SSH その8

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 2ch.scのread.cgiへ]
Update time : 02/26 04:59 / Filesize : 178 KB / Number-of Response : 705
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その8

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2014/04/25(金) 18:50:57.67 .net]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

■前スレ
SSH その7
toro.2ch.net/test/read.cgi/unix/1266323017/

■過去スレ
その6 pc12.2ch.net/test/read.cgi/unix/1202782840/
その5 pc11.2ch.net/test/read.cgi/unix/1145484540/
その4 pc8.2ch.net/test/read.cgi/unix/1102242908/
その3 pc5.2ch.net/unix/kako/1058/10582/1058202104.html
その2 pc.2ch.net/unix/kako/1028/10281/1028157825.html
その1 pc.2ch.net/unix/kako/976/976497035.html
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:03:21.63 .net]: >>403 エスパー発見！ありがとうございます。聞きたい事が全て先回りで答えが出てる感じ。やっぱVPNか。最初はpcをvpnサーバにしようかと思ってたところノーパソサーバ化&常時起動は火災の元みたいなスレ見てwolの適時起動にしようかと思ったの。
お騒がせしました。壮大なスレチでスマソ。
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:06:55.05 .net]: >>404
VPN鯖にしたいだけならラズパイみたいなボードPCをおすすめしておく
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:17:36.68 .net]: >>405 ラズパイ考えてた！スペックの低い端末を鯖にした時の通信速度が心配で候補から外してた。（あと敷居が高そうで）
メガサンキュー！方向性が見えてきた。
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/12(金) 22:52:24.60 .net]: >>406
余程古い環境以外は通信速度のほうがボトルネックになるからそこまで気にしなくてもいいと思うけどなー、まあ敷居が高いのは言えてるが
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 06:11:14.50 .net]: ルータにVPNないなら
常時稼働ラズパイにsshで繋いでwolでも簡単だね
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 09:09:21.09 .net]: ここの人はスマホのSSHクライアント使ってる？
便利だけどすごく不安だわ
悪意のあるクライアントだと秘密鍵・パス・ホスト名を送信してるかもって思う
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 13:08:41.32 .net]: >>409
Connectbotとターミナルのdropbear使ってる、ソースあるし
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/13(土) 22:43:39.42 .net]: なるほどオープンソースのクライアントを使えばいいのか
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/14(日) 07:27:18.76 .net]: 自分でビルドせずにストアから入れる場合は
そのソースから変更されないでビルドされてること確認しないとな

信頼できるディストリビューターって楽だな感謝
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/15(月) 09:51:54.30 .net]: どういたしまして
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/21(日) 03:07:43.78 .net]: いいってことよ
415 名前：名無しさん＠お腹いっぱい。 [2017/06/27(火) 18:28:55.10 .net]: 一度ログインできたホストに対して、コネクション落ちた後とか
何らかのきっかけで再ログインしようとした時に
「ssh_exchange_identification: Connection closed by remote host」
になる場合ってどういう原因でなりやすいの？

現状だと仮想マシンで運用しているからバックアップの仮想マシン
のスナショを新たに複製してそっちにはログインできる。
ログインできなくなったVMは使い捨ててるけど流石にめんどくさすぎる。
どうすれば効率よく再ログインできるようになる？
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/04(火) 13:04:11.97 .net]: 見たことなかったのでぐぐってみた。
sshd_configのMaxStartupsを増やすと解決することもあるらしい。
417 名前：名無しさん＠お腹いっぱい。 [2017/07/09(日) 17:24:51.18 .net]: tor ってsshポートフォワードで不特定多数のサーバプロキシしてんの？
レイヤがよくわからん
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/09(日) 23:38:21.08 .net]: >>417
sshスレにいるってことは公開鍵暗号を理解してる前提で説明すると
複数のtorノードをピックアップして各ノードの公開鍵で次のような入れ子の暗号データを作る
ノード1の公開鍵(ノード2の公開鍵(ノード3の公開鍵(オペレーション)))
ノード1が上のデータを受け取ると自分の秘密鍵で復号化してノード2に送る
ノード3まで来ると復号化した時にオペレーションが見えるので実行する
各ノードは最終ノード以外あといくつのレイヤがあるか分からない
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/10(月) 01:56:21.15 .net]: >>418
うっわぁ・・・手が込んでるなこれ
接続結構遅くなるんじゃない？
鍵交換の猶予時間厳しくすればTorだけ弾けたりするのかな。
だめだ、最後のノードしか関係ないんだよな。
手動でしか鍵作ったことないけどssh-keygenとかそういう諸々は
自動化されてるのか？
転送先ってランダムなんでそ？
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/10(月) 06:57:41.00 .net]: Torのスレでやった方がいいんじゃね
421 名前：名無しさん＠お腹いっぱい。 mailto:a [2017/07/15(土) 11:25:48.21 .net]: いまさら気づいたが
ESXi 6.0 入れたら
同梱の ssh が　dropbear じゃなくて OpenSSH のものになっていた。
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 14:16:08.91 .net]: CentOS7の、OpenSSH6.6を使ってます

マシンにはLANインタフェースが3つあり、1つはインターネットへ、2つは内部用です

ここで、インターネット用のインタフェースだけ、SSHのポートを例えば2222に変更、それ以外は標準の22で利用したいと思ってます

sshd_configに、port 2222、ListenAddressにIPアドレス:22と書けば良いという情報を見つけたのですが
このListenAddressをカンマ区切りやスペース区切りなど色々と試しましたが複数の指定はできないらしく、
また0.0.0.0:22を指定するとインターネット用インタフェースでも22番をリッスンしてしまいます

結局、sshd_configは諦めて、iptablesによるフィルタリングとポートフォワードを併用して実装はしているのですが、
sshとiptablesの両方が設定に絡んでいて、分かりづらくなっているのを改めたいです

sshd_configで上記のような設定をすることは可能ですか?
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 15:46:01.85 .net]: ListenAddressは複数行かけるだろ
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 15:47:02.20 .net]: Linuxの話はLinux板で聞いてください
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/15(火) 22:46:28.19 .net]: >>423
複数行で
ListenAddress インターネット:2222
ListenAddress 内部1:22
ListenAddress 内部2:22
と書いたところ、うまくいきました

ありがとうございました
426 名前：名無しさん＠お腹いっぱい。 mailto:age [2017/10/04(水) 21:46:58.61 .net]: OpenSSH 7.6
・ssh-1プロトコル完全に捨て
・arcfour,blowfish,CAST捨て
・1024ビット未満のRSA鍵は受け付けない
・CBC cipherはデフォルトで提供しない

古いssh鯖だと1024ビット未満制限とかCBCに引っかかるところあるんじゃないかな？
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/04(水) 22:18:08.06 .net]: RSA鍵長のデフォルトが1024ビットのときなんてあったっけ？
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/04(水) 22:19:06.74 .net]: 間違い
1024未満のとき
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/04(水) 23:20:01.18 .net]: CBC捨てるのはナゼ？
昔、実装の問題があったのは覚えてるけど、仕様自体に問題があるの？
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/18(水) 17:08:22.12 .net]: CBC自体にはPadding Oracleを防ぐ・検出する仕組みがない
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 09:57:53.95 .net]: >>424
UnixもLinuxの親戚なんだからいいだろ
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 10:43:50.94 .net]: ダメです
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 10:49:45.97 .net]: LinuxはUNIXではないんだが
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 11:50:48.99 .net]: >>430
それはそうだけど、sshとしてcbc使った場合、
実装に問題がなければpadding oracle攻撃は不可能じゃない？
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/31(火) 12:15:05.05 .net]: >>433
それ言いだすとFreeBSDとかも除外されてしまう
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/16(土) 19:15:52.16 .net]: Using the OpenSSH Beta in Windows 10 Fall Creators Update and Windows Server 1709
https://blogs.msdn.microsoft.com/powershell/2017/12/15/using-the-openssh-beta-in-windows-10-fall-creators-update-and-windows-server-1709/
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/22(金) 18:51:19.12 .net]: Agent Forwardingは
A->B->Cって繋げていくとき
AからBの鍵とBからCの鍵が同じじゃないと出来ないと思うんですけど
あってますか？
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/22(金) 20:17:45.61 .net]: >>437
必要な鍵は「AからBの鍵」と、「AからCの鍵」
それらは別の鍵でいい

「BからCの鍵」は不要だよ

それらをすべて同じ鍵にすると、BにはAの秘密鍵も公開鍵も配置する必要があり
真に重要な鍵(Aの秘密鍵)を他人(B)に預けずに済むというAgent Forwardingのメリットが
なくなってしまっているのでは
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/12/23(土) 04:08:25.92 .net]: ありがとうございます。
まとめるとB→Cの鍵がいらないかわりにA→Cの鍵とA→B使う
ことですね。
440 名前：名無しさん＠お腹いっぱい。 [2017/12/29(金) 07:03:23.63 .net]: 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

KMBRYP28K7
441 名前：名無しさん＠お腹いっぱい。 [2018/02/05(月) 09:29:37.72 .net]: sshで接続されたとき、クライアント側のオプションによって
クライアントが、サーバに接続したときにポートフォワードの設定ができますよね

これをサーバ側からできませんか？
サーバが、クライアントから接続されたときにポートフォワードの設定をしたい
442 名前：名無しさん＠お腹いっぱい。 [2018/02/06(火) 08:26:48.25 .net]: >>441
「サーバ側」の意味がよく分からないが、サーバ側でリスンしてクライアント側に繋ぐなら-Rでよいかと。
それとも繋いで来たクライアントにポートフォワードを強制させるサーバ側の設定があるかということ?
多分それは無理だと思う。
443 名前：名無しさん＠お腹いっぱい。 mailto:sega [2018/02/08(木) 10:30:59.87 .net]: >>442
後者です

無理か・・・まあ無理だよね。
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/02/14(水) 09:20:46.82 .net]: ☆ 私たち日本人の、を改正しましょう。現在、
衆議員と参議院の両院で、改憲議員が３分の２を超えております。
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/09(月) 22:08:02.38 .net]: OpenSSH 7.7出たけど今回はあんま変わってないね。
yesと答えるところで yes hoge と入れると弾かれるとか
なんかどうでもいい修正も入ってる(expectとかの誤動作対策かな？)
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/24(火) 21:58:54.21 .net]: sssssss
447 名前：名無しさん＠お腹いっぱい。 [2018/04/25(水) 10:36:59.11 .net]: てすと
448 名前：名無しさん＠お腹いっぱい。 [2018/04/25(水) 10:39:23.44 .net]: sshでログイン時に表示されるhow toのような物を表示させたくないので
その設定方法を教えて下さい
sshd_configで
PrintMotd no
Banner none
上記の設定でOSの起動時のメッセージは表示されなくなったけど
何種類かのhow toのような物がランダムな順序で表示される
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/25(水) 10:40:35.07 .net]: 追加です
●サーバー側
OS: FreeBSD 11.1
ssh: OpenSSH_7.2p2
●端末側
OS: Win7
sshクライアント: PuTTY
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/25(水) 14:15:46.83 .net]: >>448
fortune のことかな。.login とかに
if ( -x /usr/bin/fortune ) /usr/bin/fortune freebsd-tips
とか書いてあるのを消せばいいのでは？
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/25(水) 17:46:10.72 .net]: >>450
ありがとうございます

ssh用のログインユーザーの
~/.login
~/.profile
の2つのファイルに書かれていたので、コメントアウトしました
これで、すっきりしました
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/04/28(土) 16:05:46.52 .net]: ~/.hushloginをtouch
453 名前：名無しさん＠お腹いっぱい。 [2018/05/22(火) 02:42:32.57 .net]: 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

K9FUK
454 名前：名無しさん＠お腹いっぱい。 mailto:age [2018/08/26(日) 17:44:28.60 .net]: openssl-1.1.1-pre9 が出たのでライブラリだけ再コンパイルしたんだが
sshd って再コンパイルしてやらないと動いてくれないのな。
めんどくさい。
# `pwd`/sshd
OpenSSL version mismatch. Built against 10101008, you have 10101009
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2018/10/13(土) 19:35:30.76 .net]: https://imgur.com/FAF05na.jpg
456 名前：名無しさん＠お腹いっぱい。 mailto:age [2018/10/28(日) 17:16:17.45 .net]: OpenSSH-7.9p1 って OpenSSL-1.1.x サポートするようになったのね。
パッチ当てなくてもconfigureも通るしコンパイルできる。

EVP_CipherInit_ex のパッチは必要でなくなったのかな？
457 名前：名無しさん＠お腹いっぱい。 [2018/11/11(日) 19:15:52.32 .net]: r2.upup.be/wV2qsULdHm
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/02/08(金) 20:47:38.70 .net]: ポートフォワード経由でWindowsファイル共有ってできるかな？
RDPはできてるんだが。
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 18:11:32.25 .net]: Solaris 11.4 の sshd (OpenSSH_7.5p1, OpenSSL 1.0.2o 27 Mar 2018) の設定なのですが

sshd_config に、

# Site local settings
Match Address *,!192.168.1.0/24
MaxAuthTries 0

のようにして指定のIPアドレス以外からの接続を拒否しています。
これに、あるドメイン（例： *hogehoge.com）からのアクセスも受け付けるようにしたいのですが
Match host *,!*.hogehoge.com
MaxAuthTries 0
のように記述を加えたらどこからもアクセスできなくなってしまいました。

Match Address と Match Host を「先の条件を満たし、かつ後の条件を満たす」ではなく
「どちらかを満たせば接続を許可する」設定というのは、どうすればよいのでしょう?

Match address *,!192.168.0.0/24 and Mtach host *,!hogehoge.com
MaxAuthTries 0

なんて論理式書ければいいんですがそういうのは無いですよね?
ちなみに件の sshd には、tcp_wrappers はリンクされていません。
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 19:02:41.08 .net]: 自己解決できてしまいました。
まずどうやってもうまくいかなかった理由
　　UseDNS no
デフォルトでは DNS 逆引きをしてくれませんでした。マッチする筈がない。

次に * で拒絶して、! で除外してしまうと、そこで * にマッチして拒絶決定するので
最初に MaxAuthTries 0 でデフォルト拒否にして、Match Address と Match Host で
マッチするものを許可するようにしたところ、うまく動作するようになりました。

# Site local settings
UseDNS yes
MaxAuthTries 0
Match Address 192.168.1.0/24
MaxAuthTries 6
Match Host *.hogehoge.com
MaxAuthTries 6
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 19:37:31.06 .net]: ところで、IPアドレスで接続制限をするために MaxAuthTries を 0 にするっていうのは
Oracle Solaris のドキュメントを見て設定したんだけど

これだと Teraterm Pro のパスワード入力画面は出てしまうし、
（試行回数 0 なので正しいパスワードを入れても拒否される）
tcp_wrappers みたいに「接続してきた時点で認証前に接続を切断」
またはそれに近い、もっとスマートな方法はないですかね?
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/29(金) 20:57:30.98 .net]: AuthenticationMethods none どないだ？
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/30(土) 23:35:44.69 .net]: >>462
やってみるっす！
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/03/31(日) 14:04:06.34 .net]: >>462
デフォルトを none、Match に match した場合に any になるようにしてみましたが、

none が適用される状況でも MaxAuthTries で指定した回数を超えるまでパスワード入力
できてしまいますね。もっとも、正しいパスワードを入力しても
　　Permission denied, please try again.
が繰り返し表示されてログインできないのですが。

単純に disconnect ってディレクティブが使えればねー
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/04/01(月) 00:02:41.38 .net]: sshのconfigは腐りすぎててどうしようもないと思うんだ

AuthenticationMethodsは認証通過可能なものを設定するだけで、個々の認証に挑戦するかどうかは
PubkeyAuthenticationやPasswordAuthenticationなどの*Authenticationで決まる
つまり全ての*Authenticationをnoにすることで認証に挑戦しなくなる

ただしデフォルトをnoにすると機能しなくなる認証タイプもあるという腐れっぷりなので注意が必要かも
そういう場合、デフォルトをyesにしておいて、最後の最後でMatch *でnoするとかの小細工がいる
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/04/02(火) 22:23:11.87 .net]: >> sshのconfigは腐りすぎててどうしようもないと思うんだ

にもかかわらず、
Oracle Solaris にしろ debian にしろ、素の OpenSSH 実装に変えてきてるしねぇ
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/05(日) 23:44:43.59 .net]: ウェルノウンでないポートをssh用に開いていて時々海外からアクセスがあるんだけど
今日の未明に日本のNTTアドバンステクノロジから来ていた
調査か何かしているのかな？連休の未明だから間違えて接続とかではなさそうだし
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/07(火) 13:51:49.14 .net]: https://notice.go.jp/
これの関係かな
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/08(水) 00:48:09.00 .net]: NICTのアドレスからじゃないのか
NTT-ATに発注したのかな
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/10(金) 20:11:25.43 .net]: IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて（2月14日更新）
https://www.nict.go.jp/info/topics/2019/02/13-2.html
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/05/11(土) 14:13:04.81 .net]: >>470
入っていないな……
NTTアドバンステクノロジの独自調査なのか、踏み台と化しているIPがあるのか
472 名前：名無しさん＠お腹いっぱい。 [2019/06/06(木) 01:11:49.25 .net]: Teraterm って複数相手のサーバーにSSHで接続する場合にも、
秘密鍵を1つしか使わないだろうと勝手に仮定して作られているようで、
そのため、実際にはつなぐ相手によって秘密鍵が違う場合には、
つなぐ相手のサーバー毎に、秘密鍵を指定しなおさなければならず、
とても不便だ。

接続先のサーバーと秘密鍵の組み合わせを登録できなきゃ不便だ。

Unixの上のSSHだったら、 .ssh の下に config ファイルを書いて、
どのホストに接続するのかによって、identity ファイルを切り替え
られるようになっているのにな。
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/06/06(木) 03:30:56.56 .net]: 宛先と鍵ファイルまでコマンドラインで指定したショートカットファイルを作ればいいんだと思う
474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/06/06(木) 10:36:01.85 .net]: tereterm menu
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/07/06(土) 19:30:20.15 .net]: ホームディレクトリに生成される~/.sshディレクトリってどうしても移せないのかな。
できればホームディレクトリがすっきりしている方が嬉しいので~/.config/sshあたりに移したい。
476 名前：名無しさん＠お腹いっぱい。 [2019/07/06(土) 20:44:38.73 .net]: そのおかしな感情を消す努力をした方が
後々のあなたの人生において
いろいろなことが優位に動くでしょう
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/07/08(月) 10:47:25.14 .net]: なぜ返信したしw
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/07/08(月) 22:08:03.15 .net]: AuthorizedKeysFile を ~/.config/.ssh/authorized_keys にすればお望み通りになるだろう
だが、それで何かがすっきりするとは思えん
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/07/10(水) 01:49:41.06 .net]: pathnames.h の _PATH_SSH_USER_DIR を書き替えてコンパイルするしかないんじゃね
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/07/10(水) 06:42:05.04 .net]: お前ら本当は『このすば』のアクアと結婚したいんだろ。素直になれよ
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/07/14(日) 15:16:29.13 .net]: >>479
ありがとう！
でも再コンパイルか……やめときます。
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/08/26(月) 23:04:30.22 .net]: >>480
めぐみんがいいです

scanner1.openportstats.com[89.248.168.62]という怪しい客人から隠し扉をノックされたｗ
ああいうのはいちいち大きな番号のポートまでスキャンして、開いているとSSHのログインを試行しているのかな
483 名前：名無しさん＠お腹いっぱい。 mailto:age [2019/08/27(火) 20:42:49.12 .net]: ポートスキャンすらされない１ケタ番台ポートを隠し扉にするって手もあるぞｗ

OpenSSH 8.0p1 を OpenSSL 1.1.1でコンパイルしてmake test全部通ったやしいる？
公式には非対応だけどビルドはできる。
ただ漏れマシンななんか怪しくてmake LTESTS=rekey t-exec がランダムに
通ったり通らなかったりする
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/08/27(火) 23:08:54.16 .net]: $ ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1a-freebsd 20 Nov 2018

ちなみにsynスキャン、finスキャンは全部蹴ってる
pfのルールもsynproxy + antispoof

今のところ結構効果はあると、、思う
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/08/29(木) 15:43:09.69 .net]: ports treeから

# make test

〜〜〜〜〜〜

all tests passed
1699.705u 100.260s 48:55.51 61.3% 305+337k 97+724io 25pf+0w

# /usr/local/bin/ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1c 28 May 2019
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/10/14(月) 01:46:02.67 .net]: >>480
ゆんゆんでお願いします
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2019/11/22(金) 12:37:21.98 .net]: OpenSSH U2F/FIDO support in base
https://undeadly.org/cgi?action=article;sid=20191115064850

yubicoとかと組み合わせられるようになるのかな。
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/01/19(日) 19:16:24 .net]: ちょっとここでいいのか不明ですが質問させてください
Windows10のOpenSSHに接続して、遠隔でAutoItというスクリプトツールで作ったexeから
ホットキー操作を発生させようとしてるのですが、動作しません
SSHでログインできるフォルダ内でecho >> hogehoge.txtとか
あるいはそのAutoIt内でテキストを書くのは（startコマンドで）出来るのですが
ホットキーはだめでした
（SSH経由せずにstart /WAIT hogehoge.exeなら普通に動く）

こういうのはSSHでは不可能なんでしょうか？
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/01/19(日) 22:31:34 .net]: 自己解決、というかとりあえずテキストにコマンド書いてファイル監視でうまくいったので
これでいくことにしました、失礼しました
490 名前：名無しさん＠お腹いっぱい。 mailto:age [2020/03/11(水) 00:31:44 .net]: OpenSSH-8.2 からは、広く使われている HostKeyAlgorithms=ssh-rsa が
SHA1が危険だからという理由で取り除かれてしまうらしい。

ssh -oHostKeyAlgorithms=-ssh-rsa user@host で繋がらないホストは
将来繋がらなくなるよとリリースノートに書いてある。

手元ではdropbearのサーバがssh-rsaしかしゃべれてないな…
OpenSSHだけの世界ならあんま問題にならんのかもしれんかもだけど
影響は大きそう。
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/03/26(木) 19:49:44 .net]: WANに存在する踏み台を経由して接続してきた相手の大元のipを調べることはできますか？
プロバイダの協力は無しという条件で
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/03/26(木) 22:03:01 .net]: その踏み台の協力が無ければ出来ないでしょう
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/07(火) 18:28:32 .net]: https://github.com/PowerShell/Win32-OpenSSH/releases
WIndows版のOpensshのことでちょっとお聞きしたいのですが、
クライアント側の設定でデフォルトのポート番号を変更する(22→65222)には
接続時に一々 -p 65222とやる以外に恒久的にしておく方法はありませんか？
Linuxなどでは/etc/ssh/ssh_configファイルにportを記述する場所がありますが、
上のgithubのreleaseにはsshd_configはあるものの、ssh_configが見当たらないのです。
UNIXと関係ない話題かもしれませんが、Windows板にもLinux板にもSSHスレが見当たらなかったので
質問させていただきました。どうも失礼しました。
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/07(火) 21:15:10.64 .net]: Windows でもユーザーのホームディレクトリ下に .ssh ディレクトリを作って、その中に置けばいいのではないかと
C:\Users\(ユーザー名)\.ssh\ssh_config
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/08(水) 07:52:29 .net]: >>494
ファイル名がssh_configではなくconfigならいけました。
ここらへんはLinux等と同じようです。
ただwin8.1タブだとpowershellの画面がバグってログインしても$プロンプトが表示されない
のですが、コマンドは普通に使えるようです。
とにかく、教えてくださってありがとうございました。
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/11(土) 17:52:24 .net]: 同じ鍵ペアでもサーバーが異なればホストキーのハッシュやVisualHostKeyは変わりますか？
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/11(土) 18:19:19 .net]: 同じ鍵ペアとは、sshサーバーが持っているホストキーの話ですか？
別のサーバーでもホストキーが同じならハッシュやVisualHostKeyも同じになります
https://cloud-news.sakura.ad.jp/2016/04/27/ssh-host-key/
こういうことが起きます
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/11(土) 18:38:48 .net]: 即レスありがとうございます
勘違いしていました
VisualHostKeyはサーバーのホストキーのイメージなんですね

ではssh-keygenで作成した公開鍵のfingerprintのrandomartは、
どういうときに使用されるのでしょうか
これを確認する方法はありますか？
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/11(土) 18:40:23 .net]: 秘密鍵と公開鍵のペアのfingerprintが正しいのかな
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/11(土) 19:37:48 .net]: 公開鍵のハッシュですから、公開鍵が間違ってないか確認するのに使えることになってますね
ユーザーが自分で作成した公開鍵を、サーバー管理者にメールで送って、フィンガープリントは別の方法(LINEとか)で送る
受け取ったサーバー管理者は、公開鍵のフィンガプリントを照合して「よしっ」と言う
こういうシナリオはよく紹介されていますが、実際にやっているかどうかは分かりません(私はやってません)

自分の経験としては、サーバーのauth.logにはログインしてくるユーザーの公開鍵のフィンガープリントが記録されているので
それと authorized_keys に登録されている公開鍵のフィンガープリントを比べて、登録されているかどうか調べたことくらいです
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/12(日) 00:33:22.79 .net]: 自分の公開鍵のrandomartを表示させる方法はありますか？
鍵生成時以外表示させる方法が分かりません
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/12(日) 00:41:49.10 .net]: ちょっと便乗
サーバーのホストキーのハッシュっていうけど、クライアントの公開キーを変えると返ってくるホストキーのハッシュ変わらない？
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/13(月) 02:47:31.78 .net]: >>501
ssh-keygen で
-l でフィンガプリント表示 -v もつければ visual
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2020/04/13(月) 02:48:15.53 .net]: >>502
そうなの？
今度試してみよう

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef