SSH その4

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 255 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その4

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/05 19:35:08]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：pc5.2ch.net/test/read.cgi/unix/1058202104/
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 22:48:58 ]: >>563
opensshのsshクライアント使って、サーバ-クライアント間のやり取りぐらい自分で調べたら？
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/16(金) 23:05:32 ]: >>563　がアホの子だった場合に備えて、懇切丁寧に説明してやると

>cygwin,putty：パスワードの変更を要求される

なんて場合があるのは、パスワードの変更を「サーバが要求する」ようなメッセージが流れているはず。
!!これが分からなければ、ｵﾏｲはアホの子!!
よって、cygwin opensshをhigher debug levelで動かして、解析しろ。

自分で調べるなら、IETF Draftsでそのメッセージの存在を調べれば良いし、
分からなけりゃ、調べた経緯をまとめ上げた上で、初めて人に聞くべき。
576 名前：名無しさん＠お腹いっぱい。 [2005/09/19(月) 11:09:54 ]: A と B の PC があります。
A で ssh-keygen を行ない鍵を作成しました。
A で cat id_dsa.pub > authorized_keys を実行しました。
A から B に id_dsa, id_dsa.pub, authorized_keys をコピーしました。
Keychain を使い A から B に入る時は最初の一回だけ id_dsa に対するパスワードを聞かれます。
しかし B から A に入る時は毎回 id_dsa に対するパスワードを聞かれます。
両者の /etc/ssh/sshd_config は全く同じ内容です。

B 側の Keychain がうまくいってないように思えます。しかし両者の設定は全く同じです。
何処がおかしいか分かりますか？何かしら根本的な間違いがあるでしょうか？
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/19(月) 16:51:59 ]: keychain じゃなくって ssh-agent でやってみたら?
それでうまくいくのだったら keychain の問題なのでは。
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/19(月) 18:55:40 ]: >>577
ssh-agent だといけました。
579 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/21(水) 11:20:24 ]: 以前は問題なかったのですが、圧縮転送をオンにして接続しようとすると
Algorithm negotiation failed
というエラーが出て接続できなくなってしまいました。圧縮転送をオフにすれば
今でも接続できます。どうしたらこのエラーを消せるのでしょうか？よろしくお願いします。
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/21(水) 11:26:48 ]: >>579
そのメッセイジそのものだと思うんだけど？
581 名前：579 mailto:sage [2005/09/21(水) 11:28:55 ]: >>580
サーバ側が圧縮転送に対応していないということだと思うのですが、その設定はどこでやればよいのでしょうか？
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/21(水) 11:31:29 ]: >>579
sshd_config:
Compression yes
のことか?

>>580
さすがにそれくらいは解ってるだろ。答えたくないならレスするなよ。
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/21(水) 20:23:00 ]: OpenSSH 4.2のリリースノートにこう書いてある。
---
- Added a new compression method that delays the start of zlib
compression until the user has been authenticated successfully.
The new method ("Compression delayed") is on by default in the
server. This eliminates the risk of any zlib vulnerability
leading to a compromise of the server from unauthenticated users.

NB. Older OpenSSH (<3.5) versions have a bug that will cause them
to refuse to connect to any server that does not offer compression
when the client has compression requested. Since the new "delayed"
server mode isn't supported by these older clients, they will
refuse to connect to a new server unless compression is disabled
(on the client end) or the original compression method is enabled
on the server ("Compression yes" in sshd_config)
---
クライアント側がOpenSSHの3.5より前のバージョンじゃないか?
584 名前：名無しさん＠お腹いっぱい。 [2005/09/21(水) 23:32:01 ]: sshdを起動しようとしてもできず
ログには
Sep 21 22:55:48 6151 sshd[73]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
Sep 21 22:55:48 6151 sshd[73]: fatal: Cannot bind any address.
と、残っています(6151はホスト名です)
何が悪いのでしょうか？
585 名前：ヽ(´ー`)ノ ◆.ogCuANUcE mailto:sage [2005/09/21(水) 23:38:29 ]: >>584
> Bind to port 22 on 0.0.0.0 failed: Address already in use.
> Cannot bind any address.
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/21(水) 23:56:04 ]: >>583
問題はそれでした。

クライアント側にこれ
www.ssh.com/support/downloads/secureshellwks/non-commercial.html
を使っていたのが問題だったようです。

とりあえずは、サーバ側の設定のdelayedをyesにして対処したいと思います。
587 名前：584 mailto:sage [2005/09/22(木) 01:32:51 ]: >>585
すいません
bindが0.0.0.0の22番ポートを失敗しました: アドレスが使われています
と言うような感じだと思うのですが
検索などしましたが、どのように解決できるかわかりません
すいませんが教えていただけ無いでしょうか？
よろしくおねがいします

また、sshdは起動できていたみたいです
すいませんでした
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/22(木) 02:09:58 ]: >>587
→ 22番ポートへのbindに失敗しました。
で、「起動できていたみたい」じゃなくて、「起動しているのに
また起動しようとするからエラーが出ていた」んだよ。
# 眠ぃ...
589 名前：584 mailto:sage [2005/09/22(木) 02:16:46 ]: >>588
すいません
ありがとうございました
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 23:17:20 ]: 急に今まで繋がっていたSSHが突如先日繋がらなくなりました。
もちろん設定は一切変更してません。でも何故か一般ユーザーはログインできるようなんです。
ちなみに認証は公開鍵式で試しに設定でパスワード認証も許可してみましたがその問題のユーザーはログインできませんでした。

ちなみに問題のユーザーと言うのはrootのことです。
root以外の一般権限のユーザーはログインできますがrootのみ急に出来なくなってしまいました。
ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。

Sep 30 23:05:03 sv crond(pam_unix)[6292]: session closed for user root
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7240]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session closed for user root
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/30(金) 23:59:39 ]: root で入れるようにしとくなよ。
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/01(土) 05:50:59 ]: >>590
> ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
マジレスすると root でログインするのをやめる。
593 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/01(土) 06:16:10 ]: このスレの連中はログの見方も知らんのか。

そのログは、クーロンがroot権限で実行されたときのログだ。
sshには何も関係ないし。
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/01(土) 10:18:13 ]: わろす
595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/01(土) 12:56:03 ]: ぇ、このログ関係なかったんですか(´･ω･`)
言われてみればよく見るとこれが5分間隔で延々並んでましたからSNMP関係のかもしれませんでした；
どうもお騒がせしました（；

ちなみにこの問題の鯖は仲間内で使うターミナルサーバ的な感じだったのでrootを許可してましたがやっぱりそれでもrootは×の方が良かったかもですね
一応今は権限を持たせた一般ユーザーからsuでrootになるようにしてます。

ところで、認証はパスワードも許可してるのですがそれもやめるべきでしょうか。
テンプレには暗号化されてると書かれてますしいいかなぁと思っているのですが（汗
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/01(土) 13:29:11 ]: >>595
よしあし。
パスワードは総当たりだの推測だのに弱い。盗聴にも多少弱い。
鍵は秘密鍵の盗難に弱い。
597 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/01(土) 15:48:50 ]: >>595
鍵認証はMan-in-the-middle攻撃に強い。総当たり攻撃や推測は事実上不可能。
鍵の管理さえしっかりしていれば（パスフレーズさえ漏らさなければ）
PAMよりずっとセキュア。

それと、複数人で管理している場合、suはお勧めできない。
操作が記録に残るsudoを使うべし。
598 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 07:58:08 ]: VNCをフォワーディングして使用したいのですが、
sshログインは出来ますが、ポートフォワーディングが出来ません。
家でプライベートネットワーク内だと出来るのですが、外からだと出来ません。何か設定はございますでしょうか？

因みにクライアントはteraterm-utf8です。
ルーターはかんでるけどsshログインは出来てるから関係ない??
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 10:08:57 ]: >>598
VNCサーバー側のログと設定の確認はした？
VNCの実装にもよるけど、(通常意味のない)localhostからの接続を制限しているものがあるよ。

とりあえずポートフォワーディングが問題だとかんがえているなら、
他のアプリ(ポート)で試してみるとかやんないと。
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 13:28:19 ]: >>599
一応apacheでも試したんですが、ダメでした。localhst や　プライベート内のpcから192.168.1.xでは見えるんですが。
最初に書いたとおり、プライベートネットワーク内からのフォワードは出来てるので、localhostは拒否してないと思うのですが。
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 13:30:02 ]: あっ、localhostてのはもちろんssh鯖のpcからです。
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 14:25:26 ]: 具体的に！
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 20:14:55 ]: 思う、じゃなくって、telnet localhost 80 でもなんでもいいからやれ。
個人的推理では loopback でしくってるだけ。
604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 20:20:11 ]: > localhostは拒否してないと思うのですが
> 思うのですが
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 20:59:00 ]: >>603 すいません。。telnet localhost 80 は問題なく接続出来ました。。
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/05(水) 21:00:58 ]: ネタだよネタ。ﾇﾙｰしろ。
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/06(木) 12:19:24 ]: パスワードを入力しないでログインできるようにするにはどの方法がよいのでしょうか？
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/06(木) 14:18:30 ]: 環境による。
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/06(木) 23:59:16 ]: >>607
鍵認証。
610 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/07(金) 00:10:53 ]: それにしても一度はパスフレーズを入力するんだけどね。
どっちみち。
だけどパスワード認証よりも、公開鍵認証のが安全らしいよ。
御安全に。
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/07(金) 00:52:26 ]: 空パスフレーズ
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/07(金) 09:15:42 ]: >>610
鍵認証時のパスフレーズなんておまけみたいな物。
あってもなくても大して変わらん。

秘密鍵さえ確実に保存しておけば。
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/07(金) 09:21:43 ]: 鍵のパス空にしてるけどやばいかな?
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/07(金) 09:29:07 ]: レスを読めない人
615 名前：ヽ(´ー`)ノ ◆.ogCuANUcE mailto:sage [2005/10/07(金) 09:32:23 ]: ssh-agent とか。

パスフレーズより、鍵の bit 長の方が重要なんじゃなかったっけ？

むしろ、パスフレーズの入力無しでログインするってことは、PC を放置してて
誰かに勝手にログインされても分からないということなので、そこは気を付け
た方が良いね。そういう意味では、パスフレーズがあった方が気休めにはなる。
616 名前：610 mailto:sage [2005/10/08(土) 20:08:46 ]: 俺は>615の言うとおりと思ってる。
あと仮に公開鍵を盗まれても、もう一つパスフレーズという鍵みたいなもんがあるから、
クラックするのにもう一手間かかるもんね。まぁ無いよりはましって事で。
>613
やっぱり簡単にログインできる魅力と
クラックされてどれぐらい困るかの問題じゃないかなぁ?
にしてもパスフレーズつければ完璧って事ではないけどね。

#パスフレーズは俺の自己満足なのかなぁ?
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/09(日) 01:40:20 ]: 自動化処理でいろいろ面倒なのでパスフレーズは無しにしてる。
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/09(日) 02:05:33 ]: >>616
公開鍵は盗まれても問題ない
619 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/13(木) 00:06:20 ]: >>607
Kerberos使う。
ログインもKerberosでやって、そのとき発行されたチケットでsshに突撃。

SSOって奴だ。
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 02:19:57 ]: SSHのブルートフォースが毎日毎日続くので対策を検討しています。
簡単な対処法などあったら教えてください。
OSはRed Hat Linux 9。openssh-3.5p1-11.2.legacy。openssl-0.9.7a-20.4.legacyです。
一定回数以上の接続リトライで通信を遮断とか、
リトライ間隔の調整が、容易に行えるrpmパッケージがあると最高なのですが。
621 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 02:21:42 ]: syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
作れば簡単にできそうだけど。
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 02:31:59 ]: >>621
> syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
> 作れば簡単にできそうだけど。

ブルートフォースはrootユーザーから始まるようなので、syslogのAuthを
パイプで受けとって、rootのログインの試みを検出した時点から、
ポートを一定時間閉じるスクリプトを書けばいいんだけど・・・
・・・作るのがメンドイのですよ。

ポートノッキングをrpmパッケージで導入した方が簡単ですかねぇ。
623 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 02:38:30 ]: メンドイってあんた、そんな何時間もかかるものじゃあるまいし……。
こうやって質問してる間に書けちゃうだろうに。
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 02:53:55 ]: アクセスごとにポートの開け閉めをしていたら、競合状態を
作り出しちゃいそうだなぁ、設計がめんどうだなぁと。
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 02:58:24 ]: つiptablesのipt_recentモジュール
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 03:05:59 ]: 620ﾀｿが穴のあるスクリプト書いちゃうかもしれんから、
もし既に書いてるなら参考に見せたげりゃーいいのに。
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 09:34:32 ]: ふつーはもっと下のレベルでアクセス制限するなりポート変えるなりすりゃいいだけだろ
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 09:39:09 ]: swatch -> tcp_wrapper でどうよ ?
629 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 17:32:15 ]: デフォルトの22番ポートを使わないようにしてから
アタックなんて一切無いんだが。
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 19:04:09 ]: それメンドイと思ったけど、
普通は.ssh/configの定義名でアクセスするから問題ないか。
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/19(水) 19:07:25 ]: それに頼ると出先にいったときに忘れてたりする
632 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/20(木) 09:10:43 ]: >>629
おれもそれで自宅のは運用してるけど、
一般的にはアレゲな方法だと思われてるよね。
633 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/20(木) 12:21:28 ]: >>632
なんでアレゲなの?
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/20(木) 12:24:15 ]: そもそもアレゲってドレゲよ？
635 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/21(金) 06:11:40 ]: エロゲの親戚?
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/21(金) 22:26:48 ]: >>633
おれにもよくわからん。
httpd のポートを同じように 80 から変えるのは、
（会社の）proxy の許可が通らなかったりとか、
まー、色々あるから、避けられるのは理解できるんだけどネ。
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/21(金) 23:15:01 ]: アレゲって何？

スラドのコピペ
　　↓
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/21(金) 23:28:12 ]: ↑ .｜ .┌┐
│ .└‐┘└┐
└──┐　 │
　　　 └─┘
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/21(金) 23:56:19 ]: >>620
ふつうにportsentryとかdenyhostsとか
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/22(土) 03:19:19 ]: knockdでコンコン
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/22(土) 23:16:15 ]: >>620
.jp以外を問答無用で蹴る。これでぐっと減ります。
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 03:40:21 ]: hosts.denyとかより下位レイヤで蹴ったほうが負荷が少ないよ。
うちは .cn .kr .hk .tw に属するIPアドレス手に入れて、
ssh に限らずざっくり全部拒否。
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 08:01:03 ]: >>642
.tw はまずいだろ
644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 11:49:40 ]: >>643
なんで？
645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 14:41:33 ]: マザーボード資料とか見るとき?
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 14:48:49 ]: こちらから接続にいくTCPくらいはステートフルに通すだろうから
全然問題ないのでは。
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 15:18:40 ]: 台湾に出張に行ったときに困る
648 名前：名無しさん＠お腹いっぱい。 [2005/10/23(日) 15:21:43 ]: FTPのように、ユーザーが自分のホームディレクトリ以上に行けないようにすることは出来ますか？
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 15:21:57 ]: >>647
そのときは開ける、または君のところは開けるでいいじゃん？
650 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 16:15:40 ]: >>648
/bin や /usr や /usr/local も見えなくなるけどいいのかね？
651 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 16:18:28 ]: Webページのみ利用のユーザーにFTPの代わりに提供したいのです。
652 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/23(日) 16:20:37 ]: chroot(概念を理解)とかjail(chroot環境構築のツール)とかを
調べてください。
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/25(火) 11:25:27 ]: .cn .kr .hk に属するIPを教えて
654 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/25(火) 12:00:17 ]: >>653
つ ttp://www.blackholes.us/
週一くらいで更新されているからrsyncでも使って自動updateのshellでも書けばいい
655 名前：名無しさん＠お腹いっぱい。 [2005/10/26(水) 21:00:30 ]: putty に関する質問はここでよろしいでしょうか？
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/26(水) 21:31:39 ]: >>655
Putty その２
pc8.2ch.net/test/read.cgi/unix/1084686527/
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/26(水) 22:41:14 ]: >>656
過疎ぎみのようですがそっちいってきます．
658 名前：名無しさん＠お腹いっぱい mailto:sage [2005/10/26(水) 23:27:57 ]: SSHの通信内容を復号化してそのまま読みたいんですが、どうやったらできますかね？
デバッグモードとかじゃなくて、ペイロードを直接そのまま見たいんです。
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/27(木) 00:18:49 ]: 暗号鍵を手に入れて復号。
660 名前：658 [2005/10/27(木) 01:22:02 ]: >>659
そういうことではなくて、通信内容を表示してくれる
sshクライアント等が欲しいんです。
どういう風に通信が行われているかはRFC読んでも
いまいち実感がわかないので、実際に見てみようかなと。
661 名前：ヽ(´ー`)ノ ◆.ogCuANUcE mailto:sage [2005/10/27(木) 01:46:10 ]: 言ってる意味が良く分からんけど、ethereal とかか？
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/27(木) 02:52:44 ]: >>660
NULL 暗号化を実装したサーバとクライアントを用意してがんばる。
663 名前：658 mailto:sage [2005/10/27(木) 05:11:59 ]: 説明が足りませんでしたね。
実は今SSHの通信部分を実装してるんです。
実際のパケットも観察してみようと思ったんですが、当然ながらそのままでは暗号化で読めません。
で、どうにかして見られないかなと思ったわけです。

>>662
なるほど。ただちょっと面倒ですな…
664 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/27(木) 12:39:51 ]: opensslの関数をフックして通信内容をdumpするsoを作って、LD_PRELOADで読み込ませる。(socksみたいな感じで)
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/27(木) 12:40:45 ]: いま実装中ってことならおそらく ver.2 なんだろうけど、ver.1 でもいいんな
ら dsniff の sshmitm を debug mode で間に噛ませてやれば復号した通信内容
を dump してくれた筈。
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/27(木) 12:45:43 ]: >>648

scpやsftpだけで良ければこれで簡単に実装できます。
つ rssh www.sdri.co.jp/rssh/index.html.ja

shellが無いとダメ？
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/27(木) 18:41:51 ]: 接続先サーバのホストキーが変わったときに
~/.ssh/known_hosts を新しいので上書きさせる方法ってない?

サーバ構築中で再インストールしたときとかで
攻撃によるものじゃないのが明らかなときに
いちいちエディタで開いて削るのはめんどくさい。
HashKnownHosts してるとどれを削ればいいのかわからないし。
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/27(木) 22:24:55 ]: >>667
構築中のサーバ専用の known_hosts ファイルを UserKnownHostsFile で指定
すればいいんじゃない? 変わったら rm すればいい
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/28(金) 00:43:55 ]: >>668
あー、それいいね。
やってみる。
どうもー。
670 名前：名無しさん＠お腹いっぱい。 [2005/10/28(金) 00:58:57 ]: 構築中でもなんにしろ、known_hosts を勝手に上書きするのは
よろしくないと思うけど
671 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/10/28(金) 09:32:53 ]: >>620
# route add -host IPアドレス 127.1 -blackhole
672 名前：名無しさん＠お腹いっぱい。 [2005/11/04(金) 14:01:26 ]: age
673 名前：名無しさん＠お腹いっぱい。 [2005/11/05(土) 02:05:57 ]: NTT-ADSLモデムNVの内側にあるマシン A を踏み台にして、
支店βのLANに属しているマシン B (アドレスはローカル) と、
支店γのLANに属しているマシン C (アドレスはローカル) で、
ファイルのやりとりを画策してます。
B から A に ssh でログインできることと、
C から A に ssh でログインできることは確認済です。
C -> A -> B とすれば、C から B が見えると思い、次のコマンドを実行しましたが、
connection refused でした。

B$ ssh -R 10022:localhost:22 A
C$ ssh -L 10023:A:10022 A
C$ ssh -p 10023 localhost

3番目のコマンドを実行すると、
channel 2: open failed: connect failed: Connection refused
となります。
計算機 A の sshd_config では GatewayPorts yes としています。
不思議なのは、NTT-ADSLモデムの内側にあるマシン A を
物理的に違うところに運んで grobal address を持つマシンにすると、
うまくいくことです。

なぜなんでしょう？
674 名前：名無しさん＠お腹いっぱい。 [2005/11/05(土) 02:41:34 ]: 673 です。追記です。
モデムの静的IPマスカレードで、22,10000-番ポートをマシンA に振ってあります。
マシンA の sshd は OpenSSH_3.8.1p1 でっす。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef