winds.from.oz 技術メモ

Tag: security

Wordpressからメールを出す際にSPFを設定を行った

Posted:   |   Categories: Mail   |   Tags: Mail, Security, SendGrid

SendGrid + AWS Route53 での SPF 設定 背景 SMTP サーバとして SendGrid を使ってメール送信する。 この際、SPF 設定も合わせて行った。 SendGrid の SPF 設定 チュートリアルである 独自ドメインを利用する を参考に進める。 SendGrid の[Setting]=>[Sender Authentication]に DNS 設定が現れるので、VALUE を確認しながら Route53 の TXT に設定を追加した。 SPF 関連の DNS の追加は、 レコード名: 所有しているドメイン名 レコードタイプ: TXT 値: "v=spf1 include:spf.gmoserver.jp include:_spf.google.com include:hogehoge.wl.sendgrid.net ~all" という内容になった。それぞれの値の意味は spf.gmoserver.jp <= もともとの共有サーバ SD 用 _spf.google.com <= Google Workspace 用 hogehoge.wl.sendgrid.net <= SendGrid 用 Wordpress 上でメール送信をテストする Check & Log Email を使うと Wordpress から任意のメールアドレスにメール送信テストができる。 Read more...

docker-compose/セキュリティ関連

Posted:   |   Categories: docker   |   Tags: docker, security

Privileged(特権)ではない方法で、必要な分だけセキュリティを緩める 背景 Privileged(特権)を持った Docker コンテナは root 権限を備えたコンテナであり、 2021 年の Docker では Linux のセキュリティコンピューティングモード(secure computing mode; seccomp)と呼ばれる機構で制限がかけられている。 現在は 300 以上あるシステムコールのうち 44 が制限されている。 どのように制限をかけるか簡単に確認してみた。 環境 docker-compose の実行は Ubuntu Studio 21.04 コンテナは gentoo/stage3-amd64 docker-compose.yml に追加 制限する profile.json の雛形をダウンロード 雛形を修正 docker-compose.yml 修正 docker-compose を起動し直し 手順 wget https://raw.githubusercontent.com/moby/moby/master/profiles/seccomp/default.json default.json を確認する。このリストはホワイトリストで、このリストに含まれていない場合、ブロックされる。 つまり「何か権限が足りない場合」、「このリストに追加」したい。 ただ 2021/08/04 に確認した所、 CAP_SYS_PTRACE に process_vm_readv は追加されていたので、 一旦、修正は加えず、 profile.json を持ちいて起動するように docker-compose.yml を修正して起動する。 docker-compose の修正 version: "3" services: distcc: build: context: ./ container_name: 'distcc' security_opt: # <= security_opt を追加 - seccomp:default. Read more...