SSH その8 - 暇つぶし2ch

SSH その8 ..

2:名無しさん＠お腹いっぱい。
14/04/25 18:51:52.35 .net
よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
　そのパスワードは暗号化されているのですか？
A.はい、その通りです。
　SSHプロトコルでは、まず始めにサーバ<->クライアント間で
　暗号化された通信路を確立します。
　ユーザ認証はその暗号化通信路の上で行なわれるので、
　パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
　ログインを試みる輩がいるのですが？
A.sshdにアタックするツールが出回っているようです。
　各サイトのポリシーに従って、適切な制限をかけましょう。
　参考：URLﾘﾝｸ(www.st.ryukoku.ac.jp)

3:名無しさん＠お腹いっぱい。
14/04/25 18:52:32.28 .net
◇実装
本家ssh.com
　URLﾘﾝｸ(www.ssh.com) / URLﾘﾝｸ(www.jp.ssh.com) (日本語)
OpenSSH
　URLﾘﾝｸ(www.openssh.com) / URLﾘﾝｸ(www.openssh.com) (日本語)
　OpenSSH情報：URLﾘﾝｸ(www.unixuser.org)
　日本語マニュアル：URLﾘﾝｸ(www.unixuser.org)
　OpenSSH-HOWTO：URLﾘﾝｸ(www.momonga-linux.org)
TeraTerm/TTSSH
　URLﾘﾝｸ(hp.vector.co.jp)
　URLﾘﾝｸ(www.sakurachan.org) (日本語版)
　URLﾘﾝｸ(sleep.mat-yan.jp) / URLﾘﾝｸ(ttssh2.sourceforge.jp) (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
　URLﾘﾝｸ(www.chiark.greenend.org.uk)
ｽﾚﾘﾝｸ(unix板)
　URLﾘﾝｸ(hp.vector.co.jp) (hdk氏による日本語パッチ)
　URLﾘﾝｸ(yebisuya.dip.jp) (蛭子屋氏による各種パッチ)
VeraTerm
　URLﾘﾝｸ(www.routrek.co.jp)
MacSSH/SFTP
　URLﾘﾝｸ(pro.wanadoo.fr)
PortForwarder
　URLﾘﾝｸ(www.fuji-climb.org)
TRAMP
　URLﾘﾝｸ(www.nongnu.org)

4:名無しさん＠お腹いっぱい。
14/04/25 18:53:55.41 .net
◇規格等
　・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
　・RFC4251: The Secure Shell (SSH) Protocol Architecture
　・RFC4252: The Secure Shell (SSH) Authentication Protocol
　・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
　・RFC4254: The Secure Shell (SSH) Connection Protocol
　・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
　　Key Fingerprints
　・RFC4256: Generic Message Exchange Authentication for the Secure
　　Shell Protocol (SSH)
WideのSSH解説
　URLﾘﾝｸ(www.soi.wide.ad.jp)

5:名無しさん＠お腹いっぱい。
14/04/25 22:45:40.10 .net
リンクは修正したほうがいいかもしれないね。

OpenSSH
URLﾘﾝｸ(www.openssh.com) (日本語) ← 無くなってる
　URLﾘﾝｸ(www.jp.openbsd.org) が日本語ページらしいが、実際は英語。

TeraTerm/TTSSH
　URLﾘﾝｸ(sleep.mat-yan.jp) ← 無くなってる
/ URLﾘﾝｸ(ttssh2.sourceforge.jp) (Yutaka氏によるUTF-8対応版,SSH2対応版)

PuTTY
ｽﾚﾘﾝｸ(unix板)
　→　現行スレ　Putty その３【パティ】ｽﾚﾘﾝｸ(unix板)

VeraTerm
　→　Poderosaに名称変更　URLﾘﾝｸ(sourceforge.jp)

MacSSH/SFTP
　URLﾘﾝｸ(pro.wanadoo.fr)　←　無くなってる？

PortForwarder
　URLﾘﾝｸ(www.fuji-climb.org)
　　→　URLﾘﾝｸ(toh.fuji-climb.org)

TRAMP
　URLﾘﾝｸ(www.nongnu.org)　←　ページがない。
　　→　URLﾘﾝｸ(www.nongnu.org)

6:名無しさん＠お腹いっぱい。
14/04/25 22:50:54.52 .net
URLﾘﾝｸ(www.macssh.com)
MacSSH はこれかな。
X より前の Mac OS 用っぽいから削除でもいいかと。

7:名無しさん＠お腹いっぱい。
14/04/25 23:12:13.51 .net
SFTPクライアントやAndroid、iPad用のクライアントも入れたらどうだろう。

SFTPクライアント
WinSCP URLﾘﾝｸ(winscp.net)
WinSCP 日本語情報 URLﾘﾝｸ(sourceforge.jp)

FileZilla URLﾘﾝｸ(filezilla-project.org)
FileZilla　日本語情報 URLﾘﾝｸ(sourceforge.jp)

Android
connectbot URLﾘﾝｸ(code.google.com)
他にもいいのがある？

iPadについてはお手上げ。

8:名無しさん＠お腹いっぱい。
14/04/26 00:28:20.99 .net
前スレラストはケイオス過ぎだわ

9:名無しさん＠お腹いっぱい。
14/04/26 02:16:57.25 .net
RLogin URLﾘﾝｸ(nanno.dip.jp)
が入ってねーな。SFTPも使えたり結構高性能。
難点は名前がクッソ紛らわしいのと、フォント周りが使いにくい事。

10:名無しさん＠お腹いっぱい。
14/04/28 13:35:13.60 .net
SSH力をつけよう
URLﾘﾝｸ(www.slideshare.net)
これも入れといて。

11:名無しさん＠お腹いっぱい。
14/04/29 07:33:37.48 .net
>>10
10ページにウソが書いてある。しれっとウソが書いてあると
その先読む気にならないよね。でも頑張って次ページに進む
と「公開鍵で制限出来る事」… ダメだこりゃ

12:名無しさん＠お腹いっぱい。
14/04/29 10:37:01.11 .net
>>11
どれがウソ？

13:名無しさん＠お腹いっぱい。
14/04/29 10:52:09.04 .net
文脈からして
秘密鍵（を格納したファイルid_rsa）
公開鍵（を格納したファイルauthorized_keys）
だろ。
スライドなんだから文脈からわかることは聴衆が補完くらいしろや。

14:名無しさん＠お腹いっぱい。
14/04/29 11:12:49.55 .net
>>12
秘密鍵で暗号化したものを秘密鍵で復号できないわけなくね

15:名無しさん＠お腹いっぱい。
14/04/29 11:43:42.19 .net
>>14
そんなこと書いてある?

16:名無しさん＠お腹いっぱい。
14/04/29 11:44:30.96 .net
あぁ「でのみ」って書いてあるか。
できないであってると思うけどな。

17:名無しさん＠お腹いっぱい。
14/04/29 12:26:46.52 .net
文脈からいってssh2の公開鍵認証について説明している。
ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、
DSAは署名/検証は出来るが、暗号化/復号は出来ない
筆者はssh2の認証方式を理解していないと判断せざるを得ない

11ページ
誤公開鍵で出来る事
正公開鍵認証で出来る事

その先は読む気にならない

18:名無しさん＠お腹いっぱい。
14/04/29 13:01:50.91 .net
>>16
は？秘密鍵から公開鍵が得られないとでも？
そもそも秘密鍵で暗号化するっていうのがおかしいんだが。

19:名無しさん＠お腹いっぱい。
14/04/29 13:10:53.89 .net
>>18
> は？秘密鍵から公開鍵が得られないとでも？
得られない。中学生でも理解してる。

20:名無しさん＠お腹いっぱい。
14/04/29 13:38:52.41 .net
SSH-KEYGEN(1) BSD General Commands Manual SSH-KEYGEN(1)

ssh-keygen -y [-f input_keyfile]

-y This option will read a private OpenSSH format file and print an
OpenSSH public key to stdout.

21:名無しさん＠お腹いっぱい。
14/04/29 13:54:34.66 .net
「秘密鍵ファイル」には「秘密鍵」と「公開鍵」が格納されているので「秘密鍵ファイル」から公開鍵は得ることが出来るが
秘密鍵から公開鍵を得る事は出来ない

22:名無しさん＠お腹いっぱい。
14/04/29 14:11:24.46 .net
そこを峻別するんだとしたら「秘密鍵」でどうやって暗号化するの

23:名無しさん＠お腹いっぱい。
14/04/29 14:24:19.40 .net
さあ? 公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だからな
書いた奴に聞けよ

24:名無しさん＠お腹いっぱい。
14/04/29 14:54:01.14 .net
> 文脈からいってssh2の公開鍵認証について説明している。

そういう文脈だとわかってるやつが

> ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
> RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、
> DSAは署名/検証は出来るが、暗号化/復号は出来ない

みたいなずれた話を持ち出してくる意図の方がわからん。

25:名無しさん＠お腹いっぱい。
14/04/29 15:32:39.86 .net
スライドのコメントに書いてあげるほうが建設的じゃないか。

26:名無しさん＠お腹いっぱい。
14/04/29 15:32:50.37 .net
>>24
> ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証

27:名無しさん＠お腹いっぱい。
14/04/29 18:25:10.11 .net
URLﾘﾝｸ(www.slideshare.net)

同じ人の新しいスライドがあるけど、こっちは端折りすぎかな。

28:名無しさん＠お腹いっぱい。
14/04/29 18:52:39.53 .net
>>11が決定版の資料を作ってくれればいいのよ。

29:名無しさん＠お腹いっぱい。
14/04/29 20:25:18.10 .net
>>28
URLﾘﾝｸ(svnweb.freebsd.org)

30:名無しさん＠お腹いっぱい。
14/04/29 21:43:15.62 .net
>>26
>>22

31:名無しさん＠お腹いっぱい。
14/04/29 22:42:46.64 .net
秘密鍵と公開鍵ってのは鍵の使い方の話で、鍵の能力の話じゃないからねぇ…

>>14
暗号化に使った鍵で平文化は出来ないよ。そうでないと公開鍵暗号が成立しない。
公開鍵暗号は暗号化鍵を公開鍵として、平文化鍵を秘密鍵とする。
電子署名では暗号化鍵を秘密鍵として、平文化鍵を公開鍵とする。
暗号化鍵から平文化鍵が計算できるアルゴリズムは電子署名にしか使えず、
平文化鍵から暗号化鍵が計算できるアルゴリズムは公開鍵暗号にしか使えず、
どちらの鍵からももう一方の鍵を計算出来ないアルゴリズムはどちらにも使える。
さらに暗号化鍵と平文化鍵を入れ替える事ができる場合は単一の鍵ペアで両方できる。

秘密鍵ファイルの中に公開鍵も一緒に保存してあるか、秘密鍵から公開鍵が算出できるなら平文化できるけど、
電子署名でどちらも満たさない場合は復元できないよ。(普通は署名書として公開鍵添付するからンな事ないが)

32:名無しさん＠お腹いっぱい。
14/04/29 23:07:45.67 .net
>>29
ルークよ、ソースを使うのじゃ？

33:名無しさん＠お腹いっぱい。
14/04/30 10:50:51.32 .net
>>30
>>23

34:名無しさん＠お腹いっぱい。
14/04/30 12:08:31.64 .net
>>33
「公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だから」
スライドのどこで、それが分かる？

p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と
それをファイル(文字列)化したものという意味の二つの使い方を同じページで
使ってるのがまずいと思う。
2行目の「秘密鍵からは公開鍵が生成できる」は「いわゆる秘密鍵ファイルには
公開鍵情報も含まれているので、公開鍵情報を取り出せる」という意味だろう。
好意的に解釈すれば。

このスライドを書いた奴は分かってないはず、という見地に立てば、秘密鍵ファイルから
公開鍵を取り出せることを、秘密鍵から公開鍵が生成できると勘違いしているともとれるが。

p11の「公開鍵で制限出来ること」というタイトルに対して「公開鍵認証で出来る事」という案を出しているけど
このページの話題は openssh の sshd の実装の話(他のsshサーバーでもこうなのかどうかは知らないので
間違ってたらごめんだけど)だから、誤りというほどではないと思う。

35:名無しさん＠お腹いっぱい。
14/04/30 14:29:27.08 .net
用語の使い方に「怪しい」ところがある、ということなら
初心者には勧められない、ということになると思う

ちゃんと自分で解釈を脳内補完できる人には
多少の「誤解を招きかねない」表現も問題ないだろうが
件のドキュメントはそれができない人向けなんじゃ?

36:名無しさん＠お腹いっぱい。
14/04/30 14:33:19.49 .net
厳密に書こうとすると無闇にややこしくなっちゃって
初心者にわかりづらくなることもあるよね

37:名無しさん＠お腹いっぱい。
14/04/30 15:09:13.09 .net
>>34
> p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と
> それをファイル(文字列)化したものという意味の二つの使い方を同じページで
> 使ってるのがまずいと思う。
秘密鍵を格納したファイルから公開鍵を取り出す事を「秘密鍵からは公開鍵が
生成できる」と表現したのなら、公開の場で発表する能力が無いって事だ。

38:名無しさん＠お腹いっぱい。
14/04/30 15:12:15.45 .net
恨みでもあるの？

39:名無しさん＠お腹いっぱい。
14/04/30 15:27:24.30 .net
>>35
もくじを見ると件のページは、おさらいの一部になっている。
ということは自分で脳内補完できる人向けじゃないだろうか。

40:名無しさん＠お腹いっぱい。
14/04/30 16:42:53.53 .net
>>38
ウソを拡大再生産する輩を全部憎んでいる
死ねばいいのに

41:名無しさん＠お腹いっぱい。
14/04/30 16:54:30.43 .net
間違いは正しましょう。
人は許しましょう。

42:名無しさん＠お腹いっぱい。
14/04/30 16:58:36.41 .net
>>40
>>25

43:名無しさん＠お腹いっぱい。
14/04/30 17:33:31.79 .net
>>42
じゃ、お前が教えてやれ。俺は叩く。

44:名無しさん＠お腹いっぱい。
14/04/30 17:41:08.48 .net
>>43
おれは君ほど知識ないから。

45:名無しさん＠お腹いっぱい。
14/04/30 19:43:47.34 .net
コメントなりtwitterなりで指摘しないと
ここで叩いても気づかないんじゃないかな?
個人的には叩くほどのことじゃない気はする

46:名無しさん＠お腹いっぱい。
14/04/30 20:27:46.58 .net
アカウントないのでコメントできません。

47:名無しさん＠お腹いっぱい。
14/04/30 21:26:15.15 .net
作ればいいのよ。

48:名無しさん＠お腹いっぱい。
14/04/30 22:16:54.82 .net
>>47
それがイヤだから2chにいるの

49:名無しさん＠お腹いっぱい。
14/04/30 23:25:32.54 .net
RSAの場合、2つの素数p, q(p≠q)に対し(p,q)を秘密鍵, pqを公開鍵にするのだから秘密鍵から公開鍵を生成するのは簡単だよね？

50:名無しさん＠お腹いっぱい。
14/05/01 00:08:19.46 .net
>>49
id_rsaにmodules nとpublicExponent eが含まれてるから。

RFC 3447 PKCS #1: RSA Cryptography Specifications February 2003

A.1.2 RSA private key syntax

An RSA private key should be represented with the ASN.1 type
RSAPrivateKey:

RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER, -- (inverse of q) mod p
otherPrimeInfos OtherPrimeInfos OPTIONAL
}

51:名無しさん＠お腹いっぱい。
14/05/01 16:45:46.77 .net
いつまでこの話題引っ張るの？

52:名無しさん＠お腹いっぱい。
14/05/01 16:49:20.51 .net
>>11があきらめるまで。

53:名無しさん＠お腹いっぱい。
14/05/01 19:52:54.74 .net
引っ張ってるのはオレじゃない。必死でSSH力を擁護してる誰か。

54:名無しさん＠お腹いっぱい。
14/05/01 21:06:13.64 .net
それに反応してるなら同罪。

55:名無しさん＠お腹いっぱい。
14/05/01 23:32:05.54 .net
賢者timeな者だけが石を投げなさい(冗談

sshに限らず、ツールの100％も使いこなせていないなー

56:名無しさん＠お腹いっぱい。
14/05/01 23:47:20.91 .net
OpenSSHのsshd_configでChrootDirectoryを指定することってあるよね。
そのディレクトリに、
All components of the pathname must be root-owned directories that are not writable by any other user or group.
こういう制限があるけど、ナンデ？

57:55
14/05/01 23:54:48.41 .net
特権分離では？

58:名無しさん＠お腹いっぱい。
14/05/02 00:24:56.67 .net
>>56
rootの設定と関係なしにlnとかで好きな場所に出来てしまうからじゃ?

59:名無しさん＠お腹いっぱい。
14/05/02 01:28:27.26 .net
ChrootDirectoryの親まではroot-ownedでroot以外not writableという制限は分かるような気がするんだけど、
例えば、chroot先を/home/oresama/ に指定するとき oresama がroot以外not writableになってると
oresamaは自分のホームディレクトリのはずなのにディレクトリもファイルも作れない。
ちょっと厳しくないかと思う。

60:名無しさん＠お腹いっぱい。
14/05/02 01:37:37.96 .net
>>58
「あのぉ、root先輩、ChrootDirectoryを /home/watashi/dakeno/himitsu/ にしてもらえませんかぁ。」って頼んで
「おっふ、やっといた」となったら
rmdir /home/watashi/dakeno/himitsu
ln -s /root /home/watashi/dakeno/himitsu
「計画通～り」ってことだよね。
このためには/home/watashi/dakeno がwritableでなければ出来ないでしょ。
himitsu は writableでもかまわないんじゃないだろうか。

61:名無しさん＠お腹いっぱい。
14/05/02 02:16:52.55 .net
>>60
Chrootにつっこまれる他のユーザを騙すことはできるようになるな

62:名無しさん＠お腹いっぱい。
14/05/02 08:37:42.29 .net
>>59
/etc/shadowとか自由に作れるがそれでいいのか?

63:名無しさん＠お腹いっぱい。
14/05/02 11:33:29.13 .net
そっか、mv して新しく作ることが可能になるのか。
いくない。それは、いくないな。

64:名無しさん＠お腹いっぱい。
14/05/02 13:58:00.45 .net
>>59
あんま詳しくないけど、chroot先とホームディレクトリは別々じゃなかったけ？

65:名無しさん＠お腹いっぱい。
14/05/02 14:16:39.82 .net
OpenSSH No Longer Has To Depend On OpenSSL - Slashdot
URLﾘﾝｸ(beta.slashdot.org)

試してみたい

66:名無しさん＠お腹いっぱい。
14/06/01 20:18:44.75 .net
VPN経由でSSHって使えないの？

67:名無しさん＠お腹いっぱい。
14/06/01 23:32:48.58 .net
>>66
何か使えない理由ある？

68:名無しさん＠お腹いっぱい。
14/06/02 02:05:58.72 .net
宗教上の理由とか。

69:名無しさん＠お腹いっぱい。
14/06/02 08:26:24.30 .net
中国とかは法律的な理由もあるかも
暗号化通信は当局が解読可能な状態にしないと駄目なんだっけ？
VPN張る事自体問題視されるとか聞いたことあるけど

70:名無しさん＠お腹いっぱい。
14/06/02 09:52:55.95 .net
それ>>66とは別の話だよね。

71:名無しさん＠お腹いっぱい。
14/09/14 17:08:34.71 .net
今SSHについて勉強してます。
どなたかRSA1、RSA、DSAの違いにつ
いて教えて頂けませんか？

メリット、デメリットがわからず、どれを使って良いのかわかりません。

自分で調べろやは無しでお願いします。

72:名無しさん＠お腹いっぱい。
14/09/14 17:09:54.63 .net
挿入ネタはいいです

73:名無しさん＠お腹いっぱい。
14/09/14 17:17:26.72 .net
挿入ねたって？

74:名無しさん＠お腹いっぱい。
14/09/14 19:08:03.88 .net
>>71
shでも学んでろ。

532 名無しさん＠お腹いっぱい。 sage 2014/09/14(日) 17:11:01.54
今シェルについて勉強してます。
どなたかash、bsh、cshの違いにつ
いて教えて頂けませんか？

メリット、デメリットがわからず、どれを使って良いのかわかりません。

自分で調べろやは無しでお願いします。

75:名無しさん＠お腹いっぱい。
14/09/14 19:22:24.51 .net
>>74
なに(笑
このコピペみたいなカキコは！(笑)

お、俺じゃないんだからね

76:名無しさん＠お腹いっぱい。
14/09/17 05:52:02.33 .net
みたいなじゃなくて改変コピペそのもの
こんなつまらんことを時々思い出したかのように繰り返してる狂人だからスルー推奨

77:名無しさん＠お腹いっぱい。
14/09/17 06:35:04.81 .net
改変コピペ上等。全力で釣られるのが真の漢

78:名無しさん＠お腹いっぱい。
14/09/17 10:46:58.43 .net
基地外本人乙

79:名無しさん＠お腹いっぱい。
14/10/10 08:24:44.85 .net
# netstat -n | grep 22
したら、知らないホストでESTABLISHED接続になってて
# cat /var/log/secure| grep 知らないホスト(ロボット？)
から複数のアタックがあったのだけど、session openってログ無かったんですが、
ssh のセッションがESTABLISHEDになることってあるのでしょうか？

80:名無しさん＠お腹いっぱい。
14/10/10 08:59:26.03 .net
catが無駄です

81:名無しさん＠お腹いっぱい。
14/10/10 11:44:06.96 .net
>>79
あります

82:名無しさん＠お腹いっぱい。
14/10/10 11:54:05.56 .net
>>79
tcpのセッションとsshのセッションを分けて考えないと。

83:名無しさん＠お腹いっぱい。
14/10/10 13:28:43.78 .net
>>81, >>82
ありがとうございます。

/var/log/secureでsession openになってないので気にしなくていいのですね。
ポートNo変えようかなーと思ってます。

84:名無しさん＠お腹いっぱい。
14/10/11 09:48:05.32 .net
>83 なんなら log をverbose にして暫く見張る。ま、port 番号変えるほうが対策になるけど。

85:名無しさん＠お腹いっぱい。
14/10/11 16:18:08.65 .net
秘密鍵使ってて、sshポートのハッキングなんてあるえるのでしょうか。

86:名無しさん＠お腹いっぱい。
14/10/11 17:07:57.77 .net
>>85
マスコミじゃないんだからクラッキングとか攻撃とか呼ぼうぜ。
回答：sshd自体に脆弱性があれば普通に吹っ飛ばされるよ。
URLﾘﾝｸ(jvndb.jvn.jp)
URLﾘﾝｸ(jvndb.jvn.jp)
URLﾘﾝｸ(jvndb.jvn.jp)
URLﾘﾝｸ(jvndb.jvn.jp)

87:名無しさん＠お腹いっぱい。
14/10/11 18:17:34.19 .net
>>85
パスワード認証許可してないかノックしてるんだろ。

88:名無しさん＠お腹いっぱい。
14/10/11 19:05:26.71 .net
>>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。

89:名無しさん＠お腹いっぱい。
14/10/11 21:33:37.26 .net
「公開鍵を送ってくれ」と言ったら
秘密鍵も送ってくるユーザーの多いこと多いこと。

90:名無しさん＠お腹いっぱい。
14/10/13 00:01:52.96 .net
そういうのは9割が中国からだから、
URLﾘﾝｸ(freetibet.org)
の中身を返すようにしてる

91:名無しさん＠お腹いっぱい。
14/10/13 16:13:39.16 .net
>>90
coolですな。

92:名無しさん＠お腹いっぱい。
14/10/14 04:44:30.79 .net
TCPラッパーが使えなくなると地味に困るなあ・・・
なんでサポート切っちゃうんでしょうか

