2005年04月18日(月) << 前の日記 | 次の日記 >>
これまでの04月18日 編集

■1「REMOTE HOST IDENTIFICATION HAS CHANGED」が出たら、~/.ssh/known_hostsを消せ[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

既に確認してknown_hostsにあるサーバに対して、よそからアクセスする時のためにフィンガープリントを印刷して持っておきたいと思って方法を探している時に見つけた。
known_hostsはとても大事なものだから、消してはいけない。サーバ証明書の様な問題が起きてしまって、sshの安全性が損なわれてしまう。
逆に新しいサーバにログインする時は、フィンガープリントを確認する必要があって、一つ一つ確認済みのものをknown_hostsに溜めていくものだ。

GlobalKnownHostsFile as read only known_hosts[http://triaez.kaisei.org/~kaoru/diary/?200305a#200305045]:

高橋さんとこ[http://triaez.kaisei.org/~kaoru/diary/?200504b#200504181] から。
~/.ssh/known_hosts だけじゃなくてもうひとつ read only の known_hosts を用意しませんか、という話。
素晴らしい!
sshを運用に入れると何が問題ってこれが問題 *1 なんで、hostの公開鍵を事前に持っていなかったらむしろ接続できないって運用は良いかも知れないってことを思いついた。事前に管理者の手で信用できる公開鍵を制約しちゃえば良いよね。一般のユーザはそれで良いはず。運用に関してすごく良いヒントになる気がする。
*1: 信用できない公開鍵を平気で受け入れる人がいること。

■ 関連記事

■2IP over TCP(のフリ)の実装[network]<< 前の記事 このエントリーをはてなブックマークに追加

TCP over TCP[http://shugo.net/docs/tcp-tcp.html] は色々問題があるのだけれども、諸般の事情があってNATの内側からトンネルを掘りたい時にどうするか。
NATルータあるいはF/Wから見るとTCPに見えるけれども、実は再送タイミング等は上位のトンネルアプリがコントロールしているって何かがあれば良いわけですね。
既に実装があるに違いない。ひょっとして、SoftEtherってそうですかね。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project