パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

はてなのサーバーに不正侵入」記事へのコメント

  • by Anonymous Coward on 2007年03月15日 8時01分 (#1126269)
    一次ソース [hatena.ne.jp]
    • by Anonymous Coward on 2007年03月15日 9時02分 (#1126294)
      トップページ [hatena.ne.jp]に告知があるべきですよね。

      すくなくとも、現時点では、ありません。
      親コメント
    • 基本的に、sshで鍵認証のみ許可とか、ものによってはネットワークごしのログイン不可、なんでしょうね。
      • by shojin (28072) on 2007年03月15日 13時22分 (#1126467) 日記
        『社内で定めておりますセキュリティポリシーが一部正しく遵守されていない状態』と言っているので、sshでパスワード認証によりログインできるというのはポリシーを守っていない状態なんでしょうね。それから推察するとsshでは公開鍵認証を使うべしというのがポリシーだったのでしょうね。

        まあ、パスワード認証が空いた状態になるありがちな設定ミスはusePAM yesですね。
        PasswordAuthenticationやChallengeResponseAuthenticationは設定ファイルをみると一目瞭然なのですぐにnoにしますが、usePAMというのは一見そういうのには見えませんから。しかし、多くのsshd用のPAMの設定にはパスワードで認証するものが普通に入っているので、これを殺しておかないとパスワード認証が許されてしまうのです。
        ちなみに、あるホストがパスワード認証を許さない設定かは秘密鍵の名前を変えて使えないようにした上でそのホストにsshすると、『Permission denied (publickey).』と表示されるのでわかります。これを応用すると公開鍵認証設定自動調査プログラムを作れますね。
        親コメント
        • 秘密鍵の名前を変えて使えないようにした上で
          ssh -i non-existent-filename -o PreferredAuthentications=publickey ...

          とかすると、わざわざ秘密鍵の名前を変えなくてもいいし、サーバーへの負担もへるのでは? それとプログラムを作るのであれば Python で twisted [twistedmatrix.com] あたりを使ってもいろいろできそうですね。ドキュメント足りなすぎだけど。

          親コメント
          • ssh -o PreferredAuthentications=keyboard-interactive,password ホスト名
            ではないのですか?

            目的は『公開鍵認証ができるかを調べる』ことではなくて、『パスワードを使った認証ができない』ことを調べるので下記のオプションの使い方は少し違うかと思います。
            実際、FreeBSD 6.2RのOpenSSHを使って調べたところ、下記の方法では-iが失敗した時点でいつも使っている秘密鍵を使ってログインしてしまいます。
            > ssh -i non-existent-filename -o PreferredAuthentications=publickey ...
            親コメント
        • わざわざ注意書きまでしてあるusePAMが無関係なんてどこに目が憑いてるんだろうかと思うのは別としても、
          バージョンが同じでもバックポートされてる事もあるし挙動は同一なわけでもない。最後の段落についても同様。
          • 某所で管理させられているDebianサーバーのsshd_configには何の注意書きもコメントもないですね。
            一方、生活OSであるFreeBSDのsshd_configにはPAM認証がChallengeResponseAuthenticationやPasswordAuthenticationをバイパスする旨が明記されています。
            まあ、ディストリビューションによってはそんな注意を促してくれないので自分で注意しましょうということで。
            親コメント
            • by Anonymous Coward on 2007年03月15日 21時14分 (#1126704)
              UsePAMのコメントって、
              # Set this to 'yes' to enable PAM authentication, account processing,
              で始まるものでしょうか?

              Debianのパッケージをみたのですが、オリジナルのソースに付属のsshd_configを利用せず、postinstファイルでシンプルなものを生成・加工しているようです。それはそれで理由があるとは思いますが、オリジナルのsshd_configのコメントを捨てるのはもったいなさすぎ。
              親コメント
        • 設定を変えたときにそれを日本語で丁寧に文書化して、何を設定したのかわかりやすく解説してくれるソフトがあればおじいちゃんにも安心だ。
      • by Anonymous Coward on 2007年03月15日 13時57分 (#1126488)
        ちなみにsshの「パスフレーズ」というものは一般に言うパスワードとは異なり、手元の鍵の封印を解くための呪文です。

        認証自体に直接関係あるのは鍵だけで、パスフレーズは関係ありません。鍵が盗まれたときの対策、ですかね。

        パスフレーズ入力中に「闇の力を秘めし鍵よ(中略)レリーズ」と言うの禁止。
        親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...