時々必要になってその度にググってるんだけど自分用にまとめメモ 追記2015-10-15: 最強の多段SSH設定 も出来たので合わせて読んでみてください。 ケース1 サーバ構成 よくある↓こんな構成を想定 [MyPC] | _人人人人人人人人_ > インターネット <  ̄Y^Y^Y^Y^Y^Y^Y^ ̄ | |(EIP:54.178.xxx.yyy) ┌─ [projectX-bastion] ─┐ │ _人 人_ ├ [projectX-web1] (10.123.1.80) > VPC < └ [projectX-web2] (10.123.2.80)  ̄Y^ Y^ ̄ 接続情報 こんな情報が与えられて、どのサーバも authorized_keys とかを勝手に修正しちゃいけないとする。 projectX-bastion ユーザ: bastion 秘密鍵: projectX-bastion.
追記:openssh-7.3 以降なら ProxyJump や -J が使えます ホスト名を + で繋げることで多段Proxy接続も簡単に、がコンセプトだった本エントリの設定ですが、OpenSSH 7.3 から ProxyJump という設定が使えるようになったので、使えるなら ProxyJump を使う方が健全だし柔軟で使い勝手も良いのでそちらを覚えて帰ることをオススメします。 使い方は簡単で以下のような感じです。多段も行けるし、踏み台ホスト毎にユーザ名やポート番号を変えることも出来ます。 # 1. bastion.example.jp -> internal.example.jp ssh -J bastion.example.jp internal.example.jp # 2. bastion.example.jp -> internal.example.jp -> super-de
デスクトップアプリケーションに比べるとWebアプリケーションの導入は面倒だが、DockerやVagrantの登場によって敷居が低くなっている。誰かがDockerHubへ使いやすいイメージを公開してくれたり、Webアプリの開発元がDockerfileを公式に提供しているケースが増えてきているためだ。 この記事では、筆者が実際に使用したことのあるWebアプリの一覧と、docker-composeの設定ファイル(またはDockerfile)をまとめる。既にDocker環境が整備されている状態であれば、YAMLファイルやDockerfileをコピペしてdocker-compose up -dするだけで自動的にWebアプリケーションが起動する。(もし動かなかったらスミマセン) セキュリティとかは考えていないので、LAN内のみでの使用を想定 記載の設定では、永続化データはDockerが動作しているマシ
2015-07-22 OpenSSHのバグにより攻撃者が短時間で数千のPW推測を可能に。ネットに公開されたsshアカウントのブルートフォースが可能に。通常はOpenSSHは3から6回のログイン試行しかできない。攻撃方法の詳細有り。公開鍵暗号鍵の利用が推奨http://t.co/yzmMfdYHWx — 高梨陣平 (@jingbay) 2015, 7月 21 パスワードの総当りアタックが大変捗ります、という攻撃手法が見つかってしまったようです。 念のためこの攻撃が成功するか確認してみました。上記サイトにも書いてあるんですが、この攻撃が成功する前提として、 keyboard-interactive authentication が許可されてないとダメというのがあります。 具体的には /etc/ssh/sshd_config に PasswordAuthentication yes Challe
さくらのクラウドでは、既存のサーバから同じ仕様のサーバを複製できるクローン機能や、同じ内容のディスクを複製するコピー機能が簡単に利用できます。今回は、急激にサーバへのアクセスが増加しサーバを追加するケースを例に、「ロードバランサ」アプライアンスと「クローン機能」を組み合わせたスケールアウトの手順を解説します。 1. 今回の構成 今回は、初期状態として以下の構成を想定します。 「スイッチ+ルータ」を作成し、その配下に1台のロードバランサと1台のウェブサーバが接続されています。 ※「スイッチ+ルータ」の作成やネットワーク構成の操作方法については、公式マニュアルやさくらのナレッジ「ルータ+スイッチを使ったネットワークを構築してみよう」が参考になります。 アクセスが閑散としている場合はこの構成で運用しますが、アクセスの増大により1台のウェブサーバでは捌ききれなくなった場合は平行してウェブサーバを追
編集長の佐藤(@akihirosato1975)です。 先週話題になったLogjam脆弱性ですが、SSL/TLS以外にもSSHやIPSecが影響を受けることが明らかになっているのに、SSL/TLS以外での対応について意外と情報がありません。 自分が探した範囲では、OpenSSHについて日本語で情報がまとまっているところがなかったので、とりあえず概略をまとめてみました。 基本的なところについては「On OpenSSH and Logjam」を参照してますが、もし不完全な所があればコメントで連絡ください。 サーバ側 基本的には以下の2手順を踏む。 /etc/ssh/moduli から、ビット長が2000bit以下のものをコメントアウトする。またはビット長を2048bit以上にして、同ファイルを新規に生成する。 /etc/ssh/sshd_config で、「KexAlgorithms」ディテク
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く