- 1 名前:名無しさん@お腹いっぱい。 [2008/02/12(火) 11:20:40 ]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:pc.2ch.net/unix/kako/976/976497035.html
Part2:pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:pc11.2ch.net/test/read.cgi/unix/1145484540/
- 214 名前:送信途中でクラッシュしたので再送します mailto:sage [2008/11/19(水) 01:54:44 ]
- 画面が激しく更新されるプログラム(Java)をSSHでX転送しようとすると、
ウィンドウが全く表示されません。(pingで55msくらい離れている場所から)
xclockやfirefoxなどはちゃんと表示されます。
また、このプログラムを以下のように変更すると画面が表示されます。
・画面の更新頻度を落とす(激しくない更新)
・pingが0.093msくらいの近くのPCに行く。
・画面の更新を10秒後(ウィンドウが表示されてから)開始する
何が原因なのでしょうか。
SSHサーバ OpenSSH_4.3p2 Debian-9, KNOPPIX Linux
SSHクライアント PuTTY 0.60(WindowsXP)とOpenSSH 5.1_p1(Linux)
Xサーバ Xming 6.9.0.31(WindowsXP)とxorg 7.2(Linux)の両方を試しました。
クライアントはWindowsでもLinuxでも症状変わりません。
- 215 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:19:50 ]
- SSH通信でデータ漏えいの可能性--32ビットの平文が取り出し可能に
ttp://japan.cnet.com/news/sec/story/0,2000056024,20383843,00.htm
- 216 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:34:18 ]
- >>215
>この問題の対策方法としては、CBC(Cipher Block Chaining)モードではなく
>CTR(CounTR)モードを使用することを推奨している。OpenSSH 3.7以降では
>CTRモードがサポートされている。
詳しい人教えて欲しいのだが、putty などのクライアントは対応しているの?
- 217 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:43:30 ]
- PuTTYは初期設定がCTR
- 218 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:44:41 ]
- >>217
ありがとう。
セキュリティーホールメモに書いてあった・・・
www.st.ryukoku.ac.jp/~kjm/security/memo/2008/11.html#20081117_SSH
サーバ側では制限出来ないのかな・・・
- 219 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:48:33 ]
- >>218
自己レス
sshd_config に↓を追加すればOK
----
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
- 220 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 20:48:40 ]
- linux上のOpenSSH-5.1p1でsftp-serverを使っているんですが
sftp-severから吐き出されるログの中で日本語が文字化け
してしまいます。
opendir "/nullpo/gaxtu/\123\321\132"
のような感じで\123\321\132の部分が化けた日本語です。
日本語のログを吐かせる方法はありますか?
- 221 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/19(水) 23:52:48 ]
- あります
- 222 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 13:59:53 ]
- >>219
うちは man sshd_config のデフォルトから *-cbc を抜
いたのを設定してみた。
なんとなくログ巡回してたら今朝早くから 30 秒おきに
攻撃食らってた(同一 IP じゃないので botnet?)。
この変更してから認証失敗ログはピタッと止まったけど、
鍵交換で使えるプロトコル判定して *-cbc の場合だけ
継続するんだろうな(対策をしていないところはパスワー
ドも当りやすい、ということかもしれない)。
- 223 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 14:41:24 ]
- 今、うちのサーバの設定見直したら
rootログイン可になってたガクブル
稼働3年目にして今修正した
- 224 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 15:43:33 ]
- rootログイン可ってそこまで怖いの?
鍵持ってないとアクセスできないようにしておけば
gkbrほどは無いと思うけど。
- 225 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 20:51:53 ]
- >>224
俺も、PermitRootLogin without-password にしているけど・・・
問題ないけどな。
勿論、一般ユーザも鍵認証しか許可してないけど。
- 226 名前:223 mailto:sage [2008/11/20(木) 23:02:31 ]
- いやいや、パスワードでログイン可だったから
- 227 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/20(木) 23:06:48 ]
- >>226
PermitRootよりPermitPasswordを問題視したほうがいいよ。
- 228 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 10:02:29 ]
- usePAMが穴
- 229 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 17:40:14 ]
- 鍵ファイルをユーザに託す行為が穴。
- 230 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 19:35:01 ]
- 鍵にもパスワードつけとけばいいやん。
- 231 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 19:52:21 ]
- >>230
ブルートフォースで簡単に破られる鍵じゃん。
- 232 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 19:58:55 ]
- 信頼できないユーザーならパスワード認証も鍵も同じ。
アクセス拒否すればよい。
- 233 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:02:15 ]
- >>232
信用できるユーザが鍵を盗まれていて、ユーザ自身が盗難の事実に気づいていない場合。
- 234 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:03:50 ]
- どうやったら盗まれるの?
- 235 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:06:07 ]
- >>234
鍵ファイルをコピーしちゃう
- 236 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/21(金) 20:31:04 ]
- パーミッション的に無理じゃない?
- 237 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 12:47:16 ]
- 信頼できるユーザのマシンの管理者がタコで、rootを破られて気付いていない場合
- 238 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 12:56:30 ]
- 他のユーザと共有してるマシンに秘密鍵置かないだろ。
- 239 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 13:12:25 ]
- >>238
セキュリティの話に性善説を持ち込んだらあかん。
プライベートなPCのスクリーンセーバーをかけ忘れた。
Windowsの管理共有が有効なまま。
キンタマウイルスに引っかかった。
HDDを消去せずにPCを捨てた。
・・・
結局、一般的なファイル盗難の話に帰着する。
ユーザに厳格な管理を課さないと維持できないセキュリティなんてね。
それなら管理者が強制力を発揮できるパスワード方式のほうがまだ安全。
- 240 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/22(土) 13:30:53 ]
- そういう大事なパスワードは忘れると困るからメモしてディスプレイに貼っておこう。
- 241 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/24(月) 22:49:41 ]
- >>234
鍵ファイルもパスフレーズもwikiあたりに載せて公開しちゃう場合
- 242 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/11/25(火) 20:50:23 ]
- 次の患者さん、どうぞ。
- 243 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/03(水) 10:29:15 ]
- たしかに自分から暴露するようじゃ病気だわな
- 244 名前:名無しさん@お腹いっぱい。 [2008/12/11(木) 18:58:34 ]
- SSHのポートフォワーディングって一度接続した後に
やっぱあのポートもこっちに流してくれ!ってできないよな?
できれば激しく便利なんだが・・・
- 245 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/11(木) 19:38:36 ]
- >>244
teratermやputtyでは出来る(よね?)から、
プロトコル上の問題じゃなくて実装上の問題なんだろうね
- 246 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/11(木) 19:44:27 ]
- >>244
OpenSSHなら
~C
でできる。-Dは無理だけど。
- 247 名前:名無しさん@お腹いっぱい。 [2008/12/12(金) 03:54:21 ]
- Teraterm や PuTTY でできることを知らなかった
OpenSSH の -D の存在を知らなかった
~C が何かがまだわかって無い。
- 248 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/12(金) 10:11:13 ]
- >>247
man ssh
- 249 名前:名無しさん@お腹いっぱい。 [2008/12/12(金) 13:38:01 ]
- >>248
今理解した。
- 250 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/14(日) 20:18:15 ]
- ttp://www.coins.tsukuba.ac.jp/~yas/coins/dsys-2002/2003-03-04/index.html
ttp://webos-goodies.jp/archives/50665333.html
ttp://www.stackasterisk.jp/tech/systemConstruction/openssh01_01.jsp#4
この辺のホスト認証の説明で、ホスト鍵とサーバ鍵を使うと書かれているのですが、
サーバ鍵があってもホスト鍵が破られたら成り済ましが可能なことに変わりないように思います。
わざわざサーバ鍵も使う理由って他にあるんでしょうか。
- 251 名前:名無しさん@お腹いっぱい。 [2008/12/14(日) 21:20:24 ]
- ccweb1.kek.jp/people/yashiro/RepN/KEKint00-01/ssh_a.html
Server-keyは768-bitの RSA keyでホスト認証のために使われる.
sshd 起動時に作成され, その後1時間毎に自動的に更新される.
ファイルに保存されることがない. Server-keyの目的は,
host keyで暗号化した通信を記録して解読されることを防ぐことにある.
この一定時間ごとに変化する Server-key で修飾することにより
暗号の解読を困難にしている.
--------------------
だって。上のページは主にSSH1の話しということだけど。
Session-key を定期的に変えるのじゃだめなのかな?
- 252 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/14(日) 23:18:28 ]
- いい資料ありがとうございます。
「host-keyで暗号化した通信」って、つまりsession-keyの送信部分だけですし、
確かにserver-keyはhost-keyじゃなくて、session-keyを守るためのものっぽいですね。
秘密host-keyが漏れた時、過去の全通信のsession-key=内容が解読されるのを防ぐためな気がしてきました。
- 253 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/18(木) 21:36:42 ]
- お聞きしたいのですが、sshd.confファイルで ssh port forwardを特定のユーザのみにしか
許可しないと言う設定はどうすればよいのでしょうか?
デフォルトだとsshでログインできるユーザは全員ssh port forwardが使えるので不安です。
- 254 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 01:52:35 ]
- >>253
試してないが、OpenSSH 4.4以降なら以下のようにしてできるかも
AllowTcpForwarding no
Match User hoge, fuga
AllowTcpForwarding yes
参考) ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
- 255 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 13:32:18 ]
- 今まで ssh をセキュアな telnet としてしか使ったこと
無いんだけど、port fowarding って何がどう便利に
なるの?事例希望。
- 256 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 13:41:28 ]
- Xとかvncのコネクションをセキュアに張れる。
pop3s/smtpsのない環境でも外部からセキュアにメールが読み書きできる。
sshしかポートを開いてないところにいろいろ飛ばせる(あんまりないか)。
ほか。
- 257 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 14:28:30 ]
- >>255
海外からGyaOが見られる、とかかな。
- 258 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 15:13:27 ]
- そもそもUNIXでGyaO見られるか??
- 259 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 16:09:30 ]
- っPuTTY
- 260 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 16:39:17 ]
- そもそもUNIXにPuTTYなんてあるか?
- 261 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 16:41:33 ]
- ある。
- 262 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 17:01:46 ]
- >>254
レスありがとうございます。
# ssh -V
OpenSSH_4.3p2 Debian-9etch2, OpenSSL 0.9.8c 05 Sep 2006
終了のお知らせwwwww
どこに4.4以降じゃないとMatch文が使えないと書いてます?
- 263 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 17:02:56 ]
- じゃあ、UNIX版のPuTTYとやらを使えばUNIXクライアントだけでGyaOが見られるのかよ?
- 264 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 17:12:22 ]
- >>262
www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_4.4.txt
- 265 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/19(金) 18:12:20 ]
- >>262
コンパイルしるしかないな
#調べたらetch-backportsにもなかったわ…lennyは5.1p1だが
- 266 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/20(土) 14:19:05 ]
- >>263
何ムキになってんだよw
- 267 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:11:57 ]
- >>255
大学から2chが見られる。
- 268 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:15:50 ]
- 今日び大学からも2chが見れない時代なのか
会社じゃあるまいし…
- 269 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:29:51 ]
- 2chは普通にアクセスできるんだけど
大学に迷惑かけたくないので、ポート転送使って家経由で。
- 270 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/21(日) 02:43:11 ]
- つまり、荒らしたいと。
- 271 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/22(月) 01:20:35 ]
- >>269
家経由で迷惑かける気満々だな
- 272 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/23(火) 10:03:41 ]
- >>253
port forwardを禁止されたらnc使うよね。
- 273 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/23(火) 12:18:11 ]
- >>272
www.ksknet.net/linux/nc_netcat.html
これですか?こんなのがあったのか・・・・知らなかった・・・・。
これでssh port forwardと同じような事ができるんですか?
- 274 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/23(火) 16:38:04 ]
- >>273
いいや?
- 275 名前:名無しさん@お腹いっぱい。 [2008/12/24(水) 06:20:53 ]
- マシン192.168.0.1からあるサーバhogeにssh接続し10110番をportforwardすると
ssh -L 10110:localhost:110 hoge
マシン192.168.0.1では、localhost:10110 を介してhoge:110にアクセスできる
しかし、192.168.0.1とは別のマシンから
192.168.0.1:10110にアクセスしても繋がらないようなのだけど
これを可能にする方法ある?
この別のマシンにはsshが入っていないので、再portforwardはできないとして
- 276 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/24(水) 06:32:46 ]
- >>275
-g
- 277 名前:名無しさん@お腹いっぱい。 [2008/12/24(水) 06:40:04 ]
- >>276
ありがとう
でも気をつけてつかわないと危険ですね、これは
- 278 名前:名無しさん@お腹いっぱい。 [2008/12/27(土) 00:09:02 ]
- /etc/ssh配下にある公開鍵(鍵Aとします)と、個人ユーザのホームディレクトリ配下にある公開鍵(鍵Bとします)の違いについてお聞きします。
ホスト認証で使われるのは鍵Aで、ユーザ認証で使われるのは鍵Bという認識であってますしょうか?
- 279 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 12:22:04 ]
- >>278
Yes
- 280 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 12:30:14 ]
- 配下って何ですか? ハイカならとっくに廃止?
- 281 名前:名無しさん@お腹いっぱい。 [2008/12/27(土) 14:34:18 ]
- >>280
うわっ!何こいつ最悪つまんねーw
ただで寒いのに、お前のせいで凍えしにそうだwww
きもい
- 282 名前:名無し募集中。。。 mailto:sage [2008/12/27(土) 16:16:31 ]
- >>281
日本人じゃないんだろ
ほっとけよ
- 283 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 16:26:50 ]
- 「お会計の方、よろしいでしょうか」みたいに間違った日本語だね。
×「ホームディレクトリ配下」
○「ホームディレクトリの下」
- 284 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 19:10:23 ]
- ホームディレクトリ配下はNGなのか、設計書に書いちゃってるわ
マジ、お客さんに申し訳ねえ
- 285 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/27(土) 20:26:04 ]
- え、~/.sshじゃなくて~/下に置いてるってこと?
- 286 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 02:17:08 ]
- CentOS5.2ですが、denyhostsはパッケージとしては存在しないのでしょうか?
手動でコンパイルする必要があるのでしょうか?
- 287 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 02:28:01 ]
- >>285
あげあしとってやんなよ・・・w
- 288 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 11:31:44 ]
- >>286
DAG にあるじゃん
ttp://dag.wieers.com/rpm/packages/denyhosts/
- 289 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/28(日) 11:59:03 ]
- なんで「配下」じゃだめなん?
- 290 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 01:30:15 ]
- 「ある人の支配下にあること。また、その者。手下。『―の者を引き連れる』」(小学館大辞泉)
「『配下』は、支配下にある者のことで、人間以外にも用いる。」(小学館類語例解辞典)
"ディレクトリ配下" の検索結果 約 44,300 件
"フォルダ配下" の検索結果 約 22,900 件
"ネットワーク配下" の検索結果 約 437 件
「〜の下に配(置)された」といったかんじだったのが、ディレクトリがもつツリー構造と
支配関係がもつヒエラルキー構造の相似性にひきずられて、「配下」になったんではないかと(想像)。
- 291 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 09:13:16 ]
- ディレクトリはただのリンクされたツリー構造であって、
「支配関係」はないしね。
(親ディレクトリが書き込み不可でもサブディレクトリには書き込めるとか)
"ディレクトリの下"でググるともっとけん数ヒットする。
- 292 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 10:53:37 ]
- "配下にある" == "「支配下にある」にある"
おかしいだろ。
- 293 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 10:59:21 ]
- 難しい言葉使わなくとも「以下」でいいんだよな。
- 294 名前:名無しさん@お腹いっぱい。 [2008/12/29(月) 11:27:07 ]
- 子、でいいだろ
- 295 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 12:11:13 ]
- 子だとすぐ下のディレクトリしか指さない気がする。
ディレクトリじゃないファイルとか
下の下のディレクトリとかは含まなくない?
- 296 名前:名無しさん@お腹いっぱい。 [2008/12/29(月) 12:53:27 ]
- 子孫繁栄
- 297 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/12/29(月) 13:18:50 ]
- 「ホームディレクトリの下にある.sshフォルダ」だとホームディレクトリ直下っていう意味だと思うんだけど、
「ホームディレクトリ以下にある.sshフォルダ」だと、ホームディレクトリだけでなく、その子ディレクトリや
子孫ディレクトリも可能性として含むような気がするんだよ、国語辞典で「以下」の語義を眺めていると。
「ホームディレクトリ以下でしたらどこにファイルを配置してもかまいません」って感じのが本来の語義に沿った使い方なんでないかと。
でもコンピュータ業界では「ディレクトリ以下」といえばそのディレクトリ直下を意味する、という暗黙の了解ができているような気もする。
そこらへんは読み手が文脈によって読み分けてるのかもしれんが、技術用語として使う分には厳密に使い分けた方がいいよね。
- 298 名前:名無しさん@お腹いっぱい。 [2009/01/03(土) 11:26:31 ]
- ssh の鍵のかわりに SSL の証明書を使えないもんだろうか。
- 299 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/06(火) 23:44:54 ]
- >>291
パス名に含まれるディレクトのうち1つでも x bit が立っていない場合は
その下のパーミッションがいくら有効でもアクセスできない。
そういう意味では支配関係にある。
- 300 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/06(火) 23:54:42 ]
- その程度を支配と言うのはこじつけすぎ。
しかも、x が落ちてるのは、その下に行けないという意味ではなくて、
そこを通るパスをたどれないという意味でしかない。
最初からその下にいるプロセスにとって、上で x が落ちても無関係。
- 301 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/07(水) 06:33:41 ]
- >>299
そのサブディレクトリを例えばNFS exportしてmountすれば、
たとえ親ディレクトリの x が落ちていてもアクセスできてしまう。
だからやっぱり支配はされていない。
- 302 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/07(水) 11:41:07 ]
- >>299
そのディレクトリのサーチが出来ないだけで、他のディレクトリからハードリンクされていれば
アクセスできる。したがって支配されていない。
- 303 名前:名無しさん@お腹いっぱい。 [2009/01/07(水) 19:05:30 ]
- OpenSSH の ssh2 な鍵にはコメントを埋め込むことが
できないんですね・・・フィンガープリントだけで
識別せよってことなんだと思うんですが,
やっぱりコメントがないとわけわかんなくなります.
- 304 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/07(水) 19:50:20 ]
- おまいら容赦ないなww > 配下
- 305 名前:名無しさん@お腹いっぱい。 mailto:age [2009/01/12(月) 10:51:00 ]
-
通常は秘密鍵で認証。
あるホストからはサーバへパスワードなしの認証をさせたいのですが、
可能でしょうか。
- 306 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/12(月) 11:04:18 ]
- 可能だけど、それを自己解決できない人は禁止。
- 307 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/12(月) 14:23:30 ]
- >>305
質問が良く分からんが
普通の各ホストでは「秘密鍵の」パスワードを入れるけど、
あるホスト上に限って「秘密鍵の」パスワードを無しにしたいって意味だよね?
だったら鍵のペア作る時に気づかない?
- 308 名前:307 mailto:sage [2009/01/12(月) 14:25:28 ]
- あと ssh-agent とか
- 309 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/12(月) 20:32:12 ]
- ドットshostsの件じゃないのか
- 310 名前:名無しさん@お腹いっぱい。 [2009/01/15(木) 12:00:14 ]
- パスワードなしの認証ってもしかして rsh みたいな感じで?
だったら >>309 かな
- 311 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/16(金) 14:55:37 ]
- sshd へのボットによる攻撃対策として、過去自作スク
リプトで失敗の続く IP をはじいたりしてたんだけど、
いつだったか脆弱性対応から *-cbc を config から外
してから全部 refuse されるようになった。
んでもって最近嘘のように攻撃が止んだんだけど(二日
に一度程度にまで)、逆に何か仕掛けられたんじゃない
かってちょっと不安。
しかしこれは「悪魔の証明」みたいなもんですかねぇ…。
- 312 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/16(金) 15:04:44 ]
- >>311
斬新なブロック方法だな。
確かに、サポートしてる暗号化方式がなきゃ切るしかない。
- 313 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/16(金) 20:37:49 ]
- まぁでもそのうちボットが update されるんだろうと思う。
- 314 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/01/17(土) 16:02:52 ]
- 接続先のホストを間違えて、そこに対しRSAの認証を試みて、
当然認証されないでパスワード認証になった時点で気がつきました。
このような場合、間違えた接続先の方に秘密鍵が送信され、危険なのではないかと
思ったのですが、どうなのでしょうか?
間抜けな質問ですが、よろしくおねがいします。
|
 |
