SSH その5

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 246 KB / Number-of Response : 982
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 20:51:50 ]: ssh -A host2 ssh -A host3 ssh host4
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 20:58:22 ]: >>294
やってみればわかるけど、それだと「無端末」状態になるので、
シェルのプロンプトは出ないし、viとか画面制御系コマンドが起動できないし、
とにかく、普通にsshで直接ログインしたのとは違う状態になるよ。
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 21:09:44 ]: んなら
ssh -A -t host2 ssh -A -t host3 ssh -t host4
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 23:48:27 ]: 多段sshを一発でやる方法があったのか

いいこと知った
298 名前：283 [2006/09/22(金) 23:56:45 ]: わおｗ

> $ ssh -A hostB
> hostB $ ssh hostC
これは、

$ ssh -A -t hostB ssh -t hostC

でいけるんですね。
すげｗ
evalとこもshellにでもしたらもっと楽になるな
299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:01:40 ]: 多段でscpしようとおもったらどうすれば？
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:08:37 ]: がんばりなさい
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:23:32 ]: ssh -A host2 ssh -A host3 ssh host4 tar cf - hoge| tar -vf -
302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:35:13 ]: >>301
tar -v ??

あと、tarはscpじゃないし。
303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 01:31:30 ]: > 299

scp -oProxyCommand='ssh hostA netcat hostB 22' file hostB:

なんて、どう？
304 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 01:34:53 ]: 昔、多段sftpやろうとしたらcore吐いて落ちた
305 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/24(日) 16:25:59 ]: sshdに対するアタックを減らすために、ポート番号を22以外に変更したいのですが、
どこで設定すればよいのでしょうか？
306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/24(日) 16:28:25 ]: >>305
sshd_configに記述、または sshdの起動スクリプトで sshd -p オプションで指定。
307 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:31:28 ]: 鍵+パスフレーズを利用してsshを利用しているのですが、
ログインに時間がかかります。
12、13秒ほどかかります。

これって、こういうものですか？

鍵は、DSA 768bitです。
パスフレーズは、8文字程度です。
308 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:32:54 ]: すいません、マシンのスペック書き忘れました。

ローカルホスト： PentiumD 3GHz、メモリ 2GB
リモートホスト： Celeron(R) 2.53GHz、メモリ 512MB

です。
309 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:34:40 ]: 一応、sshのバージョンも
ローカルホスト：ssh cygwin OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
リモートホスト：sshd OpenSSH_4.2p1 Debian-7ubuntu3, OpenSSL 0.9.8a 11 Oct 2005
310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 08:01:03 ]: >>307
DNS まわりじゃないの？
サーバ側でクライアントの IP アドレスを逆引きできないとか。
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 08:38:01 ]: 本当にDNS逆引きが原因だった場合は、
↓を読んで、環境を晒してしまったことを後悔しましょう。
pc8.2ch.net/test/read.cgi/unix/1159025791/13
312 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 08:51:47 ]: >>310
問題なく逆引きできました。
サーバーもクライアントも、DNSに登録されています。
313 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 08:52:20 ]: >>311
これくらいの情報で、個人が特定できるものなんでしょうか・・・
314 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 13:14:22 ]: DNS まわりが原因の場合は12,3秒では済まない。
普通は分のオーダーになる
315 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 14:13:59 ]: >>307

sshd_configに

UseDNS no

って書くと早くなるかも。
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 14:47:15 ]: PasswordAuthentication

をオプションで明示してみれば? fall back が遅いのであれば、-v で大体検討はつくので試してみるべし。

ssh って、packet lengthあたりにバグが残っていて巨大なパケットを吐いている形跡なくない?
317 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 19:31:30 ]: ssh でユーザー認証できないと言われ、
ログインできないユーザーがあるのですが、どういったことが考えられますか？

・公開鍵を使っている
・同じ鍵で、別ユーザーではログインできている
・AllowUsers/DenyUsersは、sshd_configに書いていない。
・PasswordAuthentication = noで、パスワード入力は許可していない。
しかし、PasswordAuthentication = yesのときは、普通に入れた。
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 19:54:39 ]: authorized_keysの書き方が変
authorized_keysのパーミッションが変
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:09:14 ]: .sshのパーミッションが変
~のパーミッションが変
320 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 20:09:40 ]: >>318
ログイン出来るユーザーからコピーしてもダメでした。
chmod 600 authorized_keys
chmod 644 authorized_keys
両方ダメでした。

何故だ・・・困った。
ユーザー変えただけだのに・・・
321 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:16:05 ]: chown user authorized_keys
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:26:04 ]: local$ chmod 600 ~/.ssh/identity ~/.ssh/id_dsa ~/.ssh/id_rsa
323 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 20:39:09 ]: >>319
.ssh 700
~ 775

>>321
(~と同じ)ログインしたいユーザー名になってた

>>322
そのようなファイル郡はありません。
ログインできているユーザーにもありません。
324 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 20:41:19 ]: >>322
あ、ローカルか。
Poderosaなので、その辺関係あるのかな？
325 名前：317=320=323 [2006/09/25(月) 20:52:49 ]: 紛らわしいので、名前つけました。

cygwinのsshからだと接続できました。
しかしながら、

> ssh (IPアドレス) -l （ユーザー名） -i (キー名)
Enter passphrase for key '(キー名)': ←パスフレーズを入力する
(ユーザー名)@(ホスト名)'s password: ←ユーザーのパスワードを入力する
ログイン出来る

という二段認証になっています・・・？
Poderosaや、WinSCPでログインできないのはこのせいでしょうか？

Poderosaでログインできたユーザーでは、
普通どおり、最初のパスフレーズのみを聞いてきます。
326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 20:56:35 ]: ~ を755にしてみそ
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:12:22 ]: なんつーか、間違ったアドバイスする人多いね、このスレ。
あまり参考にしない方がいいよ。
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:15:16 ]: 正しいアドバイスしてから言えば
329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:16:54 ]: 正しいアドバイス：

(a) 死ね！
(b) 七輪と煉炭
(c) 樹海
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 21:21:25 ]: ~ は 700 でログインできる。
authorized_keys のパーミッションとかは関係ない。
↑の点に付いて言ってるアドバイスは間違い。

ローカル側の identity id_dsa id_rsa は、
自分以外が読めるパーミッションではいけない。
331 名前：317 [2006/09/25(月) 21:58:41 ]: >>326
同グループで書き込めなくなっちゃうよ・・・
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:21:04 ]: ssh -v での様子も張り付けず
sshd のログも張り付けず

な香具師は放置
333 名前：326 mailto:sage [2006/09/25(月) 22:35:23 ]: >>331
俺が以前嵌った時と同じ嵌り方してるんだから、文句言うな！ｗ
334 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:41:54 ]: だからぁ～、~ のパーミッションは無関係だって
335 名前：317 [2006/09/25(月) 22:46:11 ]: >>332
>>311を読んで、できるだけ情報を晒さないようにしたのですが、ヒドイ・・・うう
でも、解決したいので、晒してみます。
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:46:42 ]: >>325
それは、二段認証になってたのじゃなくて、
公開キーでの認証に失敗したから、UNIXパスワードで認証されたの。

で、>>317 では「PasswordAuthentication = noで、パスワード入力は許可していない」
と言ってるのに、これと状況が食い違っている。
もう一度状況を整理すること。

で、ssh -v のログを貼ること。でないとマトモな人間は答えてくれないし、
「知ったか」が間違ったアドバイスをするだけ。既にされてるけど。
337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:47:53 ]: >>311 のネタを真に受けていたとはｗ
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:49:55 ]: 騙されたと思ってchmod go-w ~ をやれ
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:50:26 ]: いや、騙してないからやれ。
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 22:51:31 ]: この際グループでの書き込みはあきらめてやれ。
341 名前：317 [2006/09/25(月) 22:53:59 ]: -v 晒します

> ssh (リモートのIP) -l (ユーザー名) -i (秘密鍵) -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (リモートのIP) [(リモートのIP)] port 22.
debug1: Connection established.
debug1: identity file (秘密鍵) type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(リモートのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey

%
342 名前：317 [2006/09/25(月) 22:54:37 ]: debug1: Trying private key: (秘密鍵)
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key '(秘密鍵)':
debug1: read PEM private key done: type DSA
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
(ユーザー名)@(リモートのIP)'s password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Last login: Mon Sep 25 22:48:07 2006 from (前回ログインしたローカルホスト)
OpenBSD 3.8-stable (GENERIC) #1: Tue May 9 19:59:50 JST 2006
343 名前：317 [2006/09/25(月) 22:56:27 ]: >>336
すみません。
直後、ログインできねえ、とブーブー言われたので、
PasswordAuthentication = yes にしたのでした orz

>>338
試してみます。
344 名前：317 [2006/09/25(月) 23:02:04 ]: >>338
ｷﾀ━━━━━━（ﾟ∀ﾟ）━━━━━━ !!
ログインできたぁぁぁぁぁぁぁぁぁぁぁーーーーーーー
これだけのことなのかーーーーーーー

みなさま、付き合っていただきありがとうございました。

グループでの書き込みは諦めます・・・あぅあぅ orz
345 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:13:51 ]: >>344
それだけの事に俺も以前はまったんだーーーーーーーっ
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:16:04 ]: >>334
プププ
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:18:04 ]: んで、君のおかげで~/.がグループから書き込めるようになってると
SSHにどんな穴が開くか今ひらめいたよorz
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:25:22 ]: strictmode no

お勧めはせん
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 23:53:24 ]: linux のなんかのディストリビューションだと
umask 002
になってて、考えずにauthorized_keysを作成すると
グループにwビットが立ってsloginできない事があったなそういえば。
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/26(火) 03:17:52 ]: RedHat 7.x とかね。要らんことすんな死ねクソと思った。
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/26(火) 04:26:56 ]: >>323
それ、ウチの若いのも報告書に書いて、
そのまま客先に行って恥かいて困ってるのよ。

「おめーの田舎は、茨城県サーバ郡か?」
って言っても気付いてくれない。
352 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/09/27(水) 04:21:00 ]: セキュリティホール memo (2006.09.26) より
[SA22091] OpenSSH Identical Blocks Denial of Service Vulnerability
www.st.ryukoku.ac.jp/~kjm/security/memo/2006/09.html#20060926_OpenSSH

ぬゎんだコレは！　(@~@)!!　寝耳に水というか何というか。。
（注：既に修正済み）

んで、SSHプロトコルver.1 って有効にしてるところって多いのかな。（デフォルト
では、両方とも有効になっている。Protocolオプションのデフォルトは"2,1"）

4.4(p1)がリリースされれば速攻でアップグレードしなきゃならんなぁ。。
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 07:37:16 ]: ｹﾞﾗｹﾞﾗ
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 14:28:26 ]: なあに、かえって Protocol 2 に設定変更する言い訳になる。
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 16:23:07 ]: Compression delayedはCompression yesと比較して何かメリットがあるのですか？
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/27(水) 19:06:58 ]: >>355
zlib に穴あっても攻撃されづらくなるんじゃね？
357 名前：名無しさん＠お腹いっぱい。 [2006/09/28(木) 18:46:05 ]: 4.4p1が出たのに誰のｶｷｺもない件

…FreeBSDでビルドしようとしたけど、警告(warning)が出るわ出るわ。。orz
358 名前：307 [2006/09/28(木) 19:00:42 ]: ログインが遅いと言っていた者です。

どうも、特定のホストで遅くなるようです。
Ubuntuで遅くなる。
CentOS、OpenBSDの場合は、普通に瞬間的にログイン。

DNSはどれも逆引きできています。
359 名前：307 [2006/09/28(木) 19:01:32 ]: 全てOSはサーバー側です。

鍵も同じもので調べました。
クライアントは、Windows(Poderosa、及びcygwin+ssh)です。
360 名前：名無しさん@お腹いっぱい [2006/09/28(木) 21:32:48 ]: 4.4p1うちにもｷﾀｰ
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/28(木) 22:51:02 ]: 変更点by春山さんｷﾀ*･゜ﾟ･*:.｡..｡.:*･゜(ﾟ∀ﾟ)ﾟ･*:.｡. .｡.:*･゜ﾟ･*!!!!!
www.unixuser.org/%7Eharuyama/security/openssh/henkouten/henkouten_4.4.txt
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/29(金) 18:22:29 ]: 4.4にchroot patchを当てようと思い以下にアクセスしたけど404…。
ここの活動状況について知ってる人いますか？

chrootssh.sourceforge.net/index.php
363 名前：307 [2006/09/29(金) 22:43:01 ]: -v 張ってみます。

> ssh (サーバーのIP) -i ~/.ssh/key.openssh -p ****** -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (サーバーのIP) [(サーバーのIP)] port 25672.
debug1: Connection established.
debug1: identity file /home/.ssh/key.openssh type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: match: OpenSSH_4.2p1 Debian-7ubuntu3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(サーバーのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:8
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/.ssh/key.openssh
debug1: PEM_read_PrivateKey failed
364 名前：307 [2006/09/29(金) 22:45:12 ]: debug1: read PEM private key done: type <unknown>
Enter passphrase for key '/home/.ssh/key.openssh':
debug1: read PEM private key done: type DSA

ここで、10秒ほど、時間が掛かる

debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Linux **** 2.6.15-27-server #1 SMP Sat Sep 16 02:57:21 UTC 2006 i686 GNU/Linux

認証に時間がかかっている雰囲気です。なぞです。

PasswordAuthentication no です。
365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 01:06:52 ]: >>364 toby さん
サーバ側の sshd -d も試したら?
366 名前：307 [2006/09/30(土) 10:55:49 ]: >>365
いきなり、名前呼ばれてびびったｗ
消し忘れかYO!!

試してみます。
367 名前：307 mailto:sage [2006/09/30(土) 11:09:27 ]: $ sudo /usr/sbin/sshd -d
debug1: sshd version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: read PEM private key done: type RSA
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
debug1: Bind to port (ポート番号) on ::.
Server listening on :: port (ポート番号).
debug1: Bind to port (ポート番号) on 0.0.0.0.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 4 out 4 newsock 4 pipe -1 sock 7
debug1: inetd sockets after dupping: 3, 3
Connection from (クライントIP) port 4435
debug1: Client protocol version 2.0; client software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.2p1 Debian-7ubuntu3
debug1: permanently_set_uid: 100/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: An invalid name was supplied
Configuration file does not specify default realm

debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
368 名前：307 mailto:sage [2006/09/30(土) 11:09:58 ]: debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user (ユーザー名) service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "(ユーザー名)"
Failed none for (ユーザー名) from (クライアントIP) port 4435 ssh2
debug1: userauth-request for user (ユーザー名) service ssh-connection method publickey
debug1: attempt 1 failures 1

ここで辺で時間がかかっている

debug1: PAM: setting PAM_RHOST to "(クライアントのホスト名)"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/(ユーザー名)/.ssh/authorized_keys
debug1: matching key found: file /home/(ユーザー名)/.ssh/authorized_keys, line 1
Found matching DSA key: ********************************************
debug1: restore_uid: 0/0
debug1: ssh_dss_verify: signature correct
debug1: do_pam_account: called
Accepted publickey for (ユーザー名) from (クライアントIP) port 4435 ssh2
debug1: monitor_child_preauth: (ユーザー名) has been authenticated by privileged process
Accepted publickey for (ユーザー名) from (クライアントIP) port 4435 ssh2
369 名前：307 [2006/09/30(土) 11:10:55 ]: debug1: PAM: reinitializing credentials
debug1: permanently_set_uid: 1000/1000
debug1: Entering interactive session for SSH2.
debug1: server_init_dispatch_20
debug1: server_input_channel_open: ctype session rchan 0 win 65536 max 16384
debug1: input_session_request
debug1: channel 0: new [server-session]
debug1: session_new: init
debug1: session_new: session 0
debug1: session_open: channel 0
debug1: session_open: session 0: link with channel 0
debug1: server_input_channel_open: confirm session
debug1: server_input_channel_req: channel 0 request pty-req reply 0
debug1: session_by_channel: session 0 channel 0
debug1: session_input_channel_req: session 0 req pty-req
debug1: Allocating pty.
debug1: session_new: init
debug1: session_new: session 0
debug1: session_pty_req: session 0 alloc /dev/pts/1
debug1: server_input_channel_req: channel 0 request shell reply 0
debug1: session_by_channel: session 0 channel 0
debug1: session_input_channel_req: session 0 req shell
debug1: PAM: setting PAM_TTY to "/dev/pts/1"
debug1: Setting controlling tty using TIOCSCTTY.

