OpenSSH の脆弱性について
こんにちは、クラウドエースの SRE チームに所属している妹尾です。 今回は OpenSSH の脆弱性についての記事です。 (この記事は 7/4 に速報版から正式版へ更新しました) 2024/07/02 に、CVE-2024-6387が発表されました。 これは放置しておくと SSH を受け付ける全てのサーバーを乗っ取る事ができてしまう脆弱性です。 厄介なことにデフォルト設定の SSH-Server と、ある程度の時間があればサーバーを乗っ取れてしまうので、緊急度もかなり高めになっております。 そして Compute Engine もこの影響を受ける ので、多くの環境で対策が必要となります。 結局どうすればいいの Google が公表している、 GCP-2024-040 の手順に従いましょう。 (日本語訳ページだとまだ公表されてないようですので、英語版を見てください) 具体的には、以下のよう
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
やはりお前らの「公開鍵暗号」はまちがっている。
※タイトルの元ネタは以下の作品です。 はじめに この記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。 少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。 ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証(本人確認)をするためのプロトコルだと理解して読み進めてください。 公開鍵暗号の前に:暗号技術とは 公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。 これは情報の機密性を守るための「暗号化」という技術ですが、実は「暗号技術」と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。 念のため補足して
SSH接続をWebブラウザの純粋なHTTP上で実現する - nwtgck / Ryo Ota
HTTPといえばHTML/CSS/JavaScriptや画像などの小さめの限りがあるデータを手に入れるためによく使われている印象がある。REST APIのようなHTTPを使ったAPIでも限りのあるデータがリクエストとレスポンスになる印象が強い。
MacOS ユーザが WSL では無い Windows のコンソール環境を整える - 2nd life (移転しました)
先日、メインの開発環境を MacOS から Windows 10 Professional へと移しました。理由としては主に2点で、現在仕事を自宅の固定席で行っており PC を持ち運びする必要がなくなったため Mac より高速で安価な Windows デスクトップ機を使いたいこと(Ryzen 9使いたい!)、WSL2 が正式版となり使ってみた感じ問題なく WSL2 で仕事の開発ができそうだったことが挙げられます。 WSL2 はふつうに Linux なので問題なく開発環境の構築が行なえ、Windows からも VSCode Remote のおかげでで違和感なくWSL2上のコードを編集、実行ができ快適な開発が行えています。(なお、WSL2 についての記事は山程溢れているので、ここでは殆ど触れません。) しかしながら、WSL2 ではないふつうの Windows 上で開発する機会が出てきたので、M
ssh-keygenで鍵作成し、sshでログインできるようにする。 – gomokulog
秘密鍵と共通鍵のセットを作る。 1.鍵作成コマンドを実行 ssh-keygen -t rsa -t オプション 鍵の種類 rsa1, dsa, ecdsa, ed25319, rsa (-tで指定しない場合はバージョンにもよるけど大抵rsaがデフォルト) 2.鍵の保存名を設定 Enter file in which to save the key (/home/gomokuro/.ssh/id_rsa): といった具合に聞かれるので、そのままEnterを押せば、()の中のパスに保存される。 任意の保存先ファイル名を続けて入力すればそこに保存される。 Enter passphrase (empty for no passphrase): 作成時に、パスフレーズを聞かれる。 パスフレーズは、秘密鍵を盗まれた時に秘密鍵をすぐには使えないようにするのが目的。 ちなみに、空エンターでパスフレーズ無し
PuTTY を用いた SSH ポート転送の手順
1. 概要 本文書は,ISO 2022 による日本語入力・表示を可能にするパッチ を適用した PuTTY (以下,PuTTY)を用いて,SSH ポート転送を使用する手順について述べます. 2. SSH ポート転送機能とは? SSH(Secure SHell) には,ローカルコンピュータおよびリモートコンピュータの任意のポートに対して要求された TCP 接続を,ネットワーク上の別のコンピュータに転送する機能が備わっています.これをポート転送 (Port forwarding) と呼びます. これは,クライアントと踏み台の間で確立している SSH 接続を介して,クライアントとサーバの間に擬似的な通信路を確保します. この機能を用いると,組織内のコンピュータからのアクセスのみを許可するサーバのデータに,外部から直接アクセスすることが可能になります. 例えば,ユーザが必要とするサービスを提供するコ
【EC2】PuTTYからSSHで踏み台サーバを経由し、プライベートのサーバに接続する方法 | ナレコムAWSレシピ
こんにちは、ジャンクです。 今回は、パブリックに立てたサーバからプライベートに立てたサーバにPuTTYによるSSH接続をしたいと思います。 ■用意するもの ・AWSアカウント ・PuTTY ・PuTTYgen ※PuTTY、PuTTYgenのダウンロードはこちら ■比較 以前の記事でも同様の内容をご紹介しておりますが本記事の内容では以下メリットがあります。 ・セキュリティ面 以前の記事はキーファイル(.pem)を踏み台サーバに直接アップロードしているため第3者が踏み台サーバに接続できてしまった場合、簡単にプライベートのサーバに接続されてしまいます。ですが、本記事では、プライベートのサーバに接続する際にもキーファイル(.ppk)を要求するため侵入できない安全な接続方法となっております。 ・ファイルを編集しなくてよい 以前の記事を上から見ていきますとホスト名を変更するため、キーファイル(.pe
IntelliJ IDEAで踏み台サーバを経由してリモートサーバにデプロイする
IntelliJ IDEA には deployment というファイルをリモートに送信することができる機能があります。踏み台サーバ経由でデプロイするときにひと手間必要だったので備忘録。 目次 SSH のローカルポートフォワードを利用する IntelliJ IDEA の deployment の設定 SSH のローカルポートフォワードを利用する IntelliJ IDEA の deployment は単一のサーバしか設定ができず、~/.ssh/config ファイルも読みません。 そこで、SSH のローカルポートフォワードを設定することで目的のサーバにデプロイすることができました。踏み台サーバーの Global IP が XXX.XXX.XXX.XXX で、デプロイしたいサーバの Private IP が 192.0.0.1 のとき、ローカルのポート 122 にポートフォワーディングを設定し
CentOS 7 で sshd のポートを変更する(firewalld, SELinuxの設定)
CentOS 7 で sshd のポートを変更する(firewalld, SELinuxの設定) 2014/11/21 CentOS, Linux, サーバ管理, セキュリティ sshd をデフォルトポート(TCPの22番)で待ち受けていると、ログファイル(/var/log/secure)に大量のブルートフォースアタックのログが残ります。パスワード認証を無効にして公開鍵認証のみにしておけば、実際に侵入されることはまずないのですが、見ていて気分の良いものではありません。そんな理由で、sshdの待ち受けポートを変更している人も多いと思います。 最近セットアップした CentOS 7 でも同じ設定をしようとしたのですが、長らく使っていた iptables が firewalld に替わったため 1、その設定も必要になりました。また、今回から SELinux も有効にして運用しているので、そちらの
sshの鍵を作るときにちょっとだけ気にしたいこと | DevelopersIO
こんにちは、臼田です。 AWSでEC2と接続するためのsshの鍵の生成は、基本AWS側で行なってくれますが、ec2-user以外のユーザで別の鍵を利用したり、AWS以外でもGithub等のサービスに利用したりする際には自分でsshの鍵を作成すると思います。 本当にちょっとしたことですが、ssh-keygenで鍵を生成する際に気にしたいことを書きます。 普通に作ってみる ssh-keygenコマンドは対話式で鍵を生成することができます。 具体的には、下記のような動作になります。 $ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/Users/username/.ssh/id_rsa): /Users/username/.ssh/test Enter passphr
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
EmacsでSSH接続!『tramp』を使ってみよう | vdeep
こんにちは、okutaniです。Emacsには、ローカルのEmacsからサーバーへSSH接続できる『tramp』という機能があります。 このtrampを使うと、サーバー上にあるファイルをサーバー上で直接編集することができて便利です。 このtrampは、最近のEmacsでは標準で入っているため、めんどうなインストールや設定は不要です。私が使っているGNU Emacs 24.5.1には最初からインストールされていました。 なお、本記事ではサーバーにエックスサーバーで使っています。SSHが使えるサーバーであれば、レンタルサーバーでも問題なく動作するかと思います。 ではさっそく、trampを使ってEmacsでSSH接続してみましょう。 スポンサーリンク Emacs&trampでSSH接続してみよう Emacsを立ち上げ、「C-x C-f(もしくはM-x find-file)」のあとに「/ssh:u
SSH秘密鍵 id_rsa -> putty形式&OpenSSH形式に変換 - Qiita
SSH秘密鍵 id_rsa を putty形式 & OpenSSH形式に変換する手順 ネットにうじゃうじゃあるこの類の記事ですが、久しぶりにやったら忘れていたので自分用にメモします。 Windows環境での方法です。 使用するツール puttygen.exe このページとかかからダウンロードします。 手順 ※id_rsa の読み込みには、鍵のパスフレーズが必要です。 ppkファイル puttygen.exeを起動 [Conversions]を押下 [Import key]を押下 id_rsaを選択 [Save private key]を押下 適当な名前を付けて、*.ppk ファイルの出来上がり OpenSSHファイル poderosa とかでも使っている鍵形式です。 puttygen.exeを起動 [Conversions]を押下 [Export OpenSSH key]を押下 適当な名前
ssh_configのススメ
第18回シェル芸勉強会のLTで使ったスライド https://usptomo.doorkeeper.jp/events/28602
秘密鍵・公開鍵でPuttyからSSHする方法。 - それマグで!
新規ユーザー追加するときに鍵の作り方を忘れていたのでまとめなおした。鍵なんて一回作ったらずっと使い回しだから、やり方とかメモしてないと忘れちゃうよね。 SSH公開鍵生成して使う。 手順は次の通り サーバーで秘密鍵・秘密鍵を作る。 公開鍵をサーバーの認証済みキーに登録する。 ログインのテスト。 Windowsに鍵を転送。 PuttyのKeygenでPutty形式変換。 poderosaの場合もPuttyのKeygen Puttyで鍵を指定する。 サーバー側での手順 debian00:~# ssh-keygen -t rsa # 1. 鍵を作成 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Created directory '/root/.ssh
さくらVPSでスタートダッシュ決めるには結局どーすりゃいいの?
WinでVPSするのに必要なソフト 何はともあれPuTTY。PuTTYはVPSと通信する為のソフト。他にもTeraTermなどあるけど、よく分かんないならPuTTY。 Windowsのsshクライアント三強の個人的な比較 | 全自動ねじまき機 さくらのコンパネでサーバーを起動したらWinでPuTTYを起動してVPSを操作する。コンパネにある「リモートコンソール」は基本的に緊急時に使うもの。ちなみに私はサーバー起動後にさらに一回再起動しないとPuTTYで入れませんでした。 PuTTYでVPSのコンソールを表示するのが、Macにおける「ssh root@IP.ADD.RE.SS」と同じです。これでドットインストールをガシガシ進めます。 ドットインストールの該当範囲 さくらのVPSへ接続してみよう 作業用ユーザーを設定しよう 日本語確認で化けます。PuTTYの文字コードをEUCからUTF-8に変
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Write failed: Broken pipe」によりsshが切断された時の対処法 - Qiita
有効なWikiNameではありません - inamuu wiki site
多段SSHの設定を.ssh/configにまとめる - Qiita
