SSH その5

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 246 KB / Number-of Response : 982
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
543 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 01:56:14 ]: ローカルマシンにわざわざsshで入るのもどうかと思うけど？
もしかして、意味を取り違えてる？
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 07:47:43 ]: >>543
意味を取り違えてるか感覚が古いかのどちらかだな。
545 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 22:03:24 ]: ひょっとして、
自分のドメインからだけsshできるようにしたいんか？>>540
546 名前：540 mailto:sage [2007/02/20(火) 22:17:23 ]: 外部からは接続させずに、LAN内からのみ接続させたいんです
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 22:24:05 ]: >>546
・ルータで port 22 をフィルタリングする
・NIC を追加するか IPalias して IP アドレス追加した上で
sshd が listen する IP アドレスをかえる
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 23:18:14 ]: hosts.allow でなにがまずいの？
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/20(火) 23:31:18 ]: >>548
今どきhosts?って感じ
550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 01:07:36 ]: hosts.allow と hosts を区別できない奴は(中略)難しい
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 09:55:32 ]: hosts.allowの動作メカニズムを知った上で使うなら問題無い。
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 10:09:26 ]: >>550
やっぱり勘違いさせたかｗ
難しい奴だな
553 名前：名無しさん＠お腹いっぱい。 [2007/02/21(水) 19:45:47 ]: オープンな無線LANを使用するときに、HTTPを安全に使用したいので
sshのポートフォワーディングを使用しようと思い、
クライアント側でhttpのプロキシをlocalhost:10080に設定し、
ssh -v -L 8080:SERVER:80 SERVER
としたのですが、サーバー側で
open failed: administratively prohibited: open failed
という表示がでてうまくつながりません。。

どなたかポートフォワーディングを使用している方いたら教えてください。。
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 20:01:21 ]: エラーメッセージのとおり、
サーバかクライアントのどちらかでポートフォワーディングしない
設定になってるんでない？
555 名前：553 mailto:sage [2007/02/21(水) 20:05:28 ]: ほとんど初期状態のままでいるのですが、
ポートフォワーディング用の特別な設定ってあるんでしょうか？
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/21(水) 21:45:57 ]: 初期状態とかいうものはない

see sshd_config(5)
557 名前：名無しさん＠お腹いっぱい。 [2007/02/23(金) 13:26:20 ]: ファイルのダウンロードはどうやるか教えてエロイ人
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/23(金) 14:02:02 ]: sftp, rsync -e ssh …
好きなの使え
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/23(金) 15:41:56 ]: scp
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 04:15:31 ]: matt.ucc.asn.au/dropbear/dropbear.html

これの話題が出てないので、一応ねたふり…

明日あたり試験鯖で試してみようかなと考え中。
561 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 05:48:20 ]: これはsshの新しい実装ということかしら？
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 09:37:40 ]: sshの実装は昔からいくつかあるし、そのうちの一つだろ。
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 12:55:59 ]: >>560
なぜ注目したのか書いてみてよ
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/02/28(水) 14:35:53 ]: >>560
uClibcな鯖なのか？
small-linux系で見かけた事がある＞ dropbear
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 01:02:33 ]: >>560
FreeBSDにportで入れてみた。dropbare(sshd)はメモリサイズが1/4で済む。
PATHが正しく設定されない。(FreeBSDのloginのお作法に従っていない)
dbclient(ssd)はagentが使えないようなのでパス。
566 名前：名無しさん＠お腹いっぱい。 [2007/03/01(木) 12:41:51 ]: ssh-agentが/tmp/に残したUNIXドメインソケットのゴミの
お掃除はどうやっていますか?
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 13:53:56 ]: 放置プレイ
568 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:04:37 ]: >>697
たびたびすみません。
make CFLAGS='-m32 -g -fno-strict-aliasing -pipe' でメイクしても
"symbol `re_cache' is already defined うんぬん" というエラーがでて、
もしやと思い。make rmconfig, make clean で再度、make install clean
をしたら通っちゃいました。

