SSH その5at UNIX
SSH その5 - 暇つぶし2ch703:名無しさん@お腹いっぱい。
07/07/11 20:37:19
あるPCで秘密鍵と公開鍵を作って、
それらをほかのPCにコピーしてSSH認証ってできないんですか?

704:名無しさん@お腹いっぱい。
07/07/11 20:53:55
Yes.

705:名無しさん@お腹いっぱい。
07/07/11 22:25:56
ふつうにできるだろ…常識的に考えて…

706:名無しさん@お腹いっぱい。
07/07/11 22:26:43
だから "Yes." って答えてるじゃん。

707:名無しさん@お腹いっぱい。
07/07/11 23:20:35
>>705
日本語で言えば「いや、できるよ」って意味が英語で言えばyesな。

708:名無しさん@お腹いっぱい。
07/07/12 02:47:39
>>703
できるけど、鍵の形式には注意な。ssh.comとOpenSSHが混在してると、コンバート必要。
あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。

709:名無しさん@お腹いっぱい。
07/07/12 06:55:27
>>708
> あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。
なんでだよ。お前わかって無いな。

710:名無しさん@お腹いっぱい。
07/07/12 10:27:15
>>709
まともに鍵管理できない奴がいると秘密鍵を世界に向けて大公開してしまうしなー
管理者がジャムおじさんクラスだともうgdgdw
スレリンク(unix板:792番)

711:名無しさん@お腹いっぱい。
07/07/12 21:58:55
>>710
共有していても、してなくても盗まれるリスクは同一だ。

> まともな管理者なら原則禁止してるだろう。
これは、お前の創作した原則か?

712:名無しさん@お腹いっぱい。
07/07/12 22:27:51
変なひとが一人でプンプンしてる・・・

713:名無しさん@お腹いっぱい。
07/07/12 22:46:37
>>711
同一じゃないだろ・・・

714:名無しさん@お腹いっぱい。
07/07/12 23:11:35
パスフレーズ無しにできるのも危険要素のひとつだ罠

715:名無しさん@お腹いっぱい。
07/07/12 23:30:29
各ホストのセキュリティリスクに違いがあった場合に、
一番弱いところにレベルがあうのが危ないんじゃないかってことかな??

716:名無しさん@お腹いっぱい。
07/07/12 23:48:15
パスフレーズの有無と秘密鍵の共有は無関係だし、
秘密鍵を盗まれれば、それが共有であろうが無かろうが、
その秘密鍵を受け入れるマシンへは侵入できることになる。

弱いところに置いた鍵では重要なマシンにアクセスさせないという
運用も無理やりこじつければありだが、そんなマシンに秘密鍵おく
必要は無い。

717:名無しさん@お腹いっぱい。
07/07/13 00:11:22
じゃ、パスワード認証禁止してるマシンにはどうやって入るの?

718:名無しさん@お腹いっぱい。
07/07/13 00:21:20
プンプン君はそんなとこから入るな、と言いたいんじゃね。
でも入らなきゃいけない時もある。で、そのマシン用に鍵を新たに作る、と。

719:名無しさん@お腹いっぱい。
07/07/13 02:12:55
お前ら、わかってないだろ。ログイン先に秘密鍵を置く必要は無い。

パスワード認証禁止しているということは、公開鍵を管理者に
渡せば追加してくれるんだろ。
なぜ、新たに鍵を作る必要があるんだ?

720:名無しさん@お腹いっぱい。
07/07/13 02:33:27
> ログイン先に秘密鍵を置く
誰が言ったんだよそんなこと

721:名無しさん@お腹いっぱい。
07/07/13 22:03:12
盛り上がって参りました。

722:名無しさん@お腹いっぱい。
07/07/14 22:14:43
侵入経路を特定する意味でも、鍵は共通化させないほうがいい。

あとで犯人探しするときに

723:名無しさん@お腹いっぱい。
07/07/14 22:42:25
PAMやLDAPであらゆるサービスのパスワードを共通にしているアフォ管理者もいるw

724:名無しさん@お腹いっぱい。
07/07/15 06:27:12
そんな管理者は私刑でいいよ

725:名無しさん@お腹いっぱい。
07/07/15 09:16:14
ちゃんと暗号化できている通進路で使うパスワードは
共通化しても良さそうに思うけど?

726:名無しさん@お腹いっぱい。
07/07/15 11:15:07
>>725
ヒント: 一度漏れたら全部おじゃん

727:名無しさん@お腹いっぱい。
07/07/15 20:22:20
>>725
つーか暗号化してる通信路でそこまで信頼しちゃうなら
telnetでも使っとけよ

728:名無しさん@お腹いっぱい。
07/07/16 14:57:57
うちの会社、管理者が唐突にパスワード認証禁止されたあと、
みんな不便ー、とぶーたれてた。
いつにころからか、だれが広めはじめたのか知らないが
パスフレーズ無し秘密鍵が流行りだして
みんな便利ー、といってる。
どっちのほうがよかったんだか。。。

729:名無しさん@お腹いっぱい。
07/07/16 20:56:38
>>728
流行りのパスワード攻撃を考えれば、公開鍵認証のほうがいいだろうな


730:名無しさん@お腹いっぱい。
07/07/20 01:02:45
>>728
昔は .rhosts 書いて rsh なんか動かしてたわけで、それがセキュアになったと思えばいいんじゃね?


731:名無しさん@お腹いっぱい。
07/07/20 01:04:04
rshよりもマシ、と3回唱えるわけか

732:名無しさん@お腹いっぱい。
07/07/20 20:50:01
秘密鍵の取り扱いにさえ気を付ければ大丈夫なんじゃない?
もれはputty-agentにパスフレーズ記憶させてる。パスなしよりはまし?


733:名無しさん@お腹いっぱい。
07/07/21 02:51:31
パス無しもパスありも大差無いので
趣味だと思う。

734:名無しさん@お腹いっぱい。
07/07/21 02:52:51
パスアリパスナシパスパス

735:名無しさん@お腹いっぱい。
07/07/21 09:46:05
>>732
エージェントフォワードに気をつければ全然OK

>>733
鍵を置く場所で全然違う。

736:名無しさん@お腹いっぱい。
07/08/10 11:39:29
# SSHプロトコルの指定
Protocol 2

# rootでのアクセス
PermitRootLogin no

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# パスワード認証
RhostsAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no

# ユーザアクセス権
AllowUsers test

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# 最大起動数(SSHピンポンダッシュ)
MaxStartups 3:75:7

# パーミッションチェック
StrictModes yes

# ~/.rhosts or ~/.shosts ファイルの無効化
IgnoreRhosts yes

737:名無しさん@お腹いっぱい。
07/08/10 11:40:17
# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

#その他
X11Forwarding no


以下はProtocol 2なので設定不要??
RhostsRSAAuthentication no
RSAAuthentication yes


sshっていうものをしって設定してるのだがプリコトル2で鍵アクセスするならこんな感じの設定でいいのかな?

738:名無しさん@お腹いっぱい。
07/08/10 17:28:00
SSHアクセスしてviやemacs使うとき、日本語が入ったファイルだと文字エンコードが合わなくて文字化けしちゃうんですが、
これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
/etc/man.configをPAGER /usr/bin/less -isr、PAGER /usr/bin/lvなどと編集する以外に方法はないのでしょうか?
複数のファイルが、異なったエンコード方式で保存されている場合、それらを毎回eucJPだったりsjisだったりutf-8だったりに書き換えなきゃいけませんか?

739:名無しさん@お腹いっぱい。
07/08/10 17:28:46
書きそびれました。
サーバ側はUbuntuで、SSHクライアント側はMacのコンソールです。WindowsのPuTTYでも構いませんが。

740:名無しさん@お腹いっぱい。
07/08/10 17:30:58
>>738
SSH の話ってより Ubuntu の話だから
こっちで聞いた方がいいよ。
【deb系】Ubuntu Linux 15【ディストリ】
スレリンク(linux板)

741:名無しさん@お腹いっぱい。
07/08/10 18:03:35
>>738
> これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
↑Ubuntu やなくて、RedHatちゃう?

742:名無しさん@お腹いっぱい
07/08/19 12:55:14
OpenSSH 4.7/4.7p1
もうすぐみたいね。
早い人たちはtesting参加してるのかな?

743:名無しさん@お腹いっぱい。
07/08/24 08:29:02
スレリンク(ghard板:433番)

> 433 名前: 名無しさん必死だな [sage] 投稿日: 2007/08/24(金) 08:10:22 ID:OpeNssh/0
> GC版は人数集めてやる場合でも
> ミクロでないGBAを用意しないといけないのが厳しいからなぁ。
> ポケモンマニアでもないのにGBA何台も買ってられないしw

ID:OpeNssh/0
ID:OpeNssh/0
ID:OpeNssh/0

( ゚д゚ )

744:名無しさん@お腹いっぱい。
07/08/24 16:09:31
すごいな

745:名無しさん@お腹いっぱい。
07/09/05 18:58:58
OpenSSH 4.7/4.7p1が出てた

746:名無しさん@お腹いっぱい。
07/09/05 19:41:03
AからBに鍵認証でSSH接続したい。
Aで秘密鍵・公開鍵を生成してBのauthorized_hostsに公開鍵を書き加えてやったらログインできたんだが、
Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。
ログインしようとしたらPassword:となるから鍵認証はスルーされているような。

747:名無しさん@お腹いっぱい。
07/09/05 19:42:29
×authorized_hosts
○authorized_keys

748:名無しさん@お腹いっぱい。
07/09/05 20:19:06
>Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。

Bの sshd の設定なりを確認

あと sshd の出所が違って authorized_keys の書式とかが違う可能性もあるね

749:名無しさん@お腹いっぱい。
07/09/05 22:32:48
>Aに公開鍵を渡して、AからBにsshで鍵認証ログイン
Bはログインされまくりですか?

750:名無しさん@お腹いっぱい。
07/09/07 09:44:15
OpenSSH 4.7 has just been released. It will be available from the
mirrors listed at URLリンク(www.openssh.com) shortly.

751:名無しさん@お腹いっぱい。
07/09/07 12:42:59
スレリンク(chakumelo板)

752:名無しさん@お腹いっぱい。
07/09/21 17:41:29
リモートログインして作業をしていたら突然
Disconnecting: Corrupted MAC on input.
と言われて切られてしまいました

この解決方法を教えていただきたいのですが

753:名無しさん@お腹いっぱい。
07/09/21 17:44:43
ssh の問題じゃなさそうだなーとは思わなかったのか?

754:名無しさん@お腹いっぱい。
07/09/21 17:50:24
>>753
全く

今日突然出てきたもんで

755:名無しさん@お腹いっぱい。
07/09/21 17:52:54
突然出たなら何でsshが原因なんだと思うんだろ

756:名無しさん@お腹いっぱい。
07/09/21 18:03:36
>>755
リモートログインしていた状態で
Disconnecting: Corrupted MAC on input.
とでてきたわけですから
まずここに聞きにくるのは自然の流れかと

違うんであれば他の場所で聞きますので
適当なスレがあれば教えてください

757:名無しさん@お腹いっぱい。
07/09/21 18:20:23
>>752 は MACって何か知らない、に1票。

758:名無しさん@お腹いっぱい。
07/09/21 18:34:08
URLリンク(www.unixuser.org)

ここの255あたりは参考になるかな?

759:名無しさん@お腹いっぱい。
07/09/21 18:38:18
MAC はイーサアドレスの事で、sshは無関係

そんな風に考えていた時期が僕にもありました

760: ◆TWARamEjuA
07/09/21 20:59:48 BE:6861479-2BP(6825)
(´-`).。oO(まずぐぐるのが自然の摂理だと思うけれども。。。)

761:名無しさん@お腹いっぱい。
07/09/21 21:04:00
URLリンク(www.google.com)

それっぽいのがたくさんあるね

762:名無しさん@お腹いっぱい。
07/09/21 21:54:16
etherのMACだったら
> Disconnecting: Corrupted MAC on input.
こんなメッセージは不自然だとは考えないのかな。 >>753は。

763:名無しさん@お腹いっぱい。
07/09/22 08:55:10
設定変更してないのに出たら別の所疑えよ

764:名無しさん@お腹いっぱい。
07/09/22 10:14:54
>>752の情報から「設定変更してない」と断定できてしまうキミはエスパー。
でも、ソフトウェアエンジニアとしての資質が欠如している。

765:名無しさん@お腹いっぱい。
07/09/22 10:24:29
>>764
「設定変更してないのに出『たら』」
『たら』は仮定を表すのでこの文は仮定文だが、
それを断定文と誤読してしまうキミは
日本人としての国語能力が欠如している。

766:名無しさん@お腹いっぱい。
07/09/22 10:45:41
>>765
「設定変更してない」のに出たら

俺は 764 じゃないけど断定してる(と思われている)のはここジャマイカ

767:名無しさん@お腹いっぱい。
07/09/22 10:51:49
if (設定変更してない && 出た) { ; }
だろ。

if節の中に何を言っていても断定ではない。すべて仮定。

768:名無しさん@お腹いっぱい。
07/09/22 11:07:12
「出た」は既に発生した事象なので
設定変更してない && 出た == 設定変更してない && true == 設定変更してない

詭弁を弄し黒を白と言いくるめようとする情熱を持つキミはSEの資質を120%持っている。

769:名無しさん@お腹いっぱい。
07/09/22 11:21:58
>>767
そういう言い方ってのは
それまでの文脈で事象 ( 設定変更してない && 出た ) が既出でないと不自然だから
“結果として”断定しているわけだ

>>768
よくわからん

770:名無しさん@お腹いっぱい。
07/09/22 12:35:59
>>768
お前ファビョりすぎだろw

771:名無しさん@お腹いっぱい。
07/09/22 12:47:29
おまいら落ち着けよw
要は最初の質問者が問題なだけの話しだろ
最初の質問者で無い限り、そんな論点で熱くなるのはどうかしてる

772: ◆TWARamEjuA
07/09/22 14:42:09
もうお彼岸なのに暑い日が続きますよね。

773:名無しさん@お腹いっぱい。
07/09/22 19:06:39
設定変更したんなら戻せよ、でしかないな

774:名無しさん@お腹いっぱい。
07/09/23 14:55:37
>>752
訂正不可能な媒体上の化けが原因ではないかと。

物理的にNICがおかしいという問題から始まって、
最後にはOSのメモリ管理あたりにまで遡及して、
トラブルシューティングする必要あり。
 

775:名無しさん@お腹いっぱい。
07/09/23 20:06:11
MACのアルゴリズムが変わったってことはないのかな
デフォルトがHMAC-MD5からHMAC-SHA1とか

776:774
07/09/23 23:16:38
俺が見た例は、

・FreeBSDでGbEを挿したら調子悪かったとき。
・NICが壊れかけた時
・安物スイッチから煙が出たとき。

MACって略語やめればいいのに。

Message Authentication Code = MAC
Media Access Control address = MAC
Mandatory Access Controll = MAC

これらの概念は全部 UNIX-OSを管理すると
出くわす可能性が在る。

777:名無しさん@お腹いっぱい。
07/09/24 12:29:20
2つめはMACじゃなくてMACアドレスと言わんか?

778:名無しさん@お腹いっぱい。
07/09/24 13:01:55
IPアドレスのことをIPって言ういるよ

779:名無しさん@お腹いっぱい。
07/09/24 13:02:46
ちょっと詳しくなって専門用語を覚えたてのやつは往々にして変な略しかたをする

780:名無しさん@お腹いっぱい。
07/09/24 13:02:56
×言ういるよ
○言う人いるよ

781:名無しさん@お腹いっぱい。
07/09/24 22:09:16
×言ういるよ
○言うアルよ


782:名無しさん@お腹いっぱい。
07/09/25 21:38:24
一番有名なの忘れてるよ。

Machintosh = MAC


783:名無しさん@お腹いっぱい。
07/09/26 01:53:42
それはMac

784:名無しさん@お腹いっぱい。
07/09/26 09:44:16
俺の中でMACと言えば工具メーカー

785:名無しさん@お腹いっぱい
07/09/26 10:16:13
UTF-8 tera term proでログインしようとすると接続が切られ強制終了してしまいます。指定されたポートも開けてあるのですが、他に何が原因でしょうか?

786:名無しさん@お腹いっぱい。
07/09/26 11:42:40
# てるねっと さーば 22
してみろ

接続できるならてらたーむ
そうでないなら相手(or経路)の問題

787:785
07/09/26 15:48:56
SSH-1.**-openSSH_3.*.***と出てきました。相手・経路の問題ではなさそうなのですが、テラタームの端末の設定でしょうか?過去ログを読んでみたのですがよくわかりませんでした。。初心者ですいません!対処法を教えて欲しいです(T_T)

788:名無しさん@お腹いっぱい。
07/09/26 15:57:29
UTF-8対応版ってことはSSH2にも対応しているので、それが原因じゃないよね。
ログインしようとしてるのは、自分の管理してるサーバ?
ログを見れば大抵の原因はすぐにわかると思うけど。

今の状態だけでエスパー的に判断するなら、鍵認証しか許可していないのに
パスワード認証でログインしようとしてるとか、rootでログインしようとし
てるとか、一番ありそうなのはそんなところか?

789:785
07/09/26 16:26:25
SSH1もSSH2でもログイン出来ませんでした。ログイン使用としているのはリモートサーバー(他大学への)です。
rootでは利用していないです。鍵認証なしでログインしようとしてますが、サーバー関連HPには鍵認証のみとは書いて無かったんですが。。。



790:名無しさん@お腹いっぱい。
07/09/26 20:31:32
cygwinでsshもってきて、ssh -v してみろ


791:名無しさん@お腹いっぱい。
07/09/26 20:52:28
>>789
上でも書かれているように、とりあえずCygwinのsshやPuttyなど
別のクライアントで試してみて、サーバとクライアントのどちら側の
問題なのかを切り分けてみた方が良いかも。

あと、「切断される」だけじゃわからないので、どういう風に切断
されるかとか、何かエラーメッセージが出てないかとか、初めて接
続しようとしているのかとか、書けるだけの情報は書いた方が他の
人からも返事をもらいやすいと思うけどね。

792:名無しさん@お腹いっぱい。
07/09/27 02:07:01
root@APサーバでJavaからsshを実行し、BDサーバにrootで入ってshellを呼び、Javaを実行しているのですが、

DBサーバ側の処理は正常終了しているのに
なぜかプロセスが残ってしまいwaitFor()で戻ってきません…

~/.bashrc に shopt -s huponexit を入れてみたのですが効果がありませんでした。

APサーバのJavaでは「ssh *.*.*.* sh foo.sh」な感じで呼んでます。
Telnetなどで上を直接たたくとプロセスはきちんと消えるのです。
どなたか原因が分かる方いらっしゃいますか?

793:名無しさん@お腹いっぱい。
07/09/27 02:22:30
エスパー回答。

stdoutが詰まってる。

794:792
07/09/28 01:09:15
>>793

遅れてすいません。
会社からでは2chに書き込めませんでした。

結果は回答していただいた通りでした!!!
APサーバ側で標準出力を取っていたのですが、
エラー出力も吐き出させないと駄目なんですね。
そもそも「吐き出させる」というイメージが全然ありませんでした。

首の皮一枚でなんとかクビにならずに済みました。
本当にありがとうございました。

795:名無しさん@お腹いっぱい。
07/09/30 11:17:17
openssh なんだが、utmp/wtmp 書き出しを enable してるとき、
ssh 経由のターミナル接続は utmp/wtmp に確かにログするけど、
sftp はログしないよね。これって、確信的な仕様?syslog とか
secure を使え、という指導がされてるってことかな?

796:名無しさん@お腹いっぱい。
07/09/30 11:25:08
struct utmpはメンバーとして端末名をもっている。
端末(pty)アロケートしない場合はログインと見なしていないのは当たり前。

797:名無しさん@お腹いっぱい。
07/09/30 11:40:03
>>796 ut_line 空にしといても良いじゃん。
そしたら、どっかに不都合でるの?

798:名無しさん@お腹いっぱい。
07/09/30 16:43:44
>>795
パッチ作って送ったら? デフォルトにはしないで
sshd_configのオプションでOn/Offするように
してたら採用してくれるんじゃない?

799:795=797
07/09/30 17:33:50
openssh の ML アーカイブ調べたら、んじゃ俺がパッチ
作ったル、と息まいてた人が何年か前に居たけど、
逃げたか、スルーされたか、それっきりになっているみたいです。
大人しく /var/secure から拾うことにしまつ。

800:Eカップ女子大生
07/10/03 22:40:55
サーバー間でコピーってどうやんの!
明日までにやんないといけないの!
助けてお願い!

801:名無しさん@お腹いっぱい。
07/10/04 00:09:27
とりあえず、XMODEMかな

802:名無しさん@お腹いっぱい。
07/10/04 00:23:24
kermit

803:名無しさん@お腹いっぱい。
07/10/04 01:57:30
ZMODEMがいいよ

804:名無しさん@お腹いっぱい。
07/10/04 06:57:36
zmodemでできました!!!どうもありがと

805:名無しさん@お腹いっぱい。
07/10/04 10:58:15
なんだよ、uuencode/uudecodeを教えてやろうと思ったのにクヤシーナー

806:名無しさん@お腹いっぱい。
07/10/04 11:36:58
ハッカーならftp bounceだな。

807:名無しさん@お腹いっぱい。
07/10/07 21:33:07
ish で固めようよ

808:名無しさん@お腹いっぱい。
07/10/08 00:20:11
昔UNIX用のアーカイバで、特殊なツールを一切使わず
shellだけで書かれたアーカイバがあったと思うのだが、
名前覚えている人いない?

解凍するときは、

sh hoge.sh

ってしたらファイルが解凍される。

確か sh archiveの略でsharc だったと思うのだが、ググっても
出てこない。

809:名無しさん@お腹いっぱい。
07/10/08 00:39:54
shar?

810:名無しさん@お腹いっぱい。
07/10/08 00:51:29
展開しなくてもざっと中身が確認できるので重宝は重宝だったね。

811:名無しさん@お腹いっぱい。
07/10/08 00:52:09
>>809
ありがとん!

NetNewsの頃はよく使われてたよね。

812:名無しさん@お腹いっぱい。
07/10/08 00:56:59
物騒な世の中だからshar(1)で展開しろ。
sh archive
で展開する奴はクズ。

813:名無しさん@お腹いっぱい。
07/10/09 11:05:58
はて。展開までサポートする shar というのは見たことがない。
GNU には unshar(1) が存在するようだが、GNU 以外で見たことがない。

っていうか、なんでこのスレ?


814:名無しさん@お腹いっぱい。
07/10/09 11:08:15
SHスレだからだろう

815:名無しさん@お腹いっぱい。
07/10/09 11:20:49
で、GNU の unshar のソースを斜め読みしてみたが、
テキストファイルから shar アーカイブを見つけて sh に渡してるだけで、
unshar を使っても shar アーカイブの中の物騒なスクリプトは
回避できないことがわかった。


816:名無しさん@お腹いっぱい。
07/10/09 21:27:36
make もパッケージ物のインストールも
結局信用しないと実行できないね。

817:名無しさん@お腹いっぱい。
07/10/10 09:26:06
>>814
Secure Shell Archiver を目指すということなのかw

818:名無しさん@お腹いっぱい。
07/10/10 11:44:31
>>817
sshar… どう発音すればいいんだ(w

819:名無しさん@お腹いっぱい。
07/10/10 11:49:14
IMのローマ字入力に従って「っしゃー」はどうか?

820:名無しさん@お腹いっぱい。
07/10/10 12:37:08
「すしゃーる」がいいよ。
フランス語っぽくてちょっとかっこいいだろ。

821:名無しさん@お腹いっぱい。
07/10/10 13:40:52
スレ違いネタはいいかげんやめれ。

822:名無しさん@お腹いっぱい。
07/10/11 00:24:55
puttyスレより適切かと思いこちらに来ました。ご教示ください。

local→GW1→GW2
みたいな時、→のところをそれぞれ異なるパスフレーズをputtyjpで
トンネルしているのですが、例えば最初にあげるputtyではL9974 10.128.128.10:22
みたいになっていて、二回目にあげるputtyでは、127.0.0.1の9974を
接続先のポートに指定することでログインは出来るようになりました。

このとき、GW2であげているVNCサーバー(例えば、ディスプレイは1)の時に
二つのputtyjpでトンネルはどのように記述すればよいでしょうか?

VNCだと5901をトンネルするんだよなぁ、、、と迷っています。

よろしくお願いします。

823:名無しさん@お腹いっぱい。
07/10/11 02:35:21
モット単純に出来る。

824:名無しさん@お腹いっぱい。
07/10/11 14:58:24
自社で sshd を外部からのアクセスのために運用していますが、ログインしっぱなしの人が多いため、
(ssh でログインしてきたけど、一切パケットが流れていないが接続は確立している状態)
これを制御したいです。どうしたらいいでしょうか?

sshd_config で KeepAlive という項目がありましたが、これを
Yesにしても、クライアント側がクラッシュしたとか強制的に電源を切ったときに、
サーバ側でのプロセスをゾンビにせずにkillするのであって、
今回の目的には使えない、という理解であってますよね?

ブロードバンドルータや NAT などで、LAN 内からインターネット上の
ホストに ssh で接続し、何も操作していなかったらタイムアウトして
コネクションが死ぬ場合がありますが、これは sshd の設定ではなく、
ブロードバンドルータの設定ですよね。
場合によっては、パケットリピータを sshd の前にかまして似たようなことをするしかないかな。
(delegate、stone みたいなのでできるのだろうか)

なお、ログインしてシェルを開いて while 文で date; sleep 300 みたいなことを
したり、putty とかでダミーパケットを定期的に送ってくる人がいますが、
これは防ぎようがないのであきらめますが、冒頭の私の目的を達成するために
何かいいアイデアがあれば、よろしくお願いします。

825:名無しさん@お腹いっぱい。
07/10/11 16:15:07
私は毎朝rebootかけてるYo!

826:名無しさん@お腹いっぱい。
07/10/11 17:11:31
>>824
ログインしっぱなしでいいじゃん


827:名無しさん@お腹いっぱい。
07/10/11 19:24:56
>>824
通貨、OSぐらい書いたら?

828:名無しさん@お腹いっぱい。
07/10/11 20:13:47
つうか、まずはmanぐらい読んでみたらと。

829:824
07/10/11 20:23:07
>>827
すみません、サーバ側のOSは FreeBSD で、OpenSSHを使っています。

クライアント側は特に絞っていません。(Windows ユーザ、Linux ユーザ、Macユーザあり)

とりあえずクライアント側はおいといて、サーバ側で何かできるかがあればうれしいです。

830:824
07/10/11 20:35:45
man sshd と man sshd_config は読みました。
URLリンク(www.unixuser.org)
URLリンク(www.unixuser.org)
しかし私の目的が達せられそうなものは見つけられませんでした。
もしあるのだったら、キーワードだけでもいいので教えてください。


824 では書きませんでしたが、 ClientAliveCountMax、ClientAliveInterval も、
ssh 上で何も操作していなくても ssh 接続が正しく確立していれば、サーバ側から
生存確認を送ってもクライアントが返してしまうので、サーバ側で接続を切ることはできないと
理解しています。


831:名無しさん@お腹いっぱい。
07/10/11 20:44:30
ttyのidle時間が一定以上ならsshdにHUP送れば?

832:名無しさん@お腹いっぱい。
07/10/11 20:53:14
>>830
シェルの autologout でも設定しておけば?


833:名無しさん@お腹いっぱい。
07/10/11 21:30:57
>>832
ワシもそう思ったから念のためにOSを聞いたのだ。

834:名無しさん@お腹いっぱい。
07/10/11 22:25:45
別に深く考えずにこれをcronabに書いとけYo!

30 3 * * * /sbin/shutdown -r +3


835:名無しさん@お腹いっぱい。
07/10/11 23:08:23
>>830
idled使え。FreeBSDならportsに入ってる。

836:名無しさん@お腹いっぱい。
07/10/12 07:58:11
Mac OS Xの10.4なんですが、ローカルのターミナルで
DISPLAY変数がセットされていてxeyesなども実行できる状態から
別のマシン(同じくMac OS X 10.4)にssh -Xしても
向こう側でDISPLAY変数がセットされない。-Yオプションでもだめでした。
~/.ssh/configでもForwardX11 yesにしてます。

以前にLinuxで同じようにするとDISPLAY変数が:10.0みたいな感じに
自動設定されたと思うんだけど、他にどのへん確認したらいいでしょうか?


837:名無しさん@お腹いっぱい。
07/10/12 08:02:30
ターミナル:Terminal.app?

838:名無しさん@お腹いっぱい。
07/10/12 10:39:05
>>836
ssh -vvで確認。
たぶんxauthあたりの問題。

839:836
07/10/12 12:09:06
相手側のsshd_configでX11Forwarding yesを設定したらいけました。
デフォがnoでした。ごめんなさい。ごめんなさい。

840:824
07/10/12 15:04:36
レスを下さった方、どうもありがとうございます。

やはり sshd 側で切ってしまうことはできなさそうなので、教えていただいたように
ssh の外の世界でできないか考えて見ます。

shell の autologout が一番簡単そうですが、ユーザ側で設定を変えることもできてしまいます。
ダイヤルアップルータがやっているように、ipfw や外のファイアウォールで、そのセッションが無通信だったら
切るということもできそうですが、複雑になりそうなので、>>831 をやるシェルを書いて cron で回すか、idled を
使ってみる方向でやってみます。

841:名無しさん@お腹いっぱい。
07/10/12 16:36:24
>>840
シェルを書く? シェルを改造してautologout強制させるるのか?

842:824
07/10/12 18:00:47
あ、 bash 等を改造するのではなく、
ps して idel 時間を調べて、長かったら kill するようなシェルスクリプトという意味です
(スクリプトという言葉が抜けていた)

でも担当者と話していて、ipfw で無通信が長かったら切るという方向で進めようかな、と思ってきた。
(できるかどうか調べ中ですが)

843:名無しさん@お腹いっぱい。
07/10/12 18:30:19
screenで作業してる奴がぶーたれそうだな>824


844:名無しさん@お腹いっぱい。
07/10/13 00:35:05
シェルってゆうな。クズ。

845:名無しさん@お腹いっぱい。
07/10/13 02:13:31
>>840
autologout の設定を変えるくらいのやつは、
while date; do sleep 300; done
くらいのこともするのではないだろうか。


846:824
07/10/13 03:31:26
>>843
うちの環境は、直接外からsshで入れるサーバは単なるゲートウェイなので、
そこからさらに社内サーバにsshでログインしてそこで作業しています。
screenする人は社内サーバ側でしてもらえば、と。

>>844
すみません

>>845
おっしゃるとおりですね。あるいは putty 等でダミーパケット飛ばしている人もいます。
そういうケースは仕方がないとあきらめることにしています。

話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
みなさんのところではそういう話はないですか?


847:名無しさん@お腹いっぱい。
07/10/13 11:45:44
suse10.3でsftpをマウントしたいのですが、どのパッケージをインストールしたらよいのでしょうか?

