Blowing techbookfest.org/organization/
『分散SNS萬本 vol.2』
に『2020年度版Mastodon鯖管セキュリティチェックリスト』を寄稿しました。
本日開始の「技術書典9」で発売されていますので、鯖管のみなさん、ぜひ買ってお読みください(私も買います)。
techbookfest.org/product/57030

私の他には国見小道 @kunimi53chi さんと
Cutls P @Cutls さん
前村雄一(もちもちづきん) @Yohei_Zuho さん
hidaruma twitter.com/hid_alma1026 さん
Nakaya @eniehack さん
さんが寄稿されています。





地味に時間がかかってしまったのだけどこの サーバを更新、更新内容は以下の通り。

1. OSを 7からCentOS 8に更新した。サーバは で変更なし。実はここで地味に時間がかかっている。
2. 内部IPアドレスを のデフォルトからカスタムVPSに更新した。
3. もIPアドレスをリナンバー。
4. をマネージドにした。Google Cloud Memorystore for Redisではなく、 の無料版として外出し。


v3.2.0 github.com/tootsuite/mastodon/
対応はちょっと先かな。
v3.1.5bg
github.com/blessedgeeks-social
との差分が大きい。(blessedgeeks-social/mastodonのupstreamブランチにmergeしようとしてmasterにmergeしかけ、conflictで気づいてgit merge -abortしたのは内緒だ)

この サーバで障害を起こしました…。

1. Mastodonを3.1.3にアップデートしようとした。
2. アップデートしたら が4.0以上を要求されていた。
3. redis-4.0を )で入れた。
4. も2.7がwarning出しまくるので2.6にダウングレードした。
5. ところがgemがライブラリまわりでエラーになったので、面倒くさがって/etc/ld.so.conf.d/linuxbrew.confを作成してld.so.cacheを作った

→ELFエラーで詰んだ。

というわけで、 というかGCEのディスクスナップショットから書き戻したインスタンスを新たに生成しました。

って、2000年代のインターネットを現代に蘇らせたところがあるよなあ。自分でサーバを建てられるとか、ユーザ名とドメイン名どちらも自由が効くとか。掲示板CGIがあちこちで稼働していた時代の再来といわれると、すごく納得できる。

ところでオイゲンさんって2000年〜2009年ごろは子どもだったんだよなあ確か。その頃からコンピュータに親しんでいたんだろうか。

この サーバで 機能をcherry-pickしたのをきっかけに、forkしたブランチを -flow 運用にしてみた。
github.com/blessedgeeks-social

アプリ、またいくつか出てきたなあ。

でプロフィールの してみる。
```
h12o@MacBook-a90a1b ~ % gron blessedgeeks.social/users/h12o | grep '^json\.url \='
json.url = "blessedgeeks.social/@h12o";
h12o@MacBook-a90a1b ~ %
```

おもしろい。

なんと、 の管理者を狙ったとも思える メールが届いた。具体的には、 を装ったメールで、Overdue on Paymentのお知らせ。

面目ないことにうっかりカード番号を入力しそうになったのだけど、(1)リンク先がhttp://で始まっていること(2)ドメインがmailgun[.]comで終わってなくて、うしろに長々とした文字列が付いていたことで気づいた。

よくよく考えたら僕の場合、Mailgunは無料の範囲内で使っているので、そもそもOverdue on Paymentは発生しないはず。危ない危ない。

おそらく
(1) https[://]blessedgeeks[.]social[/]about[/]moreを見て管理者のメールアドレスを取得(2)MXを見てMailgunを使っていることを確認(3)フィッシングメールを送る
ということをやっている。

の引越し機能、引越し先が鍵アカウントだと、フォローリクエストが殺到するのね(そりゃそうか)。

もう一度書きますが、 鯖管のみなさんは のパスワードを設定しましょう。「同じサーバ内にパスワード書かれているから無駄」ではありません。シェルアクセスを許してしまえばそうですが、そこまでは至らないケースであれば対策として無意味とまでは言えません。Mastodonが動いているサーバにSSRF可能な脆弱性があった場合、防御機構となるのはRedisパスワードです。
blessedgeeks.social/@h12o/1028

gopher(!)
speakerdeck.com/hasegawayosuke

鯖管の皆様におかれましては、同一ホスト内でも のパスワード設定は必須です。

Show more
BlessedGeeks.Social

@h12oのおひとりさまMastodon、Google Cloud PlatformとRedis Enterpriseで運用