「VPN」を含む日記

はてなキーワード: VPNとは

2018-12-21

■弊社

通信機器を扱ってて、最近になって海外でも使えるものを取り扱うようになったんだが、ひどい。

取り扱いはトップと相方二人で決め、残りの社員にどんな端末かの説明はなし（朝礼？情報交換？勉強会？なにそれおいしいの？）

社員みんなが機械に興味あればまだよかったものを、情報リテラシー小学生以下みたいなおっさんたちが自主的に勉強や調査をするわけがなく…自社製品がどこで使えるか把握もしてなければVPNの存在を知らず非対応機種を中国で使わせる始末。マジか。

部署が違うとはいえ色々と爆発する前に逃げた方がよさそうだわ。

Permalink | 記事への反応(0) | 15:43

2018-12-18

■（PHP）　phpMyAdminのセキュリティー

アドバイスどうもありがとうございます。

https://anond.hatelabo.jp/20181218231219

本番サーバには入れないでね

phpMyAdminのセキュリティーって、過去の事例を見ると、あまり高くないようですね？

phpmyadmin - phpMyAdminのセキュリティについて - スタック・オーバーフロー https://ja.stackoverflow.com/questions/42501/

この手の管理ツールはセキュリティ侵害を受けた場合のダメージが大きいので、インターネットからアクセスできないようにしておくのが基本です。特に phpMyAdminは過去に致命的な脆弱性が何度も発見されており、インターネットにさらして利用するには向いていません。任意コード実行可能な脆弱性の事例もあり、DB以外にもリスクがあります。
　
内部ネットワークからしかアクセス出来ないようにしておきましょう。レンタルサーバのようなインターネットに孤立したサーバであっても、VPNの経路を作りそちらからしかアクセス出来ないようにしておくようにした方がよいでしょう。
　
IPアドレスによる制限は次善策です。アクセス元のIPアドレスが固定されており他人と共有していないならそれなりに安全になります。
　
URLによる隠蔽は外部から攻撃可能な既知の脆弱性をスキャンするようなカジュアルなアタック避け程度にはなりますが、URLは何かと漏洩するものですので、一般にセキュリティ手法と見なされていません。
　
アクセス制限をした場合でも、認証は必ず設定する必要があります。例えばCSRFのような攻撃にはアクセス制限は無意味です。
　
phpMyAdminの認証とHTTP 認証のどちらを使う方がよいかは使ったことがないのでわかりませんが、HTTP 認証の場合 BASICではなくダイジェスト認証にしてください。BASIC 認証は（ほぼ）生で認証情報が流れますので使ってはいけません。(ブラウザで人が操作する場合以外にはBASIC 認証を使わざるを得ない場合もあります）

対応策

phpMyAdminはローカルの開発サーバーで使う。
本番サーバーのMySQLはメンテナンスのときだけ、Adminer.php等を使う。（使用前にコピーして、使用後は削除する）　もしくはMySQLのコマンドで操作する。

こんなかんじでしょうか？

Permalink | 記事への反応(0) | 23:25

2018-12-07

■anond:20181206214612

昔、自宅のWiFi アクセスポイントをわざとパスワードなしに設定してWiFi経由の通信を全てダンプしてたこともあります。

その辺に漂ってるWiFi使うときはちゃんと暗号化されたVPNを通して使うなどの対策をした方がいいと思いますよ。

Permalink | 記事への反応(1) | 19:59

2018-11-17

■anond:20181117114626

ぶっちゃけ携帯にカスタマイズ性は求めていない。シンプルに使えればそれで良い。

ただ、VPNのオンオフはコントロールセンターで使える様に拡張したい(笑)

Permalink | 記事への反応(0) | 17:51

2018-10-16

■ついったー

アカウント作ろうとしたら作成後即凍結されたり電話認証やBOT 認証を要求されたりした(しかも電話認証通らないしBOT 認証はページが進まないクソっぷり)

以下の事ができるならやろう

ルーパチ(VPNは役に立たない)

アカウント名をなるべく人間味のあるものにする(つまり機械名やNATO コードなどもってのほか)

パスワードは適当なサイトで生成して既存の全てと関わりのないものにする、できればローマ字読みとか入ってるといい

Permalink | 記事への反応(0) | 22:38

■anond:20181016034714

自己補足。

ついでに言うと、あえてルール違反する人は例えば普通郵便に現金入れる人ならバレないように便箋で包んだりするよね。

爆発物送る人だって当然バレないように送るよね。

ISPにブラウザから普通に違法サイトへコネクション張ってくれっていうのは「違法なことします」って言いながら郵便窓口に行ってるようなものでしょ。

違法なことしたかったらそれなりに自覚した上で、torだとかVPNだとか頭を使うべきで、何も考えてない大衆のもろに「違法サイトにアクセスします」って公言してるパケットを通す権利守るのはキツくない？

Permalink | 記事への反応(0) | 04:35

■ブロッキングと通信の秘密への素朴な疑問

郵便局は宛先の住所見て外国への郵便は高い料金取るし、北朝鮮の住所書いても送ってくれないよね？

通信の秘密があっても普通郵便で現金や法的書類送るなとか、爆発物は送るなとか中身にすらルール決めてるよね？通信内容が完全に秘密だったらわかりようがないんだからナンセンスだよね？

つまり通信事業者は宛先を見てサービス変えてるし法律に応じて中身に口出しもしてるよね？

電話だって国際電話かけたら国内電話より高い料金とられるよね？それは宛先の情報取得してるからだよね？

で、ISPにとってIPはパケット送信のための必要な宛先情報だから、ISPのサーバはフィルタリングするしないに関わらず情報としては取得してるよね？

でなんで違法な宛先を断るのがダメなの？上の例で言ったら北朝鮮に手紙送れって言ってるようなものじゃない？

俺もブロッキングは反対だけど、宛先見て遮断するだけのことに通信の秘密ってあまり盾になってなくない？

[返信への返信をコピペ追記]

郵便局の窓口ではラベルに宛先と内容物書かされて係員に見られるよね？

客「○○宅に爆発物を送りたいんですけど」　郵便局「お断りします」

客「違法サイトの80番ポートにコネクション張りたいんですけど」　ISP「お断りします」

この2つがどう違ってなんで後者だけ通信の秘密を盾にできるのかがよくわからない

例えばメールの内容の検閲等したらそれは完全に駄目だけど、違法コンテンツしかない違法サイトにコネクション張らせないのは郵便でいう「宛先ラベル」の段階で断るだけだから検閲じゃなくない？

ついでに言うと、あえてルール違反する人は例えば普通郵便に現金入れる人ならバレないように便箋で包んだりするよね。

爆発物送る人だって当然バレないように送るよね。

Permalink | 記事への反応(6) | 00:50

2018-09-19

■とある 会社で機械学習 環境を整備しているんだが心が折れそうだ

昨今流行りの機械学習でプロジェクトがぽこぽこ立ち上がっている状況なのだが、一部の人を除き、apt-getで躓いているのは会社にとって損失だと考え、オンプレクラウドのようなものを構築することにした。

グループ全体の規模はそこそこ大きいが、将来単なるアッセンブリー屋になることが目に見えている事もあり（今後20年以内には喰われてしまうという憶測もあり）ネットワーク、Linux、コンテナ、プログラミングが出来る自分が社内の機械学習、引いてはIT インフラの民主化、なんだったら外販できるくらいのもの作ってやろうと鼻息巻いて無理やり一人プロジェクトを興すことにした。

まずは既存 DHCP サーバ、名前解決ができないDNS サーバからゲートウェイ PCを用いてネットワーク的に分離、社内の物理的な設置スペースの問題でデスクトップ PCとサーバ PCが離れた所にあるため、WireGuardでVPN構築、ゲートウェイ PCはそれぞれKea DHCP サーバ、PowerDNS サーバを稼働させ、OpenStack導入検討時に悩んだ鶏が先か卵か先か問題を解決することにした。

上述の通り、システム構築にあたってOpenStackやMAAS,RancherOSなどを検討したが、社内のニーズを「100%」汲みとった上で、次世代のオンプレクラウド（個人的にはエッジクラスタがゆるく繋がるアメーバクラウド？のような呼称があっている気がするが）を構築するにはどれも痛し痒しで何かしら制限がついて回るのは許容できなかった。これは今後5年、特に海外事業所の開発者の事を考えた時には外せない要件だった。

とはいえmiekg/dnsを用いてCoreDNS 進化版を作るにはリソースが足りず、BINDを用いるにはSA 対応がしんどすぎるため、APIを備えており、今後も進化が見込めるであろうOSS、また必要であれば商用製品や保守サービスが受けられる事から上記2つを選択した。

PowerDNSはさておき、ISC KeaはナウでYANGなLinux YANGに対応しようとしているなど（言いたかっただけ）、世の中のオンプレ環境を塗り替えるためには兎にも角にもAPI ゲートウェイが重要だと考えたため、双方が提供しているAPIをうまく吸収するミドルウェア（とちょっとしたAPI サーバ）をGo 言語で作成した。

次に世の中のパブリッククラウドやOpenStackなどを触ったことのある開発者はCloud-initに慣れているはずという前提の元、対応コスト勘案の結果、NoCloudで対応しつつ、上記のAPI サーバと連携し、ベアメタルマシン管理した事のある人はわかる、ベアメタルマシン特有の諸問題を解決することにした。

まぁなんだかんだ大企業なのでお金で解決する手段もあるが、そもそも高集積ラック搭載GPU サーバ購入の稟議が通るような会社だったら既にKubernetes導入しているだろうし、俺もこんなことしてない。

脱線したが、上記以外にも検証やバックアッププランとしてAnsible記述などの作業はありつつも、3ヶ月かけてようやく基礎となるインフラ基盤が構築できたため、nuxt.js+goで簡単なフロントエンドサーバを構築し、一人情シスの様相を呈している部下のリソース開放、Calico 対応+Kubernetes導入、不安がっている上席が安心できるように、分かりやすい餅を用意しようとしている、というのが現状。

ここまで寝る時間も惜しんでトップスピードを維持したまま頑張ってきたものの、少し限界を感じている。

特にオンプレクラウドは部外者が中々見えてこないものがあり、なんならその見えないものを限界まで吸収できるように、かつ現実的に実現可能なギリギリのラインを狙っているのだが、そもそも周りに相談しようとしても何を言っているのか解説する所から始めないといけない。

覚悟はしていたが、ふとした時にとてつもない脱力感に襲われてしまう。

世の中を切り開いてきた諸氏はおそらく一度はぶつかったであろう、この内なる自分の壁をどのように突破してきたのだろうか？

ひたすら孤独との戦いだというのは頭では理解しているものの、突発的にくるこの脱力感はいかんともしがたい。

推敲もせずに大変失礼極まるが、コメントをいただければ幸いである。

Permalink | 記事への反応(4) | 01:18

2018-09-15

■海外に移住してつらい事

ふたばに書き込みできなくなったことが一番つらい。

いや書き込めるんだけど、いちいちVPNとか使いたくない。

ふらっと寄ってたわむれる感じが良い。

Permalink | 記事への反応(0) | 18:14

2018-09-07

■anond:20180906230502

普通に就業規則や災害時の行動規範に従えよ
部署の業務が止まってはおらず、会社から休業命令も無し、自宅のインフラに問題は出ておらず、避難指示も出ていなきゃ、普通はお仕事に決まってますわ
それ以前にどういった時にVPNを使用しますって人事や労務からの説明なしにアカウントと環境が配られたの？そんなわけないよね

でも大企業って本気でこういうこと言ってくるヤツがいてマジで驚く
中小企業やベンチャーで『俺は異端児なのか』って言ってるヤツには全然そんなことねぇからって言ってあげたい

Permalink | 記事への反応(0) | 08:25

2018-08-24

■

どっかの電気自動車すげーな。VPNを暗号化してなかったとか、通勤時間帯になると今まで売った車が全部一気ににログインしてきてサーバのオートスケールが間に合わないとか、バグ入り更新データを公開した社内のバカのために売った車全部でブートループが始まって手が足りる限り一台ずつsshして直したとか、そりゃトヨタもケツまくって逃げるわ。恐らく事故った時すぐデータ出てくる理由もサーバが超巨大なゴミの塊だから rootでログインして車台番号grepすれば即出てくるってだけだわ。あまりに設計がゴミすぎる故に管理が楽だと。