DreamerDreamのブログ

夢想家の夢です。〜揚げたてのモヤっとしたものをラフレシアと共に〜

セキュリティー

3Dプリンターを使ってスマートロックを自作する ⑦完成

前回はSocket通信でのセキュアな通信方法を考えてみました。 dreamerdream.hateblo.jp 今までの内容でスマートロックを自作する準備が整いましたので実際に取り付けていきます。 今回、全システムの詳細は物が物だけにセキュリティーの都合上掲載しません。 …

3Dプリンターを使ってスマートロックを自作する ⑥単純な制御通信におけるセキュリティーの考察

前回、スマートロックの制御方法を考えました。 dreamerdream.hateblo.jp スマホから鍵の操作はVPSに構築したWEBアプリを経由することとし、VPSから鍵の操作は自宅のラズパイで制御することにしました。 今回は具体的な通信手段を考えます。 通信内容は「施…

3Dプリンターを使ってスマートロックを自作する ⑤スマートロック制御方法の構想

前回、ハードウェアの実験はクリアできました。 dreamerdream.hateblo.jp 今回はスマートロックを制御する具体的な方法を考えていきます。 ICカードや各種Webサービス(GoogleHome等)を利用してスマートロックを作成されておられる方を拝見しましたが、個人…

3Dプリンターを使ってスマートロックを自作する ④実動試験

前回ギアボックスを作って動作が良好でしたので、実際に使うことになるであろうケーブル長のケーブルを用意して実験することにしました。 dreamerdream.hateblo.jp <前回の実験> youtu.be 実はこのスマートロックは設計無しの思いつきで始めたので実際の制…

3Dプリンターを使ってスマートロックを自作する ③ギアボックス作る

前回の実験で、いい感じで鍵が回ることと取っ手の間に本体が納まりそうだということが確認出来ました。 dreamerdream.hateblo.jp 今回はギアボックスを作成していきます。 この部分にピッタリ収めたら見た目がスッキリします。 ギアとギアの隙間、部品同士の…

3Dプリンターを使ってスマートロックを自作する ②鍵を回す機構を考える

前回、サーボモーターをギア化しましたので今度はサムターンを回す部分を作成します。 <前回記事> dreamerdream.hateblo.jp 構想 サーボモーターからの動力を直接鍵に入力するには、下のピンクのような部品を作るという方法が一番簡単な方法です。 ギアと…

フィッシング詐欺のページにアクセスするとどうなるのか実験してみた Amazonからのメッセージが本物かどうかはカスタマーセンターで確認しましょう

先日、Amazonを名乗る所からSMSが届きました。 Amazonプライム会費のお支払い方法に問題があります。詳細はこちら:https:www.amazon.(アマゾンっぽいアドレス) という内容です。 いつもであれば「はいはい、フィッシング詐欺ね」とスルーするところなので…

「HelloThinkPHP」って何? サーバーのセキュリティー対策を怠らないようにしましょう

先日、僕が公開しているVPSサーバーのログを眺めていましたらこのような攻撃を受けていました。 GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP HTTP/1.1" 301 362 "-" "Mozilla/5.…

MyDNSでHTTPのBASIC認証していたリクエストをHTTPSリクエストに変更する

今までDDNSサービスのMyDNSへのIPアドレス更新にはHTTPへBASIC認証をしていました。 dreamerdream.hateblo.jp IPV6を無効化する方法もどうぞ↓ dreamerdream.hateblo.jp こんな感じ wget http://[ ID ]:[ パスワード ]@ipv4.mydns.jp/login.html cronで30分…

Let's Encryptの自動更新回数、有効期限を確認する方法

以前にLet's Encryptからエラーメールが来て対処していました。 dreamerdream.hateblo.jp 最近になり、「そういえばそろそろ90日ぐらいになるけど今回はちゃんと更新出来たんかいな?」 とふと不安になり、更新されたのかとチェックしようと思ったものの、…

SANNCEの防犯カメラレコーダーをHDMIからVGAに出力させる方法

以前にこちらの記事でも書いた通り、防犯カメラのレコーダーが調子が悪くて修理を試みました。 dreamerdream.hateblo.jp で、結論ですが。 結局「修理は無理!」という結論に至りました。 なんかいろいろ弄ったけど原因不明だし「寿命でしょう」ということで…

狙われてるのはWordPressだけじゃない!CMSでの管理者パスにご用心!

自作で公開しているWebアプリのログを見ていると不正アクセス目的のログが出るわ出るわ で、POSTリクエストを送って来るその殆どがWordPressの管理者ファイルを狙ったphpファイルへのアクセス試行と見られます。 リクエスト先の一例 /api.php /s1.php /plus/…

しつこい不正アクセスを長期的にfail2banでBanする

前回、fail2banでBanしたログを調べておりますと、 dreamerdream.hateblo.jp BanしてもしてもしつこくSSHログインを試行してくる面倒くさい輩がいましたので、ひとまず挙動を確認してみることに。 sudo cat /var/log/fail2ban.log | grep 213.155.231.234 あ…

サーバー用Raspbianにfail2banをインストール

以前にCentOSにfail2banをインストールしましたが、以前からサーバー用に使っているラズパイもチェックしてみると最近になってSSHポートが割れたのか不正アタックが多くなってきましたので同じようにfail2banを導入することにしました。 dreamerdream.hatebl…

fail2banの設定をした

この前sshへのアタックを調べると一定期間にとんでもない量のアタックが来ている事が判明! え?確か前にfail2ban導入してたよね?? dreamerdream.hateblo.jp おかしい!なんで? 調べて見ました。 sudo fail2ban-client status で設定が確認出来るそうです…

せっかくHTTPS化にしたのならSSL/TLSの状態をテストしてもっとセキュアにしましょう

以前にDjangoで作ったサイトをSSL化しました。 dreamerdream.hateblo.jp Djangoはセキュリティー面ではかなり優秀な分類で、特に何もしなくても(というか、いらないことをしなければ)フォームなどリクエストに対して適切なエスケープ処理をしてくれます。 …

Djangoの使い方⑩サイトをhttps(SSL)サイトにする

以前記事から随分と時間が経ってしまいましたが、DjangoでWebサイトを構築しました。 dreamerdream.hateblo.jp Webサイトの紹介はしませんが、今回はそのDjangoで作ったWebサイトをhttps(SSL)化します。 ここ最近ではセキュリティーの関係でhttpプロトコル…

WordPressのWebページ管理者は要注意!!Webページの不正アクセスログを集計してみた

僕が公開しているWebサイトの不正アクセス履歴を調べてみました。 今回の対象はざっと7000アクセス程度ですが、エンドポイント http://www/サイトアドレス/ [ ここの部分 ] へのアタックを集計して書き出してみました。(一部です)リストの下ほどアクセス数…

SSH攻撃への対策

この前sshログイン失敗の履歴をふと見てみたら色々なIDで試行されていることが判明しました。 SSHのログイン履歴は last SSHのログイン失敗履歴 sudo lastb 結果 jenkins ssh:notty 81.139.61.222 Sat Nov 10 08:55 - 08:55 (00:00) jenkins ssh:notty 81.13…

Apacheで簡単なDDOS対策「mod_evasive」

Apacheではサーバーへの大量パケットが投げられるというDDOS攻撃の対策として mod_evasive というモジュールを利用することが出来ます。 これは大量アクセスへ対策するもので、デフォルトのままで 同一ページへ1秒間に2回以上のアクセスでブロックリスト追…

ムームードメインで取得したドメインをConohaに設定!ドメインって盗まれないの?

今回はDNSの設定ですが、疑問点が出て来ましたのでもし誰か解る方あったら教えていただきたいです。 Conohaのネームサーバーで設定する 疑問点 ムームードメインからのIP設定方法 まずはムームードメインでドメインを取得します。 これは簡単! 好きなドメイ…

Djangoの使い方⑤ユーザー認証を追加する(会員ページ、ユーザー専用ページ)

前回はApacheのドキュメントルート以外でDjangoを動かしました。 dreamerdream.hateblo.jp 今回はDjangoのサーバー機能を使ってユーザー認証機能のテストをします。 ユーザー認証は会員専用ページとかユーザー専用のページを作るには必須事項です。 Djangoは…

ネットリテラシーとは?なぜ何でも自由なハズのインターネットなのに人に迷惑をかけちゃいけないの?

Twitterであまりに非人道的な投稿や迷惑行為を披露をする「バカッター」と呼ばれる人が問題になってから「ネットリテラシー」という言葉をよく聞きませんか? 一言で言えば 「ネットワークや情報を正しく利用できる能力のこと」 ですが、何故正しく利用しな…

小学生でもわかる!共有鍵(共通鍵)、公開鍵と秘密鍵とは?

インターネットではここ近年、「http」から「https」のセキュアな通信へと移行する動きが出ています。 今回はhttpsで使われている暗号化技術の1つ、「共有鍵」「公開鍵と秘密鍵」について、難しいことは専門家がかな〜り詳細に説明してくださっていますので…

kampa.me