SSH その4
- 1 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:35:08
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
- 2 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:36:08
- よくある質問
Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
- 3 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:37:08
- ◇実装
本家ssh.com
http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
http://hp.vector.co.jp/authors/VA002416/
http://www.zip.com.au/~roca/ttssh.html / http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
http://sleep.mat-yan.jp/~yutaka/windows/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/
PortForwarder
http://www.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html
- 4 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 19:38:08
- ◇規格等
IETF secsh
http://www.ietf.org/html.charters/secsh-charter.html
WideのSSH解説
http://www.soi.wide.ad.jp/class/20000009/slides/12/
◇おまけ
Theoのキチガイぶり
http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
http://www.qmail.org/djbsssh/
- 5 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/05 20:09:30
- ssh
- 6 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 05:51:37
- TheOpenBSD
- 7 名前:名無しさん@お腹いっぱい。 投稿日:04/12/06 15:54:12
- ssh のログの設定ってどこでやるの?
- 8 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 15:56:08
- >>7
sshd_config にあるべ?
- 9 名前:名無しさん@お腹いっぱい。 投稿日:04/12/06 16:26:45
- ないよ・・ うーむ すいません 初心者です;;
- 10 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 16:26:47
- これがMacOS Xの元になったOpenBSDを主宰するテヲの作ったSSHってやつですか。
- 11 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/06 16:34:54
- ∩___∩ |
| ノ\ ヽ |
/ ●゛ ● | |
| ∪ ( _●_) ミ j
彡、 |∪| | J
/ ∩ノ⊃ ヽ
( \ /_ノ | |
.\ “ /__| |
\/___/
- 12 名前:名無しさん@お腹いっぱい。 投稿日:04/12/06 18:50:55
- ありがとう ありました。
scp と sftpのログの設定はどこでやるんだろう
すいません もうちょっと探してみまする
- 13 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 03:45:55
- "djbsssh"
sが一個多いのは何故?
- 14 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 03:50:18
- djb's ssh ってことじゃない?
- 15 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 09:48:52
- Secure SSH
- 16 名前:名無しさん@お腹いっぱい。 投稿日:04/12/07 10:08:56
- >12
しらん。
- 17 名前:名無しさん@お腹いっぱい。 投稿日:04/12/07 16:42:05
- ない acインストールするとか・
- 18 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/07 21:24:12
- >>15
わろた
いい皮肉だ
- 19 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/08 20:13:37
- SSHv1って、IDEAか何かにセキュリティホールあるんだっけ?
- 20 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/10 21:33:46
- オレ、オレ
- 21 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/15 14:54:09
- 振込め、振込め
- 22 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/16 08:26:23
- Yutaka氏版って、ssh2で鍵認証できないの?
うまくいかないよ〜
- 23 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 13:12:37
- keygen でのデフォルトの鍵長(1024 bits ?)は、(SSH 開発当初よりは速くなった)
今日の CPU でも安全といえるものなのでしょうか?
- 24 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 13:38:22
- アルカイダの構成員なら2048bitにしたほうがイー!
- 25 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 13:47:51
- >>23
今日のCPUでも平気。
SSH開発当初からCPUの速度は1000倍くらいにはなったが、
これをbit数に直すと10bit程度でしかない。
ブルース・シュナイアーが書いてた目安が参考になるだろう。
http://www.schneier.com/crypto-gram-0204.html
- 26 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 18:52:15
- ブルートフォースな攻撃法であれば、の話だけどな
- 27 名前:23 メール:sage 投稿日:04/12/17 22:12:50
- こんなの見つけますた。
↓
ttp://www.rsasecurity.com/rsalabs/node.asp?id=2004
>>24
政府関係機関なので 4096bit を目指します(ウソ
実際のとこ、いまどきの Intel 系 CPU なら、4096 bit の鍵生成の時間も、
まぁ我慢出来なくはない範囲です。
>>25-26
予め素数表を作成しておく攻撃だとどうでしょう?
- 28 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/17 23:41:44
- >>27
> 予め素数表を作成しておく攻撃だとどうでしょう?
無理。
表がどのくらいの大きさになるか、素数定理を使って計算してみな。
- 29 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/18 01:17:02
- 素数表を作成って力任せそのものじゃん
- 30 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:14:40
- scp でリモートにファイルをコピーできますけど、
scp でそのリモートのファイルを削除する、ってできるでしょうか?
- 31 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:21:32
- scp - secure copy (remote file copy program)ですから。
- 32 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:46:40
- ssh user@host rm file ぢゃだめなのか?
- 33 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/22 22:52:57
- >>32
なるほど、そうですね。それでいけそうです。
あと、 sftp で rm するという手もありそうです。
- 34 名前:名無しさん@お腹いっぱい。 投稿日:04/12/23 19:35:55
- >22
公開鍵認証は 2.07f で対応します。
今晩リリースする予定です。
- 35 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 19:45:40
- >>34
たしかに出来ました!
- 36 名前:名無しさん@お腹いっぱい。 投稿日:04/12/29 20:35:18
- 教えて!
http://05xx.sub.jp/ttssh/
- 37 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 20:43:00
- >>36
何を"教えて"なのでしょう?
SSH対応のTeraTermならUTF-8対応版を使うという方法もありますよ。
ttp://www.vector.co.jp/soft/winnt/net/se320973.html
- 38 名前:名無しさん@お腹いっぱい。 投稿日:04/12/29 21:56:15
- Mac用みたいなのはしらないですか?
- 39 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 21:58:50
- MacSSH?
- 40 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/29 22:14:14
- >>38
"Mac用みたいな"というのは、下記のどちらの意図でしょう?
"MacSSHのような雰囲気のWindows版SSHクライアント"ということなら、
TeraTermとかPuTTYじゃだめでしょうか?
"MacOS版のSSHクライアント"ということで、MacOS 9ならMacSSH、
MacOS Xなら標準のsshコマンドをTerminal内で使うとか。
あ、標準のsshコマンドだと、日本語が文字化けするんでしたっけ?
- 41 名前:初期不良 メール:sage 投稿日:04/12/30 03:40:39
- OSX のターミナルでエンコードを選べば化けないっすよ。
UTF-8 でも EUC でも OK。
- 42 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/30 11:56:53
- JellyfiSSH+Terminal で十分かもかも。
- 43 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:04/12/30 12:47:57
- openssh
- 44 名前:名無しさん@お腹いっぱい。 投稿日:05/01/04 15:44:03
- あけましておめでとうございます。
pageantを使っているのですが、記憶させたパスフレーズを忘れさせるにはどうしたらいいのでしょう?
- 45 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/04 16:56:37
- ぺーじあんと? 頁蟻?
- 46 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/04 17:40:16
- >>45
PuTTYのpagent.exeのことでしょうね。
>>44
下記のページにあるように、Add Keyで削除もできませんか?
ttp://osksn2.hep.sci.osaka-u.ac.jp/~naga/miscellaneous/winsshb2.html#Anchor-%20%20-9834
- 47 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/04 21:23:53
- >>46
pagent ではなくて pageant が正しいです
- 48 名前:名無しさん@お腹いっぱい。 投稿日:05/01/04 22:04:50
- >>46
それはRemoveKeyで削除することを言ってますか?
登録したキーを削除するのじゃなくて、キーを登録するときに入力するパスフレーズを記憶してくれる機能があるのですが、そのパスフレーズを忘れた状態に戻したいのです。
ごった煮版特有の機能なのかしらん?
- 49 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/05 04:35:42
- >>47
うわー、すみません。打ち間違えました。(-_-)
>>48
良く分かってないのに口を出してすみません。
- 50 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/06 23:17:28
- >>48
ごった煮版だけの機能
putty.ini使ってるなら
[Passphrases]セクションにあるけどね。
レジストリに設定保存してる場合は知らん
- 51 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/07 09:16:11
- >> 50
あーやっぱそうでしたか。
iniファイル使う方法はしらないけどレジストリにエントリはみつけました。
pageantじゃなくてputtyのレジストリに書かれてたのね。
ざっくり消してさっぱり解決。
どうもありがとです。
しかし毎回の鍵の追加のときに記録したパスフレーズのどれか一つでもマッチすると認証されてしまうんだけどそんなもん?
- 52 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/15 20:14:55
- 初心者なのですが,助けて頂けますでしょうか?
当方,AstecX+TTSSHでX画面を転送させていたのですが,
先日からログイン先がSSH2に切り替わりました.現在
SSH2対応のTeraTermに替えて同様にXを飛ばそうとして
いるのですがうまくいきません.
何かアドバイスをお願いします.
- 53 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/15 22:52:52
- >>52
TeraTermにこだわらないのであればPuTTYを試してみるとか。
うちはSSH2でXをPuTTYで飛ばせてるよ。
- 54 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/15 22:53:23
- しまった。日本語がグダグダだ。意味はわかるよね(汗
- 55 名前:52 メール:sage 投稿日:05/01/16 16:55:16
- >>53
ありがとうございます。上手く行ったようです。
- 56 名前:名無しさん@お腹いっぱい。 投稿日:05/01/29 23:55:37
- ターミナルエミュレータごとにssh-addのパスワードを入れるのが
めんどうなんですが,
一回いれたら,他のターミナルエミュレータでは
パスワード要らなくする方法ありますか?
確か,どっかのサイトで昔見たのですが,
忘れてしまって(^^;;)
- 57 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 00:17:30
- >>56
keychain とか?
- 58 名前:名無しさん@お腹いっぱい。 投稿日:05/01/30 01:37:58
- そうです!
この記事
http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
を探していたんです!
助かりました.m(_ _)m
- 59 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 03:43:48
- >>58
でもその記事うそ多くない?
- 60 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 04:15:38
- ssh-agent?
- 61 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/01/30 04:52:52
- WinSCP ヴァージョンナップ sage
- 62 名前:57 メール:sage 投稿日:05/01/30 11:13:17
- >>58
そうそう。それです。私もこれで知って SolarisとかFreeBSDとかMacOSXですが
ずっと使ってます。便利ですよね。
>>59
うそ っていうとどこら辺が うそ ぽいんでしょう?
大体そういうアーティクルって自分の環境に合わせて適当に
解釈しながら読むので うそ ってあんまり気づかなかったりしてしまう...
- 63 名前:58 投稿日:05/01/30 11:54:44
- keychainなんですが,.bash_profileに書くのが
http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
では
source ~/.ssh-agent
となっていたが,sshの度に秘密鍵用のパスフレーズを聞かれて失敗
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=15857&forum=10&2
の通り
source ~/.keychain/現在のマシン名-sh
とやったら成功しました.
cygwinで使っているんですが,終了処理も
/usr/bin/keychain -k
を.bash_logoutに追加すると,
cygwinのウィンドを一個でも終了したら
keychainの効果が消えてしまう.
かといって,.bash_logoutに書かないと,
開始時にパスフレーズを入力した
cygwinのウィンドが終了できないで,
logout
と出たまま止まる.
解決方法はありませんか?
- 64 名前:名無しさん@お腹いっぱい。 投稿日:05/02/02 11:24:15
- うちの大学のメールサーバは SSH でいったん接続して
トンネルの中でしか POP 通せないようになっているので、
毎回メールチェックのたびに PuTTY などで接続しているのですが、
あまりにも面倒です。
SSH でポートフォワーディングしてくれるダミーのダイアルアップ
接続用ドライバってありませんかね。
もぐらプロジェクトのモノがそれっぽいかな、とおもったんですが、
SSH 接続後にその上で PPP によるリンク成立を試みるので、
すぐに失敗、切断してしまいます。
http://www.kmc.gr.jp/proj/vpn/
- 65 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/02 20:05:00
- plink使えばいいじゃん
- 66 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/02 23:03:35
- >63
順に、
keychain --help する。
パスフレーズなしの鍵を使う。
ck 使う or sshd 経由にする。
- 67 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/04 18:35:33
- keychain なんだけど
ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"
このコマンドラインだと
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
で終わっちゃってパスフレーズを聞かれないんだけどそーゆーもん?
2回 keychain 呼んでやればちゃんと聞いてくれるんだけど…。
% ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa;keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
* Adding 2 ssh key(s)...
Enter passphrase for /home/mona/.ssh/id_rsa:
- 68 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/08 23:04:55
- >67
なにしてるの?
- 69 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/08 23:31:58
- >>68
目的は一発で「リモートに ssh した時に ssh-agent を設定した上で screen
を立ち上げる」ってことなんすけどね。で、
ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa; . \$HOME/.keychain/\$(uname -n)-sh; exec screen"
こうやってみたら何故かパスフレーズを聞かれない、と。
どっか間違ってるっけ?
- 70 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/09 00:55:27
- >>69
UNIX の sh だと $(〜) は使えなかったりするね。
- 71 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/09 01:04:39
- えええっ?
少なくとも最近はそんなのはあまり転がってないと思うけど。
- 72 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/10 02:21:05
- >69
keychain --help すれ。
パスフレーズなしの鍵を使うのは?
ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
で動くと思うけど、
keychain は .cshrc とかに書く。
# REMOTE_HOST に ssh してわざわざ sh -c する?
# ろぐいんして HOME じゃないの?
あと exec screen でなくて、見たり (-ls) だとか
アタッチ (-r) だとかするのもスクリプトに
しといたほうがいいのでは?
- 73 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/10 19:56:29
- >>72
> ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
> で動くと思うけど、
thx! いけたよ。実は -t は付けてたんだけど、気付いてみりゃ ssh なのにわ
ざわざ sh -c することはないわな(;´Д`)
以下は余談。
> あと exec screen でなくて、見たり (-ls) だとか
> アタッチ (-r) だとかするのもスクリプトに
> しといたほうがいいのでは?
アドバイスさんきゅー。実際は -xRR 付けてるので大丈夫。
- 74 名前:名無しさん@お腹いっぱい。 投稿日:05/02/12 22:55:27 ID:tFwzcORg BE:16589546-#
- Debian Linux + OpenSSHを使っています。
SSHDに一般ユーザーがログインしたとき、自分のホームディレクトリ
(/home/***/)より上の階層にいけないようにするにはどうすればいいでしょうか。
また、指定したコマンドを利用出来なくするにはどうすればいいでしょうか。
- 75 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/12 23:10:31
- chrootssh
- 76 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/13 02:08:20
- >>75
見つかりました。ありがとうございます。
- 77 名前:名無しさん@お腹いっぱい。 投稿日:05/02/14 22:15:30
- Mac OS X のSSH Agent 使ってる人いませんか?
なんか、昨日まで問題なく使えてたのに、今日突然
動かなくなってしまった(起動途中で固まってしまう)。
配布元(http://www.phil.uu.nl/~xges/ssh/)に何か情報が
ないかと思ったら、タイムアウトで見れないし…。
あれ、起動時にアップデートを自動チェックするオプションを
たしかオンにしてたんだけど、まさか……
- 78 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/14 22:49:18
- >>77
知らんがな
- 79 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/15 02:21:22
- >>77
使ってるよ
- 80 名前:→ メール:sage 投稿日:05/02/15 10:02:25
- SSHでログイン後にコマンドを自動実行したいのですが、何か方法はありますか?
イメージとしては、通常の.loginとか、bashなら、.bashrcのようなものです。
- 81 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/15 10:07:04
- >>80
ssh の引数にコマンドくっつけるんじゃだめなん?
- 82 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/15 10:09:14
- >>80
~/.login あたりで
環境変数 SSH_CONNECTION があったらコマンドを実行する、とか。
- 83 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/18 13:51:56
- OpenSSHのCompressionって、
サーバー側で有効になっていて、かつクライアントでも有効にした場合に圧縮される。
どちらか片方のみ有効の場合は圧縮されない。
っていう認識であってますか?
- 84 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/18 19:05:43
- 左手に入門SSH
- 85 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 17:49:59
- すみません、ログインを許可する接続元アドレスを
ユーザー毎に設定することはできませんか?
- 86 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 20:11:46
- 鍵ならauthorized_keysで接続元アドレスやコマンドを制限できるけど、
そういうのじゃなさそうだし。
PAMをつかえばいけるのかな?pam_access.soとか
- 87 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 20:28:23
- それは笑う所なのか?
- 88 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 21:30:58
- フゥハハハーハァー
- 89 名前:85 メール:sage 投稿日:05/02/19 21:40:55
- 家に4台の linux マシンがあって、ssh で相互に入ることがよくありますが、
普段使ってるユーザー名もパスも単純なのでこれらは自宅外からは接続禁止にして、
それなりに面倒なパスワードのユーザーだけ、外から入れるようにしたいんです。
つまり接続元を
普段のユーザー:192.168.1.*
面倒なユーザー:*.*.*.*
からのみ許可するように設定したいんですが、そういう設定はできませんか?
どうか御指導願います。
- 90 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 21:51:54
- パスワードではなくパスフレーズを使いなさい。
- 91 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/19 21:55:51
- つーか鍵使えよ
- 92 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 02:09:16
- >>89
ルータのフィルタリングルールでtcp/22 (ssh)を閉じとけばいいんじゃ?
# おそらくADSLか光でNATなんだから。
- 93 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 03:04:37
- それは笑う所なのか?
- 94 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 04:08:20
- たぶん笑うところであろう
- 95 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 06:26:12
- ( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \ / \
- 96 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 06:51:12
- 確認してから笑うなよ
- 97 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 12:44:58
- ファファファって笑うとFF5のラスボスみたいでカコイイかも
- 98 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 12:55:08
- ( ・(ェ)・) ファーファ
- 99 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 15:36:26
- フゥハハハーハァー
- 100 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:04:55
- カプカプ
- 101 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:40:06
- クラムボンでたー
- 102 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:44:23
- パチン
- 103 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 18:47:54
- クラムボンはフゥハハハーハァー笑ったよ
- 104 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/20 22:31:32
- はふはふ
- 105 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 00:29:54
- はふ〜ん
- 106 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 00:36:20
- ココは何のスレですかー
- 107 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 00:49:06
- セキュア・セックス&えっち のスレ。
- 108 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 07:55:33
- SSH Max heart のスレです。
- 109 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/21 22:37:11
- Ssh.... Be quie(ry
- 110 名前:名無しさん@お腹いっぱい。 投稿日:05/02/22 12:53:24
- SSH + chroot環境ですが。
scpが動いてくれません。どうしたらよいのでしょう?
コマンドラインから確認すると
unknown user 12345
とか言われます。
chroot/etcにはすでにpasswdとgroupがコピーしてありadduserは済ませてあります。
ls -l コマンドでファイルの所有者が名前でなくidが直接表示されているということと
関係があるのでしょうか。
WinScpからはcd,mkdir,ls,rmなどが使えます。
chrootでないsshアカウントは正常に動いているようです。
- 111 名前:110 メール:sage 投稿日:05/02/22 14:47:25
- 自己解決!
/lib/libnss_files.so.?
をchroot/libにコピーすれば動作しました。
"ls -l コマンドでファイルの所有者・・・"も名前に変換されていました。
片っ端から検索しまくって試行錯誤した結果です。
今後の問題は、新たなファイルをインストしてエラーするたびにlddではわからない
依存libの存在に頭を悩まし、どうやって探すかだが。
- 112 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/02/22 15:00:51
- それが判断つかないならchroot環境に一式入れればいいじゃんよ。
知識がないのに変に取捨選択するからおかしくなるんだと思うぞ。
- 113 名前:名無しさん@お腹いっぱい。 投稿日:05/03/04 15:13:13
- linuxのPC同士、IPv6のリンクローカルアドレスでssh/sftpの通信をしようと考えています。
sshに関しては
>ssh (ユーザ名)@(リンクローカルアドレス)%(インターフェース名)
という指定方法で通信できたのですが、sftpの方はずっこけてしまいました。
IPv6対応とうたっていながらリンクローカルに対応していないということは考えられないので恐らく指定方法が違うのかもしれませんが、いろいろ試しても通信できないでおります。
ご存知の方いらっしゃいましたら教えてください。
インターフェース名に関しては .......%eth0 という感じで指定しています。
- 114 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/04 18:55:59
- ':' がポート番号指定とみなされるのでこうするんじゃないかな。
# シェルによっては '[' ']' が悪さするのでクオートしてます。
sftp '(ユーザ名)@[(リンクローカルアドレス)%(インターフェース名)]'
- 115 名前:sage メール:sage 投稿日:05/03/04 20:51:15
- 113です。114でお答えくださったお方、ありがとうございます。
明日さっそく試してみようと思います。
誰に聞いてもわからなくて、迷った上で書き込んだのですが答えてくださる方がいて本当によかったです。
- 116 名前:名無しさん@お腹いっぱい。 投稿日:05/03/09 17:06:36
- sftpってサーバがわでftpdみたいにget/putのログって取れる?
客のサポートしなきゃならんので追跡したいんだけど。
- 117 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/09 17:17:04
- patch
- 118 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/09 22:22:19
- >>116
そういうことって十分ありうるよね。
openssh-unix-devとかで聞いてみたらいかが?
Subject: [sftp] file transfer log
Hi,
Can sftp-server(8) keep a record of transferred files?
- 119 名前:名無しさん@お腹いっぱい。 投稿日:05/03/09 23:39:25
- 4.0p1キタワァ*・゜゚・*:.。..。.:*・゜(n‘∀‘)η゚・*:.。. .。.:*・゜゚・* !!!!!
- 120 名前:名無しさん@お腹いっぱい。 投稿日:05/03/10 12:38:33
- >>118
やっぱり標準だとナサゲですよね・・・
聞いてみようかなー。
- 121 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/10 17:13:46
- Winscp3についての質問です。
winscpには、cp いわゆるコピーのコマンドにあたるものは
ないのでしょうか?
- 122 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/10 17:20:17
- Vara Termでマクロを組んでいるんですが、とあるところからお借りした
サンプルには、ポートの指定が乗っていないようでした。
これにポートの指定を追加するにはどうすればよろしいのでしょうか?
教えてくださいませ。
import VaraTerm;
import VaraTerm.Macro;
import System.Drawing;
var env = new Environment();
/*
* Please modify the following values before you run this macro!
*/
var host = "";
var account = "";
var password = "";
var encoding = "SHIFT_JIS";
var prikey = "\\id_dsa.ppk";
sshlogin();
function sshlogin() {
var param = new SSHTerminalParam(ConnectionMethod.SSH2, host, account, password);
param.AuthType = AuthType.PublicKey;
param.Encoding = encoding;
param.IdentityFile = prikey;
param.TerminalType = TerminalType.XTerm;
var c = env.Connections.Open(param);
}
- 123 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/10 18:51:59
- >>121
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/winscp.shtml#winscpbasics
- 124 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/12 11:49:23
- OpenSSH4.0はどんな具合ですか?
conf使い回せるのかな?
- 125 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/12 21:20:54
- >>124 問題ない。conf使いまわせる。
- 126 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/12 23:59:35
- ってか、何が変わったの?
- 127 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 00:15:54
- >>126 ttp://www.openssh.com/txt/release-4.0
- 128 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 00:18:36
- >>127
日本語訳も乗っけとけ
ttp://www.unixuser.org/%7Eharuyama/security/openssh/henkouten/henkouten_4.0.txt
- 129 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 11:44:59
- sshdに対する無差別なアクセスがまたうざくなってきてない?
Failed password for rootか
Failed password for invalid userが
3回続いたら ipfwでdropするようなことしてみようかな
- 130 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 13:16:31
- OpenSSHにてファイルサーバーをたてています。
sftpでレジューム機能を有効にしたいんですが、sftpの設定ファイルはどこにあるのでしょうか?
(ネットでいろいろ探したんですが見つけられませんでした...)
環境は
OpenSSH 3.4p1 + chrootssh patch
Debian GNU/Linux 3.0(kernel 2.4.17)(玄箱)
です。
- 131 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 14:51:01
- >>129
ログインする可能性のあるホスト以外からの
アクセスを切っといたほうが楽。
- 132 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/13 14:57:13
- >>130 OpenSSH/sftp ではデフォで file transfer resume の機能は
無いので内科医。パッチを書いてる人はぽつぽつ居るようだ。
ttp://bachue.com/alejo/patches.html
ttp://groups-beta.google.com/group/mailing.unix.openssh-dev/msg/6a74edfbea3c5601?q=%5BPATCH%5D:+scp+program+improved&hl=en&lr=&ie=UTF-8&oe=utf-8&rnum=1
- 133 名前:130 メール:sage 投稿日:05/03/13 18:36:05
- >>132
どうもありがとうございます。
とりあえず玄箱でchrootsshとresumeのパッチを当てたopensshを作ってみます。
ご報告は後ほど...(まだまだ初心者なのでトラブル可能性が...)
- 134 名前:130 メール:sage 投稿日:05/03/15 01:16:37
- >>132
ttp://groups-beta.google.com/group/mailing.unix.openssh-dev/msg/6a74edfbea3c5601?q=%5BPATCH%5D:+scp+program+improved&hl=en&lr=&ie=UTF-8&oe=utf-8&rnum=1
のパッチがうまく当たらないので土日にでもdiffファイルの構造を調べて、
ソースを書き換えてみます...
- 135 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/16 17:36:19
- >>129
ルーターでWAN側とLAN側のポートを切り替えてるから静かなものだよ。
- 136 名前:名無しさん@お腹いっぱい。 投稿日:05/03/16 18:53:41
- 接続先が複数あるとき、鍵は接続先ごとに作った方がいいのでしょうか?
1つの鍵を全部の接続先に登録しても問題ないですか?
- 137 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:05/03/16 19:00:21
- それは、それほど問題ない。
それよりも、接続元として使うマシンが複数ある場合、
接続元ごとに違う鍵を作ることの方がむしろ大事。
- 138 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 07:10:47
- sshで鯖につないでてほっとくと3分ぐらいで反応がなくなる(自動ログアウトする)
みたいなんですが、この期間を長く設定するにはどこいじればいいですか?
- 139 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 08:43:35
- sshクライアントでNULLパケットでも定期的に出せばいいジャン。
- 140 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 09:17:41
- 反応がなくなるのと自動ログアウトは違うと思うが
- 141 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:皇紀2665/04/01(金) 11:59:07
- >>138
どこかでNATしてない?
もしそうならそのNAT箱の実装がださいのでそれを窓から投げ捨ててまともな機材に入れ替えろ
- 142 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 17:43:24
- >>138
使っているシェルは何でしょ?
tcshならシェル変数autologoutというのがあるわけで、それかなー、とオモタ。
(ただし、自動ログアウト時には auto-logout というのが表示されるから、今回
の件とは関係がないかも…。)
- 143 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 18:27:06
- KeepAlive 設定してもだめなの?
ところで、sshd宛のattackは以前は中国・台湾からが多かったけど、
竹島条例以来、半島からのが増えてる。
奴らはわかりやすいなぁ。
- 144 名前:138 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 18:42:39
- bash使ってるんですが
/etc/profileに
TMOUT=1800
と設定してます
たしかに自動ログアウトの表示はでずに反応がなくなるんで、この設定とは
関係ない気もします
>>141,143
NAT、KeepAliveをヒントに調べてみたらそれらしきものがありました どうもです
http://www.geocities.co.jp/AnimeComic/1098/documents/unixmemo/ssh-keepalive.html
- 145 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/02(土) 22:52:17
- しかし、クライアントに何を使ってるか一切出さないのは最近の流行なの?
- 146 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:UNIX時間(+0900)35年,2005/04/03(日) 02:11:27
- 流行だよ
- 147 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 00:21:11
- sshなんだけど、公開キーをサーバーに転送したんだけど
どこに置けばいいのかわからない。
もしかしてどこでもよくて、なんかのファイルで指定するの?
