Top過去ログ目次掲示板

作成日:2004年12月27日 作成:おやじ
掲示板で過去に質問された内容です。

No.4088 FTPDはあげないほうがよい


No.4088 投稿時間:2004年12月27日(Mon) 09:07 投稿者名:無題 URL:
タイトル:FTPDはあげないほうがよい

こんにちは。
いかにSSHにフォワードするように設定したからといって、
公開サーバーでftpd を起動するのは、危険ではないでしょうか。

ヘタをすると、サーバーのRoot権限をうばわれることがあるようです。

有名なNamazu.orgも被害にあっています。このときもwu-ftpd経由で侵入されたようです。

FTPというプロトコル仕様上の欠点が、さらに問題を拡げています。


No.4093 投稿時間:2004年12月27日(Mon) 23:00 投稿者名:しながわ URL:
タイトル:いっそ全部やめるか?

そんなに心配ならftpサーバーは閉じた方が良いですね。
httpdやdnsも危ない。
それ以外のサーバーも危ないので全部とめる。

一般のレンタルサーバー、ISPのホームページのほとんどが
ftpですからその方々にも忠告した方が良いようです。

なお私のproftpdでは
limit で .jp 以外ははいじいています。


No.4103 投稿時間:2004年12月29日(Wed) 05:51 投稿者名:無題 URL:
タイトル:Re: いっそ全部やめるか?

> そんなに心配ならftpサーバーは閉じた方が良いですね。

もうすでに閉じています。いろいろな方のご指摘があり、特に危険だと判断したからです。
FTPが危険な理由は、データが素のまま、ネットワークを流れることです。これはあまり芳しいことではありません。

1.port 21をSSHで転送しても制御用だけで、データは素のまま。
2.ファイアーウォールがあるとデータ用コネクションの処理が困難。

DNSやHTTPDも危険だというご指摘は、まさにその通りです。
しかしDNSは、流れてもホスト情報程度です。
HTTPDはSSLで流れているデータそのものを暗号化することが可能です。

> 一般のレンタルサーバー、ISPのホームページのほとんどが
> ftpですからその方々にも忠告した方が良いようです。

確かにそうですね。

> なお私のproftpdでは
> limit で .jp 以外ははいじいています。

.jpのドメインからきた接続がが安全だという保障はどこにもありません。(ヘッダを加工してつなぎに来る方も、おられるかもしれませんよ)
インターネットは世界につながっている、という認識をもたれた方がよろしいかと思います。

なおFTPの欠陥ごときで、

>Re: いっそ全部やめるか?

というのは、ずいぶん短絡的な結論だと思います。
FTPを使わないで、例えばWebDAVを使うとかした方が、よっぽどマシです。

なぜFTPにこだわるのか、むしろその理由のほうに興味があります。


No.4104 投稿時間:2004年12月29日(Wed) 07:44 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:自分でコントロールしてあげればいいのでは?

自分でコントロールしてあげればいいのでは?

> もうすでに閉じています。いろいろな方のご指摘があり、特に危険だと判断したからです。
> FTPが危険な理由は、データが素のまま、ネットワークを流れることです。これはあまり芳しいことではありません。

どういった指摘をされたのですかね? 何が心配なのですかね? 対策できなかったからですかね?
そもそも、素で流れて危ないようなデータをFTPで送ることが問題ではないのですか? もっと危険なのは、素のデータのメール添付なんてのは、中継サーバが多いだけに論外でしょうね。ネットワークモニタは結構難しいですから?
素で流れて危ないようなデータ転送というのは、クライアントが限定されるでしょうから対策はいくらでもあるのでは?

> 1.port 21をSSHで転送しても制御用だけで、データは素のまま。

使用しているデーモンややり方が悪いだけですよね。
http://www.aconus.com/~oyaji/ssh/ssh_ftp.htm

デーモンやクライアントを選べばstarttlsで暗号化もありですよね。
http://www.aconus.com/~oyaji/ftp/proftpd_ssl_rpm.htm
http://www.aconus.com/~oyaji/ftp/vsftpd_ssl_rpm.htm
http://www.aconus.com/~oyaji/ftp/vsftpd_ssl_rpm.htm

> 2.ファイアーウォールがあるとデータ用コネクションの処理が困難。

PASVの制御ができるデーモンやルータを使用すればいいのでは?
http://www.aconus.com/~oyaji/router/ftp.htm
http://www.aconus.com/~oyaji/router/pasv.htm

> DNSやHTTPDも危険だというご指摘は、まさにその通りです。
> しかしDNSは、流れてもホスト情報程度です。
> HTTPDはSSLで流れているデータそのものを暗号化することが可能です。
>
> > 一般のレンタルサーバー、ISPのホームページのほとんどが
> > ftpですからその方々にも忠告した方が良いようです。
>
> 確かにそうですね。
>
> > なお私のproftpdでは
> > limit で .jp 以外ははいじいています。
>
> .jpのドメインからきた接続がが安全だという保障はどこにもありません。(ヘッダを加工してつなぎに来る方も、おられるかもしれませんよ)

ここで言うヘッダって何でしょうか? FTPはHTTPと異なりプロトコルレベルでのヘッダはないので(FTPがネームベースのバーチャルホストができない理由)、加工するもしないもないと思いますが? ソースのIPアドレスのことですか? IPアドレス偽装したら、アタックはできてもパケットは戻りませんよね?

> インターネットは世界につながっている、という認識をもたれた方がよろしいかと思います。
>
> なおFTPの欠陥ごときで、
>
> >Re: いっそ全部やめるか?
>
> というのは、ずいぶん短絡的な結論だと思います。
> FTPを使わないで、例えばWebDAVを使うとかした方が、よっぽどマシです。
>
> なぜFTPにこだわるのか、むしろその理由のほうに興味があります。

WevDAVのおやじから見た欠点は、以下のとおりですが、使い方にも依存するので適材適所で使えばいいのでは?

