SSH その5

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 246 KB / Number-of Response : 982
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/08(月) 00:52:09 ]: >>809
ありがとん！

NetNewsの頃はよく使われてたよね。
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/08(月) 00:56:59 ]: 物騒な世の中だからshar(1)で展開しろ。
sh archive
で展開する奴はクズ。
813 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 11:05:58 ]: はて。展開までサポートする shar というのは見たことがない。
GNU には unshar(1) が存在するようだが、GNU 以外で見たことがない。

っていうか、なんでこのスレ？
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 11:08:15 ]: SHスレだからだろう
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 11:20:49 ]: で、GNU の unshar のソースを斜め読みしてみたが、
テキストファイルから shar アーカイブを見つけて sh に渡してるだけで、
unshar を使っても shar アーカイブの中の物騒なスクリプトは
回避できないことがわかった。
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/09(火) 21:27:36 ]: make もパッケージ物のインストールも
結局信用しないと実行できないね。
817 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 09:26:06 ]: >>814
Secure Shell Archiver を目指すということなのかｗ
818 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 11:44:31 ]: >>817
sshar…　どう発音すればいいんだ（ｗ
819 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 11:49:14 ]: IMのローマ字入力に従って「っしゃー」はどうか?
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 12:37:08 ]: 「すしゃーる」がいいよ。
フランス語っぽくてちょっとかっこいいだろ。
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 13:40:52 ]: スレ違いネタはいいかげんやめれ。
822 名前：名無しさん＠お腹いっぱい。 [2007/10/11(木) 00:24:55 ]: puttyスレより適切かと思いこちらに来ました。ご教示ください。

local→GW1→GW2
みたいな時、→のところをそれぞれ異なるパスフレーズをputtyjpで
トンネルしているのですが、例えば最初にあげるputtyではL9974 10.128.128.10:22
みたいになっていて、二回目にあげるputtyでは、127.0.0.1の9974を
接続先のポートに指定することでログインは出来るようになりました。

このとき、GW2であげているVNCサーバー（例えば、ディスプレイは1）の時に
二つのputtyjpでトンネルはどのように記述すればよいでしょうか？

VNCだと5901をトンネルするんだよなぁ、、、と迷っています。

よろしくお願いします。
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 02:35:21 ]: モット単純に出来る。
824 名前：名無しさん＠お腹いっぱい。 [2007/10/11(木) 14:58:24 ]: 自社で sshd を外部からのアクセスのために運用していますが、ログインしっぱなしの人が多いため、
(ssh でログインしてきたけど、一切パケットが流れていないが接続は確立している状態)
これを制御したいです。どうしたらいいでしょうか？

sshd_config で KeepAlive という項目がありましたが、これを
Yesにしても、クライアント側がクラッシュしたとか強制的に電源を切ったときに、
サーバ側でのプロセスをゾンビにせずにkillするのであって、
今回の目的には使えない、という理解であってますよね？

ブロードバンドルータや NAT などで、LAN 内からインターネット上の
ホストに ssh で接続し、何も操作していなかったらタイムアウトして
コネクションが死ぬ場合がありますが、これは sshd の設定ではなく、
ブロードバンドルータの設定ですよね。
場合によっては、パケットリピータを sshd の前にかまして似たようなことをするしかないかな。
(delegate、stone みたいなのでできるのだろうか)

なお、ログインしてシェルを開いて while 文で date; sleep 300 みたいなことを
したり、putty とかでダミーパケットを定期的に送ってくる人がいますが、
これは防ぎようがないのであきらめますが、冒頭の私の目的を達成するために
何かいいアイデアがあれば、よろしくお願いします。
825 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 16:15:07 ]: 私は毎朝rebootかけてるYo!
826 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 17:11:31 ]: >>824
ログインしっぱなしでいいじゃん
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 19:24:56 ]: >>824
通貨、OSぐらい書いたら？
828 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 20:13:47 ]: つうか、まずはmanぐらい読んでみたらと。
829 名前：824 mailto:sage [2007/10/11(木) 20:23:07 ]: >>827
すみません、サーバ側のOSは FreeBSD で、OpenSSHを使っています。

クライアント側は特に絞っていません。(Windows ユーザ、Linux ユーザ、Macユーザあり)

とりあえずクライアント側はおいといて、サーバ側で何かできるかがあればうれしいです。
830 名前：824 mailto:sage [2007/10/11(木) 20:35:45 ]: man sshd と man sshd_config は読みました。
www.unixuser.org/~euske/doc/openssh/jman/sshd.html
www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
しかし私の目的が達せられそうなものは見つけられませんでした。
もしあるのだったら、キーワードだけでもいいので教えてください。

※
824 では書きませんでしたが、 ClientAliveCountMax、ClientAliveInterval も、
ssh 上で何も操作していなくても ssh 接続が正しく確立していれば、サーバ側から
生存確認を送ってもクライアントが返してしまうので、サーバ側で接続を切ることはできないと
理解しています。
831 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 20:44:30 ]: ttyのidle時間が一定以上ならsshdにHUP送れば?
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 20:53:14 ]: >>830
シェルの autologout でも設定しておけば?
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 21:30:57 ]: >>832
ワシもそう思ったから念のためにOSを聞いたのだ。
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 22:25:45 ]: 別に深く考えずにこれをcronabに書いとけYo!

30 3 * * * /sbin/shutdown -r +3
835 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 23:08:23 ]: >>830
idled使え。FreeBSDならportsに入ってる。
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 07:58:11 ]: Mac OS Xの10.4なんですが、ローカルのターミナルで
DISPLAY変数がセットされていてxeyesなども実行できる状態から
別のマシン(同じくMac OS X 10.4)にssh -Xしても
向こう側でDISPLAY変数がセットされない。-Yオプションでもだめでした。
~/.ssh/configでもForwardX11 yesにしてます。

以前にLinuxで同じようにするとDISPLAY変数が:10.0みたいな感じに
自動設定されたと思うんだけど、他にどのへん確認したらいいでしょうか?
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 08:02:30 ]: ターミナル：Terminal.app？
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 10:39:05 ]: >>836
ssh -vvで確認。
たぶんxauthあたりの問題。
839 名前：836 mailto:sage [2007/10/12(金) 12:09:06 ]: 相手側のsshd_configでX11Forwarding yesを設定したらいけました。
デフォがnoでした。ごめんなさい。ごめんなさい。
840 名前：824 mailto:sage [2007/10/12(金) 15:04:36 ]: レスを下さった方、どうもありがとうございます。

やはり sshd 側で切ってしまうことはできなさそうなので、教えていただいたように
ssh の外の世界でできないか考えて見ます。

shell の autologout が一番簡単そうですが、ユーザ側で設定を変えることもできてしまいます。
ダイヤルアップルータがやっているように、ipfw や外のファイアウォールで、そのセッションが無通信だったら
切るということもできそうですが、複雑になりそうなので、>>831 をやるシェルを書いて cron で回すか、idled を
使ってみる方向でやってみます。
841 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 16:36:24 ]: >>840
シェルを書く? シェルを改造してautologout強制させるるのか?
842 名前：824 mailto:sage [2007/10/12(金) 18:00:47 ]: あ、 bash 等を改造するのではなく、
ps して idel 時間を調べて、長かったら kill　するようなシェルスクリプトという意味です
(スクリプトという言葉が抜けていた)

でも担当者と話していて、ipfw で無通信が長かったら切るという方向で進めようかな、と思ってきた。
(できるかどうか調べ中ですが)
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/12(金) 18:30:19 ]: screenで作業してる奴がぶーたれそうだな>824
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 00:35:05 ]: シェルってゆうな。クズ。
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 02:13:31 ]: >>840
autologout の設定を変えるくらいのやつは、
while date; do sleep 300; done
くらいのこともするのではないだろうか。
846 名前：824 mailto:sage [2007/10/13(土) 03:31:26 ]: >>843
うちの環境は、直接外からsshで入れるサーバは単なるゲートウェイなので、
そこからさらに社内サーバにsshでログインしてそこで作業しています。
screenする人は社内サーバ側でしてもらえば、と。

>>844
すみません

>>845
おっしゃるとおりですね。あるいは putty 等でダミーパケット飛ばしている人もいます。
そういうケースは仕方がないとあきらめることにしています。

話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
みなさんのところではそういう話はないですか？
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 11:45:44 ]: suse10.3でsftpをマウントしたいのですが、どのパッケージをインストールしたらよいのでしょうか？
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 11:49:51 ]: >>846
> 話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
> 「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
sshは全面(入るほうも、出るほうも)禁止にするしかないという結論が必至なので
黙っている。
849 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 12:02:57 ]: >>847
くだらねえ質問はここに書き込め！ Part 154
pc11.2ch.net/test/read.cgi/linux/1191596561/
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 16:20:58 ]: >>840
idledのCOPYRIGHTを見ると、非営利的な利用しか認めてないようだ。
会社で利用するのは問題あるような気が…。
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 19:30:09 ]: >>850
ちょっと調べたらdebianでも大昔non-free扱いで入ってたがもう削除されてるぽい。
FreeBSDってのはそういうライセンス的に微妙なのをしれっと入れるのですか…
おっと、スレ違いでごめん。
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 20:09:54 ]: スレ違いっていうより気違い。
853 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/13(土) 22:13:50 ]: >>851
当たり前。ports には ssh.com の ssh も入ってるよ。
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 10:37:02 ]: >846
[おうち鯖GW(screen)]-[824社GW]-[内部鯖1]
という人のこと

>850
社内のサービスとして使用するのは、営利とは言わないはずなんだが
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 11:41:36 ]: >>854
> 社内のサービスとして使用するのは、営利とは言わないはずなんだが
それはお前の願望。「営利」の定義は著作権者によってまちまち。
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 11:49:46 ]: 大学等でも、学生が講義やレポートを作るために使う端末は非営利とされるが、
事務部で事務員が使っている端末は営利利用と判断される場合があるな。
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 14:05:35 ]: 結果的に会社の利益に結びついてんだから営利じゃね？
社内のサークル（趣味）内での利用とかなら別だが、見た感じ業務として使ってるだろ
Ex)「社内のサークル紹介Webサーバを自宅からメンテします」ってのと「社内業務用サーバのメンテします」ってのの違い
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 14:52:58 ]: その会社が営利企業の場合、
顧客に対する活動ではなく、自社の(内部向け)業務であっても、営利目的となるのでは。
非営利団体が、内部の経理作業とかの場合、非営利となるんだろうか？
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 16:10:21 ]: >>855ですでに正解が書かれてるのに何を議論しているんだ?
著作権者の定義が全て。お前ら権利を持ってないクズが定義する権利は無い。
曖昧な場合は権利者に確認すればよい。
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 01:13:41 ]: 「OpenSSH 4.7p1」 + 「OpenSSL 0.9.8e」な環境のOpenSSLを0.9.8fにアップデートしたら、
sshdを起動させようとすると「OpenSSLのバージョンが違う」的なメッセージが出て、sshdが起
動しなくなりました。
OpenSSHを再ビルド&インストールして事なきを得ましたが、OpenSSHって、以前からOpenSSL
のバージョンに依存していましたでしょうか？
861 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 01:20:00 ]: $ ldd /usr/sbin/sshd
/usr/sbin/sshd:
libssh.so.3 => /usr/lib/libssh.so.3 (0x280a4000)
libutil.so.6 => /lib/libutil.so.6 (0x280d9000)
libz.so.3 => /lib/libz.so.3 (0x280e5000)
libwrap.so.4 => /usr/lib/libwrap.so.4 (0x280f6000)
libpam.so.3 => /usr/lib/libpam.so.3 (0x280fd000)
libgssapi.so.8 => /usr/lib/libgssapi.so.8 (0x28104000)
libkrb5.so.8 => /usr/lib/libkrb5.so.8 (0x2810b000)
libasn1.so.8 => /usr/lib/libasn1.so.8 (0x2813f000)
libcom_err.so.3 => /usr/lib/libcom_err.so.3 (0x28160000)
libroken.so.9 => /usr/lib/libroken.so.9 (0x28162000)
libcrypto.so.5 => /lib/libcrypto.so.5 (0x2816e000)
libcrypt.so.3 => /lib/libcrypt.so.3 (0x28290000)
libc.so.7 => /lib/libc.so.7 (0x282a8000)
libmd.so.3 => /lib/libmd.so.3 (0x28395000)
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 02:40:06 ]: Linux初心者にオススメの無料OS、Ubuntu(ｳﾌﾞﾝﾄｩ)。
ISOイメージをCDに焼くだけで起動ディスクの完成。
ディスクを入れたまま再起動すれば即(･∀･)ｳﾌﾞﾝﾄｩ!!
既存の環境を汚さないLiveCDタイプで、安心して試せます。
気に入ったらHDDにインストールして常用も可能。

ダウンロード
www.ubuntulinux.jp/products/GetUbuntu

世界で圧倒的人気のLinux、それがUbuntu。
google.com/trends?q=Ubuntu%2CMandriva%2CSUSE%2CFedora%2CKnoppix

初心者超歓迎BBS
pc11.2ch.net/test/read.cgi/linux/1177677371/

★Ubuntu日本語サイト
www.ubuntulinux.jp/
★Ubuntu 7.04紹介記事
itpro.nikkeibp.co.jp/article/NEWS/20070420/269132/
itpro.nikkeibp.co.jp/article/NEWS/20070608/274191/
★Ubuntu 7.04インストールガイド
itpro.nikkeibp.co.jp/article/COLUMN/20070507/270108/

3Dデスクトップ環境「Beryl」
Minimizing Effects　www.youtube.com/watch?v=fgV3KTKsRRk
Desktop Cube　www.youtube.com/watch?v=xCO14ISplEg
Rain Effects　www.youtube.com/watch?v=bLQgnXDgXyE
Window Switching　www.youtube.com/watch?v=7JNEwa4-Q9s
Beryl + Wiiリモコン　www.youtube.com/watch?v=xzlAR1rPKPg
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 06:02:58 ]: >>862
> 世界で圧倒的人気のLinux、それがUbuntu。

「世界で*初心者だけに*圧倒的人気のLinux」の間違いじゃねぇの。
こんなことするから、嫌われる。
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 06:04:18 ]: >>860

--without-openssl-header-check

つけて、コンパイル。
865 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 08:28:50 ]: >>863
荒らしに反応すんな。
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/16(火) 10:19:06 ]: >>862-863
ID非表示をいいことに自作自演までやってのけますかｗｗ
867 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/21(日) 21:55:16 ]: >>864
>>860じゃないけど、ありがとう！
そのオプションは、4.5p1→4.6p1で追加されたようですね。

ちなみに、>>860の
　「OpenSSLのバージョンが違う」的なメッセージ
は
　OpenSSL version mismatch. Built against 90805f, you have 908070
といったものですね（数値はOpenSSLのバージョンによって変わる）

ちなみに、私の方では、sshdが動いている状態で（停止させること
なく）OpenSSLのバージョンアップが行われたため、sshdがポートを
listenしているのに、以下のようになって接続できなくなるという
、奇妙な状態になってしまいました。
　　　% telnet XXXXXX.net 22
　　　Trying ***.***.***.***...
　　　Connected to XXXXXX.net.
　　　Escape character is '^]'.
　　　Connection closed by foreign host.
　　　%

% /usr/local/sbin/sshd -V
して上記のエラーメッセージ見てやっと気が付いた…。むぅ
syslogが出すログには何も出てこないし
クライアントからの接続要求が来たときにfork()し、生成された子プ
ロセスが（上記のエラーを理由に）即座に終了したんだと予想。
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/21(日) 23:53:50 ]: >>867
"--without-openssl-header-check"はconfigure実行時にチェックするだけ。
だまされちゃダメょ。
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/22(月) 06:14:40 ]: 要するに OpenSSL をバージョンアップしたときは、
忘れずに OpenSSH もビルドしなおせ！ってことね。
870 名前：名無しさん＠お腹いっぱい。 [2007/11/07(水) 20:29:33 ]: ssh を使ってサーバのポートを監視したいと思っているのですが
"ConnectTimeout=5"を指定しているのですがうまく動きません。

ssh -v -o "ConnectTimeout=5" hoge.local -p 80
-----------------------------------------------
OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to hoge.local [hoge.local] port 548.
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.
debug1: identity file /home/page/.ssh/identity type -1
debug1: identity file /home/page.ssh/id_rsa type 1
debug1: identity file /home/page.ssh/id_dsa type -1　←ここで止まってしまいます。

何か設定が間違っているのでしょうか？よろしくお願い致します。
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 12:41:49 ]: ちっぷｓ：　sshdを野良ビルドしてる時は、static にしたほうが良い。
OSをうｐぐれした時に忘れて、離元ログインできなくなるので。
872 名前：名無しさん＠お腹いっぱい。 [2007/11/08(木) 13:13:27 ]: Linux (Debian と Ubuntu) で OpenSSH つかってるんですが、
この間うっかりしててサーバのディスクがフルになってしまい、
そのサーバへは ssh でのログインができなくなってしまいました。
結局現地に行って問題は解決したのですが、ディスクフルになると
sshd ってログインを受け付けなくなってしまうのでしょうか？

そもそもパーティションを切らずに /var も含めて一緒の
一つのファイルシステムで運用していた自分が悪いのですが、
もし /var や /tmp を別のパーティションにして運用していれば
たとえ /home を含む / がディスクフルになっても sshd は
ログインを受け付けてくれていたのでしょうか？
873 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:26:31 ]: もう手動でフィルタ書くの疲れた。
日本以外からのアクセスは全てルータ単位でパケットごと捨てたいんだけど、どうすればいいんだろう？
簡単そうなのに見当が付かん。
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:51:52 ]: >>873
事実上無理。
IPアドレスやドメイン名から「日本」を区別することは出来ないので。
875 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:53:37 ]: IP アドレスはがんばればできんじゃね
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:55:58 ]: 完全ではなくても実用的には可能。
apnicが国別IP割り当てリストを公開しているので
月1くらいの頻度でそれをとってきてフィルタのテーブルを更新してる。
結構それなりに落としてくれる。
一応困ったときのためにフィルタしないアドレスブロックを入れる仕組みも
作ったが今のところ使ってない。
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 13:59:01 ]: >>875,876
歴史的PIアドレスや、JPNICではなくAPNICメンバになってるようなISPから
割り振りを受けたIPアドレスは無視するというのなら出来なくはないが、
かなり漏れが出るよ。

「その辺のユーザは軒並み無視してOK」的な運用であれば可能だけど。
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 14:02:15 ]: >>873
日本全部から許可する必要あんの？
自分が使う ISP だけ許可しとく、とかでいいんじゃね？
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 14:09:45 ]: >>877
別に構わないのでは?
なんなら手で書いたテーブルから追加するようにすればいいし。
話題の目的を理解してない希ガス。
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 14:50:00 ]: 逆引きして .jp　じゃなければ弾く。
逆引き出来ねえなんてのは、野良IPだから弾けばよい。
.net やら、 .com で国内に逆引きを付けてる変態（ウチもそうだがｗ）
は、つど登録して置きゃおｋ。
881 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 15:10:05 ]: そういえば、日本では逆引きできないISPって最近減ってきたかな。
しっかし、v6での逆引きってどうなるんだろう? 逆引きなんて無意味だから
やめちまえっていう話もv6どころかv4でもあるわけだし。

聞いたところによると韓国・中国では逆引きできないのが普通らしいね。
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:22:43 ]: >>879
一応書いておかないと、WHOISやCIDRブロックリストから接続元が日本か
どうか正確に判断できると思っちゃってる人がたまにいるし、実際企業系の
サービスで使ってるサーバで、それをやろうとした痛い知り合いがいたので…。

で、sshdが動いているサーバへの接続とかだったら、個人的には許可する
ブロックごとに手動で登録でいいんじゃないかと思ったりもする。
そういうのがダメなぐらいシビアな運用なんだったら、「アクセス出来ない
ところだけ後から手動で追加」ってのもやっぱり駄目なんじゃないかなーと
か思ったり…。
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:25:00 ]: >>878
動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
トチ狂ったバカの無差別攻撃がたまらん。georgeやらandyやらユーザ名を変えるだけならまだしも
それを片っ端からポート変えて試すとは…。なんたるトラフィックの無駄遣い。
せめて最初にポートスキャンしてくれればいいものを。

>>876 >>880の2方法が正解なのかな。どちらにしろPCルータじゃないとダメそうだ。
でも肝心の接続部分はハードウェアルータに任せたい。
そうなると間に挟むしか無いのか。昔ながらのファイアウォールだ。
なんかエレガントさに欠ける気がする。うーむ…。
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:25:49 ]: >>883
> 動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
ならスレ違い。
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:37:18 ]: >>884
？？？
sshd動かしたサーバでssh以外に何も使ってないの？
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 16:40:21 ]: ssh 以外へのアクセス制限の話は
ssh スレでやる必要ないっしょ。
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 17:02:40 ]: >>886
いやいや、sshへのアクセス制限の話だよ。
sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
そこに向けてまでsshログインしてこようとする輩がいるのよ。
だからサーバ群に到達する以前にルータの時点で国単位でパケットごと捨てたいという話。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 17:04:07 ]: 22/tcp 宛だけ >>878 にすればいいじゃん。
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 17:11:40 ]: >>888
もう釣られないぞ。
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 18:38:12 ]: >>873
「東アジアフィルター」でぐぐれ

接続ルータは業務用ローエンド(RTX1100とかIX2015とかCisco1812Jなど)の
フィルタをたくさん書ける奴に交換すれば良かろう
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 18:58:32 ]: >>890
おお！これは凄い！素晴らしい！ありがとう！

ルータは残念ながら元からRTX1100なのでした。
でも、これ見る限りある程度ざっくり切れそう。
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 19:14:29 ]: 無駄な努力せずに、ポート番号変えろよ。
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 21:41:36 ]: ある意味正解かもな > ポート番号変更
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/08(木) 22:09:27 ]: 887で、

|sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
|そこに向けてまでsshログインしてこようとする輩がいるのよ。

って書いているから、そういう奴には、ポート番号変えても無駄だろう。
空いている所には無理矢理入ろうとしているようだ。
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 01:15:54 ]: 普段はポートを閉じて置いて、決められた順番にポートを叩くと
必要なポートをあけてくれる knockd ってのが無かったっけ？(用途はsshに限らんが)
ちょっとめんどいけど、それなりに有効ではなかろうか。
896 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 10:35:38 ]: めんどくさすぎっす

まだ ssh over TLS みたいにして
TLS のネゴしてからにするとかの方が…

やっぱ面倒だ…
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 11:13:35 ]: 放置プレイが一番楽
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 11:53:51 ]: むしろこの際 jail の下とかに account/password が
root/root みたいなのを用意して捕獲して眺めるとか

