[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 2chのread.cgiへ]
Update time : 12/03 06:44 / Filesize : 219 KB / Number-of Response : 878
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その6

1 名前:名無しさん@お腹いっぱい。 [2008/02/12(火) 11:20:40 ]
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
 Part1:pc.2ch.net/unix/kako/976/976497035.html
 Part2:pc.2ch.net/unix/kako/1028/10281/1028157825.html
 Part3:pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:pc8.2ch.net/test/read.cgi/unix/1102242908/
 Part5:pc11.2ch.net/test/read.cgi/unix/1145484540/


344 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 09:46:34 ]
>>343
ポートフォワーディングを使ってループを作るということです

345 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 09:53:53 ]
>>343
ssh remotehost -g -L 8080:myhost:8080
みたいなことだろ

>>342
ループ作った後、そのポートにtelnet等で接続すると
多量のソケットが出来るが、そのうちオーバーフローしてエラーになる。
OSが落ちたりはしない。

346 名前:名無しさん@お腹いっぱい。 [2009/02/21(土) 10:17:26 ]
以前働いていた会社の話なのですが、サーバの管理のための鍵のうち
一つにパスフレーズを掛け、社員であれば誰でも見ることができる
場所に置いていました。

OpenSSHの秘密鍵の場合、このパスフレーズによる暗号化で
使われるアルゴリズムは3DESとのことですが、このような運用は
やはり危険なものなのでしょうか?

その鍵でログインすると自動的にシャットダウンシーケンスが
始まるようにしていました。どうしても休日に不定期にビル全体の
電源を落とすことがあり、当日出勤している社員に使ってもらう
ためのものでした。

347 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 10:48:22 ]
当たり前だ。誰が使ったのか特定出来ない。
辞めたお前もそのパスフレーズ知ってるんだろ。

348 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 11:18:42 ]
俺はただの趣味鯖管なんだけど、その程度の管理しか出来ない会社って多いのかな?
それともありえない話?
そもそもsshすら使ってないとこもあるのかな?
職業鯖管の人教えて。

349 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 11:34:48 ]
某大手電機メーカーの計算機センターで、ホスト制限なしでNFSエクスポートしているのは秘密だ。

350 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 11:55:41 ]
>>339
> だろうし、sshは、-fを付けない場合は、バックグラウンドを含めて
> 起動したプロセス全部の終了を待ってしまう。
> だからデーモン類の起動スクリプトを実行するとsshが終了しない。
違う。標準出力が残っているから終了しないだけで、
きちんとcloseするdaemonなら大丈夫。
$ ssh host 'sleep 30 >/dev/null 2>&1 &'

351 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 12:30:13 ]
< /dev/null は?

352 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 14:04:44 ]
>>349
わかったよ秘密なんだね。

>>353
実はね、某大手(以下ry



353 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 14:21:19 ]
>>352


354 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/21(土) 18:44:03 ]
>>348
以前のいた会社はrootのPAMでつなぎ放題だったな。
某ブラック企業だったけど。

355 名前:名無しさん@お腹いっぱい。 [2009/02/25(水) 20:38:15 ]
サーバ側でリモートシェルは許可してリモートログインは許可しないことはOpenSSHでできるでしょうか。
rsh は許可して rlogin は許可しないのと同様のことをSSHでしたいのですが。

356 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/25(水) 23:33:04 ]
>>355
で、それができたとして、
ssh XXX /bin/bash

のようにシェルを起動するのも禁止するようにしたいんだよね?

357 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/26(木) 13:46:12 ]
出来ない。>>356が指摘してるように意味ない。

358 名前:名無しさん@お腹いっぱい。 [2009/02/27(金) 09:25:54 ]
一般ユーザーで ssh -Y hostname ってログインするとxclockがちゃんと表示されます。
そのあと su でルートになると
# xclock
X connection to localhost:10.0 broken (explicit kill or server shutdown).
と言われてxclockが立ち上がらないのですが、これはどうすれば直るでしょうか。
xhost + は駄目でした。


359 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 09:30:16 ]
>>358

# su
# cp ~元のユーザー名/.Xauthority ~root
# xclock

360 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 10:13:08 ]
>>358
$ XAUTHORITY="$HOME/.Xauthority"
$ export XAUTHORITY
$ su
# xclock

361 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 11:22:42 ]
>>360
$ XAUTHORITY="$HOME/.Xauthority"
$ export XAUTHORITY
$ su -
# echo $XAUTHORITY

???

362 名前:名無しさん@お腹いっぱい。 [2009/02/27(金) 14:47:11 ]
Yahoo!みんなの政治がプロ市民団体に乗っ取られてる件
seiji.yahoo.co.jp/

 大江康弘? 誰? 高橋千秋?? 知らない。どちら様ですか? 
そんな民主党のマイナー議員の皆様が激しく高得点。
そもそもどこの選挙区で何の実績を挙げてるのかすらよく知らん。誰かちゃんと全部知ってる?
 そんな人が70人通りかかって69人も支持。嘘だろー。
それに何か10,259件も誰かのコメントに支持したり反対したりしている。
何この超絶ヒマそうな民主党支持者。わけわかんない。
一時間ほど経過したところ、評価数がさらに増えて10,289件になっている。
見て回った中では最高得点のクリッカーだ。
懸命にクリックしているのだとすると腱鞘炎まっしぐらだし、
スクリプトだとするとBOT使いは死ねという話である。おとなげない。

小沢への異様なまでの高評価。正直に書くと支持されず。
seiji.yahoo.co.jp/giin/rev/index.html?g=2007000340&s=0&p=1
ヤフーが捏造した政党支持率 自民3% 民主76% 共産6% 社民3% 新党日本4% 国民新党2% 公明1%
quizzes.yahoo.co.jp/quizresults.php?poll_id=7186&wv=1
アンケート操作疑惑
wiki.livedoor.jp/ahoo_question/d/FrontPage
Yahoo!みんなの政治,政治工作の舞台に その2
society6.2ch.net/test/read.cgi/giin/1222287632/



363 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 18:03:47 ]
>>361
man su

364 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 18:43:39 ]
>>363
そうじゃなくて、
>>360 の方法では su - の時には使えないって指摘してるんだろ。

>>359 が正解。

365 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 20:39:37 ]
>>364
それならそう書けよ。>>359は.Xauthorityが変わるたびにコピーしなおさない
といけない。>>359>>360も、ホームディレクトリがNFSでroot_squashの場合
は使えない

366 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 20:46:03 ]
じゃあ、

$ cp $HOME/.Xauthority /tmp
$ su
# XAUTHORITY=/tmp/.Xauthority
# export XAUTHORITY
# xclock

で桶?

ちなみに、Linuxのsu(というかGNUの?) だと、
suする時に .Xauthorityのコピーを自動でやってくれるみたい。

367 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 21:09:00 ]
>>364
su -だとDISPLAY環境変数も消えるぞw
>>366
Debian(etch)で試してみたけど自動でコピーはしてくれないな

368 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 21:14:38 ]
>>367
>DISPLAY環境変数も消えるぞw

消えないよ。

369 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/27(金) 22:36:54 ]
>>368
etchとFreeBSDでは消えるみたいだよ

370 名前:358 [2009/02/27(金) 23:25:36 ]
>>359-369
みんなありがとう。俺の頭では理解できないことがわかったので、
あきらめるこにします。ありがとうございました。

371 名前:名無しさん@お腹いっぱい。 [2009/02/28(土) 02:23:34 ]
もっとデーモンSSHDのサイズを小さくして欲しい。

372 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/28(土) 02:37:46 ]
デブ厨って単に頭が固いのか?
それとも根っからの馬鹿が多いのか?



373 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/28(土) 12:08:20 ]
xinetd 経由で起動させてたら池沼扱いされた。マジかよ・・・好きなのに。

374 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/28(土) 12:12:43 ]
俺もinetdから起動してる。

375 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/02/28(土) 13:00:02 ]
俺は sendmailも inetd経由で起動してるぞ

376 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/02(月) 11:33:19 ]
オレもxinetd(inetdも)好きだ!!
xinetdが死んだときのことを考えると怖いけど....。

377 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/04(水) 17:06:30 ]
>>368
赤帽はDISPLAYを残すようパッチしてるからそうなるだけ
ウソだと思うならSRPMを調べてみるといいよ

378 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/04(水) 19:36:02 ]
スレチなら、誘導お願いします。
Win XP SP3からteraterm4.57を使って、slackware12.2でオペレーションしているのですが
端末で、Homeキーやを押しても、^[[2~と表示するだけで、カーソルが行頭に行きません
また、BackSpaceキーは使えるのですが、Deleteキーを押下しても、反応しません
仕様ですか?

379 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/04(水) 19:41:08 ]
>>378
スレ違い。スレは自分で探せ
あとTeraTermのヘルプ読めないの?バカなの?

380 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/04(水) 19:41:20 ]
気づきました、ここunix版ですね(^^;
linux版で聞きます、スレ汚しスマンカッタ

381 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 00:11:55 ]
とんでもない馬鹿がLinux板に行っちゃうんだな…

382 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 11:18:41 ]
というか、今のご時世でLinuxと全く無縁なのにUNIXと関わっている
人って、ニート以外にいないだろ。



383 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 11:28:09 ]
ほとんどがWindowsだけど業務上捨てられないUnixサーバがある、
という形ならありそうだが

384 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 12:10:36 ]
確かに昔と比べると商用UNIXって影が薄くなった感はあるよなあ

385 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 13:20:39 ]
TeraTermの話題はLinuxとかUNIXとか関係なく板違いだろというツッコミはなし?
ここで「LinuxとUNIXは全く違う!一緒にするな汚らわしい!!」て主張をする意味がわかんない

386 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 13:40:25 ]
>>385
> ここで「LinuxとUNIXは全く違う!一緒にするな汚らわしい!!」て主張をする意味がわかんない
だれもそんな主張はしていない
オマエがわけ分からんな

387 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 13:48:59 ]
>>386
UNIX板住人は大概そういう思想だよ

388 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 14:13:41 ]
>385
> 板違い
>>3 にリンクがあるけど?
Linux板にあったTera Termスレの次スレは、Windows板でもソフトウェア板でもなく
UNIX板にあるんだけどね。

389 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/05(木) 17:28:26 ]
キチガイが絶賛粘着中

390 名前:名無しさん@お腹いっぱい。 [2009/03/06(金) 12:27:31 ]
sshでrootでのログインを禁止するには
sshd_config の設定で
PermitRootLogin no にしますが、

sshで特定のIPだけrootでログインを可能にするには
どのような設定が必要でしょうか?

391 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 12:42:33 ]
ユーザでログインしてrootになれば良いのでは。

392 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 12:46:18 ]
>>390
一切禁止にし、特定ユーザのみsudoを使わせるべきだと思うが…



393 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 12:50:18 ]
常時玄関を開けっ広げて
<丶`Д´>勝手に入られたニダ!謝罪と賠償を要求ニダ!!
とかやりたいのかな

394 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 13:07:10 ]
>>390
オレは
PermitRootLogin yes
にして、PAMでやってる。

395 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 13:34:31 ]
sshd_configにMatchブロックをつけて例外指定

396 名前:390 [2009/03/06(金) 14:33:33 ]
なるほど、
皆さん
┏○アリガトウゴザイマス

397 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 16:28:40 ]
>>395
Match では PermitRootLogin は上書きできない気がする。

398 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 16:38:52 ]
>>397
OpenSSH 4.8以降は可能になったとどこかで見た気がする。

399 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 17:10:09 ]
>>390
最終的に何がしたいのか気になるな… リモートからのバッチ処理とか?

400 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 17:46:26 ]
んなもん、リモートにバックアップとりたいとか、いろいろありうるだろ

401 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 20:05:40 ]
みなさん、こにゃにゃちは、なのだ。
portfoward専用のユーザーを作るつもりなのだ。
シェルを使わせるわけにはいかにゃいのだ。
ForceCommand に何を設定すればいいのか、教えて欲しいのだ。
/bin/true も /bin/echo も一瞬で終了してしまうのだ。
/bin/cat>/dev/null でいいのか?


402 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 20:34:35 ]
sleep 60



403 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 21:01:27 ]
-N -f

404 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/06(金) 21:39:23 ]
/sbin/shutdown

405 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 00:11:01 ]
#include <unistd.h>

int main(void) {
 for (;;) sleep 1;
 return 0;
}

406 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 00:14:31 ]
間違えた sleep(1); だな

407 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 00:30:39 ]
これでいいジャン
#include <unistd.h>
int main(void) { for (;;) sleep(1); return 0; }

408 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 01:09:20 ]
どうせならtccスクリプトで

409 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 01:57:13 ]
>>403
なるほど、そういうことだったのか。
わかったのだ。
これでいいのだ。

410 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 03:01:36 ]
むかし無通信だとファイアウォールが切りやがるので、
↓こういうの作ったのを思い出した(たぶんインデント壊れる)

#include <stdio.h>
int main(void)
{
for(;;)
{
putc('#',stdout);
fflush(stdout);
sleep(300);
}
}

411 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 03:07:46 ]
何のためのkeepaliveだよ・・・

412 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 03:18:29 ]
>>411
keep aliveパッチ当てたかったんだけど、客先の赤帽でパッケージ以外使うなと言われたので
苦肉の策でやったまでなんだ。



413 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 07:06:08 ]
>>410
どうせ作るにしてもシェルで作った方が早いじゃん。
何故わざわざC言語?

#!/bin/sh
while :
do
echo '#'
sleep 300
done

414 名前:名無しさん@お腹いっぱい。 [2009/03/07(土) 07:18:01 ]
なぜ糞重いシェルを使うんだろうか。PerlなりRubyなり使えばいいのに。

415 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 09:29:21 ]
>>410
同じく昔そういうの作ったけど、'#'のところは'\0'にしていたな

416 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 13:58:27 ]
出先のマシンが10022というポートでsshdが待っているんですけど、
社内の設定で22以外のポートにsshで繋げられません。踏み台サーバ
を経由する以外でログインできる方法はないでしょうか。
出先のマシンには管理者権限あります。

417 名前:名無しさん@お腹いっぱい。 [2009/03/07(土) 14:23:35 ]
>>416
出先のマシンで22をListenする

418 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 14:28:22 ]
>>411
keep aliveのパケットのみの場合は、実質の通信は行なわれていない、
と判断するような、高度(余計なお世話)なファイアーウォールも
この世には存在してだな、、

419 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 15:01:00 ]
>>416
「社内」からのアクセスに限定できるんだったら、
ポート22でListenさせてIPアドレスでアクセス制限すれば良いだけ?
sshd_configを変更するか、inetdを使うかだね。

420 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 15:10:41 ]
>>418
SSHの暗号化がファイヤーウォールにばれてるの?

421 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 18:26:11 ]
>>418
TELNET なら NULL コマンドが飛ぶのを監視できると思うけど、
SSH_MSG_IGNORE とかを見られるとしたら、SSH_MSG_KEXINIT とか
SSH_MSG_NEWKEYS あたりから man in the middle してるってことかな?
それはやり過ぎなルータだな。

422 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 20:12:55 ]
さすがにTCPこkeepaliveのことじゃないの?



423 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/07(土) 22:30:42 ]
TCP keepaliveの確認間隔をコネクション毎に変更できるOSはわりと限られてる

だから移植性に配慮したソフトウェアがそれに依存することはなくて
ソフトウェア自身がkeepalive動作を実現するんだよね

なわけで>>418の言うところの内容が気になるわ

424 名前:名無しさん@お腹いっぱい。 [2009/03/08(日) 10:22:38 ]
>>401 に対して誰も chroot 使えとか言わないのはなぜ?

425 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/08(日) 11:17:26 ]
rsshが根本的な解決になってると、お前以外が思ってないから。

426 名前:名無しさん@お腹いっぱい。 [2009/03/08(日) 12:09:37 ]
なってないの?
なってないのかな・・・

427 名前:名無しさん@お腹いっぱい。 [2009/03/08(日) 12:33:51 ]
hostbase 認証って、クライアント側でもsshdが
動いていなければならないんでしょうか?
そうでなければクライアント側のホスト鍵を
チェックできないわけですよね?

428 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/08(日) 12:57:20 ]
version1だと、sshをset-uid rootする。
version2だと、ssh-keysignをset-uid rootする。

429 名前:名無しさん@お腹いっぱい。 [2009/03/08(日) 13:43:05 ]
なるほど、サーバ側からクライアント側へのコールバック?
のようなものが発生するわけじゃないんですね。
クライアント側の /etc/ssh/ssh_host_rsa_key を読んでサーバ側に
提示できるのは ssh-keysign っていうヘルパープログラムのおかげか。

430 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/20(金) 00:32:52 ]
>>423
データ長と方向と間隔から推測する。

431 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/03/20(金) 03:26:12 ]
>>430
そんなことしてスループット大丈夫?
もう製品名言っちゃえよ。

432 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/13(月) 20:00:56 ]
smb over sshトンネルのゲートウェイとsambaを1台のPCで両立させるにはどうしたらいいでしょう?
やりたいことをまとめると、こんな感じになります

WindowsPC(複数) --- Linux A ---- ルーター ===INTERNET=== ルーター --- Linux B
             sshクライアント                           sshd
               samba                              samba

要は、一番左のWindowsPCからsshトンネル経由でLinux Bのsambaにアクセスしたい、ということです。
現状でLinux Aがsshクライアント(smb over sshゲートウェイ)及びsambaの「どちらか一方」ならば
問題なく動作することを確認しております。
しかしながら、smbの待ち受けポートが139番固定であるため両者を一度に動かすわけには行きません。
(他のプロトコル、例えばhttp等ならば一方のポート番号を適当に変えてしまえば済む話なのですが)

Linux A上にVMWareなどでトンネル専用の仮想PCを走らせてしまう、という手はすぐ思いつきましたが、
もっとシンプルに「一台のPC上の一つのOS」で可能な方法というのは無いものでしょうか?



