![簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話【イニシャルB】](https://cdn-ak-scissors.b.st-hatena.com/image/square/fc8073027c1e447ef7e2a07319619e44d520a586/height=288;version=1;width=512/https%3A%2F%2Finternet.watch.impress.co.jp%2Fimg%2Fiw%2Flist%2F1195%2F372%2F005.png)
はじめに AWSチームのすずきです。 1つのAWSアカウントを複数の関係者で利用する環境で、AWSコンソールのログイン用アカウント(IAMユーザ)を AWSが公開しているベストプラクティスに従って作成する機会がありました。 多要素認証(MFA)や接続元IPアドレス制限などによる不正なログインの抑止と、 管理者権限が行使された際の通知を、AWSのサービスを利用して実現する方法について紹介させていただきます。 AWS Identity and Access Management ユーザーガイド: IAM のベストプラクティス 方針 AWSコンソールの認証パスワードが漏洩した場合でも、悪意をもった第三者によるシステム影響を抑える事を目標とします。 AWSの標準サービスを利用し、システムコストの発生や、管理者、作業者の作業効率が低下を抑えた対策をとる事とします。 AWS環境が不正に利用された場合で
インターネット向けロードバランサーを使用しています。プライベートサブネットにあるバックエンド Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをアタッチしたいと考えています。 簡単な説明 プライベートサブネットにある Amazon EC2 インスタンスをアタッチするには、まずパブリックサブネットを作成します。これらのパブリックサブネットは、バックエンドインスタンスが使用するプライベートサブネットと同じアベイラビリティーゾーンにあるものとします。次に、それらのパブリックサブネットをロードバランサーに関連付けます。 **注:**ロードバランサーはターゲットとの接続をプライベートに確立します。インターネットからソフトウェアパッチまたはセキュリティパッチをダウンロードするには、ターゲットインスタンスのルートテーブルで NAT ゲートウェイルールに従っ
20190312 AWS Black Belt Online Seminar AWS Well-Architected Frameworkによるコスト最適化 The document is about an AWS Black Belt Online Seminar hosted by Amazon Web Services Japan. It provides an overview of the seminar series, which covers various AWS services, solutions, and industries. It notes some things covered in the seminar, like cost optimization best practices, as well as things not covered, like
Amazon Linuxにphp5.6を正しくインストールする手順を説明します。 特にphp-gdのインストールは手こずりやすいので注意してください。 Amazon Linuxでない場合でもインストールできるよう、注意書きしてあります。 SSHでサーバーにログインしたところから始めます。 iptablesについて AWSでは「Security Groups」というものがあり、EC2やRDSなどのインスタンスに適用できるAWS標準のファイアウォール機能を提供しています。Security Groupsでは、「どのアクセス元」から「どのポート」からのトラフィックを許可することができるかをホワイトリスト形式で設定することができます。 そのため、Amazon Linuxにおいてiptablesは実質設定する必要はなく、初期設定では起動しないようになっています。サーバー内で個別で設定していくよりも複数
PHPカンファレンス2020での講演資料です。 アジェンダ 誤解1: Cookieは誤解がいっぱい 誤解2: 脆弱性があるページにのみ影響がある 誤解3: 脆弱なECサイトはセキュリティコードを保存している 誤解4: クレジットカードをサイトに保存すると漏洩リスクが高まる 誤解5: ハッシュ値で保存されたパスワードは復元されない 誤解6: 高価なSSL証明書ほど暗号強度が高い 誤解7: TRACEメソッドの有効化は危険な脆弱性である 誤解8: 怪しいサイトを閲覧すると情報が盗まれたりウイルスに感染する 誤解9: イントラのウェブサイトは外部からは攻撃できない 誤解10: セキュリティ情報はウェブで収集する
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 バグの詳細は細かく見てないけど、アップデートしといたほうがよさそうなので手順をまとめてみる Macとyumが使えるLinux系だけです。 概要 1.0.1以降にバグがある 1.0.1以降(1.0.1fと1.0.2-beta1も含む)に影響がある。 推奨される対処方法は、1.0.1gへアップグレードすること、もしくは-DOPENSSL_NO_HEARTBEATSオプションをつけて再コンパイルすること。 ただし、Linuxの場合はOSごとに対応済みバージョンが異なる場合があるので注意。多分開発元を見れば書いてあるはず。 例 AmazonLinux:openssl-1.0.1e-37.66.amzn1 CentOS:openssl-1.0.1e-16.el6_5.7 Mac Mac標準のopenssl(10.9.2) 何もして
はじめに iOSアプリを開発するためには、マシンのセットアップをやらないといけません。 どのようなことをやらないといけないかと言うと、iOSアプリ開発におけるCI/CDという記事を書いた時に必要なことを以下のように列挙しました。 - 環境用意(Macのセットアップ周り) 1. iOSアプリ開発用の証明書インストール 2. Apple Dev Centerへの登録 1. デバイスの追加 2. Provisioning Profileの更新 3. Provisioning Profileの設置 上記に関しての更新タイミングは以下のとおりです。 1 「新しいマシンが追加」「証明書が更新(少なくとも1年に1回はある)」 2-1 「新しい端末が追加」 2-2 「2-1が行われた」「新しいアプリを作成」 3 「2-2が行われた」 このように定期的におこなわれる作業なので、自動化しておかないと面倒です。
皆さんも日々、多くの迷惑メールを受けとっていると思いますが、この迷惑メールのFromアドレスをよく見ると、どこかの企業やサイトになりすましたメールが多いのではないでしょうか? 電子メールは、優れたコミュニケーション手段である一方、メールの送信元であるFromアドレスは自由に設定し、送信できる仕組みです。このため、フィッシングメールなど、迷惑メールのほとんどは、Fromアドレスをなりすまし、送られているのが現状です。 なりすましメールを受信者に届かないようにしたい... このなりすましメールを排除し、スパムメールを減らすことを目的として、送信元のドメインが正しいものであるかを受信側で判断できるようにするため、送信ドメイン認証という技術が存在します。 では、送信ドメイン認証技術とは、どのようなものなのでしょうか? ▼送信ドメイン認証技術は、大きく2種類に分類される 送信ドメイン認証技術は、大き
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
Windowsデスクトップに遠隔でアクセスしたくなる事がありますが、皆さんどうされてますか? 昔から定番はVNCを使うことでした。個人的にも昔はRealVNCやUltraVNCを使っていましたが、VNCは画質もイマイチですし音声も転送できないのでもう少しマシな方法が欲しいところです。 Windowsの場合、純正のプロトコルであるRDPを用いた「リモートデスクトップ接続」なら音声も転送できますし画質も綺麗です。ですが、これを利用しようとすると、遠隔操作される側が(Homeやwith Bingでなく)Professionalなど上位のエディションである必要がありました。ところが最近、HomeエディションのWindowsでもRDPによるリモートデスクトップ接続を可能にするRDPWrapなんてものが現れました。個人的にも最近は専らこれに頼っています。Windows 8.1 with BingやWi
概要 Apache の設定について共通化できるセキュリティ設定とその各項目についてまとめた。 設定例 必須設定 cat << _EOF_ > /etc/httpd/conf.d/security.conf # バージョン情報の隠蔽 ServerTokens Prod Header unset "X-Powered-By" # httpoxy 対策 RequestHeader unset Proxy # クリックジャッキング対策 Header append X-Frame-Options SAMEORIGIN # XSS対策 Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff # XST対策 TraceEnable Off <Directory /var/www/html>
送信ドメイン認証とは? 送信ドメイン認証とは、送信者のアドレスが正規なものであることを証明する技術です。正確に言うと、そのメールアドレスのドメインを見て、それがが正規なサーバーから発信されているか否かを検証します。これは多くのスパムが送信者を偽って送りつけられるため、こうした「なりすまし」を排除すればスパムが減るという考えに基づいて開発された技術です。今後、スパムの根本的な解決のために、この技術が普及することが期待されており、ここではその概要を説明します。 スパムは「なりすまし」ばかり まず、送信ドメイン技術の重要性を理解するために、いかに「なりすまし」が簡単かを理解することが必要です。フィッシング詐欺や迷惑メールのほとんどは「なりすまし」によって送られています。現在のメール送信技術では、送信元とされるFrom:アドレスを簡単に詐称することができるからです。試しに、自分のメールソフトの自ア
まるでブラックボックスのようなアンチスパムで、大事なメールが排除されてはたまらない。アンチスパム環境を構築予定の運用管理者はもちろん、ユーザーもスパム排除の仕組みを知っておくことは、予想外のリスクを回避するための新基準だ。 スパムを排除するためのソフトは数多い。その中でも、サーバサイドで動作するオープンソースソフトウェアの「SpamAssassin」(スパム・アサシン)は、広く知られているものの一つだ。SpamAssassinは、サーバサイドでメールフィルタとして動作し、スパムの判定結果をメールヘッダに追記する。SpamAssassinはApache Foundationの下で提供されているオープンソースソフトウェア(OSS)である(関連リンク)。 3月のオンライン・ムック「スパム対策最前線」のこれまでは、「スパムメールの送信元はどこにある」でスパムの現状についての概要を、「アプリケーショ
佐々木です。クラスメソッドも4月から新しい仲間が増えました。今日はWAF(Web Application Firewall)の基本的な知識を整理してみました。 基礎知識 WAFとは WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。 ファイアウォールとは ファイアウォールは、IPヘッダやTC
アクセス制限をかけるときに使う .htpasswd ファイルや、 掲示板やアクセス解析 CGI などが出力するログファイルなどは、通常ですと、 ブラウザーで直接アクセスすると見ることが可能です。 しかし、.htaccess の設定により、 特定のファイルをブラウザーから見ることができないよう制限することができます。 <Files ~ "\.log$"> deny from all </Files> 上の例では、拡張子が「.log」のファイルを見れないようにします。 これを応用して、たとえば、「.htaccess」と「.htpasswd」を見れないようにするには、 <Files ~ "^\.(htaccess|htpasswd)$"> deny from all </Files> と記述すればいいのです。 この記述は、正規表現によるパターンマッチを使っています。 難しい言葉ですが、具体例を見
ポイント ●ワンタイム・パスワードとは,一度しか使えないパスワード(使い捨てパスワード)のこと。これを実装するための仕組みを意味する場合もある。 ●事前に認証する側と,される側でハードウエアや関数を共有しておく必要がある。 固定式のパスワードだと,セキュリティ向上のために定期的に変更したり,類推されにくい文字列を使用したりする必要がありました。逆に考えれば,「パスワードを毎回異なるものにして,意味のない文字列を使う」ことができれば理想的です。これを仕組みとして実装したものが,ワンタイム・パスワードです。 ワンタイム・パスワードの実装は製品によってまちまちです。しかも,見たり使ったりしても内部の仕組みはわかりません。そこで,今回はワンタイム・パスワードを実現するために利用されている代表的な技術を2つ紹介します。どちらも「毎回異なるパスワードを利用する」と仕組みを実現するために,事前に認証する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く