[AWS] GWS User AD Join to Login AWS Account

最近剛好做到一個 Case,客戶是使用 GWS AD Account
有同時使用 GCP & AWS Service,但 IT 想統一 Account 去做管理

此步驟獻給類似需求情境的管理員們,同樣的 AzureAD 也是類似方法

Step1. 登入 要加入的 GWS Admin 管理介面

A. 選擇 Security > Authentication > SSO with SAML applications.

B. 拉到最下面, Download Metada

 Step2. 新增 IAM SAML Identity Provider 在 AWS Account

A. 首先登入想加入的 AWS Account 的 IAM Service

B. 並點選 IAM Service 下的 Identity Providers

C. 點選右邊 Add Provider

D. 點選 SAML

E. Provider Name (自行輸入,這邊是輸入 Join 的 GWS Domain)

F. Medata document (把剛剛在 GWS 端下載的檔案上傳上來)

G. 建置好後會取得 ARN 碼,這很重要 (複製下來貼旁邊)

Step3. 新增 AWS IAM Role 給予 透過 Identity Provider 的 GWS Account 權限 

A. 進入 IAM Console,選擇 Role > Create Role

B. 選擇 SAML 2.0 federation 下拉選單會帶出剛建立的 Provider

C. 然後點選 Allow programmatic and AWS Management Console Access

D. 點選 Next : Permissions 

E. 通過篩選把 AWS 預設 Role 帶出

F. 點選 左上方 放大鏡符號

G. 選取 Type > AWS managed – job function

H. 選擇 PowerUserAcces 後,點選下一步

I. Role details 輸入 Role 名稱 (GoogleSAMLPowerUserRole)

J. Description 輸入 Role 的大概內容 (GWS Login PowerUser Role)

K. 拉到最底,點選 Create Role

L. 建好後會看到你新建的 Role

M. 建置好後會取得 ARN 碼,這很重要 (複製下來貼旁邊)

N. 如需新增其他 Role ,重覆 Step 3 所有步驟即可即可

•  Role 1 GoogleSAMLPowerUserRole_Login
  • arn:aws:iam::174XXXXXXXXX:role/GoogleSAMLPowerUserRole_Login

 Step4. 給予 GWS User AWS IAM Role

A. 回到 GWS Admin Console

B. 點選 Directory > Users > More Option > Manage custom attributes

C. Category: AWS
        Description: Amazon Web Services Role Mapping
D. Custom fields, enter the following values:
        Name: AssumeRoleWithSaml
        Info type : Text
        Visibility : Visable to user and admin

        InNo of Values : Muti-value

        E. 回到 Users 端,選擇要加入的 User Account
        F. 點選 User > User Information

        G. 移到最下面有個 AWS 的,點選編輯

        H. 這時輸入最一開始拿到的 Identitiy Providers + IAM Role ARN

                這邊要特別注意,兩個組合再一起時,中間要用 , 分開

例如 : 

arn:aws:iam:: 174XXXXXXXXX::samlprovider/Dev.Cloud.XXX.tv ”,”arn:aws:iam:: 174XXXXXXXXX:role/GoogleSAMLPowerUserRole

I. 一行是一個 Role,假設你需要給予兩個或是更多的 Role

        請依照同樣方式 Identitiy Providers,IAM Role ARN

J. 假設你有多個 AWS Account 也可以依照前面步驟

        從 Step 2 開始,在另一個 AWS Account 用同樣步驟進行

        Step 3 在另一個 AWS Account用同樣步驟進行

        Step 4 開始,但只需要從 E 項目開始把其ARN 新增至 User Information內即可

K. 可看到我同時有兩個不同AWS Account的 Providers + Role ARN

Step 5. 在 GWS 端設定 SAML Application 給 AWS Login 

A. 進到GWS Admin 管理介面
B. 點選左邊 Apps > Web and Mobile apps 

C. 選取 Add custom SAML App 

 D. App name : 輸入 AWS Login (顯示在右上角選單內的名稱)

        APP Icon : 上傳一個圖示(顯示在右上角選單內的圖示)

E. 點選下一步

        Services Provider Details

• ACS URL : https://signin.aws.amazon.com/saml
• Entity ID : urn:amazon:webservices
• Name ID format : EMAIL
• Name ID : Basic Information > Primary email

F. 點選下一步

        在 Attributes 內新增

• 項次一 AWS 選擇 AssumeRoleWithSaml
• App attributes 輸入 https://aws.amazon.com/SAML/Attributes/Role
• 項次二 Base Information 選擇 Primary email
•  App attributes 輸入
•  https://aws.amazon.com/SAML/Attributes/RoleSessionName

    G.     按下 Finish 即完成

    H.     在來回到 Web and Mobile Apps 內,點選剛新增的 SAML APP

    I.     進入 User Access 把 Service Status 開城 ON for everyone

 J. 回到上一頁,按下 TEST SAML Login 就會出現,你配置的 Domain

或是點選右上角 APP 選單,往下滑也會有你建制的 SAML APP

K. 點選後就會出現 AWS Account and 你所賦予的 Role 權限

        此 Demo 建置了兩個 AWS Account 兩個 Role

L. 依據不同的權限,不同的帳號做登入測試

 

Step 6. 查找登入 Login Log 

A. GWS 端該如何查詢 Login Log

Console > Reporting > Audit and investigation > SAML log events

 B. AWS 端該如何查詢 Login Log

AWS Console > CloudTrail > Event history

 

 

 

[AWS] AWS Organizations 中 OU and SCP 權限配置邏輯

管理組織單位 (OU) : 可以使用組織單位 (OU) 將帳戶群組在一起，以單一單位的形式進行管理。這可大幅簡化帳戶的管理，可以將以政策為基礎的控制連接到 OU，而 OU 內的所有帳戶會自動繼承政策。您可以在單一組織內建立多個 OU，您也可以在其他 OU 內建立 OU。每個 OU 可以包含多個帳戶，而且您可以在 OU 之間移動帳戶。但是，OU 的名稱在父系 OU 或根中必須是唯一的。

服務控制政策 (SCP) : 服務控制政策 (SCP) 是一種組織政策類型，可用來管理組織中的許可。SCP 可集中控制組織中所有帳戶可用的許可上限。SCP 可協助您確保您的帳戶符合組織的存取控制指導方針。SCP 只有在啟用所有功能的組織中才能使用。

SCP 很重要的規則: 1. SCP 是定義權限的範圍並不是賦予權限 2. SCP 預設都是 Deny 的權限，除非明確 Allow 相關的權限 3. Deny 的權限高於 Allow 權限，並且 Deny 權限預設繼承到每一個 OU 和帳號上

Deny list strategy:

1. SCP 預設都是 Deny 的權限，所以在完全沒有附加任何的 SCP 時，在 root 和 OU上所有的權限都是Deny。
2. 當我們採取反向列表的方式來拒絕部分的權限時，預設都會在 root 和每一個 OU上都自動附加FullAWSAccess。
3. 因為 Deny 的權限高於 Allow 權限並且 OU 也會預設繼承 Deny 的權限，所以該 OU 的範圍內將只剩下預設 Deny 的權限和 DisableOrg，雖然有繼承 FullAWSAccess，但因為 OU 上明確的 Deny 權限將完全取代繼承下來的 FullAWSAccess。

Allow list strategy: 1. SCP 預設都是 Deny 的權限，所以在完全沒有附加任何的 SCP 時，在 root 和 OU 上所有的權限都是Deny。 2. 我們只需要允許 EC2 的權限，所以在 root 附加 FullEC2Access，這時候因為 OU 內預設是 Deny 的權限，即使 FullEC2Access 有繼承下來，但因為 OU 本身的權限優先於繼承下來的權限，所以這時候 OU 內還是Deny的狀態。 3. 當我們在 OU 上附加 FullEC2Access 後，因為明確的賦予 EC2 的權限，所以 OU 底下的帳號將可以擁有 EC2 的權限。 所以在 root 和每一個 OU 上的權限必須是明確附加的 Allow 權限，一旦沒有明確的附加 Allow 權限將會被 Deny權限給取代，所以繼承的 Allow 權限將被 OU 內預設 Deny 的權限給取代，以下是繼承的規則: 1. SCP 內如果定義 Allow 權限將需要在每一個需要這個權限的地方都附加上去。 2. SCP 內如果定義 Deny 權限，將可以發揮繼承的效果，在 OU 或子 OU 上發揮作用。

[Alibaba Cloud] Nas 介紹

阿里雲文件存儲服務 NAS

（Apsara File Storage）

是面向阿里雲 ECS 實例、E-HPC 和 容器服 務等計算節點的文件存儲服務。

是一種可共享訪問、彈性擴展、高可靠以及高性能的分佈式文件系統。

NAS 基於 POSIX 文件接口，適配原生操作系統，提供共享訪問，同時保證數據一致性。

提供了簡單的可擴展文件存儲以供與 ECS 配合使用，多個 ECS 實例可以同時訪問NAS文件系

統，並且存儲容量會隨著您添加和刪除文件而自動彈性增長和收縮，為在多個實例或服務器上運

行產生的工作負載和應用程序提供通用數據源。

NAS在成本、安全、簡單、可靠性以及性能上都具有自身的優勢。

成本

• 一個 NAS 文件系統可以同時掛載到多個計算節點上，由這些節點共享訪問，從而節約大量拷貝與同步成本。

• 單個 NAS 文件系統的性能能夠隨存儲容量線性擴展，使用戶無需購買高端的文件存儲設備，大幅降低硬件成本。

• 使用 NAS 文件存儲，您只需為文件系統使用的存儲空間付費，不需要提前配置存儲，並且不存在最低費用或設置費用。更多詳情，請參見產品定價。

• NAS的高可靠性能夠降低數據安全風險，從而大幅節約維護成本。

簡單

• 一鍵創建文件系統，無需部署維護文件系統。

安全

• 基於 RAM 實現的資源訪問控制，基於 VPC 實現的網絡訪問隔離，結合文件存儲 NAS 的傳輸加密與存儲加密特性，保障數據不被竊取或篡改。

高可靠性

• 文件存儲 NAS 的數據在後端進行多副本存儲，每份數據都有多份拷貝在故障域隔離的不同設備上存放，提供99.999999999%的數據可靠性，能夠有效降低數據安全風險。

高性能

• 基於分佈式架構文件系統，隨著容量的增長性能線性擴展，提供遠高於傳統存儲的性能。

兼容性

• NAS 文件存儲提供良好的協議兼容性，支持 NFS 和 SMB 協議方案，兼容 POSIX 文件系統訪問語義，提供強大的數據一致性和文件鎖定。
• 在 NAS 中，任何文件修改成功後，用戶都能夠立刻看到修改結果，便於用戶實時修改存儲內容。

Nas 的優勢在於他跟 SMB NFS 一樣有良好的兼容性,適合使用於 Windwos 及 Linux 系統 

下表為 ECS 雲伺服器可掛載之後端儲存空間的比較表

[Alibaba Cloud] OSS 介紹

 Object Storage Service (對象儲存服務)

阿里雲對象儲存服務（Object Storage Service，簡稱 OSS）

是阿里雲提供的海量、安全、低成本、高可靠的雲端儲存體服務。

它具有與平台無關的 RESTful API 介面

能夠提供 99.999999999%（11個9）的數據可靠性和 99.99% 的服務可用性。

可以在任何應用、任何時間、任何地點儲存和訪問任意類型的數據

儲存空間（Bucket）是用於儲存物件（Object）的容器，所有的對象都必須隸屬於某個儲存空間。你可以設定和修改儲存空間屬性用來控制地域、存取權限、生命週期等，這些屬性設定直接作用於該儲存空間內所有對象，因此可以通過靈活建立不同的儲存空間來完成不同的管理功能。

•同一個儲存空間的內部是扁平的，沒有檔案系統的目錄等概念，所有的對象都直接隸屬於其對應的儲存空間。

•每個用戶可以擁有多個儲存空間。

•儲存空間的名稱在 OSS 範圍內必須是全域唯一的，一旦建立之後無法修改名稱。

•儲存空間內部的對象數目沒有限制。

Object 對象是 OSS 儲存數據的基本單元，也被稱為 OSS 的檔案。
Object 是由元資訊（Object Meta），用戶數據（Data）和檔案名（Key）組成。
Object 由儲存空間內部唯一的 Key 來標識。 Object Meta 是一個鍵值對
表示了對象的一些屬性比如最後修改時間大小等資訊，同時也可以在元資訊中儲存一些自訂的資訊。
Object 的生命週期是從上傳成功到被刪除為止。在整個生命週期內，對象資訊不可變更。
重複上傳同名的對象會覆蓋之前的對象，因此 OSS 不支援修改檔案的部分內容等操作。
OSS 提供了追加上傳功能，用戶可以使用該功能不斷地在 Object 尾部追加寫入數據。

Region 地域是表示 OSS 的資料中心所在物理位置。

可以根據費用、請求來源等綜合選擇資料存放區的地域。

Endpoint 表示是 OSS 對外服務的訪問網域名稱。

OSS 以 HTTP RESTful API 的形式對外提供服務，當訪問不同地域的時候

需要不同的網域名稱。通過內網和外網訪問同一個地域所需要的網域名稱也是不同的。

Region 是在建立 Bucket 的時候指定的，一旦指定之後就不允許更改。

該 Bucket 下所有的 Object 都儲存在對應的資料中心

目前不支援 Object 等級的 Region 設定。

存取金鑰（AccessKey）簡稱 AK

是指的是訪問身分識別驗證中用到的 AccessKeyID 和 AccessKeySecret。

OSS 通過使用 AccessKeyID 和 AccessKeySecret 對稱式加密的方法來驗證某個請求的寄件者身份

AccessKeyID 用於標識用戶，AccessKeySecret 是用戶用於加密簽名字元串和 OSS 用來驗證簽名字元串的密鑰，其中 AccessKeySecret 必須保密。

•Bucket 的擁有者申請的 AccessKey。

•被 Bucket 的擁有者通過 RAM 授權給第三方要求者的 AccessKey。

•被 Bucket 的擁有者通過 STS 授權給第三方要求者的 AccessKey。

OSS Standard (標準存儲)

高可靠、高可用、高吞吐和低延時的對象存儲服務
支持頻繁的數據訪問，支撐各種熱點類應用的使用場景
 

OSS Infrequent Access (低頻率訪問)
適用於訪問頻度較少、長期（30天以上）的數據存儲，比標準類型更低的存儲費用。
 

OSS Archive Storage (歸檔存儲)
適合需要長期保存（建議半年以上）的歸檔數據，在儲存周期內極少被訪問，數據進入到可讀取狀態需要等待1分鐘的解凍時間。適合需要長期保存的檔案數據、醫學影像、科學資料、影視素材。

[Alibaba Cloud] ECS 介紹

阿里雲 - ECS 

下圖是 ECS 所涵蓋的服務內容

Adminstrator Access (Console or API)

ECS 配置選型

入門型： 1 vCPU 1 GB 記憶體（ecs.xn4.small），搭配40 GB 高效雲端碟和 1 Mbps 公網    頻寬，適用於訪問量較小的個人網站初級階段

基礎型： 1 vCPU 2 GB記憶體（ecs.n4.small），搭配40 GB高效雲端碟和2 Mbps公網頻寬，適用於流量適中的網站、簡單開發環境、代碼存放庫等

通用型： 2 vCPU 4 GB記憶體（ecs.n4.large），搭配40 GB高效雲端碟和2 Mbps公網頻寬，能滿足90%雲端運算初級使用者的需求，適用於企業運營活動、並行計算應用、普通資料處理。

進階型： 4 vCPU 16 GB記憶體（ecs.sn2ne.xlarge），搭配40 GB高效雲端碟和5 Mbps公網頻寬，適用於中大規模訪問量的網站、分布式分析及計算場景和Web應用程式。

ECS 執行個體的計費方式     

訂用帳戶：是一種預付費模式，即先付費再使用，按月計費，單位為USD/月。一般適用於固定的 7*24 服務，如Web服務等。

隨用隨付：是一種後付費模式，即先使用再付費，按秒計費，單位為USD/小時。執行個體從建立到釋放的生命週期內不足USD 0.01，將補齊按照USD 0.01收取。一般適用於有爆發業務量的應用或服務，例如臨時擴充、臨時測試、科學計算等。

ECS 升降配概述

你只能同時升級或降低執行個體的vCPU核心數和記憶體大小（即 執行個體規格類型系列），不能單獨調整其中一個配置。根據執行個體的計費方式，您必須使用不同的功能修改執行個體配置：

訂用帳戶：

升級執行個體配置：使用 預付費執行個體升級配置 功能隨時升級執行個體規格。操作完成後，您必須 重啟執行個體 或使用 RebootInstance 介面重啟執行個體，新配置才能生效。

降低執行個體配置：使用 續費降配 功能，在續費的同時降低執行個體規格。進入新計費周期後，您需要在7天內在控制台 重啟執行個體 使新的執行個體規格生效。

隨用隨付：

使用 隨用隨付執行個體變更執行個體規格 功能修改隨用隨付執行個體的配置。您必須先停止執行個體才能使用這個功能。

ECS 設備規格

    企業級x86運算規格類型系列，包括：

                   · 通用型執行個體規格類型系列 g5

· 通用網路增強型執行個體規格類型系列 sn2ne

· 密集計算型執行個體規格類型系列 ic5

· 計算型執行個體規格類型系列 c5

· 計算網路增強型執行個體規格類型系列 sn1ne

· 記憶體型執行個體規格類型系列 r5

· 記憶體網路增強型執行個體規格類型系列 se1ne

· 記憶體型執行個體規格類型系列 se1

· 大資料網路增強型執行個體規格類型系列 d1ne

· 大資料型執行個體規格類型系列 d1

· 本地SSD型執行個體規格類型系列 i2

· 本地SSD型執行個體規格類型系列 i1

· 高主頻計算型執行個體規格類型系列 hfc5

· 高主頻通用型執行個體規格類型系列 hfg5

· 高主頻計算型執行個體規格類型系列 ce4

    企業級異構運算規格類型系列 ，包括：

· GPU計算型執行個體規格類型系列 gn5

· GPU計算型執行個體規格類型系列 gn4

· FPGA計算型執行個體規格類型系列 f1

· FPGA計算型執行個體規格類型系列 f2

ECS Bare Metal Instance（神龍）和Super Computing Cluster（SCC）執行個體規格類型系列群，包括：

· 高主頻型ECS Bare Metal Instance執行個體規格類型系列 ebmhfg5

· 計算型ECS Bare Metal Instance執行個體規格類型系列 ebmc4

· 通用型ECS Bare Metal Instance執行個體規格類型系列 ebmg5

· 高主頻型Super Computing Cluster執行個體規格類型系列 scch5

· 通用型Super Computing Cluster執行個體規格類型系列 sccg5

入門級x86運算規格類型系列，包括：

· 突發效能執行個體規格類型系列 t5

· 上一代入門級執行個體規格類型系列 xn4/n4/mn4/e4

ECS 續費方式

        手動續費：

                    ○ 續費時不能調整執行個體配置。

                    ○ 支援的續費時長：1個月或1年。

自動續費：

                    ○ 續費時不能調整執行個體配置。

                    ○ 支援的續費時長：按執行個體當前的計費周期續費。

續費降配：

                    ○ 續費時可以調整執行個體配置。

                    ○ 支援的續費時長：1個月或1年。

   建立雲端碟只能採用 "隨用隨付",每個帳號在所有地域建立作資料盤用的隨用隨付雲端碟限額 = 該帳號在所有地域的隨用隨付執行個體數量 * 5

阿里雲ESSD（Enhanced SSD，增強型SSD）雲端硬碟結合25 GE網路和RDMA技術，為您提供單盤高達100萬的隨機讀寫能力和單路低時延效能。

ECS 雲端碟加密方式

        ECS 雲端碟加密功能依賴於同一地域的 金鑰管理服務（Key Management Service，KMS)

當你在一個地域第一次使用加密盤時，ECS 系統會為您在金鑰管理服務（KMS）中的使用地域自動建立一個專為 ECS 使用的使用者主要金鑰（Customer Master Key，CMK），這個使用者主要金鑰，您將不能刪除，您可以在金鑰管理服務控制台上查詢到該使用者主要金鑰。使用AES-256 進行加密，每個阿里雲 ECS 帳號在每個地域都具有一個唯一的使用者主要金鑰（CMK），該密鑰與資料分開，儲存在一個受嚴格的物理和邏輯安全控制保護的系統上

對加密雲端碟的管理操作包括：

                建立加密盤（CreateInstance 或 CreateDisk）

○ 掛載（AttachDisk)

○ 卸載（DetachDisk）

○ 建立快照（CreateSnapshot）

○ 回滾雲端碟（ResetDisk）

○ 重新初始化雲端碟（ReInitDisk）

ECS 雲端碟加密有如下限制：

                 只能加密雲端碟，不能加密本地碟。

○ 只能加密資料盤，不能加密系統盤。

○ 已經存在的非加密盤，不能直接轉換成加密盤。

○ 已經加密的雲端碟，也不能轉換為非加密雲端碟。

○ 已經存在的非加密盤產生的快照，不能直接轉換成加密快照。

○ 加密快照不能轉換為非加密快照。

○ 不能共用帶有加密快照的鏡像。

○ 不能跨地域複製帶有加密快照的鏡像。

○ 不能匯出帶有加密快照的鏡像。

○ 每個地域每個使用者無法自己選擇使用者主要金鑰 CMK，由系統為您生成。

○ 每個地域 ECS 系統建立的使用者主要金鑰（CMK），使用者不能刪除，但不收費用。

○ 不支援在雲端碟加密後更換該雲端碟用於加解密的關聯的使用者主要金鑰

ECS 快照 彈性區塊存放裝置保有數量 * 64

IMG 提供的公共鏡像中，僅Linux或類Unix鏡像免費。Windows鏡像則要收費

其他相關介紹

ECS 管理工具

○ ECS console

○ ECS API

○ Alibaba Cloud CLI

○ OpenAPI Explorer

○ Alibaba Cloud SDK

○ Resource Orchestration Service (ROS)

○ Terraform

Deployment suggestions

○ Region and zone

○ High availability

○ Set up network connections

○ Security solutions

Related services

○ Auto Scaling

○ Dedicated Host (DDH)

○ Container Service for Kubernetes

○ CloudMonitor

○ Server Load Balancer (SLB)

○ ApsaraDB RDS

○ Alibaba Cloud Marketplace

Benefits

○ High availability

○ Security

○ Elasticity

○ Scenarios

· Official websites and lightweight web applications

· Multimedia and high-concurrency applications or websites

· Databases with high I/O requirements

· Applications and websites with sharp traffic fluctuations

· Big data and real-time online and offline analysis

· AI applications such as machine learning and deep learning

Regions

中國境內 Region

中國境外 Region

 Alibaba Cloud regions in mainland China are almost the same. BGP networks ensure fast access to all regions in mainland China.

這邊要特別注意

· RDS instances 內的 ApsaraDB 在不同區域中創建的 OSS 存儲桶無法通過內部網絡相互通信

· SLB無法平衡來自部署在不同區域中的ECS的請求。 在不同地區購買的ECS實例無法部署在同一SLB實例下

· ECS 不能再另外虛擬化,沒辦法在裡面安裝 VMWare等虛擬化軟體

· Log Service 不支援32 bits 的 Linux ECS

· 外接 USB 等相關設備無法直接連接到 ECS 上面做使用

· ECS上部署的網站申請ICP歸檔，請確保該實例滿足ICP歸檔要求。可以為每個ECS實例申請數量有限的ICP備案服務編號

· 帳號需要實名認證

[Security] Virustotal 免費檢測惡意軟體好幫手

最近公司開始用社交工程來測試內部員工的資安意識,之前深受恩師 Sunny 的觀念教導

只要是不確定的網站不要亂點,來路不明的檔案不要亂下載,如果真的非不得已需要點或

是需要下載可以透過防毒軟體去做檢測,假如你電腦沒有防毒軟體,我們可以用簡易的一

些小工具來幫我們做初步檢測,這邊要介紹的就是 Virrustotal 這個網站, 它檢測惡意程

式的好幫手透過 , VirusTotal 可以一次透過多達 50 多套的掃毒引擎檢測，讓惡意程式

無所遁形。 它可以檢測你下載的檔案是否有問題,假如你是機敏資料的話,就不建議上

傳到上面做掃描,因為你的資料也會被"它"做存取,因為是線上掃描,所以必須連接網路

才能使用網址可以從 Google 去搜尋 Virustotal : https://www.virustotal.com/gui/

上傳檔案後就會用各家掃毒引擎進行掃描,通常我自己是只要下載的檔案被超過三家防毒軟體

掃出後有問題後,我就不會把那個檔案打開或是解壓縮以避免電腦中毒或是被植入木馬

它也可以偵測釣魚網站,你把可疑的網址或是你覺得怪怪的網址貼上去做掃描,像這次公司

做的社交工程,是透過內部系統發出系統信,讓同仁們相信它是真正的內部信件,但是殊不知

在那個要同仁點下確認的網站網址,卻是可疑的網址,我就有使用 Virustotal 掃出異常

輸入了覺得可疑的網址後,還真的掃出可能是釣魚網站的信息,這邊你只要把網址貼上後

讓它進行掃描就會發現問題之處,切記...你要複製網址而不是點開網址,點擊右鍵就可以複製連結網址

第三個功能就是你也可以查詢你覺得可能有問題的 Domain 或是 IP

查詢結果就會像這樣顯示,假如有問題一樣就會顯示異常

希望大家在點擊信件的網址,或是信件附件下載下來時能先多做一道檢查程序,這

樣或許就可以避免電腦遭受釣魚網站或是病毒的入侵,這只是初步的方式

[AWS] AWS CI/CD 動手做 - Travis CI - 2

 接續上一篇AWS CI/CD 動手做 - Travis CI - 1 的內容

我們繼續做後面的步驟

7. 新增 .travis.yaml 到 GitHub Project 上面

(上一篇有給yaml的範例,可直接copy來用)

8. 新增 .travis.yaml to github repo

• 更改 .travis.yaml 內的 bucket name
• 更改 .travis.yaml 內的 access key
• 更改 .travis.yaml 內的 secret access key
• 加密 travis encrypt aws secret access key
• 加密 travis encrypt SOMEVAR="secretvalue" --add               

（加密此travis.yaml用的,後面是密碼,前面是項次,因為裡面有aws 的key,如果不加密很快就會被其他人拿來利用）

9. 在Repo根目錄建立appspec.yml

(編輯yml檔，格式務必正確，盡量不要使用tab)

version: 0.0

os: linux

files:

    - source: /                           #置於Repo的根目錄下,要進行CI/CD的來源目錄

    destination: /cd_squid           #置於On-Premise下,被進行CI/CD的目的來源

    hooks:       #下方設定為CI/CD期間所要進行之動作

    AfterInstall:

    - location: scripts/after_install.sh

    timeout: 60

    runas: root

    ApplicationStart:

     - location: scripts/application_start.sh

     timeout: 60

      runas: root

     ValidateService:

     - location: scripts/validate_service.sh

     timeout: 60

runas: root

***************************************************************************

下一個篇就會開始講CD的了,前面就是所有CI的流程建置

統整一下:透過Github 把Code 放在上面,透過Travis CI 去推Code

然後CI過的話就會把Code先存一份在Aws S3 bucket上面備份

在進行CD的後續流程

[AWS] AWS CI/CD 動手做 - Travis CI - 1

最近在公司接觸了CI/CD的服務部屬,但是因為是直接接手別人建好的服務

想說趁機趁還有印象時快點把SOP寫起來,這樣也是加深自己的印象

也可以提供一些如果想把地端服務做CI/CD的MIS可以做參考

這邊會是以在地端有Linux Service要做CI/CD著手

何謂 CICD ，其實講的比較簡單一點就是將上程式的流程自動化，自動 build code、執行 unit test、自動更新線上服務...所有反覆步驟都轉為自動化執行

CI(Continuous integration)，即是「持續整合」

CD(Continuous Deployment)，即是「持續佈署」

<這邊引用一下Neil大的解說>

本篇會使用的版控工具為 GitHub

使用 Travis CI 作為版控的串接服務,因為Travis CI 只能跟GitHub做串接

Trvais CI的解釋 可參考Miles大神的介紹,述小弟不在贅述

儲存相關設定的會在 aws S3 Bucket

這邊地端服務會以常見的Squid Proxy Service 作為Demo

使用的Liunx版本為Ubuntu 18.04 TLS

1.  首先在 GitHub 上面開啟一個 Private Project
(補充:如果不會使用GitHub可參考這篇)

2.  Download Project 到本機桌面

3.  使用Git 的相關指令來確認是否跟GitHub Project有互通

•  git add .
•  git commit -m "xxx"
•  git push
•  git pull 

4. 新建一個 AWS S3 bucket,盡量可以跟 Github Project的名字一樣

(補充:為什麼需要使用S3呢,因為S3是用來儲存你所需要部屬的程式或是設定檔,讓Travis CI打包檔案丟上來用的空間)

5. 建立一個 IAM User 給 Travis CI用,盡量可以跟 Github Project 的名字一樣,比較好辨識

(補充:為什麼要給Travis CI一個權限呢,因為Travis CI需要去觸發Codedeploy去接續後續的的部屬流程以及需要把打包好的東西丟至S3 Bucket上,所以需要開權限)

6. IAM User 權限 給他 “AmazonS3FullAccess” 就好

7. 新增 .travis.yaml 到 GitHub Project 上面

"後面會再繼續寫步驟,這只是一開始而已,沒這麼簡單"

#####以下是 .travis.yaml的範例#####

language: python

python:

- '2.7'

services:

- docker

before_install:

- chmod +x tests/*.sh

install:

- docker build -t "GitHub Project Name"/squid .

- docker run -di --name squid "GitHub Project Name"/squid

script:

- docker exec -it squid /tests/test_config.sh

- docker exec -it squid /tests/test_service.sh

notifications:

  email:

    recipients:

    - your-email

    on_success: change

    on_failure: always

  slack:

   

before_deploy:

- zip -r latest-${TRAVIS_BUILD_NUMBER}.zip *

- mkdir -p "GitHub Project Name"

- mv latest-${TRAVIS_BUILD_NUMBER}.zip "GitHub Project Name"/latest-${TRAVIS_BUILD_NUMBER}.zip

deploy:

- provider: s3

  access_key_id: "KEY"

  secret_access_key: "KEY"

  bucket: "GitHub Project Name-bucket"

  skip_cleanup: true

  local_dir: "GitHub Project Name"

  region: your aws region

  on:

    branch: master

[Microsoft] Microsoft Rewards 問題解答

轉貼至:http://mkvq.blogspot.com/2018/04/microsoft-rewards.html

https://account.microsoft.com/rewards/

【新手教學】
Q:在 Microsoft 購物就能賺取點數。如果您可以挑選 Microsoft 提供的其中一項優惠，您會選擇哪一項？
A:XBOX LIVE GOLD 會員資格

Q:等我們準備好之後，您就會獲得 50 點 - 快來設定兌換目標！
A:NT$60 MICROSOFT 禮物卡

【Reward 挑戰】
Q:Microsoft Rewards 是在哪一年推出？
A:2016

Q:在哪裡購物可以賺取 Microsoft Reward 點數？
A:Microsoft Store

Q:在 Microsoft Store 消費每 __ 元可賺取 1 點
A:30(新台幣)

Q:一個月內累積多少點才能晉升到第 2 級？
A:500點

【瀏覽器免費贈點機智問答】
Q:與其他瀏覽器相較之下，Microsoft Edge 可在 Windows 10 上讓什麼延長 36%-53%？
A:電池續航力

Q:Microsoft Edge 是唯一有 ___ 功能的瀏覽器，可讓您撰寫網頁筆記。
A:網頁筆記

Q:在 Microsoft Edge 中，誰會在您停留的相同網頁上回答問題？
A:Cortana

Q:SmartScreen 篩選工具能在 Microsoft Edge 中為您提供什麼樣的防護？
A:網路釣魚和惡意程式碼

【Microsoft 機智問答】
Q:Microsoft 在美國哪一州創立？
A:新墨西哥州

Q:Windows 95 推出時的主題歌「Start Me Up」是哪個樂團唱的？
A:滾石合唱團

Q:哪一位演員與共同創辦人比爾蓋茲一同演出 2008 年的 Microsoft 廣告？
A:Jerry Seinfeld

Q:Microsoft 共同創辦人保羅艾倫擁有哪一支美式足球隊？
A:西雅圖海鷹

Q:Microsoft 最近收購了哪一個創於瑞典的品牌？
A:Minecraft

[Linux] CentOS 7 Vsftp FTP Service 安裝

因為工作上的需求需要重建FTP Service,想說就順便寫一下SOP

筆記一下

先更新yum repo

yum update

安裝vsftp程式
yum -y install vsftpd

修改設定檔
vi /etc/vsftpd/vsftpd.conf

#限制匿名登入
anonymous_enable=NO

#限制使用者無法跳出家目錄
chroot_list_enable=YES 啟用鎖定家目錄
chroot_local_user=YES 啟用本地使用者(與chroot_list_file搭配,YES表示chroot_list內可跳出家目錄)
chroot_list_file=/etc/vsftpd/chroot_list 家目錄使用者(這裡表示可跳出者,不想有人跳出都設定空白即可)

#排除根目錄寫入的問題
allow_writeable_chroot=YES 安全性問題,預設不允許你的根目錄的權限設定是可以寫入的,這邊排除它

#寫入 /etc/vsftpd/user_list 變成可以使用 FTP 的帳號
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list 這裡面是可以使用喔,不要搞顛倒了
userlist_enable=YES

#最大速率 100k
local_max_rate=100000

啟動vsftpd 服務
systemctl enable vsftpd

systemctl start vsftpd

[Linux] 解決在 CentOS Vsftpd Service 連接 出現 500 OOPS 的錯誤訊息

最近老K在重建公司的FTP Server時遇到了這個500 OOPS的問題

上網找了一下解法...沒想到只要加一行指令就可以解掉了


修改前:
連線時會遇到500 OOPS錯誤

修改後:
編輯 /etc/vsftpd/vsftpd.conf 設定檔
vim /etc/vsftpd/vsftpd.conf
加入下面這一行
allow_writeable_chroot=YES

重新啟動 vsftpd service
systemctl stop vsftpd
systemctl start vsftpd









就可以正常連接了