SELinux を踏み台サーバに使ってみた話
これは ビットバンク株式会社 Advent Calendar 2020 の 17 日目の記事です。 はじめに 皆さん setenforce 1してますか? AWS エンジニアの koarakko です。 普段は DevOps や 統制周りの業務を担当しています。 今回は踏み台サーバでの SELinux 活用事例を交えながら実際にポリシー調査から実装までの方法を紹介したいと思います。 SELinux を本番利用している環境は少なく、貴重な経験ができたと自負しています。 この記事を読むことで SELinux の本番利用の一助になれば幸いです。 当社の踏み台の活用背景 踏み台サーバは本番アプリサーバにログインする場合に経由サーバとして利用しています。 OS は RHEL 8 で2台構成です。 当社では踏み台サーバを2年程度使っていますが、この間に踏み台サーバの置き換えもしています。 以前は am
Docker CE 18.09からssh経由でリモートのdockerデーモンに接続できるようになるってよ - Qiita
はじめに MacでDocker使うの重いですよね? 手元のローカル開発環境のノートPCはMacで、Dockerコンテナという構成は、小さなアプリケーションであれば快適です。 が、そこそこ大きなモノリシックなアプリケーションとかを動かそうとすると、クッソ重くてストレスフルです。 Dockerは新しめのLinux Kernelで動かすと効率的なんだけど、Macで動かそうとするとIOとか遅いし、なんなのかもっさりします。 かと言って、LinuxをノートPCに使うのは茨の道です。(個人の見解です) そんな今日このごろ、Docker CE 18.09からssh経由でリモートのdockerデーモンに接続できるようになるようです。 mobyメンテナの須田さん、マジ神 つまり、dockerコマンドだけ手元のMacで動かして、dockerデーモンはAWSのEC2上にLinux立てたところで動かすみたいなこと
VS CodeのRemote-SSHでWSL上の設定を使う - Qiita
目的 最近のVisual Studio Code (VSCode)ではRemote-WSLを始め,Windows Subsystem for Linux (WSL)との連携が強化され,WindowsでありながらほとんどLinuxのような使用感を得ることができるようになりました.Remote-Developmentの機能の一部であるRemote-SSHでは,サーバー上のファイルをVSCodeで直接編集できるようになります. ただしWindows版VSCodeのRemote-SSHでは,デフォルトではsshをWindows上にインストールしないと行けないらしく,鍵や設定もC:\Users\[ユーザー名]\.sshを見にいきます.これをWSL上でsshに切り替えられないかというのが今回のモチベーション. やり方 少なくともissueが出ています. 暫定的には以下のバッチファイルをsshの変わりに
SSHログイン時に公開鍵認証とGoogle OAuthで多要素認証する | ten-snapon.com
こういうときのために日々、リモートで働けるようにVPNサーバ経由のアクセスに色々切り替えてきたのですが、4000人がVPNサーバを利用するようになり、VPNサーバが輻輳し、僕のアクセス経路がすべて死にました。 — P山 (@pyama86) January 27, 2020 そうなると、いかに安全に踏み台サーバを構築するかということになるのですが、セキュリティにおいて多層防御の考え方は非常に大事です。一般的な踏み台サーバであればおそらくFromIPでの制御と、公開鍵認証での運用が多いのではないでしょうか。ペパボでは僕が開発運用しているSTNSを利用して、公開鍵認証でのログインを必須にしているかつ、IPでの制御も行っています。 さて、まだ本番では一切何もしていないのですが、このIPでの制御をやめるとなった場合に、多層防御の層が一枚薄くなってしまいます。それをどうにかしてカバーしようと思うと、
WSLでWindows10標準のssh-agentを使うようにした - ただのにっき(2020-02-06)
■ WSLでWindows10標準のssh-agentを使うようにした Windowsネイティブ側とWSL側でssh鍵を共有するのに、2年前からPuTTY付属のpageantをweasel-pageantを経由してWSLから利用するようにしていたんだけど、「そういえば最近のWindowsにはOpenSSHが標準でインストールされてるんじゃなかったっけ?」と思っていろいろ調べた。 まず、Windows/System32/OpeSSHの下に、ssh関連のバイナリが全部入ってる。もちろんssh-agentも。しかもこのssh-agent、ちゃんとWindows Serviceとして動作するので(サービスから「OpenSSH Authentication Agent」を有効にしてやる必要がある)、自動起動するようにしてやれば良い。あとはssh-addしてやればパスフレーズも覚えてくれる。 あとはW
サーバー群への管理者アクセス権限を統制する | ロードバランスすだちくん
シンジです。sshを利用してサーバーへアクセスする際、IDとパスワードでrootにダイレクトアクセスさせてるケースもままあるでしょうが、監査も通らないし乗っ取りリスク高すぎ問題なので辞めたいところです。クラウドを日常的に利用する方々の場合、通常は証明書認証によってサーバーログインを行っていると思います。証明書ファイルが次々と増えていく問題、証明書ファイルを手に入れれば多くの人がサーバーにログインできちゃう問題は目をつぶるしかないのか。 そこでエンプラなどでは、「踏み台サーバー」を作って、そこでアクセス権限をコントロールすることで、サーバーログインへの統制を図るわけですが、第一踏み台から第二踏み台へそして第三踏み台とかいう絶望も現実的に存在している実状です。そもそも、エンプラが踏み台サーバーを自前で作るわけがなく、そういう製品を購入して作ってもらう、はい数千万円、保守費毎年よろしくみたいな世
sshの秘密鍵をスマートフォンに保存できる Kryptonite
ブロードバンドタワー國武です。 Facebook を眺めていると、知り合いで Kryptonite についてシェアしている人が多かったので、少し試してみました。 Kryptonite は iPhoneやAndroid用のアプリケーションで、ssh の秘密鍵の生成とその保存が可能となります。これにより、作業用PCなどに秘密鍵を置くことなく、公開鍵暗号方式による ssh ログインを可能とするツールです。 Kryptonite https://krypt.co/ 今回の記事では、iPhone へのインストールと鍵の生成と、KryptoniteとMac を使って、実際にサーバへsshでログインまでを取り上げたいと思います。 目次 iPhone アプリのインストール krコマンドのインストール 実際に使ってみる 秘密鍵の削除 その他 iPhone アプリのインストール iPhone での導入は簡単で
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ
「Ciscoは全てのシステムに同じSSH鍵を使うという過ちを犯し、その秘密鍵を顧客のシステム上に残しておいた」とSANSは解説している。 米Cisco Systemsは7月2日(現地時間)、「Unified Communications Domain Manager」(Unified CDM)の脆弱性に関する情報を公開した。システムに特権アクセスできるデフォルトのSSH鍵が存在する脆弱性など、3件の脆弱性について解説している。 同社のセキュリティ情報によると、Unified CDMにはサポート担当者へのアクセス用にデフォルトのSSH鍵が存在し、この秘密鍵がシステム上にセキュアでない方法で保存されていることが分かった。攻撃者がこの鍵を入手でき、サポートアカウント経由でシステムにroot権限でアクセスできてしまう状態だという。 この脆弱性について米セキュリティ機関のSANS Internet
またssh -ttの出番 - jarp,
■ code golf - String of alphanumeric characters to a sorted list of comma-separated ranges このRubyの解なんだけど、与えられた文字以外を改行($/)に変換するという発想がすばらしい。 puts [*?0..?Z].join.tr('^ABC321STPpJqZZr0'.upcase,' ').gsub(/\B\w+\B/,?-).scan(/\S+/)*', ' puts [*?0..?Z].join.tr('^ABC321STPpJqZZr0'.upcase,$/).gsub(/\B\w+\B/,?-).scan(/.+/)*', ' puts [*?0..?Z].join.tr('^ABC321STPpJqZZr0'.upcase,$/).gsub(/\B.+\B/,?-).scan(/.+/
定番SSHクライアント「Google Chrome」
はじめに こんにちは。KMC2回生のtyageです。 京都もほんとに寒くなってきて鍋が捗りますね。簡単だし美味しいあったまるし、最高ですね。 この記事はKMCアドベントカレンダー2013の17日目の記事で、 昨日は1回生のnona65537君によるSSH の二段階認証についてでした。 今日はGoogle ChromeというSSHクライアントの紹介なのですが、12日間続いたKMCアドベントカレンダーのサブプロジェクトであるSSHアドベントカレンダーもこれで最後になります。 最後がこれでいいのか?とも思うのですが、今までの内容がハードだったという方に向けて優しい内容となっておりますので、安心して御覧ください。 定番SSHクライアント「Google Chrome」 Google Chrome(もしくはChromium)と聞いて「あっ、SSHクライアントのことか!」と思われた方には少し物足りないか
ユーザ、アクセス元IPアドレスでsshの接続制限をする - ギリギリギリギリジンジン ギリギリギリジンジンジン
プログラムからsshを使うために、認証なしでsshを使いたいことがある。そういうときは、公開鍵認証を使い、パスワードなし、パスフレーズなしでログイン可能となるように設定する。しかし、ここで一抹の不安を感じる。もし、この秘密鍵が漏洩したら・・・。簡単にサーバーへのログインを許してしまう。これはセキュリティ上問題ではないだろうか・・・? そこで、公開鍵認証に加えて、ログインを許可するアクセス元IPアドレスを制限する。 例えば、サーバー間接続に使用しているプライベートアドレスからだけログインを許可するように設定する。そうすれば、万が一、公開鍵が漏洩しても、インターネット越しに直接ログインを許すことはない。 以下の設定は、Red Hat Enterprise Linux 6 (RHEL6)とCentOS6で動作確認している。 設定する箇所を3つ。 /etc/pam.d/ssh /etc/ssh/s
GitHub で clone するときは SSH じゃなく HTTP を使ったほうが高速
GitHub には clone するための URL として [HTTP]、[SSH]、[Git Read-Only] の 3 つが用意されている。 いままで、SSH に慣れているという理由だけで [SSH] を利用していたのだけど、「SSH は転送速度が遅い」という問題がある。 SSH だとこんなに遅い… さっき、[SSH] で clone してみたら 20~60 KiB/s 程度の速度しか出なかった。 $ git clone git@github.com:nitoyon/tech.nitoyon.com.git Cloning into 'tech.nitoyon.com'... remote: Counting objects: 8856, done. remote: Compressing objects: 100% (2125/2125), done. remote: Total
centos に gitolite 導入, あとロケール問題
このとおりにやる gitolite 導入 - Please Sleep まず gitolite の gl-system-install が通らない. File::Path の make_path が無いと言われる. 調べると perl のバージョンがすごく古い cou929:kosei% perl -v This is perl, v5.8.8 built for x86_64-linux-thread-multi cou929:kosei% perl -MFile::Path -le 'print $File::Path::VERSION' 1.08 少なくともこのバージョンの File::Path には make_path は無いようだ ちょっとぐぐってみたけど手軽にシステム perl のバージョンをあげる方法はなさそう. yum のリポジトリ追加していけないかなと思ったけど, 少なく
puttyをタブモードで使う - sanonosa システム管理コラム集
SSHクライアントソフトとして普段puttyを愛用していますが、タブモードで使えないことだけが不満でした。そこでなんとかならないかと調べてみたら、PuTTY Connection Managerを入れればよいとわかりましたのでご紹介します。(追記: 2014/12/16 現在は開発中止してるみたいです) →PuTTY Connection Manager Downloads->Current beta versionの中にある「Standalone Executable」をダウンロードすれば、あとはそのexeファイルを実行し、putty本体の所在地を指定するだけでタブ版puttyが起動します。 ※最後に「インフラエンジニアの教科書」という本を出版させていただきました!という宣伝で締めさせていただきます。
iceiv+putty D2D/DW PuTTY
GDI バージョンのテキストレンダリングエンジンを Direct2D/DirectWrite へ変更した、アンチエイリアスとか半透明とかの単語に反応する人向け永遠のベータテスト準備中バージョン PuTTY です。 D2D/DW によって、 垂直方向へのアンチエイリアスや自然なポジショニングなど、 より高品質のテキストレンダリングが可能になります。 また、文字やウインドウの半透明を柔軟に適用することもできます。 D2D/DW PuTTY は、 Direct2D/DirectWrite をサポートした Windows 7/10 と GPU 上で動作します。 エラーチェックや例外の処理が酷く省略されているため、 動いている間は動いていますが、動かなくなると動かなくなります。 Consolas と Meiryo フォントで、 英語ときどき日本語なユーザーが支障なく使えることを当面の目標としています
VPSで遊ぶ -その9 仮想コンソール無しのVPSでssh-serverがコケて外からssh接続出来ない\(^o^)/オワタ鯖にならないように、任意のタイミングでtelnet鯖のポートを別鯖に飛ばす事のできるスクリプトを仕込む。その1(問題提起編) - ヌル日記
皆様お久しぶりです。 OpenVZ系VPS(以後VPS鯖A)って、ssh-serverの設定にミスってssh-serverが起動しない完全に繋がらない状態になった場合、仮想コンソールがないのでどうしようもないですよね。外側から永遠に接続できない糞箱が出来てしまいます。 iptablesやパスワードを初期化したところで、VPS鯖Aのssh-serverがコケテたらもうお手上げ ジ・エンドにゃん。OS再インスコか、サポートに泣きつくしかありません。 AirDisplay(AjaxTerm)がある?んなもんssh鯖が落ちたら使えないし、なるべくインスコするプログラムやサービスを太らせたくない&ポートも開けたくない。速攻粛清(手動削除)の対象にしました。 私も前回のエントリー VPSで遊ぶ -その8 ServersMan等のOpenVZ系VPSでは /etc/init/ssh.conf内の oom
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bitbucket | The Git solution for professional teams
SSH力をつけよう
ssh host key changeと警告されたとき - jarp,