SSH その3

[0001 名無しさん＠お腹いっぱい。 NG NG]

SSHに関する情報交換のスレッドです。

FAQ、リンク集は >>2-5 あたり。

前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html

[0567 名無しさん＠お腹いっぱい。 NG NG]

何回かログイン失敗したホストからの接続を認証前にはじくにはどうすればよいでしょうか？

[0568 名無しさん＠お腹いっぱい。 NG NG]

>>567
そんな難しいことしなくても、jp以外をハジけば大抵解決するがな。

[0569 名無しさん＠お腹いっぱい。 NG NG]

svscan -> tcpserver -> sshd -> multilog な環境だと楽かも。
multilog から、illegal 吐き出したホストを積算して規定数以上溜まったら tcp.ssh.cdb に、:deny 書き出して制限するとかね。

[0570 名無しさん＠お腹いっぱい。 NG NG]

というか自分の管理ホスト以外からはport 22ってブロックしません？

[0571 名無しさん＠お腹いっぱい。 NG NG]

>>570
そうだね。

[0572 名無しさん＠お腹いっぱい。 NG NG]

>>570
そうしたいけど、外からメンテするときに困る

[0573 名無しさん＠お腹いっぱい。 NG NG]

>>572
いいんだよ、それで。鍵交換認証にしておけば問題なし。

[0574 名無しさん＠お腹いっぱい。 NG NG]

>>573
どういう意味？

[0575 名無しさん＠お腹いっぱい。 NG NG]

>>574
（ ﾟдﾟ）ﾎﾟｶｰﾝ
まさか、パスワード認証のみなんてことは．．．

[0576 名無しさん＠お腹いっぱい。 NG NG]

keygen

[0577 名無しさん＠お腹いっぱい。 NG NG]

>>575
鍵交換認証ならポート 22 閉じててもいいの?

[0578 名無しさん＠お腹いっぱい。 NG NG]

>>577
いいんだよ、それで。鍵交換認証にしておけば問題なし。

[0579 名無しさん＠お腹いっぱい。 NG NG]

>>577
いいんだよ、それで。ポート 23 開けておけば問題なし。

[0580 名無しさん＠お腹いっぱい。 NG NG]

echo +>/etc/hosts.equiv しておけばいいんじゃなかったっけ？

[0581 名無しさん＠お腹いっぱい。 NG NG]

お前ら・・・

[0582 名無しさん＠お腹いっぱい。 NG NG]

>>573 がちゃんと説明しないのがいけない。

[0583 名無しさん＠お腹いっぱい。 NG NG]

説明しなきゃわからんのか。ssh使う意味あるのかい。

[0584 名無しさん＠お腹いっぱい。 NG NG]

>>583
port 22 をブロックしたら当然外から接続できないと思うのですが、
それで「鍵交換認証にしておけば問題なし」の意味がわからない。

「鍵交換認証にしておけば port 22 をブロックしても外からメンテするのに問題ない」
とは一体どういう意味かと？

[0585 名無しさん＠お腹いっぱい。 NG NG]

ネタにマジレスすんなよ。

[0586 名無しさん＠お腹いっぱい。 NG NG]

きっと別ポートで sshd 動かすんだよ

[0587 名無しさん＠お腹いっぱい。 NG NG]

584ってマジレスなの？
学生のうちにもっと読解力をつけたほうがいいよ。おじさん心配。

[0588 名無しさん＠お腹いっぱい。 NG NG]

>>587
人生の先輩として
どの辺がおかしいのか教えてやってくれ。

[0589 名無しさん＠お腹いっぱい。 NG NG]

telnetdを22で動かしてる俺は勝ち組？

[0590 名無しさん＠お腹いっぱい。 NG NG]

>>589
笑わせ組

[0591 名無しさん＠お腹いっぱい。 NG NG]

>>589
笑われ組

[0592 名無しさん＠お腹いっぱい。 NG NG]

そして後から泣く組

[0593 573 ではないが NG NG]

ブロックしたいけど、外からメンテするときに困るから、ブロックしない。い
いんだよ、それで。鍵交換認証にしておけばブロックしなくても問題なし。

[0594 名無しさん＠お腹いっぱい。 NG NG]

>>593
>>573 の「いいんだよ、それで」の「それ」が曖昧でワケワカだったのですが、
「port 22 を閉じなくてもいいんだよ」という意味だったんですね。
やっと意味が通ってスッキリしました。

[0595 名無しさん＠お腹いっぱい。 NG NG]

>>594
そして、「うぐぅsshdのsecurity holeを突かれちゃったよ」ってことになるんだにょ。

[0596 名無しさん＠お腹いっぱい。 NG NG]

>>595
そこまで言ったら、どのポートも空けられないわな

[0597 名無しさん＠お腹いっぱい。 NG NG]

WANにつないでない俺は勝ち組。

[0598 名無しさん＠お腹いっぱい。 NG NG]

漏れの彼女も鍵認証です known_hosts

[0599 名無しさん＠お腹いっぱい。 NG NG]

>>598
気をつけて。
↓
彼女にloginできません
http://pc5.2ch.net/test/read.cgi/unix/1007136614/l50

[0600 573 ではないが NG NG]

600!

[0601 名無しさん＠お腹いっぱい。 NG NG]

ちゅーか自宅からログインする可能性があるユルめの踏み台ホストを一台作って。
他の管理ホストはその踏み台からだけ許可しておけってことだ。

踏み台ホストはhosts.allowでsshd : .marunouchi.ocn.ne.jp : allowみたいなちょっとユルめの設定にしたり。

[0602 名無しさん＠お腹いっぱい。 NG NG]

それじゃネカフェからメンテできません

[0603 名無しさん＠お腹いっぱい。 NG NG]

どうして？
ネカフェから踏み台にログインして、それからメンテすりゃいいじゃん。
marunouchi.ocn.ne.jpはあくまでも例だぜ。

[0604 名無しさん＠お腹いっぱい。 NG NG]

>>602
世界中のネットカフェを登録しておく

[0605 名無しさん＠お腹いっぱい。 NG NG]

ユルめの踏み台ホストに進入されるかもしれないので、もう一台ユルめの踏み台ホストを作って（以下エンドレス）

[0606 名無しさん＠お腹いっぱい。 NG NG]

>604 (･∀･)ｲｲ!!

[0607 名無しさん＠お腹いっぱい。 NG NG]

webから接続申請するフォームをつくって、
その元アドレスからport 22へのSYNパケットを5分間だけ許可するようにしてる。

[0608 名無しさん＠お腹いっぱい。 NG NG]

ＩＳＰのメールボックスに署名付暗号化メールで接続申請を出して、
その中に書かれたアドレスからport 22へのSYNパケットを5分間だけ許可するようにしてる。

[0609 名無しさん＠お腹いっぱい。 NG NG]

>>608
嘘ばっか。

[0610 名無しさん＠お腹いっぱい。 NG NG]

まぁtcpserverとか駆使すれば出来なくは無いが。

[0611 名無しさん＠お腹いっぱい。 NG NG]

最近sshdへの不正アクセスがあちこちで起こってるらしいよ。
久々にログ見て発見した。
上と同様、test、guest、admin、user、rootでログインしようとしてきてる。
rootではパスワードが違うってログに残ってる。
大体この順でアクセスを試みている点から見て
ウイルスかその類のような希ガス。

[0612 名無しさん＠お腹いっぱい。 NG NG]

>>611
ばっか。

[0613 名無しさん＠お腹いっぱい。 NG NG]

>>611
脳天気な香具師だな。

[0614 名無しさん＠お腹いっぱい。 NG NG]

中国、スウェデーン、韓国、日本、色んなとこからアクセスを試みてるよ。こういうのが最近流行ってるの?俺はもう引退したから良く分からないんだけどさ。とりあえずsshdを止めといた。ほとんど使わんので。

[0615 名無しさん＠お腹いっぱい。 NG NG]

>>613
詳細きぼん

[0616 名無しさん＠お腹いっぱい。 NG NG]

$ tail /var/log/authlog
tail: /var/log/authlog: Permission denied

[0617 名無しさん＠お腹いっぱい。 NG NG]

>>611
AirH"でダイヤルアップしてるWin2000のノートPCがあるんだが、
Cygwinのsshdが(インスコした時のまま)パスワード認証で動いてて、
おまけにFWソフトの設定タコっててsshdへの接続全部素通し状態で、
昨日ふとイベントビューア見てちょっと青ざめちまった。

[0618 初期不良 NG NG]

なんか 3.9p1 が出とる

[0619 名無しさん＠お腹いっぱい。 NG NG]

次は4.0かな?
どんなセキュホが仕込まれるのか想像したらオラすっげえワクワクしてきたぞ。

[0620 名無しさん＠お腹いっぱい。 NG NG]

SHA の脆弱性関連？

[0621 名無しさん＠お腹いっぱい。 NG NG]

春山さんのとこチェックしる。
http://www.unixuser.org/~haruyama/security/openssh/henkouten_3.9.txt

[0622 名無しさん＠お腹いっぱい。 NG NG]

>>621
今回は無理に上げる必要はなさげですかね。

[0623 名無しさん＠お腹いっぱい。 NG NG]

>>612-613

詳細をキボリヌ

[0624 名無しさん＠お腹いっぱい。 NG NG]

アホな質問かもしれませんが教えてください。

sftpって、送るファイルそのものの安全制を確保するもので、サーバ側のIPフィルタなんかとは守る部分が違うものなんですか？
つまり、sftpで暗号化して送ったからって、ポートが開けっ放しじゃ意味無いよ、ってことなんでしょうか？併用するべきですか？

インターネットから会社のサーバにファイル転送したいんですが、IPフィルタがかかっていて、自宅PCは動的グローバルIPで何かと面倒なので、IPフィルタやめて、sftpでやったらセキュリティ的にどうにかならないもんだろうか、とちょっと思ったんですが･･･。

[0625 名無しさん＠お腹いっぱい。 NG NG]

>>611

うちにも同じようなログが残ってます。
sshd_configで「PasswordAuthentication no」にしてパスワード認証は無効に
しているはずなのですが・・

Failed password for root from ｘｘｘ.ｘｘｘ.ｘｘｘ.ｘｘｘ port 50000 ssh2

ってなっていて凄く気になります。詳しい方や何か情報をお持ちの方はいませんか？

[0626 名無しさん＠お腹いっぱい。 NG NG]

>>625
ばっか。

[0627 名無しさん＠お腹いっぱい。 NG NG]

Failed だよ何言っているんだッ!!＼（ﾟ∀ﾟ）ノ

[0628 名無しさん＠お腹いっぱい。 NG NG]

ちーとはｸﾞｸﾞれよ。

[0629 625 NG NG]

>>628

スミマセン・・
ｸﾞｸﾞってもそれなりに納得いく結果が得られませんでした。

[0630 名無しさん＠お腹いっぱい。 NG NG]

>>624
何言ってんの?

[0631 名無しさん＠お腹いっぱい。 NG NG]

>>625,629
ちっとは man sshd や man sshd_config しろよな。

[0632 名無しさん＠お腹いっぱい。 NG NG]

>>611,>>625他
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
早い話が、どこぞのバカが不正にログインしようとしてるってことです。不特定多数
に対する攻撃のようですな。


>>628　ググっても見つからなかった

[0633 名無しさん＠お腹いっぱい。 NG NG]

そりゃ探し方が悪い。
あるいは日本語のページしか探してないんだろ。

[0634 名無しさん＠お腹いっぱい。 NG NG]

http://www.bayashi.net/svr/doc/ssh.html
を、参考にしてるのですが
/root/.ssh/ の中には
id_dsa
id_dsa.pub
id_rsa
id_rsa.pub
しかないのですが、
identity.pub
identity
はどこにあるのでしょうか？？

それと
# /etc/rc.d/init.d/sshd start
と、入力したら
Generating SSH1 RSA host key: [ OK ]
Generating SSH2 RSA host key: [ OK ]
Generating SSH2 DSA host key: [ OK ]
Starting sshd: [ OK ]
と表示されるらしいのですが
Starting sshd: [ OK ]
しか表示されません。異常なのでしょうか？？

[0635 名無しさん＠お腹いっぱい。 NG NG]

釣りじゃないことを願うけど、前者は
$ man ssh-keygen
で-t typeのところを見ればわかるかと。

後者はサーバが起動するたびにサーバ鍵が変わると普通は困るので、
鍵の自動作成は初回のみ(厳密には鍵がない場合)しか行われないってこと。

# 件のページは古いので今となっては正確ではない。
# というかああいう個人サイトは絶対複数のサイトを見て参考程度に留めること。
# 基本は一次情報です

[0636 名無しさん＠お腹いっぱい。 NG NG]

>>635
identity.pub
identity
この二つはどのファイルに変わってるのか教えてくれませんか・・・？

[0637 名無しさん＠お腹いっぱい。 NG NG]

>>636
今もそのファイル。SSHプロトコル1でしか使われないけど。

[0638 名無しさん＠お腹いっぱい。 NG NG]

>>637
マジですか？？

/root/.ssh/ の中に
id_dsa
id_dsa.pub
id_rsa
id_rsa.pub
しかないのは、おかしいのでしょうか？
ちゃんと暗号キーを作成したと思ってたのですが・・・

[0639 名無しさん＠お腹いっぱい。 NG NG]

> ちゃんと暗号キーを作成したと思ってたのですが・・・
ちゃんとやってない香具師に限ってそういうことを言うような気がする。

ちゃんと man ssh-keygen した？
ちゃんと ssh-keygen -t rsa1 した？

＃ ていうか、そもそも、いまどき rsa1 は要らん気もする。

[0640 名無しさん＠お腹いっぱい。 NG NG]

>>633
例を示せ

＃ どうせ煽るためだけに来てるﾔｼだろうけどな


> あるいは日本語のページしか探してないんだろ。

　んなわけないだろアホ

[0641 名無しさん＠お腹いっぱい。 NG NG]

「ちゃんと」をNGワードにする事をお推めします。

[0642 名無しさん＠お腹いっぱい。 NG NG]

# ssh-keygen -t dsa
# ssh-keygen -t rsa
の二つしかやってません。

man ssh-keygen
は、今からやります。
ssh-keygen -t rsa1
は要らん気もするってことなのでやらないことにします。

[0643 名無しさん＠お腹いっぱい。 NG NG]

かのｽﾚで続きが見当たらないと思ってたら このｽﾚに来てたのか （藁

[0644 625 NG NG]

>>632

情報ありがとう御座います！

PubkeyAuthenticationだけしか許可してないに何故

input_userauth_request: illegal user test
Could not reverse map address xxx.xxx.xxx.xxx.
Failed password for illegal user test from xxx.xxx.xxx.xxx port xxxx ssh2
Received disconnect from xxx.xxx.xxx.xxx: 11: Bye Bye

こんな感じのログが残るのか不思議・・

[0645 名無しさん＠お腹いっぱい。 NG NG]

何が問題なんだ?
fail してるならいいじゃん。
つーか、FW なり tcp_wrapper なり AllowUsers なりで
接続元ホストを限定しとけよ。

[0646 名無しさん＠お腹いっぱい。 NG NG]

>644 大丈夫、本当にやばい時はlogすら残らないから。

[0647 632 NG NG]

>>644
sshdはsyslogを通してログを吐く。
そのログは auth.info のログだな。（facilityが"auth"でlevelが"info"ってこと。）

どれくらい詳しくログを吐かせるのかも sshd_config で設定できる。
SyslogFacilityとかLogLevelの項目がそれ。

あとはマニュアル sshd_config(5) を読むこった。3.8.1p1のものだけど、マニュアル
の日本語訳もあるから（http://www.openssh.com/ja/manual.html）、それを参考にすれば
いいさ。

>>645の言う通り、それで問題ないだろ。
　・「不正に」ログインしようとした奴がログインに失敗した
　・そもそも許可されていない方法（パスワード認証）でログインしようとし
　　て本当にログインに失敗した
ってだけなんだからな。

　　　勉　強　し　ろ　ー　！！

[0648 632 NG NG]

許可されていない方法（>>625の場合ではパスワード認証）でログインしようと
して本当にログインに失敗した場合もログに残すという仕様になっているんだ
よね、sshdは。

[0649 名無しさん＠お腹いっぱい。 NG NG]

ログの意味分からないやつがログを見てもねぇ……。

実はあちこちにクラックの痕跡が残ってたりして。

[0650 名無しさん＠お腹いっぱい。 NG NG]

SSHの商標問題って最終的にどうなったの？

[0651 名無しさん＠お腹いっぱい。 NG NG]

SSHの解説で一番わかりやすいのどこー？
参考にしてるサイトは少し内容が古いせいか知らないが
自分がやってる全然違う。最終更新日が二年前だったから？

[0652 名無しさん＠お腹いっぱい。 NG NG]

>>651
OpenSSHのなにについての解説かしらんけど
ttp://www.openssh.com/ja/
まずはここ見て、わからんところをググればいいとおもう。

[0653 名無しさん＠お腹いっぱい。 NG NG]

ごめん、OpenSSHじゃなくてSSHか。↑のは無視してください

[0654 名無しさん＠お腹いっぱい。 NG NG]

SSHとOpenSHHってどこが違うの？？

[0655 名無しさん＠お腹いっぱい。 NG NG]

>>654
いろいろ

[0656 名無しさん＠お腹いっぱい。 NG NG]

いろいろってどこが？？

[0657 名無しさん＠お腹いっぱい。 NG NG]

角度とか。

[0658 名無しさん＠お腹いっぱい。 NG NG]

>>654のOpenSHHって何だ？

[0659 名無しさん＠お腹いっぱい。 NG NG]

当たり具合とか。

[0660 名無しさん＠お腹いっぱい。 NG NG]

一番使われてそうなんだけど以外と延びないｽﾚだね

[0661 名無しさん＠お腹いっぱい。 NG NG]

>>660
別にアレコレと設定が必要でもないからね

[0662 名無しさん＠お腹いっぱい。 NG NG]

SSHで作った鍵だけど、LAN上のPCに送る方法とかない？
やっぱりフロッピーに入れて移動させるしかない？？
フロッピー指すところがマザーにないんだけど・・・

[0663 名無しさん＠お腹いっぱい。 NG NG]

1. USBメモリ
2. scp/sftp (パスワード・経路は最低限ではあるが暗号化される)

[0664 名無しさん＠お腹いっぱい。 NG NG]

>>662
そのLAN上のPC上でopensslでキーペア作って公開鍵をSSHの鍵があるところまで送る、
SSHの鍵を公開鍵で暗号化してLAN上のPCに送る。復号する。以上

[0665 名無しさん＠お腹いっぱい。 NG NG]

sshの秘密鍵を移動する必要はないでそ?
公開鍵は平文でも問題ないし。

[0666 名無しさん＠お腹いっぱい。 NG NG]

>>656
ダメージとか