- 1 名前:名無しさん@お腹いっぱい。 [2008/02/12(火) 11:20:40 ]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:pc.2ch.net/unix/kako/976/976497035.html
Part2:pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:pc11.2ch.net/test/read.cgi/unix/1145484540/
- 149 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/26(土) 02:30:09 ]
- そんな簡単な話でもないみたい >>148
ssh -T host command でも残念ながら動作は変わらなかった。
それで調査を進めたところどうも
5.1p1のsession.cの427行目にある
#define USE_PIPES が悪さをしているっぽい。
これがあるために、直後のdo_exec_no_pty()で
#ifdef USE_PIPESの方のコードが強制的に使われる。
#elseの方ではsocketpairを使っているので
シェルへのstdinがネット経由になるが
#ifdef USE_PIPESの方ではpipeを使っているので
シェルへのstdinがネット経由にならない、
という事情のような気がする。
>>148さんの書き込みがヒントになった。ありがとう。
427行目の #define USE_PIPES を取っ払ってコンパイルしたら
5.1p1でも ssh host command で ~/.bashrc を読むようになった。
これでいく。皆様、協力感謝します。
それにしてもなぜ #define USE_PIPES がこんなところにあるんだろう。
除去し忘れか何かか?
- 150 名前:149 mailto:sage [2008/07/26(土) 03:10:11 ]
- というわけで、一応自分なりにまとめといた
[問題点] OpenSSH-5.1p1のsshdを動かしているシステムに対し、
bashをログインシェルとするユーザがリモートから
ssh host command を実行した場合、~/.bashrcが読まれない。
OpenSSH-5.0p1までは~/.bashrcを読んでいた。
Linux, Solarisでこの現象を確認。
[解決法] session.cの427行目の#define USE_PIPESを
削除して再コンパイル。
[原因?] bashは、リモートからの実行だと判断すると~/.bashrcを
読む機能を備えるが、stdinに対するgetpeername()が失敗すると、
リモートからの実行だと判断せず、~/.bashrcを読まない。一方、
sshd側のsession.cに#define USE_PIPESがあると、後続の
do_exec_no_pty()でsetsockpair()が使われないため、シェルへの
stdinがネット直結にならない。このため、bashがstdinに対する
getpeername()を実行したとき失敗するので、~/.bashrcが読まれ
なくなる。
- 151 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/26(土) 08:18:45 ]
- 追求乙。開発者に通報してくらさい。>>150
- 152 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/26(土) 09:28:29 ]
- >>149
解決オメ、だけど、
*BSDでは、pipe()が実際にはsocketpair()を使って実装されていて、
pipe()に対するgetpeername()も成功する、んじゃなかったかな。
だから、*BSD上で開発してると問題が発覚しないので、bug fixもされないと。
- 153 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/27(水) 00:58:25 ]
- sshでログインする前に実行するコマンドを指定して、
そのコマンドを実行後にログインみたいな事って出来ますか?
下記のような事がやりたいです。
ssh user@example.com --hoge vi
(example.comにログイン後、viを起動した状態に)
ご存知でしたら教えてください。よろしくお願いします。
- 154 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/27(水) 07:03:19 ]
- >>153
ssh -t user@example.com vi
- 155 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/29(金) 16:47:48 ]
- パスワード認証も受け付けるSSHサーバをいちユーザとして使用しています。
いちユーザが認証方法をパスワードから鍵交換に変更した場合のセキュリティは、
1) 覗き見などによるパスワード流出、サーバなりすましが防げる点で向上
2) 総当たり・辞書攻撃に対しては変化なし
3) 1)の観点により、鍵交換認証にすべし
という理解でよいでしょうか?
- 156 名前:名無し mailto:sage [2008/08/29(金) 19:04:14 ]
- 鍵の長さがまったく違う。
1024bit 以上の長さの鍵を使える点で、
16文字がせいぜいのパスワード認証の鍵の長さとは比較にならない。
- 157 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/29(金) 23:06:00 ]
- サーバがパスワード認証してるなら、総合的なセキュリティの強度は
パスワード認証レベルになるんじゃない?
