SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ] SSHに関する情報交換のスレッドです。 FAQ、リンク集は >>2-5 あたり。 過去ログ 　Part1：pc.2ch.net/unix/kako/976/976497035.html 　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html 　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/ 151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/25(日) 10:18:13 ] なんでもかんでもsshで解決しようとするのか 152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/25(日) 10:21:20 ] >>151 他の方法での通信を組織がポリシーとして許してくれない。 153 名前：名無しさん＠お腹いっぱい。 [2006/06/26(月) 20:58:55 ] [1] 入門OpenSSH 　　www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X キタァ！　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ from 　コンピュータ関連書籍新刊一覧 　pc.watch.impress.co.jp/docs/2006/market/i_nbook.htm 参考までに、既刊書籍： [2] 入門SSH 　　www.ascii.co.jp/books/books/detail/4-7561-4553-1.shtml [3] (絶版)OpenSSH セキュリティ管理ガイド 　　www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-0129-5 154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/27(火) 18:42:57 ] どんな時に、sshのhost-keyは変わりますか？ #Fedora Core 5 の初期設定中にトラブルがいろいろと発生して、X-windowとかが飛んだのでまた再インストールorz 155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/27(火) 20:10:54 ] >>154 host-keyを変えたとき 156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/27(火) 20:40:30 ] 「入門OpenSSH」買ってきた。 巻末の「著者紹介」がなくなってた。まあ、どうでもいい(DDI)けど。 157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/28(水) 02:12:41 ] >>154 ホストをクラックされて host key を変えられたとき MITM されてるとき 158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/30(金) 00:59:53 ] [3]は持ってるんだけど、 [1]はその改訂版なの？ あと対応バージョンはいくつなんだろう 159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/30(金) 14:35:30 ] あげ 160 名前：名無しさん＠お腹いっぱい。 [2006/07/05(水) 22:53:49 ] bit数ってみんなどれくらいにしてまつか？ 2048じゃ今時足りない？ 161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 15:38:34 ] www.atmarkit.co.jp/flinux/rensai/linuxtips/363rbashuser.html @ITのこの記事読んで特定のコマンドしか実行できないユーザ作ったんですが。 これってそのrestrictedユーザ@hostががfoo@barとすると ssh foo@bar bash -i で簡単に回避されてしまうんですが。 これを回避して/bin/rbash以外起動できないようにする方法はありませんか？ いじるファイルによってはスレ違いかもしれませんが、一応fooはssh経由でしか入ってこないので。 162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 15:46:56 ] >>161 man sshd AUTHORIZED_KEYS FILE FORMAT ... command="command" Specifies that the command is executed whenever this key is used for authentication. The command supplied by the user (if any) is ignored. The command is run on a pty if the client requests a pty; otherwise it is run without a tty. If an 8-bit clean chan- nel is required, one must not request a pty or should specify no-pty. A quote may be included in the command by quoting it with a backslash. This option might be useful to restrict cer- tain public keys to perform just a specific operation. An exam- ple might be a key that permits remote backups but nothing else. Note that the client may specify TCP and/or X11 forwarding unless they are explicitly prohibited. Note that this option applies to shell, command or subsystem execution. 163 名前：161 mailto:sage [2006/07/06(木) 15:54:49 ] >>162 ありがとうございます。…やっぱそれしかありませんかね？ 今の環境がパスワード認証なのでそれを維持したままの方法がないかと模索していたのですが。 164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 16:33:08 ] >>161 これってフルパスでコマンド実行できない？？ 165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 16:50:41 ] /etc/exportsの(の前にスペース入れちゃう人だからねえ 166 名前：161 mailto:sage [2006/07/06(木) 16:59:06 ] >>164 記事にも書いていますが、実際にフルパスでコマンドを起動しようとするとrestricedとしてエラーになります。 なので必要最低限のコマンドだけ与え、PATHを制限したうえで、.bashrcと.bash_profileを編集不可にしてしまえばそれ以外のコマンドは起動できなくなります。 後はログイン時にrbash以外起動できなくすれば良いのですが、>>162の方法だけかな。 >>165 怖っ！ｗ スレ違い気味になってきましたね、すみません。 167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/08(土) 07:03:30 ] もしrootの人に秘密鍵を盗まれてしまったら、そのrootの人は、公開鍵を置いてあるサーバに自由にアクセスできるようになってしまうのでしょうか？ 168 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/08(土) 08:47:47 ] >>167 つパスフレーズ 169 名前：名無しさん＠お腹いっぱい。 mailto: sage [2006/07/08(土) 14:59:02 ] linux debian スレから来ました。クライアントCから sshで同じローカルネットのサーバーA,Bに入って、kterm& すると、Aは窓が開くのにBは窓が開かない現象に出くわしています。 ABともに、/etc/ssh/sshd_configのX11ForwardingはYesなのに、 sshでBに入ると$DIAPLAYが設定されておらず、無理やり-display :10.0 とやっても、Can't open displayでけられます。 Bのsshd -d -d -dで出力のこの辺みろとか、なにかアドバイスいただけ ると助かります。 170 名前：169 mailto: sage [2006/07/08(土) 19:02:51 ] すみません。自己解決できました。Bはxserverなしの鯖で、xtermだけ いれてやってたんですが、xauthが入っていないとsshのX11Forwarding は機能しないんですね。勉強になりました。 171 名前：167 mailto:sage [2006/07/08(土) 19:33:43 ] パスフレーズは設定していません 172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/08(土) 19:46:34 ] おわた 173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 00:21:28 ] >>171 それはもうだめかもわからんね。 174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 12:03:52 ] 公開鍵を換えなさい 175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 14:20:05 ] /etc/sshのconfigファイル、ほとんど#がかかってるけど一体どれがデフォになってるのかﾜｹﾜｶﾒ 176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 15:03:56 ] 環境を書かないとはこれいかに。 177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 19:19:46 ] #がデフォルトだろ 178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/10(月) 15:02:24 ] 入門OpenSSH ttp://www.amazon.co.jp/gp/product/479801348X/ 179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/10(月) 21:42:14 ] >>177 そうとはかぎらんよ 180 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/10(月) 21:58:16 ] # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value. 181 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 03:31:36 ] ----修正前 # PasswordAuthentication yes ... # PermitRootLogin yes ----修正前 ----修正後 # PasswordAuthentication yes PasswordAuthentication no ... # PermitRootLogin yes PermitRootLogin no ----修正後 182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 12:17:03 ] opensshでサーバ証明書じゃなくて個人証明書で認証を行わせることってできるでしょうか。 183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 17:00:13 ] >>179 どっちなのよ？ #がデフォとするなら、変えるときは>>181のように行を追加して、元に戻すときは削除するってことかい？ 184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 23:39:34 ] デフォルトの値を知りたきゃmanすれ。 185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 09:36:33 ] manはたまに信用ならんからソース嫁 186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 10:40:49 ] ﾒﾝﾄﾞｸｾ 187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 12:16:23 ] >>186 んじゃ2chで聞け (>>175にﾓﾄﾞﾙ) 188 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 12:52:11 ] なんでずっと環境隠してるんだろう。 189 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 22:32:07 ] >>186 じゃあ、デフォ使わないで明示的に指定 した方が早い気ガス 190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 23:04:47 ] parent_domain_matches_subdomainsがけしからん！ 191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/13(木) 22:40:06 ] man sshd_configにRhostsRSAAuthenticationとHostbasedAuthentication は似てるってあるけど、全く同じなんじゃないの？ クライアントの公開鍵がsshサーバの~/.ssh/known_hostsに入ってるかどうか、ってことでそ？ 誰か教えてください 192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/14(金) 00:07:49 ] >>191 SSHプロトコルのバージョンの違い。前者（RhostsRSAAuthentication）はバージ ョン1のみで、後者（HostbasedAuthentication）はバージョン2のみで使われる。 内容が同じなのか、また両者を１つの項目に統合してしまっても問題ないのかまで は分からない。（※個人的には、何らかの理由があって分けたのではないかと思っ ているけど。） 193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/14(金) 17:15:35 ] クライアントの公開鍵じゃなくて、クライアントで動いているsshdの公開鍵。 だからsshdの秘密鍵にアクセスできる必要がある。 RhostsRSAAuthenticationとHostbasedAuthenticationはssh1とssh2のそれぞれで 設定が可能になっている。 でも、今どきはssh1は普通無効なのでRhostsRSAAuthenticationは使わない。 194 名前：191 mailto:sage [2006/07/14(金) 17:28:48 ] あ、そうか 「ホスト」単位で認証するんだから、クライアントのホスト鍵＝sshdの公開鍵＝/etc/ssd/ssh_***.pubっすね ありがとうございますた 195 名前：191 mailto:sage [2006/07/14(金) 22:36:26 ] 何度もすいません。追加質問お願いします。家のマシンでテストしていたんですが Hostbased認証にはssh-keysignをsetuidする必要があるそうですが、setuidしてないのにログインできるマシンがあります。 よく見ると「Have a lot of fun...」の直後に「Agent pid 566」とか出て、ssh-agentが走っているようです。 ssh-agentって公開鍵認証（sshd_configでPubkeyAuthentication yes)で使うものですよね？ なぜこれが起動するんでしょうか？ 他のマシンでは正常にホストベース認証でログインできました（もちろんssh-keysignにsetuidを立てないとエラー） ちなみに問題のマシンのsshバージョんはOpenSSH_3.7.1p2,です 196 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/16(日) 03:18:40 ] ssh-agentが起動するのはシェルのスタートアップファイルがそのように書いてあるから。 197 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/16(日) 05:39:18 ] ホストで認証するのは危険ですか？ 198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/16(日) 20:16:45 ] >>197 いいえ、それはトムです。 199 名前：195 mailto:sage [2006/07/17(月) 16:04:58 ] >>196 ほんとだアホすぎる・・・orz thxです 200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/22(土) 18:21:43 ] RSAAuthentication　と　RhostsRSAAuthentication の違いを教えてください。manだと、 　RSAAuthentication・・・RSA認証 　RhostsRSAAuthentication ・・・RSA ホスト認証を使った Rhosts ベースの認証 のようですが、つまり後者は前者のRSA認証にrhosts、shostsファイルによる認証を加えたもの、ということですか？ 201 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/22(土) 19:57:12 ] >>200 10 レス前も読まないのか 202 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/22(土) 19:58:20 ] >>200 違ったねごめんね 203 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/23(日) 10:03:49 ] 最近中国とか台湾とか韓国方面からの ssh password アタックが多いので… 同じIP address から短時間に 10回以上 アクセスがあったら(login error 回数だと尚良い) そのアドレスにたいしては sshd を1時間 shutout する、 なんていう設定ができないかと思っているんですが sshd の機能だけでは出来ないんですよね? 似たような話でも良いのですが、なにか方法はあるのでしょうか? 環境: OpenSSH_4.2p1 FreeBSD-20050903, OpenSSL 0.9.7e-p1 (できれば公開鍵 only ではなく password 認証は生かしておきたいです) 204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/23(日) 10:49:25 ] >>203 普通に、ssh接続する接続元のIP以外はFWではじくのがベスト。 でなければ、中国とか台湾とか韓国のIPを根刮ぎDeny汁 205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/23(日) 12:24:22 ] www.itmedia.co.jp/help/tips/linux/l0541.html www.bsp.brain.riken.jp/~washizawa/ssh.html yoosee.net/d/archives/2005/11/08/002.html このへんを参考に。 206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/23(日) 16:21:03 ] >205 thx. MaxStartups の 3:30:20 みたいな表記がほぼズバリでした >204 出張その他でいろいろな所から接続するので接続元は特定できないのと、 家族のアカウントのことは証明書ベースにするのはちょっと 面倒だったんで... まあ CKT 方面は ssh に関しては deny したいところですけどね... 207 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/23(日) 19:41:13 ] >>203＝>>206 sshdを別のポート番号で動かすのが手っ取り早いんじゃないかと思う。 そのマシンにログインする人全員にそのことを知らせる必要があるけれども。 # >>205の３つめのwebページからもリンクされている、 # 　www.unixuser.org/~haruyama/security/openssh/20051108.html # を参照ってことで 208 名前：153 mailto:sage [2006/07/23(日) 19:50:55 ] >>153 > [1] 入門OpenSSH > 　　www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X > > キタァ！　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ 某大学の図書館に入った ヽ(ﾟ∀ﾟ)ノ ので、さっそく借りてきた。 # [3]は、リクエストしたのになんだかんだ言って入らないまま時間が過ぎてついに # 絶版になっちまってｺﾝﾁｸｼｮｰだったので、よかったYO 以上、チラシの裏ｗ >>158 > [3]は持ってるんだけど、 > [1]はその改訂版なの？ > あと対応バージョンはいくつなんだろう [1]では4.3を対象として書かれているようですね。 209 名前：200 mailto:sage [2006/07/24(月) 12:16:45 ] 何か勘違いしてますね自分・・・↓を見たのですが ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワード認証のことですか？ 通信の通路はRSAで暗号化するのだから、パスワード認証もホストベース認証もみんなRSAは使ってるわけですよね？ ss1の話で今更あまり意味ないかもしれませんが、いちおう理解しておきたくて・・・ 210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/24(月) 17:13:15 ] >>209 > RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワ > ード認証のことですか？ 違 い ま す ！ SSHプロトコル1.xでの公開鍵認証、です。RSAを使うんで、「RSA認証」と呼ばれて いるわけだ。 sshd_configでの設定項目： 　公開鍵認証：RSAAuthentication（1.x），PubkeyAuthentication（2.0） 　パスワード認証：PasswordAuthentication（1.x,2.0共通） 211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/24(月) 18:10:04 ] >通信の通路はRSAで暗号化するのだから、 いや通信経路は RSA 使わないよ? 経路の暗号化は共通鍵方式。 いろいろとキホンを勉強してから個別資料のほうがいいと思うぞ 212 名前：209 mailto:sage [2006/07/25(火) 03:59:39 ] >>210 公開鍵認証だったんですかー！ありがとうございました。 でもどっちも公開鍵認証なんなら RSAAuthentication→PubkeyAuthentication1 PubkeyAuthentication→PubkeyAuthentication2 みたいにしてくれれば分かりやすいのに。"RSAを使ったAuthentication"は他にもいろいろあるのだし・・・ 歴史の流れでそうなってるってことでしょうかね？ >>211 通信コストを下げるために公開鍵暗号は最初の認証のみで、後は共通鍵みたいですね。知らなかった でも、使う共通鍵はホストとクライアントどちらのものなんでしょうか？ 213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 06:16:42 ] sshでサーバに繋ぐときに、GlobalKnownHostsFile(/etc/ssh/ssh_known_hosts)で 許可していないホストを、勝手にユーザの~/.ssh/known_hostsにそのホスト認証鍵を 追加させたくないのですが、どうすればいいでしょうか。 とりあえず、/etc/ssh/ssh_configに StrictHostKeyChecking yes としておけば、未知のホストに接続した場合のfingerprintを聞いてこないので、抑止 にはなるかと思うのですが、ユーザが % ssh -o StrictHostKeyChecking=no remote-address とした場合、ssh_configの設定が上書きされるので、どうしたものかと思っています。 何か良い方法がありますでしょうか。 sshd_configの場合、IgnoreUserKnownHostsオプションがあるので良いのですが。。。 環境は、FreeBSD 5.3R OpenSSH_3.8.1p1です。 214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:14:08 ] >>213 なんでそんなことしたいんだろう。 ファイアウォールで閉じるとかじゃだめなん? 215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:52:24 ] 理由はわからないが、ソースが公開されているのだから、修正して そのオプションを削れば済むこと。 216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:53:21 ] ~/.ssh/known_hosts をルート所有のリードオンリーにする。 217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:58:11 ] >>216 それじゃファイル消して新しく作られて終わりじゃね? 218 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 11:12:53 ] >>215 自力でコンパイルされたら終わりじゃね? 219 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 11:27:05 ] 結局ファイアヲールで防ぐしかないんじゃね？ 220 名前：213 mailto:sage [2006/07/25(火) 12:41:59 ] >>214-219 サンクス。 ファイアウォールで制限する事にしました。妙な方向に考えていたようです。 そもそもの理由は、sshのクライアントとサーバ間でホスト認証＆相互認証を しようとして、sshd側は、クライアントのホスト公開鍵を/etc/ssh/ssh_known_hostsに 設定し、sshd_configのIgnoreUserKnownHosts,IgnoreRhostsの設定でユーザが故意・事故で ~/.ssh/に変なクライアントからの接続の許可を無視できればＯＫと考えた。 でも、ssh側は、/etc/ssh/ssh_known_hostsにサーバのホスト公開鍵を設定しても、 ユーザの設定（コマンドラインの-o指定や~/.ssh/config）で上書きされてしまったら、 意味がないかな？と思っていた次第です。 （たとえば、鍵指紋を何も考えずにEnter押すようなユーザや、サーバホスト鍵が変更されてる というワーニングがでたら~/.ssh/known_hostsの該当部分を削除してしまうようなユーザを制限 できたらと考えていたのですが。） >>216 ちなみに該当ファイルをReadOnlyにしても接続時に「ファイルに書き込むのに失敗した」という 旨のエラーがでるだけで接続自体は行うようです。 221 名前：206 mailto:sage [2006/07/25(火) 15:30:42 ] >206 のように書きましたが、AllowUsers で login できるアカウントを制限していたためか root やら admin やらでアタックを試しているうちは "login の認証失敗" まで行かないことになって MaxStartups の縛りが全然発動しないっぽいです… orz だだだーとアカウントスキャンをかけてくる台・韓の script kiddy のせいで /var/log/authlog がすげーバッチイまんまですた (アドレス毎に 10-20行位で収まるようになるのかと思ったのに) >207 確かに出張時に使う(接続元アドレスバラバラ)、のは私だけなので port 22 は特定アドレスからの接続だけに限定して 一般の接続用としてはそれもアリかもしれないですね。 222 名前：名無しさん＠お腹いっぱい。 [2006/07/26(水) 21:24:46 ] sshポートフォワーディングを用いてftpを使いたいのですが、 ffftpで「接続しました。　接続できません。」となってしまいます。 ・sshによるパスワード認証ログイン、通常のftpによるログインは可能 ・PuTTY0.58-jp20050503でトンネル部分を設定 →L8021 ********.jp:21(左が源ポート、右が送り先） ・ffftpはポート8021、接続先localhost、PASV、FWなしに設定 ・サーバはSolaris10、クライアントはWin。 ・OpenSSH（Solaris10バンドル）使用。 →Sun_SSH_1.1、SSH プロトコル 1.5/2.0、OpenSSL ・ttp://cl.pocari.org/2006-05-18-1.htmlを見て、 　AllowTcpForwarding yesにしてみました。 アドバイスあれば、よろしくお願いいたします。 223 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/26(水) 22:19:25 ] 出来たら感動ものである 224 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/26(水) 22:25:28 ] ぐぐればすぐに 225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/27(木) 17:42:20 ] RMSを見ならって~を777にしたらログインできなくなりますた。 どうしたらいいですか。 226 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/27(木) 18:18:27 ] RMSを見習って気に入らない動作はすぐに修整しましょう。 227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/27(木) 23:38:47 ] hurd だとどうなるんでしょ :-) 228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/31(月) 22:42:07 ] winscpでwin→linuxへファイルを送るとき、送り終わった後に「ファイル・フォルダ '4>2↑?' はありません」といちいちプロンプトが出ます。 ファイルのパスに日本語が含まれるときに出るようですが、これを回避する方法ないですか？ ｽﾚ違いな気もしますが同じssh系ということで、お願いします 229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/31(月) 23:01:19 ] スレ違いなら回答するけど板違いなのでどっか行け。 230 名前：228 mailto:sage [2006/07/31(月) 23:48:21 ] win板の質問スレだとごちゃごちゃしてるし、winscp使ってる人の割合も少ないと思ったもので 即レスするくらいなら答えてくれてもいいのに… 231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/01(火) 00:12:21 ] 回避する方法はある。 これでいいか? 232 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/01(火) 07:29:56 ] パスに日本語が含まれないようにすればいい。 それか、comannderモードつかってexplorerとかからドロップしない。 233 名前：228 mailto:sage [2006/08/01(火) 13:06:59 ] >>232 レスｊどうもです デスクトップとかからのドラッグドロップをよくやるもんで いろいろ試しましたが、やはり無理なようですね。この件は諦めることにします 234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:14:41 ] PuttyだとつながるのにPoderosaだとつながらない、という現象が起きて困っています どなたか解決策お願いします 以下、Poderosaの出力ログです（プロトコルはSSH2、認証方法は「パスワード」です） [SSH:192.168.123.162] Received: SSH-2.0-OpenSSH_4.2 [SSH:192.168.123.162] Transmitted: SSH-2.0-Granados-2.0 [SSH:192.168.123.162] Transmitted: kex_algorithm=diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-dss,ssh-rsa; encryption_algorithms_client_to_server=aes128-cbc,blowfish-cbc,3des-cbc; encryption_algorithms_server_to_client=aes128-cbc,blowfish-cbc,3des-cbc; mac_algorithms_client_to_server=hmac-sha1; mac_algorithms_server_to_client=hmac-sha1 [SSH:192.168.123.162] Received: kex_algorithm=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-rsa,ssh-dss; encryption_algorithms_client_to_server=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr; encryption_algorithms_server_to_client=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr; mac_algorithms_client_to_server=hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; mac_algorithms_server_to_client=hmac-md5,hmac-sha1,hmac-ripemd160, hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; comression_algorithms_client_to_server=none,zlib@openssh.com; comression_algorithms_server_to_client=none,zlib@openssh.com [SSH:192.168.123.162] Transmitted: [SSH:192.168.123.162] Received: verifying host key [SSH:192.168.123.162] Received: the keys are refreshed [SSH:192.168.123.162] Transmitted: ssh-userauth [SSH:192.168.123.162] Transmitted: starting password authentication [SSH:192.168.123.162] Received: user authentication failed:publickey,keyboard-interactive 235 名前：名無しさん＠お腹いっぱい。 [2006/08/06(日) 14:16:56 ] 失礼、あげておきます 236 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:35:41 ] 元 Vera 使いだけど、キーボードインタラクティブの有効無効とか無いの？ 237 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:48:32 ] KeyboardInteractiveも可能なのですがPassword入力後無反応になってしまいます （イベントログもpassword入力後出力無し） なんか情報小出しですみません 238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:59:40 ] 板違いだと思うんだが。 239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 17:20:34 ] SSH の問題ならここでもいいと思うけどよくわからんな 一応貼っとくか Poderosa使ってる奴いる？ pc8.2ch.net/test/read.cgi/mysv/1137596282/ 240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/07(月) 14:49:47 ] keyboard-interactive認証とpassword認証の違いって何ですか？ ググったら↓を見つけましたが、これで合ってるんですか？ ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509 ＜以下、引用＞ keyboard-interactiveはサーバが直接仮想端末を制御して、パスワードを読み込むのに対して、 passwordはクライアント側が任意の方法でパスワードを読み込んでサーバに渡すらしい。 普通に端末から使う分にはあまり違いを意識することはないと思うが、sshを実行したプログラムが (仮想)端末を持たない場合(Eclipseからssh経由でcvsを使う場合など)はpassword認証だと SSH_ASKPASS が使えるという違いがある。というか、多分違うのはこれくらい。 241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/07(月) 23:26:46 ] >>240 > keyboard-interactive認証とpassword認証の違いって何ですか？ password認証ってのはRFC4252の8章で定義されているやつで、 ぶっちゃけて言えば、ただ一回だけClientからServer宛てに パスワード入りのパケットを投げつけて認証の成否を決めるやり方だ。 ttp://www.ietf.org/rfc/rfc4252.txt 対するkeyboard-interactive認証はRFC4256で定義されていて、 認証できるまでClientとServerの間で任意の回数・任意の個数の メッセージをやりとりできる方法だ。 PAMのように複雑な状態遷移を持つ認証方法をssh上で行うことができるように、 password認証を拡張した方法ってことになる。 ttp://www.ietf.org/rfc/rfc4256.txt > ググったら↓を見つけましたが、これで合ってるんですか？ > ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509 なんじゃそりゃ。 そんな無茶苦茶な説明なんか参考にしないで、RFC読め。 242 名前：240 mailto:sage [2006/08/08(火) 19:14:33 ] >>241 ＞なんじゃそりゃ。 ＞そんな無茶苦茶な説明なんか参考にしないで、RFC読め。 おお、やはりガセでしたか。 本家（特に英語の）の説明を読むのはどうも億劫で、ついググって分かりやすく解説してるサイトを探しがちで… やはりこういうのは公式のを読まなきゃだめっすね。猛省します。 ありがとうございました。 243 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/11(金) 00:15:14 ] 質問です。 【環境】 クライアント putty <==> FW <==> サーバ openSSH3.9 鍵認証方式 sshdの待機ポートをわけあって2つ(22, HOGE)にしたいと思っています。 そこでsshd_config内に --------------------------------------- Port 22 Port HOGE --------------------------------------- を追加し、sshdの再起動を行いました。 クライアントから接続すると、22番では接続可能なのですが、HOGEでは接続出来ません。 サーバのパケットダンプ(tcpdump tcp port HOGE -n)を見ると、サーバには届いているように見受けられます。 しかしputtyのログをみると、サーバには届いていて、sshdのバージョン情報？までは取れているのにもかかわらず、認証手続きが始まらない状態です。 サーバ側で"netstat -pln"、"nmap サーバのIP"等で確認しましたが、22：HOGEポートはLISTEN状態でした。 サーバ側の"/var/log/secure"、"/var/log/message"等には何も出力されていませんでした。 FWのポートが開いている事は確認済みです。 現在手元に環境が無いので詳細を書くことは出来ませんが、どなたか原因がわかる方はいらっしゃらないでしょうか？ 244 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/30(水) 03:02:29 ] global-IPからは鍵認証 local-IPからは鍵もしくはパスワード認証 ってのをやろうとしたら、やっぱりsshd二つ動かすのが近道になっちまう？ 245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/02(土) 00:31:32 ] fall back to password でいいんじゃないの? あるいは、-o PasswordAuthentication とか。 246 名前：名無しさん@お腹いっぱい [2006/09/03(日) 15:23:29 ] 4.4p1そろそろみたいね。 春山さんのところに出てた話で、予定されてる追加機能("Match"命令)興味あるなぁ。 パッチ当てずにchroot出来るならその方が良いんだが、どうなんだろう? ちょっぴり期待 247 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/10(日) 01:01:57 ] 　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿ 　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　　| 　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜　新バージョン4.4(p1)まだーーーーーーーー！！？　＞ 　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　＿　 ＿　＿　＿　＿　＿　＿　＿　＿| 　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨ 　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪ 　　　　　　　　　＝≡＝　∧＿∧　　　　　☆ 　　　　　　♪ 　　／　〃（･∀･ #）　　　　/　ｼｬﾝｼｬﾝ 　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ 　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　|| 　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪ 　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼ 　　　　　　　　　ﾄﾞﾁﾄﾞﾁ! （※出典：ttp://dokoaa.com/mada-.html） 248 名前：名無しさん@お腹いっぱい [2006/09/10(日) 09:08:41 ] >247 ﾄﾞﾗﾑうまいねぇ 249 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/09/18(月) 05:14:30 ] 社内に設置してあるサーバーの管理を任されたのですが 社員が数人、外部からSSHで接続することもあり 動的IPの人もいるのでIP制限をするわけでもなく IDとパスワードさえあれば、どこからでも入れてしまいます。 一週間ログを取ってみたら毎日、辞書アタックや ブルートフォースを食らっているのでiptablesで何らかの対応するか 公開鍵認証にしたほうがいいと上司に提案したのですが それくらいのアタックなら大丈夫と言われました。 いくら乗っ取られる確率が低いといっても いつ当たりを引くかわからないと思うのですが 僕が間違ってるのでしょうか ちなみに顧客の個人情報を扱ってるサーバーです･･･ 250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 07:29:07 ] 上司を張った押してでも、セキュアな設定をしてしまえ 251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 07:43:47 ] > それくらいのアタックなら大丈夫と言われました。 しらばっくれる可能性大なので、大丈夫と判断した根拠を文書で 貰っときましょう。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef