SSH その6 ..

---

[2ch|▼Menu]

361:名無しさん＠お腹いっぱい。
09/02/27 11:22:42
>>360
$ XAUTHORITY="$HOME/.Xauthority"
$ export XAUTHORITY
$ su -
# echo $XAUTHORITY

???

362:名無しさん＠お腹いっぱい。
09/02/27 14:47:11
Yahoo!みんなの政治がプロ市民団体に乗っ取られてる件
URLﾘﾝｸ(seiji.yahoo.co.jp)

　大江康弘？　誰？　高橋千秋？？　知らない。どちら様ですか？　
そんな民主党のマイナー議員の皆様が激しく高得点。
そもそもどこの選挙区で何の実績を挙げてるのかすらよく知らん。誰かちゃんと全部知ってる？
　そんな人が70人通りかかって69人も支持。嘘だろー。
それに何か10,259件も誰かのコメントに支持したり反対したりしている。
何この超絶ヒマそうな民主党支持者。わけわかんない。
一時間ほど経過したところ、評価数がさらに増えて10,289件になっている。
見て回った中では最高得点のクリッカーだ。
懸命にクリックしているのだとすると腱鞘炎まっしぐらだし、
スクリプトだとするとBOT使いは死ねという話である。おとなげない。

小沢への異様なまでの高評価。正直に書くと支持されず。
URLﾘﾝｸ(seiji.yahoo.co.jp)
ヤフーが捏造した政党支持率　自民3%　民主76%　共産6%　社民3%　新党日本4%　国民新党2%　公明1%
URLﾘﾝｸ(quizzes.yahoo.co.jp)
アンケート操作疑惑
URLﾘﾝｸ(wiki.livedoor.jp)
Yahoo!みんなの政治，政治工作の舞台に　その２
ｽﾚﾘﾝｸ(giin板)

363:名無しさん＠お腹いっぱい。
09/02/27 18:03:47
>>361
man su

364:名無しさん＠お腹いっぱい。
09/02/27 18:43:39
>>363
そうじゃなくて、
>>360 の方法では su - の時には使えないって指摘してるんだろ。

>>359 が正解。

365:名無しさん＠お腹いっぱい。
09/02/27 20:39:37
>>364
それならそう書けよ。>>359は.Xauthorityが変わるたびにコピーしなおさない
といけない。>>359も>>360も、ホームディレクトリがNFSでroot_squashの場合
は使えない

366:名無しさん＠お腹いっぱい。
09/02/27 20:46:03
じゃあ、

$ cp $HOME/.Xauthority /tmp
$ su
# XAUTHORITY=/tmp/.Xauthority
# export XAUTHORITY
# xclock

で桶?

ちなみに、Linuxのsu(というかGNUの?) だと、
suする時に .Xauthorityのコピーを自動でやってくれるみたい。

367:名無しさん＠お腹いっぱい。
09/02/27 21:09:00
>>364
su -だとDISPLAY環境変数も消えるぞw
>>366
Debian(etch)で試してみたけど自動でコピーはしてくれないな

368:名無しさん＠お腹いっぱい。
09/02/27 21:14:38
>>367
>DISPLAY環境変数も消えるぞw

消えないよ。

369:名無しさん＠お腹いっぱい。
09/02/27 22:36:54
>>368
etchとFreeBSDでは消えるみたいだよ

370:358
09/02/27 23:25:36
>>359-369
みんなありがとう。俺の頭では理解できないことがわかったので、
あきらめるこにします。ありがとうございました。

371:名無しさん＠お腹いっぱい。
09/02/28 02:23:34
もっとデーモンSSHDのサイズを小さくして欲しい。

372:名無しさん＠お腹いっぱい。
09/02/28 02:37:46
デブ厨って単に頭が固いのか？
それとも根っからの馬鹿が多いのか？

373:名無しさん＠お腹いっぱい。
09/02/28 12:08:20
xinetd 経由で起動させてたら池沼扱いされた。マジかよ・・・好きなのに。

374:名無しさん＠お腹いっぱい。
09/02/28 12:12:43
俺もinetdから起動してる。

375:名無しさん＠お腹いっぱい。
09/02/28 13:00:02
俺は sendmailも inetd経由で起動してるぞ

376:名無しさん＠お腹いっぱい。
09/03/02 11:33:19
オレもxinetd(inetdも)好きだ!!
xinetdが死んだときのことを考えると怖いけど....。

377:名無しさん＠お腹いっぱい。
09/03/04 17:06:30
>>368
赤帽はDISPLAYを残すようパッチしてるからそうなるだけ
ウソだと思うならSRPMを調べてみるといいよ

378:名無しさん＠お腹いっぱい。
09/03/04 19:36:02
スレチなら、誘導お願いします。
Win XP SP3からteraterm4.57を使って、slackware12.2でオペレーションしているのですが
端末で、Homeキーやを押しても、^[[2~と表示するだけで、カーソルが行頭に行きません
また、BackSpaceキーは使えるのですが、Deleteキーを押下しても、反応しません
仕様ですか？

379:名無しさん＠お腹いっぱい。
09/03/04 19:41:08
>>378
スレ違い。スレは自分で探せ
あとTeraTermのヘルプ読めないの？バカなの？

380:名無しさん＠お腹いっぱい。
09/03/04 19:41:20
気づきました、ここunix版ですね(^^;
linux版で聞きます、スレ汚しｽﾏﾝｶｯﾀ

381:名無しさん＠お腹いっぱい。
09/03/05 00:11:55
とんでもない馬鹿がLinux板に行っちゃうんだな…

382:名無しさん＠お腹いっぱい。
09/03/05 11:18:41
というか、今のご時世でLinuxと全く無縁なのにUNIXと関わっている
人って、ニート以外にいないだろ。

383:名無しさん＠お腹いっぱい。
09/03/05 11:28:09
ほとんどがWindowsだけど業務上捨てられないUnixサーバがある、
という形ならありそうだが

384:名無しさん＠お腹いっぱい。
09/03/05 12:10:36
確かに昔と比べると商用UNIXって影が薄くなった感はあるよなあ

385:名無しさん＠お腹いっぱい。
09/03/05 13:20:39
TeraTermの話題はLinuxとかUNIXとか関係なく板違いだろというツッコミはなし？
ここで「LinuxとUNIXは全く違う！一緒にするな汚らわしい！！」て主張をする意味がわかんない

386:名無しさん＠お腹いっぱい。
09/03/05 13:40:25
>>385
> ここで「LinuxとUNIXは全く違う！一緒にするな汚らわしい！！」て主張をする意味がわかんない
だれもそんな主張はしていない
オマエがわけ分からんな

387:名無しさん＠お腹いっぱい。
09/03/05 13:48:59
>>386
UNIX板住人は大概そういう思想だよ

388:名無しさん＠お腹いっぱい。
09/03/05 14:13:41
>385
> 板違い
>>3 にリンクがあるけど？
Linux板にあったTera Termスレの次スレは、Windows板でもソフトウェア板でもなく
UNIX板にあるんだけどね。

389:名無しさん＠お腹いっぱい。
09/03/05 17:28:26
キチガイが絶賛粘着中

390:名無しさん＠お腹いっぱい。
09/03/06 12:27:31
sshでrootでのログインを禁止するには
sshd_config の設定で
PermitRootLogin no にしますが、

sshで特定のIPだけrootでログインを可能にするには
どのような設定が必要でしょうか？

391:名無しさん＠お腹いっぱい。
09/03/06 12:42:33
ユーザでログインしてrootになれば良いのでは。

392:名無しさん＠お腹いっぱい。
09/03/06 12:46:18
>>390
一切禁止にし、特定ユーザのみsudoを使わせるべきだと思うが…

393:名無しさん＠お腹いっぱい。
09/03/06 12:50:18
常時玄関を開けっ広げて
<丶｀Д´>勝手に入られたﾆﾀﾞ!謝罪と賠償を要求ﾆﾀﾞ!!
とかやりたいのかな

394:名無しさん＠お腹いっぱい。
09/03/06 13:07:10
>>390
オレは
PermitRootLogin yes
にして、PAMでやってる。

395:名無しさん＠お腹いっぱい。
09/03/06 13:34:31
sshd_configにMatchブロックをつけて例外指定

396:390
09/03/06 14:33:33
なるほど、
皆さん
┏○ｱﾘｶﾞﾄｳｺﾞｻﾞｲﾏｽ

397:名無しさん＠お腹いっぱい。
09/03/06 16:28:40
>>395
Match では PermitRootLogin は上書きできない気がする。

398:名無しさん＠お腹いっぱい。
09/03/06 16:38:52
>>397
OpenSSH 4.8以降は可能になったとどこかで見た気がする。

399:名無しさん＠お腹いっぱい。
09/03/06 17:10:09
>>390
最終的に何がしたいのか気になるな…　リモートからのバッチ処理とか？

400:名無しさん＠お腹いっぱい。
09/03/06 17:46:26
んなもん、リモートにバックアップとりたいとか、いろいろありうるだろ

401:名無しさん＠お腹いっぱい。
09/03/06 20:05:40
みなさん、こにゃにゃちは、なのだ。
portfoward専用のユーザーを作るつもりなのだ。
シェルを使わせるわけにはいかにゃいのだ。
ForceCommand に何を設定すればいいのか、教えて欲しいのだ。
/bin/true も /bin/echo も一瞬で終了してしまうのだ。
/bin/cat>/dev/null でいいのか？


402:名無しさん＠お腹いっぱい。
09/03/06 20:34:35
sleep 60

403:名無しさん＠お腹いっぱい。
09/03/06 21:01:27
-N -f

404:名無しさん＠お腹いっぱい。
09/03/06 21:39:23
/sbin/shutdown

405:名無しさん＠お腹いっぱい。
09/03/07 00:11:01
#include <unistd.h>

int main(void) {
　for (;;) sleep 1;
　return 0;
}

406:名無しさん＠お腹いっぱい。
09/03/07 00:14:31
間違えた sleep(1); だな

407:名無しさん＠お腹いっぱい。
09/03/07 00:30:39
これでいいジャン
#include <unistd.h>
int main(void) { for (;;) sleep(1); return 0; }

408:名無しさん＠お腹いっぱい。
09/03/07 01:09:20
どうせならtccスクリプトで

409:名無しさん＠お腹いっぱい。
09/03/07 01:57:13
>>403
なるほど、そういうことだったのか。
わかったのだ。
これでいいのだ。

410:名無しさん＠お腹いっぱい。
09/03/07 03:01:36
むかし無通信だとファイアウォールが切りやがるので、
↓こういうの作ったのを思い出した（たぶんインデント壊れる）

#include <stdio.h>
int main(void)
{
for(;;)
{
putc('#',stdout);
fflush(stdout);
sleep(300);
}
}

411:名無しさん＠お腹いっぱい。
09/03/07 03:07:46
何のためのkeepaliveだよ・・・

412:名無しさん＠お腹いっぱい。
09/03/07 03:18:29
>>411
keep aliveパッチ当てたかったんだけど、客先の赤帽でパッケージ以外使うなと言われたので
苦肉の策でやったまでなんだ。

413:名無しさん＠お腹いっぱい。
09/03/07 07:06:08
>>410
どうせ作るにしてもシェルで作った方が早いじゃん。
何故わざわざC言語?

#!/bin/sh
while :
do
echo '#'
sleep 300
done

414:名無しさん＠お腹いっぱい。
09/03/07 07:18:01
なぜ糞重いシェルを使うんだろうか。PerlなりRubyなり使えばいいのに。

415:名無しさん＠お腹いっぱい。
09/03/07 09:29:21
>>410
同じく昔そういうの作ったけど、'#'のところは'\0'にしていたな

416:名無しさん＠お腹いっぱい。
09/03/07 13:58:27
出先のマシンが10022というポートでsshdが待っているんですけど、
社内の設定で22以外のポートにsshで繋げられません。踏み台サーバ
を経由する以外でログインできる方法はないでしょうか。
出先のマシンには管理者権限あります。

417:名無しさん＠お腹いっぱい。
09/03/07 14:23:35
>>416
出先のマシンで22をListenする

418:名無しさん＠お腹いっぱい。
09/03/07 14:28:22
>>411
keep aliveのパケットのみの場合は、実質の通信は行なわれていない、
と判断するような、高度(余計なお世話)なファイアーウォールも
この世には存在してだな、、

419:名無しさん＠お腹いっぱい。
09/03/07 15:01:00
>>416
「社内」からのアクセスに限定できるんだったら、
ポート22でListenさせてIPアドレスでアクセス制限すれば良いだけ？
sshd_configを変更するか、inetdを使うかだね。

420:名無しさん＠お腹いっぱい。
09/03/07 15:10:41
>>418
SSHの暗号化がファイヤーウォールにばれてるの？

421:名無しさん＠お腹いっぱい。
09/03/07 18:26:11
>>418
TELNET なら NULL コマンドが飛ぶのを監視できると思うけど、
SSH_MSG_IGNORE とかを見られるとしたら、SSH_MSG_KEXINIT とか
SSH_MSG_NEWKEYS あたりから man in the middle してるってことかな？
それはやり過ぎなルータだな。

422:名無しさん＠お腹いっぱい。
09/03/07 20:12:55
さすがにTCPこkeepaliveのことじゃないの？

423:名無しさん＠お腹いっぱい。
09/03/07 22:30:42
TCP keepaliveの確認間隔をコネクション毎に変更できるOSはわりと限られてる

だから移植性に配慮したソフトウェアがそれに依存することはなくて
ソフトウェア自身がkeepalive動作を実現するんだよね

なわけで>>418の言うところの内容が気になるわ

424:名無しさん＠お腹いっぱい。
09/03/08 10:22:38
>>401 に対して誰も chroot 使えとか言わないのはなぜ？

425:名無しさん＠お腹いっぱい。
09/03/08 11:17:26
rsshが根本的な解決になってると、お前以外が思ってないから。

426:名無しさん＠お腹いっぱい。
09/03/08 12:09:37
なってないの？
なってないのかな・・・

427:名無しさん＠お腹いっぱい。
09/03/08 12:33:51
hostbase 認証って、クライアント側でもsshdが
動いていなければならないんでしょうか？
そうでなければクライアント側のホスト鍵を
チェックできないわけですよね？

428:名無しさん＠お腹いっぱい。
09/03/08 12:57:20
version1だと、sshをset-uid rootする。
version2だと、ssh-keysignをset-uid rootする。

429:名無しさん＠お腹いっぱい。
09/03/08 13:43:05
なるほど、サーバ側からクライアント側へのコールバック？
のようなものが発生するわけじゃないんですね。
クライアント側の /etc/ssh/ssh_host_rsa_key を読んでサーバ側に
提示できるのは ssh-keysign っていうヘルパープログラムのおかげか。

430:名無しさん＠お腹いっぱい。
09/03/20 00:32:52
>>423
データ長と方向と間隔から推測する。

431:名無しさん＠お腹いっぱい。
09/03/20 03:26:12
>>430
そんなことしてスループット大丈夫？
もう製品名言っちゃえよ。

432:名無しさん＠お腹いっぱい。
09/04/13 20:00:56
smb over sshトンネルのゲートウェイとsambaを1台のPCで両立させるにはどうしたらいいでしょう?
やりたいことをまとめると、こんな感じになります

WindowsPC(複数) --- Linux A ---- ルーター ===INTERNET=== ルーター --- Linux B
　　　　　　　　　　　　　sshクライアント　　　　　　　　　　　　　　　　　　　　　　　　　　　sshd
　　　　　　　　　　　　　　　samba　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　samba

要は、一番左のWindowsPCからsshトンネル経由でLinux Bのsambaにアクセスしたい、ということです。
現状でLinux Aがsshクライアント(smb over sshゲートウェイ)及びsambaの「どちらか一方」ならば
問題なく動作することを確認しております。
しかしながら、smbの待ち受けポートが139番固定であるため両者を一度に動かすわけには行きません。
(他のプロトコル、例えばhttp等ならば一方のポート番号を適当に変えてしまえば済む話なのですが)

Linux A上にVMWareなどでトンネル専用の仮想PCを走らせてしまう、という手はすぐ思いつきましたが、
もっとシンプルに「一台のPC上の一つのOS」で可能な方法というのは無いものでしょうか?

433:名無しさん＠お腹いっぱい。
09/04/13 22:55:29
>>432
普通に Linux A に IPエイリアスで複数のIPアドレスを割り当て、
それぞれの139番ポートで ssh と samba を動かず。
listenするIPアドレスをお互いに限定すること。

434:名無しさん＠お腹いっぱい。
09/04/14 11:48:41
IPエイリアス!!
それだっ。

NICに複数のIPアドレスを割り付ける方法が何かあったっけ…?? などとうっすら思ったんですが、
今まで使ったことがなかったのでキーワードを完全に忘れておりました。
どうもありがとうございます。

435:432
09/04/16 15:14:47
せっかくだから備忘録代わりに書いておこう。
(ぐぐってもSSHゲートウェイについてはあまり見当たらなかったし)

WindowsPC(複数) --- Linux A ---- ルーター ===INTERNET=== ルーター --- Linux B
　　　　　　　　　　　　　sshクライアント　　　　　　　　　　　　　　　　　　　　　　　　　　　sshd
　　　　　　　　　　　　　　　samba　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　samba
目的:
左端のWindowsPC(複数)から、Linux AをゲートウェイとしてSSHトンネル越しに右端のLinux Bのsambaへ接続する

(1)Linux AにIPエイリアスを作成
例として設定は以下で
　eth0 → 192.168.0.100
　eth0:0 → 192.168.0.200

(2)Linux A のsmb.confでeth0のみ使用する設定に
　interfaces = eth0

(3)Linux A のsshクライアントでeth0:0からLinux Bへのトンネルを作成
　ssh -2 -g -L192.168.0.200:139:localhost:139 -i ~/.ssh/id_rsa hogera@example.ne.jp
　(相手ホストのアドレス example.ne.jp、ユーザ名 hogera、秘密鍵 ~/.ssh/id_rsa の場合)
　background動作&time outを防ぎたいならば -f オプションとping -i 60 localhost > /dev/null とか追加

以上で WindowsPCから\\192.168.0.100でLinux A、\\192.168.0.200 でLinux B のsambaに繋がる。
WindowsPCからは「向こう側」のLANは見えず、Linux Bだけが「こちら側」のLANに参加したように見える。
使い途次第ではVPNよりも便利な場合も。
開けるポートはsshのみだし、向こう側のプライベートIPを気にする必要もなし。

436:名無しさん＠お腹いっぱい。
09/04/16 21:21:13
>>435
乙
参考にさせてもらうわ

437:名無しさん＠お腹いっぱい。
09/04/17 00:18:14
(3)のところは autossh を使えるかも
www.harding.motd.ca/autossh/

438:名無しさん＠お腹いっぱい。
09/04/21 01:24:42
クラスタ構成のサーバーでActive側にのみフローティングIPが割り当てられる様になっています。
この環境で非対話的にscpするために、パスフレーズ無しのssh keyファイルを作っています。

Active側にscpしたいため、フローティングIPに対してscpしているのですが、
フェイルオーバーして、Activeになっているサーバーが切り替わるとIPは同じで
host idが変わるため、scpが

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

と警告を出してしまいます。
known_hostsをチェックさせない様にする方法は無いでしょうか？

あと、known_hostsに無いホストへ接続する時に出る、

Are you sure you want to continue connecting (yes/no)?

