SSH その7at UNIX
SSH その7 - 暇つぶし2ch386:名無しさん@お腹いっぱい。
11/03/27 13:48:31.92
ここと、

>Mac1からMac2に
>DebからMac2に

ここで、

>今度はMac1とMac2の両方からDebに

ログインの方向が変わってるぞ。鍵穴に鍵穴を突っ込もうとしてるか、鍵を鍵に突っ込もうとしてるのどちらか。

387:名無しさん@お腹いっぱい。
11/03/27 15:02:42.89
pubkeyオンリーの運用が難しいなどと抜かす池沼はサーバの運用するな。

388:名無しさん@お腹いっぱい。
11/03/27 23:17:45.54
>>385
なんか百合っぽい

389:名無しさん@お腹いっぱい。
11/03/28 06:06:44.71
藤原一宏教授の虚偽申請は、日本の数学界に対する国民の信頼を裏切った、
無視することのできない重大な事件です。このような者がのうのうと責任ある教授職を
続けていることに、藤原氏がプロの学者であることを自覚しているのなら
なおさら疑問をかんじざるを得ません。今後二度とこのような事件が起きないように
するためにみなさんで建設的な議論をしましょう。

390:382
11/03/28 10:56:35.78
>>386
ログインの方向が変わっているのはその通りです。
3つのマシンがsshdを動かしていて、それぞれ公開鍵を発行して相互にログインできてました。

いま困っているのは
>今度はMac1とMac2の両方からDebに
が出来ない事ですが、
別の事象として、DebからMac2にアクセスするときにも同じエラーが起きていたということです。

391:名無しさん@お腹いっぱい。
11/03/28 13:44:18.52
公開鍵は使いまわせるけど、秘密鍵は使いまわせないですよね?
その公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない。

392:名無しさん@お腹いっぱい。
11/03/28 13:49:53.81
どういう意味で「公開鍵を使いまわす」と言ってるんだろう。

393:名無しさん@お腹いっぱい。
11/03/28 13:50:31.92
>>391
キミは120%理解していない。

394:名無しさん@お腹いっぱい。
11/03/28 14:21:01.08
なるほど、この人はパスフレーズが「鍵」だと勘違いしているのかな…

まあ何を拠り所に認証しようとしているか理解しないと
いつまでたっても勘違い度2000% になっちゃうね

395:名無しさん@お腹いっぱい。
11/03/28 14:23:13.67
>公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない
これができるなら、公開鍵暗号って破綻しないか?

396:名無しさん@お腹いっぱい。
11/03/29 15:29:07.09
お客様の中にPuTTYを使っている方はいらっしゃいませんか
PuTTYで共通する項目を設定することはできんものでしょうか
例えば色や外観など部分的な設定を各セッションで共通化したいのですが手軽な方法はないでしょうか
ICE IVのPuTTYを使っています

397:名無しさん@お腹いっぱい。
11/03/30 10:19:55.10
putty.iniを編集(手動じゃ無くてもいいけど)するんじゃダメなの?

# そういう話じゃなくて?

398:名無しさん@お腹いっぱい。
11/03/30 10:56:06.56
termcapでいうところのtc=が欲しいのだろう。オレも欲しい。

399:名無しさん@お腹いっぱい。
11/03/30 11:56:39.06
ごった煮でもiceivでも多分、無理。実を言うと俺も欲しかった。
ところでputtyスレは新スレ誰も立てずに断絶してしまってる?

400:名無しさん@お腹いっぱい。
11/03/30 13:52:04.65
ありがとう

>>397
それが一番手っ取り早いですね
ini中のいつも使っている[Session:XXXX]のColourXX=で他のセクションのColourを置換してしまえばいいわけですし

>>399
スレタイ検索ではputtyスレなかったです



401:名無しさん@お腹いっぱい。
11/03/30 15:15:59.08
Default Settingsを読み込んでそこから派生させるとかじゃなくて?

402: 忍法帖【Lv=17,xxxPT】
11/04/29 12:59:56.51
Windowsでsftpにエクスプローラから直接アクセスする方法を教えてください。

403:名無しさん@お腹いっぱい。
11/04/29 13:09:24.69
>>402
SFTPサーバーをエクスプローラの仮想フォルダとして追加できる「Swish」
URLリンク(www.forest.impress.co.jp)

404:名無しさん@お腹いっぱい。
11/05/26 20:38:23.52
ポートフォワードをする際に
sshサーバまでの暗号化をさせない方法はありますか?

405:名無しさん@お腹いっぱい。
11/05/26 23:22:00.18
無い。

406:名無しさん@お腹いっぱい。
11/05/27 00:21:30.09
>>404
sshでポートフォワードさせればいい

407:名無しさん@お腹いっぱい。
11/05/27 10:08:43.79
不毛だけど「させない」って言ってるんだから放置で


408:名無しさん@お腹いっぱい。
11/05/27 10:58:39.63
放置して暴れられても面倒だろ
>>404
スレ違い。SSHやめてnetcatでも使ってろよ。


409:名無しさん@お腹いっぱい。
11/05/27 20:20:49.36
は?暗号化をさせない方法は>>406でokだからそれで終了でしょ?

410:名無しさん@お腹いっぱい。
11/05/28 19:26:38.08
商用版SSHには暗号化無しにできるオプションがあるよ。

411:名無しさん@お腹いっぱい。
11/05/28 19:35:03.83
>>406 >>409 は何を取り違えてるんだろうか? 普通に暗号化するんだけど

>>410 すみませんがフリー版でお願いします

412:名無しさん@お腹いっぱい。
11/05/28 20:26:33.43
>>411
SSHを使わずにポートフォワードすればいいんじゃね?

413:名無しさん@お腹いっぱい。
11/05/29 01:12:43.16
>>404
これでいいだろ
ipfw add 100 fwd ${remotehost},${remoteport} tcp from me to me dst-port ${localhost}

414:名無しさん@お腹いっぱい。
11/05/29 01:14:39.58
最後の ${localhost} は ${localport} の間違い

415:名無しさん@お腹いっぱい。
11/05/29 02:25:01.96
>>411
たぶん君のおちんちんが包茎なのが原因

416:名無しさん@お腹いっぱい。
11/05/29 07:38:56.56
ふざけないでくれるかな。
結構真面目に質問したんだが。

417:名無しさん@お腹いっぱい。
11/05/29 07:54:23.06
>>413
ssh鯖がレン鯖とかで、root権限がない場合は無理。
ipfw使うくらいならユーザー権限でstoneの方がいいだろ。
それでもssh鯖にはsshでのみアクセス化で、
勝手にport開いてlistenしてはいけない(fwでブロックされてる)という条件だと無理。

418:名無しさん@お腹いっぱい。
11/05/29 07:55:48.88
なんで>>412>>413を無視するの

419:名無しさん@お腹いっぱい。
11/05/29 09:02:41.42
>>416
君は自分の恥垢臭で発狂してしまうという珍しい症例。
その狂った頭はもう手のつけようがないけど、包茎は治る障害だから
せめて包茎主日ぐらいはしておけ。

420:名無しさん@お腹いっぱい。
11/05/29 09:28:28.38
暗号化したくないのになんでSSH使いたいの?

421:名無しさん@お腹いっぱい。
11/05/29 10:19:46.25
>>417
sshのみでアクセス可
って条件に非常に興味がある。
Linuxで、そんな設定が出来るのか?
どうやれば制限できるのか 方法を教えてほしい。

422:名無しさん@お腹いっぱい。
11/05/29 11:13:24.12
>>420
よくよめ。
ssh鯖へのログインは暗号化。
その後のポートフォワードは暗号化せず。
だろ。

423:名無しさん@お腹いっぱい。
11/05/29 11:30:30.65
だから>407でFAって言ったのに...

424:名無しさん@お腹いっぱい。
11/05/29 11:40:36.38
ん?暗号化のCPU負荷を気にしてなくて実ネットワークに平文晒したいだけなら
ssh -L sport:remote:lport localhost
でよくない?

425:名無しさん@お腹いっぱい。
11/05/29 11:42:46.20
s/lport/dport/

426:名無しさん@お腹いっぱい。
11/05/29 11:54:23.14
なんだよ単なる露出狂かよ

427:名無しさん@お腹いっぱい。
11/05/29 12:02:33.25
>>424
ssh鯖にログイン後に別のsshでssh鯖自身に接続してポートフォワードか
-gオプション要る。それだと stone使うのと同じ

手元のホストとssh鯖との間がsshでしか繋げない制限がかかってる場合
ssh鯖上で別のlistenポートを開けないので>>424 だとNG

428:名無しさん@お腹いっぱい。
11/05/29 12:16:44.63
あと、自分のホストとSSH鯖との間にNATルーターがあって、
逆方向にポートフォワード(ssh -R)したい場合も
stoneや >>424の方法は使えませんな。

429:名無しさん@お腹いっぱい。
11/05/29 12:32:47.86
>>428
なんで?
転送先へもNATされるのが普通だろうから問題ないでしょ?

430:名無しさん@お腹いっぱい。
11/05/29 12:36:37.65
あ、転送先がNATの内側の話をいいたいのね

431:名無しさん@お腹いっぱい。
11/05/29 12:38:33.66
>>429
内→外のNAT(NAPT)専用で、
NATルーターは別管理で、自分で設定を変更できないと考えろ

432:名無しさん@お腹いっぱい。
11/05/29 12:42:59.23
いやNATの内側でも問題ないな

433:名無しさん@お腹いっぱい。
11/05/29 13:24:10.87
包茎くん、コテハンつけてね。んまぁ、つけなくてもレスから恥垢臭
漂ってくるぐらいに臭いからわかるけどさ。

434:名無しさん@お腹いっぱい。
11/05/29 15:48:54.77
面白いと思ってるのかな

435:名無しさん@お腹いっぱい。
11/06/08 10:33:08.07
Sanba over SSH試してるんだがびっくりする位遅いんだな
Teratermだと2MB/s程度しか出ない
cygwinにOpenSSH-hpn入れてやっても13MB/sくらいが限界だわ
その割にCPUのリソース余ってる感じだし・・

CPUガリガリ使ってガンガン速度出てくれないもんかね~

436:名無しさん@お腹いっぱい。
11/06/08 10:35:04.35
あーSambaだった

437:名無しさん@お腹いっぱい。
11/06/08 13:25:02.78
素直に sshfs にした方が

438:名無しさん@お腹いっぱい。
11/06/08 13:41:44.24
>>437
素直なのかそれ

439:名無しさん@お腹いっぱい。
11/06/08 15:13:04.49
すまない
素直じゃなかったよ////

440:名無しさん@お腹いっぱい。
11/06/08 20:33:59.14
萌えた

441:名無しさん@お腹いっぱい。
11/06/09 21:29:03.47
435ですが色々やりまくった結果
Sambaに拘るならWindowsでのsshクライアントはCygwinでOpensshをTar玉取ってきて
hpnパッチ当てるのが一番速いみたいです 商用だともっと速いのあるのかも?

んで鯖がGentooだったんですがこれが曲者でssh -vでOpenSSH_5.8p1-hpn13v10と
出るのにマルチスレッドで動いてませんでした 気が付くのにtopとにらめっこしつつ
設定変えまくって丸一日かかった・・・

鯖の方のOpensshも野良で入れたらsshdの負荷がMAXで200%まで行くようになって
SambaOverSSHでRead34MB/s、Write58MB/sまで出るようになりました(Phenom9750)
さすがに4コア全部使い切ったりはしないもんですね
ちなみにssh無しだとRead70MB/s、Write100MB/s位

SambaOverSSHで速度出そうって奇特な人は居ないかもしれませんが参考までに、
最初の2MB/sから34MB/sまで上がって嬉しくなったので書いてみましたw

442:名無しさん@お腹いっぱい。
11/06/15 02:24:23.96
gentoo って hpn でもマルチスレッド動いてないんだ?
もしよかったら、どのあたりを設定したか教えてちょ。


443:名無しさん@お腹いっぱい。
11/06/17 22:22:05.43
>>442
設定っていうか/etc/portage/profile/package.providedでGentoo純正のOpenssh
入らないようにして元々のを消してopenssh.orgで取ってきたTar玉のOpensshに
URLリンク(www.psc.edu)
で取ってきたパッチ上から3つ当ててインストールして/etc/init.d/sshdの
SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd}の所を
SSHD_BINARY=${SSHD_BINARY:-/usr/local/sbin/sshd}に書き換えただけです

444:名無しさん@お腹いっぱい。
11/06/18 21:57:05.86
>>443
なーほー。
ありがとん!

445:名無しさん@お腹いっぱい。
11/07/01 19:05:47.44
[クライアント-(Gateway)-サーバ]の環境下で, SSHで接続時にクライアントのディレクトリをサーバにマウントしたいのですが,
クライアントにsshdを導入せずマウントできる方法はないでしょうか

446:名無しさん@お腹いっぱい。
11/07/04 18:50:53.50
逆ポートフォワーディングやればよかでは

447:名無しさん@お腹いっぱい。
11/07/10 06:48:24.05
sshを導入しないならなぜここで聞くのか

448:名無しさん@お腹いっぱい。
11/07/10 07:58:24.51
すみませんが詳しい方のみ回答をお願いします

449:名無しさん@お腹いっぱい。
11/07/10 09:33:40.70
クライアントにsshdを導入するとマウントできる方法はあるでしょうか


450:名無しさん@お腹いっぱい。
11/07/10 11:24:19.67
中国語でok

451:名無しさん@お腹いっぱい。
11/07/10 11:40:20.66
我很遺憾、但我只懇求專家的人來回答。

452:名無しさん@お腹いっぱい。
11/07/10 11:50:00.63
はい。
URLリンク(sourceforge.net)

453:名無しさん@お腹いっぱい。
11/07/10 13:04:32.53
フランスに渡米経験者のみ回答ok

454:名無しさん@お腹いっぱい。
11/07/20 17:12:54.98
『入門OpenSSH』という書籍の原稿が公開されてた。
URLリンク(www.unixuser.org)
良い時代になったなぁ…
次スレのテンプレ(何年後だ)に入れて欲しいぞ。

455:名無しさん@お腹いっぱい。
11/07/20 18:50:10.35
4.69 で直ったやつか?
URLリンク(ttssh2.sourceforge.jp)

456:名無しさん@お腹いっぱい。
11/07/20 18:50:49.96
誤爆した。すまん。

457:名無しさん@お腹いっぱい。
11/07/25 07:11:21.09
最近は外向きのSSLを一回解除して平文を読んでから外部にSSLで繋ぎ直すといった
Man in the MiddleみたいなことをするIDSがあるみたいですが
ローカルのクライアントから外部のサーバへアクセスする際に途中にこういったIDSが存在しても
公開鍵認証でSSH使っている場合にはこれは暗号文を復号されないということでよろしいのでしょうか?

458:名無しさん@お腹いっぱい。
11/07/25 08:26:49.63
SSLの証明書やsshのサーバ host key が何かを
考えてから言ってくれ

459:名無しさん@お腹いっぱい。
11/07/26 02:03:57.05
公開鍵認証かどうかは関係ないやろ。
ローカルのクライアントを操作してる人間が
MITMゲートウェイの提示してきた偽造したホスト公開鍵を
外部サーバのホスト公開鍵だと闇雲に信じてしまうんなら
そら盗聴されるわ。


460:名無しさん@お腹いっぱい。
11/07/30 22:55:04.76
sshで逆引きして.jp以外は拒否ってできますか?

