SSH その7

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
　そのパスワードは暗号化されているのですか？
A.はい、その通りです。
　SSHプロトコルでは、まず始めにサーバ<->クライアント間で
　暗号化された通信路を確立します。
　ユーザ認証はその暗号化通信路の上で行なわれるので、
　パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
　ログインを試みる輩がいるのですが？
A.sshdにアタックするツールが出回っているようです。
　各サイトのポリシーに従って、適切な制限をかけましょう。
　参考：http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html

◇実装
本家ssh.com
　http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
　http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
　OpenSSH情報：http://www.unixuser.org/~haruyama/security/openssh/
　日本語マニュアル：http://www.unixuser.org/~euske/doc/openssh/jman/
　OpenSSH-HOWTO：http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
　http://hp.vector.co.jp/authors/VA002416/
　http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
　http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
　http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
　http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
　http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
　http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
　http://pro.wanadoo.fr/chombier/
PortForwarder
　http://www.fuji-climb.org/pf/JP/
TRAMP
　http://www.nongnu.org/tramp/tramp_ja.html

◇規格等
　・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
　・RFC4251: The Secure Shell (SSH) Protocol Architecture
　・RFC4252: The Secure Shell (SSH) Authentication Protocol
　・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
　・RFC4254: The Secure Shell (SSH) Connection Protocol
　・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
　　Key Fingerprints
　・RFC4256: Generic Message Exchange Authentication for the Secure
　　Shell Protocol (SSH)
WideのSSH解説
　http://www.soi.wide.ad.jp/class/20000009/slides/12/


◇おまけ
Theoのキチガイぶり
　http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
　http://www.qmail.org/djbsssh/

一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが
面倒糞くなったのでそのままコピペしました。
後よろしく。

※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。
最低限次のような対処をしておきましょう。

ttp://www12.atwiki.jp/linux2ch/pages/141.html

●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する

●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする｡　
特定の接続元からの接続を拒否する
ポートを変える

>>1
乙

なあ、インターネットに繋がってないマシンも 6 をやってる？

パスフレーズ無しの公開鍵認証の方が楽

っつーか公開鍵使わない認証って SSH 使う意味ないよね

なんで？

>>10
俺もそうおもってた。。。。

でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに

>>11
パスワード認証を暗号化したところで
ブルートフォースアタックには無力

それがどうしたというのかね?

>>13
それを言うなら公開鍵もブルートフォースで破れる

それがどうしたというのかね?

RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?

>>6も勘違いしてるけど
ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは

アクセス元しぼればいいだけじゃん。

辞書攻撃って（総当たりとは言えないにしても）ブルートフォース（腕ずく）の一種じゃないか？

>>20
いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない

辞書攻撃は立派な攻撃手法の一種

ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉〜な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません

# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22

# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# パーミッションチェック
StrictModes yes

# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server


こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか？？
disconnected no supported authentication methods available
って表示されてしまいます。

>>24
ssh2で接続してないからだな

-vで起動すれば拒否される理由を教えてくれる。

.ssh/authorized_keys から
違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな？？

アクセス権のせいだろうな

これまでは問題なく運用出来ていましたが、
ある日突然connection　refusedのエラーが出て接続できなくなりました。

ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd　start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。

ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。

> これまでは問題なく(ry
> ある日突然(ry

そのあいだにやったことを書けば解決できるじゃろ

/etc/init.d/じゃなくて/sbin/init.d/じゃないの？
HP-UX知らないやつは手を出すなよ、壊すから

レスサンクス。
>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。

>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。

使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。

どう考えても ssh の質問じゃなくて HP-UX の質問じゃん

>>33
10.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。

とりあえずinit.dの場所が違うのが分かったので明日調べてみます。

そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。

スレ違いかもしれないが、WikipediaのSSHに関する記事
http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか？

OpenSSHのデフォルト設定の危険性を挙げているが、原文（英語）見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か？

wikiなんだから書き替えたら。

・PasswordAuthentication noにする
・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh

ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。
そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。

>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。

>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。

チャイナ、コリアはデフォルトでドロップだろ。

/bin/reverseattack

>>38
> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。

ssh 対象ユーザで shell 不要ってどういう場合?

sftp only?

authorized_keysでコマンド指定してあれば、不要なんじゃないかな。

>>37
> ・Portは22以外にする
> 意味無し

>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。

>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。

>>44
稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。

ログを減らせることに意味があるだろうが、ということだと思うんだが。

ログを減らせることの意味がわからないんじゃないの

俺もｳｪﾙﾉｳﾝﾎﾟｰﾄ以外を使うのは、ある程度は有効だと思う。
まるっきりﾎﾟｰﾄｽｷｬﾝする奴もいるかもしれないけど、ｳｪﾙﾉｳﾝﾎﾟｰﾄはまともに来るもんね。
効果としてはｾｷｭｱになるとまでは言えないかも知れないけど、しないよりはましだと思う。

稚拙な管理者はログを一切見ないので
ログが多かろうと少なかろうと違いはない
ということだな

Password(PAM)有効じゃ無ければログ残らないだろ。
ログ減らせるとか喜んでる奴、恥ずかしくないのか?

セキュリティポリシーって難しいよね。

某スレで、送信元IPアドレスでフィルタリングしちゃう
（＝ 許可されたIPアドレス以外は認証すらしない）
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ？
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら

もー、初心者扱いされてまいったよ。
死ねだのタコだの。もうね。。

可能性のあるところだけ通せばいい。個人用ならそれが普通。

>>50
OpenSSHサーバだけど、公開鍵認証でもログ残るよ？
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)

ちなみに僕ちんはファイアウォールでもログ残しているよ。

>>53
それ、侵入されたログ。ｗｗｗ

>>54
おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。

>>50
あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?

>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね

>>53
そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。

>>54
知らないって幸せだね。

>>57
> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。

sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例

Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios

知らなかった?

HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、
変えられるんなら変えたほうが効果がある。

>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。

まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。

ちなみに>>44の「ログの量が減る」っていう発想はなかったｗ 微妙に間違ってる希ガス

>>58
ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。ｗ
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。

しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?

まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。

「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと
「それで完全に防げる」と勘違いしちゃだめなわけで。

>パスワード認証を有効にしている素人管理者サイト

これ誤解や。パスワード認証自体が危険なわけじゃないで。

個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。

>>59
うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに

うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする

>>51
基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし

>コントロールパネルのようなものを作っておくと便利

それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る

>>62
このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。

もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。

>>62
またおまえか
そんなアホな風説流すな

>>68
なにが？

>>66
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ？
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ？
ログが増えるのも防止できて一石二鳥三鳥だぜ

>>70
VPNでアクセスすりゃいいよめんどくせぇ

>平文 HTTP の basic 認証とかだったら殴る

xrea.comですねわかります

>>65
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。

>>73 そういう書き方は「こいつ余裕ないんだなﾌﾟ」と思われるだけなんだがな…

それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ

sshd : .jp : allow

これだけでだいぶ減る

パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw

まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね？
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。

あ、ごめんなさい。スレ間違えました

SSH HSHｗｗｗｗ

俺はHHがイイです

じゃあ俺はH×H

　　　　　　　 　∧＿∧　　　┌─────────────
　　　　　　 ◯（ ´∀｀ ）◯ ＜ 僕は .357 H&H Magnumちゃん！
　　　　　　　 ＼　　　 ／　　└─────────────
　　　　　　　_／ ＿＿ ＼_
　　　　　　（＿／　　　 ＼＿）
　　　　　　　　 　　ｌｌｌ

HH+コイルタップで十分だな

未だにSSHで検索すると埼玉最終兵器が一番上な件

>>85
かっこいいからいいじゃん。むしろsshの語源の方がださいし。

sshはセキュア・シェル・、、の略だそうですが、
では h は何の略なんですかぁ？

Secure Shell H???

Secure SHell

S=Secure
SH=Shell
のはず

もっと粋な返しはないのか。。

>>90
ぢゃお前がお手本みせろよ

>>90
フリがつまんないからしょうがない。

sh
↓外からも使えたら便利じゃね？
rsh
↓やべー穴だらけだったよｗ
ssh

>>90
wktk

S=すごい
S=Scienceで
H=Hします

>>93
もう進化しないのかな

sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)

おいやめろ

いいぞもっとやれ

で、最後は飽きて放置するんですな。

そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。

wsh

ssh → sssh → ssssh …
今後の展開はこうだろ

Secure SSHｷﾎﾞﾝ

インセキュアな奴が使うから無理。
パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。

>>103
ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4

スーパー ssh 冒険の謎 2 でいいよ

>>106
→ sshIV とか sshﾀｸﾃｨｸｽとか

sshEXとssh0は

Zssh
sshZZ
νssh
ssh-F91

Ξssh も仲間に…

続・ssh
続続・ssh
また又・ssh
新・ssh
ニュー・ssh
痛快・ssh

あぶないssh
もっとあぶないssh
もっともっとあぶないssh

もっともあぶないSSH
さらにあぶないSSH

つまんないのでもういいです。

嘘です、もっとやってください。

knkssh

openssh-5.4/5.4p1来たね。

公開鍵認証が出来なくなった

へぇ〜

ほぉ〜

公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。

えっ

>>123
いじめんなよ

ケーキを食べればいいじゃないネタに何いってんのっていうか

もうひとひねり欲しいところ。

むしろサイバーノーガード戦法で

もしかしてGIF騒動の二の舞？

>>119
英語でいいんでソース頼む

ソースっていうか
>>119の環境でできなくなったって話じゃないの。

単にプロトコル2がデフォルトになって、
敢えて設定しない限り1は使えなくなっただけじゃ
なかったっけ？

あぁ・・・うちだけか。ﾅﾝﾃｺｯﾀｲ

ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。
PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG
ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど
パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる？って思ったんです。
sshd_configは5.3p1で使っていたのと全く同じ
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes

>>132
多分、鍵の置く場所変えたら直ると思う。

AuthorizedKeysFile のところ%h付けなくなったんだっけ?
明示的に%h付けてみたら?

RSAよりDSAの方がつおいんだな。
しらなカッタワ。

DSAって1024縛りがなかったっけ?

んなこたぁない

現状のsshで使えるのは1024ビットのDSAだけでしょ？

http://marc.info/?l=openssh-unix-dev&m=126630542032768&w=2

反対にRSAのビット長の方は上限は決まってないんだっけ。
実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が
あるみたいだけど何の制約からなんだろう。

ところで、うちのCore2Duoでためしにopenssl genrsa 65536を
実行してみたらCPU 50%しか使わないね。p,q同時に生成するような
パッチってないのかな？（需要ないか・・・）

仕様上そうなってるけど、PuTTY の keygen では作れてしまう。
以前試したときには確か使えたと思う。

ssh.com版は少なくとも2048bitを作れた気がする。
opensshが勝手に制限してるだけ？

TeraTermの中の人が書いたまとめっぽいのがあった。
ttp://slashdot.jp/~doda/journal/465416

(L,N)=(2048,160)な中途半端なDSA鍵なら
長いRSA鍵の方がよっぽどましだと思うけど。

(L,N)=(2048,224)のDSA鍵使うにはSSHプロトコルの
拡張が必要なんでしょ？

sshをつかってWindowsから接続しています。
nohupを使ってプログラムを実行したあと、ウインドウを閉じると、プログラムが終了してしまいます。
exitコマンドを使えば、切断したあともプログラムの実行は継続されます。
ウインドウを直接閉じた際もプログラムを継続する方法はないでしょうか?

>>142
nohupは SIGHUPを無視するだけで、
ウィンドウ閉じた時にそれ以外のシグナルが来れば終了するわな。
すべてのシグナルを無視するラッパーをかますか、
てっとり早く setsidコマンドを使う方法もある。

>>143
つ GNU screen

普通screen

この用途でscreenは牛刀。

tmux

>147
牛刀結構ではないか
ギロチンつかうよりはまし

>>147
screen使うと何か問題が出るのか?

debianをetch->lennyにしたらstoneがなくなったのでsocatにしたけど
こういうのが牛刀？

ptyが無駄に消費される

>>152
足りないの？

×無駄に消費される
○有効に活用される

wgetで済むのにfirefoxを起動するのが牛刀

>>154
nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、
ptyは無駄にしかならない。

setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので
無駄にならない。

牛刀のほうが使いなれてるなら牛刀でいいじゃん

いやだから、ptyが無駄になって
何か問題があるのか?

そりゃ鳥をバラすのに牛刀使うのは
かえってやりにくかろうとは思うが
screen使って「特に問題が出ない」なら
別に構わんのでは?

そこは触れてほしくないみたいだよ。

> 「鶏を割くに焉んぞ牛刀を用いん」
> 小事を処理するのに、大掛かりな手段を用いることのたとえ。

「大掛かりな手段」と言うほどscreenは大掛かりか?
俺はわりと日常的に使ってるけど。

たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる
みたいな話ならまだ分かるが。
screenだぜ? w

MS Word を日常的に使ってれば
それは大掛かりにならんのでは

screenはインストールされてるとは限らないから、
わざわざscreenをインストールしてから作業開始だとすると大がかりだな。

それはまた話が別。

>>161
ヘタすると実作業よりも起動待ちの方が長くなるような
という意味合いで書いたんだが。
作業内容に比して大掛かりな道具という。

>>162
yumやaptの使い方知らないなら
確かに大掛かりな話になるかもね。

つか、そのレベルの人だったら
別の方法を採用したら
もっと大掛かりな話になりそうなw

勝手にソフトを入れてはいけない客先のマシンとか、
社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。

>>164
もれは attach するだけだから爆速

# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys

# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。
なぜなのでしょうか？？
AllowUsers root は AllowUsers root hogehoge の間違いです。

ログ見ないのかね。

AuthorizedKeysFile /etc/ssh/authorized_keys
こんなデタラメな設定、誰に教わった?

あれ、なんかデジャヴ?

これは酷いw

こういうバカは死んで欲しい。
http://d.hatena.ne.jp/fjkktkys/20070214/1171433041

>>174
いちおう「最終手段」って書いてるじゃん。

何をやっているか理解せずに、全世界に公開する愚かな行為を言っているのだ。

ブログに書かれた設定系のネタでまともなものを見たことがない。

>>174
それ3行並べてるじゃん。
>>168のは一行しか書いてないじゃん。
なんで>>174の方を叩くべきって結論に？

>>177
ほう

3:1で>>174の勝ち。

>>174の方が明らかに間違い
>>168はそれに騙された被害者

一日間に異論がなければそれで確定ね

>>168
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
ｺｺ見てわからなかったら、ｸﾞｰｸﾞﾙさんに聞いてください。

一日間に異論がなければそれで確定ね(ｷﾘｯ

何をやっているか理解せずに、誰かが書いた設定をコピペして使うのも愚かな行為。

どうしてもssh認証できなくて、2日間悩んだあげくやっと原因を発見した
作った.sshディレクトリの所有者がrootになってた
忘れないようにここに記録しておく

ばーか としか言いようがない

そんなこと普通起きないから忘れていいよ。

いや、>>184 が記憶したいのが「所有者が root だから駄目だった」だったら
きっと同じようなことをまたやらかすに違いない

>>187
?
他に何を記憶したいという可能性が?

root だったからじゃなくて、所有者が違ったからだめなんだよ。
そういう記憶の仕方は良くない。

/root/.ssh の所有者がrootでも何の問題もないからな。

それを言うなら「所有者が違って、かつotherに読み込み権限がなかったから」だろ
>>184は所有者の確認もせずにパーミッションだけは700とかに設定したわけだな

>>190
違うよ。
「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。

/home/testuser/.ssh# ls -la
合計 12
drwx---r-x 2 root root 4096 2010-04-08 17:05 .
drwxr-xr-x 3 testuser testuser 4096 2010-04-08 17:05 ..
-rw----r-- 1 root root 395 2010-04-08 17:05 authorized_keys

試してみたけどこの状態ならtestuserでSSHログインできたぞ。
ここから chmod o-rx . ./authorized_keys するとログイン不可。
まぁ環境によるのかもしれないけど。

drwx--x--x .
drwxr-xr-x ..
-rw------- authorized_keys
だろ常考

そういう話はしていない。

俺が言いたかったのは「所有者が root だから駄目だった」という
個別の事例を記録しても意味がなくて、なぜ ~/.ssh の所有者を root に
してしまったのかの原因を詳らかにしておいた方がいいんじゃないの？
ってことだったんだけどね

平たく言うと、安易にスーパーユーザーで作業すんなってこと

>平たく言うと

遠すぎるな

いや
何度も書かれている
お前の目が節穴だっただけ

大抵の人はフィルタを通して物(この場合スレの書き込み)を見てしまう
大事なことが書かれていてもそれに気付くためには
本人がそれを受け入れるための準備が必要なんだ

>>191
× 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。
○ デフォルトでは所有者がroot以外の他人またはgoに書き込み権限有りの場合に拒否。
これほどあからさまな嘘は珍しい。

opensshでログインするとサーバー側にTIOCSCTTYの引数が無効とでます
何が原因かわかりますでしょうか

>>199
LANG=ja_JP.UTF-8 等にしているのが原因です。
LANG=C なら、ちゃんと
TIOCSCTTY: invalid argument
と出ます。

>>200
失礼しました勝手に訳しました
ログインはできるので影響はないんですが気になるので調べてます

一つ質問させて下さい。皆さんはSSHを用いて通信が暗号化された事をどのような方法で
確認していますか？

現在、
サーバ：windows2003server + cygwin(+openssh)
クライアント：windowsXP + teraterm
という環境でSSHポートフォワーディングを利用してリモートデスクトップ接続を
行おうとしており、実際に接続出来ていてリモートデスクトップが可能なのですが
経路が暗号化されているのかが判別出来ていません。

何か確認出来る方法、ツール等ありましたらご教示下さい。

パケットキャプチャでも使ってみたらどうだろう

ルータ経由でネットワーク分離して
間違って直結しようとしても出来ない構成にしておけばいいじゃん

>>204
それだと「暗号化されてるかどうか」の
確認にはならんような

sshが信用できないから
自分の目で確認したい
ということかw
その批判精神には感じ入るが…

>>203しかないのでわ
tcpdumpとか?

>>202
暗号化の確認にはならないけど、逆にリモートデスクトップの通常のポートに
接続されていないことをnetstatで確認するのはどうだろう。

自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけをhosts.allow に記述するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、hosts.allowを sshd: ALL にする
メルアドとスクリプトも作った。

>>205
tcpdumpの出力を目視だけでは正しく暗号化されてるかまでは判別できないと思う
>>207
それならiptablesの方が汎用的では？

自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけを iptables に追加するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、iptables に追加する
メルアドとスクリプトも作った。

メールサーバも落ちてたらお手上げなので、DNS query受け付けると、iptables フラッシュするためのRRとスクリプトも作った。ドメインも買った。

面白いと思ってるのが痛い

sshでトンネリングしてみたけれども、転送速度ってこんな遅いの？

FTPやVNCで20〜30KB、squidのプロクシとかは一瞬120KBくらいは出たけど
CPUや光帯域がネックってわけじゃないみたいだし、ちょっと不満。

WindowsでOpenSSHとPuttyの組み合わせです

トンネリングしない場合と比べてどうなの？

トンネリング無しだと、FTPで3MB/s、
VNCでも動きが激しいとこで400kb/sくらいでる

ssh通すと帯域制限されてる感触で、30kb/sしか出ない
一つのサーバとクライアント2台で試して同じ感じ

普通はどのくらいスループットでるものですか？
もしこれで遅すぎるならソフト変えてみる

サーバーは何？

>>214
＞トンネリング無しだと、FTPで3MB/s、

この速度からして802.11gとかか？
あとFTPのSSHトンネリングはSOCKSサーバ方式？
どんな方式にせよそんなに落ちるのはおかしい。
暗号化方式をrc4やblowfishにすると速度出る。

OpenSSH for Windows 3.8p1-1 20040709 Build
http://sourceforge.net/projects/sshwindows/files/OpenSSH%20for%20Windows%20-%20Release/

一般的な家庭内LANで、ポート22開放してCorei3積んだWindowsXPに入れて動かしてる
SHH-2の公開鍵認証
回線はBフレッツハイパーファミリー

素直にLinux使えばいいんだろうけどね

つまり回線は関係ないんだよね

セキュリティソフトは？

>あとFTPのSSHトンネリングはSOCKSサーバ方式？
サーバ側で転送用に再接続する待ち受けポートをいちいちトンネリング設定してた
今SOCKS5方式で試してみて、転送速度は変わらなかったけど、便利になった

ウイルスセキィリティゼロが気休めに入っているけれども、
全部無効にしても違いが無い
今はWindowsファイアウォールだけ動かしてる

PuttyだけじゃなくTera Termでも試したけれども変わらなかった
サーバ側見直すよ

>>212
もしかして中国とか? 先月中国出張の際にsshトンネルを通すと耐えられないくらい遅くなったよ。

ssh -q -n hostname dd if=/dev/zero bs=8M count=1 > /dev/null

ダウンロードなのかアップロードなのかでCPUスペックがより必要なホストがどちらかが変わる。
それぞれのスペックは？

あ、ごめんなさい、圧縮転送とかんちがいした。
共有鍵暗号だからそんなに計算量変わらないか。

20MB/sくらいはデルよ

authorized_keys と authorized_keys2 ってどういう違いがあるの？
バージョンや暗号化方式によって違うらしいけど
なんでそんなことするの？

authorized_keys に version2 のキー置いても問題なく動いてるけど

>226
openssh と本家で仕様が違ってる(or 違ってた; 最近の事情は知らない)

確かに本家とは仕様が違ってる/違ってたけど、authorized_keysとauthorized_keys2って違いじゃないはずだぞ。

結局authorized_keys2は互換性のために残っているんだっけ？
authorized_keysが使えない条件は何？

リンクしとけよ

【新世代】 Windows 7 Part70
ttp://hibari.2ch.net/test/read.cgi/win/1276868266/783

783 名前：名無し~3.EXE[sage] 投稿日：2010/11/10(水) 22:34:10 ID:Rr0vNFYE
Windows 7 クライアントだと Loopback でもポートがかちあって
ssh トンネル越しの Windows 共有 (SMB ove SSH) が自分はできてなかったが
良い解説を見つけてできるようになった

CIFS-over-SSH for Windows Vista/7
ttp://www.nikhef.nl/~janjust/CifsOverSSH/VistaLoopback.html

キーワード:
CIFS over SSH (445/tcp)
Microsoft Loopback Adapter
sc config smb start= demand
netsh interface portproxy add v4tov4
net start smb (後から実行)
445 じゃなく proxy ポートに接続

あとは cygwin の openssh でOK

鍵認証パスフレーズなしで長いことやってきたが
秘密鍵の保存場所って本気で考えると難しくないか？

普段入るサーバはsudo使えるやつが他にも数人いるし、
会社から提供されたPCもイントラチームにはdomain adminで筒抜け状態。
おいおい、いつ盗まれてもおかしくない状態！！・・・なんだけど
周りには「鍵認証って何？」って人しかいないから助かってるｗ

そもそも会社でパスフレーズなしは無謀？
しかし、パスワード毎回は面倒すぎる。

こういう場合はssh-agentかねやっぱ。
これはこれで面倒そうなんだよな。

皆どうしてるの？

パスなし鍵でどのホストに繋がるのかが判らないようにしておけばよい
さらに同様の鍵が複数(沢山)あるとセキュリティ効果うｐ

パスなし鍵をたくさん用意して、ホストごとに変えろってこと？
まあ、時間稼ぎにはなりそうだけど。。。
何百台もあるしなぁ。

(´-`).｡oO 周囲の人間が信用できないのにどうしてパス無し鍵を使うのだろう

セキュリティと利便性が相反するのはわかる。
しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。
だからこそ、安全なパスなし鍵運用を追及したい。

なんのためにssh-agentがあると思ってるんだ?

ttp://webos-goodies.jp/archives/50672669.html
他人が root ユーザーとしてログインできるマシンでは ssh-agent は使うべきではありません。
ってのを読んで不安になったんで。

rootしか見れない場所に置くしかないけど
みんながrootで入れる環境だと意味ない罠

>>239
パスなし鍵の方がよっぽど危険

パスなし鍵（複数）をローカルに暗号化して保存しておいて
それらをssh-agentでひとつのパスワードで管理って出来ない？

> しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。

こういう意識でいる限り何を言っても無駄だな

USBメモリに暗号化しておいとく

っていうか ssh-agent 使ってみれば
「一日一回」で済むってことが分かるのに

>>243
そこをなんとかｗ
業務委託が切られちゃったから、やらざるを得ないけど、
単調作業が嫌いなので、とにかく楽にしたい。

>>244
暗号化はすでにやってる。truecryptでイメージ保存してて
出社したら、.ssh/にマウントさせてる。
でも、マウントした時点でsudoもってる奴らには見えてしまう。

パスなしよりは安全だから、ssh-agentにしますわ。
ただ、
ttp://www.gcd.org/blog/2007/07/123/
にもあったけどやっぱ他人がroot使える環境では
安全とは言えないんだよね？

そんなの当然でしょ。
ssh信頼できないデバイスが信頼できな

すません、書き込み失敗した。
sshクラアントごと差し替えられたり、
キーロガーしこまれたりできるデバイスだったら
秘密鍵のパスフレーズだって抜けるでしょ。

そうですよね。。
ってことは俺の環境でパスなし鍵の安全性確保は難しそうだ。
vmwareで解決しそうだけど、禁止だし。。。
厳しいなぁ。

ん？>>247の引用URLはForwardAgentでの話か。
イントラチーム筒抜けとかいってたからローカルの話の
続きかと思った。この場合は秘密鍵そのものは覗き見できない。

まあ仮にクライアント側で秘密鍵の機密性が守れたとしても
ログイン先sshdに罠を仕込めるようなサーバ環境なら通信内容の
盗聴はできるよ。

とことん防衛するつもりならSSHクライアント／サーバ管理者以外にも
DNSサーバ管理者やIPルータ管理者の警戒もお忘れなく。。。

>>246
>暗号化はすでにやってる。truecryptでイメージ保存してて
>出社したら、.ssh/にマウントさせてる。
そうじゃなくて使う瞬間だけメモリ上で復号するんだよ

>>251
なるほど、盗まれることはないってことか。
まあ盗聴は気をつけるしかないかな。
今回は、パスなし秘密鍵はちゃんと管理せよってよく言うけど、
みんなはどうしてるのかなと思っただけだよ。

>>252
使うたびに複合は面倒じゃない？
ちなみにUSBは使えない。

正直マニュアルくらい読んでからにしてくれ…

社内の root が信用できないって、
どんな仕事やってんだ？

仕事じゃない内職だから社内の人を信用しないんじゃないか。

おまえはクビだ

お前が信用されてないから他人も信用しないってことか。

>>255
俺もそれ思ったw
信頼できないやつにroot権限与えてるのが
そもそも一番の問題なんじゃねーか。
それ前提だと何やっても無駄だろう。

俺も>>256と同意見、見られるとまずいことやってるんじゃないか？

どこぞのエロ掲示板のおじさんが
「職場でダウンローダセットしてゲットしました〜」
って書いてるようなそういう話じゃね?

もっとヤバい機密の横流しとかならパスワードを
打つくらいのは厭わないだろうし

うちは外部接続有りの実運用中の機器へのアクセスは
単独作業禁止、パスワードも再監者と確認しながら入力で
毎日他の担当者がアクセス履歴をチェックしてる。
当たり前のことだから別に面倒だとは思わんな

アクセス履歴が残ると思ってる時点で問題だけどな

なんか、大量レスどもです。
そんな重要作業ではなく、ほとんど監査がらみのログ収集とか
ldap未導入サーバのアカウント一覧取ったりとか、そんな依頼。
サーバ一覧渡されて、scpで取るだけだけど、楽したいじゃない。
とりあえずssh-agentに変えたから、これでパスなし鍵を置きっぱなしよりは
ましになったか。sudo可の奴らは信頼することにする。

> 1. ssh-agent を使うとパスフレーズ入力省略出来る。
> 2. ssh-agent を普通に使うだけでは便利性が高くない。
> 3. keychain は ssh-agent をもっと便利にしてくれるツール。
> 4. keychain を導入すればパスフレーズ入力が PC 起動につき一回で済む。
> 5. keychain を使えば複数 ssh-agent を起動する必要がなくなる。

>>257
Thank you.

XPを使用しています。
ttp://www.gadgety.net/shin/tips/unix/ssh2.html
のインストール手順で詰んだのですが、スーパーユーザーで作業するにはどのような操作を行えば良いでしょうか。

su

XPってWindows XPのこと?
スーパーユーザーって何のことだ?
administratorのことか?

Windowsから別のOSにログインするって話なら
その相手が何でどういう設定になってて
何をやりたいのか書かんと

"su" is not Super User.

Substitute User

switch userだと思ってたｗ

super

http://www12.atwiki.jp/linux2ch/pages/86.html#id_e92bb50d

SSHのスレで延々引っ張るネタじゃないな

にょろん

>>265
パスフレーズ入力を何回かすることになってでも、俺は
gpg-agent --enable-ssh-supportの方がいいやｗ

ssh brute force attacksに対する防御で、
OpenSSHのsshdで同一ホストからInvalied userなログイン要求があった場合に
外部プログラムを起動したいんだけど、何か方法ある?

maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って
悪戯できるので、イヤです。

>同一ホストからInvalied userなログイン要求があった

現状これを把握するには log 見るしかないんじゃない？

>>278
ソースいじるしかないんじゃね？
その程度ならすぐ追加できそう

>>278
swatchかsyslog-ngあたりを使うのが普通では

syslogを読む、ってのはよく分からんが
syslogdが出力したlogファイルを読む、という意味か?
少なくとも後者なら「出力」ではなく「入力」に対応して
外部コマンド起動させることはできるよ
syslogdの置き換えだから

俺はsyslog-ngで
「同一ホストから1分間に3回ログイン失敗したら30分遮断」
なスクリプトを起動させてる
以前はswatch使ってたけど、時々変な挙動起こしてたんでやめた

> syslogを読む
syslog.confでパイプすることも含みます。

ローカルユーザーがloggerで悪戯できるということは、侵入者が
これを悪用して管理者のログインを邪魔することが可能になるの
で使いたくないのです。
(侵入されたときに制御を奪い返せなくなる)

あ、logger使って云々とあるから「出力」だけの話じゃねーのか。
と書こうとしたら既にw

sshdの設定変えてログ出力を非標準のfacilityに変えちゃえば
ルート権限持ってないユーザには分からんだろう。
そもそもそんな馬鹿にローカルから使わせるのがいけないんじゃね?
とも思うが。

> ローカルユーザーがloggerで悪戯できるということは、侵入者が
> これを悪用して

んんん??
馬鹿ユーザじゃなくて「侵入者」がローカルで操作するの?
「ローカル」ってのはリモートではなく実機のコンソールでの操作って意味だよね?
どういう状況を想定しているのかイマイチ分からない…

実機を直接いじれる侵入者(あるいはその協力者)を想定するんじゃ
24h常駐ガードマン雇う等の物理的なセキュリティを厳重にするしか
根本対策にならんように思えるが

侵入者(あなたはその協力者)

に見えた
頭腐って来てるかも・・・

> ssh brute force attacksに対する防御で、

防御ならパスワード認証不可にすれば解決では。
色々複雑な状況考えてる一方でノーガードに近いパスワード認証前提というのがチグハグに見える。

ログがうざいんぼるとだろ

制御取り返すなんて、一度侵入された時点でアウトだろ

pam_access.soとpam_tally2.so参考にPAMモジュール自作

>>284
侵入されて任意のコマンド実行可能な状態になったことをローカルユーザと
表現しました。

>>286
sshは公開鍵認証だけです。その上で侵入された場合を想定しています。

>>288
当該サーバが地理的に離れているので、侵入されたことが判明したら、
到着する前にシャットダウンできる備えはしておきたいのです。

>>290
侵入された時点で物理的に電源を切る以外何をやっても無駄。
そこまで心配するならSELinuxなどを使いなよ。

>>290
侵入の証跡取るためにはシャットダウンもよろしくないんだよね
うちだったら緊急時は接続してるSW側でport落とすかな
(そして俺が侵入者なら無通信になったらファイル消しまくるように
仕掛けるだろうｗ)

>>291
> 侵入された時点で物理的に電源を切る以外何をやっても無駄。
侵入されても、rootを取られてなければ奪還の可能性はあります。
たとえrootを取られても、ログインできればシャットダウン出来る
可能性はありますが、ログインできなければその可能性は0ですよね。

>>292
> 侵入の証跡取るためにはシャットダウンもよろしくないんだよね
放置するよりはシャットダウンを選びます。踏み台にされて犯罪に
使われたりしたら面倒ですから。

> うちだったら緊急時は接続してるSW側でport落とすかな
零細なんでリモートで落とぜるSWは無理です。

>>290
> sshは公開鍵認証だけです。その上で侵入された場合を想定しています。

どういう状況で「その上で侵入」が可能になるのか説明plz

・サーバは遠隔地にある……これは普通
・sshは公開鍵認証のみである……brute forceで破られる心配ゼロ
・それでも、もし入られたら制御を奪われる恐れがある……????

前提がそもそも成り立ってないでしょ。
公開鍵認証使っている以上、秘密鍵が漏洩しない限りsshでの侵入はない、というのが通常の前提。
それを突破してくるｽｰﾊﾟｰﾊｶｰを相手と想定してるなら、何やっても無駄だよ。
君の力の及ぶ相手ではないからあきらめろ、としか。

秘密鍵まで公開してるとか鍵長4bitとか

> どういう状況で「その上で侵入」が可能になるのか説明plz
sshdのバグ、httpdとか他の経路。クライアントへの攻撃。

Debianのウンコパッチが当たった状態で作った公開鍵もヤバイんだよな。

ま、それはともかく対策が過剰な気はする。
ipfw/iptablesなどで接続元を絞るとか、別のレイヤでの対策を考えるべき。

接続元はtcp wrapperでjp限定に絞ってあります。
jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
「待てよ、ログイン出来なくされる」と思い直しての質問です。

>>298
tcp wrapperで逆引きを使うとか、10年前の対策だな。

他にjpで絞る方法ありますか?

