SSH その8

**名無しさん＠お腹いっぱい。** · 2024/04/29(月) 20:19:41.40

利用者が荒らし対策出来る機能を追加しました！
機能を使うにはupriftを購入してね！
ってことか
錆びれる一方やな

**名無しさん＠お腹いっぱい。** · 2024/04/29(月) 20:27:05.39

こんなの書き込み元のIPを弾けば良いんでないの?

**名無しさん＠お腹いっぱい。** · 2024/04/30(火) 20:15:12.35

まだ乱立続いてるのな

**名無しさん＠お腹いっぱい。** · 2024/04/30(火) 21:16:38.21

なぜオーナーは発信源突き止めて威力業務妨害で訴訟しない？

**名無しさん＠お腹いっぱい。** · 2024/04/30(火) 21:54:44.24

法人になったんだから告訴状出せば良いのにね
出来ない理由でもあるんだろうか

**名無しさん＠お腹いっぱい。** · 2024/04/30(火) 23:31:27.85

荒らし発生
　↓
運営、動かず
　↓
利用者、スレ保護のためにあちこちでageまくる
　↓
運営、ageた奴を片っ端から規制する

って流れになったら面白いな
面白くねーよ

**名無しさん＠お腹いっぱい。** · 2024/05/01(水) 20:22:15.15

斜め上な対策しかしない

**名無しさん＠お腹いっぱい。** · 2024/05/02(木) 07:44:51.69

それが5chクオリティ

**名無しさん＠お腹いっぱい。** · 2024/05/02(木) 14:01:30.39

上げておくか

**名無しさん＠お腹いっぱい。** · 2024/05/02(木) 22:46:08.60

乱立終わらんね

**名無しさん＠お腹いっぱい。** · 2024/05/03(金) 17:46:23.50

警察に通報しないのはどんぐり導入したい運営の自演だからじゃない？
普通に入れようとすると忍法帖廃止したのと整合性がつかないとかで

**名無しさん＠お腹いっぱい。** · 2024/05/04(土) 18:26:53.56

>>647
そんな間抜けな理由なの？
SHA-512で何やってるのか知らんけど

**名無しさん＠お腹いっぱい。** · 2024/05/07(火) 20:44:39.09

>>643
OpenSSHは9.5からssh-keygenがデフォルトで生成する鍵の種類がRSAからEd25519に変わったね

**名無しさん＠お腹いっぱい。** · 2024/05/08(水) 21:00:13.31

やっぱSSHでポートフォワーディングだよね

あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か
tps://japan.zdnet.com/article/35218634/

**名無しさん＠お腹いっぱい。** · 2024/05/08(水) 23:26:16.37

dhcp option 121 は 127.0.0.1 宛もどっか別のホストを経由するように設定できたりするんだろか
特別なアドレスだからできないのかな？

**名無しさん＠お腹いっぱい。** · 2024/05/09(木) 00:27:41.88

>>667
OS によるけど Linux とか大抵のやつだと 127/8 はデフォルトは lo scope なのでローカル限定。

**名無しさん＠お腹いっぱい。** · 2024/05/16(木) 08:23:12.44

>>643
自宅の環境は二年ぐらい前にEd25519に変えたけど、職場の方はsshdがEd25519に対応してないレガシーシステムがあるのでRSAのままだ

**名無しさん＠お腹いっぱい。** · 2024/05/18(土) 16:06:08.71

そんな古いsshdで問題ない環境なら問題ないな

**名無しさん＠お腹いっぱい。** · 2024/05/19(日) 01:39:58.51

ビット数少ないほうが計算コストかからないとは言うけど公開鍵を使うのは通信の最初だけだからそんな大して影響無いんじゃないの？と思ってしまうRSA4096教徒

**名無しさん＠お腹いっぱい。** · 2024/05/19(日) 02:07:27.18

>>671
間違ってはいない。
ただ最近は単純な今のコンピュターの計算時間強度だけでなくて、対量子コンピューター強度みたいなのも求められるようになってきてるので RSA はオワコンは動かない。

**名無しさん＠お腹いっぱい。** · 2024/05/19(日) 10:04:42.15

楕円曲線もショアのアルゴリズム？で量子コンピュータ相手には強度半減だったような

**名無しさん＠お腹いっぱい。** · 2024/05/22(水) 18:48:02.29

>>669
俺もOSがCentOS6なレガシーシステムにアクセスする必要があってRSAな鍵を使い続けていたが、去年そのシステムが廃止されたのでEd25519に移行した

**名無しさん＠お腹いっぱい。** · 2024/05/22(水) 19:13:22.99

量子コンピュータでRSAが解読出来るってのは都市伝説だと思うよ

**名無しさん＠お腹いっぱい。** · 2024/05/22(水) 19:29:43.49

>>675
そう考えてるのはお前だけだな
近い将来に量子コンピューターが実用化したらという前提で世界は準備を始めてる

**名無しさん＠お腹いっぱい。** · 2024/05/22(水) 22:06:51.15

> 2048ビットのRSA暗号の解読には約1万量子ビットと約2兆2300億の量子ゲート数、深さ約1兆8000億の量子回路が必要で約104日間量子ビットを誤りなく保持する必要があるとした。
4096ビットだとどうなるんだ？
2048ビットはそもそも近い内に安全ではなくなると言われてるから、4096ビットで考えないとな
それを考慮するととんでもない労力が必要になると思うけどね
量子コンピュータだからって魔法じゃないんだよ
神はサイコロを振らない

**名無しさん＠お腹いっぱい。** ころころ · 2024/05/22(水) 23:33:30.37

公開鍵暗号方式で共通鍵を交換するだけなんだからRSA8192ビットとか作ればいいのに…
強度はリニアに増加しないかw
それなら楕円曲線暗号で2048ビットとか4096ビットとか

**名無しさん＠お腹いっぱい。** · 2024/05/23(木) 01:58:34.26

ポスト量子暗号に熱心なのは Google 先生とかだが、Google は自社で5年で100万量子ビットが目標とか言ってるので整合性は取れてる。

**名無しさん＠お腹いっぱい。** · 2024/06/01(土) 08:31:04.25

>>671
最初だけではない
4096くらいじゃ気にする頻度でもないが

**名無しさん＠お腹いっぱい。** · 2024/07/12(金) 23:34:55.94

1400万台以上の「OpenSSH」サーバーに影響する脆弱性が見つかる
https://japan.zdnet.com/article/35220945/

**名無しさん＠お腹いっぱい。** · 2024/07/13(土) 04:46:44.63

それもう先週くらいの話だよね～

**名無しさん＠お腹いっぱい。** · 2024/07/15(月) 00:47:22.79

ところがそのあとに似て非なる問題が発見されたそうですよ。
一部のLinuxシステムだけがSSHにパッチをあてて脆弱にしていたっていう。
https://distrowatch.com/dwres.php?resource=showheadline&story=18367
https://www.cve.org/CVERecord?id=CVE-2024-6409

**名無しさん＠お腹いっぱい。** · 2024/07/15(月) 01:34:57.81

せっかく枯れたバージョンを使いたくて赤帽を選んでいるのに

**名無しさん＠お腹いっぱい。** · 2024/07/15(月) 10:44:33.03

枯れたバージョンには枯れたバージョンなりのリスクがある

**名無しさん＠お腹いっぱい。** · 2024/07/16(火) 18:12:44.74

枯れた技術の水平思考

**名無しさん＠お腹いっぱい。** · 2024/07/18(木) 21:00:11.35

>>680
鍵交換なんて最初と決まった時間ごととか転送量ごとだよね？

**名無しさん＠お腹いっぱい。** · 2024/07/18(木) 23:03:11.79

公開鍵の話と共有鍵の話がごっちゃになってるな

ssh とか TSL とかでは最初に長めの公開鍵暗号で認証して
セッションごとに新しく生成した短めの共有鍵を公開鍵暗号の秘密鍵で暗号化して交換する
その後のセッションは短い共有鍵を使って暗号化して通信する
ずっと長い公開暗号鍵を使って通信しているわけではない
計算量が無駄なので公開鍵暗号は最初の共有鍵を交換するまでしか使用しない

**名無しさん＠お腹いっぱい。** · 2024/07/18(木) 23:19:25.08

再交換も公開鍵暗号では？
え？違うの？？

**名無しさん＠お腹いっぱい。** · 2024/07/19(金) 09:14:06.19

>>689
再交換といってるのが数時間ごととかにやってる認証のやり直しのことならセッションIDの交換以外の全部をやり直すので公開鍵も使う
基本的に稀なのでパフォーマンスに影響はない

**名無しさん＠お腹いっぱい。** · 2024/07/19(金) 12:27:30.17

ずっと公開鍵暗号方式で暗号化してると思いこんでる人は多い

**名無しさん＠お腹いっぱい。** · 2024/07/19(金) 22:54:05.77

鍵長が長いから処理が重いとか書いてあるよね
そんな一瞬のスピードも重要なのか？っていうね

**名無しさん＠お腹いっぱい。** · 2024/07/20(土) 19:10:14.76

今はCPUパワーも上がったので重くはないんだろうけど
ペンティアム時代はCPUで大量の暗号・復号処理をさせると重いので
それ専用ハードをつなげてた企業もあったよ

**名無しさん＠お腹いっぱい。** · 2024/07/20(土) 19:39:10.05

組み込み機器でも使うわけだし処理効率は未だに厳しいのでは？

**名無しさん＠お腹いっぱい。** · 2024/10/11(金) 11:59:13.71

VPN経由でネットワークに侵入されたとかニュースでよく見るけど、どんな脆弱性を突かれたんだろうね
一方、SSHでそういう事は無いのだろうか？知らないだけなのかな

**名無しさん＠お腹いっぱい。** · 2024/10/12(土) 06:53:41.94

未だにポート22のパスワードアタックがある時点でお察し

VPNは、専用ハード（VPNルーター）でやってるから、アップデートを怠ってる企業も多い
家にある光ルーターやWi-Fiルーターのアップデートしてる？

**名無しさん＠お腹いっぱい。** · 2024/10/13(日) 21:56:37.62

パスワード認証の攻撃はあるけど公開鍵は滅多に無いなぁ
極稀にある公開鍵は誰かがミスってアクセスしているような気もするけどポート番号一致はおかしいし……
パスワード認証切ってる環境でも突破される可能性ってある？

**名無しさん＠お腹いっぱい。** · 2024/10/14(月) 09:02:07.05

>>695
VPNは外部からLANに接続しているだけでセキュリティ対策なんて何もないぞ？

**名無しさん＠お腹いっぱい。** · 2024/10/14(月) 10:40:25.47

SSL-VPNにしないの？

**名無しさん＠お腹いっぱい。** · 2024/10/14(月) 11:20:44.57

VPN経由での侵入は暗号化破られたとかじゃなくて、ファイアウォールとVPN終端がきちんと分離できてないとかの、ネットワーク構成の不具合やVPNソフトのバグが原因ということが多い
暗号とかは実はあんまり関係ない

**名無しさん＠お腹いっぱい。** · 2024/10/14(月) 13:06:13.50

>>697
>パスワード認証切ってる環境でも突破される可能性ってある？
横からだけどもこれはどう?
特定のIPアドレス以外叩き落とした上でパスワード認証切ってるけども
前者は過剰ならできれば外したい

**名無しさん＠お腹いっぱい。** · 2024/10/16(水) 07:33:58.52

対策が過剰とか足りないとかは、個々の判断だと言うのは大前提として

鍵が漏洩した時のことを考えるなら、もう一つ別の要素の対策として、
IPアドレス制限を組み合わせるのはアリだと、オレは思う

**名無しさん＠お腹いっぱい。** · 2024/10/16(水) 23:04:04.13

>>702
有難う

>対策が過剰とか足りないとかは、個々の判断だと言うのは大前提として
それはそうだね