特権分離 (Privilege Separated) OpenSSH
私たちはプログラミング上のミスによる影響を、 特権 (root権限) をもたない子プロセス内に閉じこめることで その影響を制限することにしています。 特権をもたない子プロセスからシステムをやぶることはできません。 つまり、私たちの目標は OpenSSH の中で完全に特権を分離することなのです。 特権分離には 2つのプロセスを使用します。 特権をもつ親プロセスは、特権をもたない子プロセスの進行を監視します。 子プロセスは特権をもっていません。これはその uid/gid を実際には使われない ユーザのものに変更し、chroot() によってそのプロセスの ファイルシステムへのアクセスを /var/empty に制限することで 達成されます。これはネットワークデータを処理するためだけのプロセスなのです。 特権をもつ親プロセスは、非常に小さな有限状態遷移機械として モデル化することが可能であり、こ
fail2banでブルートフォース攻撃からsshdを守る
# fail2banでブルートフォース攻撃からsshdを守る 2018/12/22 CentOS Linux セキュリティ 勉強としてたまにハードニング大会に参加しています。とあるシステムが与えられて、そこにレッドチームが攻撃をしかけるので、ブルーチームとしてその攻撃からシステムを防御する、というイベントです。私は基本いつもブルーチーム。 そんな中、真っ先に守らねばならない大穴なのがsshd。大抵、sshdは公開鍵認証のみを受け付ける設定にするか、アクセス元のセグメントでアクセス制御を行ってしまえばとりあえず防御完了なのですが、それができないシステムがたまにあります。参加人数が大人数かつ、攻撃側と防御側のセグメントが分けられていなかったり、すでにシステム内部に侵入済みであることを想定した大会であったり。今回は、そんな状況でもsshdを防御するために、fail2banというツールを使ってみま
Windowsでポートフォワーディング|アイオーアーキテクト
とある案件でWindowsでポートフォワーディングを行う必要がありましたのでやり方含めてご紹介しておきます。 OS: Windows 2008R2 やりたいこと: Windowsサーバにポート中継をさせて、特定セグメントからのアクセスを別セグメントの特定マシンへの通信に振り替えさせる Linuxですとiptablesあたりを駆使すればそれなりに簡単にできてしまいますし、SSHポートフォワードなんて手もあります。ですが今回は相手はWindows。制約上SSHポートフォワードもNGということでなんかアプリをいれないと駄目かなぁと思って調べていたのですが、実はWindowsのみでポートフォワードすることができます。 ポートフォワードを行うにはnetshコマンドを使用します。 Windowsサーバ(192.168.50.50)の8080ポートを外部サーバ(ここでは192.168.100.100とし
NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起
各位 JPCERT-AT-2017-0034 JPCERT/CC 2017-09-12 <<< JPCERT/CC Alert 2017-09-12 >>> NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170034.html I. 概要 NTTドコモが提供する LG Electronics 製 Wi-Fi STATION L-02F には脆弱性が あります。脆弱性を悪用された場合、リモートからの攻撃によって、任意のコー ドを実行されたり (CVE-2017-10845)、機器に保存されている設定情報を取得 される (CVE-2017-10846) 可能性があります。脆弱性の詳細については、JVN の情報を参照してください。 JVN#68922465 Wi-Fi STATION L-02
ドコモからのお知らせ : 「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い | お知らせ | NTTドコモ
お客様の設定により、お客様情報が「非表示」となっております。お客様情報を表示するにはdアカウントでログインしてください。 お客様情報表示についてへ お客様情報表示についてへ ドコモからのお知らせ 「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い 2017年7月10日 (2017年11月6日更新) 平素は、NTTドコモの商品・サービスをご利用いただき、誠にありがとうございます。 これまでに「Wi-Fi STATION L-02F」において、端末内の特定の設定により、セキュリティ上の脆弱性が以下のとおり判明しております。 これら事象は、ソフトウェアアップデートを行っていただくことで予防および改善ができますので、速やかにソフトウェアアップデートを実施いただきますようお願い申し上げます。 Wi-Fi STATION L-02Fの製品アップデート情報
sshd再起動時にssh接続が継続する動作について | ギークを目指して
