VMOD – cat /dev/random

Generate authorization header for Amazon S3 in Varnish

9月 062012

Amazon S3 REST-API is necessary to generate signature.
vmod-awsrest generate to Authorization and Date header for Amazon S3.

How to use

VCL


import awsrest;

backend default {
  .host = "s3.amazonaws.com";
  .port = "80";
}

sub vcl_recv{
  awsrest.s3_generic(
  "accessKey",            //AWSAccessKeyId
  "secretKey",            //SecretAccessKeyID
  req.request,            //HTTP-Verb
  req.http.content-md5,   //Content-MD5
  req.http.content-type,  //Content-Type
  "",                     //canonicalizedAmzHeaders
  req.url,                //canonicalizedResource
  now                     //Date
  );
}

Output


15 TxHeader     b Date: Tue, 03 Jul 2012 16:21:47 +0000
15 TxHeader     b Authorization: AWS accessKey:XUfSbQDuOWL24PTR1qavWSr6vjM=

This module set to req.http.Authorization and req.http.Date, bereq is not use.
I recommend call in the vcl_recv.
And, be careful to default settings.
If req.http.Authorization contains, it is not caching. (default setting)

download here.
libvmod-awsrest

—
Reference site
PHP で Amazon S3 の REST API を使用 #1
Authenticating REST Requests

日本語はこっち
VarnishでAmazon S3の認証ヘッダを作るVMODを作ってみた

はてなブックマーク - Generate authorization header for Amazon S3 in Varnish

LDAPで認証したり情報を取得するVMODを作ってみた

技術 No Responses »

8月 042012

急に、LDAPにアクセスしてみたくなったので、勉強がてら作ってみました。

よく使われそうな、シンプルなLDAPの認証はもちろん
特定のグループにだけ許可のようなことも可能です。
VCLはロジックがかけるので、親和性が高いんじゃないかなと考えています。

シンプルなLDAPを使ったBASIC認証


import ldap;

sub vcl_error {
  if (obj.status == 401) {
    set obj.http.WWW-Authenticate = {"Basic realm="Authorization Required""};
    synthetic {"Error 401 Unauthorized"};
    return(deliver);
  }
}

sub vcl_recv{

if(req.url ~ "^/member/"){
        if(!(req.http.Authorization &;amp;&;amp; ldap.simple_auth(
          true, //V3プロトコルで接続するか
          "cn=Manager,dc=ldap,dc=example,dc=com", //バインドアカウント（User）
          "password", //バインドアカウント(Pass)
          "ldap://192.168.1.1/ou=people,dc=ldap,dc=example,dc=com?uid?sub?(objectClass=*)", //LDAP接続先
          ldap.get_basicuser(), //認証したいアカウント(User)
          ldap.get_basicpass()  //認証したいアカウント(Pass)
        ))){
                error 401;
        }
}

グループとユーザで制限してみる


import ldap;

sub vcl_deliver{
  //LDAPを閉じる
  ldap.close();
}

sub vcl_error{
  if (obj.status == 401) {
    set obj.http.WWW-Authenticate = {"Basic realm="Authorization Required""};
    synthetic {"Error 401 Unauthorized"};
    return(deliver);
  }
}

sub vcl_recv{

  if(req.url ~ "^/member/"){
        //LDAPに接続
        if(!(req.http.Authorization &;amp;&;amp; ldap.open(
          true, //V3プロトコルで接続するか
          "cn=Manager,dc=ldap,dc=example,dc=com", //バインドアカウント（User）
          "password", //バインドアカウント(Pass)
          "ldap://192.168.1.1/ou=people,dc=ldap,dc=example,dc=com?uid?sub?(objectClass=*)", //LDAP接続先
          ldap.get_basicuser(), //認証したいアカウント(User)
          ldap.get_basicpass()  //認証したいアカウント(Pass)
        ))){
                error 401;
        }
        //グループの照合
        if(!ldap.compare("cn=test,ou=people,dc=ldap,dc=example,dc=com","memberUid")){ldap.close();error 401;}
        //ユーザの照合
        if(!ldap.require_user("uid=hogehoge,ou=people,dc=ldap,dc=example,dc=com")){ldap.close();error 401;}
        //パスワードの照合
        if(!ldap.bind()){ldap.close();error 401;}
        ldap.close();
  }
}

ちなみにget_basicuserとget_basicpassを使うと
BASIC認証を行った時に送られてくるAuthorizationヘッダからユーザIDとパスを取得する事ができます。

なおシンプルな認証で使うsimple_authは内部ではopenとbindとcloseを呼び出しています。

ダウンロードはこちら(vmod-ldap)

社内勉強会で発表したVMODの紹介資料

技術 No Responses »

7月 242012

先日、社内で勉強会をした時に発表した資料（ちょっと改変）です。
最初はVMODを作るときに知っておくと楽じゃないかなぁ的なポイントを解説しようと思ったんですが
そもそもVMODのワンポイントなんか社内的に誰得極まりないので
公式でリスト化されてるVMODを紹介してみました。
サービス側がこれ使ってみたいってのがあればいいなぁと考えています。

社内勉強会資料（Varnish Module） from Iwana Chan

結構口頭で説明してるとこがあるので、そこは申し訳ないです。
いろいろ他の人で面白い発表も聞けたのでまた第二回とかやりたいですね

VarnishでAmazon S3の認証ヘッダを作るVMODを作ってみた

技術 9 Responses »

7月 112012

hiro_yさんからこんな質問を受けたので

@xcir VarnishからS3の認証突破する方法とかご存知ないですか…と思いまして

— 山岡広幸さん (@hiro_y) 7月 2, 2012

AWSの勉強がてら作ってみました。

S3のREST-APIのAuthorizationヘッダは、日付やリソースの場所などを改行で結合して
HMAC-SHA1でハッシュ化して、BASE64エンコードする必要があります。
HMAC-SHA1については、Varnish公式が公開しているvmod-digestを使うことでできるのですが
出力をBASE64にすることができないので、コードを拝借して今回のVMODを作ってみました。
ちなみに改行を扱うことについても、インラインCかVMODを使う必要があります。

使い方


import awsrest;

backend default {
  .host = "s3.amazonaws.com";
  .port = "80";
}

sub vcl_recv{
  awsrest.s3_generic(
  "accessKey",            //AWSAccessKeyId
  "secretKey",            //SecretAccessKeyID
  req.request,            //HTTP-Verb
  req.http.content-md5,   //Content-MD5
  req.http.content-type,  //Content-Type
  "",                     //canonicalizedAmzHeaders
  req.url,                //canonicalizedResource
  now                     //Date
  );
}

上記のように呼び出すとreq.http.Authorizationとreq.http.Dateに生成したヘッダがセットされます。


15 TxHeader     b Date: Tue, 03 Jul 2012 16:21:47 +0000
15 TxHeader     b Authorization: AWS accessKey:XUfSbQDuOWL24PTR1qavWSr6vjM=

セットされるのがbereqではないのでvcl_recvで呼び出すことを推奨します。

またAuthorizationを生成するのでもしキャッシュを行いたい場合は適切にVCLを記述してください。
デフォルトのVCLではreq.http.Authorizationを含む場合はpassするためです。

僕の方でも簡単な動作チェックを行なっていますが、もし変な動きをしたら教えて下さい。

downloadはこちら（libvmod-awsrest）

—
参考サイト
PHP で Amazon S3 の REST API を使用 #1
Authenticating REST Requests

はてなブックマーク - VarnishでAmazon S3の認証ヘッダを作るVMODを作ってみた

To parsing the POST/GET request and Cookie header of Varnish (vmod-parsereq)

English, 技術 1 Response »

6月 132012

Difficult to access the POST/GET/Cookie value in Varnish.
I want more easily to access it.
Therefore, I tried to make a VMOD to parse.

Feature

Support POST/GET request and Cookie header.
Support application/x-www-form-urlencoded and multipart/form-data Content-type in POST request.
Can be getting a list of key.
Support Varnish 3.0.1, 3.0.2 , 3.0.3-rc1

How to use

For example, how to set the response header from the POST key of hoge.
It’s a simple.


import parsereq;

vcl_recv{
  //please write "parsereq.init();" to 1st line in vcl_recv.
  parsereq.init();
}
vcl_deliver{
  set resp.http.hoge = parsereq.post_header("hoge");
}

Future plans

urlencode/decode
change the value and set to bereq
refactoring

I hope that this code is of help to you.

download here.
vmod-parsereq

はてなブックマーク - To parsing the POST/GET request and Cookie header of Varnish (vmod-parsereq)

VarnishでPOST・COOKIE・GETを扱うためのVMODを作ってみた(vmod-parsereq)

技術 No Responses »

6月 102012

この前のエントリでPOSTを扱うVMODを作ってみたというのを上げたのですが
あの後、使ってくれた人とかからインタフェース変えるとｲｲﾖｰｲｲﾖｰと言われたので
req.http.*に格納するのではなくvmod_curlのように良い感じに使いやすくしてみました。

それだけじゃつまらないということで、おまけでGETとCOOKIEに対応してみました。

今回の特徴は以下です。
・application/x-www-form-urlencodedとmultipart/form-data両方に対応
・GET・POST・COOKIEに対応
・格納されているキーの一覧を取得することができます。
　インラインCと併用することですべてのGET・POST・COOKIEのキーに対して特定の値
　（攻撃っぽいコードなど）が含まれているかなどのチェックが容易です

使い方はこんな感じです。
たとえばPOSTでhogeというキーを取得してレスポンスする場合はこんな感じです。


import parsereq;

vcl_recv{
  parsereq.init();//必ずvcl_recvの先頭で宣言する
}
vcl_deliver{
  set resp.http.hoge = parsereq.post_header("hoge");
}

前に比べてわかりやすくなったんではないかと思います。
また今回は値はurlencodeされていません。生の値です。
そのため改行を含む可能性がある場合はresp.http.*などに含めると
意図しない結果が起きるので注意が必要です。
ココらへんはencode/decodeメソッドを用意して解決する予定ですので
少し待ってもらえるとありがたいです。

関数はこんな感じです。

VOID init()
　初期化を行う。
　必ずvcl_recvの先頭で呼び出す必要があります。

INT errcode()
　初期化の結果を受け取る


(成功) 2   content-typeが無いかサポート外
(成功) 1   パースに成功
(失敗) -1  sess_workspaceの残りサイズがなくなってメモリ確保に失敗
(失敗) -2  content-lengthが無い
(失敗) -3  読み取れるサイズがcontent-length以下

STRING post_header(STRING)
STRING get_header(STRING)
STRING cookie_header(STRING)
　指定したキーの値を取得する

STRING post_body()
STRING get_body()
STRING cookie_body()
　POST,GET,COOKIEの生データを取得

STRING post_read_keylist()
STRING get_read_keylist()
STRING cookie_read_keylist()
　呼び出すごとに格納されているキーを取得する


//req
/?name1=a&name2=b

//vcl
vcl_deliver{
  set resp.http.n1 = parsereq.get_read_keylist();
  set resp.http.n2 = parsereq.get_read_keylist();
  //nothing
  set resp.http.n3 = parsereq.get_read_keylist();
}

//return
n1: name2
n2: name1

VOID post_seek_reset()
VOID get_seek_reset()
VOID cookie_seek_reset()
　前述のXXX_read_keylistで、何処まで取得したかをリセットする。
　リセットしてXXX_read_keylistを呼び出すとまた最初から読み出す。

今後リリースされる3.0.3についても
rc1において正常動作を確認していますので多分動くと思います。
基本的に3.0.1以降であれば動きます。

今後の予定は
・エンコード・デコードロジック追加
・値の変更した後にリビルドしてそれを使う
・コードが若干カオスってるので綺麗にする
・etc…
です

downloadはこちら

はてなブックマーク - VarnishでPOST・COOKIE・GETを扱うためのVMODを作ってみた(vmod-parsereq)

VarnishでPOSTデータを扱うためのVMODを作ってみた(vmod-parsepost)

技術 No Responses »

6月 042012

Varnishは基本的にPOSTデータを解釈してなにかしらの処理をすることができません。
そこまで不便はないとは思うのですが、たとえば特定のキーワードがPOSTに入ってたら
Varnishではじきたいといったことは普通は出来ません。（インジェクションっぽいクエリとか）
そのためVarnishでPOSTを手軽に扱うためのVMODを作ってみました。

以下のような特徴・機能があります。
　・application/x-www-form-urlencodedとmultipart/form-data両方に対応
　・パースした値をreq.http.*に格納する
　・指定されたヘッダにパースしていない生データを格納可能
　・multipartのデータはurlencodeして格納
　・multipartの生データは（扱いづらいので）application/x-www-form-urlencodedと同じ形式に直して格納
　・multipart時のファイルについても格納

こんな感じで利用します。


//VCL
if(parsepost.parse("x-raw",true,"p_",true,true) == 1){
  std.log("raw: " + req.http.x-raw);
  std.log("submitter: " + req.http.p_submitter);
  std.log("submitter2: " + req.http.p_submitter2);
}

//response
12 VCL_Log      c raw: submitter=abcdef&submitter2=b
12 VCL_Log      c submitter: abcdef
12 VCL_Log      c submitter2: b

また特性上セッションワークスペースとスタックを多く使います。
そのためエラーが出る場合は
Varnishのsess_workspaceの値の引き上げとulimit -sの値の引き上げを行なってください。
またhttp_req_sizeを大きめにしておくと結果としてメモリの節約になります

あと生データは大きくなりがちなので使い終わったらunsetをおすすめします
そうしないとバックエンドにフェッチする際のリクエストに含まれてヘッダ大きすぎエラー(413 Request Entity Too Large/400 Bad Request)が出る可能性もあります。

ダウンロードはこちらから

はてなブックマーク - VarnishでPOSTデータを扱うためのVMODを作ってみた(vmod-parsepost)

How to hook VCL function at VMOD

English, 技術 No Responses »

5月 262012

VMOD processing want to before/after VCL function processing.
But, I do not want to write extra line.
How to do it?

Can be realized by the replace the pointer to sp->vcl->XXXX_func (VCL_XXXX)

Can be added to the processing by replacing pointer



static vcl_func_f         *vmod_redirect_Hook_vcl_error = NULL;
static pthread_mutex_t    vmod_redirect_mutex = PTHREAD_MUTEX_INITIALIZER;
static unsigned           hook_done = 0;

static int vmod_Hook_vcl_error(struct sess *sp){

    ....    //write the processing

    //call original vcl_error
    return(vmod_redirect_Hook_vcl_error(sp));

}

int
vmod_location(struct sess *sp, int status, const char*p,...)
{
        //vcl reload detection.
        if(hook_done == 1
           && sp->vcl->error_func != vmod_redirect_Hook_vcl_error ) hook_done = 0;

        if(hook_done == 0){
            //lock to prevent another thread write
            AZ(pthread_mutex_lock(&vmod_redirect_mutex));

            if(hook_done == 0)
            {
                //store the original vcl_error pointer
                vmod_redirect_Hook_vcl_error = sp->vcl->error_func;

                //hook
                sp->vcl->error_func = vmod_Hook_vcl_error;

                hook_done = 1;
            }
            //unlock
            AZ(pthread_mutex_unlock(&vmod_redirect_mutex));
        }

    ....

    return (status);
}

(via:vmod_redirect)

Hook to vcl_error at vmod processing in first time.
because there is no way to write-access the pointer at vmod_Init.

also, has locked using the mutex, because to prevent the loop by thread concurrent access.

I hope that this code is of help to you.

ATTENTION
don’t use varnishadm’s command “vcl.use” and “vcl.discard” . because to the segfault or call to other vcl function.

—
modify(2012-08-01)
when you vcl reloaded, hook method be off.

はてなブックマーク - How to hook VCL function at VMOD

VMODで各アクション(vcl_errorなど)にフックする方法

技術 No Responses »

5月 252012

VMODを作る上で何かしらの後処理や前処理を、ユーザの処理前にやりたいケースが存在します。
たとえば僕が以前作ったvmod_redirectの場合です。

Varnishのリダイレクトはかなりめんどくさくて以下のように記述する必要があります。


sub vcl_recv {
  if (req.http.user-agent ~ "iP(hone|od)") {
    error 750 "Moved Temporarily";
  }
}

sub vcl_error {
  if (obj.status == 750) {
    set obj.http.Location = "http://www.example.com/iphoneversion/";
    set obj.status = 302;
    return(deliver);
  }
}

このように一回エラー関数でvcl_errorに飛ばして判断する必要があります。
しかしvmod_redirectではvcl_errorに記述することなくredirectを実現しています。


import redirect;
sub vcl_recv {
   if (req.http.user-agent ~ "iP(hone|od)") {
      error(redirect.location(302,"http://www.example.com/iphoneversion/") , "Moved Temporarily");
   }
}

これはvcl_errorの関数ポインタをフックすることにより
オリジナルのvcl_errorが呼び出される前に独自の関数を呼び出すためです。

ではフックするためのポインタは何処に定義されているでしょうか？
vmodで使うsturct sess構造体(sp)に含まれています。


vcl_errorの場合
 sp->vcl->error_func

vcl_deliverの場合
 sp->vcl->deliver_func
...

ここのポインタを書き換えることでVarnishが呼び出すアクションを変更することが可能です。

そのことでオリジナルのアクションを呼び出す前後で任意の処理を行うことができ非常に便利です。

実際に書き換える場合はこのようなコードで行います


static vcl_func_f         *vmod_redirect_Hook_vcl_error = NULL;
static pthread_mutex_t    vmod_redirect_mutex = PTHREAD_MUTEX_INITIALIZER;
static unsigned           hook_done = 0;

static int vmod_Hook_vcl_error(struct sess *sp){

    ....//任意の処理を書く

    //オリジナルのvcl_errorを呼び出してリターン
    return(vmod_redirect_Hook_vcl_error(sp));

}


int 
vmod_location(struct sess *sp, int status, const char*p,...)
{
        //VCLのreloadでフックが外れた場合の検知
        if(hook_done == 1
           && sp->vcl->error_func != vmod_redirect_Hook_vcl_error ) hook_done = 0;

        if(hook_done == 0){
            //別のスレッドが同時に書き込みをしないようにロックする
            AZ(pthread_mutex_lock(&vmod_redirect_mutex));
            if(hook_done == 0)
            {
                //退避先にオリジナルのポインタを保存
                vmod_redirect_Hook_vcl_error = sp->vcl->error_func;
                //フックする
                sp->vcl->error_func = vmod_Hook_vcl_error;
                
                hook_done = 1;
            }
            //ロック開放
            AZ(pthread_mutex_unlock(&vmod_redirect_mutex));
        }
    
    ....

    return (status);
}

ポイントとして初回のvmod関数呼び出し時にフックします。
これはvmod_Initではフックをするために必要な構造体へのアクセス方法が無いためです。
またmutexを利用してロックしていますが、これは複数のスレッドが同時にフックを行おうとしてフック関数でループするのを防ぐためです


ロックを行わないと、上図の(6)でオリジナルのポインタとおもって、フック後のポインタを取得してしまいます。
二回0チェックしているのは、ロックをかける間に他のスレッドが書き込んでいないことを確認するためです。

このようにフックを使うことでよりVMODの表現が増えるんじゃないかなと思います。
参考になれば幸いです

注意
varnishadmのvcl.useとvcl.discardを使わないでください。
vcl.useの場合は直前のVCLのメソッドが呼ばれ、vcl.discardはセグフォを起こす危険性があります

—-
2012-08-02追記
VCLのリロードを行った時にフックが外れるので検知用コードを追加（hook_done）

はてなブックマーク - VMODで各アクション(vcl_errorなど)にフックする方法

Perform an ACL match to X-Forwarded-For (varnish)

English, 技術 No Responses »

4月 132012

How do ACL match to req.http.X-Forwarded-For? (this is string!!)
I tried to make a vmod.

inet_pton(BOOL ipv6 , STRING str , STRING defaultstr)

example 1


import campur_xcir;

set resp.http.v6 = campur_xcir.inet_pton(true,"2001:0db8:bd05:01d2:288a:1fc0:0001:10ee","1982:db8:20:3:1000:100:20:3");
set resp.http.v4 = campur_xcir.inet_pton(false,"1.1.1.1","2.2.2.2");
set resp.http.v6ng = campur_xcir.inet_pton(true,"2001:0db8:bd05:01d2:288a:1fc0:0001:10eeHOGE","1982:db8:20:3:1000:100:20:3");//NG pattern
set resp.http.v4ng = campur_xcir.inet_pton(false,"1.1.1.1HOGE","2.2.2.2");//NG pattern

//result
v6: 2001:db8:bd05:1d2:288a:1fc0:1:10ee
v4: 1.1.1.1
v6ng: 1982:db8:20:3:1000:100:20:3
v4ng: 2.2.2.2

example 2


import campur_xcir;

//acl
acl local {
    "192.168.1.0"/24;
    !"0.0.0.0";
}

sub vcl_recv{
  if(campur_xcir.inet_pton(false , req.http.X-Forwarded-For , "0.0.0.0") ~ local){
      //acl ok
      ...
  }
}

I hope that this code is of help to you.
libvmod-campur_xcir

this module is my motley function.
Others, get varnish generated hash etc…

this vmod’s function is increase at times. 🙂

はてなブックマーク - Perform an ACL match to X-Forwarded-For (varnish)

Older Entries