パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「よく使われる危険なパスワードTop500」にご注意を」記事へのコメント

  • 実体験 (スコア:5, 参考になる)

    サーバをインストールして、先方に渡し、
    DCに設置してもらってネットにつながってから色々作業しようと思ってました。
    で、rootのパスワードに「123456」を設定してました。

    メールで「ネットにつなぎましたよー」と連絡もらって、
    さあ作業しようと思ったらログインできません。ぎゃふん。
    東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
    同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。

    ワームに犯された上、ルートキットを孕ませられてしまったので、
    passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
    のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
    泣きべそ書きながらrsyncでルートキットを駆除しました。
    • Re:実体験 (スコア:4, 参考になる)

      by Dobon (7495) on 2009年01月06日 23時45分 (#1486498) 日記
      いまどき、パスワードでログイン可能にする方が馬鹿です。
      sshを公開鍵認証のみ受け付けるよう設定しないと、間違いなく食い破られます。

      新規にIPをもらってサーバを建てても、半日~1日でログインに失敗したログが現れます。
      日本人らしき人名とか、よくあるシステムIDとか、ゾロゾロ、ゾロゾロと。

      # 怖いのは、相手側のIPアドレスがことごとく異なること。 この攻撃者は、一体、何台のPCを手下にしているのだろう?
      --
      notice : I ignore an anonymous contribution.
      親コメント
      • Re: (スコア:0, フレームのもと)

        パスワードログインでもtcp_wrapperをかければ十分だと思います。
        それは人それぞれの運用です。それをバカ呼ばわりするのはどうでしょうか?
        • Re:実体験 (スコア:4, 参考になる)

          by Dobon (7495) on 2009年01月07日 2時44分 (#1486564) 日記
          |tcp_wrapperをかければ十分
          rootkit仕掛けられても再インストールしない人に言われても説得力が無いなあ[笑]。
          侵入されてるでしょ? 十分じゃなかったって事でしょ?

          まず、その手のフィルタは補助でしかない。本気で狙われたら突破される。

          現在の分散攻撃に対しては8~10桁のパスワードなど無力です。(半月保たないかもしれない)
          この状況で、データセンタに設置したマシンがパスワード認証だぁ?
          馬鹿以外に何と呼べと?
          ※パスワードだけで運用可能なのは、ファイアウォールの内側だけです。(しかも、内部でのウィルス対策が行われているという前提が必要)

          1) 認証は公開鍵認証に限定する。鍵の長さはシステムが許す限り長くする。
            これが基本。最後の砦。他の対策が全て転けても、最後はココで手間取る筈。
          2) リモートログイン可能なユーザからrootは必ず除外すること。
           ・破られた時の嫌がらせ程度の効力しかないけど、一応やっとく。
          3) 一般ユーザは各自のhomeに閉じ込めること。
            ファイル転送用途だけの場合はscponlyなどの転送用途に限定されたシェルを使用する。
          4) 不要なポートは全て閉じる。 無いと本当に困るものだけを残す。
          5) まともなルータが使える場合、sshのログインをルータのVPN経由の接続に限定する(IPsec推奨)。
            ・イーサネットの口が2口ある場合、物理的にセグメントを分離して接続すると設定が楽
          6) 可能ならばルータでNATをかける。
          7) iptablesなどのフィルタが利用できる場合は設定する。

          これで最低限だと思う。(細かい対策を始めたら際限ないけど)

          |東京から横浜まで行ってもらい
          「先方」というのが顧客だったら、うちでは間違いなく始末書ですね。
          んで、顛末書を作成し、客に提出して平謝りです。 正直、そんな事態だけは避けたい。
          --
          notice : I ignore an anonymous contribution.
          親コメント
          • >※パスワードだけで運用可能なのは、ファイアウォールの内側だけです。
            >(しかも、内部でのウィルス対策が行われているという前提が必要)

            そうなんですよ,できればサーバにログインするためのアカウントだけでなく
            ウェブサービス全般へのログインについても本当は証明書で運用したいんだよなぁ.
            パスワードの長さとか文字種とかであからさまに弱すぎるパスワードは
            設定できないようにしたり,一定期間たったら変更してくれるように
            促すメッセージは表示しているものの,基本的にユーザ任せですからね・・
            --
            屍体メモ [windy.cx]
            親コメント
          • by Anonymous Coward
            >>本気で狙われたら突破される
            その本気の狙い方を教えて下さい
            • by Anonymous Coward
              たとえば、アクセスを許可しているIPアドレス範囲内の端末 / サーバーを踏み台にされたら駄目でしょう。

              この場合、すでに1台がやられている訳なので、同じように運用している端末 / サーバー がやられる可能性は、他の人が運用している端末 / サーバーよりも高いでしょう。

              そもそもこの方がリモートでアクセスしている端末が既にやられている可能性もあるわけで・・・

              # セキュリティは想定しうる“可能性”を潰すことと心得る
              • by Anonymous Coward
                可能性があることと本気を出せば突破できることは違うのでは。
                僕はIPアドレス制限をちゃんとかけてあるサーバにクラックする方法を知りません。
                その方法が知りたいのです。
              • by Anonymous Coward
                > たとえば、アクセスを許可しているIPアドレス範囲内の端末 / サーバーを踏み台にされたら駄目でしょう。

                えーと、そんなことを言い出したら、公開鍵認証を使っていたとしても、
                サーバの公開鍵と対をなす秘密鍵が入った端末・サーバが踏み台にされたと
                考えてみるとどうでしょうか?

                ついでに言えば、踏み台にしなくても、その秘密鍵を別環境にコピーして
                使えば踏み台も何もいらないですね。

                そこまで想像できませんか?
              • by Anonymous Coward
                たとえば、「IPアドレス制限をちゃんとかけてあるサーバ」に接続するクライアントPCをユーザーが使用中、トイレやちょっと電話で席を離し、その隙に悪意ある同僚や家族がルートキットやバックドアを仕組み、踏み台とすればサーバにアクセスできるでしょ。

                あるいは、許可しているIPアドレス範囲のネットワークに悪意あるコンピューターが接続してくれば、安易なパスワードを平文で扱っていたりすれば突破されるよ・・・。こういうソーシャルハッキング的行為が組み合わさるとIPフィルタでは防げませんよね。

                もちろんこの場合、前者なら他人が入れない場所にPCを
              • by saitoh (10803) on 2009年01月07日 9時59分 (#1486646)
                ただの屁理屈じゃん。 明示的には書いてはないが当然、「チャンと管理されたマシンのIPアドレスだけ通すように」tcp_wrapperを設定した場合に、「登録されてないIPアドレスのマシンからsshで」侵入可能か?って話でしょ。

                tcpwrapperに登録されたマシンが踏み台にされた場合とか、ssh以外のセキュリティホールを突かれた場合に、sshdへのtcpwrapper設定が意味を持たないのは自明。

                親コメント
              • Re:実体験 (スコア:2, 参考になる)

                by Ryo.F (3896) on 2009年01月07日 10時26分 (#1486658) 日記

                侵入可能か?って話でしょ。
                可能なんじゃないですか?
                TELNETじゃなく、SSHを使う理由は、一つには通信経路が信用できないから、暗号化したい、ということですよね。
                信用できない通信経路には、途中に何を仕掛けられるか判りませんよね。IPアドレスを偽って侵入しようとするクラッカーもいるかもしれません。
                以前、『データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は? [srad.jp]』って話もありましたので、可能性が低い、と言い切れる話でも無いと思います。
                親コメント
              • 送信元IP詐称は古くからある方法だよ。
                そもそもIPパケットは送信元が何であれ届くので、TCPの(以下検閲)を推測して(以下検閲)ばできる。乱数の出来が悪い事がセキュリティホールになる理由の一つだけど、別に乱数の出来が悪くなくても数撃ちゃ当たるのでそういうプログラムを回しておけばクラックできる。その時に推測しなきゃならない空間がよくある暗号に比べてもものすごーく小さいのでIP制限だけというのはかなり脆弱といえる。
                ※あー、上の内容はそのままでは別の攻撃と同義なので実際にやるとすぐバレるよ。
                親コメント
              • by Anonymous Coward
                その論法の行き着く先はサイバーノーガード戦法やで。
              • by Anonymous Coward
                そうじゃなくて、tcp_wrapper+sshパスワード認証が無力だから使うのは馬鹿、
                ssh公開鍵認証が安全だという論拠が賢明ではないということ。
                他人をバカ呼ばわりするほど、書いている本人は優れていないよということ。

                何が安全で何がダメ、という話とはまた別。
          • by Anonymous Coward
            >>|tcp_wrapperをかければ十分
            >rootkit仕掛けられても再インストールしない人に言われても説得力が無いなあ[笑]。
            >侵入されてるでしょ? 十分じゃなかったって事でしょ?

            sayuぽるのもとい、sayupornではないACですが、rootkit仕掛けられた時の話と、
            その後の対策の話が前後していませんか?
            sayupornの話では、tcp_wrapperも使わず、パスワードも安易すぎるもので
            グローバルなネットに繋げていたから侵入されたんですよね。

            tcp_wrapperをかけていて侵入されてrootkitを仕掛けられたのではないと思うよ。

            >まず、その手のフィルタは補助でしかない。本気で狙われたら突破される。
            • by Dobon (7495) on 2009年01月07日 16時54分 (#1487061) 日記
              ACに対しては基本的に返事をしない事にしていますが、一言だけ。

              iptablesが何か調べてから書き込んでください。

              # いまどき、tcp_wrapper は使われません。使うとしたらipfwやiptablesが使えない様な特殊な場合のみ。
              --
              notice : I ignore an anonymous contribution.
              親コメント
              • by Anonymous Coward
                > ACに対しては基本的に返事をしない事にしていますが、一言だけ。

                逃げですか。
                たかが知れますね。
                ちゃんと反論できる知識は提供できませんか、そうですか。

                >iptablesが何か調べてから書き込んでください。
                > # いまどき、tcp_wrapper は使われません。使うとしたらipfwやiptablesが使えない様な特殊な場合のみ。

                だから、ipfwやiptablesでも問題は変わりませんって。

                分散攻撃でtcp_wrapper+sshパスワード認証が無力になる理由を示して欲しい
                ということなんですが、たぶん知っているキーワードを並べただけだったんですね?

                それに、秘密鍵が保存されている端末がやられたら、公開鍵
              • by mocchino (13752) on 2009年01月09日 12時14分 (#1488342)
                IPでアクセス規制されたところにどうやってクラックするのか
                パスワードと認証キーでどう異なるのか
                私も興味ぶかかったので一連の発言おってみたけど、結果は提示されなかったんですね
                送信元IP偽造って話もあったけど、その場合応答パケットが送信元に届かないので
                クラックという面では意味が無い
                DDOSアタックに使うならそれでいいんだけど

                認証って面では公開キー暗号方式の場合、どうやって秘密キーを管理するか
                と言うのが最大の問題点になりますから、リモートでインターネットを使って
                メンテナンスするという話であれば私はそれは使いませんねぇ~
                PC側に秘密キーを入れておくとかだと、それはそれで端末側をやられた場合危険でしょうから
                今ならトークン持って、特定ユーザーにワンタイムパスワードが最低条件でしょう
                個人で使うならそもそもリモートから管理するというのは考慮外
                だって家に帰ればおいてあるのにリモートでメンテナンスやる必要がないですから
                サーバーのサービスを使うことはあっても使わないサービス以外はルータで遮断でしょう
                sshなんて遮断の筆頭候補ですよね
                親コメント
              • by mocchino (13752) on 2009年01月09日 12時33分 (#1488360)
                >その場合応答パケットが送信元に届かないのでクラックという面では意味が無い

                あぁそういえば昔は意味がありましたね、シーケンス番号予測して応答来たものとして
                投げ続けるとか
                もう対策済みでほぼ不可能だけど
                親コメント
        • Re:実体験 (スコア:2, すばらしい洞察)

          by Anonymous Coward on 2009年01月07日 0時13分 (#1486512)
          いい迷惑だからそういう人はサーバの運用はやめていただきたい。
          ほんとに冗談じゃなく。絶対にやめてください。

          二度とするな。
          親コメント
          • Re:実体験 (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2009年01月07日 1時04分 (#1486532)
            ろくな対策もせずにrootkit仕込まれた挙句踏み台にされて
            他のサーバにアタックかける手下にされてしまうような状況が発生したら
            被害者で済まなくなってしまいますよね。
            例え不正アクセスの被害を受けたサーバの管理者であるとしても
            対策の甘さと不正アクセスのアクセス元という状況が揃えば
            賠償請求の対象になりかねません。
            セキュリティ管理の甘い人にサーバ管理者に
            なってもらいたくないのもわかります。
            ただ、文章の書き方に関しては
            もう少し配慮した方が良いのではないでしょうか。

            こんなのにマジレス返すのが悔しいのでAC
            親コメント
        • by Ryo.F (3896) on 2009年01月07日 0時27分 (#1486518) 日記

          パスワードログインでもtcp_wrapperをかければ十分だと思います。
          でも、侵入されてしまったんですよね?tcp_wrappersを仕掛けていなかったのでは?であれば…

          私だったら、最低でも、
          1. rootのリモートパスワードログインを禁止して、
          2. suできる唯一の一般ユーザを推測され難いユーザ名で作成し、
          3. iptablesでリモートログインを許可するIPアドレスを制限する
          くらいのことはしますね。もちろん、すべてのパスワードは推測し難いものにします。

          $ base64 /dev/urandom | head
          の出力などから、適当な長さの文字列を切り出して使います。
          インターネットからのリモートログインを許可するなら、(アドレス制限するとしても)パスワードログインは許可しませんね。SSHの公開鍵認証の方がパスワード(パスフレーズ)の管理が楽ですから。
          親コメント
          • Re:実体験 (スコア:1, おもしろおかしい)

            by sayuporn (33927) on 2009年01月07日 0時47分 (#1486527) 日記
            はい、IPアドレスで制限もせず、かつ簡単なパスワードにしてしまった私の落ち度です。
            パスワードを「123456」ではなく「12aho45aho」にしておけばまだましだったでしょう。

            しかしそれとsshを公開鍵認証でログインするように運用しなければならないことは別問題ですよね?
            親コメント
            • by Ryo.F (3896) on 2009年01月07日 1時28分 (#1486539) 日記

              しかしそれとsshを公開鍵認証でログインするように運用しなければならないことは別問題ですよね?
              はい、別問題です。
              が、その程度もやってないのか、と批判されても仕方ないかな、とも思います。別に管理・運用が難しくなるわけでもないのですから。
              親コメント
            • by Anonymous Coward
              > 別問題

              頭悪い。
              何のためにそのサーバを運用するのかを見失ってしまうから別問題に見えるのだろう。

              ちなみにこのストーリー、別にパスワードの話しかしちゃいけないわけじゃないよ?

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...