SSH その8

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 2ch.scのread.cgiへ]
Update time : 02/26 04:59 / Filesize : 178 KB / Number-of Response : 705
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その8

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2014/04/25(金) 18:50:57.67 .net]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

■前スレ
SSH その7
toro.2ch.net/test/read.cgi/unix/1266323017/

■過去スレ
その6 pc12.2ch.net/test/read.cgi/unix/1202782840/
その5 pc11.2ch.net/test/read.cgi/unix/1145484540/
その4 pc8.2ch.net/test/read.cgi/unix/1102242908/
その3 pc5.2ch.net/unix/kako/1058/10582/1058202104.html
その2 pc.2ch.net/unix/kako/1028/10281/1028157825.html
その1 pc.2ch.net/unix/kako/976/976497035.html
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/29(木) 23:55:07.98 .net]: 俺はiterm2
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/01(土) 12:44:56.18 .net]: 31-168-172-143.telavivwifi.com とか
static-82-85-187-101.clienti.tiscali.it とか
bl20-203-6.dsl.telepac.pt とか
最近逆引きできる IP アドレスから突撃してくる奴が多いなぁ
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/01(土) 19:59:49.47 .net]: ただのbotnetやろ…
375 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/09(日) 10:56:58.62 .net]: dropbearのサーバーはOpenSSHにくらべて少し軽い気がする。
非力なマシンで使うと。
暗号負荷はそんな変わんないはずだから余計な前処理してないのかね
376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/15(土) 13:37:35.83 .net]: Rlogin、上の方で言われていたフォント設定が面倒な点も改善されてて
単一軽量exeファイルで動作するとてもよいクライアントだと思う

ただ普通にシェル叩いてるぶんにはいいんだけど
midnight comander使うと枠線がうまく表示されない
設定いじればいいのかなぁ
377 名前：名無しさん＠お腹いっぱい。 [2016/11/03(木) 19:01:26.82 .net]: トリビア：OpenSSH 7.3p1 は OpenSSL 1.1.0b と組み合わせられない。1.0.x系のみ

誰かやってるはずだと思いながら自分で1.1.0対応パッチ書いて、
あとでやっぱ似たようなものがあると知ったorz
のだが、完成度では自分の書いたものが一番のようだ
378 名前：名無しさん＠お腹いっぱい。 [2016/11/03(木) 19:03:42.42 .net]: 大本のOpenBSDでは OpenSSL 1.0.3からforkした LibreSSL を使っているので
影響は受けないというか見捨てられている。
今後どうするのかは各所様子見みたいね。
379 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/18(金) 08:47:06.12 .net]: 1.0.1gからのフォークだね。

OpenSSHのMLでOpenSSL1.1.0サポートどうするよってなってるけど、結論出てないね。
抽象レイヤー独自で作るかなんてnode.jsも言ってたようなこと言ってたり。
marc.info/?t=147422463900001&r=1&w=2
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/02(金) 08:51:47.45 .net]: どうするんだろね(´・ω・`)
381 名前：名無しさん＠お腹いっぱい。 [2016/12/20(火) 12:32:01.69 .net]: 7.4
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/21(水) 19:11:10.97 .net]: INSTALL

OpenSSL 1.1.x is not currently supported.

C89でもなんとかコンパイルできるのがまだ救いだ俺的には
383 名前：名無しさん＠お腹いっぱい。 [2016/12/24(土) 10:28:34.71 .net]: OpenSSH 7.4p1 の OpenSSL 1.1.0c 対応パッチ作成完了。
テストも通る。