みたいな感じです。
PAMが問題なのかなぁ？
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 11:17:06 ]: >>366
今は個人情報保護の時代です。
OSやアプリのバージョン、ハードウェアの情報、設定ファイルの内容からも
ある程度個人の特定が可能です。質問の際にはなるべくOSやアプリのバージョン、
ハードウェアの情報、設定ファイルの内容を書かず、
最小限の情報だけで回答を貰えばラッキーというスタンスで臨みましょう。
371 名前：307 [2006/09/30(土) 11:34:48 ]: UsePAM no
にしてもダメっぽいです。遅いまま。

>>370
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 13:33:20 ]: pam_sshを無効にする。
sshプライベートキーのパスフレーズとログインパスワードを一致させる。
373 名前：名無しさん＠お腹いっぱい。 [2006/09/30(土) 14:18:26 ]: クライアントが原因だと思うのですがwindowsのttsshにてLinuxサーバへsshで接続する時に
Sep 30 14:12:43 hogehoge.net sshd(pam_unix)[2192]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=XXX.XXX.XXX.XXX user=Hogehoge
Sep 30 14:12:45 hogehoge.net sshd(pam_unix)[2194]: session opened for user Hogehoge by (uid=500)
といったように必ず1行目のNODEVsshで認証に失敗しています。
これを起こらないようにするttsshの設定をご存じの方はいらっしゃいますでしょうか？
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 14:39:51 ]: >>373
自己レスです
上記の認証エラーが発生するのはサーバがRedhat9の場合のみでRedhat7.3では発生していないのでサーバ側の問題かと思います
375 名前：307 [2006/09/30(土) 15:01:50 ]: >>372
sudo grep -R pam_ssh /etc/*
しましたが、特にpamの設定はされていないようです。

パスフレーズとログインパス一緒にしても変わりませんでした。

むむむ。
376 名前：307 mailto:sage [2006/09/30(土) 15:18:27 ]: nslookupでちゃんと逆引きできるのになーと思いつつ、
念のため、/etc/hostsにホスト情報書いたら、
普通にすばやくログインできるようになりました・・・なんでだろ('A`)

いろいろ、ご迷惑かけてしまいました。
ありがとうございました。
377 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 15:20:00 ]: >>375
grep は -i つけなきゃいかんよ。
378 名前：307 mailto:sage [2006/09/30(土) 15:22:54 ]: わかりました・・・プライマリのDNSサーバーが死んでたためでした。
/etc/resolv.confから死んだDNSサーバーをはずして、生きているセカンダリだけにしたら、
ふつーにサクッとログインできました orz
379 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 16:00:11 ]: >>378
>>310-311 が即回答してるのに、そんなオチが許されるとでも、、、
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/30(土) 16:02:59 ]: まー、ありがちだわな。
381 名前：365 mailto:sage [2006/09/30(土) 19:29:39 ]: よーし、ポート 25672 で動いてる ssh 探しちゃうぞーw
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/01(日) 22:30:56 ]: ｗｗｗ
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/02(月) 02:07:06 ]: www.openssh.com/ja/list.html
からリンクされている www.mindrot.org って死んでるの?

MLのアーカイブが見られなくて困ってるんですけど...
384 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/02(月) 04:32:44 ]: 死んでないよ。
lists.mindrot.org にリダイレクトされるよ。
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/03(火) 23:33:44 ]: >>362

どうなっているんでしょうね。
osshChroot-4.3p1.diffで当面はしのげると思いますが。
386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/05(木) 01:19:58 ]: ssh-agentで記憶している鍵を使って、ローカルファイルの暗号化と復号をしたいのですが、
なにかいい方法はありますか？ cygwinを使っています。

試したこと(opensslでsshの公開鍵を使えるかどうか試した)

$ cat ~/.ssh/id_dsa.pub
ssh-dss (中略) xxx@xxx

$ openssl rsautl -pubin -inkey ~/.ssh/id_dsa.pub -in test -encrypt -out test.enc
unable to load Public Key
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/05(木) 01:51:09 ]: >>386

DSAって認証のみにしか使えないんじゃ？

RSAなら復号にも使えるはずだけど、OpenSSHのssh-agentは
認証のみにしか使えない実装になってた。

商用のssh-agent2の方はそのような事に使えそうな機能が入ってたが。
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/05(木) 10:50:42 ]: DSAは署名アルゴリズムなので暗号化には使えないと思う
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/05(木) 14:51:35 ]: >>385
復活しましたね。
390 名前：386 mailto:sage [2006/10/06(金) 02:02:46 ]: 回答ありがとうございました。RSA鍵を作り直して、ファイルの暗号化をしてみました。
商用ソフトを使う予定はないのですが、なにか簡単な方法はないでしょうか。
自分でssh-agentに復号させるようなツールを作るしかないのでしょうか。
あと、ssh-keygenで作った公開鍵をopensslで直接読み込めないのですが、
何か間違っているのでしょうか。

やったこと
$ cat ~/.ssh/id_rsa.pub
ssh-rsa AAAA(中略) xxx@xxx

$ openssl rsautl -encrypt -pubin -inkey ~/.ssh/id_rsa.pub -in a.txt -out a.txt.
enc
unable to load Public Key
ssh-keygenで作った公開鍵は、そのままじゃ読めない

$ openssl rsa -pubout -in ~/.ssh/id_rsa -out public.pem
Enter pass phrase for /home/xxx/.ssh/id_rsa:
writing RSA key
ssh-agentが常駐してるけど、パスフレーズは聞かれてしまう。
ssh-keygenで作った秘密鍵を読んで、公開鍵を出力することはできる。

$ openssl rsautl -encrypt -pubin -inkey public.pem -in a.txt -out a.txt.enc
opensslで作り直した公開鍵なら暗号化できる

$ openssl rsautl -decrypt -inkey ~/.ssh/id_rsa -in a.txt.enc
Enter pass phrase for /home/xxx/.ssh/id_rsa:
asdfag
パスフレーズが聞かれるけど、ssh-keygenで作った秘密鍵ならopensslで使える。
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/06(金) 03:47:09 ]: >>390
> なにか簡単な方法はないでしょうか。

簡単な方法は無いと思う。
自分で作る気なら、役にたちそうなパッチとかはあるけど。
# それだけではまだ無理って事。
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/09(月) 15:12:04 ]: 多段のportforwardの設定で質問があります
ていうか正解を教えてください
さっぱりわかりません
接続元をZ、ホストがABとあり
Z→Aは 22/tcp、A→Bも 22/tcpのみしか開いていない状況で
Bの80/tcpに接続したいのですが
A,Bの.ssh/configには、なにをどう書けば実現できるのでしょうか？
Zで使用している portforwarder の config.txtには
Host ZtoB
HostName A
User hoge
LocalForward 8080 A:8080
と記述し、Zのproxyとしてlocalhost:8080を使おうと思っています
どなたか教えてください
よろしくお願いします
393 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/10(火) 06:33:48 ]: %z ssh b -L 2002:localhost:2003 ssh a -L 2003:localhost:80

とかじゃないか?
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/12(木) 18:08:22 ]: 長時間何もコマンドを打たないと、接続が切れてしまいます。
切れないようにするにはどこを設定すればよいのでしょうか？
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/12(木) 22:01:11 ]: >>394
ssh keepalive で検索
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/12(木) 22:02:58 ]: ssh heartbeat で検索のほうがいいかもしれない
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/13(金) 00:13:51 ]: ServerAliveInterval で検索のほうが良くないか?
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/13(金) 00:18:25 ]: 煉炭青木が原で検索すればおk
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/14(土) 03:42:05 ]: それはどうかな？
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/15(日) 04:39:23 ]: >>395-397
こんなところでdebianの勝手パッチの弊害がｗ
401 名前：素人で本当にすみません [2006/10/15(日) 04:54:19 ]: すみません。本当に困っている事があるので教えてください。

DSNサーバを立ち上げていない状態で、SSHでのローカル内へのログイン(ipアドレスでの接続)に一分程かかってしまう
のですが、何故こんなに遅いのか分からないのです。
googleで検索したところ、/etc/sshd_config でUseDNSをnoにすれば良いと書いてあって試したのですが、
全く意味がありませんでした。
何か御助言頂ければ幸いです。
402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/15(日) 04:59:23 ]: /etc/hosts.allowの1行目に
ALL : ALL : allow
って書けばいいじゃない。
403 名前：401 [2006/10/15(日) 05:08:32 ]: >402

ありがとうございます神様!!!
近日、さっそく試してみます。本当にありがとうございました!
もし宜しければ、僕が401で書いた内容に関して、
一体何が原因だったのか教えて頂けますでしょうか?
あつかましいと思うのですが、御教示頂けませんでしょうか
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/15(日) 07:59:15 ]: noに書き換えただけだからじゃね？
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/15(日) 09:20:58 ]: バックドア開けろと言われても理解せずに開けちゃいそうな人だなあ。
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/15(日) 13:02:42 ]: libwrap が逆引きしてんじゃね。
407 名前：名無しさん＠お腹いっぱい。 [2006/10/21(土) 11:44:47 ]: SSH のダイナミック転送ってすごいんですよ | Typemiss.net
www.typemiss.net/blog/kounoike/20061019-100
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/21(土) 21:05:50 ]: >>407
> ところで，この方法の最大の利点は「中継サーバにログインアカウントが必要
> ないこと」だと思っています。上で例を示したときにユーザ名が「sshfwd」なの
> はこの布石です。

それじゃauditできないだろう。
誰か悪い子が「この秘密鍵使えば一旦このネットワークに入らないと見れない
ものも見れるよ」とかって無関係な人に使わせてもそれを洗い出すのが難しい。
2chに変な書き込みがされて問題になったり、不正アクセスの嫌疑がかかったり
して初めて発覚したりしそう。
409 名前：名無しさん＠お腹いっぱい。 [2006/10/22(日) 11:42:03 ]: トラックバック:www.typemiss.net/trackback/100
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/23(月) 14:04:58 ]: >>408
出来る。
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/24(火) 03:45:50 ]: sshを経由して遠隔地のsambaに接続することはできますか？
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/24(火) 21:26:46 ]: >>411
できる
413 名前：名無しさん＠お腹いっぱい。 [2006/10/24(火) 21:56:29 ]: >>412
まじすか。>>411じゃないけど、方法を知りたい。

ポートフォワードでも使うんですかね。
調べても、いまいちできたっていう情報がでてこないので・・・。

VPN使うしかないと思ってたので、できたらすごくうれしいのだが
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/24(火) 23:42:00 ]: ごく普通にできるとおもうからこそ、
誰も書かないんだと思う。
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 03:13:07 ]: >>413
相手の445ポートへフォワーディング
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 07:18:20 ]: >>415
ローカルポート何番にですか？
445に転送しようとすると、ローカル側ですでに使われていてbindできないのですが。
Windowsでは、アクセスするポート指定できましたっけ？
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 08:46:17 ]: >>416

samba over sshで検索すると、
ttp://datafarm.apgrid.org/software/html/ja/user/smboverssh.html
ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html
ページが見つかると思うのだが。
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 09:28:59 ]: >>417
調べたら負けかな、と思ってる
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 14:38:09 ]: 445ポートでやることはできませんか？
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 16:01:30 ]: ググレカス
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 18:54:12 ]: マラカスを思いだしたよ。
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/25(水) 22:23:35 ]: 445じゃなくて139でやるといい
つか漏れがやったときは445では無理だった
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/26(木) 00:50:55 ]: 心のきれいな方でないと、445ポートでの運用はできません。
424 名前：412 mailto:sage [2006/10/26(木) 01:50:12 ]: >>413
普通にポートフォワーディングする。
smbclient, smbmount にはポート番号指定できるでしょ。
425 名前：名無しさん＠お腹いっぱい。 [2006/10/28(土) 22:42:02 ]: > smbclient, smbmount
Windows では、どうすれば・・・orz
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/28(土) 23:50:38 ]: ググレカス
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/29(日) 07:39:19 ]: >>425
Windowsでは不可。139を使え。
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/29(日) 10:08:36 ]: いい加減スレ違いすぎるわけだが
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/29(日) 15:15:15 ]: >>427
Windowsから445ポートだけではつなぐことはできないということなのでしょうか？
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/10/29(日) 21:40:59 ]: てか、どっかいけ剥げ。
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/06(月) 17:38:16 ]: 実用SSH 第2版
www.oreilly.co.jp/books/4873112877/
432 名前：名無しさん@お腹いっぱい [2006/11/06(月) 19:18:48 ]: ほほぅ、興味ありますなぁ。
だけど、\5.040はきっついなぁ。
さすがはオライリー。値段に貫禄つけてきやがる。
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/07(火) 00:51:03 ]: >>432
5 円は安いな
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/07(火) 01:11:32 ]: なんと５円とは貫禄ありすぎて怖いぞ
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/07(火) 01:14:09 ]: >>432は欧州在住
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/07(火) 12:34:47 ]: 5をエスケープしてるのはどういう意味?
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/07(火) 13:35:11 ]: \でエスケープするのはSQL的には間違い
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/07(火) 14:01:46 ]: どっからSQLが出てきたんだ
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/07(火) 23:27:45 ]: オライリー特製コーヒーマグカップ貰おうぜ
440 名前：440 [2006/11/08(水) 08:48:10 ]: おまいらがチャカしている間に 4.5(p1) がリリースされてますぜ

情報元は春山さんのところ：
www.unixuser.org/~haruyama/security/openssh/20061108.html
（2006年11月08日 08:05更新、だそうで。）
441 名前：440 mailto:sage [2006/11/08(水) 08:57:15 ]: それにしても、春山さん、迅速ですなぁ…。感謝

セキュリティ関係の問題（「sshd の特権分離モニタのバグ」）を修正したので
緊急リリース、ということかな。

# 個人的には、FreeBSDでのコンパイル時の問題が解決された点の方が
# 大きかったりするんですが
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/09(木) 05:57:20 ]: echo "sshd: [IPアドレス]" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny

で、パスワード認証なんですが、これでは不十分ですか？
443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/09(木) 09:45:59 ]: 何が？
444 名前：442 mailto:sage [2006/11/09(木) 20:59:14 ]: は？
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/10(金) 04:07:39 ]: >>443 スルーしとけ。
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/10(金) 10:55:52 ]: hosts.allow denyを今さら使うのか
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/11(土) 08:21:12 ]: >>442じゃないが、

>>446
どのようなアクセス制限を行っているんですか？
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/11(土) 13:20:22 ]: iptables
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/11(土) 14:36:24 ]: それ以前に、hosts.allow, hosts.denyの動作原理を理解しているのかと・・・・・

使うようにプログラムが組まれていないと有効にならんぞあれ
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/11(土) 15:11:28 ]: sshd_config
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/13(月) 01:23:40 ]: rootが作ってくれたid_rsa/id_rsa.pubファイルを一般ユーザの
~/.ssh/以下に入れて使えますか？

ホストAからホストBに公開鍵認証で、ホストAのユーザhogeが
ログインする時、ホストAのrootがssh-keygenで作成した
id_rsa/id_rsa.pubファイルで公開鍵を設定したいのですが、
有効に働いてくれません。
通常は、ユーザhogeがssh-keygenで作成したid_rsa/id_rsa.pubを
設定するのが当然と思いますが、以上の様な使い方はできない
ものでしょうか。
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/13(月) 03:51:02 ]: >>451
可能。鍵認証関連のトラブルは、ほとんどのケースがファイルのアクセス権限が
間違ってるとか、ファイル名が違うとか、改行コードがおかしいとか、
そういう見落しがちな理由なので、もう一度よく確認してみることだな。
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/13(月) 10:40:00 ]: >>452
サンクス。失敗していたときと同じ手順でやったはずなのに、
できました。ｗ
おそらく、いろいろ作業してる際に、相手先のauthorized_keysに
登録し忘れてた気がします。（たぶん）
454 名前：ssh初心者 [2006/11/14(火) 13:39:57 ]: 教えて頂きたいことがあります。

ssh-agent で登録する鍵の数は変更できますか？
現在 ssh -v で確認すると6つまで鍵を読みに行きます。
それ以外の鍵については毎回鍵の指定が必要になり
rsyncの際、不便になります。

よろしくお願いします。
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/17(金) 19:04:06 ]: shfsとsshfsの違いを教えてください
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/17(金) 21:26:27 ]: sの数
457 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/19(日) 17:40:48 ]: OpenSSHとOpenSSH-portableの違いを教えてください。
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/19(日) 19:55:11 ]: >>457
・前者はOpenBSD専用
・後者は「移植版」と呼ばれるもので、前者をそれ以外のOSにも対応させた
　もの
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/20(月) 09:17:04 ]: >>456
実質的に同じものと考えてよいのでしょうか？
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/20(月) 09:26:25 ]: だめだ
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/20(月) 10:21:55 ]: ところで、ちょっと話をきいてくれよ。
HPNってどうよ？
462 名前：名無しさん＠お腹いっぱい。 [2006/11/25(土) 07:17:19 ]: テキストモードとバイナリモードの切り替え方法を教えてください
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/25(土) 07:43:22 ]: ちんちんがあるかないか
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/11/30(木) 22:51:28 ]: 4.5対応のHPN-SSHパッチって出てたのか
lists.mindrot.org/pipermail/openssh-unix-dev/2006-November/024908.html
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/05(火) 06:56:10 ]: JTA - Telnet/SSH for the JAVA platform
javatelnet.org/space/start
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/05(火) 07:12:34 ]: うむ～、それ、ネットカフェのIEじゃ動かなかったな。
Java アプレットが禁止されてるのかなぁ。
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/06(水) 02:20:03 ]: 数日前よりBruteforceAttackされる時のパスワードを
盗み見してみるけど、アッタクしてきたユーザ名とかパスワードを公開するのは
法的にまずいんかなぁ？

統計処理したものを定期的に公開するか、リアルタイムに公開するか迷ってるんだが…。
# BruteforceAttackしてくるユーザ名とパスワードを公開するのは、
# こんなパスワードとかユーザ名は狙われやすいと喚起したいだけなんだども(´･ω･`)
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/06(水) 02:42:34 ]: 喚起しても何にもならないからやめたほうがいいと思う。
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/06(水) 05:19:06 ]: 喚起する意味が分からん。
そんな辞書はどこにでも転がっている。
どうしても活用したければ収集してログインの時に警告すれば？
そういうことするためのPAMモジュールがあったと思う。
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/06(水) 09:45:48 ]: >>467
これ見せればいいじゃん
www.cyberpolice.go.jp/server/rd_env/pdf/20060817_SSH.pdf
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/06(水) 15:10:04 ]: >>469
辞書は確かに何処でも転がっているとは思うんですが、
統計的なのとかあったら最近の動向とか分かって自分は便利だなぁと思ったので。
Login時の警告というのは、どういうことでしょうか？:-)
Banner /etc/ssh_msgなどは表示させてはいるんですが。
また、そのPAMモジュールについて良かったら詳しく教えて下さい。

>>470
おぉ、そんな資料が@policeから出てたとは…
喚起用にリンクしてみます。

ところで、SSH Attackしてくる人はpublickeyのみしか許可してないのに
Scriptがいけていないのかそれを無視してkeyboard-interactiveで
何度も試みるのは何故でしょうか？
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/06(水) 15:33:21 ]: Scriptがいけていないから。
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/07(木) 22:36:34 ]: FreeBSD 6.1RでPacket Filterを導入後、SSHのログイン時間が異常に
遅くなりました。（遅いですが、ログインはできます。認証が失敗
しているというようなログも見当たりません。）
"login as:"の表示の速さはいつも通りですが、その後の表示が始まる
までが以上に遅いです。調べている途中で、ＩＰアドレスの逆引きが
解決するまでに時間がかかるのでは？という記述を見かけ、解決してる
途中ですが、他にこのような症状の原因となるものはあるのでしょうか？
474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/07(木) 23:28:55 ]: >>473
逆引きができない場合がほとんど。
まずはそこをクリア汁
話はそれから
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/08(金) 02:47:38 ]: やはり原因は、逆引きだったようです。ポート開けたら直りました。
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/08(金) 10:13:03 ]: >>475
ポートと逆引きと何の関係が？
もしかして 53/udp の outgoing を閉じてたとか・・・
あれ？みんなもしかしてそういう運用してる？
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/11(月) 13:42:43 ]: shfsとsshfsでは機能的に何か差がありますか？
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/13(水) 21:12:19 ]: sの数
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/14(木) 18:10:04 ]: OpenSSHとOpenSSH-portableでは機能的に何か差がありますか？
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/14(木) 18:16:06 ]: いいかげんにしろ
481 名前：名無しさん＠お腹いっぱい。 [2006/12/15(金) 19:39:25 ]: samba over sshのやり方が書いてあるサイトは知りませんか？
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/15(金) 19:40:56 ]: ぐぐれ
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/15(金) 20:18:45 ]: >>481
このスレの最初から見直せ
484 名前：名無しさん＠お腹いっぱい。 [2006/12/19(火) 11:42:57 ]: >>467
数日のデータに何の意味がある?
せいぜい半年とか1年とか取れよ。
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/19(火) 17:03:24 ]: 445/tcp をポートフォワードするだけで
Windowsのファイル共有にアクセス出来ます？
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/19(火) 17:10:16 ]: またお前か
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/19(火) 19:07:20 ]: しばらくの間、コマンドを何も入力しないと自動的に切断されてしまうのですが、
この自動切断までの時間はどこで設定できるのでしょうか？
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/19(火) 19:21:47 ]: >>487
ライブ・ア・ライブとかそんなの
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/19(火) 19:39:46 ]: >>487
どこで切断されているのか分からないと、誰も答えられないのでは。

切断しているのは……

・接続先のシェル？ (もしくは何らかのプログラム？)
・接続先の sshd ？
・通信経路上のどこかのルータ？
・通信経路上のどこかのプロクシ？
・接続元の ssh ？
・接続元のシェル？ (もしくは何らかのプログラム？)

の、どれ？
490 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/19(火) 19:58:42 ]: きっとこいつの仕業
ttp://pc8.2ch.net/test/read.cgi/linux/1146235963/285-286
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/19(火) 22:23:18 ]: ServerAliveInterval 1
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/20(水) 14:15:29 ]: >>489
おそらく接続先のsshdだと思うのですが、sshd_configのどの項目を変更すればよいのか分かりません。
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 09:32:41 ]: おまいは >>489 のような質問に対して、ログ等の確たる証拠を
挙げようとは思わないのか？

さらに、>>491 のような書き込みを見てググったりしようとは思わ
ないのか？

自分が抱いた疑問点は、すでにどこかに回答があるのではない
かと思わないのか？

たとえあてずっぽうだとしても、そこまで言うのなら sshd_config の
ドキュメントはきちんと読んでいるんだろうな？

というわけだ。

2.12 - なにもしないで N 分たつと ssh 接続が固まるか、切れるかするんだけど。
www.openssh.com/ja/faq.html#2.12
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 09:55:06 ]: SSHのウィンドウを×をクリックする以外で一発で終了する方法ってありますか？
exitだとrootの状態の場合一般ユーザに戻ったり、screen起動中だったらscreenを抜けたりするだけで
終了ができないので
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 09:57:55 ]: >>494
「SSHのウィンドウ」って?
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 10:00:26 ]: WindowsXPからPuttyを使って接続しているので、そのウィンドウのことです
説明不足ですいませんでした
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 10:04:27 ]: >>494
su とか screenとか実行する時に、
exec su とか exec screen とかで実行すると良い。
exit一発で抜けられる。
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 10:13:51 ]: >>496
Alt+F4
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 10:54:33 ]: >>498
×をクリックする以外で
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 10:57:25 ]: クリックしてないじゃん。
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 12:16:09 ]: ちかごろはばかもつかうんだな。
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 13:13:51 ]: めんどくさがらずに順に抜けろよ。
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/21(木) 13:15:36 ]: sudo pkill sshd
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/23(土) 06:30:09 ]: SSHのLISTENポートを80にすることってできますでしょうか？
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/23(土) 08:37:47 ]: >>487
@nifty なら諦める
506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/23(土) 09:37:53 ]: >>504
できる
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/25(月) 00:02:29 ]: stone使って443経由でsshのトンネルを掘る場合、hosts.allowはどのように書くべきなのでしょうか？
x.x.x.xのホストからのトンネルだけを許可したい場合は普通に

sshd: x.x.x.x : allow

でいいの？（ /etc/servicesには "sshd 22/tcp" と書かれている前提で）
それとも、stoneを通過した時点でsshdにはlocalから繋ぎに来てるように見えてしまうんでしょうか？
508 名前：〈(｀・ω・｀)〉φ ▲ mailto:sage [2006/12/25(月) 21:31:01 ]: 鍵認証が使えるGUIインターフェースのsftpクライアントはlinuxには無いのですか？
nautilusはパスワード認証しかできないみたいだし。
509 名前： ◆TWARamEjuA mailto:sage [2006/12/25(月) 22:23:21 BE:1307726-BRZ(6677)]: >>508
どこかでお見かけしたお名前♪
おそらく板違いかと思いますけれどもこの際、林檎機に乗り換えてしまえばCyberDuckなるものがあったりします♪
ttp://cyberduck.ch/
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 02:24:14 ]: >>508
FileZillaじゃダメ？
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 05:37:21 ]: それってLinuxでも使えるのでありまするか？
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 10:10:31 ]: ref. gugurecas
513 名前：名無しさん＠お腹いっぱい。 [2006/12/26(火) 21:36:22 ]: FreeBSD6.1+OpenSSH鯖(www,mail,DNSで固定IP)にWinXPクライアント+PuTTyで公開鍵認証してますが
PuTTYでドメイン名で公開鍵認証はPagentでパスフレーズですんなり一般ユーザーログインできます。
しかし、いったんwinXPクライアントを再起動しておなじくPuTTYで固定IPアドレスでわざとパスフレーズを入れないとlogin as:と表示され
一般ユーザー名を入力しPassword:でパスワードを入力するとパスワード認証できてしまいます。パスワード認証を禁止したいのですが．．．
一応設定は
# /etc/ssh/sshd_config
PasswordAuthentication no とし
UseDNS yes を追加しています。
エロイ人よろしくお願いします。
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 23:24:03 ]: >>513
ChallengeResponseAuthentication no
とかじゃないの
515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/26(火) 23:51:38 ]: UNIXで公開されているsftpサーバにWindowsからネットワークドライブとして接続したいのですが、
フリーで行う方法はないでしょうか？商用ソフトだとWebDriveというものがあるようなのですが。
516 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/27(水) 00:04:47 ]: ねえな
517 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/27(水) 00:58:55 ]: Macならネイティブで対応してるよん
518 名前：名無しさん＠お腹いっぱい。 [2006/12/27(水) 07:21:35 ]: >>514
あなたエロイ人！
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/27(水) 15:28:38 ]: 質問があります。

VineLinuxでOpenSSHとVNCを導入しました、
ブロードバンドルータのNAPTの設定で、
このLinuxは外部にSSHの２２番ポートしか開放していませんが、
SSHのフォワーディング機能を使って外部からVNCを使いたいと思ってます。

しかし、使えません・・。
ローカルのほかのWindowsPCからのアクセスはOKでした。
外部からは、cmd.exe のnetstatを打つと

TCP winpc:4770 localhost:5901 ESTABLISHED

コネクションはできてます、他にもAPACHE等も動かしフォワーディングしましたが、
同じ状況でした。
sshの設定はデフォルトのままです。
グローバルになると何か特別な設定が必要なのでしょうか？
520 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/27(水) 23:57:44 ]: >>519
似たような環境のようだがうちではこれで使えてるよ
ssh -L 5901:localhost:5901 -f -N vncserver
vncviewer :1
521 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/29(金) 01:36:54 ]: 全ユーザの秘密鍵一括作成ってできないかなぁ・・・
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/29(金) 08:58:41 ]: 秘密でも何でもないじゃないか

といいつつ公開鍵認証onlyにしたいため、同意。
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/29(金) 09:01:11 ]: 公開鍵認証onlyにしておけば、みんな勝手にやってくれるよ
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/29(金) 10:05:41 ]: どうやって、authorized_keysに登録させるんだい?
525 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/29(金) 10:41:02 ]: >>524
ssh で・・・あれ?
526 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/12/29(金) 11:02:32 ]: .rhosts 見させる方が簡単じゃん
527 名前：名無しさん＠お腹いっぱい。 [2007/01/03(水) 01:06:28 ]: >>524見て思い出したけど、
sshを鍵認証で、新しいユーザーに使わせたいときって、
鍵持っている他のユーザーで入って、suして、authorized_keysに追加するしかないんですかね？
528 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/03(水) 02:07:19 ]: 端末の前に行けばいいじゃないか
529 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/03(水) 02:31:49 ]: 交通費その他を>>528が出してくれるなら是非

じゃなくて
>>527
そのユーザにパスワード認証で入らせる。
それができないなら、もともとSSHが使えない人、なのかもしれない。
530 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/03(水) 08:48:55 ]: 「交通費その他がかかる」なんて条件
後から付け加えられてもなぁ。
531 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/03(水) 09:27:56 ]: >>529 じゃないけど ssh スレなんだし遠隔地ってのは
考慮しても良いと思うなー
532 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/03(水) 11:20:03 ]: authorized_keysへの追加というお題なので、コンソール使えないのは暗黙の条件だな。
533 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/03(水) 11:32:37 ]: ﾉ OpenSSH LDAP Public Key Patch
534 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/03(水) 11:50:39 ]: lpk patchか。やはりLDAP入れる覚悟を決めるか…
535 名前：名無しさん＠お腹いっぱい。 [2007/01/11(木) 23:25:31 ]: >>529
書き忘れました。
パスワード認証は、デフォで切ってます・・・
ていうか、切らないと、鍵認証の意味ねー
536 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/12(金) 00:15:11 ]: ftpで入るんだ･･･あれ？
537 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/01(木) 06:46:16 ]: sshで別のマシンにログインする時にローカルの
.bashrc のセッティングをフォーワードする方法はありますか？
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/01(木) 10:32:59 ]: 事前に .bashrc を scp しとく
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/14(水) 19:25:59 ]: opentechpress.jp/security/article.pl?sid=07/02/13/0020220
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/19(月) 21:32:52 ]: ローカルのマシンのみログインできるようなアクセス制御ってできますか？
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/19(月) 21:38:02 ]: >>540
hosts.allow と hosts.deny とか・・・
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/19(月) 21:42:44 ]: >>541
ということはsshの機能でそういうのはないんですかね？
543 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 01:56:14 ]: ローカルマシンにわざわざsshで入るのもどうかと思うけど？
もしかして、意味を取り違えてる？
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 07:47:43 ]: >>543
意味を取り違えてるか感覚が古いかのどちらかだな。
545 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 22:03:24 ]: ひょっとして、
自分のドメインからだけsshできるようにしたいんか？>>540
546 名前：540 mailto:sage [2007/02/20(火) 22:17:23 ]: 外部からは接続させずに、LAN内からのみ接続させたいんです
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 22:24:05 ]: >>546
・ルータで port 22 をフィルタリングする
・NIC を追加するか IPalias して IP アドレス追加した上で
sshd が listen する IP アドレスをかえる
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 23:18:14 ]: hosts.allow でなにがまずいの？
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 23:31:18 ]: >>548
今どきhosts?って感じ
550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 01:07:36 ]: hosts.allow と hosts を区別できない奴は(中略)難しい
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 09:55:32 ]: hosts.allowの動作メカニズムを知った上で使うなら問題無い。
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 10:09:26 ]: >>550
やっぱり勘違いさせたかｗ
難しい奴だな
553 名前：名無しさん＠お腹いっぱい。 [2007/02/21(水) 19:45:47 ]: オープンな無線LANを使用するときに、HTTPを安全に使用したいので
sshのポートフォワーディングを使用しようと思い、
クライアント側でhttpのプロキシをlocalhost:10080に設定し、
ssh -v -L 8080:SERVER:80 SERVER
としたのですが、サーバー側で
open failed: administratively prohibited: open failed
という表示がでてうまくつながりません。。

どなたかポートフォワーディングを使用している方いたら教えてください。。
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 20:01:21 ]: エラーメッセージのとおり、
サーバかクライアントのどちらかでポートフォワーディングしない
設定になってるんでない？
555 名前：553 mailto:sage [2007/02/21(水) 20:05:28 ]: ほとんど初期状態のままでいるのですが、
ポートフォワーディング用の特別な設定ってあるんでしょうか？
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 21:45:57 ]: 初期状態とかいうものはない

see sshd_config(5)
557 名前：名無しさん＠お腹いっぱい。 [2007/02/23(金) 13:26:20 ]: ファイルのダウンロードはどうやるか教えてエロイ人
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/23(金) 14:02:02 ]: sftp, rsync -e ssh …
好きなの使え
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/23(金) 15:41:56 ]: scp
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 04:15:31 ]: matt.ucc.asn.au/dropbear/dropbear.html

これの話題が出てないので、一応ねたふり…

明日あたり試験鯖で試してみようかなと考え中。
561 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 05:48:20 ]: これはsshの新しい実装ということかしら？
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 09:37:40 ]: sshの実装は昔からいくつかあるし、そのうちの一つだろ。
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 12:55:59 ]: >>560
なぜ注目したのか書いてみてよ
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 14:35:53 ]: >>560
uClibcな鯖なのか？
small-linux系で見かけた事がある＞ dropbear
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 01:02:33 ]: >>560
FreeBSDにportで入れてみた。dropbare(sshd)はメモリサイズが1/4で済む。
PATHが正しく設定されない。(FreeBSDのloginのお作法に従っていない)
dbclient(ssd)はagentが使えないようなのでパス。
566 名前：名無しさん＠お腹いっぱい。 [2007/03/01(木) 12:41:51 ]: ssh-agentが/tmp/に残したUNIXドメインソケットのゴミの
お掃除はどうやっていますか?
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 13:53:56 ]: 放置プレイ
568 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:04:37 ]: >>697
たびたびすみません。
make CFLAGS='-m32 -g -fno-strict-aliasing -pipe' でメイクしても
"symbol `re_cache' is already defined うんぬん" というエラーがでて、
もしやと思い。make rmconfig, make clean で再度、make install clean
をしたら通っちゃいました。

おさわがせしました。m(_ _)m
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:13:04 ]: ssh tectia serverで鍵認証で接続する際に
かならず（linuxユーザの）パスワード聞かれるんだけど
鍵認証のみで接続できるようには出来ないのでしょうか？
570 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:50:45 ]: >>569 configがそうなってるとか、permissionがおかしいとかじゃね? ssh -vv 見ながら自分で解決するか晒したまえ。
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:51:41 ]: PreferredAuthentications
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 22:52:20 ]: >>566
正常に終了した場合、UNIXドメインソケットのゴミは
残らなかった気がするが、気のせいかな？
# 自分が確認したのは OpenSSH のやつ。
573 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/02(金) 00:22:38 ]: >>577
最近のはそうなったのかな? 今、試してみると消えますね...
574 名前：572 mailto:sage [2007/03/02(金) 01:31:29 ]: >>573
debug mode(ssh-agent -d)で起動したのを ^C で殺すと残るけど、仕方ないかな。
自分はパッチあてて、それでも掃除するようにしてある。
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/02(金) 16:42:19 ]: >>570
鍵が見えてなかったみたいなので
鍵置いてるディレクトリのパーミッションを700
にしたところいけました。
もともとのパーミッションがゆるすぎだった模様。
どうもありがとうございました
576 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/04(日) 21:52:20 ]: OpenSSHのsftpに補完機能を追加するパッチを作ってみました。
www.phys98.homeip.net/~ide/aboutopenssh.html#sftp-Completion
# もうすぐ新バージョンが出るようなのでタイミング悪いですが。
577 名前：名無しさん＠お腹いっぱい。 [2007/03/05(月) 12:32:21 ]: GeoIPを使って、国外からアタックをブロックしている人って居ますかね?
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/05(月) 18:06:09 ]: GeoIPが何かは知らないが自分で設定してブロックしてる
579 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 00:59:44 ]: 三国フィルタで十分だろ。
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 02:22:47 ]: 国内からもアタックされるし、フィルタなんかイラネ
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 03:01:12 ]: >>580
でもアタックの大半が国外なのは事実。
自分が国内に住んでいるのであれば、.jpだけ通した方がsshdもCPUを食わないし、楽。
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 08:36:40 ]: JPNICのwhoisデータベースから変換したJPPASSフィルタと
過去にアタックしてきたJPBLOCKフィルタ組み合わせてる

