teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップセキュリティーに関する質問
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Q&A

解決済

1回答

2539閲覧

SSHのrootユーザーログインに関するセキュリティについて

ma-yu
ma-yu

総合スコア57

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

0グッド

2クリップ

投稿2018/07/31 04:32

0

2

SSH PermitRootLoginについて

SSHを利用したログイン方法には以下の制限があるそうですが、サイバーセキュリティを考慮した場合の違いについて御教授ください。

<PermitRootLogin>

1.PermitRootLogin yes
rootユーザーのログインが許可されている

2.PermitRootLogin no
rootユーザーのログインが許可されていない

3.PermitRootLogin without-password
rootユーザーのみパスワード認証を拒否する

4.PermitRootLogin forced-commands-only
rootユーザーのログインは無効だが、suコマンドのみ受け付ける

質問

4.PermitRootLogin forced-commands-only について疑問があります。
「rootログイン可能」と「rootログインできないがroot権限のコマンドは発行可能」の違いがわかりません。

以下御教授いただけないでしょうか?

*質問1.できることは同じですか?
違いは何になるのでしょうか?
どういった使い分けをするものなのでしょうか?

*質問2.サイバーセキュリティ的に問題はありますか?
IPAが提示する資料等目を通しましたが、特に記載はなく感じました。

補足情報

参考URL
<sshd_config の PermintRootLogin の各種パラメータについて>
https://qiita.com/ine1127/items/b50b9a8f831736cf14ea

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

forced-commands-onlyだと、サーバー側であらかじめ許可しておいたコマンドの実行だけはroot権限で出来るようです(キーによる認証は必須)。
noだとそう言うことは出来ません。

参考URLで書かれているように、scpやrsyncを許可してしまうと何でも出来るので、生のscp等を許可するのは良くないかと。

投稿2018/07/31 04:47

otn
otn

総合スコア84499

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ma-yu
ma-yu

2018/07/31 04:50

ご回答ありがとうございます。 コマンドに制限をかけられるということですね。 見落としていました。 気になったのですが、「生のscp」とはどういった意味になりますか? よりセキュアな環境でscpを実行する手段があるのでしょうか?
otn
otn

2018/07/31 05:01

> 「生のscp」とはどういった意味になりますか? /usr/bin/scp のことです。 特定ファイルの更新のみ許したいのであれば、例えば、"/usr/bin/scp user@host:/home/user/foo /root/foo"を実行するプログラムを作ってそのプログラムを許可すれば/root/fooだけ更新できます。
ma-yu
ma-yu

2018/07/31 05:47

ありがとうございます。 許可したプログラムがroot権限で実行されるため可能なのですね。 その理論で行くと、"scp /home/user/foo /home/root/foo"と記述したシェルスクリプトの実行を許可すれば同じことが可能かと思ったのですが、違いはありますでしょうか?
otn
otn

2018/07/31 05:56

この場合はシェルスクリプトでも大丈夫だと思います。
ma-yu
ma-yu

2018/07/31 06:03 編集

ご回答ありがとうございます。 主な使い道について理解することができました。 特定のシェルスクリプトの実行のみ許可すれば、大きなセキュリティホールにはならないかと思います。 安全と言い切れるかは分かりませんが... いろいろ試してみようかと思います。ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップセキュリティーに関する質問

SSHのrootユーザーログインに関するセキュリティについて