タグ別アーカイブ: コマンド

米無人機、殺害した9割以上が「標的ではない」:「第2のスノーデン」のリーク « WIRED.jp

ニュースサイト「The Intercept」は10月15日(米国時間)、アフガニスタンやイエメンなど諸外国の標的を殺害することを目的とした米国の無人航空機(UAV)攻撃に関連する新たな文書を公開した。

無人機作戦を行っているCIAと統合特殊作戦コマンドに関するこの暴露には、例えば、2012年の5カ月間における米国無人機による殺害のうち、実に90パーセントがもともとの標的以外の人々だったこと(北アフガニスタンでは155人が無人機で殺されたが、そのうち標的とされていたのは19人であり、残りの136人については「EKIA(enemies killed in action)」と分類されていること)や、誰を攻撃対象にするかを米国政府が選ぶ恐ろしいプロセス(個人ターゲットのプロフィール情報リストは「ベースボールカード」と呼ばれていた。また、攻撃は携帯電話のSIMカードを対象として行われることが多い)や、最終的には大統領へとつながる承認の指揮系統の詳細を示す一次証拠などが含まれている。元英国民だった人物が、彼を捕獲する機会はたびたびあったにもかかわらず、無人機による攻撃で殺害されたという情報もある。

Interceptは、エドワード・スノーデンが所有する国家安全保障局(NSA)の文書の残りを分析・発表することを目的のひとつとして開設されたメディアだ。開設には、スノーデン・レポートを『ガーディアン』紙に掲載したジャーナリスト、グレン・グリーンウォルドらが関わっている。

引用元: 米無人機、殺害した9割以上が「標的ではない」:「第2のスノーデン」のリーク « WIRED.jp.

SSDのせいで現代の犯罪捜査が極めて困難になっている状況が判明、その原因をSSDの仕組みから解説 – GIGAZINE

ゴミを消去しデータをいつでも書き込みできる状態にしておく処理はガーベジコレクションと呼ばれ、SSDの速度低下を防ぐために不可欠な技術であり、Trimコマンドなどを駆使することでいかに「ゴミを掃除しておくか」が、SSDの性能を決めると言っても過言ではありません。つまり、SSDの性能アップはいかに早くデータを完全に消去するかにかかっているということです。

この事実は、SSDが進化すればするほどデータを復元することが困難になるということを意味しており、必然的にデジタルフォレンジックが困難になっていることをも意味しています。ガーベジコレクションで消去されたブロックを復元することは不可能であるため、デジタルフォレンジックが成果を上げるかどうかは、Trimコマンドを実行するSSDコントローラのさじ加減に大きく左右されるというわけです。

なお、以下のいずれかの条件を満たす場合、Trimコマンドが機能しないため、デジタルフォレンジックを行う技術者にとっては福音となり得ます。

1.SSDが古いモデルでそもそもTrimコマンドをサポートしていないとき

2.Trimコマンドに対応していないWindows XPをサポート切れ後も使い続ける強者が相手だったとき

3.Trimコマンドに対応していないMac OS Xのバージョン10.6.8以前のOSを使っているとき

4.SSDがNTFS以外のファイルシステムでフォーマットされているとき

5.USB接続の外付けSSDだったとき

6.PCI-Express接続の超高速SSDのとき(注:PCI-ExpressではTrimコマンドはサポートされていないものの、サードパーティ製のガーベジコレクションソフトが使われている場合は除く)

7.RAIDが組まれているとき(ただし、RAIDの場合データ復元のハードル自体は高い)

8.Trimコマンドを無効にする暗号化が施されているとき(ただし、暗号の解読自体の難しさはあり)

引用元: SSDのせいで現代の犯罪捜査が極めて困難になっている状況が判明、その原因をSSDの仕組みから解説 – GIGAZINE.

Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ – ITmedia エンタープライズ

米Cisco Systemsは7月2日(現地時間)、「Unified Communications Domain Manager」(Unified CDM)の脆弱性に関する情報を公開した。システムに特権アクセスできるデフォルトのSSH鍵が存在する脆弱性など、3件の脆弱性について解説している。

同社のセキュリティ情報によると、Unified CDMにはサポート担当者へのアクセス用にデフォルトのSSH鍵が存在し、この秘密鍵がシステム上にセキュアでない方法で保存されていることが分かった。攻撃者がこの鍵を入手でき、サポートアカウント経由でシステムにroot権限でアクセスできてしまう状態だという。

この脆弱性について米セキュリティ機関のSANS Internet Storm Centerは、「Ciscoは顧客の機器にアクセスしてサポートを提供するために、全てのシステムに同じSSH鍵を使うという過ちを犯した。その鍵をCiscoが安全に保管していればそれほど致命的ではなかったかもしれないが、同社は秘密鍵を顧客のシステム上に残しておいた。つまり、そうしたシステムを1つ持っていれば、全てにアクセスできる鍵を入手したことになる」と解説している。

他にも権限昇格の脆弱性、BVSMWebポータルのデータ不正操作の脆弱性が存在する。悪用された場合、攻撃者に任意のコマンドを実行されたり、BVSMWebのユーザー情報を改ざんされたりする恐れがある。

SSH鍵の問題など2件については、脆弱性を修正するためのソフトウェアアップデートが公開された。BVSMWebの脆弱性については対応が完了次第、ソフトウェアアップデートを公開するとしている。

引用元: Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ – ITmedia エンタープライズ.

Dockerリリース候補版

Dockerバージョン0.11がリリースされた。これはバージョン1.0の初めてのリリース候補版だ。今回のリリースは、安定性だけでなく、ネットワークやセキュリティ、管理に関する多くの機能を改善している。

ホストネットワークはコンテナにダイレクト(ブリッジネットワークの仮想インターフェース経由で接続するのではなく)にホストのネットワークスタックを共有する。コンテナ内でネットワーク監視ツールを走らせる場合に有効だ。また、ブリッジネットワークを使っている場合のパケットの処理がCPUのボトルネックになってしまう問題も回避できる。

コンテナリンキング/etc/hostsを自動で移植することで改善された。これによって、環境変数を解析してリンクされているコンテナのアドレスを検出する必要はなくなる。以前の仕組みは、アプリケーションのコードやスクリプトを使って対処するのには問題なかったが、環境を解析する方法を持たない構成ファイルでは無理があった。

セキュリティに関する大きな機能は、Security-Enhanced Linux (SELinux)をサポートしたことだ。SELinuxは10年以上に渡り、主要なLinuxカーネルの一部分を占めている。SELinuxはDockerのコマンドラインスイッチから有効にできる。コンテナ内で動作しているプロセスが強制アクセス制御で制限を受けるため、ホストシステム(やほかのコンテナ)は影響を受けない。これによって、システム管理者はコンテナをより厳密に分離できる。

管理機能のアップデートには、DockerデーモンにPingしてヘルスチェックをする機能やログファイルのオプションタイムスタンプ機能が含まれる。Dockerは複数のイメージレジストリミラーをまたがって動作し、フェールオーバすることができる。SHA-512を使ったレジストリもサポートする。

引用元: Dockerリリース候補版.

Etsukata blog: Docker を支える Linux Kernel の機能 (概要編)

Docker は CoW(Copy on Write) と呼ばれる方式でコンテナイメージ間の差分を扱うことで、無駄なくコンテナイメージを管理します。Docker のコンテナイメージを管理する Storage プラグインでは、以下の Kernel の機能を使っています。

Device Mapper

Device Mapper は、ファイルシステム等が発行するブロック I/O とデバイスのマッピング関係を管理します。Docker は Device Mapper の提供する thin-provisioning の機能と、snapshot 機能を活用しています。個別のファイルシステムに依存しないため、幅広い環境で使用することができます。ファイルシステムより下層にあり、ファイル差分を管理できないため、docker diff コマンドの実行速度は Btrfs と比べ遅くなります。

Btrfs

Btrfs は Linux Kernel に取り込まれているファイルシステムの一つで、先進的な機能を持ちます。Docker は Btrfs の subvolume / snapshot 機能を使い、コンテナイメージの差分を管理します。差分はファイルシステム層で管理されるため、docker diff コマンドの実行速度はとても速いです。使用するには、docker のホームディレクトリが btrfs 形式でないといけません。現在 Docker の Btrfs Plugin は、200行ちょっとなのでとても簡単に読めます。

Aufs

Aufs は union ファイルシステムの一種で、ファイルシステム層で差分を管理できる機能を持ちますが、Linux Kernel のメインラインに入っていないため、今後はあまり使われないでしょう。

引用元: Etsukata blog: Docker を支える Linux Kernel の機能 (概要編).

Etsukata blog: Docker を支える Linux Kernel の機能 概要編

Namespacesユーザプロセスが動作する空間を分離する Namespace はコンテナ型仮想化を実現する上で、核となる機能です。これらの機能の多くはParallels 社の OpenVZ チームを中心として開発されました。Docker が利用する Namespace には PID、MNT、IPC、UTS、NETの 5種類があります。PID NamespaceKernel 2.6.24PIDProcess ID Namespace は、プロセスが動作する空間を生成・分離します。あらたに作られたプロセス空間からは、親空間で動作するプロセスが見えなくなります。 "見えなくなる" というのは、kill システムーコール等、PIDを指定するシステムコールで親空間で動作するプロセスと通信できなくなる、ということです。親空間からは、生成した空間で動作するプロセスは見えます。MNT NamespaceKernel 2.4.19MNTMount Namespace は、プロセスに見えるファイルシステムのマウント空間を分離する機能です。mount コマンドで見えるファイルシステムのマウント情報を分離します。IPC NamespaceKernel 2.6.30IPCInter-Process Communication Namespace は System V IPCメッセージ・キュー、 セマフォ、共有メモリ と Posix メッセージキュー の空間を分離します。IPC 関連の識別子が、他の空間からは見えなくなります。UTS NamespaceKernel 2.6.19UTSUnix Time-sharing System Namespace は、uname システムコールで取得できる情報を分離します。Namespace のうち、最も単純で理解しやすいです。NET NamespaceKernel 2.6.29NETNetwork Namespace は、ネットワークデバイス、IPアドレス、ルーティングテーブル、iptables 情報を分離します。

引用元: Etsukata blog: Docker を支える Linux Kernel の機能 概要編.

Dockerfile の 127 行制限を試した – ようへいの日々精進 XP

Dockerfile の 127 行制限は aufs 自身の制限に由来している

こちらでも言及されているが && でつなぐというのもあり

コマンドをシェルスクリプト化して RUN hoge.sh とかさせれば回避出来そう

あとは chef-apply とか puppet-apply とかしても良いのでは?

そもそも 127 行を超えるような Dockerfile があるのかな…

引用元: Dockerfile の 127 行制限を試した – ようへいの日々精進 XP.

Linuxカーネルコンテナ向けユーザー空間ツール「LXC 1.0」リリース | SourceForge.JP Magazine

LXC 1.0は「重要なマイルストーンリリース」という位置付けで、また業務用途として利用できる品質を持つ初めての「プロダクションリリース」になるという。今回のリリースの特徴としてはコンテナセキュリティの強化や、一貫性のあるAPIおよびドキュメント、ツールセットなどの提供がある。

LXC 1.0では非特権コンテナが完全にサポートされたほか、APIも「安定版」となった。luaやPython 3、Go、Ruby向けの公式APIバインディングも提供される。バックエンドで利用するストレージのサポートも強化され、任意のディレクトリだけでなくbtrfsやzfs、lvmなども利用できる。

コンテナのクローンやスナップショットも利用可能になり、コマンドラインツールの改良、ドキュメントの整備なども行われている。

LXC 1.0のサポート期間は5年間で、この間、セキュリティおよびバグ修正アップデートを行うほか、1.0系からのリリースも継続するという。LXC 1.0は4月に公開予定の「Ubuntu 14.04 LTS」などにも含まれる予定。

引用元: Linuxカーネルコンテナ向けユーザー空間ツール「LXC 1.0」リリース | SourceForge.JP Magazine.

CRIU, P.Haul and OpenVZ Live migration | ebiken blog

CRIUは「ライブマイグレーションするツール」ではなく、あくまでも「ダンプする/リストアする」ことができるツール。

なので、実際にライブマイグレーションする際にはコマンドを適切なタイミングで実行していくことが必要。

ライブマイグレーションの流れ:

1. プロセスをダンプ(停止)

2. コピー(マイグレーション先へ)

3. リストア(マイグレーション先で)

4. オリジナルのプロセスをキル(マイグレーション元で)

さらにダンプやコピー中はプロセスは停止しており、必要な時間はプロセスの利用しているメモリサイズに依存します。

そのため「ライブ」マイグレーションを実施するには単なるダンプ&コピーではなく「プロセスを動かしながらダンプ、最後に停止+差分ダンプ」をする必要があるため、操作はさらに煩雑になります。

P.Haul はこれをスクリプト化し、p.haul コマンドを実行するだけでライブマイグレーションをできるようにするツールです。

# P.Haul内では CRIU コマンド・サービスを使って実装しています。

引用元: CRIU, P.Haul and OpenVZ Live migration | ebiken blog.

Photoshopショートカットを持つキーボード – 革新的発明と製品情報

Photoshopの全てのコマンドを配置した巨大キーボード。319個のキーを持って、それぞれの位置を覚えるのに時間をかかるが、もし使いこなすと、作業時間を大いに節約することができそう。本体が薄いので、持ち運びもラクラク。ただいま海外サイト『Kickstarter』にて出資者を募集している。

引用元: Photoshopショートカットを持つキーボード – 革新的発明と製品情報.