SSH その4
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
0002名無しさん@お腹いっぱい。
NGNGQ.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
0003名無しさん@お腹いっぱい。
NGNG本家ssh.com
http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
http://hp.vector.co.jp/authors/VA002416/
http://www.zip.com.au/~roca/ttssh.html / http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
http://sleep.mat-yan.jp/~yutaka/windows/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/
PortForwarder
http://www.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html
0004名無しさん@お腹いっぱい。
NGNGIETF secsh
http://www.ietf.org/html.charters/secsh-charter.html
WideのSSH解説
http://www.soi.wide.ad.jp/class/20000009/slides/12/
◇おまけ
Theoのキチガイぶり
http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
http://www.qmail.org/djbsssh/
0005名無しさん@お腹いっぱい。
NGNG0006名無しさん@お腹いっぱい。
NGNG0007名無しさん@お腹いっぱい。
NGNG0008名無しさん@お腹いっぱい。
NGNGsshd_config にあるべ?
0009名無しさん@お腹いっぱい。
NGNG0010名無しさん@お腹いっぱい。
NGNG0011名無しさん@お腹いっぱい。
NGNG| ノ\ ヽ |
/ ●゛ ● | |
| ∪ ( _●_) ミ j
彡、 |∪| | J
/ ∩ノ⊃ ヽ
( \ /_ノ | |
.\ “ /__| |
\/___/
0012名無しさん@お腹いっぱい。
NGNGscp と sftpのログの設定はどこでやるんだろう
すいません もうちょっと探してみまする
0013名無しさん@お腹いっぱい。
NGNGsが一個多いのは何故?
0014名無しさん@お腹いっぱい。
NGNG0015名無しさん@お腹いっぱい。
NGNG0016名無しさん@お腹いっぱい。
NGNGしらん。
0017名無しさん@お腹いっぱい。
NGNG0018名無しさん@お腹いっぱい。
NGNGわろた
いい皮肉だ
0019名無しさん@お腹いっぱい。
NGNG0020名無しさん@お腹いっぱい。
NGNG0021名無しさん@お腹いっぱい。
NGNG0022名無しさん@お腹いっぱい。
NGNGうまくいかないよ〜
0023名無しさん@お腹いっぱい。
NGNG今日の CPU でも安全といえるものなのでしょうか?
0024名無しさん@お腹いっぱい。
NGNG0025名無しさん@お腹いっぱい。
NGNG今日のCPUでも平気。
SSH開発当初からCPUの速度は1000倍くらいにはなったが、
これをbit数に直すと10bit程度でしかない。
ブルース・シュナイアーが書いてた目安が参考になるだろう。
http://www.schneier.com/crypto-gram-0204.html
0026名無しさん@お腹いっぱい。
NGNG002723
NGNG↓
ttp://www.rsasecurity.com/rsalabs/node.asp?id=2004
>>24
政府関係機関なので 4096bit を目指します(ウソ
実際のとこ、いまどきの Intel 系 CPU なら、4096 bit の鍵生成の時間も、
まぁ我慢出来なくはない範囲です。
>>25-26
予め素数表を作成しておく攻撃だとどうでしょう?
0028名無しさん@お腹いっぱい。
NGNG> 予め素数表を作成しておく攻撃だとどうでしょう?
無理。
表がどのくらいの大きさになるか、素数定理を使って計算してみな。
0029名無しさん@お腹いっぱい。
NGNG0030名無しさん@お腹いっぱい。
NGNGscp でそのリモートのファイルを削除する、ってできるでしょうか?
0031名無しさん@お腹いっぱい。
NGNG0032名無しさん@お腹いっぱい。
NGNG0033名無しさん@お腹いっぱい。
NGNGなるほど、そうですね。それでいけそうです。
あと、 sftp で rm するという手もありそうです。
0034名無しさん@お腹いっぱい。
NGNG公開鍵認証は 2.07f で対応します。
今晩リリースする予定です。
0035名無しさん@お腹いっぱい。
NGNGたしかに出来ました!
0036名無しさん@お腹いっぱい。
NGNGhttp://05xx.sub.jp/ttssh/
0037名無しさん@お腹いっぱい。
NGNG何を"教えて"なのでしょう?
SSH対応のTeraTermならUTF-8対応版を使うという方法もありますよ。
ttp://www.vector.co.jp/soft/winnt/net/se320973.html
0038名無しさん@お腹いっぱい。
NGNG0039名無しさん@お腹いっぱい。
NGNG0040名無しさん@お腹いっぱい。
NGNG"Mac用みたいな"というのは、下記のどちらの意図でしょう?
"MacSSHのような雰囲気のWindows版SSHクライアント"ということなら、
TeraTermとかPuTTYじゃだめでしょうか?
"MacOS版のSSHクライアント"ということで、MacOS 9ならMacSSH、
MacOS Xなら標準のsshコマンドをTerminal内で使うとか。
あ、標準のsshコマンドだと、日本語が文字化けするんでしたっけ?
0041初期不良
NGNGUTF-8 でも EUC でも OK。
0042名無しさん@お腹いっぱい。
NGNG0043名無しさん@お腹いっぱい。
NGNG0044名無しさん@お腹いっぱい。
NGNGpageantを使っているのですが、記憶させたパスフレーズを忘れさせるにはどうしたらいいのでしょう?
0045名無しさん@お腹いっぱい。
NGNG0046名無しさん@お腹いっぱい。
NGNGPuTTYのpagent.exeのことでしょうね。
>>44
下記のページにあるように、Add Keyで削除もできませんか?
ttp://osksn2.hep.sci.osaka-u.ac.jp/~naga/miscellaneous/winsshb2.html#Anchor-%20%20-9834
0047名無しさん@お腹いっぱい。
NGNGpagent ではなくて pageant が正しいです
0048名無しさん@お腹いっぱい。
NGNGそれはRemoveKeyで削除することを言ってますか?
登録したキーを削除するのじゃなくて、キーを登録するときに入力するパスフレーズを記憶してくれる機能があるのですが、そのパスフレーズを忘れた状態に戻したいのです。
ごった煮版特有の機能なのかしらん?
0049名無しさん@お腹いっぱい。
NGNGうわー、すみません。打ち間違えました。(-_-)
>>48
良く分かってないのに口を出してすみません。
0050名無しさん@お腹いっぱい。
NGNGごった煮版だけの機能
putty.ini使ってるなら
[Passphrases]セクションにあるけどね。
レジストリに設定保存してる場合は知らん
0051名無しさん@お腹いっぱい。
NGNGあーやっぱそうでしたか。
iniファイル使う方法はしらないけどレジストリにエントリはみつけました。
pageantじゃなくてputtyのレジストリに書かれてたのね。
ざっくり消してさっぱり解決。
どうもありがとです。
しかし毎回の鍵の追加のときに記録したパスフレーズのどれか一つでもマッチすると認証されてしまうんだけどそんなもん?
0052名無しさん@お腹いっぱい。
NGNG当方,AstecX+TTSSHでX画面を転送させていたのですが,
先日からログイン先がSSH2に切り替わりました.現在
SSH2対応のTeraTermに替えて同様にXを飛ばそうとして
いるのですがうまくいきません.
何かアドバイスをお願いします.
0053名無しさん@お腹いっぱい。
NGNGTeraTermにこだわらないのであればPuTTYを試してみるとか。
うちはSSH2でXをPuTTYで飛ばせてるよ。
0054名無しさん@お腹いっぱい。
NGNG0056名無しさん@お腹いっぱい。
05/01/29 23:55:37めんどうなんですが,
一回いれたら,他のターミナルエミュレータでは
パスワード要らなくする方法ありますか?
確か,どっかのサイトで昔見たのですが,
忘れてしまって(^^;;)
0057名無しさん@お腹いっぱい。
05/01/30 00:17:30keychain とか?
0058名無しさん@お腹いっぱい。
05/01/30 01:37:58この記事
http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
を探していたんです!
助かりました.m(_ _)m
0059名無しさん@お腹いっぱい。
05/01/30 03:43:48でもその記事うそ多くない?
0060名無しさん@お腹いっぱい。
05/01/30 04:15:380061名無しさん@お腹いっぱい。
05/01/30 04:52:52006257
05/01/30 11:13:17そうそう。それです。私もこれで知って SolarisとかFreeBSDとかMacOSXですが
ずっと使ってます。便利ですよね。
>>59
うそ っていうとどこら辺が うそ ぽいんでしょう?
大体そういうアーティクルって自分の環境に合わせて適当に
解釈しながら読むので うそ ってあんまり気づかなかったりしてしまう...
006358
05/01/30 11:54:44http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
では
source ~/.ssh-agent
となっていたが,sshの度に秘密鍵用のパスフレーズを聞かれて失敗
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=15857&forum=10&2
の通り
source ~/.keychain/現在のマシン名-sh
とやったら成功しました.
cygwinで使っているんですが,終了処理も
/usr/bin/keychain -k
を.bash_logoutに追加すると,
cygwinのウィンドを一個でも終了したら
keychainの効果が消えてしまう.
かといって,.bash_logoutに書かないと,
開始時にパスフレーズを入力した
cygwinのウィンドが終了できないで,
logout
と出たまま止まる.
解決方法はありませんか?
0064名無しさん@お腹いっぱい。
05/02/02 11:24:15トンネルの中でしか POP 通せないようになっているので、
毎回メールチェックのたびに PuTTY などで接続しているのですが、
あまりにも面倒です。
SSH でポートフォワーディングしてくれるダミーのダイアルアップ
接続用ドライバってありませんかね。
もぐらプロジェクトのモノがそれっぽいかな、とおもったんですが、
SSH 接続後にその上で PPP によるリンク成立を試みるので、
すぐに失敗、切断してしまいます。
http://www.kmc.gr.jp/proj/vpn/
0065名無しさん@お腹いっぱい。
05/02/02 20:05:000066名無しさん@お腹いっぱい。
05/02/02 23:03:35順に、
keychain --help する。
パスフレーズなしの鍵を使う。
ck 使う or sshd 経由にする。
0067名無しさん@お腹いっぱい。
05/02/04 18:35:33ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"
このコマンドラインだと
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
で終わっちゃってパスフレーズを聞かれないんだけどそーゆーもん?
2回 keychain 呼んでやればちゃんと聞いてくれるんだけど…。
% ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa;keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL
* Found existing ssh-agent (1654)
* Adding 2 ssh key(s)...
Enter passphrase for /home/mona/.ssh/id_rsa:
0068名無しさん@お腹いっぱい。
05/02/08 23:04:55なにしてるの?
0069名無しさん@お腹いっぱい。
05/02/08 23:31:58目的は一発で「リモートに ssh した時に ssh-agent を設定した上で screen
を立ち上げる」ってことなんすけどね。で、
ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa; . \$HOME/.keychain/\$(uname -n)-sh; exec screen"
こうやってみたら何故かパスフレーズを聞かれない、と。
どっか間違ってるっけ?
0070名無しさん@お腹いっぱい。
05/02/09 00:55:27UNIX の sh だと $(〜) は使えなかったりするね。
0071名無しさん@お腹いっぱい。
05/02/09 01:04:39少なくとも最近はそんなのはあまり転がってないと思うけど。
0072名無しさん@お腹いっぱい。
05/02/10 02:21:05keychain --help すれ。
パスフレーズなしの鍵を使うのは?
ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
で動くと思うけど、
keychain は .cshrc とかに書く。
# REMOTE_HOST に ssh してわざわざ sh -c する?
# ろぐいんして HOME じゃないの?
あと exec screen でなくて、見たり (-ls) だとか
アタッチ (-r) だとかするのもスクリプトに
しといたほうがいいのでは?
0073名無しさん@お腹いっぱい。
05/02/10 19:56:29> ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
> で動くと思うけど、
thx! いけたよ。実は -t は付けてたんだけど、気付いてみりゃ ssh なのにわ
ざわざ sh -c することはないわな(;´Д`)
以下は余談。
> あと exec screen でなくて、見たり (-ls) だとか
> アタッチ (-r) だとかするのもスクリプトに
> しといたほうがいいのでは?
アドバイスさんきゅー。実際は -xRR 付けてるので大丈夫。
0074名無しさん@お腹いっぱい。
NGNGSSHDに一般ユーザーがログインしたとき、自分のホームディレクトリ
(/home/***/)より上の階層にいけないようにするにはどうすればいいでしょうか。
また、指定したコマンドを利用出来なくするにはどうすればいいでしょうか。
0075名無しさん@お腹いっぱい。
05/02/12 23:10:310076名無しさん@お腹いっぱい。
05/02/13 02:08:20見つかりました。ありがとうございます。
0077名無しさん@お腹いっぱい。
05/02/14 22:15:30なんか、昨日まで問題なく使えてたのに、今日突然
動かなくなってしまった(起動途中で固まってしまう)。
配布元(http://www.phil.uu.nl/~xges/ssh/)に何か情報が
ないかと思ったら、タイムアウトで見れないし…。
あれ、起動時にアップデートを自動チェックするオプションを
たしかオンにしてたんだけど、まさか……
0078名無しさん@お腹いっぱい。
05/02/14 22:49:18知らんがな
0079名無しさん@お腹いっぱい。
05/02/15 02:21:22使ってるよ
0080→
05/02/15 10:02:25イメージとしては、通常の.loginとか、bashなら、.bashrcのようなものです。
0081名無しさん@お腹いっぱい。
05/02/15 10:07:04ssh の引数にコマンドくっつけるんじゃだめなん?
0082名無しさん@お腹いっぱい。
05/02/15 10:09:14~/.login あたりで
環境変数 SSH_CONNECTION があったらコマンドを実行する、とか。
0083名無しさん@お腹いっぱい。
05/02/18 13:51:56サーバー側で有効になっていて、かつクライアントでも有効にした場合に圧縮される。
どちらか片方のみ有効の場合は圧縮されない。
っていう認識であってますか?
0084名無しさん@お腹いっぱい。
05/02/18 19:05:430085名無しさん@お腹いっぱい。
05/02/19 17:49:59ユーザー毎に設定することはできませんか?
0086名無しさん@お腹いっぱい。
05/02/19 20:11:46そういうのじゃなさそうだし。
PAMをつかえばいけるのかな?pam_access.soとか
0087名無しさん@お腹いっぱい。
05/02/19 20:28:230088名無しさん@お腹いっぱい。
05/02/19 21:30:58008985
05/02/19 21:40:55普段使ってるユーザー名もパスも単純なのでこれらは自宅外からは接続禁止にして、
それなりに面倒なパスワードのユーザーだけ、外から入れるようにしたいんです。
つまり接続元を
普段のユーザー:192.168.1.*
面倒なユーザー:*.*.*.*
からのみ許可するように設定したいんですが、そういう設定はできませんか?
どうか御指導願います。
0090名無しさん@お腹いっぱい。
05/02/19 21:51:540091名無しさん@お腹いっぱい。
05/02/19 21:55:510092名無しさん@お腹いっぱい。
05/02/20 02:09:16ルータのフィルタリングルールでtcp/22 (ssh)を閉じとけばいいんじゃ?
# おそらくADSLか光でNATなんだから。
0093名無しさん@お腹いっぱい。
05/02/20 03:04:370094名無しさん@お腹いっぱい。
05/02/20 04:08:200095名無しさん@お腹いっぱい。
05/02/20 06:26:120096名無しさん@お腹いっぱい。
05/02/20 06:51:120097名無しさん@お腹いっぱい。
05/02/20 12:44:580098名無しさん@お腹いっぱい。
05/02/20 12:55:080099名無しさん@お腹いっぱい。
05/02/20 15:36:260100名無しさん@お腹いっぱい。
05/02/20 18:04:550101名無しさん@お腹いっぱい。
05/02/20 18:40:060102名無しさん@お腹いっぱい。
05/02/20 18:44:23
■ このスレッドは過去ログ倉庫に格納されています