SSH その5

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 246 KB / Number-of Response : 982
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
2 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:53 ]: よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
　そのパスワードは暗号化されているのですか？
A.はい、その通りです。
　SSHプロトコルでは、まず始めにサーバ<->クライアント間で
　暗号化された通信路を確立します。
　ユーザ認証はその暗号化通信路の上で行なわれるので、
　パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
　ログインを試みる輩がいるのですが？
A.sshdにアタックするツールが出回っているようです。
　各サイトのポリシーに従って、適切な制限をかけましょう。
　参考：www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
3 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:10:05 ]: ◇実装
本家ssh.com
　www.ssh.com/ / www.jp.ssh.com/ (日本語)
OpenSSH
　www.openssh.com/ / www.openssh.com/ja/ (日本語)
　OpenSSH情報：www.unixuser.org/~haruyama/security/openssh/
　日本語マニュアル：www.unixuser.org/~euske/doc/openssh/jman/
　OpenSSH-HOWTO：www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html

TeraTerm/TTSSH
　hp.vector.co.jp/authors/VA002416/
　www.zip.com.au/~roca/ttssh.html / www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
　sleep.mat-yan.jp/~yutaka/windows/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
　www.chiark.greenend.org.uk/~sgtatham/putty/
pc8.2ch.net/test/read.cgi/unix/1084686527/
　hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
　yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
　www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
　pro.wanadoo.fr/chombier/
PortForwarder
　www.fuji-climb.org/pf/JP/
TRAMP
　www.nongnu.org/tramp/tramp_ja.html
4 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:10:21 ]: ◇規格等
IETF secsh
　www.ietf.org/html.charters/secsh-charter.html
WideのSSH解説
　www.soi.wide.ad.jp/class/20000009/slides/12/

◇おまけ
Theoのキチガイぶり
　pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
　www.qmail.org/djbsssh/
5 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:50:00 ]: Theoつ
6 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 19:37:27 ]: >>4
> ◇規格等
> IETF secsh
> 　www.ietf.org/html.charters/secsh-charter.html

今はRFC出てるっしょ。
　・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
　・RFC4251: The Secure Shell (SSH) Protocol Architecture
　・RFC4252: The Secure Shell (SSH) Authentication Protocol
　・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
　・RFC4254: The Secure Shell (SSH) Connection Protocol
　・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
　　Key Fingerprints
　・RFC4256: Generic Message Exchange Authentication for the Secure
　　Shell Protocol (SSH)

www.itmedia.co.jp/enterprise/articles/0601/19/news073.html
7 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 19:38:38 ]: >>1-4
言い忘れたけど、乙！
8 名前： ◆2YYPBG4Se. [2006/04/20(木) 23:48:04 ]: >>3
　UTF-8 TeraTerm Pro with TTSSH2のその頁は，いまは見られないっぽいから，
URLは sourceforge.jp/projects/ttssh2/ あたりを書いておくほうがいいかと。
9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/21(金) 05:09:18 ]: rootで公開キーで接続したいのですが、公開キーはどこにコピーすればよいのでしょうか？
ユーザーの場合はホームディレクトリの.ssh内のauthorized_keysですが、rootの場合がよく分かりません。
よろしくお願いします。
10 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/21(金) 08:27:01 ]: >>9
ホームディレクトリの.ssh内のauthorized_keys
11 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/21(金) 09:20:06 ]: /root/.ssh/authorized_keys
でしょうか？やってみたのですがうまくいきません。
12 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/21(金) 11:15:51 ]: >>11
sshd_config に PermitRootLogin yes
13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/21(金) 11:24:53 ]: 面倒がらずにsu, sudoあたりを使うのが多少なりとも安全かと…
14 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/22(土) 00:51:10 ]: >>12
消(ry

>>11
sshd_config に PermitRootLogin without-password
15 名前：名無しさん＠お腹いっぱい。 [2006/04/22(土) 01:31:47 ]: VPS2台ある環境で、定期的に片方のサーバにバックアップを行う
SHを書いたんですが、
「Pseudo-terminal will not be allocated because stdin is not a terminal.」と
エラーが出たままコンソールが固まってしまいます。
（ctrl+cでエスケープできますが）

