SSH その3
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html
0769名無しさん@お腹いっぱい。
NGNG0770名無しさん@お腹いっぱい。
NGNGそれに >>768 は OpenSSH より lsh の方が先だったとしか言っていないと思うのだが
0771名無しさん@お腹いっぱい。
NGNG0772名無しさん@お腹いっぱい。
NGNGまあ >>769 も >>768 が間違いと言ってるわけじゃないし、みんなマターリ逝こう。
0773名無しさん
NGNG192.168.134.1
B(red hat)ssh -fNL 1080:192.168.134.2:3690 192.168.134.2
192.168.136.1
C(debian) 192.168.136.2ssh -fNL 1080:192.168.136.1:1080 192.168.136.1
C マシンから
$ ssh -p 1080 localhost
とやってC->B->Aと繋げたいのですが
C マシンで
ssh_exchange_identification: Connection closed by remote host
と出ます
多段ポートフォワードがまちがっているのでしょうか?
A,B,Cともにhosts.allow, hosts.denyは記述なしです
どのようにすればできるのかおしえてください
0774名無しさん@お腹いっぱい。
NGNGssh -g
0775名無しさん@お腹いっぱい。
NGNG一定時間ロックする設定はあるのでしょうか?
0776773
NGNGできました。
オプションが必要だったんですね
どもでした
0777名無しさん@お腹いっぱい。
NGNGOct 21 00:46:01 <auth.info> XXXXX sshd[2601]: Did not receive identification string from 221.186.131.165
の後に
Oct 21 00:57:54 <auth.info> XXXXX sshd[2608]: Failed password for nobody from 221.186.131.165 port 43766 ssh2
Oct 21 00:57:54 <auth.info> XXXXX sshd[2610]: Illegal user patrick from 221.186.131.165
というのが約150行も(0:46から00:59まで)…。221.186.131.165は踏台にされてんのか?
あと、
Oct 21 05:49:31 <auth.info> XXXXX sshd[3312]: Failed password for nobody from 218.237.65.10 port 51714 ssh2
も…(以下略)
こういうことがあると、
>>775
あったら嬉しいかもね。
0778名無しさん@お腹いっぱい。
NGNGよく来るよ。こういうのは大抵IP番号をdynamicにやっていてあとで
ログみても発信元をトレースできないのが大部分だよね。
sshに手を入れる自信はないですが、syslogを見張るデーモンを
作って、繰り返しlogin失敗するのがいたら自動的に一時
route テーブル設定でパケット排除するようにするくらいなら
結構すぐできるかも。
0779名無しさん@お腹いっぱい。
NGNGうちにも来ていた。whoisで調べると複数のプロバイダになっているけど、
IPアドレス自体が偽装なのか?
0780名無しさん@お腹いっぱい。
NGNG220.117.18x.xx
0781777
NGNG> syslogを見張るデーモンを
> 作って、繰り返しlogin失敗するのがいたら自動的に一時
> route テーブル設定でパケット排除するようにするくらいなら
> 結構すぐできるかも。
すげーな。俺にはできないです (^^;;
俺なら単純にそのブロックまるごとフィルタリングでパケットを叩き落し
ますけどね。あるいは、アクセス元を自分が使うプロバイダ「のみ」に限定
するとか。
>>779
>>777の 221.186.131.165 か?これはOCNが確保したブロックの一部分を、株式会社
***(←一応伏せとく)に貸しているというような状態。
0782名無しさん@お腹いっぱい。
NGNGapache+mod_SSLで自CAでキー作成にて、SSLページ準備。
mod_PHPにて、接続元IPを識別して、ファイルorDBに書き込むスクリプト作成。
上記スクリプトページに.htaccessにて、BASIC認証を施す。
rootのcronで、ファイルorDBを見て、「IPが有ったらsshdへのアクセスを許可」する。
と同時に一定時間経過したIP情報は削除する。
許可の方法はipfwでもhosts.allow/denyの操作など、いろいろポリシーにて変化するだろうが、
さほど重くはない。
つーことで、うちではsshdへのアクセスは基本denyで必要なときだけどこからでもallowにしてます。
不満はcronが1分おきで...
本当はメール受信→特定アカウント&コマンド抽出→sshdアクセス許可としたいんだけど、mandokuse
0783名無しさん@お腹いっぱい。
NGNGapacheが落ちて、起動させようとsshでログインしようとしたら(りゃ
0784名無しさん@お腹いっぱい。
NGNG携帯とかからアクセスするのにも使えそうだな。
0785名無しさん@お腹いっぱい。
NGNG番犬(WatchDog)は基本中の基本ですね...
0786名無しさん@お腹いっぱい。
NGNG0787名無しさん@お腹いっぱい。
NGNG2ちゃんねるではしょっちゅう落ちていますよ。様々な要因はありますけれども。
0788名無しさん@お腹いっぱい。
NGNGttp://www.derkeiler.com/Mailing-Lists/securityfocus/Secure_Shell/2004-09/0113.html
0789名無しさん@お腹いっぱい。
NGNGログインしやがったら激しく苛める、なんて仕組み作れないかなぁ
0790名無しさん@お腹いっぱい。
NGNG0791名無しさん@お腹いっぱい。
NGNGそうか?
0792名無しさん@お腹いっぱい。
NGNG攻制防壁
0793名無しさん@お腹いっぱい。
NGNGんー、俺もなんかやり返してやりたいよ。
どうにかできないものかな。
0794名無しさん@お腹いっぱい。
NGNGあんまり苛めると目をつけられてDDoSされるかもしれないからDDNSサーバーとかでやったほうがいいかも。
0795名無しさん@お腹いっぱい。
NGNG意図的にやってるヤツばっかじゃなくて、
無自覚にやってそうなヤツが多くない?
0796名無しさん@お腹いっぱい。
NGNG0797名無しさん@お腹いっぱい。
NGNGログインしたら .login とかシェルのスタートアップが走るから、そこに
仕込んどきゃいい……のかな?
とりあえず相手の IP は分かってるわけだから、DoS やり返して潰す
くらいはできそうだけど。
0798名無しさん@お腹いっぱい。
NGNGいわゆる zombie host というケースも結構多いんじゃないかな?
DoS やり返すのはあまり得策じゃないような。
0799名無しさん@お腹いっぱい。
NGNG0800名無しさん@お腹いっぱい。
NGNG0801名無しさん@お腹いっぱい。
NGNG認証失敗したときのウェイトを自由に設定できるみたいだけど、
その他の OS ではそういうのできないのかな?
って、もう SSH と全然関係ないな・・・
0802名無しさん@お腹いっぱい。
NGNGどういう挙動を示すのか観察してみたら。
なんか小学校のころの蟻さん観察みたいだけど。
FreeBSDだとipfwでdummynetかませば>>799みたいにできるけど、
他のOSでもできるのかな?
0803名無しさん@お腹いっぱい。
NGNG具体的には、ファイル名も暗号化されているのでしょうか?
0804名無しさん@お腹いっぱい。
NGNG0805名無しさん@お腹いっぱい。
NGNGファイル名って、SSHをなんだと思っているんだ、お前?
0806名無しさん@お腹いっぱい。
NGNG0807名無しさん@お腹いっぱい。
NGNGSCP だと思ってるんだよ、きっと
0808名無しさん@お腹いっぱい。
NGNGどのサーバに接続してるかは分からない?
0809名無しさん@お腹いっぱい。
NGNG0810名無しさん@お腹いっぱい。
NGNGわかる
0811名無しさん@お腹いっぱい。
NGNG0812名無しさん@お腹いっぱい。
NGNG0813名無しさん@お腹いっぱい。
NGNGむしろSSL、さらにはhttpsとの混同をしている雰囲気が。
0814初期不良
NGNG0815名無しさん@お腹いっぱい。
NGNGだってそもそもファイル名なんて概念ないもの。scpやsftpならともかく。
0816名無しさん@お腹いっぱい。
NGNGそもそも、層が違うもんナ
そうそう
0817名無しさん@お腹いっぱい。
NGNGSolaris8 には /dev/random がない。112438-03 を patchadd してから
リブートすると生えてくる。Sol9 から標準装備。Sol7 は 3rd party のものを使う。
Solaris に openssl-0.9.7e をインストールするときは
# make install SHELL=/usr/bin/bash
としないとコケる。0.9.7d までは /bin/sh のままで大丈夫。
openssh-3.9p1 の configure は zlib のバージョンが古いと蹴るので、
zlib-1.1.4 を別途インストールするか --without-zlib-version-check が必要。
0818名無しさん@お腹いっぱい。
NGNGで、Aからsshでトンネリングしてftp接続をしようとしたのですが
今sshdがBで、ftpdがCで動いており、普段21ポートにリクエストが来た場合、BはCへport forwardしています。
この時、Aからsshにどのようなオプションをつけたら、上手くトンネリングできるでしょうか?
0819名無しさん@お腹いっぱい。
NGNGftpはファイル転送時に別途にsession張りにいくから、sshで21/tcpをforwardしても
あんまり意味がないけどどうよ?
0820名無しさん@お腹いっぱい。
NGNGとりあえずID/パスワードだけでも暗号化しようかなーと思いました。意味なさげでしょうか?
0821名無しさん@お腹いっぱい。
NGNG暗号化云々は置いといても、A->Cに直接通信できる必要があるわけで…。
別のファイル転送プロトコルを使うとか、いっそVPN張るとかしたほうがいいかと。
0822名無しさん@お腹いっぱい。
NGNGどうもご助言ありがとうございました。別のアプローチを考えてみます。
0823名無しさん@お腹いっぱい。
NGNG逃げではあるがBにsshで喰ったあとにBとしてCにFTPとか
B-Cにmountを挿し込んでおくとか
0824名無しさん@お腹いっぱい。
NGNG0825名無しさん@お腹いっぱい。
NGNGBでNATかけている場合は逆にPORTじゃないとダメだし、BがIP forwarding切っている
場合には無理。
0826名無しさん@お腹いっぱい。
NGNGPASVだとデータポートが確定しないんじゃない?
0827名無しさん@お腹いっぱい。
NGNG今はポートフォワードに Zebedee っていうのを使ってるんだけど、
それよりつおいものなら使ってみたくなくもなくなくない。
0828名無しさん@お腹いっぱい。
NGNG0829名無しさん@お腹いっぱい。
NGNGCに置くftpdがいじれるのなら、PASVポートの範囲を指定して
forwadingしてしまえば桶。
0830名無しさん@お腹いっぱい。
NGNG0831名無しさん@お腹いっぱい。
NGNGファイル名やパスでeucに対応したsftpクライアントがあればね。
0832名無しさん@お腹いっぱい。
NGNG>>558
0833名無しさん@お腹いっぱい。
NGNGそのfilezillaのpatch版って、日本語を含むパスの作成が
できたっけ?
0834名無しさん@お腹いっぱい。
NGNG元質問者の題意ほったらかしだな。
0835名無しさん@お腹いっぱい。
NGNGVectorに旧バガボンドあるけど、なんか会社自体怪しそうなので怖くて手が出せません。
だれかおしえてくだふぁお
0836名無しさん@お腹いっぱい。
NGNG0837名無しさん@お腹いっぱい。
NGNGググレ
tp://www.wrq.com/products/reflection/ssh/
>>836
グ(ry
tp://www.routrek.co.jp/product/varaterm/
0838名無しさん@お腹いっぱい。
NGNGそれちょー有名だけど.net入れるの嫌だ
0839835
NGNGかなりググったんですが。
日本法人が有るようなのでそこから買いたいなとおもって探しまして。
で、殆どゴミ情報ですが、11月から(11月末から?)エフ・セキュアのSSH製品は
サイバネットシステム株式会社が販売・サポート代行となったようです。
サイバネットの方ではただいまコンテンツ作成中、とのことでした。
サイバネットにメールしたら売ってくれそうな雰囲気なので話してみます。
0840名無しさん@お腹いっぱい。
NGNGだれもおしえてくれなかったYO!
0841名無しさん@お腹いっぱい。
NGNG0842名無しさん@お腹いっぱい。
NGNG0077
0843名無しさん@お腹いっぱい。
NGNG777 でも?
0844名無しさん@お腹いっぱい。
NGNG0845名無しさん@お腹いっぱい。
NGNG0846名無しさん@お腹いっぱい。
NGNGモニタできるようなクライアントってないですかね。
0847名無しさん@お腹いっぱい。
NGNGそんなことが出来たらSSHの意味ないじゃん
0848名無しさん@お腹いっぱい。
NGNG途中でストリームを計測するんじゃなくて。
sshにちょっと手を加えれば簡単にできそうだが。
0849名無しさん@お腹いっぱい。
NGNG自動的に設定されていましたが, あるときから,
192.168.38.1:0.0 のように ssh を起動した端末側の IP に
設定されるようになってしまい, xhost しないとウィンドウを
とばせなくなってしまいました.
いろいろいじってて, 何が原因でこうなったかつかめないのですが,
何かわかる方はいますでしょうか?
X サーバは cygwin でクライアントは coLinux/Gentoo で,
sshd_config の X11Forwarding は yes にしています.
0850名無しさん@お腹いっぱい。
NGNGTeraTerm + TTSSH(ssh2) に id_dsa ファイル(秘密鍵) をつかって
サーバにログインするにはどうしたらいいのでしょうか?
TeraTerm + TTSSH(ssh2) で、「接続方法」に ssh、「SSH Version」に ssh2 を
選んでも、パスワードによる認証しかできません。
0851名無しさん@お腹いっぱい。
NGNG0852名無しさん@お腹いっぱい。
NGNG■制限事項
・認証機構は password authentication にのみ対応しています
0853名無しさん@お腹いっぱい。
NGNGプ
0854名無しさん@お腹いっぱい。
NGNG0856名無しさん@お腹いっぱい。
NGNG最近の winscp は、putty agent いらないよ。
以前は必要だったけど。
0857名無しさん@お腹いっぱい。
NGNGへー知らなかった。公開鍵認証はWinSCPに取り込まれたの?
0858名無しさん@お腹いっぱい。
NGNGVersion 2.1 beta (#119) January 13th 2003
* SSH core upgraded to PuTTY 0.53b. It brings following changes:
o Support for public keys in SSH2, both RSA and DSA. Agent forwarding is supported, but only to OpenSSH servers, because ssh.com have a different agent protocol which they haven't published.
http://winscp.sourceforge.net/eng/history.php?fullhistory=1#fullhistory
ということで、だいぶ以前から使えます。
漏れは、putty agent は最近使いません。 pscp 使う時くらいかな?
winscp は日本語使えるので( ゚Д゚)ウマー
0859名無しさん@お腹いっぱい。
NGNGLinux colinux 2.6.8.1-co-0.6.2-pre6 #58 Sun Oct 24 21:48:46 IST 2004 i686 unknown
<中略>
user@colinux:~$ ssh craft@craftcross.gr.jp
Host key verification failed.
user@colinux:~$ su
Password:
colinux:/home/user# ssh hoge@fuga.jp
hoge@fuga.jp's password:
-bash-2.05b$
</引用>
こんな環境でWinからSSH(teraterm)でログイン後外部に接続しようとすると
rootでは問題なく接続できるのにuserでは接続できません
別にredhat 9の環境を持っているのですが、こちらではどんなユーザでも
外に出て行くことができます。
どこを調べればいいでしょうか?
0860名無しさん@お腹いっぱい。
NGNG0861名無しさん@お腹いっぱい。
NGNG超能力者じゃないので、意味がわからない。
もう少し判りやすく書いたらレスがもらえる鴨
0862859
NGNGcolinux 上の Debian と redhat9 の環境があります。
WinXPのteratermでログインし、そこから外部のサーバにログインしているのですが、
colinuxからsshで外部サーバに接続する場合、root では問題ないのに
userで接続しようとすると、
Host key verification failed.
と怒られるため、いちいち su しなければなりません。
redhat9からは rootであれuserであれ外部サイトにsshで接続できます。
colinux 上の Debianからでもuserで接続したいのですが、
どのあたりの設定を見ればいいですか?
0863名無しさん@お腹いっぱい。
NGNG~/.ssh/known_hosts はちゃんつくられているかな?
0864名無しさん@お腹いっぱい。
NGNG細かいことが判らんが、
Debian で ssh -v -v -v hoge@foo.bar したら
原因が特定できるかも。
-v の意味は、man を見ましょう。
0865名無しさん@お腹いっぱい。
NGNGsshdをxinetd経由で動かせば
flags = SONSOR
deny_time = 5
とかで行けないか?
0866865
NGNG0867名無しさん@お腹いっぱい。
NGNG0868859
NGNG>>864
~/.ssh/known_hosts できてません。
/root/.ssh/known_hosts はありました。
試しに~/.ssh/known_hosts にコピーしちゃって
$ ssh 192.168.1.2
としたらいろいろでましたが
Permission denied (publickey,password,keyboard-interactive).
といわれました。
双方、redhat9もDebian(colinux)もwebmin上から見て、まったく同じ設定で
やってるんですが、redhat9の方はぜんぜん問題ないです。
■ このスレッドは過去ログ倉庫に格納されています