アカウント名:
パスワード:
たとえ他のマシン全てのパスワードを違うものにしていて、しかもランダムで生成したパスワードだとしても、一つ漏れてしまえばパスワードで用いている字種、長さ、クセなどから類推されてしまう可能性が格段に高くなる。 日頃からメンテナンスなどでリモートログインする時も、パスワードで認証するのではなく、sshのshared key認証でログインするようにした方が安全。
そういう意味では、一般に言われている「一般ユーザでログインしてsuすべし」というのもインターネットに公開されたサーバでは危険を伴う。 「一般ユーザでログインしてsuする」というのは、正規ユーザによる悪意の行為が行われた場合に誰がやったのかを識別できる利点はあるが、それもログが改竄されていない事が前提だし、昨今のインターネットに接続されたサーバではシェルアカウントを持つ正規ユーザが大量にいるという状況も少ないので、あまりメリットは無い。 逆にsuできる一般ユーザアカウントをクラックされて、suする時のキーストロークをロギングされてしまう事によってrootパスワードが漏出してしまう可能性もある。 より安全なのは、インターネット上に(暗号化されているか否かを問わず)一切パスワードを流さない事。 そのためにもshared keyなどを利用してパスワードを使わない運用体制を作るのが良い。 shared keyで直にrootでログインするよりも、安全性が保証できないマシン上でrootパスワードを打つ方がより危険度は高い。
パスワードはあくまでも簡便な認証の一手段であって、安全性はそれ程高くないという事を認識すべき。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
では、「やってはいけないこと」は何? (スコア:2, 興味深い)
では逆に「これだけは、やっちゃいけない」ことってありますか?
# 門外漢なので聞いてみるだけしか出来ませんが
*-----------------------*
-- ウソ八百検索エンジン --
Re:では、「やってはいけないこと」は何? (スコア:2, 参考になる)
crackされた後、一度でもパスワードを打ったマシンを再びネットワークに繋ぐ事。
たとえ他のマシン全てのパスワードを違うものにしていて、しかもランダムで生成したパスワードだとしても、一つ漏れてしまえばパスワードで用いている字種、長さ、クセなどから類推されてしまう可能性が格段に高くなる。
日頃からメンテナンスなどでリモートログインする時も、パスワードで認証するのではなく、sshのshared key認証でログインするようにした方が安全。
そういう意味では、一般に言われている「一般ユーザでログインしてsuすべし」というのもインターネットに公開されたサーバでは危険を伴う。
「一般ユーザでログインしてsuする」というのは、正規ユーザによる悪意の行為が行われた場合に誰がやったのかを識別できる利点はあるが、それもログが改竄されていない事が前提だし、昨今のインターネットに接続されたサーバではシェルアカウントを持つ正規ユーザが大量にいるという状況も少ないので、あまりメリットは無い。
逆にsuできる一般ユーザアカウントをクラックされて、suする時のキーストロークをロギングされてしまう事によってrootパスワードが漏出してしまう可能性もある。
より安全なのは、インターネット上に(暗号化されているか否かを問わず)一切パスワードを流さない事。
そのためにもshared keyなどを利用してパスワードを使わない運用体制を作るのが良い。
shared keyで直にrootでログインするよりも、安全性が保証できないマシン上でrootパスワードを打つ方がより危険度は高い。
パスワードはあくまでも簡便な認証の一手段であって、安全性はそれ程高くないという事を認識すべき。