手当たり次第に書くんだ

飽きっぽいのは本能

セキュリティ

SELinux と AppArmor は何が違うのか – 無効化されやすい Linux のアクセス制御を設計思想から理解する

SELinux と AppArmor の違いを、DAC と MAC、ラベル、プロファイル、Enforcing / Permissive、AVC ログ、コンテナ分離の観点から整理します。

セキュアコーディングとは何か – OWASP / ASVS を使って基準を育てる

セキュアコーディングを精神論にせず、OWASP Top 10、OWASP ASVS、IPA などを足場にして、レビュー・テスト・リリース判断に使える基準へ育てる考え方を整理します。

サーバー要塞化はなぜ古く見えるのか – OS 防御から実行環境の統制へ

サーバー要塞化は今でも必要です。ただし、現代のセキュリティ設計では OS 単体ではなく、認証、権限、通信、デプロイ、監査、構成管理を含む実行環境全体の統制として考える必要があります。

メール配送・メール認証ハブ – Postfix、Dovecot、SPF/DKIM/DMARC を確認する

メール配送とメール認証に関する記事を、個別の OS 手順ではなく、MTA、MDA、SMTP、IMAP、SPF、DKIM、DMARC、ARC の関係として確認するハブページです。 メールサーバーは Postfix を入れれ […]

認証・ID 管理ハブ – LDAP、SAML/OIDC、証明書認証を使い分ける

LDAP、SAML / OIDC、Keycloak、EAP-TLS / EAP-TTLS、証明書認証、鍵管理を、認証方式の優劣ではなく責務分界として読み解くための技術ハブです。

Keycloak を利用した認証基盤の統合 – LDAP / Nextcloud / Kubernetes をどうつなぐか

Keycloak を認証連携のハブとして使い、LDAP、Samba、Nextcloud、Kubernetes、SAML / OIDC の責任分界をどう整理するかを考えます。

公開証明書の自動更新をどう設計するか – HTTP-01、DNS-01、混在環境の責任境界

公開証明書の自動更新を、ACME クライアントの選定ではなく、HTTP-01、DNS-01、秘密鍵、配布、反映、監視の責任境界として整理します。

Chrome だけ TLS 証明書エラーになる場合 – 証明書チェーン、SAN、HSTS、独自 CA を確認する

Chrome だけ TLS 証明書エラーになる場合に、証明書チェーン、SAN、HSTS、独自 CA、Certificate Transparency、キャッシュをどの順番で確認するかを整理します。

PEM 形式の証明書・秘密鍵を 1 行に整形する方法 – SAML、Kubernetes Secret、環境変数で扱う

PEM 形式の証明書や秘密鍵を 1 行で扱う場面を、SAML、Kubernetes Secret、環境変数、JSON / YAML 設定の観点から確認します。

EAP-TEAP とは何か – 端末認証とユーザー認証を組み合わせる設計

EAP-TEAP は、TLS トンネルの内側で複数の認証を組み合わせ、端末認証とユーザー認証を同じ 802.1X 設計の中で扱いやすくする方式です。EAP-TLS、EAP-TTLS、PEAP との違いと使い分けを整理します。

トップへ戻る