パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数の Debian Project マシンへのセキュリティ侵害 (compromise)」記事へのコメント

  • by Anonymous Coward
    侵入の手口や実際の被害などがよく分からんからアレだけど、複数同時にやられたってのは

    ・共通の脆弱性を利用されてヤラれた
    ・いずれにも入っているアカウントを乗っ取られた
    ・内部の犯行
    ・その他

    はうまっち。
    • ・いずれにも入っているアカウントを乗っ取られた

      普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが そうでなかったってことになっちゃいますね
      それどころか 結構前に流行った hosts.equivとか .rhostsとかを使った渡り歩きだっ

      • 普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが

        複数のホストにアカウントを持っている人の秘密鍵が盗まれて、破られたのかも知れません。
        用心深い管理者ならsshでもパスワード認証

        • そういう意味では、一度パスワードや秘密鍵がバレた場面では、マシンごとに違うパスワードと、どのマシンでも同じ公開鍵とでは、パスワードのほうがいいですね。 それともみなさん秘密-公開鍵ペアをマシンごとに変えてますか?
          • 変えてますよ。もちろんパスフレーズも

            # そういうものじゃないの?
            • by Anonymous Coward on 2003年11月23日 0時32分 (#439003)
              手元のマシンの ~/.ssh/ の下にリモートホストごとに異なる秘密鍵がごろごろ置いてあるってことでしょうか?
              手元のマシンごとに変えるのはわかりますけどそれは元の趣旨と違いますよね。
              親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...