SSH その4
- 1 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:35:08
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
- 2 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:36:08
- よくある質問
Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
- 3 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:37:08
- ◇実装
本家ssh.com
http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
http://hp.vector.co.jp/authors/VA002416/
http://www.zip.com.au/~roca/ttssh.html / http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
http://sleep.mat-yan.jp/~yutaka/windows/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/
PortForwarder
http://www.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html
- 4 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:38:08
- ◇規格等
IETF secsh
http://www.ietf.org/html.charters/secsh-charter.html
WideのSSH解説
http://www.soi.wide.ad.jp/class/20000009/slides/12/
◇おまけ
Theoのキチガイぶり
http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
http://www.qmail.org/djbsssh/
- 5 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 20:09:30
- ssh
- 6 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 05:51:37
- TheOpenBSD
- 7 名前:名無しさん@お腹いっぱい。 投稿日:04/12/06 15:54:12
- ssh のログの設定ってどこでやるの?
- 8 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 15:56:08
- >>7
sshd_config にあるべ?
- 9 名前:名無しさん@お腹いっぱい。 投稿日:04/12/06 16:26:45
- ないよ・・ うーむ すいません 初心者です;;
- 10 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 16:26:47
- これがMacOS Xの元になったOpenBSDを主宰するテヲの作ったSSHってやつですか。
- 11 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 16:34:54
- ∩___∩ |
| ノ\ ヽ |
/ ●゛ ● | |
| ∪ ( _●_) ミ j
彡、 |∪| | J
/ ∩ノ⊃ ヽ
( \ /_ノ | |
.\ “ /__| |
\/___/
- 12 名前:名無しさん@お腹いっぱい。 投稿日:04/12/06 18:50:55
- ありがとう ありました。
scp と sftpのログの設定はどこでやるんだろう
すいません もうちょっと探してみまする
- 13 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 03:45:55
- "djbsssh"
sが一個多いのは何故?
- 14 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 03:50:18
- djb's ssh ってことじゃない?
- 15 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 09:48:52
- Secure SSH
- 16 名前:名無しさん@お腹いっぱい。 投稿日:04/12/07 10:08:56
- >12
しらん。
- 17 名前:名無しさん@お腹いっぱい。 投稿日:04/12/07 16:42:05
- ない acインストールするとか・
- 18 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 21:24:12
- >>15
わろた
いい皮肉だ
- 19 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/08 20:13:37
- SSHv1って、IDEAか何かにセキュリティホールあるんだっけ?
- 20 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/10 21:33:46
- オレ、オレ
- 21 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/15 14:54:09
- 振込め、振込め
- 22 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/16 08:26:23
- Yutaka氏版って、ssh2で鍵認証できないの?
うまくいかないよ〜
- 23 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 13:12:37
- keygen でのデフォルトの鍵長(1024 bits ?)は、(SSH 開発当初よりは速くなった)
今日の CPU でも安全といえるものなのでしょうか?
- 24 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 13:38:22
- アルカイダの構成員なら2048bitにしたほうがイー!
- 25 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 13:47:51
- >>23
今日のCPUでも平気。
SSH開発当初からCPUの速度は1000倍くらいにはなったが、
これをbit数に直すと10bit程度でしかない。
ブルース・シュナイアーが書いてた目安が参考になるだろう。
http://www.schneier.com/crypto-gram-0204.html
- 26 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 18:52:15
- ブルートフォースな攻撃法であれば、の話だけどな
- 27 名前:23 メール:sage 投稿日:04/12/17 22:12:50
- こんなの見つけますた。
↓
ttp://www.rsasecurity.com/rsalabs/node.asp?id=2004
>>24
政府関係機関なので 4096bit を目指します(ウソ
実際のとこ、いまどきの Intel 系 CPU なら、4096 bit の鍵生成の時間も、
まぁ我慢出来なくはない範囲です。
>>25-26
予め素数表を作成しておく攻撃だとどうでしょう?
- 28 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 23:41:44
- >>27
> 予め素数表を作成しておく攻撃だとどうでしょう?
無理。
表がどのくらいの大きさになるか、素数定理を使って計算してみな。
- 29 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/18 01:17:02
- 素数表を作成って力任せそのものじゃん
- 30 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:14:40
- scp でリモートにファイルをコピーできますけど、
scp でそのリモートのファイルを削除する、ってできるでしょうか?
- 31 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:21:32
- scp - secure copy (remote file copy program)ですから。
- 32 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:46:40
- ssh user@host rm file ぢゃだめなのか?
- 33 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:52:57
- >>32
なるほど、そうですね。それでいけそうです。
あと、 sftp で rm するという手もありそうです。
- 34 名前:名無しさん@お腹いっぱい。 投稿日:04/12/23 19:35:55
- >22
公開鍵認証は 2.07f で対応します。
今晩リリースする予定です。
- 35 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 19:45:40
- >>34
たしかに出来ました!
- 36 名前:名無しさん@お腹いっぱい。 投稿日:04/12/29 20:35:18
- 教えて!
http://05xx.sub.jp/ttssh/
- 37 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 20:43:00
- >>36
何を"教えて"なのでしょう?
SSH対応のTeraTermならUTF-8対応版を使うという方法もありますよ。
ttp://www.vector.co.jp/soft/winnt/net/se320973.html
- 38 名前:名無しさん@お腹いっぱい。 投稿日:04/12/29 21:56:15
- Mac用みたいなのはしらないですか?
- 39 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 21:58:50
- MacSSH?
- 40 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 22:14:14
- >>38
"Mac用みたいな"というのは、下記のどちらの意図でしょう?
"MacSSHのような雰囲気のWindows版SSHクライアント"ということなら、
TeraTermとかPuTTYじゃだめでしょうか?
"MacOS版のSSHクライアント"ということで、MacOS 9ならMacSSH、
MacOS Xなら標準のsshコマンドをTerminal内で使うとか。
あ、標準のsshコマンドだと、日本語が文字化けするんでしたっけ?
- 41 名前:初期不良 メール:sage 投稿日:04/12/30 03:40:39
- OSX のターミナルでエンコードを選べば化けないっすよ。
UTF-8 でも EUC でも OK。
- 42 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/30 11:56:53
- JellyfiSSH+Terminal で十分かもかも。
- 43 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/30 12:47:57
- openssh
- 44 名前:名無しさん@お腹いっぱい。 投稿日:05/01/04 15:44:03
- あけましておめでとうございます。
pageantを使っているのですが、記憶させたパスフレーズを忘れさせるにはどうしたらいいのでしょう?
- 45 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/04 16:56:37
- ぺーじあんと? 頁蟻?
- 46 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/04 17:40:16
- >>45
PuTTYのpagent.exeのことでしょうね。
>>44
下記のページにあるように、Add Keyで削除もできませんか?
ttp://osksn2.hep.sci.osaka-u.ac.jp/~naga/miscellaneous/winsshb2.html#Anchor-%20%20-9834
- 47 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/04 21:23:53
- >>46
pagent ではなくて pageant が正しいです
- 48 名前:名無しさん@お腹いっぱい。 投稿日:05/01/04 22:04:50
- >>46
それはRemoveKeyで削除することを言ってますか?
登録したキーを削除するのじゃなくて、キーを登録するときに入力するパスフレーズを記憶してくれる機能があるのですが、そのパスフレーズを忘れた状態に戻したいのです。
ごった煮版特有の機能なのかしらん?
- 49 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/05 04:35:42
- >>47
うわー、すみません。打ち間違えました。(-_-)
>>48
良く分かってないのに口を出してすみません。
- 50 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/06 23:17:28
- >>48
ごった煮版だけの機能
putty.ini使ってるなら
[Passphrases]セクションにあるけどね。
レジストリに設定保存してる場合は知らん
- 51 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/07 09:16:11
- >> 50
あーやっぱそうでしたか。
iniファイル使う方法はしらないけどレジストリにエントリはみつけました。
pageantじゃなくてputtyのレジストリに書かれてたのね。
ざっくり消してさっぱり解決。
どうもありがとです。
しかし毎回の鍵の追加のときに記録したパスフレーズのどれか一つでもマッチすると認証されてしまうんだけどそんなもん?
- 52 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/15 20:14:55
- 初心者なのですが,助けて頂けますでしょうか?
当方,AstecX+TTSSHでX画面を転送させていたのですが,
先日からログイン先がSSH2に切り替わりました.現在
SSH2対応のTeraTermに替えて同様にXを飛ばそうとして
いるのですがうまくいきません.
何かアドバイスをお願いします.
- 53 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/15 22:52:52
- >>52
TeraTermにこだわらないのであればPuTTYを試してみるとか。
うちはSSH2でXをPuTTYで飛ばせてるよ。
- 54 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/15 22:53:23
- しまった。日本語がグダグダだ。意味はわかるよね(汗
- 55 名前:52 メール:sage 投稿日:05/01/16 16:55:16
- >>53
ありがとうございます。上手く行ったようです。
- 56 名前:名無しさん@お腹いっぱい。 投稿日:05/01/29 23:55:37
- ターミナルエミュレータごとにssh-addのパスワードを入れるのが
めんどうなんですが,
一回いれたら,他のターミナルエミュレータでは
パスワード要らなくする方法ありますか?
確か,どっかのサイトで昔見たのですが,
忘れてしまって(^^;;)
- 57 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 00:17:30
- >>56
keychain とか?
- 58 名前:名無しさん@お腹いっぱい。 投稿日:05/01/30 01:37:58
- そうです!
この記事
http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
を探していたんです!
助かりました.m(_ _)m
- 59 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 03:43:48
- >>58
でもその記事うそ多くない?
- 60 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 04:15:38
- ssh-agent?
