9年前この記事で書いてからこのサーバーは基本設計はあまり変えずにちょくちょくアップグレードしています。今回はその遍歴をご紹介します
最終的にはRYZEN(Matisse) に置き換えるまで書きます!!
この写真は2013年ごろの記録で、ML115 G5 から ML110 G7へ変更(NTT-Xで14,980円、2013年当時。今はこんな価格じゃ手に入りません)
続きを読むタグ: Server
Intel Bugってる
年末〜年始にかけて大変な騒ぎになっていますね
ついにYahooニュースとかにも取り上げられていました
Meltdown (security vulnerability) – WIkipedia
ESXi と QNAP で iSCSI
はじめましてASSYです。
毎日あついです。
こんなにあついと、チーズみたいにとけそうです。
あ、今夜はピザにしよう。
と言う訳で、ちょっと機会があったのでレポートをまとめたいと思います。
要件は
VMwareESXiとQNAPと呼ばれるストレージの連携に関してです。
利用環境
- ESXi Server : ML110 G7
- QNAP : TS-879 Pro
事前作業
- ESXi Server の install
- QNAPでのストレージプールの作成
ここ迄は終わっている想定です。
では行きましょう。
CVE-2013-2094 Linux カーネルに権限昇格の脆弱性
Linux Kernelの久しぶりに深刻なバグです
perfが組み込まれている時にローカルユーザーから権限昇格が可能です
既に対策済みのKernelが配布されていますので早めのアップデートをオススメします
下記はCentOS 6.4 kernel-2.6.32-358.6.1.el6.x86_64にて実証コードを実行した場合です
モバイル/クラウドの時代だからってサーバーのSSHとか全開の奴ちょっとこい
Kotaです。久しぶりにちょっと技術系の事かけよ!!と怒られたので、ちょっと挑戦的なタイトルで書いてみました、が実際そういうシステム、多いんじゃないでしょうか。
セキュリティと利便性は相反するなんて良く言われますが、そこを素晴らしい方法でなんとかしたのがSSLとかSSHとかVPNだと思うのです
安全を確保する事によって逆に便利になる事って多いんじゃないでしょうか?
- モバイルデバイス主流なこんな時代、どんな場所でもメンテナンスせざるを得ないので、特定のIPからのみ接続を許す、、なんてことはできない
- 自宅は固定IPじゃない
- VPNの構築は面倒だし会社のルーターがPPTP/GREやL2TP/IPSecをパススルーしてくれない
結果こうなりがちです
- 現実的に無理だからセキュリティ対策せず全部通す←おい
- もちろん監査なんかしていないしヤバいだろうから考えたくないしたくない
- 心配しないでもSSHは大丈夫だよww -> CVE-2008-0166とかCVE-2008-5161とか
それか
- そもそも会社からしかアクセスできないようにする、自宅禁止、トラブルあったら深夜でも会社こい
- 禁止だから打合せしてたら社内の人間に電話で指示しろ
- そもそもSSHポートなんて空いてたらいくら公開鍵認証でもセキュリティ監査通らないよ、、
あるある、、
あーそいやポートノッキングというのがありまして、200個くらいのポートに順番にアクセスしていくと本当にアクセスしたい接続先のポートが空くのです。(これには批判あり)iPhone用のポートノッキングAppもあるのですがそもそもこれ面倒だしサーバーにも手をいれないとダメだしRFCにされそうにないしというか安くても(バッファローとかはだめだけど)VPN機器とか踏み台借りるなりしたほうがいいんじゃないでしょうか
前置きが長くなりましたが弊社でよく使うiptablesの設定をノウハウの一部を晒します。
iptablesのCHAINとか、SYN,ACK,FIN,RSTで細かく制御とか、調整の難しいlimit-burstは使いません。極めて単純な構造です。
名ずけて IMAPS before SSH!!