SSH その5

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 246 KB / Number-of Response : 982
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/27(土) 07:49:48 ]: "本家"と書いたらssh.com版を指す
opensshはあくまで亜流
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/27(土) 15:30:37 ]: >>87
> "本家"と書いたらssh.com版を指す

そうなのか？！俺はちょっと分かりにくいと思った。。（>>86氏と同じように考えた
んで）
ssh.comのもの(T.Yolen氏が作ったもの)が確かに「本家」であるのは間違いない
が、一番よく使われているのはOpenSSHだからね…。

「商用のもの」と書くか（これはこれで混乱するカモ）、「本家(ssh.com)のもの」
と書くと余計な誤解を防げるかと
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/27(土) 15:51:10 ]: >>88
> >
90 名前：86 mailto:sage [2006/05/27(土) 20:58:06 ]: >87
了解
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/28(日) 08:51:12 ]: 自分がどう思うか、じゃ無くて
世の中ではどう扱われているかってことだよな、大事なのは
92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/28(日) 22:02:20 ]: 最近頻発してるBruteForceAttackにリアルタイムに対応するために、
tcpserver経由でrblsmtpdを呼び出してsmtpdみたいなのを真似して
動くrblsshdを公開したら需要あるのかなぁ？

運用時の問題はRBLの更新速度やRBLの管理なんだけども… (´・ω・｀)
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 01:33:16 ]: 忘れたのでrblsshd動作様子@syslog

May 29 01:24:53 ari sshd: tcpserver: status: 1/100
May 29 01:24:53 ari sshd: tcpserver: pid 62452 from 127.0.0.1
May 29 01:24:53 ari sshd: tcpserver: ok 62452 localhost:127.0.0.1:10022 localhost:127.0.0.1::1966
May 29 01:24:56 ari sshd: rblsshd: Banned IP:127.0.0.1: 553 NO MORE
May 29 01:24:56 ari sshd: tcpserver: end 62452 status 0
May 29 01:24:56 ari sshd: tcpserver: status: 0/100

sshを使った時。
% ssh localhost -p 10022 -v
OpenSSH_3.5p1 FreeBSD-20030924, SSH protocols 1.5/2.0, OpenSSL 0x0090701f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to localhost.local.jp [127.0.0.1] port 10022.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Remote protocol version 1.9, remote software version rblsshd 0.0.1 AHYA(0_0)
debug1: no match: rblsshd 0.0.1 AHYA(0_0)
debug1: Local version string SSH-1.5-OpenSSH_3.5p1 FreeBSD-20030924
debug1: Waiting for server public key.
Disconnecting: Bad packet length 1349676916.
debug1: Calling cleanup 0x804c158(0x0)

sshdの鍵を送るときに適当に送ってるのでオーバーフローしちゃってますけど…。
中身はrblsmtpdを元にやっつけなので、もっさりな動作してます（´・ω・｀）
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 08:09:25 ]: >>93
sourceforge にアカウントとって公開してみればいいんじゃね?
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 13:09:53 ]: macにrootでアクセスしたいのですが、mac側でrootのパスワードはどこで設定するのでしょうか？
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/05/29(月) 13:15:05 ]: OSXの話か？
購入時のまにゅある見てみ？
97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/03(土) 16:10:42 ]: >96
Mac OS Xはrootアカウントが無効になっている。だからマニュアル読んでも……
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/04(日) 13:02:56 ]: X11のポートフォワードで、
local側をinet:じゃなくてlocal:に接続させるpatchってないんですかね?
99 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/04(日) 13:29:04 ]: >>98
何もしなくてもlocal側はLOCAL:(UNIXドメインソケット)にフォワードされる。
正確には、sshクライアント実行時のDISPLAY環境変数の値に
フォワードされる。もしINET:になってるのなら、DISPLAYの値が
localhost:0とかのINETドメインになってるんじゃないの?
DISPLAY=:0の状態でsshするべし。
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/04(日) 23:12:29 ]: ttp://nanno.dip.jp/softlib/man/rlogin/
これ使ってる人いませんか？
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 18:13:03 ]: 初歩的な質問ですが、お願いします。

例えば、sshクライアント側のiptablesの設定は
-A INPUT -p tcp -s $(sshサーバ) --sport 22 -d $(自分) -j ACCEPT
-A OUTPUT -d $(sshサーバ) -s $(自分) -j ACCEPT
みたいにすればできますが、これって相手が22番ポートを使うように偽装した場合、侵入されてしまうと思うのですが、
実際はどうなんでしょうか？
でも他に方法ないし…
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 19:16:18 ]: なんでくだ質スレにいかないの?
103 名前：101 mailto:sage [2006/06/06(火) 19:50:28 ]: 逝ってきます
スレ汚し失礼しました
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/06(火) 21:08:27 ]: >>101
そんな信用出来ないところにログインするなよ。
105 名前：101 mailto:sage [2006/06/06(火) 21:15:30 ]: >>104
大学のサーバなので信用出来ないわけではないのですが…

ふと思ったので質問してしまいました
106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/07(水) 02:20:30 ]: Accelerating OpenSSH connections with ControlMaster
tips.linux.com/article.pl?sid=06/05/19/145227
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 06:13:23 ]: 大学のサーバは信用しない方がいいね
108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/11(日) 21:31:38 ]: そうなんか？
プロを雇ってやってんじゃないの？（雇ってないとこは論外だが）
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 00:54:12 ]: ボランティアベースのプロだろうなw
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 01:55:53 ]: 実態はひどいもんだよ

プロっていっても鯖の掃除しに来てるだけとかな
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 02:34:49 ]: うちの大学のネットワーク管理部門、連絡手段はメールのみだって。

以前、ルータにトラブルがあって、学科のLANから外にまったく繋がらなくなった。
学内部門電話帳で調べて電話したけど、秘書か誰かが「繋ぐことはできません」って。
仕方ないので研究室の電話使ってプロバイダに繋いで、ISPのメールアドレスから連絡したよ。
こいつら馬鹿なんじゃね？
112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 02:38:09 ]: いい加減スレ違い。
113 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 02:41:57 ]: いつの話か知らんが
いまどき携帯メール使うだろ
114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 02:47:11 ]: >>112
すまん、

>>113
結構前。まだ手持ちの携帯でメールは出せなかった。
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 03:42:09 ]: パスワード認証は平文で行われるから使うな

という間違った話はいまだに聞くことあるな
どこがソースなんだろう？
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 05:16:42 ]: いずれにしろパスワード認証はシラミツブシ攻撃に対して激しく弱いから使うな

おまいらのsecurityログにも攻撃の痕が大量に残ってるだろ？
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 12:25:47 ]: 俺ポート変えてるから
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 16:55:07 ]: SSHの読みはシュシュハッでいいのですか？
119 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 17:29:29 ]: 普通に「エスエスエイチ」でいいんじゃない？
ja.wikipedia.org/wiki/Secure_Shell
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 18:53:28 ]: >>115
平文？キースキーミングとかでヤバイってわけじゃなくて？

DSAｷｰとか使うってのが普通なんで，パスワードなんて最後の最後の手段じゃないか？
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 19:29:48 ]: SSHH シシハハ
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 19:33:31 ]: >>120
よく読め。
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/12(月) 20:52:11 ]: >>116
denyhostsしてるし…
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 18:08:38 ]: RSAとDSAってどっちが良いの？
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 18:55:40 ]: DSAならキーボードからの打ち間違えが少ない
126 名前：124 mailto:sage [2006/06/13(火) 19:24:12 ]: すまんせん意味分からんス
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 19:34:48 ]: どっちでもいいんじゃね？
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/13(火) 19:41:12 ]: w
qwertyみたいにホームポジションから動かなくても打てるからかヨw
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/14(水) 12:09:12 ]: ちょっと質問というか相談なのですが、↓のサイトの
ttp://www.banana-fish.com/~piro/20040609.html#p06
結論として、「自動運転のためにssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作り、
その鍵を使ってできるコマンドを必要最小限に制限する」がベストということですが、そうなんですか？
＞パスフレーズはいざという時の時間稼ぎでしかない。
というのには同意ですが、でもそれはそれで意味はありますよね。
なんかこのページの趣旨が分からないっす。というかコマンドごとに鍵作るなんて面倒すぎる…

