この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。

Kali Linux 2020.2 を VirtualBox にインストールしてメニューの日本語表示化と日本語入力を可能にしてみました。Kali Linuxは、セキュリティ診断用ツールが標準で用意されている、Linuxディストリビューションです。※前バージョンの画像も使ってますが大体同じです。

はじめに

Kali Linuxは、セキュリティ診断ツールを含むLinuxディストリビューションです。利用の仕方により不正アクセス行為と判断される可能性ががあります。またサービス停止やデータの破損が起こる場合もありますので事前にバックアップを行うなどしてください。そして必要に応じて管理者の許可を得て利用してください。また例えば、Webアプリケーションの診断等始める場合は、徳丸本など参考にして、十分理解してから行ってくださいね。

徳丸試験の紹介と合格する方法
https://spirits.appirits.com/role/engineer/security-engineer/5418/

※新バージョンが出ました、次からは下記のサイトで公開を始めます。
Kali Linux 2020.3 導入と日本語化
https://spirits.appirits.com/role/engineer/security-engineer/5876/

参考：Kali Linux 使い方 書籍紹介
https://spirits.appirits.com/role/engineer/security-engineer/6108/

Kali Linuxの特徴などについて

• Debian派生のLinuxディストリビューションです。
• デジタルフォレンジック、ペネトレーションテスト(侵入テスト)用などのツールが用意されている。
• 現在は、ローリングリリースを採用している。

Kali Linux 公式サイト
https://www.kali.org/

主な収録ツール

Kali Linuxには多数のツールが導入されています。
Nmap、Aircrack-ng、Wireshark、Metasploit Framework、Armitage、Burp Suite、OWASP ZAP、BeEF、sqlmap、wpscan など

※Owasp ZAPについては、Mac版のOWASP ZAPで脆弱性チェックの設定として記事を書いております。

VirtualBox上にインストールする

仮想化ソフトウェア、VirtualBoxをインストールし、Kali Linuxのイメージを導入、起動させます。

VirtualBoxをインストールする

あらかじめ下記サイトからダウンロードを行いVirtualBoxをインストールしてください。
今回は、バージョン6.1.6に、Extension Packを導入してますが最新版で問題ないと思います。

VirtualBox 公式サイト
https://www.virtualbox.org/

Kali Linux イメージファイルのダウンロード

Kali Linux Downloads – VirtualBox Images イメージファイルのダウンロード先
https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/#1572305786534-030ce714-cc3b

記事を確認しなおしてる時点で、直接ダウンロード出来るのはバージョン2020.2です。
(名前の方をクリックしよう。Torrentって書いてある方は、イメージファイルを入手するのに別途アプリが必要です。)

Kali Linux 仮想アプライアンスのインポートと設定

VirtualBoxを起動し、ファイル、仮想アプライアンスのインポートで、先ほどダウンロードしたkali-linux-2020.2-vbox-amd64.ovaを選択しインポートします。

初期設定を行う上では、デフォルトのNAT設定でも問題はないですが、ネットワークの割り当ては、診断対象環境との通信の関係上、DHCPで割り振られる環境などでは ブリッジなどにするなど、実施したいことなどによって変更してください。その他は、好みによって設定を変更します。私はCPUは、2コア使用でメモリを4GBぐらいにしています。

Kali Linux上の設定

Kali Linuxの起動とログイン

起動ボタンを押し、しばし眺めます。
Kali Linuxの起動を行いログインします。Kali Linuxのパスワードは、kaliに設定されています。
　ユーザー名:kali
　パスワード:kali
Usernameに、「kali」と入力し、Passwordに、「kali」と入力しLog Inを押します。

パッケージの更新

最初に既存のパッケージを最新に更新してしまいましょう。
画面左上の黒っぽいアイコンのターミナルを起動します。
そして下記のコマンドを入力します。しばらく時間がかかり、パスワードkaliの入力や、確認のため途中にy、ニュース閉じるのにqの入力が必要となります。

$ sudo apt-get update
$ sudo apt-get upgrade

画面がロックしてしまったら、パスワードを入力して解除しましょう。
また、エラーが出るようでしたら、右上のネットワークの接続について確認してみてください。
ホストPCでインターネットに接続できるようでしたら、一度仮想マシンのネットワーク設定をNATなどにしてみてください。

日本語関連パッケージの導入

ここで日本語関連パッケージをまとめて導入してしまいます。
そして下記のコマンドを入力します。しばらく時間がかかります。

$ sudo apt-get install -y task-japanese task-japanese-desktop

日本語表示の設定

ここで日本語表示の設定をします。
そして下記のコマンドを入力します。

$ sudo dpkg-reconfigure locales

スクロールして、ja_JP.UTF-8 UTF-8をスペースキーで選択、TABキーでフォーカスを変更して、OKでエンターキーを押します。

同じように、ja_JP.UTF-8を選択して、OKです。

また、下記のコマンドを入力します。

$ sudo update-locale LANG=ja_JP.UTF-8

設定が終わったら、リスタートします。

日本語キーボードの設定

日本語キーボードを利用している人が多いと思いますので、キーボードレイアウトを変更します。
メニューから、設定、キーボードを選びます。

まず、システムデフォルトを使用するのチェックを外します。
キーボードレイアウトがUSとなってると思いますので、選択して編集、日本語のキーボードを選んでください。おそらく、日本語(OADG109A)などがほとんどでしょう。

タイムゾーンの設定

次に時刻がずれてると思いますので、タイムゾーンの設定をします。
下記のコマンドを入力します。

$ sudo dpkg-reconfigure tzdata

日本語表示の設定の要領で、アジア、東京を選択します。

Kali Linux 2020.2 導入完了

Kali Linux 2020.2 を、VirtualBoxにインストールし日本語表示、日本語キーボードの利用、日本語変換が行えるようになりました。
バージョン2020.2で追加された機能、ツールは公式ブログの記事、Kali Linux 2020.2 Releaseで簡単に紹介されています。
Kaliの新バージョンをベースにCTFなどに参加してみてはいかがでしょうか。

関連記事など

• 徳丸試験の紹介と合格する方法
• スマホアプリのHTTPS通信をBurp Suiteで確認
• Mac版のOWASP ZAPで脆弱性チェックの設定
• HTTPS使用暗号スイートをサーバーログ記録
• Rubyのサポート期間一覧

脆弱性診断サービスなど

弊社、アピリッツではセキュリティ診断サービスを行っております。
下記リンクから内容の確認と、問い合わせが可能です。

http://security.appirits.com/

この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。

https://github.com/kainosnoema/rack-lineprof

rack-lineprofって？

1行毎の負荷の重みをログ出力してくれるとても便利なgemです。
NewRelicではカスタムしないと出してくれないロジック部分の負荷も詳細に分かるようになります。

どうやって使うの？

githubのREADMEにも書かれていますが、gemをinstallした後に
config.ruに

config.middleware.useラック:: Lineprof

を追記して(このままだと本番環境でも動いちゃうのでそこ辺りは気を付けて)、

curl'http：// localhost：3000 / slow-page？lineprof = active_support / core_ext / string '

というように、lineprof=”負荷を調査したいファイル”というパラメータを追加してAPIを投げるだけです。

使いづらい点

ゲームサーバーに限らず、認証情報などをリクエストヘッダに加えて安全性を高めているAPIだと単純にcurlで叩ける訳でもなく。
一応そういうツールもありますが、認証情報を追加して打ち込むの面倒臭いですし(そもそも暗号化してる認証情報を直で打ち込もうとしたら色々障害があるし)、
クライアント側にお願いしてリクエストにパラメータを一々追加して貰うのもコストとリスクが伴いますし。
また、以下のようにオプション指定して調査ファイルを最初から指定することも出来ますが、これだと指定ファイルを変更したいという時にRailsの再起動が必要ですし。

config.middleware.use Rack::Lineprof, profile: 'active_support/core_ext/string'

どうも、開発環境で使うにはぼちぼちと不便な点があります(そもそもローカルだけで使うようなgemだったりするかもしれませんが)。
じゃあ、どうする？
モンキーパッチだ！！

モンキーパッチ

実際に負荷の計算と出力を制御しているのは、このファイルです。

require 'rblineprof'
require 'logger'
require 'term/ansicolor'

module Rack
  class Lineprof

    autoload :Sample, 'rack/lineprof/sample'
    autoload :Source, 'rack/lineprof/source'

    CONTEXT  = 0
    NOMINAL  = 1
    WARNING  = 2
    CRITICAL = 3

    attr_reader :app, :options

    def initialize app, options = {}
      @app, @options = app, options
    end

    def call env
      request = Rack::Request.new env
      matcher = request.params['lineprof'] || options[:profile]
      logger  = options[:logger] || ::Logger.new(STDOUT)

      return @app.call env unless matcher

      response = nil
      profile = lineprof(%r{#{matcher}}) { response = @app.call env }

      logger.debug Term::ANSIColor.blue("\n[Rack::Lineprof] #{'=' * 63}") + "\n\n" +
           format_profile(profile) + "\n"

      response
    end

    def format_profile profile
      sources = profile.map do |filename, samples|
        Source.new filename, samples, options
      end

      sources.map(&:format).compact.join "\n"
    end

  end
end

端的に言えばリクエストのlineprofを参照してか、それかinitializeした時のオプション指定ファイルに対して負荷調査を仕掛け、そして結果を整形、ログ出力をしています。

これをコピーしてconfig/initializers/以下に置くか、適当な場所に置いてinitializersでrequireするようにするかして(これも本番環境では読み込まれないようにするとか工夫した方が良い)、ソースを上書いてしまいましょう。
あ、後、定数の上書きはwarningが出るので、以下の辺りはコメントアウトしておいた方が良いかもしれません。

 CONTEXT  = 0
    NOMINAL  = 1
    WARNING  = 2
    CRITICAL = 3

そしてファイル指定やログ指定を動的に決定したいという時は、

 def call env
      request = Rack::Request.new env
      matcher = request.params['lineprof'] || options[:profile]
      logger  = options[:logger] || ::Logger.new(STDOUT)

ここ辺りを、

  def call env
      request = Rack::Request.new env
      # RedisManagerはredis操作クラスということで
      survey_file_name = RedisManager.get_cache("survey_file_name")
      matcher =
        request.params['lineprof'] \
        || options[:profile] \
        || survey_file_name
      logger  =
        options[:logger] \
        || select_loggers(survey_file_name) \
        || ::Logger.new(STDOUT)

...

    def select_loggers(survey_file_name)
      ...
    end

こんな感じに変えてしまって。
後はこのredisの中身を管理画面から弄れるようにしてしまえば、好きな時に好きなファイルを開発環境で調査出来るようになります。

……え？　ここまでやったなら出力結果もサーバーに入ってtail -f とかするんじゃなくて、管理画面で見れるようにしたい？
出力したログの内容を管理画面からDLさせるようにするか、それともprofileの結果を別途保存しておいて、管理画面で見せるようにするか。
前者の方が簡単なので、それが出来るならそうした方が良いかと。
ただ、実装している時の自分はどうしてか後者を選んでました。
取り敢えず、format_profileメソッドで作られたログ出力用のものをhtml出力用にするには色々面倒だった事をお伝えしておきます。

この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。

Railsアプリで、開発用の seed として FactoryBot と Gimei を組み合わせて架空のユーザデータを作ったが、ちょっとコツが必要だったのでメモっておく

ポイント

• Gimei のインスタンスを Transient Attribute に割り当てる
• 同一の Transient Attribute から「漢字名」と「よみがな」を生成する

コード

以下のような factory を用意

# spec/factories/account.rb
FactoryBot.define do
  factory :user do
    transient do
      person { Gimei.name }
      address { Gimei.address }
    end

    # ユーザ名
    last_name { person.last.kanji }
    first_name { person.first.kanji }
    last_name_kana { person.last.hiragana }
    first_name_kana { person.first.hiragana }

    # 住所
    prefecture { address.prefecture }
    city { address.city }
  end
end

実行例

factory からデータを生成してみる。

FactoryBot.build_list(:account, 10).pluck(:last_name,:last_name_kana,:first_name,:first_name_kana,:prefecture,:city)
=> [["片桐", "かたぎり", "朋江", "ともえ", "青森県", "横浜市緑区"],
 ["長沢", "ながさわ", "康太郎", "こうたろう", "愛媛県", "秩父郡皆野町"],
 ["堀内", "ほりうち", "善高", "よしたか", "兵庫県", "北相馬郡利根町"], ["福原", "ふくはら", "朋也", "ともや", "京都府", "村山市"],
 ["岩崎", "いわさき", "章太", "しょうた", "高知県", "各務原市"],
 ["榎本", "えのもと", "歩海", "ほのみ", "岩手県", "高浜市"],
 ["岸本", "きしもと", "治", "おさむ", "徳島県", "田原市"], ["亀井", "かめい", "立樹", "たつき", "鹿児島県", "玉名郡和水町"],
 ["本間", "ほんま", "果桜", "かお", "東京都", "山県市"],
 ["吉野", "よしの", "京介", "きょうすけ", "長崎県", "真庭郡新庄村"]]

ちゃんと、漢字名とひらがなの対応が取れている。

参考

• GETTING_STARTED.md at thoughtbot/factory_bot
• ランダムで日本人の名前を返す gem を作った – おもしろwebサービス開発日記

この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。

Action Cableをイケてる構成のrailsで使いこなそう

ActionCable 使ってますか？

Rails5以降から導入されたActionCable
公式ドキュメントではチャットの実装などで使われていますが、色々な使い方ができそうです
sidekiqに投げた処理の結果を非同期で受信するとか

執筆時点では世の中に知見が多くなかったので実装体験記を残します

導入

rails g channel hoge_channelでActionCable導入に必要なアレコレが生成されるよ
ただしcoffee scriptだしSprocketsのアセットパイプラインに乗る形でフロントのスクリプトが吐き出される
(Rails5.2の場合)

うちの案件はwebpack導入してるしcoffe scriptなんて書いた事無い
そんな場合は下記コマンドでライブラリを導入しましょう

yarn add actioncable
または
npm install actioncable

そしてベースとなるcable.jsはこんな感じに
自分はapp/javascripts/channelsディレクトリに設置しました

# app/javascripts/channels/cable.js

import cable from “actioncable”;

let consumer;

function createChannel(...args) {
  if (!consumer) {
    consumer = cable.createConsumer();
  }
  return consumer.subscriptions.create(...args);
}

export default createChannel;

各チャンネルのjsはこんな感じ

# app/javascripts/channels/test_channel.js
import createChannel from “./cable”;    //cable.jsのパスは適宜変更してください
$(function(){
  const channel = createChannel(“TestChannel”, {
    received(message) {
      alert(mesage); # この辺に受信時の処理を色々書く、今回は受信したものを取り敢えずブラウザにアラートとして表示する
    }
  });

  // rubyのactioncableで実装した処理を()呼ぶ
  function method_name(message) {
     channel.perform(“method_name”, { message });
  }
});

ruby側の実装は公式ドキュメントで紹介されている実装から特に変更点はないです

設定

よ～し取り敢えず検証用にデータを受信したらブラウザのアラートに出す機能作ったので動かしてみるか～
おや…動かん…エラーが出てるな

設定に不足がある場合はブラウザのデバッグコンソールに下記のようなエラーが表示されます

WebSocket handshake: unexpected response code: 502

または

WebSocket connection to 'wss://example.com' failed: WebSocket is 'test channel~js'
closed before the connection is estrablished.

色々な記事にdockerで動かしている場合は専用のコンテナ建てろみたいなことを書いていましたが検証の結果不要でした
自分の場合 config.reload_classes_only_on_change が false になっていました
windiwsで開発していた時に変更がホットリロードされなかったのでここの設定弄ったのですがaction_cableの挙動にかかわるようです

その他設定

config/cable.yml でdevelop環境もredisを使用する

development:
  adapter: redis
  url: redis://10.10.3.153:6381 => 方法は自由ですがsidekiqやセッション情報とは異なるURLになるように工夫しましょう
  channel_prefix: appname_development

test:
  adapter: async

production:
  adapter: redis
  url: redis://10.10.3.153:6381
  channel_prefix: appname_production

config/environment/production.rbで自分ドメインからのリクエストを許可する

config.action_cable.allowed_request_origins = ['https://rubyonrails.com', %r{http://ruby.*}]

config/application.rb でrailsアプリケーション上にマウントするパスを指定する

class Application < Rails::Application
  config.action_cable.mount_path = '/websocket'
end 

config/routes.rbにマウントするパスを指定する方法を紹介する記事も見かけましたがたぶんこっちの方が良いと思います

viewファイルのヘッダーに<%= csrf_meta_tags %>を記載する

その他開発環境の設定や本番サーバーの構成によって何かしらの設定が必要になる場合があります
nginxのconfigファイルにリクエストヘッダーの設定書くとか…

うまくAction Cableが動けばRailsコンソール立ち上げて用意したchannelクラスのメソッドを呼んでみるなりなんなりすれば動くはずです
パターンが膨大すぎて個別の症状に応じて苦戦するのはなんだかインフラエンジニアっぽい感じでした
つまりググっても出てこないエラーとの戦いが結構大変だった

この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。

What is the difference between pull request and merge request?

自分がされたり、自分がしたり

そのクエリ参照する変数宣言、一定の時しか必要ないよね？

def create_current_banner_info(user,  now = Time.now)
  user_items = user.items.pluck(:item_code, :quantity).to_h
  BannerMaster.holdings(now).each_with_object([]) do |banner, res|
  if banner.user_condition_need?
    case banner.condition_type
    when :fulfill_item
      next unless user_items[banner.neccesary_item_code].to_i >= banner.nessesary_quantity
    when ...
      ...
    end
  end
  res << banner.as_json(:code, :banner_type, :banner_icon, ...)
end

アイテムを保持しているかで表示するかを分けるバナーって複数あったりもするだろうけど、いつもある訳じゃないよね？
だったら一番上のuser_itemsはnilで宣言しちゃって、 when :fulfill_item の中に入ったところで||=で宣言すれば無駄ないと思うよ。
いやそれよりも、もっと良い方法あるな。
そもそもさ、複数あるって言っても、pluckして必要なデータの取得を最低限にしてると言ってもさ、全部のアイテム参照してるのかなり無駄じゃん。
バナーを表示するかとレスポンス作っているところを一緒くたにしないでさ、先にアイテムが必要なバナーだけを抽出してしまえば、その参照すべきアイテムコード群を取れるよね。そうすれば本当に必要最低限しか取らずに済むよ。
で、今すぐマージ必要？　必要じゃないか、分かった。じゃあお願いします。

先にグルーピングしましょう

def past_events_user_data(user, now = Time.now)
  events = EventMaster.ended(now)
  user_events = user.user_events.where(event_code: events.pluck(:code))
  events.map do |event|
    user_event = user_events.find{ |user_event| user_event.event_code == event.code}
    create_past_event_response(event, user_event)
  end
end

ソースコードの重みってクエリ参照が一番でかいけど、コード自体の重みも結構馬鹿にならないんだよ。
ここだと、eventsの数だけfindの線形探索が走っちゃうから計算量がO(n² ) であんまりよろしくない。
なのでuser_eventsを参照しているところで、index_by(&:event_code)をしておけば、後のfindを消せて、user_event = user_events[event.code] と綺麗に済ませられる。ハッシュ検索はO(1)だから、これなら計算量をO(n)まで落とせた。

混乱するかも

def lottery_apple(user, event_code, index)
  user_received_apples = user.user_apples.where.not(received_at: nil).where(event_code: event_code, apple_index: index)
  AppleMaster.lottery_no_duplicate(event_code, index, user_received_apples)
end

...

def lottery_orange(user, event_code, index)
  user_received_oranges = user.user_oranges.where.not(received_at: nil).where(event_code: event_code, orange_index: index)
  OrangeMaster.lottery_no_duplicate(event_code, index, user_received_oranges)
end

……あ、これ上のコードのindexと下のコードのindexの意味合い違うのね。
同じファイル内にあるソースならちゃんと変数名変えておいた方が良いと思うよ。

消すよりコメントアウトの方が時には良い

enum 1,  :new
enum 2,  :intensive
enum 3,  :course
enum 4,  :obliteration
enum 5,  :lenthal
enum 6,  :environmental
enum 8,  :search
enum 10, :end
enum 11, :alternate
enum 12, :dead_s

これ、7と9が抜けたの後から見たら理由が良く分からないしログ追うハメになるから、コメントアウトの方が良いかな。

後置ifはほどほどに

return long_method(argument1, argument2) unless too_long_long_methooooooooooooooooooooooood?(argument3, argument4)

流石にこれだと長いから、後置ifじゃなくて普通にif~endで囲もうか。その方が直感的な理解が早い。
というかrubocop怒られなかった？　……あら、無いのか。
付けようとすると……あー、駄目だ、案の定たっぷり出たわ出たわ。
issue化しておこうか(そして誰もやらない)。