- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/16(火) 21:23:37 ]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:pc.2ch.net/unix/kako/976/976497035.html
Part2:pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:pc12.2ch.net/test/read.cgi/unix/1202782840/
- 70 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:15:50 ]
- >>66
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ?
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ?
ログが増えるのも防止できて一石二鳥三鳥だぜ
- 71 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:18:44 ]
- >>70
VPNでアクセスすりゃいいよめんどくせぇ
- 72 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:18:53 ]
- >平文 HTTP の basic 認証とかだったら殴る
xrea.comですねわかります
- 73 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:25:22 ]
- >>65
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。
- 74 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:26:27 ]
- >>73 そういう書き方は「こいつ余裕ないんだなプ」と思われるだけなんだがな…
- 75 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:33:42 ]
- それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ
- 76 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:35:02 ]
- sshd : .jp : allow
これだけでだいぶ減る
- 77 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/22(月) 21:45:19 ]
- パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw
- 78 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/23(火) 00:04:33 ]
- まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね?
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。
- 79 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/23(火) 00:05:14 ]
- あ、ごめんなさい。スレ間違えました
- 80 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/23(火) 00:07:38 ]
- SSH HSHwwww
- 81 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 00:57:19 ]
- 俺はHHがイイです
- 82 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 13:35:19 ]
- じゃあ俺はH×H
- 83 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 13:43:06 ]
-
∧_∧ ┌─────────────
◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん!
\ / └─────────────
_/ __ \_
(_/ \_)
lll
- 84 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/02/26(金) 18:33:22 ]
- HH+コイルタップで十分だな
- 85 名前:名無しさん@お腹いっぱい。 [2010/03/03(水) 09:13:47 ]
- 未だにSSHで検索すると埼玉最終兵器が一番上な件
- 86 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 09:25:53 ]
- >>85
かっこいいからいいじゃん。むしろsshの語源の方がださいし。
- 87 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:11:15 ]
- sshはセキュア・シェル・、、の略だそうですが、
では h は何の略なんですかぁ?
Secure Shell H???
- 88 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:12:32 ]
- Secure SHell
- 89 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:13:03 ]
- S=Secure
SH=Shell
のはず
- 90 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:17:35 ]
- もっと粋な返しはないのか。。
- 91 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:28:34 ]
- >>90
ぢゃお前がお手本みせろよ
- 92 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 11:35:49 ]
- >>90
フリがつまんないからしょうがない。
- 93 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 18:34:21 ]
- sh
↓外からも使えたら便利じゃね?
rsh
↓やべー穴だらけだったよw
ssh
- 94 名前:名無しさん@お腹いっぱい。 [2010/03/03(水) 21:46:53 ]
- >>90
wktk
- 95 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/03(水) 22:57:12 ]
- S=すごい
S=Scienceで
H=Hします
- 96 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/05(金) 20:06:08 ]
- >>93
もう進化しないのかな
- 97 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 08:33:58 ]
- sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)
- 98 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 11:26:24 ]
- おいやめろ
- 99 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 15:30:31 ]
- いいぞもっとやれ
- 100 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 17:01:54 ]
- で、最後は飽きて放置するんですな。
- 101 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/06(土) 18:47:13 ]
- そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。
- 102 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 02:32:36 ]
- wsh
- 103 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 08:52:59 ]
- ssh → sssh → ssssh …
今後の展開はこうだろ
- 104 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 09:28:35 ]
- Secure SSHキボン
- 105 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 10:30:54 ]
- インセキュアな奴が使うから無理。
パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。
- 106 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 13:05:25 ]
- >>103
ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4
- 107 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 13:49:39 ]
- スーパー ssh 冒険の謎 2 でいいよ
- 108 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 13:50:53 ]
- >>106
→ sshIV とか sshタクティクスとか
- 109 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 16:02:02 ]
- sshEXとssh0は
- 110 名前:名無しさん@お腹いっぱい。 [2010/03/07(日) 19:35:54 ]
- Zssh
sshZZ
νssh
ssh-F91
- 111 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 22:55:43 ]
- Ξssh も仲間に…
- 112 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 23:26:27 ]
- 続・ssh
続続・ssh
また又・ssh
新・ssh
ニュー・ssh
痛快・ssh
- 113 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 23:29:58 ]
- あぶないssh
もっとあぶないssh
もっともっとあぶないssh
- 114 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/07(日) 23:34:46 ]
- もっともあぶないSSH
さらにあぶないSSH
- 115 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/08(月) 00:57:28 ]
- つまんないのでもういいです。
- 116 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/08(月) 16:33:56 ]
- 嘘です、もっとやってください。
- 117 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/08(月) 21:11:22 ]
- knkssh
- 118 名前:名無しさん@お腹いっぱい。 [2010/03/10(水) 21:53:41 ]
- openssh-5.4/5.4p1来たね。
- 119 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 22:46:49 ]
- 公開鍵認証が出来なくなった
- 120 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 22:51:37 ]
- へぇ〜
- 121 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 22:52:20 ]
- ほぉ〜
- 122 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/10(水) 23:04:03 ]
- 公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。
- 123 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:14:28 ]
- えっ
- 124 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:32:08 ]
- >>123
いじめんなよ
- 125 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:37:00 ]
- ケーキを食べればいいじゃないネタに何いってんのっていうか
- 126 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:42:43 ]
- もうひとひねり欲しいところ。
- 127 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 01:45:22 ]
- むしろサイバーノーガード戦法で
- 128 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 03:25:55 ]
- もしかしてGIF騒動の二の舞?
- 129 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 12:19:55 ]
- >>119
英語でいいんでソース頼む
- 130 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 12:22:11 ]
- ソースっていうか
>>119の環境でできなくなったって話じゃないの。
- 131 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/11(木) 15:47:16 ]
- 単にプロトコル2がデフォルトになって、
敢えて設定しない限り1は使えなくなっただけじゃ
なかったっけ?
- 132 名前:119 mailto:sage [2010/03/11(木) 22:50:59 ]
- あぁ・・・うちだけか。ナンテコッタイ
ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。
PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG
ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど
パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる?って思ったんです。
sshd_configは5.3p1で使っていたのと全く同じ
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes
- 133 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/12(金) 00:18:30 ]
- >>132
多分、鍵の置く場所変えたら直ると思う。
- 134 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/12(金) 19:50:51 ]
- AuthorizedKeysFile のところ%h付けなくなったんだっけ?
明示的に%h付けてみたら?
- 135 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/13(土) 05:23:41 ]
- RSAよりDSAの方がつおいんだな。
しらなカッタワ。
- 136 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/13(土) 11:42:41 ]
- DSAって1024縛りがなかったっけ?
- 137 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/13(土) 21:54:51 ]
- んなこたぁない
- 138 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 14:13:18 ]
- 現状のsshで使えるのは1024ビットのDSAだけでしょ?
marc.info/?l=openssh-unix-dev&m=126630542032768&w=2
反対にRSAのビット長の方は上限は決まってないんだっけ。
実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が
あるみたいだけど何の制約からなんだろう。
ところで、うちのCore2Duoでためしにopenssl genrsa 65536を
実行してみたらCPU 50%しか使わないね。p,q同時に生成するような
パッチってないのかな?(需要ないか・・・)
- 139 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 14:33:26 ]
- 仕様上そうなってるけど、PuTTY の keygen では作れてしまう。
以前試したときには確か使えたと思う。
- 140 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 14:44:53 ]
- ssh.com版は少なくとも2048bitを作れた気がする。
opensshが勝手に制限してるだけ?
- 141 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 19:09:22 ]
- TeraTermの中の人が書いたまとめっぽいのがあった。
ttp://slashdot.jp/~doda/journal/465416
- 142 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/14(日) 21:48:22 ]
- (L,N)=(2048,160)な中途半端なDSA鍵なら
長いRSA鍵の方がよっぽどましだと思うけど。
(L,N)=(2048,224)のDSA鍵使うにはSSHプロトコルの
拡張が必要なんでしょ?
- 143 名前:名無しさん@お腹いっぱい。 [2010/03/26(金) 08:23:11 ]
-
sshをつかってWindowsから接続しています。
nohupを使ってプログラムを実行したあと、ウインドウを閉じると、プログラムが終了してしまいます。
exitコマンドを使えば、切断したあともプログラムの実行は継続されます。
ウインドウを直接閉じた際もプログラムを継続する方法はないでしょうか?
- 144 名前:名無しさん@お腹いっぱい。 [2010/03/26(金) 08:29:16 ]
- >>142
nohupは SIGHUPを無視するだけで、
ウィンドウ閉じた時にそれ以外のシグナルが来れば終了するわな。
すべてのシグナルを無視するラッパーをかますか、
てっとり早く setsidコマンドを使う方法もある。
- 145 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 08:59:54 ]
- >>143
つ GNU screen
- 146 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 12:15:39 ]
- 普通screen
- 147 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 12:24:14 ]
- この用途でscreenは牛刀。
- 148 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 12:31:36 ]
- tmux
- 149 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:17:52 ]
- >147
牛刀結構ではないか
ギロチンつかうよりはまし
- 150 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:28:40 ]
- >>147
screen使うと何か問題が出るのか?
- 151 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:43:00 ]
- debianをetch->lennyにしたらstoneがなくなったのでsocatにしたけど
こういうのが牛刀?
- 152 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:43:29 ]
- ptyが無駄に消費される
- 153 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:45:57 ]
- >>152
足りないの?
- 154 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:47:16 ]
- ×無駄に消費される
○有効に活用される
- 155 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:48:30 ]
- wgetで済むのにfirefoxを起動するのが牛刀
- 156 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:50:46 ]
- >>154
nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、
ptyは無駄にしかならない。
setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので
無駄にならない。
- 157 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 13:51:13 ]
- 牛刀のほうが使いなれてるなら牛刀でいいじゃん
- 158 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 18:38:39 ]
- いやだから、ptyが無駄になって
何か問題があるのか?
そりゃ鳥をバラすのに牛刀使うのは
かえってやりにくかろうとは思うが
screen使って「特に問題が出ない」なら
別に構わんのでは?
- 159 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 18:50:41 ]
- そこは触れてほしくないみたいだよ。
- 160 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:22:26 ]
- > 「鶏を割くに焉んぞ牛刀を用いん」
> 小事を処理するのに、大掛かりな手段を用いることのたとえ。
「大掛かりな手段」と言うほどscreenは大掛かりか?
俺はわりと日常的に使ってるけど。
たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる
みたいな話ならまだ分かるが。
screenだぜ? w
- 161 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:24:21 ]
- MS Word を日常的に使ってれば
それは大掛かりにならんのでは
- 162 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:43:57 ]
- screenはインストールされてるとは限らないから、
わざわざscreenをインストールしてから作業開始だとすると大がかりだな。
- 163 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:48:50 ]
- それはまた話が別。
- 164 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:51:09 ]
- >>161
ヘタすると実作業よりも起動待ちの方が長くなるような
という意味合いで書いたんだが。
作業内容に比して大掛かりな道具という。
- 165 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 19:52:33 ]
- >>162
yumやaptの使い方知らないなら
確かに大掛かりな話になるかもね。
つか、そのレベルの人だったら
別の方法を採用したら
もっと大掛かりな話になりそうなw
- 166 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 20:09:00 ]
- 勝手にソフトを入れてはいけない客先のマシンとか、
社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。
- 167 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/26(金) 22:39:08 ]
- >>164
もれは attach するだけだから爆速
- 168 名前:名無しさん@お腹いっぱい。 [2010/03/30(火) 16:19:47 ]
- # SSHプロトコルの指定
Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers root
# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys
- 169 名前:名無しさん@お腹いっぱい。 [2010/03/30(火) 16:20:30 ]
- # パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。
なぜなのでしょうか??
AllowUsers root は AllowUsers root hogehoge の間違いです。
- 170 名前:名無しさん@お腹いっぱい。 mailto:sage [2010/03/30(火) 16:21:18 ]
- ログ見ないのかね。
|
 |
