そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
プロセスとスレッドの違い - IMOKURING
linux上のアプリケーションはプロセスとして起動されます。 プロセスを管理することはOS(ここではlinux)の重要な役割であり、プロセスのスケジューリング、割り込み、シグナル制御、優先度の制御、プロセスの切り替え、状態管理、メモリ管理などを行っています。 プロセスとは何でしょう? プロセスはCPU上で実行されるもので、タスクを完了するために、Linuxのカーネルが制御するあらゆるリソースを使うことができます。 スレッドとは何でしょう? スレッドは1つのプロセスから生成される実行単位です。同じプロセスから並行でスレッドを起動させることができます。 スレッドはメモリや、オープン中のファイルなどのリソースを共有することができます。同じアプリケーションのデータにアクセスすることができるのです。 プロセスはリソースを共有することができないので、これは大きな違いです。 言い換えると、スレッドは同じ
Dronecode Foundation – The Dronecode Foundation fosters communities through open collaboration between open-source projects and member companies. Part of the Linux Foundation serves as the vendor-neutral home for PX4, MAVLink, QGroundControl, and the MAVS
PX4 v1.16 reimagines rover support with dedicated firmware for Ackermann, differential, and mecanum drive types, all built on the same pure-pursuit guidance library for smooth, reliable path following. Simulation gets a major stability boost with the move to Gazebo Harmonic LTS, and flight controllers can now take advantage of bidirectional DShot for real-time motor feedback. Developers will benef
/tmp と /var/tmp の違い - しょぼんメモリ (´・ω・`)
どちらも一時ファイルを保存するディレクトリだけれど、ちゃんと説明があったのでメモ。 /tmp ・再起動するとファイルは消える ・定期的に削除される(10日) /var/tmp ・再起動してもファイルは消えない ・定期的に削除される(30日) CentOS 6.xの場合・・・ 再起動後の処理は、/etc/rc.d/rc.sysinit で行われる。 定期的に削除する処理は、/etc/cron.daily/tmpwatch で行われる。 これらの用途は、FHS(Filesystem Hierarchy Standard(ファイルシステム階層標準)に記載されている。 Filesystem Hierarchy Standard http://www.pathname.com/fhs/ FHS 2.3によると・・・ /tmp:P.15 The /tmp directory must be made
よくわかるLinux帯域制限 | GREE Engineering
矢口です。 みなさんはLinuxのtcという機能をご存知でしょうか。送信するパケットの帯域制御を行うことができる大変強力な機能で、グリーでもいくつかの用途で使用されています。 具体的な事例の一つはRedisです。Redisではreplicationを新規に開始する際やfailoverが発生しmasterが切り替わった際(特に2.6系)にストアされている全データが転送されます。しかし帯域制限をかける機能がないため、ネットワーク帯域を圧迫してしまう危険性があります。また通常のクライアントとの通信でも大量のクエリにより予想以上の帯域を使用してしまう可能性があります。このような場合にtcを用いることでRedisの使用する帯域をコントロールできます。 このように有用なtcですが残念なことに日本語/英語ともにわかりやすい解説や詳細な情報は多くありません。 私も社内において使われていたtcの設定に問題が
CoreOS + etcd + fleetによるクラスタリング事始め | さくらのナレッジ
CoreOSはDocker用に作られたとても小さなLinuxディストリビューションです。その中で提供されている大きな3つの機能として、Docker/etcd/fleetが知られています。この3つを組み合わせるとクラスタリング構成がとても簡単に実現できるようになります。 ということでさくらのクラウドを使ってフェイルオーバーする所までをトライしてみます。 サーバを立てる 今回は3台のサーバを立てます。OSは全てCoreOSになります。サーバの追加を行う際にアーカイブ選択で CoreOS 367.1.0 (stable) #112600559854 を選択します。後、今回は管理ユーザのパスワードを入力しています(理由は後述)。複数台のサーバを使いますのでホスト名を忘れずに設定しておきます。 サーバ追加画面。アーカイブからCoreOSを選びます。 CoreOSの設定 CoreOSはとてもシンプルな
ROS: Home
ROS - Robot Operating System The Robot Operating System (ROS) is a set of software libraries and tools that help you build robot applications. From drivers to state-of-the-art algorithms, and with powerful developer tools, ROS has what you need for your next robotics project. And it's all open source.
ssコマンドはバグと地雷の塊なのでnetstatの代わりにならない - ろば電子が詰まつてゐる
既に有名な話ですが、CentOS 7およびRed Hat Enterprise Linux 7からはifconfigコマンドやnetstatコマンドが非推奨となり、デフォルトインストールすらされなくなりました。代替として、ifconfigコマンドはipコマンド、netstatコマンドはssコマンドが用意されています。 というわけでさっそくssコマンドを試していたのですが、明らかに動きがおかしなところがあり、少し調べてみました。 そして、「netstatコマンドの代替と思って安易にssコマンドを使うと、これは痛い目に遭うな……」ということが分かったので、不幸になる人を少なくするためにこのエントリを書きました。 概要 結論から先に言うと、CentOS 7/ RHEL 7のssコマンドには「UDPの開放ポートがTCPと報告される」というひどいバグがあり、使うべきではありません。 また、ssコマン
Linuxでネットワークの監視を行えるモニタリングコマンド20選 | 俺的備忘録 〜なんかいろいろ〜
今回は、Linux上でネットワークトラフィックの監視を行えるモニタリングコマンドについて、数あるコマンドから20個を紹介する。 1.iftop 以前にこちらでも書いているiftopは、個別のソケットで受信・送信パケットをひと目で見る事が出来るコマンド。 通信ごとに個別のプロセスを表示させることは出来ないが、どのホストとの接続がどの程度の帯域を使用しているのかはひと目で分かるだろう。 以下のコマンドでインストールが出来る。 sudo apt-get install iftop # Debian/Ubuntuの場合 sudo yum install iftop # RHEL系の場合 2.bmon 『bmon』は、グラフでトラフィックの負荷を表示してくれるモニタリングコマンドだ。 どのNICのトラフィックを表示させるかを上下キー、モニタリングを行うパケットの種類を左右キーで選択する。 このコマン
仮想マシンとLinuxコンテナのパフォーマンス比較
あなたにとって重要なトピックや同僚の最新情報を入手しましょう最新の洞察とトレンドに関する最新情報を即座に受け取りましょう。 継続的な学習のために、無料のリソースに手軽にアクセスしましょうミニブック、トランスクリプト付き動画、およびトレーニング教材。 記事を保存して、いつでも読むことができます記事をブックマークして、準備ができたらいつでも読めます。
10年がかりでLinuxに移行したミュンヘン市、Windowsへの回帰を検討
世界のほとんどの場所に「デスクトップLinux元年」がまだ訪れていない。しかし、ドイツ南部のミュンヘン市はこの10年間、「Windows」から離れる取り組みを進め、Linuxや「OpenOffice」(後に「LibreOffice」へ移行)などのオープンソースソリューションを積極的に採用してきた。 ミュンヘン市議会は2003年、この移行に向こう10年間で3000万ユーロを投じ、「LiMux」というカスタムバージョンの「Ubuntu」を採用することを決定した。2013年にその移行作業の完了が宣言されている。 テクノロジをめぐるこの駆け引きには、政治が絡んでいると見ていいかもしれない。 ミュンヘン市の第二(副)市長であるJosef Schmid氏は、職員から不満の声が上がっているため、再調査が必要だと述べた。Schmid氏によれば、職員は移行に「苦痛を感じている」という。Schmid氏は201
オープンソースOS「Ubuntu」には「火曜日だけ印刷できない」という奇妙なバグがあった
人間も金曜日には絶好調で月曜日に調子が悪くなる人が多いようですが、Linuxディストリビューションのひとつ「Ubuntu」には「火曜日だけプリンタで印刷できなくなる」という奇妙なバグがあったそうです。 一般的にプリンタを使って印刷する場合、文字や画像などを「PostScript」ファイルに一度変換してからプリンタに送信します。 さて受信側では、この中間ファイルが本当に「PostScript」かどうか汎用プログラム「file」がチェックしてからプリンタに送ります。そのチェックルーチンにバグがあって「火曜日」を表す「Tue」が日付データに含まれていると、「PostScriptファイルではない」と誤認して処理が終了してしまったそうです。 現在は修正されているということですが、それにしても不思議なのはいったいどのようにしてこのバグを再現させたのか……気づかなければ「たまに印刷できない」というバグで
標準コマンドから乗り換えよう!より良いLinuxコマンドラインユーティリティー11選 | 俺的備忘録 〜なんかいろいろ〜
Linuxの標準コマンドは強力なものではあるが、実際に人間が使う際にわかりやすいか、というと十分ではない。 そこで、今回はLinuxの標準コマンドから乗り換える事が可能なコマンドラインユーティリティーを調査、整理してまとめてみることにした。 1.df → dfc まずはこれ。以前にこちらでも記述している。 dfコマンドをより分かりやすくしたコマンドで、バーで利用率を認識することが出来る。 インストールは以下のコマンドで行える。 sudo apt-get install dfc (Debian or Ubuntu) 2.vmstat → dstat パフォーマンスのモニタリングでよく用いられるvmstatを、更に拡張したコマンドであるdstatにする。 dstatには、vmstatにはないネットワークに関するパフォーマンスが追加されており、見た目も見やすくなっている。 インストールは以下のコ
エフセキュアブログ : Mayhemに首を突っ込む
Mayhemに首を突っ込む 2014年07月24日16:24 ツイート fsecure_corporation ヘルシンキ発 ここ1年で、Linuxサーバを標的にしたマルウェアが大きなニュースとなることが増えてきた。本記事では、LinuxとFreeBSDのサーバを標的とした、高度かつ多目的なあるマルウェアの動作について、調査報告を行う。当社ではこの動作の核となるマルウェアファミリーをGalacticMayhemと命名した。この名前は一部のC&CサーバのURLをもとにしている。Yandexの研究者チームによって報告されたものと同じマルウェアファミリーである。 概要 サーバへのMayhemの感染は、PHPのドロッパースクリプトから始まる。このスクリプトの役割は、悪意のあるELF共有オブジェクトファイルをドロップし実行することだ。ドロップされたバイナリの名前の多くはlibworker.soだ。し
Linux Performance
static, benchmarking, tuning: sar, perf-tools, bcc/BPF: bpftrace, BPF book: Images license: creative commons Attribution-ShareAlike 4.0. This page links to various Linux performance material I've created, including the tools maps on the right. These use a large font size to suit slide decks. You can also print them out for your office wall. They show: Linux observability tools, Linux static perfor
Linus Torvalds、 GCC 4.9.0のコード生成にブチ切れる
Phoronixで知ったが、Linus TorvaldsがGCC 4.9.0のコード生成にブチ切れている。 問題はLinuxカーネルのload_balance()がランダムにパニックを起こすというもので、その原因は、報告者の使っているコンパイラーであるGCC 4.9.0のコード生成がおかしかったという話だ。 Linus様は御自ら生成されたコードを読み給い、平生と変わらぬ調子で物事の道理を示された。 Linux-Kernel Archive: Re: Random panic in load_balance() with 3.16-rc From: Linus Torvalds Date: Thu Jul 24 2014 - 14:47:25 EST On Wed, Jul 23, 2014 at 6:43 PM, Michel DÃnzer <michel@xxxxxxxxxxx> wro
Anatomy of a system call, part 2
July 16, 2014 This article was contributed by David Drysdale The previous article explored the kernel implementation of system calls (syscalls) in its most vanilla form: a normal syscall, on the most common architecture: x86_64. We complete our look at syscalls with variations on that basic theme, covering other x86 architectures and other syscall mechanisms. We start by exploring the various 32-b
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
netstatコマンドでポートを利用しているプロセスを調べる
Hello, systemd
Linux女子部 systemd徹底入門
