公開日2022年3月3日
設定条件:DNSサーバが、Plesk Obsidianサーバを参照している場合には、メールの送受信両方ともDKIM署名の検証をおこなうことはできます。
ただ、外部のDNSサーバ(Plesk Obsidianサーバ以外のDNSを利用している場合)を利用している場合には、DKIM署名は送信メールのみ機能します。メールの受信時にDKIMの検証をおこなうことはできません。
回避策としては、PleskのDNSサーバをオフにし、外部のDNSサービスにDKIM関連のDNSレコードを追加いただいた後にはじめてメール受信時に検証がおこなえるようになります。
外部のDNSサーバを使用するドメインに対してDKIMメール署名を有効にする方法は以下となります。
<How to get the DKIM public key from Plesk if DNS is not installed? >
https://support.plesk.com/hc/en-us/articles/115000214973
※弊社管理サイトではございません。
※弊社ではコマンドラインでのサポートをおこなわせていただくことはできませんのでお客様の責にてご実施いただきますようお願いいたします。
※Plesk Obsidianでは、DKIMの有効化に「メールサーバの設定でのDKIMの有効化」と「ドメインでのDKIMの有効化」の2か所で設定が必要でございます。
当FAQは、「ドメインでのDKIMの有効化」の設定でございます。
※本作業を実施する前に、メールサーバの設定でのDKIMの有効化設定(下記サイト)を行ってください。
https://spt.clara.jp/ufaqs/id-18132/
Plesk Obsidianで、メール送信時のDKIM署名設定をおこなうためには、以下の操作手順となります。
1.Pleskにログイン
2.画面左の[ウェブサイトとドメイン]を選択
3.設定対象ドメイン名の[メール]タブを選択
4.[メール設定]のアイコンを選択
5.[送信メールメッセージに電子署名するために DKIM スパム防御システムを使用]の左側にチェックを選択し[OK]を選択ください。
外部のDNSをご利用されている場合には、再度「メール設定」の画面を表示し、「外部DNSの構成方法]を再度開くことで、設定が必要なDKIM用の設定TXTレコードが緑の〇の2つ表示されますのでそれを外部DNSにTXTレコードとして追加をいただきますようお願い致します。
※TXT の文字移行の以下の赤枠の“”で囲まれた部分をレコードの値としてご設定ください。
以上となります。
公開日2022年3月3日
弊社で提供しているPleskで自動生成されるパスワード強度は、Pleskの標準レベルである「普通」で設定されております。
例)メールアドレス作成時やパスワード変更時に表示されるPleskの[生成]ボタンを選択した場合に、自動的に付与されるパスワードの強さのレベルをPlesk上から変更をいただくことができます。
パスワードポリシーを強くされたい場合には、以下の操作をおこなっていただきますようお願いいたします。
1.[ツールと設定]を選択
2.[セキュリティーポリシー]を選択
例として、「普通」から「非常に強い」にチェックボックスを変更し、[OK]ボタンを選択
その後、メールアドレスの画面等で自動付与されるパスワード文字列が16 文字以上等になっていることをご確認ください。
以上となります。
公開日2022年3月3日
Flex Mini Cube シリーズ(Basic Cubeプラン、Plus Cubeプラン)以上からPlesk OnyxのSpamAssassin(スパム対策ソフト)をご利用をいただくことができるプランとなります。
LGプラン(共有)、Clara Cloud Flexシリーズにつきましても、Plesk Obsidianにつきましても同様に以下の設定をいただくことでご利用できます。
その他のプランにつきましては、ご利用にはプランアップをおこなっていただく必要がございます。
プランアップの詳細につきましては、以下のFAQもあわせてご参照ください。
Flex Mini Cube・Flex Web・Flex Mini2サービスのプランを変更する際の注意点はありますか
個別のメールアドレス単位で設定する方法
1.Plesk(https://”ご契約サーバのIPアドレス”:8443)にログイン
2.[ウェブサイトとドメイン]を選択
3.設定変更対象のメールアドレスのをおこないたい対象のドメインの項目を選択し、[メール]タブを選択
例)test.comドメインの場合
4.[メールアカウント]のアイコンを選択
5.設定対象の1つのメールアドレスのリンクを選択
6.[スパムフィルタ]タブを選択し、「このメールアドレスに対してスパムフィルタをオンにする」の左側のチェックボックス選択
7.[詳細な設定を表示]のリンクを選択
8.[スパムフィルタの感度]の項目を適宜設定します。
標準設定は7となります。
※数値を低くするとスパム判定される感度が高まり、スパム判定されやすくなります。
反対に、数値を高くするとスパム判定される感度が低くなり、スパム判定されにくくなります。
9.必要であれば、ブラックリストに送信元のメールアドレス名、もしくは*@test.comのようなワイルドカードをご入力し、「OK」ボタンを選択いただくと反映されます。
ブラックリストに追加した場合には、スパム判定される可能性が増加します。
10.以上となります。
メールサーバ全体(全ドメイン)でスパムアサシンのルールを有効化する方法
1.[ツールと設定]を選択
2.[スパムフィルタ]を選択
3.[サーバ全体に対するSpamAssassin スパムフィルタをオンにする],[スパムフィルタにユーザごとの設定を適応する]両方にもしチェックが入っていない場合は、チェックを選択
4.[メッセージをスパムとして判断するスコア値]につきましては、以下のとおりとなります。
5.[ブラックリスト]タブを選択
標準設定は7となります。
※数値を低くするとスパム判定される感度が高まり、スパム判定されやすくなります。
反対に、数値を高くするとスパム判定される感度が低くなり、スパム判定されにくくなります。
6.[アドレスを追加]のアイコンを選択
7.[リストより取得にチェックが入っていることをご確認いただき、[メールアドレス]項目に
ブラックリストに送信元のメールアドレス名、もしくは*@test.comのようなワイルドカードをご入力し、「OK」ボタンを選択いただくと反映されます。
ブラックリストに追加した場合には、スパム判定される可能性が増加します。
以上となります。
公開日2022年1月27日
弊社提供のサービス(Flex Mini・Flex Mini2・Flex Webシリーズ・Flex Mini Cubeシリーズ・専用サーバFlexシリーズ、LGプラン、Clara Cloud Flexサービス)は、バックアップデータからの弊社営業時間内(平日10:00-18:00)のみのレストア(復元)対応となります。
弊社営業時間外(平日10:00-18:00以外の時間)でのレストア作業につきましては実施させていただくことができません。
レストア作業をご希望の場合には、お客様から弊社サポート(support@clara.ne.jp)までメールにて以下の内容をご記載のうえでご依頼をいただきますようお願い致します。
■レストア作業依頼のメールに記載をいただく内容
—————————————————————————————-
・対象サーバのホスト名
・対象サーバのIPアドレス
・問題が発生したディレクトリのフルパス/データベースの場合にはデータベース名を記載
・バックアップデータから戻したい日付(※バックアップの保持期限内のデータ内に限ります)
—————————————————————————————-
その後、弊社からレストア作業につきましてご連絡をおこなわせていただきます。
全体レストアの場合には、バックアップデータからのデータの戻し中につきましては、サーバの停止が発生致します。
NRプランもしくは、Linux専用サーバサービス(Flexシリーズを除く)では、バックアップオプションサービスをご利用いただいていない限り、データのバックアップはお客様にてご取得をいただいているサービスとなります。
なお、オプションのイメージバックアップサービスをお申込いただきますと、弊社のバックアップサーバ上にデータを取得させていただいております。
| 対象サービス |
サービス標準のバックアップ保存世代 ※1. |
ファイル単位のレストア可否 |
| Flex Mini | 7世代保存 (1週間) |
〇 |
| Flex Mini2 | 7世代保存 (1週間) |
〇 |
| Flex Web | 7世代保存 (1週間) |
〇 |
| KUSANAGI with Cube | 7世代保存 (1週間) |
〇 |
| Flex Mini Cube | 7世代保存 (1週間) |
〇 |
| Clara Cloud Flex |
スナップショット |
× |
| LG |
スナップショット |
× (全体レストアのみ) |
| 専用サーバ |
× |
〇 (有償オプションサービスの申込みが別途必要) |
| NRプラン |
× |
〇 (有償オプションサービスの申込みが別途必要) |
※1. 弊社側で保持しているバックアップ世代数を超えるものにつきましては弊社ではバックアップデータは保持しておりません。
例)7世代保存(1週間)の場合は、8日以上前のバックアップデータは弊社では保持しておりません。バックアップデータが存在してない場合にはレストアすることができません。
公開日2021年12月8日
RHEL8、CentOS8、AlmaLinux8で標準採用されておりますphp-fpmの標準仕様で、拡張子.phpでの実行のみという制限がございます。基本的には、対象ファイルを.htmlファイルの拡張子を拡張子.phpへ変更いただくことをおすすめ致します。
弊社では、本手順ご実施いただいた結果や、内容につきましては弊社サポートをおこなわせていただくことができない内容となります。あらかじめご了承をいただきますようお願い致します。
コントロールパネルPleskにつきましては、本手順書の対象外となります。コントロールパネルなし、もしくはWebminが本手順書が対象となります。Pleskにつきましては、以下のFAQをご参照ください。
<拡張子(.html)でPHPスクリプトを実行させたい。(Plesk環境の場合)>
https://spt.clara.jp/ufaqs/id-248/
何らかの理由で拡張子を変更できない場合は、PHPの設定および、 php-fpmの設定で.htmlの拡張子を許可設定をおこなうことで拡張子.htmlでPHPを実行することが可能でございます。しかし、変更設定を実施いただいたことで、セキュリティが下がる場合がございますのでお客様の責にてご変更をお試しいただきますようお願いいたします。
1./etc/httpd/conf.d/php.confファイルのバックアップを取得します。
(バックアップファイル名は、/etc/httpd/conf.d/php.conf.年月日付.bakファイルとなります)
cp -a /etc/httpd/conf.d/php.conf /etc/httpd/conf.d/php.conf.`date +%Y%m%d`.bak
2./etc/httpd/conf.d/php.confファイルの該当行に、|htmlの文字を追加します。
■変更前
<FilesMatch \.(php|phar)$>
□変更後
<FilesMatch \.(php|phar|html)$>
※上記表示上、全角にて記載しております。設定ファイルでは、<>は、半角となります。
3.Webの設定ファイルの文法チェック
httpd -t
を実行後、「Syntax OK」の出力をご確認ください。
それ以外が表示された場合は、設定ファイル等に問題がございますのでエラーの内容をお客様にてお調べください。
4.以下のコマンドを実行し、Webサーバ(Apache)を再起動します。
systemctl restart httpd
5./etc/php-fpm.d/www.confファイルのバックアップを取得します。
cp -a /etc/php-fpm.d/www.conf /etc/php-fpm.d/www.conf.`date +%Y%m%d`.bak
(バックアップファイル名は、/etc/php-fpm.d/www.conf.年月日付.bakファイルとなります)
6./etc/php-fpm.d/www.confファイル内の該当行を以下のように変更します。
■変更前
;security.limit_extensions = .php .php3 .php4 .php5 .php7
□変更後
security.limit_extensions = .php .php3 .php4 .php5 .php7 .html
先頭の;を外す、かつ、末尾に.htmlを追加します。
7.以下のコマンドを実行し、php-fpmを再起動します。
systemctl restart php-fpm
8.拡張子(.html)ファイルでPHPが実行できるかをご確認ください。
以上となります。
回答
公開日2021年8月4日
弊社では、FTPS接続のご利用は推奨しておりません。SFTP接続でのご利用をおすすめしております。
理由といたしましては、以下のとおりでございます。
・FTPSご利用時にはサーバ側に設定が追加が別途必要である点
・ ご利用上安定してご利用できないケース が多い点
・SSL証明書を購入され利用された場合には、費用や設定工数が発生する点
FTPSにつきましては、ご利用上安定してご利用できないケースがございますので、弊社といたましてはFTPSではなく通信レベルで暗号化されておりますSFTP接続(SSH接続)でのご利用をおすすめしております。SSHプロトコルでございましたら、通信自体が暗号化されおり、かつ費用や追加設定が基本的にはなくご利用ができます。※ユーザ権限を変更いただく場合はございます。
<SSH・FTPのご利用方法 – WinSCP>
https://spt.clara.jp/manual/web/server-access/ftp-winscp/
WinSCPは、FFTPとは別のソフトとなります。
なお、ご利用の場合には、PleskやWebmin等からFTPユーザの権限変更や、SSHサービスのファイアウォールの許可および、接続元の許可設定が別途必要となります。
https://spt.clara.jp/procedure/server/#server01
※ファイアウォールがないサービス(Flex Miniシリーズ等)
https://spt.clara.jp/procedure/server/#server02
※ファイアウォールが存在するサービス(LGプラン、NRプラン,専用サーバ等)
2020/1/14 (木) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
問題の概要
OpenSSL には、X.509 証明書の GENERAL_NAME が EDIPartyNameを含む場合にGENERAL_NAME_cmp 関数内で NULL ポインタ参照が発生する脆弱性があります。この脆弱性を悪用されると、OpenSSL を実行しているサーバーおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
暗号通信に利用される「OpenSSL」に、脆弱性が公表されました。
詳細につきましては、「OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起」をご参照ください。
