パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最もセキュアなOSはBSDとMac OS Xとする調査結果」記事へのコメント

  • UNIX系OSでサーバを立てる時にミーハーな人はLinuxにでも転ぶだろうけど、わざわざ*BSD使う人はわかってる人の比率が多いでしょ。元々ISPとかネットワーク系のとこで使われる事多いし。

    脆弱性の有無やアップデートに関してはLinuxと大差無いとは思うけど。
    • デフォルト設定の差というのも有るでしょう
      Linuxの中にはSSHのPermitRootLogin がYesになっているディストリビューションが存在します。
      これはSSHを使用したrootへのアタックが可能となると言うことです
      他にもよりセキュアな方向に振られていない設定が有るかもしれません
      #この1点で幻滅したのでそれ以降調べてません(苦笑)

      同様に、ユーザーに必要のないサーバーアプリケーションも標準で導入されている物も有るでしょう
      余分なアプリは余分なセキュリティホールを発生するのは当然の事です。
      #そのころGentooはまだ無かったんですよね
      • Rootでloginできるということは、rootのパスワードを知っていると言うことですよね。
        サーバのroot以外の任意のユーザでコードを実行できる穴は山とあるので、
        sshdがデフォルトでrootのログインとパスワード認証を許可してあっても
        それほどリスクが高まるとは言えないと思いますが、いかが?
        • PermitRootLogin がYesになっていると言うことはssh経由でrootのログインが可能になっていると言うことです。
          で、実はこれ単体では驚異と言えるほど危険にはなりません
          ただし、これ以上にデフォルトで有効になっている可能性の高いPasswordAuthenticationが同時にYesとなっていると話は別です

          これはSSH経由でrootのパスワードにたいし辞書攻撃がかけられる事を意味します

          さらにrootがログイン可能になっているまずい点は、「root」と言うユーザーが特権ユーザであると、アタックする側にばれてしまっていると言う事です。

          一般ユーザーは、どの様なユーザー名な
          • > rootはシステム固定のユーザです
            こんなダボラ吹いちゃう程度の知識しか持ち合わせてないのにLinuxディストリビューションの既定の(しかも設定ファイル書き換えれば容易に変更できる)セキュリティ設定を云々し、あまつさえ「その1点で幻滅した」とまで放言するなんて…。

            何かの悪い冗談ですか!?そうですよね?御願いで御座いますから左様だと仰りやがれ(涙)!!

            root
            • そういう手があったかとも一瞬思いましたが。

              > > rootはシステム固定のユーザです
              > こんなダボラ吹いちゃう程度の知識しか持ち合わせてない
              > のにLinuxディストリビューションの既定の(しかも設定ファ
              > イル書き換えれば容易に変更できる)セキュリティ設定を
              > 云々し、あまつさえ「その1点で幻滅した」とまで放言す
              > るなんて…。

              > rootってのはスーパーユーザに慣習的に割り振られてる名
              > 前に過ぎません。そしてスーパーユーザというのはUIDが
              > 0のユーザのことであって、必ずしもrootというユーザの
              > ことではありません。こんなのUNIXの常識だと思うんだけ
              > どなぁ…。

              UID 0 のユーザに root という名前がデフォルトで割り当
              てられていない、あるいは設定ファイルを書き換えれば容
              易に変更できる、Unix システムの実例を名前で挙げてく
              ださい。組み込みを除く。(制限時間 30秒)

              でも「設定ファイル書き換えれば容易に変更できる」とい
              うのも見苦しい言い訳ですね。
              そんなに容易なら、最初から PermitRootLogin No にして
              おけばよろしい。
              親コメント
              • >UID 0 のユーザに root という名前がデフォルトで割り当
                >てられていない、あるいは設定ファイルを書き換えれば容
                >易に変更できる、Unix システムの実例を名前で挙げてく
                >ださい。組み込みを除く。(制限時間 30秒)
                UNIX(クローン含む)全般。
                ていうかマジレスしてはいけないところだったのかしら。

                >そんなに容易なら、最初から PermitRootLogin No にして
                >お
              • アカウントを持っていないので、Anonymousで発言させてもらいます。
                以前私が、Lindowsはどのようなものかと試したときですが、そのときのスーパユーザはrootではなく、Administratorだった記憶があります。
              • >オリジナルの portable版OpenSSH メンテしてる人に言ってくれ。
                >まさか、Linux ディストリビューションだけがこれを yes で配布してるとか
                >思ってないよな?

                これはさすがにちょっとどうかと。
                ディストリビューションを名乗って標
              • 勘違いだと恥ずかしいんですが、オリジナルのportable版OpenSSHだと
                デフォルトはnoだと思ってたんですが……
                #自前で入れて、いつもチェックしていたはずだし……
                #で、debian(woody)で横着してaptで入れてみてびっくりしたという……
              • 実例を名前で挙げてくださいといってるのに...

