踏み台環境でテレポートする - Got Some \W+ech?
FOLIOのアドベントカレンダー1日目です。 adventar.org ブラウザから使える踏み台(Bastion)であるGravitational社のTeleportについて書きます。SSH秘密鍵を始めとしたクレデンシャル情報をローカルからなくす(もしくはクレデンシャルのアクセス権限を永続化させない)というのは、おそらくセキュリティに携わる人の課題の一つだと思います。 踏み台の文脈におけるその課題は、AWSではSession Manager、GCPではCloud Shellなどで実現しつつあります。Teleportもそのようなソリューションの1つと捉えることができるでしょう*1。 おそらく日本語の公開事例としては初でやったぜこれでホットエントリで間違いなし承認欲求万歳、とウキウキしながらアドベントカレンダーの準備をしてたら、クラウドネイティブのすだちくんに先を越されて泣いています。あー悔し
AWS Fargateのタスクでsshd、コンテナにシェルで入ってみる - Qiita
とりあえずやってみたくなるやつ。 今回使用したDockerイメージのソース、タスク用のJSONなどはこちら。 https://github.com/sawanoboly/amazonlinux-sshd 一回ログインしたらセッション切断時にタスクも終了する(sshdが-dで起動している)ようにしています。 ログインしてみる ssh root@52.90.198.xxx で。環境変数ROOT_PWをrun-taskで指定していなければパスワードroooootで。 一応amazonlinuxをベースにしており、ログインしたときの環境変数はこんな感じ。 (※ 元の環境変数からAWS_*のみ自動でexportするように指定済。) $ ssh root@34.236.216.xxx root@34.236.216.xxx's password: There was 1 failed login at
AnsibleとDockerによる1000台同時SSHオペレーション環境 - ゆううきブログ
1000台同時SSHオペレーション環境を構築するにあたって、手元のローカル環境の性能限界の問題を解決するために、オペレーションサーバをSSHクライアントとすることによりSSH実行を高速化した。実行環境としてDocker、レジストリとしてAmazon ECR(EC2 Container Registry)を用いて、ローカル環境とオペレーションサーバ環境を統一することにより、オペレーションサーバの構成管理の手間を削減した。 はじめに システム構成 実装上の工夫 オペレーションサーバ越しのroot権限実行 rawモジュールとscriptモジュールのみの利用 Ansibleの実行ログのGit保存 まとめと今後の課題 はじめに 3年前に Ansible + Mackerel APIによる1000台規模のサーバオペレーション - ゆううきブログ という記事を書いた。 この記事では、ホストインベントリと
nc, cURL, Chrome, openssl s_client, RDP で SOCKS プロキシーを使う(& socatのご紹介) | DevelopersIO
nc, cURL, Chrome, openssl s_client, RDP で SOCKS プロキシーを使う(& socatのご紹介) SOCKS 4 プロキシを経由しないとアクセス出来ない Web 環境(のSSL証明書)をテストする必要があったので、各試験用コマンドで SOCKS4 プロキシーを使う方法を調べました。また、その過程で socat というツールも見つかったのでご紹介します。 前提 以下、下記の前提で話を進めます。 プロキシーサーバのホスト名は proxy.example1.jp プロトコルは SOCKS4、ポートは 1080/TCP 試験対象(接続したい Web 環境)の URL は https://target.example9.jp/ クライアント側の作業環境は macOS High Sierra になりますが、CLIコマンドなどは Linux でも使用可能かと思い
iTerm2でSSHログイン先別にプロファイルを自動的に切替えて事故防止する方法
「俺は知らなかったんだ… そのターミナルが本番環境に接続していたなんて… 知っていたらrm -rf /なんて、流さなかった…」 想像しただけで前世に帰りたくなりますね。((((;゚Д゚))))ガクガクブルブル 上のは超極端な例ですが、ITエンジニアなら、SSHログイン先の環境を勘違いして危ない目にあったこと、一度や二度あると思います。 そんなSSHを普段使いしている全エンジニアに向けて、iTerm2を利用して、お手軽簡単にSSHログイン先別に、iTerm2のプロファイル(ターミナルの全体的な見た目)を切替える方法をお伝えいたします。 この記事により、全国で一つでも不幸な事故が減れば、筆者本望でございます。 __ (祭) ∧ ∧ Y ( ゚Д゚) Φ[_ソ__y_l〉 SSHダ ワッショイ |_|_| し'´J ほな、いってみよ。 この記事を読んだらできるようになること 冒頭のG
踏み台サーバ経由のSSHセッションを記録する方法 | DevelopersIO
こんにちは。大阪の市田です。 今回は、下記のブログの内容を元に、踏み台サーバ経由のSSHセッションを記録する方法をご紹介します。 How to Record SSH Sessions Established Through a Bastion Host | AWS Security Blog 尚、踏み台サーバはAmazon Linuxを想定しています。 ポイント この記事のポイントは下記です。 OpenSSHの設定の修正 scriptコマンドの利用 踏み台サーバユーザの権限制限 ログファイルのS3保管 S3による踏み台サーバユーザの自動管理 SSHのエージェントフォワード利用 CloudFormationで環境構築 それでは順に説明していきたいと思います。 構成 想定の構成は下記の通りです。 ログファイルのディレクトリ作成 まずは、踏み台サーバにログの保存ディレクトリを作成し、アクセス制限
不正アクセスからサーバを守るfail2ban。さくらのクラウド、VPSで使ってみよう! | さくらのナレッジ
こんにちは。さくらインターネットの前佛です。 今回は、サーバのログファイルを自動スキャンして、悪意のある SSH 通信を自動遮断するツール fail2ban の概要と使い方をご紹介します。 日々、不正アクセス インターネット上のサーバは、SSH や HTTP など、公開しているポートに対する不正アクセスの試みに日々晒されています。不正アクセスは悪意を持った人からの攻撃だけではありません。マルウェアやワームなど、いわゆるボットからの攻撃にも日々晒されているのです。 そのため、誰でもアクセス可能なパブリックな環境にサーバを公開する場合、セキュリティに対して細心の注意を払う必要があります。 たとえば、近年話題になっている Linux 向けのマルウェアとしては XOR.DDoS が有名です。これは root ユーザのパスワードに対する総当たり攻撃(broute-force attach)を試みます
Win32-OpenSSHでWindowsからEC2へ簡単にSSH接続できるようになりました | DevelopersIO
こんにちは、虎塚です。 MicrosoftのPowerShellチームが、OpenSSHをWindows向けに移植したWin32-OpenSSHを開発しています。 PowerShell/Win32-OpenSSH ちなみに、Win32-OpenSSHは、PowerShellだけでなくコマンドプロンプト (cmd) でも利用できます。 2015年11月9日に公開されたpre release版を使ってみたのでご紹介します。Win32-OpenSSHによって、WindowsからLinuxへのSSH接続がびっくりするほど楽になります。 Win32-OpenSSHは何がうれしいか 1. WindowsからLinuxへ簡単にSSH接続できる コマンドラインから利用可能なOpenSSHクライアントが入手しやすいLinuxやMacと違って、ローカルのクライアント環境がWindowsの場合、Amazon E
windowsに公式なsshdをインストールし、linuxからwindowsにssh接続 | DevelopersIO
コンニチハ、千葉です。 Microsoft公式からWin32-OpenSSHがプレリリースされております。 弊社のブログでも紹介があり、windows > linuxへの接続してみたというエントリーがあります。 Win32-OpenSSHでWindowsからEC2へ簡単にSSH接続できるようになりました 今回は、windowsにsshdをインストールし接続し、linux > windowsのssh接続を行ってみます。 OpenSSHのインストール まずは、OpenSSHをインストールします。こちらよりOpenSSHをダウンロードします。 ※上記リンクは2015/11/9版なので最新版はこちらよりご確認ください ダウンロードしたzipファイルを展開します。今回は、Cドライブ直下にフォルダを配置することにします。 作業は、powershellから実施するのでpowershellを起動します。想
PuTTYでプライベートなAmazon Linuxサーバへ多段ログインしてみた | DevelopersIO
はじめに こんにちは植木和樹です。本日はWindows用sshクライアント PuTTY を使って、VPCプライベートサブネット内のEC2にログインする方法をご紹介します。 今回ログインする環境は以下を前提としています。 VPCを利用しパブリックサブネットとプライベートサブネットが存在している プライベートサブネットにはEC2インスタンス(appserver)があり、インターネットから直接sshログインできない パブリックサブネットには踏み台サーバ(bastion)を置き、これを介してプライベートサブネットのサーバにログインしたい OSXやLinuxなどOpenSSHを使える環境については、Amazon VPC環境にメンテナンス用の踏み台サーバを構築するで紹介していますので、こちらをご参照ください。今回は同じことをWindowsのPuTTYを使ってやってみようと思います。 準備するもの 予め
多段ssh設定のまとめ
B! 347 0 0 0 多段sshについて、ターミナルからsshを直接使う場合と WindowsでのPuTTYでの設定について、 久しぶりに設定をしなおしたのでそのまとめ。 ~/.ssh/configで多段接続 同じ踏み台サーバーを持つ物を一括指定 複数の踏み台サーバーを経由してログイン Windows+PuTTYで多段ssh plinkを使用する方法 ログインサーバーにログインしてさらにsshコマンドを実行する ショートカットの作成 Gitサーバーに対する多段接続 ~/.ssh/configで多段接続 ターミナルからsshを使うときには~/.ssh/configファイルが設定ファイルとして 使われます。 直接外部からログインできない様なサーバーに踏み台サーバーを通って ログインするときに、毎回踏み台サーバーにsshしてそこから また入りたいサーバーにログインして。。。は面倒なので そこ
Windows用高機能sshクライアント Xshell - Qiita
追記:2016年4月よりライセンス形態が変更になりました https://www.netsarang.com/download/free_license.html 個人・家庭ユーザーは無償で使用できるようになりました。 Windows用sshクライアントで使い勝手のよいものはないかなと探していたのですが、海外のサイトの紹介で見つけたXshellというソフトウェアが高機能・高カスタマイズ性で使いやすかったので、紹介したいと思います。(日本語の紹介記事はたぶんこれが初めてかも) (ただし商用利用は有償です) 背景 Linuxサーバーの構築・管理が仕事 作業用Linuxサーバーにsshでログインしてから作業 Cygwin上から管理サーバーにsshログインすることもあり これまで使用したWindows用sshクライアント Poderosa 4.3.8b (メイン) Cygwinのsshクライアント
[FreeBSD][Linux] ssh経由でコマンド実行すると環境変数を読まないでござる | Nobwak's Lair
ssh経由bashでコマンド実行するときの環境変数を有効にするには。 以下のようにして、リモートホストでコマンドを実行する場合、リモートでの環境変数が有効にならない事がある。 これはbashの仕様が原因で、解決にはsshdとリモートユーザの設定が必要。 おそらくshでも同じと思うが、ひとくちにshと言ってもいろんな変種があるので調べていない。 以下にまとめる。 なお、複数ホストを用意するのが面倒なので、本記事で実例を示す場合には接続先をlocalhostしている。 sshでコマンド実行すると環境変数が有効にならない。 試しに、user01のprofile、ここでは~user01/.profileでTESTENVという環境変数を設定する。 sudo su – して通常のログインを擬似してみると、意図した通りTESTENVが設定されている。 しかしsshでいきなりコマンド実行した場合(ここでは
![[FreeBSD][Linux] ssh経由でコマンド実行すると環境変数を読まないでござる | Nobwak's Lair](https://cdn-ak-scissors.b.st-hatena.com/image/square/7a06df8a1f59981ed52137111219c36325941b75/height=288;version=1;width=512/http%3A%2F%2Fapril.fool.jp%2Fblogs%2Fwp-content%2Fplugins%2Fall-in-one-seo-pack%2Fimages%2Fdefault-user-image.png)
多段SSH接続(2段)
本記事では、いくつかのサーバを経由して、目的のサーバにSSH接続する、いわゆる多段SSH接続に関するいくつかのチップスをまとめる。ちなみに、ここでは、server1を経由してserver2にssh接続する2段接続の場合の説明とする。もっと良い方法・改善点があれば、教えてください。以下の方法はすべて自己責任で行ってください。私はここで説明した方法によるいかなる損害にも責任を持ちません。 以前、socksサーバ経由でSSH接続する方法という記事を書いたので、適宜参照すると良いかもしれない。 まず単純に、2段接続するには、次のコマンドで良い。ホストuser1@server1を経由して、ホストuser2@server2に接続する方法である。 $ ssh -t user1@server1 "ssh user2@server2" tオプションをつけてあることに注意してほしい。これがないとエラーが出て怒
[Linux] SSHの認証でワンタイムパスワードを使う(導入編) | iret.media
こんにちわ、cloudpack の磯辺です。 最近、様々なサービスでRFC 4226とRFC 6238で定義されているワンタイムパスワードが利用されるようになってきている。このワンタイムパスワードを、SSHでLinuxにログインする際に使えるということを知ったので、試したみた。対応しているOpenSSHは、6.2以降となる。 参考 OpenSSH 6.2 adds support for two-factor authentication なお、今回はAmazon Linux 2014.03を対象とする。 Google Authenticatorをインストールする Google Authenticatorは、PAMモジュールとして使えるものが提供されているので、そちらをインストールする。Amazon Linuxの場合は、なんとパッケージが用意されているので、yumで導入できる。 $ sud
![[Linux] SSHの認証でワンタイムパスワードを使う(導入編) | iret.media](https://cdn-ak-scissors.b.st-hatena.com/image/square/377a9c51a86d20c871561f0ba1caf65409e4f7f2/height=288;version=1;width=512/https%3A%2F%2Firet.media%2Fwp-content%2Fthemes%2Fclp_media%2Fimg%2Fcommon%2Fogp-thumbnail_1200x630.png%3F135792468)
EC2インスタンス間でSSHパスワードなしでログインする方法
こんにちは!beardです! 今回はAmazonLinuxのインスタンスから別のインスタンスへパスワードなしでSSHでrootでログインする方法を紹介します。 インスタンスが別のインスタンスに対して操作を行うことができます。 考え方としては、以下の図のようにローカルマシンのWindowsからEC2インスタンスへ接続し、さらに別のEC2インスタンスへログインすることになります。この操作は後々紹介するServerspecを使用する上で必要になってきます。 まずSSHクライアント側のインスタンスでRSA鍵を作成して、出来上がった鍵を表示させます。 コマンドは以下の通りです。 $ sudo su - $ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh
接続制限の設定
sshd_config にSSH サーバの各設定を行いますが、このファイルに項目を追記する事によって、接続可能なユーザを限定する事ができます。 デフォルトでは、すべてのユーザが接続可能であり、セキュリティ上好ましくありません。 接続制限は、sshd_config に「AllowUsers」「DenyUsers」といった項目を追記する事で実現できます。 sshd_config に記述するので、SSH の接続とSFTP の接続にのみ有効です。 制限をかける「AllowUsers」と「DenyUsers」は、それぞれ「許可」「拒否」を示し、sshd_config への設定においては以下のような意味合いを持っています。 AllowUsers 記述されたユーザのみ許可。それ以外は拒否。 DenyUsers 記述されたユーザのみ拒否。それ以外は許可。 基本的には、すべての接続が許可されているので、Al
sshのconfigファイルの書式(日本語マニュアル)
OpenSSH SSH クライアント 設定ファイル 書式 ~/.ssh/config /etc/ssh/ssh_config 説明 ssh (1) は以下のものから (この順序で) 設定情報を取得します: コマンドラインオプション ユーザごとの設定ファイル 各設定項目にはそれぞれ最初に見つかったものが使われます。設定ファイルはいくつかのセクションに分かれており、これらは"Host"キーワードにより区切られています。あるセクションの設定が適用されるのは、コマンドラインから与えられたホスト名が、このキーワードで指定されているパターンのどれかにマッチするときだけです。 各設定項目で最初に見つかった値が使われるので、ホストに特化した宣言をファイルの先頭近くに置くようにし、一般的なものを後に置くのがよいでしょう。 設定ファイルは以下のような形式になっています: 空行、および # で始まる行は、コメン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blog.yoslab.com/entry/2014/03/05/142625
今まで知らずに損してたauthorized_keysの書き方 - Qiita
