読者です 読者をやめる 読者になる 読者になる

ミジンコ奮闘記(AWSとLinuxがメインかな・・)

初心者が初心者による初心者の為のAWSとかLinuxとかの導入記(奮闘記?) !( ゜д゜ )

【祝】DeepSecurity10環境を作ってみた

待ちにまった俺たち私達のDeepSecurity10が公開されたんで試してみます。

ちなみに↓のDeepSecurity Help CenterからDS10の諸々のソフトが公開されてます。

Deep Security 10.0 Software

 

 

建てるにあたって、諸々設定するの面倒なんで、

さくっとwindows2012R2で建ててみるよー。

 

【環境情報】

AWS

OS:windows2012R2

インスタンスサイズ:m4.large (ストレージ30G)

DB:Oracle SE One 11.2.0.4.v4 (ストレージ30G) 

 

 

 

〜〜インストール開始〜〜

 

インストールウィザード画面。

9.6のときと違って大人っぽさというか高級感が漂ってきますね。wktk

 

f:id:inamo:20170310005231p:plain

 

DB作るの面倒だったんで、組み込み選ぼうー

 

って思ったら

 

f:id:inamo:20170310012128p:plain

 

むむむ、、、、うおい!組み込みがないじゃない。(´;ω;`)ウッ…

 

 

OracleRDSつくって再開

 

 

f:id:inamo:20170310031601p:plain

 

 

この後のインストール画面はいつもの通りなので割愛します。

ここから自動諸々動いて20分程度して完成

 

f:id:inamo:20170310032847p:plain

 

ほい、インストール完了!!!

 

 

f:id:inamo:20170310041248p:plain

 

上部メニューが変わってるなぁ

f:id:inamo:20170310041306p:plain

 

 

 

追加された機能ってのがアプリケーションコントロールとかだったなぁっと

思いつつ設定画面見てみる。

 f:id:inamo:20170310035249p:plain

 

メンテナンスモードとかあるのかぁ(小並感

f:id:inamo:20170310035501p:plain

 

 

 

とりあえず、構築とあらかたコンソールはみれたんで今日の確認は終了して寝よう。

 

 

 

 

おまけ

 

ダッシュボード

f:id:inamo:20170310041133p:plain

 

 

処理

f:id:inamo:20170310040806p:plain

 

アラート

f:id:inamo:20170310040837p:plain

 

イベントとレポート

f:id:inamo:20170310040859p:plain

 

コンピュータ

f:id:inamo:20170310040917p:plain

 

ポリシー

f:id:inamo:20170310040933p:plain

 

管理

 

f:id:inamo:20170310040952p:plain

 

他にリクエストあったら言ってください〜

画像アップしてみます。

【DeepSecurity】用語辞典

目的:マニュアルからでは分かり辛い用語とかまとめおく記事

 

 

【DSaaS】アカウントの作成方法が変わったようです。

久しぶりです。imoです。

 

 

DSaaSのアカウントの作成方法が変わったので備忘として残します。

 

下記画像にある番号順に説明

 

f:id:inamo:20160428160524p:plain 

■①②のNameについて、

自分の名前か法人なら代表者の名前に。

ぶっちゃけ、、、何で使ってるのかわからんけど、アカウント作った限りでは、

何入れても影響無いっぽい。

 

■③Company/Account

ログインページのAccount Nameに入れるアカウント名

 

■④アカウント作成にあたって使うメールアドレス

■⑤⑥⑦パスワード関連

■⑧ 所属してる国を選ぶ!

しかし、Japanが無いww

まあ、何選んでもいいけども国によってライセンス買いませんか?っていう

宣伝メールがきたり来なかったりという差があります。

ボクはもちろんGermanyを選びました!

20150510現在、Japanを選択できることを確認しました。

 

■⑨Languageについて

素直にJapaneseを選べばいいと思います。

 

■⑩タイムゾーンについて

これ地味に注意!最初に選んだタイムゾーンが新規ユーザを追加した時の

デフォルトのタイムゾーンとして選ばれるので、JST以外にすると面倒くさい。

 

以上!

 

 

 

 

 

 

 

 

【DSaaS】MFAに対応しました!【導入手順】

こんばんわ、こんにちわ。ミジンコこと芋です。

 

今回は、Trend Micro Deep Security as a Service(以下、DSaaS)のMFAの紹介。

 

どうやら、2015/07/26のメンテナンス以降にMFAに対応した様子でしたので

早速、男は度胸なんでもためしてみるものさ!という某ツナギおじさん精神にのっとってやってみました!

 

【必要なもの】

Authyなどの2段階認用のツール

 

【MFA導入手順】

1:DSAのログイン画面を開きログインしましょう。

  早速、ログインのチェックボックスにMFAって出てますね(*゚∀゚)=3

 

f:id:inamo:20150730035941p:plain

 

2:ログイン後、右上部にある①ユーザ名をクリック⇒②ユーザプロパティをクリック。

 

f:id:inamo:20150730040313p:plain

 

3:赤枠のManage MFAをクリック。

 

f:id:inamo:20150730040346p:plain

 

 

4:ポップアップがでるので「次へ」をクリック。

f:id:inamo:20150730040903p:plain

 

 

5:Authy等のアプリでQRコード読み込みましょう。(今回はAuthyベースで説明します)

 Authy等のアプリを導入してない方は、別記事で方法を書きます。

 なので、今回はチェックボックスにはチェック入れず「次へ」をクリック。

f:id:inamo:20150730041348p:plain

 

6:コードの入力を求められるので、Authyに表示されたコードを

「Authentication Code1」に入力!

 次回のタイミングで新しく発行されたコードを

「Authentication Code2」に入力して「次へ」をクリック。

 

f:id:inamo:20150730041538p:plain

 

7:下記画像のようにsuccessと出れば登録完了!

 

f:id:inamo:20150730041915p:plain

 

8:ログアウトして本当にログインできる試しましょう!

f:id:inamo:20150730042014p:plain

 

 

以上、DSaaSにおけるMFAの導入手順でしたっ!

 

次回は、Authyなどのアプリを使わない場合の手順の紹介。

 

 

【NATにおいての注意】Trend Micro Deep security【iptables】

どうも、こんばんは、こんにちは。

最近ホモ疑惑がかかっているミジンコこと芋です。

 

今回、Deepsecurityを導入する方、される方への注意喚起です。

 

というのは、NATを使用してる或いは、iptablesを使用している環境へ

DeepSecurityAgentを導入してManagerに登録する際、注意が必要です!

※本件はDeepSecurityAgentのインストールまでは平気です。

 

 

何故なら?

 

iptableのルーティング設定がぶっ飛ぶ!!

 

といっても/etc/rc.d/init.d/iptablesに記述したルーティング自体はちゃんと保存していれば、設定自体は消えないです。

ただ、とある空ファイルを配置しないと、侵入防御ルールに関連する変更などが行われた際に毎回iptablesのルーティングがぶっ飛ぶ可能性があります。

 

現時点で確認できたこと※誤りあったら指摘ください。修正します。。。

 

・侵入防御ルールをオン

・ファイヤーウォール機能をオン

・ルールアップデートを実施する。

・上記を既にオンにしている場合でも、設定変更等行うと再現するかも?(未検証)

 

 

※現時点では憶測ですが、上記に関する変更(アップデート)が行われた場合、

 iptablesのルーティング設定が飛ぶ可能性があると思われます。

 

201507/10現在において資料は以下のように記述してますが、

 食い違いがあるようなので注意!

 

 資料:Deep Security 9.5 SP1インストールガイド 基本コンポーネント
 項目:Linuxiptables
 内容:Deep Security 9.5以降では、インストール中にLinuxiptablesが無効になりません。
 http://files.trendmicro.com/jp/ucmodule/tmds/95Sp1/Deep_Security_95_SP1_Install_Guide_basic_JP.pdf

 

 

【回避方法】

※既にやらかした方は【やらかした場合】を参照!

 

空ファイル:「/etc/use_dsa_with_iptables」を作成する。


コマンド
# touch /etc/use_dsa_with_iptables

# /etc/rc.d/init.d/iptables restart

 

さらに詳しい解説は、↓こちら↓ 我が師の記事です!

DeepSecurity - NATサーバにDSAをインストールする(Deep Security 9.5 / DSaaS) - Qiita

 

【やらかした場合】

まずは、念のため、本当にルーティングが吹っ飛んだのか確認。

#service iptables status

 

吹っ飛んでたら・・・↓のコマンドでiptableの設定を確認。

#cat /etc/sysconfig/iptables

 

・ルーティング設定を保存している場合

 

iptablesを再起動してステータスを確認してルーティング設定が読み込まれることを確認。

#service iptables restart

#service iptables status

 

②該当サーバを経由して外に出るサーバよりcurlを叩きこみ応答があるか確認して、応答があれば復旧!

#curl --dump-header - http://www.w3c.org/

 

・ルーティング設定を保存していない場合・・・

 ⇒iptablesの再設定/(^o^)\ナンテコッタイ

 

 

同じ過ちを繰り返さないためにも、【回避方法】の手順で空ファイルを作りましょう。

 

 

 

 

natだけに納得の対応を。

なんとなく言ってみただけです。

 

皆さんごめんなさい。λ....

 

 

 

 

Amazon Web Services 実践入門1日目レビュー

研修デビューしちゃいましたミジンコこと芋です。

 

今回は、Amazon Web Services 実践入門1にいってまいりました。

EC2の建て方から基本的な操作の仕方などレクチャーをしていただきました。

 

ざっくりとどんなことをやるかここで宣d・・ゴホ

Amazon Web Services 実践入門 1 ~一日で学ぶ、AWSクラウド活用~ - AWSトレーニング | アマゾン ウェブ サービス(AWS 日本語)

 

とはいえ上記サイトを見ればなんとなく何するか書いてありますが、

こんなことをやってきました。

 

インスタンスの建て方

・AMIのとり方(no rebootで取得する場合の注意点などの説明含む)

・S3使い方(静的コンテンツの立ち上げ方など)

インスタンスを建ててからのWordpressの導入。

WordpressとS3プラグイン導入と画像の保管先をS3に向ける方法

などなど

 

 

【レビュー】

ミジンコの芋でも気軽に参加できる形でWordpressの設定等のコマンド関連は、

キチンと資料に書いてくれててくれてるので敷居は低かったです。

そのため、linuxをまったく触ったことのない方でも十分に参加できる内容になってました。

また、先生も綺麗な方で教え方についても凄く丁寧で分かりやすい。

内容を初心者向けにブレイクダウンしてくれている印象をうけました。

 

ハンズオンの内容も回数をこなす形をとっており、

各項目ごとで毎回インスタンスの作成をするような流れになっており、

反復練習にもなり記憶に残りやすいように研修内容も考えられていて、

ミジンコくらいの脳な芋的には嬉しい限り。

 

先生と補助の方の2名体制で講義をしてくれて、分からない点や悩んでいる人がいたら先生のほうから気に掛けてくれるという心配りも凄く評価できるポイントだと思います。

 

これからAWSを使う方や既に使っている方でも為になる研修だと感じましたわ。

 

以上レポっす。

 

 

【SSHtunnel】ポートフォワーディングツールの紹介【Mac】

 

ひさしぶりの投稿です。ミジンコこと芋です。

中々linuxのコマンドが覚えられない昨今ですが、

そんな私を助けてくれるツールがありました。

 

今回紹介するツールはこれ!

・Coccinelllida

※世間がどう呼んでるかわからないですが、とりあえずてんとう虫ツールと呼んでみます。

 

どんなツールかっていうと、、、、ポートフォワーディングするツールっす!

ポートフォワーディングとは

ローカルコンピュータの特定のポートに送られてきたデータを、別に用意した通信経路を用いてリモートコンピュータの特定ポートに送信すること。

らしいけど、ミジンコ的にはこれ聞いただけだと今一分かり辛いなぁとか思いつつ。

具体的な使い方の例を上げると、

 

Windwsサーバにリモート接続したいけども、

外部ネットワークから繋げられないように設定している。

接続する場合、踏み台を経由しなければならない。

 

・DeepSecurityの管理コンソールを見たいが外部ネットワークから接続出来ず、

踏み台経由でないと見れない場合などなど

 

ただ、このツールのいいところは、GUIベースで設定を入れ込んだあとで、

コマンドも作ってくれるということ、

つまりは、ツールなど安易に入れられない環境において、

コマンドメモしておけばいちいち考えずに作れる点。

流石ミジンコ、長いコマンドを作ろうと思ってないところがカスなんですね。

否、便利なツールがあるんだから使わない手はない!

 

【使用方法】

①:下記サイトよりCoccinelllidaをダウンロードしてインストール。

Coccinellida - Simple SSH Tunnel Manager for Mac OS X

 

②:インストール後、てんとう虫を起動するとてんとう虫が湧くので、

 下記添付画像のようにPreferencesをクリックする。

 

f:id:inamo:20150703165051p:plain

 

③下記画像ののように「①」の赤枠内のアイコンをクリックしてください。

 

f:id:inamo:20150703165516p:plain

 

④続いて、Generalの隣にあるPort Forwardingをクリックする。

 各項目について、

 Type:Local

 Local Port:任意のLocal側で使うPortを指定。(予約ポートは避けましょう)

 Local Host:localhost

 Remote Host:踏み台からアクセスしたいサーバのIP

 Remote Port:踏み台からアクセスしたいサーバのポート

 

設定投入後、Saveをクリック。

 

f:id:inamo:20150703172444p:plain

 

 

⑤Save後、tunnel設定一覧に登録されますので、xで閉じちゃってOKです。

 てんとう虫をクリックすると登録したトンネル設定が表示されるのでクリックしましょう!

 

f:id:inamo:20150703174507p:plain

 

⑥てんとう虫のアイコンから登録した接続先をクリック。

 

⑦ ”④”で設定したLocal Portへリモート或いはブラウザなどで接続してみましょう!

 

 

 

【おまけ】

↓の赤枠にコマンド記載されますので、てんとう虫を導入出来ない場合、

 これを元にコマンドを作ると便利です。

f:id:inamo:20150706163401p:plain