[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:50533] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
吉藤です。
17日の東京エリアDebian勉強会でも話題沸騰でしたが...
In article <6827c8970805170805k12b6a489te7460dfa83b764c5@xxxxxxxxxxxxxx> (at Sun, 18 May 2008 00:05:44 +0900), fubabz <fubabz@xxxxxxxxx> says:
> DSA-1576-1によるとopensshアップグレード時に、SSHサーバ鍵は確認後自動更新されるとありますが(実際当方サイトでもそうなりました)、以下も必要なのでしょうか?
いいえ。少し古い情報だと思います。
心配なら、手動で鍵のチェックをするとよいかと思います。
> 2008/5/14 Hideki Yamane <henrich@debian.or.jp>:
> > 参考までに、当方では以下のような形で ssh サーバの鍵を作り直しました
>
> > ~$ cd /etc/ssh/
> > /etc/ssh$ sudo mkdir vulnerablekeys_dir
> > /etc/ssh$ sudo mv ssh_host_*key* vulnerablekeys_dir/ (古い鍵を移動)
> > /etc/ssh$ sudo dpkg-reconfigure openssh-server (新しい鍵を生成)
> >
> > これで ssh サーバ側の対処は終わりです。
これは、もうちょっと正確には、サーバ側の"鍵の"対処です。
一方、ssh接続に公開鍵方式を用いた認証を行っている場合、
***サーバ側がDebianであるかに拘らず****、脆弱な公開鍵が
登録されていないか(典型的には全てのユーザの ~/.ssh/authorized_keys に
あります)を確認し、該当する鍵を削除する、といった対応が必要です。
この危険性は、乱暴にいえば、passwordが、あるべき姿よりはるかに
高い確率でばれてしまっている、ということに相当します。
特に、あるサーバにssh接続を許されているユーザ名が推測可能な場合、
非常に危険です。
--yoshfuji