1 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 18:50:57.67 .net] SSHに関する情報交換のスレッドです。 FAQ、リンク集は >>2-5 あたり。 ■前スレ SSH その7 toro.2ch.net/test/read.cgi/unix/1266323017/ ■過去スレ その6 pc12.2ch.net/test/read.cgi/unix/1202782840/ その5 pc11.2ch.net/test/read.cgi/unix/1145484540/ その4 pc8.2ch.net/test/read.cgi/unix/1102242908/ その3 pc5.2ch.net/unix/kako/1058/10582/1058202104.html その2 pc.2ch.net/unix/kako/1028/10281/1028157825.html その1 pc.2ch.net/unix/kako/976/976497035.html
2 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 18:51:52.35 .net] よくある質問 Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも そのパスワードは暗号化されているのですか? A.はい、その通りです。 SSHプロトコルでは、まず始めにサーバ<->クライアント間で 暗号化された通信路を確立します。 ユーザ認証はその暗号化通信路の上で行なわれるので、 パスワードなどもちゃんと秘匿されています。 Q.最近、root,test,admin,guest,userなどのユーザ名で ログインを試みる輩がいるのですが? A.sshdにアタックするツールが出回っているようです。 各サイトのポリシーに従って、適切な制限をかけましょう。 参考:www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
3 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 18:52:32.28 .net] ◇実装 本家ssh.com www.ssh.com/ / www.jp.ssh.com/ (日本語) OpenSSH www.openssh.com/ / www.openssh.com/ja/ (日本語) OpenSSH情報:www.unixuser.org/~haruyama/security/openssh/ 日本語マニュアル:www.unixuser.org/~euske/doc/openssh/jman/ OpenSSH-HOWTO:www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html TeraTerm/TTSSH hp.vector.co.jp/authors/VA002416/ www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版) sleep.mat-yan.jp/~yutaka/windows/ / ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版) PuTTY www.chiark.greenend.org.uk/~sgtatham/putty/ pc8.2ch.net/test/read.cgi/unix/1084686527/ hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ) yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ) VeraTerm www.routrek.co.jp/product/varaterm/ MacSSH/SFTP pro.wanadoo.fr/chombier/ PortForwarder www.fuji-climb.org/pf/JP/ TRAMP www.nongnu.org/tramp/tramp_ja.html
4 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 18:53:55.41 .net] ◇規格等 ・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers ・RFC4251: The Secure Shell (SSH) Protocol Architecture ・RFC4252: The Secure Shell (SSH) Authentication Protocol ・RFC4253: The Secure Shell (SSH) Transport Layer Protocol ・RFC4254: The Secure Shell (SSH) Connection Protocol ・RFC4255: Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints ・RFC4256: Generic Message Exchange Authentication for the Secure Shell Protocol (SSH) WideのSSH解説 www.soi.wide.ad.jp/class/20000009/slides/12/
5 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 22:45:40.10 .net] リンクは修正したほうがいいかもしれないね。 OpenSSH www.openssh.com/ja/ (日本語) ← 無くなってる www.jp.openbsd.org/openssh/ が日本語ページらしいが、実際は英語。 TeraTerm/TTSSH sleep.mat-yan.jp/~yutaka/windows/ ← 無くなってる / ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版) PuTTY pc8.2ch.net/test/read.cgi/unix/1084686527/ → 現行スレ Putty その3 【パティ】toro.2ch.net/test/read.cgi/unix/1302006799/ VeraTerm → Poderosaに名称変更 sourceforge.jp/projects/sfnet_poderosa/ MacSSH/SFTP pro.wanadoo.fr/chombier/ ← 無くなってる? PortForwarder www.fuji-climb.org/pf/JP/ → toh.fuji-climb.org/pf/JP/ TRAMP www.nongnu.org/tramp/tramp_ja.html ← ページがない。 → www.nongnu.org/tramp/
6 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 22:50:54.52 .net] www.macssh.com/index-2.html MacSSH はこれかな。 X より前の Mac OS 用っぽいから削除でもいいかと。
7 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 23:12:13.51 .net] SFTPクライアントやAndroid、iPad用のクライアントも入れたらどうだろう。 SFTPクライアント WinSCP winscp.net/ WinSCP 日本語情報 sourceforge.jp/projects/winscp/ FileZilla https://filezilla-project.org/ FileZilla 日本語情報 sourceforge.jp/projects/filezilla/ Android connectbot https://code.google.com/p/connectbot/ 他にもいいのがある? iPadについてはお手上げ。
8 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/26(土) 00:28:20.99 .net] 前スレラストはケイオス過ぎだわ
9 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/26(土) 02:16:57.25 .net] RLogin nanno.dip.jp/softlib/man/rlogin/ が入ってねーな。SFTPも使えたり結構高性能。 難点は名前がクッソ紛らわしいのと、フォント周りが使いにくい事。
10 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/28(月) 13:35:13.60 .net] SSH力をつけよう www.slideshare.net/tohakushi/ssh-13118950 これも入れといて。
11 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 07:33:37.48 .net] >>10 10ページにウソが書いてある。しれっとウソが書いてあると その先読む気にならないよね。でも頑張って次ページに進む と「公開鍵で制限出来る事」… ダメだこりゃ
12 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 10:37:01.11 .net] >>11 どれがウソ?
13 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 10:52:09.04 .net] 文脈からして 秘密鍵(を格納したファイルid_rsa) 公開鍵(を格納したファイルauthorized_keys) だろ。 スライドなんだから文脈からわかることは聴衆が補完くらいしろや。
14 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 11:12:49.55 .net] >>12 秘密鍵で暗号化したものを秘密鍵で復号できないわけなくね
15 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 11:43:42.19 .net] >>14 そんなこと書いてある?
16 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 11:44:30.96 .net] あぁ「でのみ」って書いてあるか。 できないであってると思うけどな。
17 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 12:26:46.52 .net] 文脈からいってssh2の公開鍵認証について説明している。 ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証 RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、 DSAは署名/検証は出来るが、暗号化/復号は出来ない 筆者はssh2の認証方式を理解していないと判断せざるを得ない 11ページ 誤 公開鍵で出来る事 正 公開鍵認証で出来る事 その先は読む気にならない
18 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 13:01:50.91 .net] >>16 は?秘密鍵から公開鍵が得られないとでも? そもそも秘密鍵で暗号化するっていうのがおかしいんだが。
19 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 13:10:53.89 .net] >>18 > は?秘密鍵から公開鍵が得られないとでも? 得られない。中学生でも理解してる。
20 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 13:38:52.41 .net] SSH-KEYGEN(1) BSD General Commands Manual SSH-KEYGEN(1) ssh-keygen -y [-f input_keyfile] -y This option will read a private OpenSSH format file and print an OpenSSH public key to stdout.
21 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 13:54:34.66 .net] 「秘密鍵ファイル」には「秘密鍵」と「公開鍵」が格納されているので「秘密鍵ファイル」から公開鍵は得ることが出来るが 秘密鍵から公開鍵を得る事は出来ない
22 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 14:11:24.46 .net] そこを峻別するんだとしたら「秘密鍵」でどうやって暗号化するの
23 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 14:24:19.40 .net] さあ? 公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だからな 書いた奴に聞けよ
24 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 14:54:01.14 .net] > 文脈からいってssh2の公開鍵認証について説明している。 そういう文脈だとわかってるやつが > ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証 > RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、 > DSAは署名/検証は出来るが、暗号化/復号は出来ない みたいなずれた話を持ち出してくる意図の方がわからん。
25 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 15:32:39.86 .net] スライドのコメントに書いてあげるほうが建設的じゃないか。
26 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 15:32:50.37 .net] >>24 > ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
27 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 18:25:10.11 .net] www.slideshare.net/tohakushi/janog335-33679095 同じ人の新しいスライドがあるけど、こっちは端折りすぎかな。
28 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 18:52:39.53 .net] >>11 が決定版の資料を作ってくれればいいのよ。
29 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 20:25:18.10 .net] >>28 svnweb.freebsd.org/base/head/crypto/openssh/
30 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 21:43:15.62 .net] >>26 >>22
31 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 22:42:46.64 .net] 秘密鍵と公開鍵ってのは鍵の使い方の話で、鍵の能力の話じゃないからねぇ… >>14 暗号化に使った鍵で平文化は出来ないよ。そうでないと公開鍵暗号が成立しない。 公開鍵暗号は暗号化鍵を公開鍵として、平文化鍵を秘密鍵とする。 電子署名では暗号化鍵を秘密鍵として、平文化鍵を公開鍵とする。 暗号化鍵から平文化鍵が計算できるアルゴリズムは電子署名にしか使えず、 平文化鍵から暗号化鍵が計算できるアルゴリズムは公開鍵暗号にしか使えず、 どちらの鍵からももう一方の鍵を計算出来ないアルゴリズムはどちらにも使える。 さらに暗号化鍵と平文化鍵を入れ替える事ができる場合は単一の鍵ペアで両方できる。 秘密鍵ファイルの中に公開鍵も一緒に保存してあるか、秘密鍵から公開鍵が算出できるなら平文化できるけど、 電子署名でどちらも満たさない場合は復元できないよ。(普通は署名書として公開鍵添付するからンな事ないが)
32 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/29(火) 23:07:45.67 .net] >>29 ルークよ、ソースを使うのじゃ?
33 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 10:50:51.32 .net] >>30 >>23
34 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 12:08:31.64 .net] >>33 「公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だから」 スライドのどこで、それが分かる? p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と それをファイル(文字列)化したものという意味の二つの使い方を同じページで 使ってるのがまずいと思う。 2行目の「秘密鍵からは公開鍵が生成できる」は「いわゆる秘密鍵ファイルには 公開鍵情報も含まれているので、公開鍵情報を取り出せる」という意味だろう。 好意的に解釈すれば。 このスライドを書いた奴は分かってないはず、という見地に立てば、秘密鍵ファイルから 公開鍵を取り出せることを、秘密鍵から公開鍵が生成できると勘違いしているともとれるが。 p11の「公開鍵で制限出来ること」というタイトルに対して「公開鍵認証で出来る事」という案を出しているけど このページの話題は openssh の sshd の実装の話(他のsshサーバーでもこうなのかどうかは知らないので 間違ってたらごめんだけど)だから、誤りというほどではないと思う。
35 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 14:29:27.08 .net] 用語の使い方に「怪しい」ところがある、ということなら 初心者には勧められない、ということになると思う ちゃんと自分で解釈を脳内補完できる人には 多少の「誤解を招きかねない」表現も問題ないだろうが 件のドキュメントはそれができない人向けなんじゃ?
36 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 14:33:19.49 .net] 厳密に書こうとすると無闇にややこしくなっちゃって 初心者にわかりづらくなることもあるよね
37 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 15:09:13.09 .net] >>34 > p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と > それをファイル(文字列)化したものという意味の二つの使い方を同じページで > 使ってるのがまずいと思う。 秘密鍵を格納したファイルから公開鍵を取り出す事を「秘密鍵からは公開鍵が 生成できる」と表現したのなら、公開の場で発表する能力が無いって事だ。
38 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 15:12:15.45 .net] 恨みでもあるの?
39 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 15:27:24.30 .net] >>35 もくじを見ると件のページは、おさらいの一部になっている。 ということは自分で脳内補完できる人向けじゃないだろうか。
40 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 16:42:53.53 .net] >>38 ウソを拡大再生産する輩を全部憎んでいる 死ねばいいのに
41 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 16:54:30.43 .net] 間違いは正しましょう。 人は許しましょう。
42 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 16:58:36.41 .net] >>40 >>25
43 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 17:33:31.79 .net] >>42 じゃ、お前が教えてやれ。俺は叩く。
44 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 17:41:08.48 .net] >>43 おれは君ほど知識ないから。
45 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 19:43:47.34 .net] コメントなりtwitterなりで指摘しないと ここで叩いても気づかないんじゃないかな? 個人的には叩くほどのことじゃない気はする
46 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 20:27:46.58 .net] アカウントないのでコメントできません。
47 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 21:26:15.15 .net] 作ればいいのよ。
48 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 22:16:54.82 .net] >>47 それがイヤだから2chにいるの
49 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/30(水) 23:25:32.54 .net] RSAの場合、2つの素数p, q(p≠q)に対し(p,q)を秘密鍵, pqを公開鍵にするのだから秘密鍵から公開鍵を生成するのは簡単だよね?
50 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/01(木) 00:08:19.46 .net] >>49 id_rsaにmodules nとpublicExponent eが含まれてるから。 RFC 3447 PKCS #1: RSA Cryptography Specifications February 2003 A.1.2 RSA private key syntax An RSA private key should be represented with the ASN.1 type RSAPrivateKey: RSAPrivateKey ::= SEQUENCE { version Version, modulus INTEGER, -- n publicExponent INTEGER, -- e privateExponent INTEGER, -- d prime1 INTEGER, -- p prime2 INTEGER, -- q exponent1 INTEGER, -- d mod (p-1) exponent2 INTEGER, -- d mod (q-1) coefficient INTEGER, -- (inverse of q) mod p otherPrimeInfos OtherPrimeInfos OPTIONAL }
51 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/01(木) 16:45:46.77 .net] いつまでこの話題引っ張るの?
52 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/01(木) 16:49:20.51 .net] >>11 があきらめるまで。
53 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/01(木) 19:52:54.74 .net] 引っ張ってるのはオレじゃない。必死でSSH力を擁護してる誰か。
54 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/01(木) 21:06:13.64 .net] それに反応してるなら同罪。
55 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/01(木) 23:32:05.54 .net] 賢者timeな者だけが石を投げなさい(冗談 sshに限らず、ツールの100%も使いこなせていないなー
56 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/01(木) 23:47:20.91 .net] OpenSSHのsshd_configでChrootDirectoryを指定することってあるよね。 そのディレクトリに、 All components of the pathname must be root-owned directories that are not writable by any other user or group. こういう制限があるけど、ナンデ?
57 名前:55 mailto:sage [2014/05/01(木) 23:54:48.41 .net] 特権分離では?
58 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 00:24:56.67 .net] >>56 rootの設定と関係なしにlnとかで好きな場所に出来てしまうからじゃ?
59 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 01:28:27.26 .net] ChrootDirectoryの親まではroot-ownedでroot以外not writableという制限は分かるような気がするんだけど、 例えば、chroot先を/home/oresama/ に指定するとき oresama がroot以外not writableになってると oresamaは自分のホームディレクトリのはずなのにディレクトリもファイルも作れない。 ちょっと厳しくないかと思う。
60 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 01:37:37.96 .net] >>58 「あのぉ、root先輩、ChrootDirectoryを /home/watashi/dakeno/himitsu/ にしてもらえませんかぁ。」って頼んで 「おっふ、やっといた」となったら rmdir /home/watashi/dakeno/himitsu ln -s /root /home/watashi/dakeno/himitsu 「計画通〜り」ってことだよね。 このためには/home/watashi/dakeno がwritableでなければ出来ないでしょ。 himitsu は writableでもかまわないんじゃないだろうか。
61 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 02:16:52.55 .net] >>60 Chrootにつっこまれる他のユーザを騙すことはできるようになるな
62 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 08:37:42.29 .net] >>59 /etc/shadowとか自由に作れるがそれでいいのか?
63 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 11:33:29.13 .net] そっか、mv して新しく作ることが可能になるのか。 いくない。それは、いくないな。
64 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 13:58:00.45 .net] >>59 あんま詳しくないけど、chroot先とホームディレクトリは別々じゃなかったけ?
65 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/05/02(金) 14:16:39.82 .net] OpenSSH No Longer Has To Depend On OpenSSL - Slashdot beta.slashdot.org/story/201419 試してみたい
66 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/06/01(日) 20:18:44.75 .net] VPN経由でSSHって使えないの?
67 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/06/01(日) 23:32:48.58 .net] >>66 何か使えない理由ある?
68 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/06/02(月) 02:05:58.72 .net] 宗教上の理由とか。
69 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/06/02(月) 08:26:24.30 .net] 中国とかは法律的な理由もあるかも 暗号化通信は当局が解読可能な状態にしないと駄目なんだっけ? VPN張る事自体問題視されるとか聞いたことあるけど
70 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/06/02(月) 09:52:55.95 .net] それ>>66 とは別の話だよね。
71 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/14(日) 17:08:34.71 .net] 今SSHについて勉強してます。 どなたかRSA1、RSA、DSAの違いにつ いて教えて頂けませんか? メリット、デメリットがわからず、どれを使って良いのかわかりません。 自分で調べろやは無しでお願いします。
72 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/14(日) 17:09:54.63 .net] 挿入ネタはいいです
73 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/14(日) 17:17:26.72 .net] 挿入ねたって?
74 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/14(日) 19:08:03.88 .net] >>71 shでも学んでろ。 532 名無しさん@お腹いっぱい。 sage 2014/09/14(日) 17:11:01.54 今シェルについて勉強してます。 どなたかash、bsh、cshの違いにつ いて教えて頂けませんか? メリット、デメリットがわからず、どれを使って良いのかわかりません。 自分で調べろやは無しでお願いします。
75 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/14(日) 19:22:24.51 .net] >>74 なに(笑 このコピペみたいなカキコは!(笑) お、俺じゃないんだからね
76 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/17(水) 05:52:02.33 .net] みたいなじゃなくて改変コピペそのもの こんなつまらんことを時々思い出したかのように繰り返してる狂人だからスルー推奨
77 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/17(水) 06:35:04.81 .net] 改変コピペ上等。全力で釣られるのが真の漢
78 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/09/17(水) 10:46:58.43 .net] 基地外本人乙
79 名前:名無しさん@お腹いっぱい。 mailto:age [2014/10/10(金) 08:24:44.85 .net] # netstat -n | grep 22 したら、知らないホストでESTABLISHED接続になってて # cat /var/log/secure| grep 知らないホスト(ロボット?) から複数のアタックがあったのだけど、session openってログ無かったんですが、 ssh のセッションがESTABLISHEDになることってあるのでしょうか?
80 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/10(金) 08:59:26.03 .net] catが無駄です
81 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/10(金) 11:44:06.96 .net] >>79 あります
82 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/10(金) 11:54:05.56 .net] >>79 tcpのセッションとsshのセッションを分けて考えないと。
83 名前:名無しさん@お腹いっぱい。 mailto:79 [2014/10/10(金) 13:28:43.78 .net] >>81 , >>82 ありがとうございます。 /var/log/secureでsession openになってないので気にしなくていいのですね。 ポートNo変えようかなーと思ってます。
84 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 09:48:05.32 .net] >83 なんなら log をverbose にして暫く見張る。ま、port 番号変えるほうが対策になるけど。
85 名前:名無しさん@お腹いっぱい。 mailto:age [2014/10/11(土) 16:18:08.65 .net] 秘密鍵使ってて、sshポートのハッキングなんてあるえるのでしょうか。
86 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 17:07:57.77 .net] >>85 マスコミじゃないんだからクラッキングとか攻撃とか呼ぼうぜ。 回答:sshd自体に脆弱性があれば普通に吹っ飛ばされるよ。 jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002571.html jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002570.html jvndb.jvn.jp/ja/contents/2006/JVNDB-2006-000763.html jvndb.jvn.jp/ja/contents/2003/JVNDB-2003-000274.html
87 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 18:17:34.19 .net] >>85 パスワード認証許可してないかノックしてるんだろ。
88 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 19:05:26.71 .net] >>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。
89 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 21:33:37.26 .net] 「公開鍵を送ってくれ」と言ったら 秘密鍵も送ってくるユーザーの多いこと多いこと。
90 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/13(月) 00:01:52.96 .net] そういうのは9割が中国からだから、 freetibet.org/about/human-rights-tibet の中身を返すようにしてる
91 名前:名無しさん@お腹いっぱい。 [2014/10/13(月) 16:13:39.16 .net] >>90 coolですな。
92 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 04:44:30.79 .net] TCPラッパーが使えなくなると地味に困るなあ・・・ なんでサポート切っちゃうんでしょうか
93 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 17:23:56.12 .net] もしかしたら ifconfig みたいにメンテナがいないからじゃない? ftp 覗いてみたら tcp_wrappers_7.6.tar.gz のタイムスタンプは Apr 8 1997 だった
94 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 17:28:46.50 .net] sshd -iでinetdから上げるようにしてinetdのtcpwrapperを使うかね
95 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 17:54:06.39 .net] inetdサポートもそのうち削られそうだ
96 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:42:41.99 .net] sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ とりあえずはpf.confでやるけど
97 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:43:18.68 .net] リロードめんどいな
98 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:47:07.53 .net] PAMでやれ、ってことかな。 pam_accessとかpam_login_accessとか。
99 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:59:17.14 .net] 参考 marc.info/?t=139815213700004 marc.info/?t=139827570900003
100 名前:名無しさん@お腹いっぱい。 [2014/10/18(土) 10:07:44.17 .net] 誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの? manとか見るとクライアントのIPから逆引きでホスト名を確認して IPアドレスとホスト名のマッピングが出来なかったら接続を許可しないって動きの ようにみえるんだけど… この辺の詳しい動きがよくわからん