93:名無しさん＠お腹いっぱい。
14/10/14 17:23:56.12 .net
もしかしたら ifconfig みたいにメンテナがいないからじゃない？
ftp 覗いてみたら tcp_wrappers_7.6.tar.gz のタイムスタンプは Apr 8 1997 だった

94:名無しさん＠お腹いっぱい。
14/10/14 17:28:46.50 .net
sshd -iでinetdから上げるようにしてinetdのtcpwrapperを使うかね

95:名無しさん＠お腹いっぱい。
14/10/14 17:54:06.39 .net
inetdサポートもそのうち削られそうだ

96:名無しさん＠お腹いっぱい。
14/10/14 19:42:41.99 .net
sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ
とりあえずはpf.confでやるけど

97:名無しさん＠お腹いっぱい。
14/10/14 19:43:18.68 .net
リロードめんどいな

98:名無しさん＠お腹いっぱい。
14/10/14 19:47:07.53 .net
PAMでやれ、ってことかな。
pam_accessとかpam_login_accessとか。

99:名無しさん＠お腹いっぱい。
14/10/14 19:59:17.14 .net
参考
URLﾘﾝｸ(marc.info)
URLﾘﾝｸ(marc.info)

100:名無しさん＠お腹いっぱい。
14/10/18 10:07:44.17 .net
誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの？

manとか見るとクライアントのIPから逆引きでホスト名を確認して
IPアドレスとホスト名のマッピングが出来なかったら接続を許可しないって動きの
ようにみえるんだけど…

この辺の詳しい動きがよくわからん

101:名無しさん＠お腹いっぱい。
14/10/18 11:02:42.57 .net
「逆引きまともに設定してないやつらなんて信用できるか!」
って人のために存在している。

102:名無しさん＠お腹いっぱい。
14/10/18 11:03:43.55 .net
クライアントの IP アドレスを逆引きしてホスト名を得る
→そのホスト名を正引きして IP アドレスを得る
→その IP アドレスが元のと一致してなかったら蹴る

103:名無しさん＠お腹いっぱい。
14/10/18 11:42:47.38 .net
そんなごく当たり前のIP逆引きチェックそのものを質問してるわけない、
質問の意図は別のところにある、と見るべき引っかけ問題。

104:名無しさん＠お腹いっぱい。
14/10/18 12:39:10.85 .net
んじゃどんな意図なんだろ

105:名無しさん＠お腹いっぱい。
14/10/18 12:52:20.85 .net
UseDNSをnoにすることってないのになぜオプションがあるのか、という質問？
IP解決はDNSとは限らない(NISとかhostsとか)のになぜDNSという設定名？

106:名無しさん＠お腹いっぱい。
14/10/18 12:55:17.30 .net
逆引き出来ないクライアントから接続しているユーザーからの
「なんかログインに時間かかるんだけど」というクレームに
対応するため、逆引きをしないようにする機能だろ。

107:名無しさん＠お腹いっぱい。
14/10/18 12:59:58.93 .net
「それは逆引き設定しろ」と言えば済む話で、sshdの設定を変えるべきではない。

108:名無しさん＠お腹いっぱい。
14/10/18 13:08:08.17 .net
>>107
そう思う人はそうすればいい。

109:名無しさん＠お腹いっぱい。
14/10/18 13:12:02.82 .net
釣りだったか。

110:名無しさん＠お腹いっぱい。
14/10/18 13:13:29.54 .net
１ユーザーの逆引き無視要求で、全ユーザーの逆引きチェックを無効(危険)に晒すなんて、、

111:名無しさん＠お腹いっぱい。
14/10/18 13:25:57.51 .net
逆引きチェックしてもあんまり意味ないと思う。

112:名無しさん＠お腹いっぱい。
14/10/18 13:47:55.43 .net
ごめん、言葉が足らなかった。

このUseDNS、デフォルトだとYesになっていると思うんだけど、クライアントが逆引き出来ない状態
(DNSサーバへの接続が出来ない状態やそもそもレコードにIPが登録されていない状態)でもSSHって接続出来るじゃない？

だとしたら、どういう時に使えるの？と思って。

　1.IPアドレスがDNSに登録されている状態
　　かつ
　2.そのホスト名を再度正引きしたら違うIPアドレスになっている

上みたいな状態の時だけは接続させないって認識であってるのかな？
レコードにいなかったり、DNSに接続出来ない時はそのままSSH接続出来るって事はわかるんだけど…

113:名無しさん＠お腹いっぱい。
14/10/18 17:52:52.87 .net
rhosts認証を突破されないためのオプションだよ。

114:名無しさん＠お腹いっぱい。
14/10/18 20:43:50.93 .net
>>113
rhosts認証って、sshd_configのデフォルト設定だと有効になっていないよね？
てことは、sshd_configがデフォルトの状態のまま利用されていたら、このオプションでやってくれることってログの記録時にホスト名でロギングしてくれるくらいって
認識であっているかな？

他の何か利用用途ってあります？

115:名無しさん＠お腹いっぱい。
14/10/18 23:12:07.86 .net
ホスト名でMatchさせてる場合

116:名無しさん＠お腹いっぱい。
14/10/19 08:28:25.46 .net
考えてもしょうがないからさっさとnoにしちゃえよ

117:名無しさん＠お腹いっぱい。
14/10/19 15:35:56.74 .net
>>116
> 考えてもしょうがないからさっさとnoにしちゃえよ
インシデントになったせいで、会議で説明しなきゃならないんだよ

118:名無しさん＠お腹いっぱい。
14/10/19 16:35:04.00 .net
自分がやるべきことを掲示板に丸投げしてドヤ顔かよｗ

119:名無しさん＠お腹いっぱい。
14/10/19 19:45:24.65 .net
ウソ教えられて、会議でそれを突っ込まれたら、2chで聞いたと言い訳するのかな?

120:名無しさん＠お腹いっぱい。
14/10/19 20:27:25.16 .net
>>118
>>119
とはいっても、サポートよりここの住人の方が詳しいし頼りになるし…
教えてもらった情報を元に海外のサイトとサポートで裏取しようと思ってたんだ

仕様の部分がもうよくわからなくて…

121:名無しさん＠お腹いっぱい。
14/10/19 22:46:30.26 .net
もうソース読んだ方が早いし確実じゃね。

122:名無しさん＠お腹いっぱい。
14/10/19 23:12:00.13 .net
かまってもらえるのは回答者にとって興味がある場合だけ

123:名無しさん＠お腹いっぱい。
14/10/20 02:45:14.37 .net
>>120
ホスト名で認証しない限りUseDNSはNoでいい。
今時IgnoreRhostsがnoになってることはないだろ。
デフォルトはrsh引きずってるだけ。

124:名無しさん＠お腹いっぱい。
14/10/20 14:33:56.81 .net
かまうと調子こいてソースは？とかエビデンスは？とか言い始めるぞｗ

125:名無しさん＠お腹いっぱい。
14/10/20 14:34:29.62 .net
なら>>121でよし。

126:名無しさん＠お腹いっぱい。
14/10/21 17:09:45.04 .net
というわけで、このスレでのSSHに関する情報交換は全面禁止となりました。

127:名無しさん＠お腹いっぱい。
14/10/21 18:21:36.12 .net
ログインシェルをsshに変えたいんですが、chshでやろうとするとエラーになります。
どうすればいいですか？

128:名無しさん＠お腹いっぱい。
14/10/21 18:33:44.06 .net
まずはその屏風からsshとかいうシェルを出してみてください

129:名無しさん＠お腹いっぱい。
14/10/21 18:38:38.21 .net
sshはすでにインストール済みで、動作確認済みです

130:名無しさん＠お腹いっぱい。
14/10/21 18:45:40.37 .net
>>127
>>129
出来ません、出来ません。
SSHにはそんなこと出来ません。

131:名無しさん＠お腹いっぱい。
14/10/21 19:11:18.03 .net
>>127
/etc/shellsにないんじゃないか。
ログインできなくなってもしらんけど。

132:名無しさん＠お腹いっぱい。
14/10/21 19:24:07.55 .net
/etc/shellsですか、ありがとうございます。
今環境がないので明日、客先で試してみます。

133:名無しさん＠お腹いっぱい。
14/10/21 19:32:19.94 .net
加齢臭コピペがくさいです

134:名無しさん＠お腹いっぱい。
14/10/21 19:33:29.40 .net
>>126
× このスレでのSSHに関する情報交換は全面禁止となりました
○ このスレでのSSHに関するサポート乞食は全面禁止となりました

135:名無しさん＠お腹いっぱい。
14/10/26 13:36:46.74 .net
その後 132 の姿を見る者は居なかった

136:名無しさん＠お腹いっぱい。
14/10/26 21:06:55.48 .net
132=129=127なのか、ネタレスだったのかはしらんけど、
本気でそれを客先でやったらとんでも無い事にはなるだろうなぁ…

sudoも出来ない状況だと、hddを別のに刺して直すしか思いつかん。

137:名無しさん＠お腹いっぱい。
14/10/26 21:30:38.39 .net
いつもの改変コピペ君だよ

138:名無しさん＠お腹いっぱい。
14/10/27 14:20:34.23 .net
UNIX板には死語レベルのコピペにマジレスするピュア()な中高年が多いですね

139:名無しさん＠お腹いっぱい。
14/11/23 17:53:17.21 .net
SSH で接続すると、日本語入力ができなくなるのだが、、これって無理なの？

Cygwin → LinuxMint
LinuxMint → LinuxMint(別ユーザー)

ターミナルまたは、ssh -X で手元に表示したアプリでも日本語入力できない。
LinuxMint単独だと、 Mozcとかで日本語入力できてるんだけど。

140:名無しさん＠お腹いっぱい。
14/11/24 04:27:36.36 .net
普通はできるだろ…とりあえず文字コード合ってる？

141:名無しさん＠お腹いっぱい。
14/11/24 04:36:11.60 .net
できないじゃなくて、どうなるか書かないと。

142:名無しさん＠お腹いっぱい。
14/11/24 05:16:14.38 .net
>>139
この場合日本語入力はローカル側のが使われるんだよ。sshログイン先のホストのものではない。
必要な環境変数が設定されてないとエスパー。

143:名無しさん＠お腹いっぱい。
14/11/29 18:39:05.96 .net
>139-142

失礼しやした。

結論から言うと、リモート先で、
export XMODIFIERS="@im=fcitx"
と入力することによって、
GUIアプリ(Firefoxとかgvim)でも、日本語入力(Mozc)ができるようになりました。

で、後は、この export 文を設定ファイルで自動読み込みさせたい。
.bashrc に書くのはイマイチだし、
かといって、.ssh/rc に書くと、
今度は、sshが、 xauth を読まなくなる。

これについては、
SSHのマニュアルか
URLﾘﾝｸ(www.unixuser.org)
個人ページ
URLﾘﾝｸ(namazu.org)
URLﾘﾝｸ(uncorrelated.no-ip.com)
を参考に対処できそう。

144:143
14/11/29 21:40:37.22 .net
自己レス

>>143

LinuxMint→LinuxMint へ、ssh -X でリモートログインした場合、
export XMODIFIERS="@im=fcitx"
すれば、gvim等のGUIアプリでも日本語入力のインターフェースが使えた。
だけど、~/.ssh/rc に記述すると xauth関連が良く分からないのであきらめ。
おとなしく、exportを手打ちするか、source することにした。

それから、
cygwin → LinuxMint へ ssh -X でリモートログインした場合は、
リモートの Xアプリ(gvim)にて、日本語入力インターフェースを使う方法が見つからなかった。

orz

145:名無しさん＠お腹いっぱい。
14/11/30 04:07:35.69 .net
.xsession

146:名無しさん＠お腹いっぱい。
14/11/30 09:01:56.33 .net
cat .ssh/id_rsa | ssh username@remotehost 'cat >> .ssh/authorized_keys; chmod 600 .ssh/authorized_keys'

これだと秘密鍵をremotehostに持ち出すことになるよね？
このあと特にエラーが出るわけでもないから初心者だと気づかないかも。

147:名無しさん＠お腹いっぱい。
14/11/30 10:48:50.82 .net
なんで秘密キーを公開キーのファイルに追記してんの？ｗ

148:名無しさん＠お腹いっぱい。
14/11/30 10:54:42.92 .net
>>146
公開鍵登録しろよ。多分id_rsa.pub

149:名無しさん＠お腹いっぱい。
14/12/01 10:23:39.78 .net
>>146
そんなやり方どこで聞いたんだ

150:名無しさん＠お腹いっぱい。
14/12/01 11:04:16.75 .net
>>147-149
川本安武とかいうバカが元凶のようだ。

URLﾘﾝｸ(books.google.co.jp)

151:名無しさん＠お腹いっぱい。
14/12/01 12:25:54.94 .net
「~/」を書かないんだな

152:名無しさん＠お腹いっぱい。
14/12/01 15:20:31.53 .net
~/はシェルに依存だから。
>>や;も意図したとおりに解釈してくれないかも知れないが。

153:名無しさん＠お腹いっぱい。
14/12/03 23:16:27.17 .net
~/ を解釈しないシェルって何だ？
dashもbusyboxのshも解釈するぞ

154:名無しさん＠お腹いっぱい。
14/12/03 23:38:30.85 .net
純正シェル。~はcsh由来だよ。

155:名無しさん＠お腹いっぱい。
14/12/04 00:06:43.07 .net
/bin/shがThompson ShellとかBourne ShellでOpenSSHが入ってる環境とか
無理やり作ろうとしても大変だなｗｗ

156:名無しさん＠お腹いっぱい。
14/12/04 01:00:08.15 .net
商用UNIX環境で古いものだとそういうのもあるな

157:名無しさん＠お腹いっぱい。
14/12/04 01:37:00.88 .net
うん、ありますね。
で、それをわざわざ使わせて
「~/ はこのシステムでは使えない、だからスクリプトを書く時は~/を使うな」
と教え込むんでしょうか？

158:名無しさん＠お腹いっぱい。
14/12/04 02:02:22.75 .net
~ を解釈しないシェルで ~ を使ってしまう危険性より
ホームディレクトリ以外で >>150 のコマンドを実行してしまう危険性の方が高いんじゃないかな。

159:名無しさん＠お腹いっぱい。
14/12/04 06:52:38.02 .net
>>158
ホームディレクトリで実行する方が危険だろ。
それ以外ならエラーで済む。

お前、川本とかいうバカ本人? まだわかって無いの?
何冊売れたか知らんけど、その記述を鵜呑みにした読者を危険に晒してるんだぞ。
死ねば?

160:名無しさん＠お腹いっぱい。
14/12/04 07:44:13.26 .net
>>150 = >>159 はここで作者disる暇あったらgihyoに本の回収絶版でも申請すれば？

161:名無しさん＠お腹いっぱい。
14/12/04 08:02:25.76 .net
正当な批判をdisってるとか。死ねば?

162:名無しさん＠お腹いっぱい。
14/12/04 08:58:42.72 .net
だから訂正でも謝罪でも訴訟でもなく作者の死を望んで何になるのよ

163:名無しさん＠お腹いっぱい。
14/12/04 09:10:17.44 .net
やっぱり川本本人か。ｗ

164:名無しさん＠お腹いっぱい。
14/12/04 09:51:36.60 .net
オッスオラ川本！

165:名無しさん＠お腹いっぱい。
14/12/04 09:54:07.71 .net
とりあえずお前があの本以外から一切の情報を仕入れず、ネットで検証もせず
鵜呑みにしてやらかして逆切れしたことはわかった

166:名無しさん＠お腹いっぱい。
14/12/04 09:56:28.68 .net
新山祐介さんの「入門OpenSSH」最強伝説がまた証明されてしまったな
URLﾘﾝｸ(www.unixuser.org)
おまえらネットも本も間違ってるから絶対に参考にするな
新山祐介さんの「入門OpenSSH」だけを参考にしろ
これ一冊あれば何もいらない

167:名無しさん＠お腹いっぱい。
14/12/04 09:58:54.50 .net
「正当な批判」は作者と出版社に直接届けないと本人のためにならないぞ
URLﾘﾝｸ(gihyo.jp)
URLﾘﾝｸ(twitter.com)

168:名無しさん＠お腹いっぱい。
14/12/04 10:55:15.15 .net
間違った記述すると、瞬殺で特定されるとかgoogleさん怖すぎ。

169:名無しさん＠お腹いっぱい。
14/12/05 00:16:32.57 .net
>>165
161は160に死ねと言ってるのに162は作者に死ねといったと解釈した。
よって160＝162＝作者(というか筆者、川本)でなければ矛盾が生じるため、
「あの本以外から一切の情報を仕入れなかった被害者」である可能性を考慮する必要はない。

170:名無しさん＠お腹いっぱい。
14/12/05 02:41:18.78 .net
>>169
著者に「死ねば」と言ったのは 159

171:名無しさん＠お腹いっぱい。
14/12/05 08:28:31.97 .net
>>170
>>159は(川本かもしれない)>>158に「死ねば」と言った。
>>158が筆者であると断定できるのは>>158だけであるが、
お前は断定している。ゆえにお前が>>158であり川本本人。

172:名無しさん＠お腹いっぱい。
14/12/05 08:46:18.64 .net
で、お前はこのスレで川本死ね川本死ねと呪詛を吐くだけで
他に被害者が出ないようになんとかしようという気は全く無いわけだ
>>167にある連絡先にクレームはちゃんとつけたのか？

173:名無しさん＠お腹いっぱい。
14/12/05 10:48:45.50 .net
>>172
当たり前だ。タダでデバッグしてやる義理は無い。

174:名無しさん＠お腹いっぱい。
14/12/05 15:58:44.63 .net
読者を危険に晒した！というほどのおおげさなことなん？

chmod 600してるからremotehostが共用だとしても本人以外の一般ユーザーからは見れないはずだし、
rootが信頼できないならsshすること自体が危ないわけだし。

scpしてchmodする直前のスキをつくというのはナシね。

物理的にハードディスクが強奪されるかrootアカウントがクラックされるかして、さらにパスフレーズのオフライン解析なんて、そこまでして狙われる初心者ってそんなにいるとも思えない。

175:名無しさん＠お腹いっぱい。
14/12/05 17:09:10.53 .net
>>174
> rootが信頼できないならsshすること自体が危ないわけだし。

そうなの? どんな危険性が?

176:名無しさん＠お腹いっぱい。
14/12/05 18:54:33.93 .net
>>174
> rootが信頼できないならsshすること自体が危ないわけだし。
別のサーバーも同じキーペアで認証してたら何が起こるか考えてみたまえ。

177:名無しさん＠お腹いっぱい。
14/12/05 19:50:35.81 .net
>>175
キーロガー入りのログインシェルやカーネルに差し替えられてたらアウトじゃん？

178:名無しさん＠お腹いっぱい。
14/12/05 22:19:24.59 .net
>>176
いや、問題ないよね？秘密鍵のフォワードとかしてなければ

179:名無しさん＠お腹いっぱい。
14/12/05 23:00:17.54 .net
cat .ssh/id_rsa
はタイプミスだろ。かなり痛いミスだけど。

やってることは公開鍵認証のベストプラクティスとしてじゃなくて、
公開鍵認証をするには .ssh/authorized_keys に公開鍵を追記しますよ、と言うのを説明するためにやってるだけでしょ。
アルゴリズムを説明するのに擬似コードで書いてあるようなものだろ。

180:名無しさん＠お腹いっぱい。
14/12/05 23:21:07.02 .net
>>178
問題ないなら、お前の常用してる秘密鍵をここに貼り付けろよ。

181:名無しさん＠お腹いっぱい。
14/12/06 00:00:58.57 .net
>>179
まぁどいつもこいつもわかってて弄ってるだけなので……

182:名無しさん＠お腹いっぱい。
14/12/06 00:01:43.20 .net
>>180
ログイン先に秘密鍵おいておくとか頭煮えてるの？おだいじにね

183:名無しさん＠お腹いっぱい。
14/12/06 00:09:57.17 .net
>>182
おれじゃなくて>>178に言え。痴呆症ジジイ。

184:名無しさん＠お腹いっぱい。
14/12/06 02:42:15.93 .net
>>174
信用出来ない鯖という前提でsshするなら問題ない。
>>175
信用出来ない鯖にsshするついでにパスワード打ち込んだりエージェント転送しちゃう馬鹿には危険。
>>176
「sshすること自体が危ない」への反論ではなくさらなる危険の指摘だと思うけど、ちょっと言葉足らずだと思う。
>>177
信用出来ない鯖に保護したい情報打ち込んだりしないのでsshに脆弱性がなければ関係無いです。
ていうか脆弱性があってもそれを突く場合に差し替えるのはシェルやカーネルじゃなくsshdだろが。
>>178
176は「sshすること自体が危ない」への反論じゃなくて、アンカー先/引用部分が不適切なだけかと。
>>179
かなり痛いミスって指摘をいやそうじゃないってごねてるバカが居るように見える。
>>180 >>183
問題がないのは公開鍵を信用出来ないrootの居る鯖に置く行為の事だろ、馬鹿。

公開鍵と秘密鍵の区別がつかないとか、これも川本とか言う馬鹿のレスなのかなぁ…

185:名無しさん＠お腹いっぱい。
14/12/06 03:02:41.76 .net
>>177
キーロガーあろうが、渡したくない情報を入力しなければ何も問題ない。
ウェブサーバーがログ取ってるからアクセスするの危険と言ってるようなもの。そりゃクレジットカード情報送るとかなら危険。

クライアント側で何か実行とかできるのかと思った。

186:名無しさん＠お腹いっぱい。
14/12/06 07:22:31.63 .net
>>184
>>>180 >>183
>問題がないのは公開鍵を信用出来ないrootの居る鯖に置く行為の事だろ、馬鹿。

誤読だバカ。
>>176,>>180,>>183は全部オレだ。
「sshすること自体が危ない」ではなく「rootが信頼できないなら」への指摘だ。
言いがかりをつけるなら、どっちを引用したのか良く考えてからつけることだ。

187:名無しさん＠お腹いっぱい。
14/12/06 16:04:33.63 .net
誤記のひとつくらいしょうがないでしょ。
いずれ正誤表くらい出るよ。

一部のミスをあげつらって不安を煽るよりも、技術者全体のsshスキル底上げのためにも、むしろひとりでも多くの初心者が一度目を通すべきと思う。

188:名無しさん＠お腹いっぱい。
14/12/06 18:12:25.55 .net
>>187
不安を煽るというか、秘密鍵を意図せずアップロードする行為はどう考えても普通に危ないわｗ
正誤表が出ても初心者の類がそんなん見に行くわけがないし正誤表が出ても推奨なぞできん。

189:名無しさん＠お腹いっぱい。
14/12/06 18:25:54.91 .net
IPAに届けた上で、技評のトップページで謝罪訂正するレベル

190:名無しさん＠お腹いっぱい。
14/12/06 18:32:25.86 .net
だな
初心者がWebなんぞ見れるはずが無い

191:名無しさん＠お腹いっぱい。
14/12/06 19:15:59.16 .net
>>188
>>189
>>190
取ったな。

鬼の首。

192:名無しさん＠お腹いっぱい。
14/12/06 22:51:34.25 .net
>>191
取った(殺った)というか拾った程度な感じ。
首を落とした奴を崇め奉ってる奴が居るから鬼の首みたいな扱いになってるけど、
実際の所は路肩のゴミを拾った程度の話でしか無い。さっさと捨てよう、こんなの。

193:名無しさん＠お腹いっぱい。
14/12/06 23:13:35.29 .net
鬼? 雑魚だよ。

194:名無しさん＠お腹いっぱい。
14/12/06 23:57:36.44 .net
結局、ただのやっかみかよ。

195:名無しさん＠お腹いっぱい。
14/12/07 00:04:20.63 .net
>>194
どこをどう読んだらそんな解釈になるんですか川本さん

次ページ