SSH その5

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 246 KB / Number-of Response : 982
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 07:13:39 ]: PasswordAuthentication no なら問題なし
278 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 07:19:54 ]: 接続拒否と接続無視は違うのだが。

もちろん、PasswordAuthentication noだし、AllowUsersも
設定している。
279 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 08:03:18 ]: これ以上何が聞きたいんだか
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 09:38:48 ]: そんなことはどうでもいいから、接続元IPによってconfig切り替えれる機能付けてくれよ

bindみたいに書けると完璧
281 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 09:58:29 ]: ローカルネットワークからはパスワード
それ以外からは公開鍵認証にしたいのですが
どうすればできますか？
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 10:09:25 ]: ローカルアドレスとそれ以外のアドレスでlistenする複数のsshdを起動しとけばよい。
283 名前：名無しさん＠お腹いっぱい。 [2006/09/22(金) 11:01:15 ]: ちょっと質問があります。

まず、前提条件として、以下の点について質問させてください。
パスワード認証を使わず、公開鍵認証で接続を行う場合、
クライアント側に秘密鍵を置く必要がありますよね。

その上で質問です。接続するクライアントA、サーバーとBとCがあった場合、

　クライアントA → サーバーB → サーバーC

と言ったように、多段に接続したいのですが、
（サーバーBには直接接続できない）

・秘密鍵をクライアントAにだけおき、サーバーBにおきたくない
・できるだけ簡単に接続する方法はないか

といったようなことはできますでしょうか？
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 11:28:29 ]: >>283
ssh-agentのフォワード機能で普通にできる。
設定によっては ssh -A のオプションが必要。
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 11:37:55 ]: 置かないというのはできる。
ssh(1)
-A Enables forwarding of the authentication agent connection. This
can also be specified on a per-host basis in a configuration
file.
Agent forwarding should be enabled with caution. Users with the
ability to bypass file permissions on the remote host (for the
agent's Unix-domain socket) can access the local agent through
the forwarded connection. An attacker cannot obtain key material
from the agent, however they can perform operations on the keys
that enable them to authenticate using the identities loaded into
the agent.
しかし、Bの特権を持っている人は秘密鍵を使うことは出来る(秘密鍵本体は盗めない)。
俺は、秘密鍵を使う時はポップアップで確認するようputtyのpagent(authentication
agent)を改造してつかっている。
286 名前：283 [2006/09/22(金) 11:41:06 ]: ＞（サーバーBには直接接続できない）
ごめん違った
　（サーバーCには直接接続できない）
でした
287 名前：283 [2006/09/22(金) 14:32:59 ]: 調べたら、いろいろでてきました。

cl.pocari.org - connect を使って簡単に多段 SSH を実現する方法
cl.pocari.org/2006-09-04-2.html
connect.cを使う方法

cl.pocari.org - SSH で多段接続？
cl.pocari.org/2004-12-19-1.html
ssh-agentを使う方法

cl.pocari.org - SSH でポートフォワード
cl.pocari.org/2005-01-24-2.html
wakaran

どれが簡単な方法か、試してみようと思います。
-A使う方法がいまいちわかりませんが、また調べてみます
288 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 14:44:27 ]: >>287
せっかく回答もらってるのにそれは無視かい?
余計なこと調べなくていい。
ssh-agent 実行済みで、ふつうに ssh hostB ができる状態で、
ssh -A hostB するだけ。
で、hostB において ssh hostC すればそのまま入れる。
それだけ。
289 名前：283 mailto:sage [2006/09/22(金) 15:57:33 ]: >>288
ごめんなさい。
そっちでやってみます。
290 名前：283 mailto:sage [2006/09/22(金) 16:54:14 ]: $ ssh-agent bash
$ ssh -A (hostB) -i (hostCの秘密鍵)
パスフレーズ入力
hostBのパスワード入力

hostBで、
$ ssh hostC
Permission denied (publickey).
と言われました？
んんん。
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 16:59:37 ]: >>290
おまえ、ssh-agent自体の使い方知らんのちゃうか?

