ドメイン検証方式「TLS-SNI-01」に脆弱性が見つかったのでCertbotのコマンドをいじろうと思ったけどいじらなくてよかった話

このブログサーバのSSL/TLS証明書は、Certbotというツールを使い、Let’s EncryptというCAから自動で発行/更新してもらっていました。2019年1月18日にLet’s Encryptからこんなメールがきたので対応しました。

“ドメイン検証方式「TLS-SNI-01」に脆弱性が見つかったのでCertbotのコマンドをいじろうと思ったけどいじらなくてよかった話” の続きを読む

fail2banでブルートフォース攻撃からsshdを守る

勉強としてたまにハードニング大会に参加しています。とあるシステムが与えられて、そこにレッドチームが攻撃をしかけるので、ブルーチームとしてその攻撃からシステムを防御する、というイベントです。私は基本いつもブルーチーム。

そんな中、真っ先に守らねばならない大穴なのがsshd。大抵、sshdは公開鍵認証のみを受け付ける設定にするか、アクセス元のセグメントでアクセス制御を行ってしまえばとりあえず防御完了なのですが、それができないシステムがたまにあります。参加人数が大人数かつ、攻撃側と防御側のセグメントが分けられていなかったり、すでにシステム内部に侵入済みであることを想定した大会であったり。今回は、そんな状況でもsshdを防御するために、fail2banというツールを使ってみます。

“fail2banでブルートフォース攻撃からsshdを守る” の続きを読む

Let’s Encryptで発行したSSL証明書の更新失敗(Google CTログエラー・20181201)

このブログのWebサーバにアクセスできない事象が発生していました。確認できたのは12月2日の0時くらいです。原因がわかったのでメモしておきます。

“Let’s Encryptで発行したSSL証明書の更新失敗(Google CTログエラー・20181201)” の続きを読む

Apache httpdのmod_securityでホストベースWAF

最近ちょっとmod_securityというNginxやIIS、httpdでWAFを実装できるモジュールを触る機会がありました。WAFって高い専用機器買わなきゃだめなんでしょっていう先入観があったのですが、これがWebサーバと同居も可能なのになかなか仕事してくれる。httpdで動いているこのブログサーバにも入れてみようと思います。ただし、なかなかにリソースを食うので、そこそこアクセスがあるサイトであれば、コンテンツを保有するWebサーバ自体に導入するのではなく、リバースプロキシとして立てたhttpdに導入するのがいいかと思います。SSLアクセラレータもついでにそこで実装すれば良いかと。

“Apache httpdのmod_securityでホストベースWAF” の続きを読む

Apache httpd 2.4.6でSSL Server TestのSSL/TLS強度A+を取る(2018年2月)

https://www.ssllabs.com/ssltest/というWebサーバのSSL/TLS強度をテストしてくれるサイトがあります。このブログサーバ構築時に、ネットの記事のコンフィグコピペでA+をとれるようにしたっきり放置していて、いろいろ設定も変えたし時間も流れた現在、再度ここで最高ランクA+を取れるようにしようというのが今回の記事の趣旨。

“Apache httpd 2.4.6でSSL Server TestのSSL/TLS強度A+を取る(2018年2月)” の続きを読む

ざっくりSSL/TLS

最近おしごとがインフラ屋さんではなくセキュリティ屋さん的な様相を帯びてきました。その中でも、暗号技術について「これはつかっちゃだめ、これを使いなさい」程度のことは言えるけど、それがなぜなのかはあんまり自信を持って言えなかったのが昨年末くらいの悩みでした。ちょっと勉強したのでまとめます。間違いが多々ありそうなので随時更新予定。

“ざっくりSSL/TLS” の続きを読む

OWASP ZAPでWebAP脆弱性診断

プラットフォーム脆弱性診断に続き今度はWebAP脆弱性診断。今回はOWASP ZAP(Open Web Application Security Project Zed Attack Proxy)というOSSのツールを使います。このツールは脆弱性診断研究会さまの講習会で勉強させてもらいました。 “OWASP ZAPでWebAP脆弱性診断” の続きを読む

Nessusでプラットフォーム脆弱性診断

自分が公開しているサーバって本当にセキュリティ的に大丈夫なの? っていう不安は常についてまわるものです。自身のサーバがうんぬんはもちろん、最悪攻撃の踏台にされて他者にも迷惑をかける可能性があります。というわけで今回はNessusという脆弱性診断ツールを利用してこのワードプレスサーバを診断してみます。

“Nessusでプラットフォーム脆弱性診断” の続きを読む