ログ付きの sh とかないのかな?
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 12:15:34 ]: >>897
実害はauth関連のログが溢れる程度なんで、手間をかけてまで対策かけるのは
確かにアホらしいんだよなぁ。
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 13:12:33 ]: IPで制限かけるのは無理だと悟ったので、hosts.allowからspawnでシェルスクリプトを呼び出して、
一定回数以上ログインに失敗する or rootでログインしようとしたIPからのアクセスを
iptablesで5分くらい弾くようにしてる。ログも溢れないし、精神衛生的にも良い。
901 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 13:12:59 ]: >>895
見てみたがSolarisだとダメなのか…。
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/20(火) 11:21:36 ]: >901
その昔、
phenoelit-us.org/stuff/cd00rdescr.html
をSolarisに移植して遊んでたことがある。昔過ぎて移植した
ソースは失われ、上のlinkが辛うじて残るのみだった...
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/07(金) 05:13:17 ]: >>900
danger.rulez.sk/projects/bruteforceblocker/
BSD系とかだとこんなのあるみたいですよん

さらに、うちは独自にSSH用DNSRBL作ってサーバ群で共有して弾いてますけど
そこそこに弾いてくれます。
利用者ドメインが.JPのみのサーバでも、どこかで検出したら同じIPアドレス
とは格闘しなくてよいですが、一部IPアドレスが連番なサーバ群に同時に
攻撃されると一時的に両方ともが相手することになるのが気になったりしますね。
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 07:48:44 ]: sshfsを起動時にマウントする方法を教えてください。
905 名前：名無しさん＠お腹いっぱい。 [2007/12/11(火) 20:39:49 ]: シェルスクリプト内で、ssh接続して公開鍵認証で無く、パスワード認証になった場合は
パスワードプロンプトからシェルにプロンプトを戻す設定ってありますでしょうか？

下記のようなスクリプトを実行した場合にプロンプトが戻るようにしたいです。

[root@www ssh]# cat aaa.sh
ssh -l guest 192.168.10.3
echo $?

公開鍵認証だけに設定するのは要件からできません。
よろしくお願いします。
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:01:24 ]: >>905
expectやzshのzptyについて調べたほうがいいような気がする
907 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:12:35 ]: >>905

ssh -l guest 192.168.10.3 -o 'PasswordAuthentication no'
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:15:12 ]: SSHで接続しようとすると接続までに 30 秒ほど時間のかかるサーバーがあります．
接続後は問題ありません．認証は公開鍵暗号を使っています．

ssh -vv で見てみると次の表示をした後とまっているようです．
なにがまずいんでしょうか？

>debug2: we sent a publickey packet, wait for reply
909 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:40:52 ]: >>908
逆引きできてるかい？
910 名前：908 mailto:sage [2007/12/11(火) 21:43:46 ]: >>909
逆引きはできてないです．
この場合どういう設定をすれば待ちを回避できるのでしょうか？
911 名前：名無しさん＠お腹いっぱい。 [2007/12/11(火) 21:54:56 ]: >>906,907
回答ありがとうございます。なるほどそういう方法もあるんですね。
ただ、その場合回避はクライアントに依存することになるかと思います。

サーバ側設定で「公開鍵認証できない場合は。。。」で処理を分けるというのは
やはりできないでしょうか？
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 21:57:02 ]: >>911
なんだ、サーバー側をいじっていいのかよ。それを先に言え。
サーバー側の ssh_config で、 PasswordAuthentication no を設定。

以上。
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/11(火) 22:02:26 ]: sshサーバ側hostsにクライアントのエントリ書いて治まればlibwrapだな
914 名前：名無しさん＠お腹いっぱい。 [2007/12/12(水) 00:09:33 ]: >>912
それだと公開鍵認証接続しか許可しないのでは？
パスワード認証になった場合、TELNET接続のように一定時間で
プロンプトが戻ってくるようにしたいのですが、上手い方法が
無くて悩んでいます。
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/12(水) 17:21:07 ]: ちゃんと要件整理してから出直しておくれ…
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 14:36:35 ]: sshfsでsftpをマウントしているのですが、マシンの起動時に、マウントする方法を教えてください。
パスワードで躓いています。
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 16:26:07 ]: >>916
パスワードを使わないようにする
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 18:59:58 ]: >>916 パスフレーズなしの鍵で認証すればおｋ
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 19:52:51 ]: puttyならつながるのに、いつの間に、ttsshは、opensshとの相性が
悪くなってやがんのよ？　事前共有鍵とか作って置いておけっての？
はあぁ・・・
920 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 22:45:50 ]: >>919
今のご時世、Poderosaじゃね？
921 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 23:21:23 ]: ターミナルエミュレータなのに.NETアプリで重いというのがなぁ
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 00:10:57 ]: >>921
重いのはインストール時と初回起動時だなｗ

タブブラウジング出来るってのは、やはり正義だ。
20台纏めて面倒見なきゃならん時なんかは、寺よりもポデの方が便利。
ショートカットでのタブ移動を憶えたら、もう戻れない身体になってしまった。
アプリ自体も安定しているしね。

ただし、富士通SPARC機のXSCFには何故か接続出来ないという罠が待っている。
XSCFだけ寺を使うしかないという罠。
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 07:41:20 ]: >>922
GNU screen使いなんで、タブとかはまるで使わんからなぁ。
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 10:04:01 ]: >>923
>20台纏めて

まぁそれでも俺はパテ使いだが。SDIだろ結局。
925 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 12:20:36 ]: screenを起動したマシンから、windowを新しく開いてそこからsshしてるのではないかと。
キーボード操作だけでコピペできるのは非常に便利。

Poderosaは.NETな時点で使わない。個人的に.NET嫌いなので。それにPuTTYほど細かいカスタマイズができない。
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 13:28:46 ]: 個人でせいぜい数台管理するのと
サバ管が何十台も管理するんじゃ違うと思う。
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 14:57:34 ]: >>925
そそ。そこから各マシンにはずっとsshしっぱなしなので、
いちいちtermのほうで何度もsshをする必要ないし。
928 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 17:13:08 ]: メイン環境がMac OS Xだから、そういった事に気を使う事は不要だったりする :-)
単にTerminal.app開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 20:34:09 ]: メイン環境がFreeBSDだから、そういった事に気を使う事は不要だったりする :-)
単にKTerm開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 21:05:42 ]: メイン環境がCygwinだから、そういった事に気を使う事は不要だったりする :-)
単にkterm開いて、そのままsshコマンド打つだけだからね。
Macかぶれな人は面倒だねぇ。
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 21:25:53 ]: 同時に何枚も開くときの話じゃねーの？
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 21:38:43 ]: >>931
そこでscreenですよ
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/22(土) 12:18:22 ]: ubuntuにdenyhostsを入れたのですが、パソコンの起動時にdenyhostsが起動してくれません。
どこで設定すればよいのでしょうか？
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/26(水) 10:36:43 ]: >>933

ttp://www.ksknet.net/linuxai/chkconfig_initd.html
935 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 01:05:58 ]: sshfsを起動時にマウントしたいのですが、マウントの実行をrootではなくユーザーで行いたいのですが、
何かよい方法はないでしょうか？
936 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 01:24:24 ]: >>935
cron
937 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 01:30:25 ]: >>935
su
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/27(木) 02:00:15 ]: uidが0の「ユーザー」を作る。
939 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/28(金) 00:30:02 ]: toor？
940 名前：質問させて下さい [2007/12/31(月) 03:59:30 ]: sshの初心者ですいません
sshにつなぐことはできたのですがコマンドがわかりません；；

アクセス解析をサイトに入れたいのですが
入れたいサクセス解析
ttp://www.hping.org/visitors/　（visitors0.7です）

某ブログより次のようにコマンドを打てばインストールされましたが、自分で指定したサーバー上の
フォルダにインストールしたいのですが、何度してエラーがでてしまい無理でした。

wget www.hping.org/visitors/visitors-0.7.tar.gz
tar xvzf visitors-0.7.tar.gz
cd visitors_0.7
make
cp visitors /usr/bin

public_html/www.123.com/abc/
abcのフォルダにインストールしたい場合はどのようにコマンドをうってあげればいいのでしょうか？
よろしければアドバイスお願いします。
941 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/31(月) 04:25:11 ]: 某ブログに聞け。
というよりも、ちゃんとドキュメント読むのが先。
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/31(月) 09:57:29 ]: >>940
キミに必要なのはsshの使い方じゃなくてUNIX,LINUXの使い方。
本屋行って入門書を買ってくるか、キミのように「自分が何をわかっ
ていない」かさえわからない超ウルトラ初心者でも暖かく迎え入れ
てくれるlinux板に行きなさい。
943 名前：名無しさん＠お腹いっぱい。 [2007/12/31(月) 13:44:52 ]: いまさらですが
>808からの流れであの方のAAが出てないのが不思議だｗ
944 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 03:43:14 ]: >>928
もともとMacユーザで、10.3くらいまでは結構Terminal使ってたんだけど、PuTTYに比べて
・アンチエイリアスうぜー
・Emacsとか表示崩れすぎなんじゃボケ！！
って感じで
「Macツカエネー」と思ってたよ。
いまだいぶマシなの？
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 03:54:17 ]: うん、少しは麻紙。
アンチエイリアスうぜーんだったら、xterm使えば四濾紙。
946 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 05:06:48 ]: >>944
＞アンチエイリアスうぜー

は？

＞Emacsとか表示崩れすぎ

明らかに、設定が悪いだけだな
安置の攣りか？
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 05:11:28 ]: 元来のマック使いに、その辺りを期待するのは無謀。
アホでも使えるが売りだから。
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 05:16:14 ]: sshじゃなくてターミナルエミュレータのスレでやれよ・・・
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 09:31:49 ]: sshfsで一度マウントすると、再起動してもマウントされているのは仕様ですか？
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 10:57:49 ]: >>949
/etc/fstab
951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 10:26:17 ]: 見てみましたが、fstabにはsshfs関係の設定は何も書かれていないのですが、・・・
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 11:18:24 ]: pc11.2ch.net/test/read.cgi/linux/1196399724/659
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 16:22:15 ]: 皆さんお元気ですか？私は質問したい。
port forwarding で２つ以上のマッスィーンを一発でトンネルできるか？できるのか？
可能ですか否ですか？飛び石は面倒な気持ちなんです。
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 16:25:07 ]: 「chi」を「スィ」と発音するのかよｗ
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:05:21 ]: するよな？
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:14:50 ]: さぁ～？
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:15:23 ]: [∫i] ≠ スィ
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:18:41 ]: ミシン（←英語は発音大事）
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:19:40 ]: んー、やっぱ出来るわけないですよね常考。２つ以上のマチャイネを一発でトンネルなんて。
コツコツport forward する。皆さんの生暖かい応対に感激いたしました。バイビー
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:24:06 ]: ×トンネル
○タノウ（←英語は発音大事）
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 17:34:14 ]: マチャアキ、頼む…
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 19:05:56 ]: 「スィ」じゃなくて「シュイ」って感じ
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 04:43:15 ]: >>953
一発では無理だよ
964 名前：名無しさん＠お腹いっぱい。 [2008/01/19(土) 13:20:21 ]: どうして、しょっちゅうバグが見つかって、改訂されるのだろうかな。
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 16:16:48 ]: 「コードはバグを産み出す」って格言があるから。
966 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 20:16:02 ]: バグが残ってるなんて怠慢だとか言う連中って
テストで毎回全教科満点とったり仕事はノーミスで優秀だったりするのか？

ま、964みたいなヤツがそうであるとは到底おもえないわけだが。
ただの無知か釣りでしかない。
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 20:18:56 ]: >>964
OpenSSHでなくssh.com使っとけ
もう数年間freezeしたまんまだ
968 名前：614 [2008/01/29(火) 10:25:15 ]: 遅レススマソ

authorized_keys の特定のユーザーを消したいという話ですが、
公開鍵をみてもメールアドレスなどの情報はついてません・・・。

というか、自分で putty_gen とか Poderosa で生成したのがついてない orz

下記サイトの「authorized_keys ファイルの例:」を見たら、
www.unixuser.org/~euske/doc/openssh/jman/sshd.html
# でコメントも書けるようですし、行末にスペース区切りでコメントOKみたいので・・・

って、putty_genで、「鍵のコメント」欄に適当にテキスト入れたら、
authorized_keys にコピペする公開鍵に上記アドレスの例のようにコメントつけられました。

今後はそれで行こうと思います。
969 名前：名無しさん＠お腹いっぱい。 [2008/02/07(木) 21:21:40 ]: windowsのpoderosaで作った公開鍵と秘密鍵で
poderosaからはパスフレーズを使ってログインできるんですが、
秘密鍵をlinuxクライアントに持っていき、ホームの.ssh/id_rsa に置き、
sshにログインしようとしたのですが、
同じパスフレーズでログインできないのはなぜでしょうか？
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/07(木) 21:44:43 ]: $HOME/.sshのディレクトリのパーミッションは700にすること。
755とかは不可。
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 10:43:42 ]: FTPのasciiモードってオチじゃないの?
972 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 11:17:37 ]: すでに自己解決しました。
ちなみに>>970 >>971 とも大はずしですｗｗ
973 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 11:18:21 ]: クイズはやめれ
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 14:05:55 ]: # SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers hogehoge

# 接続制限
MaxStartups 3:75:10
LoginGraceTime 60
MaxAuthTries 10

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile /root/ssh/public_key.pub
975 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 14:06:17 ]: # パスワード認証
PasswordAuthentication no
PermitEmptyPasswords no

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

# パーミッションチェック
StrictModes yes

# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

# 以下はProtocol 2なので設定不要？？
# RhostsRSAAuthentication no
# RSAAuthentication yes

これだけ設定しとけば十分？
976 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:23:55 ]: PermitRootLoginはnoの方がいいんじゃね？
root権限が必要ならsuなりsudoなり使えばいいんだし。
977 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:29:59 ]: >>976
はげどう
最低でも without-password にすべき
978 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:32:29 ]: without-password ってパスワードなしの認証？
979 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:38:57 ]: PAMも使った方がイイんじゃね。
980 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 20:44:55 ]: >>979
なんで？
981 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/08(金) 22:12:43 ]: >>978
パスワードなし、鍵での認証は可能

>>979
PAM を理解できているなら、PAMで制御した方が安全にはなるな。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef