IPsec vs SSL/TLSIPsec も SSL/TLS も共に『通信相手が正しいこと、パケットの中身 (ヘッダは除く) が改ざんされていないこと、パケットの中身 (ヘッダは除く) が盗聴されないこと』を実現するセキュリティプロトコルです。 この 2 つがどのように違うかをまとめてみました。 エンドポイント間で暗号化するときは SSL/TLS が便利です。これについては次の章で詳細を説明します。 一方、IPsec は『サイト間 VPN』があるのが大きなポイントです。これは SSL/TLS では実現できません。 リモートアクセス VPN についてはどちらも利用可能です。利便性ではやはり https のみを許可すれば使える SSL-VPN が有利ですが、パフォーマンスでは一般に IPsec-VPN が有利です。 また、セキュリティ強度は正直そこまで大きく変わりません。 IPsec は相互

以下は dm-crypt を使って完全なシステム暗号化を行う一般的なシナリオの例です。通常のインストール手順に加える必要がある変更を全て説明しています。必要なツールは全て インストールイメージ に入っています。 概要 root ファイルシステムの暗号化については機能やパフォーマンスの点で dm-crypt が優れています。システムの root ファイルシステムが dm-crypt デバイス上にあれば、システム上のほとんど全てのファイルが暗号化されます。root 以外のファイルシステムを選択的に暗号化するのと異なり、root ファイルシステムの暗号化は様々な情報を隠匿できます。インストールされているプログラム、ユーザーアカウントのユーザー名、mlocate や /var/log/ など媒介してデータ漏洩の恐れがあるファイルなど。さらに、root ファイルシステムを暗号化することでシステムの改

セキュリティの重要性を再考する 研究用および分析対象のデータの保全については度々注目が集まります。閉ざされた会社や研究機関、大学などの管理下にあれば比較的安全でしょうが、昨今ではクラウドなどが全盛でありインターネット経由でネットワークアクセスすることもしばしばあります。また侵入者を厳しく検査する堅牢なデータセンターに機器があるとは限らず、オフィスや研究所のフロアなどに計算機が置かれるケースも多々あるでしょう。侵入者がネットワーク経由あるいは直接に物理攻撃を仕掛けてきた場合、これに対する充分なセキュリティ対策が施されていないと、場合によってはセンシティブなデータが広く漏洩し社会問題になってしまうことになってしまいます。こういった事態を防ぐために、データのセキュリティについて今一度考えていきます。 物理攻撃への対策 データを格納したストレージが何者かによって直接触れられた場合、データの盗聴、改

最近 git commit に電子署名する目的などで GnuPG を使う記事などをチラホラ見かけるようになったが，やっぱ使い慣れんもんは分からんよねぇ。 しかもバージョンによって微妙に挙動が異なるのが困りものである。 ちうわけで GnuPG の使い方に関する簡単な「虎の巻（cheat sheet）」を作ってみることにした。 対象となる GnuPG のバージョンは最新版の 2.2.x とする。 なお，この記事は大変長文なので，あらかじめお茶菓子などを用意した上で読みはじめることをお勧めする。 また Zenn に簡易版を公開した。 GnuPG チートシート（簡易版） 説明はいいから例示だけ見せろという方はこちらで。 では，ご笑覧あれ。 目次 はじめに GnuPG とは コマンドとオプション 鍵の作成 --generate-key コマンド --full-generate-key コマンド --

Help us understand the problem. What is going on with this article? はじめに 軽いノリでgitコミットに署名しようとgpg (GNU Privacy Guard)について調べたところ、思いの外複雑で全体像を把握するのに苦労しました。 そこでgpgに頭を悩ませている人を一人でも多く救うべく、この記事を書きました。内容に誤りがありましたら、修正リクエストを送っていただけると幸いです。 gpgのバージョンについて この記事を執筆している2016年9月18日の時点で、gpgには3種類のバージョンが存在し、それぞれ開発が続いています。 gpg modern (2.1.x) gpg stable (2.0.x) gpg classic (1.4.x) gpg1.4はシングルバイナリであり、それ単体で動作します。一方gpg2.0以降は、

/etc/pam.d/system-authが気になって夜も眠れないので調べてみました。この設定ファイルはOS全体の認証*1を司るものです。コンソールでログインするとき、SSHで接続するとき、su（switch user）するときなど、多くの場面で利用されます。 /etc/pam.d以下にあるファイルは下記の書式になっています。 タイプ コントロールフラグ モジュール [オプション] タイプは4種類あります。 auth 認証を許可するかどうかです。ユーザが本物であるかを、パスワードなどの入力によって確認をします。また認証方法を変更することも可能です。 account パスワードの有効期間や認証時の時間などでアカウントの有効性をチェックします。authとセットで使用されます。 password 認証方法を変更するメカニズムを提供します。通常はパスワードの設定／変更する場合です。 sessio

Serverworks Co.,Ltd.Founder & Cheif Executive Officer at Serverworks Co.,Ltd.

はじめに OpenVPN？言われるがままにWindowsにインストールした事あるかも？ 程度の知識でもOpenVPNについて理解できるよう、わかりやすい入門記事を書いてみました。 所要時間目安 : 10分 OpenVPNとは OpenVPNはオープンソースのVPNソフトウェアです。 公式サイトでも、以下のように説明されています。 OpenVPN Technologies Inc.を中心とした開発者によってオープンソースで開発されている、VPNを構築するためのアプリケーションです。VPNを利用することにより、インターネット上に仮想的にネットワークを構築し、場所の離れた拠点間、またモバイル環境とオフィス内LANの間などを安全に接続することができます。（openvpn.jpより抜粋） いきなりOpenVPNの特徴を紹介する前に、入門記事らしくVPNについて見ていきます。 VPNの役割 そもそもで

はじめに 例えばネットサーフィンを行う際、HTTPSを用いるとWebサーバのサーバ証明書の検証をWebサイト閲覧端末で行い、接続するサーバの正当性を確認して暗号化通信を行います。 この一連の流れを図示したものが以下となり ポイントは以下の二つです。 Webサーバの公開鍵を使って端末が暗号化し、Webサーバは秘密鍵で復号化する 端末はWebサーバの公開鍵が本当にWebサーバのものなのか検証を行う 本記事では二つ目のWebサーバの公開鍵の正しさを検証するための流れについて解説します。 証明書検証の登場人物 サーバ証明書の検証を説明するべく、登場人物は以下の３つとします。 原理は同じなので中間認証局は割愛します。興味がある方は署名の連鎖に関する別の記事を参考ください。 本題の説明のために以下の図を用意しました。ネットサーフィンをしている端末がクライアントでウェブサイトを提供しているのがWebサー

株式会社クリアコード > ククログ > SSHポートフォワード（トンネリング）を使って、遠隔地からLAN内のコンピュータにログインする こんにちは。クリアコードの結城です。 SSHを使うと、手元のコンピュータから別のコンピュータへネットワーク越しにログインして、bashやzshなどのコマンドラインシェルを使ってそのコンピュータをリモート操作できます。scpを使えば、ネットワーク越しにファイルをコピーすることもできます。 しかし、以下のコマンド列を見ると分かる通り、SSH経由で接続できるコンピュータは基本的には、手元で操作しているコンピュータから直接ホスト名またはIPアドレスで参照できるコンピュータに限られます。 % ssh www.example.com # 接続先をホスト名で指定 % scp 192.168.1.10:/var/log/apache2/access.log /tmp/ #

I use cookies to analyze how visitors use my website via Google Analytics: Accept Reject Dismiss _ apt-cacher-ng: Apt のキャッシュプロキシ この記事は Debian/Ubuntu Advent Calendar 2017 の 2017/11 の記事です. 前日は @fumiyasu によるホームディレクトリをログインパスワードで暗号化でした. 「何か書きます」とか宣言しておきながら, 何をネタにするか結局決まらず... というわけで, 今までちゃんと書いてなかったネタとしてapt-cacher-ngについてまとめておきます. apt-cacher-ng とは? apt-cacher-ngは 「apt でパッケージを取得してインストール」する際に, 取得してくる Releas

こんにちは。@nojima です。 最近、社内のアーティファクトの deb 化を推進しています。 Building Microservices でも紹介されているように、deb は apt-get install でインストールできたり、依存関係を自動で管理できたりするため、単純な tar.gz を使うよりも利点が多いです。 Debian 界隈では dpkg-buildpackage などのツールを使って、ソースコードのビルドから deb の作成までを一貫して管理することが一般的です。 しかし、既にソースコードのビルドを行う仕組みを持っている場合、既存のビルド手順をそのまま使いつつ deb パッケージを作成したい場合もあります。 そこでこの記事では、ビルド済みのバイナリがあるときに、それを deb パッケージ化する方法を紹介します。 ※ この記事で紹介する方法は主に個人や社内で利用する d