Linux¶
Amazon Linux2 でポート変換する
AWS の EC2 インスタンスは複数の ENI (≒ NIC) を割り当てたり、ひとつの ENI に複数のプライベートアドレスを割り当てることが可能です。 「何個割り当てられるか?」はインスタンスタイプによって異なり、大型のインスタンスである程、最大数も増えます。 t2.nano や t2.micro でも「ふたつまでの ENI」「ひとつの ENI にふたつのプライベートアドレスまで」設定することが可能です。 例えば「ひとつの ENI にふたつのプライベートを割り当て」た状態で firewalld のポート転送機能と組み合わせると、以下のようなトラフィックフローを実現することが可能です。
今回は実際にこの設定を行う手順をメモしておきます。
CentOS8 に Nginx 公式リポジトリから Nginx をインストールする
CentOS8 では新たに AppStream という仕組みが導入されたそうです。 まだ AppStream の詳細を理解出来ていないのですが、従来通りの手順で Nginx の公式リポジトリから Nginx をインストールしようとすると AppStream リポジトリが優先されてしまい、Nginx 公式リポジトリからインストールすることが出来ません。 そこで、今回は AppStream リポジトリが使われることを回避し、Nginx 公式リポジトリからインストールする手順をメモしておきます。 当然、プラットフォームは CentOS8 を使ってテストします。
Amazon Linux2 に pyenv をインストールする
Amazon Linux2 に pyenv 環境を構築する手順をメモしておきます。 pyenv 環境構築直後は amazon-linux-extras
が実行出来ない為、回避策もメモしておきます。
Amazon Linux2 に Samba 4.11.1 + FreeRADIUS 3.0.13 + Keycloak 7.0.1 をインストールする
以前に Samba4 / FreeRADIUS3 / Keycloak6 の構築に関して、下記のメモを書きました。
- AmazonLinux2 に最新の Samba4.10.5 をドメインコントローラとしてインストールする
- AmazonLinux2 に Samba4 と FreeRADIUS3 を同居させ、Samba でユーザを一元管理する
- AmazonLinux2 に Nginx で SSL/TLS 終端構成で Keycloak をインストールする
- AWS 上に Samba4 + Keycloak6 + FreeRADIUS3 な認証サーバを構築する
Samba 4.11.1 や Keycloak 7.0.1 がリリースされている為、インストール手順をアップデートしておきます。
Amazon Linux2 に Samba 4.11.1 をソースコードからインストールする
Samba 4.11.1 がリリースされていましたので、改めて Amazon Linux2 へ Samba 4.11.1 をソースコードからインストールする手順をメモしておきます。 Samba 4.11.0 では Python2 のサポートが無くなる等、幾つか大きな変更がありました。 Samba 4.11.0 → 4.11.1 は Bug Fix のみであり、新機能の追加/機能の削除等は無いようです。
sudo で UID に「-1」または「4294967295」を指定すると root 権限でコマンド実行出来る脆弱性
sudo
コマンドで UID に「-1」または「4294967295」を指定すると root 権限でコマンド実行出来る脆弱性が発見されたそうです。
- Potential bypass of Runas user restrictions
- CVE-2019-14287
- sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)
- sudoでUIDに4294967295を指定すると途中からuid = 0と解釈される特権昇格の脆弱性
実際に脆弱性を試してみます。
検証用 Amazon Linux2 初期設定メモ(2019/10/10 版)
検証用に Amazon Linux2 を作る際、自分なりに実施する初期設定をメモしておきます。 必ずしもセキュリティには十分な配慮をしておらず、あくまで「検証用途」の設定です。
CentOS8 で SNMP Trap を受信出来るように設定する
以前に CentOS7 で SNMP Trap を受信出来るように設定するというメモを書きました。 今回は CentOS8 用に、メモを改めて書き直しておきます。 但し、内容はほぼ全く同じです。
CentOS8 を Syslog サーバにして他機器からのメッセージを受信出来るようにする
以前にCentOS7 を Syslog サーバとして他機器からのメッセージを受信出来るようにするというメモを書きました。 今回は CentOS8 を Syslog サーバ化する方法についてメモしておきます。