- 1 名前:名無しさん@お腹いっぱい。 [2008/02/12(火) 11:20:40 ]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:pc.2ch.net/unix/kako/976/976497035.html
Part2:pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:pc11.2ch.net/test/read.cgi/unix/1145484540/
- 244 名前:名無しさん@お腹いっぱい。 [2008/12/11(木) 18:58:34 ]
- SSHのポートフォワーディングって一度接続した後に
やっぱあのポートもこっちに流してくれ!ってできないよな?
できれば激しく便利なんだが・・・
- 245 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/11(木) 19:38:36 ]
- >>244
teratermやputtyでは出来る(よね?)から、
プロトコル上の問題じゃなくて実装上の問題なんだろうね
- 246 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/11(木) 19:44:27 ]
- >>244
OpenSSHなら
~C
でできる。-Dは無理だけど。
- 247 名前:名無しさん@お腹いっぱい。 [2008/12/12(金) 03:54:21 ]
- Teraterm や PuTTY でできることを知らなかった
OpenSSH の -D の存在を知らなかった
~C が何かがまだわかって無い。
- 248 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/12(金) 10:11:13 ]
- >>247
man ssh
- 249 名前:名無しさん@お腹いっぱい。 [2008/12/12(金) 13:38:01 ]
- >>248
今理解した。
- 250 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/14(日) 20:18:15 ]
- ttp://www.coins.tsukuba.ac.jp/~yas/coins/dsys-2002/2003-03-04/index.html
ttp://webos-goodies.jp/archives/50665333.html
ttp://www.stackasterisk.jp/tech/systemConstruction/openssh01_01.jsp#4
この辺のホスト認証の説明で、ホスト鍵とサーバ鍵を使うと書かれているのですが、
サーバ鍵があってもホスト鍵が破られたら成り済ましが可能なことに変わりないように思います。
わざわざサーバ鍵も使う理由って他にあるんでしょうか。
- 251 名前:名無しさん@お腹いっぱい。 [2008/12/14(日) 21:20:24 ]
- ccweb1.kek.jp/people/yashiro/RepN/KEKint00-01/ssh_a.html
Server-keyは768-bitの RSA keyでホスト認証のために使われる.
sshd 起動時に作成され, その後1時間毎に自動的に更新される.
ファイルに保存されることがない. Server-keyの目的は,
host keyで暗号化した通信を記録して解読されることを防ぐことにある.
この一定時間ごとに変化する Server-key で修飾することにより
暗号の解読を困難にしている.
--------------------
だって。上のページは主にSSH1の話しということだけど。
Session-key を定期的に変えるのじゃだめなのかな?
- 252 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/14(日) 23:18:28 ]
- いい資料ありがとうございます。
「host-keyで暗号化した通信」って、つまりsession-keyの送信部分だけですし、
確かにserver-keyはhost-keyじゃなくて、session-keyを守るためのものっぽいですね。
秘密host-keyが漏れた時、過去の全通信のsession-key=内容が解読されるのを防ぐためな気がしてきました。
- 253 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/18(木) 21:36:42 ]
- お聞きしたいのですが、sshd.confファイルで ssh port forwardを特定のユーザのみにしか
許可しないと言う設定はどうすればよいのでしょうか?
デフォルトだとsshでログインできるユーザは全員ssh port forwardが使えるので不安です。
- 254 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 01:52:35 ]
- >>253
試してないが、OpenSSH 4.4以降なら以下のようにしてできるかも
AllowTcpForwarding no
Match User hoge, fuga
AllowTcpForwarding yes
参考) ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
- 255 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 13:32:18 ]
- 今まで ssh をセキュアな telnet としてしか使ったこと
無いんだけど、port fowarding って何がどう便利に
なるの?事例希望。
- 256 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 13:41:28 ]
- Xとかvncのコネクションをセキュアに張れる。
pop3s/smtpsのない環境でも外部からセキュアにメールが読み書きできる。
sshしかポートを開いてないところにいろいろ飛ばせる(あんまりないか)。
ほか。
- 257 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 14:28:30 ]
- >>255
海外からGyaOが見られる、とかかな。
- 258 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 15:13:27 ]
- そもそもUNIXでGyaO見られるか??
- 259 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 16:09:30 ]
- っPuTTY
- 260 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 16:39:17 ]
- そもそもUNIXにPuTTYなんてあるか?
- 261 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 16:41:33 ]
- ある。
- 262 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 17:01:46 ]
- >>254
レスありがとうございます。
# ssh -V
OpenSSH_4.3p2 Debian-9etch2, OpenSSL 0.9.8c 05 Sep 2006
終了のお知らせwwwww
どこに4.4以降じゃないとMatch文が使えないと書いてます?
- 263 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 17:02:56 ]
- じゃあ、UNIX版のPuTTYとやらを使えばUNIXクライアントだけでGyaOが見られるのかよ?
- 264 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 17:12:22 ]
- >>262
www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_4.4.txt
- 265 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 18:12:20 ]
- >>262
コンパイルしるしかないな
#調べたらetch-backportsにもなかったわ…lennyは5.1p1だが
- 266 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/20(土) 14:19:05 ]
- >>263
何ムキになってんだよw
- 267 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:11:57 ]
- >>255
大学から2chが見られる。
- 268 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:15:50 ]
- 今日び大学からも2chが見れない時代なのか
会社じゃあるまいし…
- 269 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:29:51 ]
- 2chは普通にアクセスできるんだけど
大学に迷惑かけたくないので、ポート転送使って家経由で。
- 270 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:43:11 ]
- つまり、荒らしたいと。
- 271 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/22(月) 01:20:35 ]
- >>269
家経由で迷惑かける気満々だな
- 272 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/23(火) 10:03:41 ]
- >>253
port forwardを禁止されたらnc使うよね。
- 273 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/23(火) 12:18:11 ]
- >>272
www.ksknet.net/linux/nc_netcat.html
これですか?こんなのがあったのか・・・・知らなかった・・・・。
これでssh port forwardと同じような事ができるんですか?
- 274 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/23(火) 16:38:04 ]
- >>273
いいや?
- 275 名前:名無しさん@お腹いっぱい。 [2008/12/24(水) 06:20:53 ]
- マシン192.168.0.1からあるサーバhogeにssh接続し10110番をportforwardすると
ssh -L 10110:localhost:110 hoge
マシン192.168.0.1では、localhost:10110 を介してhoge:110にアクセスできる
しかし、192.168.0.1とは別のマシンから
192.168.0.1:10110にアクセスしても繋がらないようなのだけど
これを可能にする方法ある?
この別のマシンにはsshが入っていないので、再portforwardはできないとして
- 276 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/24(水) 06:32:46 ]
- >>275
-g
- 277 名前:名無しさん@お腹いっぱい。 [2008/12/24(水) 06:40:04 ]
- >>276
ありがとう
でも気をつけてつかわないと危険ですね、これは
- 278 名前:名無しさん@お腹いっぱい。 [2008/12/27(土) 00:09:02 ]
- /etc/ssh配下にある公開鍵(鍵Aとします)と、個人ユーザのホームディレクトリ配下にある公開鍵(鍵Bとします)の違いについてお聞きします。
ホスト認証で使われるのは鍵Aで、ユーザ認証で使われるのは鍵Bという認識であってますしょうか?
- 279 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 12:22:04 ]
- >>278
Yes
- 280 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 12:30:14 ]
- 配下って何ですか? ハイカならとっくに廃止?
- 281 名前:名無しさん@お腹いっぱい。 [2008/12/27(土) 14:34:18 ]
- >>280
うわっ!何こいつ最悪つまんねーw
ただで寒いのに、お前のせいで凍えしにそうだwww
きもい
- 282 名前:名無し募集中。。。 mailto:sage [2008/12/27(土) 16:16:31 ]
- >>281
日本人じゃないんだろ
ほっとけよ
- 283 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 16:26:50 ]
- 「お会計の方、よろしいでしょうか」みたいに間違った日本語だね。
×「ホームディレクトリ配下」
○「ホームディレクトリの下」
- 284 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 19:10:23 ]
- ホームディレクトリ配下はNGなのか、設計書に書いちゃってるわ
マジ、お客さんに申し訳ねえ
- 285 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 20:26:04 ]
- え、~/.sshじゃなくて~/下に置いてるってこと?
- 286 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 02:17:08 ]
- CentOS5.2ですが、denyhostsはパッケージとしては存在しないのでしょうか?
手動でコンパイルする必要があるのでしょうか?
- 287 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 02:28:01 ]
- >>285
あげあしとってやんなよ・・・w
- 288 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 11:31:44 ]
- >>286
DAG にあるじゃん
ttp://dag.wieers.com/rpm/packages/denyhosts/
- 289 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 11:59:03 ]
- なんで「配下」じゃだめなん?
- 290 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 01:30:15 ]
- 「ある人の支配下にあること。また、その者。手下。『―の者を引き連れる』」(小学館大辞泉)
「『配下』は、支配下にある者のことで、人間以外にも用いる。」(小学館類語例解辞典)
"ディレクトリ配下" の検索結果 約 44,300 件
"フォルダ配下" の検索結果 約 22,900 件
"ネットワーク配下" の検索結果 約 437 件
「〜の下に配(置)された」といったかんじだったのが、ディレクトリがもつツリー構造と
支配関係がもつヒエラルキー構造の相似性にひきずられて、「配下」になったんではないかと(想像)。
- 291 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 09:13:16 ]
- ディレクトリはただのリンクされたツリー構造であって、
「支配関係」はないしね。
(親ディレクトリが書き込み不可でもサブディレクトリには書き込めるとか)
"ディレクトリの下"でググるともっとけん数ヒットする。
- 292 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 10:53:37 ]
- "配下にある" == "「支配下にある」にある"
おかしいだろ。
- 293 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 10:59:21 ]
- 難しい言葉使わなくとも「以下」でいいんだよな。
- 294 名前:名無しさん@お腹いっぱい。 [2008/12/29(月) 11:27:07 ]
- 子、でいいだろ
- 295 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 12:11:13 ]
- 子だとすぐ下のディレクトリしか指さない気がする。
ディレクトリじゃないファイルとか
下の下のディレクトリとかは含まなくない?
- 296 名前:名無しさん@お腹いっぱい。 [2008/12/29(月) 12:53:27 ]
- 子孫繁栄
- 297 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 13:18:50 ]
- 「ホームディレクトリの下にある.sshフォルダ」だとホームディレクトリ直下っていう意味だと思うんだけど、
「ホームディレクトリ以下にある.sshフォルダ」だと、ホームディレクトリだけでなく、その子ディレクトリや
子孫ディレクトリも可能性として含むような気がするんだよ、国語辞典で「以下」の語義を眺めていると。
「ホームディレクトリ以下でしたらどこにファイルを配置してもかまいません」って感じのが本来の語義に沿った使い方なんでないかと。
でもコンピュータ業界では「ディレクトリ以下」といえばそのディレクトリ直下を意味する、という暗黙の了解ができているような気もする。
そこらへんは読み手が文脈によって読み分けてるのかもしれんが、技術用語として使う分には厳密に使い分けた方がいいよね。
|
 |
