HrsTのあれこれ

SC-01CにCM11を入れたいけど、躓いている人へ

今更ですけど、SC-01CにCyanogenMod 11を入れるチャレンジをしていて、エラーが出て前に進めないという人へのヒントを紹介しようかなぁ～と思います。

私がやった方法ですけどね。
docomoのSC-01Cは一部カスタマイズされています。
そう、モデル番号がSC-01Cになっているんですね。
あと、modemファイルも独自仕様。

配布されているCM11のイメージはグローバルモデルのGT-P1000用に作られており、インストール時にモデル番号の確認が動きます。

私の場合は、このモデル番号が異なるというエラーが出ていたので、
CM11のZIPファイルを展開し、p1ln.shというファイルのgt-p1000をSC-01Cに書き換えて、再度アーカイブして作業をするとうまくいきました。

こういうときってunixベースのシステムって楽ですよね。
設定ファイルとかがテキストファイルなので、失敗を覚悟すれば簡単に編集できるし～

SC-01Cって持ち運ぶには重いけど、厚みがあるので、持ちやすいんですよね。
電子ブックとしてならまだ、十分使えます。
遅いけど・・・

PHPとかCacti使うから使ってるけど、知らないし・・・

Cactiを使うためには、PHPとかが必要です。
でね、使ってると日本語使いたくなるよね。
グラフのタイトルとか・・・

先輩方もおられるようなので、数年前にこの記事を参考に私もやりました。
http://alumini-alumi.seesaa.net/article/166329721.html

実際は、ちょっと間違いがあって、

mb_convert_encoding ( 対象の文字列,変更後のエンコード, 変更前のエンコード)

グラフにはSJISで渡さないといけないので、UTF-8とSJISの場所が逆なんですよね。

まぁ、これは参考にした際にハマりました。遠い過去の話です。

ところで、スクリプトを追加して新しい監視項目を増やそうとしたのですが、
うまく動かないので色々試してた時のことなんですけど、
php.exe scripts\ss_tping.php google.com
とコマンドで実行するとちゃんと結果が帰ってくるんだけど、
Cactiで実行すると値が帰ってこないんですよ

でね、PHPのバージョンを新しくしてみたら動くのでは？と
新しいPHPをとってきて、php.iniを設定するわけですよ。
まじめだから、Cactiのマニュアルを見て、編集個所を確認して・・・

で、入れ替える。

動きません！！

で色々調べてみてわかったこと。

extension=php_mbstring.dll

が標準ではコメントアウトされている。
私のCactiは日本語化して、mb_convert_encoding()関数を使っているので、
当然、この設定変更は必須なんですよね。

PHPを使っている人にとっては当たり前なんだろうけど、
私はPHPを入れただけの人なので、この辺はさっぱりなんだよね。

でも、今回のことで学びました。
次にバージョンアップする際はコメントアウトを外さないとダメ！！
私にとってPHPはCactiを動かすために必要な部品なので、この程度の理解でいいのさ～

mb_convert_encoding()関数を使わずにグラフを日本語対応するってのにチャレンジしてできなかったのはここだけの話だ。

Splunkで見つけちゃった・・・

先日Splunkでログを眺めてたんですけど、不具合見つけちゃった・・・
不具合といっても、何もせずにログファイルを読み込ませているので、設定忘れの可能性もあるんですけどね・・・

テキストファイルに保存するログをSplunkで取得しているのですが、時間の解釈がちょっとおかしいタイミングがあるんです。

2015/10/10 00:01:20.0204 ABCDEFG
2015/10/10 00:01:20.5733 ABCDEFG

みたいなログがあるとき、Splunkは優秀で日付の認識をやってくれます。
ファイルのタイムスタンプまたは１行ごとの日付と思われる場所をもとに日時が特定されるらしいのですが、 2015/10/10 00:13:00:00.00000　になるまでなんですけど、2015年10月10日1時20分と記録してるようなんです。

00:01:20 を 01:20と間違ってるんですね。

だから、毎日ログの順番がおかしいことになってるんです。
今のところ、その時間帯のログ確認が必要になることはなかったので問題ないのですが、ちゃんと定義してあげないと本当はダメなんですよねぇ～

今はちゃんと認識するように直す時間と気力がないのでほっときますけど、
こういう問題をちゃんと直す運用って大事ですよね。

ほんと大事です。

ドキュメントライブラリーは上書きを防げ

ドキュメントライブラリは何も考えずアップロードすると上書きされてしまいます。

これを防ぐ方法としては、上書きするチェックボタンのチェックを外すカスタマイズを行う必要がありますが、私はワークフローでファイル名を変更して、同じ名前になる確率を下げる方法を取っています。
ファイル共有フォルダーとして使っている場合は上書き問題はあまり発生しないのですが、○○報告書の保存のために用意すると、上書きする可能性が高くなります。

それにファイル名の統一性がないと見た目も汚いですよね。

だから、新規保存をトリガーにファイル名を変更するワークフローを使って一定のルールに従ったファイル名に変更してしまいます。
例えば、「○○報告書　＋　報告日　＋　報告者」とかにすることで、同じ日に違う人が報告を上げても大丈夫なようにします。

先日気が付いたのですが、この方法が使いにくいパターンがあることに気が付きました。
それは・・・

テンプレートファイルから保存した場合。

定型文に記入してもらって保存する

という、ユーザーに優しい方法を取った時にファイルを保存して、Officeアプリを終了しても、しばらくの間、ファイルがロックされていると認識され、ワークフローがロック解除を認識するまで中断してしまう問題を確認しました。

このロック解除するまでの時間は数秒から数分と結構ばらつきがあって、中断している間に上書きされてしまう可能性があるのです。

テンプレートから作成したドキュメントのファイル名は「テンプレートファイル名1」がデフォルトになっており、そのまま保存すると、上書きされてしまうのです。

この動作を見越して、ファイル名を変更するワークフローを動かしているのに、たった数分の中断によってグッドアイディアだったこの方法が微妙な感じに・・・

ファイルをアップロードしたときはほぼ即時に反映されるので、直後の一覧更新で変わっているんですけどね～

どうにかならないものでしょうかねぇ～

コンピュータウィルス感染ってなに？

私の使っている職場、個人のパソコンでコンピュータウィルスというものを検出した経験がほとんど無いのでどうやったら感染できるのか？よくわからないんですよね。

最近、コンピュータウィルスに感染したコンピュータが情報漏えいの原因とか、可能性があるってニュースが流れたりしてますけど、ちゃんとウイルスの名前を公表してほしいですね。

数百台のコンピュータを管理していれば、マルウェア検出通知なんて毎日届くわけで、某団体が被害にあったマルウェアの名前がわからないので、検出したものが悪いものなのか、放置してよいものか判らない。

検出した結果、隔離したと通知があった場合は感染といえるのか？
対応が必要なのか？

建前では「速やかにネットワークから切り離し、フルスキャン実施する」といいますけど、検出したマルウェアによっては対応が異なるはずなんですよね。攻撃者の目的も千差万別なんだから・・・

ちなみに、私の検出経験はメール添付だけですね。
メールサーバーのウィルス対策で漏れて届いた新種、亜種だろうなぁ～ってそのままゴミ箱に入れてたファイルを後日検出しただけですね。
この添付ファイルを実行するような律儀な方は感染したといえるでしょうね。
検出時の通知内容に、感染前か後がわかるようになっていればいいと思うけど、それがわかる対策ソフトって聞いたことがない。

セキュリティー対策の運用って本当にちゃんとできている人っているのだろうか？

続・ファイアウォールなんて信じるな

trust -> untrust 許可
untrust -> trust 不許可

これ以上でも、これ以下でもありません。

例外的に、DMZに設置したサーバへの許可ルールを追加します。

DMZはuntrustに属します。

untrust -> DMZ 不許可(一部許可)
DMZ -> trust 不許可

某マイナンバーのセキュリティーにおいて、ファイアウォールという装置を設置することが推奨されていますが、
いったいどのような設定を行うと、マイナンバーを運用するうえで安全なのでしょうか。

考えれば、考えるほど、無意味な装置ですね。

特にIPアドレスとTCP/UDPのPortベースのフィルタリングなんて無意味です。

もし、情報漏えいのプロトコルにHTTPが使われると仮定すると、TCP 80番Portを禁止するのが普通の対応だと思います。
trust -> untrust(tcp80) 不許可
でも、HTTPサーバーのPort番号を53番に設定して、クライアントも53番Portで通信する設定にしてあると通信できます。
53番はDNSというインターネット通信では重要なサービスで利用されており、LANにDNS Proxyを設置していたとしても、端末からの通信も許可しているでしょう。

HTTPサーバーの待ち受けPortを53番に設定することって出来るのでしょうか？非常に簡単です。80番以外を使うことはよくあります。
クライアントはもっと簡単で、サーバーアドレスの後ろに「:53」を付けるだけです。

53番はDNSで予約されているはずですが、本当に使えるの？
誰が53番をDNS以外で使ってはいけないと決めて、設定できないように制限を加えているのですか？
接続先のサーバー管理者に聞かなくてもいいように、53番はDNSに使いましょうという由緒正しき文書の存在はありますけど、
守らない人なんて・・・

そう考えると、port番号で制御するなんて無意味ですよね。

だから、通信の内容を確認して、HTTPであることを認識し、それを止める必要があります。

HTTPのみで情報漏えいが行われるのであれば、これでいいですけど、
未知のプロトコルで通信するとしたらどうなんでしょうね？

ちなみに、私は家庭用ファイアウォールは不要と思ってます。
だって、ネットショッピング中に通信の許可確認の画面が出たら許可するよね？
その許可した通信が、ショッピングサイトとは別のサーバー向けの通信だとしても許可するよね？

え？ちゃんとチェックする？

Command

Comrnand

あなたの使っているDNSって正しいIPアドレスを解決してる補償ある？

ファイアウォールなんて飾りですよ！！

はっきり言って、ファイアウォールなんて飾りだ。
どんなに細かなポリシーを設定したとしても、許可した通信は流れる。

許可した通信をさらにアプリケーションごとに認識してポリシーを設定できる次世代ファイアウォールを使ったとしても、許可したアプリケーションは流れる。

私が運用しているファイアウォールは次世代ファイアウォール「PaloAlto」
これは他のファイアウォールと違って、IPSをファイアウォールのように使いやすくした製品といえばいいのだろうか？
とりあえず、こういうポリシーが当たり前のように設定できる。

ADユーザーのAさんはLINEの利用を許可するが、Bさんは禁止する
パソコンCはWindowsUpdate以外のインターネットアクセスを禁止する
twitterは許可するけどつぶやくのはダメ。mixiは使用禁止。

ファイアウォールが認識するWebアプリケーションレベル、ユーザー、コンピュータと、きめ細かなポリシーが決められるけど、許可した通信は許可なんだ。

で、悪意を持ったユーザーが許可された通信の中で、悪さをした場合に止める手立てはない。

例えば、クレジット番号やマイナンバーのような数字何桁のデータ送信は止める

出来ますよ。

でもね、それを回避するなんて簡単な事。
例えば、データ送信時に無意味な数字の羅列を付与してしまえば簡単にすり抜けてしまう。

はっきり言って、ファイアウォールは想定できる範囲での制御は出来るけど、
人間が知恵を使ってすり抜けようとしたことに対しては無意味

だって、許可する通信を使って禁止されたデータを許可されたデータに変換して送るんだから

だからあえて言おう！！ファイアウォールは飾りであると！！

登録: 投稿 (Atom)