Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
Open Tech Press | SSHのセキュリティを高めるためのハウツー
SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHが接続を待ち受けるポートの変更 SSHはデフォルトでは22番ポートで接続を待っている。攻撃者はポートスキャナを使ってホストがSSHサービスを実行しているかどうかを把握するが、(nmapを含め)大抵のポートスキャナではデフォルトでは1024以上のポート番号のスキャンは行なわれないため、SSH用のポートを1024以上の番号に変更しておくのが賢明だ。 具体的には、/etc/ssh/sshd_configファイルを開き、以下のような行を見つけて変更する。 Port 22 この行でポート番号を変更したら、以下のようにしてSSHサービスを起動し直そう。 /etc/init.d/ssh restart SSHプロトコル2
Windows XP 知らないと怖い「プロの常識」(第4回):ITpro
■その道のプロしか知らない,知らずにいるとあとで怖い思いをする「常識」を紹介する集中連載の最終回。 ■今回は,「エラー報告機能で秘密情報が漏れ出すことがある」「制限ユーザーでログオンしていてもシステム権限が乗っ取られることがある」「無いように見えてもAdministratorアカウントは存在する」「必ずドライブは丸ごとネットワークに公開されている」——の4つの常識を紹介する。 「エラー報告機能」で 秘密情報が漏れ出すことがある Windows XP上でアプリケーションがクラッシュすると「問題が発生したため,xxxxx.exeを終了します。ご不便をおかけして申し訳ありません」というダイアログが現れ,Microsoftに対してインターネット経由で「エラー報告」を行うように促される。 このエラー報告機能は,Microsoftやアプリケーション・ソフトの開発元がOSやアプリケーションが異常終了した
データベースに必要なセキュリティ対策を一望できるドキュメント,ラックが無償公開
セキュリティ・ベンダーのラックは10月20日,データベースに必要なセキュリティ対策をまとめたドキュメント「セキュアデータベースマトリックス」を公開した。データベースを安全に保つために一般的に必要とされる技術的または人的な対策を網羅的に示している点が特徴だ。これまでデータベース・セキュリティに関しては,暗号化や監査ログの取得といった特定の技術や方法論についての解説は数多くあったが,必要な対策を網羅的に示した資料は多くなかった。ドキュメントの作成を主導した研究開発本部データベースセキュリティ研究所所長の大野祐一氏は,「対策状況を確認するモノサシとして使ってほしい」と語る。 ドキュメントは,ソフト,ハード,ファシリティ(施設・設備),人といったデータベースの維持に必要な構成要素を縦軸に,構築フェーズと運用フェーズで考慮すべきポイントを横軸に取る。このマトリクスの中で,計192項目もの対策を整理し
OpenSSH クライアントの proxy -- 踏み台サーバを経由しての ssh : DSAS開発者の部屋
DSAS のメンテナンスは,基本的に ssh を使ったリモートメンテナンスで済んでしまいます.夜中や休日に非常事態が起こったとしても,ネットワーク接続さえ確保できればその場で対応できます.ただ,さすがにインターネットから DSAS に直接 ssh できる様にしておくのは一抹の不安があります.ですので,DSAS への ssh 接続は社内のサーバからのみ許すようにしておいて,外からログインする必要があるときは一旦社内のサーバを経由することにしています. このような形にしている場合,DSAS にログインしようとする際は,一旦社内のサーバに ssh 接続する必要があって,小さなことですが一手間かかってしまいます.できればワンステップで接続できる方法が無いかと思って色々検索してみた(※)ところ,このページで ProxyCommand という設定項目を見つけました(見つけたのがボスの個人サイトなのは本
ProcessLibrary.com - The online resource for process information!
Welcome to ProcessLibrary.com, winner of PCMAG’s Top 100 Classic Websites in the Tech: Download and DIY categories. ProcessLibrary is a free resource that provides information about processes and DLLs running or found on Windows PCs. It features an extensive and regularly updated database with over 195,000 entries and counting. To find more information about a computer process, you can use the Sea
ランダムな英字トラックバックスパムをブロックする方法
ブロック方法は主に2つ。1つめはトラックバック用のアドレスを取得するサーバをブロックする方法、もう1つはPOSTに含まれている特徴的なUserAgentをブロックすることです。 今回取り上げるトラックバックスパムは通常のものと違い、リンク先のドメインが存在しません。つまり宣伝目的ではなく、愉快犯かあるいは技術的なスパムの実験ではないかと思われます。例えば、 トラックバック送信元サイト名:myigkqve トラックバック送信元記事名:wwoplazmy トラックバック送信元アドレス:http://www.hlribogxe.com と、以上のような感じで送られてきます。 アドレスなどの文字列はランダムな英字の組み合わせになっているのが特徴で、送信元のIPアドレスは毎回違う海外の匿名プロキシを経由してきます。しかもご丁寧なことに世界中の様々な匿名プロキシサーバリストにまだ載っていないようなもの
ssh-agentでパスフレーズをキャッシュさせたい~ノンパスワードの実現~
sshを利用する際,パスワードを入力する手間を軽減させることが可能だ。しかし,パスフレーズまでは省略されず,この点をクリアするには次のような「ssh-agent」と呼ばれるデーモン利用が必要になる。 ssh-agentの起動時は,パスフレーズを記録しておく鍵キャッシュが空の状態である。このため,ssh-agentの起動後には引き続きssh-addコマンドを使用してパスフレーズをキャッシュに追加させておく必要があるのだ。以上の手順は次のようになる。これらの操作は,当然ながらパスフレーズを入力する接続元で行うべき操作だ。 $ eval `ssh-agent` Agent pid 3199 $ ssh-add Need passphrase for /home/ykida/.ssh/id_dsa Enter passphrase for /home/ykida/.ssh/id_dsa Ident
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.typemiss.net/blog/kounoike/20061019-100