パケットフィルタはpfです。

いい加減スレ違いじゃないか?
全然sshの話じゃなくなってるぞ
「httpdとか他の経路」ってのは何なんだよw

>>298
> jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
> 「待てよ、ログイン出来なくされる」と思い直しての質問です。

「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの?
管理者が直近のログインに使ったIPアドレスは除外する、とか
そこまでいろんなパターン考えてるわりに他人が作ったそのまま使うの前提ってのがよく分からん
自分に都合がいいのを自分で作りなよ

つか途中から>>278と質問が変わっとる
brute forceの話はどこへ行った? w
OSが何かも分からんし前提条件も途中で変わるのでは話が

質問者が侵入されroot盗られたというわけ

>>303
> 「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの?
> 管理者が直近のログインに使ったIPアドレスは除外する、とか
自分の利用条件に合う方法が思いつきません。詳細を説明するのも面倒だし、
全部を網羅できず、条件後出しになる可能性が高いので、スクリプトの改造
に関する話題は、これ以上はやめます。
加えて、メッセージの全部を偽造可能なので、それを見破るのも面倒。

>>304
sshdに対する攻撃は
1) ユーザ名を辞書攻撃で得る。
2) そのユーザ名に対してパスワードを辞書攻撃。
という手順です。
1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に
進化した場合にも防御することが可能です。
1)の段階でsshdの穴をつつかれる可能性は残りますが、対策する方がセキュア。

まとめます
・maxlogins.plに類する、syslogdに送られる情報を元に、sshdへの攻撃を防御する
　手法は非特権ユーザがサービス停止攻撃を実行可能。
・これに代わる確立された方法は現在のところ無し。

>>306
syslogdにネットワークからメッセージ送れますね。(設定されてれば)
しかも(UDPなので)IPアドレスも偽造できる。

ipfw/iptablesからキックして、syslogを参照すれば良いだけじゃないんかい？
まあ、多少作り込みは必要だろうけどそんなに難しい事だとは思わんけど。

それよりも、syslogd改造してメッセージ送信元のuid取ってくるのが
手っ取り早くて確実かと思いました。(solarisでいう)

で、それをsyslog-ngに組み込もうとしたらsysutils/syslog-ng*がコ
ンパイルできねーでやんの。(事情により今すぐportsを最新版にできない)

> (solarisでいう)
ゴミが残りました。気にしないでください。

### /etc/pam.d/sshd
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_exec.so /sbin/log_and_deny.sh

### /sbin/log_and_deny.sh
#!/bin/sh
x=/var/run/sshd-blacklist-$PAM_USER-$PAM_RHOST
if [ -f $x ] ; then
shutdown now $x
else
touch $x
fi
exit 1

>>311
わろうた

まぁどういう方法でもいいけど、プログラム実行はCPUやディスクI/Oのコストが高いから、ヘタするとそれ自身がDoSになる可能性があるので、気をつけてな。

>>306
> sshdに対する攻撃は
> 1) ユーザ名を辞書攻撃で得る。
> 2) そのユーザ名に対してパスワードを辞書攻撃。
> という手順です。
> 1)の段階で検出できれば、2)が(sshdの穴をついて)公開鍵認証を突破する手法に

1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。
そして「1)の段階で検出」は既知の方法で十分対応可能。
1)の段階で「完全に遮断」すりゃその先の話は「まず起こり得ない物語」でしかない。
「まず起こり得ない物語」のために必死に対策打つのは
「まったく価値がない」とは言わんが、ちょいと馬鹿げてないか?
傍目には「空が落ちてきたらどうしよう」って悩んでる人と変わらんように見える。

大丈夫。
「公開鍵認証を突破する手法」とやらが広まる頃には、それに対するパッチもちゃんと出てるよw

>>314
> 1)の段階ではまだ突破されてないんだからloggerでどうのこうのってのは起こらない。
別経路からの侵入を想定と書いた。何度も書かせないでよ。面倒だな。

>>315
どれがお前さんの書き込みだか他人のチャチャだか分からんよ
名前欄に何も入れてない上にこの板はIDも出ないし
続けたいならコテハンにしたら?
本来なら「もっとふさわしいスレ」に移動すべきだろうと思うけど

もう面倒だから
「自分のアカウントがログイン不可にされてたら問答無用でネットワーク断」
になるように設定しとけば?
手法はいろいろ考えられると思うが

>>317
却下です。理由は… 面倒くさいから上の方読んで。

鍵認証のみで十分じゃん

> maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って
> 悪戯できるので、イヤです。

侵入者にルート権限を奪われていない状況で、これって本当に可能なんでしょうか?
管理者のユーザ名も使用しているIPアドレスも分からない状態ですよね?
もちろん「無差別に全部塞ぐ」は簡単だけど自力では「開け直す」ができないんだから
意味がないような気がするし。

それ以前に、踏み台等にすることを考えて侵入した場合
侵入していることが管理者に気づかれないようにするのが普通だと思うのだけど。

管理者を締め出すようなことしたら普通はすぐに対策取られちゃいますよね。
直接コンソール操作して。
苦労して侵入したのに、明かに「侵入してますよ〜」って言いふらすような
馬鹿なことをわざわざするかな。

>>318
で、結局のところどうするんだ？これでもまだ「自分の望む答えが出てない」と言うなら、
おそらく自分で方向性決められないので素直に鍵認証にしとけ。

>>320-321
他ユーザのログイン記録の管理は普通ルーズですよ。lastなどでわかる場合が多い。
maxlogins.plはホスト毎にアクセス制御なので、ユーザ名は不要ですね。

>>322
面倒だから上の方読んで。

>>322
やっぱりキミ頭弱いそうだから説明してあげる。
>>309(syslogd改造)が現在の結論。

>>324
全然結論になってないんだけど(笑)。
したり顔で言われたくないなぁ、馬鹿には。

>>325
完璧になってるよ。

syslogdでメッセージ投げてきたプログラムのuidを取得すれば、
sshd(root)とlogger(非特権ユーザ)が区別できるので悪戯されない。

ローカルユーザのいたずら対策と、外部のアタッカーからの対策がごっちゃになってるのが悪い。
・不要なサービスを立ち上げない、提供するホストを分ける
・不要なユーザを受け入れない
・二要素認証と承認の仕組み
などの基本から考え直せ。

>>327
そう思うのは頭が弱いキミだけだよ。syslogd改造で完了だよ。
どんなに間抜けな事言ってるか教えてあげる。

> ・不要なサービスを立ち上げない、提供するホストを分ける
sshdとhttpd提供するホストを分けたら、httpdのホストはどうやって
保守するのでしょうか?

> ・不要なユーザを受け入れない
だからmaxlogins.plのような仕組みが必要。でもsyslogdが今のままではダメ。

> ・二要素認証と承認の仕組み
ハードウエアトークン使った秘密鍵認証ですが、何か?

httpdの保守ならiptablesで1ホスト・1ユーザに絞ればいいじゃん
CMS使えば他のユーザをシェルまでログインさせる必要もない

あれもこれもいいとこ取りしようとして、要件が発散してるのがそもそもの問題ｗ

役所とか大学とかにありがち。

>>293
> 零細なんでリモートで落とぜるSWは無理です。
って言ってたのに、

>>328
>ハードウエアトークン使った秘密鍵認証ですが、何か?
こんな金のかかるもの導入してる。

ほんとに同じ人？

>>331
途中から変なのが参戦してるね。
syslogdなんて亜種がいくらでもあるし、syslogdが問題だと思うなら
余所の適切なスレへ移動して欲しい。

>>331
OpenPGPカードだから安いよ、15ユーロくらいだったかな。
amazonの安売りの1000円カードリーダーだし。

>>329
偉そうに分離しろとか言って、httpdとsshdは分離できないんじゃん。

>>334
daemonとしての「サービス」は複数動かさざるを得ないが、
ユーザに提供する「サービス」はhttpdとsshd両方提供する必要は無い
必要が無いソースホスト・ユーザからは到達させないようにするのはセキュリティの基本中の基本

おまえら、もう釣りにマジレスやめれ。
2,3万からのインテリスイッチすら買えないのに、ハードウェアトークンなんて面倒なものいれる零細企業がどこにあるんだよ。
脳内零細企業の管理者様はセキュリティ板にでもお帰りいただけばおｋ。

・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる
・侵入されないことより、侵入後の対策が重要
・syslog改造すると表明したのにいつまでSSHスレに居座るの？
・他人の提案は何でも却下

ま、釣りじゃなければ精神異常だ罠

>>335
sshdとhttpdが同一ホストで動かしているという前提しか提示してない
(それでどんなサービスを提供しているかは提示していない)のに
余計な憶測で
> ・不要なサービスを立ち上げない、提供するホストを分ける
と、間抜けなアドバイスしたって事だね。

>>336
外からログインさせるためにはハードウェアトークンは必須。
OpenPGPカードは(カード(15ユーロ)+リーダー(1000円))/1名
ランニングコスト0。全然面倒じゃない。
安定して購入できるかという問題はあるけど、零細はフットワー
ク軽くて小回り効くから、ディスコンになったら考えればいい。

インテリスイッチは無けりゃ無くて済む。
そのわりに設置場所やランニングコストもかかる。

全然矛盾しないんだなあ。

>>337
> ・他サービスのセキュリティには無頓着なのにSSHまわりのDoSには異常にこだわる
他サービスに関してはここでは話題にしていないだけ。

> ・侵入されないことより、侵入後の対策が重要
侵入されない事に関しては、ユーザー名総当たり攻撃に対する防御が残っている。
これ以外は対策済み。

> ・syslog改造すると表明したのにいつまでSSHスレに居座るの？
.jp以外を拒否する方法として、tcp wrapperが古いというので、
代わる方法を聞いたけど、まだ答えがない。
あと、>>311は、釣りだったけど、PAMを使うというのは新鮮なアイデアだった。
そういうのが出てくるかもしれない。

> ・他人の提案は何でも却下
接続元限定しろ、パスワード認証やめろ、二要素認証しろ、とか
聞いてもいない、しかも対策済みの提案と、上の方のレス読まずに
書きなぐったまぬけな提案しか出てこねーんだもん。

あー今日も大漁大漁♪

sshd止めてシリアルからログインすればいいべ。
メンテするときはシリアルポートに繋いだモデムに電話掛ければOK。

>>341
WarGamesを思い出した。

>>339
> 上の方のレス読まずに

だから、どれがお前の書き込みだか
他の人には分かんねーんだっつーのw
ここにいるのが全員エスパーだと思ってんのか?
なんでコテハンにしないんだよ




釣られちまった

>>343
そういうお前は誰なんだよ。

>>343
その理屈なら、
> ・他人の提案は何でも却下
却下したのも誰だか判らないじゃないか。ｗ

>>342
古いね〜

war dialerでやられる。

>>347
管理者じゃない番号からの着信はPBXで止めろよ。

オレオレ

>>344-345
問題になってるのは「どれが質問者の発言か分からない」という話だろ
「他人」は何人いようと問題じゃない
他人のツッコミや推測の書き込みと質問者の答えの区別がつかんから
「前に書いた」と言われてもどれのことだか分からん訳で

2ちゃんでは話題が継続してる間は最初の質問の番号を名前欄に入れる
のが一般的だと思うんだが質問者はそういうルールを知らんのか
あるいは質問者は>>278だけで後はなりすましの他人による釣り行為だったのかw

もうこの話やめようよ。

>>350
>>337は、(質問者が)「他人の提案をなんでも却下」したと言っている、
却下したのが他人の突っ込みでないこと、すなわち元質問者であるとわ
かっている。
わからないお前がバカなんじゃない?

openssh 5.7リリースの話題から目をそらそうとする陰謀としか思えんな
どういう目的があるのかはわからんが

>>352
とりあえず見てて不快だからこの話題やめようぜ

やり込めようと向かってこなきゃいいんじゃないかな。頭足りないんだから。

>>352
そのレス以前の文脈無視すんなよw

>>356
誰が書いたかわからないのに文脈もクソもないだろ。

>>353
とりあえず家のSolaris鯖のは既に入れ替えてみてある。
ぱっと見、session.cのコードが結構変わってた。

>>358
よくわかってないんだけどECDSA って美味しい?
試しにssh-keygen -t ecdsa したら規定値256bit なんだけどこれで問題ないのかな?
-3 は面白そう

楕円暗号だから256bitもあれば
RSA2048bit よりは強度はだいぶ上じゃないかな

> scp(1): 新しい -3 オプションを追加.

これ壁というかGW上のホストでの作業に
めちゃめちゃ便利そう

いままでなかったのが不思議なくらい
(いちいち ssh utigawa tar cf - | ssh sotogawa tar xpf - とかしてた)

はやく FreeBSD のツリーに取り込まれないかな…

もう一つ openssh 5.7関係の話から(openssh とは直接は関係ないんだけど…)
> sftp(1): sftp クライアントは非常に早くなった.

WinSCP による転送が異常に遅い問題って
この辺の話と関係あるんでしょうかね。

* sftp(1): the sftp client is now significantly faster at performing
directory listings,
これ？ ディレクトリ一覧取得って書いてあるけど。

>363
あちゃ… たしかに原文はそうなってるね。
日本語訳しか読んでなかった… orz

>>360
トン
RSA に比べると大分bit 数が少なかったので少し不安でした
とりあえず256bit で運用してみます

5.8
http://www.openssh.org/txt/release-5.8
http://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_5.8.txt

この前5.7出たばっかなのにもう5.8か

PAMって具体的にどういう利点があるのですか？

>>368
認証プロセスをアプリ毎に実装する必要がない。
認証方法を変更する場合、ユーザー側の作業だけですみ、アプリに変更を加える必要がない。

MidpSSHでOpenSSHのsshdへ接続するにはsshd_configに最低でも
Ciphers 3des-cbc
としておかないと駄目らしい。
なんとか接続できたので快適ｗ

ssh-keygen コマンドで作成される公開鍵、秘密鍵にはユーザ名は含まれているのでしょうか?

◯前置き：
自分のPC(Windows)には taro というアカウント名でログオンしていて、cygwin を使っている。
家庭内LAN上の別のマシンの Linux 上に taro というアカウントを作った。
cygwin の openssh で ssh-keygen で作成した公開鍵を Linux に送り、cygwin の ssh から
鍵認証でログインすることが出来ている。

◯問題：
sourceforge.jp にアカウントを作った。このときのアカウントは hoge とする。
hoge 用に公開鍵と秘密鍵のペアを作るのが面倒だったので、↑でつくった taro 用の公開鍵を
sourceforge.jp に登録し、cygwin から

$ ssh -i .ssh/id_rsa -l hoge shell.sourceforge.jp

というようにやっているのだけど、10時間たっても
Permission denied (publickey).
というエラーが出てログインできない。

ユーザ名は含まれていない。
sshに-v付けて調べる。

>>372 レスどうもありがとうございます。 こんな感じになりました。

$ ssh -v -i .ssh/id_rsa -l hoge shell.sourceforge.jp
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /home/taro/.ssh/config
debug1: Connecting to shell.sourceforge.jp [202.221.179.26] port 22.
debug1: Connection established.
debug1: identity file .ssh/id_rsa type 1
debug1: Remote protocol version 1.99, remote software version OpenSSH_5.1p1 Debian-5
debug1: match: OpenSSH_5.1p1 Debian-5 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
(続く)

(続き)
debug1: Host 'shell.sourceforge.jp' is known and matches the RSA host key.
debug1: Found key in /home/taro/.ssh/known_hosts:43
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: .ssh/id_rsa
debug1: Authentications that can continue: publickey
debug1: No more authentication methods to try.
Permission denied (publickey).

pubkeyのオファーはしてるけど、サーバ側で拒否してる。
サーバーに転送した公開鍵がおかしい(行末?)とか、ディレクトリが違うとか、
パーミッションがおかしいとか。

サーバの.sshがworldライタブルとか

レスどうもありがとうございます。
sourceforge.jp の場合、下記のように、
ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、
http://sourceforge.jp/projects/docs/wiki/SSH%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%82%AD%E3%83%BC
ディレクトリが違うとかパーミッションがおかしいということはないと思います
(sourceforge.jp の CGI が間違ってない限り)

ちなみに「サーバ側で拒否している」とは、>>373-374 のどこでわかるのでしょうか?
また、「鍵が合ってないよ」とは違う状況をサーバはおうとしているのでしょうか?

> ブラウザに、自分のPCで作成した公開鍵を貼り付けるようになっているので、
ありがちなミスでコピペしたときに途中に改行が入ってるんじゃない?
公開鍵は一行だぞ。

> debug1: Authentications that can continue: publickey
(あんたの送った公開鍵は却下)次の公開鍵送れ。

すみません、原因がわかりました。
sourceforge.jp では、アカウント申請しただけではシェルサーバに
ログインできず、何らかのプロジェクトに属さないとダメなようです。

申し訳ありません、お騒がせしました。

>>378
レスどうもありがとうございます。
ssh -v でデバッグする方法は今回で知ったので、今後に役立たせていただきます。

metosrv9.umd.eduがSSH舐めて歩いてる

公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からDebにはsshで入れたが、Mac2からDebには Permission denied (publickey) のエラーで接続できなかった。
Mac1とMac2は同じ構成なので、これは不可思議だった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
Mac1からもDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。

間違えたので訂正。

公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からMac2にはsshで入れたが、DebからMac2には Permission denied (publickey) のエラーで接続できなかった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
今度はMac1とMac2の両方からDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。

どうみても別問題です
Mac側ユーザでls -la ~/.sshした結果でも貼ってみれば？

>>383 やはりそうですかねえ。それではMac1側のを一応貼ります。
-rw------- 1 me staff 1217 Feb 11 21:26 authorized_keys
-rw------- 1 me staff 1743 Jan 1 12:28 id_rsa
-rw-r--r--@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
-rw------- 1 me staff 418 Jan 1 13:07 id_rsa.pub
-rw-r--r-- 1 me staff 14756 Mar 13 11:53 known_hosts

上記のうち、Debのpublic keyを
-r--------@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
にしても変わりません。

何言ってるのかちょっとわからない
Mac1はログインする側でDebがされる側？
まさかだけど鍵穴に鍵穴を突っ込もうと奮闘してるとか？

ここと、

＞Mac1からMac2に
＞DebからMac2に

ここで、

＞今度はMac1とMac2の両方からDebに

ログインの方向が変わってるぞ。鍵穴に鍵穴を突っ込もうとしてるか、鍵を鍵に突っ込もうとしてるのどちらか。

pubkeyオンリーの運用が難しいなどと抜かす池沼はサーバの運用するな。

>>385
なんか百合っぽい

藤原一宏教授の虚偽申請は、日本の数学界に対する国民の信頼を裏切った、
無視することのできない重大な事件です。このような者がのうのうと責任ある教授職を
続けていることに、藤原氏がプロの学者であることを自覚しているのなら
なおさら疑問をかんじざるを得ません。今後二度とこのような事件が起きないように
するためにみなさんで建設的な議論をしましょう。

>>386
ログインの方向が変わっているのはその通りです。
３つのマシンがsshdを動かしていて、それぞれ公開鍵を発行して相互にログインできてました。

いま困っているのは
＞今度はMac1とMac2の両方からDebに
が出来ない事ですが、
別の事象として、DebからMac2にアクセスするときにも同じエラーが起きていたということです。

公開鍵は使いまわせるけど、秘密鍵は使いまわせないですよね？
その公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない。

どういう意味で「公開鍵を使いまわす」と言ってるんだろう。

>>391
キミは120%理解していない。

なるほど、この人はパスフレーズが「鍵」だと勘違いしているのかな…

まあ何を拠り所に認証しようとしているか理解しないと
いつまでたっても勘違い度2000% になっちゃうね

＞公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない
これができるなら、公開鍵暗号って破綻しないか？

お客様の中にPuTTYを使っている方はいらっしゃいませんか
PuTTYで共通する項目を設定することはできんものでしょうか
例えば色や外観など部分的な設定を各セッションで共通化したいのですが手軽な方法はないでしょうか
ICE IVのPuTTYを使っています

putty.iniを編集(手動じゃ無くてもいいけど)するんじゃダメなの？

# そういう話じゃなくて？

termcapでいうところのtc=が欲しいのだろう。オレも欲しい。

ごった煮でもiceivでも多分、無理。実を言うと俺も欲しかった。
ところでputtyスレは新スレ誰も立てずに断絶してしまってる？

ありがとう

>>397
それが一番手っ取り早いですね
ini中のいつも使っている[Session:XXXX]のColourXX=で他のセクションのColourを置換してしまえばいいわけですし

>>399
スレタイ検索ではputtyスレなかったです

Default Settingsを読み込んでそこから派生させるとかじゃなくて？

Windowsでsftpにエクスプローラから直接アクセスする方法を教えてください。

>>402
SFTPサーバーをエクスプローラの仮想フォルダとして追加できる「Swish」
http://www.forest.impress.co.jp/docs/review/20110127_422559.html

ポートフォワードをする際に
sshサーバまでの暗号化をさせない方法はありますか?

無い。

>>404
sshでポートフォワードさせればいい

不毛だけど「させない」って言ってるんだから放置で

放置して暴れられても面倒だろ
>>404
スレ違い。SSHやめてnetcatでも使ってろよ。

は？暗号化をさせない方法は>>406でokだからそれで終了でしょ？

商用版SSHには暗号化無しにできるオプションがあるよ。

>>406 >>409 は何を取り違えてるんだろうか? 普通に暗号化するんだけど

>>410 すみませんがフリー版でお願いします

>>411
SSHを使わずにポートフォワードすればいいんじゃね？

>>404
これでいいだろ
ipfw add 100 fwd ${remotehost},${remoteport} tcp from me to me dst-port ${localhost}

最後の ${localhost} は ${localport} の間違い

>>411
たぶん君のおちんちんが包茎なのが原因

ふざけないでくれるかな。
結構真面目に質問したんだが。

>>413
ssh鯖がレン鯖とかで、root権限がない場合は無理。
ipfw使うくらいならユーザー権限でstoneの方がいいだろ。
それでもssh鯖にはsshでのみアクセス化で、
勝手にport開いてlistenしてはいけない(fwでブロックされてる)という条件だと無理。

なんで>>412と>>413を無視するの

>>416
君は自分の恥垢臭で発狂してしまうという珍しい症例。
その狂った頭はもう手のつけようがないけど、包茎は治る障害だから
せめて包茎主日ぐらいはしておけ。

暗号化したくないのになんでSSH使いたいの？

>>417
sshのみでアクセス可
って条件に非常に興味がある。
Linuxで、そんな設定が出来るのか？
どうやれば制限できるのか 方法を教えてほしい。

>>420
よくよめ。
ssh鯖へのログインは暗号化。
その後のポートフォワードは暗号化せず。
だろ。

だから>407でFAって言ったのに．．．

ん？暗号化のCPU負荷を気にしてなくて実ネットワークに平文晒したいだけなら
ssh -L sport:remote:lport localhost
でよくない？

s/lport/dport/

なんだよ単なる露出狂かよ

>>424
ssh鯖にログイン後に別のsshでssh鯖自身に接続してポートフォワードか
-gオプション要る。それだと stone使うのと同じ

手元のホストとssh鯖との間がsshでしか繋げない制限がかかってる場合
ssh鯖上で別のlistenポートを開けないので>>424 だとNG

あと、自分のホストとSSH鯖との間にNATルーターがあって、
逆方向にポートフォワード(ssh -R)したい場合も
stoneや >>424の方法は使えませんな。

>>428
なんで？
転送先へもNATされるのが普通だろうから問題ないでしょ？

あ、転送先がNATの内側の話をいいたいのね

>>429
内→外のNAT(NAPT)専用で、
NATルーターは別管理で、自分で設定を変更できないと考えろ

いやNATの内側でも問題ないな

包茎くん、コテハンつけてね。んまぁ、つけなくてもレスから恥垢臭
漂ってくるぐらいに臭いからわかるけどさ。

面白いと思ってるのかな

Sanba over SSH試してるんだがびっくりする位遅いんだな
Teratermだと2MB/s程度しか出ない
cygwinにOpenSSH-hpn入れてやっても13MB/sくらいが限界だわ
その割にCPUのリソース余ってる感じだし・・

CPUガリガリ使ってガンガン速度出てくれないもんかね〜

あーSambaだった

素直に sshfs にした方が

>>437
素直なのかそれ

すまない
素直じゃなかったよ////

萌えた

435ですが色々やりまくった結果
Sambaに拘るならWindowsでのsshクライアントはCygwinでOpensshをTar玉取ってきて
hpnパッチ当てるのが一番速いみたいです　商用だともっと速いのあるのかも？

んで鯖がGentooだったんですがこれが曲者でssh -vでOpenSSH_5.8p1-hpn13v10と
出るのにマルチスレッドで動いてませんでした　気が付くのにtopとにらめっこしつつ
設定変えまくって丸一日かかった・・・

鯖の方のOpensshも野良で入れたらsshdの負荷がMAXで200%まで行くようになって
SambaOverSSHでRead34MB/s、Write58MB/sまで出るようになりました(Phenom9750)
さすがに4コア全部使い切ったりはしないもんですね
ちなみにssh無しだとRead70MB/s、Write100MB/s位

SambaOverSSHで速度出そうって奇特な人は居ないかもしれませんが参考までに、
最初の2MB/sから34MB/sまで上がって嬉しくなったので書いてみましたｗ

gentoo って hpn でもマルチスレッド動いてないんだ?
もしよかったら、どのあたりを設定したか教えてちょ。

>>442
設定っていうか/etc/portage/profile/package.providedでGentoo純正のOpenssh
入らないようにして元々のを消してopenssh.orgで取ってきたTar玉のOpensshに
http://www.psc.edu/networking/projects/hpn-ssh/
で取ってきたパッチ上から3つ当ててインストールして/etc/init.d/sshdの
SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd}の所を
SSHD_BINARY=${SSHD_BINARY:-/usr/local/sbin/sshd}に書き換えただけです

>>443
なーほー。
ありがとん!

[クライアント-(Gateway)-サーバ]の環境下で, SSHで接続時にクライアントのディレクトリをサーバにマウントしたいのですが,
クライアントにsshdを導入せずマウントできる方法はないでしょうか

逆ポートフォワーディングやればよかでは

sshを導入しないならなぜここで聞くのか

すみませんが詳しい方のみ回答をお願いします

クライアントにsshdを導入するとマウントできる方法はあるでしょうか

中国語でok

我很遺憾、但我只懇求專家的人來回答。

はい。
http://sourceforge.net/apps/mediawiki/fuse/index.php?title=SshfsFaq#Is_there_some_neat_way_to_do_it_in_reverse.3F

フランスに渡米経験者のみ回答ok

『入門OpenSSH』という書籍の原稿が公開されてた。
http://www.unixuser.org/~euske/doc/openssh/book/index.html
良い時代になったなぁ…
次スレのテンプレ（何年後だ）に入れて欲しいぞ。

4.69 で直ったやつか？
ttp://ttssh2.sourceforge.jp/manual/ja/about/history.html#teraterm_4.69

誤爆した。すまん。

最近は外向きのSSLを一回解除して平文を読んでから外部にSSLで繋ぎ直すといった
Man in the MiddleみたいなことをするIDSがあるみたいですが
ローカルのクライアントから外部のサーバへアクセスする際に途中にこういったIDSが存在しても
公開鍵認証でSSH使っている場合にはこれは暗号文を復号されないということでよろしいのでしょうか？

SSLの証明書やsshのサーバ host key が何かを
考えてから言ってくれ

公開鍵認証かどうかは関係ないやろ。
ローカルのクライアントを操作してる人間が
MITMゲートウェイの提示してきた偽造したホスト公開鍵を
外部サーバのホスト公開鍵だと闇雲に信じてしまうんなら
そら盗聴されるわ。

sshで逆引きして.jp以外は拒否ってできますか？

>>460
TCP Wrapperのライブラリがリンクされているか、inetd経由で起動させれば可能だよ。

接続元のサブネットごとに、認証方式を変える方法ってどう書けばいいでしょうか。
具体的には、ローカルアドレスからは公開鍵認証かパスワード認証、
グローバルアドレスからは公開鍵認証のみ、
としたいです。

>>462
man sshd_configしてMatchでAddress使う書式確認すりゃいいんじゃね

>>463
ありがとうございます。「Match,Address」というキーワードがわかったので
ssh Match Addressで検索したらそのものズバリのページがみつかりました。
ttp://inside.ascade.co.jp/node/4

復帰

ところでケルベロス使ってる人いる？

いるよ

どう？

さぁ。

ありゃ地獄だぜ

http://www.openssh.com/txt/release-5.9

よくわからなかったころは合成に良く使った

質問です。

known_hostsに登録される鍵は、ホスト鍵と呼ばれるそうなのですが、
ホスト鍵にも秘密鍵と公開鍵があるんでしょうか？
その場合、known_hostsに登録されているのは公開鍵のほうですか？

はい。

>>474
ありがとうございます。
公開鍵はknown_hostsに登録されているとすると、
（ホスト鍵の）秘密鍵はどこに登録されているのでしょうか？

$ grep ^HostKey /etc/ssh/sshd_config

>>475
クライアント側の話?
なら秘密鍵はクライアント側にはないよ。

>>476
$ grep ^HostKey /etc/ssh/sshd_config
$

>>478
じゃあ
$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh/
それぞれの結果見せて

もしもホストキーを自分と相手で同じもの使ったらどうなるの？

そんな事チェックしてないので、どうもならない。

>>477
クライアント側にあるのが秘密鍵じゃないの？

鍵を作ったところにしかないのが秘密鍵。
ホスト鍵はホストが作るんだからその秘密鍵がクライアントにあるはずがない。

入門OpenSSH
http://www.unixuser.org/~euske/doc/openssh/book/index.html

>>483
クライアントで秘密鍵と公開鍵を作って
サーバには公開鍵を登録する
と思ってたけど違うの？

>>485
それは認証用の鍵でしょ なんの話をしてるんだよ

>>485
ホスト鍵の話だよ。
sshd_config で言う HostKey の話。

秘密鍵を使用する以外の別の場所で、それを作ってはいけないという決まりはない。

ホスト鍵って何に使うの？

>>488
いきなり何を言い出したんだ？

>>488
作ってはいけないという決まりはないが、
作るべきではない。

>>489
http://www.unixuser.org/~euske/doc/openssh/book/chap3.html

ホスト鍵が何かわかってないってことは、
初回ログイン時に表示される fingerprint が何かわかってないってこと。
何も考えずに yes って打ってるでしょ。
それ危険だよ。

サーバのIPがコロコロ変わるのでknown_hostsは毎回削除してたわ

わかっててやってるならいいけどさ。

ssh-agent コマンド
ってやってssh-agentを起動する時、
普通に考えると「コマンド」はssh-agentの子プロセスになると思いがちだけど、
実際にはssh-agent内部でfork()した後、その親プロセス側が「コマンド」をexec()する。

「コマンド」が親で、ssh-agentが子プロセスになる。
で、このままでは「コマンド」の終了をwait()やSIGCHLDとかで検出できないので、
ssh-agentはわざわざ10秒おきに「コマンド」が終了したかどうかチェックしてる。

何故わざわざ親と子を逆にして面倒なことをしているのでしょう?
何か理由があるのでしょうか?

呼び出し側がコマンドを子プロセス扱いできるようにってことかな？

フジテレビデモ
花王デモ
要チェック

親プロセスがsh以外の(変な)プログラムだと混乱するのがあるんじゃないかな。

>>499
は？祖父母プロセスのことをいいたいの？想像できん・・・

$ echo $$
19472
$ ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent ssh-agent bash -c 'echo $PPID'
19472

10秒おきにポーリングしてプロセス終了を待つって無駄だよな。
実際ssh-agent終了直後、最大10秒間は /tmp/ssh-XXXXX が残ってしまう。
もっと効率的なアルゴリズムにできないのか?

>>496
しかもgetppid(2)じゃなくてkill(2)でチェックしてるんだな。10秒以内に同じ
PIDのプロセスが作られると終了しない、と。

コマンド指定しない時のforkと無理やり共通化したかっただけとか・・・？

コマンド付きだろうとなかろうと本来はssh-addやsshのためのソケットサーバ。
起動してしまえば子孫関係のないクライアントへも区別なくサービスできるし、
コマンド指定機能はオマケ機能扱いてことじゃね？

>479
それを見たところで分かるとは限らないという意味であえて書いてたのだが…

$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh
moduli ssh_host_ecdsa_key ssh_host_rsa_key
ssh_config ssh_host_ecdsa_key.pub ssh_host_rsa_key.pub
ssh_host_dsa_key ssh_host_key sshd_config
ssh_host_dsa_key.pub ssh_host_key.pub
$

こんなとこ

で、どうしたいの。

>>506
>>505に対して書いてるのか?なら
>>476が>>475の疑問を解消してくれるのを待ってる

grep結果にひっかからないということは/etc/sshのファイルが使われている保証はないということ？

>>505
ssh_host_ecdsa_key
ssh_host_rsa_key
ssh_host_dsa_key
ssh_host_key
がホスト鍵だな

次の質問ある？

>>508
/usr/sbin/sshd -T で確認すればいいんじゃない？

これからはセキュリティックの時代なので
ログインシェルをsshに変更したいんですが、
chsh -s /usr/bin/ssh
のプロンプトを発行するとエラーになりました。
何か設定が足りないんでしょうか？

そういうネタはいいです。

# echo /usr/bin/ssh >> /etc/shells

>>510
sshd: illegal option -- T
OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
usage: sshd [-46Ddeiqt] [-b bits] [-f config_file] [-g login_grace_time]
[-h host_key_file] [-k key_gen_time] [-o option] [-p port] [-u len]

ケチつけるだけじゃなく答え教えてあげたら。

カラー表示の非対応SSHクライアントで端末タイプにvt100等を使用すると
カラー情報をクライアントが認識できないため、カラーになる文字列の前後に余計な文字列が付与されますが、
このカラー情報のパケットのルールについて記載されているサイト等は無いでしょうか？

端末タイプのdumbを認識しないsshdの場合、手動で取り除きたいと考えています。

自己解決レス。

ANSIカラーコードという体系があったのですね。

っていうか vt100 はカラー対応じゃないし…

そもそも TERM をみてカラー対応じゃなかったら
そのエスケープシーケンスは吐くべきじゃないわけだが

TERMがvt100じゃなかったってオチでは？

エスパーするとGNU lsはTERMを認識せずにカラー表示する。
alias ls='ls --color' されてたりする。

TERMをちゃんと認識するには ncursesなり termcapなりのライブラリとのリンクが必要。
lsのような基本コマンドで ncursesとかに依存するのは大げさだから、
TERM無視してエスケープシーケンス出力する今のやりかたが妥当。

普通の標準出力の文字列内にエスケープシーケンスがあるべきじゃないだろうし、
5d（だっけ）と直近のmの間を取ってやればいいんじゃないか？

基本的には公開鍵認証、
特定のアドレス範囲内からの接続であればパスワード認証も可。
という設定にするにはどうすればいいですか？

というのも一部のクライアントが
公開鍵認証に対応していないもので……。

>>522
>>462-464

公開鍵認証に対応してないsshクライアントってなんだよ。
そんなのsshクライアントじゃない無視してもいい。

すみませんが詳しい方のみ回答をお願いします

>>525
sshd2個あげれば？
ふつうは524(クライアントソフト入れ替え)が正しい

>>522
/etc/ssh/sshd_configで
PasswordAuthentication no

Match 192.168.0.0/24
PasswordAuthentication yes

こんな感じかな。
コピペせずに
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
見ながら設定を推奨します。
てゆか>>523で正解。

>>524
俺も興味あるなｗ
「一部の」ってことはそれなりに数あるんだろうけど…なんじゃそりゃとしか。

クライアント側アプリではなく
「(公開鍵の概念を理解できない)顧客」
だったりしてな…

そういうクライアントは辞書攻撃でやられるパスワードをつける可能性が大だから、
やはり無視するのが正しい。

俺は >>528 の解釈が当たりだと思った

だったら man sshd_configしてMatchでAddressとUserとの組合せの書式を
確認させないといけないね。本当にやりたいことに近いのはIPアドレスで
判別じゃなくて、IPアドレス&ユーザ名で判別だろうからね。

Match User alice,bob Address 192.168.0.0/16,10.0.0.0/8
PasswordAuthentication yes
PermitEmptyPasswords no

本当にやりたいことは「こんなクソみたいな設定作業を低コストでどっか
にほっぽり出したうえで責任回避するにはどうしたらいいか」って問題の
解決だろうが、そんなもんスレ違いｗ

sshでUDPをポートフォワードする方法教えて。man見てもよくわからんね

>>531
ググれカス

>>531
SSHだけじゃできない、ってのはわかってるかな。

もちろん、わかってません＞＜

じゃあnetcatも使ってなんとかしとけ

にゃあ

DeleGateのUDPrelayとかかます
http://i-red.info/docs/Manual.htm#serv_udprelay

http overでssh接続することはできませんか？

connect.cとかcorkscrewとかを使えばできる。

sshdですが、2つのポートで待ち受けることはできるのでしょうか？

>>540
http://www.jp.freebsd.org/cgi/mroff.cgi?sect=5&cmd=&lc=1&subdir=man&dir=jpman-5.4.0%2Fman&subdir=man&man=sshd_config
Port (ポート番号)
sshd が接続を受けつける (listen する) ポート番号を指定します。デ
フォルトは 22 です。複数指定することも可能です。 ListenAddress の
項も参照してください。

http://www.openssh.org/manual.html

>>542
ﾊﾞｰｶ

罵倒する理由はなに？

>>544
>>541の2分後に堂々と>>542を書き込んでくるその神経に敬意を表して

狭量

2分後ｗ

>>542 と >>543 の狭量比べが始まりました
果たして勝者は!?

おれは別にどうでもいいよ。

早速の変身ありがとうございます。
2つのポートを使いたいというのは、ファイアウォール内では問題ないのですが
外からはポート80以外接続できないようになっています。
apacheは動いていないので、80番ポートを通してSSH接続できないかと
思案していたところでございました。

>>550
80も狙われやすいと思うけど。

TCP porrt 53とか開いてないのかな？

>>551
狙われてもいいじゃん。
sshdの方で鍵認証のみにするなり防御の方法はあるし、
L4で狙われにくいポートを選ぶっていう小細工したって知れてるでしょ。

ところが公開鍵認証に対応していないクライアントなんですよ。

そのネタはもういいです。

ポート変えるのは防御ってより
ウザいログを減らすためだな。

まあ80番にSSHアタックしてこんだろ

ないとは言いきれない。

sshは応答で簡単にわかるから、sshアタックあってもおかしくない

固定IPからのみのパケットフィルタリングとか出来ると
安全、安心。

鍵のみ+denyhostでいいんじゃ？

SignificantSukebeHeitai

OpenSSL 1.0.0f and 0.9.8s
https://www.openssl.org/news/secadv_20120104.txt
セキュリティフィクスのみかな

あ，OpenSSHスレだった
ごめん

androidのconnectbotでssh port forwardしたいけどできねー。
他にクライアント無いですか。

>>563
stone じゃだめかいな。

Connectbotって、sshでパスワード認証成功させて、
アンドロイドVNCを起動させると、裏にまわったConnectbotが落ちちゃう(killされる？)みたいなんですよね。
でも、毎回そうなる訳じゃないから不思議...
やっぱりスレ違いかな。

SSHTunnelとAndroid VNCの組み合わせで使ってる

犬板にこんなスレできてるから聞いてみるといいかも
Android総合
http://engawa.2ch.net/test/read.cgi/linux/1327118733/

Root requiredなのを使えば鉄板なのはわかるんだけどなぁ。
でもnative binaryなAndroidアプリの話ならスレ違いってことはないか。

SSHTunnelは特権なくてもVNC程度なら使えるはずだけど

普通にSSHTunnelで出来ましたが、一回の接続につき、トンネルを一本しか掘れないんですね。
それだけが玉に傷。

ここに書けばいいのかよくわからないけど
ssh -Yでフォワードしてfirefoxとかはちゃんと動くんだけど
javaのアプリ(V2C)が空白になって描画されないんだよね
はじめは-Xでやってたんだけどググったら-Yでやれみたいなことが書いてあって試したんだけど変わらず
なにか心当たりある人いますか？

ごめんなさい自己解決しました
awesomeの問題？でwmname LG3Dを実行してから起動すると正常に描画されました

nohupコマンドについて質問です。
ログアウトしてもジョブが継続されるとのことですが、
ログアウトというのはSSHからログアウトという意味でしょうか？
それともSSHだけでなくターミナルを起動しているＰＣの電源を落としてもジョブは継続するのでしょうか？

>>573
はい

両方。

>>573-574
ありがとうございます

>>575
ありがとうございます

すみません、質問です。
昨日OpenSSH(5.9_p1-r3)サーバを再インストール(selinux,pam環境下)したところ
クライアントからrootでは接続する場合ではセッションを確立でき、
当然セッションを確立した状態からならほかの一般ユーザにログインもできるのですが
クライアントから直接一般ユーザでセッションを確立しようとすると
OpenSSH_5.4p1クライアントではConnection to (SERVER) closed by remote hostというエラーが発生し
OpenSSH_5.9p1(サーバ)から接続してもWrite failed: Broken pipeと表示されてセッションを確立できません
鍵の再作成とknown_hostの初期化, hosts.allo/denyなどは設定したのですが解決のめどはありません。
どなたかわかる方いらっしゃるでしょうか

CentOS6でほぼデフォルト状態で使用しています。
sshを使用してポート3306(DB)に接続した場合、そのことがログ/var/log/*に記録されますか？
それとも、sshでログインがあったことしか残りませんか？

やってみりゃいいじゃん。

きっと、攻撃する方でログは見れないんだろ。

同じ環境作ればいい。

対象の環境は侵入して調べなきゃ再現できないじゃないか。

そこはもう済んでるから
>>579みたいな質問になったんじゃないの？

サクッと教えてくれるのがおまえらやん…

Acceptedのログにフォワーデング先のポート番号も出るならlogwatchとかでバレちゃうかなぁ

さくっとわからんもの。
環境作って検証しないとわからん。
だったら自分でやれ、と。

>>580-584,586
CentOS6でほぼデフォといえばキュピィーーンってくるエスパーに期待しちゃったお
とりあえずありが�d

DBはログ監視どころかログとってすらなさげだから普通にsshでログインしてから
DB接続した形跡をhistoryに残さないよう注意しつつなんとかするお

ほぼデフォといったって、my.cnfに一行追加するだけだろ。ｗ

デフォってminimal installのことか?

mysqlサーバにログインしてデフォで接続なら3306は関係ないだろj

ちんぼ

すみません質問です．
リモートからの接続も，サーバ自身からの接続(ssh localhost -l ${USER})でも，
ユーザがrootならば接続できるのですが，一般ユーザだと接続に失敗します．
--vvオプションで実行した場合以下のようになるのですが，解決法のわかる方いらっしゃらないでしょうか
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to localhost:22).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Requesting [email protected]
debug1: Entering interactive session.
Write failed: Broken pipe

LogLevel上げてログを確認してみたら?

> debug1: Authentication succeeded (keyboard-interactive).
認証は通ってるからsshd側でログとらないとわからないなあ。pamとかかな。

windows用puttyでパスフレーズなしで
key id_rsaを作りました。
そのkeyでSSHログインしようとすると

>ssh -i id_rsa hogehoge.com
Enter passphrase for key

と
なぜか設定した覚えのないパスフレーズを求められてしまいます。

PuttyのGUIのほうでログインすると問題ないのですが、、、

puttyで作った秘密鍵とopensshで作った秘密鍵はフォーマットが違うから
それぞれの対応ソフトでしか使えない
公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない

>>596
> 公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない

ん?
変換できるでしょ。
ttp://blog.promob.jp/fri/2010/01/putty.html

SSHまでしたのにふざけんなよ

自宅サーバーで
sudo ifconfig eth0 0.0.0.0 promisc down
したら、外部からsshできなくなったんだけど、なんで？？

そういうネタはいいです

>>600
俺？
promiscって自分宛じゃないパケットを受け取るかどうかの設定だよね？
別に無効にしてもsshはできるはずじゃないの？

promisc無効にするのに down はねーだろ

-promisc

直接の原因は、downしたからインターフェースが止まった。当たり前。

>>602,603
まじか。ありがとう

downがなくても0.0.0.0じゃIPv4の通信はだめだろうねｗ

インターフェースにアドレスを割り振ることは必須ではないので、
ネットワークフィルタでソースアドレス書き換えるとか、頑張れ
ばまるっきり不可能ってわけじゃない。

ifconfig -promiscでpromiscuous modeを禁止できると思ってるのか>>599はｗ

SSHにすると体感でどれくらい速くなりますか?
寿命は大丈夫ですか? 今はSATA2で使ってます。

SSHにしたらいろいろ捗るよ。速さはrloginに劣るかも知れないけど、
寿命は大丈夫でしょ。

そうですか、そんなに速くはならないんですね。SSH買うのはちょっと見送ります。

スベったね。

PEMファイルについて質問です
-----BEGIN RSA PRIVATE KEY-----
や
-----BEGIN PUBLIC KEY-----
のような文字列で始まるのがPEMファイルだと思うのですが、

id_rsa, id_rsa.pub があるときに、id_rsaはPEM形式と共通のようですが、
id_rsa.pubは何形式というのでしょう？
また、id_rsa.pubから公開鍵のPEM形式への変換方法はありますか？

認識が間違っている所があれば指摘いただけるとありがたいです．

.pub が何という形式かは知らね。「openssh 公開鍵形式」でいいような気がするが。
id_rsa.pub から変換する方法も知らね。id_rsa から変換するなら以下でできる。
openssl rsa -in id_rsa -pubout

>>613
おお、公開鍵のPEMが欲しかったのでありがとうございます

公開鍵について質問です。
複数のサーバーに対し公開鍵認証を行う場合、
サーバー毎に秘密鍵・公開鍵を作成してクライアントに持たすべきですか？
ググってconfigファイルでの分ける設定は見つかりましたが、
セキュリティ上分けるべきかどうかを言及しているサイトは見つかりませんでした。
サーバー毎に作成する場合、鍵の管理が煩雑になりそうですので、
可能であれば公開鍵を共用したいと思いますが、リスク面ではどうなんでしょうか？

公開鍵盗まれるようなサーバに入って作業すること自体マズいんじゃないの。

すみませんが詳しい方のみ回答をお願いします

>>616
>>617は私じゃないですけど、
サーバに侵入されて公開鍵が盗まれても問題ないのでは？そもそも公開してるわけだし。
サーバに侵入されて公開鍵が書き換えられたら問題ですけど、
それと複数サーバで同じ公開鍵を使うかどうかとは別問題かと思うんですが・・

ならどういう事態を心配してるんだろ。

分け方がググらなきゃわからないほどマイナーってことは、
普通は分けないってことだ

複数のサーバが自分の同じ公開鍵をもってたからって、
どれかの管理者が他のサーバに侵入したりできないよ

よく考えたら鍵認証って怖いな

パスワード認証ね場合パスワードは自分の頭のなかにしかないけど

鍵認証だと~/.ssh以下にパスワードに相当する秘密鍵がおもいっきり置いてある
自分の頭は宇宙人以外にハッキングされることはないけど
ホームディレクトリは侵入されたら＼（^ｏ^）／


でもみんな2つ組み合わせてるか

あほかｗｗｗ
＞ホームディレクトリは侵入
この時点で終わってるだろｗｗｗｗｗ

公開鍵認証といってもホスト認証とユーザ認証があるよ
とくに>>615のような話題だとどちらのことを言ってるのかまぎらわしい

1ヶ所ヤラれたら芋づる式に他もヤラれる、ってことを言いたいんじゃないかな

>>621
秘物鍵にパスフレーズつけとけ

>>615の書き方だとクライアントはひとつ。
だったら>>624で1ヶ所ヤラれるということは
サーバ別に鍵を分けてたとしてもたぶん全滅。

>>624
>>618 によるとそういうことじゃないらしい。

公開鍵認証のメリットのひとつにＮ人の間での通信に必要な鍵の総数を
２Ｎにおさめるというのがある

パスワード認証で全サーバ同じパスワードで運用すればＮ個ですむけど
サーバの管理者が違うとそうもいかないし

>>621
それはsshが世にでた頃から言われたこと。

rootが信用できないならこの仕組みは成り立たないよ。

rootを信用しようがしまいが個人PCなら自分がrootなんだけどね

>>630
それが信用できるrootを確保する一番簡単な手段だろ。なにをいまさら。

>>631
見当違い

ふつうローカルの個人管理下にあるデバイスだけに秘密鍵をおいてそこへSSHエージェントじゃないのか
Pagentとか

SSHクライアント側の管理者ではなく
SSHサーバ側の管理者がのっとられた場合、
パスワード認証なら生パスワードを抜かれて悪用されるリスクがあるけど
公開鍵認証なら秘密鍵の内容を抜かれることはないはず

公開鍵が盗まれることは心配してないみたいよ。
>>618参照。

>>635
え、そんなのあたりまえだろ？だれへのれす？

>>634へのレス。

>>634で盗まれるかどうかの話はパスワードや秘密鍵であって
公開鍵のことなんかいってないぞ

レスいっぱいでビックリした。
認識としては、公開鍵が抜かれても特に問題は無し、
公開鍵が書き換えられる状態だと、そのサーバのみ成りすまし可能、
秘密鍵は抜かれたら、全サーバー成りすまし可能で、
秘密鍵が抜かれる状態だと、どっち道全部持ってかれるので
個別にペアを用意していても意味ないんじゃないかなと
思った次第です。

それでいいよ。

>>639

> 公開鍵が書き換えられる状態だと、そのサーバのみ成りすまし可能、

そんな杜撰な管理のサーバならSSHサーバの改ざんもありうるよ。

パスワード認証のパスワードを抜き取る細工（同じパスワード使いまわしを期待して他のサーバのっとり）
→公開鍵認証に失敗してパスワード認証にフォールバックする設定で、うっかりパスワードを入力してしまったらアウト

中間者攻撃の細工
→ホスト鍵の認証失敗で気づけるけど、意味が分からず無視するような人はアウト

ログイン先が乗っ取られてたら、そこに公開鍵認証でログインを試みるのってヤバくない?

SSH2の認証ステップって(C:クライアント S:サーバー)
1 C=>S 公開鍵認証してよ。ユーザー名はコレで、公開鍵はこれ
2 S=>C その鍵OK。 んじゃ、このデータDに署名してみ。
3 C=>S 署名した。どや。
4 S=>C 署名あってる。ログインさせたる。
こんな感じでしょ。

Sが乗っ取られてる場合にDは実は他のS'への認証情報だったりしない?
DにはセッションIDが入ってるけど、セッションIDの決定方法が良くわからない。

でも、ホスト鍵も盗まれてる状態だったら、S'へのログインを同時に
試みる事で、同一のセッションID生成できるよね。

>>639
公開鍵が盗まれると。他のサーバに対してその鍵が有効であるか確認できる。

>>642
「データDに署名」って
ttp://www14.plala.or.jp/campus-note/vine_linux/server_ssh/ssh_key.html
で言うとどこの話?

>>644
その解説はSSH2じゃない。下の方じゃSSH2で解説してるのに…
こういう古いゴミ情報をいつまでも公開すんなよ。

ssh1だけど、3で送るデータがSで生成したものではなく、S'から受け取った
ものだったらS'へログインできるようになるよね。

ssh2も似たような事が可能な気がする。

アウト

ああ、セッションID決定するのにSの公開鍵も使ってるのかも。
少なくともSSH1は禁止だね。

>>645
＞こういう古いゴミ情報をいつまでも公開すんなよ。
何年も前のスレが消えないUNIX板住人がそれを言う資格あるんだろうか

自分でいつでも消せる個人ページと
簡単には落とせない2chのスレでは話違うでしょ。

googleで1年以内の更新サイトのみ検索するようにしたほうが早い

古くても有用な情報はある。

sshがあったらVPNっていらないよね・・・

個人レベルの話だけど

用途によるね。

>>652
いちいちポート転送なんてやってられないよ
VPN 楽でいい

いちいち
って、繋ぐたびに毎回設定してるのか?
変わったやつだな

まずWindowsのリモートデスクトップに繋ぎます。

PermitEmptyPasswords って、鍵認証するならnoでも構わないんだな
パスワードなしにするのに必要かと思ってずっとyesにしてたわ

autosshさん便利すぎわらた

SSHによるポートフォワードを設定するんだけど
よく分かってない人に説明するときに面倒くさいから
VPNとか言っちゃっても うそにはならんよね？

第2層ができるわけじゃないから「ネットワーク」とは言いたくないな。
「簡易VPN」とか言っといた方がいいかもね。

あ、第3層と言うべきか。
IP通すわけじゃないよね。

ただ単にトンネルって言っても通じないものなの？

もう面倒くさいから トンネル で済ますわ

天井は落ちますか?

ふっ、ははははは！ 挟まっちまった！

その面はトンネルじゃないだろw

ポートフォワードの設定をしたんだけど、
これって同時接続最大数とか設定するところってある？

ない。

「そう思うんならお前がパッチ書け」で終了

それおもしろくないからやめた方がいいよ。

>>669
ありがとう。
同時に100本くらい接続する予定だったんだけど
大丈夫そうなので安心したわ。

なんだ、同時接続最大数を(1個とかに)制限したいんじゃなかったのか

100セッションをシングルスレッドで暗号処理するのはつらくないか?
通信量にもよるが。

同時に100本て何やる気だ
ほっといたら1000本10000本とか使いそうだなお前

100もセッション貼るアプリケーションって…
ネトゲか

>>675
1000本程度ならともかく、10000本はつらいよね

SSHで
リモートログインした先のシェルのカレントディレクトリのファイルを
接続元のローカルのプログラムで開くには、どういうやり方が良いのでしょう？


その逆は、割と楽なんだけど。
ssh ログイン先ホスト コマンド
例えば、Vimだったら、
vim scp://ユーザ名@ホスト名/ホームディレクトリからの相対パス
でもっと便利にファイルを編集できたりするのだけど。

参考: http://news.mynavi.jp/articles/2011/01/24/vim-using-ssh/index.html

普通にsshfsでも使えば？

>>678
え、逆も楽じゃないだろう

ssh リモートホスト -- リモートコマンド ローカルファイル

でないと比較にならない

普通に元のマシンにssh host command arg
って感じでいいんじゃないすか

>>681
それ「その逆」になってないしｗ リモートのviでリモートのファイル開くだけ。

セグメンテーション違反がソースではなく、SSH経由に問題にあって発生
している場合　どうしたら実行できますか

>>683
セグメンテーション違反がソースではなくSSH経由に問題にあって発生していることを、
どのようにして調べたのですか？

Ubuntu 質問スレから誘導されてきました。

Ubuntu Server 12.0.4.1 amd64 で自鯖を作っています。
このマシンに Internet 経由で LAN 外からアクセスしたいと思うのですが。
特定の MAC アドレスしか SSH でのリモートログインを受け付けないように
設定することって出来るんでしょうか？

>>685
MACアドレスは簡単に偽装可能ですよ。

偽装可能でもいいので、特定の MAC アドレスしか受け付けないように
設定することって出来るんでしょうか？

>>687
はい。できます。

SSHの設定っていうより、
iptablesで特定のMACアドレスからの特定ポートへのアクセスをドロップするとかでいいのかな

インターネット越しにMACアドレスかよ。
直近のルーターのMACアドレスが付いて中継されるだけだろｗ

http://engawa.2ch.net/test/read.cgi/linux/1353370139/737
737 ：login:Penguin：2012/12/22(土) 22:07:04.26 ID:jz2+65Mg
>>736
てか直前のルータのMACアドレスに書き換えられるから、
インターネットでのMACアドレス制限は無意味だよ。
LAN内ならともかく。

じゃあそのルーターのmacアドレスで制限すれば最強じゃね

ああ、LAN内までグローバルアドレスになってなってないと、たぶんダメだな

MACでの制限にどれほどの意味があるかは別として
ここまでまともな回答がないのがすごいな
unko@benki:~$ iptables -m mac （ｒｙ
で解決するじゃん
まぁ俺もまともには書かないわけだが

Internet経由でLAN外からか。サーバのあるLAN側だけじゃなくて、
発信する側の接続環境でもクライアントのMACアドレスはIPパケットからは落ちちゃうだろうなｗ
TCPパケットにはMACアドレスなんて保存されてないし、
可能性としてはSSHのレイヤーでMACアドレスを保存してたらできる？ｗ
でもそんなの保存してないよねｗ

>>695
お前さあ
別スレから粘着して同じようなことばっかり書いて他人を蔑む暇があったら
公開鍵使うとか代替案でも提供してやれば？
もちろん俺はやらないけど

ｗの人うざー

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

>>694

> unko@benki:~$ iptables -m mac （ｒｙ
> で解決するじゃん

え？…

>>699

>え？…

え？…

。とｗにはろくなのがいない
これ常識

アカウント名を00-11-22-33-44-55のようなMACアドレスにして
sshd_configに
DenyUsers 00-11-22-33-44-55 xx-xx-xx-xx-xx-xx ...

有効なMACアドレス用アカウントの鍵やパスワードが漏洩したら
無効なMACアドレスを持つクライアントからログインできるからダメだな

↑ネタにマジレス

質問者が偽装可能でもいいって言ってるんだから、ユーザー名を長くするって回答でいいだろ？

>>691の元の書き込み見る限り
＞ピンポイントで当たることなんか、物凄い低い確率だと思うんですが。
とか言ってるし、ユーザ名も長くすればピンポイントで当たることなんて物凄い低い確率だ

>>704
すまん>>702=>>703=>>706なんだわ

>>685
google≒okwave系 ＜＜＜＜＜越えられない壁＝得られない回答＜＜＜＜＜＜＜＜＜２ｃｈ

大切なことだからノートにメモしておけよ

ユーザ名を長くするくらいなら鍵長をでかくする方がましだろうと思うが、
そうではなくて質問主はクライアントデバイスを識別したいのだろう。
ユーザ名と鍵ファイルが盗まれてもデバイス固有の認証で防御したいのかと。

クライアントデバイスに隣接するブロードバンドルーターやアクセスポイントの
ファイアウォール設定ではじくしかないんじゃない？

もう質問者本人は見てないだろうから
。さん（＝ｗさん）も寝ればいいんじゃない？

L2、L3がごちゃ混ぜで笑った。

>>699
>>694って、どこのMACアドレス指定して制限かけるつもりなんだろうね

>>692で制限したら外からのアクセス全部制限するのと同じだから、
そんなのIPレベルでフィルタリングしろって話だ

まあ>>691の話が理解できていないバカなんだろうけど

偽装可能でいいなら、IPv6使うようにして、IPv6アドレスはNDPで生成させる
IPv6アドレスにMACアドレスが埋め込まれる(一部bit反転したり、fffeが入ったりするが)ので、
それを元にIPv6アドレスでフィルタリングするって手もあるかも
prefix部分がころころ変わるとめんどくさいかもしれないが

にゃるほど。
v6になればMACアドレスを元にベンダーを制限することができるかもね。

>>712
NDPを素直に使っている限りはね

http://takagi-hiromitsu.jp/diary/20080730.html
な話もあるし、IPv6アドレスを手動で振られたらダメなので、その辺は考慮する必要があるけど
ま、その辺のスキルがあるやつはMACアドレスの変え方くらい知ってるだろう

普通は、デフォルトでtemporary addressだから無理。

ICカード認証にすればカードそのものが盗まれない限り安心なんじゃないの？

挿しっぱにしとくとssh agent経由で不正に使われる可能性がある。

>まあ>>691の話が理解できていないバカなんだろうけど
だからネタにマジレスするお前のほうがバカだと何度言っ（ｒｙ

>>711 みたいな奴は技術畑に多い典型的な技術バカだね。
本当にアタマが悪い感じがする。ちょっと可哀想。というよりちょっと哀れ。

MACアドレスが使われる範囲が分かっていない人は、極一部だけと思われる。

>>718
知識をひけらかすために訊かれてもいないことを
自慢げに長文で垂れ流す奴って例外なくバカだよな
技術バカというよりただのバカ

覚えたての知識は誰かに自慢したくなるものさ
それが消防というものだ

何でこんな糞ネタに2,3日も置いてレスしてんだろう?w
冬休みが始まったからか

721 ：名無しさん＠お腹いっぱい。：2012/12/25(火) 07:46:32.55
722 ：名無しさん＠お腹いっぱい。：2012/12/27(木) 14:15:39.44

>>718
教えてもらえない自分が一番哀れなんじゃね？

最近ちらほら mosh の話題を見かけるので入れてみたらすごい便利
ノーパソ常用なので、ログインし直しがなくなっただけでも何か嬉しい
ここの人ならもう知ってるだろうけど
Mobile Shell - ttp://mosh.mit.edu

Emacs 使いの人には何が新しいのかよくわからない

Emacs使い…というほど使い込んではいないけど、見た感じでは
便利そうではあるかも。

動作にroot権限が必要ないのはとても良いけど、ルータのポートを
空けないといけないのでは、結局自分が管理するサーバ以外では
使えそうにないけど。

そういう意味では、ssh + screen + Emacsを完全に置き換えるのは
自分の場合は無理かな？

とりあえずSolarisで動くのかは知らんけど、後で試してみよう。

Emacs lispをシコシコ編集しなくても勝手に再接続してくれる。あと遠いホストでももたつかない。とか。

iOS用クライアント出たら導入検討するつもりだったのに結局出ないの？

とっくに出てるじゃない。

あ、ほんとだ、iSSHの有料オプションにMosh Compatibilityってあった。

認証や起動にsshを利用してるということは
少なくとも現状では完全な「置き換え」にはならんよな
併用だ

そのうち認証とかも自前でやるようになるのかな?
でもそれだと常駐しっぱなしか inetd とか使うことになっちゃうか

mobile のための ssh がコンセプトなので、置き換えという方向には行かないんじゃないかと思う

>>733
いや >>725の公式サイトに Mosh is a replacement for SSH.
と堂々と書いてあるんだよ

自前で認証やらずにsshを使ってるところが賢明なとこだと思うけど

>>734
おおっと、でっかく書いてあった。SSPしか見えてなかったですｗ

moshって、でかいテキストをcatしたら最後の部分しか送ってこなくね？
ローカルでスクロールバックしても前が見れなくて困った気がした

画面に表示するとこだけを転送するってプロトコルなんだから当然そうなるだろ
サーバ側でスクロールバックさせろよ

mosh-1.3からスクロールバックに対応するとか書いてあるな

　　　　　　☆ ﾁﾝ　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　　　　　　　　　　　　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　 　 　 ☆　ﾁﾝ　　〃　 ∧＿∧　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　　ヽ　＿＿_＼（＼・∀・）　＜　Mosh 1.3まだ〜？
　 　 　 　 　 　 ＼＿／⊂　⊂＿ )　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　 　 　 　 　 ／￣￣￣￣￣￣ ／|
　　　　　　　|￣￣￣￣￣￣￣|　 |
　　　　　　　|　　愛媛みかん　|／

windowsから接続するにはどうすればいいの？

PuTTY とか TeraTerm とかを使う。

>>741
mosh のことなら、Cygwin使うしか方法はないです。

ありがとうございます。試してみます。
開発用じゃないただの端末でもCygwin必須というのはちょっと敷居が上がりますね。

Windowsで動かしてみるかとちょっと覗いてみたらGPL V3なんで捨て。
リファレンス実装がGPL V3なんてありえねー。

>>745「改造してクローズドソースで売りたかったのに〜」

「リファレンス実装」の意味わかってんのかな。

リファレンスだから、GPLv3なんだろjk
まあそのうち、Theoが、OpenMoshを立ち上げてくれるだろうさｗ

>>748
非GPLで作るときに面倒くさいじゃん
せめてBSDにしてくれよ

リファレンス実装ってコードをパクってフォークする元、って意味じゃねーぞ。

>>750
まあ確かに>>749 みたいな発想の人間がプロプラには多いよな。TCP/IPネットワーク周りはほとんどBSDのコピーもんばっか。
バグまでコピーしてたな。

これってprotocol buffers使ったRPCで実装されてる。
.protoにはGPL表示が無いけど、トップディレクトリにあるから信用できない。
.protoに著作権主張するつもりだろうか。RMSは.hには権利があると言ってたよね。

>>752
逆。rmsはAPIに著作権はないといっている。.hも同じく。

>>749
その面倒くさいことをやってくれた人達に敬意を払えということだろう。
ソースを公開するのもめんどくさい、GPLのライセンスを守るのも嫌だという
ことであれば、多くの先人達がそうして来たように、自分で非GPLなコード
を書けばいいだけ。

>>753
じゃ、なんで.hにCopyleft書いてあるんだよ。

.h に著作権で保護されることと、 APIに著作権は及ばないことは別の問題。

日本国著作権法でプログラム言語の著作権は及ばなかったり、
アメリカのOracle対Google訴訟でOracleの主張が認められなくても、
gccやJDKには著作権で保護されるでしょ?

http://linux.slashdot.org/story/11/03/20/1529238/rms-on-header-files-and-derivative-works
これでも読めよ。

http://www.gnu.org/licenses/gpl-faq.ja.html#MereAggregation
> モジュールが同じ実行ファイルに含まれている場合、それらは言うまでもなく
> 一つのプログラムに結合されています。もしモジュールが共有アドレス空間で
> いっしょにリンクされて実行されるよう設計されているならば、それらが一つ
> のプログラムに結合されているのはほぼ間違いないでしょう。
APIでダイナミックライブラリで結合してもアウトって言ってるじゃん。

> 複雑な 内部データ構造を交換したりする場合は、それらも二つの部分がより大規模な
> プログラムに結合されていると考える基準となりうるでしょう。
データ構造にも権利を主張すると。

>758
>APIでダイナミックライブラリで結合してもアウトって言ってるじゃん。
System library に対する例外規定はあるけどな。
http://www.gnu.org/licenses/gpl-faq.html#WritingFSWithNFLibs

>データ構造にも権利を主張すると。
いやいやいやいや。
結合の判断基準に使っているだけだ。
仮に第3者(例えばさらに別のライブラリ)によって規定されたデータ構造をやりとりしていたとしても、
結合しているとみなされる訳で立場によってはより悪いとも言えるかもしれないが。

> System library に対する例外規定はあるけどな。
これ許さないとバイナリ配布が不可能だから、自分の都合で緩めてるだけでしょ。

http://www.gnu.org/licenses/gpl-faq.html#GPLAndPlugins
fork,execはOKだけどファンクションコール(API)はGPLが感染するというのがこれまでの主張。

include fileを使っただけで中身は自力で実装した場合の話を
してたんとちゃうの?

そりゃGPLedなライブラリまでリンクしたらアウトだろう。staticでも
sharedでも。

初心者質問
Linuxの/etc/sshディレクトリ内に、ssh_host_rsa_key ssh_host_rsa_key.pub
ってのがあるけど、これは何？
公開鍵なら、このパスフレーズは？

ホスト鍵。
ない。

記憶も無いのにパスフレーズ設定されてたらいきなり詰むだろ

だから、ホスト鍵はSSHの機能じゃなくてbashの機能でしょ。

そのネタつまんないからもういいよ。

>>765
どうしてそう思ったかkwsk

よそのスレのネタを持ち込んでいるアホなだけ
http://toro.2ch.net/test/read.cgi/unix/1352973453/171-176

>>768
そのネタなのは知ってるよ
どうしてそのネタを使おうと思ったかkwsk
と聞いたのだが

んなこと聞いてもしょうがない。

今時需要無いのは重々承知なんだけど
昔あったビデオ端末みたいなssh & Telnet接続専用機ってないのかな？
もし売ってるなら興味あるんだけど

X端末やダム端末のことかな
いまどき、単体の製品を探すのは難しいと思う
それに、telnet はいいとして、ssh って使えるのか疑問…
いわゆるシンクライアントの走りだよね

TCP/IPスタック必要だから、専用にするには結構大変そうな。
でもEFIからtelnetが使えるぐらいのはあった気がする。

>>771
なんでそんなものが欲しいの？

>>772,773
あってもtelnetですか
ssh使えるのはやっぱり無いっぽいですね・・・

>>774
古い機械に興味がありまして、同じような見た目と操作感で今でも使える物は無いかなと思った次第です
実用性云々より趣味ですかね

古い機械？
実在しないのに？

古い機械に興味あるなら
シリアル接続するやつとか調べた方がいいんじゃね。

WindowsのようなファットOSや
sun rayみたいなgui端末上のsshクライアントで置換できちゃうからね…
動作するモノを探すの自体大変そう
博物館級だよね

今時 iPhone でもsshログイン出来るからねぇ

先月 NCDのX端末処分しましたが

それは報告しなくてもいいです。

公開鍵認証に失敗する原因って、
ホームディレクトリと鍵のパーミッションと所有者以外に何が考えられますか？
ずっとハマってお手上げですorz

ログ読んでみたら。

>>783
/var/log/secureではパスワードで正常にログインできた
としか見当たりませんでした。

ssh -vvv server
〜略〜
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/server/user/.ssh/identity
debug3: no such identity: /home/server/user/.ssh/identity
debug1: Trying private key: /home/server/user/.ssh/id_rsa
debug3: no such identity: /home/server/user/.ssh/id_rsa
debug1: Trying private key: /home/server/user/.ssh/id_dsa
debug1: read PEM private key done: type DSA
debug3: sign_and_send_pubkey
debug2: we sent a publickey packet, wait for reply
debug3: Wrote 592 bytes for a total of 1717
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

すいません、助言をお願いします。

no such identityってかいてあるやん

>>785
それはssh1の名残だから関係ないよｗ

>>785
すみませんが詳しい方のみ回答をお願いします

>>782
ホームディレクトリそのものでなくても/から辿る途中でgroup writableをworld writableになってる
ホームディレクトリそのものでなくても/から辿る途中でownerが(root|自分)以外になってる
サーバー側のsshd_configでPubkeyAuthentication noになってる
authorized_keysのつもりで別のファイル名になってる
手元の私有鍵がweak keyでサーバーから拒否された(Debianの脆弱性のやつ)
ぐらい考えた。
とりあえず>>784のログは追わずに適当に詳しくない人が言ってるｗｗｗ

>>788
> ホームディレクトリそのものでなくても/から辿る途中でgroup writableをworld writableになってる
group writableかworld writableのtypoだ。すまんこ
あと念のため、/から~/.ssh/authorized_keysまで辿る途中が正しい(ホームより下も影響する)。

パーミッションやオーナー関係かどうかはsshd_configを一時的に
StrictModes noとしたら切り分けられると思うよ。
StrictModes noでログインできるようならパーミッションかオーナーで何かやらかしてる。

>>786
＞no such identity: /home/server/user/.ssh/id_rsa
sssh1の名残？

クライアント側のログだけじゃ分からないよ
別ポートでサーバをデバッグモードで起動するのが吉

/usr/sbin/sshd -ddd -p 999

ssh -vvv -p 999 server

> debug3: no such identity: /home/server/user/.ssh/id_rsa
これ、そんなファイルねーぞ。って意味だよ。
sshconnect2.cはその名の通りssh2の接続で使う関数を定義しているソースファイル。

sshconnect2.c:
static Key *
load_identity_file(char *filename)
{
...
if (stat(filename, &st) < 0) {
debug3("no such identity: %s", filename);
return NULL;
}

訂正
× これ、そんなファイルねーぞ。って意味だよ。
○ これ、そんなファイルstatできねーぞ。って意味だよ。

.ssh/にxビットが無い場合も同じエラー

>>792
だから、そのファイルは使ってないんだよ、この接続では。

その下で .ssh/id_dsa の方が使われてるだろ。
RSAじゃなくてDSAを使ってるの。

>>792 >>793
すみませんが詳しい方のみ回答をお願いします

>>795
消えろ、キチガイ荒らし

反応すんな。

反応遅くてすいません。

>>788
/までのパーミッション見てみましたが、
グループと他ユーザは書き込み不可でした．

/etc/ssh/sshd_configで関係ありそうな所はこうなってます
RSAAuthentication no
PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
PasswordAuthentication yes
StrictModes noでやってもログインできませんでした。

後だしになっちゃいましたが，
もうちょっと環境を詳しく書きます．
server1: NISサーバ、NFSサーバ
server2: NISクライアント、NFSクライアント

~/.ssh/にはid_dsaとauthorized_keysを置いて
server1と2間の移動は相互に公開鍵認証したいのですが、
server1から2は出来て2から1は出来ない状況です。
sshd_configはserver1と2で同じ内容で、
OSは両方ともRHEL6.4です。

>>791
デバッグモードで起動したら公開鍵認証が通りました！
でも通常モードだと相変わらずパスワードを要求されます。
念のためservice sshd restartしても駄目みたいです。

nfsでホームディレクトリ共有してるってこと?
authorized_keysはワールドリーダブルになってる?

>>799
その通りです。セキュリティ的にザルっぽいですが・・・
NISでpasswdとshadownとgroupも共有してます。
600だったので644に変更しましたが、効果なしでしたorz

nfsでrootのファイルアクセスがnobodyになってたらディレクトリも
otherにx(実行)権限ないとダメだよ。

デバッグモードなら通るというのが解せぬ

>>771

>>771
Raspberry Piと家庭用のテレビで実装できる

>>801
やってみましたが・・・(´・ω:;.:...
StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
ここまでできないと、変なトコでトンチンカンな設定してそうな気がしてます。

誰かが高速に書き足している最中の巨大なファイルを
scpで読み出すことは可能かな
そのとき取得できるファイルのサイズはいつのだろうか

>>806
可能。読み出した瞬間のファイルサイズ。

>>805
> StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
authorized_keysはrootが読むから、nfsならnobodyが読めないとダメ。という意味だけど違うのか。

もしかしてデバッグモードの起動はrootじゃなくて一般ユーザでやってるのか？
ちゃんと起動するのかわからんが。

>>808
「StrictModes noでログインできるならパーミッションかオーナーでやらかしてる」とは書いたが、
「StrictModes noでもコケるならパーミッションもオーナーは正しい」とは書いてないぞ。

とりあえずrootでcat ~誰か/.ssh/authorized_keysはできんの？

>>808
エスパーしてみると、SE Linuxは有効？
もし有効なら、無効にしてみるとどう？
ttp://bugs.centos.org/view.php?id=4959

>>808
authorized_keysってroot権限で読んでるんですね。
知らなかった・・・

>>809
1でのデバッグモードの起動はrootでやりました。
2から1へ接続したのは一般ユーザです。

>>811
認証通ったｷﾀ*･゜ﾟ･*:.｡..｡.:*･゜(ﾟ∀ﾟ)ﾟ･*:.｡. .｡.:*･゜ﾟ･*!!!!
ありがとうございます！
皆さん長時間お付き合いいただきありがとうございました！

とりあえずSELinuxが原因なのはわかりましたが、
切っとくのよくないですよね。
設定煮詰めないとなぁ

エスパー現る

>>812
乙、どういたしまして。
RHEL6系はSE Linuxがデフォルト有効なのはトラブルの元でしかないような気がする。
インストール直後にまず無効にしてしまうなあ。

>>785 >>792 >>793
すみませんが詳しくない方の誤回答を晒しておきますｗ

なんでこのスレにキチガイが常駐しているんだろ?

ここだけじゃないよ。
こいつあちこちで書いてる。

多分自閉症
気にいると永遠に繰り返す。

うーん、質問者は no such identity: の意味なんて当然知ってるし、
そこは問題ないことも当然知ってるし、
見当違いな低レベル回答は荒しと同レベルだなぁ。

今時dsaなんて使ってると思わなかったのさ。
ゴミで残ってるテスト用につくったid_dsaを使って認証に失敗してると。

sshdの設定方法をググると、
ChallengeResponseAuthentication no
にしているのしか見当たらないんだが
この認証の利用方法が書いてあるWebページを知りませんか。

>>821
sshdではなくてPAMの使い方を調べてみれば？

つ「すみませんが詳しい方のみ回答をお願いします」

google authenticatorで2段階認証する時に使ってるから、
これで検索すれば沢山あるはず

http://www.mindtwist.de/main/linux/5-linux-security/6-how-to-use-one-time-ssh-passwords-on-debianubuntu.html

sshd_configのPortの設定は複数可能とのことですが、
例えばあるPortを特定のIPアドレスからのみログイン可能とすることは出来るでしょうか？

例えば、
Port 42000 # どのアドレスからもログイン可
Port 22 # あるIPからのみログイン可

具体的には大学から自鯖にアクセスしたいのですが、セキュリティのため、
一般のポートに対してアクセスができない制限がかかっています。
そのため22番を開けたいのですが、その代わりIPを大学のみに制限したいのです。

IPってゆーな

「IPからのみログイン可」以外の方は、
NetBEUIとかAppleTalkとかからログイン可って意味なんだろ、きっと

>>826
他の機能と組み合わせるほうがいいと思います。
Linuxならiptablesとか。

すみませんが詳しい方のみ回答をお願いします

http://attrip.jp/wp-content/uploads/2013/03/19602036.jpg

>>826
http://cr.yp.to/ucspi-tcp/tcprules.html
http://cr.yp.to/ucspi-tcp/tcpserver.html
http://cr.yp.to/daemontools.html
この辺使えれば簡単だ

sshdをinetdとかtcpserverから立ち上げる奴なんて20世紀で滅んだはずなのに…

listenするport番号が違うんだから、
それぞれ別の設定ファイルを用意してプロセス2つ起動するのがいちばん簡単。
hosts.allowでアクセス制限しようとすると共通になっちゃうので
sshd_config自体で制限する必要があるけど。

つーか、公開鍵認証以外を拒否するようにしておけば、
port 22だけで何も問題ないと思うんだけど、それで侵入された例ってあるのかね？
昔debianがやらかした弱い鍵を放置しておいたとかいうなら話は別だけど。

みなさまありがとうございます。

確かにsshd_configでやる必要はないので、
iptables（というかufw）で設定してみます。

sftpのchrootについてなのですが
確かにログインした直後、指定したディレクトリがルートの様に見えて
それ以上、上に行けない事は確認したのですが
ログイン直後のディレクトリにファイルの書き込みが出来ません。
所有者がrootでないといけないとの事で
ググると別のディレクトリを作ろう　と書いてあるページが数多くヒットするのですが
sftpでログインする、ログイン直後のディレクトリより上に行けない、ログイン直後のディレクトリの中身は空っぽ、ログイン直後のディレクトリにファイルの読み書きが出来る
設定はどの様にすればよいのでしょうか

sftpっていうかパーミションの話じゃないの？

すみませんが詳しい方のみ回答をお願いします

ぶき　ぼうぐは　そうびをして　みに　つけるように！　もってるだけでは　だめですぞ！

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃→E すみませんがくわしいかたのみかいとうをおねがいします┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

ドシロートが、誰が詳しくて誰が詳しくないのか、わかるのか？

馬鹿っぽいのは文体でわかるよ

まず服を脱ぎます

失礼但我要求只専門的人間回答

Я хотел бы сказать, что я сожалею только для человека, который является более

格安SIMの100kbpsのものを挿入したスマートフォンからテザリングにて作業しております。
スマートフォンでGmailの確認やTwitterなど、ちょっとしたWebサイトを見るのであればこの速度で十分と感じております。

この速度でもsshにてVPSに接続して作業できるかと思っていたのですが、速度が頭打ちになっているのかターミナルに文字を入力したものが実際に表示されるのも少々遅延してしまいます。
SSHは100kbps以上の通信を行なっているのでしょうか？

リモートファイルの編集作業などはEmacsのTrampを使うなどで対策が行えるのですが、ターミナルでのコマンド操作でも快適に出来る方法はありませんでしょうか?
moshというものを試してみたのですが同様の遅延がありました。

そいいうネタはいいです

>>846
bpsとかの速度の問題ではなくて、pingの問題ですね

コピペ改変に構うな

すみません。ネタではなく本当に疑問に思っておりました。
あまりに私の知識が足りていないようで申し訳ありません。

>>848
pingの問題とはどのようなものになるでしょうか?少々調べてみたのですが、記事を見つけることができませんでした。
通信速度の問題で無いという事は、テザリングや携帯電話網通信の問題という事でしょうか?

あまりにもレベルが低い内容のようですが、どうかご説明いただけると助かります。

自分で「遅延」って書いてるじゃん．
それだけのことですがな

ちなみに「通信速度」って遅延とは(関係はするけど)一応別ですよ?
どういう意味で使っているか知りませんが

ありがとうございます。

どうしても理解が出来ず、私なりに考えた憶測になるのですが、通信速度の問題でなく遅延の問題ということは、
ノートPCからWiFiでスマートフォン、スマートフォンからテザリングでDoCoMo、DoCoMo回線からインターネット、インターネットからVPS
と、この4段階で各々の回線間に遅延が出ているということで宜しいでしょうか？
公共無線LANで遅延が出ないということは、DoCoMoからインターネットに大きく遅延があるということでしょうか？

この場合、外からSSHで操作をしたい場合は高速契約のSIMを使ってテザリングをしても同様になりそうなのですが、皆様はどのように外で作業されておりますでしょうか？
WiMAXで解決できるのであれば契約を変えようと思っているのですが、遅延がでない（少ない）方法があればお教えいただければと思います。

また、コマンド入力のレスポンスが送れるのは特に気にならないのですが、コマンドを入力際に一文字づつの入力に遅延があることのみ気になります。
ローカルでコマンド入力をバッファリングし、エンターを押した際にリモートに送ることで解決でそうなのですが、そのような方法はありませんでしょうか？

どうも私の知識が足りず、質問ばかりになりましたがどうかよろしくお願いいたします。

IIJmioのSIM出た時、イオンSIMから乗り換えたら格段にレスポンス改善したな
>>852
なので遅延は回線次第だよ。気になるならMosh使えば？

衛星回線とか遅延が大きいよね。どんなに高速でも。

光の速さは超えられないからな
静止軌道だと最低でも往復で200ms以上の遅延があるし

3.6万/30万=0.12
0.12*2 = 0.24
240ms遅延だな。

ありがとうございます
私の理解が概ねあっていたようで、ヒントを下さった皆様有難うございました

>>853
契約によっても変わるようですね。自宅の回線を含めてWiMAXへの移行を考えていたため、WiMAXの遅延も考えて移行しなけれればならないと参考になりました。
ありがとうございました。
moshは、>>846に書かせていただいたとおり私の環境では改善はありませんでした。
設定などがあるのかしらべてみます。

>>857
moshはこっちにレスポンス来る前に推測で文字表示してるから早く感じるだけ
とかそんなんだったような
その部分は下線付きで表示されるから慣れないと気持ち悪い

いわゆるローカルエコー的なものだよね。

mosh [email protected] で以下のエラーが出る。

zsh: No such file or directory
ssh_exchange_identification: Connection closed by remote host
/usr/local/bin/mosh: Did not find remote IP address (is SSH ProxyCommand disabled?).

原因わかります？

書いてあるとおりじゃね?

>>860
ログインシェルに問題があると見せかけて、実はIP絞ってましたという釣りですね。
そうでないのなら文面通りzshを探す（多分あるけど）
多分、ログインシェルとして認められてないとかじゃない？（設定時に気づくから違うかも）

>>862
ちな環境はMacだよ。
ログインシェルは変えてないからbashなはず。

>>863
sshではhogehoge.comにはつながるの？

>>864
もちろん！

あ、それから、hogehoge.comでmosh_serverを起動して、クライアントからkeyみたいなの使ってmosh_clientでつなぐとつながるよ
クライアントもサーバも両方Macね

実在ドメイン勝手に使うな

hogehoge.comの中の人なんでしょ？

>>866
moshスクリプトの247行目付近にexec sshをやっているところがあるのでそこをprintにして実行して、
実行可能なパラメータになっているか確認してください。
そのパラメータに問題があると思われるので、いろいろ変更してあたりをつけてみてはどうでしょうか。

>>867
ごめん。調べてから書くべきやったね。申し訳ない

某所を荒らしているhoge厨を召喚しようか?

>>869
printにしたけどよくわからんかった…使ってるのがzshやからダメなんかな？
bashからやったら成功したよ。
エスケープの違い？

>>872
クライアント側のシェル変えたらうまくいったって話？
とりあえずおめ

1) 1つのIPからport forwardして複数の仮想化したOSにつないでるんだけど
sshのfingerprintをhost:portで1つのOSとして管理する方法はありませんかね

2) mosh(クライアント)をwindowsから使うには仮想化使って*BSDやLinuxを動かすしかないですか？

ヒントになりそうなURLとかあったらください

IPってゆうな。クズ

意外と簡単に自己解決したｗ
レスthx

>>875
どうやって解決したの？

IP イップ
OS オッス
SSH スッシュ

debian wheezy 上の OpenSSH 6.0p1 へのログイン時に、5秒くらいのポーズが入ってしまう現象が起こっている。
自宅のクライアントからのアクセス時のみであるので、debian 上に DNS を立ててクライアントマシンのアドレスを
逆引きできるようにしたら解消した。

/etc/ssh/sshd_config に UseDNS no を記述しても解消はしなかった。

ログイン時のアドレス逆引き自体をさせなくして、クライアントマシンを DHCP 運用に戻したいのだが、
解決方法はないものだろうか。
お知恵をお借りしたい。

詳しい環境は以下の通り。
[サーバ]
OS: debian wheezy
SSH: OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.1e 11 Feb 2013
IPアドレス: ホームゲートウェイから全ポートを転送するプライベートIPアドレス
(特に設定変更した項目)
・ポートを標準から変更
・Protocol 2
・MaxStartups 2:90:4
・PermitRootLogin no
・RSAAuthentication no
・ChallengeResponseAuthentication no
・PasswordAuthentication no
・UsePAM no
・UseDNS no

[クライアント]
OS: Windows
クライアントアプリ: putty 0.60 または OpenSSH 6.1p1, OpenSSL 1.0.1c 10 May 2012
IPアドレス: サーバと同セグのIPアドレス

開始からポーズを挟んでしばらくのsshdのデバッグログはこんな感じ

Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: fd 5 is not O_NONBLOCK
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug1: Forked child 14430.
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: send_rexec_state: entering fd = 8 config len 747
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: ssh_msg_send: type 0
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: send_rexec_state: done
Oct 25 00:52:57 HOSTNAME sshd[14430]: debug3: oom_adjust_restore
Oct 25 00:52:57 HOSTNAME sshd[14430]: Set /proc/self/oom_score_adj to 0
Oct 25 00:52:57 HOSTNAME sshd[14430]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
Oct 25 00:52:57 HOSTNAME sshd[14430]: debug1: inetd sockets after dupping: 3, 3
Oct 25 00:53:02 HOSTNAME sshd[14430]: Connection from 192.168.100.33 port 56287
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: Client protocol version 2.0; client software version PuTTY_Release_0.60
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: no match: PuTTY_Release_0.60
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: Enabling compatibility mode for protocol 2.0
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: Local version string SSH-2.0-OpenSSH_6.0p1 Debian-4
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug2: fd 3 setting O_NONBLOCK
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug2: Network child is on pid 14432
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug3: preauth child monitor started
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug3: privsep user:group 113:65534 [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: permanently_set_uid: 113/65534 [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: list_hostkey_types: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256 [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: SSH2_MSG_KEXINIT sent [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: SSH2_MSG_KEXINIT received [preauth]
...

クライアントはこんな感じ。
何か手掛かりがあれば良いのですが…

# ssh -vvv [email protected] -p 13422
OpenSSH_6.1p1, OpenSSL 1.0.1c 10 May 2012
debug2: ssh_connect: needpriv 0
debug1: Connecting to HOSTNAME.FQDN [192.168.100.90] port 13422.
debug1: Connection established.
debug1: identity file /home/.ssh/id_rsa type -1
debug1: identity file /home/.ssh/id_rsa-cert type -1
debug1: identity file /home/.ssh/id_dsa type -1
debug1: identity file /home/.ssh/id_dsa-cert type -1
debug1: identity file /home/.ssh/id_ecdsa type -1
debug1: identity file /home/.ssh/id_ecdsa-cert type -1

(ここで5秒ポーズ)

debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-4
debug1: match: OpenSSH_6.0p1 Debian-4 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1
debug2: fd 3 setting O_NONBLOCK
debug3: put_host_port: [HOSTNAME.FQDN]:13422
debug3: load_hostkeys: loading entries for host "[HOSTNAME.FQDN]:13422" from file "/home/.ssh/known_hosts"
debug3: load_hostkeys: found key type ECDSA in file /home/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys
debug3: order_hostkeyalgs: prefer hostkeyalgs: [email protected],[email protected],[email protected],ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
...

>>878
泥縄っぽいけどdnsmasqとかのHost NameオプションをあつかえるDHCPサーバを使うというのは？

逆引きとDHCPは関係ない。
ローカルなDNSを立てたくないというならDHCPで振り出すアドレス範囲が
逆引き出来るように/etc/hostsにアドレス範囲を全部追加しとけばいい。

逆引きしてるのは sshd じゃなくて hosts.allow。

ありがとう。
やっぱ、逆引きを正常にさせるのが良いのかな。

後出しですまないけれど、
/etc/hosts に追記してもうまくいかなかったので、逆引きチェックを止めるのを目指していた。
冷静になってみると networking の restart をサボってたかも。

>>882
nttのhgwについてるDHCPでは無理っぽい機能ですね。
興味はあるけど、この問題だけなら mac アドレス決めうちで固定のIPアドレスを払い出すのでも
解決できそうなので、今のところはパスします。

>>883
/etc/hosts で試してうまく行けば、そうしてみます。

お二人ともありがとう。

自由にならないDHCPサーバーを渡り歩いているオレは無料ddnsに「ローカルアドレス」を登録するという荒業に出た。

>>884
あれ、そうなの？
hosts.deny で 全拒否後、hosts.allow では同セグと、特定のアドレスのみ許可している。
アドレスと IP の対応は書かないから、関係ないと思ってた。

笑ったw
でもプライベートアドレスだからなー

仕事戻ります。また結果出たら報告します。
でわ。

ああ、逆引きか。無料ddnsは役に立たないね。忘れて。

>>887
多分sshd以外にも逆引きするものが入ってるよね。

素直にDNSキャッシュサーバーと逆引きウォールを入れるのが吉

逆引きウォールって言うのか。

http://cr.yp.to/djbdns/wall.html

https://code.google.com/p/google-dnswall/

など

sshd -u0

>>887
アドレスと IP の対応て何？

>>884,894
ぁ、hosts.allow が逆引きしてるなんて想像してなかった。

UNKNOWN とか PARANOID とかで許可/拒否を振り分けられるんだ。
勉強になった。

「アドレスと IP の対応」って結局何だったんだ。

fqdnとipアドレスの対応の書き間違えだった

改めて自鯖で試してみた。

・/etc/hosts にクライアントのIPアドレスとホスト名の対応を記載し
　networking restart することで、DNS を止めてもポーズは解消
・/etc/default/ssh に -u0 を記載しても、残念ながら効果なし

-u0 は知らなかったので sshd の man 見て、DNS が有効になる他の
設定とかを把握した。
それらが有効になってないことも確認したが、UseDNS no も -u0 も
今回のポーズ解消には効果がなかった。

DNS はあまり運用したくない＆ DHCP で IPアドレスを配りたいので、
・特定MAC宛てに固定のIPアドレスを払出すよう設定
・サーバの /etc/hosts にその固定のIPアドレスとホスト名を設定
とすることにした。

レスくれた皆、ありがとう。

> ・サーバの /etc/hosts にその固定のIPアドレスとホスト名を設定
これで出来てるじゃん。/etc/hostsに書けってそういう事だよ。
DHCPが振り出すアドレス範囲はどんなヘッポコASDLルータでも指定可能なので、
hostsにその範囲のアドレス/ホスト名を全部するだけ

仮想化でOSのイメージを複製して別ホストとして運用する場合、
複製したSSHサーバホスト鍵で運用しちゃまずいよね？
VPSホスティングで
別の契約者に同じSSHホスト鍵を与えているケースがあるみたい。

https://sect.iij.ad.jp/d/2012/08/109998.html
↑と似た話だけど、組み込み機器というわけではないし、
乱数発生器の不良ということでもなく、
仮想化でそういうミスはよくあることなのかな。

VPSなんて使う時は普通自分のほうでも鍵の再生成するでしょ

「SSH 再生成」でググったページをペタリ
ttp://doruby.kbmj.com/totoro_blog/20130624/vps_ssh_

>>901 サンクス。認識している人がいて安心した。
確かに借りた方で鍵を再生成するだけで済む話なんだけど、
サーバが身元を証明するデータを共有しちゃいけないことを
認識していないプロバイダというのは、その程度のものなんだろう。
「初回接続時に警告が出るので[OK]を押しましょう」みたいな解説がはびこったせいで、
ホスト鍵検証の意義や必要性を理解できてない業者さんもいるんだろうな。

経路の暗号化のための機能、という認識しかないのであろう。
提供する側も使う側もｗ だからNSCがほくほくな訳で。

イメージ複製で鍵がコピーされないって
それはそれで問題あるよ

そこの業者がその仮想化プラットフォームに慣れてないってことはわかるかもね
普通に考えれば鍵生成前(もしくはインストール後に鍵削除して)スナップショット取って
コピー元のイメージにして、デプロイする時にIPアドレス振る流れで鍵生成がいいだろうけど
それが出来ない程度にそのプラットフォームに慣れてないってことじゃね？

他人が作った鍵なんか使わないだろ、普通。

鍵生成時のコマンドラインが業者から知らされてて、それが適切であればいいと思うけど？
それともパスフレーズの変え方がわからないとかそういうお話？

>>907
> 「初回接続時に警告が出るので[OK]を押しましょう」みたいな解説がはびこったせいで、
これが何でダメだと言われたのか意味わかってる?

わからん

じゃ、混乱の元だからこの話題には参加しないで。

OTP どう？使ってる？

使ってない。

OpenSSH の証明書どう？使ってる？
生の鍵ペアよりも便利なこと・不便なことがあったら教えなさい。

OpenSSH クライアントの便利機能に
「接続の共有」(ControlPath とかで設定するやつ) があるけど
これが Cygwin で使えなくておじさん心底ガッカリした。
しかし Unix ソケットの fd 渡しってこんなところで使われるんだな。

ssh のできそうでできないこと。3 番以上のファイルディスクリプタの接続。
$ ssh example.com 'echo ONE ; echo THREE >&3 ; echo FOUR >&4' 1> 1.out 3> 3.out 4> 4.out
sh: 3: Bad file descriptor
sh: 4: Bad file descriptor
1 回の SSH 接続で複数コマンド出力を別々に取り出したいのだけどできない。
(少なくとも Linux の) su は同様のことができて便利なんだけど。

冬休みにエスエスエツチを始めたいのですがどのアプリを入れればいいのかいつぱいあつてわかりません。オーエスはアンドロイドです。よろしく教えてください。

>>915
RFC4254のSSH_MSG_CHANNEL_EXTENDED_DATAが
SSH_EXTENDED_DATA_STDERRしか定義されてないんだよな

意味も分からず2>&1とかしてたけど、そういうことだったのね。
勉強になります。

.ssh/configで
Host *
User spam
Host eggs
User sausage
みたいな設定をしているのに、eggs宛のssh(ssh eggs)でspamとしてログインしてしまいます。
原因とかありますか？

そいいうネタはいいです

>>919
上から順にマッチさせるので
Host * は最後に書く。

ポートフォワード専用に ForceCommand /bin/true してあるアカウントにTeraTermでログインする場合、
PuTTYで言うところの「シェルやコマンドを開始しない」に相当するオプションは
どうやって設定すればいいのでしょうか？

>>922
最近Windows使ってないのでうろ覚えだけどポート転送のメニューがあった気がするよ

そのアカウントはポートフォワード専用アカウントなのでシェルを使えないように設定してあります。
openssh の sshコマンドで -N に相当する(と思う)オプションです。
設定→SSH転送のメニューはあるのですが、その周辺には見当たりませんでした。

>922
別ソフトだけど putty だと 接続->SSH の項目に
shell等を開始しない(N)ってのがあるようです

>>925
>>922 はそれを当然知ってて質問してるだろｗ

所謂HeartBleed問題ってOpenSSHには関係ないのでしょうか
関係ないと思っていたのですがWinSCPやFFFTPなどがHeartbleed問題への対策をしたとか見かけたので不安になってきました

>>927
関係ない。
http://undeadly.org/cgi?action=article&sid=20140408063423
OpenSSH作者のTheo自らの発言。
SSLセッションの問題なので、プロトコル自体別なsshは関係ない。

>>927
今見てみたらwinscpもffftpも、ftpsとかftp over sslで使ってるからじゃないかな。opensshのsftpとは別。

落ち着いて読めば気づくだろうにな

ftpsとか使っている奴いるの？

>>931
いるよ

質問です。
FTP に proftpd 使ってるんですけど、
普段は、/etc/proftpd.conf で
Deny all
してるのを、使う時だけ
# Deny all
してるわけです。
これをいちいちSSHでサーバに接続して編集とかしないで、
$ ssh -t -p 22 server comand
みたいに一発でできないですかね？

できるよ。

その運用方針はともかく
ssh server command
は普通ならできるんじゃないですかね。

ssh できる環境なら
わざわざ FTP 使わずとも scp でいいんじゃね。

>>935
なので、その具体的な command が知りたいわけですよ

>>936
特定の下位ディレクトリとか特定のファイルだけ"目視"で除くとか、
同名ファイルの存在時にどうするか、"都度都度変わる"とか、
いろんな場合でやっぱりFTPクライアントは scp より便利なので。
何にも考えなくて一括してアップロードするときなんかは scp で、
定時バックアップは rsync+ssh でやってるんですけどね

>>937
なんたるゴウランガ！

Deny all
と
# Deny all
の二つのproftpd.confを作っておいて
コピるなり、リンクするなり。

いや、もうSFTPで。

>>939
頭いいなぁ！
なるほど
ssh -t server 'sudo cp /etc/proftpd.desabled /etc/proftpd.conf'
と
ssh -t server 'sudo cp /etc/proftpd.enabled /etc/proftpd.conf'
を用意しとけばいいんだ！
君って、天才？

>>939
上手くいったでござる m(__)m
なんでSFTP使わないかって言うと、
たまに一般ユーザーにFTP開放しなくちゃいけないんだけど、
それだけのためにアカウント作りたくないし、
で、パスワードログインは当然無効にしてあるから。
で、使う時だけ俺がSSHでサーバにログインしてFTP開放してたんですよ
これで、コマンド行から一発だわ(笑)

一般ユーザーに sftp 使わせれば良いのに・・
WinSCPあたりのクライアントならマウスぽちぽちの人でも使えるだべ

>>940
lnで切り替える方が一般的だと思うが。
alternativesとかそのまま使えそうな気も。
それより、サービス自体止めちゃった方が。
そもそもrsyncでいい。

>>940
× desabled
○ disabled

コピーした後 proftpd をrestartする必要があるのでは

>>944
restartしなくても大丈夫

はいはい、HUPね。アスペかよｗ

スーパーデーモン使ってたりして。

>>946
いやいや、
standalone だったらダメだけど、xinetd.d経由だったら大丈夫だろ

933 読めば、書いてなくてもxinetd.d経由で使ってるなって分かるわな

>>949
なんでわかるの?
書いてないことはやってないなんて決め付けなら危険かも。

FTPユーザーが使うときだけ設定を変更するなら、
使うときだけFTPサーバーを立ち上げればいいんじゃないか？

>>942
うちは一般ユーザーにsftpを使ってもらってる。
初めての人にはWinSCPでの使い方を説明してる。
が、「puttygenで作った鍵ファイルがどこに保存されたか分からない」という問い合わせがちょいちょいある。

>>950
アスペかよ？

>>951
だからスタンドアロンじゃないっての分かるだろ？

>>948-949
なんで、「x」inetd経由だってわかるの？
inetd経由かも知れないのにそうじゃないって断定できる根拠は？

>>954
だからスタンドアロンにすれば、っていう提案。

>>953
わからないので教えて下さい。お願いします。

>>949
>>933 に書いてあるのは

・普段は Deny all の設定にしてある
・ftpを使う必要のあるときだけ sshで入ってこの行をコメントアウト

この二点だけだよね。
この二点のどこから「xinetd.d経由」と判断出来るの?
マジで分からんので是非教えてくれ。

「xinetd.d経由」じゃなくて、inetd xinetdなどのスーパーデーモン経由と判断できる。

もう勘弁してやれ。

>>958
アスペかよ(笑)
1. confファイルを書き換えるだけで制御してるって訳だからデーモンではない
2. 最近の(随分前から？)ディストリじゃ、xinetd が標準 (よりセキュアだから)
そんだけのことだろ？
アスペ君(笑)

>>961
1. >>950
2. 個別の話をしているんだから、最近とか多いとか関係ない。

勘で言っておいて、それ以外をアスペって。

>>962
そういう痛い人なんだから、もう勘弁してあげなさいよ。

いまどき、あえて inetd とか使う意味あるの？
こんなとこで「なんで分かる」とか言い出したらキリがないが、やっぱ、そいつが書いてるみたいに普通に xinetd って発想になるだろ？

inetd にせよ xinetd にせよ
スーパーデーモン経由で sshd 使う意味ってあんのかな。

>>965
スーパーデーモン経由なのはproftpdだよ。
proftpd.confをsshで書き換えたあとproftpdのリスタートは必要ないのか？
→ xinetd経由だから必要ない
というのが話の発端

蒸し返すのもあれですが
「スーパーデーモン経由かどうか」
「xinetd なのか inetd なのか」
という２つの話題が入り混じっているので話がまとまりにくいですね。
わざと混乱させてるんだとしたら、たちが悪いと思いますが。

>>966
あぁ、そうだった。すまん。

これはあれだな
「スーパーデーモン経由で云々」
って書けば済んだものを
「xinetd経由で云々」
って書いたばっかりに
「inetd の可能性もあるだろ？」
とか突っこまれてしまった…
スーパーデーモンって書いても普通は誰でも xinetd 使ってるって思う訳だが

>>969
>スーパーデーモンって書いても普通は誰でも xinetd 使ってるって思う訳だが
いや、俺は今でも設定ファイルが簡単なinetdが好きで使ってるよ

もうこの話終わりでよくね。

>>969
>>947

もう終わりにしましょう。

>>974
このスレを?
それとも，UNIX板のSSHスレそのものを?
それとも・・・・UN・・・おや，誰か来たようだ．

kill -KILL $$

GWにシェルを始めようと思ってます。
cshは古い、bshは当たり前？ じゃあashか？ ashより優れた sshにするか？

コンサートだとA席よりS席の方が上ですよね？

そういうネタはいいです。

SSHがなかったら遠隔サーバの管理とかできなかったよね？
いまだに代替手段がないもんね。
SSH様様だわ

電話回線経由のシリアルポートっていうのもあるんやで

>>978
rshとかtelnetとかあったやん。

>>979
だからそれは非常時のね
普段そんなことしてる人はいないでしょ？
特殊な場合以外は

>>980
セキュアに使えたらいいんだよ、
SSHと同様以上に

後から条件増やされてもな。

VNCとかRDPとかもあるしiLOみたいなのもあるし。
とか言うと「テキストベースじゃないと」とか言いだすんだろうな。

いや、現実的な意味でSSHに取って代わるものはないよね？って話ですわ