- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:pc.2ch.net/unix/kako/976/976497035.html
Part2:pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:pc8.2ch.net/test/read.cgi/unix/1102242908/
- 895 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/09(金) 01:15:54 ]
- 普段はポートを閉じて置いて、決められた順番にポートを叩くと
必要なポートをあけてくれる knockd ってのが無かったっけ?(用途はsshに限らんが)
ちょっとめんどいけど、それなりに有効ではなかろうか。
- 896 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/09(金) 10:35:38 ]
- めんどくさすぎっす
まだ ssh over TLS みたいにして
TLS のネゴしてからにするとかの方が…
やっぱ面倒だ…
- 897 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/09(金) 11:13:35 ]
- 放置プレイが一番楽
- 898 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/09(金) 11:53:51 ]
- むしろこの際 jail の下とかに account/password が
root/root みたいなのを用意して捕獲して眺めるとか
ログ付きの sh とかないのかな?
- 899 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/09(金) 12:15:34 ]
- >>897
実害はauth関連のログが溢れる程度なんで、手間をかけてまで対策かけるのは
確かにアホらしいんだよなぁ。
- 900 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/09(金) 13:12:33 ]
- IPで制限かけるのは無理だと悟ったので、hosts.allowからspawnでシェルスクリプトを呼び出して、
一定回数以上ログインに失敗する or rootでログインしようとしたIPからのアクセスを
iptablesで5分くらい弾くようにしてる。ログも溢れないし、精神衛生的にも良い。
- 901 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/09(金) 13:12:59 ]
- >>895
見てみたがSolarisだとダメなのか…。
- 902 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/20(火) 11:21:36 ]
- >901
その昔、
phenoelit-us.org/stuff/cd00rdescr.html
をSolarisに移植して遊んでたことがある。昔過ぎて移植した
ソースは失われ、上のlinkが辛うじて残るのみだった...
- 903 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/07(金) 05:13:17 ]
- >>900
danger.rulez.sk/projects/bruteforceblocker/
BSD系とかだとこんなのあるみたいですよん
さらに、うちは独自にSSH用DNSRBL作ってサーバ群で共有して弾いてますけど
そこそこに弾いてくれます。
利用者ドメインが.JPのみのサーバでも、どこかで検出したら同じIPアドレス
とは格闘しなくてよいですが、一部IPアドレスが連番なサーバ群に同時に
攻撃されると一時的に両方ともが相手することになるのが気になったりしますね。
- 904 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/11(火) 07:48:44 ]
- sshfsを起動時にマウントする方法を教えてください。
- 905 名前:名無しさん@お腹いっぱい。 [2007/12/11(火) 20:39:49 ]
- シェルスクリプト内で、ssh接続して公開鍵認証で無く、パスワード認証になった場合は
パスワードプロンプトからシェルにプロンプトを戻す設定ってありますでしょうか?
下記のようなスクリプトを実行した場合にプロンプトが戻るようにしたいです。
[root@www ssh]# cat aaa.sh
ssh -l guest 192.168.10.3
echo $?
公開鍵認証だけに設定するのは要件からできません。
よろしくお願いします。
- 906 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/11(火) 21:01:24 ]
- >>905
expectやzshのzptyについて調べたほうがいいような気がする
- 907 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/11(火) 21:12:35 ]
- >>905
ssh -l guest 192.168.10.3 -o 'PasswordAuthentication no'
- 908 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/11(火) 21:15:12 ]
- SSHで接続しようとすると接続までに 30 秒ほど時間のかかるサーバーがあります.
接続後は問題ありません.認証は公開鍵暗号を使っています.
ssh -vv で見てみると次の表示をした後とまっているようです.
なにがまずいんでしょうか?
>debug2: we sent a publickey packet, wait for reply
- 909 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/11(火) 21:40:52 ]
- >>908
逆引きできてるかい?
- 910 名前:908 mailto:sage [2007/12/11(火) 21:43:46 ]
- >>909
逆引きはできてないです.
この場合どういう設定をすれば待ちを回避できるのでしょうか?
- 911 名前:名無しさん@お腹いっぱい。 [2007/12/11(火) 21:54:56 ]
- >>906,907
回答ありがとうございます。なるほどそういう方法もあるんですね。
ただ、その場合回避はクライアントに依存することになるかと思います。
サーバ側設定で「公開鍵認証できない場合は。。。」で処理を分けるというのは
やはりできないでしょうか?
- 912 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/11(火) 21:57:02 ]
- >>911
なんだ、サーバー側をいじっていいのかよ。それを先に言え。
サーバー側の ssh_config で、 PasswordAuthentication no を設定。
以上。
- 913 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/11(火) 22:02:26 ]
- sshサーバ側hostsにクライアントのエントリ書いて治まればlibwrapだな
- 914 名前:名無しさん@お腹いっぱい。 [2007/12/12(水) 00:09:33 ]
- >>912
それだと公開鍵認証接続しか許可しないのでは?
パスワード認証になった場合、TELNET接続のように一定時間で
プロンプトが戻ってくるようにしたいのですが、上手い方法が
無くて悩んでいます。
- 915 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/12(水) 17:21:07 ]
- ちゃんと要件整理してから出直しておくれ…
- 916 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/20(木) 14:36:35 ]
- sshfsでsftpをマウントしているのですが、マシンの起動時に、マウントする方法を教えてください。
パスワードで躓いています。
- 917 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/20(木) 16:26:07 ]
- >>916
パスワードを使わないようにする
- 918 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/20(木) 18:59:58 ]
- >>916 パスフレーズなしの鍵で認証すればおk
- 919 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/20(木) 19:52:51 ]
- puttyならつながるのに、いつの間に、ttsshは、opensshとの相性が
悪くなってやがんのよ? 事前共有鍵とか作って置いておけっての?
はあぁ・・・
- 920 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/20(木) 22:45:50 ]
- >>919
今のご時世、Poderosaじゃね?
- 921 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/20(木) 23:21:23 ]
- ターミナルエミュレータなのに.NETアプリで重いというのがなぁ
- 922 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 00:10:57 ]
- >>921
重いのはインストール時と初回起動時だなw
タブブラウジング出来るってのは、やはり正義だ。
20台纏めて面倒見なきゃならん時なんかは、寺よりもポデの方が便利。
ショートカットでのタブ移動を憶えたら、もう戻れない身体になってしまった。
アプリ自体も安定しているしね。
ただし、富士通SPARC機のXSCFには何故か接続出来ないという罠が待っている。
XSCFだけ寺を使うしかないという罠。
- 923 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 07:41:20 ]
- >>922
GNU screen使いなんで、タブとかはまるで使わんからなぁ。
- 924 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 10:04:01 ]
- >>923
>20台纏めて
まぁそれでも俺はパテ使いだが。SDIだろ結局。
- 925 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 12:20:36 ]
- screenを起動したマシンから、windowを新しく開いてそこからsshしてるのではないかと。
キーボード操作だけでコピペできるのは非常に便利。
Poderosaは.NETな時点で使わない。個人的に.NET嫌いなので。それにPuTTYほど細かいカスタマイズができない。
- 926 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 13:28:46 ]
- 個人でせいぜい数台管理するのと
サバ管が何十台も管理するんじゃ違うと思う。
- 927 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 14:57:34 ]
- >>925
そそ。そこから各マシンにはずっとsshしっぱなしなので、
いちいちtermのほうで何度もsshをする必要ないし。
- 928 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 17:13:08 ]
- メイン環境がMac OS Xだから、そういった事に気を使う事は不要だったりする :-)
単にTerminal.app開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
- 929 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 20:34:09 ]
- メイン環境がFreeBSDだから、そういった事に気を使う事は不要だったりする :-)
単にKTerm開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
- 930 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 21:05:42 ]
- メイン環境がCygwinだから、そういった事に気を使う事は不要だったりする :-)
単にkterm開いて、そのままsshコマンド打つだけだからね。
Macかぶれな人は面倒だねぇ。
- 931 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 21:25:53 ]
- 同時に何枚も開くときの話じゃねーの?
- 932 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/21(金) 21:38:43 ]
- >>931
そこでscreenですよ
- 933 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/22(土) 12:18:22 ]
- ubuntuにdenyhostsを入れたのですが、パソコンの起動時にdenyhostsが起動してくれません。
どこで設定すればよいのでしょうか?
- 934 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/26(水) 10:36:43 ]
- >>933
ttp://www.ksknet.net/linuxai/chkconfig_initd.html
- 935 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/27(木) 01:05:58 ]
- sshfsを起動時にマウントしたいのですが、マウントの実行をrootではなくユーザーで行いたいのですが、
何かよい方法はないでしょうか?
- 936 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/27(木) 01:24:24 ]
- >>935
cron
- 937 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/27(木) 01:30:25 ]
- >>935
su
- 938 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/27(木) 02:00:15 ]
- uidが0の「ユーザー」を作る。
- 939 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/28(金) 00:30:02 ]
- toor?
- 940 名前:質問させて下さい [2007/12/31(月) 03:59:30 ]
- sshの初心者ですいません
sshにつなぐことはできたのですがコマンドがわかりません;;
アクセス解析をサイトに入れたいのですが
入れたいサクセス解析
ttp://www.hping.org/visitors/ (visitors0.7です)
某ブログより次のようにコマンドを打てばインストールされましたが、自分で指定したサーバー上の
フォルダにインストールしたいのですが、何度してエラーがでてしまい無理でした。
wget www.hping.org/visitors/visitors-0.7.tar.gz
tar xvzf visitors-0.7.tar.gz
cd visitors_0.7
make
cp visitors /usr/bin
public_html/www.123.com/abc/
abcのフォルダにインストールしたい場合はどのようにコマンドをうってあげればいいのでしょうか?
よろしければアドバイスお願いします。
- 941 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/31(月) 04:25:11 ]
- 某ブログに聞け。
というよりも、ちゃんとドキュメント読むのが先。
- 942 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/12/31(月) 09:57:29 ]
- >>940
キミに必要なのはsshの使い方じゃなくてUNIX,LINUXの使い方。
本屋行って入門書を買ってくるか、キミのように「自分が何をわかっ
ていない」かさえわからない超ウルトラ初心者でも暖かく迎え入れ
てくれるlinux板に行きなさい。
- 943 名前:名無しさん@お腹いっぱい。 [2007/12/31(月) 13:44:52 ]
- いまさらですが
>808からの流れであの方のAAが出てないのが不思議だw
- 944 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/01(火) 03:43:14 ]
- >>928
もともとMacユーザで、10.3くらいまでは結構Terminal使ってたんだけど、PuTTYに比べて
・アンチエイリアスうぜー
・Emacsとか表示崩れすぎなんじゃボケ!!
って感じで
「Macツカエネー」と思ってたよ。
いまだいぶマシなの?
- 945 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/01(火) 03:54:17 ]
- うん、少しは麻紙。
アンチエイリアスうぜーんだったら、xterm使えば四濾紙。
- 946 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/01(火) 05:06:48 ]
- >>944
>アンチエイリアスうぜー
は?
>Emacsとか表示崩れすぎ
明らかに、設定が悪いだけだな
安置の攣りか?
- 947 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/01(火) 05:11:28 ]
- 元来のマック使いに、その辺りを期待するのは無謀。
アホでも使えるが売りだから。
- 948 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/01(火) 05:16:14 ]
- sshじゃなくてターミナルエミュレータのスレでやれよ・・・
- 949 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/04(金) 09:31:49 ]
- sshfsで一度マウントすると、再起動してもマウントされているのは仕様ですか?
- 950 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/04(金) 10:57:49 ]
- >>949
/etc/fstab
- 951 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/05(土) 10:26:17 ]
- 見てみましたが、fstabにはsshfs関係の設定は何も書かれていないのですが、・・・
- 952 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/05(土) 11:18:24 ]
- pc11.2ch.net/test/read.cgi/linux/1196399724/659
- 953 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 16:22:15 ]
- 皆さんお元気ですか?私は質問したい。
port forwarding で2つ以上のマッスィーンを一発でトンネルできるか?できるのか?
可能ですか否ですか?飛び石は面倒な気持ちなんです。
- 954 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 16:25:07 ]
- 「chi」を「スィ」と発音するのかよw
- 955 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 17:05:21 ]
- するよな?
- 956 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 17:14:50 ]
- さぁ〜?
- 957 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 17:15:23 ]
- [∫i] ≠ スィ
- 958 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 17:18:41 ]
- ミシン(←英語は発音大事)
- 959 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 17:19:40 ]
- んー、やっぱ出来るわけないですよね常考。2つ以上のマチャイネを一発でトンネルなんて。
コツコツport forward する。皆さんの生暖かい応対に感激いたしました。バイビー
- 960 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 17:24:06 ]
- ×トンネル
○タノウ(←英語は発音大事)
- 961 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 17:34:14 ]
- マチャアキ、頼む…
- 962 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/10(木) 19:05:56 ]
- 「スィ」 じゃなくて 「シュイ」 って感じ
- 963 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/12(土) 04:43:15 ]
- >>953
一発では無理だよ
- 964 名前:名無しさん@お腹いっぱい。 [2008/01/19(土) 13:20:21 ]
- どうして、しょっちゅうバグが見つかって、改訂されるのだろうかな。
- 965 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/19(土) 16:16:48 ]
- 「コードはバグを産み出す」って格言があるから。
- 966 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/19(土) 20:16:02 ]
- バグが残ってるなんて怠慢だとか言う連中って
テストで毎回全教科満点とったり仕事はノーミスで優秀だったりするのか?
ま、964みたいなヤツがそうであるとは到底おもえないわけだが。
ただの無知か釣りでしかない。
- 967 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/01/19(土) 20:18:56 ]
- >>964
OpenSSHでなくssh.com使っとけ
もう数年間freezeしたまんまだ
- 968 名前:614 [2008/01/29(火) 10:25:15 ]
- 遅レススマソ
authorized_keys の特定のユーザーを消したいという話ですが、
公開鍵をみてもメールアドレスなどの情報はついてません・・・。
というか、自分で putty_gen とか Poderosa で生成したのがついてない orz
下記サイトの「authorized_keys ファイルの例:」を見たら、
www.unixuser.org/~euske/doc/openssh/jman/sshd.html
# でコメントも書けるようですし、行末にスペース区切りでコメントOKみたいので・・・
って、putty_genで、「鍵のコメント」欄に適当にテキスト入れたら、
authorized_keys にコピペする公開鍵に上記アドレスの例のようにコメントつけられました。
今後はそれで行こうと思います。
- 969 名前:名無しさん@お腹いっぱい。 [2008/02/07(木) 21:21:40 ]
- windowsのpoderosaで作った公開鍵と秘密鍵で
poderosaからはパスフレーズを使ってログインできるんですが、
秘密鍵をlinuxクライアントに持っていき、ホームの.ssh/id_rsa に置き、
sshにログインしようとしたのですが、
同じパスフレーズでログインできないのはなぜでしょうか?
- 970 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/07(木) 21:44:43 ]
- $HOME/.sshのディレクトリのパーミッションは700にすること。
755とかは不可。
- 971 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 10:43:42 ]
- FTPのasciiモードってオチじゃないの?
- 972 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 11:17:37 ]
- すでに自己解決しました。
ちなみに>>970 >>971 とも大はずしですww
- 973 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 11:18:21 ]
- クイズはやめれ
- 974 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 14:05:55 ]
- # SSHプロトコルの指定
Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers hogehoge
# 接続制限
MaxStartups 3:75:10
LoginGraceTime 60
MaxAuthTries 10
# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile /root/ssh/public_key.pub
- 975 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 14:06:17 ]
- # パスワード認証
PasswordAuthentication no
PermitEmptyPasswords no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
# 以下はProtocol 2なので設定不要??
# RhostsRSAAuthentication no
# RSAAuthentication yes
これだけ設定しとけば十分?
- 976 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 20:23:55 ]
- PermitRootLoginはnoの方がいいんじゃね?
root権限が必要ならsuなりsudoなり使えばいいんだし。
- 977 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 20:29:59 ]
- >>976
はげどう
最低でも without-password にすべき
- 978 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 20:32:29 ]
- without-password ってパスワードなしの認証?
- 979 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 20:38:57 ]
- PAMも使った方がイイんじゃね。
- 980 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 20:44:55 ]
- >>979
なんで?
- 981 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/02/08(金) 22:12:43 ]
- >>978
パスワードなし、鍵での認証は可能
>>979
PAM を理解できているなら、PAMで制御した方が安全にはなるな。
|
 |
