3月4日 火曜 曇りのち雨
朝は いつものハローキティートースト
朝はいつものハローキティートースト、ポークビッツ+スクランブルエッグ、コーヒー、砂糖不使用ヨーグルトでした。
午前中 訪問リハビリで作業療法士さんと会話
毎週火曜の朝11:00 ~ 12:00 は、訪問リハビリステーションから、作業療法士さんが 1時間来てくれます。
本来はリハビリをやる時間なのですが、木曜の訪問看護と火曜の訪問リハビリはセットになっていて2つまとめて健康保険+公費負担の範疇です。つまり、大学病院の主治医の「看護指示書」で看護師と作業療法士がセットで対応していて、医療であって介護ではありません。一方、電動介護ベッドは介護保険なので介護になり、担当はケアマネさんです。
きのう、大学病院の主治医から電動介護ベッドの導入の話があった件は、看護師だけでなく作業療法士も関係してくるので、きょうはリハビリをやらずに、どこがどう困っていて、主治医がどういうことを言っているのかを作業療法士さんに伝えて、それを持ち帰ってもらい、看護師さんと連携してケアマネさんにエスカレーションしてもらうことになりました。
わたしは電動介護ベッドのレンタルに賛成です
お昼は メロンクリームパンとブレンドコーヒー
お昼はドトールで メロンクリームパンとブレンドコーヒー(M)でした。
また、3時のおやつは、ファミマで買ったグミ「カンデミーニャ」でした。
早朝4:30~18:00 計11回のサイバー攻撃 ログ調査とセキュリティ対策
ブログを運用している仮想プライベートサーバーには、24時間、365日、休みなしにサイバー攻撃が世界中からきます。いまのところ、大きな被害はでていませんが、サイバー攻撃が多いとブログの表示が極端に遅くなり、バックエンドのデータベースとの接続がタイムアウトしてしまい、ブログ記事を表示できなくなる不具合が起きています。
サイバー攻撃とセキュリティ対策は「いたちごっこ」で、セキュリティ対策をすると別のセキュリティーホールを狙ったサイバー攻撃が繰り返されます。きょうは、早朝 4:30~18:00に計11回のサイバー攻撃があり、監視サーバーから iPhoneのSlackへ「いまサイバー攻撃されてブログサーバーがダウンしたよ」「いまブログサーバーが復旧したよ」と逐次報告があるので、そのたびにブログサーバーへsshで接続してログを調べる羽目になります。とはいっても、被害がブログサーバーのスローダウンだけなので20分ほどで自然復旧するため、早朝 4:30にiPhoneに通知がきても即時対応できないので放置です。
ちゃんと調べて対策しなくちゃダメでしょ
前回のサイバー攻撃のときに、.htaccessにセキュリティ対策の設定を追加したのですが、まだ足りないようなので、Apacheのアクセスログを調査したら、仮想プライベートサーバーのドキュメントルートに、HTTP OPTIONSメソッドでの多数のアクセスが集中していました。HTTP OPTIONSは攻撃者の情報収集などに利用される可能性があるため、HTTP 403エラーを返すように .htaccessに記述を追加しました。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^OPTIONS
RewriteRule .* – [F]
</IfModule>
今回の攻撃は、HTTP OPTIONSによるものだったので、これで撃退できました。
上記とは別に、WordPressのセキュリティヘッダの脆弱性を調べるサイトで評価してみたら F評価(最低)でした。
これは危ないので、WordPressのルートの .htaccessに以下の記述を追加しました。
<ifModule mod_headers.c>
Header always set Strict-Transport-Security: “max-age=31536000” env=HTTPS
Header always set Content-Security-Policy “upgrade-insecure-requests”
Header always set X-Content-Type-Options “nosniff”
Header always set X-XSS-Protection “1; mode=block”
Header always set Expect-CT “max-age=7776000, enforce”
Header always set Referrer-Policy: “no-referrer-when-downgrade”
Header always append X-Frame-Options SAMEORIGIN
</ifModule>
ざっと説明すると、HTTPS以外のトランスポートでのアクセスは禁止(別に 301リダイレクトの設定もあり)、
X-XSSプロテクションにより、クロスサイトスクリプティングの読み込みをブロック、
X-Frame-Optionsは、クロスドメインのiframeやクリックジャッキングを防止、
X-Content-Type-OptionsX-Content-Type-Optionsはコンテンツのmime-typeスニッフィングをブロック、
などです。
WordPressのセキュリティヘッダの脆弱性を調べるサイトで評価してみたら A評価になりました。
Permissions policyは設定していませんが、設定すれば A+になるようですが、ほかの設定との相性が悪いので、今回はこれでよしとしました。
WordPressは高機能だけど、保守が大変そうね
わたしは ブログサーバーとは別に監視サーバーを設置して監視しているから寝ている間もサイバー攻撃を検知して、あとで対策できていますが、そういうことをやっていないと、こっそり侵入され、乗っ取られて悪いことをされたりしたあげく、バックドアを仕掛けられたまま気づかずに運用を続けるといったリスクを背負うことになります。
最低限、Apacheの access-log、error-logを解析できることと、.htaccessに必要な設定を記述できるスキルは必要と思います。
おしまい
コメント
色々とおっかないですね。
としさんみたいな高度のスキルを持っている方でもこうだから、私なんぞはすぐに乗っ取られそう^^;
やはり昨日はアタックを食らっていたんですね・・・開かなかった訳だ。
無視していても自然復旧しているうちはイイけど、これは面倒だ。
知識が無いとどうにもならんレベルだし。
サイバー攻撃なんて聞くと、
もう私には怖ろし過ぎて、
訳が分からなくなります^^;
24時間、気が抜けないのですか。
世界中からなら、
時間は関係ないですものね。
怖いです。
高度のスキルを持っている方は気づいてしまうのでしょうが。
わてみたいなアンポンは、脳みそ乗っ取られてても気づいていない。
気づかないで、自分で歩いてる気がしてる。
ボクの性感帯は脳みそよ、という秘密も見つかってしまったかもしれない。
イシバと維新だけを攻撃してくれるとありがたいが。
カワイイは正義だ作戦で世界を守ってください、少なくともこの地域を。