- 158 名前:155 mailto:sage [2008/08/30(土) 13:43:27 ]
- お返事ありがとうございました。
>>157
そうですよね?鍵認証のご利益は、2)の観点での主張が多いように見受けますが
パスワード認証っていう「穴」があるなら、ご利益はフルに受けられないと感じた次第です。
>>156
言葉足らずですみません。私が感じているのは上記です。
普段いくら長い鍵で認証していても、短かい鍵での認証が許される以上、
セキュリティの強度は後者で決まっちゃうのかなと考えた次第です。
- 159 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/31(日) 17:48:56 ]
- パスワード認証でローカルのマシンにログインしたいのですが、
最初に鍵認証と勘違いして、必ず鍵のパスワードを聞いてきます。
man ssh でマニュアルを読み、ネットで調べてもなかったんですが、
いきなり、パスワード認証で入れるように指定するコマンドってありますか?
- 160 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/31(日) 18:12:17 ]
- あります。
- 161 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/31(日) 21:27:44 ]
- ありがとうございます。安心しました。
- 162 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/31(日) 21:38:48 ]
- サーバー側でパスワード認証を許可していても、
ユーザー側の設定($HOME/.sshとか)で、
パスワード認証を不許可にするような設定ってできますか?
(ログイン元のクライアント側で不許可にするんじゃなくて、
サーバー側で不許可にする方法の質問です)
(サーバーは管理者が別人で、自分にはroot権限が無い場合です)
- 163 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 12:42:10 ]
- >>160
教えてもらえませんか?
- 164 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 12:53:56 ]
- あるって教えてもらったじゃん。
- 165 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 21:32:39 ]
- >>162
man ssh_config
>>163
ssh -o で好きにしろ
- 166 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 21:50:19 ]
- >>165
>man ssh_config
↑それはクライアント側でパスワード認証を禁止する方法ですね。
それは当然知ってます。
そうじゃなくて、サーバー側で禁止する方法を質問してるんです。
- 167 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 22:12:06 ]
- >>166
man sshd_config
- 168 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 22:22:21 ]
- >>167
man sshd_configでは、サーバーの /etc/ssh/sshd_config でしか設定できません。
元の質問のとおり、root権限の無いサーバーで、ユーザーサイドで
sshd_config相当の設定をしたいわけです。
manを読む限りは $HOME/.ssh/sshd_config のようなものはありません。
で、どうやってやるのでしょうか? 答えてください。
- 169 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 22:41:17 ]
- 特定のアカウントが公開鍵認証だけに出来たところで、サーバのセキュリティは
さほど変わらないんだし、どうしても自分のアカウントだけ守りたいんならパスワードを
十分な強度にすればいい。もちろんサーバが乗っ取られたら終わりだが。
それが嫌ならサーバのパスワード認証やめてもらうしかない。
- 170 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 22:55:47 ]
- できないなら「できない」って最初から答えろよw
- 171 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 23:14:01 ]
- 何を設定しようがsshを話すプログラムを自分でインスコすることが可能なら
制限などできないが答えだよ
- 172 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 23:45:59 ]
- >>171
「不可能なら」の誤りではないでしょうか?
- 173 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/02(火) 00:02:00 ]
- >>159
>いきなり、パスワード認証で入れるように指定するコマンドってありますか?
サーバ側の~/.ssh/configにPreferredAuthentications passwordじゃダメ?
- 174 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/02(火) 00:59:09 ]
- >>173
~/.ssh/config はSSHクライアントの設定ファイルなのでダメです。
- 175 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/02(火) 08:01:38 ]
- >>162
俺様sshdなら、できるよ
- 176 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/02(火) 08:11:12 ]
- >>175
すでに稼働してるsshdで、自分のアカウントに対して他人が
パスワード認証でアタックするのを防ぎたいという目的だから、
ユーザー権限で「俺様sshd」をインストールしても解決しない。
- 177 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/02(火) 09:18:23 ]
- >>176
すでに稼働してるsshdが何なのか書いてない時点で、釣りだろ
- 178 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/02(火) 09:27:44 ]
- >>177
>>162
- 179 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/02(火) 10:54:35 ]
- >>178
>>162のどこにも、すでに稼働してるsshdがOpenSSH portableなのか俺様sshd
なのか書かれてない
- 180 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/14(日) 21:22:32 ]
- puttyjpを普段使ってるんだけど
USBメモリに入れて持ち運ぶのに最適なやつありませんかね?
- 181 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/14(日) 23:14:27 ]
- >>180
puttyjpをUSBメモリに入れて持ち運んでて不満があるのか、
puttyjpをUSBメモリに入れて持ち運びたいということなのか、
どっちだ
- 182 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 09:27:43 ]
- >>181
puttyjpをUSBメモリに入れて持ち運びたいということDEATH☆
- 183 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 09:31:27 ]
- >>181 みたいに聞き返す場合は、そのどちらであっても質問には答えられない、
の法則。その証拠に >>182 が出ても返答なし。
- 184 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 10:36:43 ]
- U3かPortableAppsでも使えば?
- 185 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 10:38:28 ]
- ということにしたいのですね。
- 186 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 10:59:59 ]
- はつみみです
- 187 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 17:47:26 ]
- 180 2008/09/14(日) 21:22:32 元質問
↓1時間51分55秒後
181 2008/09/14(日) 23:14:27 突っ込み
↓10時間13分16秒後
182 2008/09/15(月) 09:27:43 返答
↓3分44秒後
183 2008/09/15(月) 09:31:27
> その証拠に >>182 が出ても返答なし。
結論:早漏
- 188 名前:181 mailto:sage [2008/09/15(月) 18:58:30 ]
- いつ来るか分からん返事を、徹夜で待ち続けて即レスしろってか?
ムチャいうなw
>>182
俺は蛭子屋さんとこのごった煮版を持ち運んでる。
ごった煮版は名前の通り、いくつかの非公式公開パッチをまとめて当てた
ものがベースになってるから、そんなに付加機能がいらないならjpパッチ
とINIパッチだけ当てたのでもたぶん使えると思う。
- 189 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 19:16:07 ]
- >>183
別に>>181が答える義務はないんじゃね。
別な人が答えやすくなればそれでいい。
- 190 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/15(月) 20:24:30 ]
- 183=187=真性キチガイかつ真性包茎。近寄ると恥垢臭が酷いので放置しとけ。
- 191 名前:名無しさん@お腹いっぱい。 [2008/09/17(水) 08:33:02 ]
- >>190
キチガイはお前だろうがこの発狂粘着真性キチガイ包茎猿男(狂猿)◆QfF6cO2gD6
マジでとっとと発狂してビルから飛び降りて自殺して死ね。
頭おかしいだろお前。失せろよこのカス。速攻で死ねや。
- 192 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/17(水) 16:26:25 ]
- 加藤の亡霊が出現した。
- 193 名前:名無しさん@お腹いっぱい。 [2008/10/27(月) 23:02:08 ]
- opensshのinternal-sftpで質問です。
internal-sftpのchroot環境からは別のファイルシステムをマウントしたディレクトリは見えないのでしょうか?
・sftp jailの中身
-rw-r--r-- 1 root root 0 Oct 26 16:58 ero
drwxr-xrwx 1 sftp sftp 32768 Oct 25 04:31 nikoniko ←別の鯖のファイルシステムをsshfsでマウント
drwxr-xrwx 2 sftp sftp 4096 Oct 27 13:55 test
drwxrwxrwx 2 root root 4096 Oct 27 12:50 user
・クライアントでのlsの内容
Listing directory /
drwxr-xr-x 5 0 0 4096 Oct 27 13:55 .
drwxr-xr-x 5 0 0 4096 Oct 27 13:55 ..
