IT人材が不足してるんだって。零細Web制作会社で言えば、退職者が残したubuntu12サーバーに眠るRails5アプリをすぐにDDDでマイクロサービスに再構成して、jQuery満載のコードを全て読み下したうえで、フロントエンドをReactかなんかのSPAに全部書き換えて、E2Eを含めた自動回帰テストを整備して、ついでにCIも整備して、k8sにデプロイできるようにして、ドキュメントは小まめに残し、職場の心理的安全性を落とさず、飲み会にはかかさず参加、役員との関係も良好で、定期的な勉強会も開いてくれて、それでも残ったプライベートの時間を最新の技術動向やセキュリティ情報の収集に全量突っ込んでくれる、そんなごく当たり前のエンジニアが不足している。ついでに言うと、人類の原罪を一身に贖ってくれるスキルの持ち主も不足しているらしい。多分、我々はもっと求人サイトに金を払うべきなんだろうね。 同業者から、
Contents Command Line Interface Guidelines An open-source guide to help you write better command-line programs, taking traditional UNIX principles and updating them for the modern day. Authors Aanand Prasad Engineer at Squarespace, co-creator of Docker Compose. @aanandprasad Ben Firshman Co-creator Replicate, co-creator of Docker Compose. @bfirsh Carl Tashian Offroad Engineer at Smallstep, first e
sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうという強烈なものです。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 【01/27/2021 10:30更新】Amazon Linuxのリンク(ALSA-2021-1478)も加えました。また、詳細情報を追記しました。 【01/27/2021 14:30更新】O
「達人が教えるWebパフォーマンスチューニング 〜ISUCONから学ぶ高速化の実践」を執筆しました - 酒日記 はてな支店
「達人が教えるWebパフォーマンスチューニング 〜ISUCONから学ぶ高速化の実践」という本を6名の共著で執筆しました。技術評論社さんから、2022年6月4日発売予定です。電子版もでます。 gihyo.jp Amazon はこちら。 達人が教えるWebパフォーマンスチューニング 〜ISUCONから学ぶ高速化の実践 作者:藤原 俊一郎,馬場 俊彰,中西 建登,長野 雅広,金子 達哉,草野 翔技術評論社Amazon タイトルの通り、ISUCON で出題されるようなWebサービスを例にして、Webサービスのサーバーサイドパフォーマンスチューニングを指南する内容です。通称「ISUCON本」と呼んでください。 2020年の末に、技術評論社さんからWebサービス高速化 × ISUCONに関する書籍を執筆しませんか、と藤原までお誘いをいただいたのが発端でした。 書きたい気持ちはあったものの、内容的にとて
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い
Security-Enhanced Linux の略です。 Linux のセキュリティをより強固なものにするため、米国国家安全保障局(NSA)によって開発されました。 Fedora, Red Hat Enterprise Linux, CentOS では標準で有効化されています。 有効化しておくと色々動かないものが多く、仕様も難解で立ち入ることが難しく、つい、無効化してしまうことも多いですが、たとえ侵入されて root 権限を乗っ取られても重要なデータを守ることができる技術として、利用が増えています。 通常のユーザ(root, ...)、グループ(wheel, ...)、パーミッション(rwx---)でアクセス制御するレベルを 任意アクセス制御 (DAC:Discretionary Access Control) と呼びます。root 権限を乗っ取られてしまうと、すべての操作を実行可能とな
セキュアにGoを書くための「ガードレール」を置こう - 安全なGoプロダクト開発に向けた持続可能なアプローチ - Flatt Security Blog
The Go gopher was designed by Renee French. (http://reneefrench.blogspot.com/) The design is licensed under the Creative Commons 3.0 Attributions license. 種々の linter が様々なプロダクトの品質を高めてきた、というのは疑う余地のない事実です。実装の初歩的な問題をエディタ内や CI/CD パイプライン中で機械的に検出できる環境を作れば、開発者はコーディングやコードレビューの邪魔になる些末な問題を早期に頭から追い出し、本質的な問題に集中できます。 また、そのような環境づくり(e.g. linter のルールセットの定義、組織独自のルールの作成、…)は、まさに開発組織のベースラインを定義する作業として捉えることができます。一度誰かが定義
Linux procfs 徹底入門
これは Linux Advent Calendar 2019の 15 日目の記事です。procfs について勉強したことをまとめます。 検証環境CentOS 8 を利用する。 ]# cat /etc/redhat-release CentOS Linux release 8.0.1905 (Core) ]# uname -a Linux localhost.localdomain 4.18.0-80.el8.x86_64 #1 SMP Tue Jun 4 09:19:46 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux procfs とは疑似ファイルシステムのひとつ。 ディスク上に実体は存在せず、メモリから情報を取得する。 カーネルだけが知っている情報 (例えばシステム全体のロードアベレージ/CPU負荷/メモリ利用状況や、プロセスごとの情報)が取得できる。
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
SELinuxシリーズ 本記事は、SELinuxシリーズの1記事目です。 Linuxプロセスアクセス制御の概要 ←今ココ SELinuxの概要 SELinux Type Enforcement SELinuxの実践 (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL 1〜3記事目は、4記事目を理解するための前提知識をカバーしています。 4記事目が最も重要で、SELinuxの具体的な操作方法やコマンド、トラブルシューティング手順を紹介しています。 5記事目以降は参考情報です。 SELinuxの関連記事は、SELinuxタグから探せます。 一連の記事はFedora環境を前提として書いています。 FedoraやRHELに類するディストリビューションであればほぼ同等の挙動になると思いますが、他のデ
Red Hatの森若です。 今回は個人でChatGPT Proを契約したので、ChatGPTをRHELの運用に使えるか試してみます。 趣旨とご注意 ログの意味を教えてもらう やりたいことの実現方法を聞いてみる チェックリストのたたき台を作ってみる ドキュメントの検索をさせてみる ナレッジベースを特定バージョンむけに書き換える RHELアップグレードのための稟議書を書いてもらう 趣旨とご注意 趣旨: 乗るしかない このビッグウェーブに…… ということで流行りもので遊んでみるという話です。検索を汚染しないようにChatGPTの出力は画像で貼りつけます。 ご注意: ChatGPT(に限らず現状の大規模言語モデルと呼ばれるもの)は「それらしいテキストを生成する」という技術で、厳密な論理や一貫性のある主張、 発言が正しいことの裏づけなどはできません。使う場合には特徴を踏まえて使いましょう。 ログの意
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日の記事では Linux のネットワークインターフェイス名を出発点として systemd や udev について調査しました。 どうやって調査したかというと、 検索キーワードをあれこれ試してみて、見つかった記事から気になるコマンドや設定ファイルがあれば、実際の内容を確認し、 そこからmanページを辿ってパッケージ情報にさかのぼり、パッケージがインストールした他のコマンドや設定ファイルの一覧から構成を把握し、 さらに関連するコマンドや設定ファイルをmanページで辿って・・・ というサイクルを繰り返しました。 時には同じmanページを数度に渡って辿り直し、読み直したりして自分の中の情報を整理しました。 読者の皆様は、そのような時どうされますか? 初めて触るLinuxディ
Amazon Web Services(AWS)は、コンテナの実行に最適化したLinuxベースのOS「Bottlerocket」正式版のリリースを発表しました。 Bottlerocketは一般的なLinux OSが備えるさまざまな機能のなかから、コンテナの実行に必要な機能だけを残して徹底的にスリムダウンし、セキュリティなどを強化したLinuxベースのOSです。Pythonなどスクリプト言語の実行系はもちろん、シェルやSSHも省かれています。 Linuxカーネルとコンテナの実行に必要な最小限のソフトウェアで構成されるため、性能上のオーバーヘッドが小さくなっているだけでなく、セキュリティの脆弱性につながるような外部との境界面も小さくなっています。 ブート時には自己の整合性をチェックして起動。SELinuxの強制アクセス制御により、Bottlerocket自体への変更も特権コンテナからの変更のみ
はじめに 本記事では、Kubernetesで実現するマルチテナントについて、2020年9月時点での現状と、将来的に利用できるであろう機能の紹介をいたします。各機能についての詳細は、参考ドキュメント等を参照していただければと思います。 本記事の要点 マルチテナントは単一のクラスター上に複数のテナントを共存させることを指す。 Kubernetesにはマルチテナントを実現するための機能が備わっている。 アクセスコントロール:RBAC セキュリティ:Namespace / Network Policy / Pod Security Policy リソースの隔離:ResourceQuota / LimitRange / Affinity / Taintなど Kubernetesのマルチテナント機能は、SIGを中心として機能開発が進められている。 Benchmarks Tenant Controlle
とほほのWWW入門
はじめに ご使用上の注意 (1) 主な更新履歴 (24) 管理者へのメール (1) 自己紹介 (1) 基本編 用語集 (82) Webページ作成入門 (7) 逆引きリファレンス (32) フォーマット HTML (400) HTML5 (7) XHTML (1) MathML (1) DTD (1) CSS (ABC順)(719) Less (1) Sass (1) JSON (1) SVG (1) VML (1) GIF (1) CSV (1) セマンティック・ウェブ (1) プログラミング言語 JavaScript (39) TypeScript (1) Java (25) Perl (4) PHP (14) Ruby (11) Python (13) Go (1) C言語 (1) C# (1) Rust (1) Scala (1) Haskell (1) Kotlin (1) Bas
ssh を Google Authenticator PAM module で二要素認証化する(CentOS 8) - setodaNote
2023-01-10 以下の記事を教えてもらい、比較的簡単に ssh にワンタイムパスワード認証を追加できるようだったので CentOS 8 でも試してみました。 Raspberry Pi の場合と異なり、SELinux による制御を考慮する必要があったので、それを踏まえて設定しました。 Setting up two-factor authentication on your Raspberry Pi - Raspberry Pi https://www.raspberrypi.org/blog/setting-up-two-factor-authentication-on-your-raspberry-pi/ 設定方針 Google Authenticator PAM module の設定 sshd の設定 接続テスト 付録 A: 認証コードが正しいのにログインできない 設定ファイルの確
安全なKubernetesクラスタのつくりかた 〜ポリシー編〜 - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Necoプロジェクトの池添(@zoetro)です。 今回は、安全なKubernetesクラスタを構築するために、我々がどのようなポリシーを適用しているのかを紹介したいと思います。 Kubernetesクラスタのセキュリティ対策 安全なKubernetesクラスタを構築するためには、非常にたくさんの項目について検討しなければなりません。 ざっと挙げてみただけでも以下のような項目があります。(詳細は Kubernetesの公式ガイド を参照) Role-Based Access Control (RBAC) ネットワークアクセスの制御(Network Policy) コンテナの権限(Pod Security Policy) 通信の暗号化 Secretの暗号化 信頼できるコンテナイメージの利用 安全なコンテナランタイムの利用 ユーザー/グループの管理 API ServerのAudit
SELinux を踏み台サーバに使ってみた話
これは ビットバンク株式会社 Advent Calendar 2020 の 17 日目の記事です。 はじめに 皆さん setenforce 1してますか? AWS エンジニアの koarakko です。 普段は DevOps や 統制周りの業務を担当しています。 今回は踏み台サーバでの SELinux 活用事例を交えながら実際にポリシー調査から実装までの方法を紹介したいと思います。 SELinux を本番利用している環境は少なく、貴重な経験ができたと自負しています。 この記事を読むことで SELinux の本番利用の一助になれば幸いです。 当社の踏み台の活用背景 踏み台サーバは本番アプリサーバにログインする場合に経由サーバとして利用しています。 OS は RHEL 8 で2台構成です。 当社では踏み台サーバを2年程度使っていますが、この間に踏み台サーバの置き換えもしています。 以前は am
A compiled list of links to public failure stories related to Kubernetes. Most recent publications on top. You Broke Reddit: The Pi-Day Outage - Reddit - blog post 2023 involved: Calico CNI, Upgrades, labels impact: global outage How a couple of characters brought down our site - Skyscanner - blog post 2021 involved: Gitops, templating, namespace deletion impact: global outage 10 More Weird Ways t
by Rudolf Schuba UNIX系のOSに共通する機能の呼び出し方法などを定めたPOSIXは、「POSIXに準拠するならばどんな環境でも動作する」ことを保証する規格です。POSIXは長年移植可能なアプリケーションの開発を支えてきましたが、システム管理者のチャールズ・フィッシャー氏は「POSIXがマルチコアCPUの能力を制限する要因となっている」と指摘し、「xargs」コマンドを例として具体的な説明を行っています。 Parallel shells with xargs: Utilize all your cpu cores on UNIX and Windows | Linux Journal https://www.linuxjournal.com/content/parallel-shells-xargs-utilize-all-your-cpu-cores-unix-and-
RHEL9互換の国産Linux OS「MIRACLE LINUX 9」が無償公開。2032年までパッケージアップデートやセキュリティパッチを無償提供
サイバートラストは、Red Hat Enterprise Linux(RHEL)9 互換の国産Linux OS「MIRACLE LINUX 9」の無償提供を開始しました。 「MIRACLE LINUX 9 」は、RHEL9と同様にLinuxカーネル5.14を採用し、OpenSSLなどの主要なパッケージのバーションアップの他、SELinux の性能改善、セキュアブート対応など、主にセキュリティ関連の機能が強化されています。 パッケージアップデートやセキュリティパッチは2032年11月まで無償で提供される予定。有償サポートサービス「MIRACLE Standard サポート」に加入すると日本語によるサポートサービスが利用可能で、またサポート期間も2034年まで延長されます。 昨年にはCentOS 8のバイナリ互換MIRACLE LINUX 8.4をリリース 同社は昨年(2021年)9月に、20
コンテナ仮想、その裏側 〜user namespaceとrootlessコンテナ〜 - Retrieva TECH BLOG
レトリバのCTO 武井です。 やあ (´・ω・`) うん、「また」コンテナの記事なんだ。済まない。 技術ブログの開設と新セミナー運用の開始にあたって、「前に話した内容をブログにしつつ、新しい差分をセミナーにすれば、一回の調べ物でどっちのネタもできて一石二鳥じゃないか」と思っていたのですが、 前のセミナーが情報詰め込みすぎでブログの文量がとんでもないことになって、 → それが前提条件になってしまっているのでセミナー資料の文量も膨れ上がって、 → 差分だけと思っていたUser名前空間も思った以上のボリュームで、 → やっと一息かと思ったら、フォローアップ記事が残っていることを思い出すなど ←いまここ 一石二鳥作戦のはずが、どうしてこうなった……。 計画大事。 そんなわけで、今回は4/17にお話ししました「コンテナ仮想、その裏側 〜user namespaceとrootlessコンテナ〜」という
実行時間を約90%削減する Ansible パフォーマンスチューニング 基礎 | BLOG - DeNA Engineering
はじめに IT 基盤部の佐藤です。 社内システムのインフラを担当しています。 前回は、 Ansible で始める Linux 管理 と題しまして、構成管理ツールの Ansible について、基本的な特徴と簡単なサンプルを紹介いたしました。 Ansible のパフォーマンスチューニングは、デプロイする対象(ネットワーク機器、仮想化ソフトウェア)によって様々な方法がありますが、今回は次の2つの観点でのパフォーマンスチューニングの方法を簡単にご紹介したいと思います。 タスク並列実行 情報量の削減( Dyanmic Inventory) Dyanmic Inventory とは、構成管理の対象となるサーバを動的に取得する機能です。 詳細は Ansible のマニュアル「 Working with dynamic inventory 」を参照してください。 Ansible の環境情報 パフォーマンス
Oracle Cloudの無料枠だけでKubernetes(k3s)クラスタを構築する - blog.potproject.net
Oracle Cloudの無料枠だけでKubernetes(k3s)クラスタを構築する(したい) タダでkubenatesを運用してみたいんじゃオラ という気持ちの元に、ギリギリ無料でkubenatesを運用できそうな物が出てきたので、構想を現実にするという記事です。 Oracle Cloud Infastructure と Kubernetes Kubernetes、Docker(厳密には違うけど)のオーケストレーションツールとして、事実上の標準として居座っているオープンソースソフトウェア。 コンテナの運用技術としてこれから試してみたい人も結構多いと思いますが、やるのであれば実際にクラスタ組んでサービスをデプロイしてインターネットからアクセスできる、そんなレベルまでやってみたいものです。 やるとすれば、実際Kubernetesを採用しているクラウドサービスは多く、GCPはマネージドKub
参考 おさらい runc architecture file main.go and command process runc create setupSpec startContainer linuxContainer LinuxFactory createContainer CreateLibcontainerConfig loadFactory factory.Create runner.run newProcess linuxContainer.Start newParentProcess parentProcess.start() runc init nsenter nsexec runc init(After nsexec) linuxStandardInit.Init runc start 低レベルコンテナランタイムruncの内部処理のまとめです。 参考 2021/05現在:
RHEL9での変更点(セキュリティ編:Part1 SELinuxの無効化について) - SIOS SECURITY BLOG
SELinuxの変更SELinuxに関しては、主な変更点として SELinuxで/etc/selinux/configで「selinux=disabled」が効かなくなる(ハングすることがあります)パフォーマンスの向上が挙げられています。今回は一番最初の「selinux=disabled」が使えなくなる(システムがハングすることがある)というのを見ていきたいと思います。 当たり前ですが、筆者の見解/立場ではSELinuxは無効化するべきでは無いので、無効化する前に「待て、考え直せ」とは言いたいです。 SELinuxを無効にしたときのハングアップまずは事象を見てみたいと思います。/etc/selinux/configで SELINUX=enforcing を SELINUX=disabled に設定し、再起動を行います。すると(タイミングの問題だと思いますが)下記のようにブート中にシステムが
レッドハットの杉村です。Ansible のテクニカルサポートをしています。 今回は以前のお問い合わせいただいた事例から、SSH (Secure Shell Protocol) について一つ紹介しようと思います。Ansible は Linux サーバを制御対象とするときは SSH で接続して処理を実行しますので、SSH の通信についてのトラブルは問題に直結します。 RHEL 8.6 + Ansible Core 2.13 で確認しています。 Ansible の基本的な動作原理 まずは Ansible はどうやって動いているのかというのを軽く振り返ってみます。 Ansible が動作するサーバをコントロールノード、制御対象をマネージドノードと呼びます。流れを大まかに説明しますと、この図のようになります。 ① YAMLで書かれたプレイブックからタスクごとに小さなプログラムを生成する ② ①で生成
はじめに Dockerなどのコンテナを使っていると「SELinuxを有効にしておけ」と言われますが、 実際に起動していないとどうなのか検証してみたことと、 色々なところでも紹介されているものですが、自身のメモとして投稿しました。 今回の検証環境 VirtualBox 6.0 CentOS 7.3 Docker 19.03.05 SELinuxが無効な場合 まず、SELinuxを無効にします。 # vi /etc/selinux/config (以下にパラメータを変更) SELINUX=disabled # enforcingからdisabledに変更 # reboot ※ SELinuxの状態 Enforcing : SELinuxが有効 Permissive : SELinuxのラベリングはしているけど、無効な状態 Disabled : SELinuxが無効 再起動後、SELinuxの
みなさんこんにちは、杉金です。 Amazon Linux 2の後継にあたるAmazon Linux 2022のプレビュー版がきましたね!ついに!! 公式リンク集 Newsページ GitHub 製品ページ ユーザーガイド Amazon Linux 2022とは Amazon Linux 2022(AL2022)はAWSが独自に提供するLinuxサーバOSです。Amazon Linux 2の後継として今回発表されました。AL2022以降、Amazon Linuxの新しいメジャーバージョンは2年ごとにリリースされ、四半期ごとのマイナーリリースが含まれ、5年間の長期サポートが付属するようです。特徴として、デフォルトでパッケージリポジトリが特定のバージョンにロックでき、継続的デプロイのセットアップを容易にします。また、デフォルトでSELinuxが有効になっています。AL2022は、AWS公式のFAQ
![[速報]Amazon Linux 2022がやってきた!(プレビュー版) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/e03678dab7b09cb34c564b7250c4c7eac8677103/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-ec2.png)
AWSに最適化された「Amazon Linux 2023」正式リリース。カーネルライブパッチなど新機能、今後は5年間無償サポート、2年ごとにメジャーバージョンアップ
AWSは、同社の各種サービスや開発ツールに最適化されたLinuxディストリビューション「Amazon Linux 2023」の正式リリースを発表しました(発表ブログ)。 5年間の無償サポートと2年ごとのメジャーバージョンアップ 同時に、Amazon Linuxのライフサイクルが次のようにシンプルになることも発表されました。 リリースから5年間の無償サポート 2年ごとのメジャーバージョンアップ 5年間の無償サポート期間ではセキュリティパッチなどが提供されます。また、2年ごとのメジャーバージョンアップには、カーネルやツールチェーン、OpenSSLやその他のライブラリやユーティリティに対する大きな変更が含まれる場合があると説明されています。 これまでのAmazon Linuxは「Amazon Linux 2」とバージョン番号で呼称されていましたが、今回のバージョンから「Amazon Linux
電子書籍版5/30、紙版6/4「達人が教えるWebパフォーマンスチューニング 〜ISUCONから学ぶ高速化の実践」が発売されます! - Hateburo: kazeburo hatenablog
共著で執筆しました「達人が教えるWebパフォーマンスチューニング 〜ISUCONから学ぶ高速化の実践」が発売されます。紙版は6/4日発売、電子書籍版は本日5/30から発売されております。通称 #ISUCON本 です。 ISUCONを例にするWebアプリケーションの主にサーバサイドのチューニングを広く扱うユニークな書籍となっております。ISUCONに参加する方はもちろん、業務でWebアプリケーションの開発運用にあたるエンジニアまで役に立ちそうな内容が盛りだくさんになります。 見本誌が届きましたが、分厚い、そして盛りだくさんな内容となっています。 技術評論社のページ gihyo.jp Amazon 達人が教えるWebパフォーマンスチューニング 〜ISUCONから学ぶ高速化の実践 作者:藤原 俊一郎,馬場 俊彰,中西 建登,長野 雅広,金子 達哉,草野 翔技術評論社Amazon ISUCON本
はじめに はじめまして。IT 基盤部の佐藤です。 社内システムのインフラを担当しています。 今回は、DeNA のインフラを構築する際に使用されている Ansible について紹介いたします。 Ansible とは Ansible とは、構成管理ツールです。Python 製のオープンソースソフトウェアで、レッドハット社が中心となり開発を進めています。Ansible 以外の構成管理ツールには、Chef や Puppet などが挙げられます。 Ansible にはシンプル、パワフル、エージェントレスというコンセプトがあります。Ansible のコンセプトを知ることで、他の構成管理ツールと比較して、優れている点を理解することができます。まずは、Ansible のコンセプトについて紹介いたします。 Ansible のコンセプトを紹介した後に、Ansible を実際に動作させて、実行結果と簡単な解説を
抜粋 : Release cadence - Amazon Linux 2023 メジャーリリースとマイナーリリースの内容は以下AWS公式ドキュメントに記載されています。メジャーリリース時には互換性があるか十分に検証した上でアップデートしましょう。 Major version release— Includes new features and improvements in security and performance across the stack. The improvements might include major changes to the kernel, toolchain, Glib C, OpenSSL, and any other system libraries and utilities. Major releases of Amazon Linux ar
※本記事は、2023年7月時点の情報を元にしています。実際に移行を検討される際は、その時点でのAWS等の最新ドキュメントを参照下さい。 最近、 「Amazon Linux 2をAmazon Linux 2023に移行した事例はありますか?」 「Amazon Linux 2023を実際に使ってみてハマった事象があったら教えて下さい」 という問い合わせを目にする機会が増えました。 約1年前に、[Amazon Linux 2(以下、AL2)のEOL(End Of Life)は2025年6月30日に延期されました(https://aws.amazon.com/amazon-linux-2/faqs/?nc1=h_ls)。 AL2のEOLまであと2年ということで、ウォーターフォール型の足の長いプロジェクトであったり、 既存環境でAL2ベースのEC2を大量に運用しているユーザーさんの中では、 もうEO
Linux Hardening Guide | Madaidan's Insecurities
Last edited: March 19th, 2022 Linux is not a secure operating system. However, there are steps you can take to improve it. This guide aims to explain how to harden Linux as much as possible for security and privacy. This guide attempts to be distribution-agnostic and is not tied to any specific one. DISCLAIMER: Do not attempt to apply anything in this article if you do not know exactly what you ar
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
追記 「何が問題なのかわからない」という声があったので補足します。 Dockerの-vオプションや仕組みを理解しているユーザーやDockerを構築した人自身が使っているだけであれば、気をつけるだけでいいと思っています。 Dockerを複数人で使っているとか、Kubernetesクラスターのランタイム(CRI)としてこれらのエンジンを使った場合にも、今回取り上げたようなことをKubernetes上で実現できるので、オンプレ(要するに手元の環境で)Kubernetesを利用している人は気をつけないといけないでしょうという話です。どちらかというとこの問題ってrunCを使っているからなのかなと思っています。 解決策としては、Linuxのセキュリティ機能はできるだけ使うということ、必要以上にアクセス権を渡さないこと、メンテナンスされたコンテナイメージを使うこと、稼働中のコンテナは定期的に新しいイメー
Jack Wallen (Special to ZDNET.com) 翻訳校正: 編集部 2022-09-22 07:45 「Linux」は、人々が思っているほど難しいものではない。デスクトップで使用する場合は、特にそうだ(多くの管理タスクを実行する必要がないため)。だが、サーバーで使用する場合は、どうなのだろうか。自宅または自社のデータセンターのいずれかにLinuxサーバーを展開したい場合、どうすればそのLinuxサーバーを管理できるのだろうか。 ウェブベースのGUIを利用できるので、管理作業は人々が思っているほど難しくはない。 そのGUIは「Cockpit」と呼ばれる。Cockpitは、ウェブベースのグラフィカルインターフェースである。多くのLinuxタスクを簡素化するので、Linuxを初めて使用するユーザーでも、Linuxサーバーを簡単に管理することが可能だ。そのため、Linuxの初
Netflix報告: Linux Kernel又はFreeBSDのリモートから攻撃可能な脆弱性(TCP SACK PANIC) (CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, CVE-2019-5599) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。
sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ10/02/2019にsudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。また、本件の発生条件(何故「ALL」が絡んだ場合のみ発生するのか)をソースコードレベルで追いかけた記事を@ITで公開しました。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
中年IT人材おじさんの平穏 - megamouthの葬列
Command Line Interface Guidelines
コンテナ・セキュリティ入門 脆弱性 - Qiita
とほほのSELinux入門 - とほほのWWW入門
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
Linuxプロセスアクセス制御の概要 - えんでぃの技術ブログ
ChatGPTをRHELの運用に使えるか? いろいろためしてみた。 - 赤帽エンジニアブログ
Linuxシステムの勉強に役立つコマンドの紹介 - セキュアスカイプラス
AWS、コンテナ実行に最適化したLinux OS「Bottlerocket」正式版リリース
Kubernetesのマルチテナントの現状を整理する - TECHSTEP
Kubernetes Failure Stories
コアを多数搭載するCPUは「POSIX」によって能力を制限されているとの指摘
Low-level Container Runtime:Runc Internals - 鳩小屋
Ansible の SSH の通信をデバッグする - 赤帽エンジニアブログ
DockerとSELinux - Qiita
[速報]Amazon Linux 2022がやってきた!(プレビュー版) | DevelopersIO
Ansible で始める Linux 管理 | BLOG - DeNA Engineering
Amazon Linux 2023がGAされました | DevelopersIO
Amazon Linux 2をAmazon Linux 2023に移行したくて...夏
コンテナーとセキュリティーについて調べたのをまとめる - ytooyamaのブログ
「Linux」サーバーを「Cockpit」でより簡単に管理するには