lost and found ( for me ? )

DNSSEC

DNSSEC対応ゾーン作成方法 for testing

# named -v
BIND 9.5.2

# cat /var/named/example.com.zone
$TTL 864000
@ IN SOA localhost. root.localhost. (
2009102901 ; serial
28800 ; refresh 8hr
14400 ; retry 4hr
604800 ; expire 1w
86400 ; default_ttl 24hr
)

IN NS ns1.example.com.
IN NS ns2.example.com.
ns1 IN A 192.168.100.2
ns2 IN A 192.168.100.3
www IN A 10.0.0.1


- example.com 用の公開鍵、秘密鍵のペアを作成する
  ゾーンに対して署名をおこなうための鍵(ZONE Key)

# dnssec-keygen -a RSA -b 512 -n ZONE example.com.
The use of RSA (RSAMD5) is not recommended.
If you still wish to use RSA (RSAMD5) please specify "-a RSAMD5"

RSAは推奨されていないみたい。

# dnssec-keygen -a RSAMD5 -b 512 -n ZONE example.com.
Kexample.com.+001+40602

*.key 公開鍵
*.private 秘密鍵

# ls K*
Kexample.com.+001+40602.key Kexample.com.+001+40602.private

# cat Kexample.com.+001+40602.key
example.com. IN DNSKEY 256 3 1 AwEAAd7Onu+Su/6T+iK8gGBOCJn2zPTAu3I4tZmYJLqxbb7/vnlesuvS JqdJ/9uECOp5hscc0HoDSLjOqiz58VaemoE=

# cat Kexample.com.+001+40602.private
Private-key-format: v1.2
Algorithm: 1 (RSA)
Modulus: 3s6e75K7/pP6IryAYE4ImfbM9MC7cji1mZgkurFtvv++eV6y69Imp0n/24QI6nmGxxzQegNIuM6qLPnxVp6agQ==
PublicExponent: AQAB
PrivateExponent: ukN500aUKyuCPW/g0qHpxuzwQtys17xY9OKgMgMKgFS1WtWChvtlu/snGLoflXPBbSJtW/pTDwbjoGaZgvMZUQ==
Prime1: 9s6xHpaghO21zkjczSFyNkRz29F2VZh+qtGYFalCnIM=
Prime2: 5xsWG4RSVham7PFjZ78k//OMs/9n0RXDGSJUTHvwhas=
Exponent1: zm3cqSf1RJmKKeq5e31RCODCQwZ0Qm2U7Iz39o4mn78=
Exponent2: C1AAHQi1HxGsyhxmyUVKAl1hnc36vvlZu3k6tyO5+lE=
Coefficient: xIovLgpjHUWdjP+4bQX96MtOYBfr5+mbnKGmZmuhg/0=

-ゾーンへの署名

公開鍵の内容をKEYレコードとしてゾーンファイルに追加する。

# cat example.com.zone Kexample.com.+001+40602.key > aaa
# mv aaa example.com.zone

# cat example.com.zone
$TTL 864000
@ IN SOA localhost. root.localhost. (
2009102901 ; serial
28800 ; refresh 8hr
14400 ; retry 4hr
604800 ; expire 1w
86400 ; default_ttl 24hr
)

IN NS ns1.example.com.
IN NS ns2.example.com.
ns1 IN A 192.168.100.2
ns2 IN A 192.168.100.3
www IN A 10.0.0.1
example.com. IN DNSKEY 256 3 1 AwEAAd7Onu+Su/6T+iK8gGBOCJn2zPTAu3I4tZmYJLqxbb7/vnlesuvS JqdJ/9uECOp5hscc0HoDSLjOqiz58VaemoE=

ゾーンに署名を行う。

# dnssec-signzone -o example.com. example.com.zone
example.com.zone.signed

署名されたゾーンファイルが生成される。

# head -20 example.com.zone.signed
; dnssec_signzone version 9.5.2
example.com. 864000 IN SOA localhost. root.localhost. (
2009102901 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
864000 RRSIG SOA 1 2 864000 20091128072549 (
20091029072549 40602 example.com.
nfMMQDVSNNkjlYy+zX9tC1FlhUrQG/u2JK1r
W8jaTrzE2qZ+4TWSbgtvbBflifUAxGoz/DB8
qj7g1BJLq0juJQ== )
864000 NS ns1.example.com.
864000 NS ns2.example.com.
864000 RRSIG NS 1 2 864000 20091128072549 (
20091029072549 40602 example.com.
gCUzVdSl2pw2EPwEGuz+KgkjJ3L2U6TW7MM1
lHBOKOW/YPExvFiC2PIrTeKADekvka8FHZNR

- named.conf の設定

trusted-keys ステートメントを追加

trusted-keys {
example.com. 256 3 1 "AwEAAd7Onu+Su/6T+iK8gGBOCJn2zPTAu3I4tZmYJLqxbb7/vnlesuvS JqdJ/9uECOp5hscc0HoDSLjOqiz58VaemoE=";
};

zone "example.com" {
type master;
# file "example.com.zone";
file "example.com.zone.signed";
};

[動作確認]

named を再起動

レスポンスサイズ大きくなるな~。

DNSSECあり: MSG SIZE rcvd: 556
DNSSECなし: MSG SIZE rcvd: 117


-DNSSECなし

# dig @127.1 www.example.com. +norec

; <<>> DiG 9.5.2 <<>> @127.1 www.example.com. +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27153
;; flags: qr aa ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.example.com. IN A

;; ANSWER SECTION:
www.example.com. 864000 IN A 10.0.0.1

;; AUTHORITY SECTION:
example.com. 864000 IN NS ns1.example.com.
example.com. 864000 IN NS ns2.example.com.

;; ADDITIONAL SECTION:
ns1.example.com. 864000 IN A 192.168.100.2
ns2.example.com. 864000 IN A 192.168.100.3
;; MSG SIZE rcvd: 117
#

- DNSSEC あり ( DOビット オン )

# dig @127.1 +dnssec www.example.com +norec

; <<>> DiG 9.5.2 <<>> @127.1 +dnssec www.example.com +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41894
;; flags: qr aa ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.example.com. IN A

;; ANSWER SECTION:
www.example.com. 864000 IN A 10.0.0.1
www.example.com. 864000 IN RRSIG A 1 3 864000 20091128072549 20091029072549 40602 example.com. Ab43G3mYzy4//dBVJ/kA71y8Jjc1F67EtqHPG9EV67D6+069I14W0OKQ fMF4fgPfmdJuvtODVYzq37hzemUerw==

;; AUTHORITY SECTION:
example.com. 864000 IN NS ns1.example.com.
example.com. 864000 IN NS ns2.example.com.
example.com. 864000 IN RRSIG NS 1 2 864000 20091128072549 20091029072549 40602 example.com. gCUzVdSl2pw2EPwEGuz+KgkjJ3L2U6TW7MM1lHBOKOW/YPExvFiC2PIr TeKADekvka8FHZNR+B7DQBDxhHgW3g==

;; ADDITIONAL SECTION:
ns1.example.com. 864000 IN A 192.168.100.2
ns2.example.com. 864000 IN A 192.168.100.3
ns1.example.com. 864000 IN RRSIG A 1 3 864000 20091128072549 20091029072549 40602 example.com. V1M2yTaSbRXODBqtecgS3DyOadHlx9elOvR1oJmE81Goew84RVHB3eSr PgSOOGCtFGDL6VOUHW9ZgcqVNY61rA==
ns2.example.com. 864000 IN RRSIG A 1 3 864000 20091128072549 20091029072549 40602 example.com. OHHnlwgoM7OG/HnLvjuTSlz0IEdeeAvc5NAJ6vT1hn1jrkh5vtKkC+FY EG2KILflP1ndQqXFQH1I/h1KaRPcRA==
;; MSG SIZE rcvd: 556
#

DNSSEC有効だと、NXDOMAINでもかなりのサイズになる。。
全部DNSSECになったら、帯域えらいふえるなー。
NXDOMAINアタックとかで、帯域つぶせる。。。??

NXDOMAIN DNSSECあり: MSG SIZE rcvd: 493
NXDOMAIN DNSSECなし: MSG SIZE rcvd: 82

# dig +dnssec @127.1 nx.example.com. +norec

; <<>> DiG 9.5.2 <<>> +dnssec @127.1 nx.example.com. +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 36343
;; flags: qr aa ra; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;nx.example.com. IN A

;; AUTHORITY SECTION:
example.com. 86400 IN SOA localhost. root.localhost. 2009102901 28800 14400 604800 86400
example.com. 86400 IN RRSIG SOA 1 2 864000 20091128072549 20091029072549 40602 example.com. nfMMQDVSNNkjlYy+zX9tC1FlhUrQG/u2JK1rW8jaTrzE2qZ+4TWSbgtv bBflifUAxGoz/DB8qj7g1BJLq0juJQ==
example.com. 86400 IN NSEC ns1.example.com. NS SOA RRSIG NSEC DNSKEY
example.com. 86400 IN RRSIG NSEC 1 2 86400 20091128072549 20091029072549 40602 example.com. 070Ug+0iJeDN+CoSlz4/jnHDppEIYYquJxn1MLEsiZXO+0rDFDsrhynF 1+cc68ynhVefeZQPDAIG1l8dKouLXw==
ns2.example.com. 86400 IN NSEC www.example.com. A RRSIG NSEC
ns2.example.com. 86400 IN RRSIG NSEC 1 3 86400 20091128072549 20091029072549 40602 example.com. FiRA+jxD9gZj7bNhkNEg3+nMXWKr6bfB4cSt2y33T38KTt7kj+V31mO0 bRSGYVSAZpu66RgZesjIVFS0s0LPwA==

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; MSG SIZE rcvd: 493


# dig @127.1 nx.example.com. +norec

; <<>> DiG 9.5.2 <<>> @127.1 nx.example.com. +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 46370
;; flags: qr aa ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;nx.example.com. IN A

;; AUTHORITY SECTION:
example.com. 86400 IN SOA localhost. root.localhost. 2009102901 28800 14400 604800 86400

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; MSG SIZE rcvd: 82

IPv4 枯渇間近。。?

IPv4枯渇問題について、ICANN の CEO が twitter でつぶやいてる。

-- ICANN CEO のつぶやき
http://twitter.com/RodBeckstrom/status/5092021852

IPv4 Internet address space ICANN final allocation (exhaustion) policy: http://bit.ly/4sJhmC May be triggered late 2010.
--

ポリシーは下記URLにかいてある。

Global Policy for the Allocation of the Remaining IPv4 Address Space
http://www.icann.org/en/general/allocation-remaining-ipv4-space.htm

v4 配布したけど、余っているのもあるから、再配布がうまくできれば、2010年で
枯渇するというのはないのかも、、しれない、、かも。。

2010... pearl jam の do the evolution の歌詞を思い出すなー。

I crawled the earth, but now I'm higher
2010, watch it go to fire
It's evolution, baby
do the evolution !

love Eddie Vedder :D

CentOS 5.4 has been released!

今日(かな?)、CentOS 5.4 ( RHEL 5.4 clone ) がリリースされたみたい。
思ったよりリリース早かったなー。今年リリースされないかと思った。
5.4 の iso が www.centos.org にアップロードされてる。

5.3 から 5.4 にするには、yum update -y で 5.4 になる。

5.4 の目玉は KVM のサポートかな。
5.4 から Xen と KVM のサポート。
Xen について、Red Hat は 2014年まではサポートするみたい。

KVMよりまだXenの方がパフォーマンス、安定性など優れていると思うけど、
Red Hat では、KVMが主流になるんだろうな。
Red Hat が Xen に注力する目的もないだろうし。
他ディストリビューションでも、カーネルのコンポーネントになっている
KVMにシフトするんだろうな、と予想。

VMWare ESX , Ctrix Xen , RHEL KVM , Win2008 Hyper-V でそろいましたー。

FedoraとCentOSインストールしてるので、Fedora では KVM , CentOS では Xen
を使おうかな。。

yum groupinstall を使用すると、Xen or KVM に必要なパッケージをまとめて
インストールしてくれる。

yum grouplist で groupinstall できるパッケージの確認ができる。

[root@arizona ~]# cat /etc/redhat-release
CentOS release 5.4 (Final)

- Xen

[root@arizona ~]# LANG=C yum grouplist | grep -i virtualization
Virtualization

- KVM
[root@arizona ~]# LANG=C yum grouplist | grep -i kvm
KVM

- インストール

[root@arizona ~]# yum -y groupinstall Virtualization

[root@arizona ~]# yum -y groupinstall KVM

- アンインストール

[root@arizona ~]# yum -y groupremove Virtualization

[root@arizona ~]# yum -y groupremove KVM

Thx for stoppin' by :D

Google vs. Yahoo 2009 7-9月期決算

Google すごいなー。グラフで見ると、Yahoo と規模が違うのが一目瞭然。
検索連動型広告で Google 勝利 !



ネット広告市場も、規模 n' 経験の経済性がきくのかなー。
検索してくれればするほど、精度やアルゴリズムも向上するし、企業も良い方を利用するだろうし。

ちなみに、売上高純利益率は:

Google: 27%
Yahoo: 11%

うらやましい。

失敗: launch torrent server on Fedora11 64bit

参考URL

Hands-On Linux: Build A BitTorrent Server
http://www.informationweek.com/news/showArticle.jhtml?articleID=166402492

[root@arizona ~]# cat /etc/redhat-release
Fedora release 11 (Leonidas)
[root@arizona ~]# uname -r
2.6.30.8-64.fc11.x86_64
[root@arizona ~]# cat /proc/cpuinfo | grep -i "model name" | uniq
model name : AMD Athlon(tm) 64 X2 Dual Core Processor 4800+


Java Runtime Environment ( JRE ) をインストール。

[root@arizona ~]# chmod u+x jre-6u16-linux-x64-rpm.bin
[root@arizona ~]# ./jre-6u16-linux-x64-rpm.bin

[root@arizona ~]# rpm -qa | grep jre
jre-1.6.0_16-fcs.x86_64

http://azureus.sourceforge.net/ から Vuze_Installer.tar.bz2 をダウンロード

[root@arizona ~]# bunzip2 Vuze_Installer.tar.bz2
[root@arizona ~]# tar xvf Vuze_Installer.tar
[root@arizona ~]# cd vuze/

GUIを起動

エラーが。

[root@arizona vuze]# ./azureus
(1) swt.jar is not for your os architecture (amd64). You can get a new swt.jar (Min Version: 3.5) from http://eclipse.org/swt
(2) No write access to '/tmp'. SWT will extract libraries contained in the swt.jar to this dir.

64bit版 http://sourceforge.net/projects/azureus/files/vuze/vuze-4.0.0.4/Vuze_4.0.0.4_linux-x86_64.tar.bz2/download
を get.

[root@arizona ~]# bzip2 -d Vuze_4.0.0.4_linux-x86_64.tar.bz2
[root@arizona ~]# tar xvf Vuze_4.0.0.4_linux-x86_64.tar

try again!

[root@arizona vuze]# ./vuze

起動した。



ツール -> 環境設定 -> モード

初級者から中級者に変更




ツール -> 環境設定 -> トラッカー -> サーバ

IPアドレスの入力、
HTTPポートで開く、HTTPSポートで開く、のチェックボックスにチェックして適用。


torrent ファイルの作成

ファイル -> Torrentの作成



配信したいファイルを選択。


torrent ファイル作成中。。。


1G.torrent ファイルができた。

[root@arizona vuze]# pwd
/root/vuze
[root@arizona vuze]# ls *.torrent
1G.torrent

1G.torrent ファイルを torrentinfo-console で見てみると、こんな感じ。

[root@arizona vuze]# torrentinfo-console 1G.torrent
torrentinfo-console 4.4.0 - decode BitTorrent metainfo files

metainfo file.......: 1G.torrent
info hash...........: 7cd83bd598c1ab075c39c00d799275fdfc48175d
file name...........: 1G
file size...........: 1048576000 (2000 * 524288 + 0)
tracker announce url: http://192.168.1.150:6969/announce
comment.............:

[root@arizona vuze]#

torrent client ( alaska ) から 取得できるか確認。

あれ、ダウンロードできん。 unauthorised みたい。
アカウント作成、共有しないとダメなのかなー。内部テストで使用したいんだけど。。

[root@alaska ~]# bittorrent-console 1G.torrent
ERROR:
[01:11:58] Aborting the torrent as it was rejected by the tracker while not connected to any peers. Message from the tracker: Torrent unauthorised

saving: 1G
file size: 1,048,576,000 (1 GiB)
percent done: 0.0
time left: shutting down
download to: /root/1G
download rate: 0.0 KB/s
upload rate: 0.0 KB/s
share rating: oo (0.0 MB up / 0.0 MB down)
seed status: 0 seen now, plus 0 distributed copies (1:0.0%)
peer status: 0 seen now
[root@alaska ~]#

うーん、エラーをあとでググってみよう。

Linux: Bit torrent Client

今までiso を bit torrent でダウンロードしたことがなかったのでためしてみた。

[root@arizona ~]# cat /etc/redhat-release
Fedora release 11 (Leonidas)

[root@arizona ~]# uname -r
2.6.30.8-64.fc11.x86_64

[root@arizona ~]# yum list | grep torrent
bittorrent.noarch 4.4.0-12.fc11 installed

