SSH その3
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html
0233229
NGNGごめん。意味がよくわから無いけど、
「落としている」というのは、iptablesでDROPにしてあるということ?
たぶん、してないと思うけど・・・。
>>232
iptablesは↓こんな感じ。
dps:smtp、pop3の行が無いと送受信できない。
悪いところがあるかな?
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost localhost
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:ssh
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:www
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:smtp
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:pop3
ACCEPT udp -- anywhere ns1.hogehoge.com udp dpt:domain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
0234名無しさん@お腹いっぱい。
NGNGを入れたらどう?
0235名無しさん@お腹いっぱい。
NGNG出した方が話が早いんじゃない?
0236名無しさん@お腹いっぱい。
NGNGiptablesだったらDROPのログチェイン作れば確認できるでしょうに。
0237名無しさん@お腹いっぱい。
NGNG0238PS
NGNGPuTTYならたいした設定もなく苦もなくできるんよ。
0239名無しさん@お腹いっぱい。
NGNG只今本人降臨中で祭りに発展中!!!!!!
急げ!急げ!!記念真紀子!!
http://news4.2ch.net/test/read.cgi/news/1069235370/
0240229
NGNGそれだ!!!
あなたがSSHのエライ人!
多謝感謝!ありがとうございました〜!
それから>>231も同じことだったね。
今理解できた(笑)。ありがと〜。
>>235
解決しちゃったけど、PuTTYのトンネルの設定はコレでした。↓
L8110 ns1.hogehoge.com:110
L8025 ns1.hogehoge.com:25
コマンドプロンプトで確認するとちゃんとListeningしてるように見える。
C:\>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP hostname:8025 hostname:0 LISTENING
TCP hostname:8110 hostname:0 LISTENING
他の人もありがとうございました。
0242名無しさん@XEmacs
NGNG> 解決しちゃったけど、PuTTYのトンネルの設定はコレでした。↓
> L8110 ns1.hogehoge.com:110
> L8025 ns1.hogehoge.com:25
を
> L8110 localhost:110
> L8025 localhost:25
とするんでもうまく行くかもね。
0243名無しさん@お腹いっぱい。
NGNG0244名無しさん@お腹いっぱい
NGNG0245名無しさん@お腹いっぱい。
NGNG>Open SSHはOpen SSHがインターネットドラフトに基づいていないため,
>Public Keyを使った認証,接続はできません。
これどういう意味でしょ?
0246春山征吾 ◆unIxUSernc
NGNGttp://www.ietf.org/internet-drafts/draft-ietf-secsh-publickeyfile-04.txt
の形式ではなく、そのまま商用SSHの鍵を利用することはできません。が、
ttp://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_3
変換して利用することができます。
あと、
・OpenSSHもAESをサポートしています。
・libsectokかOpenSCを利用するスマートカードサポートがあります。
0247245
NGNG鋭意勉強中だったので、上のページでちょっとパニクりました。
なんでそこまで差別するのか。。。
これはもうドラフトsecshとopenssh関連のページを熟読するしかないですね。
ありがとうございました。
0248名無しさん@お腹いっぱい。
NGNG0249名無しさん@お腹いっぱい。
NGNGhostA, hostB, hostC があって、
hostA から hostB へは ssh, scp, sftp 全て OK
hostA から hostC へは ssh だけ OK
ちなみに、hostA から hostC への scp や sftp を -v してみると、
hostA% sftp hostC
OpenSSH_3.6.1p1+CAN-2003-0693, SSH protocols 1.5/2.0, OpenSSL 0x0090702f
debug1: Reading configuration data /path_to_home/.ssh/config
.
.
debug1: channel 0: request subsystem
debug1: channel 0: open confirm rwindow 0 rmax 32768
で止まっていました。
何かポイントありますか?
0250250
NGNGとりあえず、コレ(↓)を見るヨロシ
2.9 - ssh は問題ないのに、sftp/scp が接続に失敗する。
http://www.openssh.com/ja/faq.html#2.9
# scpだけかと思ったら、sftpも標準入出力を使ってたのね...
0251名無しさん@お腹いっぱい。
NGNGぬりがとう。
これだ!と思ったのだけど、ちがうみたい。
でも、このおかげでちょっとわかってきた。
% ssh localhost tcsh
ができない。
% ssh localhost
はできる。
OS が MacOSX10.3 なのだけど、10.2まではちゃんと動いていたので、
どこかのバグかも。
もうちょっと調べてみるわ。
0252名無しさん@お腹いっぱい。
NGNG環境変数 PATH とか?
0253名無しさん@お腹いっぱい。
NGNG昔、リモートの .loginの中で exec zsh とかやってたら、上のよ
うな感じでscpでファイルを送りつけられない状態になった覚えが
あるけど・・・
全然外してたらスマソ
0254名無しさん@お腹いっぱい。
NGNG結局、.cshrc がいけませんでした。
いろいろなホストで.cshrcを共通化していて、
ホストの差異を吸収しているところで問題がありました。
(おまけに、そのスクリプトにバグ発見)
おさわがせしました。
0255名無しさん@お腹いっぱい。
NGNGOpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.7c 30 Sep 2003
% ssh hostA
Disconnecting: Corrupted MAC on input.
っていうエラーが出るのですが、何がまずいのでしょう?
ホスト側で接続できるMACアドレスを限定しているってことでしょうか?
ちなみに、hostBにはちゃんとログインできるのですが、、、よろしくお願いします
0256255追加
NGNGremoteC(TTSSH) -> hostA ○
remoteD(ssh) -> hostA ×(今回困っている状況)
という感じです。
0257255,256
NGNGs/ssh/ssh -1/
で解決しました、すみません
0258名無しさん@お腹いっぱい。
NGNGそのエラーメッセージだけでは「MAC って何なんだー!?」ってなるよね。
「Disconnecting: Corrupted MAC on input」でぐぐってもよくわからんし。
0259名無しさん@お腹いっぱい。
NGNG0260名無しさん@お腹いっぱい。
NGNGこれを省略するにはどうすればいいの?
0261名無しさん@お腹いっぱい。
NGNGssh について書いてある記事なり本なりには
たいてい書いてあるはずです。
0262名無しさん@お腹いっぱい。
NGNGよろしければ、教えていただけますでしょうか?
(1)いくつかの、SSH関連サイトを見ると、
「作成した暗号キーペアの秘密鍵、"identity"を、FDなどで、WindowsPCへコピーせよ」とありますが、
レンタルサーバを借りてる場合などは、これは無理ですよね?
≪質問≫:この場合、どうするのがよいのでしょうか?
(少ない知識の自分なりに考えてみたのですが、たとえば、
セキュリティ強度的に落ちるものの、WINSCP3などでファイルをダウンロードするとか?でしょうか?)
(2)昔、某レンタルサーバで働いてたときに、
同僚の2人が、Teraterm+SSHで、RSA鍵で認証するときに、パスフレーズは空のまんま、ログインしていました。
ということは、鍵生成時に、パスフレーズを空にした(ただEntrer押しただけ)ということですよね?
≪質問≫:これって、セキュリティ的に、甘いのではと思うのですが、どうなんでしょうか?
(いくつかのサイトを見ましたが、「10文字から30文字の間にすべきといわれています」といった類の文章が書いてあったもので。
上記、教えていただければ幸いです。
0263名無しさん@お腹いっぱい。
NGNG1、鍵はローカル側で生成。リモート側には公開鍵のみ置く。
公開鍵の転送時に「転送先が本当に正しいのか」という問題があるが、
レンタルサーバという時点で既にセキュリティー的には甘いのでどこかで妥協する必要がある。
2、パスフレーズは秘密鍵を復号するためのもの。鍵の管理を厳重にすることと(程度以外は)同等。
0264名無しさん@お腹いっぱい。
NGNGsshについて解説したサイトは多いが、安全性に問題がある方法とか
嘘を紹介しているところも少なくないからな。
>>262のような人に漏れが勧めているサイトはここ↓。
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/putty.shtml
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/winscp.shtml
WindowsからOpenSSHサーバへ接続する場合は
ここにある情報で十分だろう。
# まあ、細かいツッコミどころがないわけではないが…
0265名無しさん@お腹いっぱい。
NGNG> 「作成した暗号キーペアの秘密鍵、"identity"を、FDなどで、WindowsPCへコピーせよ」とありますが、
これって Windows で鍵ペアを作りにくかった時代の話でしょ。
今なら Cygwin 入れればすぐ作れるよ。
> 同僚の2人が、Teraterm+SSHで、RSA鍵で認証するときに、パスフレーズは空のまんま、ログインしていました。
パスフレーズは手許にある秘密鍵を暗号化しておくためにある。
ぜったい秘密鍵を盗まれない! という自信があるなら空でもいいのでは。
0266262
NGNGありがとうございます。非常によく分かりました。
参考にあげてくださったも拝見しました。
非常にわかりやすかったです。
これからいろいろと試してみたいと思います。
ありがとうございます。
0268名無しさん@お腹いっぱい。
NGNG接続するさいに以下のログが出力されます。
No supported authentication methods left to try!
Fatal:unable to initialise SFTP: could not connect.
puttyからLinuxサーバーへは認証は成功し、正常に接続できるのですが、何か問題があるのでしょうか。。
sshもpsftpもポート22番なのでルータ等の設定は問題ありません。
0270名無しさん@お腹いっぱい。
NGNGSubsystem sftp /usr/lib/sftp-server
みたいな設定がないという可能性は?
0272名無しさん@お腹いっぱい。
NGNGとりあえずどっか別のLinuxマシンからsftpしてみるとか、Winしか無い
ならCygwinのsshに含まれてるsftpでつないでみるとか。
0273名無しさん@お腹いっぱい。
NGNG0274名無しさん@お腹いっぱい。
NGNG0275名無しさん@お腹いっぱい。
NGNG可能。つーかman読め。
0276名無しさん@お腹いっぱい。
NGNG中略
-i identity_file
Selects a file from which the identity (private key) for RSA or
DSA authentication is read. The default is $HOME/.ssh/identity
for protocol version 1, and $HOME/.ssh/id_rsa and
$HOME/.ssh/id_dsa for protocol version 2. Identity files may
also be specified on a per-host basis in the configuration file.
It is possible to have multiple -i options (and multiple identi-
ties specified in configuration files).
0277名無しさん@お腹いっぱい。
NGNG0278名無しさん@お腹いっぱい。
NGNG0279名無しさん@お腹いっぱい。
NGNGあるよ。
Yet Another FTP Client
http://yafc.sourceforge.net/
# 春山さんのWebサイトからもリンクがはられてたはず。
lftpもsftpに対応したとかいう話を聞いたような気がするのだが…はて、どう
だったかな(lftpは使わないんでな、あまり知らん)。
0280名無しさん@XEmacs
NGNG> Yet Another FTP Client
それは sftp クライアント。scp には未対応。
0281名無しさん@お腹いっぱい。
NGNGそれはsftpとちゃうんか、と。
それにscpはscpそのままの方が便利だろうに。
0282名無しさん@お腹いっぱい
NGNGブックマークとかレジュームができればいいんだろ。たぶん。
0283名無しさん@お腹いっぱい。
NGNG0284名無しさん@XEmacs
NGNG> 「ftpクライアントみたいなscpクライアント」の意図しているものが分からん。
> それはsftpとちゃうんか、と。
考えついた唯一の存在理由は SSH1 でも使える、ってとこかな。
内部で ssh/scp コマンドを使うことで、ftp/sftp っぽいユーザイ
ンターフェースを提供するようなラッパーに対する需要はあっても
おかしくないだろう。GUI だが古い WinSCP なんてのもその類だし。
yafc も SSH 接続を確立するところでは似たようなことやってるわ
けだし。
0285名無しさん@お腹いっぱい。
NGNG> 内部で ssh/scp コマンドを使うことで、
それが難しい/めんどくさいから sftp があるんでないの?
0286名無しさん@お腹いっぱい。
NGNG> lftpもsftpに対応したとかいう話を聞いたような気がするのだが…
開発版で対応してるっぽいな。
0287名無しさん@XEmacs
NGNG> > 内部で ssh/scp コマンドを使うことで、
> それが難しい/めんどくさいから sftp があるんでないの?
だから SSH1 では SFTP プロトコルは使えないんだってば。
0288名無しさん@お腹いっぱい。
NGNG0289名無しさん@お腹いっぱい。
NGNGhsftpはどうよ?
0290名無しさん@お腹いっぱい。
NGNGttp://la-samhna.de/hsftp/
0291名無しさん@お腹いっぱい。
NGNGもう解決した?
0292名無しさん@お腹いっぱい。
NGNG条件にもよるが、sftpの転送速度はscpに比べて20%〜50%くらいは劣る
からなあ。
0293名無しさん@お腹いっぱい。
NGNG0294名無しさん@お腹いっぱい。
NGNGいや、CPU負荷の小さい暗号(arcfourとか)と
1GHz程度のCPUを使えば、100Mbpsの帯域なら
ほぼフルに使い切ることができる。
0295279
NGNG>>280 あ、そうだったのですか。ご指摘どうもです。
>>283
リモートホストでlsコマンドを実行した結果を利用するのではなかったかと。
で、環境変数LANGがjaになってたりするとlsコマンドの実行結果が変化し(曜日
の表示が日本語になったりする)、エラーが発生する、と。WinSCPでそんなこ
とがあったと思います。
0296古山良助
NGNG☆ チン マチクタビレタ〜
マチクタビレタ〜
☆ チン 〃 ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ヽ ___\(\・∀・) < OpenSSHのバージョンアップまだ〜?
\_/⊂ ⊂_ ) \_____________
/ ̄ ̄ ̄ ̄ ̄ ̄ /|
| ̄ ̄ ̄ ̄ ̄ ̄ ̄| |
| 愛媛みかん |/
0297名無しさん@お腹いっぱい。
NGNG0299名無しさん@XEmacs
NGNG> SSH2用のRSA鍵はどうやって作成すればいいのでしょうか?
> ssh-keygen -t rsa で作ると鍵の形式が違うぞゴルァ!とゲバラに怒られてしまいます。
ssh-keygen2 使うとか、PuTTYgen 等で形式変換するとかの回りくど
い手ももちろんあるが、単にげばらに作らせればいいのでは?
0300名無しさん@お腹いっぱい。
NGNG0301299
NGNGFreeBSDのportsからmake installしたのですが、ssh-keygen2 が無いようです。
ゲバラのツールで作ったもので試してみます。
ありがとうございました。
0302名無しさん@Emacs
NGNGAllowUsers でログイン・アカウントを制限してるだろうな。
パスワードがバレバレなアカウントがあったら、クラックされるぞ!
> 173
超超カメレスだが、
sshd_config で
> 特定のアカウントのみ PasswordAuthentication no として扱う
のなら、PasswordAuthentication no と設定したsshd を、
別なポートで、もう一つ動かせばいい。
22番しか使えないsshクライエントって、まだあるのか?
0303名無しさん@XEmacs
NGNG> FreeBSDのportsからmake installしたのですが、ssh-keygen2 が無いようです。
ふーん、おかしいね。うちの FreeBSD 4.8-R では ports で問題な
く入れられたけど。
-bash-2.05b$ ssh-keygen2 -V
ssh-keygen2 version 3.2.5, compiled Dec 24 2003.
0304名無しさん@お腹いっぱい。
NGNG君はゲバラの話が出たから、『ちぇ』って書いてみたの??
チェ・ゲバラを知ってても面白くないぞ。
0305名無しさん@お腹いっぱい。
NGNG残す方法ってありますか? /var/log/messagesには
sshd[28325]: subsystem request for sftp
こんなログしか残ってなくて、誰がログインしたかわかりません。
0306名無しさん@お腹いっぱい。
NGNG0307名無しさん@お腹いっぱい。
NGNG0308名無しさん@お腹いっぱい。
NGNGLogLevel DEBUG
0309名無しさん@お腹いっぱい。
NGNGそれだと他のメッセージがウザイ
0310名無しさん@お腹いっぱい。
NGNGWINSCP 3.4.2
ー>Solaris8
コンソールでは、問題ないのですが、画面に表示できません。
ご教示ください、お願いします。
以下 ログです。
> ls -la ; echo "WinSCP: this is end-of-file:$status"
< 合計 22
< drwxr-x--- 3 user00 user00 512 1月 26日 13:07 .
< drwxr-xr-x 27 root root 1024 1月 25日 18:50 ..
< -rw------- 1 root other 15 1月 26日 13:40 .bash_history
< -rw-r--r-- 1 user00 user00 744 1月 25日 17:34 .cshrc
< -rw-r--r-- 1 user00 user00 2287 1月 25日 17:35 .profile
< drwxr-x--- 2 user00 user00 512 1月 26日 12:04 .ssh
< -rw-r--r-- 1 user00 user00 124 12月 29日 02:49 local.cshrc
< -rw-r--r-- 1 user00 user00 607 12月 29日 02:49 local.login
< -rw-r--r-- 1 user00 user00 582 12月 29日 02:49 local.profile
< WinSCP: this is end-of-file:0
* (ECommand) ディレクトリ '/export/home/user00' のリスト取得のエラー
* ディレクトリのリストに不正な行 '合計 22'
* 不正な権限の表記 '計 22'
0311名無しさん@お腹いっぱい。
NGNGお疲れさんです
0312名無しさん@お腹いっぱい。
NGNGsftpdのパッチは公開されてたけど、自分の管理下にないサーバでも使いたい
日本語ファイル名使うな、と言われればそれまでだけど
0313名無しさん@お腹いっぱい。
NGNG0314名無しさん@お腹いっぱい。
NGNG0315310
NGNG前に表示できていたのですが、たまたまですか?
ja_JP.PCKで
0316名無しさん@お腹いっぱい。
NGNG0317名無しさん@お腹いっぱい。
NGNGpsftp を起動後 open host.name を入力すると思いますが、この host.name にIPアドレスや
FQDNを入力しているのではないでしょうか(勝手な想像ですが)。実は、この host.name には
PUTTY.EXE(またはPUTTYJP.EXE) の「保存されたセッション」の名称を入力するのが
正しいのです。
亀れすですみませんが、4時間ハマってやっと解決したうれしさでカキコしてしまいました。
0318名無しさん@お腹いっぱい。
NGNGWinSCPやめてFilezillaじゃダメ?
0319310
NGNG>>318
トライしてみる。
ありがとう。
0320310
NGNGFilezila、ssh接続は、できないね。
残念。
0321310
NGNGごめん。できるね。
0322名無しさん@お腹いっぱい。
NGNG0323名無しさん@お腹いっぱい。
NGNGwinscpでのloginをlastlog に残す方法はあるの?
LogLevel 変えてもlastlog には書かれないし。
0324名無しさん@お腹いっぱい。
NGNGどうすれば 644 とかに変更できるか誰か教えてくれませんか?
0325名無しさん@お腹いっぱい。
NGNGumask
0326名無しさん@お腹いっぱい。
NGNG2. 初めて公開鍵を置きに逝くときに ssh で逝きたし
3. w3m に ssh を被せたし
4. mutt から ssh 使いたし //その場合の PGP との堅固性の比較も
0327名無しさん@お腹いっぱい。
NGNG> 2. 初めて公開鍵を置きに逝くときに ssh で逝きたし
password認証やOTP認証を使え
> 3. w3m に ssh を被せたし
> 4. mutt から ssh 使いたし //その場合の PGP との堅固性の比較も
意味不明
0328sage
NGNGsshdがどこかで暗号化してるんでしょうか?それともsftp-server自身?
初級な質問ですみません。ご存知の方は教えてください。
0329名無しさん@お腹いっぱい。
NGNGだから、まず接続時に ssh の公開鍵認証を行うわけ。
その後クライアント側はランダムに共通鍵を作ってサーバに
それを送信するわけ。もちろんその共通鍵の受渡しには公開
鍵暗号を使うんだけどね。
んでその共通鍵で暗号化して通信してるのさ。
なんでずっと公開鍵暗号を使わないのか?っつー疑問がある
かも知れんが、それは共通鍵暗号/復号の方が軽いのさ。
では
0330名無しさん@お腹いっぱい。
NGNGまず自宅からsshで大学なり会社なりのサーバにアクセスして、
そのサーバから内部でsshで目的のコンピュータにアクセスする経路をたどる必要があります。
これ自体はよいのですが、ローカルから目的のコンピュータにデータを送ろうとした場合、
やたら面倒になってしまうので困っています。
今はscpを2回行っているのですが、頻繁にファイルのやり取りをするので、
よくミスをしてしまい、能率的にも精神的にも効率が非常に悪いです。
よくある環境だと思うのですが、何か方法があるのでしょうか?
ググる際の簡単なキーワードだけでも結構ですので、ぜひ教えてください。
0331名無しさん@お腹いっぱい。
NGNG0332名無しさん@お腹いっぱい。
NGNG
■ このスレッドは過去ログ倉庫に格納されています