このブログを検索

2011年3月31日木曜日

狙われていると感じたら・・・脆弱性検査

どんだけ自社管理のサーバーに対して、セキュリティチェックをしているでしょうか?

セキュリティや安全対策はしすぎるということがありません。
やられてからでは遅いのです。
日々諸外国から、国内から、グローバルIPアドレスを付けたサーバーは狙われるのです。
常に、日々、いや秒進分歩、対策を講じなければいけません。
しかしながら、人員や時間を確保するのはとても大変なことです。

そこで、弊社のサービス、脆弱性検査。
ライセンス費用と弊社の構築費用5万円からで、日々検査できます。(ハードウェアとOSは別途必要、ESXiサーバーをお持ちならその上に構築致します。)
今は円高なので、↓メーカーから直接購入したほうが安いです。
http://tenable.com/products/nessus
1年のサブスクリプションで1,200ドルです。
2年は2,400ドル、3年3,600ドルです。
元々英語の製品ですが、
運用も弊社に任せてもらえれば、契約にもよりますが、
1週間単位、もしくは1月単位で日本語レポートにて、ご報告致します。
(1週間単位レポート・5万円/月から、1月単位レポート・3万円から/月)
脆弱性のデータベースは常に更新されているので、安心です。
自動で毎日検査もできます。

ちなみにクライアントも検査できます。
社内サーバー(windows、linux、unix)も、もちろんチェックできます。

なので、一社に一台ぜひ、構築し、、日々安全を確認いたしましょう。
起きてからでは遅いのです。
ぜひ、弊社にご相談を。
webmaster@niriakot.jp
ご相談は無料です。

ではでは、また。

2011年3月30日水曜日

クラウドはプライベートクラウドこそ導入効果が高い。

プライベートクラウド・・・実はバーチャルオフィスやリモート管理のことである。
パブリッククラウドはいわゆるSaaSやPaaSなどの外部サーバー利用を差している場合が多い。

もっと乱暴な言い方をすると
プライベート・・・各種プロトコルが使用可能。
パブリック・・・httpsがメインで、あとはぼちぼち。
というイメージです。

弊社は構築や運用、管理などを生業にしているわけなので、声を大にして言いたい。

プライベートクラウドが一番である。

メリットは、
自社で好きなように構築運用できるから、使い勝手がいい。

デメリットは、
コストが見えない。
運用が大変そう。

なので、設計する人の力量にかかっています。

バーチャルオフィスとリモート管理の提案

いろんな定義や用件があると思いますが、弊社が考えるのは、
バーチャルオフィス・・・オフィスと同様のデスクワークができること。
リモート管理・・・オフィス外から、電源を入れたり切ったり、再起動したり、制御できること。
と考える。

これを導入することで
①通勤費の節約
②電気代、電話代の節約
③いつでも社員をこき使える
④すべてログが残るので、だれがいつどこにアクセスして、ファイルをどうしたか、管理可能
(ライトマネジメントも必要)
⑤時間の節約
⑥データを物理的外部に保存しなくていい
などメリットがあり、
セキュリティ上のデメリットはほぼ解決できると思います。

さて、必要なのは、


2011年3月29日火曜日

openSUSEでファイル共有(社内から・社外から)

今回はファイル共有の話です。
社内はもちろんのこと社外からも共有したいものです。
かつ、アクセス制限はもはや当たり前。
暗号化もしかり。
ウイルスチェックも入れなくてはいけないし。

弊社の場合、メールとファイル共有の制限にLDAPを使用しています。
opeenLDAPです。
これもYaSTで簡単にインストできます。
ウイルスチェックはclamavとDazukoでリアルタイムスキャンしています。
そのため、Dazukoをインストしたマシンには、AppArmor入れてません。
昔(といってもそんな前ではないけど)、DazukoとAppArmorではまりました。
今は問題ないのでしょうか?
今度検証する必要がありますね。
情報お持ちの方はヘルプミー。

ディザスタリカバリと遠隔地レプリケーション

今この時期だからこそ、忘れないうちに危機管理を見直してください。
グローバル企業はどんなことがあっても、事業継続しなければいけない。
そうでなければ、一部の特権階級の搾取道具に成り下がってしまう。
海外の協力企業から疎かと言われないためにも、データとシステムは違う場所に保管しておきましょう。


中小企業だからこそストレージの集中化やディザスタリカバリを考える必要がある。
それと、遠隔地レプリケーションは最低限必要である。
あとリモート管理やバーチャルオフィスも必要です。

これからお勧めするのはまずはストレージ。
お金が有り余っている企業はともかくとして、最低限な構成を書きます。
ベースにESXi+openSUSEの構成で、物理的に2.5インチHDDをたくさん取り付けられるような工夫とコントローラーを提供する自作機。
弊社が好んで使うのは
ICHのものと
adaptec製RAID
asus PIKE1078-8ポート
である。
5インチベイに2.5のHDDは6本つけられるので、HDDの容量と装着本数からケースは選ぶべし。

2011年3月28日月曜日

ESXi4.1u1ゲストのホットバックアップ

弊社でESXiを構築した際のデフォルトなバックアップのお話。
ESXiを運用していくとゲストのバックアップとは別にゲストごと丸々バックアップを取りたいことが多々ある。

そんな時に便利なのが、以下のスクリプトである。

VMwareのサイトを探すとghettoVCB.shが検索に引っかかる。
http://communities.vmware.com/docs/DOC-8760

このコマンドをESXiのcronで毎日のように実行していけば、ホットバックアップが取れるのである。

2011年3月25日金曜日

chrome10 と ie8 と squid V3 と openVPN v2の話

ローカルネットワークで使っていると気にもしなかったことだが、
squid V3と
chrome10の組み合わせに
openVPN v2
が組み合わさるとie8よりも初期起動が遅い。

ie8・・・5秒
chrome10・・・10秒

『プロキシを解決しています』と左下に表示して、待たせられるのだ。
squid V2の時は気付かなかったから、恐らくsquid V3との関係が悪いのだと思う。
もう一つの要因は、squidclamavがV6になって、ICAP仕様になったからかも。
ということはICAPが原因か?
同じHWで試しているのだからそんなにレスポンスが悪くなるとは思えない。
でもie8のレスポンスは前と変わらないから、chrome10と何かが合わないのだ。・・・今のところの結論。

いったい何が原因なのだろうか?

知っている人がいたら、情報求む。

ちなみにローカルネットワークで使用している分には、chrome10もie8も1秒以内に動作する。
モバイルノートがatomだからだろうか?
viliv N5ですが、大変重宝してます。
vSphere Clientもうごくし、SSHはもちろんのこと。

これぞ、モバイルPC。

だから、ハードが悪いとかは思っとりません。

ではでは。

2011年3月24日木曜日

openSUSE 11.4 proxyサーバー構築

弊社で使っているproxyサーバーの構築手順をちょー簡単に記述します。
OSやバージョンの組み合わせで設定方法が変わりますので、参考程度に見てください。
openSUSEに入っているsquidはV2系とV3系があり、今回は以下のようなバージョンで作成しました。
一応、サイトのウイルスチェックをする構成になってます。
squid3とsquidclamavのv6だとICAPを使うのがデフォルトみたいです。

openSUSE 11.4
squid 3.1.11     YaST
apache 2.2.17    YaST
squid-graph 3.2 http://squid-graph.sourceforge.net/
clamav 0.97      YaST
squidclamav 6.2 http://squidclamav.darold.net
c-icap 0.1.4     http://c-icap.sourceforge.net/

今回squidguardの設定をしておりませんが、これもYaSTで簡単にインストールできます。
フィルタが必要な人は入れてみてください。
簡単なフィルタなら、squid.confに直接記入するという手もありますが、
数が多くなると大変ですので、squidguard使ってください。

