Last-modified: Sun, 01 Jun 2008 18:39:45 JST
詳しくは DEBIAN JP Project が公開している OpenSSL パッケージの脆弱性と脆弱なパッケージを含まない他の環境への影響について (Q & A)を参照するとして、この問題はけっこう深刻な気がする。
SSH でのリモートアクセスを許可しているサーバを運営している場合、 現在サーバにある鍵をチェックするだけでは不十分。ユーザが新たに問題のある鍵を 置く可能性は否定できないので、今後 10 年とか 20 年、現在の SSH 鍵のシステムが 使われている限りは (詳しくは後述) 定期的に鍵をチェックする必要がでてくる。
SSH の実装そのものに手を加えて問題のある鍵を排除する仕組みをつくるか、 チェックするスクリプトを cron(8) で回すなどとして定期的にチェックする必要が あるだろう。
前者については既に Debian で実装があるが、これが OpenSSH 本体にマージされるのか 見守っていきたい。 FreeBSD などでこうしたローカルパッチを当てた OpenSSH を 保守するのは嫌な感じだし。
現在の SSH の実装にも問題がある。 SSH の公開鍵システムは非常に便利なのだが、 生成される鍵に有効期限の概念がない。仮に問題のある鍵の発行が止まったとしても *1、既にある脆弱な鍵はいつまでたっても無効にならない。
にも疑問がある。前掲した DEBIAN JP Project の資料には
Q. では、どうやって私のサーバが影響があるのか確認すれば良いのですか?
A. Debian OpenSSL Weak Key Detector (dowkd)を利用してください。
これは perl で書かれたスクリプトで、 OS / ディストリビューションを問わずに 実行できます。実行前のファイルの正当性の確認には OpenPGP 署名を確認してください。なお、このスクリプトは随時更新されていますので、 適宜チェックしてください。
とあるが、どういう更新がされているのか履歴が追えない。更新するだけの理由、 具体的には以前のバージョンではチェックし切れなかった部分があるのか、 がわからないというのは非常に嫌な感じ。そのあたりを「適宜チェック」などという 表現で済まされてはね。
私が直接管理している範囲では Debian な鍵を使うユーザがいるサーバはないので とりあえず様子見。
18 時過ぎに抜けられたので、久しぶりに秋葉原へ。 JR で秋葉原を経由するルートの 定期券を持っているのだけど、実際に駅で降りるのはほとんどない。
ツクモ Ex 館にて
しばらく前に会員券を紛失してしまったみたいなので、新しいのを発行してもらう。
秋葉原 UDX に寄って、鳥つねで夕食。
 |
ブラウマイスターのグラスとお通し。 |
 |
サラダと揚げもの。サラダには鶏肉と玉ねぎを和えたものが乗せてある。 |
 |
親子丼。 |
金曜日の夜 19 時前後という時間帯なのに、客は私だけ。店内が静かで良かった けれど、こんな客の入りで大丈夫なのかな?
ヨドバシ秋葉に寄ってゴールドポイントカードの再発行手続き。ツクモのカードと 一緒になくしたみたい。
5 時起床。またしても週末に雨。嫌な感じ。
シャワーと洗濯を済ませてから、八王子へ。
小比企町の「そば処 大むら」へ。ここは実家のところまで配達してくれるので 出前を頼むこともあるけれど、今日は店へ。
蕎麦やうどんを食べたいときには椚田の通りにある「どんぐりの里」を よく利用していた ( 1/4 の日記参照) のだけど、少し前に閉店してしまって寂しい。小学校時代の同級生 (クラスは 別だった) がやっていたのだけど、どうしているんだろうか。
 |
カツ丼ともり蕎麦のサービスセット (店内のみ、 950 円)。 |
 |
帰宅して Henri 君と。 |
日産のディーラーへ行って新車 6 ヶ月点検。燃料タンクのリッドが開きにくくなって いたので修正してもらう。これでも調子が悪いようであれば交換を含めて修理して もらえるみたい。
小倉屋で日本酒を購入してから北野のスーパーオートバックスへ。 GPS 対応の レーダー探知機とカーシャンプーを購入。