05/10/23 16:15:40
>>648
/bin や /usr や /usr/local も見えなくなるけどいいのかね?
651:名無しさん@お腹いっぱい。
05/10/23 16:18:28
Webページのみ利用のユーザーにFTPの代わりに提供したいのです。
652:名無しさん@お腹いっぱい。
05/10/23 16:20:37
chroot(概念を理解)とかjail(chroot環境構築のツール)とかを
調べてください。
653:名無しさん@お腹いっぱい。
05/10/25 11:25:27
.cn .kr .hk に属するIPを教えて
654:名無しさん@お腹いっぱい。
05/10/25 12:00:17
>>653
つ URLリンク(www.blackholes.us)
週一くらいで更新されているからrsyncでも使って自動updateのshellでも書けばいい
655:名無しさん@お腹いっぱい。
05/10/26 21:00:30
putty に関する質問はここでよろしいでしょうか?
656:名無しさん@お腹いっぱい。
05/10/26 21:31:39
>>655
Putty その2
スレリンク(unix板)
657:名無しさん@お腹いっぱい。
05/10/26 22:41:14
>>656
過疎ぎみのようですがそっちいってきます.
658:名無しさん@お腹いっぱい
05/10/26 23:27:57
SSHの通信内容を復号化してそのまま読みたいんですが、どうやったらできますかね?
デバッグモードとかじゃなくて、ペイロードを直接そのまま見たいんです。
659:名無しさん@お腹いっぱい。
05/10/27 00:18:49
暗号鍵を手に入れて復号。
660:658
05/10/27 01:22:02
>>659
そういうことではなくて、通信内容を表示してくれる
sshクライアント等が欲しいんです。
どういう風に通信が行われているかはRFC読んでも
いまいち実感がわかないので、実際に見てみようかなと。
661:ヽ(´ー`)ノ ◆.ogCuANUcE
05/10/27 01:46:10
言ってる意味が良く分からんけど、ethereal とかか?
662:名無しさん@お腹いっぱい。
05/10/27 02:52:44
>>660
NULL 暗号化を実装したサーバとクライアントを用意してがんばる。
663:658
05/10/27 05:11:59
説明が足りませんでしたね。
実は今SSHの通信部分を実装してるんです。
実際のパケットも観察してみようと思ったんですが、当然ながらそのままでは暗号化で読めません。
で、どうにかして見られないかなと思ったわけです。
>>662
なるほど。ただちょっと面倒ですな…
664:名無しさん@お腹いっぱい。
05/10/27 12:39:51
opensslの関数をフックして通信内容をdumpするsoを作って、LD_PRELOADで読み込ませる。(socksみたいな感じで)
665:名無しさん@お腹いっぱい。
05/10/27 12:40:45
いま実装中ってことならおそらく ver.2 なんだろうけど、ver.1 でもいいんな
ら dsniff の sshmitm を debug mode で間に噛ませてやれば復号した通信内容
を dump してくれた筈。
666:名無しさん@お腹いっぱい。
05/10/27 12:45:43
>>648
scpやsftpだけで良ければこれで簡単に実装できます。
つ rssh URLリンク(www.sdri.co.jp)
shellが無いとダメ?
667:名無しさん@お腹いっぱい。
05/10/27 18:41:51
接続先サーバのホストキーが変わったときに
~/.ssh/known_hosts を新しいので上書きさせる方法ってない?
サーバ構築中で再インストールしたときとかで
攻撃によるものじゃないのが明らかなときに
いちいちエディタで開いて削るのはめんどくさい。
HashKnownHosts してるとどれを削ればいいのかわからないし。
668:名無しさん@お腹いっぱい。
05/10/27 22:24:55
>>667
構築中のサーバ専用の known_hosts ファイルを UserKnownHostsFile で指定
すればいいんじゃない? 変わったら rm すればいい
669:名無しさん@お腹いっぱい。
05/10/28 00:43:55
>>668
あー、それいいね。
やってみる。
どうもー。
670:名無しさん@お腹いっぱい。
05/10/28 00:58:57
構築中でもなんにしろ、known_hosts を勝手に上書きするのは
よろしくないと思うけど
671:名無しさん@お腹いっぱい。
05/10/28 09:32:53
>>620
# route add -host IPアドレス 127.1 -blackhole
672:名無しさん@お腹いっぱい。
05/11/04 14:01:26
age
673:名無しさん@お腹いっぱい。
05/11/05 02:05:57
NTT-ADSLモデムNVの内側にあるマシン A を踏み台にして、
支店βのLANに属しているマシン B (アドレスはローカル) と、
支店γのLANに属しているマシン C (アドレスはローカル) で、
ファイルのやりとりを画策してます。
B から A に ssh でログインできることと、
C から A に ssh でログインできることは確認済です。
C -> A -> B とすれば、C から B が見えると思い、次のコマンドを実行しましたが、
connection refused でした。
B$ ssh -R 10022:localhost:22 A
C$ ssh -L 10023:A:10022 A
C$ ssh -p 10023 localhost
3番目のコマンドを実行すると、
channel 2: open failed: connect failed: Connection refused
となります。
計算機 A の sshd_config では GatewayPorts yes としています。
不思議なのは、NTT-ADSLモデムの内側にある マシン A を
物理的に違うところに運んで grobal address を持つマシンにすると、
うまくいくことです。
なぜなんでしょう?
674:名無しさん@お腹いっぱい。
05/11/05 02:41:34
673 です。追記です。
モデムの静的IPマスカレードで、22,10000-番ポートをマシンA に振ってあります。
マシンA の sshd は OpenSSH_3.8.1p1 でっす。
675:名無しさん@お腹いっぱい。
05/11/05 07:57:30
C からA にssh でログインして、
A$ ssh -p 10022 localhost
としてB にログインできるなら
C <-> A の経路が怪しい、ということになりますがどうでしょ。
676:名無しさん@お腹いっぱい。
05/11/05 16:50:07
>>673-674
C$ ssh -L 10023:A:10022 A
これがまずいのだと思います。
マシンAから見ると「グローバルアドレスを持っているモデム」の10022/tcpに転送するということです。
そのモデムは内側からモデムの持っているグローバルアドレスでアクセスされた場合は、
静的IPマスカレードで内側に転送したりしないのでしょう。
C$ ssh -L 10023:localhost:10022 A
とすればうまくいくと思います。
また
B$ ssh -R 10022:localhost:22 A
のように、ループバックアドレスのみをlistenする場合は、GatewayPortsオプションで許可しなくてもいいみたいです。
URLリンク(www.unixuser.org)
677:673
05/11/05 19:51:14
673です。大当たりでした。本当にありがとうございます。
>>675
その通りでした。で、
>>676
にて頂戴した方法で、期待通りの動作を確認することができました。
本当にありがとうございます。
C$ ssh -L 10023:localhost:10022 A
とすると、ここでの「localhost」は「A自身」なのでうまくいくと。
なるほど。この発想はまったくありませんでした。
また、ダメな例 (モデムの10022/tcpに転送) の解説も
私には非常に勉強になるものでした。完璧に誤解していました。
加えて、GatewayPorts no でもうまくいくことも確認できました。
はあー。ようやく寝られます。3日間悩みまくりました。
ありがとうございます。
あと、ついでに、嫁の妊娠が発覚しました。
今日は良いことだらけです。
678:名無しさん@お腹いっぱい。
05/11/05 20:40:57 BE:4356285-###
>>677
login出来たのですね。おめでとう♪
彼女にloginできません
スレリンク(unix板)l50
にもご報告を(w
679:shin
05/11/11 01:01:35
OpenSSH3.1で、無限ループ(セル)して20秒ごとに、接続が切れたら再接続を行います。
しかし、約2時間ほどになるとセルもSSHのプロセスも自動で切れてしまいます。
どなたか、その原因、わかれば教えてください。
(SSHクライアント、Linux、MQのメッセージやり取り)。
よろしくお願いします。
680:名無しさん@お腹いっぱい。
05/11/11 01:03:06
接続が切れたら再接続できてないから
自動で切れるんじゃないの。
681:shin
05/11/11 01:09:34
>接続が切れたら再接続できてないから
>自動で切れるんじゃないの。
ありがとうございます。
しかし、プロセスまで切れるのはなぜですか?
大体、2時間ほどで起こるのは、どこかに設定が問題ありますか?
この前は3日間はもんだいなかったんですが、
このSSHクライアントに接続したマシンを変えたら、起こりました。
682:名無しさん@お腹いっぱい。
05/11/11 01:15:18
セルって何?
683:shin
05/11/11 01:20:35
>セルって何?
たとえば、conn.sh です。
684:名無しさん@お腹いっぱい。
05/11/11 01:22:21
なにそれ?
685:名無しさん@お腹いっぱい。
05/11/11 01:23:32
ごめんなさい、いま手元にはソースはないですが、
while
if ***
ssh ***
else
sleep 20
end
の程度です。
686:名無しさん@お腹いっぱい。
05/11/11 01:25:55
もしかしてシェルスクリプトのこと「セル」って言ってんの?
687:名無しさん@お腹いっぱい。
05/11/11 01:28:25
>もしかしてシェルスクリプトのこと「セル」って言ってんの?
ごめんなさい。そうです。
起動したconnプロセスも、SSHプロセスも同時に切れるということです。
シェルスクリプトの内容は無限ループなのに…
688:名無しさん@お腹いっぱい。
05/11/11 01:44:57
シェルスクリプトが間違ってんじゃないの。
689:名無しさん@お腹いっぱい。
05/11/11 01:51:36
>シェルスクリプトが間違ってんじゃないの。
間違いはないはずです。間違ったら、はじめに起動できないと思います。
690:名無しさん@お腹いっぱい。
05/11/11 01:54:54
遅くまで、ありがとうございました。
691:名無しさん@お腹いっぱい。
05/11/11 03:11:24
セル!
セル!
セル!
692:名無しさん@お腹いっぱい。
05/11/11 10:29:49
天下一武道会の時間ですか?
