[カテゴリ一覧へ戻る]


問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをおすすめ致します。
本ページでは、お客様ご自身でBIND 9 をアップデートする方法をご案内いたします。

■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
( Flex Mini2 / Flex Mini Cube / Flex Web/KUSANAGI with Cube/ 専用サーバ(一部) / 専用サーバ Flex シリーズ(一部) / LG / NR)

脆弱性(CVE-2020-8617)の影響を受けるバージョン
BIND 9.16系 9.16.0 から 9.16.2 まで
BIND 9.14系 9.14.0 から 9.14.11 まで
BIND 9.11系 9.11.0 から 9.11.18 まで
既にサポートが終了しているBIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系

対象CVE番号
CVE-2020-8617

  • セキュリティパッチ適用対象OS
    ・Red Hat Enterprise Linux 6
    ・CentOS 6

    ・Red Hat Enterprise Linux 7
    ・CentOS 7

    ※本日現在(2020年6月5日)、弊社ではRHEL8/CentOS8のサービス提供はございませんので、本脆弱性の記載外とさせていただいております。RHEL8/CentOS8も脆弱性の対象となります。
    ※RHEL5は有償サポート延長プログラム(ELS)をご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
    ※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
    ※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換えをご検討ください。

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。

dig @(サーバのグローバルIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法
cat /etc/redhat-release

(4). インストールされているパッケージの確認
rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). BINDのアップデートの実施
以下のコマンドを実行し、アップデートを行います
———————————————————–
Red Hat Enterprise Linux 6および、CentOS 6の場合
yum update bind*
———————————————————–
Red Hat Enterprise Linux 7および、CentOS 7の場合
yum update bind*
———————————————————–

(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。
Red Hat Enterprise Linux 6および、CentOS 6
/etc/rc.d/init.d/named stop
/etc/rc.d/init.d/named start
————————————————————
Red Hat Enterprise Linux 7および、CentOS 7
systemctl stop named
systemctl start named
————————————————————
(7). アップデート後のBINDパッケージのバージョン確認
rpm -qa bind

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
bind-9.8.2-0.68.rc1.el6_10.7.x86_64

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
bind-9.11.4-16.P2.el7_8.6.x86_64

(8). 作業後確認
(2). 事前確認」と同様の内容で応答があることを確認してください。
dig @(サーバのグローバルIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。




/wp-content/uploads ディレクトリ直下に .htaccess ファイルを作成し、以下の記述をおこない動作のご確認をいただくことで WordPress に対して、ある一定レベルのセキュリティを保つことができます。
基本的には、WordPress 本体やプラグイン、テーマ等を最新版へ更新し、ご運用をいただくことを推奨致します。

□.htaccess ファイルの記載内容
Options -Indexes

deny from all


Allow from 127.0.0.1 "サーバのグローバルIPアドレスを記載ください"
deny from all

・/wp-content/uploads ディレクトリ直下の中身を見せない設定(Options -Indexes)
・.htaccess ファイルや、.htpasswdファイルに対してすべてアクセス制限
・拡張子 (.php .exe .sh .bat .cmd .psd .log .csh) に対して許可されたIPアドレス以外からのアクセス制限
※/wp-content/uploads ディレクトリにつきましては、通常写真(.jpg)や、動画(.mp4)等がアップロードされるディレクトリとなります。
第三者が設定した不正なプログラムやバックドアの場合は、/wp-content/uploads ディレクトリ配下に設置され、実行されるケースがございます。
そのため、不正に設置された場合でも、拡張子(.php .exe .sh .bat .cmd .psd .log .csh)の場合に限りアクセス制限されるため、結果として実行できない設定となります。

なお、WordPress のセキュリティに不安がある方は、Plesk コントロールパネルの WordPress の管理機能( WordPress toolkit )のご導入をおすすめ致しております。
詳細につきましては、以下のブログをご参照をいただきますようお願いいたします。WordPress toolkit をご利用には、Pleskを搭載したサーバへのご移行が必要となります。

<Pleskで WordPress のセキュリティチェックと対策をしてみた>
▼https://www.sthark.com/blog/6107/

Pleskコントロールパネルを搭載したサービスと致しましては、以下のサービスがございます。
ぜひ、弊社のサーバをご検討をいただきますようお願いいたします。

<Flex Web シリーズ>
▼https://www.sthark.com/flex-web-series/
WAF(※Secureプラン・Proプランのみ)を搭載したサービスとなります。
WAFは、WebサイトやWebアプリケーションへの一般的な攻撃を検知および防止するWebアプリケーションファイアウォールです。

<Flex Mini Cube シリーズ>
▼https://www.sthark.com/flex-mini-cube/

Plesk Onyx からのWordpress のインストール方法をご案内させていただきます。

作成済みのWebサイトがございます場合は、上書きされる場合がございます。
そのため、Wordpress のインストール前にお客様側でコンテンツのバックアップをいただくことを推奨いたします。

1.Pleskにログイン
2.画面左の[ドメイン]を選択
3.インストール対象のドメインを選択
4.その後、以下の[インストール]ボタンを選択

5.Wordpress のインストールが始まりますと、Pleskの画面の右下にインストール中の表示がおこなわれます。
インストール完了までそのまま、お待ちください。

6.Wordpress のインストールが完了致しますと以下の画面となります。

WordPress のインストールは、以上となります。
Plesk Onyx から作成したWordpressの管理画面にログインをいただくには、以下のURLをご参照ください。
▼Plesk Onyx : Plesk からインストールをしたWordPress の管理画面にログインする方法について

Gmailをメールクライアント(Gmailで他のメールサーバー経由でのメール送信設定)として
ご利用されている場合に、以下のエラーが発生しメールが送信できない事象がございます。

応答:
TLS Negotiation failed, the certificate doesn’t match the host.

その他のメールクライアントソフトでは問題発生の報告はいただいておりません。
原因は、Gmailのセキュリティ強化のため(証明書検証の要件がデフォルトで有効になった)と考えております。

デフォルトの TLS およびその他の新機能を使って Gmail のメール セキュリティを強化する
https://gsuiteupdates-ja.googleblog.com/2020/04/tls-gmail.html
※弊社管理サイトではございません。

そのため、Gmailをメールクライアントとしてメール送信される場合には、Gmail側の「SMTPサーバー名」と、ご利用のメールサーバ用のSSL証明書の「コモンネーム」を文字列を完全一致させる必要がございます。

本現象は、メールサーバ用のSSL証明書を別途ご購入いただき、適切に証明書を反映することで問題解消できると考えております。
また、取り急ぎ問題を回避するためには、その他メールクライアントソフトをご利用ください。

SSLサーバ証明書
https://www.sthark.com/ssl-server-certificate/

※仕様のため、1メールサーバにつき1つのSSL証明書しか反映させることができません。
(※メール用のSNIを除く)
・現在コントロールパネルにPlesk Onyxをご利用されている方に限り、Plesk OnyxからPlesk Obsidianへアップデートをいただくことで、Pleskの機能上ではメール用のSNIをご利用をいただくことができます。(※受信メールサーバが、Dovecotを利用している場合に限ります。Courier-IMAPではご利用できません。)
詳細につきましては、以下のURLを確認いただき、ご検討をいただきますようお願い致します。

<【※重要※必ずご確認ください】Plesk Onyx 自動アップデートのお知らせ>
https://spt.clara.jp/2020/01/6076/

※TLSのバージョンの問題等もございますため、CentOS6以上のみ有効な方法となります。
 CentOS5以下はTLS1.2以上がご利用できません。

CentOS5以下をご利用のお客様は、OSサポートが終了していることもあり、以下の後継サービス等へのご移行を推奨させていただいております。

Flex Mini Cubeシリーズ
https://www.sthark.com/flex-mini-cube/

※CentOS7を搭載しており、OSのサポート期限が2024年6月30日までとなっており、セキュアで安定してご利用をいただくことができます。
※コントロールパネルにPleskおよび、Webminをご選択いただくことができます。
コントロールパネルにPleskをご選択された場合に、関連するFAQと致しましては以下のFAQとなります。

<Plesk Onyx : メールサーバに対してLet’s Encryptで作成したSSL証明書を有効化したい>
https://spt.clara.jp/ufaqs/id-6637/

LGプラン
https://cloud.clara.jp/plan/

※CentOS7の場合につきましては、OSのサポート期限が2024年6月30日までとなっており、セキュアで安定してご利用をいただくことができます。

サーバのご移行が難しい場合につきましては、通常のメールソフトをご利用をいただき、メール送受信をおこなっていただきますようお願いいたします。

<サーバご利用マニュアル – メールのご利用方法>
https://spt.clara.jp/manual/mail/

設定条件:DNSサーバが、Plesk Onyxサーバを参照している場合には、メールの送受信両方ともDKIM署名の検証をおこなうことはできます。

ただ、外部のDNSサーバ(Plesk Onyxサーバ以外のDNSを利用している場合)を利用している場合には、DKIM署名は送信メールのみ機能します。メールの受信時にDKIMの検証をおこなうことはできません。
回避策としては、PleskのDNSサーバをオフにし、外部のDNSサービスにDKIM関連のDNSレコードを追加いただいた後にはじめてメール受信時に検証がおこなえるようになります。

外部のDNSサーバを使用するドメインに対してDKIMメール署名を有効にする方法は以下となります。

<How to get the DKIM public key from Plesk if DNS is not installed? >
https://support.plesk.com/hc/en-us/articles/115000214973

※弊社管理サイトではございません。
※弊社ではコマンドラインでのサポートをおこなわせていただくことはできませんのでお客様の責にてご実施いただきますようお願いいたします。

Plesk Onyxで、メール送信時のDKIM署名設定をおこなうためには、以下の操作手順となります。

1.Pleskにログイン
2.画面左の[ドメイン]を選択
3.設定対象ドメイン名のリンクを選択
DIKM

4.設定対象ドメインの[メール設定]のアイコンを選択
DKIM

5.
次の画面の[送信メールメッセージに電子署名するために DKIMスパム検知システムを使用]のチェックボックスを選択し、[OK]ボタンを選択

KDDI

6.
その後、DNSの浸透後にメールの送信テストを実施いただき、メールヘッダ上に dkim=pass という表記が追加されたことをご確認ください。

Plesk Onyx から以下の設定変更をいただくことで、Plesk のパッケージの更新(MU)がおこなわれないように設定変更をいただくことができます。

※本手順を実施することにより、Plesk本体等の修正パッチ等の適応がおこなわれなくなり、セキュリティのリスクや、Plesk本体の問題の解消がおこなわれなくなりますので、あらかじめご了承ください。

1.Pleskにログイン
2.画面左の「ツールと設定」を選択
3.「アップデートとアップグレードの設定」を選択

4.[Plesk アップデートを自動インストールする(推奨)]のチェックを外し、「OK」ボタンを選択します。

以上、となります。

※お知らせ


2020年6月17日現在、Pleskのアップデート(Plesk17.8.11 からPlesk Obsidian)へアップデートをおこなうと各パッケージの更新が失敗し、メールの送受信等に影響を及ぼす事象が発生するケースが発生しております。

その後Plesk社へ確認をおこなわせていただいたところglib2のパッケージが(glib2-2.54.2-2.el7)未満のバージョンだとPlesk本体の更新に必ず失敗します。
そのため、アップデート作業前に必ずglib2のパッケージの更新作業をおこなっていただいてから、Pleskのアップデートをお試しいただきますようお願い致します。


<Plesk Onyxでglib2のパッケージのみアップデートをおこないたい>
https://spt.clara.jp/ufaqs/id-8225/

もし、ご実施され問題が発生しPleskが破損した場合は、サーバ全体の停止したうえで、弊社側でレストア作業(※弊社営業時間内: 平日10:00-18:00)となります。

PleskOnyx にログインいただき、以下の操作をおこなっていただくことで、お客様側でもPleskOnyx (17.0.17からPlesk Obsidianへ)手動でアップデートをおこなうことができます。
なお、自動アップデート中には、Webサーバおよび、メールサーバ等につきましては複数回の再起動が発生致しますのであらかじめご了承ください。

0.事前準備:ディスク容量および、ファイル作成上限値(inode)が、80%以下であることを確認します。

Flex Mini Cube / Flex Webシリーズをご利用のお客様の場合は、以下のURLをご確認いただき、専用のコントロールパネル(パワーパネル)にログインいただき操作いただくことで、現在のリソース(ディスク容量等)を確認いただくことができます。もし、80%以上の使用率だった場合は、データを整理いただきますようお願いいたします。

ディスク容量が逼迫致しますとPleskが破損し、正常に動作しなくなります。
また、何らかの要因により、Pleskが破損した場合は、サーバ全体の停止したうえで、弊社側でレストア作業(※弊社営業時間内: 平日10:00-18:00)となります。

パワーパネル-ログイン方法
リソース利用状態の確認
【重要】glib2パッケージバージョンの確認
      以下のFAQの手順をPleskのアップデート前に必ず実施してください。もしアップデートしない場合は、メールの送受信ができない等のトラブルが発生します。

<Plesk Onyxでglib2のパッケージのみアップデートをおこないたい>
https://spt.clara.jp/ufaqs/id-8225/

1.上記の事前確認後に、Pleskにログイン

※Pleskの管理者パスワードがご不明な場合は、以下のFAQをご参照ください。
パスワードがわからなくなってしまった

2.画面左の[ツールと設定]を選択し、やや右下の[アップデートとアップグレード]を選択

3.[製品のインストールまたはアップグレード]のアイコンを選択

4. 選択いたしますと、以下のような「ダウンロード中」や、「Pleskインストーラが更新されました」の画面が表示されますので、画面を閉じず、そのままお待ちください。

5.[Plesk18.0.21 ] が選択されていることを確認し、「続ける」を選択

6.以下のようにインストールが開始されますので、しばらくお待ちください。

8. 正常に完了致しますと以下の画面表示となります。その後、「OK」ボタンを選択

9.問題ない場合は、ブラウザの×ボタンを選択し、ブラウザを終了します。

10.Pleskに再度ログインすると以下のライセンス同意の画面が表示されますので、「同意する」を選択

11. その後、問題なくPleskに接続できるかどうかをご確認をいただきますようお願いいたします

以上となります。

特定のドメインのみWAFを無効化する手順については以下の操作となります。
ただ、WAFを無効化いただくことでWebサイトのセキュリティは下がります。そのため、そのリスクを踏まえたうえでご操作をいただきますようお願い致します。
もし、不正にWebサイトが改ざんされた場合で、弊社の調査をご希望の場合は、以下のサービスのお申込みが必要でございます。

不正侵入レスキューサービス 申込フォーム
※不正侵入レスキューサービス| 50,000円 (営業時間内作業:原因調査のみ)以上の費用が発生致しますのであらかじめご了承ください。


1.Pleskにログイン
2.画面左の[ドメイン]を選択し、無効化したい対象ドメインのリンク選択

3.[ウェブアプリケーションファイアウォール]のアイコンを選択

4.[ウェブアプリケーションファイアウォールのモード]を[オフ]を選択し、[OK]ボタンを選択

以上となります。

Tags: Plesk, WAF

導入されているWAFのルールが誤動作した場合には、以下の操作をおこなっていただくことで特定のWAFルールのみをWebサーバ全体で除外することができます。

1.Pleskにログイン後、[ツールと設定]を選択
2.[ウェブアプリケーションファイアウォール(Mod Security)]を選択


3.[ModSecurity ログファイル]のリンクを選択

4.誤判定された時間帯をログから特定し、IDを調べ、メモに控えます。

5.IDを以下の[セキュリティルール ID ]枠に入力し、[OK]ボタンを選択

以上、となります。

Plesk Obsidian から以下の操作をおこなっていただくことで、WAF(Mod Security)をインストールし、全ドメイン有効化することができます。
※本作業中につきましては、ブラウザは絶対にブラウザを終了しないでください。不整合が起きる可能性がございます。

1.Pleskにログイン
2.Pleskにログイン後、[ツールと設定]を選択
3.[アップデート]を選択

4.別のタブが表示され、以下の[コンポートを追加/削除]のボタンを選択。

5.次の画面の[Web hosting]の+を選択し、Mod Security の[インストール]を選択し、[OK]ボタンを選択

6.インストール完了後、[OK]ボタンを選択

7.WAFのインストール後、以下の操作をいただくことで全ドメインWAFを有効化することができます。
8.[ツールと設定]を選択し、[ウェブアプリケーションファイアウォール(Mod Security)]を選択

9.次の画面から、[ウェブアプリケーションファイアウォールのモード]を[オン]を選択し、[Atomic Standard]を選択し、[OK]ボタンを選択
Atomic ModSecurity ルールセットの内容につきましては、Pleskのマニュアル(Atomic ModSecurity ルールセット)をご参照ください。

有効化の操作方法は、以上となります。


WAFを有効化されていて、特定ルールのみWebサーバ全体で除外する方法につきましては、以下のFAQをご参照ください。
Plesk Obsidian : 特定の条件だけWAFのルールから除外したい

本手順をおこなった場合は、全ドメインWAFが有効化された状態となります。
特定のドメインのみWAFの動作を無効化したい場合は、以下の操作を追加にておこなっていただきますようお願いいたします。
Plesk Obsidian : 特定のドメインのみ、WAFを無効化する手順について

PHP 5.1.0 以降、タイムゾーンを 正しく設定せずに日付/時刻関数がアクセスされる場合に、Web サーバのエラーログに出力されます。
Webサーバのエラーログが肥大化する要因になるため、サーバ側で設定をいただくことを推奨致します。
詳細な内容につきましては、▼PHPマニュアルをご参照ください。

ログの出力例)
[Thu Dec 05 14:26:04.578636 2019] [fcgid:warn] [pid 18059] [client XX.XX.XX.XX:54706] mod_fcgid: stderr: PHP Fatal error: Uncaught exception ‘Exception’ with message ‘DateTime::__construct(): It is not safe to rely on the system’s timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone ‘UTC’ for now, but please set date.timezone to select your timezone.’ in /var/www/vhosts/exsampleA.com/httpdocs/date.php:3

そのため、サーバ側でPHPのタイムゾーンの設定をおこなうためには、以下の操作手順となります。


Plesk Onyxで各ドメイン毎にタイムゾーン設定をおこなう場合の操作手順

1.Plesk にログイン
設定対象のドメインの[PHP設定]を選択
※[PHP設定]のアイコンが表示されない場合は、[展開する]を選択してください。

2.画面一番下の[追加構成ディレクティブ]の右側の枠内に、以下の内容を追記

date.timezone = Asia/Tokyo

3.最後に、[OK]ボタンを選択

以上となります。

一度に送信されるメールの通数を100通以下にしていただき、メールの送信いただく方法をおすすめしております。そのため、100通を超えるメーリングリスト等での配信もおすすめしておりません。

理由と致しましては、各携帯会社やGmail 等ではメールの同時送信に対して規制をかけております。現時点(※2020年3月19日)での情報となります。詳細につきましては、以下の各携帯会社やGmail等のURLをご参照ください。
なお、メールの大量配信をおこなった結果、メールの配送遅延やDNSBL等のブラックリストに登録される場合などがございますので、お客様の責にてご判断をいただきますようお願いいたします。

■docomo
https://www.nttdocomo.co.jp/service/imode_mail/notice/mass_send/

■au
https://www.au.com/mobile/service/attention/specification/

■SoftBank
https://www.softbank.jp/mobile/support/mail/antispam/howto/wrestle/

■Gmail
https://support.google.com/mail/answer/81126

Let’s Encryptがインストールされた後に、Let’s Encryptで発行したSSL証明書をメールサーバに対して適応することでメールサーバを指定のコモンネームにてご利用をいただくことができます。
Plesk Onyxでは、1つのコモンネームまで設定可能となります。

複数のコモンネーム利用(メール用のSNI)をご希望の場合は、Plesk Obsidianにアップデートおよび、受信メールサーバ(Courier-IMAPから、Dovecotへ)切り替えをおこなっていただくことでご利用可能となります。詳細につきましては、以下のお知らせをご参照いただきますようお願い致します。

【※重要※必ずご確認ください】Plesk Onyx 自動アップデートのお知らせ

もし、Plesk Onyxで Let’s Encrypt がインストールされていない場合は、以下のFAQをご参考にいただきインストールをお試しいただきますようお願い致します。


https://spt.clara.jp/ufaqs/id-524/

1.Pleskにログイン
2.画面左の「ツールと設定」を選択
3.[SSL/TLS証明書]を選択

[Let’s Encrypt] のボタンを選択

次の画面の[ドメイン名]にメールサーバのFQDN名(例:mail.ドメイン名)を入力します。

※メールソフトに設定されております送信サーバ名、受信メールサーバ名の文字列と、ここで設定される文字列が完全一致させる必要があります。
もし、文字列が完全一致していない場合は、メールソフト側でSSL証明書を使った通信方法(SMTPS,POPS,IMAPS) 接続時に証明書エラーが表示されます。