・CGIやPHPといったダイナミックなリソースをコピーできない。
・同様に、テキストもブラウザ起動されて表示されてしまうので、一旦ダウンロードして編集後に戻す必要がある。
・Windowsでは問題にはならないが、ファイルのオーナがApacheのuser/groupになってしまう。
・同様にファイルのパーミッションが触れない。  等々

FTPはオーナやパーミションをいじれるので、どうでもいいホームページデータの転送には最適です。


No.4105 投稿時間:2004年12月29日(Wed) 10:47 投稿者名:無題 URL:
タイトル:Re: 自分でコントロールしてあげればいいのでは?

こんにちは。おやじさん。

> 自分でコントロールしてあげればいいのでは?

ProFTPDのHP

http://www.proftpd.org/

は閉鎖されているのか、見ることが出来ません。
ProFTPD自体、かなり古いプログラムのようです。

なので日本語のページを探しました。
http://www.infoscience.co.jp/technical/proftpd/configuration.html

ここには
「ProFTPDはroot権限でないと、動作しない」
と書かれています。これは危険ではありませんか?
サーバー全体にとっても、もしもProFTPDが乗っ取られたら。

それに
「RFC959で要求されている20番ポートを使わない」
ということは、もはやProFTPDはFTPサーバーとはいえないということではありませんか?

> どういった指摘をされたのですかね? 何が心配なのですかね? 対策できなかったからですかね?

指摘の内容は、以下のようなものでした。
「FTPはプロトコルの定義があいまいで、心配な部分が多くある。サーバーに不正なプログラムを送られたり、データを奪われたりするきっかけを提供する可能性があるので、使用しない方がよい」
そんなものか、と思い、今ではSCPなど、よりセキュアなプロトコルで通信するものしか使っていません。

> そもそも、素で流れて危ないようなデータをFTPで送ることが問題ではないのですか? もっと危険なのは、素のデータのメール添付なんてのは、中継サーバが多いだけに論外でしょうね。ネットワークモニタは結構難しいですから?

素のデータをメール転送するときは、PGPで暗号化して送っています。
途中で第3者の手に渡るなんて、いやじゃないですが?
内容はどうであれ、気分的にいやですね。

> 素で流れて危ないようなデータ転送というのは、クライアントが限定されるでしょうから対策はいくらでもあるのでは?

W*nnyとか、一時期はやったP2Pクライアントによる転送方法でも、データは暗号化されていました。

> 使用しているデーモンややり方が悪いだけですよね。
> ・http://www.aconus.com/~oyaji/ssh/ssh_ftp.htm
>
> デーモンやクライアントを選べばstarttlsで暗号化もありですよね。
> ・http://www.aconus.com/~oyaji/ftp/proftpd_ssl_rpm.htm
> ・http://www.aconus.com/~oyaji/ftp/vsftpd_ssl_rpm.htm
> ・http://www.aconus.com/~oyaji/ftp/vsftpd_ssl_rpm.htm

まさにここなんですが、
HTTPSやSCPなど、他のプロトコルもあるのに、なぜわざわざ、FTPをOpenSSLにフォワードしたりするのでしょうか。
(理由がわかりません。けっこう無駄なことじゃないですか)

> PASVの制御ができるデーモンやルータを使用すればいいのでは?
> ・http://www.aconus.com/~oyaji/router/ftp.htm
> ・http://www.aconus.com/~oyaji/router/pasv.htm

面倒くさいですね。

> > .jpのドメインからきた接続がが安全だという保障はどこにもありません。(ヘッダを加工してつなぎに来る方も、おられるかもしれませんよ)

> ここで言うヘッダって何でしょうか? FTPはHTTPと異なりプロトコルレベルでのヘッダはないので(FTPがネームベースのバーチャルホストができない理由)、加工するもしないもないと思いますが? ソースのIPアドレスのことですか? IPアドレス偽装したら、アタックはできてもパケットは戻りませんよね?

踏み台(例えば国内に)があれば可能ですね。

> WevDAVのおやじから見た欠点は、以下のとおりですが、使い方にも依存するので適材適所で使えばいいのでは?

> ・Windowsでは問題にはならないが、ファイルのオーナがApacheのuser/groupになってしまう。

Windowsのパーミッションは、Unixを模して作られたOSのパーミッションの与え方とはまったく別のものです。
なので、もともとBSDとかで動作するApacheなどのWebサーバーでは、パーミッションの変更しようがないのです。
なお、WindowsでApacheなどのサーバープログラムを動かすことは、IISと同じライセンスが必要になるそうです。10クライアントまでは認められるようです。

http://www.microsoft.com/japan/customer/infokb/search.aspx?btnsubmit=643279&si=643279&lp=1306&lc=0&ts=&mo=sc

> ・同様にファイルのパーミッションが触れない。  等々

むしろさわれた方が危険ではありませんか?
ご指摘のあるポイントはすべて、セキュリティーの点で、認証ユーザー以外は出来ないほうがよいものばかりです。
転送した後で、SSHクライアントなどから、パーミッションを変更すれば済む話です。

> FTPはオーナやパーミションをいじれるので、どうでもいいホームページデータの転送には最適です。

それならばまだしも、サーバーに進入されて、rootしか実行できないコマンドのパーミッションを変えられたりしないことを祈ります。


No.4106 投稿時間:2004年12月29日(Wed) 17:25 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:おやじが馬鹿なのかもしれませんが、理解できません

おやじが馬鹿なのかもしれませんが、FTPの話とサーバ侵入の話がどう関係しているのか理解できません。なので、これ以上は理解できないので最後に感じたことだけ。

> http://www.infoscience.co.jp/technical/proftpd/configuration.html
>
> ここには
> 「ProFTPDはroot権限でないと、動作しない」
> と書かれています。これは危険ではありませんか?
> サーバー全体にとっても、もしもProFTPDが乗っ取られたら。

こういう話は多いですが、バグの無いソフトなんてないと(あったらどれだけ幸せな人生を歩けたでしょうか?)思ってますので、サーバを動かす以上、リスクはあると思っています。
リスクがあるものに近づかないと考え始めたら、おやじは生きていけません。年がら年中交通事故は起こっていますが、事故が起こる/起こす可能性があるから自動車には乗らないとか、事故が怖いから外には出られないとか(少し考えすぎかもしれませんが)、どんどんエスカレーションするだけでは?

> それに
> 「RFC959で要求されている20番ポートを使わない」
> ということは、もはやProFTPDはFTPサーバーとはいえないということではありませんか?

RFC959にしっかりPASVのことが書かれていると思っていましたが、勉強不足でした。間違っているんですね。

> > どういった指摘をされたのですかね? 何が心配なのですかね? 対策できなかったからですかね?
>
> 指摘の内容は、以下のようなものでした。
> 「FTPはプロトコルの定義があいまいで、心配な部分が多くある。サーバーに不正なプログラムを送られたり、データを奪われたりするきっかけを提供する可能性があるので、使用しない方がよい」
> そんなものか、と思い、今ではSCPなど、よりセキュアなプロトコルで通信するものしか使っていません。

不正なプログラムを送られるということは、正規に送られたものではないということですから、何らかの手段でサーバに入りこまれたわけで、FTP以前の話では?

> > そもそも、素で流れて危ないようなデータをFTPで送ることが問題ではないのですか? もっと危険なのは、素のデータのメール添付なんてのは、中継サーバが多いだけに論外でしょうね。ネットワークモニタは結構難しいですから?
>
> 素のデータをメール転送するときは、PGPで暗号化して送っています。
> 途中で第3者の手に渡るなんて、いやじゃないですが?
> 内容はどうであれ、気分的にいやですね。
>
> > 素で流れて危ないようなデータ転送というのは、クライアントが限定されるでしょうから対策はいくらでもあるのでは?
>
> W*nnyとか、一時期はやったP2Pクライアントによる転送方法でも、データは暗号化されていました。
>
> > 使用しているデーモンややり方が悪いだけですよね。
> > ・http://www.aconus.com/~oyaji/ssh/ssh_ftp.htm
> >
> > デーモンやクライアントを選べばstarttlsで暗号化もありですよね。
> > ・http://www.aconus.com/~oyaji/ftp/proftpd_ssl_rpm.htm
> > ・http://www.aconus.com/~oyaji/ftp/vsftpd_ssl_rpm.htm
> > ・http://www.aconus.com/~oyaji/ftp/vsftpd_ssl_rpm.htm
>
> まさにここなんですが、
> HTTPSやSCPなど、他のプロトコルもあるのに、なぜわざわざ、FTPをOpenSSLにフォワードしたりするのでしょうか。
> (理由がわかりません。けっこう無駄なことじゃないですか)
>
> > PASVの制御ができるデーモンやルータを使用すればいいのでは?
> > ・http://www.aconus.com/~oyaji/router/ftp.htm
> > ・http://www.aconus.com/~oyaji/router/pasv.htm
>
> 面倒くさいですね。

面倒なら、やらなければいいだけでは? 自宅サーバなんて、管理を考えれば所詮面倒なもの。コンテンツを公開したいだけなら、ホスティングやISPのスペースを使えばいいだけで(FTP使うから駄目か?)、単に趣味の世界、自己満足の世界ですから・・・・。
おやじは、独自性をだすためインターネット上に情報が少ない話題(言い換えると、あまり理解されていない)を提供しているだけですから。

> > > .jpのドメインからきた接続がが安全だという保障はどこにもありません。(ヘッダを加工してつなぎに来る方も、おられるかもしれませんよ)
>
> > ここで言うヘッダって何でしょうか? FTPはHTTPと異なりプロトコルレベルでのヘッダはないので(FTPがネームベースのバーチャルホストができない理由)、加工するもしないもないと思いますが? ソースのIPアドレスのことですか? IPアドレス偽装したら、アタックはできてもパケットは戻りませんよね?
>
> 踏み台(例えば国内に)があれば可能ですね。

おやじはFTPのヘッダの加工の話をしたのですが、何故かFTPとは関係ない話になっていると思うおやじはおかしいのかな? 踏み台は何でもありでは?

> > WevDAVのおやじから見た欠点は、以下のとおりですが、使い方にも依存するので適材適所で使えばいいのでは?
>
> > ・Windowsでは問題にはならないが、ファイルのオーナがApacheのuser/groupになってしまう。
>
> Windowsのパーミッションは、Unixを模して作られたOSのパーミッションの与え方とはまったく別のものです。
> なので、もともとBSDとかで動作するApacheなどのWebサーバーでは、パーミッションの変更しようがないのです。
> なお、WindowsでApacheなどのサーバープログラムを動かすことは、IISと同じライセンスが必要になるそうです。10クライアントまでは認められるようです。
>
> http://www.microsoft.com/japan/customer/infokb/search.aspx?btnsubmit=643279&si=643279&lp=1306&lc=0&ts=&mo=sc

書き方が悪かったかもしれませんが、LinuxでSuEXECしているから、ログインユーザじゃないとCGIが動かないという話をしたかった(そこまで書いてないって(*^_^*))つもりなので、Windowsは本件に関してはどうでもいいことです。自分以外使うのでなければいいですが、サーバ利用者が身内だけといえども全員の面倒は見てられません。

> > ・同様にファイルのパーミッションが触れない。  等々
>
> むしろさわれた方が危険ではありませんか?

LinuxでSuEXECしているから、触れないと動かないので、おやじが全て面倒なんて見てられません。触れるということは侵入済みでFTPなんかどうでもいい話?

> ご指摘のあるポイントはすべて、セキュリティーの点で、認証ユーザー以外は出来ないほうがよいものばかりです。
> 転送した後で、SSHクライアントなどから、パーミッションを変更すれば済む話です。

毎回のことなので、おやじにとってわざわざ2ステップ踏むのはこれこそ面倒くさいです。セキュリティアクセス環境を作ってしまうほうがよっぽど簡単です。

> > FTPはオーナやパーミションをいじれるので、どうでもいいホームページデータの転送には最適です。
>
> それならばまだしも、サーバーに進入されて、rootしか実行できないコマンドのパーミッションを変えられたりしないことを祈ります。

ありがとうございます。ただ、サーバに侵入されることとFTPは何の関係もないと思っているおやじは誤っている?
root権限を持たないかぎりrootしか実行できないコマンドのパーミッションを変えらないので、それができるという時点でやり放題ですからそんなことをする必要もないので、この意味がわからないのですが?


No.4107 投稿時間:2004年12月29日(Wed) 23:08 投稿者名:H URL:
タイトル:Re: おやじが馬鹿なのかもしれませんが、理解できません

>>おやじさん
こういう人は相手にしないほうがいいのでは?

危ないと思えば自分の鯖だけ使わないようにすればいいわけで、どうして自分の意見を人に押しつけようとするのでしょうか?

アタックが気になるんならそもそも鯖なんか建てなければいいかと。


No.4108 投稿時間:2004年12月30日(Thu) 00:09 投稿者名:無題 URL:
タイトル:Re: おやじが馬鹿なのかもしれませんが、理解できません

こんばんは。おやじさん。
別に「ばか」だと言っているわけではないですよ。
ただ、他によりセキュアで簡単な手段があるのに、なぜ、めんどうな方を選択するのか、そしてそれには何か特別な意図が存在するのか、という点に興味を持っただけです。

で、RFC959の話ですが、

http://hp.vector.co.jp/authors/VA002682/rfc959j.htm

にはこのように書いてあります。

パッシブ (PASV)
このコマンドは、サーバー側のデータ転送プロセスに対して(デフォル トではない)データポートに「聞き耳を立てて(listen)」おくように指 示し、転送コマンドの受信によって接続を確立するのではなく、接続を 待つようにする。このコマンドの応答には、このサーバーが待っている (listenしている)ホストとポートアドレスが含まれる。

しかし、"標準的"な仕様は、root のままでポートの 20 番にバインドするものです。ProFTPDも基本はこのようになっているはずです。

しかしPASVモードにしても、ホスト名とデータコネクション用ポートアドレスがクライアントに伝えられ、FTPDがroot権限で動いている限りは、危険は去りません。

サーバーのいちばん防禦の薄い場所を、クラッカーに伝えているようなものです。

私も最初はFTPを安全だと思っていて、何の疑問もなく使っていましたが、
「危険なのでFTPDはあげたくない」と言われ、SSHポートのみを使って通信するようになりました。
その先生の言われるには、
「公開サーバーで沢山のポートを解放するのはよくない」
ということ、とくにFTPでは複数のポートをあけなくてはならない、パスワードが平文で流れる、とくにローカルユーザーが沢山いる環境では、ROOTパスワードを奪取される危険性がある、ということで、FTP接続は完全に排除されてしまいました。

> おやじが馬鹿なのかもしれませんが、FTPの話とサーバ侵入の話がどう関係しているのか理解できません。なので、これ以上は理解できないので最後に感じたことだけ。

何度もいいますがべつに「ばか」と言っているわけではありません。
(おやじ、って「ばか」と言われるとむきになるひとがおおいですね)
ポートをひとつ多くあけるだけでも危険なのに、いくつもあけるのは危険性を増ばかりです。
SSHならばひとつだけあけておけばよいだけです。
無用なポートを晒して、おやじさんのサーバーが無用な危険にさらされないように、老婆心ながら、ご忠告申し上げているまでです。

> > こういう話は多いですが、バグの無いソフトなんてないと(あったらどれだけ幸せな人生を歩けたでしょうか?)思ってますので、サーバを動かす以上、リスクはあると思っています。
> リスクがあるものに近づかないと考え始めたら、おやじは生きていけません。年がら年中交通事故は起こっていますが、事故が起こる/起こす可能性があるから自動車には乗らないとか、事故が怖いから外には出られないとか(少し考えすぎかもしれませんが)、どんどんエスカレーションするだけでは?

リスクのとりかた、もいろいろあると思います。
高速道路のまんなかに立つのもリスクならば、
タバコを吸うのもリスクなのです。

> > RFC959にしっかりPASVのことが書かれていると思っていましたが、勉強不足でした。間違っているんですね。

書かれています。これは間違いありません。
しかしこれはあくまでも「そういうモードもあるよ」ということです。標準では20番を使いますが、PASVモードではこれ以外を代替手段として、使用できる、ということです。クライアントでは20番をデータコネクションに使いますよね。

> > 不正なプログラムを送られるということは、正規に送られたものではないということですから、何らかの手段でサーバに入りこまれたわけで、FTP以前の話では?

今のところ、手がかりが、FTPからではない、とは断言できないそうです。

> > 面倒なら、やらなければいいだけでは? 自宅サーバなんて、管理を考えれば所詮面倒なもの。コンテンツを公開したいだけなら、ホスティングやISPのスペースを使えばいいだけで(FTP使うから駄目か?)、単に趣味の世界、自己満足の世界ですから・・・・。

自己満足でも、世界とつながっている限りは、それなりに中継とかもしているわけで、まったく関係ないとは言えないと思います。
現にセキュリティ−対策の甘いサーバを踏み台にしたり、スパムの不正中継をされたり、ということが起こっていますからね。

> おやじは、独自性をだすためインターネット上に情報が少ない話題(言い換えると、あまり理解されていない)を提供しているだけですから。

独自のRPMパッケージとかを提供されているようですが、
残念ながら、私の計算機に、おやじさんの作られたパッケージをインストールすることが出来ません。
MD5署名が無いからです。

> > おやじはFTPのヘッダの加工の話をしたのですが、何故かFTPとは関係ない話になっていると思うおやじはおかしいのかな? 踏み台は何でもありでは?

FTPはそのまま繋ぐだけなので、ソースヘッダの加工は、踏み台を利用することと同義です。

> > 書き方が悪かったかもしれませんが、LinuxでSuEXECしているから、ログインユーザじゃないとCGIが動かないという話をしたかった(そこまで書いてないって(*^_^*))つもりなので、Windowsは本件に関してはどうでもいいことです。自分以外使うのでなければいいですが、サーバ利用者が身内だけといえども全員の面倒は見てられません。

SuEXECにしても、Apacheをrootで起動していたら、あぶないですね。
Windowsでは、そもそも根本からパーミッションに関する概念がUnixをまねして作ったOSとは異なっているので、Apacheを動かすこと自体最初から問題がある、と思います。

> > 毎回のことなので、おやじにとってわざわざ2ステップ踏むのはこれこそ面倒くさいです。セキュリティアクセス環境を作ってしまうほうがよっぽど簡単です。

より安全な手続を省略するのは、「めんどう」とは次元がちがう話だと思います。
またFTPクライアントにしても、SSHを使って簡単にファイルを転送できるものが多くあります。私はgFTPを使っています。

> > ありがとうございます。ただ、サーバに侵入されることとFTPは何の関係もないと思っているおやじは誤っている?
> root権限を持たないかぎりrootしか実行できないコマンドのパーミッションを変えらないので、それができるという時点でやり放題ですからそんなことをする必要もないので、この意味がわからないのですが?

FTPは普通のプロトコルよりは多めのポートをあける必要が(少くとも2つは)ある、という点で、FTPは安全だと言われるおやじさんとは意見を異にします。
その点で、今回ご意見をもうし上げました。気にくわなかったらごめんなさい。

rootで入られ、root以外の仮のユーザーを作り、それにroot権限を与えて、知らぬふりをする、というのが多くのクラッカーの手口です。
しらないうちに、バックドアをあけられているかもしれません。
気をつけて下さい。


No.4109 投稿時間:2004年12月30日(Thu) 01:15 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

とても詳しいようですので、教えてください。

> こんばんは。おやじさん。
> 別に「ばか」だと言っているわけではないですよ。

別に無題さんに言われているつもりはありません。自分の無知を指摘されて自分で馬鹿だなと思っているだけですから。

> ただ、他によりセキュアで簡単な手段があるのに、なぜ、めんどうな方を選択するのか、そしてそれには何か特別な意図が存在するのか、という点に興味を持っただけです。
>
> で、RFC959の話ですが、
>
> http://hp.vector.co.jp/authors/VA002682/rfc959j.htm
>
> にはこのように書いてあります。
>
> パッシブ (PASV)
> このコマンドは、サーバー側のデータ転送プロセスに対して(デフォル トではない)データポートに「聞き耳を立てて(listen)」おくように指 示し、転送コマンドの受信によって接続を確立するのではなく、接続を 待つようにする。このコマンドの応答には、このサーバーが待っている (listenしている)ホストとポートアドレスが含まれる。
>
> しかし、"標準的"な仕様は、root のままでポートの 20 番にバインドするものです。ProFTPDも基本はこのようになっているはずです。
>
> しかしPASVモードにしても、ホスト名とデータコネクション用ポートアドレスがクライアントに伝えられ、FTPDがroot権限で動いている限りは、危険は去りません。

proftpdは起動時はrootで、その後はnobodyで動かしているつもりでしたが、間違いなんですね。

> サーバーのいちばん防禦の薄い場所を、クラッカーに伝えているようなものです。
>
> 私も最初はFTPを安全だと思っていて、何の疑問もなく使っていましたが、
> 「危険なのでFTPDはあげたくない」と言われ、SSHポートのみを使って通信するようになりました。

sshdはrootで動いていると思っていましたが間違っているのですね。何で動いているのでしょうか?

> その先生の言われるには、
> 「公開サーバーで沢山のポートを解放するのはよくない」
> ということ、とくにFTPでは複数のポートをあけなくてはならない、パスワードが平文で流れる、とくにローカルユーザーが沢山いる環境では、ROOTパスワードを奪取される危険性がある、ということで、FTP接続は完全に排除されてしまいました。

「ローカルユーザーが沢山いる環境では、ROOTパスワードを奪取される危険性がある」とはどういうことでしょうか?

(snip)

> > > RFC959にしっかりPASVのことが書かれていると思っていましたが、勉強不足でした。間違っているんですね。
>
> 書かれています。これは間違いありません。
> しかしこれはあくまでも「そういうモードもあるよ」ということです。標準では20番を使いますが、PASVモードではこれ以外を代替手段として、使用できる、ということです。クライアントでは20番をデータコネクションに使いますよね。

20番ポートはサーバが使うものだと思っていましたが、クライアントが使うポートだったんですね。

(snip)

> 独自のRPMパッケージとかを提供されているようですが、
> 残念ながら、私の計算機に、おやじさんの作られたパッケージをインストールすることが出来ません。
> MD5署名が無いからです。

これは使っていただかなくて結構です。所詮個人がやっていることで、無保証ですから。

(snip)

> > > 書き方が悪かったかもしれませんが、LinuxでSuEXECしているから、ログインユーザじゃないとCGIが動かないという話をしたかった(そこまで書いてないって(*^_^*))つもりなので、Windowsは本件に関してはどうでもいいことです。自分以外使うのでなければいいですが、サーバ利用者が身内だけといえども全員の面倒は見てられません。
>
> SuEXECにしても、Apacheをrootで起動していたら、あぶないですね。
> Windowsでは、そもそも根本からパーミッションに関する概念がUnixをまねして作ったOSとは異なっているので、Apacheを動かすこと自体最初から問題がある、と思います。

apacheはapacheユーザで動いていると思っていましたが、rootなのですね。
なんだか、おやじはsshといいftpやapacheといい、権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。


No.4125 投稿時間:2005年01月02日(Sun) 01:45 投稿者名:ZED URL:
タイトル:Re: 権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

無題さん。こんにちは。
今までのやりとり見させていただきました。

自分の考えでは、基本的にサービスを一般公開している時点で、
普通のクライアントよりも進入リスクが大きくなる。
だから、可能な限り対策はする。メリットを取るために。
と認識しています。

確かに、無題さんのいわれる事も判りますが、
それを押しつけるのはどうか?と思いますよ!!

davもftpもメリット・デメリット有りますので、
ご自分の判断で使用される事をおすすめします。

最後におやじさん更新がんばってくださいね!!


No.4126 投稿時間:2005年01月02日(Sun) 01:54 投稿者名:ZED URL:
タイトル:Re^2: 権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

ちなみに、最初に出たkarin.namazu.orgの進入経緯 これの事ですね?
以下karin.namazu.org障害報告
リンク先
http://www.namazu.org/compromise-report-ja.txt


No.4137 投稿時間:2005年01月04日(Tue) 23:58 投稿者名:無題 URL:
タイトル:Re^3: 権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

> ちなみに、最初に出たkarin.namazu.orgの進入経緯 これの事ですね?
> 以下karin.namazu.org障害報告
> リンク先
> http://www.namazu.org/compromise-report-ja.txt

そうですね。
最初の侵入はCVS経由ですが、この後(おそらくFTPの認証情報をクラックされて)ftp経由で浸入され、パスワードなどを取られたのです。
「証拠(かぎ)を残さずに」ファイルをどこかに持って行かれてしまう、という例ですね。

こんなことが起こること自体、とてもこわいことだと思います。

あと、wu-ftpdですが、あるコマンドを打つと、簡単にrootユーザーになれる、というのもありました。
http://www.turbolinux.co.jp/security/wu-ftpd-2.6.1-10.html
http://www.itmedia.co.jp/enterprise/0308/02/epn04.html

今はだいじょうぶかもしれませんが。


No.4135 投稿時間:2005年01月04日(Tue) 23:38 投稿者名:無題 URL:
タイトル:Re: 権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

あけまして、おめでとうございます。

> とても詳しいようですので、教えてください。

くわしくありません。人から聞いた話ばかりで。

> > 別に無題さんに言われているつもりはありません。自分の無知を指摘されて自分で馬鹿だなと思っているだけですから。

とても無知だとは思えないレベルですね。
ただ、FTPはいまだにいただけないなあ(他の人が言うようにべつに押し付けてるわけではなくて、それなりに理由があって言っていることなので)

> > proftpdは起動時はrootで、その後はnobodyで動かしているつもりでしたが、間違いなんですね。

これは別に子プロセスをforkしているわけではなくて、
ユーザーをスイッチしているだけですね?

> > sshdはrootで動いていると思っていましたが間違っているのですね。何で動いているのでしょうか?

FTPとSSHは「根本的に」ユーザー認証の方式が違っています。
SSHは最初にrootで起動しますが、アクセスのたびに子プロセスをforkして

(forkの意味は
http://www.wakhok.ac.jp/~maruyama/Syscall/fork2/section3.2.html#SECTION0002000000000000000
を参照)

別プロセスで動きます。FTPDはforkしません。
SSHはかぎの交換をしてから、暗号化したパスワードを復号して、認証しますよね。
FTPはクリアテキストで認証します。

TLSを通していれば、FTPでもWWWでも、データは暗号化されるけど、パスワード自体は暗号化されるのでしょうか?
また、いかにスイッチユーザーされていたとしても、単一プロセスで動いていることに問題はないのでしょうか。

> > 「ローカルユーザーが沢山いる環境では、ROOTパスワードを奪取される危険性がある」とはどういうことでしょうか?

バッファオーバーフローを悪用したパスワード奪取の方法があるようです。今は修正されているかもしれませんが。

> > 20番ポートはサーバが使うものだと思っていましたが、クライアントが使うポートだったんですね。

Passive Modeでは通常サーバーが使う20番を他のポートで代用しますが、クライアントがデータコネクションに使う20番は、変るんでしょうか?
21番はあくまでも認証用のポートですよね。

> > apacheはapacheユーザで動いていると思っていましたが、rootなのですね。

後から知りましたが、apacheは、最初rootで起動しておいて、その後子プロセスをforkするそうです。なので、厳密にはもっと低い権限で動いているらしいです。

> なんだか、おやじはsshといいftpやapacheといい、権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

おそろしいことはないと思いますが、FTPDはやはりおそろしいかも(自分の中では)
おやじさんがFTPDをそれなりに制御して使っておられるならば、それはそれでしょうが、わたしはとてもこわくて公開できませんね。


No.4140 投稿時間:2005年01月05日(Wed) 03:23 投稿者名:KN URL:
タイトル:Re^2: 権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

うーん、結局FTPのなにがやばいとおっしゃりたいのでしょうか・・・?ここらで整理していただけるとありがたいです。


No.4144 投稿時間:2005年01月05日(Wed) 23:11 投稿者名:瀬戸っぷ URL:
タイトル:Re^2: 権限に関して全く逆に勘違いしていたのですね。恐ろしいことです。

> > proftpdは起動時はrootで、その後はnobodyで動かしているつもりでしたが、間違いなんですね。
> これは別に子プロセスをforkしているわけではなくて、
> ユーザーをスイッチしているだけですね?

ちなみにvsftpd(スタンドアローンの場合しか未確認ですが)は、
21番ポートを開けるためにrootで起動していますが認証後は
nobodyユーザーとログインしたユーザーの子プロセスが生成されていました。
anonymousの場合は試していないので不明ですが。

> TLSを通していれば、FTPでもWWWでも、データは暗号化されるけど、パスワード自体は暗号化されるのでしょうか?

通信路自体が暗号化されるモノと認識していますが…>TLS
パスワード等の送受信は通信路の暗号化が確保された後に行われるハズですので、
その点に関しては問題ないかと。
接続の瞬間にセッションハイジャック等された場合にはどうにもなりませんが…
ソレを言い出したらなにもできなくなってしまうかと。


No.4149 投稿時間:2005年01月06日(Thu) 22:29 投稿者名:無題 URL:
タイトル:経験と理論

> > ちなみにvsftpd(スタンドアローンの場合しか未確認ですが)は、
> 21番ポートを開けるためにrootで起動していますが認証後は
> nobodyユーザーとログインしたユーザーの子プロセスが生成されていました。

vsftpdはまだましのようですね。使ったことないから知りませんが。

> anonymousの場合は試していないので不明ですが。

> > 通信路自体が暗号化されるモノと認識していますが…>TLS
> パスワード等の送受信は通信路の暗号化が確保された後に行われるハズですので、
> その点に関しては問題ないかと。

トンネルを掘って、向こう側にわたしてるイメージですよね。

> 接続の瞬間にセッションハイジャック等された場合にはどうにもなりませんが…
> ソレを言い出したらなにもできなくなってしまうかと。

それもそうですね(苦笑)。

ところで、私のところに1月4日の11時53分ごろ、以下のようなアクセスがありました。
このあとこれが40行ぐらい続くのですが。
タイムアウトの時間を長めにしてあり、カラパスワードをうっかり許可していたので、アタックを受けてしまいました。
SSHでも、安心しているとヤバいということを改めて感じました。

Jan 4 23:53:43 *** sshd[3394]: Illegal user jordan from 201.14.84.130
Jan 4 23:53:45 *** sshd[3394]: Failed password for illegal user jordan from 201.14.84.130 port 34185 ssh2
Jan 4 23:53:49 *** sshd[3396]: Illegal user michael from 201.14.84.130
Jan 4 23:53:51 *** sshd[3396]: Failed password for illegal user michael from 201.14.84.130 port 34235 ssh2

..........


話は変りますが、
こんなことを言うと何ですが、システムやプログラミングの世界に独自性なんてそもそも必要なのでしょうか?

欲しい、と思う機能は作ろうと思う前に作られてしまっている、ということが多いです。

この世界のエキスパートが、天才的な頭脳で、われわれ凡人が書けないようなプログラムを書いてしまわれる。

われわれはそれを説明書どおりに使えば良いのです。

ちょうどJavaにたくさんのクラスがあらかじめ用意されていて、それのインスタンスを使えばよいようなものです。

なので、私は経験則にのっとったプログラムを使うよりも、より分りやすいプログラムを使うほうがよいと思っています。

あるときは動き、あるときは動かない、環境によってちがった動きかたをする、というのは確かにおもしろいかもしれません。
しかしそれではだれでも使えるツールとは言えないのではないでしょうか。

この世界に独自性を求めるとすれば、「マニュアルに添わない使いかた」ではなくて「プログラムそのもの」であったり、
あるいはもっと独自性が発揮できる「コンピュータグラフィックス」や「ユーザーインターフェース」の部分ではないか、と思うのです。

プログラムはおそらく、コンパイルされた時点で使いかたが決定されてこの世に生まれて来たものです。

いろいろな使いかたが出来るのは分ります。
しかし、マニュアル通りに使ってこそ、そのプログラムの最高の性能が発揮されるものではないでしょうか。

また、プログラムには寿命というものがあると思います。
永遠にあたらしいプログラムは存在しません。

プロトコルとて同じで、より性能のよいプロトコルがあれば、それに換えるべきだと思うし、所詮は人間の作ったものなので、ふるくなって当然です。

かくいう私もいつかは「おやじ」になるでしょう。
「おやじ」にだけはなりたくない、と思っていましたが、最近とても疲れるし、脳味噌もだいぶ鈍くなって来ました。
これはやはり、「おやじ」になってきた証拠です。

だからと言って、「パソコンおやじ」になろう、というのではありません。

パソコンおやじって、「家庭のことをなおざりにして、自分の趣味の世界に没頭するおやじ」というイメージが抜けなくて、あまりいいイメージを持てないのです。別に家庭的な愛に餓えていたわけじゃないですけれど、コンピュータを触るひまがあったら、もっと子どもの相手をしてやったらどうか、なんて思ってしまうのです。

つまらないことを書きましたが、べつにここの「おやじさん」をどうこう言っているわけではなくて、そういう一種のこだわりを持った人があまり得意でない、というか、苦手なんですね。

つまらないことを書きましたが、子どもと遊んでくれるおやじさんってなんだかすごくあこがれるんです。
おれも親になったら、そういうひとになりたいな、って思います。


No.4151 投稿時間:2005年01月07日(Fri) 08:10 投稿者名:通りすがり。 URL:
タイトル:Re: 経験と理論

話が変わりすぎてビックリしました。

>だからと言って、「パソコンおやじ」になろう、というのではありません。
>
>パソコンおやじって、「家庭のことをなおざりにして、自分の趣味の世界に没頭するおやじ」というイメージが抜けなくて、あまりいいイメージを持てないのです。別に家庭的な愛に餓えていたわけじゃないですけれど、コンピュータを触るひまがあったら、もっと子どもの相手をしてやったらどうか、なんて思ってしまうのです。
>
>つまらないことを書きましたが、べつにここの「おやじさん」をどうこう言っているわけではなくて、そういう一種のこだわりを持った人があまり得意でない、というか、苦手なんですね。
>
>つまらないことを書きましたが、子どもと遊んでくれるおやじさんってなんだかすごくあこがれるんです。
>おれも親になったら、そういうひとになりたいな、って思います。

結局は、こちらのパソコンおやじさんが嫌いだって事でしょうか?
こんな一文書くことに意味があるとは思えませんが…。


No.4159 投稿時間:2005年01月07日(Fri) 23:39 投稿者名:瀬戸っぷ URL:
タイトル:Re: 経験と理論

> トンネルを掘って、向こう側にわたしてるイメージですよね。

そんな感じですね。
トンネル開通の瞬間に暗号化(暗号の方式等)の取り決めを行います。

> ところで、私のところに1月4日の11時53分ごろ、以下のようなアクセスがありました。
> このあとこれが40行ぐらい続くのですが。
> タイムアウトの時間を長めにしてあり、カラパスワードをうっかり許可していたので、アタックを受けてしまいました。
> SSHでも、安心しているとヤバいということを改めて感じました。

sshスキャンかと。
過去に別のところですが
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=15809&forum=10
と書き込みを。
(パターンが違うようなので、新しいスキャンタイプでも出てきたのかな?)

ちなみに、現在はswatchでログを監視させているので、
sshスキャンの兆候を発見したらiptablesで強制的にREJECTするようにしてあります。
その際BEEPが鳴るようにしてみたり。
(などと書いている間にスキャンをブロックしたようです)
SSHとはいえパスワード認証では辞書攻撃(総当たり)で破られる可能性もあるので…

# swatchでのブロック用の設定、欲しい方いるでしょうか?
# 見栄えのするページは作れませんが…
## courier-imap、4.0.0のAPOPパッチ作業中…

> 欲しい、と思う機能は作ろうと思う前に作られてしまっている、ということが多いです。

まぁ、たいていそうですね。
そんなワケで人のプログラムに少し手を加えたりとかしていたりするのですが。
(同じモノは作れないけど一部を変更することなら……)

> われわれはそれを説明書どおりに使えば良いのです。

説明書に書かれていない使い方をしてみて、新たな問題点が発見されることもあります。
プログラムのテストとなると、そんなコトの方が多かったりしますが。
(そういう使い方を推奨しているワケではないですが…)


No.4166 投稿時間:2005年01月09日(Sun) 14:43 投稿者名:無題 URL:
タイトル:Re^2: 経験と理論

> > sshスキャンかと。
> 過去に別のところですが
> http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=15809&forum=10
> と書き込みを。
> (パターンが違うようなので、新しいスキャンタイプでも出てきたのかな?)

ありがとうございます。
参考にさせていただきます。

> > ちなみに、現在はswatchでログを監視させているので、

ログの監視はもっぱらテキストエディタです。
このツールは便利ですか?>swatch

> sshスキャンの兆候を発見したらiptablesで強制的にREJECTするようにしてあります。
> その際BEEPが鳴るようにしてみたり。

最近はiptablesでも不安になってきたので、中国などではやっている
shorewallの導入を検討中です。
かなりきめ細かな設定が可能です。

> SSHとはいえパスワード認証では辞書攻撃(総当たり)で破られる可能性もあるので…

こわいですね。


No.4168 投稿時間:2005年01月09日(Sun) 23:03 投稿者名:瀬戸っぷ URL:
タイトル:Re^3: 経験と理論

> ログの監視はもっぱらテキストエディタです。
> このツールは便利ですか?>swatch

ログに出力された結果によってアクションを起こすには便利です。
http://www.atmarkit.co.jp/flinux/rensai/root04/root04b.html
等が参考になるかと。
LogWatchも毎晩起動してレポートを出力させるようにしています。

> 最近はiptablesでも不安になってきたので、中国などではやっている
> shorewallの導入を検討中です。
> かなりきめ細かな設定が可能です。

とりあえず、ブロードバンドルーターとの2段構え状態なので、
iptablesだけで処理しています。
同様のパケットフィルタが2重ってコトで、内側はあまり意味ありませんが。


No.4173 投稿時間:2005年01月11日(Tue) 20:49 投稿者名:T URL:
タイトル:Re^4: 経験と理論

一部始終読ませて頂きました。
無題さんのおっしゃる事にも一理あると思っています。
とても参考になりました。ありがとうございます。

確かにFTPは危険であると僕も最近思い始めていた所です。
今ではWINSCPを使いファイル転送をしたりしています。
ファイル転送=FTPという固定概念的なものが古くからねずいていると思います。どんどん新しい物を取り入れてセキュアーにして行くのもいいかもしれません。ですがユーザー側が着いて来ません。

ただ無題さんのいただけなかった部分は、おやじさんのプライベートに触れた部分です。
そんな事は言わなくてもいいはずです。
大きなお世話です。
おやじさんはおやじさんなりに頑張っているんですから、僕らがどうこういうのは間違っていると思います。

結局の所、結論なんて見いだせません。
ハックされる時はされますよ。
僕ら管理者は出来うる限りそれを防ぐ努力をするだけ。
PHPの4.3.1だったかな?セキュリティを突かれてハックされているサイトを見ました。
外部に公開するというのは危険なのはみんな解っています。
だからここで頑張っているんです。
「反対意見の中には真理」があります。(反対ではないかもしれませんが)
あとは個人がどうするかだと思います。
最終決定は個人個人で決めればいいのです。


No.4177 投稿時間:2005年01月13日(Thu) 01:40 投稿者名:無題 URL:
タイトル:Re^5: 経験と理論

こんにちは。

> ただ無題さんのいただけなかった部分は、おやじさんのプライベートに触れた部分です。
> そんな事は言わなくてもいいはずです。
> 大きなお世話です。
> おやじさんはおやじさんなりに頑張っているんですから、僕らがどうこういうのは間違っていると思います。

ちょっと言い過ぎました。
しかも見ず知らず、お会いしたこともない人に向かって、なんてことをいったのでしょう。
ただ、初心者(とは思えませんが)といわれているおやじさんが、家庭をなおざりにしてでも、この(わけのわからない)コンピュータの迷路に迷い込んで、現実の世界を忘れてしまうのではないか、と心配したのです。

コンピュータの世界は、汚れています。
最近特にそう思います。

スパマーが蔓延し、クラッキングや、裏組織とのつながり、アダルトビジネスなど、良い材料が見当たりません。

今社会を騒がせている要素が、ほとんど見当たります。
挙句のはては、通貨偽造にPCを使ったりします。

スパマーのほとんどが、セキュリティーの甘いサーバーを「ゾンビ」として不正利用し、大量のメールを送りつけたりしています。

このように崩壊してしまった「コンピュータワールド」に、多少なりとも夢を見て、努力しているおやじさんをけなげに思ったまでです。

> 結局の所、結論なんて見いだせません。

結論は、自分なりに考えてみたのですが、

「世に盗人の種は尽きまじ」です。
人間はこの世界に自分たちの尽きざる欲望を反映したのです。
欲望は大きくなる一方で、決して縮小することはありえません。
大きくなった欲望は、さらに大きな欲望を求めます。

人をだましてでも、欲望の対象を得ようとします。
そのために人間は知識を使うような存在に成り果てました。

だとすれば、人間がしあわせに生きるためには、その欲望を捨てるしかない。知識を捨てれば、おそらく人間は幸せになるのではないでしょうか。

今まで、コンピュータは人をしあわせにすると思っていました。
しかしどうやら、そうではないらしい。

「電車男」を読みましたか?
わたしは彼をとても哀れだと思いました。

脳みそまで、ハックされている人間を見るのは、もうごめんこうむりたいと思います。

だからといって、この世界に背を向ければ、明日の糧にも困ることになる。

コンピュータは人間に課せられた呪いだと思います。


No.4179 投稿時間:2005年01月13日(Thu) 11:51 投稿者名:通過男 URL:
タイトル:Re^6: 経験と理論

一通り読みました。
極論の連続ですね。
鬱病に似た症状(考え方)をお持ちのようですが、
きっと不幸なんですね。可哀想に。
> 「電車男」を読みましたか?
> わたしは彼をとても哀れだと思いました。
私は貴方を哀れだと思いました。


No.4188 投稿時間:2005年01月16日(Sun) 01:23 投稿者名:通りすがり URL:
タイトル:Re^7: 経験と理論

あなたの考えは十分に伝わったと思うので
このあたりで終わりにすべきかと。



掲示板▲頁先頭