なお、今回の脆弱性におきましては、OpenSSL のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてOpenSSL をアップデートする方法をご案内いたします。
■セキュリティパッチ適用対象OS
・Red Hat Enterprise Linux 8.x系
・CentOS 8.x系
・Red Hat Enterprise Linux 7.x系
・CentOS 7.x系
本手順は、Red Hat Enterprise Linux 8.x系 / CentOS 8.x系、Red Hat Enterprise Linux 7.x系 / CentOS 7.x系,のサーバが対象です。
本手順は無保証となります。
作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
OpenSSL アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法
対象のOSバージョンである事を確認します。
cat /etc/redhat-release
(3). インストールされているパッケージの確認
rpm -qa | egrep ^openssl-
特に何も表示されない場合には、OpenSSL パッケージがインストールされておりませんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。
(4). アップデートの実施
以下のコマンドを実行し、アップデートを行います。
・CentOS 8、Red Hat Enterprise Linux 8 の場合
dnf update openssl-*
・CentOS 7、Red Hat Enterprise Linux 7 の場合
yum update openssl-*
(5). OpenSSLパッケージのバージョン確認
rpm -qa | egrep ^openssl-
openssl パッケージのバージョンが、以下のページに記載されているリリース番号と同じになっているかどうかを確認します。
CentOS8/RHEL8の脆弱性修正バージョン
openssl-1.1.1g-12.el8_3.x86_64.rpm
CentOS7/RHEL7の脆弱性修正バージョン
openssl-1.0.2k-21.el7_9.x86_64.rpm
openssl バージョン情報確認 (CVE-2020-1971)
(6). サーバの再起動
アップデートを反映させるため、以下のコマンドを実行し、サーバの再起動をおこなう必要がございます。
reboot
以上となります。
弊社では、CentOS8もしくはRHEL8からTCPWrapperが廃止されているOSのため、弊社ではnftablesを採用しております。
弊社提供のCentOS8もしくは、RHEL8(LGプラン等)で構成内にファイアウォールが構成内に含まれていた場合などに、サーバ間のローカルIPアドレスでSSH接続やFTP接続、Webmin(8001番ポート)につきましてはソフトウェアファイアウォール(nftables)の制御対象となります。
そのため標準では、サーバ間のローカルIPアドレスのSSH接続等をおこなうことができません。
サーバ間のSSH接続等の通信を開放ご希望の場合は。以下のフォームよりファイアウォールの開放のご申請をいただきますようお願い致します。
以下フォームの[対象サーバIPアドレス]欄および、[ソース・接続元IPアドレス]欄には、開放対象のプライベートIPアドレスをご入力をいただき、[備考欄]に「nftablesを開放希望」とご入力をいただきますようお願い致します。
<ファイアウォール設定変更申請フォーム>
https://spt.clara.jp/procedure/server/firewall/
CentOS8では、SFTPファイルアップロード時の標準のパーミッションが600もしくは、660となります。
標準の設定からご変更されたい場合は、SSHの設定ファイルのumask値を変更をいただきますようお願いいたします。
本手順は無保証となります。作業をされる際は、お客様の責任にてご実施ください。
※各コマンドの内容や、作業の結果につきましては弊社のサポートをおこなわせていただくことができません。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
変更対象ファイル
/etc/ssh/sshd_config
1.SSH 接続でサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
2.OSのバージョンを確認します。
cat /etc/redhat-release
3.設定ファイルのバックアップをとります。
cp -a /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%Y%m%d`.bak
4.以下のコマンドを実行し、設定ファイルのバックアップが存在するかどうかを確認します。
ls -la /etc/ssh/sshd_config*
例)/etc/ssh/sshd_config.”年月日”.bakファイルが存在していれば設定ファイルのバックアップが取得できております。
5.設定ファイルの[Subsystem sftp /usr/libexec/openssh/sftp-server]の記述を確認し、以下のように変更し保存します。サーバ上の全ユーザに対し変更がかかります。
■変更前
Subsystem sftp /usr/libexec/openssh/sftp-server
□変更後
Subsystem sftp /usr/libexec/openssh/sftp-server -u 022
6.記述の変更後に、SSHDサービスの再起動を実施します。
systemctl restart sshd
7.再起動後、SFTPでのファイルのアップロードを試し、パーミッションが644になったことを確認します。
以上となります。
■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをおすすめ致します。
本ページでは、お客様ご自身でBIND 9 をアップデートする方法をご案内いたします。
■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
( Flex Mini2 / Flex Mini Cube / Flex Web/KUSANAGI with Cube/ 専用サーバ(一部) / 専用サーバ Flex シリーズ(一部) / LG / NR)
脆弱性(CVE-2020-8617)の影響を受けるバージョン
BIND 9.16系 9.16.0 から 9.16.2 まで
BIND 9.14系 9.14.0 から 9.14.11 まで
BIND 9.11系 9.11.0 から 9.11.18 まで
既にサポートが終了しているBIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系
対象CVE番号
CVE-2020-8617
- セキュリティパッチ適用対象OS
・Red Hat Enterprise Linux 6
・CentOS 6
・Red Hat Enterprise Linux 7
・CentOS 7
※本日現在(2020年6月5日)、弊社ではRHEL8/CentOS8のサービス提供はございませんので、本脆弱性の記載外とさせていただいております。RHEL8/CentOS8も脆弱性の対象となります。
※RHEL5は有償サポート延長プログラム(ELS)をご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換えをご検討ください。
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただきますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
■BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。
dig @(サーバのグローバルIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
cat /etc/redhat-release
(4). インストールされているパッケージの確認
rpm -qa|grep ^bind
※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。
(5). BINDのアップデートの実施
以下のコマンドを実行し、アップデートを行います
———————————————————–
Red Hat Enterprise Linux 6および、CentOS 6の場合
yum update bind*
———————————————————–
Red Hat Enterprise Linux 7および、CentOS 7の場合
yum update bind*
———————————————————–
(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。
Red Hat Enterprise Linux 6および、CentOS 6
/etc/rc.d/init.d/named stop
/etc/rc.d/init.d/named start
————————————————————
Red Hat Enterprise Linux 7および、CentOS 7
systemctl stop named
systemctl start named
————————————————————
(7). アップデート後のBINDパッケージのバージョン確認
rpm -qa bind
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
bind-9.8.2-0.68.rc1.el6_10.7.x86_64
■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
bind-9.11.4-16.P2.el7_8.6.x86_64
(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。
dig @(サーバのグローバルIPアドレス) (サーバに設定されているドメイン名) soa
以上、となります。
/wp-content/uploads ディレクトリ直下に .htaccess ファイルを作成し、以下の記述をおこない動作のご確認をいただくことで WordPress に対して、ある一定レベルのセキュリティを保つことができます。
基本的には、WordPress 本体やプラグイン、テーマ等を最新版へ更新し、ご運用をいただくことを推奨致します。また、WordPressのプラグイン等で2段階認証をご導入いただくこともあわせてご検討をいただきますようお願いいたします。
弊社では、導入した結果につきましてはサポートを実施させていただくことができませんのでお客様の責にてお試しをいただきますようお願い致します。
□.htaccess ファイルの記載内容
※設置の際には、拡張子txtを外し.htaccessのみにファイル名をご変更ください。
※対象ファイル内に記載がございます”サーバのグローバルIPアドレスを記載ください”は、ご利用サーバのグローバルIPアドレスへ変更し、記載を変更ください。
.htaccess
・/wp-content/uploads ディレクトリ直下の中身を見せない設定(Options -Indexes)
・.htaccess ファイルや、.htpasswdファイルに対してすべてアクセス制限
・拡張子 (.php .exe .sh .bat .cmd .psd .log .csh) に対して許可されたIPアドレス以外からのアクセス制限
※/wp-content/uploads ディレクトリにつきましては、通常写真(.jpg)や、動画(.mp4)等がアップロードされるディレクトリとなります。
第三者が設定した不正なプログラムやバックドアの場合は、/wp-content/uploads ディレクトリ配下に設置され、実行されるケースがございます。
そのため、不正に設置された場合でも、拡張子(.php .exe .sh .bat .cmd .psd .log .csh)の場合に限りアクセス制限されるため、結果として実行できない設定となります。
なお、WordPress のセキュリティに不安がある方は、Plesk コントロールパネルの WordPress の管理機能( WordPress toolkit )のご導入もおすすめ致しております。
WordPress toolkit をご利用には、Pleskを搭載したサーバへのご移行が必要となります。
また、技術的には、.htaccessファイルを利用したPOSTの接続元制限をおこなうことも可能でございますので動作されるサイトにあわせ必要に応じて設置をいただきますようお願いいたします。
Pleskコントロールパネルを搭載したサービスと致しましては、以下のサービスがございます。ぜひ、弊社のサーバをご検討をいただきますようお願いいたします。
<Flex Web シリーズ>
▼https://ci.clara.jp/solution/sthark/discontinued/flex-web-series/
WAF(※Secureプラン・Proプランのみ)を搭載したサービスとなります。
WAFは、WebサイトやWebアプリケーションへの一般的な攻撃を検知および防止するWebアプリケーションファイアウォールです。
<Flex Mini Cube シリーズ>
▼https://ci.clara.jp/solution/sthark/discontinued/flex-mini-cube/
また、以下のオプションサービスもご提供させていただいておりますため、あわせてご検討をいただきますようお願い致します。
<クラウド型WAFソリューション>
https://ci.clara.jp/solution/security/shadan-kun/
Plesk Onyx からのWordpress のインストール方法をご案内させていただきます。
作成済みのWebサイトがございます場合は、上書きされる場合がございます。
そのため、Wordpress のインストール前に事前に、お客様側でWebコンテンツすべてのバックアップをいただくことを推奨いたします。
1.Pleskにログイン
2.画面左の[ドメイン]を選択
3.インストール対象のドメインを選択
4.その後、以下の[インストール]ボタンを選択
5.Wordpress のインストールが始まりますと、Pleskの画面の右下にインストール中の表示がおこなわれます。
インストール完了までそのまま、お待ちください。
6.Wordpress のインストールが完了致しますと以下の画面となります。
WordPress のインストールは、以上となります。
Plesk Onyx から作成したWordpressの管理画面にログインをいただくには、以下のURLをご参照ください。
▼Plesk Onyx : Plesk からインストールをしたWordPress の管理画面にログインする方法について
公開日2020年4月14日
更新日2021年8月2日
Gmailをメールクライアント(Gmailで他のメールサーバー経由でのメール送信設定)としてご利用されている場合に、以下のエラーが発生しメールが送信できない事象がございます。
応答:
TLS Negotiation failed, the certificate doesn’t match the host.
