Hyper-VでLinux系のVMを構築していると、Hyper-Vマネージャー上ではVMが「実行中」になっているのに、VMConnectの画面が黒いまま、ログイン画面が出ない、あるいはGUIの起動途中で止まったように見えることがあります。 この状態になると、VMが壊れた、インストールに失敗した、ネットワークやディスク設定を間違えた、と考えてしまいがちです。 しかし、実際にはVMそのものは正常に起動していて、GUIの表示やログインマネージャだけがうまく出ていないという場合があります。 そのときに試したいのが、仮想コンソールの切り替えです。 VMConnect画面でCtrl + Alt + F2 / F3 / F4を試す VMConnectの画面を開いた状態で、以下のキーを押します。 Ctrl + Alt + F2 これで反応がなければ、続けて以下も試します。 Ctrl + Alt + F3 Ctrl + Alt + F4 Linuxでは、GUIの画面とは別に、CUIでログインできる仮想コンソールが用意されていることがあります。 そのため、GUI側の

CA を学ぶとき、OpenSSL だけでは少し見えにくいものがあります。たとえば、管理者は誰なのか、どの利用者にどのプロファイルで証明書を出すのか、発行後の監査や権限分離をどう考えるのか、といった運用の側面です。そうした“ちゃんとした PKI”の空気を自宅 lab に持ち込みやすいのが EJBCA Community です。公式には Community コンテナを使った quick start が用意されており、Docker で短時間に試せます。 EJBCA の良さは、単に証明書を一枚作るだけで終わらないことです。CA、エンドエンティティ、管理者証明書、プロファイルといった要素が UI 上で見え、PKI を“運用する仕組み”として理解しやすい構造になっています。自宅環境でも、企業や組織で使う CA 製品の手触りをかなり具体的に確認できます。 (docs.keyfactor.com) この記事で扱う内容 今回は Ubuntu VM 上で Docker を使って EJBCA Community を起動し、以下を確認します。 Docker 環境の準備

証明書を自宅で試そうとすると、多くの人はまず OpenSSL を思い浮かべるはずです。秘密鍵を作り、CSR を作り、署名し、必要なら失効や配布を考える。PKI を学ぶ入り口としては王道ですが、運用の現場では証明書のライフサイクル全体を管理できるような仕組みが利用されています。 HashiCorpのVaultは、OpenSSLよりも何段階もステップアップした証明書管理が行えるツールの一つです。また、証明書管理の自動化を前提にした仕組みを味わえるのがVaultの特徴でもあります。誰が、どんな条件で、どんな寿命の証明書を受け取れるかをAPIとポリシーにより制御するという思想で作られています。HashiCorp 公式でも、通常の手動フローを経ずに動的な X.509 証明書を発行できる仕組みとして説明されています。 (HashiCorp Developer) 今回は、このVaultによる証明書管理サーバーを実際に構築し証明書管理の基本やVaultについて学んでいきたいと思います。 この記事で扱う内容 今回は Ubuntu VM 上に検証用の Vault サ

Linux ディストリビューションを選ぶとき、セキュリティだけを単体で評価するのは簡単なことではありません。カーネルや OpenSSL のバージョン、SELinux の有無だけを見ても、実運用で安全になるわけではないからです。 実際のサーバー運用では、脆弱性情報を追えること、パッチを適用し続けられること、監査に耐えられること、そして移行時に不用意なリスクを増やさないことが重要になります。 AlmaLinux は、CentOS Linux の後継候補として語られることが多いディストリビューションですが、セキュリティ観点で見ると、単に「RHEL 互換で無料」というだけではありません。本番環境で長く使う Linux として、セキュリティ運用に必要な仕組みがかなり現実的にそろっています。 ここでは、AlmaLinux の良さをセキュリティ観点で5つに絞って整理します。 1. 長期運用を前提にしたセキュリティパッチ提供 サーバーOSのセキュリティで一番重要なのは、「今安全か」ではなく「安全な状態を維持できるか」です。 AlmaLinux はエンタープライズ

Hi, there. 本日は、以前投稿したOpenSCAPの記事について深堀し、具体的な手順をお伝えします。 OpenSCAPで“まず安全側のベースラインを一気に作る”手順 Linux のハードニングで最初に消耗しやすいのは、設定の難しさそのものより、項目数の多さです。SSH、パスワード、ファイル権限、不要サービス、監査設定、カーネルパラメータを一つずつ手で詰めるやり方は、どうしても時間がかかり、設定漏れや設定ゆれも起きやすい。そこで発想を変えて、最初から ベンチマーク準拠のベースラインへまとめて寄せる ために使いたいのが OpenSCAP です。Red Hat は OpenSCAP を、設定コンプライアンススキャン、脆弱性評価、レポート生成、remediation に使う仕組みとして案内しています。 この記事の主題は「監査して学ぶこと」ではありません。最短で、安全寄りの標準形を作ることです。手順としては、WSL の Ubuntu を整える → OpenSCAP を入れる → 利用可能なプロファイルを確認する → ベースラインとの差分を評価する

Hi, there. 今回は、Linux OSのハードニングについてのお話です。 Linux のハードニングに興味を持つと、多くの人が最初にぶつかるのは、「設定項目が多すぎる」という壁です。カーネルパラメータ、認証設定、監査ログ、ファイル権限、不要サービスの停止。手で一つずつ詰めていく方法は勉強にはなりますが、全体像を掴む前に疲れてしまいやすい。しかも、手作業にはどうしても設定漏れや設定ゆれ、単純な見落としが入り込みます。そこで役に立つのが OpenSCAP です。OpenSCAP は SCAP 準拠コンテンツを使ってシステムの設定評価やレポート生成を行うためのツール群として案内されており、RHEL では SCAP Security Guide のプロファイルを使った評価や remediation、Ansible Playbook や Bash スクリプトの生成まで公式に整備されています。 OpenSCAP の本当の価値は、単に「CIS に照らして監査すること」ではありません。むしろ大きな価値は、ベースライン構築を標準化できることにあります。どの