05/09/01 23:11:53
>516
どんなエラーが出たの?
ソースからビルドしたの?
zlibは?
そんなあなたに
URLリンク(www.openssh.com)
あと、FreeBSDのバージョン&gccのバージョンなども書くといいんじゃない?
522:名無しさん@お腹いっぱい。
05/09/01 23:13:43
>>521
-CURRENT使っている方に10000ペリカ。
523:名無しさん@お腹いっぱい。
05/09/02 00:47:05
4.2p1キタキタキタキタ━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━!!
URLリンク(marc.theaimsgroup.com)
524:521
05/09/02 23:11:26
>522
じゃあ、あっしはSTABLEに500ドラクマ
525:510
05/09/02 23:14:16
>523
さぁ、ソースとって来てbuildするか。
526:名無しさん@お腹いっぱい。
05/09/03 02:38:35
eval `ssh-agent -k` をし忘れたときの最悪の場合の被害をお教え下さい。
527:名無しさん@お腹いっぱい。
05/09/03 02:51:16
人類滅亡
528:名無しさん@お腹いっぱい。
05/09/03 04:05:37
>>527
それなら問題なしです
529:名無しさん@お腹いっぱい。
05/09/03 04:11:50
勃起不全
530:名無しさん@お腹いっぱい。
05/09/03 04:40:28
>>529
そりゃ大問題です
531:名無しさん@お腹いっぱい。
05/09/03 23:29:32
ライセンスがGPLに強制変更
532:名無しさん@お腹いっぱい。
05/09/04 01:35:45
性欲とプロセスを持て余す。
533:名無しさん@お腹いっぱい。
05/09/08 11:19:08
2005-09-08 未明
04:30 - 05:30 JST くらいの間に
急に例の SSH へのアタックが増えた。
俺んとこは平均 2-5回/日 だけど、
今回は1時間に 12回 だよ。
お前らはどうでしたか?
534:名無しさん@お腹いっぱい。
05/09/08 11:36:39
>>533
同じものかどうかわかりませんが、うちにも定期的にきますね。
>俺んとこは平均 2-5回/日 だけど、
>今回は1時間に 12回 だよ。
うちに来るやつは2,3秒置きに10分くらいアタックされるです。こんな↓感じ。
Aug 31 17:52:55 host sshd[18418]: Invalid user amanda from 72.9.233.145
Aug 31 17:52:57 host sshd[16951]: Invalid user iris from 72.9.233.145
Aug 31 17:52:59 host sshd[16922]: Invalid user bonnie from 72.9.233.145
Aug 31 17:53:02 host sshd[18006]: Invalid user sparky from 72.9.233.145
Aug 31 17:53:04 host sshd[17145]: Invalid user clasic from 72.9.233.145
Aug 31 17:53:06 host sshd[17136]: Invalid user jamy from 72.9.233.145
こんな感じでユーザ名変えて何度も何度も…
実害がないとはいえ、ちょっとむかつきますね…。
こういうのって何とかならないもんなんでしょうか。
535:533
05/09/08 11:46:53
>>534
俺は syslog を検知して、Invalid user だったら、
当該 IP を hosts.deny に追加するシェルを動かしている。
なので2回目以降はその時点でブロック。
と同時に whois で引いたものメールで飛ばしている。
ケータイへの飛ばしているから、今朝起きたら、ウツになった。
まぁ、公開鍵認証を使うのが本来なんだろうけど…
536:名無しさん@お腹いっぱい。
05/09/08 11:50:19
別ポートで上げれば減るらしい。
537:533
05/09/08 12:04:56
>>536
まぁ、そうなんだけどね。
研究というか、情報収集というか、仲間内へのアナウンスもあるし…
かといって、ハニーポットを構築するまでもないし(つーか、判らん)
今回は KR, CN だけでなく、JP(OCN) からが半分くらいだったよ。
538:名無しさん@お腹いっぱい。
05/09/08 13:25:40
ウィンから使える良いクリアン教えてくれ
539:名無しさん@お腹いっぱい。
05/09/08 13:34:39 BE:9641322-#
仮想端末から ssh でリモートホストにログインしたあと、
仮想端末の大きさを変えたとき、リモートホストの
プロセスからはその事を知る方法はありますか?
ssh でログインした先で emacs -nw して作業しているのですが、
仮想端末のサイズを変更しても emacs はそれに追随してくれません。
ssh クライアント側での画面サイズの変更に伴って、
ssh サーバ側で SIGWINCH シグナルが発行されてないってことですか?
540:名無しさん@お腹いっぱい。
05/09/08 14:37:20
>>539
sshで、login先でviを起動し、ローカルのウィンドウをリサイズすると、
viもちゃんと追従するので、 SIGWINCH はエミットされてると思われ。
emacsの問題じゃないの?
541:名無しさん@お腹いっぱい。
05/09/08 16:28:37
>>538
URLリンク(www.google.co.jp)
542:名無しさん@お腹いっぱい。
05/09/08 18:54:14
URLリンク(homepage3.nifty.com)
にクリアンは英語で言うクライアントで、とある。
>>538はフランスかぶれといえよう。
543:名無しさん@お腹いっぱい。
05/09/08 19:28:25
わざわざ英語で言い直すのはイギリスかぶれ
544:名無しさん@お腹いっぱい。
05/09/08 19:42:43
じゃあこれからはsshというのはやめて日本語の呼び名で
545:名無しさん@お腹いっぱい。
05/09/08 19:47:00
secure shell=締めつける貝
546:名無しさん@お腹いっぱい。
05/09/08 20:11:17
とりあえず、hosts.denyで.jpと必要なら.bbtec.net以外からを蹴って、
鍵認証必須にしておけば、OpenSSHに穴が見つからない限り
安全に運用できるんジャマイカ。
547:名無しさん@お腹いっぱい。
05/09/09 23:59:28
.>545
俺なら「暗号化通信手順」だなぁ。
締めつける貝って聞いてホタテのヒモを思い出しちゃったよ。
あ~キチャナイ
548:名無しさん@お腹いっぱい。
05/09/10 00:53:05
poderosa使ってたらいきなり落ちて接続不能に陥ったんですが
これは何が原因なんでしょうか?
接続しようとするとユーザ認証に失敗しましたと表示されます。
ググってみてもそれらしいページが見当たりません。
549:名無しさん@お腹いっぱい。
05/09/10 09:35:26
>>547
>締めつける貝って聞いてホタテのヒモを思い出しちゃったよ。
オレは嫁さんを思い浮かべた。
550:名無しさん@お腹いっぱい。
05/09/10 10:58:16
>>549
嫁自慢か。
551:名無しさん@そうだ選挙に行こう
05/09/10 21:26:29
首絞められてんじゃないか
財布奪われて
552:名無しさん@そうだ選挙に行こう
05/09/11 12:22:09
>>551
でも、貝だしなぁ
普通はそこから締め付けるのは下の口を想像すると思う
確かに貝から貨幣を連想し財布に結びつけることもありえるけど
ちょっとまわりくどいかな
553:名無しさん@お腹いっぱい。
05/09/12 10:26:03
SSHで、sftpでローカルにコピーしたいんですが、
Couldn't get handle: Failure
とどて蹴られます。
一応ぐぐったのですがでてきませんでした。
ご教授お願いいたします
554:名無しさん@お腹いっぱい。
05/09/12 16:05:32
sshでログインする際にパスワードの入力まで行くのですが、そのさきうんともすんとも言わないのですが、何がいけないのでしょうか?
555:名無しさん@お腹いっぱい。
05/09/12 16:23:14
オーせんてぃけいしょんがいけてない
556:名無しさん@お腹いっぱい。
05/09/12 16:27:07
パスワード打っても ****** とか出ませんとかそういうネタか?
557:名無しさん@お腹いっぱい。
05/09/13 10:44:52
パスワード打ったとき、******と出るパッチは無いのかな
558:名無しさん@お腹いっぱい。
05/09/13 11:17:40
>>557
ソースを修正せずに済ます方法。
方法1:
あらかじめttyコマンドでtty名(/dev/pts/5とか)を調べておき、
パスワード入力プロンプトが出ている時、
stty echo < /dev/pts/5
を実行するようなラッパースクリプトを書く。
するとパスワードがエコーバックされる。
(***)ではないが。
方法2:
getpw()関数を横取りするようなlibXX.soを作り、
LD_PRELOADでロードする。
559:名無しさん@お腹いっぱい。
05/09/13 11:28:29
で、>>554 はどこ行った?
560:名無しさん@お腹いっぱい。
05/09/13 13:23:23
>>558
(゚∀゚)サンクスコ
getpwを横取りするよ
561:名無しさん@お腹いっぱい。
05/09/13 15:14:13
昔の ssh は setuid されてたようなおぼろげな記憶が。
この場合 LD_PRELOAD は効かんね。今は関係ないけどさ。
562:名無しさん@お腹いっぱい。
05/09/13 16:24:16
getpwではなくgetpass(3)では?
でもgetpassは入力長さが環境によってまちまちだから。
sshはgetpass(3)使わずに自前で同等関数作って使ってるぞ。
563:名無しさん@お腹いっぱい。
05/09/15 19:29:55
SSH接続について質問させてください。
Linux対してにssh2による接続をしていたのですが
ユーザのpasswordがexpireしている状態で接続すると、
クライアントプログラムによって異なる動作をします。
cygwin,putty:パスワードの変更を要求される
TTSSH:パスワード情報が変更されたというメッセージが表示される
このような動作の違いが現れる原因について調べております。
少なくとも、原因がopensshとTTSSHのどちらにあるかをはっきりさせたいのですが、
何かお分かりになる方がいらっしゃいましたら情報をいただけないでしょうか。
使用しているプログラム、opensshのバージョンは以下の様になっています。
また、Linuxでのユーザ管理はLDAP、sshはPAMで認証しています。
Linux(SUSE9):openssh-3.8p1-37.17
cygwin:openssh-4.1p1-2
TTSSH:teraterum_utf8_414
putty:0.58
564:名無しさん@お腹いっぱい。
05/09/15 22:41:53
TTSSHはお勧めできない。SSH1しか使えないからね。
565:名無しさん@お腹いっぱい。
05/09/15 22:58:59
ちゃんとしらべてからかこうね。
566:名無しさん@お腹いっぱい。
05/09/15 23:26:23
ちゃんとしらべてからかおうね。
567:名無しさん@お腹いっぱい。
05/09/16 01:45:49
ちゃんとしらべてからやろうね。
568:名無しさん@お腹いっぱい。
05/09/16 01:58:47
ちゃんとしらべてからまぐわろうね。
569:名無しさん@お腹いっぱい。
05/09/16 02:49:25
ちゃんとしらべてからまぐろくおうね。
570:名無しさん@お腹いっぱい。
05/09/16 02:59:40
もういいよ。
571:名無しさん@お腹いっぱい。
05/09/16 03:13:14
毛利名人よ。
572:563
05/09/16 10:57:50
なんだかボロカスに言われているようですが、ちょっと確認させてください。
・使用したTeraterm proは「UTF-8 TeraTerm Pro with TTSSH2」なので、SSH2に対応しているはず
・「New connection」で「Service:SSH」、「SSH version:SSH2」を選択
・サーバ側のsshd_configでProtocol 2 を指定
・/var/log/messages のAcceptメッセージでssh2と表示されている
以上の理由でSSH2による接続はできていると思うのですが、見落としているところがありましたら
お教え願います。
573:名無しさん@お腹いっぱい。
05/09/16 12:22:53
>>563
ボロカスには言われて無いだろ。
>>564が無知を晒して突っ込まれてただけ。
俺もTTSSHでssh2接続してるよ。
で、本題の方は、俺はLinux使ってないしそういう
システムに出会ったことが無いのでわかんないや。
俺が使ってるシステムでは、一般ユーザの/etc/passwdの
パスワードはつぶしてあって、パスワード認証は
ローカルでもできないから…。
574:名無しさん@お腹いっぱい。
05/09/16 22:48:58
>>563
opensshのsshクライアント使って、サーバ-クライアント間のやり取りぐらい自分で調べたら?
575:名無しさん@お腹いっぱい。
05/09/16 23:05:32
>>563 がアホの子だった場合に備えて、懇切丁寧に説明してやると
>cygwin,putty:パスワードの変更を要求される
なんて場合があるのは、パスワードの変更を「サーバが要求する」ようなメッセージが流れているはず。
!!これが分からなければ、オマイはアホの子!!
よって、cygwin opensshをhigher debug levelで動かして、解析しろ。
自分で調べるなら、IETF Draftsでそのメッセージの存在を調べれば良いし、
分からなけりゃ、調べた経緯をまとめ上げた上で、初めて人に聞くべき。
576:名無しさん@お腹いっぱい。
05/09/19 11:09:54
A と B の PC があります。
A で ssh-keygen を行ない鍵を作成しました。
A で cat id_dsa.pub > authorized_keys を実行しました。
A から B に id_dsa, id_dsa.pub, authorized_keys をコピーしました。
Keychain を使い A から B に入る時は最初の一回だけ id_dsa に対するパスワードを聞かれます。
しかし B から A に入る時は毎回 id_dsa に対するパスワードを聞かれます。
両者の /etc/ssh/sshd_config は全く同じ内容です。
B 側の Keychain がうまくいってないように思えます。しかし両者の設定は全く同じです。
何処がおかしいか分かりますか?何かしら根本的な間違いがあるでしょうか?
577:名無しさん@お腹いっぱい。
05/09/19 16:51:59
keychain じゃなくって ssh-agent でやってみたら?
それでうまくいくのだったら keychain の問題なのでは。
578:名無しさん@お腹いっぱい。
05/09/19 18:55:40
>>577
ssh-agent だといけました。
579:名無しさん@お腹いっぱい。
05/09/21 11:20:24
以前は問題なかったのですが、圧縮転送をオンにして接続しようとすると
Algorithm negotiation failed
というエラーが出て接続できなくなってしまいました。圧縮転送をオフにすれば
今でも接続できます。どうしたらこのエラーを消せるのでしょうか?よろしくお願いします。
580:名無しさん@お腹いっぱい。
05/09/21 11:26:48
>>579
そのメッセイジそのものだと思うんだけど?
581:579
05/09/21 11:28:55
>>580
サーバ側が圧縮転送に対応していないということだと思うのですが、その設定はどこでやればよいのでしょうか?
582:名無しさん@お腹いっぱい。
05/09/21 11:31:29
>>579
sshd_config:
Compression yes
のことか?
>>580
さすがにそれくらいは解ってるだろ。答えたくないならレスするなよ。
583:名無しさん@お腹いっぱい。
05/09/21 20:23:00
OpenSSH 4.2のリリースノートにこう書いてある。
---
- Added a new compression method that delays the start of zlib
compression until the user has been authenticated successfully.
The new method ("Compression delayed") is on by default in the
server. This eliminates the risk of any zlib vulnerability
leading to a compromise of the server from unauthenticated users.
NB. Older OpenSSH (<3.5) versions have a bug that will cause them
to refuse to connect to any server that does not offer compression
when the client has compression requested. Since the new "delayed"
server mode isn't supported by these older clients, they will
refuse to connect to a new server unless compression is disabled
(on the client end) or the original compression method is enabled
on the server ("Compression yes" in sshd_config)
---
クライアント側がOpenSSHの3.5より前のバージョンじゃないか?
584:名無しさん@お腹いっぱい。
05/09/21 23:32:01
sshdを起動しようとしてもできず
ログには
Sep 21 22:55:48 6151 sshd[73]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
Sep 21 22:55:48 6151 sshd[73]: fatal: Cannot bind any address.
と、残っています(6151はホスト名です)
何が悪いのでしょうか?
585:ヽ(´ー`)ノ ◆.ogCuANUcE
05/09/21 23:38:29
>>584
> Bind to port 22 on 0.0.0.0 failed: Address already in use.
> Cannot bind any address.
586:名無しさん@お腹いっぱい。
05/09/21 23:56:04
>>583
問題はそれでした。
クライアント側にこれ
URLリンク(www.ssh.com)
を使っていたのが問題だったようです。
とりあえずは、サーバ側の設定のdelayedをyesにして対処したいと思います。
587:584
05/09/22 01:32:51
>>585
すいません
bindが0.0.0.0の22番ポートを失敗しました: アドレスが使われています
と言うような感じだと思うのですが
検索などしましたが、どのように解決できるかわかりません
すいませんが教えていただけ無いでしょうか?
よろしくおねがいします
また、sshdは起動できていたみたいです
すいませんでした
588:名無しさん@お腹いっぱい。
05/09/22 02:09:58
>>587
→ 22番ポートへのbindに失敗しました。
で、「起動できていたみたい」じゃなくて、「起動しているのに
また起動しようとするからエラーが出ていた」んだよ。
# 眠ぃ...
589:584
05/09/22 02:16:46
>>588
すいません
ありがとうございました
590:名無しさん@お腹いっぱい。
05/09/30 23:17:20
急に今まで繋がっていたSSHが突如先日繋がらなくなりました。
もちろん設定は一切変更してません。でも何故か一般ユーザーはログインできるようなんです。
ちなみに認証は公開鍵式で試しに設定でパスワード認証も許可してみましたがその問題のユーザーはログインできませんでした。
ちなみに問題のユーザーと言うのはrootのことです。
root以外の一般権限のユーザーはログインできますがrootのみ急に出来なくなってしまいました。
ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
Sep 30 23:05:03 sv crond(pam_unix)[6292]: session closed for user root
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7240]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session closed for user root
591:名無しさん@お腹いっぱい。
05/09/30 23:59:39
root で入れるようにしとくなよ。
592:名無しさん@お腹いっぱい。
05/10/01 05:50:59
>>590
> ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
マジレスすると root でログインするのをやめる。
593:名無しさん@お腹いっぱい。
05/10/01 06:16:10
このスレの連中はログの見方も知らんのか。
そのログは、クーロンがroot権限で実行されたときのログだ。
sshには何も関係ないし。
594:名無しさん@お腹いっぱい。
05/10/01 10:18:13
わろす
595:名無しさん@お腹いっぱい。
05/10/01 12:56:03
ぇ、このログ関係なかったんですか(´・ω・`)
言われてみればよく見るとこれが5分間隔で延々並んでましたからSNMP関係のかもしれませんでした;
どうもお騒がせしました(;
ちなみにこの問題の鯖は仲間内で使うターミナルサーバ的な感じだったのでrootを許可してましたがやっぱりそれでもrootは×の方が良かったかもですね
一応今は権限を持たせた一般ユーザーからsuでrootになるようにしてます。
ところで、認証はパスワードも許可してるのですがそれもやめるべきでしょうか。
テンプレには暗号化されてると書かれてますしいいかなぁと思っているのですが(汗
596:名無しさん@お腹いっぱい。
05/10/01 13:29:11
>>595
よしあし。
パスワードは総当たりだの推測だのに弱い。盗聴にも多少弱い。
鍵は秘密鍵の盗難に弱い。
597:名無しさん@お腹いっぱい。
05/10/01 15:48:50
>>595
鍵認証はMan-in-the-middle攻撃に強い。総当たり攻撃や推測は事実上不可能。
鍵の管理さえしっかりしていれば(パスフレーズさえ漏らさなければ)
PAMよりずっとセキュア。
それと、複数人で管理している場合、suはお勧めできない。
操作が記録に残るsudoを使うべし。
598:名無しさん@お腹いっぱい。
05/10/05 07:58:08
VNCをフォワーディングして使用したいのですが、
sshログインは出来ますが、ポートフォワーディングが出来ません。
家でプライベートネットワーク内だと出来るのですが、外からだと出来ません。何か設定はございますでしょうか?
因みにクライアントはteraterm-utf8です。
ルーターはかんでるけどsshログインは出来てるから関係ない??
599:名無しさん@お腹いっぱい。
05/10/05 10:08:57
>>598
VNCサーバー側のログと設定の確認はした?
VNCの実装にもよるけど、(通常意味のない)localhostからの接続を制限しているものがあるよ。
とりあえずポートフォワーディングが問題だとかんがえているなら、
他のアプリ(ポート)で試してみるとかやんないと。
600:名無しさん@お腹いっぱい。
05/10/05 13:28:19
>>599
一応apacheでも試したんですが、ダメでした。URLリンク(localhst)<)では見えるんですが。
最初に書いたとおり、プライベートネットワーク内からのフォワードは出来てるので、localhostは拒否してないと思うのですが。
601:名無しさん@お腹いっぱい。
05/10/05 13:30:02
あっ、URLリンク(localhost)てのはもちろんssh鯖のpcからです。
602:名無しさん@お腹いっぱい。
05/10/05 14:25:26
具体的に!
603:名無しさん@お腹いっぱい。
05/10/05 20:14:55
思う、じゃなくって、telnet localhost 80 でもなんでもいいからやれ。
個人的推理では loopback でしくってるだけ。
604:名無しさん@お腹いっぱい。
05/10/05 20:20:11
> localhostは拒否してないと思うのですが
> 思うのですが
605:名無しさん@お腹いっぱい。
05/10/05 20:59:00
>>603 すいません。。telnet localhost 80 は問題なく接続出来ました。。
606:名無しさん@お腹いっぱい。
05/10/05 21:00:58
ネタだよネタ。ヌルーしろ。
607:名無しさん@お腹いっぱい。
05/10/06 12:19:24
パスワードを入力しないでログインできるようにするにはどの方法がよいのでしょうか?
608:名無しさん@お腹いっぱい。
05/10/06 14:18:30
環境による。
609:名無しさん@お腹いっぱい。
05/10/06 23:59:16
>>607
鍵認証。
610:名無しさん@お腹いっぱい。
05/10/07 00:10:53
それにしても一度はパスフレーズを入力するんだけどね。
どっちみち。
だけどパスワード認証よりも、公開鍵認証のが安全らしいよ。
御安全に。
611:名無しさん@お腹いっぱい。
05/10/07 00:52:26
空パスフレーズ
612:名無しさん@お腹いっぱい。
05/10/07 09:15:42
>>610
鍵認証時のパスフレーズなんておまけみたいな物。
あってもなくても大して変わらん。
秘密鍵さえ確実に保存しておけば。
613:名無しさん@お腹いっぱい。
05/10/07 09:21:43
鍵のパス空にしてるけどやばいかな?
614:名無しさん@お腹いっぱい。
05/10/07 09:29:07
レスを読めない人
615:ヽ(´ー`)ノ ◆.ogCuANUcE
05/10/07 09:32:23
ssh-agent とか。
パスフレーズより、鍵の bit 長の方が重要なんじゃなかったっけ?
むしろ、パスフレーズの入力無しでログインするってことは、PC を放置してて
誰かに勝手にログインされても分からないということなので、そこは気を付け
た方が良いね。そういう意味では、パスフレーズがあった方が気休めにはなる。
616:610
05/10/08 20:08:46
俺は>615の言うとおりと思ってる。
あと仮に公開鍵を盗まれても、もう一つパスフレーズという鍵みたいなもんがあるから、
クラックするのにもう一手間かかるもんね。まぁ無いよりはましって事で。
>613
やっぱり簡単にログインできる魅力と
クラックされてどれぐらい困るかの問題じゃないかなぁ?
にしてもパスフレーズつければ完璧って事ではないけどね。
#パスフレーズは俺の自己満足なのかなぁ?
617:名無しさん@お腹いっぱい。
05/10/09 01:40:20
自動化処理でいろいろ面倒なのでパスフレーズは無しにしてる。
618:名無しさん@お腹いっぱい。
05/10/09 02:05:33
>>616
公開鍵は盗まれても問題ない
619:名無しさん@お腹いっぱい。
05/10/13 00:06:20
>>607
Kerberos使う。
ログインもKerberosでやって、そのとき発行されたチケットでsshに突撃。
SSOって奴だ。
620:名無しさん@お腹いっぱい。
05/10/19 02:19:57
SSHのブルートフォースが毎日毎日続くので対策を検討しています。
簡単な対処法などあったら教えてください。
OSはRed Hat Linux 9。openssh-3.5p1-11.2.legacy。openssl-0.9.7a-20.4.legacyです。
一定回数以上の接続リトライで通信を遮断とか、
リトライ間隔の調整が、容易に行えるrpmパッケージがあると最高なのですが。
621:名無しさん@お腹いっぱい。
05/10/19 02:21:42
syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
作れば簡単にできそうだけど。
622:名無しさん@お腹いっぱい。
05/10/19 02:31:59
>>621
> syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
> 作れば簡単にできそうだけど。
ブルートフォースはrootユーザーから始まるようなので、syslogのAuthを
パイプで受けとって、rootのログインの試みを検出した時点から、
ポートを一定時間閉じるスクリプトを書けばいいんだけど・・・
・・・作るのがメンドイのですよ。
ポートノッキングをrpmパッケージで導入した方が簡単ですかねぇ。
623:名無しさん@お腹いっぱい。
05/10/19 02:38:30
メンドイってあんた、そんな何時間もかかるものじゃあるまいし……。
こうやって質問してる間に書けちゃうだろうに。
624:名無しさん@お腹いっぱい。
05/10/19 02:53:55
アクセスごとにポートの開け閉めをしていたら、競合状態を
作り出しちゃいそうだなぁ、設計がめんどうだなぁと。
625:名無しさん@お腹いっぱい。
05/10/19 02:58:24
つiptablesのipt_recentモジュール
626:名無しさん@お腹いっぱい。
05/10/19 03:05:59
620タソが穴のあるスクリプト書いちゃうかもしれんから、
もし既に書いてるなら参考に見せたげりゃーいいのに。
627:名無しさん@お腹いっぱい。
05/10/19 09:34:32
ふつーはもっと下のレベルでアクセス制限するなりポート変えるなりすりゃいいだけだろ
628:名無しさん@お腹いっぱい。
05/10/19 09:39:09
swatch -> tcp_wrapper でどうよ ?
629:名無しさん@お腹いっぱい。
05/10/19 17:32:15
デフォルトの22番ポートを使わないようにしてから
アタックなんて一切無いんだが。
630:名無しさん@お腹いっぱい。
05/10/19 19:04:09
それメンドイと思ったけど、
普通は.ssh/configの定義名でアクセスするから問題ないか。
631:名無しさん@お腹いっぱい。
05/10/19 19:07:25
それに頼ると出先にいったときに忘れてたりする
632:名無しさん@お腹いっぱい。
05/10/20 09:10:43
>>629
おれもそれで自宅のは運用してるけど、
一般的にはアレゲな方法だと思われてるよね。
633:名無しさん@お腹いっぱい。
05/10/20 12:21:28
>>632
なんでアレゲなの?
634:名無しさん@お腹いっぱい。
05/10/20 12:24:15
そもそもアレゲってドレゲよ?
635:名無しさん@お腹いっぱい。
05/10/21 06:11:40
エロゲの親戚?
636:名無しさん@お腹いっぱい。
05/10/21 22:26:48
>>633
おれにもよくわからん。
httpd のポートを同じように 80 から変えるのは、
(会社の)proxy の許可が通らなかったりとか、
まー、色々あるから、避けられるのは理解できるんだけどネ。
637:名無しさん@お腹いっぱい。
05/10/21 23:15:01
アレゲって何?
スラドのコピペ
↓
638:名無しさん@お腹いっぱい。
05/10/21 23:28:12
↑ .| .┌┐
│ .└‐┘└┐
└─┐ │
└─┘
639:名無しさん@お腹いっぱい。
05/10/21 23:56:19
>>620
ふつうにportsentryとかdenyhostsとか
640:名無しさん@お腹いっぱい。
05/10/22 03:19:19
knockdでコンコン
641:名無しさん@お腹いっぱい。
05/10/22 23:16:15
>>620
.jp以外を問答無用で蹴る。これでぐっと減ります。
642:名無しさん@お腹いっぱい。
05/10/23 03:40:21
hosts.denyとかより下位レイヤで蹴ったほうが負荷が少ないよ。
うちは .cn .kr .hk .tw に属するIPアドレス手に入れて、
ssh に限らずざっくり全部拒否。
643:名無しさん@お腹いっぱい。
05/10/23 08:01:03
>>642
.tw はまずいだろ
644:名無しさん@お腹いっぱい。
05/10/23 11:49:40
>>643
なんで?
645:名無しさん@お腹いっぱい。
05/10/23 14:41:33
マザーボード資料とか見るとき?
646:名無しさん@お腹いっぱい。
05/10/23 14:48:49
こちらから接続にいくTCPくらいはステートフルに通すだろうから
全然問題ないのでは。
647:名無しさん@お腹いっぱい。
05/10/23 15:18:40
台湾に出張に行ったときに困る
648:名無しさん@お腹いっぱい。
05/10/23 15:21:43
FTPのように、ユーザーが自分のホームディレクトリ以上に行けないようにすることは出来ますか?
649:名無しさん@お腹いっぱい。
05/10/23 15:21:57
>>647
そのときは開ける、または君のところは開けるでいいじゃん?
650:名無しさん@お腹いっぱい。
05/10/23 16:15:40
>>648
/bin や /usr や /usr/local も見えなくなるけどいいのかね?
651:名無しさん@お腹いっぱい。
05/10/23 16:18:28
Webページのみ利用のユーザーにFTPの代わりに提供したいのです。
652:名無しさん@お腹いっぱい。
05/10/23 16:20:37
chroot(概念を理解)とかjail(chroot環境構築のツール)とかを
調べてください。
653:名無しさん@お腹いっぱい。
05/10/25 11:25:27
.cn .kr .hk に属するIPを教えて
654:名無しさん@お腹いっぱい。
05/10/25 12:00:17
>>653
つ URLリンク(www.blackholes.us)
週一くらいで更新されているからrsyncでも使って自動updateのshellでも書けばいい
655:名無しさん@お腹いっぱい。
05/10/26 21:00:30
putty に関する質問はここでよろしいでしょうか?
656:名無しさん@お腹いっぱい。
05/10/26 21:31:39
>>655
Putty その2
スレリンク(unix板)
657:名無しさん@お腹いっぱい。
05/10/26 22:41:14
>>656
過疎ぎみのようですがそっちいってきます.
658:名無しさん@お腹いっぱい
05/10/26 23:27:57
SSHの通信内容を復号化してそのまま読みたいんですが、どうやったらできますかね?
デバッグモードとかじゃなくて、ペイロードを直接そのまま見たいんです。
659:名無しさん@お腹いっぱい。
05/10/27 00:18:49
暗号鍵を手に入れて復号。
660:658
05/10/27 01:22:02
>>659
そういうことではなくて、通信内容を表示してくれる
sshクライアント等が欲しいんです。
どういう風に通信が行われているかはRFC読んでも
いまいち実感がわかないので、実際に見てみようかなと。
661:ヽ(´ー`)ノ ◆.ogCuANUcE
05/10/27 01:46:10
言ってる意味が良く分からんけど、ethereal とかか?
662:名無しさん@お腹いっぱい。
05/10/27 02:52:44
>>660
NULL 暗号化を実装したサーバとクライアントを用意してがんばる。
663:658
05/10/27 05:11:59
説明が足りませんでしたね。
実は今SSHの通信部分を実装してるんです。
実際のパケットも観察してみようと思ったんですが、当然ながらそのままでは暗号化で読めません。
で、どうにかして見られないかなと思ったわけです。
>>662
なるほど。ただちょっと面倒ですな…
664:名無しさん@お腹いっぱい。
05/10/27 12:39:51
opensslの関数をフックして通信内容をdumpするsoを作って、LD_PRELOADで読み込ませる。(socksみたいな感じで)
665:名無しさん@お腹いっぱい。
05/10/27 12:40:45
いま実装中ってことならおそらく ver.2 なんだろうけど、ver.1 でもいいんな
ら dsniff の sshmitm を debug mode で間に噛ませてやれば復号した通信内容
を dump してくれた筈。
666:名無しさん@お腹いっぱい。
05/10/27 12:45:43
>>648
scpやsftpだけで良ければこれで簡単に実装できます。
つ rssh URLリンク(www.sdri.co.jp)
shellが無いとダメ?
667:名無しさん@お腹いっぱい。
05/10/27 18:41:51
接続先サーバのホストキーが変わったときに
~/.ssh/known_hosts を新しいので上書きさせる方法ってない?
サーバ構築中で再インストールしたときとかで
攻撃によるものじゃないのが明らかなときに
いちいちエディタで開いて削るのはめんどくさい。
HashKnownHosts してるとどれを削ればいいのかわからないし。
668:名無しさん@お腹いっぱい。
05/10/27 22:24:55
>>667
構築中のサーバ専用の known_hosts ファイルを UserKnownHostsFile で指定
すればいいんじゃない? 変わったら rm すればいい
669:名無しさん@お腹いっぱい。
05/10/28 00:43:55
>>668
あー、それいいね。
やってみる。
どうもー。
670:名無しさん@お腹いっぱい。
05/10/28 00:58:57
構築中でもなんにしろ、known_hosts を勝手に上書きするのは
よろしくないと思うけど
671:名無しさん@お腹いっぱい。
05/10/28 09:32:53
>>620
# route add -host IPアドレス 127.1 -blackhole
672:名無しさん@お腹いっぱい。
05/11/04 14:01:26
age
673:名無しさん@お腹いっぱい。
05/11/05 02:05:57
NTT-ADSLモデムNVの内側にあるマシン A を踏み台にして、
支店βのLANに属しているマシン B (アドレスはローカル) と、
支店γのLANに属しているマシン C (アドレスはローカル) で、
ファイルのやりとりを画策してます。
B から A に ssh でログインできることと、
C から A に ssh でログインできることは確認済です。
C -> A -> B とすれば、C から B が見えると思い、次のコマンドを実行しましたが、
connection refused でした。
B$ ssh -R 10022:localhost:22 A
C$ ssh -L 10023:A:10022 A
C$ ssh -p 10023 localhost
3番目のコマンドを実行すると、
channel 2: open failed: connect failed: Connection refused
となります。
計算機 A の sshd_config では GatewayPorts yes としています。
不思議なのは、NTT-ADSLモデムの内側にある マシン A を
物理的に違うところに運んで grobal address を持つマシンにすると、
うまくいくことです。
なぜなんでしょう?
674:名無しさん@お腹いっぱい。
05/11/05 02:41:34
673 です。追記です。
モデムの静的IPマスカレードで、22,10000-番ポートをマシンA に振ってあります。
マシンA の sshd は OpenSSH_3.8.1p1 でっす。
675:名無しさん@お腹いっぱい。
05/11/05 07:57:30
C からA にssh でログインして、
A$ ssh -p 10022 localhost
としてB にログインできるなら
C <-> A の経路が怪しい、ということになりますがどうでしょ。
676:名無しさん@お腹いっぱい。
05/11/05 16:50:07
>>673-674
C$ ssh -L 10023:A:10022 A
これがまずいのだと思います。
マシンAから見ると「グローバルアドレスを持っているモデム」の10022/tcpに転送するということです。
そのモデムは内側からモデムの持っているグローバルアドレスでアクセスされた場合は、
静的IPマスカレードで内側に転送したりしないのでしょう。
C$ ssh -L 10023:localhost:10022 A
とすればうまくいくと思います。
また
B$ ssh -R 10022:localhost:22 A
のように、ループバックアドレスのみをlistenする場合は、GatewayPortsオプションで許可しなくてもいいみたいです。
URLリンク(www.unixuser.org)
677:673
05/11/05 19:51:14
673です。大当たりでした。本当にありがとうございます。
>>675
その通りでした。で、
>>676
にて頂戴した方法で、期待通りの動作を確認することができました。
本当にありがとうございます。
C$ ssh -L 10023:localhost:10022 A
とすると、ここでの「localhost」は「A自身」なのでうまくいくと。
なるほど。この発想はまったくありませんでした。
また、ダメな例 (モデムの10022/tcpに転送) の解説も
私には非常に勉強になるものでした。完璧に誤解していました。
加えて、GatewayPorts no でもうまくいくことも確認できました。
はあー。ようやく寝られます。3日間悩みまくりました。
ありがとうございます。
あと、ついでに、嫁の妊娠が発覚しました。
今日は良いことだらけです。
678:名無しさん@お腹いっぱい。
05/11/05 20:40:57 BE:4356285-###
>>677
login出来たのですね。おめでとう♪
彼女にloginできません
スレリンク(unix板)l50
にもご報告を(w
679:shin
05/11/11 01:01:35
OpenSSH3.1で、無限ループ(セル)して20秒ごとに、接続が切れたら再接続を行います。
しかし、約2時間ほどになるとセルもSSHのプロセスも自動で切れてしまいます。
どなたか、その原因、わかれば教えてください。
(SSHクライアント、Linux、MQのメッセージやり取り)。
よろしくお願いします。
680:名無しさん@お腹いっぱい。
05/11/11 01:03:06
接続が切れたら再接続できてないから
自動で切れるんじゃないの。
681:shin
05/11/11 01:09:34
>接続が切れたら再接続できてないから
>自動で切れるんじゃないの。
ありがとうございます。
しかし、プロセスまで切れるのはなぜですか?
大体、2時間ほどで起こるのは、どこかに設定が問題ありますか?
この前は3日間はもんだいなかったんですが、
このSSHクライアントに接続したマシンを変えたら、起こりました。
682:名無しさん@お腹いっぱい。
05/11/11 01:15:18
セルって何?
683:shin
05/11/11 01:20:35
>セルって何?
たとえば、conn.sh です。
684:名無しさん@お腹いっぱい。
05/11/11 01:22:21
なにそれ?
685:名無しさん@お腹いっぱい。
05/11/11 01:23:32
ごめんなさい、いま手元にはソースはないですが、
while
if ***
ssh ***
else
sleep 20
end
の程度です。
686:名無しさん@お腹いっぱい。
05/11/11 01:25:55
もしかしてシェルスクリプトのこと「セル」って言ってんの?
687:名無しさん@お腹いっぱい。
05/11/11 01:28:25
>もしかしてシェルスクリプトのこと「セル」って言ってんの?
ごめんなさい。そうです。
起動したconnプロセスも、SSHプロセスも同時に切れるということです。
シェルスクリプトの内容は無限ループなのに…
688:名無しさん@お腹いっぱい。
05/11/11 01:44:57
シェルスクリプトが間違ってんじゃないの。
689:名無しさん@お腹いっぱい。
05/11/11 01:51:36
>シェルスクリプトが間違ってんじゃないの。
間違いはないはずです。間違ったら、はじめに起動できないと思います。
690:名無しさん@お腹いっぱい。
05/11/11 01:54:54
遅くまで、ありがとうございました。
691:名無しさん@お腹いっぱい。
05/11/11 03:11:24
セル!
セル!
セル!
692:名無しさん@お腹いっぱい。
05/11/11 10:29:49
天下一武道会の時間ですか?
693:名無しさん@お腹いっぱい。
05/11/11 11:17:40
>>689
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
初心者がこう言う時、バグは大抵この場所に潜んでいる。
694:名無しさん@お腹いっぱい。
05/11/11 11:50:35
昨日は遅くまでありがとうございました。
以下が実際シェルスクリプトのソースです。
よろしくお願いします。
#!/bin/bash
LOG=/home/xxxx/logs/ssh.log
LANG=
SSHCMD="ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482"
while true
do
isAlive=`ps -auxwww | grep -i "$SSHCMD" | grep -v grep | wc -l`
if [ ${isAlive} -eq 0 ]; then
echo ${isAlive} 1>> ${LOG}
date 1>> ${LOG}
ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482 -R 3482:localhost:1414
xxx.xxx.xx.xxx /usr/bin/sleep 1000 1>> ${LOG} 2>>&1 &
fi
sleep 20
done
695:名無しさん@お腹いっぱい。
05/11/11 11:58:02
何がやりたいのかさっぱり分からんのだが(笑)。
696:名無しさん@お腹いっぱい。
05/11/11 12:03:01
これは、SSHクライアントからSSHサーバーに接続するシェルスクリプトのソースです。
20秒ごとに、SSHプロセスを検索して、もし、SSHプロセスがなかったら、
もう一回、SSHの接続を行います。
697:名無しさん@お腹いっぱい。
05/11/11 12:04:35
ちなみにSSHをずっと、つながっている状態にしたいということです。
698:名無しさん@お腹いっぱい。
05/11/11 12:05:36
おれには分かるぞ。
OSが分からんが、シェル自体をnohup付で起動してやらないと駄目とかない?
というか、cronでいいじゃん、という気もするが。
プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。
699:名無しさん@お腹いっぱい。
05/11/11 12:15:14
OSはRedHatLinuxES2.1です。
nohup付、cronは使わない形にしたいです。nohupはうまくいかなかったです。
>プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。
すいませんが、こちをちょっと、よくわからないですが、その方法を教えてもらいますか?
よろしくお願いします。
700:名無しさん@お腹いっぱい。
05/11/11 12:19:12
あなた、外国の方ですか?
701:名無しさん@お腹いっぱい。
05/11/11 12:19:51
そうですが、日本で仕事をしてます。
702:名無しさん@お腹いっぱい。
05/11/11 12:21:55
sshで繋がってる状態にしたいけど、
別のセッションで断続的になっても構わないのね。
ちょっとかわった要望。
703:名無しさん@お腹いっぱい。
05/11/11 12:45:02
>>702
意味が分からないんだが、sleep 1000でも、1000秒で切れるわけ
じゃないよ。ポートフォワーディング中はフォワードしてる
全セッションが終了するまでsshは待つけど、それは分かってて言ってる?
704:名無しさん@お腹いっぱい。
05/11/11 12:46:37
たぶんautosshでも入れたら解決する問題のような
705:名無しさん@お腹いっぱい。
05/11/11 13:06:24
>たぶんautosshでも入れたら解決する問題のような
autosshの実現方法は、どういうふうしたら、よいでしょうか?
その方法、よろしくお願いします。
706:名無しさん@お腹いっぱい。
05/11/11 13:18:40
ホームページはここ
URLリンク(www.harding.motd.ca)
ここにRHEL2用のパッケージがある。
URLリンク(dag.wieers.com)
707:名無しさん@お腹いっぱい。
05/11/11 14:11:25
>>706
ありがとうございます。早速、autosshを試してみます。
一応、この検証としてはSSHサーバとSSHクライアントは何も変わらなくて
SSHクライアントに接続しているテストマシン(三日間発生してない)から
別の環境のマシン(2時間ほどで発生しますが、データの送受信量によって
発生頻度が変わります。)に変えたらこの問題が発生してます。
708:名無しさん@お腹いっぱい。
05/11/11 14:17:02
>>694
ps で調べるなんてムダな気がするのは俺だけ?
これだけでええやん。
#!/bin/bash
while true
do
ssh (オプションなどは省略)
sleep 20
done
709:名無しさん@お腹いっぱい。
05/11/11 14:27:10
>>708
これは、多分、無理だと思います。
SSHサーバー側で、もんく、ありましたので....
710:名無しさん@お腹いっぱい。
05/11/11 14:29:37
>>709
なんで無理なん?
711:名無しさん@お腹いっぱい。
05/11/11 14:39:29
>>710
そうです。始めはこれと似た方法でしましたが、SSHサーバー側で
なぜ、毎回、起動するのはいやだということでしたので....
712:名無しさん@お腹いっぱい。
05/11/11 14:43:31
>>711
言ってることがよくわからないんだが。
>>708 で ssh をフォアグラウンドで上げれば
>>694 と変わりないじゃん。
713:名無しさん@お腹いっぱい。
05/11/11 14:54:02
ps コマンドで生死の検査をする方がずっと危険度が高い気がするのだが。
その「SSHサーバ運用者」がアレな気も。
714:名無しさん@お腹いっぱい。
05/11/11 14:54:50
>>712
>>>711
>言ってることがよくわからないんだが。
こちは、SSHサーバは別の会社で管理するということです。
>>708 で ssh をフォアグラウンドで上げれば
たれかが、CTRL+Cかを押すと切れるはずですね。
>>694 と変わりないじゃん。
プロセス検索で、あったら、とりあえず再起動するところはとおらないはずです。
715:名無しさん@お腹いっぱい。
05/11/11 14:58:46
だめだ、話が通じない。
ここで聞くより
自分の母語のコミュニティで聞いた方がいいんじゃないか?
716:708
05/11/11 15:03:07
>>714
だから、 >>708 をバックグラウンドで動かせばいいじゃん。
と思ったが、 autossh でも使った方がいろいろ面倒が無くていいか。
717:名無しさん@お腹いっぱい。
05/11/11 15:15:33
>>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
718:名無しさん@お腹いっぱい。
05/11/11 15:20:51
>>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
719:名無しさん@お腹いっぱい。
05/11/11 21:04:28
死んでたら自動的に立ち上げたいの?
つ daemontools
720:名無しさん@お腹いっぱい。
05/11/11 21:08:45
>>719
絶対出てくると思った。
俺は我慢してたが。
721:719
05/11/11 21:25:46
>>720
ごめんねえ
「そろそろ来るころだと思ったよ」ってやつ?
我慢すると体によくないよ。
722:名無しさん@お腹いっぱい。
05/11/11 22:01:17
inittab に書いとけ。
723:名無しさん@お腹いっぱい。
05/11/13 10:57:14
漏れ実際に daemontools 使って ControlMaster 立ち上げてまふ。
けど、たまにソケットファイルのロックにひっかかって死んでることが...
724:名無しさん@お腹いっぱい。
05/11/13 18:10:13
何がしたいか、よくわからんが、-Nでいいんじゃねーの?
725:名無しさん@お腹いっぱい。
05/11/13 19:44:26
「ソケットファイルのロック」って何?
726:名無しさん@お腹いっぱい。
05/11/13 20:59:06
>>725
プロセスが死んだ時に ControlPath に書いたソケットファイルが残っちゃうってはなし。
727:名無しさん@お腹いっぱい。
05/11/14 15:00:47
URLリンク(www.zelow.no)
ここのパッケージを使って
floppyfw で sshd を動かすところまではできたのですが,
パスワードなしでのログインができません.
クライアントの公開鍵をサーバの /root/.ssh/authorized_keys
に追加しているのですが, 鍵認証に失敗してパスワード認証しようとします.
パスワードなしでログインできるようにするにはどうすればいいでしょうか?
ログは以下のようになっています.
クライアント側ログ
$ ssh -v root@192.168.20.19
[snip]
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /home/user/.ssh/id_dsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
root@192.168.20.19's password:
728:名無しさん@お腹いっぱい。
05/11/14 15:01:34
>>727
サーバ側ログ
# sshd -d
[snip]
debug1: userauth-request for user root service ssh-connection method none
debug1: attempt 0 failures 0
Failed none for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 2 failures 2
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method keyboard-interactive
debug1: attempt 3 failures 3
debug1: keyboard-interactive language devs
Failed keyboard-interactive for ROOT from 192,168,20,1 port 3970 ssh2
729:名無しさん@お腹いっぱい。
05/11/14 15:52:59
~>>726
皆さんの協力、ありがとうございます。
この起動セールスクリプトは問題ないです。
この問題は急ぎやらなければできないので、結局はCronTabに登録して、1分ごと
にチェックするようにして、解決しました。今のところ、元は30分~4時間で
一回、この起動セールスクリプトが切れたんですが、10時間ほどだったんですが
発生してなかったです。よい解決方法とは、なりませんが......
730:名無しさん@お腹いっぱい。
05/11/20 17:35:33
どこで聞くべきかよくわからないので、ここで質問させてください。
Vine3.2で sftp サーバーを構築しています。
hpn-ssh のパッチを当てると高速化が可能であると聞いて、以下の手順で導入してみました。
1) もともと入っていた ssh は apt-get remove ssh で削除
2) openssh-4.2p1.tar.gz をDLして解凍
3) hpn-ssh-4.2p1-hpn11.diff のパッチを当てる
4) $ ./configure --prefix=/opt --sysconfdir=/opt/etc/ssh
5) $ make
6) # make install
7) /etc/rc.d/init.d/sshd の中の sshd 等の場所を prefix で指定したものに書き換え
8) 再起動
これでとりあえず接続は出来るようになったのですが、いかんせん速度が遅いまま
なのです。入れ替える前は 200-300kB/s だったのですが、入れ替え後もほとんど
同じ数値です。hpn-ssh を有効にするには何かオプションの指定のようなことが必要
なのでしょうか? それとも PentiumIII 1GHz ではこのくらいの速度が限界なのでしょ
うか? ちなみに ftp 接続では 8-10MB/s 程度の速度が出ています。
731:名無しさん@お腹いっぱい。
05/11/23 12:30:06
>何かオプションの指定のようなことが必要
知らないが、パッチを嫁ばわかるだろ。
732:名無しさん@お腹いっぱい。
05/11/24 13:22:03
ssh の Remote Forwarding が下のような警告で失敗するのですが,
1023以下のポートの転送はできないのでしょうか?
$ ssh -N -v -R80:localhost:80 remote
...
debug1: Remote connections from LOCALHOST:80 forwarded to local address localhost:80
debug1: Entering interactive session.
debug1: Remote: Server has disabled port forwarding.
debug1: remote forward failure for: listen 80, connect localhost:80
Warning: remote port forwarding failed for listen port 80
733:名無しさん@お腹いっぱい。
05/11/24 13:30:42
特権ポートだけど root ならできるんじゃないの?
734:名無しさん@お腹いっぱい。
05/11/24 16:36:39
>>733
root でも Remote Forwarding で特権ポートは使えませんでした.
サーバ側で root 権限で Local Forwarding ならいけるようです.
remote# ssh -N -v -L80:localhost:2080 localhost
client$ ssh -N -v -R2080:localhost:80 remote
のように二つ動かすしかないんでしょうか.
板違いになりますが, こういうことは iptables で可能なんでしょうか?
735:名無しさん@お腹いっぱい。
05/11/24 16:48:09
iptablesなら可能だね
736:名無しさん@お腹いっぱい。
05/11/24 17:03:37
>>734
ちゃんとサーバー側の root で接続してる?
$ ssh -N -v -R80:localhost:80 -l root remote
737:名無しさん@お腹いっぱい。
05/11/24 20:03:54
>>735,736
すいません. なんかボケてたみたいです.
もう一度確認したら root なら Remote Forwarding でできました.
でもこれでは全部 localhost からのアクセスになってしまって
.htaccess でアクセス制限できないんですね.
ディレクトリごとの制御とかはできなくなりますが,
サーバ側の iptables を併用するしかなさそうです.
738:名無しさん@お腹いっぱい。
05/11/25 15:08:30
いまがver3を使っているのですが、問題ありませんか?
739:名無しさん@お腹いっぱい。
05/11/25 15:35:51
自分で判断できないのは問題ですね。
740:名無しさん@お腹いっぱい。
05/11/30 00:27:37
自由に使用できるサーバを、
友人に公開しようと思っているのですが、
IP アドレスが一つしかありません。
WEB サーバの方は、delegate を使用してなんとかなるのですが、
SSH も delegate を使用できますでしょうか。
ちなみに、JAIL 環境でプライベート IP が振ってあります。
あと、DNS は書いてあります。
ポートをずらして公開するのが手っ取り早いでしょうか。
MOUNT="/* www.example.com1* vhost=-www.example.com1" \
MOUNT="/* www.example.com2/* vhost=-www.example.com2" \
MOUNT="/* www.example.com3/* vhost=-www.example.com3" \
741:名無しさん@お腹いっぱい。
05/11/30 00:31:58
友人の発信元IPアドレスを見てなんとかする方法もあるけどポートずらすのがいいと思う。
742:名無しさん@お腹いっぱい。
05/11/30 00:46:57
22 番を外部公開してても、
暗号鍵認証でのみ許可してれば
セキュリティホール以外で進入されることは
ないと考えてよいですか?
743:名無しさん@お腹いっぱい。
05/11/30 01:01:26
>>742
いいえ
744:名無しさん@お腹いっぱい。
05/11/30 01:43:24
>>742
公開鍵ではなくて?
745:名無しさん@お腹いっぱい。
05/11/30 02:05:14
>>744
そんなことは知っています。
どなたかわかる方、お願いしますm(_ _)m
746:名無しさん@お腹いっぱい。
05/11/30 02:10:20
>>742
絶対はないです。
747:名無しさん@お腹いっぱい。
05/11/30 03:17:18
セキュリティに関して「安全ですか?」と聞けば答は常に「いいえ」。
その質問は一番大きなセキュリティホールが質問者の頭に開いている事を示しているから。
そして>>745のレスはおまえが人間のクズである事を示しているので、
もうマトモな解答は付かないだろう。
748:名無しさん@お腹いっぱい。
05/11/30 03:28:59
LANケーブルをひっこ抜きました。
無線LANもserialも繋がってません。
これで絶対安全ですか?
749:名無しさん@お腹いっぱい。
05/11/30 06:25:14
コンソールがのこっとる
750:名無しさん@お腹いっぱい。
05/11/30 08:10:41
テンペストで画面もまる見え
751:名無しさん@お腹いっぱい。
05/11/30 08:23:23
引っこ抜くなら電源ケーブルだな
752:名無しさん@お腹いっぱい。
05/11/30 10:06:41
透視でHDDの中身もまる見え
753:名無しさん@お腹いっぱい。
05/11/30 11:55:09
円盤引っこ抜け
754:名無しさん@お腹いっぱい。
05/11/30 11:57:20
昨日までログインできてたんだけど、今日になってできないようになった。
ssh -vvvvv me@myhost すると、id_rsa読む所で、
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
こんなん出るんだけど、これって何が起こったの?
755:742
05/11/30 13:22:47
>>743,744,746,747
どうもありがとうございました。
ソーシャルハッキングなどを想定してるので「いいえ」ということでしょうか。
少なくともパスワード総当りでは通れないですよね。
>>745 は自分ではないのですが、
不愉快な思いをさせて失礼しました。
756:名無しさん@お腹いっぱい。
05/11/30 13:57:06
>>754
> ssh -vvvvv me@myhost すると、
v は三つまで。
> こんなん出るんだけど、これって何が起こったの?
その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
てるとこなんで、ログインできない理由とは無関係。
757:754
05/11/30 15:12:39
> その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
それは読めば判るんだけど、これって昨日まで使ってたRSA 鍵なんだけど。
ログインできない最後の理由は判っていて、RSA鍵が読めない為に鍵認証
できなくて、パスワード認証は禁止してるからなんだけど。
どうしてRSA鍵が読めないなんて言い出すのかが判らんのよ。
パスワード認証有効にする訳にもいかんし、ssh-keygen -t rsa で鍵作りなおしても
やっぱり読めないとぬかしやがるし。
パーミッションも確認したけど、.ssh/は700で .ssh/id_rsa も600になっとる。
ワケワカラン。
758:名無しさん@お腹いっぱい。
05/11/30 15:15:08
>>757
サーバ側の設定が変わったってことはないの?
759:754
05/11/30 15:45:08
>>758
昨日はssh関係いじった覚えはないんだけど。
そもそも、鍵が読めないのとサーバの設定になんか関係あるの?
760:名無しさん@お腹いっぱい。
05/11/30 15:47:42
>>754
サーバ側でログ確認した方がいいなじゃない?
それか -d とか。
761:名無しさん@お腹いっぱい。
05/11/30 16:52:40
>>754
例えば、Protocol 2 になると rsa1 が使えなくなったりするわけですよ。
サーバ側の管理を >>754 がやってるかどうかも俺らは聞いてないし、
適切にアドバイスできるとでも思ってるんか?
「ログ見ろ」としか言えねぇよ。
762:名無しさん@お腹いっぱい。
05/11/30 16:57:45
strace使うとかね。
763:名無しさん@お腹いっぱい。
05/12/08 00:44:53
sshでリモートログインした時に
~/.ssh/rc
から
exec zsh
で zsh を起動させたいんだけど起動しない。
sh ~/.ssh/rc
としてやると普通に起動するんだけど…。
もしかしてこれって仕様?
764:名無しさん@お腹いっぱい。
05/12/08 01:34:49
>>763
sshdからpopen(3)されるだけなので対話的プログラムは実行できない。
765:名無しさん@お腹いっぱい。
05/12/10 02:08:14
NAT 配下のマシン(A)にアクセスさせたく、グローバルIPをもっている
マシン(B) に対して
ssh -R 8888:localhost:22 hostB
とやりました。この時、hostB にログインして ssh -p 8888 localhost
をすると hostA に接続できるのですが、この hostA, hostB とは関係のない
hostC から ssh -p 8888 hostB しても hostA には接続できません。
これを実現させるのにはどのような設定が必要でしょうか?
766:名無しさん@お腹いっぱい。
05/12/10 02:43:12
>>765
sshd_configのGatewayPorts
767:名無しさん@お腹いっぱい。
05/12/10 09:21:21
>763
>It must not produce any output on stdout; stderr must be used instead.
とか書いてあるし、~/.ssh/rc でやるのは無理があるんじゃない?
ログインシェルの初期設定ファイルで環境変数を見て SSH_* が設定されていたら zsh にとばすとか。
っていうか ssh -t example.com zsh だとあかんの?
768:名無しさん@お腹いっぱい。
05/12/19 07:47:20
すみません
sshクライアントからviを起動すると未確認のエスケープシーケンスがある。
というエラーが出てしまい、ファイルの編集ができません。
sshからテキストファイルを編集する何か良い方法はないものでしょうか?
769:名無しさん@お腹いっぱい。
05/12/19 08:00:06
ターミナルを変更したら、エラーが無くなりました。吊ってきますorz
770:名無しさん@お腹いっぱい。
06/01/13 16:46:47
保守
771:名無しさん@お腹いっぱい。
06/01/25 15:50:08
Debian sargeでOpenSSH 3.8.1p1, OpenSSL 0.9.7eを使ってsshサーバを立てようとしています。
あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?
772:名無しさん@お腹いっぱい。
06/01/25 16:22:10
キター ヽ(゚∀゚)ノ
CVE-2006-0225 URLリンク(www.cve.mitre.org)
URLリンク(www.st.ryukoku.ac.jp)
tun(4)のサポートなんて後でイイから、さっさといろんなバグ潰した4.3を
出せってば :-)
1週間後に出すぞってメールで流してから何週間経っているんだと小一時間(ry
773:名無しさん@お腹いっぱい。
06/01/25 22:01:50
>772
scp 'foo:bar*' .
とか便利に使ってたんだが、バグだったのか…
774:名無しさん@お腹いっぱい。
06/01/25 23:58:08
>>773
そーいうことではなくて、記号や空白が名前の一部に入っているファイル
が問題視されているのですが。
たとえば
scp 'foo:bar*' .
であれば、foo というマシン上に
bar foo
bar*
といったファイルがあるとうまくいかないと。
そもそもが、
URLリンク(www.redhat.com)
には
local to local and remote to remote copy with scp
と書いてあるわけで、
foo という「リモートマシン」から「ローカル」
という時点で、既に今回の対象外な気がしますが。
775:名無しさん@お腹いっぱい。
06/01/26 01:45:25
>774
OpenSSH 情報の URLリンク(www.unixuser.org) に
> system()関数を用いているためにリモートホストでもシェルによるコマンドの解釈が行われます。
> このため適当に細工を施されたファイル名をコピーすると、リモートホストでユーザの権限でコマンドが
> 実行されます。
なんて書いてあって、リモート側でsystem()関数によるファイル名展開しないように
対策されるのかと勘違いしてました。
776:名無しさん@お腹いっぱい。
06/01/26 13:51:52
>>771
> あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
> 接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?
OpenSSH だと config file を変えて sshd 二つ上げとくしかないん
じゃなかろか。
ちなみに $sh.com 版なら HostSpecificConfigって機能を使うと sshd
一つで client host 毎に認証方式を変えることが可能。
777:名無しさん@お腹いっぱい。
06/01/26 15:53:09
そだねえ。片方をポート10022とかに上げといて、
ソースアドレスによってはそちらにリダイレクトするようにしたら、
sshdが2つなのをユーザに意識させずに切り替えることもできそう。
pfなら
rdr on fxp0 proto tcp from <allow_password_address> to self port ssh -> $myaddr port 10022
とかになるのかな。
778:771
06/01/26 20:41:25
>>776-777
前の代のサーバはssh.com版を使ってたみたいで、HostSpecificConfig
を使って上記のような設定をしていたので、なんとかOpenSSHで
出来ないものかな、と思いましたが、2つ立ち上げるしかないんですね。
ありがとうございました。
779:春山征吾 ◆unIxUSernc
06/01/26 21:15:43
>>775
間違った記述をしていたので修正しました。
780:773
06/01/28 04:18:01
>774
問題の本質は
> シェルによるファイル名の解釈が2度おこなわれる
事なので、local-to-localやremote-to-remoteのコピーだけの問題じゃない気がしてきた。
remote-to-local、local-to-remote でも、localでのシェルによる解釈、
remoteでのscp起動の時にもシェルを経由するわけだし。
その意味で、OpenSSH 情報の元の記述は的外れでなかった気がしてきた。
なわけで、今回の修正だけではまずいんじゃないかなあ。
781:春山征吾 ◆unIxUSernc
06/01/28 09:07:30
>>780
パッチをみたところ、local-to-localとremote-to-remoteでの処理での
system()が置き換えられていました。
scp.cのそれ以外の部分ではsystem()は使われていません。
OpenSSH情報の記述はさらに直します。
782:773
06/01/28 21:06:24
>781
system()を使ってなくてもやばいんじゃないかって事です。
783:春山征吾 ◆unIxUSernc
06/01/29 01:24:30
ためしてみたところ、
% scp remote:\;/usr/bin/yes .
とすると
remoteで/usr/bin/yes が起動しました。
784:春山征吾 ◆unIxUSernc
06/01/29 01:33:08
% scp remote:\;/bin/sleep\ 1000 .
なんてのもいけますね。
785:春山征吾 ◆unIxUSernc
06/01/29 01:40:59
local-to-remoteでも
% scp foo remote:.\;/bin/sleep\ 1000
としてコマンドを実行できました。
local-to-localやremote-to-remoteと同様の問題があると考えていいように思えます。
明日朝から用事があるので一旦終了します。
786:春山征吾 ◆unIxUSernc
06/01/29 17:22:47
rsyncでも
% rsync foo remote:.\;sleep\ 1000
や
% rsync remote:foo\;sleep\ 1000 .
でremoteでのコマンド実行ができました。
ファイル転送においてもリモートでコマンドを実行する枠組を利用している以上
利用者が気をつけるしかないかもしれませんね。
787:名無しさん@お腹いっぱい。
06/01/29 17:55:02
sshdはコマンドを実行するときsh -cで実行しているけど、shを使
わずに直接実行してほしい。shを使いたかったら明示的に書けばい
いだけ。
参考
スレリンク(unix板:984番)
788:773
06/01/30 01:08:35
OpenSSH情報では
> local-to-localやremote-to-remoteとは異なり実際のファイルのコピーによって
> コマンドが実行されるわけではありません。
と修正されてたけど、
% ls
remote:;/usr/bin/yes
% scp * foo
とか。
% ls
remote:*
これも意図しないファイルをコピーされてしまうような。
OpenSSH FAQ 2.13とか、ほっといてはいけなかったのかな。
>787
確かにその通りだと思うんだが、変更したらSSHのRFCと矛盾しないかな?
789:名無しさん@お腹いっぱい。
06/01/30 01:35:38
>>787
参考が読めない
おれにも●売ってくれよ。10円で。
790:名無しさん@お腹いっぱい。
06/01/30 01:37:01
>scp 'foo:bar*' .
は今後使えなくなるの?
791:名無しさん@お腹いっぱい。
06/01/30 02:20:09
>>788
> % ls
> remote:;/usr/bin/yes
これは無理w
> % ls
> remote:*
これは仕様上仕方ないんじゃないか。
$ scp * .
ssh: remote: Name or service not known
792:名無しさん@お腹いっぱい。
06/01/30 02:33:14
>>789
984 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2006/01/20(金) 22:59:14
スレ違いだが、
sshは引数をスペースを間に入れて結合した文字列をsshdに送る。
sshdは
argv[0] = shell
argv[1] = "-c"
argv[2] = 送られた文字列
のように実行する。
なので'1 2 3'というファイルを指定するためには
ssh localhost touch "'1 2 3'"
のように''をつける必要がある。
シェルを経由して実行する場合は引数(の数と内容)を保ったまま渡
すのは無理なのかもしれんが。
793:773
06/01/30 02:35:42
>791
確かにこのままだと駄目だった。
が、path通っているのであれば、こっち
> % ls
> remote:;yes
だったら。
794:春山征吾 ◆unIxUSernc
06/01/30 09:14:19
>>793
% ls
remote:;yes
% scp * foo
でremoteでyesが実行されますね。
OpenSSH情報の記述を訂正します。
795:名無しさん@お腹いっぱい。
06/01/30 10:32:33
>>794
> % scp * foo
hostname:pathname の形式で指定する以上、たぶんどうしようもない。
scp ./* foo:bar/
なら問題ない。
796:773
06/01/31 01:22:49
>795
リモートでコマンド実行の方は危険な記号をエスケープするなり
して対処するのかなあ。
で、hostname:pathname の hostname: の部分を処理する前に、
hostname:pathname がファイルとして存在しているか確認して、
存在していた場合、ユーザーに確認 or エラー吐いて失敗とか。
# -B オプションとか付いてたら確認せず実行とか。
とにかく、意図したファイルのコピーが失敗するだけならともかく、
意図しないファイルのコピーが実行されてしまうのは避けた方が無難だと
思う。
797:773
06/01/31 01:37:42
>791
>> % ls
>> remote:;/usr/bin/yes
>これは無理w
こんなの思い付いた。
% echo */*/*/*
remote:;/usr/bin/yes
798:名無しさん@お腹いっぱい。
06/02/01 17:51:27
PuTTYgen使って公開鍵作るとき[Public key for pasting into OpenSSH authorized_keys2 file]欄の
文字列をコピーしてメモ帳に貼り付ける、と紹介してるサイトがあるけど
【Save Public key】ボタンを押して保存じゃ駄目ですか?
わざわざ面倒なことする理由って何ですか?
799:名無しさん@お腹いっぱい。
06/02/01 17:58:44
ボタンが無い時代に書かれた記事の孫引きだからだろ
800:名無しさん@お腹いっぱい。
06/02/01 19:57:54
>>798
形式が違う。
801:名無しさん@お腹いっぱい。
06/02/01 23:41:18
OpenSSH 4.3/4.3p1 リリース
802:名無しさん@お腹いっぱい。
06/02/02 01:48:07
>798
保存した物はssh-keygen -X -fで変換しないと~/.ssh/authorized_keysの形式に成らないよね
803:798
06/02/02 02:03:23
>>799
自分もそうじゃないかと思いました。
ボタンがあるのにコピペするのは昔の名残なのかと。
しかしどうしても気になり、質問してしまいました。
>>800、>>802
!!、そういうことなんですか!ありがとうございます!!
モヤモヤが晴れました。御三方ありがとうございました。!
804:名無しさん@お腹いっぱい。
06/02/02 06:05:35
>>801
4.3(p1) キター ヽ(゚∀゚)ノ
805:春山征吾 ◆unIxUSernc
06/02/03 18:57:02
4.3p1はconfigureまわりに問題があるので、4.3p2がじきにでるようですね。
>>773- 以降で議論したscp の local-to-remote, remote-to-local のコマンド挿入の
問題について、セキュリティの問題として openssh@openssh.com に連絡しようと思います。
(なぜ openssh@openssh.com かは URLリンク(www.openssh.com) を参照)
反対意見がなければ、日曜か月曜に送ります。
メールの内容は長いので
URLリンク(unixuser.org)
におきました。
806:773
06/02/03 22:17:07
>788
> % ls
> remote:*
> これも意図しないファイルをコピーされてしまうような。
こっちの報告はどうしましょう?
>791
> これは仕様上仕方ないんじゃないか。
ってのも分かるのですが、
さらに
% ls
foo@remote:*
とかにして、
foo@remote% ls -l
rwsrwsrwx 1 foo foo 100 2006-02-03 03:55 bar
とかが
% scp * .
とかでコピーされちゃうとまずそうなんですけど。
実験したら -p オプション付けなくてもsuid bitコピーされちゃいましたし。
# umask の設定でsuid bit無効化出来ましたっけ?
後、
% ls
-p foo
とかで、予期しないオプションをremoteのscpに与える攻撃とか思い付いたのですが。
# 組み合わせや設定次第でやばげな事が出来そうです。
# remote:-Sfoo とかでremote-to-remoteになったときとか。
対策するなら796で書いた事ぐらい?
807:773
06/02/03 22:25:54
rsyncの開発元にも別に送った方がいいかもしれません。
# scp や rsync の実装の問題でしょうし。
808:春山征吾 ◆unIxUSernc
06/02/03 22:47:52
>>806-807 に対応して
URLリンク(unixuser.org)
を上書きしました。
・Subjectを scp/rsync Command Line Shell Command Injection in the case of local-to-remote and remote-to-local copies & scp/rsync user-unintended file copy with a malicious filename に。
・rsync-bugs@samba.orgにも送るという文章を追加
・次の文章を追加
In addition, This example (using a malicious filename)
----------
% ls
remote:*
% scp * .
(or rsync -e ssh * .)
----------
causes an user-unintended file copy.
809:春山征吾 ◆unIxUSernc
06/02/03 22:57:20
オプションを利用すると、
% ls
-S ls a
% scp * remote:
ls: No such file or directory
lost connection
とローカルホストでプログラムを実行させることもできますね。
(rsyncでも-e で同様のことができるでしょう)
送るまでにもっと例を追加します。
810:名無しさん@お腹いっぱい。
06/02/03 23:01:52
日本の恥だから止めんか!
811:名無しさん@お腹いっぱい。
06/02/03 23:11:11
春山さん乙
812:春山征吾 ◆unIxUSernc
06/02/03 23:16:03
>>809
% ls
-Sls a
% scp * remote:
ls: invalid line width: ardAgent no
lost connection
でした。
813:名無しさん@お腹いっぱい。
06/02/03 23:22:13
乙
814:名無しさん@お腹いっぱい。
06/02/03 23:27:22
そんなもの脆弱性でもなんでもないだろ。
頼むからやめてくれ。どうかしてるぞ。
815:名無しさん@お腹いっぱい。
06/02/03 23:28:11
どちらかというとシェルの問題でない?
816:名無しさん@お腹いっぱい。
06/02/03 23:37:00
バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
普通のバグリポートを送るだけで充分だ。
これはおかしな動きだと疑問に思ったら真っ先に本家のMLに聞いてみるべきなのに。
あんたこんな所にしか相談出来る相手が居ないのか?
ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
817:名無しさん@お腹いっぱい。
06/02/03 23:41:10
>ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
正直同感
818:春山征吾 ◆unIxUSernc
06/02/03 23:46:47
>>805 にて
>反対意見がなければ、日曜か月曜に送ります。
と書きましたので、送るのは中止します。
ここで相談しているのは、
773氏の寄与が大きいので了解を取るべきと考えたからです。
819:773
06/02/04 00:12:45
私自身はセキュリティの問題として送ってもらう事に賛成です。
自分自身でバグリポートをさっさと送らなかった事には謝罪します。
しかし、
>816
> バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
と言うのは疑問です。
元の CVE-2006-0225 が任意のコマンドを実行される脆弱性で修整されるべきなら、
今回の物もssh自身の問題だけではないかもしれませんが、任意のコマンドを
実行してしまうもので「脆弱性ではない」とは言い切れないと思います。
820:名無しさん@お腹いっぱい。
06/02/04 00:38:25
>>809
少なくとも、これに関しては scp には何の罪はない。
% touch -- -l
% ls *
これで ls -l が実行されるのは ls のせいではなくシェルのせいだ。
821:春山征吾 ◆unIxUSernc
06/02/04 00:57:26
>>820
そうですね。失礼しました。
822:名無しさん@お腹いっぱい。
06/02/04 03:42:17
なんかおもろい流れになっててワロスw
823:名無しさん@お腹いっぱい。
06/02/04 15:26:34
的はずれなことを言っているのかもしれませんが、ポートフォワードで
離れた場所のLAN内にあるsambaサーバもしくはWindowsの共有にアクセスすることはできますか?
824:名無しさん@お腹いっぱい。
06/02/04 15:30:09
ssh?
825:823
06/02/04 16:51:29
例えば、ここの場合、
URLリンク(www.gcd.org)
プロキシーサーバに接続することによって、LAN内のすべてのwwwサーバにアクセスできるようになりますが
これと似たことを、sambaでもできないかと考えているのですが。
826:名無しさん@お腹いっぱい。
06/02/04 21:32:09
難しい
827:名無しさん@お腹いっぱい。
06/02/05 00:34:30
>>823
つ [SoftEther改めPacketiX VPN]
828:名無しさん@お腹いっぱい。
06/02/05 01:35:04
>>823
SEはライセンスがアレなので・・・
つ [OpenVPN]
829:名無しさん@お腹いっぱい。
06/02/05 07:56:54
ポート番号を指定できないWindowsが恨めしいと思ったw
830:名無しさん@お腹いっぱい。
06/02/05 11:08:33
>>823
きわものが似合いそうな823に
つ[zebedee]
URLリンク(rogiken.org)
opensshってバインドするアドレスを指定できなかったんだよねぇ、たしか。
だから、いったん8139とかにバインドして、stoneでLoopbackアダプタに
バインドした気がする。
遠い昔のことでわすれた。。
831:名無しさん@お腹いっぱい。
06/02/06 10:17:17
>>823
望んでいるものかどうかわからないけど、
つ [ URLリンク(www.c3.club.kyutech.ac.jp) ]
832:名無しさん@お腹いっぱい。
06/02/06 16:58:10
>>823
445ポートでうまくいかない?
833:名無しさん@お腹いっぱい。
06/02/07 14:04:58
SoftEther系がなんも考えずにできて楽だな
無料じゃないのがやだけど
834:名無しさん@お腹いっぱい。
06/02/07 21:57:27
>>833
無料じゃないの?
835:名無しさん@お腹いっぱい。
06/02/08 01:09:06
>>834
個人かつ非営利目的な場合のみ無料。
836:名無しさん@お腹いっぱい。
06/02/08 01:45:58
SoftEtherは作者がkittyでさえなければ...
道具に罪はないとは言うけれど、セキュリティに関わるものだけにちょっと。
837:名無しさん@お腹いっぱい。
06/02/08 08:18:01
ライセンスの更新画面土井よ
838:名無しさん@お腹いっぱい。
06/02/08 15:45:08
SSHのスレで作者のキティ度を云々するのはいかがなものか?
839:名無しさん@お腹いっぱい
06/02/11 17:35:31
4.3p2キター
URLリンク(www.unixuser.org)
にも出てるよ。
さすが春山さん早いねぇ。
840:名無しさん@お腹いっぱい。
06/02/11 20:27:48
おいお前ら。FCの名作ソフト「いっき」のオンライン対戦するぞ!
↓
URLリンク(game.coden.ntt.com)
King of Wands
URLリンク(game.coden.ntt.com)
841:名無しさん@お腹いっぱい。
06/02/11 21:08:27
lastlog直った
842:名無しさん@お腹いっぱい。
06/02/15 23:49:32
W-ZERO3 + Pocket PuTTYで外部からSSH接続できるんだけど
困った事に受信側のPocket PuTTYで日本語が全部文字化けしちゃうす。
誰か対策できた人おる?
843:名無しさん@お腹いっぱい。
06/02/17 17:24:41
>>842
うーん
速攻で設定直したから うちでは問題ないなぁ
844:名無しさん@お腹いっぱい。
06/02/19 17:18:14
圧縮を指定して接続しようとすると、エラーが出てしまいます。
845:名無しさん@お腹いっぱい。
06/02/19 18:00:39
このスレにはエスパーはいませんので、そこんとこよろしくです。
846:名無しさん@お腹いっぱい。
06/02/22 11:32:13
現在の本スレ
Putty その2
スレリンク(unix板)l50
847:名無しさん@お腹いっぱい。
06/02/22 16:29:31
URLリンク(www.laksmido.com)
ここにあるとおりに設定してみたのですが、依然として、
どちらからログインする際にもパスフレーズを求められてしまいます。
考えられる原因としてはどのようなものがあるでしょうか?
848:名無しさん@お腹いっぱい。
06/02/22 16:33:08
>>847
これ、情報古いよ。
もっとまともなとこ読め。
849:848
06/02/22 17:41:14
ありがとうございます。
どのサイトに新しい情報が載っているでしょうか?もし教えていただければ幸いです。
850:名無しさん@お腹いっぱい。
06/02/22 19:53:07
ssh2でぐぐれ。
851:名無しさん@お腹いっぱい
06/02/23 02:57:08
>847
パッと見で思い当たるところ。
.sshのパーミッション
~/.ssh/authorized_keysの中身
/etc/sshd_configの設定
あと、logは見た?
その辺を一通り確認すれば、何とかなると思う。
852:名無しさん@お腹いっぱい。
06/02/24 08:55:27
ssh -vでデバックとって曝せ。
853:名無しさん@お腹いっぱい。
06/02/24 09:42:11
デバックだってさ(*´Д`)
 ̄
854:名無しさん@お腹いっぱい。
06/02/24 14:01:15
CentOS 4.2
openssl 0.9.8a
zlib 1.2.1.2-1.2(RPM)
openssh 4.1p1
上記の環境で
# ./configure \
--with-tcp-wrappers \
--with-pam
# make
を行うと
/usr/local/lib/libcrypto.a(dso_dlfcn.o)(.text+0x321): In function `dlfcn_bind_func':
: undefined reference to `dlerror'
collect2: ld returned 1 exit status
make: *** [ssh] Error 1
とエラーになってしまいます。
そこで、直接 Makefile を編集して、
LIBS= に -ldl を追加して make を通しましたが、こういった手法しかないのでしょうか?
今回、普通に make が通らなかったことが疑問なのですが、その原因がわかる方はいらっしゃいますか?
855:名無しさん@お腹いっぱい。
06/02/24 14:19:05
さすが盗人CentOS厨はひとあじ違うね
856:名無しさん@お腹いっぱい。
06/02/24 19:47:11
板違い。リヌクス板に逝け。
857:名無しさん@お腹いっぱい。
06/02/28 19:05:57
sftpで日本語ファイルを扱えるようにする方法を教えてください
858:名無しさん@お腹いっぱい。
06/02/28 19:10:10
>>857
「日本語のファイル名」を定義してください。
859:名無しさん@お腹いっぱい。
06/02/28 20:09:26
また定義厨キタ。定義厨ウザイ。そんなの質問から読みとれるだろ。
860:名無しさん@お腹いっぱい。
06/02/28 20:27:34
( ゚д゚)ポカーン
861:名無しさん@お腹いっぱい。
06/02/28 20:40:12
質問も厨臭いが反応もすんばらすぃ
862:名無しさん@お腹いっぱい。
06/02/28 21:01:05
>>857
俺のところでは特に設定なしで日本語ファイル名が使えてる。
もし日本語ファイル名が使えないなら、どううまくいかないのか
もう少し詳しく書け。
少なくとも、変なことしてなければ設定なしで使えるはず。
863:名無しさん@お腹いっぱい。
06/02/28 21:53:58
>>859
読み取れたなら答えてあげてよ。
864:名無しさん@お腹いっぱい。
06/02/28 22:21:59
>>857
UNIX側をsjis環境にして日本語はすべてsjisに統一する
コントンジョノイコ
865:名無しさん@お腹いっぱい。
06/02/28 22:31:10
UNIX側をsjis環境にしてWindowsは日本語EUC環境にする。
これでおあいこじゃないか
866:名無しさん@お腹いっぱい。
06/02/28 22:50:10
UTF-8 ・・・ そこは最後のフロンティア・・・
867:名無しさん@お腹いっぱい。
06/02/28 22:57:35
>>863
すでに答えてるじゃん。
868:名無しさん@お腹いっぱい。
06/02/28 23:02:04
>>865
「UNIX側って??」
UNIX板なんだからUNIX以外のOSは無視でしょ。
オレのところはUNIXホストはすべてEUCで統一。
この状態でsftpで日本語ファイル名は問題なく使える。
869:名無しさん@お腹いっぱい。
06/03/01 00:46:07
日本語ファイル名ではなく日本語ファイルだ
文字コード変換して転送とかそういうことじゃね
870:名無しさん@お腹いっぱい。
06/03/01 00:55:51
>>869
そもそも相手先で違う物に内容を改ざんするsftp
なら使わない選択を選ぶのが筋
871:名無しさん@お腹いっぱい。
06/03/01 01:08:48
filezilla+春山さんパッチ使っとけ
872:名無しさん@お腹いっぱい。
06/03/04 01:43:45
いつもできていたのに、今日SSHで接続しようとしたら
Read from remote host ***********: Connection reset by peer
となってしまって接続できなくなってしまいました。。
どうすればよいですか??
873:名無しさん@お腹いっぱい。
06/03/04 01:55:51
いくつか考えられる原因・・・
・単にメモリが無い。
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・おまいの居場所が無い。無残にもそれは管理者に消されたか
もしくは根のモノに。
・NICが腐った。
・共有ライブラリがぶっ飛んだ。
その他もろもろの理由でSSHは不調になる(全部経験したこと)
874:名無しさん@お腹いっぱい。
06/03/04 02:06:49
とりあえずWebminは繋がるんです。
メモリは
Mem: 459M Active, 327M Inact, 173M Wired, 39M Cache, 112M Buf, 6104K Free
です。(1G)
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・共有ライブラリがぶっ飛んだ。
これぐらいでしょうか。。
でもsshはちゃんと起動できるんです。停止も起動も出来ました。@webmin
875:名無しさん@お腹いっぱい。
06/03/04 02:41:50
/bin/cshが壊れたようでした。
お騒がせしました。
876:名無しさん@お腹いっぱい。
06/03/04 02:59:18
なんでそんなんが壊れるんだ
877:名無しさん@お腹いっぱい。
06/03/04 06:30:17
ハックられた?
878:名無しさん@お腹いっぱい。
06/03/04 09:52:43
>873-874
>貝が無残にも砕かれた。
>共有ライブラリがぶっ飛んだ。
これってクラッキング以外に原因考えるとしたら、hddのread write不良とか?
いずれにしても穏やかでないなぁ。
879:名無しさん@お腹いっぱい。
06/03/04 15:29:16
OpenSSHでクラッカー対策にグリーティングメッセージの
「SSH-1.99-OpenSSH_3.8.1p1」みたいなのを隠したいんですが、
これってソースから直さなければならないんでしょうか?
880:名無しさん@お腹いっぱい。
06/03/04 15:37:05
隠しても対策にならんよ。
881:名無しさん@お腹いっぱい
06/03/04 18:20:49
>879
とりあえず最新使っとけば?
>510-513みたいに
882:名無しさん@お腹いっぱい。
06/03/07 15:40:06
うむ。対策には成らんね。
とにかく22に繋いで試すって攻撃だし。いちいちバージョンチェックなんてしてない。
sshdがあぼーんしたときの裏口作りは重要。
% sudo /etc/rc.d/sshd restartして止めさしちゃう事も有る。
883:名無しさん@お腹いっぱい。
06/03/07 23:28:58
だぁね。
まぁせいぜい出来るのは、sshd_configの設定をぬかり無くする事と
Listen Portをウェルノウンなポート使わないとか、そぎゃんところですか。
884:名無しさん@お腹いっぱい。
06/03/08 04:02:52
普通に、daemontools ですよ。
tcpserver で接続管理して接続できるIPアドレスを
限ればいい。
885:名無しさん@お腹いっぱい。
06/03/08 04:17:06
djb儲はdjbsshでも使ってろ
886:名無しさん@お腹いっぱい。
06/03/08 09:46:31
>>884
わざわざそんなん通さなくても libwrap でいいじゃん。
887:名無しさん@お腹いっぱい。
06/03/09 04:29:50
マエノ方面の香具師か。。。
888:名無しさん@お腹いっぱい。
06/03/10 01:14:41
信者ってどこにでも居るね。
qmail/djbdnsの話題をされるとは思わなかった。ウゼー!
889:名無しさん@お腹いっぱい。
06/03/10 01:24:24
普通にビルドしたらlibwrap使えるんだし、ネタにしかみえん。
890:名無しさん@お腹いっぱい。
06/03/10 12:38:42
>>886
URLリンク(cr.yp.to)
891:名無しさん@お腹いっぱい。
06/03/10 12:57:59
>>890
それが何?
892:名無しさん@お腹いっぱい。
06/03/10 13:36:37
信者は怖いね。
893:名無しさん@お腹いっぱい。
06/03/10 22:00:05
OpenBSD + OpenSSH + djbdns + qmail + OpenNTPD。これ最強。
894:名無しさん@お腹いっぱい。
06/03/11 00:42:17
さすがにウェブサーバーは入れないかww
895:名無しさん@お腹いっぱい。
06/03/11 03:17:56
fnordとかいれてたりして。
節操無さ過ぎwww
896:名無しさん@お腹いっぱい。
06/03/12 12:17:41
いろいろなユーザー名でログインを試みようとした形跡があるのですが、
このようなアタックを防ぐにはどうしたらよいのでしょうか?
同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
897:名無しさん@お腹いっぱい。
06/03/12 12:20:44
>>896
libwrap や FW などで
必要なとこ以外からのアクセスは禁止するようにする。
根本的解決ではないが
別ポートで sshd を上げると軽減するという話もある。
898:名無しさん@お腹いっぱい。
06/03/12 12:24:47
>>896
897の大作に加えて、sshd_configでログイン出来るユーザを制限しておく。
パスワード認証を許可しない。
信用出来ないユーザにシェルアカウントを与えない。
>同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
俺はdenyhostsを使っている。
899:名無しさん@お腹いっぱい。
06/03/12 21:18:20
犬糞ならiptablesのburst機能使えば近いことはできる。
他のOSでも同様のことができるんじゃないかな。
900:名無しさん@お腹いっぱい。
06/03/13 00:51:31
>>896
URLリンク(www.musicae.ath.cx)
我が家ではここの設定をそのまま使用してる。
パスワード認証も切ってるけど。
901:900
06/03/13 01:21:19
認証成功でもカウントされちゃうけどね。
902:名無しさん@お腹いっぱい。
06/03/13 09:44:03
>>896
前にここにも書いたけど、うちにもすげー来る。
オレはswatchでlogを監視してhosts.denyに追加するようにしてるよ。
903: ◆TWARamEjuA
06/03/13 22:17:19 BE:3485748-#
やっぱりログ監視だよなぁ。。。
今度の休みにやろっと。
904:名無しさん@お腹いっぱい。
06/03/13 22:40:56
ログの監視もいいが、必要なところ以外からの接続は拒否した方がいいと思う。
sshdにアクセスされている時は、外向きのアクセスが不安定になっている気が
する。ルーターがヘタレなせいかもしれないが。
905:名無しさん@お腹いっぱい。
06/03/13 23:21:49
もう>>896氏は見ているかもしれないですが…、
>>896
URLリンク(www.koka-in.org)
以降のスレッドを見るヨロシ。
URLリンク(www.koka-in.org)
とかね。
906:名無しさん@お腹いっぱい。
06/03/15 20:35:23
きてるきてる
203.241.56.142から5回ずつ朝鮮。
907:名無しさん@お腹いっぱい。
06/03/15 20:39:00
>>904
不安定にみえるのは、機器やネットの処理能力をアタックに食われているだけかも。
908:名無しさん@お腹いっぱい
06/03/15 21:03:44
俺もそう思う。
前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。
909:名無しさん@お腹いっぱい。
06/03/15 22:26:27
>>907-908
特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。
910:名無しさん@お腹いっぱい。
06/03/15 22:46:33
>>909
ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。
911:名無しさん@お腹いっぱい。
06/03/15 23:06:28
ミドルクラスPC + NIC二枚挿し + OpenBSD で「見えない高速firewall」とか。
912:名無しさん@お腹いっぱい。
06/03/15 23:54:07
アッタック
913:名無しさん@お腹いっぱい。
06/03/16 04:18:46
>>912
汚れが落ちる。
914:名無しさん@お腹いっぱい。
06/03/16 13:39:42
アタタック
915:名無しさん@お腹いっぱい。
06/03/16 14:18:41
こっちのアタックは服の汚れを落とす
URLリンク(www.kao.co.jp)
こっちのアタックはエンジンの汚れを落とす
URLリンク(web.kyoto-inet.or.jp)
916:名無しさん@お腹いっぱい。
06/03/16 18:32:46
(´・ω・)
917:名無しさん@お腹いっぱい。
06/03/17 10:35:52
使える科技庁は国によって違うのですか?
918:名無しさん@お腹いっぱい。
06/03/18 21:21:50
>>917
国によって組織の形態や名称が違うのは間違いありません。
919:名無しさん@お腹いっぱい。
06/03/19 02:50:15
>>194-
あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます?
読んでて思ったんですが、
1.ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
2.クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
3.鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればOK。
みたいな流れではだめ?
ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。
ソースや仕様を嫁と言われそうですが...
920:名無しさん@お腹いっぱい。
06/03/19 08:09:21
ソースや仕様を嫁
921:名無しさん@お腹いっぱい。
06/03/22 09:01:25
2GB以上のファイルをscpで転送する方法はないのでしょうか?
922:名無しさん@お腹いっぱい。
06/03/22 09:42:09
>>921
アップロード:
ssh remote 'cat > file' < file
ダウンロード:
ssh remote cat file > file
でいいのでは?
923:名無しさん@お腹いっぱい。
06/03/22 10:15:44
>>921
scp でできなかったっけ
924:名無しさん@お腹いっぱい。
06/03/22 13:01:12
2GB以上のファイルの扱いはOSに依存するから。
925:名無しさん@お腹いっぱい。
06/03/22 13:04:46
>>924
ファイルシステムじゃないの?
926:名無しさん@お腹いっぱい。
06/03/22 13:50:57
なんかその辺に依存するから。
927:名無しさん@お腹いっぱい。
06/03/22 15:25:51
「環境に依存する」でいいじゃんw
928:名無しさん@お腹いっぱい。
06/03/22 17:07:57
scpでFC5のDVDファイルを転送したところ、ちょうど2048kBで止まってしまいました。
結局wgetで取得したのですが。
929:名無しさん@お腹いっぱい。
06/03/22 17:10:01
>>928
たった2048kBで止まったのなら、ネットワークの断線とか、他の原因と思われ。
930:名無しさん@お腹いっぱい。
06/03/22 20:47:47
>>402
私もそれが発生してました。(Windows XP SP2+Athlon 64)
DEPの無視対象にWinSCP3.exeを入れたら直ったみたです。
931:名無しさん@お腹いっぱい。
06/03/22 20:52:26
>>921-928
いや、2Gってintがオーバーフローするのでそれをきちんと考慮してないソフトがへくる
というのは結構ある。 家にビデオサーバーを設定して2Gを超えるファイルが普通の
環境で色々やったらサーバ(Debian 3.0)、クライアント(Win)側で色々問題が
あった。 例えばapache 1.4が2G以上のファイルを上げることが出来ないとか
IE, Firefox内蔵のFTPクライアントがだめだとか。 (WinのコマンドラインのFTPは
okだった)。
だからこれはscpの実装の問題である可能性大。
932:名無しさん@お腹いっぱい。
06/03/22 20:56:15
ヒント: 2048kB = 2MB
933:931
06/03/22 22:57:08
>>932
>>921=928 だと思うけど最初に2GBって言ったから >>928の2048kbは2048MBの
間違いと思われ。
934:名無しさん@お腹いっぱい。
06/03/22 23:11:31
思い込みで答えちゃいけないよ。
935:923
06/03/23 03:01:42
>>931
実際試すとうまくいくんだよ。環境は Debian GNU/Linux 3.1, ext3fs
$ dd of=vip seek=8192 bs=1048576 count=0
読み込んだブロック数は 0+0
書き込んだブロック数は 0+0
0 bytes transferred in 0.000629 seconds (0 bytes/sec)
$ ls -l vip
-rw-r--r-- 1 hoge hoge 8589934592 2006-03-23 02:52 vip
$ scp vip remote:/tmp
vip 100% 8192MB 26.7MB/s 05:07
$ ssh remote ls -l /tmp/vip
-rw-r--r-- 1 hoge hoge 8589934592 Mar 23 02:57 /tmp/vip
936:931
06/03/23 04:46:31
>>935
いや、だからそれはちゃんと対処したバージョンのscpだからであり、>>921が使ったバージョンが対処してない
実装なんじゃない? statの代わりにstat64を使うとか、2G以上のファイルを扱うにはわざわざしなければ
ならないことがあるんだから。