1 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/16(火) 21:23:37 ] SSHに関する情報交換のスレッドです。 FAQ、リンク集は >>2-5 あたり。 過去ログ Part1:pc.2ch.net/unix/kako/976/976497035.html Part2:pc.2ch.net/unix/kako/1028/10281/1028157825.html Part3:pc5.2ch.net/unix/kako/1058/10582/1058202104.html Part4:pc8.2ch.net/test/read.cgi/unix/1102242908/ Part5:pc11.2ch.net/test/read.cgi/unix/1145484540/ Part6:pc12.2ch.net/test/read.cgi/unix/1202782840/
2 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/16(火) 21:25:21 ] よくある質問 Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも そのパスワードは暗号化されているのですか? A.はい、その通りです。 SSHプロトコルでは、まず始めにサーバ<->クライアント間で 暗号化された通信路を確立します。 ユーザ認証はその暗号化通信路の上で行なわれるので、 パスワードなどもちゃんと秘匿されています。 Q.最近、root,test,admin,guest,userなどのユーザ名で ログインを試みる輩がいるのですが? A.sshdにアタックするツールが出回っているようです。 各サイトのポリシーに従って、適切な制限をかけましょう。 参考:www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
3 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/16(火) 21:26:20 ] ◇実装 本家ssh.com www.ssh.com/ / www.jp.ssh.com/ (日本語) OpenSSH www.openssh.com/ / www.openssh.com/ja/ (日本語) OpenSSH情報:www.unixuser.org/~haruyama/security/openssh/ 日本語マニュアル:www.unixuser.org/~euske/doc/openssh/jman/ OpenSSH-HOWTO:www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html TeraTerm/TTSSH hp.vector.co.jp/authors/VA002416/ www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版) sleep.mat-yan.jp/~yutaka/windows/ / ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版) PuTTY www.chiark.greenend.org.uk/~sgtatham/putty/ pc8.2ch.net/test/read.cgi/unix/1084686527/ hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ) yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ) VeraTerm www.routrek.co.jp/product/varaterm/ MacSSH/SFTP pro.wanadoo.fr/chombier/ PortForwarder www.fuji-climb.org/pf/JP/ TRAMP www.nongnu.org/tramp/tramp_ja.html
4 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/16(火) 21:27:05 ] ◇規格等 ・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers ・RFC4251: The Secure Shell (SSH) Protocol Architecture ・RFC4252: The Secure Shell (SSH) Authentication Protocol ・RFC4253: The Secure Shell (SSH) Transport Layer Protocol ・RFC4254: The Secure Shell (SSH) Connection Protocol ・RFC4255: Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints ・RFC4256: Generic Message Exchange Authentication for the Secure Shell Protocol (SSH) WideのSSH解説 www.soi.wide.ad.jp/class/20000009/slides/12/ ◇おまけ Theoのキチガイぶり pc.2ch.net/test/read.cgi/unix/1023635938/546-550 djbsssh(ネタ) www.qmail.org/djbsssh/
5 名前:1 mailto:sage [2010/02/16(火) 21:28:09 ] 一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが 面倒糞くなったのでそのままコピペしました。 後よろしく。
6 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/16(火) 21:33:26 ] ※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。 最低限次のような対処をしておきましょう。 ttp://www12.atwiki.jp/linux2ch/pages/141.html ●最善策 パスワード認証を止めて、公開鍵認証へ変更する rootの直接のログインは不許可とする 特定の接続元からのみ接続を許可する ●次善策 User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。 特定の接続元からの接続を拒否する ポートを変える
7 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/17(水) 14:12:38 ] >>1 乙
8 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/17(水) 20:17:48 ] なあ、インターネットに繋がってないマシンも 6 をやってる?
9 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/17(水) 22:27:20 ] パスフレーズ無しの公開鍵認証の方が楽
10 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 00:13:17 ] っつーか公開鍵使わない認証って SSH 使う意味ないよね
11 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 00:19:24 ] なんで?
