アカウント名:
パスワード:
思わず二度見した
イマドキRSAAuthentication使ってるバカなんていないよね? PubkeyAuthenticationだよね?えーマジDSA!? キモーイ! 無印DSAが許されるのは小学生までだよねー キャハハハ時代は楕円曲線DSAっしょ? djb信者ならEd25519使っとけとか書き込んでやろうかと思ったらそれ以下の次元の話だった・・・
PasswordAuthenticationやChallengeResponseAuthenticationをnoにしとく以前に、PermitRootLoginがnoなのは常識でしょ低次元すぎて話になんねーよ
それ全部ダメな方に倒してたとしてもfail2ban 入れとくだけで総当たり攻撃に対する耐性は劇的に向上するけどね。
knockd も併用すれば、総当たり攻撃で攻略される可能性はほぼないと言える。
公開鍵とパスワードの二段階認証にしてるんだけど、小学生からやり直してもいいですか?
元コメントは、公開鍵認証を使っちゃいけないとは書いてないよ。RSAでも2048bit以上なら、しばらくは大丈夫なんじゃない?
「PasswordAuthenticationやChallengeResponseAuthenticationをyesにしてるけど、noにした一段階認証より安全ですが何か」っていう皮肉だろjk・・・
それじゃ皮肉になってねぇだろ。
PermitRootLoginがnoなのは常識というか、まともなディストリビューションなら初期値になってないか?
まさかと思って以前にインストールしたCentOS(6.7)を調べたら、rootでloginできてしまいました。すぐに変えたけど。一応、ファイアウォールの中だから、同一組織内から攻撃されない限り大丈夫なはずだけど。こんなのデフォルトで禁止にしておいてほしい。
sshとしてのデフォルトはnoじゃないんですか?ディストリ怖い。
まあ、ディストリビューションの責任で「PermitRootLogin no」にしとけ、ってのは、一つの見識で、比較的賛成。
でも、
sshとしてのデフォルトはnoじゃないんですか?
とか今頃気づくのはダメダメ。そのあたりは、真っ先に調べとくもんでしょ。
ちなみに、いつも使うAnaconda Kickstartファイルには、「PermitRootLogin no」にするスクリプトを仕込んである。
しかしながら、実務では、利便性とかお客様の要望とかでデフォルトのまま(「PermitRootLogin yes」と同じ)で引き渡しちゃうことはあるなあ。せめて公開鍵暗号にしとけよ、と思うんだけど、「PasswordAuthentication yes」だったりね。さすがに、ファイアウォールの内側の話だけどね。
前はPermitRootLogin noだったと思うんだけど、いつの間にかPermitRootLogin without-passwordになってた。
アップグレードの時に、書きかわったかなぁ
sshd_configのわかりづらさもあるのでは。#PermitRootLogin yesって書いてあったら、コメントアウトされているんだから、rootログインは許されていないんだと思ってしまわないかな?実はこのコメントを消して、PermitRootLogin noって書き換えないといけないなんて、歴史的経緯でこうなったのかもしれないけど、罪なデフォルト値を採用してしまったものよ。
sshがバージョン上げる時に「デフォルト no にするよ」と一言入れればよかろう。(安全側に倒すのだから反対する人は少ない)
まあ「ビル・ゲイツ悪者にすればヒーローになれる」って厨二病を発現させた、スクリプトキディ未満の馬鹿が作ったんじゃね?
えー、作者が決めた名前じゃないよ
マルウェアが勝手に作成するディレクトリ名がビルゲイツなんだよ、それはどう考えても作者の意図だそういった理由なしにセキュリティー会社がこんな名前つけるわけないしな
そうだとしても、名前の由来はなんだろう?セキュリティベンダーが勝手にそんな名前を付けたら、さすがに苦情が来て、最悪だと裁判だ。
ファイル名がbillgatesだったとか、画面表示に"We are BillGates. You will be assimilated."が出るとか、そういうのがあったんじゃないの?
スクリプトキディ未満の馬鹿に侵入を許し大規模なボットネットを作成させてしまうLinuxユーザーたち…
# LinuxユーザーでもSSHサーバーは管理していないのでAC
不公平だな。SteveJobsも誰か作るべき。
ストールマンやケントンプソンも作るべきだな。
トンプソンならコンパイラに仕込んだバックドア(本人が吐くまでバレなかった)で有名だけどストールマンもなにかやってたんだろうかパスワード打たずにエンターキーでログインできてしまう設定してたとかいうはなしのことかな
ジョブズなんてビルゲイツに比べたら取るに足らない小物だってことでしょ、ウイルス作者的には。
さあAppleファンよ、怒りのあまり犯人を特定して晒し上げてしまえ(あれ
100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっている
わけだから。簡単な手法で絶大な効果を上げるのが優れたハッカーだと私は思う。
こういうのは見つけづらいようにこっそりやるのがうまいやり方で、こんなトラフィック発生させて発見を容易にするなんてバカのやり口だよ。だいたいトラフィック増やすなんてべつにたいして難しいことじゃない。OSやハードウェアの制限に達するまでは増やせるんだから難しいことじゃない。
簡易かつ古典的な手口でボットネットの構築に成功しているってのがポイントでしょう。大昔からある簡単な手口でボットネットを構築できるわけです。未だにこの手口が有効ならでどうせこの先も有効なままでしょう。どうせ簡単に作れるのだから潰されるまでおおっぴらに使って潰されたらまた作ればいい。
感染したマシン単体のトラフィックなんか誰も気にしていないよボットネット化でそれを多数束ねて特定の標的に叩き付けるのが問題なの
標的は造り込みの甘いアプライアンスやIoT時代の諸々かもな
Rootログイン許してるってことは、わざわざそう設定したわけで、わざとこのマルウェアに感染しようとしているグループがいるとか?
>>Rootログイン許してるってことはいるんだなぁそれがPort22のままPermitRootLogin yesになっているサーバレンサバとか半数以上は基本設定のまま使ってるんじゃない?
別のツリーであがってるけど、従来、sshdのデフォルト設定が長いことPermitRootLogin yesだったんだな。最近はrootのみパスワード認証を拒否するのがデフォルトになったようだけど、Unix系システムの方で追従しているかどうか。
https://osdn.jp/magazine/15/08/14/072400 [osdn.jp]
花粉症大丈夫か
それが
ってことだから、実態がどれだけ酷いかよくわかる。
それのエロ漫画に出てくる童貞君って象並みの巨根なんだよね。馬並みでは足りない。
個人なら sshd_config に AllowUsers か AllowGroups を設定しておけば大丈夫だよね? ね?設定をミスるとツモるので要注意!
某基幹系がyesだったぞ。♯呆れたのが私が初だった(無論変な奴扱い)ので、そっち系は避ける事を決意
いくら何でもビルゲイツに失礼だと思いました(棒
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
思わず二度見した
イマドキRSAAuthentication使ってるバカなんていないよね? PubkeyAuthenticationだよね?
えーマジDSA!? キモーイ! 無印DSAが許されるのは小学生までだよねー キャハハハ
時代は楕円曲線DSAっしょ? djb信者ならEd25519使っとけ
とか書き込んでやろうかと思ったらそれ以下の次元の話だった・・・
PasswordAuthenticationやChallengeResponseAuthenticationをnoにしとく以前に、PermitRootLoginがnoなのは常識でしょ
低次元すぎて話になんねーよ
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:5, 参考になる)
それ全部ダメな方に倒してたとしても
fail2ban 入れとくだけで総当たり攻撃に対する耐性は劇的に向上するけどね。
knockd も併用すれば、総当たり攻撃で攻略される可能性はほぼないと言える。
uxi
Re: (スコア:0)
公開鍵とパスワードの二段階認証にしてるんだけど、小学生からやり直してもいいですか?
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
元コメントは、公開鍵認証を使っちゃいけないとは書いてないよ。
RSAでも2048bit以上なら、しばらくは大丈夫なんじゃない?
Re: (スコア:0)
「PasswordAuthenticationやChallengeResponseAuthenticationをyesにしてるけど、noにした一段階認証より安全ですが何か」
っていう皮肉だろjk・・・
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
それじゃ皮肉になってねぇだろ。
Re: (スコア:0)
PermitRootLoginがnoなのは常識というか、まともなディストリビューションなら初期値になってないか?
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
まさかと思って以前にインストールしたCentOS(6.7)を調べたら、rootでloginできてしまいました。すぐに変えたけど。
一応、ファイアウォールの中だから、同一組織内から攻撃されない限り大丈夫なはずだけど。
こんなのデフォルトで禁止にしておいてほしい。
Re: (スコア:0)
sshとしてのデフォルトはnoじゃないんですか?
ディストリ怖い。
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
まあ、ディストリビューションの責任で「PermitRootLogin no」にしとけ、ってのは、一つの見識で、比較的賛成。
でも、
sshとしてのデフォルトはnoじゃないんですか?
とか今頃気づくのはダメダメ。
そのあたりは、真っ先に調べとくもんでしょ。
ちなみに、いつも使うAnaconda Kickstartファイルには、「PermitRootLogin no」にするスクリプトを仕込んである。
しかしながら、実務では、利便性とかお客様の要望とかでデフォルトのまま(「PermitRootLogin yes」と同じ)で引き渡しちゃうことはあるなあ。
せめて公開鍵暗号にしとけよ、と思うんだけど、「PasswordAuthentication yes」だったりね。
さすがに、ファイアウォールの内側の話だけどね。
Re: (スコア:0)
前は
PermitRootLogin no
だったと思うんだけど、いつの間にか
PermitRootLogin without-password
になってた。
アップグレードの時に、書きかわったかなぁ
Re: (スコア:0)
sshd_configのわかりづらさもあるのでは。#PermitRootLogin yesって書いてあったら、コメントアウトされているんだから、rootログインは許されていないんだと思ってしまわないかな?実はこのコメントを消して、PermitRootLogin noって書き換えないといけないなんて、歴史的経緯でこうなったのかもしれないけど、罪なデフォルト値を採用してしまったものよ。
Re: (スコア:0)
sshがバージョン上げる時に「デフォルト no にするよ」と一言入れればよかろう。
(安全側に倒すのだから反対する人は少ない)
Re: (スコア:0)
まあ「ビル・ゲイツ悪者にすればヒーローになれる」って厨二病を発現させた、スクリプトキディ未満の馬鹿が作ったんじゃね?
Re: (スコア:0)
えー、作者が決めた名前じゃないよ
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
マルウェアが勝手に作成するディレクトリ名がビルゲイツなんだよ、それはどう考えても作者の意図だ
そういった理由なしにセキュリティー会社がこんな名前つけるわけないしな
Re: (スコア:0)
そうだとしても、名前の由来はなんだろう?
セキュリティベンダーが勝手にそんな名前を付けたら、さすがに苦情が来て、最悪だと裁判だ。
ファイル名がbillgatesだったとか、画面表示に"We are BillGates. You will be assimilated."が出るとか、
そういうのがあったんじゃないの?
Re: (スコア:0)
スクリプトキディ未満の馬鹿に侵入を許し大規模なボットネットを作成させてしまうLinuxユーザーたち…
# LinuxユーザーでもSSHサーバーは管理していないのでAC
Re: (スコア:0)
不公平だな。
SteveJobsも誰か作るべき。
Re: (スコア:0)
ストールマンやケントンプソンも作るべきだな。
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
初期のUnixには、管理者ユーザーにデニス・リッチー、ケン・トンプソンが有ったとか。
FreeBSDで、dmrとか見た記憶が。
https://ja.wikipedia.org/wiki/Charlie_Root_%28%E3%82%AA%E3%83%9A%E3%83%AC%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%29
Re: (スコア:0)
トンプソンならコンパイラに仕込んだバックドア(本人が吐くまでバレなかった)で有名だけどストールマンもなにかやってたんだろうか
パスワード打たずにエンターキーでログインできてしまう設定してたとかいうはなしのことかな
Re: (スコア:0)
ジョブズなんてビルゲイツに比べたら取るに足らない小物だってことでしょ、ウイルス作者的には。
さあAppleファンよ、怒りのあまり犯人を特定して晒し上げてしまえ(あれ
Re: (スコア:0)
100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっている
わけだから。簡単な手法で絶大な効果を上げるのが優れたハッカーだと私は思う。
Re: (スコア:0)
こういうのは見つけづらいようにこっそりやるのがうまいやり方で、
こんなトラフィック発生させて発見を容易にするなんてバカのやり口だよ。
だいたいトラフィック増やすなんてべつにたいして難しいことじゃない。
OSやハードウェアの制限に達するまでは増やせるんだから難しいことじゃない。
Re: (スコア:0)
簡易かつ古典的な手口でボットネットの構築に成功しているってのがポイントでしょう。
大昔からある簡単な手口でボットネットを構築できるわけです。
未だにこの手口が有効ならでどうせこの先も有効なままでしょう。
どうせ簡単に作れるのだから潰されるまでおおっぴらに使って潰されたらまた作ればいい。
Re: (スコア:0)
感染したマシン単体のトラフィックなんか誰も気にしていないよ
ボットネット化でそれを多数束ねて特定の標的に叩き付けるのが問題なの
Re: (スコア:0)
標的は造り込みの甘いアプライアンスやIoT時代の諸々かもな
Re: (スコア:0)
Rootログイン許してるってことは、わざわざそう設定したわけで、わざとこのマルウェアに感染しようとしているグループがいるとか?
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
>>Rootログイン許してるってことは
いるんだなぁそれが
Port22のままPermitRootLogin yesになっているサーバ
レンサバとか半数以上は基本設定のまま使ってるんじゃない?
Re: (スコア:0)
別のツリーであがってるけど、従来、sshdのデフォルト設定が長いことPermitRootLogin yesだったんだな。
最近はrootのみパスワード認証を拒否するのがデフォルトになったようだけど、Unix系システムの方で追従しているかどうか。
https://osdn.jp/magazine/15/08/14/072400 [osdn.jp]
Re: (スコア:0)
花粉症大丈夫か
Re: (スコア:0)
それが
100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっている
ってことだから、実態がどれだけ酷いかよくわかる。
Re: (スコア:0)
それのエロ漫画に出てくる童貞君って象並みの巨根なんだよね。
馬並みでは足りない。
Re: (スコア:0)
個人なら sshd_config に AllowUsers か AllowGroups を設定しておけば大丈夫だよね? ね?
設定をミスるとツモるので要注意!
Re: (スコア:0)
某基幹系がyesだったぞ。
♯呆れたのが私が初だった(無論変な奴扱い)ので、そっち系は避ける事を決意
Re: (スコア:0)
いくら何でもビルゲイツに失礼だと思いました(棒