[[PageOutline]] * known_hostsから特定のhostのフィンガープリントを削除 * ssh-keygen -R "hostname" * [http://www.diederickdevries.net/blog/2010/06/05/x-forwarding-and-sudo/ My Cup of Tea / X Forwarding and sudo] > The reason for this is that: > X authentication is based on cookies — secret little pieces of random data that only you and the X server know… So, you need to let the other user in on what your cookie is (http://www.debian-administration.org/articles/494). > > {{{ > me@localbox:~$ ssh -X remotebox > me@remotebox:~$ chmod 644 .Xauthority > me@remotebox:~$ su - otheruser > Password: > otheruser@remotebox:~$ export DISPLAY=localhost:10.0 > otheruser@remotebox:~$ export XAUTHORITY=/home/me/.Xauthority > }}} = disable certain users to login with ssh = * [http://www.atmarkit.co.jp/flinux/rensai/linuxtips/739pamssh.html @IT:sshの利用をユーザー単位で許可/不許可するには] * /etc/pam.d/sshd {{{ @@ -15,7 +15,7 @@ # Uncomment and edit /etc/security/access.conf if you need to set complex # access limits that are hard to express in sshd_config. -# account required pam_access.so +account required pam_access.so # Standard Un*x authorization. @include common-account }}} * /etc/security/access.conf {{{ -:USERNAME:ALL }}} = avoid sshd brute force = * [http://dora.bk.tsukuba.ac.jp/~takeuchi/index.php?%B4%C9%CD%FD%BC%D4%2Fsshd%20%A4%D8%A4%CE%B9%B6%B7%E2%A4%F2%B7%E2%C2%E0 管理者/sshd への攻撃を撃退 - takeuchi@ShigekawaLab] * [http://dsas.blog.klab.org/archives/50208645.html DSAS開発者の部屋:ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする] * 対象はSSHdだが、ポートを変えるだけで他のサービスにも応用できそう * [http://slashdot.jp/linux/comments.pl?sid=401869&cid=1345065 コメント: Debianのopensslパッケージに欠陥発覚 - スラッシュドット・ジャパン] {{{ iptables というか Netfilter で tcp/22 への SYN はゆっくりしか受け取れない 設定をしていたので,総当たりするとなると何日もかかると思うんだよな・・ }}} * [http://kaworu.jpn.org/kaworu/2008-02-20-1.php sshブルートフォースアタックを防ぐiptablesを使ったblocksshd]