[過去ログ] 【Raspberry Pi】ラズベリー・パイ part66【Arm】 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
356(1): (ワッチョイ 2381-gi+a) 2022/11/13(日)20:00 ID:4MbKWRqY0(1/2) AAS
>>347
Raspberry Pi OSというかLinux系OSって
セキュリティ周りがデフォでザル
というかバカ穴だぞw(ほぼAll allowな罠)
まだ中華カメラの方がマシ。
357: (ワッチョイ 2381-gi+a) 2022/11/13(日)20:05 ID:4MbKWRqY0(2/2) AAS
RaspberryPiでRDPとかGUIを常用すること自体無謀。
BullsEyeで破滅的に重くなったからな。
動画再生支援を使って動画を見るくらいが関の山。
358: (ワッチョイ 9544-L5lb) 2022/11/13(日)20:21 ID:U+4yw2it0(1) AAS
Running The Open-Source Upstream V3D Driver On The Raspberry Pi 4 & Newer
外部リンク:www.phoronix.com
359: (ブーイモ MM69-AMkR) 2022/11/13(日)23:07 ID:BH17RKRXM(1) AAS
>>356
Linux系OSってくくるなよ。そんなに広くdistroを使ったことあるの?debian,ubuntu,suse,fedora,rhelぐらいはあると思うんだけど。
firewalldでsshすらデフォルトでは繋げられないようにしてるディストリビューションだって有名どころであるよ。
raspberry pi osは確かにザルだが、それはdistroの目的がセキュリティ面での安全性を重視してないからだし。
360(1): (スププ Sd43-at5B) 2022/11/13(日)23:20 ID:ttMEkPkvd(1) AAS
要するに初心者がラズパイでhomekitセキュリティカメラ使ったら誰かに見られちゃうわけ?
361: (ワッチョイ 1b98-NNfd) 2022/11/13(日)23:52 ID:vkRibiNP0(1) AAS
ufwでちゃんと塞いでから利用しようね。
362: (ワッチョイ cb50-m3Qw) 2022/11/14(月)00:03 ID:TkR9YM000(1) AAS
そして間違って塞ぐポート22
363: (ワッチョイ ed0b-1mqz) 2022/11/14(月)00:13 ID:oisIq9ps0(1) AAS
>>360
別にちゃんと設定弄れば問題ない
初期設定がやばいってだけやし
そもそもサーバー関係はどうあがいても絶望リスクが付きまとうから自分でどこまで厳格化するかをわかって設定しないとどんだけセキュア謳ってるOS使おうが危ない
364: (ワッチョイ c58f-AMkR) 2022/11/14(月)00:29 ID:mTBcR13K0(1/2) AAS
IPv4NATの安全地帯に慣れた人が、ちょっと古いv6対応のブロードバンドルーターとか使ってv6 readyな環境にデフォルトのraspi OSを繋いでると危ないかもね。
一時期なんのフィルターもかけられないブロードバンドルーターがv6パススルーできるって意味でv6対応って言ってたから。
365(1): (ワッチョイ 4b18-POcG) 2022/11/14(月)02:10 ID:zBQxXVNq0(1/3) AAS
IPv6だとIPアドレスが128bitsになるのでIPをどこかに公開しないかぎりは攻撃者がサーバのIPを特定することはかなり困難って聞いたことはある。
それに比べればIPv4で2の32乗近くあるアドレスにかたっぱしから順番に接続できるかどうか試すのは簡単そう。
SSHについてちゃんと勉強して適切に設定し、セキュリティカメラの映像をsshのlocal port forwarding経由で受信すればそれなりに安全になるのでは。
SSHならネット上にたくさん情報あるし。
366(1): (ワッチョイ 2381-gi+a) 2022/11/14(月)11:35 ID:MCU+0TaV0(1) AAS
それなりって
所詮その程度の浅い知識で代替ポートが全開のままなんだろうなw
367: (ワッチョイ c58f-AMkR) 2022/11/14(月)12:10 ID:mTBcR13K0(2/2) AAS
>>365
中間のルーターで攻撃者がパケットをsnoopingしていたら?
IPアドレスなんて秘匿情報でもなんでもないから見かけたv6アドレスに対して片っ端から攻撃を仕掛けていてもおかしくない。
もちろん普通はテンポラリアドレスというのがあって、固定されたv6アドレスの方は使わないように設定されているものだけど。
ただありとあらゆるv6対応機器がテンポラリアドレスでインターネットにアクセスしているかはわからないし、ホワイトリスト方式でのフィルタは最低限必要だと思うよ。
知らないうちにbotnetの仲間にされちゃうよ。
368(1): (ワッチョイ 4b18-POcG) 2022/11/14(月)12:29 ID:zBQxXVNq0(2/3) AAS
>>366
ポートが全開だけどsshサーバだけがポートを一つだけ使っていてそれ以外のプロセスがまったくポートを使っていない状態でも何か問題ある?
sshサーバが公開鍵認証だけ受け付けるようにすれば秘密鍵を持たない人がsshにログインすることは困難でしょ。
sshサーバにログインする以外の方法を試すにしてもsshサーバ以外に外部から受信するプログラムが動いていなければどうすることもできないのでは?
単に気持ち的に不安だから不要なポートはすべて閉じたいっていうだけのことかな?
369: (ブーイモ MM39-YwVE) 2022/11/14(月)13:24 ID:Fa+Cso6qM(1) AAS
清く正しいnmap
370: (ブーイモ MM4b-AMkR) 2022/11/14(月)17:50 ID:+NYQpCj3M(1) AAS
>>368
他のプロセスが知らないうちにポート開いているのが確実にないと思えるならいいんじゃない
371(1): (ワッチョイ 4b18-POcG) 2022/11/14(月)22:19 ID:zBQxXVNq0(3/3) AAS
netstat --protocol=inet -l
でそのマシンでlistenしているソケット一覧を表示できる。
372: (テテンテンテン MM4b-vtTl) 2022/11/14(月)22:35 ID:OHN45XUHM(1/3) AAS
今どきは可能性が低いけど、
NICのドライバとかIPプロトコルスタックにセキュリティホールになるようなバグがあればlistenしてなくても落とされる可能性はある
373: (ワッチョイ 2371-xLyV) 2022/11/14(月)22:41 ID:VJultIr00(1) AAS
「ラズパイ×2+NASでライブマイグレーション可能な自宅Proxmox VEクラスタを構築する」
外部リンク[html]:internet.watch.impress.co.jp
374: (テテンテンテン MM4b-vtTl) 2022/11/14(月)22:44 ID:OHN45XUHM(2/3) AAS
あとIPv6に関しては、
例えばAAAAレコードだけ登録した pixel-bug.ipv6.example.com みたいな名前/サイトを用意して、
//pixel-bug.ipv6.example.com/dummy.gif みたいなリンクをどこかに埋め込んで有効なIPv6アドレスを集めることはできるでしょ
テンポラリアドレスでもネットワークアドレス側は変わらないから、EUI-48を使ってる機材(とそのOUI)のリストがあれば、
インターフェイス識別子側を生成してネットワークアドレスと組み合わせてスキャンをかける、みたいな攻撃は多分可能
IPv6アドレスは128bitだけどランダムではないから、多分、スキャン/攻撃が成立する余地はあると思う
375: (テテンテンテン MM4b-vtTl) 2022/11/14(月)23:13 ID:OHN45XUHM(3/3) AAS
すまん、
s/EUI-48/EUI-64/g
上下前次1-新書関写板覧索設栞歴
あと 627 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.012s