ようこそ!逆襲のニートブログへ

ブログ内検索

最近の記事

はてなブックマーク数

この日記のはてなブックマーク数

カテゴリー

月別アーカイブ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

SSHの公開鍵認証方式

リモートアクセスでサーバ管理する場合は、
(1)SSHで暗号化通信を行なう。
(2)固定IPアドレスからのみアクセスを許可する。(IPフィルター)
(3)パスワード認証ではなくて、公開暗号鍵を使う認証にする。
という方法が安全なようだ。

入門OpenSSH―Linux/FreeBSD/Solaris/Mac OS X対応 入門OpenSSH―Linux/FreeBSD/Solaris/Mac OS X対応
新山 祐介 (2006/06)
秀和システム
この商品の詳細を見る


http://pc11.2ch.net/test/read.cgi/php/1172056198/

706 :nobodyさん :2007/03/16(金) 02:08:02
http://www.atmarkit.co.jp/news/200703/15/server.html
14日と同じ手法
はてな、新たな不正侵入が判明

ブルートフォースで入れるてどんな素人管理だよ



709 :nobodyさん :2007/03/16(金) 02:36:10
>>707
っていうか、一般的なサーバの運用の場合、指定された
IPアドレスの範囲からしかログインできなくするのが普通
だけどね。

そうしておけば、総当りで攻撃なんて心配する必要はあんまりないんだけどね。



717 :nobodyさん :2007/03/16(金) 17:13:11
>>711
アカウントっていうかsshのアクセスに使うポートだね。

そんでもって、セキュアな環境を作る場合は、固定IPアドレス持ってない
なんていう人は、ログインさせないのが普通
です。
ああいったサービスを運営している企業が、どこからでもログインできるような
状態にしておくってのが異常なこと


ミッションクリティカルな業務の会社でこんなことしたら首飛びます。



718 :nobodyさん :2007/03/16(金) 17:22:21
まったくだ
社長がアメリカからアクセスできるようにIPのフィルタ外したんじゃね



719 :nobodyさん :2007/03/16(金) 18:58:56
>>717
ええ~~~!
じゃあさぁ、たとえば個人事業とか小規模企業とかで、
専用鯖をレンタルしてて、自宅や会社から普通のISP経由で
鯖にアクセスしなきゃならん場合
はどうすればいいの?

そういう環境の人って無茶苦茶多いでしょう。
みんなが固定IPアドレスを契約してるとはとても思えないんだけど・・・。



720 :nobodyさん :2007/03/16(金) 19:10:03
俺の場合、
自宅のADSLは下1バイトしか変わらないからそこだけワイルドカード指定
事務所のVDSLはずっとIP変わってないからジャストに指定してる
接続元を複数確保してるから繋がらなくなった時はないけど
最悪サーバー管理会社に依頼すればOK



721 :nobodyさん :2007/03/16(金) 19:14:44
ってかフィルタしなかったら普通に攻撃されまくるよ。
中国や韓国から無差別にポートスキャンしてくるからねぇ



726 :nobodyさん :2007/03/16(金) 20:17:12
>>719
そういう場合は、パスワードの認証方式をやめて、
SSHの公開鍵認証方式にすればいい。

秘密鍵の方はUSBメモリにでも入れて持ち歩けば、
特定のパソコン以外からでもログインできるし。

でも、どのみち、固定IPでなくても、自分が利用しているプロバイダ以外は
フィルタしておいた方がいいと思うけどね。



(参考サイト)
6.2 ユーザ認証の留意点
http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap6/6_userauth-1.html

エ) 暗号化認証
暗号化認証とは、ユーザ認証に暗号化システムを組み込み、セキュアな通信上でユーザ認証を行うものである。


RSAユーザ認証
この認証は、RSA公開鍵式暗号を利用し、公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式である。公開鍵はサーバー側で管理し、秘密鍵とパスフレーズは個人で管理し、これら3つによりユーザ認証を行う。SSHを利用した暗号化認証では、この方式が最もセキュアなものである



OpenSSHで暗号化通信
http://www.stackasterisk.jp/tech/systemConstruction/openssh01_01.jsp

SSHプロトコルを使用すると、『盗聴』『なりすまし』に対する防御力を高めることができます。データを暗号化することで『盗聴』に対してデータを守り、クライアント側での認証機構を設けることで、なりすましの防衛にも役立つようになります。


公開鍵暗号方式は、『公開鍵』という誰にでも公開してかまわない鍵と『秘密鍵』という誰にも見せないように厳重に保管しておく鍵のペアを使用してデータの暗号化/復号化をします。
公開鍵を使用して暗号化したデータは秘密鍵によってしか復号化できないような仕組みになっていて、また、公開鍵からは秘密鍵を求めることはほぼ不可能という性質を持っています。
SSH1をはじめとする多くの暗号化通信では通信データを暗号化するための共通鍵を、公開鍵暗号化方式を使用して受け渡すことで、安全性と実用的な通信速度を実現しています。



開かれたネットワーク環境でのセキュリティ対策
http://ccweb1.kek.jp/people/yashiro/RepN/KEKpre2003-118/index.html

5. SSHの公開鍵認証
SSHによるユーザ認証にはパスワード認証と公開鍵認証がある。パスワード認証はパスワードをSSHサーバ側で管理する。一方、公開鍵認証では秘密鍵とそのパスフレーズをSSHクライアント側で管理する。

全てのホストを自分ひとりが管理し利用するなら、使いやすい認証方式を利用すればよい。サービスマシンで利用者と管理者という関係になった場合には、利用者にとっては自分で秘密鍵を管理できる公開鍵認証認証の方が好ましいが、管理者にとっては管理できない公開鍵での認証を受け入れることになる。この場合の最大の問題は、パスフレーズ無しの秘密鍵を検査できないことである。

公開鍵認証で SSH agent を使用するとリモートアクセスが非常に便利になる



レンタルの専用サーバを借りたら、SSH+公開鍵認証方式を使おう。
IPアドレスも固定か、せめてプロバイダー指定くらいは設定する。
日本国外からのアクセスは全てカットする。
というかんじかな?
関連記事

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバックURL:
http://gooddays1.blog37.fc2.com/tb.php/284-63b7c212

FC2Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。