トップページunix
1001コメント324KB

SSH その3

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。NGNG
SSHに関する情報交換のスレッドです。

FAQ、リンク集は >>2-5 あたり。

前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html
0359名無しさん@XEmacsNGNG
>>357
> OpenSSHのssdで、暗号化する前の通信データ(送信)と、複合化後の受信データ、
> printfかファイル出力で取得しようかと思いますが、どこに仕掛けたらよいか・・・

実際の暗号化/復号処理を行なってるのは packet.c。

こいつを -DPACKET_DEBUG 付きで compile すると ssh/sshd が処理
前後の内容を標準エラーに吐き出すようになるので (たぶん)、その
辺参考にしててきとーにいじくってみれば?
0360357NGNG
>>358
>>359
初心者の私の質問に親切にお答えいただいてありがとうございます。
非常に参考になりました。
さっそく試してみようと思います。
0361名無しさん@お腹いっぱい。NGNG
OpenSSH 3.8 release age
0362A5501TNGNG
キタ━(°∀°)━!!
0363名無しさん@お腹いっぱい。NGNG
幾つか設定項目変わってるねぇ

diff -u openssh-3.7p1/sshd_config openssh-3.8p1/sshd_config ってみるテスト
+#KerberosGetAFSToken no

-#GSSAPICleanupCreds yes
+#GSSAPICleanupCredentials yes

-# bypass the setting of 'PasswordAuthentication'
-#UsePAM yes
+# bypass the setting of 'PasswordAuthentication' and 'PermitEmptyPasswords'
+#UsePAM no

-#KeepAlive yes
+#TCPKeepAlive yes
0364名無しさん@お腹いっぱい。NGNG
PAM がデフォルトでNOになったのね。
0365名無しさん@お腹いっぱい。NGNG
テラターム!
0366名無しさん@お腹いっぱい。NGNG
初心者なのにunixサーバ管理者に任命されて、sshdをインストールしたはいいのですが、telnetを止めろと言われました。
でもsshdが動いていれば、telnetdは殺してもいいものなのでしょうか?それとも、他の方法でアクセスできないようにするのでしょうか。
不安でなかなか実行できません。
私の理解では、sshでログインするのは暗号化されているが、telnetと同じというイメージなのですが・・・
教えてください。
0367名無しさん@お腹いっぱい。NGNG
>>366
ssh は rsh をセキュアにしたものであって telnet とは無関係。
0368名無しさん@お腹いっぱい。NGNG
telnet は即効で止めましょう。
「telnet で繋がらないやん」と言われたら、「SSHしか駄目です」と言いましょう。
それ以外には困ることはありません。

これでサーバー管理者の第一歩を歩みだせましたね。
0369名無しさん@お腹いっぱい。NGNG
> telnetと同じイメージ
イメージで処理せず、疑問に思ったことは可能な限り自分で調べてみましょう。
ssh の通信が暗号化されるかどうかは、パケットキャプチャしてみれば確認できます。
それでも気になるなら、ソースコードまでたどるという手もあります。

イメージだけで管理を始めるとトンデモ管理者への第一歩を歩んだことになります。
今ならまだ間に合います。
0370名無しさん@お腹いっぱい。NGNG
>>369 はBSD厨ですんで放置で。。。
0371名無しさん@お腹いっぱい。NGNG
>>369 は全然回答になってないしな。
0372名無しさん@お腹いっぱい。NGNG
(・∀・)ジサクジエンデシタ
0373名無しさん@お腹いっぱい。NGNG
>>369を要約してみました。







ぐぐれ。
0374名無しさん@お腹いっぱい。NGNG
>>373
0点。
0375名無しさん@お腹いっぱい。NGNG
366で書いた者です。
皆さんのお話、とても参考になりました。
どうもありがとうございます。わかると面白いので今後もさらに勉強します。
0376名無しさん@お腹いっぱい。NGNG
login shell が始めから ssh 通っているのってどうやっているのですか?
0377名無しさん@お腹いっぱい。NGNG
>>376
どういう意味?
0378名無しさん@お腹いっぱい。NGNG
>>377
例えば↓な感じの

|-sshd---sshd---bash---pstree

ttp://pc.2ch.net/test/read.cgi/linux/1015251437/2
ttp://pc.2ch.net/test/read.cgi/linux/1015251437/4
ttp://pc.2ch.net/test/read.cgi/linux/1015251437/10
0379名無しさん@お腹いっぱい。NGNG
>>378
単に ssh でログインして pstree 打っただけでは。
0380名無しさん@お腹いっぱい。NGNG
一つの接続に対して sshd のプロセスが二つ立ち上がる
理由ってなんだったっけな。

>>376 が思い描いていそうなのは
ssh host1 -t ssh host2
みたいなことか
0381名無しさん@お腹いっぱい。NGNG
>>380
つか、一つの接続には sshd ひとつしか立ち上がってないでしょ。
一個目の sshd は親玉 daemon 。
↓これ見てみ。
http://pc.2ch.net/test/read.cgi/linux/1015251437/9
0382名無しさん@お腹いっぱい。NGNG
>>380
UsePrivilegeSeparation yes でsshdが2つ動く
0383名無しさん@お腹いっぱい。NGNG
>>381
うぉ、そうだった。thx
0384名無しさん@お腹いっぱい。NGNG
うp方向のsshってある?
その逆はscpだけど。
0385名無しさん@お腹いっぱい。NGNG
まあ落ち着いてscpのmanでも読め。
0386名無しさん@お腹いっぱい。NGNG
まあ、落ち着いて cp の man でも読めや。
0387名無しさん@お腹いっぱい。NGNG
ついでにsftpのmanも読め
0388名無しさん@お腹いっぱい。NGNG
えーと、

rsh  ---> ssh
rlogin ---> ssh
telnet ---> ssh
ftp  ---> sftp
rcp  ---> scp
rcp  ---> rsync

で良いでしょうか?
0389名無しさん@お腹いっぱい。NGNG
rsync ---> rsync -e ssh
0390名無しさん@お腹いっぱい。NGNG
ふつう RSYNC_RSH=ssh; export RSYNC_RSH してるだろ。
0391名無しさん@お腹いっぱい。NGNG
ふつうって何さ
0392名無しさん@お腹いっぱい。NGNG
友達の少ないしとをいぢめちゃだめですよ
0393名無しさん@お腹いっぱい。NGNG
rsync 2.6.0だとsshがデフォルトになってるはずさ。
0394名無しさん@お腹いっぱい。NGNG
-e "ssh -l ユーザー"だったりするくらRSYNC_RSHは使えないなぁ
0395名無しさん@お腹いっぱい。NGNG
ふつう user@host:/path/to/dir するだろ。
0396名無しさん@お腹いっぱい。NGNG
rsync -z と rsync -e 'ssh -C' はどっちが効率いいんざましょ。
0397名無しさん@お腹いっぱい。NGNG
>>395
なんかそれだと/home/ユーザー/.sshの中の鍵を見つけてくれないんだよね
なんでだろ?
0398名無しさん@お腹いっぱい。NGNG
>>394
.ssh/config に User 指定しとけば host:/path/to/dir でいける
0399名無しさん@お腹いっぱい。NGNG
>>396
http://www.mail-archive.com/rsync@lists.samba.org/msg08406.html
0400名無しさん@お腹いっぱい。NGNG
>>400ゲトー
http://www63.tok2.com/home2/tokumeizatudan/2ch/2ch.swf
↑UNIX板、2ちゃんに関するフラッシュ
0401名無しさん@お腹いっぱい。NGNG
リモートにアクセスした後にそこのルートディレクトリ(/)以下全部を、ローカル(hoge.jp)のbokeユーザのホームディレクトリにコピーしたい時、
#scp -r /* boke@hoge.jp
でよろしいでしょうか?
0402名無しさん@お腹いっぱい。NGNG
>>381
あのですね
接続ごとに 2つずつたちあがるんですけど
これは何が原因ですかね

接続ごとに親玉いるんですかね
0403名無しさん@お腹いっぱい。NGNG
>>402
1個下のレスぐらい見なよ
0404おしりからミミズが出てきたYONGNG
次期Openssh(openssh-4.0.rc.tar.gz)は、パッチとして提供つつ削られたchroot機能が標準化されるらしい。
0405名無しさん@お腹いっぱい。NGNG
それよりsftpの効率をあげてほすい
0406名無しさん@お腹いっぱい。NGNG
自分自身で自身を攻撃すると
ループバック攻撃が成立し、デフレスパイラルならぬ
「アタック・スパイラル」が成立してなんだか楽しそう_| ̄|○

まさにうんこスパイラルですな
0407名無しさん@お腹いっぱい。NGNG
それより Heartbeat/Watchdog Patch を標準化してほすい
0408名無しさん@お腹いっぱい。NGNG
>>401
マルチか。
0409ssh-geekNGNG
ASPページや、ASP.NETといったサーバサイドはもちろん、VB,VB.NET, C#アプリケーションからも手軽にSSHクライアントアプリケーションが開発できます。
海外(ロシア)ですが、非常に親切に回答してもらえます。

近々日本人スタッフによるサポートも始まるようで、試してみる価値ありです。

http://www.weonlydo.com/
0410ssh-geekNGNG
ASPページや、ASP.NETといったサーバサイドはもちろん、VB,VB.NET, C#アプリケーションからも手軽にSSHクライアントアプリケーションが開発できます。
海外(ロシア)ですが、非常に親切に回答してもらえます。

近々日本人スタッフによるサポートも始まるようで、試してみる価値ありです。

http://www.weonlydo.com/
0411名無しさん@お腹いっぱい。NGNG
OpenSSL に穴が出てるけど、問題アリなのは libssl の方であって、
libcrypto には関係ないから ssh は影響なしという理解であってる?
0412名無しさん@おなかいっぱいNGNG
SFU3.5のOpenSSH371.p2使ってみたんだけど、なかなか良かとよ。
Cygwinのsshdより軽いもんね。
まぁsftpはどやっても重いけど、コリャどうしようもなか問題ね。
今日日VPN付きルータなんてのもあるようだが、オイラはOpenSSHやね。
もちろんケースバイケースなんでしょうが、WinもUNIXも混ぜ混ぜMIXなオイラにはありがたいOpenSSHでした。
さて、オナニーでもして寝るか。
0413名無しさん@お腹いっぱい。NGNG
boxA(会社) から boxB(家) は接続できる
boxB(家) から boxA(会社) は接続できない

という環境のとき,boxAから
[user@boxA]$ ssh -R 10022:localhost:22 boxB
でポートフォワーディングしておけば,
[user@boxB]$ ssh -p 10022 localhost
boxBからもboxAへ接続できるじゃん! 超便利.

そんなある日,家にいるとき,boxBをリブートしたいけど,
boxAからの接続は切りたくない.どうしようと思い,
boxAで
while true ; do
ssh -N -R 10022:localhost:22 boxB
echo "reconnect.." ; sleep 60
done
このようなスクリプトはしらせれば解決だろ.と思ったのですが.
boxBがリブートしたり,落ちたりして,sshセッションが無効になっても
ssh -N -R 10022:localhost:22 boxB
の部分は動きっぱなしで,ループしてくれません.

今は,姑息な手段で,解決しようとしていますが,なにかエレガントな解決方法ありませんか?


0414名無しさん@お腹いっぱい。NGNG
Heartbeat/Watchdog Patch for OpenSSH とか。
0415名無しさん@お腹いっぱい。NGNG
PasswordAuthenticationをnoにしているにも関わらず、
パスワード認証が通ってしまうのは何故なんでしょうか?
0416名無しさん@お腹いっぱい。NGNG
>>415
しらん。-t つけて起動してみるとか。
0417名無しさん@お腹いっぱい。NGNG
>>415
それはパスワード認証ではないから、とか言ってみるテスト。
ssh -v でみてみよう。
sshd -d で受けてみよう。
0418名無しさん@お腹いっぱい。NGNG
>>415
おそらくChallengeResponseAuthenticationがらみでしょ。
ttp://home.jp.freebsd.org/cgi-bin/showmail/FreeBSD-users-jp/71239
0419名無しさん@XEmacsNGNG
>>414
> Heartbeat/Watchdog Patch for OpenSSH とか。

Protocol2 なら ClientAliveInterval だけで OK。
0420415NGNG
>>418
これでした。ありがとうございます。
0421名無しさん@お腹いっぱい。NGNG
シェルの中で、.netrcを使ってsftpを実行させようとするのだが動きません。
エラーを確認すると"machine"をsftpが認識できないようなのです。
sftpで、FTP転送スクリプトファイルである.netrcを使いたい時、どうすればいいのでしょうか。
(ちなみにftpコマンドの場合は正常に接続できました。)

◇自作のスクリプト

 echo machine XXXX.XXXX.XXXX.XXXX(接続先IP) login XXXX password XXXXXX > $HOME'/.netrc'
echo macdef init >> $HOME'/.netrc'
echo binary >> $HOME'/.netrc'

sftp -v -i XXXX.XXXX.XXXX.XXXX(接続先IP) < $HOME'/.netrc'

( ftp -v -i XXXX.XXXX.XXXX.XXXX(接続先IP) < $HOME'/.netrc' だと正常に接続する)


0422名無しさん@お腹いっぱい。NGNG
sftp が .netrc を読むとは初耳だ。
ftp とは似て非ざるものぞ。
0423名無しさん@お腹いっぱい。NGNG
>>422
×非ざる
○非なる
これでは否定の否定だ。
0424421NGNG
やっぱ.netrcはsftpじゃ読めないってこと・
0425名無しさん@お腹いっぱい。NGNG
>>423
非(あら)ざる
非(ひ)なる
0426名無しさん@お腹いっぱい。NGNG
>>421
sftpは.netrcを読まないので、自動ログインする場合は別の方法が必要になる。
パスフレーズなしの秘密鍵を使うとか。
つか、

> ftp -v -i XXXX.XXXX.XXXX.XXXX(接続先IP) < $HOME'/.netrc'

って使い方は合ってるの?
.netrcは標準入力に与えるんじゃなくて、ただ記述しておくだけ(ftpが勝手に読む)んだと
思ってたけど。
0427名無しさん@お腹いっぱい。NGNG
man ハ偉大ナリ
man シル man シル man シル
0428421NGNG
>>422-426
レスさんくすです。
sftpは.netrcを読まないんですね。

>.netrcは標準入力に与えるんじゃなくて、ただ記述しておくだけ(ftpが勝手に読む)んだと
思ってたけど。

明示的にする為にわざとそういう書き方をしています。


シェル内にsftpを組み込む時、いちいち1つずつファイルを転送するコマンドを書かずに、
1つの転送スクリプトにまとめておき、sftpに一度で読み出すようにしたいんですが
何か方法ってあるんでしょうか。




0429名無しさん@お腹いっぱい。NGNG
>明示的にする為にわざとそういう書き方をしています。

いや、それ間違ってるので。
標準入力に食わせるコマンド列と .netrc は文法が違うし、
そもそも -n という引数を与えなけりゃならんし。
詳しくは ftp の man を読んでくれ。
sftp の man も読むと答が載っててウマーだ。
0430名無しさん@お腹いっぱい。NGNG
>>425
読み方なら知ってるよ。
それとも「似て非(あら)ざる」という言い回しがあると言ってるのかな?
0431名無しさん@お腹いっぱい。NGNG
「あらざる」が否定の否定とはどういうことだ?
0432名無しさん@お腹いっぱい。NGNG
「非(あらず)」が否定で、それにさらに否定の助動詞「ざる」がくっついてるから、かな。
0433名無しさん@お腹いっぱい。NGNG
という恥ずかしい勘違いを>>423はやっちまったわけだな。

「非ず」は「あり」+「ず」だろ。

「似て非ざる」を「似て非なる」に訂正したはいいが、蛇足だったな。
0434名無しさん@お腹いっぱい。NGNG
どうでもいい箇所の揚げ足とって面白いんだろうか?
0435名無しさん@お腹いっぱい。NGNG
>>423=434
そんなに悔しいか。なら始めっから間違った知識でひとの揚げ足なんか取るなよ。
0436 NGNG
どうして誰も書かないのか不思議だが…、

   OpenSSH 3.8.1 & OpenSSH 3.8.1p1  あげ!!!
0437436NGNG
あー、間違えたスマソ

移植版じゃない方(OpenBSD専用版)は 3.8 のままなのか
0438名無しさん@お腹いっぱい。NGNG
なんで、 3.8p2 じゃなくて 3.8.1p1 なのだろう??
0439436NGNG
http://www.itmedia.co.jp/enterprise/0404/20/epn06.html
にハメられた…コンチックショ
0440名無しさん@お腹いっぱい。NGNG
>>438
"p" は patch level の "p" でなくて portable の "p" のことと思われ。

つまり、本家が 3.8 → 3.8.1 に上がって、
portable もそれに追従すると 3.8.1p1 になる、と。
0441名無しさん@お腹いっぱい。NGNG
早速 3.8.1p1 を入れようと思うが
元の ssh と同じ prefix じゃないとヤバいのかな?
0442名無しさん@お腹いっぱい。NGNG
>>440
つーか、3.8.1 はでてねーんだなこれが。>>437 のとおり。
see ttp://www.openssh.com/
0443名無しさん@お腹いっぱい。NGNG
>>442
あ、はい、それは了解してますが、一般的なバージョン付けの話ということで。
紛らわしい話をしてしまってスマソ。
0444名無しさん@お腹いっぱい。NGNG
超初心者です。
sshを使うように命ぜられましてtelnetでログイン後
a@a ssh-keygen -t rsa1
enter
パス入力*2

と行っているのですが、prng_seedが作成されません。
identityとidentity.pubは作成されています。
その後authorized_keysを作成してidentityをbinaryでローカルにFTPしても
やはりログインできません。

別の人が同じ手順でやると、きちんと出来るのですが
何かユーザーに権限とか必要なのでしょうか。
0445名無しさん@お腹いっぱい。NGNG
宿題だか研修だか知らんが、まあ頑張れ
0446名無しさん@お腹いっぱい。NGNG
>>444
情報が少なすぎorあいまい。
ローカル、リモートを区別するために、それぞれ命名すること。
各種の操作をどちらで行ったか書くこと。
telnetかsshとか両者がからむときは、どちらからどちらへの操作か書くこと。
OS, sshのバージョンも場合によっては必要。
ssh -vの結果を、うまくできる人と比較すること。
本当に同じ手順で同じことをやったの?
ところで、秘密鍵をFTPで転送したりするの?
0447名無しさん@お腹いっぱい。NGNG
>>442
OpenBSDのcvs headのsshは3.8.1だよん
0448名無しさん@お腹いっぱい。NGNG
sftpでうpろーどできんの?
0449名無しさん@お腹いっぱい。NGNG
>>444
~/.ssh/は0700じゃないとダメなので確認する。
authorized_keysも0600が望ましい。
0450名無しさん@お腹いっぱい。NGNG
あ、秘密鍵送ってんのか。駄レススマソ
0451名無しさん@お腹いっぱい。NGNG
初心者なので分からないのですが、
あるPCにSSHログインした場合、どんなログ情報が残るのですか?
220.xxx.xxx.xxx -> 159.xxx.xxx.xxx
とだけしか残りませんか?
その後のディレクトリの移動もログに残りますか?
ログの場所はどこですか?教えてください。すいません...。
0452名無しさん@お腹いっぱい。NGNG
>>451
管理者に聞いて下さい。
0453名無しさん@お腹いっぱい。NGNG
特定のディレクトリに入ってきたら
ログを取るような設定は出来ますか?
0454名無しさん@お腹いっぱい。NGNG
(´-`).。oO(何がしたいんだか…)
0455ばんざぁ〜い!君でしこってよかったぁNGNG
いえぇ〜い!ばんざぁ〜い!君でしこってよかったぁ
このままずぅ〜っとずぅ〜っと 死ぬまでオナニ〜

>>454
恐らくSSHなんてどうでもいくて かまってほしかっただけなのでは?
質問内容自体が具体性に欠け漠然としているので
さして緊急でもなかろうて
0456名無しさん@お腹いっぱい。NGNG
>>427
これ気に入った。
0457名無しさん@お腹いっぱい。NGNG
>>456
うむ。特に黄金厨は。
0458名無しさん@お腹いっぱい。NGNG
>453
Windows ならできるけど、Unix でもできるのかは知らない。
■ このスレッドは過去ログ倉庫に格納されています