693:名無しさん@お腹いっぱい。
05/11/11 11:17:40
>>689
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
間違いはないはずです。~~~ったら、~~~と思います。
初心者がこう言う時、バグは大抵この場所に潜んでいる。
694:名無しさん@お腹いっぱい。
05/11/11 11:50:35
昨日は遅くまでありがとうございました。
以下が実際シェルスクリプトのソースです。
よろしくお願いします。
#!/bin/bash
LOG=/home/xxxx/logs/ssh.log
LANG=
SSHCMD="ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482"
while true
do
isAlive=`ps -auxwww | grep -i "$SSHCMD" | grep -v grep | wc -l`
if [ ${isAlive} -eq 0 ]; then
echo ${isAlive} 1>> ${LOG}
date 1>> ${LOG}
ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482 -R 3482:localhost:1414
xxx.xxx.xx.xxx /usr/bin/sleep 1000 1>> ${LOG} 2>>&1 &
fi
sleep 20
done
695:名無しさん@お腹いっぱい。
05/11/11 11:58:02
何がやりたいのかさっぱり分からんのだが(笑)。
696:名無しさん@お腹いっぱい。
05/11/11 12:03:01
これは、SSHクライアントからSSHサーバーに接続するシェルスクリプトのソースです。
20秒ごとに、SSHプロセスを検索して、もし、SSHプロセスがなかったら、
もう一回、SSHの接続を行います。
697:名無しさん@お腹いっぱい。
05/11/11 12:04:35
ちなみにSSHをずっと、つながっている状態にしたいということです。
698:名無しさん@お腹いっぱい。
05/11/11 12:05:36
おれには分かるぞ。
OSが分からんが、シェル自体をnohup付で起動してやらないと駄目とかない?
というか、cronでいいじゃん、という気もするが。
プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。
699:名無しさん@お腹いっぱい。
05/11/11 12:15:14
OSはRedHatLinuxES2.1です。
nohup付、cronは使わない形にしたいです。nohupはうまくいかなかったです。
>プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。
すいませんが、こちをちょっと、よくわからないですが、その方法を教えてもらいますか?
よろしくお願いします。
700:名無しさん@お腹いっぱい。
05/11/11 12:19:12
あなた、外国の方ですか?
701:名無しさん@お腹いっぱい。
05/11/11 12:19:51
そうですが、日本で仕事をしてます。
702:名無しさん@お腹いっぱい。
05/11/11 12:21:55
sshで繋がってる状態にしたいけど、
別のセッションで断続的になっても構わないのね。
ちょっとかわった要望。
703:名無しさん@お腹いっぱい。
05/11/11 12:45:02
>>702
意味が分からないんだが、sleep 1000でも、1000秒で切れるわけ
じゃないよ。ポートフォワーディング中はフォワードしてる
全セッションが終了するまでsshは待つけど、それは分かってて言ってる?
704:名無しさん@お腹いっぱい。
05/11/11 12:46:37
たぶんautosshでも入れたら解決する問題のような
705:名無しさん@お腹いっぱい。
05/11/11 13:06:24
>たぶんautosshでも入れたら解決する問題のような
autosshの実現方法は、どういうふうしたら、よいでしょうか?
その方法、よろしくお願いします。
706:名無しさん@お腹いっぱい。
05/11/11 13:18:40
ホームページはここ
URLリンク(www.harding.motd.ca)
ここにRHEL2用のパッケージがある。
URLリンク(dag.wieers.com)
707:名無しさん@お腹いっぱい。
05/11/11 14:11:25
>>706
ありがとうございます。早速、autosshを試してみます。
一応、この検証としてはSSHサーバとSSHクライアントは何も変わらなくて
SSHクライアントに接続しているテストマシン(三日間発生してない)から
別の環境のマシン(2時間ほどで発生しますが、データの送受信量によって
発生頻度が変わります。)に変えたらこの問題が発生してます。
708:名無しさん@お腹いっぱい。
05/11/11 14:17:02
>>694
ps で調べるなんてムダな気がするのは俺だけ?
これだけでええやん。
#!/bin/bash
while true
do
ssh (オプションなどは省略)
sleep 20
done
709:名無しさん@お腹いっぱい。
05/11/11 14:27:10
>>708
これは、多分、無理だと思います。
SSHサーバー側で、もんく、ありましたので....
710:名無しさん@お腹いっぱい。
05/11/11 14:29:37
>>709
なんで無理なん?
711:名無しさん@お腹いっぱい。
05/11/11 14:39:29
>>710
そうです。始めはこれと似た方法でしましたが、SSHサーバー側で
なぜ、毎回、起動するのはいやだということでしたので....
712:名無しさん@お腹いっぱい。
05/11/11 14:43:31
>>711
言ってることがよくわからないんだが。
>>708 で ssh をフォアグラウンドで上げれば
>>694 と変わりないじゃん。
713:名無しさん@お腹いっぱい。
05/11/11 14:54:02
ps コマンドで生死の検査をする方がずっと危険度が高い気がするのだが。
その「SSHサーバ運用者」がアレな気も。
714:名無しさん@お腹いっぱい。
05/11/11 14:54:50
>>712
>>>711
>言ってることがよくわからないんだが。
こちは、SSHサーバは別の会社で管理するということです。
>>708 で ssh をフォアグラウンドで上げれば
たれかが、CTRL+Cかを押すと切れるはずですね。
>>694 と変わりないじゃん。
プロセス検索で、あったら、とりあえず再起動するところはとおらないはずです。
715:名無しさん@お腹いっぱい。
05/11/11 14:58:46
だめだ、話が通じない。
ここで聞くより
自分の母語のコミュニティで聞いた方がいいんじゃないか?
716:708
05/11/11 15:03:07
>>714
だから、 >>708 をバックグラウンドで動かせばいいじゃん。
と思ったが、 autossh でも使った方がいろいろ面倒が無くていいか。
717:名無しさん@お腹いっぱい。
05/11/11 15:15:33
>>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
718:名無しさん@お腹いっぱい。
05/11/11 15:20:51
>>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
719:名無しさん@お腹いっぱい。
05/11/11 21:04:28
死んでたら自動的に立ち上げたいの?
つ daemontools
720:名無しさん@お腹いっぱい。
05/11/11 21:08:45
>>719
絶対出てくると思った。
俺は我慢してたが。
721:719
05/11/11 21:25:46
>>720
ごめんねえ
「そろそろ来るころだと思ったよ」ってやつ?
我慢すると体によくないよ。
722:名無しさん@お腹いっぱい。
05/11/11 22:01:17
inittab に書いとけ。
723:名無しさん@お腹いっぱい。
05/11/13 10:57:14
漏れ実際に daemontools 使って ControlMaster 立ち上げてまふ。
けど、たまにソケットファイルのロックにひっかかって死んでることが...
724:名無しさん@お腹いっぱい。
05/11/13 18:10:13
何がしたいか、よくわからんが、-Nでいいんじゃねーの?
725:名無しさん@お腹いっぱい。
05/11/13 19:44:26
「ソケットファイルのロック」って何?
726:名無しさん@お腹いっぱい。
05/11/13 20:59:06
>>725
プロセスが死んだ時に ControlPath に書いたソケットファイルが残っちゃうってはなし。
727:名無しさん@お腹いっぱい。
05/11/14 15:00:47
URLリンク(www.zelow.no)
ここのパッケージを使って
floppyfw で sshd を動かすところまではできたのですが,
パスワードなしでのログインができません.
クライアントの公開鍵をサーバの /root/.ssh/authorized_keys
に追加しているのですが, 鍵認証に失敗してパスワード認証しようとします.
パスワードなしでログインできるようにするにはどうすればいいでしょうか?
ログは以下のようになっています.
クライアント側ログ
$ ssh -v root@192.168.20.19
[snip]
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /home/user/.ssh/id_dsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
root@192.168.20.19's password:
728:名無しさん@お腹いっぱい。
05/11/14 15:01:34
>>727
サーバ側ログ
# sshd -d
[snip]
debug1: userauth-request for user root service ssh-connection method none
debug1: attempt 0 failures 0
Failed none for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 2 failures 2
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method keyboard-interactive
debug1: attempt 3 failures 3
debug1: keyboard-interactive language devs
Failed keyboard-interactive for ROOT from 192,168,20,1 port 3970 ssh2
729:名無しさん@お腹いっぱい。
05/11/14 15:52:59
~>>726
皆さんの協力、ありがとうございます。
この起動セールスクリプトは問題ないです。
この問題は急ぎやらなければできないので、結局はCronTabに登録して、1分ごと
にチェックするようにして、解決しました。今のところ、元は30分~4時間で
一回、この起動セールスクリプトが切れたんですが、10時間ほどだったんですが
発生してなかったです。よい解決方法とは、なりませんが......
730:名無しさん@お腹いっぱい。
05/11/20 17:35:33
どこで聞くべきかよくわからないので、ここで質問させてください。
Vine3.2で sftp サーバーを構築しています。
hpn-ssh のパッチを当てると高速化が可能であると聞いて、以下の手順で導入してみました。
1) もともと入っていた ssh は apt-get remove ssh で削除
2) openssh-4.2p1.tar.gz をDLして解凍
3) hpn-ssh-4.2p1-hpn11.diff のパッチを当てる
4) $ ./configure --prefix=/opt --sysconfdir=/opt/etc/ssh
5) $ make
6) # make install
7) /etc/rc.d/init.d/sshd の中の sshd 等の場所を prefix で指定したものに書き換え
8) 再起動
これでとりあえず接続は出来るようになったのですが、いかんせん速度が遅いまま
なのです。入れ替える前は 200-300kB/s だったのですが、入れ替え後もほとんど
同じ数値です。hpn-ssh を有効にするには何かオプションの指定のようなことが必要
なのでしょうか? それとも PentiumIII 1GHz ではこのくらいの速度が限界なのでしょ
うか? ちなみに ftp 接続では 8-10MB/s 程度の速度が出ています。
731:名無しさん@お腹いっぱい。
05/11/23 12:30:06
>何かオプションの指定のようなことが必要
知らないが、パッチを嫁ばわかるだろ。
732:名無しさん@お腹いっぱい。
05/11/24 13:22:03
ssh の Remote Forwarding が下のような警告で失敗するのですが,
1023以下のポートの転送はできないのでしょうか?
