SSH その3
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html
0002名無しさん@お腹いっぱい。
NGNGQ.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
0003名無しさん@お腹いっぱい。
NGNGなかなか、根のアカウントを取得できませんで困ってます。
誰か助けてください。
0004名無しさん@お腹いっぱい。
NGNG本家SSH: http://www.ssh.com/
(日本語) http://www.ipsec.co.jp/
OpenSSH: http://www.openssh.com/ja/
OpenSSH情報: http://www.unixuser.org/~haruyama/security/openssh/
OpenSSHマニュアル: http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO: http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/
(PuTTY日本語版): http://hp.vector.co.jp/authors/VA024651/
(PuTTYスレ): http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
TTSSH: http://www.zip.com.au/~roca/ttssh.html
(TTSSH日本語版): http://www.sakurachan.org/soft/teraterm-j/ttssh/
MacSSH: http://www.macssh.com/
WideのSSH解説: http://www.soi.wide.ad.jp/class/20000009/slides/12/
IETF secsh protocol: http://www.ietf.org/html.charters/secsh-charter.html
PortForwarder: http://www.fuji-climb.org/pf/JP/
VNC on SSH: http://www.uk.research.att.com/vnc/sshvnc.html
Tramp: http://www.nongnu.org/tramp/tramp_ja.html
おまけ・Theoのキチガイぶり: http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
0005名無しさん@お腹いっぱい。
NGNG0006あぼーん
NGNG0007名無しさん@お腹いっぱい。
NGNG0008春山征吾 ◆unIxUSernc
NGNGhttp://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
に置きました。(まだdat落ちしてませんが)
0009名無しさん@お腹いっぱい。
NGNG管理者にお願い汁
0010名無しさん@お腹いっぱい。
NGNGssh -L ローカルフォワードはリモートマシン→ローカルマシン。
ssh -R リモートフォワードはローカルマシン→リモートマシン。と言う考え方であってますか?
最近使い始めてポートフォワードも使ってるんですが、きちんと理解しきってません。
ssh関連のhpやらmanも見たんですが、いちいちそこまで説明してくれませんでした。
sshはOpenssh On Cygwin 3.6.1p1。クライアントにPuttyを使ってTightVNCでリモートしてます。
もう一つ、ローカルマシン=sshdの動いてるマシン。リモートマシン=クライアントマシン
てのもあってますかね?
マブいトンネルビルダーになりたいです。皆さんの知恵をお借りしてその一歩を踏み出させてください。
001110
NGNG0012名無しさん@お腹いっぱい。
NGNG> ssh -L ローカルフォワードはリモートマシン→ローカルマシン。
> ssh -R リモートフォワードはローカルマシン→リモートマシン。と言う考え方であってますか?
これじゃどういう考え方かわからんよ。
0013名無しさん@お腹いっぱい。
NGNG> もう一つ、ローカルマシン=sshdの動いてるマシン。リモートマシン=クライアントマシン
逆。
001410
NGNGご教授ありがとうございます。
10の質問ですが、ssh -Lとssh -Rの違いが良くわかってなくて
たとえば、ローカルマシン(仮にhostA)のVNCクライアントからリモートマシン(仮にhostB)のVNCサーバにフォワードする場合、
ssh -L 5900:hostB:5900 hostB -l usernameですよね?
これが逆にリモートマシンのVNCクライアントからローカルマシンのVNCサーバにフォワードするなら
ssh -R〜になるんですか?それともssh -L 5900:hostA:5900 hostAすか?
どうにも職業はわからない言い訳にはなりませんが、鳶にもわかるように教えてください。
0015名無しさん@お腹いっぱい。
NGNG(hostL, portL) ==> hostR --> (hostO, portO)
hostL% ssh -R portR:hostO:portO hostR
(hostR, portR) ==> hostL --> (hostO, portO)
こんな感じかな。==> が暗号化されてるやつ。--> がされてないやつ。
001610
NGNGありがとうございます。納得です。
これでちょっとは「セキュアな鳶」になれた気がします。
私の居住区の鳶は危ない人が多いので、何かと安全には気を使います。
まぁPCに関してはスケベサイト覗いて喜ぶのが関の山の人たちなんですがね。
とは言うものの、私も例外なく
「プロジェクトX」の「東京タワー」の奴はバイブルのように大事にしてます。
桐生五郎 イナセだねぇ。
スレ違いごめんなさい。皆さんありがとうございました。
0017名無しさん@お腹いっぱい。
NGNG% ssh host1 ssh host2
すると
Pseudo-terminal will not be allocated because stdin is not a terminal.
Host key verification failed.
っていわれるようになってしまった。
どうやったらこれができるようになるんでせう?
0018名無しさん@お腹いっぱい。
NGNG30〜40KB/sしかでない。
なお、CPUはほとんど使っていない模様。(Celeron366)
と思ってlocalhostにsftpしてみると1.3MB/sほどはでてる。
このときは30%ほどCPUを使っている。
Windowsのクライアントが悪いのかとも思ったが、
職場でnetbsdとFreeBSDでsftpを試してみるが、組み合わせにもよるが
70KB/sがいいとこ。
localhostでのみスピードが出るということは、経路依存なんでしょうか。
最初はWinのクライアント(FileZilla)を疑っちゃいましたが…
自宅鯖が流行ってきた今こそ、ssh+sftpの時代ではないだろうかと思うのだが、
いかんせんsftpがマイナーすぎる…
0019名無しさん@お腹いっぱい。
NGNGどういう用途で使うものなの? scp との違いは?
0020名無しさん@お腹いっぱい。
NGNGWinSCPあるし一般ユーザもすんなりftpから移行してくれてる。
ただ、tree表示が欲しい時は時々あるな。
scpクライアントでtree表示できるやつある?
0021名無しさん@お腹いっぱい。
NGNGSFTPとSCPの違い(英語)
http://winscp.vse.cz/eng/protocols.php
0022名無しさん@お腹いっぱい。
NGNGssh.com や F-secure の scp クライアントとかって
ツリーではなかったっけ?
0023名無しさん@XEmacs
NGNG> ssh.com や F-secure の scp クライアントとかって
> ツリーではなかったっけ?
ssh.com のは (scp じゃなく sftp client だけど) たしかに tree 表
示だね。
0024名無しさん@お腹いっぱい。
NGNG完全日本語のが対応してくれないときびしい。
ログインにssh使ってくれって言うだけで面倒、わかんないからいいや、とか言うやつらいるし。
0025あぼーん
NGNG0026名無しさん@お腹いっぱい。
NGNGつまらん!!!!
オマエの言うことは、つまらん・・・・
002720
NGNGその通り、俺が聞きたいのは、tree表示の *scp* client が
あるかどうか。ssh.com のが tree なのは知ってるよ。
sftp client にあって scp client にないなら、sftp を
使う理由として十分なものがあると思うわけだ。
0028名無しさん@Vim%Chalice
NGNG0029名無しさん@お腹いっぱい。
NGNG0030名無しさん@お腹いっぱい。
NGNGふむ。ssh foo.bar ls -lR してツリーを取得してから scp するのか。ただ、相手が
ls 持っているとは限らないのが辛いところ。
0031名無しさん@お腹いっぱい。
NGNGはるか昔にちょっと使っただけからうるおぼえ
0032名無しさん@お腹いっぱい。
NGNG使えないばかりか、過去 locale の設定で問題多発。
SSH.COM のは sftp だが、F-Secure のは sftp/scp クライアントだった気が。
インタフェースそっくりだからなんか間違えそうだが。
0033名無しさん@お腹いっぱい。
NGNG137:udp 138:udp 139:tcp
をSSHのトンネル使ってインターネット越しに転送してみたいです。
会社で常時起動のUNIXマシン上にSambaサーバーが走っていて
そのHDDを自宅にてネットワークドライブしてマウントしたいわけです。
SSH使ってこんなことを安全に実現する方法って可能ですか?
0034名無しさん@お腹いっぱい。
NGNGSSHじゃなければならないというわけじゃないのなら、素直にIPSecなどでVPN
張ったほうがいいと思うけど。
0035名無しさん@お腹いっぱい。
NGNGなにゅう、そうなのか。
でも F-Secure のは有料な気配…
みるとこ間違ってるんかな。
漏れが使うならどっちでもいいっちゅうか scp の方が使い勝手いいが、
やっぱユーザにはそれを押し付けるわけにはいかんわけで。
Windows でも動作する GUI なアプリケーションがほすぃ。
>>24 が言うように FFFTP なみに使えないとやっぱ厳しい。
漏れの言うのはあくまでI/Fの話で、日本語はどうでもいいんだが。
0036名無しさん@お腹いっぱい。
NGNGするのは抵抗があります。ドメイン名と同じユーザー
がいて、しかもそれが辞書に載ってるようなパスワード
だったら、やっぱ確実にクラックされますかね。
0037名無しさん@お腹いっぱい。
NGNG発アドレスを制限するとか。
パスワード認証を禁止するとか。
0038名無しさん@お腹いっぱい。
NGNGRSA認証って知ってる?
0039名無しさん@お腹いっぱい。
NGNGパスワード認証禁止すればよかったのか。
RSA認証って鍵を交換するやつ?ちと今から
調べてきまつ。きっと穴だらけの設定になる
からクラックしたい人はどうぞ。
0040名無しさん@お腹いっぱい。
NGNG気をつけたほうがいいぞ
0041名無しさん@お腹いっぱい。
NGNGftp も危ないね。
0042名無しさん@お腹いっぱい。
NGNGHACK THE PLANET.
0043名無しさん@お腹いっぱい。
NGNGどういうこと?
0044名無しさん@お腹いっぱい。
NGNGいや、rootのパスワードなしかもしれん。
004541
NGNGある鯖は、redhat6の鯖公開後、なんと30分でftpdの穴から進入された。1年後に呼ばれて、
私がチェックしていて、/devのなかに居候を見つけた。ftpdを最新に更新して置けば防げたはず。
別の2年くらい運営していた鯖でも、私がlogをチェックしている最中に、sshdを盛んに攻撃してるの
に気づいた。急遽、sshdのバージョンアプを準備をしてる1時間に進入されて、logもきれいに掃除され
てしまったな。これも、sshdのバージョンアップを怠ったのが原因。
他にも、幾つかのredhat鯖で、居候ぎいるのを摘発した。redhatも、さすがに、最近はもう少し
ましになってるとは思うが、デフォルトのざる鯖では、ほとんど確実に進入されてる印象。
おかげで、ちょっと見ただけでも、居候を発見できるようになったが。
0046名無しさん@お腹いっぱい。
NGNG要するに
「穴のあるままバージョンアップせずに放置してたら侵入されますた」
って話?
0047名無しさん@お腹いっぱい。
NGNG0048名無しさん@お腹いっぱい。
NGNGそんなあなたに、OpenBSD-3.3STABLE + cvs
0049名無しさん@お腹いっぱい。
NGNGセキュリティの強さは最も弱い場所によって決まるから。
0050名無しさん@お腹いっぱい。
NGNG0051名無しさん@お腹いっぱい。
NGNG始まってるんだっけ?
0052名無しさん@お腹いっぱい。
NGNG10-30文字くらいの、他人に悟られないような文字列がいいといいますけど、
これもやはりランダムな文字列がいいんですか?
8文字くらいならランダムな文字列でも覚えられますけど、
30文字となるとなかなか大変です。
0053名無しさん@お腹いっぱい。
NGNG0054名無しさん@XEmacs
NGNG> 10-30文字くらいの、他人に悟られないような文字列がいいといいますけど、
> これもやはりランダムな文字列がいいんですか?
そりゃその長さのランダム文字列を覚えられるのならそれに越したこ
とはないが、“ワード”じゃなく“フレーズ”を使うだけでもその文
字列が“辞書”に載る可能性は十分低くなるので、ランダム性は特に
気にしてないな。
0055名無しさん@お腹いっぱい。
NGNG(昔は ssh-agent 使ってたけど、keychain 知ってからは
ログインの度に打ち込まないといけない ssh-agent は使わなくなった)
まあ何年か使ってると8文字のパスワードの2つ3つ覚えていると
思われるので、それを組み合わせて使うとランダム文字列にもなって
よいと思う。24文字ランダムな文字列があれば簡単には分かんないだろう、
と思って……(毎回入れるわけじゃないのでそんな苦痛でもない)
0056名無しさん@お腹いっぱい。
NGNGtcpの139番と445番をフォワーディングすればいはず。
139と445番があいてるマシン(非windowsマシンとか)があれば楽かも
自宅にwindowsマシンしかない場合は↓とかを参考に。
ttp://hp.vector.co.jp/authors/VA001791/software/putty.html
0057名無しさん@お腹いっぱい。
NGNG005957
NGNGそんなものがあったとは、poptopとは違うんですか?
0060名無しさん@お腹いっぱい。
NGNG0061名無しさん@お腹いっぱい。
NGNGラジオ板でなんかスレ立て放題だぞ ワラタ
なぜか規制ゼロ?スレ立て練習で10個ぐらいたてたけどまだ立てられるぞww
どーなってんだ?
http://tv.2ch.net/am/
0062名無しさん@お腹いっぱい。
NGNG少しはまってしまった。
006357
NGNGPoptopに比べてメリット・デメリットは何ですか(・∀・)?
0064初期不良
NGNGTCP なので NAT 越えもへっちゃら
TCP over TCP なので重くなったりもする
ってなところじゃないかと。あとはこっちへ
VPN
http://pc.2ch.net/test/read.cgi/network/990103131/
0065名無しさん@お腹いっぱい。
NGNG人がたくさんいるときはlocalhost:11.0とか12.0とかになります。
DISPLAYの値が変わるのは不都合なので、localhost:15.0とかに固定
したいのですが、方法はありますか?
0066名無しさん@お腹いっぱい。
NGNGそいつらを追い出してください。
0067名無しさん@お腹いっぱい。
NGNG~/.ssh/environmentに
"X11DisplayOffset 15" を追加。でも早いもの勝ちは変わらないので
"X11DisplayOffset 99" くらいをオススメする。
ただし /etc/ssh/sshd_config に
"PermitUserEnvironment yes" が必要 (defaultはno)
006865
NGNGenvironmentに書いてもできませんでした。
sshd_configに書いたらできました。
でもsshd_configに書いたら全員変わってしまうので、意味ないです。
0069名無しさん@お腹いっぱい。
NGNGん? おかしいな。"PermitUserEnvironment yes" した後、sshd 再起動してない
とかの落ちじゃないよね?
007068
NGNG再起動しました。
X11DisplayOffsetは設定されていますが、DISPLAYは変わらないようです。
echo $X11DisplayOffset $DISPLAY
99 localhost:13.0
007167
NGNGソース追ってみたけど、display offset は /etc/sshd_config でしか
変更不可能みたい。無理っぽいや。スマソ
0072名無しさん@お腹いっぱい。
NGNGttp://javassh.org/
ただし、SunのJava WebStarをインストールする必要あり。Javaの意味ねー。
他にもいろいろJAVAアプレットの実装が転がっているけど、どれもイマイチ。
漫画喫茶からでも安心して使えるSSHクライアントをきぼん。
0073名無しさん@お腹いっぱい。
NGNGそんな所から使うこと自体が間違っている予感。
0074あぼーん
NGNG0075名無しさん@お腹いっぱい。
NGNG確かにキーロガーが仕込まれてるかもわからん端末じゃ SSH も安心じゃないよなー。
0076あぼーん
NGNG0077名無しさん@お腹いっぱい。
NGNGパスワードを再度問われ、そこでもう一度同じPasswordを入れると
Unexpected directory listing line "drwxr-xr-x 8 xxxxxxx xxxxxxx
1024 8 5 19:31 .".Operation aborted
というエラーメッセージが表示され接続ができません。なおxxxxxはユーザー名。
一方同じ端末上でCygwinのSSHを使って遠隔ログインを試みるとこちらは
正常にログインできます。パスワードも同じです。なにがいけないのでしょうか?
0078名無しさん@お腹いっぱい。
NGNG接続自身はできていると信じて書いてみる。
ドラッグしたらコピーできないか?
ssh で login したときにLANG かなんかがja_JP.系になってるでしょ。
WinSCP は ls の結果をみてファイルのリストを作ってるから、
日付の形式が違うとなんだかわからんのではないかと。
.cshrc から setenv LANG を抜くか、 setenv LC_TIME C しとけばいけるんじゃない?
0079名無しさん@お腹いっぱい。
NGNG症状で使えなくなっている。なぜ?? 他の人も WinSCP 2.3
試してみてくれない? (素直に 3 使えってことか)
0080初期不良
NGNGFreeBSD4-Stable の OpenSSH3.6.1p1 に
WinSCP2.3 でぷてぃでエクスポートした dsa 鍵を使って
接続してみたけど問題無いでよ。
0081名無しさん@お腹いっぱい。
NGNGインストールせずにというか、インストールしてあると使えなかったような気も。
ふらふらリンク追ってるとき見かけたけど、いざ探すとなるとサッパリ見あたらない…
0083名無しさん@お腹いっぱい。
NGNGソフトの動作上っていうか、自分でログインするときにはLANG=ja_JP.eucJPにしていて
これを変更したくないのなら、WinSCPで接続するときだけLANG=Cにしちゃえば?
具体的には~/.loginあたりにこんなのを書いておけばいいと思うよ。
if ($?SSH_CLIENT && ! $?SSH_TTY) setenv LANG C
0084名無しさん@お腹いっぱい。
NGNGOpenSSH for Windows
http://lexa.mckenna.edu/sshwindows/
008577
NGNGFreeBSD標準のSSHサーバーに接続できなかった問題が解決されました。
3系列になってからSCPに加えて、SFTP(allow SCP fallback)とSFTPが追加
されていました。従来通りのSCPでは接続出来ませんでしたが、SFTPに変更
したら問題なく接続出来るようになりました。
※それでも途中で再度パスワードを聞かれるという症状がありましたが、
公開鍵をSSHサーバー側に登録したら一発で接続できるようになりました。
SFTPってなんだろう・・・・
allow SCP fallbackって何だろう・・・・
0086名無しさん@お腹いっぱい。
NGNGFTP の代替用として開発されたプロトコルだけど、sshd以外にもうひとつ
デーモンが必要(なはず)な上に、いままでWindows用のフリーなクライアントが
なかった(Cygwinは除く)ので使われていなかった。
SCP fallback…SFTPで接続に失敗したら自動的にSCPに切り替えるという意味では。
0087名無しさん@お腹いっぱい。
NGNGdaemonはいらないぞ
sshd_configに
Subsystem sftp /usr/local/libexec/sftp-server
と記述する必要はあるけど。
0089名無しさん@お腹いっぱい。
NGNGはぁ? ちったぁ自分で調べてからモノを言えよ
0090名無しさん@お腹いっぱい。
NGNGそうです。FreeBSDなんてしょせんガキのおもちゃです。
我社のsshを購入されれば、SFTP,SCPなどが全て標準でサポートされています。
ぜひとも購入を検討してください。
0091名無しさん@お腹いっぱい。
NGNGSSH社員キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
0092あぼーん
NGNG0093名無しさん@おなかいっぱい
NGNGパスワードのところでAccessDeniedとなり断られてしまいます。
以前にトラブルが会って再インストールしたら、こんなになってしまいました。
以前とパスワード・ログインのユーザーネームも変わりありません。
authorized_keysへの登録もしています。
イベントログ晒しますので、解決へのアドバイスお願いします。
009493
NGNG2003-08-21 11:53:58Connecting to XXX.XXX.XXX.XXX port 22
2003-08-21 11:53:58Server version: SSH-1.99-OpenSSH_3.6.1p1
2003-08-21 11:53:58We claim version: SSH-2.0-PuTTY-Release-0.53b-jp20030210
2003-08-21 11:53:58Using SSH protocol version 2
2003-08-21 11:53:58Doing Diffie-Hellman group exchange
2003-08-21 11:53:58Doing Diffie-Hellman key exchange
2003-08-21 11:53:59Host key fingerprint is:
2003-08-21 11:53:59ssh-rsa 1024 b4:23:1a:e4:1b:5d:7a:05:82:a3:ac:c4:f0:3e:fb:64
2003-08-21 11:53:59Initialised zlib (RFC1950) compression
2003-08-21 11:53:59Initialised zlib (RFC1950) decompression
2003-08-21 11:53:59Initialised triple-DES client->server encryption
2003-08-21 11:53:59Initialised triple-DES server->client encryption
009593
NGNG2003-08-21 11:54:00Pageant is running. Requesting keys.
2003-08-21 11:54:00Pageant has 1 SSH2 keys
2003-08-21 11:54:00Trying Pageant key #0
2003-08-21 11:54:00This key matches configured key file
2003-08-21 11:54:00Key refused
2003-08-21 11:54:28Sent password
2003-08-21 11:54:28Access denied
2003-08-21 11:54:28Reading private key file "C:\Program Files\PuTTY\id_rsa.pub.PPK"
2003-08-21 11:54:28Pageant is running. Requesting keys.
2003-08-21 11:54:28Pageant has 1 SSH2 keys
2003-08-21 11:54:28Trying Pageant key #0
009693
NGNG2003-08-21 11:54:28Key refused
2003-08-21 11:54:31Sent password
2003-08-21 11:54:31Access denied
2003-08-21 11:54:31Reading private key file "C:\Program Files\PuTTY\id_rsa.pub.PPK"
2003-08-21 11:54:31Pageant is running. Requesting keys.
2003-08-21 11:54:31Pageant has 1 SSH2 keys
2003-08-21 11:54:31Trying Pageant key #0
2003-08-21 11:54:31This key matches configured key file
2003-08-21 11:54:32Received disconnect message (SSH_DISCONNECT_PROTOCOL_ERROR)
2003-08-21 11:54:32Disconnection message text: Too many authentication failures for torazo
2003-08-21 11:54:32Server sent disconnect message
type 2 (SSH_DISCONNECT_PROTOCOL_ERROR):
"Too many authentication failures for torazo"
0097名無しさん@お腹いっぱい。
NGNGよく分からんな…「再インストールした」のはどっち?クライアント側(PuTTY)
ですか、それともサーバ側(「OpensshOnCygwin 3.6.1.p1のsshd」)ですか?
あと、サーバ側の設定ファイル sshd_config ではきちんとパスワード認証を許可
するようになってますか?
009893
NGNGレスありがとうございます。説明がガサかったですね。
再インストールしたのはサーバー側です。
OpensshOnCygwin3.6.1P1を再インストールして
再度Puttyで作った鍵をauthorized_keysに登録しました。
また、sshd_configはPasswordAuthentication yesになってます。
どうかお力を貸してください。宜しくお願いします。
009993
NGNG× 再度Puttyで作った鍵
○ 以前から使っていたPuttyの鍵
すんません。93ですが、間違えました。
010097
NGNGなるほど、再インストールしたのはサーバ側、と。
で、「以前から使っていたPuttyの鍵」の公開鍵をサーバ側の ~/.ssh/authorized_keys
に登録した、とのことだが、それはしなくてもいいだろ?公開鍵認証ではなく
パスワード認証でログインするんだったらさ。
また、sshdのプロセスにHUPシグナルを送って設定ファイル sshd_config をもう
一度読み込ませてからtryしてみて下さい。
010193
NGNGアドバイスありがとうございます。
HUPシグナルを送るってのは、sshdを再起動するって事ですよね?
CygwinでのHUPシグナルの送り方がわからないので、調べてやってみます。
# ちいと今から4泊5日ぐらいの出張なので、
# 戻ってからご報告させていただきます。
# ご助言いただいておいてスミマセン。
■ このスレッドは過去ログ倉庫に格納されています