明日から平日だというのに 16 時起床。

xtrabackup

xtrabackup いじってた。で、cron 用のスクリプトを書いた。S3 に最終的に投げるようにするつもりだけど、とりあえずここまで。

わかもの、ついにxtrabackupを使い始めたか。このままインフラに連れ込もう

— con_mame (@con_mame) February 11, 2014

連れ込まれる… xtrabackup をつかってみた理由は mysqldump はつかったことあるしこっちも使ってみてはどうだろうという気軽な気持ちでした。

レジストラ

twitter account @N が奪われた話 をみてから思っていた事。

If you are using your Google Apps email address to log into various websites, I strongly suggest you stop doing so. Use an @gmail.com for logins. You can use the nicer custom domain email for messaging purposes, I still do.

これの起因はそもそもメールアドレスにつかっていたドメインの権威 DNS サーバーを変更する権限が攻撃者の手元に渡った (ドメイン自体が奪われる、レジストラのアカウントが hack される、etc) ことにある。 それが何を意味するかというと、要するに MX レコードとか SPF/DKIM の TXT レコードとかをいじれちゃうわけですよね。

アカウントリカバリーにメールアドレスを要求してくるのであればそのアドレスへのメールを受信できてしまえば良い。独自ドメインであるなら DNS レコードをどうにかしていじって MX を自分のサーバーへ向ければ良いわけだ。

生活に打撃を与えそうな重要なアカウントについてはすぐに gmail 等といったアドレスに変えた。残りだけど、いちいち変えてまわるのも大変なので引続き自分のドメインで。また、MX 関係の TTL を上げた。

実際この事例の場合はレジストラである GoDaddy のサポートがダメでアカウントを攻撃者に簡単に渡してしまったことにある。どこを信頼すればいいのかねぇ。

com/net/org についてはいろいろと検討できそうだけど問題は .jp のレジストラである。どこなら大丈夫と思えるかなぁ。

実際に自分で忘れたと連絡して奪おうとしてみるという方法も教えてもらった。時間があれば試したい…