[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51561] Re: システムをクラッキングされたようです・・
渥美と申します.
一応,管理者 *も* 生業にしています.
ここにスレッドを繋げるのが適切かどうか定かではありませんが,sshの設定
について,一言申し上げます.
Tatsuya Kazuno <kazuno@xxxxxxxxx> wrote (Wed, 7 Jan 2009 21:15:59 +0900)
> これですが、/root/.ssh/authorized_keys は確認されましたか?
> (rlogin かも知れませんが)
> "PermitRootLogin yes" な状態であれば、パスなしのキーを登録されていた
> かも知れません。
ログが改竄できるならsshd_configの設定も書き換えられるので,あまり意味
が無いかと.
> ・sshd_config で "PermitRootLogin no" に設定
こちらには議論が有ります.リスクをきちんと理解した上で設定してください.
PermitRootLogin noの設定では外部から直接rootでログインできません.外部
からログインしてroot権限を行使するためには,
1. sudoを使う.
2. suを使う.
になります.1では設定が不適切だと,一般ユーザでログインされても,事実
上root権限を行使されるので,ユーザ名が推測できる環境ではリスク軽減にな
りません.2の場合,暗号化されるとは言え,rootのパスワードの実体がネッ
トワーク上を流れます.暗号化アルゴリズムに弱点が発見されると,平文で送っ
ているtelnetと変わらなくなってしまいます.
もちろん,
PermitRootLogin yes
かつ
PasswordAuthentication no
UsePAM no
に設定したとしても,ユーザ名rootの決め打ちで狙われることになるので,ど
ちらがリスクが低いかご自身で判断していただくことになります.
いずれにしても,
PasswordAuthentication no
UsePAM no
の設定は強く推奨します.後は可能であれば,遠隔地からrootの作業をしない
ことが推奨されます.必要だとおっしゃるでしょうが,その場合はそれ相応に
リスクを背負うことになりますので,そのリスクを受容してください.
いずれにしても,どのようなOSやその他のシステムであっても弱点の無いシス
テムは無いと考える方が妥当です.今回の経験を踏まえ,今後もあるだろう同
様の事態に対応できるよう,業務継続計画(何をするべきかの手順)を作ってお
くと良いでしょう.必要にならないことを祈りたいですが...
--
Kiyotaka ATSUMI, Suzuka National College of Technology
Web: https://www.ka-lab.jp/
PGP Public Key: https://www.ka-lab.jp/pubkey/kiyotaka-at-ka-lab.jp.asc
Finger Print: 9E2A 80B4 0F3D 424E 035F B594 991F 7795 DD6D 560F