.
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

OpenSSH セキュリティについて

port22をひとたび開くと、膨大なアタックが行われます。それはもう、ウンザリする程です。サーバー乗っ取りを考える悪党から見れば、こんなに魅力的 なポートナンバーはありません。直接の攻撃対象とならなくとも、別のルートからの侵入は出来ないか、など攻撃者の関心を引く事間違いなしです。

SSH リモートログインの危険性について

SSH に限らず、リモート管理を行うための暗号化の有無に関わらず慎重に行わなければならない理由は説明するまでもありません。特に Telnet は SSL/blowfishなど併用した暗号化を行わない接続は非常に危険です。利用しないサービスは停止させておく事は基本ですが、sshd を使用したバックドアを狙うウイルスやハッカーの恰好の標的となりますので、利用しないのであればアンインストールをしておく事をお薦めします。

SSH 利用にあたって認識しておくべき事

  • 攻撃者は外部からとは限らない
    • 攻撃者は外部からの攻撃とは限りません。自分の会社は悪意のある人間はいない。ネットワークに関して高度な知識を持った人間はいないとしても、インター ネットに接続できる環境である以上、ウイルスに感染する可能性があります。トロイの木馬系などのバックドアを狙うウイルスは、よくSSHポートを攻撃対象 とします。
    • このようなリスクからネットワークを守るには、ファイアーウォールで厳しく使用するポートを制限する必要があります。通常は全てを閉じ、必要な ものだけを通すネットワーク層での対策と、アプリケーションレベルでの接続制限、IDSによる監視です。また、通信が行える以上、その経路からの攻撃は防 ぐ事は出来ません。
  • 盗難といった人的行為が招く穴
    • ノートパソコンなどデスクトップ機に比べ、盗難、紛失によるリスクを考えなければなりません。RSA 認証鍵による接続、及びパスワードなしでのログインは危険です。
  • セキュアなイメージが招く誤解
    • SSH は暗号化プロトコルにより全ての操作が強力に暗号化されます。それ故に安全と思われがちですが、ネットワーク盗聴(スニッフィ ング)に対して安全性が向上するに過ぎません。
    • アプリケーションのセキュリティホールを突く攻撃や内部からの攻撃、盗難、盗聴、キーロガーに対しては意味はありません。RSA公開鍵暗号を使用しUSBメモリなどの外部デバイスに格納するなどして併用して安全性を高めます。

絶対にしてはいけないこと

ディレクトリの同期をとるには、当然ですがファイル・ディレクトリの所有権問題が出てきます。これを面倒だからといって、直接 root によるssh接続を行ってはいけません。ここで取上げたパスフレーズを要求しない公開鍵認証なんてもっての他です。

所有者、グループによる所有権で対応す るようにして下さい。また、SetUIDやGIDなど、基本的な所有権の操作についてはLinuxだけでなく基本中の基本となりますので、意味が分からな い方は、まずこちらの勉強からされる事をお奨めします。

例えば、このようなネットワーク構成の場合で、ローカルホストがインターネット経由でウイルスに感染した場合、適切なファイアーウォールが構築されていないと、内側から直接、メンテナンス・検証用のサブシステムに直接SSHへアクセスされてしまいます。

学習リソース => 不正侵入の手口と対策
学習リソース => 分かりやすい所有権の話
学習リソース => 止められないUNIXサーバのセキュリティ対策 ( sudo を使ったコマンドの制限について)

bottom_mark
ページ最上部
ページ最上部 前のページ