タグ: セキュリティ

2021/3/16よりLastPass無料ユーザーはPCかモバイルかどちらかを選択しなければならなくなります

LastPass

パスワード管理の多くをLastPassに頼るようになって何年ぐらい経つんでしょう。「自分で覚えなくていい」という安心感からパスワードの使い回しを一切しなくなり、制限文字数いっぱいのランダムな文字列をパスワードに使うようになりました。「LastPassのマスターパスワードが漏れたら全部漏れる」というリスクは必ずあるので、セキュアだとは全く思っていませんが、でも自分で管理したってどうせセキュアにはなりようがないので、相対的に見て今の方がセキュアかなと考えています。

続きを読む

【今日のニュースから】Amazonのやらせレビューなんとかならんのか

Amazon ロゴ

先日義実家に行ったときに義母が「Amazonで買ってみた包丁が全然切れない」とこぼしていたので見てみたら、確かに格好は良いけれど付いているのは刃というよりは鉄板で、これを切れるようになるまで研ぐのは相当手間掛かりそうだなあ(電動の研ぎ機が必要なのでは)という感じだった。なんだこれは。それを告げて返ってきたリアクションは「5,000円ぐらいしたのに」「レビューもたくさん付いてたのに」ということで、気になって買ったという商品を見てみたら、無銘の包丁に☆5のレビューが3,000件ぐらい付いてて、うひーってなった。純粋な心で欲しいものを探していれば、これだけ評価されてたら安心だっつって買うよなあ。普通。Webの酷さに慣れて擦れてしまった自分の感覚だけで購入した義両親を責める気はおきない。悪いのは彼らではなく、どう考えたって偽レビューで消費者を釣る出品者の方だ。

続きを読む

ログインユーザーでメールログを閲覧出来るようにする

プログラミング・コーディングのサムネイル画像 メールログを監視してbouncedとなったメールアドレスに対して何らかの処理を行うということをしたいのだけど、ログの解析は何とかなるとしてもそもそもメールログが読み込めない。考えてみれば当然のことで、メールログって基本的にroot権限なんですよね。そして600。 

$ stat /var/log/maillog
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
このままだと不便なのでログインユーザーでメールログを読めるようにしたい。ただセキュリティ的な意味で誰でも読めるみたいなことにはしたくないので、ちょっとひねって、グループで管理することにしてみました。やってみた手順はこんな感じ。
  1. ログ閲覧ユーザー専用のグループを作成する

    # groupadd logadmin
  2. ログインユーザーをログ閲覧ユーザー専用グループに追加する
    # usermod -a -G logadmin vagrant
  3. メールログのパーミッションとグループを変更する

    # chmod 640 /var/log/maillog
# chgrp logadmin /var/log/maillog

  4. ログローテーションの設定を変更する
    # vi /etc/logrotate.d/syslog

create 640 root logadmin ← endscriptの直下に追加

  5. ログインし直して確認
こうすることでメールログファイルは所有者である「root」に閲覧と書き込みが、「logadmin」グループに所属しているユーザーには閲覧のみが認められるようになります。で、そのグループにログインユーザーを登録しておけば、ログインユーザーがメールログを読めるという寸法。 ついでにログローテーションの設定を変更して、ローテーション後に作成される新ファイルのパーミッションも変えるようにしておきます。 パーミッションを変える以上どうしたってセキュリティは下がるわけですが、変更を最低限にすることでまだマシかなあと思うのですがいかがでしょうか。ダメかな。

参考

Linuxねた帳: 一般ユーザでログを参照する syslogのアクセス権限を変更する : What Would Jesus Do?

続きを読む

ブログをSSL化しました。

03_01.jpg 自動的にリダイレクトするようにはなってますが、今後は以下のURLでアクセスしてください。 よろしくお願いします。 https://nplll.com 長いこと「やらなきゃなー」と思いつつ面倒で放置していたんですけど、ちょっと時間が取れそうなタイミングが合ったのでえいやっとやってみました。結果から書くと、SSLに対応するだけだったらくっそ簡単なので、コマンドライン打つのに抵抗が無い程度の人はみんな今すぐやったら良いと思う。もっと早くやれば良かった。うちの環境は、ムームードメイン+さくらVPSなんだけど、さくらのSSLを使えば超簡単にできるのでオススメ。価格も年972円と超安い。 具体的な作業手順はこちらを参考にしてください。 SSL証明書を取得しよう – Qiita さくらVPSにSSL証明書を導入しHTTPS通信の構築 – Qiita サイト認証とか確認とかクローラー巡回のタイミング次第で10-30分程度の時間が掛かる場合もあるけれど、順を追ってやっていけば大丈夫。

続きを読む

【フィッシング】パスワードがクラックされて身代金が要求されました!【ネタです】

ph.png 誤爆することも少ないので普段あんまりGMailの迷惑メールフォルダは見ないんですが、なんとなしに開けたらこんなメールが来てました。長めの黒塗りは僕のメールアドレス、短い黒塗りはパスワードです。日本語がだいぶ怪しいですがこの後にこういう記述があり、

あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!) あなたのカメラのプログラムを使用してスクリーンショットを作成しました。 その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。 これらの写真を連絡先に送信すると素晴らしいことがあります。 しかし、あなたがそれを望んでいないと確信しています。 したがって、私は沈黙のためにあなたからの支払いを期待しています。 私は$861が良い価格だと思います! Bitcoin経由で支払う。 私のBTCウォレット: 12ziVv4aQkZTA1gj86Y9uYQByG4CcdVcTA
インカメラをクラックしてお楽しみ中のあなたのスクショを撮影した、ばらまかれたくなかったらBTCウォレットに$861支払えと言う要求のようです。 残念ながら僕の使用しているPCにはカメラは付いていないので、そもそもスクショを撮られることが無いですし、確かに記述されているパスワードは遠い昔どこかのサイト(アキバ系のPCパーツショップ?)で登録したパスワードのように思えますが、基本的に全てのサイトでパスワードを変えているので流出してもあまり困らないし、どこのサイトのものかもよくわからないので実害が全くなく、全然驚けませんでした。殆どの人は僕と同じように馬鹿らしいと一蹴するでしょうが、
  • 同一のパスワードを使い回していて表示されているパスワードに心当たりがある
  • PCにカメラがある
  • PC使用中に人に言えない行為に及んでいることについて、身に覚えがある
  • 心配性
などの条件が当てはまる人であったら心配にもなるかも知れません。身代金要求って最近流行ってるって聞くしな……万が一……とか言って。 間違っても振り込まないよう、身に覚えがあっても振り込む前に警察に一度相談してみるようにしてください。大丈夫だと思いますけど、ネットに不慣れな高齢者だと色々ある可能性があるので。うちの親父とか大丈夫かな。

続きを読む