セキュリティ

IT技術

sshログインしても何も操作をさせないぜ!

トンネリングを目的にsshを使う場合、ログイン後の操作を制限したい場合があります。これは、sshサーバ側のユーザのauthorized_keysに「command」という設定を書くことで実現できます。※ authorized_keysを使...
IT技術

legoコマンドでLet’s Encrypt

Let's EncryptのTLS(https)証明書を取得するのにcertbotというツール(コマンド)がよく使われますが、今回は lego というツールを紹介します。 GO製ツールで実行ファイルはシングルバイナリファイル...
IT技術

コンテナを使ってWebサイトの脆弱性スキャン

とりあえず、サイトの脆弱性調査のためにフルスキャンしたい場合、Dockerがインストールされている環境で以下のコマンド叩けばできます。※ 他人のサイトに向けて以下のスキャンを試すと、不正アクセスで訴えられる可能性があるため絶対に行わないで...
IT技術

mod_security(OWASP) + WordPressで「返答が正しい JSON レスポンスではありません」エラー発生

WAFにmod_securityを使い、ルールとしてOWASP を使用してWordpressを攻撃から守る場合、デフォルトのルールのまま使うと、Wordpressで記事保存する時に「返答が正しい JSON レスポンスではありません」という...
android

noRoot Firewall に広告ブロック用のドメインリストをインポート

root なしでAndroidのアプリのNW通信を遮断できる便利なアプリ noRoot Firewallを使っているのですが、広告表示を抑えるためにドメイン名を登録するのは手動でしかできず、大量のドメイン登録は骨が折れます。 そこで、...
IT技術

各種リポジトリのssh鍵の変更

2014-07-05GitHubユーザーのSSH鍵6万個を調べてみたの議事を拝見して、使用している各種リポジトリのssh鍵をセキュリティの高いECDSAに変更しようとした結果。 Github → 記事の通りOK Bitbucket ...
android

Xprivacyを導入する@Galaxy SIII (SC-06d) 4.1.2

Glaxy-SIIIのrootをとったので、個人情報を守るためにも、Xprivacy というセキュリティアプリを導入してみます。 似たようなアプリとして、LBE Privacy Guard や、PDROID といったソフトウェアがあり...
IT技術

githubへのhttps(ssl)アクセスに証明書を使う@Cygwin

Cygwin上のgitで、githubからhttpsでcloneしようとしたら証明書のエラーが出てしまった場合の対処方法。 その1。証明書を無視する セキュリティは下がりますが簡単な方法です。これだけ。 # alias git='...
IT技術

COMODO Defense+ の 信頼ベンダー(trusted vendor)リストを削除する

最近COMOD Firewall を入れると、Defense+ の信頼ベンダーリストに大量のベンダーが最初から登録されていました。中国の怪しいベンダーなども登録されており、せっかくのセキュリティ機能が台無しです。 ベンダー登録を数個削...
IT技術

sshのちょっと高度な使い方

めっきり使う機会が減ってしまったtelnetの代わりによく使うssh。最近はmoshという新たなプロトコルも出てきましたが、まだまだsshがメジャーですよね。 今回は過去の記事を参照しつつsshのちょっと高度の使い方の紹介です。 ...
タイトルとURLをコピーしました