SSH その3
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html
0619名無しさん@お腹いっぱい。
NGNGどんなセキュホが仕込まれるのか想像したらオラすっげえワクワクしてきたぞ。
0620名無しさん@お腹いっぱい。
NGNG0621名無しさん@お腹いっぱい。
NGNGhttp://www.unixuser.org/~haruyama/security/openssh/henkouten_3.9.txt
0622名無しさん@お腹いっぱい。
NGNG今回は無理に上げる必要はなさげですかね。
0623名無しさん@お腹いっぱい。
NGNG詳細をキボリヌ
0624名無しさん@お腹いっぱい。
NGNGsftpって、送るファイルそのものの安全制を確保するもので、サーバ側のIPフィルタなんかとは守る部分が違うものなんですか?
つまり、sftpで暗号化して送ったからって、ポートが開けっ放しじゃ意味無いよ、ってことなんでしょうか?併用するべきですか?
インターネットから会社のサーバにファイル転送したいんですが、IPフィルタがかかっていて、自宅PCは動的グローバルIPで何かと面倒なので、IPフィルタやめて、sftpでやったらセキュリティ的にどうにかならないもんだろうか、とちょっと思ったんですが・・・。
0625名無しさん@お腹いっぱい。
NGNGうちにも同じようなログが残ってます。
sshd_configで「PasswordAuthentication no」にしてパスワード認証は無効に
しているはずなのですが・・
Failed password for root from xxx.xxx.xxx.xxx port 50000 ssh2
ってなっていて凄く気になります。詳しい方や何か情報をお持ちの方はいませんか?
0626名無しさん@お腹いっぱい。
NGNGばっか。
0627名無しさん@お腹いっぱい。
NGNG0628名無しさん@お腹いっぱい。
NGNG0629625
NGNGスミマセン・・
ググってもそれなりに納得いく結果が得られませんでした。
0630名無しさん@お腹いっぱい。
NGNG何言ってんの?
0631名無しさん@お腹いっぱい。
NGNGちっとは man sshd や man sshd_config しろよな。
0632名無しさん@お腹いっぱい。
NGNGhttp://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
早い話が、どこぞのバカが不正にログインしようとしてるってことです。不特定多数
に対する攻撃のようですな。
>>628 ググっても見つからなかった
0633名無しさん@お腹いっぱい。
NGNGあるいは日本語のページしか探してないんだろ。
0634名無しさん@お腹いっぱい。
NGNGを、参考にしてるのですが
/root/.ssh/ の中には
id_dsa
id_dsa.pub
id_rsa
id_rsa.pub
しかないのですが、
identity.pub
identity
はどこにあるのでしょうか??
それと
# /etc/rc.d/init.d/sshd start
と、入力したら
Generating SSH1 RSA host key: [ OK ]
Generating SSH2 RSA host key: [ OK ]
Generating SSH2 DSA host key: [ OK ]
Starting sshd: [ OK ]
と表示されるらしいのですが
Starting sshd: [ OK ]
しか表示されません。異常なのでしょうか??
0635名無しさん@お腹いっぱい。
NGNG$ man ssh-keygen
で-t typeのところを見ればわかるかと。
後者はサーバが起動するたびにサーバ鍵が変わると普通は困るので、
鍵の自動作成は初回のみ(厳密には鍵がない場合)しか行われないってこと。
# 件のページは古いので今となっては正確ではない。
# というかああいう個人サイトは絶対複数のサイトを見て参考程度に留めること。
# 基本は一次情報です
0636名無しさん@お腹いっぱい。
NGNGidentity.pub
identity
この二つはどのファイルに変わってるのか教えてくれませんか・・・?
0637名無しさん@お腹いっぱい。
NGNG今もそのファイル。SSHプロトコル1でしか使われないけど。
0638名無しさん@お腹いっぱい。
NGNGマジですか??
/root/.ssh/ の中に
id_dsa
id_dsa.pub
id_rsa
id_rsa.pub
しかないのは、おかしいのでしょうか?
ちゃんと暗号キーを作成したと思ってたのですが・・・
0639名無しさん@お腹いっぱい。
NGNGちゃんとやってない香具師に限ってそういうことを言うような気がする。
ちゃんと man ssh-keygen した?
ちゃんと ssh-keygen -t rsa1 した?
# ていうか、そもそも、いまどき rsa1 は要らん気もする。
0640名無しさん@お腹いっぱい。
NGNG例を示せ
# どうせ煽るためだけに来てるヤシだろうけどな
> あるいは日本語のページしか探してないんだろ。
んなわけないだろアホ
0641名無しさん@お腹いっぱい。
NGNG0642名無しさん@お腹いっぱい。
NGNG# ssh-keygen -t rsa
の二つしかやってません。
man ssh-keygen
は、今からやります。
ssh-keygen -t rsa1
は要らん気もするってことなのでやらないことにします。
0643名無しさん@お腹いっぱい。
NGNG0644625
NGNG情報ありがとう御座います!
PubkeyAuthenticationだけしか許可してないに何故
input_userauth_request: illegal user test
Could not reverse map address xxx.xxx.xxx.xxx.
Failed password for illegal user test from xxx.xxx.xxx.xxx port xxxx ssh2
Received disconnect from xxx.xxx.xxx.xxx: 11: Bye Bye
こんな感じのログが残るのか不思議・・
0645名無しさん@お腹いっぱい。
NGNGfail してるならいいじゃん。
つーか、FW なり tcp_wrapper なり AllowUsers なりで
接続元ホストを限定しとけよ。
0646名無しさん@お腹いっぱい。
NGNG0647632
NGNGsshdはsyslogを通してログを吐く。
そのログは auth.info のログだな。(facilityが"auth"でlevelが"info"ってこと。)
どれくらい詳しくログを吐かせるのかも sshd_config で設定できる。
SyslogFacilityとかLogLevelの項目がそれ。
あとはマニュアル sshd_config(5) を読むこった。3.8.1p1のものだけど、マニュアル
の日本語訳もあるから(http://www.openssh.com/ja/manual.html)、それを参考にすれば
いいさ。
>>645の言う通り、それで問題ないだろ。
・「不正に」ログインしようとした奴がログインに失敗した
・そもそも許可されていない方法(パスワード認証)でログインしようとし
て本当にログインに失敗した
ってだけなんだからな。
勉 強 し ろ ー !!
0649名無しさん@お腹いっぱい。
NGNG実はあちこちにクラックの痕跡が残ってたりして。
0650名無しさん@お腹いっぱい。
NGNG0651名無しさん@お腹いっぱい。
NGNG参考にしてるサイトは少し内容が古いせいか知らないが
自分がやってる全然違う。最終更新日が二年前だったから?
0652名無しさん@お腹いっぱい。
NGNGOpenSSHのなにについての解説かしらんけど
ttp://www.openssh.com/ja/
まずはここ見て、わからんところをググればいいとおもう。
0653名無しさん@お腹いっぱい。
NGNG0654名無しさん@お腹いっぱい。
NGNG0655名無しさん@お腹いっぱい。
NGNGいろいろ
0656名無しさん@お腹いっぱい。
NGNG0657名無しさん@お腹いっぱい。
NGNG0658名無しさん@お腹いっぱい。
NGNG0659名無しさん@お腹いっぱい。
NGNG0660名無しさん@お腹いっぱい。
NGNG0661名無しさん@お腹いっぱい。
NGNG別にアレコレと設定が必要でもないからね
0662名無しさん@お腹いっぱい。
NGNGやっぱりフロッピーに入れて移動させるしかない??
フロッピー指すところがマザーにないんだけど・・・
0663名無しさん@お腹いっぱい。
NGNG2. scp/sftp (パスワード・経路は最低限ではあるが暗号化される)
0664名無しさん@お腹いっぱい。
NGNGそのLAN上のPC上でopensslでキーペア作って公開鍵をSSHの鍵があるところまで送る、
SSHの鍵を公開鍵で暗号化してLAN上のPCに送る。復号する。以上
0665名無しさん@お腹いっぱい。
NGNG公開鍵は平文でも問題ないし。
0666名無しさん@お腹いっぱい。
NGNGダメージとか
0667名無しさん@お腹いっぱい。
NGNG公開鍵はどうやって移動する?
0668名無しさん@お腹いっぱい。
NGNGまだ鯖を立てようとしてる段階なのでわからないです。
http://fedora.zive.net/openssh.shtml
を参考に鯖を立てようとしています。
秘密鍵はどういう風に使えばいいのかいまいち理解できておりません(汗
0669名無しさん@お腹いっぱい。
NGNG(汗
(汗
(汗
(汗
(汗
(汗
(汗
0670名無しさん@お腹いっぱい。
NGNG端末間でコピペ
メール
2chに書く
0671名無しさん@お腹いっぱい。
NGNG0672名無しさん@お腹いっぱい。
NGNG0673名無しさん@お腹いっぱい。
NGNG0674名無しさん@お腹いっぱい。
NGNGパスワード認証だと平文で流れると未だに勘違いしてる馬鹿ハケーン
0675名無しさん@お腹いっぱい。
NGNGは?公開鍵って別にとられてもいいんだけどネタ?
0676名無しさん@お腹いっぱい。
NGNGそのくらいはわかっとるよ。
TELNET とか FTP で移すなよ、と。
>>675
パスワードって書いてあるの読めなかった?
0677名無しさん@お腹いっぱい。
NGNG(゚Д゚)ハァ?
0678名無しさん@お腹いっぱい。
NGNGってことが言いたいんだろ。
一発目の公開鍵をコピーするときはsshdをパスワード認証にしておいて
コピー後に鍵交換認証に変更する、でいいんじゃない。
0679名無しさん@お腹いっぱい。
NGNG言い訳苦しすぎ プギャラヒヒ
0680名無しさん@お腹いっぱい。
NGNG0681名無しさん@お腹いっぱい。
NGNG0682名無しさん@お腹いっぱい。
NGNGが、転送中にサーバが死んでもコマンド終了しません。
ボスケテ〜
0684名無しさん@お腹いっぱい。
NGNG0685名無しさん@お腹いっぱい。
NGNGLinuxだったら
shred /dev/hda
とかもいいよね。
0686名無しさん@お腹いっぱい。
NGNGLAN以外のPCからアクセスできないようにしてても危ないの??
0687名無しさん@お腹いっぱい。
NGNG許可してるより許可しないほうが比較的(・∀・)イイ!!のは議論するまでもない。
どうしてもしなきゃならんようなものでもないし。
0688名無しさん@お腹いっぱい。
NGNGこんな考え方の漏れは甘い???
0689名無しさん@お腹いっぱい。
NGNG0690名無しさん@お腹いっぱい。
NGNG0691名無しさん@お腹いっぱい。
NGNG好きにすりゃええやん。
0692名無しさん@お腹いっぱい。
NGNGIPで制限しちゃえばいいことだし・・・
0693名無しさん@お腹いっぱい。
NGNGそのLANに繋がっている他のマシンもそうとは限らないわけで
0694名無しさん@お腹いっぱい。
NGNG0695名無しさん@お腹いっぱい。
NGNGLANでもログインには使わない。
いまとなっては23番ポート以外に使う方が多そう。
0696名無しさん@お腹いっぱい。
NGNGなぜtelnetは危険なのかその理由を考えれば自ずと答えは出るはずだが?
0697名無しさん@お腹いっぱい。
NGNG0698名無しさん@お腹いっぱい。
NGNG0699名無しさん@お腹いっぱい。[
NGNG鯖の /etc/.../sshd_configでは PermitRootLogin forced-commands-only
にして、同じく鯖の /root/.ssh/authorized_keys2には
command="rsync --server --sender -bulogDtprz --delete . /var/www/" ssh-rsa AAA...
と書いておくと。
これでバックアップ機からの
# rsync -auzb -e ssh --exclude='*~' --delete saba.com:/var/www/ /var/www
は動く、と。それは良いのです。
が、/var/www以外のディレクトリも同様にrsyncできるようにしたいとすると、
authorized_keys2にはどうやっとけば良いんでしょうか?単に同じpub keyをこぴぺして
command="rsync --server --sender -bulogDtprz --delete . /var/ftp/" ssh-rsa AAA..
みたいのを追加したんだけどは駄目なんですわ。最初に書いた/var/wwwのほうしか動かない。
これって、
command="rsync --server --sender -bulogDtprz --delete . /" ssh-rsa AAA...
とでもしておいて、とりあえず全部rsyncできるようにしておいて、いらないものを除外するために
長ーーーい Excludeリストを使え、つうことですか?
0700名無しさん@お腹いっぱい。
NGNG0701699
NGNG鯖 saba.comに/root/remote-rsyncとか適当な名前のファイルを作って、
#!/bin/sh
if echo $SSH_ORIGINAL_COMMAND|grep -e "^rsync " >/dev/null 2>&1; then
$SSH_ORIGINAL_COMMAND
else
echo "No access. Sorry."
fi
としておく。ほんで、同じく鯖の/root/.ssh/authorized_keys2のほうは、
command="/root/remote-rsync" ...key...
としておく。そうするとバックアップマシンのrootから
# rsync -auzb -e ssh --exclude='*~' --delete saba.com:/どこでも/ /どこでも
がめでたく実行可能になりますた。OpenSSHのこのあたりのdoc、えらいわかりにくくて
難儀しますた。
0702名無しさん@XEmacs
NGNG> # rsync -auzb -e ssh --exclude='*~' --delete saba.com:/どこでも/ /どこでも
>
> がめでたく実行可能になりますた。
うーん、たしかにそれはそうだろうけど、
> #!/bin/sh
> if echo $SSH_ORIGINAL_COMMAND|grep -e "^rsync " >/dev/null 2>&1; then
> $SSH_ORIGINAL_COMMAND
> else
> echo "No access. Sorry."
> fi
これだとたぶん逆方向の rsync もできると思うので、事実上何も制
限してないに等しい気がする。
素直に rsync server を使うのが吉では (873/tcp を開けるのがヤ
なら over ssh で rsync server 起動することもできる)。
0703名無しさん@お腹いっぱい。
NGNG$ rsync -auzb -e ssh --exclude='*~' --delete saba.com:/どこでも/ /どこでも
とローカルで起動すると、鯖で動くのは
$ rsync --server --sender -bulogDtprz --delete . /home2/どこでも/
だから、鯖上の/root/.ssh/authorized_keys2で
#!/bin/sh
if echo $SSH_ORIGINAL_COMMAND|grep -e "^rsync --server --sender " >/dev/null 2>&
1; then
$SSH_ORIGINAL_COMMAND
else
echo "No access. Sorry."
fi
とでもすれば良い。これで逆方向rsyncは不可になる。
0704名無しさん@XEmacs
NGNG> とでもすれば良い。これで逆方向rsyncは不可になる。
いや、まぁ、それはそうなんだけど、それは document 化されてい
ない現行 rsync の振舞に依存しているわけだし、吸い出し only だ
としてもなんでもかんでも吸い出されて構わんというわけでもなか
ろうし、かといってさらに script の中で吸い出し可の領域をチェッ
クするなどと言い出したら繁雑でどうしようもなかろうし、という
ことで、
>>702
> 素直に rsync server を使うのが吉では (873/tcp を開けるのがヤ
> なら over ssh で rsync server 起動することもできる)。
だと思うわけよ。
0705703
NGNGman rsyncd.conf読みますた。たしかに
use chrootできたり、pathが指定できたり、
こっちのほうがが遥かに良いね。873/tcpは
開けたくないので、over ssh 逝きます。
0706名無しさん@お腹いっぱい。
NGNG日本語パッチはあたっていると思うのですが、
フォントの選択?が間違っているのかもしれません。
解決方法をご存知のかたよろしくお願いします
0707名無しさん@お腹いっぱい。
NGNGいまどきの文字化けの原因は、
フォントがサポートしていない文字セットを使ってる他に
期待している文字セットやエンコーディングとの相違があります。
接続先の環境をしらべてみてください。
Unix系OSなら
$ env | grep LANG
でわかるはずです。
そしてPuTTYの設定をすみからすみまで確認してください。
エスパーではないのでこれ以上はわかりません。
でもスレちがいの予感はします。
0708706
NGNGエクスプローラのような部分はきちんと表示されています。
0709名無しさん@お腹いっぱい。
NGNGttp://pc5.2ch.net/test/read.cgi/unix/1084686527/46-
0710706
NGNGありがとうございました!!
0711名無しさん@お腹いっぱい。
NGNGrootはlogin許可しないだろう、普通。
0712名無しさん@お腹いっぱい。
NGNGところがFedoraはデフォルトで許可な罠
0713名無しさん@お腹いっぱい。
NGNGパスワードログインだって出来ちゃうよ
0714名無しさん@お腹いっぱい。
NGNGDebian も・・・
0715名無しさん@お腹いっぱい。
NGNG入っているのに許可しまくりじゃ怖いな
0716名無しさん@お腹いっぱい。
NGNGDebian は、標準でインストールされるが、sshd をたちあげるかどうかは選べる。
Fedora は、標準でインストールされるが、sshd はデフォルトでは起動しない。
0717名無しさん@お腹いっぱい。
NGNG*BSDも同様。
0718名無しさん@お腹いっぱい。
NGNGなにを寝ぼけたことを言っているのやら。
■ このスレッドは過去ログ倉庫に格納されています