アカウント名:
パスワード:
長いですねぇ。(笑)
それはともかく、実はセキュスタ2004で今回のリリースに近い状態を実現しています。下記のリンク先にあるレポートをたどっていただけば、リリースの意味が理解しやすいかもしれません。(本当はそこまでしなくてもオリジナルのリリースと図を見てもらえば意味が通じると思うのですが)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
新しい防御手段 (スコア:0)
(#1038757)> ここに書くのもなんだけど、Xiaolangじゃないのかなあ。
CCさくら第2巻P57を見ましょう。小狼君は SYAORAN なのです。
(#1038846)> 公開鍵認証を使う方式では、公開鍵を盗まれるかもしれません。
ほぇ~。書き間違えた~。(笑)
(#1038860)> はあ。ともよちゃんには脆弱性もないしゼロディもアリエナイよと。
カーネルに脆弱性が無いというのは前提なんでしょうね。
SELinux でも LIDS でも TOMOYO でも Windows でも・・・。
(#1038916)>こんな感じ?
そうです。ありがとうございます。
(#1039013)> # 一度でも認証に失敗したら数秒で発動し、3日間はIPアドレスごと無視されるという...。
それってDHCPみたいな環境だと困りますね。
攻撃者が試行して ban されたIPアドレスがその後正規の利用者に割り当てられたら
正規の利用者でも接続できなくなってしまいます。
「認証に失敗したらアカウントをロックするべきか否か」という話もありますが、
ログイン後に追加認証を行う方式なら最初の認証に失敗しても
アカウントのロックやIPアドレスの ban をしないで大丈夫です。
もっとも、最初から接続元IPアドレスが固定されているなら iptables で
フィルタすればいいのでしょうけど。
(#1039199)> #Ctrl^Cしてしまいそうなので
C-c というのは100マス計算のほうですよね?
追加認証は C-c で回避することはできませんよ。
認証に成功したら新しいプログラム(シェル)を起動するだけですから。
で、ここからが本題です。
SSH サービスを保護する手段はいろいろあるでしょう。
接続元ポート番号による制限をすれば攻撃者に1回も認証をさせないことが可能です。
http://kumaneko-sakura.sblo.jp/article/1275428.html [kumaneko-sakura.sblo.jp]
論文では適用不能と考えられていた scp や sftp に対する適用も
制約が増えるものの適用可能だということが判りました。
http://kumaneko-sakura.sblo.jp/article/1450568.html [kumaneko-sakura.sblo.jp]
今回開発されたプロトタイプのソースではありませんが、
論文発表時に使用したプロトタイプのソースは既に公開されています。
ソースは http://osdn.dl.osdn.jp/tomoyo/21579/ccs-tools-1.2-20060903.tar.gz [osdn.jp] です。
http://kumaneko-sakura.sblo.jp/article/372199.html [kumaneko-sakura.sblo.jp] から始まる
一連の投稿で使い方を紹介しています。
強制アクセス制御が無いと「強制」はできませんが、追加認証の柔軟さを体感できるでしょう。
Re:新しい防御手段 (スコア:1)
長いですねぇ。(笑)
それはともかく、実はセキュスタ2004で今回のリリースに近い状態を実現しています。下記のリンク先にあるレポートをたどっていただけば、リリースの意味が理解しやすいかもしれません。(本当はそこまでしなくてもオリジナルのリリースと図を見てもらえば意味が通じると思うのですが)
http://www11.plala.or.jp/tsh/ss2004.html [plala.or.jp]tsh