AWS アカウントを横断して SSH ポート全開放を検知・修復する仕組みを導入した話 | BLOG - DeNA Engineering
はじめに こんにちは、IT 基盤部ネットワークグループの尾留川です。 普段は、DeNA グループ全体のネットワークの管理、運用等を行っています。 今回は、社内全ての AWS アカウントのセキュリティグループにおいて、 SSH(TCP/22) ポートの全開放を検知し、ルールの自動削除を行うような仕組みを導入したので、ご紹介します。 導入の背景 社内で利用している AWS アカウントの総数は約 300 程度あり、これらのアカウントで SSH ポートの全開放を人の手で検知、対応することは困難でした。 元々、社内では Public IP を持つインスタンスに対して、一定時間毎にインターネット経由で SSH を試行し、SSH ポートが外部に開放されていないかを検知する仕組みが存在していましたが、以下のような問題点がありました。 インスタンスの数が膨大なため、 SSH の試行に時間を要する 開放検知後
全社的に会社用GitHubアカウントを廃止した件 - ZOZO TECH BLOG
はじめまして。2019年1月に入社したSREスペシャリストのsonotsです。最近MLOpsチームのリーダーになりました。今回の記事はMLOpsの業務とは関係がないのですが、3月に弊社で実施した会社用GitHub個人アカウントの廃止について事例報告します。 TL;DR 会社用GitHubアカウントを作るべきか否か問題 会社用GitHubアカウントの利用で抱えた問題 1. OSS活動時にアカウントを切り替える必要があり面倒 2. GitHubの規約に準拠していない 会社用アカウントを廃止した場合にセキュリティをどのように担保するか GitHubのSAML single sign-on (SSO)機能について 会社用アカウントの廃止およびSSO有効化の実施 会社用GitHubアカウントを使い続ける場合 私用GitHubアカウントに切り替える場合 Botアカウントの場合 Outside Coll
AWSで踏み台サーバーからプライベートサブネットのEC2にpecoを使って一発SSHする - Qiita
以下の図のように、パブリックサブネットとプライベートサブネットを分けて、踏み台サーバー以外はプライベートサブネットに配置する構成はよくあると思います。 踏み台サーバーはEIPでグローバルIPを割り振ればいいのですが、プライベートサブネットに配置したEC2たち、しかもAutoScalingによってIPが不定のものに簡単にSSHしたかったので、少しスクリプトを組んでみました。 想定しているAWSの構成 プライベートサブネットのEC2には直接SSHは不可能 一発で2段SSHするためのコマンド 以下のfunctionを ~/.config/fish/config.fish に追加してください。 fishシェルのfunctionを定義しているので、bashやzshの方は適宜読みかえて下さい。 awsコマンドは--profileや--region を明示しているので、ここも適宜変更して下さい。 踏み台
iPhoneからSSHコマンド実行・Webhook連携もできる公式アプリ「ショートカット」を活用する - yuu26's memo
iPhone で SSH コマンドを実行したり、Webhook 連携を組み立てることが可能となりました。 Apple 公式アプリの「ショートカット」を使って実現できます。 「ショートカット」アプリの概要と、簡単な活用事例をまとめました。 iPhone から SSH や curl が実行できる「ショートカット」アプリでは、多くのアクションが用意されています。 その中には「SSH」や「URL 取得」などが含まれており、かなり遊べるアプリになりそうです。 URL 取得は GET に限らず POST や PUT も可能で、簡単なリクエストであれば iPhone からサクッと実行できます。簡易 curl のように使えます。 SSH では複数のコマンドを一度に実行できるほか、他アクションとの連携も可能です。 iOS 12 で Apple 公式アプリ「ショートカット」を使用これらの操作には、iOS 12
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
AWS EC2へのSSHに対する攻撃を分析してみた (2015年4月〜6月) | ある研究者の手記
数ヶ月間、私のお小遣いを貪り続けてきたAWS EC2上のハニーポットですが、さすがに財布へのダメージが蓄積してきたのでいったん停止させました。停止させたもののそれなりにデータを蓄積していたので、さてどうしようかなと思っていたのですが、 先日、長崎で開催された情報処理学会のコンピュータセキュリティシンポジウム2015で聞いた講演の一つに SSHの新しい攻撃方法について触れられていてちょっと気になったので、収集したデータのうちSSHに関しての通信のみちょっと分析してみました。 ハニーポットの構成やデータの収集方法については過去のエントリを参照していただきたいのですが、 今回はAWS Asia Pacific (Tokyo)上でEC2のインスタンス4つを4月頭から6月末まで動かしてデータを取得しました。財布へのダメージも4倍! しかしおかげで複数のIPアドレスで観測した時に生じる差分について知る
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
vimでリモート先のファイルをsshプロトコル経由で編集する | 俺的備忘録 〜なんかいろいろ〜
最近、どうもLinux上ではemacsではなくvimを利用する事が多いのだが、その際に知ったので備忘として残しておく。 vimでは、以下のようにコマンドを実行することでリモート先のファイルをsshプロトコル経由で編集することが出来る。 vim scp://ユーザ名@リモートホスト(IPアドレス)//編集対象のファイル 実際にやってみたのがこちら。 まず、既存のファイル「/work/work/test/test2.sh」の中身を確認後、上記コマンドを実行している。 上記コマンドを実行した結果、/tmpフォルダに編集用の一時ファイルが作成される。 そのファイルを開くかを確認される。 ファイルが開かれるので、適当に編集して保存する。 再度ファイルを確認すると、無事編集が反映されている。 と、このような感じだ。 vimの搭載されていない、ESXi上に設置するスクリプトを作成する際に重宝するのではな
SSHの仕組み!ぼんやりとした理解だったものをすっきりさせようの会 - nigoblog
特にシリーズ化を目論むわけではないですが、 完全に理解しているわけではないけど、使える。 みたいなものってありますよね。 そういうのはよくないのでしっかりと理解しよう! というテーマでやります。 今回はSSHの仕組みについて書いていこうと思います。 参考記事 概要 ~SSHとは~ SSHの仕組みを理解するための用語 鍵交換方式の仕組みと実際のコマンド 便利なオプション まとめ このような流れで書いていきます。 参考記事 こちらを参考にします。(ぶっちゃけこれだけ見ればオッケーな気も。。。) 公開鍵暗号について理解が足りていなかったのでメモ - かせいさんとこ 鍵交換方式による認証 概要 ~SSHとは~ SSHはSecure Shellの略で、あるマシンに別のマシンからアクセス , ログインするというイメージです。 主にサーバー(リモート)にクライアント(ローカル)からアクセスするときに使い
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。