この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023 の4日目です。年末進行、いかがお過ごしでしょうか?みなさま無事に仕事が納まることを願っております… 新人インフラエンジニアが、本番ウェブサーバー60台のホスト名を全部 cat にしてしまった話について、ここに供養させていただきたいと思います 背景 おそらく今から7年くらい前、インフラエンジニアとして転職してきて1年ほどが経ち、本番環境での作業もこなれてきたなというバッチリのタイミングで事を起こしてしまいました。サーバーは CentOS 6 だったと思います。 職場としてはまだまだベンチャー感にあふれ大きな裁量が与えられスピード感のある環境ながら、サービスの登録ユーザー数は1,000万を超え、本番環境の規模としては既になかなかの大きさがあり、ウェブサーバーだけでも60台くらいあったと思います。ひと山につき
株式会社サイバーエージェントAI事業本部の2024年度 エンジニア新卒研修でシステム運用の基本と戦略に関する講義を行いました。
「セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまい、技術的には対策が打てたとしても、運用が追いつかない…」という指摘が秀逸すぎる話
ケビン松永 @Canary_Kun 大手SIerで15年間システム開発に従事し、現在は独立してITコンサルをやってます。零細法人経営者 | 意識高い系よりは尿酸値高い系 | 3児の父 | 大家クラスタ | 多重債務力167M、加重平均金利は197bp ケビン松永 @Canary_Kun 自分は情報安全確保支援士(登録セキスペ)も持っていて素人ではないんですが、セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 技術的には対策が打てたとしても、運用が追いつかない…。そんな気持ちを連ツイします。 x.com/yuri_snowwhite… 白”雪姫” @yuri_snowwhite 一応、セキュリティ担当としておおっぴらには言ってないことなんだけどたまにはきちんと言おうかな。 今回のSSHの件然り、カドカワの情報漏洩然りなんだけど、 1:定期的に脆弱性対応
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 22.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 クライアントマシン側で生成した公開鍵を ~/.ssh/authorized_k
PagerDuty Advent Calendarの8日目! 今日はOps Guidesのお話です。 うちはこうだけど、他はどうやってるんだろう? 普段から運用に関わっていると、ふとした瞬間に「そういえば他の会社ではどういう運用をやっているんだろう?」と気になること、ありませんか? そのきっかけは「本当になんとなく」といったものから「上手くいかない運用にフラストレーションが溜まって」というどす黒いものまで色々あると思いますが、いずれにせよ「他の会社の良いところを取り入れて、自分たちの運用を改善したい」という気持ちから来ているのは間違いないでしょう。 だからこそ、いろんなミートアップに参加して発表を聞いたり、懇親会で話してみたり、Xに垂れ流されているいろんなポストを読んで事例を学ぶわけです。 ベストプラクティスを学びたい! このような取り組みはとても良いことですし、是非とも継続して情報収集し
パスキーに入門してみた話 - Qiita
久しぶりの投稿です。 はじめに 昨今、様々なサイトがどんどんパスキーに対応しはじめてきました。 まだまだパスキーがデフォルトになっていくには時間が掛かりそうですが、どのような仕組みでパスキーを実装するのか、早めにキャッチアップしておくのも悪くないと思い、パスキーについて色々と調べてみました。 パスキーとは? パスワードの代わりに、自分の持つデバイスによる生体認証やパターンを用いて認証を行う方法のことです。 次世代認証技術であるFIDO(Fast IDentity Onlineの略で、「ファイド」と呼びます)を使った認証方式(詳細は後述)で、Apple、Google、MicrosoftがFIDOを普及させるために命名したブランド名になります。 FIDOとは? 脆弱なパスワードは安全ではありません。 2段階・2要素認証を採用してもそれを有効にするユーザーは少なく、昨今では2段階認証を突破する攻
個人開発者がGoogle Cloudの環境構築でお財布を守るために最初にすべきこと - Qiita
初めに 自分は2年くらい業務でGCP(今はGoogle Cloudですね)を使っていたのですが、友達が個人開発でGoogle Cloud使いたいから手伝ってとのことで、久々にコンソール触りたいなーと思ったので環境構築を手伝うことにしました。友達のクレジットカードが紐づいた環境なので自分の環境以上に課金やセキュリティに対して注意しなくてはなりません。課金だけでなく友情も爆発してしまいかねませんので 今回は最初期から構築するということで個人開発者向けにお財布や環境を守るうえでの最初にやったほうがよい課金のセーフティ的な設定をまとめていきたいと思います。企業で検証環境管理している人にも参考になるかと思いますので是非最後まで見てもらえると嬉しいです! 前提 Google Cloudのプロジェクトを作成していること 課金アカウントを作成していること(クレジットカードの紐づけできていること) その1
自宅サーバを運用していると突発的なリブートや設定ミスによるアクセス不能などなどが起こり、そのたびにリモートKVMが欲しくなる…。 しかし、リモートKVMは主にエンタープライズ向けで対応した筐体や装置が高額でなかなか手が出づらい…。 そこでどこのご家庭にもある余ったラズパイとPiKVMを使って安価にリモートKVMを作ろうというのがこの記事の趣旨。 PiKVMとは PiKVMは、Raspberry Pi(ラズパイ)を用いて遠隔地から物理的なコンピュータにキーボード、ビデオ、マウス(KVM)スイッチとしてアクセス可能にするオープンソースプロジェクトである。 この記事を書いている現在(2024/03/24)では、DIY PiKVM V1~v4の4つのバージョンがある。 V3とV4はラズパイ内蔵の完成品になっていて、これらのバージョンを自作することはできない?ので今回の選択肢からは外す。 V1とV2
こんにちは!JADEの郡山です。 2023年7月から従来のバージョンのGoogleアナリティクス「ユニバーサルアナリティクス」が順次計測を停止していき、いよいよGA4へ完全移行する段階が訪れました。 同じ「Googleアナリティクス」というアクセス解析ツールではありますが、UAとGA4は計測する仕組み(仕様)がまったくの別物となっています。 ゼロからGA4を学び、向き合い、活用することが求められるわけですが、 一方で「UAではこういう仕組みでデータを集計していた」という知識をお持ちの方ほどUAとGA4の仕様の違いに頭を悩まされることも多いのではないでしょうか。 今回はGA4の基本的なデータである「ユーザー」指標について、 UAとGA4でどのような仕様の違いがあるのかを解説してみます。 管理画面に表示されているデータは、一体どんな仕組みで集計されたものなのか。 その仕組を、(基本的な部分だけ
オブザーバビリティ研修実践編
株式会社サイバーエージェント AI事業本部 2024年度エンジニア新卒研修 オブザーバビリティ研修実践編(一部社内向けの内容)
ひとり情シスの味方!お手軽社内サーバ監視・リモートデスクトップ接続 | IIJ Engineers Blog
データセンター・エンジニアリング関連サービスの企画と開発を担当。もともとアプリ開発でスクラムマスターを経験しアジャイルに造詣が深く、世界のDX推進をインフラ設備から支えたいと考えている。 私の所属するチーム(基盤エンジニアリング本部基盤サービス部サービス開発課)では、DX edgeというエッジデータセンターソリューションを開発・運用しています。お客様の社内に設置したエッジデータセンターをIIJが遠隔で運用保守するマネージドサービスも提供しています。リモートから監視・運用するために、IIJ IoTサービスを活用した運用保守用のリモートアクセスする仕組みとゲートウェイ機器(リモートアクセスボックス)を開発しました。 先日、あるお客様から手軽に社内サーバへアクセスするためにこの仕組みが便利そうなので譲ってくださいとお願いされました。そこで、このリモートアクセスボックスを提供したところとても高評価
Linuxで動くシステムで何か問題が発生した際の原因分析に役立つツールの一覧をNetflixやIntelでクラウドコンピューティングのパフォーマンス改善に取り組んできたエンジニアのブレンダン・グレッグ氏がブログにまとめています。 Linux Crisis Tools https://www.brendangregg.com/blog/2024-03-24/linux-crisis-tools.html ◆procps このパッケージには「ps」「vmstat」「uptime」「top」という基本的なステータス表示に役立つツールが含まれています。 ◆util-linux このパッケージには「dmesg」「lsblk」「lscpu」というシステムのログを取得したりデバイスの情報を出力するツールが含まれています。 ◆sysstat このパッケージには「iostat」「mpstat」「pidsta
以下、私のやり方であって「正解」ではないかもしれないのでご承知おきを。 11/30 Amazonより以下のメールが届いた。 お知らせ欄で告知しております通り、2023年11月30日(木)をもってアソシエイトツールバーの「画像リンク」及び「テキストと画像」リンクを廃止させていただきます。 画像リンク作成機能を使用して作成されたリンクは、2023年12月31日(日)以降表示されなくなります ので、画像リンクを掲載されている場合は、お早めに別のリンクへの差し替えのご対応をお願いいたします。 強調表示の内容は、Amazonアソシエイトの「お知らせ」には載っていない。そのため、twitter で騒ぎになっていないので、このメールが「ガセ」という可能性もある。 だが、もし本当なら、私にとって、わりとヤバい話になる。というのも、ブログに書影を表示させるため、この機能を使っているから。 そして、画像を表示
WebSocket 入門
注意:今回の記事はあくまで初心者向けにWebSocketの概要を理解してもらうために執筆されている。そのため、一部正確性を欠く可能性がある。詳細にWebSocketについて学びたいならMicrosoftの解説記事やWebSocket Protocolを確認してほしい。 はじめに 今回の記事ではWebSocketを解説する。 対象とする読者 WebSocketについてわからないひと WebSocketとは? WebSocketは双方向のHTTPプロトコルで、クライアントとサーバの通信で成立する。HTTPとは異なり、ws://あるいはwss://から始まる。WebSocketはHTTPとは違って、クライアントとサーバ間の接続はどちらか一方が切断されると終了する。WebSocketが動く仕組みはHTTPのそれとは異なり、ステータスコード101がプロトコルの切り替えを示す。 WebSocketが動
この度、本社サーバーがコンピュータウイルス「LockBitランサムウェア 」に感染しました。 今回の不正アクセスの直接の原因は、セキュリティ強化の一環で FortiGate(統合型セキュリティアプライアンス)の設置を昨年に依頼しましたスターティア株式会社(https://www.startia.co.jp/)が設置の際に使用していた test アカウントを削除せずそのまま放置し、悪意のある第三者が test アカウントを使用して弊社のサーバーに侵入した事によるものとなります。 なお、現時点では、社内情報の流出の事実は確認されておりません。また、被害サーバーにはお客様情報は入っておりません。 関係する皆さまには、多大なご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。 対応としましては、感染が判明した当該サーバーをすべてネットワークから遮断する対策を講じるとともに、弊社全部署で
サーバーセキュリティ構成の話 - Chienomi
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
TiDB User Day 2024の登壇資料です。
愛媛県庁でおよそ50年にわたって税金の計算や会計業務などに使われてきた大型の演算装置、電子計算機の運用が20日で終了となり県庁で催しが行われました。 愛媛県庁の機械室に設置されている電子計算機は、縦およそ1メートル80センチ、横およそ60センチで、複雑なデータ処理を高速で行うことができ、昭和48年の導入からおよそ50年にわたって税金の計算や会計業務などに使われてきました。 県は、さらに職員や県民の利便性を高めるため電子計算機に代わる新たなシステムを導入していて、電子計算機の運用が20日で終了されることになり、県庁に職員や企業の関係者が集まって催しが行われました。 このなかで県デジタル変革担当の山名富士部長が「愛媛県政を縁の下で支えてきたシステムが役割を終えるのは寂しい。長年のサポートに感謝したい」とあいさつしました。 このあと山名部長が大型の電子計算機の電源を切り業務を終えました。 【元職
本記事は4月3日21:30(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。 概要 問題の
弊社Slackには「婆さんや飯はまだか」というチャンネルがあり、こういう運用をされている→「最高の会社じゃん」「優しい世界」
にんにくたっぷり @maboroshiitake 弊社Slackには「婆さんや飯はまだか」というチャンネルがあり、ここでは何度聞いたか分からないことを聞いても怒らず答えるというルールで運用されている。たびたび「先週も答えましたよぉ」とリンクが飛び交うが、チャンネル名がチャンネル名なので誰も彼もちゃんと応えてくれる。
これまで何度か HTTP Server の Graceful Shutdown について記事を書きました。 Go 言語で Graceful Restart をする Go 言語で Graceful Restart をするときに取りこぼしを少なくする Go1.8 の Graceful Shutdown と go-gracedown の対応 最終的に Go 1.8 で Server.Shutdown が導入され、この件は解決を見ました。 しかし、最近「あれ?本当に正しく Server.Shutdown 使えている?」と疑問に思い、少し考えてみました。 というか ↑ の記事もまだ考慮が足りない気がする。 ぼくのかんがえたさいきょうの Go HTTP サーバー起動方法 とりあえず完成形のコード。 package main import ( "context" "log" "net/http" "os
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
本番サーバー60台のホスト名を全部 cat にしてしまった話 - Qiita
【2024年度 サイバーエージェント 新卒研修】システム運用の基本と戦略
Ubuntu 22.04 LTS サーバ構築手順書
運用に携わる人全員に見てほしい! Ops Guidesの紹介 - Qiita
余ったラズパイで作る自宅サーバ向けリモートKVM - ぶていのログでぶログ
UAとGA4の【ユーザー数】カウント方法をめっちゃ丁寧に解説します - ブログ - 株式会社JADE
Linuxでトラブルが発生したときの診断に役立つツール一覧、「事前のインストールを強く推奨」とリストの作者は語る
2024年1月1日からAmazonアフィリンクの画像が表示できなくなりそうなので、対応をまとめた
【Ubuntu日和】 【第41回】流行りの超小型USB SSDを使い、Ubuntuをポータブルに運用する
弊社サーバーのマルウェア感染に関する お詫びとお知らせ – Endless Corporate
DMMプラットフォームにおけるTiDBの導入から運用まで
「長年のサポートに感謝」県庁の電子計算機運用終了の催し|NHK 愛媛のニュース
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
ぼくのかんがえたさいきょうのGo HTTPサーバー起動方法