情報処理安全確保支援士登録制度開始

情報処理安全確保支援士の維持費用が3年間で約15万円ほどかかる見込らしい。

なるほど「情報処理気出者試験-セキュリティスペシャリスト」のホルダーの内、新資格に移行するのが10%と言う見込なのはこういう事か。たんなる名称独占資格(しかも名前から実務を想像できないくそダサい名称)で、設置義務も無しで、年額5万円を自己負担だとするとちょっと考えるよなぁ。

入札の条件などに情報処理安全確保支援士の設置を求めるなどとしているが、ぶっちゃけIT系の入札では情報処理技術者試験合格者の設置が既に組み込まれているので何も変わらない・・・いや、もしかして、土建関連や一般消費財の購入、清掃や警備などの管理業務の入札にも情報処理安全確保支援士の設置を求めるのだろうか。でもエンジニアとしてキャリアを考えた場合、そういうところに採用されたいかというと・・・・微妙だよなぁ。

登録する気満々だったのだが、2年の猶予期間もあるし様子見することに変更。

参照:IPA 独立行政法人 情報処理推進機構 情報処理安全確保支援士

セキュリティおよび品質ロールアップのプレビューって何?

WSUSでWindows Updateの承認操作をおこなっていたところ、「セキュリティおよび品質ロールアップのプレビュー」とあって固まる。プっ・・・プレビュー?βなの?テストなの?入れて良いの?と逡巡した。

要は来月の「セキュリティおよび品質ロールアップ」で提供する予定の「品質ロールアップ」のうち、既に利用可能な物を先行配信するので使いたい方はどうぞっって事らしい。あくまで品質に係わる部分だけで、セキュリティに係わる部分は含まないようだ。

ドッグフードテスト担当部署には配信して、それ以外は止めておくのが良いのかな。

参照:Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報

グループポリシーから、Windows7のリモートデスクトップに、ドメインユーザーの接続を許可する

Windows 7のリモートデスクトップを有効にして、ドメインユーザーがログインを許可するには次のようにグループポリシーで設定します。

まずリモートデスクトップサービスを有効にするため、グループポリシーの以下の項目を設定します。

  • 「コンピューターの構成/ポリシー/管理用テンプレート/Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/セキュリティ」にある「リモート接続にネットワーク レベル認証を使用したユーザー認証を必要とする」を有効にする。
  • 「コンピューターの構成/ポリシー/管理用テンプレート/Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/接続」にある「ユーザーがリモート デスクトップ サービスを使ってリモート接続することを許可する」を有効にする。
  • 「コンピューターの構成/ポリシー/Windows の設定/セキュリティの設定/システム サービス」にある「Remote Desktop Services」を自動にする。

これだけだとドメインユーザーではリモートデスクトップではログイン出来ません。ドメインユーザーがリモートデスクチップ経由でログイン出来るようにするには、クライアントPCのRemote Desktop Usersローカルグループにドメインのユーザーを追加しておく必要があります。

「コンピューターの構成/ポリシー/Windows の設定/セキュリティの設定/ローカル ポリシー/ユーザー権利の割り当て」にある「リモート デスクトップ サービスを使ったログオンを許可」を設定すれば接続出来るように思うかもしれませんが、実際に設定してもログインする事は出来ません。あくまでRemote Desktop Usersローカルグループに追加する必要があるようです。

グループポリシーのローカルアカウント設定ではBuiltin Groupへのユーザー追加は行えないので、ログインスクリプトからnet localgroupでユーザーの追加を行うことになります。

以下のようなバッチファイルをスタートアップスクリプトに登録します。

net localgroup "Remote Desktop Users" [ドメイン名]\[ユーザーID] /ADD

 

サーバー復旧しました

昨夜からサーバーが不安定となっていましたが復旧しました。

<<以下雑文>>
ある朝、ブログに接続してみるとNginxがエラーを返しくる。再起動すると一時的に表示できるが、再びエラーを返すようになってしまう。

Nginxのerror.logを見るとphp7.0-fpmがエラーを返している。

2016/10/13 16:17:04 [error] 1244#1244: *143694 connect() to unix:/run/php/php7.0-fpm.sock failed (11: Resource temporarily unavailable) while connecting to upstream, client: 191.96.249.53, server: www.code-lab.net, request: "POST /xmlrpc.php HTTP/1.0", upstream: "fastcgi://unix:/run/php/php7.0-fpm.sock:", host: "13.78.127.119"

php7.0-fpmのログを見てみるとpm.max_children設定を超えたために終了してしてしまっている。

[13-Oct-2016 23:51:42] NOTICE: fpm is running, pid 1224
[13-Oct-2016 23:51:42] NOTICE: ready to handle connections
[13-Oct-2016 23:51:42] NOTICE: systemd monitor interval set to 10000ms
[13-Oct-2016 23:51:47] WARNING: [pool www] server reached pm.max_children setting (5), consider raising it
[14-Oct-2016 00:00:18] NOTICE: Terminating ...

「そういえば、導入時にはデフォルト設定のままだった。最近漸く月間9000PVを超えたし、デフォルトのままだと負荷に耐えなくなる場合も出てきたのか♪」とホクホクしながら、pm.max_childrenの数字を4倍に増やした。メモリにはまだ余裕があるし問題はないだろう。

サービスを再起動して正常に表示できるようになった。メモリの使用量が想定内なのを確認するため、htopでプロセスを見ると負荷が10%程度の状態が続いている。「こ・・・これは、バズった?」等とwktkしながらaccess.logをのぞいてみた。そこには以下のようなログが延々と続いている。

191.96.249.54 - - [14/Oct/2016:00:45:26 +0000] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6
.0)"
191.96.249.53 - - [14/Oct/2016:00:45:27 +0000] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6
.0)"

何のことはない。WORDPRESSのxmlrpc.phpを狙った攻撃を延々と受けていたのである。・・・と言うか、Nginxのerror.log見た時点で気付こうよ>自分。
こんな時クラウドは便利だ。Azureのネットワーク管理画面から191.96.249.53-54のアドレスを接続拒否リストに追加した。

参考資料
php-fpmのエラーにぶつかりながら設定の最適化を図る
サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった

Windows Live MailからOutlook 2013以降へのデータ移行

Windows Essentialsのサポート終了に伴いWindows Live Mailも使うことが出来なくなります。Windows LiveMailからMicrosoft Oiifceに付属するOutlookへのデータ移行の手順です。

メールデータを移行する詳細な手順は下のURLを参照して下さい。Outlook 2010となっていますが、Outlook 2013以降でも同様の手順でメールデータを移行できます。
Windows Live メールから Outlook 2010 または Outlook 2007 にメッセージを移行する方法
ただし、若干わかりにくいところがあるので、実際に発生したトラブルも踏まえて補足しておきます。

Outlook 2013を起動した状態で、Windows LiveMailからのエクスポートを行います。Outlook 2013を終了した状態だと上手く動作しない恐れがあります。

メッセージのエクスポートの時に「全てのフォルダー」だと正常に動作せず、ゴミ箱をエクスポートした時点で止まってしまいました。「選択されたフォルダー」を選び、移行するフォルダーを指示した方が良さそうです。

住所録を移行する手順は下記のURLを参照して下さい。特に問題は無いと思います。
Windows Live メールの電子メール、連絡先、および予定表のデータを Outlook にエクスポートする