おさわがせしました。m(_ _)m
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:13:04 ]: ssh tectia serverで鍵認証で接続する際に
かならず（linuxユーザの）パスワード聞かれるんだけど
鍵認証のみで接続できるようには出来ないのでしょうか？
570 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:50:45 ]: >>569 configがそうなってるとか、permissionがおかしいとかじゃね? ssh -vv 見ながら自分で解決するか晒したまえ。
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 16:51:41 ]: PreferredAuthentications
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/01(木) 22:52:20 ]: >>566
正常に終了した場合、UNIXドメインソケットのゴミは
残らなかった気がするが、気のせいかな？
# 自分が確認したのは OpenSSH のやつ。
573 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/02(金) 00:22:38 ]: >>577
最近のはそうなったのかな? 今、試してみると消えますね...
574 名前：572 mailto:sage [2007/03/02(金) 01:31:29 ]: >>573
debug mode(ssh-agent -d)で起動したのを ^C で殺すと残るけど、仕方ないかな。
自分はパッチあてて、それでも掃除するようにしてある。
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/02(金) 16:42:19 ]: >>570
鍵が見えてなかったみたいなので
鍵置いてるディレクトリのパーミッションを700
にしたところいけました。
もともとのパーミッションがゆるすぎだった模様。
どうもありがとうございました
576 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/04(日) 21:52:20 ]: OpenSSHのsftpに補完機能を追加するパッチを作ってみました。
www.phys98.homeip.net/~ide/aboutopenssh.html#sftp-Completion
# もうすぐ新バージョンが出るようなのでタイミング悪いですが。
577 名前：名無しさん＠お腹いっぱい。 [2007/03/05(月) 12:32:21 ]: GeoIPを使って、国外からアタックをブロックしている人って居ますかね?
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/05(月) 18:06:09 ]: GeoIPが何かは知らないが自分で設定してブロックしてる
579 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 00:59:44 ]: 三国フィルタで十分だろ。
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 02:22:47 ]: 国内からもアタックされるし、フィルタなんかイラネ
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 03:01:12 ]: >>580
でもアタックの大半が国外なのは事実。
自分が国内に住んでいるのであれば、.jpだけ通した方がsshdもCPUを食わないし、楽。
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/06(火) 08:36:40 ]: JPNICのwhoisデータベースから変換したJPPASSフィルタと
過去にアタックしてきたJPBLOCKフィルタ組み合わせてる

アタックしてきたIP＝侵入されてスクリプト設置された＝セキュリティ的に弱いネットワーク・管理者
って見なしてるけど、
某大手企業様だったり、セキュリティコンサルティング会社だったり、まぁ色々あるな。
583 名前：名無しさん＠お腹いっぱい。 [2007/03/09(金) 09:41:24 ]: sshdのログから不正アクセスするIPアドレスを自動でhosts.denyに追加してくれる「DenyHosts」
denyhosts.sourceforge.net/
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:25:17 ]: >>583
あー、俺 cron で自作スクリプト回してるわ(w
/etc/hosts.allow に deny 表記だけど(なんか hosts.deny は obsolete っぽい)。
ついでに /var/log/xferlog も見てるよ。
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:27:18 ]: >>584
> (なんか hosts.deny は obsolete っぽい)。
なんで？
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:38:45 ]: >>585
ちょっと調べたけど理由はわからない(管理の手間か、プログラムの容易さ?)
とにかく /etc/hosts.deny は deprecated なんで hosts.allow に両方書けっていう話らしい。
FreeBSD の 5.x と 6.x。
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 10:52:26 ]: FreeBSD というより tcp_wrapper からの要請みたい。
昔は /etc/hosts.allow → /etc/hosts.deny の順に見てたけど、
一つのファイルでルールが合致した順に制御する、
というのがわかりやすいからじゃないかな?
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 13:12:08 ]: >>587
www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap2/freebsd/remote.html
ここにも書いてあるな。

