[plamo:25666] Re: ssh dos

[Hiroshi Futami]

ふたみなのです。

From: 早間 <hayama@kmf.biglobe.ne.jp>
Subject: [plamo:25662] Re: ssh dos
Date: Tue, 14 Jun 2005 12:09:08 +0900 (JST)

> > 素朴な疑問なのですが、ルータでポートの22番を塞ぐのとどちらが
> > 管理コストが安いのでしょうか？
> > 
> 
> ホストの運用形態と使用者の考え方に帰する問題かも知れません。
> 
> (1) sshd へのアクセスを LAN内に限るのであれば「ルータでポートの22番
>     を塞ぐ」ことで対応できるでしょう。 

 LAN内でも盗聴を心配してSSHを使うのではないでしょうか? というか、外部
からSSHを許さなければならない理由が思い付きません。なので、私の管理し
ているWWWサーバは外部からのSSHは禁止してます。

# telnet も当然ですが使えません。

> 例えば plamo のパッケージでは openssh がインストールされます。
> もちろん、自分の責任で対策をすることが大前提ですが
> ディフォルトで sshd がポート22 で起動するように設定されています。
> sshd が起動されると言うことは他のホストから ssh がアクセスすること
> を期待していると言う見方も出来ます。

 デフォルトの状態でサーバを運用してる人なんていないような気がします
が。ですから、デフォルトの状態でのセキュリティの優劣を論じるのはあま
り意味がありません。

> # ポート22 を開いていない系にはポート 22 への アクセスが殆どありま
> # せん。それなりにポート22 を開いているホストをサーチしているよう
> # です。 
> # 放置すると起動できるデーモンの限界まで起動されます。

 必要のないポートを閉じるというのは基本だと思います。運用上ポートを
閉じることができない場合にどういう対策をするのかは次の問題です。

-- ふ