- 1 名前:名無しさん@お腹いっぱい。 [2008/09/15(月) 12:18:59 0]
- VPSプランについて、語りませんか?
●ハードウェアは共有だがソフトウェアは独立
●独自のアプリケーションをインストール可能
●サーバリソースは均等に分配
前スレ
VPSプランってどうよ?3
pc11.2ch.net/test/read.cgi/hosting/1169682422/
- 209 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/10/04(土) 22:37:00 0]
- >>205
>HyperVM自体にセキュリティホールがあるのか、
>それともCheapVPSとHyperVMとの組み合わせに問題があるのか。
XENを走らせているHyperVMからリブートかけると、
何と、rootパスワードが業者の設定したデフォルトに勝手に
書き換えられてしまう。
CheapVPSがいくら対応してもHyperVMの開発元が直さない限り
どうにもならないという罠。
このバグはXENでHyperVMを使ってるホスティング業者全てに影響が出る。
OpenVM/Virtuozzo使用者は影響無し。また、rebootコマンドでリブートかけている
人も影響無し。
VPSlinkでも指摘されているよ↓
forums.vpslink.com/security/4411-root-password-reverts-after-reboot.html
- 210 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/10/04(土) 22:39:07 0]
- >>209
なるほど。
今までrebootコマンドしか使ってなかったから、気が付かなかったぜ。
- 211 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/10/04(土) 22:45:53 0]
- また、XENでリブートかけてもSSHログインするまではユーザーは気づかない。
で、その間に業者のデフォルトパスワード知ってる荒らしにrootログインされてオワタ\(^o^)/
対策は、rootを塞ぎ、認証鍵でログインするよう設定しておくことだな。
- 212 名前:名無しさん@お腹いっぱい。 [2008/10/04(土) 22:51:41 0]
- 俺は、アカウントを受け取ったらまず
PermitRootLogin no
PasswordAuthentication no
UsePAM no
するのが習い性になってるなあ。毎日ログに記録される
ブルートフォース攻撃の痕跡を見れば、誰でもパスワード認証を
オフにしたくなるはず。
- 213 名前:名無しさん@お腹いっぱい。 mailto:age [2008/10/05(日) 00:59:09 0]
- >>211
CheapVPSは、長いこと商売してて知らんかったって事?
- 214 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/10/05(日) 10:23:51 0]
- これはHyperVMのアップデートパッチを当てて新たに空いてしまった穴。
以前から存在するバグだったらCheapVPSも気づいただろうが、今回は「パスワードが
勝手に変えられてる」というユーザーからの指摘があるまで気づかなかったようだ。
ユーザー自身も、SSHログインするまではrootパスワードが変わっているかどうか
分からないし、rebootでリブートかける習慣がある人は影響ないから余計に気づかない。
なので、CheapVPSにクレームを出すのも遅くなる。
|
 |