- 61 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 04:52:52
- WinSCP ヴァージョンナップ sage
- 62 名前:57 メール:sage 投稿日:05/01/30 11:13:17
- >>58
そうそう。それです。私もこれで知って SolarisとかFreeBSDとかMacOSXですが
ずっと使ってます。便利ですよね。
>>59
うそ っていうとどこら辺が うそ ぽいんでしょう?
大体そういうアーティクルって自分の環境に合わせて適当に
解釈しながら読むので うそ ってあんまり気づかなかったりしてしまう...
- 63 名前:58 投稿日:05/01/30 11:54:44
- keychainなんですが,.bash_profileに書くのが
http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
では
source ~/.ssh-agent
となっていたが,sshの度に秘密鍵用のパスフレーズを聞かれて失敗
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=15857&forum=10&2
の通り
source ~/.keychain/現在のマシン名-sh
とやったら成功しました.
cygwinで使っているんですが,終了処理も
/usr/bin/keychain -k
を.bash_logoutに追加すると,
cygwinのウィンドを一個でも終了したら
keychainの効果が消えてしまう.
かといって,.bash_logoutに書かないと,
開始時にパスフレーズを入力した
cygwinのウィンドが終了できないで,
logout
と出たまま止まる.
解決方法はありませんか?
- 64 名前:名無しさん@お腹いっぱい。 投稿日:05/02/02 11:24:15
- うちの大学のメールサーバは SSH でいったん接続して
トンネルの中でしか POP 通せないようになっているので、
毎回メールチェックのたびに PuTTY などで接続しているのですが、
あまりにも面倒です。
SSH でポートフォワーディングしてくれるダミーのダイアルアップ
接続用ドライバってありませんかね。
もぐらプロジェクトのモノがそれっぽいかな、とおもったんですが、
SSH 接続後にその上で PPP によるリンク成立を試みるので、
すぐに失敗、切断してしまいます。
http://www.kmc.gr.jp/proj/vpn/
- 65 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/02 20:05:00
- plink使えばいいじゃん
- 66 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/02 23:03:35
- >63
順に、
keychain --help する。
パスフレーズなしの鍵を使う。
ck 使う or sshd 経由にする。
- 67 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/04 18:35:33
- keychain なんだけど
ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"
このコマンドラインだと
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
で終わっちゃってパスフレーズを聞かれないんだけどそーゆーもん?
2回 keychain 呼んでやればちゃんと聞いてくれるんだけど…。
% ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa;keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
* Adding 2 ssh key(s)...
Enter passphrase for /home/mona/.ssh/id_rsa:
- 68 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/08 23:04:55
- >67
なにしてるの?
- 69 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/08 23:31:58
- >>68
目的は一発で「リモートに ssh した時に ssh-agent を設定した上で screen
を立ち上げる」ってことなんすけどね。で、
ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa; . \$HOME/.keychain/\$(uname -n)-sh; exec screen"
こうやってみたら何故かパスフレーズを聞かれない、と。
どっか間違ってるっけ?
- 70 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/09 00:55:27
- >>69
UNIX の sh だと $(〜) は使えなかったりするね。
- 71 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/09 01:04:39
- えええっ?
少なくとも最近はそんなのはあまり転がってないと思うけど。
- 72 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/10 02:21:05
- >69
keychain --help すれ。
パスフレーズなしの鍵を使うのは?
ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
で動くと思うけど、
keychain は .cshrc とかに書く。
# REMOTE_HOST に ssh してわざわざ sh -c する?
# ろぐいんして HOME じゃないの?
あと exec screen でなくて、見たり (-ls) だとか
アタッチ (-r) だとかするのもスクリプトに
しといたほうがいいのでは?
- 73 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/10 19:56:29
- >>72
> ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
> で動くと思うけど、
thx! いけたよ。実は -t は付けてたんだけど、気付いてみりゃ ssh なのにわ
ざわざ sh -c することはないわな(;´Д`)
以下は余談。
> あと exec screen でなくて、見たり (-ls) だとか
> アタッチ (-r) だとかするのもスクリプトに
> しといたほうがいいのでは?
アドバイスさんきゅー。実際は -xRR 付けてるので大丈夫。
- 74 名前:名無しさん@お腹いっぱい。 投稿日:05/02/12 22:55:27 ID:tFwzcORg BE:16589546-#
- Debian Linux + OpenSSHを使っています。
SSHDに一般ユーザーがログインしたとき、自分のホームディレクトリ
(/home/***/)より上の階層にいけないようにするにはどうすればいいでしょうか。
また、指定したコマンドを利用出来なくするにはどうすればいいでしょうか。
- 75 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/12 23:10:31
- chrootssh
- 76 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/13 02:08:20
- >>75
見つかりました。ありがとうございます。
- 77 名前:名無しさん@お腹いっぱい。 投稿日:05/02/14 22:15:30
- Mac OS X のSSH Agent 使ってる人いませんか?
なんか、昨日まで問題なく使えてたのに、今日突然
動かなくなってしまった(起動途中で固まってしまう)。
配布元(http://www.phil.uu.nl/~xges/ssh/)に何か情報が
ないかと思ったら、タイムアウトで見れないし…。
あれ、起動時にアップデートを自動チェックするオプションを
たしかオンにしてたんだけど、まさか……
- 78 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/14 22:49:18
- >>77
知らんがな
- 79 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/15 02:21:22
- >>77
使ってるよ
- 80 名前:→ メール:sage 投稿日:05/02/15 10:02:25
- SSHでログイン後にコマンドを自動実行したいのですが、何か方法はありますか?
イメージとしては、通常の.loginとか、bashなら、.bashrcのようなものです。
- 81 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/15 10:07:04
- >>80
ssh の引数にコマンドくっつけるんじゃだめなん?
- 82 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/15 10:09:14
- >>80
~/.login あたりで
環境変数 SSH_CONNECTION があったらコマンドを実行する、とか。
- 83 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/18 13:51:56
- OpenSSHのCompressionって、
サーバー側で有効になっていて、かつクライアントでも有効にした場合に圧縮される。
どちらか片方のみ有効の場合は圧縮されない。
っていう認識であってますか?
- 84 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/18 19:05:43
- 左手に入門SSH
- 85 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 17:49:59
- すみません、ログインを許可する接続元アドレスを
ユーザー毎に設定することはできませんか?
- 86 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 20:11:46
- 鍵ならauthorized_keysで接続元アドレスやコマンドを制限できるけど、
そういうのじゃなさそうだし。
PAMをつかえばいけるのかな?pam_access.soとか
- 87 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 20:28:23
- それは笑う所なのか?
- 88 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 21:30:58
- フゥハハハーハァー
- 89 名前:85 メール:sage 投稿日:05/02/19 21:40:55
- 家に4台の linux マシンがあって、ssh で相互に入ることがよくありますが、
普段使ってるユーザー名もパスも単純なのでこれらは自宅外からは接続禁止にして、
それなりに面倒なパスワードのユーザーだけ、外から入れるようにしたいんです。
つまり接続元を
普段のユーザー:192.168.1.*
面倒なユーザー:*.*.*.*
からのみ許可するように設定したいんですが、そういう設定はできませんか?
どうか御指導願います。
- 90 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 21:51:54
- パスワードではなくパスフレーズを使いなさい。
- 91 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 21:55:51
- つーか鍵使えよ
- 92 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 02:09:16
- >>89
ルータのフィルタリングルールでtcp/22 (ssh)を閉じとけばいいんじゃ?
# おそらくADSLか光でNATなんだから。
- 93 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 03:04:37
- それは笑う所なのか?
- 94 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 04:08:20
- たぶん笑うところであろう
- 95 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 06:26:12
- ( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \ / \
- 96 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 06:51:12
- 確認してから笑うなよ
- 97 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 12:44:58
- ファファファって笑うとFF5のラスボスみたいでカコイイかも
- 98 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 12:55:08
- ( ・(ェ)・) ファーファ
- 99 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 15:36:26
- フゥハハハーハァー
- 100 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:04:55
- カプカプ
- 101 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:40:06
- クラムボンでたー
- 102 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:44:23
- パチン
- 103 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:47:54
- クラムボンはフゥハハハーハァー笑ったよ
- 104 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 22:31:32
- はふはふ
- 105 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 00:29:54
- はふ〜ん
- 106 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 00:36:20
- ココは何のスレですかー
- 107 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 00:49:06
- セキュア・セックス&えっち のスレ。
- 108 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 07:55:33
- SSH Max heart のスレです。
- 109 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 22:37:11
- Ssh.... Be quie(ry
- 110 名前:名無しさん@お腹いっぱい。 投稿日:05/02/22 12:53:24
- SSH + chroot環境ですが。
scpが動いてくれません。どうしたらよいのでしょう?
コマンドラインから確認すると
unknown user 12345
とか言われます。
chroot/etcにはすでにpasswdとgroupがコピーしてありadduserは済ませてあります。
ls -l コマンドでファイルの所有者が名前でなくidが直接表示されているということと
関係があるのでしょうか。
WinScpからはcd,mkdir,ls,rmなどが使えます。
chrootでないsshアカウントは正常に動いているようです。
- 111 名前:110 メール:sage 投稿日:05/02/22 14:47:25
- 自己解決!
/lib/libnss_files.so.?
をchroot/libにコピーすれば動作しました。
"ls -l コマンドでファイルの所有者・・・"も名前に変換されていました。
片っ端から検索しまくって試行錯誤した結果です。
今後の問題は、新たなファイルをインストしてエラーするたびにlddではわからない
依存libの存在に頭を悩まし、どうやって探すかだが。
- 112 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/22 15:00:51
- それが判断つかないならchroot環境に一式入れればいいじゃんよ。
知識がないのに変に取捨選択するからおかしくなるんだと思うぞ。
- 113 名前:名無しさん@お腹いっぱい。 投稿日:05/03/04 15:13:13
- linuxのPC同士、IPv6のリンクローカルアドレスでssh/sftpの通信をしようと考えています。
sshに関しては
>ssh (ユーザ名)@(リンクローカルアドレス)%(インターフェース名)
という指定方法で通信できたのですが、sftpの方はずっこけてしまいました。
IPv6対応とうたっていながらリンクローカルに対応していないということは考えられないので恐らく指定方法が違うのかもしれませんが、いろいろ試しても通信できないでおります。
ご存知の方いらっしゃいましたら教えてください。
インターフェース名に関しては .......%eth0 という感じで指定しています。
- 114 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/04 18:55:59
- ':' がポート番号指定とみなされるのでこうするんじゃないかな。
# シェルによっては '[' ']' が悪さするのでクオートしてます。
sftp '(ユーザ名)@[(リンクローカルアドレス)%(インターフェース名)]'
- 115 名前:sage メール:sage 投稿日:05/03/04 20:51:15
- 113です。114でお答えくださったお方、ありがとうございます。
明日さっそく試してみようと思います。
誰に聞いてもわからなくて、迷った上で書き込んだのですが答えてくださる方がいて本当によかったです。
- 116 名前:名無しさん@お腹いっぱい。 投稿日:05/03/09 17:06:36
- sftpってサーバがわでftpdみたいにget/putのログって取れる?
客のサポートしなきゃならんので追跡したいんだけど。
- 117 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/09 17:17:04
- patch
- 118 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/09 22:22:19
- >>116
そういうことって十分ありうるよね。
openssh-unix-devとかで聞いてみたらいかが?
Subject: [sftp] file transfer log
Hi,
Can sftp-server(8) keep a record of transferred files?
- 119 名前:名無しさん@お腹いっぱい。 投稿日:05/03/09 23:39:25
- 4.0p1キタワァ*・゜゚・*:.。..。.:*・゜(n‘∀‘)η゚・*:.。. .。.:*・゜゚・* !!!!!
- 120 名前:名無しさん@お腹いっぱい。 投稿日:05/03/10 12:38:33
- >>118
やっぱり標準だとナサゲですよね・・・
聞いてみようかなー。
- 121 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/10 17:13:46
- Winscp3についての質問です。
winscpには、cp いわゆるコピーのコマンドにあたるものは
ないのでしょうか?
- 122 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/10 17:20:17
- Vara Termでマクロを組んでいるんですが、とあるところからお借りした
サンプルには、ポートの指定が乗っていないようでした。
これにポートの指定を追加するにはどうすればよろしいのでしょうか?
教えてくださいませ。
import VaraTerm;
import VaraTerm.Macro;
import System.Drawing;
var env = new Environment();
/*
* Please modify the following values before you run this macro!
*/
var host = "";
var account = "";
var password = "";
var encoding = "SHIFT_JIS";
var prikey = "\\id_dsa.ppk";
sshlogin();
function sshlogin() {
var param = new SSHTerminalParam(ConnectionMethod.SSH2, host, account, password);
param.AuthType = AuthType.PublicKey;
param.Encoding = encoding;
param.IdentityFile = prikey;
param.TerminalType = TerminalType.XTerm;
var c = env.Connections.Open(param);
}
- 123 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/10 18:51:59
- >>121
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/winscp.shtml#winscpbasics
- 124 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/12 11:49:23
- OpenSSH4.0はどんな具合ですか?
conf使い回せるのかな?
- 125 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/12 21:20:54
- >>124 問題ない。conf使いまわせる。
- 126 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/12 23:59:35
- ってか、何が変わったの?
- 127 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 00:15:54
- >>126 ttp://www.openssh.com/txt/release-4.0
- 128 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 00:18:36
- >>127
日本語訳も乗っけとけ
ttp://www.unixuser.org/%7Eharuyama/security/openssh/henkouten/henkouten_4.0.txt
- 129 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 11:44:59
- sshdに対する無差別なアクセスがまたうざくなってきてない?
Failed password for rootか
Failed password for invalid userが
3回続いたら ipfwでdropするようなことしてみようかな
- 130 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 13:16:31
- OpenSSHにてファイルサーバーをたてています。
sftpでレジューム機能を有効にしたいんですが、sftpの設定ファイルはどこにあるのでしょうか?
(ネットでいろいろ探したんですが見つけられませんでした...)
環境は
OpenSSH 3.4p1 + chrootssh patch
Debian GNU/Linux 3.0(kernel 2.4.17)(玄箱)
です。
- 131 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 14:51:01
- >>129
ログインする可能性のあるホスト以外からの
アクセスを切っといたほうが楽。
- 132 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 14:57:13
- >>130 OpenSSH/sftp ではデフォで file transfer resume の機能は
無いので内科医。パッチを書いてる人はぽつぽつ居るようだ。
ttp://bachue.com/alejo/patches.html
ttp://groups-beta.google.com/group/mailing.unix.openssh-dev/msg/6a74edfbea3c5601?q=%5BPATCH%5D:+scp+program+improved&hl=en&lr=&ie=UTF-8&oe=utf-8&rnum=1
- 133 名前:130 メール:sage 投稿日:05/03/13 18:36:05
- >>132
どうもありがとうございます。
とりあえず玄箱でchrootsshとresumeのパッチを当てたopensshを作ってみます。
ご報告は後ほど...(まだまだ初心者なのでトラブル可能性が...)
- 134 名前:130 メール:sage 投稿日:05/03/15 01:16:37
- >>132
ttp://groups-beta.google.com/group/mailing.unix.openssh-dev/msg/6a74edfbea3c5601?q=%5BPATCH%5D:+scp+program+improved&hl=en&lr=&ie=UTF-8&oe=utf-8&rnum=1
のパッチがうまく当たらないので土日にでもdiffファイルの構造を調べて、
ソースを書き換えてみます...
- 135 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/16 17:36:19
- >>129
ルーターでWAN側とLAN側のポートを切り替えてるから静かなものだよ。
- 136 名前:名無しさん@お腹いっぱい。 投稿日:05/03/16 18:53:41
- 接続先が複数あるとき、鍵は接続先ごとに作った方がいいのでしょうか?
1つの鍵を全部の接続先に登録しても問題ないですか?
- 137 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/16 19:00:21
- それは、それほど問題ない。
それよりも、接続元として使うマシンが複数ある場合、
接続元ごとに違う鍵を作ることの方がむしろ大事。
- 138 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 07:10:47
- sshで鯖につないでてほっとくと3分ぐらいで反応がなくなる(自動ログアウトする)
みたいなんですが、この期間を長く設定するにはどこいじればいいですか?
- 139 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 08:43:35
- sshクライアントでNULLパケットでも定期的に出せばいいジャン。
- 140 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 09:17:41
- 反応がなくなるのと自動ログアウトは違うと思うが
- 141 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 11:59:07
- >>138
どこかでNATしてない?
もしそうならそのNAT箱の実装がださいのでそれを窓から投げ捨ててまともな機材に入れ替えろ
- 142 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 17:43:24
- >>138
使っているシェルは何でしょ?
tcshならシェル変数autologoutというのがあるわけで、それかなー、とオモタ。
(ただし、自動ログアウト時には auto-logout というのが表示されるから、今回
の件とは関係がないかも…。)
- 143 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 18:27:06
- KeepAlive 設定してもだめなの?
ところで、sshd宛のattackは以前は中国・台湾からが多かったけど、
竹島条例以来、半島からのが増えてる。
奴らはわかりやすいなぁ。
- 144 名前:138 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 18:42:39
- bash使ってるんですが
/etc/profileに
TMOUT=1800
と設定してます
たしかに自動ログアウトの表示はでずに反応がなくなるんで、この設定とは
関係ない気もします
>>141,143
NAT、KeepAliveをヒントに調べてみたらそれらしきものがありました どうもです
http://www.geocities.co.jp/AnimeComic/1098/documents/unixmemo/ssh-keepalive.html
- 145 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 22:52:17
- しかし、クライアントに何を使ってるか一切出さないのは最近の流行なの?
- 146 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/03(日) 02:11:27
- 流行だよ
- 147 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 00:21:11
- sshなんだけど、公開キーをサーバーに転送したんだけど
どこに置けばいいのかわからない。
もしかしてどこでもよくて、なんかのファイルで指定するの?
誰か教えてください。
- 148 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 00:35:03
- OpenSSHなら ~/.ssh/authorized_keys の中
くわしくはssh(1)を参照
- 149 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 00:35:07
- OpenSSHとssh.com版でびみょーに違うけど、
~/.ssh/ か ~/.ssh2/ あたり。
- 150 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 08:41:13
- ~/.ssh/ ってどこ?
cd ~/.ssh/
そのようなファイルやディレクトリはありません。
/etc/ssh/ の事?
- 151 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 08:53:05
- >>150
おまいは使わないほうが良いと思われ。
Cygwin の OpenSSH も 4.0p1 になってて驚いた。
- 152 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 09:35:28
- linux暦2週間のおいらには早すぎた?
- 153 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 13:34:13
- >>152
いい機会なのでじっくりたっぷりねぶるように勉強してください。
ディレクトリがなければ自分でつくれ。
- 154 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 13:48:25
- >>150
http://linux2ch.bbzone.net/index.php?bashBeginner#neac2d23
- 155 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 14:02:31
- /root/.ssh/id_rsa.pub
にキー置いて
PuTTYでログインしようとしたら
server refused our key
って表示されます。
どこが悪いのでしょうか?
設定はほとんどデフォルトです。
- 156 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 14:10:26
- ほとんどデフォルトとか言われてましても。
- 157 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 14:14:48
- rootでログインを許可しただけです。
- 158 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 15:06:28
- >>155
自分に対してくれたレスぐらい見ようよ、見直そうよ。
- 159 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 15:19:12
- 日頃の行い悪いと、拒絶されるっちゅーこったな。
- 160 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 17:58:51
- >>155
> /root/.ssh/id_rsa.pub
( ゚д゚)ポカーン
- 161 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 20:03:26
- >>155
たまには man ssh 汁
- 162 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 20:28:25
- 教えてあげたい気もしなくはないが、
その程度の理解しかできてないのに「rootでログインを許可した」とか
しれっと言われちゃうとさすがに恐くてのー。
- 163 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 21:41:27
- >>155 暇だから相手して進ぜよう。
$ grep -i root /etc/ssh/sshd_config
とやって結果をここに貼りなされ。話は
それからぢゃ。
- 164 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 22:00:53
- 許可がありません
- 165 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 22:15:49
- >>163
( ゚д゚)ポカーン
- 166 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/09(土) 23:34:25
- openssh と ssh どちらを入れたのか?でも揉めそうだな。
- 167 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/10(日) 16:50:12
- sshだけどデフォルトでAllowUsers っていう設定項目ある?
なんかインストールするたびにある時とない時があるんだけど・・・^^;
- 168 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/10(日) 17:50:29
- >>167 OpenSSH だとその設定項目はいつだってあるが、
デふぉではsshd_config にその記載行は無い。
- 169 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/10(日) 17:54:34
- THX
- 170 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 07:09:02
- ちょっとスレ違いかも知れないが
WinSCP3っていうソフトだけど接続先、一箇所しか登録してないから
起動時にその接続先に接続したいんだけど
オプションとかで指定できないのかな?
-load とか試したけど読み込んでくれない。
- 171 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 07:30:08
- スレ違いというよりも板違いって感じがしないでもないでもない。
- 172 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 18:13:47
- PuTTYっていうソフト使ってたのだが
なんかいまいち使いにくい。
シンプルなやつか多機能なやつ、どちらを使おうか悩んでる。
シンプルでお勧めなのと、多機能でお勧めなのを教えて( ゚Д゚)ホスィ
- 173 名前:初期不良 メール:sage 投稿日:2005/04/11(月) 18:50:56
- シンプル多機能
Cygwin OpenSSH
- 174 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 21:26:22
- >>172
TeraTermのUTF-8対応版とか?多機能...だよね?
- 175 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 00:24:03
- Poderosa
http://ja.poderosa.org/
VaraTerm がオープンソース化
http://slashdot.jp/article.pl?sid=05/04/07/1326207
- 176 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 16:03:11
- >>175
それ鍵認証に対応してるの?
- 177 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 16:11:01
- あちこちで宣伝してるな
- 178 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 20:14:20
- >>175
イ ラ ネ
- 179 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 21:09:26
- 昔から2chで幾度となく宣伝してたな
- 180 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 18:23:10
- # vi /etc/ssh/ssh_config
に、デフォルトで
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server
これらの記述があったと思うんだけど
なぜかほとんどない・・・再インストール後ってこんなもの?
- 181 名前:( ゚д゚)ポカーン メール:sage 投稿日:2005/04/15(金) 18:32:37
- From: [180] 名無しさん@お腹いっぱい。 <sage>
Date: 2005/04/15(金) 18:23:10
# vi /etc/ssh/ssh_config
に、デフォルトで
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server
これらの記述があったと思うんだけど
なぜかほとんどない・・・再インストール後ってこんなもの?
_______________________________________________________________
- 182 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 18:40:10
- /etc/ssh/sshd_config
だったのか・・・orz
- 183 名前:初期不良 メール:sage 投稿日:2005/04/15(金) 19:10:41
- >>182
たいしたことじゃない気に病むな
イキロ
- 184 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 19:30:49
- ま、そんなもんだ。
- 185 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 21:34:02
- 人間だもの
生きてるだけで恥さらし
みつを
- 186 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/16(土) 21:30:20
- うちの会社のリモート認証が
1. IDカードに表示されている数字列(時間で変わる)を見る
2. その数字列をあるプログラムに食わせると、ワンタイムパスワードが生成される。
3. sshでそのパスワードを使ってログインする。
というものなんですが、2.から3.へコピペするのが面倒なんで、自動化
したいんです(ちなみにそれだけなら構わないと会社に言われています)
ssh-agentとssh-add使ってスクリプトでなんとかなるかと思いましたが、
パスワードには対応してないみたいですね。SSH_ASKPASSも無視されるし。
(OpenSSH 3.9p1です)
で、sshはパスワードをどうも標準入力ではなく、/dev/ttyからしか
取ってくれないみたいなんで困っています。
なんかいい方法はないでしょうか。ファイルに書き出すとか、psで
見えてしまうのはまずいです。一時的にシェル変数に格納される
くらいならいいですけど。
- 187 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 00:48:27
- >>186
つ openpty(3)
- 188 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 02:02:30
- >>187
ありがとうございます。でもド素人には荷が重いアドバイスかも。
openptyしてforkして制御端末化してからsshをexec。
親はバッファリングを止めて子の出力を見てパスワード要求が来たら
パスワード送ってそのあとは入出力をそのままスルーで流すって
感じですか?
...ちょっとシェルスクリプトレベルを超えてる気がしますが、やってみます。
- 189 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 08:47:32
- expect
- 190 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 09:09:03
- sshのソースコードを修正して内部でその秘密のプログラムを呼ぶ方が早いのでは?
- 191 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 10:44:38
- >>189
ありがとうございます。結局ptyをperlから扱えるモジュールを探したら、
IO::PtyとExpect.pmにたどり着きました。TCLは知らないのでEXPECT(1)を
覚えるよりPerl使ったほうが早そうです。
サンプルの2.B.rloginってやつがほとんどそのまま使えそう。
>>190
そんな気はしますが、あんまり触りたくないんですよね。
結局スレ違いになっちゃって、すみません。
- 192 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/19(火) 23:00:45
- OpenSSH-4.0p1をソースからビルドしようとしてるんですが、
configureで最近のlibcryptoが無いって怒られます。
で、see config.logとも出るので、見てみるんですが、いまいちわかりません。
config.logは長いので、ここには貼り付けられません。
環境は玄箱HG debian sargeです。現在3.8.1.p1が入ってます。(OpenSSL-0.9.7e Zlib-1.2.2)
ちなみに、LD_LIBRARY_PATHやPATHは通してあります。
何ぞヒントになるポインタだけでも与えていただけないでしょうか?宜しくお願いします。
- 193 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/19(火) 23:20:50
- >>192
> configureで最近のlibcryptoが無いって怒られます。
> ちなみに、LD_LIBRARY_PATHやPATHは通してあります。
下手な要約や翻訳をせずに、やった操作とエラー出力をそのまんまコピペしる。
- 194 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 02:18:36
- ~/.ssh/identity.pubを安全な方法で持って行くように書いてある
ページをたまに見かけるんだけど、なぜ安全な方法で持って
いかなければならいのか、わかりません。
公開鍵から秘密鍵とか計算できるの?
- 195 名前: ◆uGRdPa4j32 メール:sage 投稿日:2005/04/20(水) 02:54:28
- >>194
嘘を嘘であると見抜ける(ry
- 196 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 12:09:02
- >>194
ユーザの公開鍵が他者に知られると、
他者が偽ホストを作ってそこにログインさせようとする攻撃に対する防御が弱くなります。
ホストの認証が適切に行われれば防げますが、
SSHのホストの認証は相手のホスト公開鍵を入手しておかないと機能しません。
たとえば、先方のホストの入れ換えがあって、ホスト公開鍵が変わったことはわかっているが
ホスト公開鍵そのものは知らないという状況では、
新しく提示されたホスト公開鍵を信用してしまいがちです。
ユーザの公開鍵が真に安全に渡され管理されていれば、
ホストの認証がごまかされてもユーザの認証の段階で不審なことに気づきやすいでしょう。
(公開鍵を登録してもらったはずなのにパスワードのプロンプトがでるな? とか)
なのでユーザの公開鍵も*可能ならば*安全な方法で渡したほうがよいと思います。
- 197 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 12:17:30
- >>196
理由とするにはかなり無理矢理な感じのする屁理屈だなあ。
- 198 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 13:18:45
- >>197
セキュリティホールとその対策なんてそんなもんよ
半分はブービートラップ半分は屁理屈
- 199 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 13:37:10
- 事故にあう確率が違うのでできれば車より徒歩で移動した方がいいと思いますみたいな。
- 200 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 13:44:48
- >>198
わかってない人とかエセコン猿だとそうかもね。
>>199
知らないおじさんについていかないよう、人見知りする子に育てた方がいいと思いますみたいな。
- 201 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 17:10:22
- >>196の例えは不適切。ホスト名乗っ取る際に、クライアントの公開鍵はすべて無条件に
受け入れるようにしておけば疑う余地はないし、最初の1回でその公開鍵を入手できる。
- 202 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 17:38:56
- >>201
認証の際にユーザの公開鍵を送るので、そうされたらダメですね。
196は撤回します。お騒がせして失礼しました。
- 203 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 17:44:26
- 仕切り直して、
安全でない手段でユーザの公開鍵を送ると、
途中で他者に公開鍵をすりかえられて、
サーバへの登録後正規のユーザが確認するより先に他者にログインされる
という攻撃はあると思われます。
- 204 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 17:52:55
- それ考えたけど、すりかえができるような状況なら
わざわざすりかえなくともいきなり偽の公開鍵送りつけても
サーバに登録してもらえそうな気がした。
「あー、おれおれ。この鍵入れといて」って。
- 205 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 19:32:01
- 「公開」鍵だぞ?
公開して問題ない鍵なのに、安全な方法で送る必要ねぇだろ、アホか。
- 206 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 19:36:30
- >>205
なら >>203 に反論してよ。
- 207 名前:192 メール:sage 投稿日:2005/04/20(水) 21:34:31
- >193
apt-get installでsshをインストール。
バージョンが3.8.1p1だったので、openssh-4.0p1.tar.gzを取得して/home/userでtarコマンドで展開
openssh-4.0p1ディレクトリの中でmkdir build && cd buildして ../configureを実行。
3分弱くらいで
configure: error: *** Can't find recent OpenSSL libcrypto (see config.log for details) ***
となりました。
以上です。宜しくお願いします。
もう一度環境ですが、玄箱HG debian sarge gccバージョン3.3.5です。
- 208 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 22:00:49
- >>203
chrootまたはjailなどの隔離環境でクライアントに接続試験させてから本格的に
ホームディレクトリで運用させれば良いんじゃないの。
そこまでする必要にせまられったことは今まであったこと無かったが。
- 209 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 22:22:26
- >>208
それも安全な方法のひとつじゃないですかね。
- 210 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 22:36:18
- この話は、
管理者が、
・正規ユーザと確認してから登録する
なり
・(鍵自体の確認手段がないなら)正規ユーザがログインできるかどうかすぐに確認してもらえる状況で登録する
などといったポリシーに基づいて鍵の登録を行う
とユーザの側からでなく管理者の側からとらえたほうがいいのかな。
- 211 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 01:18:03
- >>210
違う。
>>194は「持っていく」と書いているので、その気になれば安全な
方法で持っていって自分で登録できる人、と読める。
自分で登録できるなら登録後のverifyも可能なので、途中経路での
すり替えは気にする必要ない。当然公開鍵は盗み見られてもかまわない。
ってことで、>>194はただの杞憂。
もし、「持っていく」ではなく「ログインしたいサーバの管理者に渡す」
という話なら、>>210となる。
- 212 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 01:25:26
- ・公開鍵は安全で無い経路で伝達
・フィンガープリントは安全な経路で伝達
こうじゃないの?
- 213 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/21(木) 02:19:35
- >>210
・正規ユーザと確認してから登録する -> ・正規ユーザの鍵と確認してから登録する
です。
>>212
それも管理者が確認できる方法のひとつです。
- 214 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 03:24:37 BE:1755623-
- http://www.unixuser.org/%7Eharuyama/security/openssh/20050421.html
すばやいね。
- 215 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 04:14:07 BE:3510443-
- http://triaez.kaisei.org/~kaoru/diary/?200305a#200305045
GlobalKnownHostsFile as read only known_hosts
http://www.nantoka.com/~kei/diary/?200504b&to=200504181#200504181
「REMOTE HOST IDENTIFICATION HAS CHANGED」が出たら、~/.ssh/known_hostsを消せ
- 216 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 16:05:30
- >>2を読んで厨質問しそうになっていた自分を戒めたw
- 217 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/22(金) 23:15:39
- ポートフォワードで質問なのですが
1000番から2000番までのポートを対象のサーバへ
それぞれフォワードさせたいのですが可能でしょうか。
コマンド的には以下のような感じです。
ssh 192.168.2.1 -L 1000-2000:192.168.1.1:1000-2000 -g
- 218 名前:194 メール:sage 投稿日:2005/04/23(土) 00:25:30
- ちょっと忙しくて見れてなかったが、レスくれた方々ありがとうございます。
てっきり、公開鍵と暗号化された通信内容から秘密鍵が割り出せて
通信内容がばれる可能性があるのかと思ってた。
(これは現実的な時間では計算できない?っぽい。)
全然違うことを心配していました。
気になったのですが>>202は、間違えてませんか?
認証の際にユーザの公開鍵を送ることはたぶん無いですよ。
http://www.unixuser.org/~euske/doc/openssh/jman/ssh.html
の「チャレンジ」周辺に書いてあります。
正解は、>>195
- 219 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/23(土) 10:16:34
- >>218
SSH1のRSA認証では(チャレンジの前に)クライアントがユーザの公開鍵を送ります。
一致する公開鍵がサーバにあるとその鍵を使ったチャレンジをサーバが送ります。
SSH2の公開鍵認証でも、通常はまずクライアントはユーザの公開鍵を送り
サーバはその有無を返します。
クライアントがユーザの秘密鍵を用いた署名を送る際にもユーザの公開鍵をつけます。
- 220 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/23(土) 10:42:49
- 偽ホストとの通信でユーザ認証までいってしまえば、
クライアントからの情報を検証せずとも偽ホストは適当な返答を返して
ログインを許可できるので
その意味でも
>>196 は間抜けでした。
- 221 名前:194 メール:sage 投稿日:2005/04/23(土) 19:08:52
- >>219
やっと、公開鍵を送ってることが理解できた。サンクス
- 222 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/25(月) 17:52:18
- はじめまして。
SSH初心者なのですが、ポートフォワードに関して教えていただけないでしょうか?
一つのサーバーにSSH、WebDav(Apache)サーバ、IRCサーバを動かしているのですが
ユーザー1とユーザー2がいるとして
・ユーザー1はポートフォワードでWebDavのサーバーにしか転送できない
・ユーザー2はIRCのサーバーにしか転送できない
と言った設定をする事は可能でしょうか?つまりユーザー1がIRCを利用したり、
ユーザー2がWebDavを利用したりできないように特定のポート番号だけをフォワードできるようにする設定にしたいのですが
厨質問ですみません、御教授下さい・・・
- 223 名前:無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 20:51:20
- >>222 OpenSSH だと、ホスト毎のforwarding設定はできるけど、
ユーザ毎設定をサーバでやるいうのは出来んように思う。
- 224 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/25(月) 21:28:55
- >>219
待て。クライアントは公開鍵なんぞ送らんぞ。
一度クライアント公開鍵を削除してからRSA認証でログインしてみれ。
- 225 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 21:44:49
- やってみたが、
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
...送ってない?
- 226 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 21:44:57
- >>222
permitopen
- 227 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 22:52:15
- >>225
公開鍵を送ってんじゃなくて「公開鍵認証方式で認証してくれ」っていうリクエストを送ってる。
/home/user/.ssh/id_rsa ←これクライアント秘密鍵だし。
- 228 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:19:46
- >>227
>>225を見て興味を持ったので俺もコードを見てみた。
どの公開鍵でなのかを伝えるために、公開鍵そのものを送ってるように思う。
(もちろんサーバはそれを無条件に使うわけではなくて、
ユーザのauthorized_keysに同じものがあれば使うんだろうけど)
sshconnect2.cのuserauth_pubkeyとsend_pubkey_test。
- 229 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:34:30
- >>228
公開鍵(例えばSSHv2のRSAならid_rsa.pub)をクライアントから削除して、
秘密鍵だけ置いた状態でサーバにSSH接続を試してみて。
接続できるでしょ?
つまり公開鍵を送っているわけではないってこと。
- 230 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:52:18
- 「どの公開鍵でなのかを伝えるために公開鍵を送る」とあるけど、
ただしくは「どの公開鍵でなのかを伝えるために秘密鍵を使う」です。
動作の詳細は自分もはっきり説明できるわけじゃないんだけど(SSHv1と
SSHv2でも少々異なるようだし)、たとえばユーザAとしてログインしようとしてるとして、
まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
んで、SSHサーバ側で、その秘密鍵に対応する公開鍵が
/home/ユーザA/.ssh/authorized_keysに登録されているかどうか見る。
で、登録されているクライアント公開鍵でランダムデータを暗号化してクライアントに送る。
クライアント側ではその暗号化データをクライント秘密鍵で複合化して送り返す。
クライアント側の秘密鍵で正しく複合化できたら、クライアント側の
秘密鍵とサーバ側にある公開鍵が正しいペアだと証明できるので、認証される。
ってな具合だと思う。(本当はもっと複雑なことやってるらしいが)
- 231 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:57:25
- >>230
「秘密鍵を使う」というのが具体的にどういう使っているのか説明してくださいな。
できればコードに即しておねがい。
- 232 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:00:20
- >>229
秘密鍵ファイルには公開鍵の情報も含まれているわけだが
- 233 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:03:15
- >>229
前半は後半の根拠にならないですよ。ssh-keygenのmanを読んだことないですか?
- 234 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:08:11
- >>230
> まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
どういう情報でそれが伝えるのかが問題になってるわけだが。
知識もなければ読解力もないな。
- 235 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:17:05
- >>230 はもしかして秘密鍵を送ると思ってるんジャマイカ
- 236 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:19:47
- >>233
具体的な説明よろ
- 237 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:21:27
- >>236
ssh-keygenの-yオプション
つまりは>>232ってことだと思われ
- 238 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:22:04
- >>234
どういう情報で伝えるかが問題ではなく「公開鍵自体を送っているのかどうか」が問題なのだが。
- 239 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:27:31
- >>238
伝えるための情報として公開鍵そのものを送っているという話だと思うが。
>>228のその主張を否定してるわけだから、
公開鍵を送らないならどういう情報で同定してるのか教えてくれ。
それを送ってる部分のコードの特定も。
- 240 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:38:57
- ssh がどうやっているかは知らないけど、署名の要領 (秘密鍵で暗号化→公開鍵で復号化) で確認はできるよ。
- 241 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:54:49
- >>240 バカ一匹追加
- 242 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 02:35:25
- そろそろ誰かちゃんとした回答をしてください
- 243 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/26(火) 07:00:29
- おまいらソース嫁
- 244 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/29(金) 12:43:52
- リモート1:Solaris9(SunのSSH?)
