[plamo:25663] Re: ssh dos

[Shun-ichi TAHARA (田原 俊一)]

From: 早間 <hayama@kmf.biglobe.ne.jp>
Message-Id: <20050614.120908.104305468.hayama@hayama.kmf.biglobe.ne.jp>

> > 素朴な疑問なのですが、ルータでポートの22番を塞ぐのとどちらが
> > 管理コストが安いのでしょうか？
> > 
> 
> ホストの運用形態と使用者の考え方に帰する問題かも知れません。

じゃなくてですね。セキュリティに関する考え方の問題かと。

SSHみたいなメジャーなポートに対する攻撃は事実上不可避で、少々攻撃を受
けても侵入されたり落とされたりという実質的な被害がなければ目をつぶる、
というのが、昨今の流れであるように思えます。

もちろん、全てのアタックに目を光らせて、日々対処することも選択肢の一つ
だとは思いますが、そんな管理コストをかけられる人や組織はそうそういない
はずです。

もっと根本的なレベルで、「必要のないポートは開けない」この1点だけで全
てが解決することもあるわけです。POP や HTTP と違って、SSH は一歩間違え
れば危ないことになるサービスですので、ポートを開けること自体に慎重にな
るべきだ、ということだと思います。

ここまで神経質になるのであれば、あるいは物凄いDOS攻撃で運用が成り立た
ないのであれば、22/TCP 自体を閉じて、別の手段を考えるべきだ、というの
が、ふたみさんのおっしゃりたいことだと思うのですが。

ちなみにうちでは、Zebedee な VPN 経由でアクセスするようにしています。
こちらの方には、まだ目に付くようなアタックは来てないですね。

# もちろん、その他のポートはルータで塞いでいます。

> ディフォルトで sshd がポート22 で起動するように設定されています。
> sshd が起動されると言うことは他のホストから ssh がアクセスすること
> を期待していると言う見方も出来ます。

Plamo のデフォルト値を信頼してはいけません。
設定値は全てユーザがいじることを想定している、
そういうディストリビューションだと思うのですが :-)。

# まぁ最近は例外も多々ありますけどね。

> # ポート22 を開いていない系にはポート 22 への アクセスが殆どありま
> # せん。それなりにポート22 を開いているホストをサーチしているよう
> # です。 
> # 放置すると起動できるデーモンの限界まで起動されます。

22/TCP を開いていても、そこまでは来ないですね。
マシンの性能の問題か、あるいは手前のルータで能動的に絞ってるのか…
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