その他のメールクライアントソフトでは問題発生の報告はいただいておりません。
原因は、Gmailのセキュリティ強化のため(証明書検証の要件がデフォルトで有効になった)と考えております。
<デフォルトの TLS およびその他の新機能を使って Gmail のメール セキュリティを強化する >
https://gsuiteupdates-ja.googleblog.com/2020/04/tls-gmail.html
※弊社管理サイトではございません。
そのため、Gmailをメールクライアントとしてメール送信される場合には、Gmail側の「SMTPサーバー名」と、ご利用のメールサーバ用のSSL証明書の「コモンネーム」を文字列を完全一致させる必要がございます。
本現象は、メールサーバ用のSSL証明書を別途ご購入いただき、適切に証明書を反映することで問題解消できると考えております。
また、取り急ぎ問題を回避するためには、その他メールクライアントソフトをご利用ください。
<SSLサーバ証明書>
https://www.sthark.com/ssl-server-certificate/
※仕様のため、1メールサーバにつき1つのSSL証明書しか反映させることができません。
(※メール用のSNIを除く)
・現在コントロールパネルにPlesk Onyxをご利用されている方に限り、Plesk OnyxからPlesk Obsidianへアップデートをいただくことで、Pleskの機能上ではメール用のSNIをご利用をいただくことができます。(※受信メールサーバが、Dovecotを利用している場合に限ります。Courier-IMAPではご利用できません。)
詳細につきましては、以下のURLを確認いただき、ご検討をいただきますようお願い致します。
<【※重要※必ずご確認ください】Plesk Onyx 自動アップデートのお知らせ>
https://spt.clara.jp/2020/01/6076/
※TLSのバージョンの問題等もございますため、CentOS6以上のみ有効な方法となります。
CentOS5以下はTLS1.2以上がご利用できません。
CentOS5以下をご利用のお客様は、OSサポートが終了していることもあり、以下の後継サービス等へのご移行を推奨させていただいております。
<LGプラン(共有)>
https://cloud.clara.jp/plan/lg-plan/
※CentOS8も選択可能でございます。
<Flex Mini Cubeシリーズ>
https://www.sthark.com/flex-mini-cube/
※Flex Mini Cubeシリーズは、CentOS7を搭載しており、OSのサポート期限が2024年6月30日までとなっており、セキュアで安定してご利用をいただくことができます。
※コントロールパネルにPleskおよび、Webminをご選択いただくことができます。
コントロールパネルにPleskをご選択された場合に、関連するFAQと致しましては以下のFAQとなります。
<Plesk Onyx : メールサーバに対してLet’s Encryptで作成したSSL証明書を有効化したい>
https://spt.clara.jp/ufaqs/id-6637/
サーバのご移行が難しい場合につきましては、通常のメールソフトをご利用をいただき、メール送受信をおこなっていただきますようお願いいたします。
<サーバご利用マニュアル – メールのご利用方法>
https://spt.clara.jp/manual/mail/
設定条件:DNSサーバが、Plesk Onyxサーバを参照している場合には、メールの送受信両方ともDKIM署名の検証をおこなうことはできます。
ただ、外部のDNSサーバ(Plesk Onyxサーバ以外のDNSを利用している場合)を利用している場合には、DKIM署名は送信メールのみ機能します。メールの受信時にDKIMの検証をおこなうことはできません。
回避策としては、PleskのDNSサーバをオフにし、外部のDNSサービスにDKIM関連のDNSレコードを追加いただいた後にはじめてメール受信時に検証がおこなえるようになります。
外部のDNSサーバを使用するドメインに対してDKIMメール署名を有効にする方法は以下となります。
<How to get the DKIM public key from Plesk if DNS is not installed? >
https://support.plesk.com/hc/en-us/articles/115000214973
※弊社管理サイトではございません。
※弊社ではコマンドラインでのサポートをおこなわせていただくことはできませんのでお客様の責にてご実施いただきますようお願いいたします。
Plesk Onyxで、メール送信時のDKIM署名設定をおこなうためには、以下の操作手順となります。
1.Pleskにログイン
2.画面左の[ドメイン]を選択
3.設定対象ドメイン名のリンクを選択
4.設定対象ドメインの[メール設定]のアイコンを選択
5.次の画面の[送信メールメッセージに電子署名するために DKIMスパム検知システムを使用]のチェックボックスを選択し、[OK]ボタンを選択
※もし、上記設定項目が表示されていない場合は、Pleskの画面の左側の[ツールと設定]を選択、[メールサーバ設定]を選択、[送信メールの電子署名を許可する]の右側にチェックを選択し、画面下の[OK]ボタンを選択ください。
6.その後、DNSの浸透後にメールの送信テストを実施いただき、メールヘッダ上に dkim=pass という表記が追加されたことをご確認ください。
Plesk Onyx から以下の設定変更をいただくことで、Plesk のパッケージの更新(MU)がおこなわれないように設定変更をいただくことができます。
※本手順を実施することにより、Plesk本体等の修正パッチ等の適応がおこなわれなくなり、セキュリティのリスクや、Plesk本体の問題の解消がおこなわれなくなりますので、あらかじめご了承ください。
1.Pleskにログイン
2.画面左の「ツールと設定」を選択
3.「アップデートとアップグレードの設定」を選択
4.[Plesk アップデートを自動インストールする(推奨)]のチェックを外し、「OK」ボタンを選択します。 
以上、となります。
※お知らせ
2020年6月17日現在、Pleskのアップデート(Plesk17.8.11 からPlesk Obsidian)へアップデートをおこなうと各パッケージの更新が失敗し、メールの送受信等に影響を及ぼす事象が発生するケースが発生しております。
その後Plesk社へ確認をおこなわせていただいたところ、glib2のパッケージが(glib2-2.54.2-2.el7)未満のバージョンだとPlesk本体の更新に必ず失敗します。
そのため、アップデート作業前に必ずglib2のパッケージの更新作業をおこなっていただいてから、Pleskのアップデートをお試しいただきますようお願い致します。
<Plesk Onyxでglib2のパッケージのみアップデートをおこないたい>
https://spt.clara.jp/ufaqs/id-8225/
もし、ご実施され問題が発生しPleskが破損した場合は、サーバ全体の停止したうえで、弊社側でレストア作業(※弊社営業時間内: 平日10:00-18:00)となります。
PleskOnyx にログインいただき、以下の操作をおこなっていただくことで、お客様側でもPleskOnyx (17.0.17からPlesk Obsidianへ)手動でアップデートをおこなうことができます。
なお、自動アップデート中には、Webサーバおよび、メールサーバ等につきましては複数回の再起動が発生致しますのであらかじめご了承ください。
0.事前準備:ディスク容量および、ファイル作成上限値(inode)が、80%以下であることを確認します。
Flex Mini Cube / Flex Webシリーズをご利用のお客様の場合は、以下のURLをご確認いただき、専用のコントロールパネル(パワーパネル)にログインいただき操作いただくことで、現在のリソース(ディスク容量等)を確認いただくことができます。もし、80%以上の使用率だった場合は、データを整理いただきますようお願いいたします。
ディスク容量が逼迫致しますとPleskが破損し、正常に動作しなくなります。
また、何らかの要因により、Pleskが破損した場合は、サーバ全体の停止したうえで、弊社側でレストア作業(※弊社営業時間内: 平日10:00-18:00)となります。
パワーパネル-ログイン方法
リソース利用状態の確認
※【重要】glib2パッケージバージョンの確認
以下のFAQの手順をPleskのアップデート前に必ず実施してください。もしアップデートしない場合は、メールの送受信ができない等のトラブルが発生します。
<Plesk Onyxでglib2のパッケージのみアップデートをおこないたい>
https://spt.clara.jp/ufaqs/id-8225/
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
1.上記の事前確認後に、Pleskにログイン
※Pleskの管理者パスワードがご不明な場合は、以下のFAQをご参照ください。
▼パスワードがわからなくなってしまった
2.画面左の[ツールと設定]を選択し、やや右下の[アップデートとアップグレード]を選択
3.[製品のインストールまたはアップグレード]のアイコンを選択 
4. 選択いたしますと、以下のような「ダウンロード中」や、「Pleskインストーラが更新されました」の画面が表示されますので、画面を閉じず、そのままお待ちください。 
5.[Plesk18.0.21 ] が選択されていることを確認し、「続ける」を選択 
6.以下のようにインストールが開始されますので、しばらくお待ちください。 
8. 正常に完了致しますと以下の画面表示となります。その後、「OK」ボタンを選択 
9.問題ない場合は、ブラウザの×ボタンを選択し、ブラウザを終了します。
10.Pleskに再度ログインすると以下のライセンス同意の画面が表示されますので、「同意する」を選択
11. その後、問題なくPleskに接続できるかどうかをご確認をいただきますようお願いいたします
以上となります。
特定のドメインのみWAFを無効化する手順については以下の操作となります。
ただ、WAFを無効化いただくことでWebサイトのセキュリティは下がります。そのため、そのリスクを踏まえたうえでご操作をいただきますようお願い致します。
もし、不正にWebサイトが改ざんされた場合で、弊社の調査をご希望の場合は、以下のサービスのお申込みが必要でございます。
不正侵入レスキューサービス 申込フォーム
※不正侵入レスキューサービス| 50,000円(税抜) (営業時間内作業:原因調査のみ)以上の費用が発生致しますのであらかじめご了承ください。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
1.Pleskにログイン
2.画面左の[ドメイン]を選択し、無効化したい対象ドメインのリンク選択
3.[ウェブアプリケーションファイアウォール]のアイコンを選択 
4.[ウェブアプリケーションファイアウォールのモード]を[オフ]を選択し、[OK]ボタンを選択
以上となります。
導入されているWAFのルールが誤動作した場合には、以下の操作をおこなっていただくことで特定のWAFルールのみをWebサーバ全体で除外することができます。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
1.Pleskにログイン後、[ツールと設定]を選択
2.[ウェブアプリケーションファイアウォール(Mod Security)]を選択
3.[ModSecurity ログファイル]のリンクを選択 
4.誤判定された時間帯をログから特定し、IDを調べ、メモに控えます。 
5.IDを以下の[セキュリティルール ID ]枠に入力し、[OK]ボタンを選択 
以上、となります。
Plesk Obsidian から以下の操作をおこなっていただくことで、WAF(Mod Security)をインストールし、全ドメイン有効化することができます。
※本作業中につきましては、ブラウザは絶対にブラウザを終了しないでください。不整合が起きる可能性がございます。
※WAFを導入いただくことでWAFのフィルタが存在していた場合には、検知もしくは遮断をおこなうことができます。ただ、WAFのフィルタが存在しない間のゼロデイ攻撃等につきましては防ぐことはできません。基本的には、CMS本体、プラグイン等を最新版へアップデートをおこなっていただくことが基本的な対処方法となりますので、Webコンテンツ側の更新等もあわせておこなっていただくことを強く推奨いたします。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
1.Pleskにログイン
2.Pleskにログイン後、[ツールと設定]を選択
3.[アップデート]を選択
4.別のタブが表示され、以下の[コンポートを追加/削除]のボタンを選択。
5.次の画面の[Web hosting]の+を選択し、Mod Security の[インストール]を選択し、[OK]ボタンを選択
6.インストール完了後、[OK]ボタンを選択 
7.WAFのインストール後、以下の操作をいただくことで全ドメインWAFを有効化することができます。
8.[ツールと設定]を選択し、[ウェブアプリケーションファイアウォール(Mod Security)]を選択 
9.次の画面から、[ウェブアプリケーションファイアウォールのモード]を[オン]を選択し、[Atomic Standard]を選択し、[OK]ボタンを選択
Atomic ModSecurity ルールセットの内容につきましては、Pleskのマニュアル(Atomic ModSecurity ルールセット)をご参照ください。
※AlmaLinux 8をご利用のお客様へ、AlmaLinux 8では、デフォルトでModSecurity ルールセット[Atomic Standard]が有効ではございません。
その為、AlmaLinux 8で[Atomic Standard]をご利用されたい場合は、以下URLをご参照にお客様にて設定をお願いいたします。
RHEL 8/CloudLinux 8/AlmaLinux 8 および Rocky Linux 8 OS 上の Plesk の ModSecurity で Atomic ルールセットを有効にするにはどうすればよいですか?
※AlmaLinux 9をご利用のお客様へ、ModSecurity ルールセット[Atomic Standard]は、AlmaLinux 9ではサポートされておりません。
その為、AlmaLinux 9でご利用される場合は、[OWASP]または、[Comodo]をお客様環境に合わせて選択ください。
詳細は以下URLをご参照ください。
ウェブアプリケーションファイアウォール(ModSecurity)
有効化の操作方法は、以上となります。
WAFを有効化されていて、特定ルールのみWebサーバ全体で除外する方法につきましては、以下のFAQをご参照ください。
Plesk Obsidian : 特定の条件だけWAFのルールから除外したい
本手順をおこなった場合は、全ドメインWAFが有効化された状態となります。
特定のドメインのみWAFの動作を無効化したい場合は、以下の操作を追加にておこなっていただきますようお願いいたします。
Plesk Obsidian : 特定のドメインのみ、WAFを無効化する手順について
PHP 5.1.0 以降、タイムゾーンを 正しく設定せずに日付/時刻関数がアクセスされる場合に、Web サーバのエラーログに出力されます。
Webサーバのエラーログが肥大化する要因になるため、PHPプログラム上でのタイムゾーンの定義をおこなう、もしくは、各ドメイン側のphp.iniファイル側で設定をいただくことを推奨致します。
詳細な内容につきましては、▼PHPマニュアルをご参照ください。
ログの出力例)
[Thu Dec 05 14:26:04.578636 2019] [fcgid:warn] [pid 18059] [client
XX.XX.XX.XX:54706] mod_fcgid: stderr: PHP Fatal error: Uncaught
exception ‘Exception’ with message ‘DateTime::__construct(): It is not
safe to rely on the system’s timezone settings. You are *required* to
use the date.timezone setting or the date_default_timezone_set()
function. In case you used any of those methods and you are still
getting this warning, you most likely misspelled the timezone
identifier. We selected the timezone ‘UTC’ for now, but please set
date.timezone to select your timezone.’ in
/var/www/vhosts/exsampleA.com/httpdocs/date.php:3
そのため、サーバ側でPHPのタイムゾーンの設定をおこなうためには、以下の操作手順となります。
PleskObsidianで各ドメイン毎にタイムゾーン設定をおこなう場合の操作手順
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
1.Plesk にログイン
設定対象のドメインの[PHP設定]を選択
※[PHP設定]のアイコンが表示されない場合は、[展開する]を選択してください。
2.画面一番下の[追加構成ディレクティブ]の右側の枠内に、以下の内容を追記
date.timezone = Asia/Tokyo
3.最後に、[OK]ボタンを選択
以上となります。
一度に送信されるメールの通数を100通以下にしていただき、メールの送信いただく方法をおすすめしております。そのため、100通を超えるメーリングリスト等での配信もおすすめしておりません。
理由と致しましては、各携帯会社やGmail 等ではメールの同時送信に対して規制をかけております。現時点(※2020年3月19日)での情報となります。詳細につきましては、以下の各携帯会社やGmail等のURLをご参照ください。
なお、メールの大量配信をおこなった結果、メールの配送遅延やDNSBL等のブラックリストに登録される場合などがございますので、お客様の責にてご判断をいただきますようお願いいたします。
■docomo
https://www.nttdocomo.co.jp/service/imode_mail/notice/mass_send/
■au
https://www.au.com/mobile/service/attention/specification/
■SoftBank
https://www.softbank.jp/mobile/support/mail/antispam/howto/wrestle/
Let’s Encryptがインストールされた後に、Let’s Encryptで発行したSSL証明書をメールサーバに対して適応することでメールサーバを指定のコモンネームにてご利用をいただくことができます。
Plesk Onyxは、1つのコモンネームまで設定可能となります。
複数のコモンネーム利用(メール用のSNI)をご希望の場合は、Plesk Obsidianにアップデートおよび、受信メールサーバ(Courier-IMAPから、Dovecotへ)切り替えをおこなっていただくことでご利用可能となります。詳細につきましては、以下のお知らせをご参照いただきますようお願い致します。
【※重要※必ずご確認ください】Plesk Onyx 自動アップデートのお知らせ
もし、Plesk Onyxで Let’s Encrypt がインストールされていない場合は、以下のFAQをご参考にいただきインストールをお試しいただきますようお願い致します。
・Let’s Encryptのご利用の場合は、費用は発生したしません。
・Let’s Encryptは、定期的に証明書を自動更新されるものとなります。
・Pleskに限り、SNI及び、Let’s Encryptを導入するまでのサポートはおこなわせていただきますが、SNIおよび、Let’s Encryptを導入後の結果はサポートをを行わせていただくことができません。
・対象コモンネームのDNSレコードの参照先を途中で、Plesk以外の他のサーバに変えた場合は、SSL証明書の更新がおこなえなくなる仕様となります。
https://spt.clara.jp/ufaqs/id-524/
1.Pleskにログイン
2.画面左の「ツールと設定」を選択
3.[SSL/TLS証明書]を選択
4.[Let’s Encrypt] のボタンを選択
5.次の画面の[ドメイン名]にメールサーバのFQDN名(例:mail.ドメイン名)を入力します。
※メールソフトに設定されております送信サーバ名、受信メールサーバ名の文字列と、ここで設定される文字列が完全一致させる必要があります。
もし、文字列が完全一致していない場合は、メールソフト側でSSL証明書を使った通信方法(SMTPS,POPS,IMAPS) 接続時に証明書エラーが表示されます。
また、メールアドレスもご入力し、[インストール]ボタンを選択
6.[メールのセキュリティ強化用]の[変更]ボタンを選択
7.次の画面の[証明書を選択]のプルダウンから、[ Let’s Encrypt certficate(サーバプール)を選択し、[OK]ボタンを選択
8.メールサーバに対してのSSL証明書適応作業は以上となります。
その後、SSL証明書エラーがないかをご確認ください。
メールでSSL証明書をご利用される場合につきましては、ご利用のメールソフトの設定変更が必要となります。
・送信メールサーバ(発行したコモンネーム名と完全一致)
・受信メールサーバ(発行したコモンネーム名と完全一致)
※IPアドレスでは、SSL証明書をご利用いただくことができません。もしご利用された場合には証明書のコモンネーム名と不一致となるため必ず証明書エラーとなります。
メールの接続をSSLへ切り替える際に必要な変更箇所
■受信(POP接続→POPS接続)をご利用の場合
110番ポート→995番ポート
■受信(IMAP接続→IMAPS接続)をご利用の場合
143番ポート→993番ポート
□送信(SMTP→SMTPS接続)をご利用の場合
587番ポート→465番ポート
ご利用の各メールソフトにより、SSLを使用にチェック入れる等の変更手順等が異なりますので検索サイト等でお調べいただきお客様にてご変更をいただきますようお願い致します。
・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・更新するパッケージによっては、サービスの再起動が発生致します。
・更新するパッケージによっては、実際の反映までサーバの再起動が必要なケースもございます。内容につきましては、お客様ご自身でお調べいただきますようお願い致します。
1.Plesk Onyxにログインします。
2.ログイン後に。以下の画面表示の[詳細を表示]のリンクを選択。
3.次の画面の右上の枠に、更新対象のパッケージ名を入力。
例) ※ネームサーバ(bind)を更新されたい場合は、以下の例になります。
更新対象のパッケージが存在していた場合は、上記画面のように一覧に表示されます。
4.更新対象のパッケージ名の左側のチェックボックスを選択し、[更新]ボタンを選択
5.その後、以下の確認画面が表示されますので、更新されたい場合は、[OK]ボタンを選択
その後、画面右隅に以下の表示となりますのでしばらくお待ちください。
以下の画面表示になりましら、正常に更新できたという表示となります。
6.更新した対象パッケージの動作確認をお願い致します。
例)ネームサーバ(bind)の場合ですと、名前解決が正常におこなえているかどうかの確認をお願い致します。
お客様による Ghostscript 関連のパッケージのアップデート方法
2020年2月6日(木)
■問題の概要
平素は弊社サービスをご利用いただきましてありがとうございます。
弊社提供のサーバのOSに、RHEL7および、CentOS7を搭載しているサーバ 、Flex Mini Cubeシリーズ、Flex Webシリーズ(CentOS7のみ)、KUSANAGI with Cubeシリーズで遠隔の第三者によって細工されたファイルを Ghostscript が処理することで、Ghostscript の権限で任意のコマンドを実行される可能性があると公表がありました。
詳細につきましては、以下のリンクをご参照ください。
※なお、サーバOSにRHEL5,CentOS5,RHEL6,CentOS6を搭載したサーバ、Flex Mini シリーズおよび、Flex Mini 2シリーズは,本脆弱性の対象外となります。
Ghostscript におけるアクセス制限回避の脆弱性
RedHat社のページ(CVE-2019-14869)
■脆弱性を受ける可能性が高いOSバージョンおよび、サービス名
弊社提供のサーバのOSにRHEL7および、CentOS7を搭載しているサーバ 、Flex Mini Cubeシリーズ、Flex Webシリーズ(CentOS7のみ)、KUSANAGI with Cubeシリーズのみが対象となります。
■脆弱性の影響を受けるバージョン
- Ghostscript 9.27 およびそれ以前
なお、今回の脆弱性におきましては、 Ghostscript 関連のパッケージのアップデートをお勧めいたします。
本ページでは、お客様ご自身にて Ghostscript 関連のパッケージのアップデートをおこなう方法をご案内いたします。
※2020年2月6日現在の情報となります。
アップデートに関する注意事項
・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
Ghostscript 関連のパッケージのアップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). インストールされているパッケージの確認
| #rpm -qa | grep ghostscript |
特に何も表示されない場合には、 Ghostscript のパッケージが入っておりません。脆弱性影響の対象外となります。
脆弱性の対象バージョンは以下のようなコマンドの出力結果となります。
例)rpm -qa | grep ghostscript
ghostscript-devel-9.07-31.el7_6.11.x86_64
ghostscript-9.07-31.el7_6.11.x86_64 ←作業をおこなう必要がある対象バージョン
ghostscript-fonts-5.50-32.el7.noarch
(3). Ghostscript 関連のパッケージアップデートの実施
以下のコマンドを実行し、 Ghostscript 関連のパッケージのアップデートを行います。
| #yum update ghostscript |
(4). アップデート後のパッケージバージョンの確認
| # rpm -qa | grep ghostscript |
上記コマンドを再度実行し、セキュリティパッチが適用されているパッケージのバーション(以下の青文字を参照)かどうかを確認します。
■セキュリティパッチが適用されているGhostscriptのパッケージのバーション
RHEL7,CentOS7 ghostscript-9.25-2.el7_7.3.x86_64
(5). 運用中のWebサイトの動作確認
以上、となります。
なお、コントロールパネルにPlesk Onyxをご利用されている場合には、Plesk上からも特定パッケージのみ選択して更新をおこなうことができます。
詳細な手法については、以下のFAQをご確認をいただきますようお願い致します。
Plesk Onyxで特定のパッケージのみアップデートをおこないたい
なお、お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。
□メールのご依頼フォーマット
メールの件名: Ghostscript のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無 (必要 or 不要)
※「必要」,「不要」のいずれかのご記載をいただきますようお願い致します。
本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
1.Plesk Onyx にログイン(adminユーザにてログイン)
2.画面左の「ツールと設定」を選択
3.[管理アクセスの制限]を選択
4.「設定」ボタンを選択
5.「リストに含まれないネットワークからのアクセスを拒否する 」にチェックを選択し、[OK]ボタンを選択
6. その後、[ネットワークを追加]ボタンを選択
7.[サブネットまたは IP アドレス *]欄に、許可をされたいIPアドレスを入力し、
[OK]ボタンを選択
8.IPアドレスの登録が正常に完了すると以下のような画面表示となります。
また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。
110.50.254.20/32
110.50.240.123/32
202.3.141.6/32
なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。
本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。
1.Plesk にログイン(adminユーザにてログイン)
2.画面上の[サーバ]タブを選択
3.[管理アクセス制限]を選択
4.[リストにないネットワークからの接続を拒否する]の左側にチェックを選択し、[設定]ボタンを選択
5. その後、[新しいネットワークの追加]ボタンを選択
6.[サブネットまたは IP アドレス *]欄に、許可をしたいIPアドレスを入力し、[OK]ボタンを選択
また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。
110.50.254.20/32
110.50.240.123/32
202.3.141.6/32
202.51.9.10/32
なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。
本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。
1.Plesk にログイン(adminユーザにてログイン)
2.画面左の「ツールと設定」を選択
3.[管理アクセスの制限]を選択
4.「リストに含まれないネットワークからのアクセスを拒否する 」側にチェックを入れ、右下の「設定」ボタンを選択
5. その後、[新しいネットワークの追加]ボタンを選択
7.[サブネットまたは IP アドレス *]欄に、許可をしたいIPアドレスを入力し、[OK]ボタンを選択
また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。
110.50.254.20/32
110.50.240.123/32
202.3.141.6/32
なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。
本手順につきましては、許可されたIPアドレスのみPleskに接続できるようにする手順となります。
基本的に、グローバルIPアドレスが固定の環境下で制限をおこなっていただくことを推奨致します。
1.Plesk Onyx にログイン(adminユーザにてログイン)
2.画面左の「ツールと設定」を選択
3.[管理アクセスの制限]を選択
4.「設定」ボタンを選択
5.「リストに含まれないネットワークからのアクセスを拒否する 」にチェックを選択し、[OK]ボタンを選択
6. その後、[ネットワークを追加]ボタンを選択
7.[サブネットまたは IP アドレス *]欄に、許可をされたいIPアドレスを入力し、
[OK]ボタンを選択
また、弊社サポートをおこなわせていただくのにあたり、以下の弊社IPアドレスの許可をいただきますようお願い致します。
110.50.254.20/32
110.50.240.123/32
202.3.141.6/32
なお、弊社IPアドレスの許可をいただけない場合は、弊社サポートをおこなわせていただくことができませんのであらかじめご了承いただきますようお願い致します。
回答
可能でございます。
Webサーバ用のサーバが1台、メールサーバ用のサーバを1台、それぞれ別々にご利用をいただくことも可能でございます。
既に1台でWebサーバおよび、メールサーバ用途で運用している場合は、以下の手順をおこなっていただくことで2台で利用をいただくことが可能でございます。
本手順につきましては、現在利用中のネームサーバを変えない前提の手順となります。
・新規サーバをWebサーバ用として利用したい場合は、Webのデータ、データベースの移行が必要となります。
・新規サーバをメールサーバ用として利用したい場合は、メールアドレスの移行が必要となります。
上記どちらのパターンでも移行後には、DNSのレコードの変更作業が必要となります。DNSのレコードの変更をおこなって初めて、新サーバへ接続されます。
新規追加サーバにつきましては、以下のサイトよりお申込みをいただきますようお願い致します。
▼Flex Mini Cubeサービス
▼KUSANAGI with Cubeサービス
▼Flex Web サービス
お客様側でのデータのご移行が難しい場合( 弊社サーバに対してご移行)には、弊社で移行を支援させていただくサービス(有償)もございますのであわせてご検討をいただきますようお願い致します。
・手順0. DNSレコード切り替え前の24時間前までに、TTL値を事前に短くします。
TTL値の変更方法については、以下のFAQをご参照ください。
DNSレコードの切り替えまでに、新サーバ上でのWebコンテンツの動作確認や、メールの動作確認を必ずおこなっていただきますようお願いいたします。
▼Plesk Onyx:TTL値を変更したい
▼Plesk12:TTL値を変更したい
▼Plesk11:TTL値を変更したい
▼Plesk9:TTL値の変更方法
・手順1. 上記手順0.の変更してから24時間経過した後に、PleskからDNSレコードの変更をおこなってください。
新サーバを利用する機能により、変更するレコード内容が変わりますので、以下の内容をご確認をいただきますようお願い致します。
■プライマリDNSがPleskを利用している場合、かつ、新サーバをWebサーバとして利用したい場合
◇変更が必要なレコード一覧
・”ドメイン名” Aレコード “新規サーバのIPアドレス”
・www.”ドメイン名” Aレコード “新規サーバのIPアドレス”
・ftp.”ドメイン名” Aレコード “新規サーバのIPアドレス”
※その他のレコードは変更不要となります。もし、変更された場合にはWeb等が閲覧できない事象が発生致します。
■プライマリDNSがPleskを利用している場合、かつ、新サーバをメールサーバとして利用したい場合
◇変更が必要なレコード一覧
・mail.”ドメイン名” Aレコード “新規サーバのIPアドレス”
・lists.”ドメイン名” Aレコード “新規サーバのIPアドレス”
・webmail.”ドメイン名” Aレコード ”新規サーバのIPアドレス”
※その他のレコードは変更不要となります。もし、変更された場合にはWeb等が閲覧できない事象が発生致します。
また、新サーバをWebサーバとして利用したい場合には、Webサーバ側でメール機能を無効化する必要がございます。
新サーバにPleskを搭載している場合の操作方法につきましては、以下のFAQをご参照ください。
▼特定ドメイン宛て(他のサーバ)にメールが受け取れないが、なぜでしょうか。
なお、新サーバをメールサーバとして利用されたい場合は、メール機能を無効化してはいけません。
回答
メールフォームからのメールがスパム判定される理由の一つの一つとして、PHPで書かれたメールフォームから送信されたメールのヘッダ情報に以下の内容が出力されている場合がございます。
■メールヘッダ出力(例)
X-PHP-Originating-Script: 10010:mail.php
CentOS6で標準されているPHP 5.3.0 以降では、標準設定でmail.add_x_header = Onとなってます。mail.add_x_header が有効化されている場合は、上記のメールヘッダが付加されます。
そのため、無効化されたい場合は、php.iniファイルを編集いただき、mail.add_x_header = Offへと変更いただくことができます。
Plesk 12 の場合の設定変更方法につきましては、以下のとおりでございます。
1.Pleskにログイン
2.ロギング後、[PHP設定]のアイコンを選択します。
3.画面下の[追加ディレクティブ]の中に、mail.add_x_header = Offを入力し、OKボタンを選択
4.設定後、該当メールのヘッダ情報にX-PHP-Originating-Script 行が出力されなくなったことをご確認ください。
2019年10月1日(火)
■問題の概要
平素は弊社サービスをご利用いただきましてありがとうございます。
弊社提供のFlex Mini Cubeサービス(Webminもしくは、コントロールパネルなし)、Flex Mini 2サービスWebminもしくは、コントロールパネルなし)で標準採用しております受信メールサーバ(Dovecot)の脆弱性(CVE-2019-11500)でサービス運用妨害 (DoS) 攻撃の公表がございました。いずれのサービスのコントロールパネル(Plesk)につきましては、今回の脆弱性の対象外となります。
詳細につきましては、以下のURLをご参照ください。
Dovecot および Pigeonhole における境界外書き込みに関する脆弱性
RedHat社のページ(CVE-2019-11500)
■脆弱性を受ける可能性が高いサービス名
Flex Mini Cubeサービス もしくは、Flex Mini 2サービスを利用している、かつ受信メールサーバにDovecotを動作させているサーバ
※Flex Mini サービスも脆弱性の対象となりますが、OSサポート(CentOS5)が終了しているため修正パッチの提供はありません。早急にサーバのご移行をご検討ください。
■脆弱性の影響を受けるバージョン
- Dovecot 2.2.36.4 未満
- Dovecot 2.3.7.2 未満の 2.3.x
なお、今回の脆弱性におきましては、 Dovecot関連のパッケージのアップデートをお勧めいたします。
本ページでは、お客様ご自身にてDovecot関連のパッケージのアップデートをおこなう方法をご案内いたします。
※2019年10月1日現在の情報となります。
アップデートに関する注意事項
・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
・本手順のアップデート中につきましては、通常の場合は数秒程度メールの受信が行えなくなりますのであらかじめご了承ください。
Dovecot 関連のパッケージのアップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). インストールされているパッケージの確認
| #rpm -qa | grep dovecot |
特に何も表示されない場合には、Dovecotのパッケージが入っておりません。脆弱性影響の対象外となります。
脆弱性の対象バージョンは以下のようなコマンドの出力結果となります。
例)
# rpm -qa | grep “dovecot”
dovecot-2.2.36-3.el7.x86_64 ←作業をおこなう必要がある対象バージョン
(3). Dovecot関連のパッケージアップデートの実施
以下のコマンドを実行し、KUSANAGI関連のパッケージのアップデートを行います。
| #yum update dovecot |
(4). アップデート後のパッケージバージョンの確認
| #rpm -qa | grep dovecot |
上記コマンドを再度実行し、セキュリティパッチが適用されているパッケージのバーション(以下の青文字を参照)かどうかを確認します。
■セキュリティパッチが適用されているDovecotのパッケージのバーション
Flex Mini 2サービス (CentOS6) dovecot-2.0.9-22.el6_10.1.x86_64
Flex Mini Cubeサービス(CentOS7) dovecot-2.2.36-3.el7_7.1.x86_64
(5). アップデート後のDovecotのサービス再起動
CentOS6の場合のDovecotのサービス再起動コマンド
| #/etc/init.d/dovecot restart |
CentOS7の場合のDovecotのサービス再起動コマンド
| #systemctl restart dovecot |
(7). メールの送受信の確認
以上、となります。
なお、お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。
□メールのご依頼フォーマット
メールの件名:Dovecot のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無(必要 or 不要)
※「必要」、「不要」のいずれかのご記載をいただきますようお願い致します。
Flex Mini シリーズをご利用をいただいております場合には、パワーパネル(PPP) からサーバの各ファイルの編集や、ファイルのコピー操作をおこなうことが可能な機能がございます。
パワーパネルのご利用方法につきましては、以下のリンクをご確認ください。
□メールサーバ用のSSL証明書の中身を入れ替えする対象ファイルは以下のパスにございます。
(※コントロールパネルPleskの場合)
| ・送信メールサーバ側の証明書パス /etc/postfix/postfix_default.pemファイル |
| ・受信メールサーバ側の証明書パス /usr/share/courier-imap/imapd.pemファイル /usr/share/courier-imap/pop3d.pemファイル |
Plesk Onyxをご利用の場合は、Plesk上からメール用のSSL証明書を入れ替えることができますので以下のFAQをご参照いただき、その手順からご実施ください。
▼Plesk Onyx : メールサーバ用のSSL証明書(自己証明書)を導入したい
Plesk 9から、Plesk12までご利用いただいているお客様につきましては、以下の手順からご実施ください。
弊社では、本手順ご実施いただいた結果や、内容につきましては弊社サポートをおこなわせていただくことができない内容となります。あらかじめご了承をいただきますようお願い致します。
Plesk 9から、Plesk12までご利用いただいているお客様につきましては、以下の手順からご実施ください。
弊社では、本手順ご実施いただいた結果や、内容につきましては弊社サポートをおこなわせていただくことができない内容となります。あらかじめご了承をいただきますようお願い致します。
1.パワーパネルにログイン後に[ファイルマネージャー]を選択し、上記ディレクトリまで移動します。
2.念のため、別名で証明書を同階層にコピーします。コピーの操作手順は以下のリンクをご参照ください。
3. 作業対象のSSL証明書ファイルの画面一番右側の[編集]ボタンを選択し、「秘密鍵」、「証明書」、「中間証明書」それぞれ3枚を1つのファイルとしてすべて追記し、[適応]ボタンを選択します。
・一番左のアイコンは、対象ファイルの「パーミッションの変更」アイコンとなります。
・真ん中のアイコンは、対象ファイルの「ダウンロード」アイコンとなります。
・一番右側のアイコンは、対象ファイルの「編集」アイコンとなります。
※3つのファイルを追加する際には、不正な文字列等は含めないでください。SSL証明書エラーとなり、メールの送受信ができなくなります。
4.上記3.の手順を受信メールサーバ側の証明書ファイル(/usr/share/courier-imap/imapd.pem,/usr/share/courier-imap/pop3d.pem)に対しても、同様に中身を書き換えします。
5.最後に、SSL証明書の内容を反映させるため、パワーパネル上からサーバ全体の”再起動“ボタンを選択します。
※再起動中につきましては、メールや、Webサーバは利用できません。
もし、サーバが正常に起動してこない場合は、▼障害連絡フォームよりご連絡をいただきますようお願い致します。
1.メールのパスワード変更
メールアドレスのパスワードを変更する場合には、以下の手順に沿って作業を行ってください。
1-a.コントロールパネルにログインします
正しいアカウントとパスワードを入力してPlesk コントロールパネルへログインして下さい。
コントロールパネルのURLがわからない場合には、以下のURLをご入力ください。
■Plesk コントロールパネルの URL にアクセス
[Plesk 管理用URL]
https://”ご契約サーバIPアドレス”:8443
※Pleskの管理者パスワードがご不明な場合は、以下のFAQをご参照ください。
<パスワードが分からなくなりました。教えてもらえますか?>
https://spt.clara.jp/ufaqs/id-297/
すると、各ドメインの管理ページ表示されますので、「サービス」欄から「メール」を選び、クリックします。
1-b.メールアドレスが表示されます
現在登録されているメールアドレスが表示されますので、パスワードを変更したいメールアドレスをクリックします
1-c.メールアドレスの管理画面が表示されます
このメールアドレスの管理画面が表示されます。
メールのパスワードを変更するには、ツール欄より選択設定をクリックして下さい。
1-d.選択設定ページが表示されます
メールのパスワードを変更するには、[メール名フォーム]欄の新しいパスワードに、新しいパスワードを入力して下さい。
その後、全く同じ文字列をパスワードの確認に入力して下さい。パスワードは英数字で6文字以上を設定する必要があります。
わかりやすい文字列(お客様の会社名、郵便番号、誕生日など)は絶対に使用しないでください。
メールの新しいパスワードを入力したら、OK をクリックしてください。メールアドレスのパスワードが変更されます。
メールのパスワードの変更を中止する場合には、キャンセルまたは上へボタンをクリックしてください。
1-e.メールのパスワードの変更が完了します
パスワードの変更が終了すると、このメールアドレスの管理画面が再び表示されます。
2メールソフト側のパスワードを変更いただく必要がございます。
メールソフト側でパスワードの変更をおこなわない場合は、メールの送受信ができません。必ずメールソフト側のパスワードの再設定が必要となります。
回答
接続方法の違いは以下になります。
この接続方法については、接続元制限解除等の設定をする際必要となります。
▼IPアドレス
特定のIPアドレスを指定する事でDNS(ドメインネームサーバ)の設定に影響され難く、安定した接続が可能です。但し、インターネット接続プロバイダとのご契約が固定IPアドレスではないお客様に対しては、プロバイダ単位での設定をお勧めいたします。
▼ネットワーク
IPアドレスのみの設定よりも接続元の許可範囲が広い設定でございます。小規模のネットワークを構築しているお客様に適した設定です。ネットワークアドレスがご不明の場合は、ネットワーク管理者様又はお使いのプロバイダにご確認ください。なお、あまり広いネットワークを許可すると、セキュリティの低下を招く恐れがございますのでご注意ください。
▼逆引きホスト名
DNSに登録されているIPアドレスに対応付けされた逆引きホスト名にて許可する設定でございます。特に理由が無い限りあまり利用されません。なお、この設定につきましてはDNSサーバにトラブルが起きた場合には、接続できない恐れがございますのでご注意ください。
▼プロバイダ
インターネット接続プロバイダのご契約が固定IPアドレスとしてご利用されていないお客様向け(インターネットへ接続の度にお客様の接続元IPアドレスが変わる場合)の設定でございます。インターネット接続プロバイダの逆引きホストに含まれるドメイン名にて、そのプロバイダからのみ接続を許可する方式です。許可される範囲は上記3項目よりも広くなりますが、固定IPアドレスをご利用でない場合には、この方式で設定いたします。
回答
迷惑メールでSpamAssassin も効果があまりない、自分のドメイン名が詐称されて送られているなど、弊社で解決できないトラブルもございます。
上記のような、解決しにくいトラブルを抱えてしまった場合、以下のようなサイトをご参照いただきまして、対策されることをお奨めいたします。
迷惑メール相談センター (財団法人日本データ通信協会)
http://www.dekyo.or.jp/soudan/
電話相談や違反メールの情報提供を受け付けています。
有害情報対策ポータルサイト-迷惑メール対策編-(財団法人インターネット協会)
http://www.iajapan.org/anti_spam/portal/
迷惑メールを受け取ったら(財団法人日本データ通信協会)
https://www.dekyo.or.jp/soudan/contents/taisaku/3-1.html
回答
Flex Mini Cube,Flex Web,KUSANAGI with Cube,Flex Mini2,Flex Mini,FPS,VPSシリーズの仮想共用ホスティングのサービスでは、ファイアウォール機器(物理)のご利用が出来ません。専用サーバ サービスおよび、SolaCloudシリーズをご契約のお客様のみご利用することが可能でございます。
Flex Mini Cube / Flex Web / KUSANAGI with Cube / Flex Mini2 / Flex Mini / FPS / VPSシリーズ等の仮想共用ホスティングのサービスの場合は、代替案と致しまして、VZPP、PPP 等の仮想環境コントロールパネルから、ソフトウェアファイアウォールの機能(iptablesもしくは、firewalld)を使用することが可能でございます。
以下のURLからソフトウェアファイアウォールの機能(iptablesもしくは、firewalld)の設定が可能でございますので、ご参照ください。
仮想環境コントロールパネル(VZPP、PPP)にログインします。
(詳細は以下をご参照ください。)
https://spt.clara.jp/manual/server/vzpp/
https://spt.clara.jp/manual/server/ppp/
[VEサービス]-[ファイアウォール]を選択し、設定を行います。
※ソフトウェアファイアウォールの機能(iptablesもしくは、firewalld)の接続ポリシー等のサポートにつきましては、弊社側ではサポートをおこなわせていただくことができませんのでご了承ください。
Flex Mini Cube シリーズのBasic Cubeプランおよび、Plus CubeプランからPlesk Onyxの「Parallels Premium Antivirus」をご利用をいただくことができるプランとなります。
Flex Web Secureプラン、Flex Web ProプランのPlesk Onyxにつきましても同様に、以下の設定をいただくことでご利用できます。
その他のプランにつきましては、ご利用には対象のプランまでプランアップをお申込み(有償サービス)をいただく必要がございます。
プランアップの詳細につきましては、以下のFAQもあわせてご参照ください。
Flex Mini Cube・Flex Web・Flex Mini2サービスのプランを変更する際の注意点はありますか?
1.Plesk(https://”ご契約サーバのIPアドレス”:8443)にログイン
2.メールアドレスのパスワードをおこないたい対象のドメインを選択
例)example.comドメインの場合
3.「メール設定」のアイコンを選択
4.[メールアドレス]のタブを選択し、メールの転送設定をおこないたい、対象のメールアドレス名を選択
5.[アンチウィルス]タブを選択し、ご希望のウィルス判定の動作を選択し、[OK]ボタンを選択
弊社のサーバのご開通時に、メールで「アカウント設定完了のお知らせ」(拡張子.pdf ) を添付ファイルにてお送りさせていただいております。
なお、弊社では2020年8月12日より内閣府の方針にもございましたとおり、パスワード付きファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)を廃止しております。パスワード付きZIPファイルが添付された攻撃メールの事例のようにセキュリティー面でも問題がございます。
<「Emotet」と呼ばれるウイルスへの感染を狙うメールについて>
https://www.ipa.go.jp/security/announce/20191202.html#L13
※弊社管理サイトではございません。
Flex Mini Dolce Cube サービス ( コントロールパネルにPlesk を選択した場合)の「アカウント設定完了のお知らせ」のサンプルとなります。
なお、セカンダリDNSの設定手順につきましては、以下のリンクをご参照ください。
▼セカンダリDNSサービスのご利用方法
また、Pleskや、Webminの初回アクセス時には、SSL証明書のエラーが表示されます。その際には、以下のFAQをご参照ください。
▼Plesk・Webminのログイン画面を閲覧すると「セキュリティ証明書に問題があります」と警告がでてログインできません。
なお、「アカウント設定完了のお知らせ」自体をご紛失された場合は、以下のFAQをご参照ください。
公開日:2019年06月07日
更新日:2022年10月12日
ご利用のコントロールパネルやOSのバージョンによって異なります。
Pleskの場合
| バージョン | SNI (Web) |
SNI (メール) |
Let’s Encrypt ※1 |
有償のSSL証明書(2枚目以降のSSL証明書は、追加IPアドレス)必須※2 |
| Plesk8 | × | × | × | 〇 |
| Plesk9 | × | × | × | 〇 |
| Plesk10 | × | × | × | 〇 |
| Plesk11 | △※5 | × | × | 〇 |
| Plesk12 | △※5 | × | × | 〇 |
| Plesk Onyx | 〇 | × | △(インストールすれば 可)※3 | 〇 |
| Plesk Obsidian |
〇 |
△ |
△(インストールすれば 可)※3 | 〇 |
・SNIとは、対応ブラウザよっては1台のサーバ(1つのIPアドレス)で,複数ドメインのSSL証明書を運用できるものとなります。SNI機能をご利用の場合は、追加IPアドレスなしで2枚目以降のSSL証明書をご利用できるものとなります。
Pleskの場合でSNIを利用いただく場合の手順と致しまして、各ドメイン側の[SSL証明書のアイコンよりSSL証明書をインストールする手順]となります。
※Pleskのアップデートをおこなうことができません。Pleskのアップデートをおこなった場合は、弊社サポートの対象外となります。Plesk Onyxをご利用されたい場合は、サーバのご移行が必要となります。詳細につきましては、弊社サポートまでお問い合わせをいただきますようお願い致します。
※1.Plesk上で管理できるLet’s Encrypt を指します。弊社開通時では、標準ではLet’s Encryptの拡張パッケージはインストールされておりません。
Pleskに限り、SNI及び、Let’s Encryptを導入するまでのサポートはおこなわせていただきますが、SNIおよび、Let’s Encryptを導入後の結果はサポートをを行わせていただくことができません。
※2 有償のSSL証明書を導入ご希望の場合は、以下のフォームよりお申込みいただきますようお願いいたします。
弊社取り扱いのSSLサーバ証明書について
※3 Plesk Onyx上で、Let’s Encryptをご利用される場合の手順につきましては、以下FAQをご参照ください。
Plesk Onyxで、Let’s Encryptを利用したい
※4 Pleskの受信メールサーバ(Courier-IMAPから、Dovecot)へ切り替えをおこなって初めてメール用のSNIがご利用できます。切り替えの詳細については、以下のお知らせをご参照ください。
▼https://spt.clara.jp/2020/01/6076/
※5 拡張機能よりSNIをインストールいただく必要がございます。なお、当該Pleskのバージョンにつきましては、ベンダーサポートが終了しておりますことから、弊社におきましても本機能につきましてはサポートいたしかねます。
※ご利用のPleskのバージョンの確認方法については、以下のFAQをご参照ください。
使用しているPleskのバージョンの確認方法を教えてください
Webminおよび、コンパネなしの場合
| OSバージョン | SNI ※4 | Let’s Encrypt ※4 |
有償のSSL証明書(2枚目移行のSSL証明書追加IPアドレス必須※5 |
| CentOS5 | × | × | 〇 |
| CentOS6 | △(サポート対象外) | △(サポート対象外) | 〇 |
| CentOS7 | △(サポート対象外) | △(サポート対象外) | 〇 |
※OSのアップデートをおこなうことができません。OSのアップデートをおこなった場合は、弊社サポートの対象外となります。
新しいOSをご利用されたい場合は、サーバのご移行が必要となります。詳細につきましては、弊社サポートまでお問い合わせをいただきますようお願い致します。
※4 基本的に導入までは、コマンドラインでの操作となります。そのため、Webminおよび、コンパネなしの場合は、SNI及び、Let’s Encryptを導入するまでのサポートおよび、導入後の結果は、サポートの範囲外となります。
※5 有償のSSL証明書を導入ご希望の場合は、以下のフォームよりお申込みいただきますようお願いいたします。
弊社取り扱いのSSLサーバ証明書について
コントロールパネルPleskが導入されている場合は、以下の操作をおこなっていただき、表示される数字(IPアドレス)をご確認ください。
※「共有」の箇所の数字をご参照いただきますようお願いいたします
・Plesk Onyx の操作手順
Pleskにログイン→[ツールと設定]→[IPアドレス]を選択
・Plesk 12 の場合の操作手順
Pleskにログイン→[サーバ]タブ→[IPアドレス]を選択
・Plesk 11 の場合の操作手順
Pleskにログイン→[ツールと設定]→[IPアドレス]を選択
・Plesk 10 の場合の操作手順
Pleskにログイン→[ツールと設定]→[IPアドレス]を選択
・Plesk 9 の場合の操作手順
Pleskにログイン→[設定]→[IPアドレス]を選択
・Plesk 8 の場合の操作手順
Pleskにログイン→[サーバ]→[IPアドレス]を選択
コントロールパネルWebminが導入されている場合は、以下の操作をおこなっていただき、表示される数字(IPアドレス)をご確認ください
Webminのログインをおこなった直後の画面に、[ホスト名]欄に数字(IPアドレス)が表示された場合は、表示される数字をご確認ください。
※Webminバージョン1.830の場合に限り、IPアドレスが表示されます。
また、ご申請の前に、以下のFAQも併せてご参照ください。
Flex Mini Cube,Flex Web,KUSANAGI with Cube,Flex Mini2,Flex Mini,FPS,VPSシリーズでファイアウォール機器(物理)を設置することはできますか?
・ファイアウォールがない場合は、「接続元設定変更申請フォーム」より接続元の変更(追加/削除)のご申請をいただきますようお願いいたします。
・ファイアウォールがある場合は、「ファイアウォール設定変更申請フォーム」より接続元の変更(追加/削除)のご申請をいただきますようお願いいたします。
更新日:2023年04月20日
■対象サービス
ブルートフォースブロッカー標準搭載のサービス(ClaraCloud LGプラン / ClaraCloud Flex / KUSANAGI with Cube / Flex Mini Cube / Flex Mini Web / Flex Mini2 / SolaCloud Nano)/オプションサービス(有償)として搭載したサーバ(Flex Mini(一部) / 専用サーバ(一部)
ブルートフォースブロッカーの動作仕様につきましては、以下のリンクをご確認ください。
Plesk Obsidian / Onyxをご利用の場合
Pleskコントロールパネル内でご設定いただくことが可能です。
Plesk Obsidian:ホワイトリストを設定したい(Fail2ban)
Plesk Onyx:ホワイトリストを設定したい(fail2ban)
Plesk Onyx以前のバージョン または Plesk無しの場合
サーバ内の設定ファイルに追記・サービスの再起動を実施いただく必要がございます。
お客様にて設定される場合は以下の手順をご参考ください。
また、弊社へ追加作業をご依頼いただく場合は、以下フォームよりお申込みください。
接続元設定変更フォーム
ブルートフォースブロッカー ホワイトリスト追加方法
注意
- 作業をされる際は、お客様の責任にてご実施ください。
※各コマンドの内容や、作業の結果につきましては弊社によるサポートは致しかねます。
※お客様での作業が難しい場合は、弊社サポートまで作業のご依頼をいただきますようお願いいたします。
1.SSH 接続でサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
2.ブルートフォースブロッカーの設定ファイル確認
ls -la /etc/fail2ban/jail.*
本コマンドの結果、「jail.local」ファイルがある場合は本ファイルを以降の手順で修正します。
「jail.local」ファイルが無い場合は、「jail.conf」ファイルを以降の手順で修正します。
以降の「設定ファイル」を上記ファイルに置き換えて実施ください。
3.現在のブルートフォースブロッカーのホワイトリストの設定状態を確認
egrep -i “^ignoreip” /etc/fail2ban/設定ファイル
4.ブルートフォースブロッカーの設定ファイルをバックアップ
cp -a /etc/fail2ban/設定ファイル /etc/fail2ban/設定ファイル.´date +%Y%m%d´.bak
5.ブルートフォースブロッカーの設定ファイルを編集
vi /etc/fail2ban/設定ファイル
ignoreip = 127.0.0.1/8 1.1.1.1←※最終行に半角スペース+接続元IPアドレスを記載し、保存します。(接続元IPアドレス1.1.1.1を記載する場合)
6.追加した接続元IPアドレスが記載されていることを確認
egrep -i “^ignoreip” /etc/fail2ban/設定ファイル
7.ブルートフォースブロッカーサービスの再起動
※サービス再起動しないと設定が反映されません
OSのバージョンにより実行するコマンドが異なります。
▼Red Hat Enterprise Linux 6/CentOS 6,Red Hat Enterprise Linux 5/CentOS 5の場合
/etc/init.d/fail2ban restart
▼Red Hat Enterprise Linux 7/CentOS 7以降の場合
systemctl restart fail2ban
■問題点
既に接続元が解除されているアクセス元からFTPサーバへのアクセスができません。パスワードの入力間違え等のエラーメッセージは出ず、接続されない状況です。
■解決方法
FTPソフトの設定を以下のように変更することで改善される場合があります。
お使いのFTPソフトにてファイルのLISTコマンドの変更及び、PASVモードの OFF/ONをお試しください。
■FFFTP の場合
[設定変更]→[高度]→「LISTコマンドでファイル一覧を取得」にチェック、[拡張]にて、「PASV モードを使う」の操作で変更いただけます。
なお、この操作を実行されました後は、必ず一度FFFTPを終了してから、再度起動し、接続をお試し下さい(再接続を行っただけでは設定が反映されません)。以上の設定をされても、接続できない場合は弊社サポートまでお問い合わせください。
また、KUSANAGI with Cube / Flex Web / Flex Mini Cube /FlexMini2 / SolaCloud Nano サービスには、あらかじめ広範囲からの接続元が開放されている代わりにセキュリティ対策の一つとしまして、ブルートフォースブロッカーを標準搭載しております。ブルートフォースブロッカーサービスの詳細につきましては以下のリンクをご参照ください。
ブルートフォースブロッカーとは、対象サーバへの FTP / SSH/Webmin ログイン時に10分間に5回失敗する接続があった場合、その接続を不正なアクセスと判断し、およ そ30分間通信を遮断致します。
接続を遮断をされても30分後には自動で再接続が可能になりますが、正常なアクセスにも関わらず、誤ってサーバへの接続が遮断された場合、30分以内に再接続希望のお客様は、弊社サポート(営業時間外には障害受付センター)までご連絡ください。手動でロックを解除いたします。
■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。
■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / Flex Mini Cube / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
脆弱性(CVE-2017-3137)の影響を受けるバージョン
bind 9.9.9-P6
bind 9.10.4-P6
bind 9.11.0-P3
対象CVE番号
CVE-2017-3137
セキュリティパッチ適用対象OS
・Red Hat Enterprise Linux 6
・CentOS 6
・Red Hat Enterprise Linux 7
・CentOS 7
※RHEL5は有償サポート延長プログラムをご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換え等をご検討ください。
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
■BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
# cat /etc/redhat-release
(4). インストールされているパッケージの確認
# rpm -qa|grep ^bind
※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。
(5). Bindのアップデートの実施
以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 6および、CentOS 6の場合
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7および、CentOS 7の場合
# yum update bind*
————————————————————————————————-
(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————-
Red Hat Enterprise Linux 6および、CentOS 6
# /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start ————————————————————————————————-
————————————————————————————————-
Red Hat Enterprise Linux 7および、CentOS 7
# systemctl stop named
# systemctl start named
————————————————————————————————-
(7). BINDパッケージのバージョン確認
(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.62.rc1.el6_9.1
■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-38.el7_3.3
(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。
# dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
以上、となります。
弊社では、下記サービスを提供させていただいておりますので、ご導入をご検討をいただきますようお願いいたします。
Web改ざんチェックサービス
近年のウェブサイトの改ざんの多くは、攻撃対象の一般企業のウェブサイトに閲覧者をウイルス配布サイトなどに誘導するスクリプトを埋め込みます。
このようなセキュリティリスクに対応するため、WEB改ざんチェックサービスは、以下のようなウェブサイトの改ざんの有無を定期的に確認し、安全を継続的に確保します。例えば、WEB改ざんチェックサービスでは、検知が難しいとされるGumblar(ガンブラー)ウイルスによるウェブ改ざんの検知が可能です。
なお監視設定時にお客様のウェブサイトのコンテンツをご変更いただく必要はございませんので、比較的簡単に導入できます。
Web改ざんチェックサービスのマニュアルにつきましては、下記URLにございますのでご確認いただきますようお願いいたします。
gred セキュリティサービス マニュアル
なお、検知ではなく防御をご希望の場合には、以下のオプション製品もご検討いただきます。
https://ci.clara.jp/solution/security/shadan-kun/
回答
サーバのご提供時期によりましては、よりセキュリティの高いSSH バージョン 2 (以降、ssh2)でのアクセスに限定しております。(2012年12月現在開通しているサーバは、すべてssh2のみでアクセスできる設定となっております。)
そのため、ssh2でのアクセスに対応していないSSHクライアントソフトを使用された場合、正常にアクセスできません。
お手数ですが、「UTF-8 TeraTerm Pro with TTSSH2」、あるいは、「PuTTY」などのssh2に対応したSSHクライアントでの接続をお試しいただけますようお願いいたします。
参考(外部サイト)
UTF-8 TeraTerm Pro with TTSSH2(窓の杜)
http://www.forest.impress.co.jp/lib/inet/servernt/remote/utf8teraterm.html
PuTTY(英語)
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
■問題点
yum で自動的にアップデートがおこなわれたり、不要なパッケージがインストールされるのを回避したい。
■回答
yum の設定ファイル( /etc/yum.conf )に記述をする事で回避ができます。
設定例
例1:kernelのアップデートを回避する場合、以下を追記します。
exclude=kernel*
例2:複数ファイルのアップデートを回避する場合、以下を追記します。
exclude=kernel* php*
※それぞれ”/etc/yum.conf” の[main]のセクション以下に記述する必要がございます。
■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。
■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
脆弱性(CVE-2016-2848)の影響を受けるバージョン
bind 9.1.0 から 9.8.4-P2 までのバージョン
bind 9.9.0 から 9.9.2-P2 までのバージョン
対象CVE番号
CVE-2016-2848
セキュリティパッチ適用対象OS
Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
■BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
# cat /etc/redhat-release
(4). インストールされているパッケージの確認
# rpm -qa|grep ^bind
※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。
(5). アップデートの実施
以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————
Red Hat Enterprise Linux 5
CentOS 5Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop # /etc/rc.d/init.d/named start ————————————————————————————————-
(7). BINDパッケージのバージョン確認
(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.10
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.8
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.47.rc1.el6_8.2
(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。
# dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
以上、となります。
■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。
■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
脆弱性(CVE-2016-2776)の影響を受けるバージョン
bind 9.0.x から 9.8.x までのバージョン
bind 9.9.0 から 9.9.9-P2 までのバージョン
bind 9.9.3-S1 から 9.9.9-S3 までのバージョン
bind 9.10.0 から 9.10.4-P2 までのバージョン
bind 9.11.0a1 から 9.11.0rc1 までのバージョン
対象CVE番号
CVE-2016-2776
セキュリティパッチ適用対象OS
Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
■BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
# cat /etc/redhat-release
(4). インストールされているパッケージの確認
# rpm -qa|grep ^bind
※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。
(5). アップデートの実施
以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7
# yum update bind*
————————————————————————————————-
(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————-
Red Hat Enterprise Linux 5
CentOS 5Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop # /etc/rc.d/init.d/named start ————————————————————————————————-
Red Hat Enterprise Linux 7 CentOS 7
# systemctl stop named # systemctl start named ————————————————————————————————-
(7). BINDパッケージのバージョン確認
(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.9
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.7
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.47.rc1.el6_8.1
■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-29.el7_2.4
(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
以上、となります。
恐れ入りますが、逆引きホスト名の変更のみは承っておりませんので、
サーバのホスト名も同時に変更させて頂く必要がございます。
※ホスト名変更作業につきましては、1IPアドレスごとに費用が発生致します。
ホスト名の変更作業をご希望の際は、「ホスト名変更申込みフォーム」 にてご申請ください。
変更作業の実施日はご注文書を弊社で受領してから、3営業日以内での作業となっております。
ホスト名の変更時にはサーバの再起動が必要となりますため、予めご了承くださいませ。
通常の場合、サーバの再起動に必要な時間といたしましては、数分程度となります。
更新日:2022年07月27日
サーバのご契約後にサーバのホスト名を変更する場合は、有償作業となります。
費用につきましては、「ホスト名変更申込みフォーム」に記載がございますのでこちらをご確認ください。
ホスト名の変更作業時に、サーバ全体の再起動(各アプリケーションの再起動)
が発生いたしますことを予めご承知おきください。
サーバ全体の再起動におきましては、通常数分程度のサーバ停止時間が発生致します。
なお、別途DNSの変更作業が必要となる場合がございます。
■問題の概要
ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、
任意の OS コマンドが実行される恐れがある、脆弱性があります。
本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。
■対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン
対象CVE番号
CVE-2016-3714
対応について
RHEL5 CentOS5につきましては、ベンダーからの修正パッケージの提供がございませんので、
下記手順にて対応をお願いいたします。
Redhat社から公開されている手順と、同様となります。
https://access.redhat.com/security/vulnerabilities/2296071
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下の対応手順で正常に作業できない可能性がございます。ご注意ください。
■ 対応方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法
# cat /etc/redhat-release
(3). インストールされているパッケージの確認
# rpm -qa|grep ^ImageMagick
(4). 対応作業の実施
以下のコマンドを実行し、ファイルのリネームを行います
対象ディレクトリに移動
32bit
# cd /usr/lib/ImageMagick-6.2.8/modules-Q16/coders/
64bit
# cd /usr/lib64/ImageMagick-6.2.8/modules-Q16/coders/
※ImageMagick-6.2.8の部分はバージョンにより異なります。
ファイルをリネームします
# mv mvg.so mvg.so.bak
# mv msl.so msl.so.bak
# mv label.so label.so.bak
(5). 作業後確認
ImageMagick の動作に問題が無いことを確認してください。 以上、となります。
■問題の概要
ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、任意の OS コマンドが実行される恐れがある、脆弱性があります。本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。
■対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン
対象CVE番号
CVE-2016-3714
セキュリティパッチ適用対象OS
Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
■対応方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法
# cat /etc/redhat-release
(3). インストールされているパッケージの確認
# rpm -qa|grep ^ImageMagick
(4). アップデートの実施
以下のコマンドを実行し、アップデートを行います
Red Hat Enterprise Linux 6の場合
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
# yum update ImageMagick
(5). ImageMagickパッケージのバージョン確認
# rpm -q ImageMagick –qf ‘%{name}-%{version}-%{release}\n’
ImageMagickパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン
6.7.2.7-4.el6_7
■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン
6.7.8.9-13.el7_2
(6). 作業後確認
ImageMagick のアップデートに伴い、関連パッケージに影響が出ることがございます。
(PHPのImagick モジュール等、他のソフトウェアから ImageMagick を使用している場合)
必要に応じて、そちらも合わせてアップデート作業等を行ってください。
以上、となります。
■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。
■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
脆弱性(CVE-2016-1285)の影響を受けるバージョン
bind 9.2.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P3 までのバージョン
bind 9.10.0 から 9.10.3-P3 までのバージョン
脆弱性(CVE-2016-1286)の影響を受けるバージョン
bind 9.0.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P3 までのバージョン
bind 9.10.0 から 9.10.3-P3 までのバージョン
対象CVE番号
CVE-2016-1285,CVE-2016-1286
セキュリティパッチ適用対象OS
Red Hat Enterprise Linux 4 ELS
Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
■BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
# cat /etc/redhat-release
(4). インストールされているパッケージの確認
# rpm -qa|grep ^bind
※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。
(5). アップデートの実施
以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7
# yum update bind* ————————————————————————————————
(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————
Red Hat Enterprise Linux 5
CentOS 5Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start ————————————————————————————————-
Red Hat Enterprise Linux 7
CentOS 7
# systemctl stop named
# systemctl start named ————————————————————————————————-
(7). BINDパッケージのバージョン確認
(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.8
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.6
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.37.rc1.el6_7.7
■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-29.el7_2.3
(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
以上、となります。
■問題の概要
| CentOS6/RHEL 6 | glibc-2.12-1.166.el6_7.7以降 |
| CentOS7/RHEL 7 | glibc-2.17-106.el7_2.4以降 |
| Ubuntu 10.04 LTS | パッチの提供なし (ベンダーによる OSサポート終了) |
| Ubuntu 12.04 LTS | 2.15-0ubuntu10.13 |
※2016年2月22日現在の情報となります。 CVE-2015-7547 の修正パッケージのバージョンとなります。
※Ubuntu 10.04 LTSは、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。
※CentOS5/RHEL5は、本脆弱性(CVE-2015-7547)の対象外となります。
※アップデートに関する注意事項
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。Z
■glibc アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法
対象のOSバージョンである事を確認します。 # cat /etc/redhat-release
(3). インストールされているパッケージの確認
対象のOSバージョンである事を確認します。 # rpm -qa | egrep ‘^glibc’
特に何も表示されない場合には、glibc パッケージがインストールされておりませんので、脆弱性の影響はございません。glibc から始まる文字列が表示された場合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケージかどうかご確認ください。
(4). アップデートの実施
以下のコマンドを実行し、アップデートを行います
CentOS 6/7 、Red Hat Enterprise Linux 6/7 の場合
# yum update glibc-*
(5). glibcパッケージのバージョン確認
# rpm -qa | egrep ‘^glibc’
(6). サーバの再起動
以下のコマンドを実行し、サーバの再起動を実施します # reboot
Flex Mini 2、Flex Miniシリーズをご利用のお客様は、下記URLをご参照いただき、サーバの再起動をご実施いただきますようお願いいたします。
・Parallels パワーパネル (PPP) ご利用マニュアル
※必ず「コンテナの再起動」ボタンをご選択ください。
FPS、VPSシリーズをご利用のお客様は、下記URLをご参照いただき、サーバの再起動をご実施いただきますようお願いいたします。
・Virtuozzo パワーパネル (VZPP) ご利用マニュアル
※必ず「VEの再起動」ボタンをご選択ください。
■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。
■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
脆弱性(CVE-2015-8704)の影響を受けるバージョン
bind 9.3.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P2 までのバージョン
bind 9.9.3-S1 から 9.9.8-S3 までのバージョン
bind 9.10.0 から 9.10.3-P2 までのバージョン
対象CVE番号
CVE-2015-8704
セキュリティパッチ適用対象OS
Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
■BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
# cat /etc/redhat-release
(4). インストールされているパッケージの確認
# rpm -qa|grep ^bind
※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。
(5). アップデートの実施
以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7
# yum update bind*————————————————————————————————-
(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————-
Red Hat Enterprise Linux 5
CentOS 5Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start
————————————————————————————————-Red Hat Enterprise Linux 7 CentOS 7
# systemctl stop named
# systemctl start named
————————————————————————————————-
(7). BINDパッケージのバージョン確認
(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.6
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.5
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.37.rc1.el6_7.6
■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-29.el7_2.2
(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
以上、となります。
更新日:2022年7月27日
2018年7月頃より、メールサーバのIPアドレスの正逆不一致や、送信元メールアドレスのドメインのSPFレコードやDKIMの未設定、DNSBLに登録されたなどの理由によって、Gmail・Google Workspace宛てにメールが届かないことや、迷惑メールフォルダに振り分けられるといった事象がございます。
本事象につきましては、詳細につきましては下記URLをご参照ください。
Gmail ユーザーへのメールがブロックされたり迷惑メール扱いされたりしないようにする
本事象につきましては、宛先であるGmail側の受信ポリシーが原因となります為、弊社にて原因の確認は出来かねます。
お客様にてGmail Postmaster Tools等をご利用いただき、お調べいただきますようお願いいたします。また、以下のフォームよりGoogle社へお問い合わせをいただくこともご検討ください。
<Google社のSender Contact Form>
https://support.google.com/mail/contact/bulk_send_new
※弊社管理サイトではございません。
メールの宛先メールアドレス側でGoogle Workspaceをご利用されている場合には、メールの宛先のGoogle Workspaceを管理されております会社様側でメールの送信元(ご契約サーバ)のIPアドレス等の許可をお試しいただきますようお願い致します。
Gmail で IP アドレスを許可リストに追加する
※具体的な操作方法等につきましては、Google社のサービスとなりますため弊社サポートの対象外となります。
メールサーバのIPアドレスについて正逆が一致しているか確認させる方法につきましては、下記FAQをご参照ください。
正逆不一致になっていないかどうかを確認したい。
なお、弊社側で管理しておりますIPアドレスの逆引きホスト名をご変更される場合は、ホスト名変更のお申込み(有償)が必要となります。
詳細につきましては、下記FAQをご参照いただきますようお願い致します。
サーバのホスト名(ドメイン名)を変えたいのですが。
Plesk Obsidian・Plesk Onyxをご利用いただいておりますお客様の場合は、DKIMをご利用いただくことも可能でございます。
詳細につきましては以下のFAQをご参照いただき、ご設定をお試しいただきますようお願い致します。
Plesk Onyx以前のバージョンではDKIMの機能がございませんため、Plesk Onyxのバージョン以上のサーバへご移行が必要となります。
<Plesk Obsidian : DKIM署名を利用してメールの送信をしたいがどう設定したらいいか>
https://spt.clara.jp/ufaqs/id-12138/
<Plesk Onyx : DKIM署名を利用してメールの送信をしたいがどう設定したらいいか>
https://spt.clara.jp/ufaqs/id-7231/
回答
コントロールパネルにPleskをご選択いただいている専用サーバ、Flex Mini シリーズにおきましては SMTP over TLS に対応しております。
Plesk : メールサーバ用のSSL証明書の中身を入れ替えたい
■問題の概要
BIND 9.x
には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND
が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。
対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)
※DNS サーバとしてクララオンラインの DNS サーバ (DNS サーバ名が clara.co.jp または clara.ne.jp で終わるサーバ)
を指定されている場合には、既に対策済みとなっておりますのでご安心ください。
脆弱性(CVE-2015-5477)の影響を受けるバージョン
bind 9.1.0 から 9.8.x までのバージョン
bind 9.9.0 から 9.9.7-P1 までのバージョン
bind 9.10.0 から 9.10.2-P2 までのバージョン
対象CVE番号
CVE-2015-5477
セキュリティパッチ適用対象OS
Red Hat Enterprise Linux 5
CentOS 5
Red Hat Enterprise Linux 6
CentOS 6
※注意
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
# cat /etc/redhat-release
(4). インストールされているパッケージの確認
# rpm -qa|grep ^bind
※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。
(5). アップデートの実施
以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bindの場合)
CentOS 5
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 5の場合(bind97の場合)
# yum update bind97*
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。
# /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start
(7). BINDパッケージのバージョン確認
(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
(bind97の場合)
rpm -q bind97 –qf ‘%{name}-%{version}-%{release}\n’
BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。
■CentOS 5および、Red Hat Enterprise Linux 5の場合の修正バージョン(bind)
9.3.6-25.P1.el5_11.3
※修正バージョンは、下記バージョン(bind97の場合)
9.7.0-21.P2.el5_11.2
■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.37.rc1.el6_7.2
(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
以上、となります。
回答
Pleskからのご操作で、各アプリケーションバージョンをご確認をいただくことができます。
例としてPHPのバージョンの確認方法と致しましては、下記のとおりでございます。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
Plesk Obsidianの場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→画面右上の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.4.16-48.el7」のような表記の場合は、5.4.16-48.el7をご利用されております。
Plesk Onyxの場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→画面右上の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.4.16-46.el7」のような表記の場合は、php-5.4.16-46をご利用されております。
Plesk 12の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[サーバ]→画面左下の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.3.3-46.el6_6」のような表記の場合は、php-5.3.3-46をご利用されております。
Plesk 11の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.3.3-40.el6_6」のような表記の場合は、php-5.3.3-40をご利用されております。
Plesk 10の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.3.3-38.el6」のような表記の場合は、php-5.3.3-38をご利用されております。
Plesk 9の場合の操作手順(PHPの場合) 1.Plesk にログインします。
2.メニューから[設定]→[サーバコンポーネント]のアイコンを選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.1.6-43.el5_10」のような表記の場合は、php-5.1.6-43をご利用されております。
Plesk 8の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[サーバ]→[Pleskコンポーネントの情報]のアイコンを選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.1.6-43.el5_10」のような表記の場合は、php-5.1.6-43をご利用されております。
■問題点
yumコマンドを利用すると以下のようなエラーが出力され、アップデートできない。
出力例)
Traceback (most recent call last):
File “/usr/bin/yum”, line 29, in ?
yummain.user_main(sys.argv[1:], exit_code=True)
File “/usr/share/yum-cli/yummain.py”, line 309, in user_main
errcode = main(args)
File “/usr/share/yum-cli/yummain.py”, line 157, in main
base.getOptionsConfig(args)
File “/usr/share/yum-cli/cli.py”, line 187, in getOptionsConfig
self.conf
File “/usr/lib/python2.4/site-packages/yum/__init__.py”, line 664, in
conf = property(fget=lambda self: self._getConfig(),
File “/usr/lib/python2.4/site-packages/yum/__init__.py”, line 253, in _getConfig
self.plugins.run(‘init’)
File “/usr/lib/python2.4/site-packages/yum/plugins.py”, line 179, in run
func(conduitcls(self, self.base, conf, **kwargs))
File “/usr/lib/yum-plugins/rhnplugin.py”, line 111, in init_hook
login_info = up2dateAuth.getLoginInfo()
File “/usr/share/rhn/up2date_client/up2dateAuth.py”, line 217, in getLoginInfo
login()
File “/usr/share/rhn/up2date_client/up2dateAuth.py”, line 184, in login
li = server.up2date.login(systemId)
File “/usr/share/rhn/up2date_client/rhnserver.py”, line 64, in __call__
raise up2dateErrors.SSLCertificateVerifyFailedError()
up2date_client.up2dateErrors.SSLCertificateVerifyFailedError:The
certificate is expired.Please ensure you have the correct certificate
and your system time is correct.
■ 原因
現在の Red Hat Network CA 証明書は、2013 年 8 月に証明書の有効期限が切れます。
そのため、Red Hat Network に正常に認証がとおらず、パッケージのアップデートが失敗します。
アップデートされた証明書がインストールされるまで 2013年8月13日以降は RHN と接続できなくなります。
詳細につきましては、提供元であるRedhat社の以下のページをご参照ください。
本内容は、RHEL5が対象となります。
<RHN にシステムを接続しようとすると、”The certificate is expired” または “certificate verify failed” エラーが発生します>
https://access.redhat.com/site/ja/solutions/401723
RHEL3、およびRHEL4は、OSのベンダサポートが終了しているためサポート対象外とさせていただきます。なお、RHEL4
のExtended Life Cycle
Support(ELS)をお申込みをいただいている方は、弊社サポートまでお問い合わせをいただけますでしょうか。
また、RHEL6は、本事象の対象外となります。
■ 対処方法
以下のコマンドを root ユーザーとして実行し、RHN との通信に関する SSL を一時的に無効にします。これにより、http からパッケージをアップデートできるようになります。
注意: 以下の方法は、お客様のご判断にてご実行ください。
sed -i ‘s/serverURL=https:/serverURL=http:/g’ /etc/sysconfig/rhn/up2date
以下のように、関連パッケージをアップデートします。
yum update rhn*
root ユーザーで以下のコマンドを実行し、SSL を再度有効にします。
sed -i ‘s/serverURL=http:/serverURL=https:/g’ /etc/sysconfig/rhn/up2date
rhn-client-tools パッケージをアップデートしたら、以下コマンドにてエラーが解決したことを確認します。
yum check-update [RHEL 5]
rhn_check
なお、お客様にて上記内容の作業が難しい場合は、弊社サポートまでご依頼をいただけますでしょうか。
回答
「SSH」「FTP」「Webmin」「Plesk 8系、Plesk 9系」 でのアクセスの際の接続元アクセスの許可を、固定のIPアドレスではなく、Yahoo!BB のような接続の度にIP アドレスが変わる ISP からの接続でも許可することはできます。
■解決方法
IPアドレス設定項目をホスト名で指定してください。
例といたしまして、Yahoo!BB の場合は.bbtec.net からの接続を許可する設定にすることで利用可能です。しかし、この場合にはYahoo!BB を使っているすべてのネットワークからのアクセスを許可したことになりますので、ID 及びパスワードの管理は厳重に行う必要があります。
また、下記 URL にてお客様の接続環境を調べることが可能となっております。こちらの「接続元確認ページ」より、「プロバイダによる解除」に記載された内容をご指定ください。
接続制限解除のお願い
https://spt.clara.jp/manual/web/server-access/
また、逆引きホスト名が設定されていないIPアドレス (主に海外の接続元環境など)から接続を行う場合は、IPアドレスにて設定のご依頼をいただく必要がございます。
対象サービス
Linux専用サーバ/FPS/VPS/Flex Mini/Flex Mini 2/SolaCloud
回答
弊社側で提供をおこなわせていただいております迷惑メール対策と致しましては、下記サービスがございますのでご検討いただけますでしょうか。
迷惑メール対策サービス(Active!hunter)
対象サービス
全てのサービス
回答
support@clara.ne.jp 宛に、下記内容の情報をお知らせいただきますようお願いいたします。
- お客様番号
- 設定対象ホスト名
- ご利用サービス名
- 設定対象ホスト IP アドレス
- 接続元情報(IP アドレス/ 逆引きホスト名等)
- 設定対象サービス (SSH / FTP / Webmin / ALL)
- 設定内容 (追加 / 削除 / 変更)
なお、お客様によって/etc/hosts.allowファイルに変更が加えられた場合で、弊社へのご連絡が無い場合、不正アクセスなどの問題に関する責は負いかねますので予めご了承ください。
またお客様が記述された設定内容に明らかにセキュリティ上の重要な問題があった場合に予告無く変更させていただく場合があります。
公開日2019年5月30日
修正日2023年3月1日
回答
クララのClara Cloud LG(OS:CentOS7)、Clara Cloud Flex(OS:CentOS7)、Linux専用サーバサービス、仮想共用サーバサービス(Flex Miniシリーズ、SolaCloud サービス)では、セキュリティ保護のためサーバに接続できる接続元を制限しています。※1
また、弊社提供のRHEL8,CentOS8および、AlmaLinux8の場合は、接続元制限ではなくソフトウェアファイアウォール(nftables)を採用しております。
※今までの接続元制限(tcp_wrappers)が、REHL8,CentOS8, AlmaLinux8 からパッケージとして廃止されているため、弊社ではnftablesを採用しております。
ご開通の段階ではお客様の接続元もアクセスを制限しているため、これを解除して頂いた上でなければFTP接続やSSH接続,Webminをご利用頂くことができません。※2
そのため、サーバのお申し込み時や新たなネットワークからの接続が必要になった場合には、お客様がアクセスをされている接続元のIPアドレス等を弊社にフォームからご依頼を頂く必要がございます。
ソフトウェアファイアウォールの開放および、接続元設定を弊社にご依頼いただく場合は、下記 URLのご案内を参照下さい。
SSH・FTPのご利用方法
https://spt.clara.jp/manual/web/server-access/
※1 弊社にてお客様サーバへの接続制限を実施しているサービス・ポートは、「SSH」「FTP」「Webmin」「Pleskバージョン8系、Pleskバージョン9系のみ」となります。Plesk10以降のバージョンにつきましては、接続元の制限設定はおこなっておりません。
※2 『LGプラン(OS:CentOS7)』『Flex プラン(OS:CentOS7)』『Flex Mini Cube サービス』『KUSANAGI with Cube サービス』『Flex Web サービス』『Flex Mini 2 サービス』、『Sola Cloud Nano』に限り、特にお客様より事前にご指示いただかない限り、ご開通時より『.jp』『.bbtec.net』 が接続元である『SSH / FTP / Webmin 』サービスの接続が開放されております。
『Flex Mini サービス』につきましては、接続元の日本国内開放(『.jp』『.bbtec.net』 )は実施していないサービスとなりますので都度接続をおこないたい環境化のIPアドレス等をご申請をいただく必要がございます。
また、逆引きホスト名が設定されていないIPアドレス (主に海外の接続元環境な ど) や、接続元 .jp と .bbtec.net 以外の接続元 (例えば ******.net など) から 接続を行う場合は、同様に設定のご申請をいただく必要がございます。
なお、接続元をALL開放(全世界から接続可)の設定に変更することは、著しくセキュリティが下がり、脆弱な状態となるためお勧めしておりません。
仮に、FTPユーザのユーザ名、パスワードが第三者によって推測できた場合には、Webサイトの改ざん等の被害が発生する場合がございます。
対象サービス
Clara Cloud LG(OS:CentOS7)/Clara Cloud Flex(OS:CentOS7)/Linux専用サーバ / NRプラン/ Flex Mini 2 / SolaCloud / Flex Web /KUSANAGI with Cube / Flex Mini Cube
問題点
MySQLやMariaDB,PostgreSQLが、外部から接続ができません。
■原因
弊社の標準設定においては、セキュリティ対策上の理由により、MySQL MariaDB,PostgreSQL につきましてはUNIXドメインソケット経由からのアクセスに限定させて頂いております。
■解決方法
ODBCなど、INETドメインソケット経由でのデータベースへのアクセスにつきましては、以下の方法にて設定を変更することが可能ですが、お客様ご自身の責任にて変更していただけますようお願いいたします。
■MySQL および、MariaDBの場合
MySQLおよび、MariaDBの設定ファイルであります、”/etc/my.cnf”ファイルにて指定されております、”skip-networking”オプション及び”bind-address=127.0.0.1″をコメントアウトして頂きます。
その後、MySQLもしくは、MariaDBのみのサービス再起動を実施します。
[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
default-character-set=ujis
# bind-address=127.0.0.1
# skip-networking
□PostgreSQL の場合
“pg_hba.conf”ファイルおよび、”postgresql.conf”ファイルの修正が必要となります。詳細につきましてはお客様にて PosgreSQL の参考書籍及びWebサイトなどをご確認ください。
MySQLおよび、MariaDB、 PostgreSQL の接続ユーザの権限をリモートから接続できるように、ユーザ権限等の設定変更を追加する必要がございます。
なお、いずれの作業につきましてはお客様の責任において行って下さいますよう、お願い申し上げます。また、これらの設定変更によるサーバの不具合等につきましては弊社にて責任を負いかねます。
対象サービス
Linux専用サーバ/VPS/FPS/Flex Mini/Flex Mini 2/SolaCloud/Flex Mini Cube/Flex Web/KUSANAGI with Cube
■問題点
アンチウィルスサービスを導入しているのにかかわらず、ウィルス付きメールが届く
■原因
アンチウィルスサービスを導入しているのにかかわらず、ウィルス付きメールが届いた場合には、以下の2点の可能性のいずれかが考えられます。
- アンチウィルスのパターンファイル(ウィルス定義ファイル)は定期的に更新されておりますが、極めて新しいウィルスの場合にはパターンファイルによる対応が未対応の場合
- 電子メールに添付されていたファイルが暗号化されたZIPファイル等の場合や、複数回の暗号化圧縮を繰り返した圧縮ファイルの場合
■解決方法
各問題点の対処方法は以下です。
- 対応が完了するまで一時的にウィルスとして認識できない場合がございます。パターンファイルは短い間隔で定期的に更新されておりますので、一般的には1日から数日以内に対応されます。
- 電子メールに添付されていたファイルが暗号化されたZIPファイル等の場合や、複数回の暗号化圧縮を繰り返した圧縮ファイルの場合、アンチウィルス機能による検出を行うことが出来ない場合があります。暗号化されていないZIP、ARJ、TARなどの圧縮形式はスキャンの対象です。
■問題点
FTPで接続するとパスワードエラーが出ます。
■原因
FTPのパスワードが誤って入力されている可能性があります。
■解決方法
FTP のパスワードは全て半角で、大文字/小文字/数字/記号を区別します。
小文字や記号などが含まれる場合には特にご注意いただきご入力ください。
なお、WebホスティングサービスではFTPは同時セッション数に制限があるため、複数箇所から同一のFTPアカウントでサーバに接続をされている場合には、一度全てを終了していただき改めてお試しくださいますようお願いいたします。
FTPパスワードの再設定方法(コントロールパネルにPleskをご利用の場合)につきましては、下記FAQをご参照ください。
PleskでFTPパスワードがわからなくなってしまいました。
FTPパスワードの再設定方法(コントロールパネルにWebminをご利用の場合)につきましては、下記FAQをご参照ください。
Webmin環境のサーバでFTPパスワードがわからなくなってしまいました。