<心理面や関係性をコントロールすることで組織を動かそうという手法は世界中にあるが......> 横浜港に入港中のクルーズ船「ダイヤモンド・プリンセス」号について、神戸大学の岩田健太郎教授が投稿した動画が話題になりました。船内における防疫体制が不十分だという動画の指摘が、様々な波紋を投げかけたからです。 この動画については、約1日半後に削除されていますが、その一方で岩田医師が船内で活動するのを手助けしたという、高山義浩医師のコメントも話題になりました。高山医師は、 「『DMAT(災害派遣医療チーム)として入る以上は、DMATの活動をしっかりやってください。感染管理のことについて、最初から指摘するのはやめてください。信頼関係ができたら、そうしたアドバイスができるようになるでしょう』と(岩田医師に)申し上げました。」 「いきなり指導を始めてしまうと、岩田先生が煙たがられてしまって、活動が続けられ
GRANT priv_type [(column_list)] [, priv_type [(column_list)]] ... ON [object_type] priv_level TO user_or_role [, user_or_role] ... [WITH GRANT OPTION] [AS user [WITH ROLE DEFAULT | NONE | ALL | ALL EXCEPT role [, role ] ... | role [, role ] ... ] ] } GRANT PROXY ON user_or_role TO user_or_role [, user_or_role] ... [WITH GRANT OPTION] GRANT role [, role] ... TO user_or_role [, user_or_role] ... [WI
CentOS のApache でDocumentRoot とされている/var/www/html をサーバ間で同期するために % rsync -avz -e ssh --delete /var/www/html foo@example.com:/var/www/htmlとrsync を実行しても、foo に/var/www/html への書き込み権限がないため成功しない。 # PermitRootLogin yes な方は勝手にどうぞ。 NFS が使えれば手っ取り早いのだが、一つの解決策として example.com に以下のスクリプトを置き(/home/foo/rsync.sh とする) #!/bin/sh /usr/bin/sudo /usr/bin/rsync $* visudo で foo ALL=(ALL) NOPASSWD: /usr/bin/rsync と設定しておく。 あと
新機能としてIAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみました。 にしざわです。ブログというか新機能について触るのも久々な感じですが、大好きなサービスの1つであるIAMサービスに、"Permissions Boundary"という新たな機能が登場したので、試してみたいと思います。ほぼ下記のドキュメントのシナリオ通りなのですが、よりシンプルに説明できるように少し設定を変えながら試した結果をご紹介します。 AWS Developer Forums: Delegate Permission Management to Employees by Using IAM Permissions Boundaries Permissions Boundaries for IAM Identities - AWS Identity and Access Mana
2019年2月12日 (現地時間) に Docker コンテナ 等で使用する runc に関する脆弱性 (CVE-2019-5736) が公開されました。本脆弱性を悪用して細工したコンテナをユーザが実行した場合、ホスト上の runc バイナリが意図せず上書きされます。結果として、コンテナが起動しているホスト上で root 権限でコマンドが実行できるようになります。 なお、本脆弱性の実証コードは 2019年2月12日現在公開されていませんが、報告者によると実証コードは 2019年2月18日 (現地時間) に公開予定とのことです。 本脆弱性を悪用するコンテナは次のようなケースが想定されています。 1) 攻撃者により改変されたイメージファイルを用いて作成されたコンテナ 2) 攻撃者が書き込み権限を取得している既存のコンテナ 本脆弱性は 2019年2月12日時点で runc のすべてのバージョンが
<日本式「働き方」の改革が議論されているが、問題の本質は、環境変化のスピードが上がっている現在、権限のある幹部と情報・スキルを持つ現場との間に認識のズレが広がっていること> 長時間労働や仕事の非効率の問題について、日本の経済界でもようやく問題意識が高まってきました。日本式の「働き方」を改革しなくてはいけない、そのような機運を生かして本当に改革を実現できるかは、2017年の日本社会の課題になると言ってもいいでしょう。 では、その働き方の改革はどのように変えていったらいいのか、その一つの考え方は、総量規制です。残業時間の上限であるとか、ノー残業デーといったものがそれです。ですが、どんなに総量を規制しても、仕事の進め方が変わらなければ効率はアップしません。同じ理由で、要員増というのも、あるいは会議の時間制限といったものも、その中身が変わらなくては抜本的な解決にならないと思います。 この間、日本の
cles::blog 平常心是道 blogs: cles::blog NP_cles() « GIOTTO のケーキ :: 友人の新居 » 2010/05/02 Windows7で管理者権限が必要なアプリをスタートアップに登録したい windows7 361 31へぇ Windows Vista からはセキュリティ強化のために UAC が導入されているので、管理者権限が必要となるアプリを起動すると確認が求められるようになりました。通常は確認のダイアログに対してはいと答えるだけなので、特に問題はないのですが、スタートアップに登録するアプリということになると状況が変わってきます。 通常、常駐ソフトをログオン時に自動的に起動したい際には「スタート」メニューの「スタートアップ」にショートカットを放り込んであげればOKなのですが、Windows7ではスタートアップに登録したプログラムは UAC の
データシステム担当の黒瀬です。 こちらは、TVer Advent Calendar 2022の9日目の記事です。 この記事では、TVerで運用しているデータシステムの基本的な権限管理ポリシーについてご紹介します。 大まかな内容 GCP上に構築しているデータシステムをメンテナンスする際の権限を、従来は管理者が手動管理していたが、この運用にはリスクがありました。 そこで、権限を付与するためのサービスアカウントを経由する仕組みおよびその趣旨を明確にするルールを導入しました。 結果、管理者に依存せずにメンテナンスができる運用が可能になりました。 背景 TVerでは、主にBigQueryに視聴ログなどのデータを集約し、その上で集計や分析をするという方針をとっています。 ログを収集するシステムはAWSやGCPなど要件に合わせて各所に構築されていますが、これらからBigQueryへデータを収集・集約する
デリゲーションポーカー(移譲ポーカー)のゲーム概要ゲームの目的このデリゲーションポーカーでは以下のようなことを教えることを目標として作成しました: 移譲は0/1ではないということ。独裁者とアナーキストの間には多くの段階があること移譲はStep by Stepのプロセスであること。あなたは他の人に対してわかるように説明する責任があります移譲はコンテキストに依存しているということ。あなたは可能な限り移譲することを望んでいるでしょうが、あまりにやりすぎると混乱をきたすことがありますデリゲーションポーカーの基本的なアイデアは7つのレベルの権限です。 権限と移譲というプレゼンに簡潔に記載していますし、7つの権限という記事の中でより詳細に述べています。 また、私の書籍、Management 3.0の中でも説明があります。 権限の7レベル指示する :管理者として意思決定を行う売り込む :意思決定について
「権限委譲」 この言葉に、私は長い間苦しみ続けることになります。 新人コンサルタント時代に、権限委譲という名の「丸投げ」をくらい、毎晩夜中の2時までプロジェクトの火消しを行ったことがありました。 上長のAさんと私がペアでプロジェクトに突っ込まれたわけですが、 作成した資料の確認をAさんにお願いしても、特にコメントをくれるわけでもなく。会議に参加してもらっても、口を開くことはなく。 クライアントと議論していたシステム要件が食い違っていたときに、謝罪をしたのも私。 そんなことを繰り返しながら、何とかプロジェクトを乗り切った後、思い切ってAさんに「あの放置プレイには、どんな意図があったのか?」と聞いてみました。 すると「本山君を成長させるために、丸ごと任せてみようと思った」とのこと。 ちなみに、このプロジェクトを最後に、Aさんは転職先に去っていきました。 その2年後。 今度は、私が加害者になる番
メルペイSREチームの @tjunです。この記事は、Merpay Tech Openness Month 2020 の19日目の記事です。 今日は、メルペイSREチームのオペレーションのために開発して利用している Qray(クレイ) というツールの話をします。 はじめに メルペイでは、Google Cloud Platform(以下GCP)を利用してサービスを構築し動かしています。 GCPには Cloud Identity and Access Management (IAM) という権限管理の仕組みがあります。IAMを適切に管理して、アカウントに最低限の権限を付与することがクラウドサービスを安全に利用するためには必要なことです。これはSREが持つ本番環境に対する権限についても同様で、できるだけ本番環境に対する権限を持たないようにしておきたいのですが、障害対応など本番環境でのオペレーション
サーバの移転作業時など、rootしかアクセスできない設定ファイルやアクセス権を保ったままrsyncしたいことってありませんか? そういった際には、sudo の -A オプションと rsync の --rsync-path オプションを使うと良いようです。 まず、リモートサーバに、パスワードを標準出力に出力するスクリプトファイルを配置します(ファイルのパーミッションを厳しくするのを忘れずに)。 % cat > bin/askpass #! /bin/sh echo "{{my_password}}" % chmod 700 bin/askpass % そして、rsync を実行する際には --rsync-path オプションを使い、リモートサーバの rsync を sudo -A 経由で起動するようにすれば良いのです。 % sudo rsync -avz -e ssh \ --rsync-p
2022年3月7日に公開されたLinuxカーネルに任意のファイルを上書きできる脆弱(ぜいじゃく)性「Dirty Pipe」を利用して「Pixel 6 Pro」や「Samsung S22」のルート権限を奪取する実証ムービーが新たに公開されました。Dirty Pipeを利用したAndroid端末への攻撃が現実味を帯びています。 Researcher uses Dirty Pipe exploit to fully root a Pixel 6 Pro and Samsung S22 | Ars Technica https://arstechnica.com/information-technology/2022/03/researcher-uses-dirty-pipe-exploit-to-fully-root-a-pixel-6-pro-and-samsung-s22/ Dirty Pi
政府が、米軍普天間飛行場(沖縄県宜野湾市)の名護市辺野古移設で沖縄県の翁長雄志知事による移設阻止に向けた権限を無力化する検討に入ったことが20日、分かった。翁長氏は辺野古移設をめぐる訴訟の判決確定後も抵抗を続け、設計変更承認など3つの知事権限で移設を阻止することを想定。政府の無力化は対抗策となり、攻防は第2ラウンドに移った。 翁長氏は移設を阻止するため(1)設計変更(2)サンゴ移植(3)岩礁破砕-で権限行使を念頭に置く。政府が申請をしてきても、許可や承認を拒否することで移設工事を遅らせたり、阻止したりできると強調している。 それを踏まえ、政府は対抗策の検討に着手した。 3つの知事権限のうち設計変更について政府は申請をしないことで無力化する案が有力。辺野古移設と同時期に前知事の埋め立て承認を得て工事が進められている那覇空港の第2滑走路建設は公有水面埋立法に基づく設計変更申請が3月に1度、翁長
Googleのエンジニアが、悪意のあるiOSアプリがユーザーに気付かれないようにiPhoneのカメラから写真を撮影したり音声を録音したりすることが可能であることを示すアプリを作成し、「カメラへのアクセス権限を持つアプリ」はすべてユーザーを秘密裏に監視可能であることを証明しています。 iOS Privacy: watch.user - Access both iPhone cameras any time your app is running - Felix Krause https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running Google engineer proves any iPhone app with permission to
前自民党衆院議員の中山太郎前衆院憲法調査会長は5日、憲法に緊急事態条項を盛り込む改正試案を公表した。大規模な自然災害やテロなどが発生すると首相は緊急事態を宣言する規定を設け、首相に自治体首長への指示権などの権限を集中させ、国民の「通信の自由、居住および移転の自由並びに財産権」を制限できるようにしている。 中山氏は、東日本大震災を契機に、各国の憲法を参考に作成した。各党に働きかけ、衆参両院での具体的な憲法改正論議につなげるねらいがある。 試案は4カ条11項目からなる。緊急事態として「大規模な自然災害、テロリズムによる社会秩序の混乱その他」を例示し、別に定める「緊急事態基本法」に基づき首相が緊急事態を宣言するとしている。緊急事態宣言の期間は、原則90日以内。20日以内の国会承認を条件にする。 首相には国会の事後承認で可能な財政支出権限も付与する。国民の権利制限は「必要最小限」を条件に制限対象を
最終更新日 : Apr 28, 2021 02:56:04 AM GMT | 次にも適用 : Adobe Acrobat, Adobe Illustrator, Adobe InCopy, Adobe InDesign, Adobe Photoshop, Adobe Premiere Pro, Creative Suite, Flash Professional, Global or OS, OnLocation CS, Photoshop Elements, Premiere Elements, Soundbooth Windows では、コンピュータに管理者アカウントでログインしている場合でも、コンピュータを使用するユーザ全員に影響する変更がユーザによって行われるのを防止するため、通常の操作は標準アカウントと同じ権限で実行されています。このため、アプリケーション実行時にすべての機能が表
Appleやイーロン・マスク氏など、多数のセレブのTwitterアカウントが7月15日(現地時間)に乗っ取られ、暗号通貨詐欺のツイートを投稿した問題について、米Twitterは同日午後8時ごろ、調査の経過報告をツイートした。 同社は、「内部システムとツールへのアクセス権限を持つ従業員の一部を標的とした組織的なソーシャルエンジニアリング攻撃」らしいものを検出したと説明した。攻撃者は、この攻撃で取得した権限により、著名人のアカウントとツイートを悪用したという。 問題に気付いてすぐに影響を受けたアカウントを直ちに停止し、攻撃者が投稿したツイートを削除した。 調査が完了するまで、侵害された形跡のないものを含む、すべての認証済みアカウント(青バッジ付きアカウント)の機能を制限しているという。 米テクノロジーメディアのMotherboardは、アカウントを乗っ取ったという情報源のコメントと入手した複数
デフォルトの設定は変更せずに、個々のウェブサイトに許可する権限を設定できます。 サイトの権限を管理する サイトの権限を簡単に許可または拒否できます。特定の機能への 1 回限りの権限を付与することもできます。 サイトからカメラ、位置情報、マイクなどの機能の使用権限を求められた場合、次のことができます。 今回は許可: サイトは今回の訪問中のみリクエストした機能を使用できます。ただし、今後の訪問時には再度リクエストする必要があります。 すべてのアクセスで許可: サイトは今回の訪問中だけでなく、今後の訪問時にもリクエストした機能を使用できます。 許可しない: サイトはリクエストした機能を使用できません。 すべてのサイトの設定を変更する パソコンで Chrome を開きます。 右上のその他アイコン [設定] をクリックします。 [プライバシーとセキュリティ] [サイトの設定] をクリックします。 更
疲れやすい、呼吸の浅さを改善。ストレッチポールは毎日使いたいほど気持ちがいい!【今日のライフハックツール】
Linuxカーネルモジュールにおける任意アドレス書き換え(Arbitrary address write)の脆弱性を利用し、ret2usr(Return-to-user)と呼ばれる手法によるroot権限への権限昇格をやってみる。 環境 Ubuntu 14.04.1 LTS 64bit版、Intel SMEP無効 $ uname -a Linux vm-ubuntu64 3.13.0-44-generic #73-Ubuntu SMP Tue Dec 16 00:22:43 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 14.04.1 LTS Release: 14.04 Code
天安門事件から27年目を迎えた6月上旬、世界各地のウイグル人組織を束ねる「世界ウイグル会議」のラビア・カーディル議長ら幹部が来日し、東京都内の参院議員会館で、中国政府によるウイグル人弾圧の過酷な実態を報告した。その内容は、平和な日本に住んでいるわれわれにとって信じがたいものだったが、昨今の中国軍艦による領海侵入や南シナ海への強引な進出などを例にあげるまでもなく、中国政府は平和や人権といった人類の普遍的価値を平気で踏みにじってきた。当局の強力な報道統制のもと、われわれがウイグル人の置かれた現状に触れる機会は少ない。今後、もっと彼らに関心を持つべきだと思わずにはいられなかった。 「私はウイグル人がいかに殺戮されているか、いかにウイグル人を救うことができるかを訴えている」 民族衣装に身を包み、演壇に立ったカーディル議長は、通訳を介して話し始めた。その口調は穏やかだったが、語られる内容は苛烈なもの
ものすごく長いタイトルになってしまいましたが、今回は管理者権限を持たないユーザーにどのように管理者権限を持たせるか、というお話です。 実際の案件の中では以下のような状況が頻繁にあります。 エンドユーザーの端末にソフトウェアをインストールさせたい、あるいは管理者権限が無いとできない設定変更をさせたい でも、エンドユーザーのアカウントには管理者権限がない エンドユーザーに操作をしてもらうことは可能だけど、管理者のID、パスワードは教えたくない(セキュリティ上の問題) やりたいことは簡単なんですけど、「エンドユーザーには教えずに」ということを実現させようと思うと中々大変です。 理想の状況 このようなことは頻繁にあるものなので、これらを簡単に実現するツールが全端末に仕込まれている状況が理想的です。これを実現する製品は多数存在しています。有名なところだと以下のようなものでしょうか。(私が仕事でよく扱
Androidアプリで求められる正当な権限を組み合わせることで、ソフトウェアキーボードの入力情報を全てコピーしたり、連絡先を根こそぎ盗み出したり、全権限の与えるゴッドモードで不正アプリをインストールしたりとやりたい放題される脆弱性が発見されました。この脆弱性問題は「Cloak and Dagger」と名付けられており、発見したジョージア工科大学の研究者は、「この脆弱性はGoogleによるAndroidの設計思想に起因しており、穴を塞ぐことは困難である」と警告しています。 Cloak and Dagger: From Two Permissions to Complete Control of the UI Feedback Loop (PDFファイル)http://cs.ucsb.edu/~yanick/publications/2017_oakland_cloakanddagger.pd
Amazon Web Services ブログ AWS 請求、コスト管理、アカウントコンソール権限の変更 この記事は、 Bowen Wang が2023 年 1 月 10 日に投稿した “Changes to AWS Billing, Cost Management, and Account Consoles Permissions” を翻訳したものです。 ローンチに関する更新 : 2023 年 7 月 6 日 までは、新しいきめ細かな IAM アクションと、古い IAMアクションの使用を切り替えることができます。新しい IAM アクションを試して目的の権限が設定されていることを確認したり、2023 年 7 月 6 日 より前に、自ら移行を計画することもできます。 また、2023 年 3 月 6 日以降に作成されたアカウントまたは AWS Organizations 組織において、既存の
アプリ名:流出注意報(Ver.1.05) 金額:無料(2013年7月12日時点) カテゴリ:ツール 開発:TAKETAKE 使用端末:Xperia arc SO-01C おすすめ度:★★★★☆ 「流出注意報」は、インストールされているアプリのうち、電話帳流出が可能な権限を持つアプリを一覧表示できるアプリだ。これらのうち不要なアプリ、身に覚えのないアプリをアンインストールすることで、電話帳情報がインターネットに流出する危険を低減させることができる。 アプリの機能はシンプルで、インストール済みのアプリをスキャンし、電話帳情報を取り扱う権限と、インターネット接続が可能な権限の両方を持つアプリを、「電話帳流出が可能な権限を持つアプリ」としてリスト化してくれるというもの。表示されたアプリはタップすることでアンインストールを実行できる。今後も残しておきたいアプリであれば、長押しして警告除外を行うことで
Linux カーネルに権限昇格の脆弱性が見つかり、注意が呼びかけられている (CVE-2013-2094より) 。 perf_event_open システムコールを利用することで一般ユーザが root を取得できる。対象はカーネル 2.6.37 から 3.8.9 までだが、カーネル 2.6.37 未満であっても、ディストリビューションによっては最新カーネルからのバックポートによりこの脆弱性の対象となっているものがあり注意が必要だ。原因は、kernel/events/core.c 内の perf_swevent_init 関数で event_id を取得する際に、不適切なデータ型を利用 (全ての bit を適切にチェックせずに u64 型を int 型で受け取った) ことによるもの。 既にエクスプロイトコードが出回っており、実際に Redhat Linux や CentOS、Ubuntu で
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く