HOMEサンプル問題・例題解説303試験の例題と解説322.5 OpenSSH

303試験の例題と解説

322.5OpenSSH

今回は303試験の試験範囲から、「322.5 OpenSSH」についての例題を解いてみます。

■トピックの概要
このトピックの内容(2010年2月26日時点)は以下の通りです。トピックの詳細はこちらからご確認ください。

322.5 OpenSSH
重要度:3

<説明>
OpenSSHサービスの使用方法と設定上のセキュリティ問題について経験と知識があること。

<主要な知識範囲>

  • OpenSSHの設定およびコマンドラインツール
  • OpenSSH用鍵の管理及びアクセス制御
  • SSHプロトコルv1とv2に存在するセキュリティ問題の認識

<重要なファイル、用語、ユーティリティ>

  • /etc/ssh/
  • ?/.ssh/
  • ssh-keygen
  • ssh-agent
  • ssh-vulnkey

■例題
OpenSSHのセキュリティを高める方法として適切でないものを選びなさい。

  1. rootでログインが行えないようにする
  2. ホストベース認証を行えないようにする
  3. パスワード認証を行えないようにする
  4. SSH v1を利用できないようにする

※この例題は実際のLinuC試験とは異なります。

解答と解説

答えは 1. rootでログインが行えないようにする です。

OpenSSHは様々な認証方式が利用できますが、ホストベース認証およびパスワード認証は簡単な攻撃によりシステムに侵入される可能性があるので、通常運用するシステムでは使用できないようにしておくことが望ましいでしょう。
公開鍵認証、あるいはワンタイムパスワード認証を利用した認証を行うことが考えられます。

SSH v1には、いくつかの脆弱性が見つかっているため、互換性の問題などによりSSH v1を使用せざるを得ない場合を除いて、SSH v1での接続を許可しないように設定するのが望ましいでしょう。
また、SSH v1の接続についても、早い段階でSSH v2に移行すべきでしょう。

rootでのログインを行えるようにすべきかどうかはセキュリティポリシーによるでしょう。

・できるようにするメリット・デメリット
公開鍵認証でrootでログイン。ネットワーク上にパスワードを流さないでも良いが、公開鍵認証が行えればrootでログインできてしまう。

・できないようにするメリット・デメリット
rootになるには、コンソールログインか、su、sudoなどに限定される。ただし、何らかの形でパスワードがネットワークに流れる可能性がある。また、ユーザーのみにsu、sudoを許可している場合、それらのユーザーでなりすましログインされると、同じく危険性がある。

どちらも一長一短であり、どちらが良い、というものではありません。
それぞれのメリットやデメリット、運用スタイルから適切な方法を選択するべきでしょう。

 


  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