10/02/16 21:23:37
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:URLリンク(pc.2ch.net)
Part2:URLリンク(pc.2ch.net)
Part3:URLリンク(pc5.2ch.net)
Part4:スレリンク(unix板)
Part5:スレリンク(unix板)
Part6:スレリンク(unix板)
2:名無しさん@お腹いっぱい。
10/02/16 21:25:21
よくある質問
Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:URLリンク(www.st.ryukoku.ac.jp)
3:名無しさん@お腹いっぱい。
10/02/16 21:26:20
◇実装
本家ssh.com
URLリンク(www.ssh.com) / URLリンク(www.jp.ssh.com) (日本語)
OpenSSH
URLリンク(www.openssh.com) / URLリンク(www.openssh.com) (日本語)
OpenSSH情報:URLリンク(www.unixuser.org)
日本語マニュアル:URLリンク(www.unixuser.org)
OpenSSH-HOWTO:URLリンク(www.momonga-linux.org)
TeraTerm/TTSSH
URLリンク(hp.vector.co.jp)
URLリンク(www.sakurachan.org) (日本語版)
URLリンク(sleep.mat-yan.jp) / URLリンク(ttssh2.sourceforge.jp) (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
URLリンク(www.chiark.greenend.org.uk)
スレリンク(unix板)
URLリンク(hp.vector.co.jp) (hdk氏による日本語パッチ)
URLリンク(yebisuya.dip.jp) (蛭子屋氏による各種パッチ)
VeraTerm
URLリンク(www.routrek.co.jp)
MacSSH/SFTP
URLリンク(pro.wanadoo.fr)
PortForwarder
URLリンク(www.fuji-climb.org)
TRAMP
URLリンク(www.nongnu.org)
4:名無しさん@お腹いっぱい。
10/02/16 21:27:05
◇規格等
・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
・RFC4251: The Secure Shell (SSH) Protocol Architecture
・RFC4252: The Secure Shell (SSH) Authentication Protocol
・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
・RFC4254: The Secure Shell (SSH) Connection Protocol
・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
Key Fingerprints
・RFC4256: Generic Message Exchange Authentication for the Secure
Shell Protocol (SSH)
WideのSSH解説
URLリンク(www.soi.wide.ad.jp)
◇おまけ
Theoのキチガイぶり
スレリンク(unix板:546-550番)
djbsssh(ネタ)
URLリンク(www.qmail.org)
5:1
10/02/16 21:28:09
一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが
面倒糞くなったのでそのままコピペしました。
後よろしく。
6:名無しさん@お腹いっぱい。
10/02/16 21:33:26
※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。
最低限次のような対処をしておきましょう。
URLリンク(www12.atwiki.jp)
●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する
●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。
特定の接続元からの接続を拒否する
ポートを変える
7:名無しさん@お腹いっぱい。
10/02/17 14:12:38
>>1
乙
8:名無しさん@お腹いっぱい。
10/02/17 20:17:48
なあ、インターネットに繋がってないマシンも 6 をやってる?
9:名無しさん@お腹いっぱい。
10/02/17 22:27:20
パスフレーズ無しの公開鍵認証の方が楽
10:名無しさん@お腹いっぱい。
10/02/18 00:13:17
っつーか公開鍵使わない認証って SSH 使う意味ないよね
11:名無しさん@お腹いっぱい。
10/02/18 00:19:24
なんで?
12:名無しさん@お腹いっぱい。
10/02/18 00:20:21
>>10
俺もそうおもってた。。。。
でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに
13:名無しさん@お腹いっぱい。
10/02/18 12:41:47
>>11
パスワード認証を暗号化したところで
ブルートフォースアタックには無力
14:名無しさん@お腹いっぱい。
10/02/18 12:47:36
それがどうしたというのかね?
15:名無しさん@お腹いっぱい。
10/02/18 12:57:25
>>13
それを言うなら公開鍵もブルートフォースで破れる
16:名無しさん@お腹いっぱい。
10/02/18 12:59:58
それがどうしたというのかね?
17:名無しさん@お腹いっぱい。
10/02/18 13:15:12
RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?
18:名無しさん@お腹いっぱい。
10/02/18 14:38:16
>>6も勘違いしてるけど
ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは
19:名無しさん@お腹いっぱい。
10/02/18 15:05:51
アクセス元しぼればいいだけじゃん。
20:名無しさん@お腹いっぱい。
10/02/18 15:31:37
辞書攻撃って(総当たりとは言えないにしても)ブルートフォース(腕ずく)の一種じゃないか?
21:名無しさん@お腹いっぱい。
10/02/18 15:41:53
>>20
いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない
22:名無しさん@お腹いっぱい。
10/02/18 15:52:31
辞書攻撃は立派な攻撃手法の一種
ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉~な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません
23:名無しさん@お腹いっぱい。
10/02/20 19:40:35
# SSHプロトコルの指定
Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers root
# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
24:名無しさん@お腹いっぱい。
10/02/20 19:43:11
# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか??
disconnected no supported authentication methods available
って表示されてしまいます。
25:名無しさん@お腹いっぱい。
10/02/20 20:55:09
>>24
ssh2で接続してないからだな
26:名無しさん@お腹いっぱい。
10/02/20 21:40:42
-vで起動すれば拒否される理由を教えてくれる。
27:名無しさん@お腹いっぱい。
10/02/21 00:41:06
.ssh/authorized_keys から
違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな??
28:名無しさん@お腹いっぱい。
10/02/21 02:45:27
アクセス権のせいだろうな
29:名無しさん@お腹いっぱい。
10/02/21 11:54:43
これまでは問題なく運用出来ていましたが、
ある日突然connection refusedのエラーが出て接続できなくなりました。
ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。
ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。
30:sshd 起動するだけじゃん
10/02/21 12:02:02
> これまでは問題なく(ry
> ある日突然(ry
そのあいだにやったことを書けば解決できるじゃろ
31:名無しさん@お腹いっぱい。
10/02/21 12:10:18
/etc/init.d/じゃなくて/sbin/init.d/じゃないの?
HP-UX知らないやつは手を出すなよ、壊すから
32:名無しさん@お腹いっぱい。
10/02/21 13:16:06
レスサンクス。
>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。
>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。
使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。
33:名無しさん@お腹いっぱい。
10/02/21 19:16:21
どう考えても ssh の質問じゃなくて HP-UX の質問じゃん
34:名無しさん@お腹いっぱい。
10/02/21 19:25:47
>>33
10.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。
とりあえずinit.dの場所が違うのが分かったので明日調べてみます。
そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。
35:名無しさん@お腹いっぱい。
10/02/21 20:19:13
スレ違いかもしれないが、WikipediaのSSHに関する記事
URLリンク(ja.wikipedia.org)
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか?
OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か?
36:名無しさん@お腹いっぱい。
10/02/21 20:22:08
wikiなんだから書き替えたら。
37:名無しさん@お腹いっぱい。
10/02/21 20:45:14
・PasswordAuthentication noにする
・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh
38:名無しさん@お腹いっぱい。
10/02/21 20:56:35
ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。
そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。
>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。
>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。
39:名無しさん@お腹いっぱい。
10/02/21 21:10:01
チャイナ、コリアはデフォルトでドロップだろ。
40:名無しさん@お腹いっぱい。
10/02/21 21:13:41
/bin/reverseattack
41:名無しさん@お腹いっぱい。
10/02/22 02:53:56
>>38
> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。
42:名無しさん@お腹いっぱい。
10/02/22 10:10:09
ssh 対象ユーザで shell 不要ってどういう場合?
sftp only?