誰か教えてください。
- 148 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 00:35:03
- OpenSSHなら ~/.ssh/authorized_keys の中
くわしくはssh(1)を参照
- 149 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 00:35:07
- OpenSSHとssh.com版でびみょーに違うけど、
~/.ssh/ か ~/.ssh2/ あたり。
- 150 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 08:41:13
- ~/.ssh/ ってどこ?
cd ~/.ssh/
そのようなファイルやディレクトリはありません。
/etc/ssh/ の事?
- 151 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 08:53:05
- >>150
おまいは使わないほうが良いと思われ。
Cygwin の OpenSSH も 4.0p1 になってて驚いた。
- 152 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 09:35:28
- linux暦2週間のおいらには早すぎた?
- 153 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 13:34:13
- >>152
いい機会なのでじっくりたっぷりねぶるように勉強してください。
ディレクトリがなければ自分でつくれ。
- 154 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/07(木) 13:48:25
- >>150
http://linux2ch.bbzone.net/index.php?bashBeginner#neac2d23
- 155 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 14:02:31
- /root/.ssh/id_rsa.pub
にキー置いて
PuTTYでログインしようとしたら
server refused our key
って表示されます。
どこが悪いのでしょうか?
設定はほとんどデフォルトです。
- 156 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 14:10:26
- ほとんどデフォルトとか言われてましても。
- 157 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 14:14:48
- rootでログインを許可しただけです。
- 158 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 15:06:28
- >>155
自分に対してくれたレスぐらい見ようよ、見直そうよ。
- 159 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 15:19:12
- 日頃の行い悪いと、拒絶されるっちゅーこったな。
- 160 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 17:58:51
- >>155
> /root/.ssh/id_rsa.pub
( ゚д゚)ポカーン
- 161 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 20:03:26
- >>155
たまには man ssh 汁
- 162 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 20:28:25
- 教えてあげたい気もしなくはないが、
その程度の理解しかできてないのに「rootでログインを許可した」とか
しれっと言われちゃうとさすがに恐くてのー。
- 163 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 21:41:27
- >>155 暇だから相手して進ぜよう。
$ grep -i root /etc/ssh/sshd_config
とやって結果をここに貼りなされ。話は
それからぢゃ。
- 164 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 22:00:53
- 許可がありません
- 165 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/08(金) 22:15:49
- >>163
( ゚д゚)ポカーン
- 166 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/09(土) 23:34:25
- openssh と ssh どちらを入れたのか?でも揉めそうだな。
- 167 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/10(日) 16:50:12
- sshだけどデフォルトでAllowUsers っていう設定項目ある?
なんかインストールするたびにある時とない時があるんだけど・・・^^;
- 168 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/10(日) 17:50:29
- >>167 OpenSSH だとその設定項目はいつだってあるが、
デふぉではsshd_config にその記載行は無い。
- 169 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/10(日) 17:54:34
- THX
- 170 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 07:09:02
- ちょっとスレ違いかも知れないが
WinSCP3っていうソフトだけど接続先、一箇所しか登録してないから
起動時にその接続先に接続したいんだけど
オプションとかで指定できないのかな?
-load とか試したけど読み込んでくれない。
- 171 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 07:30:08
- スレ違いというよりも板違いって感じがしないでもないでもない。
- 172 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 18:13:47
- PuTTYっていうソフト使ってたのだが
なんかいまいち使いにくい。
シンプルなやつか多機能なやつ、どちらを使おうか悩んでる。
シンプルでお勧めなのと、多機能でお勧めなのを教えて( ゚Д゚)ホスィ
- 173 名前:初期不良 メール:sage 投稿日:2005/04/11(月) 18:50:56
- シンプル多機能
Cygwin OpenSSH
- 174 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/11(月) 21:26:22
- >>172
TeraTermのUTF-8対応版とか?多機能...だよね?
- 175 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 00:24:03
- Poderosa
http://ja.poderosa.org/
VaraTerm がオープンソース化
http://slashdot.jp/article.pl?sid=05/04/07/1326207
- 176 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 16:03:11
- >>175
それ鍵認証に対応してるの?
- 177 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 16:11:01
- あちこちで宣伝してるな
- 178 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 20:14:20
- >>175
イ ラ ネ
- 179 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/12(火) 21:09:26
- 昔から2chで幾度となく宣伝してたな
- 180 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 18:23:10
- # vi /etc/ssh/ssh_config
に、デフォルトで
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server
これらの記述があったと思うんだけど
なぜかほとんどない・・・再インストール後ってこんなもの?
- 181 名前:( ゚д゚)ポカーン メール:sage 投稿日:2005/04/15(金) 18:32:37
- From: [180] 名無しさん@お腹いっぱい。 <sage>
Date: 2005/04/15(金) 18:23:10
# vi /etc/ssh/ssh_config
に、デフォルトで
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server
これらの記述があったと思うんだけど
なぜかほとんどない・・・再インストール後ってこんなもの?
_______________________________________________________________
- 182 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 18:40:10
- /etc/ssh/sshd_config
だったのか・・・orz
- 183 名前:初期不良 メール:sage 投稿日:2005/04/15(金) 19:10:41
- >>182
たいしたことじゃない気に病むな
イキロ
- 184 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 19:30:49
- ま、そんなもんだ。
- 185 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/15(金) 21:34:02
- 人間だもの
生きてるだけで恥さらし
みつを
- 186 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/16(土) 21:30:20
- うちの会社のリモート認証が
1. IDカードに表示されている数字列(時間で変わる)を見る
2. その数字列をあるプログラムに食わせると、ワンタイムパスワードが生成される。
3. sshでそのパスワードを使ってログインする。
というものなんですが、2.から3.へコピペするのが面倒なんで、自動化
したいんです(ちなみにそれだけなら構わないと会社に言われています)
ssh-agentとssh-add使ってスクリプトでなんとかなるかと思いましたが、
パスワードには対応してないみたいですね。SSH_ASKPASSも無視されるし。
(OpenSSH 3.9p1です)
で、sshはパスワードをどうも標準入力ではなく、/dev/ttyからしか
取ってくれないみたいなんで困っています。
なんかいい方法はないでしょうか。ファイルに書き出すとか、psで
見えてしまうのはまずいです。一時的にシェル変数に格納される
くらいならいいですけど。
- 187 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 00:48:27
- >>186
つ openpty(3)
- 188 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 02:02:30
- >>187
ありがとうございます。でもド素人には荷が重いアドバイスかも。
openptyしてforkして制御端末化してからsshをexec。
親はバッファリングを止めて子の出力を見てパスワード要求が来たら
パスワード送ってそのあとは入出力をそのままスルーで流すって
感じですか?
...ちょっとシェルスクリプトレベルを超えてる気がしますが、やってみます。
- 189 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 08:47:32
- expect
- 190 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 09:09:03
- sshのソースコードを修正して内部でその秘密のプログラムを呼ぶ方が早いのでは?
- 191 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/17(日) 10:44:38
- >>189
ありがとうございます。結局ptyをperlから扱えるモジュールを探したら、
IO::PtyとExpect.pmにたどり着きました。TCLは知らないのでEXPECT(1)を
覚えるよりPerl使ったほうが早そうです。
サンプルの2.B.rloginってやつがほとんどそのまま使えそう。
>>190
そんな気はしますが、あんまり触りたくないんですよね。
結局スレ違いになっちゃって、すみません。
- 192 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/19(火) 23:00:45
- OpenSSH-4.0p1をソースからビルドしようとしてるんですが、
configureで最近のlibcryptoが無いって怒られます。
で、see config.logとも出るので、見てみるんですが、いまいちわかりません。
config.logは長いので、ここには貼り付けられません。
環境は玄箱HG debian sargeです。現在3.8.1.p1が入ってます。(OpenSSL-0.9.7e Zlib-1.2.2)
ちなみに、LD_LIBRARY_PATHやPATHは通してあります。
何ぞヒントになるポインタだけでも与えていただけないでしょうか?宜しくお願いします。
- 193 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/19(火) 23:20:50
- >>192
> configureで最近のlibcryptoが無いって怒られます。
> ちなみに、LD_LIBRARY_PATHやPATHは通してあります。
下手な要約や翻訳をせずに、やった操作とエラー出力をそのまんまコピペしる。
- 194 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 02:18:36
- ~/.ssh/identity.pubを安全な方法で持って行くように書いてある
ページをたまに見かけるんだけど、なぜ安全な方法で持って
いかなければならいのか、わかりません。
公開鍵から秘密鍵とか計算できるの?
- 195 名前: ◆uGRdPa4j32 メール:sage 投稿日:2005/04/20(水) 02:54:28
- >>194
嘘を嘘であると見抜ける(ry
- 196 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 12:09:02
- >>194
ユーザの公開鍵が他者に知られると、
他者が偽ホストを作ってそこにログインさせようとする攻撃に対する防御が弱くなります。
ホストの認証が適切に行われれば防げますが、
SSHのホストの認証は相手のホスト公開鍵を入手しておかないと機能しません。
たとえば、先方のホストの入れ換えがあって、ホスト公開鍵が変わったことはわかっているが
ホスト公開鍵そのものは知らないという状況では、
新しく提示されたホスト公開鍵を信用してしまいがちです。
ユーザの公開鍵が真に安全に渡され管理されていれば、
ホストの認証がごまかされてもユーザの認証の段階で不審なことに気づきやすいでしょう。
(公開鍵を登録してもらったはずなのにパスワードのプロンプトがでるな? とか)
なのでユーザの公開鍵も*可能ならば*安全な方法で渡したほうがよいと思います。
- 197 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 12:17:30
- >>196
理由とするにはかなり無理矢理な感じのする屁理屈だなあ。
- 198 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 13:18:45
- >>197
セキュリティホールとその対策なんてそんなもんよ
半分はブービートラップ半分は屁理屈
- 199 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 13:37:10
- 事故にあう確率が違うのでできれば車より徒歩で移動した方がいいと思いますみたいな。
- 200 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 13:44:48
- >>198
わかってない人とかエセコン猿だとそうかもね。
>>199
知らないおじさんについていかないよう、人見知りする子に育てた方がいいと思いますみたいな。
- 201 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 17:10:22
- >>196の例えは不適切。ホスト名乗っ取る際に、クライアントの公開鍵はすべて無条件に
受け入れるようにしておけば疑う余地はないし、最初の1回でその公開鍵を入手できる。
- 202 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 17:38:56
- >>201
認証の際にユーザの公開鍵を送るので、そうされたらダメですね。
196は撤回します。お騒がせして失礼しました。
- 203 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 17:44:26
- 仕切り直して、
安全でない手段でユーザの公開鍵を送ると、
途中で他者に公開鍵をすりかえられて、
サーバへの登録後正規のユーザが確認するより先に他者にログインされる
という攻撃はあると思われます。
- 204 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 17:52:55
- それ考えたけど、すりかえができるような状況なら
わざわざすりかえなくともいきなり偽の公開鍵送りつけても
サーバに登録してもらえそうな気がした。
「あー、おれおれ。この鍵入れといて」って。
- 205 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 19:32:01
- 「公開」鍵だぞ?
公開して問題ない鍵なのに、安全な方法で送る必要ねぇだろ、アホか。
- 206 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 19:36:30
- >>205
なら >>203 に反論してよ。
- 207 名前:192 メール:sage 投稿日:2005/04/20(水) 21:34:31
- >193
apt-get installでsshをインストール。
バージョンが3.8.1p1だったので、openssh-4.0p1.tar.gzを取得して/home/userでtarコマンドで展開
openssh-4.0p1ディレクトリの中でmkdir build && cd buildして ../configureを実行。
3分弱くらいで
configure: error: *** Can't find recent OpenSSL libcrypto (see config.log for details) ***
となりました。
以上です。宜しくお願いします。
もう一度環境ですが、玄箱HG debian sarge gccバージョン3.3.5です。
- 208 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/20(水) 22:00:49
- >>203
chrootまたはjailなどの隔離環境でクライアントに接続試験させてから本格的に
ホームディレクトリで運用させれば良いんじゃないの。
そこまでする必要にせまられったことは今まであったこと無かったが。
- 209 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 22:22:26
- >>208
それも安全な方法のひとつじゃないですかね。
- 210 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/20(水) 22:36:18
- この話は、
管理者が、
・正規ユーザと確認してから登録する
なり
・(鍵自体の確認手段がないなら)正規ユーザがログインできるかどうかすぐに確認してもらえる状況で登録する
などといったポリシーに基づいて鍵の登録を行う
とユーザの側からでなく管理者の側からとらえたほうがいいのかな。
- 211 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 01:18:03
- >>210
違う。
>>194は「持っていく」と書いているので、その気になれば安全な
方法で持っていって自分で登録できる人、と読める。
自分で登録できるなら登録後のverifyも可能なので、途中経路での
すり替えは気にする必要ない。当然公開鍵は盗み見られてもかまわない。
ってことで、>>194はただの杞憂。
もし、「持っていく」ではなく「ログインしたいサーバの管理者に渡す」
という話なら、>>210となる。
- 212 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 01:25:26
- ・公開鍵は安全で無い経路で伝達
・フィンガープリントは安全な経路で伝達
こうじゃないの?
- 213 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/21(木) 02:19:35
- >>210
・正規ユーザと確認してから登録する -> ・正規ユーザの鍵と確認してから登録する
です。
>>212
それも管理者が確認できる方法のひとつです。
- 214 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 03:24:37 BE:1755623-
- http://www.unixuser.org/%7Eharuyama/security/openssh/20050421.html
すばやいね。
- 215 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 04:14:07 BE:3510443-
- http://triaez.kaisei.org/~kaoru/diary/?200305a#200305045
GlobalKnownHostsFile as read only known_hosts
http://www.nantoka.com/~kei/diary/?200504b&to=200504181#200504181
「REMOTE HOST IDENTIFICATION HAS CHANGED」が出たら、~/.ssh/known_hostsを消せ
- 216 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/21(木) 16:05:30
- >>2を読んで厨質問しそうになっていた自分を戒めたw
- 217 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/22(金) 23:15:39
- ポートフォワードで質問なのですが
1000番から2000番までのポートを対象のサーバへ
それぞれフォワードさせたいのですが可能でしょうか。
コマンド的には以下のような感じです。
ssh 192.168.2.1 -L 1000-2000:192.168.1.1:1000-2000 -g
- 218 名前:194 メール:sage 投稿日:2005/04/23(土) 00:25:30
- ちょっと忙しくて見れてなかったが、レスくれた方々ありがとうございます。
てっきり、公開鍵と暗号化された通信内容から秘密鍵が割り出せて
通信内容がばれる可能性があるのかと思ってた。
(これは現実的な時間では計算できない?っぽい。)
全然違うことを心配していました。
気になったのですが>>202は、間違えてませんか?
認証の際にユーザの公開鍵を送ることはたぶん無いですよ。
http://www.unixuser.org/~euske/doc/openssh/jman/ssh.html
の「チャレンジ」周辺に書いてあります。
正解は、>>195
- 219 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/23(土) 10:16:34
- >>218
SSH1のRSA認証では(チャレンジの前に)クライアントがユーザの公開鍵を送ります。
一致する公開鍵がサーバにあるとその鍵を使ったチャレンジをサーバが送ります。
SSH2の公開鍵認証でも、通常はまずクライアントはユーザの公開鍵を送り
サーバはその有無を返します。
クライアントがユーザの秘密鍵を用いた署名を送る際にもユーザの公開鍵をつけます。
- 220 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2005/04/23(土) 10:42:49
- 偽ホストとの通信でユーザ認証までいってしまえば、
クライアントからの情報を検証せずとも偽ホストは適当な返答を返して
ログインを許可できるので
その意味でも
>>196 は間抜けでした。
- 221 名前:194 メール:sage 投稿日:2005/04/23(土) 19:08:52
- >>219
やっと、公開鍵を送ってることが理解できた。サンクス
- 222 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/25(月) 17:52:18
- はじめまして。
SSH初心者なのですが、ポートフォワードに関して教えていただけないでしょうか?
一つのサーバーにSSH、WebDav(Apache)サーバ、IRCサーバを動かしているのですが
ユーザー1とユーザー2がいるとして
・ユーザー1はポートフォワードでWebDavのサーバーにしか転送できない
・ユーザー2はIRCのサーバーにしか転送できない
と言った設定をする事は可能でしょうか?つまりユーザー1がIRCを利用したり、
ユーザー2がWebDavを利用したりできないように特定のポート番号だけをフォワードできるようにする設定にしたいのですが
厨質問ですみません、御教授下さい・・・
- 223 名前:無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 20:51:20
- >>222 OpenSSH だと、ホスト毎のforwarding設定はできるけど、
ユーザ毎設定をサーバでやるいうのは出来んように思う。
- 224 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/25(月) 21:28:55
- >>219
待て。クライアントは公開鍵なんぞ送らんぞ。
一度クライアント公開鍵を削除してからRSA認証でログインしてみれ。
- 225 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 21:44:49
- やってみたが、
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
...送ってない?
- 226 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 21:44:57
- >>222
permitopen
- 227 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 22:52:15
- >>225
公開鍵を送ってんじゃなくて「公開鍵認証方式で認証してくれ」っていうリクエストを送ってる。
/home/user/.ssh/id_rsa ←これクライアント秘密鍵だし。
- 228 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:19:46
- >>227
>>225を見て興味を持ったので俺もコードを見てみた。
どの公開鍵でなのかを伝えるために、公開鍵そのものを送ってるように思う。
(もちろんサーバはそれを無条件に使うわけではなくて、
ユーザのauthorized_keysに同じものがあれば使うんだろうけど)
sshconnect2.cのuserauth_pubkeyとsend_pubkey_test。
- 229 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:34:30
- >>228
公開鍵(例えばSSHv2のRSAならid_rsa.pub)をクライアントから削除して、
秘密鍵だけ置いた状態でサーバにSSH接続を試してみて。
接続できるでしょ?
つまり公開鍵を送っているわけではないってこと。
- 230 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:52:18
- 「どの公開鍵でなのかを伝えるために公開鍵を送る」とあるけど、
ただしくは「どの公開鍵でなのかを伝えるために秘密鍵を使う」です。
動作の詳細は自分もはっきり説明できるわけじゃないんだけど(SSHv1と
SSHv2でも少々異なるようだし)、たとえばユーザAとしてログインしようとしてるとして、
まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
んで、SSHサーバ側で、その秘密鍵に対応する公開鍵が
/home/ユーザA/.ssh/authorized_keysに登録されているかどうか見る。
で、登録されているクライアント公開鍵でランダムデータを暗号化してクライアントに送る。
クライアント側ではその暗号化データをクライント秘密鍵で複合化して送り返す。
クライアント側の秘密鍵で正しく複合化できたら、クライアント側の
秘密鍵とサーバ側にある公開鍵が正しいペアだと証明できるので、認証される。
ってな具合だと思う。(本当はもっと複雑なことやってるらしいが)
- 231 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/25(月) 23:57:25
- >>230
「秘密鍵を使う」というのが具体的にどういう使っているのか説明してくださいな。
できればコードに即しておねがい。
- 232 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:00:20
- >>229
秘密鍵ファイルには公開鍵の情報も含まれているわけだが
- 233 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:03:15
- >>229
前半は後半の根拠にならないですよ。ssh-keygenのmanを読んだことないですか?
- 234 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:08:11
- >>230
> まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
どういう情報でそれが伝えるのかが問題になってるわけだが。
知識もなければ読解力もないな。
- 235 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:17:05
- >>230 はもしかして秘密鍵を送ると思ってるんジャマイカ
- 236 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:19:47
- >>233
具体的な説明よろ
- 237 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:21:27
- >>236
ssh-keygenの-yオプション
つまりは>>232ってことだと思われ
- 238 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:22:04
- >>234
どういう情報で伝えるかが問題ではなく「公開鍵自体を送っているのかどうか」が問題なのだが。
- 239 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:27:31
- >>238
伝えるための情報として公開鍵そのものを送っているという話だと思うが。
>>228のその主張を否定してるわけだから、
公開鍵を送らないならどういう情報で同定してるのか教えてくれ。
それを送ってる部分のコードの特定も。
- 240 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:38:57
- ssh がどうやっているかは知らないけど、署名の要領 (秘密鍵で暗号化→公開鍵で復号化) で確認はできるよ。
- 241 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 00:54:49
- >>240 バカ一匹追加
- 242 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/26(火) 02:35:25
- そろそろ誰かちゃんとした回答をしてください
- 243 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/26(火) 07:00:29
- おまいらソース嫁
- 244 名前:名無しさん@お腹いっぱい。 投稿日:2005/04/29(金) 12:43:52
- リモート1:Solaris9(SunのSSH?)
リモート2:MiracleLinux(OpenSSH)
自分:WinXP+cygwin
という環境で、リモートマシンのパスワードの有効期限が
切れた後にsshでリモートに接続すると、
リモート1:その場で新パスワードに更新させられる
リモート2:切断
となってしまいます。OpenSSHでも、パスワード期限切れ時に
新パスワードに変更させてログイン続行させることは可能
ですか?
- 245 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 12:47:33
- 公開鍵、秘密鍵って、マシン毎に作るもの?
それとも一人のユーザが一つずつもってりゃいい?
- 246 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 12:49:19
- リスク分散を考えるとそれぞれで作ったほうがいい。
しかし面倒くさい。
自分で判断出来ない池沼は何やっても無駄。
- 247 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 14:18:40
- 秘密鍵一つ作れば公開鍵は無限に作れるよ
- 248 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 14:31:00
- >>244
OpenSSHとLinuxの認証システムは別個のプログラムで
あまり密でないから、結構ハックしないとだめそう。
ユーザーとして不便てことだけなら、
パスワードじゃなくて鍵をつかえればいい。
- 249 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 15:49:13
- pamの設定だけじゃないか?
- 250 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 16:57:04
- いや、privilege separationのせいでちとやっかい。
- 251 名前:244 メール:sage 投稿日:2005/04/29(金) 17:07:39
- >>248>>249 レスありがとうございます。
リモートサーバの設定は、「パスワード認証なし」で、
RSAの鍵認証のみで使用しています。pamの設定、
調べてみることにします。
会社の規則で、すべてのサーバにパスワードの有効期限を
設定する必要が生じたため、困っているのです。このままだと、
遠隔地にある普段メンテしないLinuxマシンが、肝心な時に
パスワード期限切れで現地に行かないとメンテできない状況に
なりかねません。
逆に、「OpenSSH(+pam?)ではできない」という裏が取れれば、
「これこれの理由で有効期限は定めない」という設定許可申請を
会社に出すつもりなのですが、その裏も取れずに困っています。
教えてクンですみませんが、なにか情報のソースがあれば、
ご教授お願いします。
- 252 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/04/29(金) 20:39:32 BE:2287837-#
- 普段からちゃんとメンテ汁
- 253 名前:244 メール:sage 投稿日:2005/05/01(日) 00:01:42
- >>252
「普段メンテしない」≠「メンテしてない」
「必要なとき以外にはアクセスしない」です。
あんまり同じ悩み抱えてる人はいないんでしょうか。
それとも、「(必要なくても)定期的にアクセスするが正解ですか?
- 254 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/01(日) 00:11:09
- その状況だとワンタイムパスワードを利用するのも手
- 255 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/01(日) 02:03:53
- SSHの公開鍵認証使ってるんでしょ?
むしろ普通のユーザのパスワードは潰しておくべきじゃないか。
- 256 名前:192 メール:sage 投稿日:2005/05/07(土) 21:01:20
- 自己解決。
opensslを0.9.7eから0.9.7gにしたらconfigure通ってあとはすんなりでした。
良かった。
- 257 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/09(月) 20:44:08
- 携帯からSSHでPCを遠隔操作できるシステム〜ベータ版を無償公開
http://internet.watch.impress.co.jp/cda/news/2005/05/09/7515.html
- 258 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/10(火) 00:21:39
- SymbianOSなNOKIAの携帯なら、もっと前からフリーなSSH clientはあったけど
PuTTY SSH client for Symbian OS
ttp://s2putty.sourceforge.net/
…未踏なんですか。入力/補完モードが肝?…というほどの新規性があるとも…
- 259 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/12(木) 17:36:08
- ssh -X -M hoge command &を何回も実行すると、実行した数だけTCP/IPコネクションが
張られるんだけど、-Mオプションをつければコネクションを共有するんじゃないの?
- 260 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/14(土) 18:36:15
- Intelのハイパースレッディングに深刻な脆弱性
IntelのXeonなどに実装のハイパースレッディングに深刻な脆弱性が発見された。
マルチユーザーシステムの管理者は直ちに使用を停止した方がいいとの勧告が出されている。
Intelのプロセッサに実装されているハイパースレッディング技術に深刻な脆弱性が存在すると、
セキュリティ研究者が報告した。
この問題を発見したのは、FreeBSDプロジェクトでセキュリティを担当するコリン・パーシバル氏。
オタワで開催のBSDCan 2005で5月13日、詳しい論文を提出したという。
ハイパースレッディングはIntelのPentium Extreme Edition、Pentium 4、モバイルPentium 4、
Xeonに実装されている技術。同氏がサイトに掲載している情報によれば、この脆弱性が原因で
ローカル情報が流出する恐れがあり、権限を持たないユーザーがRSA非公開鍵を盗み出すことが
できてしまうという。
マルチユーザーシステムの管理者は直ちにハイパースレッディングを停止した方がいいと同氏は
強く勧告。デスクトップPCなどのシングルユーザーシステムは影響を受けないとしている。
パーシバル氏は昨年10月にこの問題を発見。その後コンセプト実証プログラムを作成し、影響を
受ける全ベンダーにこの問題を通報したという。サイトには、FreeBSDやSCOなどから寄せられた
アドバイザリー情報が掲載されているが、今のところIntelからの情報は寄せられていない。
http://www.itmedia.co.jp/enterprise/articles/0505/14/news009.html
- 261 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/15(日) 03:46:52
- openSSH4.0のsftp-serverってUTF-8未対応だっけ?
WinSCPでアクセスするも適切にエンコーディングできん
- 262 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/20(金) 14:17:41
- >>3
SSH Plugin
http://www.mud.de/se/jta/html/SSHTest.html(SSH1)
- 263 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 16:58:51
- ftp://core.ring.gr.jp/pub/net/ssh/
のWindows用sshクライアントで公開鍵を使ってopensshを使っているLinuxサーバに接続する方法を教えてください。
ssh-keygen2でキーを作成し、.pubファイルを~/.sshにアップロードし
ssh-keygen -i -f kkk.pub > kkkk.pub
cat kkkk.pub >> authorized_keys
ここまでやったのですが、その先がわかりません。よろしくお願いします。
- 264 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 17:38:50
- >>263
ssh hoge
- 265 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 17:47:01
- つ 入門SSH
- 266 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/21(土) 20:13:11
- >>263
つ PuTTY
ttp://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top
- 267 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/22(日) 06:21:48
- ftp://core.ring.gr.jp/pub/net/ssh/
以外使えない環境なんです・・・
- 268 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/22(日) 06:57:49
- debug表示のオプション(-vとか-d)をつけてssh2.exeで接続してみれば、
なにがおかしいかわかるかもね。
- 269 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/22(日) 17:09:53
- 「site:2ch.net」でググったらこのスレがトップにきますた
- 270 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/23(月) 07:06:38
- >269
本当だ。なんでやねん。
- 271 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/23(月) 13:23:11
- 俺が試すとトップ10にも出てこないけど……。
ちなみにトップは大学受験サロン。
第2位は日本語限定かどうかで変わる。謎。
- 272 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/23(月) 19:05:21
- ウェブ全体からの検索
SSH その4
大学受験サロン@2ch掲示板
全国 鉄 道 混雑情報
【岡部の前に】岡部幸雄スレPart41【岡部無し】
日本語のページを検索
Vodafone質問スレッドPart73
McAfee Part.17
これを日本語化!な OS X アプリ発表会 Part 6
OS/2だよOS/2
- 273 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/26(木) 20:42:01
- http://www.unixuser.org/~haruyama/security/openssh/
4.1p1キタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!
けど、ぁゃιぃ?
- 274 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/26(木) 21:58:06
- 本家見たけど、んなもんないじゃん。
- 275 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/26(木) 22:12:55
- なんかオライリーから出るね
- 276 名前:名無しさん@お腹いっぱい。 投稿日:2005/05/27(金) 01:01:01
- >>274
本家webサイトはまだ更新されていないみたいだけど、openssh-unix-announce
にはアナウンスメールが来てるよ。
ただし、最初に送られてきたアナウンスメールに記載されていた SHA1 checksum
は間違いだそうで。。>>273の言う
> けど、ぁゃιぃ?
はそういうことだろう。正しい checksum は
SHA1 (openssh-4.1.tar.gz) = 62fc9596b20244bb559d5fee3ff3ecc0dfd557cb
SHA1 (openssh-4.1p1.tar.gz) = e85d389da8ad8290f5031b8f9972e2623c674e46
だそうだ。
- 277 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/27(金) 01:11:54
- いつもの通り、春山さんが変更内容の日本語訳を出して下さってますねー(感謝!)
ttp://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_4.1.txt
で、大したことではないかもしれないですが…、
(1) 「著しい修正としては以下がある.」→「大きな修正としては以下のものが
挙げられる.」
(2) 「を用いる場合に起きる segfault を修正した.」→「を用いる場合に
segmentation fault が発生してしまうのを修正した.」
のように書き直すといいかなと思いました。
- 278 名前:276 メール:sage 投稿日:2005/05/27(金) 01:41:32
- >>274
> 本家見たけど、んなもんないじゃん。
って、本家 *FTPサーバ* のことか。確かにないですね。。チェックサム間違えた
とかで引っ込められたのかな?
アナウンスメールは確かに届いているんだけど...
- 279 名前:274 メール:sage 投稿日:2005/05/27(金) 13:13:10
- 今はたしかにありんす。
- 280 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/05/27(金) 15:59:28
- portable版のpgp signatureも合わない。。。
$ gpg --verify openssh-4.1p1.tar.gz.asc
gpg: Signature made Wed May 25 21:26:24 2005 JST using DSA key ID 86FF9C48
gpg: BAD signature from "Damien Miller (Personal Key) <djm@mindrot.org>"
- 281 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2005/05/29(日) 20:20:01
- openssh-4.1p1をftp://ftp3.usa.openbsd.org/から入れてみた。
まだ1日しか経ってないけど、今のところ無問題。
ちなみに環境は玄箱にdebian sarge入れてクライアントはwinxpとwin2kからputtyとwinscp使ってます。
- 282 名前:281 メール:sage 投稿日:2005/05/29(日) 20:31:56
- 言い忘れたけど、春山さん毎回ドキュメントの翻訳ありがとうございます。
「入門SSH」も早速読みました。これからもよろしくお願いします。
- 283 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/08(水) 10:00:27
- windows版にsshスレがなかったのでこちらで質問させてもらいます.
sshでログイン,scpでファイル授受できる
Linux上のリモートを
windowsのネットワーク上の共有フォルダのように,
\\Kyoyu
としたり,
H:\
などの仮想ドライブとして
扱えるようにする方法はないでしょうか?
- 284 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/08(水) 10:21:15
- NFS over ssh
NetBIOS over ssh
- 285 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/08(水) 12:33:02
- 何週間か前に同じ質問がソフトウェア板とWin板にもあったな
回答されてたのにレスつけてなかったな
- 286 名前:283 投稿日:2005/06/09(木) 01:56:52
- >>284
どうも.
>>285
そっちでも質問した旨を書き忘れてました.
次からは気をつけます.
- 287 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2005/06/09(木) 22:57:39
- >283
この辺
ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html#s2
意図するものと違ったらごめん。
- 288 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/10(金) 23:56:03
- ありがとうございます.
昨日の夜に見つけて試してみたのですが
うまく行きませんでした.
以下の操作で合っているでしょうか?
-----環境-----
ローカル:WinXP SP2
リモート:たぶんfedora2
今まではcygwinのsshとscp, winscpを使っていた
-----今回の作業-----
LoopbackAdapterをインストールし,
そのプロパティを
IP 192.168.2.250
NetBios over TCP/IP 無効のチェックボックスをオン
stoneをパスの通ったディレクトリにき,以下を実行.
$ stone localhost:8139 192.168.2.250:139
cygwinのsshを使用し,以下を実行.
$ ssh -L 8139:192.168.2.250:139 UserNameAtRemote@hoge.com
パスワードを求められ入力.
- 289 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/10(金) 23:56:58
- -----出力-----
stoneのコマンドラインの出力
stoneJun 10 23:40:48 start (2.2e) [3684]
Jun 10 23:40:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:40:58 stone 1924: localhost:8139 <- 192.168.2.250:netbios-ssn
cygwinのsshのコマンドラインの出力は普段のログインと同じ.
---------------
explorerを開いてアドレスバーに
\\192.168.2.250
と入力してエンター
---------------
ssh実行中のコマンドラインの出力
channel 2: open failed: connect failed: No route to host
stone実行中のコマンドラインの出力
Jun 10 23:49:49 TCP 1788: read error err=10054, closing
Jun 10 23:49:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:49:58 TCP1788:1764 0182d000 10 Jun 10 23:49:39 192.168.2.250:netbios-ssn ローカルPC名:3852 tx:0 rx:72 lp:4
---------------
間違っている点があったら教えてください.
- 290 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/11(土) 00:28:58
- ぜんぜん理解してない
- 291 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/11(土) 15:08:42
- TCP/IPの勉強しろや
- 292 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/11(土) 21:48:11
- あきらめてwinscpつかいます
- 293 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 01:54:39
- SSHの不正アタック大杉!
ログ調べたら鯖立てて1年半で1万5000件くらいアタックされてたけど、
今週だけでもう6000件超えてるわ。
実害はまだないけどログの量が膨大でキモチワルイわ。
対策しないと・・・。
- 294 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 02:53:28
- >>293
MaxStartups 1 とでもしとけ。
- 295 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 07:18:50
- >>293 スクリプトで機械的に仕掛けてくるんだよ
- 296 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 12:03:39
- あのパターンのアタックだったら、数回unknownな接続が連続したところで、
ソースアドレスをフィルタしちゃえばいいと思う。
- 297 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 13:01:05
- それ以前にふつーは必要なとこ以外からのは拒否しとくだろう
- 298 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 13:28:55
- ウィルスに感染したマシンが延々とアタック続けてくるからな・・・
- 299 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 13:35:54
- ポート変えとくといいよ。
- 300 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/12(日) 16:42:33
- 300!
- 301 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 01:18:09
- 忘れるんだよ、あまり頻繁に使わないと。
- 302 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/13(月) 14:24:43
- 特定のユーザのみを利用可能にして
それ以外のユーザは利用不可にしたいんだけど
なにで制限すればいいのでしょうか?
- 303 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/13(月) 14:34:23
- >>302
例えば下記の方法は?
ttp://www.atmarkit.co.jp/flinux/rensai/linuxtips/739pamssh.html
- 304 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 15:56:05
- >>302
AllowUsers
- 305 名前:302 メール:sage 投稿日:2005/06/13(月) 15:59:14
- >>303
簡単な方法があるんですね
ありがとうございます
さっそく試そうと思ったのですが
現在リモートでしか接続できず失敗すると
なにもできなくなることに気づいたので
今度時間のあるときに試してみます。
ありがとうございました
- 306 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 16:02:49
- >>305
そんなあなたにtelnet
- 307 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 17:02:14
- 自分の接続を受けてるsshdを手で殺さない限りは大丈夫だよ。
- 308 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 17:07:52
- >>307
ネットワークが不安定だったら?
- 309 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/13(月) 23:03:19
- >>308
そんなあなたにrlogin
- 310 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 18:24:58
- screen でつないどけ
- 311 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 19:00:53
- >>310
話理解してる?
- 312 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 19:01:06
- 脊髄反射はよくないなぁ。。
- 313 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/15(水) 20:03:07
- おまえもな。
- 314 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/24(金) 23:17:55
- SSH2ではRSAとDSAの2種類のアルゴリズムがあるようですが、
皆さんはどちらを使っておられますか?
また、その理由はなんですか?
自分は単純に暗号強度の強い方を選びたいと思ったのですが、
あるサイトによるとDSAの方が高度な暗号化でおすすめとあり、
また別のサイトではDSAには乱数の偏りによる脆弱性があるので
止めた方がいいと書かれていたり、どちらがよいのかわかりません。
脆弱性問題は2001年の話なのですが、もう解決しているのでしょうか。
- 315 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 00:28:49
- 解決しとるに決まっとるがな。それに乱数の偏りはDSAの問題じゃないがな。
- 316 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 21:32:58
- 理由は特にないがDSA使っている
- 317 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 22:19:52
- >>316
それで正解
- 318 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 22:38:59
- ものすごーく低レベルな質問だと思いますが、どなたかご教示ください
現在telnetの代わりとしてFTPのかわりとしてクライアント機でWINSCP3をつかうためにopenSSHをインストールしてます
○ユーザーごとに鍵を作る必要(ssh-keygen)がありますか?(telnetかわりはhogehoge FTPはfugefugeユーザの予定)
○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか?
なお、LINUX側はdebian 2.4.21 クライアント機はWIN XPで考えております
- 319 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/25(土) 23:16:27
- >>317
なんで正解なの?
今は特に理由なくRSA使ってるけど、話によってはDSAに乗り換えたい。
- 320 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 23:24:02
- >>318
低レベルすぎるな。
しばらく使ってみていろいろ試したら?
- 321 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/25(土) 23:40:33
- DSAはRSAがつかえなかった頃の代替実装じゃなかったっけ?
新規の鍵は計算量が少なさそうなRSAでいいと思うけど。
- 322 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/26(日) 04:22:32
- >>314
> 自分は単純に暗号強度の強い方を選びたいと思ったのですが、
どっちでもいいが、強度気にするなら鍵長長くしる
- 323 名前:ごん米さん、お早う 投稿日:2005/06/26(日) 06:36:36
- 暗号に対する考え方に、間違いは無いの。
キーの暗号化のために RSA は有るの。
Hellman Deffie だっけ、RSA は有るの、
でもさ、平文、つまり暗号化したい、Body の部分の
暗号化にはさ、とても RSA なんて使えないよ。
Body がたった1MBでもさ、巷の高速 CPU でもさ、
遅いのなンのって、、、。
何ならショートサイズの RSA で Body 暗号化
してみたら、、、。解るよ。実装上は未だ無理だし、
その必要も無いのがさ、、、、。
- 324 名前:ごん米さん、お早う 投稿日:2005/06/26(日) 06:41:07
- ニイタカヤマノボレ
が暗号だと言う時代じゃ無いのだもの。
作戦地図のデータをファイル変換して、つまり暗号にして
ファイル転送しちゃいそうな時代なのでしょう。
現代は、、、。
- 325 名前:ごん米さん、お早う 投稿日:2005/06/26(日) 06:47:03
- Helmann Deffie だっけで平文を暗号化すると、
RSA は必ず情報が冗長になるの解るよね、
mod の演算サイズになっちゃうの。
楕円曲線でも同じ、、、、。
って事は、復号にはファイルサイズが前もって
必要となちゃ鵜のだよね。
最後の1バイト、化けるの覚悟するだけだけどさ、。
- 326 名前:ごん米さん、大丈夫 投稿日:2005/06/26(日) 10:52:57
- 最後の1ブロックの復号が、、、。
0が一杯のデータファイルが、、、。
それじゃ詰まらない。
- 327 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 11:47:15
- >>318
簡単に答えておこうか
> ○ユーザーごとに鍵を作る必要(ssh-keygen)がありますか?(telnetかわりはhogehoge FTPはfugefugeユーザの予定)
作ったほうがセキュリティ的に強いが、作らなくても使える。
てか、RSA鍵について調べておけ。
> ○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか?
いらん。即停止。
> なお、LINUX側はdebian 2.4.21 クライアント機はWIN XPで考えております
余談だが、debianとKernelのバージョンを混ぜるな危険。
kernel2.4.21ってのも、えらく中途半端なバージョンな気もするが。
sargeなら2.4.27にしといたほうがいいんじゃないか?
- 328 名前:318 メール:sage 投稿日:2005/06/26(日) 13:15:46
- >>327
ありがとうございました。RSA鍵作って全部運用できました。
RSA鍵(SSH2用)作ると一緒にDSA鍵も作らないといけないんですか?エラーがでたっぽいので作っておくだけはしましたけど
あとkernelの件なんですが、ある事情でこのままなんです。いずれ2.6あたりにはしたいなあと思ってはいるのですが
- 329 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/26(日) 15:15:05
- みなさん、教えてください。
昨日から急に私が運用しているサーバーさんに、ssh でログインする際 passphrase ではなく password を
聞かれるようになりました。
とくに、サーバー側の$HOME/.ssh/の中が変わったわけでもないのですが、、、。
sshd_configなど調べてみたのですが、何が原因なのか分かりません。
サーバー利用者から、いっぱい問い合わせがきて、あっぷあっっぷしています。
サーバー側の、$HOME/.ssh/authorized_keys には、正しいkeyが書かれています。
どなたか解決方法をご存知の方、教えてください。
よろしくお願いします
- 330 名前:329 メール:sage 投稿日:2005/06/26(日) 15:16:46
- 329です。
以下に、ssh -vv のログを添付します。
----
debug1: Host 'sakura' is known and matches the RSA host key.^M
debug1: Found key in /home/test/.ssh/known_hosts:63^M
debug1: bits set: 1598/3191^M
debug1: ssh_rsa_verify: signature correct^M
debug1: kex_derive_keys^M
debug1: newkeys: mode 1^M
debug1: SSH2_MSG_NEWKEYS sent^M
debug1: waiting for SSH2_MSG_NEWKEYS^M
debug1: newkeys: mode 0^M
debug1: SSH2_MSG_NEWKEYS received^M
debug1: done: ssh_kex2.^M
debug1: send SSH2_MSG_SERVICE_REQUEST^M
debug1: service_accept: ssh-userauth^M
debug1: got SSH2_MSG_SERVICE_ACCEPT^M
debug1: authentications that can continue: publickey,password^M
debug1: next auth method to try is publickey^M
debug1: try pubkey: /home/test/.ssh/id_dsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug1: try pubkey: /home/test/.ssh/id_rsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug2: we did not send a packet, disable method^M
debug1: next auth method to try is password^M
---
よろしくお願いします
- 331 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 16:45:00
- $HOME/.ssh の permission とかは確認されましたか。
- 332 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 16:47:39
- -vvvの方がよさげ
- 333 名前:329 メール:sage 投稿日:2005/06/26(日) 17:43:04
- 329です。
$HOME/.ssh と $HOME/.ssh/authorized_keys のパーミッションは確認していたのですが、、、。
なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
これを、755にしたらなおりました。ぬぬー。
331さん、332さん、ありがとうございmす。
- 334 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 18:09:33
- # /etc/init.d/sshd start
*Starting sshd...
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_rsa_key
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_dsa_key
Disabling protocol version 2. could not load host key
sshd : no hostkeys available -- exiting.
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key
は一番最初に/etc/init.d/sshd start したときに作られていました
/etc/ssh/sshd_config はデフォルトです
アドバイスお願いします
- 335 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/26(日) 23:21:57
- >>333
> なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
イヤーな悪寒。
- 336 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/27(月) 00:01:22
- >>335
侵入を受けたという可能性?
- 337 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 17:29:42
- でないとしてもディスクがお釈迦。
- 338 名前:名無しさん@お腹いっぱい。 投稿日:2005/06/27(月) 18:37:54
- SSH接続して
sshdを再起動すると
その接続は切断されますか?
SSH関連の設定を変えるのが怖くて
- 339 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 18:43:49
- されない。
- 340 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 19:03:09
- やり方による。
怖いなら素直にローカルでいじれ。
- 341 名前:338 メール:sage 投稿日:2005/06/27(月) 19:37:18
- >>339-340
しばらくマシンのある場所に行けないので
できればSSHでと思ったのですが
やり方によっては切れるってことですか。
と今気づいたのですが
試しに設定を変更せずに再起動してみればいいんですよね。
で、切断されませんでした。
でも設定変更の内容によっては切断されるってことですかね?
AllowUserで利用ユーザの制限をしようとしてます。
- 342 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/27(月) 19:56:41
- 別ポートで別プロセスの sshd を起動して、そっちからログインして作業すればよし。
- 343 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 01:08:07
- >>340
どういうやり方だと切れるの?ちょっと想像つかないんだが。
- 344 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 01:58:12
- >>343
sudo pkill sshd ぐらいやると切れそう
- 345 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 02:14:41
- >>343
落として上げる前にうっかりログアウトしちゃった、とかか?
- 346 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 12:59:35
- sshd_configいじりまくるならinetdで上げときゃ楽だよ
- 347 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 13:52:12
- おいらは緊急時にメンテナンス用ホストからはつなげられるよう、
inet 使って別ポートを listen させてる。
もちろん、 IP フィルタリングなどガチガチに制限してるけど。
- 348 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/28(火) 16:37:14
- >>345
SSHでログインしてることを忘れてapt-get upgradeを実行したら、
パッケージの更新中に接続が切れちゃってそれっきりに...。
翌日にPCの前で作業するまで何もできなかったことが。
- 349 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 16:45:39
- moreはsshだけに頼らず発信者番号通知のダイアルアップとか
使いつつローカルに偽装してrloginから入るけどねぇ
- 350 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 16:50:32
- >>348
sshdをrestartするだけで切れる?
バイナリ自体をupdateするとだめなのか。
>>349
pagerのmoreと紛らわしいですな。
- 351 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/28(火) 16:56:50
- 漏れは solaris なんだけど、ld -G -h libcrypto.so.1 -o libcrypto.so.1
-z allextract libcrypto.a -z defaultextrace -lsocket -lsnl を実行したと
たんに死亡した。
- 352 名前: ◆m7YeytgDFE メール:sage 投稿日:2005/06/28(火) 17:41:22
- >>350
sshdをrestartしても大丈夫でした。
今試したら、stopでも既存のSSHのセッションは生きてますね。
以前にapt-getで切れたのはSSHが原因ではなくて、OpenVPNでした。
パッケージを更新する際にopenvpnが停止したので、切れたんですね。
SSHは無実(?)でした。ごめん。
- 353 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/29(水) 00:43:15
- 接続が切れると痛い作業はscreen使っとけ
- 354 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/29(水) 00:55:23
- >>353
話の流れ嫁。
そういう問題ではない。
- 355 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/06/30(木) 05:36:15
- >>354
たぶん >>353 は L2 でつながったマシンに screen 上げておいて、そこか
ら IPv6 node local で telnet しとけってことが言いたいんだよ、きっと。
だとしたらスレ違い?
- 356 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 01:04:03
- authorized_keys に command="command" を書けば遠隔からログインしたら勝手にコマンドを実行して終了しますが、
このcommand に引数を渡すことは可能でしょうか?
command="dump /home" の代わりに、
command="dump /var/$1" のような書き方をしたいのです。
/var/ 以下の特定のフォルダを指定してバックアップしたいときとかは便利ですよね?
- 357 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 01:17:11
- $SSH_ORIGINAL_COMMAND
- 358 名前:356 メール:sage 投稿日:2005/07/08(金) 01:43:51
- >>357
的確なヒントありがとうございます。
- 359 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/08(金) 03:14:08
- OpenSSH verup age
- 360 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 20:13:03
- OpenSSL-0.9.8も来たよ。
春山さんのところによると脆弱性でのupdateではないようだね、
だけど、オイラは上げてみようっと。
- 361 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/08(金) 23:30:14
- >>360
「も」って他には何が来ているの?
- 362 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 00:13:27
- >>361
どうつっこめばいい?
- 363 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 00:17:43
- >>362
そもそも、OpenSSH verup ageというのが意味不明
- 364 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 02:09:12
- >361
失礼。>359への便乗の意味で「も」を使っちまった。
で、Openssl-0.9.8はまだ入れてません。現在は0.9.7gなんだけど、
今日はリモートからだから、明日ローカルから入れてみようと思ってます。
- 365 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/09(土) 02:35:02
- >>364
shared object の version number 変ったからリモートから入れても問題無いよ。
- 366 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 17:12:45
- 通常のssh接続はパスワード認証不可で、sftpやscpの場合にはパスワード認証可能にしたいんんですが、
なんか方法ありませんか?
- 367 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 18:07:35
- んじゃ、合わせてsftpやscpで~/.sshを修正できないようにしないとね。
- 368 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 19:15:17
- >>367
で、肝心なやり方は?
- 369 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 19:54:50
- >>368
金30000円申し受けます。
- 370 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 21:00:21
- 無理してレスしなくていいよ
- 371 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 21:09:37
- >>370
低レヴェルな煽りですね。
オツムのレヴェルが知れます。
- 372 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 22:24:53
- ハイハイ
で、分かる人いませんかー?
- 373 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/12(火) 22:32:44
- できない
- 374 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/13(水) 05:35:40
- ~/.ssh
に
no ssh
を追加する
- 375 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 00:34:38
- WinScpってsu使えないんですか?rootでログインするしかないんでしょうか?
- 376 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 02:55:27
- >>375
なにがやりたいのかさっぱりわからない
- 377 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 07:57:29
- >>376
SSHしか使ってなかった時は、rootでログインなんてしなくても、wheelグループのユーザーでログインして、
必要ならsuコマンドやsudoコマンドでrootに変えればOKだったのですが
昨日WinScp使い始めたら、rootでしかいじれないファイルの編集の仕方が分からず、結局rootでログインしました。
sshd_configでわざわざrootでのログインはデフォルトでnoに設定されてるし…
- 378 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 08:04:28
- tramp su
- 379 名前:初期不良 メール:sage 投稿日:2005/07/15(金) 08:57:17
- なんか危なっかしいのがいるな
- 380 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 09:01:34
- http://winscp.net/eng/docs/faq_su
ちなみにこれをやるぐらいならrootでログインしたほうがマシ
- 381 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 09:47:25
- >>377
yes で解決だろ
- 382 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 13:38:43
- sshの認証で躓いているのですが、sourceforgeにログインする方法が詳しく書いてあるページはありませんか?
- 383 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 17:22:40
- sourceforgeのサイトにあるよ
- 384 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/15(金) 21:35:04
- >366
man ssh_config(5)
man sshd_config(5)
man sshd(8)
すればだいたいわかるよ。(5)とかの数字はいらんけどね。
"openssh 日本語マニュアル"ぐらいでググれば、
日本語マニュアルページもあるよ。
- 385 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/16(土) 17:35:21
- >>384
>すればだいたいわかるよ。(5)とかの数字はいらんけどね。
普通はこうだろ。
man 5 ssh_config
man 5 sshd_config
man 8 sshd
- 386 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/16(土) 22:23:26
- No manual entry for 5.
- 387 名前:● メール:sage 投稿日:2005/07/16(土) 23:16:27
- 過去ログ読んでみたのですが、分からなかったので質問させてください。
WindowsのいろんなSSHソフトで接続すると、なんかInsert、Delete、Home、End、PageUp、PageDownキーが変。
PCにつないだキーボードで入力した時とコードが違う…?しかもソフトごとに違う。
PuTTYの標準モード
"\e[2~": Insertキー
"\e[3~": Deleteキー
"\e[1~": Homeキー
"\e[4~": Endキー
"\e[5~": PageUpキー
"\e[6~": PageDownキー
Poderosaの設定
"\e[2~": Insertキー
"\e[3~": Deleteキー
"\e[7~": Homeキー
"\e[8~": Endキー
"\e[5~": PageUpキー
"\e[6~": PageDonwキー
TeraTermの設定
"\e[1~": Insertキー
"\e[4~": Deleteキー
"\e[2~": Homeキー
"\e[5~": Endキー
"\e[3~": PageUpキー
"\e[6~": PageDonwキー
bashを使ってるので、~/.inputrc にこれを元に適当に設定して何とかなりましたが、こういうものなんですか?
Windows以外のSSHクライアントもそうなんでしょうか
- 388 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/19(火) 11:16:31
- ホストAを踏み台にしないと到達できないホストBがあって(どちらもfreebsd)
windows(putty) --- hostA --- hostB
ホストBにログインしたいときに、
まずsshでホストAに入って、その上でホストBにsshしています。
しかしこれだとhostAのttyを1つ消費してしまいます。
hostAのttyを消費せずにhostBにssh接続できませんでしょうか?
hostAにつなぎに行く際に、puttyの設定で「擬似端末を確保しない」にチェックをいれて
リモートコマンドで「ssh -t hostB」としましたが、
「Pseudo-terminal will not be allocated because stdin is not a terminal.」となり
うまく行きませんでした。
ttyってのがいまいちよく分かってないので、的はずれでしたらすみません。
- 389 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/19(火) 11:37:49
- その方法じゃどうやったって、tty消費するよ。なんでそんなこと気にするのかは
疑問だけど、やるんだったら
ssh -f -L 10022:hostB:22 userA@hostA sleep 600 とダミーのバックグラウンド
プロセス動かしつつ(tty消費しない)ポートフォワードして、
ssh -p userB@localhostでhostBにつなぐとか。
ちなみに、この例だと600秒経過後ひとつめのシェルコマンドは終了するけど、
2番目の接続が終了するまで、ポートフォワードしたまま待ちになる。
puttyとかで一番目の方法を実現できるのかは知らない。(Cygwinだとできる)
- 390 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/19(火) 11:39:49
- > ssh -p userB@localhostでhostBにつなぐとか。
失礼。
ssh -p 10022 userB@localhost ね。
- 391 名前:388 メール:sage 投稿日:2005/07/19(火) 11:56:27
- hostAのttyが足りないって言われるんですよね。
みんながそれぞれいろんな所に踏台にしてるので。
ttyを増やすことを考えた方がいいかな。
- 392 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/19(火) 13:44:25
- >>389 と同じ発想だけど
オプションは
-2 -N
でいいじゃない
- 393 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/23(土) 00:11:37
- NATの中でプライベートアドレスが設定されているPCから
グローバルアドレスをふられているサーバにsshでログインしXフォワーディング機能を
利用してウィンドウをPCに表示したいのですが,
connect /tmp/.X11-unix/X0: Connection refused
X connection to localhost:10.0 broken (explicit kill or server shutdown)
と表示されてウィンドウが表示されません。
このような環境でXをPCにとばすことはできないのでしょうか。
ssh クライアントはcygwinのOpenSSH_3.9p1を使用し,もちろんXサーバも起動しています。
- 394 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/23(土) 00:58:01
- >>393
localのルータかどこかで6000番台のパケットを遮断してるのでは?
sshだけならログインできるの?
ssh username@hoge.com
ssh -X username@hoge.com
の結果を貼ってミソ。
- 395 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/23(土) 01:32:07
- sshdの設定で、/etc/ssh/sshd_config
X11UseLocalhost no
とすればよいらしい。
ttp://www.jp.freebsd.org/QandA/HTML/2567.html
- 396 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/23(土) 09:11:35
- >>394
設定では6000番台のパケットを遮断するようにしていますが、
ルータのファイアウォールログでは6000台のパケットが飛んできて遮断したログは残っていませんでした。
この辺のパケットを22番ポートの中を通してきて、PC側ではlocalからのXを表示しているように見せるのが
Xフォワーディングだと思っていたのですが、なにか大きく勘違いしてしまっているのでしょうか。
>>395
ご教示いただいた設定をしてみましたところ、サーバにログインしたときの環境変数DISPLAYがlocalhost:10.0から
サーバホスト名:10.0となったのですが、実際にウィンドウを表示しようとしても393と同じように怒られるだけでした。
皆さんはNATの中からでもXのフォワーディングできてるんでしょうか?
