パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「よく使われる危険なパスワードTop500」にご注意を」記事へのコメント

  • 実体験 (スコア:5, 参考になる)

    サーバをインストールして、先方に渡し、
    DCに設置してもらってネットにつながってから色々作業しようと思ってました。
    で、rootのパスワードに「123456」を設定してました。

    メールで「ネットにつなぎましたよー」と連絡もらって、
    さあ作業しようと思ったらログインできません。ぎゃふん。
    東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
    同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。

    ワームに犯された上、ルートキットを孕ませられてしまったので、
    passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
    のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
    泣きべそ書きながらrsyncでルートキットを駆除しました。
    • Re: (スコア:4, 参考になる)

      いまどき、パスワードでログイン可能にする方が馬鹿です。
      sshを公開鍵認証のみ受け付けるよう設定しないと、間違いなく食い破られます。

      新規にIPをもらってサーバを建てても、半日~1日でログインに失敗したログが現れます。
      日本人らしき人名とか、よくあるシステムIDとか、ゾロゾロ、ゾロゾロと。

      # 怖いのは、相手側のIPアドレスがことごとく異なること。 この攻撃者は、一体、何台のPCを手下にしているのだろう?
      --
      notice : I ignore an anonymous contribution.
      • Re: (スコア:0, フレームのもと)

        パスワードログインでもtcp_wrapperをかければ十分だと思います。
        それは人それぞれの運用です。それをバカ呼ばわりするのはどうでしょうか?
        • Re: (スコア:4, 参考になる)

          |tcp_wrapperをかければ十分
          rootkit仕掛けられても再インストールしない人に言われても説得力が無いなあ[笑]。
          侵入されてるでしょ? 十分じゃなかったって事でしょ?

          まず、その手のフィルタは補助でしかない。本気で狙われたら突破される。

          現在の分散攻撃に対しては8~10桁のパスワードなど無力です。(半月保たないかもしれない)
          この状況で、データセンタに設置したマシンがパスワード認証だぁ?
          馬鹿以外に何と呼べと?
          ※パスワードだけで運用可能なのは、ファイアウォールの内側だけです。(しかも、内部でのウィルス対策が行われているという前提が必要)

          1) 認証は公開鍵
          --
          notice : I ignore an anonymous contribution.
          • by Anonymous Coward
            >>本気で狙われたら突破される
            その本気の狙い方を教えて下さい
            • by Anonymous Coward
              たとえば、アクセスを許可しているIPアドレス範囲内の端末 / サーバーを踏み台にされたら駄目でしょう。

              この場合、すでに1台がやられている訳なので、同じように運用している端末 / サーバー がやられる可能性は、他の人が運用している端末 / サーバーよりも高いでしょう。

              そもそもこの方がリモートでアクセスしている端末が既にやられている可能性もあるわけで・・・

              # セキュリティは想定しうる“可能性”を潰すことと心得る
              • by Anonymous Coward
                可能性があることと本気を出せば突破できることは違うのでは。
                僕はIPアドレス制限をちゃんとかけてあるサーバにクラックする方法を知りません。
                その方法が知りたいのです。
              • by Anonymous Coward
                たとえば、「IPアドレス制限をちゃんとかけてあるサーバ」に接続するクライアントPCをユーザーが使用中、トイレやちょっと電話で席を離し、その隙に悪意ある同僚や家族がルートキットやバックドアを仕組み、踏み台とすればサーバにアクセスできるでしょ。

                あるいは、許可しているIPアドレス範囲のネットワークに悪意あるコンピューターが接続してくれば、安易なパスワードを平文で扱っていたりすれば突破されるよ・・・。こういうソーシャルハッキング的行為が組み合わさるとIPフィルタでは防げませんよね。

                もちろんこの場合、前者なら他人が入れない場所にPCを
              • by saitoh (10803) on 2009年01月07日 9時59分 (#1486646)
                ただの屁理屈じゃん。 明示的には書いてはないが当然、「チャンと管理されたマシンのIPアドレスだけ通すように」tcp_wrapperを設定した場合に、「登録されてないIPアドレスのマシンからsshで」侵入可能か?って話でしょ。

                tcpwrapperに登録されたマシンが踏み台にされた場合とか、ssh以外のセキュリティホールを突かれた場合に、sshdへのtcpwrapper設定が意味を持たないのは自明。

                親コメント
              • Re:実体験 (スコア:2, 参考になる)

                by Ryo.F (3896) on 2009年01月07日 10時26分 (#1486658) 日記

                侵入可能か?って話でしょ。
                可能なんじゃないですか?
                TELNETじゃなく、SSHを使う理由は、一つには通信経路が信用できないから、暗号化したい、ということですよね。
                信用できない通信経路には、途中に何を仕掛けられるか判りませんよね。IPアドレスを偽って侵入しようとするクラッカーもいるかもしれません。
                以前、『データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は? [srad.jp]』って話もありましたので、可能性が低い、と言い切れる話でも無いと思います。
                親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...