08/02/12 11:21:24
よくある質問
Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:URLリンク(www.st.ryukoku.ac.jp)
3:名無しさん@お腹いっぱい。
08/02/12 11:24:00
◇実装
本家ssh.com
URLリンク(www.ssh.com) / URLリンク(www.jp.ssh.com) (日本語)
OpenSSH
URLリンク(www.openssh.com) / URLリンク(www.openssh.com) (日本語)
OpenSSH情報:URLリンク(www.unixuser.org)
日本語マニュアル:URLリンク(www.unixuser.org)
OpenSSH-HOWTO:URLリンク(www.momonga-linux.org)
TeraTerm/TTSSH
URLリンク(hp.vector.co.jp)
URLリンク(www.sakurachan.org) (日本語版)
URLリンク(sleep.mat-yan.jp) / URLリンク(ttssh2.sourceforge.jp) (Yutaka氏によるUTF-8対応版,SSH2対応版)
4:名無しさん@お腹いっぱい。
08/02/12 11:24:37
◇実装 続き
PuTTY
URLリンク(www.chiark.greenend.org.uk)
スレリンク(unix板)
URLリンク(hp.vector.co.jp) (hdk氏による日本語パッチ)
URLリンク(yebisuya.dip.jp) (蛭子屋氏による各種パッチ)
VeraTerm
URLリンク(www.routrek.co.jp)
MacSSH/SFTP
URLリンク(pro.wanadoo.fr)
PortForwarder
URLリンク(www.fuji-climb.org)
TRAMP
URLリンク(www.nongnu.org)
5:名無しさん@お腹いっぱい。
08/02/12 11:25:13
◇規格等
・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
・RFC4251: The Secure Shell (SSH) Protocol Architecture
・RFC4252: The Secure Shell (SSH) Authentication Protocol
・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
・RFC4254: The Secure Shell (SSH) Connection Protocol
・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
Key Fingerprints
・RFC4256: Generic Message Exchange Authentication for the Secure
Shell Protocol (SSH)
WideのSSH解説
URLリンク(www.soi.wide.ad.jp)
◇おまけ
Theoのキチガイぶり
スレリンク(unix板:546-550番)
djbsssh(ネタ)
URLリンク(www.qmail.org)
6:1
08/02/12 11:26:43
一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てました。
後よろしく。
7:名無しさん@お腹いっぱい。
08/02/12 11:36:46
URLリンク(www12.atwiki.jp)
8:名無しさん@お腹いっぱい。
08/02/12 20:41:21
>>1乙
djbsshワロタ
9:名無しさん@お腹いっぱい。
08/02/12 20:44:34
>>4
てちょww
VeraTerm古すぎだろwww
今はこっちに移った
index - Terminal Emulator Poderosa
URLリンク(ja.poderosa.org)
あと、追加でTeraTerm with SSH2も
TeraTerm Open Source Project
URLリンク(ttssh2.sourceforge.jp)
10:名無しさん@お腹いっぱい。
08/02/22 02:42:01
質問です
LAN内からはパスワード認証または公開鍵認証でログインできるようにし、
WANからは公開鍵認証のみでログインできるように設定する方法が分からないのですが、
どうすればよいのでしょうか?
11:名無しさん@お腹いっぱい。
08/02/22 09:58:42
OpenSSH では、普通にやったらできないんじゃないかな。
設定変えた sshd 2つ立てるとかしないと無理だと思う。
12:名無しさん@お腹いっぱい。
08/02/23 02:19:55
Debianでそれやってる。sshdを二つ立てて、iptablesで振り分け。
通信の振り分けは、ルータのポート転送で送り先ポート番号変えられたらそっちでやったほうが楽だと思う。
13:名無しさん@お腹いっぱい。
08/02/24 04:42:56
sshが接続途中で止まってしまいます。sshd側のpsを確認すると
hoge@notty
となっており、これをkillすると止まっていたsshクライアントも落ちます。
これは何が原因なのでしょうか?
14:名無しさん@お腹いっぱい。
08/02/24 09:39:54
-t
15:13
08/02/25 01:09:22
自己レス。
tty0 を udev に加えたらOKでした。
16:名無しさん@お腹いっぱい。
08/03/04 00:27:02
>>10
PasswordAuthentication no
Match Address 192.168.0.*
PasswordAuthentication yes
17:名無しさん@お腹いっぱい。
08/03/04 01:10:01
>>16
なんと、こんな方法があったとは。いままでsshd二個起動して、iptablesで振り分けてたわ。
18:名無しさん@お腹いっぱい。
08/03/10 19:41:30
>>16
ネ 申
19:名無しさん@お腹いっぱい。
08/03/11 09:58:21
>>17、18
ちゃんとリリースノート読んでる?
自分の場合、細かく指定できるようになった時は待ち望んでいた機能が
実装されてかなり嬉しかったので、みんな知ってるもんだと思ってた…。
20:名無しさん@お腹いっぱい。
08/03/11 15:42:55
>>19
ソフトウェア管理はapt任せなので、バージョンが大きく上がったときくらいしか読まないよ。
そもそもDebian etchだとまだ4.3p2だし。
21:名無しさん@お腹いっぱい。
08/03/11 17:41:47
>>20
言われてみればそれもそうか…。
自宅鯖のSolarisの方は野良ビルドなので毎回ちゃんと読むんだけど、
自分もノートPCの方はapt-getで終了だしな…。
22:名無しさん@お腹いっぱい。
08/03/16 09:20:00
とうとう4.8/4.8p1でchrootが入るんだね。>春山さん情報
大した手間では無いんだけど、パッチ当てなくて済むのはいいなぁ。
>>16-18
今度はPermitRootLoginもMatchブロックが使えるってさ。
でもsudo使ってる人はさほど必要ないか。
23:名無しさん@お腹いっぱい。
08/03/17 21:00:39
DynamicForwardをしたいのですが、
ssh hoge.com -D 20000
と同じことをTeraterm/TTSSHですることはできるんでしょうか?
静的な転送はできたのですが、動的な転送についての記述が見つけられませんでした。
Puttyを使えば可能なのでそれでもいいんですが、TTSSHでまとめてできればいいなと思う次第です。
24:名無しさん@お腹いっぱい。
08/03/18 11:59:16
age
25:名無しさん@お腹いっぱい。
08/03/31 18:01:28
OpenSSH 4.9/4.9p1 リリース age
26:名無しさん@お腹いっぱい。
08/03/31 21:46:28
chrootに期待。
27:名無しさん@お腹いっぱい。
08/03/31 22:05:25
へえぇ~ 4.8はOpenBSDのCD向けでそれ以外は4.9/4.9p1になるんだ。
さっそくVer.upするかな。
28:名無しさん@お腹いっぱい。
08/04/02 19:33:54
某所で4.7でchroot正式サポートとか書いたからGoogle検索がカオスw
29:名無しさん@お腹いっぱい。
08/04/03 09:30:00
何か4.9p1よりchrootパッチ当てた奴の方が使いやすいような…。
30:名無しさん@お腹いっぱい。
08/04/04 00:37:45
5.0出てるんだGa---
31:名無しさん@お腹いっぱい。
08/04/04 00:48:15
まじだ・・・。
32:名無しさん@お腹いっぱい。
08/04/04 12:51:24
いかにもOpenBSD系プロジェクトのバージョンのつけかただなぁ。
別にメジャーバージョンアップってわけではなく、単にsecurity fix
しただけだけど、4.9の次だから5.0か。
33:名無しさん@お腹いっぱい。
08/04/04 20:24:16
うわ、ほんとら、5ら。
34:名無しさん@お腹いっぱい。
08/04/04 20:25:59
4.9 の次が5.0つうことは、9.9の次は何なんだ?
35:名無しさん@お腹いっぱい。
08/04/04 20:35:02
>>34
当然、A.0
36:名無しさん@お腹いっぱい。
08/04/04 20:57:31
>>35
マイナーバージョン(って言っていいのか微妙なバージョン付けだけど…)が十進数だし、普通に10.0じゃないか
# まさか今までに沢山の欠番があったとかw
37:名無しさん@お腹いっぱい。
08/04/04 21:18:12
>>36
1.2.x -> 2.0に飛んだのと、3.0になる前に2.9.9とかがあったりした。
あと、細かいバグフィックスの際には3.6.1だの3.7.1だのというマイナーバージョンなのか
パッチバージョンなのか不明だけど、ドットを増やしてバージョンをつけた。
ちなみにp1、p2はパッチバージョンではなくportableバージョン。
38: ◆TWARamEjuA
08/04/05 00:11:15 BE:5336677-2BP(7082)
9の次はX
でした。。。
39:名無しさん@お腹いっぱい。
08/04/12 06:26:54
authorized_keys が古い公開鍵だらけでもうわけわかめ。
いったいどの公開鍵が今も使われているんだか。
その鍵を使って最後にログインした日付とログイン元のアドレスを
記録してくれるようにはできないものでしょうか?
40:名無しさん@お腹いっぱい。
08/04/12 23:23:44
>>39
全部削除して、文句言って来た人だけ戻せば?
41:名無しさん@お腹いっぱい。
08/04/13 04:49:44
俺はauthorized_keys には必ず、コメントにメアドとユーザー名をつくるようにしているよ・・・
42:名無しさん@お腹いっぱい。
08/04/15 08:29:56
SSHでつないでリモートで作業させるんじゃなくて
逆にリモートから作業させるようなことは
どうやるのが便利なんでしょうか?
良く目の前のX端末にターミナルの画面飛ばして作業するのですが
同じようなことをssh+screenで出来ないかなぁと思っています。
出来ればファイアウォールの設定変えずにリモートからセッション張りたい。
43:名無しさん@お腹いっぱい。
08/04/15 09:23:48
>>42
ネットワーク管理者に聞きなさい。
44:名無しさん@お腹いっぱい。
08/04/15 09:28:47
ネットワーク管理者自身ですが、、
45:名無しさん@お腹いっぱい。
08/04/15 09:30:52
なら自分で考えなさい。
46:名無しさん@お腹いっぱい。
08/04/15 10:55:02
>>39
sshd_config で LogLevel VERBOSE にすると
ログに公開鍵のフィンガープリントが記録されるようになる。
鍵とフィンガープリントの対応は ssh-keygen -l で見られるので、
それを使ってどの鍵でログインされたのか探すとよろし。
47:名無しさん@お腹いっぱい。
08/04/15 12:03:26
>>44
sshは強力すぎるのでoutboundも禁止するのが常識。
48:名無しさん@お腹いっぱい。
08/04/15 23:39:01
>>46
知らなかった!!1
ログインすればわかるのね
サンクス
今度試してみる
49:名無しさん@お腹いっぱい。
08/04/16 08:16:12
chrootの設定はどこに書き込めばよいのでしょうか?
どこかにわかりやすい日本語の解説はありませんか?
50:名無しさん@お腹いっぱい。
08/04/16 08:32:50
>>49
URLリンク(www.oreilly.co.jp)
51:名無しさん@お腹いっぱい。
08/04/16 08:40:23
>>50
あの、sshのchrootについてご存知の方ですか?
それとも単に「今ネットで調べた。ソースは oreilly」
ですか? どうも後者みたいですが。
52:名無しさん@お腹いっぱい。
08/04/16 09:20:48
>>51
どっちもはずれだなぁ。
特に調べたわけじゃないし。
53:名無しさん@お腹いっぱい。
08/04/16 09:39:43
これはひどい。
54:名無しさん@お腹いっぱい。
08/04/16 10:07:50
>>49
sshd_configのman読め…と書こうと思ったが、あれは英語か。
sshd_configに、
ChrootDirectory 適当なディレクトリ
とでも書いとけ。
55:名無しさん@お腹いっぱい。
08/04/16 15:52:51
特定のユーザーのみchrootで自分のディレクトリ以下しかアクセスできないようにしたいのですが、
chrootをユーザー別に設定するにはどのようにしたらよいものかのう
56:名無しさん@お腹いっぱい。
08/04/16 16:03:14
>>55
自分が試してみた限りではわからなかった。
chrootパッチの方ならできるので、そっちを使うとか。
5.0に当てられるのかは知らないけど。
57:名無しさん@お腹いっぱい。
08/04/17 03:19:46
>>49,55
ググったらすぐヒットしたぞ
URLリンク(d.hatena.ne.jp)
結構面倒くさいんだな
あとsshd_configのmanももう翻訳されたのあるね
URLリンク(www.unixuser.org)
58:名無しさん@お腹いっぱい。
08/04/17 15:25:06
openssh + chroot で jail ユーザーを作成した時に、全ユーザー共通のディレクトリを作成する事は可能だろうか?
例えば、/usr/local/share を共有したいと考えているんだが。。。
59:名無しさん@お腹いっぱい。
08/04/17 15:36:56
>>58
nfsでマウント。
60:名無しさん@お腹いっぱい。
08/04/17 15:46:53
ふつー nullfs
61:名無しさん@お腹いっぱい。
08/04/17 15:57:59
なるほど、やってみる!>NFS
62:名無しさん@お腹いっぱい。
08/04/17 16:05:13
60 は無視ですか
63:名無しさん@お腹いっぱい。
08/04/17 16:11:01
nullfs は BSD の Jail + ports で利用されている事が多いんだね。
Linux で使いたいんだが、使用例が少なくて、ハマリそうで不安だ^^;
64:名無しさん@お腹いっぱい。
08/04/17 16:23:18
Linuxなら mount --bind (jailって書いてあるからFreeBSDだと思ったのに)
65:名無しさん@お腹いっぱい。
08/04/17 16:38:15
紛らわしい言い方で申し訳ない。
自分にとっては新境地でさ、少ない脳ミソをフル回転しながら、
それなりに努力してる、、つもりだから、大目に見てくれ^^;
mount + bind でググッてみたよ。
うん、いいね!これ!!
fstab に書けるってのもいい感じかも!
66:名無しさん@お腹いっぱい。
08/04/22 13:12:51
賢者の皆さん、教えを乞うてもよろしいでしょうか。
ポートフォワーディングができず・・・。
会社のFW内からトンネル掘って自宅を踏み台にして外を見たいと思ってます。
自宅鯖にてポートフォワーディングを許可したsshdを走らせ、
stoneで443番を22に/ssl付きでループバックして外からは443番で繋がるようにしてます。
出先(会社)はFWがBasic認証のHTTPしか通さないので、
ローカルでstoneを走らせ
xx.xx.xx.xx(FW):8080/proxy 18080 "Proxy-Authorization: Basic xxxxxxx"
--
localhost:18080/http 10443 "CONNECT 自宅鯖:443 HTTP/1.0"
--
localhost:10443/ssl 22
にてトンネルを掘ってます。
この状態でPuttyなどで会社PCのlocalhost:22にssh接続すると
きちんと自宅に繋がってログオンできてはいます。
ところが、同時にputty上でポートフォワーディングの設定をして
ブラウザなどのproxy設定をsocksにしても繋がらないような状況です。
具体的にはputty上でポートフォワーディング設定を
IPv4の8888番をダイナミックで転送するようにし、
併せて「ローカルポートは他のホストからの接続を受け入れる」にチェックしておきました。
また、ブラウザのプロキシ設定はsocksの8888番にしています。
この状況でブラウザからどこかを見ようとしても名前解決すら失敗しているようです。
いったい原因として何が考えられるでしょうか??
ググるヒントでも指し示していただけると幸いです。<(__)>
67:名無しさん@お腹いっぱい。
08/04/22 13:30:22
ふぅ・・・ん?質問? どうでもいいや。
68:名無しさん@お腹いっぱい。
08/04/23 18:34:17
ChrootDirectoryの指定先って、root権限のみで実行書込できるディレクトリのみ?
sshd_configに
ChrootDirectory /home/%u
とかで指定しても、そこが権限無しだったエラーでる。
仕方なくhome/userディレクトリをrootのみの権限にしたら、実際のuserがそのディレクトリに
ファイル作成できなくなる…
このジレンマってどうやって解消できるんでしょうか?
69:名無しさん@お腹いっぱい。
08/05/03 19:18:57
Samba単体と、Samba over SSHで比較すると転送速度はどれ程落ちるのでしょうか?
Samba/SMB/CIFS over SSH 導入サイトはヒットするのですが、転送速度は書かれていなくて。
あと、こんな記事を見つけました。
WANからの速度は期待できないのかな。
CIFSアクセスを高速化する「WAFS」
URLリンク(itpro.nikkeibp.co.jp)
70:名無しさん@お腹いっぱい。
08/05/04 15:17:16
>>69
自分で試せよ
71:名無しさん@お腹いっぱい。
08/05/04 21:56:46
>>70
知らねーならいちいちレスすんなよキチガイがwwwwwwww
キチガイはさっさと死ね
72:名無しさん@お腹いっぱい。
08/05/04 22:01:53
自演乙
73:名無しさん@お腹いっぱい。
08/05/04 23:39:06
>>71
74:名無しさん@お腹いっぱい。
08/05/05 10:17:54
PasswordAuthentication no
にしてるのですが、パスワードでログインできてしまいます。
ほかに直すところありますか?お願いします。
75:名無しさん@お腹いっぱい。
08/05/05 13:02:28
>>74
RTFM
76:名無しさん@お腹いっぱい。
08/05/05 14:23:01
単なるデーモンの再起動忘れ?
77:名無しさん@お腹いっぱい。
08/05/05 14:26:38
>>74
PasswordAuthentication dakeja daMe
の大文字を抜き出すと、、、
78:名無しさん@お腹いっぱい。
08/05/05 14:27:29
オレもそう思う。
79:名無しさん@お腹いっぱい。
08/05/05 17:36:31
UsePAM
80:名無しさん@お腹いっぱい。
08/05/05 20:04:33
有機リン系農薬の解毒剤のあれだな。
81:名無しさん@お腹いっぱい。
08/05/05 23:12:39
>>71=◆QfF6cO2gD6
82:名無しさん@お腹いっぱい。
08/05/07 21:13:10
ajax ssh ってどうよ?
83:名無しさん@お腹いっぱい。
08/05/07 22:36:52
なにそれ
ブラウザベースで SSH できるの?
84:名無しさん@お腹いっぱい。
08/05/07 23:42:44
yes
ググると出てくる
85:名無しさん@お腹いっぱい。
08/05/14 11:27:02
鍵を窓から投げ捨てて作り直せってさw
URLリンク(lists.debian.or.jp)
>これは Debian 固有の欠陥であり、Debian 派生ではない他の OS には影響があ
>りません。但し、他の OS にも弱い鍵が import されることにより、間接的な影
>響はあります。
これはひどい
86:名無しさん@お腹いっぱい。
08/05/14 17:05:54
なんでこうなったかというと、バグレポートで「varglindかけたらエラーでまくるぞ」
といわれて対応してたら、うっかり乱数生成部までいじっちゃったという話。
危険な鍵をチェックするツールもあるんだから勘弁してあげて。
87:名無しさん@お腹いっぱい。
08/05/16 10:32:22
URLリンク(www.debian.or.jp)
「既に攻撃ツールはリリースされ、広く既知の状態となっていますので
早めに対応ください」
一体どのくらい脆弱な鍵ができるんだろう・・・?
88:名無しさん@お腹いっぱい。
08/05/16 10:33:43
>>86
UNIX板でこの話題を進行させていることに関しては
いまいちな感じ
89:名無しさん@お腹いっぱい。
08/05/16 10:45:27
>>88
???
90:名無しさん@お腹いっぱい。
08/05/16 10:48:07
朝からSSHログインできなくなったって問合せが複数w
blacklist絡みだと思うけど
どうやらDebianユーザ由来の低品質な鍵が多数格納されてるっぽいwwww
91:名無しさん@お腹いっぱい。
08/05/16 10:50:31
>>90
誰がどこにログインできなくなったのかわからん
92:名無しさん@お腹いっぱい。
08/05/16 10:50:52
まあdebianならしょうがないな
93:名無しさん@お腹いっぱい。
08/05/16 10:51:51
「UNIX」ユーザならこんな愚かな真似はやろうともできないしな
94:名無しさん@お腹いっぱい。
08/05/16 10:56:41
>87
2^16だから総当たりで楽勝レベル
It looks likely that the only remaining source of entropy
in the generated keys comes from the PID of the process.
This is 16 bits, typically much less effective entropy.
So there may, in fact, be just a few thousand possibilities
for a specific key size. Looks like 'dowkd.pl' lists about
262,000 entries.
95:名無しさん@お腹いっぱい。
08/05/16 12:00:08
イタタ
96:名無しさん@お腹いっぱい。
08/05/16 13:04:45
>>93
つNexenta
97:名無しさん@お腹いっぱい。
08/05/16 18:12:42
>>94
262,000なら2^18じゃね?
98:名無しさん@お腹いっぱい。
08/05/17 06:12:16
>>85-97
debian以外で生成したカギなら大丈夫?
99:名無しさん@お腹いっぱい。
08/05/17 11:44:40
ubuntuもだめだよ
100:名無しさん@お腹いっぱい。
08/05/17 12:28:46
>>99
おk
debian,ubuntu以外なら大丈夫だよね。
windowsのputtyとかで生成したカギを使う分には・・・。
ま、どっちにせよ鯖はうpだてしないといけんけど
101:名無しさん@お腹いっぱい。
08/05/17 12:50:56
ubuntu以外でもdebian派生のモノもダメだし、ubuntuにも派生物山ほどあるみたいだから
そういうのも(当該バージョンを元にしているなら)ダメだよ
102:名無しさん@お腹いっぱい。
08/05/22 17:16:54
openssh for Winで、sshからあるプログラムを実行したいのだが、
パスワード認証によりWindowsのログオンで使うパスワードを入力してログオンすると
正常に実行するのに、鍵認証でだとエラーが出て実行できない。
原因調査に際しなにかヒントというか手掛かりが欲しいのだが、詳しい方宜しく。
103:名無しさん@お腹いっぱい。
08/05/22 19:55:09
なんか、えらそうだな。
104:名無しさん@お腹いっぱい。
08/05/22 20:32:15
>>102
Unix&Linux環境だと公開鍵認証が出来ないのは、パーミッションの設定をまず確認するけど
Winだとその辺どうなんだろね?
とりあえずこんなの見つけたけど、
URLリンク(mind-craft.cocolog-nifty.com)
もし見てなかったら、ここも見てみて。
105:名無しさん@お腹いっぱい。
08/05/22 20:52:25
>>102
【エスパー】くだ質【エラーメッセージ不要】
スレリンク(unix板)
106:名無しさん@お腹いっぱい。
08/05/23 02:40:27
なんだそのうんこスレはwww
107:102
08/05/23 06:01:17
>>104
ありがとうございます。
書き方が分かりにくかったので整理します。鍵認証は出来ています。
現状認証方法として
①パスワード認証
②鍵認証
両方できていますが、①で認証した場合はちゃんと実行できるのに、
②で認証した場合は実行できないプログラムがあるのです。
参考:
・サーバとクライアント
いずれもOpenSSH for Windows v3.8.1p1-1
・sshから実行したいプログラム
netdrive ver4.1.883
これをコマンドラインから起動し、遠隔のあるWebDAVをドライブにマウントする。
ex. NetDrive.exe /s:"sample"
尚、教えて頂いた下記ですが、解決には至りませんでしたが参考になりました。
ありがとうございます。
URLリンク(mind-craft.cocolog-nifty.com)
108:名無しさん@お腹いっぱい。
08/05/23 09:27:10
1)ログインする
2)ssh-agent 起動する
3)screen 使っていろいろ作業
4)回線切れる
5)再ログイン、screen -dr ウマー
6)しかし ssh-agent は死んでいる
どうすりゃいい?
109:108
08/05/23 09:31:12
あっさり解決した
URLリンク(blog.gcd.org)
110:名無しさん@お腹いっぱい。
08/05/24 16:07:41
ssh 経由であっても root のログインは許すなって
よくいわれるけど(少なくとも俺の周りでは)、
やっぱり root で遠隔ログインできると便利なんだよね。
パスワード認証禁止して、鍵認証だけにしていても
危険かなぁ。鍵には一応パスフレーズもつけてるし。
まぁ Debian での openssl の最近発覚したアレみたいに
その鍵自体が推測可能なものだったら意味ないんだけどさ。
111:名無しさん@お腹いっぱい。
08/05/24 16:59:45
なんで一般ユーザでログインしてsuやsudoじゃいけないの?
112:名無しさん@お腹いっぱい。
08/05/24 17:23:17
for host in `cat host-list`; do
ssh $host ....
done
として、数百台のサーバに同じ処理をさせたいときがあるから。
スクリプト配ったり..etc
113:名無しさん@お腹いっぱい。
08/05/24 17:28:02
>>111
いやぁ、遠隔でメンテしてたら、ユーザのホームディレクトリを
NFSでマウントしてる autofs がおかしくなってしまって。
まぁ「管理用」の一般ユーザ作ってればよかっただけなんだけど。
114:名無しさん@お腹いっぱい。
08/05/24 19:52:35
今時 Capistrano だろJK
115:名無しさん@お腹いっぱい。
08/05/24 20:03:56
Ruby 機雷なんで
116:名無しさん@お腹いっぱい。
08/05/24 21:22:54
言語が嫌いでソフトつかえねえって大変だなぁ・・・
117:名無しさん@お腹いっぱい。
08/05/29 09:57:47
エージェントふぉわーディングのためのソケット
( $SSH_AUTH_SOCK ) が生きているかどうかって
簡単にチェックできますか?
118:名無しさん@お腹いっぱい。
08/05/30 22:24:29
公開かぎ別に -R で Listen できるポートを制限したいのだけど無理かな
authorized_keys の permitopen は -L の転送先の制限だよね
119:名無しさん@お腹いっぱい。
08/06/06 04:21:47
Openssh for windows って、WindowsのログインIDとPW以外は使えないの?
120:名無しさん@お腹いっぱい。
08/06/06 21:37:17
ssh-keygen でできる鍵って openssl コマンドでも取り扱えるんだね.
date | openssl rsautl -encrypt -inkey id_rsa > test.dat
date | openssl rsautl -decrypt -inkey id_rsa < test.dat
だけどこれじゃ非対称鍵の意味が全くない.
date | openssl rsautl -decrypt -pubin -inkey id_rsa.pub < test.dat
ってやってみたら怒られた氏.たぶん公開鍵の方は
openssh 独自の形式なんだろう.
121:名無しさん@お腹いっぱい。
08/06/06 21:42:20
うぉ,>>120 の最後の奴,公開鍵で復号しようとしているよ.
まぁいずれにしても公開鍵の形式が違うって怒られるんだけど.
openssl rsa -in id_rsa -pubout > id_rsa.pub2
で生成した openssl 的に正しい形式の公開鍵なら
これで暗号化できるみたいですね.
122:名無しさん@お腹いっぱい。
08/06/20 19:58:01
初心者質問失礼します
大学でDebianを使っていてOPENSSH4.4以上に更新せよ、と通達が着ました。
しかしapt-get等を用いても4.3になるのみでこの状態でnewestだと
宣言して着ます。Debianのディストリビューションのパッケージを見たら
(私の調べ方が悪いのかも知れませんが)確かに最新安定版でも
4.3に見えます。
Debianで4.4以上にする手法は無いのでしょうか?
123:名無しさん@お腹いっぱい。
08/06/20 20:21:08
Debianのスレで訊け
それと初心者という言葉は免罪符じゃないからな
124:名無しさん@お腹いっぱい。
08/06/20 23:56:33
ssh-3.2.9.1なら最新版だぜw
125:名無しさん@お腹いっぱい。
08/06/21 06:45:00
URLリンク(packages.debian.org)
まぁ lenny (testing) と sid (unstable) には 4.7 があるけどな。
どうしても openssh パッケージをアップグレードしたければ
1)lenny の *.deb ファイルを持ってきて強制的に dpkg でインスコ
2)apt-pinning した上で lenny のリポジトリを souces.list.d に追加し
openssh だけをアップグレード。フロントエンドは aptitude が便利。
2)はapt の動作に詳しくなければ全部がそっくり lenny になってしまう
という危険性もある。んが、debian 系を使いこなすなら apt-pinning
と aptitude は使いこなすべし。
URLリンク(jaqque.sbih.org)
URLリンク(wiki.debian.org)
URLリンク(www.debian.org)
URLリンク(www.gfd-dennou.org)
URLリンク(debian.fam.cx)
新旧情報が入り乱れているから最新の情報であれば
英語であっても果敢に読破すべし。って、上のリンクは
けして時系列に並んでいるわけではないので自己責任で。
126:へたれです(><)
08/06/21 23:48:11
へたれのSEです。
いろいろ考えて、あちこち探したのですが見つからなかったので質問さ
せていただきます。
Aと言うサーバ(192.168.20.1)からBと言うサーバ(192.168.30.1)
へSCPを使って自動で夜中にデータを転送する仕組みを作るために、
公開鍵と秘密鍵を使ってSSH通信を可能にしたのは良いのですが、言
いかえればAからはssh 192.168.30.1ってたたくだけでログイン出来て
しまいます。(当然なのですが。。。。)
このAサーバからのアクセスについて制限をかける事って可能なのでし
ょうか?
可能ならAから貰った公開鍵では「serverA」と言うユーザでしかログ
イン出来なくし「serverA」のディレクトリ以外は権限を与えないよう
にしたいのですが。。。。
この場合のサーバAとサーバBの設定はどのようにすれば良いのでしょ
うか?
どうぞ、ご教授いただけますか?
127:名無しさん@お腹いっぱい。
08/06/22 00:19:43
接続元によるアクセス制限は sshd の標準機能で実現可能です。
man sshd の authorized_keys あたりの記述をもう一度確認してみてください。
ディレクトリ制限は4.9以降の sshd か、 chrootssh, scponly あたりで実現可。
ファイルのコピーだけがしたいのであれば、scponlyやrsyncも検討すべし。
128:名無しさん@お腹いっぱい。
08/06/22 00:21:59
>>126
公開鍵認証ができてるってことは、
「Aから貰った公開鍵では「serverA」と言うユーザでしかログイン出来なくし」
ってのはすでに実現できていますね。
もうちょっと勉強しましよう。
129:へたれです(><)
08/06/22 12:45:18
>>127
>>128
早速のご回答ありがとうございます。
記述がもれておりました(汗)
サーバC(192.168.10.1)からも公開鍵を使ってSSH通信が可能な
設定にしてこちらは管理者なのでroot権限を与えたいと思ってます。
>>128
サーバAの設定は 「ssh serverA@192.168.30.1」で
サーバBは公開鍵と「serverA」ユーザを紐付ければ良いって事ですね?
130:名無しさん@お腹いっぱい。
08/06/23 01:09:01
>>129
君には無理。
131:名無しさん@お腹いっぱい。
08/06/27 04:55:39
君には無理とかじゃなく何回読み返しても質問の意図がまったく解らん
132:名無しさん@お腹いっぱい。
08/07/20 16:44:22
自作プログラムをscpで送りつけてsshでリモート実行したら
> scp a.out 192.168.1.20:tmp
a.out 100% 6497 6.3KB/s 00:00
> ssh 192.168.1.20 ~/tmp/a.out
/libexec/ld-elf.so.1: Shared object "libstdc++.so.5" not found, required by "a.out"
と言われて実行できません。
libstdc++の問題なのはわかるのですが、その先がわかりません
基本的なことですがよろしくお願いします。
133:名無しさん@お腹いっぱい。
08/07/20 16:46:27
>>132
ssh は関係ありません。
gcc -static で、static リンクしてください。
134:名無しさん@お腹いっぱい。
08/07/20 16:51:54
libstdc++.so.5は今は古いな。
ローカルホストにlibstdc++.so.6をインストールして、
それとリンクしたa.outを作ってscpで送り付けるか、
リモート側にlibstdc++.so.5をインストールするかのどちらか。
スタティックリンクは最後の手段で、普通はお勧めしない。
135:名無しさん@お腹いっぱい。
08/07/20 16:55:11
>>134
> スタティックリンクは最後の手段で、普通はお勧めしない。
なんで?
136:名無しさん@お腹いっぱい。
08/07/20 16:56:50
>>132
最初から192.168.1.20のホスト上でコンパイルしろよ。何も悩まなくて済むよ。
137:名無しさん@お腹いっぱい。
08/07/20 16:57:55
すいません、超基本的なことでした
libstdc++.so.5が入ってなかったです
ありだとうございました
138:名無しさん@お腹いっぱい。
08/07/25 03:38:09
OpenSSH-5.1p1に上げたら
ssh host command ってやった時に
.bashrcを読んでくれなくなった…
おかげで$HOME/binにあるコマンドを実行するのにいちいち
ssh host $HOME/bin/command ってやらなきゃならなくなって大困り…
元のに戻すかなあ…
139:名無しさん@お腹いっぱい。
08/07/25 06:51:23
>>138
.bashrcは、ログインシェルは読まない。読むのは非ログインシェルのみ。
ログイン時に読ませたい設定は $HOME/.bash_profile等に書く。
140:名無しさん@お腹いっぱい。
08/07/25 11:59:02
>>139
ssh host command ってやった時にはログインシェルが起きるの?
ログインシェルじゃないシェルが起きてそれがcommandをexecするんだと
思っていたんだけど…
141:名無しさん@お腹いっぱい。
08/07/25 12:13:13
ssh host command の場合、非ログインシェルが起きるのは昔からだな。
142:名無しさん@お腹いっぱい。
08/07/25 12:17:48
>>138
bashが、shの名前(argv[0])で起動されてるとか、
bash --posix で起動されてたりすると
.bashrcを読み込まない。
143:名無しさん@お腹いっぱい。
08/07/25 13:08:16
>>138
というか、
ssh host command の場合、ログイン先で
bash -c command が実行されるが、
-c オプション付きでは .bashrc は読み込まれない。
これは昔から変わっていない。
前のバージョンでは読み込んでいたと思っている記憶が間違っているのでは?
144:名無しさん@お腹いっぱい。
08/07/25 15:42:45
>>143
いや、5.0p1に戻したらちゃんと.bashrcを読んでくれる。
bashのマニュアルには
「bashは、自分を起動したのがリモートシェルデーモン(通常はrshd)か
どうかを調べます。rshdによって実行されているとbashが判断した場合、
~/.bashrc が存在し、かつ読み込み可能であれば、 bash はコマンドを
このファイルから読み込んで実行します。」
とあるので、これが効いている模様。
bashのソース(バージョン3.2、パッチ039まで)を見ると、
リモートから起動されているかどうかは
run_startup_files()の中の
if ((run_by_ssh || isnetconn (fileno (stdin))) && shell_level < 2)
のところで判定している。
ところが、OpenSSH-5.0p1のsshdからつなぐと
isnetconn(fileno(stdin))が1になって
結果的に~/.bashrcを読んでくれるのに対し、
OpenSSH-5.1p1でつなぐとisnetconn(fileno(stdin))がなぜか0になって
そのため~/.bashrcを読んでくれない。
さらにlib/sh/netconn.cのisnetconn()を見ると
getpeername(fd, &sa, &l)がOpenSSH-5.1p1の場合だけなぜかエラーになり、
そのせいでこの関数が0を返している。
これが原因だと判明したのだが、
どこを直せば良いのか思案中…
145:名無しさん@お腹いっぱい。
08/07/25 16:03:25
isnetconn() 以前の問題として、
run_by_sshが偽になってるのがそもそもの間違いでは。
バージョンによっては、たまたま isnetconn() が真になってくれていたから
結果的にうまく動いていたように見えていただけで、
本来は run_by_ssh が真になるべきなのでは。
146:名無しさん@お腹いっぱい。
08/07/25 16:12:20
俺的には逆に .bashrcなど読まれると困るな。
5.1p1ではあえてbashを欺いて.bashrcを読ませないように修正を入れたんじゃないか?
147:名無しさん@お腹いっぱい。
08/07/25 16:26:39
>>145
そうでもない。
SSH_SOURCE_BASHRCがdefineされていない限り
run_by_sshは必ず0になるようになっている。
2.05aのあたりでこの挙動がデフォルトになるように変わったらしい。
…ということはSSH_SOURCE_BASHRCをdefineしてbashを作り直せば
いいのかも知れんが、気分的にそれはちょっとしたくない。
sshdの方の修正で何とかならんかな…
>>146
bashを欺くためだけにわざわざ変なことをするとは考えにくいな。
148:名無しさん@お腹いっぱい。
08/07/25 16:33:13
getpeername()がエラーになる場合というと、
例えば、ネット直結じゃなくてpty経由になってるとかだけど、
だとすると ssh -T host command にすると解決したりしないか?
149:名無しさん@お腹いっぱい。
08/07/26 02:30:09
そんな簡単な話でもないみたい >>148
ssh -T host command でも残念ながら動作は変わらなかった。
それで調査を進めたところどうも
5.1p1のsession.cの427行目にある
#define USE_PIPES が悪さをしているっぽい。
これがあるために、直後のdo_exec_no_pty()で
#ifdef USE_PIPESの方のコードが強制的に使われる。
#elseの方ではsocketpairを使っているので
シェルへのstdinがネット経由になるが
#ifdef USE_PIPESの方ではpipeを使っているので
シェルへのstdinがネット経由にならない、
という事情のような気がする。
>>148さんの書き込みがヒントになった。ありがとう。
427行目の #define USE_PIPES を取っ払ってコンパイルしたら
5.1p1でも ssh host command で ~/.bashrc を読むようになった。
これでいく。皆様、協力感謝します。
それにしてもなぜ #define USE_PIPES がこんなところにあるんだろう。
除去し忘れか何かか?
150:149
08/07/26 03:10:11
というわけで、一応自分なりにまとめといた
[問題点] OpenSSH-5.1p1のsshdを動かしているシステムに対し、
bashをログインシェルとするユーザがリモートから
ssh host command を実行した場合、~/.bashrcが読まれない。
OpenSSH-5.0p1までは~/.bashrcを読んでいた。
Linux, Solarisでこの現象を確認。
[解決法] session.cの427行目の#define USE_PIPESを
削除して再コンパイル。
[原因?] bashは、リモートからの実行だと判断すると~/.bashrcを
読む機能を備えるが、stdinに対するgetpeername()が失敗すると、
リモートからの実行だと判断せず、~/.bashrcを読まない。一方、
sshd側のsession.cに#define USE_PIPESがあると、後続の
do_exec_no_pty()でsetsockpair()が使われないため、シェルへの
stdinがネット直結にならない。このため、bashがstdinに対する
getpeername()を実行したとき失敗するので、~/.bashrcが読まれ
なくなる。
151:名無しさん@お腹いっぱい。
08/07/26 08:18:45
追求乙。開発者に通報してくらさい。>>150
152:名無しさん@お腹いっぱい。
08/07/26 09:28:29
>>149
解決オメ、だけど、
*BSDでは、pipe()が実際にはsocketpair()を使って実装されていて、
pipe()に対するgetpeername()も成功する、んじゃなかったかな。
だから、*BSD上で開発してると問題が発覚しないので、bug fixもされないと。
153:名無しさん@お腹いっぱい。
08/08/27 00:58:25
sshでログインする前に実行するコマンドを指定して、
そのコマンドを実行後にログインみたいな事って出来ますか?
下記のような事がやりたいです。
ssh user@example.com --hoge vi
(example.comにログイン後、viを起動した状態に)
ご存知でしたら教えてください。よろしくお願いします。
154:名無しさん@お腹いっぱい。
08/08/27 07:03:19
>>153
ssh -t user@example.com vi
155:名無しさん@お腹いっぱい。
08/08/29 16:47:48
パスワード認証も受け付けるSSHサーバをいちユーザとして使用しています。
いちユーザが認証方法をパスワードから鍵交換に変更した場合のセキュリティは、
1) 覗き見などによるパスワード流出、サーバなりすましが防げる点で向上
2) 総当たり・辞書攻撃に対しては変化なし
3) 1)の観点により、鍵交換認証にすべし
という理解でよいでしょうか?
156:名無し
08/08/29 19:04:14
鍵の長さがまったく違う。
1024bit 以上の長さの鍵を使える点で、
16文字がせいぜいのパスワード認証の鍵の長さとは比較にならない。
157:名無しさん@お腹いっぱい。
08/08/29 23:06:00
サーバがパスワード認証してるなら、総合的なセキュリティの強度は
パスワード認証レベルになるんじゃない?
158:155
08/08/30 13:43:27
お返事ありがとうございました。
>>157
そうですよね?鍵認証のご利益は、2)の観点での主張が多いように見受けますが
パスワード認証っていう「穴」があるなら、ご利益はフルに受けられないと感じた次第です。
>>156
言葉足らずですみません。私が感じているのは上記です。
普段いくら長い鍵で認証していても、短かい鍵での認証が許される以上、
セキュリティの強度は後者で決まっちゃうのかなと考えた次第です。
159:名無しさん@お腹いっぱい。
08/08/31 17:48:56
パスワード認証でローカルのマシンにログインしたいのですが、
最初に鍵認証と勘違いして、必ず鍵のパスワードを聞いてきます。
man ssh でマニュアルを読み、ネットで調べてもなかったんですが、
いきなり、パスワード認証で入れるように指定するコマンドってありますか?
160:名無しさん@お腹いっぱい。
08/08/31 18:12:17
あります。
161:名無しさん@お腹いっぱい。
08/08/31 21:27:44
ありがとうございます。安心しました。
162:名無しさん@お腹いっぱい。
08/08/31 21:38:48
サーバー側でパスワード認証を許可していても、
ユーザー側の設定($HOME/.sshとか)で、
パスワード認証を不許可にするような設定ってできますか?
(ログイン元のクライアント側で不許可にするんじゃなくて、
サーバー側で不許可にする方法の質問です)
(サーバーは管理者が別人で、自分にはroot権限が無い場合です)
163:名無しさん@お腹いっぱい。
08/09/01 12:42:10
>>160
教えてもらえませんか?
164:名無しさん@お腹いっぱい。
08/09/01 12:53:56
あるって教えてもらったじゃん。
165:名無しさん@お腹いっぱい。
08/09/01 21:32:39
>>162
man ssh_config
>>163
ssh -o で好きにしろ
166:名無しさん@お腹いっぱい。
08/09/01 21:50:19
>>165
>man ssh_config
↑それはクライアント側でパスワード認証を禁止する方法ですね。
それは当然知ってます。
そうじゃなくて、サーバー側で禁止する方法を質問してるんです。
167:名無しさん@お腹いっぱい。
08/09/01 22:12:06
>>166
man sshd_config
168:名無しさん@お腹いっぱい。
08/09/01 22:22:21
>>167
man sshd_configでは、サーバーの /etc/ssh/sshd_config でしか設定できません。
元の質問のとおり、root権限の無いサーバーで、ユーザーサイドで
sshd_config相当の設定をしたいわけです。
manを読む限りは $HOME/.ssh/sshd_config のようなものはありません。
で、どうやってやるのでしょうか? 答えてください。
169:名無しさん@お腹いっぱい。
08/09/01 22:41:17
特定のアカウントが公開鍵認証だけに出来たところで、サーバのセキュリティは
さほど変わらないんだし、どうしても自分のアカウントだけ守りたいんならパスワードを
十分な強度にすればいい。もちろんサーバが乗っ取られたら終わりだが。
それが嫌ならサーバのパスワード認証やめてもらうしかない。
170:名無しさん@お腹いっぱい。
08/09/01 22:55:47
できないなら「できない」って最初から答えろよw
171:名無しさん@お腹いっぱい。
08/09/01 23:14:01
何を設定しようがsshを話すプログラムを自分でインスコすることが可能なら
制限などできないが答えだよ
172:名無しさん@お腹いっぱい。
08/09/01 23:45:59
>>171
「不可能なら」の誤りではないでしょうか?
173:名無しさん@お腹いっぱい。
08/09/02 00:02:00
>>159
>いきなり、パスワード認証で入れるように指定するコマンドってありますか?
サーバ側の~/.ssh/configにPreferredAuthentications passwordじゃダメ?
174:名無しさん@お腹いっぱい。
08/09/02 00:59:09
>>173
~/.ssh/config はSSHクライアントの設定ファイルなのでダメです。
175:名無しさん@お腹いっぱい。
08/09/02 08:01:38
>>162
俺様sshdなら、できるよ
176:名無しさん@お腹いっぱい。
08/09/02 08:11:12
>>175
すでに稼働してるsshdで、自分のアカウントに対して他人が
パスワード認証でアタックするのを防ぎたいという目的だから、
ユーザー権限で「俺様sshd」をインストールしても解決しない。
177:名無しさん@お腹いっぱい。
08/09/02 09:18:23
>>176
すでに稼働してるsshdが何なのか書いてない時点で、釣りだろ
178:名無しさん@お腹いっぱい。
08/09/02 09:27:44
>>177
>>162
179:名無しさん@お腹いっぱい。
08/09/02 10:54:35
>>178
>>162のどこにも、すでに稼働してるsshdがOpenSSH portableなのか俺様sshd
なのか書かれてない
180:名無しさん@お腹いっぱい。
08/09/14 21:22:32
puttyjpを普段使ってるんだけど
USBメモリに入れて持ち運ぶのに最適なやつありませんかね?
181:名無しさん@お腹いっぱい。
08/09/14 23:14:27
>>180
puttyjpをUSBメモリに入れて持ち運んでて不満があるのか、
puttyjpをUSBメモリに入れて持ち運びたいということなのか、
どっちだ
182:名無しさん@お腹いっぱい。
08/09/15 09:27:43
>>181
puttyjpをUSBメモリに入れて持ち運びたいということDEATH☆
183:名無しさん@お腹いっぱい。
08/09/15 09:31:27
>>181 みたいに聞き返す場合は、そのどちらであっても質問には答えられない、
の法則。その証拠に >>182 が出ても返答なし。
184:名無しさん@お腹いっぱい。
08/09/15 10:36:43
U3かPortableAppsでも使えば?
185:名無しさん@お腹いっぱい。
08/09/15 10:38:28
ということにしたいのですね。
186:名無しさん@お腹いっぱい。
08/09/15 10:59:59
はつみみです
187:名無しさん@お腹いっぱい。
08/09/15 17:47:26
180 2008/09/14(日) 21:22:32 元質問
↓1時間51分55秒後
181 2008/09/14(日) 23:14:27 突っ込み
↓10時間13分16秒後
182 2008/09/15(月) 09:27:43 返答
↓3分44秒後
183 2008/09/15(月) 09:31:27
> その証拠に >>182 が出ても返答なし。
結論:早漏
188:181
08/09/15 18:58:30
いつ来るか分からん返事を、徹夜で待ち続けて即レスしろってか?
ムチャいうなw
>>182
俺は蛭子屋さんとこのごった煮版を持ち運んでる。
ごった煮版は名前の通り、いくつかの非公式公開パッチをまとめて当てた
ものがベースになってるから、そんなに付加機能がいらないならjpパッチ
とINIパッチだけ当てたのでもたぶん使えると思う。
189:名無しさん@お腹いっぱい。
08/09/15 19:16:07
>>183
別に>>181が答える義務はないんじゃね。
別な人が答えやすくなればそれでいい。
190:名無しさん@お腹いっぱい。
08/09/15 20:24:30
183=187=真性キチガイかつ真性包茎。近寄ると恥垢臭が酷いので放置しとけ。
191:名無しさん@お腹いっぱい。
08/09/17 08:33:02
>>190
キチガイはお前だろうがこの発狂粘着真性キチガイ包茎猿男(狂猿)◆QfF6cO2gD6
マジでとっとと発狂してビルから飛び降りて自殺して死ね。
頭おかしいだろお前。失せろよこのカス。速攻で死ねや。
192:名無しさん@お腹いっぱい。
08/09/17 16:26:25
加藤の亡霊が出現した。
193:名無しさん@お腹いっぱい。
08/10/27 23:02:08
opensshのinternal-sftpで質問です。
internal-sftpのchroot環境からは別のファイルシステムをマウントしたディレクトリは見えないのでしょうか?
・sftp jailの中身
-rw-r--r-- 1 root root 0 Oct 26 16:58 ero
drwxr-xrwx 1 sftp sftp 32768 Oct 25 04:31 nikoniko ←別の鯖のファイルシステムをsshfsでマウント
drwxr-xrwx 2 sftp sftp 4096 Oct 27 13:55 test
drwxrwxrwx 2 root root 4096 Oct 27 12:50 user
・クライアントでのlsの内容
Listing directory /
drwxr-xr-x 5 0 0 4096 Oct 27 13:55 .
drwxr-xr-x 5 0 0 4096 Oct 27 13:55 ..
-rw-r--r-- 1 0 0 0 Oct 26 16:58 ero
drwxr-xrwx 2 1000 1000 4096 Oct 27 13:55 test
drwxrwxrwx 2 0 0 4096 Oct 27 12:50 user
これを見られる様にするオプションはありますか?
194:あ
08/11/12 19:49:30
テラタームから誤って消す必要のないファイルを削除してしまいました
サーバーのゴミ箱とかにファイルは残りますかね?それとも完璧に削除されて戻すことはできないんですか?
195:名無しさん@お腹いっぱい。
08/11/12 19:52:17
>>194
スレ違い。
196:名無しさん@お腹いっぱい。
08/11/12 20:53:22
194です。すみませんでした。街頭スレ探してみます。
197:名無しさん@お腹いっぱい。
08/11/12 21:54:01
>>194
お勧めスレ
↓
【エスパー】くだ質【エラーメッセージ不要】(1)
スレリンク(unix板)
198:名無しさん@お腹いっぱい。
08/11/12 22:10:17
197さんありがとう。ご迷惑お掛けたしたにもかかわらず親切に誘導してもらってどうもです。
199:名無しさん@お腹いっぱい。
08/11/13 00:41:26
すいません、どなたか教えてください。
xinetd経由でsshdを起動していて、/etc/xinetd.d下に作成したsshdの設定ファイル内で
only_fromを記述してアクセス制限かけようとしたのですがうまくいかず、
その後、hosts.allowやhosts.denyなどもいじっていたところつながらなくなりました。
どこが悪いのかさっぱりなのでsshdを直接起動するようにしたのですが、やっぱりだめで以下のログが出力されました。
ローカルホストからの接続でも同様のログが出力され接続できません。
倉側
Nov 13 00:09:23 xxxx sshd[12240]: warning: cannot open /etc/hosts.allow: Permission deniedOpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: loaded 3 keys
ssh_exchange_identification: Connection closed by remote host
200:199
08/11/13 00:42:06
鯖側
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: loaded 3 keys
ssh_exchange_identification: Connection closed by remote host
201:名無しさん@お腹いっぱい。
08/11/13 01:07:58
>>199
>cannot open /etc/hosts.allow: Permission denied
ここじゃね?
202:名無しさん@お腹いっぱい。
08/11/13 01:44:52
>>201
hosts.allow, hosts.denyのアクセス権を確認したところ644でした。
大丈夫なはずなんですけどねえ…
203:名無しさん@お腹いっぱい。
08/11/13 10:35:43
hosts.allow、hosts.denyの中身は?
204:名無しさん@お腹いっぱい。
08/11/13 11:37:21
hosts.allowの中身は
sshd:ALL:allow
で、hosts.denyの方は何も書いていません。
205:名無しさん@お腹いっぱい。
08/11/13 11:43:37
>>200のログはクライアント側でしょ。
206:199
08/11/13 12:07:26
ほんとだw同じの貼ってどうするorz
↓鯖側です
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: rexec start in 4 out 4 newsock 4 pipe 6 sock 7
Nov 13 11:58:00 xxxxx sshd[13682]: debug1: Forked child 27169.
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: inetd sockets after dupping: 3, 3
Nov 13 11:58:00 xxxxx sshd[27169]: warning: cannot open /etc/hosts.allow: Permission denied
Nov 13 11:58:00 xxxxx sshd[27169]: warning: cannot open /etc/hosts.deny: Permission denied
Nov 13 11:58:00 xxxxx sshd[27169]: debug1: Connection refused by tcp wrapper
Nov 13 11:58:00 xxxxx sshd[27169]: refused connect from xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)
207:名無しさん@お腹いっぱい。
08/11/13 12:17:31
あてずっぽだけど、SELinuxとか。
208:名無しさん@お腹いっぱい。
08/11/13 12:35:36
>>207
当たりでしたー
なんかhosts.allowとhosts.denyは一回編集する毎に
SElinuxの方で設定してあげないと弾かれちゃうようになってました。
みなさんどもでしたm(_ _)m
209:名無しさん@お腹いっぱい。
08/11/13 12:37:33
Linux板の使ってるディストリのスレで聞けば早かったのに。
210:名無しさん@お腹いっぱい。
08/11/13 19:12:24
梶谷秀
211:名無しさん@お腹いっぱい。
08/11/14 11:40:48
みんなhpn-sshつかってるー?
212:名無しさん@お腹いっぱい。
08/11/14 19:08:50
>>211
イラッ★
213:名無しさん@お腹いっぱい。
08/11/19 01:53:49
画面が激しく更新されるプログラム(Java)をSSHでX転送しようとすると、
ウィンドウが全く表示されません。(pingで55msくらい離れている場所から)
xclockやfirefoxなどはちゃんと表示されます。
また、このプログラムを以下のように変更すると画面が表示されます。
・画面の更新頻度を落とす(激しくない更新)
・pingが0.093msくらいの近くのPCに行く。
・画面の更新を
214:送信途中でクラッシュしたので再送します
08/11/19 01:54:44
画面が激しく更新されるプログラム(Java)をSSHでX転送しようとすると、
ウィンドウが全く表示されません。(pingで55msくらい離れている場所から)
xclockやfirefoxなどはちゃんと表示されます。
また、このプログラムを以下のように変更すると画面が表示されます。
・画面の更新頻度を落とす(激しくない更新)
・pingが0.093msくらいの近くのPCに行く。
・画面の更新を10秒後(ウィンドウが表示されてから)開始する
何が原因なのでしょうか。
SSHサーバ OpenSSH_4.3p2 Debian-9, KNOPPIX Linux
SSHクライアント PuTTY 0.60(WindowsXP)とOpenSSH 5.1_p1(Linux)
Xサーバ Xming 6.9.0.31(WindowsXP)とxorg 7.2(Linux)の両方を試しました。
クライアントはWindowsでもLinuxでも症状変わりません。
215:名無しさん@お腹いっぱい。
08/11/19 20:19:50
SSH通信でデータ漏えいの可能性--32ビットの平文が取り出し可能に
URLリンク(japan.cnet.com)
216:名無しさん@お腹いっぱい。
08/11/19 20:34:18
>>215
>この問題の対策方法としては、CBC(Cipher Block Chaining)モードではなく
>CTR(CounTR)モードを使用することを推奨している。OpenSSH 3.7以降では
>CTRモードがサポートされている。
詳しい人教えて欲しいのだが、putty などのクライアントは対応しているの?
217:名無しさん@お腹いっぱい。
08/11/19 20:43:30
PuTTYは初期設定がCTR
218:名無しさん@お腹いっぱい。
08/11/19 20:44:41
>>217
ありがとう。
セキュリティーホールメモに書いてあった・・・
URLリンク(www.st.ryukoku.ac.jp)
サーバ側では制限出来ないのかな・・・
219:名無しさん@お腹いっぱい。
08/11/19 20:48:33
>>218
自己レス
sshd_config に↓を追加すればOK
----
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
220:名無しさん@お腹いっぱい。
08/11/19 20:48:40
linux上のOpenSSH-5.1p1でsftp-serverを使っているんですが
sftp-severから吐き出されるログの中で日本語が文字化け
してしまいます。
opendir "/nullpo/gaxtu/\123\321\132"
のような感じで\123\321\132の部分が化けた日本語です。
日本語のログを吐かせる方法はありますか?
221:名無しさん@お腹いっぱい。
08/11/19 23:52:48
あります
222:名無しさん@お腹いっぱい。
08/11/20 13:59:53
>>219
うちは man sshd_config のデフォルトから *-cbc を抜
いたのを設定してみた。
なんとなくログ巡回してたら今朝早くから 30 秒おきに
攻撃食らってた(同一 IP じゃないので botnet?)。
この変更してから認証失敗ログはピタッと止まったけど、
鍵交換で使えるプロトコル判定して *-cbc の場合だけ
継続するんだろうな(対策をしていないところはパスワー
ドも当りやすい、ということかもしれない)。
223:名無しさん@お腹いっぱい。
08/11/20 14:41:24
今、うちのサーバの設定見直したら
rootログイン可になってたガクブル
稼働3年目にして今修正した
224:名無しさん@お腹いっぱい。
08/11/20 15:43:33
rootログイン可ってそこまで怖いの?
鍵持ってないとアクセスできないようにしておけば
gkbrほどは無いと思うけど。
225:名無しさん@お腹いっぱい。
08/11/20 20:51:53
>>224
俺も、PermitRootLogin without-password にしているけど・・・
問題ないけどな。
勿論、一般ユーザも鍵認証しか許可してないけど。
226:223
08/11/20 23:02:31
いやいや、パスワードでログイン可だったから
227:名無しさん@お腹いっぱい。
08/11/20 23:06:48
>>226
PermitRootよりPermitPasswordを問題視したほうがいいよ。
228:名無しさん@お腹いっぱい。
08/11/21 10:02:29
usePAMが穴
229:名無しさん@お腹いっぱい。
08/11/21 17:40:14
鍵ファイルをユーザに託す行為が穴。
230:名無しさん@お腹いっぱい。
08/11/21 19:35:01
鍵にもパスワードつけとけばいいやん。
231:名無しさん@お腹いっぱい。
08/11/21 19:52:21
>>230
ブルートフォースで簡単に破られる鍵じゃん。
232:名無しさん@お腹いっぱい。
08/11/21 19:58:55
信頼できないユーザーならパスワード認証も鍵も同じ。
アクセス拒否すればよい。
233:名無しさん@お腹いっぱい。
08/11/21 20:02:15
>>232
信用できるユーザが鍵を盗まれていて、ユーザ自身が盗難の事実に気づいていない場合。
234:名無しさん@お腹いっぱい。
08/11/21 20:03:50
どうやったら盗まれるの?
235:名無しさん@お腹いっぱい。
08/11/21 20:06:07
>>234
鍵ファイルをコピーしちゃう
236:名無しさん@お腹いっぱい。
08/11/21 20:31:04
パーミッション的に無理じゃない?
237:名無しさん@お腹いっぱい。
08/11/22 12:47:16
信頼できるユーザのマシンの管理者がタコで、rootを破られて気付いていない場合
238:名無しさん@お腹いっぱい。
08/11/22 12:56:30
他のユーザと共有してるマシンに秘密鍵置かないだろ。
239:名無しさん@お腹いっぱい。
08/11/22 13:12:25
>>238
セキュリティの話に性善説を持ち込んだらあかん。
プライベートなPCのスクリーンセーバーをかけ忘れた。
Windowsの管理共有が有効なまま。
キンタマウイルスに引っかかった。
HDDを消去せずにPCを捨てた。
・・・
結局、一般的なファイル盗難の話に帰着する。
ユーザに厳格な管理を課さないと維持できないセキュリティなんてね。
それなら管理者が強制力を発揮できるパスワード方式のほうがまだ安全。
240:名無しさん@お腹いっぱい。
08/11/22 13:30:53
そういう大事なパスワードは忘れると困るからメモしてディスプレイに貼っておこう。
241:名無しさん@お腹いっぱい。
08/11/24 22:49:41
>>234
鍵ファイルもパスフレーズもwikiあたりに載せて公開しちゃう場合
242:名無しさん@お腹いっぱい。
08/11/25 20:50:23
次の患者さん、どうぞ。
243:名無しさん@お腹いっぱい。
08/12/03 10:29:15
たしかに自分から暴露するようじゃ病気だわな
244:名無しさん@お腹いっぱい。
08/12/11 18:58:34
SSHのポートフォワーディングって一度接続した後に
やっぱあのポートもこっちに流してくれ!ってできないよな?
できれば激しく便利なんだが・・・
245:名無しさん@お腹いっぱい。
08/12/11 19:38:36
>>244
teratermやputtyでは出来る(よね?)から、
プロトコル上の問題じゃなくて実装上の問題なんだろうね
246:名無しさん@お腹いっぱい。
08/12/11 19:44:27
>>244
OpenSSHなら
~C
でできる。-Dは無理だけど。
247:名無しさん@お腹いっぱい。
08/12/12 03:54:21
Teraterm や PuTTY でできることを知らなかった
OpenSSH の -D の存在を知らなかった
~C が何かがまだわかって無い。
248:名無しさん@お腹いっぱい。
08/12/12 10:11:13
>>247
man ssh
249:名無しさん@お腹いっぱい。
08/12/12 13:38:01
>>248
今理解した。
250:名無しさん@お腹いっぱい。
08/12/14 20:18:15
URLリンク(www.coins.tsukuba.ac.jp)
URLリンク(webos-goodies.jp)
URLリンク(www.stackasterisk.jp)
この辺のホスト認証の説明で、ホスト鍵とサーバ鍵を使うと書かれているのですが、
サーバ鍵があってもホスト鍵が破られたら成り済ましが可能なことに変わりないように思います。
わざわざサーバ鍵も使う理由って他にあるんでしょうか。
251:名無しさん@お腹いっぱい。
08/12/14 21:20:24
URLリンク(ccweb1.kek.jp)
Server-keyは768-bitの RSA keyでホスト認証のために使われる.
sshd 起動時に作成され, その後1時間毎に自動的に更新される.
ファイルに保存されることがない. Server-keyの目的は,
host keyで暗号化した通信を記録して解読されることを防ぐことにある.
この一定時間ごとに変化する Server-key で修飾することにより
暗号の解読を困難にしている.
--------------------
だって。上のページは主にSSH1の話しということだけど。
Session-key を定期的に変えるのじゃだめなのかな?
252:名無しさん@お腹いっぱい。
08/12/14 23:18:28
いい資料ありがとうございます。
「host-keyで暗号化した通信」って、つまりsession-keyの送信部分だけですし、
確かにserver-keyはhost-keyじゃなくて、session-keyを守るためのものっぽいですね。
秘密host-keyが漏れた時、過去の全通信のsession-key=内容が解読されるのを防ぐためな気がしてきました。
253:名無しさん@お腹いっぱい。
08/12/18 21:36:42
お聞きしたいのですが、sshd.confファイルで ssh port forwardを特定のユーザのみにしか
許可しないと言う設定はどうすればよいのでしょうか?
デフォルトだとsshでログインできるユーザは全員ssh port forwardが使えるので不安です。
254:名無しさん@お腹いっぱい。
08/12/19 01:52:35
>>253
試してないが、OpenSSH 4.4以降なら以下のようにしてできるかも
AllowTcpForwarding no
Match User hoge, fuga
AllowTcpForwarding yes
参考) URLリンク(www.unixuser.org)
255:名無しさん@お腹いっぱい。
08/12/19 13:32:18
今まで ssh をセキュアな telnet としてしか使ったこと
無いんだけど、port fowarding って何がどう便利に
なるの?事例希望。
256:名無しさん@お腹いっぱい。
08/12/19 13:41:28
Xとかvncのコネクションをセキュアに張れる。
pop3s/smtpsのない環境でも外部からセキュアにメールが読み書きできる。
sshしかポートを開いてないところにいろいろ飛ばせる(あんまりないか)。
ほか。
257:名無しさん@お腹いっぱい。
08/12/19 14:28:30
>>255
海外からGyaOが見られる、とかかな。
258:名無しさん@お腹いっぱい。
08/12/19 15:13:27
そもそもUNIXでGyaO見られるか??
259:名無しさん@お腹いっぱい。
08/12/19 16:09:30
っPuTTY
260:名無しさん@お腹いっぱい。
08/12/19 16:39:17
そもそもUNIXにPuTTYなんてあるか?
261:名無しさん@お腹いっぱい。
08/12/19 16:41:33
ある。
262:名無しさん@お腹いっぱい。
08/12/19 17:01:46
>>254
レスありがとうございます。
# ssh -V
OpenSSH_4.3p2 Debian-9etch2, OpenSSL 0.9.8c 05 Sep 2006
終了のお知らせwwwww
どこに4.4以降じゃないとMatch文が使えないと書いてます?
263:名無しさん@お腹いっぱい。
08/12/19 17:02:56
じゃあ、UNIX版のPuTTYとやらを使えばUNIXクライアントだけでGyaOが見られるのかよ?
264:名無しさん@お腹いっぱい。
08/12/19 17:12:22
>>262
URLリンク(www.unixuser.org)
265:名無しさん@お腹いっぱい。
08/12/19 18:12:20
>>262
コンパイルしるしかないな
#調べたらetch-backportsにもなかったわ…lennyは5.1p1だが
266:名無しさん@お腹いっぱい。
08/12/20 14:19:05
>>263
何ムキになってんだよw
267:名無しさん@お腹いっぱい。
08/12/21 02:11:57
>>255
大学から2chが見られる。
268:名無しさん@お腹いっぱい。
08/12/21 02:15:50
今日び大学からも2chが見れない時代なのか
会社じゃあるまいし…
269:名無しさん@お腹いっぱい。
08/12/21 02:29:51
2chは普通にアクセスできるんだけど
大学に迷惑かけたくないので、ポート転送使って家経由で。
270:名無しさん@お腹いっぱい。
08/12/21 02:43:11
つまり、荒らしたいと。
271:名無しさん@お腹いっぱい。
08/12/22 01:20:35
>>269
家経由で迷惑かける気満々だな
272:名無しさん@お腹いっぱい。
08/12/23 10:03:41
>>253
port forwardを禁止されたらnc使うよね。
273:名無しさん@お腹いっぱい。
08/12/23 12:18:11
>>272
URLリンク(www.ksknet.net)
これですか?こんなのがあったのか・・・・知らなかった・・・・。
これでssh port forwardと同じような事ができるんですか?
274:名無しさん@お腹いっぱい。
08/12/23 16:38:04
>>273
いいや?
275:名無しさん@お腹いっぱい。
08/12/24 06:20:53
マシン192.168.0.1からあるサーバhogeにssh接続し10110番をportforwardすると
ssh -L 10110:localhost:110 hoge
マシン192.168.0.1では、localhost:10110 を介してhoge:110にアクセスできる
しかし、192.168.0.1とは別のマシンから
192.168.0.1:10110にアクセスしても繋がらないようなのだけど
これを可能にする方法ある?
この別のマシンにはsshが入っていないので、再portforwardはできないとして
276:名無しさん@お腹いっぱい。
08/12/24 06:32:46
>>275
-g
277:名無しさん@お腹いっぱい。
08/12/24 06:40:04
>>276
ありがとう
でも気をつけてつかわないと危険ですね、これは
278:名無しさん@お腹いっぱい。
08/12/27 00:09:02
/etc/ssh配下にある公開鍵(鍵Aとします)と、個人ユーザのホームディレクトリ配下にある公開鍵(鍵Bとします)の違いについてお聞きします。
ホスト認証で使われるのは鍵Aで、ユーザ認証で使われるのは鍵Bという認識であってますしょうか?
279:名無しさん@お腹いっぱい。
08/12/27 12:22:04
>>278
Yes
280:名無しさん@お腹いっぱい。
08/12/27 12:30:14
配下って何ですか? ハイカならとっくに廃止?
281:名無しさん@お腹いっぱい。
08/12/27 14:34:18
>>280
うわっ!何こいつ最悪つまんねーw
ただで寒いのに、お前のせいで凍えしにそうだwww
きもい
282:名無し募集中。。。
08/12/27 16:16:31
>>281
日本人じゃないんだろ
ほっとけよ
283:名無しさん@お腹いっぱい。
08/12/27 16:26:50
「お会計の方、よろしいでしょうか」みたいに間違った日本語だね。
×「ホームディレクトリ配下」
○「ホームディレクトリの下」
284:名無しさん@お腹いっぱい。
08/12/27 19:10:23
ホームディレクトリ配下はNGなのか、設計書に書いちゃってるわ
マジ、お客さんに申し訳ねえ
285:名無しさん@お腹いっぱい。
08/12/27 20:26:04
え、~/.sshじゃなくて~/下に置いてるってこと?
286:名無しさん@お腹いっぱい。
08/12/28 02:17:08
CentOS5.2ですが、denyhostsはパッケージとしては存在しないのでしょうか?
手動でコンパイルする必要があるのでしょうか?
287:名無しさん@お腹いっぱい。
08/12/28 02:28:01
>>285
あげあしとってやんなよ・・・w
288:名無しさん@お腹いっぱい。
08/12/28 11:31:44
>>286
DAG にあるじゃん
URLリンク(dag.wieers.com)
289:名無しさん@お腹いっぱい。
08/12/28 11:59:03
なんで「配下」じゃだめなん?
290:名無しさん@お腹いっぱい。
08/12/29 01:30:15
「ある人の支配下にあること。また、その者。手下。『―の者を引き連れる』」(小学館大辞泉)
「『配下』は、支配下にある者のことで、人間以外にも用いる。」(小学館類語例解辞典)
"ディレクトリ配下" の検索結果 約 44,300 件
"フォルダ配下" の検索結果 約 22,900 件
"ネットワーク配下" の検索結果 約 437 件
「~の下に配(置)された」といったかんじだったのが、ディレクトリがもつツリー構造と
支配関係がもつヒエラルキー構造の相似性にひきずられて、「配下」になったんではないかと(想像)。
291:名無しさん@お腹いっぱい。
08/12/29 09:13:16
ディレクトリはただのリンクされたツリー構造であって、
「支配関係」はないしね。
(親ディレクトリが書き込み不可でもサブディレクトリには書き込めるとか)
"ディレクトリの下"でググるともっとけん数ヒットする。
292:名無しさん@お腹いっぱい。
08/12/29 10:53:37
"配下にある" == "「支配下にある」にある"
おかしいだろ。
293:名無しさん@お腹いっぱい。
08/12/29 10:59:21
難しい言葉使わなくとも「以下」でいいんだよな。
294:名無しさん@お腹いっぱい。
08/12/29 11:27:07
子、でいいだろ
295:名無しさん@お腹いっぱい。
08/12/29 12:11:13
子だとすぐ下のディレクトリしか指さない気がする。
ディレクトリじゃないファイルとか
下の下のディレクトリとかは含まなくない?
296:名無しさん@お腹いっぱい。
08/12/29 12:53:27
子孫繁栄
297:名無しさん@お腹いっぱい。
08/12/29 13:18:50
「ホームディレクトリの下にある.sshフォルダ」だとホームディレクトリ直下っていう意味だと思うんだけど、
「ホームディレクトリ以下にある.sshフォルダ」だと、ホームディレクトリだけでなく、その子ディレクトリや
子孫ディレクトリも可能性として含むような気がするんだよ、国語辞典で「以下」の語義を眺めていると。
「ホームディレクトリ以下でしたらどこにファイルを配置してもかまいません」って感じのが本来の語義に沿った使い方なんでないかと。
でもコンピュータ業界では「ディレクトリ以下」といえばそのディレクトリ直下を意味する、という暗黙の了解ができているような気もする。
そこらへんは読み手が文脈によって読み分けてるのかもしれんが、技術用語として使う分には厳密に使い分けた方がいいよね。
298:名無しさん@お腹いっぱい。
09/01/03 11:26:31
ssh の鍵のかわりに SSL の証明書を使えないもんだろうか。
299:名無しさん@お腹いっぱい。
09/01/06 23:44:54
>>291
パス名に含まれるディレクトのうち1つでも x bit が立っていない場合は
その下のパーミッションがいくら有効でもアクセスできない。
そういう意味では支配関係にある。
300:名無しさん@お腹いっぱい。
09/01/06 23:54:42
その程度を支配と言うのはこじつけすぎ。
しかも、x が落ちてるのは、その下に行けないという意味ではなくて、
そこを通るパスをたどれないという意味でしかない。
最初からその下にいるプロセスにとって、上で x が落ちても無関係。
301:名無しさん@お腹いっぱい。
09/01/07 06:33:41
>>299
そのサブディレクトリを例えばNFS exportしてmountすれば、
たとえ親ディレクトリの x が落ちていてもアクセスできてしまう。
だからやっぱり支配はされていない。
302:名無しさん@お腹いっぱい。
09/01/07 11:41:07
>>299
そのディレクトリのサーチが出来ないだけで、他のディレクトリからハードリンクされていれば
アクセスできる。したがって支配されていない。
303:名無しさん@お腹いっぱい。
09/01/07 19:05:30
OpenSSH の ssh2 な鍵にはコメントを埋め込むことが
できないんですね・・・フィンガープリントだけで
識別せよってことなんだと思うんですが,
やっぱりコメントがないとわけわかんなくなります.
304:名無しさん@お腹いっぱい。
09/01/07 19:50:20
おまいら容赦ないなww > 配下
305:名無しさん@お腹いっぱい。
09/01/12 10:51:00
通常は秘密鍵で認証。
あるホストからはサーバへパスワードなしの認証をさせたいのですが、
可能でしょうか。
306:名無しさん@お腹いっぱい。
09/01/12 11:04:18
可能だけど、それを自己解決できない人は禁止。
307:名無しさん@お腹いっぱい。
09/01/12 14:23:30
>>305
質問が良く分からんが
普通の各ホストでは「秘密鍵の」パスワードを入れるけど、
あるホスト上に限って「秘密鍵の」パスワードを無しにしたいって意味だよね?
だったら鍵のペア作る時に気づかない?
308:307
09/01/12 14:25:28
あと ssh-agent とか
309:名無しさん@お腹いっぱい。
09/01/12 20:32:12
ドットshostsの件じゃないのか
310:名無しさん@お腹いっぱい。
09/01/15 12:00:14
パスワードなしの認証ってもしかして rsh みたいな感じで?
だったら >>309 かな
311:名無しさん@お腹いっぱい。
09/01/16 14:55:37
sshd へのボットによる攻撃対策として、過去自作スク
リプトで失敗の続く IP をはじいたりしてたんだけど、
いつだったか脆弱性対応から *-cbc を config から外
してから全部 refuse されるようになった。
んでもって最近嘘のように攻撃が止んだんだけど(二日
に一度程度にまで)、逆に何か仕掛けられたんじゃない
かってちょっと不安。
しかしこれは「悪魔の証明」みたいなもんですかねぇ…。
312:名無しさん@お腹いっぱい。
09/01/16 15:04:44
>>311
斬新なブロック方法だな。
確かに、サポートしてる暗号化方式がなきゃ切るしかない。
313:名無しさん@お腹いっぱい。
09/01/16 20:37:49
まぁでもそのうちボットが update されるんだろうと思う。
314:名無しさん@お腹いっぱい。
09/01/17 16:02:52
接続先のホストを間違えて、そこに対しRSAの認証を試みて、
当然認証されないでパスワード認証になった時点で気がつきました。
このような場合、間違えた接続先の方に秘密鍵が送信され、危険なのではないかと
思ったのですが、どうなのでしょうか?
間抜けな質問ですが、よろしくおねがいします。
315:名無しさん@お腹いっぱい。
09/01/17 16:06:03
それはない。秘密鍵というのは誰にも渡さない鍵。
公開鍵だけ渡しておいて、自分が秘密鍵を持っていることを証明するのがミソ。
316:名無しさん@お腹いっぱい。
09/01/17 16:15:44
俺も間違えたことある。それ以来StrictHostKeyChecking=yesで使ってる。
317:名無しさん@お腹いっぱい。
09/01/17 16:15:57
>>315
即レスありがとうございます。
それでは、今回のようなケースでは問題にはならなさそうですね。
公開鍵認証については、仕組みを学ばねばと思いながらもできていなかったので、
これを機にある程度の仕組みを頭に入れておこうと思います。
ありがとうございました。
318:名無しさん@お腹いっぱい。
09/01/25 23:03:32
Windows Server 2003で鍵認証を使ってパスワードなしでSSHしようとしたら
手動で実行したら成功するんですが、タスクで自動実行させると
Permission denied (publickey,keyboard-interactive)
というエラーになります。
これって、何が悪いんでしょうか?
319:名無しさん@お腹いっぱい。
09/01/25 23:05:44
>>318
ユーザが変わって秘密鍵が参照できてないんじゃないの
-i オプションで秘密鍵を明示的に指定してみるとか
320:名無しさん@お腹いっぱい。
09/01/26 00:13:45
>>319 さん、318です。おかげさまで解決しました。
ご参考までにアドバイスを頂いてから試したことを以下に記載します。
まず以下のコマンド(cwRsync+SSHでWindows間の同期処理)を手動で実行したところ、
rsync.exe -avz -e ssh -i /cygdrive/c/Documents and Settings/Administrator/.ssh/id_rsa --delete --exclude-from=/cygdrive/c/除外リスト /cygdrive/c/同期元フォルダ/ Administrator@同期先IPアドレス:/cygdrive/c/同期先フォルダ/
「Documents and Settings」が見つからないというエラーが出たので、
Cドライブ直下に.sshフォルダを置いて以下を実行すると
rsync.exe -avz -e ssh -i /cygdrive/c/.ssh/id_rsa --delete --exclude-from=/cygdrive/c/除外リスト /cygdrive/c/同期元フォルダ/ Administrator@同期先IPアドレス:/cygdrive/c/同期先フォルダ/
手動実行に成功し、そしてタスクからの実行にも成功しました。
そこでふと思って-iオプションを外して以下(つまり元々できなかった書き方)
でタスクからの実行を試すと
rsync.exe -avz -e ssh --delete --exclude-from=/cygdrive/c/除外リスト /cygdrive/c/同期元フォルダ/ Administrator@同期先IPアドレス:/cygdrive/c/同期先フォルダ/
これは成功しました。
タスクから実行させる場合は、ひょっとしたらCドライブ直下に.sshを設置すればよいのかもしれませんね。
昨日からずっと悩んでいたことなので大変助かりました。
ありがとうございました。
321:名無しさん@お腹いっぱい。
09/01/26 18:45:35
rsync.exe -avz -e ssh -i '/cygdrive/c/Documents and Settings/Administrator/.ssh/id_rsa' --delete --exclude-from=/cygdrive/c/除外リスト /cygdrive/c/同期元フォルダ/ Administrator@同期先IPアドレス:/cygdrive/c/同期先フォルダ/
322:名無しさん@お腹いっぱい。
09/01/29 22:37:32
Linux の root あり専用レンタルサーバでこんなことしたいんだけど、
どうやったらできますか?
許可する認証方式は publickey のみにする。
ただし、サーバ会社のメンテ用ネットワークからのみ password を許可する。
323:名無しさん@お腹いっぱい。
09/01/29 23:29:57
OpenSSH 5系ならできるよ。sshd_configながめてみ
324:名無しさん@お腹いっぱい。
09/01/30 07:02:17
5系入れられないなら、設定の違うsshdを二つ上げておいて、iptablesでポート変換してしまえばいい
・・・これもいい加減FAQだよな。
325:名無しさん@お腹いっぱい。
09/02/04 11:17:02
ssh でつないでるサーバの sshd を /etc/init.d/sshd restsart
とかやって起動し直したらどうなるんでしょうか???
怖くてできない.
326:名無しさん@お腹いっぱい。
09/02/04 11:19:23
何が起きても問題ないサーバで練習してみればいいじゃない
素振り100回だよ!
327:名無しさん@お腹いっぱい。
09/02/04 12:19:24
つながってるセッションには影響ないよ。
わしは気が弱いから、遠いサーバーのsshd弄るときは
ソースIP絞ってtelnetできるようにして、セッション張ってからにするな。
328:名無しさん@お腹いっぱい。
09/02/04 12:26:51
Webmin入れれば良いじゃない><
329:名無しさん@お腹いっぱい。
09/02/04 12:45:21
僕はもっと気が弱いから
何かしらのコンソールも確保してからにするよ!
330:名無しさん@お腹いっぱい。
09/02/04 14:00:34
/usr/local下に独自にビルド&別ポートで待機するのを入れとくといざというときに役に立つかも。
以下長い長い余談だが、
UltraVNCはvncserver.exeが同時に二つ起動できないようになってる。
ポートを変えてもダメ。
しかもアップグレードするには一旦アンインストールしてからインストールが必要。
よってローカルでログインしないと作業できない。ふざけんな。
…と思ったらRealVNC入れるとうまくいくことに気付いた次第。
331:名無しさん@お腹いっぱい。
09/02/04 14:16:17
>>325
/etc/init.d/sshd の作りによるでしょ。
中身読んでみ。
332:名無しさん@お腹いっぱい。
09/02/09 07:25:02
-vvv オプションで詳細なメッセージを表示させると
Authentications that can continue: publickey,hostbased
ということで公開鍵での認証もホスト鍵による認証も
できるようになっているのですが(LAN内のマシンからは .shosts で)
クライアント側で認証方法を publickey だけとか hostbased
だけとかに限定して接続する方法ってありませんか?
/etc/ssh/ssh_config でPreferredAuthenticationsを
設定すればいいのですが、コマンドラインオプションから
指定したいと思っています。
333:名無しさん@お腹いっぱい。
09/02/09 07:29:30
ssh -vvv -o PreferredAuthentications=publickey localhost
でした。man 見れば分かることで済みませんでした。
334:名無しさん@お腹いっぱい。
09/02/20 19:02:47
以下の様にsshでremotehostのcommandを叩いています。
$ ssh -i ~/.ssh/key user@remotehost "/home/user/bin/command start"
普通はcommandが終了すればsshも終了するのですが、特定のコマンド
でのみsshがいつまで待っても終了しません。
remotehost上でpsで見てみると、commandプロセスは終了しています。
「sshd: user@notty」と言うプロセスが残っているのでこれをkill
すればsshも終了します。
これは何が原因なのでしょうか?
335:名無し
09/02/20 19:54:32
>>334
特定のコマンドというのは?
336:名無しさん@お腹いっぱい。
09/02/20 21:44:14
>>335
特定のコマンドでのみ現象が発生するということです
337:名無しさん@お腹いっぱい。
09/02/20 21:51:05
>>334
ssh -f のオプションを付ければ解決するのでは
338:名無しさん@お腹いっぱい。
09/02/20 23:44:48
>>336
その特定のコマンドは何だって聞いてるんです。
なめてんのか?
339:名無しさん@お腹いっぱい。
09/02/21 07:13:15
>>338
知っている人ならそんなこと聞かなくても解答できる。
>>337 が正解。
>>334 が言う /home/user/bin/command startは、デーモン類の起動スクリプト
だろうし、sshは、-fを付けない場合は、バックグラウンドを含めて
起動したプロセス全部の終了を待ってしまう。
だからデーモン類の起動スクリプトを実行するとsshが終了しない。
-f を付けるとバックグラウンドのプロセスを待たずに終了する。
常識だな。>>335 は、「特定のコマンドというのは?」みたいな
まと外れな聞き返しをした時点で答える資格なし。
340:名無しさん@お腹いっぱい。
09/02/21 07:17:04
>>339
全面的に同意だが、
336 :名無しさん@お腹いっぱい。 :sage :2009/02/20(金) 21:44:14
>>335
特定のコマンドでのみ現象が発生するということです
この答えもたいがい的外れだと思うな。
さすがに特定のコマンドがなんなのか聞いてるのかはわかるだろw
341:名無しさん@お腹いっぱい。
09/02/21 07:26:42
情けなや。
342:名無しさん@お腹いっぱい。
09/02/21 09:07:56
ところでポートフォワーディングでループ作るとどうなるの?
343:名無しさん@お腹いっぱい。
09/02/21 09:40:41
>>342
ポートフォワーディングでループというのは?
344:名無しさん@お腹いっぱい。
09/02/21 09:46:34
>>343
ポートフォワーディングを使ってループを作るということです
345:名無しさん@お腹いっぱい。
09/02/21 09:53:53
>>343
ssh remotehost -g -L 8080:myhost:8080
みたいなことだろ
>>342
ループ作った後、そのポートにtelnet等で接続すると
多量のソケットが出来るが、そのうちオーバーフローしてエラーになる。
OSが落ちたりはしない。
346:名無しさん@お腹いっぱい。
09/02/21 10:17:26
以前働いていた会社の話なのですが、サーバの管理のための鍵のうち
一つにパスフレーズを掛け、社員であれば誰でも見ることができる
場所に置いていました。
OpenSSHの秘密鍵の場合、このパスフレーズによる暗号化で
使われるアルゴリズムは3DESとのことですが、このような運用は
やはり危険なものなのでしょうか?
その鍵でログインすると自動的にシャットダウンシーケンスが
始まるようにしていました。どうしても休日に不定期にビル全体の
電源を落とすことがあり、当日出勤している社員に使ってもらう
ためのものでした。
347:名無しさん@お腹いっぱい。
09/02/21 10:48:22
当たり前だ。誰が使ったのか特定出来ない。
辞めたお前もそのパスフレーズ知ってるんだろ。
348:名無しさん@お腹いっぱい。
09/02/21 11:18:42
俺はただの趣味鯖管なんだけど、その程度の管理しか出来ない会社って多いのかな?
それともありえない話?
そもそもsshすら使ってないとこもあるのかな?
職業鯖管の人教えて。
349:名無しさん@お腹いっぱい。
09/02/21 11:34:48
某大手電機メーカーの計算機センターで、ホスト制限なしでNFSエクスポートしているのは秘密だ。
350:名無しさん@お腹いっぱい。
09/02/21 11:55:41
>>339
> だろうし、sshは、-fを付けない場合は、バックグラウンドを含めて
> 起動したプロセス全部の終了を待ってしまう。
> だからデーモン類の起動スクリプトを実行するとsshが終了しない。
違う。標準出力が残っているから終了しないだけで、
きちんとcloseするdaemonなら大丈夫。
$ ssh host 'sleep 30 >/dev/null 2>&1 &'
351:名無しさん@お腹いっぱい。
09/02/21 12:30:13
< /dev/null は?
352:名無しさん@お腹いっぱい。
09/02/21 14:04:44
>>349
わかったよ秘密なんだね。
>>353
実はね、某大手(以下ry
353:名無しさん@お腹いっぱい。
09/02/21 14:21:19
>>352
354:名無しさん@お腹いっぱい。
09/02/21 18:44:03
>>348
以前のいた会社はrootのPAMでつなぎ放題だったな。
某ブラック企業だったけど。
355:名無しさん@お腹いっぱい。
09/02/25 20:38:15
サーバ側でリモートシェルは許可してリモートログインは許可しないことはOpenSSHでできるでしょうか。
rsh は許可して rlogin は許可しないのと同様のことをSSHでしたいのですが。
356:名無しさん@お腹いっぱい。
09/02/25 23:33:04
>>355
で、それができたとして、
ssh XXX /bin/bash
のようにシェルを起動するのも禁止するようにしたいんだよね?
357:名無しさん@お腹いっぱい。
09/02/26 13:46:12
出来ない。>>356が指摘してるように意味ない。
358:名無しさん@お腹いっぱい。
09/02/27 09:25:54
一般ユーザーで ssh -Y hostname ってログインするとxclockがちゃんと表示されます。
そのあと su でルートになると
# xclock
X connection to localhost:10.0 broken (explicit kill or server shutdown).
と言われてxclockが立ち上がらないのですが、これはどうすれば直るでしょうか。
xhost + は駄目でした。
359:名無しさん@お腹いっぱい。
09/02/27 09:30:16
>>358
# su
# cp ~元のユーザー名/.Xauthority ~root
# xclock
360:名無しさん@お腹いっぱい。
09/02/27 10:13:08
>>358
$ XAUTHORITY="$HOME/.Xauthority"
$ export XAUTHORITY
$ su
# xclock
361:名無しさん@お腹いっぱい。
09/02/27 11:22:42
>>360
$ XAUTHORITY="$HOME/.Xauthority"
$ export XAUTHORITY
$ su -
# echo $XAUTHORITY
???
362:名無しさん@お腹いっぱい。
09/02/27 14:47:11
Yahoo!みんなの政治がプロ市民団体に乗っ取られてる件
URLリンク(seiji.yahoo.co.jp)
大江康弘? 誰? 高橋千秋?? 知らない。どちら様ですか?
そんな民主党のマイナー議員の皆様が激しく高得点。
そもそもどこの選挙区で何の実績を挙げてるのかすらよく知らん。誰かちゃんと全部知ってる?
そんな人が70人通りかかって69人も支持。嘘だろー。
それに何か10,259件も誰かのコメントに支持したり反対したりしている。
何この超絶ヒマそうな民主党支持者。わけわかんない。
一時間ほど経過したところ、評価数がさらに増えて10,289件になっている。
見て回った中では最高得点のクリッカーだ。
懸命にクリックしているのだとすると腱鞘炎まっしぐらだし、
スクリプトだとするとBOT使いは死ねという話である。おとなげない。
小沢への異様なまでの高評価。正直に書くと支持されず。
URLリンク(seiji.yahoo.co.jp)
ヤフーが捏造した政党支持率 自民3% 民主76% 共産6% 社民3% 新党日本4% 国民新党2% 公明1%
URLリンク(quizzes.yahoo.co.jp)
アンケート操作疑惑
URLリンク(wiki.livedoor.jp)
Yahoo!みんなの政治,政治工作の舞台に その2
スレリンク(giin板)
363:名無しさん@お腹いっぱい。
09/02/27 18:03:47
>>361
man su
364:名無しさん@お腹いっぱい。
09/02/27 18:43:39
>>363
そうじゃなくて、
>>360 の方法では su - の時には使えないって指摘してるんだろ。
>>359 が正解。
365:名無しさん@お腹いっぱい。
09/02/27 20:39:37
>>364
それならそう書けよ。>>359は.Xauthorityが変わるたびにコピーしなおさない
といけない。>>359も>>360も、ホームディレクトリがNFSでroot_squashの場合
は使えない
366:名無しさん@お腹いっぱい。
09/02/27 20:46:03
じゃあ、
$ cp $HOME/.Xauthority /tmp
$ su
# XAUTHORITY=/tmp/.Xauthority
# export XAUTHORITY
# xclock
で桶?
ちなみに、Linuxのsu(というかGNUの?) だと、
suする時に .Xauthorityのコピーを自動でやってくれるみたい。
367:名無しさん@お腹いっぱい。
09/02/27 21:09:00
>>364
su -だとDISPLAY環境変数も消えるぞw
>>366
Debian(etch)で試してみたけど自動でコピーはしてくれないな
368:名無しさん@お腹いっぱい。
09/02/27 21:14:38
>>367
>DISPLAY環境変数も消えるぞw
消えないよ。
369:名無しさん@お腹いっぱい。
09/02/27 22:36:54
>>368
etchとFreeBSDでは消えるみたいだよ
370:358
09/02/27 23:25:36
>>359-369
みんなありがとう。俺の頭では理解できないことがわかったので、
あきらめるこにします。ありがとうございました。
371:名無しさん@お腹いっぱい。
09/02/28 02:23:34
もっとデーモンSSHDのサイズを小さくして欲しい。
372:名無しさん@お腹いっぱい。
09/02/28 02:37:46
デブ厨って単に頭が固いのか?
それとも根っからの馬鹿が多いのか?
373:名無しさん@お腹いっぱい。
09/02/28 12:08:20
xinetd 経由で起動させてたら池沼扱いされた。マジかよ・・・好きなのに。
374:名無しさん@お腹いっぱい。
09/02/28 12:12:43
俺もinetdから起動してる。
375:名無しさん@お腹いっぱい。
09/02/28 13:00:02
俺は sendmailも inetd経由で起動してるぞ
376:名無しさん@お腹いっぱい。
09/03/02 11:33:19
オレもxinetd(inetdも)好きだ!!
xinetdが死んだときのことを考えると怖いけど....。
377:名無しさん@お腹いっぱい。
09/03/04 17:06:30
>>368
赤帽はDISPLAYを残すようパッチしてるからそうなるだけ
ウソだと思うならSRPMを調べてみるといいよ
378:名無しさん@お腹いっぱい。
09/03/04 19:36:02
スレチなら、誘導お願いします。
Win XP SP3からteraterm4.57を使って、slackware12.2でオペレーションしているのですが
端末で、Homeキーやを押しても、^[[2~と表示するだけで、カーソルが行頭に行きません
また、BackSpaceキーは使えるのですが、Deleteキーを押下しても、反応しません
仕様ですか?
379:名無しさん@お腹いっぱい。
09/03/04 19:41:08
>>378
スレ違い。スレは自分で探せ
あとTeraTermのヘルプ読めないの?バカなの?
380:名無しさん@お腹いっぱい。
09/03/04 19:41:20
気づきました、ここunix版ですね(^^;
linux版で聞きます、スレ汚しスマンカッタ
381:名無しさん@お腹いっぱい。
09/03/05 00:11:55
とんでもない馬鹿がLinux板に行っちゃうんだな…
382:名無しさん@お腹いっぱい。
09/03/05 11:18:41
というか、今のご時世でLinuxと全く無縁なのにUNIXと関わっている
人って、ニート以外にいないだろ。
383:名無しさん@お腹いっぱい。
09/03/05 11:28:09
ほとんどがWindowsだけど業務上捨てられないUnixサーバがある、
という形ならありそうだが
384:名無しさん@お腹いっぱい。
09/03/05 12:10:36
確かに昔と比べると商用UNIXって影が薄くなった感はあるよなあ
385:名無しさん@お腹いっぱい。
09/03/05 13:20:39
TeraTermの話題はLinuxとかUNIXとか関係なく板違いだろというツッコミはなし?
ここで「LinuxとUNIXは全く違う!一緒にするな汚らわしい!!」て主張をする意味がわかんない
386:名無しさん@お腹いっぱい。
09/03/05 13:40:25
>>385
> ここで「LinuxとUNIXは全く違う!一緒にするな汚らわしい!!」て主張をする意味がわかんない
だれもそんな主張はしていない
オマエがわけ分からんな
387:名無しさん@お腹いっぱい。
09/03/05 13:48:59
>>386
UNIX板住人は大概そういう思想だよ
388:名無しさん@お腹いっぱい。
09/03/05 14:13:41
>385
> 板違い
>>3 にリンクがあるけど?
Linux板にあったTera Termスレの次スレは、Windows板でもソフトウェア板でもなく
UNIX板にあるんだけどね。
389:名無しさん@お腹いっぱい。
09/03/05 17:28:26
キチガイが絶賛粘着中
390:名無しさん@お腹いっぱい。
09/03/06 12:27:31
sshでrootでのログインを禁止するには
sshd_config の設定で
PermitRootLogin no にしますが、
sshで特定のIPだけrootでログインを可能にするには
どのような設定が必要でしょうか?
391:名無しさん@お腹いっぱい。
09/03/06 12:42:33
ユーザでログインしてrootになれば良いのでは。
392:名無しさん@お腹いっぱい。
09/03/06 12:46:18
>>390
一切禁止にし、特定ユーザのみsudoを使わせるべきだと思うが…
393:名無しさん@お腹いっぱい。
09/03/06 12:50:18
常時玄関を開けっ広げて
<丶`Д´>勝手に入られたニダ!謝罪と賠償を要求ニダ!!
とかやりたいのかな
394:名無しさん@お腹いっぱい。
09/03/06 13:07:10
>>390
オレは
PermitRootLogin yes
にして、PAMでやってる。
395:名無しさん@お腹いっぱい。
09/03/06 13:34:31
sshd_configにMatchブロックをつけて例外指定
396:390
09/03/06 14:33:33
なるほど、
皆さん
┏○アリガトウゴザイマス