# ブラウザで認証後表示されたコードをペーストする Please type code:xxxxxxxxxxxxxxx sshでサーバにログインする際に、まず公開鍵認証が行われ、正解するとたーみなるに、このURLを開いてくれというメッセージが出ます。 https://accounts.google.com/o/oauth2/auth?access_type=offline&client_id=xxxxxxxx-xxxxxxxxxxx.apps.googleusercontent.com&redirect_uri=uxxxxx 上記の部分ですね。これをブラウザに貼り付けて、Googleの認証を超えると、あるコードが払い出されるので、それをターミナルに貼り付けると無事ログインできます。また、ログイン後はトークンが有効期限のうちは再度oAuthする必要はありません。 インストール方法 OAuth
[アップデート]パブリック IP アドレスなしで、EC2インスタンスにSSH接続できる EC2 Instance Connect Endpointがリリースしました | DevelopersIO
EIC エンドポイント作成 EIC エンドポイントを作成します。 VPCエンドポイントの作成から、サービスカテゴリでEC2 Instance Connect Endpointを選択します。 サブネットは、プライベートサブネットを選択します。 Preserve Client IPには、チェックを入れずに、エンドポイントを作成します Preserve Client IPとは Preserve Client IP チェックをいれると、EIC エンドポイントは、ユーザーのクライアントIPを保持できます。 クライアントIPを保持すると、EC2に接続時、ユーザーのクライアントの IP アドレスがソースとして使用されます クライアントIPを保持しない場合、EC2に接続時、プライベートサブネットにあるEC2 Instance Connect エンドポイントのElastic Network Interfac
![[アップデート]パブリック IP アドレスなしで、EC2インスタンスにSSH接続できる EC2 Instance Connect Endpointがリリースしました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b78e1b00fb2da19e9cae6ca64621e34b0d3796b7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-ec2.png)
GCPにセキュアな踏み台サーバーを作成する
TL;DR GCPのIdentity-Aware Proxy(IAP)を利用すると、手軽かつセキュアに自宅などから踏み台サーバーへのアクセスを実現できます。加えてオンプレミスとGCPで拠点間VPNが構築できると、社外からGCPを経由してオンプレミスへセキュアにアクセス可能です。 昨今の状況を含め突発的な出来事により、社内にある環境に社外からアクセスする事が必要になるケースは無いでしょうか? 今まではダイヤルアップ型のVPNを構築する、踏み台サーバー(要塞ホスト)を構築するといったやり方で解決が図られて来ましたがどちらのやり方もエンドポイント(VPN Gateway、踏み台サーバー)へのセキュリティ対策を綿密に行う必要があるため実装には多くのコストがかかります。 社外から社内へアクセスする際のイメージ今回はGCPを使ってセキュアかつ簡単に社内へアクセスできる環境を構築する方法をご紹介します。
さよならした本番サーバを復帰させてみる
今年のAdvent Calendarで注目を集めているのが、 本番環境でやらかしちゃった人 Advent Calendar 2019だ。自分は宗教行事には参加しない主義なのでAdvent Calendarに記事は書かないが、このシリーズはちょっと見逃せない。で、本稿では12月3日に公開されたこちらの記事を取り上げたいと思う。 さよなら本番サーバー トラブルの原因は何かsshログインできなくなったそもそもの原因は、~/.ssh/authorized_keys へのパーミッションが不適切になってしまったために、sshdがログインを拒否する状態になったということだ。そのきっかけになったのが、クライアント(依頼主)からのCSVファイルの取得依頼だったという流れだった。実験サーバを立てて、これを模してみよう。 [north@sayonara ~]$ chmod og+w /home/north [n
Public keys are not enough for SSH security Loading... If your organization uses SSH public keys, it’s entirely possible you have already mislaid one. There is a file sitting in a backup or on a former employee’s computer which grants the holder access to your infrastructure. If you share SSH keys between employees it’s likely only a few keys are enough to give an attacker access to your entire sy
闇の魔術に対する防衛術 Advent Calendar 2019 16日目の記事です。 イントロダクション デプロイ自動化、コンテナ型仮想化、マイクロサービス化などが進み、トラブルシューティングの難易度が意図せず上がっているケースがあります。 日常の開発作業でアプリケーションの設定やアクセス経路をほとんど意識しない コンテナが軽量すぎて ps や netstat すら入っていない Infrastructure as Code (なおドキュメントは存在しない) ログ管理の基盤はあるが、欲しいログが収集されていないか、ログ以外を調べたいので役に立たない 今回は、こうしたケースで 対象システムに熟知していなくても トラブルシューティングを進めていく方法について取り上げます。 スタート あなたは Linux サーバへの SSH ログインに必要な情報を入手し、ログインに成功しました。なんと root
GitHub - francoismichel/ssh3: SSH3: faster and rich secure shell using HTTP/3, checkout our article here: https://arxiv.org/abs/2312.08396 and our Internet-Draft: https://datatracker.ietf.org/doc/draft-michel-ssh3/
SSH3 is a complete revisit of the SSH protocol, mapping its semantics on top of the HTTP mechanisms. It comes from our research work and we (researchers) recently proposed it as an Internet-Draft (draft-michel-ssh3-00). In a nutshell, SSH3 uses QUIC+TLS1.3 for secure channel establishment and the HTTP Authorization mechanisms for user authentication. Among others, SSH3 allows the following improve
Intel NUC で自宅 Ubuntu 開発環境構築と SSH Port Forwarding によるアクセス | blog.jxck.io
Intro 家では Mac を使っていたが、やはり Ubuntu 開発環境を作ることにした。 前々から気になっていた Intel NUC をベースに Ubuntu 環境を構築。 また、外出時もアクセスできるように SSH Port Forwarding を使って、固定 IP の無い家に外からアクセスできるようにした。 備忘録を兼ねて記す。 自宅開発環境 自宅では長らく Mac を使ってきたが、やはり Linux 環境があったほうが良いということで、数年ぶりにラップトップ以外の PC の購入を検討した。 自宅サーバとして使えれば、宅内オートメーションや、さまざまな用途にも流用できて、遊ぶ上でも良いだろう。 今は mini PC も色々出ており、選択肢も多く、比較的安価に、場所をとらないサーバが組めるようになった。 これを期に、高い Mac の買い替え更新をやめ、 Air などの持ち運び用途に
AWS アカウントを横断して SSH ポート全開放を検知・修復する仕組みを導入した話 | BLOG - DeNA Engineering
はじめに こんにちは、IT 基盤部ネットワークグループの尾留川です。 普段は、DeNA グループ全体のネットワークの管理、運用等を行っています。 今回は、社内全ての AWS アカウントのセキュリティグループにおいて、 SSH(TCP/22) ポートの全開放を検知し、ルールの自動削除を行うような仕組みを導入したので、ご紹介します。 導入の背景 社内で利用している AWS アカウントの総数は約 300 程度あり、これらのアカウントで SSH ポートの全開放を人の手で検知、対応することは困難でした。 元々、社内では Public IP を持つインスタンスに対して、一定時間毎にインターネット経由で SSH を試行し、SSH ポートが外部に開放されていないかを検知する仕組みが存在していましたが、以下のような問題点がありました。 インスタンスの数が膨大なため、 SSH の試行に時間を要する 開放検知後
公開鍵認証を悪用、初逮捕 HP改ざん容疑で25歳会社員 | 毎日新聞
下書きを読んでいると「秀逸なアイデアだ」と思わされるものがいくつかあります。そうしたアイデアの多くは改稿されたり没になったりして、大舞台に立つ前に輝きを失ってしまいます。もったいない、とてももったいない。サンドボックスの片隅に立てた墓碑の前で、死産したアイデアに黙祷を捧げる毎日を過ごしています。 現在のSCPwikiでは形式が重視されすぎている、と私は考えます。パターンを構築し、面白さを理..
PCI DSS対応 AWS 上の踏み台サーバーでの操作ログ取得、MFA、アイドルタイムアウトを実現 | DevelopersIO
PCI DSS に対応すべく Linux サーバーの操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS 上の踏み台サーバー (ここでは Amazon Linux 2 を想定しています) での操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 PCI DSS の関連して以下のような要件があり、これを実現するために考えた方法です。 ssh ログインは Google Authenticator を利用した二要素認証にしたい ssh ログイン後の操作ログ(コマンドログ)を保管したい 踏み台サーバーから更に業務サ
macOS版の1PasswordでSSHキーの管理が便利になってた - Mitsuyuki.Shiiba
GitHubの鍵を1Password管理に ちょっと前に、azuさんの記事を読んでSSHの鍵を1Password管理にするのいいなと思ったので efcl.info GitHubのAuthとSigningの鍵を1Password管理にしておいた。 GitHubの鍵を1Password管理にしといた。簡単だった。よいー。https://t.co/Vo2OA230V5— Mitz Shiiba (@bufferings) March 25, 2023 azuさんの記事だと、SSHの鍵以外も色々やってるんだけど、そのへんはまたの機会に。 便利 GitHubにアクセスするときに、macOSのTouch IDを使って指紋で認証するだけでよくて便利。しばらくは有効なので、毎回認証が必要なわけじゃないのも便利。 なんだけど、tmuxで新しいペインとかウィンドウを開くたびに聞かれてしまうのか、有効期限が短い
暗号・認証技術を用いて安全にリモートコンピューターと通信するためのSecure Shell(SSH)サーバーをターゲットとした、新種のP2Pボットネット「FritzFrog」の存在をセキュリティ研究者が報告しています。 FritzFrog: A New Generation of Peer-to-Peer Botnets | Guardicore Labs https://www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/ New P2P botnet infects SSH servers all over the world | Ars Technica https://arstechnica.com/information-technology/2020/08/new-p2p-botnet-infe
SSH Security Best Practices using Certificates, 2FA and Bastions
The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust
Tailscale(SSH)ことはじめ
はじめに Tailscale、気にはなっていたのだけれど、この辺りのツイートを見て興味が出たので、自分でも手を動かしたのでメモ。 Sign Up 費用感はこの辺りを読むとわかりやすい。個人利用なら20台は無料で使えるので検証には十分ですね。 Personalプランのリンクから登録すればよい。 と言っても、細かいサインアップの手続きはなく、MS/Google/GitHubいずれかのアカウントで連携するのみ。※私はGitHubで連携した。 Usage デバイス登録(一台目、Amazon Linux2) 早速1台目を登録してくれということなので、近場にあったAmazonLinux2 on EC2(というかCloud9)へ導入する。 基本的に言われるがままにコマンド実行するだけで、VPNの知識は特に何も調べてないままエージェントが導入される。 デバイス登録(二台目、Windows Server)
レッドハットの杉村です。Ansible のテクニカルサポートをしています。 今回は以前のお問い合わせいただいた事例から、SSH (Secure Shell Protocol) について一つ紹介しようと思います。Ansible は Linux サーバを制御対象とするときは SSH で接続して処理を実行しますので、SSH の通信についてのトラブルは問題に直結します。 RHEL 8.6 + Ansible Core 2.13 で確認しています。 Ansible の基本的な動作原理 まずは Ansible はどうやって動いているのかというのを軽く振り返ってみます。 Ansible が動作するサーバをコントロールノード、制御対象をマネージドノードと呼びます。流れを大まかに説明しますと、この図のようになります。 ① YAMLで書かれたプレイブックからタスクごとに小さなプログラムを生成する ② ①で生成
EmacsユーザがVSCode だけで開発するようになって1ヶ月が経った - type t (* void *)
必要にかられてVSCode縛り開発を一ヶ月やっていたのですが、普通に便利に開発できるようになったのでメモ。 VSCodeでしかできないことがある VSCode を使うことになった主な原因は2つある。 Live Share ひとつはリモート下で密接にペアプロする必要があったため。 その上で Live Share が便利すぎて手放せなくなった。 docs.microsoft.com 多分対面でやっていても、お互い別のマシンでLive Shareでつないでいる方が都合が良いくらい便利。 最近Pythonばかり書いておりますが、Pythonだと値の型とかわからなくなったときに debugger を使うことがおおく、 その際にお互いデバッガーの状態を共有したまま調査ペアプロとか出来るので非常に便利。 Remote SSH もう一つはリモートマシンにログインしてストレス無く開発するのにRemote S
ssh-keygenをブラウザだけでローカルで安全に鍵生成するWebアプリ - nwtgck / Ryo Ota
このssh-keygenコマンドで生成される公開鍵と秘密鍵は一度GitHubの設定で登録すれば捨てて良いもの。だからファイルに保存されずに生成されると手軽さが増すと思った。またssh-keygenコマンドがないと思われるモバイル端末上や、個人的にコマンドがあまり詳しくないWindows環境などでも常に生成されると嬉しい。そこでWebブラウザのローカルで安全に鍵生成できるWebアプリがほしくなった。
待望!Amazon ECSのコンテナにログインできるAmazon ECS Execを試してみた - SMARTCAMP Engineer Blog
スマートキャンプ、エンジニアの入山です。 前回のブログにも書きましたが、弊社では昨年末から既存のEC2からECS/Fargateへのインフラ移行作業を実施しています。 EC2からECSへ移行する上では、特に運用面が大きく変わります。利便性やメンバーへの教育コストを考慮すると、今までEC2でやっていた運用をECSでどう上手く代替するかが力の入れ所だと思います。 一ヶ月前に弊社インターンの関口が書いた以下の記事も、既存運用の置き換えやデバッグ時の利便性向上を目的とした手段の1つで、この記事を執筆した時点ではECS/Fargate上のコンテナに対するAWS公式のログイン手段はありませんでした。 tech.smartcamp.co.jp 弊社のECS移行も稼働直前の佳境を迎えている最中ですが、この度Amazon ECS Execがリリースされ、待ち望んでいたECS/Fargate上のコンテナに対す
はじめまして、Progateの村山です。 本記事はProgateAdventCalendarの15日目の記事です。 普段はSREチームでProgateの開発や運用を支える仕事をしており、Progateには今年の7月に入社しました。前職はElixirやk8sなどを使ったWebアプリケーションの開発や運用をしていました。 エンジニアであれば日常的に使うGitHubですが、仕事で個人用のアカウントを併用できない場合は仕事用のアカウントに切り替える必要があります。 本稿では作業ディレクトリ毎にGitHubのアカウントを切り替える方法を紹介します。 GitとGitHubのアカウントについて まずはじめにGitとGitHubは別物の概念で、GitHubはGitのリモートリポジトリをホスティングしているWebサービスです。GitはLinuxカーネルの開発者であるリーナスが開発した分散型バージョン管理シス
セキュリティで保護されていないネットワークと通じてコンピューターに安全にコマンドを送信する「Secure Shell(SSH)」プロトコルにおいてハンドシェイクプロセス中にシーケンス番号を操作してSSHプロトコルの整合性を破る「Terrapin Attack」という攻撃が発見されました。この操作で、攻撃者は通信チャネルを通じて交換されるメッセージを削除あるいは変更できるようになり、さまざまな攻撃が可能になります。 Terrapin Attack https://terrapin-attack.com/ Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation (PDFファイル)https://terrapin-attack.com/TerrapinAttack.pdf Terrapin a
この記事について WSL 上にインストールした Linux で systemctl コマンドが使用できない問題を解決します。 この記事では Ubuntu 20.04 LTS を使用して説明していますが、他のディストリビューションでも手順に大きな違いは無いと思いますので、参考にしていただければと思います。 環境 この記事は以下の環境にて動作を確認しています。 Windows 10 Pro 21H2 ( OS Build : 19044.1645 ) Windows Terminal v1.12.10982.0 Distrod v0.1.5 WSL2 ( Kernel version: 5.10.102.1 ) Distrodとは? 公式では以下の様に説明されています。 Distrod is a systemd-based meta-distro for WSL2 that allows yo
リモートワークを行う際に俎上に載る問題のひとつが「プライベートネットワークにある組織内リソースにどのようにアクセスするか」です。今回はそんな問題の解決策のひとつとなりうる、SSH経由でSOCKSプロキシを構築する方法を紹介しましょう。 HTTP/HTTPSが使えるVPN(のようなもの)がほしい ここからいろいろ述べますが、簡単に言うと「SSHのDynamic Port ForwardingをSOCKSプロキシとして利用する」というだけの話です。 さて、リモートワークによる働き方は、会社の文化・セキュリティ要件によって多種多様に分かれます。その中でも最も「ゆるい」のが、「個人の端末・インターネット回線を用いてあとは良しなにやってくれ」というものでしょう。作業がインターネット上で完結する、つまりパブリックなクラウドサービスを積極的に活用している業務であれば、それでもおおよそなんとかなります。
WEB開発において、複数人がサーバーにSSHでリモート接続した状態で作業をすることは、よくあるケースです。 開発サーバーのリソースを皆で利用しているため、過度な負荷をかけてしまうと、レスポンスが悪くなり、他のメンバーにも迷惑をかけてしまう恐れがあります。 特に、VSCodeを使用している人は、「ファイル監視」機能が入り、しらず知らずの内にサーバーに負荷をかけ、結果的にハングアップ!といったケースが実際にありました(ほろ苦いおもひで) (当時の自分。サーバーに高負荷がかかったことが話題になっている最中)「俺の訳がない(キリッ 。だってエディタ(VSCode)を使ってただけだもん」→ 完全にこいつが原因 ということで、メンバーの方からサーバー環境に負荷をかけないよう、指南を作ってもらった経緯があるので、ここでも共有したいと思います。 それに伴い、サーバーのリソース食い散らかすマンを避ける方法を
抜粋 : Release cadence - Amazon Linux 2023 メジャーリリースとマイナーリリースの内容は以下AWS公式ドキュメントに記載されています。メジャーリリース時には互換性があるか十分に検証した上でアップデートしましょう。 Major version release— Includes new features and improvements in security and performance across the stack. The improvements might include major changes to the kernel, toolchain, Glib C, OpenSSL, and any other system libraries and utilities. Major releases of Amazon Linux ar
Backlog課Gitチームの@vvatanabeです。 先日、BacklogのGitリポジトリへSSHでアクセスする機能を提供するサーバーが、ECDSAとEd25519のホスト鍵をサポートしました。 GitリポジトリへのSSHアクセスに関連するセキュリティアップデートのお知らせ その際、OpenSSHのSSHプロトコル拡張の一つである「UpdateHostKeys」と呼ばれる機能を、Goで書かれたSSHサーバーに実装したので、その経験をもとに機能の仕組みと実装について解説します。 はじめに SSHにおける「なりすまし」を防止する仕組み UpdateHostKeysを説明する前に、SSHにおける「なりすまし」を防止するための重要な要素として、「ホスト鍵」と「known hosts」という仕組みについて説明します。 識別子としてのホスト鍵 ホスト鍵とは、SSHでコンピュータを認証するために使
サービス開発部SRE課の@vvatanabeです。 2021年9月26日、OpenSSH 8.8がリリースされました。大きな変更として挙げられるのは、SHA-1ハッシュアルゴリズムを使用したRSA署名の廃止です。 本記事では、この変更がBacklogに与えた影響、その時現場で起こっていたこと、問題解決のプロセス、なにを教訓にしたのか等、順を追って解説します。 ※ 本記事はNuCon 2021で発表した内容をブログ化したものです。 問題の発覚 BacklogのGitへSSHでアクセスできない TypetalkのBacklog開発者のトピックで、以下のフィードバックが投稿されました。 「OpenSSH 8.8へアップデートすると、BacklogのGitへSSHアクセスできない」という内容でした。 問題の調査 Inside SSH protocol v2 深堀りしていく前に、SSHプロトコルの接
ALWAYS ONMosh was built for constant mobile connectivity. You can flawlessly jump from home, to the train, and then to the office thanks to Mosh. Blink is rock-solid connected all the way. And don't be afraid to put your device to sleep, when you wake it up later, your connections will be intact. Lag can make or break an experience. Mosh precludes network lag by performing intelligent local echo.
Introducing Tailscale SSH
Today we’re delighted to introduce Tailscale SSH, to more easily manage SSH connections in your tailnet. Tailscale SSH allows you to establish SSH connections between devices in your Tailscale network, as authorized by your access controls, without managing SSH keys, and authenticates your SSH connection using WireGuard®. Many organizations already use Tailscale to protect their SSH sessions — for
The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust
The Shadowserver Foundationは2024年1月3日(現地時間、以下同)、「X」(旧Twitter)へのポストでインターネットに公開されているSSHサーバのうちユニークIPベースで1100万台が、SSHを標的とした新しいサイバー攻撃「Terrapin攻撃」に対して脆弱(ぜいじゃく)だと伝えた。これはインターネットに公開されているSSHサーバの52%ほどと推測されている。 Terrapin攻撃はドイツのルール大学ボーフムの研究者らによって発見されたSSHプロトコルを標的とした新しい攻撃手法だ。コネクション初期段階のハンドシェイク中にシーケンス番号を調整してクライアントおよびサーバに気が付かれずにメッセージを削除するという中間者攻撃(MITM)の一種で、キーストロークの不明瞭化を無効化して弱い認証アルゴリズムを使用させるといったセキュリティの弱体化を引き起こすことが可能と
どうも。小林です。 みなさん、自動化してますか? 私の課では特定の顧客のシステムを多数運用しています。 かなり多くのシステムがあり、顧客側の担当者も異なるため、弊社側でも複数のチームを組んで手分けしてシステムを担当しています。 チームも顧客担当者も異なるとなれば、当然運用のやり方はシステムごとに変わってきます。その一方で統一できる部分は統一しておかないと全体の統制は効きづらくなってしまいます。 そこで「標準化チーム」を発足し、チーム間で共用するシステムのアカウント管理やその申請ルール、顧客報告やメンバーの勤怠管理といったものの標準化を進めています。 標準化の恩恵のひとつとして、「作業が単純化できて自動化しやすくなる」という点が挙げられます。 例えばアカウント発行の申請フォーマットを統一すると、「フォーマットにしたがって記載されたテキストをバッチに読み込ませてアカウントを自動的に発行する」と
セキュリティグループのSSH全開放をAWS Configで自動修復したら3分くらいで直ったからみんな使ってほしい件 | DevelopersIO
こんにちは、臼田です。 皆さん、自動化してますか?(挨拶 先日AWS Config Rulesでコンプライアンスに非準拠となった時に自動修復ができるようになりました。 もともとはLambdaを経由して自動修復が可能でしたが、今回はConfig Rulesで違反を検知してそのままSSM Automationを実行できるのでよりスマートに、より適切になった感じです。詳細は下記をご確認下さい。 [アップデート] AWS Config Rule 非準拠リソースを自動修復する機能が追加になりました! で、今回はこの機能を利用してSSHを0.0.0.0/0で全開放してしまったセキュリティグループを自動的に修復するという事をやってみました! タイトルに結論を書きましたが、3分くらいで自動的に修復されましたのでぜひ活用してほしいです。 SSHを全開放することは万死に値するので、もうすべてのAWSユーザはこ
シリアルコンソール便利っすよ
これは Raspberry Pi Advent Calendar 2020 の記事です。 こんにちは、まめもです。とても久しぶりにブログを書きます。よろしくおねがいします! Raspberry Piはいろいろ使えて便利ですよね。「ちょっとしたLinuxパソコンがほしいなぁ」っておもったときにすぐに用意できるのがとても魅力です。でも、最初のセットアップにキーボード・モニタ・マウスが必要なのはちょっと面倒ですよね。サーバとしてつかいたいから画面もキーボードもいらない。有線ネットワークにつないだらDHCPでIPアドレス振られるからそこからSSHすればいいんじゃないの?って思いますけど、最初のIPアドレスを調べるのがめんどい・・・。テキストのコンソールだけでいいから手早く接続したい。さて、そんなときには、シリアル接続で使うととても便利です。Raspberry PiのGPIO端子に3本の線をつなぐだ
手法 いくつかあると思うが、今回の選択肢としては次が挙がった Public SubnetにEC2を構築し、そのEC2を経由してPrivate RDS(など)にアクセスする手法と、 ECS Fargate × SSMで構築し、ECSに対してSSM接続することでProxyとする手法。 Pros and Cons EC2 Pros(長所) 馴染みのEC2なので何かと情報が出回っており、直感で操作できる 構築難易度がECSに比べ低い。 Cons(短所) EC2 Fargateパターンに比べ、イケイケ感の低さや運用コスト(後述)の違いがある 運用担当者がEC2内にSSHユーザーの設定をユーザー毎に行わなくてはいけない sshのkey pairをどう管理するのか問題が控えている ECS(Fargate) Pros(長所) まず、イケている。 運用担当者はSSHユーザーの作成不要で、IAMユーザーさえ作
1Password で SSH の鍵生成・管理、また Git のコミット署名を行うのが便利そう。今後はこれを使っていきたい - ドキュメントを見たほうが早い
developer.1password.com パスワード管理ソフトで有名な 1Password に SSH の鍵管理の機能が追加されていた。 新たにセットアップする機会がなかったのでスルーしていたが、セットアップ機会が訪れたので試してみたところ、思った以上に体験が良かった。 また GitHub に SSH 鍵でコミットの署名・検証を行える機能が追加された。 これらが組み合さって、これまでの鍵管理やコミット署名と比べて手間無くセキュアに出来ることに気づいてきたので紹介してみる。 1Password での SSH 鍵生成/管理 まず、1Password 8 から SSH の鍵を生成 / 管理できるようになった。 blog.1password.com 詳しいやり方は上記のブログやドキュメントを見てもらう方がわかりやすい。 この機能を使った GitHub への鍵の登録イメージはブログにもあるこの
ALPACA Attack
Paper Q&A How to ALPN/SNI Updates! News A big reevaluation of TLS libraries, TLS application servers, and a new internet scan by Jannik Hölling is now available in the Updates section! ALPACA will be presented at Black Hat USA 2021, USENIX Security Symposium 2021, and Real Word Crypto Symposium 2022! Recommended articles: Ars Technica (Dan Goodin), Golem (Hanno Böck; German) Introduction TLS is an
AWS Startup Tech Meetup Online #3 の登壇資料です。 ※映像はこちら 【p3】CodeZine の記事 https://codezine.jp/article/detail/12714 【p12】SSM セッションマネージャーのデモ https://www.youtube.com/watch?v=cc7jLW0FzzI 【p22】IAM 権限の設定例 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/getting-started-restrict-access-examples.html 【p22】AWS CLI プラグイン https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-
JAWS DAYS 2021の登壇資料です。 詳細はブログをご参照ください。 https://dev.classmethod.jp/articles/jaws-days-2021-control-tower/
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSHログイン時に公開鍵認証とGoogle OAuthで多要素認証する | ten-snapon.com
Public keys are not enough for SSH security
(ほぼ)無からのトラブルシューティング技法 - Qiita
SCP財団の『見飽きた要素の一覧』SCPに限らず創作者にとってたいへん参考になる文章なので読んでください
世界中のSSHサーバーをターゲットに感染するP2Pボットネット「FritzFrog」
Ansible の SSH の通信をデバッグする - 赤帽エンジニアブログ
ディレクトリごとに簡単にGitHubのアカウントを切り替える方法 - Progate Tech Blog
SSH接続への中間者攻撃を可能にするエクスプロイト「Terrapin Attack」が発見される
WSL2でsystemdを動かすDistrodが便利だった件 - Qiita
第617回 SOCKSを利用してSSHのみで簡易VPNを構築する | gihyo.jp
【VSCode使用者注意】サーバーリソース食い散らかすマンから解放される唯一の方法
Amazon Linux 2023がGAされました | DevelopersIO
OpenSSHのプロトコル拡張「UpdateHostKeys」の仕組みと実装 | 株式会社ヌーラボ(Nulab inc.)
OpenSSHがSHA-1を使用したRSA署名を廃止、BacklogのGitで発生した問題と解決にいたるまでの道のり | 株式会社ヌーラボ(Nulab inc.)
Blink Shell is a professional, desktop grade terminal for iOS. With Mosh & SSH clients for iOS, lightning fast and fully customizable. The best terminal for iOS and iPadOS.
SSH strategy: Uber, Facebook, and Netflix
SSHプロトコルを標的にした「Terrapin攻撃」 インターネットのSSHサーバの半数以上が脆弱だと判明
SSMって20種類あんねん 〜Run Commandで定期バッチを起動する〜 - NRIネットコムBlog
AWSのPrivateリソースに対してProxyを立ててアクセスするときに考えること
AWS Systems Manager で実現する SSH レスでセキュアなクラウド運用
AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制