k=rsa; p= 省略"
DMARC opendmarcとdnsレコード設定済(よく見る設定)
"v=DMARC1; p=none; pct=100; adkim=r; aspf=r;"
・時系列に書いていくと
最初の詐称spamに気づいてすぐにしたのは、DMARC p=none がダメなのでは?と思い
"v=DMARC1; p=quarantine; pct=100; adkim=r; aspf=r;"
に変更
意味は
p=none なにもしない
p=quarantine 認証失敗したメールは隔離してください
p=reject 認証失敗したメールは受信拒否してください
info@あてにメールがバウンスしてきて(failure notice, Mail delivery failed, spamへのauto responseなど)3,000程
また outbound.protection.outlook.com からのエラーが目立ったので
「grep outbound.protection.outlook.com /var/log/maillog | grep 'connect from' | awk '{ print $8 }' | sort」 実際のIPと下記から該当IP帯域を拒絶(2日後解除)
Office 365 URL および IP アドレス範囲
https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide
上記で対策したので、大丈夫だろうと期待したのですが、、、
2日後の日付が変わる頃にドイツから詐称spam発生
ちょっと考えて、SPFが ~all だからではないかと?思い立ち -all に変更
更に重複していたレコード類を整理
"v=spf1 a:exsample.co.jp mx include:_spf.google.com include:spf.sender.xserver.jp -all"
DMARCレコードに rua=mailto: ruf=mailto: を追加
"v=DMARC1; p=quarantine; pct=100; adkim=r; aspf=r; rua=mailto:dmarc-a@exsample.co.jp; ruf=mailto:dmarc-f@exsample.co.jp"
不要なメールを処理するため postfix の header_checks で
/^Subject: .*EXSAMPLE EXSAMPLE/ DISCARD
で DISCARD(通知なし受け取り拒否) して捨てる (10,000通近く受信)
ここまでの内容で、設定間違いがあったことに後で気づきました。
答えは「spfのdns lookupは10回以内」
最初の SPF 記述では lookup が11回あり、SPF設定したつもりができていなかった!
最初のSPFはこれで
"v=spf1 a:exsample.co.jp a:www.exsample.co.jp mx a:sv????.wpx.ne.jp include:_spf.google.com include:spf.sender.xserver.jp ~all"
dns lookup回数を数えると
1 a:exsample.co.jp
2 a:www.exsample.co.jp
3 mx
4 a:sv????.wpx.ne.jp
5 include:_spf.google.com
6 include:spf.sender.xserver.jp
5 _spf.google.com の中身
7 _netblocks.google.com
8 _netblocks2.google.com
9 _netblocks3.google.com
6 spf.sender.xserver.jp の中身
10 _spf.sender0.xserver.jp
11 _spf.sender1.xserver.jp
10回のlookup回数をオーバーしてしまい、何も設定してないのと同じ状況
DMARCはSPFとDKIMが正しく設定されていて初めて役立ちます
SPF変更後は lookup が10回以内になり正しい状態
同時に rua,ruf で設定したメールアドレスにレポートメールが届き始める
※以前は ip4:192.168.1.1 とかで書いてましたが、a:が楽だと気付いたのが間違いの始まり
spf lookupが10回以内できちんと設定できているかは、下記サイトで確認可能
SPF Lookup後にSPF Raw Checker
https://senderpolicyframework.com/lookup/
ドメイン入力後 Validate SPF Record
https://dnschecker.org/spf-record-validation.php
ドメイン入力後 Check SPF
https://easydmarc.com/tools/spf-lookup
ドメイン入力後 Check SPF Record
https://dmarcly.com/tools/spf-record-checker
DKIMレコードの確認
ドメインとセレクタ入力後 DKIM Lookup
https://mxtoolbox.com/dkim.aspx
ドメインとセレクタ入力後 Inspect DKIM
https://dmarcian.com/dkim-inspector/
DMARCレコードの確認は
ドメイン入力後 DMARC Lookup
https://mxtoolbox.com/DMARC.aspx
ドメイン入力後 Inspect the domain
https://dmarcian.com/dmarc-inspector/
あたりが使えます
DMARCで設定した rua= ruf= のメール
rua レポートは xml 形式を gz で圧縮して各サーバから大量に送ってくるので 人間が見るようにはできていません
ruf レポートはどこのIPから送ったメールがエラー出ているかわかるので設定しておくと設定エラーのサーバやspamに気づきます
rua レポートを自動解析したい場合 個人なら
https://powerdmarc.com/ja/
https://easydmarc.com/
が使えるようですが、今回企業ドメインなので使っていません
SPFで ~all と -allの違い
~all 送信元メールアドレスは詐称されている可能性がある
-all 送信元メールアドレスは詐称されている
~all の書式でSPF認証に失敗すると SoftFail
-all の書式でSPF認証に失敗すると Fail
メールを送信しないドメインなら
"v=spf1 -all"
と記述するとよいです
何時から設定をミスっていたのかとなると、「include:spf.sender.xserver.jp」を入れましたというXserverからのメールが来た22/02/17より後にincludeを追加し変更したようです
変更後の確認が甘かったのが、エラーの原因でしたorz
check-auth@verifier.port25.com にメール送るが簡単でよいかな
参考:
なりすまし対策ポータルナリタイ
https://www.naritai.jp/
あなたの会社のなりすましが現れたら? 迷惑メール対策方法とYahoo!メールのDMARC導入事例紹介
https://techblog.yahoo.co.jp/entry/2021070530163050/
Yahoo!メールのDMARC導入のその後と、「DMARCレポート」の活用術
https://techblog.yahoo.co.jp/entry/2021121030233781/
注意点
conohaで利用しているVPSが「VPS割引きっぷ期間中」でないとalphassl DV証明書は無料になりません
最低期間で良いなら3ヵ月だけ割引きっぷを購入
VPS割引きっぷの詳細はこちら
3,6,12,24,36ヵ月を選択でき、長期間になるほど利用料金が下がります
申請までの手順は
1.CSR作成
2.conoha管理画面で申し込み CSR情報入力
3.有効ドメインのメールで受信
4.受信した証明書をサーバに設定
5.動作確認
1.証明書を発行するためのCSRを作成
opensslコマンドでwww.exsample.jpのCSR証明書を作る場合
強調しているところが入力部分
※www.exsmaple.jp でCSRを作っていれば exsample.jp でのアクセスも可能
openssl req -new -newkey rsa:2048 -nodes -keyout www.exsample.jp.key -out www.exsample.jp.csr
Generating a 2048 bit RSA private key
.................+++
.........+++
writing new private key to 'www.exsample.jp.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) []:Shibuya-ku
Organization Name (eg, company) [Internet Widgits Pty Ltd]:exsample, inc.
