パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数の Debian Project マシンへのセキュリティ侵害 (compromise)」記事へのコメント

  • by Anonymous Coward
    侵入の手口や実際の被害などがよく分からんからアレだけど、複数同時にやられたってのは

    ・共通の脆弱性を利用されてヤラれた
    ・いずれにも入っているアカウントを乗っ取られた
    ・内部の犯行
    ・その他

    はうまっち。
    • ・いずれにも入っているアカウントを乗っ取られた

      普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが そうでなかったってことになっちゃいますね
      それどころか 結構前に流行った hosts.equivとか .rhostsとかを使った渡り歩きだっ

      • 普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが

        複数のホストにアカウントを持っている人の秘密鍵が盗まれて、破られたのかも知れません。
        用心深い管理者ならsshでもパスワード認証

        • そういう意味では、一度パスワードや秘密鍵がバレた場面では、マシンごとに違うパスワードと、どのマシンでも同じ公開鍵とでは、パスワードのほうがいいですね。 それともみなさん秘密-公開鍵ペアをマシンごとに変えてますか?
          • Re:複数やられたの? (スコア:5, すばらしい洞察)

            by miri (12057) on 2003年11月22日 23時30分 (#438978) 日記
            「パスワードがばれる」という状況と「秘密鍵がばれる」という状況はかなり違うのではないかと思います。

            ログイン先のマシンがクラックされていたら、そのマシン用のパスワードがばれて、同じパスワードを使っているマシンが芋づる式にやられますが、キーペア方式なら秘密鍵がばれることはありません。

            ログイン元のマシンがクラックされた場合は、キーロガーを仕掛けられたりその他の方法で、パスワードも秘密鍵もダメでしょう。

            最も守るべきなのは手元のマシンなのです。
            今回の事件でもcompromisedなマシンにあるアーカイブの署名が確認されて大丈夫だということですが、そのアーカイブに対して署名が「行われた」マシンが無事あることが暗黙の了解なのです。

            パスワードをマシンごとに変えるのは多くの知的資源を要します。公開鍵をマシンごとに変える場合もパスフレーズをいっしょにしてしまうとあんまり意味ありません。

            手元のマシンがクラックされるかもしれない、ということに対する対処としては、「マシンごとにパスワードを変える」と「どのマシンも同じ公開鍵」とでは本質的な違いはないと思います。
            親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...