-rw-r--r-- 1 0 0 0 Oct 26 16:58 ero
drwxr-xrwx 2 1000 1000 4096 Oct 27 13:55 test
drwxrwxrwx 2 0 0 4096 Oct 27 12:50 user
これを見られる様にするオプションはありますか?
- 194 名前:あ [2008/11/12(水) 19:49:30 ]
- テラタームから誤って消す必要のないファイルを削除してしまいました
サーバーのゴミ箱とかにファイルは残りますかね?それとも完璧に削除されて戻すことはできないんですか?
- 195 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/12(水) 19:52:17 ]
- >>194
スレ違い。
- 196 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/12(水) 20:53:22 ]
- 194です。すみませんでした。街頭スレ探してみます。
- 197 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/12(水) 21:54:01 ]
- >>194
お勧めスレ
↓
【エスパー】くだ質【エラーメッセージ不要】(1)
pc11.2ch.net/test/read.cgi/unix/1207042632/
- 198 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/12(水) 22:10:17 ]
- 197さんありがとう。ご迷惑お掛けたしたにもかかわらず親切に誘導してもらってどうもです。
- 199 名前:名無しさん@お腹いっぱい。 [2008/11/13(木) 00:41:26 ]
- すいません、どなたか教えてください。
xinetd経由でsshdを起動していて、/etc/xinetd.d下に作成したsshdの設定ファイル内で
only_fromを記述してアクセス制限かけようとしたのですがうまくいかず、
その後、hosts.allowやhosts.denyなどもいじっていたところつながらなくなりました。
どこが悪いのかさっぱりなのでsshdを直接起動するようにしたのですが、やっぱりだめで以下のログが出力されました。
ローカルホストからの接続でも同様のログが出力され接続できません。
倉側
Nov 13 00:09:23 xxxx sshd[12240]: warning: cannot open /etc/hosts.allow: Permission deniedOpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: loaded 3 keys
ssh_exchange_identification: Connection closed by remote host
- 200 名前:199 [2008/11/13(木) 00:42:06 ]
- 鯖側
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: loaded 3 keys
ssh_exchange_identification: Connection closed by remote host
- 201 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/13(木) 01:07:58 ]
- >>199
>cannot open /etc/hosts.allow: Permission denied
ここじゃね?
- 202 名前:名無しさん@お腹いっぱい。 [2008/11/13(木) 01:44:52 ]
- >>201
hosts.allow, hosts.denyのアクセス権を確認したところ644でした。
大丈夫なはずなんですけどねえ…
- 203 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/13(木) 10:35:43 ]
- hosts.allow、hosts.denyの中身は?
- 204 名前:名無しさん@お腹いっぱい。 [2008/11/13(木) 11:37:21 ]
- hosts.allowの中身は
sshd:ALL:allow
で、hosts.denyの方は何も書いていません。
- 205 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/13(木) 11:43:37 ]
- >>200のログはクライアント側でしょ。
- 206 名前:199 [2008/11/13(木) 12:07:26 ]
- ほんとだw同じの貼ってどうするorz
↓鯖側です
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: rexec start in 4 out 4 newsock 4 pipe 6 sock 7
Nov 13 11:58:00 xxxxx sshd[13682]: debug1: Forked child 27169.
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: inetd sockets after dupping: 3, 3
Nov 13 11:58:00 xxxxx sshd[27169]: warning: cannot open /etc/hosts.allow: Permission denied
Nov 13 11:58:00 xxxxx sshd[27169]: warning: cannot open /etc/hosts.deny: Permission denied
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: Connection refused by tcp wrapper
Nov 13 11:58:00 xxxxx sshd[27169]: refused connect from xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)
- 207 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/13(木) 12:17:31 ]
- あてずっぽだけど、SELinuxとか。
- 208 名前:名無しさん@お腹いっぱい。 [2008/11/13(木) 12:35:36 ]
- >>207
当たりでしたー
なんかhosts.allowとhosts.denyは一回編集する毎に
SElinuxの方で設定してあげないと弾かれちゃうようになってました。
みなさんどもでしたm(_ _)m
- 209 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/13(木) 12:37:33 ]
- Linux板の使ってるディストリのスレで聞けば早かったのに。
- 210 名前:名無しさん@お腹いっぱい。 [2008/11/13(木) 19:12:24 ]
- 梶谷秀
- 211 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/14(金) 11:40:48 ]
- みんなhpn-sshつかってるー?
- 212 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/14(金) 19:08:50 ]
- >>211
イラッ★
- 213 名前:名無しさん@お腹いっぱい。 [2008/11/19(水) 01:53:49 ]
- 画面が激しく更新されるプログラム(Java)をSSHでX転送しようとすると、
ウィンドウが全く表示されません。(pingで55msくらい離れている場所から)
xclockやfirefoxなどはちゃんと表示されます。
また、このプログラムを以下のように変更すると画面が表示されます。
・画面の更新頻度を落とす(激しくない更新)
・pingが0.093msくらいの近くのPCに行く。
・画面の更新を
- 214 名前:送信途中でクラッシュしたので再送します mailto:sage [2008/11/19(水) 01:54:44 ]
- 画面が激しく更新されるプログラム(Java)をSSHでX転送しようとすると、
ウィンドウが全く表示されません。(pingで55msくらい離れている場所から)
xclockやfirefoxなどはちゃんと表示されます。
また、このプログラムを以下のように変更すると画面が表示されます。
・画面の更新頻度を落とす(激しくない更新)
・pingが0.093msくらいの近くのPCに行く。
・画面の更新を10秒後(ウィンドウが表示されてから)開始する
何が原因なのでしょうか。
SSHサーバ OpenSSH_4.3p2 Debian-9, KNOPPIX Linux
SSHクライアント PuTTY 0.60(WindowsXP)とOpenSSH 5.1_p1(Linux)
Xサーバ Xming 6.9.0.31(WindowsXP)とxorg 7.2(Linux)の両方を試しました。
クライアントはWindowsでもLinuxでも症状変わりません。
- 215 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:19:50 ]
- SSH通信でデータ漏えいの可能性--32ビットの平文が取り出し可能に
ttp://japan.cnet.com/news/sec/story/0,2000056024,20383843,00.htm
- 216 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:34:18 ]
- >>215
>この問題の対策方法としては、CBC(Cipher Block Chaining)モードではなく
>CTR(CounTR)モードを使用することを推奨している。OpenSSH 3.7以降では
>CTRモードがサポートされている。
詳しい人教えて欲しいのだが、putty などのクライアントは対応しているの?
- 217 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:43:30 ]
- PuTTYは初期設定がCTR
- 218 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:44:41 ]
- >>217
ありがとう。
セキュリティーホールメモに書いてあった・・・
www.st.ryukoku.ac.jp/~kjm/security/memo/2008/11.html#20081117_SSH
サーバ側では制限出来ないのかな・・・
- 219 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:48:33 ]
- >>218
自己レス
sshd_config に↓を追加すればOK
----
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
- 220 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:48:40 ]
- linux上のOpenSSH-5.1p1でsftp-serverを使っているんですが
sftp-severから吐き出されるログの中で日本語が文字化け
してしまいます。
opendir "/nullpo/gaxtu/\123\321\132"
のような感じで\123\321\132の部分が化けた日本語です。
日本語のログを吐かせる方法はありますか?
- 221 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 23:52:48 ]
- あります
- 222 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 13:59:53 ]
- >>219
うちは man sshd_config のデフォルトから *-cbc を抜
いたのを設定してみた。
なんとなくログ巡回してたら今朝早くから 30 秒おきに
攻撃食らってた(同一 IP じゃないので botnet?)。
この変更してから認証失敗ログはピタッと止まったけど、
鍵交換で使えるプロトコル判定して *-cbc の場合だけ
継続するんだろうな(対策をしていないところはパスワー
ドも当りやすい、ということかもしれない)。
- 223 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 14:41:24 ]
- 今、うちのサーバの設定見直したら
rootログイン可になってたガクブル
稼働3年目にして今修正した
- 224 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 15:43:33 ]
- rootログイン可ってそこまで怖いの?
鍵持ってないとアクセスできないようにしておけば
gkbrほどは無いと思うけど。
- 225 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 20:51:53 ]
- >>224
俺も、PermitRootLogin without-password にしているけど・・・
問題ないけどな。
勿論、一般ユーザも鍵認証しか許可してないけど。
- 226 名前:223 mailto:sage [2008/11/20(木) 23:02:31 ]
- いやいや、パスワードでログイン可だったから
- 227 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 23:06:48 ]
- >>226
PermitRootよりPermitPasswordを問題視したほうがいいよ。
- 228 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 10:02:29 ]
- usePAMが穴
- 229 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 17:40:14 ]
- 鍵ファイルをユーザに託す行為が穴。
- 230 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 19:35:01 ]
- 鍵にもパスワードつけとけばいいやん。
- 231 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 19:52:21 ]
- >>230
ブルートフォースで簡単に破られる鍵じゃん。
- 232 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 19:58:55 ]
- 信頼できないユーザーならパスワード認証も鍵も同じ。
アクセス拒否すればよい。
- 233 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:02:15 ]
- >>232
信用できるユーザが鍵を盗まれていて、ユーザ自身が盗難の事実に気づいていない場合。
- 234 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:03:50 ]
- どうやったら盗まれるの?
- 235 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:06:07 ]
- >>234
鍵ファイルをコピーしちゃう
- 236 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:31:04 ]
- パーミッション的に無理じゃない?
- 237 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 12:47:16 ]
- 信頼できるユーザのマシンの管理者がタコで、rootを破られて気付いていない場合
- 238 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 12:56:30 ]
- 他のユーザと共有してるマシンに秘密鍵置かないだろ。
- 239 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 13:12:25 ]
- >>238
セキュリティの話に性善説を持ち込んだらあかん。
プライベートなPCのスクリーンセーバーをかけ忘れた。
Windowsの管理共有が有効なまま。
キンタマウイルスに引っかかった。
HDDを消去せずにPCを捨てた。
・・・
結局、一般的なファイル盗難の話に帰着する。
ユーザに厳格な管理を課さないと維持できないセキュリティなんてね。
それなら管理者が強制力を発揮できるパスワード方式のほうがまだ安全。
- 240 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 13:30:53 ]
- そういう大事なパスワードは忘れると困るからメモしてディスプレイに貼っておこう。
- 241 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/24(月) 22:49:41 ]
- >>234
鍵ファイルもパスフレーズもwikiあたりに載せて公開しちゃう場合
- 242 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/25(火) 20:50:23 ]
- 次の患者さん、どうぞ。
- 243 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/03(水) 10:29:15 ]
- たしかに自分から暴露するようじゃ病気だわな
- 244 名前:名無しさん@お腹いっぱい。 [2008/12/11(木) 18:58:34 ]
- SSHのポートフォワーディングって一度接続した後に
やっぱあのポートもこっちに流してくれ!ってできないよな?
できれば激しく便利なんだが・・・
- 245 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/11(木) 19:38:36 ]
- >>244
teratermやputtyでは出来る(よね?)から、
プロトコル上の問題じゃなくて実装上の問題なんだろうね
- 246 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/11(木) 19:44:27 ]
- >>244
OpenSSHなら
~C
でできる。-Dは無理だけど。
- 247 名前:名無しさん@お腹いっぱい。 [2008/12/12(金) 03:54:21 ]
- Teraterm や PuTTY でできることを知らなかった
OpenSSH の -D の存在を知らなかった
~C が何かがまだわかって無い。
- 248 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/12(金) 10:11:13 ]
- >>247
man ssh
- 249 名前:名無しさん@お腹いっぱい。 [2008/12/12(金) 13:38:01 ]
- >>248
今理解した。
|
 |
