とも のすべての投稿

新米NW&セキュリティ屋さんです。 ブログも転々としながら書いたり書かなかったり。 3度目?の自鯖構築のついでに本気で書いてみようかな~と思い立ったがまともに書かず・・・。

サックス練習 – 39 –

ども。こんばんは。

動画です。

松田聖子さんの「瑠璃色の地球」。
紅白歌合戦で見てからいいなーと思っていたので吹いてみました。

この曲は、「打ち上げ花火、下から見るか%3F_横から見るか%3FW」の劇中歌として、広瀬すずさんが歌っていますね。

てか、どうも最近iPadのiMovieから直接YouTubeにアップロードできなくなったようです。

共有にYouTubeのアイコンが出なくなりました。

便利だったのに・・・

参考:iMovie から YouTube にアップロードアイコンが出てこなくなりました

ではでは。またの機会に。

【雑記】書きたかったこと。出来事。買ったものとか(2021年1月)

ども。こんばんは。

久々の雑記ですが、1月はあんまり書くことがなかったです。

■Ankerの充電器を買う(2021/01/07)

Anker PowerPort Atom PD 2(PD対応 60W 2ポート USB-C急速充電器)【PSE認証済/Power Delivery対応/GaN (窒化ガリウム) 採用/折りたたみ式プラグ】iPhone 11 / 11 Pro / 11 Pro Max、Galaxy S10 / S10+、MacBook、その他USB-C機器対応 (ホワイト)

¥3,990なり。

まぁ、普通ですね。
それぞれ30Wでます。

あと、はやいもので転職して1ヶ月たりました。
それなりに元気にやっています。

ではでは。またの機会に。

 

2020-2021年末年始振り返り

ども。こんばんは。

毎年恒例?の振り返り。

  • 2020/12/25(金)
    • この日が前職の最終出社日。
  • 2020/12/26(土)
    • サックスの練習納めに行った。
    • 最終出社日に頂いた人生初の花束を生けてみた。
      花瓶が買えなくてウェットティッシュの空き容器なのが残念。ダイソー2件回ったのに花瓶売ってないんだもん・・・。
  • 2020/12/27(日)
    • 肩こりが酷くて寝てた。
  • 2020/12/28(月)
  • 2020/12/29(火)
    • 肩こりが酷くて寝てた。
  • 2020/12/30(水)
  • 2020/12/31(木)〜2021/01/01(金)
    • 毎年恒例メンバーでの新年会。2016年からやり始めて、今年でもう6年目になる。
      今年から我が家じゃなくて、昨年家を立てた後輩宅で。
      お泊りして年越し〜新年会。紅白みたり、みんなでニンテンドースイッチで遊んだり、初詣に行ったりした。楽しかった。子供たちともいっぱいあそんだ。
    • 今年もおせち担当だったので日テレポシュレで購入。
  • 2021/01/02(土)
    • 寝てた。
  • 2021/01/03(日)

明日からいよいよ新しい会社での生活が始まります。
半分出戻りなので見知った顔のメンバーもいるけど、やっぱりちょっと緊張する・・・。

がんばろう。

【年末年始振り返り】

ではでは。またの機会に。

【雑記】書きたかったこと。出来事。買ったものとか(2020年年末〜2021年年始)

ども。こんばんは。

お正月休みも今日で終わりですね。
年末年始に買ったものとか雑記です。

■大長編ドラえもん 全24巻大人買い(2020/12/18)

退職に際して、最も愛する後輩から餞別にと、大長編ドラえもん24巻分と同じ金額のAmazonギフト券を頂いたので、ご厚意に甘えて大人買い。

大人になって読んでも良いものは良いですねー。

■ニャンコ先生ぬいぐるみ(2020/12/30)

通院ついでの暇つぶしに新宿西口のクラブセガで遊んでたら¥400でゲットしました。かわいい。

■2017年からつけていたピップマグネループEXがちぎれた(2020/12/31)

ちぎれました。。。ということで年始にファイテンに買い替えました。後述。

■新しい会社で仕事用に使おうと思って買ったiPhone 12 miniとその周辺機器(2021/01/03)

前職が社用のiPhone支給だったので、もう会社用iPhoneがない生活は想像できない!と買ってしまいました。

買ったものはこんな感じ。

  • アップル Apple iPhone 12 mini 256GB ブラック SIMフリー [MGDR3J/A]
    Y!Mobileの1/4までのキャンペーンで2万円引きの、¥79,880。
    128GBが良かったけど、在庫がなかったので、2万円引きがあるならいいかなーということで256GBモデル購入。
  • アップルケア
    修理のみの2 年契約。¥18,480。
  • アップル Apple MagSafe充電器 [MHXH3AM/A]
    ¥4,950。高い。ポイントを¥4,317分使って実質、¥633。
  • ハンドリンカー HandLinker HandLinker Puttoモバイルネックストラップ [ブラック]
    昔から使っているネックストラップ。¥1,160。
  • エレコム ELECOM MPA-CLY12BK [USB C-Lightningケーブル//PD/パワーデリバリー対応/iphone/ipad/やわらか/1.2m/ブラック]
    適当に買ったLightning – Type-Cケーブル。まあ普通。¥1,620。
  • simplism シンプリズム TR-IP20S-CGCA-CCCL [iPhone 12 mini 用 GLASSICA 背面ガラス 抗菌 クリア]
    ストラップホール付きの手頃なクリアケース。¥2,970。

合計、¥104,743なり。年明け早々10万円超えの買い物をしてしまった。。。

iPhone 12 miniちっちゃくて軽い!めちゃくちゃ気に入りました。
このくらいの大きさで十分だよなーと思いますね。

MagSafeは・・・うーん、どうなんでしょう。ポイントあったから買いましたがちょっと微妙かな。ケース付きでもちゃんとくっつきました。

上記購入に加え、Y!Mobileに新規契約してきました。

今回仕事用ということもあり、通話を多用するかも?なので、完全通話定額のあるキャリアを選定しました。
余計なアプリなどを使わなくても通話が完全定額(最初の10分とかの時間制限なし)が、Y!MobileとUQモバイルくらいしか見当たりませんでした。

両者とも、通話完全定額オプション利用金は異なる(UQが¥1,700でY!Mobileが¥1,000)ものの、基本料金を含めると結局おなじくらい、というか同じ?料金になるようでした。

Y!Mobileにした決めては、通話定額オプションを外しても、1回10分までの国内通話が無料なところです。
あと、メインがauなので、UQだと同じau回線になってしまうこともあってSoftbank回線のY!Mobileにしたかったということもあります。

ということで、

  • スマホベーシックプランM ¥4,048(税抜¥3,680)
    10GBまで、超過後は1Mbps。
    ※半年間はMプランしか選択できないとのこと。半年後通信量を見ながら、Sプラン(3GB、超過後300Kbps、税込¥2,948)に落とすか考えるかな。
  • スーパーだれとでも定額 ¥1100(税抜¥1000)
    これも思ったより通話なければ外す予定。外しても10分まで無料なのが上述の通りY!Mobileにした決め手。

に加入。なお、6ヶ月間は¥770引きが受けられますので、7ヶ月までは¥4,381、8ヶ月目から¥5,151になります。
通話定額がいらなくて、通信量も3GB以下だったら、-¥2,200なので、データ容量3GBで、1回10分までの通話無料が¥2,951で運用できます。

うーん、今メインで使っているauと比べるとめっちゃ安いなぁ

今回は仕事用で通話が必要と考えたので、ahamoや楽天モバイルは検討しませんでしたが、データメインだとahamoで十分なのかなーとか思ってます。
本格的にahamo始まったら乗り換え考えよう。通話は仕事用Y!Mobile SIMで定額になったことだし。

■ファイテンの”力”に目覚める(2021/01/03)

これはかなり眉唾な話です。
効果には個人差が大いにあると思うので話半分程度に。

おいらは小さいことから肩こりがひどく、頭痛や吐き気を伴うこともまれにあるのですが、この年末から特にひどく、年末年始結構寝込みました。

さらに、3年つけてたピップマグネループがちぎれてしまったこともあり、思い切ってファイテンに手を出しました。
ちなみに、磁気ネックレスの類はもう10年近くつけてるんじゃなかろうか。あまり効果は・・・。

でも、ファイテンは磁気じゃないんです。ファイテンの力で肩こりを改善します。

・・・まぁいろいろ調べたうえで、ファイテンショップに行きまして、噂通りファイテン加工のされたリストバンドをつけてペットボトルを持ち上げる実験をしましてね。

馬鹿にできないのですよ、これが。軽い。いや正確にいうとファイテンを外すと重い。

これがファイテンの力かぁ!!!!

あと、メタックス(METAX)の、パワーテープやクリームを試させてもらいました。(今も貼ってます)

なんかね、効果があるきがするんですよ。なんとなく・・・。

ただ、クリームは毎日塗らないとだし、テープは2〜3日で張り替えないと行けないらしいし、日々の運用が大変だなぁということもあり、当初予定どおりネックレスを買いました。

ファイテン RAKUWAネック メタックス(チョッパーモデル)

なんとあの羽生結弦選手も愛用し(ry

税込みで¥10,780もします。今回会員登録の¥500クーポンと、誕生月の¥200クーポンを利用して、¥10,080で購入しました。

まぁ、大きな期待はしていません。
ちょっとでも肩こりが改善すればいいかなーくらいの感じです。

ではでは。またの機会に。

新年のご挨拶

ども。こんばんは。

新年あけましておめでとうございます。

旧年中も当ブログをご覧いただきありがとうございました。

昨年は、Microsoft EMSを導入したり、m5Stackを買ったり、ロレックスデビューしたり、SDRで無線にチャレンジしたり、IPoEでインターネット環境を見直したり、5Gスマフォを買ったり、MicroPythonを始めたりとまぁまぁいろいろやりました。

今年から新しい会社で働きます。
パニック障害も完治していないので不安なこともたくさんありますが、いい年にしたいと思います。

引き続きいろんなことにチャレンジできればと思いますので、本年もどうぞよろしくお願いいたします。

2021  元旦

転職のこと@2021

ども。こんばんは。

現職を2020年12月31日付で退職することなり、昨日(12/25)が最終出社日でした。

今回も有給がたっぷり余ったし、最終日までカリカリ働いてしまいました。

セキュリティエンジニアとして6年と2週間。
UTM、WAF(オンプレ&クラウド)、IPS、SIEM、EDRなどのセキュリティ製品の提案、設計、構築を担当させていただきました。
あとは自社のマネージド・セキュリティ・サービスを売ったりとか。

特にImperva CloudWAF(旧Incapsula)、McAfee SIEM、Rapid7 InsightVMは結構やりこみましたね。
前職に続いてFortiGateもよくやりました。
ちらっとサンドボックスもやったかな。FieEye。

この6年で一気にクラウドが浸透して、リモートワークが普及したり、ゼロトラストネットワークの登場とか、大きく環境も変わりました。

職場としては、たくさんの仲間に出会うことができ、とても働きやすい環境で、いろんな刺激もあって結構充実した6年でしたね。
またいつか戻って働きたいなー。

次の会社は、2021年1月4日から、前職の会社が新しく立ち上げた子会社で働きます。半分出戻り?ですかね。
少し今までのSEとは役割が違うかも?と思ってたりしてまして、そこが今回自分にとっては大きなチャレンジになります。

引き続き皆様どうぞよろしくお願いいたします。

【前回転職時の記事】

転職それから東京へ。これからのこと。

ではでは。またの機会に。

いつものノリでkernelをアップデートしたらエライ目にあった話

ども。こんばんは。

いつものノリでAWS EC2上のCentOS 7.9.2009のカーネルをyumで「kernel-3.10.0-1160.11.1.el7.x86_64」にアップデートしたら、Kernel Panicになりました。。

EC2のトラブルシュートからシステムログを見るとこんな感じ。

Kernel panic – not syncing: VFS: Unable to mount root fs on unknown-block(0,0)

お、おう。

クラウドでカーネルパニックになるって地味に大変だぞ。。。

ということで、結論は、

インスタンス停止
ボリュームをデタッチ
新しいCentOS 7のインスタンスを作成
ボリュームをアタッチ
マウントしてなおす

という感じです。

以下の手順に従っても直りませんでした。

カーネルをアップグレードした後、または EC2 Linux インスタンスを再起動しようとすると、「カーネルパニック」エラーが表示されます。どうすれば解決できますか?

で、結局古いカーネルで上がるようにしました。

更新後、Amazon EC2 インスタンスの再起動に失敗します。既知の安定したカーネルに戻すにはどうすればよいですか。

/etc/grub.confの中身はいまこんな感じ。

  1 default=1
  2 timeout=0
  3 
  4 
  5 title CentOS Linux (3.10.0-1160.11.1.el7.x86_64) 7 (Core)
  6     root (hd0)
  7     kernel /boot/vmlinuz-3.10.0-1160.11.1.el7.x86_64 ro root=UUID=29342a0b-e    20f-4676-9ecf-dfdf02ef6683 console=hvc0 LANG=ja_JP.UTF-8
  8 title CentOS Linux (3.10.0-1160.6.1.el7.x86_64) 7 (Core)
  9     root (hd0)
 10     kernel /boot/vmlinuz-3.10.0-1160.6.1.el7.x86_64 ro root=UUID=29342a0b-e2    0f-4676-9ecf-dfdf02ef6683 console=hvc0 LANG=ja_JP.UTF-8
 11     initrd /boot/initramfs-3.10.0-1160.6.1.el7.x86_64.img
 12 title CentOS Linux (3.10.0-1127.19.1.el7.x86_64) 7 (Core)
(略)

いやー、びっくりしたわ。。

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 8 – パスワードレス認証を設定する

ども。こんばんは。

Azure ADでは、パスワードを入力せずにサインイン(ログイン)できる「パスワードレス」認証に対応しています。

まだプレビューっぽいですが、Microsoft Authenticatorを利用してパスワードレスができそうだったのでやってみました。

以下参考ドキュメントです。

Azure Active Directory のパスワードレス認証オプション

Azure Active Directory でパスワードレス認証のデプロイを計画する

Microsoft Authenticator アプリを使用したパスワードなしのサインインを有効にする (プレビュー)

まずは、多要素認証の検証方法でプッシュ通知が許可されていないとだめらしい。。。がどこの設定かわからない・・・

[Azure AD]->[セキュリティ]->[MFA]の「追加のクラウドベースの MFA 設定」かな?

 

とりあえず何もしなくても、Microsoft Authenticatorアプリ上で、「パスワードレスが有効」となっているので、使えるものと信じて進めます。

続いて、Azure ADのセキュリティから認証方法ポリシーを設定します。

有効にするかつ有効にするユーザを選択します。
※おいらは一旦1ユーザのみテストしてからすべてのユーザに変更しました。

設定はこれだけ!

これで時間ログイン時、ID入力後、パスワード入力の画面で「代わりにアプリを使用する」というリンクが出るようになります。

あとは、これをアプリで同じ番号を選ぶだけ。
とてもかんたんです。(アプリの写真は後で撮影したので番号が一致していませんが。。)

とても簡単にパスワードレス認証が実装できました。

【バックナンバー】

ではでは。またの機会に。

 

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 7 – FortiGate のSSL-VPNをSSOにする

ども。こんばんは。

今回は、FortiGateのSSL-VPN接続(Webモード)をAzure ADを使ったSSO(シングル・サインオン)で実装します。

基本このあたりのチュートリアル通りです。

チュートリアル:Azure Active Directory シングル サインオン (SSO) と FortiGate SSL VPN の統合

Configuring SAML SSO login for SSL VPN web mode with Azure AD acting as SAML IdP

先にハマった?ポイントを・・・。

FortiGate SSL-VPNのSSOはSP-Initiatedのため、FortiGate側からフローを開始することで認証が行われます。(前回行ったAWSはIdp-Initiatedなため、Idp(Azure AD)からフローを開始します。)

完成形がこちらの画面ですが、「Single Sign-On」のボタンを表示させるためには、SAMLの設定をするだけではだめで、実際に「SSL-VPN」インターフェースから、LAN側等へのポリシーを設定し、そのポリシーの送信元にSAMLユーザを含むグループを指定する必要があります。。。

これを知らなくて、Single Sign-Onボタンを表示させるのにめちゃくちゃ時間かかりましたが、ここさえ把握しておけば設定はかんたんです。

■Azure ADの準備

まずは、エンタープライズアプリケーションにFortiGate SSL VPNを追加します。
※FortinetのドキュメントだとNon Galleryになっていますが、今は存在するようです。

アプリケーションにユーザを割り当てます。

シングルサインオンの設定からSAMLを選択します。

例にのっとって、識別子(エンティティID)、応答URL、サイオンURL、ログアウトURLを設定します。

次に、「ユーザー属性とクレーム 」を設定します。
※ここで指定した属性をFortiGateが受け取ってユーザ名などを処理するイメージです。デフォルトで「name」 があるのでこれでユーザ名使えるのかなと思ったのですがうまく行かなかったので、下記のようにusernameを追加しています。この”username”はFortiGate側にも設定します。

冒頭で記載したMicrosoftのチュートリアルでは、グループについても追加していますが、グループの追加はグレーアウトして押せなくかったので、やっていません・・・。

 

続いて、SAML署名証明書から、証明書(Base64)をダウンロードします。

■FortiGateの設定

ここからFortiGateの設定をします。
今回FortiGateはForiGate 60E、FortiOSは6.2.5で、VDOM環境です。

まずは、先程ダウンロードした証明書をインポートします。
証明書(Certificates)のGUIが標準では表示されていないので、まずは、そこから設定します。

Global VDOMの[System]->[Feature Visibility]から、Certificatesを有効します。

対象のVDOMに移動して、証明書をImportします。

インポートした証明書の名前を覚えておきます。
※画面では、「REMOTE_Cert_1」 です。

続いてコマンドラインで以下の設定を導入します。

idp-entity-id 、idp-single-sign-on-url、idp-single-logout-url は、Azure ADの画面からコピペします。
なお、idp-single-logout-url には「?(クエッションマーク、はてなマーク)」が入っています。

FortiGateにCLIで?を入力する場合は「Ctrl+v」のあとに「?」を入力すれば、コマンド候補の代わりに「?」が入力できます。

「set user-name “username”」のusernameは、Azure ADのユーザ属性に自分で追加した名前です。

config user saml
    edit "azure"
        set entity-id "https://[FortiGateのFQDN]/remote/saml/metadata"
        set single-sign-on-url "[FortiGateのFQDN]/remote/saml/login"
        set single-logout-url "https://[FortiGateのFQDN]/remote/saml/logout"
        set idp-entity-id "https://sts.windows.net/xxxx/"
        set idp-single-sign-on-url "https://login.microsoftonline.com/xxxx/saml2"
        set idp-single-logout-url "https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0"
        set idp-cert "REMOTE_Cert_1"
        set user-name "username"
        set group-name "group"
    next
end

作成したユーザをグループに入れます。
※グループに突っ込まないと、そもそもポリシーで利用できません。
Microsoftのチュートリアルでは、さらにmatchをつかって、Group-IDで絞り込んでいますが、今回はそこまでやっていません。

config user group
    edit "SSLVPN_from_AzureAD"
        set member "azure"
    next
end

最後にポリシーに適用します。
※ポリシーに設定して、初めてログイン画面にSingle Sing-onボタンが表示されます。

■テスト

今回はSP-Initiatedなので、FortiGateの画面から行きます。

おお。できた。

ちなみに、パーソナルブックマークとか作ってもちゃんと保存されます。

設定は、ユーザ名「xx@xxx.xx#SAML設定名」としてconfigに保存されるようです。

あと、FortiClientもSAML Logonというのができそうなのですが、どうもこれは、有償版?か6.4の機能っぽい?

こんなふうにできるはず?

https://sites.google.com/frellsen.se/kimfrellsen/fortinet-ssl-vpn-with-okta-mfa-using-saml?authuser=0

 

今回はSSL-VPNに関してSSOを設定しましたが、管理画面もできるようなので、今後は管理画面もSSO対応を検討したいと思います。

【バックナンバー】

ではでは。またの機会に。