また、メールアドレスもご入力し、[インストール]ボタンを選択

[メールのセキュリティ強化用]の[変更]ボタンを選択

次の画面の[証明書を選択]のプルダウンから、[ Let’s Encrypt certficate(サーバプール)を選択し、OKボタンを選択

・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・更新するパッケージによっては、サービスの再起動が発生致します。
・更新するパッケージによっては、実際の反映までサーバの再起動が必要なケースもございます。内容につきましては、お客様ご自身でお調べいただきますようお願い致します。

1.Plesk Onyxにログインします。
2.ログイン後に。以下の画面表示の[詳細を表示]のリンクを選択。

3.次の画面の右上の枠に、更新対象のパッケージ名を入力。
 
例) ※ネームサーバ(bind)を更新されたい場合は、以下の例になります。

更新対象のパッケージが存在していた場合は、上記画面のように一覧に表示されます。

4.更新対象のパッケージ名の左側のチェックボックスを選択し、[更新]ボタンを選択

5.その後、以下の確認画面が表示されますので、更新されたい場合は、[OK]ボタンを選択


その後、画面右隅に以下の表示となりますのでしばらくお待ちください。

以下の画面表示になりましら、正常に更新できたという表示となります。



6.更新した対象パッケージの動作確認をお願い致します。
   例)ネームサーバ(bind)の場合ですと、名前解決が正常におこなえているかどうかの確認をお願い致します。

お客様による Ghostscript 関連のパッケージのアップデート方法

2020年2月6日(木)

■問題の概要

平素は弊社サービスをご利用いただきましてありがとうございます。
弊社提供のサーバのOSに、RHEL7および、CentOS7を搭載しているサーバ 、Flex Mini CubeシリーズFlex Webシリーズ(CentOS7のみ)KUSANAGI with Cubeシリーズで遠隔の第三者によって細工されたファイルを Ghostscript が処理することで、Ghostscript の権限で任意のコマンドを実行される可能性があると公表がありました。
詳細につきましては、以下のリンクをご参照ください。
※なお、サーバOSにRHEL5,CentOS5,RHEL6,CentOS6を搭載したサーバ、Flex Mini シリーズおよび、Flex Mini 2シリーズは,本脆弱性の対象外となります。

Ghostscript におけるアクセス制限回避の脆弱性
RedHat社のページ(CVE-2019-14869)

■脆弱性を受ける可能性が高いOSバージョンおよび、サービス名
弊社提供のサーバのOSにRHEL7および、CentOS7を搭載しているサーバ 、Flex Mini Cubeシリーズ、Flex Webシリーズ(CentOS7のみ)KUSANAGI with Cubeシリーズのみが対象となります。

■脆弱性の影響を受けるバージョン

  • Ghostscript 9.27 およびそれ以前

なお、今回の脆弱性におきましては、 Ghostscript 関連のパッケージのアップデートをお勧めいたします。
本ページでは、お客様ご自身にて Ghostscript 関連のパッケージのアップデートをおこなう方法をご案内いたします。
※2020年2月6日現在の情報となります。

アップデートに関する注意事項

・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。

Ghostscript 関連のパッケージのアップデート方法

(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。

(2). インストールされているパッケージの確認

#rpm -qa | grep ghostscript

特に何も表示されない場合には、 Ghostscript のパッケージが入っておりません。脆弱性影響の対象外となります。
脆弱性の対象バージョンは以下のようなコマンドの出力結果となります。

例)rpm -qa | grep ghostscript
ghostscript-devel-9.07-31.el7_6.11.x86_64
ghostscript-9.07-31.el7_6.11.x86_64 ←作業をおこなう必要がある対象バージョン
ghostscript-fonts-5.50-32.el7.noarch

(3). Ghostscript 関連のパッケージアップデートの実施
以下のコマンドを実行し、 Ghostscript 関連のパッケージのアップデートを行います。

#yum update ghostscript


(4). アップデート後のパッケージバージョンの確認

# rpm -qa | grep ghostscript


上記コマンドを再度実行し、セキュリティパッチが適用されているパッケージのバーション(以下の青文字を参照)かどうかを確認します。

セキュリティパッチが適用されているGhostscriptのパッケージのバーション
RHEL7,CentOS7   ghostscript-9.25-2.el7_7.3.x86_64

(5). 運用中のWebサイトの動作確認

以上、となります。

なお、コントロールパネルにPlesk Onyxをご利用されている場合には、Plesk上からも特定パッケージのみ選択して更新をおこなうことができます。
詳細な手法については、以下のFAQをご確認をいただきますようお願い致します。

Plesk Onyxで特定のパッケージのみアップデートをおこないたい

なお、お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。

□メールのご依頼フォーマット
メールの件名: Ghostscript のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無 (必要 or 不要)
※「必要」,「不要」のいずれかのご記載をいただきますようお願い致します。

本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。

1.Plesk Onyx にログイン(adminユーザにてログイン)
2.画面左の「ツールと設定」を選択
3.[管理アクセスの制限]を選択

Plesk Obsidian

4.「設定」ボタンを選択

Plesk Obsidian

5.「リストに含まれないネットワークからのアクセスを拒否する 」にチェックを選択し、[OK]ボタンを選択

Plesk Obsidian


6. その後、[ネットワークを追加]ボタンを選択

Plesk Obsidian

7.[サブネットまたは IP アドレス *]欄に、許可をされたいIPアドレスを入力し、
[OK]ボタンを選択

Plesk Obsidian

8.IPアドレスの登録が正常に完了すると以下のような画面表示となります。

Plesk Obsidian

また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。

110.50.254.20/32
110.50.240.123/32
202.3.141.6/32

なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。

本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。

1.Plesk にログイン(adminユーザにてログイン)
2.画面上の[サーバ]タブを選択
3.[管理アクセス制限]を選択

Plesk12

4.[リストにないネットワークからの接続を拒否する]の左側にチェックを選択し、[設定]ボタンを選択

Plesk12

5. その後、[新しいネットワークの追加]ボタンを選択

6.[サブネットまたは IP アドレス *]欄に、許可をしたいIPアドレスを入力し、[OK]ボタンを選択

Plesk12

また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。

110.50.254.20/32
110.50.240.123/32
202.3.141.6/32

なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。

本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。

1.Plesk にログイン(adminユーザにてログイン)
2.画面左の「ツールと設定」を選択
3.[管理アクセスの制限]を選択

4.「リストに含まれないネットワークからのアクセスを拒否する 」側にチェックを入れ、右下の「設定」ボタンを選択

5. その後、[新しいネットワークの追加]ボタンを選択

7.[サブネットまたは IP アドレス *]欄に、許可をしたいIPアドレスを入力し、[OK]ボタンを選択

Plesk

また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。

110.50.254.20/32
110.50.240.123/32
202.3.141.6/32

なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。

本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。

1.Plesk Onyx にログイン(adminユーザにてログイン)
2.画面左の「ツールと設定」を選択
3.[管理アクセスの制限]を選択

Plesk Onyx

4.「設定」ボタンを選択

5.「リストに含まれないネットワークからのアクセスを拒否する 」にチェックを選択し、[OK]ボタンを選択

6. その後、[ネットワークを追加]ボタンを選択

7.[サブネットまたは IP アドレス *]欄に、許可をされたいIPアドレスを入力し、
[OK]ボタンを選択

また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。

110.50.254.20/32
110.50.240.123/32
202.3.141.6/32

なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。

回答

可能でございます。
Webサーバ用のサーバが1台、メールサーバ用のサーバを1台、それぞれ別々にご利用をいただくことも可能でございます。
既に1台でWebサーバおよび、メールサーバ用途で運用している場合は、以下の手順をおこなっていただくことで2台で利用をいただくことが可能でございます。


本手順につきましては、現在利用中のネームサーバを変えない前提の手順となります。

・新規サーバをWebサーバ用として利用したい場合は、Webのデータ、データベースの移行が必要となります。
・新規サーバをメールサーバ用として利用したい場合は、メールアドレスの移行が必要となります。

上記どちらのパターンでも移行後には、DNSのレコードの変更作業が必要となります。DNSのレコードの変更をおこなって初めて、新サーバへ接続されます。
新規追加サーバにつきましては、以下のサイトよりお申込みをいただきますようお願い致します。

Flex Mini Cubeサービス
▼KUSANAGI with Cubeサービス
▼Flex Web サービス

お客様側でのデータのご移行が難しい場合( 弊社サーバに対してご移行)には、弊社で移行を支援させていただくサービス(有償)もございますのであわせてご検討をいただきますようお願い致します。

▼移行代行サービス


手順0. DNSレコード切り替え前の24時間前までに、TTL値を事前に短くします。
TTL値の変更方法については、以下のFAQをご参照ください。
DNSレコードの切り替えまでに、新サーバ上でのWebコンテンツの動作確認や、メールの動作確認を必ずおこなっていただきますようお願いいたします。

▼Plesk Onyx:TTL値を変更したい
▼Plesk12:TTL値を変更したい
▼Plesk11:TTL値を変更したい
▼Plesk9:TTL値の変更方法

手順1. 上記手順0.の変更してから24時間経過した後に、PleskからDNSレコードの変更をおこなってください。
新サーバを利用する機能により、変更するレコード内容が変わりますので、以下の内容をご確認をいただきますようお願い致します。


■プライマリDNSがPleskを利用している場合、かつ、新サーバをWebサーバとして利用したい場合

◇変更が必要なレコード一覧
・”ドメイン名”               Aレコード       “新規サーバのIPアドレス”
・www.”ドメイン名”     Aレコード       “新規サーバのIPアドレス”
・ftp.”ドメイン名”   Aレコード       “新規サーバのIPアドレス”
※その他のレコードは変更不要となります。もし、変更された場合にはWeb等が閲覧できない事象が発生致します。


■プライマリDNSがPleskを利用している場合、かつ、新サーバをメールサーバとして利用したい場合

 ◇変更が必要なレコード一覧
・mail.”ドメイン名”         Aレコード     “新規サーバのIPアドレス”
・lists.”ドメイン名”       Aレコード     “新規サーバのIPアドレス”
・webmail.”ドメイン名”  Aレコード  ”新規サーバのIPアドレス”
※その他のレコードは変更不要となります。もし、変更された場合にはWeb等が閲覧できない事象が発生致します。


