10/05/13 21:33:11
一つ質問させて下さい。皆さんはSSHを用いて通信が暗号化された事をどのような方法で
確認していますか?
現在、
サーバ:windows2003server + cygwin(+openssh)
クライアント:windowsXP + teraterm
という環境でSSHポートフォワーディングを利用してリモートデスクトップ接続を
行おうとしており、実際に接続出来ていてリモートデスクトップが可能なのですが
経路が暗号化されているのかが判別出来ていません。
何か確認出来る方法、ツール等ありましたらご教示下さい。
203:名無しさん@お腹いっぱい。
10/05/13 21:43:42
パケットキャプチャでも使ってみたらどうだろう
204:名無しさん@お腹いっぱい。
10/05/13 21:50:06
ルータ経由でネットワーク分離して
間違って直結しようとしても出来ない構成にしておけばいいじゃん
205:名無しさん@お腹いっぱい。
10/05/14 11:45:06
>>204
それだと「暗号化されてるかどうか」の
確認にはならんような
sshが信用できないから
自分の目で確認したい
ということかw
その批判精神には感じ入るが…
>>203しかないのでわ
tcpdumpとか?
206:名無しさん@お腹いっぱい。
10/05/14 11:51:20
>>202
暗号化の確認にはならないけど、逆にリモートデスクトップの通常のポートに
接続されていないことをnetstatで確認するのはどうだろう。
207:名無しさん@お腹いっぱい。
10/05/14 14:18:39
自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけをhosts.allow に記述するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。
ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、hosts.allowを sshd: ALL にする
メルアドとスクリプトも作った。
208:名無しさん@お腹いっぱい。
10/05/14 20:13:48
>>205
tcpdumpの出力を目視だけでは正しく暗号化されてるかまでは判別できないと思う
>>207
それならiptablesの方が汎用的では?
209:名無しさん@お腹いっぱい。
10/05/15 10:17:55
自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけを iptables に追加するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。
ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、iptables に追加する
メルアドとスクリプトも作った。
210:名無しさん@お腹いっぱい。
10/05/15 14:18:11
メールサーバも落ちてたらお手上げなので、DNS query受け付けると、iptables フラッシュするためのRRとスクリプトも作った。ドメインも買った。
211:名無しさん@お腹いっぱい。
10/05/15 16:39:38
面白いと思ってるのが痛い
212:名無しさん@お腹いっぱい。
10/09/08 19:35:34
sshでトンネリングしてみたけれども、転送速度ってこんな遅いの?
FTPやVNCで20~30KB、squidのプロクシとかは一瞬120KBくらいは出たけど
CPUや光帯域がネックってわけじゃないみたいだし、ちょっと不満。
WindowsでOpenSSHとPuttyの組み合わせです
213:名無しさん@お腹いっぱい。
10/09/08 22:03:31
トンネリングしない場合と比べてどうなの?
214:名無しさん@お腹いっぱい。
10/09/09 00:18:25
トンネリング無しだと、FTPで3MB/s、
VNCでも動きが激しいとこで400kb/sくらいでる
ssh通すと帯域制限されてる感触で、30kb/sしか出ない
一つのサーバとクライアント2台で試して同じ感じ
普通はどのくらいスループットでるものですか?
もしこれで遅すぎるならソフト変えてみる
215:名無しさん@お腹いっぱい。
10/09/09 01:31:41
サーバーは何?
216:名無しさん@お腹いっぱい。
10/09/09 01:46:54
>>214
>トンネリング無しだと、FTPで3MB/s、
この速度からして802.11gとかか?
あとFTPのSSHトンネリングはSOCKSサーバ方式?
どんな方式にせよそんなに落ちるのはおかしい。
暗号化方式をrc4やblowfishにすると速度出る。
217:名無しさん@お腹いっぱい。
10/09/09 01:55:05
OpenSSH for Windows 3.8p1-1 20040709 Build
URLリンク(sourceforge.net)
一般的な家庭内LANで、ポート22開放してCorei3積んだWindowsXPに入れて動かしてる
SHH-2の公開鍵認証
回線はBフレッツハイパーファミリー
素直にLinux使えばいいんだろうけどね
218:名無しさん@お腹いっぱい。
10/09/09 01:59:12
つまり回線は関係ないんだよね
219:名無しさん@お腹いっぱい。
10/09/09 02:00:32
セキュリティソフトは?
220:名無しさん@お腹いっぱい。
10/09/09 03:02:15
>あとFTPのSSHトンネリングはSOCKSサーバ方式?
サーバ側で転送用に再接続する待ち受けポートをいちいちトンネリング設定してた
今SOCKS5方式で試してみて、転送速度は変わらなかったけど、便利になった
ウイルスセキィリティゼロが気休めに入っているけれども、
全部無効にしても違いが無い
今はWindowsファイアウォールだけ動かしてる
PuttyだけじゃなくTera Termでも試したけれども変わらなかった
サーバ側見直すよ
221:名無しさん@お腹いっぱい。
10/09/09 09:37:54
>>212
もしかして中国とか? 先月中国出張の際にsshトンネルを通すと耐えられないくらい遅くなったよ。
222:名無しさん@お腹いっぱい。
10/09/09 21:02:14
ssh -q -n hostname dd if=/dev/zero bs=8M count=1 > /dev/null
223:名無しさん@お腹いっぱい。
10/09/10 19:56:49
ダウンロードなのかアップロードなのかでCPUスペックがより必要なホストがどちらかが変わる。
それぞれのスペックは?
224:名無しさん@お腹いっぱい。
10/09/10 20:02:28
あ、ごめんなさい、圧縮転送とかんちがいした。
共有鍵暗号だからそんなに計算量変わらないか。
225:名無しさん@お腹いっぱい。
10/09/21 01:49:39
20MB/sくらいはデルよ
226:名無しさん@お腹いっぱい。
10/11/12 23:54:21
authorized_keys と authorized_keys2 ってどういう違いがあるの?
バージョンや暗号化方式によって違うらしいけど
なんでそんなことするの?
227:名無しさん@お腹いっぱい。
10/11/13 00:38:50
authorized_keys に version2 のキー置いても問題なく動いてるけど
228:名無しさん@お腹いっぱい。
10/11/13 10:01:45
>226
openssh と本家で仕様が違ってる(or 違ってた; 最近の事情は知らない)
229:名無しさん@お腹いっぱい。
10/11/13 15:32:38
確かに本家とは仕様が違ってる/違ってたけど、authorized_keysとauthorized_keys2って違いじゃないはずだぞ。
230:名無しさん@お腹いっぱい。
10/11/13 20:43:41
結局authorized_keys2は互換性のために残っているんだっけ?
authorized_keysが使えない条件は何?
231:名無しさん@お腹いっぱい。
10/11/13 21:48:36
リンクしとけよ
232:名無しさん@お腹いっぱい。
10/11/13 22:31:54
【新世代】 Windows 7 Part70
スレリンク(win板:783番)
783 名前:名無し~3.EXE[sage] 投稿日:2010/11/10(水) 22:34:10 ID:Rr0vNFYE
Windows 7 クライアントだと Loopback でもポートがかちあって
ssh トンネル越しの Windows 共有 (SMB ove SSH) が自分はできてなかったが
良い解説を見つけてできるようになった
CIFS-over-SSH for Windows Vista/7
URLリンク(www.nikhef.nl)
キーワード:
CIFS over SSH (445/tcp)
Microsoft Loopback Adapter
sc config smb start= demand
netsh interface portproxy add v4tov4
net start smb (後から実行)
445 じゃなく proxy ポートに接続
あとは cygwin の openssh でOK
233:名無しさん@お腹いっぱい。
10/11/22 21:44:26
鍵認証パスフレーズなしで長いことやってきたが
秘密鍵の保存場所って本気で考えると難しくないか?
普段入るサーバはsudo使えるやつが他にも数人いるし、
会社から提供されたPCもイントラチームにはdomain adminで筒抜け状態。
おいおい、いつ盗まれてもおかしくない状態!!・・・なんだけど
周りには「鍵認証って何?」って人しかいないから助かってるw
そもそも会社でパスフレーズなしは無謀?
しかし、パスワード毎回は面倒すぎる。
こういう場合はssh-agentかねやっぱ。
これはこれで面倒そうなんだよな。
皆どうしてるの?
234:名無しさん@お腹いっぱい。
10/11/22 21:52:07
パスなし鍵でどのホストに繋がるのかが判らないようにしておけばよい
さらに同様の鍵が複数(沢山)あるとセキュリティ効果うp
235:名無しさん@お腹いっぱい。
10/11/22 22:41:50
パスなし鍵をたくさん用意して、ホストごとに変えろってこと?
まあ、時間稼ぎにはなりそうだけど。。。
何百台もあるしなぁ。
236:名無しさん@お腹いっぱい。
10/11/22 23:33:27
(´-`).。oO 周囲の人間が信用できないのにどうしてパス無し鍵を使うのだろう
237:名無しさん@お腹いっぱい。
10/11/23 00:30:37
セキュリティと利便性が相反するのはわかる。
しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。
だからこそ、安全なパスなし鍵運用を追及したい。
238:名無しさん@お腹いっぱい。
10/11/23 00:39:49
なんのためにssh-agentがあると思ってるんだ?
239:名無しさん@お腹いっぱい。
10/11/23 01:08:00
URLリンク(webos-goodies.jp)
他人が root ユーザーとしてログインできるマシンでは ssh-agent は使うべきではありません。
ってのを読んで不安になったんで。
240:名無しさん@お腹いっぱい。
10/11/23 02:05:03
rootしか見れない場所に置くしかないけど
みんながrootで入れる環境だと意味ない罠
241:名無しさん@お腹いっぱい。
10/11/23 13:49:11
>>239
パスなし鍵の方がよっぽど危険
242:名無しさん@お腹いっぱい。
10/11/23 15:34:51
パスなし鍵(複数)をローカルに暗号化して保存しておいて
それらをssh-agentでひとつのパスワードで管理って出来ない?
243:名無しさん@お腹いっぱい。
10/11/23 17:39:16
> しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。
こういう意識でいる限り何を言っても無駄だな
244:名無しさん@お腹いっぱい。
10/11/23 18:13:49
USBメモリに暗号化しておいとく
245:名無しさん@お腹いっぱい。
10/11/23 18:46:04
っていうか ssh-agent 使ってみれば
「一日一回」で済むってことが分かるのに
246:名無しさん@お腹いっぱい。
10/11/23 18:52:14
>>243
そこをなんとかw
業務委託が切られちゃったから、やらざるを得ないけど、
単調作業が嫌いなので、とにかく楽にしたい。
>>244
暗号化はすでにやってる。truecryptでイメージ保存してて
出社したら、.ssh/にマウントさせてる。
でも、マウントした時点でsudoもってる奴らには見えてしまう。
247:名無しさん@お腹いっぱい。
10/11/23 18:56:50
パスなしよりは安全だから、ssh-agentにしますわ。
ただ、
URLリンク(www.gcd.org)
にもあったけどやっぱ他人がroot使える環境では
安全とは言えないんだよね?
248:名無しさん@お腹いっぱい。
10/11/23 19:03:24
そんなの当然でしょ。
ssh信頼できないデバイスが信頼できな
249:名無しさん@お腹いっぱい。
10/11/23 19:06:33
すません、書き込み失敗した。
sshクラアントごと差し替えられたり、
キーロガーしこまれたりできるデバイスだったら
秘密鍵のパスフレーズだって抜けるでしょ。
250:名無しさん@お腹いっぱい。
10/11/23 19:23:24
そうですよね。。
ってことは俺の環境でパスなし鍵の安全性確保は難しそうだ。
vmwareで解決しそうだけど、禁止だし。。。
厳しいなぁ。
251:名無しさん@お腹いっぱい。
10/11/23 19:46:02
ん?>>247の引用URLはForwardAgentでの話か。
イントラチーム筒抜けとかいってたからローカルの話の
続きかと思った。この場合は秘密鍵そのものは覗き見できない。
まあ仮にクライアント側で秘密鍵の機密性が守れたとしても
ログイン先sshdに罠を仕込めるようなサーバ環境なら通信内容の
盗聴はできるよ。
とことん防衛するつもりならSSHクライアント/サーバ管理者以外にも
DNSサーバ管理者やIPルータ管理者の警戒もお忘れなく。。。
252:名無しさん@お腹いっぱい。
10/11/23 22:55:09
>>246
>暗号化はすでにやってる。truecryptでイメージ保存してて
>出社したら、.ssh/にマウントさせてる。
そうじゃなくて使う瞬間だけメモリ上で復号するんだよ
253:名無しさん@お腹いっぱい。
10/11/23 23:21:57
>>251
なるほど、盗まれることはないってことか。
まあ盗聴は気をつけるしかないかな。
今回は、パスなし秘密鍵はちゃんと管理せよってよく言うけど、
みんなはどうしてるのかなと思っただけだよ。
>>252
使うたびに複合は面倒じゃない?
ちなみにUSBは使えない。
254:名無しさん@お腹いっぱい。
10/11/24 00:26:21
正直マニュアルくらい読んでからにしてくれ…
255:名無しさん@お腹いっぱい。
10/11/24 10:28:49
社内の root が信用できないって、
どんな仕事やってんだ?
256:名無しさん@お腹いっぱい。
10/11/24 11:36:54
仕事じゃない内職だから社内の人を信用しないんじゃないか。
257:名無しさん@お腹いっぱい。
10/11/24 12:27:16
おまえはクビだ
258:名無しさん@お腹いっぱい。
10/11/24 12:39:33
お前が信用されてないから他人も信用しないってことか。
259:名無しさん@お腹いっぱい。
10/11/24 20:52:07
>>255
俺もそれ思ったw
信頼できないやつにroot権限与えてるのが
そもそも一番の問題なんじゃねーか。
それ前提だと何やっても無駄だろう。
260:名無しさん@お腹いっぱい。
10/11/24 22:15:00
俺も>>256と同意見、見られるとまずいことやってるんじゃないか?
261:名無しさん@お腹いっぱい。
10/11/25 12:46:55
どこぞのエロ掲示板のおじさんが
「職場でダウンローダセットしてゲットしました~」
って書いてるようなそういう話じゃね?
もっとヤバい機密の横流しとかならパスワードを
打つくらいのは厭わないだろうし
262:名無しさん@お腹いっぱい。
10/11/25 21:46:29
うちは外部接続有りの実運用中の機器へのアクセスは
単独作業禁止、パスワードも再監者と確認しながら入力で
毎日他の担当者がアクセス履歴をチェックしてる。
当たり前のことだから別に面倒だとは思わんな
263:名無しさん@お腹いっぱい。
10/11/25 22:35:41
アクセス履歴が残ると思ってる時点で問題だけどな
264:233
10/11/25 22:45:30
なんか、大量レスどもです。
そんな重要作業ではなく、ほとんど監査がらみのログ収集とか
ldap未導入サーバのアカウント一覧取ったりとか、そんな依頼。
サーバ一覧渡されて、scpで取るだけだけど、楽したいじゃない。
とりあえずssh-agentに変えたから、これでパスなし鍵を置きっぱなしよりは
ましになったか。sudo可の奴らは信頼することにする。
265:名無しさん@お腹いっぱい。
10/11/25 22:55:49
> 1. ssh-agent を使うとパスフレーズ入力省略出来る。
> 2. ssh-agent を普通に使うだけでは便利性が高くない。
> 3. keychain は ssh-agent をもっと便利にしてくれるツール。
> 4. keychain を導入すればパスフレーズ入力が PC 起動につき一回で済む。
> 5. keychain を使えば複数 ssh-agent を起動する必要がなくなる。
266:マーフィ
10/11/28 03:54:00
>>257
Thank you.
267:名無しさん@お腹いっぱい。
10/11/28 13:30:26
XPを使用しています。
URLリンク(www.gadgety.net)
のインストール手順で詰んだのですが、スーパーユーザーで作業するにはどのような操作を行えば良いでしょうか。
268:名無しさん@お腹いっぱい。
10/11/28 14:56:13
su
269:名無しさん@お腹いっぱい。
10/11/28 15:22:11
XPってWindows XPのこと?
スーパーユーザーって何のことだ?
administratorのことか?
Windowsから別のOSにログインするって話なら
その相手が何でどういう設定になってて
何をやりたいのか書かんと
270:名無しさん@お腹いっぱい。
10/11/28 23:18:26
"su" is not Super User.
271:名無しさん@お腹いっぱい。
10/11/28 23:21:34
Substitute User
272:名無しさん@お腹いっぱい。
10/11/30 13:18:27
switch userだと思ってたw
273:名無しさん@お腹いっぱい。
10/11/30 18:47:41
super
274:名無しさん@お腹いっぱい。
10/12/02 08:10:56
URLリンク(www12.atwiki.jp)
275:名無しさん@お腹いっぱい。
10/12/02 15:05:36
SSHのスレで延々引っ張るネタじゃないな
276:名無しさん@お腹いっぱい。
10/12/11 02:57:10
にょろん
277:名無しさん@お腹いっぱい。
10/12/11 19:10:00
>>265
パスフレーズ入力を何回かすることになってでも、俺は
gpg-agent --enable-ssh-supportの方がいいやw
278:名無しさん@お腹いっぱい。
11/01/22 11:01:24
ssh brute force attacksに対する防御で、
OpenSSHのsshdで同一ホストからInvalied userなログイン要求があった場合に
外部プログラムを起動したいんだけど、何か方法ある?
maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って
悪戯できるので、イヤです。
279:名無しさん@お腹いっぱい。
11/01/23 00:34:30
>同一ホストからInvalied userなログイン要求があった
現状これを把握するには log 見るしかないんじゃない?
280:名無しさん@お腹いっぱい。
11/01/23 00:59:47
>>278
ソースいじるしかないんじゃね?
その程度ならすぐ追加できそう
281:名無しさん@お腹いっぱい。
11/01/23 01:34:58
>>278
swatchかsyslog-ngあたりを使うのが普通では
syslogを読む、ってのはよく分からんが
syslogdが出力したlogファイルを読む、という意味か?
少なくとも後者なら「出力」ではなく「入力」に対応して
外部コマンド起動させることはできるよ
syslogdの置き換えだから
俺はsyslog-ngで
「同一ホストから1分間に3回ログイン失敗したら30分遮断」
なスクリプトを起動させてる
以前はswatch使ってたけど、時々変な挙動起こしてたんでやめた
282:名無しさん@お腹いっぱい。
11/01/23 01:47:03
> syslogを読む
syslog.confでパイプすることも含みます。
ローカルユーザーがloggerで悪戯できるということは、侵入者が
これを悪用して管理者のログインを邪魔することが可能になるの
で使いたくないのです。
(侵入されたときに制御を奪い返せなくなる)
283:名無しさん@お腹いっぱい。
11/01/23 01:51:22
あ、logger使って云々とあるから「出力」だけの話じゃねーのか。
と書こうとしたら既にw
sshdの設定変えてログ出力を非標準のfacilityに変えちゃえば
ルート権限持ってないユーザには分からんだろう。
そもそもそんな馬鹿にローカルから使わせるのがいけないんじゃね?
とも思うが。
284:名無しさん@お腹いっぱい。
11/01/23 02:26:50
> ローカルユーザーがloggerで悪戯できるということは、侵入者が
> これを悪用して
んんん??
馬鹿ユーザじゃなくて「侵入者」がローカルで操作するの?
「ローカル」ってのはリモートではなく実機のコンソールでの操作って意味だよね?
どういう状況を想定しているのかイマイチ分からない…
実機を直接いじれる侵入者(あるいはその協力者)を想定するんじゃ
24h常駐ガードマン雇う等の物理的なセキュリティを厳重にするしか
根本対策にならんように思えるが
285:名無しさん@お腹いっぱい。
11/01/23 02:34:35
侵入者(あなたはその協力者)
に見えた
頭腐って来てるかも・・・
286:名無しさん@お腹いっぱい。
11/01/23 02:53:18
> ssh brute force attacksに対する防御で、
防御ならパスワード認証不可にすれば解決では。
色々複雑な状況考えてる一方でノーガードに近いパスワード認証前提というのがチグハグに見える。
287:名無しさん@お腹いっぱい。
11/01/23 06:57:23
ログがうざいんぼるとだろ
288:名無しさん@お腹いっぱい。
11/01/23 08:53:42
制御取り返すなんて、一度侵入された時点でアウトだろ
289:名無しさん@お腹いっぱい。
11/01/23 12:27:56
pam_access.soとpam_tally2.so参考にPAMモジュール自作
290:名無しさん@お腹いっぱい。
11/01/23 21:15:19
>>284
侵入されて任意のコマンド実行可能な状態になったことをローカルユーザと
表現しました。
>>286
sshは公開鍵認証だけです。その上で侵入された場合を想定しています。
>>288
当該サーバが地理的に離れているので、侵入されたことが判明したら、
到着する前にシャットダウンできる備えはしておきたいのです。
291:名無しさん@お腹いっぱい。
11/01/23 21:25:22
>>290
侵入された時点で物理的に電源を切る以外何をやっても無駄。
そこまで心配するならSELinuxなどを使いなよ。
292:名無しさん@お腹いっぱい。
11/01/23 21:46:08
>>290
侵入の証跡取るためにはシャットダウンもよろしくないんだよね
うちだったら緊急時は接続してるSW側でport落とすかな
(そして俺が侵入者なら無通信になったらファイル消しまくるように
仕掛けるだろうw)
293:名無しさん@お腹いっぱい。
11/01/23 22:49:31
>>291
> 侵入された時点で物理的に電源を切る以外何をやっても無駄。
侵入されても、rootを取られてなければ奪還の可能性はあります。
たとえrootを取られても、ログインできればシャットダウン出来る
可能性はありますが、ログインできなければその可能性は0ですよね。
>>292
> 侵入の証跡取るためにはシャットダウンもよろしくないんだよね
放置するよりはシャットダウンを選びます。踏み台にされて犯罪に
使われたりしたら面倒ですから。
> うちだったら緊急時は接続してるSW側でport落とすかな
零細なんでリモートで落とぜるSWは無理です。
294:名無しさん@お腹いっぱい。
11/01/23 23:19:09
>>290
> sshは公開鍵認証だけです。その上で侵入された場合を想定しています。
どういう状況で「その上で侵入」が可能になるのか説明plz
・サーバは遠隔地にある……これは普通
・sshは公開鍵認証のみである……brute forceで破られる心配ゼロ
・それでも、もし入られたら制御を奪われる恐れがある……????
前提がそもそも成り立ってないでしょ。
公開鍵認証使っている以上、秘密鍵が漏洩しない限りsshでの侵入はない、というのが通常の前提。
それを突破してくるスーパーハカーを相手と想定してるなら、何やっても無駄だよ。
君の力の及ぶ相手ではないからあきらめろ、としか。
295:名無しさん@お腹いっぱい。
11/01/24 00:01:01
秘密鍵まで公開してるとか鍵長4bitとか
296:名無しさん@お腹いっぱい。
11/01/24 00:05:05
> どういう状況で「その上で侵入」が可能になるのか説明plz
sshdのバグ、httpdとか他の経路。クライアントへの攻撃。
297:名無しさん@お腹いっぱい。
11/01/24 00:08:19
Debianのウンコパッチが当たった状態で作った公開鍵もヤバイんだよな。
ま、それはともかく対策が過剰な気はする。
ipfw/iptablesなどで接続元を絞るとか、別のレイヤでの対策を考えるべき。
298:名無しさん@お腹いっぱい。
11/01/24 00:36:23
接続元はtcp wrapperでjp限定に絞ってあります。
jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
「待てよ、ログイン出来なくされる」と思い直しての質問です。
299:名無しさん@お腹いっぱい。
11/01/24 00:38:13
>>298
tcp wrapperで逆引きを使うとか、10年前の対策だな。
300:名無しさん@お腹いっぱい。
11/01/24 00:48:41
他にjpで絞る方法ありますか?
301:名無しさん@お腹いっぱい。
11/01/24 00:50:15
パケットフィルタはpfです。
302:名無しさん@お腹いっぱい。
11/01/24 01:19:40
いい加減スレ違いじゃないか?
全然sshの話じゃなくなってるぞ
「httpdとか他の経路」ってのは何なんだよw
303:名無しさん@お腹いっぱい。
11/01/24 01:48:10
>>298
> jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
> 「待てよ、ログイン出来なくされる」と思い直しての質問です。
「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの?
管理者が直近のログインに使ったIPアドレスは除外する、とか
そこまでいろんなパターン考えてるわりに他人が作ったそのまま使うの前提ってのがよく分からん
自分に都合がいいのを自分で作りなよ
304:名無しさん@お腹いっぱい。
11/01/24 01:58:37
つか途中から>>278と質問が変わっとる
brute forceの話はどこへ行った? w
OSが何かも分からんし前提条件も途中で変わるのでは話が
305:名無しさん@お腹いっぱい。
11/01/24 08:09:36
質問者が侵入されroot盗られたというわけ
306:名無しさん@お腹いっぱい。
11/01/24 09:11:29
>>303
> 「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの?
> 管理者が直近のログインに使ったIPアドレスは除外する、とか
自分の利用条件に合う方法が思いつきません。詳細を説明するのも面倒だし、
全部を網羅できず、条件後出しになる可能性が高いので、スクリプトの改造
に関する話題は、これ以上はやめます。
加えて、メッセージの全部を偽造可能なので、それを見破るのも面倒。
>>304
sshdに対する攻撃は
1) ユーザ名を辞書攻撃で得る。
2) そのユーザ名に対してパスワードを辞書攻撃。
という手順です。
1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に
進化した場合にも防御することが可能です。
1)の段階でsshdの穴をつつかれる可能性は残りますが、対策する方がセキュア。
まとめます
・maxlogins.plに類する、syslogdに送られる情報を元に、sshdへの攻撃を防御する
手法は非特権ユーザがサービス停止攻撃を実行可能。
・これに代わる確立された方法は現在のところ無し。
307:名無しさん@お腹いっぱい。
11/01/24 09:31:46
>>306
syslogdにネットワークからメッセージ送れますね。(設定されてれば)
しかも(UDPなので)IPアドレスも偽造できる。
308:名無しさん@お腹いっぱい。
11/01/24 14:08:18
ipfw/iptablesからキックして、syslogを参照すれば良いだけじゃないんかい?
まあ、多少作り込みは必要だろうけどそんなに難しい事だとは思わんけど。
309:名無しさん@お腹いっぱい。
11/01/24 15:07:03
それよりも、syslogd改造してメッセージ送信元のuid取ってくるのが
手っ取り早くて確実かと思いました。(solarisでいう)
で、それをsyslog-ngに組み込もうとしたらsysutils/syslog-ng*がコ
ンパイルできねーでやんの。(事情により今すぐportsを最新版にできない)
310:名無しさん@お腹いっぱい。
11/01/24 15:09:01
> (solarisでいう)
ゴミが残りました。気にしないでください。
311:名無しさん@お腹いっぱい。
11/01/24 15:17:26
### /etc/pam.d/sshd
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_exec.so /sbin/log_and_deny.sh
### /sbin/log_and_deny.sh
#!/bin/sh
x=/var/run/sshd-blacklist-$PAM_USER-$PAM_RHOST
if [ -f $x ] ; then
shutdown now $x
else
touch $x
fi
exit 1
312:名無しさん@お腹いっぱい。
11/01/24 18:22:16
>>311
わろうた
313:名無しさん@お腹いっぱい。
11/01/24 18:29:21
まぁどういう方法でもいいけど、プログラム実行はCPUやディスクI/Oのコストが高いから、ヘタするとそれ自身がDoSになる可能性があるので、気をつけてな。
314:名無しさん@お腹いっぱい。
11/01/25 00:23:01
>>306
> sshdに対する攻撃は
> 1) ユーザ名を辞書攻撃で得る。
> 2) そのユーザ名に対してパスワードを辞書攻撃。
> という手順です。
> 1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に
1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。
そして「1)の段階で検出」は既知の方法で十分対応可能。
1)の段階で「完全に遮断」すりゃその先の話は「まず起こり得ない物語」でしかない。
「まず起こり得ない物語」のために必死に対策打つのは
「まったく価値がない」とは言わんが、ちょいと馬鹿げてないか?
傍目には「空が落ちてきたらどうしよう」って悩んでる人と変わらんように見える。
大丈夫。
「公開鍵認証を突破する手法」とやらが広まる頃には、それに対するパッチもちゃんと出てるよw
315:名無しさん@お腹いっぱい。
11/01/25 00:30:28
>>314
> 1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。
別経路からの侵入を想定と書いた。何度も書かせないでよ。面倒だな。
316:名無しさん@お腹いっぱい。
11/01/25 01:57:00
>>315
どれがお前さんの書き込みだか他人のチャチャだか分からんよ
名前欄に何も入れてない上にこの板はIDも出ないし
続けたいならコテハンにしたら?
本来なら「もっとふさわしいスレ」に移動すべきだろうと思うけど
317:名無しさん@お腹いっぱい。
11/01/25 02:17:43
もう面倒だから
「自分のアカウントがログイン不可にされてたら問答無用でネットワーク断」
になるように設定しとけば?
手法はいろいろ考えられると思うが
318:名無しさん@お腹いっぱい。
11/01/25 23:50:18
>>317
却下です。理由は… 面倒くさいから上の方読んで。
319:名無しさん@お腹いっぱい。
11/01/26 18:08:54
鍵認証のみで十分じゃん
320:名無しさん@お腹いっぱい。
11/01/26 18:18:28
> maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って
> 悪戯できるので、イヤです。
侵入者にルート権限を奪われていない状況で、これって本当に可能なんでしょうか?
管理者のユーザ名も使用しているIPアドレスも分からない状態ですよね?
もちろん「無差別に全部塞ぐ」は簡単だけど自力では「開け直す」ができないんだから
意味がないような気がするし。
321:名無しさん@お腹いっぱい。
11/01/26 18:19:34
それ以前に、踏み台等にすることを考えて侵入した場合
侵入していることが管理者に気づかれないようにするのが普通だと思うのだけど。
管理者を締め出すようなことしたら普通はすぐに対策取られちゃいますよね。
直接コンソール操作して。
苦労して侵入したのに、明かに「侵入してますよ~」って言いふらすような
馬鹿なことをわざわざするかな。
322:名無しさん@お腹いっぱい。
11/01/26 20:06:18
>>318
で、結局のところどうするんだ?これでもまだ「自分の望む答えが出てない」と言うなら、
おそらく自分で方向性決められないので素直に鍵認証にしとけ。
323:名無しさん@お腹いっぱい。
11/01/26 20:43:24
>>320-321
他ユーザのログイン記録の管理は普通ルーズですよ。lastなどでわかる場合が多い。
maxlogins.plはホスト毎にアクセス制御なので、ユーザ名は不要ですね。
>>322
面倒だから上の方読んで。
324:名無しさん@お腹いっぱい。
11/01/26 21:40:13
>>322
やっぱりキミ頭弱いそうだから説明してあげる。
>>309(syslogd改造)が現在の結論。
325:名無しさん@お腹いっぱい。
11/01/26 22:04:55
>>324
全然結論になってないんだけど(笑)。
したり顔で言われたくないなぁ、馬鹿には。
326:名無しさん@お腹いっぱい。
11/01/26 22:46:45
>>325
完璧になってるよ。
syslogdでメッセージ投げてきたプログラムのuidを取得すれば、
sshd(root)とlogger(非特権ユーザ)が区別できるので悪戯されない。
327:名無しさん@お腹いっぱい。
11/01/26 23:07:30
ローカルユーザのいたずら対策と、外部のアタッカーからの対策がごっちゃになってるのが悪い。
・不要なサービスを立ち上げない、提供するホストを分ける
・不要なユーザを受け入れない
・二要素認証と承認の仕組み
などの基本から考え直せ。
328:名無しさん@お腹いっぱい。
11/01/26 23:18:36
>>327
そう思うのは頭が弱いキミだけだよ。syslogd改造で完了だよ。
どんなに間抜けな事言ってるか教えてあげる。
> ・不要なサービスを立ち上げない、提供するホストを分ける
sshdとhttpd提供するホストを分けたら、httpdのホストはどうやって
保守するのでしょうか?
> ・不要なユーザを受け入れない
だからmaxlogins.plのような仕組みが必要。でもsyslogdが今のままではダメ。
> ・二要素認証と承認の仕組み
ハードウエアトークン使った秘密鍵認証ですが、何か?
329:名無しさん@お腹いっぱい。
11/01/26 23:31:23
httpdの保守ならiptablesで1ホスト・1ユーザに絞ればいいじゃん
CMS使えば他のユーザをシェルまでログインさせる必要もない
あれもこれもいいとこ取りしようとして、要件が発散してるのがそもそもの問題w
330:名無しさん@お腹いっぱい。
11/01/26 23:33:51
役所とか大学とかにありがち。
331:名無しさん@お腹いっぱい。
11/01/26 23:47:33
>>293
> 零細なんでリモートで落とぜるSWは無理です。
って言ってたのに、
>>328
>ハードウエアトークン使った秘密鍵認証ですが、何か?
こんな金のかかるもの導入してる。
ほんとに同じ人?
332:名無しさん@お腹いっぱい。
11/01/26 23:50:09
>>331
途中から変なのが参戦してるね。
syslogdなんて亜種がいくらでもあるし、syslogdが問題だと思うなら
余所の適切なスレへ移動して欲しい。
333:名無しさん@お腹いっぱい。
11/01/27 00:03:46
>>331
OpenPGPカードだから安いよ、15ユーロくらいだったかな。
amazonの安売りの1000円カードリーダーだし。
334:名無しさん@お腹いっぱい。
11/01/27 00:22:39
>>329
偉そうに分離しろとか言って、httpdとsshdは分離できないんじゃん。
335:名無しさん@お腹いっぱい。
11/01/27 00:32:15
>>334
daemonとしての「サービス」は複数動かさざるを得ないが、
ユーザに提供する「サービス」はhttpdとsshd両方提供する必要は無い
必要が無いソースホスト・ユーザからは到達させないようにするのはセキュリティの基本中の基本
336:名無しさん@お腹いっぱい。
11/01/27 00:43:55
おまえら、もう釣りにマジレスやめれ。
2,3万からのインテリスイッチすら買えないのに、ハードウェアトークンなんて面倒なものいれる零細企業がどこにあるんだよ。
脳内零細企業の管理者様はセキュリティ板にでもお帰りいただけばおk。
337:名無しさん@お腹いっぱい。
11/01/27 01:27:53
・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる
・侵入されないことより、侵入後の対策が重要
・syslog改造すると表明したのにいつまでSSHスレに居座るの?
・他人の提案は何でも却下
ま、釣りじゃなければ精神異常だ罠
338:名無しさん@お腹いっぱい。
11/01/27 01:34:41
>>335
sshdとhttpdが同一ホストで動かしているという前提しか提示してない
(それでどんなサービスを提供しているかは提示していない)のに
余計な憶測で
> ・不要なサービスを立ち上げない、提供するホストを分ける
と、間抜けなアドバイスしたって事だね。
>>336
外からログインさせるためにはハードウェアトークンは必須。
OpenPGPカードは(カード(15ユーロ)+リーダー(1000円))/1名
ランニングコスト0。全然面倒じゃない。
安定して購入できるかという問題はあるけど、零細はフットワー
ク軽くて小回り効くから、ディスコンになったら考えればいい。
インテリスイッチは無けりゃ無くて済む。
そのわりに設置場所やランニングコストもかかる。
全然矛盾しないんだなあ。
339:名無しさん@お腹いっぱい。
11/01/27 01:59:17
>>337
> ・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる
他サービスに関してはここでは話題にしていないだけ。
> ・侵入されないことより、侵入後の対策が重要
侵入されない事に関しては、ユーザー名総当たり攻撃に対する防御が残っている。
これ以外は対策済み。
> ・syslog改造すると表明したのにいつまでSSHスレに居座るの?
.jp以外を拒否する方法として、tcp wrapperが古いというので、
代わる方法を聞いたけど、まだ答えがない。
あと、>>311は、釣りだったけど、PAMを使うというのは新鮮なアイデアだった。
そういうのが出てくるかもしれない。
> ・他人の提案は何でも却下
接続元限定しろ、パスワード認証やめろ、二要素認証しろ、とか
聞いてもいない、しかも対策済みの提案と、上の方のレス読まずに
書きなぐったまぬけな提案しか出てこねーんだもん。
340:名無しさん@お腹いっぱい。
11/01/27 06:58:45
あー今日も大漁大漁♪
341:名無しさん@お腹いっぱい。
11/01/27 10:03:20
sshd止めてシリアルからログインすればいいべ。
メンテするときはシリアルポートに繋いだモデムに電話掛ければOK。
342:名無しさん@お腹いっぱい。
11/01/28 04:50:40
>>341
WarGamesを思い出した。
343:名無しさん@お腹いっぱい。
11/01/28 12:34:44
>>339
> 上の方のレス読まずに
だから、どれがお前の書き込みだか
他の人には分かんねーんだっつーのw
ここにいるのが全員エスパーだと思ってんのか?
なんでコテハンにしないんだよ
釣られちまった
344:名無しさん@お腹いっぱい。
11/01/28 12:46:01
>>343
そういうお前は誰なんだよ。
345:名無しさん@お腹いっぱい。
11/01/28 12:50:26
>>343
その理屈なら、
> ・他人の提案は何でも却下
却下したのも誰だか判らないじゃないか。w
346:名無しさん@お腹いっぱい。
11/01/28 14:06:56
>>342
古いね~
347:名無しさん@お腹いっぱい。
11/01/28 14:10:03
war dialerでやられる。
348:名無しさん@お腹いっぱい。
11/01/28 17:28:01
>>347
管理者じゃない番号からの着信はPBXで止めろよ。
349:名無しさん@お腹いっぱい。
11/01/28 21:00:29
オレオレ
350:名無しさん@お腹いっぱい。
11/01/29 10:40:26
>>344-345
問題になってるのは「どれが質問者の発言か分からない」という話だろ
「他人」は何人いようと問題じゃない
他人のツッコミや推測の書き込みと質問者の答えの区別がつかんから
「前に書いた」と言われてもどれのことだか分からん訳で
2ちゃんでは話題が継続してる間は最初の質問の番号を名前欄に入れる
のが一般的だと思うんだが質問者はそういうルールを知らんのか
あるいは質問者は>>278だけで後はなりすましの他人による釣り行為だったのかw
351:名無しさん@お腹いっぱい。
11/01/29 10:49:12
もうこの話やめようよ。
352:名無しさん@お腹いっぱい。
11/01/29 11:59:25
>>350
>>337は、(質問者が)「他人の提案をなんでも却下」したと言っている、
却下したのが他人の突っ込みでないこと、すなわち元質問者であるとわ
かっている。
わからないお前がバカなんじゃない?
353:名無しさん@お腹いっぱい。
11/01/29 12:00:00
openssh 5.7リリースの話題から目をそらそうとする陰謀としか思えんな
どういう目的があるのかはわからんが
354:名無しさん@お腹いっぱい。
11/01/29 19:54:45
>>352
とりあえず見てて不快だからこの話題やめようぜ
355:名無しさん@お腹いっぱい。
11/01/29 22:01:49
やり込めようと向かってこなきゃいいんじゃないかな。頭足りないんだから。
356:名無しさん@お腹いっぱい。
11/01/30 00:11:27
>>352
そのレス以前の文脈無視すんなよw
357:名無しさん@お腹いっぱい。
11/01/30 14:29:00
>>356
誰が書いたかわからないのに文脈もクソもないだろ。
358:名無しさん@お腹いっぱい。
11/01/31 11:39:19
>>353
とりあえず家のSolaris鯖のは既に入れ替えてみてある。
ぱっと見、session.cのコードが結構変わってた。
359:名無しさん@お腹いっぱい。
11/02/01 18:44:56
>>358
よくわかってないんだけどECDSA って美味しい?
試しにssh-keygen -t ecdsa したら規定値256bit なんだけどこれで問題ないのかな?
-3 は面白そう
360:名無しさん@お腹いっぱい。
11/02/02 10:06:03
楕円暗号だから256bitもあれば
RSA2048bit よりは強度はだいぶ上じゃないかな
361:名無しさん@お腹いっぱい。
11/02/02 10:14:40
> scp(1): 新しい -3 オプションを追加.
これ壁というかGW上のホストでの作業に
めちゃめちゃ便利そう
いままでなかったのが不思議なくらい
(いちいち ssh utigawa tar cf - | ssh sotogawa tar xpf - とかしてた)
はやく FreeBSD のツリーに取り込まれないかな…
362:名無しさん@お腹いっぱい。
11/02/02 10:19:27
もう一つ openssh 5.7関係の話から(openssh とは直接は関係ないんだけど…)
> sftp(1): sftp クライアントは非常に早くなった.
WinSCP による転送が異常に遅い問題って
この辺の話と関係あるんでしょうかね。
363:名無しさん@お腹いっぱい。
11/02/02 15:03:40
* sftp(1): the sftp client is now significantly faster at performing
directory listings,
これ? ディレクトリ一覧取得って書いてあるけど。
364:名無しさん@お腹いっぱい。
11/02/02 15:24:48
>363
あちゃ… たしかに原文はそうなってるね。
日本語訳しか読んでなかった… orz
365:名無しさん@お腹いっぱい。
11/02/02 20:53:32
>>360
トン
RSA に比べると大分bit 数が少なかったので少し不安でした
とりあえず256bit で運用してみます
366:名無しさん@お腹いっぱい。
11/02/04 13:01:42
5.8
URLリンク(www.openssh.org)
URLリンク(www.unixuser.org)
367:名無しさん@お腹いっぱい。
11/02/04 23:35:36
この前5.7出たばっかなのにもう5.8か
368:名無しさん@お腹いっぱい。
11/02/09 07:24:56
PAMって具体的にどういう利点があるのですか?
369:名無しさん@お腹いっぱい。
11/02/09 21:43:26
>>368
認証プロセスをアプリ毎に実装する必要がない。
認証方法を変更する場合、ユーザー側の作業だけですみ、アプリに変更を加える必要がない。
370:名無しさん@お腹いっぱい。
11/02/23 00:31:11.34
MidpSSHでOpenSSHのsshdへ接続するにはsshd_configに最低でも
Ciphers 3des-cbc
としておかないと駄目らしい。
なんとか接続できたので快適w
371:名無しさん@お腹いっぱい。
11/02/28 10:39:20.71
ssh-keygen コマンドで作成される公開鍵、秘密鍵にはユーザ名は含まれているのでしょうか?
◯前置き:
自分のPC(Windows)には taro というアカウント名でログオンしていて、cygwin を使っている。
家庭内LAN上の別のマシンの Linux 上に taro というアカウントを作った。
cygwin の openssh で ssh-keygen で作成した公開鍵を Linux に送り、cygwin の ssh から
鍵認証でログインすることが出来ている。
◯問題:
sourceforge.jp にアカウントを作った。このときのアカウントは hoge とする。
hoge 用に公開鍵と秘密鍵のペアを作るのが面倒だったので、↑でつくった taro 用の公開鍵を
sourceforge.jp に登録し、cygwin から
$ ssh -i .ssh/id_rsa -l hoge shell.sourceforge.jp
というようにやっているのだけど、10時間たっても
Permission denied (publickey).
というエラーが出てログインできない。
372:名無しさん@お腹いっぱい。
11/02/28 11:34:25.20
ユーザ名は含まれていない。
sshに-v付けて調べる。
373:371
11/02/28 12:08:14.03
>>372 レスどうもありがとうございます。 こんな感じになりました。
$ ssh -v -i .ssh/id_rsa -l hoge shell.sourceforge.jp
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /home/taro/.ssh/config
debug1: Connecting to shell.sourceforge.jp [202.221.179.26] port 22.
debug1: Connection established.
debug1: identity file .ssh/id_rsa type 1
debug1: Remote protocol version 1.99, remote software version OpenSSH_5.1p1 Debian-5
debug1: match: OpenSSH_5.1p1 Debian-5 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
(続く)
374:371
11/02/28 12:08:30.45
(続き)
debug1: Host 'shell.sourceforge.jp' is known and matches the RSA host key.
debug1: Found key in /home/taro/.ssh/known_hosts:43
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: .ssh/id_rsa
debug1: Authentications that can continue: publickey
debug1: No more authentication methods to try.
Permission denied (publickey).
375:名無しさん@お腹いっぱい。
11/02/28 12:51:57.78
pubkeyのオファーはしてるけど、サーバ側で拒否してる。
サーバーに転送した公開鍵がおかしい(行末?)とか、ディレクトリが違うとか、
パーミッションがおかしいとか。
376:名無しさん@お腹いっぱい。
11/02/28 12:52:50.37
サーバの.sshがworldライタブルとか
377:371
11/02/28 13:10:15.94
レスどうもありがとうございます。
sourceforge.jp の場合、下記のように、
ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、
URLリンク(sourceforge.jp)
ディレクトリが違うとかパーミッションがおかしいということはないと思います
(sourceforge.jp の CGI が間違ってない限り)
ちなみに「サーバ側で拒否している」とは、>>373-374 のどこでわかるのでしょうか?
また、「鍵が合ってないよ」とは違う状況をサーバはおうとしているのでしょうか?
378:名無しさん@お腹いっぱい。
11/02/28 13:28:46.78
> ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、
ありがちなミスでコピペしたときに途中に改行が入ってるんじゃない?
公開鍵は一行だぞ。
> debug1: Authentications that can continue: publickey
(あんたの送った公開鍵は却下)次の公開鍵送れ。
379:371
11/02/28 15:04:24.35
すみません、原因がわかりました。
sourceforge.jp では、アカウント申請しただけではシェルサーバに
ログインできず、何らかのプロジェクトに属さないとダメなようです。
申し訳ありません、お騒がせしました。
>>378
レスどうもありがとうございます。
ssh -v でデバッグする方法は今回で知ったので、今後に役立たせていただきます。
380:名無しさん@お腹いっぱい。
11/03/26 01:13:04.19
metosrv9.umd.eduがSSH舐めて歩いてる
381:名無しさん@お腹いっぱい。
11/03/27 01:59:12.03
公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からDebにはsshで入れたが、Mac2からDebには Permission denied (publickey) のエラーで接続できなかった。
Mac1とMac2は同じ構成なので、これは不可思議だった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
Mac1からもDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。
382:名無しさん@お腹いっぱい。
11/03/27 02:16:24.71
間違えたので訂正。
公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からMac2にはsshで入れたが、DebからMac2には Permission denied (publickey) のエラーで接続できなかった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
今度はMac1とMac2の両方からDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。
383:名無しさん@お腹いっぱい。
11/03/27 09:08:23.01
どうみても別問題です
Mac側ユーザでls -la ~/.sshした結果でも貼ってみれば?
384:382
11/03/27 11:20:30.38
>>383 やはりそうですかねえ。それではMac1側のを一応貼ります。
-rw------- 1 me staff 1217 Feb 11 21:26 authorized_keys
-rw------- 1 me staff 1743 Jan 1 12:28 id_rsa
-rw-r--r--@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
-rw------- 1 me staff 418 Jan 1 13:07 id_rsa.pub
-rw-r--r-- 1 me staff 14756 Mar 13 11:53 known_hosts
上記のうち、Debのpublic keyを
-r--------@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
にしても変わりません。
385:名無しさん@お腹いっぱい。
11/03/27 13:26:38.84
何言ってるのかちょっとわからない
Mac1はログインする側でDebがされる側?
まさかだけど鍵穴に鍵穴を突っ込もうと奮闘してるとか?
386:名無しさん@お腹いっぱい。
11/03/27 13:48:31.92
ここと、
>Mac1からMac2に
>DebからMac2に
ここで、
>今度はMac1とMac2の両方からDebに
ログインの方向が変わってるぞ。鍵穴に鍵穴を突っ込もうとしてるか、鍵を鍵に突っ込もうとしてるのどちらか。
387:名無しさん@お腹いっぱい。
11/03/27 15:02:42.89
pubkeyオンリーの運用が難しいなどと抜かす池沼はサーバの運用するな。
388:名無しさん@お腹いっぱい。
11/03/27 23:17:45.54
>>385
なんか百合っぽい
389:名無しさん@お腹いっぱい。
11/03/28 06:06:44.71
藤原一宏教授の虚偽申請は、日本の数学界に対する国民の信頼を裏切った、
無視することのできない重大な事件です。このような者がのうのうと責任ある教授職を
続けていることに、藤原氏がプロの学者であることを自覚しているのなら
なおさら疑問をかんじざるを得ません。今後二度とこのような事件が起きないように
するためにみなさんで建設的な議論をしましょう。
390:382
11/03/28 10:56:35.78
>>386
ログインの方向が変わっているのはその通りです。
3つのマシンがsshdを動かしていて、それぞれ公開鍵を発行して相互にログインできてました。
いま困っているのは
>今度はMac1とMac2の両方からDebに
が出来ない事ですが、
別の事象として、DebからMac2にアクセスするときにも同じエラーが起きていたということです。
391:名無しさん@お腹いっぱい。
11/03/28 13:44:18.52
公開鍵は使いまわせるけど、秘密鍵は使いまわせないですよね?
その公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない。
392:名無しさん@お腹いっぱい。
11/03/28 13:49:53.81
どういう意味で「公開鍵を使いまわす」と言ってるんだろう。
393:名無しさん@お腹いっぱい。
11/03/28 13:50:31.92
>>391
キミは120%理解していない。
394:名無しさん@お腹いっぱい。
11/03/28 14:21:01.08
なるほど、この人はパスフレーズが「鍵」だと勘違いしているのかな…
まあ何を拠り所に認証しようとしているか理解しないと
いつまでたっても勘違い度2000% になっちゃうね
395:名無しさん@お腹いっぱい。
11/03/28 14:23:13.67
>公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない
これができるなら、公開鍵暗号って破綻しないか?
396:名無しさん@お腹いっぱい。
11/03/29 15:29:07.09
お客様の中にPuTTYを使っている方はいらっしゃいませんか
PuTTYで共通する項目を設定することはできんものでしょうか
例えば色や外観など部分的な設定を各セッションで共通化したいのですが手軽な方法はないでしょうか
ICE IVのPuTTYを使っています
397:名無しさん@お腹いっぱい。
11/03/30 10:19:55.10
putty.iniを編集(手動じゃ無くてもいいけど)するんじゃダメなの?
# そういう話じゃなくて?
398:名無しさん@お腹いっぱい。
11/03/30 10:56:06.56
termcapでいうところのtc=が欲しいのだろう。オレも欲しい。
399:名無しさん@お腹いっぱい。
11/03/30 11:56:39.06
ごった煮でもiceivでも多分、無理。実を言うと俺も欲しかった。
ところでputtyスレは新スレ誰も立てずに断絶してしまってる?
400:名無しさん@お腹いっぱい。
11/03/30 13:52:04.65
ありがとう
>>397
それが一番手っ取り早いですね
ini中のいつも使っている[Session:XXXX]のColourXX=で他のセクションのColourを置換してしまえばいいわけですし
>>399
スレタイ検索ではputtyスレなかったです
401:名無しさん@お腹いっぱい。
11/03/30 15:15:59.08
Default Settingsを読み込んでそこから派生させるとかじゃなくて?
402: 忍法帖【Lv=17,xxxPT】
11/04/29 12:59:56.51
Windowsでsftpにエクスプローラから直接アクセスする方法を教えてください。
403:名無しさん@お腹いっぱい。
11/04/29 13:09:24.69
>>402
SFTPサーバーをエクスプローラの仮想フォルダとして追加できる「Swish」
URLリンク(www.forest.impress.co.jp)
404:名無しさん@お腹いっぱい。
11/05/26 20:38:23.52
ポートフォワードをする際に
sshサーバまでの暗号化をさせない方法はありますか?
405:名無しさん@お腹いっぱい。
11/05/26 23:22:00.18
無い。
406:名無しさん@お腹いっぱい。
11/05/27 00:21:30.09
>>404
sshでポートフォワードさせればいい
407:名無しさん@お腹いっぱい。
11/05/27 10:08:43.79
不毛だけど「させない」って言ってるんだから放置で
408:名無しさん@お腹いっぱい。
11/05/27 10:58:39.63
放置して暴れられても面倒だろ
>>404
スレ違い。SSHやめてnetcatでも使ってろよ。
409:名無しさん@お腹いっぱい。
11/05/27 20:20:49.36
は?暗号化をさせない方法は>>406でokだからそれで終了でしょ?
410:名無しさん@お腹いっぱい。
11/05/28 19:26:38.08
商用版SSHには暗号化無しにできるオプションがあるよ。
411:名無しさん@お腹いっぱい。
11/05/28 19:35:03.83
>>406 >>409 は何を取り違えてるんだろうか? 普通に暗号化するんだけど
>>410 すみませんがフリー版でお願いします
412:名無しさん@お腹いっぱい。
11/05/28 20:26:33.43
>>411
SSHを使わずにポートフォワードすればいいんじゃね?
413:名無しさん@お腹いっぱい。
11/05/29 01:12:43.16
>>404
これでいいだろ
ipfw add 100 fwd ${remotehost},${remoteport} tcp from me to me dst-port ${localhost}
414:名無しさん@お腹いっぱい。
11/05/29 01:14:39.58
最後の ${localhost} は ${localport} の間違い
415:名無しさん@お腹いっぱい。
11/05/29 02:25:01.96
>>411
たぶん君のおちんちんが包茎なのが原因
416:名無しさん@お腹いっぱい。
11/05/29 07:38:56.56
ふざけないでくれるかな。
結構真面目に質問したんだが。
417:名無しさん@お腹いっぱい。
11/05/29 07:54:23.06
>>413
ssh鯖がレン鯖とかで、root権限がない場合は無理。
ipfw使うくらいならユーザー権限でstoneの方がいいだろ。
それでもssh鯖にはsshでのみアクセス化で、
勝手にport開いてlistenしてはいけない(fwでブロックされてる)という条件だと無理。
418:名無しさん@お腹いっぱい。
11/05/29 07:55:48.88
なんで>>412と>>413を無視するの
419:名無しさん@お腹いっぱい。
11/05/29 09:02:41.42
>>416
君は自分の恥垢臭で発狂してしまうという珍しい症例。
その狂った頭はもう手のつけようがないけど、包茎は治る障害だから
せめて包茎主日ぐらいはしておけ。
420:名無しさん@お腹いっぱい。
11/05/29 09:28:28.38
暗号化したくないのになんでSSH使いたいの?
421:名無しさん@お腹いっぱい。
11/05/29 10:19:46.25
>>417
sshのみでアクセス可
って条件に非常に興味がある。
Linuxで、そんな設定が出来るのか?
どうやれば制限できるのか 方法を教えてほしい。
422:名無しさん@お腹いっぱい。
11/05/29 11:13:24.12
>>420
よくよめ。
ssh鯖へのログインは暗号化。
その後のポートフォワードは暗号化せず。
だろ。
423:名無しさん@お腹いっぱい。
11/05/29 11:30:30.65
だから>407でFAって言ったのに...
424:名無しさん@お腹いっぱい。
11/05/29 11:40:36.38
ん?暗号化のCPU負荷を気にしてなくて実ネットワークに平文晒したいだけなら
ssh -L sport:remote:lport localhost
でよくない?
425:名無しさん@お腹いっぱい。
11/05/29 11:42:46.20
s/lport/dport/
426:名無しさん@お腹いっぱい。
11/05/29 11:54:23.14
なんだよ単なる露出狂かよ
427:名無しさん@お腹いっぱい。
11/05/29 12:02:33.25
>>424
ssh鯖にログイン後に別のsshでssh鯖自身に接続してポートフォワードか
-gオプション要る。それだと stone使うのと同じ
手元のホストとssh鯖との間がsshでしか繋げない制限がかかってる場合
ssh鯖上で別のlistenポートを開けないので>>424 だとNG
428:名無しさん@お腹いっぱい。
11/05/29 12:16:44.63
あと、自分のホストとSSH鯖との間にNATルーターがあって、
逆方向にポートフォワード(ssh -R)したい場合も
stoneや >>424の方法は使えませんな。
429:名無しさん@お腹いっぱい。
11/05/29 12:32:47.86
>>428
なんで?
転送先へもNATされるのが普通だろうから問題ないでしょ?
430:名無しさん@お腹いっぱい。
11/05/29 12:36:37.65
あ、転送先がNATの内側の話をいいたいのね
431:名無しさん@お腹いっぱい。
11/05/29 12:38:33.66
>>429
内→外のNAT(NAPT)専用で、
NATルーターは別管理で、自分で設定を変更できないと考えろ
432:名無しさん@お腹いっぱい。
11/05/29 12:42:59.23
いやNATの内側でも問題ないな
433:名無しさん@お腹いっぱい。
11/05/29 13:24:10.87
包茎くん、コテハンつけてね。んまぁ、つけなくてもレスから恥垢臭
漂ってくるぐらいに臭いからわかるけどさ。
434:名無しさん@お腹いっぱい。
11/05/29 15:48:54.77
面白いと思ってるのかな
435:名無しさん@お腹いっぱい。
11/06/08 10:33:08.07
Sanba over SSH試してるんだがびっくりする位遅いんだな
Teratermだと2MB/s程度しか出ない
cygwinにOpenSSH-hpn入れてやっても13MB/sくらいが限界だわ
その割にCPUのリソース余ってる感じだし・・
CPUガリガリ使ってガンガン速度出てくれないもんかね~
436:名無しさん@お腹いっぱい。
11/06/08 10:35:04.35
あーSambaだった
437:名無しさん@お腹いっぱい。
11/06/08 13:25:02.78
素直に sshfs にした方が
438:名無しさん@お腹いっぱい。
11/06/08 13:41:44.24
>>437
素直なのかそれ
439:名無しさん@お腹いっぱい。
11/06/08 15:13:04.49
すまない
素直じゃなかったよ////
440:名無しさん@お腹いっぱい。
11/06/08 20:33:59.14
萌えた
441:名無しさん@お腹いっぱい。
11/06/09 21:29:03.47
435ですが色々やりまくった結果
Sambaに拘るならWindowsでのsshクライアントはCygwinでOpensshをTar玉取ってきて
hpnパッチ当てるのが一番速いみたいです 商用だともっと速いのあるのかも?
んで鯖がGentooだったんですがこれが曲者でssh -vでOpenSSH_5.8p1-hpn13v10と
出るのにマルチスレッドで動いてませんでした 気が付くのにtopとにらめっこしつつ
設定変えまくって丸一日かかった・・・
鯖の方のOpensshも野良で入れたらsshdの負荷がMAXで200%まで行くようになって
SambaOverSSHでRead34MB/s、Write58MB/sまで出るようになりました(Phenom9750)
さすがに4コア全部使い切ったりはしないもんですね
ちなみにssh無しだとRead70MB/s、Write100MB/s位
SambaOverSSHで速度出そうって奇特な人は居ないかもしれませんが参考までに、
最初の2MB/sから34MB/sまで上がって嬉しくなったので書いてみましたw
442:名無しさん@お腹いっぱい。
11/06/15 02:24:23.96
gentoo って hpn でもマルチスレッド動いてないんだ?
もしよかったら、どのあたりを設定したか教えてちょ。
443:名無しさん@お腹いっぱい。
11/06/17 22:22:05.43
>>442
設定っていうか/etc/portage/profile/package.providedでGentoo純正のOpenssh
入らないようにして元々のを消してopenssh.orgで取ってきたTar玉のOpensshに
URLリンク(www.psc.edu)
で取ってきたパッチ上から3つ当ててインストールして/etc/init.d/sshdの
SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd}の所を
SSHD_BINARY=${SSHD_BINARY:-/usr/local/sbin/sshd}に書き換えただけです
444:名無しさん@お腹いっぱい。
11/06/18 21:57:05.86
>>443
なーほー。
ありがとん!
445:名無しさん@お腹いっぱい。
11/07/01 19:05:47.44
[クライアント-(Gateway)-サーバ]の環境下で, SSHで接続時にクライアントのディレクトリをサーバにマウントしたいのですが,
クライアントにsshdを導入せずマウントできる方法はないでしょうか
446:名無しさん@お腹いっぱい。
11/07/04 18:50:53.50
逆ポートフォワーディングやればよかでは
447:名無しさん@お腹いっぱい。
11/07/10 06:48:24.05
sshを導入しないならなぜここで聞くのか
448:名無しさん@お腹いっぱい。
11/07/10 07:58:24.51
すみませんが詳しい方のみ回答をお願いします
449:名無しさん@お腹いっぱい。
11/07/10 09:33:40.70
クライアントにsshdを導入するとマウントできる方法はあるでしょうか
450:名無しさん@お腹いっぱい。
11/07/10 11:24:19.67
中国語でok
451:名無しさん@お腹いっぱい。
11/07/10 11:40:20.66
我很遺憾、但我只懇求專家的人來回答。
452:名無しさん@お腹いっぱい。
11/07/10 11:50:00.63
はい。
URLリンク(sourceforge.net)
453:名無しさん@お腹いっぱい。
11/07/10 13:04:32.53
フランスに渡米経験者のみ回答ok
454:名無しさん@お腹いっぱい。
11/07/20 17:12:54.98
『入門OpenSSH』という書籍の原稿が公開されてた。
URLリンク(www.unixuser.org)
良い時代になったなぁ…
次スレのテンプレ(何年後だ)に入れて欲しいぞ。
455:名無しさん@お腹いっぱい。
11/07/20 18:50:10.35
4.69 で直ったやつか?
URLリンク(ttssh2.sourceforge.jp)
456:名無しさん@お腹いっぱい。
11/07/20 18:50:49.96
誤爆した。すまん。
457:名無しさん@お腹いっぱい。
11/07/25 07:11:21.09
最近は外向きのSSLを一回解除して平文を読んでから外部にSSLで繋ぎ直すといった
Man in the MiddleみたいなことをするIDSがあるみたいですが
ローカルのクライアントから外部のサーバへアクセスする際に途中にこういったIDSが存在しても
公開鍵認証でSSH使っている場合にはこれは暗号文を復号されないということでよろしいのでしょうか?
458:名無しさん@お腹いっぱい。
11/07/25 08:26:49.63
SSLの証明書やsshのサーバ host key が何かを
考えてから言ってくれ
459:名無しさん@お腹いっぱい。
11/07/26 02:03:57.05
公開鍵認証かどうかは関係ないやろ。
ローカルのクライアントを操作してる人間が
MITMゲートウェイの提示してきた偽造したホスト公開鍵を
外部サーバのホスト公開鍵だと闇雲に信じてしまうんなら
そら盗聴されるわ。
460:名無しさん@お腹いっぱい。
11/07/30 22:55:04.76
sshで逆引きして.jp以外は拒否ってできますか?
461:名無しさん@お腹いっぱい。
11/07/30 23:50:26.03
>>460
TCP Wrapperのライブラリがリンクされているか、inetd経由で起動させれば可能だよ。
462:名無しさん@お腹いっぱい。
11/08/21 18:50:25.69
接続元のサブネットごとに、認証方式を変える方法ってどう書けばいいでしょうか。
具体的には、ローカルアドレスからは公開鍵認証かパスワード認証、
グローバルアドレスからは公開鍵認証のみ、
としたいです。
463:名無しさん@お腹いっぱい。
11/08/23 10:10:58.30
>>462
man sshd_configしてMatchでAddress使う書式確認すりゃいいんじゃね
464:名無しさん@お腹いっぱい。
11/08/23 15:37:28.24
>>463
ありがとうございます。「Match,Address」というキーワードがわかったので
ssh Match Addressで検索したらそのものズバリのページがみつかりました。
URLリンク(inside.ascade.co.jp)
465:名無しさん@お腹いっぱい。
11/08/26 14:13:13.34
復帰
466:名無しさん@お腹いっぱい。
11/09/05 22:44:49.86
ところでケルベロス使ってる人いる?
467:名無しさん@お腹いっぱい。
11/09/05 23:53:13.16
いるよ
468:名無しさん@お腹いっぱい。
11/09/06 21:54:07.01
どう?
469:名無しさん@お腹いっぱい。
11/09/06 22:13:59.17
さぁ。
470:名無しさん@お腹いっぱい。
11/09/06 23:05:47.45
ありゃ地獄だぜ
471:名無しさん@お腹いっぱい。
11/09/06 23:46:26.24
URLリンク(www.openssh.com)
472:名無しさん@お腹いっぱい。
11/09/26 21:02:40.54
よくわからなかったころは合成に良く使った
473:名無しさん@お腹いっぱい。
11/10/02 12:31:00.47
質問です。
known_hostsに登録される鍵は、ホスト鍵と呼ばれるそうなのですが、
ホスト鍵にも秘密鍵と公開鍵があるんでしょうか?
その場合、known_hostsに登録されているのは公開鍵のほうですか?
474:名無しさん@お腹いっぱい。
11/10/02 14:20:39.62
はい。
475:名無しさん@お腹いっぱい。
11/10/02 21:41:53.68
>>474
ありがとうございます。
公開鍵はknown_hostsに登録されているとすると、
(ホスト鍵の)秘密鍵はどこに登録されているのでしょうか?
476:名無しさん@お腹いっぱい。
11/10/02 21:58:32.77
$ grep ^HostKey /etc/ssh/sshd_config
477:名無しさん@お腹いっぱい。
11/10/03 01:08:39.12
>>475
クライアント側の話?
なら秘密鍵はクライアント側にはないよ。
478:名無しさん@お腹いっぱい。
11/10/04 19:18:25.34
>>476
$ grep ^HostKey /etc/ssh/sshd_config
$
479:名無しさん@お腹いっぱい。
11/10/04 19:46:31.60
>>478
じゃあ
$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh/
それぞれの結果見せて
480:名無しさん@お腹いっぱい。
11/10/04 23:04:59.53
もしもホストキーを自分と相手で同じもの使ったらどうなるの?
481:名無しさん@お腹いっぱい。
11/10/05 00:02:10.98
そんな事チェックしてないので、どうもならない。
482:名無しさん@お腹いっぱい。
11/10/06 00:24:04.87
>>477
クライアント側にあるのが秘密鍵じゃないの?
483:名無しさん@お腹いっぱい。
11/10/06 01:40:00.64
鍵を作ったところにしかないのが秘密鍵。
ホスト鍵はホストが作るんだからその秘密鍵がクライアントにあるはずがない。
484:名無しさん@お腹いっぱい。
11/10/06 02:11:06.54
入門OpenSSH
URLリンク(www.unixuser.org)
485:名無しさん@お腹いっぱい。
11/10/14 01:06:13.11
>>483
クライアントで秘密鍵と公開鍵を作って
サーバには公開鍵を登録する
と思ってたけど違うの?
486:名無しさん@お腹いっぱい。
11/10/14 01:42:46.67
>>485
それは認証用の鍵でしょ なんの話をしてるんだよ
487:名無しさん@お腹いっぱい。
11/10/14 02:17:54.44
>>485
ホスト鍵の話だよ。
sshd_config で言う HostKey の話。
488:名無しさん@お腹いっぱい。
11/10/14 08:54:42.74
秘密鍵を使用する以外の別の場所で、それを作ってはいけないという決まりはない。
489:名無しさん@お腹いっぱい。
11/10/14 09:29:29.23
ホスト鍵って何に使うの?
490:名無しさん@お腹いっぱい。
11/10/14 09:53:01.24
>>488
いきなり何を言い出したんだ?
491:名無しさん@お腹いっぱい。
11/10/14 10:30:19.60
>>488
作ってはいけないという決まりはないが、
作るべきではない。
492:名無しさん@お腹いっぱい。
11/10/14 10:33:48.02
>>489
URLリンク(www.unixuser.org)
493:名無しさん@お腹いっぱい。
11/10/14 10:48:12.08
ホスト鍵が何かわかってないってことは、
初回ログイン時に表示される fingerprint が何かわかってないってこと。
何も考えずに yes って打ってるでしょ。
それ危険だよ。
494:名無しさん@お腹いっぱい。
11/10/14 11:06:06.49
サーバのIPがコロコロ変わるのでknown_hostsは毎回削除してたわ
495:名無しさん@お腹いっぱい。
11/10/14 11:21:58.23
わかっててやってるならいいけどさ。
496:名無しさん@お腹いっぱい。
11/10/14 21:45:45.81
ssh-agent コマンド
ってやってssh-agentを起動する時、
普通に考えると「コマンド」はssh-agentの子プロセスになると思いがちだけど、
実際にはssh-agent内部でfork()した後、その親プロセス側が「コマンド」をexec()する。
「コマンド」が親で、ssh-agentが子プロセスになる。
で、このままでは「コマンド」の終了をwait()やSIGCHLDとかで検出できないので、
ssh-agentはわざわざ10秒おきに「コマンド」が終了したかどうかチェックしてる。
何故わざわざ親と子を逆にして面倒なことをしているのでしょう?
何か理由があるのでしょうか?
497:名無しさん@お腹いっぱい。
11/10/14 23:15:25.03
呼び出し側がコマンドを子プロセス扱いできるようにってことかな?
498:名無しさん@お腹いっぱい。
11/10/15 02:02:05.36
フジテレビデモ
花王デモ
要チェック
499:名無しさん@お腹いっぱい。
11/10/15 11:32:51.63
親プロセスがsh以外の(変な)プログラムだと混乱するのがあるんじゃないかな。
500:名無しさん@お腹いっぱい。
11/10/15 11:48:39.01
>>499
は?祖父母プロセスのことをいいたいの?想像できん・・・
501:名無しさん@お腹いっぱい。
11/10/15 12:16:48.59
$ echo $$
19472
$ ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent ssh-agent bash -c 'echo $PPID'
19472
502:名無しさん@お腹いっぱい。
11/10/15 12:26:07.78
10秒おきにポーリングしてプロセス終了を待つって無駄だよな。
実際ssh-agent終了直後、最大10秒間は /tmp/ssh-XXXXX が残ってしまう。
もっと効率的なアルゴリズムにできないのか?
503:名無しさん@お腹いっぱい。
11/10/15 12:37:43.36
>>496
しかもgetppid(2)じゃなくてkill(2)でチェックしてるんだな。10秒以内に同じ
PIDのプロセスが作られると終了しない、と。
コマンド指定しない時のforkと無理やり共通化したかっただけとか・・・?
504:名無しさん@お腹いっぱい。
11/10/15 14:05:20.20
コマンド付きだろうとなかろうと本来はssh-addやsshのためのソケットサーバ。
起動してしまえば子孫関係のないクライアントへも区別なくサービスできるし、
コマンド指定機能はオマケ機能扱いてことじゃね?
505:名無しさん@お腹いっぱい。
11/10/17 19:03:01.30
>479
それを見たところで分かるとは限らないという意味であえて書いてたのだが…
$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh
moduli ssh_host_ecdsa_key ssh_host_rsa_key
ssh_config ssh_host_ecdsa_key.pub ssh_host_rsa_key.pub
ssh_host_dsa_key ssh_host_key sshd_config
ssh_host_dsa_key.pub ssh_host_key.pub
$
こんなとこ
506:名無しさん@お腹いっぱい。
11/10/17 19:12:40.69
で、どうしたいの。
507:名無しさん@お腹いっぱい。
11/10/17 20:16:45.13
>>506
>>505に対して書いてるのか?なら
>>476が>>475の疑問を解消してくれるのを待ってる
508:名無しさん@お腹いっぱい。
11/10/17 20:28:43.50
grep結果にひっかからないということは/etc/sshのファイルが使われている保証はないということ?
509:名無しさん@お腹いっぱい。
11/10/17 20:43:02.38
>>505
ssh_host_ecdsa_key
ssh_host_rsa_key
ssh_host_dsa_key
ssh_host_key
がホスト鍵だな
次の質問ある?
510:名無しさん@お腹いっぱい。
11/10/17 22:58:06.50
>>508
/usr/sbin/sshd -T で確認すればいいんじゃない?
511:名無しさん@お腹いっぱい。
11/10/17 23:04:38.51
これからはセキュリティックの時代なので
ログインシェルをsshに変更したいんですが、
chsh -s /usr/bin/ssh
のプロンプトを発行するとエラーになりました。
何か設定が足りないんでしょうか?
512:名無しさん@お腹いっぱい。
11/10/17 23:17:07.67
そういうネタはいいです。
513:名無しさん@お腹いっぱい。
11/10/17 23:20:04.38
# echo /usr/bin/ssh >> /etc/shells
514:名無しさん@お腹いっぱい。
11/10/17 23:36:02.81
>>510
sshd: illegal option -- T
OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
usage: sshd [-46Ddeiqt] [-b bits] [-f config_file] [-g login_grace_time]
[-h host_key_file] [-k key_gen_time] [-o option] [-p port] [-u len]
515:名無しさん@お腹いっぱい。
11/10/17 23:39:22.21
ケチつけるだけじゃなく答え教えてあげたら。
516:名無しさん@お腹いっぱい。
11/10/19 08:11:00.41
カラー表示の非対応SSHクライアントで端末タイプにvt100等を使用すると
カラー情報をクライアントが認識できないため、カラーになる文字列の前後に余計な文字列が付与されますが、
このカラー情報のパケットのルールについて記載されているサイト等は無いでしょうか?
端末タイプのdumbを認識しないsshdの場合、手動で取り除きたいと考えています。
517:名無しさん@お腹いっぱい。
11/10/19 11:50:47.19
自己解決レス。
ANSIカラーコードという体系があったのですね。
518:名無しさん@お腹いっぱい。
11/10/19 13:27:19.47
っていうか vt100 はカラー対応じゃないし…
そもそも TERM をみてカラー対応じゃなかったら
そのエスケープシーケンスは吐くべきじゃないわけだが
519:名無しさん@お腹いっぱい。
11/10/19 14:01:20.68
TERMがvt100じゃなかったってオチでは?
520:名無しさん@お腹いっぱい。
11/10/19 14:31:14.74
エスパーするとGNU lsはTERMを認識せずにカラー表示する。
alias ls='ls --color' されてたりする。
TERMをちゃんと認識するには ncursesなり termcapなりのライブラリとのリンクが必要。
lsのような基本コマンドで ncursesとかに依存するのは大げさだから、
TERM無視してエスケープシーケンス出力する今のやりかたが妥当。
521:名無しさん@お腹いっぱい。
11/10/19 15:19:07.26
普通の標準出力の文字列内にエスケープシーケンスがあるべきじゃないだろうし、
5d(だっけ)と直近のmの間を取ってやればいいんじゃないか?
522:名無しさん@お腹いっぱい。
11/10/30 23:22:31.89
基本的には公開鍵認証、
特定のアドレス範囲内からの接続であればパスワード認証も可。
という設定にするにはどうすればいいですか?
というのも一部のクライアントが
公開鍵認証に対応していないもので……。
523:名無しさん@お腹いっぱい。
11/10/31 03:55:48.52
>>522
>>462-464
524:名無しさん@お腹いっぱい。
11/10/31 08:08:26.03
公開鍵認証に対応してないsshクライアントってなんだよ。
そんなのsshクライアントじゃない無視してもいい。
525:名無しさん@お腹いっぱい。
11/10/31 08:14:24.55
すみませんが詳しい方のみ回答をお願いします
526:名無しさん@お腹いっぱい。
11/10/31 08:34:45.02
>>525
sshd2個あげれば?
ふつうは524(クライアントソフト入れ替え)が正しい
527:名無しさん@お腹いっぱい。
11/10/31 08:37:38.84
>>522
/etc/ssh/sshd_configで
PasswordAuthentication no
Match 192.168.0.0/24
PasswordAuthentication yes
こんな感じかな。
コピペせずに
URLリンク(www.unixuser.org)
見ながら設定を推奨します。
てゆか>>523で正解。
>>524
俺も興味あるなw
「一部の」ってことはそれなりに数あるんだろうけど…なんじゃそりゃとしか。
528:名無しさん@お腹いっぱい。
11/10/31 09:47:02.51
クライアント側アプリではなく
「(公開鍵の概念を理解できない)顧客」
だったりしてな…
529:名無しさん@お腹いっぱい。
11/10/31 09:51:21.95
そういうクライアントは辞書攻撃でやられるパスワードをつける可能性が大だから、
やはり無視するのが正しい。
530:名無しさん@お腹いっぱい。
11/10/31 12:00:59.75
俺は >>528 の解釈が当たりだと思った
だったら man sshd_configしてMatchでAddressとUserとの組合せの書式を
確認させないといけないね。本当にやりたいことに近いのはIPアドレスで
判別じゃなくて、IPアドレス&ユーザ名で判別だろうからね。
Match User alice,bob Address 192.168.0.0/16,10.0.0.0/8
PasswordAuthentication yes
PermitEmptyPasswords no
本当にやりたいことは「こんなクソみたいな設定作業を低コストでどっか
にほっぽり出したうえで責任回避するにはどうしたらいいか」って問題の
解決だろうが、そんなもんスレ違いw
531:名無しさん@お腹いっぱい。
11/11/02 17:58:33.74
sshでUDPをポートフォワードする方法教えて。man見てもよくわからんね
532:名無しさん@お腹いっぱい。
11/11/02 18:02:28.57
>>531
ググれカス
533:名無しさん@お腹いっぱい。
11/11/02 18:05:33.59
>>531
SSHだけじゃできない、ってのはわかってるかな。
534:531
11/11/02 18:54:46.54
もちろん、わかってません><
535:名無しさん@お腹いっぱい。
11/11/02 19:54:37.43
じゃあnetcatも使ってなんとかしとけ
536:名無しさん@お腹いっぱい。
11/11/02 20:34:27.86
にゃあ
537:名無しさん@お腹いっぱい。
11/11/02 21:26:01.91
DeleGateのUDPrelayとかかます
URLリンク(i-red.info)
538: 忍法帖【Lv=40,xxxPT】
11/11/07 05:15:04.90
http overでssh接続することはできませんか?
539:名無しさん@お腹いっぱい。
11/11/07 10:52:52.94
connect.cとかcorkscrewとかを使えばできる。
540:名無しさん@お腹いっぱい。
11/11/08 18:42:53.73
sshdですが、2つのポートで待ち受けることはできるのでしょうか?
541:名無しさん@お腹いっぱい。
11/11/08 18:56:06.14
>>540
URLリンク(www.jp.freebsd.org)
Port (ポート番号)
sshd が接続を受けつける (listen する) ポート番号を指定します。デ
フォルトは 22 です。複数指定することも可能です。 ListenAddress の
項も参照してください。
542:名無しさん@お腹いっぱい。
11/11/08 18:58:30.21
URLリンク(www.openssh.org)
543:名無しさん@お腹いっぱい。
11/11/08 19:09:32.46
>>542
バーカ
544:名無しさん@お腹いっぱい。
11/11/08 19:20:13.84
罵倒する理由はなに?
545:名無しさん@お腹いっぱい。
11/11/08 20:33:45.19
>>544
>>541の2分後に堂々と>>542を書き込んでくるその神経に敬意を表して
546:名無しさん@お腹いっぱい。
11/11/08 21:10:27.53
狭量
547:名無しさん@お腹いっぱい。
11/11/08 21:17:59.43
2分後w
548:名無しさん@お腹いっぱい。
11/11/08 21:28:40.96
>>542 と >>543 の狭量比べが始まりました
果たして勝者は!?
549:542
11/11/08 21:34:40.77
おれは別にどうでもいいよ。
550:名無しさん@お腹いっぱい。
11/11/09 04:40:41.95
早速の変身ありがとうございます。
2つのポートを使いたいというのは、ファイアウォール内では問題ないのですが
外からはポート80以外接続できないようになっています。
apacheは動いていないので、80番ポートを通してSSH接続できないかと
思案していたところでございました。
551:名無しさん@お腹いっぱい。
11/11/09 05:04:47.19
>>550
80も狙われやすいと思うけど。
TCP porrt 53とか開いてないのかな?
552:名無しさん@お腹いっぱい。
11/11/09 09:16:59.92
>>551
狙われてもいいじゃん。
sshdの方で鍵認証のみにするなり防御の方法はあるし、
L4で狙われにくいポートを選ぶっていう小細工したって知れてるでしょ。
553:名無しさん@お腹いっぱい。
11/11/09 09:21:38.93
ところが公開鍵認証に対応していないクライアントなんですよ。
554:名無しさん@お腹いっぱい。
11/11/09 09:41:06.42
そのネタはもういいです。
555:名無しさん@お腹いっぱい。
11/11/09 10:33:42.19
ポート変えるのは防御ってより
ウザいログを減らすためだな。
556:名無しさん@お腹いっぱい。
11/11/09 13:46:38.52
まあ80番にSSHアタックしてこんだろ
557:名無しさん@お腹いっぱい。
11/11/09 14:11:59.34
ないとは言いきれない。
558:名無しさん@お腹いっぱい。
11/11/09 14:23:07.22
sshは応答で簡単にわかるから、sshアタックあってもおかしくない
固定IPからのみのパケットフィルタリングとか出来ると
安全、安心。
559:名無しさん@お腹いっぱい。
11/11/09 17:47:20.05
鍵のみ+denyhostでいいんじゃ?
560:名無しさん@お腹いっぱい。
11/12/24 01:40:49.43
SignificantSukebeHeitai
561:名無しさん@お腹いっぱい。
12/01/10 15:29:17.25
OpenSSL 1.0.0f and 0.9.8s
URLリンク(www.openssl.org)
セキュリティフィクスのみかな
562:561
12/01/10 15:56:25.99
あ,OpenSSHスレだった
ごめん
563:名無しさん@お腹いっぱい。
12/01/23 19:44:03.60
androidのconnectbotでssh port forwardしたいけどできねー。
他にクライアント無いですか。
564:名無しさん@お腹いっぱい。
12/01/23 21:51:14.28
>>563
stone じゃだめかいな。
565:名無しさん@お腹いっぱい。
12/01/23 23:15:51.72
Connectbotって、sshでパスワード認証成功させて、
アンドロイドVNCを起動させると、裏にまわったConnectbotが落ちちゃう(killされる?)みたいなんですよね。
でも、毎回そうなる訳じゃないから不思議...
やっぱりスレ違いかな。
566:名無しさん@お腹いっぱい。
12/01/23 23:33:59.68
SSHTunnelとAndroid VNCの組み合わせで使ってる
567:名無しさん@お腹いっぱい。
12/01/23 23:34:22.51
犬板にこんなスレできてるから聞いてみるといいかも
Android総合
スレリンク(linux板)
568:名無しさん@お腹いっぱい。
12/01/24 00:03:27.30
Root requiredなのを使えば鉄板なのはわかるんだけどなぁ。
でもnative binaryなAndroidアプリの話ならスレ違いってことはないか。
569:名無しさん@お腹いっぱい。
12/01/24 08:43:57.26
SSHTunnelは特権なくてもVNC程度なら使えるはずだけど
570:名無しさん@お腹いっぱい。
12/01/26 16:23:27.70
普通にSSHTunnelで出来ましたが、一回の接続につき、トンネルを一本しか掘れないんですね。
それだけが玉に傷。
571:名無しさん@お腹いっぱい。
12/01/29 14:02:58.50
ここに書けばいいのかよくわからないけど
ssh -Yでフォワードしてfirefoxとかはちゃんと動くんだけど
javaのアプリ(V2C)が空白になって描画されないんだよね
はじめは-Xでやってたんだけどググったら-Yでやれみたいなことが書いてあって試したんだけど変わらず
なにか心当たりある人いますか?
572:名無しさん@お腹いっぱい。
12/01/29 22:45:28.79
ごめんなさい自己解決しました
awesomeの問題?でwmname LG3Dを実行してから起動すると正常に描画されました
573:名無しさん@お腹いっぱい。
12/02/09 00:27:53.62
nohupコマンドについて質問です。
ログアウトしてもジョブが継続されるとのことですが、
ログアウトというのはSSHからログアウトという意味でしょうか?
それともSSHだけでなくターミナルを起動しているPCの電源を落としてもジョブは継続するのでしょうか?
574:名無しさん@お腹いっぱい。
12/02/09 00:56:26.20
>>573
はい
575:名無しさん@お腹いっぱい。
12/02/09 01:54:30.41
両方。
576:名無しさん@お腹いっぱい。
12/02/09 02:01:10.50
>>573-574
ありがとうございます
577:名無しさん@お腹いっぱい。
12/02/09 02:01:39.64
>>575
ありがとうございます
578:名無しさん@お腹いっぱい。
12/02/16 18:14:49.38
すみません、質問です。
昨日OpenSSH(5.9_p1-r3)サーバを再インストール(selinux,pam環境下)したところ
クライアントからrootでは接続する場合ではセッションを確立でき、
当然セッションを確立した状態からならほかの一般ユーザにログインもできるのですが
クライアントから直接一般ユーザでセッションを確立しようとすると
OpenSSH_5.4p1クライアントではConnection to (SERVER) closed by remote hostというエラーが発生し
OpenSSH_5.9p1(サーバ)から接続してもWrite failed: Broken pipeと表示されてセッションを確立できません
鍵の再作成とknown_hostの初期化, hosts.allo/denyなどは設定したのですが解決のめどはありません。
どなたかわかる方いらっしゃるでしょうか
579:名無しさん@お腹いっぱい。
12/02/17 03:51:00.06
CentOS6でほぼデフォルト状態で使用しています。
sshを使用してポート3306(DB)に接続した場合、そのことがログ/var/log/*に記録されますか?
それとも、sshでログインがあったことしか残りませんか?
580:名無しさん@お腹いっぱい。
12/02/17 07:47:06.09
やってみりゃいいじゃん。
581:名無しさん@お腹いっぱい。
12/02/17 08:11:16.92
きっと、攻撃する方でログは見れないんだろ。
582:名無しさん@お腹いっぱい。
12/02/17 08:15:44.70
同じ環境作ればいい。
583:名無しさん@お腹いっぱい。
12/02/17 09:12:34.88
対象の環境は侵入して調べなきゃ再現できないじゃないか。
584:名無しさん@お腹いっぱい。
12/02/17 09:58:20.38
そこはもう済んでるから
>>579みたいな質問になったんじゃないの?
585:名無しさん@お腹いっぱい。
12/02/17 10:13:54.86
サクッと教えてくれるのがおまえらやん…
Acceptedのログにフォワーデング先のポート番号も出るならlogwatchとかでバレちゃうかなぁ
586:名無しさん@お腹いっぱい。
12/02/17 10:19:21.26
さくっとわからんもの。
環境作って検証しないとわからん。
だったら自分でやれ、と。
587:名無しさん@お腹いっぱい。
12/02/17 16:46:24.08
>>580-584,586
CentOS6でほぼデフォといえばキュピィーーンってくるエスパーに期待しちゃったお
とりあえずありが㌧
DBはログ監視どころかログとってすらなさげだから普通にsshでログインしてから
DB接続した形跡をhistoryに残さないよう注意しつつなんとかするお
588:名無しさん@お腹いっぱい。
12/02/17 18:24:52.20
ほぼデフォといったって、my.cnfに一行追加するだけだろ。w
589:名無しさん@お腹いっぱい。
12/02/17 18:41:10.85
デフォってminimal installのことか?
590:名無しさん@お腹いっぱい。
12/02/17 21:54:54.64
mysqlサーバにログインしてデフォで接続なら3306は関係ないだろj
591:名無しさん@お腹いっぱい。
12/02/17 23:51:35.08
ちんぼ
592:名無しさん@お腹いっぱい。
12/02/20 20:36:43.13
すみません質問です.
リモートからの接続も,サーバ自身からの接続(ssh localhost -l ${USER})でも,
ユーザがrootならば接続できるのですが,一般ユーザだと接続に失敗します.
--vvオプションで実行した場合以下のようになるのですが,解決法のわかる方いらっしゃらないでしょうか
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to localhost:22).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Write failed: Broken pipe
593:名無しさん@お腹いっぱい。
12/02/21 09:53:18.19
LogLevel上げてログを確認してみたら?
594:名無しさん@お腹いっぱい。
12/02/21 11:30:57.65
> debug1: Authentication succeeded (keyboard-interactive).
認証は通ってるからsshd側でログとらないとわからないなあ。pamとかかな。
595:名無しさん@お腹いっぱい。
12/05/21 20:55:35.98
windows用puttyでパスフレーズなしで
key id_rsaを作りました。
そのkeyでSSHログインしようとすると
>ssh -i id_rsa hogehoge.com
Enter passphrase for key
と
なぜか設定した覚えのないパスフレーズを求められてしまいます。
PuttyのGUIのほうでログインすると問題ないのですが、、、
596:名無しさん@お腹いっぱい。
12/05/21 21:13:48.03
puttyで作った秘密鍵とopensshで作った秘密鍵はフォーマットが違うから
それぞれの対応ソフトでしか使えない
公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない
597:名無しさん@お腹いっぱい。
12/05/21 21:17:45.88
>>596
> 公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない
ん?
変換できるでしょ。
URLリンク(blog.promob.jp)