2010年3月アーカイブ

依然Softbank回線上をwormがうごめいているようです。pocとは"proof of concept"つまり実証コードを指す訳なのだけど、今出回っているのはpocを冠するには気が引ける程、の実効性を獲得しています。

現在主流となっているコードはDictonary Attackのルーチンが組込まれています。未確認ですがbrute forceをかけて来るものもあるなんて噂もちらりほらりと...
本当に迷惑な話なんだけどJBしている方達はそうも言っていられない訳ですね。パスワードを書き換えただけでは安全とは言えなくなった訳です。
まあ、対策が無いではないので。ここに挙げておきますが、詳細な記事を書く暇もないのでググってみると良いと思います。

sshdのセキュリティを強化する。

一番問題なのはsshdのセキュリティが低い状態な事なんだ。そこを何とかするとこの問題は解決するのだけどね。
と言う訳で、まずはアクセス制御。単純だけど無いよりはかなりましになるんだ。

自身のアクセスを許可する場合はこう。

echo sshd:127.0.0.1 >> /etc/hosts.allow

次は特定のIPレンジを許可する場合。

echo "sshd: 192.168.1." >> /etc/hosts.allow

もちろんドメインでの制御も出来る。

echo "sshd: chuwa.iobb.net"  >> /etc/hosts.allow

最後はぜ〜んぶ許可しない場合。

echo "sshd: ALL" >> /etc/hosts.deny

もちろんhostsファイルをダイレクトに編集するってのもOKな訳だけど、既存の記述を書き換えてしまうと。システム自体が不安定になる事もあるので注意。特にシステムは起動時にループバックインターフェースをチェックしようとするので127.0.0.1が消えているとエラーを生じる事になるんだ。ってこのあたりはコメントが書いてあるね。

まあ、一番安全なのはsshd自体を殺しておく事。ポートが反応しなければなす術も無いと言う訳だね。

そういっても使いたい時は使いたい。なら、公開鍵認証をセットアップ。解説するのが面倒なのでググって下さい。
セットアップが終ったらもちろん。sshd_configを書き換えてパスワード認証を殺しておく事。
これでdictionary attackだとかblute forceなんかは全く意味をなさない。

ここ、数日グーグル先生とこからのトラフィックが極端に増加したので、ふ〜んと思っていたのだけどね。取り急ぎ出来る事を書いてみた。ここに書いたのはOpenSSH全般に言える事なのでサーバなんかにも応用がききます。というかiPhoneではディレクトリ構成どうなっているのか良く解っていなかったりしてw

このアーカイブについて

このページには、2010年3月に書かれたブログ記事が新しい順に公開されています。

前のアーカイブは2010年2月です。

次のアーカイブは2010年4月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

OpenID対応しています OpenIDについて
Powered by Movable Type 5.12

    follow? twitter...     
    available on exchange