また、新サーバをWebサーバとして利用したい場合には、Webサーバ側でメール機能を無効化する必要がございます。
新サーバにPleskを搭載している場合の操作方法につきましては、以下のFAQをご参照ください。

▼特定ドメイン宛て(他のサーバ)にメールが受け取れないが、なぜでしょうか。
なお、新サーバをメールサーバとして利用されたい場合は、メール機能を無効化してはいけません。

回答
メールフォームからのメールがスパム判定される理由の一つの一つとして、PHPで書かれたメールフォームから送信されたメールのヘッダ情報に以下の内容が出力されている場合がございます。

■メールヘッダ出力(例)
X-PHP-Originating-Script: 10010:mail.php

CentOS6で標準されているPHP 5.3.0 以降では、標準設定でmail.add_x_header = Onとなってます。mail.add_x_header が有効化されている場合は、上記のメールヘッダが付加されます。
そのため、無効化されたい場合は、php.iniファイルを編集いただき、mail.add_x_header = Offへと変更いただくことができます。

Plesk 12 の場合の設定変更方法につきましては、以下のとおりでございます。

1.Pleskにログイン
2.ロギング後、[PHP設定]のアイコンを選択します。

3.画面下の[追加ディレクティブ]の中に、mail.add_x_header = Offを入力し、OKボタンを選択

4.設定後、該当メールのヘッダ情報にX-PHP-Originating-Script 行が出力されなくなったことをご確認ください。

2019年10月1日(火)

■問題の概要

平素は弊社サービスをご利用いただきましてありがとうございます。
弊社提供のFlex Mini Cubeサービス(Webminもしくは、コントロールパネルなし)、Flex Mini 2サービスWebminもしくは、コントロールパネルなし)で標準採用しております受信メールサーバ(Dovecot)の脆弱性(CVE-2019-11500)でサービス運用妨害 (DoS) 攻撃の公表がございました。いずれのサービスのコントロールパネル(Plesk)につきましては、今回の脆弱性の対象外となります。
詳細につきましては、以下のURLをご参照ください。

Dovecot および Pigeonhole における境界外書き込みに関する脆弱性
RedHat社のページ(CVE-2019-11500)

■脆弱性を受ける可能性が高いサービス名
Flex Mini Cubeサービス もしくは、Flex Mini 2サービスを利用している、かつ受信メールサーバにDovecotを動作させているサーバ
Flex Mini サービスも脆弱性の対象となりますが、OSサポート(CentOS5)が終了しているため修正パッチの提供はありません。早急にサーバのご移行をご検討ください。

■脆弱性の影響を受けるバージョン

  • Dovecot 2.2.36.4 未満
  • Dovecot 2.3.7.2 未満の 2.3.x

なお、今回の脆弱性におきましては、 Dovecot関連のパッケージのアップデートをお勧めいたします。
本ページでは、お客様ご自身にてDovecot関連のパッケージのアップデートをおこなう方法をご案内いたします。
※2019年10月1日現在の情報となります。

アップデートに関する注意事項

・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
・本手順のアップデート中につきましては、通常の場合は数秒程度メールの受信が行えなくなりますのであらかじめご了承ください。

Dovecot 関連のパッケージのアップデート方法

(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。

(2). インストールされているパッケージの確認

#rpm -qa | grep dovecot

特に何も表示されない場合には、Dovecotのパッケージが入っておりません。脆弱性影響の対象外となります。
脆弱性の対象バージョンは以下のようなコマンドの出力結果となります。

例)
# rpm -qa | grep “dovecot”
dovecot-2.2.36-3.el7.x86_64  ←作業をおこなう必要がある対象バージョン

(3). Dovecot関連のパッケージアップデートの実施
以下のコマンドを実行し、KUSANAGI関連のパッケージのアップデートを行います。

#yum update dovecot


(4). アップデート後のパッケージバージョンの確認

#rpm -qa | grep dovecot


上記コマンドを再度実行し、セキュリティパッチが適用されているパッケージのバーション(以下の青文字を参照)かどうかを確認します。

■セキュリティパッチが適用されているDovecotのパッケージのバーション

Flex Mini 2サービス (CentOS6)         dovecot-2.0.9-22.el6_10.1.x86_64
Flex Mini Cubeサービス(CentOS7)   dovecot-2.2.36-3.el7_7.1.x86_64

(5). アップデート後のDovecotのサービス再起動

CentOS6の場合のDovecotのサービス再起動コマンド

#/etc/init.d/dovecot restart


CentOS7の場合のDovecotのサービス再起動コマンド

#systemctl restart dovecot


(7). メールの送受信の確認

以上、となります。

なお、お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。

□メールのご依頼フォーマット
メールの件名:Dovecot のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無(必要 or 不要)
※「必要」、「不要」のいずれかのご記載をいただきますようお願い致します。

Flex Mini シリーズをご利用をいただいております場合には、パワーパネル(PPP) からサーバの各ファイルの編集や、ファイルのコピー操作をおこなうことが可能な機能がございます。
パワーパネルのご利用方法につきましては、以下のリンクをご確認ください。

▼パワーパネル ご利用マニュアル

□メールサーバ用のSSL証明書の中身を入れ替えする対象ファイルは以下のパスにございます。
(※コントロールパネルPleskの場合)

・送信メールサーバ側の証明書パス
/etc/postfix/postfix_default.pemファイル
・受信メールサーバ側の証明書パス
/usr/share/courier-imap/imapd.pemファイル
/usr/share/courier-imap/pop3d.pemファイル

Plesk Onyxをご利用の場合は、Plesk上からメール用のSSL証明書を入れ替えることができますので以下のFAQをご参照いただき、その手順からご実施ください。

▼Plesk Onyx : メールサーバ用のSSL証明書(自己証明書)を導入したい

Plesk 9から、Plesk12までご利用いただいているお客様につきましては、以下の手順からご実施ください。
弊社では、本手順ご実施いただいた結果や、内容につきましては弊社サポートをおこなわせていただくことができない内容となります。あらかじめご了承をいただきますようお願い致します。

Plesk 9から、Plesk12までご利用いただいているお客様につきましては、以下の手順からご実施ください。
弊社では、本手順ご実施いただいた結果や、内容につきましては弊社サポートをおこなわせていただくことができない内容となります。あらかじめご了承をいただきますようお願い致します。

1.パワーパネルにログイン後に[ファイルマネージャー]を選択し、上記ディレクトリまで移動します。

2.念のため、別名で証明書を同階層にコピーします。コピーの操作手順は以下のリンクをご参照ください。

▼同階層にファイルのコピー(別名称)を取る場合の操作手順

3. 作業対象のSSL証明書ファイルの画面一番右側の[編集]ボタンを選択し、「秘密鍵」、「証明書」、「中間証明書」それぞれ3枚を1つのファイルとしてすべて追記し、[適応]ボタンを選択します。


・一番左のアイコンは、対象ファイルの「パーミッションの変更」アイコンとなります。
・真ん中のアイコンは、対象ファイルの「ダウンロード」アイコンとなります。
・一番右側のアイコンは、対象ファイルの「編集」アイコンとなります。

※3つのファイルを追加する際には、不正な文字列等は含めないでください。SSL証明書エラーとなり、メールの送受信ができなくなります。

4.上記3.の手順を受信メールサーバ側の証明書ファイル(/usr/share/courier-imap/imapd.pem,/usr/share/courier-imap/pop3d.pem)に対しても、同様に中身を書き換えします。

5.最後に、SSL証明書の内容を反映させるため、パワーパネル上からサーバ全体の”再起動“ボタンを選択します。

※再起動中につきましては、メールや、Webサーバは利用できません。

もし、サーバが正常に起動してこない場合は、▼障害連絡フォームよりご連絡をいただきますようお願い致します。

1.メールのパスワード変更

メールアドレスのパスワードを変更する場合には、以下の手順に沿って作業を行ってください。

1-a.コントロールパネルにログインします

正しいアカウントとパスワードを入力してPlesk コントロールパネルへログインして下さい。

コントロールパネルのURLがわからない場合には、以下のURLをご入力ください。

■Plesk コントロールパネルの URL にアクセス
[Plesk 管理用URL]
https://”ご契約サーバIPアドレス”:8443

※Pleskの管理者パスワードがご不明な場合は、以下のFAQをご参照ください。

<パスワードが分からなくなりました。教えてもらえますか?>
https://spt.clara.jp/ufaqs/id-297/

すると、各ドメインの管理ページ表示されますので、「サービス」欄から「メール」を選び、クリックします。

1-b.メールアドレスが表示されます

現在登録されているメールアドレスが表示されますので、パスワードを変更したいメールアドレスをクリックします

1-c.メールアドレスの管理画面が表示されます

このメールアドレスの管理画面が表示されます。
メールのパスワードを変更するには、ツール欄より選択設定をクリックして下さい。

1-d.選択設定ページが表示されます

メールのパスワードを変更するには、[メール名フォーム]欄の新しいパスワードに、新しいパスワードを入力して下さい。
その後、全く同じ文字列をパスワードの確認に入力して下さい。パスワードは英数字で6文字以上を設定する必要があります。
わかりやすい文字列(お客様の会社名、郵便番号、誕生日など)は絶対に使用しないでください。

メールの新しいパスワードを入力したら、OK をクリックしてください。メールアドレスのパスワードが変更されます。
メールのパスワードの変更を中止する場合には、キャンセルまたは上へボタンをクリックしてください。

1-e.メールのパスワードの変更が完了します

パスワードの変更が終了すると、このメールアドレスの管理画面が再び表示されます。

2メールソフト側のパスワードを変更いただく必要がございます。

メールソフト側でパスワードの変更をおこなわない場合は、メールの送受信ができません。必ずメールソフト側のパスワードの再設定が必要となります。

回答

接続方法の違いは以下になります。

この接続方法については、接続元制限解除等の設定をする際必要となります。

▼IPアドレス

例:192.0.2.1

特定のIPアドレスを指定する事でDNS(ドメインネームサーバ)の設定に影響され難く、安定した接続が可能です。但し、インターネット接続プロバイダとのご契約が固定IPアドレスではないお客様に対しては、プロバイダ単位での設定をお勧めいたします。

▼ネットワーク

例:192.0.2.0/24 もしくは 192.0.2.0/255.255.255.0

IPアドレスのみの設定よりも接続元の許可範囲が広い設定でございます。小規模のネットワークを構築しているお客様に適した設定です。ネットワークアドレスがご不明の場合は、ネットワーク管理者様又はお使いのプロバイダにご確認ください。なお、あまり広いネットワークを許可すると、セキュリティの低下を招く恐れがございますのでご注意ください。

▼逆引きホスト名

例:HOST1.EXAMPLE.COM

DNSに登録されているIPアドレスに対応付けされた逆引きホスト名にて許可する設定でございます。特に理由が無い限りあまり利用されません。なお、この設定につきましてはDNSサーバにトラブルが起きた場合には、接続できない恐れがございますのでご注意ください。

▼プロバイダ

例:.EXAMPLE.COM

インターネット接続プロバイダのご契約が固定IPアドレスとしてご利用されていないお客様向け(インターネットへ接続の度にお客様の接続元IPアドレスが変わる場合)の設定でございます。インターネット接続プロバイダの逆引きホストに含まれるドメイン名にて、そのプロバイダからのみ接続を許可する方式です。許可される範囲は上記3項目よりも広くなりますが、固定IPアドレスをご利用でない場合には、この方式で設定いたします。

回答

迷惑メールでSpamAssassin も効果があまりない、自分のドメイン名が詐称されて送られているなど、弊社で解決できないトラブルもございます。
上記のような、解決しにくいトラブルを抱えてしまった場合、以下のようなサイトをご参照いただきまして、対策されることをお奨めいたします。

迷惑メール相談センター (財団法人日本データ通信協会)
http://www.dekyo.or.jp/soudan/
電話相談や違反メールの情報提供を受け付けています。

有害情報対策ポータルサイト-迷惑メール対策編-(財団法人インターネット協会)
http://www.iajapan.org/anti_spam/portal/

迷惑メールを受け取ったら(財団法人日本データ通信協会)
https://www.dekyo.or.jp/soudan/contents/taisaku/3-1.html

回答

SpamAssassin の仕様により、2010年以降に送信したメールに関しまして、SPAM と判定されやすくなる場合がございます。
具体的には、SpamAssassin のスコア値が2~3程度加算される場合がございます。
対策と致しまして、SpamAssassin の設定を変更することにより改善する可能性がございます。
本症状の対策をご希望の場合は、設定変更作業を承りますので、弊社テクニカルサポートまでご連絡ください。

回答

Flex Mini Cube,Flex Web,KUSANAGI with Cube,Flex Mini2,Flex Mini,FPS,VPSシリーズの仮想共用ホスティングのサービスでは、ファイアウォール機器(物理)のご利用が出来ません。専用サーバ サービスおよび、SolaCloudシリーズをご契約のお客様のみご利用することが可能でございます。
Flex Mini Cube / Flex Web / KUSANAGI with Cube / Flex Mini2 / Flex Mini / FPS / VPSシリーズ等の仮想共用ホスティングのサービスの場合は、代替案と致しまして、VZPP、PPP 等の仮想環境コントロールパネルから、ソフトウェアファイアウォールの機能(iptablesもしくは、firewalld)を使用することが可能でございます。
以下のURLからソフトウェアファイアウォールの機能(iptablesもしくは、firewalld)の設定が可能でございますので、ご参照ください。

仮想環境コントロールパネル(VZPP、PPP)にログインします。
(詳細は以下をご参照ください。)


https://spt.clara.jp/manual/server/vzpp/


https://spt.clara.jp/manual/server/ppp/

[VEサービス]-[ファイアウォール]を選択し、設定を行います。

※ソフトウェアファイアウォールの機能(iptablesもしくは、firewalld)の接続ポリシー等のサポートにつきましては、弊社側ではサポートをおこなわせていただくことができませんのでご了承ください。

Flex Mini Cube シリーズのBasic Cubeプランおよび、Plus CubeプランからPlesk Onyxの「Parallels Premium Antivirus」をご利用をいただくことができるプランとなります。

Flex Web Secureプラン、Flex Web ProプランのPlesk Onyxにつきましても同様に、以下の設定をいただくことでご利用できます。
その他のプランにつきましては、ご利用には対象のプランまでプランアップをお申込み(有償サービス)をいただく必要がございます。

プランアップの詳細につきましては、以下のFAQもあわせてご参照ください。
Flex Mini Cube・Flex Web・Flex Mini2サービスのプランを変更する際の注意点はありますか

1.Plesk(https://”ご契約サーバのIPアドレス”:8443)にログイン
2.メールアドレスのパスワードをおこないたい対象のドメインを選択
 例)example.comドメインの場合
3.「メール設定」のアイコンを選択

4.[メールアドレス]のタブを選択し、メールの転送設定をおこないたい、対象のメールアドレス名を選択

5.[アンチウィルス]タブを選択し、ご希望のウィルス判定の動作を選択し、[OK]ボタンを選択

弊社のサーバのご開通時に、メールで「アカウント設定完了のお知らせ」(拡張子.pdf ) を添付ファイルにてお送りさせていただいております。
  
Flex Mini Dolce Cube サービス ( コントロールパネルにPlesk を選択した場合)の「アカウント設定完了のお知らせ」のサンプルとなります。

なお、セカンダリDNSの設定手順につきましては、以下のリンクをご参照ください。
▼セカンダリDNSサービスのご利用方法

また、Pleskや、Webminの初回アクセス時には、SSL証明書のエラーが表示されます。その際には、以下のFAQをご参照ください。
Plesk・Webminのログイン画面を閲覧すると「セキュリティ証明書に問題があります」と警告がでてログインできません。

なお、「アカウント設定完了のお知らせ」自体をご紛失された場合は、以下のFAQをご参照ください。

▼パスワードが分からなくなりました。教えてもらえますか?

 

回答

ご利用のコントロールパネルやOSのバージョンによって異なります。コントロールパネル Pleskの場合は、下記表をご参照ください。

□Pleskの場合

バージョン SNI
(Web)
SNI
(メール)
Let’s Encrypt
※1
有償のSSL証明書(2枚目以降のSSL証明書は、追加IPアドレス)必須※2
Plesk8 × × ×
Plesk9 × × ×
Plesk10 × × ×
Plesk11 × ×
Plesk12 × ×
Plesk Onyx × △(インストールすれば 可)※3
Plesk Obsidian


(dovecot利用なら可)※4

△(インストールすれば 可)※3

・SNIとは、対応ブラウザよっては1台のサーバ(1つのIPアドレス)で,複数ドメインのSSL証明書を運用できるものとなります。

※Pleskのアップデートをおこなうことができません。Pleskのアップデートをおこなった場合は、弊社サポートの対象外となります。Plesk Onyxをご利用されたい場合は、サーバのご移行が必要となります。詳細につきましては、弊社サポートまでお問い合わせをいただきますようお願い致します。

※1.Plesk上で管理できるLet’s Encrypt を指します。弊社開通時では、標準ではLet’s Encryptの拡張パッケージはインストールされておりません。
Pleskに限り、SNI及び、Let’s Encryptを導入するまでのサポートはおこなわせていただきますが、SNIおよび、Let’s Encryptを導入後の結果はサポートをを行わせていただくことができません。

※2 有償のSSL証明書を導入ご希望の場合は、以下のフォームよりお申込みいただきますようお願いいたします。
弊社取り扱いのSSLサーバ証明書について

※3 Plesk Onyx上で、Let’s Encryptをご利用される場合の手順につきましては、以下FAQをご参照ください。
Plesk Onyxで、Let’s Encryptを利用したい

※4 Pleskの受信メールサーバ(Courier-IMAPから、Dovecot)へ切り替えをおこなって初めてメール用のSNIがご利用できます。切り替えの詳細については、以下のお知らせをご参照ください。
 ▼https://spt.clara.jp/2020/01/6076/


※ご利用のPleskのバージョンの確認方法については、以下のFAQをご参照ください。
使用しているPleskのバージョンの確認方法を教えてください


 □Webminおよび、コンパネなしの場合は、下記表をご参照ください。

  SNI ※4 Let’s Encrypt ※4
有償のSSL証明書(2枚目移行のSSL証明書追加IPアドレス必須※5
CentOS5 × ×
CentOS6 △(サポート対象外) △(サポート対象外)
CentOS7 △(サポート対象外) △(サポート対象外)

※OSのアップデートをおこなうことができません。OSのアップデートをおこなった場合は、弊社サポートの対象外となります。
 新しいOSをご利用されたい場合は、サーバのご移行が必要となります。詳細につきましては、弊社サポートまでお問い合わせをいただきますようお願い致します。

※4 基本的に導入までは、コマンドラインでの操作となります。そのため、Webminおよび、コンパネなしの場合は、SNI及び、Let’s Encryptを導入するまでのサポートおよび、導入後の結果は、サポートの範囲外となります。

※5 有償のSSL証明書を導入ご希望の場合は、以下のフォームよりお申込みいただきますようお願いいたします。
弊社取り扱いのSSLサーバ証明書について

コントロールパネルPleskが導入されている場合は、以下の操作をおこなっていただき、表示される数字(IPアドレス)をご確認ください。
※「共有」の箇所の数字をご参照いただきますようお願いいたします

・Plesk Onyx の操作手順
Pleskにログイン→[ツールと設定]→[IPアドレス]を選択

・Plesk 12 の場合の操作手順
Pleskにログイン→[サーバ]タブ→[IPアドレス]を選択

・Plesk 11 の場合の操作手順
Pleskにログイン→[ツールと設定]→[IPアドレス]を選択

・Plesk 10 の場合の操作手順
Pleskにログイン→[ツールと設定]→[IPアドレス]を選択

・Plesk 9 の場合の操作手順
Pleskにログイン→[設定]→[IPアドレス]を選択

・Plesk 8 の場合の操作手順
Pleskにログイン→[サーバ]→[IPアドレス]を選択


コントロールパネルWebminが導入されている場合は、以下の操作をおこなっていただき、表示される数字(IPアドレス)をご確認ください

Webminのログインをおこなった直後の画面に、[ホスト名]欄に数字(IPアドレス)が表示された場合は、表示される数字をご確認ください。
※Webminバージョン1.830の場合に限り、IPアドレスが表示されます。

また、ご申請の前に、以下のFAQも併せてご参照ください。

Flex Mini Cube,Flex Web,KUSANAGI with Cube,Flex Mini2,Flex Mini,FPS,VPSシリーズでファイアウォール機器(物理)を設置することはできますか?

・ファイアウォールがない場合は、「接続元設定変更申請フォーム」より接続元の変更(追加/削除)のご申請をいただきますようお願いいたします。

・ファイアウォールがある場合は、ファイアウォール設定変更申請フォームより接続元の変更(追加/削除)のご申請をいただきますようお願いいたします。

対象サービス
ブルートフォースブロッカー標準搭載のサービス (KUSANAGI with Cube / Flex Mini Cube / Flex Mini Web / Flex Mini2 / SolaCloud Nano)/オプションサービス(有償)として搭載したサーバ(Flex Mini(一部) / 専用サーバ(一部)

ブルートフォースブロッカーのサービスの動作仕様につきましては、以下のリンクをご確認ください。

ブルートフォースブロッカーサービスについて

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にてご実施ください。
    ※各コマンドの内容や、作業の結果につきましては弊社のサポートをおこなわせていただくことができません。
    ※お客様での作業が難しい場合は、弊社サポートまで作業のご依頼をいただきますようお願いいたします。

1.SSH 接続でサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。

2.OSのバージョンを確認します。
cat /etc/redhat-release

3.現在のブルートフォースブロッカーのホワイトリストの設定状態を確認します。
egrep -i “^ignoreip” /etc/fail2ban/jail.conf

4.ブルートフォースブロッカーの設定ファイルのバックアップします。
cp -a /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.´date +%Y%m%d´.bak

5.ブルートフォースブロッカーの設定ファイルを編集します。
# vi /etc/fail2ban/jail.conf
ignoreip = 127.0.0.1/8 1.1.1.1←※最終行に半角スペース+接続元IPアドレスを記載し、保存します。(接続元IPアドレス1.1.1.1を記載する場合)

6.現在のブルートフォースブロッカーのホワイトリストの設定に追加した接続元IPアドレスが記載されていることを確認します。
egrep -i “^ignoreip” /etc/fail2ban/jail.conf

7.ブルートフォースブロッカーサービスの再起動します。(※再起動しないと設定が反映されません)
  OSのバージョンにより実行するコマンドが異なります。

※Red Hat Enterprise Linux 6/CentOS 6,Red Hat Enterprise Linux 5/CentOS 5 の場合の再起動コマンド
/etc/init.d/fail2ban restart
  ※Red Hat Enterprise Linux 7/CentOS 7の場合の再起動コマンド
systemctl restart fail2ban

以上、となります。

問題点
既に接続元が解除されているアクセス元からFTPサーバへのアクセスができません。パスワードの入力間違え等のエラーメッセージは出ず、接続されない状況です。

■解決方法

FTPソフトの設定を以下のように変更することで改善される場合があります。
お使いのFTPソフトにてファイルのLISTコマンドの変更及び、PASVモードの OFF/ONをお試しください。

FFFTP の場合

[設定変更][高度]「LISTコマンドでファイル一覧を取得」にチェック、[拡張]にて、「PASV モードを使う」の操作で変更いただけます。
なお、この操作を実行されました後は、必ず一度FFFTPを終了してから、再度起動し、接続をお試し下さい(再接続を行っただけでは設定が反映されません)。以上の設定をされても、接続できない場合は弊社サポートまでお問い合わせください。

また、KUSANAGI with Cube / Flex Web / Flex Mini Cube /FlexMini2 / SolaCloud Nano サービスには、あらかじめ広範囲からの接続元が開放されている代わりにセキュリティ対策の一つとしまして、ブルートフォースブロッカーを標準搭載しております。ブルートフォースブロッカーサービスの詳細につきましては以下のリンクをご参照ください。

ブルートフォースブロッカー

ブルートフォースブロッカーとは、対象サーバへの FTP / SSH/Webmin ログイン時に10分間に5回失敗する接続があった場合、その接続を不正なアクセスと判断し、およ そ30分間通信を遮断致します。

接続を遮断をされても30分後には自動で再接続が可能になりますが、正常なアクセスにも関わらず、誤ってサーバへの接続が遮断された場合、30分以内に再接続希望のお客様は、弊社サポート(営業時間外には障害受付センター)までご連絡ください。手動でロックを解除いたします。

問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / Flex Mini Cube / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)


脆弱性(CVE-2017-3137)の影響を受けるバージョン
bind 9.9.9-P6
bind 9.10.4-P6
bind 9.11.0-P3

対象CVE番号
CVE-2017-3137

セキュリティパッチ適用対象OS

・Red Hat Enterprise Linux 6
・CentOS 6
・Red Hat Enterprise Linux 7
・CentOS 7

※RHEL5は有償サポート延長プログラムをご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換え等をご検討ください。

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). Bindのアップデートの実施

以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 6および、CentOS 6の場合
# yum update bind*
————————————————————————————————-

Red Hat Enterprise Linux 7および、CentOS 7の場合
# yum update bind*
————————————————————————————————-

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————-
Red Hat Enterprise Linux 6および、CentOS 6
# /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start ————————————————————————————————-

————————————————————————————————-
Red Hat Enterprise Linux 7および、CentOS 7

# systemctl stop named
# systemctl start named
————————————————————————————————-

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.62.rc1.el6_9.1

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-38.el7_3.3

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。
# dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。

弊社では、下記サービスを提供させていただいておりますので、ご導入をご検討をいただきますようお願いいたします。

Web改ざんチェックサービス

近年のウェブサイトの改ざんの多くは、攻撃対象の一般企業のウェブサイトに閲覧者をウイルス配布サイトなどに誘導するスクリプトを埋め込みます。
このようなセキュリティリスクに対応するため、WEB改ざんチェックサービスは、以下のようなウェブサイトの改ざんの有無を定期的に確認し、安全を継続的に確保します。例えば、WEB改ざんチェックサービスでは、検知が難しいとされるGumblar(ガンブラー)ウイルスによるウェブ改ざんも検知が可能です。
なお監視設定時にお客様のウェブサイトのコンテンツをご変更いただく必要はございませんので、比較的簡単に導入できます。

Web改ざんチェックサービスのマニュアルにつきましては、下記URLにございますのでご確認いただきますようお願いいたします。

gred セキュリティサービス マニュアル

回答

サーバのご提供時期によりましては、よりセキュリティの高いSSH バージョン 2 (以降、ssh2)でのアクセスに限定しております。(2012年12月現在開通しているサーバは、すべてssh2のみでアクセスできる設定となっております。)

そのため、ssh2でのアクセスに対応していないSSHクライアントソフトを使用された場合、正常にアクセスできません。

お手数ですが、「UTF-8 TeraTerm Pro with TTSSH2」、あるいは、「PuTTY」などのssh2に対応したSSHクライアントでの接続をお試しいただけますようお願いいたします。

参考(外部サイト)

UTF-8 TeraTerm Pro with TTSSH2(窓の杜)
http://www.forest.impress.co.jp/lib/inet/servernt/remote/utf8teraterm.html

PuTTY(英語)
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

問題点

yum で自動的にアップデートがおこなわれたり、不要なパッケージがインストールされるのを回避したい。

回答

yum の設定ファイル( /etc/yum.conf )に記述をする事で回避ができます。

設定例 例1:kernelのアップデートを回避する場合、以下を追記します。
exclude=kernel* 例2:複数ファイルのアップデートを回避する場合、以下を追記します。
exclude=kernel* php*

※それぞれ”/etc/yum.conf” の[main]のセクション以下に記述する必要がございます。

■問題の概要

BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)


脆弱性(CVE-2016-2848)の影響を受けるバージョン
bind 9.1.0 から 9.8.4-P2 までのバージョン
bind 9.9.0 から 9.9.2-P2 までのバージョン

対象CVE番号
CVE-2016-2848

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). アップデートの実施

以下のコマンドを実行し、アップデートを行います

————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-

Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————
Red Hat Enterprise Linux 5
CentOS 5Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop # /etc/rc.d/init.d/named start ————————————————————————————————-

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.10
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.8

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.47.rc1.el6_8.2

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。
# dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。

問題の概要

BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)


脆弱性(CVE-2016-2776)の影響を受けるバージョン
bind 9.0.x から 9.8.x までのバージョン
bind 9.9.0 から 9.9.9-P2 までのバージョン
bind 9.9.3-S1 から 9.9.9-S3 までのバージョン
bind 9.10.0 から 9.10.4-P2 までのバージョン
bind 9.11.0a1 から 9.11.0rc1 までのバージョン

対象CVE番号
CVE-2016-2776

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). アップデートの実施

以下のコマンドを実行し、アップデートを行います

————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-

Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7

# yum update bind*

————————————————————————————————-

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————-
Red Hat Enterprise Linux 5
CentOS 5Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop # /etc/rc.d/init.d/named start ————————————————————————————————-

Red Hat Enterprise Linux 7 CentOS 7
# systemctl stop named # systemctl start named ————————————————————————————————-

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.9
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.7

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.47.rc1.el6_8.1

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-29.el7_2.4

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。

回答

恐れ入りますが、逆引きホスト名の変更のみは承っておりませんので、
サーバのホスト名も同時に変更させて頂く必要がございます。

※ホスト名変更作業につきましては、1IPアドレスごとに費用が発生致します。

ホスト名の変更作業をご希望の際は、「ホスト名変更申込みフォーム」 にてご申請頂くか、 「ホスト名変更申込書」をダウンロードしていただき、弊社宛にご送付くださいませ。
変更作業の実施日はご注文書を弊社で受領してから、3営業日以内での作業となっております。

ホスト名の変更時にはサーバの再起動が必要となりますため、予めご了承くださいませ。
通常の場合、サーバの再起動に必要な時間といたしましては、数分程度となります。

回答

サーバ開通後、サーバのホスト名を変更する作業は、有償作業となります。
料金につきましては、「ホスト名変更申込みフォーム」に記載がございますのでこちらをご確認ください。

ホスト名の変更をご希望の場合には、下記のいずれかの方法にてご依頼ください。
・「ホスト名変更申込書(申込書ダウンロード)」を印刷していただき、
 必要事項をご記入の上弊社までFAXもしくは郵送していただく。
・「ホスト名変更申込フォーム(オンライン申込)」にて必要事項をご記入のうえご申請をしていただく。

ホスト名の変更作業時にはサーバ全体の再起動(各アプリケーションの再起動)
が必要となりますので、予めご了承下さい。
通常、サーバ全体の再起動には数分程度、停止時間が発生致します。

なお、別途DNSの変更作業が必要となる場合がございます

問題の概要

ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、
任意の OS コマンドが実行される恐れがある、脆弱性があります。
本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。

対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン

対象CVE番号
CVE-2016-3714

対応について
RHEL5 CentOS5につきましては、ベンダーからの修正パッケージの提供がございませんので、
下記手順にて対応をお願いいたします。

Redhat社から公開されている手順と、同様となります。
https://access.redhat.com/security/vulnerabilities/2296071

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下の対応手順で正常に作業できない可能性がございます。ご注意ください。

対応方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

# cat /etc/redhat-release

(3). インストールされているパッケージの確認

# rpm -qa|grep ^ImageMagick

(4). 対応作業の実施

以下のコマンドを実行し、ファイルのリネームを行います

対象ディレクトリに移動
32bit
# cd /usr/lib/ImageMagick-6.2.8/modules-Q16/coders/
64bit
# cd /usr/lib64/ImageMagick-6.2.8/modules-Q16/coders/

※ImageMagick-6.2.8の部分はバージョンにより異なります。

ファイルをリネームします
# mv mvg.so mvg.so.bak
# mv msl.so msl.so.bak
# mv label.so label.so.bak

(5). 作業後確認
ImageMagick の動作に問題が無いことを確認してください。    以上、となります。

問題の概要

ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、任意の OS コマンドが実行される恐れがある、脆弱性があります。本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。

対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン

対象CVE番号
CVE-2016-3714

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

 ■対応方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

# cat /etc/redhat-release

(3). インストールされているパッケージの確認

# rpm -qa|grep ^ImageMagick

(4). アップデートの実施

以下のコマンドを実行し、アップデートを行います

Red Hat Enterprise Linux 6の場合
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
# yum update ImageMagick


(5). ImageMagickパッケージのバージョン確認

# rpm -q ImageMagick –qf ‘%{name}-%{version}-%{release}\n’
ImageMagickパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン
6.7.2.7-4.el6_7

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン
6.7.8.9-13.el7_2

(6). 作業後確認
ImageMagick のアップデートに伴い、関連パッケージに影響が出ることがございます。
(PHPのImagick モジュール等、他のソフトウェアから ImageMagick を使用している場合)
必要に応じて、そちらも合わせてアップデート作業等を行ってください。  

以上、となります。

問題の概要

BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2016-1285)の影響を受けるバージョン
bind 9.2.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P3 までのバージョン
bind 9.10.0 から 9.10.3-P3 までのバージョン

脆弱性(CVE-2016-1286)の影響を受けるバージョン
bind 9.0.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P3 までのバージョン
bind 9.10.0 から 9.10.3-P3 までのバージョン

対象CVE番号
CVE-2016-1285,CVE-2016-1286

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 4 ELS
Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). アップデートの実施

以下のコマンドを実行し、アップデートを行います

————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-

Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7

# yum update bind*    ————————————————————————————————

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————
Red Hat Enterprise Linux 5
CentOS 5Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop

# /etc/rc.d/init.d/named start ————————————————————————————————-

Red Hat Enterprise Linux 7

CentOS 7

# systemctl stop named

# systemctl start named ————————————————————————————————-

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.8
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.6

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.37.rc1.el6_7.7

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-29.el7_2.3

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。

問題の概要

CentOS6/RHEL 6 glibc-2.12-1.166.el6_7.7以降
CentOS7/RHEL 7 glibc-2.17-106.el7_2.4以降
 Ubuntu 10.04 LTS パッチの提供なし
(ベンダーによる OSサポート終了)
 Ubuntu 12.04 LTS  2.15-0ubuntu10.13

※2016年2月22日現在の情報となります。 CVE-2015-7547 の修正パッケージのバージョンとなります。
※Ubuntu 10.04 LTSは、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。
※CentOS5/RHEL5は、本脆弱性(CVE-2015-7547)の対象外となります。

 ※アップデートに関する注意事項

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。Z

glibc アップデート方法

(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

対象のOSバージョンである事を確認します。 # cat /etc/redhat-release

(3). インストールされているパッケージの確認

対象のOSバージョンである事を確認します。 # rpm -qa | egrep ‘^glibc’

特に何も表示されない場合には、glibc パッケージがインストールされておりませんので、脆弱性の影響はございません。glibc から始まる文字列が表示された場合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケージかどうかご確認ください。

(4). アップデートの実施
以下のコマンドを実行し、アップデートを行います

CentOS 6/7 、Red Hat Enterprise Linux 6/7 の場合
# yum update glibc-*

(5). glibcパッケージのバージョン確認
# rpm -qa | egrep ‘^glibc’

(6). サーバの再起動

以下のコマンドを実行し、サーバの再起動を実施します # reboot

Flex Mini 2、Flex Miniシリーズをご利用のお客様は、下記URLをご参照いただき、サーバの再起動をご実施いただきますようお願いいたします。
Parallels パワーパネル (PPP) ご利用マニュアル
※必ず「コンテナの再起動」ボタンをご選択ください。
FPS、VPSシリーズをご利用のお客様は、下記URLをご参照いただき、サーバの再起動をご実施いただきますようお願いいたします。
Virtuozzo パワーパネル (VZPP) ご利用マニュアル
※必ず「VEの再起動」ボタンをご選択ください。

問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2015-8704)の影響を受けるバージョン
bind 9.3.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P2 までのバージョン
bind 9.9.3-S1 から 9.9.8-S3 までのバージョン
bind 9.10.0 から 9.10.3-P2 までのバージョン

対象CVE番号
CVE-2015-8704

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). アップデートの実施

以下のコマンドを実行し、アップデートを行います

————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-

Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7

# yum update bind*————————————————————————————————-

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————-
Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop # /etc/rc.d/init.d/named start ————————————————————————————————-Red Hat Enterprise Linux 7 CentOS 7 # systemctl stop named # systemctl start named ————————————————————————————————-

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.6
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.5

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.37.rc1.el6_7.6

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-29.el7_2.2

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。

回答

コントロールパネルにPleskをご選択いただいている専用サーバ、Flex Mini シリーズにおきましては SMTP over TLS に対応しております。

Plesk : メールサーバ用のSSL証明書の中身を入れ替えたい

問題の概要

BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

※DNS サーバとしてクララオンラインの DNS サーバ (DNS サーバ名が clara.co.jp または clara.ne.jp で終わるサーバ)
を指定されている場合には、既に対策済みとなっておりますのでご安心ください。

脆弱性(CVE-2015-5477)の影響を受けるバージョン
bind 9.1.0 から 9.8.x までのバージョン
bind 9.9.0 から 9.9.7-P1 までのバージョン
bind 9.10.0 から 9.10.2-P2 までのバージョン

対象CVE番号
CVE-2015-5477

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。


BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). アップデートの実施

以下のコマンドを実行し、アップデートを行います

————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-

Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。 # /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.3
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.2

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.37.rc1.el6_7.2

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。

回答

Pleskからのご操作で、各アプリケーションバージョンをご確認をいただくことができます。
例としてPHPのバージョンの確認方法と致しましては、下記のとおりでございます。

Plesk Onyxの場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→画面右上の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.4.16-46.el7」のような表記の場合は、php-5.4.16-46をご利用されております。

Plesk 12の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[サーバ]→画面左下の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.3.3-46.el6_6」のような表記の場合は、php-5.3.3-46をご利用されております。

Plesk 11の場合の操作手順(PHPの場合)
    1.Plesk にログインします。
    2.メニューから[ツールと設定]→[サーバコンポーネント]を選択。
    3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
       ご利用中のphpのバージョンとなります。
    
      例)「5.3.3-40.el6_6」のような表記の場合は、php-5.3.3-40をご利用されております。

Plesk 10の場合の操作手順(PHPの場合)
    1.Plesk にログインします。
    2.メニューから[ツールと設定]→[サーバコンポーネント]を選択。
    3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
       ご利用中のphpのバージョンとなります。
    
   例)「5.3.3-38.el6」のような表記の場合は、php-5.3.3-38をご利用されております。

Plesk 9の場合の操作手順(PHPの場合)    1.Plesk にログインします。
    2.メニューから[設定]→[サーバコンポーネント]のアイコンを選択。
    3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
       ご利用中のphpのバージョンとなります。

      例)「5.1.6-43.el5_10」のような表記の場合は、php-5.1.6-43をご利用されております。

Plesk 8の場合の操作手順(PHPの場合)

    1.Plesk にログインします。
    2.メニューから[サーバ]→[Pleskコンポーネントの情報]のアイコンを選択。
    3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
       ご利用中のphpのバージョンとなります。  

      例)「5.1.6-43.el5_10」のような表記の場合は、php-5.1.6-43をご利用されております。

問題点

yumコマンドを利用すると以下のようなエラーが出力され、アップデートできない。

出力例)
Traceback (most recent call last):
  File “/usr/bin/yum”, line 29, in ?
    yummain.user_main(sys.argv[1:], exit_code=True)
  File “/usr/share/yum-cli/yummain.py”, line 309, in user_main
    errcode = main(args)
  File “/usr/share/yum-cli/yummain.py”, line 157, in main
    base.getOptionsConfig(args)
  File “/usr/share/yum-cli/cli.py”, line 187, in getOptionsConfig
    self.conf
  File “/usr/lib/python2.4/site-packages/yum/__init__.py”, line 664, in
    conf = property(fget=lambda self: self._getConfig(),
  File “/usr/lib/python2.4/site-packages/yum/__init__.py”, line 253, in _getConfig
    self.plugins.run(‘init’)
  File “/usr/lib/python2.4/site-packages/yum/plugins.py”, line 179, in run
    func(conduitcls(self, self.base, conf, **kwargs))
  File “/usr/lib/yum-plugins/rhnplugin.py”, line 111, in init_hook
    login_info = up2dateAuth.getLoginInfo()
  File “/usr/share/rhn/up2date_client/up2dateAuth.py”, line 217, in getLoginInfo
    login()
  File “/usr/share/rhn/up2date_client/up2dateAuth.py”, line 184, in login
    li = server.up2date.login(systemId)
  File “/usr/share/rhn/up2date_client/rhnserver.py”, line 64, in __call__
    raise up2dateErrors.SSLCertificateVerifyFailedError()
up2date_client.up2dateErrors.SSLCertificateVerifyFailedError:The certificate is expired.Please ensure you have the correct certificate and your system time is correct.

原因
現在の Red Hat Network CA 証明書は、2013 年 8 月に証明書の有効期限が切れます。
そのため、Red Hat Network に正常に認証がとおらず、パッケージのアップデートが失敗します。
アップデートされた証明書がインストールされるまで 2013年8月13日以降は RHN と接続できなくなります。
詳細につきましては、提供元であるRedhat社の以下のページをご参照ください。
本内容は、RHEL5が対象となります。

<RHN にシステムを接続しようとすると、”The certificate is expired” または “certificate verify failed” エラーが発生します>

https://access.redhat.com/site/ja/solutions/401723

RHEL3、およびRHEL4は、OSのベンダサポートが終了しているためサポート対象外とさせていただきます。なお、RHEL4 のExtended Life Cycle Support(ELS)をお申込みをいただいている方は、弊社サポートまでお問い合わせをいただけますでしょうか。
また、RHEL6は、本事象の対象外となります。

対処方法
以下のコマンドを root ユーザーとして実行し、RHN との通信に関する SSL を一時的に無効にします。これにより、http からパッケージをアップデートできるようになります。
注意: 以下の方法は、お客様のご判断にてご実行ください。

       sed -i ‘s/serverURL=https:/serverURL=http:/g’ /etc/sysconfig/rhn/up2date

       以下のように、関連パッケージをアップデートします。

       yum update rhn*

       root ユーザーで以下のコマンドを実行し、SSL を再度有効にします。

       sed -i ‘s/serverURL=http:/serverURL=https:/g’ /etc/sysconfig/rhn/up2date

rhn-client-tools パッケージをアップデートしたら、以下コマンドにてエラーが解決したことを確認します。

       yum check-update [RHEL 5]
       rhn_check

なお、お客様にて上記内容の作業が難しい場合は、弊社サポートまでご依頼をいただけますでしょうか。

回答

当社で初期状態で導入しているソフトウェアにつきましては、リモートからの脆弱性に関するセキュリティパッチについてはすべてセキュリティアップデートを当社にて行っておりますが、お客様で導入されたソフトウェアにつきましてはお客様にて管理いただいております。

回答

「SSH」「FTP」「Webmin」「Plesk 8系、Plesk 9系」 でのアクセスの際の接続元アクセスの許可を、固定のIPアドレスではなく、Yahoo!BB のような接続の度にIP アドレスが変わる ISP からの接続でも許可することはできます。

解決方法

IPアドレス設定項目をホスト名で指定してください。

例といたしまして、Yahoo!BB の場合は.bbtec.net からの接続を許可する設定にすることで利用可能です。しかし、この場合にはYahoo!BB を使っているすべてのネットワークからのアクセスを許可したことになりますので、ID 及びパスワードの管理は厳重に行う必要があります。

また、下記 URL にてお客様の接続環境を調べることが可能となっております。こちらの「接続元確認ページ」より、「プロバイダによる解除」に記載された内容をご指定ください。

接続制限解除のお願い

https://spt.clara.jp/manual/web/server-access/

また、逆引きホスト名が設定されていないIPアドレス (主に海外の接続元環境など)から接続を行う場合は、IPアドレスにて設定のご依頼をいただく必要がございます。

対象サービス

Linux専用サーバ/FPS/VPS/Flex Mini/Flex Mini 2/SolaCloud

回答

弊社側で提供をおこなわせていただいております迷惑メール対策と致しましては、下記サービスがございますのでご検討いただけますでしょうか。

迷惑メール対策サービス(Active!hunter)

対象サービス
全てのサービス

回答

support@clara.ne.jp 宛に、下記内容の情報をお知らせいただきますようお願いいたします。

  • お客様番号
  • 設定対象ホスト名
  • ご利用サービス名
  • 設定対象ホスト IP アドレス
  • 接続元情報(IP アドレス/ 逆引きホスト名等)
  • 設定対象サービス (SSH / FTP / Webmin / ALL)
  • 設定内容 (追加 / 削除 / 変更)

なお、お客様によって/etc/hosts.allowファイルに変更が加えられた場合で、弊社へのご連絡が無い場合、不正アクセスなどの問題に関する責は負いかねますので予めご了承ください。
またお客様が記述された設定内容に明らかにセキュリティ上の重要な問題があった場合に予告無く変更させていただく場合があります。

回答

クララオンラインのLinux専用サーバサービス、仮想共用サーバサービス(Flex Miniシリーズ、SolaCloud サービス)では、セキュリティ保護のためサーバに接続できる接続元を制限しています。※1
ご開通の段階ではお客様の接続元もアクセスを制限しているため、これを解除して頂いた上でなければサーバをご利用頂くことができません。※2

そのため、サーバのお申し込み時や新たなネットワークからのアクセスが必要になった場合には、お客様がアクセスをされている接続元のリストを弊社にご連絡頂く必要がございます。

接続元設定を弊社にご依頼いただく場合は、下記 URLのご案内を参照下さい。

SSH・FTPのご利用方法

https://spt.clara.jp/manual/web/server-access/

※1 弊社にてお客様サーバへの接続制限を実施しているサービス・ポートは、「SSH」「FTP」「Webmin」「Pleskバージョン8系、Pleskバージョン9系」となります。

※2LGプラン』『Flex Mini Cube サービス』『KUSANAGI with Cube サービス』『Flex Web サービス』『Flex Mini 2 サービス』『Sola Cloud Nano』に限り、特にお客様より事前にご指示いただかない限り、ご開通時より『.jp』『.bbtec.net』 が接続元である『SSH / FTP / Webmin 』サービスの接続が開放されております。

また、逆引きホスト名が設定されていないIPアドレス (主に海外の接続元環境な ど) や、接続元 .jp と .bbtec.net 以外の接続元 (例えば ******.net など) から 接続を行う場合は、同様に設定のご依頼をいただく必要がございます。

対象サービス
LGプラン/Linux専用サーバ / Flex Mini / Flex Mini 2 / SolaCloud / Flex Web /KUSANAGI with Cube / Flex Mini Cube

問題点

MySQLやMariaDB,PostgreSQLが、外部から接続ができません。

原因

弊社の標準設定においては、セキュリティ対策上の理由により、MySQL MariaDB,PostgreSQL につきましてはUNIXドメインソケット経由からのアクセスに限定させて頂いております。

■解決方法

ODBCなど、INETドメインソケット経由でのデータベースへのアクセスにつきましては、以下の方法にて設定を変更することが可能ですが、お客様ご自身の責任にて変更していただけますようお願いいたします。

■MySQL および、MariaDBの場合

MySQLおよび、MariaDBの設定ファイルであります、”/etc/my.cnf”ファイルにて指定されております、”skip-networking”オプション及び”bind-address=127.0.0.1″をコメントアウトして頂きます。
その後、MySQLもしくは、MariaDBのみのサービス再起動を実施します。 [mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
default-character-set=ujis
# bind-address=127.0.0.1
# skip-networking

□PostgreSQL の場合

“pg_hba.conf”ファイルおよび、”postgresql.conf”ファイルの修正が必要となります。詳細につきましてはお客様にて PosgreSQL の参考書籍及びWebサイトなどをご確認ください。

MySQLおよび、MariaDB、 PostgreSQL の接続ユーザの権限をリモートから接続できるように、ユーザ権限等の設定変更を追加する必要がございます。

なお、いずれの作業につきましてはお客様の責任において行って下さいますよう、お願い申し上げます。また、これらの設定変更によるサーバの不具合等につきましては弊社にて責任を負いかねます。

対象サービス

Linux専用サーバ/VPS/FPS/Flex Mini/Flex Mini 2/SolaCloud/Flex Mini Cube/Flex Web/KUSANAGI with Cube

回答

大変申し訳ございませんが、弊社ではPHPのSafe Mode(セーフモード)を解除する(offにする)設定の代行は承っておりません。各サーバサービスでSafe Modeをoffにされることをご希望の場合には、お客様の責の範囲にて設定の変更を頂きますようお願いいたします。

なおSafe Mode がoffになっていたことに関連して、アプリケーションの脆弱性による外部からの不正侵入を受けた場合には、弊社の責任の範囲外とさせていただいておりますので予めご了承ください。

■問題点
アンチウィルスサービスを導入しているのにかかわらず、ウィルス付きメールが届く

■原因
アンチウィルスサービスを導入しているのにかかわらず、ウィルス付きメールが届いた場合には、以下の2点の可能性のいずれかが考えられます。

  1. アンチウィルスのパターンファイル(ウィルス定義ファイル)は定期的に更新されておりますが、極めて新しいウィルスの場合にはパターンファイルによる対応が未対応の場合
  2. 電子メールに添付されていたファイルが暗号化されたZIPファイル等の場合や、複数回の暗号化圧縮を繰り返した圧縮ファイルの場合

■解決方法
各問題点の対処方法は以下です。

  1. 対応が完了するまで一時的にウィルスとして認識できない場合がございます。パターンファイルは短い間隔で定期的に更新されておりますので、一般的には1日から数日以内に対応されます。
  2. 電子メールに添付されていたファイルが暗号化されたZIPファイル等の場合や、複数回の暗号化圧縮を繰り返した圧縮ファイルの場合、アンチウィルス機能による検出を行うことが出来ない場合があります。暗号化されていないZIP、ARJ、TARなどの圧縮形式はスキャンの対象です。

回答

弊社のアンチウイルスサービスをご契約頂いている場合、.exe のような拡張子のファイルがメールに添付されている場合、ウイルスの可能性が高いと判断して添付ファイルを削除いたします。

.exe等の実行形式のファイルを電子メールに添付される場合には、ZIP、LHAなどにより圧縮し他の拡張子にした上でご送信をお試しいただきますようお願いいたします。

■問題点

FTPで接続するとパスワードエラーが出ます。

原因

FTPのパスワードが誤って入力されている可能性があります。

解決方法

FTP のパスワードは全て半角で、大文字/小文字/数字/記号を区別します。
小文字や記号などが含まれる場合には特にご注意いただきご入力ください。

なお、WebホスティングサービスではFTPは同時セッション数に制限があるため、複数箇所から同一のFTPアカウントでサーバに接続をされている場合には、一度全てを終了していただき改めてお試しくださいますようお願いいたします。

FTPパスワードの再設定方法(コントロールパネルにPleskをご利用の場合)につきましては、下記FAQをご参照ください。
PleskでFTPパスワードがわからなくなってしまいました。 

FTPパスワードの再設定方法(コントロールパネルにWebminをご利用の場合)につきましては、下記FAQをご参照ください。
Webmin環境のサーバでFTPパスワードがわからなくなってしまいました。

Load More