はてなブックマーク

2020/02/14, OpenSSH 8.2 がリリースされました. OpenSSH 8.2 Release Note 中の OpenSSH 8.2 での変更点の翻訳 この記事にも添付します. OpenSSH 移植版付属文書の翻訳 SHA-1 の危殆化による変更, FIDO/U2F 対応が行なわれています. 2020/02/14 16:25(JST) 現在 tarball が https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/ などで配布されていないようです. (2020/02/15 には解消されました) https://github.com/openssh/openssh-portable は更新されています. https://www.openssh.com/txt/release-8.2 Future deprecation n

2019/04/17, OpenSSH 8.0 がリリースされました. OpenSSH 8.0 Release Note 中の OpenSSH 8.0 での変更点の翻訳 この記事にも添付します. OpenSSH 移植版付属文書の翻訳 https://www.openssh.com/txt/release-8.0 Security ======== セキュリティ This release contains mitigation for a weakness in the scp(1) tool and protocol (CVE-2019-6111): when copying files from a remote system to a local directory, scp(1) did not verify that the filenames that the server se

元ネタ: Linux デスクトップ環境 2017 - k0kubun’s blog 20年以上 GNU/Linux でデスクトップ環境使っているので書いてみる ディストリビューション: Debian unstable か Ubuntu 16.10 慣れ. デスクトップPCなら Debian unstable で ノートPCなら Ubuntu. 次は Arch にしようかと思う デスクトップ環境, ウィンドウマネージャ: fluxbox 慣れ. 1つだけ Wayland 環境があり, ここでは GNOME を使っている キーリマッパー: xmodmap, setxkbmap ノートPC以外では必要とはしていない. ターミナル: gnome-terminal xfce4-terminal を使っているところもある. xfce4-terminal は 解像度の異なるモニタがある場合の挙動がおかし

モノのインターネットはすさまじく危険だ - そして多くはパッチ不可能である (The Internet of Things Is Wildly Insecure - And Often Unpatchable) 私たちはいま、組み込み機器のセキュリティにおいて、 きわめて重要な分岐点に立っている。いわゆる「モノのインターネット (IoT)」に 代表されるように、コンピュータが機器自体の中に組み込まれるようになっている。 これらの組み込み機器はセキュリティ上の脆弱性であふれかえっており、 それらにパッチを当てる有効は方法は存在しない。 この状況は、1990年代中盤に起きていたこととさほど違ってはいない。 このころ、パソコンのセキュリティ問題は危機的なレベルに達していた。 OSやソフトウェアはセキュリティ上の脆弱性であふれかえっており、 これらにパッチを当てる有効は方法はなかった。企業はこれら

D. J. Bernstein [translated to Japanese by Yusuke Shinyama, 2006-01-28] Internet publication djbdns (訳注: 翻訳を終えてから、前野さんによる翻訳 がすでにあったことに気がついた。) ドメイン・ネーム・システムに関するノート (Notes on the Domain Name System) 私が書いた インターネット・メール、 インターネット・メールのメッセージヘッダ形式、 SMTP、 FTP などのリファレンスマニュアルを見て、 DNS にもこれらと同様の総合的なものを期待しているかもしれませんが、 これはそういうものではありません。ごめんなさい。 信用されているサーバ DNS キャッシュ (RFC 1123 によれば、“完全なサービスをおこなうリゾルバ”) が www.w3.org の

この章では OpenSSH のインストールを扱います。 本書が発行されている時点 (2006年) で 普及している多くの UNIX 系オペレーティングシステム (表 openssh-systems) では、 OpenSSH はパッケージとして最初から含まれており、 本書の説明はほぼそのままあてはまります。 そのため、最新のセキュリティアップデートさえ行っていれば、 特に新しい機能を使いたいのでない限り OpenSSH を自分で インストールをする必要はありません。 しかし、最新のバージョンにのみ含まれる特定の機能を利用したい場合もあるでしょう。 この章では最新の OpenSSH をインストールする方法や、 古い OpenSSH をアップデートする方法を説明します。 表 openssh-systems. OpenSSH が標準で含まれているオペレーティングシステム (*): デフォルトでは

この章では OpenSSH をより安全に、快適に運用するためのコツを紹介します。 OpenSSH はデフォルトの設定で使っているだけでもさして不都合はありません。しかし、設定に ちょっとした工夫を加えることでシステムをずっと安全にでき、 ユーザにとっても管理者にとっても快適な環境にできるかもしれません。 具体的な方法は OpenSSH を使う組織や環境によって異なるため、 どの方法がベストとは言えませんが、この章ではさまざまなアイデアを紹介することで、 システム管理者の方々に工夫のヒントを提供することを目指しています。 5.1. セキュリティはユーザとの協力から ネットワークセキュリティに限らず、システムのセキュリティを保つには ユーザが「安全かつ簡単に」使える仕組みをつくりだすことが非常に重要です。 とくに、セキュリティに関連した機能が「提供する側」と「使う側」に 分かれている場合、単純

「入門OpenSSH」 (新山 祐介 著) は、 2006年6月に秀和システムから刊行されました (2009年末に絶版)。 秀和システム 「入門OpenSSH」のページ ここで公開している原稿は、最終的な版下になる前のものです。 実際に出版された書籍とは異なっている部分があります。 重大な間違い等がありましたら、新山までお知らせください。 () 注意: 本書が刊行された時点での OpenSSH のバージョンは 4.3 でした。 現時点(2011年2月)における OpenSSH のバージョンは 5.8 です。 変更履歴 2010/09/12: 公開。 目次 はじめに 第1章. OpenSSH を導入するにあたって 1.1. OpenSSH とは 1.2. OpenSSH にはできないこと 1.3. OpenSSH ができること 第2章. OpenSSH をインストールする 2.1. 現在イン

5.6.1. 公式に推奨されていない機能・関数の利用禁止¶ PHP: PHP 5.3.x で推奨されない機能 - Manual や PHP: PHP 5.4.x で推奨されなくなる機能 - Manual に上げられている機能や関数は利用してはならない. 5.6.3. PHPコードを評価する関数・機能の利用禁止¶ PHPコードを評価する, eval() preg_replace()の’e’修飾子 は, 利用してはならない. ただし, 利用が社内に限られているソフトウェアについては, eval()は利用してもよい. preg_replaceの’e’修飾子については preg_replace_callback()を利用すること.

4.10.1. 概要¶ Webアプリケーションには, 正しく実装しなければ個人情報の流出などの重大な事件を起こすリスクがある. サービスの開発者は, 注意深くWebアプリケーションを実装しなければならない. 4.10.2. 「安全なウェブサイトの作り方」への準拠¶ サービスの開発者は, 情報処理推進機構：情報セキュリティ：脆弱性対策：安全なウェブサイトの作り方 に準拠してサービスを実装しなければならない. ただし, 以下で補足する事項や他の標準によって規定されている事項は除く.

OpenSSH はそれ自体でも多くの機能をもっていますが、 同時にこれは UNIX の「ツールボックス・アプローチ」にのっとって設計されており、 他のソフトウェアと柔軟に組み合わせることができます。 本章では OpenSSH とそれ以外のソフトウェアを使った応用や、 OpenSSH 自体のちょっと変わった使い方を紹介します。 6.1. OpenSSH と組みあわせて使うソフトウェア CVSやSubversion などのバージョン管理ソフトウェアは、 あらかじめ OpenSSH と組み合わせて使用できるように設計されています。 本節ではこれらの簡単な使い方と 4.3.3. rsync をつかったファイル転送 でも紹介した rsync の応用を紹介します。 6.1.1. CVS によるバージョン管理 CVS は Unix で伝統的に使われてきたバージョン管理システムのひとつで、 複数のユーザが

1.1. パスワード保存¶ TODO: encrypted とかの表記をかえたほうがよさげ TODO: ネタはだいたい書いたので, 発表用資料に変換する 1.1.1. パスワード保存の常識(?)¶ パスワードの保存: saltを付けてハッシュ化 ハッシュ化するので元のパスワードに復元することは困難 saltがあるので違う人が同じパスワードを付けても別のハッシュ値が得られる パスワードの照合: 入力パスワードとsaltをハッシュ化したものと保存したものを比較 1.1.2. GNU/Linuxでのパスワードの保存法¶ $id$salt$encrypted という形式でパスワードを「ハッシュ」化. 例: $6$3d1ahuOb$KiH....(略) 以下 [crypt] より(一部変更) 最初の「$」: DESを利用していないことを示す id: ハッシュの識別子

4.6.2.1. 最小¶ サービスは, パスワードの最小の長さを8文字にする必要がある. ただし, 8文字のパスワードでは機会損失の可能性が無視できない場合は, 情報セキュリティ委員会で検討し例外を認める場合がある. 4.6.2.2. 最大¶ サービスは, パスワードの最大の長さを32〜100文字にする必要がある. 後述するハッシュを利用したパスワード情報の保管を行なう場合, 最大値を規定しない場合や最大値が大きい場合DoS攻撃が可能になる恐れがある. 4.6.3. パスワードの文字種¶ サービスは, ASCIIの英字大文字, 英字小文字, 数字がパスワードに利用できなければならない. その他の文字種も利用可能にしてもよい. ただし, パスワードの文字種の増加はパスワード長の増加ほどはセキュリティを向上しないことに注意.

This page explains how to use PDFMiner as a library from other applications. Overview Basic Usage Performing Layout Analysis Obtaining Table of Contents Extending Functionality Overview PDF is evil. Although it is called a PDF "document", it's nothing like Word or HTML document. PDF is more like a graphic representation. PDF contents are just a bunch of instructions that tell how to place the stuf

情報セキュリティポリシー サンプル¶ この 作品 は クリエイティブ・コモンズ 表示 2.1 日本 ライセンスの下に提供されています。 この「情報セキュリティポリシー サンプル」は, 春山 征吾(@haruyama )が 株式会社ECナビ 在籍時に作成した情報セキュリティポリシーの原稿を元にしている. ただし, 元々の原稿から以下を除いている. 株式会社ECナビ の情報セキュリティポリシーとして承認され運用されている部分 春山以外の者が作成に関与した部分 株式会社ECナビ に固有の情報 このセキュリティポリシーの利用による損害などについて, 株式会社ECナビ と 春山 征吾は一切責任を負わないものとする. 元々の原稿も完成しておらず, 網羅されていない. タイトルのみの節もある. また検証されていない部分も多い. この文書は以下で公開している. haruyama/SecurityPolic

謙虚なるプログラマ (The Humble Programmer) エドガー・W・ダイクストラ (Edsger W. Dijkstra) 1972年 ACM チューリング賞 受賞講演 原文: The Humble Programmer (EWD 340) [PDF] [HTML], E.W.Dijkstra Archive 度重なる偶然の連鎖により、1952年はじめの春の日に、 わたしは公式にプログラマという職業につくことになりました。 思い出せるかぎり、私はこの仕事を始めた最初のオランダ人です。 今から考えてみますと、もっとも驚くべきことは、少なくともわたしのいた世界では、 この職業が登場するのがいかに遅かったかということです。 この遅さは今からみると信じられないほどのものですが、わたしは この疑いもない遅さを確立した、あのころの2つの思い出に深く感謝しています。 プログラミングというも

さて、OpenSSH の動きがわかったところで、 この章では実際に sshd サーバデーモンが動いているマシンに 遠隔地のクライアントからログインする方法をご説明しましょう。 ここではまずクライアントもサーバも両方 UNIX マシンであり、 それぞれ OpenSSH クライアントとサーバがインストールされ、 サーバデーモンが正しく動いていると仮定しています。 Windows や Mac OS X からクライアントを使う方法については 4.6. UNIX 以外のマシンからログインする で紹介します。 なお、OpenSSH では異なる新旧 2つの SSH プロトコル (SSH1 プロトコル と SSH2 プロトコル) がサポートされており、 これらはコマンドの機能や公開鍵の形式がやや異なっています。 最近では新しい方の SSH2 プロトコルが普及しているため、この章では SSH2 プロトコルの

パスワード保存の常識(?) 自己紹介 パスワード保存の常識(?)の復習 鍵を利用したパスワード保存案 まとめ 自己紹介 ECナビ システム本部 春山征吾 @haruyama セキュリティ OpenSSH (本x2, OpenSSH情報) 暗号技術大全 18章(ハッシュ), 20章(電子署名)翻訳担当 全文検索システム Apache Solrの勉強会開催 次回は11/19(金)予定

第1回神泉セキュリティ勉強会資料¶ ECナビ 春山 征吾(@haruyama) 以下でWebシステム開発に関して疑問に思っている点を挙げていきます. プレゼンテーションではパスワード保存の部分のみとりあげます. 当日に向けてじわじわ書いていきます. プレゼンテーションで利用しない部分はちゃんとした記述をしないかもしれません. 疑問点を挙げるのでもやもやした感じになります 1.1以外はかなり適当です.

第1回神泉セキュリティ勉強会資料¶ ECナビ 春山 征吾(@haruyama) 以下でWebシステム開発に関して疑問に思っている点を挙げていきます. プレゼンテーションではパスワード保存の部分のみとりあげます. 当日に向けてじわじわ書いていきます. プレゼンテーションで利用しない部分はちゃんとした記述をしないかもしれません. 疑問点を挙げるのでもやもやした感じになります 1.1以外はかなり適当です.

OpenSSH のような複雑なソフトウェアで問題が発生した場合、 その原因をつきとめるのは時に多くの労力を要することがあります。 本章では OpenSSH のインストールから運用に至るまでの さまざまな状況に対して、原因の追及と対策を考えていきます。 7.1. インストール時のトラブル 本節では OpenSSH をソースコードからコンパイルしたときに発生する症状とその解決方法を説明します。 7.1.1. OpenSSL ライブラリが見つからない OpenSSH は暗号化のために OpenSSL ライブラリを使用しています。 ソースコードから OpenSSH をコンパイルする場合、このライブラリは必要不可欠です。 ./configure スクリプトを実行中に、 以下のようなエラーが出た場合、OpenSSL がインストールされていない可能性があります: configure: error: Op

この章では OpenSSH の簡単なしくみとその動作を説明します。 OpenSSH はクライアント ("ssh" コマンド) と サーバデーモン ("sshd" プログラム) の組み合わせを基本とします。 それぞれ「使う人」と「使われ方」につぎのような差異があります (図 openssh-overview)。 管理者が sshd デーモンをインストールおよび設定し、クライアントのログインを待ち受ける。 一般ユーザが ssh コマンド (クライアント) をつかってログインし、 シェルやファイル転送、ポート転送、VPN などの機能を利用する。 この章では 1. のインストールと設定が完了したあとに、 ユーザが ssh コマンドを使ってログインするまでの基本的な流れを説明します。 一般のユーザが OpenSSH の詳細を理解している必要はありません。 しかし OpenSSH の動きはその原理と大