[root@arizona ~]# rpm -ql bittorrent-4.4.0-12.fc11.noarch
/etc/logrotate.d/bittorrent
/etc/pki/bittorrent
/etc/pki/bittorrent/public.key
/etc/rc.d/init.d/btseed
/etc/rc.d/init.d/bttrack
/etc/sysconfig/bittorrent
/usr/bin/bittorrent-console
/usr/bin/bittorrent-curses
/usr/bin/bittorrent-tracker

Pythonスクリプトみたい。

[root@arizona ~]# less /usr/bin/bittorrent-console
#!/usr/bin/python

# Written by Bram Cohen, Uoti Urpala and John Hoffman

from __future__ import division

from BitTorrent.platform import install_translation
install_translation()

GUI版もある。

[root@arizona ~]# yum install -y bittorrent-gui.noarch

[root@arizona ~]# rpm -ql bittorrent-gui.noarch 0:4.4.0-12.fc11
/usr/bin/bittorrent
/usr/bin/maketorrent

http://torrent.fedoraproject.org/ から torrent ファイルをダウンロード。
アプリケーション -> インターネット -> Bit torrent file transfer で GUI を起動。

GUI -> File -> open torrent file で torrent file を 選択。 iso のダウンロードが始まる。
http or ftp でダウンロードするより、ずっと早いなー


TCPのコネクション何本はってるんだろう。。

[root@arizona ~]# ps aux | grep torrent
root 3824 11.8 1.0 771672 40816 ? Sl 09:26 0:50 /usr/bin/python /usr/bin/bittorrent

ん、エラーが。なんだろう。。

[root@arizona ~]# lsof -p 3824 | egrep -i tcp | wc -l
lsof: WARNING: can't stat() fuse.gvfs-fuse-daemon file system /root/.gvfs
Output information may be incomplete.

ん、なんじゃこりゃ。。

# ls -la
d?????????? ? ? ? ? ? .gvfs

ファイルに出力結果をおとして、TCPの接続数を確認。

[root@arizona ~]# lsof -p 3824 > aaa.txt

ESTABLISHED の数をかぞえる。

[root@arizona ~]# egrep -i established aaa.txt
bittorren 3824 root 17u IPv4 22215 0t0 TCP 192.168.1.150:34121->aalimraan.hidayahonline.net:6976 (ESTABLISHED)

14本もコネクションはってるんだ。。

[root@arizona ~]# egrep -i established aaa.txt | wc -l
14

ダウンロードが完了。
F12-Snap3-x86_64-Live.torrent をもとに、ダウンロードしたら、F12-Snap3-x86_64-Live.torrent ディレクトリができた。

[root@arizona ]# ls
F12-Snap3-x86_64-Live ダウンロード ドキュメント 画像
F12-Snap3-x86_64-Live.torrent テンプレート ビデオ 公開
Firefox_wallpaper.png デスクトップ 音楽

[root@arizona ]# cd F12-Snap3-x86_64-Live
[root@arizona F12-Snap3-x86_64-Live]# ls
F12-Snap3-x86_64-Live-CHECKSUM F12-Snap3-x86_64-Live.iso README-SOURCES

CLIだとこんな感じで使う。

torrent ファイルの情報

[root@arizona ]# torrentinfo-console F12-Snap3-x86_64-Live.torrent
torrentinfo-console 4.4.0 - decode BitTorrent metainfo files

metainfo file.......: F12-Snap3-x86_64-Live.torrent
info hash...........: 1cac2922b6dbea34e660bbd9b20e395063b95c6b
directory name......: F12-Snap3-x86_64-Live
files...............:
F12-Snap3-x86_64-Live-CHECKSUM (966)
F12-Snap3-x86_64-Live.iso (682622976)
README-SOURCES (146)
archive size........: 682624088 (2604 * 262144 + 1112)

ダウンロード。

[root@arizona ]# bittorrent-console F12-Snap3-x86_64-Live.torrent

saving: F12-Snap3-x86_64-Live
file size: 682,624,088 (651 MiB)
percent done: 0.0
time left: Initial startup
download to: /home/hattori/F12-Snap3-x86_64-Live
download rate: ---
upload rate: ---
share rating:
seed status:
peer status:
--

Get things done!

Eddie Money 久しぶりにきいたらいいなー。声が好きだ。baby hold on ..
最近アルバム出してるのかな~。

Cheers!

マルチブート winxp , centOS , fedora : grubの設定

grub: how to create multiple-boot an environment of WinXP , CentOS 5.3 n' Fedora 11

/dev/sda というディスクがあり、このディスクに winxp , centos , fedora のマルチブート環境を作る場合のOSのインストールの順番、grub の設定について。

[インストールの順番]

1. winxp
2, centOS 5.3
3, fedora 11

fedora の grub から、winxp , centOS , fefora を起動することになる。

winxp を最初にインストールするのは、winxp インストール時に /dev/sda にブートローダを
インストールし、grub が上書きされてしまうため。

centOS を Fedora より最初にインストールするのは、centOS の grub が Fedora を起動できないみたい。どうも、grub のバージョンが古いからみたい。

fedora -> centOS という順番でインストールし、centOS の grub で fedora を起動しようとすると、下記のエラーが出た。

Error 2
: Bad file or directory type

ext3 で、特に bad file or directory type でもないんだけど、こんなエラーになる。

[ grub のバージョン ]

- centOS の grub

[root@arizona ~]# cat /etc/redhat-release
CentOS release 5.3 (Final)

[root@arizona ~]# grub --version
grub (GNU GRUB 0.97)

[root@arizona ~]# rpm -qa | grep grub
grub-0.97-13.2

- fedora の grub

[root@arizona ~]# cat /etc/redhat-release
Fedora release 11 (Leonidas)

[root@arizona ~]# grub --version
grub (GNU GRUB 0.97)

[root@arizona ~]# rpm -qa | grep grub
grubby-6.0.87-4.fc11.x86_64
grub-0.97-51.fc11.x86_64


[ centOS , fedora インストール時の grub のインストール先について ]

centOS , fedora インストール時に /dev/sda を選択する。

centOS をインストールした後は、centOS の grub になり、
fedora をインストールした後は、centOS の grub が上書きされ、fedora の grub となる。

[ 例 ]

/dev/sda1 に winxp
/dev/sda3 に fedora
/dev/sda4 に centOS

をインストールした例

winxp -> centOS -> fedora という順番でインストールする。

[root@arizona ~]# fdisk /dev/sda -l

Disk /dev/sda: 320.0 GB, 320072933376 bytes
255 heads, 63 sectors/track, 38913 cylinders
Units = シリンダ数 of 16065 * 512 = 8225280 bytes

デバイス Boot Start End Blocks Id System
/dev/sda1 1 10199 81920128+ 7 HPFS/NTFS <- winxp
Partition 1 does not end on cylinder boundary.
/dev/sda2 10199 10263 512000 83 Linux
/dev/sda3 * 10263 35759 204800000 83 Linux <- fedora
/dev/sda4 35760 38913 25334505 5 拡張領域
/dev/sda5 35760 35886 1020096 83 Linux <- centOS

centOS インストール後の centOS の grub.conf

[root@arizona ~]# cat /etc/grub.conf ( CentOS )
default=2
timeout=5
splashimage=(hd0,4)/grub/splash.xpm.gz <- hd0,4 = /dev/sda4 = centOS の grub.conf
hiddenmenu
title CentOS (2.6.18-164.el5xen)
root (hd0,4)
kernel /xen.gz-2.6.18-164.el5
module /vmlinuz-2.6.18-164.el5xen ro root=LABEL=/ rhgb quiet
module /initrd-2.6.18-164.el5xen.img
title CentOS (2.6.18-164.el5)
root (hd0,4)
kernel /vmlinuz-2.6.18-164.el5 ro root=LABEL=/ rhgb quiet
initrd /initrd-2.6.18-164.el5.img
title WinXP
rootnoverify (hd0,0)
chainloader +1


Fefora 11 インストール後、CentOS が起動できるように、fedoraの grub.conf に centOS を追加する。
centOS の grub.conf の内容を fedora の grub.conf にそのままコピペすればOK!

fedora の grub.conf

[root@arizona ~]# cat /etc/grub.conf ( Fedora )
default=1
timeout=5
splashimage=(hd0,2)/boot/grub/splash.xpm.gz <- hd0,2 = /dev/sda3 = fedora の grub.conf
hiddenmenu
title Fedora (2.6.30.8-64.fc11.x86_64)
root (hd0,2) <- /dev/sda3
kernel /boot/vmlinuz-2.6.30.8-64.fc11.x86_64 ro root=UUID=5064c72a-c4f4-4396-acd4-d43c29d67368 rhgb quiet
initrd /boot/initrd-2.6.30.8-64.fc11.x86_64.img
title WinXP
rootnoverify (hd0,0) <- /dev/sda1
chainloader +1
title CentOS (2.6.18-164.el5xen) <- 追加
root (hd0,4) <- /dev/sda5
kernel /xen.gz-2.6.18-164.el5
module /vmlinuz-2.6.18-164.el5xen ro root=LABEL=/ rhgb quiet
module /initrd-2.6.18-164.el5xen.img
title CentOS (2.6.18-164.el5) <- 追加
root (hd0,4) <- /dev/sda5
kernel /vmlinuz-2.6.18-164.el5 ro root=LABEL=/ rhgb quiet
initrd /initrd-2.6.18-164.el5.img

これで、すべてのOS を起動できるようになる。
centOSのカーネルをアップグレードした場合は、fedora の grub.conf に追加する必要がある。

hope this helps :D

how to install flash player on 64bit linux

フラッシュプレイヤーの 64bit linux 用あったので、ためしに fedora 11 64bit にインストール。

# uname -r
2.6.30.8-64.fc11.x86_64

# cat /etc/redhat-release
Fedora release 11 (Leonidas)

-- ダウンロード

Flash Player 10 for 64-bit Linux

http://labs.adobe.com/downloads/flashplayer10.html

--

# tar xzvf libflashplayer-10.0.32.18.linux-x86_64.so.tar.gz

libflashplayer.so が解凍される。

これを /usr/lib64/mozilla/plugins にコピー

# mv libflashplayer.so /usr/lib64/mozilla/plugins

ブラウザを再起動して完了。

get things done !

書評: 日経新聞の数字がわかる本 「景気指標」から経済が見える



書評

日経新聞の数字がわかる本 「景気指標」から経済が見える
日経BP社 2009/8/10
著者 小宮一慶

対象:

日経新聞を購読している人、日経新聞の月曜の景気指標欄を読み飛ばしている、なんとなく読んでいる人
日経を購読していないが経済に興味のある人

所感:

日経の景気指標欄の各項目の説明、どのようなことが考えられるか、各項目の関連性について、2009年3月頃までの景気指標欄を用いて解説がされている。

あとづけの説明ではなく、著者が同時の数字から今後の予想についての説明が記載されており、今現在の景気指標欄などから、その同時の著者の予想が当たっているか、
外れているかといった検証、考察をするのもおもしろい。
また、日本、米国、欧州、中国の経済規模を把握するのにもよい本である。

各項目の説明、どの項目が先行,一致,遅効指数であるかなど、とても丁寧な説明がされており、手元に置いておきたい一冊だと思う。

SSL通信デコード w/ Wireshark

[ wireshark コンパイル、インストール ]

# uname -r
2.6.18-164.el5

# cat /etc/redhat-release
CentOS release 5.3 (Final)

現在, 最新版の wireshark 1.2.2 をインストール

# yum install -y libpcap-devel.i386 <- decode するのにこれ必要。--with-ssl を指定したとき、 libpcap-devel がないとコンパイルできない。
# cd wireshark-1.2.2
# ./configure --with-ssl
# make && make install

あと openssl も必要。

- w/ GnuTLS , w/ Gcrypt が表示されること

# /usr/local/bin/wireshark -v | grep -i tls
c-ares, without ADNS, without Lua, with GnuTLS 1.4.1, with Gcrypt 1.2.4, with
Running on Linux 2.6.18-164.el5, with libpcap version 0.9.4, GnuTLS 1.4.1,

[ SSL通信デコード確認 ]

wireshark の wiki のサンプルデータ(SSLキャプチャデータ , サンプル秘密鍵 ) を使用し、まずはデコードできるかためす。

http://wiki.wireshark.org/SSL の SampleCaptures/snakeoil2_070531.tgz を使用

# /usr/bin/wireshark rsasnakeoil2.cap

wireshark -> preferences -> protocols -> ssl


または、~/.wireshark/preferences ファイルに下記を追記。

# less /root/.wireshark/preferences
ssl.desegment_ssl_records: TRUE
ssl.desegment_ssl_application_data: TRUE
ssl.keys_list: 127.0.0.1,443,http,/root/rsasnakeoil2.key
ssl.debug_file: /root/wireshark_ssl_debug.txt

デコードできた。


秘密鍵のパスフレーズは解除しておく必要がある。また、PEM形式、Cipher suite が RSA である必要がある。

パスフレーズがある場合は、下記コマンド実行時に、秘密鍵のパスフレーズをきかれる。
また、rsa でなければ、openssl rsa で開けない。

# openssl rsa -in rsasnakeoil2.key -text | head -5
writing RSA key
Private-Key: (1024 bit)
modulus:
00:a4:6e:53:14:0a:de:2c:e3:60:55:9a:f2:42:a6:
af:47:12:2f:17:ce:fa:ba:dc:4e:63:56:34:b9:ba:
73:4b:78:44:3d:c6:6c:69:a4:25:b3:61:02:9d:09:

パスフレーズを解除した 秘密鍵の作成方法

# openssl rsa -in server.key -out server_no_pass.key
秘密鍵のパスフレーズ入力

デコードしたファイルを保存すれば、tshark でも閲覧可能。

# tshark -r ssl.pcap -V | less
Secure Socket Layer
SSLv3 Record Layer: Application Data Protocol: http
Content Type: Application Data (23)
Version: SSL 3.0 (0x0300)
Length: 432
Encrypted Application Data: 4AC33E9D7778012CB4BC4C9A84D7B9900C2110F0FA007C16...
Hypertext Transfer Protocol
GET / HTTP/1.1\r\n
[Expert Info (Chat/Sequence): GET / HTTP/1.1\r\n]
[Message: GET / HTTP/1.1\r\n]

デコードできない場合は、debug file で、原因追究。
下記は成功例

# less wireshark_ssl_debug.txt
ssl_decrypt_record: mac ok
ssl_add_data_info: new data inserted data_len = 231, seq = 6379, nxtseq = 6610
association_find: TCP port 443 found 0xa437bb0
dissect_ssl3_record decrypted len 231
decrypted app data fragment:


[ opensslでテスト用に作成した秘密鍵を使用して、SSL通信をデコードできるかテスト ]

- /etc/httpd/conf.d/ssl.conf ( 秘密鍵 )

SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

PEM ( RSA key ) 、パスフレーズは解除されている

# openssl rsa -in /etc/pki/tls/private/localhost.key -text | head -5
writing RSA key
Private-Key: (1024 bit)
modulus:
00:b9:a0:eb:8e:c0:dd:00:d3:e4:4f:3e:04:cc:91:
9f:95:e7:1b:d6:1d:de:21:05:cd:3f:de:74:9f:66:
10:7d:9d:a3:4f:3e:e9:d6:74:fe:cb:40:31:9a:1d:

ssl.keys_list: 127.0.0.1,443,http,/etc/pki/tls/private/localhost.key

wireshark の設定ファイル修正

# egrep private /root/.wireshark/preferences | grep -v "^#"
ssl.keys_list: 127.0.0.1,443,http,/etc/pki/tls/private/localhost.key

デコードできてないな。秘密鍵は読み込めているから、cipher suite がいけないのかな。

# less wireshark_ssl_debug.txt
ssl_init keys string:
127.0.0.1,443,http,/etc/pki/tls/private/localhost.key
ssl_init found host entry 127.0.0.1,443,http,/etc/pki/tls/private/localhost.key
ssl_init addr '127.0.0.1' port '443' filename '/etc/pki/tls/private/localhost.key' passwor
d(only for p12 file) '(null)'
Private key imported: KeyID 5C:7B:8D:47:B6:C7:0A:7E:F5:2A:7F:46:20:BC:47:75:...
ssl_init private key file /etc/pki/tls/private/localhost.key successfully loaded
association_add TCP port 443 protocol http handle 0x986c628

dissect_ssl enter frame #4 (first time)
ssl_session_init: initializing ptr 0xb2dbbac0 size 564
association_find: TCP port 45722 found (nil)
packet_from_server: is from server - FALSE
dissect_ssl server 127.0.0.1:443
conversation = 0xb2dbb870, ssl_session = 0xb2dbbac0
record: offset = 0, reported_length_remaining = 172
dissect_ssl3_record: content_type 22
decrypt_ssl3_record: app_data len 167 ssl, state 0x00
association_find: TCP port 45722 found (nil)
packet_from_server: is from server - FALSE
decrypt_ssl3_record: using client decoder
decrypt_ssl3_record: no decoder available

--

wireshark のサンプルcap の cipher suite は、 Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA ( from キャプチャファイル )

うまくいっていないやつの cipher suite は、Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA ( from キャプチャファイル )
DHE (Diffie-Hellman Ephemeral ) がいけないのかな。。

-- difference between DH and DHE

http://assam-at-night.blogspot.com/2008/08/ssltlsdhdhe.html より。

SSL(TLS)のDHとDHEの違い

DHEのEは、EphemeralのE。
DHEは、DHパラメータを通信時に動作に作成する。
DHは、DHパラメータは証明書に書かれている物を使う。よって、static DHとも呼ばれる。
DH-RSAは、証明書にCAがRSAで署名したという事。証明書にRSA鍵が入っているわけではない。
DHE-RSAは、証明書にRSA鍵が入っている。

--


firefox の chipher suite を変更 。
firefox -> url バーに about:config と入力すると各種configの変更ができる。

- default値



- 変更後: dhe とついているのを false に変更



try again !

# tshark -i lo port 443 -w ssl_turn_off_dhe.pcap

使用している chipher suite がかわった。

# tshark -r ssl_turn_off_dhe.pcap -V | less

Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA

デコードできた。


# tshark -r decode_ssl_turn_off_dhe.pcap -V | less
Secure Socket Layer
TLSv1 Record Layer: Application Data Protocol: http
Content Type: Application Data (23)
Version: TLS 1.0 (0x0301)
Length: 432
Encrypted Application Data: 680DE8EFE17492D9B603214B749EC8DA378731DF3C30BF59...
Hypertext Transfer Protocol
GET /hello.txt HTTP/1.1\r\n
[Expert Info (Chat/Sequence): GET /hello.txt HTTP/1.1\r\n]
[Message: GET /hello.txt HTTP/1.1\r\n]
[Severity level: Chat]
[Group: Sequence]
Request Method: GET
Request URI: /hello.txt
Request Version: HTTP/1.1

# less wireshark_ssl_debug.txt
ssl_decrypt_record: mac ok
ssl_add_data_info: new data inserted data_len = 400, seq = 0, nxtseq = 400
association_find: TCP port 47511 found (nil)
association_find: TCP port 443 found 0x9cdb200
dissect_ssl3_record decrypted len 400
decrypted app data fragment: GET /hello.txt HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ja; rv:1.9.0.14) Gecko/2009091106 CentOS/3.0.
14-1.el5.centos Firefox/3.0.14
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ja,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: Shift_JIS,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
--

Get things done!

テスト用CA構築 n' SSL証明書作成 for Apache

Apacheテスト用にテスト用証明書を作成したのでめもー。
opensslコマンド、ややこしいな。。

CAと Apache は同じサーバ

# cat /etc/redhat-release
CentOS release 4.8 (Final)
[root@hat1 ~]# uname -r
2.6.9-89.0.11.EL
[root@hat1 ~]# hostname
hat1.localdomain

# httpd -v
Server version: Apache/2.0.52
Server built: Jun 29 2009 10:17:32

- CAの構築

openssl にバンドルされている スクリプト CA ( /usr/share/ssl/misc/CA ) を使用する

# rpm -ql openssl-0.9.7a-43.17.el4_7.2 | grep -i ca
/usr/share/man/man1/ca.1ssl.gz
/usr/share/ssl/CA
/usr/share/ssl/CA/private
/usr/share/ssl/certs/ca-bundle.crt
/usr/share/ssl/misc/CA <- これ

# cd /usr/share/ssl/misc/

# less -N CA
39 CATOP=./demoCA <- CAの構築場所
40 CAKEY=./cakey.pem <- CAの秘密鍵
41 CACERT=./cacert.pem <- CAの証明書


- CAの構築

# hostname
hat1.localdomain

# sh CA -newca
CA certificate filename (or enter to create)

Making CA certificate ...
Generating a 1024 bit RSA private key
........++++++
......++++++
writing new private key to './demoCA/private/./cakey.pem'
Enter PEM pass phrase: test <- 証明書のパスフレーズ
Verifying - Enter PEM pass phrase: test
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:test
Locality Name (eg, city) [Newbury]:test
Organization Name (eg, company) [My Company Ltd]:test ltd
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:hat1.localdomain
Email Address []:test@test
#

CAの作成終了

/usr/share/ssl/misc/demoCA/cacert.pem <- CAの証明書
/usr/share/ssl/misc/demoCA/private/cakey.pem <- CAの秘密鍵

作成した証明書の確認方法

# openssl x509 -in cacert.pem -text | head -10
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 0 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=JP, ST=test, L=test, O=test ltd, OU=test, CN=hat1.localdomain/emailAddress=test@test
Validity
Not Before: Oct 5 08:43:17 2009 GMT
Not After : Oct 5 08:43:17 2010 GMT
Subject: C=JP, ST=test, L=test, O=test ltd, OU=test, CN=hat1.localdomain/emailAddress=test@test

PEMフォーマットをバイナリDERフォーマットにする方法

# openssl x509 -in cacert.pem -outform DER -out cacert.der

# file cacert.der
cacert.der: data

- サーバの秘密鍵を署名書要求(CRS)の作成

# mkdir -p /usr/local/web/ssl
# chmod 600 /usr/local/web/ssl
# cd /usr/local/web/ssl/

サーバの秘密鍵を作成

# openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
........++++++
..........................++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:server <-サーバの秘密鍵( not CA ! ) のパスフレーズ
Verifying - Enter pass phrase for server.key:server

apache起動時に、パスフレーズを要求されるので、解除したい場合は下記コマンドでパスフレーズを解除

# openssl rsa -in server.key -out server_no_pass.key

CAへの署名要求書(CSR)を作成

CAとWebが同一サーバ上なので、CA構築時と同じ内容を入力

# openssl req -new -days 365 -key server.key -out csr.pem
Enter pass phrase for server.key: server <- server.key のパスフレーズ ( not CA ! )
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:test
Locality Name (eg, city) [Newbury]:test
Organization Name (eg, company) [My Company Ltd]:test ltd
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:hat1.localdomain
Email Address []:test@test