アタックしてきたIP＝侵入されてスクリプト設置された＝セキュリティ的に弱いネットワーク・管理者
って見なしてるけど、
某大手企業様だったり、セキュリティコンサルティング会社だったり、まぁ色々あるな。
583 名前：名無しさん＠お腹いっぱい。 [2007/03/09(金) 09:41:24 ]: sshdのログから不正アクセスするIPアドレスを自動でhosts.denyに追加してくれる「DenyHosts」
denyhosts.sourceforge.net/
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:25:17 ]: >>583
あー、俺 cron で自作スクリプト回してるわ(w
/etc/hosts.allow に deny 表記だけど(なんか hosts.deny は obsolete っぽい)。
ついでに /var/log/xferlog も見てるよ。
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:27:18 ]: >>584
> (なんか hosts.deny は obsolete っぽい)。
なんで？
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:38:45 ]: >>585
ちょっと調べたけど理由はわからない(管理の手間か、プログラムの容易さ?)
とにかく /etc/hosts.deny は deprecated なんで hosts.allow に両方書けっていう話らしい。
FreeBSD の 5.x と 6.x。
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:52:26 ]: FreeBSD というより tcp_wrapper からの要請みたい。
昔は /etc/hosts.allow → /etc/hosts.deny の順に見てたけど、
一つのファイルでルールが合致した順に制御する、
というのがわかりやすいからじゃないかな?
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 13:12:08 ]: >>587
www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap2/freebsd/remote.html
ここにも書いてあるな。

ところでopenssh 4.6p1って消された?
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 13:41:34 ]: あぁ、FreeBSD ローカルの話ね。
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 15:42:13 ]: hosts.denyの話しらなかった。
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/10(土) 00:23:10 ]: >>588 の自己解決
marc.theaimsgroup.com/?l=openssh-unix-dev&m=117337577125049&w=2

cygwinの都合など知らぬわ。
592 名前：名無しさん＠お腹いっぱい。 [2007/03/10(土) 11:49:54 ]: 女性は働きたければ働いて､働きたくなきゃ働かない､辛くなったらやめていい｡
そもそも女性に辛い仕事を押し付けないこと｡かといって雑用やらせるのもﾀﾞﾒ｡
それで給与も昇進も平等にね｡ただし残業､転勤､深夜当直させたら女性差別だよ｡
間接差別禁止規定って知ってるでしょ｡なんでも平等にね｡髪形と服装は女性の自由だけど｡
それからｱﾌｧｰﾏﾃｨﾌﾞｱｸｼｮﾝと管理職30%目標もね｡産休育休もね｡当然給与40%保障で｡
主婦と言っても､家事を強制される言われはないし､出産するかどうかは女が決めること｡
でも産まれたら育児を女性に押し付けないでね｡二人の子供なんだから当然でしょ｡
ただし離婚したら親権は母親のものだよ｡育児は女性のほうが向いてるんだし｡

それから働く夫を妻が支えるなんて時代遅れの女性差別｡
これからは働く妻を夫が支えなきゃ｡
あ､もちろん収入は夫の方が多くて当然だけどね｡妻には扶養請求権だってあるんだから｡
それと夫は妻に優しくね｡妻が望まないｾｯｸｽは家庭内ﾚｲﾌﾟだよ｡
夫が妻のｾｯｸｽの求めに応じないと離婚事由になるけどね｡
離婚したら慰謝料とか財産分与とかまあ当然だけど｡
女性はか弱いから母子手当ても生活保護も税金控除も当然だよね｡足りないぐらい｡

それと女性に女らしさを押し付けないでよ｡
そんなの窮屈で面倒だし､いまさら男尊女卑ですかって感じ｡
でも男はやっぱ男らしくないとね｡
いつになったらﾚﾃﾞｨｰﾌｧｰｽﾄ覚えるの?ﾜﾘｶﾝなんてありえないし｡
少子化だって男のせいでしょ｡男がだらしないから女性が結婚できないんだよ｡
え?ﾚﾃﾞｨｰｽﾃﾞｰ?あれはいいの｡
別に私たちが頼んだ訳じゃないし｡店が勝手にやってるんでしょ｡
593 名前：名無しさん＠お腹いっぱい。 [2007/03/12(月) 22:42:26 ]: OpenSSHってconfigureのオプションに何も付けない時、tcp-wrapperに
対応してますか？
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 14:53:46 ]: ない。
595 名前：馬鹿者 mailto:sage [2007/03/13(火) 20:40:55 ]: 偉い人教えてください。
TSSHで作業しながら、WinSCPのver3.6位でアップやらダウンやら繰り返して
いたら、ログアウトした後、何故か２度とサーバに接続できない状態に。
しかも、２サーバも同一状態にｏｒｚ
うちの、Ｓｕある人がキーの入れ替えやらなんやらやってくれたのですが
どうしても復旧せず、こっちが馬鹿者扱いに。。。。
職場では２ｃｈ見ちゃダメ書き込んじゃダメ、資料持ち出しちゃダメの
ﾀﾞﾒﾀﾞﾒ状態なので、この程度しか情報ないのですがわかる方おられまし
たら、なんとかご教示願います。
WinSCPを3.8にしたらいいよー見たいな書き込みを英語フォーラムで見
かけたのですが、確たる証拠がないとVerアップできないしもう号泣す
る他無し、、、
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 21:01:11 ]: とりあえず
＞どうしても復旧せず、こっちが馬鹿者扱いに。。。。
復旧できないsuがバカってのはFA

>595の情報じゃよくわからん
ssh -v の結果みりゃわかるんじゃねーの？
597 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:11:57 ]: おおおお！ｒｅｓが。
ssh -vとかやろうにも馬鹿者なので、殺したサーバにアクセスさせて貰えない
のですよ。。WinSCPのログ見ても、秘密キーが認証できません
セッションのパスワードを入力せよ馬鹿者＠大ボケ．逝ってヨシ’ｐａｓｓ
と出ているだけで、馬鹿者本人では手の打ちようが無し。
どこそこからの情報でこうやってみればいいのでは？みたいな事仕入れました
みたいに報告しないと馬鹿の言う話は聞けない状態なので、なんとかもう少し
ヒントをお願い致します。
ssh -v は進言してみます。
598 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:13:46 ]: ５９６様ありがとうございました
↑先にお礼だろうよ！という辺りが馬鹿者臭漂わせてます、、すみませんorz
599 名前：名無しさん@お腹いっぱい。 mailto:sage [2007/03/13(火) 21:22:27 ]: そのssh接続も本当はﾀﾞﾒでﾙｰﾙｼｶﾄでやったって話?
もしそうなら、あなた自身もﾀﾞﾒになるかも。

そうでなければ、>>596氏の仰せの通り。
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 21:32:43 ]: うちのサーバは認証失敗繰り返すとブラックリスト入りしてアクセス拒否されるよ。
似たようなことやってるんじゃない？
601 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:38:05 ]: 599様
ルールシカトではなく、正式ルートを通して作ってもらった物です。
で、喜んでTSSHとWinＳＣＰでがちゃがちゃやってたら壊れてしまい
ました。正式ルートで作った物を壊してしまったのでもう一回作り
直して下さいというのも情けない話なので、末端でリカバリ出来な
いかと（末端にもｓｕ権限ある人いるので）やっているのですが巧
くいかない状態なのです。
馬鹿者本人はは、何も作業できないので指をくわえて復旧を待って
いる状態なのです。
で、単刀直入な話、WinSCPでログインしつつＴＳＳＨもログインし
てガチャガチャやるとｓｓｈは壊れる物なのですか？？
壊れる物だとしたら、ｓｓｈ　－ｖを、馬鹿者のＨＯＭＥで打ち込
めばどうすればいいか馬鹿でもわかるものなのですか？
という２点です。。ｗｅｂ漁りまくったのですが、まともに議論し
ているのが２ｃｈだけのようなので、、、すみません。
その辺りの整理でご教示お願い致します。
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 21:41:44 ]: つcygwin
603 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:43:36 ]: ６００様
ＴＴＳＨ＜＝logout
WinSCP＜＝F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にﾀ駄目＞認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
（一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので）
それも視野にいれさせて頂きます。ありがとうございます
604 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:44:12 ]: ６００様
ＴＴＳＨ＜＝logout
WinSCP＜＝F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にﾀ駄目＞認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
（一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので）
それも視野にいれさせて頂きます。ありがとうございます
605 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:46:04 ]: 馬鹿焦りすぎ。。。連続書き込み失礼致しました。
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/14(水) 00:24:42 ]: tssh とか ttsh ってなんだ？ ttssh か？ちょっとおちつけよ。

>>602 のいうとおり cygwin の ssh を使うか、
あるいは putty なら ssh のセッションをフルダンプがとれるから
それを眺めてミリゃいいだろ。

業務でやってるなら素直に始末書書いて管理者に処理してもらえ
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/14(水) 03:16:38 ]: アップ/ダウンできていたというのならば通常使用が出来ていたっつーことだし、
通常使用の範囲内であれば始末書はないでしょ

でもこの焦りぶりが怪しいんだけどね
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/15(木) 15:03:13 ]: 「壊れた」の意味もわからんし、そもそも状況説明が怪しすぎる。
というか、日本語で書いてくれんと解読するだけで手間だ。
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/15(木) 21:02:21 ]: アホ振りから察するに、.shostsとか.ssh/ 壊したんだろ…
610 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/15(木) 22:37:46 ]: >>馬鹿者
まずWinSCPの問題なのかサーバー側の問題なのかハッキリさせた方がいいな。
同一プライベートキーでPuTTY,TTSSHなどのシェルターミナルだけで接続できるか？
接続できればWinSCPのセッションに不都合が有りとみた。
接続できなきゃプライベートキーに何かあるか
サーバー側に理由があるかもしれん。
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/16(金) 14:53:43 ]: OpenSSHを4.6p1に入れたらTTSSHの1.5.4で繋がらなくなったんだけど、
他にそういう人いますか？

sshdをdebugオプション付きで起動すると、

debug1: Client protocol version 1.5; client software version TTSSH/1.5.4 Win32
debug1: no match: TTSSH/1.5.4 Win32
debug1: Local version string SSH-1.99-OpenSSH_4.6
debug1: Sent 768 bit server key and 1024 bit host key.
debug1: Encryption type: 3des
debug1: Received session key; encryption turned on.
debug1: Installing crc compensation attack detector.
Disconnecting: Corrupted check bytes on input.
debug1: do_cleanup

という感じで接続が切られてしまいます。

その後手元で色々試して見た限りでは、

OpenSSH4.6p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8e

の組み合わせだとOKで、

OpenSSH4.6p1+OpenSSL0.9.8e

だけがNGっぽい感じなのですが…。
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/16(金) 16:30:52 ]: エラーメッセージでぐぐれ
openssh "Corrupted check bytes on input" "Installing crc compensation attack detector"
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/19(月) 12:37:18 ]: >>612
ありがとう。自分でググった時には見つけられなかったけど、
上記のキーワードで検索し直したらそれっぽいページに辿り着けたよ。

ちょっとOpenSSLにパッチ当ててみる。
614 名前：名無しさん＠お腹いっぱい。 [2007/03/22(木) 05:04:35 ]: ふと思ったのですが、

退社した人とかいなくなった人がログインできないように、
authorized_keys のエントリを消したい場合、
authorized_keysに書き込まれている公開鍵から何か情報を得ることってできる？

公開鍵のリストを自前で管理して、これは、誰々の公開鍵～って記録しておくしかないですか？
まさか、秘密鍵から公開鍵つくれるけど、消すために、秘密鍵よこせ！ってわけにもいかんし
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/22(木) 09:14:19 ]: メールアドレスついてるでしょ? それで識別すればいいじゃん。

もっとも、ちゃんとアカウントわけろやと思うわけだが。
616 名前：名無しさん＠お腹いっぱい。 [2007/03/22(木) 12:24:18 ]: >>614
とりあえずauthorized_keysのファイルをcatしてみ。
アカウントさえちゃんと分けてれば多分分かる。
ユーザ名@ホスト名が行の最後にくっついてるから。
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/22(木) 13:11:16 ]: >>614
退社した場合どうするか決っていないのにsshさせている管理自体を直せよｗ
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/30(金) 15:13:47 ]: MacOSX10.4.9です。
VNCの接続を暗号化したいと思い、SSH Forwardingを使いました。

ssh -L 5900:localhost:5900 鯖ユーザ@鯖アドレス

繋がるのですが、VNCクライアントで見に行こうとすると。

channel 3: open failed: connect failed: Connection refused

と出てしまいます。
これは何が問題でしょうか？
619 名前：名無しさん@お腹いっぱい。 mailto:sage [2007/03/30(金) 21:24:07 ]: >>618
ひょっとしてVNCのﾘｽﾝﾎﾟｰﾄが違うんじゃない?
5901とか5902とか
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/31(土) 11:22:29 ]: SMB over SSH - ヽ( ・∀・)ノくまくまー(2007-03-28)
wota.jp/ac/?date=20070328#p01
621 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/31(土) 11:35:38 ]: >>620
改めて思う。なんでファイル共有でポートを指定できないのかとｗ
622 名前：618 mailto:sage [2007/04/01(日) 10:21:15 ]: >>619

それも疑いまして、相手先のMacのVNCserverの設定を見たのですが、
ディスプレー番号0ということでport5900になっていました。

Serverのローカル接続では5900で接続できるのです。
唯一その鯖だけがエラーを吐いて繋がらず、他は繋がるので
それだけ何かがおかしいのかもしれませんが

channel 3なんてググッっても出てこなくて弱ってしまいました。
623 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/01(日) 14:50:16 ]: そのサーバのsshd_configにAllowTcpForwarding noが入ってたりしない？
とりあえずsshに-vvvでも付けて様子見てみたら。
624 名前：618 mailto:sage [2007/04/02(月) 17:39:34 ]: >>623

このようになりました

Connection to port 5900 forwarding to localhost port 5900 requested.
debug2: fd 9 setting TCP_NODELAY
debug3: fd 9 is O_NONBLOCK
debug3: fd 9 is O_NONBLOCK
debug1: channel 3: new [direct-tcpip]
channel 3: open failed: connect failed: Connection refused
debug1: channel 3: free: direct-tcpip: listening port 5900 for localhost port 5900, connect from 127.0.0.1 port 54538, nchannels 4
debug3: channel 3: status: The following connections are open:
#2 client-session (t4 r0 i0/0 o0/0 fd 6/7 cfd -1)
#3 direct-tcpip: listening port 5900 for localhost port 5900, connect from 127.0.0.1 port 54538 (t3 r-1 i0/0 o0/0 fd 9/9 cfd -1)

debug3: channel 3: close_fds r 9 w 9 e -1 c -1

他にオープンしている接続があるので接続が拒否されたということでしょうか・・・
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/02(月) 21:40:34 ]: >>624
こっちのSSH(OpenSSH 4.5p1)のデバッグメッセージとちょっと違ってるみたいです。
つなぎにいってるマシンのSSH、バージョンはいくつですか？

ローカル側のポートが既に使われていた場合、OpenSSH 4.5p1のデバッグメッセージはこんな感じですた。
チャンネルを割り当てられる前にエラーとなるので、原因は別なんじゃないないかな？

debug1: Local connections to LOCALHOST:8080 forwarded to remote address remote.example.com:3128
debug3: channel_setup_fwd_listener: type 2 wildcard 0 addr NULL
debug1: Local forwarding listening on ::1 port 8080.
bind: Address already in use
debug1: Local forwarding listening on 127.0.0.1 port 8080.
bind: Address already in use
channel_setup_fwd_listener: cannot listen to port: 8080
Could not request local forwarding.
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 00:32:56 ]: >>618
ログインした先で telnet localhost 5900 はつながるの？
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 03:45:59 ]: サーバのsshd_configにAllowTcpForwarding noを入れたら、こんなデバッグメッセージが出た。
やっぱsshd_configのAllowTcpForwardingがnoとしか思えん。

debug1: Connection to port 8025 forwarding to localhost port 25 requested.
debug2: fd 9 setting TCP_NODELAY
debug3: fd 9 is O_NONBLOCK
debug3: fd 9 is O_NONBLOCK
debug1: channel 3: new [direct-tcpip]
channel 3: open failed: administratively prohibited: open failed
debug1: channel 3: free: direct-tcpip: listening port 8025 for localhost port 25, connect from ::1 port 51473, nchannels 4
debug3: channel 3: status: The following connections are open:
#2 client-session (t4 r0 i0/0 o0/0 fd 6/7 cfd -1)
#3 direct-tcpip: listening port 8025 for localhost port 25, connect from ::1 port 51473 (t3 r-1 i0/0 o0/0 fd 9/9 cfd -1)

debug3: channel 3: close_fds r 9 w 9 e -1 c -1

サーバ側のポートフォワード設定ってネゴシエーション時には使われないんだね。
ローカル側でコネクション張りにいくまでポートフォワードできるかどうか分からないのはいいことなのか悪いことなのか。
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 06:21:52 ]: サーバ側でポートフォワーディング禁止するって意味あんのかね?
ローカルとログインした先とで適当なプログラム動かせば同じことできるのに。
コネクションはそれ専用に使っちゃうけどさ。
629 名前：618 mailto:sage [2007/04/03(火) 09:44:30 ]: ありがとうございます。

SSHのバージョンは
"OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006"

ログインした先では・・・

telnet localhost 5900
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
RFB 003.003

ちょっと不安な行がありますが、
繋がるようです。

/etc/sshd_config を見に行きましたが、
AllowTcpForwardingの項目自体がありませんでした。
しかしエラーはこの項目のno設定と同じですね。
項目を作ってyesにしてみましたが、状況は同じでした。
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 10:01:47 ]: >>629
最初のrefusedは最初にv6で繋げにいこうとしてるから。
telnet 127.0.0.1 5900にすれば出なくなるよ。
631 名前：618 mailto:sage [2007/04/03(火) 10:24:56 ]: >>630

::1 ってそういうことだったんですね・・・ありがとうございます。
632 名前：名無しさん＠お腹いっぱい。 [2007/05/06(日) 19:33:46 ]: SSHで繋いで、ちょっとトイレに行って戻ってみると、
接続が切れていることがしょっちゅうです。
朝起きたらてきめん切れています。
切れないようにするにはどうしたらよいのでしょうか？
633 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/06(日) 19:42:05 ]: sshは自動的に接続を切らない。
切ってる犯人(cshのautologoutとか)を突き止めて対策する。
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/06(日) 20:17:27 ]: >>632
NAT(NAPT)経由で接続してるんじゃない？
keepaliveを使えばいいと思う。

NATな環境で放置したSSH接続が切断される問題について
www.geocities.co.jp/AnimeComic/1098/documents/unixmemo/ssh-keepalive.html
635 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/06(日) 21:04:01 ]: >632
それはそれとして screen 使え
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 03:57:40 ]: >>635
3行でscreenを使うと切れることに対する利点を説明してください
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 09:39:02 ]: 日本語でおｋ
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 10:09:01 ]: >>636
切れても
切れてナーイ！
ねこだいすき
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 10:22:14 ]: 3行でscreen使うと status 行が使い物にならないよねー
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/09(水) 00:47:12 ]: X Forwarding使ってるとscreenじゃやっぱり困るので、
結局がVNC使ってる。WAN越しだと重いが。
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/09(水) 01:42:41 ]: VNC使ってそこでterm動かすくらいならsshだけで済むことが多いな
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/09(水) 18:33:38 ]: >>640
screen内ではpreexec(zsh)やpostcmd(tcsh)で
毎回$DISPLAYを設定してしまうのはどうだろうか。
エイリアスを定義して、アタッチするときにはファイルに$DISPLAYを
書いてからアタッチする。screen内では毎回そのファイルを見て
コマンド実行前に$DISPLAYを設定する。
複数のdisplayを同時並行で使わないというのが前提になるが、
時々自分の居場所が違うというくらいなら。
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/13(日) 01:33:16 ]: 大学内でのみ見られるウェブページを自宅から見たいと思っています。
puttyでダイナミックなポートフォワードを設定して
firefoxのProxy(SOCKS)に指定したところ、
IPアドレス直打ちだと見られるようになったのですが、
foo.bar.ac.jpのように入力するとサーバが見つからないと怒られます。
リモート側で名前解決をしてくれればいいのですが、
putty・firefox・OpenSSHのどの設定なのか、そのあたりから分かりません。
どなたかご教示ください。
644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/13(日) 02:07:59 ]: >>643
Firefoxなら、「about:config」で
network.proxy.socks_remote_dns
を「true」に変えればリモートで名前解決してくれたと思う。
645 名前：643 mailto:sage [2007/05/13(日) 02:56:24 ]: >>644
できました！
何時間も無関係の設定とにらめっこしてました。
本当にありがとうございます。
646 名前：sage [2007/05/20(日) 02:39:50 ]: どなたか教えてください…
filezillaを使って、LAN内のサーバからsftpでファイルをダウンロードすると速度が4MB/sくらい出るのですが
外からLAN内のサーバにsftpでアクセスしてダウンロードすると300kB/sくらいしか出ません。
ftpの場合は十分速度が出ていたのでネットワークには問題は無いと考えています。
この速度差は普通なのでしょうか？
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/20(日) 02:40:51 ]: sage損なった…
648 名前：名無しさん@お腹いっぱい。 mailto:sage [2007/05/20(日) 07:56:47 ]: >>646
filezillaとか使ったこと無いけど，sftpよりscpのが速いよ。

あと、LANとWANの回線の太さは同じなの?　NICとかは?
最低限環境書かないと，誰も答えてくれないよ。
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/20(日) 08:27:37 ]: 暗号化に時間がかかってるんじゃないの？
650 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/20(日) 22:30:37 ]: >>648
暗号化と復号によるコスト。
ftpだとどこかでキャッシュが有効だったりして高速だったという可能性は？
651 名前：650 mailto:sage [2007/05/20(日) 22:31:20 ]: 646へのレスでした。
652 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/21(月) 05:02:32 ]: CPUの速いのに変えたら、速度差はなくなりました
653 名前：646 mailto:sage [2007/05/22(火) 00:51:24 ]: 返事遅くなって申し訳ありません。レスありがとうございます。
あまりにも環境についての情報が少なすぎました、すみません。
sftpサーバはunixで、LAN内のマシンはWindows、外(他人の家)にWindows機、という状況での話でした。

この間に自分なりに得た結論は、filezillaの元となっているputtyのpsftpかな…が問題だということです。
外のWindows機からpsftpを使用してsftpでダウンロードを行うと同じような300kB/sという結果となりました。
外Windows機と同じLAN内に置いたLinux機からsftpコマンドで行うと速度が1.5MB/sほどでました。

>648
ありがとうございます、scpを使うことにします…
回線はLANが100BASE、WANが光なので速度差はさほど問題ではないと思います。

>649
スペックは全てのマシンが十分すぎるほどです。
全てのサーバ・クライアント両側ともCPU使用率は5%を超えていませんでした。

>650
暗号化・復号化によるコストならば、LAN内でも遅くなるんじゃ…
キャッシュの可能性はありません。
654 名前：646 mailto:sage [2007/05/22(火) 00:56:34 ]: CPU使用率は5%以下、ってのは速度が十分に出てない場合のときです、すみません。
速度が出てるときは55%前後になっていました。
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/22(火) 04:41:28 ]: プロバイダはどこだ？
プロバイダは普通http、ftpに最適化されてるぞ
他のポートは、p2pかもしれないということで、帯域制限されている。
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/22(火) 10:05:04 ]: どこの田舎だよそんな DQN プロバイダ
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/22(火) 18:55:06 ]: @nifty は非道かったよ
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/22(火) 18:57:42 ]: 良心的なプロバイダっていま何処が残ってるの？
659 名前：648 mailto:sage [2007/05/22(火) 19:56:53 ]: >>646
なるほど、puttyのsftpだと遅いんだ。
うちはLinux機しかないから試せないけど、Cygwinのopensshでsftpだとどうだろうね?

ちなみに、うちはLAN内もWANもscp使ってて、ポートもウェルノウンじゃないポート使ってるけど、ADSLだからなのかそういう制限は無いなぁ。
660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/22(火) 22:47:55 ]: >>658
InfoSphereかIIJに直接SOHO系サービスで契約
帯域欲しけりゃ金払え
661 名前：646 mailto:sage [2007/05/23(水) 01:04:05 ]: >655
プロバイダはOCNです。
Linuxからは速くてWindowsからは遅いってことからプロバイダの問題ではなさそうな気がします。

>659
また別の友人から、Cygwinでopensshのsftpでダウンロードしてもらったら1.8MB/s出ました。
WindowsのFilezilla、psftpはやはり遅かったです。
sftpクライアントソフトかWindowsがダメだという結論になりそうです…
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/23(水) 08:38:59 ]: >>660
InfoSphereからのSPAMときどき来るけどなぁ
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/23(水) 10:23:24 ]: >>661
OpenSSHはともかくとして、Cygwin自体は糞遅くないか？
664 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/23(水) 10:29:40 ]: だからなに？
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/23(水) 10:33:07 ]: 664は>>662ね。
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/23(水) 11:57:16 ]: cygwinで速いと言うことはWindowsの問題じゃなくて、単にクライアントの問題じゃないのでしょうか？
もしよろしかったら、これを試してみてはいかがでしょうか？
core.ring.gr.jp/archives/net/ssh/SSHSecureShellClient-3.2.9.exe
667 名前：646 mailto:sage [2007/05/23(水) 18:23:21 ]: >663
自分はCygwinは触ったことないんでわからないです、すいません…

>666
こ、こいつはすげぇ…1.5MB/s出ました、ありがとうございます！
WinSCPよりも速い…やはりクライアントの問題のようですね。
これで日本語が使えれば最高ですね。
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/23(水) 19:07:15 ]: exeの直リン怖い
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/23(水) 20:12:30 ]: ssh.com謹製のクライアントのほうがまともなのは確かだな
OpenSSHはトロイ配った前科があるし、劣化コピーのWinSCPはいわずもがな
670 名前：￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣ mailto:sage [2007/05/23(水) 21:17:15 ]: 　　　　　∧__∧ 　 ________　　　
　　　　　<# ｀Д´>/￣/￣/ 　　　ウリナラ(ssh.com)製以外は粗悪品ﾆﾀﾞ！
　　　　　（二二二つ /　と）　　　
　　　　　　| 　　　/　 / 　/　　　
　＿＿　 | 　　￣|￣￣　　　　　
　＼　￣￣￣￣￣￣￣＼　　　　　
　　||＼　　　　　　　　　　　＼　　
　　||＼||￣￣￣￣￣￣￣||￣
　　||　 ||￣￣￣￣￣￣￣||　
　　　 .||　　　　　　　　 || 　
671 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/24(木) 13:17:21 ]: WinSCPで試してみたらどう？
内部で、psftp使ってるかもわからんけど
672 名前：名無しさん＠お腹いっぱい。 [2007/05/24(木) 13:18:15 ]: って、WinSCP試したあとか。スマソ

>>666
試してみたいのだけど、これのホームページってないですか？
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/24(木) 13:28:22 ]: >>672
www.ssh.com
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/25(金) 10:30:45 ]: >668
ringサーバで怖いって、頭悪い？
675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/25(金) 10:37:29 ]: >>674
ring サーバだとなんで怖くないの？
676 名前：名無しさん＠お腹いっぱい。 [2007/05/25(金) 10:51:08 ]: おまえらまんじゅう怖いをしらねーのかよ
677 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/25(金) 11:07:16 ]: exeの直リンはとても危険です！！！むやみにクリックしないようにしましょう。
ちゃんとzipで固めてあれば展開して中のexeをクリックしても安心です。
678 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/25(金) 11:27:16 ]: いちいちサーバのドメインなんか覚えてないからな
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/25(金) 13:31:08 ]: 相変わらずopenssh.comが㌧㌦
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/25(金) 20:58:04 ]: >>677
目から鱗！
有益な情報ありが㌧
681 名前：名無しさん＠お腹いっぱい。 [2007/05/25(金) 21:29:41 ]: んなわけねーだろw
682 名前：名無しさん＠お腹いっぱい。 [2007/05/26(土) 08:32:57 ]: ローカルに一旦保存して実行する前にウイルスチェックすれば、
リンク先がzipだろうがexeだろうが変わらんよ
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 08:54:52 ]: ringサーバは一旦ウイルスチェックされているから安全だよ
684 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 11:09:07 ]: 古いファイルはMD5やSHA1でググると見つかる
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 13:22:20 ]: exeでもzipでも素性がわからんと実行する気になれないから
結局リンク元を探すことになって余計な手間がかかる。
686 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 13:23:48 ]: ウィルスチェックって、新しいウィルスは検出できないよね。
687 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 14:34:21 ]: 新しくなくても、中国で流行っているようなタイプは情報が出てこなくて未対応な事がある。
実際、中国出張でウイルス持ち帰ってきて被害が出た事例がある。

過去に流行ったものかどうかのチェックができるだけでも良しとするか、
完璧でないからダメだと思うかはその人次第
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 14:38:14 ]: 俺がもしこういうスレでウィルスばらまくとしたら、完全自作で未公開の物をまくだろうな
689 名前：名無しさん＠お腹いっぱい。 [2007/05/26(土) 15:14:57 ]: わざわざそんなことしなくてもエロ画像ってリンクしとけばほいほいふむだろ
690 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 15:41:23 ]: な、なんだってーｗ
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 15:58:03 ]: いつまでやってんだ
692 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/26(土) 16:05:25 ]: 次の春が来るまで・・・
693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/27(日) 06:48:32 ]: ワッフル　ワッフル
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/27(日) 21:24:18 ]: 最新版には非商用版はなくなっちゃったの？
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/28(月) 04:06:15 ]: もともとオープンソースだよ
696 名前：名無しさん＠お腹いっぱい mailto:sage [2007/05/28(月) 05:44:23 ]: sshはよくわからんことになってる
opensshは今まで通りです
697 名前：名無しさん＠お腹いっぱい。 [2007/05/29(火) 04:10:45 ]: フォワーディング？でvnc接続したいんですが、繋がりません。
cygwin$ ssh -g -L 5901:localhost:5901 server

クライアントはRealVNC
server:1 ○ localhost:1 ×

接続試行後にプロンプトが出ます：
[ VNC Viewer : Question ]
　The connection closed unexpeectedly
　Do you wish to attempt to reconnect to localhost:1?
　　Y N

同時にcygwinに出力されます
channel 2: open failed: connect failed: Connection refused

原因が分かりません、どなたか教えてください。
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/29(火) 05:11:11 ]: cygwin$ ssh -g -L 15900:localhost:5900 server
699 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/29(火) 16:48:21 ]: >>698
？
700 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/29(火) 17:40:39 ]: viewer側のFWで5901番ポートがブロックされてるだけじゃね
sshクライアントが5901番ポート開放できるようにしないと
701 名前：名無しさん＠お腹いっぱい。 [2007/05/30(水) 05:06:02 ]: >>700
あ、成る程、試してみます。
702 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/31(木) 00:17:46 ]: >>700
だめでしたorz
原因が分かりません･･･
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/11(水) 20:37:19 ]: あるPCで秘密鍵と公開鍵を作って、
それらをほかのPCにコピーしてSSH認証ってできないんですか？
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/11(水) 20:53:55 ]: Yes.
705 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/11(水) 22:25:56 ]: ふつうにできるだろ…常識的に考えて…
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/11(水) 22:26:43 ]: だから "Yes." って答えてるじゃん。
707 名前：名無しさん＠お腹いっぱい。 [2007/07/11(水) 23:20:35 ]: >>705
日本語で言えば「いや、できるよ」って意味が英語で言えばyesな。
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/12(木) 02:47:39 ]: >>703
できるけど、鍵の形式には注意な。ssh.comとOpenSSHが混在してると、コンバート必要。
あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/12(木) 06:55:27 ]: >>708
> あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。
なんでだよ。お前わかって無いな。
710 名前：名無しさん＠お腹いっぱい。 [2007/07/12(木) 10:27:15 ]: >>709
まともに鍵管理できない奴がいると秘密鍵を世界に向けて大公開してしまうしなー
管理者がジャムおじさんクラスだともうgdgdｗ
ttp://pc11.2ch.net/test/read.cgi/unix/1156065192/792
711 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/12(木) 21:58:55 ]: >>710
共有していても、してなくても盗まれるリスクは同一だ。

> まともな管理者なら原則禁止してるだろう。
これは、お前の創作した原則か?
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/12(木) 22:27:51 ]: 変なひとが一人でプンプンしてる・・・
713 名前：名無しさん＠お腹いっぱい。 [2007/07/12(木) 22:46:37 ]: >>711
同一じゃないだろ・・・
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/12(木) 23:11:35 ]: パスフレーズ無しにできるのも危険要素のひとつだ罠
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/12(木) 23:30:29 ]: 各ホストのセキュリティリスクに違いがあった場合に、
一番弱いところにレベルがあうのが危ないんじゃないかってことかな？？
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/12(木) 23:48:15 ]: パスフレーズの有無と秘密鍵の共有は無関係だし、
秘密鍵を盗まれれば、それが共有であろうが無かろうが、
その秘密鍵を受け入れるマシンへは侵入できることになる。

弱いところに置いた鍵では重要なマシンにアクセスさせないという
運用も無理やりこじつければありだが、そんなマシンに秘密鍵おく
必要は無い。
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/13(金) 00:11:22 ]: じゃ、パスワード認証禁止してるマシンにはどうやって入るの？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/13(金) 00:21:20 ]: プンプン君はそんなとこから入るな、と言いたいんじゃね。
でも入らなきゃいけない時もある。で、そのマシン用に鍵を新たに作る、と。
719 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/13(金) 02:12:55 ]: お前ら、わかってないだろ。ログイン先に秘密鍵を置く必要は無い。

パスワード認証禁止しているということは、公開鍵を管理者に
渡せば追加してくれるんだろ。
なぜ、新たに鍵を作る必要があるんだ?
720 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/13(金) 02:33:27 ]: > ログイン先に秘密鍵を置く
誰が言ったんだよそんなこと
721 名前：名無しさん@お腹いっぱい。 [2007/07/13(金) 22:03:12 ]: 盛り上がって参りました。
722 名前：名無しさん＠お腹いっぱい。 [2007/07/14(土) 22:14:43 ]: 侵入経路を特定する意味でも、鍵は共通化させないほうがいい。

あとで犯人探しするときに
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/14(土) 22:42:25 ]: PAMやLDAPであらゆるサービスのパスワードを共通にしているｱﾌｫ管理者もいるｗ
724 名前：名無しさん＠お腹いっぱい。 [2007/07/15(日) 06:27:12 ]: そんな管理者は私刑でいいよ
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/15(日) 09:16:14 ]: ちゃんと暗号化できている通進路で使うパスワードは
共通化しても良さそうに思うけど?
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/15(日) 11:15:07 ]: >>725
ヒント: 一度漏れたら全部おじゃん
727 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/15(日) 20:22:20 ]: >>725
つーか暗号化してる通信路でそこまで信頼しちゃうなら
telnetでも使っとけよ
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/16(月) 14:57:57 ]: うちの会社、管理者が唐突にパスワード認証禁止されたあと、
みんな不便ー、とぶーたれてた。
いつにころからか、だれが広めはじめたのか知らないが
パスフレーズ無し秘密鍵が流行りだして
みんな便利ー、といってる。
どっちのほうがよかったんだか。。。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/16(月) 20:56:38 ]: >>728
流行りのパスワード攻撃を考えれば、公開鍵認証のほうがいいだろうな
730 名前：名無しさん＠お腹いっぱい。 [2007/07/20(金) 01:02:45 ]: >>728
昔は .rhosts 書いて rsh なんか動かしてたわけで、それがセキュアになったと思えばいいんじゃね?
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/20(金) 01:04:04 ]: rshよりもマシ、と3回唱えるわけか
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/20(金) 20:50:01 ]: 秘密鍵の取り扱いにさえ気を付ければ大丈夫なんじゃない？
もれはputty-agentにパスフレーズ記憶させてる。パスなしよりはまし？
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/21(土) 02:51:31 ]: パス無しもパスありも大差無いので
趣味だと思う。
734 名前：名無しさん＠お腹いっぱい。 [2007/07/21(土) 02:52:51 ]: パスアリパスナシパスパス
735 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/21(土) 09:46:05 ]: >>732
エージェントフォワードに気をつければ全然OK

>>733
鍵を置く場所で全然違う。
736 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/10(金) 11:39:29 ]: # SSHプロトコルの指定
Protocol 2

# rootでのアクセス
PermitRootLogin no

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# パスワード認証
RhostsAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no

# ユーザアクセス権
AllowUsers test

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# 最大起動数（SSHピンポンダッシュ）
MaxStartups 3:75:7

# パーミッションチェック
StrictModes yes

# ~/.rhosts or ~/.shosts ファイルの無効化
IgnoreRhosts yes
737 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/10(金) 11:40:17 ]: # チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

#その他
X11Forwarding no

以下はProtocol 2なので設定不要？？
RhostsRSAAuthentication no
RSAAuthentication yes

sshっていうものをしって設定してるのだがプリコトル2で鍵アクセスするならこんな感じの設定でいいのかな？
738 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/10(金) 17:28:00 ]: SSHアクセスしてviやemacs使うとき、日本語が入ったファイルだと文字エンコードが合わなくて文字化けしちゃうんですが、
これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
/etc/man.configをPAGER /usr/bin/less -isr、PAGER /usr/bin/lvなどと編集する以外に方法はないのでしょうか？
複数のファイルが、異なったエンコード方式で保存されている場合、それらを毎回eucJPだったりsjisだったりutf-8だったりに書き換えなきゃいけませんか？
739 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/10(金) 17:28:46 ]: 書きそびれました。
サーバ側はUbuntuで、SSHクライアント側はMacのコンソールです。WindowsのPuTTYでも構いませんが。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/10(金) 17:30:58 ]: >>738
SSH の話ってより Ubuntu の話だから
こっちで聞いた方がいいよ。
【deb系】Ubuntu Linux 15【ディストリ】
pc11.2ch.net/test/read.cgi/linux/1183177389/
741 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/10(金) 18:03:35 ]: >>738
> これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
↑Ubuntu やなくて、RedHatちゃう？
742 名前：名無しさん＠お腹いっぱい [2007/08/19(日) 12:55:14 ]: OpenSSH 4.7/4.7p1
もうすぐみたいね。
早い人たちはtesting参加してるのかな?
743 名前：名無しさん＠お腹いっぱい。 [2007/08/24(金) 08:29:02 ]: ttp://ex23.2ch.net/test/read.cgi/ghard/1187884772/433

> 433 名前：名無しさん必死だな [sage] 投稿日： 2007/08/24(金) 08:10:22 ID:OpeNssh/0
> GC版は人数集めてやる場合でも
> ミクロでないGBAを用意しないといけないのが厳しいからなぁ。
> ポケモンマニアでもないのにGBA何台も買ってられないしｗ

ID:OpeNssh/0
ID:OpeNssh/0
ID:OpeNssh/0

( ﾟдﾟ )
744 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/24(金) 16:09:31 ]: すごいな
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/05(水) 18:58:58 ]: OpenSSH 4.7/4.7p1が出てた
746 名前：名無しさん＠お腹いっぱい。 [2007/09/05(水) 19:41:03 ]: AからBに鍵認証でSSH接続したい。
Aで秘密鍵・公開鍵を生成してBのauthorized_hostsに公開鍵を書き加えてやったらログインできたんだが、
Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。
ログインしようとしたらPassword:となるから鍵認証はスルーされているような。
747 名前：名無しさん＠お腹いっぱい。 [2007/09/05(水) 19:42:29 ]: ×authorized_hosts
○authorized_keys
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/05(水) 20:19:06 ]: >Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。

Bの sshd の設定なりを確認

あと sshd の出所が違って authorized_keys の書式とかが違う可能性もあるね
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/05(水) 22:32:48 ]: ＞Aに公開鍵を渡して、AからBにsshで鍵認証ログイン
Bはログインされまくりですか？
750 名前：名無しさん＠お腹いっぱい。 [2007/09/07(金) 09:44:15 ]: OpenSSH 4.7 has just been released. It will be available from the
mirrors listed at www.openssh.com/ shortly.
751 名前：名無しさん＠お腹いっぱい。 [2007/09/07(金) 12:42:59 ]: hobby9.2ch.net/test/read.cgi/chakumelo/1119447963/
752 名前：名無しさん＠お腹いっぱい。 [2007/09/21(金) 17:41:29 ]: リモートログインして作業をしていたら突然
Disconnecting: Corrupted MAC on input.
と言われて切られてしまいました

この解決方法を教えていただきたいのですが
753 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/21(金) 17:44:43 ]: ssh の問題じゃなさそうだなーとは思わなかったのか?
754 名前：名無しさん＠お腹いっぱい。 [2007/09/21(金) 17:50:24 ]: >>753
全く

今日突然出てきたもんで
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/21(金) 17:52:54 ]: 突然出たなら何でsshが原因なんだと思うんだろ
756 名前：名無しさん＠お腹いっぱい。 [2007/09/21(金) 18:03:36 ]: >>755
リモートログインしていた状態で
Disconnecting: Corrupted MAC on input.
とでてきたわけですから
まずここに聞きにくるのは自然の流れかと

違うんであれば他の場所で聞きますので
適当なスレがあれば教えてください
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/21(金) 18:20:23 ]: >>752 は MACって何か知らない、に1票。
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/21(金) 18:34:08 ]: ttp://www.unixuser.org/~haruyama/security/openssh/dat/pc5.2ch.net_80__unix_dat_1058202104.html

ここの255あたりは参考になるかな?
759 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/21(金) 18:38:18 ]: MAC はイーサアドレスの事で、sshは無関係

そんな風に考えていた時期が僕にもありました
760 名前： ◆TWARamEjuA mailto:sage [2007/09/21(金) 20:59:48 BE:6861479-2BP(6825)]: (´-`).｡ｏＯ(まずぐぐるのが自然の摂理だと思うけれども。。。)
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/21(金) 21:04:00 ]: ttp://www.google.com/search?q=Disconnecting+Corrupted+MAC+input

それっぽいのがたくさんあるね
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/21(金) 21:54:16 ]: etherのMACだったら
> Disconnecting: Corrupted MAC on input.
こんなメッセージは不自然だとは考えないのかな。 >>753は。
763 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 08:55:10 ]: 設定変更してないのに出たら別の所疑えよ
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 10:14:54 ]: >>752の情報から「設定変更してない」と断定できてしまうキミはエスパー。
でも、ソフトウェアエンジニアとしての資質が欠如している。
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 10:24:29 ]: >>764
「設定変更してないのに出『たら』」
『たら』は仮定を表すのでこの文は仮定文だが、
それを断定文と誤読してしまうキミは
日本人としての国語能力が欠如している。
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 10:45:41 ]: >>765
「設定変更してない」のに出たら

俺は 764 じゃないけど断定してる（と思われている）のはここジャマイカ
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 10:51:49 ]: if (設定変更してない && 出た) { ; }
だろ。

if節の中に何を言っていても断定ではない。すべて仮定。
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 11:07:12 ]: 「出た」は既に発生した事象なので
設定変更してない && 出た == 設定変更してない && true == 設定変更してない

詭弁を弄し黒を白と言いくるめようとする情熱を持つキミはSEの資質を120%持っている。
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 11:21:58 ]: >>767
そういう言い方ってのは
それまでの文脈で事象 ( 設定変更してない && 出た ) が既出でないと不自然だから
“結果として”断定しているわけだ

>>768
よくわからん
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 12:35:59 ]: >>768
お前ファビョりすぎだろｗ
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 12:47:29 ]: おまいら落ち着けよｗ
要は最初の質問者が問題なだけの話しだろ
最初の質問者で無い限り、そんな論点で熱くなるのはどうかしてる
772 名前： ◆TWARamEjuA mailto:sage [2007/09/22(土) 14:42:09 ]: もうお彼岸なのに暑い日が続きますよね。
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/22(土) 19:06:39 ]: 設定変更したんなら戻せよ、でしかないな
774 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/23(日) 14:55:37 ]: >>752
訂正不可能な媒体上の化けが原因ではないかと。

物理的にNICがおかしいという問題から始まって、
最後にはOSのメモリ管理あたりにまで遡及して、
トラブルシューティングする必要あり。
　
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/23(日) 20:06:11 ]: MACのアルゴリズムが変わったってことはないのかな
デフォルトがHMAC-MD5からHMAC-SHA1とか
776 名前：774 mailto:sage [2007/09/23(日) 23:16:38 ]: 俺が見た例は、

・FreeBSDでGbEを挿したら調子悪かったとき。
・NICが壊れかけた時
・安物スイッチから煙が出たとき。

MACって略語やめればいいのに。

Message Authentication Code　= MAC
Media Access Control address = MAC
Mandatory Access Controll = MAC

これらの概念は全部　UNIX-OSを管理すると
出くわす可能性が在る。
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/24(月) 12:29:20 ]: 2つめはMACじゃなくてMACアドレスと言わんか?
778 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/24(月) 13:01:55 ]: IPアドレスのことをIPって言ういるよ
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/24(月) 13:02:46 ]: ちょっと詳しくなって専門用語を覚えたてのやつは往々にして変な略しかたをする
780 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/24(月) 13:02:56 ]: ×言ういるよ
○言う人いるよ
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/24(月) 22:09:16 ]: ×言ういるよ
○言うアルよ
782 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/25(火) 21:38:24 ]: 一番有名なの忘れてるよ。

Machintosh = MAC
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/26(水) 01:53:42 ]: それはMac
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/26(水) 09:44:16 ]: 俺の中でMACと言えば工具メーカー
785 名前：名無しさん＠お腹いっぱい mailto:sage [2007/09/26(水) 10:16:13 ]: UTF-8 tera term proでログインしようとすると接続が切られ強制終了してしまいます。指定されたポートも開けてあるのですが、他に何が原因でしょうか？
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/26(水) 11:42:40 ]: # てるねっとさーば 22
してみろ

接続できるならてらたーむ
そうでないなら相手(or経路)の問題
787 名前：785 mailto:sage [2007/09/26(水) 15:48:56 ]: SSH-1.**-openSSH_3.*.***と出てきました。相手・経路の問題ではなさそうなのですが、テラタームの端末の設定でしょうか？過去ログを読んでみたのですがよくわかりませんでした。。初心者ですいません！対処法を教えて欲しいです(T_T)
788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/26(水) 15:57:29 ]: UTF-8対応版ってことはSSH2にも対応しているので、それが原因じゃないよね。
ログインしようとしてるのは、自分の管理してるサーバ？
ログを見れば大抵の原因はすぐにわかると思うけど。

今の状態だけでエスパー的に判断するなら、鍵認証しか許可していないのに
パスワード認証でログインしようとしてるとか、rootでログインしようとし
てるとか、一番ありそうなのはそんなところか？
789 名前：785 mailto:sage [2007/09/26(水) 16:26:25 ]: SSH1もSSH2でもログイン出来ませんでした。ログイン使用としているのはリモートサーバー（他大学への）です。
rootでは利用していないです。鍵認証なしでログインしようとしてますが、サーバー関連HPには鍵認証のみとは書いて無かったんですが。。。
790 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/26(水) 20:31:32 ]: cygwinでsshもってきて、ssh -v してみろ
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/26(水) 20:52:28 ]: >>789
上でも書かれているように、とりあえずCygwinのsshやPuttyなど
別のクライアントで試してみて、サーバとクライアントのどちら側の
問題なのかを切り分けてみた方が良いかも。

あと、「切断される」だけじゃわからないので、どういう風に切断
されるかとか、何かエラーメッセージが出てないかとか、初めて接
続しようとしているのかとか、書けるだけの情報は書いた方が他の
人からも返事をもらいやすいと思うけどね。
792 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/27(木) 02:07:01 ]: root@APサーバでJavaからsshを実行し、BDサーバにrootで入ってshellを呼び、Javaを実行しているのですが、

DBサーバ側の処理は正常終了しているのに
なぜかプロセスが残ってしまいwaitFor()で戻ってきません…

~/.bashrc に shopt -s huponexit を入れてみたのですが効果がありませんでした。

APサーバのJavaでは「ssh *.*.*.* sh foo.sh」な感じで呼んでます。
Telnetなどで上を直接たたくとプロセスはきちんと消えるのです。
どなたか原因が分かる方いらっしゃいますか？
793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/27(木) 02:22:30 ]: エスパー回答。

stdoutが詰まってる。
794 名前：792 mailto:sage [2007/09/28(金) 01:09:15 ]: >>793

遅れてすいません。
会社からでは２ｃｈに書き込めませんでした。

結果は回答していただいた通りでした！！！
APサーバ側で標準出力を取っていたのですが、
エラー出力も吐き出させないと駄目なんですね。
そもそも「吐き出させる」というイメージが全然ありませんでした。

首の皮一枚でなんとかクビにならずに済みました。
本当にありがとうございました。
795 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/30(日) 11:17:17 ]: openssh なんだが、utmp/wtmp 書き出しを enable してるとき、
ssh 経由のターミナル接続は utmp/wtmp に確かにログするけど、
sftp はログしないよね。これって、確信的な仕様？syslog とか
secure を使え、という指導がされてるってことかな？
796 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/30(日) 11:25:08 ]: struct utmpはメンバーとして端末名をもっている。
端末(pty)アロケートしない場合はログインと見なしていないのは当たり前。
797 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/30(日) 11:40:03 ]: >>796 ut_line 空にしといても良いじゃん。
そしたら、どっかに不都合でるの？
798 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/30(日) 16:43:44 ]: >>795
パッチ作って送ったら? デフォルトにはしないで
sshd_configのオプションでOn/Offするように
してたら採用してくれるんじゃない?
799 名前：795=797 mailto:sage [2007/09/30(日) 17:33:50 ]: openssh の ML アーカイブ調べたら、んじゃ俺がパッチ
作ったル、と息まいてた人が何年か前に居たけど、
逃げたか、スルーされたか、それっきりになっているみたいです。
大人しく /var/secure から拾うことにしまつ。
800 名前：Eカップ女子大生 [2007/10/03(水) 22:40:55 ]: サーバー間でコピーってどうやんの！
明日までにやんないといけないの！
助けてお願い！
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/04(木) 00:09:27 ]: とりあえず、XMODEMかな
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/04(木) 00:23:24 ]: kermit
803 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/04(木) 01:57:30 ]: ZMODEMがいいよ
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/04(木) 06:57:36 ]: zmodemでできました!!!どうもありがと
805 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/04(木) 10:58:15 ]: なんだよ、uuencode/uudecodeを教えてやろうと思ったのにｸﾔｼｰﾅｰ
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/04(木) 11:36:58 ]: ハッカーならftp bounceだな。
807 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/07(日) 21:33:07 ]: ish で固めようよ
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/08(月) 00:20:11 ]: 昔UNIX用のアーカイバで、特殊なツールを一切使わず
shellだけで書かれたアーカイバがあったと思うのだが、
名前覚えている人いない?

解凍するときは、

sh hoge.sh

ってしたらファイルが解凍される。

確か sh archiveの略でsharc だったと思うのだが、ググっても
出てこない。
809 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/08(月) 00:39:54 ]: shar？
810 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/08(月) 00:51:29 ]: 展開しなくてもざっと中身が確認できるので重宝は重宝だったね。
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/08(月) 00:52:09 ]: >>809
ありがとん！

NetNewsの頃はよく使われてたよね。
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/08(月) 00:56:59 ]: 物騒な世の中だからshar(1)で展開しろ。
sh archive
で展開する奴はクズ。
813 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 11:05:58 ]: はて。展開までサポートする shar というのは見たことがない。
GNU には unshar(1) が存在するようだが、GNU 以外で見たことがない。

っていうか、なんでこのスレ？
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 11:08:15 ]: SHスレだからだろう
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 11:20:49 ]: で、GNU の unshar のソースを斜め読みしてみたが、
テキストファイルから shar アーカイブを見つけて sh に渡してるだけで、
unshar を使っても shar アーカイブの中の物騒なスクリプトは
回避できないことがわかった。
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 21:27:36 ]: make もパッケージ物のインストールも
結局信用しないと実行できないね。
817 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 09:26:06 ]: >>814
Secure Shell Archiver を目指すということなのかｗ
818 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 11:44:31 ]: >>817
sshar…　どう発音すればいいんだ（ｗ
819 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 11:49:14 ]: IMのローマ字入力に従って「っしゃー」はどうか?
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 12:37:08 ]: 「すしゃーる」がいいよ。
フランス語っぽくてちょっとかっこいいだろ。
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 13:40:52 ]: スレ違いネタはいいかげんやめれ。
822 名前：名無しさん＠お腹いっぱい。 [2007/10/11(木) 00:24:55 ]: puttyスレより適切かと思いこちらに来ました。ご教示ください。

local→GW1→GW2
みたいな時、→のところをそれぞれ異なるパスフレーズをputtyjpで
トンネルしているのですが、例えば最初にあげるputtyではL9974 10.128.128.10:22
みたいになっていて、二回目にあげるputtyでは、127.0.0.1の9974を
接続先のポートに指定することでログインは出来るようになりました。

このとき、GW2であげているVNCサーバー（例えば、ディスプレイは1）の時に
二つのputtyjpでトンネルはどのように記述すればよいでしょうか？

VNCだと5901をトンネルするんだよなぁ、、、と迷っています。

よろしくお願いします。
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 02:35:21 ]: モット単純に出来る。
824 名前：名無しさん＠お腹いっぱい。 [2007/10/11(木) 14:58:24 ]: 自社で sshd を外部からのアクセスのために運用していますが、ログインしっぱなしの人が多いため、
(ssh でログインしてきたけど、一切パケットが流れていないが接続は確立している状態)
これを制御したいです。どうしたらいいでしょうか？

sshd_config で KeepAlive という項目がありましたが、これを
Yesにしても、クライアント側がクラッシュしたとか強制的に電源を切ったときに、
サーバ側でのプロセスをゾンビにせずにkillするのであって、
今回の目的には使えない、という理解であってますよね？

ブロードバンドルータや NAT などで、LAN 内からインターネット上の
ホストに ssh で接続し、何も操作していなかったらタイムアウトして
コネクションが死ぬ場合がありますが、これは sshd の設定ではなく、
ブロードバンドルータの設定ですよね。
場合によっては、パケットリピータを sshd の前にかまして似たようなことをするしかないかな。
(delegate、stone みたいなのでできるのだろうか)

なお、ログインしてシェルを開いて while 文で date; sleep 300 みたいなことを
したり、putty とかでダミーパケットを定期的に送ってくる人がいますが、
これは防ぎようがないのであきらめますが、冒頭の私の目的を達成するために
何かいいアイデアがあれば、よろしくお願いします。
825 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 16:15:07 ]: 私は毎朝rebootかけてるYo!
826 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 17:11:31 ]: >>824
ログインしっぱなしでいいじゃん
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 19:24:56 ]: >>824
通貨、OSぐらい書いたら？
828 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 20:13:47 ]: つうか、まずはmanぐらい読んでみたらと。
829 名前：824 mailto:sage [2007/10/11(木) 20:23:07 ]: >>827
すみません、サーバ側のOSは FreeBSD で、OpenSSHを使っています。

クライアント側は特に絞っていません。(Windows ユーザ、Linux ユーザ、Macユーザあり)

とりあえずクライアント側はおいといて、サーバ側で何かできるかがあればうれしいです。
830 名前：824 mailto:sage [2007/10/11(木) 20:35:45 ]: man sshd と man sshd_config は読みました。
www.unixuser.org/~euske/doc/openssh/jman/sshd.html
www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
しかし私の目的が達せられそうなものは見つけられませんでした。
もしあるのだったら、キーワードだけでもいいので教えてください。

※
824 では書きませんでしたが、 ClientAliveCountMax、ClientAliveInterval も、
ssh 上で何も操作していなくても ssh 接続が正しく確立していれば、サーバ側から
生存確認を送ってもクライアントが返してしまうので、サーバ側で接続を切ることはできないと
理解しています。
831 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 20:44:30 ]: ttyのidle時間が一定以上ならsshdにHUP送れば?
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 20:53:14 ]: >>830
シェルの autologout でも設定しておけば?
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 21:30:57 ]: >>832
ワシもそう思ったから念のためにOSを聞いたのだ。
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 22:25:45 ]: 別に深く考えずにこれをcronabに書いとけYo!

30 3 * * * /sbin/shutdown -r +3
835 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 23:08:23 ]: >>830
idled使え。FreeBSDならportsに入ってる。
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 07:58:11 ]: Mac OS Xの10.4なんですが、ローカルのターミナルで
DISPLAY変数がセットされていてxeyesなども実行できる状態から
別のマシン(同じくMac OS X 10.4)にssh -Xしても
向こう側でDISPLAY変数がセットされない。-Yオプションでもだめでした。
~/.ssh/configでもForwardX11 yesにしてます。

以前にLinuxで同じようにするとDISPLAY変数が:10.0みたいな感じに
自動設定されたと思うんだけど、他にどのへん確認したらいいでしょうか?
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 08:02:30 ]: ターミナル：Terminal.app？
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 10:39:05 ]: >>836
ssh -vvで確認。
たぶんxauthあたりの問題。
839 名前：836 mailto:sage [2007/10/12(金) 12:09:06 ]: 相手側のsshd_configでX11Forwarding yesを設定したらいけました。
デフォがnoでした。ごめんなさい。ごめんなさい。
840 名前：824 mailto:sage [2007/10/12(金) 15:04:36 ]: レスを下さった方、どうもありがとうございます。

やはり sshd 側で切ってしまうことはできなさそうなので、教えていただいたように
ssh の外の世界でできないか考えて見ます。

shell の autologout が一番簡単そうですが、ユーザ側で設定を変えることもできてしまいます。
ダイヤルアップルータがやっているように、ipfw や外のファイアウォールで、そのセッションが無通信だったら
切るということもできそうですが、複雑になりそうなので、>>831 をやるシェルを書いて cron で回すか、idled を
使ってみる方向でやってみます。
841 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 16:36:24 ]: >>840
シェルを書く? シェルを改造してautologout強制させるるのか?
842 名前：824 mailto:sage [2007/10/12(金) 18:00:47 ]: あ、 bash 等を改造するのではなく、
ps して idel 時間を調べて、長かったら kill　するようなシェルスクリプトという意味です
(スクリプトという言葉が抜けていた)

でも担当者と話していて、ipfw で無通信が長かったら切るという方向で進めようかな、と思ってきた。
(できるかどうか調べ中ですが)
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 18:30:19 ]: screenで作業してる奴がぶーたれそうだな>824
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 00:35:05 ]: シェルってゆうな。クズ。
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 02:13:31 ]: >>840
autologout の設定を変えるくらいのやつは、
while date; do sleep 300; done
くらいのこともするのではないだろうか。
846 名前：824 mailto:sage [2007/10/13(土) 03:31:26 ]: >>843
うちの環境は、直接外からsshで入れるサーバは単なるゲートウェイなので、
そこからさらに社内サーバにsshでログインしてそこで作業しています。
screenする人は社内サーバ側でしてもらえば、と。

>>844
すみません

>>845
おっしゃるとおりですね。あるいは putty 等でダミーパケット飛ばしている人もいます。
そういうケースは仕方がないとあきらめることにしています。

話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
みなさんのところではそういう話はないですか？
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 11:45:44 ]: suse10.3でsftpをマウントしたいのですが、どのパッケージをインストールしたらよいのでしょうか？
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 11:49:51 ]: >>846
> 話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
> 「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
sshは全面(入るほうも、出るほうも)禁止にするしかないという結論が必至なので
黙っている。
849 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 12:02:57 ]: >>847
くだらねえ質問はここに書き込め！ Part 154
pc11.2ch.net/test/read.cgi/linux/1191596561/
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 16:20:58 ]: >>840
idledのCOPYRIGHTを見ると、非営利的な利用しか認めてないようだ。
会社で利用するのは問題あるような気が…。
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 19:30:09 ]: >>850
ちょっと調べたらdebianでも大昔non-free扱いで入ってたがもう削除されてるぽい。
FreeBSDってのはそういうライセンス的に微妙なのをしれっと入れるのですか…
おっと、スレ違いでごめん。
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 20:09:54 ]: スレ違いっていうより気違い。
853 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 22:13:50 ]: >>851
当たり前。ports には ssh.com の ssh も入ってるよ。
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 10:37:02 ]: >846
[おうち鯖GW(screen)]-[824社GW]-[内部鯖1]
という人のこと

>850
社内のサービスとして使用するのは、営利とは言わないはずなんだが
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 11:41:36 ]: >>854
> 社内のサービスとして使用するのは、営利とは言わないはずなんだが
それはお前の願望。「営利」の定義は著作権者によってまちまち。
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 11:49:46 ]: 大学等でも、学生が講義やレポートを作るために使う端末は非営利とされるが、
事務部で事務員が使っている端末は営利利用と判断される場合があるな。
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 14:05:35 ]: 結果的に会社の利益に結びついてんだから営利じゃね？
社内のサークル（趣味）内での利用とかなら別だが、見た感じ業務として使ってるだろ
Ex)「社内のサークル紹介Webサーバを自宅からメンテします」ってのと「社内業務用サーバのメンテします」ってのの違い
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 14:52:58 ]: その会社が営利企業の場合、
顧客に対する活動ではなく、自社の(内部向け)業務であっても、営利目的となるのでは。
非営利団体が、内部の経理作業とかの場合、非営利となるんだろうか？
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 16:10:21 ]: >>855ですでに正解が書かれてるのに何を議論しているんだ?
著作権者の定義が全て。お前ら権利を持ってないクズが定義する権利は無い。
曖昧な場合は権利者に確認すればよい。
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 01:13:41 ]: 「OpenSSH 4.7p1」 + 「OpenSSL 0.9.8e」な環境のOpenSSLを0.9.8fにアップデートしたら、
sshdを起動させようとすると「OpenSSLのバージョンが違う」的なメッセージが出て、sshdが起
動しなくなりました。
OpenSSHを再ビルド&インストールして事なきを得ましたが、OpenSSHって、以前からOpenSSL
のバージョンに依存していましたでしょうか？
861 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 01:20:00 ]: $ ldd /usr/sbin/sshd
/usr/sbin/sshd:
libssh.so.3 => /usr/lib/libssh.so.3 (0x280a4000)
libutil.so.6 => /lib/libutil.so.6 (0x280d9000)
libz.so.3 => /lib/libz.so.3 (0x280e5000)
libwrap.so.4 => /usr/lib/libwrap.so.4 (0x280f6000)
libpam.so.3 => /usr/lib/libpam.so.3 (0x280fd000)
libgssapi.so.8 => /usr/lib/libgssapi.so.8 (0x28104000)
libkrb5.so.8 => /usr/lib/libkrb5.so.8 (0x2810b000)
libasn1.so.8 => /usr/lib/libasn1.so.8 (0x2813f000)
libcom_err.so.3 => /usr/lib/libcom_err.so.3 (0x28160000)
libroken.so.9 => /usr/lib/libroken.so.9 (0x28162000)
libcrypto.so.5 => /lib/libcrypto.so.5 (0x2816e000)
libcrypt.so.3 => /lib/libcrypt.so.3 (0x28290000)
libc.so.7 => /lib/libc.so.7 (0x282a8000)
libmd.so.3 => /lib/libmd.so.3 (0x28395000)
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 02:40:06 ]: Linux初心者にオススメの無料OS、Ubuntu(ｳﾌﾞﾝﾄｩ)。
ISOイメージをCDに焼くだけで起動ディスクの完成。
ディスクを入れたまま再起動すれば即(･∀･)ｳﾌﾞﾝﾄｩ!!
既存の環境を汚さないLiveCDタイプで、安心して試せます。
気に入ったらHDDにインストールして常用も可能。

ダウンロード
www.ubuntulinux.jp/products/GetUbuntu

世界で圧倒的人気のLinux、それがUbuntu。
google.com/trends?q=Ubuntu%2CMandriva%2CSUSE%2CFedora%2CKnoppix

初心者超歓迎BBS
pc11.2ch.net/test/read.cgi/linux/1177677371/

★Ubuntu日本語サイト
www.ubuntulinux.jp/
★Ubuntu 7.04紹介記事
itpro.nikkeibp.co.jp/article/NEWS/20070420/269132/
itpro.nikkeibp.co.jp/article/NEWS/20070608/274191/
★Ubuntu 7.04インストールガイド
itpro.nikkeibp.co.jp/article/COLUMN/20070507/270108/

3Dデスクトップ環境「Beryl」
Minimizing Effects　www.youtube.com/watch?v=fgV3KTKsRRk
Desktop Cube　www.youtube.com/watch?v=xCO14ISplEg
Rain Effects　www.youtube.com/watch?v=bLQgnXDgXyE
Window Switching　www.youtube.com/watch?v=7JNEwa4-Q9s
Beryl + Wiiリモコン　www.youtube.com/watch?v=xzlAR1rPKPg
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 06:02:58 ]: >>862
> 世界で圧倒的人気のLinux、それがUbuntu。

「世界で*初心者だけに*圧倒的人気のLinux」の間違いじゃねぇの。
こんなことするから、嫌われる。
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 06:04:18 ]: >>860

--without-openssl-header-check

つけて、コンパイル。
865 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 08:28:50 ]: >>863
荒らしに反応すんな。
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 10:19:06 ]: >>862-863
ID非表示をいいことに自作自演までやってのけますかｗｗ
867 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/21(日) 21:55:16 ]: >>864
>>860じゃないけど、ありがとう！
そのオプションは、4.5p1→4.6p1で追加されたようですね。

ちなみに、>>860の
　「OpenSSLのバージョンが違う」的なメッセージ
は
　OpenSSL version mismatch. Built against 90805f, you have 908070
といったものですね（数値はOpenSSLのバージョンによって変わる）

ちなみに、私の方では、sshdが動いている状態で（停止させること
なく）OpenSSLのバージョンアップが行われたため、sshdがポートを
listenしているのに、以下のようになって接続できなくなるという
、奇妙な状態になってしまいました。
　　　% telnet XXXXXX.net 22
　　　Trying ***.***.***.***...
　　　Connected to XXXXXX.net.
　　　Escape character is '^]'.
　　　Connection closed by foreign host.
　　　%

% /usr/local/sbin/sshd -V
して上記のエラーメッセージ見てやっと気が付いた…。むぅ
syslogが出すログには何も出てこないし
クライアントからの接続要求が来たときにfork()し、生成された子プ
ロセスが（上記のエラーを理由に）即座に終了したんだと予想。
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/21(日) 23:53:50 ]: >>867
"--without-openssl-header-check"はconfigure実行時にチェックするだけ。
だまされちゃダメょ。
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/22(月) 06:14:40 ]: 要するに OpenSSL をバージョンアップしたときは、
忘れずに OpenSSH もビルドしなおせ！ってことね。
870 名前：名無しさん＠お腹いっぱい。 [2007/11/07(水) 20:29:33 ]: ssh を使ってサーバのポートを監視したいと思っているのですが
"ConnectTimeout=5"を指定しているのですがうまく動きません。

ssh -v -o "ConnectTimeout=5" hoge.local -p 80
-----------------------------------------------
OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to hoge.local [hoge.local] port 548.
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.
debug1: identity file /home/page/.ssh/identity type -1
debug1: identity file /home/page.ssh/id_rsa type 1
debug1: identity file /home/page.ssh/id_dsa type -1　←ここで止まってしまいます。

何か設定が間違っているのでしょうか？よろしくお願い致します。
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 12:41:49 ]: ちっぷｓ：　sshdを野良ビルドしてる時は、static にしたほうが良い。
OSをうｐぐれした時に忘れて、離元ログインできなくなるので。
872 名前：名無しさん＠お腹いっぱい。 [2007/11/08(木) 13:13:27 ]: Linux (Debian と Ubuntu) で OpenSSH つかってるんですが、
この間うっかりしててサーバのディスクがフルになってしまい、
そのサーバへは ssh でのログインができなくなってしまいました。
結局現地に行って問題は解決したのですが、ディスクフルになると
sshd ってログインを受け付けなくなってしまうのでしょうか？

そもそもパーティションを切らずに /var も含めて一緒の
一つのファイルシステムで運用していた自分が悪いのですが、
もし /var や /tmp を別のパーティションにして運用していれば
たとえ /home を含む / がディスクフルになっても sshd は
ログインを受け付けてくれていたのでしょうか？
873 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:26:31 ]: もう手動でフィルタ書くの疲れた。
日本以外からのアクセスは全てルータ単位でパケットごと捨てたいんだけど、どうすればいいんだろう？
簡単そうなのに見当が付かん。
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:51:52 ]: >>873
事実上無理。
IPアドレスやドメイン名から「日本」を区別することは出来ないので。
875 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:53:37 ]: IP アドレスはがんばればできんじゃね
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:55:58 ]: 完全ではなくても実用的には可能。
apnicが国別IP割り当てリストを公開しているので
月1くらいの頻度でそれをとってきてフィルタのテーブルを更新してる。
結構それなりに落としてくれる。
一応困ったときのためにフィルタしないアドレスブロックを入れる仕組みも
作ったが今のところ使ってない。
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:59:01 ]: >>875,876
歴史的PIアドレスや、JPNICではなくAPNICメンバになってるようなISPから
割り振りを受けたIPアドレスは無視するというのなら出来なくはないが、
かなり漏れが出るよ。

「その辺のユーザは軒並み無視してOK」的な運用であれば可能だけど。
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 14:02:15 ]: >>873
日本全部から許可する必要あんの？
自分が使う ISP だけ許可しとく、とかでいいんじゃね？
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 14:09:45 ]: >>877
別に構わないのでは?
なんなら手で書いたテーブルから追加するようにすればいいし。
話題の目的を理解してない希ガス。
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 14:50:00 ]: 逆引きして .jp　じゃなければ弾く。
逆引き出来ねえなんてのは、野良IPだから弾けばよい。
.net やら、 .com で国内に逆引きを付けてる変態（ウチもそうだがｗ）
は、つど登録して置きゃおｋ。
881 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 15:10:05 ]: そういえば、日本では逆引きできないISPって最近減ってきたかな。
しっかし、v6での逆引きってどうなるんだろう? 逆引きなんて無意味だから
やめちまえっていう話もv6どころかv4でもあるわけだし。

聞いたところによると韓国・中国では逆引きできないのが普通らしいね。
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:22:43 ]: >>879
一応書いておかないと、WHOISやCIDRブロックリストから接続元が日本か
どうか正確に判断できると思っちゃってる人がたまにいるし、実際企業系の
サービスで使ってるサーバで、それをやろうとした痛い知り合いがいたので…。

で、sshdが動いているサーバへの接続とかだったら、個人的には許可する
ブロックごとに手動で登録でいいんじゃないかと思ったりもする。
そういうのがダメなぐらいシビアな運用なんだったら、「アクセス出来ない
ところだけ後から手動で追加」ってのもやっぱり駄目なんじゃないかなーと
か思ったり…。
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:25:00 ]: >>878
動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
トチ狂ったバカの無差別攻撃がたまらん。georgeやらandyやらユーザ名を変えるだけならまだしも
それを片っ端からポート変えて試すとは…。なんたるトラフィックの無駄遣い。
せめて最初にポートスキャンしてくれればいいものを。

>>876 >>880の2方法が正解なのかな。どちらにしろPCルータじゃないとダメそうだ。
でも肝心の接続部分はハードウェアルータに任せたい。
そうなると間に挟むしか無いのか。昔ながらのファイアウォールだ。
なんかエレガントさに欠ける気がする。うーむ…。
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:25:49 ]: >>883
> 動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
ならスレ違い。
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:37:18 ]: >>884
？？？
sshd動かしたサーバでssh以外に何も使ってないの？
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:40:21 ]: ssh 以外へのアクセス制限の話は
ssh スレでやる必要ないっしょ。
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 17:02:40 ]: >>886
いやいや、sshへのアクセス制限の話だよ。
sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
そこに向けてまでsshログインしてこようとする輩がいるのよ。
だからサーバ群に到達する以前にルータの時点で国単位でパケットごと捨てたいという話。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 17:04:07 ]: 22/tcp 宛だけ >>878 にすればいいじゃん。
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 17:11:40 ]: >>888
もう釣られないぞ。
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 18:38:12 ]: >>873
「東アジアフィルター」でぐぐれ

接続ルータは業務用ローエンド(RTX1100とかIX2015とかCisco1812Jなど)の
フィルタをたくさん書ける奴に交換すれば良かろう
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 18:58:32 ]: >>890
おお！これは凄い！素晴らしい！ありがとう！

ルータは残念ながら元からRTX1100なのでした。
でも、これ見る限りある程度ざっくり切れそう。
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 19:14:29 ]: 無駄な努力せずに、ポート番号変えろよ。
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 21:41:36 ]: ある意味正解かもな > ポート番号変更
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 22:09:27 ]: 887で、

|sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
|そこに向けてまでsshログインしてこようとする輩がいるのよ。

って書いているから、そういう奴には、ポート番号変えても無駄だろう。
空いている所には無理矢理入ろうとしているようだ。
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 01:15:54 ]: 普段はポートを閉じて置いて、決められた順番にポートを叩くと
必要なポートをあけてくれる knockd ってのが無かったっけ？(用途はsshに限らんが)
ちょっとめんどいけど、それなりに有効ではなかろうか。
896 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 10:35:38 ]: めんどくさすぎっす

まだ ssh over TLS みたいにして
TLS のネゴしてからにするとかの方が…

やっぱ面倒だ…
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 11:13:35 ]: 放置プレイが一番楽
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 11:53:51 ]: むしろこの際 jail の下とかに account/password が
root/root みたいなのを用意して捕獲して眺めるとか

ログ付きの sh とかないのかな?
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 12:15:34 ]: >>897
実害はauth関連のログが溢れる程度なんで、手間をかけてまで対策かけるのは
確かにアホらしいんだよなぁ。
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 13:12:33 ]: IPで制限かけるのは無理だと悟ったので、hosts.allowからspawnでシェルスクリプトを呼び出して、
一定回数以上ログインに失敗する or rootでログインしようとしたIPからのアクセスを
iptablesで5分くらい弾くようにしてる。ログも溢れないし、精神衛生的にも良い。
901 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 13:12:59 ]: >>895
見てみたがSolarisだとダメなのか…。
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/20(火) 11:21:36 ]: >901
その昔、
phenoelit-us.org/stuff/cd00rdescr.html
をSolarisに移植して遊んでたことがある。昔過ぎて移植した
ソースは失われ、上のlinkが辛うじて残るのみだった...
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/07(金) 05:13:17 ]: >>900
danger.rulez.sk/projects/bruteforceblocker/
BSD系とかだとこんなのあるみたいですよん

さらに、うちは独自にSSH用DNSRBL作ってサーバ群で共有して弾いてますけど
そこそこに弾いてくれます。
利用者ドメインが.JPのみのサーバでも、どこかで検出したら同じIPアドレス
とは格闘しなくてよいですが、一部IPアドレスが連番なサーバ群に同時に
攻撃されると一時的に両方ともが相手することになるのが気になったりしますね。
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 07:48:44 ]: sshfsを起動時にマウントする方法を教えてください。
905 名前：名無しさん＠お腹いっぱい。 [2007/12/11(火) 20:39:49 ]: シェルスクリプト内で、ssh接続して公開鍵認証で無く、パスワード認証になった場合は
パスワードプロンプトからシェルにプロンプトを戻す設定ってありますでしょうか？

下記のようなスクリプトを実行した場合にプロンプトが戻るようにしたいです。

[root@www ssh]# cat aaa.sh
ssh -l guest 192.168.10.3
echo $?

公開鍵認証だけに設定するのは要件からできません。
よろしくお願いします。
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:01:24 ]: >>905
expectやzshのzptyについて調べたほうがいいような気がする
907 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:12:35 ]: >>905

ssh -l guest 192.168.10.3 -o 'PasswordAuthentication no'
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:15:12 ]: SSHで接続しようとすると接続までに 30 秒ほど時間のかかるサーバーがあります．
接続後は問題ありません．認証は公開鍵暗号を使っています．

ssh -vv で見てみると次の表示をした後とまっているようです．
なにがまずいんでしょうか？

>debug2: we sent a publickey packet, wait for reply
909 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:40:52 ]: >>908
逆引きできてるかい？
910 名前：908 mailto:sage [2007/12/11(火) 21:43:46 ]: >>909
逆引きはできてないです．
この場合どういう設定をすれば待ちを回避できるのでしょうか？
911 名前：名無しさん＠お腹いっぱい。 [2007/12/11(火) 21:54:56 ]: >>906,907
回答ありがとうございます。なるほどそういう方法もあるんですね。
ただ、その場合回避はクライアントに依存することになるかと思います。

サーバ側設定で「公開鍵認証できない場合は。。。」で処理を分けるというのは
やはりできないでしょうか？
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:57:02 ]: >>911
なんだ、サーバー側をいじっていいのかよ。それを先に言え。
サーバー側の ssh_config で、 PasswordAuthentication no を設定。

以上。
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 22:02:26 ]: sshサーバ側hostsにクライアントのエントリ書いて治まればlibwrapだな
914 名前：名無しさん＠お腹いっぱい。 [2007/12/12(水) 00:09:33 ]: >>912
それだと公開鍵認証接続しか許可しないのでは？
パスワード認証になった場合、TELNET接続のように一定時間で
プロンプトが戻ってくるようにしたいのですが、上手い方法が
無くて悩んでいます。
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/12(水) 17:21:07 ]: ちゃんと要件整理してから出直しておくれ…
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 14:36:35 ]: sshfsでsftpをマウントしているのですが、マシンの起動時に、マウントする方法を教えてください。
パスワードで躓いています。
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 16:26:07 ]: >>916
パスワードを使わないようにする
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 18:59:58 ]: >>916 パスフレーズなしの鍵で認証すればおｋ
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 19:52:51 ]: puttyならつながるのに、いつの間に、ttsshは、opensshとの相性が
悪くなってやがんのよ？　事前共有鍵とか作って置いておけっての？
はあぁ・・・
920 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 22:45:50 ]: >>919
今のご時世、Poderosaじゃね？
921 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 23:21:23 ]: ターミナルエミュレータなのに.NETアプリで重いというのがなぁ
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 00:10:57 ]: >>921
重いのはインストール時と初回起動時だなｗ

タブブラウジング出来るってのは、やはり正義だ。
20台纏めて面倒見なきゃならん時なんかは、寺よりもポデの方が便利。
ショートカットでのタブ移動を憶えたら、もう戻れない身体になってしまった。
アプリ自体も安定しているしね。

ただし、富士通SPARC機のXSCFには何故か接続出来ないという罠が待っている。
XSCFだけ寺を使うしかないという罠。
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 07:41:20 ]: >>922
GNU screen使いなんで、タブとかはまるで使わんからなぁ。
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 10:04:01 ]: >>923
>20台纏めて

まぁそれでも俺はパテ使いだが。SDIだろ結局。
925 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 12:20:36 ]: screenを起動したマシンから、windowを新しく開いてそこからsshしてるのではないかと。
キーボード操作だけでコピペできるのは非常に便利。

Poderosaは.NETな時点で使わない。個人的に.NET嫌いなので。それにPuTTYほど細かいカスタマイズができない。
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 13:28:46 ]: 個人でせいぜい数台管理するのと
サバ管が何十台も管理するんじゃ違うと思う。
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 14:57:34 ]: >>925
そそ。そこから各マシンにはずっとsshしっぱなしなので、
いちいちtermのほうで何度もsshをする必要ないし。
928 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 17:13:08 ]: メイン環境がMac OS Xだから、そういった事に気を使う事は不要だったりする :-)
単にTerminal.app開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 20:34:09 ]: メイン環境がFreeBSDだから、そういった事に気を使う事は不要だったりする :-)
単にKTerm開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 21:05:42 ]: メイン環境がCygwinだから、そういった事に気を使う事は不要だったりする :-)
単にkterm開いて、そのままsshコマンド打つだけだからね。
Macかぶれな人は面倒だねぇ。
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 21:25:53 ]: 同時に何枚も開くときの話じゃねーの？
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 21:38:43 ]: >>931
そこでscreenですよ
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/22(土) 12:18:22 ]: ubuntuにdenyhostsを入れたのですが、パソコンの起動時にdenyhostsが起動してくれません。
どこで設定すればよいのでしょうか？
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/26(水) 10:36:43 ]: >>933

ttp://www.ksknet.net/linuxai/chkconfig_initd.html
935 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 01:05:58 ]: sshfsを起動時にマウントしたいのですが、マウントの実行をrootではなくユーザーで行いたいのですが、
何かよい方法はないでしょうか？
936 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 01:24:24 ]: >>935
cron
937 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 01:30:25 ]: >>935
su
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 02:00:15 ]: uidが0の「ユーザー」を作る。
939 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/28(金) 00:30:02 ]: toor？
940 名前：質問させて下さい [2007/12/31(月) 03:59:30 ]: sshの初心者ですいません
sshにつなぐことはできたのですがコマンドがわかりません；；

アクセス解析をサイトに入れたいのですが
入れたいサクセス解析
ttp://www.hping.org/visitors/　（visitors0.7です）

某ブログより次のようにコマンドを打てばインストールされましたが、自分で指定したサーバー上の
フォルダにインストールしたいのですが、何度してエラーがでてしまい無理でした。

wget www.hping.org/visitors/visitors-0.7.tar.gz
tar xvzf visitors-0.7.tar.gz
cd visitors_0.7
make
cp visitors /usr/bin

public_html/www.123.com/abc/
abcのフォルダにインストールしたい場合はどのようにコマンドをうってあげればいいのでしょうか？
よろしければアドバイスお願いします。
941 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/31(月) 04:25:11 ]: 某ブログに聞け。
というよりも、ちゃんとドキュメント読むのが先。
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/31(月) 09:57:29 ]: >>940
キミに必要なのはsshの使い方じゃなくてUNIX,LINUXの使い方。
本屋行って入門書を買ってくるか、キミのように「自分が何をわかっ
ていない」かさえわからない超ウルトラ初心者でも暖かく迎え入れ
てくれるlinux板に行きなさい。
943 名前：名無しさん＠お腹いっぱい。 [2007/12/31(月) 13:44:52 ]: いまさらですが
>808からの流れであの方のAAが出てないのが不思議だｗ
944 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 03:43:14 ]: >>928
もともとMacユーザで、10.3くらいまでは結構Terminal使ってたんだけど、PuTTYに比べて
・アンチエイリアスうぜー
・Emacsとか表示崩れすぎなんじゃボケ！！
って感じで
「Macツカエネー」と思ってたよ。
いまだいぶマシなの？
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 03:54:17 ]: うん、少しは麻紙。
アンチエイリアスうぜーんだったら、xterm使えば四濾紙。
946 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 05:06:48 ]: >>944
＞アンチエイリアスうぜー

は？

＞Emacsとか表示崩れすぎ

明らかに、設定が悪いだけだな
安置の攣りか？
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 05:11:28 ]: 元来のマック使いに、その辺りを期待するのは無謀。
アホでも使えるが売りだから。
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 05:16:14 ]: sshじゃなくてターミナルエミュレータのスレでやれよ・・・
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 09:31:49 ]: sshfsで一度マウントすると、再起動してもマウントされているのは仕様ですか？
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 10:57:49 ]: >>949
/etc/fstab
951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 10:26:17 ]: 見てみましたが、fstabにはsshfs関係の設定は何も書かれていないのですが、・・・
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 11:18:24 ]: pc11.2ch.net/test/read.cgi/linux/1196399724/659
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 16:22:15 ]: 皆さんお元気ですか？私は質問したい。
port forwarding で２つ以上のマッスィーンを一発でトンネルできるか？できるのか？
可能ですか否ですか？飛び石は面倒な気持ちなんです。
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 16:25:07 ]: 「chi」を「スィ」と発音するのかよｗ
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:05:21 ]: するよな？
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:14:50 ]: さぁ～？
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:15:23 ]: [∫i] ≠ スィ
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:18:41 ]: ミシン（←英語は発音大事）
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:19:40 ]: んー、やっぱ出来るわけないですよね常考。２つ以上のマチャイネを一発でトンネルなんて。
コツコツport forward する。皆さんの生暖かい応対に感激いたしました。バイビー
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:24:06 ]: ×トンネル
○タノウ（←英語は発音大事）
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:34:14 ]: マチャアキ、頼む…
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 19:05:56 ]: 「スィ」じゃなくて「シュイ」って感じ
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 04:43:15 ]: >>953
一発では無理だよ
964 名前：名無しさん＠お腹いっぱい。 [2008/01/19(土) 13:20:21 ]: どうして、しょっちゅうバグが見つかって、改訂されるのだろうかな。
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 16:16:48 ]: 「コードはバグを産み出す」って格言があるから。
966 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 20:16:02 ]: バグが残ってるなんて怠慢だとか言う連中って
テストで毎回全教科満点とったり仕事はノーミスで優秀だったりするのか？

ま、964みたいなヤツがそうであるとは到底おもえないわけだが。
ただの無知か釣りでしかない。
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 20:18:56 ]: >>964
OpenSSHでなくssh.com使っとけ
もう数年間freezeしたまんまだ
968 名前：614 [2008/01/29(火) 10:25:15 ]: 遅レススマソ

authorized_keys の特定のユーザーを消したいという話ですが、
公開鍵をみてもメールアドレスなどの情報はついてません・・・。

というか、自分で putty_gen とか Poderosa で生成したのがついてない orz

下記サイトの「authorized_keys ファイルの例:」を見たら、
www.unixuser.org/~euske/doc/openssh/jman/sshd.html
# でコメントも書けるようですし、行末にスペース区切りでコメントOKみたいので・・・

って、putty_genで、「鍵のコメント」欄に適当にテキスト入れたら、
authorized_keys にコピペする公開鍵に上記アドレスの例のようにコメントつけられました。

今後はそれで行こうと思います。
969 名前：名無しさん＠お腹いっぱい。 [2008/02/07(木) 21:21:40 ]: windowsのpoderosaで作った公開鍵と秘密鍵で
poderosaからはパスフレーズを使ってログインできるんですが、
秘密鍵をlinuxクライアントに持っていき、ホームの.ssh/id_rsa に置き、
sshにログインしようとしたのですが、
同じパスフレーズでログインできないのはなぜでしょうか？
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/07(木) 21:44:43 ]: $HOME/.sshのディレクトリのパーミッションは700にすること。
755とかは不可。
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 10:43:42 ]: FTPのasciiモードってオチじゃないの?
972 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 11:17:37 ]: すでに自己解決しました。
ちなみに>>970 >>971 とも大はずしですｗｗ
973 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 11:18:21 ]: クイズはやめれ
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 14:05:55 ]: # SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers hogehoge

# 接続制限
MaxStartups 3:75:10
LoginGraceTime 60
MaxAuthTries 10

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile /root/ssh/public_key.pub
975 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 14:06:17 ]: # パスワード認証
PasswordAuthentication no
PermitEmptyPasswords no

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

# パーミッションチェック
StrictModes yes

# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

# 以下はProtocol 2なので設定不要？？
# RhostsRSAAuthentication no
# RSAAuthentication yes

これだけ設定しとけば十分？
976 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:23:55 ]: PermitRootLoginはnoの方がいいんじゃね？
root権限が必要ならsuなりsudoなり使えばいいんだし。
977 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:29:59 ]: >>976
はげどう
最低でも without-password にすべき
978 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:32:29 ]: without-password ってパスワードなしの認証？
979 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:38:57 ]: PAMも使った方がイイんじゃね。
980 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:44:55 ]: >>979
なんで？
981 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 22:12:43 ]: >>978
パスワードなし、鍵での認証は可能

>>979
PAM を理解できているなら、PAMで制御した方が安全にはなるな。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef