[過去ログ] 【Raspberry Pi】ラズベリー・パイ part66【Arm】 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
362: (ワッチョイ cb50-m3Qw) 2022/11/14(月)00:03 ID:TkR9YM000(1) AAS
そして間違って塞ぐポート22
363: (ワッチョイ ed0b-1mqz) 2022/11/14(月)00:13 ID:oisIq9ps0(1) AAS
>>360
別にちゃんと設定弄れば問題ない
初期設定がやばいってだけやし
そもそもサーバー関係はどうあがいても絶望リスクが付きまとうから自分でどこまで厳格化するかをわかって設定しないとどんだけセキュア謳ってるOS使おうが危ない
364: (ワッチョイ c58f-AMkR) 2022/11/14(月)00:29 ID:mTBcR13K0(1/2) AAS
IPv4NATの安全地帯に慣れた人が、ちょっと古いv6対応のブロードバンドルーターとか使ってv6 readyな環境にデフォルトのraspi OSを繋いでると危ないかもね。
一時期なんのフィルターもかけられないブロードバンドルーターがv6パススルーできるって意味でv6対応って言ってたから。
365(1): (ワッチョイ 4b18-POcG) 2022/11/14(月)02:10 ID:zBQxXVNq0(1/3) AAS
IPv6だとIPアドレスが128bitsになるのでIPをどこかに公開しないかぎりは攻撃者がサーバのIPを特定することはかなり困難って聞いたことはある。
それに比べればIPv4で2の32乗近くあるアドレスにかたっぱしから順番に接続できるかどうか試すのは簡単そう。
SSHについてちゃんと勉強して適切に設定し、セキュリティカメラの映像をsshのlocal port forwarding経由で受信すればそれなりに安全になるのでは。
SSHならネット上にたくさん情報あるし。
366(1): (ワッチョイ 2381-gi+a) 2022/11/14(月)11:35 ID:MCU+0TaV0(1) AAS
それなりって
所詮その程度の浅い知識で代替ポートが全開のままなんだろうなw
367: (ワッチョイ c58f-AMkR) 2022/11/14(月)12:10 ID:mTBcR13K0(2/2) AAS
>>365
中間のルーターで攻撃者がパケットをsnoopingしていたら?
IPアドレスなんて秘匿情報でもなんでもないから見かけたv6アドレスに対して片っ端から攻撃を仕掛けていてもおかしくない。
もちろん普通はテンポラリアドレスというのがあって、固定されたv6アドレスの方は使わないように設定されているものだけど。
ただありとあらゆるv6対応機器がテンポラリアドレスでインターネットにアクセスしているかはわからないし、ホワイトリスト方式でのフィルタは最低限必要だと思うよ。
知らないうちにbotnetの仲間にされちゃうよ。
368(1): (ワッチョイ 4b18-POcG) 2022/11/14(月)12:29 ID:zBQxXVNq0(2/3) AAS
>>366
ポートが全開だけどsshサーバだけがポートを一つだけ使っていてそれ以外のプロセスがまったくポートを使っていない状態でも何か問題ある?
sshサーバが公開鍵認証だけ受け付けるようにすれば秘密鍵を持たない人がsshにログインすることは困難でしょ。
sshサーバにログインする以外の方法を試すにしてもsshサーバ以外に外部から受信するプログラムが動いていなければどうすることもできないのでは?
単に気持ち的に不安だから不要なポートはすべて閉じたいっていうだけのことかな?
369: (ブーイモ MM39-YwVE) 2022/11/14(月)13:24 ID:Fa+Cso6qM(1) AAS
清く正しいnmap
370: (ブーイモ MM4b-AMkR) 2022/11/14(月)17:50 ID:+NYQpCj3M(1) AAS
>>368
他のプロセスが知らないうちにポート開いているのが確実にないと思えるならいいんじゃない
371(1): (ワッチョイ 4b18-POcG) 2022/11/14(月)22:19 ID:zBQxXVNq0(3/3) AAS
netstat --protocol=inet -l
でそのマシンでlistenしているソケット一覧を表示できる。
372: (テテンテンテン MM4b-vtTl) 2022/11/14(月)22:35 ID:OHN45XUHM(1/3) AAS
今どきは可能性が低いけど、
NICのドライバとかIPプロトコルスタックにセキュリティホールになるようなバグがあればlistenしてなくても落とされる可能性はある
373: (ワッチョイ 2371-xLyV) 2022/11/14(月)22:41 ID:VJultIr00(1) AAS
「ラズパイ×2+NASでライブマイグレーション可能な自宅Proxmox VEクラスタを構築する」
外部リンク[html]:internet.watch.impress.co.jp
374: (テテンテンテン MM4b-vtTl) 2022/11/14(月)22:44 ID:OHN45XUHM(2/3) AAS
あとIPv6に関しては、
例えばAAAAレコードだけ登録した pixel-bug.ipv6.example.com みたいな名前/サイトを用意して、
//pixel-bug.ipv6.example.com/dummy.gif みたいなリンクをどこかに埋め込んで有効なIPv6アドレスを集めることはできるでしょ
テンポラリアドレスでもネットワークアドレス側は変わらないから、EUI-48を使ってる機材(とそのOUI)のリストがあれば、
インターフェイス識別子側を生成してネットワークアドレスと組み合わせてスキャンをかける、みたいな攻撃は多分可能
IPv6アドレスは128bitだけどランダムではないから、多分、スキャン/攻撃が成立する余地はあると思う
375: (テテンテンテン MM4b-vtTl) 2022/11/14(月)23:13 ID:OHN45XUHM(3/3) AAS
すまん、
s/EUI-48/EUI-64/g
376: (ブーイモ MM39-AMkR) 2022/11/15(火)10:20 ID:ELGG55YoM(1) AAS
>>371
その瞬間のはね。
377: (アウアウウー Saa9-1mqz) 2022/11/15(火)10:35 ID:jmyFJzaBa(1/3) AAS
可能性をどこまでかんがえるか
だけど自分の管理に不安がある人はホームカメラみたいな漏洩がクリティカルになりそうな用途でこんな自己責任の塊な機器は使わないほうがいいわな
378: (アウアウウー Saa9-1mqz) 2022/11/15(火)10:38 ID:jmyFJzaBa(2/3) AAS
サーバー公開せずにクローズドでやるとか
あくまで漏れても実害ないデータの公開用とかならお好きにどうぞだけど
俺は前者かつ後者でもあるからセキュリティ的には雑な運用
379(2): (ワンミングク MMa3-m3Qw) 2022/11/15(火)11:45 ID:cY/3xEw6M(1/5) AAS
ラズパイから少し離れるが、そのあたりのセキュリティに強い人教えて
ラズパイに外部からコマンド送りたいんだが、WEBサーバ公開するの怖くてMQTTでやってる
ただ、MQTTは戻りがないので、コマンド成功失敗がわからない。
ngrokがいいみたいだけど、ぐぐると標的にされてるみたいで怖い
何かいい案無いですか?
今はわざわざapacheとか立てるほどではないので、pythonのhttpsimpleserverでローカルにだけ公開して、ローカル内のwebhookでは動いてる。
380: (ワッチョイ 1d7e-H0Ic) 2022/11/15(火)12:10 ID:niN/NxZH0(1/2) AAS
ssh
381: (ワッチョイ 2334-m1rh) 2022/11/15(火)12:18 ID:Whglyt4q0(1/2) AAS
VPN張るかSSHトンネルするか
上下前次1-新書関写板覧索設栞歴
あと 621 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.021s