$ ssh -N -v -R80:localhost:80 remote
...
debug1: Remote connections from LOCALHOST:80 forwarded to local address localhost:80
debug1: Entering interactive session.
debug1: Remote: Server has disabled port forwarding.
debug1: remote forward failure for: listen 80, connect localhost:80
Warning: remote port forwarding failed for listen port 80
733:名無しさん@お腹いっぱい。
05/11/24 13:30:42
特権ポートだけど root ならできるんじゃないの?
734:名無しさん@お腹いっぱい。
05/11/24 16:36:39
>>733
root でも Remote Forwarding で特権ポートは使えませんでした.
サーバ側で root 権限で Local Forwarding ならいけるようです.
remote# ssh -N -v -L80:localhost:2080 localhost
client$ ssh -N -v -R2080:localhost:80 remote
のように二つ動かすしかないんでしょうか.
板違いになりますが, こういうことは iptables で可能なんでしょうか?
735:名無しさん@お腹いっぱい。
05/11/24 16:48:09
iptablesなら可能だね
736:名無しさん@お腹いっぱい。
05/11/24 17:03:37
>>734
ちゃんとサーバー側の root で接続してる?
$ ssh -N -v -R80:localhost:80 -l root remote
737:名無しさん@お腹いっぱい。
05/11/24 20:03:54
>>735,736
すいません. なんかボケてたみたいです.
もう一度確認したら root なら Remote Forwarding でできました.
でもこれでは全部 localhost からのアクセスになってしまって
.htaccess でアクセス制限できないんですね.
ディレクトリごとの制御とかはできなくなりますが,
サーバ側の iptables を併用するしかなさそうです.
738:名無しさん@お腹いっぱい。
05/11/25 15:08:30
いまがver3を使っているのですが、問題ありませんか?
739:名無しさん@お腹いっぱい。
05/11/25 15:35:51
自分で判断できないのは問題ですね。
740:名無しさん@お腹いっぱい。
05/11/30 00:27:37
自由に使用できるサーバを、
友人に公開しようと思っているのですが、
IP アドレスが一つしかありません。
WEB サーバの方は、delegate を使用してなんとかなるのですが、
SSH も delegate を使用できますでしょうか。
ちなみに、JAIL 環境でプライベート IP が振ってあります。
あと、DNS は書いてあります。
ポートをずらして公開するのが手っ取り早いでしょうか。
MOUNT="/* www.example.com1* vhost=-www.example.com1" \
MOUNT="/* www.example.com2/* vhost=-www.example.com2" \
MOUNT="/* www.example.com3/* vhost=-www.example.com3" \
741:名無しさん@お腹いっぱい。
05/11/30 00:31:58
友人の発信元IPアドレスを見てなんとかする方法もあるけどポートずらすのがいいと思う。
742:名無しさん@お腹いっぱい。
05/11/30 00:46:57
22 番を外部公開してても、
暗号鍵認証でのみ許可してれば
セキュリティホール以外で進入されることは
ないと考えてよいですか?
743:名無しさん@お腹いっぱい。
05/11/30 01:01:26
>>742
いいえ
744:名無しさん@お腹いっぱい。
05/11/30 01:43:24
>>742
公開鍵ではなくて?
745:名無しさん@お腹いっぱい。
05/11/30 02:05:14
>>744
そんなことは知っています。
どなたかわかる方、お願いしますm(_ _)m
746:名無しさん@お腹いっぱい。
05/11/30 02:10:20
>>742
絶対はないです。
747:名無しさん@お腹いっぱい。
05/11/30 03:17:18
セキュリティに関して「安全ですか?」と聞けば答は常に「いいえ」。
その質問は一番大きなセキュリティホールが質問者の頭に開いている事を示しているから。
そして>>745のレスはおまえが人間のクズである事を示しているので、
もうマトモな解答は付かないだろう。
748:名無しさん@お腹いっぱい。
05/11/30 03:28:59
LANケーブルをひっこ抜きました。
無線LANもserialも繋がってません。
これで絶対安全ですか?
749:名無しさん@お腹いっぱい。
05/11/30 06:25:14
コンソールがのこっとる
750:名無しさん@お腹いっぱい。
05/11/30 08:10:41
テンペストで画面もまる見え
751:名無しさん@お腹いっぱい。
05/11/30 08:23:23
引っこ抜くなら電源ケーブルだな
752:名無しさん@お腹いっぱい。
05/11/30 10:06:41
透視でHDDの中身もまる見え
753:名無しさん@お腹いっぱい。
05/11/30 11:55:09
円盤引っこ抜け
754:名無しさん@お腹いっぱい。
05/11/30 11:57:20
昨日までログインできてたんだけど、今日になってできないようになった。
ssh -vvvvv me@myhost すると、id_rsa読む所で、
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
こんなん出るんだけど、これって何が起こったの?
755:742
05/11/30 13:22:47
>>743,744,746,747
どうもありがとうございました。
ソーシャルハッキングなどを想定してるので「いいえ」ということでしょうか。
少なくともパスワード総当りでは通れないですよね。
>>745 は自分ではないのですが、
不愉快な思いをさせて失礼しました。
756:名無しさん@お腹いっぱい。
05/11/30 13:57:06
>>754
> ssh -vvvvv me@myhost すると、
v は三つまで。
> こんなん出るんだけど、これって何が起こったの?
その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
てるとこなんで、ログインできない理由とは無関係。
757:754
05/11/30 15:12:39
> その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
それは読めば判るんだけど、これって昨日まで使ってたRSA 鍵なんだけど。
ログインできない最後の理由は判っていて、RSA鍵が読めない為に鍵認証
できなくて、パスワード認証は禁止してるからなんだけど。
どうしてRSA鍵が読めないなんて言い出すのかが判らんのよ。
パスワード認証有効にする訳にもいかんし、ssh-keygen -t rsa で鍵作りなおしても
やっぱり読めないとぬかしやがるし。
パーミッションも確認したけど、.ssh/は700で .ssh/id_rsa も600になっとる。
ワケワカラン。
758:名無しさん@お腹いっぱい。
05/11/30 15:15:08
>>757
サーバ側の設定が変わったってことはないの?
759:754
05/11/30 15:45:08
>>758
昨日はssh関係いじった覚えはないんだけど。
そもそも、鍵が読めないのとサーバの設定になんか関係あるの?
760:名無しさん@お腹いっぱい。
05/11/30 15:47:42
>>754
サーバ側でログ確認した方がいいなじゃない?
それか -d とか。
761:名無しさん@お腹いっぱい。
05/11/30 16:52:40
>>754
例えば、Protocol 2 になると rsa1 が使えなくなったりするわけですよ。
サーバ側の管理を >>754 がやってるかどうかも俺らは聞いてないし、
適切にアドバイスできるとでも思ってるんか?
「ログ見ろ」としか言えねぇよ。
762:名無しさん@お腹いっぱい。
05/11/30 16:57:45
strace使うとかね。
763:名無しさん@お腹いっぱい。
05/12/08 00:44:53
sshでリモートログインした時に
~/.ssh/rc
から
exec zsh
で zsh を起動させたいんだけど起動しない。
sh ~/.ssh/rc
としてやると普通に起動するんだけど…。
もしかしてこれって仕様?
764:名無しさん@お腹いっぱい。
05/12/08 01:34:49
>>763
sshdからpopen(3)されるだけなので対話的プログラムは実行できない。
765:名無しさん@お腹いっぱい。
05/12/10 02:08:14
NAT 配下のマシン(A)にアクセスさせたく、グローバルIPをもっている
マシン(B) に対して
ssh -R 8888:localhost:22 hostB
とやりました。この時、hostB にログインして ssh -p 8888 localhost
をすると hostA に接続できるのですが、この hostA, hostB とは関係のない
hostC から ssh -p 8888 hostB しても hostA には接続できません。
これを実現させるのにはどのような設定が必要でしょうか?
766:名無しさん@お腹いっぱい。
05/12/10 02:43:12
>>765
sshd_configのGatewayPorts
767:名無しさん@お腹いっぱい。
05/12/10 09:21:21
>763
>It must not produce any output on stdout; stderr must be used instead.
とか書いてあるし、~/.ssh/rc でやるのは無理があるんじゃない?
ログインシェルの初期設定ファイルで環境変数を見て SSH_* が設定されていたら zsh にとばすとか。
っていうか ssh -t example.com zsh だとあかんの?
768:名無しさん@お腹いっぱい。
05/12/19 07:47:20
すみません
sshクライアントからviを起動すると未確認のエスケープシーケンスがある。
というエラーが出てしまい、ファイルの編集ができません。
sshからテキストファイルを編集する何か良い方法はないものでしょうか?
769:名無しさん@お腹いっぱい。
05/12/19 08:00:06
ターミナルを変更したら、エラーが無くなりました。吊ってきますorz
770:名無しさん@お腹いっぱい。
06/01/13 16:46:47
保守
771:名無しさん@お腹いっぱい。
06/01/25 15:50:08
Debian sargeでOpenSSH 3.8.1p1, OpenSSL 0.9.7eを使ってsshサーバを立てようとしています。
あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?
772:名無しさん@お腹いっぱい。
06/01/25 16:22:10
キター ヽ(゚∀゚)ノ
CVE-2006-0225 URLリンク(www.cve.mitre.org)
URLリンク(www.st.ryukoku.ac.jp)
tun(4)のサポートなんて後でイイから、さっさといろんなバグ潰した4.3を
出せってば :-)
1週間後に出すぞってメールで流してから何週間経っているんだと小一時間(ry
773:名無しさん@お腹いっぱい。
06/01/25 22:01:50
>772
scp 'foo:bar*' .
とか便利に使ってたんだが、バグだったのか…
774:名無しさん@お腹いっぱい。
06/01/25 23:58:08
>>773
そーいうことではなくて、記号や空白が名前の一部に入っているファイル
が問題視されているのですが。
たとえば
scp 'foo:bar*' .
であれば、foo というマシン上に
bar foo
bar*
といったファイルがあるとうまくいかないと。
そもそもが、
URLリンク(www.redhat.com)
には
local to local and remote to remote copy with scp
と書いてあるわけで、
foo という「リモートマシン」から「ローカル」
という時点で、既に今回の対象外な気がしますが。
775:名無しさん@お腹いっぱい。
06/01/26 01:45:25
>774
OpenSSH 情報の URLリンク(www.unixuser.org) に
> system()関数を用いているためにリモートホストでもシェルによるコマンドの解釈が行われます。
> このため適当に細工を施されたファイル名をコピーすると、リモートホストでユーザの権限でコマンドが
> 実行されます。
なんて書いてあって、リモート側でsystem()関数によるファイル名展開しないように
対策されるのかと勘違いしてました。
776:名無しさん@お腹いっぱい。
06/01/26 13:51:52
>>771
> あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
> 接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?
OpenSSH だと config file を変えて sshd 二つ上げとくしかないん
じゃなかろか。
ちなみに $sh.com 版なら HostSpecificConfigって機能を使うと sshd
一つで client host 毎に認証方式を変えることが可能。
777:名無しさん@お腹いっぱい。
06/01/26 15:53:09
そだねえ。片方をポート10022とかに上げといて、
ソースアドレスによってはそちらにリダイレクトするようにしたら、
sshdが2つなのをユーザに意識させずに切り替えることもできそう。
pfなら
rdr on fxp0 proto tcp from <allow_password_address> to self port ssh -> $myaddr port 10022
とかになるのかな。
778:771
06/01/26 20:41:25
>>776-777
前の代のサーバはssh.com版を使ってたみたいで、HostSpecificConfig
を使って上記のような設定をしていたので、なんとかOpenSSHで
出来ないものかな、と思いましたが、2つ立ち上げるしかないんですね。
ありがとうございました。
779:春山征吾 ◆unIxUSernc
06/01/26 21:15:43
>>775
間違った記述をしていたので修正しました。
780:773
06/01/28 04:18:01
>774
問題の本質は
> シェルによるファイル名の解釈が2度おこなわれる
事なので、local-to-localやremote-to-remoteのコピーだけの問題じゃない気がしてきた。
remote-to-local、local-to-remote でも、localでのシェルによる解釈、
remoteでのscp起動の時にもシェルを経由するわけだし。
その意味で、OpenSSH 情報の元の記述は的外れでなかった気がしてきた。
なわけで、今回の修正だけではまずいんじゃないかなあ。
781:春山征吾 ◆unIxUSernc
06/01/28 09:07:30
>>780
パッチをみたところ、local-to-localとremote-to-remoteでの処理での
system()が置き換えられていました。
scp.cのそれ以外の部分ではsystem()は使われていません。
OpenSSH情報の記述はさらに直します。
782:773
06/01/28 21:06:24
>781
system()を使ってなくてもやばいんじゃないかって事です。
783:春山征吾 ◆unIxUSernc
06/01/29 01:24:30
ためしてみたところ、
% scp remote:\;/usr/bin/yes .
とすると
remoteで/usr/bin/yes が起動しました。
784:春山征吾 ◆unIxUSernc
06/01/29 01:33:08
% scp remote:\;/bin/sleep\ 1000 .
なんてのもいけますね。
785:春山征吾 ◆unIxUSernc
06/01/29 01:40:59
local-to-remoteでも
% scp foo remote:.\;/bin/sleep\ 1000
としてコマンドを実行できました。
local-to-localやremote-to-remoteと同様の問題があると考えていいように思えます。
明日朝から用事があるので一旦終了します。
786:春山征吾 ◆unIxUSernc
06/01/29 17:22:47
rsyncでも
% rsync foo remote:.\;sleep\ 1000
や
% rsync remote:foo\;sleep\ 1000 .
でremoteでのコマンド実行ができました。
ファイル転送においてもリモートでコマンドを実行する枠組を利用している以上
利用者が気をつけるしかないかもしれませんね。
787:名無しさん@お腹いっぱい。
06/01/29 17:55:02
sshdはコマンドを実行するときsh -cで実行しているけど、shを使
わずに直接実行してほしい。shを使いたかったら明示的に書けばい
いだけ。
参考
スレリンク(unix板:984番)
788:773
06/01/30 01:08:35
OpenSSH情報では
> local-to-localやremote-to-remoteとは異なり実際のファイルのコピーによって
> コマンドが実行されるわけではありません。
と修正されてたけど、
% ls
remote:;/usr/bin/yes
% scp * foo
とか。
% ls
remote:*
これも意図しないファイルをコピーされてしまうような。
OpenSSH FAQ 2.13とか、ほっといてはいけなかったのかな。
>787
確かにその通りだと思うんだが、変更したらSSHのRFCと矛盾しないかな?
789:名無しさん@お腹いっぱい。
06/01/30 01:35:38
>>787
参考が読めない
おれにも●売ってくれよ。10円で。
790:名無しさん@お腹いっぱい。
06/01/30 01:37:01
>scp 'foo:bar*' .
は今後使えなくなるの?
791:名無しさん@お腹いっぱい。
06/01/30 02:20:09
>>788
> % ls
> remote:;/usr/bin/yes
これは無理w
> % ls
> remote:*
これは仕様上仕方ないんじゃないか。
$ scp * .
ssh: remote: Name or service not known
792:名無しさん@お腹いっぱい。
06/01/30 02:33:14
>>789
984 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2006/01/20(金) 22:59:14
スレ違いだが、
sshは引数をスペースを間に入れて結合した文字列をsshdに送る。
sshdは
argv[0] = shell
argv[1] = "-c"
argv[2] = 送られた文字列
のように実行する。
なので'1 2 3'というファイルを指定するためには
ssh localhost touch "'1 2 3'"
のように''をつける必要がある。
シェルを経由して実行する場合は引数(の数と内容)を保ったまま渡
すのは無理なのかもしれんが。
793:773
06/01/30 02:35:42
>791
確かにこのままだと駄目だった。
が、path通っているのであれば、こっち
> % ls
> remote:;yes
だったら。
794:春山征吾 ◆unIxUSernc
06/01/30 09:14:19
>>793
% ls
remote:;yes
% scp * foo
でremoteでyesが実行されますね。
OpenSSH情報の記述を訂正します。
795:名無しさん@お腹いっぱい。
06/01/30 10:32:33
>>794
> % scp * foo
hostname:pathname の形式で指定する以上、たぶんどうしようもない。
scp ./* foo:bar/
なら問題ない。
796:773
06/01/31 01:22:49
>795
リモートでコマンド実行の方は危険な記号をエスケープするなり
して対処するのかなあ。
で、hostname:pathname の hostname: の部分を処理する前に、
hostname:pathname がファイルとして存在しているか確認して、
存在していた場合、ユーザーに確認 or エラー吐いて失敗とか。
# -B オプションとか付いてたら確認せず実行とか。
とにかく、意図したファイルのコピーが失敗するだけならともかく、
意図しないファイルのコピーが実行されてしまうのは避けた方が無難だと
思う。
797:773
06/01/31 01:37:42
>791
>> % ls
>> remote:;/usr/bin/yes
>これは無理w
こんなの思い付いた。
% echo */*/*/*
remote:;/usr/bin/yes
798:名無しさん@お腹いっぱい。
06/02/01 17:51:27
PuTTYgen使って公開鍵作るとき[Public key for pasting into OpenSSH authorized_keys2 file]欄の
文字列をコピーしてメモ帳に貼り付ける、と紹介してるサイトがあるけど
【Save Public key】ボタンを押して保存じゃ駄目ですか?
わざわざ面倒なことする理由って何ですか?
799:名無しさん@お腹いっぱい。
06/02/01 17:58:44
ボタンが無い時代に書かれた記事の孫引きだからだろ
800:名無しさん@お腹いっぱい。
06/02/01 19:57:54
>>798
形式が違う。
801:名無しさん@お腹いっぱい。
06/02/01 23:41:18
OpenSSH 4.3/4.3p1 リリース
802:名無しさん@お腹いっぱい。
06/02/02 01:48:07
>798
保存した物はssh-keygen -X -fで変換しないと~/.ssh/authorized_keysの形式に成らないよね
803:798
06/02/02 02:03:23
>>799
自分もそうじゃないかと思いました。
ボタンがあるのにコピペするのは昔の名残なのかと。
しかしどうしても気になり、質問してしまいました。
>>800、>>802
!!、そういうことなんですか!ありがとうございます!!
モヤモヤが晴れました。御三方ありがとうございました。!
804:名無しさん@お腹いっぱい。
06/02/02 06:05:35
>>801
4.3(p1) キター ヽ(゚∀゚)ノ
805:春山征吾 ◆unIxUSernc
06/02/03 18:57:02
4.3p1はconfigureまわりに問題があるので、4.3p2がじきにでるようですね。
>>773- 以降で議論したscp の local-to-remote, remote-to-local のコマンド挿入の
問題について、セキュリティの問題として openssh@openssh.com に連絡しようと思います。
(なぜ openssh@openssh.com かは URLリンク(www.openssh.com) を参照)
反対意見がなければ、日曜か月曜に送ります。
メールの内容は長いので
URLリンク(unixuser.org)
におきました。
806:773
06/02/03 22:17:07
>788
> % ls
> remote:*
> これも意図しないファイルをコピーされてしまうような。
こっちの報告はどうしましょう?
>791
> これは仕様上仕方ないんじゃないか。
ってのも分かるのですが、
さらに
% ls
foo@remote:*
とかにして、
foo@remote% ls -l
rwsrwsrwx 1 foo foo 100 2006-02-03 03:55 bar
とかが
% scp * .
とかでコピーされちゃうとまずそうなんですけど。
実験したら -p オプション付けなくてもsuid bitコピーされちゃいましたし。
# umask の設定でsuid bit無効化出来ましたっけ?
後、
% ls
-p foo
とかで、予期しないオプションをremoteのscpに与える攻撃とか思い付いたのですが。
# 組み合わせや設定次第でやばげな事が出来そうです。
# remote:-Sfoo とかでremote-to-remoteになったときとか。
対策するなら796で書いた事ぐらい?
807:773
06/02/03 22:25:54
rsyncの開発元にも別に送った方がいいかもしれません。
# scp や rsync の実装の問題でしょうし。
808:春山征吾 ◆unIxUSernc
06/02/03 22:47:52
>>806-807 に対応して
URLリンク(unixuser.org)
を上書きしました。
・Subjectを scp/rsync Command Line Shell Command Injection in the case of local-to-remote and remote-to-local copies & scp/rsync user-unintended file copy with a malicious filename に。
・rsync-bugs@samba.orgにも送るという文章を追加
・次の文章を追加
In addition, This example (using a malicious filename)
----------
% ls
remote:*
% scp * .
(or rsync -e ssh * .)
----------
causes an user-unintended file copy.
809:春山征吾 ◆unIxUSernc
06/02/03 22:57:20
オプションを利用すると、
% ls
-S ls a
% scp * remote:
ls: No such file or directory
lost connection
とローカルホストでプログラムを実行させることもできますね。
(rsyncでも-e で同様のことができるでしょう)
送るまでにもっと例を追加します。
810:名無しさん@お腹いっぱい。
06/02/03 23:01:52
日本の恥だから止めんか!
811:名無しさん@お腹いっぱい。
06/02/03 23:11:11
春山さん乙
812:春山征吾 ◆unIxUSernc
06/02/03 23:16:03
>>809
% ls
-Sls a
% scp * remote:
ls: invalid line width: ardAgent no
lost connection
でした。
813:名無しさん@お腹いっぱい。
06/02/03 23:22:13
乙
814:名無しさん@お腹いっぱい。
06/02/03 23:27:22
そんなもの脆弱性でもなんでもないだろ。
頼むからやめてくれ。どうかしてるぞ。
815:名無しさん@お腹いっぱい。
06/02/03 23:28:11
どちらかというとシェルの問題でない?
816:名無しさん@お腹いっぱい。
06/02/03 23:37:00
バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
普通のバグリポートを送るだけで充分だ。
これはおかしな動きだと疑問に思ったら真っ先に本家のMLに聞いてみるべきなのに。
あんたこんな所にしか相談出来る相手が居ないのか?
ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
817:名無しさん@お腹いっぱい。
06/02/03 23:41:10
>ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
正直同感
818:春山征吾 ◆unIxUSernc
06/02/03 23:46:47
>>805 にて
>反対意見がなければ、日曜か月曜に送ります。
と書きましたので、送るのは中止します。
ここで相談しているのは、
773氏の寄与が大きいので了解を取るべきと考えたからです。
819:773
06/02/04 00:12:45
私自身はセキュリティの問題として送ってもらう事に賛成です。
自分自身でバグリポートをさっさと送らなかった事には謝罪します。
しかし、
>816
> バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
と言うのは疑問です。
元の CVE-2006-0225 が任意のコマンドを実行される脆弱性で修整されるべきなら、
今回の物もssh自身の問題だけではないかもしれませんが、任意のコマンドを
実行してしまうもので「脆弱性ではない」とは言い切れないと思います。
820:名無しさん@お腹いっぱい。
06/02/04 00:38:25
>>809
少なくとも、これに関しては scp には何の罪はない。
% touch -- -l
% ls *
これで ls -l が実行されるのは ls のせいではなくシェルのせいだ。
821:春山征吾 ◆unIxUSernc
06/02/04 00:57:26
>>820
そうですね。失礼しました。
822:名無しさん@お腹いっぱい。
06/02/04 03:42:17
なんかおもろい流れになっててワロスw
823:名無しさん@お腹いっぱい。
06/02/04 15:26:34
的はずれなことを言っているのかもしれませんが、ポートフォワードで
離れた場所のLAN内にあるsambaサーバもしくはWindowsの共有にアクセスすることはできますか?
824:名無しさん@お腹いっぱい。
06/02/04 15:30:09
ssh?
825:823
06/02/04 16:51:29
例えば、ここの場合、
URLリンク(www.gcd.org)
プロキシーサーバに接続することによって、LAN内のすべてのwwwサーバにアクセスできるようになりますが
これと似たことを、sambaでもできないかと考えているのですが。
826:名無しさん@お腹いっぱい。
06/02/04 21:32:09
難しい
827:名無しさん@お腹いっぱい。
06/02/05 00:34:30
>>823
つ [SoftEther改めPacketiX VPN]
828:名無しさん@お腹いっぱい。
06/02/05 01:35:04
>>823
SEはライセンスがアレなので・・・
つ [OpenVPN]
829:名無しさん@お腹いっぱい。
06/02/05 07:56:54
ポート番号を指定できないWindowsが恨めしいと思ったw
830:名無しさん@お腹いっぱい。
06/02/05 11:08:33
>>823
きわものが似合いそうな823に
つ[zebedee]
URLリンク(rogiken.org)
opensshってバインドするアドレスを指定できなかったんだよねぇ、たしか。
だから、いったん8139とかにバインドして、stoneでLoopbackアダプタに
バインドした気がする。
遠い昔のことでわすれた。。
831:名無しさん@お腹いっぱい。
06/02/06 10:17:17
>>823
望んでいるものかどうかわからないけど、
つ [ URLリンク(www.c3.club.kyutech.ac.jp) ]
832:名無しさん@お腹いっぱい。
06/02/06 16:58:10
>>823
445ポートでうまくいかない?
833:名無しさん@お腹いっぱい。
06/02/07 14:04:58
SoftEther系がなんも考えずにできて楽だな
無料じゃないのがやだけど
834:名無しさん@お腹いっぱい。
06/02/07 21:57:27
>>833
無料じゃないの?
835:名無しさん@お腹いっぱい。
06/02/08 01:09:06
>>834
個人かつ非営利目的な場合のみ無料。
836:名無しさん@お腹いっぱい。
06/02/08 01:45:58
SoftEtherは作者がkittyでさえなければ...
道具に罪はないとは言うけれど、セキュリティに関わるものだけにちょっと。
837:名無しさん@お腹いっぱい。
06/02/08 08:18:01
ライセンスの更新画面土井よ
838:名無しさん@お腹いっぱい。
06/02/08 15:45:08
SSHのスレで作者のキティ度を云々するのはいかがなものか?
839:名無しさん@お腹いっぱい
06/02/11 17:35:31
4.3p2キター
URLリンク(www.unixuser.org)
にも出てるよ。
さすが春山さん早いねぇ。
840:名無しさん@お腹いっぱい。
06/02/11 20:27:48
おいお前ら。FCの名作ソフト「いっき」のオンライン対戦するぞ!
↓
URLリンク(game.coden.ntt.com)
King of Wands
URLリンク(game.coden.ntt.com)
841:名無しさん@お腹いっぱい。
06/02/11 21:08:27
lastlog直った
842:名無しさん@お腹いっぱい。
06/02/15 23:49:32
W-ZERO3 + Pocket PuTTYで外部からSSH接続できるんだけど
困った事に受信側のPocket PuTTYで日本語が全部文字化けしちゃうす。
誰か対策できた人おる?
843:名無しさん@お腹いっぱい。
06/02/17 17:24:41
>>842
うーん
速攻で設定直したから うちでは問題ないなぁ
844:名無しさん@お腹いっぱい。
06/02/19 17:18:14
圧縮を指定して接続しようとすると、エラーが出てしまいます。
845:名無しさん@お腹いっぱい。
06/02/19 18:00:39
このスレにはエスパーはいませんので、そこんとこよろしくです。
846:名無しさん@お腹いっぱい。
06/02/22 11:32:13
現在の本スレ
Putty その2
スレリンク(unix板)l50
847:名無しさん@お腹いっぱい。
06/02/22 16:29:31
URLリンク(www.laksmido.com)
ここにあるとおりに設定してみたのですが、依然として、
どちらからログインする際にもパスフレーズを求められてしまいます。
考えられる原因としてはどのようなものがあるでしょうか?
848:名無しさん@お腹いっぱい。
06/02/22 16:33:08
>>847
これ、情報古いよ。
もっとまともなとこ読め。
849:848
06/02/22 17:41:14
ありがとうございます。
どのサイトに新しい情報が載っているでしょうか?もし教えていただければ幸いです。
850:名無しさん@お腹いっぱい。
06/02/22 19:53:07
ssh2でぐぐれ。
851:名無しさん@お腹いっぱい
06/02/23 02:57:08
>847
パッと見で思い当たるところ。
.sshのパーミッション
~/.ssh/authorized_keysの中身
/etc/sshd_configの設定
あと、logは見た?
その辺を一通り確認すれば、何とかなると思う。
852:名無しさん@お腹いっぱい。
06/02/24 08:55:27
ssh -vでデバックとって曝せ。
853:名無しさん@お腹いっぱい。
06/02/24 09:42:11
デバックだってさ(*´Д`)
 ̄
854:名無しさん@お腹いっぱい。
06/02/24 14:01:15
CentOS 4.2
openssl 0.9.8a
zlib 1.2.1.2-1.2(RPM)
openssh 4.1p1
上記の環境で
# ./configure \
--with-tcp-wrappers \
--with-pam
# make
を行うと
/usr/local/lib/libcrypto.a(dso_dlfcn.o)(.text+0x321): In function `dlfcn_bind_func':
: undefined reference to `dlerror'
collect2: ld returned 1 exit status
make: *** [ssh] Error 1
とエラーになってしまいます。
そこで、直接 Makefile を編集して、
LIBS= に -ldl を追加して make を通しましたが、こういった手法しかないのでしょうか?
今回、普通に make が通らなかったことが疑問なのですが、その原因がわかる方はいらっしゃいますか?
855:名無しさん@お腹いっぱい。
06/02/24 14:19:05
さすが盗人CentOS厨はひとあじ違うね
856:名無しさん@お腹いっぱい。
06/02/24 19:47:11
板違い。リヌクス板に逝け。
857:名無しさん@お腹いっぱい。
06/02/28 19:05:57
sftpで日本語ファイルを扱えるようにする方法を教えてください
858:名無しさん@お腹いっぱい。
06/02/28 19:10:10
>>857
「日本語のファイル名」を定義してください。
859:名無しさん@お腹いっぱい。
06/02/28 20:09:26
また定義厨キタ。定義厨ウザイ。そんなの質問から読みとれるだろ。
860:名無しさん@お腹いっぱい。
06/02/28 20:27:34
( ゚д゚)ポカーン
861:名無しさん@お腹いっぱい。
06/02/28 20:40:12
質問も厨臭いが反応もすんばらすぃ
862:名無しさん@お腹いっぱい。
06/02/28 21:01:05
>>857
俺のところでは特に設定なしで日本語ファイル名が使えてる。
もし日本語ファイル名が使えないなら、どううまくいかないのか
もう少し詳しく書け。
少なくとも、変なことしてなければ設定なしで使えるはず。
863:名無しさん@お腹いっぱい。
06/02/28 21:53:58
>>859
読み取れたなら答えてあげてよ。
864:名無しさん@お腹いっぱい。
06/02/28 22:21:59
>>857
UNIX側をsjis環境にして日本語はすべてsjisに統一する
コントンジョノイコ
865:名無しさん@お腹いっぱい。
06/02/28 22:31:10
UNIX側をsjis環境にしてWindowsは日本語EUC環境にする。
これでおあいこじゃないか
866:名無しさん@お腹いっぱい。
06/02/28 22:50:10
UTF-8 ・・・ そこは最後のフロンティア・・・
867:名無しさん@お腹いっぱい。
06/02/28 22:57:35
>>863
すでに答えてるじゃん。
868:名無しさん@お腹いっぱい。
06/02/28 23:02:04
>>865
「UNIX側って??」
UNIX板なんだからUNIX以外のOSは無視でしょ。
オレのところはUNIXホストはすべてEUCで統一。
この状態でsftpで日本語ファイル名は問題なく使える。
869:名無しさん@お腹いっぱい。
06/03/01 00:46:07
日本語ファイル名ではなく日本語ファイルだ
文字コード変換して転送とかそういうことじゃね
870:名無しさん@お腹いっぱい。
06/03/01 00:55:51
>>869
そもそも相手先で違う物に内容を改ざんするsftp
なら使わない選択を選ぶのが筋
871:名無しさん@お腹いっぱい。
06/03/01 01:08:48
filezilla+春山さんパッチ使っとけ
872:名無しさん@お腹いっぱい。
06/03/04 01:43:45
いつもできていたのに、今日SSHで接続しようとしたら
Read from remote host ***********: Connection reset by peer
となってしまって接続できなくなってしまいました。。
どうすればよいですか??
873:名無しさん@お腹いっぱい。
06/03/04 01:55:51
いくつか考えられる原因・・・
・単にメモリが無い。
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・おまいの居場所が無い。無残にもそれは管理者に消されたか
もしくは根のモノに。
・NICが腐った。
・共有ライブラリがぶっ飛んだ。
その他もろもろの理由でSSHは不調になる(全部経験したこと)
874:名無しさん@お腹いっぱい。
06/03/04 02:06:49
とりあえずWebminは繋がるんです。
メモリは
Mem: 459M Active, 327M Inact, 173M Wired, 39M Cache, 112M Buf, 6104K Free
です。(1G)
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・共有ライブラリがぶっ飛んだ。
これぐらいでしょうか。。
でもsshはちゃんと起動できるんです。停止も起動も出来ました。@webmin
875:名無しさん@お腹いっぱい。
06/03/04 02:41:50
/bin/cshが壊れたようでした。
お騒がせしました。
876:名無しさん@お腹いっぱい。
06/03/04 02:59:18
なんでそんなんが壊れるんだ
877:名無しさん@お腹いっぱい。
06/03/04 06:30:17
ハックられた?
878:名無しさん@お腹いっぱい。
06/03/04 09:52:43
>873-874
>貝が無残にも砕かれた。
>共有ライブラリがぶっ飛んだ。
これってクラッキング以外に原因考えるとしたら、hddのread write不良とか?
いずれにしても穏やかでないなぁ。
879:名無しさん@お腹いっぱい。
06/03/04 15:29:16
OpenSSHでクラッカー対策にグリーティングメッセージの
「SSH-1.99-OpenSSH_3.8.1p1」みたいなのを隠したいんですが、
これってソースから直さなければならないんでしょうか?
880:名無しさん@お腹いっぱい。
06/03/04 15:37:05
隠しても対策にならんよ。
881:名無しさん@お腹いっぱい
06/03/04 18:20:49
>879
とりあえず最新使っとけば?
>510-513みたいに
882:名無しさん@お腹いっぱい。
06/03/07 15:40:06
うむ。対策には成らんね。
とにかく22に繋いで試すって攻撃だし。いちいちバージョンチェックなんてしてない。
sshdがあぼーんしたときの裏口作りは重要。
% sudo /etc/rc.d/sshd restartして止めさしちゃう事も有る。
883:名無しさん@お腹いっぱい。
06/03/07 23:28:58
だぁね。
まぁせいぜい出来るのは、sshd_configの設定をぬかり無くする事と
Listen Portをウェルノウンなポート使わないとか、そぎゃんところですか。
884:名無しさん@お腹いっぱい。
06/03/08 04:02:52
普通に、daemontools ですよ。
tcpserver で接続管理して接続できるIPアドレスを
限ればいい。
885:名無しさん@お腹いっぱい。
06/03/08 04:17:06
djb儲はdjbsshでも使ってろ
886:名無しさん@お腹いっぱい。
06/03/08 09:46:31
>>884
わざわざそんなん通さなくても libwrap でいいじゃん。
887:名無しさん@お腹いっぱい。
06/03/09 04:29:50
マエノ方面の香具師か。。。
888:名無しさん@お腹いっぱい。
06/03/10 01:14:41
信者ってどこにでも居るね。
qmail/djbdnsの話題をされるとは思わなかった。ウゼー!
889:名無しさん@お腹いっぱい。
06/03/10 01:24:24
普通にビルドしたらlibwrap使えるんだし、ネタにしかみえん。
890:名無しさん@お腹いっぱい。
06/03/10 12:38:42
>>886
URLリンク(cr.yp.to)
891:名無しさん@お腹いっぱい。
06/03/10 12:57:59
>>890
それが何?
892:名無しさん@お腹いっぱい。
06/03/10 13:36:37
信者は怖いね。
893:名無しさん@お腹いっぱい。
06/03/10 22:00:05
OpenBSD + OpenSSH + djbdns + qmail + OpenNTPD。これ最強。
894:名無しさん@お腹いっぱい。
06/03/11 00:42:17
さすがにウェブサーバーは入れないかww
895:名無しさん@お腹いっぱい。
06/03/11 03:17:56
fnordとかいれてたりして。
節操無さ過ぎwww
896:名無しさん@お腹いっぱい。
06/03/12 12:17:41
いろいろなユーザー名でログインを試みようとした形跡があるのですが、
このようなアタックを防ぐにはどうしたらよいのでしょうか?
同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
897:名無しさん@お腹いっぱい。
06/03/12 12:20:44
>>896
libwrap や FW などで
必要なとこ以外からのアクセスは禁止するようにする。
根本的解決ではないが
別ポートで sshd を上げると軽減するという話もある。
898:名無しさん@お腹いっぱい。
06/03/12 12:24:47
>>896
897の大作に加えて、sshd_configでログイン出来るユーザを制限しておく。
パスワード認証を許可しない。
信用出来ないユーザにシェルアカウントを与えない。
>同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
俺はdenyhostsを使っている。
899:名無しさん@お腹いっぱい。
06/03/12 21:18:20
犬糞ならiptablesのburst機能使えば近いことはできる。
他のOSでも同様のことができるんじゃないかな。
900:名無しさん@お腹いっぱい。
06/03/13 00:51:31
>>896
URLリンク(www.musicae.ath.cx)
我が家ではここの設定をそのまま使用してる。
パスワード認証も切ってるけど。
901:900
06/03/13 01:21:19
認証成功でもカウントされちゃうけどね。
902:名無しさん@お腹いっぱい。
06/03/13 09:44:03
>>896
前にここにも書いたけど、うちにもすげー来る。
オレはswatchでlogを監視してhosts.denyに追加するようにしてるよ。
903: ◆TWARamEjuA
06/03/13 22:17:19 BE:3485748-#
やっぱりログ監視だよなぁ。。。
今度の休みにやろっと。
904:名無しさん@お腹いっぱい。
06/03/13 22:40:56
ログの監視もいいが、必要なところ以外からの接続は拒否した方がいいと思う。
sshdにアクセスされている時は、外向きのアクセスが不安定になっている気が
する。ルーターがヘタレなせいかもしれないが。
905:名無しさん@お腹いっぱい。
06/03/13 23:21:49
もう>>896氏は見ているかもしれないですが…、
>>896
URLリンク(www.koka-in.org)
以降のスレッドを見るヨロシ。
URLリンク(www.koka-in.org)
とかね。
906:名無しさん@お腹いっぱい。
06/03/15 20:35:23
きてるきてる
203.241.56.142から5回ずつ朝鮮。
907:名無しさん@お腹いっぱい。
06/03/15 20:39:00
>>904
不安定にみえるのは、機器やネットの処理能力をアタックに食われているだけかも。
908:名無しさん@お腹いっぱい
06/03/15 21:03:44
俺もそう思う。
前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。
909:名無しさん@お腹いっぱい。
06/03/15 22:26:27
>>907-908
特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。
910:名無しさん@お腹いっぱい。
06/03/15 22:46:33
>>909
ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。
911:名無しさん@お腹いっぱい。
06/03/15 23:06:28
ミドルクラスPC + NIC二枚挿し + OpenBSD で「見えない高速firewall」とか。
912:名無しさん@お腹いっぱい。
06/03/15 23:54:07
アッタック
913:名無しさん@お腹いっぱい。
06/03/16 04:18:46
>>912
汚れが落ちる。
914:名無しさん@お腹いっぱい。
06/03/16 13:39:42
アタタック
915:名無しさん@お腹いっぱい。
06/03/16 14:18:41
こっちのアタックは服の汚れを落とす
URLリンク(www.kao.co.jp)
こっちのアタックはエンジンの汚れを落とす
URLリンク(web.kyoto-inet.or.jp)
916:名無しさん@お腹いっぱい。
06/03/16 18:32:46
(´・ω・)
917:名無しさん@お腹いっぱい。
06/03/17 10:35:52
使える科技庁は国によって違うのですか?
918:名無しさん@お腹いっぱい。
06/03/18 21:21:50
>>917
国によって組織の形態や名称が違うのは間違いありません。
919:名無しさん@お腹いっぱい。
06/03/19 02:50:15
>>194-
あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます?
読んでて思ったんですが、
1.ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
2.クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
3.鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればOK。
みたいな流れではだめ?
ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。
ソースや仕様を嫁と言われそうですが...
920:名無しさん@お腹いっぱい。
06/03/19 08:09:21
ソースや仕様を嫁
921:名無しさん@お腹いっぱい。
06/03/22 09:01:25
2GB以上のファイルをscpで転送する方法はないのでしょうか?
922:名無しさん@お腹いっぱい。
06/03/22 09:42:09
>>921
アップロード:
ssh remote 'cat > file' < file
ダウンロード:
ssh remote cat file > file
でいいのでは?
923:名無しさん@お腹いっぱい。
06/03/22 10:15:44
>>921
scp でできなかったっけ
924:名無しさん@お腹いっぱい。
06/03/22 13:01:12
2GB以上のファイルの扱いはOSに依存するから。
925:名無しさん@お腹いっぱい。
06/03/22 13:04:46
>>924
ファイルシステムじゃないの?
926:名無しさん@お腹いっぱい。
06/03/22 13:50:57
なんかその辺に依存するから。
927:名無しさん@お腹いっぱい。
06/03/22 15:25:51
「環境に依存する」でいいじゃんw
928:名無しさん@お腹いっぱい。
06/03/22 17:07:57
scpでFC5のDVDファイルを転送したところ、ちょうど2048kBで止まってしまいました。
結局wgetで取得したのですが。
929:名無しさん@お腹いっぱい。
06/03/22 17:10:01
>>928
たった2048kBで止まったのなら、ネットワークの断線とか、他の原因と思われ。
930:名無しさん@お腹いっぱい。
06/03/22 20:47:47
>>402
私もそれが発生してました。(Windows XP SP2+Athlon 64)
DEPの無視対象にWinSCP3.exeを入れたら直ったみたです。
931:名無しさん@お腹いっぱい。
06/03/22 20:52:26
>>921-928
いや、2Gってintがオーバーフローするのでそれをきちんと考慮してないソフトがへくる
というのは結構ある。 家にビデオサーバーを設定して2Gを超えるファイルが普通の
環境で色々やったらサーバ(Debian 3.0)、クライアント(Win)側で色々問題が
あった。 例えばapache 1.4が2G以上のファイルを上げることが出来ないとか
IE, Firefox内蔵のFTPクライアントがだめだとか。 (WinのコマンドラインのFTPは
okだった)。
だからこれはscpの実装の問題である可能性大。
932:名無しさん@お腹いっぱい。
06/03/22 20:56:15
ヒント: 2048kB = 2MB
933:931
06/03/22 22:57:08
>>932
>>921=928 だと思うけど最初に2GBって言ったから >>928の2048kbは2048MBの
間違いと思われ。
934:名無しさん@お腹いっぱい。
06/03/22 23:11:31
思い込みで答えちゃいけないよ。
935:923
06/03/23 03:01:42
>>931
実際試すとうまくいくんだよ。環境は Debian GNU/Linux 3.1, ext3fs
$ dd of=vip seek=8192 bs=1048576 count=0
読み込んだブロック数は 0+0
書き込んだブロック数は 0+0
0 bytes transferred in 0.000629 seconds (0 bytes/sec)
$ ls -l vip
-rw-r--r-- 1 hoge hoge 8589934592 2006-03-23 02:52 vip
$ scp vip remote:/tmp
vip 100% 8192MB 26.7MB/s 05:07
$ ssh remote ls -l /tmp/vip
-rw-r--r-- 1 hoge hoge 8589934592 Mar 23 02:57 /tmp/vip
936:931
06/03/23 04:46:31
>>935
いや、だからそれはちゃんと対処したバージョンのscpだからであり、>>921が使ったバージョンが対処してない
実装なんじゃない? statの代わりにstat64を使うとか、2G以上のファイルを扱うにはわざわざしなければ
ならないことがあるんだから。
937:923
06/03/23 11:54:13
>>936
ソース見ればわかるが _FILE_OFFSET_BITS, _LARGE_FILES などを定義するだ
けだよ。OpenSSH であれば、対応したのはかなり前の話。ChangeLog に以下の
ように書かれてる。
20010925
- (djm) Add AC_SYS_LARGEFILE configure test
19991111
- Fix integer overflow which was messing up scp's progress bar for large
file transfers. Fix submitted to OpenBSD developers. Report and fix
938:名無しさん@お腹いっぱい。
06/03/24 19:16:08
おれはとりあえず rsync 使うよ。中断しても損した気分にならないし。
939:名無しさん@お腹いっぱい。
06/03/26 23:34:58
Winscp3で質問があります。
サーバ側がcygwinでsshしてるですが、
winscpでサーバにアクセスすると、rootがcygwinを
インストールしたディレクトリ、D:\cygwinの下なんですが、
アクセスしたい場所が、Dドラ直下にあるんです。
表示されているrootから、ひとつディレクトリをあげるって
できるんでしょうか?
940:名無しさん@お腹いっぱい。
06/03/26 23:43:47
cygwinの問題だろ
941:名無しさん@お腹いっぱい。
06/03/27 00:36:45
>>939
cd /cygdrive/d
942:名無しさん@お腹いっぱい。
06/03/27 09:28:54
BUGTRAQにTheo様降臨。
943:939
06/03/28 00:05:29
>>941
おおぉ、うまくいきそうな予感。
やってみます。
ありがとうございます。
944:939
06/03/28 22:36:11
そして、うまく行きました。
ありがとうございました。
945:名無しさん@お腹いっぱい。
06/03/30 23:30:43
特定のユーザについて scp と sftp は禁止するってことは可能でしょうか
ポートフォワーディングの禁止は authorized_keys と no-port-forwarding と書くと
実現できるみたいですが scp と sftp も使えなくする方法ってありますか
946:945
06/03/30 23:54:47
自己レス
rssh にして許可しなければ良さそうです
947:名無しさん@お腹いっぱい。
06/03/31 21:00:58
sshコンソールが実用的に使えるモバイル機器で今のところ最小なのは何?
948:名無しさん@お腹いっぱい。
06/03/31 21:40:37
>>947
i MODE
949:名無しさん@お腹いっぱい。
06/04/02 19:45:49
>>947
W-ZERO3でも使えるよな(最小じゃないだろうけど)
950:名無しさん@お腹いっぱい。
06/04/02 21:35:42
iモードは実用的に使うにはちと辛いような
やっぱフルキーボードはほしいところ
951:名無しさん@お腹いっぱい。
06/04/02 22:01:30
SLA300
952:名無しさん@お腹いっぱい。
06/04/02 22:12:54
遠隔地のPCにsshでログインしてちょっと放置しているとセッションが切れてしまうんだけど、
これってどこかでタイムアウトの設定できるんですか?
別にセッション切れるのはかまわないんだけど、クライアント側が固まっちゃってサーバ側では
死んだプロセスが残っているのでいちいち消して回らないといけなくて面倒です。・゜・(ノ∀`)・゜・。
953:名無しさん@お腹いっぱい。
06/04/02 22:16:34
>>952
keepalives
954:名無しさん@お腹いっぱい。
06/04/02 22:28:38
keepaliveはデフォでyesだと思ってたら、intervalの設定しないと生きないんですね・・・
ちょっといま実験中。3,40分くらいしたら結果書きますね。
955:名無しさん@お腹いっぱい。
06/04/02 23:03:22
みごと死ななくなりました。ありがとうございました。
956:名無しさん@お腹いっぱい。
06/04/02 23:45:16
スレ的にはkeepaliveで正解かもだけど、この場合先にscreenだろ?
957:名無しさん@お腹いっぱい。
06/04/03 18:32:17
ssh_configのTCPKeepAliveとServerAliveIntervalは全然別物じゃないか?
前者はカーネルのTCP/IPレベルでのkeepaliveを使うかどうかで、
後者はSSHレベルでkeepaliveパケットを投げるかどうかだと思ったが。
TCP/IPのkeepalive送信間隔はデフォルトだと2時間とかなので、
ルータが通信のないコネクションを調べて切る間隔より長いから
yesでも切れてたんだろうな。
>>956
だな。
958:名無しさん@お腹いっぱい。
06/04/06 11:05:58
TeraTerm(SSH2、UTF-8対応版)
って、このタイプの秘密鍵に対応していないの?
"read error SSH2 private key file"
って出てしまう。
puttyやUNIXのssh -iでは問題なし。
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A1 (略)
-----END RSA PRIVATE KEY-----
959:名無しさん@お腹いっぱい。
06/04/06 13:06:52
>>958
TeraTerm で RSA の鍵を作るとそのタイプの鍵だよ。
ssh-keygen -t rsa で作っても同じ。
手元で最新版(4.34)を使ってみたけど大丈夫だったよ。
960:名無しさん@お腹いっぱい。
06/04/06 16:55:18
サーバ側がFC5のOpnSSHでクライアント側がWindowsの商用SSHのフリー版なのですが、
パスワードなしでログインできるようにできますか?
961:名無しさん@お腹いっぱい。
06/04/06 21:40:23
>>960
Active Directoryを構築してKerberos認証すればよし。
962:名無しさん@お腹いっぱい。
06/04/07 10:38:42
sftpで日本語は使えないのですか?
963:名無しさん@お腹いっぱい。
06/04/07 11:43:44
>>962
使えるよ。(確認済み)
964:名無しさん@お腹いっぱい。
06/04/07 11:53:53
>>962
どういう意味で?
965:名無しさん@お腹いっぱい。
06/04/07 11:59:04
少なくともプロトコルの問題ではない。
クライアントとサーバのプログラムの処理及びファイルシステムのロケールに
よって使えたり使えなかったり。サーバ側が原因で使えないことはまれだと思う。
ファイル名のエンコーディングを変換できないクライアントの場合、
日本語ファイル名を扱える可能性はだいぶ低くなる(サーバとクライアントの
文字コードが一致している場合のみ)。そもそも8ビット通さないクライアントも
珍しくない。
要するに文字コード変換できるクライアント使えということだ。
966:名無しさん@お腹いっぱい。
06/04/07 13:54:25
HostbasedAuthenticationってどうしてそれほど安全じゃないのですか?
967:名無しさん@お腹いっぱい。
06/04/09 05:59:20
まずrloginとかrshが安全だと思える環境かどうか答えてちょ
968:名無しさん@お腹いっぱい。
06/04/15 11:08:45
DSA の公開鍵を設定すべきところを RSA 用の公開鍵を設置してログインできない場合、
どういう風にエラーとして表示されますか?
969:名無しさん@お腹いっぱい。
06/04/15 11:53:44
やってみれば?
970:名無しさん@お腹いっぱい。
06/04/17 04:40:45
LAN側からとWAN側からでopensshの設定切り替えることってできますか?
できれば待ち受けポートは変更したくないです。
971:名無しさん@お腹いっぱい。
06/04/17 07:26:41
>>970
ListenAddress?
972:名無しさん@お腹いっぱい。
06/04/17 12:18:35
質問っす。
Windows SSHクライアントでターミナル接続:Poderosa、
ファイル転送にWinSCPを使ってるいるのですが、
フォーマットちゃうから同じ秘密鍵ファイルを2種類もってないといけない。
1個にならないものですか?
PuTTY+WinSCPがお勧めなのでしょうか?
Poderosaでてるスレがなかったので、スレ違いでしたらすいません。
973:名無しさん@お腹いっぱい。
06/04/17 19:22:15
teraterm_utf8 434
にて、sshで接続すると
Unexpected SSH2 message(1) on current stage(2)
Server disconnected with message 'Protocol error: expected packet type 30, got 34'.
と出るサーバがあるのですが
原因が、わかりません
URLリンク(nanno.dip.jp)
こちらのソフトでは、なんとか接続できるんですが
何か、参考になることはないでしょうか?
974:名無しさん@お腹いっぱい。
06/04/17 23:02:04
>>970
tcpserverで待ち受けて切り替えたら?
975:名無しさん@お腹いっぱい。
06/04/19 00:36:24
ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
なんですか?
悪意あるユーザがクライアントとしてホスト公開鍵を入手し、その鍵を偽装鯖で使う
ことができてしまうのではと、ふと疑問が出たものですから。
そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
にもそれらしき記述がなくて、ず~~~~~~っと悩んでいます。ちょこっとでも
ホスト認証時にホスト秘密鍵が使われるんだよ~って記述があればすっきりする
んです。
それともホスト認証においてセキュアな部分はホスト公開鍵の管理に依存している
ということなのでしょうか?ホスト公開鍵の配布はofflineじゃなくてもできるのに?
詳しい方、ご教示お願いしまするう
976:名無しさん@お腹いっぱい。
06/04/19 01:15:34
>>975
> ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
> 鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
> なんですか?
んなこたない。
> そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> にもそれらしき記述がなくて、ず~~~~~~っと悩んでいます。ちょこっとでも
> ホスト認証時にホスト秘密鍵が使われるんだよ~って記述があればすっきりする
> んです。
man ssh-keysign
URLリンク(www.ietf.org)
977:名無しさん@お腹いっぱい。
06/04/19 09:20:44
>>973
クライアント:UTF-8 TeraTerm Pro with TTSSH2 (URLリンク(sourceforge.jp))
サーバ:
OS=?
sshd=?(商用SSH、OpenSSH、その他いろいろあるが、どれだ?)
サーバ側でOpenSSHを動かしているのなら、「# sshd -vvv」で詳しく調べること
ですな。ちなみに、
'Protocol error: expected packet type 30, got 34'
は、OpenSSH-4.3p2の場合、openssh-4.3p2/packet.cのpacket_read_expect()が
出しているみたい。
978:977
06/04/19 09:31:33
引き続き、サーバ側がOpenSSHであると仮定して考えてみた。
・"SSH2_"で始まるマクロのうち、30または34と定義されているものを調べてみた。
・乱暴だが、全部の.hファイルから30または34を含む行を探した。
後者でも以外に効果があった。注目すべきは openssh-4.3p2/ssh2.h だろうか。
ということで、クライアントとサーバで鍵の形式が違うのが原因ではないかと「推
測した」。
以上、チラシの裏(w
>>973は、サーバに関する情報だけでなく、どの認証方法でログインしようとした
のかも書いた方がいいな。
979:名無しさん@お腹いっぱい。
06/04/19 09:47:51
レスありがとうございます。
> > そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> > 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> > にもそれらしき記述がなくて、ず~~~~~~っと悩んでいます。ちょこっとでも
> > ホスト認証時にホスト秘密鍵が使われるんだよ~って記述があればすっきりする
> > んです。
>
> man ssh-keysign
> URLリンク(www.ietf.org)
これはホスト認証・共通鍵生成したあとのユーザ認証のフェーズになっているような気がします。そういう仕様なんだからそうなんでしょうね・・・。
うみゅう、私の質問の仕方が悪かったです。
SSH接続(Protocol 2)のホスト認証の時点で、ホスト鍵ペア(ホスト秘密鍵・ホスト公開鍵)が「公開暗号方式」として機能しているのか知りたかったのです。
ベタな平文を自己証明だとかクライアントに送られてきて、「これを信用しなさい」と言われても、信用する根拠がないように思えてしょうがないのです。
ホスト認証の時点でホスト秘密鍵は登場してこないのでしょうか?鍵交換のところ(DH鍵交換)でホスト秘密鍵が使われてるような気がしてきました。
--- モーソウ
S: これ、俺の証明書だけどいい?
C: じゃあ、君が送ってくれたホスト公開鍵で暗号化したもの送り返すから、
それをホスト秘密鍵で複合化して返してよ~。それが正しかったら信用してあげる。
S: ほいほい、これね~。複合化したけど、これ当たってる?
C: OK~、君を信じるよ♪
---
980:名無しさん@お腹いっぱい。
06/04/19 10:20:51
>>979
URLリンク(www.scl.kyoto-u.ac.jp)
981:名無しさん@お腹いっぱい。
06/04/19 10:24:03
>>979
PGPの仕組みを勉強してみろ
982:名無しさん@お腹いっぱい。
06/04/19 10:27:05
PGP は関係ないだろ。
983:名無しさん@お腹いっぱい。
06/04/19 10:28:21
>>970
↓tcpserver使って切り替えてるやり方
URLリンク(www.hrt.dis.titech.ac.jp)
>>971
ListenAddressでクライアントごとに挙動(設定)変えれたっけ?(許可/拒否をするものだと思ってたけど)
984:名無しさん@お腹いっぱい。
06/04/19 10:41:09
>>983
いや、
ListenAddress 変えて sshd を2つ起動すればいいかな、
と思ったんだけど。
985:名無しさん@お腹いっぱい。
06/04/19 10:41:24
>>975=>>979
以下のどちらかの本、読んでみた?もしまだなら、読んでみるといいと思う。
・OpenSSH セキュリティ管理ガイド
URLリンク(www.unixuser.org)
・入門SSH
URLリンク(www.unixuser.org)
前者は絶版になってしまっているけど、私はこの本を読んで勉強したので(大変分
かりやすかったんですよ)。後者は、前者の「後継」ってカンジ。著者は同じです
ので、読む価値はあると私は思います。
>>980
お、なんだか (∀)イイ!
986:975
06/04/19 11:10:46
>979
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
>981
頑張ってPGPも勉強してみます。自己証明という観点でいえば知っておきたいところですし、感謝です。
>985
情報ありがとうございます。お財布と相談して、amazon.comに見に行ってきますー
987:名無しさん@お腹いっぱい。
06/04/19 11:12:53
>>982
あほですか?
PGPの認証方式はSSHにも流用できる考えがありますよ
PGPそのものを使い方をいっているわけではないでしょが
988:975
06/04/19 11:12:55
>>979
>大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
みすった、てめえの発言に感謝してどーすんだーー;
>980
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
989:名無しさん@お腹いっぱい。
06/04/19 17:07:27
> >980
> 大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
スト認証の説明、ほとんど間違いだから。
SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
を送ってクライアントに検証させることで直接的に確認してるって
のが正解。
990:名無しさん@お腹いっぱい。
06/04/19 17:21:03
>>989
> まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
> スト認証の説明、ほとんど間違いだから。
自分も後から、ご指摘の記述部分でDH鍵交換方式に触れていないところが
怪しくなって、調べてみました。
>
> SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
> 送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
> を送ってクライアントに検証させることで直接的に確認してるって
> のが正解。
URLリンク(human.is.kyushu-u.ac.jp)
の記述を発見して、仰せの通りだと理解しました。
ご指摘ありがとうございました。(感謝
991:名無しさん@お腹いっぱい。
06/04/19 18:00:29
>>990
> URLリンク(human.is.kyushu-u.ac.jp)
> の記述を発見して、
うん、こっちの方は user 認証のところに若干難がある (SSH1 のみ
の説明だし、SSH1 だとしても微妙なところが抜けてる) 他はちゃん
と書けてる感じっすね。
992:名無しさん@お腹いっぱい。
06/04/19 18:14:16
>>978
ありがとうございます。
OpenSSHです。
sshd version OpenSSH_2.5.2p2
どのような認証方法で、
以前の
・プレイインテキストを使う
・RSA/DSA鍵を使う
・チャレンジレスポンス認証を使う
などの画面が出るときに、落ちちゃうというか
そのエラーが出るんです。
993:976
06/04/20 01:03:01
>>975
すまん、HostbasedAuthenticationのことと勘違いしてた。
994:名無しさん@お腹いっぱい。
06/04/20 07:10:55
そろそろやばそうなので、とりあえず次スレ立てました。
スレリンク(unix板)
995:名無しさん@お腹いっぱい。
06/04/20 12:42:45
>>994 乙彼
996:名無しさん@お腹いっぱい。
06/04/20 13:02:21
じゃあ1つ埋め
997:名無しさん@お腹いっぱい。
06/04/20 15:25:41
10010gewt
998:名無しさん@お腹いっぱい。
06/04/20 16:23:45
192.168.65.254
999:名無しさん@お腹いっぱい。
06/04/20 16:29:57
俺のIP勝手に使うな
1000:名無しさん@お腹いっぱい。
06/04/20 16:39:05
127.255.255.254
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。