カテゴリー: ガジェット Page 51 of 90

Mod SecurityによるIPアドレスブロック。(ネガティブリスト型)

攻撃の兆候

Mod Securityを導入して一昼夜――

公表していないURLであるにも関わらず、しっかりと攻撃の予兆がログに現れました。

※この方法で、サーバにアクセスすることなく、redmineへのログを一元管理しています。

この、不正アクセスの予兆を示したアクセス元を調べると

Torから来ている望ましくないものまであり、昨今の驚異を嫌でも感じずにいられません。

そこで、Apacheの設定ファイルではなくMod Securityの機能を用いてIPアドレスを遮断していきます。

参考:

Apache×Mod SecurityでカンタンWAF構築

https://qiita.com/m0nch1/items/ac7255399366fb113a82

環境

  • Ubuntu 20.o4 (Linux Mintでも同様)
  • Apache 2.4
  • Mod Security導入済み

手順

すべて管理者権限で実施しています。

バーチャルファイル編集

vi /etc/apache2/sites-available/VIRTUALHOST.conf
# 使っているバーチャルファイルに読み替えます
追記内容
## Negativelist
SecRule REMOTE_ADDR "@pmFromFile negativelist.txt" "phase:1,id:2,deny,msg:'Negativelisted IP address'"

ネガティブリスト作成

vi /etc/etc/apache2/sites-available/negativelist.txt
ネガティブリストの内容
XXX.XXX.XXX.XXX
YYY.YYY.YYY.YYY
#ブロックしたいIPアドレスを記入していきます
# 設定確認のため、自分自身のアクセス元を記入しました

ネガティブリスト反映

cd /etc/apache2/site-enabled
ln -s ../sites-available/negativelist.txt negativelist.txt
# 設定ファイルの位置を明示していないのでシンボリックリンクを張ります

設定変更

apache2ctl configtest
#Syntax OK を確認します
systemctl restart apache2

設定確認

上記手順で、「自分自身をブロックする」設定を入れ、redmineにアクセスして「403」が返ってくることとエラーログにその旨が記録されていることを確認。(その後、このアドレスは削除しています)

今後の展望

  • 不正アクセスを検知したらそのIPアドレスを自動的に追記する
  • 数が増え続けるため、いっそのことポジティブリストに切り替える

などが必要になってきます。

Apache + redmine環境にMod Security導入。

インターネット環境に構築したredmineに不正アクセスが飛んでくるというエントリーを投稿したところ、

「Mod Security導入も一つの手」

というコメントをいただき、早速導入することにしました。

環境

  • Ubuntu 20.04 (Linux Mintでも動作確認済み)
  • Apache 2.4

参考

インストール方法

全て管理者権限で実施しました。

システム全体のアップグレード

aptitude update
aptitude upgrade

Ubuntu 20.04にMod Securityをインストールします。

aptitude install libapache2-mod-security2
systemctl restart apache2

ModSecurity 設定ファイル/ディレクトリをコピーしていきます。

cp -pi /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
cd /tmp
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd /owasp-modsecurity-crs
cp -pi crs-setup.conf.example /etc/modsecurity/crs-setup.conf
cp -pir rules/ /etc/modsecurity/

ModSecurityの設定を行います。

vi /etc/apache2/mods-available/security2.conf
設定ファイル内容
<IfModule security2_module>
   # Default Debian dir for modsecurity's persistent data
   SecDataDir /var/cache/modsecurity

   # Include all the *.conf files in /etc/modsecurity.
   # Keeping your local configuration in that directory
   # will allow for an easy upgrade of THIS file and
   # make your life easier
   IncludeOptional /etc/modsecurity/*.conf
   Include /etc/modsecurity/rules/*.conf
</IfModule>

設定反映

systemctl restart apache2

redmine設定ファイル修正

vi /etc/apache2/sites-available/VIRTUALHOST.conf
# 各自のバーチャルホストファイルに読み替えます
追記内容
# Mod Security
SecRuleEngine On
## ModSecurity有効化
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
## ファイルのアップロードをできるようにします。
SecRuleRemoveById 949110
SecRuleRemoveById 941310
SecRuleRemoveById 980130
SecRuleRemoveById 911100
SecRuleRemoveById 200002
SecRuleRemoveById 200003
## 上記を無効化しないとチケット更新時にエラーとなりました(偽陽性)ため、上記ルールを除外します。
    SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
## テスト用の検知パラメータを付け加えます。

設定反映

systemctl restart apache2

設定確認

ブラウザから

http://your-site-domain/redmine/?modsecparam=test

にアクセスし、「Forbidden」が表示されることを確認します。

また、

  • チケットの更新ができること
  • ファイルのアップロードができること

をそれぞれ確認しました。

万年筆『ライティブ』ファーストインプレッション。

更に万年筆を積み上げました。

PILOT ライティブ

21年末に出たばかりの万年筆。

  • 比較的安価(2200円)
  • 大容量コンバータ対応
  • シールキャップ式

と、スペック盛り盛りの万年筆。文具コーナーで平積みされていたので購入です。

開封

かなりスッキリとしたシルエットと、長めのペン軸。(CON-70N)に対応しているので、インクも長持ちです。

感想

「不思議な感覚」というのが手に持った第一印象。ペンの長さに比して、軽いです。

それなのに、スーッと書けます。まるで、ボールペンのような滑りでペンが走りました。

そして、「プレピー」のようなパチンとハマるキャップも素敵です。これなら乾燥をある程度防いでくれるでしょう。

また、新たに書くための道具が加わりました。

リュックとサコッシュ。(Workman ジョイントリュックとアタッチメント)

より多くのボードゲームを背負えることが分かったWorkmanのジョイントリュック。

容量以上に気になる機能がありました。

「ジョイント」式

右にあるサコッシュとチョーキングサコッシュは比較のために写したのではありません。

リュック本体に取り付けられるからだったりします。

チョーキングサコッシュ

ペットボトルをさっと取り出せそうなこちらは、リュック側面に取り付け可能。

地図やらモバイルバッテリー入れに役立つこの平たいサコッシュは背面に取り付けられます。

装着図

と、こんな形になりました。

この「超」大容量に加えてのカスタマイズ性はびっくりです。

統一感とデコレーション。

2022年6月時点の文具一覧。

  • iPad mini 6
  • Moto G pro
  • ほぼ日手帳
  • Lenovo Chromebook Duet 560
  • どや文具ペンケース

Chromebookを新調し、iPad mini のカバーもそれに合わせたことで、紺で統一されました。

前回同様、これを飾ってみます。

購入:フレークシール

そこで、これを手に入れました。木の葉をあしらったシールの詰め合わせ。

こんな風に貼っていきます。粘着力が程々なので、もしものときにも貼り直しも楽そうです。

キーボードレストにも程よいシールがあったのも収穫でした。

デコレーション後

思ったとおり、紺に金と緑がアクセントになってくれました。

一番手に持ち、目にするものだからこそ、こういう「飾り」で主張はしていきたいなと。

万年筆の洗浄とインク差し替え。

放置によるインク詰まり

万年筆が増えてきたことで、別のトラブルが出てきました。

「あまり使わないものはインクが詰まってしまう」

そこで、部屋に転がっていたものを用いました。

超電波洗浄器によるクリーニング

超音波洗浄器。眼鏡店の軒先によく置いてあるあれです。これを使います。まず水道水でペン全体を洗い、水を張ってスイッチオン。

流水で「あらカタ流しただろう」って部分からとめどなくインクが放出されていきます。

4〜5分ほど放置したあと、すぐに拭き取り一昼夜乾燥させます。

インク再補充

乾燥が終わったものがこちら。早速、インクを補充して確かめます。

かすれがなくなりました。書き心地も元通りです。

そして、この方法が思いの外役立つこともわかったのも収穫でした。

プレピー専用ペンケース導入。

増え続ける万年筆

万年筆を途切れることなく使い続けてはや2年近く。「たくさんの色のインクを安価に使いたい」が目的のため、

大容量の「どや文具」ですら間に合わないケースが多くなってきました。

特に、「プレピーとコンバータ」という、現時点での最適解を見つけてしまったため、本数は更に増えます。

今回は「0.2mm」を使いたいためにさらに増やしたプレピー。そこで、収納問題を片付けるため、一つの方法に出ました。

専用ペンケース

今回利用したのはこちら。

以前もご紹介した布製のペンケースです。

これなら、まだ余裕が出てきますし、「プレピー専用」と割り切ることで、収納の区別もつきやすくなっていきます。

また、このペンケースとも色合い十分でした。

Chromebook 新調と買い足した理由。(Lenovo Duet 5)

購入: Chromebook Lenovo Duet 5

自分のモバイル機器の使い方に極めてマッチしているChromebookを買い換えました。

開封

飾りっ気の無い蓋を開けると本体。

そして、付属品が一緒についてきました。今時珍しく

  • キックスタンド
  • キーボード
  • スタイラス

までフルセットなのは非常にありがたいです。

心配だったキーボードの感触もいいですし、スピーカーも臨場感たっぷり。

何よりも8GB/256 EMMCの余裕ある性能が一番です。

反証:なぜ、このモデルを買うに至ったか

HP Chromebook x360を購入する際、

要件定義を行いました。

今回のモデルはそれらを一部覆しています。それに対して「Chromebookを使い続けた立場から」反証します。

クラムシェルからキックスタンドに変えた理由

「膝の上で使う」ことがなくなったからに尽きます。電車の中で使うモバイル機器はiPad miniで十分でした。

microSDカードスロットがない

結論から言って、microSDスロットを使う機会がほとんどありませんでした。むしろ、電源off/onで再マウントする手間がかかっていたのです。

それならば、「はじめから余裕のある性能にする」という結論に達したわけです。

結局:Chromebookに求めていたもの

タッチスクリーン対応

こちらは変わらず。Androidアプリを動かすためにも必要不可欠でした。

薄さと軽さ

出先で扱うためには取り回しよりもこちら。

打ちやすいキーボードピッチ

手が大きい方なので、12サイズ以上は必須です。

Linux環境を立ち上げられるスペック

最終的に求めていたのはこちらです。

  • 4GB メモリ
  • 64GB ストレージ

は、Linux環境のCLIや一部アプリがせいぜいでした。しかし、今回の8GB/256 EMMCともなると、Linuxもストレスなく動かせることが期待できます。

今回は開封まで。使い勝手のフィードバックはまた後ほどです。

redmineにショートカット機能を追加 。(プラグインredmine_shotrcutsを導入)

概要

「ありそうでなかった」というよりも「導入後、これなしでは考えられない」レベルに達したいいプラグインを手に入れました。

タイトルにあるように、Redmineにキーボードショートカットを追加するプラグインです。

環境

  • LinuxMint 21.03
  • Redmine 4.2
  • Apache 2.4

手順

全て管理者権限で実施しました。

プラグイン配置

cd /var/lib/redmine/plugins
# 各自のplugin配置ディレクトリに読み替えてください
sudo -u www-data git clone https://github.com/davidegiacometti/redmine_shortcuts.git

設定反映

systemctl restart apache2

導入後の設定

特にありません。導入後、redmineのトップページに

Redmine shortcuts

と表示されます。こちらをクリックすると

と、ショートカットのサマリーが表示されます。

特に便利だと思ったのがMarkdown記述をするときのショートカット。

強調したい文章を囲み、「Ctrl + B」すると

自動的にMarkdownを補完してくれます。さながら、redmineが高機能エディタとして使えるわけです。

redmineプラグイン起因のエラー解消。(プラグインアンインストール)

概要

redmineはプラグインによる機能追加が最大の魅力。ですが、導入後、

  • バージョンが合わない
  • 他のプラグインとの相性
  • DBやOSの環境

により、画像のようなエラーが多々発生して全てのページが閲覧できない事象が発生します。

今回、それらを解消する方法をメモとして記載します。

手順

全て管理者権限で実施しました。

プラグインアンインストール

cd /var/lib/redmine/plugins
# 各自のplugin配置ディレクトリに読み替えてください
 bundle exec rake redmine:plugins:migrate NAME=[プラグイン名] VERSION=0 RAILS_ENV=production

プラグインのディレクトリ削除

cd /var/lib/redmine/plugins
# 各自のplugin配置ディレクトリに読み替えてください
rm -rf [プラグイン格納ディレクトリ]
systemctl restart apache2

アンインストール後の確認

redmineのトップページにアクセスし、上記のエラー画像がないことを確認します。

Page 51 of 90

Powered by WordPress & Theme by Anders Norén