SSH その7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2010/02/16(火) 21:23:37FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
0002名無しさん@お腹いっぱい。
2010/02/16(火) 21:25:21Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
0003名無しさん@お腹いっぱい。
2010/02/16(火) 21:26:20本家ssh.com
http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
http://hp.vector.co.jp/authors/VA002416/
http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/
PortForwarder
http://www.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html
0004名無しさん@お腹いっぱい。
2010/02/16(火) 21:27:05・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
・RFC4251: The Secure Shell (SSH) Protocol Architecture
・RFC4252: The Secure Shell (SSH) Authentication Protocol
・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
・RFC4254: The Secure Shell (SSH) Connection Protocol
・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
Key Fingerprints
・RFC4256: Generic Message Exchange Authentication for the Secure
Shell Protocol (SSH)
WideのSSH解説
http://www.soi.wide.ad.jp/class/20000009/slides/12/
◇おまけ
Theoのキチガイぶり
http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
http://www.qmail.org/djbsssh/
00051
2010/02/16(火) 21:28:09面倒糞くなったのでそのままコピペしました。
後よろしく。
0006名無しさん@お腹いっぱい。
2010/02/16(火) 21:33:26最低限次のような対処をしておきましょう。
ttp://www12.atwiki.jp/linux2ch/pages/141.html
●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する
●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。
特定の接続元からの接続を拒否する
ポートを変える
0007名無しさん@お腹いっぱい。
2010/02/17(水) 14:12:38乙
0008名無しさん@お腹いっぱい。
2010/02/17(水) 20:17:480009名無しさん@お腹いっぱい。
2010/02/17(水) 22:27:200010名無しさん@お腹いっぱい。
2010/02/18(木) 00:13:170011名無しさん@お腹いっぱい。
2010/02/18(木) 00:19:240012名無しさん@お腹いっぱい。
2010/02/18(木) 00:20:21俺もそうおもってた。。。。
でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに
0013名無しさん@お腹いっぱい。
2010/02/18(木) 12:41:47パスワード認証を暗号化したところで
ブルートフォースアタックには無力
0014名無しさん@お腹いっぱい。
2010/02/18(木) 12:47:360015名無しさん@お腹いっぱい。
2010/02/18(木) 12:57:25それを言うなら公開鍵もブルートフォースで破れる
0016名無しさん@お腹いっぱい。
2010/02/18(木) 12:59:580017名無しさん@お腹いっぱい。
2010/02/18(木) 13:15:120018名無しさん@お腹いっぱい。
2010/02/18(木) 14:38:16ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは
0019名無しさん@お腹いっぱい。
2010/02/18(木) 15:05:510020名無しさん@お腹いっぱい。
2010/02/18(木) 15:31:370021名無しさん@お腹いっぱい。
2010/02/18(木) 15:41:53いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない
0022名無しさん@お腹いっぱい。
2010/02/18(木) 15:52:31ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉〜な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません
0023名無しさん@お腹いっぱい。
2010/02/20(土) 19:40:35Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers root
# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
0024名無しさん@お腹いっぱい。
2010/02/20(土) 19:43:11PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか??
disconnected no supported authentication methods available
って表示されてしまいます。
0025名無しさん@お腹いっぱい。
2010/02/20(土) 20:55:09ssh2で接続してないからだな
0026名無しさん@お腹いっぱい。
2010/02/20(土) 21:40:420027名無しさん@お腹いっぱい。
2010/02/21(日) 00:41:06違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな??
0028名無しさん@お腹いっぱい。
2010/02/21(日) 02:45:270029名無しさん@お腹いっぱい。
2010/02/21(日) 11:54:43ある日突然connection refusedのエラーが出て接続できなくなりました。
ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。
ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。
0030sshd 起動するだけじゃん
2010/02/21(日) 12:02:02> ある日突然(ry
そのあいだにやったことを書けば解決できるじゃろ
0031名無しさん@お腹いっぱい。
2010/02/21(日) 12:10:18HP-UX知らないやつは手を出すなよ、壊すから
0032名無しさん@お腹いっぱい。
2010/02/21(日) 13:16:06>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。
>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。
使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。
0033名無しさん@お腹いっぱい。
2010/02/21(日) 19:16:210034名無しさん@お腹いっぱい。
2010/02/21(日) 19:25:4710.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。
とりあえずinit.dの場所が違うのが分かったので明日調べてみます。
そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。
0035名無しさん@お腹いっぱい。
2010/02/21(日) 20:19:13http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか?
OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か?
0036名無しさん@お腹いっぱい。
2010/02/21(日) 20:22:080037名無しさん@お腹いっぱい。
2010/02/21(日) 20:45:14・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh
0038名無しさん@お腹いっぱい。
2010/02/21(日) 20:56:35そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。
>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。
>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。
0039名無しさん@お腹いっぱい。
2010/02/21(日) 21:10:010040名無しさん@お腹いっぱい。
2010/02/21(日) 21:13:410041名無しさん@お腹いっぱい。
2010/02/22(月) 02:53:56> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。
0042名無しさん@お腹いっぱい。
2010/02/22(月) 10:10:09sftp only?
0043名無しさん@お腹いっぱい。
2010/02/22(月) 10:19:430044名無しさん@お腹いっぱい。
2010/02/22(月) 17:53:23> ・Portは22以外にする
> 意味無し
>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。
>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。
0045名無しさん@お腹いっぱい。
2010/02/22(月) 18:31:42稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。
0046名無しさん@お腹いっぱい。
2010/02/22(月) 18:49:340047名無しさん@お腹いっぱい。
2010/02/22(月) 18:54:180048名無しさん@お腹いっぱい。
2010/02/22(月) 18:56:05まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。
効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。
0049名無しさん@お腹いっぱい。
2010/02/22(月) 19:00:51ログが多かろうと少なかろうと違いはない
ということだな
0050名無しさん@お腹いっぱい。
2010/02/22(月) 19:06:33ログ減らせるとか喜んでる奴、恥ずかしくないのか?
0051名無しさん@お腹いっぱい。
2010/02/22(月) 19:08:25某スレで、送信元IPアドレスでフィルタリングしちゃう
(= 許可されたIPアドレス以外は認証すらしない)
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ?
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら
もー、初心者扱いされてまいったよ。
死ねだのタコだの。もうね。。
0052名無しさん@お腹いっぱい。
2010/02/22(月) 19:11:510053名無しさん@お腹いっぱい。
2010/02/22(月) 19:18:39OpenSSHサーバだけど、公開鍵認証でもログ残るよ?
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)
ちなみに僕ちんはファイアウォールでもログ残しているよ。
■ このスレッドは過去ログ倉庫に格納されています