                > >UID 0 のユーザに root という名前がデフォルトで割り当
                > >てられていない、あるいは設定ファイルを書き換えれば容
                > >易に変更できる、Unix システムの実例を名前で挙げてく
                > >ださい。組み込みを除く。(制限時間 30秒)

                > UNIX(クローン含む)全般。

                というからには、

                ・ UID 0 のユーザに root という名前がデフォルトで割り当てられていない
                ・ あるいは設定ファイルを書き換えれば容易に変更できる

                まさか前者ではないと思うので、後者だと推測しますが、
                どうやるんですか? 後学のために教えてください。
                「そんなこと知らん。自分で考えろ」なんて無しですよ。

                > >そんなに容易なら、最初から PermitRootLogin No にして
                > >おけばよろしい。

                > オリジナルの portable版OpenSSH メンテしてる人に言ってくれ。
                >
                > まさか、Linux ディストリビューションだけがこれを
                > yes で配布してるとか 思ってないよな?

                (話をそらしたいようですが)
                もとのコメントでは PermitRootLogin Yes でも問題無
                いという意見でしたよ。
                今回の Anonymous Coward さんは、PermitRootLogin No
                にすることに反対ではないんですね?

                > なんというか、すっごく歯ごたえ無いです。
                臆病者 (Anonymous Coward) にいわれたくないなあ。
                親コメント
              • 手元にあってアカウント関係を弄れる環境が Debian/sarge しかなかったので
                その結果だけど、普通に vipw で root を他の名前に変更。
                shadow 環境なので /etc/shadow をそれに併せて変更。
                で問題なく変わる。

                >今回の Anonymous Coward さんは、PermitRootLogin No
                >にすることに反対ではないんですね?
                反対ではない。サイトやホストのポリシーによると考える。
              • >勘違いだと恥ずかしいんですが、オリジナルのportable版OpenSSHだと
                >デフォルトはnoだと思ってたんですが……
                自分でインストールして試して見るべし。
                少なくとも手元の openssh-3.9p1.tar.gz では sshd_config 内で

                #PermitRootLogin yes
                #PasswordAuthentication yes

                でコメントアウトされていて、どちらもデフォルト動作で yes だ。
              • 別AC ですが、rootになれなくなったらなにかと恐いという理由から自分でも実際に試したことはないので、間違いだったらゴメン。

                ---

                まさか前者ではないと思うので、後者だと推測しますが、
                どうやるんですか? 後学のために教えてください。

                普通に vipw でいじれたりするんじゃないかという気がしますが。つまり

                root:ENCRYPTED_ROOT_PASSWORD:0:0::0:0:Charlie &:/root:/bin/sh

                の第一フィールドをいじってadminなりsuperuserなりに書き換えればいいのでは?仮にこれで書き換え出来ても私ゃそんなん嫌ですけど。

                ---

                今回の Anonymous Coward さんは、PermitRoo

              • もっとすごい答が来るかと思って期待してたのに。

                > 手元にあってアカウント関係を弄れる環境が Debian/sarge しかなかったので
                > その結果だけど、普通に vipw で root を他の名前に変更。
                > shadow 環境なので /etc/shadow をそれに併せて変更。
                > で問題なく変わる。

                だから何? それで本当にシステムが問題なく動くことを確かめましたか?
                Debian/sarge がそれで正常に動くのであれば面白いシステムですね。
                (手元に Debian の CD が無い...)

                でも少なくとも以下のシステムでは、それだけでは正常に動きません。
                  ・ Vine Linux 3.0
                  ・ FreeBSD 5.2.1-RELEASE
                  ・ NetBSD 1.6.2
                例えば inetd (の設定) など、合わなくなりおかしくなってしまいます。
                /etc の下に "root" という語を含むファイルがどれだけあるか見てみたら?

                元コメントがいうように「UNIX(クローン含む)全般」で、設定ファイルを書き
                換えれば容易に root という名前が変更できるとはとても思えませんね。
                だから最初から「システムの実例を名前で挙げてください」といってるのに。
                (Debian/sarge がその答なのかな?? でもそういう文章には読めないし...)

                > >今回の Anonymous Coward さんは、PermitRootLogin No
                > >にすることに反対ではないんですね?
                > 反対ではない。サイトやホストのポリシーによると考える。

                これは元の文が舌足らずだったのですが、『デフォルトで』 PermitRootLogin
                が Yes になっているか No になっているかという文脈だったのですよ。
                これのデフォルトを Yes にした所で、嬉しい人はどれくらいいるんですかね。
                容易に No に変更できるというくらいなら、最初からそうしておけばよいのでは?
                親コメント
              • root のアカウント名に関しては、言う通りだな。
                とりあえず負けを認めておくよ。
                でも簡単なスクリプトで出来そうだけど。

                >これは元の文が舌足らずだったのですが、『デフォルトで』 PermitRootLogin
                >が Yes になっているか No になっているかという文脈だったのですよ。
                >これのデフォルトを Yes にした所で、嬉しい人はどれくらいいるんですかね。
                >容易に No に変更できるというくらいなら、最初からそうしておけばよいの

物事のやり方は一つではない -- Perlな人

処理中...