php_modが非推奨になったのね

投稿者: -
昔のバージョンのphp環境でphpバージョンを上げるという対応中。 apache + PHP8のインスタンスを構築してドキュメントルートまで到達を確認。 対応する人にドキュメントルートまで到達するからプロジェクトのファイルを置いてバージョンアップのエラーを確認してもらうため依頼しましたが HTTP 503 Service Unavailable のエラーが出ているとのこと。 HTMLファイルはアクセスできているからPHPの実行ができていないと思い調べると Apache HTTP サーバーで使用するために PHP に提供されている mod_php モジュールが非推奨になりました。 php-fpmをインストールして起動し、リクエストを流してphp-fmpでphpを実行するようにして解決。 しばらくPHPを触っていなかったのでモジュールが非推奨になったことに気づかずでした。
コメントを投稿

会社の持ち込みPCについて考えてみました

投稿者: -

会社の持ち込みPCについて考えてみました

うちの会社では会社としては会社で購入したPCを利用してほしいのでしょうが個人利用のPCも申請すれば持ち込みして開発できます。
会社はデフォルトが Windows PC で個人的な経験ですが docker for windows が不安定で苦労した経験があったり会社でWindows、自宅でMacなんてことや会社でJSキーボード、自宅でUSキーボードなんてより自宅も会社も同じPCのほうが開発しやすいに違いない!

ということで私のチームでは自分のPCでのほうが開発しやすかったら持ち込むことを私は推奨しています。※ただし、管理部門は煙たがっていると思いますが。。

ですが持ち込んでいいよー!
開発しやすいねー!
よかったね~

ではすまないのがリスクマネジメント

とは言え管理部門はPCロックはかけましょうね、外でPCはなくさないでね程度のルールや指導しかしていません。

なので私が持ち込み(BYOD)推奨しているだけにセキュリティを考えて運用することにしました。ノート想定(しかもMac想定です)なので

  1. PCにログインパスワードをかけること
  2. ディスプレイを閉じた場合はロックの設定をすること
  3. パスワード文字列に関してのルールを守る
    • ざっくり表現ですが身分証明などでわからないものに
    • ちなみにパスワードのヒントは本当のことを書くと脆弱になります
      • このSNS時代に名前などから本人を特定し、小学校の名前や母親の名前、ペットの名前などはパスワードを教えますよと言っているようなもの。
      • 例えば好きな小説にかかれている好きな人物の名前や小学校など自分でしかわからないものにするといいようです。
  4. ウィルス対策ソフトは導入する
    • これは自分の個人情報を守るためにもいいのではと項目に入れました。
    • ウィルス定義の定期更新
    • 定期的なスキャン
  5. 会社専用のディレクトリまたはパーテーションを作成する
    • ここは会社側の立場に立った場合ここ以外にファイルがったら私は疑われても仕方がありませんよという建前を持たせるための項目として設けました。(強制はしていません)ソースコードや資料はそこに置くこと。FileVaultで暗号化をすることも推奨してみました。
    • 退職時はここを削除する。
    • 基本的に現職・退職に関わらず情報の取扱いに問題が無ければいいと思っています。
  6. 現職・退職に関わらず誤った情報(情報資産も含む)の取扱いがあれば損害に対する賠償になる可能性もあることを再度確認させる
    • ネットで調べられる情報などはいいですが、開発などで契約することで利用できるSDKの資料、ソースコードのうちプロダクトに関わるロジックなどを漏らすことはNGであることを認識させる。
    • 抹消するものとの切り分けが難し場合は退職時に相談しましょう。
  7. 接続ネットワークについての注意
    1. フリーWiFiって大丈夫なのか??
    • なりすましWiFi
      • 例えばあなたは駅で【tokyo station free01】なんてパスワード無しのWiFi疑いますか?迷わず接続しちゃいますか?
      • WiFiルーターとの接続が暗号化されていなければ情報は見られ放題です。
    • 情報入力時にHTTPSか確認してる??
      • アクセス先云々以前にだだ漏れ中です
    • エンジニアとしてどういった経緯で漏洩するか理解して情報入力時に確認はしましょう。
    • アプリの通信大丈夫??
      • そのアプリはHTTPSで通信していますか??
      • 信頼できるアプリを使うことがおすすめです。
    • 公衆無線LANはVPNアプリ(信頼された)を使うのが懸命
  8. ウィルス感染またはウィルス感染の疑いがある場合
    1. ネットワークに繋がない
      • やりようによれば勝手に近場のfreeWiFiを見つけた時に送信とかも出てきそうなんでおまじないになりそうな気もしてきますが神に祈りましょう。
      • もはやネットの繋がらない部屋に入り対処しましょう。
    2. 報告
      • 連絡系統に従って速やかに報告する。
  9. 連絡系統の周知
    • 連絡が必要な場合
      • PCの紛失
      • PCのウィルス感染
      • それ以外で何か不審なことがあった場合
        • PCはあったが誰かに持ち出された形跡がある。
        • 社外の知人に不明点を教えてもらおうとログイン情報を教えてしまった。(情報は誓約書・就業規則にかかれているパブリックではない情報)
    • 連絡系統
      • 発生者→上長
      • 上長→管轄部門長
      • 管轄部門長→セキュリティー責任者(一部情報の場合は内容による)
      • 管轄部門長→管理部長(一部情報の場合は内容による)
  10. 対応すべきツール
    • こちらは例えば社内専用SNSなど
    • 各所でリストアップ
    • 発生時点で制限をかける
    • 基本的に資料や大事なファイルはローカルに置かずに共有またはクラウドストレージ(googleドライブなど) へ保存する。※パスワードを変えれば対処できる。

紛失した場合は最悪影響があるツールなどにログイン等できなければ問題ない。
紛失することを防ぐことより紛失しても情報を守れる体制づくりが重要。
ということを認識させる。

会社から持ち出す、持ち出さないにかぎらず、社内に私物を持ち込めない制限がある企業(入退社ゲートでスキャンをかけるところもあります)または個人の脳をリセットできない限り各個人の意識が鍵となり取扱を間違えば結末は同様の結果となります。
決められたことを守らなければ現職・退職に関わらず過失を問われる可能性があるということを念頭に入れて情報を取扱いましょうということを皆がわかってれば情報の取扱に関しての安全性がそれだけで上がってくるはず。


一次対応と連絡系統をしっかりしておけば最悪の自体を防ぐことの確率は上げることができるはずです。

ちなみにiPhoneを含め「Macを探す」は個人的にかなりおすすめです。


macのウィルスや開発元が不明なアプリケーションについて等、対応しておくことの参考サイト
こちらわかりやすくて大変参考になりました。


所属している会社での想定なので皆さんの会社も自分が大丈夫でも会社としてのリスクは自分に降りかかってきます。リスクを考え自分が成長できていける会社にしたいですね。

コメント

コメントを投稿

このブログの人気の投稿

nginxで画像が表示されない。。

投稿者: -
nginxで画像が表示されない。。 表題の通りなんですがnginxを試しに使いブラウザ表示したのですが画像が表示されませんでした。 原因は簡単で設定ファイルに画像系(というか静的)ファイルにアクセスした時にどのディレクトリに流すのかを明記していなかったからです。     location ~* .(html|css|js|jpe?g|png|gif|ico|swf|woff2|ttf)$ {       root /home/user/html;       expires 10d;       access_log off;     } 下のようにしか書いていなかったのでphp拡張子にアクセスした時だけ指定のディレクトリを参照するようになっていただけなんですね。先ほど書いた設定を追加して無事表示されました。     location ~ \.php$ {   ・・・・     } 今まではapacheしか使ったことがなかったので対象ホストのドキュメントルート指定すれば大体は動いていたんでよかったんですが今回初めてnginxを使ったのですが細かく指定するみたいですね。 ------------------2018/04/01 追記 今、単純な静的WEBサイトを構築しているのですが上の記述だと画像を表示するためには画像のlocation設定をしなければならないように捉えられるなと思ったので追記しました。上の記述はphpのlocation設定しかしていなかったので画像のlocation設定も加えないと参照されないといことです。 例えばデフォルトの記述があるのですが     location / {         root   /var/www/html;         index  index.html index.htm;     } こちらですと画像だろうがHTMLファイルだろうがアクセスできました。 ただし直接アクセスできてはよろしくないファイルなんかもあるので拡張子設定やドキュメントルート設定をしていくんでしょうね。
続きを読む

AWSのS3バケットをマウントするs3fsでマウントが外れた件

投稿者: -
s3fsでマウントが外れた件のお話し ネットで検索すると予期せずマウントが外れたなんて記事を見かけてて そんなことあるの〜?? うちは大丈夫でしょ! なんて鷹を括っていましたが なんと起きてしまいました。。。 しかも本番で… まぁ起きてしまったことはしょうがない。。 一応発生した時に再マウントしようとするとエラーがでますのでそれも参考に備忘録しておきます。 発生 A:すいません今大丈夫ですか?? 私:ええよ〜 A:なんか画像が表示されないんです。 私:大丈夫ですか言っとる場合やないやん!! ということで事象の認知がされました。しかも本番です。 インスタンスにログインして確認するとこんな感じです。 ※うちは大量のユーザーごとに登録するイメージファイルをイメージディレクトリとS3バケットをマウントすることでEC2のイメージボリュームを抑えるようにしていました。 # cd /image_dir # ls -a # イメージが入ってなぁーい!! AWSのコンソールからS3のバケットを見るとイメージはある ということでマウントされているかの確認 # df -h df: `/image_dir': 通信端点が接続されていません 通信端点が接続されてないってどういうこと? と思いながらマウントを試みる # s3fs bucket-name /image_dir -o allow_other,use_cache=/tmp,uid=48,gid=48,passwd_file=/etc/passwd-s3fs s3fs: unable to access MOUNTPOINT /image_dir: Transport endpoint is not connected ※uid,gidはアパッチ操作なのでそのIDです。 エンドポイントと接続できないと。。。 なんだかこれが出る理由はいろいろあるらしいのですが、意図せずマウントが外れているがNFSではマウントしている情報が残ったりのようなことだったりいろいろ。。。 今まで見てきた記事によるとマウントできない場合は 一度アンマウントしてからマウントすれば成功するよ!! ってことなので、一度アンマウントし
続きを読む

CakePHP3でHTTPSにする

投稿者: -
CakePHP3でHTTPSにする 表題の件ですが、以前も同じような記事を書いています。 ELBで80番ポートアクセスをしていたのですべてのアクセスを443番ポートにアクセスさせる しかし、基本的にHTTPアクセスしていたものをHTTPSでリダイレクトさせているだけです。 以前対応した時は、AWSのELB(Elastic Load Balancing)で80番ポートも443番ポートも解放していたので、80番でアクセスしてきたものを443番でリダイレクトして解決させたのです。 がしかし、今回この構成をベースに新たなサービスの開発をする際にハマりました。。 環境自体は私が構築しないので、サーバー管理に依頼して出来上がってきた時に一言添えられていました。 【HTTPアクセスは推奨しないのでHTTPSしか許可していない構成です】 まあ、HTTPSなんて当たり前だから気にもせずコードをGITからcloneして配置 アクセスしてみると、以前と同じようにHTTPSからHTTPに切り替わる と言うことでhttpd.conf(正確にはvirtualhost.confですが)に以前やった対応を記載してgracefulをしてみると、ログインフォームからログイン時にログイン成功しているけれどもTOPページが表示されず、、、 どうやらリダイレクトしているっぽい、、、 TOPページのURLを直打ちすればログインしている状態で表示されます。 その状態で、ログアウトするとまたログインページが表示されずにグルグルとアクセスしようとしている感じがありますがページは表示されません。 少し調べると、なんとなくわかりました。 発生している場所は、CakePHPでリダイレクトしている箇所です。 その時点で気付きました。。 今回はELBは443ポートしか解放されていません。 リンクやFORMは相対パスなので現在アクセスされているプロトコルで遷移していきます。つまりはTOPから設定メニューのリンクはHTTPSでアクセスしていればHTTPSで遷移していきます。 しかしリダイレクトはリダイレクトURLを生成して転送をかけるので、ここでどうやらHTTPでURLを生成してリダイレクトし
続きを読む