INSANEWORKSTechnologyTips

モバイル/クラウドの時代だからってサーバーのSSHとか全開の奴ちょっとこい

Kotaです。久しぶりにちょっと技術系の事かけよ!!と怒られたので、ちょっと挑戦的なタイトルで書いてみました、が実際そういうシステム、多いんじゃないでしょうか。

セキュリティと利便性は相反するなんて良く言われますが、そこを素晴らしい方法でなんとかしたのがSSLとかSSHとかVPNだと思うのです

安全を確保する事によって逆に便利になる事って多いんじゃないでしょうか?

  • モバイルデバイス主流なこんな時代、どんな場所でもメンテナンスせざるを得ないので、特定のIPからのみ接続を許す、、なんてことはできない
  • 自宅は固定IPじゃない
  • VPNの構築は面倒だし会社のルーターがPPTP/GREやL2TP/IPSecをパススルーしてくれない

結果こうなりがちです

  • 現実的に無理だからセキュリティ対策せず全部通す←おい
  • もちろん監査なんかしていないしヤバいだろうから考えたくないしたくない
  • 心配しないでもSSHは大丈夫だよww -> CVE-2008-0166とかCVE-2008-5161とか

それか

  • そもそも会社からしかアクセスできないようにする、自宅禁止、トラブルあったら深夜でも会社こい
  • 禁止だから打合せしてたら社内の人間に電話で指示しろ
  • そもそもSSHポートなんて空いてたらいくら公開鍵認証でもセキュリティ監査通らないよ、、

あるある、、

あーそいやポートノッキングというのがありまして、200個くらいのポートに順番にアクセスしていくと本当にアクセスしたい接続先のポートが空くのです。(これには批判あり)iPhone用のポートノッキングAppもあるのですがそもそもこれ面倒だしサーバーにも手をいれないとダメだしRFCにされそうにないしというか安くても(バッファローとかはだめだけど)VPN機器とか踏み台借りるなりしたほうがいいんじゃないでしょうか

前置きが長くなりましたが弊社でよく使うiptablesの設定をノウハウの一部を晒します。
iptablesのCHAINとか、SYN,ACK,FIN,RSTで細かく制御とか、調整の難しいlimit-burstは使いません。極めて単純な構造です。

名ずけて IMAPS before SSH!!

続きを読む

Tips

iCloud でiworkファイルがダウンロード出来ない

numbersをよく利用する私にとってiCloudは大変便利です。
常に最新のバージョンはiCloudにおいてあります。
ところが先日
PCからアップロードしたnumbersファイルをダウンロードしようとするも出来ない!!という事がありました。

以前アップした他ファイルはダウンロード出来るのにちゃんとアップ出来てなかったのか?と思い、少し調べると出て来ました。

どうやらPCからアップロードしたpages,keynote,numbersなどのiWorkファイルは
一度iOS5でダウンロードしてからでないと
PCでiCloudからダウンロード出来ないらしいです。

iCloudからダウンロードするにはipadでダウンロードしてから試すとすんなりPCに落とせませした。

ちょっと気になったので簡単ですがメモしておきます。

Technology

XenServerでIntelliCacheを有効にする

XenServer 5.6FP1がリリースされました。

新機能は、、

XenServer 5.6 FP1では、まず、デスクトップ仮想化でのパフォーマンス向上とストレージコストの削減を行える「IntelliCacheテクノロジ」を新たに搭載した。これは、仮想デスクトップ環境におけるディスク書き込みの約8割を占め、パフォーマンス低下やストレージ容量の多大な消費を引き起こす、一時的なデスクトップの読み書きを、ローカルサーバーのHDDや、高速なSSDに移動させる技術で、高価なストレージの必要容量を最小限にとどめられるという。

ほほぉ、、

また、サーバー仮想化において、ネットワークの集中管理や耐障害性向上を実現する「分散仮想スイッチ(DVS:Distributed Virtual Switch)コントローラー」、「オープン仮想スイッチ(Open Virtual Switch)」の両機能が採用された。これらの機能を利用すると、XenServerのネットワーク層の可視化と、データセンター内またはクラウドへの仮想マシン移行を追跡し、きめ細かなネットワークの設定や制御ポリシーを、移動先のサーバーでも従来どおりに提供できるとのこと。

気になったのは、、

このほか、仮想マシンのディスクやメモリを自動スナップショットによって保護し、そのイメージをストレージへアーカイブする機能や、担当者に管理権限を一部委譲できる、新たなWebベースの管理機能などが追加されている。

ほぼ全文クラウドWatchさんの記事からの転載ですw

で、Webベースの管理機能、仮想スイッチ使いたいけれども、この中で無償版で使えるのはIntelliCache機能のみ。

このIntelliCache、FP1でないXenServerから有効化したり、インストール時に

「有効にしますか?後から有効にする事もできます」

と聞いてくるくせにどこから有効化するのかさっぱり。。

で、記録を残しておきます

続きを読む

ReviewTechnology

GlusterFSでクラスタFSを作る

Kotaです。

Linuxクラスタ上のファイルシステムはGFS/ocfs/Cephやら色々出てて正直どれを使っていいか、、と、ざっくり調べた所かいつまむとこんな感じのようです。

  • GFSはFC-SAN有りの大規模向け
  • OCFSは歴史ありだがKernelにMergeされていない
  • Cephははじまったばっか
  • pNFSはNFSベースだけど実績不明

みたいなところです。

で、先日ひょんなとこからGlusterFSを知りました。

GlusterFSはBlockDeviceではなく、UserLandで動作するFSベースの分散ファイルシステムです。

自動復帰、ミラーリング/ストライピング

結論から言うとファイルの配布やら一時ファイル、セッション共有などであれば十分と判断します。

というわけでおそらく世界一簡単(手抜き)なGlusterFSのセットアップ方法を載せておきます。

続きを読む

INSANEWORKSReviewTechnology

社内クラウド化計画 Part2

kotaです。プライベートクラウド計画Part2といきましょう。

用意するものは、、

  1. ML 115 G5 x3(12800円/台)
  2. PC-6400 2G MEM x8(3500円/枚)
  3. 802.1Q対応スイッチx1(20000円/台)
  4. LANケーブルx9(300円/本)
  5. 電源タップx1(1600円/個)
  6. Intel NIC x3(8000円/枚)
  7. HDDx4(10000円/台)
  8. USBメモリx1(1000円/個)
  9. SAS2ケーブルx1(300円/本)

全部で15万くらいでしょうか??

ただ、ウチの場合はスイッチとメモリ以外はほとんど余り物があったので、

実質6万くらい。これでどんな事が可能なるか?続きをご覧ください。

続きを読む