moccos_infoのブックマーク - はてなブックマーク

ssコマンドはバグと地雷の塊なのでnetstatの代わりにならない - ろば電子が詰まつてゐる

既に有名な話ですが、CentOS 7およびRed Hat Enterprise Linux 7からはifconfigコマンドやnetstatコマンドが非推奨となり、デフォルトインストールすらされなくなりました。代替として、ifconfigコマンドはipコマンド、netstatコマンドはssコマンドが用意されています。というわけでさっそくssコマンドを試していたのですが、明らかに動きがおかしなところがあり、少し調べてみました。そして、「netstatコマンドの代替と思って安易にssコマンドを使うと、これは痛い目に遭うな……」ということが分かったので、不幸になる人を少なくするためにこのエントリを書きました。概要結論から先に言うと、CentOS 7/ RHEL 7のssコマンドには「UDPの開放ポートがTCPと報告される」というひどいバグがあり、使うべきではありません。また、ssコマン

moccos_info 2017/09/18

2014

リンク

sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる

また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。発表資料私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」発表ノート付きなのでPDFです。以下、落穂ひろいなど。スキャンするポート数と

moccos_info 2015/08/30

リンク

Certificate Transparencyについて勉強会で発表したので、その補足や落ち穂拾い - ろば電子が詰まつてゐる

終了後にメモするのをサボっていたら1週間経ってしまいましたが、主催している「すみだセキュリティ勉強会」を久々に開催しました。すみだセキュリティ勉強会2015#1 発表者の@inaz2さん、@furandon_pigさん、ありがとうございました。今回の発表内容私の発表は、最近ちょっと気になっているCertificate Transparencyについてでした。発表資料は以下です（パワポ資料を、ノート付きPDFにしています）。俺とお前とCertificate Transparency 内容については資料を見てもらうとして、以下、時間内で話せなかった部分などを補足します。復習と用語整理まず、用語を思い出しておきましょう。 CT: Certificate Transparency。CTログサーバに発行した証明書を登録することで、証明書発行の「透明性」を確保する仕組み。 SCT: Sig

moccos_info 2015/05/25

“公開監査記録がありません”の正体これか。

security

リンク

WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。前提条件とりあえず以下のような感じの検証環境で試しました。 IPアドレス説明ホストO

moccos_info 2014/04/14

リンク

オレオレ証明書をopensslで作る（詳細版） - ろば電子が詰まつてゐる

前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたいお急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置