も出ない様にする方法が有れば教えてください。



439:名無しさん＠お腹いっぱい。
09/04/21 07:02:59
>>438
StrictHostKeyChecking

440:名無しさん＠お腹いっぱい。
09/04/22 02:41:58
>>439
それだと確かに(yes/no)は聞かれないけど。聞かれないだけですね。

441:名無しさん＠お腹いっぱい。
09/04/22 06:42:23
>>440
応用力のない奴だな。

StrictHostKeyChecking no を設定した上で、

rm $HOME/.ssh/known_hosts; ssh hoge
↑
というスクリプトを実行すればいいんだよ。

442:名無しさん＠お腹いっぱい。
09/04/22 07:35:29
クラスタのActive/Standby 2台とも同じhostkeyにしちゃれ

443:名無しさん＠お腹いっぱい。
09/04/22 07:45:05
>>442
>>441 がすでに答え書いてる

444:名無しさん＠お腹いっぱい。
09/04/22 08:54:36
UserKnownHostsFile /dev/null


445:名無しさん＠お腹いっぱい。
09/04/22 08:58:59
>>444
それを設定しても yes/no が聞かれますが

446:名無しさん＠お腹いっぱい。
09/04/22 09:01:47
>>445
本当に応用力がない奴だな。

>>444 と、>>439 の StrictHostKeyChecking no を同時に設定するんだよ。

447:名無しさん＠お腹いっぱい。
09/04/22 10:21:02
サーバ側のホスト鍵統一しないの？

448:名無しさん＠お腹いっぱい。
09/04/22 13:19:12
しません

449:名無しさん＠お腹いっぱい。
09/04/22 15:06:28
するの？

450:名無しさん＠お腹いっぱい。
09/04/22 15:56:09
445はたぶん知能障害者

451:名無しさん＠お腹いっぱい。
09/04/22 20:41:41
>>441
それやると、MITM 攻撃に対抗できなくなるじゃん

452:名無しさん＠お腹いっぱい。
09/04/22 20:58:05
バッドノウハウ（笑）

453:名無しさん＠お腹いっぱい。
09/04/22 22:16:52
>>451
もとの質問読んでるか?
それを承知の上で known_hostsを無効にしたい、という質問なんだが。

454:名無しさん＠お腹いっぱい。
09/04/23 00:46:51
んまぁ、素直に
$ ssh-keygen -R foo
$ scp baz bar@foo
するのがいいだろうね。

455:名無しさん＠お腹いっぱい。
09/04/23 05:55:20
いいえ、もっとスマートな方法でやりたいのです

456:名無しさん＠お腹いっぱい。
09/04/23 06:13:23
455=445=ただのキチガイ荒らし

457:名無しさん＠お腹いっぱい。
09/04/29 21:12:56
sshでwordpressのmysqlデータをインポートしたいのですが、わからないので質問させて下さい


TeraTerm（(Yutaka氏版）を使っています
mysql5.0.x
phpmyadmin2.11.9.4


www.123.com/wp_posts.sqlをインポートしてあげたいのですが、
実行する場合は下記のように書くらしいです（レンタルサーバーのFAQより）
mysql -h mysql.example.com -u username -ppassword dbname < outfile.sql


mysql -h www.123.com -u 123 -12345 678910 < outfile.sql
と実行したのですが　no such file or directoryとなって実行されませんでした。
ディレクトリはどのように指定してあげればいいのか申し訳ありませんがアドバイスをお願いします。


458:名無しさん＠お腹いっぱい。
09/04/29 21:53:02
< outfile.sql の outfile.sqlを適切に書き換えてないからでしょう

459:名無しさん＠お腹いっぱい。
09/04/29 23:14:01
>>458
レス有り難うございます。
FTPでアップしたmysqlファイル名を書いてあげたのですが無理でした
エラーは上記と同じ内容でした。

460:名無しさん＠お腹いっぱい。
09/04/30 00:27:39
mysql [ENT]
で、mysqlのコンソールが実行できることをまず確認
できないならmysqlが入ってない

できるのにそのエラーが出るなら、<以降のファイルの指定

461:名無しさん＠お腹いっぱい。
09/04/30 09:38:14
ssh と scp と sftp でポート番号の指定のしかたが違うのはなんで?

462:名無しさん＠お腹いっぱい。
09/04/30 10:15:07
>>457
sshと関係すると思える知能がすごいな。消えろ。

463:名無しさん＠お腹いっぱい。
09/05/05 11:15:01
>>457
この10行中、sshという言葉が1行目にしか出ていないのにSSHのスレに書き込む判断はどこから。。

464:名無しさん＠お腹いっぱい。
09/05/07 03:43:25
まぁmysql が外部から接続できない仕様なら
sshでポートフォワードするとよい

終わり

465:名無しさん＠お腹いっぱい。
09/05/18 22:15:42
sshコマンドをtelnetコマンドの代わりに使えますか？

466:名無しさん＠お腹いっぱい。
09/05/18 22:19:28
エスパー募集

467:名無しさん＠お腹いっぱい。
09/05/18 22:31:56
telnetサーバにsshコマンドで接続できますか？

468:名無しさん＠お腹いっぱい。
09/05/18 22:35:40
できません。

469:名無しさん＠お腹いっぱい。
09/05/20 19:58:22
OpenSSHに深刻な脆弱性--英ロンドン大が詳細を公表:ニュース
URLﾘﾝｸ(japan.cnet.com)


470:名無しさん＠お腹いっぱい。
09/05/20 21:28:46
>>469

> CPNIの報告によると、OpenSSHの脆弱性は、ITの専門家がCBC（Cipher Block
> Chaining）モードではなくCTR（CounTR）モードでAES（Advanced
> Encryption Standard）を使用することで軽減できる

>>311 の対応は確かこれだったような希ガス。


471:名無しさん＠お腹いっぱい。
09/05/21 15:23:20
マシン再起動などによりポート転送の接続が切れたときに
自動で（パスフレーズ無しで）再接続するようにしたいと考えています。

URLﾘﾝｸ(sonic64.com)
↑のサイトにあるように、cronなどで自動リモートコピーを行うときに
authorized_keysにcommand="・・・"の設定をすると実行コマンドが制限できるようですが
ポート転送のためのログインのみに制限する方法はありますか？

472:名無しさん＠お腹いっぱい。
09/05/21 16:23:15
ログインしてシェルを使えるようにすると authorized_keys を書き換えられるので
コマンドの制限は事実上なくなる。
/etc/ssh/sshd_config で ForceCommand を /bin/true などに設定し、
かつクライアント側で ssh 実行時に -N -f オプションをつけてシェルを
実行しようとしないようにする。

参考 401 403

473:名無しさん＠お腹いっぱい。
09/05/21 18:23:45
>>472
ありがとうございます。
authorized_keysにcommand="/bin/true"を設定するのとは違うのでしょうか？

あと、/bin/trueに制限して

　ssh -f -N -L 10110:localhost:110 sshserver

でポート転送を行った場合、10110に対するPOPなどのコマンド実行に問題はありませんか？

474:473
09/05/21 18:40:08
authorized_keysに設定する方法でできました（たぶん・・・）
ありがとうございました。

475:名無しさん＠お腹いっぱい。
09/05/21 23:29:27
sftp とか使えないようにしとかないと authorized_keys を上書きされちゃう恐れがある、多分あると思う、あるんじゃないかな、
ま、ちょっと覚悟はしておけ。

476:名無しさん＠お腹いっぱい。
09/05/23 08:56:16
sshの発音はシュッシュ？

477:名無しさん＠お腹いっぱい。
09/05/23 09:12:47
？？？
じゃpsstは？

478:名無しさん＠お腹いっぱい。
09/05/25 23:17:33
「おーぷんしゅっしゅ」ってなんか可愛らしいな

479:名無しさん＠お腹いっぱい。
09/05/26 11:52:15
「えすしぇ」だな
shが「しぇ」という前提があってだが

480:名無しさん＠お腹いっぱい。
09/05/26 12:07:05
「おっぺんしゅっしゅ」と呼んでください。
sshが使えるのと使えないのとでは天国と地獄です。

481:名無しさん＠お腹いっぱい。
09/05/27 21:17:37
ｼｭｯｼｭｯ　ﾎﾟｯﾎﾟ　ｼｭｯｼｭｯ　ﾎﾟｯﾎﾟ

482:名無しさん＠お腹いっぱい。
09/06/29 01:15:59
sshのポートフォワードについてご質問させて下さい。

UltraVNC Single Click(SC)　というツールがあります。
これは UltraVNCクライアントを 5500番ポートでListen状態で待機させ、
遠隔操作される側がUltraVNC SCを実行すると
遠隔操作される側PC -> 遠隔操作する側のPC:5500　に接続に行くというものです。
遠隔操作される側は初心者である場合が多くVNCの5900番をルータの設定で
開放する等ということが出来ないであろうことから、サポートする側が環境を準備すれば
(サポートする側が自分のルータを設定すれば)、サポートされる側は何も考えずに
.exeを実行するだけでつながるという便利ツールなのですが、
hostA:5500 に接続に行くように.exeを作って初心者の方に渡したとして、
この状態だと自分はhostAの5500番でListenモードで待ち受けると接続できるのですが、
これが他の場所でも遠隔サポートをしたいとします。

hostBから hostAにsshで接続し、hostA:5500に来た接続要求を手元のhostBの5500番に
転送してあたかも自分がhostAであるかのように振舞ってリモート操作を実行する
と言う事がしたいのですが、sshで可能ですか？
代表的な -Lや-R -Dオプションについて調べて試行錯誤しているのですが、どうにも
上手く行きません。不可能なのでしょうか？

以上、どうぞよろしくお願い致します。

ご教示よろしくお願い致します。

483:名無しさん＠お腹いっぱい。
09/06/29 06:11:14
>>482
>不可能なのでしょうか？

可能です。

ルータが挟まるとNAPTの設定などで混乱するから、
まずはローカルで試験しましょう。

484:名無しさん＠お腹いっぱい。
09/06/29 11:19:53
>>482
sshd_configのGatewayPortsがnoのままと予想。

485:482
09/06/30 01:33:52
>>483-484

お二人様
レスありがとうございます、>>482です。

おかげさまであっさりと実現できてしまいました。
sshd_configのGatewayPortsをyesにするだけで繋がっちゃいました。
>>484さんのおっしゃる通りでした。本当にありがとうございます。
>>483さんのおっしゃった部分に関しては適切に設定出来ていたようです。

これを活用すればどこのマシンからでも初心者の方の手助けが出来ます。
本当にありがとうございました。

以上です。

486:名無しさん＠お腹いっぱい。
09/06/30 02:04:05
>>485=482
ｵﾏｲが初(ry

487:名無しさん＠お腹いっぱい。
09/06/30 11:51:44
ﾜﾛﾀ

488:名無しさん＠お腹いっぱい。
09/07/05 23:45:00
portFowardingのオプションが分かりにくすぎ

489:名無しさん＠お腹いっぱい。
09/07/05 23:49:14
>>488
むちゃシンプルだろ。
理解できないのは>>482くらいだ。

490:名無しさん＠お腹いっぱい。
09/07/10 23:09:41
~/.ssh/config ファイルに
ProxyCommand nc -X connect -x http_proxy_server:port -P username

とか書いて保存してsshコマンドを使うとProxyを超えて目的のSSHサーバに
接続できると思いますが、この時Proxyがユーザ名だけでなく
パスワードも必要としている場合はどこにパスワードを設定すれば良いのでしょうか？
manをなめるように見回してもパスワードを設定するオプションがありません。

username:password@http_proxy_server とかのアドレスでアクセスしてもダメでした。

491:名無しさん＠お腹いっぱい。
09/07/11 00:23:30
SSHと関係なくね？

492:名無しさん＠お腹いっぱい。
09/07/11 11:18:49
>>491
~/.ssh/config に記述する設定であり、 /etc/ssh_config に記述しても有効になる為
sshと関係あると思っていますが、違いますか？

493:名無しさん＠お腹いっぱい。
09/07/11 12:01:36
>>492
nc と SSH は関係ありません。
修行が足りません。

494:名無しさん＠お腹いっぱい。
09/07/11 13:25:36
>>492
ProxyCommand オプションで、nc (1) を呼び出しているにすぎない。
よって、聞くべきところはSSHのスレではない。

495:名無しさん＠お腹いっぱい。
09/07/16 20:39:55
OpenSSL もとうとう 1.0.0 が見えてきたのか

496:名無しさん＠お腹いっぱい。
09/07/19 23:21:54
オライリーの実践SSHという本に、
「普通は、gettyからloginプログラムがよばれるが、OpenSSHはシステム標準のloginプログラムを使わない。」
と書いてありました。
これは独自にloginプログラムを実装しているということでしょうか？


497:名無しさん＠お腹いっぱい。
09/07/19 23:31:45
>>496
login使ったら公開鍵認証できなくね?

498:名無しさん＠お腹いっぱい。
09/07/19 23:57:50
>>497
馬鹿、パスワード認証の話だろ。



499:名無しさん＠お腹いっぱい。
09/07/20 09:03:23
>>498
馬鹿？

500:名無しさん＠お腹いっぱい。
09/07/20 09:33:08
>>417
＞>>416
＞出先のマシンで22をListenする
質問者ではないのですが、質問させてください。
listenする、というのは具体的にどのようなコマンドを実行することなのでしょうか？


501:名無しさん＠お腹いっぱい。
09/07/20 09:36:31
sshdに決ってんだろ。

502:名無しさん＠お腹いっぱい。
09/07/21 01:58:56
>>496-498
どうでもいい。失せろ。、

503:名無しさん＠お腹いっぱい。
09/07/21 09:31:55
>>502
巣に帰れよ

504:名無しさん＠お腹いっぱい。
09/07/23 19:55:03
質問お願いします。

sshにrootでパスワード認証してログインできるようにしていたとして
rootがクラックされて
ログイン時のパスワードを読み取るように改ざんしたsshdを仕込まれた場合、
次にログインしたときにパスワードがクラッカーに漏れてしまうかと思いますが、
sshの鍵認証を使用していた場合でも、
このようなケースに鍵漏洩を避けることは不可能という
認識であってるでしょうか？

505:名無しさん＠お腹いっぱい。
09/07/23 20:59:09
鍵認証じゃなくて、公開鍵認証な。
この場合、秘密鍵は相手に見せずに、相手に渡しておいた公開鍵を使って、
自分が秘密鍵をもってることを証明するから、秘密鍵は相手には漏洩しない。

506:名無しさん＠お腹いっぱい。
09/07/24 07:42:45
root(sshd)乗っ取ったらssh-agentを勝手に使用できる。
秘密鍵を盗まれたに等しい。

507:名無しさん＠お腹いっぱい。
09/07/24 07:46:53
ForwardAgent no
または ssh -a
は、今では常識。

508:名無しさん＠お腹いっぱい。
09/07/24 08:17:48
今ではというか、それがデフォルト。
つかマニュアルに書いてあるし。


509:名無しさん＠お腹いっぱい。
09/07/24 08:33:27
>>506 (笑)

510:名無しさん＠お腹いっぱい。
09/07/24 08:43:26
>>507-509
キミ達ボンクラと違って、俺のssh-agentは改造してあるから問題ない。

511:名無しさん＠お腹いっぱい。
09/07/24 08:52:53
いや、agentの問題じゃなくて、クライアント側のsshの問題だから。

512:名無しさん＠お腹いっぱい。
09/07/24 09:06:43
ボンクラの知能ではそこまで考えるのが精いっぱいと見える。

513:504
09/07/26 10:49:28
>>505
>>506
レスありがとうございます。
505さんのおっしゃる内容は理解できましたが、
506さんの
> 秘密鍵を盗まれたに等しい。
がちょっと気になります。

1. 重要な情報を持つサーバ（ローカルユーザは自身のみ）
2. ローカルユーザが多数いるサーバ

1,2ともに同じ秘密鍵、公開鍵を使用している場合、
2に関しては最悪root権限が奪われた場合に、
1に被害が及ばないか、ということを危惧しています。
通常のパスワード認証であれば、
ssh改ざんされてrootパスワードが漏れて、1に影響が、
ということがあるかと思います。

公開鍵認証の仕組みからすれば、
505さんのおっしゃるとおりかと思うのですが。

>>506-510
あたりの内容って接続後のホストが正しいか確認できない、
とかの内容で
秘密鍵漏洩はなく、1に影響は及ばない、と判断してよいでしょうか？


514:名無しさん＠お腹いっぱい。
09/07/26 17:50:10
>>504
何をしたいのかわからんけど、秘密鍵・公開鍵・公開鍵認証についてちゃんと理解した方が良い。

515:あ
09/07/27 23:09:30
q

516:名無しさん＠お腹いっぱい。
09/07/28 09:36:18
>>508
ForwardAgent って設定ファイルに書いてないときは no ってことでいいの？

517:名無しさん＠お腹いっぱい。
09/07/28 09:49:18
>>516
コンパイル時のオプションにもよるのでは。
犬式OSの鳥によっては、設定ファイルに書かないと
デフォルトで ForwardAgent yes になる鳥が存在する。

518:名無しさん＠お腹いっぱい。
09/07/29 11:57:22
犬とか鳥とか… 猿はいないのか?

519:名無しさん＠お腹いっぱい。
09/07/29 12:01:27
モニタの前にいる。

520:名無しさん＠お腹いっぱい。
09/08/05 01:12:51
スレ違いな上に亀レス スマソ。

>>490
nc に -P があるのは *BSD系だとあたりをつけた上で...
少なくとも FreeBSD 7.2-RELEASE にくっついてきた /usr/bin/nc には、パスワードを事前に設定する方法は無い、と思う。ソースは /usr/src/contrib/netcat
readpassphrase(3) 使ってるから、改造するか、別のプログラムを使うしかないね。

んで、ProxyCommand に使うなら、今のところ connect.c が (探しにくいけど) 個人的にオススメ。
(コレ> URLﾘﾝｸ(www.meadowy.org))
他にもっと便利な方法があったら、誰か教えてください。

521:名無しさん＠お腹いっぱい。
09/08/08 17:20:51
SSHとSSLとSSDの違い教えろや
教えられない低能は死ね

522:名無しさん＠お腹いっぱい。
09/08/08 17:27:12
SSL: secure sockets layre
SSH: secure shell
ここまではいいとして…
SSD は, 以下のうちどれ期待してる?
Society System Decontrol
Solid State Detector
Solid State Drive
Super Star Destroyers
Sotokanda Software Distribution


523:名無しさん＠お腹いっぱい。
09/08/08 20:12:34
俺は>>521では無いが、外神田ｿﾌﾄｳｪｱ ﾃﾞｨｽﾄﾘﾋﾞｭｰｼｮﾝに笑った。
秋葉発のﾃﾞｨｽﾄﾘって何?

524:名無しさん＠お腹いっぱい。
09/08/08 20:29:56
SSD/Linuxだね。
ぷらっとホームのサイトが今メンテ中だけどgoogleのキャッシュとかで見られると思うよ。


525:名無しさん＠お腹いっぱい。
09/08/08 22:30:38
>>524
へへぇOpenBlocks向けのﾃﾞｨｽﾄﾘなんだ。
詳細は今のところ見れないけど、面白そうだね。
教えてくれてありがとう。

526:名無しさん＠お腹いっぱい。
09/08/09 11:13:37
複数の認証方法のどれか一つではなく、複数の認証すべてチェック、例えば
公開鍵認証とパスワード認証の両方を強制する事って可能ですか？

527:名無しさん＠お腹いっぱい。
09/08/10 05:38:05
鍵にパスつけてるのにさらにパス要求って事？

528:名無しさん＠お腹いっぱい。
09/08/10 09:41:38
>>527
鍵に付けてるパスフレーズはさすがに関係ない

529:名無しさん＠お腹いっぱい。
09/08/10 10:29:20
スレの上のほうで公開鍵認証とパスワード認証のどちらがセキュアか
みたいな話があったので、組み合わせれば両方のメリットがあるかなと。
公開鍵認証はパスワード認証の機会を得る為だけに使用する感じです。

530:名無しさん＠お腹いっぱい。
09/08/10 10:42:42
素人考えだとまず公開鍵認証で失敗したら切断、成功してもエラーを返す→
パスワード認証へ、というプロセスでクライアントの対応も問題なさそうな気が

531:名無しさん＠お腹いっぱい。
09/08/10 11:03:41
>>529
複数の認証方法を組み合わせたところで、
安全性は一番強い認証方法の強さ以上にはならないと思うんだけど。

公開鍵のみで十分じゃない？

532:名無しさん＠お腹いっぱい。
09/08/10 21:36:13
「鍵は手に入ったけどパスワードが分らない」
という人にとっては、組み合わせは有効

533:名無しさん＠お腹いっぱい。
09/08/11 11:27:53
パスワードは時間掛ければいずれ破られるという前提でしょ
つまりは多少の時間稼ぎにしかならん

534:名無しさん＠お腹いっぱい。
09/08/11 12:00:48
不注意なユーザーにある程度の安全を強要できるメリットはあるような。
仮に手帳等にパスワード書いてて、鍵はパス無しなユーザーでも
USBメモリ紛失→即侵入踏み台コースは避ける事が出来るかと。
パス入力3回間違えばユーザーロックする設定にすればロックされた時点で
鍵流出の可能性が疑える。まぁ両方同時に紛失すれば同じだけど。

535:名無しさん＠お腹いっぱい。
09/08/11 13:14:47
んで、そろそろ方法を教えてあげてください

536:名無しさん＠お腹いっぱい。
09/08/11 21:56:42
秘密鍵から公開鍵を作るときって
公開鍵は毎回文字列が出来る？

537:536
09/08/11 21:58:06
まちがいた

×公開鍵は毎回文字列が出来る？
○公開鍵は毎回同じ文字列が出来る？

538:名無しさん＠お腹いっぱい。
09/08/12 00:01:39
認証専用の鯖作って、そこには鍵でアクセスそして、本当にアクセスしたい鯖にはパスでアクセスすればいいんじゃね？

539:名無しさん＠お腹いっぱい。
09/08/12 00:09:21
Kerberos?

540:名無しさん＠お腹いっぱい。
09/08/12 00:11:22
そもそも「秘密鍵から公開鍵を作る」のか？

541:名無しさん＠お腹いっぱい。
09/08/12 00:41:38
>>536
少なくともRSAやDSAの鍵では毎回同じになる。そもそも秘密鍵って呼んでるけど
秘密鍵の中には公開鍵も含まれている。だからssh-keygen -yで秘密鍵から再生成できる。

542:536
09/08/12 03:51:53
>>541
あｒがとう
毎回同じになるのは当然なのね

543:名無しさん＠お腹いっぱい。
09/08/22 18:46:38
TeraTermを使ってホストにはつながるのですが、
ユーザ名とパスが認証されないです。
OS は debian で、
URLﾘﾝｸ(www.linux.net-japan.info)
ここ見てやったのですが・・・

このユーザ名とパスワードは debian にログインする際のそれではないのですか？

544:名無しさん＠お腹いっぱい。
09/08/22 19:13:52
>>543
際のそれですよ

545:名無しさん＠お腹いっぱい。
09/08/22 19:16:34
すみませんが詳しい方のみ回答をお願いします

546:544
09/08/22 19:20:36
>>545
オレは詳しいぞ
まじめに回答してやったのに、何だその言いざまは
ちなみに、原因はsshでもTeraTermでもないだろう

547:543
09/08/22 19:30:02
>>544
ありがとうございます。

>>546
545は私ではないです。
どこに問題があると推測できますか？
学校の課題なのですが、
ここ数日あれこれしてみましたが進歩が無くて困っています。

548:名無しさん＠お腹いっぱい。
09/08/22 19:34:27
password認証が許可されてないとかそういうオチじゃないだろうな

549:名無しさん＠お腹いっぱい。
09/08/22 19:35:27
すみませんが学校の課題以外の質問をお願いします

550:543
09/08/22 19:45:31
>>548
>>543　に書いたサイトを見る限りパスワード認証を行うときは
sshd_config に対して特別な変更が必要なさそうだったので、
デフォルト値から変えていないです。
なので　PasswordAuthentication yes　となっています。

551:名無し募集中。。。
09/08/22 19:48:46
>>548
俺もそんな気がする

DenyUsers/AllowUsersの設定か、
PasswordAuthentication yes　がないか

あとは、
ChallengeResponseAuthentication no
にしてるかどうか

552:名無しさん＠お腹いっぱい。
09/08/22 19:54:12
>>550
> PasswordAuthentication yes　となっています。

>>551
> PasswordAuthentication yes　がないか

ｗｗｗ

553:543
09/08/22 20:05:26
>>551
デフォルトではすべてのユーザが接続可能らしいので
DenyUsers / AllowUsers　は問題ないかと思います。
一応、"AllowUsers ログイン名" を追記しましたがだめでした。
ChallengeResponseAuthentication no にもなっていました。

/etc/init.d/ssh status　をすると
sshd is running. となりましたので起動していないとかいうこともないです。

554:名無しさん＠お腹いっぱい。
09/08/22 20:11:08
ホストで ssh localhost するとどうなる？

555:名無し募集中。。。
09/08/22 20:11:13
> sshd_config に対して特別な変更が必要なさそうだったので、
> デフォルト値から変えていないです。

って言ってんのに、

> ChallengeResponseAuthentication no にもなっていました。

っておかしいだろ
ChallengeResponseAuthenticationってデフォルト値yesだし

sshd_configで何変更したのか全部書いてみろ

556:名無しさん＠お腹いっぱい。
09/08/22 20:19:58
情報小出しはバカの印

557:名無しさん＠お腹いっぱい。
09/08/22 20:35:58
どの程度情報を出したらいいかわかってるなら、質問しなくても自力で解決できるわなｗ

558:名無しさん＠お腹いっぱい。
09/08/22 20:41:24
エスパーすると、
↓の質問と回答に非常に近い。
ｽﾚﾘﾝｸ(unix板:643番)

559:543
09/08/22 20:49:51
>>555-556
申し訳ないです。
ファイルのダウンロードすらわからないので画像取りました。
URLﾘﾝｸ(up2.viploader.net)

>>558
ありがとうございます。ちょっと見てきます。

560:名無しさん＠お腹いっぱい。
09/08/22 20:55:20
>>555
>ChallengeResponseAuthenticationってデフォルト値yesだし

Linuxでは鳥によってデフォルトnoだし。

561:名無しさん＠お腹いっぱい。
09/08/22 20:59:52
>>543
ログインするときに、"Use plain password to log in"を選択してる?

562:名無しさん＠お腹いっぱい。
09/08/22 21:08:14
>>561
日本語版なので同じ記述はないのですが、
"プレインテキストを使う" になっています。
Tera Term は
URLﾘﾝｸ(www.forest.impress.co.jp)
ここのを入れました。

563:543
09/08/22 21:09:03
>>562　は　>>543 です

564:名無しさん＠お腹いっぱい。
09/08/22 21:15:04
>>558
ああああああああ入れました。
スレの通り学校のIDとパスで入れました。
ありがとうございます。

協力してくださった皆さん、ありがとうございました。
スレ汚して申し訳なかったです。

565:名無しさん＠お腹いっぱい。
09/08/22 21:36:43
脳みその際インストを忘れないように

566:名無しさん＠お腹いっぱい。
09/08/22 21:38:19
もしかしてクライアント側にアカウント追加してそれで入ろうとしてたってオチ?
バカすぐるｗ

567:名無しさん＠お腹いっぱい。
09/08/23 00:37:31
バカ過ぎると切って捨てるのは簡単だが、同じバカが2人も現れるのは
何か原因があるのじゃないだろうか?

568:名無しさん＠お腹いっぱい。
09/08/23 00:54:07
>>566
ちゃうちゃう
アカウント追加してもそれが反映されないようになってたくさい

>>567
へんな制限かかってるマシンを学生に渡す糞学校が原因だろう

569:名無しさん＠お腹いっぱい。
09/08/23 00:55:03
>>566
debian にログインする際に使用するIDとパスではなく、
VMware からホストにつなぐ際に使用するIDとパスでしたというオチ

570:名無しさん＠お腹いっぱい。
09/08/23 07:37:57
設定見せろ
↓
苦労して設定ファイルをアップロード
↓
回答者沈黙
↓
別の回答者が別の回答
↓
解決

見せろといわれた設定ファイルは無関係ｗ

の法則。

571:名無しさん＠お腹いっぱい。
09/08/23 17:53:24
だいたい回答者が威圧的なときは、その回答は間違ってるよな。
「○○見せろ」ってときもだいたい無関係だし。

572:名無しさん＠お腹いっぱい。
09/08/24 07:37:28
まあ設定間違ってないことはわかるじゃんｗ

573:名無しさん＠お腹いっぱい。
09/08/24 07:53:36
>>558 は、設定アップロード(>>559)より前に答えているんだな

574:名無しさん＠お腹いっぱい。
09/08/24 19:17:21
>>556
どの情報を出すのか最初からちゃんと提示しろよアホ

575:名無しさん＠お腹いっぱい。
09/08/27 01:33:03
設定を晒した結果、無問題ということがわかったなら
それはそれでいいんじゃ・・・

576:名無しさん＠お腹いっぱい。
09/08/27 01:47:11
設定は問題ないはずだと主張しながらだらだらやりとりが続き
渋々出してきた設定がやっぱり間違ってたという事もあるからな

577:名無しさん＠お腹いっぱい。
09/08/27 06:53:12
>>575
設定を晒すまえに、
>>559 が正解を書いてるんだよ。

578:名無しさん＠お腹いっぱい。
09/08/27 07:24:20
>>577
それは今回たまたまそうだっただけで、一般的には>>575-576のほうがありがち

---

次ページ

最新レス表示

スレッドの検索

類似スレ一覧

話題のニュース

おまかせリスト

▼オプションを表示

レスジャンプ

mixiチェック！

Twitterに投稿

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch

---

5127日前に更新/219 KB
担当:undef