SSH その7

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/16(火) 21:23:37 ] SSHに関する情報交換のスレッドです。 FAQ、リンク集は >>2-5 あたり。 過去ログ 　Part1：pc.2ch.net/unix/kako/976/976497035.html 　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html 　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html 　Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/ 　Part5：pc11.2ch.net/test/read.cgi/unix/1145484540/ 　Part6：pc12.2ch.net/test/read.cgi/unix/1202782840/ 2 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/16(火) 21:25:21 ] よくある質問 Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも 　そのパスワードは暗号化されているのですか？ A.はい、その通りです。 　SSHプロトコルでは、まず始めにサーバ<->クライアント間で 　暗号化された通信路を確立します。 　ユーザ認証はその暗号化通信路の上で行なわれるので、 　パスワードなどもちゃんと秘匿されています。 Q.最近、root,test,admin,guest,userなどのユーザ名で 　ログインを試みる輩がいるのですが？ A.sshdにアタックするツールが出回っているようです。 　各サイトのポリシーに従って、適切な制限をかけましょう。 　参考：www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html 3 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/16(火) 21:26:20 ] ◇実装 本家ssh.com 　www.ssh.com/ / www.jp.ssh.com/ (日本語) OpenSSH 　www.openssh.com/ / www.openssh.com/ja/ (日本語) 　OpenSSH情報：www.unixuser.org/~haruyama/security/openssh/ 　日本語マニュアル：www.unixuser.org/~euske/doc/openssh/jman/ 　OpenSSH-HOWTO：www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html TeraTerm/TTSSH 　hp.vector.co.jp/authors/VA002416/ 　www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版) 　sleep.mat-yan.jp/~yutaka/windows/ / ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版) PuTTY 　www.chiark.greenend.org.uk/~sgtatham/putty/ pc8.2ch.net/test/read.cgi/unix/1084686527/ 　hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ) 　yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ) VeraTerm 　www.routrek.co.jp/product/varaterm/ MacSSH/SFTP 　pro.wanadoo.fr/chombier/ PortForwarder 　www.fuji-climb.org/pf/JP/ TRAMP 　www.nongnu.org/tramp/tramp_ja.html 4 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/16(火) 21:27:05 ] ◇規格等 　・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers 　・RFC4251: The Secure Shell (SSH) Protocol Architecture 　・RFC4252: The Secure Shell (SSH) Authentication Protocol 　・RFC4253: The Secure Shell (SSH) Transport Layer Protocol 　・RFC4254: The Secure Shell (SSH) Connection Protocol 　・RFC4255: Using DNS to Securely Publish Secure Shell (SSH) 　　Key Fingerprints 　・RFC4256: Generic Message Exchange Authentication for the Secure 　　Shell Protocol (SSH) WideのSSH解説 　www.soi.wide.ad.jp/class/20000009/slides/12/ ◇おまけ Theoのキチガイぶり 　pc.2ch.net/test/read.cgi/unix/1023635938/546-550 djbsssh(ネタ) 　www.qmail.org/djbsssh/ 5 名前：1 mailto:sage [2010/02/16(火) 21:28:09 ] 一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが 面倒糞くなったのでそのままコピペしました。 後よろしく。 6 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/16(火) 21:33:26 ] ※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。 最低限次のような対処をしておきましょう。 ttp://www12.atwiki.jp/linux2ch/pages/141.html ●最善策 パスワード認証を止めて、公開鍵認証へ変更する rootの直接のログインは不許可とする 特定の接続元からのみ接続を許可する ●次善策 User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする｡　 特定の接続元からの接続を拒否する ポートを変える 7 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/17(水) 14:12:38 ] >>1 乙 8 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/17(水) 20:17:48 ] なあ、インターネットに繋がってないマシンも 6 をやってる？ 9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/17(水) 22:27:20 ] パスフレーズ無しの公開鍵認証の方が楽 10 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 00:13:17 ] っつーか公開鍵使わない認証って SSH 使う意味ないよね 11 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 00:19:24 ] なんで？ 12 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 00:20:21 ] >>10 俺もそうおもってた。。。。 でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・ 内部でopenssh呼び出してるだけなのに 13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 12:41:47 ] >>11 パスワード認証を暗号化したところで ブルートフォースアタックには無力 14 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 12:47:36 ] それがどうしたというのかね? 15 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 12:57:25 ] >>13 それを言うなら公開鍵もブルートフォースで破れる 16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 12:59:58 ] それがどうしたというのかね? 17 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 13:15:12 ] RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか? 18 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 14:38:16 ] >>6も勘違いしてるけど ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは 19 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 15:05:51 ] アクセス元しぼればいいだけじゃん。 20 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 15:31:37 ] 辞書攻撃って（総当たりとは言えないにしても）ブルートフォース（腕ずく）の一種じゃないか？ 21 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 15:41:53 ] >>20 いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない 22 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/18(木) 15:52:31 ] 辞書攻撃は立派な攻撃手法の一種 ブルートフォースといったら普通は「総当たり」作戦 一億玉砕本土決戦火の玉〜な方を指すので 小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません 23 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/20(土) 19:40:35 ] # SSHプロトコルの指定 Protocol 2 # rootでのアクセス許可 PermitRootLogin yes # 接続を許可するユーザ AllowUsers root # セキュリティ設定 MaxStartups 2:90:5 LoginGraceTime 20 MaxAuthTries 3 port 22 # RSA公開鍵認証の有効化 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 24 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/20(土) 19:43:11 ] # パスワード認証無効化 PasswordAuthentication no PermitEmptyPasswords no RhostsRSAAuthentication no ChallengeResponseAuthentication no # ログのレベルを指定 SyslogFacility AUTH LogLevel INFO # パーミッションチェック StrictModes yes # その他 GSSAPIAuthentication no GSSAPICleanupCredentials yes UsePAM no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。 どうしてでしょうか？？ disconnected no supported authentication methods available って表示されてしまいます。 25 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/20(土) 20:55:09 ] >>24 ssh2で接続してないからだな 26 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/20(土) 21:40:42 ] -vで起動すれば拒否される理由を教えてくれる。 27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 00:41:06 ] .ssh/authorized_keys から 違う場所に保存先を変えたら問題なく利用できました。 バージョンアップしたせいかな？？ 28 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 02:45:27 ] アクセス権のせいだろうな 29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 11:54:43 ] これまでは問題なく運用出来ていましたが、 ある日突然connection　refusedのエラーが出て接続できなくなりました。 ps -e | grep sshd としてもなにもでないため、sshdが起動してないように見えます。 HPUX10.2の環境のためか、シェルスクリプト /etc/init.d/ がなく、 /opt/openssh/sbin/sshd　start ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。 ネット上の一般的な知識が適用できず困っています。 HP-UX10.2運用で良い方法ありましたら教えてください。 30 名前：sshd 起動するだけじゃん mailto:sage [2010/02/21(日) 12:02:02 ] > これまでは問題なく(ry > ある日突然(ry そのあいだにやったことを書けば解決できるじゃろ 31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 12:10:18 ] /etc/init.d/じゃなくて/sbin/init.d/じゃないの？ HP-UX知らないやつは手を出すなよ、壊すから 32 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 13:16:06 ] レスサンクス。 >>30 再起動しかしてないです。 他のアプリが不調で二回再起動後に突然発生。 その後はsshd_configいじりすぎて何がなんだか。 一度全部消して作り直した方が良いかな。 >>31 init.dの場所が違うのかな。調べてみます。 init.d/sshd があれば良いんだけど。 使いたくないんだけど、 HP-UXでしか動かないソフトを今でも使っていて。 dtermの使い勝手が悪くて閉口気味。 hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。 10.2のdepotが非常にレアで参ってます。 33 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 19:16:21 ] どう考えても ssh の質問じゃなくて HP-UX の質問じゃん 34 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 19:25:47 ] >>33 10.2はデフォルトでssh入ってません。 パッケージ見つけてきて自分で入れたのですが。 とりあえずinit.dの場所が違うのが分かったので明日調べてみます。 そこから先はsshないしはsshdのconfigファイルか、 鍵関係に問題ありかなと思ってます。 自分で勉強もしますが、色々教えていただければ幸いです。 35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 20:19:13 ] スレ違いかもしれないが、WikipediaのSSHに関する記事 ja.wikipedia.org/wiki/Secure_Shell の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか？ OpenSSHのデフォルト設定の危険性を挙げているが、原文（英語）見ても そんなことちっとも書いてないじゃないか。 IPAの仕業か？ 36 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 20:22:08 ] wikiなんだから書き替えたら。 37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 20:45:14 ] ・PasswordAuthentication noにする ・PermitRootLogin noにする ・Protocol 2にする 正しい ・Portは22以外にする 意味無し ・ChallengeResponseAuthentication noにする 正しい ・AllowUsersにおいて特定のユーザーのみ接続を許可する AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。 ・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する 好きにすれば ・X11 port forwardingは無効にする ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。 ・シェルが不要であれば、passwdファイルからシェルを取り除く 馬鹿丸出し。取り除いたらデフォルトは/bin/sh 38 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 20:56:35 ] ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。 そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。 >>37 攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。 >シェルが不要であれば、passwdファイルからシェルを取り除く /bin/false とかにすればいいと思うが。。 39 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 21:10:01 ] チャイナ、コリアはデフォルトでドロップだろ。 40 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/21(日) 21:13:41 ] /bin/reverseattack 41 名前：名無しさん＠お腹いっぱい。 [2010/02/22(月) 02:53:56 ] >>38 > >シェルが不要であれば、passwdファイルからシェルを取り除く > /bin/false とかにすればいいと思うが。。 だから"取り除く"じゃないんだろ。 42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 10:10:09 ] ssh 対象ユーザで shell 不要ってどういう場合? sftp only? 43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 10:19:43 ] authorized_keysでコマンド指定してあれば、不要なんじゃないかな。 44 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 17:53:23 ] >>37 > ・Portは22以外にする > 意味無し >>38 も書いてるけど、意味は大いにあるよ。 Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。 必要なログがゴミの中に埋没しなくなるのはかなり重要。 >>39 最近は cn, kr 以外のも相当多いぞ。 数年前とは状況が違う。 45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 18:31:42 ] >>44 稚拙な攻撃ツールからのログを減らしてるだけ。 sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。 46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 18:49:34 ] ログを減らせることに意味があるだろうが、ということだと思うんだが。 47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 18:54:18 ] ログを減らせることの意味がわからないんじゃないの 48 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 18:56:05 ] 俺もｳｪﾙﾉｳﾝﾎﾟｰﾄ以外を使うのは、ある程度は有効だと思う。 まるっきりﾎﾟｰﾄｽｷｬﾝする奴もいるかもしれないけど、ｳｪﾙﾉｳﾝﾎﾟｰﾄはまともに来るもんね。 効果としてはｾｷｭｱになるとまでは言えないかも知れないけど、しないよりはましだと思う。 49 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:00:51 ] 稚拙な管理者はログを一切見ないので ログが多かろうと少なかろうと違いはない ということだな 50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:06:33 ] Password(PAM)有効じゃ無ければログ残らないだろ。 ログ減らせるとか喜んでる奴、恥ずかしくないのか? 51 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:08:25 ] セキュリティポリシーって難しいよね。 某スレで、送信元IPアドレスでフィルタリングしちゃう （＝ 許可されたIPアドレス以外は認証すらしない） 人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ？ でもね、俺は自宅だけでなく大学とかからもSSH使うから 送信元IPアドレスでのフィルタリングはしてないよ、って言ったら もー、初心者扱いされてまいったよ。 死ねだのタコだの。もうね。。 52 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:11:51 ] 可能性のあるところだけ通せばいい。個人用ならそれが普通。 53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:18:39 ] >>50 OpenSSHサーバだけど、公開鍵認証でもログ残るよ？ Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2 Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0) ちなみに僕ちんはファイアウォールでもログ残しているよ。 54 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:20:23 ] >>53 それ、侵入されたログ。ｗｗｗ 55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:28:00 ] >>54 おお、ほんとだチャレンジに失敗するとログ残さないな。 ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。 56 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:31:32 ] >>50 あえて攻撃のログを出させた方が 動的にフィルタで対処できる、という考え方もあるんだが。 攻撃を受けた&失敗したログがまったく残らないのでは 「新しいパターンの攻撃」が出たときどうするの? >>52 個人用ならある程度は限定できるだろうけど 仕事だとそうもいかんね 57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:33:08 ] >>53 そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから 気にするほどログが大きくならないということかと。 >>54 知らないって幸せだね。 58 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 19:56:28 ] >>57 > そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。 sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」 となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。 つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。 以下はその設定での /var/log/secure の攻撃失敗例 Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155 Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69 Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios 知らなかった? 59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 20:16:49 ] HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、 変えられるんなら変えたほうが効果がある。 >>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、 だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して 攻撃が来たことは一度もないわけで。 まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。 ちなみに>>44の「ログの量が減る」っていう発想はなかったｗ 微妙に間違ってる希ガス 60 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 20:27:40 ] >>58 ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。 22から変える意味はない。ｗ パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。 本質を理解しないとダメだよ。 しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし… そこに残ってる"Did not receive identification string"はsshプロトコルでプロト コルバージョンの交換が出来なかった時のログ。 "input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。 勉強になったか? まとめると、 port 22を変更するのはパスワード認証を有効にしている素人管理者サイト でログを減量できるが、それ以上の意味は無い。 61 名前：59 mailto:sage [2010/02/22(月) 20:32:12 ] 「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと 「それで完全に防げる」と勘違いしちゃだめなわけで。 62 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 20:42:14 ] >パスワード認証を有効にしている素人管理者サイト これ誤解や。パスワード認証自体が危険なわけじゃないで。 63 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 20:47:06 ] 個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。 64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 20:52:09 ] >>59 うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって ほとんどないような..... だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ っていうか全ポートスキャンなんて効率悪すぎるだろうに うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ 確かにほとんどこんなポート突きになんて来ない気がする 65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:03:13 ] >>51 基本的に送信元IPアドレスを限定する方をお勧めする 一時的に可変的なIPアドレスからの接続を許可するために コントロールパネルのようなものを作っておくと便利 いま繋がってるアドレスをその日だけ許可するとか出来るし 66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:09:01 ] >コントロールパネルのようなものを作っておくと便利 それをどうやって安全に操作させるか… 平文 HTTP の basic 認証とかだったら殴る 67 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:10:01 ] >>62 このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効) うれしい管理者は、素人管理者と推定出来ます。 もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス ワード認証を結び付けるのには無理があるかもしれません。 68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:11:07 ] >>62 またおまえか そんなアホな風説流すな 69 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:14:47 ] >>68 なにが？ 70 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:15:50 ] >>66 もちろん平文にはしないが 少なくとも ssh にアタックしてくるスクリプトが わざわざコントロールパネルの URL を調べて そっちでアクセス元 IP アドレス許可してから アタックし直す可能性なんて限りなく低いだろ？ 仮にコンパネ側の方が認証パスして その IP アドレスが許可されたとしても ssh の方の鍵持ってなきゃ実質なにも出来ないだろ？ ログが増えるのも防止できて一石二鳥三鳥だぜ 71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:18:44 ] >>70 VPNでアクセスすりゃいいよめんどくせぇ 72 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:18:53 ] >平文 HTTP の basic 認証とかだったら殴る xrea.comですねわかります 73 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:25:22 ] >>65 なるほど、うん、うん。それはいいね。 まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで 別に教えてくれなくても平気なんだけど、 まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも いるけど、 そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう ホノボノすると思うんで、どうかな、もうちょっと詳しく… いや別に俺がマネしようとか言うんじゃないんだ。 74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:26:27 ] >>73 そういう書き方は「こいつ余裕ないんだなﾌﾟ」と思われるだけなんだがな… 75 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:33:42 ] それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ 76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:35:02 ] sshd : .jp : allow これだけでだいぶ減る 77 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/22(月) 21:45:19 ] パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔 が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる >>76 それは海外行った時困るだろw 78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/23(火) 00:04:33 ] まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね？ どうしたってメタル臭が抜けない気がする。 どうしてもっていうならディマジオのスーパーディストーションの白黒 にするとおさまりいいと思うよ。 79 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/23(火) 00:05:14 ] あ、ごめんなさい。スレ間違えました 80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/23(火) 00:07:38 ] SSH HSHｗｗｗｗ 81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/26(金) 00:57:19 ] 俺はHHがイイです 82 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/26(金) 13:35:19 ] じゃあ俺はH×H 83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/26(金) 13:43:06 ] 　　　　　　　 　∧＿∧　　　┌───────────── 　　　　　　 ◯（ ´∀｀ ）◯ ＜ 僕は .357 H&H Magnumちゃん！ 　　　　　　　 ＼　　　 ／　　└───────────── 　　　　　　　_／ ＿＿ ＼_ 　　　　　　（＿／　　　 ＼＿） 　　　　　　　　 　　ｌｌｌ 84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/02/26(金) 18:33:22 ] HH+コイルタップで十分だな 85 名前：名無しさん＠お腹いっぱい。 [2010/03/03(水) 09:13:47 ] 未だにSSHで検索すると埼玉最終兵器が一番上な件 86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 09:25:53 ] >>85 かっこいいからいいじゃん。むしろsshの語源の方がださいし。 87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 11:11:15 ] sshはセキュア・シェル・、、の略だそうですが、 では h は何の略なんですかぁ？ Secure Shell H??? 88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 11:12:32 ] Secure SHell 89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 11:13:03 ] S=Secure SH=Shell のはず 90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 11:17:35 ] もっと粋な返しはないのか。。 91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 11:28:34 ] >>90 ぢゃお前がお手本みせろよ 92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 11:35:49 ] >>90 フリがつまんないからしょうがない。 93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 18:34:21 ] sh ↓外からも使えたら便利じゃね？ rsh ↓やべー穴だらけだったよｗ ssh 94 名前：名無しさん＠お腹いっぱい。 [2010/03/03(水) 21:46:53 ] >>90 wktk 95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/03(水) 22:57:12 ] S=すごい S=Scienceで H=Hします 96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/05(金) 20:06:08 ] >>93 もう進化しないのかな 97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/06(土) 08:33:58 ] sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh) 98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/06(土) 11:26:24 ] おいやめろ 99 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/06(土) 15:30:31 ] いいぞもっとやれ 100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/06(土) 17:01:54 ] で、最後は飽きて放置するんですな。 101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/06(土) 18:47:13 ] そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。 102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 02:32:36 ] wsh 103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 08:52:59 ] ssh → sssh → ssssh … 今後の展開はこうだろ 104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 09:28:35 ] Secure SSHｷﾎﾞﾝ 105 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 10:30:54 ] インセキュアな奴が使うから無理。 パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。 106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 13:05:25 ] >>103 ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4 107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 13:49:39 ] スーパー ssh 冒険の謎 2 でいいよ 108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 13:50:53 ] >>106 → sshIV とか sshﾀｸﾃｨｸｽとか 109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 16:02:02 ] sshEXとssh0は 110 名前：名無しさん＠お腹いっぱい。 [2010/03/07(日) 19:35:54 ] Zssh sshZZ νssh ssh-F91 111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 22:55:43 ] Ξssh も仲間に… 112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 23:26:27 ] 続・ssh 続続・ssh また又・ssh 新・ssh ニュー・ssh 痛快・ssh 113 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 23:29:58 ] あぶないssh もっとあぶないssh もっともっとあぶないssh 114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/07(日) 23:34:46 ] もっともあぶないSSH さらにあぶないSSH 115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/08(月) 00:57:28 ] つまんないのでもういいです。 116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/08(月) 16:33:56 ] 嘘です、もっとやってください。 117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/08(月) 21:11:22 ] knkssh 118 名前：名無しさん＠お腹いっぱい。 [2010/03/10(水) 21:53:41 ] openssh-5.4/5.4p1来たね。 119 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/10(水) 22:46:49 ] 公開鍵認証が出来なくなった 120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/10(水) 22:51:37 ] へぇ〜 121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/10(水) 22:52:20 ] ほぉ〜 122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/10(水) 23:04:03 ] 公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。 123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 01:14:28 ] えっ 124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 01:32:08 ] >>123 いじめんなよ 125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 01:37:00 ] ケーキを食べればいいじゃないネタに何いってんのっていうか 126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 01:42:43 ] もうひとひねり欲しいところ。 127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 01:45:22 ] むしろサイバーノーガード戦法で 128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 03:25:55 ] もしかしてGIF騒動の二の舞？ 129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 12:19:55 ] >>119 英語でいいんでソース頼む 130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 12:22:11 ] ソースっていうか >>119の環境でできなくなったって話じゃないの。 131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/11(木) 15:47:16 ] 単にプロトコル2がデフォルトになって、 敢えて設定しない限り1は使えなくなっただけじゃ なかったっけ？ 132 名前：119 mailto:sage [2010/03/11(木) 22:50:59 ] あぁ・・・うちだけか。ﾅﾝﾃｺｯﾀｲ ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。 PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる？って思ったんです。 sshd_configは5.3p1で使っていたのと全く同じ Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key SyslogFacility AUTH LogLevel INFO LoginGraceTime 2m PermitRootLogin no StrictModes yes RSAAuthentication no PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys RhostsRSAAuthentication no IgnoreRhosts yes PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no UsePAM yes 133 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/12(金) 00:18:30 ] >>132 多分、鍵の置く場所変えたら直ると思う。 134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/12(金) 19:50:51 ] AuthorizedKeysFile のところ%h付けなくなったんだっけ? 明示的に%h付けてみたら? 135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/13(土) 05:23:41 ] RSAよりDSAの方がつおいんだな。 しらなカッタワ。 136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/13(土) 11:42:41 ] DSAって1024縛りがなかったっけ? 137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/13(土) 21:54:51 ] んなこたぁない 138 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/14(日) 14:13:18 ] 現状のsshで使えるのは1024ビットのDSAだけでしょ？ marc.info/?l=openssh-unix-dev&m=126630542032768&w=2 反対にRSAのビット長の方は上限は決まってないんだっけ。 実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が あるみたいだけど何の制約からなんだろう。 ところで、うちのCore2Duoでためしにopenssl genrsa 65536を 実行してみたらCPU 50%しか使わないね。p,q同時に生成するような パッチってないのかな？（需要ないか・・・） 139 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/14(日) 14:33:26 ] 仕様上そうなってるけど、PuTTY の keygen では作れてしまう。 以前試したときには確か使えたと思う。 140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/14(日) 14:44:53 ] ssh.com版は少なくとも2048bitを作れた気がする。 opensshが勝手に制限してるだけ？ 141 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/14(日) 19:09:22 ] TeraTermの中の人が書いたまとめっぽいのがあった。 ttp://slashdot.jp/~doda/journal/465416 142 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/14(日) 21:48:22 ] (L,N)=(2048,160)な中途半端なDSA鍵なら 長いRSA鍵の方がよっぽどましだと思うけど。 (L,N)=(2048,224)のDSA鍵使うにはSSHプロトコルの 拡張が必要なんでしょ？ 143 名前：名無しさん＠お腹いっぱい。 [2010/03/26(金) 08:23:11 ] sshをつかってWindowsから接続しています。 nohupを使ってプログラムを実行したあと、ウインドウを閉じると、プログラムが終了してしまいます。 exitコマンドを使えば、切断したあともプログラムの実行は継続されます。 ウインドウを直接閉じた際もプログラムを継続する方法はないでしょうか? 144 名前：名無しさん＠お腹いっぱい。 [2010/03/26(金) 08:29:16 ] >>142 nohupは SIGHUPを無視するだけで、 ウィンドウ閉じた時にそれ以外のシグナルが来れば終了するわな。 すべてのシグナルを無視するラッパーをかますか、 てっとり早く setsidコマンドを使う方法もある。 145 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 08:59:54 ] >>143 つ GNU screen 146 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 12:15:39 ] 普通screen 147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 12:24:14 ] この用途でscreenは牛刀。 148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 12:31:36 ] tmux 149 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:17:52 ] >147 牛刀結構ではないか ギロチンつかうよりはまし 150 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:28:40 ] >>147 screen使うと何か問題が出るのか? 151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:43:00 ] debianをetch->lennyにしたらstoneがなくなったのでsocatにしたけど こういうのが牛刀？ 152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:43:29 ] ptyが無駄に消費される 153 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:45:57 ] >>152 足りないの？ 154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:47:16 ] ×無駄に消費される ○有効に活用される 155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:48:30 ] wgetで済むのにfirefoxを起動するのが牛刀 156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:50:46 ] >>154 nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、 ptyは無駄にしかならない。 setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので 無駄にならない。 157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 13:51:13 ] 牛刀のほうが使いなれてるなら牛刀でいいじゃん 158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 18:38:39 ] いやだから、ptyが無駄になって 何か問題があるのか? そりゃ鳥をバラすのに牛刀使うのは かえってやりにくかろうとは思うが screen使って「特に問題が出ない」なら 別に構わんのでは? 159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 18:50:41 ] そこは触れてほしくないみたいだよ。 160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 19:22:26 ] > 「鶏を割くに焉んぞ牛刀を用いん」 > 小事を処理するのに、大掛かりな手段を用いることのたとえ。 「大掛かりな手段」と言うほどscreenは大掛かりか? 俺はわりと日常的に使ってるけど。 たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる みたいな話ならまだ分かるが。 screenだぜ? w 161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 19:24:21 ] MS Word を日常的に使ってれば それは大掛かりにならんのでは 162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 19:43:57 ] screenはインストールされてるとは限らないから、 わざわざscreenをインストールしてから作業開始だとすると大がかりだな。 163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 19:48:50 ] それはまた話が別。 164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 19:51:09 ] >>161 ヘタすると実作業よりも起動待ちの方が長くなるような という意味合いで書いたんだが。 作業内容に比して大掛かりな道具という。 165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 19:52:33 ] >>162 yumやaptの使い方知らないなら 確かに大掛かりな話になるかもね。 つか、そのレベルの人だったら 別の方法を採用したら もっと大掛かりな話になりそうなw 166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 20:09:00 ] 勝手にソフトを入れてはいけない客先のマシンとか、 社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。 167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/26(金) 22:39:08 ] >>164 もれは attach するだけだから爆速 168 名前：名無しさん＠お腹いっぱい。 [2010/03/30(火) 16:19:47 ] # SSHプロトコルの指定 Protocol 2 # rootでのアクセス許可 PermitRootLogin yes # 接続を許可するユーザ AllowUsers root # セキュリティ設定 MaxStartups 2:90:5 LoginGraceTime 20 MaxAuthTries 3 port 22 # RSA公開鍵認証の有効化 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile /etc/ssh/authorized_keys 169 名前：名無しさん＠お腹いっぱい。 [2010/03/30(火) 16:20:30 ] # パスワード認証無効化 PasswordAuthentication no PermitEmptyPasswords no RhostsRSAAuthentication no ChallengeResponseAuthentication no # ログのレベルを指定 SyslogFacility AUTH LogLevel INFO # パーミッションチェック StrictModes yes # その他 GSSAPIAuthentication no GSSAPICleanupCredentials yes UsePAM no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。 なぜなのでしょうか？？ AllowUsers root は AllowUsers root hogehoge の間違いです。 170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 16:21:18 ] ログ見ないのかね。 171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 16:37:36 ] AuthorizedKeysFile /etc/ssh/authorized_keys こんなデタラメな設定、誰に教わった? 172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 16:47:36 ] あれ、なんかデジャヴ? 173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 19:30:03 ] これは酷いw 174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 19:39:25 ] こういうバカは死んで欲しい。 d.hatena.ne.jp/fjkktkys/20070214/1171433041 175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 20:31:37 ] >>174 いちおう「最終手段」って書いてるじゃん。 176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 23:56:23 ] 何をやっているか理解せずに、全世界に公開する愚かな行為を言っているのだ。 177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/30(火) 23:59:29 ] ブログに書かれた設定系のネタでまともなものを見たことがない。 178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/31(水) 02:11:42 ] >>174 それ3行並べてるじゃん。 >>168のは一行しか書いてないじゃん。 なんで>>174の方を叩くべきって結論に？ >>177 ほう 179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/31(水) 19:07:47 ] 3:1で>>174の勝ち。 180 名前：179 [2010/03/31(水) 21:08:38 ] >>174の方が明らかに間違い >>168はそれに騙された被害者 一日間に異論がなければそれで確定ね 181 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/31(水) 21:55:09 ] >>168 ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html ｺｺ見てわからなかったら、ｸﾞｰｸﾞﾙさんに聞いてください。 182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/31(水) 23:04:37 ] 一日間に異論がなければそれで確定ね(ｷﾘｯ 183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/01(木) 17:19:46 ] 何をやっているか理解せずに、誰かが書いた設定をコピペして使うのも愚かな行為。 184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/05(月) 19:44:17 ] どうしてもssh認証できなくて、2日間悩んだあげくやっと原因を発見した 作った.sshディレクトリの所有者がrootになってた 忘れないようにここに記録しておく 185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/05(月) 19:53:15 ] ばーか としか言いようがない 186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/06(火) 07:47:09 ] そんなこと普通起きないから忘れていいよ。 187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/06(火) 21:43:11 ] いや、>>184 が記憶したいのが「所有者が root だから駄目だった」だったら きっと同じようなことをまたやらかすに違いない 188 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/07(水) 11:24:55 ] >>187 ? 他に何を記憶したいという可能性が? 189 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/08(木) 16:20:59 ] root だったからじゃなくて、所有者が違ったからだめなんだよ。 そういう記憶の仕方は良くない。 /root/.ssh の所有者がrootでも何の問題もないからな。 190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/08(木) 16:43:10 ] それを言うなら「所有者が違って、かつotherに読み込み権限がなかったから」だろ >>184は所有者の確認もせずにパーミッションだけは700とかに設定したわけだな 191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/08(木) 16:54:06 ] >>190 違うよ。 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。 192 名前：190 mailto:sage [2010/04/08(木) 17:17:26 ] /home/testuser/.ssh# ls -la 合計 12 drwx---r-x 2 root root 4096 2010-04-08 17:05 . drwxr-xr-x 3 testuser testuser 4096 2010-04-08 17:05 .. -rw----r-- 1 root root 395 2010-04-08 17:05 authorized_keys 試してみたけどこの状態ならtestuserでSSHログインできたぞ。 ここから chmod o-rx . ./authorized_keys するとログイン不可。 まぁ環境によるのかもしれないけど。 193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/08(木) 21:03:08 ] drwx--x--x . drwxr-xr-x .. -rw------- authorized_keys だろ常考 194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/08(木) 21:10:03 ] そういう話はしていない。 195 名前：187 mailto:sage [2010/04/08(木) 22:18:50 ] 俺が言いたかったのは「所有者が root だから駄目だった」という 個別の事例を記録しても意味がなくて、なぜ ~/.ssh の所有者を root に してしまったのかの原因を詳らかにしておいた方がいいんじゃないの？ ってことだったんだけどね 平たく言うと、安易にスーパーユーザーで作業すんなってこと 196 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/09(金) 10:15:32 ] >平たく言うと 遠すぎるな 197 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/09(金) 10:23:15 ] いや 何度も書かれている お前の目が節穴だっただけ 大抵の人はフィルタを通して物(この場合スレの書き込み)を見てしまう 大事なことが書かれていてもそれに気付くためには 本人がそれを受け入れるための準備が必要なんだ 198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/09(金) 10:32:54 ] >>191 × 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。 ○ デフォルトでは所有者がroot以外の他人またはgoに書き込み権限有りの場合に拒否。 これほどあからさまな嘘は珍しい。 199 名前：名無しさん＠お腹いっぱい。 [2010/04/16(金) 17:26:34 ] opensshでログインするとサーバー側にTIOCSCTTYの引数が無効とでます 何が原因かわかりますでしょうか 200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/16(金) 17:32:04 ] >>199 LANG=ja_JP.UTF-8 等にしているのが原因です。 LANG=C なら、ちゃんと TIOCSCTTY: invalid argument と出ます。 201 名前：名無しさん＠お腹いっぱい。 [2010/04/16(金) 17:39:01 ] >>200 失礼しました勝手に訳しました ログインはできるので影響はないんですが気になるので調べてます 202 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/13(木) 21:33:11 ] 一つ質問させて下さい。皆さんはSSHを用いて通信が暗号化された事をどのような方法で 確認していますか？ 現在、 サーバ：windows2003server + cygwin(+openssh) クライアント：windowsXP + teraterm という環境でSSHポートフォワーディングを利用してリモートデスクトップ接続を 行おうとしており、実際に接続出来ていてリモートデスクトップが可能なのですが 経路が暗号化されているのかが判別出来ていません。 何か確認出来る方法、ツール等ありましたらご教示下さい。 203 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/13(木) 21:43:42 ] パケットキャプチャでも使ってみたらどうだろう 204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/13(木) 21:50:06 ] ルータ経由でネットワーク分離して 間違って直結しようとしても出来ない構成にしておけばいいじゃん 205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/14(金) 11:45:06 ] >>204 それだと「暗号化されてるかどうか」の 確認にはならんような sshが信用できないから 自分の目で確認したい ということかw その批判精神には感じ入るが… >>203しかないのでわ tcpdumpとか? 206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/14(金) 11:51:20 ] >>202 暗号化の確認にはならないけど、逆にリモートデスクトップの通常のポートに 接続されていないことをnetstatで確認するのはどうだろう。 207 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/14(金) 14:18:39 ] 自分しかSSHでアクセスしないサーバでの話だが、 アクセスがあるとそのリモートアドレスだけをhosts.allow に記述するHTTPSのページを作って そのページにアクセスしてから鍵認証でSSHにログインするようにした。 自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。 ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、hosts.allowを sshd: ALL にする メルアドとスクリプトも作った。 208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/14(金) 20:13:48 ] >>205 tcpdumpの出力を目視だけでは正しく暗号化されてるかまでは判別できないと思う >>207 それならiptablesの方が汎用的では？ 209 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/15(土) 10:17:55 ] 自分しかSSHでアクセスしないサーバでの話だが、 アクセスがあるとそのリモートアドレスだけを iptables に追加するHTTPSのページを作って そのページにアクセスしてから鍵認証でSSHにログインするようにした。 自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。 ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、iptables に追加する メルアドとスクリプトも作った。 210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/15(土) 14:18:11 ] メールサーバも落ちてたらお手上げなので、DNS query受け付けると、iptables フラッシュするためのRRとスクリプトも作った。ドメインも買った。 211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/05/15(土) 16:39:38 ] 面白いと思ってるのが痛い 212 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/08(水) 19:35:34 ] sshでトンネリングしてみたけれども、転送速度ってこんな遅いの？ FTPやVNCで20〜30KB、squidのプロクシとかは一瞬120KBくらいは出たけど CPUや光帯域がネックってわけじゃないみたいだし、ちょっと不満。 WindowsでOpenSSHとPuttyの組み合わせです 213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/08(水) 22:03:31 ] トンネリングしない場合と比べてどうなの？ 214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 00:18:25 ] トンネリング無しだと、FTPで3MB/s、 VNCでも動きが激しいとこで400kb/sくらいでる ssh通すと帯域制限されてる感触で、30kb/sしか出ない 一つのサーバとクライアント2台で試して同じ感じ 普通はどのくらいスループットでるものですか？ もしこれで遅すぎるならソフト変えてみる 215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 01:31:41 ] サーバーは何？ 216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 01:46:54 ] >>214 ＞トンネリング無しだと、FTPで3MB/s、 この速度からして802.11gとかか？ あとFTPのSSHトンネリングはSOCKSサーバ方式？ どんな方式にせよそんなに落ちるのはおかしい。 暗号化方式をrc4やblowfishにすると速度出る。 217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 01:55:05 ] OpenSSH for Windows 3.8p1-1 20040709 Build sourceforge.net/projects/sshwindows/files/OpenSSH%20for%20Windows%20-%20Release/ 一般的な家庭内LANで、ポート22開放してCorei3積んだWindowsXPに入れて動かしてる SHH-2の公開鍵認証 回線はBフレッツハイパーファミリー 素直にLinux使えばいいんだろうけどね 218 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 01:59:12 ] つまり回線は関係ないんだよね 219 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 02:00:32 ] セキュリティソフトは？ 220 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 03:02:15 ] >あとFTPのSSHトンネリングはSOCKSサーバ方式？ サーバ側で転送用に再接続する待ち受けポートをいちいちトンネリング設定してた 今SOCKS5方式で試してみて、転送速度は変わらなかったけど、便利になった ウイルスセキィリティゼロが気休めに入っているけれども、 全部無効にしても違いが無い 今はWindowsファイアウォールだけ動かしてる PuttyだけじゃなくTera Termでも試したけれども変わらなかった サーバ側見直すよ 221 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 09:37:54 ] >>212 もしかして中国とか? 先月中国出張の際にsshトンネルを通すと耐えられないくらい遅くなったよ。 222 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/09(木) 21:02:14 ] ssh -q -n hostname dd if=/dev/zero bs=8M count=1 > /dev/null 223 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/10(金) 19:56:49 ] ダウンロードなのかアップロードなのかでCPUスペックがより必要なホストがどちらかが変わる。 それぞれのスペックは？ 224 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/10(金) 20:02:28 ] あ、ごめんなさい、圧縮転送とかんちがいした。 共有鍵暗号だからそんなに計算量変わらないか。 225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/09/21(火) 01:49:39 ] 20MB/sくらいはデルよ 226 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/12(金) 23:54:21 ] authorized_keys と authorized_keys2 ってどういう違いがあるの？ バージョンや暗号化方式によって違うらしいけど なんでそんなことするの？ 227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/13(土) 00:38:50 ] authorized_keys に version2 のキー置いても問題なく動いてるけど 228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/13(土) 10:01:45 ] >226 openssh と本家で仕様が違ってる(or 違ってた; 最近の事情は知らない) 229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/13(土) 15:32:38 ] 確かに本家とは仕様が違ってる/違ってたけど、authorized_keysとauthorized_keys2って違いじゃないはずだぞ。 230 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/13(土) 20:43:41 ] 結局authorized_keys2は互換性のために残っているんだっけ？ authorized_keysが使えない条件は何？ 231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/13(土) 21:48:36 ] リンクしとけよ 232 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/13(土) 22:31:54 ] 【新世代】 Windows 7 Part70 ttp://hibari.2ch.net/test/read.cgi/win/1276868266/783 783 名前：名無し~3.EXE[sage] 投稿日：2010/11/10(水) 22:34:10 ID:Rr0vNFYE Windows 7 クライアントだと Loopback でもポートがかちあって ssh トンネル越しの Windows 共有 (SMB ove SSH) が自分はできてなかったが 良い解説を見つけてできるようになった CIFS-over-SSH for Windows Vista/7 ttp://www.nikhef.nl/~janjust/CifsOverSSH/VistaLoopback.html キーワード: CIFS over SSH (445/tcp) Microsoft Loopback Adapter sc config smb start= demand netsh interface portproxy add v4tov4 net start smb (後から実行) 445 じゃなく proxy ポートに接続 あとは cygwin の openssh でOK 233 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/22(月) 21:44:26 ] 鍵認証パスフレーズなしで長いことやってきたが 秘密鍵の保存場所って本気で考えると難しくないか？ 普段入るサーバはsudo使えるやつが他にも数人いるし、 会社から提供されたPCもイントラチームにはdomain adminで筒抜け状態。 おいおい、いつ盗まれてもおかしくない状態！！・・・なんだけど 周りには「鍵認証って何？」って人しかいないから助かってるｗ そもそも会社でパスフレーズなしは無謀？ しかし、パスワード毎回は面倒すぎる。 こういう場合はssh-agentかねやっぱ。 これはこれで面倒そうなんだよな。 皆どうしてるの？ 234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/22(月) 21:52:07 ] パスなし鍵でどのホストに繋がるのかが判らないようにしておけばよい さらに同様の鍵が複数(沢山)あるとセキュリティ効果うｐ 235 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/22(月) 22:41:50 ] パスなし鍵をたくさん用意して、ホストごとに変えろってこと？ まあ、時間稼ぎにはなりそうだけど。。。 何百台もあるしなぁ。 236 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/22(月) 23:33:27 ] (´-`).｡oO 周囲の人間が信用できないのにどうしてパス無し鍵を使うのだろう 237 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 00:30:37 ] セキュリティと利便性が相反するのはわかる。 しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。 だからこそ、安全なパスなし鍵運用を追及したい。 238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 00:39:49 ] なんのためにssh-agentがあると思ってるんだ? 239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 01:08:00 ] ttp://webos-goodies.jp/archives/50672669.html 他人が root ユーザーとしてログインできるマシンでは ssh-agent は使うべきではありません。 ってのを読んで不安になったんで。 240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 02:05:03 ] rootしか見れない場所に置くしかないけど みんながrootで入れる環境だと意味ない罠 241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 13:49:11 ] >>239 パスなし鍵の方がよっぽど危険 242 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 15:34:51 ] パスなし鍵（複数）をローカルに暗号化して保存しておいて それらをssh-agentでひとつのパスワードで管理って出来ない？ 243 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 17:39:16 ] > しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。 こういう意識でいる限り何を言っても無駄だな 244 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 18:13:49 ] USBメモリに暗号化しておいとく 245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 18:46:04 ] っていうか ssh-agent 使ってみれば 「一日一回」で済むってことが分かるのに 246 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 18:52:14 ] >>243 そこをなんとかｗ 業務委託が切られちゃったから、やらざるを得ないけど、 単調作業が嫌いなので、とにかく楽にしたい。 >>244 暗号化はすでにやってる。truecryptでイメージ保存してて 出社したら、.ssh/にマウントさせてる。 でも、マウントした時点でsudoもってる奴らには見えてしまう。 247 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 18:56:50 ] パスなしよりは安全だから、ssh-agentにしますわ。 ただ、 ttp://www.gcd.org/blog/2007/07/123/ にもあったけどやっぱ他人がroot使える環境では 安全とは言えないんだよね？ 248 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 19:03:24 ] そんなの当然でしょ。 ssh信頼できないデバイスが信頼できな 249 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 19:06:33 ] すません、書き込み失敗した。 sshクラアントごと差し替えられたり、 キーロガーしこまれたりできるデバイスだったら 秘密鍵のパスフレーズだって抜けるでしょ。 250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 19:23:24 ] そうですよね。。 ってことは俺の環境でパスなし鍵の安全性確保は難しそうだ。 vmwareで解決しそうだけど、禁止だし。。。 厳しいなぁ。 251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 19:46:02 ] ん？>>247の引用URLはForwardAgentでの話か。 イントラチーム筒抜けとかいってたからローカルの話の 続きかと思った。この場合は秘密鍵そのものは覗き見できない。 まあ仮にクライアント側で秘密鍵の機密性が守れたとしても ログイン先sshdに罠を仕込めるようなサーバ環境なら通信内容の 盗聴はできるよ。 とことん防衛するつもりならSSHクライアント／サーバ管理者以外にも DNSサーバ管理者やIPルータ管理者の警戒もお忘れなく。。。 252 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 22:55:09 ] >>246 >暗号化はすでにやってる。truecryptでイメージ保存してて >出社したら、.ssh/にマウントさせてる。 そうじゃなくて使う瞬間だけメモリ上で復号するんだよ 253 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/23(火) 23:21:57 ] >>251 なるほど、盗まれることはないってことか。 まあ盗聴は気をつけるしかないかな。 今回は、パスなし秘密鍵はちゃんと管理せよってよく言うけど、 みんなはどうしてるのかなと思っただけだよ。 >>252 使うたびに複合は面倒じゃない？ ちなみにUSBは使えない。 254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/24(水) 00:26:21 ] 正直マニュアルくらい読んでからにしてくれ… 255 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/24(水) 10:28:49 ] 社内の root が信用できないって、 どんな仕事やってんだ？ 256 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/24(水) 11:36:54 ] 仕事じゃない内職だから社内の人を信用しないんじゃないか。 257 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/24(水) 12:27:16 ] おまえはクビだ 258 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/24(水) 12:39:33 ] お前が信用されてないから他人も信用しないってことか。 259 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/24(水) 20:52:07 ] >>255 俺もそれ思ったw 信頼できないやつにroot権限与えてるのが そもそも一番の問題なんじゃねーか。 それ前提だと何やっても無駄だろう。 260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/24(水) 22:15:00 ] 俺も>>256と同意見、見られるとまずいことやってるんじゃないか？ 261 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/25(木) 12:46:55 ] どこぞのエロ掲示板のおじさんが 「職場でダウンローダセットしてゲットしました〜」 って書いてるようなそういう話じゃね? もっとヤバい機密の横流しとかならパスワードを 打つくらいのは厭わないだろうし 262 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/25(木) 21:46:29 ] うちは外部接続有りの実運用中の機器へのアクセスは 単独作業禁止、パスワードも再監者と確認しながら入力で 毎日他の担当者がアクセス履歴をチェックしてる。 当たり前のことだから別に面倒だとは思わんな 263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/25(木) 22:35:41 ] アクセス履歴が残ると思ってる時点で問題だけどな 264 名前：233 mailto:sage [2010/11/25(木) 22:45:30 ] なんか、大量レスどもです。 そんな重要作業ではなく、ほとんど監査がらみのログ収集とか ldap未導入サーバのアカウント一覧取ったりとか、そんな依頼。 サーバ一覧渡されて、scpで取るだけだけど、楽したいじゃない。 とりあえずssh-agentに変えたから、これでパスなし鍵を置きっぱなしよりは ましになったか。sudo可の奴らは信頼することにする。 265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/25(木) 22:55:49 ] > 1. ssh-agent を使うとパスフレーズ入力省略出来る。 > 2. ssh-agent を普通に使うだけでは便利性が高くない。 > 3. keychain は ssh-agent をもっと便利にしてくれるツール。 > 4. keychain を導入すればパスフレーズ入力が PC 起動につき一回で済む。 > 5. keychain を使えば複数 ssh-agent を起動する必要がなくなる。 266 名前：マーフィ mailto:sage [2010/11/28(日) 03:54:00 ] >>257 Thank you. 267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/28(日) 13:30:26 ] XPを使用しています。 ttp://www.gadgety.net/shin/tips/unix/ssh2.html のインストール手順で詰んだのですが、スーパーユーザーで作業するにはどのような操作を行えば良いでしょうか。 268 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/28(日) 14:56:13 ] su 269 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/28(日) 15:22:11 ] XPってWindows XPのこと? スーパーユーザーって何のことだ? administratorのことか? Windowsから別のOSにログインするって話なら その相手が何でどういう設定になってて 何をやりたいのか書かんと 270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/28(日) 23:18:26 ] "su" is not Super User. 271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/28(日) 23:21:34 ] Substitute User 272 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/30(火) 13:18:27 ] switch userだと思ってたｗ 273 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/11/30(火) 18:47:41 ] super 274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/12/02(木) 08:10:56 ] www12.atwiki.jp/linux2ch/pages/86.html#id_e92bb50d 275 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/12/02(木) 15:05:36 ] SSHのスレで延々引っ張るネタじゃないな 276 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/12/11(土) 02:57:10 ] にょろん 277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/12/11(土) 19:10:00 ] >>265 パスフレーズ入力を何回かすることになってでも、俺は gpg-agent --enable-ssh-supportの方がいいやｗ 278 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/22(土) 11:01:24 ] ssh brute force attacksに対する防御で、 OpenSSHのsshdで同一ホストからInvalied userなログイン要求があった場合に 外部プログラムを起動したいんだけど、何か方法ある? maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って 悪戯できるので、イヤです。 279 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 00:34:30 ] >同一ホストからInvalied userなログイン要求があった 現状これを把握するには log 見るしかないんじゃない？ 280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 00:59:47 ] >>278 ソースいじるしかないんじゃね？ その程度ならすぐ追加できそう 281 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 01:34:58 ] >>278 swatchかsyslog-ngあたりを使うのが普通では syslogを読む、ってのはよく分からんが syslogdが出力したlogファイルを読む、という意味か? 少なくとも後者なら「出力」ではなく「入力」に対応して 外部コマンド起動させることはできるよ syslogdの置き換えだから 俺はsyslog-ngで 「同一ホストから1分間に3回ログイン失敗したら30分遮断」 なスクリプトを起動させてる 以前はswatch使ってたけど、時々変な挙動起こしてたんでやめた 282 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 01:47:03 ] > syslogを読む syslog.confでパイプすることも含みます。 ローカルユーザーがloggerで悪戯できるということは、侵入者が これを悪用して管理者のログインを邪魔することが可能になるの で使いたくないのです。 (侵入されたときに制御を奪い返せなくなる) 283 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 01:51:22 ] あ、logger使って云々とあるから「出力」だけの話じゃねーのか。 と書こうとしたら既にw sshdの設定変えてログ出力を非標準のfacilityに変えちゃえば ルート権限持ってないユーザには分からんだろう。 そもそもそんな馬鹿にローカルから使わせるのがいけないんじゃね? とも思うが。 284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 02:26:50 ] > ローカルユーザーがloggerで悪戯できるということは、侵入者が > これを悪用して んんん?? 馬鹿ユーザじゃなくて「侵入者」がローカルで操作するの? 「ローカル」ってのはリモートではなく実機のコンソールでの操作って意味だよね? どういう状況を想定しているのかイマイチ分からない… 実機を直接いじれる侵入者(あるいはその協力者)を想定するんじゃ 24h常駐ガードマン雇う等の物理的なセキュリティを厳重にするしか 根本対策にならんように思えるが 285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 02:34:35 ] 侵入者(あなたはその協力者) に見えた 頭腐って来てるかも・・・ 286 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 02:53:18 ] > ssh brute force attacksに対する防御で、 防御ならパスワード認証不可にすれば解決では。 色々複雑な状況考えてる一方でノーガードに近いパスワード認証前提というのがチグハグに見える。 287 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 06:57:23 ] ログがうざいんぼるとだろ 288 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 08:53:42 ] 制御取り返すなんて、一度侵入された時点でアウトだろ 289 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 12:27:56 ] pam_access.soとpam_tally2.so参考にPAMモジュール自作 290 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 21:15:19 ] >>284 侵入されて任意のコマンド実行可能な状態になったことをローカルユーザと 表現しました。 >>286 sshは公開鍵認証だけです。その上で侵入された場合を想定しています。 >>288 当該サーバが地理的に離れているので、侵入されたことが判明したら、 到着する前にシャットダウンできる備えはしておきたいのです。 291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 21:25:22 ] >>290 侵入された時点で物理的に電源を切る以外何をやっても無駄。 そこまで心配するならSELinuxなどを使いなよ。 292 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 21:46:08 ] >>290 侵入の証跡取るためにはシャットダウンもよろしくないんだよね うちだったら緊急時は接続してるSW側でport落とすかな (そして俺が侵入者なら無通信になったらファイル消しまくるように 仕掛けるだろうｗ) 293 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 22:49:31 ] >>291 > 侵入された時点で物理的に電源を切る以外何をやっても無駄。 侵入されても、rootを取られてなければ奪還の可能性はあります。 たとえrootを取られても、ログインできればシャットダウン出来る 可能性はありますが、ログインできなければその可能性は0ですよね。 >>292 > 侵入の証跡取るためにはシャットダウンもよろしくないんだよね 放置するよりはシャットダウンを選びます。踏み台にされて犯罪に 使われたりしたら面倒ですから。 > うちだったら緊急時は接続してるSW側でport落とすかな 零細なんでリモートで落とぜるSWは無理です。 294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/23(日) 23:19:09 ] >>290 > sshは公開鍵認証だけです。その上で侵入された場合を想定しています。 どういう状況で「その上で侵入」が可能になるのか説明plz ・サーバは遠隔地にある……これは普通 ・sshは公開鍵認証のみである……brute forceで破られる心配ゼロ ・それでも、もし入られたら制御を奪われる恐れがある……???? 前提がそもそも成り立ってないでしょ。 公開鍵認証使っている以上、秘密鍵が漏洩しない限りsshでの侵入はない、というのが通常の前提。 それを突破してくるｽｰﾊﾟｰﾊｶｰを相手と想定してるなら、何やっても無駄だよ。 君の力の及ぶ相手ではないからあきらめろ、としか。 295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 00:01:01 ] 秘密鍵まで公開してるとか鍵長4bitとか 296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 00:05:05 ] > どういう状況で「その上で侵入」が可能になるのか説明plz sshdのバグ、httpdとか他の経路。クライアントへの攻撃。 297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 00:08:19 ] Debianのウンコパッチが当たった状態で作った公開鍵もヤバイんだよな。 ま、それはともかく対策が過剰な気はする。 ipfw/iptablesなどで接続元を絞るとか、別のレイヤでの対策を考えるべき。 298 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 00:36:23 ] 接続元はtcp wrapperでjp限定に絞ってあります。 jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、 「待てよ、ログイン出来なくされる」と思い直しての質問です。 299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 00:38:13 ] >>298 tcp wrapperで逆引きを使うとか、10年前の対策だな。 300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 00:48:41 ] 他にjpで絞る方法ありますか? 301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 00:50:15 ] パケットフィルタはpfです。 302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 01:19:40 ] いい加減スレ違いじゃないか? 全然sshの話じゃなくなってるぞ 「httpdとか他の経路」ってのは何なんだよw 303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 01:48:10 ] >>298 > jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、 > 「待てよ、ログイン出来なくされる」と思い直しての質問です。 「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの? 管理者が直近のログインに使ったIPアドレスは除外する、とか そこまでいろんなパターン考えてるわりに他人が作ったそのまま使うの前提ってのがよく分からん 自分に都合がいいのを自分で作りなよ 304 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 01:58:37 ] つか途中から>>278と質問が変わっとる brute forceの話はどこへ行った? w OSが何かも分からんし前提条件も途中で変わるのでは話が 305 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 08:09:36 ] 質問者が侵入されroot盗られたというわけ 306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 09:11:29 ] >>303 > 「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの? > 管理者が直近のログインに使ったIPアドレスは除外する、とか 自分の利用条件に合う方法が思いつきません。詳細を説明するのも面倒だし、 全部を網羅できず、条件後出しになる可能性が高いので、スクリプトの改造 に関する話題は、これ以上はやめます。 加えて、メッセージの全部を偽造可能なので、それを見破るのも面倒。 >>304 sshdに対する攻撃は 1) ユーザ名を辞書攻撃で得る。 2) そのユーザ名に対してパスワードを辞書攻撃。 という手順です。 1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に 進化した場合にも防御することが可能です。 1)の段階でsshdの穴をつつかれる可能性は残りますが、対策する方がセキュア。 まとめます ・maxlogins.plに類する、syslogdに送られる情報を元に、sshdへの攻撃を防御する 　手法は非特権ユーザがサービス停止攻撃を実行可能。 ・これに代わる確立された方法は現在のところ無し。 307 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 09:31:46 ] >>306 syslogdにネットワークからメッセージ送れますね。(設定されてれば) しかも(UDPなので)IPアドレスも偽造できる。 308 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 14:08:18 ] ipfw/iptablesからキックして、syslogを参照すれば良いだけじゃないんかい？ まあ、多少作り込みは必要だろうけどそんなに難しい事だとは思わんけど。 309 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 15:07:03 ] それよりも、syslogd改造してメッセージ送信元のuid取ってくるのが 手っ取り早くて確実かと思いました。(solarisでいう) で、それをsyslog-ngに組み込もうとしたらsysutils/syslog-ng*がコ ンパイルできねーでやんの。(事情により今すぐportsを最新版にできない) 310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 15:09:01 ] > (solarisでいう) ゴミが残りました。気にしないでください。 311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 15:17:26 ] ### /etc/pam.d/sshd auth sufficient pam_unix.so nullok try_first_pass auth sufficient pam_exec.so /sbin/log_and_deny.sh ### /sbin/log_and_deny.sh #!/bin/sh x=/var/run/sshd-blacklist-$PAM_USER-$PAM_RHOST if [ -f $x ] ; then shutdown now $x else touch $x fi exit 1 312 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 18:22:16 ] >>311 わろうた 313 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/24(月) 18:29:21 ] まぁどういう方法でもいいけど、プログラム実行はCPUやディスクI/Oのコストが高いから、ヘタするとそれ自身がDoSになる可能性があるので、気をつけてな。 314 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/25(火) 00:23:01 ] >>306 > sshdに対する攻撃は > 1) ユーザ名を辞書攻撃で得る。 > 2) そのユーザ名に対してパスワードを辞書攻撃。 > という手順です。 > 1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に 1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。 そして「1)の段階で検出」は既知の方法で十分対応可能。 1)の段階で「完全に遮断」すりゃその先の話は「まず起こり得ない物語」でしかない。 「まず起こり得ない物語」のために必死に対策打つのは 「まったく価値がない」とは言わんが、ちょいと馬鹿げてないか? 傍目には「空が落ちてきたらどうしよう」って悩んでる人と変わらんように見える。 大丈夫。 「公開鍵認証を突破する手法」とやらが広まる頃には、それに対するパッチもちゃんと出てるよw 315 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/25(火) 00:30:28 ] >>314 > 1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。 別経路からの侵入を想定と書いた。何度も書かせないでよ。面倒だな。 316 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/25(火) 01:57:00 ] >>315 どれがお前さんの書き込みだか他人のチャチャだか分からんよ 名前欄に何も入れてない上にこの板はIDも出ないし 続けたいならコテハンにしたら? 本来なら「もっとふさわしいスレ」に移動すべきだろうと思うけど 317 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/25(火) 02:17:43 ] もう面倒だから 「自分のアカウントがログイン不可にされてたら問答無用でネットワーク断」 になるように設定しとけば? 手法はいろいろ考えられると思うが 318 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/25(火) 23:50:18 ] >>317 却下です。理由は… 面倒くさいから上の方読んで。 319 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 18:08:54 ] 鍵認証のみで十分じゃん 320 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 18:18:28 ] > maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って > 悪戯できるので、イヤです。 侵入者にルート権限を奪われていない状況で、これって本当に可能なんでしょうか? 管理者のユーザ名も使用しているIPアドレスも分からない状態ですよね? もちろん「無差別に全部塞ぐ」は簡単だけど自力では「開け直す」ができないんだから 意味がないような気がするし。 321 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 18:19:34 ] それ以前に、踏み台等にすることを考えて侵入した場合 侵入していることが管理者に気づかれないようにするのが普通だと思うのだけど。 管理者を締め出すようなことしたら普通はすぐに対策取られちゃいますよね。 直接コンソール操作して。 苦労して侵入したのに、明かに「侵入してますよ〜」って言いふらすような 馬鹿なことをわざわざするかな。 322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 20:06:18 ] >>318 で、結局のところどうするんだ？これでもまだ「自分の望む答えが出てない」と言うなら、 おそらく自分で方向性決められないので素直に鍵認証にしとけ。 323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 20:43:24 ] >>320-321 他ユーザのログイン記録の管理は普通ルーズですよ。lastなどでわかる場合が多い。 maxlogins.plはホスト毎にアクセス制御なので、ユーザ名は不要ですね。 >>322 面倒だから上の方読んで。 324 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 21:40:13 ] >>322 やっぱりキミ頭弱いそうだから説明してあげる。 >>309(syslogd改造)が現在の結論。 325 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 22:04:55 ] >>324 全然結論になってないんだけど(笑)。 したり顔で言われたくないなぁ、馬鹿には。 326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 22:46:45 ] >>325 完璧になってるよ。 syslogdでメッセージ投げてきたプログラムのuidを取得すれば、 sshd(root)とlogger(非特権ユーザ)が区別できるので悪戯されない。 327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 23:07:30 ] ローカルユーザのいたずら対策と、外部のアタッカーからの対策がごっちゃになってるのが悪い。 ・不要なサービスを立ち上げない、提供するホストを分ける ・不要なユーザを受け入れない ・二要素認証と承認の仕組み などの基本から考え直せ。 328 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 23:18:36 ] >>327 そう思うのは頭が弱いキミだけだよ。syslogd改造で完了だよ。 どんなに間抜けな事言ってるか教えてあげる。 > ・不要なサービスを立ち上げない、提供するホストを分ける sshdとhttpd提供するホストを分けたら、httpdのホストはどうやって 保守するのでしょうか? > ・不要なユーザを受け入れない だからmaxlogins.plのような仕組みが必要。でもsyslogdが今のままではダメ。 > ・二要素認証と承認の仕組み ハードウエアトークン使った秘密鍵認証ですが、何か? 329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 23:31:23 ] httpdの保守ならiptablesで1ホスト・1ユーザに絞ればいいじゃん CMS使えば他のユーザをシェルまでログインさせる必要もない あれもこれもいいとこ取りしようとして、要件が発散してるのがそもそもの問題ｗ 330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 23:33:51 ] 役所とか大学とかにありがち。 331 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 23:47:33 ] >>293 > 零細なんでリモートで落とぜるSWは無理です。 って言ってたのに、 >>328 >ハードウエアトークン使った秘密鍵認証ですが、何か? こんな金のかかるもの導入してる。 ほんとに同じ人？ 332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/26(水) 23:50:09 ] >>331 途中から変なのが参戦してるね。 syslogdなんて亜種がいくらでもあるし、syslogdが問題だと思うなら 余所の適切なスレへ移動して欲しい。 333 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 00:03:46 ] >>331 OpenPGPカードだから安いよ、15ユーロくらいだったかな。 amazonの安売りの1000円カードリーダーだし。 334 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 00:22:39 ] >>329 偉そうに分離しろとか言って、httpdとsshdは分離できないんじゃん。 335 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 00:32:15 ] >>334 daemonとしての「サービス」は複数動かさざるを得ないが、 ユーザに提供する「サービス」はhttpdとsshd両方提供する必要は無い 必要が無いソースホスト・ユーザからは到達させないようにするのはセキュリティの基本中の基本 336 名前：名無しさん＠お腹いっぱい。 [2011/01/27(木) 00:43:55 ] おまえら、もう釣りにマジレスやめれ。 2,3万からのインテリスイッチすら買えないのに、ハードウェアトークンなんて面倒なものいれる零細企業がどこにあるんだよ。 脳内零細企業の管理者様はセキュリティ板にでもお帰りいただけばおｋ。 337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 01:27:53 ] ・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる ・侵入されないことより、侵入後の対策が重要 ・syslog改造すると表明したのにいつまでSSHスレに居座るの？ ・他人の提案は何でも却下 ま、釣りじゃなければ精神異常だ罠 338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 01:34:41 ] >>335 sshdとhttpdが同一ホストで動かしているという前提しか提示してない (それでどんなサービスを提供しているかは提示していない)のに 余計な憶測で > ・不要なサービスを立ち上げない、提供するホストを分ける と、間抜けなアドバイスしたって事だね。 >>336 外からログインさせるためにはハードウェアトークンは必須。 OpenPGPカードは(カード(15ユーロ)+リーダー(1000円))/1名 ランニングコスト0。全然面倒じゃない。 安定して購入できるかという問題はあるけど、零細はフットワー ク軽くて小回り効くから、ディスコンになったら考えればいい。 インテリスイッチは無けりゃ無くて済む。 そのわりに設置場所やランニングコストもかかる。 全然矛盾しないんだなあ。 339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 01:59:17 ] >>337 > ・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる 他サービスに関してはここでは話題にしていないだけ。 > ・侵入されないことより、侵入後の対策が重要 侵入されない事に関しては、ユーザー名総当たり攻撃に対する防御が残っている。 これ以外は対策済み。 > ・syslog改造すると表明したのにいつまでSSHスレに居座るの？ .jp以外を拒否する方法として、tcp wrapperが古いというので、 代わる方法を聞いたけど、まだ答えがない。 あと、>>311は、釣りだったけど、PAMを使うというのは新鮮なアイデアだった。 そういうのが出てくるかもしれない。 > ・他人の提案は何でも却下 接続元限定しろ、パスワード認証やめろ、二要素認証しろ、とか 聞いてもいない、しかも対策済みの提案と、上の方のレス読まずに 書きなぐったまぬけな提案しか出てこねーんだもん。 340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 06:58:45 ] あー今日も大漁大漁♪ 341 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/27(木) 10:03:20 ] sshd止めてシリアルからログインすればいいべ。 メンテするときはシリアルポートに繋いだモデムに電話掛ければOK。 342 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/28(金) 04:50:40 ] >>341 WarGamesを思い出した。 343 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/28(金) 12:34:44 ] >>339 > 上の方のレス読まずに だから、どれがお前の書き込みだか 他の人には分かんねーんだっつーのw ここにいるのが全員エスパーだと思ってんのか? なんでコテハンにしないんだよ 釣られちまった 344 名前：名無しさん＠お腹いっぱい。 [2011/01/28(金) 12:46:01 ] >>343 そういうお前は誰なんだよ。 345 名前：名無しさん＠お腹いっぱい。 [2011/01/28(金) 12:50:26 ] >>343 その理屈なら、 > ・他人の提案は何でも却下 却下したのも誰だか判らないじゃないか。ｗ 346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/28(金) 14:06:56 ] >>342 古いね〜 347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/28(金) 14:10:03 ] war dialerでやられる。 348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/28(金) 17:28:01 ] >>347 管理者じゃない番号からの着信はPBXで止めろよ。 349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/28(金) 21:00:29 ] オレオレ 350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/29(土) 10:40:26 ] >>344-345 問題になってるのは「どれが質問者の発言か分からない」という話だろ 「他人」は何人いようと問題じゃない 他人のツッコミや推測の書き込みと質問者の答えの区別がつかんから 「前に書いた」と言われてもどれのことだか分からん訳で 2ちゃんでは話題が継続してる間は最初の質問の番号を名前欄に入れる のが一般的だと思うんだが質問者はそういうルールを知らんのか あるいは質問者は>>278だけで後はなりすましの他人による釣り行為だったのかw 351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/29(土) 10:49:12 ] もうこの話やめようよ。 352 名前：名無しさん＠お腹いっぱい。 [2011/01/29(土) 11:59:25 ] >>350 >>337は、(質問者が)「他人の提案をなんでも却下」したと言っている、 却下したのが他人の突っ込みでないこと、すなわち元質問者であるとわ かっている。 わからないお前がバカなんじゃない? 353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/29(土) 12:00:00 ] openssh 5.7リリースの話題から目をそらそうとする陰謀としか思えんな どういう目的があるのかはわからんが 354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/29(土) 19:54:45 ] >>352 とりあえず見てて不快だからこの話題やめようぜ 355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/29(土) 22:01:49 ] やり込めようと向かってこなきゃいいんじゃないかな。頭足りないんだから。 356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/30(日) 00:11:27 ] >>352 そのレス以前の文脈無視すんなよw 357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/30(日) 14:29:00 ] >>356 誰が書いたかわからないのに文脈もクソもないだろ。 358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/01/31(月) 11:39:19 ] >>353 とりあえず家のSolaris鯖のは既に入れ替えてみてある。 ぱっと見、session.cのコードが結構変わってた。 359 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/01(火) 18:44:56 ] >>358 よくわかってないんだけどECDSA って美味しい? 試しにssh-keygen -t ecdsa したら規定値256bit なんだけどこれで問題ないのかな? -3 は面白そう 360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/02(水) 10:06:03 ] 楕円暗号だから256bitもあれば RSA2048bit よりは強度はだいぶ上じゃないかな 361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/02(水) 10:14:40 ] > scp(1): 新しい -3 オプションを追加. これ壁というかGW上のホストでの作業に めちゃめちゃ便利そう いままでなかったのが不思議なくらい (いちいち ssh utigawa tar cf - | ssh sotogawa tar xpf - とかしてた) はやく FreeBSD のツリーに取り込まれないかな… 362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/02(水) 10:19:27 ] もう一つ openssh 5.7関係の話から(openssh とは直接は関係ないんだけど…) > sftp(1): sftp クライアントは非常に早くなった. WinSCP による転送が異常に遅い問題って この辺の話と関係あるんでしょうかね。 363 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/02(水) 15:03:40 ] * sftp(1): the sftp client is now significantly faster at performing directory listings, これ？ ディレクトリ一覧取得って書いてあるけど。 364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/02(水) 15:24:48 ] >363 あちゃ… たしかに原文はそうなってるね。 日本語訳しか読んでなかった… orz 365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/02(水) 20:53:32 ] >>360 トン RSA に比べると大分bit 数が少なかったので少し不安でした とりあえず256bit で運用してみます 366 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/04(金) 13:01:42 ] 5.8 www.openssh.org/txt/release-5.8 www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_5.8.txt 367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/04(金) 23:35:36 ] この前5.7出たばっかなのにもう5.8か 368 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/09(水) 07:24:56 ] PAMって具体的にどういう利点があるのですか？ 369 名前：名無しさん＠お腹いっぱい。 [2011/02/09(水) 21:43:26 ] >>368 認証プロセスをアプリ毎に実装する必要がない。 認証方法を変更する場合、ユーザー側の作業だけですみ、アプリに変更を加える必要がない。 370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/23(水) 00:31:11.34 ] MidpSSHでOpenSSHのsshdへ接続するにはsshd_configに最低でも Ciphers 3des-cbc としておかないと駄目らしい。 なんとか接続できたので快適ｗ 371 名前：名無しさん＠お腹いっぱい。 [2011/02/28(月) 10:39:20.71 ] ssh-keygen コマンドで作成される公開鍵、秘密鍵にはユーザ名は含まれているのでしょうか? ◯前置き： 自分のPC(Windows)には taro というアカウント名でログオンしていて、cygwin を使っている。 家庭内LAN上の別のマシンの Linux 上に taro というアカウントを作った。 cygwin の openssh で ssh-keygen で作成した公開鍵を Linux に送り、cygwin の ssh から 鍵認証でログインすることが出来ている。 ◯問題： sourceforge.jp にアカウントを作った。このときのアカウントは hoge とする。 hoge 用に公開鍵と秘密鍵のペアを作るのが面倒だったので、↑でつくった taro 用の公開鍵を sourceforge.jp に登録し、cygwin から $ ssh -i .ssh/id_rsa -l hoge shell.sourceforge.jp というようにやっているのだけど、10時間たっても Permission denied (publickey). というエラーが出てログインできない。 372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/28(月) 11:34:25.20 ] ユーザ名は含まれていない。 sshに-v付けて調べる。 373 名前：371 mailto:sage [2011/02/28(月) 12:08:14.03 ] >>372 レスどうもありがとうございます。 こんな感じになりました。 $ ssh -v -i .ssh/id_rsa -l hoge shell.sourceforge.jp OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006 debug1: Reading configuration data /home/taro/.ssh/config debug1: Connecting to shell.sourceforge.jp [202.221.179.26] port 22. debug1: Connection established. debug1: identity file .ssh/id_rsa type 1 debug1: Remote protocol version 1.99, remote software version OpenSSH_5.1p1 Debian-5 debug1: match: OpenSSH_5.1p1 Debian-5 pat OpenSSH* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_4.3 debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes128-cbc hmac-md5 none debug1: kex: client->server aes128-cbc hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY (続く) 374 名前：371 mailto:sage [2011/02/28(月) 12:08:30.45 ] (続き) debug1: Host 'shell.sourceforge.jp' is known and matches the RSA host key. debug1: Found key in /home/taro/.ssh/known_hosts:43 debug1: ssh_rsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey debug1: Next authentication method: publickey debug1: Offering public key: .ssh/id_rsa debug1: Authentications that can continue: publickey debug1: No more authentication methods to try. Permission denied (publickey). 375 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/28(月) 12:51:57.78 ] pubkeyのオファーはしてるけど、サーバ側で拒否してる。 サーバーに転送した公開鍵がおかしい(行末?)とか、ディレクトリが違うとか、 パーミッションがおかしいとか。 376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/28(月) 12:52:50.37 ] サーバの.sshがworldライタブルとか 377 名前：371 mailto:sage [2011/02/28(月) 13:10:15.94 ] レスどうもありがとうございます。 sourceforge.jp の場合、下記のように、 ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、 sourceforge.jp/projects/docs/wiki/SSH%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%82%AD%E3%83%BC ディレクトリが違うとかパーミッションがおかしいということはないと思います (sourceforge.jp の CGI が間違ってない限り) ちなみに「サーバ側で拒否している」とは、>>373-374 のどこでわかるのでしょうか? また、「鍵が合ってないよ」とは違う状況をサーバはおうとしているのでしょうか? 378 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/02/28(月) 13:28:46.78 ] > ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、 ありがちなミスでコピペしたときに途中に改行が入ってるんじゃない? 公開鍵は一行だぞ。 > debug1: Authentications that can continue: publickey (あんたの送った公開鍵は却下)次の公開鍵送れ。 379 名前：371 mailto:sage [2011/02/28(月) 15:04:24.35 ] すみません、原因がわかりました。 sourceforge.jp では、アカウント申請しただけではシェルサーバに ログインできず、何らかのプロジェクトに属さないとダメなようです。 申し訳ありません、お騒がせしました。 >>378 レスどうもありがとうございます。 ssh -v でデバッグする方法は今回で知ったので、今後に役立たせていただきます。 380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/26(土) 01:13:04.19 ] metosrv9.umd.eduがSSH舐めて歩いてる 381 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/27(日) 01:59:12.03 ] 公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。 Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。 最初、Mac1からDebにはsshで入れたが、Mac2からDebには Permission denied (publickey) のエラーで接続できなかった。 Mac1とMac2は同じ構成なので、これは不可思議だった。 Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、 Mac1からもDebに入れなくなっていた。 Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。 382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/27(日) 02:16:24.71 ] 間違えたので訂正。 公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。 Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。 最初、Mac1からMac2にはsshで入れたが、DebからMac2には Permission denied (publickey) のエラーで接続できなかった。 Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、 今度はMac1とMac2の両方からDebに入れなくなっていた。 Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。 383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/27(日) 09:08:23.01 ] どうみても別問題です Mac側ユーザでls -la ~/.sshした結果でも貼ってみれば？ 384 名前：382 mailto:sage [2011/03/27(日) 11:20:30.38 ] >>383 やはりそうですかねえ。それではMac1側のを一応貼ります。 -rw------- 1 me staff 1217 Feb 11 21:26 authorized_keys -rw------- 1 me staff 1743 Jan 1 12:28 id_rsa -rw-r--r--@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub -rw------- 1 me staff 418 Jan 1 13:07 id_rsa.pub -rw-r--r-- 1 me staff 14756 Mar 13 11:53 known_hosts 上記のうち、Debのpublic keyを -r--------@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub にしても変わりません。 385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/27(日) 13:26:38.84 ] 何言ってるのかちょっとわからない Mac1はログインする側でDebがされる側？ まさかだけど鍵穴に鍵穴を突っ込もうと奮闘してるとか？ 386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/27(日) 13:48:31.92 ] ここと、 ＞Mac1からMac2に ＞DebからMac2に ここで、 ＞今度はMac1とMac2の両方からDebに ログインの方向が変わってるぞ。鍵穴に鍵穴を突っ込もうとしてるか、鍵を鍵に突っ込もうとしてるのどちらか。 387 名前：名無しさん＠お腹いっぱい。 [2011/03/27(日) 15:02:42.89 ] pubkeyオンリーの運用が難しいなどと抜かす池沼はサーバの運用するな。 388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/27(日) 23:17:45.54 ] >>385 なんか百合っぽい 389 名前：名無しさん＠お腹いっぱい。 [2011/03/28(月) 06:06:44.71 ] 藤原一宏教授の虚偽申請は、日本の数学界に対する国民の信頼を裏切った、 無視することのできない重大な事件です。このような者がのうのうと責任ある教授職を 続けていることに、藤原氏がプロの学者であることを自覚しているのなら なおさら疑問をかんじざるを得ません。今後二度とこのような事件が起きないように するためにみなさんで建設的な議論をしましょう。 390 名前：382 mailto:sage [2011/03/28(月) 10:56:35.78 ] >>386 ログインの方向が変わっているのはその通りです。 ３つのマシンがsshdを動かしていて、それぞれ公開鍵を発行して相互にログインできてました。 いま困っているのは ＞今度はMac1とMac2の両方からDebに が出来ない事ですが、 別の事象として、DebからMac2にアクセスするときにも同じエラーが起きていたということです。 391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/28(月) 13:44:18.52 ] 公開鍵は使いまわせるけど、秘密鍵は使いまわせないですよね？ その公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない。 392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/28(月) 13:49:53.81 ] どういう意味で「公開鍵を使いまわす」と言ってるんだろう。 393 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/28(月) 13:50:31.92 ] >>391 キミは120%理解していない。 394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/28(月) 14:21:01.08 ] なるほど、この人はパスフレーズが「鍵」だと勘違いしているのかな… まあ何を拠り所に認証しようとしているか理解しないと いつまでたっても勘違い度2000% になっちゃうね 395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/28(月) 14:23:13.67 ] ＞公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない これができるなら、公開鍵暗号って破綻しないか？ 396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/29(火) 15:29:07.09 ] お客様の中にPuTTYを使っている方はいらっしゃいませんか PuTTYで共通する項目を設定することはできんものでしょうか 例えば色や外観など部分的な設定を各セッションで共通化したいのですが手軽な方法はないでしょうか ICE IVのPuTTYを使っています 397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/30(水) 10:19:55.10 ] putty.iniを編集(手動じゃ無くてもいいけど)するんじゃダメなの？ # そういう話じゃなくて？ 398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/30(水) 10:56:06.56 ] termcapでいうところのtc=が欲しいのだろう。オレも欲しい。 399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/30(水) 11:56:39.06 ] ごった煮でもiceivでも多分、無理。実を言うと俺も欲しかった。 ところでputtyスレは新スレ誰も立てずに断絶してしまってる？ 400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/30(水) 13:52:04.65 ] ありがとう >>397 それが一番手っ取り早いですね ini中のいつも使っている[Session:XXXX]のColourXX=で他のセクションのColourを置換してしまえばいいわけですし >>399 スレタイ検索ではputtyスレなかったです 401 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/03/30(水) 15:15:59.08 ] Default Settingsを読み込んでそこから派生させるとかじゃなくて？ 402 名前： 忍法帖【Lv=17,xxxPT】 mailto:sage [2011/04/29(金) 12:59:56.51 ] Windowsでsftpにエクスプローラから直接アクセスする方法を教えてください。 403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/04/29(金) 13:09:24.69 ] >>402 SFTPサーバーをエクスプローラの仮想フォルダとして追加できる「Swish」 www.forest.impress.co.jp/docs/review/20110127_422559.html 404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/26(木) 20:38:23.52 ] ポートフォワードをする際に sshサーバまでの暗号化をさせない方法はありますか? 405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/26(木) 23:22:00.18 ] 無い。 406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/27(金) 00:21:30.09 ] >>404 sshでポートフォワードさせればいい 407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/27(金) 10:08:43.79 ] 不毛だけど「させない」って言ってるんだから放置で 408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/27(金) 10:58:39.63 ] 放置して暴れられても面倒だろ >>404 スレ違い。SSHやめてnetcatでも使ってろよ。 409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/27(金) 20:20:49.36 ] は？暗号化をさせない方法は>>406でokだからそれで終了でしょ？ 410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/28(土) 19:26:38.08 ] 商用版SSHには暗号化無しにできるオプションがあるよ。 411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/28(土) 19:35:03.83 ] >>406 >>409 は何を取り違えてるんだろうか? 普通に暗号化するんだけど >>410 すみませんがフリー版でお願いします 412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/28(土) 20:26:33.43 ] >>411 SSHを使わずにポートフォワードすればいいんじゃね？ 413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 01:12:43.16 ] >>404 これでいいだろ ipfw add 100 fwd ${remotehost},${remoteport} tcp from me to me dst-port ${localhost} 414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 01:14:39.58 ] 最後の ${localhost} は ${localport} の間違い 415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 02:25:01.96 ] >>411 たぶん君のおちんちんが包茎なのが原因 416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 07:38:56.56 ] ふざけないでくれるかな。 結構真面目に質問したんだが。 417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 07:54:23.06 ] >>413 ssh鯖がレン鯖とかで、root権限がない場合は無理。 ipfw使うくらいならユーザー権限でstoneの方がいいだろ。 それでもssh鯖にはsshでのみアクセス化で、 勝手にport開いてlistenしてはいけない(fwでブロックされてる)という条件だと無理。 418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 07:55:48.88 ] なんで>>412と>>413を無視するの 419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 09:02:41.42 ] >>416 君は自分の恥垢臭で発狂してしまうという珍しい症例。 その狂った頭はもう手のつけようがないけど、包茎は治る障害だから せめて包茎主日ぐらいはしておけ。 420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 09:28:28.38 ] 暗号化したくないのになんでSSH使いたいの？ 421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 10:19:46.25 ] >>417 sshのみでアクセス可 って条件に非常に興味がある。 Linuxで、そんな設定が出来るのか？ どうやれば制限できるのか 方法を教えてほしい。 422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 11:13:24.12 ] >>420 よくよめ。 ssh鯖へのログインは暗号化。 その後のポートフォワードは暗号化せず。 だろ。 423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 11:30:30.65 ] だから>407でFAって言ったのに．．． 424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 11:40:36.38 ] ん？暗号化のCPU負荷を気にしてなくて実ネットワークに平文晒したいだけなら ssh -L sport:remote:lport localhost でよくない？ 425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 11:42:46.20 ] s/lport/dport/ 426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 11:54:23.14 ] なんだよ単なる露出狂かよ 427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 12:02:33.25 ] >>424 ssh鯖にログイン後に別のsshでssh鯖自身に接続してポートフォワードか -gオプション要る。それだと stone使うのと同じ 手元のホストとssh鯖との間がsshでしか繋げない制限がかかってる場合 ssh鯖上で別のlistenポートを開けないので>>424 だとNG 428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 12:16:44.63 ] あと、自分のホストとSSH鯖との間にNATルーターがあって、 逆方向にポートフォワード(ssh -R)したい場合も stoneや >>424の方法は使えませんな。 429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 12:32:47.86 ] >>428 なんで？ 転送先へもNATされるのが普通だろうから問題ないでしょ？ 430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 12:36:37.65 ] あ、転送先がNATの内側の話をいいたいのね 431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 12:38:33.66 ] >>429 内→外のNAT(NAPT)専用で、 NATルーターは別管理で、自分で設定を変更できないと考えろ 432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 12:42:59.23 ] いやNATの内側でも問題ないな 433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 13:24:10.87 ] 包茎くん、コテハンつけてね。んまぁ、つけなくてもレスから恥垢臭 漂ってくるぐらいに臭いからわかるけどさ。 434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/05/29(日) 15:48:54.77 ] 面白いと思ってるのかな 435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/08(水) 10:33:08.07 ] Sanba over SSH試してるんだがびっくりする位遅いんだな Teratermだと2MB/s程度しか出ない cygwinにOpenSSH-hpn入れてやっても13MB/sくらいが限界だわ その割にCPUのリソース余ってる感じだし・・ CPUガリガリ使ってガンガン速度出てくれないもんかね〜 436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/08(水) 10:35:04.35 ] あーSambaだった 437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/08(水) 13:25:02.78 ] 素直に sshfs にした方が 438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/08(水) 13:41:44.24 ] >>437 素直なのかそれ 439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/08(水) 15:13:04.49 ] すまない 素直じゃなかったよ//// 440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/08(水) 20:33:59.14 ] 萌えた 441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/09(木) 21:29:03.47 ] 435ですが色々やりまくった結果 Sambaに拘るならWindowsでのsshクライアントはCygwinでOpensshをTar玉取ってきて hpnパッチ当てるのが一番速いみたいです　商用だともっと速いのあるのかも？ んで鯖がGentooだったんですがこれが曲者でssh -vでOpenSSH_5.8p1-hpn13v10と 出るのにマルチスレッドで動いてませんでした　気が付くのにtopとにらめっこしつつ 設定変えまくって丸一日かかった・・・ 鯖の方のOpensshも野良で入れたらsshdの負荷がMAXで200%まで行くようになって SambaOverSSHでRead34MB/s、Write58MB/sまで出るようになりました(Phenom9750) さすがに4コア全部使い切ったりはしないもんですね ちなみにssh無しだとRead70MB/s、Write100MB/s位 SambaOverSSHで速度出そうって奇特な人は居ないかもしれませんが参考までに、 最初の2MB/sから34MB/sまで上がって嬉しくなったので書いてみましたｗ 442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/15(水) 02:24:23.96 ] gentoo って hpn でもマルチスレッド動いてないんだ? もしよかったら、どのあたりを設定したか教えてちょ。 443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/17(金) 22:22:05.43 ] >>442 設定っていうか/etc/portage/profile/package.providedでGentoo純正のOpenssh 入らないようにして元々のを消してopenssh.orgで取ってきたTar玉のOpensshに www.psc.edu/networking/projects/hpn-ssh/ で取ってきたパッチ上から3つ当ててインストールして/etc/init.d/sshdの SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd}の所を SSHD_BINARY=${SSHD_BINARY:-/usr/local/sbin/sshd}に書き換えただけです 444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/06/18(土) 21:57:05.86 ] >>443 なーほー。 ありがとん! 445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/01(金) 19:05:47.44 ] [クライアント-(Gateway)-サーバ]の環境下で, SSHで接続時にクライアントのディレクトリをサーバにマウントしたいのですが, クライアントにsshdを導入せずマウントできる方法はないでしょうか 446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/04(月) 18:50:53.50 ] 逆ポートフォワーディングやればよかでは 447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/10(日) 06:48:24.05 ] sshを導入しないならなぜここで聞くのか 448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/10(日) 07:58:24.51 ] すみませんが詳しい方のみ回答をお願いします 449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/10(日) 09:33:40.70 ] クライアントにsshdを導入するとマウントできる方法はあるでしょうか 450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/10(日) 11:24:19.67 ] 中国語でok 451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/10(日) 11:40:20.66 ] 我很遺憾、但我只懇求專家的人來回答。 452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/10(日) 11:50:00.63 ] はい。 sourceforge.net/apps/mediawiki/fuse/index.php?title=SshfsFaq#Is_there_some_neat_way_to_do_it_in_reverse.3F 453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/10(日) 13:04:32.53 ] フランスに渡米経験者のみ回答ok 454 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/20(水) 17:12:54.98 ] 『入門OpenSSH』という書籍の原稿が公開されてた。 www.unixuser.org/~euske/doc/openssh/book/index.html 良い時代になったなぁ… 次スレのテンプレ（何年後だ）に入れて欲しいぞ。 455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/20(水) 18:50:10.35 ] 4.69 で直ったやつか？ ttp://ttssh2.sourceforge.jp/manual/ja/about/history.html#teraterm_4.69 456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/20(水) 18:50:49.96 ] 誤爆した。すまん。 457 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/25(月) 07:11:21.09 ] 最近は外向きのSSLを一回解除して平文を読んでから外部にSSLで繋ぎ直すといった Man in the MiddleみたいなことをするIDSがあるみたいですが ローカルのクライアントから外部のサーバへアクセスする際に途中にこういったIDSが存在しても 公開鍵認証でSSH使っている場合にはこれは暗号文を復号されないということでよろしいのでしょうか？ 458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/25(月) 08:26:49.63 ] SSLの証明書やsshのサーバ host key が何かを 考えてから言ってくれ 459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/26(火) 02:03:57.05 ] 公開鍵認証かどうかは関係ないやろ。 ローカルのクライアントを操作してる人間が MITMゲートウェイの提示してきた偽造したホスト公開鍵を 外部サーバのホスト公開鍵だと闇雲に信じてしまうんなら そら盗聴されるわ。 460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/30(土) 22:55:04.76 ] sshで逆引きして.jp以外は拒否ってできますか？ 461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/07/30(土) 23:50:26.03 ] >>460 TCP Wrapperのライブラリがリンクされているか、inetd経由で起動させれば可能だよ。 462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/08/21(日) 18:50:25.69 ] 接続元のサブネットごとに、認証方式を変える方法ってどう書けばいいでしょうか。 具体的には、ローカルアドレスからは公開鍵認証かパスワード認証、 グローバルアドレスからは公開鍵認証のみ、 としたいです。 463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/08/23(火) 10:10:58.30 ] >>462 man sshd_configしてMatchでAddress使う書式確認すりゃいいんじゃね 464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/08/23(火) 15:37:28.24 ] >>463 ありがとうございます。「Match,Address」というキーワードがわかったので ssh Match Addressで検索したらそのものズバリのページがみつかりました。 ttp://inside.ascade.co.jp/node/4 465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/08/26(金) 14:13:13.34 ] 復帰 466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/09/05(月) 22:44:49.86 ] ところでケルベロス使ってる人いる？ 467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/09/05(月) 23:53:13.16 ] いるよ 468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/09/06(火) 21:54:07.01 ] どう？ 469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/09/06(火) 22:13:59.17 ] さぁ。 470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/09/06(火) 23:05:47.45 ] ありゃ地獄だぜ 471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/09/06(火) 23:46:26.24 ] www.openssh.com/txt/release-5.9 472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/09/26(月) 21:02:40.54 ] よくわからなかったころは合成に良く使った 473 名前：名無しさん＠お腹いっぱい。 [2011/10/02(日) 12:31:00.47 ] 質問です。 known_hostsに登録される鍵は、ホスト鍵と呼ばれるそうなのですが、 ホスト鍵にも秘密鍵と公開鍵があるんでしょうか？ その場合、known_hostsに登録されているのは公開鍵のほうですか？ 474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/02(日) 14:20:39.62 ] はい。 475 名前：名無しさん＠お腹いっぱい。 [2011/10/02(日) 21:41:53.68 ] >>474 ありがとうございます。 公開鍵はknown_hostsに登録されているとすると、 （ホスト鍵の）秘密鍵はどこに登録されているのでしょうか？ 476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/02(日) 21:58:32.77 ] $ grep ^HostKey /etc/ssh/sshd_config 477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/03(月) 01:08:39.12 ] >>475 クライアント側の話? なら秘密鍵はクライアント側にはないよ。 478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/04(火) 19:18:25.34 ] >>476 $ grep ^HostKey /etc/ssh/sshd_config $ 479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/04(火) 19:46:31.60 ] >>478 じゃあ $ grep -i ^HostKey /etc/ssh/sshd_config $ ls /etc/ssh/ それぞれの結果見せて 480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/04(火) 23:04:59.53 ] もしもホストキーを自分と相手で同じもの使ったらどうなるの？ 481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/05(水) 00:02:10.98 ] そんな事チェックしてないので、どうもならない。 482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/06(木) 00:24:04.87 ] >>477 クライアント側にあるのが秘密鍵じゃないの？ 483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/06(木) 01:40:00.64 ] 鍵を作ったところにしかないのが秘密鍵。 ホスト鍵はホストが作るんだからその秘密鍵がクライアントにあるはずがない。 484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/06(木) 02:11:06.54 ] 入門OpenSSH www.unixuser.org/~euske/doc/openssh/book/index.html 485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 01:06:13.11 ] >>483 クライアントで秘密鍵と公開鍵を作って サーバには公開鍵を登録する と思ってたけど違うの？ 486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 01:42:46.67 ] >>485 それは認証用の鍵でしょ なんの話をしてるんだよ 487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 02:17:54.44 ] >>485 ホスト鍵の話だよ。 sshd_config で言う HostKey の話。 488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 08:54:42.74 ] 秘密鍵を使用する以外の別の場所で、それを作ってはいけないという決まりはない。 489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 09:29:29.23 ] ホスト鍵って何に使うの？ 490 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 09:53:01.24 ] >>488 いきなり何を言い出したんだ？ 491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 10:30:19.60 ] >>488 作ってはいけないという決まりはないが、 作るべきではない。 492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 10:33:48.02 ] >>489 www.unixuser.org/~euske/doc/openssh/book/chap3.html 493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 10:48:12.08 ] ホスト鍵が何かわかってないってことは、 初回ログイン時に表示される fingerprint が何かわかってないってこと。 何も考えずに yes って打ってるでしょ。 それ危険だよ。 494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 11:06:06.49 ] サーバのIPがコロコロ変わるのでknown_hostsは毎回削除してたわ 495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 11:21:58.23 ] わかっててやってるならいいけどさ。 496 名前：名無しさん＠お腹いっぱい。 [2011/10/14(金) 21:45:45.81 ] ssh-agent コマンド ってやってssh-agentを起動する時、 普通に考えると「コマンド」はssh-agentの子プロセスになると思いがちだけど、 実際にはssh-agent内部でfork()した後、その親プロセス側が「コマンド」をexec()する。 「コマンド」が親で、ssh-agentが子プロセスになる。 で、このままでは「コマンド」の終了をwait()やSIGCHLDとかで検出できないので、 ssh-agentはわざわざ10秒おきに「コマンド」が終了したかどうかチェックしてる。 何故わざわざ親と子を逆にして面倒なことをしているのでしょう? 何か理由があるのでしょうか? 497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/14(金) 23:15:25.03 ] 呼び出し側がコマンドを子プロセス扱いできるようにってことかな？ 498 名前：名無しさん＠お腹いっぱい。 [2011/10/15(土) 02:02:05.36 ] フジテレビデモ 花王デモ 要チェック 499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/15(土) 11:32:51.63 ] 親プロセスがsh以外の(変な)プログラムだと混乱するのがあるんじゃないかな。 500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/15(土) 11:48:39.01 ] >>499 は？祖父母プロセスのことをいいたいの？想像できん・・・ 501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/15(土) 12:16:48.59 ] $ echo $$ 19472 $ ssh-agent bash -c 'echo $PPID' 19472 $ ssh-agent ssh-agent bash -c 'echo $PPID' 19472 $ ssh-agent ssh-agent ssh-agent bash -c 'echo $PPID' 19472 502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/15(土) 12:26:07.78 ] 10秒おきにポーリングしてプロセス終了を待つって無駄だよな。 実際ssh-agent終了直後、最大10秒間は /tmp/ssh-XXXXX が残ってしまう。 もっと効率的なアルゴリズムにできないのか? 503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/15(土) 12:37:43.36 ] >>496 しかもgetppid(2)じゃなくてkill(2)でチェックしてるんだな。10秒以内に同じ PIDのプロセスが作られると終了しない、と。 コマンド指定しない時のforkと無理やり共通化したかっただけとか・・・？ 504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/15(土) 14:05:20.20 ] コマンド付きだろうとなかろうと本来はssh-addやsshのためのソケットサーバ。 起動してしまえば子孫関係のないクライアントへも区別なくサービスできるし、 コマンド指定機能はオマケ機能扱いてことじゃね？ 505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 19:03:01.30 ] >479 それを見たところで分かるとは限らないという意味であえて書いてたのだが… $ grep -i ^HostKey /etc/ssh/sshd_config $ ls /etc/ssh moduli ssh_host_ecdsa_key ssh_host_rsa_key ssh_config ssh_host_ecdsa_key.pub ssh_host_rsa_key.pub ssh_host_dsa_key ssh_host_key sshd_config ssh_host_dsa_key.pub ssh_host_key.pub $ こんなとこ 506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 19:12:40.69 ] で、どうしたいの。 507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 20:16:45.13 ] >>506 >>505に対して書いてるのか?なら >>476が>>475の疑問を解消してくれるのを待ってる 508 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 20:28:43.50 ] grep結果にひっかからないということは/etc/sshのファイルが使われている保証はないということ？ 509 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 20:43:02.38 ] >>505 ssh_host_ecdsa_key ssh_host_rsa_key ssh_host_dsa_key ssh_host_key がホスト鍵だな 次の質問ある？ 510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 22:58:06.50 ] >>508 /usr/sbin/sshd -T で確認すればいいんじゃない？ 511 名前：名無しさん＠お腹いっぱい。 [2011/10/17(月) 23:04:38.51 ] これからはセキュリティックの時代なので ログインシェルをsshに変更したいんですが、 chsh -s /usr/bin/ssh のプロンプトを発行するとエラーになりました。 何か設定が足りないんでしょうか？ 512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 23:17:07.67 ] そういうネタはいいです。 513 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 23:20:04.38 ] # echo /usr/bin/ssh >> /etc/shells 514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 23:36:02.81 ] >>510 sshd: illegal option -- T OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 usage: sshd [-46Ddeiqt] [-b bits] [-f config_file] [-g login_grace_time] [-h host_key_file] [-k key_gen_time] [-o option] [-p port] [-u len] 515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/17(月) 23:39:22.21 ] ケチつけるだけじゃなく答え教えてあげたら。 516 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/19(水) 08:11:00.41 ] カラー表示の非対応SSHクライアントで端末タイプにvt100等を使用すると カラー情報をクライアントが認識できないため、カラーになる文字列の前後に余計な文字列が付与されますが、 このカラー情報のパケットのルールについて記載されているサイト等は無いでしょうか？ 端末タイプのdumbを認識しないsshdの場合、手動で取り除きたいと考えています。 517 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/19(水) 11:50:47.19 ] 自己解決レス。 ANSIカラーコードという体系があったのですね。 518 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/19(水) 13:27:19.47 ] っていうか vt100 はカラー対応じゃないし… そもそも TERM をみてカラー対応じゃなかったら そのエスケープシーケンスは吐くべきじゃないわけだが 519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/19(水) 14:01:20.68 ] TERMがvt100じゃなかったってオチでは？ 520 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/19(水) 14:31:14.74 ] エスパーするとGNU lsはTERMを認識せずにカラー表示する。 alias ls='ls --color' されてたりする。 TERMをちゃんと認識するには ncursesなり termcapなりのライブラリとのリンクが必要。 lsのような基本コマンドで ncursesとかに依存するのは大げさだから、 TERM無視してエスケープシーケンス出力する今のやりかたが妥当。 521 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/19(水) 15:19:07.26 ] 普通の標準出力の文字列内にエスケープシーケンスがあるべきじゃないだろうし、 5d（だっけ）と直近のmの間を取ってやればいいんじゃないか？ 522 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/30(日) 23:22:31.89 ] 基本的には公開鍵認証、 特定のアドレス範囲内からの接続であればパスワード認証も可。 という設定にするにはどうすればいいですか？ というのも一部のクライアントが 公開鍵認証に対応していないもので……。 523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 03:55:48.52 ] >>522 >>462-464 524 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 08:08:26.03 ] 公開鍵認証に対応してないsshクライアントってなんだよ。 そんなのsshクライアントじゃない無視してもいい。 525 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 08:14:24.55 ] すみませんが詳しい方のみ回答をお願いします 526 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 08:34:45.02 ] >>525 sshd2個あげれば？ ふつうは524(クライアントソフト入れ替え)が正しい 527 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 08:37:38.84 ] >>522 /etc/ssh/sshd_configで PasswordAuthentication no Match 192.168.0.0/24 PasswordAuthentication yes こんな感じかな。 コピペせずに ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html 見ながら設定を推奨します。 てゆか>>523で正解。 >>524 俺も興味あるなｗ 「一部の」ってことはそれなりに数あるんだろうけど…なんじゃそりゃとしか。 528 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 09:47:02.51 ] クライアント側アプリではなく 「(公開鍵の概念を理解できない)顧客」 だったりしてな… 529 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 09:51:21.95 ] そういうクライアントは辞書攻撃でやられるパスワードをつける可能性が大だから、 やはり無視するのが正しい。 530 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/10/31(月) 12:00:59.75 ] 俺は >>528 の解釈が当たりだと思った だったら man sshd_configしてMatchでAddressとUserとの組合せの書式を 確認させないといけないね。本当にやりたいことに近いのはIPアドレスで 判別じゃなくて、IPアドレス&ユーザ名で判別だろうからね。 Match User alice,bob Address 192.168.0.0/16,10.0.0.0/8 PasswordAuthentication yes PermitEmptyPasswords no 本当にやりたいことは「こんなクソみたいな設定作業を低コストでどっか にほっぽり出したうえで責任回避するにはどうしたらいいか」って問題の 解決だろうが、そんなもんスレ違いｗ 531 名前：名無しさん＠お腹いっぱい。 [2011/11/02(水) 17:58:33.74 ] sshでUDPをポートフォワードする方法教えて。man見てもよくわからんね 532 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/02(水) 18:02:28.57 ] >>531 ググれカス 533 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/02(水) 18:05:33.59 ] >>531 SSHだけじゃできない、ってのはわかってるかな。 534 名前：531 mailto:sage [2011/11/02(水) 18:54:46.54 ] もちろん、わかってません＞＜ 535 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/02(水) 19:54:37.43 ] じゃあnetcatも使ってなんとかしとけ 536 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/02(水) 20:34:27.86 ] にゃあ 537 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/02(水) 21:26:01.91 ] DeleGateのUDPrelayとかかます i-red.info/docs/Manual.htm#serv_udprelay 538 名前： 忍法帖【Lv=40,xxxPT】 mailto:sage [2011/11/07(月) 05:15:04.90 ] http overでssh接続することはできませんか？ 539 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/07(月) 10:52:52.94 ] connect.cとかcorkscrewとかを使えばできる。 540 名前：名無しさん＠お腹いっぱい。 [2011/11/08(火) 18:42:53.73 ] sshdですが、2つのポートで待ち受けることはできるのでしょうか？ 541 名前：名無しさん＠お腹いっぱい。 [2011/11/08(火) 18:56:06.14 ] >>540 www.jp.freebsd.org/cgi/mroff.cgi?sect=5&cmd=&lc=1&subdir=man&dir=jpman-5.4.0%2Fman&subdir=man&man=sshd_config Port (ポート番号) sshd が接続を受けつける (listen する) ポート番号を指定します。デ フォルトは 22 です。複数指定することも可能です。 ListenAddress の 項も参照してください。 542 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/08(火) 18:58:30.21 ] www.openssh.org/manual.html 543 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/08(火) 19:09:32.46 ] >>542 ﾊﾞｰｶ 544 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/08(火) 19:20:13.84 ] 罵倒する理由はなに？ 545 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/08(火) 20:33:45.19 ] >>544 >>541の2分後に堂々と>>542を書き込んでくるその神経に敬意を表して 546 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/08(火) 21:10:27.53 ] 狭量 547 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/08(火) 21:17:59.43 ] 2分後ｗ 548 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/08(火) 21:28:40.96 ] >>542 と >>543 の狭量比べが始まりました 果たして勝者は!? 549 名前：542 mailto:sage [2011/11/08(火) 21:34:40.77 ] おれは別にどうでもいいよ。 550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 04:40:41.95 ] 早速の変身ありがとうございます。 2つのポートを使いたいというのは、ファイアウォール内では問題ないのですが 外からはポート80以外接続できないようになっています。 apacheは動いていないので、80番ポートを通してSSH接続できないかと 思案していたところでございました。 551 名前：名無しさん＠お腹いっぱい。 [2011/11/09(水) 05:04:47.19 ] >>550 80も狙われやすいと思うけど。 TCP porrt 53とか開いてないのかな？ 552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 09:16:59.92 ] >>551 狙われてもいいじゃん。 sshdの方で鍵認証のみにするなり防御の方法はあるし、 L4で狙われにくいポートを選ぶっていう小細工したって知れてるでしょ。 553 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 09:21:38.93 ] ところが公開鍵認証に対応していないクライアントなんですよ。 554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 09:41:06.42 ] そのネタはもういいです。 555 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 10:33:42.19 ] ポート変えるのは防御ってより ウザいログを減らすためだな。 556 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 13:46:38.52 ] まあ80番にSSHアタックしてこんだろ 557 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 14:11:59.34 ] ないとは言いきれない。 558 名前：名無しさん＠お腹いっぱい。 [2011/11/09(水) 14:23:07.22 ] sshは応答で簡単にわかるから、sshアタックあってもおかしくない 固定IPからのみのパケットフィルタリングとか出来ると 安全、安心。 559 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/11/09(水) 17:47:20.05 ] 鍵のみ+denyhostでいいんじゃ？ 560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2011/12/24(土) 01:40:49.43 ] SignificantSukebeHeitai 561 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/10(火) 15:29:17.25 ] OpenSSL 1.0.0f and 0.9.8s https://www.openssl.org/news/secadv_20120104.txt セキュリティフィクスのみかな 562 名前：561 mailto:sage [2012/01/10(火) 15:56:25.99 ] あ，OpenSSHスレだった ごめん 563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/23(月) 19:44:03.60 ] androidのconnectbotでssh port forwardしたいけどできねー。 他にクライアント無いですか。 564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/23(月) 21:51:14.28 ] >>563 stone じゃだめかいな。 565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/23(月) 23:15:51.72 ] Connectbotって、sshでパスワード認証成功させて、 アンドロイドVNCを起動させると、裏にまわったConnectbotが落ちちゃう(killされる？)みたいなんですよね。 でも、毎回そうなる訳じゃないから不思議... やっぱりスレ違いかな。 566 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/23(月) 23:33:59.68 ] SSHTunnelとAndroid VNCの組み合わせで使ってる 567 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/23(月) 23:34:22.51 ] 犬板にこんなスレできてるから聞いてみるといいかも Android総合 engawa.2ch.net/test/read.cgi/linux/1327118733/ 568 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/24(火) 00:03:27.30 ] Root requiredなのを使えば鉄板なのはわかるんだけどなぁ。 でもnative binaryなAndroidアプリの話ならスレ違いってことはないか。 569 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/24(火) 08:43:57.26 ] SSHTunnelは特権なくてもVNC程度なら使えるはずだけど 570 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/26(木) 16:23:27.70 ] 普通にSSHTunnelで出来ましたが、一回の接続につき、トンネルを一本しか掘れないんですね。 それだけが玉に傷。 571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/29(日) 14:02:58.50 ] ここに書けばいいのかよくわからないけど ssh -Yでフォワードしてfirefoxとかはちゃんと動くんだけど javaのアプリ(V2C)が空白になって描画されないんだよね はじめは-Xでやってたんだけどググったら-Yでやれみたいなことが書いてあって試したんだけど変わらず なにか心当たりある人いますか？ 572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/01/29(日) 22:45:28.79 ] ごめんなさい自己解決しました awesomeの問題？でwmname LG3Dを実行してから起動すると正常に描画されました 573 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/09(木) 00:27:53.62 ] nohupコマンドについて質問です。 ログアウトしてもジョブが継続されるとのことですが、 ログアウトというのはSSHからログアウトという意味でしょうか？ それともSSHだけでなくターミナルを起動しているＰＣの電源を落としてもジョブは継続するのでしょうか？ 574 名前：名無しさん＠お腹いっぱい。 [2012/02/09(木) 00:56:26.20 ] >>573 はい 575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/09(木) 01:54:30.41 ] 両方。 576 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/09(木) 02:01:10.50 ] >>573-574 ありがとうございます 577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/09(木) 02:01:39.64 ] >>575 ありがとうございます 578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/16(木) 18:14:49.38 ] すみません、質問です。 昨日OpenSSH(5.9_p1-r3)サーバを再インストール(selinux,pam環境下)したところ クライアントからrootでは接続する場合ではセッションを確立でき、 当然セッションを確立した状態からならほかの一般ユーザにログインもできるのですが クライアントから直接一般ユーザでセッションを確立しようとすると OpenSSH_5.4p1クライアントではConnection to (SERVER) closed by remote hostというエラーが発生し OpenSSH_5.9p1(サーバ)から接続してもWrite failed: Broken pipeと表示されてセッションを確立できません 鍵の再作成とknown_hostの初期化, hosts.allo/denyなどは設定したのですが解決のめどはありません。 どなたかわかる方いらっしゃるでしょうか 579 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 03:51:00.06 ] CentOS6でほぼデフォルト状態で使用しています。 sshを使用してポート3306(DB)に接続した場合、そのことがログ/var/log/*に記録されますか？ それとも、sshでログインがあったことしか残りませんか？ 580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 07:47:06.09 ] やってみりゃいいじゃん。 581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 08:11:16.92 ] きっと、攻撃する方でログは見れないんだろ。 582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 08:15:44.70 ] 同じ環境作ればいい。 583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 09:12:34.88 ] 対象の環境は侵入して調べなきゃ再現できないじゃないか。 584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 09:58:20.38 ] そこはもう済んでるから >>579みたいな質問になったんじゃないの？ 585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 10:13:54.86 ] サクッと教えてくれるのがおまえらやん… Acceptedのログにフォワーデング先のポート番号も出るならlogwatchとかでバレちゃうかなぁ 586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 10:19:21.26 ] さくっとわからんもの。 環境作って検証しないとわからん。 だったら自分でやれ、と。 587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 16:46:24.08 ] >>580-584,586 CentOS6でほぼデフォといえばキュピィーーンってくるエスパーに期待しちゃったお とりあえずありが�d DBはログ監視どころかログとってすらなさげだから普通にsshでログインしてから DB接続した形跡をhistoryに残さないよう注意しつつなんとかするお 588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 18:24:52.20 ] ほぼデフォといったって、my.cnfに一行追加するだけだろ。ｗ 589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 18:41:10.85 ] デフォってminimal installのことか? 590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/17(金) 21:54:54.64 ] mysqlサーバにログインしてデフォで接続なら3306は関係ないだろj 591 名前：名無しさん＠お腹いっぱい。 [2012/02/17(金) 23:51:35.08 ] ちんぼ 592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/20(月) 20:36:43.13 ] すみません質問です． リモートからの接続も，サーバ自身からの接続(ssh localhost -l ${USER})でも， ユーザがrootならば接続できるのですが，一般ユーザだと接続に失敗します． --vvオプションで実行した場合以下のようになるのですが，解決法のわかる方いらっしゃらないでしょうか debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 1 Password: debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 0 debug1: Authentication succeeded (keyboard-interactive). Authenticated to localhost:22). debug1: channel 0: new [client-session] debug2: channel 0: send open debug1: Requesting no-more-sessions@openssh.com debug1: Entering interactive session. Write failed: Broken pipe 593 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/21(火) 09:53:18.19 ] LogLevel上げてログを確認してみたら? 594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/02/21(火) 11:30:57.65 ] > debug1: Authentication succeeded (keyboard-interactive). 認証は通ってるからsshd側でログとらないとわからないなあ。pamとかかな。 595 名前：名無しさん＠お腹いっぱい。 [2012/05/21(月) 20:55:35.98 ] windows用puttyでパスフレーズなしで key id_rsaを作りました。 そのkeyでSSHログインしようとすると >ssh -i id_rsa hogehoge.com Enter passphrase for key と なぜか設定した覚えのないパスフレーズを求められてしまいます。 PuttyのGUIのほうでログインすると問題ないのですが、、、 596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/05/21(月) 21:13:48.03 ] puttyで作った秘密鍵とopensshで作った秘密鍵はフォーマットが違うから それぞれの対応ソフトでしか使えない 公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない 597 名前：名無しさん＠お腹いっぱい。 mailto:sage [2012/05/21(月) 21:17:45.88 ] >>596 > 公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない ん? 変換できるでしょ。 ttp://blog.promob.jp/fri/2010/01/putty.html

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef