アカウント名:
パスワード:
たとえ他のマシン全てのパスワードを違うものにしていて、しかもランダムで生成したパスワードだとしても、一つ漏れてしまえばパスワードで用いている字種、長さ、クセなどから類推されてしまう可能性が格段に高くなる。 日頃からメンテナンスなどでリモートログインする時も、パスワードで認証するのではなく、sshのshared key認証でログインするようにした方が安全。
そういう意味では、一般に言われている「一般ユーザでログインしてsuすべし」というのもインターネットに公開されたサーバでは危険を伴う。 「一般ユーザでログインしてsuする」というのは、正規ユーザによる悪意の行為が行われた場合に誰がやったのかを識別できる利点はあるが、それもログが改竄されていない事が前提だし、昨今のインターネットに接続されたサーバではシェルアカウントを持つ正規ユーザが大量にいるという状況も少ないので、あまりメリットは無い。 逆にsuできる一般ユーザアカウントをクラックされて、suする時のキーストロークをロギングされてしまう事によってrootパスワードが漏出してしまう可能性もある。 より安全なのは、インターネット上に(暗号化されているか否かを問わず)一切パスワードを流さない事。 そのためにもshared keyなどを利用してパスワードを使わない運用体制を作るのが良い。 shared keyで直にrootでログインするよりも、安全性が保証できないマシン上でrootパスワードを打つ方がより危険度は高い。
パスワードはあくまでも簡便な認証の一手段であって、安全性はそれ程高くないという事を認識すべき。
そうでもしないと原因が解るまでずっとサービス停止になってしまうでは無いですか。
#サーバーの内容次第ってのもあるけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
では、「やってはいけないこと」は何? (スコア:2, 興味深い)
では逆に「これだけは、やっちゃいけない」ことってありますか?
# 門外漢なので聞いてみるだけしか出来ませんが
*-----------------------*
-- ウソ八百検索エンジン --
Re:では、「やってはいけないこと」は何? (スコア:2, おもしろおかしい)
……頼むから帰ってきて。
Re:では、「やってはいけないこと」は何? (スコア:2, おもしろおかしい)
「上司、同僚にたとえ事実であってもありのままに報告するだけで放置すること」
「たとえ感染元や踏み台が上司や同僚の管理していた機器であっても
それを他人の面前で明らかにすること」
「通ぶってホイッスルブロアーや他人のせいにすること」
やってほしい事「上司、同僚に判る様に 以下の事を説明する」
1.落ち着いて行動するようにお願いすること
2.上司にこの災いをチャンスとして更なる予算や権力、最新機器を分捕れる
はずなので、協力してほしいと頼むこと
3.ウイルスとかいってもプログラムであって、人間に感染するものではないことを判るように説明すること。(-_-;)
#マジに書いてしまった orz
Re:では、「やってはいけないこと」は何? (スコア:1, おもしろおかしい)
隣の課の人がいきなり「ウィルスだっ!」と叫んで大騒ぎになったことがあります。
…血液の診断関係の機械作ってる部署だったもんで、そりゃもう大騒ぎに。。。
Re:では、「やってはいけないこと」は何? (スコア:2, おもしろおかしい)
「ウィルスだ!急いでケーブルを引っこ抜け!」
慌てたネットワーク担当がそう叫んだ次の瞬間、
ブチッ、ヒュ~ウゥン…
なぜか聞いてはいけないはずの音に続いて急に静かになった。
焦りながら振り向くと、PCの知識が乏しい年配のお偉方が
「これでええのか?」
と言いながら手に持ってるのは3Pプラグの黒いケーブルだった…
#ネタのつもりだけど、本当に有りそうで怖いなぁ…
腐乱化…もといFlanker
Re:では、「やってはいけないこと」は何? (スコア:0)
プラグは、コンセントになっていたものを、壁からコードを引っ張り出し、アースと一緒にメス3Pプラグをつけてつなぎ、本来は防水用の、ドライヤ
マジですか? (スコア:1)
じゃ、やっぱり「絶対サポセン…」に投稿して(をぃ)
PCの知識に乏しい年配の上司が一番危ないのはどこでも一緒みたいですね。
腐乱化…もといFlanker
Re:では、「やってはいけないこと」は何? (スコア:1)
そして本体側のケーブルが抜かれる...
Re:では、「やってはいけないこと」は何? (スコア:1)
気が付くと、本体側も直結になっていた。
ある日、電源ユニットが故障して、修理担当者曰く
「いったいどうしろってのさ…」
その担当者は電源を交換した後で、泣く泣く直結に改造しましたとさ。
#「おもしろかなしい」っての欲しいですねぇ…
腐乱化…もといFlanker
Re:では、「やってはいけないこと」は何? (スコア:0)
#さすがにネタなのでAC。
Re:では、「やってはいけないこと」は何? (スコア:0)
何やってんだか。
Re:では、「やってはいけないこと」は何? (スコア:0)
クラスタマシンの0/1系を間違えたらしいです。
たこ殴りにしました。
業者だったので「以後出入禁止」の処置にしてます。
だってタグまで付けてるのに何で間違えるかな...。
Re:では、「やってはいけないこと」は何? (スコア:0)
客にも下請けにもなりたくない。
もちろん従業員にも。
Re:では、「やってはいけないこと」は何? (スコア:0)
と書いてありますので、
「その業者名を教えて欲しい」が正解かと :-)
# 別ACです
Re:では、「やってはいけないこと」は何? (スコア:0)
俺も、同感(w
Re:では、「やってはいけないこと」は何? (スコア:2, 参考になる)
crackされた後、一度でもパスワードを打ったマシンを再びネットワークに繋ぐ事。
たとえ他のマシン全てのパスワードを違うものにしていて、しかもランダムで生成したパスワードだとしても、一つ漏れてしまえばパスワードで用いている字種、長さ、クセなどから類推されてしまう可能性が格段に高くなる。
日頃からメンテナンスなどでリモートログインする時も、パスワードで認証するのではなく、sshのshared key認証でログインするようにした方が安全。
そういう意味では、一般に言われている「一般ユーザでログインしてsuすべし」というのもインターネットに公開されたサーバでは危険を伴う。
「一般ユーザでログインしてsuする」というのは、正規ユーザによる悪意の行為が行われた場合に誰がやったのかを識別できる利点はあるが、それもログが改竄されていない事が前提だし、昨今のインターネットに接続されたサーバではシェルアカウントを持つ正規ユーザが大量にいるという状況も少ないので、あまりメリットは無い。
逆にsuできる一般ユーザアカウントをクラックされて、suする時のキーストロークをロギングされてしまう事によってrootパスワードが漏出してしまう可能性もある。
より安全なのは、インターネット上に(暗号化されているか否かを問わず)一切パスワードを流さない事。
そのためにもshared keyなどを利用してパスワードを使わない運用体制を作るのが良い。
shared keyで直にrootでログインするよりも、安全性が保証できないマシン上でrootパスワードを打つ方がより危険度は高い。
パスワードはあくまでも簡便な認証の一手段であって、安全性はそれ程高くないという事を認識すべき。
Re:では、「やってはいけないこと」は何? (スコア:1)
オンラインな状態にしておく事だと思います。
(もちろん、構成により、のっとられたまんま
のほうがましな場合もあるかと思いますが)
ま、動いてるサービスにより、臨機応変な
対応が必要だと思います。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:では、「やってはいけないこと」は何? (スコア:1, 参考になる)
Re:では、「やってはいけないこと」は何? (スコア:1)
Re:では、「やってはいけないこと」は何? (スコア:1, 参考になる)
まったく同じ設定状態に復旧
Re:では、「やってはいけないこと」は何? (スコア:0)
とりあえずバックアップ機を同設定で立ち上げ、その後にクラックされたマシンを調べ対策を練る。
そうでもしないと原因が解るまでずっとサービス停止になってしまうでは無いですか。
#サーバーの内容次第ってのもあるけどね。
Re:では、「やってはいけないこと」は何? (スコア:0)
原因究明も対策も何もしないで、OSから再インストールしたところで復旧した気になって、
数日後に再度crackされた人を間近で見たことがあるもので…
個人で自宅サーバでWWWを公開してたんですけどね。
スキルが無いならそんなことするな、と言いたい
Re:では、「やってはいけないこと」は何? (スコア:0)
「やってはいけないこと」は何? (スコア:0)
# ♪きんこんかんこん、ねんき~ん
Re:では、「やってはいけないこと」は何? (スコア:0)