上記の構成要件は、
1.プロキシー(使用者制限、アクセス制限可能)
2.前日のヒット率のグラフ表示
3.ウイルスチェック(icap)
です。

2011年3月22日火曜日

openSUSEへのvmware-toolsインストール

vmware-toolsをインストールしなくても、openSUSE内のvm-toolsが入るのですが、VMware製のものの方が問題が少ないような気がします。
(今まで問題が起きなかったので、そんな気がするだけです。検証したわけではありません。)

kernel-sourceとgcc、gcc+が確か必要だったと記憶していますので、事前にYaSTでインストールしておいてください。


1.この圧縮された状態のものをHDDに保存します。
(GUIでhomeの自分のディレクトリのダウンロードにコピーします。)
2.解凍し、ディレクトリを変更します。
(右ボタンで展開してください。その後、そのディレクトリを開きます。)
3.そのディレクトリの中で右ボタンを押し、コンソールを開きます。
以降がコマンドラインからの入力になります。
4.そのままsuするとディレクトリが変更にならないので、suします。
5../vmware-install.plを実行し、インストールします。
ほとんどyesでいいと思いますが、一応確認しながら進めてください。

以上で完了です。

2011年3月21日月曜日

openSUSE 11.2 から 11.4 バージョンアップ

今回はopenSUSE11.2から11.4へバージョンアップした話。
CDからブートして、途中で更新を選んでいきます。
ベースはいつものESXi4.1update1です。
今回も画面キャプチャーをとってますので、参考にしてください。

追記(2011.03.24):logrotate.confがデフォルトに戻っているのを発見しました。
変更している方は忘れずに再度設定しないといけません。

2011年3月20日日曜日

OpenSUSE 11.4のインストール

openSUSE11.4-64bitをインストールした。
インストールしたのは、いつも使っているESXiサーバーに。
今回は次回記載予定のPROXYサーバーを作った時のインストール過程です。
メモリは1280MBでHDDは120GBの構成です。
特にインストールで問題が出るわけではないので、すんなりインストできると思います。
画面キャプチャーを多用したので、ちょっと長いです。

2011年3月19日土曜日

おすすめのESXiサーバー自作編

弊社で使用しているESXiサーバーはすべて自作機である。
お金に余裕のある企業にはHP製のサーバーをおすすめしているが、実をいうとパフォーマンス的には対して変わりがなく、リタンダント電源になっているとかRAID5が初めから認識してくれるとかハードウェアサポートがあるとかのメリットがあるぐらいである。
そのかわり自作機はコストをかなり安く上げることができる。
それに電気を食わない構成にすることだってできるという自由がある。
やはり、時代は省電力だから、googleのデータセンター見たく、皆さん自作機でサーバー構築しましょう!

ではでは、今回はその構成を列記します。
ポイントはLANがINTEL製を使うぐらい。(下のあすすめはマザーに2つ付いてます。)
ただ、マザーによっては、IPMI使わない場合もあるので、その時は、ESXiインストールの後で、
esxcfg-module -d ipmi_si_drv
すると起動に時間がかかりません。

2011年3月18日金曜日

openSUSE 11.2 ライフタイム 5/12まで

openSUSE11.2のライフタイムが残り56日となりました。(5/12まで)
http://en.opensuse.org/Lifetime

11.2から移行しなければいけないサーバーがかなりあるのですが、いい機会なので、サービス毎にサーバーを分けて、再構築を検討しています。
第一弾はプロキシサーバーを切り離そうかなと思っております。
アクセス制限やサイトごとのウイルスチェック、Web上からの効果測定グラフを見る機能など関連するものだけを搭載したサーバーにしようかなっと思ってます。
週末には完成させて、手順をブログにアップしようかと思ってます。
こうご期待。

2011年3月17日木曜日

ESXi4.1からESXi4.1update1へのバージョンアップ手順

vSphere CLIがインストールされていることが前提条件なので、
入っていない場合はダウンロードしてインストールしてください。
うちの場合はWindows7-64bitにインストールして実行しました。
ちなみにアップデート対象のESXiサーバーを
192.168.1.1
として以下手順を記載していきます。
なので、お使いのESXiサーバーのIPアドレスに読み替えてください。

なお、vSphere CLIのコマンド実行時に
usernameと
passwordを
コマンドのパラメーターに入れていないために対話式に聞かれます。
その際には個別に入力してください。

2011年3月15日火曜日

Windows7(RAID0)のバックアップ第2弾

ParagonのRecovery Media Builder で作成したCDではICH10Rにドライバーを入れられなくて、ブートできないという記事を書きましたが、WindowsPE3.0で作成したブートCDならICH10Rだろうが、Marvell6Gだろうが、ブートしてParagon Backuo&Recovery 2010が使えましたので、その報告。
WinPEでブートしてコールドバックアップしたほうがバックアップ容量が小さい。
しかし、停止してなきゃいけない。
なので、ホットバックアップして、戻すときだけWinPE使うというのが一番手っ取り早いかも。

WinPe-tch Direct・・・かんたん作成ツール
http://kiki2.suppa.jp/pe2/winpetch.htm

WindowsPE3.0・・・ISOファイル
http://www.microsoft.com/downloads/details.aspx?familyid=696DD665-9F76-4177-A811-39C26D3B3B34&displaylang=ja

Paragon Backup & Recovery 2011 (Advanced) Free・・・いつのまにか2011版が出てた。
http://www.paragon-software.com/home/br-free/download.html

作り方はgoogle先生で検索を。
そんなに難しくないですが、わからない点があれば、質問を。
大概のことはgoogleで検索できると思いますよ。

OpenVPNとMySQL Administrator

MySQLはコマンドで使うことがほとんどだったので、今まで気付きもしなかったことだが、VPN経由でGUIのMySQL Administratorを使う場合、MySQLのアカウントにVPNサーバーからのアカウントも作成しておおかないとGUIからアクセスできない。
root@vpnサーバーIPアドレス---こんな具合に---root@192.168.1.1
いつもSSHで直接アクセスしてたから気付かなかった。
ちなみにGUIのエラーはerror1130だったと思う。
VPNサーバーのアドレスがエラー表示されるので、すぐに気付いたけど。
ということで、VPNサーバー経由でMySQLのGUI使う際には忘れずに設定しておきましょう。

2011年3月8日火曜日

世代バックアップ(rdiff-backup Ver.1.2.6-2.2 OpenSUSE11.3)

rdiff-backup Ver.1.2.6-2.2 OpenSUSE11.3
http://www.nongnu.org/rdiff-backup/
いまや当たり前となった世代バックアップですが、ファイルやディレクトリ単位のバックアップで使用しているrdiff-backupというコマンドが便利ですので紹介しておきます。
OpenSUSEの場合、YaSTで簡単に導入できます。
使用方法も簡単ですが、コマンドしかありません。
例:rdiff-backup /share /backup/share

バックアップしたいディレクトリを先に記述して、バックアップ先を後に記述します。
NFSで外部サーバーへのバックアップも

rdiff-backup /share hostname.net::/backup/share

などと記述すれば、外部へバックアップできますが、いちいちパスワードを聞いてくるので、弊社では採用しておりません。
(もしかしたら、回避方法があるかも知れませんが。。。)
代わりにNFSをマウントしてそのディレクトリへバックアップすれば、パスワードを聞いてきませんが、ネットワークバックアップの場合、時間がかかるので、一旦内部のディスクへ保存したのち、外部ディスクへ再度保存(この場合は一日おきぐらい)するというのが速度的にも効率がいいと思います。
さて、このコマンドをcronなどで登録しておき、5分おきにでも実施しておくと、世代ごとのバックアップが取れるので、間違ってファイルを上書き保存した場合は元に戻すことができます。
ただし、Windowsサーバーのボリュームシャドーコピーのようにクライアントから直接復元できないのは不正防止にちょうどいいと思います。
(単にめんどくさい。。。)
その中で一点気付いたことは、スペースを含むディレクトリのバックアップができなかったことです。
My Documetsなどのスペースありの名前がついているフォルダをバックアップする場合は_(アンダーバー)などを入れるなどして、元々のフォルダ名を変更しなければいけませんでした。
その所だけ、なんか不便です。
1.2.8とかでは解決されているのだろうか?(調べてませんが。。。)
なので、フォルダを作る際にはスペースを入れないで作るように徹底しております。
(追記-2011.03.29-スペースが入っていてもセーブされているファイルを発見した。???調査中)

以上、世代バックアップの話でした。