だいぶ前に、CentOS 7にKeycloakをインストールして触ってみるということをしていたが、今回はちゃんとsystemdで管理できるようにインストールをしてみる。 基本的なインストール方法は変わらないが、一応事前準備から進めていく。

1.事前準備

前回と変わらず、以下のコマンドを実行して実行ユーザの作成や必要となるパッケージを導入しておく。

useradd keycloak
yum install -y git wget

動作にMavenが必要になるので、それらをインストールする。 まずはOracle JDKのインストールを行う。

wget --no-check-...

YubikeyでWindows 10ログイン時に二要素認証を行うよう設定する

Windows 10でYubikeyを用いたログイン・ロック解除時の二要素認証設定をする機会があったので、記録として残しておく。 Mac OS Xでの設定についてはこちらでやっている。 なお、事前にチャレンジレスポンスの設定は行っているものとするが、以下の点について注意が必要。

  • 鍵作成時に「Require user input(button press)」のチェックは外しておくこと
    • →このチェックが入った状態だと、ログイン時にボタンをタッチしても認識されず、エラーになってログインできなくなるため
  • バックアップキーには同じ鍵を登録すること
    • →複数の鍵を登録できないため
  • ...

ファイル改ざん検知というと、TripWireAIDEOSSECなんかを触ったことがあるのだが、今回は『AFICK』というツールをCentOS 7にインストールしてみる。

Perlで書かれているようで、inotifyなどを利用してないみたいでオンアクセスでの検知は難しいようだけど、cronで定期的にスキャンをかけることである程度検知をするようにしてるらしい。 Windowsでも動くらしい。

ファイルの状態をAFICK用のDBに登録して、都度スキャン時にそのDBと現在のファイルの状態を照らし合わせて改ざんを検知する、といった仕組みのようだ。

1.インストール

インス...


ペネトレーションテストのデータ管理システム『Kvasir』でCVEなどの脆弱性情報を取得する

今回は、先日導入したKvasirに、CVEなどの脆弱性情報について登録を行う。 手順としては簡単で、上部メニューから「Administration」>「VulnDB」>「Import CANVAS Exploits」を選択する。

あとは、「Download」にチェックを入れて「Submit」を押下するだけだ。

もしうまくいかない場合は、「Run in background task」のチェックを外してフロントエ...


前にClam AntiVirus(以下、ClamAV)をCentOS 7へインストールしたことがあったが、Repoforgeが利用できなくなったので、Epelからインストールしてデーモンとして動かすようにする。 まず、以下のコマンドでEpelとClamAVをインストールする。

yum install -y epel-release
yum install -y clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner clamav-scanner-systemd clamav-deve...

今回はCentOS 7にファイルの改ざん検知を行う『AIDE』を導入する。 改ざん検知というと、『Tripwire』あたりが一番よく使われている(かなり頑張ってやればInotifyも使えなくはないのだが…応用効くし)のだが、yumでインストールする場合はEPELリポジトリが必要になる。 AIDEの方はデフォルトのリポジトリでそのままインストールできて、かつ設定も簡単に行えるようだ。

1. インストール

先ほど記述したように、インストールはデフォルトのリポジトリからそのままインストールできる。

yum install -y aide

これでOK。

2. 設定

次に...


前回、Let's Encryptを使って無料のSSL証明書を取得してWebサーバの暗号化を行ったので、今回はメールサーバ(Postfix+Dovecot)での対応を行う。 なお、すでにPostfix + Dovecotでメールサーバは構築済みの状態とし、同居しているWebサーバはいないものとする。

1.Let's Encryptのインストール

まずは、以下のコマンドでgitをインストールしてLet's Encryptをダウンロードしてくる。

yum install -y git openssl mod_ssl
git clone https://github.com/lets...

前回記述したプライベート認証局の構築から、クライアントへのCA証明書のインストール方法のみ抜粋。
各種OSでの配布したルート証明書のインストール方法は、以下のようになっている。

1. Windowsの場合

作成したルートCA証明書をダブルクリックし、「証明書のインストール」でインストールする。
なお、インストール時には「現在のユーザ」を使い、かつ証明書ストアは「信頼されたルート証明機関」を選択する。

コマンドでルート証明書をインストールする場合は、以下のようにする。

certutil -addstore -f "ROOT" ルートCA証明書

2.Mac OS Xの場合

...
Graylog 2.1でGraylog Collector Sidecarで転送するログの暗号化を行う

Graylogで、転送するログの暗号化をしてパケットキャプチャをされても見れないようにする。
普通にただ設定すると、暗号化せずに転送されてしまうため、GELF形式で送ってもこんな感じで中身を見れてしまう。

blacknon@BS-PUB-GRAYLOG:~$ sudo tcpdump -i ens19 port 12201 -X
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens19, link-type EN10MB (Ethernet), capture...

Linuxサーバを運用するにあたって、通常であれば余程のことが無い限り「/etc」フォルダ配下にあるような設定ファイルは変更しないものだ。
もし何かしら変更された場合、事前に変更を行うとわかっているものなのか、手違いでの変更なのか、それとも悪意のある第三者による変更なのか…どちらにしても、変更があると同時に認識をしたいと思うものだろう。そんな設定ファイルやフォルダの変更(ファイルが作成・削除されたり、ファイルの編集が行われたり)を監視するのが、『inotify』だ。

『inotify』は、Linux カーネル 2.6.13で組み込まれたファイルやディレクトリに対する監視機能。そのため、そ...