Article 255 at 05/11/08 02:04:09 From: yusuke@cs.nyu.edu Subject: [ssh:00255] Re: FYI: SSHサーバーへの攻撃が増加傾向，侵入後はフィッシング・サイトに悪用も

Index: [Article Count Order] [Thread]

Date: Mon, 07 Nov 2005 12:04:06 -0500
From: Yusuke Shinyama <yusuke@cs.nyu.edu>
Subject: [ssh:00255] Re: FYI:	SSHサーバーへの攻撃が増加傾向，侵入後はフィッシング・サイトに悪用も
To: ssh@koka-in.org
Message-Id: <20051107170406.23982.67940.yusuke@grape.cs.nyu.edu>
In-Reply-To: <m0vez4ctrk.wl.zophos@ietta.Dadd9.com>
References: <m0vez4ctrk.wl.zophos@ietta.Dadd9.com>	<m0wtjkd55v.wl.zophos@ietta.Dadd9.com>	<20051107152518.3825.84059.yusuke@mango.cs.nyu.edu>
X-Mail-Count: 00255

NISHI Takao <zophos@Dadd9.com> wrote:
> 
> > また、このリストのみなさんはもうご存じでしょうが、
> > パスワード認証をオフにする (PasswordAuthentication no) と
> > これらの一連の攻撃はまったく意味をなさなくなります
> 
> 蛇足ですが，UsePAM yes な環境だと PasswordAuthentication no にしてても，
> ChallengeResponseAuthentication no にしとかないとパスワード認証が有効
> になっちゃいますね。

いや、これは蛇足なんかではなく重要な点ですね。忘れてました。

PAM はぼくにとっては (おそらく多くの人にとっても) 複雑すぎるので、
よほど凝ったユーザ管理をしたいのでない限り、使わないほうがいいと思っているんですが、
Fedora や Gentoo などのディストリビューションはデフォルトで UsePAM yes になっています。
openssh オリジナルのパッケージはデフォルトで UsePAM no なので、
これは注意すべき点だと思います。

ほかのディストリビューションや *BSD ではどうなんでしょうか?
ちなみに Slackware は UsePAM no でした。

Yusuke