test_utf8だけ通らないが漏れんとこのwcwidth()が腐ってるせいなので
どうにもならん。放置。問題ないだろたぶん
384 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/10(金) 19:05:33.71 .net]: macOSのsshの話もここでいい？
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/10(金) 19:06:34.62 .net]: OSXは中身Unixやで、というわけでおk
386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/10(金) 20:01:42.99 .net]: Mac板でやった方がいいんじゃね
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/10(金) 22:37:24.95 .net]: Sierraのcronで他の計算機のデータをssh越しに自動でバックアップしようとして、rsyncのシェルスクリプト作ってログイン中にterminalとcronで動くことを確認した。
ところが、ユーザーがloginしていないと、なぜかkeychainに保存されてるpassphraseがcronの環境に読み込まれないので、errorになるっていう問題だけどMac板いくわ
388 名前：名無しさん＠お腹いっぱい。 [2017/03/11(土) 02:42:43.57 .net]: >>387
そりゃログインしてなかったらkeychainは使えないだろう
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/11(土) 07:26:53.80 .net]: そう言われてみるとそうですね。
ありがとうございます。
390 名前：名無しさん＠お腹いっぱい。 [2017/03/23(木) 23:07:16.33 .net]: 7.5でOpenSSL 1.0.1ではconfigure通らなくなった
391 名前：ich1 [2017/04/01(土) 08:06:01.73 .net]: https://goo.gl/QoUujp
これは嫌だなー。。本当なの？
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/04(火) 10:09:54.33 .net]: goo.gl アドレスは無条件に非表示あぼ～んすると良いです
（99.99%がスパムなので）
393 名前：名無しさん＠お腹いっぱい。 mailto:age [2017/04/04(火) 19:51:35.81 .net]: 一方俺は OpenSSL-1.1.0 対応パッチを書いて勝利
今make test中 (超時間かかる)
394 名前：名無しさん＠お腹いっぱい。 mailto:a [2017/04/05(水) 10:06:26.88 .net]: OpenSSH 7.5 のハイライトらしきもの：
・ssh-1 を本格的に捨てにかかっている。一部のコマンドは -1 を受け付けない。
・UsePrivilegeSeparationがデフォルトONになり、設定はdeprecatedになった
・鍵認証でログインするとSHAハッシュが記録されるようになった。
　あとから追っかけるときに便利そう。(前からだっけ？)
Apr 5 09:28:12 saba sshd[27182]: Accepted publickey for ore from ::1 port 49525 ssh2: RSA SHA256:UfcrUWnSiFur5ra28VQoo7HgUShQueQ5LTnoJneZ48A

頑張ってOpenSSL-1.1に移植しても、
常用してるのはdropbearだからあんま意味ないじゃんと今更思った
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/05(水) 12:44:28.64 .net]: >>394
Dropbearといえばmosh 1.3.0で--no-ssh-pty optionがはいってDropbearでも使えるようになったよ
オプションつけるのめんどいけど
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/06(土) 12:01:52.59 .net]: ssh-1くたばった
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 02:00:27.48 .net]: ド素人スマソ。 OpenSSH Windows版ぶっ込んだサーバーpcにスマホのクライアントアプリからwolさせるSSHコマンドてある？
ググったらether-wakeてのが出たけどこれなの？
教えてエロい人
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 06:51:49.86 .net]: スマホ用のWake On LANアプリでよくね？
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 10:09:22.52 .net]: >>398 レスサンクス。スマホのwolアプリてパケットが暗号化されてるかよくわからないのでSSHでやれたら良いなぁと思った訳です。
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 18:10:39.13 .net]: >>399
何を何のために暗号化したいの
WOLはネットワークインタフェースカードの限られた部分で処理するから暗号化なんてしてたら処理できないんじゃ
401 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 18:18:57.58 .net]: MACアドレスとか入ってるからじゃない？
WiFiが暗号化されてれば問題ないはずだけどね
402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 19:03:49.37 .net]: >>400 >>401 レス感謝！ガチなド素人なもんでホントスマン。その暗号化が必要かどうかもわかってないもんで。
もともとは使ってる某NECルーターにある「ホームipロケーション」という簡易ddns機能的な奴を使って外部からwolをしようとしたら送信画面が暗号化されてない事に気付いて、これをなんとかしようと思った訳です。
よっぽどヤマハのルーターでも買ってやろかと思ったけどSSHサーバーぶっ込むの面白そうだなとチャレンジ中。
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 21:27:07.67 .net]: >>402
外部とルータ間の通信の暗号化は必要かもしれない
誰かが認証を盗聴したら同じことができてしまうからね

もしsshで接続できたとしたら、そのPCは起動しているだろうからWOLは不要

wake on lanはその名の通りLANで使うもの
同一ネットワーク内の全ての端末に簡単な通信パケットを送って各自がそれを見て自分宛だったら起動する
基本的には他のネットワークからは起動できない
だからルータにその機能がよくついている

外部端末とルータ間の通信の暗号化をお勧めする
またはVPNとか
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:03:21.63 .net]: >>403 エスパー発見！ありがとうございます。聞きたい事が全て先回りで答えが出てる感じ。やっぱVPNか。最初はpcをvpnサーバにしようかと思ってたところノーパソサーバ化&常時起動は火災の元みたいなスレ見てwolの適時起動にしようかと思ったの。
お騒がせしました。壮大なスレチでスマソ。
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:06:55.05 .net]: >>404
VPN鯖にしたいだけならラズパイみたいなボードPCをおすすめしておく
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:17:36.68 .net]: >>405 ラズパイ考えてた！スペックの低い端末を鯖にした時の通信速度が心配で候補から外してた。（あと敷居が高そうで）
メガサンキュー！方向性が見えてきた。
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:52:24.60 .net]: >>406
余程古い環境以外は通信速度のほうがボトルネックになるからそこまで気にしなくてもいいと思うけどなー、まあ敷居が高いのは言えてるが
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 06:11:14.50 .net]: ルータにVPNないなら
常時稼働ラズパイにsshで繋いでwolでも簡単だね
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 09:09:21.09 .net]: ここの人はスマホのSSHクライアント使ってる？
便利だけどすごく不安だわ
悪意のあるクライアントだと秘密鍵・パス・ホスト名を送信してるかもって思う
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 13:08:41.32 .net]: >>409
Connectbotとターミナルのdropbear使ってる、ソースあるし
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 22:43:39.42 .net]: なるほどオープンソースのクライアントを使えばいいのか
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/14(日) 07:27:18.76 .net]: 自分でビルドせずにストアから入れる場合は
そのソースから変更されないでビルドされてること確認しないとな

信頼できるディストリビューターって楽だな感謝
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/15(月) 09:51:54.30 .net]: どういたしまして
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/21(日) 03:07:43.78 .net]: いいってことよ
415 名前：名無しさん＠お腹いっぱい。 [2017/06/27(火) 18:28:55.10 .net]: 一度ログインできたホストに対して、コネクション落ちた後とか
何らかのきっかけで再ログインしようとした時に
「ssh_exchange_identification: Connection closed by remote host」
になる場合ってどういう原因でなりやすいの？

現状だと仮想マシンで運用しているからバックアップの仮想マシン
のスナショを新たに複製してそっちにはログインできる。
ログインできなくなったVMは使い捨ててるけど流石にめんどくさすぎる。
どうすれば効率よく再ログインできるようになる？
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/04(火) 13:04:11.97 .net]: 見たことなかったのでぐぐってみた。
sshd_configのMaxStartupsを増やすと解決することもあるらしい。
417 名前：名無しさん＠お腹いっぱい。 [2017/07/09(日) 17:24:51.18 .net]: tor ってsshポートフォワードで不特定多数のサーバプロキシしてんの？
レイヤがよくわからん
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/09(日) 23:38:21.08 .net]: >>417
sshスレにいるってことは公開鍵暗号を理解してる前提で説明すると
複数のtorノードをピックアップして各ノードの公開鍵で次のような入れ子の暗号データを作る
ノード1の公開鍵(ノード2の公開鍵(ノード3の公開鍵(オペレーション)))
ノード1が上のデータを受け取ると自分の秘密鍵で復号化してノード2に送る
ノード3まで来ると復号化した時にオペレーションが見えるので実行する
各ノードは最終ノード以外あといくつのレイヤがあるか分からない
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/10(月) 01:56:21.15 .net]: >>418
うっわぁ・・・手が込んでるなこれ
接続結構遅くなるんじゃない？
鍵交換の猶予時間厳しくすればTorだけ弾けたりするのかな。
だめだ、最後のノードしか関係ないんだよな。
手動でしか鍵作ったことないけどssh-keygenとかそういう諸々は
自動化されてるのか？
転送先ってランダムなんでそ？
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/10(月) 06:57:41.00 .net]: Torのスレでやった方がいいんじゃね
421 名前：名無しさん＠お腹いっぱい。 mailto:a [2017/07/15(土) 11:25:48.21 .net]: いまさら気づいたが
ESXi 6.0 入れたら
同梱の ssh が　dropbear じゃなくて OpenSSH のものになっていた。
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 14:16:08.91 .net]: CentOS7の、OpenSSH6.6を使ってます

マシンにはLANインタフェースが3つあり、1つはインターネットへ、2つは内部用です

ここで、インターネット用のインタフェースだけ、SSHのポートを例えば2222に変更、それ以外は標準の22で利用したいと思ってます

sshd_configに、port 2222、ListenAddressにIPアドレス:22と書けば良いという情報を見つけたのですが
このListenAddressをカンマ区切りやスペース区切りなど色々と試しましたが複数の指定はできないらしく、
また0.0.0.0:22を指定するとインターネット用インタフェースでも22番をリッスンしてしまいます

結局、sshd_configは諦めて、iptablesによるフィルタリングとポートフォワードを併用して実装はしているのですが、
sshとiptablesの両方が設定に絡んでいて、分かりづらくなっているのを改めたいです

sshd_configで上記のような設定をすることは可能ですか?
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 15:46:01.85 .net]: ListenAddressは複数行かけるだろ
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 15:47:02.20 .net]: Linuxの話はLinux板で聞いてください
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 22:46:28.19 .net]: >>423
複数行で
ListenAddress インターネット:2222
ListenAddress 内部1:22
ListenAddress 内部2:22
と書いたところ、うまくいきました

ありがとうございました
426 名前：名無しさん＠お腹いっぱい。 mailto:age [2017/10/04(水) 21:46:58.61 .net]: OpenSSH 7.6
・ssh-1プロトコル完全に捨て
・arcfour,blowfish,CAST捨て
・1024ビット未満のRSA鍵は受け付けない
・CBC cipherはデフォルトで提供しない

古いssh鯖だと1024ビット未満制限とかCBCに引っかかるところあるんじゃないかな？
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/04(水) 22:18:08.06 .net]: RSA鍵長のデフォルトが1024ビットのときなんてあったっけ？
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/04(水) 22:19:06.74 .net]: 間違い
1024未満のとき
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/04(水) 23:20:01.18 .net]: CBC捨てるのはナゼ？
昔、実装の問題があったのは覚えてるけど、仕様自体に問題があるの？
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/18(水) 17:08:22.12 .net]: CBC自体にはPadding Oracleを防ぐ・検出する仕組みがない
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 09:57:53.95 .net]: >>424
UnixもLinuxの親戚なんだからいいだろ
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 10:43:50.94 .net]: ダメです
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 10:49:45.97 .net]: LinuxはUNIXではないんだが
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 11:50:48.99 .net]: >>430
それはそうだけど、sshとしてcbc使った場合、
実装に問題がなければpadding oracle攻撃は不可能じゃない？
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 12:15:05.05 .net]: >>433
それ言いだすとFreeBSDとかも除外されてしまう
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/16(土) 19:15:52.16 .net]: Using the OpenSSH Beta in Windows 10 Fall Creators Update and Windows Server 1709
https://blogs.msdn.microsoft.com/powershell/2017/12/15/using-the-openssh-beta-in-windows-10-fall-creators-update-and-windows-server-1709/
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/22(金) 18:51:19.12 .net]: Agent Forwardingは
A->B->Cって繋げていくとき
AからBの鍵とBからCの鍵が同じじゃないと出来ないと思うんですけど
あってますか？
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/22(金) 20:17:45.61 .net]: >>437
必要な鍵は「AからBの鍵」と、「AからCの鍵」
それらは別の鍵でいい

「BからCの鍵」は不要だよ

それらをすべて同じ鍵にすると、BにはAの秘密鍵も公開鍵も配置する必要があり
真に重要な鍵(Aの秘密鍵)を他人(B)に預けずに済むというAgent Forwardingのメリットが
なくなってしまっているのでは
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/23(土) 04:08:25.92 .net]: ありがとうございます。
まとめるとB→Cの鍵がいらないかわりにA→Cの鍵とA→B使う
ことですね。
440 名前：名無しさん＠お腹いっぱい。 [2017/12/29(金) 07:03:23.63 .net]: 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

KMBRYP28K7
441 名前：名無しさん＠お腹いっぱい。 [2018/02/05(月) 09:29:37.72 .net]: sshで接続されたとき、クライアント側のオプションによって
クライアントが、サーバに接続したときにポートフォワードの設定ができますよね

これをサーバ側からできませんか？
サーバが、クライアントから接続されたときにポートフォワードの設定をしたい
442 名前：名無しさん＠お腹いっぱい。 [2018/02/06(火) 08:26:48.25 .net]: >>441
「サーバ側」の意味がよく分からないが、サーバ側でリスンしてクライアント側に繋ぐなら-Rでよいかと。
それとも繋いで来たクライアントにポートフォワードを強制させるサーバ側の設定があるかということ?
多分それは無理だと思う。
443 名前：名無しさん＠お腹いっぱい。 mailto:sega [2018/02/08(木) 10:30:59.87 .net]: >>442
後者です

無理か・・・まあ無理だよね。
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/02/14(水) 09:20:46.82 .net]: ☆ 私たち日本人の、を改正しましょう。現在、
衆議員と参議院の両院で、改憲議員が３分の２を超えております。
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/09(月) 22:08:02.38 .net]: OpenSSH 7.7出たけど今回はあんま変わってないね。
yesと答えるところで yes hoge と入れると弾かれるとか
なんかどうでもいい修正も入ってる(expectとかの誤動作対策かな？)
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/24(火) 21:58:54.21 .net]: sssssss
447 名前：名無しさん＠お腹いっぱい。 [2018/04/25(水) 10:36:59.11 .net]: てすと
448 名前：名無しさん＠お腹いっぱい。 [2018/04/25(水) 10:39:23.44 .net]: sshでログイン時に表示されるhow toのような物を表示させたくないので
その設定方法を教えて下さい
sshd_configで
PrintMotd no
Banner none
上記の設定でOSの起動時のメッセージは表示されなくなったけど
何種類かのhow toのような物がランダムな順序で表示される
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/25(水) 10:40:35.07 .net]: 追加です
●サーバー側
OS: FreeBSD 11.1
ssh: OpenSSH_7.2p2
●端末側
OS: Win7
sshクライアント: PuTTY
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/25(水) 14:15:46.83 .net]: >>448
fortune のことかな。.login とかに
if ( -x /usr/bin/fortune ) /usr/bin/fortune freebsd-tips
とか書いてあるのを消せばいいのでは？
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/25(水) 17:46:10.72 .net]: >>450
ありがとうございます

ssh用のログインユーザーの
~/.login
~/.profile
の2つのファイルに書かれていたので、コメントアウトしました
これで、すっきりしました
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/28(土) 16:05:46.52 .net]: ~/.hushloginをtouch
453 名前：名無しさん＠お腹いっぱい。 [2018/05/22(火) 02:42:32.57 .net]: 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

K9FUK
454 名前：名無しさん＠お腹いっぱい。 mailto:age [2018/08/26(日) 17:44:28.60 .net]: openssl-1.1.1-pre9 が出たのでライブラリだけ再コンパイルしたんだが
sshd って再コンパイルしてやらないと動いてくれないのな。
めんどくさい。
# `pwd`/sshd
OpenSSL version mismatch. Built against 10101008, you have 10101009
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/10/13(土) 19:35:30.76 .net]: https://imgur.com/FAF05na.jpg
456 名前：名無しさん＠お腹いっぱい。 mailto:age [2018/10/28(日) 17:16:17.45 .net]: OpenSSH-7.9p1 って OpenSSL-1.1.x サポートするようになったのね。
パッチ当てなくてもconfigureも通るしコンパイルできる。

EVP_CipherInit_ex のパッチは必要でなくなったのかな？
457 名前：名無しさん＠お腹いっぱい。 [2018/11/11(日) 19:15:52.32 .net]: r2.upup.be/wV2qsULdHm
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/02/08(金) 20:47:38.70 .net]: ポートフォワード経由でWindowsファイル共有ってできるかな？
RDPはできてるんだが。
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 18:11:32.25 .net]: Solaris 11.4 の sshd (OpenSSH_7.5p1, OpenSSL 1.0.2o 27 Mar 2018) の設定なのですが

sshd_config に、

# Site local settings
Match Address *,!192.168.1.0/24
MaxAuthTries 0

のようにして指定のIPアドレス以外からの接続を拒否しています。
これに、あるドメイン（例： *hogehoge.com）からのアクセスも受け付けるようにしたいのですが
Match host *,!*.hogehoge.com
MaxAuthTries 0
のように記述を加えたらどこからもアクセスできなくなってしまいました。

Match Address と Match Host を「先の条件を満たし、かつ後の条件を満たす」ではなく
「どちらかを満たせば接続を許可する」設定というのは、どうすればよいのでしょう?

Match address *,!192.168.0.0/24 and Mtach host *,!hogehoge.com
MaxAuthTries 0

なんて論理式書ければいいんですがそういうのは無いですよね?
ちなみに件の sshd には、tcp_wrappers はリンクされていません。
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 19:02:41.08 .net]: 自己解決できてしまいました。
まずどうやってもうまくいかなかった理由
　　UseDNS no
デフォルトでは DNS 逆引きをしてくれませんでした。マッチする筈がない。

次に * で拒絶して、! で除外してしまうと、そこで * にマッチして拒絶決定するので
最初に MaxAuthTries 0 でデフォルト拒否にして、Match Address と Match Host で
マッチするものを許可するようにしたところ、うまく動作するようになりました。

# Site local settings
UseDNS yes
MaxAuthTries 0
Match Address 192.168.1.0/24
MaxAuthTries 6
Match Host *.hogehoge.com
MaxAuthTries 6
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 19:37:31.06 .net]: ところで、IPアドレスで接続制限をするために MaxAuthTries を 0 にするっていうのは
Oracle Solaris のドキュメントを見て設定したんだけど

これだと Teraterm Pro のパスワード入力画面は出てしまうし、
（試行回数 0 なので正しいパスワードを入れても拒否される）
tcp_wrappers みたいに「接続してきた時点で認証前に接続を切断」
またはそれに近い、もっとスマートな方法はないですかね?
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 20:57:30.98 .net]: AuthenticationMethods none どないだ？
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/30(土) 23:35:44.69 .net]: >>462
やってみるっす！
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/31(日) 14:04:06.34 .net]: >>462
デフォルトを none、Match に match した場合に any になるようにしてみましたが、

none が適用される状況でも MaxAuthTries で指定した回数を超えるまでパスワード入力
できてしまいますね。もっとも、正しいパスワードを入力しても
　　Permission denied, please try again.
が繰り返し表示されてログインできないのですが。

単純に disconnect ってディレクティブが使えればねー
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/04/01(月) 00:02:41.38 .net]: sshのconfigは腐りすぎててどうしようもないと思うんだ

AuthenticationMethodsは認証通過可能なものを設定するだけで、個々の認証に挑戦するかどうかは
PubkeyAuthenticationやPasswordAuthenticationなどの*Authenticationで決まる
つまり全ての*Authenticationをnoにすることで認証に挑戦しなくなる

ただしデフォルトをnoにすると機能しなくなる認証タイプもあるという腐れっぷりなので注意が必要かも
そういう場合、デフォルトをyesにしておいて、最後の最後でMatch *でnoするとかの小細工がいる
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/04/02(火) 22:23:11.87 .net]: >> sshのconfigは腐りすぎててどうしようもないと思うんだ

にもかかわらず、
Oracle Solaris にしろ debian にしろ、素の OpenSSH 実装に変えてきてるしねぇ
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/05(日) 23:44:43.59 .net]: ウェルノウンでないポートをssh用に開いていて時々海外からアクセスがあるんだけど
今日の未明に日本のNTTアドバンステクノロジから来ていた
調査か何かしているのかな？連休の未明だから間違えて接続とかではなさそうだし
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/07(火) 13:51:49.14 .net]: https://notice.go.jp/
これの関係かな
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/08(水) 00:48:09.00 .net]: NICTのアドレスからじゃないのか
NTT-ATに発注したのかな
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/10(金) 20:11:25.43 .net]: IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて（2月14日更新）
https://www.nict.go.jp/info/topics/2019/02/13-2.html
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/11(土) 14:13:04.81 .net]: >>470
入っていないな……
NTTアドバンステクノロジの独自調査なのか、踏み台と化しているIPがあるのか
472 名前：名無しさん＠お腹いっぱい。 [2019/06/06(木) 01:11:49.25 .net]: Teraterm って複数相手のサーバーにSSHで接続する場合にも、
秘密鍵を1つしか使わないだろうと勝手に仮定して作られているようで、
そのため、実際にはつなぐ相手によって秘密鍵が違う場合には、
つなぐ相手のサーバー毎に、秘密鍵を指定しなおさなければならず、
とても不便だ。

接続先のサーバーと秘密鍵の組み合わせを登録できなきゃ不便だ。

Unixの上のSSHだったら、 .ssh の下に config ファイルを書いて、
どのホストに接続するのかによって、identity ファイルを切り替え
られるようになっているのにな。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef