岡野です。
前々回のブログ「Ubuntuについて」の続きです。
Ubuntuの良い所を書きます。

メリット2 サポート期間の延長が可能

当社にはUbuntu14を使用しているサービスが一部あり、まもなく5年のサポート期間が切れます。 OSをバージョンアップするのは大変なためESM(Extended Security Maintenance)を導入するかもしれません。
ESMとは主要なパッケージについて有料でセキュリティパッチが提供されるサポートサービスです。 但しESMにはUbuntu12での実績によるとImageMagick等がサポート対象に入っていない様です。 そのためESMを導入してもApache等を除く個々のソフトウェアについては個別に対応する必要がありそうです。
なお他のLinuxディストリビューションでは無料サポート期間が5年以上の物も一応あります。

メリット3 情報が見つけやすい

最近ImageMagickの動作速度が遅く感じられることがあり、Meltdown等の対策パッチの影響かと思って色々と調べました。 Ubuntuのパッチについての情報はすぐに見つかりました。
上記は公式サイトの例ですが、stackoverflowやserverfaultなどでもUbuntuの情報は他のLinuxディストリビューションより見つけやすい気がします。
なお少々古い環境ですが実験した所では以下の通り、Meltdown等の対策パッチによるImageMagick動作速度への影響はありませんでした。
・CPU
Xeon E5-2407
・OS
Ubuntu 14.04（パッケージ最新状態）
・カーネル
3.13.0-167-generic #217-Ubuntu SMP Wed Mar 13 16:18:21 UTC 2019 x86_64
・パッチ無効化方法
grubで”nopti nopcid noibrs noibpb nospectre_v2 nospec_store_bypass_disable”を指定。
・コマンド実行
“time convert 7134×7134.png -colorspace rgb -strip png32:test.png”を試したが、パッチ状態に関わらず共に12.6秒。

こんにちは、岡野です。
最近、当社で使用しているWordPressについてセキュリティ向上を図る案件があったので紹介します。

まずOWASPに載っている以下の様な事を実施しました。

・allow_url_fopenの禁止
この設定はファイル名にURLを指定できなくする物です。

・disable_functionsで、コマンド実行系(exec()など)の関数を禁止
この設定はOSコマンドインジェクションの防御には結構有効で、後述のAppArmorと組み合わせるとより効果的です。

・WP Security Audit Logプラグインをインストールし、操作履歴を保存
これは何か問題が生じた際の調査に使用します。

また、あらかじめ指定したPHPファイル以外はWebアクセスできない様にしています。

その他、FPMからDB接続ができなくなるため現在調整中ですがAppArmorも設定予定です。

WordPressもスマホアプリの様にプラグインやテーマ毎に細かな権限設定ができればと思いますが、PHP自体にその様な機能が無いため難しいかもしれません。

こんにちは、岡野です。
今日は当社サービス「オリジナルプリント」のシステム説明をします。
近々サーバリプレースする予定で下の様なシステム構成です。

 

 

特徴として、OSは全てUbuntu18、DBはMariaDB、Nginx/PHP/ImageMagickはほぼ最新版です。またimage/batch/DBサーバにはNVMeのディスクを搭載しています。

ベンチマークを取ったメモが今見当たらないのですが、ImageMagickは色深度を16bitから8bitへ変えて確か3割速くなりました。また、ImageMagick用の一時領域としてNVMeのディスクを割り当てた結果、巨大な画像処理がSSDの時と比べ数倍速くなりました。

まだproxyサーバに静的ファイルを置くなどの対応ができていないのですが、今後も一層の高速化/安定化を目標に改善していきたいと思います。

こんにちは、イメージ・マジックの岡野です。

当社は大半のサーバでUbuntuというLinuxのOSを使用しています。日本ではCentOSが良く使われていて入社された方がUbuntuに詳しくない事もある様ですので簡単に説明しようと思います。

読み方

Ubuntuはウブントゥやウブンツと呼ばれます。元々はズールー語の言葉で「他者への思いやり」の意味らしいです。なお、Ubuntu界隈では余り一般的でない単語が結構出てきます。”multiverse”（多元宇宙論）や”Artful Aardvark“（⁠巧妙なツチブタ）など。知らない人は何の事か分からないため（私も忘れやすいため時々検索して調べます）、外部からの印象は余り良くないんじゃないかと心配になります。

当社でUbuntuを使用した経緯

2012年頃までは当社でもCentOSやRed Hatを主に使用していました。ちょうど私が担当を引き継いだサーバでRed Hat Networkのアカウントが分からず、CentOSの方も古いパッケージ（ソフトウェア）がダウンロードできないなど、OS周りで辟易としていました。サーバリプレース時に良い評判を聞いていたUbuntuへ入れ替えた所、思っていた以上に良かったです。

メリット1 自動セキュリティアップデート

サーバの場合unattended-upgradesというパッケージを入れる必要がありますが、Ubuntuではほぼ全てのパッケージについてセキュリティアップデートが提供されています。脆弱性が見つかってから速い場合には4時間で対応が完了している事もあり（確かImageTragickの脆弱性の時、実際にはアップデート自体が実行されるまでのラグが存在する）助かっています。なお全て自動で任せていては対応が遅れるため「JVN脆弱性レポート」などのSNSをwatchして手動対応することもあります。

メリット2

他にも色々ありますが長くなって来たので省略します。

デメリット

/etc/に置く設定ファイルの場所などがCentOS等と異なるため、たまに別のOSを触ると戸惑います。

また続きを書きたいと思います。