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

CSRの完成。これをCAに署名してもらう。

# less csr.pem
-----BEGIN CERTIFICATE REQUEST-----
MIIBwzCCASwCAQAwgYIxCzAJBgNVBAYTAkpQMQ0wCwYDVQQIEwR0ZXN0MQ0wCwYD
VQQHEwR0ZXN0MREwDwYDVQQKEwh0ZXN0IGx0ZDENMAsGA1UECxMEdGVzdDEZMBcG
A1UEAxMQaGF0MS5sb2NhbGRvbWFpbjEYMBYGCSqGSIb3DQEJARYJdGVzdEB0ZXN0

- CAでのサーバ証明書の作成

/usr/share/ssl/ssl.cnf を修正

下記をコメントアウト

nsCertType = server

- 署名

# cd /usr/share/ssl/misc/demoCA/ <- CAのディレクトリに移動

-in サーバの署名要求書ファイル
-keyfile 認証機関の秘密鍵ファイル
-cert 認証機関の証明書ファイル
-out 作成する証明書ファイル

# openssl ca -in /usr/local/web/ssl/csr.pem -keyfile private/cakey.pem -
cert cacert.pem -out cert.pem
Using configuration from /usr/share/ssl/openssl.cnf
Enter pass phrase for private/cakey.pem:
I am unable to access the ./demoCA/newcerts directory
./demoCA/newcerts: No such file or directory

# pwd
/usr/share/ssl/misc

エラーが。

ディレクトリを移動。たぶん。openssl.cnf を修正すればいいけど、いいや。

# pwd
/usr/share/ssl/misc

# openssl ca -in /usr/local/web/ssl/csr.pem -keyfile demoCA/private/cakey.
pem -cert demoCA/cacert.pem -out cert.pem
Using configuration from /usr/share/ssl/openssl.cnf
Enter pass phrase for demoCA/private/cakey.pem:test <- CAのパスワード
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Oct 5 09:30:22 2009 GMT
Not After : Oct 5 09:30:22 2010 GMT
Subject:
countryName = JP
stateOrProvinceName = test
organizationName = test ltd
organizationalUnitName = test
commonName = hat1.localdomain
emailAddress = test@test
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Server
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
E9:75:7D:9F:B1:96:9C:CA:48:A1:E7:4A:93:9B:F8:61:46:E3:89:9F
X509v3 Authority Key Identifier:
keyid:63:B3:B4:82:77:AD:24:2C:7C:3A:82:6F:43:14:A1:4F:F4:C9:26:A0
DirName:/C=JP/ST=test/L=test/O=test ltd/OU=test/CN=hat1.localdomain/emailAddress=test@test
serial:00

Certificate is to be certified until Oct 5 09:30:22 2010 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

サーバ証明書の完成

# head -5 cert.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption

Apacheの設定

サーバ証明書をコピー

# cp /usr/share/ssl/misc/cert.pem /etc/httpd/conf/ssl.crt/

サーバの秘密鍵をコピー

# cp /usr/local/web/ssl/server.key /etc/httpd/conf/ssl.key/

# egrep -i sslcert /etc/httpd/conf.d/ssl.conf | egrep -v "^#"
SSLCertificateFile /etc/httpd/conf/ssl.crt/cert.pem
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key

# apachectl startssl
Apache/2.0.52 mod_ssl/2.0.52 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server 127.0.0.1:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.

# lsof -i:80 | head -2
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
httpd 6581 root 3u IPv6 244868 TCP *:http (LISTEN)

# lsof -i:443 | head -2
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
httpd 6581 root 4u IPv6 244870 TCP *:https (LISTEN)

https:://hat1.localdomain にアクセス。
表示されればOK !




失敗! Wireshark で SSL 通信の中身を見る

wireshark 1.1.3

ssldumpあるんだけど、openssl のバージョンにより,ssldumpコンパイルできなかったりするので、
wireshark で。結果は失敗。。。

wiresharkで SSL通信の中身を見るには、もち秘密鍵が必要。

Apache SSLの設定は完了していることを前提として:

暗号化強度は 256bit , 鍵は openssl でテスト用を作成。( mod_ssl を yum でインストールして作成された鍵を使用 )


443ポートをパケットキャプチャー。

[root@arizona ~]# tshark -i lo port 443 -w ssl.pcap
Running as user "root" and group "root". This could be dangerous.
Capturing on lo
76 ^C
[root@arizona ~]#

wireshark を起動 ( not CLI ! )

wireshark で見れるのは、RSA形式。

SSLCertificateFile /etc/pki/tls/certs/localhost.crt <- 証明書
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key <- 秘密鍵

鍵を確認すれば、何の形式か確認できる。

[root@arizona ~]# head -1 /etc/pki/tls/private/localhost.key
-----BEGIN RSA PRIVATE KEY----- <- これー
  snip
-----END RSA PRIVATE KEY----- <- これー

wireshark -> edit -> preferences -> protocols -> SSL へ GO !

秘密鍵を指定する。

RSA Key list に ip,port,protocol,private_key_file_name という書式で記述する。

今回だと、127.0.0.1,443,http,/etc/pki/tls/private/localhost.key

と書く。

like this:


ん、エラーが。復号化できない。

[root@arizona ~]# can't open file /etc/pki/tls/private/localhost.key

なんだろー。鍵は読んでいそうな感じだけど。

[root@arizona ~]# less degug.txt
ssl_association_remove removing TCP 443 - http handle 0x9d83038
ssl_init keys string:
127.1,443,http,/etc/pki/tls/private/localhost.key
ssl_init found host entry 127.1,443,http,/etc/pki/tls/private/localhost.key
ssl_init addr '127.1.0.0' port '443' filename '/etc/pki/tls/private/localhost.key' password(only for p12 file) '(null)'

なんだろう。。あとで、wiresharkのwikiを調べて再チャレンジしよう。。。
openssl で鍵を作り直すか。。