848:名無しさん@お腹いっぱい。
07/10/13 11:49:51
>>846
> 話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
> 「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
sshは全面(入るほうも、出るほうも)禁止にするしかないという結論が必至なので
黙っている。

849:名無しさん@お腹いっぱい。
07/10/13 12:02:57
>>847
くだらねえ質問はここに書き込め! Part 154
スレリンク(linux板)

850:名無しさん@お腹いっぱい。
07/10/13 16:20:58
>>840
idledのCOPYRIGHTを見ると、非営利的な利用しか認めてないようだ。
会社で利用するのは問題あるような気が…。

851:名無しさん@お腹いっぱい。
07/10/13 19:30:09
>>850
ちょっと調べたらdebianでも大昔non-free扱いで入ってたがもう削除されてるぽい。
FreeBSDってのはそういうライセンス的に微妙なのをしれっと入れるのですか…
おっと、スレ違いでごめん。

852:名無しさん@お腹いっぱい。
07/10/13 20:09:54
スレ違いっていうより気違い。

853:名無しさん@お腹いっぱい。
07/10/13 22:13:50
>>851
当たり前。ports には ssh.com の ssh も入ってるよ。


854:名無しさん@お腹いっぱい。
07/10/14 10:37:02
>846
[おうち鯖GW(screen)]-[824社GW]-[内部鯖1]
という人のこと


>850
社内のサービスとして使用するのは、営利とは言わないはずなんだが


855:名無しさん@お腹いっぱい。
07/10/14 11:41:36
>>854
> 社内のサービスとして使用するのは、営利とは言わないはずなんだが
それはお前の願望。「営利」の定義は著作権者によってまちまち。

856:名無しさん@お腹いっぱい。
07/10/14 11:49:46
大学等でも、学生が講義やレポートを作るために使う端末は非営利とされるが、
事務部で事務員が使っている端末は営利利用と判断される場合があるな。


857:名無しさん@お腹いっぱい。
07/10/14 14:05:35
結果的に会社の利益に結びついてんだから営利じゃね?
社内のサークル(趣味)内での利用とかなら別だが、見た感じ業務として使ってるだろ
Ex)「社内のサークル紹介Webサーバを自宅からメンテします」ってのと「社内業務用サーバのメンテします」ってのの違い


858:名無しさん@お腹いっぱい。
07/10/14 14:52:58
その会社が営利企業の場合、
顧客に対する活動ではなく、自社の(内部向け)業務であっても、営利目的となるのでは。
非営利団体が、内部の経理作業とかの場合、非営利となるんだろうか?

859:名無しさん@お腹いっぱい。
07/10/14 16:10:21
>>855ですでに正解が書かれてるのに何を議論しているんだ?
著作権者の定義が全て。お前ら権利を持ってないクズが定義する権利は無い。
曖昧な場合は権利者に確認すればよい。

860:名無しさん@お腹いっぱい。
07/10/16 01:13:41
「OpenSSH 4.7p1」 + 「OpenSSL 0.9.8e」な環境のOpenSSLを0.9.8fにアップデートしたら、
sshdを起動させようとすると「OpenSSLのバージョンが違う」的なメッセージが出て、sshdが起
動しなくなりました。
OpenSSHを再ビルド&インストールして事なきを得ましたが、OpenSSHって、以前からOpenSSL
のバージョンに依存していましたでしょうか?


861:名無しさん@お腹いっぱい。
07/10/16 01:20:00
$ ldd /usr/sbin/sshd
/usr/sbin/sshd:
libssh.so.3 => /usr/lib/libssh.so.3 (0x280a4000)
libutil.so.6 => /lib/libutil.so.6 (0x280d9000)
libz.so.3 => /lib/libz.so.3 (0x280e5000)
libwrap.so.4 => /usr/lib/libwrap.so.4 (0x280f6000)
libpam.so.3 => /usr/lib/libpam.so.3 (0x280fd000)
libgssapi.so.8 => /usr/lib/libgssapi.so.8 (0x28104000)
libkrb5.so.8 => /usr/lib/libkrb5.so.8 (0x2810b000)
libasn1.so.8 => /usr/lib/libasn1.so.8 (0x2813f000)
libcom_err.so.3 => /usr/lib/libcom_err.so.3 (0x28160000)
libroken.so.9 => /usr/lib/libroken.so.9 (0x28162000)
libcrypto.so.5 => /lib/libcrypto.so.5 (0x2816e000)
libcrypt.so.3 => /lib/libcrypt.so.3 (0x28290000)
libc.so.7 => /lib/libc.so.7 (0x282a8000)
libmd.so.3 => /lib/libmd.so.3 (0x28395000)


862:名無しさん@お腹いっぱい。
07/10/16 02:40:06
Linux初心者にオススメの無料OS、Ubuntu(ウブントゥ)。
ISOイメージをCDに焼くだけで起動ディスクの完成。
ディスクを入れたまま再起動すれば即(・∀・)ウブントゥ!!
既存の環境を汚さないLiveCDタイプで、安心して試せます。
気に入ったらHDDにインストールして常用も可能。

ダウンロード
URLリンク(www.ubuntulinux.jp)

世界で圧倒的人気のLinux、それがUbuntu。
URLリンク(google.com)

初心者超歓迎BBS
スレリンク(linux板)

★Ubuntu日本語サイト
URLリンク(www.ubuntulinux.jp)
★Ubuntu 7.04紹介記事
URLリンク(itpro.nikkeibp.co.jp)
URLリンク(itpro.nikkeibp.co.jp)
★Ubuntu 7.04インストールガイド
URLリンク(itpro.nikkeibp.co.jp)

3Dデスクトップ環境「Beryl」
Minimizing Effects URLリンク(www.youtube.com)
Desktop Cube URLリンク(www.youtube.com)
Rain Effects URLリンク(www.youtube.com)
Window Switching URLリンク(www.youtube.com)
Beryl + Wiiリモコン URLリンク(www.youtube.com)


863:名無しさん@お腹いっぱい。
07/10/16 06:02:58
>>862
> 世界で圧倒的人気のLinux、それがUbuntu。

「世界で*初心者だけに*圧倒的人気のLinux」の間違いじゃねぇの。
こんなことするから、嫌われる。


864:名無しさん@お腹いっぱい。
07/10/16 06:04:18
>>860

--without-openssl-header-check

つけて、コンパイル。


865:名無しさん@お腹いっぱい。
07/10/16 08:28:50
>>863
荒らしに反応すんな。

866:名無しさん@お腹いっぱい。
07/10/16 10:19:06
>>862-863
ID非表示をいいことに自作自演までやってのけますかww

867:名無しさん@お腹いっぱい。
07/10/21 21:55:16
>>864
>>860じゃないけど、ありがとう!
そのオプションは、4.5p1→4.6p1で追加されたようですね。

ちなみに、>>860
 「OpenSSLのバージョンが違う」的なメッセージ

 OpenSSL version mismatch. Built against 90805f, you have 908070
といったものですね(数値はOpenSSLのバージョンによって変わる)


ちなみに、私の方では、sshdが動いている状態で(停止させること
なく)OpenSSLのバージョンアップが行われたため、sshdがポートを
listenしているのに、以下のようになって接続できなくなるという
、奇妙な状態になってしまいました。
   % telnet XXXXXX.net 22
   Trying ***.***.***.***...
   Connected to XXXXXX.net.
   Escape character is '^]'.
   Connection closed by foreign host.
   %

% /usr/local/sbin/sshd -V
して上記のエラーメッセージ見てやっと気が付いた…。むぅ
syslogが出すログには何も出てこないし
クライアントからの接続要求が来たときにfork()し、生成された子プ
ロセスが(上記のエラーを理由に)即座に終了したんだと予想。

868:名無しさん@お腹いっぱい。
07/10/21 23:53:50
>>867
"--without-openssl-header-check"はconfigure実行時にチェックするだけ。
だまされちゃダメょ。

869:名無しさん@お腹いっぱい。
07/10/22 06:14:40
要するに OpenSSL をバージョンアップしたときは、
忘れずに OpenSSH もビルドしなおせ!ってことね。


870:名無しさん@お腹いっぱい。
07/11/07 20:29:33
ssh を使ってサーバのポートを監視したいと思っているのですが
"ConnectTimeout=5"を指定しているのですがうまく動きません。

ssh -v -o "ConnectTimeout=5" hoge.local -p 80
-----------------------------------------------
OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to hoge.local [hoge.local] port 548.
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.
debug1: identity file /home/page/.ssh/identity type -1
debug1: identity file /home/page.ssh/id_rsa type 1
debug1: identity file /home/page.ssh/id_dsa type -1 ←ここで止まってしまいます。

何か設定が間違っているのでしょうか?よろしくお願い致します。

871:名無しさん@お腹いっぱい。
07/11/08 12:41:49
ちっぷs: sshdを野良ビルドしてる時は、static にしたほうが良い。
OSをうpぐれした時に忘れて、離元ログインできなくなるので。

872:名無しさん@お腹いっぱい。
07/11/08 13:13:27
Linux (Debian と Ubuntu) で OpenSSH つかってるんですが、
この間うっかりしててサーバのディスクがフルになってしまい、
そのサーバへは ssh でのログインができなくなってしまいました。
結局現地に行って問題は解決したのですが、ディスクフルになると
sshd ってログインを受け付けなくなってしまうのでしょうか?

そもそもパーティションを切らずに /var も含めて一緒の
一つのファイルシステムで運用していた自分が悪いのですが、
もし /var や /tmp を別のパーティションにして運用していれば
たとえ /home を含む / がディスクフルになっても sshd は
ログインを受け付けてくれていたのでしょうか?

873:名無しさん@お腹いっぱい。
07/11/08 13:26:31
もう手動でフィルタ書くの疲れた。
日本以外からのアクセスは全てルータ単位でパケットごと捨てたいんだけど、どうすればいいんだろう?
簡単そうなのに見当が付かん。

874:名無しさん@お腹いっぱい。
07/11/08 13:51:52
>>873
事実上無理。
IPアドレスやドメイン名から「日本」を区別することは出来ないので。


875:名無しさん@お腹いっぱい。
07/11/08 13:53:37
IP アドレスはがんばればできんじゃね

876:名無しさん@お腹いっぱい。
07/11/08 13:55:58
完全ではなくても実用的には可能。
apnicが国別IP割り当てリストを公開しているので
月1くらいの頻度でそれをとってきてフィルタのテーブルを更新してる。
結構それなりに落としてくれる。
一応困ったときのためにフィルタしないアドレスブロックを入れる仕組みも
作ったが今のところ使ってない。

877:名無しさん@お腹いっぱい。
07/11/08 13:59:01
>>875,876
歴史的PIアドレスや、JPNICではなくAPNICメンバになってるようなISPから
割り振りを受けたIPアドレスは無視するというのなら出来なくはないが、
かなり漏れが出るよ。

「その辺のユーザは軒並み無視してOK」的な運用であれば可能だけど。

878:名無しさん@お腹いっぱい。
07/11/08 14:02:15
>>873
日本全部から許可する必要あんの?
自分が使う ISP だけ許可しとく、とかでいいんじゃね?

879:名無しさん@お腹いっぱい。
07/11/08 14:09:45
>>877
別に構わないのでは?
なんなら手で書いたテーブルから追加するようにすればいいし。
話題の目的を理解してない希ガス。

880:名無しさん@お腹いっぱい。
07/11/08 14:50:00
逆引きして .jp じゃなければ弾く。
逆引き出来ねえなんてのは、野良IPだから弾けばよい。
.net やら、 .com で国内に逆引きを付けてる変態(ウチもそうだがw)
は、つど登録して置きゃおk。

881:名無しさん@お腹いっぱい。
07/11/08 15:10:05
そういえば、日本では逆引きできないISPって最近減ってきたかな。
しっかし、v6での逆引きってどうなるんだろう? 逆引きなんて無意味だから
やめちまえっていう話もv6どころかv4でもあるわけだし。

聞いたところによると韓国・中国では逆引きできないのが普通らしいね。

882:名無しさん@お腹いっぱい。
07/11/08 16:22:43
>>879
一応書いておかないと、WHOISやCIDRブロックリストから接続元が日本か
どうか正確に判断できると思っちゃってる人がたまにいるし、実際企業系の
サービスで使ってるサーバで、それをやろうとした痛い知り合いがいたので…。

で、sshdが動いているサーバへの接続とかだったら、個人的には許可する
ブロックごとに手動で登録でいいんじゃないかと思ったりもする。
そういうのがダメなぐらいシビアな運用なんだったら、「アクセス出来ない
ところだけ後から手動で追加」ってのもやっぱり駄目なんじゃないかなーと
か思ったり…。

883:名無しさん@お腹いっぱい。
07/11/08 16:25:00
>>878
動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
トチ狂ったバカの無差別攻撃がたまらん。georgeやらandyやらユーザ名を変えるだけならまだしも
それを片っ端からポート変えて試すとは…。なんたるトラフィックの無駄遣い。
せめて最初にポートスキャンしてくれればいいものを。

>>876 >>880の2方法が正解なのかな。どちらにしろPCルータじゃないとダメそうだ。
でも肝心の接続部分はハードウェアルータに任せたい。
そうなると間に挟むしか無いのか。昔ながらのファイアウォールだ。
なんかエレガントさに欠ける気がする。うーむ…。

884:名無しさん@お腹いっぱい。
07/11/08 16:25:49
>>883
> 動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
ならスレ違い。

885:名無しさん@お腹いっぱい。
07/11/08 16:37:18
>>884
???
sshd動かしたサーバでssh以外に何も使ってないの?

886:名無しさん@お腹いっぱい。
07/11/08 16:40:21
ssh 以外へのアクセス制限の話は
ssh スレでやる必要ないっしょ。

887:名無しさん@お腹いっぱい。
07/11/08 17:02:40
>>886
いやいや、sshへのアクセス制限の話だよ。
sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
そこに向けてまでsshログインしてこようとする輩がいるのよ。
だからサーバ群に到達する以前にルータの時点で国単位でパケットごと捨てたいという話。

888:名無しさん@お腹いっぱい。
07/11/08 17:04:07
22/tcp 宛だけ >>878 にすればいいじゃん。

889:名無しさん@お腹いっぱい。
07/11/08 17:11:40
>>888
もう釣られないぞ。

890:名無しさん@お腹いっぱい。
07/11/08 18:38:12
>>873
「東アジアフィルター」でぐぐれ

接続ルータは業務用ローエンド(RTX1100とかIX2015とかCisco1812Jなど)の
フィルタをたくさん書ける奴に交換すれば良かろう

891:名無しさん@お腹いっぱい。
07/11/08 18:58:32
>>890
おお!これは凄い!素晴らしい!ありがとう!

ルータは残念ながら元からRTX1100なのでした。
でも、これ見る限りある程度ざっくり切れそう。

892:名無しさん@お腹いっぱい。
07/11/08 19:14:29
無駄な努力せずに、ポート番号変えろよ。

893:名無しさん@お腹いっぱい。
07/11/08 21:41:36
ある意味正解かもな > ポート番号変更

894:名無しさん@お腹いっぱい。
07/11/08 22:09:27
887で、

|sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
|そこに向けてまでsshログインしてこようとする輩がいるのよ。

って書いているから、そういう奴には、ポート番号変えても無駄だろう。
空いている所には無理矢理入ろうとしているようだ。


895:名無しさん@お腹いっぱい。
07/11/09 01:15:54
普段はポートを閉じて置いて、決められた順番にポートを叩くと
必要なポートをあけてくれる knockd ってのが無かったっけ?(用途はsshに限らんが)
ちょっとめんどいけど、それなりに有効ではなかろうか。

896:名無しさん@お腹いっぱい。
07/11/09 10:35:38
めんどくさすぎっす

まだ ssh over TLS みたいにして
TLS のネゴしてからにするとかの方が…

やっぱ面倒だ…

897:名無しさん@お腹いっぱい。
07/11/09 11:13:35
放置プレイが一番楽


898:名無しさん@お腹いっぱい。
07/11/09 11:53:51
むしろこの際 jail の下とかに account/password が
root/root みたいなのを用意して捕獲して眺めるとか

ログ付きの sh とかないのかな?

899:名無しさん@お腹いっぱい。
07/11/09 12:15:34
>>897
実害はauth関連のログが溢れる程度なんで、手間をかけてまで対策かけるのは
確かにアホらしいんだよなぁ。

900:名無しさん@お腹いっぱい。
07/11/09 13:12:33
IPで制限かけるのは無理だと悟ったので、hosts.allowからspawnでシェルスクリプトを呼び出して、
一定回数以上ログインに失敗する or rootでログインしようとしたIPからのアクセスを
iptablesで5分くらい弾くようにしてる。ログも溢れないし、精神衛生的にも良い。

901:名無しさん@お腹いっぱい。
07/11/09 13:12:59
>>895
見てみたがSolarisだとダメなのか…。

902:名無しさん@お腹いっぱい。
07/11/20 11:21:36
>901
その昔、
URLリンク(phenoelit-us.org)
をSolarisに移植して遊んでたことがある。昔過ぎて移植した
ソースは失われ、上のlinkが辛うじて残るのみだった...


903:名無しさん@お腹いっぱい。
07/12/07 05:13:17
>>900
URLリンク(danger.rulez.sk)
BSD系とかだとこんなのあるみたいですよん

さらに、うちは独自にSSH用DNSRBL作ってサーバ群で共有して弾いてますけど
そこそこに弾いてくれます。
利用者ドメインが.JPのみのサーバでも、どこかで検出したら同じIPアドレス
とは格闘しなくてよいですが、一部IPアドレスが連番なサーバ群に同時に
攻撃されると一時的に両方ともが相手することになるのが気になったりしますね。

904:名無しさん@お腹いっぱい。
07/12/11 07:48:44
sshfsを起動時にマウントする方法を教えてください。

905:名無しさん@お腹いっぱい。
07/12/11 20:39:49
シェルスクリプト内で、ssh接続して公開鍵認証で無く、パスワード認証になった場合は
パスワードプロンプトからシェルにプロンプトを戻す設定ってありますでしょうか?

下記のようなスクリプトを実行した場合にプロンプトが戻るようにしたいです。

[root@www ssh]# cat aaa.sh
ssh -l guest 192.168.10.3
echo $?

公開鍵認証だけに設定するのは要件からできません。
よろしくお願いします。

906:名無しさん@お腹いっぱい。
07/12/11 21:01:24
>>905
expectやzshのzptyについて調べたほうがいいような気がする

907:名無しさん@お腹いっぱい。
07/12/11 21:12:35
>>905

ssh -l guest 192.168.10.3 -o 'PasswordAuthentication no'

908:名無しさん@お腹いっぱい。
07/12/11 21:15:12
SSHで接続しようとすると接続までに 30 秒ほど時間のかかるサーバーがあります.
接続後は問題ありません.認証は公開鍵暗号を使っています.

ssh -vv で見てみると次の表示をした後とまっているようです.
なにがまずいんでしょうか?

>debug2: we sent a publickey packet, wait for reply

909:名無しさん@お腹いっぱい。
07/12/11 21:40:52
>>908
逆引きできてるかい?

910:908
07/12/11 21:43:46
>>909
逆引きはできてないです.
この場合どういう設定をすれば待ちを回避できるのでしょうか?

911:名無しさん@お腹いっぱい。
07/12/11 21:54:56
>>906,907
回答ありがとうございます。なるほどそういう方法もあるんですね。
ただ、その場合回避はクライアントに依存することになるかと思います。

サーバ側設定で「公開鍵認証できない場合は。。。」で処理を分けるというのは
やはりできないでしょうか?


912:名無しさん@お腹いっぱい。
07/12/11 21:57:02
>>911
なんだ、サーバー側をいじっていいのかよ。それを先に言え。
サーバー側の ssh_config で、 PasswordAuthentication no を設定。

以上。

913:名無しさん@お腹いっぱい。
07/12/11 22:02:26
sshサーバ側hostsにクライアントのエントリ書いて治まればlibwrapだな

914:名無しさん@お腹いっぱい。
07/12/12 00:09:33
>>912
それだと公開鍵認証接続しか許可しないのでは?
パスワード認証になった場合、TELNET接続のように一定時間で
プロンプトが戻ってくるようにしたいのですが、上手い方法が
無くて悩んでいます。

915:名無しさん@お腹いっぱい。
07/12/12 17:21:07
ちゃんと要件整理してから出直しておくれ…

916:名無しさん@お腹いっぱい。
07/12/20 14:36:35
sshfsでsftpをマウントしているのですが、マシンの起動時に、マウントする方法を教えてください。
パスワードで躓いています。

917:名無しさん@お腹いっぱい。
07/12/20 16:26:07
>>916
パスワードを使わないようにする


918:名無しさん@お腹いっぱい。
07/12/20 18:59:58
>>916 パスフレーズなしの鍵で認証すればおk

919:名無しさん@お腹いっぱい。
07/12/20 19:52:51
puttyならつながるのに、いつの間に、ttsshは、opensshとの相性が
悪くなってやがんのよ? 事前共有鍵とか作って置いておけっての?
はあぁ・・・

920:名無しさん@お腹いっぱい。
07/12/20 22:45:50
>>919
今のご時世、Poderosaじゃね?

921:名無しさん@お腹いっぱい。
07/12/20 23:21:23
ターミナルエミュレータなのに.NETアプリで重いというのがなぁ

922:名無しさん@お腹いっぱい。
07/12/21 00:10:57
>>921
重いのはインストール時と初回起動時だなw

タブブラウジング出来るってのは、やはり正義だ。
20台纏めて面倒見なきゃならん時なんかは、寺よりもポデの方が便利。
ショートカットでのタブ移動を憶えたら、もう戻れない身体になってしまった。
アプリ自体も安定しているしね。

ただし、富士通SPARC機のXSCFには何故か接続出来ないという罠が待っている。
XSCFだけ寺を使うしかないという罠。

923:名無しさん@お腹いっぱい。
07/12/21 07:41:20
>>922
GNU screen使いなんで、タブとかはまるで使わんからなぁ。

924:名無しさん@お腹いっぱい。
07/12/21 10:04:01
>>923
>20台纏めて

まぁそれでも俺はパテ使いだが。SDIだろ結局。

925:名無しさん@お腹いっぱい。
07/12/21 12:20:36
screenを起動したマシンから、windowを新しく開いてそこからsshしてるのではないかと。
キーボード操作だけでコピペできるのは非常に便利。

Poderosaは.NETな時点で使わない。個人的に.NET嫌いなので。それにPuTTYほど細かいカスタマイズができない。

926:名無しさん@お腹いっぱい。
07/12/21 13:28:46
個人でせいぜい数台管理するのと
サバ管が何十台も管理するんじゃ違うと思う。

927:名無しさん@お腹いっぱい。
07/12/21 14:57:34
>>925
そそ。そこから各マシンにはずっとsshしっぱなしなので、
いちいちtermのほうで何度もsshをする必要ないし。

928:名無しさん@お腹いっぱい。
07/12/21 17:13:08
メイン環境がMac OS Xだから、そういった事に気を使う事は不要だったりする :-)
単にTerminal.app開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。

929:名無しさん@お腹いっぱい。
07/12/21 20:34:09
メイン環境がFreeBSDだから、そういった事に気を使う事は不要だったりする :-)
単にKTerm開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。


930:名無しさん@お腹いっぱい。
07/12/21 21:05:42
メイン環境がCygwinだから、そういった事に気を使う事は不要だったりする :-)
単にkterm開いて、そのままsshコマンド打つだけだからね。
Macかぶれな人は面倒だねぇ。

931:名無しさん@お腹いっぱい。
07/12/21 21:25:53
同時に何枚も開くときの話じゃねーの?

932:名無しさん@お腹いっぱい。
07/12/21 21:38:43
>>931
そこでscreenですよ

933:名無しさん@お腹いっぱい。
07/12/22 12:18:22
ubuntuにdenyhostsを入れたのですが、パソコンの起動時にdenyhostsが起動してくれません。
どこで設定すればよいのでしょうか?

934:名無しさん@お腹いっぱい。
07/12/26 10:36:43
>>933

URLリンク(www.ksknet.net)

935:名無しさん@お腹いっぱい。
07/12/27 01:05:58
sshfsを起動時にマウントしたいのですが、マウントの実行をrootではなくユーザーで行いたいのですが、
何かよい方法はないでしょうか?

936:名無しさん@お腹いっぱい。
07/12/27 01:24:24
>>935
cron

937:名無しさん@お腹いっぱい。
07/12/27 01:30:25
>>935
su

938:名無しさん@お腹いっぱい。
07/12/27 02:00:15
uidが0の「ユーザー」を作る。

939:名無しさん@お腹いっぱい。
07/12/28 00:30:02
toor?

940:質問させて下さい
07/12/31 03:59:30
sshの初心者ですいません
sshにつなぐことはできたのですがコマンドがわかりません;;

アクセス解析をサイトに入れたいのですが
入れたいサクセス解析
URLリンク(www.hping.org) (visitors0.7です)

某ブログより次のようにコマンドを打てばインストールされましたが、自分で指定したサーバー上の
フォルダにインストールしたいのですが、何度してエラーがでてしまい無理でした。

wget URLリンク(www.hping.org)
tar xvzf visitors-0.7.tar.gz
cd visitors_0.7
make
cp visitors /usr/bin



public_html/www.123.com/abc/
abcのフォルダにインストールしたい場合はどのようにコマンドをうってあげればいいのでしょうか?
よろしければアドバイスお願いします。



941:名無しさん@お腹いっぱい。
07/12/31 04:25:11
某ブログに聞け。
というよりも、ちゃんとドキュメント読むのが先。


942:名無しさん@お腹いっぱい。
07/12/31 09:57:29
>>940
キミに必要なのはsshの使い方じゃなくてUNIX,LINUXの使い方。
本屋行って入門書を買ってくるか、キミのように「自分が何をわかっ
ていない」かさえわからない超ウルトラ初心者でも暖かく迎え入れ
てくれるlinux板に行きなさい。

943:名無しさん@お腹いっぱい。
07/12/31 13:44:52
いまさらですが
>808からの流れであの方のAAが出てないのが不思議だw


944:名無しさん@お腹いっぱい。
08/01/01 03:43:14
>>928
もともとMacユーザで、10.3くらいまでは結構Terminal使ってたんだけど、PuTTYに比べて
・アンチエイリアスうぜー
・Emacsとか表示崩れすぎなんじゃボケ!!
って感じで
「Macツカエネー」と思ってたよ。
いまだいぶマシなの?

945:名無しさん@お腹いっぱい。
08/01/01 03:54:17
うん、少しは麻紙。
アンチエイリアスうぜーんだったら、xterm使えば四濾紙。


946:名無しさん@お腹いっぱい。
08/01/01 05:06:48
>>944
>アンチエイリアスうぜー

は?

>Emacsとか表示崩れすぎ

明らかに、設定が悪いだけだな
安置の攣りか?

947:名無しさん@お腹いっぱい。
08/01/01 05:11:28
元来のマック使いに、その辺りを期待するのは無謀。
アホでも使えるが売りだから。



948:名無しさん@お腹いっぱい。
08/01/01 05:16:14
sshじゃなくてターミナルエミュレータのスレでやれよ・・・

949:名無しさん@お腹いっぱい。
08/01/04 09:31:49
sshfsで一度マウントすると、再起動してもマウントされているのは仕様ですか?

950:名無しさん@お腹いっぱい。
08/01/04 10:57:49
>>949
/etc/fstab

951:名無しさん@お腹いっぱい。
08/01/05 10:26:17
見てみましたが、fstabにはsshfs関係の設定は何も書かれていないのですが、・・・

952:名無しさん@お腹いっぱい。
08/01/05 11:18:24
スレリンク(linux板:659番)

953:名無しさん@お腹いっぱい。
08/01/10 16:22:15
皆さんお元気ですか?私は質問したい。
port forwarding で2つ以上のマッスィーンを一発でトンネルできるか?できるのか?
可能ですか否ですか?飛び石は面倒な気持ちなんです。

954:名無しさん@お腹いっぱい。
08/01/10 16:25:07
「chi」を「スィ」と発音するのかよw

955:名無しさん@お腹いっぱい。
08/01/10 17:05:21
するよな?

956:名無しさん@お腹いっぱい。
08/01/10 17:14:50
さぁ~?


957:名無しさん@お腹いっぱい。
08/01/10 17:15:23
[∫i] ≠ スィ

958:名無しさん@お腹いっぱい。
08/01/10 17:18:41
ミシン(←英語は発音大事)

959:名無しさん@お腹いっぱい。
08/01/10 17:19:40
んー、やっぱ出来るわけないですよね常考。2つ以上のマチャイネを一発でトンネルなんて。
コツコツport forward する。皆さんの生暖かい応対に感激いたしました。バイビー

960:名無しさん@お腹いっぱい。
08/01/10 17:24:06
×トンネル
○タノウ(←英語は発音大事)

961:名無しさん@お腹いっぱい。
08/01/10 17:34:14
マチャアキ、頼む…

962:名無しさん@お腹いっぱい。
08/01/10 19:05:56
「スィ」 じゃなくて 「シュイ」 って感じ

963:名無しさん@お腹いっぱい。
08/01/12 04:43:15
>>953
一発では無理だよ

964:名無しさん@お腹いっぱい。
08/01/19 13:20:21
どうして、しょっちゅうバグが見つかって、改訂されるのだろうかな。

965:名無しさん@お腹いっぱい。
08/01/19 16:16:48
「コードはバグを産み出す」って格言があるから。


966:名無しさん@お腹いっぱい。
08/01/19 20:16:02
バグが残ってるなんて怠慢だとか言う連中って
テストで毎回全教科満点とったり仕事はノーミスで優秀だったりするのか?

ま、964みたいなヤツがそうであるとは到底おもえないわけだが。
ただの無知か釣りでしかない。

967:名無しさん@お腹いっぱい。
08/01/19 20:18:56
>>964
OpenSSHでなくssh.com使っとけ
もう数年間freezeしたまんまだ

968:614
08/01/29 10:25:15
遅レススマソ

authorized_keys の特定のユーザーを消したいという話ですが、
公開鍵をみてもメールアドレスなどの情報はついてません・・・。

というか、自分で putty_gen とか Poderosa で生成したのがついてない orz


下記サイトの「authorized_keys ファイルの例:」を見たら、
URLリンク(www.unixuser.org)
# でコメントも書けるようですし、行末にスペース区切りでコメントOKみたいので・・・

って、putty_genで、「鍵のコメント」欄に適当にテキスト入れたら、
authorized_keys にコピペする公開鍵に上記アドレスの例のようにコメントつけられました。

今後はそれで行こうと思います。

969:名無しさん@お腹いっぱい。
08/02/07 21:21:40
windowsのpoderosaで作った公開鍵と秘密鍵で
poderosaからはパスフレーズを使ってログインできるんですが、
秘密鍵をlinuxクライアントに持っていき、ホームの.ssh/id_rsa に置き、
sshにログインしようとしたのですが、
同じパスフレーズでログインできないのはなぜでしょうか?

970:名無しさん@お腹いっぱい。
08/02/07 21:44:43
$HOME/.sshのディレクトリのパーミッションは700にすること。
755とかは不可。

971:名無しさん@お腹いっぱい。
08/02/08 10:43:42
FTPのasciiモードってオチじゃないの?

972:名無しさん@お腹いっぱい。
08/02/08 11:17:37
すでに自己解決しました。
ちなみに>>970 >>971 とも大はずしですww

973:名無しさん@お腹いっぱい。
08/02/08 11:18:21
クイズはやめれ

974:名無しさん@お腹いっぱい。
08/02/08 14:05:55
# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers hogehoge

# 接続制限
MaxStartups 3:75:10
LoginGraceTime 60
MaxAuthTries 10

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile /root/ssh/public_key.pub

975:名無しさん@お腹いっぱい。
08/02/08 14:06:17
# パスワード認証
PasswordAuthentication no
PermitEmptyPasswords no

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

# パーミッションチェック
StrictModes yes

# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server


# 以下はProtocol 2なので設定不要??
# RhostsRSAAuthentication no
# RSAAuthentication yes

これだけ設定しとけば十分?

976:名無しさん@お腹いっぱい。
08/02/08 20:23:55
PermitRootLoginはnoの方がいいんじゃね?
root権限が必要ならsuなりsudoなり使えばいいんだし。

977:名無しさん@お腹いっぱい。
08/02/08 20:29:59
>>976
はげどう
最低でも without-password にすべき

978:名無しさん@お腹いっぱい。
08/02/08 20:32:29
without-password ってパスワードなしの認証?

979:名無しさん@お腹いっぱい。
08/02/08 20:38:57
PAMも使った方がイイんじゃね。

980:名無しさん@お腹いっぱい。
08/02/08 20:44:55
>>979
なんで?

981:名無しさん@お腹いっぱい。
08/02/08 22:12:43
>>978
パスワードなし、鍵での認証は可能

>>979
PAM を理解できているなら、PAMで制御した方が安全にはなるな。




最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch