Micro Hardening v1.x@岡山 でリベンジ?
タイトルの通り、岡山で開催されたMicroHardeningに参加してきました!
4月に開催されたtktkセキュリティ勉強会のMicroHardeningにも参加経験があったので、
実はMicroHardeningへの挑戦は2回目でした!
ちょっとだけ、今回のMicroHardening@岡山についてブログにまとめたいと思います。
MicroHardeningとは
このページを見て下さい(丸投げ)。
つまり、本家Hardeningの短い版です。
45分という短い時間の中で売上を最大化する。 これを、3セット繰り返します。
3セットそれぞれの内容は全く同じ。だから、1セット目より2セット目。2セット目より3セット目と、スコアを伸ばしていくことが目標です。
3セットな理由は、当日に講師の川口さんが話されていましたが
「スーパーマリオも残機3からスタートなので、3セットあればある程度できた感じになるよね?」
という理由だそうです。 とても良い理由だと思います。
結果
通常、MicroHardeningは3−4人ぐらいで一つのECサイトが動くサーバを守るのですが、自分を含めた参加者のうち3人は
経験者ということで1人1台のサーバを頂けることに...
複数人で担当するはずの作業を1人で行うことになりました。まあ、お値段的にはお得だったのかな?と思います(笑)
結果は、以下のようになりました。
1セット目終了。最初は環境を把握するため全チームグラフが伸びず。2セット目以降に対応するため各チーム振り返りをしています。 #microhardening pic.twitter.com/0bGShHvarP
— MicroHardening (@MicroHardening) August 4, 2018
2セット目終了。順調にスコアが伸びてきています。チーム4,5,6はtktksecの経験者の1人チームなので追い風参考値。 #microhardening pic.twitter.com/qFlhgFVW8M
— MicroHardening (@MicroHardening) August 4, 2018
3セット目の成績。最後はどのチームももがきつつもグラフが上がっていきました。知っていることができることになった瞬間!お疲れさまでしたー。 #microhardening pic.twitter.com/lj8HK5heCf
— MicroHardening (@MicroHardening) August 4, 2018
私が担当したのは、チーム4です。
全部は話せないですが、自分のやった内容をぼかして(?)言うと
1回目:
簡単な堅牢化だけ施して、サービスの死活監視(手動)。スコアだけ見るとそこそこ順調かな。防御点は低い。2回目:
いくつか堅牢化をするものの、あまりうまく働かず失速...。3回目に期待。3回目:
他の経験者の方が行われた内容を伺い、色々適用。あとプロキシ通して更新もしてみた。一時的にサービスが落ちているのに気づかなかったもののスコア10万点超え、防御点も10を超えることができた。
といった感じでした。
感想
感想は、以下の感じ。
- 1人は大変。猫の手も借りたいとはこのこと。具体的にはログを見てくれる目が欲しい。
- iptablesを自作できないと防御点は稼ぎづらいかも。
- 1人の場合は、スクリプトを作って2回目、3回目に挑むほうが効率良さそう。というよりそうしないと、色々間に合わない(笑)
- 1人の場合は、自分の分かっていない部分(他の人に任せていた部分)がわかる。
1人は大変だけど、逆に学びもあったし充実した疲れを感じました。
参加してよかったです。
おわりに
MicroHardeningは川口設計の川口洋さんが作られて運営されているものです。
本来は、お金を取るような内容の演習を無料で受けさせて頂けるというのは大変ありがたいです。
現在も、川口さんは全国でMicroHardeningを開催されています。
もし、みなさんも機会がれば是非受けてみてください。