Re:internet watchじゃなくて (#1126467) | はてなのサーバーに不正侵入

「はてなのサーバーに不正侵入」記事へのコメント

記事ページを表示すべてのコメント取得

検索62コメント Log In/Create an Account

internet watchじゃなくて (スコア:4, 参考になる)

by Anonymous Coward

一次ソース [hatena.ne.jp]
- Re:internet watchじゃなくて (スコア:0)
  
  by Anonymous Coward
  
  基本的に、sshで鍵認証のみ許可とか、ものによってはネットワークごしのログイン不可、なんでしょうね。
  - Re:internet watchじゃなくて (スコア:4, 参考になる)
    
    by shojin (28072) on 2007年03月15日 13時22分 (#1126467) 日記
    
    『社内で定めておりますセキュリティポリシーが一部正しく遵守されていない状態』と言っているので、sshでパスワード認証によりログインできるというのはポリシーを守っていない状態なんでしょうね。それから推察するとsshでは公開鍵認証を使うべしというのがポリシーだったのでしょうね。
    
    まあ、パスワード認証が空いた状態になるありがちな設定ミスはusePAM yesですね。
    PasswordAuthenticationやChallengeResponseAuthenticationは設定ファイルをみると一目瞭然なのですぐにnoにしますが、usePAMというのは一見そういうのには見えませんから。しかし、多くのsshd用のPAMの設定にはパスワードで認証するものが普通に入っているので、これを殺しておかないとパスワード認証が許されてしまうのです。
    ちなみに、あるホストがパスワード認証を許さない設定かは秘密鍵の名前を変えて使えないようにした上でそのホストにsshすると、『Permission denied (publickey).』と表示されるのでわかります。これを応用すると公開鍵認証設定自動調査プログラムを作れますね。
    
    シェア
    
    親コメント
    - Re:internet watchじゃなくて (スコア:1)
      
      by tsekine (18956) on 2007年03月15日 13時56分 (#1126487) ホームページ日記
      
      秘密鍵の名前を変えて使えないようにした上で
      
      ssh -i non-existent-filename -o PreferredAuthentications=publickey ...
      とかすると、わざわざ秘密鍵の名前を変えなくてもいいし、サーバーへの負担もへるのでは? それとプログラムを作るのであれば Python で twisted [twistedmatrix.com] あたりを使ってもいろいろできそうですね。ドキュメント足りなすぎだけど。
      
      シェア
      
      親コメント
      - Re:internet watchじゃなくて (スコア:1)
        
        by shojin (28072) on 2007年03月15日 15時00分 (#1126527) 日記
        
        ssh -o PreferredAuthentications=keyboard-interactive,password ホスト名
        ではないのですか？
        
        目的は『公開鍵認証ができるかを調べる』ことではなくて、『パスワードを使った認証ができない』ことを調べるので下記のオプションの使い方は少し違うかと思います。
        実際、FreeBSD 6.2RのOpenSSHを使って調べたところ、下記の方法では-iが失敗した時点でいつも使っている秘密鍵を使ってログインしてしまいます。
        > ssh -i non-existent-filename -o PreferredAuthentications=publickey ...
        
        シェア
        
        親コメント
        
        Re:internet watchじゃなくて (スコア:1)
        
        by tsekine (18956) on 2007年03月15日 20時25分 (#1126682) ホームページ日記
        
        ssh -o PreferredAuthentications=keyboard-interactive,password ホスト名
        
        ではないのですか？
        
        そうですね(汗。寝ぼけてました。
        
        シェア
        
        親コメント
    - どうやったら「ありがち」になるんだろうか (スコア:0)
      
      by Anonymous Coward
      
      わざわざ注意書きまでしてあるusePAMが無関係なんてどこに目が憑いてるんだろうかと思うのは別としても、
      バージョンが同じでもバックポートされてる事もあるし挙動は同一なわけでもない。最後の段落についても同様。
      - Re:どうやったら「ありがち」になるんだろうか (スコア:3, 興味深い)
        
        by shojin (28072) on 2007年03月15日 14時49分 (#1126522) 日記
        
        某所で管理させられているDebianサーバーのsshd_configには何の注意書きもコメントもないですね。
        一方、生活OSであるFreeBSDのsshd_configにはPAM認証がChallengeResponseAuthenticationやPasswordAuthenticationをバイパスする旨が明記されています。
        まあ、ディストリビューションによってはそんな注意を促してくれないので自分で注意しましょうということで。
        
        シェア
        
        親コメント
        
        Re:どうやったら「ありがち」になるんだろうか (スコア:1, 興味深い)
        
        by Anonymous Coward on 2007年03月15日 21時14分 (#1126704)
        
        UsePAMのコメントって、
        # Set this to 'yes' to enable PAM authentication, account processing,
        で始まるものでしょうか?
        
        Debianのパッケージをみたのですが、オリジナルのソースに付属のsshd_configを利用せず、postinstファイルでシンプルなものを生成・加工しているようです。それはそれで理由があるとは思いますが、オリジナルのsshd_configのコメントを捨てるのはもったいなさすぎ。
        
        シェア
        
        親コメント
        
        Re:どうやったら「ありがち」になるんだろうか (スコア:2)
        
        by shojin (28072) on 2007年03月16日 11時52分 (#1126963) 日記
        
        > UsePAMのコメントって、
        > # Set this to 'yes' to enable PAM authentication, account processing,
        > で始まるものでしょうか?
        
        その通りです。
        
        Debianは簡略化することで見やすくしようという意図でやっているのでしょうけれど、コマンド3つ打てば同じことが実現できるのを重要なコメントを失うことまでして最初からやる必要なんてあるんでしょうか。ちなみに、#をコメントにしている設定ファイルに共通ですから、ファイル名を変数にしたシェルスクリプトを作るとコマンド1つになります。
        > cat /etc/ssh/sshd_config | grep -v '^#' | grep -v '^$'
        
        シェア
        
        親コメント
        
        Re:どうやったら「ありがち」になるんだろうか (スコア:1)
        
        by b-wind (13096) on 2007年03月16日 18時17分 (#1127203) 日記
        
        つまらないツッコミだけど、
        
        $ egrep -v '^(#|$)' /etc/ssh/sshd_config
        
        一発でいけます。
        
        シェア
        
        親コメント
    - Re:internet watchじゃなくて (スコア:0)
      
      by Anonymous Coward
      
      設定を変えたときにそれを日本語で丁寧に文書化して、何を設定したのかわかりやすく解説してくれるソフトがあればおじいちゃんにも安心だ。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

はてなのサーバーに不正侵入 More ログイン

「はてなのサーバーに不正侵入」記事へのコメント

internet watchじゃなくて (スコア:4, 参考になる)

Re:internet watchじゃなくて (スコア:0)

Re:internet watchじゃなくて (スコア:4, 参考になる)

Re:internet watchじゃなくて (スコア:1)

Re:internet watchじゃなくて (スコア:1)

Re:internet watchじゃなくて (スコア:1)

どうやったら「ありがち」になるんだろうか (スコア:0)

Re:どうやったら「ありがち」になるんだろうか (スコア:3, 興味深い)

Re:どうやったら「ありがち」になるんだろうか (スコア:1, 興味深い)

Re:どうやったら「ありがち」になるんだろうか (スコア:2)

Re:どうやったら「ありがち」になるんだろうか (スコア:1)

Re:internet watchじゃなくて (スコア:0)

スラド