WebObjectsを使う時点で「わかっている人だけ通す」フィルタに掛かっているから、 タコはいないのでは?それからMac OS X ServerのSoftware Updateを侮っては いけないと思います。分かっている人でもうっかり忘れたり面倒だからと後回しに したりせずに、自動通知があり簡単にアップデートが出来る訳で。
Linux のディストリビューションによって違うのかも知れないけど、デフォルトで嫌なのが su コマンドの設定です。/etc/group の管理者グループに登録されていないユーザーでも su コマンドを受け付けるのでデフォルトを変えて欲しいですね。 @IT: suコマンドを実行可能なユーザーを限定する [atmarkit.co.jp]
使う人の違いじゃない? (スコア:0)
脆弱性の有無やアップデートに関してはLinuxと大差無いとは思うけど。
Re:使う人の違いじゃない? (スコア:1)
と言えそうだけれど、Mac OS X の場合はそうでもない。
単に WebObjects を使いたいから、という人もいそうだ。
Linux と大差ないタコ吸引力を持っていると思うよ。
Re:使う人の違いじゃない? (スコア:3, 興味深い)
タコはいないのでは?それからMac OS X ServerのSoftware Updateを侮っては
いけないと思います。分かっている人でもうっかり忘れたり面倒だからと後回しに
したりせずに、自動通知があり簡単にアップデートが出来る訳で。
同じようにも見える (スコア:1)
Windows Updateにも同様の機能がある訳ですが…。
ほかのツリーにあるように「ダウンロードのみ」とか「再起動が必要です」とか
使い勝手ではやっぱりSoftware Updateの方がいいのだけど。
#うちのMacOSX Server(v1.2)にはそんな機能あったかな
#サーバ用途なんかもともとなかったので消したけど
Re:同じようにも見える (スコア:1)
のMac OS X Serverは似ても似つかない別物ですよ。
Re:同じようにも見える (スコア:1)
OPENSTEP 4.2とX Server 1.2でろくに運用せず散財した過去から、
それ以降のサーバ版OSが買えないのでPantherで我慢しています。
逆に言うと、Admin ToolsやQTSS位しか目に付く相違点がないので、
どうせ買うならXserveと言う風に目が向いてしまうのが某社の戦略かも
Re:同じようにも見える (スコア:1)
OPENSTEP 4.2ってユーザ環境と開発環境合わせると80万超えたはずですし。
WebObjects Unlimitedに至っては700万だった。もっとも開発環境も
WebObjectsも使わないなら意味は無いですが。QTSSだけでも事実上
の無制限ライセンスなので安いとも言えます。
Re:使う人の違いじゃない? (スコア:0)
#居るなら天然記念物指定して、保護しましょうw
Re:使う人の違いじゃない? (スコア:1)
Linuxの中にはSSHのPermitRootLogin がYesになっているディストリビューションが存在します。
これはSSHを使用したrootへのアタックが可能となると言うことです
他にもよりセキュアな方向に振られていない設定が有るかもしれません
#この1点で幻滅したのでそれ以降調べてません(苦笑)
同様に、ユーザーに必要のないサーバーアプリケーションも標準で導入されている物も有るでしょう
余分なアプリは余分なセキュリティホールを発生するのは当然の事です。
#そのころGentooはまだ無かったんですよねぇ~
サーバーを構築していますが、私がLinuxを嫌ったのは主にこの2点だったりします。
サーバーにX Windowは不要ですし、必要な物を最小限の手順で入れられる物として選んだらBSDになっただけです。
#さすがに男は黙ってシリアルコンソールとは思わないのでSSHは使ってますが(苦笑)
まぁでも、*BSDはLinuxより、流行ってない=わかってる人しか使っていないと言うのは最大の要因だとは思います
Re:使う人の違いじゃない? (スコア:1)
Debian GNU/Linuxでは PermitRootLogin はデフォルトでyesですね。 そのままになっていたので、早速 /etc/ssh/sshd_config を直してsshdを 再起動しておきました。
Re:使う人の違いじゃない? (スコア:0)
サーバのroot以外の任意のユーザでコードを実行できる穴は山とあるので、
sshdがデフォルトでrootのログインとパスワード認証を許可してあっても
それほどリスクが高まるとは言えないと思いますが、いかが?
Re:使う人の違いじゃない? (スコア:2, 参考になる)
で、実はこれ単体では驚異と言えるほど危険にはなりません
ただし、これ以上にデフォルトで有効になっている可能性の高いPasswordAuthenticationが同時にYesとなっていると話は別です
これはSSH経由でrootのパスワードにたいし辞書攻撃がかけられる事を意味します
さらにrootがログイン可能になっているまずい点は、「root」と言うユーザーが特権ユーザであると、アタックする側にばれてしまっていると言う事です。
一般ユーザーは、どの様なユーザー名なのかホスト情報のみでは推測しにくいですが、rootはシステム固定のユーザです
そのため、ユーザー名とパスワードの組み合わせが判明しない限りログイン出来ない一般ユーザーより、パスワードに対しのみ攻撃をかければよいrootはアタックがかけやすくなります。
基本的にはsuまたはsudo等を使用すれば、一般ユーザー->ルート権限を取得する事が可能なのですから無駄な危険は避けたい物です
よって、デフォルト設定は何も弄らない人の事を考え、PermitRootLoginはNoとしてあった方がリスクは低いと言う事になります。
ちなみに、rootに直接アクセス出来なくても、rootに直接アクセス出来てもリスク変わらないとは思いません
直接アクセス可能な分、Password認証がYesになっていなくても微量のセキュリティは損なわれていると考えるべきでしょう
rootと言う特権ユーザーのユーザー名はばれてますから
半可通警報発令中!(Re:使う人の違いじゃない?) (スコア:1)
こんなダボラ吹いちゃう程度の知識しか持ち合わせてないのにLinuxディストリビューションの既定の(しかも設定ファイル書き換えれば容易に変更できる)セキュリティ設定を云々し、あまつさえ「その1点で幻滅した」とまで放言するなんて…。
何かの悪い冗談ですか!?そうですよね?御願いで御座いますから左様だと仰りやがれ(涙)!!
rootってのはスーパーユーザに慣習的に割り振られてる名前に過ぎません。そしてスーパーユーザというのはUIDが0のユーザのことであって、必ずしもrootというユーザのことではありません。こんなのUNIXの常識だと思うんだけどなぁ…。
# この一点で幻滅したのでtuneo。
Re:半可通警報発令中!(フレームのもと) (スコア:1)
> > rootはシステム固定のユーザです
> こんなダボラ吹いちゃう程度の知識しか持ち合わせてない
> のにLinuxディストリビューションの既定の(しかも設定ファ
> イル書き換えれば容易に変更できる)セキュリティ設定を
> 云々し、あまつさえ「その1点で幻滅した」とまで放言す
> るなんて…。
> rootってのはスーパーユーザに慣習的に割り振られてる名
> 前に過ぎません。そしてスーパーユーザというのはUIDが
> 0のユーザのことであって、必ずしもrootというユーザの
> ことではありません。こんなのUNIXの常識だと思うんだけ
> どなぁ…。
UID 0 のユーザに root という名前がデフォルトで割り当
てられていない、あるいは設定ファイルを書き換えれば容
易に変更できる、Unix システムの実例を名前で挙げてく
ださい。組み込みを除く。(制限時間 30秒)
でも「設定ファイル書き換えれば容易に変更できる」とい
うのも見苦しい言い訳ですね。
そんなに容易なら、最初から PermitRootLogin No にして
おけばよろしい。
Re:半可通警報発令中! (スコア:0)
>てられていない、あるいは設定ファイルを書き換えれば容
>易に変更できる、Unix システムの実例を名前で挙げてく
>ださい。組み込みを除く。(制限時間 30秒)
UNIX(クローン含む)全般。
ていうかマジレスしてはいけないところだったのかしら。
>そんなに容易なら、最初から PermitRootLogin No にして
>お
Re:半可通警報発令中!(フレームのもと) (スコア:0)
以前私が、Lindowsはどのようなものかと試したときですが、そのときのスーパユーザはrootではなく、Administratorだった記憶があります。
Re:半可通警報発令中! (スコア:0)
>まさか、Linux ディストリビューションだけがこれを yes で配布してるとか
>思ってないよな?
これはさすがにちょっとどうかと。
ディストリビューションを名乗って標
Re:半可通警報発令中! (スコア:0)
デフォルトはnoだと思ってたんですが……
#自前で入れて、いつもチェックしていたはずだし……
#で、debian(woody)で横着してaptで入れてみてびっくりしたという……
Re:半可通警報発令中! (スコア:1)
> >UID 0 のユーザに root という名前がデフォルトで割り当
> >てられていない、あるいは設定ファイルを書き換えれば容
> >易に変更できる、Unix システムの実例を名前で挙げてく
> >ださい。組み込みを除く。(制限時間 30秒)
> UNIX(クローン含む)全般。
というからには、
・ UID 0 のユーザに root という名前がデフォルトで割り当てられていない
・ あるいは設定ファイルを書き換えれば容易に変更できる
まさか前者ではないと思うので、後者だと推測しますが、
どうやるんですか? 後学のために教えてください。
「そんなこと知らん。自分で考えろ」なんて無しですよ。
> >そんなに容易なら、最初から PermitRootLogin No にして
> >おけばよろしい。
> オリジナルの portable版OpenSSH メンテしてる人に言ってくれ。
>
> まさか、Linux ディストリビューションだけがこれを
> yes で配布してるとか 思ってないよな?
(話をそらしたいようですが)
もとのコメントでは PermitRootLogin Yes でも問題無
いという意見でしたよ。
今回の Anonymous Coward さんは、PermitRootLogin No
にすることに反対ではないんですね?
> なんというか、すっごく歯ごたえ無いです。
臆病者 (Anonymous Coward) にいわれたくないなあ。
Re:半可通警報発令中! (スコア:0)
その結果だけど、普通に vipw で root を他の名前に変更。
shadow 環境なので /etc/shadow をそれに併せて変更。
で問題なく変わる。
>今回の Anonymous Coward さんは、PermitRootLogin No
>にすることに反対ではないんですね?
反対ではない。サイトやホストのポリシーによると考える。
Re:半可通警報発令中! (スコア:0)
>デフォルトはnoだと思ってたんですが……
自分でインストールして試して見るべし。
少なくとも手元の openssh-3.9p1.tar.gz では sshd_config 内で
#PermitRootLogin yes
#PasswordAuthentication yes
でコメントアウトされていて、どちらもデフォルト動作で yes だ。
Re:半可通警報発令中! (スコア:0)
---
普通に vipw でいじれたりするんじゃないかという気がしますが。つまり
root:ENCRYPTED_ROOT_PASSWORD:0:0::0:0:Charlie &:/root:/bin/sh
の第一フィールドをいじってadminなりsuperuserなりに書き換えればいいのでは?仮にこれで書き換え出来ても私ゃそんなん嫌ですけど。
---
Re:半可通警報発令中! (スコア:1)
> 手元にあってアカウント関係を弄れる環境が Debian/sarge しかなかったので
> その結果だけど、普通に vipw で root を他の名前に変更。
> shadow 環境なので /etc/shadow をそれに併せて変更。
> で問題なく変わる。
だから何? それで本当にシステムが問題なく動くことを確かめましたか?
Debian/sarge がそれで正常に動くのであれば面白いシステムですね。
(手元に Debian の CD が無い...)
でも少なくとも以下のシステムでは、それだけでは正常に動きません。
・ Vine Linux 3.0
・ FreeBSD 5.2.1-RELEASE
・ NetBSD 1.6.2
例えば inetd (の設定) など、合わなくなりおかしくなってしまいます。
/etc の下に "root" という語を含むファイルがどれだけあるか見てみたら?
元コメントがいうように「UNIX(クローン含む)全般」で、設定ファイルを書き
換えれば容易に root という名前が変更できるとはとても思えませんね。
だから最初から「システムの実例を名前で挙げてください」といってるのに。
(Debian/sarge がその答なのかな?? でもそういう文章には読めないし...)
> >今回の Anonymous Coward さんは、PermitRootLogin No
> >にすることに反対ではないんですね?
> 反対ではない。サイトやホストのポリシーによると考える。
これは元の文が舌足らずだったのですが、『デフォルトで』 PermitRootLogin
が Yes になっているか No になっているかという文脈だったのですよ。
これのデフォルトを Yes にした所で、嬉しい人はどれくらいいるんですかね。
容易に No に変更できるというくらいなら、最初からそうしておけばよいのでは?
Re:半可通警報発令中! (スコア:0)
とりあえず負けを認めておくよ。
でも簡単なスクリプトで出来そうだけど。
>これは元の文が舌足らずだったのですが、『デフォルトで』 PermitRootLogin
>が Yes になっているか No になっているかという文脈だったのですよ。
>これのデフォルトを Yes にした所で、嬉しい人はどれくらいいるんですかね。
>容易に No に変更できるというくらいなら、最初からそうしておけばよいの
Re:使う人の違いじゃない? (スコア:1)
インストール時に root のパスワードを設定しません。
当然、運用後もリモートからもコンソールからも root ではログインできません。
変則的な印象もありますが、これも一つのアイデアだと思いますよ。
Re:使う人の違いじゃない? (スコア:1)
>それほどリスクが高まるとは言えないと思いますが、いかが?
root のパスワードさえ当ててしまえばそのままログイン出来る.
ssh での root ログインを許可していなければ,いったんはシステムに侵入してからパスワードクラックしなければならないので,手間は大分違うと思いますが?
------------------------
いつかきちんと仕上げよう
Re:使う人の違いじゃない? (スコア:0)
それだけで嫌いになっちゃいやよん。
ツメが甘いと言われりゃその通りですが。
まぁSSHの件はインストールしたらPermitRootLoginをnoにして、
ポート番号を変な番号にして(nmapでバレルけどね)、
iptablesで特定IPだけのアクセスにしちゃいますので匿名。
Re:使う人の違いじゃない? (スコア:0)
よくあるやりとりに
*BSD はデフォルトの shell が csh で使いづらい
-> ports で bash でも入れればいいじゃん、お前アホ?
とか返す BSD 使いがいるけど、どっちがどっちだか。
あとサーバに X が必要でないっていう主張もよく聞くけど、それってたまたま
「そのサーバに X
Re:使う人の違いじゃない? (スコア:0)
昔のRedHatだったか、コンソールログインしようと
ユーザIDに続けてパスワードを入力したら、
思いっきりパスワードが表示されてタマゲタ記憶がある。
同時期に使っていたSlackwareでは、そんな事は怒らなかった
ので、ディストリ固有な
Re:使う人の違いじゃない? (スコア:1)
Re:使う人の違いじゃない? (スコア:0)
>入れられる物として選んだらBSDになっただけです。
私は、前のAC君ではないですが、この辺などは「わかってない」と
言われてもしょうがないかと。
例えば、RedHatのインストーラとFreeBSDのインストーラで最小限
の構成を選ぶ時に踏む手順は、さして変わりません。
Re:使う人の違いじゃない? (スコア:1)
Redhatは買わないとないのでfedora coreですが
カスタムで選択し、下の方にある最小設定を選択すればおおむね余分な物は入らないんですね
Wnn/Cannaとかが入るのは何でだろと思いましたが概ね基本構成に近いものでした。
とりあえずしばらく遊んでみようっと
Re:使う人の違いじゃない? (スコア:0)
Re:使う人の違いじゃない? (スコア:0)
Re:使う人の違いじゃない? (スコア:0)
@IT: suコマンドを実行可能なユーザーを限定する [atmarkit.co.jp]
Re:使う人の違いじゃない? (スコア:1)
上でリンクがある記事の内容は obsolete でした。
/etc/login.defs じゃなくて /etc/pam.d/su を
編集するようになってましたよ。
Re:使う人の違いじゃない? (スコア:0)