- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/04/25(金) 18:50:57.67 .net]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。 ■前スレ SSH その7 toro.2ch.net/test/read.cgi/unix/1266323017/ ■過去スレ その6 pc12.2ch.net/test/read.cgi/unix/1202782840/ その5 pc11.2ch.net/test/read.cgi/unix/1145484540/ その4 pc8.2ch.net/test/read.cgi/unix/1102242908/ その3 pc5.2ch.net/unix/kako/1058/10582/1058202104.html その2 pc.2ch.net/unix/kako/1028/10281/1028157825.html その1 pc.2ch.net/unix/kako/976/976497035.html
- 85 名前:名無しさん@お腹いっぱい。 mailto:age [2014/10/11(土) 16:18:08.65 .net]
- 秘密鍵使ってて、sshポートのハッキングなんてあるえるのでしょうか。
- 86 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 17:07:57.77 .net]
- >>85
マスコミじゃないんだからクラッキングとか攻撃とか呼ぼうぜ。 回答:sshd自体に脆弱性があれば普通に吹っ飛ばされるよ。 jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002571.html jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002570.html jvndb.jvn.jp/ja/contents/2006/JVNDB-2006-000763.html jvndb.jvn.jp/ja/contents/2003/JVNDB-2003-000274.html
- 87 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 18:17:34.19 .net]
- >>85
パスワード認証許可してないかノックしてるんだろ。
- 88 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 19:05:26.71 .net]
- >>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。
- 89 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/11(土) 21:33:37.26 .net]
- 「公開鍵を送ってくれ」と言ったら
秘密鍵も送ってくるユーザーの多いこと多いこと。
- 90 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/13(月) 00:01:52.96 .net]
- そういうのは9割が中国からだから、
freetibet.org/about/human-rights-tibet の中身を返すようにしてる
- 91 名前:名無しさん@お腹いっぱい。 [2014/10/13(月) 16:13:39.16 .net]
- >>90
coolですな。
- 92 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 04:44:30.79 .net]
- TCPラッパーが使えなくなると地味に困るなあ・・・
なんでサポート切っちゃうんでしょうか
- 93 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 17:23:56.12 .net]
- もしかしたら ifconfig みたいにメンテナがいないからじゃない?
ftp 覗いてみたら tcp_wrappers_7.6.tar.gz のタイムスタンプは Apr 8 1997 だった
- 94 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 17:28:46.50 .net]
- sshd -iでinetdから上げるようにしてinetdのtcpwrapperを使うかね
- 95 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 17:54:06.39 .net]
- inetdサポートもそのうち削られそうだ
- 96 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:42:41.99 .net]
- sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ
とりあえずはpf.confでやるけど
- 97 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:43:18.68 .net]
- リロードめんどいな
- 98 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:47:07.53 .net]
- PAMでやれ、ってことかな。
pam_accessとかpam_login_accessとか。
- 99 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/14(火) 19:59:17.14 .net]
- 参考
marc.info/?t=139815213700004 marc.info/?t=139827570900003
- 100 名前:名無しさん@お腹いっぱい。 [2014/10/18(土) 10:07:44.17 .net]
- 誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの?
manとか見るとクライアントのIPから逆引きでホスト名を確認して IPアドレスとホスト名のマッピングが出来なかったら接続を許可しないって動きの ようにみえるんだけど… この辺の詳しい動きがよくわからん
- 101 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 11:02:42.57 .net]
- 「逆引きまともに設定してないやつらなんて信用できるか!」
って人のために存在している。
- 102 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 11:03:43.55 .net]
- クライアントの IP アドレスを逆引きしてホスト名を得る
→そのホスト名を正引きして IP アドレスを得る →その IP アドレスが元のと一致してなかったら蹴る
- 103 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 11:42:47.38 .net]
- そんなごく当たり前のIP逆引きチェックそのものを質問してるわけない、
質問の意図は別のところにある、と見るべき引っかけ問題。
- 104 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 12:39:10.85 .net]
- んじゃどんな意図なんだろ
- 105 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 12:52:20.85 .net]
- UseDNSをnoにすることってないのになぜオプションがあるのか、という質問?
IP解決はDNSとは限らない(NISとかhostsとか)のになぜDNSという設定名?
- 106 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 12:55:17.30 .net]
- 逆引き出来ないクライアントから接続しているユーザーからの
「なんかログインに時間かかるんだけど」というクレームに 対応するため、逆引きをしないようにする機能だろ。
- 107 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 12:59:58.93 .net]
- 「それは逆引き設定しろ」と言えば済む話で、sshdの設定を変えるべきではない。
- 108 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 13:08:08.17 .net]
- >>107
そう思う人はそうすればいい。
- 109 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 13:12:02.82 .net]
- 釣りだったか。
- 110 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 13:13:29.54 .net]
- 1ユーザーの逆引き無視要求で、全ユーザーの逆引きチェックを無効(危険)に晒すなんて、、
- 111 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 13:25:57.51 .net]
- 逆引きチェックしてもあんまり意味ないと思う。
- 112 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 13:47:55.43 .net]
- ごめん、言葉が足らなかった。
このUseDNS、デフォルトだとYesになっていると思うんだけど、クライアントが逆引き出来ない状態 (DNSサーバへの接続が出来ない状態やそもそもレコードにIPが登録されていない状態)でもSSHって接続出来るじゃない? だとしたら、どういう時に使えるの?と思って。 1.IPアドレスがDNSに登録されている状態 かつ 2.そのホスト名を再度正引きしたら違うIPアドレスになっている 上みたいな状態の時だけは接続させないって認識であってるのかな? レコードにいなかったり、DNSに接続出来ない時はそのままSSH接続出来るって事はわかるんだけど…
- 113 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 17:52:52.87 .net]
- rhosts認証を突破されないためのオプションだよ。
- 114 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 20:43:50.93 .net]
- >>113
rhosts認証って、sshd_configのデフォルト設定だと有効になっていないよね? てことは、sshd_configがデフォルトの状態のまま利用されていたら、このオプションでやってくれることってログの記録時にホスト名でロギングしてくれるくらいって 認識であっているかな? 他の何か利用用途ってあります?
- 115 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/18(土) 23:12:07.86 .net]
- ホスト名でMatchさせてる場合
- 116 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/19(日) 08:28:25.46 .net]
- 考えてもしょうがないからさっさとnoにしちゃえよ
- 117 名前:名無しさん@お腹いっぱい。 [2014/10/19(日) 15:35:56.74 .net]
- >>116
> 考えてもしょうがないからさっさとnoにしちゃえよ インシデントになったせいで、会議で説明しなきゃならないんだよ
- 118 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/19(日) 16:35:04.00 .net]
- 自分がやるべきことを掲示板に丸投げしてドヤ顔かよw
- 119 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/19(日) 19:45:24.65 .net]
- ウソ教えられて、会議でそれを突っ込まれたら、2chで聞いたと言い訳するのかな?
- 120 名前:名無しさん@お腹いっぱい。 [2014/10/19(日) 20:27:25.16 .net]
- >>118
>>119 とはいっても、サポートよりここの住人の方が詳しいし頼りになるし… 教えてもらった情報を元に海外のサイトとサポートで裏取しようと思ってたんだ 仕様の部分がもうよくわからなくて…
- 121 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/19(日) 22:46:30.26 .net]
- もうソース読んだ方が早いし確実じゃね。
- 122 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/19(日) 23:12:00.13 .net]
- かまってもらえるのは回答者にとって興味がある場合だけ
- 123 名前:名無しさん@お腹いっぱい。 [2014/10/20(月) 02:45:14.37 .net]
- >>120
ホスト名で認証しない限りUseDNSはNoでいい。 今時IgnoreRhostsがnoになってることはないだろ。 デフォルトはrsh引きずってるだけ。
- 124 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/20(月) 14:33:56.81 .net]
- かまうと調子こいてソースは?とかエビデンスは?とか言い始めるぞw
- 125 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/20(月) 14:34:29.62 .net]
- なら>>121でよし。
- 126 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 17:09:45.04 .net]
- というわけで、このスレでのSSHに関する情報交換は全面禁止となりました。
- 127 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 18:21:36.12 .net]
- ログインシェルをsshに変えたいんですが、chshでやろうとするとエラーになります。
どうすればいいですか?
- 128 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 18:33:44.06 .net]
- まずはその屏風からsshとかいうシェルを出してみてください
- 129 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 18:38:38.21 .net]
- sshはすでにインストール済みで、動作確認済みです
- 130 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 18:45:40.37 .net]
- >>127
>>129 出来ません、出来ません。 SSHにはそんなこと出来ません。
- 131 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 19:11:18.03 .net]
- >>127
/etc/shellsにないんじゃないか。 ログインできなくなってもしらんけど。
- 132 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 19:24:07.55 .net]
- /etc/shellsですか、ありがとうございます。
今環境がないので明日、客先で試してみます。
- 133 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 19:32:19.94 .net]
- 加齢臭コピペがくさいです
- 134 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/21(火) 19:33:29.40 .net]
- >>126
× このスレでのSSHに関する情報交換は全面禁止となりました ○ このスレでのSSHに関するサポート乞食は全面禁止となりました
- 135 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/26(日) 13:36:46.74 .net]
- その後 132 の姿を見る者は居なかった
- 136 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/26(日) 21:06:55.48 .net]
- 132=129=127なのか、ネタレスだったのかはしらんけど、
本気でそれを客先でやったらとんでも無い事にはなるだろうなぁ… sudoも出来ない状況だと、hddを別のに刺して直すしか思いつかん。
- 137 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/26(日) 21:30:38.39 .net]
- いつもの改変コピペ君だよ
- 138 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/10/27(月) 14:20:34.23 .net]
- UNIX板には死語レベルのコピペにマジレスするピュア()な中高年が多いですね
- 139 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/23(日) 17:53:17.21 .net]
- SSH で接続すると、日本語入力ができなくなるのだが、、これって無理なの?
Cygwin → LinuxMint LinuxMint → LinuxMint(別ユーザー) ターミナル または 、ssh -X で手元に表示したアプリでも日本語入力できない。 LinuxMint単独だと、 Mozcとかで日本語入力できてるんだけど。
- 140 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/24(月) 04:27:36.36 .net]
- 普通はできるだろ…とりあえず文字コード合ってる?
- 141 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/24(月) 04:36:11.60 .net]
- できないじゃなくて、どうなるか書かないと。
- 142 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/24(月) 05:16:14.38 .net]
- >>139
この場合日本語入力はローカル側のが使われるんだよ。sshログイン先のホストのものではない。 必要な環境変数が設定されてないとエスパー。
- 143 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/29(土) 18:39:05.96 .net]
- >139-142
失礼しやした。 結論から言うと、リモート先で、 export XMODIFIERS="@im=fcitx" と入力することによって、 GUIアプリ(Firefoxとかgvim)でも、日本語入力(Mozc)ができるようになりました。 で、後は、この export 文を設定ファイルで自動読み込みさせたい。 .bashrc に書くのはイマイチだし、 かといって、.ssh/rc に 書くと、 今度は、sshが、 xauth を読まなくなる。 これについては、 SSHのマニュアルか www.unixuser.org/~euske/doc/openssh/jman/sshd.html 個人ページ namazu.org/~tsuchiya/ssh/ uncorrelated.no-ip.com/20101225.shtml を参考に対処できそう。
- 144 名前:143 mailto:sage [2014/11/29(土) 21:40:37.22 .net]
- 自己レス
>>143 LinuxMint→LinuxMint へ、ssh -X でリモートログインした場合、 export XMODIFIERS="@im=fcitx" すれば、gvim等のGUIアプリでも日本語入力のインターフェースが使えた。 だけど、~/.ssh/rc に記述すると xauth関連が良く分からないのであきらめ。 おとなしく、exportを手打ちするか、source することにした。 それから、 cygwin → LinuxMint へ ssh -X で リモートログインした場合は、 リモートの Xアプリ(gvim)にて、日本語入力インターフェースを使う方法が見つからなかった。 orz
- 145 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/30(日) 04:07:35.69 .net]
- .xsession
- 146 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/30(日) 09:01:56.33 .net]
- cat .ssh/id_rsa | ssh username@remotehost 'cat >> .ssh/authorized_keys; chmod 600 .ssh/authorized_keys'
これだと秘密鍵をremotehostに持ち出すことになるよね? このあと特にエラーが出るわけでもないから初心者だと気づかないかも。
- 147 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/30(日) 10:48:50.82 .net]
- なんで秘密キーを公開キーのファイルに追記してんの?w
- 148 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/11/30(日) 10:54:42.92 .net]
- >>146
公開鍵登録しろよ。多分id_rsa.pub
- 149 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/01(月) 10:23:39.78 .net]
- >>146
そんなやり方どこで聞いたんだ
- 150 名前:名無しさん@お腹いっぱい。 [2014/12/01(月) 11:04:16.75 .net]
- >>147-149
川本安武とかいうバカが元凶のようだ。 books.google.co.jp/books?id=iUcoBQAAQBAJ&lpg=PR1&hl=ja&pg=PA35#v=onepage&q&f=false
- 151 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/01(月) 12:25:54.94 .net]
- 「~/」を書かないんだな
- 152 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/01(月) 15:20:31.53 .net]
- ~/はシェルに依存だから。
>>や;も意図したとおりに解釈してくれないかも知れないが。
- 153 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/03(水) 23:16:27.17 .net]
- ~/ を解釈しないシェルって何だ?
dashもbusyboxのshも解釈するぞ
- 154 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/03(水) 23:38:30.85 .net]
- 純正シェル。~はcsh由来だよ。
- 155 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 00:06:43.07 .net]
- /bin/shがThompson ShellとかBourne ShellでOpenSSHが入ってる環境とか
無理やり作ろうとしても大変だなww
- 156 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 01:00:08.15 .net]
- 商用UNIX環境で古いものだとそういうのもあるな
- 157 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 01:37:00.88 .net]
- うん、ありますね。
で、それをわざわざ使わせて 「~/ はこのシステムでは使えない、だからスクリプトを書く時は~/を使うな」 と教え込むんでしょうか?
- 158 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 02:02:22.75 .net]
- ~ を解釈しないシェルで ~ を使ってしまう危険性より
ホームディレクトリ以外で >>150 のコマンドを実行してしまう危険性の方が高いんじゃないかな。
- 159 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 06:52:38.02 .net]
- >>158
ホームディレクトリで実行する方が危険だろ。 それ以外ならエラーで済む。 お前、川本とかいうバカ本人? まだわかって無いの? 何冊売れたか知らんけど、その記述を鵜呑みにした読者を危険に晒してるんだぞ。 死ねば?
- 160 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 07:44:13.26 .net]
- >>150 = >>159 はここで作者disる暇あったらgihyoに本の回収絶版でも申請すれば?
- 161 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 08:02:25.76 .net]
- 正当な批判をdisってるとか。死ねば?
- 162 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 08:58:42.72 .net]
- だから訂正でも謝罪でも訴訟でもなく作者の死を望んで何になるのよ
- 163 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 09:10:17.44 .net]
- やっぱり川本本人か。w
- 164 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 09:51:36.60 .net]
- オッスオラ川本!
- 165 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 09:54:07.71 .net]
- とりあえずお前があの本以外から一切の情報を仕入れず、ネットで検証もせず
鵜呑みにしてやらかして逆切れしたことはわかった
- 166 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 09:56:28.68 .net]
- 新山祐介さんの「入門OpenSSH」最強伝説がまた証明されてしまったな
ttp://www.unixuser.org/~euske/doc/openssh/book/index.html おまえらネットも本も間違ってるから絶対に参考にするな 新山祐介さんの「入門OpenSSH」だけを参考にしろ これ一冊あれば何もいらない
- 167 名前:名無しさん@お腹いっぱい。 [2014/12/04(木) 09:58:54.50 .net]
- 「正当な批判」は作者と出版社に直接届けないと本人のためにならないぞ
gihyo.jp/book/2014/978-4-7741-6807-4 https://twitter.com/togakushi
- 168 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/04(木) 10:55:15.15 .net]
- 間違った記述すると、瞬殺で特定されるとかgoogleさん怖すぎ。
- 169 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 00:16:32.57 .net]
- >>165
161は160に死ねと言ってるのに162は作者に死ねといったと解釈した。 よって160=162=作者(というか筆者、川本)でなければ矛盾が生じるため、 「あの本以外から一切の情報を仕入れなかった被害者」である可能性を考慮する必要はない。
- 170 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 02:41:18.78 .net]
- >>169
著者に「死ねば」と言ったのは 159
- 171 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 08:28:31.97 .net]
- >>170
>>159は(川本かもしれない)>>158に「死ねば」と言った。 >>158が筆者であると断定できるのは>>158だけであるが、 お前は断定している。ゆえにお前が>>158であり川本本人。
- 172 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 08:46:18.64 .net]
- で、お前はこのスレで川本死ね川本死ねと呪詛を吐くだけで
他に被害者が出ないようになんとかしようという気は全く無いわけだ >>167にある連絡先にクレームはちゃんとつけたのか?
- 173 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 10:48:45.50 .net]
- >>172
当たり前だ。タダでデバッグしてやる義理は無い。
- 174 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 15:58:44.63 .net]
- 読者を危険に晒した!というほどのおおげさなことなん?
chmod 600してるからremotehostが共用だとしても本人以外の一般ユーザーからは見れないはずだし、 rootが信頼できないならsshすること自体が危ないわけだし。 scpしてchmodする直前のスキをつくというのはナシね。 物理的にハードディスクが強奪されるかrootアカウントがクラックされるかして、さらにパスフレーズのオフライン解析なんて、そこまでして狙われる初心者ってそんなにいるとも思えない。
- 175 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 17:09:10.53 .net]
- >>174
> rootが信頼できないならsshすること自体が危ないわけだし。 そうなの? どんな危険性が?
- 176 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 18:54:33.93 .net]
- >>174
> rootが信頼できないならsshすること自体が危ないわけだし。 別のサーバーも同じキーペアで認証してたら何が起こるか考えてみたまえ。
- 177 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 19:50:35.81 .net]
- >>175
キーロガー入りのログインシェルやカーネルに差し替えられてたらアウトじゃん?
- 178 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 22:19:24.59 .net]
- >>176
いや、問題ないよね? 秘密鍵のフォワードとかしてなければ
- 179 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 23:00:17.54 .net]
- cat .ssh/id_rsa
はタイプミスだろ。かなり痛いミスだけど。 やってることは公開鍵認証のベストプラクティスとしてじゃなくて、 公開鍵認証をするには .ssh/authorized_keys に公開鍵を追記しますよ、と言うのを説明するためにやってるだけでしょ。 アルゴリズムを説明するのに擬似コードで書いてあるようなものだろ。
- 180 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/05(金) 23:21:07.02 .net]
- >>178
問題ないなら、お前の常用してる秘密鍵をここに貼り付けろよ。
- 181 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/06(土) 00:00:58.57 .net]
- >>179
まぁどいつもこいつもわかってて弄ってるだけなので……
- 182 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/06(土) 00:01:43.20 .net]
- >>180
ログイン先に秘密鍵おいておくとか頭煮えてるの? おだいじにね
- 183 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/06(土) 00:09:57.17 .net]
- >>182
おれじゃなくて>>178に言え。痴呆症ジジイ。
- 184 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/06(土) 02:42:15.93 .net]
- >>174
信用出来ない鯖という前提でsshするなら問題ない。 >>175 信用出来ない鯖にsshするついでにパスワード打ち込んだりエージェント転送しちゃう馬鹿には危険。 >>176 「sshすること自体が危ない」への反論ではなくさらなる危険の指摘だと思うけど、ちょっと言葉足らずだと思う。 >>177 信用出来ない鯖に保護したい情報打ち込んだりしないのでsshに脆弱性がなければ関係無いです。 ていうか脆弱性があってもそれを突く場合に差し替えるのはシェルやカーネルじゃなくsshdだろが。 >>178 176は「sshすること自体が危ない」への反論じゃなくて、アンカー先/引用部分が不適切なだけかと。 >>179 かなり痛いミスって指摘をいやそうじゃないってごねてるバカが居るように見える。 >>180>>183 問題がないのは公開鍵を信用出来ないrootの居る鯖に置く行為の事だろ、馬鹿。 公開鍵と秘密鍵の区別がつかないとか、これも川本とか言う馬鹿のレスなのかなぁ…
- 185 名前:名無しさん@お腹いっぱい。 mailto:sage [2014/12/06(土) 03:02:41.76 .net]
- >>177
キーロガーあろうが、渡したくない情報を入力しなければ何も問題ない。 ウェブサーバーがログ取ってるからアクセスするの危険と言ってるようなもの。そりゃクレジットカード情報送るとかなら危険。 クライアント側で何か実行とかできるのかと思った。
|
|