ところでopenssh 4.6p1って消された?
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 13:41:34 ]: あぁ、FreeBSD ローカルの話ね。
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/09(金) 15:42:13 ]: hosts.denyの話しらなかった。
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/10(土) 00:23:10 ]: >>588 の自己解決
marc.theaimsgroup.com/?l=openssh-unix-dev&m=117337577125049&w=2

cygwinの都合など知らぬわ。
592 名前：名無しさん＠お腹いっぱい。 [2007/03/10(土) 11:49:54 ]: 女性は働きたければ働いて､働きたくなきゃ働かない､辛くなったらやめていい｡
そもそも女性に辛い仕事を押し付けないこと｡かといって雑用やらせるのもﾀﾞﾒ｡
それで給与も昇進も平等にね｡ただし残業､転勤､深夜当直させたら女性差別だよ｡
間接差別禁止規定って知ってるでしょ｡なんでも平等にね｡髪形と服装は女性の自由だけど｡
それからｱﾌｧｰﾏﾃｨﾌﾞｱｸｼｮﾝと管理職30%目標もね｡産休育休もね｡当然給与40%保障で｡
主婦と言っても､家事を強制される言われはないし､出産するかどうかは女が決めること｡
でも産まれたら育児を女性に押し付けないでね｡二人の子供なんだから当然でしょ｡
ただし離婚したら親権は母親のものだよ｡育児は女性のほうが向いてるんだし｡

それから働く夫を妻が支えるなんて時代遅れの女性差別｡
これからは働く妻を夫が支えなきゃ｡
あ､もちろん収入は夫の方が多くて当然だけどね｡妻には扶養請求権だってあるんだから｡
それと夫は妻に優しくね｡妻が望まないｾｯｸｽは家庭内ﾚｲﾌﾟだよ｡
夫が妻のｾｯｸｽの求めに応じないと離婚事由になるけどね｡
離婚したら慰謝料とか財産分与とかまあ当然だけど｡
女性はか弱いから母子手当ても生活保護も税金控除も当然だよね｡足りないぐらい｡

それと女性に女らしさを押し付けないでよ｡
そんなの窮屈で面倒だし､いまさら男尊女卑ですかって感じ｡
でも男はやっぱ男らしくないとね｡
いつになったらﾚﾃﾞｨｰﾌｧｰｽﾄ覚えるの?ﾜﾘｶﾝなんてありえないし｡
少子化だって男のせいでしょ｡男がだらしないから女性が結婚できないんだよ｡
え?ﾚﾃﾞｨｰｽﾃﾞｰ?あれはいいの｡
別に私たちが頼んだ訳じゃないし｡店が勝手にやってるんでしょ｡
593 名前：名無しさん＠お腹いっぱい。 [2007/03/12(月) 22:42:26 ]: OpenSSHってconfigureのオプションに何も付けない時、tcp-wrapperに
対応してますか？
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 14:53:46 ]: ない。
595 名前：馬鹿者 mailto:sage [2007/03/13(火) 20:40:55 ]: 偉い人教えてください。
TSSHで作業しながら、WinSCPのver3.6位でアップやらダウンやら繰り返して
いたら、ログアウトした後、何故か２度とサーバに接続できない状態に。
しかも、２サーバも同一状態にｏｒｚ
うちの、Ｓｕある人がキーの入れ替えやらなんやらやってくれたのですが
どうしても復旧せず、こっちが馬鹿者扱いに。。。。
職場では２ｃｈ見ちゃダメ書き込んじゃダメ、資料持ち出しちゃダメの
ﾀﾞﾒﾀﾞﾒ状態なので、この程度しか情報ないのですがわかる方おられまし
たら、なんとかご教示願います。
WinSCPを3.8にしたらいいよー見たいな書き込みを英語フォーラムで見
かけたのですが、確たる証拠がないとVerアップできないしもう号泣す
る他無し、、、
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 21:01:11 ]: とりあえず
＞どうしても復旧せず、こっちが馬鹿者扱いに。。。。
復旧できないsuがバカってのはFA

>595の情報じゃよくわからん
ssh -v の結果みりゃわかるんじゃねーの？
597 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:11:57 ]: おおおお！ｒｅｓが。
ssh -vとかやろうにも馬鹿者なので、殺したサーバにアクセスさせて貰えない
のですよ。。WinSCPのログ見ても、秘密キーが認証できません
セッションのパスワードを入力せよ馬鹿者＠大ボケ．逝ってヨシ’ｐａｓｓ
と出ているだけで、馬鹿者本人では手の打ちようが無し。
どこそこからの情報でこうやってみればいいのでは？みたいな事仕入れました
みたいに報告しないと馬鹿の言う話は聞けない状態なので、なんとかもう少し
ヒントをお願い致します。
ssh -v は進言してみます。
598 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:13:46 ]: ５９６様ありがとうございました
↑先にお礼だろうよ！という辺りが馬鹿者臭漂わせてます、、すみませんorz
599 名前：名無しさん@お腹いっぱい。 mailto:sage [2007/03/13(火) 21:22:27 ]: そのssh接続も本当はﾀﾞﾒでﾙｰﾙｼｶﾄでやったって話?
もしそうなら、あなた自身もﾀﾞﾒになるかも。

そうでなければ、>>596氏の仰せの通り。
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 21:32:43 ]: うちのサーバは認証失敗繰り返すとブラックリスト入りしてアクセス拒否されるよ。
似たようなことやってるんじゃない？
601 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:38:05 ]: 599様
ルールシカトではなく、正式ルートを通して作ってもらった物です。
で、喜んでTSSHとWinＳＣＰでがちゃがちゃやってたら壊れてしまい
ました。正式ルートで作った物を壊してしまったのでもう一回作り
直して下さいというのも情けない話なので、末端でリカバリ出来な
いかと（末端にもｓｕ権限ある人いるので）やっているのですが巧
くいかない状態なのです。
馬鹿者本人はは、何も作業できないので指をくわえて復旧を待って
いる状態なのです。
で、単刀直入な話、WinSCPでログインしつつＴＳＳＨもログインし
てガチャガチャやるとｓｓｈは壊れる物なのですか？？
壊れる物だとしたら、ｓｓｈ　－ｖを、馬鹿者のＨＯＭＥで打ち込
めばどうすればいいか馬鹿でもわかるものなのですか？
という２点です。。ｗｅｂ漁りまくったのですが、まともに議論し
ているのが２ｃｈだけのようなので、、、すみません。
その辺りの整理でご教示お願い致します。
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/13(火) 21:41:44 ]: つcygwin
603 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:43:36 ]: ６００様
ＴＴＳＨ＜＝logout
WinSCP＜＝F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にﾀ駄目＞認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
（一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので）
それも視野にいれさせて頂きます。ありがとうございます
604 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:44:12 ]: ６００様
ＴＴＳＨ＜＝logout
WinSCP＜＝F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にﾀ駄目＞認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
（一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので）
それも視野にいれさせて頂きます。ありがとうございます
605 名前：馬鹿者 mailto:sage [2007/03/13(火) 21:46:04 ]: 馬鹿焦りすぎ。。。連続書き込み失礼致しました。
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/14(水) 00:24:42 ]: tssh とか ttsh ってなんだ？ ttssh か？ちょっとおちつけよ。

>>602 のいうとおり cygwin の ssh を使うか、
あるいは putty なら ssh のセッションをフルダンプがとれるから
それを眺めてミリゃいいだろ。

業務でやってるなら素直に始末書書いて管理者に処理してもらえ
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/14(水) 03:16:38 ]: アップ/ダウンできていたというのならば通常使用が出来ていたっつーことだし、
通常使用の範囲内であれば始末書はないでしょ

でもこの焦りぶりが怪しいんだけどね
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/15(木) 15:03:13 ]: 「壊れた」の意味もわからんし、そもそも状況説明が怪しすぎる。
というか、日本語で書いてくれんと解読するだけで手間だ。
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/15(木) 21:02:21 ]: アホ振りから察するに、.shostsとか.ssh/ 壊したんだろ…
610 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/15(木) 22:37:46 ]: >>馬鹿者
まずWinSCPの問題なのかサーバー側の問題なのかハッキリさせた方がいいな。
同一プライベートキーでPuTTY,TTSSHなどのシェルターミナルだけで接続できるか？
接続できればWinSCPのセッションに不都合が有りとみた。
接続できなきゃプライベートキーに何かあるか
サーバー側に理由があるかもしれん。
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/16(金) 14:53:43 ]: OpenSSHを4.6p1に入れたらTTSSHの1.5.4で繋がらなくなったんだけど、
他にそういう人いますか？

sshdをdebugオプション付きで起動すると、

debug1: Client protocol version 1.5; client software version TTSSH/1.5.4 Win32
debug1: no match: TTSSH/1.5.4 Win32
debug1: Local version string SSH-1.99-OpenSSH_4.6
debug1: Sent 768 bit server key and 1024 bit host key.
debug1: Encryption type: 3des
debug1: Received session key; encryption turned on.
debug1: Installing crc compensation attack detector.
Disconnecting: Corrupted check bytes on input.
debug1: do_cleanup

という感じで接続が切られてしまいます。

その後手元で色々試して見た限りでは、

OpenSSH4.6p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8e

の組み合わせだとOKで、

OpenSSH4.6p1+OpenSSL0.9.8e

だけがNGっぽい感じなのですが…。
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/16(金) 16:30:52 ]: エラーメッセージでぐぐれ
openssh "Corrupted check bytes on input" "Installing crc compensation attack detector"
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/19(月) 12:37:18 ]: >>612
ありがとう。自分でググった時には見つけられなかったけど、
上記のキーワードで検索し直したらそれっぽいページに辿り着けたよ。

ちょっとOpenSSLにパッチ当ててみる。
614 名前：名無しさん＠お腹いっぱい。 [2007/03/22(木) 05:04:35 ]: ふと思ったのですが、

退社した人とかいなくなった人がログインできないように、
authorized_keys のエントリを消したい場合、
authorized_keysに書き込まれている公開鍵から何か情報を得ることってできる？

公開鍵のリストを自前で管理して、これは、誰々の公開鍵～って記録しておくしかないですか？
まさか、秘密鍵から公開鍵つくれるけど、消すために、秘密鍵よこせ！ってわけにもいかんし
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/22(木) 09:14:19 ]: メールアドレスついてるでしょ? それで識別すればいいじゃん。

もっとも、ちゃんとアカウントわけろやと思うわけだが。
616 名前：名無しさん＠お腹いっぱい。 [2007/03/22(木) 12:24:18 ]: >>614
とりあえずauthorized_keysのファイルをcatしてみ。
アカウントさえちゃんと分けてれば多分分かる。
ユーザ名@ホスト名が行の最後にくっついてるから。
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/22(木) 13:11:16 ]: >>614
退社した場合どうするか決っていないのにsshさせている管理自体を直せよｗ
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/30(金) 15:13:47 ]: MacOSX10.4.9です。
VNCの接続を暗号化したいと思い、SSH Forwardingを使いました。

ssh -L 5900:localhost:5900 鯖ユーザ@鯖アドレス

繋がるのですが、VNCクライアントで見に行こうとすると。

channel 3: open failed: connect failed: Connection refused

と出てしまいます。
これは何が問題でしょうか？
619 名前：名無しさん@お腹いっぱい。 mailto:sage [2007/03/30(金) 21:24:07 ]: >>618
ひょっとしてVNCのﾘｽﾝﾎﾟｰﾄが違うんじゃない?
5901とか5902とか
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/31(土) 11:22:29 ]: SMB over SSH - ヽ( ・∀・)ノくまくまー(2007-03-28)
wota.jp/ac/?date=20070328#p01
621 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/31(土) 11:35:38 ]: >>620
改めて思う。なんでファイル共有でポートを指定できないのかとｗ
622 名前：618 mailto:sage [2007/04/01(日) 10:21:15 ]: >>619

それも疑いまして、相手先のMacのVNCserverの設定を見たのですが、
ディスプレー番号0ということでport5900になっていました。

Serverのローカル接続では5900で接続できるのです。
唯一その鯖だけがエラーを吐いて繋がらず、他は繋がるので
それだけ何かがおかしいのかもしれませんが

channel 3なんてググッっても出てこなくて弱ってしまいました。
623 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/01(日) 14:50:16 ]: そのサーバのsshd_configにAllowTcpForwarding noが入ってたりしない？
とりあえずsshに-vvvでも付けて様子見てみたら。
624 名前：618 mailto:sage [2007/04/02(月) 17:39:34 ]: >>623

このようになりました

Connection to port 5900 forwarding to localhost port 5900 requested.
debug2: fd 9 setting TCP_NODELAY
debug3: fd 9 is O_NONBLOCK
debug3: fd 9 is O_NONBLOCK
debug1: channel 3: new [direct-tcpip]
channel 3: open failed: connect failed: Connection refused
debug1: channel 3: free: direct-tcpip: listening port 5900 for localhost port 5900, connect from 127.0.0.1 port 54538, nchannels 4
debug3: channel 3: status: The following connections are open:
#2 client-session (t4 r0 i0/0 o0/0 fd 6/7 cfd -1)
#3 direct-tcpip: listening port 5900 for localhost port 5900, connect from 127.0.0.1 port 54538 (t3 r-1 i0/0 o0/0 fd 9/9 cfd -1)

debug3: channel 3: close_fds r 9 w 9 e -1 c -1

他にオープンしている接続があるので接続が拒否されたということでしょうか・・・
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/02(月) 21:40:34 ]: >>624
こっちのSSH(OpenSSH 4.5p1)のデバッグメッセージとちょっと違ってるみたいです。
つなぎにいってるマシンのSSH、バージョンはいくつですか？

ローカル側のポートが既に使われていた場合、OpenSSH 4.5p1のデバッグメッセージはこんな感じですた。
チャンネルを割り当てられる前にエラーとなるので、原因は別なんじゃないないかな？

debug1: Local connections to LOCALHOST:8080 forwarded to remote address remote.example.com:3128
debug3: channel_setup_fwd_listener: type 2 wildcard 0 addr NULL
debug1: Local forwarding listening on ::1 port 8080.
bind: Address already in use
debug1: Local forwarding listening on 127.0.0.1 port 8080.
bind: Address already in use
channel_setup_fwd_listener: cannot listen to port: 8080
Could not request local forwarding.
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 00:32:56 ]: >>618
ログインした先で telnet localhost 5900 はつながるの？
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 03:45:59 ]: サーバのsshd_configにAllowTcpForwarding noを入れたら、こんなデバッグメッセージが出た。
やっぱsshd_configのAllowTcpForwardingがnoとしか思えん。

debug1: Connection to port 8025 forwarding to localhost port 25 requested.
debug2: fd 9 setting TCP_NODELAY
debug3: fd 9 is O_NONBLOCK
debug3: fd 9 is O_NONBLOCK
debug1: channel 3: new [direct-tcpip]
channel 3: open failed: administratively prohibited: open failed
debug1: channel 3: free: direct-tcpip: listening port 8025 for localhost port 25, connect from ::1 port 51473, nchannels 4
debug3: channel 3: status: The following connections are open:
#2 client-session (t4 r0 i0/0 o0/0 fd 6/7 cfd -1)
#3 direct-tcpip: listening port 8025 for localhost port 25, connect from ::1 port 51473 (t3 r-1 i0/0 o0/0 fd 9/9 cfd -1)

debug3: channel 3: close_fds r 9 w 9 e -1 c -1

サーバ側のポートフォワード設定ってネゴシエーション時には使われないんだね。
ローカル側でコネクション張りにいくまでポートフォワードできるかどうか分からないのはいいことなのか悪いことなのか。
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 06:21:52 ]: サーバ側でポートフォワーディング禁止するって意味あんのかね?
ローカルとログインした先とで適当なプログラム動かせば同じことできるのに。
コネクションはそれ専用に使っちゃうけどさ。
629 名前：618 mailto:sage [2007/04/03(火) 09:44:30 ]: ありがとうございます。

SSHのバージョンは
"OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006"

ログインした先では・・・

telnet localhost 5900
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
RFB 003.003

ちょっと不安な行がありますが、
繋がるようです。

/etc/sshd_config を見に行きましたが、
AllowTcpForwardingの項目自体がありませんでした。
しかしエラーはこの項目のno設定と同じですね。
項目を作ってyesにしてみましたが、状況は同じでした。
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/03(火) 10:01:47 ]: >>629
最初のrefusedは最初にv6で繋げにいこうとしてるから。
telnet 127.0.0.1 5900にすれば出なくなるよ。
631 名前：618 mailto:sage [2007/04/03(火) 10:24:56 ]: >>630

::1 ってそういうことだったんですね・・・ありがとうございます。
632 名前：名無しさん＠お腹いっぱい。 [2007/05/06(日) 19:33:46 ]: SSHで繋いで、ちょっとトイレに行って戻ってみると、
接続が切れていることがしょっちゅうです。
朝起きたらてきめん切れています。
切れないようにするにはどうしたらよいのでしょうか？
633 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/06(日) 19:42:05 ]: sshは自動的に接続を切らない。
切ってる犯人(cshのautologoutとか)を突き止めて対策する。
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/06(日) 20:17:27 ]: >>632
NAT(NAPT)経由で接続してるんじゃない？
keepaliveを使えばいいと思う。

NATな環境で放置したSSH接続が切断される問題について
www.geocities.co.jp/AnimeComic/1098/documents/unixmemo/ssh-keepalive.html
635 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/06(日) 21:04:01 ]: >632
それはそれとして screen 使え
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 03:57:40 ]: >>635
3行でscreenを使うと切れることに対する利点を説明してください
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 09:39:02 ]: 日本語でおｋ
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 10:09:01 ]: >>636
切れても
切れてナーイ！
ねこだいすき
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/08(火) 10:22:14 ]: 3行でscreen使うと status 行が使い物にならないよねー
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/09(水) 00:47:12 ]: X Forwarding使ってるとscreenじゃやっぱり困るので、
結局がVNC使ってる。WAN越しだと重いが。
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/09(水) 01:42:41 ]: VNC使ってそこでterm動かすくらいならsshだけで済むことが多いな
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/09(水) 18:33:38 ]: >>640
screen内ではpreexec(zsh)やpostcmd(tcsh)で
毎回$DISPLAYを設定してしまうのはどうだろうか。
エイリアスを定義して、アタッチするときにはファイルに$DISPLAYを
書いてからアタッチする。screen内では毎回そのファイルを見て
コマンド実行前に$DISPLAYを設定する。
複数のdisplayを同時並行で使わないというのが前提になるが、
時々自分の居場所が違うというくらいなら。
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/13(日) 01:33:16 ]: 大学内でのみ見られるウェブページを自宅から見たいと思っています。
puttyでダイナミックなポートフォワードを設定して
firefoxのProxy(SOCKS)に指定したところ、
IPアドレス直打ちだと見られるようになったのですが、
foo.bar.ac.jpのように入力するとサーバが見つからないと怒られます。
リモート側で名前解決をしてくれればいいのですが、
putty・firefox・OpenSSHのどの設定なのか、そのあたりから分かりません。
どなたかご教示ください。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef