ファイルディスクリプタ数の上限変更とlimits.confの罠 | −ゆめログ− | ゆめみスタッフブログ
本記事は、2010年7月に「YUMELOG」に掲載された記事です。 2021年12月末「YUMELOG」終了に伴い、移行いたしました。 (「YUMELOG」をこれまでご愛顧いただき、誠にありがとうございました。) こんにちは、mikkoです。 今回は、1プロセスが同時オープン可能なファイルディスクリプタ数の上限を変更する方法と、その際の落とし穴についてです。 Linuxでは、同時にオープンできるファイルディスクリプタ数が制限されています。 OS全体での設定は、/proc/sys/fs/file-max等で確認でき、大規模なアクセスがあるサーバでは/etc/sysctl.confに設定を追加して上限を増やしているケースも多いでしょう。 これとは別に、1プロセスが同時オープン可能なファイルディスクリプタ数は、標準で1024となっています。 apacheのpreforkモデル等の子プロセスが多数
AWS で不正アクセスされて凄い額の請求が来ていた件 - yoya's diary
情けない話ですが、自分の大チョンボで AWS の個人アカウントが第三者にアクセスされた結果 190万円相当のリソースが使われ、最終的に AWS さんに免除を頂きました。反省込みで本件のまとめを書きます。 自分が馬鹿を幾つも重ねた結果であって、AWS 自体は怖くないというのが伝われば幸いです はじめにまとめ S3 実験してた時に SECRET KEY を見える場所に貼っていた事があり、第三者がそれでアクセスし大量の高性能インスタンスを全力で回す (恐らくBitCoin採掘) AWS さんから不正アクセスの連絡があり、急いで ACCESS KEY 無効&パスワード変更、インスタンス全停止、イメージ削除、ネットワーク削除 免除の承認フェーズを進めて、クレジットカードの引き落とし前に完了して助かる AWS さんのサポート AWS さんは最大限サポートしてくれました 承認フェーズが進まない時もあまり
複合機からのメールでウイルス感染、だましの手口にご用心
オフィスの複合機から送信したように見せかける巧妙な偽メールで受信者のコンピュータをウイルスに感染させる攻撃が出現した。攻撃を確認したトレンドマイクロによれば、6月17日現在で2000件以上のメールが出回り、国内企業からも数十件の相談が寄せられている。 この攻撃は、複合機がスキャンしたデータをメールに添付して送信されたように見せかける。6月17日前後に見つかった手口では不正なマクロを仕込んだWordファイルが添付され、受信者がMicrosoft Officeのマクロ機能を有効にした状態でファイルを開くと、マクロが実行され、ネットバンキングの情報を盗む機能などを持ったウイルスに感染してしまう。 偽装メールに使われたメールアドレスは、例えば「scanner@<受信者の組織のドメイン>」であるなど、社内からの複合機から送信されたようになっている。件名は「Message from <アルファベット4
「秘密の質問」は欠陥品? 正しい使い方とは
Googleが「秘密の質問」には欠陥があると指摘したが、本当に脆弱な機能なのだろうか。考え方を変えれば、実はとっても便利な機能だ。その方法を解説する。 5月下旬、様々なニュースサイトでGoogleが発表した「秘密の質問」における調査結果が報じられた(原文リンク)。国内では直後に起きた日本年金機構の騒ぎで希薄になってしまった感じがするものの、重要なニュースだと思われる。今回はこれについて解説しよう。 「秘密の質問」とは? 「好きな食べ物はなんですか?」 「母親の旧姓は何?」 「生まれたところは?」 「小学生の担任の先生の名前は何ですか?」 これらの「秘密の質問」は、インターネットのサービスでパスワードを忘れた場合に、IDやアカウントを復旧するための本人確認の質問などで使われるものだ。多分読者のみなさんも幾つか登録されていることだろう。Googleでは数百万件のGoogleアカウントの復旧で使
きれいな言葉でまとめた「やったつもりのセキュリティ」が一番怖い
「セキュリティポリシー」や「プライバシーポリシー」をWebサイトに公開する企業は多いのですが、それを作ったことで安心しきっていませんか? 日本年金機構による個人情報の流出発覚から2週間が経過しました。「一時的に」閉鎖されていたWebサイトも暫定復旧したものの筆者が一番知りたい漏えいの経緯といった続報はいまだ出てきません。 「基礎年金番号」「名前」「生年月日」「住所」の4情報が漏えいした約9000人に対して、「お詫びとお願い」の文書を送付しているそうですが、事故に便乗して個人情報を盗み出そうとする輩もうごめいているようです。基礎年金番号に関係する問い合わせや営業などの電話がかかってきても冷静に対応してください。 不安を感じた2つの「宣言」 事故を公開した当初、日本年金機構のWebサイトにはさまざまなコンテンツが掲載されていました。その中で筆者が不安に思ったページが2つあります。 1つは、「個
「ネットワークセキュリティ製品」を使い倒すには
連載記事一覧 最終回 「セキュリティインテリジェンス」でセキュリティ対策はどう変わるのか? 企業のセキュリティ対策で重要性が高まりつつあるのが「セキュリティインテリジェンス」だ。なかなか把握しにくいその実態と、効果的な活用に必要な「共有」の具体像を示す。 第7回 セキュリティ製品不要? 仮想化データセンターを賢く守る方法 データセンターでの活用が進む仮想化技術は、インフラの柔軟性確保だけがメリットではない。仮想環境の特性をうまく生かせば、効率的なセキュリティ対策が可能になる。その方法を示す。 第6回 「アンチウイルスが死んだ」今、職場のネットワークをどう守るべきか? 脅威の多様化やスマートデバイスの普及などが、ビジネスの現場を支えるキャンパスネットワーク(大規模LAN)のセキュリティ対策に変革を迫る。対策に不可欠な3種の要素を示す。 第5回 アプリ識別だけじゃない、次世代ファイアウォールの
「日本だけ」を狙う標的型攻撃、事態は深刻とカスペルスキー
昨年秋から続くAPT攻撃「BLUE TERMITE」 日本年金機構の情報漏洩事件を受け、カスペルスキーは6月4日、現在調査中の新たなAPT攻撃「BLUE TERMITE(ブルー ターマイト)」について説明会を開催した。昨年秋から「日本だけ」を狙うサイバー攻撃が発生しており、政府や防衛関連、エネルギー、製造業、金融機関、報道機関など幅広い対象に標的型攻撃メールをばらまき、感染した組織から機密情報を盗み出しているという。 APT攻撃とは、スパイ活動や犯罪活動を目的に、特定のターゲット(企業や個人)に対して持続的かつ執拗な攻撃を行う攻撃手法である。メールの添付ファイルなどを経由して一度感染すれば、ターゲット内部に長期間潜伏しつつ、外部のC&Cサーバー(攻撃指令サーバー)と通信して新たなマルウェアを送り込んだり、組織内部の調査をしたり、機密データを窃取したりする攻撃を行う。 BLUE TERMIT
データベースより危険? 「ファイル共有」が内部犯行者の標的に
関連キーワード 暗号化 | IPS | セキュリティ | データベース | データベースセキュリティ 第3回「ベネッセ事件でも標的に 『データベース』からの情報漏えい対策3カ条」では、データベースのセキュリティについて解説した。一方、ビジネスで活用しているデータを包括的に保護する上で忘れてはいけないのは、ファイルに対するセキュリティ対策である。 従業員や関係会社のスタッフといった“身内”からの情報漏えい事件が増えている昨今、内部情報漏えい対策の重要性があらためて高まっている。ファイルのセキュリティ対策は、内部情報漏えい対策を進める上でも不可欠な要素だ。内部情報漏えいの実態を整理しつつ、ファイルのセキュリティ対策に注目すべき理由と具体的な対策を解説しよう。 連載:今から始める「データセキュリティ」 第1回:“情報漏えい体質”と今こそ決別する「データセキュリティ4カ条」 第2回:ログ取得だけで
ベネッセ情報漏えい事件でも焦点 企業が「特権ID管理」に失敗する理由
関連キーワード SIEM(セキュリティ情報イベント管理) | NSA(米国家安全保障局) | 情報漏えい対策 | ID管理 多くの企業は、管理者間で共有することも多い特権アカウントの管理がうまくできていない。最近の調査によれば、米国家安全保障局(NSA)の業務に関わっていたエドワード・スノーデン氏による重要情報流出事件が脚光を浴びたにもかかわらず、そうした状況は変わっていない。高い権限を必要とする業務を従業員に安全に任せるためにはどうすればいいのか。 関連記事 “正規アプリ”が情報漏えいの根源に? 「Baidu IME/GOM Player事件」の衝撃 モバイルアプリ提供で“大炎上” ゾッとする情報漏えいを避けるには? 「信頼される社員こそ監視すべき」――内部犯行を阻止する条件 被害者は2万7000人 銀行顧客情報の流出はなぜ起きたのか 【導入効果】ID/パスワードの管理負荷を減らす「ID
2014年を象徴する“内部犯行による情報漏えい事件”と、いまだ残る謎
関連キーワード NSA(米国家安全保障局) | 暗号化 | VPN データやネットワークなどに対する完全無欠なセキュリティというものは存在しない。どの組織でも情報セキュリティは非常に重要だ。だが、ITのバリューチェーンには脆弱性が付き物である。ITバリューチェーンには、設備からネットワーク(WANとLANの両方)やアプリケーションまでが含まれる。IT担当者の使命は、ハードウェア、ソフトウェア、人為的なエラーによって機密情報が危険にさらされないようにすることだ。そのために、メカニズム、ポリシー、手続きを実装して一定レベルの保証を提供している。また、悪意のあるユーザーから機密情報を保護する必要もある。 関連記事 ベネッセ情報漏えい事件でも焦点 企業が「特権ID管理」に失敗する理由 「信頼される社員こそ監視すべき」――内部犯行を阻止する条件 ベネッセ事件でも標的に 「データベース」からの情報漏え
Microsoft Learn: Build skills that open doors in your career
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」
noon @n00nw0rks 日本人はリスク管理ができない、リスクはゼロにできないということを受容れられない、とよく言われるけど、日本人だからどうこうというより、リスクを管理できるだけの知識と論理的思考能力がない人は「怯える=意識高い」と考えているんだと思っていて、その話のたびに前の会社のことを思い出す 2014-11-13 11:12:30 noon @n00nw0rks 前の会社でCSRF発見して「hiddenなinputとセッション変数にランダムトークンを保存して照合し正当なページからのリクエストか判別する」のを提案したら「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」と呆れた顔で言われて、 2014-11-13 11:12:50 noon @n00nw0rks 確かにOSやミドルウェアに脆弱性があればそういうこともあるかもだけど、セ
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
『Facebook』を使わない6つの理由 | WIRED VISION
前の記事 「シングル版電子書籍」が持つ可能性 環境に良い車:ホンダ5年連続で1位 次の記事 『Facebook』を使わない6つの理由 2010年10月13日 社会メディア コメント: トラックバック (0) フィード社会メディア David Rowan (the editor of Wired UK ) 私はFacebookを使っていないが、それについて、「ずいぶん時代遅れだな!」とからかわれたことがある。からかったのは、ソーシャル・ファイナンス・サイト『Kiva』を運営するMatt Flannery氏で、彼は私に対して、「何を怖がっているんだい? プライバシーについてうるさいのは年寄りだけだよ」と言った。 たしかに私は30代後半だし、いまだに、フォーマルなメールでは顔文字は使わない。しかし、私がなぜFacebookを利用せず、Blippyではクレジットカードを使った買い物をせず、Goog
koress.jp: OpenIDの襲来に備えよ!
追記: OpenID対応サービスまとめを作りました。 たぶん、2008年のインターネット(Webサービス)業界はOpenIDによるWebサービスのID体系の統一の荒波に揉まれることになると思う。日本のサービスプロバイダは、OpenIDの襲来に備えるべき。 海の向こうではすでにDigg, Wikipedia, Yahoo, Microsoftなどが導入や支持を発表しているほか、多くの小さなネットサービスはOpenIDに頼ったアーリーアダプタの取り込みに積極的になってる。日本国内ではどうかと言えば、niftyのaboutmeなどを除いて大手のWebサービスは未だ様子を見ている状態。リサーチレベルでは重要性が把握されつつある一方、経営レベルでは「なにそれ」的な状態が多そう。いかん、いかんよ。 2008年、YahooかAmazonかGoogleかわからないけれど、ほぼ間違いなくどこかの日本の大手の
DNSSEC
図1 DNSSECのしくみ 電子署名によって正しいDNSサーバーからの回答であることを証明する。DNSキャッシュ・ポイズニングなどの攻撃を防ぐ。 DNSSECとは,DNSサーバーから送られてくるIPアドレスとホスト名の対応情報の信頼性を証明するセキュリティ拡張機能である。DNSキャッシュ・ポイズニングのようなDNS応答のなりすまし攻撃を防ぐためのものだ。DNSキャッシュ・ポイズニングとは,DNSサーバーに一時的に保存(キャッシュ)してあるホスト名とIPアドレスの対応情報を偽の情報に書き換える攻撃のことである。この攻撃を受けると,ユーザーのWebブラウザは偽のWebサイトに誘導されてしまう。 DESSECでは,応答を送信するDNSサーバーが秘密鍵を使って応答に署名し,受信する側が公開鍵で検証する(図1)。秘密鍵を持っていないと正しく署名を付けられないので,署名の検証によって偽の応答を検知でき
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Oracle Database Vaultって本当に必要ですか? データを守るためよりもむしろメンバーを守るためにこそいるのです
株式会社ガイアックスの公式サイト › ガイアックスオフィシャルサイト