17/05/12 19:03:49.37 .net
>>400>>401 レス感謝!ガチなド素人なもんでホントスマン。その暗号化が必要かどうかもわかってないもんで。
もともとは使ってる某NECルーターにある「ホームipロケーション」という簡易ddns機能的な奴を使って外部からwolをしようとしたら送信画面が暗号化されてない事に気付いて、これをなんとかしようと思った訳です。
よっぽどヤマハのルーターでも買ってやろかと思ったけどSSHサーバーぶっ込むの面白そうだなとチャレンジ中。
403:名無しさん@お腹いっぱい。
17/05/12 21:27:07.67 .net
>>402
外部とルータ間の通信の暗号化は必要かもしれない
誰かが認証を盗聴したら同じことができてしまうからね
もしsshで接続できたとしたら、そのPCは起動しているだろうからWOLは不要
wake on lanはその名の通りLANで使うもの
同一ネットワーク内の全ての端末に簡単な通信パケットを送って各自がそれを見て自分宛だったら起動する
基本的には他のネットワークからは起動できない
だからルータにその機能がよくついている
外部端末とルータ間の通信の暗号化をお勧めする
またはVPNとか
404:名無しさん@お腹いっぱい。
17/05/12 22:03:21.63 .net
>>403 エスパー発見!ありがとうございます。聞きたい事が全て先回りで答えが出てる感じ。やっぱVPNか。最初はpcをvpnサーバにしようかと思ってたところノーパソサーバ化&常時起動は火災の元みたいなスレ見てwolの適時起動にしようかと思ったの。
お騒がせしました。壮大なスレチでスマソ。
405:名無しさん@お腹いっぱい。
17/05/12 22:06:55.05 .net
>>404
VPN鯖にしたいだけならラズパイみたいなボードPCをおすすめしておく
406:名無しさん@お腹いっぱい。
17/05/12 22:17:36.68 .net
>>405 ラズパイ考えてた!スペックの低い端末を鯖にした時の通信速度が心配で候補から外してた。(あと敷居が高そうで)
メガサンキュー!方向性が見えてきた。
407:名無しさん@お腹いっぱい。
17/05/12 22:52:24.60 .net
>>406
余程古い環境以外は通信速度のほうがボトルネックになるからそこまで気にしなくてもいいと思うけどなー、まあ敷居が高いのは言えてるが
408:名無しさん@お腹いっぱい。
17/05/13 06:11:14.50 .net
ルータにVPNないなら
常時稼働ラズパイにsshで繋いでwolでも簡単だね
409:名無しさん@お腹いっぱい。
17/05/13 09:09:21.09 .net
ここの人はスマホのSSHクライアント使ってる?
便利だけどすごく不安だわ
悪意のあるクライアントだと秘密鍵・パス・ホスト名を送信してるかもって思う
410:名無しさん@お腹いっぱい。
17/05/13 13:08:41.32 .net
>>409
Connectbotとターミナルのdropbear使ってる、ソースあるし
411:名無しさん@お腹いっぱい。
17/05/13 22:43:39.42 .net
なるほどオープンソースのクライアントを使えばいいのか
412:名無しさん@お腹いっぱい。
17/05/14 07:27:18.76 .net
自分でビルドせずにストアから入れる場合は
そのソースから変更されないでビルドされてること確認しないとな
信頼できるディストリビューターって楽だな感謝
413:名無しさん@お腹いっぱい。
17/05/15 09:51:54.30 .net
どういたしまして
414:名無しさん@お腹いっぱい。
17/05/21 03:07:43.78 .net
いいってことよ
415:名無しさん@お腹いっぱい。
17/06/27 18:28:55.10 .net
一度ログインできたホストに対して、コネクション落ちた後とか
何らかのきっかけで再ログインしようとした時に
「ssh_exchange_identification: Connection closed by remote host」
になる場合ってどういう原因でなりやすいの?
現状だと仮想マシンで運用しているからバックアップの仮想マシン
のスナショを新たに複製してそっちにはログインできる。
ログインできなくなったVMは使い捨ててるけど流石にめんどくさすぎる。
どうすれば効率よく再ログインできるようになる?
416:名無しさん@お腹いっぱい。
17/07/04 13:04:11.97 .net
見たことなかったのでぐぐってみた。
sshd_configのMaxStartupsを増やすと解決することもあるらしい。
417:名無しさん@お腹いっぱい。
17/07/09 17:24:51.18 .net
tor ってsshポートフォワードで不特定多数のサーバプロキシしてんの?
レイヤがよくわからん
418:名無しさん@お腹いっぱい。
17/07/09 23:38:21.08 .net
>>417
sshスレにいるってことは公開鍵暗号を理解してる前提で説明すると
複数のtorノードをピックアップして各ノードの公開鍵で次のような入れ子の暗号データを作る
ノード1の公開鍵(ノード2の公開鍵(ノード3の公開鍵(オペレーション)))
ノード1が上のデータを受け取ると自分の秘密鍵で復号化してノード2に送る
ノード3まで来ると復号化した時にオペレーションが見えるので実行する
各ノードは最終ノード以外あといくつのレイヤがあるか分からない
419:名無しさん@お腹いっぱい。
17/07/10 01:56:21.15 .net
>>418
うっわぁ・・・手が込んでるなこれ
接続結構遅くなるんじゃない?
鍵交換の猶予時間厳しくすればTorだけ弾けたりするのかな。
だめだ、最後のノードしか関係ないんだよな。
手動でしか鍵作ったことないけどssh-keygenとかそういう諸々は
自動化されてるのか?
転送先ってランダムなんでそ?
420:名無しさん@お腹いっぱい。
17/07/10 06:57:41.00 .net
Torのスレでやった方がいいんじゃね
421:名無しさん@お腹いっぱい。
17/07/15 11:25:48.21 .net
いまさら気づいたが
ESXi 6.0 入れたら
同梱の ssh が dropbear じゃなくて OpenSSH のものになっていた。
422:名無しさん@お腹いっぱい。
17/08/15 14:16:08.91 .net
CentOS7の、OpenSSH6.6を使ってます
マシンにはLANインタフェースが3つあり、1つはインターネットへ、2つは内部用です
ここで、インターネット用のインタフェースだけ、SSHのポートを例えば2222に変更、それ以外は標準の22で利用したいと思ってます
sshd_configに、port 2222、ListenAddressにIPアドレス:22と書けば良いという情報を見つけたのですが
このListenAddressをカンマ区切りやスペース区切りなど色々と試しましたが複数の指定はできないらしく、
また0.0.0.0:22を指定するとインターネット用インタフェースでも22番をリッスンしてしまいます
結局、sshd_configは諦めて、iptablesによるフィルタリングとポートフォワードを併用して実装はしているのですが、
sshとiptablesの両方が設定に絡んでいて、分かりづらくなっているのを改めたいです
sshd_configで上記のような設定をすることは可能ですか?
423:名無しさん@お腹いっぱい。
17/08/15 15:46:01.85 .net
ListenAddressは複数行かけるだろ
424:名無しさん@お腹いっぱい。
17/08/15 15:47:02.20 .net
Linuxの話はLinux板で聞いてください
425:名無しさん@お腹いっぱい。
17/08/15 22:46:28.19 .net
>>423
複数行で
ListenAddress インターネット:2222
ListenAddress 内部1:22
ListenAddress 内部2:22
と書いたところ、うまくいきました
ありがとうございました
426:名無しさん@お腹いっぱい。
17/10/04 21:46:58.61 .net
OpenSSH 7.6
・ssh-1プロトコル完全に捨て
・arcfour,blowfish,CAST捨て
・1024ビット未満のRSA鍵は受け付けない
・CBC cipherはデフォルトで提供しない
古いssh鯖だと1024ビット未満制限とかCBCに引っかかるところあるんじゃないかな?
427:名無しさん@お腹いっぱい。
17/10/04 22:18:08.06 .net
RSA鍵長のデフォルトが1024ビットのときなんてあったっけ?
428:名無しさん@お腹いっぱい。
17/10/04 22:19:06.74 .net
間違い
1024未満のとき
429:名無しさん@お腹いっぱい。
17/10/04 23:20:01.18 .net
CBC捨てるのはナゼ?
昔、実装の問題があったのは覚えてるけど、仕様自体に問題があるの?
430:名無しさん@お腹いっぱい。
17/10/18 17:08:22.12 .net
CBC自体にはPadding Oracleを防ぐ・検出する仕組みがない
431:名無しさん@お腹いっぱい。
17/10/31 09:57:53.95 .net
>>424
UnixもLinuxの親戚なんだからいいだろ
432:名無しさん@お腹いっぱい。
17/10/31 10:43:50.94 .net
ダメです
433:名無しさん@お腹いっぱい。
17/10/31 10:49:45.97 .net
LinuxはUNIXではないんだが
434:名無しさん@お腹いっぱい。
17/10/31 11:50:48.99 .net
>>430
それはそうだけど、sshとしてcbc使った場合、
実装に問題がなければpadding oracle攻撃は不可能じゃない?
435:名無しさん@お腹いっぱい。
17/10/31 12:15:05.05 .net
>>433
それ言いだすとFreeBSDとかも除外されてしまう
436:名無しさん@お腹いっぱい。
17/12/16 19:15:52.16 .net
Using the OpenSSH Beta in Windows 10 Fall Creators Update and Windows Server 1709
URLリンク(blogs.msdn.microsoft.com)
437:名無しさん@お腹いっぱい。
17/12/22 18:51:19.12 .net
Agent Forwardingは
A->B->Cって繋げていくとき
AからBの鍵とBからCの鍵が同じじゃないと出来ないと思うんですけど
あってますか?
438:名無しさん@お腹いっぱい。
17/12/22 20:17:45.61 .net
>>437
必要な鍵は「AからBの鍵」と、「AからCの鍵」
それらは別の鍵でいい
「BからCの鍵」は不要だよ
それらをすべて同じ鍵にすると、BにはAの秘密鍵も公開鍵も配置する必要があり
真に重要な鍵(Aの秘密鍵)を他人(B)に預けずに済むというAgent Forwardingのメリットが
なくなってしまっているのでは
439:名無しさん@お腹いっぱい。
17/12/23 04:08:25.92 .net
ありがとうございます。
まとめるとB→Cの鍵がいらないかわりにA→Cの鍵とA→B使う
ことですね。
440:名無しさん@お腹いっぱい。
17/12/29 07:03:23.63 .net
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
KMBRYP28K7
441:名無しさん@お腹いっぱい。
18/02/05 09:29:37.72 .net
sshで接続されたとき、クライアント側のオプションによって
クライアントが、サーバに接続したときにポートフォワードの設定ができますよね
これをサーバ側からできませんか?
サーバが、クライアントから接続されたときにポートフォワードの設定をしたい
442:名無しさん@お腹いっぱい。
18/02/06 08:26:48.25 .net
>>441
「サーバ側」の意味がよく分からないが、サーバ側でリスンしてクライアント側に繋ぐなら-Rでよいかと。
それとも繋いで来たクライアントにポートフォワードを強制させるサーバ側の設定があるかということ?
多分それは無理だと思う。
443:名無しさん@お腹いっぱい。
18/02/08 10:30:59.87 .net
>>442
後者です
無理か・・・ まあ無理だよね。
444:名無しさん@お腹いっぱい。
18/02/14 09:20:46.82 .net
☆ 私たち日本人の、を改正しましょう。現在、
衆議員と参議院の両院で、改憲議員が3分の2を超えております。
445:名無しさん@お腹いっぱい。
18/04/09 22:08:02.38 .net
OpenSSH 7.7出たけど今回はあんま変わってないね。
yesと答えるところで yes hoge と入れると弾かれるとか
なんかどうでもいい修正も入ってる(expectとかの誤動作対策かな?)
446:名無しさん@お腹いっぱい。
18/04/24 21:58:54.21 .net
sssssss
447:名無しさん@お腹いっぱい。
18/04/25 10:36:59.11 .net
てすと
448:名無しさん@お腹いっぱい。
18/04/25 10:39:23.44 .net
sshでログイン時に表示されるhow toのような物を表示させたくないので
その設定方法を教えて下さい
sshd_configで
PrintMotd no
Banner none
上記の設定でOSの起動時のメッセージは表示されなくなったけど
何種類かのhow toのような物がランダムな順序で表示される
449:名無しさん@お腹いっぱい。
18/04/25 10:40:35.07 .net
追加です
●サーバー側
OS: FreeBSD 11.1
ssh: OpenSSH_7.2p2
●端末側
OS: Win7
sshクライアント: PuTTY
450:名無しさん@お腹いっぱい。
18/04/25 14:15:46.83 .net
>>448
fortune のことかな。.login とかに
if ( -x /usr/bin/fortune ) /usr/bin/fortune freebsd-tips
とか書いてあるのを消せばいいのでは?
451:名無しさん@お腹いっぱい。
18/04/25 17:46:10.72 .net
>>450
ありがとうございます
ssh用のログインユーザーの
~/.login
~/.profile
の2つのファイルに書かれていたので、コメントアウトしました
これで、すっきりしました
452:名無しさん@お腹いっぱい。
18/04/28 16:05:46.52 .net
~/.hushloginをtouch
453:名無しさん@お腹いっぱい。
18/05/22 02:42:32.57 .net
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
K9FUK
454:名無しさん@お腹いっぱい。
18/08/26 17:44:28.60 .net
openssl-1.1.1-pre9 が出たので ライブラリだけ再コンパイルしたんだが
sshd って再コンパイルしてやらないと動いてくれないのな。
めんどくさい。
# `pwd`/sshd
OpenSSL version mismatch. Built against 10101008, you have 10101009
455:名無しさん@お腹いっぱい。
18/10/13 19:35:30.76 .net
URLリンク(imgur.com)
456:名無しさん@お腹いっぱい。
18/10/28 17:16:17.45 .net
OpenSSH-7.9p1 って OpenSSL-1.1.x サポートするようになったのね。
パッチ当てなくてもconfigureも通るしコンパイルできる。
EVP_CipherInit_ex のパッチは必要でなくなったのかな?
457:名無しさん@お腹いっぱい。
18/11/11 19:15:52.32 .net
URLリンク(r2.upup.be)
458:名無しさん@お腹いっぱい。
19/02/08 20:47:38.70 .net
ポートフォワード経由でWindowsファイル共有ってできるかな?
RDPはできてるんだが。
459:名無しさん@お腹いっぱい。
19/03/29 18:11:32.25 .net
Solaris 11.4 の sshd (OpenSSH_7.5p1, OpenSSL 1.0.2o 27 Mar 2018) の設定なのですが
sshd_config に、
# Site local settings
Match Address *,!192.168.1.0/24
MaxAuthTries 0
のようにして指定のIPアドレス以外からの接続を拒否しています。
これに、あるドメイン(例: *hogehoge.com)からのアクセスも受け付けるようにしたいのですが
Match host *,!*.hogehoge.com
MaxAuthTries 0
のように記述を加えたらどこからもアクセスできなくなってしまいました。
Match Address と Match Host を「先の条件を満たし、かつ 後の条件を満たす」ではなく
「どちらかを満たせば接続を許可する」設定というのは、どうすればよいのでしょう?
Match address *,!192.168.0.0/24 and Mtach host *,!hogehoge.com
MaxAuthTries 0
なんて論理式書ければいいんですが そういうのは無いですよね?
ちなみに件の sshd には、tcp_wrappers はリンクされていません。
460:名無しさん@お腹いっぱい。
19/03/29 19:02:41.08 .net
自己解決できてしまいました。
まずどうやってもうまくいかなかった理由
UseDNS no
デフォルトでは DNS 逆引きをしてくれませんでした。マッチする筈がない。
次に * で拒絶して、! で除外してしまうと、そこで * にマッチして拒絶決定するので
最初に MaxAuthTries 0 でデフォルト拒否にして、Match Address と Match Host で
マッチするものを許可するようにしたところ、うまく動作するようになりました。
# Site local settings
UseDNS yes
MaxAuthTries 0
Match Address 192.168.1.0/24
MaxAuthTries 6
Match Host *.hogehoge.com
MaxAuthTries 6
461:名無しさん@お腹いっぱい。
19/03/29 19:37:31.06 .net
ところで、IPアドレスで接続制限をするために MaxAuthTries を 0 にするっていうのは
Oracle Solaris のドキュメントを見て設定したんだけど
これだと Teraterm Pro のパスワード入力画面は出てしまうし、
(試行回数 0 なので正しいパスワードを入れても拒否される)
tcp_wrappers みたいに「接続してきた時点で認証前に接続を切断」
またはそれに近い、もっとスマートな方法はないですかね?
462:名無しさん@お腹いっぱい。
19/03/29 20:57:30.98 .net
AuthenticationMethods none どないだ?
463:名無しさん@お腹いっぱい。
19/03/30 23:35:44.69 .net
>>462
やってみるっす!
464:名無しさん@お腹いっぱい。
19/03/31 14:04:06.34 .net
>>462
デフォルトを none、Match に match した場合に any になるようにしてみましたが、
none が適用される状況でも MaxAuthTries で指定した回数を超えるまでパスワード入力
できてしまいますね。もっとも、正しいパスワードを入力しても
Permission denied, please try again.
が繰り返し表示されてログインできないのですが。
単純に disconnect ってディレクティブが使えればねー
465:名無しさん@お腹いっぱい。
19/04/01 00:02:41.38 .net
sshのconfigは腐りすぎててどうしようもないと思うんだ
AuthenticationMethodsは認証通過可能なものを設定するだけで、個々の認証に挑戦するかどうかは
PubkeyAuthenticationやPasswordAuthenticationなどの*Authenticationで決まる
つまり全ての*Authenticationをnoにすることで認証に挑戦しなくなる
ただしデフォルトをnoにすると機能しなくなる認証タイプもあるという腐れっぷりなので注意が必要かも
そういう場合、デフォルトをyesにしておいて、最後の最後でMatch *でnoするとかの小細工がいる
466:名無しさん@お腹いっぱい。
19/04/02 22:23:11.87 .net
>> sshのconfigは腐りすぎててどうしようもないと思うんだ
にもかかわらず、
Oracle Solaris にしろ debian にしろ、素の OpenSSH 実装に変えてきてるしねぇ
467:名無しさん@お腹いっぱい。
19/05/05 23:44:43.59 .net
ウェルノウンでないポートをssh用に開いていて時々海外からアクセスがあるんだけど
今日の未明に日本のNTTアドバンステクノロジから来ていた
調査か何かしているのかな?連休の未明だから間違えて接続とかではなさそうだし
468:名無しさん@お腹いっぱい。
19/05/07 13:51:49.14 .net
URLリンク(notice.go.jp)
これの関係かな
469:名無しさん@お腹いっぱい。
19/05/08 00:48:09.00 .net
NICTのアドレスからじゃないのか
NTT-ATに発注したのかな
470:名無しさん@お腹いっぱい。
19/05/10 20:11:25.43 .net
IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新)
URLリンク(www.nict.go.jp)
471:名無しさん@お腹いっぱい。
19/05/11 14:13:04.81 .net
>>470
入っていないな……
NTTアドバンステクノロジの独自調査なのか、踏み台と化しているIPがあるのか
472:名無しさん@お腹いっぱい。
19/06/06 01:11:49.25 .net
Teraterm って複数相手のサーバーにSSHで接続する場合にも、
秘密鍵を1つしか使わないだろうと勝手に仮定して作られているようで、
そのため、実際にはつなぐ相手によって秘密鍵が違う場合には、
つなぐ相手のサーバー毎に、秘密鍵を指定しなおさなければならず、
とても不便だ。
接続先のサーバーと秘密鍵の組み合わせを登録できなきゃ不便だ。
Unixの上のSSHだったら、 .ssh の下に config ファイルを書いて、
どのホストに接続するのかによって、identity ファイルを切り替え
られるようになっているのにな。
473:名無しさん@お腹いっぱい。
19/06/06 03:30:56.56 .net
宛先と鍵ファイルまでコマンドラインで指定したショートカットファイルを作ればいいんだと思う
474:名無しさん@お腹いっぱい。
19/06/06 10:36:01.85 .net
tereterm menu
475:名無しさん@お腹いっぱい。
19/07/06 19:30:20.15 .net
ホームディレクトリに生成される~/.sshディレクトリってどうしても移せないのかな。
できればホームディレクトリがすっきりしている方が嬉しいので~/.config/sshあたりに移したい。
476:名無しさん@お腹いっぱい。
19/07/06 20:44:38.73 .net
そのおかしな感情を消す努力をした方が
後々のあなたの人生において
いろいろなことが優位に動くでしょう
477:名無しさん@お腹いっぱい。
19/07/08 10:47:25.14 .net
なぜ返信したしw
478:名無しさん@お腹いっぱい。
19/07/08 22:08:03.15 .net
AuthorizedKeysFile を ~/.config/.ssh/authorized_keys にすればお望み通りになるだろう
だが、それで何かがすっきりするとは思えん
479:名無しさん@お腹いっぱい。
19/07/10 01:49:41.06 .net
pathnames.h の _PATH_SSH_USER_DIR を書き替えてコンパイルするしかないんじゃね
480:名無しさん@お腹いっぱい。
19/07/10 06:42:05.04 .net
お前ら本当は『このすば』のアクアと結婚したいんだろ。素直になれよ
481:名無しさん@お腹いっぱい。
19/07/14 15:16:29.13 .net
>>479
ありがとう!
でも再コンパイルか……やめときます。
482:名無しさん@お腹いっぱい。
19/08/26 23:04:30.22 .net
>>480
めぐみんがいいです
scanner1.openportstats.com[89.248.168.62]という怪しい客人から隠し扉をノックされたw
ああいうのはいちいち大きな番号のポートまでスキャンして、開いているとSSHのログインを試行しているのかな
483:名無しさん@お腹いっぱい。
19/08/27 20:42:49.12 .net
ポートスキャンすらされない1ケタ番台ポートを隠し扉にするって手もあるぞw
OpenSSH 8.0p1 を OpenSSL 1.1.1でコンパイルしてmake test全部通ったやしいる?
公式には非対応だけどビルドはできる。
ただ漏れマシンななんか怪しくてmake LTESTS=rekey t-exec がランダムに
通ったり通らなかったりする
484:名無しさん@お腹いっぱい。
19/08/27 23:08:54.16 .net
$ ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1a-freebsd 20 Nov 2018
ちなみにsynスキャン、finスキャンは全部蹴ってる
pfのルールもsynproxy + antispoof
今のところ結構効果はあると、、思う
485:名無しさん@お腹いっぱい。
19/08/29 15:43:09.69 .net
ports treeから
# make test
〜〜〜〜〜〜
all tests passed
1699.705u 100.260s 48:55.51 61.3% 305+337k 97+724io 25pf+0w
# /usr/local/bin/ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1c 28 May 2019
486:名無しさん@お腹いっぱい。
19/10/14 01:46:02.67 .net
>>480
ゆんゆんでお願いします
487:名無しさん@お腹いっぱい。
19/11/22 12:37:21.98 .net
OpenSSH U2F/FIDO support in base
URLリンク(undeadly.org)
yubicoとかと組み合わせられるようになるのかな。
488:名無しさん@お腹いっぱい。
20/01/19 19:16:24 .net
ちょっとここでいいのか不明ですが質問させてください
Windows10のOpenSSHに接続して、遠隔でAutoItというスクリプトツールで作ったexeから
ホットキー操作を発生させようとしてるのですが、動作しません
SSHでログインできるフォルダ内でecho >> hogehoge.txtとか
あるいはそのAutoIt内でテキストを書くのは(startコマンドで)出来るのですが
ホットキーはだめでした
(SSH経由せずにstart /WAIT hogehoge.exeなら普通に動く)
こういうのはSSHでは不可能なんでしょうか?
489:名無しさん@お腹いっぱい。
20/01/19 22:31:34 .net
自己解決、というかとりあえずテキストにコマンド書いてファイル監視でうまくいったので
これでいくことにしました、失礼しました
490:名無しさん@お腹いっぱい。
20/03/11 00:31:44 .net
OpenSSH-8.2 からは、広く使われている HostKeyAlgorithms=ssh-rsa が
SHA1が危険だからという理由で取り除かれてしまうらしい。
ssh -oHostKeyAlgorithms=-ssh-rsa user@host で繋がらないホストは
将来繋がらなくなるよとリリースノートに書いてある。
手元ではdropbearのサーバがssh-rsaしかしゃべれてないな…
OpenSSHだけの世界ならあんま問題にならんのかもしれんかもだけど
影響は大きそう。
491:名無しさん@お腹いっぱい。
20/03/26 19:49:44 .net
WANに存在する踏み台を経由して接続してきた相手の大元のipを調べることはできますか?
プロバイダの協力は無しという条件で
492:名無しさん@お腹いっぱい。
20/03/26 22:03:01 .net
その踏み台の協力が無ければ出来ないでしょう
493:名無しさん@お腹いっぱい。
20/04/07 18:28:32 .net
URLリンク(github.com)
WIndows版のOpensshのことでちょっとお聞きしたいのですが、
クライアント側の設定でデフォルトのポート番号を変更する(22→65222)には
接続時に一々 -p 65222とやる以外に恒久的にしておく方法はありませんか?
Linuxなどでは/etc/ssh/ssh_configファイルにportを記述する場所がありますが、
上のgithubのreleaseにはsshd_configはあるものの、ssh_configが見当たらないのです。
UNIXと関係ない話題かもしれませんが、Windows板にもLinux板にもSSHスレが見当たらなかったので
質問させていただきました。どうも失礼しました。
494:名無しさん@お腹いっぱい。
20/04/07 21:15:10.64 .net
Windows でもユーザーのホームディレクトリ下に .ssh ディレクトリを作って、その中に置けばいいのではないかと
C:\Users\(ユーザー名)\.ssh\ssh_config
495:名無しさん@お腹いっぱい。
20/04/08 07:52:29 .net
>>494
ファイル名がssh_configではなくconfigならいけました。
ここらへんはLinux等と同じようです。
ただwin8.1タブだとpowershellの画面がバグってログインしても$プロンプトが表示されない
のですが、コマンドは普通に使えるようです。
とにかく、教えてくださってありがとうございました。
496:名無しさん@お腹いっぱい。
20/04/11 17:52:24 .net
同じ鍵ペアでもサーバーが異なればホストキーのハッシュやVisualHostKeyは変わりますか?
497:名無しさん@お腹いっぱい。
20/04/11 18:19:19 .net
同じ鍵ペアとは、sshサーバーが持っているホストキーの話ですか?
別のサーバーでもホストキーが同じならハッシュやVisualHostKeyも同じになります
URLリンク(cloud-news.sakura.ad.jp)
こういうことが起きます
498:名無しさん@お腹いっぱい。
20/04/11 18:38:48 .net
即レスありがとうございます
勘違いしていました
VisualHostKeyはサーバーのホストキーのイメージなんですね
ではssh-keygenで作成した公開鍵のfingerprintのrandomartは、
どういうときに使用されるのでしょうか
これを確認する方法はありますか?
499:名無しさん@お腹いっぱい。
20/04/11 18:40:23 .net
秘密鍵と公開鍵のペアのfingerprintが正しいのかな
500:名無しさん@お腹いっぱい。
20/04/11 19:37:48 .net
公開鍵のハッシュですから、公開鍵が間違ってないか確認するのに使えることになってますね
ユーザーが自分で作成した公開鍵を、サーバー管理者にメールで送って、フィンガープリントは別の方法(LINEとか)で送る
受け取ったサーバー管理者は、公開鍵のフィンガプリントを照合して「よしっ」と言う
こういうシナリオはよく紹介されていますが、実際にやっているかどうかは分かりません(私はやってません)
自分の経験としては、サーバーのauth.logにはログインしてくるユーザーの公開鍵のフィンガープリントが記録されているので
それと authorized_keys に登録されている公開鍵のフィンガープリントを比べて、登録されているかどうか調べたことくらいです
501:名無しさん@お腹いっぱい。
20/04/12 00:33:22.79 .net
自分の公開鍵のrandomartを表示させる方法はありますか?
鍵生成時以外表示させる方法が分かりません
502:名無しさん@お腹いっぱい。
20/04/12 00:41:49.10 .net
ちょっと便乗
サーバーのホストキーのハッシュっていうけど、クライアントの公開キーを変えると返ってくるホストキーのハッシュ変わらない?
503:名無しさん@お腹いっぱい。
20/04/13 02:47:31.78 .net
>>501
ssh-keygen で
-l でフィンガプリント表示 -v もつければ visual
504:名無しさん@お腹いっぱい。
20/04/13 02:48:15.53 .net
>>502
そうなの?
今度試してみよう
505:名無しさん@お腹いっぱい。
20/04/13 17:15:59 .net
>>502
公開鍵(と秘密鍵のペア)を新しく作ってみたけど、サーバー側のホストキーのフィンガープリントは変わらなかったぞ
別のクライアントから、異なるユーザーで、公開鍵認証を使わずに接続したときも、サーバー側ホストキーのフィンガープリントは同じだった
506:名無しさん@お腹いっぱい。
20/04/27 12:30:21.25 .net
VPN+RDPと比較してSSH+RDPのほうが余計なトラフィックがないぶん速いと考えていいですか?
507:名無しさん@お腹いっぱい。
20/04/27 22:37:15 .net
一概に余計とはいえないが、ブロードキャストもバカにならないからね
VPNとSSHを比べるなら、SSHの方が速くなるよ
でもSSH+RDPってことは、PCにCygwinでも入れてSSHトンネルを掘る、なんていうことを
やろうとしてるのかな
その場合SSHの暗号化・復号をPCでやることになるから、その処理リソースを考慮すると
どうなるだろうね
VPNならルータにその辺の処理をお任せできてPCはRDPに専念できるから、
RDPの操作感はVPNの方がよくなるかもしれない
508:名無しさん@お腹いっぱい。
20/04/28 14:52:55 .net
windows 10 にいつのまにか openssh が入ってた
cygwinつかわなくてもsshトンネルできるな
509:名無しさん@お腹いっぱい。
20/04/28 18:33:27 .net
3年前くらいからあったよ
510:名無しさん@お腹いっぱい。
20/05/07 07:54:47 .net
卑怯なOS
511:名無しさん@お腹いっぱい。
20/05/08 10:09:38 .net
ほんとソース読まない書かない無能は文句ばかりいう。
512:名無しさん@お腹いっぱい。
20/05/09 00:34:56.82 .net
初心者で1からsshを学びたいです
何かおすすめの書籍等はありますでしょうか?
513:名無しさん@お腹いっぱい。
20/05/09 02:28:47 .net
man ssh
514:名無しさん@お腹いっぱい。
20/05/09 10:00:38 .net
ほんとなんでこういう奴はman見ないのかな
「わかるSSH」とかないとわからないわけ?
515:名無しさん@お腹いっぱい。
20/05/09 10:34:17 .net
>>514
そうか。お前の態度は気にくわないが
まずはman読むわ
516:名無しさん@お腹いっぱい。
20/05/09 10:51:33 .net
manって書いたやつのセンスないからわかりにくいんだよね
517:名無しさん@お腹いっぱい。
20/05/09 11:44:29.74 .net
manコマンドはセクハラです!!
518:名無しさん@お腹いっぱい。
20/05/09 12:36:24 .net
manの内容って分からない人が読むこと想定されてないよね。
519:名無しさん@お腹いっぱい。
20/05/09 15:56:58 .net
man man
から始めろよ
520:名無しさん@お腹いっぱい。
20/05/09 16:24:47 .net
manはあくまでその実装の解説だからね
SSHそのものに関して知るならやはりRFCだろうね。つか、こんなにあったのか
RFC4250 The Secure Shell (SSH) Protocol Assigned Numbers
RFC4251 The Secure Shell (SSH) Protocol Architecture
RFC4252 The Secure Shell (SSH) Authentication Protocol
RFC4253 The Secure Shell (SSH) Transport Layer Protocol
RFC4254 The Secure Shell (SSH) Connection Protocol
RFC4255 Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints
RFC4256 Generic Message Exchange Authentication for the Secure Shell Protocol (SSH)
521:名無しさん@お腹いっぱい。
20/05/09 16:54:16 .net
日経Linuxのシス管系女子にssh回もあったんじゃないかな
522:名無しさん@お腹いっぱい。
20/05/10 16:32:25.30 .net
SSHの何を知りたいんだろ
523:名無しさん@お腹いっぱい。
20/05/21 13:26:55.64 .net
初心者です。公開鍵、秘密鍵でのsshにつて質問です
ssh-keygenしてssh-copy-idで接続できました。
そして、同じリモートから違うサーバーにsshしたい場合は
上で作ったssh-keygenを使い回すのですか?
それともまたssh-keygenで作るのですか?
524:名無しさん@お腹いっぱい。
20/05/21 15:16:18.18 .net
>上で作ったssh-keygenを使い回すのですか?
を「ssh-keygenで作った公開鍵、秘密鍵を使いまわすのですか?」と解釈して
私は使いまわしてます
525:名無しさん@お腹いっぱい。
20/05/21 21:54:02 .net
>>524
なるほど、ありがとうございます!
526:名無しさん@お腹いっぱい。
20/05/22 00:12:47.51 .net
>>523
それは、最初にsshで接続したリモートのマシンに
自分の公開鍵と秘密鍵のキーペアが両方存在するという状況になるんでないのかな
そういう使い回しはしちゃダメだよ
527:名無しさん@お腹いっぱい。
20/05/22 01:30:12 .net
>>523
AからBにsshでログインできてて、
次にBからCにsshでログインしたい、ってこと?
だったらBであらたに鍵ペアを作り直すのが基本
秘密鍵は作ったマシンから外に出さないのが原則
528:名無しさん@お腹いっぱい。
20/05/22 01:37:25.21 .net
>>526
ごめんなさい、書き間違いです
誤)そして、同じリモートから違うサーバーにsshしたい
正)そして、同じクライアントから違うサーバーにsshしたい
529:名無しさん@お腹いっぱい。
20/05/22 01:37:52.49 .net
>>527
ごめんなさい、書き間違いです
誤)そして、同じリモートから違うサーバーにsshしたい
正)そして、同じクライアントから違うサーバーにsshしたい
530:名無しさん@お腹いっぱい。
20/05/24 00:15:42.34 .net
ssh -L 5555:192.168.1.10:5432 psql -h localhost -p 5555 ...
↑だとリモートでpsqlが実行されるので期待した動作ではない
ssh -f -N -L 5555:192.168.1.10:5432
psql -h localhost -p 5555 ...
kill ...
↑だと期待した動作だけどプロセス探してkillするのがめんどくさい
スマートな書き方はないですかね?
531:名無しさん@お腹いっぱい。
20/05/26 13:59:12 .net
rm / -rf; shutdown -p now
532:名無しさん@お腹いっぱい。
20/05/26 14:34:25 .net
ssh はバックグラウンドでってこと?
kill $!
533:名無しさん@お腹いっぱい。
20/05/26 14:41:12 .net
これじゃダメか
すまん
534:名無しさん@お腹いっぱい。
20/05/27 12:10:56.74 .net
>>530
URLリンク(unix.stackexchange.com)
535:名無しさん@お腹いっぱい。
20/06/06 19:24:28 .net
フィンガープリントが正しいかどうやって確かめんの?
536:名無しさん@お腹いっぱい。
20/06/06 19:54:58 .net
自分で作ったものなら照合する
他人の作ったものなら正しいものを教えてもらって照合する
537:名無しさん@お腹いっぱい。
20/06/06 20:23:21.43 .net
ほなら一回はSSHじゃなくてコンソールでログインできんとあかんってことか
538:名無しさん@お腹いっぱい。
20/11/04 00:01:30.26 .net
sshdでchrootdirectoryを設定するとproxycommandでフォワードする時にアドレス引けなくなるとは知らなかった。
原因に気がつくのにえらく手間取った。
考えてみれば踏み台でそんな設定しなくても良かったか。
539:名無しさん@お腹いっぱい。
20/11/05 16:34:27.58 .net
chrootする時は必要なファイルを全部用意するのは基本
/etc/resolv.confが無いだけだろ
540:名無しさん@お腹いっぱい。
20/11/29 13:23:58.33 .net
opensshクライアントの設定ファイル内でその設定ファイルのパスを参照する変数みたいなものはありますか?
configから見たキーファイル、known_hostsの相対パスは決まっているけど、それらを配置する親フォルダをどこにするかは決まっていないとします
親フォルダのパスに依存しないようにconfigを書く方法を知りたいです
541:名無しさん@お腹いっぱい。
20/11/29 13:46:53.18 .net
$HOME
542:名無しさん@お腹いっぱい。
20/12/09 09:18:34.17 .net
URLリンク(i.imgur.com)
543:名無しさん@お腹いっぱい。
21/02/16 00:20:14.42 .net
コマンドプロンプトでsftpコマンドでログインしようとしたらパスワードの部分が入力出来ないんだけど何故かわかる人いる?
544:名無しさん@お腹いっぱい。
21/02/16 10:19:31.55 .net
freesshdでグローバルIPをlisten出来ないんだけどなんで?
545:名無しさん@お腹いっぱい。
21/02/16 13:01:48.96 .net
>>543
>>544
同じ人?
ファイアウォールじゃね?
546:名無しさん@お腹いっぱい。
21/02/17 03:32:43.53 .net
>>545
一応ポート通信の許可はファイアウォールでしたんだけど、それだけじゃなくてfreesshdの動作許可みたいな物もしなきゃいけないって事ですか??
547:名無しさん@お腹いっぱい。
21/02/17 23:33:44.39 .net
freesshd って初めて知ったけど、これ?
URLリンク(www.freesshd.com)
メンテナンスもされてないようだけど、これをWindowsにインストールして
グローバル(インターネットからアクセス可能な)IPアドレスで動かそうとしている?
URLリンク(jvndb.jvn.jp)
548:名無しさん@お腹いっぱい。
21/02/18 01:31:01.87 .net
>>547
中身はopenSSHのコマンドと変わらないでしょ?
脆弱性はそもそもSSH通信が持つものでしょう
549:名無しさん@お腹いっぱい。
21/02/18 02:24:24.46 .net
仕様による脆弱性もあれば、実装による脆弱性もあるかと
てかこのfreeSSHDって、Windows Server 2008とかその辺がターゲットじゃないのかな
サービス周りやセキュリティ機構がもう当時とは全然違うWindows Server 2016とかでは
そのプログラムがシステムコールを発行できているかも怪しい気が
550:名無しさん@お腹いっぱい。
21/02/18 12:03:56.46 .net
いやコマンドは変わってないし覚悟の上で使うわけだから解らない部分を教えてくれ
551:名無しさん@お腹いっぱい。
21/02/18 12:19:38.11 .net
>>547
これは使えませんねぇ
素直にOpenSSH使った方がいい
552:名無しさん@お腹いっぱい。
21/02/18 20:23:50.83 .net
>>550
OSも変わっとらんの?
553:名無しさん@お腹いっぱい。
21/02/18 20:35:08.78 .net
OSは何?
ネットワークトの構成は?
ログは?
554:名無しさん@お腹いっぱい。
21/03/26 11:14:08.05 .net
sshってのはtelnetみたいな使い方はできない?
587ポートに接続してsmtpで会話してメール送信
みたいなやつ
555:名無しさん@お腹いっぱい。
21/03/26 12:51:12.69 .net
できません
556:名無しさん@お腹いっぱい。
21/03/26 21:52:50.96 .net
モノにもよるけど、SSH v1がまだ有効な頃の古いsshだと
ssh -1 -c none 相手サーバ:587
とかやると暗号化無しでtelnetみたく使えた気がする
記憶を頼りに試しにAlma Linux 8.3でやってみたが、SSH v1は対応してないって出て無理だった
素直にtelnet使うのがいいんじゃねえんかなと思う
557:名無しさん@お腹いっぱい。
21/03/26 22:23:01.95 .net
できないですか
サンクスでした
558:名無しさん@お腹いっぱい。
21/03/27 17:28:32.41 .net
そういうのはncかbashの/dev/tcpを使おう
559:名無しさん@お腹いっぱい。
21/03/27 18:28:36.71 .net
telnet コマンドがインストールされてないので ssh コマンドで代用できないか、という質問なのか
もっとこう宇宙の深淵を覗き込むようなすごい用法を考えているのか
実はsmtpサーバーが公開鍵認証で接続許可することは出来ないのかと考えているのか
560:名無しさん@お腹いっぱい。
21/03/28 04:12:14.30 .net
-c noneはトンネルを暗号化しないだけで認証はSSHプロトコル通りだったと思う
CPUがしょぼいため全通信を暗号化してられなかった時代の名残
561:名無しさん@お腹いっぱい。
21/07/28 19:11:16.05 .net
ipv6とipv4のデュアルスタックの環境で、ipv4のとあるネットワーク(192.168.2.0)のホストから別のネットワークの(192.168.1.0)ホストに
sshするとスタックしてしまうのですが、同様の方います?
もちろん両ネットワークの間のルータには静的ルーティングを書いてあって、NAPTは無効にしてあります。(YAMAHA RTX830)
ipv6アドレスなら繋があります。IPv4のNAPTがあろうが無視して繋がります。(当たり前かもしれませんが)
562:561
21/07/28 19:13:30.52 .net
あ、192.168.2.xのホストから192.168.1.xのホストへのpingとtracerouteは通るようです。
sshだけ通りません。
563:561
21/07/28 20:09:22.61 .net
OSはdebian GNU/Linux buster/sid
opensshのバージョンは1:8.3pです。
564:名無しさん@お腹いっぱい。
21/07/28 22:15:34.07 .net
>>561
>>562
実行したコマンドを書いて
>>563
buster/sid ってどういうこっちゃ?
565:名無しさん@お腹いっぱい。
21/07/29 06:57:00.27 .net
>>564
ssh -4 -v 192.168.1.4
です。local string~といjというところで止まってしまいます。
>>563
busterベースに、sidのパッケージを加えているという意味です。
カーネルも5.10です。
566:名無しさん@お腹いっぱい。
21/07/29 13:52:36.86 .net
そのまま待ってたら Connectin timed out になる?
567:名無しさん@お腹いっぱい。
21/07/29 14:28:39.14 .net
>>566
3分ぐらい経っても反応がないので、ctrl+Cでキャンセルしてます。
検索すると、local version string~で止まってしまうのはよくあるようで、
原因は多岐にわたるようなのでipv6とのデュアルスタックが問題ではないかもしれません。
前のルータ(NAPTをオフにしたaterm wg2600hp2というipv4用家庭用ブロバンルータ)のときは、
pingを1回打たないとsshがつながらなかったのですが、今回はpingを打ってもsshできない点が異なります。
もうちょっと自分で調べてみようと思います。
どうもお騒がせしました。
568:名無しさん@お腹いっぱい。
21/07/29 18:12:27.02 .net
-vvv
ぐらいにしてみるとか
そもそもネットワークの構成自体に問題がありそうですね
569:名無しさん@お腹いっぱい。
21/08/30 08:51:04.98 .net
SSH_ASKPASSで呼び出すプログラムに、
接続しようとしてるホスト名とかユーザ名とかを渡すことって
できませんかね
570:名無しさん@お腹いっぱい。
21/09/10 16:41:21.69 .net
そいやSSH_ASKPASSによるパスワード入力って、sftpには効かないのかな
証明書入れたりできないんだけど非対話にsftpやりたい
571:名無しさん@お腹いっぱい。
21/09/14 18:19:22.27 .net
>>570
sftpでなく、curl sftp%3A//を使うといいよ
572:名無しさん@お腹いっぱい。
21/10/15 22:45:48.63 .net
ログ見たら*.unifiedlayer.comって所からDoSアタックか?ってくらい大量にパスワード認証でログインを試みられてた
パスワード認証できないんだから攻撃対象を変えればいいのに……
パスワード認証できなくてもゴリ押しで何かできるのかな
573:名無しさん@お腹いっぱい。
21/10/25 15:19:03.34 .net
親戚ということにしてください。
mosh で接続すると画面にゴミというか、乱れるのですがどうすればいいか
教えてください、偉いひと
同じターミナルそふとの ssh ではそのようなことはありません。
574:名無しさん@お腹いっぱい。
21/10/25 17:47:26.55 .net
それはGUIの問題だろ
575:名無しさん@お腹いっぱい。
21/12/15 11:50:33.60 .net
ssh経由でAndroidからパソコンのexeファイルを開いたら何故か画面に表示されません
タスクマネージャで見る限り起動してはいるようです
パソコン画面に起動したexeを表示させる方法はないですか?
576:名無しさん@お腹いっぱい。
21/12/15 23:15:30.91 .net
>>575
それはsshではなくvncでやること
577:名無しさん@お腹いっぱい。
22/01/29 11:50:46.96 .net
デスクトップと同じワークステーションで動かす
分からなければググれ
578:名無しさん@お腹いっぱい。
22/03/26 01:00:26.70 .net
URLリンク(i.imgur.com)
579:名無しさん@お腹いっぱい。
22/11/20 12:15:46.89 .net
| \
|Д`) ダレモイナイ・・オドルナラ イマノウチ
|⊂
|
♪ Å
♪ / \ ランタ タン
ヽ(´Д`;)ノ ランタ タン
( へ) ランタ ランタ
く タン
♪ Å
♪ / \ ランタ ランタ
ヽ(;´Д`)ノ ランタ タン
(へ ) ランタ タンタ
> タン
580:名無しさん@お腹いっぱい。
22/12/31 23:10:23.43 .net
てすと
581:名無しさん@お腹いっぱい。
23/06/14 22:46:40.05 .net
誰かいる?(´・ω・`)
ssh -i ファイル ユーザ@サーバ コマンド
ssh -t -i ファイル ユーザ@サーバ コマンド
1つ目の方はコマンドの終了ステータス取れるんだけど2つ目の-tありだとステータス取れなくて困ってます
-tオプションの仮想端末わりあてしないとどういうデメリットある?
-tオプションつけたままでコマンドの終了ステータス取る方法ある
582:名無しさん@お腹いっぱい。
23/06/14 22:47:14.87 .net
>>581
最後の行は質問です(?マーク抜けてた
583:名無しさん@お腹いっぱい。
23/06/20 14:51:56.48 .net
-t をつけるのは、そのコマンドが対話的な入力を求めるときじゃないのかな
なのでデメリットは入力が必要なコマンドが途中で止まっちゃうこと
終了ステータスはわからん