パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Fedora、rootユーザーによるsshパスワードログインのデフォルト無効化を検討開始」記事へのコメント

  • sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
    パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
    つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
    多くの組織の場合、パスワードの前半部

    • by Anonymous Coward

      ssh-keygen
      Generating public/private rsa key pair.
      Enter file in which to save the key (/home/whoami/.ssh/id_rsa):
      Enter passphrase (empty for no passphrase):
      標準で聞いてくるよなあ…emptyにするのが標準なんだろうか?あと、秘密鍵暗号化に対応してないSSHクライアントってなんだろ?これってネタとか釣りなのかな?

      パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…

      • by Anonymous Coward

        パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…

        使いまわすのは秘密鍵も同じでは?
        PuTTYgenとかで作って同じのサーバにアップして使いません?

        VPS50台管理していたら50セットもキーペア作るんですか?

        • by Anonymous Coward on 2019年05月21日 19時36分 (#3618609)

          使いまわしても、自分の端末から漏洩することはあっても
          別のところから漏洩はしないでしょw

          親コメント
          • by Anonymous Coward

            ちゃうちゃう、秘密鍵自体をみんなで共有しやがるの。
            だから同じ秘密鍵がいろんな端末に入っているという。
            その時点で漏れたとみなすべきだろうけど、彼女らはそういう認識を持たない。
            何言っているんだって思おうかもしんないけど、そういう運用する馬鹿多い。
            というか、運用に携わるITエンジニアってそんなばっか。

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...