パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenSSHが使用サーバ数でSSHを上回る」記事へのコメント

  • by Anonymous Coward on 2002年02月27日 9時34分 (#67001)
    企業のLANでSSHポートを外に対して開けると 中から自宅のPCサーバーにSSHするやからがいます。

    すると、メールだろうが、WEBだろうがなんでも ポートフォワードしてとってこれます。 せっかくPOPとかHTTPとかのポートを閉めて、 プロキシーとかでアクセス制限かけているのに意味ない・・・。

    ユーザが勝手にSSHのポートフォワーディングをするのを やめさせる方法ってないですかね・・・。
    • by Ryo.F (3896) on 2002年02月27日 10時28分 (#67022) 日記
      > ユーザが勝手にSSHのポートフォワーディングをするのをやめさせる方法ってないですかね・・・。

      じゃ何でSSHなんか外に向かって開放してるの?
      SSHでログインされた時点で、一般ユーザで可能なことはすべて可能なんだから、ポートフォワードが可能だろうが不可能だろうが、セキュリティレベルは変わらないと思いますが。
      親コメント
    • by gimy (5240) on 2002年02月27日 15時20分 (#67114)
      port forwardingそのものを禁止するのとは違いますが、事前に申請があった外部ホストに対してのみ22番での接続を許可することにして、自宅サーバのようなものは申請時の審査で却下するというのではどうでしょう?

      もっとも、外部に自由になるサーバがあるという前提だと、たとえproxy経由であれHTTPが可能ならHTTP tunnelでなんでもできてしまいますから、SSHを禁止したところで本質的な解決になっていないと思いますけど。
      親コメント
    • by Anonymous Coward
      これがあるから、まともなセキュリティ観念のある所だと逆にsshポートを開けていないので、sshは使えない。
      だから、telnet(もちろんssl化などは対策はしておきますが)を使うことになるって言うのは良くあることだと思います。

      こんな事も考慮せずに、今時telnetd入れてるの?みたいに言う人は、職業として利用してない人なんでしょうね。
      • by Anonymous Coward
        別にsshをport 23で使っても良いわけで… おっしゃってる対策はあまり意味がなさそうですね。
        • by tix (7637) on 2002年02月27日 16時02分 (#67126) ホームページ
          私も管理者から「外の○○番ポートへの接続はあけない」と言われて、何度 port 80 で SSH サーバを動かそうと思ったことか……。

          管理者に何かのポリシーがあって利用を制限したとしても、制限の範囲内で管理者の思っているポリシーを破ることは、いろいろ頑張るとたいていできてしまいます。

          セキュリティを維持するために必要なのは、利用制限(ポートをふさぐとか)ではなく利用者の協力だろう、と一利用者として思うのです。そのためには管理者と利用者がシステムのポリシーについて話ができる状態を維持することが必要でしょう。

          もちろん、利用制限をかけることで
          • 利用者が間違ってポリシーに反することをしてしまうのを防ぐ
          • 利用者に、ポリシーに反することをするのを躊躇させる
          • なるべく厳重に利用制限を行うことで、管理者の決意の程を見せる
          という効果は期待できます。
          • 手間を掛けてまでポリシーに反することをするのはばかばかしいと思わせる
          というのもうまくいく場合はあるかもしれません。しかし、
          • コンピュータに詳しくない利用者にだけでも強制的にポリシーを守らせる
          という意図が入ってほしくはありません。
          --
          鵜呑みにしてみる?
          親コメント
      • by Anonymous Coward
        まともなセキュリティ観念のある所だとDMZを設けて内部から直接へ外部あるいは外部から直接内部へパケットが届かないようにしているものでしょ。生兵法だと怪我しますよ。
    • by Anonymous Coward
      AllowTcpForwarding no
      すれば良いのでは。
      • by Anonymous Coward
        いや、外部から内部のsshdを叩くというんじゃなくて、
        内部の人間が内→外に開いているポートを使って外部の
        サーバにログインするということでしょ。

Stableって古いって意味だっけ? -- Debian初級

処理中...