「ldap」を含む日記 RSS

はてなキーワード: ldapとは

2021-12-17

ぶっちゃけ Log4j 2 の対応どうですか

多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています

ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。

今回の難所の一つに影響範囲特定があると思います

組織Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったこからアナウンスを待つ前に対応必要だったところもあると思います)。

OSS なら依存パッケージ比較的調べやすいですが、SplunkSalesforce のようなアプライアンス製品などはどうでしょうスイッチルーターは? クライアントJava アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。

ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います

ゼロデイだったため、最初対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。

特定クラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策

その他 Web Application Firewallバイパスなど、ご対応された皆さん、本当に大変だったと思いますお疲れ様です。

ところで、私はもっと日本人情報共有しろよと思いました。

これも全部 Wizard Bible 事件アラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。

最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMIかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。

攻撃メカニズムなどを解説してくれている記事があれば、最初からわず頑張ってアップデートする方向に舵取れたと思う。

誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。

小学校で配られた端末のセキュリティ突破話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。

そういえば情報共有でいうと CISA は動きが素早かった。最初個人gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db網羅され始めた。Pull Request も取り込んでいて、素晴らしい。

一方で JVN DB の方はどうでしょうhttps://jvn.jp/vu/JVNVU96768815/

報告を受けている製品しか書いていないのですかね。国内製品もっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。

…と愚痴をダラダラと書いてしまって申し訳ない。

セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品ソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。

2021-12-11

anond:20211211042626

問題の源流をどこに求めるかも大事だが

この件の最大のミスは、大半の人間必要としていないどうでもいい(しかも過剰にパワフルな)機能デフォルト有効にしてリリースしていたことで、それは言語とは独立していると思う

第一引数にlookupを含む文字列が入るとフォーマットプロセス操作される可能性があることを理解していないユーザー問題だが、それでもLDAP経由でclassダウンロードしてRCEできるとならなけりゃここまで問題にはならなかったのだからユーザー側の責任log4j側に比してだいぶ小さい

2021-12-10

log4jからldapアクセスできて誰が嬉しいんだろう?

ああそうか、ハッカーが嬉しいのか。

2021-04-14

研究室サバ缶は糞仕事学生研究室サーバ管理を任せるな

在学期間的にろくに引き継がれねぇ情報

サポート切れのIPAPHPApacheうごubuntu 12.04のオンボロサーバ,構築方法がよくわからん古代遺物

クソ見てえなシステムリプレースしたいが金も入らねぇし,時間も食いたくねぇ.研究時間を使わせろ.

サバ缶の俺は今日サービスが止まったらsudo rebootsudo service restartしかしねぇ.

WindowsLAMP環境ソフトを作ってこれサーバで動かせない?とか言ってくる同期,良いけどいっしょにDockerVM導入しよ!

時間があれば研究室のサーバは全部SaaSとかメンテナンスが楽なやつに任せたい.

2016-10-20

俺の年収査定して欲しい

中小SIer 客先常駐インフラエンジニア

26歳3年目 転職を考えてる。

持ってる資格

Linux (LPIC Level 1,2,3)

Oracle Bronze,Silver

基本情報技術者

セキュリティスペシャリスト

統計検定2級

大規模構築経験あり

OSUNIX/Linux系は割と扱える

仮想基盤やAWS,Azureパブリッククラウドの構築経験あり

Ansible,Chefを用いて自動構築できる

ドルは、bind,sendmail,samba,nginx,Apache,Zabbix,LDAPとか

コードはshellとpythonが少々。



麻雀(天鳳)が趣味で、牌譜の解析とかやりたかたか統計勉強して、資格チャレンジしてみた。ついでにpython数学も。どちらも業務で使うことはほぼない。

趣味Webメディア作ってたから、Wordpressサイト作るくらいなら一晩で出来る程度の能力


いまこれで年収300万くらい。安い?普通

このスキル感に年収合ってる?

増田の皆さんに査定して欲しい。

あと転職するならデータサイエンスセキュリティに興味あるのでそっち方面に行こうと思ってる。

オススメ戦略を教えてください。

2014-09-05

http://anond.hatelabo.jp/20140905152346

http://anond.hatelabo.jp/20140905152302

あ、いや、全然上級なことはなくて。

単に「社内にある昔ながらのモノ」を使わないといけないというだけで・・・

今どき代表FTPしかftpsでとか。一社に一台Windows Active Directoryとか。

特にAD、つなぐのにldap://ではNGldaps://じゃないとダメ(書いてねーぞ!)とか、

 my $charmap = Unicode::Map8->new('latin1') or die;

 my $uniPass = $charmap->tou('"' . $password . '"')->utf16le();

とかPerlに慣れてもイミフな事しないとダメとかね・・・

で、Active Directoryのついでに、データベースグループウェアとレン鯖のメールアカウントも同時に登録しないといけない。

零細企業でよくありそうなカオス管理者業務ですね。

共感かいらないです。もう、ただの愚痴だったと思って下さい。Rubyから始めていたら挫折したに違いない・・・ただそれだけです。

すみません

2014-09-02

初心者が学ぶプログラミング言語について

意見を聞かせて欲しい。

今更Perlを始める理由なんてないと言われて久しい。

なるほど確かに教養としてPerlは知っておいた方が良いが、より優れた言語がある。

そして、推される筆頭はRubyだろうか。

そう思ってきた。

が、どうしてもPerlより良いと思える言語がない。

ブラウザで使うなら選択の余地はないので、あの言語は除外しよう。

で、未経験者でも聞いたことの有りそうなこのあたりはこの辺り。

C, C++, C#JavaPerlPHPRubyPython

Hello, World!を見比べたら

「publicてなに?staticってなに?voidってなに? mainはメインなんだろうけど []ってなに?argsってなに?なんでint mainstr mainとかあかんの?たまに*印ついてるのなに?全部意味分からんし解説もなしにおまじないって言って飛ばしてるケースも多いしなんか詳しく言ってるっぽいのもあるけどその分かる人だけが分かるような言い方やめて私のライフはもう0よ!なんで一言「やぁ!」っていうのにどれだけのことを理解せなあかんのよ!」

となるのでスクリプト言語が残るだろう。

Webしか使わない言語関数名もキモイから除外しておくと、PerlRubyPythonの三択となる。

私がPerlを選んだ当時は、Ruby信者が先鋭的で他人攻撃しないと気が済まないという風評を目にしたので外した。

そしてPythonはまだ日本では弱いらしい一方、PerlはてなmixiAmazonでまで使われていて、

恰幅のいいヒゲおっさん他、情報を発信する人の量・質ともに非常に高い様子だったから、Perlを選んだ。

ここから本題。

あれから数年。

新たなものを学ぼうと思い、Pythonは昔バージョンの違いでなかなか動かせず、またPython2と3で随分変わってしまうようなので、

Rubyを始めてみようと思ったんだ。

Next Perlというだけあって馴染みやすい書き方も多く、洗練されてるなってすごく関心した。

マ・クベでなくてもキリシア様に届けたくなる言語だ。

ところで、学ぶには目的必要である

学ぶこと自体目的なので、何をしたいって、何もないので、とりあえずPerlでやってることを全て移植してみることから始めた。

Net::FTPSSL

 うごかない。

 まぁそんなこともあるよね。

Net::LDAP

 うごかない。

 まぁPerlでもActive Directoryに繋ぐのは随分苦労したしな・・・

WWW::Mechanize:

 うごかない。

 CentOS 6に入ってるRubyではバージョンが違って動かないって・・・

結論Rubyでは俺の仕事は何もできない。

上手くいかないのは仕方ないよ。でもmechanize、昔動いてたのに今動かないって何なの?

それにgemsのサイト、もうちょっと何とかならんの?

モジュールクリックしたら作者のサイトに飛ぶし、マニュアルの書き方も作者次第でバラバラ…読みづらい…

CPANみたいにちゃんとやってよ。

ネット上の情報バージョンが違って動かないことも多々あるようだ。Perlなら5.8で書いたものが5.20になっても当たり前に動くよ?

CentOS 6とFedora 20のそれぞれで出てくるエラーも違うし、Perl下地があっても正直キツイ

洗練されていいな!って思った分余計に残念だ。

こんなバージョン違えば動かなくて当たり前で、Rail抜いたら情報も半減するような言語、本当に初心者向けでいいの?

使える人が使える用途で使えるバージョンを選んで使うとステキ。そんなん初心者向けじゃねぇぇぇっぇ。

いや、言語の学びやすさとこれとは別問題なんだろうけど、Perlの安定度と情報の量・質・多彩さで比較になってない。

言語のものRubyの方が上でも、使えない道具は劣る道具じゃんよ。

身の回りの雑多な仕事を片付ける」って用途の方が特殊なんだろうか。

Rubyは良い言語だって思ってた。しかし、分からなくなってしまった。

教えてくれ。

キリシア様に届けていい言語はなんなんだ?

  • 追記

s/キリシア/キシリア/

すまない、ちょっと距離と速度を確認して全門斉射してくる。

  • 追記2

一晩経ってたくさんブクマ、見てくれてありがとう

でもたいした議論もないということは、概ね合ってるのだろうか。

あと、perldocの情報量もすごいと思う。ある程度Perlが使えるようになってからじゃないと読むのはキツイけど、

言語書籍じゃなしにあれだけ詳しく書かれたものってあるかな

kiyo_hiko型が動的なのが耐えられなくて結局Java

冗長になったので削除したけど → 「Perlで学ぶ欠点は型の意識が非常に希薄なままになること」

これホントに身につかなかった。静的型付け言語に行こうとして盛大に躓く。

2011-09-20

SI業界で必要とされる新卒

http://d.hatena.ne.jp/aike/20080615

この記事が面白かった。2008年のだけど、今でも変わらんと思う。

SI業界での即戦力とは「金融工学財務会計に詳しくてCOBOLABAPが読めてWebSphere上のJavaが書けます」といったような人なのだが

こんな大卒新人が居たらヤだけどw


インフラ系の自分SIer最初プロジェクトに配属されたとき、必要とされた知識は主にWindows Server(ActiveDirectory)だった。

人によっては、大学情報センターの手伝いをしていたという学生が、ADなんか触っていたりするらしいが、情報系の学生でも

WindowsServerなんて触ったことがない人間ほとんどだと思う。


自分は、LDAPDNSは知っていたけど、ADなるものはよくわからず、標準的な規格、テクノロジーと、マイクロソフトプロダクトの間にあるギャップに当時かなり苦しんだ記憶がある。

LDAPDNSもまともに知らないシステム管理者が、いっぱしの「エンジニアヅラして、仕事をしているのがSI業界なんだなあと知ったのは、そののちすぐのことだったけど。

2008-07-10

http://anond.hatelabo.jp/20080710125024

ブログはそもそも不許可じゃないか?小学生くらいだと。

書いた内容が追跡できるって点じゃ良いかもしれないけれど、ちょっと怖い気がする。

ブックマーク微妙だな。サブアカ使えるはてなも悪くないけど、自分で建てるかも。

でも、どうせ自分で建てるなら、いっそLDAP建てたりして。つーか、学校LDAP建てておくれよ。出来ればフィルタ込みで。履歴も共有したいし。

そうそう、はてブ使わせるって言っても、デフォルト状態じゃないよ。

当然、プライベートにするし、エントリページとか色々非表示にしとくし。

ま、キッズgooみたいな所が用意してくれると一番かもしれないけど。

って、独身ですが何か?

2008-07-06

http://anond.hatelabo.jp/20080706004855

方法1:NAS(LAN接続HDD)を設置する

方法2:ファイルサーバを設置する

方法3:SAMBAサーバを設置して、ネットワークログオン

方法4:LDAPサーバを設置して、ネットワークログオン

方法5:どちらかのPCファイルをまとめて、「ファイル共有」機能を使う。(ファイアウォールの設定を忘れずに)

という感じではないでしょうか。

2008-04-12

http://anond.hatelabo.jp/20080412115419

芸術性って・・・。

だったら言語から作れよ。

芸術性のあるソースなんて見たくもない。

芸術性は見る人に訴求するものがあり、人によって解釈が違う。そういう定義の言葉だろ。

素敵すぎるだろそんなソース

芸術をも感じさせるソースを見て、どうやったらこんな独自進化を遂げられるんだよと何度ヒザをついたことか…。

人を満足させるために作るのか、自分が満足するためにつくるのか。

自分を満足させるために作り出したものが結果的に人を満足させるということは殆どない。

だって最初のスタート方向が違うんだもの。

コーディングポリシーはもっていてもいいとおもうけど、そのポリシーアクションの枷になっているのだったら本末転倒だとおもうな。

どんな立派な機能があるクラスだろうが最初で弾かれて落ちてこないだったら意味ないじゃーん。

Google App Engine

というかApp Engineってなに?

つかって何かやりたいとまだ思えてこない以前にApp Engineがまだ未チェック。

PythonGMO証券会社が外部APIを公開したのがPythonだった。うんこだった。

勉強するには至らなかったが、そんな特殊だったという印象はもってないな。

どうせLL、学習コストなんてないに等しいだろ。

plのcgiがあって、そっからasp,jsp,cfmという時代をえて、

php5,RonR,Pythonとかになってきているわけだが、時代は違えどひとつ覚えておけば学習コストっていう意味は殆どかわらないと思うよ。Oracleを覚えてからSQL-serverにいこうがpostgresqlにいこうがmysqlにいこうが一緒みたいなもの。

後継に位置するものであれば必ず似た機能はある。

むしろiis-ocxとかtomcat-Servletとか、ns-ldapとかそういう周辺が違うのであって、

基本的な部分に収まっているあいだは殆ど一緒じゃない?

今の時代みたいに殆どがApacheごにょごにょしただけで動く時代ならphpもRonRも殆ど変わらないと思うな。

所詮LL。

いまだってデータ処理はDBに任せたり、画面だってjavaなりFlashにまかせるじゃん。

LLがクラスに対応したときはおお!!と思ったし、どんどん進化しているのは感じる。

そんな感じで、どんどん面白いのがでてくればいいとおもう。

言語なんてこだわりもって選らんだところで変遷は激しいよ。

コールドフュージョンがどれだけすばらしいかについてプレゼンしてた坊を思い出すたびに涙を禁じえない。

いい音楽が売れるんじゃない。

話題になる音楽が売れるんだ。

 
ログイン ユーザー登録
ようこそ ゲスト さん