43:名無しさん@お腹いっぱい。
10/02/22 10:19:43
authorized_keysでコマンド指定してあれば、不要なんじゃないかな。
44:名無しさん@お腹いっぱい。
10/02/22 17:53:23
>>37
> ・Portは22以外にする
> 意味無し
>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。
>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。
45:名無しさん@お腹いっぱい。
10/02/22 18:31:42
>>44
稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。
46:名無しさん@お腹いっぱい。
10/02/22 18:49:34
ログを減らせることに意味があるだろうが、ということだと思うんだが。
47:名無しさん@お腹いっぱい。
10/02/22 18:54:18
ログを減らせることの意味がわからないんじゃないの
48:名無しさん@お腹いっぱい。
10/02/22 18:56:05
俺もウェルノウンポート以外を使うのは、ある程度は有効だと思う。
まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。
効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。
49:名無しさん@お腹いっぱい。
10/02/22 19:00:51
稚拙な管理者はログを一切見ないので
ログが多かろうと少なかろうと違いはない
ということだな
50:名無しさん@お腹いっぱい。
10/02/22 19:06:33
Password(PAM)有効じゃ無ければログ残らないだろ。
ログ減らせるとか喜んでる奴、恥ずかしくないのか?
51:名無しさん@お腹いっぱい。
10/02/22 19:08:25
セキュリティポリシーって難しいよね。
某スレで、送信元IPアドレスでフィルタリングしちゃう
(= 許可されたIPアドレス以外は認証すらしない)
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ?
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら
もー、初心者扱いされてまいったよ。
死ねだのタコだの。もうね。。
52:名無しさん@お腹いっぱい。
10/02/22 19:11:51
可能性のあるところだけ通せばいい。個人用ならそれが普通。
53:名無しさん@お腹いっぱい。
10/02/22 19:18:39
>>50
OpenSSHサーバだけど、公開鍵認証でもログ残るよ?
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)
ちなみに僕ちんはファイアウォールでもログ残しているよ。
54:名無しさん@お腹いっぱい。
10/02/22 19:20:23
>>53
それ、侵入されたログ。www
55:名無しさん@お腹いっぱい。
10/02/22 19:28:00
>>54
おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。
56:名無しさん@お腹いっぱい。
10/02/22 19:31:32
>>50
あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?
>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね
57:名無しさん@お腹いっぱい。
10/02/22 19:33:08
>>53
そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。
>>54
知らないって幸せだね。
58:名無しさん@お腹いっぱい。
10/02/22 19:56:28
>>57
> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。
sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例
Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios
知らなかった?
59:名無しさん@お腹いっぱい。
10/02/22 20:16:49
HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、
変えられるんなら変えたほうが効果がある。
>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。
まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。
ちなみに>>44の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス
60:名無しさん@お腹いっぱい。
10/02/22 20:27:40
>>58
ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。w
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。
しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?
まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。
61:59
10/02/22 20:32:12
「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと
「それで完全に防げる」と勘違いしちゃだめなわけで。
62:名無しさん@お腹いっぱい。
10/02/22 20:42:14
>パスワード認証を有効にしている素人管理者サイト
これ誤解や。パスワード認証自体が危険なわけじゃないで。
63:名無しさん@お腹いっぱい。
10/02/22 20:47:06
個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。
64:名無しさん@お腹いっぱい。
10/02/22 20:52:09
>>59
うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに
うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする
65:名無しさん@お腹いっぱい。
10/02/22 21:03:13
>>51
基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし
66:名無しさん@お腹いっぱい。
10/02/22 21:09:01
>コントロールパネルのようなものを作っておくと便利
それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る
67:名無しさん@お腹いっぱい。
10/02/22 21:10:01
>>62
このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。
もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。
68:名無しさん@お腹いっぱい。
10/02/22 21:11:07
>>62
またおまえか
そんなアホな風説流すな
69:名無しさん@お腹いっぱい。
10/02/22 21:14:47
>>68
なにが?
70:名無しさん@お腹いっぱい。
10/02/22 21:15:50
>>66
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ?
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ?
ログが増えるのも防止できて一石二鳥三鳥だぜ
71:名無しさん@お腹いっぱい。
10/02/22 21:18:44
>>70
VPNでアクセスすりゃいいよめんどくせぇ
72:名無しさん@お腹いっぱい。
10/02/22 21:18:53
>平文 HTTP の basic 認証とかだったら殴る
xrea.comですねわかります
73:名無しさん@お腹いっぱい。
10/02/22 21:25:22
>>65
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。
74:名無しさん@お腹いっぱい。
10/02/22 21:26:27
>>73 そういう書き方は「こいつ余裕ないんだなプ」と思われるだけなんだがな…
75:名無しさん@お腹いっぱい。
10/02/22 21:33:42
それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ
76:名無しさん@お腹いっぱい。
10/02/22 21:35:02
sshd : .jp : allow
これだけでだいぶ減る
77:名無しさん@お腹いっぱい。
10/02/22 21:45:19
パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw
78:名無しさん@お腹いっぱい。
10/02/23 00:04:33
まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね?
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。
79:名無しさん@お腹いっぱい。
10/02/23 00:05:14
あ、ごめんなさい。スレ間違えました
80:名無しさん@お腹いっぱい。
10/02/23 00:07:38
SSH HSHwwww
81:名無しさん@お腹いっぱい。
10/02/26 00:57:19
俺はHHがイイです
82:名無しさん@お腹いっぱい。
10/02/26 13:35:19
じゃあ俺はH×H
83:名無しさん@お腹いっぱい。
10/02/26 13:43:06
∧_∧ ┌───────
◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん!
\ / └───────
_/ __ \_
(_/ \_)
lll
84:名無しさん@お腹いっぱい。
10/02/26 18:33:22
HH+コイルタップで十分だな
85:名無しさん@お腹いっぱい。
10/03/03 09:13:47
未だにSSHで検索すると埼玉最終兵器が一番上な件
86:名無しさん@お腹いっぱい。
10/03/03 09:25:53
>>85
かっこいいからいいじゃん。むしろsshの語源の方がださいし。
87:名無しさん@お腹いっぱい。
10/03/03 11:11:15
sshはセキュア・シェル・、、の略だそうですが、
では h は何の略なんですかぁ?
Secure Shell H???
88:名無しさん@お腹いっぱい。
10/03/03 11:12:32
Secure SHell
89:名無しさん@お腹いっぱい。
10/03/03 11:13:03
S=Secure
SH=Shell
のはず
90:名無しさん@お腹いっぱい。
10/03/03 11:17:35
もっと粋な返しはないのか。。
91:名無しさん@お腹いっぱい。
10/03/03 11:28:34
>>90
ぢゃお前がお手本みせろよ
92:名無しさん@お腹いっぱい。
10/03/03 11:35:49
>>90
フリがつまんないからしょうがない。
93:名無しさん@お腹いっぱい。
10/03/03 18:34:21
sh
↓外からも使えたら便利じゃね?
