ミニ一斗缶
百均で新たに購入したのはこちらです。
ダウンサイジングした一斗缶。しっかりと「オリーブオイル」のラベルまで貼られています。これをさっそくこう使いました。
ペンスタンド
深さ、大きさがペンスタンドにピッタリ。しかも、適度な重さがあるので倒れにくいのもナイス。
撮影
と、このように、いつものフィギュア撮影に添えてもマッチします。
百均グッズ、思わぬところで思わぬ使い道があるのが素敵です。
カテゴリー: ガジェット Page 54 of 93
やりたいこと
Mod Securityを導入してから、不正アクセスがerror.logに現れるようになりました。
そのアドレスをネガティブリストに放り込むことで後続のアクセスをブロックする方法は設定しました。
そこで、
- 日ごとにerror.logで検知したログを確認し
- IPアドレスのみを抜き出してリスト化する
設定を行います。
環境
- Ubuntu 20.04(Linux Mint)
- Apache 2.4
- Mod Security
※ログは/var/lib/redmine/log に格納されています。
手順
一般ユーザで実施します。
参考:
apacheのerror.logからIPアドレスを抜き出します。
cd /var/lib/redmine/log
cat error.log | awk 'match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/) { print substr($0, RSTART, RLENGTH) }'
# IPアドレスのみ表示されることを確認。IPアドレスを並べ替え、重複を除外します。
cd /var/lib/redmine/log
cat error.log | awk 'match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/) { print substr($0, RSTART, RLENGTH) }' | sort | uniq
# 一意のアドレスのみが表示されることを確認。自動実行するスクリプトを作成します。
cd /hoge/
vi negativelist.shスクリプト内容
#!/bin/sh
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
cd /var/lib/redmine/log
cat error.log | awk 'match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/) { print substr($0, RSTART, RLENGTH) }' | sort | uniq > /var/lib/redmine/log/suspicious_ip.`date +%Y%m%d`スクリプトに実行権限を付与します。
chmod +x negativelist.sh日ごとに実行されるように設定します。
sudo su -
crontab -u www-data -e
# redmineのログプラグインで閲覧できるよう、apache実行ユーザのcronを編集しますcron内容
0 8 * * * /hoge/negativelist.shこれで、「Mod Securityが不正アクセスと見なしたIPアドレスを日ごとに抜き出す」仕組みが整いました。
(シェルスクリプトで指定したディレクトリ内に、suspicious_ip.yyyymmdd というファイルが作成されます。
また、/var/lib/redmine/log 配下に置くことで、redmineのログプラグインで表示することができます。)
直接ネガティブリストに追記しないのは、偽陽性で自分自身がブロックされるのを防ぐためです。
攻撃の兆候
Mod Securityを導入して一昼夜――
公表していないURLであるにも関わらず、しっかりと攻撃の予兆がログに現れました。
※この方法で、サーバにアクセスすることなく、redmineへのログを一元管理しています。
この、不正アクセスの予兆を示したアクセス元を調べると
Torから来ている望ましくないものまであり、昨今の驚異を嫌でも感じずにいられません。
そこで、Apacheの設定ファイルではなくMod Securityの機能を用いてIPアドレスを遮断していきます。
参考:
Apache×Mod SecurityでカンタンWAF構築
https://qiita.com/m0nch1/items/ac7255399366fb113a82
環境
- Ubuntu 20.o4 (Linux Mintでも同様)
- Apache 2.4
- Mod Security導入済み
手順
すべて管理者権限で実施しています。
バーチャルファイル編集
vi /etc/apache2/sites-available/VIRTUALHOST.conf
# 使っているバーチャルファイルに読み替えます追記内容
## Negativelist
SecRule REMOTE_ADDR "@pmFromFile negativelist.txt" "phase:1,id:2,deny,msg:'Negativelisted IP address'"ネガティブリスト作成
vi /etc/etc/apache2/sites-available/negativelist.txtネガティブリストの内容
XXX.XXX.XXX.XXX
YYY.YYY.YYY.YYY
#ブロックしたいIPアドレスを記入していきます
# 設定確認のため、自分自身のアクセス元を記入しましたネガティブリスト反映
cd /etc/apache2/site-enabled
ln -s ../sites-available/negativelist.txt negativelist.txt
# 設定ファイルの位置を明示していないのでシンボリックリンクを張ります設定変更
apache2ctl configtest
#Syntax OK を確認します
systemctl restart apache2設定確認
上記手順で、「自分自身をブロックする」設定を入れ、redmineにアクセスして「403」が返ってくることとエラーログにその旨が記録されていることを確認。(その後、このアドレスは削除しています)
今後の展望
- 不正アクセスを検知したらそのIPアドレスを自動的に追記する
- 数が増え続けるため、いっそのことポジティブリストに切り替える
などが必要になってきます。
インターネット環境に構築したredmineに不正アクセスが飛んでくるというエントリーを投稿したところ、
「Mod Security導入も一つの手」
というコメントをいただき、早速導入することにしました。
環境
- Ubuntu 20.04 (Linux Mintでも動作確認済み)
- Apache 2.4
参考
- https://idroot.us/install-modsecurity-apache-ubuntu-20-04/
- https://qiita.com/Ayutanalects/items/08660d78ed70818b5782
インストール方法
全て管理者権限で実施しました。
システム全体のアップグレード
aptitude update
aptitude upgradeUbuntu 20.04にMod Securityをインストールします。
aptitude install libapache2-mod-security2
systemctl restart apache2ModSecurity 設定ファイル/ディレクトリをコピーしていきます。
cp -pi /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
cd /tmp
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd /owasp-modsecurity-crs
cp -pi crs-setup.conf.example /etc/modsecurity/crs-setup.conf
cp -pir rules/ /etc/modsecurity/ModSecurityの設定を行います。
vi /etc/apache2/mods-available/security2.conf設定ファイル内容
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity
# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
Include /etc/modsecurity/rules/*.conf
</IfModule>設定反映
systemctl restart apache2redmine設定ファイル修正
vi /etc/apache2/sites-available/VIRTUALHOST.conf
# 各自のバーチャルホストファイルに読み替えます追記内容
# Mod Security
SecRuleEngine On
## ModSecurity有効化
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
## ファイルのアップロードをできるようにします。
SecRuleRemoveById 949110
SecRuleRemoveById 941310
SecRuleRemoveById 980130
SecRuleRemoveById 911100
SecRuleRemoveById 200002
SecRuleRemoveById 200003
## 上記を無効化しないとチケット更新時にエラーとなりました(偽陽性)ため、上記ルールを除外します。
SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
## テスト用の検知パラメータを付け加えます。設定反映
systemctl restart apache2設定確認
ブラウザから
http://your-site-domain/redmine/?modsecparam=test
にアクセスし、「Forbidden」が表示されることを確認します。
また、
- チケットの更新ができること
- ファイルのアップロードができること
をそれぞれ確認しました。
更に万年筆を積み上げました。
PILOT ライティブ
21年末に出たばかりの万年筆。
- 比較的安価(2200円)
- 大容量コンバータ対応
- シールキャップ式
と、スペック盛り盛りの万年筆。文具コーナーで平積みされていたので購入です。
開封
かなりスッキリとしたシルエットと、長めのペン軸。(CON-70N)に対応しているので、インクも長持ちです。
感想
「不思議な感覚」というのが手に持った第一印象。ペンの長さに比して、軽いです。
それなのに、スーッと書けます。まるで、ボールペンのような滑りでペンが走りました。
そして、「プレピー」のようなパチンとハマるキャップも素敵です。これなら乾燥をある程度防いでくれるでしょう。
また、新たに書くための道具が加わりました。
より多くのボードゲームを背負えることが分かったWorkmanのジョイントリュック。
容量以上に気になる機能がありました。
「ジョイント」式
右にあるサコッシュとチョーキングサコッシュは比較のために写したのではありません。
リュック本体に取り付けられるからだったりします。
チョーキングサコッシュ
ペットボトルをさっと取り出せそうなこちらは、リュック側面に取り付け可能。
地図やらモバイルバッテリー入れに役立つこの平たいサコッシュは背面に取り付けられます。
装着図
と、こんな形になりました。
この「超」大容量に加えてのカスタマイズ性はびっくりです。
2022年6月時点の文具一覧。
- iPad mini 6
- Moto G pro
- ほぼ日手帳
- Lenovo Chromebook Duet 560
- どや文具ペンケース
Chromebookを新調し、iPad mini のカバーもそれに合わせたことで、紺で統一されました。
前回同様、これを飾ってみます。
購入:フレークシール
そこで、これを手に入れました。木の葉をあしらったシールの詰め合わせ。
こんな風に貼っていきます。粘着力が程々なので、もしものときにも貼り直しも楽そうです。
キーボードレストにも程よいシールがあったのも収穫でした。
デコレーション後
思ったとおり、紺に金と緑がアクセントになってくれました。
一番手に持ち、目にするものだからこそ、こういう「飾り」で主張はしていきたいなと。
放置によるインク詰まり
万年筆が増えてきたことで、別のトラブルが出てきました。
「あまり使わないものはインクが詰まってしまう」
そこで、部屋に転がっていたものを用いました。
超電波洗浄器によるクリーニング
超音波洗浄器。眼鏡店の軒先によく置いてあるあれです。これを使います。まず水道水でペン全体を洗い、水を張ってスイッチオン。
流水で「あらカタ流しただろう」って部分からとめどなくインクが放出されていきます。
4〜5分ほど放置したあと、すぐに拭き取り一昼夜乾燥させます。
インク再補充
乾燥が終わったものがこちら。早速、インクを補充して確かめます。
かすれがなくなりました。書き心地も元通りです。
そして、この方法が思いの外役立つこともわかったのも収穫でした。
増え続ける万年筆
万年筆を途切れることなく使い続けてはや2年近く。「たくさんの色のインクを安価に使いたい」が目的のため、
大容量の「どや文具」ですら間に合わないケースが多くなってきました。
特に、「プレピーとコンバータ」という、現時点での最適解を見つけてしまったため、本数は更に増えます。
今回は「0.2mm」を使いたいためにさらに増やしたプレピー。そこで、収納問題を片付けるため、一つの方法に出ました。
専用ペンケース
今回利用したのはこちら。
以前もご紹介した布製のペンケースです。
これなら、まだ余裕が出てきますし、「プレピー専用」と割り切ることで、収納の区別もつきやすくなっていきます。
また、このペンケースとも色合い十分でした。
購入: Chromebook Lenovo Duet 5
自分のモバイル機器の使い方に極めてマッチしているChromebookを買い換えました。
開封
飾りっ気の無い蓋を開けると本体。
そして、付属品が一緒についてきました。今時珍しく
- キックスタンド
- キーボード
- スタイラス
までフルセットなのは非常にありがたいです。
心配だったキーボードの感触もいいですし、スピーカーも臨場感たっぷり。
何よりも8GB/256 EMMCの余裕ある性能が一番です。
反証:なぜ、このモデルを買うに至ったか
HP Chromebook x360を購入する際、
要件定義を行いました。
今回のモデルはそれらを一部覆しています。それに対して「Chromebookを使い続けた立場から」反証します。
クラムシェルからキックスタンドに変えた理由
「膝の上で使う」ことがなくなったからに尽きます。電車の中で使うモバイル機器はiPad miniで十分でした。
microSDカードスロットがない
結論から言って、microSDスロットを使う機会がほとんどありませんでした。むしろ、電源off/onで再マウントする手間がかかっていたのです。
それならば、「はじめから余裕のある性能にする」という結論に達したわけです。
結局:Chromebookに求めていたもの
タッチスクリーン対応
こちらは変わらず。Androidアプリを動かすためにも必要不可欠でした。
薄さと軽さ
出先で扱うためには取り回しよりもこちら。
打ちやすいキーボードピッチ
手が大きい方なので、12サイズ以上は必須です。
Linux環境を立ち上げられるスペック
最終的に求めていたのはこちらです。
- 4GB メモリ
- 64GB ストレージ
は、Linux環境のCLIや一部アプリがせいぜいでした。しかし、今回の8GB/256 EMMCともなると、Linuxもストレスなく動かせることが期待できます。
今回は開封まで。使い勝手のフィードバックはまた後ほどです。