- blogs:
- cles::blog

Windows には OpenSSH が標準で入っている?



Windows のコマンドプロンプトにいつものクセで ssh と打ち込んでしまったら、なぜか反応があってびっくり。最近の Windows 10 には curl や tar など Linux でよく使われるコマンドが標準搭載されていますが、いつのまにか OpenSSH も標準搭載されていたようです。
システムのフォルダを探してみると C:\Windows\System32\OpenSSH
にインストールされているみたいですね。scp 等もあるので、簡単な作業の場合には PuTTY や WinSCP などをインストールせずにこれだけで済ませることもできそうです。

CentOS 8 へのブルートフォースアタックを SSHGuard で防御



SSH に対する攻撃の対策については iptables でやるのであれば昔は ipt_recent、最近は hashlimit を使ったりするようですが、単純なレートリミットだと正常なログインでも引っかかってしまう可能性があるので 今回は SSHGuard をインスト-ルしてみました。
SSHGuard はログを監視して ssh に関するログインの失敗が一定以上ある IP を自動的に一定期間ブロック(場合によっては永久にブロック)するという機能を持ったdaemon です。機能的には fail2ban とかと同じカテゴリのソフトウェアです。
† インストールから起動まで
メインの設定ファイル /etc/sshguard.conf
は dnf
でインストールしただけでは作成されないので、man sshguard-setup
の内容を参考に自分で設定する必要があります。CentOS 8(パケットフィルタは firewalld
、ログの監視先はjournalctl
という構成)の場合には、以下のような感じでセットアップすることができるはずです。sshguard.whitelis
tの IP アドレス等は適当に調整してください。
† 動作確認
SSHGuard はバックエンドが firewalld
の場合、対象となるログを監視して、一定の閾値を超えた場合にsshguard4
/sshguard6
という名前のブラックリスト用 ipset に IP アドレスを追加するという動作を行います。よって、フィルタがきちんと動作するためには firewalld から sshguard4
/sshguard6
がきちんと参照されているかということと、sshguard4
/sshguard6
が SSHGuard によってきちんと読み書きされていることが必要になります。
前者については、以下のコマンドの rich rules:
欄を見ると確認ができます。
後者については例えばログを見てみたときに以下のようなログ(999.999.999.999
は例なので、実際には攻撃元の IP が入ります)が残っていれば SSHGuard が実際にログを読み取って処理を行っていることが分かります(ただし、これは実際に攻撃を受けないといけませんが)。
さらに、実際にブロックが行われていれば、以下のように ipset を使って登録されている IP アドレスを見ることができます。

IIJmio が 4 月からの新プラン「ギガプラン」をスタート


音声通話がついたプランの場合、現行で最も廉価なのはミニマムスタートプランの 3GB で 1,600 円ですが、これがギガプランになると 2GB で 780円 と半額以下になります。
既存ユーザーのギガプランへの変更は 4/1 受け付け開始、最短で 5/1 からのプラン変更反映となるようです。これはシステム的な都合もあるようで、その分の埋め合わせのための先行受付キャンペーンをやるみたいです。僕はもともとモバイルの通信容量はあまり使っていないので、780 円のプランに乗り換える予定です。
IIJmio:シンプルで自由度の高い新プラン「IIJmioモバイルサービス ギガプラン」を提供開始
さて、この度弊社では、2021年4月1日より新プラン「ギガプラン」を提供開始いたします。
あわせて、既存のIIJmioモバイルサービス(ミニマムスタートプラン、ライトスタートプラン、ファミリーシェアプラン、ケータイプラン)で音声回線をご利用のお客様を対象に、3月1日より先行エントリーキャンペーンを実施いたします。

確定申告が完了してた



忙しくてメールを見落としていましたが、今年も早々に税理士さんが確定申告を済ませてくれていました。
† 今期は結構な税額に・・・
昨年は物件の修繕も少なくて稼働率も高かったので、予想よりもだいぶ黒字が大きくなってしまい、そのぶん所得税も高くなってしまいましたが、これはもう調整しようがないのでしょうがないですね。こういう状況で、交通費も交際費もほとんど使えませんでしたし。。。

シン・エヴァンゲリオン劇場版は 3/8 公開に

『#シン・エヴァンゲリオン劇場版』公開日決定のお知らせhttps://t.co/JnMmDT6bmc
— 株式会社カラー (@khara_inc) February 26, 2021
再延期の発表以降、検討を重ねました結果、『シン・エヴァンゲリオン劇場版』の公開日を西暦2021年3月8日(月)に決定しました。
ご鑑賞の際は各劇場での感染対策へのご協力をお願い申し上げます。#シンエヴァ pic.twitter.com/ffwjPglunV
1月に再延期が発表されていたシン・エヴァンゲリオン劇場版の公開日が 3/8 に決まったようです。
相変わらず緊急事態宣言の状況下ですが、今度こそ無事公開になることを期待したいと思います。

ドコモや au が MNP や解約 ページに noindex を設定していたことが問題に


ドコモや au が MNP や解約 ページに noindex を設定していたことがニュースになっていたのでメモ。
この設定については現在は削除されているようです。
ちょっとセコい感じもしますが、スイッチングコストを高くするのは作戦の一環なのでしょうがないのかなという感じもします。
解約ページ/MNP転出ページに検索サイト避けの「noindex」――総務省指摘でドコモとKDDIがタグ削除 - ケータイ Watch
NTTドコモとauは、解約やMNP転出手続の方法を紹介するWebページ内に付与していた「noindex」タグを削除した。総務省の「スイッチング円滑化タスクフォース」での事業者間協議で指摘されていたもの。「noindex」タグが付与されていることで、検索サイトにこれらのページが表示されないようになっていた。

SoftEther を CentOS 8 にインストール


久しぶりに SoftEther を CentOS 8 にインストールしてみました。
これも Dokcer 化しても良かったのですが、ネットワーク周りとかいろいろと面倒なことになりそうなので、これは直接に VM にインストールしてしまうことにしました。
手順としてはこんな感じでしょうか。
† AES-NI に対応させるとか、リージョンロックを外すとか
上記だけでも普通に使うことはできますが、スマートカードとか証明書対応したい場合にはさらに以下の手順が必要です。
最近の OpenSSL は AES-NI が有効になっているので、もしかしたら以前やっていた AES-NI 対応は意味がないかもしれません。ちなみに Intel のライブラリは CPUID で GenuineIntel かどうかを見ているので、CPU が AMD の場合には AuthenticAMD を認識できるようにしてやる必要もあります。
具体的な手順としては以下のような感じになります。

logspout を使って Docker のログを集約してみる

ログサーバができたので、あとはログを投げ込むだけですが Dokcer のコンテナ1つ1つにログ用の設定を入れていくのも大変なので、何か良い方法がないかと思って調べてみたらコンテナのログを集約して投げ込んでくれる gliderlabs/logspout というものを見つけました。
これを使うと /var/run/docker.sock をマウントする必要があるものの、個別のコンテナの設定を変更することなく、ログサーバに stdout/stderr の内容を送ることが可能になります。これを Docker のホストにつき1つずつ起動させておけば OK です。
† ファイル構成

Dokcer で Elasticsearch + Kibana + Logstash を立ててみた


既存環境の Docker 化は ntp, DNS, gitbucket, svn, redmine, リバースプロキシと一通り揃ってきたので、最後にログサーバを立てていくことにします。
これまでログ集約用のサーバは rsyslogを立てていましたが、ログの内容をチェックするのがやはり面倒くさいということで、可視化もできる Elasticsearch + Kibana + Logstash という構成に移行することにしました。
Elasticsearch + Kibana は最近あまり使っていなかったのですが、いつの間にかちゃんと画面にパスワードが設定できるようになっていたんですね。Logstash もフィルタであれこれできそうなので良い感じです。
† ファイル構成

Firefox の HTTP/3 を有効にしてみる



せっかく HTTP/3 に対応したサーバを立てたので、僕が普段使っているFirefox の HTTP/3 を有効にしてみました。
以下の説明だと nightly でないとできない感じですが、現行の Firefox 86 でも about:config
の network.http.http3.enabled
を true
にすることで有効化することができました。
How to test HTTP/3 and QUIC with Firefox Nightly
Then open Firefox and enable HTTP/3 by visiting "about:config" and setting "network.http.http3.enabled" to true.
- teraterm comポート 開けない
- Tera Term で COM ポートが見つからない時に注意すべきこと
- surface画面固定
- Surface Pro 3 の画面の自動回転を止める
- img iso free 変換
- .cue + .img を .iso に変換する
- インテル データ コピー
- Intel Data Migration Software を使って SSD へのデータ移行をする
- winber
- Windows 10 のバージョン確認方法
- ケーブルカー 切れたら
- ケーブルカーのケーブルが切れたらどうなるか?
- winber
- Windows 10 のバージョン確認方法
- 3ware 9650se windows7
- 3ware 9650SE のドライバをアップデートする
- 3ware 9650se windows7
- 3ware 9650SE のドライバをアップデートする
- NTT 業務委託 電話 停止
- NTT の業務委託先からの営業を止めてもらう
- delete bom javascript
- UTF-8のBOMの削除でハマる
- scanf エラー 設定で回避
- Visual Studio 2017/2019 で scanf() がエラー(C4996)になるときは
- macアドレス 製造会社
- MAC アドレスから製造メーカーを調べる
- chrome dir プロファイル
- Chrome のプロファイルを既定の場所から移動する
- Princesstex Engineers (office365) mail
2 . リモートデスクトップで Alt + PrtSc と同じことをするには(3270)
3 . RDP のプロトコルを TCP だけに変更する(2505)
4 . 「日次」は「にちじ」じゃない?(2338)
5 . リモートデスクトップで Ctrl + Alt + Del キーを送信するには(2254)