よりセキュアにってことだと思いますが、セキュアにするならそもそも自動運転など…と思ってしまうわけで。
みなさんはどう思われますか＆自動運転はどういうふうにやってますか？
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/14(水) 12:20:05 ]: >>129
パスフレーズはどうするのがいいと思うの?
expect で自動化? 平文でどっかに書いとくの?
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/14(水) 13:47:08 ]: セキュアにしたいなら毎回パスワードを入力した方が良いんじゃないの。
セキュリティを犠牲にしてでも手間を省きたいならssh-agentを使えばいいじゃん
132 名前：129 mailto:sage [2006/06/14(水) 21:55:03 ]: >>130
いや、パスフレーズは適当に（できれば通常のログインパスワードより長めに）
expectはありえないのでは？平文で書くなんて恐ろしすぎる…
自分はssh-agent＋ssh-addで自動運転、が普通だと思ってました。

>>131
パスワード認証ってことですか？それだとパスワードを相手ホストに送ってることになりますよね（まぁ暗号化はしてますが）
普通、セキュアな順に公開鍵認証、ホストベース認証、パスワード認証で、sshも認証の優先順位はこの順だったと思いますが
133 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/14(水) 22:39:23 ]: パスワード認証の話ですけど

暗号化されたパスワードであっても盗聴は出来るんだから

それをそのまま突っ込まれればやばくないですか？
134 名前：ヽ(´ー`)ノ ◆.ogCuANUcE mailto:sage [2006/06/15(木) 00:19:41 ]: >>129
概ね同意できると思うが。

1. ssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作る

パスフレーズなんて飾り。一方で、再起動の度にパスフレーズが必要という
手間がある。従って、手間に見合った効果がない(と思われる)。

2. その鍵を使ってできるコマンドを必要最小限に制限する

至極当たり前の考え。

自動運転 → コマンド内容も自動 → 実行されるコマンドは常に一定
→ 他のコマンドは使えないようにしてしまえ

パスワード認証は駄目だな。
自動運転が前提なんだから、ssh-agent みたいに毎回手入力するか、
expect のように平文でどこかに置いておく必要がある。まったく意味がない。
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 01:16:50 ]: >>132
> 自分はssh-agent＋ssh-addで自動運転、が普通だと思ってました。

ssh-agentの乗っ取りにはどう対処する?

ssh-agentの開いたソケット(/tmp/ssh-xxx/agent.1234みたいなの)にアクセスできれば、
そのagentが記憶している全ての鍵は使い放題だし、
デバッガ等でssh-agentプロセスのメモリ空間を覗くことができれば生の秘密鍵が手に入る。

ssh-agentを乗っ取られないようにアクセス制限をかけることと、
パスフレーズ無しの秘密鍵を盗まれないようにアクセス制限をかけることに
どれだけの違いがある?
パスフレーズを毎回手入力しなきゃならないデメリットにも勝るものか?
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 02:10:24 ]: 公開鍵認証なんて秘密鍵を盗まれればおしまいだよ。
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 02:22:02 ]: 盗まれたら速攻でrevokeっしょ。
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 02:49:36 ]: 確認せずに yes 連発するやつらばっかりだから MITM でいいよ。
139 名前：ヽ(´ー`)ノ ◆.ogCuANUcE mailto:sage [2006/06/15(木) 05:40:32 ]: >>136
鍵を盗まれてから trust な鍵のペアに交換するまでの時間が稼げる分、
パスフレーズ付きが若干有利ってだけで、結局それに尽きる。

「正規のユーザしか秘密鍵を持っていない」ってのが鍵交換認証の肝なんで、
これが破られるとどうしようもない。
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 06:36:30 ]: Theoみたいな奴がそう簡単に秘密鍵を盗まれるのか？
141 名前：132 mailto:sage [2006/06/15(木) 15:01:11 ]: >>135
＞ssh-agentの乗っ取りにはどう対処する?
もちろんお手上げですよ。だからある程度安全だと確信できるホスト以外では使わない。
自分の考えは>>139と同じです。パスフレーズはないよりあったほうがマシ。秘密鍵盗られたらｵﾜﾘ。

このへんは各々の前提や考え方（と好み）などによるってことですね。
自分はリモートログインにコマンド制限は一切かけたくない、というのが第一の前提で、
その上で秘密鍵盗難の危険が高いなら自動運転しない、低いならする、という考えです。

まぁいずれにせよ、自動運転なんて軽々しくやるもんじゃないと…
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 15:43:17 ]: すべてのマシンで同じ鍵を使用しているのですが、マシンごとにそれぞれ鍵を作る
のが一般的なのでしょうか？
143 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/15(木) 21:03:39 ]: そう。
144 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/16(金) 19:27:23 ]: 認証転送使えばssh-agent乗っ取りのリスクも少しは軽減されるんすか？
ttp://www.h7.dion.ne.jp/~matsu/feature/uzumi/tool_memo/ssh.html#1
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/17(土) 13:33:24 ]: >>144
いや、認証転送に使うソケット(agent単体のときと同じく/tmp以下に作られる)に
アクセスされるとマズいのは変わらん。
まあ、便利さの裏側には何らかのセキュリティリスクがつきまとうものだ、っていう
至極あたりまえのことですな。
146 名前：名無しさん＠お腹いっぱい。 [2006/06/24(土) 16:40:02 ]: いくつもある UNIX 鯖に Windows マシンからトンネル張るために
毎度毎度 ssh クライアントでログインしなくてもいいように、
Windows のダイヤルアップアダプタか VPN アダプタのように扱える
SSH ポートフォワーディング用のソフトってないですかね・・・

ore.no.host.example.com 宛に接続が必要になると
自動的にあらかじめ登録した鍵を使ってあらかじめ決めた
ポートだけトンネルされた状態で接続してくれるような・・
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/24(土) 17:08:25 ]: plink
148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/24(土) 18:49:25 ]: PortForwarder
www.fuji-climb.org/pf/JP/
149 名前：名無しさん＠お腹いっぱい。 [2006/06/25(日) 06:01:33 ]: 顧客がsshのポートフォワーディングであることを意識せずに
使えるように、Windowsのネットワークアダプターのユーザーインターフェースに
統合されているようなsshクライアント製品ってありませんか？
150 名前：名無しさん＠お腹いっぱい。 [2006/06/25(日) 06:27:57 ]: otp でいいじゃん
151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/25(日) 10:18:13 ]: なんでもかんでもsshで解決しようとするのか
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/25(日) 10:21:20 ]: >>151 他の方法での通信を組織がポリシーとして許してくれない。
153 名前：名無しさん＠お腹いっぱい。 [2006/06/26(月) 20:58:55 ]: [1] 入門OpenSSH
　　www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X

キタァ！　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ

from
　コンピュータ関連書籍新刊一覧
　pc.watch.impress.co.jp/docs/2006/market/i_nbook.htm

参考までに、既刊書籍：

[2] 入門SSH
　　www.ascii.co.jp/books/books/detail/4-7561-4553-1.shtml

[3] (絶版)OpenSSH セキュリティ管理ガイド
　　www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-0129-5
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/27(火) 18:42:57 ]: どんな時に、sshのhost-keyは変わりますか？

#Fedora Core 5 の初期設定中にトラブルがいろいろと発生して、X-windowとかが飛んだのでまた再インストールorz
155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/27(火) 20:10:54 ]: >>154
host-keyを変えたとき
156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/27(火) 20:40:30 ]: 「入門OpenSSH」買ってきた。
巻末の「著者紹介」がなくなってた。まあ、どうでもいい(DDI)けど。
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/28(水) 02:12:41 ]: >>154
ホストをクラックされて host key を変えられたとき
MITM されてるとき
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/30(金) 00:59:53 ]: [3]は持ってるんだけど、
[1]はその改訂版なの？
あと対応バージョンはいくつなんだろう
159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/30(金) 14:35:30 ]: あげ
160 名前：名無しさん＠お腹いっぱい。 [2006/07/05(水) 22:53:49 ]: bit数ってみんなどれくらいにしてまつか？
2048じゃ今時足りない？
161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 15:38:34 ]: www.atmarkit.co.jp/flinux/rensai/linuxtips/363rbashuser.html
@ITのこの記事読んで特定のコマンドしか実行できないユーザ作ったんですが。

これってそのrestrictedユーザ@hostががfoo@barとすると

ssh foo@bar bash -i

で簡単に回避されてしまうんですが。
これを回避して/bin/rbash以外起動できないようにする方法はありませんか？

いじるファイルによってはスレ違いかもしれませんが、一応fooはssh経由でしか入ってこないので。
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 15:46:56 ]: >>161
man sshd
AUTHORIZED_KEYS FILE FORMAT
...
command="command"
Specifies that the command is executed whenever this key is used
for authentication. The command supplied by the user (if any) is
ignored. The command is run on a pty if the client requests a
pty; otherwise it is run without a tty. If an 8-bit clean chan-
nel is required, one must not request a pty or should specify
no-pty. A quote may be included in the command by quoting it
with a backslash. This option might be useful to restrict cer-
tain public keys to perform just a specific operation. An exam-
ple might be a key that permits remote backups but nothing else.
Note that the client may specify TCP and/or X11 forwarding unless
they are explicitly prohibited. Note that this option applies to
shell, command or subsystem execution.
163 名前：161 mailto:sage [2006/07/06(木) 15:54:49 ]: >>162
ありがとうございます。…やっぱそれしかありませんかね？
今の環境がパスワード認証なのでそれを維持したままの方法がないかと模索していたのですが。
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 16:33:08 ]: >>161
これってフルパスでコマンド実行できない？？
165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/06(木) 16:50:41 ]: /etc/exportsの(の前にスペース入れちゃう人だからねえ
166 名前：161 mailto:sage [2006/07/06(木) 16:59:06 ]: >>164
記事にも書いていますが、実際にフルパスでコマンドを起動しようとするとrestricedとしてエラーになります。
なので必要最低限のコマンドだけ与え、PATHを制限したうえで、.bashrcと.bash_profileを編集不可にしてしまえばそれ以外のコマンドは起動できなくなります。

後はログイン時にrbash以外起動できなくすれば良いのですが、>>162の方法だけかな。

>>165
怖っ！ｗ

スレ違い気味になってきましたね、すみません。
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/08(土) 07:03:30 ]: もしrootの人に秘密鍵を盗まれてしまったら、そのrootの人は、公開鍵を置いてあるサーバに自由にアクセスできるようになってしまうのでしょうか？
168 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/08(土) 08:47:47 ]: >>167
つパスフレーズ
169 名前：名無しさん＠お腹いっぱい。 mailto: sage [2006/07/08(土) 14:59:02 ]: linux debian スレから来ました。クライアントCから
sshで同じローカルネットのサーバーA,Bに入って、kterm&
すると、Aは窓が開くのにBは窓が開かない現象に出くわしています。
ABともに、/etc/ssh/sshd_configのX11ForwardingはYesなのに、
sshでBに入ると$DIAPLAYが設定されておらず、無理やり-display :10.0
とやっても、Can't open displayでけられます。

Bのsshd -d -d -dで出力のこの辺みろとか、なにかアドバイスいただけ
ると助かります。
170 名前：169 mailto: sage [2006/07/08(土) 19:02:51 ]: すみません。自己解決できました。Bはxserverなしの鯖で、xtermだけ
いれてやってたんですが、xauthが入っていないとsshのX11Forwarding
は機能しないんですね。勉強になりました。
171 名前：167 mailto:sage [2006/07/08(土) 19:33:43 ]: パスフレーズは設定していません
172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/08(土) 19:46:34 ]: おわた
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 00:21:28 ]: >>171
それはもうだめかもわからんね。
174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 12:03:52 ]: 公開鍵を換えなさい
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 14:20:05 ]: /etc/sshのconfigファイル、ほとんど#がかかってるけど一体どれがデフォになってるのかﾜｹﾜｶﾒ
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 15:03:56 ]: 環境を書かないとはこれいかに。
177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/09(日) 19:19:46 ]: #がデフォルトだろ
178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/10(月) 15:02:24 ]: 入門OpenSSH
ttp://www.amazon.co.jp/gp/product/479801348X/
179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/10(月) 21:42:14 ]: >>177
そうとはかぎらんよ
180 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/10(月) 21:58:16 ]: # The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
181 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 03:31:36 ]: ----修正前
# PasswordAuthentication yes

...

# PermitRootLogin yes
----修正前

----修正後
# PasswordAuthentication yes
PasswordAuthentication no

...

# PermitRootLogin yes
PermitRootLogin no
----修正後
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 12:17:03 ]: opensshでサーバ証明書じゃなくて個人証明書で認証を行わせることってできるでしょうか。
183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 17:00:13 ]: >>179
どっちなのよ？

#がデフォとするなら、変えるときは>>181のように行を追加して、元に戻すときは削除するってことかい？
184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/11(火) 23:39:34 ]: デフォルトの値を知りたきゃmanすれ。
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 09:36:33 ]: manはたまに信用ならんからソース嫁
186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 10:40:49 ]: ﾒﾝﾄﾞｸｾ
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/12(水) 12:16:23 ]: >>186
んじゃ2chで聞け

(>>175にﾓﾄﾞﾙ)

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef