読者です 読者をやめる 読者になる 読者になる

Fedora12: SELinux RBACを試してみた

SELinuxは、Linuxのセキュリティ機構で、root権限で動くサービス等が乗っ取られた際にもシステム全体を乗っ取れなくする(例えば Apacheなら/var/www/ 以下の読み取りしかできない、など ) の機能を有するが、更に加えて、RBACの機能もあるため、こちらを試し…

デスクトップ仮想化のメリットについて確認してみた

デスクトップ仮想化については、最近まで本当に有効なのか半信半疑だったのだが、詳しくメリットについてまとめた資料があったので、確認してみた。 http://japan.zdnet.com/news/itm/story/0,2000056188,20395846,00.htmデスクトップ仮想化では、ハードウェ…

SSH X Forwarding を経由してyoutubeを見てみた

Red Hat が取り組んでいるデスクトップ仮想化では、SolidICE ( クライアントPCのビデオメモリに直接書込みを行うことで、サーバー側のメモリに画像作成=> クライアントに転送 のオーバーヘッドを無くす ) が鍵になるようだが、元々Xでは、サーバー側の画面を…

SELinuxを利用した一般ユーザー向け設定

前回、SELinuxを使って、一般のユーザー(ヘルプデスク等のスタッフではないユーザー)が使うための機能を絞り込むことが出来そうだと書いたのだが、既にRed Hat では社内で使用しているらしい。http://www.globalknowledge.com/training/generic.asp?pageid=2…

不審ソフトウェアへの対応策

ヘルプデスクの業務の1つには、利用者が勝手にインストールしたソフトウェアが、社内のネットワークに悪影響を及ぼさないか、確認する必要があるのだが、、FreeIPA+SSHの環境なら(WindowsXPの環境と比べても)、確認は非常に簡単だ。構成(FreeIPA+SSH)につい…

Windows 7 Starter Edition の制限項目

Windows 7 の廉価版、というかネットブック版の機能制限が変更になったようだ。アプリの起動数制限がなくなったらしい。http://itpro.nikkeibp.co.jp/article/NEWS/20090601/331017/ Starter Edition の価格は大体Ubuntu と対等になる程度だと思っているのだ…

FreeiIPA+Linux serverでファイルサーバー

現状ActiveDirectory, FileServer, PrintServerは、Windows Serverがよく使われている箇所だ。Linux PCを使うなら合わせて、この辺もLinuxで置き換えていきたいところだ。PrintServerは多機能プリンタ、ActiveDirectoryはFreeIPAで置き換えるとして、ファイ…

ヘルプデスクでssh (モバイルの場合)

時にはPCのユーザーが外回りの営業で、接続がダイアルアップの場合もあるだろう。基本的には同一の操作は相手がダイアルアップで接続してきていても使用できると思われる(ただし、PC側でVPNなどの設定が必要かもしれない)が、screenshotを送る場合には、注意…

ヘルプデスクでssh

ユーザーからの問い合わせでは、PCの設定をみないとどうしようもないものが多々あるが、その際にも、PC側でsshdが上がっており、ヘルプデスク側の人間がログインできるようになっていれば、非常に便利だ。 設定ファイルの確認、書き換えで対応できるのなら、…

パッチ適用状況の監査について

某configuration management製品の仕様を確認していたところ、 "Fix適用状況の監査"なる項目が見つかった.内容としては、 提供したFixがあたっているかを確認する機能とのことらしい。puppet+yum+rsyslogの場合には、基本的にはpuppetのログで、アップデート…

puppet+rsyslog をやってみた

puppet使用ノードの /var/spool/cron/root */3 * * * * /usr/sbin/puppetd --server centos-nvidia.example.or.jp --test /etc/puppet/puppetd.conf の中に追記 [main] のどこかに syslogfacility = local0 /etc/rsyslog.conf に追記 local0.info @@ubuntu-i…

Linux+NAP

Windows Server 2008 のNAP(検疫ネットワーク)機能は実はかなり羨ましいww のだがどうだろうか。 NAPは、大雑把にいうと勝手にもちこまれた自宅PCなどがLANに接続された際に、セキュリティチェックをかけ、失敗したら限定されたネットワークにつなぐという機…

client PC+ganglia

管理する筐体の数が多いと何となくgangliaを入れたくなる。PCのリソース使用率を調べても意味が無いと思われるかもしれないが、CPU使用率、メモリ使用率などを知っておくと、買い替えの際にスペックを定めやすくなりそうだ。デフォルトのganglia で取れるの…

puppet+rsyslog

puppetのログはsyslogに出せるようなので、rsyslogでpuppet用のファシリティを作っておくと、デバッグに便利そうだ。 クライアント側で起こった事象は管理者側から見えないので…。

パッチ適用、ポリシー変更

いくつか前に ・(PCが社内LANに接続されていれば)パッチ適用が遠隔でできる ・(PCが社内LANに接続されていれば)遠隔で設定変更。ポリシー変更(パーソナルファイアーウォールなど)が自由にできる と書いたが、どちらもpuppetで実現可能だ.パッチ適用は、アッ…

client PC + Linux + バックアップ

デスクトップ仮想化でも使えば別だが、基本的にクライアントPCのデータバックアップは結構深刻な問題だと思う。 SANがつながっているはずもないので、基本的にはデータはLAN経由で取るしかないが、最近のディスクはノートPCでも軽く100GBを超えるので、まと…

Linux+ウィルス対策

クライアントPCのセキュリティ課題といえば、やはりウィルスは避けて取れないだろう。 特にLinuxはクライアントベースのウィルスソフトがあまりないので、いざ広まり始めるといろいろと苦労しそうである。ただし、Windowsと比べて若干状況がよいのは、iptabl…

puppet でダウングレード

puppet を使った際、upgradeは package: ensure => latest で自動化できそうなのだが、ではダウングレードはどうやるのだろか。基本的にはダウングレードはあまり必要にならないが、アップグレードした結果上手く動作しなくなることも実際のところよくある.(…