はじめに 新方針でDocker Desktopが大企業での利用の場合は商用ライセンスの使用が必要になるようです。新料金体系は8/31から実施ですが、2022年1月31日まで猶予期間があります。 個人やスモールビジネス、あるいは教育やOSSプロダクトなどは継続して無料版のPersonalを利用できるようですが、従業員数250人以上/年間売り上げ10億円以上の会社が対象になるようです。今見てる限りだと部署とかチームみたいな契約の単位では無く会社規模なので、大きな組織に所属してるともれなく対象になりそうですね。 $5/userからなので基本的には運用性も含めて払う方が楽だと思いますが、金額の大小にかかわらず予算を取るのが大変な組織や会社自体はデカくても部署がインキュベーションなので予算が基本無い、とか色んなパターンもあるかと思います。 ちょうど、手元のPCでここ最近 Docker Desktop
以前、MAMPでSSLを設定した際には手間のかかるプロセスを経てサーバー証明書と鍵を作成したんですが、mkcertというローカル環境に認証局(CA)をインストールするコマンドラインツールを使うと一瞬で作成できました。 鍵をしっかり管理しないとセキュリティリスクになるので注意が必要ですが、ローカル開発環境でSSLを手軽に設定できるめちゃくちゃありがたいツールです。 以下、mkcertでサーバー証明書と鍵を作って、MAMP 6.3のApache 2.4に設定するところまでをご紹介します。 Macのバージョンなど 以下の環境で設定、動作確認を行いました。 macOS Big Sur 11.2.2(Mac mini, M1 2020) MAMP 6.3 mkcert 1.4.3(Homebrew 3.0.4でインストール) 証明書と鍵の作成の設定 1. mkcertのインストール Homebrew
AWS WAF でアクセス数が一定回数を超えた IP アドレスを自動的にブラックリストに追加させる方法 | DevelopersIO
困っていた内容 自社サービスの特定の URL に対して、数日間で数百の IP アドレスから大量の不正アクセスを受けています。 攻撃元 IP アドレスを自動的にブラックリストに追加させる方法がありましたら教えてください。 どう対応すればいいの? AWS WAF の レートベースのルール を設定してください。 より細かい制御を行いたい場合は、AWS WAF セキュリティオートメーションの導入をご検討ください。 AWS WAF のレートベースルールとは AWS WAF のレートベースのルールを設定すると、AWS WAF が発信元 IP アドレスのリクエスト数をカウントし、設定したしきい値を超えるリクエスト数が確認された際に対象の IP を自動でブロックできます。 現在は 5 分間あたり 100 リクエスト を最小しきい値として指定可能です。 以下にて作成手順を紹介します。 Web ACL とレー
PHPの脆弱性CVE-2018-17082はApacheの脆弱性CVE-2015-3183を修正したら発現するようになったというお話
最近自宅引きこもりで時間ができたので、YouTube動画を投稿するようになりました。みんな見てねー。 徳丸浩のウェブセキュリティ講座 そんなことで、次の動画は、お気に入りのPHPの脆弱性 CVE-2018-17082 を取り上げようと思ったんですよ。表向きXSSで出ているけど、金床さんのツッコミにもあるように、実はHTTP Request Smuggling(HRS)だというやつです。でね、下準備であらためて調べていると、なんかよく分からない挙動がワラワラと出てくる。なんじゃ、こりゃ。CVE-2018-17082 全然分からない。僕は気分で CVE-2018-17082 を扱っている… で、雑に整理すると、以下のような感じなんです。 古い環境だとCVE-2018-17082は発現しない(2015年以前) 少し古い環境だとCVE-2018-17082は発現する 新しい環境だとCVE-2018
docker環境で開発を行っていると、いろんなログをコンテナに入って閲覧したりするのがめんどくさいし、見ずらいので、どこか一箇所で見れるようにしたいと思い、docker作ってみました。 一式をGitHubに公開してますので、是非。 https://github.com/yuya-sega/log-viewer/ 構成 apache 2.4 postgres 12 fluentd 1.6.2-1.0 elasticsearch 7.3.2 kibana 7.3.2 まずは起動してみる $ git clone https://github.com/yuya-sega/log-viewer.git $ cd log-viewer/ $ docker-compose build && docker-compose up ~~ 略 ~~ kibana_1 | {"type":"log","@time
【連載】世界一わかりみが深いコンテナ & Docker入門 〜 その2:Dockerってなに? 〜 | SIOS Tech. Lab
◆ Live配信スケジュール ◆ サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。 ⇒ 詳細スケジュールはこちらから ⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください 【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました 生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!! https://tech-lab.connpass.com/event/315703/ こんにちは、サイオステクノロジー技術部 武井(Twitter:@noriyukitakei)です。今回は前回に引き続き、Dockerについて、世界一わかりみが深い説明をしていこうと思っております。 7回シリーズでお届
TL;DR Apache2.4.26より前のauth_digest_moduleにはバグがあり、低確率でApacheが死ぬことがある。 経緯 ほぼ自分専用で他所からは誰も来ないWebサーバを数年運用しています。 運用というか放置ですが。 開設当初にある程度の設定を行いましたが、その後は何年も更新せずに、それどころかSSH接続することすらほとんどなくほったらかしでした。 私は環境構築マニアではないので、現在動いているサーバには何もしたくないのです。 セキュリティ?知らんな。 そんなでもこれまで数年間何の問題もなく動いていたのですが、なにやら先日突然Apacheが止まりました。 調査 とりあえずApacheのステータスを確認。 ● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/htt
CentOS 7上で動かしていたZabbix 4.0を、Ubuntu 22.04に移行しつつZabbix 6.0系にアップグレードしました。Zabbixのインストール自体はなんてことはないのですが、データベースのアップグレードですこし難儀したため、その記録です。 移行元のLAMP環境 OS: CentOS 7.9.2009 Webサーバー: 2.4.6 DB: MariaDB 5.5.68 PHP: 5.4.16 Zabbix: 4.0.42 CentOS 7自体はまだサポート中ですが、新しいZabbixでは新しめのPHPを要求されるため、Ubuntu 22.04で再構築してDBを移行することとしました。 DBは、文字コードがlatin1で作られていたため、今回を期にUTF-8に移行します。これが今回の罠ポイントです。 移行先のLAMP環境 OS: Ubuntu 22.04 Webサーバー
Container Linuxの後継となる新たなコンテナ向けOS「Fedora CoreOS」 | さくらのナレッジ
たとえば、インストール先として/dev/vdaを指定し、Ignitionの設定ファイルのURLが「http://192.0.2.100:8080/container/simple.json」、イメージファイルが「http://192.0.2.100:8080/container/fedora-coreos-31.20191127.1-metal.x86_64.raw.xz」の場合、次のようにcoreos-installerを実行すれば良い。 # /usr/libexec/coreos-installer -d vda -i http://192.0.2.100:8080/container/simple.json -b http://192.0.2.100:8080/container/fedora-coreos-31.20191127.1-metal.x86_64.raw.xz ちなみに
こんにちは、去年の8月に入社しましたMSP事業部エンジニアリンググループの鈴木です。 本記事は、Apache HTTP Server(以降「Apache」と略す)のgraceful stop/restart(以降、2つを指す場合「graceful」と略す)について調査・理解したことをまとめたものになります。具体的には以下について調査しました[※1]。 gracefulの概要、通常のstop/restartとの違いおよびユースケース systemd(systemctl)でgracefulを実行する方法 gracefulを実行する3つのコマンドの動作や関係性 gracefulを実行するコマンドの動作確認(ドキュメントの裏取り) 付録:graceful関連のソースコード解析(理解できている範囲のみ) なお、今回は私個人の学びの一環としてgracefulの基本的なことから調査しましたので、内容とし
Contents Mise en bouche Let's start with HTTP/1.1 The practicalities of proxying HTTP/1.1 Also, TLS Making HTTP/1.1 requests with reqwest Making HTTP/1.1 requests with hyper Making HTTP/1.1 requests ourselves Making HTTP/2 requests with hyper Making HTTP/2 requests with h2 Making HTTP/2 requests ourselves HTTP semantics over HTTP/2 Bugs, bugs, bugs! Afterword HTTP does a pretty good job staying ou
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた | DevelopersIO
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた ALBの実装はわからないのであくまで考察となります。 ALBについて考えてみたと謳っていますが、メインはNGINXのソースリーディングです。 少し長いですが、AWS環境でパストラバーサル攻撃の検証を行う際には頭の片隅に入れておくと良いかもしれません。 背景 2021/10/5にApache HTTP Server(以下Apache)の脆弱性が報告されました(CVE-2021-41733, CVE-2021-42013)。 Apacheの2.4.49および2.4.50においてパストラバーサル攻撃およびリモートコード実行の可能性があります。 ※Amazon Linux2でyum経由でインストールすると2021/10/11時点では2.4.48がインス
「YAPC(Yet Another Perl Conference)」は、Perlを軸としたITに関わるすべての人のためのカンファレンスです。ここで面白法人カヤックのmacopy氏が「デプロイ今昔物語 〜CGIからサーバーレスまで〜」をテーマに登壇。まずは、CGI(Common Gateway Interface)のデプロイについて話します。 macopy氏の自己紹介 macopy氏:よろしくお願いします。「デプロイ今昔物語~CGIからサーバーレスまで~」ということで、その(CGIからサーバーレスの)間にいろいろありますけれど、デプロイを次々とやっていって、みなさんを混乱させていくセッションになっています(笑)。 (話す)スピードが速いと思うので……。スピードというか、けっこう(内容を)ぎゅうぎゅうにしているので早口になっちゃうこともあるかもしれないですが、よろしくお願いします。ということ
こんにちわ。久しぶりにブログを書いているonagataniことながたにです。 最近のMTはMTクラウド(フルマネージドのMT環境)やMT for AWSなどがあるので本番環境のサーバにMTを導入する機会もあまりないかもしれません。 とはいえ、既にMTライセンスを持っている。もしくは個人無償ライセンスを利用する場合にVPSを利用すると更に安価にサーバを運用することが可能だったりします。さくらのVPSだと月額635円〜でMTのサーバを運用できます。 VPSなので自由にカスタマイズできますしレンタルサーバよりも高速です。 そこで今回はさくらのVPSをAnsibleで構築する方法を紹介したいと思います。 ※ちなみにさくらのVPSは転送量課金がないので転送量課金が気になる方には最高のサーバかと思います。 VPS(仮想専用サーバー)|さくらインターネット - 無料お試し実施中 今回のポイント さくらの
CookieのSameSite=Laxデフォルト化 アクセスログで影響調査 | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]
したがってSameSite=Lax化の影響を調べるには、「アンカータグとGETのfrom以外で、異なるRegistrable Domainから生成されたリクエストでCookieを使用していないか」ということを確認する必要があります。 しかしこれを漏れなく確認していくことは、なかなか骨の折れる作業ではないでしょうか。 アクセスログのRefererヘッダを見れば、異なるRegistrable Domainから送られてきたリクエストかどうか、ある程度わかりそうな気もしますが、Refererヘッダは送られないケースが多々あったり、そもそもリクエスト生成元のタグ名を判別できなかったりと完璧ではありません。 Fetch Metadataリクエストヘッダとは Fetch Metadataリクエストヘッダとは、一言で言うと「リクエストが生成されたコンテキストをサーバ側に通知するためのヘッダ」です。 ざっく
![CookieのSameSite=Laxデフォルト化 アクセスログで影響調査 | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/429d6761b29121c48e76f6c54419eaebcb802f21/height=288;version=1;width=512/https%3A%2F%2Ftechblog.raccoon.ne.jp%2Fwp-content%2Fuploads%2F2020%2F01%2Fsamesite_lax.jpg)
「X-Forwarded-For」ヘッダをサポートしたAWS WAFで CloudFront経由の過剰リクエストをELBで止めてみた | DevelopersIO
AWSチームのすずきです。 2020年7月、AWS WAF が X-Forwarded-For ヘッダーをサポートするアップデートがありました。 X-Forwarded-For (XFF) ヘッダーのサポートが AWS WAF で利用可能に 今回 X-Foward-Forに示されたリクエスト元のIPを判定対象とした レートベースのWAFルールを作成、 CloudFront 経由で到達した過剰なリクエストを、ELB用の AWS WAF でブロックできる事を確認する機会がありましたので、紹介させていただきます。 構成図 AWS WAF設定 ELB/CloudFront用 「Regional resources」を指定して、ELB用のACLを作成します。 Resource type: Regional resources Region : 東京リージョン ルール設定 ルールビルダーを利用しました
Let’s EncryptによるSSLサーバー証明書の取得、自動更新設定(2021年3月版) | 稲葉サーバーデザイン
北海道札幌市在住、サーバー専門のフリーランスエンジニアです。クラウドサービスを利用してWebサイト、ITシステムのサーバー構成設計とサーバー構築を行います。 1. はじめに 2019年1月に「Let’s EncryptによるSSLサーバー証明書の取得、自動更新設定(2019年1月版)」という記事を書きました。 最近、証明書を取得、更新するためのcertbotコマンドの推奨インストール方法が変わりましたので、2021年3月版としてまとめ直します。 なお、以下の設定手順は、サーバーOSはCentOS 7で、2021年3月時点のものです。 Apache, Nginxについては、Let’s Encryptに関わる設定のみ記載し、Let’s Encryptに無関係な基本的な設定は、ここでは記載しません。 コマンドはrootユーザーで実行する想定です。 必要に応じて、sudoに置き換えてください。 (
JPCERT/CCでは、国内組織を狙ったLazarus(Hidden Cobraとも言われる)と呼ばれる攻撃グループの活動を確認しました。攻撃には、ネットワーク侵入時と侵入後に異なるマルウェアが使われていました。 今回は、侵入後に使用されたマルウェアの1つについて詳細を紹介します。 マルウェアの概要 このマルウェアは、モジュールをダウンロードして実行するマルウェアです。確認されたマルウェアは、 C:¥Windows¥System32¥ などのフォルダに、拡張子drvとして保存されており、サービスとして起動していました。コードはVMProtectで難読化されており、またファイルの後半に不要なデータを追加することでファイルサイズが150Mほどになっていました。図1は、マルウェアが動作するまでの流れを示しています。 図1: マルウェアの挙動 以降では、設定情報や通信方式などの検体の特徴およびダウ
「Apache HTTP Server」のゼロデイ脆弱性が公開される、攻撃を防ぐには最新バージョンへのアップグレードが必要
オープンソースのWebサーバーソフトウェアとして広く使われている「Apache HTTP Server」に、新たなゼロデイ脆弱性(ぜいじゃくせい)が存在することが開示されました。今回報告された脆弱性「CVE-2021-41773」により、本来は見られないファイルにアクセスするパストラバーサル攻撃が可能となってしまうとのことで、Apacheソフトウェア財団は最新バージョンへのアップグレードを呼びかけています。 Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project https://httpd.apache.org/security/vulnerabilities_24.html Apache fixes actively exploited zero-day vulnerability, patch no
以前の同期の友人と、そういえば数字だけのドメイン名って許されてるんだっけ?という話題で一通り盛り上がった。なかなか面白いことがわかったのと、イマイチよーわからんなーということが出てきたので、せっかくなので記事にしておこうと思う。 TL;DR 数字のみのホスト名は RFC 的に OK アンダースコアはホスト名的には NG だがドメイン名的には OK 数字だけのドメイン https://0.30000000000000004.com/ というサイトが Twitter で回ってきた。 こういうドメインって RFC 的にどうなんだっけ。数字だけのドメインって大丈夫なんだっけ? ホスト名の定義(大元) host name については、元々は RFC952 に記載がある。以下、関係のある部分だけ抜き出し。 GRAMMATICAL HOST TABLE SPECIFICATION <official h
こんにちは。EGセキュアソリューションズの社長の徳丸です。 今日は、Apacheが本稿執筆時点での最新版 2.4.41 であるかを確認する方法を公開しちゃいます。 はじめに 脆弱性診断の一環で、サーバーソフトウェアのバージョンを確認したいというニーズがあります。今どき、Apache等のServerヘッダにバージョンが出ていることはまずない(…とも言えず実はよくある)ので、Serverヘッダ以外からソフトウェアのバージョンを確認する方法が知られています。以下はその例です。 Apache HTTP Serverのバージョンを当てる方法 僕が調べたApacheバージョン判定の小ネタ 診断文字列を打ち込まずにPHPのバージョンを推測する 2番目の、とある診断員さんの記事は、Apache 2.2のすべてのバージョンをビルドして確認する方法が具体的に説明されています。そして、上の2つの記事はApach
[アップデート] Amazon CloudFront でキャッシュキーとオリジンリクエストポリシーによる管理が可能となりました | DevelopersIO
[アップデート] Amazon CloudFront でキャッシュキーとオリジンリクエストポリシーによる管理が可能となりました キャッシュ設定をポリシー化することでBehaviorごとの設定が非常に楽になりました!また、キャッシュキーとオリジンリクエストの設定が分離されたことで、キャッシュ効率に影響を与えることなくオリジンに追加情報を渡せるようになりました。 4 連休ということもありアップデート記事が遅くなってしまいました。 先日のアップデートで、Amazon CloudFront でキャッシュキーとオリジンリクエストポリシーによる管理が可能となりました。 Amazon CloudFront announces Cache Key and Origin Request Policies 何がうれしいのか キャッシュおよびオリジンリクエスト設定の外だし これまで Behavior の設定ごと
![[アップデート] Amazon CloudFront でキャッシュキーとオリジンリクエストポリシーによる管理が可能となりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fde6f7c8a9687a84d77b4283284f2288984c2659/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-cloud-front.png)
[アップデート] Network Load Balancer で TLS ALPN がサポートされたので HTTP/2 が可能になりました。 | DevelopersIO
[アップデート] Network Load Balancer で TLS ALPN がサポートされたので HTTP/2 が可能になりました。 本日のアップデートで Network Load Balancer(NLB)が TLS ALPN(Application-Layer Protocol Negotiation) をサポートするようになりました。 Network Load Balancer now supports TLS ALPN Policies 何が嬉しいのか TLS リスナーで HTTP/2 が利用可能に これまで NLB の TLS リスナーでは ALPN に対応していなかったため、HTTP/2 で受けることが出来ませんでした。そのため、NLB を介した HTTP/2 通信をするには TLS リスナーではなく TCP リスナーとして NLB を構成する必要がありました。 この場
Oji-Cloud クラウドとテクノロジーが人生をHappyにする。クラウドインテグレーターに転職したぱぱエンジニアが発信するテクニカルブログ。 概要 はじめに ここ最近NLBを使ったシステムを構築していますので、本日はALB、NLBロードバランサーの比較と、NLBの特徴を中心に記事にまとめたいと思います。 ALB、NLBとは ALB、NLBのどちらもELB(Elastic Load Balancing)の1つです。ELBはAWSが提供するロードバランサーであり、受信したアプリケーションまたはネットワークトラフィックをEC2 インスタンス、コンテナなど、複数のターゲットに分散させることが可能です。 ALB、NLBは、ヘルスチェックを利用して、異常なターゲットを検出すると、それらのターゲットに対するトラフィックの送信を中止し、残りの正常なターゲットに負荷を分散できます。 以下に、ALB、NL
こんにちは、インフラエンジニアの赤倉です。 昨年末にCentOS8のサポートが終了したばかりですが、CentOS7のサポート期限が2024年6月末に近づいてきています。 そこで今回は、CentOSの次にくるディストリビューション候補の中からAlmaLinux8への移行を試してみたいとおもいます。 移行環境 移行元CentOSの環境は弊社でよく使っているLaravel構成としました。 CentOS Linux release 7.9.2009 (Core) Apache/2.4.6 PHP 7.4.28 Laravel Framework 8.83.1 MySQL Ver 14.14 Distrib 5.7.37 Laravelは初期インストール+認証設定まで完了した環境を用意しました。 移行ツール 今回の移行ではAlamaLinuxから提供されている「Elevate」を使います。 手順は公
BPSの福岡拠点として一緒にお仕事をさせていただいています、株式会社ウイングドアのモリヤマです。 今回のテーマはTLS対応(触れるのはHTTPS化の設定に関するお話)です! ネットワーク/インフラエンジニアの方々の領域に、ちょっとだけ学習の手を伸ばしてみました。 本記事はTLSへの理解度が下記の様な方々が対象です❗️ とりあえず通信を暗号化するやつって事は知ってる SSL/TLS対応は行った事あるが、詳しく考えたことがない セキュリティ関連にちょっとでも強くなりたい意志のある方 背景 ずいぶん前にAmazonLinux2で構築したサーバー(趣味関連ブログ用)がふと気になり、 SSL/TLSの設定ってデフォルトのままいじってないなーどうなってんだろう🤔 そして軽い気持ちでQualys SSL Labs SSL Server Test で脆弱性スキャンしたのがきっかけでした。 結果は『B』所
◆ Live配信スケジュール ◆ サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。 ⇒ 詳細スケジュールはこちらから ⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください 【4/18開催】VSCode Dev Containersで楽々開発環境構築祭り〜Python/Reactなどなど〜 Visual Studio Codeの拡張機能であるDev Containersを使ってReactとかPythonとかSpring Bootとかの開発環境をラクチンで構築する方法を紹介するイベントです。 https://tech-lab.connpass.com/event/311864/ curl コマンドとはcurl コマンドは、様々な通信プロトコルでデータの送受信を行うことができるコマンドです。 よく使われ
目標 ・Nginxを利用してリバースプロキシサーバを構築する ・Nginxのキャッシュ機能を有効化させる 前提 ・構築済みのAWS EC2サーバがあること(AWS EC2を利用することは必須ではございません) ・基本的なLINUXコマンド操作が出来ること ・WEBサーバの基礎知識があること 利用環境 ハードウェア : AWS EC2サーバ 1台 OS(AMI) : Amazon Linux 2 AMI (HVM), SSD Volume Type ミドルウェア : Apache/2.4.43、nginx/1.12.2 完成フロー ①クライアントユーザがWEBアクセスする。 ②リバースプロキシサーバ(80番ポート)がキャッシュ情報を所持していれば、 キャッシュ情報をレスポンスとして返し通信終了 -------------------------------------------------
なんやらかんやら指摘していますが非常に浅い領域の話なので熟練者はスルーしてください はじめに 個人的にLAMP環境でImageMagickを使った開発が多いのだが資料が少ない&古い。 毎回LAMPのセットアップでコケる要因がこのimagickとImageMagickの導入である。 仮想環境も含め数十回は実行したこの導入作業、いい加減アーカイブしておこうと思った次第。 (スナップショット取っとけと言う話はさておいて) まずImagickとImageMagickの違いから。 Imagickとは phpマニュアルによるとImagickとは Imagick は、ImageMagick API を使用して画像の作成や修正を行う ネイティブ PHP 拡張モジュールです。 見ての通りImageMagickが無いとImagickは使用出来ない。 カレーとカレーパンぐらい違う話であり、php開発者なら言わず
こんにちは。札幌のウェブマーケティング企業「株式会社アクセスジャパン」のマーケティングマネージャーをしております、上級ウェブ解析士の熊谷です。 今回初めての記事投稿になりますので、簡単に自己紹介いたしますと、現在は「プロテインマイスター 熊谷」として活動し、プロテイン関連のD2C立ち上げに挑戦中です。今後D2Cの立ち上げや運用で得られた知見なども、この場で共有できたらと考えておりますので、どうぞよろしくお願いいたします。 今回は株式会社ファーストネットジャパンの「EasyMail(イージーメール)」という無料で使えるメールフォームCMSが便利でしたので、ウェブ制作に携わるウェブ解析士の皆さまにもお役に立てると思い、ご紹介いたします。 EasyMailとは EasyMailメイン画面 EasyMailは、サーバーにインストールして、WordPressのような管理画面で設定し、メールフォームを
当サーバ(CentOS7)のTLS1.3対応を実施した(CentOS7のTLS1.3対応とApacheへの適用)際には、OpenSSLのバージョンは、1.1.1uにしましたが、Apacheは、過去にアップデートした(CentOS7のApache最新版アップデート)バージョン2.4.46のままだったので、それぞれを最新安定版にアップデートしました。 ◆最新安定バージョン OpenSSLは、2023.8.1にバージョン1.1.1vもリリースされているが、サポート期間が2023.9.11までとなっているので、最新のバージョン3.1へとアップデートします。 Apache:2.4.46 ⇒ 2.4.57 OpenSSL:1.1.1u ⇒ 3.1.2 手順については、上手くいかなかったりした部分もあったが、その点については、反映しているので以降の順に進めればアップデートされます。 ※実施については、自
はじめに FTPのSSL/TLS方式 FTPでSSL/TLSを利用する方法には大きく2種類あり、vsftpdとしては、どちらとも利用可能なため、接続するFTPクライアントによって使い分けることが良いと思われる。 ※ ftpをTLSで暗号化するプロトコルは下記2種類どちらともftpsと呼ばれ、SSHでファイル転送を行うsftpとは異なる。 explicit(明示的な)方式 平文のFTPのポート(TCP/21)で接続、平文でコネクションを張った後、FTPのAUTHメソッドでTLSへ移行する方法。いわゆるSTARTTLS方式。 httpで例えれば、平文のHTTPのポート(TCP/80)で接続し、GETやPOST等のメソッドを呼ぶ前にTLSへ移行するためのメソッドを呼び、暗号化通信を開始した後にGET等のリクエストを開始するようなイメージ。 vsftpdでのSSL/TLS通信のデフォルトで、RFC
概要 SSL/TLSでは ルート証明書 (root certificate) 中間証明書 (intermediate certificate) サーバ証明書 (primary certificate) など色々なファイルや用語があり、混乱しやすいのでまとめます。 認証局(CA)について ルートCA 認証局です。 この認証局が発行するルート証明書は自身が署名します。 いわゆるオレオレ証明書になります。 一般的には社会的に信用された企業がルート認証局となります。 ブラウザなどTLSのクライアントサイドは一般的なルート証明書をデフォルトで持っています。 中間CA ルート認証局に認められた認証局です。 中間CAがあることで運用上の手続きがスムーズになったり、問題が起きた時のrevokeがしやすいといったセキュリティ的なメリットなどがあります。 詳しくは以下のサイトで説明されてます。 中間証明書の必
EC2+ALB+ACMとApacheでセキュアな名前ベースのバーチャルホスト環境を作ってみた | DevelopersIO
AWSでApacheを動かし名前ベースのバーチャルホストを設定したい……そんな時、必要になる設定に関してをまとめてみました。やる事は若干多いですが、それぞれの作業はシンプルなので心を鎮めてこのブログを読んで作業を整理してみて下さい。 普段は、ご挨拶したい内容にマッチしたいらすとやのイラストを探す事が多いのですが、今回は逆に気になったいらすとやのイラストを紹介したいと思います。 ▲ わざわざ紙のティンパニを用意するって、愛おしいですよね こんにちは、AWS事業本部のShirotaです。こういう斬新な演奏方法に憧れを抱いています。推し銀河が 宇宙一低い音を出している と言われているので、いつかこういうものに取り込んでもらいたいな……という淡い野望も抱いています。 推し銀河については、話し出すと長くなるのでここでは割愛させて頂きます。 EC2でもバーチャルホスト環境が欲しい Apacheのバーチ
自分用に雑に解く際の手法とかをまとめました。 文字数の都合上、WindowsのPrivilegeEscalationと調査の方針は以下に載せなおしました。 kakyouim.hatenablog.com 2020 3/4追記 Privilege Escalationをまとめた記事を新しく作成したので、ここに書いていたLinux PEは以下を参照してください。 kakyouim.hatenablog.com ネットワークの調査 IPアドレスの調査 脆弱性スキャン 脆弱性の調査 Webサービスの調査 手動で調査 ディレクトリブルートフォース その他 tomcatの調査 axis2の調査 スキャナを用いた調査 その他のサービスの調査 sshの調査 RDPの調査 変なポートの調査 snmp(udp161)の調査 telnet(23)の調査 domain(53)の調査 smtp(25)の調査 pop
この記事は マイナビ Advent Calendar 2020 の7日目の記事です。 Kali LinuxをAWS環境で建てて、脆弱性診断やセキュリティの勉強をしたい人向けに僕が実際に建てたハッキングラボ環境を簡単に紹介しようと思います。 準備するもの Kali LinuxとテストAttackできる脆弱なサーバを置いてもいいAWSアカウント この環境用のVPCを作成 脆弱なサーバ用のセキュアなサブネット(KaliからHTTP/HTTPSができればOK) Kali Linux用のパブリックサブネット 少量のお金(推奨構成にする場合無料枠の利用ではなくなるので) VPCの作成 そんなに難しいことではないので今回は詳しい説明は省いちゃいます。 VPCの作成やその他NW設定系が初めての方は以下を参考に作るといいかと思います。 dev.classmethod.jp ザックリ以下のようなことができれば
使う機能 ALBのリスナールール機能です。ALBは配下のターゲットリソースにリクエストをルーティングする際に、いろいろな分岐条件を書くことができます。 2020/07/07時点で利用できる条件は以下です。 ホストヘッダ パス HTTPヘッダ HTTPリクエストメソッド 文字列のクエリ 送信元IP ルーティング先としては以下が選択できます。 ターゲットグループ さらに、重み付けにより複数ターゲットグループに一定割合毎にリクエストを振り分けることもできます。 [激アツアップデート]ALBだけでカナリアリリース(重み付け)ができるようになりました! リダイレクト 固定レスポンス レスポンスコード、Content-Type、レスポンス本文を指定できます。簡単なエラーページならここで実装してしまうのもアリかと思います。 この条件とルーティング先を組み合わせることで、○○という条件が真のときはXXにル
◆最新安定バージョン OpenSSLの最新バージョンは2024.1.30にリリースされています。 前回アップデート「CentOS7のApacheとOpenSSLのアップデート」した3.1シリーズも3.1.5がありますが、サポート期間が2025.3.14までであり、より期間が2025.11.23までと長い3.2.1にアップデートします。 Apache:2.4.57 ⇒ 2.4.58 OpenSSL:3.1.2 ⇒ 3.2.1 ※環境によって、影響を受ける可能性のあるアプリケーションやサービスがあるため、実施に当たっては互換性等を確認の上、自己責任でお願いします。 ◆OpenSSLのバージョンアップ ・OpenSSLの最新バージョンのダウンロードとインストール 最新バージョンを確認し、ダウンロードとインストールを実施します。 # wget https://www.openssl.org/sou
Amazon CloudFront で同一オブジェクト同時リクエスト時の Request Collapsing について確認してみました | DevelopersIO
Amazon CloudFront で同一オブジェクト同時リクエスト時の Request Collapsing について確認してみました いわさです。 高速な Web サイトを構築する際にやはり CloudFront は欠かせないですよね。 エッジにキャッシュが存在している際に、キャッシュヒットする条件であればエッジがそのままレスポンスしてくれるので、オリジンの負荷を大幅に下げることが出来ます。 ところで、キャッシュが期限切れでエッジに存在してない状態で瞬間的に大量のリクエスト (100 とか 1000 とか) が送信されたとき、どうなるかご存知でしょうか。 全てのリクエストがキャッシュなしと判断されオリジンに送信されるのでしょうか。 答えは「キャッシュがない状態で短期間にリクエストが集中しても、オリジンへのリクエストは 1 回」です。 これは、CloudFront の機能の reques
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Docker Desktopの代替方法 - Windows and Mac編
ローカル開発環境にSSLを設定できるmkcertがめちゃくちゃ便利だった
Docker環境でのログ確認がめんどくさいのでkibanaでみれるようにしてみた - Qiita
何もしなくても運が悪いとApacheは落ちる - Qiita
社内のZabbixを4.0系から6.0系にアップグレードした - 仮想化通信
Apache HTTP Serverのgraceful stop/restartを理解する
The HTTP crash course nobody asked for
1993年に提案されたCGIを「デプロイ」 Perlとjqを使用したそれぞれのデモ
さくらのVPSに手軽にセキュアで高速なMovable Type用サーバをAnsibleで自動で構築する方法|Blog|株式会社COLSIS(コルシス)
攻撃グループLazarusがネットワーク侵入後に使用するマルウェア - JPCERT/CC Eyes
ホスト名で許される文字って何なんだっけという話 - suu-g's diary
Apacheが最新版(2.4.41)かどうかを確認する方法
ALB、NLBロードバランサーの特徴比較 | Oji-Cloud
サポート終了迫る!CentOS7 を AlmaLinux8 へ移行してみた - Wiz テックブログ
ApacheのTLS設定を2020年向けに更新する|TechRacho by BPS株式会社
「Apache HTTP Server」にセキュリティアップデート ~2件の脆弱性を修正/「Apache 2.4.56」への更新を
知っておくとちょっと便利!curl コマンドの使い方をご紹介 | SIOS Tech. Lab
【Nginx】リバースプロキシサーバ構築 - Qiita
imagickを使うためにImageMagickの最新版をインストールする話 - Qiita
無料で使えるメールフォームCMS「EasyMail(イージーメール)」が便利! | ウェブ解析士ナレッジ
CentOS7のApacheとOpenSSLのアップデート
【vsftpd】FTPをSSL/TLSで暗号化する設定 - Qiita
SSL/TLS周りで必要な知識 - Carpe Diem
vulnhub調査メモ - 高林の雑記ブログ
AWS環境にKali Linuxを建てて遊ぶ方法 - chikoblog
ALBリスナールールを使って特定パス以下のアクセスを許可IPからのみに制限する | DevelopersIO
CentOS7のApacheとOpenSSL最新版アップデート