みなさまこんにちは。 はてなの記事、12件目となります。 今回は、RedmineのREST APIについて書いてみます。

• はじめに
• どんなREST APIがあるの？仕様はどうなっているの？
• XML形式とJSON形式
  • XMLに関して
  • JSONの場合
• Chrome Restlet Clientを使ってみます
  • GET /issues.json でチケット一覧を取得
  • POST /issuesでチケットを作成
  •  添付ファイルはどうするの？
• 認証はどうするの？
• 全ての処理がREST API対応しているの？
• Chrome Restlet Client についてもうすこし

はじめに

Redmineについては、最近「インフラ勉強会」でお話を聞いたりやりとりさせていただく中で、ちらほらと耳にする機会が増えました。 実のところ、いろんなモダンなタスク管理ツールも増えて来ているので、個人的にはRedmineは今後どうなんだろう...と思っていたのですが、意外にみなさん利用されていたり、これから立ててみたいというコメントを見かけたりして、単語が出てくると喜んでいたりします。

Rubyという言語、Railsというフレームワークを学ぶというよりは、Webサーバやアプリケーションサーバ、DBを用意し運用をしてみる、というには良い素材だと思っています。

また、運用だけでなく、RedmineにはREST APIが用意されているので、例えば他のアプリケーションやSaaS, PaaS（クラウド関連）のサービスをcurlやCLIで操作する練習としても、割といいのではないかなと思っています。

たまたま、初夏にRedmineのAPIを使いたいけどちょっとお困りの方がいらしたので、確認方法をコメントさせていただきました。

認証はパラメータにAPIキーを添える、HTTPヘッダにBasic認証をつけるとか、いくつかあります。
jsonの例はこんな感じになります。（これはBasic認証でのテスト）
Content-typeの指定も必要です。
POSTはチケット作成のパターン？
参考になりましたら...。（他にRedmine勢が助けてくれると思います） pic.twitter.com/4f4r6Bn2dr

— たかのあきこ@旅するうさぎ (@akiko_pusu) May 30, 2018

なんとかうまく試していただけたようなので、こちらで試したやりとりを記事に起こしてみることにしました。

みなさまこんにちは。はてなで10個目の記事は、読書感想文。 今回取り上げるのは、こちらの書籍です。

gihyo.jp

「チェリー本」という呼び名で紹介される事が多い、伊藤淳一さんの書籍です。(以下もチェリー本と略させていただきます）

• はじめに / 読み手のバックグラウンドなど
• 私なりの読み方
• 特に難儀したところ
• 非常によかったところ
  • プラグイン（個人）で応用できた！
  • 敬遠してしまうyieldが怖くなくなった！
  • テスト関連もよかった！
• 半年以上たってから本の感想を書くことについて
•  関連リンクなど

みなさまこんにちは。 はてなでの6つめの記事は、@柴雑種さまの インフラ勉強会 20180810 「作ってみようWAF」を聞いた感想や、その後試してみたことのメモになります！

WAF😍😍 https://t.co/14zYsWprQ4

— たかのあきこ@野生のウサギ (@akiko_pusu) August 8, 2018

https://wp.infra-workshop.tech/event/作ってみようwaf/

• LTの流れ
  • ハンズオンの流れ
  • フリートーク
  • その他の話題
• Ubuntuでやってみる
  • ModSecurityの公式に行ってみる
  • 有効化 / 無効化
  • 設定をもう少し読み解く
    • /etc/apache2/mods-enabled/security2.conf
    • /etc/modsecurity/*.conf
    • /usr/share/modsecurity-crs/owasp-crs.load
  • 有効化してみる
  • ルールエンジンをOnにしてみる
  • ハンズオンの設定をあててみる
• まとめ

LTの流れ

ハンズオンの流れ

LT自体は、ハンズオン形式で進めてくださいました。 ライブで伺っている段階では、ハンズオン用の環境をすぐには用意できなかったので、お話を伺うのに専念。

• CentOS7にApacheをインストールする
• mod_securityをインストールする
• 簡単なデモ用のconfを適用する
• デモでブロック対象になるパターンでアクセスしてみる

といった流れでした。

実際に同じタイミングで参加されていたみなさんも、「curlで叩いてみたら確かにブロックされた！」というコメントをされていたり、やはり実際にやってみるのは大事だなと感じた次第です。

フリートーク

30分くらいのハンズオンのあとは、参加されているみなさんの間でのフリートーク。 実際にWAFを導入したり、設定で色々ご経験がある方が割といらしたようで、こちらも大変参考になりました。

今であれば、今回のmod_securityのようなシグネチャ型（攻撃パターン、パラメータ定義に従ってフィルタする）方式だけでなく、一定間隔のアクセスパターンを判断したりして攻撃と判断するような、振る舞い型の防御策も採られているようで、いろいろ進化しているんだな..と思った次第。

（振る舞いを観測するものといえば、たとえばログを収集して解析するような、Splunkといったものも該当するのかな？）

とにかく、（現在運用の当事者ではないのですが）ワクワクしてお話を伺っておりました。

また、クラウドを利用した環境であれば、クラウド型のWAFを使うのが良い、といったお話も出ていました。 こちらに関しては、クラウドベンダーのエンドポイントにWAFを適用する場合、証明書はどこに置くの？といった質問も出ていました。 実際は、ベンダ側のDNSを利用するとかベンダに証明書を渡す、ただし証明書の更新は自分たちでやる...といった方法をとるようです。 （ベンダさんに色々お話を聞くと、このあたりは面白いと思います）

なるほど、ですね。

その他の話題

今回のWAFの件をもう少し踏み込んでみたり、OWASPについて触れてみたり、脆弱性のあるアプリケーションを攻撃してみるハンズオン...といったことも良さそう、という話題が出ていました。 あとは、マルウェア、ボットウェア（miraiとかその亜種とか）のソースコードを読んでみようといったものなど。

まずは@柴雑種さま、お話ありがとうございました！

以下は、あとからUbuntuにmod_securityを組み込んでみたので、その覚書になります。