433 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/13(月) 22:55:29 ]
>>432
普通に Linux A に IPエイリアスで複数のIPアドレスを割り当て、
それぞれの139番ポートで ssh と samba を動かず。
listenするIPアドレスをお互いに限定すること。

434 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/14(火) 11:48:41 ]
IPエイリアス!!
それだっ。

NICに複数のIPアドレスを割り付ける方法が何かあったっけ…?? などとうっすら思ったんですが、
今まで使ったことがなかったのでキーワードを完全に忘れておりました。
どうもありがとうございます。

435 名前:432 mailto:sage [2009/04/16(木) 15:14:47 ]
せっかくだから備忘録代わりに書いておこう。
(ぐぐってもSSHゲートウェイについてはあまり見当たらなかったし)

WindowsPC(複数) --- Linux A ---- ルーター ===INTERNET=== ルーター --- Linux B
             sshクライアント                           sshd
               samba                              samba
目的:
左端のWindowsPC(複数)から、Linux AをゲートウェイとしてSSHトンネル越しに右端のLinux Bのsambaへ接続する

(1)Linux AにIPエイリアスを作成
例として設定は以下で
 eth0 → 192.168.0.100
 eth0:0 → 192.168.0.200

(2)Linux A のsmb.confでeth0のみ使用する設定に
 interfaces = eth0

(3)Linux A のsshクライアントでeth0:0からLinux Bへのトンネルを作成
 ssh -2 -g -L192.168.0.200:139:localhost:139 -i ~/.ssh/id_rsa hogera@example.ne.jp
 (相手ホストのアドレス example.ne.jp、ユーザ名 hogera、秘密鍵 ~/.ssh/id_rsa の場合)
 background動作&time outを防ぎたいならば -f オプションとping -i 60 localhost > /dev/null とか追加

以上で WindowsPCから\\192.168.0.100でLinux A、\\192.168.0.200 でLinux B のsambaに繋がる。
WindowsPCからは「向こう側」のLANは見えず、Linux Bだけが「こちら側」のLANに参加したように見える。
使い途次第ではVPNよりも便利な場合も。
開けるポートはsshのみだし、向こう側のプライベートIPを気にする必要もなし。

436 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/16(木) 21:21:13 ]
>>435

参考にさせてもらうわ

437 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/17(金) 00:18:14 ]
(3)のところは autossh を使えるかも
www.harding.motd.ca/autossh/

438 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/21(火) 01:24:42 ]
クラスタ構成のサーバーでActive側にのみフローティングIPが割り当てられる様になっています。
この環境で非対話的にscpするために、パスフレーズ無しのssh keyファイルを作っています。

Active側にscpしたいため、フローティングIPに対してscpしているのですが、
フェイルオーバーして、Activeになっているサーバーが切り替わるとIPは同じで
host idが変わるため、scpが

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

と警告を出してしまいます。
known_hostsをチェックさせない様にする方法は無いでしょうか?

あと、known_hostsに無いホストへ接続する時に出る、

Are you sure you want to continue connecting (yes/no)?

も出ない様にする方法が有れば教えてください。



439 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/21(火) 07:02:59 ]
>>438
StrictHostKeyChecking

440 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/22(水) 02:41:58 ]
>>439
それだと確かに(yes/no)は聞かれないけど。聞かれないだけですね。

441 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/22(水) 06:42:23 ]
>>440
応用力のない奴だな。

StrictHostKeyChecking no を設定した上で、

rm $HOME/.ssh/known_hosts; ssh hoge

というスクリプトを実行すればいいんだよ。

442 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/22(水) 07:35:29 ]
クラスタのActive/Standby 2台とも同じhostkeyにしちゃれ



443 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/22(水) 07:45:05 ]
>>442
>>441 がすでに答え書いてる

444 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/04/22(水) 08:54:36 ]
UserKnownHostsFile /dev/null





[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<219KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef