08/06/22 00:19:43
接続元によるアクセス制限は sshd の標準機能で実現可能です。
man sshd の authorized_keys あたりの記述をもう一度確認してみてください。
ディレクトリ制限は4.9以降の sshd か、 chrootssh, scponly あたりで実現可。
ファイルのコピーだけがしたいのであれば、scponlyやrsyncも検討すべし。
128:名無しさん@お腹いっぱい。
08/06/22 00:21:59
>>126
公開鍵認証ができてるってことは、
「Aから貰った公開鍵では「serverA」と言うユーザでしかログイン出来なくし」
ってのはすでに実現できていますね。
もうちょっと勉強しましよう。
129:へたれです(><)
08/06/22 12:45:18
>>127
>>128
早速のご回答ありがとうございます。
記述がもれておりました(汗)
サーバC(192.168.10.1)からも公開鍵を使ってSSH通信が可能な
設定にしてこちらは管理者なのでroot権限を与えたいと思ってます。
>>128
サーバAの設定は 「ssh serverA@192.168.30.1」で
サーバBは公開鍵と「serverA」ユーザを紐付ければ良いって事ですね?
130:名無しさん@お腹いっぱい。
08/06/23 01:09:01
>>129
君には無理。
131:名無しさん@お腹いっぱい。
08/06/27 04:55:39
君には無理とかじゃなく何回読み返しても質問の意図がまったく解らん
132:名無しさん@お腹いっぱい。
08/07/20 16:44:22
自作プログラムをscpで送りつけてsshでリモート実行したら
> scp a.out 192.168.1.20:tmp
a.out 100% 6497 6.3KB/s 00:00
> ssh 192.168.1.20 ~/tmp/a.out
/libexec/ld-elf.so.1: Shared object "libstdc++.so.5" not found, required by "a.out"
と言われて実行できません。
libstdc++の問題なのはわかるのですが、その先がわかりません
基本的なことですがよろしくお願いします。
133:名無しさん@お腹いっぱい。
08/07/20 16:46:27
>>132
ssh は関係ありません。
gcc -static で、static リンクしてください。
134:名無しさん@お腹いっぱい。
08/07/20 16:51:54
libstdc++.so.5は今は古いな。
ローカルホストにlibstdc++.so.6をインストールして、
それとリンクしたa.outを作ってscpで送り付けるか、
リモート側にlibstdc++.so.5をインストールするかのどちらか。
スタティックリンクは最後の手段で、普通はお勧めしない。
135:名無しさん@お腹いっぱい。
08/07/20 16:55:11
>>134
> スタティックリンクは最後の手段で、普通はお勧めしない。
なんで?
136:名無しさん@お腹いっぱい。
08/07/20 16:56:50
>>132
最初から192.168.1.20のホスト上でコンパイルしろよ。何も悩まなくて済むよ。
137:名無しさん@お腹いっぱい。
08/07/20 16:57:55
すいません、超基本的なことでした
libstdc++.so.5が入ってなかったです
ありだとうございました
138:名無しさん@お腹いっぱい。
08/07/25 03:38:09
OpenSSH-5.1p1に上げたら
ssh host command ってやった時に
.bashrcを読んでくれなくなった…
おかげで$HOME/binにあるコマンドを実行するのにいちいち
ssh host $HOME/bin/command ってやらなきゃならなくなって大困り…
元のに戻すかなあ…
139:名無しさん@お腹いっぱい。
08/07/25 06:51:23
>>138
.bashrcは、ログインシェルは読まない。読むのは非ログインシェルのみ。
ログイン時に読ませたい設定は $HOME/.bash_profile等に書く。
140:名無しさん@お腹いっぱい。
08/07/25 11:59:02
>>139
ssh host command ってやった時にはログインシェルが起きるの?
ログインシェルじゃないシェルが起きてそれがcommandをexecするんだと
思っていたんだけど…
141:名無しさん@お腹いっぱい。
08/07/25 12:13:13
ssh host command の場合、非ログインシェルが起きるのは昔からだな。
142:名無しさん@お腹いっぱい。
08/07/25 12:17:48
>>138
bashが、shの名前(argv[0])で起動されてるとか、
bash --posix で起動されてたりすると
.bashrcを読み込まない。
143:名無しさん@お腹いっぱい。
08/07/25 13:08:16
>>138
というか、
ssh host command の場合、ログイン先で
bash -c command が実行されるが、
-c オプション付きでは .bashrc は読み込まれない。
これは昔から変わっていない。
前のバージョンでは読み込んでいたと思っている記憶が間違っているのでは?
144:名無しさん@お腹いっぱい。
08/07/25 15:42:45
>>143
いや、5.0p1に戻したらちゃんと.bashrcを読んでくれる。
bashのマニュアルには
「bashは、自分を起動したのがリモートシェルデーモン(通常はrshd)か
どうかを調べます。rshdによって実行されているとbashが判断した場合、
~/.bashrc が存在し、かつ読み込み可能であれば、 bash はコマンドを
このファイルから読み込んで実行します。」
とあるので、これが効いている模様。
bashのソース(バージョン3.2、パッチ039まで)を見ると、
リモートから起動されているかどうかは
run_startup_files()の中の
if ((run_by_ssh || isnetconn (fileno (stdin))) && shell_level < 2)
のところで判定している。
ところが、OpenSSH-5.0p1のsshdからつなぐと
isnetconn(fileno(stdin))が1になって
結果的に~/.bashrcを読んでくれるのに対し、
OpenSSH-5.1p1でつなぐとisnetconn(fileno(stdin))がなぜか0になって
そのため~/.bashrcを読んでくれない。
さらにlib/sh/netconn.cのisnetconn()を見ると
getpeername(fd, &sa, &l)がOpenSSH-5.1p1の場合だけなぜかエラーになり、
そのせいでこの関数が0を返している。
これが原因だと判明したのだが、
どこを直せば良いのか思案中…
145:名無しさん@お腹いっぱい。
08/07/25 16:03:25
isnetconn() 以前の問題として、
run_by_sshが偽になってるのがそもそもの間違いでは。
バージョンによっては、たまたま isnetconn() が真になってくれていたから
結果的にうまく動いていたように見えていただけで、
本来は run_by_ssh が真になるべきなのでは。
146:名無しさん@お腹いっぱい。
08/07/25 16:12:20
俺的には逆に .bashrcなど読まれると困るな。
5.1p1ではあえてbashを欺いて.bashrcを読ませないように修正を入れたんじゃないか?
147:名無しさん@お腹いっぱい。
08/07/25 16:26:39
>>145
そうでもない。
SSH_SOURCE_BASHRCがdefineされていない限り
run_by_sshは必ず0になるようになっている。
2.05aのあたりでこの挙動がデフォルトになるように変わったらしい。
…ということはSSH_SOURCE_BASHRCをdefineしてbashを作り直せば
いいのかも知れんが、気分的にそれはちょっとしたくない。
sshdの方の修正で何とかならんかな…
>>146
bashを欺くためだけにわざわざ変なことをするとは考えにくいな。
148:名無しさん@お腹いっぱい。
08/07/25 16:33:13
getpeername()がエラーになる場合というと、
例えば、ネット直結じゃなくてpty経由になってるとかだけど、
だとすると ssh -T host command にすると解決したりしないか?
149:名無しさん@お腹いっぱい。
08/07/26 02:30:09
そんな簡単な話でもないみたい >>148
ssh -T host command でも残念ながら動作は変わらなかった。
それで調査を進めたところどうも
5.1p1のsession.cの427行目にある
#define USE_PIPES が悪さをしているっぽい。
これがあるために、直後のdo_exec_no_pty()で
#ifdef USE_PIPESの方のコードが強制的に使われる。
#elseの方ではsocketpairを使っているので
シェルへのstdinがネット経由になるが
#ifdef USE_PIPESの方ではpipeを使っているので
シェルへのstdinがネット経由にならない、
という事情のような気がする。
>>148さんの書き込みがヒントになった。ありがとう。
427行目の #define USE_PIPES を取っ払ってコンパイルしたら
5.1p1でも ssh host command で ~/.bashrc を読むようになった。
これでいく。皆様、協力感謝します。
それにしてもなぜ #define USE_PIPES がこんなところにあるんだろう。
除去し忘れか何かか?
150:149
08/07/26 03:10:11
というわけで、一応自分なりにまとめといた
[問題点] OpenSSH-5.1p1のsshdを動かしているシステムに対し、
bashをログインシェルとするユーザがリモートから
ssh host command を実行した場合、~/.bashrcが読まれない。
OpenSSH-5.0p1までは~/.bashrcを読んでいた。
Linux, Solarisでこの現象を確認。
[解決法] session.cの427行目の#define USE_PIPESを
削除して再コンパイル。
[原因?] bashは、リモートからの実行だと判断すると~/.bashrcを
読む機能を備えるが、stdinに対するgetpeername()が失敗すると、
リモートからの実行だと判断せず、~/.bashrcを読まない。一方、
sshd側のsession.cに#define USE_PIPESがあると、後続の
do_exec_no_pty()でsetsockpair()が使われないため、シェルへの
stdinがネット直結にならない。このため、bashがstdinに対する
getpeername()を実行したとき失敗するので、~/.bashrcが読まれ
なくなる。
151:名無しさん@お腹いっぱい。
08/07/26 08:18:45
追求乙。開発者に通報してくらさい。>>150
152:名無しさん@お腹いっぱい。
08/07/26 09:28:29
>>149
解決オメ、だけど、
*BSDでは、pipe()が実際にはsocketpair()を使って実装されていて、
pipe()に対するgetpeername()も成功する、んじゃなかったかな。
だから、*BSD上で開発してると問題が発覚しないので、bug fixもされないと。
153:名無しさん@お腹いっぱい。
08/08/27 00:58:25
sshでログインする前に実行するコマンドを指定して、
そのコマンドを実行後にログインみたいな事って出来ますか?
下記のような事がやりたいです。
ssh user@example.com --hoge vi
(example.comにログイン後、viを起動した状態に)
ご存知でしたら教えてください。よろしくお願いします。
154:名無しさん@お腹いっぱい。
08/08/27 07:03:19
>>153
ssh -t user@example.com vi
155:名無しさん@お腹いっぱい。
08/08/29 16:47:48
パスワード認証も受け付けるSSHサーバをいちユーザとして使用しています。
いちユーザが認証方法をパスワードから鍵交換に変更した場合のセキュリティは、
1) 覗き見などによるパスワード流出、サーバなりすましが防げる点で向上
2) 総当たり・辞書攻撃に対しては変化なし
3) 1)の観点により、鍵交換認証にすべし
という理解でよいでしょうか?
156:名無し
08/08/29 19:04:14
鍵の長さがまったく違う。
1024bit 以上の長さの鍵を使える点で、
16文字がせいぜいのパスワード認証の鍵の長さとは比較にならない。
157:名無しさん@お腹いっぱい。
08/08/29 23:06:00
サーバがパスワード認証してるなら、総合的なセキュリティの強度は
パスワード認証レベルになるんじゃない?
158:155
08/08/30 13:43:27
お返事ありがとうございました。
>>157
そうですよね?鍵認証のご利益は、2)の観点での主張が多いように見受けますが
パスワード認証っていう「穴」があるなら、ご利益はフルに受けられないと感じた次第です。
>>156
言葉足らずですみません。私が感じているのは上記です。
普段いくら長い鍵で認証していても、短かい鍵での認証が許される以上、
セキュリティの強度は後者で決まっちゃうのかなと考えた次第です。
159:名無しさん@お腹いっぱい。
08/08/31 17:48:56
パスワード認証でローカルのマシンにログインしたいのですが、
最初に鍵認証と勘違いして、必ず鍵のパスワードを聞いてきます。
man ssh でマニュアルを読み、ネットで調べてもなかったんですが、
いきなり、パスワード認証で入れるように指定するコマンドってありますか?
160:名無しさん@お腹いっぱい。
08/08/31 18:12:17
あります。
161:名無しさん@お腹いっぱい。
08/08/31 21:27:44
ありがとうございます。安心しました。
162:名無しさん@お腹いっぱい。
08/08/31 21:38:48
サーバー側でパスワード認証を許可していても、
ユーザー側の設定($HOME/.sshとか)で、
パスワード認証を不許可にするような設定ってできますか?
(ログイン元のクライアント側で不許可にするんじゃなくて、
サーバー側で不許可にする方法の質問です)
(サーバーは管理者が別人で、自分にはroot権限が無い場合です)
163:名無しさん@お腹いっぱい。
08/09/01 12:42:10
>>160
教えてもらえませんか?
164:名無しさん@お腹いっぱい。
08/09/01 12:53:56
あるって教えてもらったじゃん。
165:名無しさん@お腹いっぱい。
08/09/01 21:32:39
>>162
man ssh_config
>>163
ssh -o で好きにしろ
166:名無しさん@お腹いっぱい。
08/09/01 21:50:19
>>165
>man ssh_config
↑それはクライアント側でパスワード認証を禁止する方法ですね。
それは当然知ってます。
そうじゃなくて、サーバー側で禁止する方法を質問してるんです。
167:名無しさん@お腹いっぱい。
08/09/01 22:12:06
>>166
man sshd_config
168:名無しさん@お腹いっぱい。
08/09/01 22:22:21
>>167
man sshd_configでは、サーバーの /etc/ssh/sshd_config でしか設定できません。
元の質問のとおり、root権限の無いサーバーで、ユーザーサイドで
sshd_config相当の設定をしたいわけです。
manを読む限りは $HOME/.ssh/sshd_config のようなものはありません。
で、どうやってやるのでしょうか? 答えてください。
169:名無しさん@お腹いっぱい。
08/09/01 22:41:17
特定のアカウントが公開鍵認証だけに出来たところで、サーバのセキュリティは
さほど変わらないんだし、どうしても自分のアカウントだけ守りたいんならパスワードを
十分な強度にすればいい。もちろんサーバが乗っ取られたら終わりだが。
それが嫌ならサーバのパスワード認証やめてもらうしかない。
170:名無しさん@お腹いっぱい。
08/09/01 22:55:47
できないなら「できない」って最初から答えろよw
171:名無しさん@お腹いっぱい。
08/09/01 23:14:01
何を設定しようがsshを話すプログラムを自分でインスコすることが可能なら
制限などできないが答えだよ
172:名無しさん@お腹いっぱい。
08/09/01 23:45:59
>>171
「不可能なら」の誤りではないでしょうか?
173:名無しさん@お腹いっぱい。
08/09/02 00:02:00
>>159
>いきなり、パスワード認証で入れるように指定するコマンドってありますか?
サーバ側の~/.ssh/configにPreferredAuthentications passwordじゃダメ?
174:名無しさん@お腹いっぱい。
08/09/02 00:59:09
>>173
~/.ssh/config はSSHクライアントの設定ファイルなのでダメです。
175:名無しさん@お腹いっぱい。
08/09/02 08:01:38
>>162
俺様sshdなら、できるよ
176:名無しさん@お腹いっぱい。
08/09/02 08:11:12
>>175
すでに稼働してるsshdで、自分のアカウントに対して他人が
パスワード認証でアタックするのを防ぎたいという目的だから、
ユーザー権限で「俺様sshd」をインストールしても解決しない。
177:名無しさん@お腹いっぱい。
08/09/02 09:18:23
>>176
すでに稼働してるsshdが何なのか書いてない時点で、釣りだろ
178:名無しさん@お腹いっぱい。
08/09/02 09:27:44
>>177
>>162
179:名無しさん@お腹いっぱい。
08/09/02 10:54:35
>>178
>>162のどこにも、すでに稼働してるsshdがOpenSSH portableなのか俺様sshd
なのか書かれてない
180:名無しさん@お腹いっぱい。
08/09/14 21:22:32
puttyjpを普段使ってるんだけど
USBメモリに入れて持ち運ぶのに最適なやつありませんかね?
181:名無しさん@お腹いっぱい。
08/09/14 23:14:27
>>180
puttyjpをUSBメモリに入れて持ち運んでて不満があるのか、
puttyjpをUSBメモリに入れて持ち運びたいということなのか、
どっちだ
182:名無しさん@お腹いっぱい。
08/09/15 09:27:43
>>181
puttyjpをUSBメモリに入れて持ち運びたいということDEATH☆
183:名無しさん@お腹いっぱい。
08/09/15 09:31:27
>>181 みたいに聞き返す場合は、そのどちらであっても質問には答えられない、
の法則。その証拠に >>182 が出ても返答なし。
184:名無しさん@お腹いっぱい。
08/09/15 10:36:43
U3かPortableAppsでも使えば?
185:名無しさん@お腹いっぱい。
08/09/15 10:38:28
ということにしたいのですね。
186:名無しさん@お腹いっぱい。
08/09/15 10:59:59
はつみみです
187:名無しさん@お腹いっぱい。
08/09/15 17:47:26
180 2008/09/14(日) 21:22:32 元質問
↓1時間51分55秒後
181 2008/09/14(日) 23:14:27 突っ込み
↓10時間13分16秒後
182 2008/09/15(月) 09:27:43 返答
↓3分44秒後
183 2008/09/15(月) 09:31:27
> その証拠に >>182 が出ても返答なし。
結論:早漏
188:181
08/09/15 18:58:30
いつ来るか分からん返事を、徹夜で待ち続けて即レスしろってか?
ムチャいうなw
>>182
俺は蛭子屋さんとこのごった煮版を持ち運んでる。
ごった煮版は名前の通り、いくつかの非公式公開パッチをまとめて当てた
ものがベースになってるから、そんなに付加機能がいらないならjpパッチ
とINIパッチだけ当てたのでもたぶん使えると思う。
189:名無しさん@お腹いっぱい。
08/09/15 19:16:07
>>183
別に>>181が答える義務はないんじゃね。
別な人が答えやすくなればそれでいい。
190:名無しさん@お腹いっぱい。
08/09/15 20:24:30
183=187=真性キチガイかつ真性包茎。近寄ると恥垢臭が酷いので放置しとけ。
191:名無しさん@お腹いっぱい。
08/09/17 08:33:02
>>190
キチガイはお前だろうがこの発狂粘着真性キチガイ包茎猿男(狂猿)◆QfF6cO2gD6
マジでとっとと発狂してビルから飛び降りて自殺して死ね。
頭おかしいだろお前。失せろよこのカス。速攻で死ねや。
192:名無しさん@お腹いっぱい。
08/09/17 16:26:25
加藤の亡霊が出現した。
193:名無しさん@お腹いっぱい。
08/10/27 23:02:08
opensshのinternal-sftpで質問です。
internal-sftpのchroot環境からは別のファイルシステムをマウントしたディレクトリは見えないのでしょうか?
・sftp jailの中身
-rw-r--r-- 1 root root 0 Oct 26 16:58 ero
drwxr-xrwx 1 sftp sftp 32768 Oct 25 04:31 nikoniko ←別の鯖のファイルシステムをsshfsでマウント
drwxr-xrwx 2 sftp sftp 4096 Oct 27 13:55 test
drwxrwxrwx 2 root root 4096 Oct 27 12:50 user
・クライアントでのlsの内容
Listing directory /
drwxr-xr-x 5 0 0 4096 Oct 27 13:55 .
drwxr-xr-x 5 0 0 4096 Oct 27 13:55 ..
-rw-r--r-- 1 0 0 0 Oct 26 16:58 ero
drwxr-xrwx 2 1000 1000 4096 Oct 27 13:55 test
drwxrwxrwx 2 0 0 4096 Oct 27 12:50 user
これを見られる様にするオプションはありますか?
194:あ
08/11/12 19:49:30
テラタームから誤って消す必要のないファイルを削除してしまいました
サーバーのゴミ箱とかにファイルは残りますかね?それとも完璧に削除されて戻すことはできないんですか?
195:名無しさん@お腹いっぱい。
08/11/12 19:52:17
>>194
スレ違い。
196:名無しさん@お腹いっぱい。
08/11/12 20:53:22
194です。すみませんでした。街頭スレ探してみます。
197:名無しさん@お腹いっぱい。
08/11/12 21:54:01
>>194
お勧めスレ
↓
【エスパー】くだ質【エラーメッセージ不要】(1)
スレリンク(unix板)
198:名無しさん@お腹いっぱい。
08/11/12 22:10:17
197さんありがとう。ご迷惑お掛けたしたにもかかわらず親切に誘導してもらってどうもです。
199:名無しさん@お腹いっぱい。
08/11/13 00:41:26
すいません、どなたか教えてください。
xinetd経由でsshdを起動していて、/etc/xinetd.d下に作成したsshdの設定ファイル内で
only_fromを記述してアクセス制限かけようとしたのですがうまくいかず、
その後、hosts.allowやhosts.denyなどもいじっていたところつながらなくなりました。
どこが悪いのかさっぱりなのでsshdを直接起動するようにしたのですが、やっぱりだめで以下のログが出力されました。
ローカルホストからの接続でも同様のログが出力され接続できません。
倉側
Nov 13 00:09:23 xxxx sshd[12240]: warning: cannot open /etc/hosts.allow: Permission deniedOpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: loaded 3 keys
ssh_exchange_identification: Connection closed by remote host
200:199
08/11/13 00:42:06
鯖側
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: loaded 3 keys
ssh_exchange_identification: Connection closed by remote host
201:名無しさん@お腹いっぱい。
08/11/13 01:07:58
>>199
>cannot open /etc/hosts.allow: Permission denied
ここじゃね?
202:名無しさん@お腹いっぱい。
08/11/13 01:44:52
>>201
hosts.allow, hosts.denyのアクセス権を確認したところ644でした。
大丈夫なはずなんですけどねえ…
203:名無しさん@お腹いっぱい。
08/11/13 10:35:43
hosts.allow、hosts.denyの中身は?
204:名無しさん@お腹いっぱい。
08/11/13 11:37:21
hosts.allowの中身は
sshd:ALL:allow
で、hosts.denyの方は何も書いていません。
205:名無しさん@お腹いっぱい。
08/11/13 11:43:37
>>200のログはクライアント側でしょ。
206:199
08/11/13 12:07:26
ほんとだw同じの貼ってどうするorz
↓鯖側です
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: rexec start in 4 out 4 newsock 4 pipe 6 sock 7
Nov 13 11:58:00 xxxxx sshd[13682]: debug1: Forked child 27169.
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: inetd sockets after dupping: 3, 3
Nov 13 11:58:00 xxxxx sshd[27169]: warning: cannot open /etc/hosts.allow: Permission denied
Nov 13 11:58:00 xxxxx sshd[27169]: warning: cannot open /etc/hosts.deny: Permission denied
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: Connection refused by tcp wrapper
Nov 13 11:58:00 xxxxx sshd[27169]: refused connect from xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)
207:名無しさん@お腹いっぱい。
08/11/13 12:17:31
あてずっぽだけど、SELinuxとか。
208:名無しさん@お腹いっぱい。
08/11/13 12:35:36
>>207
当たりでしたー
なんかhosts.allowとhosts.denyは一回編集する毎に
SElinuxの方で設定してあげないと弾かれちゃうようになってました。
みなさんどもでしたm(_ _)m
209:名無しさん@お腹いっぱい。
08/11/13 12:37:33
Linux板の使ってるディストリのスレで聞けば早かったのに。
210:名無しさん@お腹いっぱい。
08/11/13 19:12:24
梶谷秀
211:名無しさん@お腹いっぱい。
08/11/14 11:40:48
みんなhpn-sshつかってるー?
212:名無しさん@お腹いっぱい。
08/11/14 19:08:50
>>211
イラッ★
213:名無しさん@お腹いっぱい。
08/11/19 01:53:49
画面が激しく更新されるプログラム(Java)をSSHでX転送しようとすると、
ウィンドウが全く表示されません。(pingで55msくらい離れている場所から)
xclockやfirefoxなどはちゃんと表示されます。
また、このプログラムを以下のように変更すると画面が表示されます。
・画面の更新頻度を落とす(激しくない更新)
・pingが0.093msくらいの近くのPCに行く。
・画面の更新を
214:送信途中でクラッシュしたので再送します
08/11/19 01:54:44
画面が激しく更新されるプログラム(Java)をSSHでX転送しようとすると、
ウィンドウが全く表示されません。(pingで55msくらい離れている場所から)
xclockやfirefoxなどはちゃんと表示されます。
また、このプログラムを以下のように変更すると画面が表示されます。
・画面の更新頻度を落とす(激しくない更新)
・pingが0.093msくらいの近くのPCに行く。
・画面の更新を10秒後(ウィンドウが表示されてから)開始する
何が原因なのでしょうか。
SSHサーバ OpenSSH_4.3p2 Debian-9, KNOPPIX Linux
SSHクライアント PuTTY 0.60(WindowsXP)とOpenSSH 5.1_p1(Linux)
Xサーバ Xming 6.9.0.31(WindowsXP)とxorg 7.2(Linux)の両方を試しました。
クライアントはWindowsでもLinuxでも症状変わりません。
215:名無しさん@お腹いっぱい。
08/11/19 20:19:50
SSH通信でデータ漏えいの可能性--32ビットの平文が取り出し可能に
URLリンク(japan.cnet.com)
216:名無しさん@お腹いっぱい。
08/11/19 20:34:18
>>215
>この問題の対策方法としては、CBC(Cipher Block Chaining)モードではなく
>CTR(CounTR)モードを使用することを推奨している。OpenSSH 3.7以降では
>CTRモードがサポートされている。
詳しい人教えて欲しいのだが、putty などのクライアントは対応しているの?
217:名無しさん@お腹いっぱい。
08/11/19 20:43:30
PuTTYは初期設定がCTR
218:名無しさん@お腹いっぱい。
08/11/19 20:44:41
>>217
ありがとう。
セキュリティーホールメモに書いてあった・・・
URLリンク(www.st.ryukoku.ac.jp)
サーバ側では制限出来ないのかな・・・
219:名無しさん@お腹いっぱい。
08/11/19 20:48:33
>>218
自己レス
sshd_config に↓を追加すればOK
----
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
220:名無しさん@お腹いっぱい。
08/11/19 20:48:40
linux上のOpenSSH-5.1p1でsftp-serverを使っているんですが
sftp-severから吐き出されるログの中で日本語が文字化け
してしまいます。
opendir "/nullpo/gaxtu/\123\321\132"
のような感じで\123\321\132の部分が化けた日本語です。
日本語のログを吐かせる方法はありますか?
221:名無しさん@お腹いっぱい。
08/11/19 23:52:48
あります
222:名無しさん@お腹いっぱい。
08/11/20 13:59:53
>>219
うちは man sshd_config のデフォルトから *-cbc を抜
いたのを設定してみた。
なんとなくログ巡回してたら今朝早くから 30 秒おきに
攻撃食らってた(同一 IP じゃないので botnet?)。
この変更してから認証失敗ログはピタッと止まったけど、
鍵交換で使えるプロトコル判定して *-cbc の場合だけ
継続するんだろうな(対策をしていないところはパスワー
ドも当りやすい、ということかもしれない)。
223:名無しさん@お腹いっぱい。
08/11/20 14:41:24
今、うちのサーバの設定見直したら
rootログイン可になってたガクブル
稼働3年目にして今修正した
224:名無しさん@お腹いっぱい。
08/11/20 15:43:33
rootログイン可ってそこまで怖いの?
鍵持ってないとアクセスできないようにしておけば
gkbrほどは無いと思うけど。
225:名無しさん@お腹いっぱい。
08/11/20 20:51:53
>>224
俺も、PermitRootLogin without-password にしているけど・・・
問題ないけどな。
勿論、一般ユーザも鍵認証しか許可してないけど。
226:223
08/11/20 23:02:31
いやいや、パスワードでログイン可だったから
227:名無しさん@お腹いっぱい。
08/11/20 23:06:48
>>226
PermitRootよりPermitPasswordを問題視したほうがいいよ。
228:名無しさん@お腹いっぱい。
08/11/21 10:02:29
usePAMが穴
229:名無しさん@お腹いっぱい。
08/11/21 17:40:14
鍵ファイルをユーザに託す行為が穴。
230:名無しさん@お腹いっぱい。
08/11/21 19:35:01
鍵にもパスワードつけとけばいいやん。
231:名無しさん@お腹いっぱい。
08/11/21 19:52:21
>>230
ブルートフォースで簡単に破られる鍵じゃん。
232:名無しさん@お腹いっぱい。
08/11/21 19:58:55
信頼できないユーザーならパスワード認証も鍵も同じ。
アクセス拒否すればよい。
233:名無しさん@お腹いっぱい。
08/11/21 20:02:15
>>232
信用できるユーザが鍵を盗まれていて、ユーザ自身が盗難の事実に気づいていない場合。
234:名無しさん@お腹いっぱい。
08/11/21 20:03:50
どうやったら盗まれるの?
235:名無しさん@お腹いっぱい。
08/11/21 20:06:07
>>234
鍵ファイルをコピーしちゃう
236:名無しさん@お腹いっぱい。
08/11/21 20:31:04
パーミッション的に無理じゃない?
237:名無しさん@お腹いっぱい。
08/11/22 12:47:16
信頼できるユーザのマシンの管理者がタコで、rootを破られて気付いていない場合
238:名無しさん@お腹いっぱい。
08/11/22 12:56:30
他のユーザと共有してるマシンに秘密鍵置かないだろ。
239:名無しさん@お腹いっぱい。
08/11/22 13:12:25
>>238
セキュリティの話に性善説を持ち込んだらあかん。
プライベートなPCのスクリーンセーバーをかけ忘れた。
Windowsの管理共有が有効なまま。
キンタマウイルスに引っかかった。
HDDを消去せずにPCを捨てた。
・・・
結局、一般的なファイル盗難の話に帰着する。
ユーザに厳格な管理を課さないと維持できないセキュリティなんてね。
それなら管理者が強制力を発揮できるパスワード方式のほうがまだ安全。
240:名無しさん@お腹いっぱい。
08/11/22 13:30:53
そういう大事なパスワードは忘れると困るからメモしてディスプレイに貼っておこう。
241:名無しさん@お腹いっぱい。
08/11/24 22:49:41
>>234
鍵ファイルもパスフレーズもwikiあたりに載せて公開しちゃう場合
242:名無しさん@お腹いっぱい。
08/11/25 20:50:23
次の患者さん、どうぞ。
243:名無しさん@お腹いっぱい。
08/12/03 10:29:15
たしかに自分から暴露するようじゃ病気だわな
244:名無しさん@お腹いっぱい。
08/12/11 18:58:34
SSHのポートフォワーディングって一度接続した後に
やっぱあのポートもこっちに流してくれ!ってできないよな?
できれば激しく便利なんだが・・・
245:名無しさん@お腹いっぱい。
08/12/11 19:38:36
>>244
teratermやputtyでは出来る(よね?)から、
プロトコル上の問題じゃなくて実装上の問題なんだろうね
246:名無しさん@お腹いっぱい。
08/12/11 19:44:27
>>244
OpenSSHなら
~C
でできる。-Dは無理だけど。
247:名無しさん@お腹いっぱい。
08/12/12 03:54:21
Teraterm や PuTTY でできることを知らなかった
OpenSSH の -D の存在を知らなかった
~C が何かがまだわかって無い。
248:名無しさん@お腹いっぱい。
08/12/12 10:11:13
>>247
man ssh
249:名無しさん@お腹いっぱい。
08/12/12 13:38:01
>>248
今理解した。
250:名無しさん@お腹いっぱい。
08/12/14 20:18:15
URLリンク(www.coins.tsukuba.ac.jp)
URLリンク(webos-goodies.jp)
URLリンク(www.stackasterisk.jp)
この辺のホスト認証の説明で、ホスト鍵とサーバ鍵を使うと書かれているのですが、
サーバ鍵があってもホスト鍵が破られたら成り済ましが可能なことに変わりないように思います。
わざわざサーバ鍵も使う理由って他にあるんでしょうか。
251:名無しさん@お腹いっぱい。
08/12/14 21:20:24
URLリンク(ccweb1.kek.jp)
Server-keyは768-bitの RSA keyでホスト認証のために使われる.
sshd 起動時に作成され, その後1時間毎に自動的に更新される.
ファイルに保存されることがない. Server-keyの目的は,
host keyで暗号化した通信を記録して解読されることを防ぐことにある.
この一定時間ごとに変化する Server-key で修飾することにより
暗号の解読を困難にしている.
--------------------
だって。上のページは主にSSH1の話しということだけど。
Session-key を定期的に変えるのじゃだめなのかな?
252:名無しさん@お腹いっぱい。
08/12/14 23:18:28
いい資料ありがとうございます。
「host-keyで暗号化した通信」って、つまりsession-keyの送信部分だけですし、
確かにserver-keyはhost-keyじゃなくて、session-keyを守るためのものっぽいですね。
秘密host-keyが漏れた時、過去の全通信のsession-key=内容が解読されるのを防ぐためな気がしてきました。
253:名無しさん@お腹いっぱい。
08/12/18 21:36:42
お聞きしたいのですが、sshd.confファイルで ssh port forwardを特定のユーザのみにしか
許可しないと言う設定はどうすればよいのでしょうか?
デフォルトだとsshでログインできるユーザは全員ssh port forwardが使えるので不安です。
254:名無しさん@お腹いっぱい。
08/12/19 01:52:35
>>253
試してないが、OpenSSH 4.4以降なら以下のようにしてできるかも
AllowTcpForwarding no
Match User hoge, fuga
AllowTcpForwarding yes
参考) URLリンク(www.unixuser.org)
255:名無しさん@お腹いっぱい。
08/12/19 13:32:18
今まで ssh をセキュアな telnet としてしか使ったこと
無いんだけど、port fowarding って何がどう便利に
なるの?事例希望。
256:名無しさん@お腹いっぱい。
08/12/19 13:41:28
Xとかvncのコネクションをセキュアに張れる。
pop3s/smtpsのない環境でも外部からセキュアにメールが読み書きできる。
sshしかポートを開いてないところにいろいろ飛ばせる(あんまりないか)。
ほか。
257:名無しさん@お腹いっぱい。
08/12/19 14:28:30
>>255
海外からGyaOが見られる、とかかな。
258:名無しさん@お腹いっぱい。
08/12/19 15:13:27
そもそもUNIXでGyaO見られるか??
259:名無しさん@お腹いっぱい。
08/12/19 16:09:30
っPuTTY
260:名無しさん@お腹いっぱい。
08/12/19 16:39:17
そもそもUNIXにPuTTYなんてあるか?
261:名無しさん@お腹いっぱい。
08/12/19 16:41:33
ある。
262:名無しさん@お腹いっぱい。
08/12/19 17:01:46
>>254
レスありがとうございます。
# ssh -V
OpenSSH_4.3p2 Debian-9etch2, OpenSSL 0.9.8c 05 Sep 2006
終了のお知らせwwwww
どこに4.4以降じゃないとMatch文が使えないと書いてます?
263:名無しさん@お腹いっぱい。
08/12/19 17:02:56
じゃあ、UNIX版のPuTTYとやらを使えばUNIXクライアントだけでGyaOが見られるのかよ?
264:名無しさん@お腹いっぱい。
08/12/19 17:12:22
>>262
URLリンク(www.unixuser.org)
265:名無しさん@お腹いっぱい。
08/12/19 18:12:20
>>262
コンパイルしるしかないな
#調べたらetch-backportsにもなかったわ…lennyは5.1p1だが
266:名無しさん@お腹いっぱい。
08/12/20 14:19:05
>>263
何ムキになってんだよw
267:名無しさん@お腹いっぱい。
08/12/21 02:11:57
>>255
大学から2chが見られる。
268:名無しさん@お腹いっぱい。
08/12/21 02:15:50
今日び大学からも2chが見れない時代なのか
会社じゃあるまいし…
269:名無しさん@お腹いっぱい。
08/12/21 02:29:51
2chは普通にアクセスできるんだけど
大学に迷惑かけたくないので、ポート転送使って家経由で。
270:名無しさん@お腹いっぱい。
08/12/21 02:43:11
つまり、荒らしたいと。
271:名無しさん@お腹いっぱい。
08/12/22 01:20:35
>>269
家経由で迷惑かける気満々だな
272:名無しさん@お腹いっぱい。
08/12/23 10:03:41
>>253
port forwardを禁止されたらnc使うよね。
273:名無しさん@お腹いっぱい。
08/12/23 12:18:11
>>272
URLリンク(www.ksknet.net)
これですか?こんなのがあったのか・・・・知らなかった・・・・。
これでssh port forwardと同じような事ができるんですか?
274:名無しさん@お腹いっぱい。
08/12/23 16:38:04
>>273
いいや?
275:名無しさん@お腹いっぱい。
08/12/24 06:20:53
マシン192.168.0.1からあるサーバhogeにssh接続し10110番をportforwardすると
ssh -L 10110:localhost:110 hoge
マシン192.168.0.1では、localhost:10110 を介してhoge:110にアクセスできる
しかし、192.168.0.1とは別のマシンから
192.168.0.1:10110にアクセスしても繋がらないようなのだけど
これを可能にする方法ある?
この別のマシンにはsshが入っていないので、再portforwardはできないとして
276:名無しさん@お腹いっぱい。
08/12/24 06:32:46
>>275
-g
277:名無しさん@お腹いっぱい。
08/12/24 06:40:04
>>276
ありがとう
でも気をつけてつかわないと危険ですね、これは
278:名無しさん@お腹いっぱい。
08/12/27 00:09:02
/etc/ssh配下にある公開鍵(鍵Aとします)と、個人ユーザのホームディレクトリ配下にある公開鍵(鍵Bとします)の違いについてお聞きします。
ホスト認証で使われるのは鍵Aで、ユーザ認証で使われるのは鍵Bという認識であってますしょうか?
279:名無しさん@お腹いっぱい。
08/12/27 12:22:04
>>278
Yes
280:名無しさん@お腹いっぱい。
08/12/27 12:30:14
配下って何ですか? ハイカならとっくに廃止?
281:名無しさん@お腹いっぱい。
08/12/27 14:34:18
>>280
うわっ!何こいつ最悪つまんねーw
ただで寒いのに、お前のせいで凍えしにそうだwww
きもい
282:名無し募集中。。。
08/12/27 16:16:31
>>281
日本人じゃないんだろ
ほっとけよ
283:名無しさん@お腹いっぱい。
08/12/27 16:26:50
「お会計の方、よろしいでしょうか」みたいに間違った日本語だね。
×「ホームディレクトリ配下」
○「ホームディレクトリの下」
284:名無しさん@お腹いっぱい。
08/12/27 19:10:23
ホームディレクトリ配下はNGなのか、設計書に書いちゃってるわ
マジ、お客さんに申し訳ねえ
285:名無しさん@お腹いっぱい。
08/12/27 20:26:04
え、~/.sshじゃなくて~/下に置いてるってこと?
286:名無しさん@お腹いっぱい。
08/12/28 02:17:08
CentOS5.2ですが、denyhostsはパッケージとしては存在しないのでしょうか?
手動でコンパイルする必要があるのでしょうか?
287:名無しさん@お腹いっぱい。
08/12/28 02:28:01
>>285
あげあしとってやんなよ・・・w
288:名無しさん@お腹いっぱい。
08/12/28 11:31:44
>>286
DAG にあるじゃん
URLリンク(dag.wieers.com)
289:名無しさん@お腹いっぱい。
08/12/28 11:59:03
なんで「配下」じゃだめなん?
290:名無しさん@お腹いっぱい。
08/12/29 01:30:15
「ある人の支配下にあること。また、その者。手下。『―の者を引き連れる』」(小学館大辞泉)
「『配下』は、支配下にある者のことで、人間以外にも用いる。」(小学館類語例解辞典)
"ディレクトリ配下" の検索結果 約 44,300 件
"フォルダ配下" の検索結果 約 22,900 件
"ネットワーク配下" の検索結果 約 437 件
「~の下に配(置)された」といったかんじだったのが、ディレクトリがもつツリー構造と
支配関係がもつヒエラルキー構造の相似性にひきずられて、「配下」になったんではないかと(想像)。
291:名無しさん@お腹いっぱい。
08/12/29 09:13:16
ディレクトリはただのリンクされたツリー構造であって、
「支配関係」はないしね。
(親ディレクトリが書き込み不可でもサブディレクトリには書き込めるとか)
"ディレクトリの下"でググるともっとけん数ヒットする。
292:名無しさん@お腹いっぱい。
08/12/29 10:53:37
"配下にある" == "「支配下にある」にある"
おかしいだろ。
293:名無しさん@お腹いっぱい。
08/12/29 10:59:21
難しい言葉使わなくとも「以下」でいいんだよな。
294:名無しさん@お腹いっぱい。
08/12/29 11:27:07
子、でいいだろ
295:名無しさん@お腹いっぱい。
08/12/29 12:11:13
子だとすぐ下のディレクトリしか指さない気がする。
ディレクトリじゃないファイルとか
下の下のディレクトリとかは含まなくない?
296:名無しさん@お腹いっぱい。
08/12/29 12:53:27
子孫繁栄
297:名無しさん@お腹いっぱい。
08/12/29 13:18:50
「ホームディレクトリの下にある.sshフォルダ」だとホームディレクトリ直下っていう意味だと思うんだけど、
「ホームディレクトリ以下にある.sshフォルダ」だと、ホームディレクトリだけでなく、その子ディレクトリや
子孫ディレクトリも可能性として含むような気がするんだよ、国語辞典で「以下」の語義を眺めていると。
「ホームディレクトリ以下でしたらどこにファイルを配置してもかまいません」って感じのが本来の語義に沿った使い方なんでないかと。
でもコンピュータ業界では「ディレクトリ以下」といえばそのディレクトリ直下を意味する、という暗黙の了解ができているような気もする。
そこらへんは読み手が文脈によって読み分けてるのかもしれんが、技術用語として使う分には厳密に使い分けた方がいいよね。