Re: [ja-discuss] Re: ssh鍵に関連したセキュリティ対策
From: Yosuke Kato [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Subject: Re: [ja-discuss] Re: ssh鍵に関連したセキュリティ対策 Date: Thu, 19 Jul 2007 23:38:34 +0900 今回の手順によって,当初目的である「私がcommitできない」という点だけは実 現しました。しかし「本当に消されたのは私の鍵か?」という疑問点が残りまし た。また,「これから返上する人は自分で権限返上ができるんじゃないか?」と いう疑問に対する回答は不明なままです。 まあ,しょうがない。 Issueを見るかぎり、「ない」となってますね。とにかく、content developer以上の 権限がない場合は、OOoとしてはsecurity riskはないので、問題はないです。 ja.oo.oとしてはcontent developer権限以上を持たなければコミット等 すべて不可能ですので問題は大きくはありません。 当然、実際はSSH2 public keyを削除すればriskは下がります。 望ましいですが、今回は「ない」となっていますので、削除と同等だと考えて もよいと思います。 では。 -- Nakata Maho ([#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]) - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: ssh鍵に関連したセキュリティ対策
From: Yosuke Kato [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Subject: Re: [ja-discuss] Re: ssh鍵に関連したセキュリティ対策 Date: Thu, 19 Jul 2007 23:38:34 +0900 1.公開鍵の削除 2.アクセスできないことにより,鍵削除の確認。 3.developer権限の返上 4.自分で返上するための方法をまとめる。 5.observerの削除 6.これも自分で消せることを確認し,方法をまとめる。 7.おしまい。 申し訳ない、説明が足りませんでした。SSH2 dsa public keyをOOoは 要求するのですが、ja.oo.o以外にもそれは使います。ので わたしの一存で本質的に可能なのはja.oo.oのコミット権の コントロールのみです。 -- Nakata Maho ([#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]) - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: ssh鍵に関連した セキュリティ対策
中本です。 鍵の無効化お疲れさまです。 鍵を無効化するための一連の流れについては、(あまり詳しく見ていませんが) http://qa.openoffice.org/issues/show_bug.cgi?id=10059 を見れば大体分かるようになり、今後の参考になります。ありがとうございま した。 On Wed, 18 Jul 2007 23:31:19 +0900 Yosuke Kato [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: Yです。 On Tue, 17 Jul 2007 12:34:59 +0900 (JST) Maho NAKATA wrote: オブザーバと開発者のroleをrevokeしました。よろしくご確認ください。 あれ…。そっちをされてしまいましたか。 何はともあれありがとうございました。issueにも書きましたが,commitできな いことは確かです。 OOo日本語プロジェクトの立場からすると、commitができないことが確認でき れば、セキュリティ対策としてはほとんど十分だと思います。 しかし、Yさん含め他の各コミッターにとっては、その鍵が漏洩して他のsshサー バなどのログインされたらまずいでしょうし、鍵をキレイさっぱり消すように 念押ししておくとよいのではないかと思いました。 OOo以外にssh鍵使っていないのであれば問題はないのでしょうし、そのあたり は各コミッターの判断にお任せして、鍵の無効化作業を完了させていただけれ ばよいでしょう。 -- 中本 崇志 (Takashi Nakamoto) E-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: ssh鍵に関連した セキュリティ対策
中本です。 On Wed, 18 Jul 2007 23:31:19 +0900 Yosuke Kato [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: Yです。 On Tue, 17 Jul 2007 12:34:59 +0900 (JST) Maho NAKATA wrote: オブザーバと開発者のroleをrevokeしました。よろしくご確認ください。 あれ…。そっちをされてしまいましたか。 何はともあれありがとうございました。issueにも書きましたが,commitできな いことは確かです。 OOo日本語プロジェクトの立場からすると、commitができないことが確認でき れば、セキュリティ対策としてはほとんど十分だと思います。 しかし、Yさん含め他の各コミッターにとっては、その鍵が漏洩して他のsshサー バなどのログインされたらまずいでしょうし、鍵をキレイさっぱり消すように 念押ししておくとよいのではないかと思いました。 よく考えたら、別に秘密鍵を公開サーバーに置いているわけではないので、こ れは「念押し」することではなく、鍵をキレイさっぱり消すのは自分で作業する ことです。 # 一瞬だけ勘違いしていました orz いずれにしても、各コミッターが適切に対処していただくことを期待しており ます。 -- 中本 崇志 (Takashi Nakamoto) E-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: ssh鍵に関連した セキュリティ対策
鎌滝です。 At Wed, 18 Jul 2007 23:31:19 +0900, Yosuke Kato wrote: On Tue, 17 Jul 2007 12:34:59 +0900 (JST) Maho NAKATA wrote: オブザーバと開発者のroleをrevokeしました。よろしくご確認ください。 あれ…。そっちをされてしまいましたか。 何はともあれありがとうございました。issueにも書きましたが,commitできな いことは確かです。 オブザーバ権限の削除というのは、Yさんの本意に沿っていないと言うことで しょうか。 オブザーバ権限は、もっとも低レベルな権限ですが、マイページから「マイプ ロジェクトアナウンス」が見られなくなりますよね。それは困るのでは。 -- M.Kamataki http://nstage.ddo.jp/pukiwiki/index.php?OpenOffice.org http://nstage.ddo.jp/pukiwiki/index.php?KNOPPIX - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: ssh鍵に関連した セキュリティ対策
中本です。 お疲れさまです。 On Fri, 13 Jul 2007 00:29:40 +0900 Yosuke Kato [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: Yです。 On Wed, 11 Jul 2007 13:17:34 +0900 Takashi Nakamoto wrote: それから、もうほとんどja.openoffice.orgのWebサイトにたいしてコミットし ていない人には、基本的にはssh鍵の登録を抹消してDeveloper権限を返しても らうようにしてもらうようにしてはどうでしょうか?ここ1年間(2006年7月〜 ええ,無駄に使用可能な鍵があること自体確かにセキュリティリスクであると思 います。 そういうことです。 説明が足りなかったかもしれませんが、使わない鍵を放置しておいて悪用され る可能性がありますので、このような提案/対策をしています。 私自身使っていないので権限を返却させていただきたいと思います。週末にスタッ フ一覧などから名前を削除し,私の公開鍵を削除してもらうよう登録時のissue をre-openしようと思います。 鍵が漏洩して一番困るのはその鍵の所有者自身です。コミットしない人は自ら 迅速にYさん同様の行動をとっていただけることを望みます。 そういえば、jaプロジェクトにおけるDeveloper権限とかも、自分で無効化す ることができるかもしれません。 OpenOffice.orgのサイトにログインして、My pagesのページに行くと、左のメ ニューに My profile というリンクがあるので、これをクリックします。 すると、ページの下の方に User Roles and Permissions なる項目があり ますので、ここでDeveloperのところでDeleteを選択して、Update roles ボタンをクリックすればいけそうです。 # 私は英語ロケールなので、他の方のブラウザではページ名等が日本語(例え # ば、My pages-マイページ)になっているかもしれません。 実際にやったことないですし、実際にやっちゃったら後がめんどくさそうなの でやりませんが...実際にやったことがある人があれば、ぜひその手順を教え ていただけると今後の参考になります。 - tora Developer権限なくなったんじゃないでしたっけ? まぁ、なんでなくなったのか未だに分かりませんが、とりあえず過去1年以内 にToraさんのコミットした履歴がありましたので、一応リストに載せてありま す。 -- 中本 崇志 (Takashi Nakamoto) E-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
