5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SSH その7

1 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:23:37
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
 Part1:http://pc.2ch.net/unix/kako/976/976497035.html
 Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
 Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
 Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
 Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
 Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/

2 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:25:21
よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
 そのパスワードは暗号化されているのですか?
A.はい、その通りです。
 SSHプロトコルでは、まず始めにサーバ<->クライアント間で
 暗号化された通信路を確立します。
 ユーザ認証はその暗号化通信路の上で行なわれるので、
 パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
 ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
 各サイトのポリシーに従って、適切な制限をかけましょう。
 参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html

3 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:26:20
◇実装
本家ssh.com
 http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
 http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
 OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
 日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
 OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
 http://hp.vector.co.jp/authors/VA002416/
 http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
 http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
 http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
 http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
 http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
 http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
 http://pro.wanadoo.fr/chombier/
PortForwarder
 http://www.fuji-climb.org/pf/JP/
TRAMP
 http://www.nongnu.org/tramp/tramp_ja.html

4 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:27:05
◇規格等
 ・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
 ・RFC4251: The Secure Shell (SSH) Protocol Architecture
 ・RFC4252: The Secure Shell (SSH) Authentication Protocol
 ・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
 ・RFC4254: The Secure Shell (SSH) Connection Protocol
 ・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
  Key Fingerprints
 ・RFC4256: Generic Message Exchange Authentication for the Secure
  Shell Protocol (SSH)
WideのSSH解説
 http://www.soi.wide.ad.jp/class/20000009/slides/12/


◇おまけ
Theoのキチガイぶり
 http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
 http://www.qmail.org/djbsssh/

5 :1:2010/02/16(火) 21:28:09
一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが
面倒糞くなったのでそのままコピペしました。
後よろしく。

6 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:33:26
※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。
最低限次のような対処をしておきましょう。

ttp://www12.atwiki.jp/linux2ch/pages/141.html

●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する

●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。 
特定の接続元からの接続を拒否する
ポートを変える

7 :名無しさん@お腹いっぱい。:2010/02/17(水) 14:12:38
>>1


8 :名無しさん@お腹いっぱい。:2010/02/17(水) 20:17:48
なあ、インターネットに繋がってないマシンも 6 をやってる?

9 :名無しさん@お腹いっぱい。:2010/02/17(水) 22:27:20
パスフレーズ無しの公開鍵認証の方が楽

10 :名無しさん@お腹いっぱい。:2010/02/18(木) 00:13:17
っつーか公開鍵使わない認証って SSH 使う意味ないよね

11 :名無しさん@お腹いっぱい。:2010/02/18(木) 00:19:24
なんで?

12 :名無しさん@お腹いっぱい。:2010/02/18(木) 00:20:21
>>10
俺もそうおもってた。。。。

でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに


13 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:41:47
>>11
パスワード認証を暗号化したところで
ブルートフォースアタックには無力

14 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:47:36
それがどうしたというのかね?


15 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:57:25
>>13
それを言うなら公開鍵もブルートフォースで破れる

16 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:59:58
それがどうしたというのかね?

17 :名無しさん@お腹いっぱい。:2010/02/18(木) 13:15:12
RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?

18 :名無しさん@お腹いっぱい。:2010/02/18(木) 14:38:16
>>6も勘違いしてるけど
ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは

19 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:05:51
アクセス元しぼればいいだけじゃん。

20 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:31:37
辞書攻撃って(総当たりとは言えないにしても)ブルートフォース(腕ずく)の一種じゃないか?

21 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:41:53
>>20
いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない

22 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:52:31
辞書攻撃は立派な攻撃手法の一種

ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉〜な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません


23 :名無しさん@お腹いっぱい。:2010/02/20(土) 19:40:35
# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22

# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

24 :名無しさん@お腹いっぱい。:2010/02/20(土) 19:43:11
# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# パーミッションチェック
StrictModes yes

# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server


こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか??
disconnected no supported authentication methods available
って表示されてしまいます。

25 :名無しさん@お腹いっぱい。:2010/02/20(土) 20:55:09
>>24
ssh2で接続してないからだな

26 :名無しさん@お腹いっぱい。:2010/02/20(土) 21:40:42
-vで起動すれば拒否される理由を教えてくれる。

27 :名無しさん@お腹いっぱい。:2010/02/21(日) 00:41:06
.ssh/authorized_keys から
違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな??

28 :名無しさん@お腹いっぱい。:2010/02/21(日) 02:45:27
アクセス権のせいだろうな

29 :名無しさん@お腹いっぱい。:2010/02/21(日) 11:54:43
これまでは問題なく運用出来ていましたが、
ある日突然connection refusedのエラーが出て接続できなくなりました。

ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。

ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。

30 :sshd 起動するだけじゃん:2010/02/21(日) 12:02:02
> これまでは問題なく(ry
> ある日突然(ry

そのあいだにやったことを書けば解決できるじゃろ

31 :名無しさん@お腹いっぱい。:2010/02/21(日) 12:10:18
/etc/init.d/じゃなくて/sbin/init.d/じゃないの?
HP-UX知らないやつは手を出すなよ、壊すから

32 :名無しさん@お腹いっぱい。:2010/02/21(日) 13:16:06
レスサンクス。
>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。

>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。

使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。

33 :名無しさん@お腹いっぱい。:2010/02/21(日) 19:16:21
どう考えても ssh の質問じゃなくて HP-UX の質問じゃん

34 :名無しさん@お腹いっぱい。:2010/02/21(日) 19:25:47
>>33
10.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。

とりあえずinit.dの場所が違うのが分かったので明日調べてみます。

そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。

35 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:19:13
スレ違いかもしれないが、WikipediaのSSHに関する記事
http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか?

OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か?

36 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:22:08
wikiなんだから書き替えたら。

37 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:45:14
・PasswordAuthentication noにする
・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh

38 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:56:35
ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。
そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。

>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。

>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。

39 :名無しさん@お腹いっぱい。:2010/02/21(日) 21:10:01
チャイナ、コリアはデフォルトでドロップだろ。

40 :名無しさん@お腹いっぱい。:2010/02/21(日) 21:13:41
/bin/reverseattack

41 :名無しさん@お腹いっぱい。:2010/02/22(月) 02:53:56
>>38
> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。

42 :名無しさん@お腹いっぱい。:2010/02/22(月) 10:10:09
ssh 対象ユーザで shell 不要ってどういう場合?

sftp only?

43 :名無しさん@お腹いっぱい。:2010/02/22(月) 10:19:43
authorized_keysでコマンド指定してあれば、不要なんじゃないかな。

44 :名無しさん@お腹いっぱい。:2010/02/22(月) 17:53:23
>>37
> ・Portは22以外にする
> 意味無し

>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。

>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。

45 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:31:42
>>44
稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。

46 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:49:34
ログを減らせることに意味があるだろうが、ということだと思うんだが。

47 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:54:18
ログを減らせることの意味がわからないんじゃないの

48 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:56:05
俺もウェルノウンポート以外を使うのは、ある程度は有効だと思う。
まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。
効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。

49 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:00:51
稚拙な管理者はログを一切見ないので
ログが多かろうと少なかろうと違いはない
ということだな

50 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:06:33
Password(PAM)有効じゃ無ければログ残らないだろ。
ログ減らせるとか喜んでる奴、恥ずかしくないのか?

51 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:08:25
セキュリティポリシーって難しいよね。

某スレで、送信元IPアドレスでフィルタリングしちゃう
(= 許可されたIPアドレス以外は認証すらしない)
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ?
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら

もー、初心者扱いされてまいったよ。
死ねだのタコだの。もうね。。

52 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:11:51
可能性のあるところだけ通せばいい。個人用ならそれが普通。

53 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:18:39
>>50
OpenSSHサーバだけど、公開鍵認証でもログ残るよ?
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)

ちなみに僕ちんはファイアウォールでもログ残しているよ。

54 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:20:23
>>53
それ、侵入されたログ。www

55 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:28:00
>>54
おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。

56 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:31:32
>>50
あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?

>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね

57 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:33:08
>>53
そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。

>>54
知らないって幸せだね。


58 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:56:28
>>57
> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。

sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例

Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios

知らなかった?

59 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:16:49
HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、
変えられるんなら変えたほうが効果がある。

>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。

まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。

ちなみに>>44の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス

60 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:27:40
>>58
ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。w
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。

しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?

まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。

61 :59:2010/02/22(月) 20:32:12
「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと
「それで完全に防げる」と勘違いしちゃだめなわけで。

62 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:42:14
>パスワード認証を有効にしている素人管理者サイト

これ誤解や。パスワード認証自体が危険なわけじゃないで。

63 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:47:06
個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。

64 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:52:09
>>59
うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに

うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする

65 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:03:13
>>51
基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし

66 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:09:01
>コントロールパネルのようなものを作っておくと便利

それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る


67 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:10:01
>>62
このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。

もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。

68 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:11:07
>>62
またおまえか
そんなアホな風説流すな

69 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:14:47
>>68
なにが?

70 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:15:50
>>66
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ?
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ?
ログが増えるのも防止できて一石二鳥三鳥だぜ

71 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:18:44
>>70
VPNでアクセスすりゃいいよめんどくせぇ

72 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:18:53
>平文 HTTP の basic 認証とかだったら殴る

xrea.comですねわかります

73 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:25:22
>>65
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。

74 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:26:27
>>73 そういう書き方は「こいつ余裕ないんだなプ」と思われるだけなんだがな…

75 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:33:42
それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ

76 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:35:02
sshd : .jp : allow

これだけでだいぶ減る

77 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:45:19
パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw

78 :名無しさん@お腹いっぱい。:2010/02/23(火) 00:04:33
まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね?
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。

79 :名無しさん@お腹いっぱい。:2010/02/23(火) 00:05:14
あ、ごめんなさい。スレ間違えました

80 :名無しさん@お腹いっぱい。:2010/02/23(火) 00:07:38
SSH HSHwwww

81 :名無しさん@お腹いっぱい。:2010/02/26(金) 00:57:19
俺はHHがイイです

82 :名無しさん@お腹いっぱい。:2010/02/26(金) 13:35:19
じゃあ俺はH×H

83 :名無しさん@お腹いっぱい。:2010/02/26(金) 13:43:06

         ∧_∧   ┌─────────────
       ◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん!
        \    /  └─────────────
       _/ __ \_
      (_/    \_)
           lll

84 :名無しさん@お腹いっぱい。:2010/02/26(金) 18:33:22
HH+コイルタップで十分だな

85 :名無しさん@お腹いっぱい。:2010/03/03(水) 09:13:47
未だにSSHで検索すると埼玉最終兵器が一番上な件

86 :名無しさん@お腹いっぱい。:2010/03/03(水) 09:25:53
>>85
かっこいいからいいじゃん。むしろsshの語源の方がださいし。

87 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:11:15
sshはセキュア・シェル・、、の略だそうですが、
では h は何の略なんですかぁ?

Secure Shell H???

88 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:12:32
Secure SHell

89 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:13:03
S=Secure
SH=Shell
のはず

90 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:17:35
もっと粋な返しはないのか。。

91 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:28:34
>>90
ぢゃお前がお手本みせろよ

92 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:35:49
>>90
フリがつまんないからしょうがない。

93 :名無しさん@お腹いっぱい。:2010/03/03(水) 18:34:21
sh
↓外からも使えたら便利じゃね?
rsh
↓やべー穴だらけだったよw
ssh

94 :名無しさん@お腹いっぱい。:2010/03/03(水) 21:46:53
>>90
wktk

95 :名無しさん@お腹いっぱい。:2010/03/03(水) 22:57:12
S=すごい
S=Scienceで
H=Hします

96 :名無しさん@お腹いっぱい。:2010/03/05(金) 20:06:08
>>93
もう進化しないのかな

97 :名無しさん@お腹いっぱい。:2010/03/06(土) 08:33:58
sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)

98 :名無しさん@お腹いっぱい。:2010/03/06(土) 11:26:24
おいやめろ

99 :名無しさん@お腹いっぱい。:2010/03/06(土) 15:30:31
いいぞもっとやれ

100 :名無しさん@お腹いっぱい。:2010/03/06(土) 17:01:54
で、最後は飽きて放置するんですな。


101 :名無しさん@お腹いっぱい。:2010/03/06(土) 18:47:13
そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。

102 :名無しさん@お腹いっぱい。:2010/03/07(日) 02:32:36
wsh

103 :名無しさん@お腹いっぱい。:2010/03/07(日) 08:52:59
ssh → sssh → ssssh …
今後の展開はこうだろ

104 :名無しさん@お腹いっぱい。:2010/03/07(日) 09:28:35
Secure SSHキボン

105 :名無しさん@お腹いっぱい。:2010/03/07(日) 10:30:54
インセキュアな奴が使うから無理。
パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。

106 :名無しさん@お腹いっぱい。:2010/03/07(日) 13:05:25
>>103
ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4

107 :名無しさん@お腹いっぱい。:2010/03/07(日) 13:49:39
スーパー ssh 冒険の謎 2 でいいよ


108 :名無しさん@お腹いっぱい。:2010/03/07(日) 13:50:53
>>106
→ sshIV とか sshタクティクスとか

109 :名無しさん@お腹いっぱい。:2010/03/07(日) 16:02:02
sshEXとssh0は

110 :名無しさん@お腹いっぱい。:2010/03/07(日) 19:35:54
Zssh
sshZZ
νssh
ssh-F91

111 :名無しさん@お腹いっぱい。:2010/03/07(日) 22:55:43
Ξssh も仲間に…

112 :名無しさん@お腹いっぱい。:2010/03/07(日) 23:26:27
続・ssh
続続・ssh
また又・ssh
新・ssh
ニュー・ssh
痛快・ssh

113 :名無しさん@お腹いっぱい。:2010/03/07(日) 23:29:58
あぶないssh
もっとあぶないssh
もっともっとあぶないssh

114 :名無しさん@お腹いっぱい。:2010/03/07(日) 23:34:46
もっともあぶないSSH
さらにあぶないSSH

115 :名無しさん@お腹いっぱい。:2010/03/08(月) 00:57:28
つまんないのでもういいです。

116 :名無しさん@お腹いっぱい。:2010/03/08(月) 16:33:56
嘘です、もっとやってください。

117 :名無しさん@お腹いっぱい。:2010/03/08(月) 21:11:22
knkssh

118 :名無しさん@お腹いっぱい。:2010/03/10(水) 21:53:41
openssh-5.4/5.4p1来たね。

119 :名無しさん@お腹いっぱい。:2010/03/10(水) 22:46:49
公開鍵認証が出来なくなった

120 :名無しさん@お腹いっぱい。:2010/03/10(水) 22:51:37
へぇ〜

121 :名無しさん@お腹いっぱい。:2010/03/10(水) 22:52:20
ほぉ〜

122 :名無しさん@お腹いっぱい。:2010/03/10(水) 23:04:03
公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。

123 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:14:28
えっ

124 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:32:08
>>123
いじめんなよ

125 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:37:00
ケーキを食べればいいじゃないネタに何いってんのっていうか

126 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:42:43
もうひとひねり欲しいところ。

127 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:45:22
むしろサイバーノーガード戦法で

128 :名無しさん@お腹いっぱい。:2010/03/11(木) 03:25:55
もしかしてGIF騒動の二の舞?

129 :名無しさん@お腹いっぱい。:2010/03/11(木) 12:19:55
>>119
英語でいいんでソース頼む

130 :名無しさん@お腹いっぱい。:2010/03/11(木) 12:22:11
ソースっていうか
>>119の環境でできなくなったって話じゃないの。

131 :名無しさん@お腹いっぱい。:2010/03/11(木) 15:47:16
単にプロトコル2がデフォルトになって、
敢えて設定しない限り1は使えなくなっただけじゃ
なかったっけ?

132 :119:2010/03/11(木) 22:50:59
あぁ・・・うちだけか。ナンテコッタイ

ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。
PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG
ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど
パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる?って思ったんです。
sshd_configは5.3p1で使っていたのと全く同じ
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes

133 :名無しさん@お腹いっぱい。:2010/03/12(金) 00:18:30
>>132
多分、鍵の置く場所変えたら直ると思う。

134 :名無しさん@お腹いっぱい。:2010/03/12(金) 19:50:51
AuthorizedKeysFile のところ%h付けなくなったんだっけ?
明示的に%h付けてみたら?

135 :名無しさん@お腹いっぱい。:2010/03/13(土) 05:23:41
RSAよりDSAの方がつおいんだな。
しらなカッタワ。

136 :名無しさん@お腹いっぱい。:2010/03/13(土) 11:42:41
DSAって1024縛りがなかったっけ?

137 :名無しさん@お腹いっぱい。:2010/03/13(土) 21:54:51
んなこたぁない

138 :名無しさん@お腹いっぱい。:2010/03/14(日) 14:13:18
現状のsshで使えるのは1024ビットのDSAだけでしょ?

http://marc.info/?l=openssh-unix-dev&m=126630542032768&w=2

反対にRSAのビット長の方は上限は決まってないんだっけ。
実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が
あるみたいだけど何の制約からなんだろう。

ところで、うちのCore2Duoでためしにopenssl genrsa 65536を
実行してみたらCPU 50%しか使わないね。p,q同時に生成するような
パッチってないのかな?(需要ないか・・・)


139 :名無しさん@お腹いっぱい。:2010/03/14(日) 14:33:26
仕様上そうなってるけど、PuTTY の keygen では作れてしまう。
以前試したときには確か使えたと思う。

140 :名無しさん@お腹いっぱい。:2010/03/14(日) 14:44:53
ssh.com版は少なくとも2048bitを作れた気がする。
opensshが勝手に制限してるだけ?

141 :名無しさん@お腹いっぱい。:2010/03/14(日) 19:09:22
TeraTermの中の人が書いたまとめっぽいのがあった。
ttp://slashdot.jp/~doda/journal/465416

142 :名無しさん@お腹いっぱい。:2010/03/14(日) 21:48:22
(L,N)=(2048,160)な中途半端なDSA鍵なら
長いRSA鍵の方がよっぽどましだと思うけど。

(L,N)=(2048,224)のDSA鍵使うにはSSHプロトコルの
拡張が必要なんでしょ?


143 :名無しさん@お腹いっぱい。:2010/03/26(金) 08:23:11

sshをつかってWindowsから接続しています。
nohupを使ってプログラムを実行したあと、ウインドウを閉じると、プログラムが終了してしまいます。
exitコマンドを使えば、切断したあともプログラムの実行は継続されます。
ウインドウを直接閉じた際もプログラムを継続する方法はないでしょうか?

144 :名無しさん@お腹いっぱい。:2010/03/26(金) 08:29:16
>>142
nohupは SIGHUPを無視するだけで、
ウィンドウ閉じた時にそれ以外のシグナルが来れば終了するわな。
すべてのシグナルを無視するラッパーをかますか、
てっとり早く setsidコマンドを使う方法もある。

145 :名無しさん@お腹いっぱい。:2010/03/26(金) 08:59:54
>>143
つ GNU screen

146 :名無しさん@お腹いっぱい。:2010/03/26(金) 12:15:39
普通screen

147 :名無しさん@お腹いっぱい。:2010/03/26(金) 12:24:14
この用途でscreenは牛刀。

148 :名無しさん@お腹いっぱい。:2010/03/26(金) 12:31:36
tmux

149 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:17:52
>147
牛刀結構ではないか
ギロチンつかうよりはまし

150 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:28:40
>>147
screen使うと何か問題が出るのか?

151 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:43:00
debianをetch->lennyにしたらstoneがなくなったのでsocatにしたけど
こういうのが牛刀?

152 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:43:29
ptyが無駄に消費される

153 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:45:57
>>152
足りないの?

154 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:47:16
×無駄に消費される
○有効に活用される

155 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:48:30
wgetで済むのにfirefoxを起動するのが牛刀

156 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:50:46
>>154
nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、
ptyは無駄にしかならない。

setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので
無駄にならない。

157 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:51:13
牛刀のほうが使いなれてるなら牛刀でいいじゃん

158 :名無しさん@お腹いっぱい。:2010/03/26(金) 18:38:39
いやだから、ptyが無駄になって
何か問題があるのか?

そりゃ鳥をバラすのに牛刀使うのは
かえってやりにくかろうとは思うが
screen使って「特に問題が出ない」なら
別に構わんのでは?

159 :名無しさん@お腹いっぱい。:2010/03/26(金) 18:50:41
そこは触れてほしくないみたいだよ。

160 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:22:26
> 「鶏を割くに焉んぞ牛刀を用いん」
> 小事を処理するのに、大掛かりな手段を用いることのたとえ。

「大掛かりな手段」と言うほどscreenは大掛かりか?
俺はわりと日常的に使ってるけど。

たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる
みたいな話ならまだ分かるが。
screenだぜ? w

161 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:24:21
MS Word を日常的に使ってれば
それは大掛かりにならんのでは


162 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:43:57
screenはインストールされてるとは限らないから、
わざわざscreenをインストールしてから作業開始だとすると大がかりだな。

163 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:48:50
それはまた話が別。

164 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:51:09
>>161
ヘタすると実作業よりも起動待ちの方が長くなるような
という意味合いで書いたんだが。
作業内容に比して大掛かりな道具という。

165 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:52:33
>>162
yumやaptの使い方知らないなら
確かに大掛かりな話になるかもね。

つか、そのレベルの人だったら
別の方法を採用したら
もっと大掛かりな話になりそうなw

166 :名無しさん@お腹いっぱい。:2010/03/26(金) 20:09:00
勝手にソフトを入れてはいけない客先のマシンとか、
社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。

167 :名無しさん@お腹いっぱい。:2010/03/26(金) 22:39:08
>>164
もれは attach するだけだから爆速

168 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:19:47
# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys

169 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:20:30
# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。
なぜなのでしょうか??
AllowUsers root は AllowUsers root hogehoge の間違いです。

170 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:21:18
ログ見ないのかね。

171 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:37:36
AuthorizedKeysFile /etc/ssh/authorized_keys
こんなデタラメな設定、誰に教わった?

172 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:47:36
あれ、なんかデジャヴ?

173 :名無しさん@お腹いっぱい。:2010/03/30(火) 19:30:03
これは酷いw

174 :名無しさん@お腹いっぱい。:2010/03/30(火) 19:39:25
こういうバカは死んで欲しい。
http://d.hatena.ne.jp/fjkktkys/20070214/1171433041

175 :名無しさん@お腹いっぱい。:2010/03/30(火) 20:31:37
>>174
いちおう「最終手段」って書いてるじゃん。

176 :名無しさん@お腹いっぱい。:2010/03/30(火) 23:56:23
何をやっているか理解せずに、全世界に公開する愚かな行為を言っているのだ。

177 :名無しさん@お腹いっぱい。:2010/03/30(火) 23:59:29
ブログに書かれた設定系のネタでまともなものを見たことがない。

178 :名無しさん@お腹いっぱい。:2010/03/31(水) 02:11:42
>>174
それ3行並べてるじゃん。
>>168のは一行しか書いてないじゃん。
なんで>>174の方を叩くべきって結論に?

>>177
ほう

179 :名無しさん@お腹いっぱい。:2010/03/31(水) 19:07:47
3:1で>>174の勝ち。

180 :179:2010/03/31(水) 21:08:38
>>174の方が明らかに間違い
>>168はそれに騙された被害者

一日間に異論がなければそれで確定ね

181 :名無しさん@お腹いっぱい。:2010/03/31(水) 21:55:09
>>168
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
ココ見てわからなかったら、グーグルさんに聞いてください。

182 :名無しさん@お腹いっぱい。:2010/03/31(水) 23:04:37
一日間に異論がなければそれで確定ね(キリッ

183 :名無しさん@お腹いっぱい。:2010/04/01(木) 17:19:46
何をやっているか理解せずに、誰かが書いた設定をコピペして使うのも愚かな行為。

184 :名無しさん@お腹いっぱい。:2010/04/05(月) 19:44:17
どうしてもssh認証できなくて、2日間悩んだあげくやっと原因を発見した
作った.sshディレクトリの所有者がrootになってた
忘れないようにここに記録しておく

185 :名無しさん@お腹いっぱい。:2010/04/05(月) 19:53:15
ばーか としか言いようがない

186 :名無しさん@お腹いっぱい。:2010/04/06(火) 07:47:09
そんなこと普通起きないから忘れていいよ。

187 :名無しさん@お腹いっぱい。:2010/04/06(火) 21:43:11
いや、>>184 が記憶したいのが「所有者が root だから駄目だった」だったら
きっと同じようなことをまたやらかすに違いない

188 :名無しさん@お腹いっぱい。:2010/04/07(水) 11:24:55
>>187
?
他に何を記憶したいという可能性が?

189 :名無しさん@お腹いっぱい。:2010/04/08(木) 16:20:59
root だったからじゃなくて、所有者が違ったからだめなんだよ。
そういう記憶の仕方は良くない。

/root/.ssh の所有者がrootでも何の問題もないからな。

190 :名無しさん@お腹いっぱい。:2010/04/08(木) 16:43:10
それを言うなら「所有者が違って、かつotherに読み込み権限がなかったから」だろ
>>184は所有者の確認もせずにパーミッションだけは700とかに設定したわけだな

191 :名無しさん@お腹いっぱい。:2010/04/08(木) 16:54:06
>>190
違うよ。
「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。

192 :190:2010/04/08(木) 17:17:26
/home/testuser/.ssh# ls -la
合計 12
drwx---r-x 2 root root 4096 2010-04-08 17:05 .
drwxr-xr-x 3 testuser testuser 4096 2010-04-08 17:05 ..
-rw----r-- 1 root root 395 2010-04-08 17:05 authorized_keys

試してみたけどこの状態ならtestuserでSSHログインできたぞ。
ここから chmod o-rx . ./authorized_keys するとログイン不可。
まぁ環境によるのかもしれないけど。

193 :名無しさん@お腹いっぱい。:2010/04/08(木) 21:03:08
drwx--x--x .
drwxr-xr-x ..
-rw------- authorized_keys
だろ常考

194 :名無しさん@お腹いっぱい。:2010/04/08(木) 21:10:03
そういう話はしていない。

195 :187:2010/04/08(木) 22:18:50
俺が言いたかったのは「所有者が root だから駄目だった」という
個別の事例を記録しても意味がなくて、なぜ ~/.ssh の所有者を root に
してしまったのかの原因を詳らかにしておいた方がいいんじゃないの?
ってことだったんだけどね

平たく言うと、安易にスーパーユーザーで作業すんなってこと

196 :名無しさん@お腹いっぱい。:2010/04/09(金) 10:15:32
>平たく言うと

遠すぎるな


197 :名無しさん@お腹いっぱい。:2010/04/09(金) 10:23:15
いや
何度も書かれている
お前の目が節穴だっただけ

大抵の人はフィルタを通して物(この場合スレの書き込み)を見てしまう
大事なことが書かれていてもそれに気付くためには
本人がそれを受け入れるための準備が必要なんだ

198 :名無しさん@お腹いっぱい。:2010/04/09(金) 10:32:54
>>191
× 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。
○ デフォルトでは所有者がroot以外の他人またはgoに書き込み権限有りの場合に拒否。
これほどあからさまな嘘は珍しい。

199 :名無しさん@お腹いっぱい。:2010/04/16(金) 17:26:34
opensshでログインするとサーバー側にTIOCSCTTYの引数が無効とでます
何が原因かわかりますでしょうか

200 :名無しさん@お腹いっぱい。:2010/04/16(金) 17:32:04
>>199
LANG=ja_JP.UTF-8 等にしているのが原因です。
LANG=C なら、ちゃんと
TIOCSCTTY: invalid argument
と出ます。

201 :名無しさん@お腹いっぱい。:2010/04/16(金) 17:39:01
>>200
失礼しました勝手に訳しました
ログインはできるので影響はないんですが気になるので調べてます


202 :名無しさん@お腹いっぱい。:2010/05/13(木) 21:33:11
一つ質問させて下さい。皆さんはSSHを用いて通信が暗号化された事をどのような方法で
確認していますか?

現在、
サーバ:windows2003server + cygwin(+openssh)
クライアント:windowsXP + teraterm
という環境でSSHポートフォワーディングを利用してリモートデスクトップ接続を
行おうとしており、実際に接続出来ていてリモートデスクトップが可能なのですが
経路が暗号化されているのかが判別出来ていません。

何か確認出来る方法、ツール等ありましたらご教示下さい。



203 :名無しさん@お腹いっぱい。:2010/05/13(木) 21:43:42
パケットキャプチャでも使ってみたらどうだろう

204 :名無しさん@お腹いっぱい。:2010/05/13(木) 21:50:06
ルータ経由でネットワーク分離して
間違って直結しようとしても出来ない構成にしておけばいいじゃん

205 :名無しさん@お腹いっぱい。:2010/05/14(金) 11:45:06
>>204
それだと「暗号化されてるかどうか」の
確認にはならんような

sshが信用できないから
自分の目で確認したい
ということかw
その批判精神には感じ入るが…

>>203しかないのでわ
tcpdumpとか?

206 :名無しさん@お腹いっぱい。:2010/05/14(金) 11:51:20
>>202
暗号化の確認にはならないけど、逆にリモートデスクトップの通常のポートに
接続されていないことをnetstatで確認するのはどうだろう。

207 :名無しさん@お腹いっぱい。:2010/05/14(金) 14:18:39
自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけをhosts.allow に記述するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、hosts.allowを sshd: ALL にする
メルアドとスクリプトも作った。

208 :名無しさん@お腹いっぱい。:2010/05/14(金) 20:13:48
>>205
tcpdumpの出力を目視だけでは正しく暗号化されてるかまでは判別できないと思う
>>207
それならiptablesの方が汎用的では?

209 :名無しさん@お腹いっぱい。:2010/05/15(土) 10:17:55
自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけを iptables に追加するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、iptables に追加する
メルアドとスクリプトも作った。

210 :名無しさん@お腹いっぱい。:2010/05/15(土) 14:18:11
メールサーバも落ちてたらお手上げなので、DNS query受け付けると、iptables フラッシュするためのRRとスクリプトも作った。ドメインも買った。


211 :名無しさん@お腹いっぱい。:2010/05/15(土) 16:39:38
面白いと思ってるのが痛い

212 :名無しさん@お腹いっぱい。:2010/09/08(水) 19:35:34
sshでトンネリングしてみたけれども、転送速度ってこんな遅いの?

FTPやVNCで20〜30KB、squidのプロクシとかは一瞬120KBくらいは出たけど
CPUや光帯域がネックってわけじゃないみたいだし、ちょっと不満。

WindowsでOpenSSHとPuttyの組み合わせです

213 :名無しさん@お腹いっぱい。:2010/09/08(水) 22:03:31
トンネリングしない場合と比べてどうなの?

214 :名無しさん@お腹いっぱい。:2010/09/09(木) 00:18:25
トンネリング無しだと、FTPで3MB/s、
VNCでも動きが激しいとこで400kb/sくらいでる

ssh通すと帯域制限されてる感触で、30kb/sしか出ない
一つのサーバとクライアント2台で試して同じ感じ

普通はどのくらいスループットでるものですか?
もしこれで遅すぎるならソフト変えてみる

215 :名無しさん@お腹いっぱい。:2010/09/09(木) 01:31:41
サーバーは何?

216 :名無しさん@お腹いっぱい。:2010/09/09(木) 01:46:54
>>214
>トンネリング無しだと、FTPで3MB/s、

この速度からして802.11gとかか?
あとFTPのSSHトンネリングはSOCKSサーバ方式?
どんな方式にせよそんなに落ちるのはおかしい。
暗号化方式をrc4やblowfishにすると速度出る。

217 :名無しさん@お腹いっぱい。:2010/09/09(木) 01:55:05
OpenSSH for Windows 3.8p1-1 20040709 Build
http://sourceforge.net/projects/sshwindows/files/OpenSSH%20for%20Windows%20-%20Release/

一般的な家庭内LANで、ポート22開放してCorei3積んだWindowsXPに入れて動かしてる
SHH-2の公開鍵認証
回線はBフレッツハイパーファミリー

素直にLinux使えばいいんだろうけどね

218 :名無しさん@お腹いっぱい。:2010/09/09(木) 01:59:12
つまり回線は関係ないんだよね

219 :名無しさん@お腹いっぱい。:2010/09/09(木) 02:00:32
セキュリティソフトは?

220 :名無しさん@お腹いっぱい。:2010/09/09(木) 03:02:15
>あとFTPのSSHトンネリングはSOCKSサーバ方式?
サーバ側で転送用に再接続する待ち受けポートをいちいちトンネリング設定してた
今SOCKS5方式で試してみて、転送速度は変わらなかったけど、便利になった

ウイルスセキィリティゼロが気休めに入っているけれども、
全部無効にしても違いが無い
今はWindowsファイアウォールだけ動かしてる

PuttyだけじゃなくTera Termでも試したけれども変わらなかった
サーバ側見直すよ

221 :名無しさん@お腹いっぱい。:2010/09/09(木) 09:37:54
>>212
もしかして中国とか? 先月中国出張の際にsshトンネルを通すと耐えられないくらい遅くなったよ。

222 :名無しさん@お腹いっぱい。:2010/09/09(木) 21:02:14
ssh -q -n hostname dd if=/dev/zero bs=8M count=1 > /dev/null

223 :名無しさん@お腹いっぱい。:2010/09/10(金) 19:56:49
ダウンロードなのかアップロードなのかでCPUスペックがより必要なホストがどちらかが変わる。
それぞれのスペックは?

224 :名無しさん@お腹いっぱい。:2010/09/10(金) 20:02:28
あ、ごめんなさい、圧縮転送とかんちがいした。
共有鍵暗号だからそんなに計算量変わらないか。

225 :名無しさん@お腹いっぱい。:2010/09/21(火) 01:49:39
20MB/sくらいはデルよ

226 :名無しさん@お腹いっぱい。:2010/11/12(金) 23:54:21
authorized_keys と authorized_keys2 ってどういう違いがあるの?
バージョンや暗号化方式によって違うらしいけど
なんでそんなことするの?

227 :名無しさん@お腹いっぱい。:2010/11/13(土) 00:38:50
authorized_keys に version2 のキー置いても問題なく動いてるけど

228 :名無しさん@お腹いっぱい。:2010/11/13(土) 10:01:45
>226
openssh と本家で仕様が違ってる(or 違ってた; 最近の事情は知らない)

229 :名無しさん@お腹いっぱい。:2010/11/13(土) 15:32:38
確かに本家とは仕様が違ってる/違ってたけど、authorized_keysとauthorized_keys2って違いじゃないはずだぞ。

230 :名無しさん@お腹いっぱい。:2010/11/13(土) 20:43:41
結局authorized_keys2は互換性のために残っているんだっけ?
authorized_keysが使えない条件は何?

231 :名無しさん@お腹いっぱい。:2010/11/13(土) 21:48:36
リンクしとけよ

232 :名無しさん@お腹いっぱい。:2010/11/13(土) 22:31:54
【新世代】 Windows 7 Part70
ttp://hibari.2ch.net/test/read.cgi/win/1276868266/783

783 名前:名無し~3.EXE[sage] 投稿日:2010/11/10(水) 22:34:10 ID:Rr0vNFYE
Windows 7 クライアントだと Loopback でもポートがかちあって
ssh トンネル越しの Windows 共有 (SMB ove SSH) が自分はできてなかったが
良い解説を見つけてできるようになった

CIFS-over-SSH for Windows Vista/7
ttp://www.nikhef.nl/~janjust/CifsOverSSH/VistaLoopback.html

キーワード:
CIFS over SSH (445/tcp)
Microsoft Loopback Adapter
sc config smb start= demand
netsh interface portproxy add v4tov4
net start smb (後から実行)
445 じゃなく proxy ポートに接続

あとは cygwin の openssh でOK

233 :名無しさん@お腹いっぱい。:2010/11/22(月) 21:44:26
鍵認証パスフレーズなしで長いことやってきたが
秘密鍵の保存場所って本気で考えると難しくないか?

普段入るサーバはsudo使えるやつが他にも数人いるし、
会社から提供されたPCもイントラチームにはdomain adminで筒抜け状態。
おいおい、いつ盗まれてもおかしくない状態!!・・・なんだけど
周りには「鍵認証って何?」って人しかいないから助かってるw

そもそも会社でパスフレーズなしは無謀?
しかし、パスワード毎回は面倒すぎる。

こういう場合はssh-agentかねやっぱ。
これはこれで面倒そうなんだよな。

皆どうしてるの?

234 :名無しさん@お腹いっぱい。:2010/11/22(月) 21:52:07
パスなし鍵でどのホストに繋がるのかが判らないようにしておけばよい
さらに同様の鍵が複数(沢山)あるとセキュリティ効果うp

235 :名無しさん@お腹いっぱい。:2010/11/22(月) 22:41:50
パスなし鍵をたくさん用意して、ホストごとに変えろってこと?
まあ、時間稼ぎにはなりそうだけど。。。
何百台もあるしなぁ。

236 :名無しさん@お腹いっぱい。:2010/11/22(月) 23:33:27
(´-`).。oO 周囲の人間が信用できないのにどうしてパス無し鍵を使うのだろう

237 :名無しさん@お腹いっぱい。:2010/11/23(火) 00:30:37
セキュリティと利便性が相反するのはわかる。
しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。
だからこそ、安全なパスなし鍵運用を追及したい。

238 :名無しさん@お腹いっぱい。:2010/11/23(火) 00:39:49
なんのためにssh-agentがあると思ってるんだ?

239 :名無しさん@お腹いっぱい。:2010/11/23(火) 01:08:00
ttp://webos-goodies.jp/archives/50672669.html
他人が root ユーザーとしてログインできるマシンでは ssh-agent は使うべきではありません。
ってのを読んで不安になったんで。


240 :名無しさん@お腹いっぱい。:2010/11/23(火) 02:05:03
rootしか見れない場所に置くしかないけど
みんながrootで入れる環境だと意味ない罠

241 :名無しさん@お腹いっぱい。:2010/11/23(火) 13:49:11
>>239
パスなし鍵の方がよっぽど危険



242 :名無しさん@お腹いっぱい。:2010/11/23(火) 15:34:51
パスなし鍵(複数)をローカルに暗号化して保存しておいて
それらをssh-agentでひとつのパスワードで管理って出来ない?

243 :名無しさん@お腹いっぱい。:2010/11/23(火) 17:39:16
> しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。

こういう意識でいる限り何を言っても無駄だな

244 :名無しさん@お腹いっぱい。:2010/11/23(火) 18:13:49
USBメモリに暗号化しておいとく


245 :名無しさん@お腹いっぱい。:2010/11/23(火) 18:46:04
っていうか ssh-agent 使ってみれば
「一日一回」で済むってことが分かるのに

246 :名無しさん@お腹いっぱい。:2010/11/23(火) 18:52:14
>>243
そこをなんとかw
業務委託が切られちゃったから、やらざるを得ないけど、
単調作業が嫌いなので、とにかく楽にしたい。

>>244
暗号化はすでにやってる。truecryptでイメージ保存してて
出社したら、.ssh/にマウントさせてる。
でも、マウントした時点でsudoもってる奴らには見えてしまう。


247 :名無しさん@お腹いっぱい。:2010/11/23(火) 18:56:50
パスなしよりは安全だから、ssh-agentにしますわ。
ただ、
ttp://www.gcd.org/blog/2007/07/123/
にもあったけどやっぱ他人がroot使える環境では
安全とは言えないんだよね?

248 :名無しさん@お腹いっぱい。:2010/11/23(火) 19:03:24
そんなの当然でしょ。
ssh信頼できないデバイスが信頼できな


249 :名無しさん@お腹いっぱい。:2010/11/23(火) 19:06:33
すません、書き込み失敗した。
sshクラアントごと差し替えられたり、
キーロガーしこまれたりできるデバイスだったら
秘密鍵のパスフレーズだって抜けるでしょ。



250 :名無しさん@お腹いっぱい。:2010/11/23(火) 19:23:24
そうですよね。。
ってことは俺の環境でパスなし鍵の安全性確保は難しそうだ。
vmwareで解決しそうだけど、禁止だし。。。
厳しいなぁ。


251 :名無しさん@お腹いっぱい。:2010/11/23(火) 19:46:02
ん?>>247の引用URLはForwardAgentでの話か。
イントラチーム筒抜けとかいってたからローカルの話の
続きかと思った。この場合は秘密鍵そのものは覗き見できない。

まあ仮にクライアント側で秘密鍵の機密性が守れたとしても
ログイン先sshdに罠を仕込めるようなサーバ環境なら通信内容の
盗聴はできるよ。

とことん防衛するつもりならSSHクライアント/サーバ管理者以外にも
DNSサーバ管理者やIPルータ管理者の警戒もお忘れなく。。。


252 :名無しさん@お腹いっぱい。:2010/11/23(火) 22:55:09
>>246
>暗号化はすでにやってる。truecryptでイメージ保存してて
>出社したら、.ssh/にマウントさせてる。
そうじゃなくて使う瞬間だけメモリ上で復号するんだよ

253 :名無しさん@お腹いっぱい。:2010/11/23(火) 23:21:57
>>251
なるほど、盗まれることはないってことか。
まあ盗聴は気をつけるしかないかな。
今回は、パスなし秘密鍵はちゃんと管理せよってよく言うけど、
みんなはどうしてるのかなと思っただけだよ。

>>252
使うたびに複合は面倒じゃない?
ちなみにUSBは使えない。

254 :名無しさん@お腹いっぱい。:2010/11/24(水) 00:26:21
正直マニュアルくらい読んでからにしてくれ…

255 :名無しさん@お腹いっぱい。:2010/11/24(水) 10:28:49
社内の root が信用できないって、
どんな仕事やってんだ?

256 :名無しさん@お腹いっぱい。:2010/11/24(水) 11:36:54
仕事じゃない内職だから社内の人を信用しないんじゃないか。

257 :名無しさん@お腹いっぱい。:2010/11/24(水) 12:27:16
おまえはクビだ

258 :名無しさん@お腹いっぱい。:2010/11/24(水) 12:39:33
お前が信用されてないから他人も信用しないってことか。

259 :名無しさん@お腹いっぱい。:2010/11/24(水) 20:52:07
>>255
俺もそれ思ったw
信頼できないやつにroot権限与えてるのが
そもそも一番の問題なんじゃねーか。
それ前提だと何やっても無駄だろう。

260 :名無しさん@お腹いっぱい。:2010/11/24(水) 22:15:00
俺も>>256と同意見、見られるとまずいことやってるんじゃないか?

261 :名無しさん@お腹いっぱい。:2010/11/25(木) 12:46:55
どこぞのエロ掲示板のおじさんが
「職場でダウンローダセットしてゲットしました〜」
って書いてるようなそういう話じゃね?

もっとヤバい機密の横流しとかならパスワードを
打つくらいのは厭わないだろうし

262 :名無しさん@お腹いっぱい。:2010/11/25(木) 21:46:29
うちは外部接続有りの実運用中の機器へのアクセスは
単独作業禁止、パスワードも再監者と確認しながら入力で
毎日他の担当者がアクセス履歴をチェックしてる。
当たり前のことだから別に面倒だとは思わんな

263 :名無しさん@お腹いっぱい。:2010/11/25(木) 22:35:41
アクセス履歴が残ると思ってる時点で問題だけどな

264 :233:2010/11/25(木) 22:45:30
なんか、大量レスどもです。
そんな重要作業ではなく、ほとんど監査がらみのログ収集とか
ldap未導入サーバのアカウント一覧取ったりとか、そんな依頼。
サーバ一覧渡されて、scpで取るだけだけど、楽したいじゃない。
とりあえずssh-agentに変えたから、これでパスなし鍵を置きっぱなしよりは
ましになったか。sudo可の奴らは信頼することにする。

265 :名無しさん@お腹いっぱい。:2010/11/25(木) 22:55:49
> 1. ssh-agent を使うとパスフレーズ入力省略出来る。
> 2. ssh-agent を普通に使うだけでは便利性が高くない。
> 3. keychain は ssh-agent をもっと便利にしてくれるツール。
> 4. keychain を導入すればパスフレーズ入力が PC 起動につき一回で済む。
> 5. keychain を使えば複数 ssh-agent を起動する必要がなくなる。

266 :マーフィ:2010/11/28(日) 03:54:00
>>257
Thank you.

267 :名無しさん@お腹いっぱい。:2010/11/28(日) 13:30:26
XPを使用しています。
ttp://www.gadgety.net/shin/tips/unix/ssh2.html
のインストール手順で詰んだのですが、スーパーユーザーで作業するにはどのような操作を行えば良いでしょうか。

268 :名無しさん@お腹いっぱい。:2010/11/28(日) 14:56:13
su

269 :名無しさん@お腹いっぱい。:2010/11/28(日) 15:22:11
XPってWindows XPのこと?
スーパーユーザーって何のことだ?
administratorのことか?

Windowsから別のOSにログインするって話なら
その相手が何でどういう設定になってて
何をやりたいのか書かんと

270 :名無しさん@お腹いっぱい。:2010/11/28(日) 23:18:26
"su" is not Super User.

271 :名無しさん@お腹いっぱい。:2010/11/28(日) 23:21:34
Substitute User

272 :名無しさん@お腹いっぱい。:2010/11/30(火) 13:18:27
switch userだと思ってたw

273 :名無しさん@お腹いっぱい。:2010/11/30(火) 18:47:41
super

274 :名無しさん@お腹いっぱい。:2010/12/02(木) 08:10:56
http://www12.atwiki.jp/linux2ch/pages/86.html#id_e92bb50d

275 :名無しさん@お腹いっぱい。:2010/12/02(木) 15:05:36
SSHのスレで延々引っ張るネタじゃないな

276 :名無しさん@お腹いっぱい。:2010/12/11(土) 02:57:10
にょろん

277 :名無しさん@お腹いっぱい。:2010/12/11(土) 19:10:00
>>265
パスフレーズ入力を何回かすることになってでも、俺は
gpg-agent --enable-ssh-supportの方がいいやw


278 :名無しさん@お腹いっぱい。:2011/01/22(土) 11:01:24
ssh brute force attacksに対する防御で、
OpenSSHのsshdで同一ホストからInvalied userなログイン要求があった場合に
外部プログラムを起動したいんだけど、何か方法ある?

maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って
悪戯できるので、イヤです。

279 :名無しさん@お腹いっぱい。:2011/01/23(日) 00:34:30
>同一ホストからInvalied userなログイン要求があった

現状これを把握するには log 見るしかないんじゃない?

280 :名無しさん@お腹いっぱい。:2011/01/23(日) 00:59:47
>>278
ソースいじるしかないんじゃね?
その程度ならすぐ追加できそう

281 :名無しさん@お腹いっぱい。:2011/01/23(日) 01:34:58
>>278
swatchかsyslog-ngあたりを使うのが普通では

syslogを読む、ってのはよく分からんが
syslogdが出力したlogファイルを読む、という意味か?
少なくとも後者なら「出力」ではなく「入力」に対応して
外部コマンド起動させることはできるよ
syslogdの置き換えだから

俺はsyslog-ngで
「同一ホストから1分間に3回ログイン失敗したら30分遮断」
なスクリプトを起動させてる
以前はswatch使ってたけど、時々変な挙動起こしてたんでやめた

282 :名無しさん@お腹いっぱい。:2011/01/23(日) 01:47:03
> syslogを読む
syslog.confでパイプすることも含みます。

ローカルユーザーがloggerで悪戯できるということは、侵入者が
これを悪用して管理者のログインを邪魔することが可能になるの
で使いたくないのです。
(侵入されたときに制御を奪い返せなくなる)

283 :名無しさん@お腹いっぱい。:2011/01/23(日) 01:51:22
あ、logger使って云々とあるから「出力」だけの話じゃねーのか。
と書こうとしたら既にw

sshdの設定変えてログ出力を非標準のfacilityに変えちゃえば
ルート権限持ってないユーザには分からんだろう。
そもそもそんな馬鹿にローカルから使わせるのがいけないんじゃね?
とも思うが。

284 :名無しさん@お腹いっぱい。:2011/01/23(日) 02:26:50
> ローカルユーザーがloggerで悪戯できるということは、侵入者が
> これを悪用して

んんん??
馬鹿ユーザじゃなくて「侵入者」がローカルで操作するの?
「ローカル」ってのはリモートではなく実機のコンソールでの操作って意味だよね?
どういう状況を想定しているのかイマイチ分からない…

実機を直接いじれる侵入者(あるいはその協力者)を想定するんじゃ
24h常駐ガードマン雇う等の物理的なセキュリティを厳重にするしか
根本対策にならんように思えるが

285 :名無しさん@お腹いっぱい。:2011/01/23(日) 02:34:35
侵入者(あなたはその協力者)

に見えた
頭腐って来てるかも・・・

286 :名無しさん@お腹いっぱい。:2011/01/23(日) 02:53:18
> ssh brute force attacksに対する防御で、

防御ならパスワード認証不可にすれば解決では。
色々複雑な状況考えてる一方でノーガードに近いパスワード認証前提というのがチグハグに見える。

287 :名無しさん@お腹いっぱい。:2011/01/23(日) 06:57:23
ログがうざいんぼるとだろ

288 :名無しさん@お腹いっぱい。:2011/01/23(日) 08:53:42
制御取り返すなんて、一度侵入された時点でアウトだろ

289 :名無しさん@お腹いっぱい。:2011/01/23(日) 12:27:56
pam_access.soとpam_tally2.so参考にPAMモジュール自作


290 :名無しさん@お腹いっぱい。:2011/01/23(日) 21:15:19
>>284
侵入されて任意のコマンド実行可能な状態になったことをローカルユーザと
表現しました。

>>286
sshは公開鍵認証だけです。その上で侵入された場合を想定しています。

>>288
当該サーバが地理的に離れているので、侵入されたことが判明したら、
到着する前にシャットダウンできる備えはしておきたいのです。

291 :名無しさん@お腹いっぱい。:2011/01/23(日) 21:25:22
>>290
侵入された時点で物理的に電源を切る以外何をやっても無駄。
そこまで心配するならSELinuxなどを使いなよ。

292 :名無しさん@お腹いっぱい。:2011/01/23(日) 21:46:08
>>290
侵入の証跡取るためにはシャットダウンもよろしくないんだよね
うちだったら緊急時は接続してるSW側でport落とすかな
(そして俺が侵入者なら無通信になったらファイル消しまくるように
仕掛けるだろうw)

293 :名無しさん@お腹いっぱい。:2011/01/23(日) 22:49:31
>>291
> 侵入された時点で物理的に電源を切る以外何をやっても無駄。
侵入されても、rootを取られてなければ奪還の可能性はあります。
たとえrootを取られても、ログインできればシャットダウン出来る
可能性はありますが、ログインできなければその可能性は0ですよね。

>>292
> 侵入の証跡取るためにはシャットダウンもよろしくないんだよね
放置するよりはシャットダウンを選びます。踏み台にされて犯罪に
使われたりしたら面倒ですから。

> うちだったら緊急時は接続してるSW側でport落とすかな
零細なんでリモートで落とぜるSWは無理です。

294 :名無しさん@お腹いっぱい。:2011/01/23(日) 23:19:09
>>290
> sshは公開鍵認証だけです。その上で侵入された場合を想定しています。

どういう状況で「その上で侵入」が可能になるのか説明plz

・サーバは遠隔地にある……これは普通
・sshは公開鍵認証のみである……brute forceで破られる心配ゼロ
・それでも、もし入られたら制御を奪われる恐れがある……????

前提がそもそも成り立ってないでしょ。
公開鍵認証使っている以上、秘密鍵が漏洩しない限りsshでの侵入はない、というのが通常の前提。
それを突破してくるスーパーハカーを相手と想定してるなら、何やっても無駄だよ。
君の力の及ぶ相手ではないからあきらめろ、としか。

295 :名無しさん@お腹いっぱい。:2011/01/24(月) 00:01:01
秘密鍵まで公開してるとか鍵長4bitとか

296 :名無しさん@お腹いっぱい。:2011/01/24(月) 00:05:05
> どういう状況で「その上で侵入」が可能になるのか説明plz
sshdのバグ、httpdとか他の経路。クライアントへの攻撃。

297 :名無しさん@お腹いっぱい。:2011/01/24(月) 00:08:19
Debianのウンコパッチが当たった状態で作った公開鍵もヤバイんだよな。

ま、それはともかく対策が過剰な気はする。
ipfw/iptablesなどで接続元を絞るとか、別のレイヤでの対策を考えるべき。

298 :名無しさん@お腹いっぱい。:2011/01/24(月) 00:36:23
接続元はtcp wrapperでjp限定に絞ってあります。
jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
「待てよ、ログイン出来なくされる」と思い直しての質問です。

299 :名無しさん@お腹いっぱい。:2011/01/24(月) 00:38:13
>>298
tcp wrapperで逆引きを使うとか、10年前の対策だな。

300 :名無しさん@お腹いっぱい。:2011/01/24(月) 00:48:41
他にjpで絞る方法ありますか?

301 :名無しさん@お腹いっぱい。:2011/01/24(月) 00:50:15
パケットフィルタはpfです。

302 :名無しさん@お腹いっぱい。:2011/01/24(月) 01:19:40
いい加減スレ違いじゃないか?
全然sshの話じゃなくなってるぞ
「httpdとか他の経路」ってのは何なんだよw

303 :名無しさん@お腹いっぱい。:2011/01/24(月) 01:48:10
>>298
> jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
> 「待てよ、ログイン出来なくされる」と思い直しての質問です。

「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの?
管理者が直近のログインに使ったIPアドレスは除外する、とか
そこまでいろんなパターン考えてるわりに他人が作ったそのまま使うの前提ってのがよく分からん
自分に都合がいいのを自分で作りなよ

304 :名無しさん@お腹いっぱい。:2011/01/24(月) 01:58:37
つか途中から>>278と質問が変わっとる
brute forceの話はどこへ行った? w
OSが何かも分からんし前提条件も途中で変わるのでは話が

305 :名無しさん@お腹いっぱい。:2011/01/24(月) 08:09:36
質問者が侵入されroot盗られたというわけ

306 :名無しさん@お腹いっぱい。:2011/01/24(月) 09:11:29
>>303
> 「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの?
> 管理者が直近のログインに使ったIPアドレスは除外する、とか
自分の利用条件に合う方法が思いつきません。詳細を説明するのも面倒だし、
全部を網羅できず、条件後出しになる可能性が高いので、スクリプトの改造
に関する話題は、これ以上はやめます。
加えて、メッセージの全部を偽造可能なので、それを見破るのも面倒。

>>304
sshdに対する攻撃は
1) ユーザ名を辞書攻撃で得る。
2) そのユーザ名に対してパスワードを辞書攻撃。
という手順です。
1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に
進化した場合にも防御することが可能です。
1)の段階でsshdの穴をつつかれる可能性は残りますが、対策する方がセキュア。

まとめます
・maxlogins.plに類する、syslogdに送られる情報を元に、sshdへの攻撃を防御する
 手法は非特権ユーザがサービス停止攻撃を実行可能。
・これに代わる確立された方法は現在のところ無し。

307 :名無しさん@お腹いっぱい。:2011/01/24(月) 09:31:46
>>306
syslogdにネットワークからメッセージ送れますね。(設定されてれば)
しかも(UDPなので)IPアドレスも偽造できる。

308 :名無しさん@お腹いっぱい。:2011/01/24(月) 14:08:18
ipfw/iptablesからキックして、syslogを参照すれば良いだけじゃないんかい?
まあ、多少作り込みは必要だろうけどそんなに難しい事だとは思わんけど。

309 :名無しさん@お腹いっぱい。:2011/01/24(月) 15:07:03
それよりも、syslogd改造してメッセージ送信元のuid取ってくるのが
手っ取り早くて確実かと思いました。(solarisでいう)

で、それをsyslog-ngに組み込もうとしたらsysutils/syslog-ng*がコ
ンパイルできねーでやんの。(事情により今すぐportsを最新版にできない)

310 :名無しさん@お腹いっぱい。:2011/01/24(月) 15:09:01
> (solarisでいう)
ゴミが残りました。気にしないでください。

311 :名無しさん@お腹いっぱい。:2011/01/24(月) 15:17:26
### /etc/pam.d/sshd
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_exec.so /sbin/log_and_deny.sh

### /sbin/log_and_deny.sh
#!/bin/sh
x=/var/run/sshd-blacklist-$PAM_USER-$PAM_RHOST
if [ -f $x ] ; then
shutdown now $x
else
touch $x
fi
exit 1

312 :名無しさん@お腹いっぱい。:2011/01/24(月) 18:22:16
>>311
わろうた

313 :名無しさん@お腹いっぱい。:2011/01/24(月) 18:29:21
まぁどういう方法でもいいけど、プログラム実行はCPUやディスクI/Oのコストが高いから、ヘタするとそれ自身がDoSになる可能性があるので、気をつけてな。

314 :名無しさん@お腹いっぱい。:2011/01/25(火) 00:23:01
>>306
> sshdに対する攻撃は
> 1) ユーザ名を辞書攻撃で得る。
> 2) そのユーザ名に対してパスワードを辞書攻撃。
> という手順です。
> 1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に

1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。
そして「1)の段階で検出」は既知の方法で十分対応可能。
1)の段階で「完全に遮断」すりゃその先の話は「まず起こり得ない物語」でしかない。
「まず起こり得ない物語」のために必死に対策打つのは
「まったく価値がない」とは言わんが、ちょいと馬鹿げてないか?
傍目には「空が落ちてきたらどうしよう」って悩んでる人と変わらんように見える。

大丈夫。
「公開鍵認証を突破する手法」とやらが広まる頃には、それに対するパッチもちゃんと出てるよw

315 :名無しさん@お腹いっぱい。:2011/01/25(火) 00:30:28
>>314
> 1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。
別経路からの侵入を想定と書いた。何度も書かせないでよ。面倒だな。

316 :名無しさん@お腹いっぱい。:2011/01/25(火) 01:57:00
>>315
どれがお前さんの書き込みだか他人のチャチャだか分からんよ
名前欄に何も入れてない上にこの板はIDも出ないし
続けたいならコテハンにしたら?
本来なら「もっとふさわしいスレ」に移動すべきだろうと思うけど

317 :名無しさん@お腹いっぱい。:2011/01/25(火) 02:17:43
もう面倒だから
「自分のアカウントがログイン不可にされてたら問答無用でネットワーク断」
になるように設定しとけば?
手法はいろいろ考えられると思うが

318 :名無しさん@お腹いっぱい。:2011/01/25(火) 23:50:18
>>317
却下です。理由は… 面倒くさいから上の方読んで。

319 :名無しさん@お腹いっぱい。:2011/01/26(水) 18:08:54
鍵認証のみで十分じゃん

320 :名無しさん@お腹いっぱい。:2011/01/26(水) 18:18:28
> maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って
> 悪戯できるので、イヤです。

侵入者にルート権限を奪われていない状況で、これって本当に可能なんでしょうか?
管理者のユーザ名も使用しているIPアドレスも分からない状態ですよね?
もちろん「無差別に全部塞ぐ」は簡単だけど自力では「開け直す」ができないんだから
意味がないような気がするし。

321 :名無しさん@お腹いっぱい。:2011/01/26(水) 18:19:34
それ以前に、踏み台等にすることを考えて侵入した場合
侵入していることが管理者に気づかれないようにするのが普通だと思うのだけど。

管理者を締め出すようなことしたら普通はすぐに対策取られちゃいますよね。
直接コンソール操作して。
苦労して侵入したのに、明かに「侵入してますよ〜」って言いふらすような
馬鹿なことをわざわざするかな。

322 :名無しさん@お腹いっぱい。:2011/01/26(水) 20:06:18
>>318
で、結局のところどうするんだ?これでもまだ「自分の望む答えが出てない」と言うなら、
おそらく自分で方向性決められないので素直に鍵認証にしとけ。

323 :名無しさん@お腹いっぱい。:2011/01/26(水) 20:43:24
>>320-321
他ユーザのログイン記録の管理は普通ルーズですよ。lastなどでわかる場合が多い。
maxlogins.plはホスト毎にアクセス制御なので、ユーザ名は不要ですね。

>>322
面倒だから上の方読んで。

324 :名無しさん@お腹いっぱい。:2011/01/26(水) 21:40:13
>>322
やっぱりキミ頭弱いそうだから説明してあげる。
>>309(syslogd改造)が現在の結論。

325 :名無しさん@お腹いっぱい。:2011/01/26(水) 22:04:55
>>324
全然結論になってないんだけど(笑)。
したり顔で言われたくないなぁ、馬鹿には。


326 :名無しさん@お腹いっぱい。:2011/01/26(水) 22:46:45
>>325
完璧になってるよ。

syslogdでメッセージ投げてきたプログラムのuidを取得すれば、
sshd(root)とlogger(非特権ユーザ)が区別できるので悪戯されない。

327 :名無しさん@お腹いっぱい。:2011/01/26(水) 23:07:30
ローカルユーザのいたずら対策と、外部のアタッカーからの対策がごっちゃになってるのが悪い。
・不要なサービスを立ち上げない、提供するホストを分ける
・不要なユーザを受け入れない
・二要素認証と承認の仕組み
などの基本から考え直せ。

328 :名無しさん@お腹いっぱい。:2011/01/26(水) 23:18:36
>>327
そう思うのは頭が弱いキミだけだよ。syslogd改造で完了だよ。
どんなに間抜けな事言ってるか教えてあげる。

> ・不要なサービスを立ち上げない、提供するホストを分ける
sshdとhttpd提供するホストを分けたら、httpdのホストはどうやって
保守するのでしょうか?

> ・不要なユーザを受け入れない
だからmaxlogins.plのような仕組みが必要。でもsyslogdが今のままではダメ。

> ・二要素認証と承認の仕組み
ハードウエアトークン使った秘密鍵認証ですが、何か?

329 :名無しさん@お腹いっぱい。:2011/01/26(水) 23:31:23
httpdの保守ならiptablesで1ホスト・1ユーザに絞ればいいじゃん
CMS使えば他のユーザをシェルまでログインさせる必要もない

あれもこれもいいとこ取りしようとして、要件が発散してるのがそもそもの問題w

330 :名無しさん@お腹いっぱい。:2011/01/26(水) 23:33:51
役所とか大学とかにありがち。

331 :名無しさん@お腹いっぱい。:2011/01/26(水) 23:47:33
>>293
> 零細なんでリモートで落とぜるSWは無理です。
って言ってたのに、

>>328
>ハードウエアトークン使った秘密鍵認証ですが、何か?
こんな金のかかるもの導入してる。

ほんとに同じ人?

332 :名無しさん@お腹いっぱい。:2011/01/26(水) 23:50:09
>>331
途中から変なのが参戦してるね。
syslogdなんて亜種がいくらでもあるし、syslogdが問題だと思うなら
余所の適切なスレへ移動して欲しい。

333 :名無しさん@お腹いっぱい。:2011/01/27(木) 00:03:46
>>331
OpenPGPカードだから安いよ、15ユーロくらいだったかな。
amazonの安売りの1000円カードリーダーだし。

334 :名無しさん@お腹いっぱい。:2011/01/27(木) 00:22:39
>>329
偉そうに分離しろとか言って、httpdとsshdは分離できないんじゃん。

335 :名無しさん@お腹いっぱい。:2011/01/27(木) 00:32:15
>>334
daemonとしての「サービス」は複数動かさざるを得ないが、
ユーザに提供する「サービス」はhttpdとsshd両方提供する必要は無い
必要が無いソースホスト・ユーザからは到達させないようにするのはセキュリティの基本中の基本

336 :名無しさん@お腹いっぱい。:2011/01/27(木) 00:43:55
おまえら、もう釣りにマジレスやめれ。
2,3万からのインテリスイッチすら買えないのに、ハードウェアトークンなんて面倒なものいれる零細企業がどこにあるんだよ。
脳内零細企業の管理者様はセキュリティ板にでもお帰りいただけばおk。

337 :名無しさん@お腹いっぱい。:2011/01/27(木) 01:27:53
・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる
・侵入されないことより、侵入後の対策が重要
・syslog改造すると表明したのにいつまでSSHスレに居座るの?
・他人の提案は何でも却下

ま、釣りじゃなければ精神異常だ罠

338 :名無しさん@お腹いっぱい。:2011/01/27(木) 01:34:41
>>335
sshdとhttpdが同一ホストで動かしているという前提しか提示してない
(それでどんなサービスを提供しているかは提示していない)のに
余計な憶測で
> ・不要なサービスを立ち上げない、提供するホストを分ける
と、間抜けなアドバイスしたって事だね。

>>336
外からログインさせるためにはハードウェアトークンは必須。
OpenPGPカードは(カード(15ユーロ)+リーダー(1000円))/1名
ランニングコスト0。全然面倒じゃない。
安定して購入できるかという問題はあるけど、零細はフットワー
ク軽くて小回り効くから、ディスコンになったら考えればいい。

インテリスイッチは無けりゃ無くて済む。
そのわりに設置場所やランニングコストもかかる。

全然矛盾しないんだなあ。

339 :名無しさん@お腹いっぱい。:2011/01/27(木) 01:59:17
>>337
> ・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる
他サービスに関してはここでは話題にしていないだけ。

> ・侵入されないことより、侵入後の対策が重要
侵入されない事に関しては、ユーザー名総当たり攻撃に対する防御が残っている。
これ以外は対策済み。

> ・syslog改造すると表明したのにいつまでSSHスレに居座るの?
.jp以外を拒否する方法として、tcp wrapperが古いというので、
代わる方法を聞いたけど、まだ答えがない。
あと、>>311は、釣りだったけど、PAMを使うというのは新鮮なアイデアだった。
そういうのが出てくるかもしれない。

> ・他人の提案は何でも却下
接続元限定しろ、パスワード認証やめろ、二要素認証しろ、とか
聞いてもいない、しかも対策済みの提案と、上の方のレス読まずに
書きなぐったまぬけな提案しか出てこねーんだもん。

340 :名無しさん@お腹いっぱい。:2011/01/27(木) 06:58:45
あー今日も大漁大漁♪

341 :名無しさん@お腹いっぱい。:2011/01/27(木) 10:03:20
sshd止めてシリアルからログインすればいいべ。
メンテするときはシリアルポートに繋いだモデムに電話掛ければOK。

342 :名無しさん@お腹いっぱい。:2011/01/28(金) 04:50:40
>>341
WarGamesを思い出した。

343 :名無しさん@お腹いっぱい。:2011/01/28(金) 12:34:44
>>339
> 上の方のレス読まずに

だから、どれがお前の書き込みだか
他の人には分かんねーんだっつーのw
ここにいるのが全員エスパーだと思ってんのか?
なんでコテハンにしないんだよ




釣られちまった

344 :名無しさん@お腹いっぱい。:2011/01/28(金) 12:46:01
>>343
そういうお前は誰なんだよ。

345 :名無しさん@お腹いっぱい。:2011/01/28(金) 12:50:26
>>343
その理屈なら、
> ・他人の提案は何でも却下
却下したのも誰だか判らないじゃないか。w

346 :名無しさん@お腹いっぱい。:2011/01/28(金) 14:06:56
>>342
古いね〜

347 :名無しさん@お腹いっぱい。:2011/01/28(金) 14:10:03
war dialerでやられる。

348 :名無しさん@お腹いっぱい。:2011/01/28(金) 17:28:01
>>347
管理者じゃない番号からの着信はPBXで止めろよ。

349 :名無しさん@お腹いっぱい。:2011/01/28(金) 21:00:29
オレオレ

350 :名無しさん@お腹いっぱい。:2011/01/29(土) 10:40:26
>>344-345
問題になってるのは「どれが質問者の発言か分からない」という話だろ
「他人」は何人いようと問題じゃない
他人のツッコミや推測の書き込みと質問者の答えの区別がつかんから
「前に書いた」と言われてもどれのことだか分からん訳で

2ちゃんでは話題が継続してる間は最初の質問の番号を名前欄に入れる
のが一般的だと思うんだが質問者はそういうルールを知らんのか
あるいは質問者は>>278だけで後はなりすましの他人による釣り行為だったのかw

351 :名無しさん@お腹いっぱい。:2011/01/29(土) 10:49:12
もうこの話やめようよ。

352 :名無しさん@お腹いっぱい。:2011/01/29(土) 11:59:25
>>350
>>337は、(質問者が)「他人の提案をなんでも却下」したと言っている、
却下したのが他人の突っ込みでないこと、すなわち元質問者であるとわ
かっている。
わからないお前がバカなんじゃない?

353 :名無しさん@お腹いっぱい。:2011/01/29(土) 12:00:00
openssh 5.7リリースの話題から目をそらそうとする陰謀としか思えんな
どういう目的があるのかはわからんが

354 :名無しさん@お腹いっぱい。:2011/01/29(土) 19:54:45
>>352
とりあえず見てて不快だからこの話題やめようぜ

355 :名無しさん@お腹いっぱい。:2011/01/29(土) 22:01:49
やり込めようと向かってこなきゃいいんじゃないかな。頭足りないんだから。

356 :名無しさん@お腹いっぱい。:2011/01/30(日) 00:11:27
>>352
そのレス以前の文脈無視すんなよw

357 :名無しさん@お腹いっぱい。:2011/01/30(日) 14:29:00
>>356
誰が書いたかわからないのに文脈もクソもないだろ。

358 :名無しさん@お腹いっぱい。:2011/01/31(月) 11:39:19
>>353
とりあえず家のSolaris鯖のは既に入れ替えてみてある。
ぱっと見、session.cのコードが結構変わってた。

359 :名無しさん@お腹いっぱい。:2011/02/01(火) 18:44:56
>>358
よくわかってないんだけどECDSA って美味しい?
試しにssh-keygen -t ecdsa したら規定値256bit なんだけどこれで問題ないのかな?
-3 は面白そう

360 :名無しさん@お腹いっぱい。:2011/02/02(水) 10:06:03
楕円暗号だから256bitもあれば
RSA2048bit よりは強度はだいぶ上じゃないかな


361 :名無しさん@お腹いっぱい。:2011/02/02(水) 10:14:40
> scp(1): 新しい -3 オプションを追加.

これ壁というかGW上のホストでの作業に
めちゃめちゃ便利そう

いままでなかったのが不思議なくらい
(いちいち ssh utigawa tar cf - | ssh sotogawa tar xpf - とかしてた)

はやく FreeBSD のツリーに取り込まれないかな…

362 :名無しさん@お腹いっぱい。:2011/02/02(水) 10:19:27
もう一つ openssh 5.7関係の話から(openssh とは直接は関係ないんだけど…)
> sftp(1): sftp クライアントは非常に早くなった.

WinSCP による転送が異常に遅い問題って
この辺の話と関係あるんでしょうかね。


363 :名無しさん@お腹いっぱい。:2011/02/02(水) 15:03:40
* sftp(1): the sftp client is now significantly faster at performing
directory listings,
これ? ディレクトリ一覧取得って書いてあるけど。

364 :名無しさん@お腹いっぱい。:2011/02/02(水) 15:24:48
>363
あちゃ… たしかに原文はそうなってるね。
日本語訳しか読んでなかった… orz

365 :名無しさん@お腹いっぱい。:2011/02/02(水) 20:53:32
>>360
トン
RSA に比べると大分bit 数が少なかったので少し不安でした
とりあえず256bit で運用してみます

366 :名無しさん@お腹いっぱい。:2011/02/04(金) 13:01:42
5.8
http://www.openssh.org/txt/release-5.8
http://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_5.8.txt

367 :名無しさん@お腹いっぱい。:2011/02/04(金) 23:35:36
この前5.7出たばっかなのにもう5.8か

368 :名無しさん@お腹いっぱい。:2011/02/09(水) 07:24:56
PAMって具体的にどういう利点があるのですか?

369 :名無しさん@お腹いっぱい。:2011/02/09(水) 21:43:26
>>368
認証プロセスをアプリ毎に実装する必要がない。
認証方法を変更する場合、ユーザー側の作業だけですみ、アプリに変更を加える必要がない。

370 :名無しさん@お腹いっぱい。:2011/02/23(水) 00:31:11.34
MidpSSHでOpenSSHのsshdへ接続するにはsshd_configに最低でも
Ciphers 3des-cbc
としておかないと駄目らしい。
なんとか接続できたので快適w

371 :名無しさん@お腹いっぱい。:2011/02/28(月) 10:39:20.71
ssh-keygen コマンドで作成される公開鍵、秘密鍵にはユーザ名は含まれているのでしょうか?

◯前置き:
自分のPC(Windows)には taro というアカウント名でログオンしていて、cygwin を使っている。
家庭内LAN上の別のマシンの Linux 上に taro というアカウントを作った。
cygwin の openssh で ssh-keygen で作成した公開鍵を Linux に送り、cygwin の ssh から
鍵認証でログインすることが出来ている。

◯問題:
sourceforge.jp にアカウントを作った。このときのアカウントは hoge とする。
hoge 用に公開鍵と秘密鍵のペアを作るのが面倒だったので、↑でつくった taro 用の公開鍵を
sourceforge.jp に登録し、cygwin から

$ ssh -i .ssh/id_rsa -l hoge shell.sourceforge.jp

というようにやっているのだけど、10時間たっても
Permission denied (publickey).
というエラーが出てログインできない。

372 :名無しさん@お腹いっぱい。:2011/02/28(月) 11:34:25.20
ユーザ名は含まれていない。
sshに-v付けて調べる。

373 :371:2011/02/28(月) 12:08:14.03
>>372 レスどうもありがとうございます。 こんな感じになりました。

$ ssh -v -i .ssh/id_rsa -l hoge shell.sourceforge.jp
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /home/taro/.ssh/config
debug1: Connecting to shell.sourceforge.jp [202.221.179.26] port 22.
debug1: Connection established.
debug1: identity file .ssh/id_rsa type 1
debug1: Remote protocol version 1.99, remote software version OpenSSH_5.1p1 Debian-5
debug1: match: OpenSSH_5.1p1 Debian-5 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
(続く)

374 :371:2011/02/28(月) 12:08:30.45
(続き)
debug1: Host 'shell.sourceforge.jp' is known and matches the RSA host key.
debug1: Found key in /home/taro/.ssh/known_hosts:43
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: .ssh/id_rsa
debug1: Authentications that can continue: publickey
debug1: No more authentication methods to try.
Permission denied (publickey).

375 :名無しさん@お腹いっぱい。:2011/02/28(月) 12:51:57.78
pubkeyのオファーはしてるけど、サーバ側で拒否してる。
サーバーに転送した公開鍵がおかしい(行末?)とか、ディレクトリが違うとか、
パーミッションがおかしいとか。

376 :名無しさん@お腹いっぱい。:2011/02/28(月) 12:52:50.37
サーバの.sshがworldライタブルとか

377 :371:2011/02/28(月) 13:10:15.94
レスどうもありがとうございます。
sourceforge.jp の場合、下記のように、
ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、
http://sourceforge.jp/projects/docs/wiki/SSH%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%82%AD%E3%83%BC
ディレクトリが違うとかパーミッションがおかしいということはないと思います
(sourceforge.jp の CGI が間違ってない限り)

ちなみに「サーバ側で拒否している」とは、>>373-374 のどこでわかるのでしょうか?
また、「鍵が合ってないよ」とは違う状況をサーバはおうとしているのでしょうか?

378 :名無しさん@お腹いっぱい。:2011/02/28(月) 13:28:46.78
> ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、
ありがちなミスでコピペしたときに途中に改行が入ってるんじゃない?
公開鍵は一行だぞ。

> debug1: Authentications that can continue: publickey
(あんたの送った公開鍵は却下)次の公開鍵送れ。

379 :371:2011/02/28(月) 15:04:24.35
すみません、原因がわかりました。
sourceforge.jp では、アカウント申請しただけではシェルサーバに
ログインできず、何らかのプロジェクトに属さないとダメなようです。

申し訳ありません、お騒がせしました。

>>378
レスどうもありがとうございます。
ssh -v でデバッグする方法は今回で知ったので、今後に役立たせていただきます。

380 :名無しさん@お腹いっぱい。:2011/03/26(土) 01:13:04.19
metosrv9.umd.eduがSSH舐めて歩いてる

381 :名無しさん@お腹いっぱい。:2011/03/27(日) 01:59:12.03
公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からDebにはsshで入れたが、Mac2からDebには Permission denied (publickey) のエラーで接続できなかった。
Mac1とMac2は同じ構成なので、これは不可思議だった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
Mac1からもDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。

382 :名無しさん@お腹いっぱい。:2011/03/27(日) 02:16:24.71
間違えたので訂正。

公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からMac2にはsshで入れたが、DebからMac2には Permission denied (publickey) のエラーで接続できなかった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
今度はMac1とMac2の両方からDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。

383 :名無しさん@お腹いっぱい。:2011/03/27(日) 09:08:23.01
どうみても別問題です
Mac側ユーザでls -la ~/.sshした結果でも貼ってみれば?

384 :382:2011/03/27(日) 11:20:30.38
>>383 やはりそうですかねえ。それではMac1側のを一応貼ります。
-rw------- 1 me staff 1217 Feb 11 21:26 authorized_keys
-rw------- 1 me staff 1743 Jan 1 12:28 id_rsa
-rw-r--r--@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
-rw------- 1 me staff 418 Jan 1 13:07 id_rsa.pub
-rw-r--r-- 1 me staff 14756 Mar 13 11:53 known_hosts

上記のうち、Debのpublic keyを
-r--------@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
にしても変わりません。

385 :名無しさん@お腹いっぱい。:2011/03/27(日) 13:26:38.84
何言ってるのかちょっとわからない
Mac1はログインする側でDebがされる側?
まさかだけど鍵穴に鍵穴を突っ込もうと奮闘してるとか?

386 :名無しさん@お腹いっぱい。:2011/03/27(日) 13:48:31.92
ここと、

>Mac1からMac2に
>DebからMac2に

ここで、

>今度はMac1とMac2の両方からDebに

ログインの方向が変わってるぞ。鍵穴に鍵穴を突っ込もうとしてるか、鍵を鍵に突っ込もうとしてるのどちらか。

387 :名無しさん@お腹いっぱい。:2011/03/27(日) 15:02:42.89
pubkeyオンリーの運用が難しいなどと抜かす池沼はサーバの運用するな。

388 :名無しさん@お腹いっぱい。:2011/03/27(日) 23:17:45.54
>>385
なんか百合っぽい

389 :名無しさん@お腹いっぱい。:2011/03/28(月) 06:06:44.71
藤原一宏教授の虚偽申請は、日本の数学界に対する国民の信頼を裏切った、
無視することのできない重大な事件です。このような者がのうのうと責任ある教授職を
続けていることに、藤原氏がプロの学者であることを自覚しているのなら
なおさら疑問をかんじざるを得ません。今後二度とこのような事件が起きないように
するためにみなさんで建設的な議論をしましょう。

390 :382:2011/03/28(月) 10:56:35.78
>>386
ログインの方向が変わっているのはその通りです。
3つのマシンがsshdを動かしていて、それぞれ公開鍵を発行して相互にログインできてました。

いま困っているのは
>今度はMac1とMac2の両方からDebに
が出来ない事ですが、
別の事象として、DebからMac2にアクセスするときにも同じエラーが起きていたということです。

391 :名無しさん@お腹いっぱい。:2011/03/28(月) 13:44:18.52
公開鍵は使いまわせるけど、秘密鍵は使いまわせないですよね?
その公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない。

392 :名無しさん@お腹いっぱい。:2011/03/28(月) 13:49:53.81
どういう意味で「公開鍵を使いまわす」と言ってるんだろう。

393 :名無しさん@お腹いっぱい。:2011/03/28(月) 13:50:31.92
>>391
キミは120%理解していない。

394 :名無しさん@お腹いっぱい。:2011/03/28(月) 14:21:01.08
なるほど、この人はパスフレーズが「鍵」だと勘違いしているのかな…

まあ何を拠り所に認証しようとしているか理解しないと
いつまでたっても勘違い度2000% になっちゃうね

395 :名無しさん@お腹いっぱい。:2011/03/28(月) 14:23:13.67
>公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない
これができるなら、公開鍵暗号って破綻しないか?

396 :名無しさん@お腹いっぱい。:2011/03/29(火) 15:29:07.09
お客様の中にPuTTYを使っている方はいらっしゃいませんか
PuTTYで共通する項目を設定することはできんものでしょうか
例えば色や外観など部分的な設定を各セッションで共通化したいのですが手軽な方法はないでしょうか
ICE IVのPuTTYを使っています

397 :名無しさん@お腹いっぱい。:2011/03/30(水) 10:19:55.10
putty.iniを編集(手動じゃ無くてもいいけど)するんじゃダメなの?

# そういう話じゃなくて?

398 :名無しさん@お腹いっぱい。:2011/03/30(水) 10:56:06.56
termcapでいうところのtc=が欲しいのだろう。オレも欲しい。

399 :名無しさん@お腹いっぱい。:2011/03/30(水) 11:56:39.06
ごった煮でもiceivでも多分、無理。実を言うと俺も欲しかった。
ところでputtyスレは新スレ誰も立てずに断絶してしまってる?

400 :名無しさん@お腹いっぱい。:2011/03/30(水) 13:52:04.65
ありがとう

>>397
それが一番手っ取り早いですね
ini中のいつも使っている[Session:XXXX]のColourXX=で他のセクションのColourを置換してしまえばいいわけですし

>>399
スレタイ検索ではputtyスレなかったです



401 :名無しさん@お腹いっぱい。:2011/03/30(水) 15:15:59.08
Default Settingsを読み込んでそこから派生させるとかじゃなくて?

402 : 忍法帖【Lv=17,xxxPT】 :2011/04/29(金) 12:59:56.51
Windowsでsftpにエクスプローラから直接アクセスする方法を教えてください。

403 :名無しさん@お腹いっぱい。:2011/04/29(金) 13:09:24.69
>>402
SFTPサーバーをエクスプローラの仮想フォルダとして追加できる「Swish」
http://www.forest.impress.co.jp/docs/review/20110127_422559.html

404 :名無しさん@お腹いっぱい。:2011/05/26(木) 20:38:23.52
ポートフォワードをする際に
sshサーバまでの暗号化をさせない方法はありますか?

405 :名無しさん@お腹いっぱい。:2011/05/26(木) 23:22:00.18
無い。

406 :名無しさん@お腹いっぱい。:2011/05/27(金) 00:21:30.09
>>404
sshでポートフォワードさせればいい

407 :名無しさん@お腹いっぱい。:2011/05/27(金) 10:08:43.79
不毛だけど「させない」って言ってるんだから放置で


408 :名無しさん@お腹いっぱい。:2011/05/27(金) 10:58:39.63
放置して暴れられても面倒だろ
>>404
スレ違い。SSHやめてnetcatでも使ってろよ。


409 :名無しさん@お腹いっぱい。:2011/05/27(金) 20:20:49.36
は?暗号化をさせない方法は>>406でokだからそれで終了でしょ?

410 :名無しさん@お腹いっぱい。:2011/05/28(土) 19:26:38.08
商用版SSHには暗号化無しにできるオプションがあるよ。

411 :名無しさん@お腹いっぱい。:2011/05/28(土) 19:35:03.83
>>406 >>409 は何を取り違えてるんだろうか? 普通に暗号化するんだけど

>>410 すみませんがフリー版でお願いします

412 :名無しさん@お腹いっぱい。:2011/05/28(土) 20:26:33.43
>>411
SSHを使わずにポートフォワードすればいいんじゃね?

413 :名無しさん@お腹いっぱい。:2011/05/29(日) 01:12:43.16
>>404
これでいいだろ
ipfw add 100 fwd ${remotehost},${remoteport} tcp from me to me dst-port ${localhost}

414 :名無しさん@お腹いっぱい。:2011/05/29(日) 01:14:39.58
最後の ${localhost} は ${localport} の間違い

415 :名無しさん@お腹いっぱい。:2011/05/29(日) 02:25:01.96
>>411
たぶん君のおちんちんが包茎なのが原因

416 :名無しさん@お腹いっぱい。:2011/05/29(日) 07:38:56.56
ふざけないでくれるかな。
結構真面目に質問したんだが。

417 :名無しさん@お腹いっぱい。:2011/05/29(日) 07:54:23.06
>>413
ssh鯖がレン鯖とかで、root権限がない場合は無理。
ipfw使うくらいならユーザー権限でstoneの方がいいだろ。
それでもssh鯖にはsshでのみアクセス化で、
勝手にport開いてlistenしてはいけない(fwでブロックされてる)という条件だと無理。

418 :名無しさん@お腹いっぱい。:2011/05/29(日) 07:55:48.88
なんで>>412>>413を無視するの

419 :名無しさん@お腹いっぱい。:2011/05/29(日) 09:02:41.42
>>416
君は自分の恥垢臭で発狂してしまうという珍しい症例。
その狂った頭はもう手のつけようがないけど、包茎は治る障害だから
せめて包茎主日ぐらいはしておけ。

420 :名無しさん@お腹いっぱい。:2011/05/29(日) 09:28:28.38
暗号化したくないのになんでSSH使いたいの?

421 :名無しさん@お腹いっぱい。:2011/05/29(日) 10:19:46.25
>>417
sshのみでアクセス可
って条件に非常に興味がある。
Linuxで、そんな設定が出来るのか?
どうやれば制限できるのか 方法を教えてほしい。

422 :名無しさん@お腹いっぱい。:2011/05/29(日) 11:13:24.12
>>420
よくよめ。
ssh鯖へのログインは暗号化。
その後のポートフォワードは暗号化せず。
だろ。

423 :名無しさん@お腹いっぱい。:2011/05/29(日) 11:30:30.65
だから>407でFAって言ったのに...

424 :名無しさん@お腹いっぱい。:2011/05/29(日) 11:40:36.38
ん?暗号化のCPU負荷を気にしてなくて実ネットワークに平文晒したいだけなら
ssh -L sport:remote:lport localhost
でよくない?

425 :名無しさん@お腹いっぱい。:2011/05/29(日) 11:42:46.20
s/lport/dport/

426 :名無しさん@お腹いっぱい。:2011/05/29(日) 11:54:23.14
なんだよ単なる露出狂かよ

427 :名無しさん@お腹いっぱい。:2011/05/29(日) 12:02:33.25
>>424
ssh鯖にログイン後に別のsshでssh鯖自身に接続してポートフォワードか
-gオプション要る。それだと stone使うのと同じ

手元のホストとssh鯖との間がsshでしか繋げない制限がかかってる場合
ssh鯖上で別のlistenポートを開けないので>>424 だとNG

428 :名無しさん@お腹いっぱい。:2011/05/29(日) 12:16:44.63
あと、自分のホストとSSH鯖との間にNATルーターがあって、
逆方向にポートフォワード(ssh -R)したい場合も
stoneや >>424の方法は使えませんな。

429 :名無しさん@お腹いっぱい。:2011/05/29(日) 12:32:47.86
>>428
なんで?
転送先へもNATされるのが普通だろうから問題ないでしょ?

430 :名無しさん@お腹いっぱい。:2011/05/29(日) 12:36:37.65
あ、転送先がNATの内側の話をいいたいのね

431 :名無しさん@お腹いっぱい。:2011/05/29(日) 12:38:33.66
>>429
内→外のNAT(NAPT)専用で、
NATルーターは別管理で、自分で設定を変更できないと考えろ

432 :名無しさん@お腹いっぱい。:2011/05/29(日) 12:42:59.23
いやNATの内側でも問題ないな

433 :名無しさん@お腹いっぱい。:2011/05/29(日) 13:24:10.87
包茎くん、コテハンつけてね。んまぁ、つけなくてもレスから恥垢臭
漂ってくるぐらいに臭いからわかるけどさ。

434 :名無しさん@お腹いっぱい。:2011/05/29(日) 15:48:54.77
面白いと思ってるのかな

435 :名無しさん@お腹いっぱい。:2011/06/08(水) 10:33:08.07
Sanba over SSH試してるんだがびっくりする位遅いんだな
Teratermだと2MB/s程度しか出ない
cygwinにOpenSSH-hpn入れてやっても13MB/sくらいが限界だわ
その割にCPUのリソース余ってる感じだし・・

CPUガリガリ使ってガンガン速度出てくれないもんかね〜

436 :名無しさん@お腹いっぱい。:2011/06/08(水) 10:35:04.35
あーSambaだった

437 :名無しさん@お腹いっぱい。:2011/06/08(水) 13:25:02.78
素直に sshfs にした方が

438 :名無しさん@お腹いっぱい。:2011/06/08(水) 13:41:44.24
>>437
素直なのかそれ

439 :名無しさん@お腹いっぱい。:2011/06/08(水) 15:13:04.49
すまない
素直じゃなかったよ////

440 :名無しさん@お腹いっぱい。:2011/06/08(水) 20:33:59.14
萌えた

441 :名無しさん@お腹いっぱい。:2011/06/09(木) 21:29:03.47
435ですが色々やりまくった結果
Sambaに拘るならWindowsでのsshクライアントはCygwinでOpensshをTar玉取ってきて
hpnパッチ当てるのが一番速いみたいです 商用だともっと速いのあるのかも?

んで鯖がGentooだったんですがこれが曲者でssh -vでOpenSSH_5.8p1-hpn13v10と
出るのにマルチスレッドで動いてませんでした 気が付くのにtopとにらめっこしつつ
設定変えまくって丸一日かかった・・・

鯖の方のOpensshも野良で入れたらsshdの負荷がMAXで200%まで行くようになって
SambaOverSSHでRead34MB/s、Write58MB/sまで出るようになりました(Phenom9750)
さすがに4コア全部使い切ったりはしないもんですね
ちなみにssh無しだとRead70MB/s、Write100MB/s位

SambaOverSSHで速度出そうって奇特な人は居ないかもしれませんが参考までに、
最初の2MB/sから34MB/sまで上がって嬉しくなったので書いてみましたw

442 :名無しさん@お腹いっぱい。:2011/06/15(水) 02:24:23.96
gentoo って hpn でもマルチスレッド動いてないんだ?
もしよかったら、どのあたりを設定したか教えてちょ。


443 :名無しさん@お腹いっぱい。:2011/06/17(金) 22:22:05.43
>>442
設定っていうか/etc/portage/profile/package.providedでGentoo純正のOpenssh
入らないようにして元々のを消してopenssh.orgで取ってきたTar玉のOpensshに
http://www.psc.edu/networking/projects/hpn-ssh/
で取ってきたパッチ上から3つ当ててインストールして/etc/init.d/sshdの
SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd}の所を
SSHD_BINARY=${SSHD_BINARY:-/usr/local/sbin/sshd}に書き換えただけです

444 :名無しさん@お腹いっぱい。:2011/06/18(土) 21:57:05.86
>>443
なーほー。
ありがとん!

445 :名無しさん@お腹いっぱい。:2011/07/01(金) 19:05:47.44
[クライアント-(Gateway)-サーバ]の環境下で, SSHで接続時にクライアントのディレクトリをサーバにマウントしたいのですが,
クライアントにsshdを導入せずマウントできる方法はないでしょうか

446 :名無しさん@お腹いっぱい。:2011/07/04(月) 18:50:53.50
逆ポートフォワーディングやればよかでは

447 :名無しさん@お腹いっぱい。:2011/07/10(日) 06:48:24.05
sshを導入しないならなぜここで聞くのか

448 :名無しさん@お腹いっぱい。:2011/07/10(日) 07:58:24.51
すみませんが詳しい方のみ回答をお願いします

449 :名無しさん@お腹いっぱい。:2011/07/10(日) 09:33:40.70
クライアントにsshdを導入するとマウントできる方法はあるでしょうか


450 :名無しさん@お腹いっぱい。:2011/07/10(日) 11:24:19.67
中国語でok

451 :名無しさん@お腹いっぱい。:2011/07/10(日) 11:40:20.66
我很遺憾、但我只懇求專家的人來回答。

452 :名無しさん@お腹いっぱい。:2011/07/10(日) 11:50:00.63
はい。
http://sourceforge.net/apps/mediawiki/fuse/index.php?title=SshfsFaq#Is_there_some_neat_way_to_do_it_in_reverse.3F

453 :名無しさん@お腹いっぱい。:2011/07/10(日) 13:04:32.53
フランスに渡米経験者のみ回答ok

454 :名無しさん@お腹いっぱい。:2011/07/20(水) 17:12:54.98
『入門OpenSSH』という書籍の原稿が公開されてた。
http://www.unixuser.org/~euske/doc/openssh/book/index.html
良い時代になったなぁ…
次スレのテンプレ(何年後だ)に入れて欲しいぞ。

455 :名無しさん@お腹いっぱい。:2011/07/20(水) 18:50:10.35
4.69 で直ったやつか?
ttp://ttssh2.sourceforge.jp/manual/ja/about/history.html#teraterm_4.69

456 :名無しさん@お腹いっぱい。:2011/07/20(水) 18:50:49.96
誤爆した。すまん。

457 :名無しさん@お腹いっぱい。:2011/07/25(月) 07:11:21.09
最近は外向きのSSLを一回解除して平文を読んでから外部にSSLで繋ぎ直すといった
Man in the MiddleみたいなことをするIDSがあるみたいですが
ローカルのクライアントから外部のサーバへアクセスする際に途中にこういったIDSが存在しても
公開鍵認証でSSH使っている場合にはこれは暗号文を復号されないということでよろしいのでしょうか?

458 :名無しさん@お腹いっぱい。:2011/07/25(月) 08:26:49.63
SSLの証明書やsshのサーバ host key が何かを
考えてから言ってくれ

459 :名無しさん@お腹いっぱい。:2011/07/26(火) 02:03:57.05
公開鍵認証かどうかは関係ないやろ。
ローカルのクライアントを操作してる人間が
MITMゲートウェイの提示してきた偽造したホスト公開鍵を
外部サーバのホスト公開鍵だと闇雲に信じてしまうんなら
そら盗聴されるわ。


460 :名無しさん@お腹いっぱい。:2011/07/30(土) 22:55:04.76
sshで逆引きして.jp以外は拒否ってできますか?

461 :名無しさん@お腹いっぱい。:2011/07/30(土) 23:50:26.03
>>460
TCP Wrapperのライブラリがリンクされているか、inetd経由で起動させれば可能だよ。

462 :名無しさん@お腹いっぱい。:2011/08/21(日) 18:50:25.69
接続元のサブネットごとに、認証方式を変える方法ってどう書けばいいでしょうか。
具体的には、ローカルアドレスからは公開鍵認証かパスワード認証、
グローバルアドレスからは公開鍵認証のみ、
としたいです。

463 :名無しさん@お腹いっぱい。:2011/08/23(火) 10:10:58.30
>>462
man sshd_configしてMatchでAddress使う書式確認すりゃいいんじゃね


464 :名無しさん@お腹いっぱい。:2011/08/23(火) 15:37:28.24
>>463
ありがとうございます。「Match,Address」というキーワードがわかったので
ssh Match Addressで検索したらそのものズバリのページがみつかりました。
ttp://inside.ascade.co.jp/node/4

465 :名無しさん@お腹いっぱい。:2011/08/26(金) 14:13:13.34
復帰

466 :名無しさん@お腹いっぱい。:2011/09/05(月) 22:44:49.86
ところでケルベロス使ってる人いる?

467 :名無しさん@お腹いっぱい。:2011/09/05(月) 23:53:13.16
いるよ

468 :名無しさん@お腹いっぱい。:2011/09/06(火) 21:54:07.01
どう?

469 :名無しさん@お腹いっぱい。:2011/09/06(火) 22:13:59.17
さぁ。

470 :名無しさん@お腹いっぱい。:2011/09/06(火) 23:05:47.45
ありゃ地獄だぜ

471 :名無しさん@お腹いっぱい。:2011/09/06(火) 23:46:26.24
http://www.openssh.com/txt/release-5.9

472 :名無しさん@お腹いっぱい。:2011/09/26(月) 21:02:40.54
よくわからなかったころは合成に良く使った

473 :名無しさん@お腹いっぱい。:2011/10/02(日) 12:31:00.47
質問です。

known_hostsに登録される鍵は、ホスト鍵と呼ばれるそうなのですが、
ホスト鍵にも秘密鍵と公開鍵があるんでしょうか?
その場合、known_hostsに登録されているのは公開鍵のほうですか?


474 :名無しさん@お腹いっぱい。:2011/10/02(日) 14:20:39.62
はい。

475 :名無しさん@お腹いっぱい。:2011/10/02(日) 21:41:53.68
>>474
ありがとうございます。
公開鍵はknown_hostsに登録されているとすると、
(ホスト鍵の)秘密鍵はどこに登録されているのでしょうか?



476 :名無しさん@お腹いっぱい。:2011/10/02(日) 21:58:32.77
$ grep ^HostKey /etc/ssh/sshd_config

477 :名無しさん@お腹いっぱい。:2011/10/03(月) 01:08:39.12
>>475
クライアント側の話?
なら秘密鍵はクライアント側にはないよ。

478 :名無しさん@お腹いっぱい。:2011/10/04(火) 19:18:25.34
>>476
$ grep ^HostKey /etc/ssh/sshd_config
$


479 :名無しさん@お腹いっぱい。:2011/10/04(火) 19:46:31.60
>>478
じゃあ
$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh/
それぞれの結果見せて

480 :名無しさん@お腹いっぱい。:2011/10/04(火) 23:04:59.53
もしもホストキーを自分と相手で同じもの使ったらどうなるの?

481 :名無しさん@お腹いっぱい。:2011/10/05(水) 00:02:10.98
そんな事チェックしてないので、どうもならない。

482 :名無しさん@お腹いっぱい。:2011/10/06(木) 00:24:04.87
>>477
クライアント側にあるのが秘密鍵じゃないの?

483 :名無しさん@お腹いっぱい。:2011/10/06(木) 01:40:00.64
鍵を作ったところにしかないのが秘密鍵。
ホスト鍵はホストが作るんだからその秘密鍵がクライアントにあるはずがない。


484 :名無しさん@お腹いっぱい。:2011/10/06(木) 02:11:06.54
入門OpenSSH
http://www.unixuser.org/~euske/doc/openssh/book/index.html


485 :名無しさん@お腹いっぱい。:2011/10/14(金) 01:06:13.11
>>483
クライアントで秘密鍵と公開鍵を作って
サーバには公開鍵を登録する
と思ってたけど違うの?

486 :名無しさん@お腹いっぱい。:2011/10/14(金) 01:42:46.67
>>485
それは認証用の鍵でしょ なんの話をしてるんだよ

487 :名無しさん@お腹いっぱい。:2011/10/14(金) 02:17:54.44
>>485
ホスト鍵の話だよ。
sshd_config で言う HostKey の話。

488 :名無しさん@お腹いっぱい。:2011/10/14(金) 08:54:42.74
秘密鍵を使用する以外の別の場所で、それを作ってはいけないという決まりはない。

489 :名無しさん@お腹いっぱい。:2011/10/14(金) 09:29:29.23
ホスト鍵って何に使うの?

490 :名無しさん@お腹いっぱい。:2011/10/14(金) 09:53:01.24
>>488
いきなり何を言い出したんだ?

491 :名無しさん@お腹いっぱい。:2011/10/14(金) 10:30:19.60
>>488
作ってはいけないという決まりはないが、
作るべきではない。

492 :名無しさん@お腹いっぱい。:2011/10/14(金) 10:33:48.02
>>489
http://www.unixuser.org/~euske/doc/openssh/book/chap3.html

493 :名無しさん@お腹いっぱい。:2011/10/14(金) 10:48:12.08
ホスト鍵が何かわかってないってことは、
初回ログイン時に表示される fingerprint が何かわかってないってこと。
何も考えずに yes って打ってるでしょ。
それ危険だよ。

494 :名無しさん@お腹いっぱい。:2011/10/14(金) 11:06:06.49
サーバのIPがコロコロ変わるのでknown_hostsは毎回削除してたわ

495 :名無しさん@お腹いっぱい。:2011/10/14(金) 11:21:58.23
わかっててやってるならいいけどさ。

496 :名無しさん@お腹いっぱい。:2011/10/14(金) 21:45:45.81
ssh-agent コマンド
ってやってssh-agentを起動する時、
普通に考えると「コマンド」はssh-agentの子プロセスになると思いがちだけど、
実際にはssh-agent内部でfork()した後、その親プロセス側が「コマンド」をexec()する。

「コマンド」が親で、ssh-agentが子プロセスになる。
で、このままでは「コマンド」の終了をwait()やSIGCHLDとかで検出できないので、
ssh-agentはわざわざ10秒おきに「コマンド」が終了したかどうかチェックしてる。

何故わざわざ親と子を逆にして面倒なことをしているのでしょう?
何か理由があるのでしょうか?

497 :名無しさん@お腹いっぱい。:2011/10/14(金) 23:15:25.03
呼び出し側がコマンドを子プロセス扱いできるようにってことかな?

498 :名無しさん@お腹いっぱい。:2011/10/15(土) 02:02:05.36
フジテレビデモ
花王デモ
要チェック


499 :名無しさん@お腹いっぱい。:2011/10/15(土) 11:32:51.63
親プロセスがsh以外の(変な)プログラムだと混乱するのがあるんじゃないかな。

500 :名無しさん@お腹いっぱい。:2011/10/15(土) 11:48:39.01
>>499
は?祖父母プロセスのことをいいたいの?想像できん・・・

501 :名無しさん@お腹いっぱい。:2011/10/15(土) 12:16:48.59
$ echo $$
19472
$ ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent ssh-agent bash -c 'echo $PPID'
19472


502 :名無しさん@お腹いっぱい。:2011/10/15(土) 12:26:07.78
10秒おきにポーリングしてプロセス終了を待つって無駄だよな。
実際ssh-agent終了直後、最大10秒間は /tmp/ssh-XXXXX が残ってしまう。
もっと効率的なアルゴリズムにできないのか?

503 :名無しさん@お腹いっぱい。:2011/10/15(土) 12:37:43.36
>>496
しかもgetppid(2)じゃなくてkill(2)でチェックしてるんだな。10秒以内に同じ
PIDのプロセスが作られると終了しない、と。

コマンド指定しない時のforkと無理やり共通化したかっただけとか・・・?

504 :名無しさん@お腹いっぱい。:2011/10/15(土) 14:05:20.20
コマンド付きだろうとなかろうと本来はssh-addやsshのためのソケットサーバ。
起動してしまえば子孫関係のないクライアントへも区別なくサービスできるし、
コマンド指定機能はオマケ機能扱いてことじゃね?


505 :名無しさん@お腹いっぱい。:2011/10/17(月) 19:03:01.30
>479
それを見たところで分かるとは限らないという意味であえて書いてたのだが…

$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh
moduli ssh_host_ecdsa_key ssh_host_rsa_key
ssh_config ssh_host_ecdsa_key.pub ssh_host_rsa_key.pub
ssh_host_dsa_key ssh_host_key sshd_config
ssh_host_dsa_key.pub ssh_host_key.pub
$

こんなとこ

506 :名無しさん@お腹いっぱい。:2011/10/17(月) 19:12:40.69
で、どうしたいの。

507 :名無しさん@お腹いっぱい。:2011/10/17(月) 20:16:45.13
>>506
>>505に対して書いてるのか?なら
>>476>>475の疑問を解消してくれるのを待ってる


508 :名無しさん@お腹いっぱい。:2011/10/17(月) 20:28:43.50
grep結果にひっかからないということは/etc/sshのファイルが使われている保証はないということ?

509 :名無しさん@お腹いっぱい。:2011/10/17(月) 20:43:02.38
>>505
ssh_host_ecdsa_key
ssh_host_rsa_key
ssh_host_dsa_key
ssh_host_key
がホスト鍵だな

次の質問ある?

510 :名無しさん@お腹いっぱい。:2011/10/17(月) 22:58:06.50
>>508
/usr/sbin/sshd -T で確認すればいいんじゃない?


511 :名無しさん@お腹いっぱい。:2011/10/17(月) 23:04:38.51
これからはセキュリティックの時代なので
ログインシェルをsshに変更したいんですが、
chsh -s /usr/bin/ssh
のプロンプトを発行するとエラーになりました。
何か設定が足りないんでしょうか?

512 :名無しさん@お腹いっぱい。:2011/10/17(月) 23:17:07.67
そういうネタはいいです。

513 :名無しさん@お腹いっぱい。:2011/10/17(月) 23:20:04.38
# echo /usr/bin/ssh >> /etc/shells


514 :名無しさん@お腹いっぱい。:2011/10/17(月) 23:36:02.81
>>510
sshd: illegal option -- T
OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
usage: sshd [-46Ddeiqt] [-b bits] [-f config_file] [-g login_grace_time]
[-h host_key_file] [-k key_gen_time] [-o option] [-p port] [-u len]


515 :名無しさん@お腹いっぱい。:2011/10/17(月) 23:39:22.21
ケチつけるだけじゃなく答え教えてあげたら。

516 :名無しさん@お腹いっぱい。:2011/10/19(水) 08:11:00.41
カラー表示の非対応SSHクライアントで端末タイプにvt100等を使用すると
カラー情報をクライアントが認識できないため、カラーになる文字列の前後に余計な文字列が付与されますが、
このカラー情報のパケットのルールについて記載されているサイト等は無いでしょうか?

端末タイプのdumbを認識しないsshdの場合、手動で取り除きたいと考えています。

517 :名無しさん@お腹いっぱい。:2011/10/19(水) 11:50:47.19
自己解決レス。

ANSIカラーコードという体系があったのですね。

518 :名無しさん@お腹いっぱい。:2011/10/19(水) 13:27:19.47
っていうか vt100 はカラー対応じゃないし…

そもそも TERM をみてカラー対応じゃなかったら
そのエスケープシーケンスは吐くべきじゃないわけだが


519 :名無しさん@お腹いっぱい。:2011/10/19(水) 14:01:20.68
TERMがvt100じゃなかったってオチでは?

520 :名無しさん@お腹いっぱい。:2011/10/19(水) 14:31:14.74
エスパーするとGNU lsはTERMを認識せずにカラー表示する。
alias ls='ls --color' されてたりする。

TERMをちゃんと認識するには ncursesなり termcapなりのライブラリとのリンクが必要。
lsのような基本コマンドで ncursesとかに依存するのは大げさだから、
TERM無視してエスケープシーケンス出力する今のやりかたが妥当。

521 :名無しさん@お腹いっぱい。:2011/10/19(水) 15:19:07.26
普通の標準出力の文字列内にエスケープシーケンスがあるべきじゃないだろうし、
5d(だっけ)と直近のmの間を取ってやればいいんじゃないか?

522 :名無しさん@お腹いっぱい。:2011/10/30(日) 23:22:31.89
基本的には公開鍵認証、
特定のアドレス範囲内からの接続であればパスワード認証も可。
という設定にするにはどうすればいいですか?

というのも一部のクライアントが
公開鍵認証に対応していないもので……。


523 :名無しさん@お腹いっぱい。:2011/10/31(月) 03:55:48.52
>>522
>>462-464


524 :名無しさん@お腹いっぱい。:2011/10/31(月) 08:08:26.03
公開鍵認証に対応してないsshクライアントってなんだよ。
そんなのsshクライアントじゃない無視してもいい。

525 :名無しさん@お腹いっぱい。:2011/10/31(月) 08:14:24.55
すみませんが詳しい方のみ回答をお願いします

526 :名無しさん@お腹いっぱい。:2011/10/31(月) 08:34:45.02
>>525
sshd2個あげれば?
ふつうは524(クライアントソフト入れ替え)が正しい

527 :名無しさん@お腹いっぱい。:2011/10/31(月) 08:37:38.84
>>522
/etc/ssh/sshd_configで
PasswordAuthentication no

Match 192.168.0.0/24
PasswordAuthentication yes

こんな感じかな。
コピペせずに
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
見ながら設定を推奨します。
てゆか>>523で正解。

>>524
俺も興味あるなw
「一部の」ってことはそれなりに数あるんだろうけど…なんじゃそりゃとしか。

528 :名無しさん@お腹いっぱい。:2011/10/31(月) 09:47:02.51
クライアント側アプリではなく
「(公開鍵の概念を理解できない)顧客」
だったりしてな…


529 :名無しさん@お腹いっぱい。:2011/10/31(月) 09:51:21.95
そういうクライアントは辞書攻撃でやられるパスワードをつける可能性が大だから、
やはり無視するのが正しい。

530 :名無しさん@お腹いっぱい。:2011/10/31(月) 12:00:59.75
俺は >>528 の解釈が当たりだと思った

だったら man sshd_configしてMatchでAddressとUserとの組合せの書式を
確認させないといけないね。本当にやりたいことに近いのはIPアドレスで
判別じゃなくて、IPアドレス&ユーザ名で判別だろうからね。

Match User alice,bob Address 192.168.0.0/16,10.0.0.0/8
PasswordAuthentication yes
PermitEmptyPasswords no

本当にやりたいことは「こんなクソみたいな設定作業を低コストでどっか
にほっぽり出したうえで責任回避するにはどうしたらいいか」って問題の
解決だろうが、そんなもんスレ違いw


531 :名無しさん@お腹いっぱい。:2011/11/02(水) 17:58:33.74
sshでUDPをポートフォワードする方法教えて。man見てもよくわからんね

532 :名無しさん@お腹いっぱい。:2011/11/02(水) 18:02:28.57
>>531
ググれカス

533 :名無しさん@お腹いっぱい。:2011/11/02(水) 18:05:33.59
>>531
SSHだけじゃできない、ってのはわかってるかな。

534 :531:2011/11/02(水) 18:54:46.54
もちろん、わかってません><

535 :名無しさん@お腹いっぱい。:2011/11/02(水) 19:54:37.43
じゃあnetcatも使ってなんとかしとけ

536 :名無しさん@お腹いっぱい。:2011/11/02(水) 20:34:27.86
にゃあ

537 :名無しさん@お腹いっぱい。:2011/11/02(水) 21:26:01.91
DeleGateのUDPrelayとかかます
http://i-red.info/docs/Manual.htm#serv_udprelay


538 : 忍法帖【Lv=40,xxxPT】 :2011/11/07(月) 05:15:04.90
http overでssh接続することはできませんか?

539 :名無しさん@お腹いっぱい。:2011/11/07(月) 10:52:52.94
connect.cとかcorkscrewとかを使えばできる。


540 :名無しさん@お腹いっぱい。:2011/11/08(火) 18:42:53.73
sshdですが、2つのポートで待ち受けることはできるのでしょうか?

541 :名無しさん@お腹いっぱい。:2011/11/08(火) 18:56:06.14
>>540
http://www.jp.freebsd.org/cgi/mroff.cgi?sect=5&cmd=&lc=1&subdir=man&dir=jpman-5.4.0%2Fman&subdir=man&man=sshd_config
Port (ポート番号)
sshd が接続を受けつける (listen する) ポート番号を指定します。デ
フォルトは 22 です。複数指定することも可能です。 ListenAddress の
項も参照してください。



542 :名無しさん@お腹いっぱい。:2011/11/08(火) 18:58:30.21
http://www.openssh.org/manual.html

543 :名無しさん@お腹いっぱい。:2011/11/08(火) 19:09:32.46
>>542
バーカ

544 :名無しさん@お腹いっぱい。:2011/11/08(火) 19:20:13.84
罵倒する理由はなに?

545 :名無しさん@お腹いっぱい。:2011/11/08(火) 20:33:45.19
>>544
>>541の2分後に堂々と>>542を書き込んでくるその神経に敬意を表して

546 :名無しさん@お腹いっぱい。:2011/11/08(火) 21:10:27.53
狭量

547 :名無しさん@お腹いっぱい。:2011/11/08(火) 21:17:59.43
2分後w

548 :名無しさん@お腹いっぱい。:2011/11/08(火) 21:28:40.96
>>542>>543 の狭量比べが始まりました
果たして勝者は!?

549 :542:2011/11/08(火) 21:34:40.77
おれは別にどうでもいいよ。

550 :名無しさん@お腹いっぱい。:2011/11/09(水) 04:40:41.95
早速の変身ありがとうございます。
2つのポートを使いたいというのは、ファイアウォール内では問題ないのですが
外からはポート80以外接続できないようになっています。
apacheは動いていないので、80番ポートを通してSSH接続できないかと
思案していたところでございました。

551 :名無しさん@お腹いっぱい。:2011/11/09(水) 05:04:47.19
>>550
80も狙われやすいと思うけど。

TCP porrt 53とか開いてないのかな?


552 :名無しさん@お腹いっぱい。:2011/11/09(水) 09:16:59.92
>>551
狙われてもいいじゃん。
sshdの方で鍵認証のみにするなり防御の方法はあるし、
L4で狙われにくいポートを選ぶっていう小細工したって知れてるでしょ。

553 :名無しさん@お腹いっぱい。:2011/11/09(水) 09:21:38.93
ところが公開鍵認証に対応していないクライアントなんですよ。

554 :名無しさん@お腹いっぱい。:2011/11/09(水) 09:41:06.42
そのネタはもういいです。

555 :名無しさん@お腹いっぱい。:2011/11/09(水) 10:33:42.19
ポート変えるのは防御ってより
ウザいログを減らすためだな。

556 :名無しさん@お腹いっぱい。:2011/11/09(水) 13:46:38.52
まあ80番にSSHアタックしてこんだろ

557 :名無しさん@お腹いっぱい。:2011/11/09(水) 14:11:59.34
ないとは言いきれない。

558 :名無しさん@お腹いっぱい。:2011/11/09(水) 14:23:07.22
sshは応答で簡単にわかるから、sshアタックあってもおかしくない

固定IPからのみのパケットフィルタリングとか出来ると
安全、安心。


559 :名無しさん@お腹いっぱい。:2011/11/09(水) 17:47:20.05
鍵のみ+denyhostでいいんじゃ?

133 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)