本番サーバー60台のホスト名を全部 cat にしてしまった話 - Qiita
この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023 の4日目です。年末進行、いかがお過ごしでしょうか?みなさま無事に仕事が納まることを願っております… 新人インフラエンジニアが、本番ウェブサーバー60台のホスト名を全部 cat にしてしまった話について、ここに供養させていただきたいと思います 背景 おそらく今から7年くらい前、インフラエンジニアとして転職してきて1年ほどが経ち、本番環境での作業もこなれてきたなというバッチリのタイミングで事を起こしてしまいました。サーバーは CentOS 6 だったと思います。 職場としてはまだまだベンチャー感にあふれ大きな裁量が与えられスピード感のある環境ながら、サービスの登録ユーザー数は1,000万を超え、本番環境の規模としては既になかなかの大きさがあり、ウェブサーバーだけでも60台くらいあったと思います。ひと山につき
『ftpやscp不要でターミナルエミュレータを通してファイル転送ができるlrzszパッケージ』
クライアントからサーバーにファイル転送をする際に、FTPやSCPのコマンドが利用できなかったり、ネットワークやポートの制限がかかっていて転送できないというような場合があります。 その他にも、踏み台サーバーを経由してアクセスしないといけないなど、直接ファイル転送するのが著しく面倒だったりする環境もあったりします。 そういったときに、lrzszパッケージを利用すればターミナルエミュレータを通してファイルを転送することが出来ます。 これは、TeraTermなどクライアントのターミナル環境を通してつないでいるまさにそのサーバーにファイルを転送したり、そこにあるファイルを受信したりすることができます。 まず最初に、lrzszパッケージがサーバー上に存在しない場合は、yumコマンドなどを通してインストールしておきましょう。 # yum install lrzsz - snip - Installed:
多段 ssh するなら ProxyCommand じゃなくて ProxyJump を使おう
概要 AWS とかで踏み台ホスト経由(ここでは AWS っぽく bastion と呼ぶ)で ssh する必要があるなら ~/.ssh/config は↓みたいにしとくのが良いんじゃないかな? Host bastion Hostname bastionのIPアドレス User bastionのユーザ名 # ↓は規定のファイルだったり ssh-agent 使ってれば不要 IdentityFile bastion接続用の秘密鍵ファイル名 # ↓の3つはWindowsでは使えないので諦めて ControlMaster auto ControlPath ~/.ssh/cp-%r@%h:%p ControlPersist 10m Host 好きな接続先名 Hostname 接続先のIPアドレス User 接続先のユーザ名 # ↓は規定のファイルだったり ssh-agent 使ってれば不要 Identi
多段ssh設定のまとめ
B! 350 0 0 0 多段sshについて、ターミナルからsshを直接使う場合と WindowsでのPuTTYでの設定について、 久しぶりに設定をしなおしたのでそのまとめ。 ~/.ssh/configで多段接続 同じ踏み台サーバーを持つ物を一括指定 複数の踏み台サーバーを経由してログイン Windows+PuTTYで多段ssh plinkを使用する方法 ログインサーバーにログインしてさらにsshコマンドを実行する ショートカットの作成 Gitサーバーに対する多段接続 ~/.ssh/configで多段接続 ターミナルからsshを使うときには~/.ssh/configファイルが設定ファイルとして 使われます。 直接外部からログインできない様なサーバーに踏み台サーバーを通って ログインするときに、毎回踏み台サーバーにsshしてそこから また入りたいサーバーにログインして。。。は面倒なので そこ
パスワードの1文字目に「~(チルダ)」を使って痛い目にあった - Qiita
何を言っているんだと思われるかもしれないですが、気軽にパスワードの1文字目に「~」を使わないほうがいいというお話です。 起こった問題 踏み台サーバー経由でサーバーAに接続して作業をしていた時の話です。 いわゆる多段 ssh 接続というもので、リモートワークになってからは結構使われる方も多いかと思います。 サーバーA上で root 権限になろうと sudo su - してパスワードを入力したら Connection to xxx.xxx.yyy.zzz closed. の文字とともにサーバーAから追い出されてしまいました。 なにかの間違いだろうと何度か挑戦していたのですが、結果はサーバーAから切断され踏み台サーバーに戻る羽目に。。。 そのときに入力していたパスワードが ~.xxxxxxxxxx のような ~ から始まるものでした。 調査 ~ って何か意味があったよなーと思ってどう調べようかと
iPhoneからSSHコマンド実行・Webhook連携もできる公式アプリ「ショートカット」を活用する - yuu26's memo
iPhone で SSH コマンドを実行したり、Webhook 連携を組み立てることが可能となりました。 Apple 公式アプリの「ショートカット」を使って実現できます。 「ショートカット」アプリの概要と、簡単な活用事例をまとめました。 iPhone から SSH や curl が実行できる「ショートカット」アプリでは、多くのアクションが用意されています。 その中には「SSH」や「URL 取得」などが含まれており、かなり遊べるアプリになりそうです。 URL 取得は GET に限らず POST や PUT も可能で、簡単なリクエストであれば iPhone からサクッと実行できます。簡易 curl のように使えます。 SSH では複数のコマンドを一度に実行できるほか、他アクションとの連携も可能です。 iOS 12 で Apple 公式アプリ「ショートカット」を使用これらの操作には、iOS 12
公開鍵認証方式でのssh接続・設定・トラブルシューティング法 - Qiita
技術者向けというより利用者向けの記事になります。ターゲットとして今までパスワード認証だったけど、これからセキュリティを考慮して公開鍵認証に切り替えるよ、でも切り替えに必要な作業は個人で行ってねと言われて途方に暮れている人向けです。 急ぎの方は、 秘密鍵と公開鍵の生成 秘密鍵の登録 公開鍵の登録 動作確認 を読んで、実行してもらえれば大丈夫です。 sshの認証方式としてはよく使われるパスワード認証の他に公開鍵認証というものがあります。 公開鍵方式では「公開鍵」と「秘密鍵」の2種類の鍵を使って認証を行います。この2つの鍵は基本的にファイル(実体としてはただのテキスト)として扱われます。sshの場合はパスワードの代わりに秘密鍵を用いる感覚(場合によってはもっとお手軽な感覚)で使うことができます。もちろん、パスワードと同じように秘密鍵は厳重に管理する必要があります。 パスワード認証に比べたメリット
踏み台サーバ経由のSSHセッションを記録する方法 | DevelopersIO
こんにちは。大阪の市田です。 今回は、下記のブログの内容を元に、踏み台サーバ経由のSSHセッションを記録する方法をご紹介します。 How to Record SSH Sessions Established Through a Bastion Host | AWS Security Blog 尚、踏み台サーバはAmazon Linuxを想定しています。 ポイント この記事のポイントは下記です。 OpenSSHの設定の修正 scriptコマンドの利用 踏み台サーバユーザの権限制限 ログファイルのS3保管 S3による踏み台サーバユーザの自動管理 SSHのエージェントフォワード利用 CloudFormationで環境構築 それでは順に説明していきたいと思います。 構成 想定の構成は下記の通りです。 ログファイルのディレクトリ作成 まずは、踏み台サーバにログの保存ディレクトリを作成し、アクセス制限
何でもSSHでやってしまいませんか? | POSTD
私はかつて、 ssh-chat というプログラムを書きました。 ssh http://t.co/E7Ilc0B0BC pic.twitter.com/CqYBR1WYO4 — Andrey ???? Petrov (@shazow) December 13, 2014 アイデアは単純なもので、ターミナルを開いてこのようにタイプするだけのことです。 $ ssh chat.shazow.net たいていの人はこの後に続けてlsコマンドをタイプするのでしょうが、ちょっと待って。よく見てください。そこにあるのはシェルではなく、なんとチャットルームですよ! 詳しいことはわからないけど、何かすごいことが起こっているようですね。 SSHはユーザー名を認識する sshでサーバーに接続するときに、sshクライアントはいくつかの環境変数をサーバーへの入力として渡します。その中のひとつが環境変数$USERです。
sslh でport443 を有効活用して、sshもhttpsも同時に待ち受けする。 - それマグで!
443ポート以外が絶滅しそうです あちこちでポートは閉じられています。ssh や sftp もプロキシ利用も、各種ポートでは、全く外部に出れず、接続できないネットワークが多いです。 TCP/IPなのにIPとポートを使った通信ができない、壊れたネットワークが当然になりました。 これらの接続制限にとても不便を感じることが多いです。 サーバー管理者の気分一つでポートが空いたり閉じたり、私が触ってたネットワークではポリシーが統一されず、クソネットワーク管理者に振り回されて、動くはずのものが動かず、不便なことが多かったのです。そこで仕方なく443を使っています。 私達が利用する端末では80/443 のポートの外部接続が閉じられることは少なく、443であれば通信できます。 そのため、443ポートに様々なアプリケーションを起動していると思います。 443 ポートとIPアドレスが枯渇する・・・ よほどのG
AWS EC2へのSSHに対する攻撃を分析してみた (2015年4月〜6月) | ある研究者の手記
数ヶ月間、私のお小遣いを貪り続けてきたAWS EC2上のハニーポットですが、さすがに財布へのダメージが蓄積してきたのでいったん停止させました。停止させたもののそれなりにデータを蓄積していたので、さてどうしようかなと思っていたのですが、 先日、長崎で開催された情報処理学会のコンピュータセキュリティシンポジウム2015で聞いた講演の一つに SSHの新しい攻撃方法について触れられていてちょっと気になったので、収集したデータのうちSSHに関しての通信のみちょっと分析してみました。 ハニーポットの構成やデータの収集方法については過去のエントリを参照していただきたいのですが、 今回はAWS Asia Pacific (Tokyo)上でEC2のインスタンス4つを4月頭から6月末まで動かしてデータを取得しました。財布へのダメージも4倍! しかしおかげで複数のIPアドレスで観測した時に生じる差分について知る
最強のSSH踏み台設定 - Qiita
追記:openssh-7.3 以降なら ProxyJump や -J が使えます ホスト名を + で繋げることで多段Proxy接続も簡単に、がコンセプトだった本エントリの設定ですが、OpenSSH 7.3 から ProxyJump という設定が使えるようになったので、使えるなら ProxyJump を使う方が健全だし柔軟で使い勝手も良いのでそちらを覚えて帰ることをオススメします。 使い方は簡単で以下のような感じです。多段も行けるし、踏み台ホスト毎にユーザ名やポート番号を変えることも出来ます。 # 1. bastion.example.jp -> internal.example.jp ssh -J bastion.example.jp internal.example.jp # 2. bastion.example.jp -> internal.example.jp -> super-de
秘密鍵、証明書、CSRの整合性のチェック - Qiita
ApacheのSSL更新等で秘密鍵や証明書を組み込む場合、 整合性がとれないとエラーとなりApacheが落ちてしまう。 実は秘密鍵や証明書はApacheに入れる前に整合性チェックを行う事ができる 秘密鍵の内容を確認
ssh周りの設定、Tipsのまとめ
B! 332 0 0 0 SSH関連のポストが結構たまったので取り敢えずのまとめ。 SSHクライアント Windows Mac Android/iPhone 多段SSH 外部から見れないページを外部から見る方法 その他ポートフォワード 同じサーバーに複数接続時に接続高速化 接続を強化 無料ダイナミックDNS Mac関連 SSHクライアント ターミナルです。 LinuxならGnomeターミナルなりなんなり入ってる物で良いでしょうし、 Macも取り敢えずは入ってるターミナル.appで使えます。 Windowsでは現段階ではコマンドプロンプトやPowerShellではsshがサポートされてないので 1 何らかの物を入れてあげる必要があります。 Windows Windowsでは今パッと入れるのであれば MobaXtermが一番優れていると思います。 MobaXterm: Windowsでのcyg
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
ffmpegを応用する。ファイル転送しながら、エンコード - それマグで!
PT2で録画したデータはATOMでなく、クラウド側でエンコードしたら速いよね。ATOMでエンコードすると、時間がかかりすぎるし、電気代大変なので。 サーバーでエンコードする。 cat test.ts | ssh enc_server1 "/usr/local/bin/ffmpeg -i pipe:0 out.mp4 "はい、楽チン。 これで転送待ち時間がゼロです。転送しながら到着した動画をエンコードするのです。 仕組みの解説。 標準入力をつかったエンコード cat test.mpeg | /usr/local/bin/ffmpeg -i pipe:0 out.mp4 これで、FFMPEGが、標準入力のパケットをそのままエンコードして、out.mp4に書き出します。 pipe0 :0 が標準入力 pipe1 :1 が標準出力 pipe2 :2 がエラ出力 pipe :- 指定なしは自動判別
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JConsole over ssh local port forwarding
shのwhileループでファイルを読み、中でsshを実行すると1回しかループしない
Welcome to m-bsys.com
漢のPort forwarding