リモート2:MiracleLinux(OpenSSH)
自分:WinXP+cygwin
という環境で、リモートマシンのパスワードの有効期限が
切れた後にsshでリモートに接続すると、
リモート1:その場で新パスワードに更新させられる
リモート2:切断
となってしまいます。OpenSSHでも、パスワード期限切れ時に
新パスワードに変更させてログイン続行させることは可能
ですか?
- 245 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 12:47:33
- 公開鍵、秘密鍵って、マシン毎に作るもの?
それとも一人のユーザが一つずつもってりゃいい?
- 246 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 12:49:19
- リスク分散を考えるとそれぞれで作ったほうがいい。
しかし面倒くさい。
自分で判断出来ない池沼は何やっても無駄。
- 247 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 14:18:40
- 秘密鍵一つ作れば公開鍵は無限に作れるよ
- 248 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 14:31:00
- >>244
OpenSSHとLinuxの認証システムは別個のプログラムで
あまり密でないから、結構ハックしないとだめそう。
ユーザーとして不便てことだけなら、
パスワードじゃなくて鍵をつかえればいい。
- 249 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 15:49:13
- pamの設定だけじゃないか?
- 250 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 16:57:04
- いや、privilege separationのせいでちとやっかい。
- 251 名前:244 メール:sage 投稿日:2005/04/29(金) 17:07:39
- >>248>>249 レスありがとうございます。
リモートサーバの設定は、「パスワード認証なし」で、
RSAの鍵認証のみで使用しています。pamの設定、
調べてみることにします。
会社の規則で、すべてのサーバにパスワードの有効期限を
設定する必要が生じたため、困っているのです。このままだと、
遠隔地にある普段メンテしないLinuxマシンが、肝心な時に
パスワード期限切れで現地に行かないとメンテできない状況に
なりかねません。
逆に、「OpenSSH(+pam?)ではできない」という裏が取れれば、
「これこれの理由で有効期限は定めない」という設定許可申請を
会社に出すつもりなのですが、その裏も取れずに困っています。
教えてクンですみませんが、なにか情報のソースがあれば、
ご教授お願いします。
- 252 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 20:39:32 BE:2287837-#
- 普段からちゃんとメンテ汁
- 253 名前:244 メール:sage 投稿日:2005/05/01(日) 00:01:42
- >>252
「普段メンテしない」≠「メンテしてない」
「必要なとき以外にはアクセスしない」です。
あんまり同じ悩み抱えてる人はいないんでしょうか。
それとも、「(必要なくても)定期的にアクセスするが正解ですか?
- 254 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/01(日) 00:11:09
- その状況だとワンタイムパスワードを利用するのも手
- 255 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/01(日) 02:03:53
- SSHの公開鍵認証使ってるんでしょ?
むしろ普通のユーザのパスワードは潰しておくべきじゃないか。
- 256 名前:192 メール:sage 投稿日:2005/05/07(土) 21:01:20
- 自己解決。
opensslを0.9.7eから0.9.7gにしたらconfigure通ってあとはすんなりでした。
良かった。
- 257 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/09(月) 20:44:08
- 携帯からSSHでPCを遠隔操作できるシステム〜ベータ版を無償公開
http://internet.watch.impress.co.jp/cda/news/2005/05/09/7515.html
- 258 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/10(火) 00:21:39
- SymbianOSなNOKIAの携帯なら、もっと前からフリーなSSH clientはあったけど
PuTTY SSH client for Symbian OS
ttp://s2putty.sourceforge.net/
…未踏なんですか。入力/補完モードが肝?…というほどの新規性があるとも…
- 259 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/12(木) 17:36:08
- ssh -X -M hoge command &を何回も実行すると、実行した数だけTCP/IPコネクションが
張られるんだけど、-Mオプションをつければコネクションを共有するんじゃないの?
- 260 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/14(土) 18:36:15
- Intelのハイパースレッディングに深刻な脆弱性
IntelのXeonなどに実装のハイパースレッディングに深刻な脆弱性が発見された。
マルチユーザーシステムの管理者は直ちに使用を停止した方がいいとの勧告が出されている。
Intelのプロセッサに実装されているハイパースレッディング技術に深刻な脆弱性が存在すると、
セキュリティ研究者が報告した。
この問題を発見したのは、FreeBSDプロジェクトでセキュリティを担当するコリン・パーシバル氏。
オタワで開催のBSDCan 2005で5月13日、詳しい論文を提出したという。
ハイパースレッディングはIntelのPentium Extreme Edition、Pentium 4、モバイルPentium 4、
Xeonに実装されている技術。同氏がサイトに掲載している情報によれば、この脆弱性が原因で
ローカル情報が流出する恐れがあり、権限を持たないユーザーがRSA非公開鍵を盗み出すことが
できてしまうという。
マルチユーザーシステムの管理者は直ちにハイパースレッディングを停止した方がいいと同氏は
強く勧告。デスクトップPCなどのシングルユーザーシステムは影響を受けないとしている。
パーシバル氏は昨年10月にこの問題を発見。その後コンセプト実証プログラムを作成し、影響を
受ける全ベンダーにこの問題を通報したという。サイトには、FreeBSDやSCOなどから寄せられた
アドバイザリー情報が掲載されているが、今のところIntelからの情報は寄せられていない。
http://www.itmedia.co.jp/enterprise/articles/0505/14/news009.html
- 261 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/15(日) 03:46:52
- openSSH4.0のsftp-serverってUTF-8未対応だっけ?
WinSCPでアクセスするも適切にエンコーディングできん
- 262 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/20(金) 14:17:41
- >>3
SSH Plugin
http://www.mud.de/se/jta/html/SSHTest.html(SSH1)
- 263 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 16:58:51
- ftp://core.ring.gr.jp/pub/net/ssh/
のWindows用sshクライアントで公開鍵を使ってopensshを使っているLinuxサーバに接続する方法を教えてください。
ssh-keygen2でキーを作成し、.pubファイルを~/.sshにアップロードし
ssh-keygen -i -f kkk.pub > kkkk.pub
cat kkkk.pub >> authorized_keys
ここまでやったのですが、その先がわかりません。よろしくお願いします。
- 264 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 17:38:50
- >>263
ssh hoge
- 265 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 17:47:01
- つ 入門SSH
- 266 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 20:13:11
- >>263
つ PuTTY
ttp://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top
- 267 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/22(日) 06:21:48
- ftp://core.ring.gr.jp/pub/net/ssh/
以外使えない環境なんです・・・
- 268 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/22(日) 06:57:49
- debug表示のオプション(-vとか-d)をつけてssh2.exeで接続してみれば、
なにがおかしいかわかるかもね。
- 269 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/22(日) 17:09:53
- 「site:2ch.net」でググったらこのスレがトップにきますた
- 270 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/23(月) 07:06:38
- >269
本当だ。なんでやねん。
- 271 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/23(月) 13:23:11
- 俺が試すとトップ10にも出てこないけど……。
ちなみにトップは大学受験サロン。
第2位は日本語限定かどうかで変わる。謎。
- 272 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/23(月) 19:05:21
- ウェブ全体からの検索
SSH その4
大学受験サロン@2ch掲示板
全国 鉄 道 混雑情報
【岡部の前に】岡部幸雄スレPart41【岡部無し】
日本語のページを検索
Vodafone質問スレッドPart73
McAfee Part.17
これを日本語化!な OS X アプリ発表会 Part 6
OS/2だよOS/2
- 273 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/26(木) 20:42:01
- http://www.unixuser.org/~haruyama/security/openssh/
4.1p1キタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!
けど、ぁゃιぃ?
- 274 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/26(木) 21:58:06
- 本家見たけど、んなもんないじゃん。
- 275 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/26(木) 22:12:55
- なんかオライリーから出るね
- 276 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/27(金) 01:01:01
- >>274
本家webサイトはまだ更新されていないみたいだけど、openssh-unix-announce
にはアナウンスメールが来てるよ。
ただし、最初に送られてきたアナウンスメールに記載されていた SHA1 checksum
は間違いだそうで。。>>273の言う
> けど、ぁゃιぃ?
はそういうことだろう。正しい checksum は
SHA1 (openssh-4.1.tar.gz) = 62fc9596b20244bb559d5fee3ff3ecc0dfd557cb
SHA1 (openssh-4.1p1.tar.gz) = e85d389da8ad8290f5031b8f9972e2623c674e46
だそうだ。
- 277 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/27(金) 01:11:54
- いつもの通り、春山さんが変更内容の日本語訳を出して下さってますねー(感謝!)
ttp://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_4.1.txt
で、大したことではないかもしれないですが…、
(1) 「著しい修正としては以下がある.」→「大きな修正としては以下のものが
挙げられる.」
(2) 「を用いる場合に起きる segfault を修正した.」→「を用いる場合に
segmentation fault が発生してしまうのを修正した.」
のように書き直すといいかなと思いました。
- 278 名前:276 メール:sage 投稿日:2005/05/27(金) 01:41:32
- >>274
> 本家見たけど、んなもんないじゃん。
って、本家 *FTPサーバ* のことか。確かにないですね。。チェックサム間違えた
とかで引っ込められたのかな?
アナウンスメールは確かに届いているんだけど...
- 279 名前:274 メール:sage 投稿日:2005/05/27(金) 13:13:10
- 今はたしかにありんす。
- 280 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/27(金) 15:59:28
- portable版のpgp signatureも合わない。。。
$ gpg --verify openssh-4.1p1.tar.gz.asc
gpg: Signature made Wed May 25 21:26:24 2005 JST using DSA key ID 86FF9C48
gpg: BAD signature from "Damien Miller (Personal Key) <djm@mindrot.org>"
- 281 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2005/05/29(日) 20:20:01
- openssh-4.1p1をftp://ftp3.usa.openbsd.org/から入れてみた。
まだ1日しか経ってないけど、今のところ無問題。
ちなみに環境は玄箱にdebian sarge入れてクライアントはwinxpとwin2kからputtyとwinscp使ってます。
- 282 名前:281 メール:sage 投稿日:2005/05/29(日) 20:31:56
- 言い忘れたけど、春山さん毎回ドキュメントの翻訳ありがとうございます。
「入門SSH」も早速読みました。これからもよろしくお願いします。
- 283 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/08(水) 10:00:27
- windows版にsshスレがなかったのでこちらで質問させてもらいます.
sshでログイン,scpでファイル授受できる
Linux上のリモートを
windowsのネットワーク上の共有フォルダのように,
\\Kyoyu
としたり,
H:\
などの仮想ドライブとして
扱えるようにする方法はないでしょうか?
- 284 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/08(水) 10:21:15
- NFS over ssh
NetBIOS over ssh
- 285 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/08(水) 12:33:02
- 何週間か前に同じ質問がソフトウェア板とWin板にもあったな
回答されてたのにレスつけてなかったな
- 286 名前:283 投稿日:2005/06/09(木) 01:56:52
- >>284
どうも.
>>285
そっちでも質問した旨を書き忘れてました.
次からは気をつけます.
- 287 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2005/06/09(木) 22:57:39
- >283
この辺
ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html#s2
意図するものと違ったらごめん。
- 288 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/10(金) 23:56:03
- ありがとうございます.
昨日の夜に見つけて試してみたのですが
うまく行きませんでした.
以下の操作で合っているでしょうか?
-----環境-----
ローカル:WinXP SP2
リモート:たぶんfedora2
今まではcygwinのsshとscp, winscpを使っていた
-----今回の作業-----
LoopbackAdapterをインストールし,
そのプロパティを
IP 192.168.2.250
NetBios over TCP/IP 無効のチェックボックスをオン
stoneをパスの通ったディレクトリにき,以下を実行.
$ stone localhost:8139 192.168.2.250:139
cygwinのsshを使用し,以下を実行.
$ ssh -L 8139:192.168.2.250:139 UserNameAtRemote@hoge.com
パスワードを求められ入力.
- 289 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/10(金) 23:56:58
- -----出力-----
stoneのコマンドラインの出力
stoneJun 10 23:40:48 start (2.2e) [3684]
Jun 10 23:40:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:40:58 stone 1924: localhost:8139 <- 192.168.2.250:netbios-ssn
cygwinのsshのコマンドラインの出力は普段のログインと同じ.
---------------
explorerを開いてアドレスバーに
\\192.168.2.250
と入力してエンター
---------------
ssh実行中のコマンドラインの出力
channel 2: open failed: connect failed: No route to host
stone実行中のコマンドラインの出力
Jun 10 23:49:49 TCP 1788: read error err=10054, closing
Jun 10 23:49:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:49:58 TCP1788:1764 0182d000 10 Jun 10 23:49:39 192.168.2.250:netbios-ssn ローカルPC名:3852 tx:0 rx:72 lp:4
---------------
間違っている点があったら教えてください.
- 290 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/11(土) 00:28:58
- ぜんぜん理解してない
- 291 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/11(土) 15:08:42
- TCP/IPの勉強しろや
- 292 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/11(土) 21:48:11
- あきらめてwinscpつかいます
- 293 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 01:54:39
- SSHの不正アタック大杉!
ログ調べたら鯖立てて1年半で1万5000件くらいアタックされてたけど、
今週だけでもう6000件超えてるわ。
実害はまだないけどログの量が膨大でキモチワルイわ。
対策しないと・・・。
- 294 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 02:53:28
- >>293
MaxStartups 1 とでもしとけ。
- 295 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 07:18:50
- >>293 スクリプトで機械的に仕掛けてくるんだよ
- 296 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 12:03:39
- あのパターンのアタックだったら、数回unknownな接続が連続したところで、
ソースアドレスをフィルタしちゃえばいいと思う。
- 297 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 13:01:05
- それ以前にふつーは必要なとこ以外からのは拒否しとくだろう
- 298 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 13:28:55
- ウィルスに感染したマシンが延々とアタック続けてくるからな・・・
- 299 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 13:35:54
- ポート変えとくといいよ。
- 300 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 16:42:33
- 300!
- 301 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 01:18:09
- 忘れるんだよ、あまり頻繁に使わないと。
- 302 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/13(月) 14:24:43
- 特定のユーザのみを利用可能にして
それ以外のユーザは利用不可にしたいんだけど
なにで制限すればいいのでしょうか?
- 303 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/13(月) 14:34:23
- >>302
例えば下記の方法は?
ttp://www.atmarkit.co.jp/flinux/rensai/linuxtips/739pamssh.html
- 304 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 15:56:05
- >>302
AllowUsers
- 305 名前:302 メール:sage 投稿日:2005/06/13(月) 15:59:14
- >>303
簡単な方法があるんですね
ありがとうございます
さっそく試そうと思ったのですが
現在リモートでしか接続できず失敗すると
なにもできなくなることに気づいたので
今度時間のあるときに試してみます。
ありがとうございました
- 306 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 16:02:49
- >>305
そんなあなたにtelnet
- 307 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 17:02:14
- 自分の接続を受けてるsshdを手で殺さない限りは大丈夫だよ。
- 308 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 17:07:52
- >>307
ネットワークが不安定だったら?
- 309 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 23:03:19
- >>308
そんなあなたにrlogin
- 310 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 18:24:58
- screen でつないどけ
- 311 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 19:00:53
- >>310
話理解してる?
- 312 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 19:01:06
- 脊髄反射はよくないなぁ。。
- 313 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 20:03:07
- おまえもな。
- 314 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/24(金) 23:17:55
- SSH2ではRSAとDSAの2種類のアルゴリズムがあるようですが、
皆さんはどちらを使っておられますか?
また、その理由はなんですか?
自分は単純に暗号強度の強い方を選びたいと思ったのですが、
あるサイトによるとDSAの方が高度な暗号化でおすすめとあり、
また別のサイトではDSAには乱数の偏りによる脆弱性があるので
止めた方がいいと書かれていたり、どちらがよいのかわかりません。
脆弱性問題は2001年の話なのですが、もう解決しているのでしょうか。
- 315 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 00:28:49
- 解決しとるに決まっとるがな。それに乱数の偏りはDSAの問題じゃないがな。
- 316 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 21:32:58
- 理由は特にないがDSA使っている
- 317 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 22:19:52
- >>316
それで正解
- 318 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 22:38:59
- ものすごーく低レベルな質問だと思いますが、どなたかご教示ください
現在telnetの代わりとしてFTPのかわりとしてクライアント機でWINSCP3をつかうためにopenSSHをインストールしてます
○ユーザーごとに鍵を作る必要(ssh-keygen)がありますか?(telnetかわりはhogehoge FTPはfugefugeユーザの予定)
○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか?
なお、LINUX側はdebian 2.4.21 クライアント機はWIN XPで考えております
- 319 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/25(土) 23:16:27
- >>317
なんで正解なの?
今は特に理由なくRSA使ってるけど、話によってはDSAに乗り換えたい。
- 320 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 23:24:02
- >>318
低レベルすぎるな。
しばらく使ってみていろいろ試したら?
- 321 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 23:40:33
- DSAはRSAがつかえなかった頃の代替実装じゃなかったっけ?
新規の鍵は計算量が少なさそうなRSAでいいと思うけど。
- 322 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/26(日) 04:22:32
- >>314
> 自分は単純に暗号強度の強い方を選びたいと思ったのですが、
どっちでもいいが、強度気にするなら鍵長長くしる
- 323 名前:ごん米さん、お早う 投稿日:2005/06/26(日) 06:36:36
- 暗号に対する考え方に、間違いは無いの。
キーの暗号化のために RSA は有るの。
Hellman Deffie だっけ、RSA は有るの、
でもさ、平文、つまり暗号化したい、Body の部分の
暗号化にはさ、とても RSA なんて使えないよ。
Body がたった1MBでもさ、巷の高速 CPU でもさ、
遅いのなンのって、、、。
何ならショートサイズの RSA で Body 暗号化
してみたら、、、。解るよ。実装上は未だ無理だし、
その必要も無いのがさ、、、、。
- 324 名前:ごん米さん、お早う 投稿日:2005/06/26(日) 06:41:07
- ニイタカヤマノボレ
が暗号だと言う時代じゃ無いのだもの。
作戦地図のデータをファイル変換して、つまり暗号にして
ファイル転送しちゃいそうな時代なのでしょう。
現代は、、、。
- 325 名前:ごん米さん、お早う 投稿日:2005/06/26(日) 06:47:03
- Helmann Deffie だっけで平文を暗号化すると、
RSA は必ず情報が冗長になるの解るよね、
mod の演算サイズになっちゃうの。
楕円曲線でも同じ、、、、。
って事は、復号にはファイルサイズが前もって
必要となちゃ鵜のだよね。
最後の1バイト、化けるの覚悟するだけだけどさ、。
- 326 名前:ごん米さん、大丈夫 投稿日:2005/06/26(日) 10:52:57
- 最後の1ブロックの復号が、、、。
0が一杯のデータファイルが、、、。
それじゃ詰まらない。
- 327 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 11:47:15
- >>318
簡単に答えておこうか
> ○ユーザーごとに鍵を作る必要(ssh-keygen)がありますか?(telnetかわりはhogehoge FTPはfugefugeユーザの予定)
作ったほうがセキュリティ的に強いが、作らなくても使える。
てか、RSA鍵について調べておけ。
> ○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか?
いらん。即停止。
> なお、LINUX側はdebian 2.4.21 クライアント機はWIN XPで考えております
余談だが、debianとKernelのバージョンを混ぜるな危険。
kernel2.4.21ってのも、えらく中途半端なバージョンな気もするが。
sargeなら2.4.27にしといたほうがいいんじゃないか?
- 328 名前:318 メール:sage 投稿日:2005/06/26(日) 13:15:46
- >>327
ありがとうございました。RSA鍵作って全部運用できました。
RSA鍵(SSH2用)作ると一緒にDSA鍵も作らないといけないんですか?エラーがでたっぽいので作っておくだけはしましたけど
あとkernelの件なんですが、ある事情でこのままなんです。いずれ2.6あたりにはしたいなあと思ってはいるのですが
- 329 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/26(日) 15:15:05
- みなさん、教えてください。
昨日から急に私が運用しているサーバーさんに、ssh でログインする際 passphrase ではなく password を
聞かれるようになりました。
とくに、サーバー側の$HOME/.ssh/の中が変わったわけでもないのですが、、、。
sshd_configなど調べてみたのですが、何が原因なのか分かりません。
サーバー利用者から、いっぱい問い合わせがきて、あっぷあっっぷしています。
サーバー側の、$HOME/.ssh/authorized_keys には、正しいkeyが書かれています。
どなたか解決方法をご存知の方、教えてください。
よろしくお願いします
- 330 名前:329 メール:sage 投稿日:2005/06/26(日) 15:16:46
- 329です。
以下に、ssh -vv のログを添付します。
----
debug1: Host 'sakura' is known and matches the RSA host key.^M
debug1: Found key in /home/test/.ssh/known_hosts:63^M
debug1: bits set: 1598/3191^M
debug1: ssh_rsa_verify: signature correct^M
debug1: kex_derive_keys^M
debug1: newkeys: mode 1^M
debug1: SSH2_MSG_NEWKEYS sent^M
debug1: waiting for SSH2_MSG_NEWKEYS^M
debug1: newkeys: mode 0^M
debug1: SSH2_MSG_NEWKEYS received^M
debug1: done: ssh_kex2.^M
debug1: send SSH2_MSG_SERVICE_REQUEST^M
debug1: service_accept: ssh-userauth^M
debug1: got SSH2_MSG_SERVICE_ACCEPT^M
debug1: authentications that can continue: publickey,password^M
debug1: next auth method to try is publickey^M
debug1: try pubkey: /home/test/.ssh/id_dsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug1: try pubkey: /home/test/.ssh/id_rsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug2: we did not send a packet, disable method^M
debug1: next auth method to try is password^M
---
よろしくお願いします
- 331 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 16:45:00
- $HOME/.ssh の permission とかは確認されましたか。
- 332 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 16:47:39
- -vvvの方がよさげ
- 333 名前:329 メール:sage 投稿日:2005/06/26(日) 17:43:04
- 329です。
$HOME/.ssh と $HOME/.ssh/authorized_keys のパーミッションは確認していたのですが、、、。
なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
これを、755にしたらなおりました。ぬぬー。
331さん、332さん、ありがとうございmす。
- 334 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 18:09:33
- # /etc/init.d/sshd start
*Starting sshd...
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_rsa_key
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_dsa_key
Disabling protocol version 2. could not load host key
sshd : no hostkeys available -- exiting.
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key
は一番最初に/etc/init.d/sshd start したときに作られていました
/etc/ssh/sshd_config はデフォルトです
アドバイスお願いします
- 335 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 23:21:57
- >>333
> なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
イヤーな悪寒。
- 336 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/27(月) 00:01:22
- >>335
侵入を受けたという可能性?
- 337 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 17:29:42
- でないとしてもディスクがお釈迦。
- 338 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/27(月) 18:37:54
- SSH接続して
sshdを再起動すると
その接続は切断されますか?
SSH関連の設定を変えるのが怖くて
- 339 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 18:43:49
- されない。
- 340 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 19:03:09
- やり方による。
怖いなら素直にローカルでいじれ。
- 341 名前:338 メール:sage 投稿日:2005/06/27(月) 19:37:18
- >>339-340
しばらくマシンのある場所に行けないので
できればSSHでと思ったのですが
やり方によっては切れるってことですか。
と今気づいたのですが
試しに設定を変更せずに再起動してみればいいんですよね。
で、切断されませんでした。
でも設定変更の内容によっては切断されるってことですかね?
AllowUserで利用ユーザの制限をしようとしてます。
- 342 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 19:56:41
- 別ポートで別プロセスの sshd を起動して、そっちからログインして作業すればよし。
- 343 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 01:08:07
- >>340
どういうやり方だと切れるの?ちょっと想像つかないんだが。
- 344 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 01:58:12
- >>343
sudo pkill sshd ぐらいやると切れそう
- 345 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 02:14:41
- >>343
落として上げる前にうっかりログアウトしちゃった、とかか?
- 346 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 12:59:35
- sshd_configいじりまくるならinetdで上げときゃ楽だよ
- 347 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 13:52:12
- おいらは緊急時にメンテナンス用ホストからはつなげられるよう、
inet 使って別ポートを listen させてる。
もちろん、 IP フィルタリングなどガチガチに制限してるけど。
- 348 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/28(火) 16:37:14
- >>345
SSHでログインしてることを忘れてapt-get upgradeを実行したら、
パッケージの更新中に接続が切れちゃってそれっきりに...。
翌日にPCの前で作業するまで何もできなかったことが。
- 349 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 16:45:39
- moreはsshだけに頼らず発信者番号通知のダイアルアップとか
使いつつローカルに偽装してrloginから入るけどねぇ
- 350 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 16:50:32
- >>348
sshdをrestartするだけで切れる?
バイナリ自体をupdateするとだめなのか。
>>349
pagerのmoreと紛らわしいですな。
- 351 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 16:56:50
- 漏れは solaris なんだけど、ld -G -h libcrypto.so.1 -o libcrypto.so.1
-z allextract libcrypto.a -z defaultextrace -lsocket -lsnl を実行したと
たんに死亡した。
- 352 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/28(火) 17:41:22
- >>350
sshdをrestartしても大丈夫でした。
今試したら、stopでも既存のSSHのセッションは生きてますね。
以前にapt-getで切れたのはSSHが原因ではなくて、OpenVPNでした。
パッケージを更新する際にopenvpnが停止したので、切れたんですね。
SSHは無実(?)でした。ごめん。
- 353 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/29(水) 00:43:15
- 接続が切れると痛い作業はscreen使っとけ
- 354 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/29(水) 00:55:23
- >>353
話の流れ嫁。
そういう問題ではない。
- 355 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/30(木) 05:36:15
- >>354
たぶん >>353 は L2 でつながったマシンに screen 上げておいて、そこか
ら IPv6 node local で telnet しとけってことが言いたいんだよ、きっと。
だとしたらスレ違い?
- 356 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 01:04:03
- authorized_keys に command="command" を書けば遠隔からログインしたら勝手にコマンドを実行して終了しますが、
このcommand に引数を渡すことは可能でしょうか?
command="dump /home" の代わりに、
command="dump /var/$1" のような書き方をしたいのです。
/var/ 以下の特定のフォルダを指定してバックアップしたいときとかは便利ですよね?
- 357 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 01:17:11
- $SSH_ORIGINAL_COMMAND
- 358 名前:356 メール:sage 投稿日:2005/07/08(金) 01:43:51
- >>357
的確なヒントありがとうございます。
- 359 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/08(金) 03:14:08
- OpenSSH verup age
- 360 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 20:13:03
- OpenSSL-0.9.8も来たよ。
春山さんのところによると脆弱性でのupdateではないようだね、
だけど、オイラは上げてみようっと。
- 361 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 23:30:14
- >>360
「も」って他には何が来ているの?
- 362 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 00:13:27
- >>361
どうつっこめばいい?
- 363 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 00:17:43
- >>362
そもそも、OpenSSH verup ageというのが意味不明
- 364 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 02:09:12
- >361
失礼。>359への便乗の意味で「も」を使っちまった。
で、Openssl-0.9.8はまだ入れてません。現在は0.9.7gなんだけど、
今日はリモートからだから、明日ローカルから入れてみようと思ってます。
- 365 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 02:35:02
- >>364
shared object の version number 変ったからリモートから入れても問題無いよ。
- 366 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 17:12:45
- 通常のssh接続はパスワード認証不可で、sftpやscpの場合にはパスワード認証可能にしたいんんですが、
なんか方法ありませんか?
- 367 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 18:07:35
- んじゃ、合わせてsftpやscpで~/.sshを修正できないようにしないとね。
- 368 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 19:15:17
- >>367
で、肝心なやり方は?
- 369 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 19:54:50
- >>368
金30000円申し受けます。
- 370 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 21:00:21
- 無理してレスしなくていいよ
- 371 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 21:09:37
- >>370
低レヴェルな煽りですね。
オツムのレヴェルが知れます。
- 372 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 22:24:53
- ハイハイ
で、分かる人いませんかー?
- 373 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 22:32:44
- できない
- 374 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/13(水) 05:35:40
- ~/.ssh
に
no ssh
を追加する
- 375 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 00:34:38
- WinScpってsu使えないんですか?rootでログインするしかないんでしょうか?
- 376 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 02:55:27
- >>375
なにがやりたいのかさっぱりわからない
- 377 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 07:57:29
- >>376
SSHしか使ってなかった時は、rootでログインなんてしなくても、wheelグループのユーザーでログインして、
必要ならsuコマンドやsudoコマンドでrootに変えればOKだったのです