SSH その3

[0001 名無しさん＠お腹いっぱい。 NG NG]

SSHに関する情報交換のスレッドです。

FAQ、リンク集は >>2-5 あたり。

前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html

[0524 名無しさん＠お腹いっぱい。 NG NG]

あなたのような、ならいいのかしら

>>521
えー、そりゃできないよ。そういうホストを仮定できる環境が
思いつかない。一般的でない。
自分がよくても管理者（多かれ少なかれおまいもそうじゃろ？）が
ヒドい目にあうぞな。だから気をつけてね >>518

[0525 名無しさん＠お腹いっぱい。 NG NG]

>>521
幼稚すぎて可能性の議論とは認められない。従ってお前呼ばわりされてもしょうがない。

[0526 名無しさん＠お腹いっぱい。 NG NG]

一体何のための火壁だよ

[0527 名無しさん＠お腹いっぱい。 NG NG]

火壁に触る奴は無差別にそのIPを他所にバラ撒くで手を打とうかね

[0528 ﾈﾀﾆﾏｼﾞﾚｽｶｺ(ry NG NG]

>>523
Secure SHell

[0529 名無しさん＠お腹いっぱい。 NG NG]

>>513
ssh のポートフォワードを使わなくても、
sshで ファイアーウォールの内側から外に出る事ができるのなら、
ファイアーウォールの外から内側に入る事は可能。

ただし、許可されていない方法(管理者が知らない方法を含む)で、外部から内部へ入った場合、不正アクセス禁止法で刑事訴追される場合がある。管理者は告発する事ができる。

# 今じゃ、管理者の御叱言だけでは、すまされない。

[0530 名無しさん＠お腹いっぱい。 NG NG]

cygwin で

ssh-keygen -t rsa

してパスワードを適当にうったところ

open ~/.ssh/id_rsa failed: No such file or directory.
Saving the key failed: ~/.ssh/id_rsa

となり失敗します．
たしかに， .ssh 自体が最初からないのですが，
なければ作ってはくれないのでしょうか？

[0531 名無しさん＠お腹いっぱい。 NG NG]

>>530
ssh-keygenは~/.sshがなければ勝手につくってくれる。
ホームに至るまでのパーミッションがおかしいのでは？

[0532 名無しさん＠お腹いっぱい。 NG NG]

ホストAとBの間で複数のサービスをトンネリングするとき、
サービスの各ポートを仮想化して実際のポートを
１つにまとめることはできませんか？

HOST-A　　　　　　　　　　　　HOST-B
　｜　　　　　　　　　　　　　　　　｜
============================================ TCP over http/443など１つ。
　｜　　　　　　　　　　　　　　　　｜
　<---------ftp------------>　…仮想ポート1,2
　｜　　　　　　　　　　　　　　　　｜
　<---------telnet --------->　…仮想ポート3
　｜　　　　　　　　　　　　　　　　｜
　<---------その他 -------->　…仮想ポート4
　｜　　　　　　　　　　　　　　　　｜
　<----------------------->　…仮想ポート5
　｜　　　　　　　　　　　　　　　　｜
=============================================
　｜　　　　　　　　　　　　　　　　｜


sshの話題じゃないかもしれませんが、
トンネリング扱ってるスレが他に見当たらないので。
（適当なスレがあったら移動します）

VPNってのがそうなんでしょうか。
ちなみにSoftEtherみたいな大掛かりなのは導入したくないです。

[0533 名無しさん＠ＸＥｍａｃｓ NG NG]

>>532
> ホストAとBの間で複数のサービスをトンネリングするとき、
> サービスの各ポートを仮想化して実際のポートを
> １つにまとめることはできませんか？

いまんとこ SOCKS only だから御希望の動作とはちと違うかもしれ
ないけど、OpenSSH の dynamic port forwarding で似たようなこと
が可能なんじゃないかな。

[0534 ｳｻﾁｬｿ NG NG]

微妙にスレ違いでｽﾏｿ。

SFU に SSH でログインすると、ホームじゃなくて / に入ってしまう…。
これは、「そんなワケの判らないもの使うな」って神の啓示なんだろうか。

教えて！エロい人！！

[0535 名無しさん＠お腹いっぱい。 NG NG]

何を教えればいいんだろう。

[0536 名無しさん＠お腹いっぱい。 NG NG]

>>534
それはきっと神の啓示だと思われます。

[0537 ｳｻﾁｬｿ NG NG]

そうか！神の啓示だったんだ！！


…って、自己解決しますた。ｽﾏｿ。
どうもドメインユーザーだとそうなってしまうらしい。

ssh +usachan hoge

だとローカルアカウントのホーム C:\Documents and Settings\usachan
に入るけど、

ssh DOMAIN+usachan hoge

だと / に入ってしまう模様。
別ドメインの同名ユーザーが、同じディレクトリにログインしてしまうとは…。
こりゃ Cygwin 使えってこと？

[0538 名無しさん＠お腹いっぱい。 NG NG]

SSHによる遠隔操作は、外部CGI実行プログラム（Perl,sh）からも
クライアントとして実現できますか？

それともやはりターミナル、専用クライアント（TTSSH等）しか不可能なのでしょうか。

[0539 名無しさん＠お腹いっぱい。 NG NG]

>>538
できるよん

[0540 名無しさん＠お腹いっぱい。 NG NG]

ただし、できるということが即やっていいことを意味しないので慎重に検討すべし。
ヘタすりゃ大穴が開きかねん。

[0541 名無しさん＠お腹いっぱい。 NG NG]

.ssh/authorized_keysにcommand=hogeとか書いておくのがふつ〜かな?
ただ、パスフレーズなしな公開鍵による認証にする場合が多いんで、鍵の管理には
注意が必要。

[0542 名無しさん＠お腹いっぱい。 NG NG]

Perl,shで書かれたCGI式のSSHクライアントを配布してる場所ありませんか？

Javaアプレット形式のクライアントは発見できましたが
あまり使い勝手が良くなかったので。

[0543 名無しさん＠お腹いっぱい。 NG NG]

>>542
webmin

[0544 名無しさん＠お腹いっぱい。 NG NG]

>>543
レンタルサーバーなのでインストールは出来ないです。。
PerlモジュールのURI::SSHや、
シェルスクリプトによるssh接続などのサンプルスクリプト等が
載っているページを探してるんですが見つかりません。。

[0545 名無しさん＠お腹いっぱい。 NG NG]

>>544
板違い。WebProg板へいってらっしゃい

[0546 名無しさん＠お腹いっぱい。 NG NG]

春山さん乙でつ

[0547 名無しさん＠お腹いっぱい。 NG NG]

だれそれ

[0548 名無しさん＠お腹いっぱい。 NG NG]

確かに春山は新山ほどには有名じゃないだろうけど
それでも知らないってのは弱すぎるんじゃね？

[0549 名無しさん＠お腹いっぱい。 NG NG]

あ、そうなの？
どっちも同程度に有名だと思ってた。

[0550 名無しさん＠お腹いっぱい。 NG NG]

で、何者なのさ。

[0551 名無しさん＠お腹いっぱい。 NG NG]

春山さんの著書
http://www.amazon.co.jp/exec/obidos/ASIN/4763191594/

新山さんはこっち
http://www.amazon.co.jp/exec/obidos/ASIN/4535512736/

[0552 名無しさん＠お腹いっぱい。 NG NG]

>549
春山っていうと、なんだろうな。東大、OpenSSH、goRua って感じかな。
新山っていうと、なんだろうな。東工大、djb、地下鉄話って感じかな。
新山って、山形のファン掲示板にも出入りしててちょっと恥ずかしい
感じを露呈してるけど、地下鉄話は結構よかったし、qmail 使おうと
したヤシなら一度は世話になってるんじゃないかと思うんで、
新山の方が名は売れてるんじゃないかな、と思う。

[0553 名無しさん＠お腹いっぱい。 NG NG]

なんだ、結局人の尻馬に乗っていきがってる香具師らか…
さむいの〜

[0554 名無しさん＠お腹いっぱい。 NG NG]

どっちもﾁｮｿだってことだろ

[0555 名無しさん＠お腹いっぱい。 NG NG]

紳士服?

[0556 名無しさん＠お腹いっぱい。 NG NG]

だれもが巨人の肩に乗ってるんだよ。

[0557 名無しさん＠お腹いっぱい。 NG NG]

そうでもないがな

[0558 名無しさん＠お腹いっぱい。 NG NG]

神降臨
「ファイル名を サーバ: EUC-JP ローカル: SHIFT_JIS となるように変換します.」
ttp://www.unixuser.org/~haruyama/software/filezilla_patch.html


以前公開されていたファイル名変換パッチとは別の方が製作なされたもよう。
ほんとうにどうもありがとうございます。 ＞ パッチ作者様 (神)

[0559 名無しさん＠お腹いっぱい。 NG NG]

>>558
cygwin のこれが欲しいな

[0560 名無しさん＠お腹いっぱい。 NG NG]

unixuser のくせに Windows アプリのパッチなんて作ってんのかｗ

[0561 名無しさん＠お腹いっぱい。 NG NG]

FileZilla のほうは PuTTY の修正版出たヨ。

>>560
何もしない人乙

[0562 名無しさん＠お腹いっぱい。 NG NG]

>>561
>>560は放置ということでﾖﾛｼｸ

[0563 名無しさん＠お腹いっぱい。 NG NG]

WinSCP も修正版きました

[0564 名無しさん＠お腹いっぱい。 NG NG]

最近、

Aug 11 01:52:28 ...... sshd[24725]: Illegal user test from 202.102.242.178
Aug 11 01:52:29 ...... sshd[24727]: Illegal user guest from 202.102.242.178
Aug 11 01:52:29 ...... sshd[24728]: Illegal user test from 202.102.242.178
Aug 11 01:52:30 ...... sshd[24731]: Illegal user admin from 202.102.242.178
Aug 11 01:52:30 ...... sshd[24733]: Illegal user guest from 202.102.242.178
Aug 11 01:52:31 ...... sshd[24735]: Illegal user admin from 202.102.242.178
Aug 11 01:52:31 ...... sshd[24737]: Illegal user admin from 202.102.242.178
Aug 11 01:52:32 ...... sshd[24739]: Illegal user user from 202.102.242.178
Aug 11 01:52:32 ...... sshd[24741]: Illegal user admin from 202.102.242.178

みたいなログが多いんだけど、これ何？

[0565 名無しさん＠お腹いっぱい。 NG NG]

sshd Illegal user

でｸﾞｸﾞれば出てくるだろーに。
スクリプトかなんか使った不正アクセスだよ。

[0566 名無しさん＠お腹いっぱい。 NG NG]

>>564
先月末から何度もアクセスしてくるな。
たぶん、このユーザーで入れるルーターか何かがあるんじゃなかろうか？

[0567 名無しさん＠お腹いっぱい。 NG NG]

何回かログイン失敗したホストからの接続を認証前にはじくにはどうすればよいでしょうか？

[0568 名無しさん＠お腹いっぱい。 NG NG]

>>567
そんな難しいことしなくても、jp以外をハジけば大抵解決するがな。

[0569 名無しさん＠お腹いっぱい。 NG NG]

svscan -> tcpserver -> sshd -> multilog な環境だと楽かも。
multilog から、illegal 吐き出したホストを積算して規定数以上溜まったら tcp.ssh.cdb に、:deny 書き出して制限するとかね。

[0570 名無しさん＠お腹いっぱい。 NG NG]

というか自分の管理ホスト以外からはport 22ってブロックしません？

[0571 名無しさん＠お腹いっぱい。 NG NG]

>>570
そうだね。

[0572 名無しさん＠お腹いっぱい。 NG NG]

>>570
そうしたいけど、外からメンテするときに困る

[0573 名無しさん＠お腹いっぱい。 NG NG]

>>572
いいんだよ、それで。鍵交換認証にしておけば問題なし。

[0574 名無しさん＠お腹いっぱい。 NG NG]

>>573
どういう意味？

[0575 名無しさん＠お腹いっぱい。 NG NG]

>>574
（ ﾟдﾟ）ﾎﾟｶｰﾝ
まさか、パスワード認証のみなんてことは．．．

[0576 名無しさん＠お腹いっぱい。 NG NG]

keygen

[0577 名無しさん＠お腹いっぱい。 NG NG]

>>575
鍵交換認証ならポート 22 閉じててもいいの?

[0578 名無しさん＠お腹いっぱい。 NG NG]

>>577
いいんだよ、それで。鍵交換認証にしておけば問題なし。

[0579 名無しさん＠お腹いっぱい。 NG NG]

>>577
いいんだよ、それで。ポート 23 開けておけば問題なし。

[0580 名無しさん＠お腹いっぱい。 NG NG]

echo +>/etc/hosts.equiv しておけばいいんじゃなかったっけ？

[0581 名無しさん＠お腹いっぱい。 NG NG]

お前ら・・・

[0582 名無しさん＠お腹いっぱい。 NG NG]

>>573 がちゃんと説明しないのがいけない。

[0583 名無しさん＠お腹いっぱい。 NG NG]

説明しなきゃわからんのか。ssh使う意味あるのかい。

[0584 名無しさん＠お腹いっぱい。 NG NG]

>>583
port 22 をブロックしたら当然外から接続できないと思うのですが、
それで「鍵交換認証にしておけば問題なし」の意味がわからない。

「鍵交換認証にしておけば port 22 をブロックしても外からメンテするのに問題ない」
とは一体どういう意味かと？

[0585 名無しさん＠お腹いっぱい。 NG NG]

ネタにマジレスすんなよ。

[0586 名無しさん＠お腹いっぱい。 NG NG]

きっと別ポートで sshd 動かすんだよ

[0587 名無しさん＠お腹いっぱい。 NG NG]

584ってマジレスなの？
学生のうちにもっと読解力をつけたほうがいいよ。おじさん心配。

[0588 名無しさん＠お腹いっぱい。 NG NG]

>>587
人生の先輩として
どの辺がおかしいのか教えてやってくれ。

[0589 名無しさん＠お腹いっぱい。 NG NG]

telnetdを22で動かしてる俺は勝ち組？

[0590 名無しさん＠お腹いっぱい。 NG NG]

>>589
笑わせ組

[0591 名無しさん＠お腹いっぱい。 NG NG]

>>589
笑われ組

[0592 名無しさん＠お腹いっぱい。 NG NG]

そして後から泣く組

[0593 573 ではないが NG NG]

ブロックしたいけど、外からメンテするときに困るから、ブロックしない。い
いんだよ、それで。鍵交換認証にしておけばブロックしなくても問題なし。

[0594 名無しさん＠お腹いっぱい。 NG NG]

>>593
>>573 の「いいんだよ、それで」の「それ」が曖昧でワケワカだったのですが、
「port 22 を閉じなくてもいいんだよ」という意味だったんですね。
やっと意味が通ってスッキリしました。

[0595 名無しさん＠お腹いっぱい。 NG NG]

>>594
そして、「うぐぅsshdのsecurity holeを突かれちゃったよ」ってことになるんだにょ。

[0596 名無しさん＠お腹いっぱい。 NG NG]

>>595
そこまで言ったら、どのポートも空けられないわな

[0597 名無しさん＠お腹いっぱい。 NG NG]

WANにつないでない俺は勝ち組。

[0598 名無しさん＠お腹いっぱい。 NG NG]

漏れの彼女も鍵認証です known_hosts

[0599 名無しさん＠お腹いっぱい。 NG NG]

>>598
気をつけて。
↓
彼女にloginできません
http://pc5.2ch.net/test/read.cgi/unix/1007136614/l50

[0600 573 ではないが NG NG]

600!

[0601 名無しさん＠お腹いっぱい。 NG NG]

ちゅーか自宅からログインする可能性があるユルめの踏み台ホストを一台作って。
他の管理ホストはその踏み台からだけ許可しておけってことだ。

踏み台ホストはhosts.allowでsshd : .marunouchi.ocn.ne.jp : allowみたいなちょっとユルめの設定にしたり。

[0602 名無しさん＠お腹いっぱい。 NG NG]

それじゃネカフェからメンテできません

[0603 名無しさん＠お腹いっぱい。 NG NG]

どうして？
ネカフェから踏み台にログインして、それからメンテすりゃいいじゃん。
marunouchi.ocn.ne.jpはあくまでも例だぜ。

[0604 名無しさん＠お腹いっぱい。 NG NG]

>>602
世界中のネットカフェを登録しておく

[0605 名無しさん＠お腹いっぱい。 NG NG]

ユルめの踏み台ホストに進入されるかもしれないので、もう一台ユルめの踏み台ホストを作って（以下エンドレス）

[0606 名無しさん＠お腹いっぱい。 NG NG]

>604 (･∀･)ｲｲ!!

[0607 名無しさん＠お腹いっぱい。 NG NG]

webから接続申請するフォームをつくって、
その元アドレスからport 22へのSYNパケットを5分間だけ許可するようにしてる。

[0608 名無しさん＠お腹いっぱい。 NG NG]

ＩＳＰのメールボックスに署名付暗号化メールで接続申請を出して、
その中に書かれたアドレスからport 22へのSYNパケットを5分間だけ許可するようにしてる。

[0609 名無しさん＠お腹いっぱい。 NG NG]

>>608
嘘ばっか。

[0610 名無しさん＠お腹いっぱい。 NG NG]

まぁtcpserverとか駆使すれば出来なくは無いが。

[0611 名無しさん＠お腹いっぱい。 NG NG]

最近sshdへの不正アクセスがあちこちで起こってるらしいよ。
久々にログ見て発見した。
上と同様、test、guest、admin、user、rootでログインしようとしてきてる。
rootではパスワードが違うってログに残ってる。
大体この順でアクセスを試みている点から見て
ウイルスかその類のような希ガス。

[0612 名無しさん＠お腹いっぱい。 NG NG]

>>611
ばっか。

[0613 名無しさん＠お腹いっぱい。 NG NG]

>>611
脳天気な香具師だな。

[0614 名無しさん＠お腹いっぱい。 NG NG]

中国、スウェデーン、韓国、日本、色んなとこからアクセスを試みてるよ。こういうのが最近流行ってるの?俺はもう引退したから良く分からないんだけどさ。とりあえずsshdを止めといた。ほとんど使わんので。

[0615 名無しさん＠お腹いっぱい。 NG NG]

>>613
詳細きぼん

[0616 名無しさん＠お腹いっぱい。 NG NG]

$ tail /var/log/authlog
tail: /var/log/authlog: Permission denied

[0617 名無しさん＠お腹いっぱい。 NG NG]

>>611
AirH"でダイヤルアップしてるWin2000のノートPCがあるんだが、
Cygwinのsshdが(インスコした時のまま)パスワード認証で動いてて、
おまけにFWソフトの設定タコっててsshdへの接続全部素通し状態で、
昨日ふとイベントビューア見てちょっと青ざめちまった。

[0618 初期不良 NG NG]

なんか 3.9p1 が出とる

[0619 名無しさん＠お腹いっぱい。 NG NG]

次は4.0かな?
どんなセキュホが仕込まれるのか想像したらオラすっげえワクワクしてきたぞ。

[0620 名無しさん＠お腹いっぱい。 NG NG]

SHA の脆弱性関連？

[0621 名無しさん＠お腹いっぱい。 NG NG]

春山さんのとこチェックしる。
http://www.unixuser.org/~haruyama/security/openssh/henkouten_3.9.txt

[0622 名無しさん＠お腹いっぱい。 NG NG]

>>621
今回は無理に上げる必要はなさげですかね。

[0623 名無しさん＠お腹いっぱい。 NG NG]

>>612-613

詳細をキボリヌ