はてなブックマーク

はじめに サーバのID/Passwordをソースにべた書きして開発することは誰しもあるかと思います。しかし先日話題になっていた「AWSから120万円の高額請求が来た話」というQiitaエントリのように、public gitリポジトリにAWSのアクセス情報を置こうものならばあっという間に悪用されてしまいます。 そんな他人に知られると悪用されかねない情報は「他人が容易にアクセス可能な場所に置かないこと」が鉄則なのですが、心掛けだけではどうやってもヒューマンエラーを避けることができません。そこで本エントリでは、そういったヒューマンエラーが起きた際の水際防止策として「gitリポジトリへのアクセス情報(ID/Passwordなど)の含まれたファイルのコミット」を機械的にリジェクトするgit-secretsの使い方を簡単に紹介します。1 Q: git-secretsは何ができる？ A: gitのcom

はじめに 先日、「git-secretsはじめました」というエントリを公開しました。git-secretsは、APIキーなど秘密情報を含んだファイルがgitリポジトリへ誤ってcommitされないようにするためのツールです。一方で、非常に名前が似通った git-secret (sなし) というものが存在します。このgit-secret (sなし) は、git-secrets (sあり) 1 とは全く別のアプローチ、すなわちgitリポジトリに安全に秘密情報をアップロードしちゃおうという思想で開発が進められているbashツールです。本エントリではこの git-secret をざっくり紹介します。 Q: git-secretは何ができる？ A: 指定ファイルを暗号化、許可した人のみが復号できるようにすることで、公開gitリポジトリを通じて秘密情報を共有できます。 そのためにgit-secretがや

はじめに docker、便利ですよね。使ってますか？わたしは今まで、dockerを使っていくつかのサーバを構築してきています。mastodon、wordpress、他、仕事に使うgitbucketやらredmineやらのwebアプリを始めとしたあれこれ。立ち上げるのも潰すのもデータバックアップからサーバ移行も、設定次第でらくらくです。 ufw、便利ですよね。使ってますか？外部公開するサーバで必要なファイアウォールの設定、ちまちまとiptablesをいじるのは辛すぎですよね。http, https, sshだけ受け止められればあとは全部よしなにdenyしてほしい。そんな思いをufwは簡単に叶えてくれます。(こんな感じ) この記事では、そんな便利なdockerとufwの設定が完全に独立だったせいで発生した、セキュリティ的に嫌な事象の紹介と、その解決策を紹介します。 ヤバい設定条件 まず、ufw