$ ssh-agent bash
$ ssh-add
(パスフレーズ入力)

$ ssh -A hostB

hostB$ ssh hostC

hostC$

↑これだけだよ。
292 名前：283 [2006/09/22(金) 17:05:15 ]: >>291
いけました！

$ eval `ssh-agent`
$ ssh-add (hostCの秘密鍵)
(パスフレーズ入力)
$ ssh -A hostB

hostB $ ssh hostC

で、おｋですね。

ssh-agentで、秘密鍵を覚えさせとかないといけないんですね

つきあっていただいて、ありがとうございました。
293 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 18:34:25 ]: 3段活用できませんかね
host1 -> host2 -> host3 -> host4
を1発でログインできたりといった感じで…
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 20:51:50 ]: ssh -A host2 ssh -A host3 ssh host4
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 20:58:22 ]: >>294
やってみればわかるけど、それだと「無端末」状態になるので、
シェルのプロンプトは出ないし、viとか画面制御系コマンドが起動できないし、
とにかく、普通にsshで直接ログインしたのとは違う状態になるよ。
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 21:09:44 ]: んなら
ssh -A -t host2 ssh -A -t host3 ssh -t host4
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 23:48:27 ]: 多段sshを一発でやる方法があったのか

いいこと知った
298 名前：283 [2006/09/22(金) 23:56:45 ]: わおｗ

> $ ssh -A hostB
> hostB $ ssh hostC
これは、

$ ssh -A -t hostB ssh -t hostC

でいけるんですね。
すげｗ
evalとこもshellにでもしたらもっと楽になるな
299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:01:40 ]: 多段でscpしようとおもったらどうすれば？
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:08:37 ]: がんばりなさい
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:23:32 ]: ssh -A host2 ssh -A host3 ssh host4 tar cf - hoge| tar -vf -
302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:35:13 ]: >>301
tar -v ??

あと、tarはscpじゃないし。
303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 01:31:30 ]: > 299

scp -oProxyCommand='ssh hostA netcat hostB 22' file hostB:

なんて、どう？
304 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 01:34:53 ]: 昔、多段sftpやろうとしたらcore吐いて落ちた
305 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/24(日) 16:25:59 ]: sshdに対するアタックを減らすために、ポート番号を22以外に変更したいのですが、
どこで設定すればよいのでしょうか？
306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/24(日) 16:28:25 ]: >>305
sshd_configに記述、または sshdの起動スクリプトで sshd -p オプションで指定。
307 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:31:28 ]: 鍵+パスフレーズを利用してsshを利用しているのですが、
ログインに時間がかかります。
12、13秒ほどかかります。

これって、こういうものですか？

鍵は、DSA 768bitです。
パスフレーズは、8文字程度です。
308 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:32:54 ]: すいません、マシンのスペック書き忘れました。

ローカルホスト： PentiumD 3GHz、メモリ 2GB
リモートホスト： Celeron(R) 2.53GHz、メモリ 512MB

です。
309 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:34:40 ]: 一応、sshのバージョンも
ローカルホスト：ssh cygwin OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
リモートホスト：sshd OpenSSH_4.2p1 Debian-7ubuntu3, OpenSSL 0.9.8a 11 Oct 2005
310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 08:01:03 ]: >>307
DNS まわりじゃないの？
サーバ側でクライアントの IP アドレスを逆引きできないとか。
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 08:38:01 ]: 本当にDNS逆引きが原因だった場合は、
↓を読んで、環境を晒してしまったことを後悔しましょう。
pc8.2ch.net/test/read.cgi/unix/1159025791/13
312 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 08:51:47 ]: >>310
問題なく逆引きできました。
サーバーもクライアントも、DNSに登録されています。
313 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 08:52:20 ]: >>311
これくらいの情報で、個人が特定できるものなんでしょうか・・・
314 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 13:14:22 ]: DNS まわりが原因の場合は12,3秒では済まない。
普通は分のオーダーになる
315 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 14:13:59 ]: >>307

sshd_configに

UseDNS no

って書くと早くなるかも。
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 14:47:15 ]: PasswordAuthentication

をオプションで明示してみれば? fall back が遅いのであれば、-v で大体検討はつくので試してみるべし。

ssh って、packet lengthあたりにバグが残っていて巨大なパケットを吐いている形跡なくない?
317 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 19:31:30 ]: ssh でユーザー認証できないと言われ、
ログインできないユーザーがあるのですが、どういったことが考えられますか？

・公開鍵を使っている
・同じ鍵で、別ユーザーではログインできている
・AllowUsers/DenyUsersは、sshd_configに書いていない。
・PasswordAuthentication = noで、パスワード入力は許可していない。
しかし、PasswordAuthentication = yesのときは、普通に入れた。
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 19:54:39 ]: authorized_keysの書き方が変
authorized_keysのパーミッションが変
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:09:14 ]: .sshのパーミッションが変
~のパーミッションが変
320 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 20:09:40 ]: >>318
ログイン出来るユーザーからコピーしてもダメでした。
chmod 600 authorized_keys
chmod 644 authorized_keys
両方ダメでした。

何故だ・・・困った。
ユーザー変えただけだのに・・・
321 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:16:05 ]: chown user authorized_keys
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:26:04 ]: local$ chmod 600 ~/.ssh/identity ~/.ssh/id_dsa ~/.ssh/id_rsa
323 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 20:39:09 ]: >>319
.ssh 700
~ 775

>>321
(~と同じ)ログインしたいユーザー名になってた

>>322
そのようなファイル郡はありません。
ログインできているユーザーにもありません。
324 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 20:41:19 ]: >>322
あ、ローカルか。
Poderosaなので、その辺関係あるのかな？
325 名前：317=320=323 [2006/09/25(月) 20:52:49 ]: 紛らわしいので、名前つけました。

cygwinのsshからだと接続できました。
しかしながら、

> ssh (IPアドレス) -l （ユーザー名） -i (キー名)
Enter passphrase for key '(キー名)': ←パスフレーズを入力する
(ユーザー名)@(ホスト名)'s password: ←ユーザーのパスワードを入力する
ログイン出来る

という二段認証になっています・・・？
Poderosaや、WinSCPでログインできないのはこのせいでしょうか？

Poderosaでログインできたユーザーでは、
普通どおり、最初のパスフレーズのみを聞いてきます。
326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:56:35 ]: ~ を755にしてみそ
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:12:22 ]: なんつーか、間違ったアドバイスする人多いね、このスレ。
あまり参考にしない方がいいよ。
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:15:16 ]: 正しいアドバイスしてから言えば
329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:16:54 ]: 正しいアドバイス：

(a) 死ね！
(b) 七輪と煉炭
(c) 樹海
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:21:25 ]: ~ は 700 でログインできる。
authorized_keys のパーミッションとかは関係ない。
↑の点に付いて言ってるアドバイスは間違い。

ローカル側の identity id_dsa id_rsa は、
自分以外が読めるパーミッションではいけない。
331 名前：317 [2006/09/25(月) 21:58:41 ]: >>326
同グループで書き込めなくなっちゃうよ・・・
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:21:04 ]: ssh -v での様子も張り付けず
sshd のログも張り付けず

な香具師は放置
333 名前：326 mailto:sage [2006/09/25(月) 22:35:23 ]: >>331
俺が以前嵌った時と同じ嵌り方してるんだから、文句言うな！ｗ
334 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:41:54 ]: だからぁ～、~ のパーミッションは無関係だって
335 名前：317 [2006/09/25(月) 22:46:11 ]: >>332
>>311を読んで、できるだけ情報を晒さないようにしたのですが、ヒドイ・・・うう
でも、解決したいので、晒してみます。
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:46:42 ]: >>325
それは、二段認証になってたのじゃなくて、
公開キーでの認証に失敗したから、UNIXパスワードで認証されたの。

で、>>317 では「PasswordAuthentication = noで、パスワード入力は許可していない」
と言ってるのに、これと状況が食い違っている。
もう一度状況を整理すること。

で、ssh -v のログを貼ること。でないとマトモな人間は答えてくれないし、
「知ったか」が間違ったアドバイスをするだけ。既にされてるけど。
337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:47:53 ]: >>311 のネタを真に受けていたとはｗ
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:49:55 ]: 騙されたと思ってchmod go-w ~ をやれ
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:50:26 ]: いや、騙してないからやれ。
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:51:31 ]: この際グループでの書き込みはあきらめてやれ。
341 名前：317 [2006/09/25(月) 22:53:59 ]: -v 晒します

> ssh (リモートのIP) -l (ユーザー名) -i (秘密鍵) -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (リモートのIP) [(リモートのIP)] port 22.
debug1: Connection established.
debug1: identity file (秘密鍵) type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(リモートのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey

%
342 名前：317 [2006/09/25(月) 22:54:37 ]: debug1: Trying private key: (秘密鍵)
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key '(秘密鍵)':
debug1: read PEM private key done: type DSA
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
(ユーザー名)@(リモートのIP)'s password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Last login: Mon Sep 25 22:48:07 2006 from (前回ログインしたローカルホスト)
OpenBSD 3.8-stable (GENERIC) #1: Tue May 9 19:59:50 JST 2006
343 名前：317 [2006/09/25(月) 22:56:27 ]: >>336
すみません。
直後、ログインできねえ、とブーブー言われたので、
PasswordAuthentication = yes にしたのでした orz

>>338
試してみます。
344 名前：317 [2006/09/25(月) 23:02:04 ]: >>338
ｷﾀ━━━━━━（ﾟ∀ﾟ）━━━━━━ !!
ログインできたぁぁぁぁぁぁぁぁぁぁぁーーーーーーー
これだけのことなのかーーーーーーー

みなさま、付き合っていただきありがとうございました。

グループでの書き込みは諦めます・・・あぅあぅ orz
345 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:13:51 ]: >>344
それだけの事に俺も以前はまったんだーーーーーーーっ
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:16:04 ]: >>334
プププ
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:18:04 ]: んで、君のおかげで~/.がグループから書き込めるようになってると
SSHにどんな穴が開くか今ひらめいたよorz
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:25:22 ]: strictmode no

お勧めはせん
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:53:24 ]: linux のなんかのディストリビューションだと
umask 002
になってて、考えずにauthorized_keysを作成すると
グループにwビットが立ってsloginできない事があったなそういえば。
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/26(火) 03:17:52 ]: RedHat 7.x とかね。要らんことすんな死ねクソと思った。
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/26(火) 04:26:56 ]: >>323
それ、ウチの若いのも報告書に書いて、
そのまま客先に行って恥かいて困ってるのよ。

「おめーの田舎は、茨城県サーバ郡か?」
って言っても気付いてくれない。
352 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/09/27(水) 04:21:00 ]: セキュリティホール memo (2006.09.26) より
[SA22091] OpenSSH Identical Blocks Denial of Service Vulnerability
www.st.ryukoku.ac.jp/~kjm/security/memo/2006/09.html#20060926_OpenSSH

ぬゎんだコレは！　(@~@)!!　寝耳に水というか何というか。。
（注：既に修正済み）

んで、SSHプロトコルver.1 って有効にしてるところって多いのかな。（デフォルト
では、両方とも有効になっている。Protocolオプションのデフォルトは"2,1"）

4.4(p1)がリリースされれば速攻でアップグレードしなきゃならんなぁ。。
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 07:37:16 ]: ｹﾞﾗｹﾞﾗ
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 14:28:26 ]: なあに、かえって Protocol 2 に設定変更する言い訳になる。
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 16:23:07 ]: Compression delayedはCompression yesと比較して何かメリットがあるのですか？
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 19:06:58 ]: >>355
zlib に穴あっても攻撃されづらくなるんじゃね？
357 名前：名無しさん＠お腹いっぱい。 [2006/09/28(木) 18:46:05 ]: 4.4p1が出たのに誰のｶｷｺもない件

…FreeBSDでビルドしようとしたけど、警告(warning)が出るわ出るわ。。orz
358 名前：307 [2006/09/28(木) 19:00:42 ]: ログインが遅いと言っていた者です。

どうも、特定のホストで遅くなるようです。
Ubuntuで遅くなる。
CentOS、OpenBSDの場合は、普通に瞬間的にログイン。

DNSはどれも逆引きできています。
359 名前：307 [2006/09/28(木) 19:01:32 ]: 全てOSはサーバー側です。

鍵も同じもので調べました。
クライアントは、Windows(Poderosa、及びcygwin+ssh)です。
360 名前：名無しさん@お腹いっぱい [2006/09/28(木) 21:32:48 ]: 4.4p1うちにもｷﾀｰ
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/28(木) 22:51:02 ]: 変更点by春山さんｷﾀ*･゜ﾟ･*:.｡..｡.:*･゜(ﾟ∀ﾟ)ﾟ･*:.｡. .｡.:*･゜ﾟ･*!!!!!
www.unixuser.org/%7Eharuyama/security/openssh/henkouten/henkouten_4.4.txt
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/29(金) 18:22:29 ]: 4.4にchroot patchを当てようと思い以下にアクセスしたけど404…。
ここの活動状況について知ってる人いますか？

chrootssh.sourceforge.net/index.php
363 名前：307 [2006/09/29(金) 22:43:01 ]: -v 張ってみます。

> ssh (サーバーのIP) -i ~/.ssh/key.openssh -p ****** -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (サーバーのIP) [(サーバーのIP)] port 25672.
debug1: Connection established.
debug1: identity file /home/.ssh/key.openssh type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: match: OpenSSH_4.2p1 Debian-7ubuntu3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(サーバーのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:8
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/.ssh/key.openssh
debug1: PEM_read_PrivateKey failed
364 名前：307 [2006/09/29(金) 22:45:12 ]: debug1: read PEM private key done: type <unknown>
Enter passphrase for key '/home/.ssh/key.openssh':
debug1: read PEM private key done: type DSA

ここで、10秒ほど、時間が掛かる

debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Linux **** 2.6.15-27-server #1 SMP Sat Sep 16 02:57:21 UTC 2006 i686 GNU/Linux

認証に時間がかかっている雰囲気です。なぞです。

PasswordAuthentication no です。
365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 01:06:52 ]: >>364 toby さん
サーバ側の sshd -d も試したら?
366 名前：307 [2006/09/30(土) 10:55:49 ]: >>365
いきなり、名前呼ばれてびびったｗ
消し忘れかYO!!

試してみます。
367 名前：307 mailto:sage [2006/09/30(土) 11:09:27 ]: $ sudo /usr/sbin/sshd -d
debug1: sshd version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: read PEM private key done: type RSA
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
debug1: Bind to port (ポート番号) on ::.
Server listening on :: port (ポート番号).
debug1: Bind to port (ポート番号) on 0.0.0.0.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 4 out 4 newsock 4 pipe -1 sock 7
debug1: inetd sockets after dupping: 3, 3
Connection from (クライントIP) port 4435
debug1: Client protocol version 2.0; client software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.2p1 Debian-7ubuntu3
debug1: permanently_set_uid: 100/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: An invalid name was supplied
Configuration file does not specify default realm

debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
368 名前：307 mailto:sage [2006/09/30(土) 11:09:58 ]: debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user (ユーザー名) service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "(ユーザー名)"
Failed none for (ユーザー名) from (クライアントIP) port 4435 ssh2
debug1: userauth-request for user (ユーザー名) service ssh-connection method publickey
debug1: attempt 1 failures 1

ここで辺で時間がかかっている

debug1: PAM: setting PAM_RHOST to "(クライアントのホスト名)"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/(ユーザー名)/.ssh/authorized_keys
debug1: matching key found: file /home/(ユーザー名)/.ssh/authorized_keys, line 1
Found matching DSA key: ********************************************
debug1: restore_uid: 0/0
debug1: ssh_dss_verify: signature correct
debug1: do_pam_account: called
Accepted publickey for (ユーザー名) from (クライアントIP) port 4435 ssh2
debug1: monitor_child_preauth: (ユーザー名) has been authenticated by privileged process
Accepted publickey for (ユーザー名) from (クライアントIP) port 4435 ssh2
369 名前：307 [2006/09/30(土) 11:10:55 ]: debug1: PAM: reinitializing credentials
debug1: permanently_set_uid: 1000/1000
debug1: Entering interactive session for SSH2.
debug1: server_init_dispatch_20
debug1: server_input_channel_open: ctype session rchan 0 win 65536 max 16384
debug1: input_session_request
debug1: channel 0: new [server-session]
debug1: session_new: init
debug1: session_new: session 0
debug1: session_open: channel 0
debug1: session_open: session 0: link with channel 0
debug1: server_input_channel_open: confirm session
debug1: server_input_channel_req: channel 0 request pty-req reply 0
debug1: session_by_channel: session 0 channel 0
debug1: session_input_channel_req: session 0 req pty-req
debug1: Allocating pty.
debug1: session_new: init
debug1: session_new: session 0
debug1: session_pty_req: session 0 alloc /dev/pts/1
debug1: server_input_channel_req: channel 0 request shell reply 0
debug1: session_by_channel: session 0 channel 0
debug1: session_input_channel_req: session 0 req shell
debug1: PAM: setting PAM_TTY to "/dev/pts/1"
debug1: Setting controlling tty using TIOCSCTTY.

みたいな感じです。
PAMが問題なのかなぁ？
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 11:17:06 ]: >>366
今は個人情報保護の時代です。
OSやアプリのバージョン、ハードウェアの情報、設定ファイルの内容からも
ある程度個人の特定が可能です。質問の際にはなるべくOSやアプリのバージョン、
ハードウェアの情報、設定ファイルの内容を書かず、
最小限の情報だけで回答を貰えばラッキーというスタンスで臨みましょう。
371 名前：307 [2006/09/30(土) 11:34:48 ]: UsePAM no
にしてもダメっぽいです。遅いまま。

>>370
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 13:33:20 ]: pam_sshを無効にする。
sshプライベートキーのパスフレーズとログインパスワードを一致させる。
373 名前：名無しさん＠お腹いっぱい。 [2006/09/30(土) 14:18:26 ]: クライアントが原因だと思うのですがwindowsのttsshにてLinuxサーバへsshで接続する時に
Sep 30 14:12:43 hogehoge.net sshd(pam_unix)[2192]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=XXX.XXX.XXX.XXX user=Hogehoge
Sep 30 14:12:45 hogehoge.net sshd(pam_unix)[2194]: session opened for user Hogehoge by (uid=500)
といったように必ず1行目のNODEVsshで認証に失敗しています。
これを起こらないようにするttsshの設定をご存じの方はいらっしゃいますでしょうか？
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 14:39:51 ]: >>373
自己レスです
上記の認証エラーが発生するのはサーバがRedhat9の場合のみでRedhat7.3では発生していないのでサーバ側の問題かと思います
375 名前：307 [2006/09/30(土) 15:01:50 ]: >>372
sudo grep -R pam_ssh /etc/*
しましたが、特にpamの設定はされていないようです。

パスフレーズとログインパス一緒にしても変わりませんでした。

むむむ。
376 名前：307 mailto:sage [2006/09/30(土) 15:18:27 ]: nslookupでちゃんと逆引きできるのになーと思いつつ、
念のため、/etc/hostsにホスト情報書いたら、
普通にすばやくログインできるようになりました・・・なんでだろ('A`)

いろいろ、ご迷惑かけてしまいました。
ありがとうございました。
377 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 15:20:00 ]: >>375
grep は -i つけなきゃいかんよ。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef