セキュリティ

Linux

TLS1.3正式対応!OpenSSL 1.1.1 (LTS) インストールメモ

2018年9月11日、OpenSSL1.1.1 がリリース されました。このバージョンは LTS(長期サポート)バージョンのため、少なくとも5年間はサポートされるそうです。また、なんといっても OpenSSL1.1.1 の注目は先月発行された RFC8446(TLS1.3の標準仕...
2019.02.06
クラウド

Apache での TLS1.0 と TLS1.1 の無効化と確認方法メモ

Yahoo! Japan が、2018年6月1日から TLS1.0 と TLS1.1 のサポートを順次終了して TLS1.2 のみのサポートに切り替えています。ここ数年、各社ウェブサービスでも TLS1.0 と TLS1.1 を無効化する動きもあり、今後 SSL/TLS のプロト...
2019.02.05
Linux

OpenSCAP(脆弱性スキャン)のインストールと使い方メモ

OpenSCAP(オープンエスキャップ)は、システムの脆弱性や問題のある設定をチェックしてくれるオープンソースのツールです。アメリカ国立標準技術研究所(NIST)が維持管理している SCAP 1.2(情報セキュリティ対策の自動化と標準化を実現する技術仕様)の認定を取得しています。...
その他

macOS High Sierra の root(ルート)ユーザーにパスワードを設定する方法

macOS High Sierra 10.13.1 に root(ルート)ユーザーでパスワード無しでログインできるとんでもない不具合が発見されました。手元の macOS 10.13.1 で実際にためしてみたら、しっかり root パスワード無しでログインできます(^^;) とりあ...
2017.12.01
Linux

5分でわかる!プライベート認証局(CA)の構築とサーバー証明書の発行方法

プライベート認証局(「プライベートCA」や「オレオレ認証局」とも呼ばれます)は、会社など限られた組織内でのみ運用する認証局です。WEBブラウザにプライベート認証局のルート証明書をインストールする手間がありますが、自由に証明書を発行できるというメリットがあります。そこで今回は、Ce...
2017.11.09
クラウド

Google App Engine 無料の自動更新 SSL 証明書の設定メモ

2017年9月14日 Google App Engine(GAE)にマネージドSSL証明書(β版)という仕組みが導入されました。この仕組みにより、GAE にカスタムドメイン(独自ドメインとも言います)を設定すると、無料の SSL証明書(Let's Encrypt)を GAE が自...
2017.09.17
Linux

安全な SSL/TLS 設定にするための10のポイント(Apache httpd 2.4)

Apache httpd をパッケージやソースからインストールしたときに配置される初期状態の SSL/TLS 設定ファイルでは、古いブラウザも含め幅広いクライアントに対応できるように SSL/TLS の設定をしてくれています。しかし、ここ近年 SSL/TLS に対する攻撃手法が多...
2018.12.30
Linux

Apache 2.4 の DoS攻撃対策 mod_dosdetector 設定メモ

mod_dosdetector は、DoS攻撃を検出することができる Apache httpd のモジュールです。mod_dosdetector で検出したDoS攻撃のアクセスを mod_rewrite でエラーページなどにリダイレクトさせることで、DoS攻撃対策をすることもでき...
クラウド

Chrome「保護されていない通信」と Firefox「鍵マークの赤斜線」はなにが危険なのか?

2017年1月下旬にアップデートされた「Google Chrome 56(グーグル クローム)」と「Mozilla Firefox 51(モジラ ファイアフォックス)」から、安全な通信をできないWEBサイトのページにパスワードの入力フォームがあると、Chrome はアドレスバーに...
クラウド

Amazon Inspector で CentOS7 の脆弱性診断をやってみた

Amazon Inspector は、EC2インタンスの脆弱性診断を簡単に行うことができる、自動化されたセキュリティ評価サービスです。使い方もいたってシンプルで、AWSエージェントをインストールして、診断対象のEC2をタグで指定するだけで、脆弱性診断ができてしまいます。そこで今回...
2017.01.08
クラウド

WordPress 認証画面を IPアドレスで制限する方法(Apache)

先日、IPAセキュリティセンターから「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」が公開されました。WordPress や MovableType など、CMS のセキュリティ対策ガイドラインとして活用できそうですね。このガイドラインの中で「CMS認証画面へ...
2017.04.27
クラウド

これだけはやっておこう!WordPress のセキュリティ対策3選

WordPress は多くのWEBサイトで使われているため、サイバー攻撃の標的とされる可能性が高いと言われています。これは WordPress に問題があるのでは無く、シェアが高いがゆえに攻撃を効率的に行えることが一つの理由です。そこで今回は、最低限これだけはやっておきたい Wo...
2019.02.06
Linux

コマンド1発!ssh-copy-id でSSH公開鍵を登録

ssh-copy-id コマンドは、クライアントPCで生成したSSH公開鍵を、SSH接続先のサーバーに、たった1行のコマンドで登録できるとても便利なツールです。このコマンドは1999年頃から存在しているようですが、つい最近まで私は ssh-copy-id コマンドを知りませんでし...
Linux

Ansible でSSHのセキュリティ設定

UNIX系のサーバーでは、クライアントのリモート通信に SSH を使うことが標準となっています。すなわち、公開サーバーで SSHサーバー(sshd) が動作していることは容易に推測できるため、攻撃の格好の的になることはどうしても避けられません。そこで今回は、 SSHのセキュリティ...
2016.08.04
Linux

Tripwire で Web公開用ディレクトリの変更をチェックする

Tripwireは、指定したファイルやディレクトリ等の変更を検知して、レポートに出力したり、管理者にメールで通知してくれるソフトウェアです。侵入者により、不正な改ざんが行われた事を検知することが Tripwire の目的であるため、ホスト型IDS(侵入検知システム)とも呼ばれてい...
2016.09.08
Linux

これだけはやっておこう Linuxサーバのセキュリティ対策5つ

ここ近年、WEBサービスへのサイバー攻撃による、個人情報などの情報漏洩事件が後を絶ちません。攻撃の多くは、アプリケーションやサーバの脆弱性を利用したものです。当然セキュリティ対策が必要になるのですが、対策方法は山のようにあり、どこから手をつけたらよいか迷ってしまいますね。そこで今...
2016.06.09
Linux

Apache を ATS(App Transport Security)に対応する方法

ATS(App Transport Security)は、iOS 9.0 や OS X 10.11以上で導入された、セキュリティ機能です。この機能により、アプリとWEBサービス間の接続のプライバシーと、データの整合性を向上させることができます。ATS が有効なアプリは HTTP ...
2016.03.26
Zabbix

Zabbix 3.0 通信の暗号化設定(RSA証明書ベースの暗号化)

Zabbix3.0 では、Zabbixモジュール間(Zabbixサーバー、Zabbixプロキシ、Zabbixエージェント)で行われる通信を暗号化できるようになりました。これまでは、インターネットを通じてサーバを監視する場合は、別途VPNやSSHトンネリングを使って、通信を暗号化す...
2016.02.28
クラウド

Gmail 非暗号化接続メールの警告表示をされないようにする方法

2016年2月9日、Google のメールサービス「Gmail」が、SSL/TLS暗号化に対応していないメールサーバと、メールを送受信した際に「開いた赤い錠」のアイコンを表示して、セキュリティ警告を表示するようなりました。自分が管理しているメールサーバで、この警告が表示されてしま...
2017.08.01
プログラム

入力チェックコードを PHP と JavaScript で共通化する方法

フォームに入力された値に行う、入力チェックは(バリデーションチェックとも言うらしいです)大きく分けて、JavaScript で行うクライアント側チェックと、PHP などで行うサーバ側チェックの2つがあります。当然両方で入力チェックを行うことが望ましいのですが、同じようなコードを、...
2016.03.21
Linux

Git リポジトリサーバの構築と、セキュリティを考慮したアカウント管理方法

Git はファイルの変更履歴を管理するための、バージョン管理システムです。ソフトウェア開発チームなど、複数の人で Git を使ってソースコードを共有するには、Git リモートリポジトリサーバが必要になります。リポジトリサーバのアカウントの管理は、「git」というユーザを作成し、こ...
2016.02.11