もしそうなら、できない訳はないと思いますのでもう少し原因を調べてみます。
- 397 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/23(土) 10:43:16
- そうですね。できないわけはありません。ssh通ってるなら、狭義のネットワーク
設定の問題ではありませんね。
- 398 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/23(土) 10:47:01
- >>396
>>395 の設定は不要
X サーバは起動してるとのことだが、他の X クライアントは起動できてる?
- 399 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/23(土) 11:24:55
- tcshではまったく問題ないのですが、シェルをbashにするとコマンドを入力時によく固まるのですが、どうしたら固まらないように出来るのでしょうか?
- 400 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/23(土) 22:45:16
- >>399
この辺の話とちゃう?
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?forum=10&topic=19842
bashはよく知らんが、環境変数TMOUTを参照しないようにすればよいらしい。
- 401 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/24(日) 13:16:54
- メモメモ
http://sshdos.sf.net/
- 402 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/25(月) 00:39:04
- WinSCP3を起動すると不正なメモリアクセスと警告が出るのですが
問題なく?使えていますこれって大丈夫ですか?
具具ってもこの症状が出る人いないっぽいので質問させていただきました。
- 403 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/26(火) 06:39:00
- いままでftpを使ってきたところをsftpで置き換えようとしています。
ftpの場合、ユーザーのホームディレクトリをftpでアクセスした際の
トップディレクトリにできますが、sftpの場合はどのようにやるのかわかりません。
ユーザーがsftpでログインした際に、ユーザーのホームディレクトリを
トップディレクトリにする方法はありませんでしょうか?よろしくお願いします。
- 404 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/27(水) 23:14:17
- >>403 ssh は何?openssh なら、でふぉでそうなるが。
- 405 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/27(水) 23:23:10
- >>403
scponly か chrootssh でいけるかもわからんね。
- 406 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/29(金) 21:15:42
- どなたかアドバイスを下さい.
グローバルIP(133.XXX.YYY.ZZZ)を持ったブロードバンドルータ(MN8300)
内のリーモートPC(Linux)にsshを使ってWAN側からアクセスしたいのですが,
どの様にしたら良いのでしょうか?
普段,LAN内はもちろんLAN側→WAN側のリモートホストにはsshを使って
ログインしています.
ググたり本読んだりしていろいろ調べましたが,「Port Forwarding を
使えばどうにかできそうな?」と思う位で,全然理解出来ませんでした.
(セキュリティやネットワークの圧倒的な知識不足です(-_-;))
ヒントだけでも頂ければ光栄です.よろしくお願いします.m(__)m
- 407 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/29(金) 21:17:07
- >>406
ヒント:Port Forwarding
- 408 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/29(金) 22:17:22
- >>406
釣りじゃないよね?
単にルータのポートあければ済む。
それとも送信元ネットワークのFW越えとかそういう話?
- 409 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/30(土) 02:09:58
- >>406
斜め読みでレス。ポートを開けて、スタティック(静的)ルートを設定。
- 410 名前:名無しさん@お腹いっぱい。 投稿日:2005/07/31(日) 13:25:26
- SSHログインできなくて困っています。
サーバはcoLinux+debianです。新しく立てました。
クライアントはcygwinのssh.exeです。ssh localhostでも同じです。purryも試しましたが同じ状況です。
「Password:」のプロンプトに続けてパスワードを入れた直後に、
切断されてしまいます。
colinux:/home# ssh xxxx@localhost
Password:
Connection closed by 127.0.0.1
colinux:/home#
auth.logは下記のようになっています。
Jul 31 13:14:05 colinux sshd[2676]: Connection from ::ffff:127.0.0.1 port 1034
Jul 31 13:14:05 colinux sshd[225]: debug1: Forked child 2676.
Jul 31 13:14:05 colinux sshd[2676]: debug1: Client protocol version 2.0; client software version OpenSSH_3.8.1p1 Debian-8.sarge.4
Jul 31 13:14:05 colinux sshd[2676]: debug1: match: OpenSSH_3.8.1p1 Debian-8.sarge.4 pat OpenSSH*
Jul 31 13:14:05 colinux sshd[2676]: debug1: Enabling compatibility mode for protocol 2.0
Jul 31 13:14:05 colinux sshd[2676]: debug1: Local version string SSH-1.99-OpenSSH_3.8.1p1 Debian-8.sarge.4
Jul 31 13:14:05 colinux sshd[2676]: debug1: PAM: initializing for "xxxx"
Jul 31 13:14:05 colinux sshd[2676]: debug1: PAM: setting PAM_RHOST to "localhost"
Jul 31 13:14:05 colinux sshd[2676]: debug1: PAM: setting PAM_TTY to "ssh"
Jul 31 13:14:05 colinux sshd[2676]: Failed none for xxxx from ::ffff:127.0.0.1 port 1034 ssh2
また、パスワードを間違えた場合と正しく入力した場合でauth.logの出力が違っていますので、
認証は通っているのではないかとおもいます。
よろしくお願いします。
- 411 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/31(日) 13:33:16
- >>410
/etc/hosts.allow とかはどうなってんの?
- 412 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/31(日) 13:49:07
- >>410
ChallengeResponseAuthentication no
とか
- 413 名前:410 投稿日:2005/07/31(日) 14:02:44
- ありがとうございます。
hosts.allowは
ALL:ALL:allow
sshd: ALL
でした。
ALL: ALL
sshd: ALL
としてもだめでした。
/etc/ssh/sshd_configは、
PasswordAuthentication yes
ChallengeResponseAuthentication yes
です。
ChallengeResponseAuthenticationはnoだったので
yesにしてsshdをrestartしても状況は変わりませんでした。
よろしくお願いします。
- 414 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/31(日) 16:15:27
- >>413
「UsePAM no」をsshd_configに追加してみる。
- 415 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/07/31(日) 19:14:38
- > クライアントはcygwinのssh.exe
っていってるのに
> colinux:/home# ssh xxxx@localhost
これはどういうこと?
- 416 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/01(月) 00:09:36
- Windowsのコンピュータ名がcolinux
- 417 名前:410 投稿日:2005/08/01(月) 08:34:08
- ホストマシン(=windows)からcygwinでログインできなくて、コリャおかしいということで
ゲスト(=colinux)に入ってlocalhostにsshしていました。
ややこしくしてすみません。
- 418 名前:410 メール:sage 投稿日:2005/08/01(月) 08:42:45
- >>414
UsePAM yes
を
UsePAM no
にしたらログインできました。
ありがとうございます。
なにがおこってたのでしょうか。これから調べてみます。
- 419 名前:名無しさん@お腹いっぱい。 投稿日:2005/08/09(火) 16:37:48
- ちょっと板違いかもしれないですが。
ブラウザ上のホスト名のリンク(もしくはボタン)をクリックすると、
そのホストに対してのsshクライアントが立ち上がるようなツールを考えているんだけど、
どうやったらできるか教えてください。
windows上のfirefox で、接続先はFreeBSDです。
- 420 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/09(火) 16:53:51
- ssh://
- 421 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/09(火) 19:23:20
- >>419
鍵の指定とかどうすんの?
- 422 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/09(火) 20:16:50
- >>421
それは考えなくてもいいかと、sshクライアントまかせだし。
で、確かにプロトコルはsshだけど実際はssh関係ないし板違いにはまちがいない。
firefoxはわからんけど、Windows作法での登録ならMSDNに載ってるので調べてみましょう。
- 423 名前:419 メール:sage 投稿日:2005/08/09(火) 20:23:26
- 板違いすみませんでした。
ssh:// に登録できればよかったんですが、よく分からなかったので、
telnet:// に URLからサーバ名とオプションに変換するラッパーを登録して
sshクライアントを起動することができました。
とりあえず、これで満足。
- 424 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/09(火) 23:36:07
- delegate面白げ。
http://www.delegate.org/delegate/ssh/
- 425 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 16:42:10
- ssh(scp)でファイル転送すると、httpの場合に比べて
何パーセントぐらいオーバーヘッドがあるのでしょうか。
ADSL接続なホストからファイルをgetした時、
間に挟まってるプロキシのせいもあるんだろうけど、
殆ど差がなくて(scpのほうが速い時もあった)、ちと気になったもので。
- 426 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 17:12:34
- >>425
ssh の場合は Compression できる場合もあるしね。
- 427 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 17:47:42
- 今ちょっとパケットダンプをしてみたが、
7106003バイトのファイルを転送するときに、
scp(非圧縮)で、7569559バイト、httpで7518479バイトだった。
意外にオーバーヘッド小さいね。
この数字は上り下り全部込みで、鍵の交換などのシーケンスも
含まれてるから、ファイルサイズが大きくなれば、もっと差は縮まると思う。
- 428 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 18:19:40
- 測定環境にも大いに依存すると思うけど、傾向はわかるかな。
bzip2 -9 で圧縮された、約30Mbのファイル転送にかかった時間。
Windows PC(PM735) -> Linux PC(VIA C3 533)
winscp SFTP(v3) ... 2:25
winscp SCP ... 2:30
pscp ... 2:27
scp (cygwin) ... 0:39
ftp ... 0:18
winscpって、puttyのコード使ってるんでしたっけ?
なぜこんなに遅い?!
- 429 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 19:23:57
- >>428
使った暗号アルゴリズムも書かないとわからん
- 430 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 20:12:53
- arcfourで転送するのが最速だな。
- 431 名前:428 メール:sage 投稿日:2005/08/18(木) 20:31:21
- arcfour 確かに速いすね
同条件で
scp 3des ... 0:41
scp arcfour ... 0:33
428での winscp の結果は aes でのものでした
でも 3des にしても誤差程度しか変わらなかった…
- 432 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 21:26:29
- scp の時だけ arcfour とかに変更って、どうやったらいいのかな。
- 433 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 22:22:17
- >>432
scp -c arcfour と指定する方法じゃだめなのか?
- 434 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/18(木) 22:45:16
- > VIA C3 533
ぐらいのマシンになると、それなりにアルゴリズムで変化あるかもね。
ネットワーク帯域的にはどんぐらい差があるんだろうか。
- 435 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 00:29:21
- >>431
Blowfishだとどうよ?
- 436 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 00:36:19
- アルゴリズムでかなりスピードが変わるらしい。Triple-DESって速そうなイメージあったけど・・・。
ttp://slashdot.jp/comments.pl?sid=124992&cid=410654
- 437 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 02:11:40
- 当たり前じゃん…
- 438 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 02:44:43
- アルゴリズム変えるなら鍵作りなおさなきゃならんのか。
- 439 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 09:23:58
- >>430-432
パス指定とかメンドイ時は、WinSCP 使って転送してるんだけど、
これは arcfour 設定できないのかな…
- 440 名前:428 メール:sage 投稿日:2005/08/19(金) 09:53:22
- 428と同じ条件でもう一回やってみた。
面倒なのでそれぞれ1回しか測定してない。
winscp 3.7.5 (SSH implementation: OpenSSH_3.7.1p2)
blowfish ... 2:23
3des ... 2:25
aes ... 2:23
scp (OpenSSH_4.1p1)
3des ... 00:42
blowfish ... 00:40
arcfour ... 00:36
>>436 ほど結果に差がないのはまあなんか理由付けできそうだけど、
winscp ってほんとにOpenSSHの実装なのかなぁ(^^;
Server/Protocol Informationにはそうでているけど…。
俺がなんか間違ってる気がするが、わからん orz
>>439
今のバージョンではむりぽ。
- 441 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 11:16:20
- opennsslに入ってるx86用のアセンブラのコードを使ってないとかじゃない?
- 442 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 12:50:03
- C3だと中にハードウェアAESアクセラレータ入っててOpenBSDだかOpenSSLだかだと
それを有効活用するんじゃなかったっけか
- 443 名前:428 メール:sage 投稿日:2005/08/19(金) 13:52:25
- すみませんすみませんすみません。
winscpはやっぱり putty 由来のコードですよね。
CVSリポジトリをちょっと覗いてみました。最初から見とけば良かった。
"Server/Protocol Information" に表示されるのは、
サーバで動いてるデーモンのバージョンですよね。
ああ、俺はなにをトチ狂ってしまったのかな(^^;
サーバをきちんとメンテしてないのをばらしてしまっただけだ orz
釣りしてしまってごめんなさいごめんなさい
- 444 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/19(金) 18:00:35
- WinSCPが変に遅いのはforumとかで指摘されていたな。
あとsshdをhttp://www.psc.edu/networking/projects/hpn-ssh/に入れ替えると速いよ。
- 445 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/19(金) 23:44:43
- puttyのputtygen.exeを使ってSSH-2 RSA 1024bitにチェックを入れた状態で
Generateをクリックして作成し、上の方に
Public key for pasting in to OpenSSH authorized_keys file:
と表示されている下の枠の文字列を全てコピーして、そして
# vi /home/user/.ssh/authorized_keys
で開いて、 今さっきコピーした内容を全てペースト後、 :wq を実行して
保存してviを終了して、 Key passphrase: と Confirm passphrase: に
pass pass と同じ内容を入れてSave private keyをクリックして private.ppkで保存し、
# /etc/ini.d/ssh restart
# /etc/ini.d/ssh reload
と一応再読み込みしておいて、putty.exeを起動し、認証のところに先ほど作成した
private.ppkを選択し、接続を試みてみましたが
login as: user
Server refused our key
Using keyboard-interactive authentication.
Password:
となってしまい、パスワード認証しかできません。
他には、# ssh-keygen -t rsa を実行して公開鍵と秘密鍵を二つLinux側で作成して
# mv id_rsa.pub .ssh/authorized_keys として WindowsからFTPで秘密鍵(id_rsa)を
asciiモードとbinaryモード両方でダウンロードして(両方試すために)
両方ともputtygen.exeでLoadクリック>読み込みで読み込みましたが、パスフレーズを
入力しろと言われて正常に読み込めます。正常に読み込んだので、Save private key
をクリックから private.ppk で保存して、それをputtyで読み込みつつサーバに接続しても
Server refused our key となります。binaryモードでFTPダウンロードしたファイルも
asciiモードでFTPダウンロードしたファイルもどっちをputtygen.exeに読み込ませても
結果は同じになります。かれこれ8時間以上Googleで検索したり試行錯誤したりしています。
何が悪いのかイマイチわかりません。どうかお助けを〜・・・。
- 446 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 00:05:47
- id_rsa.pubの中を見ればわかると思いますが、
OpenSSHの鍵の表現とPuTTYのそれとは違います。
authorized_keysの中はひとつの鍵に対して1行になっています。
データ自体は共通ですので、適当にテキスト編集すればOKです。
とりあえずssh(1)は読んどきましょう。
$ man 1 ssh
- 447 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/20(土) 00:40:23
- >>446
適当にテキスト編集するあたりよくわからないのですが・・・。
man 1 ssh は読みましたが、難しい・・・。
ところで、気になったのですが
user@debian:~/.ssh$ /etc/init.d/ssh restart
Could not load host key: /etc/ssh/ssh_host_rsa_key
Could not load host key: /etc/ssh/ssh_host_dsa_key
Disabling protocol version 2. Could not load host key
sshd: no hostkeys available -- exiting.
このメッセージは問題がありますか?rootで実行すると正常にrestartできます。
- 448 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 00:43:37
- >このメッセージは問題がありますか?rootで実行すると正常にrestartできます。
root 以外で restart しようとしてるのか?
- 449 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/20(土) 03:05:10
- >>448
そうです。できるわけないんですね・・・・。orz
ん〜だめだ、どうやっても公開鍵方式での認証ができない。
- 450 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 05:10:12
- ls -l .ssh/authorized_keys
ssh -vvv
- 451 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/20(土) 05:48:34
- >>450
user@debian:~$ ls -l .ssh/authorized_keys
-rw------- 1 user root 828 Aug 20 00:37 .ssh/authorized_keys
user@debian:~$ ssh -vvv
OpenSSH_3.8.1p1 Debian-8.sarge.4, OpenSSL 0.9.7e 25 Oct 2004
usage: ssh [-1246AaCfghkNnqsTtVvXxY] [-b bind_address] [-c cipher_spec]
[-D port] [-e escape_char] [-F configfile] [-i identity_file]
[-L port:host:hostport] [-l login_name] [-m mac_spec] [-o option]
[-p port] [-R port:host:hostport] [user@]hostname [command]
となりましたが・・・?よくわかりませんですはい。。
公開鍵認証にこれほどまで苦労するとは・・・おかしいなぁ・・・。
Fedora Core1の時はすんなりいけたんだけどなぁ・・・。
- 452 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 05:53:02
- ssh -vvv で繋げてみた時にメッセージ見せろっつってんだ。
過去ログもちゃんと読めよ
- 453 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/20(土) 09:48:00
- >>452
改行が多すぎると怒られて投稿出来ないので
http://www.geocities.jp/hokaan/toucou.txt
をご覧くださいまし。
- 454 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 11:54:51
- それだけ分かりやすく書いてあるのに分からないのか?
Cygwinでもchmodできるからね。
- 455 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/20(土) 12:16:31
- >>454
いや、わかっていたのですが、chmodしても解決しなかったのでそのまま載せました。
改めて載せます。
http://www.geocities.jp/hokaan/id_rsa.txt
これはLinux側で $ ssh-keygen -b 1024 -t rsa と実行して鍵を生成して
生成されたid_rsaをsftpでWindows側にDLしてそれをCygwinで読み込んでみたものです。
Enter passphrase for key 'id_rsa': と書かれているところで、正しいパスフレーズを
打ってもPassword:とパスワード認証に切り替わってしまいます。
http://www.geocities.jp/hokaan/putty.txt
これは、Linux側で $ ssh-keygen -b 1024 -t rsa と実行して鍵を生成して
生成されたid_rsaをsftpでWindows側にDLして、それをputtygen.exeに読み込み、
Save Private keyボタンをクリックしてPutty独自のフォーマット形式に変換したファイルを
Cygwinで読み込んでみたものです。
Enter passphrase for key 'putty_private.ppk':
Enter passphrase for key 'putty_private.ppk':
Enter passphrase for key 'putty_private.ppk':
3回正しいパスフレーズを打ち込んでもこうなりまして、その後Password:となり
上記同様パスワード認証に切り替わってしまいます。
いずれも成功していません。
- 456 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 12:30:29
- そりゃ失礼
rootで/usr/sbin/ssh -ddd -p 10443とかしてデバッグモードにして、
クライアントでつないでから、ログ見るといいかもよ。(-dddじゃログの
量多すぎるかもしれないけどそのへんは適当に)
- 457 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/20(土) 12:49:08
- >>456
Debugモード動かしてみましたが、意味がわからないです(汗。
今ちょっとひっかかったのですが、puttyは
puttyjp.exeの日本語版(EUC-JP)で接続していますが、
Debian側は、未だに日本語が表示されない状態でして・・・。
サーバ機を直接操作するときは、ログインしたら
# export LANG=C を実行しなければ文字化けする状態なんですが
puttyjp.exeで接続した場合は、なぜかとりあえず英語の部分が文字化けしません。
ですが、日本語の文字列を入れた瞬間にひどい文字化けが発生します。
この、日本語とかの文字コードの問題によって正常に接続できないのかと思い
puttyjp.exeじゃなくてputty.exe(英語版)で接続してみましたが、やはり同じでしたorz。
Fedora Core1のときはすんなりできたのですが、どうしてDebianだとこんなに苦労するのか
不思議でたまりません。難しいです・・・・。
http://www.geocities.jp/hokaan/sshd_config.txt
どこか設定おかしいのですかね・・・・。
- 458 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 17:33:32
- まず日本語が化ける問題とsshはまったく関係ない。
sshは8bitスルーでデータを送受信するだけで、データ自体には感知しないから。
・システムや環境変数によるLocaleの設定
・コンソールやPuTTYで扱える文字コード
あたりを調べてから、debian・Linuxくだ質・PuTTYスレあたりにいくべし。
- 459 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 17:54:49
- debian スレからきてんのよね。
- 460 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 17:59:14
- >>457
板違いだ。国に帰りたまえ。
- 461 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 18:48:51
- ls -l .ssh/
やってみ。
- 462 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 18:49:58
- >>461
個人情報(ユーザ名)がふくまれているので載せれません。
- 463 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 18:53:48
- >>462
.ssh/のパーミッションが知りたいだけなので、その部分だけどうぞ。
- 464 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/20(土) 21:40:06
- っていうか何を載せなければ大丈夫なのかも把握していないのか……
- 465 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 00:26:13
- >>463
質問者じゃないけど、
.ssh/のパーミッション知りたいなら、ls -ld .ssh だろ。
- 466 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 00:48:48
- >>465
素でtypoですorz
何で気が付かなかったんだろ・・・。
- 467 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 01:18:50
- その繋ごうとしてるDebianのサーバーはちゃんと公開鍵認証で入れるようになってるの?
- 468 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 04:29:37
- >>458
なるほど、関係ないんですね・・。文字化けに関してはその辺調べないと・・。
>>459
Debianスレから誘導されました。sshに関する質問はDebianスレではスレ違いで
sshの本スレにいけと言われました。
>>462 は私の偽者ですね。私じゃありません。
>>463
>>464
載せることができます。
sidou@debian:~$ ls -ld .ssh/
drwx------ 2 sidou users 4096 Aug 20 14:38 .ssh/
>>467
http://www.geocities.jp/hokaan/sshd_config.txt
これを見て頂ければわかるかと思いますが、
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile%h/.ssh/authorized_keys
となっていますので、公開鍵認証ができるはずです。Fedoraのときはこれで
正常にいけました。
ですがもうかれこれ相当膨大な時間を消費して必死に試行錯誤しましたが
結局公開鍵認証ができなかったので、超長いパスワードで認証することにしました。
- 469 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 04:37:14
- ターミナルで表示したとき
一行に収まらない文字列をコピペすると
行末で勝手に改行することあるよ。
そこら辺調べた?
- 470 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 04:50:40
- そのDebianのサーバーに入ったままで、>>455で作った鍵のid_rsa.pubの内容を
~/.ssh/authorized_keysに入れて
ssh localhost
ではどうなる?
それか~/.ssh/authorized_keysのサイズからしてほかのキーも入ってるみたいだけど
~/.ssh/authorized_keysを名前変えるなりしてどっかに退避しておいてから、
~/.ssh/id_rsa.pubを~/.ssh/authorized_keysにリネームして挑戦したらどう?
それでだめなら試験的に作った奴でいいから~/.ssh/authorized_keysを晒してもらった
方がいいかも…。
- 471 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 05:06:46
- サーバとクライアントでログを出力して、きちんと調べろ。
意味がわからないならわからないところを聞け。
sshの気持ちになってみろ。
- 472 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 06:07:28
- >>469
コピペする方法は何かと失敗しそうな感じ(改行が入ったり。)なので
$ cat id_rsa >> authorized_keys
でコピペせずに行っています。
>>470
sidou@debian:~/.ssh$ ls -ld ../.ssh/
drwx------ 2 sidou users 4096 Aug 21 06:00 ../.ssh/
sidou@debian:~/.ssh$ ls -ld authorized_keys
-rw------- 1 sidou users 242 Aug 21 06:00 authorized_keys
sidou@debian:~/.ssh$ diff id_rsa.pub authorized_keys
sidou@debian:~/.ssh$
sidou@debian:~/.ssh$ ssh -p 443 -i id_rsa
id_rsa id_rsa.pub
sidou@debian:~/.ssh$ ssh -p 443 -i id_rsa localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 95:c1:a2:65:01:c5:1f:43:a2:67:e7:4b:eb:91:06:4b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
Password: ←パスフレーズを入力
Password: sidouのパスワードを入力
Password: ←空白(Enterだけ押した)
sidou@localhost's password: ←ココでsidouのパスワードを入力するとLoginできるが、ただのパスワード認証。
という結果になります。
次の投稿で、.ssh/authorized_keysを晒します。
>>471
すみません・・・なんせLinuxドシロウトなもので・・(汗。
- 473 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 06:08:49
- authorized_keysの中身です。
sidou@debian:~/.ssh$ cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEArC6bgRl46TGN73ftqcO3bQAelZzZNkAdbcoQl2ERhN5AFr9Bru6XDjxK2Mz3wOQbeZmFnB/smWurvZNEbYDtjn15bRoswg9oU/OdC2N9cDxIcmK57usq/TnKQs+FodIOD1HPJWqtdASkBegn2l7RRrcbE+PO3PiOXx9QVj3wCAE= sidou@debian.hikarusystem.ddo.jp
sidou@debian:~/.ssh$
問題あるんでしょうか・・・?
- 474 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 06:22:18
- ssh-rsaの後は改行されているのか?
- 475 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 06:27:15
- >>474
改行されていません。全て一行です。メモ帳にコピペして
メモ帳を最大化して閲覧してみるとわかります。(右側で折り返しオプションなしで。)
- 476 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 07:19:18
- >>472
ログを調べようとしないからシロウトのままなんだろ。
まあ好きにすればいいよ。
- 477 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 07:39:56
- 「Fedoraの時は大丈夫でした。(私は悪くありません)」
「素人なので」
ばっかりだしな。もう放置でいいよ…
- 478 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 09:48:47
- Debugモードでわからないなりに操作してみた・・・。
WARNING: /etc/ssh/moduli does not exist, using old modulus
Failed none for sidou from 192.168.11.2 port 3912 ssh2
debug3: mm_auth_password: user not authenticated
Failed none for sidou from 192.168.11.2 port 3912 ssh2
debug1: userauth-request for user sidou service ssh-connection method publickey
debug1: attempt 1 failures 1
debug2: input_userauth_request: try method publickey
debug1: test whether pkalg/pkblob are acceptable
debug1: temporarily_use_uid: 1002/100 (e=0/0)
debug1: trying public key file /home/sidou/.ssh/authorized_keys
debug3: secure_filename: checking '/home/sidou/.ssh'
debug3: secure_filename: checking '/home/sidou'
Authentication refused: bad ownership or modes for directory /home/sidou
debug2: userauth_pubkey: authenticated 0 pkalg ssh-rsa
Failed publickey for sidou from 192.168.11.2 port 3912 ssh2
気になるログを抽出してみました。
Authentication refused: bad ownership or modes for directory /home/sidou
が最高に気になります!。
debian:~# ls -ld /home/sidou/
drwxrwxrwx 6 yurie yurie 8192 Aug 20 16:48 /home/sidou/
debian:~# chown sidou /home/sidou/
debian:~# ls -ld /home/sidou/
drwxrwxrwx 6 sidou yurie 8192 Aug 20 16:48 /home/sidou/
debian:~# chmod 700 /home/sidou
とパーミッションを変更して# /etc/ini.d/ssh stop ; /etc/ini.d/ssh start (なぜかrestartじゃできなかった。)とすると
公開鍵認証に成功しました!こんなところではまっていたとは・・トホホ・・なんで全然知らないユーザ(yurie)とかいうのに
なってんだよパーミッション・・。 >>476氏にログを調べないからシロウトのままと言われて
ちょっと頭にきましたが、本当にそうなんだろうと思い、がんばってログを調べた結果がコレです。
私が悪かったです。ログを今度からはしっかり見ようと思います。というかDebugモードの存在を知らなかった・・・orz。
- 479 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 09:52:19
- >>478
>とパーミッションを変更して# /etc/ini.d/ssh stop ; /etc/ini.d/ssh start (なぜかrestartじゃできなかった。)とすると
これ間違い。正しくは
/etc/init.d/ssh ね・・・。 でもなぜrestartじゃ反映されなかったんだろ。
stopじゃなきゃ反映されなかった。公開鍵認証ができるようになって本当にうれしいです。
何時間苦労したことか・・・苦労した甲斐がありました!
皆様大変ありがとうございました!。
- 480 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 10:15:43
- マルチの相手すんなよ。
- 481 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 10:29:35
- というかdebianで
chmod 755 ~
しとけ。
なんで777なんだ?
- 482 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 11:24:24
- >>478
/home/sidouの所有グループがyurieのままになってる予感。
chown sidou:users /home/sidou
やっとけ。
- 483 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 11:37:44
- >>482
あ、ログには書きませんでしたが、きちんと実行しています。ありがとうございます。
でも、実際にやったのは
# chown sidou /home/sidou
# chgrp users /home/sidou
でしたが。chown sidou:usersで一気に変更できるのは知りませんでした。
>>481
?
- 484 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 11:41:49
- >>>481
>?
ダメだこりゃ
「drwxr-xr-x」にしろってことだよ。
- 485 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 11:58:14
- >>484
いや、それはわかりますが、どこのディレクトリを?
# chmod 755 ~
$ chmod 755 ~
の二通り考えられますが、前者は /root/ を755に
後者は /home/sidou/ を755にすることになりますよね?
どこを755にしろと言ってるのかわからなかったので 「?」とレスしました。
- 486 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 12:27:09
- 両方だ
- 487 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 22:35:00
- yurie からクラック♪
- 488 名前:Debian_User ◆.sd0fJv372 メール:sage 投稿日:2005/08/21(日) 22:48:39
- >>487
ガクガクブルブル
- 489 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/21(日) 23:13:29
- group も yurie になってるけどいいのか?
- 490 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 08:16:40
- っていうか/rootも777だったのかよ。
呆れ返るな。
- 491 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 08:17:56
- もう一回聞くけど、なんで777だったの?
- 492 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 08:33:42
- なんつーか、センスないよな。
- 493 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 11:52:40
- >>491
has cracked
- 494 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 12:07:30
- $ ssh -L 21:ftp.hogehoge:21
とかのコマンドを実行して、
ftp>o localhost 21
を実行すると、hogehoegの21番に接続できますが、
例えば制限された職場等の環境から、アクセス規制がかかっているサイトを開くためには
どういうコマンドを実行すればいいですか?
$ ssh -L 80:目的のサイトドメイン名:80
だと、ブラウザに http://localhost:80
と打てば確かにそのサイトを開くことができるでしょうが、開いた後、
そのサイトからリンクをめぐっていく場合に、リンクをクリックした瞬間から
アクセス規制が働きそうな気がします。その後のリンクにおいても正常にアクセスできるように
フォワードするにはどうすればいいのでしょうか?ご教授よろしくお願いします。
- 495 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 12:15:03
- 入門SSH買ってきてSocksの項目読んでろ
- 496 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 12:16:20
- 踏み台にしてるsshホストにHTTP-proxyでも建てたら?
- 497 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 12:21:30
- アクセス規制がかかっているサイトを開きたいのですが、と
職場の管理者に相談する。
- 498 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/22(月) 12:23:49
- ssh -Dでsocksにすりゃいいじゃん。
sshが出来る時点で何でも出来るのに等しいから、システム管理者はportを塞いでいないのか?
- 499 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 02:18:54
- 「ssh空いてるじゃん?な〜んだ何してもいいんだ」
と思って家の鯖にトンネル掘ってvpn張って家のマシンにnfs mountとかして会社の
マイマシンの環境構築に勤しんでいたら、ある日ネト管の人に怒られた漏れが来ましたよ。
- 500 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 04:03:27
- ssh -Dを教えていただき、ありがとうございました。
システム管理者は22番はふさいでいます。
なので、通常はssh接続できませんが、
http(80),https(443)は開放しています。
この番号は、 http://*.html を開くときと htttps://*.html を開くときに必要でしょ?
なので、これを利用しています。
つまり、80番で自宅にsshサーバを立てると通信内容が漏れて(sshのヘッダがばれて)
はじかれますが、httpsだと、sshのヘッダが入っていても、その内容にProxyは感知
しません。なので、ssh -p 443で接続することによって、ポーと塞ぎを回避しています。
- 501 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 04:13:22
- ssh -Dについて、詳細に解説しているサイトを教えてください。
Googleで ssh -Dと検索しましたが、これだと
"D"と言う文字列を除いてsshを検索(not オプション)になってしまい、まともに
検索できません。
贅沢を言うとなるべくなら画像付で開設しているサイトとか。。。まぁ
画像なくて文章だけでもかまいませんので、よろしくお願いします。
- 502 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 06:50:48
- manとソース読め
- 503 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 12:36:30
- >>500
ふさいでる、ってことはやっちゃいけないんだと思うよ。
443を開けているのは何やってもいいわけじゃないでしょう。
システム管理者に談判するのが筋。
- 504 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 12:55:31
- ちなみにどういう理由で怒られるの?
- 505 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 13:14:09
- そりゃ情報漏洩になるだRO!とかそのへん。
そうでなくても、何かあった時に疑わう罠。
管理者に直談判して許すぐらいなら、まー、はじめから空けてるね。
- 506 名前:名無しさん@お腹いっぱい。 投稿日:2005/08/23(火) 19:12:18
- >>500
悪いことは言わん、やめておけ。
業務上必要なら、担当者に相談しろ。
業務上不要なら、クビを覚悟で。
まともなとこなら定期的(/リアルタイム)でトラフィックパターンをチェックしてます。特定サイトへのトラフィックが増えれば、最低でも 1 ヶ月以内に分かりますよ。
- 507 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/23(火) 23:50:28
- sniffすればsshのトラフィックとhttpsのトラフィックは一目で判別できるのでそこんとこよろしく。
- 508 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/24(水) 00:26:55
- stoneでもかましとけば?
- 509 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/24(水) 10:28:08
- 中小に「まともなとこ」なんてないよ
- 510 名前:名無しさん@お腹いっぱい。 投稿日:2005/08/26(金) 20:42:21
- みんなに質問。
sshを会社や学校で使ってる人・ローカルな仲間内で使ってる人さまざまだと思うけど、
使ってるバージョンは?
もし、いつも最新版を使ってるなら、リリースがあってからどれぐらいでVer.upしてる?
- 511 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/26(金) 21:07:25
- >>510
ftpサイトに起かれた時点でインスートールしてる。
もちろんリリース前
- 512 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/26(金) 21:57:40
- 当然、CVSのHEAD追っかけ。
- 513 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/26(金) 22:13:28
- $ ssh2 -V
ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on **********
$ ssh1 -V
SSH Version 1.2.33 [**********], protocol version 1.5.
Standard version. Does not use RSAREF.
- 514 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/26(金) 22:51:21
- >>510
Vineのパッケージに追従。
- 515 名前:510 メール:sage 投稿日:2005/08/27(土) 23:29:26
- >511->514
なるほどねぇ。皆さんありがとう。
紹介が遅れましたが、うちは自宅と実家(隣町なんだけどね)でファイルのやりとりしてるんですが、
ここで「キター」ってのがあってから最新にしてます。
だけど、やっぱりパッケージから入れてる人は >514さんみたいになるのかな?
おそらく多数派はこのあたりなんでしょうか?
とりあえず答えてくれた皆さんありがとう。参考になりました。
- 516 名前:名無しさん@お腹いっぱい。 投稿日:2005/08/31(水) 02:01:21
- FreeBSDにOpenSSH 4.1p1を入れたいのでOpenSSL 0.9.8を入れようとしたらエラーorz
OpenSSLで前もって入れておくもの(依存関係)とかありますか?
また、OpenSSHでOpenSSL以外に必要なものがあれば教えてください
- 517 名前:516 メール:sage 投稿日:2005/08/31(水) 02:05:09
- エラーが出てたのはOpenSSHだった
configureでIf you are in doubt, upgrade zlib to version 1.2.1.2 or greater.が発生。
zlib-1.2.3いれてるのに--without-zlib-version-checkしないと( ゚Д゚)マズーかな
- 518 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/31(水) 13:08:12
- send-prしとけよ。FREE BSDユーザーはこんなんばっかなのか?
- 519 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/08/31(水) 17:27:37
- >>518
「わざと全角にした」に一票
- 520 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/01(木) 06:23:44
- >516
えーと当然だけどportsから入れようとしているんだよね?
- 521 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/01(木) 23:11:53
- >516
どんなエラーが出たの?
ソースからビルドしたの?
zlibは?
そんなあなたに
ttp://www.openssh.com/ja/portable.html
あと、FreeBSDのバージョン&gccのバージョンなども書くといいんじゃない?
- 522 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/01(木) 23:13:43
- >>521
-CURRENT使っている方に10000ペリカ。
- 523 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/02(金) 00:47:05
- 4.2p1キタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=112558674928977&w=2
- 524 名前:521 メール:sage 投稿日:2005/09/02(金) 23:11:26
- >522
じゃあ、あっしはSTABLEに500ドラクマ
- 525 名前:510 メール:sage 投稿日:2005/09/02(金) 23:14:16
- >523
さぁ、ソースとって来てbuildするか。
- 526 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/03(土) 02:38:35
- eval `ssh-agent -k` をし忘れたときの最悪の場合の被害をお教え下さい。
- 527 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/03(土) 02:51:16
- 人類滅亡
- 528 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/03(土) 04:05:37
- >>527
それなら問題なしです
- 529 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/03(土) 04:11:50
- 勃起不全
- 530 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/03(土) 04:40:28
- >>529
そりゃ大問題です
- 531 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/03(土) 23:29:32
- ライセンスがGPLに強制変更
- 532 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/04(日) 01:35:45
- 性欲とプロセスを持て余す。
- 533 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/08(木) 11:19:08
- 2005-09-08 未明
04:30 - 05:30 JST くらいの間に
急に例の SSH へのアタックが増えた。
俺んとこは平均 2-5回/日 だけど、
今回は1時間に 12回 だよ。
お前らはどうでしたか?
- 534 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 11:36:39
- >>533
同じものかどうかわかりませんが、うちにも定期的にきますね。
>俺んとこは平均 2-5回/日 だけど、
>今回は1時間に 12回 だよ。
うちに来るやつは2,3秒置きに10分くらいアタックされるです。こんな↓感じ。
Aug 31 17:52:55 host sshd[18418]: Invalid user amanda from 72.9.233.145
Aug 31 17:52:57 host sshd[16951]: Invalid user iris from 72.9.233.145
Aug 31 17:52:59 host sshd[16922]: Invalid user bonnie from 72.9.233.145
Aug 31 17:53:02 host sshd[18006]: Invalid user sparky from 72.9.233.145
Aug 31 17:53:04 host sshd[17145]: Invalid user clasic from 72.9.233.145
Aug 31 17:53:06 host sshd[17136]: Invalid user jamy from 72.9.233.145
こんな感じでユーザ名変えて何度も何度も…
実害がないとはいえ、ちょっとむかつきますね…。
こういうのって何とかならないもんなんでしょうか。
- 535 名前:533 メール:sage 投稿日:2005/09/08(木) 11:46:53
- >>534
俺は syslog を検知して、Invalid user だったら、
当該 IP を hosts.deny に追加するシェルを動かしている。
なので2回目以降はその時点でブロック。
と同時に whois で引いたものメールで飛ばしている。
ケータイへの飛ばしているから、今朝起きたら、ウツになった。
まぁ、公開鍵認証を使うのが本来なんだろうけど…
- 536 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 11:50:19
- 別ポートで上げれば減るらしい。
- 537 名前:533 メール:sage 投稿日:2005/09/08(木) 12:04:56
- >>536
まぁ、そうなんだけどね。
研究というか、情報収集というか、仲間内へのアナウンスもあるし…
かといって、ハニーポットを構築するまでもないし(つーか、判らん)
今回は KR, CN だけでなく、JP(OCN) からが半分くらいだったよ。
- 538 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/08(木) 13:25:40
- ウィンから使える良いクリアン教えてくれ
- 539 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 13:34:39 BE:9641322-#
- 仮想端末から ssh でリモートホストにログインしたあと、
仮想端末の大きさを変えたとき、リモートホストの
プロセスからはその事を知る方法はありますか?
ssh でログインした先で emacs -nw して作業しているのですが、
仮想端末のサイズを変更しても emacs はそれに追随してくれません。
ssh クライアント側での画面サイズの変更に伴って、
ssh サーバ側で SIGWINCH シグナルが発行されてないってことですか?
- 540 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 14:37:20
- >>539
sshで、login先でviを起動し、ローカルのウィンドウをリサイズすると、
viもちゃんと追従するので、 SIGWINCH はエミットされてると思われ。
emacsの問題じゃないの?
- 541 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 16:28:37
- >>538
http://www.google.co.jp/search?q=%A5%A6%A5%A3%A5%F3+%A5%AF%A5%EA%A5%A2%A5%F3&hl=ja&ie=EUC-JP
- 542 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/08(木) 18:54:14
- ttp://homepage3.nifty.com/belleequipe/nanteitteru.htm
にクリアンは英語で言うクライアントで、とある。
>>538はフランスかぶれといえよう。
- 543 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 19:28:25
- わざわざ英語で言い直すのはイギリスかぶれ
- 544 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/08(木) 19:42:43
- じゃあこれからはsshというのはやめて日本語の呼び名で
- 545 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 19:47:00
- secure shell=締めつける貝
- 546 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/08(木) 20:11:17
- とりあえず、hosts.denyで.jpと必要なら.bbtec.net以外からを蹴って、
鍵認証必須にしておけば、OpenSSHに穴が見つからない限り
安全に運用できるんジャマイカ。
- 547 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/09(金) 23:59:28
- .>545
俺なら「暗号化通信手順」だなぁ。
締めつける貝って聞いてホタテのヒモを思い出しちゃったよ。
あ〜キチャナイ
- 548 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/10(土) 00:53:05
- poderosa使ってたらいきなり落ちて接続不能に陥ったんですが
これは何が原因なんでしょうか?
接続しようとするとユーザ認証に失敗しましたと表示されます。
ググってみてもそれらしいページが見当たりません。
- 549 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/10(土) 09:35:26
- >>547
>締めつける貝って聞いてホタテのヒモを思い出しちゃったよ。
オレは嫁さんを思い浮かべた。
- 550 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/10(土) 10:58:16
- >>549
嫁自慢か。
- 551 名前:名無しさん@そうだ選挙に行こう メール:sage 投稿日:2005/09/10(土) 21:26:29
- 首絞められてんじゃないか
財布奪われて
- 552 名前:名無しさん@そうだ選挙に行こう メール:sage 投稿日:2005/09/11(日) 12:22:09
- >>551
でも、貝だしなぁ
普通はそこから締め付けるのは下の口を想像すると思う
確かに貝から貨幣を連想し財布に結びつけることもありえるけど
ちょっとまわりくどいかな
- 553 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/12(月) 10:26:03
- SSHで、sftpでローカルにコピーしたいんですが、
Couldn't get handle: Failure
とどて蹴られます。
一応ぐぐったのですがでてきませんでした。
ご教授お願いいたします
- 554 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/12(月) 16:05:32
- sshでログインする際にパスワードの入力まで行くのですが、そのさきうんともすんとも言わないのですが、何がいけないのでしょうか?
- 555 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/12(月) 16:23:14
- オーせんてぃけいしょんがいけてない
- 556 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/12(月) 16:27:07
- パスワード打っても ****** とか出ませんとかそういうネタか?
- 557 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/13(火) 10:44:52
- パスワード打ったとき、******と出るパッチは無いのかな
- 558 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/13(火) 11:17:40
- >>557
ソースを修正せずに済ます方法。
方法1:
あらかじめttyコマンドでtty名(/dev/pts/5とか)を調べておき、
パスワード入力プロンプトが出ている時、
stty echo < /dev/pts/5
を実行するようなラッパースクリプトを書く。
するとパスワードがエコーバックされる。
(***)ではないが。
方法2:
getpw()関数を横取りするようなlibXX.soを作り、
LD_PRELOADでロードする。
- 559 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/13(火) 11:28:29
- で、>>554 はどこ行った?
- 560 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/13(火) 13:23:23
- >>558
(゚∀゚)サンクスコ
getpwを横取りするよ
- 561 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/13(火) 15:14:13
- 昔の ssh は setuid されてたようなおぼろげな記憶が。
この場合 LD_PRELOAD は効かんね。今は関係ないけどさ。
- 562 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/13(火) 16:24:16
- getpwではなくgetpass(3)では?
でもgetpassは入力長さが環境によってまちまちだから。
sshはgetpass(3)使わずに自前で同等関数作って使ってるぞ。
- 563 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/15(木) 19:29:55
- SSH接続について質問させてください。
Linux対してにssh2による接続をしていたのですが
ユーザのpasswordがexpireしている状態で接続すると、
クライアントプログラムによって異なる動作をします。
cygwin,putty:パスワードの変更を要求される
TTSSH:パスワード情報が変更されたというメッセージが表示される
このような動作の違いが現れる原因について調べております。
少なくとも、原因がopensshとTTSSHのどちらにあるかをはっきりさせたいのですが、
何かお分かりになる方がいらっしゃいましたら情報をいただけないでしょうか。
使用しているプログラム、opensshのバージョンは以下の様になっています。
また、Linuxでのユーザ管理はLDAP、sshはPAMで認証しています。
Linux(SUSE9):openssh-3.8p1-37.17
cygwin:openssh-4.1p1-2
TTSSH:teraterum_utf8_414
putty:0.58
- 564 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/15(木) 22:41:53
- TTSSHはお勧めできない。SSH1しか使えないからね。
- 565 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/15(木) 22:58:59
- ちゃんとしらべてからかこうね。
- 566 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/15(木) 23:26:23
- ちゃんとしらべてからかおうね。
- 567 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 01:45:49
- ちゃんとしらべてからやろうね。
- 568 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 01:58:47
- ちゃんとしらべてからまぐわろうね。
- 569 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 02:49:25
- ちゃんとしらべてからまぐろくおうね。
- 570 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 02:59:40
- もういいよ。
- 571 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 03:13:14
- 毛利名人よ。
- 572 名前:563 メール:sage 投稿日:2005/09/16(金) 10:57:50
- なんだかボロカスに言われているようですが、ちょっと確認させてください。
・使用したTeraterm proは「UTF-8 TeraTerm Pro with TTSSH2」なので、SSH2に対応しているはず
・「New connection」で「Service:SSH」、「SSH version:SSH2」を選択
・サーバ側のsshd_configでProtocol 2 を指定
・/var/log/messages のAcceptメッセージでssh2と表示されている
以上の理由でSSH2による接続はできていると思うのですが、見落としているところがありましたら
お教え願います。
- 573 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 12:22:53
- >>563
ボロカスには言われて無いだろ。
>>564が無知を晒して突っ込まれてただけ。
俺もTTSSHでssh2接続してるよ。
で、本題の方は、俺はLinux使ってないしそういう
システムに出会ったことが無いのでわかんないや。
俺が使ってるシステムでは、一般ユーザの/etc/passwdの
パスワードはつぶしてあって、パスワード認証は
ローカルでもできないから…。
- 574 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 22:48:58
- >>563
opensshのsshクライアント使って、サーバ-クライアント間のやり取りぐらい自分で調べたら?
- 575 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/16(金) 23:05:32
- >>563 がアホの子だった場合に備えて、懇切丁寧に説明してやると
>cygwin,putty:パスワードの変更を要求される
なんて場合があるのは、パスワードの変更を「サーバが要求する」ようなメッセージが流れているはず。
!!これが分からなければ、オマイはアホの子!!
よって、cygwin opensshをhigher debug levelで動かして、解析しろ。
自分で調べるなら、IETF Draftsでそのメッセージの存在を調べれば良いし、
分からなけりゃ、調べた経緯をまとめ上げた上で、初めて人に聞くべき。
- 576 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/19(月) 11:09:54
- A と B の PC があります。
A で ssh-keygen を行ない鍵を作成しました。
A で cat id_dsa.pub > authorized_keys を実行しました。
A から B に id_dsa, id_dsa.pub, authorized_keys をコピーしました。
Keychain を使い A から B に入る時は最初の一回だけ id_dsa に対するパスワードを聞かれます。
しかし B から A に入る時は毎回 id_dsa に対するパスワードを聞かれます。
両者の /etc/ssh/sshd_config は全く同じ内容です。
B 側の Keychain がうまくいってないように思えます。しかし両者の設定は全く同じです。
何処がおかしいか分かりますか?何かしら根本的な間違いがあるでしょうか?
- 577 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/19(月) 16:51:59
- keychain じゃなくって ssh-agent でやってみたら?
それでうまくいくのだったら keychain の問題なのでは。
- 578 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/19(月) 18:55:40
- >>577
ssh-agent だといけました。
- 579 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/21(水) 11:20:24
- 以前は問題なかったのですが、圧縮転送をオンにして接続しようとすると
Algorithm negotiation failed
というエラーが出て接続できなくなってしまいました。圧縮転送をオフにすれば
今でも接続できます。どうしたらこのエラーを消せるのでしょうか?よろしくお願いします。
- 580 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/21(水) 11:26:48
- >>579
そのメッセイジそのものだと思うんだけど?
- 581 名前:579 メール:sage 投稿日:2005/09/21(水) 11:28:55
- >>580
サーバ側が圧縮転送に対応していないということだと思うのですが、その設定はどこでやればよいのでしょうか?
- 582 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/21(水) 11:31:29
- >>579
sshd_config:
Compression yes
のことか?
>>580
さすがにそれくらいは解ってるだろ。答えたくないならレスするなよ。
- 583 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/21(水) 20:23:00
- OpenSSH 4.2のリリースノートにこう書いてある。
---
- Added a new compression method that delays the start of zlib
compression until the user has been authenticated successfully.
The new method ("Compression delayed") is on by default in the
server. This eliminates the risk of any zlib vulnerability
leading to a compromise of the server from unauthenticated users.
NB. Older OpenSSH (<3.5) versions have a bug that will cause them
to refuse to connect to any server that does not offer compression
when the client has compression requested. Since the new "delayed"
server mode isn't supported by these older clients, they will
refuse to connect to a new server unless compression is disabled
(on the client end) or the original compression method is enabled
on the server ("Compression yes" in sshd_config)
---
クライアント側がOpenSSHの3.5より前のバージョンじゃないか?
- 584 名前:名無しさん@お腹いっぱい。 投稿日:2005/09/21(水) 23:32:01
- sshdを起動しようとしてもできず
ログには
Sep 21 22:55:48 6151 sshd[73]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
Sep 21 22:55:48 6151 sshd[73]: fatal: Cannot bind any address.
と、残っています(6151はホスト名です)
何が悪いのでしょうか?
- 585 名前:ヽ(´ー`)ノ ◆.ogCuANUcE メール:sage 投稿日:2005/09/21(水) 23:38:29
- >>584
> Bind to port 22 on 0.0.0.0 failed: Address already in use.
> Cannot bind any address.
- 586 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/21(水) 23:56:04
- >>583
問題はそれでした。
クライアント側にこれ
http://www.ssh.com/support/downloads/secureshellwks/non-commercial.html
を使っていたのが問題だったようです。
とりあえずは、サーバ側の設定のdelayedをyesにして対処したいと思います。
- 587 名前:584 メール:sage 投稿日:2005/09/22(木) 01:32:51
- >>585
すいません
bindが0.0.0.0の22番ポートを失敗しました: アドレスが使われています
と言うような感じだと思うのですが
検索などしましたが、どのように解決できるかわかりません
すいませんが教えていただけ無いでしょうか?
よろしくおねがいします
また、sshdは起動できていたみたいです
すいませんでした
- 588 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/22(木) 02:09:58
- >>587
→ 22番ポートへのbindに失敗しました。
で、「起動できていたみたい」じゃなくて、「起動しているのに
また起動しようとするからエラーが出ていた」んだよ。
# 眠ぃ...
- 589 名前:584 メール:sage 投稿日:2005/09/22(木) 02:16:46
- >>588
すいません
ありがとうございました
- 590 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/30(金) 23:17:20
- 急に今まで繋がっていたSSHが突如先日繋がらなくなりました。
もちろん設定は一切変更してません。でも何故か一般ユーザーはログインできるようなんです。
ちなみに認証は公開鍵式で試しに設定でパスワード認証も許可してみましたがその問題のユーザーはログインできませんでした。
ちなみに問題のユーザーと言うのはrootのことです。
root以外の一般権限のユーザーはログインできますがrootのみ急に出来なくなってしまいました。
ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
Sep 30 23:05:03 sv crond(pam_unix)[6292]: session closed for user root
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7240]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session closed for user root
- 591 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/09/30(金) 23:59:39
- root で入れるようにしとくなよ。
- 592 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/01(土) 05:50:59
- >>590
> ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
マジレスすると root でログインするのをやめる。
- 593 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/01(土) 06:16:10
- このスレの連中はログの見方も知らんのか。
そのログは、クーロンがroot権限で実行されたときのログだ。
sshには何も関係ないし。
- 594 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/01(土) 10:18:13
- わろす
- 595 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/01(土) 12:56:03
- ぇ、このログ関係なかったんですか(´・ω・`)
言われてみればよく見るとこれが5分間隔で延々並んでましたからSNMP関係のかもしれませんでした;
どうもお騒がせしました(;
ちなみにこの問題の鯖は仲間内で使うターミナルサーバ的な感じだったのでrootを許可してましたがやっぱりそれでもrootは×の方が良かったかもですね
一応今は権限を持たせた一般ユーザーからsuでrootになるようにしてます。
ところで、認証はパスワードも許可してるのですがそれもやめるべきでしょうか。
テンプレには暗号化されてると書かれてますしいいかなぁと思っているのですが(汗
- 596 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/01(土) 13:29:11
- >>595
よしあし。
パスワードは総当たりだの推測だのに弱い。盗聴にも多少弱い。
鍵は秘密鍵の盗難に弱い。
- 597 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/01(土) 15:48:50
- >>595
鍵認証はMan-in-the-middle攻撃に強い。総当たり攻撃や推測は事実上不可能。
鍵の管理さえしっかりしていれば(パスフレーズさえ漏らさなければ)
PAMよりずっとセキュア。
それと、複数人で管理している場合、suはお勧めできない。
操作が記録に残るsudoを使うべし。
- 598 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 07:58:08
- VNCをフォワーディングして使用したいのですが、
sshログインは出来ますが、ポートフォワーディングが出来ません。
家でプライベートネットワーク内だと出来るのですが、外からだと出来ません。何か設定はございますでしょうか?
因みにクライアントはteraterm-utf8です。
ルーターはかんでるけどsshログインは出来てるから関係ない??
- 599 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 10:08:57
- >>598
VNCサーバー側のログと設定の確認はした?
VNCの実装にもよるけど、(通常意味のない)localhostからの接続を制限しているものがあるよ。
とりあえずポートフォワーディングが問題だとかんがえているなら、
他のアプリ(ポート)で試してみるとかやんないと。
- 600 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 13:28:19
- >>599
一応apacheでも試したんですが、ダメでした。http://localhst や プライベート内のpcからhttp://192.168.1.xでは見えるんですが。
最初に書いたとおり、プライベートネットワーク内からのフォワードは出来てるので、localhostは拒否してないと思うのですが。
- 601 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 13:30:02
- あっ、http://localhostてのはもちろんssh鯖のpcからです。
- 602 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 14:25:26
- 具体的に!
- 603 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 20:14:55
- 思う、じゃなくって、telnet localhost 80 でもなんでもいいからやれ。
個人的推理では loopback でしくってるだけ。
- 604 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 20:20:11
- > localhostは拒否してないと思うのですが
> 思うのですが
- 605 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 20:59:00
- >>603 すいません。。telnet localhost 80 は問題なく接続出来ました。。
- 606 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/05(水) 21:00:58
- ネタだよネタ。ヌルーしろ。
- 607 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/06(木) 12:19:24
- パスワードを入力しないでログインできるようにするにはどの方法がよいのでしょうか?
- 608 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/06(木) 14:18:30
- 環境による。
- 609 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/06(木) 23:59:16
- >>607
鍵認証。
- 610 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/07(金) 00:10:53
- それにしても一度はパスフレーズを入力するんだけどね。
どっちみち。
だけどパスワード認証よりも、公開鍵認証のが安全らしいよ。
御安全に。
- 611 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/07(金) 00:52:26
- 空パスフレーズ
- 612 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/07(金) 09:15:42
- >>610
鍵認証時のパスフレーズなんておまけみたいな物。
あってもなくても大して変わらん。
秘密鍵さえ確実に保存しておけば。
- 613 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/07(金) 09:21:43
- 鍵のパス空にしてるけどやばいかな?
- 614 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/07(金) 09:29:07
- レスを読めない人
- 615 名前:ヽ(´ー`)ノ ◆.ogCuANUcE メール:sage 投稿日:2005/10/07(金) 09:32:23
- ssh-agent とか。
パスフレーズより、鍵の bit 長の方が重要なんじゃなかったっけ?
むしろ、パスフレーズの入力無しでログインするってことは、PC を放置してて
誰かに勝手にログインされても分からないということなので、そこは気を付け
た方が良いね。そういう意味では、パスフレーズがあった方が気休めにはなる。
- 616 名前:610 メール:sage 投稿日:2005/10/08(土) 20:08:46
- 俺は>615の言うとおりと思ってる。
あと仮に公開鍵を盗まれても、もう一つパスフレーズという鍵みたいなもんがあるから、
クラックするのにもう一手間かかるもんね。まぁ無いよりはましって事で。
>613
やっぱり簡単にログインできる魅力と
クラックされてどれぐらい困るかの問題じゃないかなぁ?
にしてもパスフレーズつければ完璧って事ではないけどね。
#パスフレーズは俺の自己満足なのかなぁ?
- 617 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/09(日) 01:40:20
- 自動化処理でいろいろ面倒なのでパスフレーズは無しにしてる。
- 618 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/09(日) 02:05:33
- >>616
公開鍵は盗まれても問題ない
- 619 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/13(木) 00:06:20
- >>607
Kerberos使う。
ログインもKerberosでやって、そのとき発行されたチケットでsshに突撃。
SSOって奴だ。
- 620 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 02:19:57
- SSHのブルートフォースが毎日毎日続くので対策を検討しています。
簡単な対処法などあったら教えてください。
OSはRed Hat Linux 9。openssh-3.5p1-11.2.legacy。openssl-0.9.7a-20.4.legacyです。
一定回数以上の接続リトライで通信を遮断とか、
リトライ間隔の調整が、容易に行えるrpmパッケージがあると最高なのですが。
- 621 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 02:21:42
- syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
作れば簡単にできそうだけど。
- 622 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 02:31:59
- >>621
> syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
> 作れば簡単にできそうだけど。
ブルートフォースはrootユーザーから始まるようなので、syslogのAuthを
パイプで受けとって、rootのログインの試みを検出した時点から、
ポートを一定時間閉じるスクリプトを書けばいいんだけど・・・
・・・作るのがメンドイのですよ。
ポートノッキングをrpmパッケージで導入した方が簡単ですかねぇ。
- 623 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 02:38:30
- メンドイってあんた、そんな何時間もかかるものじゃあるまいし……。
こうやって質問してる間に書けちゃうだろうに。
- 624 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 02:53:55
- アクセスごとにポートの開け閉めをしていたら、競合状態を
作り出しちゃいそうだなぁ、設計がめんどうだなぁと。
- 625 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 02:58:24
- つiptablesのipt_recentモジュール
- 626 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 03:05:59
- 620タソが穴のあるスクリプト書いちゃうかもしれんから、
もし既に書いてるなら参考に見せたげりゃーいいのに。
- 627 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 09:34:32
- ふつーはもっと下のレベルでアクセス制限するなりポート変えるなりすりゃいいだけだろ
- 628 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 09:39:09
- swatch -> tcp_wrapper でどうよ ?
- 629 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 17:32:15
- デフォルトの22番ポートを使わないようにしてから
アタックなんて一切無いんだが。
- 630 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 19:04:09
- それメンドイと思ったけど、
普通は.ssh/configの定義名でアクセスするから問題ないか。
- 631 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/19(水) 19:07:25
- それに頼ると出先にいったときに忘れてたりする
- 632 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/20(木) 09:10:43
- >>629
おれもそれで自宅のは運用してるけど、
一般的にはアレゲな方法だと思われてるよね。
- 633 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/20(木) 12:21:28
- >>632
なんでアレゲなの?
- 634 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/20(木) 12:24:15
- そもそもアレゲってドレゲよ?
- 635 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/21(金) 06:11:40
- エロゲの親戚?
- 636 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/21(金) 22:26:48
- >>633
おれにもよくわからん。
httpd のポートを同じように 80 から変えるのは、
(会社の)proxy の許可が通らなかったりとか、
まー、色々あるから、避けられるのは理解できるんだけどネ。
- 637 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/21(金) 23:15:01
- アレゲって何?
スラドのコピペ
↓
- 638 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/21(金) 23:28:12
- ↑ .| .┌┐
│ .└‐┘└┐
└──┐ │
└─┘
- 639 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/21(金) 23:56:19
- >>620
ふつうにportsentryとかdenyhostsとか
- 640 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/22(土) 03:19:19
- knockdでコンコン
- 641 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/22(土) 23:16:15
- >>620
.jp以外を問答無用で蹴る。これでぐっと減ります。
- 642 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 03:40:21
- hosts.denyとかより下位レイヤで蹴ったほうが負荷が少ないよ。
うちは .cn .kr .hk .tw に属するIPアドレス手に入れて、
ssh に限らずざっくり全部拒否。
- 643 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 08:01:03
- >>642
.tw はまずいだろ
- 644 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 11:49:40
- >>643
なんで?
- 645 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 14:41:33
- マザーボード資料とか見るとき?
- 646 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 14:48:49
- こちらから接続にいくTCPくらいはステートフルに通すだろうから
全然問題ないのでは。
- 647 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 15:18:40
- 台湾に出張に行ったときに困る
- 648 名前:名無しさん@お腹いっぱい。 投稿日:2005/10/23(日) 15:21:43
- FTPのように、ユーザーが自分のホームディレクトリ以上に行けないようにすることは出来ますか?
- 649 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 15:21:57
- >>647
そのときは開ける、または君のところは開けるでいいじゃん?
- 650 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 16:15:40
- >>648
/bin や /usr や /usr/local も見えなくなるけどいいのかね?
- 651 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 16:18:28
- Webページのみ利用のユーザーにFTPの代わりに提供したいのです。
- 652 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/23(日) 16:20:37
- chroot(概念を理解)とかjail(chroot環境構築のツール)とかを
調べてください。
- 653 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/25(火) 11:25:27
- .cn .kr .hk に属するIPを教えて
- 654 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/25(火) 12:00:17
- >>653
つ ttp://www.blackholes.us/
週一くらいで更新されているからrsyncでも使って自動updateのshellでも書けばいい
- 655 名前:名無しさん@お腹いっぱい。 投稿日:2005/10/26(水) 21:00:30
- putty に関する質問はここでよろしいでしょうか?
- 656 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/26(水) 21:31:39
- >>655
Putty その2
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
- 657 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/26(水) 22:41:14
- >>656
過疎ぎみのようですがそっちいってきます.
- 658 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2005/10/26(水) 23:27:57
- SSHの通信内容を復号化してそのまま読みたいんですが、どうやったらできますかね?
デバッグモードとかじゃなくて、ペイロードを直接そのまま見たいんです。
- 659 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/27(木) 00:18:49
- 暗号鍵を手に入れて復号。
- 660 名前:658 投稿日:2005/10/27(木) 01:22:02
- >>659
そういうことではなくて、通信内容を表示してくれる
sshクライアント等が欲しいんです。
どういう風に通信が行われているかはRFC読んでも
いまいち実感がわかないので、実際に見てみようかなと。
- 661 名前:ヽ(´ー`)ノ ◆.ogCuANUcE メール:sage 投稿日:2005/10/27(木) 01:46:10
- 言ってる意味が良く分からんけど、ethereal とかか?
- 662 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/27(木) 02:52:44
- >>660
NULL 暗号化を実装したサーバとクライアントを用意してがんばる。
- 663 名前:658 メール:sage 投稿日:2005/10/27(木) 05:11:59
- 説明が足りませんでしたね。
実は今SSHの通信部分を実装してるんです。
実際のパケットも観察してみようと思ったんですが、当然ながらそのままでは暗号化で読めません。
で、どうにかして見られないかなと思ったわけです。
>>662
なるほど。ただちょっと面倒ですな…
- 664 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/27(木) 12:39:51
- opensslの関数をフックして通信内容をdumpするsoを作って、LD_PRELOADで読み込ませる。(socksみたいな感じで)
- 665 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/27(木) 12:40:45
- いま実装中ってことならおそらく ver.2 なんだろうけど、ver.1 でもいいんな
ら dsniff の sshmitm を debug mode で間に噛ませてやれば復号した通信内容
を dump してくれた筈。
- 666 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/27(木) 12:45:43
- >>648
scpやsftpだけで良ければこれで簡単に実装できます。
つ rssh http://www.sdri.co.jp/rssh/index.html.ja
shellが無いとダメ?
- 667 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/27(木) 18:41:51
- 接続先サーバのホストキーが変わったときに
~/.ssh/known_hosts を新しいので上書きさせる方法ってない?
サーバ構築中で再インストールしたときとかで
攻撃によるものじゃないのが明らかなときに
いちいちエディタで開いて削るのはめんどくさい。
HashKnownHosts してるとどれを削ればいいのかわからないし。
- 668 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/27(木) 22:24:55
- >>667
構築中のサーバ専用の known_hosts ファイルを UserKnownHostsFile で指定
すればいいんじゃない? 変わったら rm すればいい
- 669 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/28(金) 00:43:55
- >>668
あー、それいいね。
やってみる。
どうもー。
- 670 名前:名無しさん@お腹いっぱい。 投稿日:2005/10/28(金) 00:58:57
- 構築中でもなんにしろ、known_hosts を勝手に上書きするのは
よろしくないと思うけど
- 671 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/10/28(金) 09:32:53
- >>620
# route add -host IPアドレス 127.1 -blackhole
- 672 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/04(金) 14:01:26
- age
- 673 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/05(土) 02:05:57
- NTT-ADSLモデムNVの内側にあるマシン A を踏み台にして、
支店βのLANに属しているマシン B (アドレスはローカル) と、
支店γのLANに属しているマシン C (アドレスはローカル) で、
ファイルのやりとりを画策してます。
B から A に ssh でログインできることと、
C から A に ssh でログインできることは確認済です。
C -> A -> B とすれば、C から B が見えると思い、次のコマンドを実行しましたが、
connection refused でした。
B$ ssh -R 10022:localhost:22 A
C$ ssh -L 10023:A:10022 A
C$ ssh -p 10023 localhost
3番目のコマンドを実行すると、
channel 2: open failed: connect failed: Connection refused
となります。
計算機 A の sshd_config では GatewayPorts yes としています。
不思議なのは、NTT-ADSLモデムの内側にある マシン A を
物理的に違うところに運んで grobal address を持つマシンにすると、
うまくいくことです。
なぜなんでしょう?
- 674 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/05(土) 02:41:34
- 673 です。追記です。
モデムの静的IPマスカレードで、22,10000-番ポートをマシンA に振ってあります。
マシンA の sshd は OpenSSH_3.8.1p1 でっす。
- 675 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/05(土) 07:57:30
- C からA にssh でログインして、
A$ ssh -p 10022 localhost
としてB にログインできるなら
C <-> A の経路が怪しい、ということになりますがどうでしょ。
- 676 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/05(土) 16:50:07
- >>673-674
C$ ssh -L 10023:A:10022 A
これがまずいのだと思います。
マシンAから見ると「グローバルアドレスを持っているモデム」の10022/tcpに転送するということです。
そのモデムは内側からモデムの持っているグローバルアドレスでアクセスされた場合は、
静的IPマスカレードで内側に転送したりしないのでしょう。
C$ ssh -L 10023:localhost:10022 A
とすればうまくいくと思います。
また
B$ ssh -R 10022:localhost:22 A
のように、ループバックアドレスのみをlistenする場合は、GatewayPortsオプションで許可しなくてもいいみたいです。
http://www.unixuser.org/~euske/doc/openssh/jman/ssh.html
- 677 名前:673 投稿日:2005/11/05(土) 19:51:14
- 673です。大当たりでした。本当にありがとうございます。
>>675
その通りでした。で、
>>676
にて頂戴した方法で、期待通りの動作を確認することができました。
本当にありがとうございます。
C$ ssh -L 10023:localhost:10022 A
とすると、ここでの「localhost」は「A自身」なのでうまくいくと。
なるほど。この発想はまったくありませんでした。
また、ダメな例 (モデムの10022/tcpに転送) の解説も
私には非常に勉強になるものでした。完璧に誤解していました。
加えて、GatewayPorts no でもうまくいくことも確認できました。
はあー。ようやく寝られます。3日間悩みまくりました。
ありがとうございます。
あと、ついでに、嫁の妊娠が発覚しました。
今日は良いことだらけです。
- 678 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/05(土) 20:40:57 BE:4356285-###
- >>677
login出来たのですね。おめでとう♪
彼女にloginできません
http://pc8.2ch.net/test/read.cgi/unix/1007136614/l50
にもご報告を(w
- 679 名前:shin メール:shintb@hotmail.com 投稿日:2005/11/11(金) 01:01:35
- OpenSSH3.1で、無限ループ(セル)して20秒ごとに、接続が切れたら再接続を行います。
しかし、約2時間ほどになるとセルもSSHのプロセスも自動で切れてしまいます。
どなたか、その原因、わかれば教えてください。
(SSHクライアント、Linux、MQのメッセージやり取り)。
よろしくお願いします。
- 680 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 01:03:06
- 接続が切れたら再接続できてないから
自動で切れるんじゃないの。
- 681 名前:shin 投稿日:2005/11/11(金) 01:09:34
- >接続が切れたら再接続できてないから
>自動で切れるんじゃないの。
ありがとうございます。
しかし、プロセスまで切れるのはなぜですか?
大体、2時間ほどで起こるのは、どこかに設定が問題ありますか?
この前は3日間はもんだいなかったんですが、
このSSHクライアントに接続したマシンを変えたら、起こりました。
- 682 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 01:15:18
- セルって何?
- 683 名前:shin 投稿日:2005/11/11(金) 01:20:35
- >セルって何?
たとえば、conn.sh です。
- 684 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 01:22:21
- なにそれ?
- 685 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 01:23:32
- ごめんなさい、いま手元にはソースはないですが、
while
if ***
ssh ***
else
sleep 20
end
の程度です。
- 686 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 01:25:55
- もしかしてシェルスクリプトのこと「セル」って言ってんの?
- 687 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 01:28:25
- >もしかしてシェルスクリプトのこと「セル」って言ってんの?
ごめんなさい。そうです。
起動したconnプロセスも、SSHプロセスも同時に切れるということです。
シェルスクリプトの内容は無限ループなのに…
- 688 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 01:44:57
- シェルスクリプトが間違ってんじゃないの。
- 689 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 01:51:36
- >シェルスクリプトが間違ってんじゃないの。
間違いはないはずです。間違ったら、はじめに起動できないと思います。
- 690 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 01:54:54
- 遅くまで、ありがとうございました。
- 691 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 03:11:24
- セル!
セル!
セル!
- 692 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 10:29:49
- 天下一武道会の時間ですか?
- 693 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 11:17:40
- >>689
間違いはないはずです。〜〜〜ったら、〜〜〜と思います。
間違いはないはずです。〜〜〜ったら、〜〜〜と思います。
間違いはないはずです。〜〜〜ったら、〜〜〜と思います。
間違いはないはずです。〜〜〜ったら、〜〜〜と思います。
間違いはないはずです。〜〜〜ったら、〜〜〜と思います。
間違いはないはずです。〜〜〜ったら、〜〜〜と思います。
間違いはないはずです。〜〜〜ったら、〜〜〜と思います。
初心者がこう言う時、バグは大抵この場所に潜んでいる。
- 694 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 11:50:35
- 昨日は遅くまでありがとうございました。
以下が実際シェルスクリプトのソースです。
よろしくお願いします。
#!/bin/bash
LOG=/home/xxxx/logs/ssh.log
LANG=
SSHCMD="ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482"
while true
do
isAlive=`ps -auxwww | grep -i "$SSHCMD" | grep -v grep | wc -l`
if [ ${isAlive} -eq 0 ]; then
echo ${isAlive} 1>> ${LOG}
date 1>> ${LOG}
ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482 -R 3482:localhost:1414
xxx.xxx.xx.xxx /usr/bin/sleep 1000 1>> ${LOG} 2>>&1 &
fi
sleep 20
done
- 695 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 11:58:02
- 何がやりたいのかさっぱり分からんのだが(笑)。
- 696 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 12:03:01
- これは、SSHクライアントからSSHサーバーに接続するシェルスクリプトのソースです。
20秒ごとに、SSHプロセスを検索して、もし、SSHプロセスがなかったら、
もう一回、SSHの接続を行います。
- 697 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 12:04:35
- ちなみにSSHをずっと、つながっている状態にしたいということです。
- 698 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 12:05:36
- おれには分かるぞ。
OSが分からんが、シェル自体をnohup付で起動してやらないと駄目とかない?
というか、cronでいいじゃん、という気もするが。
プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。
- 699 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 12:15:14
- OSはRedHatLinuxES2.1です。
nohup付、cronは使わない形にしたいです。nohupはうまくいかなかったです。
>プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。
すいませんが、こちをちょっと、よくわからないですが、その方法を教えてもらいますか?
よろしくお願いします。
- 700 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 12:19:12
- あなた、外国の方ですか?
- 701 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 12:19:51
- そうですが、日本で仕事をしてます。
- 702 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 12:21:55
- sshで繋がってる状態にしたいけど、
別のセッションで断続的になっても構わないのね。
ちょっとかわった要望。
- 703 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 12:45:02
- >>702
意味が分からないんだが、sleep 1000でも、1000秒で切れるわけ
じゃないよ。ポートフォワーディング中はフォワードしてる
全セッションが終了するまでsshは待つけど、それは分かってて言ってる?
- 704 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 12:46:37
- たぶんautosshでも入れたら解決する問題のような
- 705 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 13:06:24
- >たぶんautosshでも入れたら解決する問題のような
autosshの実現方法は、どういうふうしたら、よいでしょうか?
その方法、よろしくお願いします。
- 706 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 13:18:40
- ホームページはここ
http://www.harding.motd.ca/autossh/
ここにRHEL2用のパッケージがある。
http://dag.wieers.com/packages/autossh/
- 707 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 14:11:25
- >>706
ありがとうございます。早速、autosshを試してみます。
一応、この検証としてはSSHサーバとSSHクライアントは何も変わらなくて
SSHクライアントに接続しているテストマシン(三日間発生してない)から
別の環境のマシン(2時間ほどで発生しますが、データの送受信量によって
発生頻度が変わります。)に変えたらこの問題が発生してます。
- 708 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 14:17:02
- >>694
ps で調べるなんてムダな気がするのは俺だけ?
これだけでええやん。
#!/bin/bash
while true
do
ssh (オプションなどは省略)
sleep 20
done
- 709 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 14:27:10
- >>708
これは、多分、無理だと思います。
SSHサーバー側で、もんく、ありましたので....
- 710 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 14:29:37
- >>709
なんで無理なん?
- 711 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 14:39:29
- >>710
そうです。始めはこれと似た方法でしましたが、SSHサーバー側で
なぜ、毎回、起動するのはいやだということでしたので....
- 712 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 14:43:31
- >>711
言ってることがよくわからないんだが。
>>708 で ssh をフォアグラウンドで上げれば
>>694 と変わりないじゃん。
- 713 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 14:54:02
- ps コマンドで生死の検査をする方がずっと危険度が高い気がするのだが。
その「SSHサーバ運用者」がアレな気も。
- 714 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 14:54:50
- >>712
>>>711
>言ってることがよくわからないんだが。
こちは、SSHサーバは別の会社で管理するということです。
>>708 で ssh をフォアグラウンドで上げれば
たれかが、CTRL+Cかを押すと切れるはずですね。
>>694 と変わりないじゃん。
プロセス検索で、あったら、とりあえず再起動するところはとおらないはずです。
- 715 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 14:58:46
- だめだ、話が通じない。
ここで聞くより
自分の母語のコミュニティで聞いた方がいいんじゃないか?
- 716 名前:708 メール:sage 投稿日:2005/11/11(金) 15:03:07
- >>714
だから、 >>708 をバックグラウンドで動かせばいいじゃん。
と思ったが、 autossh でも使った方がいろいろ面倒が無くていいか。
- 717 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 15:15:33
- >>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
- 718 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/11(金) 15:20:51
- >>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
- 719 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 21:04:28
- 死んでたら自動的に立ち上げたいの?
つ daemontools
- 720 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 21:08:45
- >>719
絶対出てくると思った。
俺は我慢してたが。
- 721 名前:719 メール:sage 投稿日:2005/11/11(金) 21:25:46
- >>720
ごめんねえ
「そろそろ来るころだと思ったよ」ってやつ?
我慢すると体によくないよ。
- 722 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/11(金) 22:01:17
- inittab に書いとけ。
- 723 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/13(日) 10:57:14
- 漏れ実際に daemontools 使って ControlMaster 立ち上げてまふ。
けど、たまにソケットファイルのロックにひっかかって死んでることが...
- 724 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/13(日) 18:10:13
- 何がしたいか、よくわからんが、-Nでいいんじゃねーの?
- 725 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/13(日) 19:44:26
- 「ソケットファイルのロック」って何?
- 726 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/13(日) 20:59:06
- >>725
プロセスが死んだ時に ControlPath に書いたソケットファイルが残っちゃうってはなし。
- 727 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/14(月) 15:00:47
- ttp://www.zelow.no/floppyfw/download/contrib/ssh/
ここのパッケージを使って
floppyfw で sshd を動かすところまではできたのですが,
パスワードなしでのログインができません.
クライアントの公開鍵をサーバの /root/.ssh/authorized_keys
に追加しているのですが, 鍵認証に失敗してパスワード認証しようとします.
パスワードなしでログインできるようにするにはどうすればいいでしょうか?
ログは以下のようになっています.
クライアント側ログ
$ ssh -v root@192.168.20.19
[snip]
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /home/user/.ssh/id_dsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
root@192.168.20.19's password:
- 728 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/14(月) 15:01:34
- >>727
サーバ側ログ
# sshd -d
[snip]
debug1: userauth-request for user root service ssh-connection method none
debug1: attempt 0 failures 0
Failed none for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 2 failures 2
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method keyboard-interactive
debug1: attempt 3 failures 3
debug1: keyboard-interactive language devs
Failed keyboard-interactive for ROOT from 192,168,20,1 port 3970 ssh2
- 729 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/14(月) 15:52:59
- 〜>>726
皆さんの協力、ありがとうございます。
この起動セールスクリプトは問題ないです。
この問題は急ぎやらなければできないので、結局はCronTabに登録して、1分ごと
にチェックするようにして、解決しました。今のところ、元は30分〜4時間で
一回、この起動セールスクリプトが切れたんですが、10時間ほどだったんですが
発生してなかったです。よい解決方法とは、なりませんが......
- 730 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/20(日) 17:35:33
- どこで聞くべきかよくわからないので、ここで質問させてください。
Vine3.2で sftp サーバーを構築しています。
hpn-ssh のパッチを当てると高速化が可能であると聞いて、以下の手順で導入してみました。
1) もともと入っていた ssh は apt-get remove ssh で削除
2) openssh-4.2p1.tar.gz をDLして解凍
3) hpn-ssh-4.2p1-hpn11.diff のパッチを当てる
4) $ ./configure --prefix=/opt --sysconfdir=/opt/etc/ssh
5) $ make
6) # make install
7) /etc/rc.d/init.d/sshd の中の sshd 等の場所を prefix で指定したものに書き換え
8) 再起動
これでとりあえず接続は出来るようになったのですが、いかんせん速度が遅いまま
なのです。入れ替える前は 200-300kB/s だったのですが、入れ替え後もほとんど
同じ数値です。hpn-ssh を有効にするには何かオプションの指定のようなことが必要
なのでしょうか? それとも PentiumIII 1GHz ではこのくらいの速度が限界なのでしょ
うか? ちなみに ftp 接続では 8-10MB/s 程度の速度が出ています。
- 731 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/23(水) 12:30:06
- >何かオプションの指定のようなことが必要
知らないが、パッチを嫁ばわかるだろ。
- 732 名前:名無しさん@お腹いっぱい。 投稿日:2005/11/24(木) 13:22:03
- ssh の Remote Forwarding が下のような警告で失敗するのですが,
1023以下のポートの転送はできないのでしょうか?
$ ssh -N -v -R80:localhost:80 remote
...
debug1: Remote connections from LOCALHOST:80 forwarded to local address localhost:80
debug1: Entering interactive session.
debug1: Remote: Server has disabled port forwarding.
debug1: remote forward failure for: listen 80, connect localhost:80
Warning: remote port forwarding failed for listen port 80
- 733 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/24(木) 13:30:42
- 特権ポートだけど root ならできるんじゃないの?
- 734 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/24(木) 16:36:39
- >>733
root でも Remote Forwarding で特権ポートは使えませんでした.
サーバ側で root 権限で Local Forwarding ならいけるようです.
remote# ssh -N -v -L80:localhost:2080 localhost
client$ ssh -N -v -R2080:localhost:80 remote
のように二つ動かすしかないんでしょうか.
板違いになりますが, こういうことは iptables で可能なんでしょうか?
- 735 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/24(木) 16:48:09
- iptablesなら可能だね
- 736 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/24(木) 17:03:37
- >>734
ちゃんとサーバー側の root で接続してる?
$ ssh -N -v -R80:localhost:80 -l root remote
- 737 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/24(木) 20:03:54
- >>735,736
すいません. なんかボケてたみたいです.
もう一度確認したら root なら Remote Forwarding でできました.
でもこれでは全部 localhost からのアクセスになってしまって
.htaccess でアクセス制限できないんですね.
ディレクトリごとの制御とかはできなくなりますが,
サーバ側の iptables を併用するしかなさそうです.
- 738 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/25(金) 15:08:30
- いまがver3を使っているのですが、問題ありませんか?
- 739 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/25(金) 15:35:51
- 自分で判断できないのは問題ですね。
- 740 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 00:27:37
- 自由に使用できるサーバを、
友人に公開しようと思っているのですが、
IP アドレスが一つしかありません。
WEB サーバの方は、delegate を使用してなんとかなるのですが、
SSH も delegate を使用できますでしょうか。
ちなみに、JAIL 環境でプライベート IP が振ってあります。
あと、DNS は書いてあります。
ポートをずらして公開するのが手っ取り早いでしょうか。
MOUNT="/* www.example.com1* vhost=-www.example.com1" \
MOUNT="/* www.example.com2/* vhost=-www.example.com2" \
MOUNT="/* www.example.com3/* vhost=-www.example.com3" \
- 741 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 00:31:58
- 友人の発信元IPアドレスを見てなんとかする方法もあるけどポートずらすのがいいと思う。
- 742 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 00:46:57
- 22 番を外部公開してても、
暗号鍵認証でのみ許可してれば
セキュリティホール以外で進入されることは
ないと考えてよいですか?
- 743 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 01:01:26
- >>742
いいえ
- 744 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 01:43:24
- >>742
公開鍵ではなくて?
- 745 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 02:05:14
- >>744
そんなことは知っています。
どなたかわかる方、お願いしますm(_ _)m
- 746 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 02:10:20
- >>742
絶対はないです。
- 747 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 03:17:18
- セキュリティに関して「安全ですか?」と聞けば答は常に「いいえ」。
その質問は一番大きなセキュリティホールが質問者の頭に開いている事を示しているから。
そして>>745のレスはおまえが人間のクズである事を示しているので、
もうマトモな解答は付かないだろう。
- 748 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 03:28:59
- LANケーブルをひっこ抜きました。
無線LANもserialも繋がってません。
これで絶対安全ですか?
- 749 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 06:25:14
- コンソールがのこっとる
- 750 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 08:10:41
- テンペストで画面もまる見え
- 751 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 08:23:23
- 引っこ抜くなら電源ケーブルだな
- 752 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 10:06:41
- 透視でHDDの中身もまる見え
- 753 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 11:55:09
- 円盤引っこ抜け
- 754 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 11:57:20
- 昨日までログインできてたんだけど、今日になってできないようになった。
ssh -vvvvv me@myhost すると、id_rsa読む所で、
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
こんなん出るんだけど、これって何が起こったの?
- 755 名前:742 メール:sage 投稿日:2005/11/30(水) 13:22:47
- >>743,744,746,747
どうもありがとうございました。
ソーシャルハッキングなどを想定してるので「いいえ」ということでしょうか。
少なくともパスワード総当りでは通れないですよね。
>>745 は自分ではないのですが、
不愉快な思いをさせて失礼しました。
- 756 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 13:57:06
- >>754
> ssh -vvvvv me@myhost すると、
v は三つまで。
> こんなん出るんだけど、これって何が起こったの?
その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
てるとこなんで、ログインできない理由とは無関係。
- 757 名前:754 メール:sage 投稿日:2005/11/30(水) 15:12:39
- > その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
それは読めば判るんだけど、これって昨日まで使ってたRSA 鍵なんだけど。
ログインできない最後の理由は判っていて、RSA鍵が読めない為に鍵認証
できなくて、パスワード認証は禁止してるからなんだけど。
どうしてRSA鍵が読めないなんて言い出すのかが判らんのよ。
パスワード認証有効にする訳にもいかんし、ssh-keygen -t rsa で鍵作りなおしても
やっぱり読めないとぬかしやがるし。
パーミッションも確認したけど、.ssh/は700で .ssh/id_rsa も600になっとる。
ワケワカラン。
- 758 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 15:15:08
- >>757
サーバ側の設定が変わったってことはないの?
- 759 名前:754 メール:sage 投稿日:2005/11/30(水) 15:45:08
- >>758
昨日はssh関係いじった覚えはないんだけど。
そもそも、鍵が読めないのとサーバの設定になんか関係あるの?
- 760 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 15:47:42
- >>754
サーバ側でログ確認した方がいいなじゃない?
それか -d とか。
- 761 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 16:52:40
- >>754
例えば、Protocol 2 になると rsa1 が使えなくなったりするわけですよ。
サーバ側の管理を >>754 がやってるかどうかも俺らは聞いてないし、
適切にアドバイスできるとでも思ってるんか?
「ログ見ろ」としか言えねぇよ。
- 762 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/11/30(水) 16:57:45
- strace使うとかね。
- 763 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/12/08(木) 00:44:53
- sshでリモートログインした時に
~/.ssh/rc
から
exec zsh
で zsh を起動させたいんだけど起動しない。
sh ~/.ssh/rc
としてやると普通に起動するんだけど…。
もしかしてこれって仕様?
- 764 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/12/08(木) 01:34:49
- >>763
sshdからpopen(3)されるだけなので対話的プログラムは実行できない。
- 765 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/12/10(土) 02:08:14
- NAT 配下のマシン(A)にアクセスさせたく、グローバルIPをもっている
マシン(B) に対して
ssh -R 8888:localhost:22 hostB
とやりました。この時、hostB にログインして ssh -p 8888 localhost
をすると hostA に接続できるのですが、この hostA, hostB とは関係のない
hostC から ssh -p 8888 hostB しても hostA には接続できません。
これを実現させるのにはどのような設定が必要でしょうか?
- 766 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/12/10(土) 02:43:12
- >>765
sshd_configのGatewayPorts
- 767 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/12/10(土) 09:21:21
- >763
>It must not produce any output on stdout; stderr must be used instead.
とか書いてあるし、~/.ssh/rc でやるのは無理があるんじゃない?
ログインシェルの初期設定ファイルで環境変数を見て SSH_* が設定されていたら zsh にとばすとか。
っていうか ssh -t example.com zsh だとあかんの?
- 768 名前:名無しさん@お腹いっぱい。 投稿日:2005/12/19(月) 07:47:20
- すみません
sshクライアントからviを起動すると未確認のエスケープシーケンスがある。
というエラーが出てしまい、ファイルの編集ができません。
sshからテキストファイルを編集する何か良い方法はないものでしょうか?
- 769 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2005/12/19(月) 08:00:06
- ターミナルを変更したら、エラーが無くなりました。吊ってきますorz
- 770 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/13(金) 16:46:47
- 保守
- 771 名前:名無しさん@お腹いっぱい。 投稿日:2006/01/25(水) 15:50:08
- Debian sargeでOpenSSH 3.8.1p1, OpenSSL 0.9.7eを使ってsshサーバを立てようとしています。
あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?
- 772 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/25(水) 16:22:10
- キター ヽ(゚∀゚)ノ
CVE-2006-0225 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0225
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2006/01.html#20060125_scp
tun(4)のサポートなんて後でイイから、さっさといろんなバグ潰した4.3を
出せってば :-)
1週間後に出すぞってメールで流してから何週間経っているんだと小一時間(ry
- 773 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/25(水) 22:01:50
- >772
scp 'foo:bar*' .
とか便利に使ってたんだが、バグだったのか…
- 774 名前:名無しさん@お腹いっぱい。 投稿日:2006/01/25(水) 23:58:08
- >>773
そーいうことではなくて、記号や空白が名前の一部に入っているファイル
が問題視されているのですが。
たとえば
scp 'foo:bar*' .
であれば、foo というマシン上に
bar foo
bar*
といったファイルがあるとうまくいかないと。
そもそもが、
http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00062.html
には
local to local and remote to remote copy with scp
と書いてあるわけで、
foo という「リモートマシン」から「ローカル」
という時点で、既に今回の対象外な気がしますが。
- 775 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/26(木) 01:45:25
- >774
OpenSSH 情報の http://www.unixuser.org/%7Eharuyama/security/openssh/20060125.html に
> system()関数を用いているためにリモートホストでもシェルによるコマンドの解釈が行われます。
> このため適当に細工を施されたファイル名をコピーすると、リモートホストでユーザの権限でコマンドが
> 実行されます。
なんて書いてあって、リモート側でsystem()関数によるファイル名展開しないように
対策されるのかと勘違いしてました。
- 776 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/26(木) 13:51:52
- >>771
> あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
> 接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?
OpenSSH だと config file を変えて sshd 二つ上げとくしかないん
じゃなかろか。
ちなみに $sh.com 版なら HostSpecificConfigって機能を使うと sshd
一つで client host 毎に認証方式を変えることが可能。
- 777 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/26(木) 15:53:09
- そだねえ。片方をポート10022とかに上げといて、
ソースアドレスによってはそちらにリダイレクトするようにしたら、
sshdが2つなのをユーザに意識させずに切り替えることもできそう。
pfなら
rdr on fxp0 proto tcp from <allow_password_address> to self port ssh -> $myaddr port 10022
とかになるのかな。
- 778 名前:771 メール:sage 投稿日:2006/01/26(木) 20:41:25
- >>776-777
前の代のサーバはssh.com版を使ってたみたいで、HostSpecificConfig
を使って上記のような設定をしていたので、なんとかOpenSSHで
出来ないものかな、と思いましたが、2つ立ち上げるしかないんですね。
ありがとうございました。
- 779 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/01/26(木) 21:15:43
- >>775
間違った記述をしていたので修正しました。
- 780 名前:773 メール:sage 投稿日:2006/01/28(土) 04:18:01
- >774
問題の本質は
> シェルによるファイル名の解釈が2度おこなわれる
事なので、local-to-localやremote-to-remoteのコピーだけの問題じゃない気がしてきた。
remote-to-local、local-to-remote でも、localでのシェルによる解釈、
remoteでのscp起動の時にもシェルを経由するわけだし。
その意味で、OpenSSH 情報の元の記述は的外れでなかった気がしてきた。
なわけで、今回の修正だけではまずいんじゃないかなあ。
- 781 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/01/28(土) 09:07:30
- >>780
パッチをみたところ、local-to-localとremote-to-remoteでの処理での
system()が置き換えられていました。
scp.cのそれ以外の部分ではsystem()は使われていません。
OpenSSH情報の記述はさらに直します。
- 782 名前:773 メール:sage 投稿日:2006/01/28(土) 21:06:24
-
>781
system()を使ってなくてもやばいんじゃないかって事です。
- 783 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/01/29(日) 01:24:30
- ためしてみたところ、
% scp remote:\;/usr/bin/yes .
とすると
remoteで/usr/bin/yes が起動しました。
- 784 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/01/29(日) 01:33:08
- % scp remote:\;/bin/sleep\ 1000 .
なんてのもいけますね。
- 785 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/01/29(日) 01:40:59
- local-to-remoteでも
% scp foo remote:.\;/bin/sleep\ 1000
としてコマンドを実行できました。
local-to-localやremote-to-remoteと同様の問題があると考えていいように思えます。
明日朝から用事があるので一旦終了します。
- 786 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/01/29(日) 17:22:47
- rsyncでも
% rsync foo remote:.\;sleep\ 1000
や
% rsync remote:foo\;sleep\ 1000 .
でremoteでのコマンド実行ができました。
ファイル転送においてもリモートでコマンドを実行する枠組を利用している以上
利用者が気をつけるしかないかもしれませんね。
- 787 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/29(日) 17:55:02
- sshdはコマンドを実行するときsh -cで実行しているけど、shを使
わずに直接実行してほしい。shを使いたかったら明示的に書けばい
いだけ。
参考
http://pc8.2ch.net/test/read.cgi/unix/1131026501/984
- 788 名前:773 メール:sage 投稿日:2006/01/30(月) 01:08:35
- OpenSSH情報では
> local-to-localやremote-to-remoteとは異なり実際のファイルのコピーによって
> コマンドが実行されるわけではありません。
と修正されてたけど、
% ls
remote:;/usr/bin/yes
% scp * foo
とか。
% ls
remote:*
これも意図しないファイルをコピーされてしまうような。
OpenSSH FAQ 2.13とか、ほっといてはいけなかったのかな。
>787
確かにその通りだと思うんだが、変更したらSSHのRFCと矛盾しないかな?
- 789 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/30(月) 01:35:38
- >>787
参考が読めない
おれにも●売ってくれよ。10円で。
- 790 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/30(月) 01:37:01
- >scp 'foo:bar*' .
は今後使えなくなるの?
- 791 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/30(月) 02:20:09
- >>788
> % ls
> remote:;/usr/bin/yes
これは無理w
> % ls
> remote:*
これは仕様上仕方ないんじゃないか。
$ scp * .
ssh: remote: Name or service not known
- 792 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/30(月) 02:33:14
- >>789
984 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2006/01/20(金) 22:59:14
スレ違いだが、
sshは引数をスペースを間に入れて結合した文字列をsshdに送る。
sshdは
argv[0] = shell
argv[1] = "-c"
argv[2] = 送られた文字列
のように実行する。
なので'1 2 3'というファイルを指定するためには
ssh localhost touch "'1 2 3'"
のように''をつける必要がある。
シェルを経由して実行する場合は引数(の数と内容)を保ったまま渡
すのは無理なのかもしれんが。
- 793 名前:773 メール:sage 投稿日:2006/01/30(月) 02:35:42
- >791
確かにこのままだと駄目だった。
が、path通っているのであれば、こっち
> % ls
> remote:;yes
だったら。
- 794 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/01/30(月) 09:14:19
- >>793
% ls
remote:;yes
% scp * foo
でremoteでyesが実行されますね。
OpenSSH情報の記述を訂正します。
- 795 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/01/30(月) 10:32:33
- >>794
> % scp * foo
hostname:pathname の形式で指定する以上、たぶんどうしようもない。
scp ./* foo:bar/
なら問題ない。
- 796 名前:773 メール:sage 投稿日:2006/01/31(火) 01:22:49
- >795
リモートでコマンド実行の方は危険な記号をエスケープするなり
して対処するのかなあ。
で、hostname:pathname の hostname: の部分を処理する前に、
hostname:pathname がファイルとして存在しているか確認して、
存在していた場合、ユーザーに確認 or エラー吐いて失敗とか。
# -B オプションとか付いてたら確認せず実行とか。
とにかく、意図したファイルのコピーが失敗するだけならともかく、
意図しないファイルのコピーが実行されてしまうのは避けた方が無難だと
思う。
- 797 名前:773 メール:sage 投稿日:2006/01/31(火) 01:37:42
- >791
>> % ls
>> remote:;/usr/bin/yes
>これは無理w
こんなの思い付いた。
% echo */*/*/*
remote:;/usr/bin/yes
- 798 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/01(水) 17:51:27
- PuTTYgen使って公開鍵作るとき[Public key for pasting into OpenSSH authorized_keys2 file]欄の
文字列をコピーしてメモ帳に貼り付ける、と紹介してるサイトがあるけど
【Save Public key】ボタンを押して保存じゃ駄目ですか?
わざわざ面倒なことする理由って何ですか?
- 799 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/01(水) 17:58:44
- ボタンが無い時代に書かれた記事の孫引きだからだろ
- 800 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/01(水) 19:57:54
- >>798
形式が違う。
- 801 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/01(水) 23:41:18
- OpenSSH 4.3/4.3p1 リリース
- 802 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/02(木) 01:48:07
- >798
保存した物はssh-keygen -X -fで変換しないと~/.ssh/authorized_keysの形式に成らないよね
- 803 名前:798 メール:sage 投稿日:2006/02/02(木) 02:03:23
- >>799
自分もそうじゃないかと思いました。
ボタンがあるのにコピペするのは昔の名残なのかと。
しかしどうしても気になり、質問してしまいました。
>>800、>>802
!!、そういうことなんですか!ありがとうございます!!
モヤモヤが晴れました。御三方ありがとうございました。!
- 804 名前:名無しさん@お腹いっぱい。 投稿日:2006/02/02(木) 06:05:35
- >>801
4.3(p1) キター ヽ(゚∀゚)ノ
- 805 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/02/03(金) 18:57:02
- 4.3p1はconfigureまわりに問題があるので、4.3p2がじきにでるようですね。
>>773- 以降で議論したscp の local-to-remote, remote-to-local のコマンド挿入の
問題について、セキュリティの問題として openssh@openssh.com に連絡しようと思います。
(なぜ openssh@openssh.com かは ttp://www.openssh.com/report.html を参照)
反対意見がなければ、日曜か月曜に送ります。
メールの内容は長いので
ttp://unixuser.org/%7Eharuyama/security/openssh/tmp/openssh_scp_command_injection.txt
におきました。
- 806 名前:773 メール:sage 投稿日:2006/02/03(金) 22:17:07
- >788
> % ls
> remote:*
> これも意図しないファイルをコピーされてしまうような。
こっちの報告はどうしましょう?
>791
> これは仕様上仕方ないんじゃないか。
ってのも分かるのですが、
さらに
% ls
foo@remote:*
とかにして、
foo@remote% ls -l
rwsrwsrwx 1 foo foo 100 2006-02-03 03:55 bar
とかが
% scp * .
とかでコピーされちゃうとまずそうなんですけど。
実験したら -p オプション付けなくてもsuid bitコピーされちゃいましたし。
# umask の設定でsuid bit無効化出来ましたっけ?
後、
% ls
-p foo
とかで、予期しないオプションをremoteのscpに与える攻撃とか思い付いたのですが。
# 組み合わせや設定次第でやばげな事が出来そうです。
# remote:-Sfoo とかでremote-to-remoteになったときとか。
対策するなら796で書いた事ぐらい?
- 807 名前:773 メール:sage 投稿日:2006/02/03(金) 22:25:54
- rsyncの開発元にも別に送った方がいいかもしれません。
# scp や rsync の実装の問題でしょうし。
- 808 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/02/03(金) 22:47:52
- >>806-807 に対応して
ttp://unixuser.org/%7Eharuyama/security/openssh/tmp/openssh_scp_command_injection.txt
を上書きしました。
・Subjectを scp/rsync Command Line Shell Command Injection in the case of local-to-remote and remote-to-local copies & scp/rsync user-unintended file copy with a malicious filename に。
・rsync-bugs@samba.orgにも送るという文章を追加
・次の文章を追加
In addition, This example (using a malicious filename)
----------
% ls
remote:*
% scp * .
(or rsync -e ssh * .)
----------
causes an user-unintended file copy.
- 809 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/02/03(金) 22:57:20
- オプションを利用すると、
% ls
-S ls a
% scp * remote:
ls: No such file or directory
lost connection
とローカルホストでプログラムを実行させることもできますね。
(rsyncでも-e で同様のことができるでしょう)
送るまでにもっと例を追加します。
- 810 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/03(金) 23:01:52
- 日本の恥だから止めんか!
- 811 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/03(金) 23:11:11
- 春山さん乙
- 812 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/02/03(金) 23:16:03
- >>809
% ls
-Sls a
% scp * remote:
ls: invalid line width: ardAgent no
lost connection
でした。
- 813 名前:名無しさん@お腹いっぱい。 メール:これだけしかいえないがsage 投稿日:2006/02/03(金) 23:22:13
- 乙
- 814 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/03(金) 23:27:22
- そんなもの脆弱性でもなんでもないだろ。
頼むからやめてくれ。どうかしてるぞ。
- 815 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/03(金) 23:28:11
- どちらかというとシェルの問題でない?
- 816 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/03(金) 23:37:00
- バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
普通のバグリポートを送るだけで充分だ。
これはおかしな動きだと疑問に思ったら真っ先に本家のMLに聞いてみるべきなのに。
あんたこんな所にしか相談出来る相手が居ないのか?
ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
- 817 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/03(金) 23:41:10
- >ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
正直同感
- 818 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/02/03(金) 23:46:47
- >>805 にて
>反対意見がなければ、日曜か月曜に送ります。
と書きましたので、送るのは中止します。
ここで相談しているのは、
773氏の寄与が大きいので了解を取るべきと考えたからです。
- 819 名前:773 メール:sage 投稿日:2006/02/04(土) 00:12:45
- 私自身はセキュリティの問題として送ってもらう事に賛成です。
自分自身でバグリポートをさっさと送らなかった事には謝罪します。
しかし、
>816
> バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
と言うのは疑問です。
元の CVE-2006-0225 が任意のコマンドを実行される脆弱性で修整されるべきなら、
今回の物もssh自身の問題だけではないかもしれませんが、任意のコマンドを
実行してしまうもので「脆弱性ではない」とは言い切れないと思います。
- 820 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/04(土) 00:38:25
- >>809
少なくとも、これに関しては scp には何の罪はない。
% touch -- -l
% ls *
これで ls -l が実行されるのは ls のせいではなくシェルのせいだ。
- 821 名前:春山征吾 ◆unIxUSernc メール:sage 投稿日:2006/02/04(土) 00:57:26
- >>820
そうですね。失礼しました。
- 822 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/04(土) 03:42:17
- なんかおもろい流れになっててワロスw
- 823 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/04(土) 15:26:34
- 的はずれなことを言っているのかもしれませんが、ポートフォワードで
離れた場所のLAN内にあるsambaサーバもしくはWindowsの共有にアクセスすることはできますか?
- 824 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/04(土) 15:30:09
- ssh?
- 825 名前:823 メール:sage 投稿日:2006/02/04(土) 16:51:29
- 例えば、ここの場合、
http://www.gcd.org/sengoku/docs/NikkeiLinux01-02/forward.ja.html
プロキシーサーバに接続することによって、LAN内のすべてのwwwサーバにアクセスできるようになりますが
これと似たことを、sambaでもできないかと考えているのですが。
- 826 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/04(土) 21:32:09
- 難しい
- 827 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/05(日) 00:34:30
- >>823
つ [SoftEther改めPacketiX VPN]
- 828 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/05(日) 01:35:04
- >>823
SEはライセンスがアレなので・・・
つ [OpenVPN]
- 829 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/05(日) 07:56:54
- ポート番号を指定できないWindowsが恨めしいと思ったw
- 830 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/05(日) 11:08:33
- >>823
きわものが似合いそうな823に
つ[zebedee]
http://rogiken.org/daemon/tips/smb_zbd.html
opensshってバインドするアドレスを指定できなかったんだよねぇ、たしか。
だから、いったん8139とかにバインドして、stoneでLoopbackアダプタに
バインドした気がする。
遠い昔のことでわすれた。。
- 831 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/06(月) 10:17:17
- >>823
望んでいるものかどうかわからないけど、
つ [ ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html ]
- 832 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/06(月) 16:58:10
- >>823
445ポートでうまくいかない?
- 833 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/07(火) 14:04:58
- SoftEther系がなんも考えずにできて楽だな
無料じゃないのがやだけど
- 834 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/07(火) 21:57:27
- >>833
無料じゃないの?
- 835 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/08(水) 01:09:06
- >>834
個人かつ非営利目的な場合のみ無料。
- 836 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/08(水) 01:45:58
- SoftEtherは作者がkittyでさえなければ...
道具に罪はないとは言うけれど、セキュリティに関わるものだけにちょっと。
- 837 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/08(水) 08:18:01
- ライセンスの更新画面土井よ
- 838 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/08(水) 15:45:08
- SSHのスレで作者のキティ度を云々するのはいかがなものか?
- 839 名前:名無しさん@お腹いっぱい 投稿日:2006/02/11(土) 17:35:31
- 4.3p2キター
ttp://www.unixuser.org/~haruyama/security/openssh/
にも出てるよ。
さすが春山さん早いねぇ。
- 840 名前:名無しさん@お腹いっぱい。 投稿日:2006/02/11(土) 20:27:48
- おいお前ら。FCの名作ソフト「いっき」のオンライン対戦するぞ!
↓
http://game.coden.ntt.com/games/ikki.html
King of Wands
http://game.coden.ntt.com/kingofwands/
- 841 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/11(土) 21:08:27
- lastlog直った
- 842 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/15(水) 23:49:32
- W-ZERO3 + Pocket PuTTYで外部からSSH接続できるんだけど
困った事に受信側のPocket PuTTYで日本語が全部文字化けしちゃうす。
誰か対策できた人おる?
- 843 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/17(金) 17:24:41
- >>842
うーん
速攻で設定直したから うちでは問題ないなぁ
- 844 名前:名無しさん@お腹いっぱい。 投稿日:2006/02/19(日) 17:18:14
- 圧縮を指定して接続しようとすると、エラーが出てしまいます。
- 845 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/19(日) 18:00:39
- このスレにはエスパーはいませんので、そこんとこよろしくです。
- 846 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/22(水) 11:32:13
- 現在の本スレ
Putty その2
http://pc8.2ch.net/test/read.cgi/unix/1084686527/l50
- 847 名前:名無しさん@お腹いっぱい。 投稿日:2006/02/22(水) 16:29:31
- http://www.laksmido.com/3090.html
ここにあるとおりに設定してみたのですが、依然として、
どちらからログインする際にもパスフレーズを求められてしまいます。
考えられる原因としてはどのようなものがあるでしょうか?
- 848 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/22(水) 16:33:08
- >>847
これ、情報古いよ。
もっとまともなとこ読め。
- 849 名前:848 メール:sage 投稿日:2006/02/22(水) 17:41:14
- ありがとうございます。
どのサイトに新しい情報が載っているでしょうか?もし教えていただければ幸いです。
- 850 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/22(水) 19:53:07
- ssh2でぐぐれ。
- 851 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2006/02/23(木) 02:57:08
- >847
パッと見で思い当たるところ。
.sshのパーミッション
~/.ssh/authorized_keysの中身
/etc/sshd_configの設定
あと、logは見た?
その辺を一通り確認すれば、何とかなると思う。
- 852 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/24(金) 08:55:27
- ssh -vでデバックとって曝せ。
- 853 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/24(金) 09:42:11
- デバックだってさ(*´Д`)
 ̄
- 854 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/24(金) 14:01:15
- CentOS 4.2
openssl 0.9.8a
zlib 1.2.1.2-1.2(RPM)
openssh 4.1p1
上記の環境で
# ./configure \
--with-tcp-wrappers \
--with-pam
# make
を行うと
/usr/local/lib/libcrypto.a(dso_dlfcn.o)(.text+0x321): In function `dlfcn_bind_func':
: undefined reference to `dlerror'
collect2: ld returned 1 exit status
make: *** [ssh] Error 1
とエラーになってしまいます。
そこで、直接 Makefile を編集して、
LIBS= に -ldl を追加して make を通しましたが、こういった手法しかないのでしょうか?
今回、普通に make が通らなかったことが疑問なのですが、その原因がわかる方はいらっしゃいますか?
- 855 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/24(金) 14:19:05
- さすが盗人CentOS厨はひとあじ違うね
- 856 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/24(金) 19:47:11
- 板違い。リヌクス板に逝け。
- 857 名前:名無しさん@お腹いっぱい。 投稿日:2006/02/28(火) 19:05:57
- sftpで日本語ファイルを扱えるようにする方法を教えてください
- 858 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 19:10:10
- >>857
「日本語のファイル名」を定義してください。
- 859 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 20:09:26
- また定義厨キタ。定義厨ウザイ。そんなの質問から読みとれるだろ。
- 860 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 20:27:34
- ( ゚д゚)ポカーン
- 861 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 20:40:12
- 質問も厨臭いが反応もすんばらすぃ
- 862 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 21:01:05
- >>857
俺のところでは特に設定なしで日本語ファイル名が使えてる。
もし日本語ファイル名が使えないなら、どううまくいかないのか
もう少し詳しく書け。
少なくとも、変なことしてなければ設定なしで使えるはず。
- 863 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 21:53:58
- >>859
読み取れたなら答えてあげてよ。
- 864 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 22:21:59
- >>857
UNIX側をsjis環境にして日本語はすべてsjisに統一する
コントンジョノイコ
- 865 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 22:31:10
- UNIX側をsjis環境にしてWindowsは日本語EUC環境にする。
これでおあいこじゃないか
- 866 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 22:50:10
- UTF-8 ・・・ そこは最後のフロンティア・・・
- 867 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 22:57:35
- >>863
すでに答えてるじゃん。
- 868 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/02/28(火) 23:02:04
- >>865
「UNIX側って??」
UNIX板なんだからUNIX以外のOSは無視でしょ。
オレのところはUNIXホストはすべてEUCで統一。
この状態でsftpで日本語ファイル名は問題なく使える。
- 869 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/01(水) 00:46:07
- 日本語ファイル名ではなく日本語ファイルだ
文字コード変換して転送とかそういうことじゃね
- 870 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/01(水) 00:55:51
- >>869
そもそも相手先で違う物に内容を改ざんするsftp
なら使わない選択を選ぶのが筋
- 871 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/01(水) 01:08:48
- filezilla+春山さんパッチ使っとけ
- 872 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/04(土) 01:43:45
- いつもできていたのに、今日SSHで接続しようとしたら
Read from remote host ***********: Connection reset by peer
となってしまって接続できなくなってしまいました。。
どうすればよいですか??
- 873 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/04(土) 01:55:51
- いくつか考えられる原因・・・
・単にメモリが無い。
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・おまいの居場所が無い。無残にもそれは管理者に消されたか
もしくは根のモノに。
・NICが腐った。
・共有ライブラリがぶっ飛んだ。
その他もろもろの理由でSSHは不調になる(全部経験したこと)
- 874 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/04(土) 02:06:49
- とりあえずWebminは繋がるんです。
メモリは
Mem: 459M Active, 327M Inact, 173M Wired, 39M Cache, 112M Buf, 6104K Free
です。(1G)
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・共有ライブラリがぶっ飛んだ。
これぐらいでしょうか。。
でもsshはちゃんと起動できるんです。停止も起動も出来ました。@webmin
- 875 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/04(土) 02:41:50
- /bin/cshが壊れたようでした。
お騒がせしました。
- 876 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/04(土) 02:59:18
- なんでそんなんが壊れるんだ
- 877 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/04(土) 06:30:17
- ハックられた?
- 878 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/04(土) 09:52:43
- >873-874
>貝が無残にも砕かれた。
>共有ライブラリがぶっ飛んだ。
これってクラッキング以外に原因考えるとしたら、hddのread write不良とか?
いずれにしても穏やかでないなぁ。
- 879 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/04(土) 15:29:16
- OpenSSHでクラッカー対策にグリーティングメッセージの
「SSH-1.99-OpenSSH_3.8.1p1」みたいなのを隠したいんですが、
これってソースから直さなければならないんでしょうか?
- 880 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/04(土) 15:37:05
- 隠しても対策にならんよ。
- 881 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2006/03/04(土) 18:20:49
- >879
とりあえず最新使っとけば?
>510-513みたいに
- 882 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/07(火) 15:40:06
- うむ。対策には成らんね。
とにかく22に繋いで試すって攻撃だし。いちいちバージョンチェックなんてしてない。
sshdがあぼーんしたときの裏口作りは重要。
% sudo /etc/rc.d/sshd restartして止めさしちゃう事も有る。
- 883 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/07(火) 23:28:58
- だぁね。
まぁせいぜい出来るのは、sshd_configの設定をぬかり無くする事と
Listen Portをウェルノウンなポート使わないとか、そぎゃんところですか。
- 884 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/08(水) 04:02:52
- 普通に、daemontools ですよ。
tcpserver で接続管理して接続できるIPアドレスを
限ればいい。
- 885 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/08(水) 04:17:06
- djb儲はdjbsshでも使ってろ
- 886 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/08(水) 09:46:31
- >>884
わざわざそんなん通さなくても libwrap でいいじゃん。
- 887 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/09(木) 04:29:50
- マエノ方面の香具師か。。。
- 888 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/10(金) 01:14:41
- 信者ってどこにでも居るね。
qmail/djbdnsの話題をされるとは思わなかった。ウゼー!
- 889 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/10(金) 01:24:24
- 普通にビルドしたらlibwrap使えるんだし、ネタにしかみえん。
- 890 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/10(金) 12:38:42
- >>886
http://cr.yp.to/qmail/venema.html
- 891 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/10(金) 12:57:59
- >>890
それが何?
- 892 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/10(金) 13:36:37
- 信者は怖いね。
- 893 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/10(金) 22:00:05
- OpenBSD + OpenSSH + djbdns + qmail + OpenNTPD。これ最強。
- 894 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/11(土) 00:42:17
- さすがにウェブサーバーは入れないかww
- 895 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/11(土) 03:17:56
- fnordとかいれてたりして。
節操無さ過ぎwww
- 896 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/12(日) 12:17:41
- いろいろなユーザー名でログインを試みようとした形跡があるのですが、
このようなアタックを防ぐにはどうしたらよいのでしょうか?
同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
- 897 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/12(日) 12:20:44
- >>896
libwrap や FW などで
必要なとこ以外からのアクセスは禁止するようにする。
根本的解決ではないが
別ポートで sshd を上げると軽減するという話もある。
- 898 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/12(日) 12:24:47
- >>896
897の大作に加えて、sshd_configでログイン出来るユーザを制限しておく。
パスワード認証を許可しない。
信用出来ないユーザにシェルアカウントを与えない。
>同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
俺はdenyhostsを使っている。
- 899 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/12(日) 21:18:20
- 犬糞ならiptablesのburst機能使えば近いことはできる。
他のOSでも同様のことができるんじゃないかな。
- 900 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/13(月) 00:51:31
- >>896
ttp://www.musicae.ath.cx/diary/?200506c&to=200506272#200506272
我が家ではここの設定をそのまま使用してる。
パスワード認証も切ってるけど。
- 901 名前:900 メール:sage 投稿日:2006/03/13(月) 01:21:19
- 認証成功でもカウントされちゃうけどね。
- 902 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/13(月) 09:44:03
- >>896
前にここにも書いたけど、うちにもすげー来る。
オレはswatchでlogを監視してhosts.denyに追加するようにしてるよ。
- 903 名前: ◆TWARamEjuA メール:sage 投稿日:2006/03/13(月) 22:17:19 BE:3485748-#
- やっぱりログ監視だよなぁ。。。
今度の休みにやろっと。
- 904 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/13(月) 22:40:56
- ログの監視もいいが、必要なところ以外からの接続は拒否した方がいいと思う。
sshdにアクセスされている時は、外向きのアクセスが不安定になっている気が
する。ルーターがヘタレなせいかもしれないが。
- 905 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/13(月) 23:21:49
- もう>>896氏は見ているかもしれないですが…、
>>896
http://www.koka-in.org/~haruyama/ssh_koka-in_org/200/250.html
以降のスレッドを見るヨロシ。
http://www.koka-in.org/~haruyama/ssh_koka-in_org/200/251.html
とかね。
- 906 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/15(水) 20:35:23
- きてるきてる
203.241.56.142から5回ずつ朝鮮。
- 907 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/15(水) 20:39:00
- >>904
不安定にみえるのは、機器やネットの処理能力をアタックに食われているだけかも。
- 908 名前:名無しさん@お腹いっぱい メール:sage 投稿日:2006/03/15(水) 21:03:44
- 俺もそう思う。
前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。
- 909 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/15(水) 22:26:27
- >>907-908
特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。
- 910 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/15(水) 22:46:33
- >>909
ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。
- 911 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/15(水) 23:06:28
- ミドルクラスPC + NIC二枚挿し + OpenBSD で「見えない高速firewall」とか。
- 912 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/15(水) 23:54:07
- アッタック
- 913 名前:名無しさん@お腹いっぱい。 投稿日:2006/03/16(木) 04:18:46
- >>912
汚れが落ちる。
- 914 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/16(木) 13:39:42
- アタタック
- 915 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/16(木) 14:18:41
- こっちのアタックは服の汚れを落とす
ttp://www.kao.co.jp/attack/
こっちのアタックはエンジンの汚れを落とす
ttp://web.kyoto-inet.or.jp/people/macchann/hiroshi/X1.html
- 916 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/16(木) 18:32:46
- (´・ω・)
- 917 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/17(金) 10:35:52
- 使える科技庁は国によって違うのですか?
- 918 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/18(土) 21:21:50
- >>917
国によって組織の形態や名称が違うのは間違いありません。
- 919 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/19(日) 02:50:15
- >>194-
あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます?
読んでて思ったんですが、
1.ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
2.クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
3.鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればOK。
みたいな流れではだめ?
ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。
ソースや仕様を嫁と言われそうですが...
- 920 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/19(日) 08:09:21
- ソースや仕様を嫁
- 921 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 09:01:25
- 2GB以上のファイルをscpで転送する方法はないのでしょうか?
- 922 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 09:42:09
- >>921
アップロード:
ssh remote 'cat > file' < file
ダウンロード:
ssh remote cat file > file
でいいのでは?
- 923 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 10:15:44
- >>921
scp でできなかったっけ
- 924 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 13:01:12
- 2GB以上のファイルの扱いはOSに依存するから。
- 925 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 13:04:46
- >>924
ファイルシステムじゃないの?
- 926 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 13:50:57
- なんかその辺に依存するから。
- 927 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 15:25:51
- 「環境に依存する」でいいじゃんw
- 928 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 17:07:57
- scpでFC5のDVDファイルを転送したところ、ちょうど2048kBで止まってしまいました。
結局wgetで取得したのですが。
- 929 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 17:10:01
- >>928
たった2048kBで止まったのなら、ネットワークの断線とか、他の原因と思われ。
- 930 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 20:47:47
- >>402
私もそれが発生してました。(Windows XP SP2+Athlon 64)
DEPの無視対象にWinSCP3.exeを入れたら直ったみたです。
- 931 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 20:52:26
- >>921-928
いや、2Gってintがオーバーフローするのでそれをきちんと考慮してないソフトがへくる
というのは結構ある。 家にビデオサーバーを設定して2Gを超えるファイルが普通の
環境で色々やったらサーバ(Debian 3.0)、クライアント(Win)側で色々問題が
あった。 例えばapache 1.4が2G以上のファイルを上げることが出来ないとか
IE, Firefox内蔵のFTPクライアントがだめだとか。 (WinのコマンドラインのFTPは
okだった)。
だからこれはscpの実装の問題である可能性大。
- 932 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 20:56:15
- ヒント: 2048kB = 2MB
- 933 名前:931 メール:sage 投稿日:2006/03/22(水) 22:57:08
- >>932
>>921=928 だと思うけど最初に2GBって言ったから >>928の2048kbは2048MBの
間違いと思われ。
- 934 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/22(水) 23:11:31
- 思い込みで答えちゃいけないよ。
- 935 名前:923 メール:sage 投稿日:2006/03/23(木) 03:01:42
- >>931
実際試すとうまくいくんだよ。環境は Debian GNU/Linux 3.1, ext3fs
$ dd of=vip seek=8192 bs=1048576 count=0
読み込んだブロック数は 0+0
書き込んだブロック数は 0+0
0 bytes transferred in 0.000629 seconds (0 bytes/sec)
$ ls -l vip
-rw-r--r-- 1 hoge hoge 8589934592 2006-03-23 02:52 vip
$ scp vip remote:/tmp
vip 100% 8192MB 26.7MB/s 05:07
$ ssh remote ls -l /tmp/vip
-rw-r--r-- 1 hoge hoge 8589934592 Mar 23 02:57 /tmp/vip
- 936 名前:931 メール:sage 投稿日:2006/03/23(木) 04:46:31
- >>935
いや、だからそれはちゃんと対処したバージョンのscpだからであり、>>921が使ったバージョンが対処してない
実装なんじゃない? statの代わりにstat64を使うとか、2G以上のファイルを扱うにはわざわざしなければ
ならないことがあるんだから。
- 937 名前:923 メール:sage 投稿日:2006/03/23(木) 11:54:13
- >>936
ソース見ればわかるが _FILE_OFFSET_BITS, _LARGE_FILES などを定義するだ
けだよ。OpenSSH であれば、対応したのはかなり前の話。ChangeLog に以下の
ように書かれてる。
20010925
- (djm) Add AC_SYS_LARGEFILE configure test
19991111
- Fix integer overflow which was messing up scp's progress bar for large
file transfers. Fix submitted to OpenBSD developers. Report and fix
- 938 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/24(金) 19:16:08
- おれはとりあえず rsync 使うよ。中断しても損した気分にならないし。
- 939 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:2006/03/26(日) 23:34:58
- Winscp3で質問があります。
サーバ側がcygwinでsshしてるですが、
winscpでサーバにアクセスすると、rootがcygwinを
インストールしたディレクトリ、D:\cygwinの下なんですが、
アクセスしたい場所が、Dドラ直下にあるんです。
表示されているrootから、ひとつディレクトリをあげるって
できるんでしょうか?
- 940 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/26(日) 23:43:47
- cygwinの問題だろ
- 941 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/27(月) 00:36:45
- >>939
cd /cygdrive/d
- 942 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/27(月) 09:28:54
- BUGTRAQにTheo様降臨。
- 943 名前:939 メール:sage 投稿日:2006/03/28(火) 00:05:29
- >>941
おおぉ、うまくいきそうな予感。
やってみます。
ありがとうございます。
- 944 名前:939 メール:sage 投稿日:2006/03/28(火) 22:36:11
- そして、うまく行きました。
ありがとうございました。
- 945 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/30(木) 23:30:43
- 特定のユーザについて scp と sftp は禁止するってことは可能でしょうか
ポートフォワーディングの禁止は authorized_keys と no-port-forwarding と書くと
実現できるみたいですが scp と sftp も使えなくする方法ってありますか
- 946 名前:945 メール:sage 投稿日:2006/03/30(木) 23:54:47
- 自己レス
rssh にして許可しなければ良さそうです
- 947 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/31(金) 21:00:58
- sshコンソールが実用的に使えるモバイル機器で今のところ最小なのは何?
- 948 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/03/31(金) 21:40:37
- >>947
i MODE
- 949 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/02(日) 19:45:49
- >>947
W-ZERO3でも使えるよな(最小じゃないだろうけど)
- 950 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/02(日) 21:35:42
- iモードは実用的に使うにはちと辛いような
やっぱフルキーボードはほしいところ
- 951 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/02(日) 22:01:30
- SLA300
- 952 名前:名無しさん@お腹いっぱい。 投稿日:2006/04/02(日) 22:12:54
- 遠隔地のPCにsshでログインしてちょっと放置しているとセッションが切れてしまうんだけど、
これってどこかでタイムアウトの設定できるんですか?
別にセッション切れるのはかまわないんだけど、クライアント側が固まっちゃってサーバ側では
死んだプロセスが残っているのでいちいち消して回らないといけなくて面倒です。・゜・(ノ∀`)・゜・。
- 953 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/02(日) 22:16:34
- >>952
keepalives
- 954 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/02(日) 22:28:38
- keepaliveはデフォでyesだと思ってたら、intervalの設定しないと生きないんですね・・・
ちょっといま実験中。3,40分くらいしたら結果書きますね。
- 955 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/02(日) 23:03:22
- みごと死ななくなりました。ありがとうございました。
- 956 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/02(日) 23:45:16
- スレ的にはkeepaliveで正解かもだけど、この場合先にscreenだろ?
- 957 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/03(月) 18:32:17
- ssh_configのTCPKeepAliveとServerAliveIntervalは全然別物じゃないか?
前者はカーネルのTCP/IPレベルでのkeepaliveを使うかどうかで、
後者はSSHレベルでkeepaliveパケットを投げるかどうかだと思ったが。
TCP/IPのkeepalive送信間隔はデフォルトだと2時間とかなので、
ルータが通信のないコネクションを調べて切る間隔より長いから
yesでも切れてたんだろうな。
>>956
だな。
- 958 名前:名無しさん@お腹いっぱい。 投稿日:2006/04/06(木) 11:05:58
- TeraTerm(SSH2、UTF-8対応版)
って、このタイプの秘密鍵に対応していないの?
"read error SSH2 private key file"
って出てしまう。
puttyやUNIXのssh -iでは問題なし。
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A1 (略)
-----END RSA PRIVATE KEY-----
- 959 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/06(木) 13:06:52
- >>958
TeraTerm で RSA の鍵を作るとそのタイプの鍵だよ。
ssh-keygen -t rsa で作っても同じ。
手元で最新版(4.34)を使ってみたけど大丈夫だったよ。
- 960 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/06(木) 16:55:18
- サーバ側がFC5のOpnSSHでクライアント側がWindowsの商用SSHのフリー版なのですが、
パスワードなしでログインできるようにできますか?
- 961 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/06(木) 21:40:23
- >>960
Active Directoryを構築してKerberos認証すればよし。
- 962 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/07(金) 10:38:42
- sftpで日本語は使えないのですか?
- 963 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/07(金) 11:43:44
- >>962
使えるよ。(確認済み)
- 964 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/07(金) 11:53:53
- >>962
どういう意味で?
- 965 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/07(金) 11:59:04
- 少なくともプロトコルの問題ではない。
クライアントとサーバのプログラムの処理及びファイルシステムのロケールに
よって使えたり使えなかったり。サーバ側が原因で使えないことはまれだと思う。
ファイル名のエンコーディングを変換できないクライアントの場合、
日本語ファイル名を扱える可能性はだいぶ低くなる(サーバとクライアントの
文字コードが一致している場合のみ)。そもそも8ビット通さないクライアントも
珍しくない。
要するに文字コード変換できるクライアント使えということだ。
- 966 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/07(金) 13:54:25
- HostbasedAuthenticationってどうしてそれほど安全じゃないのですか?
- 967 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/09(日) 05:59:20
- まずrloginとかrshが安全だと思える環境かどうか答えてちょ
- 968 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/15(土) 11:08:45
- DSA の公開鍵を設定すべきところを RSA 用の公開鍵を設置してログインできない場合、
どういう風にエラーとして表示されますか?
- 969 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/15(土) 11:53:44
- やってみれば?
- 970 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/17(月) 04:40:45
- LAN側からとWAN側からでopensshの設定切り替えることってできますか?
できれば待ち受けポートは変更したくないです。
- 971 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/17(月) 07:26:41
- >>970
ListenAddress?
- 972 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/17(月) 12:18:35
- 質問っす。
Windows SSHクライアントでターミナル接続:Poderosa、
ファイル転送にWinSCPを使ってるいるのですが、
フォーマットちゃうから同じ秘密鍵ファイルを2種類もってないといけない。
1個にならないものですか?
PuTTY+WinSCPがお勧めなのでしょうか?
Poderosaでてるスレがなかったので、スレ違いでしたらすいません。
- 973 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/17(月) 19:22:15
- teraterm_utf8 434
にて、sshで接続すると
Unexpected SSH2 message(1) on current stage(2)
Server disconnected with message 'Protocol error: expected packet type 30, got 34'.
と出るサーバがあるのですが
原因が、わかりません
ttp://nanno.dip.jp/softlib/man/rlogin/
こちらのソフトでは、なんとか接続できるんですが
何か、参考になることはないでしょうか?
- 974 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/17(月) 23:02:04
- >>970
tcpserverで待ち受けて切り替えたら?
- 975 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 00:36:24
- ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
なんですか?
悪意あるユーザがクライアントとしてホスト公開鍵を入手し、その鍵を偽装鯖で使う
ことができてしまうのではと、ふと疑問が出たものですから。
そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
んです。
それともホスト認証においてセキュアな部分はホスト公開鍵の管理に依存している
ということなのでしょうか?ホスト公開鍵の配布はofflineじゃなくてもできるのに?
詳しい方、ご教示お願いしまするう
- 976 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 01:15:34
- >>975
> ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
> 鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
> なんですか?
んなこたない。
> そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
> ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
> んです。
man ssh-keysign
http://www.ietf.org/rfc/rfc4252.txt
- 977 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 09:20:44
- >>973
クライアント:UTF-8 TeraTerm Pro with TTSSH2 (http://sourceforge.jp/projects/ttssh2/)
サーバ:
OS=?
sshd=?(商用SSH、OpenSSH、その他いろいろあるが、どれだ?)
サーバ側でOpenSSHを動かしているのなら、「# sshd -vvv」で詳しく調べること
ですな。ちなみに、
'Protocol error: expected packet type 30, got 34'
は、OpenSSH-4.3p2の場合、openssh-4.3p2/packet.cのpacket_read_expect()が
出しているみたい。
- 978 名前:977 メール:sage 投稿日:2006/04/19(水) 09:31:33
- 引き続き、サーバ側がOpenSSHであると仮定して考えてみた。
・"SSH2_"で始まるマクロのうち、30または34と定義されているものを調べてみた。
・乱暴だが、全部の.hファイルから30または34を含む行を探した。
後者でも以外に効果があった。注目すべきは openssh-4.3p2/ssh2.h だろうか。
ということで、クライアントとサーバで鍵の形式が違うのが原因ではないかと「推
測した」。
以上、チラシの裏(w
>>973は、サーバに関する情報だけでなく、どの認証方法でログインしようとした
のかも書いた方がいいな。
- 979 名前:名無しさん@お腹いっぱい。 投稿日:2006/04/19(水) 09:47:51
- レスありがとうございます。
> > そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> > 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> > にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
> > ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
> > んです。
>
> man ssh-keysign
> http://www.ietf.org/rfc/rfc4252.txt
これはホスト認証・共通鍵生成したあとのユーザ認証のフェーズになっているような気がします。そういう仕様なんだからそうなんでしょうね・・・。
うみゅう、私の質問の仕方が悪かったです。
SSH接続(Protocol 2)のホスト認証の時点で、ホスト鍵ペア(ホスト秘密鍵・ホスト公開鍵)が「公開暗号方式」として機能しているのか知りたかったのです。
ベタな平文を自己証明だとかクライアントに送られてきて、「これを信用しなさい」と言われても、信用する根拠がないように思えてしょうがないのです。
ホスト認証の時点でホスト秘密鍵は登場してこないのでしょうか?鍵交換のところ(DH鍵交換)でホスト秘密鍵が使われてるような気がしてきました。
--- モーソウ
S: これ、俺の証明書だけどいい?
C: じゃあ、君が送ってくれたホスト公開鍵で暗号化したもの送り返すから、
それをホスト秘密鍵で複合化して返してよ〜。それが正しかったら信用してあげる。
S: ほいほい、これね〜。複合化したけど、これ当たってる?
C: OK〜、君を信じるよ♪
---
- 980 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 10:20:51
- >>979
http://www.scl.kyoto-u.ac.jp/scl/usage/SSH/abst.html
- 981 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 10:24:03
- >>979
PGPの仕組みを勉強してみろ
- 982 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 10:27:05
- PGP は関係ないだろ。
- 983 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 10:28:21
- >>970
↓tcpserver使って切り替えてるやり方
ttp://www.hrt.dis.titech.ac.jp/~sera/FreeBSD/openssh/sshd.htm
>>971
ListenAddressでクライアントごとに挙動(設定)変えれたっけ?(許可/拒否をするものだと思ってたけど)
- 984 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 10:41:09
- >>983
いや、
ListenAddress 変えて sshd を2つ起動すればいいかな、
と思ったんだけど。
- 985 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 10:41:24
- >>975=>>979
以下のどちらかの本、読んでみた?もしまだなら、読んでみるといいと思う。
・OpenSSH セキュリティ管理ガイド
http://www.unixuser.org/~haruyama/security/openssh/support/
・入門SSH
http://www.unixuser.org/~haruyama/security/openssh/asciissh/
前者は絶版になってしまっているけど、私はこの本を読んで勉強したので(大変分
かりやすかったんですよ)。後者は、前者の「後継」ってカンジ。著者は同じです
ので、読む価値はあると私は思います。
>>980
お、なんだか (∀)イイ!
- 986 名前:975 投稿日:2006/04/19(水) 11:10:46
- >979
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
>981
頑張ってPGPも勉強してみます。自己証明という観点でいえば知っておきたいところですし、感謝です。
>985
情報ありがとうございます。お財布と相談して、amazon.comに見に行ってきますー
- 987 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 11:12:53
- >>982
あほですか?
PGPの認証方式はSSHにも流用できる考えがありますよ
PGPそのものを使い方をいっているわけではないでしょが
- 988 名前:975 投稿日:2006/04/19(水) 11:12:55
- >>979
>大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
みすった、てめえの発言に感謝してどーすんだーー;
>980
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
- 989 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 17:07:27
- > >980
> 大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
スト認証の説明、ほとんど間違いだから。
SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
を送ってクライアントに検証させることで直接的に確認してるって
のが正解。
- 990 名前:名無しさん@お腹いっぱい。 投稿日:2006/04/19(水) 17:21:03
- >>989
> まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
> スト認証の説明、ほとんど間違いだから。
自分も後から、ご指摘の記述部分でDH鍵交換方式に触れていないところが
怪しくなって、調べてみました。
>
> SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
> 送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
> を送ってクライアントに検証させることで直接的に確認してるって
> のが正解。
ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
の記述を発見して、仰せの通りだと理解しました。
ご指摘ありがとうございました。(感謝
- 991 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 18:00:29
- >>990
> ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
> の記述を発見して、
うん、こっちの方は user 認証のところに若干難がある (SSH1 のみ
の説明だし、SSH1 だとしても微妙なところが抜けてる) 他はちゃん
と書けてる感じっすね。
- 992 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/19(水) 18:14:16
- >>978
ありがとうございます。
OpenSSHです。
sshd version OpenSSH_2.5.2p2
どのような認証方法で、
以前の
・プレイインテキストを使う
・RSA/DSA鍵を使う
・チャレンジレスポンス認証を使う
などの画面が出るときに、落ちちゃうというか
そのエラーが出るんです。
- 993 名前:976 メール:sage 投稿日:2006/04/20(木) 01:03:01
- >>975
すまん、HostbasedAuthenticationのことと勘違いしてた。
- 994 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/20(木) 07:10:55
- そろそろやばそうなので、とりあえず次スレ立てました。
http://pc8.2ch.net/test/read.cgi/unix/1145484540/
- 995 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/20(木) 12:42:45
- >>994 乙彼
- 996 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/20(木) 13:02:21
- じゃあ1つ埋め
- 997 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/20(木) 15:25:41
- 10010gewt
- 998 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/20(木) 16:23:45
- 192.168.65.254
- 999 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/20(木) 16:29:57
- 俺のIP勝手に使うな
- 1000 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2006/04/20(木) 16:39:05
- 127.255.255.254
- 1001 名前:1001 投稿日:Over 1000 Thread
- このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。