Google Authenticatorを利用したSSH踏み台サーバを構築する - Qiita
概要 IP制限が出来ない環境化におけるSSHの踏み台サーバ(Bastionサーバ)を構築します。 IP制限が出来ない分、セキュリティを強化する為に二要素認証でログイン出来るように設定します。 認証要素は以下の2つです。 公開鍵 google-authenticator が生成するワンタイムパスワード なお本記事ではAWS上での利用を想定しています。 主なユースケース リモートワークの際に外部ネットワークから企業が管理するAWSサーバにSSH接続を行う 構築環境 サーバ側のOSは Amazon Linux 2 を利用します。 クライアントのPCはMacで作業を行っている事とします。 構築手順 EC2インスタンスを作成する EC2インスタンスを作成します。 スペックは最低レベルで十分です。 インスタンスの作成手順は調べるとたくさん出てくるのでここでは割愛させて頂きます。 OSのアップデート s
1870件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成するsyzkallerのテスト自動化技術 - Qiita
はじめに この記事は Linux Advent Calendar 2019 の 23 日目の記事です。 自己紹介 こんにちは。OSSセキュリティ技術の会 の fujiihda です。これまで Linux カーネルを含む OSS に関連する技術調査、技術講演、開発、サポート等を経験してきました。最近では、技術コミュニティを設立する側や運営側に関わらせていただく機会も増えてきました。 本記事で扱うテーマ カーネルのテスト自動化技術として Google の Dmitry Vyukov さんが開発し OSS として公開した syzkaller (読み方:シスコーラー 1 ) というファジングツールについて解説します。2019 年 12 月時点では、内部実装まで踏み込んで調査した日本語の記事は本記事が初となるはずです。 なお、本記事の中身は OSSセキュリティ技術の会 第七回勉強会 の前半の内容 2
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
コンテナを「守る」仕組みから中身を理解しよう!!1; /how-to-be-a-container
@YAPC::Fukuoka 2017
明日使えない Linux の capabilities の話 - @nojima's blog
(この記事は KMC アドベントカレンダー 2016 の3日目の記事です) はじめに みなさん以下のようなことで困ったことはないでしょうか? ポート80を listen したいけど特権ポートなので、一般ユーザの権限で動くデーモンでは bind できない。 1024未満のポートは特権ポートと呼ばれ、一般ユーザの権限では bind することはできません。 この問題の解決策を考えてみます。 (なお、長々と説明を書いていますが、結論だけ知りたい人は一番下だけ読んで下さい) root で起動 まず、root であれば特権ポートを自由に bind できるので、root で対象デーモンを起動すれば、特権ポートを bind できます。 しかし、デーモンを root として動作させるのは一般にリスクが大きいです。 もしそのデーモンに脆弱性があった場合、root 権限を悪用される可能性があるわけです。 したが
mode 2 seccompの話 - yuzuharaの日記
この記事はカーネル/VM Advent Calendar 2013の記事です. カーネル/VM Advent Calendar 2013 - Qiita [キータ] 前書き にゃん↑ぱすー(挨拶). さて,今年はmode 2 seccompの話です. 今年のセキュリティキャンプ2013,セキュアなシステムを作ろう組システムソフトウェアゼミでも取り扱いました.この辺りの話は,ゼミの卒業生第一号であるきゃにーさんのブログを見ると雰囲気が伝わるかなと思います. seccamp2013卒業しました - 名前はまだ無い 彼女はC言語あんまり触ったことなく,準備期間でC言語の修行をおこない,1ヶ月と少しでプロセス分割とサンドボックス化まで出来るようになりました.頑張った! さてseccomp の話題に戻します.巷ではseccomp 2, seccomp mode 2などとも書かれて,どうも表記に幅があ
seccompをmrubyで試す - ローファイ日記
seccomp とは、Linuxでプロセスのシステムコールの発行を制限する機能のこと。今回試すものはseccomp mode 2と呼ばれる、Linux3.5から搭載されたもので、システムコール単位での制限、特定の条件を満たす引数のみの許可/制限を実現できる。 バックエンドではlibpcapなどでも利用しているBPF(Berkeley Packet Filter)を利用していて、JITなどで高速に動作するらしい。 以下のサイトなども参照のこと。 mmi.hatenablog.com yuzuhara.hatenablog.jp 今回、seccompを利用するためのCライブラリlibseccompを用いて、mruby-seccompを作成した。これを利用してシステムコールの発行制限を試す。 github.com 基本的な使い方 基本的には、Seccompのコンテクストを作って、ルールを記述し、
x86 Linux シェルコード作成 - k0u5uk3’s blog
2015-07-21 x86 Linux シェルコード作成 pwn シェルコードとは ソフトウェアの脆弱性攻撃のペイロードであり、バイトコードで記述されます。そのため、CPUやOSのバージョンといったプラットフォーム毎に作成されます。 シェルコードという名称は一般的にシェルを起動することが攻撃者にとって楽にマシン全体の制御を奪う方法であり多用されているからですが、実際のところシェルコードはどのような処理も記述することができます。 x86 Linux シェルコード作成の前提知識 アセンブリ言語 シェルコードのバイトコードは、マシン語命令のアーキテクチャによって異なるため、アセンブリ言語で記述することになります。 Linuxシステムコール OSはカーネル内で入力、出力、プロセス制御、ファイルアセクス、ネットワーク通信と行ったタスクを管理します。 C言語のプログラムは最終的に、こういったタスクを
見落としがちな整数関連の脆弱性(前編)
整数の脆弱性 2013 いまをさかのぼること6年前の2007年。情報セキュリティ関連のリサーチを行う米国の非営利団体、MITREが、ソフトウェアの脆弱性のトレンドに関する調査レポートを公表しました。調査は2006年の1年間に発見された脆弱性を対象に行われ、レポートには、その年の脆弱性の傾向とその分析結果がまとめられています。 さて、このレポートの概要には、整数オーバーフローについて書かれた次のような一節が見つかります。 整数オーバーフローは、過去数年の間、かろうじてトップ10入りする程度の脆弱性にすぎなかったが、(今回の調査では)OSベンダのセキュリティアドバイザリにおいて、バッファオーバーフローに次いで2番目に多い脆弱性であることが分かった。これは(OSのような)注目を集めるソフトウェアに研究者の興味が向かっていることを示唆しているのではないか この状況は、レポートの公表から6年が経過し
Linuxサーバーのアカウント管理について | おそらくはそれさえも平凡な日々
少人数でサービス開発をしていると、サーバーのアカウント管理を疎かにしてしまいがちです。良くないことだとわかっていながらも、共用ユーザーのログイン情報を数人で共有していたりだとか、rootばかり使っているなんてこともあるのではないでしょうか。 それだとオペレーターが増えたり、退職者がでたりした時に困ることになるので、最初からルールと仕組みを決めておいた方がトータルで楽になります。 前提 パスワードやログイン鍵の共用、ダメ!絶対! rootを常用するの(・A・)イクナイ!! パスワードやログイン鍵を共用していると、人数が増えた時に誰が作業しているのか把握するのが大変になりますし、退職者が出た時に一斉変更をせざるを得なくなって混乱してしまいます。逆に一部のスタッフを別扱いして権限を制限したユーザーをアドホックに作ったりしてしまうのも管理が煩雑になります。じゃあどうすればよいかというと、個人ごとに
SELinux memo(Japanese)
はじめに 先日CentOS 6.4 を入れてみたところ、インストールメニューからSELinux 有無の選択が消えていました。 ついに消滅したかと思ったのですが、強制的にOn になったんですね。 CentOS入れるときは何も考えずSELinux はdisabled で入れろと人に言ってたのですが、 そろそろやばくなってきたのでSELinux に絡んでみました。 さわり初めてまだ1ヶ月ほどではありますが、 わかったことをここで簡単に紹介します。 動作確認で用いた環境は仮想マシン上にセットアップしたCentOS 6.4(64bit版) で、カーネルはyum で更新した2.6.32-358.6.2.el6.x86_64 です。 SELinux のタイプはデフォルトのtargeted を対象としてます。 インストール時の選択によっては、 このページに記載しているプログラムがお手元のCentOS に入
PATH の扱い - Qiita
unix 系 OS では ${PATH} 環境変数を参照してコマンドの検索パスを指定する事ができます。 通常はログイン時にシステムデフォルトのコマンド検索パスが ${PATH} に自動で設定されていますが、ユーザ毎のシェルのログインファイル (${HOME}/.profile 等)で自分用のコマンド検索パスを追加設定する事が多いと思います。 ここで気をつけるべきは ${PATH} 中のヌルパス (::) はカレントディレクトリ (.) と同等に扱われてしまう事です。 例えば
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CVE-2019-5736 で知った /proc/self/exe の挙動
GitHub - tsgates/mbox: A lightweight sandbox tool for non-root users
Practical and effective sandboxing for non-root users - Taesoo Kim and Nickolai Zeldovich MIT CSAIL
SECCOMP as a Sandboxing solution ? - Just another geek
GitHub - netblue30/firejail: Linux namespaces and seccomp-bpf sandbox
GitHub - daveho/EasySandbox: really simple sandboxing of untrusted C programs using Linux SECCOMP
GitHub - subuser-security/subuser: Run programs on linux with selectively restricted permissions.
GitHub - jpetazzo/sekexe: Separate Kernel Execution: execute a process within user-mode-linux and retrieve its output and status code