スクリプトはこれです。

#/bin/sh

rotate() {
ssh root@***
cd /home/backup
}

rotate &

何か考えられる原因はありますでしょうか。
ssh -t root@***は駄目でした。
16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/22(土) 01:37:22 ]: ｸﾏｰ
17 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/23(日) 03:16:56 ]: www.google.co.jp/search?&num=ie=UTF-8&oe=UTF-8&hl=ja&lr=lang_ja&q=Pseudo-terminal%20will%20not%20be%20allocated%20because%20stdin%20is%20not%20a%20terminal.
18 名前：ｷﾓｵﾀ [2006/04/24(月) 11:37:02 ]: 『dsaでの鍵認証が必要なグループ(webadmin)』と『パスワード認証のみのグループ(user)』という二通りのグループのユーザー達がログインできるような環境を作りたいのですが、もし可能でしたら教授頂きたいです。

下記の設定値を変更しながら複数のログイン環境を試みましたが、上述した二通りの条件を満たすに至りませんでした。

[etc/ssh/sshd_config]
ChallengeResponseAuthentication no
PasswordAuthentication yes
UsePAM yes

[etc/pam.d/ssh]
account required /lib/security/pam_access.so

[etc/security/access.conf]
+:ALL EXCEPT webadmin:ALL
-:ALL EXCEPT user:ALL

根本的に設定するファイルから間違っているのでしょうか・・
どなたか詳しい方、ヒントでもかまいません。
よろしくお願いしますm(_ _)m
19 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/24(月) 15:36:28 ]: 全角文字を含んだコマンドを発行できる無料sshクライアントがあったら教えて下さい。
現在はPuttyを使っているのですが、Puttyで全角文字を使用するのは無理ですよね？
20 名前：名無しさん＠お腹いっぱい。 [2006/04/24(月) 17:09:39 ]: UTF-8 TeraTerm Pro with TTSSH2 のウィンドウにドラッグするとファイルを転送できる機能は
便利で良さそうなんだけど、プロトコルはどこで指定するのかなぁ・・・
デフォルトでは何使ってるんだろう？
21 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/24(月) 17:29:13 ]: >>19
全角文字の入力ってことですよね？出来ていますが。
22 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/24(月) 18:06:10 ]: >>18
> 『dsaでの鍵認証が必要なグループ(webadmin)』と『パスワード認証のみのグループ(user)』という二通りのグループのユーザー達がログインできるような環境を作りたい

OpenSSH はそういう小回り効かせた処理は不得手っぽいんで PAM と
組み合わせたところで無理なんじゃなかろか。

$sh.com のなら、UserSpecificConfig という user%group@host 単
位で指定できる副構成ファイル (正規表現なので group のみ指定可)
を使えるから、おそらく簡単に実現可能。
23 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/24(月) 19:37:22 ]: >>18
ポート番号が違う異なる設定ファイルでそれぞれsshdが起動できるなら可能かも。

思いっきり思いつきだが。
24 名前：ｷﾓｵﾀ [2006/04/25(火) 20:26:10 ]: >>22 >>23
親切な方、ありがとう。

>>22
"$sh.com" "UserSpecificConfig" ぐぐってみたんですが、情報少ないですね；；

>>23
そのやりかたが一般的みたいですね、sshdを二つ以上起動しなくても普通にできてもいいことかなって思っていたのですがあきらめます；；
25 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/25(火) 20:27:37 ]: >>24
つ、釣られないぞ…
26 名前：ｷﾓｵﾀ [2006/04/25(火) 20:32:18 ]: つ、釣ってないよ！
27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/26(水) 12:05:04 ]: > つ、釣ってないよ！

s/\$/S/
28 名前：名無しさん＠お腹いっぱい。 [2006/04/27(木) 03:06:32 ]: openSSHでの公開鍵認証では、LDAPに登録した公開鍵などを利用する事は可能でしょうか？
調べてみたのですが、それらしい記述が見つかりませんでした。
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/27(木) 08:39:39 ]: ためしたことはありませんが、
OPENSSH LDAP PUBLIC KEY PATCH
ttp://www.opendarwin.org/en/projects/openssh-lpk/
というものがあります
30 名前：28 mailto:sage [2006/04/27(木) 12:48:35 ]: >>29
情報ありがとうございます。
早速試してみようと思います。
31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/27(木) 23:55:33 ]: 玄箱をVINE化して使ってます。先日、停電で玄箱が落ちてしまい、その後から
起動してもSSHで接続できなくなりました。sambaなどは正常に動いてます。
COMポートがないので二進も三進もいかなくて困っています。
HDDを取り外してPCに接続し、KNOPPIXで起動してHDD内のファイルを参照できました。
どこかファイルをいじれば復旧できるもんでしょうか？
識者の方、お知恵をお貸しください。
32 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/28(金) 00:43:56 ]: >>31
telnet とか
rlogin とかいろいろあるじゃん
33 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/28(金) 01:07:29 ]: >>3
VaraTermも今はPoderosaになってる。

ja.poderosa.org/
34 名前：31 mailto:sage [2006/04/29(土) 22:44:51 ]: >>32
sshでしかつながらないように設定してあるんです。
telnetでもいいんでつなぐ方法ありますかね？
knoppixで起動して、/etc/rc.localにsshが起動するように
書いてみたんですがダメでした。。。
35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/29(土) 23:40:57 ]: telnetで繋がるようにすればいい
36 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/29(土) 23:55:44 ]: >>34
マウントできるんなら、ログ見るとか
telnetd 有効にしてみるとかいろいろできるでしょ。
37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/30(日) 08:51:15 ]: >>34
>/etc/rc.localにsshが起動するように書いてみたんですが

sshじゃなくてsshdだが、というオチじゃないよね?
あと、Vineベースだとtelnetdは標準では無かったような・・(1CDの影響)
当然、rlogindもない。

あとは、inetdから/bin/shを直接起動するという荒技がある。
誰でもパスワード無しで入れることに注意だけど。
38 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/02(火) 00:03:27 ]: 玄箱の問題じゃなくてルーターの設定がデフォルト設定になって繋がらないというオチもあるな。
39 名前：名無しさん＠お腹いっぱい。 [2006/05/04(木) 02:02:01 ]: PortForwarding を使うと localhost が実は他のサーバになったりしますが、
別のサーバに接続したいとき、毎回 ~/.ssh/known_hosts から localhost を
削除しないと
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED
が出てしまい接続できません。

このサーバの鍵のチェックを無視する方法はありませんでしょうか？
40 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/04(木) 02:49:40 ]: >>39
ヒント: UserKnownHostsFile
41 名前：39 mailto:sage [2006/05/04(木) 07:26:12 ]: なるほど、known_hosts をサーバごとに分けることができたのですね。
~/.ssh/config に
UserKnownHostsFile ~/.ssh/known_hosts_server1
を追加することで、毎回 known_hosts を編集しなくてよくなりました。
サンクス。
42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/06(土) 15:02:16 ]: scpはうまく動作するのですが、 ssh が動作しません。
$ssh -v host
の出力には、

debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.

と出ますので、認証は成功してるっぽいのですが、
この表示の後、入力に対して全く応答がなくなります。

一体、何が起こっているのやら、皆目見当がつきません。
解決法、若しくは、原因を追究する方法に関する知恵をお貸しください。
43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/06(土) 17:43:49 ]: >>42
環境は? 他のユーザだとどうなの?
44 名前：42 mailto:sage [2006/05/06(土) 18:37:23 ]: ローカルもリモートも同じくVine Linux です。
SSHは元から、入っていた物を使っております。

ローカルとリモートの間には、スイッチングハブが2台挟まっていますが、
以前、問題なく通信できており，pingも通りますので、
通信環境の問題ではないと思うのですが、詳しいところは判りません。

他ユーザーでは、どうか？との事ですが、
リモートホストで新規ユーザーを作成し、
ローカルからSSH経由でログインを試してみたところ、
新たに作成したユーザーでも同様の症状でした。
45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/08(月) 03:42:02 ]: >>42
うまく行ってるscpのコマンドラインとsshで入れてるユーザ名は一致してる？
sshdのログはどうなってる？
46 名前：42 mailto:sage [2006/05/08(月) 11:36:23 ]: 先程、ssh接続を試してみると問題なく接続できました。
うまくいかなかった原因は謎のままですが・・・。

ユーザー名ですが、一致しております。
また，ログですが、
/var/log/messages
/var/log/secure
を見る限りでは、認証は成功してるのですが、
セッションがオープンされていなかったようです。

過去、何度かこのような現象が起こっておりましたので、
できれば、原因を解明したいと思っています。
引続き、知恵を貸していただければ幸いです。
47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/09(火) 00:06:18 ]: >>46
疑似端末の確保ができないとそんな風になるかも?
48 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/09(火) 11:16:10 ]: 質問

SSHを使用した場合、
Linux上で動くサービスの通信プロセス全てがSSHを通して行われるの？
またはポート毎にSSHを通すor通さない等の設定は可能でしょうか？
49 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/09(火) 11:58:12 ]: ( ﾟдﾟ)ﾎﾟｶｰﾝ
50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/09(火) 12:07:55 ]: >>48
そういうことをやりたいときにはIPsecを使う
51 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/09(火) 13:23:42 ]: www.unixuser.org/~euske/doc/openssh/openssh-vpn.html
52 名前：42 mailto:sage [2006/05/10(水) 12:48:26 ]: >>47
擬似端末の確保ができない理由には、
どのような事が考えられるのでしょうか？
53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/10(水) 14:01:07 ]: >>52
疑似端末の数が足りない
54 名前：42 mailto:sage [2006/05/11(木) 18:20:51 ]: 53>>
SSHで接続しようとするユーザーは私だけですので，
擬似端末の数が足りないと言う事は無いと思います．
55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/11(木) 21:30:30 ]: >>54
質問しておいてその言い方はないだろ。
56 名前：名無しさん＠お腹いっぱい。 [2006/05/12(金) 06:41:41 ]: はぁ～
57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 06:47:57 ]: ひぃ～
58 名前：42 mailto:sage [2006/05/12(金) 08:08:26 ]: 申し訳ございませんでした。

>>53殿

SSHで接続しようとするユーザーは私だけでござりますので，
>>53殿がおっしゃるような擬似端末の数が足りないなどと言う事は
無いとお申し上げございります．
59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 09:37:19 ]: ハットリ君？
60 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 09:43:22 ]: ,.――――-､
　ヽ /￣￣￣｀ヽ、
　　| |　（・）｡（･）|　　
　　| |＠＿,.--､_,> 　擬似端末が足りないはずはないでござる
　　ヽヽ＿＿＿ノ　　　　　　　　　　　　　　　　　　の巻
61 名前：42 mailto:sage [2006/05/12(金) 14:55:04 ]: >>55
言い方が気に障ったのであれば謝ります。
ごめんなさい。

「擬似端末の数」との事でしたので、
私ひとりしか使っていなければ足りなくなる事は無いと思い込んでいたのですが、
調べてみましたが、そんな単純な物ではないようですね。
不見識を恥じます。

もし良ければ、Vinelinux での擬似端末の最大数の確認の仕方、
および、擬似端末の数が足りなくなる原因などを教えてください。
62 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/12(金) 14:58:25 ]: >>61
Linux独自の確認法はLinux板で
63 名前：42 mailto:sage [2006/05/12(金) 17:39:44 ]: そんなこと言わずに教えてくだすれ
64 名前：42 mailto:sage [2006/05/12(金) 18:03:43 ]: Linux板のVine Linux Thread へ移動する事にしました。
質問に答えてくださり、どうもありがとうございました。

>>58,63
･･･。
65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 22:45:45 ]: ﾕｰｻﾞｰ1がｻｰﾊﾞｰA上からｻｰﾊﾞｰBにSSHでログインしてｻｰﾊﾞｰCにトンネルを掘る
そのときﾕｰｻﾞｰ2がｻｰﾊﾞｰAからそのトンネルを使うことはできるんですか？
66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 22:52:12 ]: >>65
できる(できてしまう)。
67 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 23:10:16 ]: >>66
即レスありがとうございます。やっぱりできるんですね。
Term二つ立ち上げてやってみたらできたんで、もしかしてと思って聞いてみました。
これって危険ですよね。ｻｰﾊﾞｰ上でトンネル掘るのはタブーなんでしょうか？
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/20(土) 23:17:58 ]: トンネルのローカル側をUNIXドメインソケットにするようなことができれば
別ユーザにトンネルを使われることはなくなるかな。
そういうsshって存在するのかな?
69 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/21(日) 02:19:41 ]: あったとして役に立つシーンがあまり思い浮かばない。
70 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/22(月) 08:28:04 ]: >>65-67
なんか問題ある？
71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/22(月) 21:18:52 ]: >>70
偶然他人がトンネルを発見すると、普通はｻｰﾊﾞｰBからは見えない
（がｻｰﾊﾞｰCからは見える）ホストにアクセスできてしまう可能性があります。
例えばNATの内側とか。
72 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/22(月) 22:33:48 ]: サーバ側からのトンネルは基本的に自分に返すのに使うんだから
自分側でアクセスをサーバのみに絞っておけばいいんでねーの？
あれ？
73 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/22(月) 22:49:09 ]: >>71
> 例えばNATの内側とか。
デフォルトだと GatewayPorts が no だからいいんじゃね?
74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/23(火) 00:13:28 ]: >>71
なんか問題ある？
75 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/23(火) 00:22:34 ]: むしろ見せたいんですが。80番とか。
76 名前：名無しさん＠お腹いっぱい。 [2006/05/24(水) 10:50:56 ]: 質問です。.ssh/を保護しつつscpを許可する方法ってないでしょうか。
他人のホストから自分のホストにスクリプトでscpを自動実行させたいのですが、
authorizedしてしまうと他人のホストのrootは自分のホストに対してやりたい放題です。当たり前ですが。
そもそも発想からして間違ってるかも知れませんね・・。
77 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/24(水) 11:30:26 ]: >>76
そもそも信用できないroot管理下にいるユーザを信用するのはおかしい。信用してはいけない。
それを踏まえた上で、restricted scp/sftp 使うくらいしかないんでない?
78 名前：76 [2006/05/24(水) 13:34:09 ]: >>77
ありがとうございます。やはりそうですよね。
相手ユーザー自体は信頼できないわけじゃないんですが、
理論上のセキュリティホールであることを気にしていました。
何か全く別の方法を考えるしかないですね。
79 名前：名無しさん@お腹いっぱい mailto:sage [2006/05/24(水) 22:09:58 ]: >76
chrootsshってのもあるけど、
ttp://chrootssh.sourceforge.net/index.php
こういう事じゃないのかな?
80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/24(水) 22:40:04 ]: scponlyとか使えばいいんじゃない？
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/24(水) 23:16:35 ]: >>76
大げさかも知れんがSELinuxとかで.ssh/書き込み不可能にしてみるとか。
82 名前：名無しさん＠お腹いっぱい。 [2006/05/25(木) 00:26:53 ]: >>79-81
ありがとうございます。
chrootもscponlyも検討しました。
scponlyは何故かうまく動かなくて、ログインシェルに指定するとscpすらできず。。
chrootはまだ試していません。もう少しチャレンジしてみます。

.sshをアク禁にする方法があるとは知りませんでした。これも勉強してみます。

ただ、ネックとなる条件がいくつかありまして、
最初の公開鍵の作成から流し込みまでリモートホストから半自動実行させるため、
.sshをアク禁にはできないのです。
このやり方が問題なのかも知れませんが、リモートホストが大量にあるため。。
83 名前：76 [2006/05/25(木) 00:37:21 ]: あ、>>82は私です。

続きです。
できればsshも制限つきで使えるようにしておきたいので、
理想に近いのはchrootでディレクトリを絞って、かつ.sshをアク禁にするか、
失敗しているscponlyを成功させて、sshが必要なところは諦めて手動にするか、
といったところです。
84 名前：名無しさん@お腹いっぱい mailto:sage [2006/05/25(木) 21:47:37 ]: >76
いまいちよくわかんないんだけどさ
たとえば、｢他人｣て言うユーザーアカウントがあったとして、｢他人｣がログインすると
/home/他人になるよね。
で、chrootssh使えば、｢他人｣がログインしたディレクトリ=/home/他人が
ルートになってそこより上の階層にはいけないから、
｢やりたい放題｣にはならないと思うんだけど、これだと何が問題なの?
85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/26(金) 10:09:46 ]: >>79
そこのモジュールは
いくらかまえのバージョンで本家と統合された
86 名前：名無しさん@お腹いっぱい。 mailto:sage [2006/05/26(金) 21:00:43 ]: >85
そうなの?
4.3p1でもパッチ出てるけど,不要なの?
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/27(土) 07:49:48 ]: "本家"と書いたらssh.com版を指す
opensshはあくまで亜流
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/27(土) 15:30:37 ]: >>87
> "本家"と書いたらssh.com版を指す

そうなのか？！俺はちょっと分かりにくいと思った。。（>>86氏と同じように考えた
んで）
ssh.comのもの(T.Yolen氏が作ったもの)が確かに「本家」であるのは間違いない
が、一番よく使われているのはOpenSSHだからね…。

「商用のもの」と書くか（これはこれで混乱するカモ）、「本家(ssh.com)のもの」
と書くと余計な誤解を防げるかと
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/27(土) 15:51:10 ]: >>88
> >
90 名前：86 mailto:sage [2006/05/27(土) 20:58:06 ]: >87
了解
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/28(日) 08:51:12 ]: 自分がどう思うか、じゃ無くて
世の中ではどう扱われているかってことだよな、大事なのは
92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/28(日) 22:02:20 ]: 最近頻発してるBruteForceAttackにリアルタイムに対応するために、
tcpserver経由でrblsmtpdを呼び出してsmtpdみたいなのを真似して
動くrblsshdを公開したら需要あるのかなぁ？

運用時の問題はRBLの更新速度やRBLの管理なんだけども… (´・ω・｀)
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 01:33:16 ]: 忘れたのでrblsshd動作様子@syslog

May 29 01:24:53 ari sshd: tcpserver: status: 1/100
May 29 01:24:53 ari sshd: tcpserver: pid 62452 from 127.0.0.1
May 29 01:24:53 ari sshd: tcpserver: ok 62452 localhost:127.0.0.1:10022 localhost:127.0.0.1::1966
May 29 01:24:56 ari sshd: rblsshd: Banned IP:127.0.0.1: 553 NO MORE
May 29 01:24:56 ari sshd: tcpserver: end 62452 status 0
May 29 01:24:56 ari sshd: tcpserver: status: 0/100

sshを使った時。
% ssh localhost -p 10022 -v
OpenSSH_3.5p1 FreeBSD-20030924, SSH protocols 1.5/2.0, OpenSSL 0x0090701f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to localhost.local.jp [127.0.0.1] port 10022.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Remote protocol version 1.9, remote software version rblsshd 0.0.1 AHYA(0_0)
debug1: no match: rblsshd 0.0.1 AHYA(0_0)
debug1: Local version string SSH-1.5-OpenSSH_3.5p1 FreeBSD-20030924
debug1: Waiting for server public key.
Disconnecting: Bad packet length 1349676916.
debug1: Calling cleanup 0x804c158(0x0)

sshdの鍵を送るときに適当に送ってるのでオーバーフローしちゃってますけど…。
中身はrblsmtpdを元にやっつけなので、もっさりな動作してます（´・ω・｀）
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 08:09:25 ]: >>93
sourceforge にアカウントとって公開してみればいいんじゃね?
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 13:09:53 ]: macにrootでアクセスしたいのですが、mac側でrootのパスワードはどこで設定するのでしょうか？
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 13:15:05 ]: OSXの話か？
購入時のまにゅある見てみ？
97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 16:10:42 ]: >96
Mac OS Xはrootアカウントが無効になっている。だからマニュアル読んでも……
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/04(日) 13:02:56 ]: X11のポートフォワードで、
local側をinet:じゃなくてlocal:に接続させるpatchってないんですかね?
99 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/04(日) 13:29:04 ]: >>98
何もしなくてもlocal側はLOCAL:(UNIXドメインソケット)にフォワードされる。
正確には、sshクライアント実行時のDISPLAY環境変数の値に
フォワードされる。もしINET:になってるのなら、DISPLAYの値が
localhost:0とかのINETドメインになってるんじゃないの?
DISPLAY=:0の状態でsshするべし。
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/04(日) 23:12:29 ]: ttp://nanno.dip.jp/softlib/man/rlogin/
これ使ってる人いませんか？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef