  |
はてなキーワード: VPNとは
アドバイスどうもありがとうございます。
https://anond.hatelabo.jp/20181218231219
本番サーバには入れないでね
phpMyAdminのセキュリティーって、過去の事例を見ると、あまり高くないようですね?
この手の管理ツールはセキュリティ侵害を受けた場合のダメージが大きいので、インターネットからアクセスできないようにしておくのが基本です。特にphpMyAdminは過去に致命的な脆弱性が何度も発見されており、インターネットにさらして利用するには向いていません。任意コード実行可能な脆弱性の事例もあり、DB以外にもリスクがあります。
内部ネットワークからしかアクセス出来ないようにしておきましょう。レンタルサーバのようなインターネットに孤立したサーバであっても、VPNの経路を作りそちらからしかアクセス出来ないようにしておくようにした方がよいでしょう。
IPアドレスによる制限は次善策です。アクセス元のIPアドレスが固定されており他人と共有していないならそれなりに安全になります。
URLによる隠蔽は外部から攻撃可能な既知の脆弱性をスキャンするようなカジュアルなアタック避け程度にはなりますが、URLは何かと漏洩するものですので、一般にセキュリティ手法と見なされていません。
アクセス制限をした場合でも、認証は必ず設定する必要があります。例えばCSRFのような攻撃にはアクセス制限は無意味です。
phpMyAdminの認証とHTTP認証のどちらを使う方がよいかは使ったことがないのでわかりませんが、HTTP認証の場合BASICではなくダイジェスト認証にしてください。BASIC認証は(ほぼ)生で認証情報が流れますので使ってはいけません。(ブラウザで人が操作する場合以外にはBASIC認証を使わざるを得ない場合もあります)
こんなかんじでしょうか?
アカウント作ろうとしたら作成後即凍結されたり電話認証やBOT認証を要求されたりした(しかも電話認証通らないしBOT認証はページが進まないクソっぷり)
以下の事ができるならやろう
アカウント名をなるべく人間味のあるものにする(つまり機械名やNATOコードなどもってのほか)
自己補足。
ついでに言うと、あえてルール違反する人は例えば普通郵便に現金入れる人ならバレないように便箋で包んだりするよね。
爆発物送る人だって当然バレないように送るよね。
ISPにブラウザから普通に違法サイトへコネクション張ってくれっていうのは「違法なことします」って言いながら郵便窓口に行ってるようなものでしょ。
違法なことしたかったらそれなりに自覚した上で、torだとかVPNだとか頭を使うべきで、何も考えてない大衆のもろに「違法サイトにアクセスします」って公言してるパケットを通す権利守るのはキツくない?
郵便局は宛先の住所見て外国への郵便は高い料金取るし、北朝鮮の住所書いても送ってくれないよね?
通信の秘密があっても普通郵便で現金や法的書類送るなとか、爆発物は送るなとか中身にすらルール決めてるよね?通信内容が完全に秘密だったらわかりようがないんだからナンセンスだよね?
つまり通信事業者は宛先を見てサービス変えてるし法律に応じて中身に口出しもしてるよね?
電話だって国際電話かけたら国内電話より高い料金とられるよね?それは宛先の情報取得してるからだよね?
で、ISPにとってIPはパケット送信のための必要な宛先情報だから、ISPのサーバはフィルタリングするしないに関わらず情報としては取得してるよね?
でなんで違法な宛先を断るのがダメなの?上の例で言ったら北朝鮮に手紙送れって言ってるようなものじゃない?
俺もブロッキングは反対だけど、宛先見て遮断するだけのことに通信の秘密ってあまり盾になってなくない?
郵便局の窓口ではラベルに宛先と内容物書かされて係員に見られるよね?
客「○○宅に爆発物を送りたいんですけど」 郵便局「お断りします」
客「違法サイトの80番ポートにコネクション張りたいんですけど」 ISP「お断りします」
この2つがどう違ってなんで後者だけ通信の秘密を盾にできるのかがよくわからない
例えばメールの内容の検閲等したらそれは完全に駄目だけど、違法コンテンツしかない違法サイトにコネクション張らせないのは郵便でいう「宛先ラベル」の段階で断るだけだから検閲じゃなくない?
ついでに言うと、あえてルール違反する人は例えば普通郵便に現金入れる人ならバレないように便箋で包んだりするよね。
爆発物送る人だって当然バレないように送るよね。
ISPにブラウザから普通に違法サイトへコネクション張ってくれっていうのは「違法なことします」って言いながら郵便窓口に行ってるようなものでしょ。
違法なことしたかったらそれなりに自覚した上で、torだとかVPNだとか頭を使うべきで、何も考えてない大衆のもろに「違法サイトにアクセスします」って公言してるパケットを通す権利守るのはキツくない?
昨今流行りの機械学習でプロジェクトがぽこぽこ立ち上がっている状況なのだが、一部の人を除き、apt-getで躓いているのは会社にとって損失だと考え、オンプレクラウドのようなものを構築することにした。
グループ全体の規模はそこそこ大きいが、将来単なるアッセンブリー屋になることが目に見えている事もあり(今後20年以内には喰われてしまうという憶測もあり)ネットワーク、Linux、コンテナ、プログラミングが出来る自分が社内の機械学習、引いてはITインフラの民主化、なんだったら外販できるくらいのもの作ってやろうと鼻息巻いて無理やり一人プロジェクトを興すことにした。
まずは既存DHCPサーバ、名前解決ができないDNSサーバからゲートウェイPCを用いてネットワーク的に分離、社内の物理的な設置スペースの問題でデスクトップPCとサーバPCが離れた所にあるため、WireGuardでVPN構築、ゲートウェイPCはそれぞれKea DHCPサーバ、PowerDNSサーバを稼働させ、OpenStack導入検討時に悩んだ鶏が先か卵か先か問題を解決することにした。
上述の通り、システム構築にあたってOpenStackやMAAS,RancherOSなどを検討したが、社内のニーズを「100%」汲みとった上で、次世代のオンプレクラウド(個人的にはエッジクラスタがゆるく繋がるアメーバクラウド?のような呼称があっている気がするが)を構築するにはどれも痛し痒しで何かしら制限がついて回るのは許容できなかった。これは今後5年、特に海外事業所の開発者の事を考えた時には外せない要件だった。
とはいえmiekg/dnsを用いてCoreDNS進化版を作るにはリソースが足りず、BINDを用いるにはSA対応がしんどすぎるため、APIを備えており、今後も進化が見込めるであろうOSS、また必要であれば商用製品や保守サービスが受けられる事から上記2つを選択した。
PowerDNSはさておき、ISC KeaはナウでYANGなLinux YANGに対応しようとしているなど(言いたかっただけ)、世の中のオンプレ環境を塗り替えるためには兎にも角にもAPIゲートウェイが重要だと考えたため、双方が提供しているAPIをうまく吸収するミドルウェア(とちょっとしたAPIサーバ)をGo言語で作成した。
次に世の中のパブリッククラウドやOpenStackなどを触ったことのある開発者はCloud-initに慣れているはずという前提の元、対応コスト勘案の結果、NoCloudで対応しつつ、上記のAPIサーバと連携し、ベアメタルマシン管理した事のある人はわかる、ベアメタルマシン特有の諸問題を解決することにした。
まぁなんだかんだ大企業なのでお金で解決する手段もあるが、そもそも高集積ラック搭載GPUサーバ購入の稟議が通るような会社だったら既にKubernetes導入しているだろうし、俺もこんなことしてない。
脱線したが、上記以外にも検証やバックアッププランとしてAnsible記述などの作業はありつつも、3ヶ月かけてようやく基礎となるインフラ基盤が構築できたため、nuxt.js+goで簡単なフロントエンドサーバを構築し、一人情シスの様相を呈している部下のリソース開放、Calico対応+Kubernetes導入、不安がっている上席が安心できるように、分かりやすい餅を用意しようとしている、というのが現状。
ここまで寝る時間も惜しんでトップスピードを維持したまま頑張ってきたものの、少し限界を感じている。
特にオンプレクラウドは部外者が中々見えてこないものがあり、なんならその見えないものを限界まで吸収できるように、かつ現実的に実現可能なギリギリのラインを狙っているのだが、そもそも周りに相談しようとしても何を言っているのか解説する所から始めないといけない。
覚悟はしていたが、ふとした時にとてつもない脱力感に襲われてしまう。
世の中を切り開いてきた諸氏はおそらく一度はぶつかったであろう、この内なる自分の壁をどのように突破してきたのだろうか?
ひたすら孤独との戦いだというのは頭では理解しているものの、突発的にくるこの脱力感はいかんともしがたい。
どっかの電気自動車すげーな。VPNを暗号化してなかったとか、通勤時間帯になると今まで売った車が全部一気ににログインしてきてサーバのオートスケールが間に合わないとか、バグ入り更新データを公開した社内のバカのために売った車全部でブートループが始まって手が足りる限り一台ずつsshして直したとか、そりゃトヨタもケツまくって逃げるわ。恐らく事故った時すぐデータ出てくる理由もサーバが超巨大なゴミの塊だからrootでログインして車台番号grepすれば即出てくるってだけだわ。あまりに設計がゴミすぎる故に管理が楽だと。
オートパイロットもあんまり検証してる雰囲気じゃないな。ビルド通ってなんとなくまっすぐ走ったらはいOKって感じ。他の自動車メーカーみたいな最低限なんもせんけど事故だけはせんって雰囲気全く無い。
客の車やぞ!!!!!!!!!!!お客様の2000万円の車やぞ!!!!!お前の自宅のRaspberry Piとちゃうんやぞ!!!!!!!!!ファーストサーバもびっくりだわ。
PCをSurfaceにし、タブレットやスマホも増えてきたので、データのバックアップや他端末への移動が億劫になってきた
ってことで、NASを導入してみた
Synologyと迷ったけども、初心者なのでBUFFALOで3TBくらいのRAID1のやつにした
そんでなんとなく、オンラインサービスとの使い分けもできそうな気がしてきた
買い出しメモ等の複数Userが様々な端末から参照したいデータは、GoogleSuiteなんかで管理する
そんでそれらから漏れるようなデータ(データ量が大きいやつ)については、NASで管理って感じ
自分が快適になったのはそうだが、カメラが趣味の家族も写真整理が楽になったと喜んでいる
常に可動していて、無線でアクセスできるHDDってだけでもメリットは大きいようだ
ただ、やっぱり家の外からNASにアクセスしたいし、スキャナで取ったデータを直接NASに入れたいので
次に買い換える機会があったらSynologyに挑戦してみたいと思う。できればVPNもしたいし。
とりあえず今はこのNASを使い倒すぞー
https://www.ebay.com/sch/Software-/18793/i.html
・アンチウイルスソフト(特にKasрerskyとBitDefeиder)の大半はインド版VLの切り売りだからVPNを介さないとアクチできないし、日本語に対応していなかったりするっぽい
・M$ 0ffiсeは全世界共通ライセンスだから海外のライセンスでも普通に日本でアクチとかが出来るっぽいのと、Pro PlusだからこれもVL切り売り
・Windоws 10 ProはヤフオクにもよくあるPCから剥がしたシールの再販かやはりこれもVLの切り売りかな?なので新規インストールのみで10から10Proへのアップグレードには使えないっぽい
・極稀に大本営にバレてライセンス無効化されたりするのと、在庫がなくなったら商品を消すどころか店ごとどろんするパターンが多い
・商品説明と上記を見比べてみるとわかるが通り商品説明にはところどころ嘘がある
・他のVL切り売り屋に比べてかなり安いし、サイトごとの余分な登録の手間などがかからず手軽
・他のVL切り売り屋とかゲームコードやギフト券を安くで売っている怪しいサイト(p○ngamesとかG○Aとか)と同様にマネー・ロンダリングに使われているものも中にはあるのでは、という説
あえて圧縮VPNを使っていたので気にならないが、それと強制されるのは別問題。
SSLが著しく遅くなっている。
強いて言うならpingがやや遅い。
常時高速で使っても余る。
IIJ系列には低速3日制限があり引っかかる可能性が高かったが、常時高速なら何の問題もない。
エントリーパッケージ・ポイントサイト・キャンペーンの重複により、12ヶ月使ってmineoに戻ると実質1506円/月になる。
今のmineoの1631円/月より安い。
mineoには7GBあり、料金は日割り。
IIJmioは初月3GBしかなく、高速通信量も料金も日割り。
日割なのでいつMNPしてもMNP後は変わらないが、MNP前は高速通信をたっぷり使える。
よってなるべく遅くした方が良い。
一番良いのが月末だろう。
