2018年4月25日水曜日

speedtest.netのホストを一時中断

10ギガビットの普及に伴い、新たに10ギガビットネットワークの用意ができるまでホストをやめます
(PING値でサーバが決定されてしまうので計測ユーザに迷惑なため)


[root@localhost ~]# ifconfig
enp2s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.3  netmask 255.255.255.0  broadcast 192.168.100.255
        RX packets 225061162083  bytes 207684501846272 (188.8 TiB)
        RX errors 0  dropped 1999  overruns 0  frame 0
        TX packets 288090658481  bytes 349882167544764 (318.2 TiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

途中でクリーンインストールなどをしたので、累計すると1PBは越えてると思います
(2017年08月よりホスト開始

次にホストするのは2018年8月頃を予定しています。

毎月50TB近い桁違いのデータ伝送を行っているにも関わらずこれまで問題なく運用できたKCN(近鉄ケーブルネットワーク)のご厚意に感謝いたします

2018年4月10日火曜日

ソフトウェアファイアウォールとクラウド

この記事を見た

ubuntu ファイアーウォール :Docker が UFW 管理外のポートを開けてしまう問題
http://ngzm.hateblo.jp/entry/2017/08/19/233934


ある日、MongoExpressにアクセスしてみると奇妙な状況になっていました。
DBのデータは消えており、何やら怪しいデータが作成されています。 そして、データに残された英文を見ると、「お前たちのデータは頂いた。返してほしくば xx BTCを」と書かれています。
・・・ ランサム被害やんけ! http://blog.penginmura.tech/entry/2018/04/10/010532 

+------------------+           +------------------+        +--------------+
|                  |           |                  |        |              |
|   Public Network +-------->  |    Hardware FW   +------->+   VM         |
|                  |           |                  |        |              |
+------------------+           +------------------+        +--------------+

AWSとかGCPとかの主要なクラウドとかはlinuxとかのufw/firewalld/iptablesとは別にセキュリティグループとかの設定できると思います。で、主要なクラウドにはあるけど無いところもあるし、VPSとかには無い。
で、ハードウェアレベルでファイアウォールを制御できない場合はiptablesとかのソフトウェアで設定する必要あるけど、上ブログ記事のようなdockerが下手なことやってるとsshがrootパス無しで繋がる最悪な状態になったりする。

今回の問題とは別だけどvultr.comとかはインスタンス作成時にrootパスワードが生成される。これは問題はない。問題なのはssh-rsa-public-keyを登録していてもrootパスワードでのログインが出来てしまう。

まあ、、そもそもセキュリティ意識の高い人()はsshへアクセスできるIP絞ってると思うけど、保険としてハードウェアレベルでのファイアウォールはやはり必要ですね。






speedtest.netのホストを一時中断

10ギガビットの普及に伴い、新たに10ギガビットネットワークの用意ができるまでホストをやめます (PING値でサーバが決定されてしまうので計測ユーザに迷惑なため) [root@localhost ~]# ifconfig enp2s0f0: flags=4163<...