SSH その6

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 2chのread.cgiへ]
Update time : 12/03 06:44 / Filesize : 219 KB / Number-of Response : 878
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その6

1 名前：名無しさん＠お腹いっぱい。 [2008/02/12(火) 11:20:40 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：pc11.2ch.net/test/read.cgi/unix/1145484540/
424 名前：名無しさん＠お腹いっぱい。 [2009/03/08(日) 10:22:38 ]: >>401 に対して誰も chroot 使えとか言わないのはなぜ？
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/08(日) 11:17:26 ]: rsshが根本的な解決になってると、お前以外が思ってないから。
426 名前：名無しさん＠お腹いっぱい。 [2009/03/08(日) 12:09:37 ]: なってないの？
なってないのかな・・・
427 名前：名無しさん＠お腹いっぱい。 [2009/03/08(日) 12:33:51 ]: hostbase 認証って、クライアント側でもsshdが
動いていなければならないんでしょうか？
そうでなければクライアント側のホスト鍵を
チェックできないわけですよね？
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/08(日) 12:57:20 ]: version1だと、sshをset-uid rootする。
version2だと、ssh-keysignをset-uid rootする。
429 名前：名無しさん＠お腹いっぱい。 [2009/03/08(日) 13:43:05 ]: なるほど、サーバ側からクライアント側へのコールバック？
のようなものが発生するわけじゃないんですね。
クライアント側の /etc/ssh/ssh_host_rsa_key を読んでサーバ側に
提示できるのは ssh-keysign っていうヘルパープログラムのおかげか。
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/20(金) 00:32:52 ]: >>423
データ長と方向と間隔から推測する。
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/20(金) 03:26:12 ]: >>430
そんなことしてスループット大丈夫？
もう製品名言っちゃえよ。
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:00:56 ]: smb over sshトンネルのゲートウェイとsambaを1台のPCで両立させるにはどうしたらいいでしょう?
やりたいことをまとめると、こんな感じになります

WindowsPC(複数) --- Linux A ---- ルーター ===INTERNET=== ルーター --- Linux B
　　　　　　　　　　　　　sshクライアント　　　　　　　　　　　　　　　　　　　　　　　　　　　sshd
　　　　　　　　　　　　　　　samba　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　samba

要は、一番左のWindowsPCからsshトンネル経由でLinux Bのsambaにアクセスしたい、ということです。
現状でLinux Aがsshクライアント(smb over sshゲートウェイ)及びsambaの「どちらか一方」ならば
問題なく動作することを確認しております。
しかしながら、smbの待ち受けポートが139番固定であるため両者を一度に動かすわけには行きません。
(他のプロトコル、例えばhttp等ならば一方のポート番号を適当に変えてしまえば済む話なのですが)

Linux A上にVMWareなどでトンネル専用の仮想PCを走らせてしまう、という手はすぐ思いつきましたが、
もっとシンプルに「一台のPC上の一つのOS」で可能な方法というのは無いものでしょうか?
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 22:55:29 ]: >>432
普通に Linux A に IPエイリアスで複数のIPアドレスを割り当て、
それぞれの139番ポートで ssh と samba を動かず。
listenするIPアドレスをお互いに限定すること。
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 11:48:41 ]: IPエイリアス!!
それだっ。

NICに複数のIPアドレスを割り付ける方法が何かあったっけ…?? などとうっすら思ったんですが、
今まで使ったことがなかったのでキーワードを完全に忘れておりました。
どうもありがとうございます。
435 名前：432 mailto:sage [2009/04/16(木) 15:14:47 ]: せっかくだから備忘録代わりに書いておこう。
(ぐぐってもSSHゲートウェイについてはあまり見当たらなかったし)

WindowsPC(複数) --- Linux A ---- ルーター ===INTERNET=== ルーター --- Linux B
　　　　　　　　　　　　　sshクライアント　　　　　　　　　　　　　　　　　　　　　　　　　　　sshd
　　　　　　　　　　　　　　　samba　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　samba
目的:
左端のWindowsPC(複数)から、Linux AをゲートウェイとしてSSHトンネル越しに右端のLinux Bのsambaへ接続する

(1)Linux AにIPエイリアスを作成
例として設定は以下で
　eth0 → 192.168.0.100
　eth0:0 → 192.168.0.200

(2)Linux A のsmb.confでeth0のみ使用する設定に
　interfaces = eth0

(3)Linux A のsshクライアントでeth0:0からLinux Bへのトンネルを作成
　ssh -2 -g -L192.168.0.200:139:localhost:139 -i ~/.ssh/id_rsa hogera@example.ne.jp
　(相手ホストのアドレス example.ne.jp、ユーザ名 hogera、秘密鍵 ~/.ssh/id_rsa の場合)
　background動作&time outを防ぎたいならば -f オプションとping -i 60 localhost > /dev/null とか追加

以上で WindowsPCから\\192.168.0.100でLinux A、\\192.168.0.200 でLinux B のsambaに繋がる。
WindowsPCからは「向こう側」のLANは見えず、Linux Bだけが「こちら側」のLANに参加したように見える。
使い途次第ではVPNよりも便利な場合も。
開けるポートはsshのみだし、向こう側のプライベートIPを気にする必要もなし。
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 21:21:13 ]: >>435
乙
参考にさせてもらうわ
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 00:18:14 ]: (3)のところは autossh を使えるかも
www.harding.motd.ca/autossh/
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 01:24:42 ]: クラスタ構成のサーバーでActive側にのみフローティングIPが割り当てられる様になっています。
この環境で非対話的にscpするために、パスフレーズ無しのssh keyファイルを作っています。

Active側にscpしたいため、フローティングIPに対してscpしているのですが、
フェイルオーバーして、Activeになっているサーバーが切り替わるとIPは同じで
host idが変わるため、scpが

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

と警告を出してしまいます。
known_hostsをチェックさせない様にする方法は無いでしょうか？

あと、known_hostsに無いホストへ接続する時に出る、

Are you sure you want to continue connecting (yes/no)?

も出ない様にする方法が有れば教えてください。
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 07:02:59 ]: >>438
StrictHostKeyChecking
440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 02:41:58 ]: >>439
それだと確かに(yes/no)は聞かれないけど。聞かれないだけですね。
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 06:42:23 ]: >>440
応用力のない奴だな。

StrictHostKeyChecking no を設定した上で、

rm $HOME/.ssh/known_hosts; ssh hoge
↑
というスクリプトを実行すればいいんだよ。
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 07:35:29 ]: クラスタのActive/Standby 2台とも同じhostkeyにしちゃれ
443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 07:45:05 ]: >>442
>>441 がすでに答え書いてる
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 08:54:36 ]: UserKnownHostsFile /dev/null
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 08:58:59 ]: >>444
それを設定しても yes/no が聞かれますが
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 09:01:47 ]: >>445
本当に応用力がない奴だな。

>>444 と、>>439 の StrictHostKeyChecking no を同時に設定するんだよ。
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 10:21:02 ]: サーバ側のホスト鍵統一しないの？
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 13:19:12 ]: しません
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 15:06:28 ]: するの？
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 15:56:09 ]: 445はたぶん知能障害者
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 20:41:41 ]: >>441
それやると、MITM 攻撃に対抗できなくなるじゃん
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 20:58:05 ]: バッドノウハウ（笑）
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 22:16:52 ]: >>451
もとの質問読んでるか?
それを承知の上で known_hostsを無効にしたい、という質問なんだが。
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 00:46:51 ]: んまぁ、素直に
$ ssh-keygen -R foo
$ scp baz bar@foo
するのがいいだろうね。
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 05:55:20 ]: いいえ、もっとスマートな方法でやりたいのです
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 06:13:23 ]: 455=445=ただのキチガイ荒らし
457 名前：名無しさん＠お腹いっぱい。 [2009/04/29(水) 21:12:56 ]: sshでwordpressのmysqlデータをインポートしたいのですが、わからないので質問させて下さい

TeraTerm（(Yutaka氏版）を使っています
mysql5.0.x
phpmyadmin2.11.9.4

www.123.com/wp_posts.sqlをインポートしてあげたいのですが、
実行する場合は下記のように書くらしいです（レンタルサーバーのFAQより）
mysql -h mysql.example.com -u username -ppassword dbname < outfile.sql

mysql -h www.123.com -u 123 -12345 678910 < outfile.sql
と実行したのですが　no such file or directoryとなって実行されませんでした。
ディレクトリはどのように指定してあげればいいのか申し訳ありませんがアドバイスをお願いします。
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/29(水) 21:53:02 ]: < outfile.sql の outfile.sqlを適切に書き換えてないからでしょう
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/29(水) 23:14:01 ]: >>458
レス有り難うございます。
FTPでアップしたmysqlファイル名を書いてあげたのですが無理でした
エラーは上記と同じ内容でした。
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/30(木) 00:27:39 ]: mysql [ENT]
で、mysqlのコンソールが実行できることをまず確認
できないならmysqlが入ってない

できるのにそのエラーが出るなら、<以降のファイルの指定
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/30(木) 09:38:14 ]: ssh と scp と sftp でポート番号の指定のしかたが違うのはなんで?
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/30(木) 10:15:07 ]: >>457
sshと関係すると思える知能がすごいな。消えろ。
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/05(火) 11:15:01 ]: >>457
この10行中、sshという言葉が1行目にしか出ていないのにSSHのスレに書き込む判断はどこから。。
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/07(木) 03:43:25 ]: まぁmysql が外部から接続できない仕様なら
sshでポートフォワードするとよい

終わり
465 名前：名無しさん＠お腹いっぱい。 mailto:sega [2009/05/18(月) 22:15:42 ]: sshコマンドをtelnetコマンドの代わりに使えますか？
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 22:19:28 ]: エスパー募集
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 22:31:56 ]: telnetサーバにsshコマンドで接続できますか？
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 22:35:40 ]: できません。
469 名前：名無しさん＠お腹いっぱい。 [2009/05/20(水) 19:58:22 ]: OpenSSHに深刻な脆弱性--英ロンドン大が詳細を公表:ニュース
ttp://japan.cnet.com/news/sec/story/0,2000056024,20393408,00.htm
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 21:28:46 ]: >>469

> CPNIの報告によると、OpenSSHの脆弱性は、ITの専門家がCBC（Cipher Block
> Chaining）モードではなくCTR（CounTR）モードでAES（Advanced
> Encryption Standard）を使用することで軽減できる

>>311 の対応は確かこれだったような希ガス。
471 名前：名無しさん＠お腹いっぱい。 [2009/05/21(木) 15:23:20 ]: マシン再起動などによりポート転送の接続が切れたときに
自動で（パスフレーズ無しで）再接続するようにしたいと考えています。

sonic64.com/2004-11-17.html
↑のサイトにあるように、cronなどで自動リモートコピーを行うときに
authorized_keysにcommand="・・・"の設定をすると実行コマンドが制限できるようですが
ポート転送のためのログインのみに制限する方法はありますか？
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 16:23:15 ]: ログインしてシェルを使えるようにすると authorized_keys を書き換えられるので
コマンドの制限は事実上なくなる。
/etc/ssh/sshd_config で ForceCommand を /bin/true などに設定し、
かつクライアント側で ssh 実行時に -N -f オプションをつけてシェルを
実行しようとしないようにする。

参考 401 403
473 名前：名無しさん＠お腹いっぱい。 [2009/05/21(木) 18:23:45 ]: >>472
ありがとうございます。
authorized_keysにcommand="/bin/true"を設定するのとは違うのでしょうか？

あと、/bin/trueに制限して

　ssh -f -N -L 10110:localhost:110 sshserver

でポート転送を行った場合、10110に対するPOPなどのコマンド実行に問題はありませんか？
474 名前：473 mailto:sage [2009/05/21(木) 18:40:08 ]: authorized_keysに設定する方法でできました（たぶん・・・）
ありがとうございました。
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 23:29:27 ]: sftp とか使えないようにしとかないと authorized_keys を上書きされちゃう恐れがある、多分あると思う、あるんじゃないかな、
ま、ちょっと覚悟はしておけ。
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 08:56:16 ]: sshの発音はシュッシュ？
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 09:12:47 ]: ？？？
じゃpsstは？
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 23:17:33 ]: 「おーぷんしゅっしゅ」ってなんか可愛らしいな
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 11:52:15 ]: 「えすしぇ」だな
shが「しぇ」という前提があってだが
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 12:07:05 ]: 「おっぺんしゅっしゅ」と呼んでください。
sshが使えるのと使えないのとでは天国と地獄です。
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 21:17:37 ]: ｼｭｯｼｭｯ　ﾎﾟｯﾎﾟ　ｼｭｯｼｭｯ　ﾎﾟｯﾎﾟ
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/29(月) 01:15:59 ]: sshのポートフォワードについてご質問させて下さい。

UltraVNC Single Click(SC)　というツールがあります。
これは UltraVNCクライアントを 5500番ポートでListen状態で待機させ、
遠隔操作される側がUltraVNC SCを実行すると
遠隔操作される側PC -> 遠隔操作する側のPC:5500　に接続に行くというものです。
遠隔操作される側は初心者である場合が多くVNCの5900番をルータの設定で
開放する等ということが出来ないであろうことから、サポートする側が環境を準備すれば
(サポートする側が自分のルータを設定すれば)、サポートされる側は何も考えずに
.exeを実行するだけでつながるという便利ツールなのですが、
hostA:5500 に接続に行くように.exeを作って初心者の方に渡したとして、
この状態だと自分はhostAの5500番でListenモードで待ち受けると接続できるのですが、
これが他の場所でも遠隔サポートをしたいとします。

hostBから hostAにsshで接続し、hostA:5500に来た接続要求を手元のhostBの5500番に
転送してあたかも自分がhostAであるかのように振舞ってリモート操作を実行する
と言う事がしたいのですが、sshで可能ですか？
代表的な -Lや-R -Dオプションについて調べて試行錯誤しているのですが、どうにも
上手く行きません。不可能なのでしょうか？

以上、どうぞよろしくお願い致します。

ご教示よろしくお願い致します。
483 名前：名無しさん＠お腹いっぱい。 [2009/06/29(月) 06:11:14 ]: >>482
>不可能なのでしょうか？

可能です。

ルータが挟まるとNAPTの設定などで混乱するから、
まずはローカルで試験しましょう。
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/29(月) 11:19:53 ]: >>482
sshd_configのGatewayPortsがnoのままと予想。
485 名前：482 mailto:sage [2009/06/30(火) 01:33:52 ]: >>483-484

お二人様
レスありがとうございます、>>482です。

おかげさまであっさりと実現できてしまいました。
sshd_configのGatewayPortsをyesにするだけで繋がっちゃいました。
>>484さんのおっしゃる通りでした。本当にありがとうございます。
>>483さんのおっしゃった部分に関しては適切に設定出来ていたようです。

これを活用すればどこのマシンからでも初心者の方の手助けが出来ます。
本当にありがとうございました。

以上です。
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 02:04:05 ]: >>485=482
ｵﾏｲが初(ry
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 11:51:44 ]: ﾜﾛﾀ
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/05(日) 23:45:00 ]: portFowardingのオプションが分かりにくすぎ
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/05(日) 23:49:14 ]: >>488
むちゃシンプルだろ。
理解できないのは>>482くらいだ。
490 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/10(金) 23:09:41 ]: ~/.ssh/config ファイルに
ProxyCommand nc -X connect -x http_proxy_server:port -P username

とか書いて保存してsshコマンドを使うとProxyを超えて目的のSSHサーバに
接続できると思いますが、この時Proxyがユーザ名だけでなく
パスワードも必要としている場合はどこにパスワードを設定すれば良いのでしょうか？
manをなめるように見回してもパスワードを設定するオプションがありません。

username:password@http_proxy_server とかのアドレスでアクセスしてもダメでした。
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/11(土) 00:23:30 ]: SSHと関係なくね？
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/11(土) 11:18:49 ]: >>491
~/.ssh/config に記述する設定であり、 /etc/ssh_config に記述しても有効になる為
sshと関係あると思っていますが、違いますか？
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/11(土) 12:01:36 ]: >>492
nc と SSH は関係ありません。
修行が足りません。
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/11(土) 13:25:36 ]: >>492
ProxyCommand オプションで、nc (1) を呼び出しているにすぎない。
よって、聞くべきところはSSHのスレではない。
495 名前：名無しさん＠お腹いっぱい。 [2009/07/16(木) 20:39:55 ]: OpenSSL もとうとう 1.0.0 が見えてきたのか
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/19(日) 23:21:54 ]: オライリーの実践SSHという本に、
「普通は、gettyからloginプログラムがよばれるが、OpenSSHはシステム標準のloginプログラムを使わない。」
と書いてありました。
これは独自にloginプログラムを実装しているということでしょうか？
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/19(日) 23:31:45 ]: >>496
login使ったら公開鍵認証できなくね?
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/19(日) 23:57:50 ]: >>497
馬鹿、パスワード認証の話だろ。
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/20(月) 09:03:23 ]: >>498
馬鹿？
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/20(月) 09:33:08 ]: >>417
＞>>416
＞出先のマシンで22をListenする
質問者ではないのですが、質問させてください。
listenする、というのは具体的にどのようなコマンドを実行することなのでしょうか？
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/20(月) 09:36:31 ]: sshdに決ってんだろ。
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/21(火) 01:58:56 ]: >>496-498
どうでもいい。失せろ。、
503 名前：名無しさん＠お腹いっぱい。 mailto:sega [2009/07/21(火) 09:31:55 ]: >>502
巣に帰れよ
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/23(木) 19:55:03 ]: 質問お願いします。

sshにrootでパスワード認証してログインできるようにしていたとして
rootがクラックされて
ログイン時のパスワードを読み取るように改ざんしたsshdを仕込まれた場合、
次にログインしたときにパスワードがクラッカーに漏れてしまうかと思いますが、
sshの鍵認証を使用していた場合でも、
このようなケースに鍵漏洩を避けることは不可能という
認識であってるでしょうか？
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/23(木) 20:59:09 ]: 鍵認証じゃなくて、公開鍵認証な。
この場合、秘密鍵は相手に見せずに、相手に渡しておいた公開鍵を使って、
自分が秘密鍵をもってることを証明するから、秘密鍵は相手には漏洩しない。
506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/24(金) 07:42:45 ]: root(sshd)乗っ取ったらssh-agentを勝手に使用できる。
秘密鍵を盗まれたに等しい。
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/24(金) 07:46:53 ]: ForwardAgent no
または ssh -a
は、今では常識。
508 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/24(金) 08:17:48 ]: 今ではというか、それがデフォルト。
つかマニュアルに書いてあるし。
509 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/24(金) 08:33:27 ]: >>506 (笑)
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/24(金) 08:43:26 ]: >>507-509
キミ達ボンクラと違って、俺のssh-agentは改造してあるから問題ない。
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/24(金) 08:52:53 ]: いや、agentの問題じゃなくて、クライアント側のsshの問題だから。
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/24(金) 09:06:43 ]: ボンクラの知能ではそこまで考えるのが精いっぱいと見える。
513 名前：504 mailto:sage [2009/07/26(日) 10:49:28 ]: >>505
>>506
レスありがとうございます。
505さんのおっしゃる内容は理解できましたが、
506さんの
> 秘密鍵を盗まれたに等しい。
がちょっと気になります。

1. 重要な情報を持つサーバ（ローカルユーザは自身のみ）
2. ローカルユーザが多数いるサーバ

1,2ともに同じ秘密鍵、公開鍵を使用している場合、
2に関しては最悪root権限が奪われた場合に、
1に被害が及ばないか、ということを危惧しています。
通常のパスワード認証であれば、
ssh改ざんされてrootパスワードが漏れて、1に影響が、
ということがあるかと思います。

公開鍵認証の仕組みからすれば、
505さんのおっしゃるとおりかと思うのですが。

>>506-510
あたりの内容って接続後のホストが正しいか確認できない、
とかの内容で
秘密鍵漏洩はなく、1に影響は及ばない、と判断してよいでしょうか？
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/26(日) 17:50:10 ]: >>504
何をしたいのかわからんけど、秘密鍵・公開鍵・公開鍵認証についてちゃんと理解した方が良い。
515 名前：あ mailto:あ [2009/07/27(月) 23:09:30 ]: q
516 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/28(火) 09:36:18 ]: >>508
ForwardAgent って設定ファイルに書いてないときは no ってことでいいの？
517 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/28(火) 09:49:18 ]: >>516
コンパイル時のオプションにもよるのでは。
犬式OSの鳥によっては、設定ファイルに書かないと
デフォルトで ForwardAgent yes になる鳥が存在する。
518 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/29(水) 11:57:22 ]: 犬とか鳥とか… 猿はいないのか?
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/29(水) 12:01:27 ]: モニタの前にいる。
520 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/08/05(水) 01:12:51 ]: スレ違いな上に亀レススマソ。

>>490
nc に -P があるのは *BSD系だとあたりをつけた上で...
少なくとも FreeBSD 7.2-RELEASE にくっついてきた /usr/bin/nc には、パスワードを事前に設定する方法は無い、と思う。ソースは /usr/src/contrib/netcat
readpassphrase(3) 使ってるから、改造するか、別のプログラムを使うしかないね。

んで、ProxyCommand に使うなら、今のところ connect.c が (探しにくいけど) 個人的にオススメ。
(コレ> ttp://www.meadowy.org/~gotoh/ssh/connect.c)
他にもっと便利な方法があったら、誰か教えてください。
521 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/08/08(土) 17:20:51 ]: SSHとSSLとSSDの違い教えろや
教えられない低能は死ね
522 名前：名無しさん＠お腹いっぱい。 [2009/08/08(土) 17:27:12 ]: SSL: secure sockets layre
SSH: secure shell
ここまではいいとして…
SSD は, 以下のうちどれ期待してる?
Society System Decontrol
Solid State Detector
Solid State Drive
Super Star Destroyers
Sotokanda Software Distribution
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/08/08(土) 20:12:34 ]: 俺は>>521では無いが、外神田ｿﾌﾄｳｪｱﾃﾞｨｽﾄﾘﾋﾞｭｰｼｮﾝに笑った。
秋葉発のﾃﾞｨｽﾄﾘって何?
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/08/08(土) 20:29:56 ]: SSD/Linuxだね。
ぷらっとホームのサイトが今メンテ中だけどgoogleのキャッシュとかで見られると思うよ。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef