I, newbie » PacSec 2008 - もはやPDFは安全なファイルではない
まー、相変わらずばたばたしてましたが。 今年は、翻訳関連は全部の権限を奪って好きなようにさせてもらった。翻訳者の選定からスライドの割り当て、成果物のレビューも。自分は仕切りに回って、最後までなるべく手を空けておいたけど、それはやっぱり正解で、最後の最後でややこしい問題が起きてもなんとか余裕を持って対応できた。翻訳に関して言えば一番まともだったと思う。いくつかレビューが間に合わないものがあったり、ギリギリまでスライドを翻訳者にお渡しできなかったりしたけれど、全体としては充分合格点だった。ただ、自分として(翻訳の内容とかではなく)この結果にはまだ不満足で、もっとよくできたはずという思いが残った。このあたりを改善するには、もっと運営にcommitしなくてはいけないね。 運営のほうは改善すべき点がたくさんあって、これは日本人をもう少しスタッフに加えればなんとかなるはず。Dragosはできのいいリー
I, newbie » SSHのログインを高速化する
ご存知のとおり、SSHは公開鍵暗号と共通鍵暗号のふたつを使いわけています。お互いの認証やSSH sessionで使う共通鍵のネゴシエーションには公開鍵暗号で、共通鍵を共有した後は共通鍵で暗号化します。公開鍵による暗号化はオーバーヘッドがあって遅いからです。このため、いくつものSSH sessionを張ったり、ログインとログアウトを繰り返す場合、時間がかかります。また、firewallでSSHのbrute-forceをsession数によって制限している場合、短時間でログインとログアウトを繰り返す操作が阻害されることがあります。 OpenSSHにはControlMasterというキーワードで、既存のSSH sessionを再利用する仕組みがあります。これにより、すでにSSH sessionが存在する場合はそのsessionを再利用して、(ネットワーク的に)新たなSSH sessionを作成し
I, newbie » Red Hatがやられたらしい
Critical: openssh security update 詳細は明かになっていないけど、なんらかのセキュリティインシデントが起きて、(おそらく改竄された)OpenSSHのRed Hat Enterprise Linux 4および5のパッケージにRed Hatの正規の鍵を使って署名されてしまった、だそうです。アナウンスによると、パッケージ更新の経路がRHN経由なら問題なし、らしい。 Based on these efforts, we remain highly confident that our systems and processes prevented the intrusion from compromising RHN or the content distributed via RHN and accordingly believe that customers
I, newbie » DNSOPS.JPのBOFに参加した
資料はまだ公開されてないみたい。 SPFネタ。個人的にはいまさらな内容なので、SPFをadvocateする人たちはSPFについてどう考えているのかを聞きたかったのだけど、そういうのは「実装者じゃないんで。。。」とのことでした。SPFを推奨する理由が「Docomoさんに受け取ってもらえませんよ(意訳)」だけっていうのはずいぶんですね。SPFを書くだけじゃなくて実際に活用するにはforward問題の解決が必要なんだけど、大手のその手のサービスの対応状況についての調査はないそうだ。自組織でSPFがどう使われているか(もしくは使われていないか)について知っているのは、会場の1/3程度だった。技術者同士の断絶がここにも。おかしなSPFレコードがあったら警告をログに吐くだけのpolicydとか作るとおもしろいかも、と思いつく。 力武さんによるpublic suffixネタ。元ネタはDNSOPのスレッド
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
I, newbie » まとめ: YoutubeのIPアドレスがハイジャックされる
悪意があったかなかったかは別にして、インターネットのコアなプロトコルであるBGPが使われて、あるASによって全世界が影響を受けたという点が日本語圏(JANOGですら)で触れられていないのはなぜなんだろう。 Pakistan Hijacks YouTube: A Closer Look いいサマリ YouTube Censorship Sheds Light on Internet Trust washingtonpost.com Pakistan Blocks YouTube /. YouTube IP Hijacking NANOGのfp How Pakistan knocked YouTube offline (and how to make sure it never happens again) c|net (UPDATE) Insecure routing redirects Y
I, newbie » システム管理の自動化を進めると仕事がなくなるので困る
Puppetの説明をしていて「システム管理の自動化を進めると仕事がなくなるので困る」といわれて落ち込んだ。「腐ったSIerみたいなこといってんじゃねーよ」と心の中で言い返してみたものの、一般の見方はそうなのかもね。経営者もITの素人だとすれば、同様の思考から「自動化を進めればもっと首を切れる」とか言い出しそうだしな。 「くだらん属人的な作業は自動化して、より人間の力が必要とされるべき分野に注力して、サービスの品質をさらに高めよう」という意図は伝わらなかったみたい。自分の説明が良くなかったのかもしれないけれどな!運用のしろうとさんにもメリットをきちんと説明できなければいけないのだから、まだまだ修行が足りないのだ!ということにして出直します。 One Response to “システム管理の自動化を進めると仕事がなくなるので困る” tsuchiya yoshihiro Says: Octob
I, newbie » VPNの憂鬱
イントラネットで「社内専用twitter」を動かすのはどうか? イントラネットのformからPOSTで投稿するインターフェースしかないから、外出先から「スタジオ○○に寄ってから帰社」という更新が出来ない。(イントラネットのCGIだからこれはまぁ当然だよね) それVPN(ry。WebならブラウザベースのVPNで、その他のプロトコルならIPSecでよくね? とか書くと「うちもVPNいれっか」と安易に考えて、ある落とし穴にはまるひともいるかもしれないので、書いておく。ここでのVPNは、ユーザが外部のネットワークからVPN gatewayに接続して、社内のリソースにアクセスするケース。拠点間を結ぶVPNのことではない。 「なんとかVPN」が多すぎて迷っちゃう、とかいう話ではなくて(それはそれで問題なんだけど)、VPNで接続したclientにどんなIP addressが割り当てられるのか、という問題
I, newbie » apache22 起動せず
rebootしたらapache22があがってこない。手動で起動してみる。 > sudo /usr/local/etc/rc.d/apache22 start Performing sanity check on apache22 configuration: Syntax OK Starting apache22. > pgrep httpd いねーよ。error.logを見てみる。 [error] Can't locate Apache2/Response.pm in @INC (@INC contains: /usr/local/lib/perl5/5.8.8/BSDPAN /usr/local...) at /usr/local/lib/perl5/site_perl/5.8.8/CGI.pm line 188.\\nCompilation failed in require at
I, newbie » Angerwhaleを使ってみる
Angerwhaleを試してみる。Catalystで作られたblogソフトウェアなのだけど、非常にユニーク。 RDBMS使いません entry == file Webから更新するインターフェースはなし category == directory entryは任意のエディタで書きます commentはツリー形式で表示 loginはPGPで validなPGP鍵をキーサーバに登録しないとloginできない entryは1つのcategoryにしか属せないが、複数のtagはOK loginしているユーザはtagを追加可能 http://example.org/articles/file-name 記法はHTML/text/POD/odt/Text::WikiFormatなど(拡張は容易) i18n Catalyst-basedらしく、Perlモジュールをがしがし使っている Perlのモジュールが
I, newbie » Spamhausとescalation
spamhaus 問題 Spamhaus側が「KDDIはスパマーを支持している」と判断し、「報復」(Spamhausは「エスカレーション」と表現)処置として全く関係のないアドレスを含むブロック単位でRBLに登録したものもあったとしている。 spamhaus は昔はこんなことやってなかったはず。 spamhaus に関して、今年になってからこういう話題がよく出るようになったけど、つまり最近になってから spamhaus の登録ポリシーが変わってるんだよね。ヤメテ。 「昔」がいつのことを指すのかわからないのですが、自分の記憶が正しければ6年前も同じことをやってたと思いますけど。1998年当時のことは知りませんが。特に今回問題となっているROKSOの連中に関しては、escalationは当り前でしたし、今もそうです。以前から某Pちゃんが指摘していた、日本の(I)SPのポリシー(AUP)の甘さ、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
