Upgrade to Pro — share decks privately, control downloads, hide ads and more …

.ssh/configを管理する .ssh/configで管理する

.ssh/configを管理する .ssh/configで管理する

PHPカンファレンス2016

Ken’ichiro Oyama

November 03, 2016
Tweet

More Decks by Ken’ichiro Oyama

Other Decks in Technology

Transcript

  1. SSHとNEXT 5 PHPカンファレンス2016   FTP   SSH + パスワード  

    SSH + 公開鍵認証   「SSHしたら負け」 <- たぶんここがNEXT   Docker、EC2 Run Command、etc “NEXT”ではないですが、 今⽇は”SSH + 公開鍵認証”で少しだけ役に⽴ちそ うな話をします
  2. k1LoW   Kenʼichiro Oyama   @k1LoW   Fusic Co.,Ltd. エンジニア

      基盤ユニット テックリード   GitHub organizations   fukuokarb / dotcake / emacs-jp / etc.   awspecというAWS⽤のテストツールを作って います   https://github.com/k1LoW/awspec 7 PHPカンファレンス2016
  3. 普段のわたし   複数のプロジェクト   開発中   運⽤中   複数のサーバ  

    プロジェクト単位   ロール単位(Web、DB、etc)   本番、ステージング、テスト 8 PHPカンファレンス2016
  4. /home/k1low/.ssh/config   管理しているサーバへSSH接続するための設定 を記載   秘密鍵も .ssh/ 以下に配置   プロジェクトごと、ロールごと、サーバごとな

    どで分けることが多い   id_rsaは使わない   秘密鍵だけでなく、その他の接続設定も重要   HostnameやUser   ProxyCommandとか 11 PHPカンファレンス2016
  5. sconb   “Ssh CONfig Buckup tool”   .ssh/config専⽤のバックアップツール   https://github.com/k1LoW/sconb

      gem install sconb でインストール   ※本⽇も⼤変お世話になっているCONBUとは無関係です 18 PHPカンファレンス2016
  6. バックアップ 20 PHPカンファレンス2016  $ sconb dump > ssh_config.json  $ cat

    ssh_config.json  {   "github.com": {   "Host": "github.com",   "User": "git",   "Hostname": "github.com",   "PreferredAuthentications": "publickey",   "IdentityFile": [   "~/.ssh/github_rsa"   ]   },  ...
  7. 絞り込んでバックアップ 21 PHPカンファレンス2016  $ sconb dump example > ssh_config.json  $ cat

    ssh_config.json  {   ”example.com": {   "Host": ”example.com",   "User": ”k1low",   "Hostname": ”dev.example.com",   "PreferredAuthentications": "publickey",   "IdentityFile": [   "~/.ssh/example_rsa"   ]   }  }
  8. リストア 22 PHPカンファレンス2016  $ sconb restore < ssh_config.json  Host github.com

      User git   Hostname github.com   PreferredAuthentications publickey   IdentityFile ~/.ssh/github_rsa  ...  $ sconb restore < ssh_config.json > ~/.ssh/cofing
  9. 秘密鍵も含めて1ファイル化 23 PHPカンファレンス2016  $ sconb dump --all > ssh_config_with_key.json  $

    cat ssh_config_with_key.json  {   "github.com": {   "Host": "github.com",   "User": "git",   "Hostname": "github.com",   "PreferredAuthentications": "publickey",   "IdentityFile": [   "~/.ssh/github_rsa"   ],   "IdentityFileContent": [   "-----BEGIN RSA PRIVATE KEY-----\nMIIEpXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX... ]   },  ...
  10. 普段のわたし(再掲)   複数のプロジェクト   開発中   運⽤中   複数のサーバ  

    プロジェクト単位   ロール単位(Web、DB、etc)   本番、ステージング、テスト 30 PHPカンファレンス2016
  11. koma   エージェントレスでリモートホストのインベン トリ情報を収集するツール   https://github.com/k1LoW/koma   類似ツール: ohai /

    facter   gem install koma でインストール   `ssh` を `koma ssh` に変えるだけで、リモ ートホストのインベントリ情報をJSONで取得 できる 35 PHPカンファレンス2016
  12. koma ssh 36 PHPカンファレンス2016  $ koma ssh example.com  {  

    "memory": {   "swap": {   "cached": "652kB",   "total": "2097148kB",   "free": "2091376kB"   },   "total": "1019956kB",   "free": "255104kB",   "buffers": "310644kB",   "cached": "185748kB",   ...
  13. koma keys (収集できるインベントリ情報)   memory   ec2 (disabled)   hostname

      domain   fqdn   platform   platform_version   filesystem   cpu   virtualization   kernel   block_device   package   user   group   service PHPカンファレンス2016 37
  14. koma run-command 38 PHPカンファレンス2016  $ koma run-command example.com,example.jp uptime  {

      "example.com": {   "uptime": {   "exit_signal": null,   "exit_status": 0,   "stderr": "",   "stdout": " 00:18:10 up 337 days, 4:51, 1 user, load average: 0.08, 0.02, 0.01\n"   }   },   "example.jp": {   "uptime": {  ...
  15. Vuls   “VULnerability Scanner”   バルス   Linux/FreeBSD向けの脆弱性スキャンツール   Ubuntu、Debian、CentOS、Amazon

    Linux、RHELに対応   標準のTUIだけでなくVulsRepoというWebビューワもある   NVDやJVNの脆弱性情報などを使⽤してスキャン   スキャン対象のサーバーへは “SSH” で接続   TOMLで設定を記述 44 PHPカンファレンス2016
  16. ssh_config_to_vuls_config   ssh_config形式をVuls⽤のTOMLファイル形式 に変換   sc2vcコマンド   https://github.com/k1LoW/ssh_config_to_vuls_config   gem

    install ssh_config_to_vuls_config でインストール   (当然)sconbでフィルタリングも可能 47 PHPカンファレンス2016  $ cat ~/.ssh/config | sc2vc > vuls_config.toml  $ sconb dump dev.* | sconb restore | sc2vc > filtered_config.toml
  17. .ssh/config -> JSON JSON -> .ssh/config JSON -> koma JSON

    -> Vuls 48 PHPカンファレンス2016
  18. komad (仮)   sconbなJSONをAPI or SCP経由で登録   ssh_config + komaでサーバインベントリ情報

    を収集管理   ssh_config + Vulsで脆弱性情報を収集管理   koma run-commandでSSHを通じた外形監視   ちょっと変わったサーバ管理/監視システムが できそう 53 PHPカンファレンス2016
  19. PAM   Pluggable Authentication Module   PAMを使ってユーザ管理サーバ(認証基盤)に 認証の要求をもらう   ADとかLDAPが⼀般的らしい

      ただ個⼈的にはSTNS推し   シンプル   設定がTOML   認証サーバ側をサーバレスにできそう   http://qiita.com/shogomuranushi/items/ f09fcdeb146b45452403   新イケメンことP⼭さん(@pyama86)が開発している 64 PHPカンファレンス2016