Linux/Unixサーバにsshしている際、sshdを再起動したとする。 sshdは一度終了する訳だから、現在接続しているsshも切断されるかと思いきや、接続は継続する。 今まであまり気にしていなかったけど、この振る舞いについて調べてみた。 先ず、現象の確認から 対象サーバにssh接続し、sshdを再起動してみる。 $ ssh ryozo@192.168.56.12 # 対象サーバに接続 $ hostname centos1.example.jp $ sudo service sshd restart sshd を停止中: [ OK ] sshd を起動中: [ OK ] $ hostname centos1.example.jp sshdは一度停止されているにもかかわらず、対象サーバからは切断されていない。 プロセス構造から理由を探る sshdプロセスの構成 先ず、sshdプロセスの構
SSH秘密鍵のパスフレーズは(つけるなら)11文字以上にしましょうねという話 - 本当は怖いHPC
twitter上で、「SSHの秘密鍵って、盗まれて.bash_history見られたらアクセスし放題だから危ないからパスフレーズを付けるべき」という話があった。個人的には、パスフレーズは気休め程度にしかならないと思っているので付けていない。そもそも、SSH秘密鍵のパスフレーズは、ネットワーク越しのパスワードとは違うもので(だから違う名前がついているのだが)、ZIPファイルのパスワードと似たようなものだ。攻撃者がファイルをローカルにコピーしてじっくり解析できる。 よって、パスフレーズが役に立つのは、 秘密鍵(とシェルのログ)を盗まれ、 秘密鍵を盗まれたことに気づき、 素早くすべての接続先ホストにおいて盗まれた秘密鍵を無効にする という場合だ。このシナリオなら、攻撃者によって接続先に不正にアクセスされるのを防ぐことができる。 パスフレーズによって、どれくらいの猶予が生まれるのか? パスフレーズ
楕円曲線暗号に 512 bit は存在しない | はったりエンジニアの備忘録
新しい SSH 鍵を作るために ssh-keygen のマニュアルを読んでいたら、おもしろい記述を見つけました。鍵のビット長を指定する b オプションの説明です。 For ECDSA keys, the -b flag determines they key length by selecting from one of three elliptic curve sizes: 256, 384 or 521 bits. 「ECDSA キーの場合、b オプションは 3 つの楕円曲線サイズのいずれかを選択することでキーの長さを決定する」。ここまでは理解できるのですが、示された 3 つ目のビット長が 521 bit なんです。 「えっ、2^9 の 512 bit じゃなくて 521 bit なの?」エンジニアなら違和感を感じて、まずタイポを疑いますよね。自分もタイポだと思って Fedora で試
GitHubユーザーのSSH鍵6万個を調べてみた - hnwの日記
(2015/1/30 追記)時期は不明ですが、現時点のgithub.comはEd25519鍵にも対応しています。 (2016/5/31 追記)「GitHubにバグ報告して賞金$500を頂いた話」で紹介した通り、既に弱い鍵はGitHubから削除され、新規登録もできなくなっています。 GitHub APIを利用して、GitHubの31661アカウントに登録されているSSH公開鍵64404個を取得してみました。抽出方法*1が適当すぎて偏りがあるような気もしますが、面白い結果が得られたと思うのでまとめてみます。 SSH鍵の種類 鍵の種類 個数 割合 RSA鍵 61749 (95.88%) DSA鍵 2647 (4.11%) ECDSA鍵 8 (0.01%) 約6万個の鍵のうち、8個だけECDSA(楕円DSA)鍵が見つかりました!常用しているのか試しに登録してみただけなのかはわかりませんが、何にせよ
FreeSSHd on Vista メモ - BiBoLoG
FreeSSHd v1.2.4 を使った. freeSSHd and freeFTPd - open source SSH and SFTP servers for Windows スクリーンショットはこっちにまとまっている. http://www.nognog.com/techmemo/freeSSHd_Install_HOWTO.php インストーラでサービス登録すると SYSTEM というユーザが動かすことになる.GUI で設定しようと FreeSSHDService.exe を実行しても,先に動いているサービスの側が22番ポートを使っているため, FreeSSHd をインストール スタートメニューにフォルダを作らない デスクトップアイコンを作らない private key を作る service 登録する パーソナルファイアウォールソフトの設定 Windows ファイアウォールで2
freesshd.com - This website is for sale! - freesshd Resources and Information.
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
WindowsでCygwinやSUAを入れずにSSHが使いたい! : とあるSEの備忘録
データの連携が多いシステムだと、対向システムも様々である。 メインフレームがあればパソコンに毛が生えた程度のシステムもある。 小生が携わっていたシステムは顧客情報(個人・法人)を扱うものがあり、データを 連携をさせる際、暗号化が必須となっていた。メインフレームで動いているような システムは、運用費用が潤沢に用意されているため暗号化のソフトや仕組みが そもそも用意されていて何の問題も無い。 問題なのはパソコンに毛が生えた様なサーバ(実質パソコン)を使うシステム。 運用費用の少なさからWindowsと必要なアプリ以外何も無く、追加でソフトの 購入もほぼ絶望的。なので暗号化の仕組みをもってないこのようなシステムは どうしてもフリー(オープンソース)ソフトを利用することになる。 『OpenSSH for Windows』があるが10年近く更新されて無くWin2008以降 ではインストールできない。
WindowsでSSHサーバ ~ Cygwinのインストール : オラクる。
WindowsでSSHサーバを構築する手順を確認してます。 今回、SSHサーバとしてOpenSSHを利用します。 そのため、まずはCygwinをOpenSSH込でインストールします。 Cygwinのセットアップファイルはこちらからダウンロードします。 ダウンロード後、セットアップファイルを実行し、ウィザードを起動します。 インストールするパッケージを選択し、インターネットから選択したパッケージをダウンロードする方法を選択します。 ローカルのパッケージをインストールに利用することも可能です。 ルートディレクトリを指定します。 このディレクトリがLinuxで言うところの「/」になります。 ディレクトリにスペースが入っている「Program Files」ではない方がいいかも知れません。 ダウンロードしたパッケージを格納するフォルダを指定します。 インターネットに直接接続するか、プロキシを利用する
Coccinellida
Everything You Need To Provide Complete Visibility Into Your Data Center And Cloud Infrastructure Designed by engineers with IT experience to discover, document, and manage medium and large datacenters. Featuring an intuitive web-based interface, Device42 actionable insight into enterprise infrastructures, with clearly identified hardware, software, service, and network interdependencies, powerful
sshの公開鍵 authorized_keys ファイルの制限機能について調べてみたら楽しかった.(実行コマンド制限など) - それマグで!
authorized_keys ファイルについて調べてみたら楽しかった.ポートフォワード専用公開鍵とかいろいろ作れそうです authorized_keys ファイルって単に,公開鍵を入れて置く場所だと思ってました authorized_keys ファイルにはログイン時に自動実行するプログラムとか、環境変数を書いておくとか イロイロ便利な使い方があるのです. 使える設定は以下の通り ログイン時に自動適応する設定は次の通り from="pattern-list" environment="NAME=value" command="command" cert-authority tunnel="n" permitopen="host:port" no-X11-forwarding no-user-rc no-pty Prevents tty allocation (a request to al
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google 翻訳
Defining host aliases in your SSH config
Windows FTP Server Download - File Sharing Software - Sysax
Fugu SSH
iSSH