461:名無しさん@お腹いっぱい。
11/07/30 23:50:26.03
>>460
TCP Wrapperのライブラリがリンクされているか、inetd経由で起動させれば可能だよ。

462:名無しさん@お腹いっぱい。
11/08/21 18:50:25.69
接続元のサブネットごとに、認証方式を変える方法ってどう書けばいいでしょうか。
具体的には、ローカルアドレスからは公開鍵認証かパスワード認証、
グローバルアドレスからは公開鍵認証のみ、
としたいです。

463:名無しさん@お腹いっぱい。
11/08/23 10:10:58.30
>>462
man sshd_configしてMatchでAddress使う書式確認すりゃいいんじゃね


464:名無しさん@お腹いっぱい。
11/08/23 15:37:28.24
>>463
ありがとうございます。「Match,Address」というキーワードがわかったので
ssh Match Addressで検索したらそのものズバリのページがみつかりました。
URLリンク(inside.ascade.co.jp)

465:名無しさん@お腹いっぱい。
11/08/26 14:13:13.34
復帰

466:名無しさん@お腹いっぱい。
11/09/05 22:44:49.86
ところでケルベロス使ってる人いる?

467:名無しさん@お腹いっぱい。
11/09/05 23:53:13.16
いるよ

468:名無しさん@お腹いっぱい。
11/09/06 21:54:07.01
どう?

469:名無しさん@お腹いっぱい。
11/09/06 22:13:59.17
さぁ。

470:名無しさん@お腹いっぱい。
11/09/06 23:05:47.45
ありゃ地獄だぜ

471:名無しさん@お腹いっぱい。
11/09/06 23:46:26.24
URLリンク(www.openssh.com)

472:名無しさん@お腹いっぱい。
11/09/26 21:02:40.54
よくわからなかったころは合成に良く使った

473:名無しさん@お腹いっぱい。
11/10/02 12:31:00.47
質問です。

known_hostsに登録される鍵は、ホスト鍵と呼ばれるそうなのですが、
ホスト鍵にも秘密鍵と公開鍵があるんでしょうか?
その場合、known_hostsに登録されているのは公開鍵のほうですか?


474:名無しさん@お腹いっぱい。
11/10/02 14:20:39.62
はい。

475:名無しさん@お腹いっぱい。
11/10/02 21:41:53.68
>>474
ありがとうございます。
公開鍵はknown_hostsに登録されているとすると、
(ホスト鍵の)秘密鍵はどこに登録されているのでしょうか?



476:名無しさん@お腹いっぱい。
11/10/02 21:58:32.77
$ grep ^HostKey /etc/ssh/sshd_config

477:名無しさん@お腹いっぱい。
11/10/03 01:08:39.12
>>475
クライアント側の話?
なら秘密鍵はクライアント側にはないよ。

478:名無しさん@お腹いっぱい。
11/10/04 19:18:25.34
>>476
$ grep ^HostKey /etc/ssh/sshd_config
$


479:名無しさん@お腹いっぱい。
11/10/04 19:46:31.60
>>478
じゃあ
$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh/
それぞれの結果見せて

480:名無しさん@お腹いっぱい。
11/10/04 23:04:59.53
もしもホストキーを自分と相手で同じもの使ったらどうなるの?

481:名無しさん@お腹いっぱい。
11/10/05 00:02:10.98
そんな事チェックしてないので、どうもならない。

482:名無しさん@お腹いっぱい。
11/10/06 00:24:04.87
>>477
クライアント側にあるのが秘密鍵じゃないの?

483:名無しさん@お腹いっぱい。
11/10/06 01:40:00.64
鍵を作ったところにしかないのが秘密鍵。
ホスト鍵はホストが作るんだからその秘密鍵がクライアントにあるはずがない。


484:名無しさん@お腹いっぱい。
11/10/06 02:11:06.54
入門OpenSSH
URLリンク(www.unixuser.org)


485:名無しさん@お腹いっぱい。
11/10/14 01:06:13.11
>>483
クライアントで秘密鍵と公開鍵を作って
サーバには公開鍵を登録する
と思ってたけど違うの?

486:名無しさん@お腹いっぱい。
11/10/14 01:42:46.67
>>485
それは認証用の鍵でしょ なんの話をしてるんだよ

487:名無しさん@お腹いっぱい。
11/10/14 02:17:54.44
>>485
ホスト鍵の話だよ。
sshd_config で言う HostKey の話。

488:名無しさん@お腹いっぱい。
11/10/14 08:54:42.74
秘密鍵を使用する以外の別の場所で、それを作ってはいけないという決まりはない。

489:名無しさん@お腹いっぱい。
11/10/14 09:29:29.23
ホスト鍵って何に使うの?

490:名無しさん@お腹いっぱい。
11/10/14 09:53:01.24
>>488
いきなり何を言い出したんだ?

491:名無しさん@お腹いっぱい。
11/10/14 10:30:19.60
>>488
作ってはいけないという決まりはないが、
作るべきではない。

492:名無しさん@お腹いっぱい。
11/10/14 10:33:48.02
>>489
URLリンク(www.unixuser.org)

493:名無しさん@お腹いっぱい。
11/10/14 10:48:12.08
ホスト鍵が何かわかってないってことは、
初回ログイン時に表示される fingerprint が何かわかってないってこと。
何も考えずに yes って打ってるでしょ。
それ危険だよ。

494:名無しさん@お腹いっぱい。
11/10/14 11:06:06.49
サーバのIPがコロコロ変わるのでknown_hostsは毎回削除してたわ

495:名無しさん@お腹いっぱい。
11/10/14 11:21:58.23
わかっててやってるならいいけどさ。

496:名無しさん@お腹いっぱい。
11/10/14 21:45:45.81
ssh-agent コマンド
ってやってssh-agentを起動する時、
普通に考えると「コマンド」はssh-agentの子プロセスになると思いがちだけど、
実際にはssh-agent内部でfork()した後、その親プロセス側が「コマンド」をexec()する。

「コマンド」が親で、ssh-agentが子プロセスになる。
で、このままでは「コマンド」の終了をwait()やSIGCHLDとかで検出できないので、
ssh-agentはわざわざ10秒おきに「コマンド」が終了したかどうかチェックしてる。

何故わざわざ親と子を逆にして面倒なことをしているのでしょう?
何か理由があるのでしょうか?

497:名無しさん@お腹いっぱい。
11/10/14 23:15:25.03
呼び出し側がコマンドを子プロセス扱いできるようにってことかな?

498:名無しさん@お腹いっぱい。
11/10/15 02:02:05.36
フジテレビデモ
花王デモ
要チェック


499:名無しさん@お腹いっぱい。
11/10/15 11:32:51.63
親プロセスがsh以外の(変な)プログラムだと混乱するのがあるんじゃないかな。

500:名無しさん@お腹いっぱい。
11/10/15 11:48:39.01
>>499
は?祖父母プロセスのことをいいたいの?想像できん・・・

501:名無しさん@お腹いっぱい。
11/10/15 12:16:48.59
$ echo $$
19472
$ ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent ssh-agent bash -c 'echo $PPID'
19472


502:名無しさん@お腹いっぱい。
11/10/15 12:26:07.78
10秒おきにポーリングしてプロセス終了を待つって無駄だよな。
実際ssh-agent終了直後、最大10秒間は /tmp/ssh-XXXXX が残ってしまう。
もっと効率的なアルゴリズムにできないのか?

503:名無しさん@お腹いっぱい。
11/10/15 12:37:43.36
>>496
しかもgetppid(2)じゃなくてkill(2)でチェックしてるんだな。10秒以内に同じ
PIDのプロセスが作られると終了しない、と。

コマンド指定しない時のforkと無理やり共通化したかっただけとか・・・?

504:名無しさん@お腹いっぱい。
11/10/15 14:05:20.20
コマンド付きだろうとなかろうと本来はssh-addやsshのためのソケットサーバ。
起動してしまえば子孫関係のないクライアントへも区別なくサービスできるし、
コマンド指定機能はオマケ機能扱いてことじゃね?


505:名無しさん@お腹いっぱい。
11/10/17 19:03:01.30
>479
それを見たところで分かるとは限らないという意味であえて書いてたのだが…

$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh
moduli ssh_host_ecdsa_key ssh_host_rsa_key
ssh_config ssh_host_ecdsa_key.pub ssh_host_rsa_key.pub
ssh_host_dsa_key ssh_host_key sshd_config
ssh_host_dsa_key.pub ssh_host_key.pub
$

こんなとこ

506:名無しさん@お腹いっぱい。
11/10/17 19:12:40.69
で、どうしたいの。

507:名無しさん@お腹いっぱい。
11/10/17 20:16:45.13
>>506
>>505に対して書いてるのか?なら
>>476>>475の疑問を解消してくれるのを待ってる


508:名無しさん@お腹いっぱい。
11/10/17 20:28:43.50
grep結果にひっかからないということは/etc/sshのファイルが使われている保証はないということ?

509:名無しさん@お腹いっぱい。
11/10/17 20:43:02.38
>>505
ssh_host_ecdsa_key
ssh_host_rsa_key
ssh_host_dsa_key
ssh_host_key
がホスト鍵だな

次の質問ある?

510:名無しさん@お腹いっぱい。
11/10/17 22:58:06.50
>>508
/usr/sbin/sshd -T で確認すればいいんじゃない?


511:名無しさん@お腹いっぱい。
11/10/17 23:04:38.51
これからはセキュリティックの時代なので
ログインシェルをsshに変更したいんですが、
chsh -s /usr/bin/ssh
のプロンプトを発行するとエラーになりました。
何か設定が足りないんでしょうか?

512:名無しさん@お腹いっぱい。
11/10/17 23:17:07.67
そういうネタはいいです。

513:名無しさん@お腹いっぱい。
11/10/17 23:20:04.38
# echo /usr/bin/ssh >> /etc/shells


514:名無しさん@お腹いっぱい。
11/10/17 23:36:02.81
>>510
sshd: illegal option -- T
OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
usage: sshd [-46Ddeiqt] [-b bits] [-f config_file] [-g login_grace_time]
[-h host_key_file] [-k key_gen_time] [-o option] [-p port] [-u len]


515:名無しさん@お腹いっぱい。
11/10/17 23:39:22.21
ケチつけるだけじゃなく答え教えてあげたら。

516:名無しさん@お腹いっぱい。
11/10/19 08:11:00.41
カラー表示の非対応SSHクライアントで端末タイプにvt100等を使用すると
カラー情報をクライアントが認識できないため、カラーになる文字列の前後に余計な文字列が付与されますが、
このカラー情報のパケットのルールについて記載されているサイト等は無いでしょうか?

端末タイプのdumbを認識しないsshdの場合、手動で取り除きたいと考えています。

517:名無しさん@お腹いっぱい。
11/10/19 11:50:47.19
自己解決レス。

ANSIカラーコードという体系があったのですね。

518:名無しさん@お腹いっぱい。
11/10/19 13:27:19.47
っていうか vt100 はカラー対応じゃないし…

そもそも TERM をみてカラー対応じゃなかったら
そのエスケープシーケンスは吐くべきじゃないわけだが


519:名無しさん@お腹いっぱい。
11/10/19 14:01:20.68
TERMがvt100じゃなかったってオチでは?

520:名無しさん@お腹いっぱい。
11/10/19 14:31:14.74
エスパーするとGNU lsはTERMを認識せずにカラー表示する。
alias ls='ls --color' されてたりする。

TERMをちゃんと認識するには ncursesなり termcapなりのライブラリとのリンクが必要。
lsのような基本コマンドで ncursesとかに依存するのは大げさだから、
TERM無視してエスケープシーケンス出力する今のやりかたが妥当。

521:名無しさん@お腹いっぱい。
11/10/19 15:19:07.26
普通の標準出力の文字列内にエスケープシーケンスがあるべきじゃないだろうし、
5d(だっけ)と直近のmの間を取ってやればいいんじゃないか?

522:名無しさん@お腹いっぱい。
11/10/30 23:22:31.89
基本的には公開鍵認証、
特定のアドレス範囲内からの接続であればパスワード認証も可。
という設定にするにはどうすればいいですか?

というのも一部のクライアントが
公開鍵認証に対応していないもので……。


523:名無しさん@お腹いっぱい。
11/10/31 03:55:48.52
>>522
>>462-464


524:名無しさん@お腹いっぱい。
11/10/31 08:08:26.03
公開鍵認証に対応してないsshクライアントってなんだよ。
そんなのsshクライアントじゃない無視してもいい。

525:名無しさん@お腹いっぱい。
11/10/31 08:14:24.55
すみませんが詳しい方のみ回答をお願いします

526:名無しさん@お腹いっぱい。
11/10/31 08:34:45.02
>>525
sshd2個あげれば?
ふつうは524(クライアントソフト入れ替え)が正しい

527:名無しさん@お腹いっぱい。
11/10/31 08:37:38.84
>>522
/etc/ssh/sshd_configで
PasswordAuthentication no

Match 192.168.0.0/24
PasswordAuthentication yes

こんな感じかな。
コピペせずに
URLリンク(www.unixuser.org)
見ながら設定を推奨します。
てゆか>>523で正解。

>>524
俺も興味あるなw
「一部の」ってことはそれなりに数あるんだろうけど…なんじゃそりゃとしか。

528:名無しさん@お腹いっぱい。
11/10/31 09:47:02.51
クライアント側アプリではなく
「(公開鍵の概念を理解できない)顧客」
だったりしてな…


529:名無しさん@お腹いっぱい。
11/10/31 09:51:21.95
そういうクライアントは辞書攻撃でやられるパスワードをつける可能性が大だから、
やはり無視するのが正しい。

530:名無しさん@お腹いっぱい。
11/10/31 12:00:59.75
俺は >>528 の解釈が当たりだと思った

だったら man sshd_configしてMatchでAddressとUserとの組合せの書式を
確認させないといけないね。本当にやりたいことに近いのはIPアドレスで
判別じゃなくて、IPアドレス&ユーザ名で判別だろうからね。

Match User alice,bob Address 192.168.0.0/16,10.0.0.0/8
PasswordAuthentication yes
PermitEmptyPasswords no

本当にやりたいことは「こんなクソみたいな設定作業を低コストでどっか
にほっぽり出したうえで責任回避するにはどうしたらいいか」って問題の
解決だろうが、そんなもんスレ違いw


531:名無しさん@お腹いっぱい。
11/11/02 17:58:33.74
sshでUDPをポートフォワードする方法教えて。man見てもよくわからんね

532:名無しさん@お腹いっぱい。
11/11/02 18:02:28.57
>>531
ググれカス

533:名無しさん@お腹いっぱい。
11/11/02 18:05:33.59
>>531
SSHだけじゃできない、ってのはわかってるかな。

534:531
11/11/02 18:54:46.54
もちろん、わかってません><

535:名無しさん@お腹いっぱい。
11/11/02 19:54:37.43
じゃあnetcatも使ってなんとかしとけ

536:名無しさん@お腹いっぱい。
11/11/02 20:34:27.86
にゃあ

537:名無しさん@お腹いっぱい。
11/11/02 21:26:01.91
DeleGateのUDPrelayとかかます
URLリンク(i-red.info)


538: 忍法帖【Lv=40,xxxPT】
11/11/07 05:15:04.90
http overでssh接続することはできませんか?

539:名無しさん@お腹いっぱい。
11/11/07 10:52:52.94
connect.cとかcorkscrewとかを使えばできる。


540:名無しさん@お腹いっぱい。
11/11/08 18:42:53.73
sshdですが、2つのポートで待ち受けることはできるのでしょうか?

541:名無しさん@お腹いっぱい。
11/11/08 18:56:06.14
>>540
URLリンク(www.jp.freebsd.org)
Port (ポート番号)
sshd が接続を受けつける (listen する) ポート番号を指定します。デ
フォルトは 22 です。複数指定することも可能です。 ListenAddress の
項も参照してください。



542:名無しさん@お腹いっぱい。
11/11/08 18:58:30.21
URLリンク(www.openssh.org)

543:名無しさん@お腹いっぱい。
11/11/08 19:09:32.46
>>542
バーカ

544:名無しさん@お腹いっぱい。
11/11/08 19:20:13.84
罵倒する理由はなに?

545:名無しさん@お腹いっぱい。
11/11/08 20:33:45.19
>>544
>>541の2分後に堂々と>>542を書き込んでくるその神経に敬意を表して

546:名無しさん@お腹いっぱい。
11/11/08 21:10:27.53
狭量

547:名無しさん@お腹いっぱい。
11/11/08 21:17:59.43
2分後w

548:名無しさん@お腹いっぱい。
11/11/08 21:28:40.96
>>542>>543 の狭量比べが始まりました
果たして勝者は!?

549:542
11/11/08 21:34:40.77
おれは別にどうでもいいよ。

550:名無しさん@お腹いっぱい。
11/11/09 04:40:41.95
早速の変身ありがとうございます。
2つのポートを使いたいというのは、ファイアウォール内では問題ないのですが
外からはポート80以外接続できないようになっています。
apacheは動いていないので、80番ポートを通してSSH接続できないかと
思案していたところでございました。

551:名無しさん@お腹いっぱい。
11/11/09 05:04:47.19
>>550
80も狙われやすいと思うけど。

TCP porrt 53とか開いてないのかな?


552:名無しさん@お腹いっぱい。
11/11/09 09:16:59.92
>>551
狙われてもいいじゃん。
sshdの方で鍵認証のみにするなり防御の方法はあるし、
L4で狙われにくいポートを選ぶっていう小細工したって知れてるでしょ。

553:名無しさん@お腹いっぱい。
11/11/09 09:21:38.93
ところが公開鍵認証に対応していないクライアントなんですよ。

554:名無しさん@お腹いっぱい。
11/11/09 09:41:06.42
そのネタはもういいです。

555:名無しさん@お腹いっぱい。
11/11/09 10:33:42.19
ポート変えるのは防御ってより
ウザいログを減らすためだな。

556:名無しさん@お腹いっぱい。
11/11/09 13:46:38.52
まあ80番にSSHアタックしてこんだろ

557:名無しさん@お腹いっぱい。
11/11/09 14:11:59.34
ないとは言いきれない。

558:名無しさん@お腹いっぱい。
11/11/09 14:23:07.22
sshは応答で簡単にわかるから、sshアタックあってもおかしくない

固定IPからのみのパケットフィルタリングとか出来ると
安全、安心。


559:名無しさん@お腹いっぱい。
11/11/09 17:47:20.05
鍵のみ+denyhostでいいんじゃ?

560:名無しさん@お腹いっぱい。
11/12/24 01:40:49.43
SignificantSukebeHeitai

561:名無しさん@お腹いっぱい。
12/01/10 15:29:17.25
OpenSSL 1.0.0f and 0.9.8s
URLリンク(www.openssl.org)
セキュリティフィクスのみかな

562:561
12/01/10 15:56:25.99
あ,OpenSSHスレだった
ごめん

563:名無しさん@お腹いっぱい。
12/01/23 19:44:03.60
androidのconnectbotでssh port forwardしたいけどできねー。
他にクライアント無いですか。

564:名無しさん@お腹いっぱい。
12/01/23 21:51:14.28
>>563
stone じゃだめかいな。

565:名無しさん@お腹いっぱい。
12/01/23 23:15:51.72
Connectbotって、sshでパスワード認証成功させて、
アンドロイドVNCを起動させると、裏にまわったConnectbotが落ちちゃう(killされる?)みたいなんですよね。
でも、毎回そうなる訳じゃないから不思議...
やっぱりスレ違いかな。

566:名無しさん@お腹いっぱい。
12/01/23 23:33:59.68
SSHTunnelとAndroid VNCの組み合わせで使ってる

567:名無しさん@お腹いっぱい。
12/01/23 23:34:22.51
犬板にこんなスレできてるから聞いてみるといいかも
Android総合
スレリンク(linux板)


568:名無しさん@お腹いっぱい。
12/01/24 00:03:27.30
Root requiredなのを使えば鉄板なのはわかるんだけどなぁ。
でもnative binaryなAndroidアプリの話ならスレ違いってことはないか。

569:名無しさん@お腹いっぱい。
12/01/24 08:43:57.26
SSHTunnelは特権なくてもVNC程度なら使えるはずだけど

570:名無しさん@お腹いっぱい。
12/01/26 16:23:27.70
普通にSSHTunnelで出来ましたが、一回の接続につき、トンネルを一本しか掘れないんですね。
それだけが玉に傷。

571:名無しさん@お腹いっぱい。
12/01/29 14:02:58.50
ここに書けばいいのかよくわからないけど
ssh -Yでフォワードしてfirefoxとかはちゃんと動くんだけど
javaのアプリ(V2C)が空白になって描画されないんだよね
はじめは-Xでやってたんだけどググったら-Yでやれみたいなことが書いてあって試したんだけど変わらず
なにか心当たりある人いますか?

572:名無しさん@お腹いっぱい。
12/01/29 22:45:28.79
ごめんなさい自己解決しました
awesomeの問題?でwmname LG3Dを実行してから起動すると正常に描画されました

573:名無しさん@お腹いっぱい。
12/02/09 00:27:53.62
nohupコマンドについて質問です。
ログアウトしてもジョブが継続されるとのことですが、
ログアウトというのはSSHからログアウトという意味でしょうか?
それともSSHだけでなくターミナルを起動しているPCの電源を落としてもジョブは継続するのでしょうか?

574:名無しさん@お腹いっぱい。
12/02/09 00:56:26.20
>>573
はい

575:名無しさん@お腹いっぱい。
12/02/09 01:54:30.41
両方。

576:名無しさん@お腹いっぱい。
12/02/09 02:01:10.50
>>573-574
ありがとうございます

577:名無しさん@お腹いっぱい。
12/02/09 02:01:39.64
>>575
ありがとうございます

578:名無しさん@お腹いっぱい。
12/02/16 18:14:49.38
すみません、質問です。
昨日OpenSSH(5.9_p1-r3)サーバを再インストール(selinux,pam環境下)したところ
クライアントからrootでは接続する場合ではセッションを確立でき、
当然セッションを確立した状態からならほかの一般ユーザにログインもできるのですが
クライアントから直接一般ユーザでセッションを確立しようとすると
OpenSSH_5.4p1クライアントではConnection to (SERVER) closed by remote hostというエラーが発生し
OpenSSH_5.9p1(サーバ)から接続してもWrite failed: Broken pipeと表示されてセッションを確立できません
鍵の再作成とknown_hostの初期化, hosts.allo/denyなどは設定したのですが解決のめどはありません。
どなたかわかる方いらっしゃるでしょうか

579:名無しさん@お腹いっぱい。
12/02/17 03:51:00.06
CentOS6でほぼデフォルト状態で使用しています。
sshを使用してポート3306(DB)に接続した場合、そのことがログ/var/log/*に記録されますか?
それとも、sshでログインがあったことしか残りませんか?

580:名無しさん@お腹いっぱい。
12/02/17 07:47:06.09
やってみりゃいいじゃん。

581:名無しさん@お腹いっぱい。
12/02/17 08:11:16.92
きっと、攻撃する方でログは見れないんだろ。

582:名無しさん@お腹いっぱい。
12/02/17 08:15:44.70
同じ環境作ればいい。

583:名無しさん@お腹いっぱい。
12/02/17 09:12:34.88
対象の環境は侵入して調べなきゃ再現できないじゃないか。

584:名無しさん@お腹いっぱい。
12/02/17 09:58:20.38
そこはもう済んでるから
>>579みたいな質問になったんじゃないの?

585:名無しさん@お腹いっぱい。
12/02/17 10:13:54.86
サクッと教えてくれるのがおまえらやん…

Acceptedのログにフォワーデング先のポート番号も出るならlogwatchとかでバレちゃうかなぁ


586:名無しさん@お腹いっぱい。
12/02/17 10:19:21.26
さくっとわからんもの。
環境作って検証しないとわからん。
だったら自分でやれ、と。

587:名無しさん@お腹いっぱい。
12/02/17 16:46:24.08
>>580-584,586
CentOS6でほぼデフォといえばキュピィーーンってくるエスパーに期待しちゃったお
とりあえずありが㌧

DBはログ監視どころかログとってすらなさげだから普通にsshでログインしてから
DB接続した形跡をhistoryに残さないよう注意しつつなんとかするお

588:名無しさん@お腹いっぱい。
12/02/17 18:24:52.20
ほぼデフォといったって、my.cnfに一行追加するだけだろ。w

589:名無しさん@お腹いっぱい。
12/02/17 18:41:10.85
デフォってminimal installのことか?

590:名無しさん@お腹いっぱい。
12/02/17 21:54:54.64
mysqlサーバにログインしてデフォで接続なら3306は関係ないだろj


591:名無しさん@お腹いっぱい。
12/02/17 23:51:35.08
ちんぼ

592:名無しさん@お腹いっぱい。
12/02/20 20:36:43.13
すみません質問です.
リモートからの接続も,サーバ自身からの接続(ssh localhost -l ${USER})でも,
ユーザがrootならば接続できるのですが,一般ユーザだと接続に失敗します.
--vvオプションで実行した場合以下のようになるのですが,解決法のわかる方いらっしゃらないでしょうか
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to localhost:22).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Write failed: Broken pipe

593:名無しさん@お腹いっぱい。
12/02/21 09:53:18.19
LogLevel上げてログを確認してみたら?


594:名無しさん@お腹いっぱい。
12/02/21 11:30:57.65
> debug1: Authentication succeeded (keyboard-interactive).
認証は通ってるからsshd側でログとらないとわからないなあ。pamとかかな。

595:名無しさん@お腹いっぱい。
12/05/21 20:55:35.98
windows用puttyでパスフレーズなしで
key id_rsaを作りました。
そのkeyでSSHログインしようとすると

>ssh -i id_rsa hogehoge.com
Enter passphrase for key


なぜか設定した覚えのないパスフレーズを求められてしまいます。

PuttyのGUIのほうでログインすると問題ないのですが、、、

596:名無しさん@お腹いっぱい。
12/05/21 21:13:48.03
puttyで作った秘密鍵とopensshで作った秘密鍵はフォーマットが違うから
それぞれの対応ソフトでしか使えない
公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない

597:名無しさん@お腹いっぱい。
12/05/21 21:17:45.88
>>596
> 公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない

ん?
変換できるでしょ。
URLリンク(blog.promob.jp)


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch