Amazon LinuxへのsshをGoogle Authenticatorを用いて二段階認証にしてみた | DevelopersIO
はじめに こんにちは植木和樹@上越妙高オフィスです。今日はAmazon Linuxへのsshログイン時におけるセキュリティ強化のお話です。 AWS運用チェックリストではOSにログインする際のユーザーは共有せず、個人ごとにOSアカウントを作成することが推奨されています。 これからAWSを始める人は一読すべき「AWS運用チェックリスト」を読んでみた | Developers.IO 個人ごとにOSアカウントを作成すれば、いつ誰がそのサーバーにログインしたのか分かるので不正な操作が行われた際のトレースに役立ちます。 しかし仮にパソコンが盗まれる等で秘密鍵が盗まれてしまった場合を想定し、さらにもう一段階、その人のみが持っているものを用いなければサーバーにログインできない仕掛けを作ってみます。これを2段階認証といいます。今回は 1.個人のssh鍵ファイル + 2.スマホに表示されるワンタイムパスワード
Amazon Linux 2023 で Google Authenticator を試してみた | DevelopersIO
はじめに チームのツールに Amazon Linux 2 で構築した SSH サーバーがあり、公開鍵認証と Google Authenticator の認証で SSH 接続しているのですが、いずれ Amazon Linux 2023 に置き換えねばなるまいということで、ログイン周りの検証を行いました。 Amazon Linux 2 との違い pam_tally2.so の代わりに pam_faillock.so を使う google-authenticator が標準リポジトリでサポートされた(AL2ではepel) pam_faillock.so は PAM (Pluggable Authentication Modules for Linux) に組み込んで使うモジュールで、認証失敗時の振る舞いをコントロールします。google-authenticator は 2023 年 9 月のアッ
Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO
みなさんは ID Token と Access Token の違いを理解していますか? Access Token を使用した保護された Web API を実装する機会は何回かありましたが、理解して使っていたかというとそうではありませんでした。プライベートな Web API にアクセスするときは、Access Token を Authorization ヘッダーに Bearer で渡せばいいんでしょ? ID Token?? の認識で、なんとなく使っていたような状態でした。最近、認証・認可や OAuth 2.0 / OpenID Connect を勉強する機会があり、2 つのトークンの違いについてざっくりと理解できましたので、ブログにしてみました。 このブログでは、OAuth 2.0 / OpenID Connect に対応している Auth0 という IDaaS を使って、この 2 つのトー
AWS Systems Manager セッションマネージャーでSSH・SCPできるようになりました | DevelopersIO
AWS Systems Manager セッションマネージャーに待望の機能(のひとつ)がやってきました! Session Manager launches tunneling support for SSH and SCP サーバーにSSHしたり、ローカル・リモート間での SCP 越しのファイルの送受信も可能になりました。 更には SSH セッション越しにポート転送もできます。 ということで、さっそく試してみましょう! リモートの準備 SSM エージェントをインストール SSH先サーバーに 2.3.672.0 以上の SSM エージェントがインストールされている必要があります。 古いエージェントがインストールされている場合、アップデートしてください。 Manually Install SSM Agent on Amazon EC2 Linux Instances - AWS Systems
S3で誤ったデータの公開を防ぐパブリックアクセス設定機能が追加されました | DevelopersIO
全AWSユーザが今すぐ設定したほうがいいS3のセキュリティを向上するアップデートです。パブリックアクセス設定を有効化して誤ったS3オブジェクトの公開を防ぎましょう。 こんにちは、臼田です。 S3のセキュリティを向上する素晴らしいアップデートが来ました!ほぼすべてのAWSユーザがこの設定を今すぐ有効化すべきだと思います。 S3で新たにパブリックアクセス設定という機能が追加され、誤ってデータを公開してしまうことを防ぐ設定をAWSアカウント全体・バケット毎にできるようになりました。 Amazon S3 Block Public Access – Another Layer of Protection for Your Accounts and Buckets | AWS News Blog この良さを理解するにはこれまでどうなっていたかを知る必要がありますので、そこから順に説明したいと思います。
Amazon Lightsailが約半額になり月額$3.5から利用でき大きなサイズも追加! | DevelopersIO
大栗です。 先程Amazon Lightsailが半額になり、インスタンスサイズが追加されましたのでレポートします。 Amazon Lightsail Update – More Instance Sizes and Price Reductions Amazon Lightsail Announces 50% Price Drop and Two New Instance Sizes Amazon Lightsail 皆さんはAmazon Lightsailを使っているでしょうか?Amazon LightsailはAWSが提供しているVPSサービスでOSLinuxだけでなくWindowsも提供しています。EC2などと異なりディスクやデータ転送量がセットの料金体系になっており使いやすくなっています。 このサービスが半額(Linux/Unix版でメモリ512MB除く)になりました!Windo
AWS CLIがS3とのトラフィックを帯域制御できるようになりました | DevelopersIO
AWS CLI単体でS3とのトラフィックを帯域制御出来るようになったため、早速使ってみました。 3行まとめ クライアント OS に依存せず AWS CLI 単体で帯域制御可能 インバウンド・アウトバウンドで同じ値を適用 設定コマンド $ aws configure set default.s3.max_bandwidth 50MB/s やってみた 環境 EC2(m4.xlarge)のAmazon Linux AWS CLI:1.14.8 S3転送に利用するオブジェクトの作成 1 GB のオブジェクトを作成します。 $ fallocate -l 1G test.dat AWS CLIの初期設定値 帯域制御用に追加された s3.max_bandwidth を除き、AWS CLI の設定値はデフォルトのままとします。 特に、s3.multipart_threshold は 8MB のため、今回試
WPA2の脆弱性「KRACKs」についてまとめてみた | DevelopersIO
森永です。 今日起きたらセキュリティクラスタがWPA2の脆弱性でざわついてて焦りました。 先ほど詳細なレポートがでましたので内容をまとめます。 だいたい分かればいい人は概要だけ読んで下さい。 KRACK Attacks: Breaking WPA2 本ブログの内容について暗号の専門家による監修はありません。誤った表現や誤解を招く表現があればお申し付け下さい。 概要 報告者 ベルギーにあるルーヴェン・カトリック大学でネットワークや無線のセキュリティなどを研究している博士研究員であるMathy Vanhoef氏 内容 Wi-Fi Protected Access 2(WPA2)の脆弱性が見つかった(WPA1も対象) 攻撃手法の特徴から「Key Reinstallation AttaCKs(KRACKs)」と呼ばれる WPA2というプロトコルの脆弱性なので、特定の製品(OS、デバイスなど)に関係
Amazon EC2とEBSの料金が秒単位の請求に変わります! | DevelopersIO
ウィスキー、シガー、パイプをこよなく愛する大栗です。 2017年10月2日からAmazon EC2とAmazon EBSの料金が秒単位の請求となります。内容についてまとめてみました。 New – Per-Second Billing for EC2 Instances and EBS Volumes 秒単位の請求 今までEC2は従量課金モデルに従い、1時間単位の請求が発生していました。10月2日から以下のサービスについて1秒単位で請求が発生します。 Amazon EC2 Amazon EBS Amazon EMR AWS Batch 以下のように請求書は時間単位のままで小数で表示されます。 Source: <https://aws.amazon.com/blogs/aws/new-per-second-billing-for-ec2-instances-and-ebs-volumes/>
AWSアクセスキーをGitリポジトリに混入させないために git-secrets を導入した | DevelopersIO
先日開催されたAWS Summit Tokyo 2017、わたしもいくつかセッションを聴講してきたのですが、「DevSecOps on AWS - Policy in Code」というセッション1にてgit-secretsというツールが紹介されていました。 awslabs/git-secrets: Prevents you from committing secrets and credentials into git repositories これ以外にも、いくつかのセッションで言及されていたと思います。 git-secretsのことは以前から聞いてはいたのですが、自分自身があまりコードを書く環境にいなかったので、良くないとは思いつつも今まであまり気にしていませんでした。 ただ、AWSアクセスキーの漏洩が原因と思われる話を聞く機会はなかなか減りませんし、考えてみれば自分でも、AWSクレデ
【速報】Amazon Aurora with PostgreSQL compatibility が発表されました! #reinvent | DevelopersIO
こんにちは、菊池です。 re:Invent2016のKeynoteにて「Amazon Aurora with PostgreSQL compatibility」が発表されました。 Amazon Aurora Update – PostgreSQL Compatibility 特徴 その特徴は何より、Amazon Auroraのクラウドネイティブな設計によるスケーラビリティ、パフォーマンス、耐障害性な環境でPostgresSQLが利用できることにあります。 従来のPostgreSQLと比較して2倍以上のパフォーマンス PostgreSQL 9.6.1互換 他のAWSサービスとの統合 S3やKMS、DMSなどのAWSサービスとの連携が可能です。 Preview受付開始しています! Amazon Auroraの製品ページには、Preview申請のリンクが登場しています。 Preview of A
AWSのアカウント開設後にすべき事をまとめてみた | DevelopersIO
はじめに AWSチームのすずきです。 クラウドサービスのAWS、有効なクレジットカードと電話番号があれば、10分ほどでその利用が開始できます。 AWS アカウント作成の流れ この様に簡単に取得できるAWSのアカウントですが、その管理が不適切な場合、意図せぬ事故の原因となることがあります。 今回、AWSを安全に安心して利用するため、AWSアカウントを開設後に実施すべき設定についてまとめてみました。 AWS環境が、弊社クラスメソッドメンバーズを初めとする請求代行サービスを利用されている場合、一部当てはまらない項目もありますのでご注意ください。 目次 ルートアカウントの保護 MFA(多要素認証)の導入 アクセスキーとシークレットキーの確認 IAM(Identity and Access Management)設定 IAMグループ作成 IAMユーザ作成 IAMユーザの認証設定 IAMのパスワードポ
SQLiteからCSVファイルにSQLを投げてみた | DevelopersIO
SQLite3.14(円周率πと同じですね!)が2016/08/08にリリースされました。 リリースノートによると、CSV仮想テーブルに対応したとありましたので、早速使ってみました。 Added the CSV virtual table for reading RFC 4180 formatted comma-separated value files. この機能を使うと、CSV形式のログファイルにSQLで問い合わせるといったことが簡単にできます。 仮想テーブルについて 仮想テーブル(Virtual Table)はSQLiteのデータベースで管理されていないデータを仮想的に管理されているように見せるテーブルです。 仮想テーブルで管理されているデータは、通常のテーブルのデータと同じように SQL インターフェースで操作できます。 SQLite では 全文検索インターフェース R-Trees
[iOS] ProvisionQLによるipaやプロビジョニングプロファイルの内容表示 | DevelopersIO
1 はじめに ProvisionQLを使用すると、ipaやプロビジョニングプロファイルの内容を簡単に確認できます。 https://github.com/ealeksandrov/ProvisionQL サポートしているファイルは次の通りです。 ipa - iOS アプリケーションパッケージ app - iOS アプリケーション mobileprovision - iOS用のプロビジョニングプロファイル provisionprofile - OS用のプロビジョニングプロファイル ProvisionQLをインストールしておくと、ファイルを選択してスペースキーを押すと、こんな感じになります。 2 インストール ProvisionQLは、Quick Lookのプラグインとしてインストールされます。 既にHomebrew caskが導入済みであれば、次のコマンドを入力するだけです。 $brew c
![[iOS] ProvisionQLによるipaやプロビジョニングプロファイルの内容表示 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/cd616d43627770acf3d2af18695851272d60bed9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2015%2F12%2Fios.png)
pyenv-virtualenvでAnsible2系とAnsible1系を使い分ける | DevelopersIO
渡辺です。 先日、待望のAnsible2.0がリリースされました。 様々な機能拡張がされていますが、個人的に待望な機能はブロック構文です。 with_itemsなどでバラバラにループしなければならなかった記述がブロックですっきりと整理できるのはRoleのメンテナンスの点でとても助かります。 ですが、Ansible2.0は後方互換性は高いものの、細かい点で挙動が異なるようです。 そのままAnsible1.0の資産を利用できるともいかないのが現実でした。 このため、しばらくはAnsibleの実行環境ではAnsible2.0系とAnsible1.0系の両方を実行可能にしておく必要があります。 というわけで、Mac環境でAnsible1.0を残したまま、Ansible2.0を利用できるようにする手順をまとめます。 Mac以外の環境の場合は、pyenv-virtualenvのインストールまでを環境毎
Linux上でネットワーク回線速度を計測する手段について整理してみた | DevelopersIO
ちょっとした小ネタです。 ネットワーク環境調査に於いてネットワークの『回線速度を調べたい』という局面があるかと思いますが、Windows環境ではブラウザ経由で簡単に結果が得られる一方、Linux環境では『あれ、そもそも何が出来る/どうやれば出来るんだろう?』と少々思案してしまいました。情報を幾つか漁ってみたところ、Linux環境でも回線速度状況を把握する術が幾つかある事が分かりましたので備忘録的に整理しておこうと思います。 目次 環境準備 Speedtest-cli iperf dstat ping まとめ 環境準備 当エントリではAmazon Linux AMIを使った環境で回線速度を調べる環境が必要になった場合、という状況を想定してみたいと思います。直近最新のAmazon Linux AMIで環境を構築し、yumコマンドでパッケージ各種を最新の状態に整えておきます。 $ sudo yu
次世代CDNのFastlyで即時削除(Instant Purge)を体感した | DevelopersIO
ども、大瀧です。 最近話題のCDN、Fastlyを触ってみました。そのセットアップレポートと、Fastlyの目玉機能の一つであるInstant Purge(即時削除)の様子をご紹介します。 Fastlyとは FastlyはFastly社が展開するCDN(Content Delivery Network)サービスです。最寄りでは東京と大阪にPOP(points of presence: CloudFrontで言うエッジロケーションのこと)があります。従来のCDNの型に収まらない様々なオプション機能を備え、Varnishを基盤技術とし設定をVCL(Varnish Configuration Language)で記述できるなど先進技術に特化したCDNと見ることができます。 価格体系は一般的なCDNとさほど変わりませんが、アカウント作成時に50ドル分までクレジットカード登録なしで試せる他、OSSデ
VoiceText Web APIを使ってTwitterのhome_timelineを読み上げる | DevelopersIO
はじめに 今日のお題は、夏休みの自由研究的なものです。 昨日、VoiceText Web API (β版)というサービスが公開されました。こちらはHOYAサービス株式会社様の音声合成ソフトウェア「VoiceText」を、Web API経由で使えるというものになります。こちらが良く出来ていて、読み上げの精度も高いし、元となる声や感情を複数種類から選べるし、声のピッチやスピードも変えられるし、なかなか面白いです。 このサービスを使ってちょっと遊んでみようと思い、Twitterの自分のホームタイムラインを読み上げさせるスクリプトを書いてみました。 材料 Ruby (2.0.0p353) The Twitter Ruby Gem VoiceText Web API VoiceTextApi (ex. VoiceText Web APIで遊ぶ - ただのにっき(2014-07-09)) SoX...
Amazon EC2 Eメール送信ベストプラクティス | DevelopersIO
ども、大瀧です。 EC2からEメールを送るという案件、たくさんありますよね。そして結構な確率でトラブるんですよね(涙目)。そんな苦い経験をベストプラクティスとしてまとめてみました。一応技術的なところは網羅したつもりですが、メールセキュリティの専門ではないので、不備や間違いがあればご指摘ください。 では、メール送信トラブルの元凶である、スパムメールとその対策からご紹介していきます。 スパムメールとの闘いダイジェスト Eメールの歴史は、スパムメールとの闘いの歴史と言えます。 不特定多数に送信されるスパムメール(未承諾の広告メール)は、メール受信者に不快な思いをさせるとともに、メールサーバーのメール流量を爆発的に増加させ、長らくメールサーバー管理者を泣かせてきました。 このスパムメールをなんとか撃退しようと、現在では主に以下のような対策が行われています。 1. 送信メールサーバー側のネットワーク
iOS6 Mobile SafariがAjax POSTでキャッシュする問題を回避する方法 | DevelopersIO
iOS6出た! iOS6が出来ましたね。社内ではiPhone5を入手した社員がLTEの速度に驚いていました。私はまだiPhone4Sですが、iOS6にして新しい機能を楽しんでいるところです。さて、iOS6にしてSafariの仕様が変わって困ったと言った投稿が海外のフォーラムで挙っています。それも、基本的なPOST通信についてです。これは困ったということで、動作を確認して対策方法についてシェアしたいと思います。 どんな時にPOSTをキャッシュする? まずはどんな状況か確認してみたいと思います。 Cache-ControlもExpiresも無い場合 : iOS6 Mobile SafariはPOSTをキャッシュする Cache-Control max-age=0指定 と Expires指定 : iOS6 Mobile SafariはPOSTをキャッシュする Cache-Control: no-
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