12 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 00:20:21 ] >>10 俺もそうおもってた。。。。 でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・ 内部でopenssh呼び出してるだけなのに
13 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 12:41:47 ] >>11 パスワード認証を暗号化したところで ブルートフォースアタックには無力
14 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 12:47:36 ] それがどうしたというのかね?
15 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 12:57:25 ] >>13 それを言うなら公開鍵もブルートフォースで破れる
16 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 12:59:58 ] それがどうしたというのかね?
17 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 13:15:12 ] RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?
18 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 14:38:16 ] >>6 も勘違いしてるけど ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは
19 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 15:05:51 ] アクセス元しぼればいいだけじゃん。
20 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 15:31:37 ] 辞書攻撃って(総当たりとは言えないにしても)ブルートフォース(腕ずく)の一種じゃないか?
21 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 15:41:53 ] >>20 いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない
22 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/18(木) 15:52:31 ] 辞書攻撃は立派な攻撃手法の一種 ブルートフォースといったら普通は「総当たり」作戦 一億玉砕本土決戦火の玉〜な方を指すので 小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません
23 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/20(土) 19:40:35 ] # SSHプロトコルの指定 Protocol 2 # rootでのアクセス許可 PermitRootLogin yes # 接続を許可するユーザ AllowUsers root # セキュリティ設定 MaxStartups 2:90:5 LoginGraceTime 20 MaxAuthTries 3 port 22 # RSA公開鍵認証の有効化 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
24 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/20(土) 19:43:11 ] # パスワード認証無効化 PasswordAuthentication no PermitEmptyPasswords no RhostsRSAAuthentication no ChallengeResponseAuthentication no # ログのレベルを指定 SyslogFacility AUTH LogLevel INFO # パーミッションチェック StrictModes yes # その他 GSSAPIAuthentication no GSSAPICleanupCredentials yes UsePAM no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。 どうしてでしょうか?? disconnected no supported authentication methods available って表示されてしまいます。
25 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/20(土) 20:55:09 ] >>24 ssh2で接続してないからだな
26 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/20(土) 21:40:42 ] -vで起動すれば拒否される理由を教えてくれる。
27 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 00:41:06 ] .ssh/authorized_keys から 違う場所に保存先を変えたら問題なく利用できました。 バージョンアップしたせいかな??
28 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 02:45:27 ] アクセス権のせいだろうな
29 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 11:54:43 ] これまでは問題なく運用出来ていましたが、 ある日突然connection refusedのエラーが出て接続できなくなりました。 ps -e | grep sshd としてもなにもでないため、sshdが起動してないように見えます。 HPUX10.2の環境のためか、シェルスクリプト /etc/init.d/ がなく、 /opt/openssh/sbin/sshd start ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。 ネット上の一般的な知識が適用できず困っています。 HP-UX10.2運用で良い方法ありましたら教えてください。
30 名前:sshd 起動するだけじゃん mailto:sage [2010/02/21(日) 12:02:02 ] > これまでは問題なく(ry > ある日突然(ry そのあいだにやったことを書けば解決できるじゃろ
31 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 12:10:18 ] /etc/init.d/じゃなくて/sbin/init.d/じゃないの? HP-UX知らないやつは手を出すなよ、壊すから
32 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 13:16:06 ] レスサンクス。 >>30 再起動しかしてないです。 他のアプリが不調で二回再起動後に突然発生。 その後はsshd_configいじりすぎて何がなんだか。 一度全部消して作り直した方が良いかな。 >>31 init.dの場所が違うのかな。調べてみます。 init.d/sshd があれば良いんだけど。 使いたくないんだけど、 HP-UXでしか動かないソフトを今でも使っていて。 dtermの使い勝手が悪くて閉口気味。 hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。 10.2のdepotが非常にレアで参ってます。
33 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 19:16:21 ] どう考えても ssh の質問じゃなくて HP-UX の質問じゃん
34 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 19:25:47 ] >>33 10.2はデフォルトでssh入ってません。 パッケージ見つけてきて自分で入れたのですが。 とりあえずinit.dの場所が違うのが分かったので明日調べてみます。 そこから先はsshないしはsshdのconfigファイルか、 鍵関係に問題ありかなと思ってます。 自分で勉強もしますが、色々教えていただければ幸いです。
35 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 20:19:13 ] スレ違いかもしれないが、WikipediaのSSHに関する記事 ja.wikipedia.org/wiki/Secure_Shell の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか? OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても そんなことちっとも書いてないじゃないか。 IPAの仕業か?
36 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 20:22:08 ] wikiなんだから書き替えたら。
37 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 20:45:14 ] ・PasswordAuthentication noにする ・PermitRootLogin noにする ・Protocol 2にする 正しい ・Portは22以外にする 意味無し ・ChallengeResponseAuthentication noにする 正しい ・AllowUsersにおいて特定のユーザーのみ接続を許可する AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。 ・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する 好きにすれば ・X11 port forwardingは無効にする ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。 ・シェルが不要であれば、passwdファイルからシェルを取り除く 馬鹿丸出し。取り除いたらデフォルトは/bin/sh
38 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 20:56:35 ] ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。 そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。 >>37 攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。 >シェルが不要であれば、passwdファイルからシェルを取り除く /bin/false とかにすればいいと思うが。。
39 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 21:10:01 ] チャイナ、コリアはデフォルトでドロップだろ。
40 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/21(日) 21:13:41 ] /bin/reverseattack
41 名前:名無しさん@お腹いっぱい。 [2010/02/22(月) 02:53:56 ] >>38 > >シェルが不要であれば、passwdファイルからシェルを取り除く > /bin/false とかにすればいいと思うが。。 だから"取り除く"じゃないんだろ。
42 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 10:10:09 ] ssh 対象ユーザで shell 不要ってどういう場合? sftp only?
43 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 10:19:43 ] authorized_keysでコマンド指定してあれば、不要なんじゃないかな。
44 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 17:53:23 ] >>37 > ・Portは22以外にする > 意味無し >>38 も書いてるけど、意味は大いにあるよ。 Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。 必要なログがゴミの中に埋没しなくなるのはかなり重要。 >>39 最近は cn, kr 以外のも相当多いぞ。 数年前とは状況が違う。
45 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 18:31:42 ] >>44 稚拙な攻撃ツールからのログを減らしてるだけ。 sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。
46 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 18:49:34 ] ログを減らせることに意味があるだろうが、ということだと思うんだが。
47 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 18:54:18 ] ログを減らせることの意味がわからないんじゃないの
48 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 18:56:05 ] 俺もウェルノウンポート以外を使うのは、ある程度は有効だと思う。 まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。 効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。
49 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:00:51 ] 稚拙な管理者はログを一切見ないので ログが多かろうと少なかろうと違いはない ということだな
50 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:06:33 ] Password(PAM)有効じゃ無ければログ残らないだろ。 ログ減らせるとか喜んでる奴、恥ずかしくないのか?
51 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:08:25 ] セキュリティポリシーって難しいよね。 某スレで、送信元IPアドレスでフィルタリングしちゃう (= 許可されたIPアドレス以外は認証すらしない) 人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ? でもね、俺は自宅だけでなく大学とかからもSSH使うから 送信元IPアドレスでのフィルタリングはしてないよ、って言ったら もー、初心者扱いされてまいったよ。 死ねだのタコだの。もうね。。
52 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:11:51 ] 可能性のあるところだけ通せばいい。個人用ならそれが普通。
53 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:18:39 ] >>50 OpenSSHサーバだけど、公開鍵認証でもログ残るよ? Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2 Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0) ちなみに僕ちんはファイアウォールでもログ残しているよ。
54 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:20:23 ] >>53 それ、侵入されたログ。www
55 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:28:00 ] >>54 おお、ほんとだチャレンジに失敗するとログ残さないな。 ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。
56 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:31:32 ] >>50 あえて攻撃のログを出させた方が 動的にフィルタで対処できる、という考え方もあるんだが。 攻撃を受けた&失敗したログがまったく残らないのでは 「新しいパターンの攻撃」が出たときどうするの? >>52 個人用ならある程度は限定できるだろうけど 仕事だとそうもいかんね
57 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:33:08 ] >>53 そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから 気にするほどログが大きくならないということかと。 >>54 知らないって幸せだね。
58 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 19:56:28 ] >>57 > そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。 sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」 となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。 つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。 以下はその設定での /var/log/secure の攻撃失敗例 Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155 Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69 Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios 知らなかった?
59 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 20:16:49 ] HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、 変えられるんなら変えたほうが効果がある。 >>45 は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、 だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して 攻撃が来たことは一度もないわけで。 まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。 ちなみに>>44 の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス
60 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 20:27:40 ] >>58 ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。 22から変える意味はない。w パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。 本質を理解しないとダメだよ。 しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし… そこに残ってる"Did not receive identification string"はsshプロトコルでプロト コルバージョンの交換が出来なかった時のログ。 "input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。 勉強になったか? まとめると、 port 22を変更するのはパスワード認証を有効にしている素人管理者サイト でログを減量できるが、それ以上の意味は無い。
61 名前:59 mailto:sage [2010/02/22(月) 20:32:12 ] 「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと 「それで完全に防げる」と勘違いしちゃだめなわけで。
62 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 20:42:14 ] >パスワード認証を有効にしている素人管理者サイト これ誤解や。パスワード認証自体が危険なわけじゃないで。
63 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 20:47:06 ] 個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。
64 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 20:52:09 ] >>59 うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって ほとんどないような..... だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ っていうか全ポートスキャンなんて効率悪すぎるだろうに うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ 確かにほとんどこんなポート突きになんて来ない気がする
65 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:03:13 ] >>51 基本的に送信元IPアドレスを限定する方をお勧めする 一時的に可変的なIPアドレスからの接続を許可するために コントロールパネルのようなものを作っておくと便利 いま繋がってるアドレスをその日だけ許可するとか出来るし
66 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:09:01 ] >コントロールパネルのようなものを作っておくと便利 それをどうやって安全に操作させるか… 平文 HTTP の basic 認証とかだったら殴る
67 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:10:01 ] >>62 このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効) うれしい管理者は、素人管理者と推定出来ます。 もっとも、パスワード認証無効の中にも>>58 のような素人も居るので素人とパス ワード認証を結び付けるのには無理があるかもしれません。
68 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:11:07 ] >>62 またおまえか そんなアホな風説流すな
69 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:14:47 ] >>68 なにが?
70 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:15:50 ] >>66 もちろん平文にはしないが 少なくとも ssh にアタックしてくるスクリプトが わざわざコントロールパネルの URL を調べて そっちでアクセス元 IP アドレス許可してから アタックし直す可能性なんて限りなく低いだろ? 仮にコンパネ側の方が認証パスして その IP アドレスが許可されたとしても ssh の方の鍵持ってなきゃ実質なにも出来ないだろ? ログが増えるのも防止できて一石二鳥三鳥だぜ
71 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:18:44 ] >>70 VPNでアクセスすりゃいいよめんどくせぇ
72 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:18:53 ] >平文 HTTP の basic 認証とかだったら殴る xrea.comですねわかります
73 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:25:22 ] >>65 なるほど、うん、うん。それはいいね。 まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで 別に教えてくれなくても平気なんだけど、 まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも いるけど、 そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう ホノボノすると思うんで、どうかな、もうちょっと詳しく… いや別に俺がマネしようとか言うんじゃないんだ。
74 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:26:27 ] >>73 そういう書き方は「こいつ余裕ないんだなプ」と思われるだけなんだがな…
75 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:33:42 ] それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ
76 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:35:02 ] sshd : .jp : allow これだけでだいぶ減る
77 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:45:19 ] パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔 が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる >>76 それは海外行った時困るだろw
78 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/23(火) 00:04:33 ] まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね? どうしたってメタル臭が抜けない気がする。 どうしてもっていうならディマジオのスーパーディストーションの白黒 にするとおさまりいいと思うよ。
79 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/23(火) 00:05:14 ] あ、ごめんなさい。スレ間違えました
80 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/23(火) 00:07:38 ] SSH HSHwwww
81 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 00:57:19 ] 俺はHHがイイです
82 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 13:35:19 ] じゃあ俺はH×H
83 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 13:43:06 ] ∧_∧ ┌───────────── ◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん! \ / └───────────── _/ __ \_ (_/ \_) lll
84 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 18:33:22 ] HH+コイルタップで十分だな
85 名前:名無しさん@お腹いっぱい。 [2010/03/03(水) 09:13:47 ] 未だにSSHで検索すると埼玉最終兵器が一番上な件
86 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 09:25:53 ] >>85 かっこいいからいいじゃん。むしろsshの語源の方がださいし。
87 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:11:15 ] sshはセキュア・シェル・、、の略だそうですが、 では h は何の略なんですかぁ? Secure Shell H???
88 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:12:32 ] Secure SHell
89 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:13:03 ] S=Secure SH=Shell のはず
90 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:17:35 ] もっと粋な返しはないのか。。
91 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:28:34 ] >>90 ぢゃお前がお手本みせろよ
92 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:35:49 ] >>90 フリがつまんないからしょうがない。
93 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 18:34:21 ] sh ↓外からも使えたら便利じゃね? rsh ↓やべー穴だらけだったよw ssh
94 名前:名無しさん@お腹いっぱい。 [2010/03/03(水) 21:46:53 ] >>90 wktk
95 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 22:57:12 ] S=すごい S=Scienceで H=Hします
96 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/05(金) 20:06:08 ] >>93 もう進化しないのかな
97 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 08:33:58 ] sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)
98 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 11:26:24 ] おいやめろ
99 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 15:30:31 ] いいぞもっとやれ
100 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 17:01:54 ] で、最後は飽きて放置するんですな。
101 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 18:47:13 ] そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。
102 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 02:32:36 ] wsh
103 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 08:52:59 ] ssh → sssh → ssssh … 今後の展開はこうだろ
104 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 09:28:35 ] Secure SSHキボン
105 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 10:30:54 ] インセキュアな奴が使うから無理。 パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。
106 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 13:05:25 ] >>103 ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4
107 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 13:49:39 ] スーパー ssh 冒険の謎 2 でいいよ
108 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 13:50:53 ] >>106 → sshIV とか sshタクティクスとか
109 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 16:02:02 ] sshEXとssh0は
110 名前:名無しさん@お腹いっぱい。 [2010/03/07(日) 19:35:54 ] Zssh sshZZ νssh ssh-F91
111 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 22:55:43 ] Ξssh も仲間に…
112 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 23:26:27 ] 続・ssh 続続・ssh また又・ssh 新・ssh ニュー・ssh 痛快・ssh
113 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 23:29:58 ] あぶないssh もっとあぶないssh もっともっとあぶないssh
114 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 23:34:46 ] もっともあぶないSSH さらにあぶないSSH
115 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/08(月) 00:57:28 ] つまんないのでもういいです。
116 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/08(月) 16:33:56 ] 嘘です、もっとやってください。
117 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/08(月) 21:11:22 ] knkssh
118 名前:名無しさん@お腹いっぱい。 [2010/03/10(水) 21:53:41 ] openssh-5.4/5.4p1来たね。
119 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 22:46:49 ] 公開鍵認証が出来なくなった
120 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 22:51:37 ] へぇ〜
121 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 22:52:20 ] ほぉ〜
122 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 23:04:03 ] 公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。
123 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:14:28 ] えっ
124 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:32:08 ] >>123 いじめんなよ
125 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:37:00 ] ケーキを食べればいいじゃないネタに何いってんのっていうか
126 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:42:43 ] もうひとひねり欲しいところ。
127 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:45:22 ] むしろサイバーノーガード戦法で
128 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 03:25:55 ] もしかしてGIF騒動の二の舞?
129 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 12:19:55 ] >>119 英語でいいんでソース頼む
130 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 12:22:11 ] ソースっていうか >>119 の環境でできなくなったって話じゃないの。
131 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 15:47:16 ] 単にプロトコル2がデフォルトになって、 敢えて設定しない限り1は使えなくなっただけじゃ なかったっけ?
132 名前:119 mailto:sage [2010/03/11(木) 22:50:59 ] あぁ・・・うちだけか。ナンテコッタイ ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。 PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる?って思ったんです。 sshd_configは5.3p1で使っていたのと全く同じ Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key SyslogFacility AUTH LogLevel INFO LoginGraceTime 2m PermitRootLogin no StrictModes yes RSAAuthentication no PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys RhostsRSAAuthentication no IgnoreRhosts yes PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no UsePAM yes
133 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/12(金) 00:18:30 ] >>132 多分、鍵の置く場所変えたら直ると思う。
134 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/12(金) 19:50:51 ] AuthorizedKeysFile のところ%h付けなくなったんだっけ? 明示的に%h付けてみたら?
135 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/13(土) 05:23:41 ] RSAよりDSAの方がつおいんだな。 しらなカッタワ。
136 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/13(土) 11:42:41 ] DSAって1024縛りがなかったっけ?
137 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/13(土) 21:54:51 ] んなこたぁない
138 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 14:13:18 ] 現状のsshで使えるのは1024ビットのDSAだけでしょ? marc.info/?l=openssh-unix-dev&m=126630542032768&w=2 反対にRSAのビット長の方は上限は決まってないんだっけ。 実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が あるみたいだけど何の制約からなんだろう。 ところで、うちのCore2Duoでためしにopenssl genrsa 65536を 実行してみたらCPU 50%しか使わないね。p,q同時に生成するような パッチってないのかな?(需要ないか・・・)
139 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 14:33:26 ] 仕様上そうなってるけど、PuTTY の keygen では作れてしまう。 以前試したときには確か使えたと思う。
140 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 14:44:53 ] ssh.com版は少なくとも2048bitを作れた気がする。 opensshが勝手に制限してるだけ?
141 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 19:09:22 ] TeraTermの中の人が書いたまとめっぽいのがあった。 ttp://slashdot.jp/~doda/journal/465416
142 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 21:48:22 ] (L,N)=(2048,160)な中途半端なDSA鍵なら 長いRSA鍵の方がよっぽどましだと思うけど。 (L,N)=(2048,224)のDSA鍵使うにはSSHプロトコルの 拡張が必要なんでしょ?
143 名前:名無しさん@お腹いっぱい。 [2010/03/26(金) 08:23:11 ] sshをつかってWindowsから接続しています。 nohupを使ってプログラムを実行したあと、ウインドウを閉じると、プログラムが終了してしまいます。 exitコマンドを使えば、切断したあともプログラムの実行は継続されます。 ウインドウを直接閉じた際もプログラムを継続する方法はないでしょうか?
144 名前:名無しさん@お腹いっぱい。 [2010/03/26(金) 08:29:16 ] >>142 nohupは SIGHUPを無視するだけで、 ウィンドウ閉じた時にそれ以外のシグナルが来れば終了するわな。 すべてのシグナルを無視するラッパーをかますか、 てっとり早く setsidコマンドを使う方法もある。
145 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 08:59:54 ] >>143 つ GNU screen
146 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 12:15:39 ] 普通screen
147 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 12:24:14 ] この用途でscreenは牛刀。
148 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 12:31:36 ] tmux
149 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:17:52 ] >147 牛刀結構ではないか ギロチンつかうよりはまし
150 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:28:40 ] >>147 screen使うと何か問題が出るのか?
151 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:43:00 ] debianをetch->lennyにしたらstoneがなくなったのでsocatにしたけど こういうのが牛刀?
152 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:43:29 ] ptyが無駄に消費される
153 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:45:57 ] >>152 足りないの?
154 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:47:16 ] ×無駄に消費される ○有効に活用される
155 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:48:30 ] wgetで済むのにfirefoxを起動するのが牛刀
156 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:50:46 ] >>154 nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、 ptyは無駄にしかならない。 setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので 無駄にならない。
157 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:51:13 ] 牛刀のほうが使いなれてるなら牛刀でいいじゃん
158 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 18:38:39 ] いやだから、ptyが無駄になって 何か問題があるのか? そりゃ鳥をバラすのに牛刀使うのは かえってやりにくかろうとは思うが screen使って「特に問題が出ない」なら 別に構わんのでは?
159 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 18:50:41 ] そこは触れてほしくないみたいだよ。
160 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:22:26 ] > 「鶏を割くに焉んぞ牛刀を用いん」 > 小事を処理するのに、大掛かりな手段を用いることのたとえ。 「大掛かりな手段」と言うほどscreenは大掛かりか? 俺はわりと日常的に使ってるけど。 たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる みたいな話ならまだ分かるが。 screenだぜ? w
161 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:24:21 ] MS Word を日常的に使ってれば それは大掛かりにならんのでは
162 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:43:57 ] screenはインストールされてるとは限らないから、 わざわざscreenをインストールしてから作業開始だとすると大がかりだな。
163 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:48:50 ] それはまた話が別。
164 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:51:09 ] >>161 ヘタすると実作業よりも起動待ちの方が長くなるような という意味合いで書いたんだが。 作業内容に比して大掛かりな道具という。
165 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:52:33 ] >>162 yumやaptの使い方知らないなら 確かに大掛かりな話になるかもね。 つか、そのレベルの人だったら 別の方法を採用したら もっと大掛かりな話になりそうなw
166 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 20:09:00 ] 勝手にソフトを入れてはいけない客先のマシンとか、 社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。
167 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 22:39:08 ] >>164 もれは attach するだけだから爆速
168 名前:名無しさん@お腹いっぱい。 [2010/03/30(火) 16:19:47 ] # SSHプロトコルの指定 Protocol 2 # rootでのアクセス許可 PermitRootLogin yes # 接続を許可するユーザ AllowUsers root # セキュリティ設定 MaxStartups 2:90:5 LoginGraceTime 20 MaxAuthTries 3 port 22 # RSA公開鍵認証の有効化 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile /etc/ssh/authorized_keys
169 名前:名無しさん@お腹いっぱい。 [2010/03/30(火) 16:20:30 ] # パスワード認証無効化 PasswordAuthentication no PermitEmptyPasswords no RhostsRSAAuthentication no ChallengeResponseAuthentication no # ログのレベルを指定 SyslogFacility AUTH LogLevel INFO # パーミッションチェック StrictModes yes # その他 GSSAPIAuthentication no GSSAPICleanupCredentials yes UsePAM no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。 なぜなのでしょうか?? AllowUsers root は AllowUsers root hogehoge の間違いです。
170 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 16:21:18 ] ログ見ないのかね。
171 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 16:37:36 ] AuthorizedKeysFile /etc/ssh/authorized_keys こんなデタラメな設定、誰に教わった?
172 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 16:47:36 ] あれ、なんかデジャヴ?
173 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 19:30:03 ] これは酷いw
174 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 19:39:25 ] こういうバカは死んで欲しい。 d.hatena.ne.jp/fjkktkys/20070214/1171433041
175 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 20:31:37 ] >>174 いちおう「最終手段」って書いてるじゃん。
176 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 23:56:23 ] 何をやっているか理解せずに、全世界に公開する愚かな行為を言っているのだ。
177 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 23:59:29 ] ブログに書かれた設定系のネタでまともなものを見たことがない。
178 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/31(水) 02:11:42 ] >>174 それ3行並べてるじゃん。 >>168 のは一行しか書いてないじゃん。 なんで>>174 の方を叩くべきって結論に? >>177 ほう
179 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/31(水) 19:07:47 ] 3:1で>>174 の勝ち。
180 名前:179 [2010/03/31(水) 21:08:38 ] >>174 の方が明らかに間違い >>168 はそれに騙された被害者 一日間に異論がなければそれで確定ね
181 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/31(水) 21:55:09 ] >>168 ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html ココ見てわからなかったら、グーグルさんに聞いてください。
182 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/31(水) 23:04:37 ] 一日間に異論がなければそれで確定ね(キリッ
183 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/01(木) 17:19:46 ] 何をやっているか理解せずに、誰かが書いた設定をコピペして使うのも愚かな行為。
184 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/05(月) 19:44:17 ] どうしてもssh認証できなくて、2日間悩んだあげくやっと原因を発見した 作った.sshディレクトリの所有者がrootになってた 忘れないようにここに記録しておく
185 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/05(月) 19:53:15 ] ばーか としか言いようがない
186 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/06(火) 07:47:09 ] そんなこと普通起きないから忘れていいよ。
187 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/06(火) 21:43:11 ] いや、>>184 が記憶したいのが「所有者が root だから駄目だった」だったら きっと同じようなことをまたやらかすに違いない
188 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/07(水) 11:24:55 ] >>187 ? 他に何を記憶したいという可能性が?
189 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/08(木) 16:20:59 ] root だったからじゃなくて、所有者が違ったからだめなんだよ。 そういう記憶の仕方は良くない。 /root/.ssh の所有者がrootでも何の問題もないからな。
190 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/08(木) 16:43:10 ] それを言うなら「所有者が違って、かつotherに読み込み権限がなかったから」だろ >>184 は所有者の確認もせずにパーミッションだけは700とかに設定したわけだな
191 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/08(木) 16:54:06 ] >>190 違うよ。 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。
192 名前:190 mailto:sage [2010/04/08(木) 17:17:26 ] /home/testuser/.ssh# ls -la 合計 12 drwx---r-x 2 root root 4096 2010-04-08 17:05 . drwxr-xr-x 3 testuser testuser 4096 2010-04-08 17:05 .. -rw----r-- 1 root root 395 2010-04-08 17:05 authorized_keys 試してみたけどこの状態ならtestuserでSSHログインできたぞ。 ここから chmod o-rx . ./authorized_keys するとログイン不可。 まぁ環境によるのかもしれないけど。
193 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/08(木) 21:03:08 ] drwx--x--x . drwxr-xr-x .. -rw------- authorized_keys だろ常考
194 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/08(木) 21:10:03 ] そういう話はしていない。
195 名前:187 mailto:sage [2010/04/08(木) 22:18:50 ] 俺が言いたかったのは「所有者が root だから駄目だった」という 個別の事例を記録しても意味がなくて、なぜ ~/.ssh の所有者を root に してしまったのかの原因を詳らかにしておいた方がいいんじゃないの? ってことだったんだけどね 平たく言うと、安易にスーパーユーザーで作業すんなってこと
196 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/09(金) 10:15:32 ] >平たく言うと 遠すぎるな
197 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/09(金) 10:23:15 ] いや 何度も書かれている お前の目が節穴だっただけ 大抵の人はフィルタを通して物(この場合スレの書き込み)を見てしまう 大事なことが書かれていてもそれに気付くためには 本人がそれを受け入れるための準備が必要なんだ
198 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/04/09(金) 10:32:54 ] >>191 × 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。 ○ デフォルトでは所有者がroot以外の他人またはgoに書き込み権限有りの場合に拒否。 これほどあからさまな嘘は珍しい。