サイボウズ Live アクセス障害の裏で起こっていたこと - Cybozu Inside Out | サイボウズエンジニアのブログ
どうも!アプリケーション基盤チームの@yokotaso です。 2017/11/13 にサイボウズLiveの長時間にわたる障害が発生しご迷惑をおかけしました。 技術的な調査が一段落し、対応を進めております。 障害にいたった原因と対応のお話をさせていただきます。 簡単なまとめ Java8u152以降で、CPU負荷が高まる現象 Java標準のデシリアライズとSecurity Managerの相性が悪くなった 解決策は現時点では存在しない。サイボウズLiveでは、Java標準のデシリアライズをやめる準備段階 障害発生時の状況 障害発生の数時間前に、運用マシンのメンテナンスを行っておりました。 Javaのマイナーアップデート カーネルのアップデート その他、設定ファイルなどの更新 障害発生時には次のような現象が見られました。 JavaプロセスがCPU高負荷状態 MySQLに大量のロック及びエラーが
Java Security Manager でセキュアなサービスを構築しよう - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、アプリケーション基盤チームの青木(@a_o_k_i_n_g)です。 今回は Java アプリケーションをセキュアに運用する仕組みである Java Security Manager について紹介しようと思います。この仕組みは Linux の強制アクセス制御機構(SELinux や AppArmor) の Java 版に相当するもので、プログラムの挙動を制限することができます。弊社が提供するクラウドサービス cybozu.com でも有効化されています。 セキュアなサービスを提供する上では良い仕組みだと思うのですが、検索したところ Java Security Manager に関する記事があまり多くなかったため、我々が得た知見をここに記します。 Java Security Manager とは Java Security Manager (以下 JSM) とは、Java コードを安
こんにちは、アプリケーション基盤チームの青木(@a_o_k_i_n_g)です。 今回は Java アプリケーションのモニタリング等で活躍する JMX について記します。JMX を用いれば、きめ細やかでかつ手軽にモニタリングすることができます。もちろんサイボウズが提供するクラウドサービス cybozu.com でも JMX を活用して日々モニタリングを行っています。 モニタリングの重要性については今さら言うまでもありません。一方で現実のモニタリングは何かと手間がかかったり属人化してしまったりすることがありがちです。JMX は銀の弾丸ではありませんが、少なくともメトリクスの収集・提供部分に関しては利便性を提供してくれます。JMX ユーザーが少しでも増えるよう、この記事で紹介させていただきます。 JMX とは JMX とは Java Management Extensions の略称で、Java
Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31
Subject: Apache Log4j2 Vulnerability - CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 - ESA-2021-31 Note - We will update this announcement with new details as they emerge from our analysis. Please check back periodically. Update Log Dec 16, 2021 - 04:20 UTC - Update Summary: ECK 1.9 released which automatically adds the JVM option to impacted Elasticsearch clusters managed by EC
This is the top-level entry point of the documentation bundle for the Apache Tomcat Servlet/JSP container. Apache Tomcat version 6.0 implements the Servlet 2.5 and JavaServer Pages 2.1 specifications from the Java Community Process, and includes many additional features that make it a useful platform for developing and deploying web applications and web services. Select one of the links from the n
※この記事は次のブログを翻訳したものになります。 原文:Elasticsearch 2.0.0 GA released Elasticsearch 1.0.0のリリース以降、 477のコミッター2,799のpull requestがあった、 **Elasticsearch 2.0.0 GA(Lucene 5.2.1ベース)**をリリースしました。 それだけでなく、Shield(セキュリティプラグイン)とWatcher(アラーティングプラグイン)、 新しくなったMarvel(モニタリングプラグイン)(プロダクション環境でフリー!)、 また、新しくオープンソースとなったSense editorの2.0.0もリリースしました。 Elasticsearch 2.0.0のダウンロードはこちらから。 また、2.0.0での重要な変更点についてはこちらをご覧ください。 全ての変更点については、次をご覧くだ
Dismiss Join GitHub today GitHub is home to over 50 million developers working together to host and review code, manage projects, and build software together. Sign up GraalVM Native Image Compatibility and Optimization Guide GraalVM Native Image uses a different way of executing Java programs than users of the Java HotSpot VM are used to. It distinguishes between image build time and image run tim
By Jun He, Natallia Dzenisenka, Praneeth Yenugutala, Yingyi Zhang, and Anjali Norwood TL;DRWe are thrilled to announce that the Maestro source code is now open to the public! Please visit the Maestro GitHub repository to get started. If you find it useful, please give us a star. What is MaestroMaestro is a horizontally scalable workflow orchestrator designed to manage large-scale Data/ML workflows
Grok の構文を検証する Grok Debugger を試してみた #Kibana | DevelopersIO
Grok filter plugin は正規表現で定義した Grok Pattern にマッチした文字列を Key 名とマッピングして抽出します。例えば、clientip が 127.0.0.1 というところに着目すると、%{IPORHOST:clientip}の Grok Pattern を定義することで IPORHOST に一致した文字列を clientip の Key名にマッピングして抽出します。IPORHOST とは何でしょうか。正規表現には見えません。これは IPORHOST という文字列に一致するかどうかではなく、IPORHOST という正規表現のエイリアス(Grok Pattern)に一致するかどうかです。Logstash の Grok filter plugin はよく利用される正規表現パターンをエイリアスで定義しています。エイリアスの定義は<LOGSTASH_GEM_DI
諸々の事情により、OS インストール時に Apache や Tomcat はインストールしていないので、ちまちま入れていきます。 Apache2 $ sudo apt-get install apache2インストールが完了したら http://xxx.xxx.xxx.xxx/ にアクセスして「It Works!」と表示されることを確認する。 以前だと Apache HTTP Server のデフォルトページは「あなたの予想に反して、このページが見えているでしょうか?」と表示されたため、見えていいんだか悪いんだかよく分からず混乱したものです。 JDK6 OpenJDK なども選べるようですが、なんとなく Sun の JDK をインストール。JDK5 も選べますが、もうそろそろ JDK6 でいいでしょう。 $ sudo apt-get install sun-java6-jdk途中で DLJ
※この記事は次のブログを翻訳したものになります。 原文:Elasticsearch 2.0.0.beta1 coming soon! Elasticsearch 2.0.0.beta1のリリースの準備をしています。 これは、Lucene 5.2.1に含まれる多くの改善が利用できるようになります。 このリリースに関するいくつかの機能は次のようなものです。 Pipeline Aggregations 差分や移動平均、他のAggregationsの結果に対する series arithmeticのようなaggregationが利用可能になります。 この機能は、これまでは、クライアントサイドで実行する必要がありました。 しかし、この計算をより強力な解析クエリを構築してElasticsearchで 実行することができるようになります。 クライアントのコードをより簡潔にすることができます。 これにより
This is the top-level entry point of the documentation bundle for the Apache Tomcat Servlet/JSP container. Apache Tomcat version 6.0 implements the Servlet 2.5 and JavaServer Pages 2.1 specifications from the Java Community Process, and includes many additional features that make it a useful platform for developing and deploying web applications and web services. Select one of the links from the n
Tomcat に JVM オプションを設定しようと思ったら、 通常、catalina.sh などを編集することになると思う。 ただ、yum で Tomcat をインストールした場合、 この catalina.sh は作成されず、Tomcat はデーモンとして登録される。 こんなときに、JVM オプションを設定しなければ ならなくなったらどうしたらいいのか…。 いろいろとディレクトリをあさってみたところ、 tomcat.conf に CATALINA_OPTS というエントリを追記することで、 JVM オプションを追加できそうな雰囲気。 $ cat /usr/share/tomcat/conf/tomcat.conf # System-wide configuration file for tomcat services # This will be sourced by tomcat an
(レポート) Elastic{ON} 2016 Opening Keynote #elasticon | DevelopersIO
はじめに Elastic{ON} 2016、いよいよ始まりました!会場はPier 48です。 スタートはOpening Keynoteから。最近のテックカンファレンスのKeynoteらしく、EDMがガンガン鳴ってました。 前から6列目に陣取りました。良い位置です。 レポート CEO, Co-Founder, Elastic. Steven Schuurman ・Elastic製品は50,000,000ダウンロードを突破。 ・事例紹介。Goldman Sachs、Hotel Tonight、DARPA...大規模顧客がたくさん。 ・未来。Do the right thing.More than search. Beyond Developers. Centralising your deployment. CTO & Co-Founder, Elastic. Shay Banon ・ELK
The Apache Tomcat 5.5 Servlet/JSP Container - Documentation Index
This is the top-level entry point of the documentation bundle for the Apache Tomcat Servlet/JSP container. Apache Tomcat version 5.5 implements the Servlet 2.4 and JavaServer Pages 2.0 specifications from the Java Community Process, and includes many additional features that make it a useful platform for developing and deploying web applications and web services. Select one of the links from the n
This is the top-level entry point of the documentation bundle for the Apache Tomcat Servlet/JSP container. Apache Tomcat version 7.0 implements the Servlet 3.0 and JavaServer Pages 2.2 specifications from the Java Community Process, and includes many additional features that make it a useful platform for developing and deploying web applications and web services. Select one of the links from the n
先日全世界を揺るがせたLog4jの脆弱性(通称Log4Shell)に対して、開発チームとしてどのように立ち回ったのか、その記録です。 2021/12/9に報告され、全世界を揺るがせたApache Log4jの脆弱性 CVE-2021-44228 ですが、我々prismatix事業部もその例外ではありませんでした。 脆弱性が判明した直後から、チームとして様々な対応を行っていましたが、一旦開発チームとしては状況が落ち着いています。このエントリでは、脆弱性に対してチームがどのように立ち回ったのか、記録を残しておきます。 最初の一報 12/10の朝、チームメンバーの藤村が、下記のtwitterにてlog4j2にRCEがあることを知り、Slackでチームに共有しました。 log4j2 って使ってましたっけ?RCE が見つかってやばいという話が出てる。 RCE in #Log4j2 #security
TLS for the Elastic Stack: Elasticsearch, Kibana, Beats, and Logstash
Transport Layer Security (TLS) can be deployed across the entire Elastic Stack, allowing for encrypted communications so you can rest easy at night knowing that the data transmitted over your networks is secured. It may not seem all that necessary, but then again consider the impossible situation of making sure that no developer starts logging sensitive data into the logs that you are shipping to
TOMCAT5.5でLog4jにはまる
自分のWebアプリのログ出力のLibとしてLog4jを加えたら catalina.outファイルが行数が巨大に成ってしまった。軽く10万行 Log4jを外したら元にもどった。 Log4j.propertiesはちゃんと作成し自分のアプリにいれた。 自分のアプリのログは正しく出力されている。 WebSphere6ではこの現象は無かった。 tomcatのドキュメントに書いてありました。 commons Logging を内部コード全体で使っている。 tomcat全体用にlog4j.propertiesを作成して /usr/share/tomcat5.5/common/classes ディレクトリに配置 # Global logging configuration log4j.rootLogger=ERROR, run log4j.appender.run=org.apache.log4j.Ro
(レポート) Elastic{ON} Tour 2015 in Tokyo キーノート #elasticon | DevelopersIO
本レポートは2015年12月16日に開催されたElastic{ON} Tour 2015 in Tokyo、キーノートのレポートです。 レポート Shay Banon, Elastic CEO. Elasticのスタートについて。 妻がシェフになろうとロンドンに行った。 シェフになりたい妻のためのアプリケーションを作ろうとした。 そこで出会ったのがApache Lucene。Luceneの不満を解消するためにCompassを作り、Elasticsearchを作った。 Elasticsearch。5年前にOSS化。とても沢山の人に使ってもらった。 OSS化後、数ヶ月で仕事をやめ、フルタイムでコミットし始めた。 コミュニティが大きくなったので、事業化した。Elastic社。 どのくらい使われているか?40,000,000ダウンロード。 これだけダウンロードがあるということは、お客様にバリューを
This is the top-level entry point of the documentation bundle for the Apache Tomcat Servlet/JSP container. Apache Tomcat version 9.0 implements the Servlet 4.0 and JavaServer Pages 2.3 specifications from the Java Community Process, and includes many additional features that make it a useful platform for developing and deploying web applications and web services. Select one of the links from the n
仕事で CI ツールの選定をしていたところ、 TeamCity が非常によく出来ていて気に入ったので、 プライベートでも立ててみた。 仕事先で入れた時には Linux 版(tar.gz を展開して、sh で起動)を 使用していたため、 とくに引っかかるところもなく、 簡単に立てられたのだが、 あまりポート使いまくるのもなーとか、 あんまりいろんな環境が増えるのもなーと思い、 今回は既にセットアップ済みの Tomcat 上にデプロイできるように、 Java EE 版(war)で構築してみようと思った。 ところが、URL にアクセスしてみると、以下のようなエラーが…。 TeamCity has failed to start Unable to initialize logs. The logs directories are not accessible for writing. TeamC
Debian 8 (Jessie) already support JDK 8 and Tomcat 8. Tomcat 8 exist in jessie repository and jessie-backports repository. For latest Tomcat 8, we use jessie-backports Do these easy step to install OpenJDK 8 and Tomcat 8 on Debian Jessie: Edit /etc/apt/sources.list and add these lines (you may ignore line with #) # Backport Testing on stable # JDK 8 deb http://ftp.de.debian.org/debian jessie-backp
WWW Security FAQ in Japanese
The World Wide Web Security FAQ(日本語版) 2000年10月訳出 注意 本文書は Lincoln Stein 氏 (lstein@cshl.org) の著作で、W3Cにより公開されている The World Wide Web Security FAQ Version 2.0.1(2000年3月24日) のFAQ部分(Q1~Q101) を、日本電気株式会社 インフォメーションシステム部 が日本語化したものです。オリジナル文書はhttp://www.w3.org/Security/faq/ に掲載されている英語版で、本文書はそれの私的な翻訳です。 オリジナル文書の情報はLincoln Stein 氏 (lstein@cshl.org) により提供されたものです。W3Cサイトでは、Web環境の発展のためにこれを掲載していますが、内容自体をW3Cが保証するものではあ
システム・プロパティを一覧する
[Java How To Programming] [Home on 246net] [Home on Alles net] Powered by SmartDoc システム・プロパティを一覧する TAKAHASHI, Toru torutk@alles.or.jp 目次 コアとなるクラスのプロパティ JavaVMの設定 ロケール関係 Swing関係のプロパティ セキュリティ系のプロパティ グラフィックス・パフォーマンスのプロパティ WindowsOS固有 共通 ネットワーク系のプロパティ IPv6関係 Enterprise系のプロパティ JDBC関係 JNDI関係 コアとなるクラスのプロパティ JavaVMの設定 プロパティ名 内容 例 java.system.class.loader システムクラスローダを指定 foo.bar.MyClassLoader java.security.m
17.3. Deploy a Resource Adapter JBoss Enterprise Application Platform 6 | Red Hat Customer Portal
Administration and Configuration Guide Preface 1. Introduction to Administering the JBoss Enterprise Application Platform Expand section "1. Introduction to Administering the JBoss Enterprise Application Platform" Collapse section "1. Introduction to Administering the JBoss Enterprise Application Platform" 1.1. Introducing JBoss Enterprise Application Platform 6 1.2. New and Changed Features in JB
This is the top-level entry point of the documentation bundle for the Apache Tomcat Servlet/JSP container. Apache Tomcat version 8.0 implements the Servlet 3.1 and JavaServer Pages 2.3 specifications from the Java Community Process, and includes many additional features that make it a useful platform for developing and deploying web applications and web services. Select one of the links from the n
B.3.2. authorityKeyIdentifier Red Hat Certificate System 10 | Red Hat Customer Portal
管理ガイド 1. Red Hat Certificate System サブシステムの概要 Expand section "1. Red Hat Certificate System サブシステムの概要" Collapse section "1. Red Hat Certificate System サブシステムの概要" 1.1. 証明書に使用 1.2. Certificate System サブシステムのレビュー 1.3. 証明書管理の概観 (非 TMS) 1.4. Token Management System (TMS) の概観 1.5. Red Hat Certificate System サービス I. Red Hat Certificate System ユーザーインターフェイス Expand section "I. Red Hat Certificate System ユーザ
English Version, 中文版本 TL;DR GSA Admin console post-authentication Remote Code Execution. GSA Search interface Path traversal. GSA uses Oracle’s Outside-in Technology to convert documents. Google Web services have some fixed URIs that provide information about the service itself. Introduction The Google Search Appliance (hereinafter referred to as GSA) is an enterprise search device launched by Goo
![[REL] A Journey Into Hacking Google Search Appliance | DEVCORE 戴夫寇爾](https://cdn-ak-scissors.b.st-hatena.com/image/square/f2d89670d5fa2f853c26abed49f6904804a8449d/height=288;version=1;width=512/https%3A%2F%2Fdevco.re%2Fassets%2Fimg%2Fblog%2F20230707%2F1.png)
SecurityBypassing OGNL sandboxes for fun and charitiesObject Graph Notation Language (OGNL) is a popular, Java-based, expression language used in popular frameworks and applications, such as Apache Struts and Atlassian Confluence. Learn more about bypassing certain OGNL injection protection mechanisms including those used by Struts and Atlassian Confluence, as well as different approaches to analy
17.4. Configure a Deployed Resource Adapter JBoss Enterprise Application Platform 6 | Red Hat Customer Portal
Administration and Configuration Guide Preface 1. Introduction to Administering the JBoss Enterprise Application Platform Expand section "1. Introduction to Administering the JBoss Enterprise Application Platform" Collapse section "1. Introduction to Administering the JBoss Enterprise Application Platform" 1.1. Introducing JBoss Enterprise Application Platform 6 1.2. New and Changed Features in JB
WWW Security FAQ in Japanese
The World Wide Web Security FAQ(日本語版) 2000年10月訳出 注意 本文書は Lincoln Stein 氏 (lstein@cshl.org) の著作で、W3Cにより公開されている The World Wide Web Security FAQ Version 2.0.1(2000年3月24日) のFAQ部分(Q1~Q101) を、日本電気株式会社 インフォメーションシステム部 が日本語化したものです。オリジナル文書はhttp://www.w3.org/Security/faq/ に掲載されている英語版で、本文書はそれの私的な翻訳です。 オリジナル文書の情報はLincoln Stein 氏 (lstein@cshl.org) により提供されたものです。W3Cサイトでは、Web環境の発展のためにこれを掲載していますが、内容自体をW3Cが保証するものではあ
The Apache Tomcat 5.5 Servlet/JSP Container - Documentation Index
This is the top-level entry point of the documentation bundle for the Apache Tomcat Servlet/JSP container. Apache Tomcat version 5.5 implements the Servlet 2.4 and JavaServer Pages 2.0 specifications from the Java Community Process, and includes many additional features that make it a useful platform for developing and deploying web applications and web services. Select one of the links from the n
ケイケンラボ - Linuxにおける Tomcat SecurityManager の設定-Tips/java/Tomcat/Linuxでのmysqlへの接続について-PukiWiki
Windowsでは何気なくDB接続できてしまいますが、Linuxでは SecurityManagerの設定をしなければ以下のようなエラーとなります。 java.security.AccessControlException: access denied (java.net.SocketPermission localhost resolve) 対応方法は以下URLを参考に、tomcat.policyまたはcatalina.policyを編集します。 http://www.jajakarta.org/tomcat/tomcat3.2-4.0/tomcat-3.2.3/doc-ja/uguide/tomcat-security-unix.html debian + mysqlの場合、/etc/tomcat5/policy.d/03catalina.policyに以下の記述を追加しました。
IRC ボット i401 に触発されてしばらく前に yaya って名前の IRC ボットを Java で書いたりしてたのだけれど、IRC のイベントに対して反応する処理をプラグイン的に書きたい場合に Java だと微妙にやりにくいかなー、と思ったりして Groovy で書きなおした。 nobuoka/yaya-irc-bot · GitHub 初めてそれなりに Groovy を書いてみていろいろ学びもあったので、得られた知見を書き残しておくことにする。 Groovy in Action 作者: Dierk Konig,Guillaume Laforge,Paul King,Cédric Champeau,Hamlet D'arcy出版社/メーカー: Manning Pubns Co発売日: 2014/05メディア: ペーパーバックこの商品を含むブログを見る Groovy に関して得られた知
Solr News
Solr™ News¶ You may also read these news as an ATOM feed. 29 May 2024, Apache Solr™ 9.6.1 available ¶ The Solr PMC is pleased to announce the release of Apache Solr 9.6.1. Solr is the popular, blazing fast, open source NoSQL search platform from the Apache Solr project. Its major features include powerful full-text search, hit highlighting, faceted search, dynamic clustering, database integration,
How to use pre-compiled JSPs in a webapp with tomcat 7
I had a webapp that has some jsp files which directly call some methods in some libraries. But those libraries are in a sandbox environment secured by Java Security Manager. Therefore only the calls that come from classes that are signed by a particular key, are allowed to be executed. My webapp was not working until I guarantee the sandbox environment that the method calls are coming from a signe
WWW Security FAQ in Japanese
The World Wide Web Security FAQ(日本語版) 2000年10月訳出 注意 本文書は Lincoln Stein 氏 (lstein@cshl.org) の著作で、W3Cにより公開されている The World Wide Web Security FAQ Version 2.0.1(2000年3月24日) のFAQ部分(Q1~Q101) を、日本電気株式会社 インフォメーションシステム部 が日本語化したものです。オリジナル文書はhttp://www.w3.org/Security/faq/ に掲載されている英語版で、本文書はそれの私的な翻訳です。 オリジナル文書の情報はLincoln Stein 氏 (lstein@cshl.org) により提供されたものです。W3Cサイトでは、Web環境の発展のためにこれを掲載していますが、内容自体をW3Cが保証するものではあ
■debian strechにElasticsearchを導入してみる。 Install Elasticsearch with Debian Package | Elasticsearch Reference [5.6] | Elastic https://www.elastic.co/guide/en/elasticsearch/reference/current/deb.html ■「SSH サーバ」のみでクリーンインストールしたdebian stretchに、 プロキシ経由でsudo、vimをインストール $ lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 9.1 (stretch) Release: 9.1 Codename: stre
notes3102
開発環境と品証、本番環境のデータベース接続情報が違うのは当たり前ですね。 Pentaho ETLで素直に作るとTransformファイルの中にデータベース接続文字列が 埋め込まれてしまう。 これは、上記の様な場合には都合が悪い。 Jobで複数のTransformファイルを使うので環境毎に書き換えるのは大変な作業となる。 その為の対策としてPentahoにはJNDI接続が用意されている 別にAPサーバー等が無くても使う事が出来る。 インストールしたディレクトリのサブディレクトリに simple-jndi と言うディレクトリがある。デフォルトでは中身が空 ここにjdbc.propertiesと言う名前でファイルを作成 以下の様な内容を入れる。 例はオラクルの例、 サーバーはservernameと言うマシン オラクルユーザーはorauserと言うid パスワードもそれに対応した物 sample/
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JMX で快適モニタリング環境を作ろう - Cybozu Inside Out | サイボウズエンジニアのブログ
Apache Tomcat 6.0 (6.0.53) - Documentation Index
Elasticsearch 2.0.0リリース(日本語訳)
graal/LIMITATIONS.md at master · oracle/graal · GitHub
Maestro: Netflix’s Workflow Orchestrator
Apache2, JDK6, Tomcat6 - garbagetown
Elasticsearch 2.0.0.beta1リリース間近(日本語訳)
Apache Tomcat 6.0 (6.0.53) - Documentation Index
yum でインストールした Tomcat に JVM オプションを設定 -
Apache Tomcat 7 (7.0.109) - Documentation Index
Log4shellにprismatixがチームとしてどう立ち回ったか | DevelopersIO
Apache Tomcat 9 (9.0.82) - Documentation Index
TeamCity JavaEE:war 版のインストール -
Installing OpenJDK 8 and Tomcat 8 on Debian Jessie
Apache Tomcat 8 (8.0.53) - Documentation Index
[REL] A Journey Into Hacking Google Search Appliance | DEVCORE 戴夫寇爾
Bypassing OGNL sandboxes for fun and charities
Groovy で IRC ボットを書いてみて得られた知見たち - 一角獣は夜に啼く
debian strechにElasticsearchを導入してみる。 - labunix's blog