2014年4月6日日曜日

Debian Wheezy の Openssh のアップデート

あの話題となっていた openssh を使って侵入すると言われる rootkit の ebury 対策なのでしょうか? Debian Wheezy に openssh の本体 並びに サーバ、クライアントのソフトウェアのアップデートが到着していました。
openssh-client-1:6.0p1-4+deb7u1
openssh-server-1:6.0p1-4+deb7u1
ssh-1:6.0p1-4+deb7u1
Debian Squeeze の場合
openssh-client-1:5.5p1-6+squeeze5
openssh-server-1:5.5p1-6+squeeze5
ssh-1:5.5p1-6+squeeze5

今回のアップデートは ssh ポートを公開しているサーバなどでは確実に更新しておく必要がありそうです。

なお公開されている ssh ログインについては、チャレンジレスポンス方式のログインなどを禁止して、公開鍵方式でのログイン方式にすることが安全性を高めるとされています。

1. 公開鍵でログイン
ログインユーザーの公開鍵をサーバ・マシンの ~/.ssh/authorized_keys2 へ追加する。
公開鍵の作り方は ssh-keygen で検索して調べてください。なお鍵の種類は DSA ではなく RSA がお奨めです。
sFTP などで公開鍵 id_dsa.pub をサーバ・マシンへ転送する。
$ cat id_dsa.pub >> ~/.ssh/authorized_keys2

2.チャレンジレスポンス認証を抑制
初期値 yes → no
/etc/ssh/sshd_config
# Change to no to disable PAM authentication
# ChallengeResponseAuthentication yes
       ↓
ChallengeResponseAuthentication no

3. root でのログインの抑制
初期値で no となっているはずですが、yes の場合には変更 
/etc/ssh/sshd_config
# PermitRootLogin yes
    ↓
PermitRootLogin no
4.対策終了後に sshd を再起動
# /etc/init.d/sshd restart
以上で $ ssh サーバURL だけで、パスワードの入力問い合わせがなく、自動的にサーバへログインできるはずです。

参考URL
Debian Bug report logs - #742513
If server offers certificate, doesn't fall back to checking SSHFP records (CVE-2014-2653)
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=742513

Ebury SSH Rootkit - Frequently Asked Questions
https://www.cert-bund.de/ebury-faq

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。