セキュリティ上問題があるIPアドレスのデータベース
不正アクセスを行ったり、ブルートフォースアタックに使われたIPアドレスをデータベース化しているサービスは色々あるんですが、その中の一つにabuseIPDBと言うのがあります。
IPアドレスを検索キーに入れることで、そのIPアドレスに不正アクセスの申告が行われているかどうかを確認することが出来ます。
防御
[Security][Linux] 脆弱性診断なるものをやってみる
かる~くお試しの気持ちで
Nessusという脆弱性診断ツールを使って、インターネットへの接続ポイント周りの脆弱性診断を行ってみました。セキュリティ周りはそれなりに固めてるつもりですが、「WAFやファイアウォール入れてるから全面的に大丈夫だぜへヘーン」と言う自信があるわけでもなく、まぁ裏付け確認という意味合いが正しいですかね。
「20171024][Mastodon] IPv6しか繋がらない、そんなインスタンスを作ってみる
はじめに
これまで、インスタンスづくりは外部のサイトを見様見真似で作ってきた経緯があり、今回も見様見真似で作ったものの、色々内容が整理できてきたこともあり、ブログに構築手順を書き起こしてみました。
※一部、手順を修正しました。具体的にはnodejsのインストール周りです。
先に言っとくんですが、あくまで備忘録として頭の中のものをExportしたものになります。本来はMastodonのProduction Guideを参照することが望ましいです。ただ、当該ドキュメントはubuntuベースとなっていて、当方のCentOSには合わないところもあったりするため、そこを補正する際にいろんなサイトをチラ見してます。
なので、正確性についてはどうぞご容赦賜りたく・・・(結局言いたい所はそれかというツッコミは勘弁を)
方針
とりあえず、こんな方針で作ってみることにしました。
- IPv6アドレスだけを受け付けるインスタンスを構築する
- サーバは自宅仮想基盤内にVMを構築し、それを使用する
- 2vCPU/2GB RAM/40GB VHD(SSDデータストア配置)のスペックで構築
- DNSに登録するレコードはAAAAレコードだけにする。IPv4アドレスは名前解決しない。
- あくまでIPv4はyumリポジトリやメール配送など、クライアント用途としてしか使用しない
- インスタンス名とサーバ名は異なるものとする。
- 当該インスタンスでは、サーバ名はsns-v6.bluecore.netと言う名称ですが、インスタンス名はまた別物(v6don.bluecore.net)です。
- OSはCentOS7の最新を使う(yum -y updateでコンポーネントを最新化する)
- インスタンスはオールインワン構成にする(AP/Redis/DBを同一サーバ内で構成する)
- 証明書はLet’s Encryptを使うことにする
- 設置セグメントは本番/ステージングインスタンスと同じところにする
- Dockerは使用しない
- 非Dockerの方がログが見やすいというのがあります。サービス監視も楽です。
- Dockerの構成も利点はあって、とっととイメージを組み込むことで、前提アプリケーション導入をバイパスできる点などが挙げられます。Linux不慣れな人はこちらが良いのかも。
- フィルタリングはサーバ側で行わずに、ゲートウェイ側のACLで行う
- メールサーバは本番/ステージングと同様に、内部メールサーバを経由する。
- メールは外向けに関しては【内部メールサーバ】⇒【メールゲートウェイ】⇒【インターネット】と言う経路で発送される。
[Network] IPv6環境の整備(何度目だ?)
前回の投稿にも書いたように、IHANetにめでたく接続できるようになりましたし。IPv6環境の整備を再度やってみました。もう何度目になるのかわかんないけど(苦笑)
ただ、今までの構成ではどうしてもIPv6とIPv4とで同じネットワーク階層を取らないと気がすまず、それがうまく行かなかったり、セキュリティに不安があったりしたりでデュアルスタックを諦めたりするケースがほとんどだったのですが、ぶっちゃけIP層が違えばネットワーク役割もぜんぜん違うやんね・・・と言うことで、取り敢えずそのことを踏まえて設計を見直すことにしました。結果、取った構成が以下の通りになります。
