- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 18:50:57.67 .net]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
■前スレ
SSH その7
toro.2ch.net/test/read.cgi/unix/1266323017/
■過去スレ
その6 pc12.2ch.net/test/read.cgi/unix/1202782840/
その5 pc11.2ch.net/test/read.cgi/unix/1145484540/
その4 pc8.2ch.net/test/read.cgi/unix/1102242908/
その3 pc5.2ch.net/unix/kako/1058/10582/1058202104.html
その2 pc.2ch.net/unix/kako/1028/10281/1028157825.html
その1 pc.2ch.net/unix/kako/976/976497035.html
- 667 名前:名無しさん@お腹いっぱい。 [2024/05/08(水) 23:26:16.37 .net]
- dhcp option 121 は 127.0.0.1 宛もどっか別のホストを経由するように設定できたりするんだろか
特別なアドレスだからできないのかな?
- 668 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/09(木) 00:27:41.88 .net]
- >>667
OS によるけど Linux とか大抵のやつだと 127/8 はデフォルトは lo scope なのでローカル限定。
- 669 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/16(木) 08:23:12.44 .net]
- >>643
自宅の環境は二年ぐらい前にEd25519に変えたけど、職場の方はsshdがEd25519に対応してないレガシーシステムがあるのでRSAのままだ
- 670 名前:名無しさん@お腹いっぱい。 [2024/05/18(土) 16:06:08.71 .net]
- そんな古いsshdで問題ない環境なら問題ないな
- 671 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/19(日) 01:39:58.51 .net]
- ビット数少ないほうが計算コストかからないとは言うけど公開鍵を使うのは通信の最初だけだからそんな大して影響無いんじゃないの?と思ってしまうRSA4096教徒
- 672 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/19(日) 02:07:27.18 .net]
- >>671
間違ってはいない。
ただ最近は単純な今のコンピュターの計算時間強度だけでなくて、対量子コンピューター強度みたいなのも求められるようになってきてるので RSA はオワコンは動かない。
- 673 名前:名無しさん@お腹いっぱい。 [2024/05/19(日) 10:04:42.15 .net]
- 楕円曲線もショアのアルゴリズム?で量子コンピュータ相手には強度半減だったような
- 674 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/22(水) 18:48:02.29 .net]
- >>669
俺もOSがCentOS6なレガシーシステムにアクセスする必要があってRSAな鍵を使い続けていたが、去年そのシステムが廃止されたのでEd25519に移行した
- 675 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/22(水) 19:13:22.99 .net]
- 量子コンピュータでRSAが解読出来るってのは都市伝説だと思うよ
- 676 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/22(水) 19:29:43.49 .net]
- >>675
そう考えてるのはお前だけだな
近い将来に量子コンピューターが実用化したらという前提で世界は準備を始めてる
- 677 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/22(水) 22:06:51.15 .net]
- > 2048ビットのRSA暗号の解読には約1万量子ビットと約2兆2300億の量子ゲート数、深さ約1兆8000億の量子回路が必要で約104日間量子ビットを誤りなく保持する必要があるとした。
4096ビットだとどうなるんだ?
2048ビットはそもそも近い内に安全ではなくなると言われてるから、4096ビットで考えないとな
それを考慮するととんでもない労力が必要になると思うけどね
量子コンピュータだからって魔法じゃないんだよ
神はサイコロを振らない
- 678 名前:名無しさん@お腹いっぱい。 ころころ mailto:sage [2024/05/22(水) 23:33:30.37 .net]
- 公開鍵暗号方式で共通鍵を交換するだけなんだからRSA8192ビットとか作ればいいのに…
強度はリニアに増加しないかw
それなら楕円曲線暗号で2048ビットとか4096ビットとか
- 679 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/05/23(木) 01:58:34.26 .net]
- ポスト量子暗号に熱心なのは Google 先生とかだが、Google は自社で5年で100万量子ビットが目標とか言ってるので整合性は取れてる。
- 680 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/06/01(土) 08:31:04.25 .net]
- >>671
最初だけではない
4096くらいじゃ気にする頻度でもないが
- 681 名前:名無しさん@お腹いっぱい。 [2024/07/12(金) 23:34:55.94 .net]
- 1400万台以上の「OpenSSH」サーバーに影響する脆弱性が見つかる
https://japan.zdnet.com/article/35220945/
- 682 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/13(土) 04:46:44.63 .net]
- それもう先週くらいの話だよね~
- 683 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/15(月) 00:47:22.79 .net]
- ところがそのあとに似て非なる問題が発見されたそうですよ。
一部のLinuxシステムだけがSSHにパッチをあてて脆弱にしていたっていう。
https://distrowatch.com/dwres.php?resource=showheadline&story=18367
https://www.cve.org/CVERecord?id=CVE-2024-6409
- 684 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/15(月) 01:34:57.81 .net]
- せっかく枯れたバージョンを使いたくて赤帽を選んでいるのに
- 685 名前:名無しさん@お腹いっぱい。 [2024/07/15(月) 10:44:33.03 .net]
- 枯れたバージョンには枯れたバージョンなりのリスクがある
- 686 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/16(火) 18:12:44.74 .net]
- 枯れた技術の水平思考
- 687 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/18(木) 21:00:11.35 .net]
- >>680
鍵交換なんて最初と決まった時間ごととか転送量ごとだよね?
- 688 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/18(木) 23:03:11.79 .net]
- 公開鍵の話と共有鍵の話がごっちゃになってるな
ssh とか TSL とかでは最初に長めの公開鍵暗号で認証して
セッションごとに新しく生成した短めの共有鍵を公開鍵暗号の秘密鍵で暗号化して交換する
その後のセッションは短い共有鍵を使って暗号化して通信する
ずっと長い公開暗号鍵を使って通信しているわけではない
計算量が無駄なので公開鍵暗号は最初の共有鍵を交換するまでしか使用しない
- 689 名前:名無しさん@お腹いっぱい。 [2024/07/18(木) 23:19:25.08 .net]
- 再交換も公開鍵暗号では?
え?違うの??
- 690 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/19(金) 09:14:06.19 .net]
- >>689
再交換といってるのが数時間ごととかにやってる認証のやり直しのことならセッションIDの交換以外の全部をやり直すので公開鍵も使う
基本的に稀なのでパフォーマンスに影響はない
- 691 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/19(金) 12:27:30.17 .net]
- ずっと公開鍵暗号方式で暗号化してると思いこんでる人は多い
- 692 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/19(金) 22:54:05.77 .net]
- 鍵長が長いから処理が重いとか書いてあるよね
そんな一瞬のスピードも重要なのか?っていうね
- 693 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/20(土) 19:10:14.76 .net]
- 今はCPUパワーも上がったので重くはないんだろうけど
ペンティアム時代はCPUで大量の暗号・復号処理をさせると重いので
それ専用ハードをつなげてた企業もあったよ
- 694 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/07/20(土) 19:39:10.05 .net]
- 組み込み機器でも使うわけだし処理効率は未だに厳しいのでは?
- 695 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/10/11(金) 11:59:13.71 .net]
- VPN経由でネットワークに侵入されたとかニュースでよく見るけど、どんな脆弱性を突かれたんだろうね
一方、SSHでそういう事は無いのだろうか?知らないだけなのかな
- 696 名前:名無しさん@お腹いっぱい。 [2024/10/12(土) 06:53:41.94 .net]
- 未だにポート22のパスワードアタックがある時点でお察し
VPNは、専用ハード(VPNルーター)でやってるから、アップデートを怠ってる企業も多い
家にある光ルーターやWi-Fiルーターのアップデートしてる?
- 697 名前:名無しさん@お腹いっぱい。 [2024/10/13(日) 21:56:37.62 .net]
- パスワード認証の攻撃はあるけど公開鍵は滅多に無いなぁ
極稀にある公開鍵は誰かがミスってアクセスしているような気もするけどポート番号一致はおかしいし……
パスワード認証切ってる環境でも突破される可能性ってある?
- 698 名前:名無しさん@お腹いっぱい。 [2024/10/14(月) 09:02:07.05 .net]
- >>695
VPNは外部からLANに接続しているだけでセキュリティ対策なんて何もないぞ?
- 699 名前:名無しさん@お腹いっぱい。 mailto:age [2024/10/14(月) 10:40:25.47 .net]
- SSL-VPNにしないの?
- 700 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/10/14(月) 11:20:44.57 .net]
- VPN経由での侵入は暗号化破られたとかじゃなくて、ファイアウォールとVPN終端がきちんと分離できてないとかの、ネットワーク構成の不具合やVPNソフトのバグが原因ということが多い
暗号とかは実はあんまり関係ない
- 701 名前:名無しさん@お腹いっぱい。 [2024/10/14(月) 13:06:13.50 .net]
- >>697
>パスワード認証切ってる環境でも突破される可能性ってある?
横からだけどもこれはどう?
特定のIPアドレス以外叩き落とした上でパスワード認証切ってるけども
前者は過剰ならできれば外したい
- 702 名前:名無しさん@お腹いっぱい。 [2024/10/16(水) 07:33:58.52 .net]
- 対策が過剰とか足りないとかは、個々の判断だと言うのは大前提として
鍵が漏洩した時のことを考えるなら、もう一つ別の要素の対策として、
IPアドレス制限を組み合わせるのはアリだと、オレは思う
- 703 名前:名無しさん@お腹いっぱい。 mailto:sage [2024/10/16(水) 23:04:04.13 .net]
- >>702
有難う
>対策が過剰とか足りないとかは、個々の判断だと言うのは大前提として
それはそうだね
- 704 名前:名無しさん@お腹いっぱい。 [2025/02/23(日) 00:45:56.01 ID:XMOUYfxh9]
- フランスにスペインにと洪水やらで滅茶苦茶だが国に見捨てられただの怒りまくってる住民クソウケルな.莫大な温室効果ガス撒き散らしてる
クソ航空関係者を皆殺しにすらせず気候変動させてるてめえらの責任であって無関係な他人に寄生するとか恥を知れよ、日本も九州に能登にと
災害連発してるが同じこと住民の生命と財産を強奪して私腹を肥やす史上最悪の強盗殺人やってるJALだのANAだのクソヘリやらを野放しに
してんだから来年は今年より滅茶苦茶になるのは目に見えてるぞ、マッチポンプ税金泥棒クソポリ公もグ儿グル低空遊覧テロしまくってるし
事件でもないのにこんなこと日本に原爆落とした世界最悪のならず者國家のポリ公がやったら間違いなく銃撃されるし航空騒音訴訟では
損害賠償が認められてるし土地所有権は大気圏まで及ぶんた゛から法治國家なら当然の話,航空法は明らかに財産権侵害の憲法違反
八イチやテキサスでは旅客機銃撃してるが基本的人権としての正当な権利だわな.民度も低く法治国家ですらない曰本だがどんな手段でも
クソ航空テロリス├どもを壊滅させた英雄に送金したいヘタレなら大勢いるんだから社会貢献て゛儲けてみないか?
(ref.) tΤps://www.call4.jp/info.php?type=items&id=I0000062
ttps://haneda-projеct.jimdofree.com/ , tТps://flighТ-rouтe.com/
ttΡs://n-souonhigaisosУoudan.amebaownd.com/
|
 |