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.exsample.jp
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
cat www.exsample.jp.csr
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
までコピーしましょう
2.CSRをconohaの管理画面で申請
ログイン後、左メニュ―のセキュリティ⇒SSL
右上カートをクリック
・プラン アルファSSL
・新規取得
・デュアルアクセス 有効
・認証方式 DNS認証 メール認証 ページ認証(メール認証を選択)
「次へ」をクリック
CSRを張り付けて「CSR内容確認」をクリック
CSR解析結果で、作成したCSR内容になっているかを確認後「次へ」をクリック
申請者担当情報
・氏名(ローマ字)
・電話番号
・メールアドレス admin@exsample.jp
入力して「次へ」をクリック
プラン
CSR情報
申請担当者情報
確認して問題なければ、「決定」をクリック
支払確認
SSL申請料金(税込) が 0円になっているのを確認して「決定」をクリック
認証
メールの場合は admin@exsample.jp に来ているメールをクリック
DNSの場合は globalsign-domain-verification=
DNSレコードに登録して認証依頼をクリック
認証が問題なく終わると、SSLサーバ証明書リストの中に申請したドメインの
証明書のダウンロード
・中間証明書 ICA形式
・証明書 PEM形式
・証明書+中間証明書 PKCS7形式
ダウンロードできるようになります
証明書(PEM)と中間証明書(ICA)をダウンロードしましょう
4.サーバに証明書を設置
vi server.crt
-----BEGIN CERTIFICATE-----
www.exsample.jp(PEM).txtの内容
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
www.exsample.jp(ICA).txtの内容
-----END CERTIFICATE-----
証明書の場所をapacheに設定
SSLCertificateFile /home/kuni/server.crt
SSLCertificateKeyFile /home/kuni/www.exsample.jp.key
設定に間違いが無いか確認
# apachectl configtest
apache再起動
# service apache2 restart
# systemctl restart httpd
nginxで使う場合
ssl_certificate /home/kuni/server.crt;
ssl_certificate_key /home/kuni/www.exsample.jp.key;
設定に間違いが無いか確認
# nginx -t
nginx再起動
# service nginx restart
# systemctl restart nginx
5.証明書の確認
証明書や設定に問題が無いかssllabsでテストして確認
https://www.ssllabs.com/ssltest/
※中間証明書が無いっていわれるとき(chain issue Incomplete)
vi intermediate_alpha.crt
-----BEGIN CERTIFICATE-----
www.exsample.jp(ICA).txtの内容
-----END CERTIFICATE-----
の内容を張り付けて
apacheに
SSLCertificateChainFile /home/kuni/intermediate_alpha.crt
を追加
apacheを再起動
問題が無ければ365+30日の証明書が使えます
apache 2.4におけるSSL証明書の設定
https://qiita.com/bageljp@github/items/6b9876b7571852284ead
ECDSA(楕円曲線DSA)使えません。RSA2048bitのみ
無料で使えるのであればアリだと思います
Buypassはノルウェーにある会社でCA Browser Memberにも参加している、信頼のおける会社です https://cabforum.org/members/ (日本から GlobalSign, JPRS, Secom trustが参加)
https://github.com/acmesh-official/acme.sh
acme.shは /home/kuni/.acme.sh/acme.sh にある前提で
・インストール
$ curl https://get.acme.sh | sh -s email=my@example.com
or
$ wget -O - https://get.acme.sh | sh -s email=my@example.com
or git
$ git clone https://github.com/acmesh-official/acme.sh.git
$ cd ./acme.sh
$ ./acme.sh --install -m my@example.com
・デフォルトCAを Buypass に変更
$ /home/kuni/.acme.sh/acme.sh --set-default-ca --server buypass
Changed default CA to: https://api.buypass.com/acme/directory
・アカウント登録 exsample.comを該当ドメインに
$ /home/kuni/.acme.sh/acme.sh --server https://api.buypass.com/acme/directory --register-account --accountemail kuni@exsample.com
・証明書発行
$ /home/kuni/.acme.sh/acme.sh --server https://api.buypass.com/acme/directory \
--issue -d exsample.com -w /var/www/html \
--days 180
・証明書設置 Let's encryptと同じように配置
# /home/kuni/.acme.sh/acme.sh --install-cert -d exsample.com --key-file /etc/letsencrypt/live/exsample.com/privkey.pem --fullchain-file /etc/letsencrypt/live/exsample.com/fullchain.pem --cert-file /etc/letsencrypt/live/exsample.com/cert.pem
更新は有効期限の30日前からかな、170日後に追記します
$ /home/kuni/.acme.sh/acme.sh --renew -d example.com
参考:
https://github.com/acmesh-official/acme.sh/wiki/BuyPass.com-CA
https://www.buypass.com/products/tls-ssl-certificates/go-ssl
ASUSルータは中身がarmv7(32bit)でLinuxが動いているためmackerelをインストールすることができます
# uname -a
Linux RT-AX3000-xxxx 4.1.52 #2 SMP PREEMPT Tue Apr 19 12:35:05 CST 2022 armv7l
事前に用意しておくと良いもの
mackerelで利用する apikey
ルータに登録するsshの公開鍵(public key)と秘密鍵(secret key)
管理画面より公開鍵を登録する
RT-AX3000 http://192.168.50.1/ 3core Mem:512MB
RT-AC68U http://192.168.1.1/ 2core Mem:256MB
sshログインする簡単なやり方
管理⇒システム⇒サービス
・SSHを有効にする LAN only
・SSHポート 22
・パスワードログインを許可 はい
・認証キー 空欄のまま
一番下にある「適用」をクリック
sshログインのセキュリティが高いやり方
ed25519の公開鍵を用意
管理⇒システム⇒サービス
・SSHを有効にする LAN only
・SSHポート 22
・パスワードログインを許可 いいえ
・認証キー 公開鍵をコピペして貼り付け
一番下にある「適用」をクリック
次にsshでルータにログインします
RT-AX3000 なら 192.168.50.1 port:22
RT-AC68U なら 192.168.1.1 port:22
接続ユーザは admin
パスワードは ルータに設定した password 、もしくは公開鍵のpasswordを入力
adminでログインすると /tmp/home/root に移動しています
# pwd
/tmp/home/root
ログインして df -h すると
# df -h
Filesystem Size Used Available Use% Mounted on
/dev/root 51.0M 51.0M 0 100% /
devtmpfs 250.0M 0 250.0M 0% /dev
tmpfs 250.1M 652.0K 249.5M 0% /var
tmpfs 250.1M 2.7M 247.4M 1% /tmp/mnt
ubi1:data 4.5M 84.0K 4.1M 2% /data
tmpfs 250.1M 2.7M 247.4M 1% /tmp/mnt
tmpfs 250.1M 2.7M 247.4M 1% /tmp
/dev/mtdblock9 47.0M 6.1M 40.9M 13% /jffs
/dev/sda1 3.8G 1.1M 3.8G 0% /tmp/mnt/sda1
# ls -l /
drwxrwxr-x 2 admin root 2047 Apr 19 13:43 bin
drwxrwxr-x 2 admin root 3 Apr 19 13:43 bootfs
drwxr-xr-x 2 admin root 3 Apr 19 13:42 cifs1
drwxr-xr-x 2 admin root 3 Apr 19 13:42 cifs2
drwxr-xr-x 2 admin root 600 Apr 23 12:04 data
lrwxrwxrwx 1 admin root 16 Apr 19 13:42 debug -> sys/kernel/debug
drwxr-xr-x 6 admin root 3700 Apr 23 15:40 dev
lrwxrwxrwx 1 admin root 7 Apr 19 13:42 etc -> tmp/etc
lrwxrwxrwx 1 admin root 8 Apr 19 13:42 home -> tmp/home
drwxr-xr-x 13 admin root 0 Apr 24 22:29 jffs
drwxrwxr-x 5 admin root 1621 Apr 19 13:43 lib
drwxr-xr-x 2 admin root 3 Apr 19 13:42 mmc
lrwxrwxrwx 1 admin root 7 Apr 19 13:38 mnt -> tmp/mnt
drwxr-xr-x 3 admin root 147 Apr 19 13:42 opt
dr-xr-xr-x 159 admin root 0 Jan 1 1970 proc
drwxr-xr-x 9 admin root 880 Apr 19 13:40 rom
lrwxrwxrwx 1 admin root 13 Apr 19 13:42 root -> tmp/home/root
drwxr-xr-x 2 admin root 3132 Apr 19 13:40 sbin
dr-xr-xr-x 12 admin root 0 Jan 1 1970 sys
drwxr-xr-x 2 admin root 3 Apr 19 13:42 sysroot
drwxrwxrwx 18 admin root 1720 Apr 24 22:30 tmp
drwxr-xr-x 12 admin root 195 Apr 19 13:42 usr
drwxrwxrwt 19 admin root 440 Apr 24 22:27 var
drwxrwxr-x 16 admin root 7935 Apr 19 13:42 www
etc は /tmp/etc
mnt は /tmp/mnt
home は /tmp/home
root は /tmp/home/root
/tmp 以下にあるファイルは、ファームウェアアップデートすると消えます
なので mackerel idを保存する場所を変更しないと、バージョンアップの度にNew hostとして登録されめんどくさいことに「/var/lib/mackerel-agent/id」
USBメモリを刺していると、/dev/sda1 で認識 データは /tmp/mnt/sda1 に
これは安定した保存場所に。またusb mountするときに実行するスクリプトを登録できます
mackerelのプログラムは消えない場所 /jffs/ 展開します
ディレクトリ /jffs/ に移動
cd /jffs/
mackerelプログラムをダウンロード
# wget https://github.com/mackerelio/mackerel-agent/releases/download/v0.37.1/mackerel-agent_linux_arm.tar.gz
ファイルを展開
# tar zxf mackerel-agent_linux_arm.tar.gz
ダウンロードしたファイル削除
# rm -r mackerel-agent_linux_arm.tar.gz
ディレクトリ名を変更
# mv mackerel-agent_linux_arm mackerel
起動スクリプトを作成 aを押しINSERTモードになったら
# vi mackerel.sh
下記をコピペ
#!/bin/sh
AGENT_DIR="/jffs/mackerel"
${AGENT_DIR}/mackerel-agent -conf "${AGENT_DIR}/mackerel-agent.conf"
コピペ後は :wq で保存して抜けます(write quit)
ファイルに実行権限をつけます
# chmod 755 mackerel.sh
次にmackerle/mackerel-agent.confを編集
# vi mackerel/mackerel-agent.conf
root = "/jffs/mackerel"
apikey = ''
root と apikey を設定したら :wq で抜けます
自宅のグローバルIPアドレス変更を監視する
この記事のスクリプトを流用します
自宅のグローバルIPアドレスの変更をMackerelで通知する
https://qiita.com/tinoue@github/items/303cd3e3d030f4e89c59
# vi checkglobalip.sh
コピペして保存
ファイルに実行権限をつけます
# chmod 755 checkglobalip.sh
# vi mackerel/mackerel-agent.conf
コピペして保存
mackerelをバックグラウンドで起動
# /jffs/mackerel.sh &
再起動時のおまじない、USBメモリを刺していれば実行(刺さってない場合はsshログインして手動で起動)
# nvram set script_usbmount="/jffs/mackerel.sh &"
# nvram commit
以上で終わり。通知はmackerelでお好みの通知先に
フレッツ光のメンテナンスで通信できなくなった時に、通知が来るのも良き
mkr のarm版は 0.41以降あるようです
# wget https://github.com/mackerelio/mkr/releases/download/v0.41.0/mkr_linux_arm.tar.gz
RT-AX3000は WI-FI 6EかWI-FI 7出るまでは使う予定
これから買うならマイナーバージョンがあがったv2版
参考サイト
無線LANルータ(ASUS RT-AC68U)をmackerel-agentで監視
http://move0tofu.hatenablog.jp/entry/2016/mackerel_advent
ルータをRT-AC68Uに更新してDDNS更新させるようにした
http://kinomuku129.blogspot.com/2017/12/rt-ac68uddns.html
新世代のサーバー監視ツール「Mackerel」
https://www.idcf.jp/cloud/mackerel/
管理画面demo
https://demoui.asus.com/JP/
Asus-Merlin wiki
https://github.com/RMerl/asuswrt-merlin.ng/wiki
他には nasne を監視できたり
Mackerelでnasneを監視する 〜mackerel-plugin-nasne〜
https://papix.hatenablog.com/entry/2017/12/02/132132
nasneの録画件数をシェルスクリプトとmackerelで監視する
https://qiita.com/norio_jp/items/059118d82f231013a78d
nasneの残量やGoogle Analyticsの情報をMackerelに監視させよう
https://www.yasuhisay.info/entry/2016/12/06/000000
改正電子帳簿保存法は年末にどんでん返しが(2年間の猶予)ありましたが
・発注書
・見積書
・納品書
・請求書 証拠書類
・領収書 証拠書類
証拠書類の印刷と保存(7年)が大変で2年後に慣れておくため
令和4年度(2022年1月)から電子帳簿保存法に基づいたデータ保存を運用開始しました
※確定申告に関する書類の保存期間
帳簿 7年記帳や帳簿等保存・青色申告
仕訳帳、総勘定元帳、現金出納帳、売掛帳、買掛帳、経費帳、固定資産台帳など決算関係書類 7年
損益計算書、貸借対照表、棚卸表など
現金預金取引等関係書類 7年
領収証、小切手控、預金通帳、借用証など
その他の書類 5年
取引に関して作成し、又は受領した上記以外の書類
請求書、見積書、契約書、納品書、送り状など
対応している電子帳簿保存法の区分
・電子帳簿等保存(電磁的記録等による保存)
・スキャナ保存
・電子取引
対応している帳簿書類
・国税関係帳簿(仕訳帳や元帳等)
・国税関係書類>決算関係書類(貸借対照表等)
・国税関係書類>取引関係書類(請求書や領収書等)
・国税関係書類以外の書類(電子で授受した請求書や領収書等)
このどれに対応しているのか、理解している範囲で対応状況は
帳簿である「MoneyForward確定申告」の場合(無料利用可能)
〇 電子帳簿等保存(電磁的記録等による保存)
〇 スキャナ保存
〇 電子取引
〇 国税関係帳簿(仕訳帳や元帳等)
〇 国税関係書類>決算関係書類(貸借対照表等)
〇 国税関係書類>取引関係書類(請求書や領収書等)
〇 国税関係書類以外の書類(電子で授受した請求書や領収書等)
支払った領収書・請求書「MoneyForwardクラウドbox」の場合(無料利用可能)
〇 電子取引
〇 国税関係書類以外の書類(電子で授受した請求書や領収書等)
クラウドBox:電子帳簿保存法への対応について
https://biz.moneyforward.com/support/box/guide/e-book/eb01.html
仕事の請求書 「MoneyForwardクラウド請求書」を利用した場合(パーソナルプランに含まれる)
〇 電子帳簿等保存(電磁的記録等による保存)
〇 電子取引
〇 国税関係書類以外の書類(電子で授受した請求書や領収書等)
クラウド請求書:電子帳簿保存法への対応について
https://biz.moneyforward.com/support/invoice/guide/e-book/eb01.html
仕事の請求書 「Misoca」で発行して「メール送信」「リンク共有」「PDFダウンロード(したものをメール添付等で送信)」した場合
〇 電子取引
〇 国税関係書類以外の書類(電子で授受した請求書や領収書等)
Misocaは無料で使え「改正電子帳簿保存法」に対応
令和4年1月1日以降の改正電子帳簿保存法に対応してますか?
https://support.yayoi-kk.co.jp/faq_Subcontents.html?page_id=26741
まとめると、令和4年度以降の確定申告時に印刷する書類は
・総勘定元帳、仕訳帳、決算書「MoneyForward 確定申告」で保存。印刷不要
・経費で支払った領収書や請求書「MoneyForward クラウドbox」で保存。印刷不要
・お仕事の請求書、見積書、納品書などは「Misoca」「MoneyForwardクラウド請求書」で保存。印刷不要
・クレジットカード明細 PDF出力 印刷(印刷しなくてもよさげ)
・銀行通帳(Online Bank) PDF出力 印刷(印刷しなくてもよさげ)
・確定申告書類 e-tax 印刷保存
といった感じになり、印刷が少なくなると思います
まず最初に「事務処理規定」を作成しましょう
無い場合は7日以内にアップロードという条件が
事務処理規定がある場合は2ヶ月+7日に緩和されます
・国税庁のひな型「電子帳簿保存法_事務処理規定.docx 個人事業者」の例を自分用に変更して印刷保存
https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/0021006-031.htm
・支払った領収書や請求書等の証拠書類を発行日から2ヶ月+7日以内に
タイムスタンプ機能のついた「MoneyForwardクラウドBox」にアップロードして保存
1月最初の方の取引は時間がありませんのですぐアップロードしましょう
・領収書、請求書のファイル名は
日付_取引先名_金額.pdf とする
例えば
20220225_NTT東日本_5432.pdf (2022/02/25 NTT東日本 5432円)
20220207_Amazon_595.pdf (2022/02/07 Amazon 595円)
これをあちこちの管理画面等からダウンロード、リネームして保存
・電子帳簿保存法に基づいた「MoneyForwardクラウドBox(無料)」にアップロード
確定申告や日々の帳簿管理は「MoneyForward 確定申告」を使ってます
会員登録すれば誰でも無料で使えます
下記バナーをクリックし「無料ではじめる」から会員登録すれば「MoneyForwardクラウドBox」すぐに使えます
・会員登録後はログインして、利用可能サービスの中にある「Box」からサービスを使うをクリック
実際の保存の様子は下記画像(UQモバイル(KDDI)の請求書)
画面の右にある「アップロード」をクリック
上記保存した、領収書や請求書をドラッグアンドドロップで放り込み
取引日を選択
取引先名を入力
金額を入力
最後にアップロードをクリックで保存されます
入力するときに、このPDFなんだっけ?となるのでファイル名を先に固定しておくとPDFを開けなくてよいのでひと手間減ります
今年の確定申告も、1/27には e-tax ソフトに組み込みできるようになりさくっと終わったので「MoneyForward確定申告」良いです
クラウドBoxは電子帳簿保存法の要件を満たしてるので安心して預けられます
・プリンタが無い場合はプリンタも購入。備えておくこととなってます
電子帳簿保存法
参考記事:
「電子帳簿保存法」改正で何が変わる? 個人事業主がやらなければならないことは何?
https://internet.watch.impress.co.jp/docs/special/denshichobo/1370106.html
1月1日からの「改正電子帳簿保存法」、最低限これだけ考えておくべきポイントは?
https://internet.watch.impress.co.jp/docs/special/denshichobo/1374258.html
23/01/12時点では、IPAの「TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~」
TLS1.3(高セキュリティ型)とTLS1.2(パターン名による高セキュリティ型)という結論
ssl_protocols TLSv1.2 TLSv1.3;TLS 1.2 パターン名による高セキュリティ型
ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+AES128:+DHE;TLS 1.3 高セキュリティ型(openssl 1.1.1x と nginx 1.9.14 以降)
ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256;
・ssl_ciphers TLS 1.2 1.1 1.0の暗号化設定に利用 1.1と1.0はもういらない
・ssl_conf_command Ciphersuites TLS1.3の暗号化設定に利用
ちょいメモ
OCSP Stapling nginx 1.3.7以降
HTTP/2 nginx 1.13以降
TLS 1.3 nginx 1.9.14以降
TLS 1.2 nginx さて? openssl 1.0.2
・TLS1.3 高セキュリティ型の設定例
ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256;
・TLS1.2 パターン名による高セキュリティ型の設定例
ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+AES128:+DHE;
・TLS1.2 暗号スイート名による高セキュリティ型の設定例
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES256-CCM8:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-CCM:ECDHE-ECDSA-AES128-CCM8:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-CCM:DHE-RSA-AES256-CCM8:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-CCM:DHE-RSA-AES128-CCM8;
・TLS1.3 推奨セキュリティ型、セキュリティ例外型の設定例
ssl_conf_command Ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;
・TLS1.2 パターン名による推奨セキュリティ型の設定例
ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:+AES256:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+DHE:ECDHE+AES128:ECDHE+CAMELLIA128:ECDHE+AES:ECDHE+CAMELLIA:+ECDHE+SHA:DHE+aRSA+AES128:DHE+aRSA+CAMELLIA128:DHE+aRSA+AES:DHE+aRSA+CAMELLIA:+DHE+aRSA+SHA;
・TLS1.2 暗号スイート名による推奨セキュリティ型の設定例
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-CCM:ECDHE-ECDSA-AES128-CCM8:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES256-CCM8:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-CCM:DHE-RSA-AES128-CCM8:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-CCM:DHE-RSA-AES256-CCM8:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-CAMELLIA128-SHA256:ECDHE-RSA-CAMELLIA128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-CAMELLIA256-SHA384:ECDHE-RSA-CAMELLIA256-SHA384:ECDHEECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-CAMELLIA256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA256-SHA;
https://ssl-config.mozilla.org/
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;高セキュリティ型を設定すると(ssl-config Mozilla)に比べCipher Suitesが増える
動作確認 SSL Server Testから
https://www.ssllabs.com/ssltest/
・TLS 1.3 増加 3→5
TLS_AES_256_GCM_SHA384 (0x1302) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_CHACHA20_POLY1305_SHA256 (0x1303) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_AES_128_GCM_SHA256 (0x1301) ECDH x25519 (eq. 3072 bits RSA) FS
以下増加分
TLS_AES_128_CCM_SHA256 (0x1304) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_AES_128_CCM_8_SHA256 (0x1305) ECDH x25519 (eq. 3072 bits RSA) FS
・TLS 1.2 増加 5→10
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 3072 bits FS
以下増加分
TLS_DHE_RSA_WITH_AES_256_CCM (0xc09f) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_256_CCM_8 (0xc0a3) DH 3072 bits FS
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_128_CCM (0xc09e) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_128_CCM_8 (0xc0a2) DH 3072 bits FS
参考サイト:
最終更新日:2021年12月7日より
https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html
OpenSSLでの暗号スイートと指定方法を確認する(+Apache、nginxでのIPAガイド設定例含む)
https://kazuhira-r.hatenablog.com/entry/2021/08/31/000416
nginx 1.19.4 以降で ChaCha20-Poly1305 の運用が現実的になった件
https://blog.kteru.net/chacha20-poly1305-with-nginx-ssl-conf-command/
TLS 1.0/1.1サイトは完全にブロック ~「Google Chrome 98」安定版がリリース
https://forest.watch.impress.co.jp/docs/news/1385273.html
余談:ssl_dhparam /etc/nginx/dhparamXXXX.pem は設定しましょう
dhparam.pemを作るのが面倒な場合
https://github.com/internetstandards/Internet.nl/tree/master/docker/it/targetbase/dh_param_infiles
ffdhe2048.txt
ffdhe3072.txt
ffdhe4096.txt
があります
最近は 3072bitsで作成 openssl dhparam -out /etc/nginx/dhparam3072.pem 3072
nginx : ssl_dhparamの有り無しでの挙動の違い
https://qiita.com/r-ytakada/items/7ac9ce32c1ed4d01d505
ガラホの要件は、メールが受信できること
・一台はUQmobileを利用しているのでそのまま使えると楽
候補は @uqmobile.jp を受信できるガラホ KYF31U
・お休みモードで夜中に通知がわからないということが無い
※ケータイ(FOMA)からガラホに電話帳の移動はしません
ガラケー(FOMA)をMNPしてiPhoneで利用
iPhoneのSIM(UQmobile)をガラホで利用
最初にdocomoのXiガラホ(KY-41B)を検討しました
・ドコモオンラインショップ 18,480円(KY-41B)、携帯からは購入することができない
・ドコモショップに行って契約しようとすると、頭金が必要・総額32,780円(KY-41B)かつ取寄で時間がかかる
・中古は数がまだ出ていない、なおかつ高い
携帯プラン(Xi) 月1,200円+端末代を合わせると結構なお値段
https://www.nttdocomo.co.jp/charge/keitaiplan
ドコモショップに行く前に、@uqmobile.jpのメール受信ができるガラホ(DIGNO Phone KY31U)購入
iPhone(UQmobile)のSIMを抜いてメールアドレスを契約(220円)受信できるか確認
・設定⇒端末⇒ソフトウェア更新 212.0.0d10 にアップデート
・メールアプリアップデート
上記アップデートでメール受信できたので、電池の減り具合などを確認したかったので数日そのまま利用
ガラケーだと充電から再充電まで12-15日でよかったのが
ガラホKYF31Uだと7日くらいだとわかり
ガラケー(docomo)のMNP番号発行してUQmobile(5Gプラン くりこしプランS+5G)を契約
SIMを抜いたiPhoneに入れて利用
UQmobileで使えるガラホ(ケータイ型スマホ)は下記の通り
https://www.uqwimax.jp/mobile/products/sim/devices/
・DIGNO Phone KYF31U UQmobile仕様
・らくらくホン F-01M ドコモ製SIMロック解除必要
・GRATINA 4G KYF31 au製SIMロック解除必要
・AQUOS K SHF33 au製SIMロック解除必要
・AQUOS K SHF32 au製SIMロック解除必要
※@uqmobile.jp のメールが使えるのは KYF31U のみ
※上記端末はAPN設定を変更できるため、UQmobileのデータ通信が可能
電話だけでよいのなら、他の後継端末でも良いはずです
60歳以上ならかけ放題をつけても1,628円+770円=2,398円なので安い!
auのかけ放題プランより安いはず
もっと裏技は povo のかけ放題プラン 1,650円 が最安(データ通信とかメールは利用せず)
KYF31はリース落ちが多いのか在庫がいい感じです。UQmobile仕様のKYF31Uはたまに見かける程度
じゃんぱら
https://www.janpara.co.jp/sale/search/result/?SSHPCODE=&OUTCLSCODE=&KEYWORDS=KYF31&KEYWORDS.x=0&KEYWORDS.y=0&CHKOUTCOM=1
長い間無償版ということでありがとうございました
この後は1アカウントあたり 680円/月 を払うか、独自ドメインでメールを受け取ってGmail で受信する設定に変更する等やり方はいろいろあると思います
Google Apps で利用していたメールを、新しく作ったGmailで受信できるまでの設定を解説
1.Gmailアカウントを作成する
2.Google Apps(Suite,Workspace)のアカウントでログイン
設定(右上の方の歯車)⇒すべての設定を表示⇒メール転送とPOP/IMAP⇒POPダウンロード
すべてのメールでPOPを有効にする を選択して変更を保存
3.下記より安全性の低いアプリのアクセスを オン にする
https://www.google.com/settings/security/lesssecureapps
4,新しく作ったアカウントで、
設定(右上の方の歯車)⇒すべての設定を表示⇒アカウントとインポート⇒他のアカウントメールを確認
メールアカウントを追加する をクリック
5.受信するアドレスを入力 次へ
6.他のアカウントからメールを読み込む(POP3) を選択して 次へ
7.詳細情報の入力
ユーザー名:kuni@exsample.com
パスワード:そのまま入力
POPサーバー:pop.gmail.com
ポート:995
メールの取得にセキュリティで保護された接続(SSL)を使用する チェック
受信したメッセージにラベルを付ける 任意
アカウントを追加 をクリック
指定のユーザー名とパスワードによる POP3 アクセスはサーバーで拒否されました。
サーバーから返されたエラー: "[AUTH] Username and password not accepted."
これでメールの受信はできるはずです
6分で200通ずつ読み込むので
1時間2000通
24時間で48000通
メールの数によりますが、そこそこ時間がかかります
注意点は、POP3取込したメールはすべて未読になるのと、一定数のメールが「迷惑メール」に放り込まれるので、本当に不要か確認が必要
また、ラベルも同じように設定しないといけないので、ラベルの設定もやりなおしましょう
Google domainに移管してGmailに転送するGoole説明を記述しておきます
Google domainでは受信したメールを任意のgmailに転送する機能があるのでそれを利用
メールを転送する
https://support.google.com/domains/answer/3251241?hl=ja
Google Domains のメール オプション
https://support.google.com/domains/answer/6328630?hl=ja
メール転送の使用方法
https://domains.google/intl/ja_jp/learn/how-to-use-email-forwarding/
カスタム ネームサーバーによるメール転送を設定する
https://support.google.com/domains/answer/9428703
このドメインはcloudflareを利用しているのと、メールは受信しか利用していなかったため、 今後は「Cloudflare Email Routing」を利用して、個人のgmailに転送することにしました
メールを送信する場合は、DKIMやspfの設定がきちんとできていないと「相手側の迷惑メール」に入ることになるので
・SendGrid
・mailgun
メール送信サービスを使いましょう。ググれば解説記事がでてきます
もしくは、独自ドメインの mx を「さくらのメールボックス(1048円/年)」に設定
・POP3かIMAP経由で受信
・送信はさくらのメールボックスのアカウント経由
メールは取込に行く頻度(20-30分程)タイムラグがあるのが難点
DKIMやDMARC対応するならさくらのVPSに複数ドメインを突っ込んで
postfix, dovecot, Let's encryptなどの設定
SPF DNS TXTレコードに記述 https://www.naritai.jp/guidance_spf_example.html
DKIM 設定は簡単 https://www.naritai.jp/guidance_dkim_example.html
DMARC 設定は簡単運用は別 https://www.naritai.jp/guidance_dmarc_example.html
BIMI ロゴ表示 https://www.naritai.jp/technology_bimi.html
ARC MailingList運用なら必須 https://www.naritai.jp/technology_arc.html
最低限設定しておくのは、SPF DKIM です
設定しているだけで、メールの到着率が変わります
・現状のKernel確認
# uname -a
Linux xxxxxx 3.10.0-1160.49.1.el7.x86_64 #1 SMP Tue Nov 30 15:51:32 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
・入れ替えるKernelは二つあります。今回は 5.4系のkernel-ltを選択
kernel-lt (Long Term support) 5.4.x
kernel-ml (MainLine stable) 5.15.x
elrepoで確認できます
https://elrepo.org/linux/kernel/el7/x86_64/RPMS/
下記は例として kernel-lt の場合です
※kernel-mlの場合は ltをmlに入れ替えてください
まずやること elerepo のGPG-KEY と リポジトリ設定をインストール
# rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
# rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-4.el7.elrepo.noarch.rpm
明示的にelrepo-kernel を有効にして kernel-lt をインストールします
# yum --enablerepo=elrepo-kernel install kernel-lt
インストールされたか下記コマンドで確認
# awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg
0 : CentOS Linux (5.4.168-1.el7.elrepo.x86_64) 7 (Core)
1 : CentOS Linux (3.10.0-1160.49.1.el7.x86_64) 7 (Core)
2 : CentOS Linux (3.10.0-1160.45.1.el7.x86_64) 7 (Core)
3 : CentOS Linux (3.10.0-1160.42.2.el7.x86_64) 7 (Core)
4 : CentOS Linux (3.10.0-1160.41.1.el7.x86_64) 7 (Core)
5 : CentOS Linux (3.10.0-1160.36.2.el7.x86_64) 7 (Core)
6 : CentOS Linux 7 Rescue 0a0aae2d5050e6de0380b602ffd4ccf0 (3.10.0-1062.9.1.el7.x86_64)
7 : CentOS Linux (0-rescue-4772533464955a06af3d862951e2acc1) 7 (Core)
5.4.168をデフォルトにするために下記コマンドを実行
# grub2-set-default 0
設定の確認
# grub2-editenv list
saved_entry=0
まだ3.10.x系の設定が残っているので、 kernel-tools-libs kernel-lt-tools-libs をインストール
# yum --enablerepo=elrepo-kernel swap kernel-tools-libs kernel-lt-tools-libs
続いて kernel-lt-tools をインストール(上記3種類とインストールは分けた方がいいそうです)
# yum --enablerepo=elrepo-kernel install kernel-lt-tools
ここまで全部インストールできたら、再起動できちんと動くか確認
# reboot
いつもkernel updateの後に再起動は緊張の瞬間
ログインして uname -a で Kernel を確認
# uname -a
Linux xxxx 5.4.168-1.el7.elrepo.x86_64 #1 SMP Tue Dec 21 12:52:10 EST 2021 x86_64 x86_64 x86_64 GNU/Linux
最後に elrepo.repo elrepo-kernel を常に有効に変更
# vi /etc/yum.repos.d/elrepo.repo
[elrepo-kernel]
enabled=1
0から1に変更して保存
※Kernelの自動バージョンアップしたくない場合は yum.conf に「exclude=kernel*」を追加しましょう
# vi /etc/yum.conf
exclude=kernel*
3.0から5.4では同じ負荷がかかっても若干Load averageが下がりました
参考:【初心者向け】カーネルアップデートの方法【CentOS7】
https://hackers-high.com/linux/update-centos-kernel/
参考:CentOS 7でkernel 5.0 が出たので上げてみた。
https://higherhope.net/?p=3712
参考:CentOS7のカーネルを3系から5系に上げる
https://heavymoon.hateblo.jp/entry/2020/04/24/000000
Osakaリージョン(ap-osaka-1)でOCI ARMのマイクラサーバ(Oracle Linux 7.9)に3CPUと18GBを使い数か月
OCIのARMインスタンスがかなり使えると判明したため
1CPUと6GB残っていたのでVPS代わりに使い始めました
1つのVMまたは最大4つのVMとして使用可能な4つのArmベースのAmpere A1コアと24 GBのメモリ。
・Oracle Linux 7.9(aarch64)
CentOS 7.9(x86_64)から移行
・Kernel (uname -aの結果)
3.10.0-1160.49.1.el7.x86_64
5.4.17-2136.301.1.4.el7uek.aarch64
3.10から5.4.17に(いわゆる長期安定版 kernel-lt )
・nginx 1.20.2 aarch64 http://nginx.org/packages/centos/7/aarch64/
aarch64版のnginx stable(安定版)が入るように設定
# vi /etc/yum.repos.d/nginx.repo
[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true
# yum install nginx
# nginx -V
nginx version: nginx/1.20.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
※OpenSSL 1.1.1系でないが、公式なのでリリースが圧倒的に速い(TLS 1.3は利用不可)
nginx -t で確認したときに ssl_early_data は使えないといわれたのでコメント
# nginx: [warn] "ssl_early_data" is not supported on this platform, ignored
# ssl_early_data on;
nginxはほぼこの通りの設定
https://kuni92.net/2021/08/centos6-openssl-nginx-tls-13.html
・mariadb 5.5.68 aarch64
Oracle Linux では mysql-community-server 8.0.27に置き換えようとする
Mariadb 5.5.68(x86_64)を使っていてそのままMariadbを使いたい!
Package mariadb-server is obsoleted by mysql-community-server, trying to install mysql-community-server-8.0.27-1.el7.aarch64 instead
# vi /etc/yum.conf
obsoletes=1 → 0に変更
何が入っているか確認
# yum list installed | grep mysql
mysql関連削除
# yum remove mysql-community-*
mariadb関連インストール postfixはmysql消したときに一緒に消えた為
# yum install mariadb mariadb-server mariadb-libs postfix
わかっちゃえば簡単
OBSOLETEってこれか?と思った
https://project-obsolete.com/
・各種モジュールインストール ImageMagick GD
# yum install ImageMagick ImageMagick-perl
# yum install GD perl-GD
・旧サーバからファイル転送
転送用の鍵を作成
# ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (/root/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
# cat /root/.ssh/id_ed25519.pub
この内容をOCI側の opcユーザに追加
$ vi ~/.ssh/authorized_keys
コピペ
ファイル転送(192.168.90.1は該当IPに変更)
# scp -i ~/.ssh/id_ed25519 /home/xxx.tgz opc@192.168.90.1:/home/opc
・ポート開放 firewall-cmd
# firewall-cmd --permanent --add-service=http
# firewall-cmd --permanent --add-service=https
# firewall-cmd --reload
80と443はデフォルトで空いてるのでOCIにログインして設定する必要は無いです
sshはどこからでも接続できるので removeして、自分のIPだけ入れる方がログが汚れません(/var/log/secure)
# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.11" port protocol="tcp" port="22" accept"
# firewall-cmd --permanent --remove-service=ssh
# firewall-cmd --reload
お好みで
・hostsの書き換えで動作確認
問題なければDNS変更で完了
参考:
Oracle Cloud Infrastructure(OCI)でAlways FreeのARMを使ってマインクラフト・サーバーを立ち上げてみた
https://qiita.com/sjchorcl/items/20f6741cc2090a1824c2
マイクラ 1.18を動かすなら java 17が必須になるので
sdk list java でよくみてから
sdk install java 21.3.0.r17-grl install graal vm java 17 compat version
user opcやrootでやるとよいです(user毎にjava16を動かすとか設定可能)
※性能比較のために UnixBech 5.1.3 回してみました
3.10.0-1160.49.1.el7.x86_64 621.2 cpu:Xeon E312xx mem:1GB
5.4.17-2136.301.1.4.el7uek.aarch64 1633.9 1cpu mem:6GB
x86_64のCPU2.5個分のスコア出ているし、メモリも6倍搭載
最大4CPU 24GBで1/4ずつ使っても良いし、wordpressのフロントとDBサーバとして2CPU 12GBずつという使い方もあり