2017/12/11にSapporo.aws 第1回 AWS re:Invent 2017 報告会を開催しました！ 

といっても私は当日に受付をしていたくらいです。次回からはもう少し関わっていく予定です。

https://sapporo-aws.connpass.com/event/72537/ 

今回はクラスメソッドのみなさんにre:Inventで発表されたAWSの新サービスやアップデートについてお話していただきました。

re:Inventに行っていない私にとっては、とても貴重な時間でした。

以下、受付をしながら書いていたメモです。

Amazon GuardDutyがリリースされました。
Amazon GuardDutyは、AWS環境でVPCフローログなどを分析や処理をする継続的なセキュリティモニタリングサービスです。

Amazon GuardDuty とは

http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/what-is-guardduty.html

有効にする方法はとても簡単で、マネジメントコンソールからAmazon GuardDutyのページにいき、「Enable GuardDuty」をクリックするだけです。

「Get Started」をクリックします。

「Enable GuardDuty」をクリックします。

有効になりました。

いろいろクリックして確認してみました。
まず、左の「General」をクリックしました。


「View service role permissions」をクリックすると、GuardDutyが使うIAM Roleが確認できます。


IAM Roleを右上の×で閉じた後に、「Generate sample finding」をクリックするとサンプルが表示されるようになります。

「Generate sample finding」をクリックした後に、左の「Current」をクリックするとサンプルを確認することができます。

適当に1つクリックしてみると右に詳細が表示されます。


左の「Details」をクリックすると現在の使用料金が確認ができます。

なにも料金を考えずに有効にしてましたが、30日間の無料期間がありました、よかったよかった。

Amazon GuardDuty Pricing

https://aws.amazon.com/guardduty/pricing/

左の「Lists」をクリックすると許可や拒否リストを作成できます。

正直、AWS内でどのくらいセキュリティインシデントが起きているかは不明ですが、重要なシステムが稼働しているAWSアカウントでは有効にした方がよいと思います。

Amazon Time Sync Service がリリースされました。

AWSのVPC内で稼働するサーバであれば169.254.169.123を指定することでNTP同期を行うことができます。

Amazon Time Sync Service で時間を維持する

https://aws.amazon.com/jp/blogs/news/keeping-time-with-amazon-time-sync-service/

まずは、ntpdで設定してみます。

今の設定を確認します。

[ec2-user@ip-10-0-0-187 ~]$ ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 v157-7-235-92.z 103.1.106.69     2 u   22   64    1    1.691    3.289  59.543
*ec2-13-115-152- 133.243.238.243  2 u   30   64    3    2.579  -12.446   1.165
 va157-7-235-92- .INIT.          16 -    -   64    0    0.000    0.000   0.000
 b.hnd.pobot.net 71.80.83.115     2 u   26   64    3    2.908    0.203   1.145

[ec2-user@ip-10-0-0-187 ~]$ cat /etc/ntp.conf

：

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.amazon.pool.ntp.org iburst
server 1.amazon.pool.ntp.org iburst
server 2.amazon.pool.ntp.org iburst
server 3.amazon.pool.ntp.org iburst

：

serverの後にNTP同期をするサーバが指定されています。

デフォルトでは、x.amazon.pool.ntp.org(xは0-3)が指定されています。

設定方法は、以下の設定を/etc/ntp.confに追加するだけです。

server 169.254.169.123 prefer iburst

[ec2-user@ip-10-0-0-187 ~]$ sudo vi /etc/ntp.conf

：

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 169.254.169.123 prefer iburst
server 0.amazon.pool.ntp.org iburst
server 1.amazon.pool.ntp.org iburst
server 2.amazon.pool.ntp.org iburst
server 3.amazon.pool.ntp.org iburst

：

NTPサービスを再起動します。

[ec2-user@ip-10-0-0-187 ~]$ sudo service ntpd restart

Shutting down ntpd:                                        [  OK  ]
Starting ntpd:                                             [  OK  ]

NTPの同期状況を確認します。

[ec2-user@ip-10-0-0-187 ~]$ ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*169.254.169.123 10.66.1.102      3 u   47   64    1    0.206   -4.391   0.041
 45.76.98.188.vu .INIT.          16 u    -   64    0    0.000    0.000   0.000
 203-137-182-228 133.243.238.243  2 u   47   64    1    5.471   -4.446 105.489
 v157-7-153-56.z .INIT.          16 -    -   64    0    0.000    0.000   0.000
 jp.dan.me.uk    140.203.204.77   2 u   43   64    1    2.306   -4.313   0.057

169.254.169.123とNTP同期するようになりました。(左に*がついているサーバと同期しています)

ntpdの対応はここで終わりです。

AWSのブログを確認すると以下のように書いてありました。

chrony は ntpd が使用する NTP の実装とは異なり、システムクロックを ntpd より速くより正確に同期させることができます。ntpd を使用する理由が特になければ chrony を使用することをお勧めします。

ということで、ここからはntpdからchronyへの変更もやってみます。

まず、ntpdの削除をします。

[ec2-user@ip-10-0-0-187 ~]$ sudo yum erase ntp*

：

Is this ok [y/N]: y　この文言が出たら"y"を入力してEnter　(オプションで -y を入れればよかったかも)

：

chronyをインストールします。

[ec2-user@ip-10-0-0-187 ~]$ sudo yum -y install chrony

chronyを起動します。

[ec2-user@ip-10-0-0-187 ~]$ sudo service chronyd start

Starting chronyd:                                          [  OK  ]

同期状態を確認します。

[ec2-user@ip-10-0-0-187 ~]$ chronyc tracking

Reference ID    : A9FEA97B (169.254.169.123)
Stratum         : 4
Ref time (UTC)  : Sat Dec 02 13:20:59 2017
System time     : 0.000000002 seconds fast of NTP time
Last offset     : -0.000005172 seconds
RMS offset      : 0.000005172 seconds
Frequency       : 26.011 ppm slow
Residual freq   : -0.001 ppm
Skew            : 51.519 ppm
Root delay      : 0.002191567 seconds
Root dispersion : 0.003277793 seconds
Update interval : 1.7 seconds
Leap status     : Normal

[ec2-user@ip-10-0-0-187 ~]$ chronyc sources
210 Number of sources = 5
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.169.123               3   6   177    52  -1417ns[  -19us] +/- 1348us
^- sv1.localdomain1.com          2   6   177    53   -125us[ -143us] +/-   26ms
^- ec2-54-64-6-78.ap-northe>     2   6   177    55   -928us[ -946us] +/-   49ms
^- mzh.io                        2   6   177    51  +1913us[+1913us] +/-  184ms
^- extendwings.com               2   6    35   111    -26ms[  -26ms] +/-   39ms

もうすでに、169.254.169.123と同期されています。

念のため、設定ファイルを確認してみます。

[ec2-user@ip-10-0-0-187 ~]$ cat /etc/chrony.conf

# use the local instance NTP service, if available
server 169.254.169.123 prefer iburst

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
pool 2.amazon.pool.ntp.org iburst

：

ちゃんと169.254.169.123が指定されています。

設定変更は簡単にできましたので、今後はchronyを使う方がよいと思います。