07/11/08 13:53:37
IP アドレスはがんばればできんじゃね
876:名無しさん@お腹いっぱい。
07/11/08 13:55:58
完全ではなくても実用的には可能。
apnicが国別IP割り当てリストを公開しているので
月1くらいの頻度でそれをとってきてフィルタのテーブルを更新してる。
結構それなりに落としてくれる。
一応困ったときのためにフィルタしないアドレスブロックを入れる仕組みも
作ったが今のところ使ってない。
877:名無しさん@お腹いっぱい。
07/11/08 13:59:01
>>875,876
歴史的PIアドレスや、JPNICではなくAPNICメンバになってるようなISPから
割り振りを受けたIPアドレスは無視するというのなら出来なくはないが、
かなり漏れが出るよ。
「その辺のユーザは軒並み無視してOK」的な運用であれば可能だけど。
878:名無しさん@お腹いっぱい。
07/11/08 14:02:15
>>873
日本全部から許可する必要あんの?
自分が使う ISP だけ許可しとく、とかでいいんじゃね?
879:名無しさん@お腹いっぱい。
07/11/08 14:09:45
>>877
別に構わないのでは?
なんなら手で書いたテーブルから追加するようにすればいいし。
話題の目的を理解してない希ガス。
880:名無しさん@お腹いっぱい。
07/11/08 14:50:00
逆引きして .jp じゃなければ弾く。
逆引き出来ねえなんてのは、野良IPだから弾けばよい。
.net やら、 .com で国内に逆引きを付けてる変態(ウチもそうだがw)
は、つど登録して置きゃおk。
881:名無しさん@お腹いっぱい。
07/11/08 15:10:05
そういえば、日本では逆引きできないISPって最近減ってきたかな。
しっかし、v6での逆引きってどうなるんだろう? 逆引きなんて無意味だから
やめちまえっていう話もv6どころかv4でもあるわけだし。
聞いたところによると韓国・中国では逆引きできないのが普通らしいね。
882:名無しさん@お腹いっぱい。
07/11/08 16:22:43
>>879
一応書いておかないと、WHOISやCIDRブロックリストから接続元が日本か
どうか正確に判断できると思っちゃってる人がたまにいるし、実際企業系の
サービスで使ってるサーバで、それをやろうとした痛い知り合いがいたので…。
で、sshdが動いているサーバへの接続とかだったら、個人的には許可する
ブロックごとに手動で登録でいいんじゃないかと思ったりもする。
そういうのがダメなぐらいシビアな運用なんだったら、「アクセス出来ない
ところだけ後から手動で追加」ってのもやっぱり駄目なんじゃないかなーと
か思ったり…。
883:名無しさん@お腹いっぱい。
07/11/08 16:25:00
>>878
動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
トチ狂ったバカの無差別攻撃がたまらん。georgeやらandyやらユーザ名を変えるだけならまだしも
それを片っ端からポート変えて試すとは…。なんたるトラフィックの無駄遣い。
せめて最初にポートスキャンしてくれればいいものを。
>>876 >>880の2方法が正解なのかな。どちらにしろPCルータじゃないとダメそうだ。
でも肝心の接続部分はハードウェアルータに任せたい。
そうなると間に挟むしか無いのか。昔ながらのファイアウォールだ。
なんかエレガントさに欠ける気がする。うーむ…。
884:名無しさん@お腹いっぱい。
07/11/08 16:25:49
>>883
> 動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
ならスレ違い。
885:名無しさん@お腹いっぱい。
07/11/08 16:37:18
>>884
???
sshd動かしたサーバでssh以外に何も使ってないの?
886:名無しさん@お腹いっぱい。
07/11/08 16:40:21
ssh 以外へのアクセス制限の話は
ssh スレでやる必要ないっしょ。
887:名無しさん@お腹いっぱい。
07/11/08 17:02:40
>>886
いやいや、sshへのアクセス制限の話だよ。
sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
そこに向けてまでsshログインしてこようとする輩がいるのよ。
だからサーバ群に到達する以前にルータの時点で国単位でパケットごと捨てたいという話。
888:名無しさん@お腹いっぱい。
07/11/08 17:04:07
22/tcp 宛だけ >>878 にすればいいじゃん。
889:名無しさん@お腹いっぱい。
07/11/08 17:11:40
>>888
もう釣られないぞ。
890:名無しさん@お腹いっぱい。
07/11/08 18:38:12
>>873
「東アジアフィルター」でぐぐれ
接続ルータは業務用ローエンド(RTX1100とかIX2015とかCisco1812Jなど)の
フィルタをたくさん書ける奴に交換すれば良かろう
891:名無しさん@お腹いっぱい。
07/11/08 18:58:32
>>890
おお!これは凄い!素晴らしい!ありがとう!
ルータは残念ながら元からRTX1100なのでした。
でも、これ見る限りある程度ざっくり切れそう。
892:名無しさん@お腹いっぱい。
07/11/08 19:14:29
無駄な努力せずに、ポート番号変えろよ。
893:名無しさん@お腹いっぱい。
07/11/08 21:41:36
ある意味正解かもな > ポート番号変更
894:名無しさん@お腹いっぱい。
07/11/08 22:09:27
887で、
|sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
|そこに向けてまでsshログインしてこようとする輩がいるのよ。
って書いているから、そういう奴には、ポート番号変えても無駄だろう。
空いている所には無理矢理入ろうとしているようだ。
895:名無しさん@お腹いっぱい。
07/11/09 01:15:54
普段はポートを閉じて置いて、決められた順番にポートを叩くと
必要なポートをあけてくれる knockd ってのが無かったっけ?(用途はsshに限らんが)
ちょっとめんどいけど、それなりに有効ではなかろうか。
896:名無しさん@お腹いっぱい。
07/11/09 10:35:38
めんどくさすぎっす
まだ ssh over TLS みたいにして
TLS のネゴしてからにするとかの方が…
やっぱ面倒だ…
897:名無しさん@お腹いっぱい。
07/11/09 11:13:35
放置プレイが一番楽
898:名無しさん@お腹いっぱい。
07/11/09 11:53:51
むしろこの際 jail の下とかに account/password が
root/root みたいなのを用意して捕獲して眺めるとか
ログ付きの sh とかないのかな?
899:名無しさん@お腹いっぱい。
07/11/09 12:15:34
>>897
実害はauth関連のログが溢れる程度なんで、手間をかけてまで対策かけるのは
確かにアホらしいんだよなぁ。
900:名無しさん@お腹いっぱい。
07/11/09 13:12:33
IPで制限かけるのは無理だと悟ったので、hosts.allowからspawnでシェルスクリプトを呼び出して、
一定回数以上ログインに失敗する or rootでログインしようとしたIPからのアクセスを
iptablesで5分くらい弾くようにしてる。ログも溢れないし、精神衛生的にも良い。
901:名無しさん@お腹いっぱい。
07/11/09 13:12:59
>>895
見てみたがSolarisだとダメなのか…。
902:名無しさん@お腹いっぱい。
07/11/20 11:21:36
>901
その昔、
URLリンク(phenoelit-us.org)
をSolarisに移植して遊んでたことがある。昔過ぎて移植した
ソースは失われ、上のlinkが辛うじて残るのみだった...
903:名無しさん@お腹いっぱい。
07/12/07 05:13:17
>>900
URLリンク(danger.rulez.sk)
BSD系とかだとこんなのあるみたいですよん
さらに、うちは独自にSSH用DNSRBL作ってサーバ群で共有して弾いてますけど
そこそこに弾いてくれます。
利用者ドメインが.JPのみのサーバでも、どこかで検出したら同じIPアドレス
とは格闘しなくてよいですが、一部IPアドレスが連番なサーバ群に同時に
攻撃されると一時的に両方ともが相手することになるのが気になったりしますね。
904:名無しさん@お腹いっぱい。
07/12/11 07:48:44
sshfsを起動時にマウントする方法を教えてください。
905:名無しさん@お腹いっぱい。
07/12/11 20:39:49
シェルスクリプト内で、ssh接続して公開鍵認証で無く、パスワード認証になった場合は
パスワードプロンプトからシェルにプロンプトを戻す設定ってありますでしょうか?
下記のようなスクリプトを実行した場合にプロンプトが戻るようにしたいです。
[root@www ssh]# cat aaa.sh
ssh -l guest 192.168.10.3
echo $?
公開鍵認証だけに設定するのは要件からできません。
よろしくお願いします。
906:名無しさん@お腹いっぱい。
07/12/11 21:01:24
>>905
expectやzshのzptyについて調べたほうがいいような気がする
907:名無しさん@お腹いっぱい。
07/12/11 21:12:35
>>905
ssh -l guest 192.168.10.3 -o 'PasswordAuthentication no'
908:名無しさん@お腹いっぱい。
07/12/11 21:15:12
SSHで接続しようとすると接続までに 30 秒ほど時間のかかるサーバーがあります.
接続後は問題ありません.認証は公開鍵暗号を使っています.
ssh -vv で見てみると次の表示をした後とまっているようです.
なにがまずいんでしょうか?
>debug2: we sent a publickey packet, wait for reply
909:名無しさん@お腹いっぱい。
07/12/11 21:40:52
>>908
逆引きできてるかい?
910:908
07/12/11 21:43:46
>>909
逆引きはできてないです.
この場合どういう設定をすれば待ちを回避できるのでしょうか?
911:名無しさん@お腹いっぱい。
07/12/11 21:54:56
>>906,907
回答ありがとうございます。なるほどそういう方法もあるんですね。
ただ、その場合回避はクライアントに依存することになるかと思います。
サーバ側設定で「公開鍵認証できない場合は。。。」で処理を分けるというのは
やはりできないでしょうか?
912:名無しさん@お腹いっぱい。
07/12/11 21:57:02
>>911
なんだ、サーバー側をいじっていいのかよ。それを先に言え。
サーバー側の ssh_config で、 PasswordAuthentication no を設定。
以上。
913:名無しさん@お腹いっぱい。
07/12/11 22:02:26
sshサーバ側hostsにクライアントのエントリ書いて治まればlibwrapだな
914:名無しさん@お腹いっぱい。
07/12/12 00:09:33
>>912
それだと公開鍵認証接続しか許可しないのでは?
パスワード認証になった場合、TELNET接続のように一定時間で
プロンプトが戻ってくるようにしたいのですが、上手い方法が
無くて悩んでいます。
915:名無しさん@お腹いっぱい。
07/12/12 17:21:07
ちゃんと要件整理してから出直しておくれ…
916:名無しさん@お腹いっぱい。
07/12/20 14:36:35
sshfsでsftpをマウントしているのですが、マシンの起動時に、マウントする方法を教えてください。
パスワードで躓いています。
917:名無しさん@お腹いっぱい。
07/12/20 16:26:07
>>916
パスワードを使わないようにする
918:名無しさん@お腹いっぱい。
07/12/20 18:59:58
>>916 パスフレーズなしの鍵で認証すればおk
919:名無しさん@お腹いっぱい。
07/12/20 19:52:51
puttyならつながるのに、いつの間に、ttsshは、opensshとの相性が
悪くなってやがんのよ? 事前共有鍵とか作って置いておけっての?
はあぁ・・・
920:名無しさん@お腹いっぱい。
07/12/20 22:45:50
>>919
今のご時世、Poderosaじゃね?
921:名無しさん@お腹いっぱい。
07/12/20 23:21:23
ターミナルエミュレータなのに.NETアプリで重いというのがなぁ
922:名無しさん@お腹いっぱい。
07/12/21 00:10:57
>>921
重いのはインストール時と初回起動時だなw
タブブラウジング出来るってのは、やはり正義だ。
20台纏めて面倒見なきゃならん時なんかは、寺よりもポデの方が便利。
ショートカットでのタブ移動を憶えたら、もう戻れない身体になってしまった。
アプリ自体も安定しているしね。
ただし、富士通SPARC機のXSCFには何故か接続出来ないという罠が待っている。
XSCFだけ寺を使うしかないという罠。
923:名無しさん@お腹いっぱい。
07/12/21 07:41:20
>>922
GNU screen使いなんで、タブとかはまるで使わんからなぁ。
924:名無しさん@お腹いっぱい。
07/12/21 10:04:01
>>923
>20台纏めて
まぁそれでも俺はパテ使いだが。SDIだろ結局。
925:名無しさん@お腹いっぱい。
07/12/21 12:20:36
screenを起動したマシンから、windowを新しく開いてそこからsshしてるのではないかと。
キーボード操作だけでコピペできるのは非常に便利。
Poderosaは.NETな時点で使わない。個人的に.NET嫌いなので。それにPuTTYほど細かいカスタマイズができない。
926:名無しさん@お腹いっぱい。
07/12/21 13:28:46
個人でせいぜい数台管理するのと
サバ管が何十台も管理するんじゃ違うと思う。
927:名無しさん@お腹いっぱい。
07/12/21 14:57:34
>>925
そそ。そこから各マシンにはずっとsshしっぱなしなので、
いちいちtermのほうで何度もsshをする必要ないし。
928:名無しさん@お腹いっぱい。
07/12/21 17:13:08
メイン環境がMac OS Xだから、そういった事に気を使う事は不要だったりする :-)
単にTerminal.app開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
929:名無しさん@お腹いっぱい。
07/12/21 20:34:09
メイン環境がFreeBSDだから、そういった事に気を使う事は不要だったりする :-)
単にKTerm開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
930:名無しさん@お腹いっぱい。
07/12/21 21:05:42
メイン環境がCygwinだから、そういった事に気を使う事は不要だったりする :-)
単にkterm開いて、そのままsshコマンド打つだけだからね。
Macかぶれな人は面倒だねぇ。
931:名無しさん@お腹いっぱい。
07/12/21 21:25:53
同時に何枚も開くときの話じゃねーの?
932:名無しさん@お腹いっぱい。
07/12/21 21:38:43
>>931
そこでscreenですよ
933:名無しさん@お腹いっぱい。
07/12/22 12:18:22
ubuntuにdenyhostsを入れたのですが、パソコンの起動時にdenyhostsが起動してくれません。
どこで設定すればよいのでしょうか?
934:名無しさん@お腹いっぱい。
07/12/26 10:36:43
>>933
URLリンク(www.ksknet.net)
935:名無しさん@お腹いっぱい。
07/12/27 01:05:58
sshfsを起動時にマウントしたいのですが、マウントの実行をrootではなくユーザーで行いたいのですが、
何かよい方法はないでしょうか?
936:名無しさん@お腹いっぱい。
07/12/27 01:24:24
>>935
cron
937:名無しさん@お腹いっぱい。
07/12/27 01:30:25
>>935
su
938:名無しさん@お腹いっぱい。
07/12/27 02:00:15
uidが0の「ユーザー」を作る。
939:名無しさん@お腹いっぱい。
07/12/28 00:30:02
toor?
940:質問させて下さい
07/12/31 03:59:30
sshの初心者ですいません
sshにつなぐことはできたのですがコマンドがわかりません;;
アクセス解析をサイトに入れたいのですが
入れたいサクセス解析
URLリンク(www.hping.org) (visitors0.7です)
某ブログより次のようにコマンドを打てばインストールされましたが、自分で指定したサーバー上の
フォルダにインストールしたいのですが、何度してエラーがでてしまい無理でした。
wget URLリンク(www.hping.org)
tar xvzf visitors-0.7.tar.gz
cd visitors_0.7
make
cp visitors /usr/bin
public_html/www.123.com/abc/
abcのフォルダにインストールしたい場合はどのようにコマンドをうってあげればいいのでしょうか?
よろしければアドバイスお願いします。
941:名無しさん@お腹いっぱい。
07/12/31 04:25:11
某ブログに聞け。
というよりも、ちゃんとドキュメント読むのが先。
942:名無しさん@お腹いっぱい。
07/12/31 09:57:29
>>940
キミに必要なのはsshの使い方じゃなくてUNIX,LINUXの使い方。
本屋行って入門書を買ってくるか、キミのように「自分が何をわかっ
ていない」かさえわからない超ウルトラ初心者でも暖かく迎え入れ
てくれるlinux板に行きなさい。
943:名無しさん@お腹いっぱい。
07/12/31 13:44:52
いまさらですが
>808からの流れであの方のAAが出てないのが不思議だw
944:名無しさん@お腹いっぱい。
08/01/01 03:43:14
>>928
もともとMacユーザで、10.3くらいまでは結構Terminal使ってたんだけど、PuTTYに比べて
・アンチエイリアスうぜー
・Emacsとか表示崩れすぎなんじゃボケ!!
って感じで
「Macツカエネー」と思ってたよ。
いまだいぶマシなの?
945:名無しさん@お腹いっぱい。
08/01/01 03:54:17
うん、少しは麻紙。
アンチエイリアスうぜーんだったら、xterm使えば四濾紙。
946:名無しさん@お腹いっぱい。
08/01/01 05:06:48
>>944
>アンチエイリアスうぜー
は?
>Emacsとか表示崩れすぎ
明らかに、設定が悪いだけだな
安置の攣りか?
947:名無しさん@お腹いっぱい。
08/01/01 05:11:28
元来のマック使いに、その辺りを期待するのは無謀。
アホでも使えるが売りだから。
948:名無しさん@お腹いっぱい。
08/01/01 05:16:14
sshじゃなくてターミナルエミュレータのスレでやれよ・・・
949:名無しさん@お腹いっぱい。
08/01/04 09:31:49
sshfsで一度マウントすると、再起動してもマウントされているのは仕様ですか?
950:名無しさん@お腹いっぱい。
08/01/04 10:57:49
>>949
/etc/fstab
951:名無しさん@お腹いっぱい。
08/01/05 10:26:17
見てみましたが、fstabにはsshfs関係の設定は何も書かれていないのですが、・・・
952:名無しさん@お腹いっぱい。
08/01/05 11:18:24
スレリンク(linux板:659番)
953:名無しさん@お腹いっぱい。
08/01/10 16:22:15
皆さんお元気ですか?私は質問したい。
port forwarding で2つ以上のマッスィーンを一発でトンネルできるか?できるのか?
可能ですか否ですか?飛び石は面倒な気持ちなんです。
954:名無しさん@お腹いっぱい。
08/01/10 16:25:07
「chi」を「スィ」と発音するのかよw
955:名無しさん@お腹いっぱい。
08/01/10 17:05:21
するよな?
956:名無しさん@お腹いっぱい。
08/01/10 17:14:50
さぁ~?
957:名無しさん@お腹いっぱい。
08/01/10 17:15:23
[∫i] ≠ スィ
958:名無しさん@お腹いっぱい。
08/01/10 17:18:41
ミシン(←英語は発音大事)
959:名無しさん@お腹いっぱい。
08/01/10 17:19:40
んー、やっぱ出来るわけないですよね常考。2つ以上のマチャイネを一発でトンネルなんて。
コツコツport forward する。皆さんの生暖かい応対に感激いたしました。バイビー
960:名無しさん@お腹いっぱい。
08/01/10 17:24:06
×トンネル
○タノウ(←英語は発音大事)
961:名無しさん@お腹いっぱい。
08/01/10 17:34:14
マチャアキ、頼む…
962:名無しさん@お腹いっぱい。
08/01/10 19:05:56
「スィ」 じゃなくて 「シュイ」 って感じ
963:名無しさん@お腹いっぱい。
08/01/12 04:43:15
>>953
一発では無理だよ
964:名無しさん@お腹いっぱい。
08/01/19 13:20:21
どうして、しょっちゅうバグが見つかって、改訂されるのだろうかな。
965:名無しさん@お腹いっぱい。
08/01/19 16:16:48
「コードはバグを産み出す」って格言があるから。
966:名無しさん@お腹いっぱい。
08/01/19 20:16:02
バグが残ってるなんて怠慢だとか言う連中って
テストで毎回全教科満点とったり仕事はノーミスで優秀だったりするのか?
ま、964みたいなヤツがそうであるとは到底おもえないわけだが。
ただの無知か釣りでしかない。
967:名無しさん@お腹いっぱい。
08/01/19 20:18:56
>>964
OpenSSHでなくssh.com使っとけ
もう数年間freezeしたまんまだ
968:614
08/01/29 10:25:15
遅レススマソ
authorized_keys の特定のユーザーを消したいという話ですが、
公開鍵をみてもメールアドレスなどの情報はついてません・・・。
というか、自分で putty_gen とか Poderosa で生成したのがついてない orz
下記サイトの「authorized_keys ファイルの例:」を見たら、
URLリンク(www.unixuser.org)
# でコメントも書けるようですし、行末にスペース区切りでコメントOKみたいので・・・
って、putty_genで、「鍵のコメント」欄に適当にテキスト入れたら、
authorized_keys にコピペする公開鍵に上記アドレスの例のようにコメントつけられました。
今後はそれで行こうと思います。
969:名無しさん@お腹いっぱい。
08/02/07 21:21:40
windowsのpoderosaで作った公開鍵と秘密鍵で
poderosaからはパスフレーズを使ってログインできるんですが、
秘密鍵をlinuxクライアントに持っていき、ホームの.ssh/id_rsa に置き、
sshにログインしようとしたのですが、
同じパスフレーズでログインできないのはなぜでしょうか?
970:名無しさん@お腹いっぱい。
08/02/07 21:44:43
$HOME/.sshのディレクトリのパーミッションは700にすること。
755とかは不可。
971:名無しさん@お腹いっぱい。
08/02/08 10:43:42
FTPのasciiモードってオチじゃないの?
972:名無しさん@お腹いっぱい。
08/02/08 11:17:37
すでに自己解決しました。
ちなみに>>970 >>971 とも大はずしですww
973:名無しさん@お腹いっぱい。
08/02/08 11:18:21
クイズはやめれ
974:名無しさん@お腹いっぱい。
08/02/08 14:05:55
# SSHプロトコルの指定
Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers hogehoge
# 接続制限
MaxStartups 3:75:10
LoginGraceTime 60
MaxAuthTries 10
# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile /root/ssh/public_key.pub
975:名無しさん@お腹いっぱい。
08/02/08 14:06:17
# パスワード認証
PasswordAuthentication no
PermitEmptyPasswords no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
# 以下はProtocol 2なので設定不要??
# RhostsRSAAuthentication no
# RSAAuthentication yes
これだけ設定しとけば十分?
976:名無しさん@お腹いっぱい。
08/02/08 20:23:55
PermitRootLoginはnoの方がいいんじゃね?
root権限が必要ならsuなりsudoなり使えばいいんだし。
977:名無しさん@お腹いっぱい。
08/02/08 20:29:59
>>976
はげどう
最低でも without-password にすべき
978:名無しさん@お腹いっぱい。
08/02/08 20:32:29
without-password ってパスワードなしの認証?
979:名無しさん@お腹いっぱい。
08/02/08 20:38:57
PAMも使った方がイイんじゃね。
980:名無しさん@お腹いっぱい。
08/02/08 20:44:55
>>979
なんで?
981:名無しさん@お腹いっぱい。
08/02/08 22:12:43
>>978
パスワードなし、鍵での認証は可能
>>979
PAM を理解できているなら、PAMで制御した方が安全にはなるな。