rsh
↓やべー穴だらけだったよw
ssh
94:名無しさん@お腹いっぱい。
10/03/03 21:46:53
>>90
wktk
95:名無しさん@お腹いっぱい。
10/03/03 22:57:12
S=すごい
S=Scienceで
H=Hします
96:名無しさん@お腹いっぱい。
10/03/05 20:06:08
>>93
もう進化しないのかな
97:名無しさん@お腹いっぱい。
10/03/06 08:33:58
sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)
98:名無しさん@お腹いっぱい。
10/03/06 11:26:24
おいやめろ
99:名無しさん@お腹いっぱい。
10/03/06 15:30:31
いいぞもっとやれ
100:名無しさん@お腹いっぱい。
10/03/06 17:01:54
で、最後は飽きて放置するんですな。
101:名無しさん@お腹いっぱい。
10/03/06 18:47:13
そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。
102:名無しさん@お腹いっぱい。
10/03/07 02:32:36
wsh
103:名無しさん@お腹いっぱい。
10/03/07 08:52:59
ssh → sssh → ssssh …
今後の展開はこうだろ
104:名無しさん@お腹いっぱい。
10/03/07 09:28:35
Secure SSHキボン
105:名無しさん@お腹いっぱい。
10/03/07 10:30:54
インセキュアな奴が使うから無理。
パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。
106:名無しさん@お腹いっぱい。
10/03/07 13:05:25
>>103
ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4
107:名無しさん@お腹いっぱい。
10/03/07 13:49:39
スーパー ssh 冒険の謎 2 でいいよ
108:名無しさん@お腹いっぱい。
10/03/07 13:50:53
>>106
→ sshIV とか sshタクティクスとか
109:名無しさん@お腹いっぱい。
10/03/07 16:02:02
sshEXとssh0は
110:名無しさん@お腹いっぱい。
10/03/07 19:35:54
Zssh
sshZZ
νssh
ssh-F91
111:名無しさん@お腹いっぱい。
10/03/07 22:55:43
Ξssh も仲間に…
112:名無しさん@お腹いっぱい。
10/03/07 23:26:27
続・ssh
続続・ssh
また又・ssh
新・ssh
ニュー・ssh
痛快・ssh
113:名無しさん@お腹いっぱい。
10/03/07 23:29:58
あぶないssh
もっとあぶないssh
もっともっとあぶないssh
114:名無しさん@お腹いっぱい。
10/03/07 23:34:46
もっともあぶないSSH
さらにあぶないSSH
115:名無しさん@お腹いっぱい。
10/03/08 00:57:28
つまんないのでもういいです。
116:名無しさん@お腹いっぱい。
10/03/08 16:33:56
嘘です、もっとやってください。
117:名無しさん@お腹いっぱい。
10/03/08 21:11:22
knkssh
118:名無しさん@お腹いっぱい。
10/03/10 21:53:41
openssh-5.4/5.4p1来たね。
119:名無しさん@お腹いっぱい。
10/03/10 22:46:49
公開鍵認証が出来なくなった
120:名無しさん@お腹いっぱい。
10/03/10 22:51:37
へぇ~
121:名無しさん@お腹いっぱい。
10/03/10 22:52:20
ほぉ~
122:名無しさん@お腹いっぱい。
10/03/10 23:04:03
公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。
123:名無しさん@お腹いっぱい。
10/03/11 01:14:28
えっ
124:名無しさん@お腹いっぱい。
10/03/11 01:32:08
>>123
いじめんなよ
125:名無しさん@お腹いっぱい。
10/03/11 01:37:00
ケーキを食べればいいじゃないネタに何いってんのっていうか
126:名無しさん@お腹いっぱい。
10/03/11 01:42:43
もうひとひねり欲しいところ。
127:名無しさん@お腹いっぱい。
10/03/11 01:45:22
むしろサイバーノーガード戦法で
128:名無しさん@お腹いっぱい。
10/03/11 03:25:55
もしかしてGIF騒動の二の舞?
129:名無しさん@お腹いっぱい。
10/03/11 12:19:55
>>119
英語でいいんでソース頼む
130:名無しさん@お腹いっぱい。
10/03/11 12:22:11
ソースっていうか
>>119の環境でできなくなったって話じゃないの。
131:名無しさん@お腹いっぱい。
10/03/11 15:47:16
単にプロトコル2がデフォルトになって、
敢えて設定しない限り1は使えなくなっただけじゃ
なかったっけ?
132:119
10/03/11 22:50:59
あぁ・・・うちだけか。ナンテコッタイ
ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。
PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG
ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど
パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる?って思ったんです。
sshd_configは5.3p1で使っていたのと全く同じ
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes
133:名無しさん@お腹いっぱい。
10/03/12 00:18:30
>>132
多分、鍵の置く場所変えたら直ると思う。
134:名無しさん@お腹いっぱい。
10/03/12 19:50:51
AuthorizedKeysFile のところ%h付けなくなったんだっけ?
明示的に%h付けてみたら?
135:名無しさん@お腹いっぱい。
10/03/13 05:23:41
RSAよりDSAの方がつおいんだな。
しらなカッタワ。
136:名無しさん@お腹いっぱい。
10/03/13 11:42:41
DSAって1024縛りがなかったっけ?
137:名無しさん@お腹いっぱい。
10/03/13 21:54:51
んなこたぁない
138:名無しさん@お腹いっぱい。
10/03/14 14:13:18
現状のsshで使えるのは1024ビットのDSAだけでしょ?
URLリンク(marc.info)
反対にRSAのビット長の方は上限は決まってないんだっけ。
実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が
あるみたいだけど何の制約からなんだろう。
ところで、うちのCore2Duoでためしにopenssl genrsa 65536を
実行してみたらCPU 50%しか使わないね。p,q同時に生成するような
パッチってないのかな?(需要ないか・・・)
139:名無しさん@お腹いっぱい。
10/03/14 14:33:26
仕様上そうなってるけど、PuTTY の keygen では作れてしまう。
以前試したときには確か使えたと思う。
140:名無しさん@お腹いっぱい。
10/03/14 14:44:53
ssh.com版は少なくとも2048bitを作れた気がする。
opensshが勝手に制限してるだけ?
141:名無しさん@お腹いっぱい。
10/03/14 19:09:22
TeraTermの中の人が書いたまとめっぽいのがあった。
URLリンク(slashdot.jp)
142:名無しさん@お腹いっぱい。
10/03/14 21:48:22
(L,N)=(2048,160)な中途半端なDSA鍵なら
長いRSA鍵の方がよっぽどましだと思うけど。
(L,N)=(2048,224)のDSA鍵使うにはSSHプロトコルの
拡張が必要なんでしょ?
143:名無しさん@お腹いっぱい。
10/03/26 08:23:11
sshをつかってWindowsから接続しています。
nohupを使ってプログラムを実行したあと、ウインドウを閉じると、プログラムが終了してしまいます。
exitコマンドを使えば、切断したあともプログラムの実行は継続されます。
ウインドウを直接閉じた際もプログラムを継続する方法はないでしょうか?
144:名無しさん@お腹いっぱい。
10/03/26 08:29:16
>>142
nohupは SIGHUPを無視するだけで、
ウィンドウ閉じた時にそれ以外のシグナルが来れば終了するわな。
すべてのシグナルを無視するラッパーをかますか、
てっとり早く setsidコマンドを使う方法もある。
145:名無しさん@お腹いっぱい。
10/03/26 08:59:54
>>143
つ GNU screen
146:名無しさん@お腹いっぱい。
10/03/26 12:15:39
普通screen
147:名無しさん@お腹いっぱい。
10/03/26 12:24:14
この用途でscreenは牛刀。
148:名無しさん@お腹いっぱい。
10/03/26 12:31:36
tmux
149:名無しさん@お腹いっぱい。
10/03/26 13:17:52
>147
牛刀結構ではないか
ギロチンつかうよりはまし
150:名無しさん@お腹いっぱい。
10/03/26 13:28:40
>>147
screen使うと何か問題が出るのか?
151:名無しさん@お腹いっぱい。
10/03/26 13:43:00
debianをetch->lennyにしたらstoneがなくなったのでsocatにしたけど
こういうのが牛刀?
152:名無しさん@お腹いっぱい。
10/03/26 13:43:29
ptyが無駄に消費される
153:名無しさん@お腹いっぱい。
10/03/26 13:45:57
>>152
足りないの?
154:名無しさん@お腹いっぱい。
10/03/26 13:47:16
×無駄に消費される
○有効に活用される
155:名無しさん@お腹いっぱい。
10/03/26 13:48:30
wgetで済むのにfirefoxを起動するのが牛刀
156:名無しさん@お腹いっぱい。
10/03/26 13:50:46
>>154
nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、
ptyは無駄にしかならない。
setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので
無駄にならない。
157:名無しさん@お腹いっぱい。
10/03/26 13:51:13
牛刀のほうが使いなれてるなら牛刀でいいじゃん
158:名無しさん@お腹いっぱい。
10/03/26 18:38:39
いやだから、ptyが無駄になって
何か問題があるのか?
そりゃ鳥をバラすのに牛刀使うのは
かえってやりにくかろうとは思うが
screen使って「特に問題が出ない」なら
別に構わんのでは?
159:名無しさん@お腹いっぱい。
10/03/26 18:50:41
そこは触れてほしくないみたいだよ。
160:名無しさん@お腹いっぱい。
10/03/26 19:22:26
> 「鶏を割くに焉んぞ牛刀を用いん」
> 小事を処理するのに、大掛かりな手段を用いることのたとえ。
「大掛かりな手段」と言うほどscreenは大掛かりか?
俺はわりと日常的に使ってるけど。
たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる
みたいな話ならまだ分かるが。
screenだぜ? w
161:名無しさん@お腹いっぱい。
10/03/26 19:24:21
MS Word を日常的に使ってれば
それは大掛かりにならんのでは
162:名無しさん@お腹いっぱい。
10/03/26 19:43:57
screenはインストールされてるとは限らないから、
わざわざscreenをインストールしてから作業開始だとすると大がかりだな。
163:名無しさん@お腹いっぱい。
10/03/26 19:48:50
それはまた話が別。
164:名無しさん@お腹いっぱい。
10/03/26 19:51:09
>>161
ヘタすると実作業よりも起動待ちの方が長くなるような
という意味合いで書いたんだが。
作業内容に比して大掛かりな道具という。
165:名無しさん@お腹いっぱい。
10/03/26 19:52:33
>>162
yumやaptの使い方知らないなら
確かに大掛かりな話になるかもね。
つか、そのレベルの人だったら
別の方法を採用したら
もっと大掛かりな話になりそうなw
166:名無しさん@お腹いっぱい。
10/03/26 20:09:00
勝手にソフトを入れてはいけない客先のマシンとか、
社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。
167:名無しさん@お腹いっぱい。
10/03/26 22:39:08
>>164
もれは attach するだけだから爆速
168:名無しさん@お腹いっぱい。
10/03/30 16:19:47
# SSHプロトコルの指定
Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers root
# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys
169:名無しさん@お腹いっぱい。
10/03/30 16:20:30
# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。
なぜなのでしょうか??
AllowUsers root は AllowUsers root hogehoge の間違いです。
170:名無しさん@お腹いっぱい。
10/03/30 16:21:18
ログ見ないのかね。
171:名無しさん@お腹いっぱい。
10/03/30 16:37:36
AuthorizedKeysFile /etc/ssh/authorized_keys
こんなデタラメな設定、誰に教わった?
172:名無しさん@お腹いっぱい。
10/03/30 16:47:36
あれ、なんかデジャヴ?
173:名無しさん@お腹いっぱい。
10/03/30 19:30:03
これは酷いw
174:名無しさん@お腹いっぱい。
10/03/30 19:39:25
こういうバカは死んで欲しい。
URLリンク(d.hatena.ne.jp)
175:名無しさん@お腹いっぱい。
10/03/30 20:31:37
>>174
いちおう「最終手段」って書いてるじゃん。
176:名無しさん@お腹いっぱい。
10/03/30 23:56:23
何をやっているか理解せずに、全世界に公開する愚かな行為を言っているのだ。
177:名無しさん@お腹いっぱい。
10/03/30 23:59:29
ブログに書かれた設定系のネタでまともなものを見たことがない。
178:名無しさん@お腹いっぱい。
10/03/31 02:11:42
>>174
それ3行並べてるじゃん。
>>168のは一行しか書いてないじゃん。
なんで>>174の方を叩くべきって結論に?
>>177
ほう
179:名無しさん@お腹いっぱい。
10/03/31 19:07:47
3:1で>>174の勝ち。
180:179
10/03/31 21:08:38
>>174の方が明らかに間違い
>>168はそれに騙された被害者
一日間に異論がなければそれで確定ね
181:名無しさん@お腹いっぱい。
10/03/31 21:55:09
>>168
URLリンク(www.unixuser.org)
ココ見てわからなかったら、グーグルさんに聞いてください。
182:名無しさん@お腹いっぱい。
10/03/31 23:04:37
一日間に異論がなければそれで確定ね(キリッ
183:名無しさん@お腹いっぱい。
10/04/01 17:19:46
何をやっているか理解せずに、誰かが書いた設定をコピペして使うのも愚かな行為。
184:名無しさん@お腹いっぱい。
10/04/05 19:44:17
どうしてもssh認証できなくて、2日間悩んだあげくやっと原因を発見した
作った.sshディレクトリの所有者がrootになってた
忘れないようにここに記録しておく
185:名無しさん@お腹いっぱい。
10/04/05 19:53:15
ばーか としか言いようがない
186:名無しさん@お腹いっぱい。
10/04/06 07:47:09
そんなこと普通起きないから忘れていいよ。
187:名無しさん@お腹いっぱい。
10/04/06 21:43:11
いや、>>184 が記憶したいのが「所有者が root だから駄目だった」だったら
きっと同じようなことをまたやらかすに違いない
188:名無しさん@お腹いっぱい。
10/04/07 11:24:55
>>187
?
他に何を記憶したいという可能性が?
189:名無しさん@お腹いっぱい。
10/04/08 16:20:59
root だったからじゃなくて、所有者が違ったからだめなんだよ。
そういう記憶の仕方は良くない。
/root/.ssh の所有者がrootでも何の問題もないからな。
190:名無しさん@お腹いっぱい。
10/04/08 16:43:10
それを言うなら「所有者が違って、かつotherに読み込み権限がなかったから」だろ
>>184は所有者の確認もせずにパーミッションだけは700とかに設定したわけだな
191:名無しさん@お腹いっぱい。
10/04/08 16:54:06
>>190
違うよ。
「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。
192:190
10/04/08 17:17:26
/home/testuser/.ssh# ls -la
合計 12
drwx---r-x 2 root root 4096 2010-04-08 17:05 .
drwxr-xr-x 3 testuser testuser 4096 2010-04-08 17:05 ..
-rw----r-- 1 root root 395 2010-04-08 17:05 authorized_keys
試してみたけどこの状態ならtestuserでSSHログインできたぞ。
ここから chmod o-rx . ./authorized_keys するとログイン不可。
まぁ環境によるのかもしれないけど。
193:名無しさん@お腹いっぱい。
10/04/08 21:03:08
drwx--x--x .
drwxr-xr-x ..
-rw------- authorized_keys
だろ常考
194:名無しさん@お腹いっぱい。
10/04/08 21:10:03
そういう話はしていない。
195:187
10/04/08 22:18:50
俺が言いたかったのは「所有者が root だから駄目だった」という
個別の事例を記録しても意味がなくて、なぜ ~/.ssh の所有者を root に
してしまったのかの原因を詳らかにしておいた方がいいんじゃないの?
ってことだったんだけどね
平たく言うと、安易にスーパーユーザーで作業すんなってこと
196:名無しさん@お腹いっぱい。
10/04/09 10:15:32
>平たく言うと
遠すぎるな
197:名無しさん@お腹いっぱい。
10/04/09 10:23:15
いや
何度も書かれている
お前の目が節穴だっただけ
大抵の人はフィルタを通して物(この場合スレの書き込み)を見てしまう
大事なことが書かれていてもそれに気付くためには
本人がそれを受け入れるための準備が必要なんだ
198:名無しさん@お腹いっぱい。
10/04/09 10:32:54
>>191
× 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。
○ デフォルトでは所有者がroot以外の他人またはgoに書き込み権限有りの場合に拒否。
これほどあからさまな嘘は珍しい。