以下省略!

タイダルウ(ry ほぼ毎日1記事執筆運動実施中。 ※記事に広告(アフィリエイト)リンクを掲載している場合があります。

セキュリティ

ゴッゴルがパスキーに対応したというので

Googleでパスキーに対応したのでiPhone(iCloudキーチェーン)とPC(Windows Hello)に設定してみたよの図。パスワード認証などが必要な場面でパスキー認証を行えるようになる。もちろんこれまでのパスワード認証も可能。Androidは自動生成されてGoogleアカウン…

昨日の18時からポート変えるまでSSHに対してものすごくアタックされていた件

VPSのSSHに対して、昨日の18:33より先程までログイン試行が多数発生していた件。fail2banやレートリミット対策なのかIPをローテーションしつつアタックする手法が使われていた。保守作業でたまたま気づいてすぐにIPレベルでの拒絶を行っていたが、拒絶して数…

いやぁlog4j2祭りってますなぁ

(記事画像は適当) Javaのライブラリ log4j2にかなりヤバい脆弱性が公表されて以降、VPSのhttpサーバーには攻撃試行・probe(脆弱性検出)目的のアクセスがそこそこ来ている。ログファイルを特徴的な文字列で検索すると出てくるが、まぁHost未指定のアクセスは…

ほぼ永久denyといったな、それはある意味嘘だ

VPSにおいて、SSHブルートフォース等を繰り返す輩は精神衛生上ほぼ永久的にdenyの刑に処しているが、フィルタ記録を見た上で解除することもあるよ、というアレ。定期的にiptablesの状態を確認し、前回フィルタ更新( or サーバー再起動)以降のブロック記録が…

不審アクセスしているかもしれないIPランキングを出してdenyしようかどうか

HTTPサーバーに飛んでくる不審なアクセスを精神衛生上パケットレベルで弾こうかなぁ、とawk '{print $1}' /var/log/nginx/access.log.1 | sort | uniq -c | sort -rでランキング化して上位をdenyしてしまおうか考えている回。今のところ45.146.165.***が1位…

AbuseIPDBに投稿して意味あるのかどうか

インターネットにサーバーを公開していると必ず飛んでくる、ポートスキャンや脆弱性探知。最近、アクセスログを確認し不審なアクセスを行ったIPはごく一部ながらAbuseIPDBに投稿していたりするが、果たして意味があるかどうか。大抵の不審なIPは既存の投稿が…

ブルートフォース繰り返す輩はこうじゃ

VPSにおいて、ufw limitでSSHブルートフォースをする輩は自動的に一定時間拒絶が掛かるようにしているが、日を改めて再度ご来店される方もいらっしゃるようで、こういうやつは精神衛生上ほぼ永久denyの刑に処するしかない。ということで当該IP 79.104.**.***…

Windows環境でマイナンバーカードを使ってSSH公開鍵認証する(コマンドライン)

マイナンバーカードにはRSAの鍵が入っている。これを利用して、SSH公開鍵認証をしてみた。 「ssh マイナンバー」でググってもLinuxかmacOSの情報しか無かったので、Windows 10(20H2)でやってみる。手順はLinux/macOSとほぼ同じだが……。 前提・準備 マイナン…

なんで楽天は2FAとか導入しないんだろう……

度々思うのが、「なぜ楽天は二要素認証の類を頑なに導入しようとしないのか」なんだよな。実際、楽天モバイルでiPhoneの不正購入が行われているわけだが。アプリ周りの認証処理がめんどくさくなるのか、下手に認証周りを弄って不具合等が出てしまったら困る…

変えたSSHポート発見してブルートフォースしている輩がいますね……

以前にVPSのSSHポートを変えたことを書いたが、新SSHポートもどうやらアタッカーにわかってしまったようでログイン試行が少しずつ出てくるようになってきた。lastbコマンドでログイン試行履歴を見るとadmin~zimeipまで一通り試してみているお方(37.59.**.**…

PCにも指紋認証です

注文していた指紋認証デバイスが届いた。PCに刺したところSynapticsのドライバがインストールされた(センサーの製造元がそうなのかも)。Windows Helloの設定を行い、指紋認証でログインできることを確認。FIDO U2Fセキュリティキーとしての動作も確認したが…

定期的にSSHポート変えるのはアリでしょうかね

VPSのSSH(デフォルトポートの22ではない)に対するログイン試行がそこそこ多かったので、先日SSHのポートを変えたのは秘密。 lastbコマンドでログイン試行履歴を見るとこんな感じであった(IPアドレスは一部伏せてある)。実際にはまだあるかもしれないが。 $ s…

rootユーザー以外でコンソールアクセスできる手段作っておきましょうね

AWSはrootユーザー(Amazon.comアカウント)でログインしていたが、セキュリティ的にもどうかなと思い、今更IAMでコンソール用のユーザーを作ったのは秘密。専用URLからログインする形になる。権限は絞ったほうがいいが、設定可能な権限が多くて大変なのでとり…

順次変えていったほうがいいかなぁって

いろいろとセキュリティが騒がれているので、パスワードの変更を順次進めているのは秘密。なに、使い回しやそれに近いパスワードを自動生成させたものに置き換えるだけだ。一応ブラウザやパスワードマネージャーの自動生成機能を使っているが……。昔は「パス…

#7Pay (7iD)のセキュリティの甘さがもう役満級でしょ

ニュースでもいろいろ取り上げられているが、7Payが不正利用&チャージされた事象、セキュリティの甘さ的に役満級なのでは説。以下は把握している、セキュリティ的にアカンと思われる内容のまとめ的なの。 他のPayでは当たり前なSMS認証がない 支払い画面で…

載らない記事、不明な保持期間

先日書いた、(もう書いてしまうけど)アンとケイト 個人情報流出の件、77万人というそこそこの人数なのに有名なインターネットニュースサイトに記事が載らないの、おかしくないですかね?話題になっていないから?それとも明日にならないと出てこない系? そ…

退会したはずのサービスから個人情報お漏らしとは

昨日の夜、Twitterでは書いたがとあるサービスから「個人情報流出した」というメ―ルが。このサービスは数年前に退会して退会完了メールも受け取っているのだが、メールを送ってくるということはまだ情報保持していたのか。漏れた情報の中にパスワードももち…

ACMのドメイン認証をDNSに切り替えた

AWSから「ACMで取得したrita.xyzの証明書、このままだと自動更新されないよ、DNSでの認証に切り替えるか、ドメイン管理者宛に送ったメール確認してね」というメールが来ていたのでDNSでの認証に切り替えて再発行したのは秘密。メールによる認証で発行された…

Let's Encryptの設定をふっ飛ばしてしまった

(今更)cronでLet's Encryptの証明書自動更新を設定しようと/usr/local/binにcertbotを導入したのだが、最初PPAでcertbotを導入してみるもバージョンが古いからか警告が出てくる。ので直接certbot-autoをダウンロードして使おうとapt purge certbotしたところ…

Cloudflare DNSをStubby経由DNS over TLSで使うようにした

Ubuntu機の設定を変更し、Cloudflare DNSをStubbyというDNSサーバーソフトを経由しDNS over TLSで使うように設定したのは秘密。Stubbyにはキャッシュ機構がないのでdnsmasqを介してキャッシュさせるようにしている。詳細な設定については後日書くと思う。

パスワード流出チェックもできるようになってたようで

ID/PW等の流出チェッカー Have I Been Pwnedが2017年あたりからパスワード入力での流出チェックもできるようになっていた件。何故今更気付いたかというと今日流出通知メールが来たから。様々なサイトから漏れたメールアドレス/パスワードが纏められてアップ…

AndroidのDNS over HTTPSクライアント 1. 1. 1. 1とIntraを使ってみたのは秘密

先日Androidで動作するDNS over HTTPSのクライアントである、1.1.1.1とIntraを使ってみたのは秘密。前者は以前紹介したCloudflareの1.1.1.1の公式アプリで、後者はGoogle(Alphabet)のグループ会社 Jigsawが作ったアプリ。使用開始までのフローは両者とも同じ…

なんとなくrita. xyzにCAAレコードを設定してみた

なんとなく、rita.xyzに対し、証明書の誤発行を防ぐために発行可能な認証局を制御するDNSレコード CAAをセットしてみたのは秘密。設定すべきCAAレコードを生成してくれるサイトがあるのでそれを使ってAmazonとLet's Encryptのみ許可する設定にした。Amazonは…

rita. linkなどをTLS 1.3に対応させました

先日公開されたChrome 70よりTLS1.3(最終仕様版)に正式対応したため、2018/10/22にrita.link/ownCloudを収容するサーバーのnginxをTLS 1.3に対応させたのは秘密です。ただ単にOpenSSL 1.1.1を使ってnginxをビルドしなおして設定変えただけ。どうでもいいけど…

rita. linkなどのTLS 1.3対応はブラウザのstable版で対応されたらですかね

rita.linkやownCloudのあるサーバーのTLS1.3対応だが、ChromeやFirefoxの正式版(stable版)にて最終仕様に対応次第更新予定。というかサーバーOS上げたほうがいいかな……あとownCloudクライアント自体はTLS1.3対応するのかなぁ。どうでもいい話だけど。

TLS1.3導入してみようとしたがうまくできない件 ※追記 もしかして:最終仕様に対応していない

OpenSSL 1.1.1の正式版が先日リリースされたので、それを使いnginxをビルドし、(ほぼ何もない)rita-ch.comにTLS1.3を導入してみようとしたが設定でTLSv1.3を有効化しても有効にならない(Chromeではchrome://flagsでTLS 1.3を有効化している)。設定的には間違…

TLS1.3導入してみようかなぁw

TLS1.3の仕様書であるRFC8446が公布されたのでTLS1.3を導入してみたいと思っているが、TLS1.3に対応するOpenSSL 1.1.1はまだプレリリース段階。正式リリースになったら導入してもいいかもしれない。まずは(ほぼ何もない)rita-ch.comに導入してみる予定(サー…

一人で暗号化メール送り合い()

先日の記事の続きみたいなの。新しくメールアドレスとOpenPGP鍵を作成し、OpenKeychainとK-9 Mailの連携でPC側と暗号化メールを送り合うテストをしてみたのは秘密。PC側のSylpheedは暗号化メール・署名メールに対応しているので正常に読み書きできた。K-9 Ma…

スマフォでもPGP鍵を管理しよう的な

OpenKeychainというのを入れてみたのは秘密。PGP鍵を管理したり、暗号化・復号とかできたりする。公開鍵のインポートは鍵サーバー等の他、Keybaseからもインポート可能。K-9 Mailとの連携で暗号化メールの作成もできたりする。後で実験してみますかね…新たに…

BT/NFC対応なFIDO U2Fセキュリティキー買おうかなぁとか思っていたり

今使っているFIDO U2F準拠セキュリティキーは安物のアレなので耐久性を考えればもう1つ買ってもいいのではと思っていたり。今使っているキーは挿入角度によっては認識しないことがあるし。今の所USB/Bluetooth/NFC対応なやつを検討していたりする。Bluetooth…