SSH その4
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
0220春山征吾 ◆unIxUSernc
2005/04/23(土) 10:42:49クライアントからの情報を検証せずとも偽ホストは適当な返答を返して
ログインを許可できるので
その意味でも
>>196 は間抜けでした。
0222名無しさん@お腹いっぱい。
2005/04/25(月) 17:52:18SSH初心者なのですが、ポートフォワードに関して教えていただけないでしょうか?
一つのサーバーにSSH、WebDav(Apache)サーバ、IRCサーバを動かしているのですが
ユーザー1とユーザー2がいるとして
・ユーザー1はポートフォワードでWebDavのサーバーにしか転送できない
・ユーザー2はIRCのサーバーにしか転送できない
と言った設定をする事は可能でしょうか?つまりユーザー1がIRCを利用したり、
ユーザー2がWebDavを利用したりできないように特定のポート番号だけをフォワードできるようにする設定にしたいのですが
厨質問ですみません、御教授下さい・・・
0223無しさん@お腹いっぱい。
2005/04/25(月) 20:51:20ユーザ毎設定をサーバでやるいうのは出来んように思う。
0224名無しさん@お腹いっぱい。
2005/04/25(月) 21:28:55待て。クライアントは公開鍵なんぞ送らんぞ。
一度クライアント公開鍵を削除してからRSA認証でログインしてみれ。
0225名無しさん@お腹いっぱい。
2005/04/25(月) 21:44:49debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
...送ってない?
0226名無しさん@お腹いっぱい。
2005/04/25(月) 21:44:57permitopen
0227名無しさん@お腹いっぱい。
2005/04/25(月) 22:52:15公開鍵を送ってんじゃなくて「公開鍵認証方式で認証してくれ」っていうリクエストを送ってる。
/home/user/.ssh/id_rsa ←これクライアント秘密鍵だし。
0228名無しさん@お腹いっぱい。
2005/04/25(月) 23:19:46>>225を見て興味を持ったので俺もコードを見てみた。
どの公開鍵でなのかを伝えるために、公開鍵そのものを送ってるように思う。
(もちろんサーバはそれを無条件に使うわけではなくて、
ユーザのauthorized_keysに同じものがあれば使うんだろうけど)
sshconnect2.cのuserauth_pubkeyとsend_pubkey_test。
0229名無しさん@お腹いっぱい。
2005/04/25(月) 23:34:30公開鍵(例えばSSHv2のRSAならid_rsa.pub)をクライアントから削除して、
秘密鍵だけ置いた状態でサーバにSSH接続を試してみて。
接続できるでしょ?
つまり公開鍵を送っているわけではないってこと。
0230名無しさん@お腹いっぱい。
2005/04/25(月) 23:52:18ただしくは「どの公開鍵でなのかを伝えるために秘密鍵を使う」です。
動作の詳細は自分もはっきり説明できるわけじゃないんだけど(SSHv1と
SSHv2でも少々異なるようだし)、たとえばユーザAとしてログインしようとしてるとして、
まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
んで、SSHサーバ側で、その秘密鍵に対応する公開鍵が
/home/ユーザA/.ssh/authorized_keysに登録されているかどうか見る。
で、登録されているクライアント公開鍵でランダムデータを暗号化してクライアントに送る。
クライアント側ではその暗号化データをクライント秘密鍵で複合化して送り返す。
クライアント側の秘密鍵で正しく複合化できたら、クライアント側の
秘密鍵とサーバ側にある公開鍵が正しいペアだと証明できるので、認証される。
ってな具合だと思う。(本当はもっと複雑なことやってるらしいが)
0231名無しさん@お腹いっぱい。
2005/04/25(月) 23:57:25「秘密鍵を使う」というのが具体的にどういう使っているのか説明してくださいな。
できればコードに即しておねがい。
0232名無しさん@お腹いっぱい。
2005/04/26(火) 00:00:20秘密鍵ファイルには公開鍵の情報も含まれているわけだが
0233名無しさん@お腹いっぱい。
2005/04/26(火) 00:03:15前半は後半の根拠にならないですよ。ssh-keygenのmanを読んだことないですか?
0234名無しさん@お腹いっぱい。
2005/04/26(火) 00:08:11> まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
どういう情報でそれが伝えるのかが問題になってるわけだが。
知識もなければ読解力もないな。
0235名無しさん@お腹いっぱい。
2005/04/26(火) 00:17:050236名無しさん@お腹いっぱい。
2005/04/26(火) 00:19:47具体的な説明よろ
0237名無しさん@お腹いっぱい。
2005/04/26(火) 00:21:27ssh-keygenの-yオプション
つまりは>>232ってことだと思われ
0238名無しさん@お腹いっぱい。
2005/04/26(火) 00:22:04どういう情報で伝えるかが問題ではなく「公開鍵自体を送っているのかどうか」が問題なのだが。
0239名無しさん@お腹いっぱい。
2005/04/26(火) 00:27:31伝えるための情報として公開鍵そのものを送っているという話だと思うが。
>>228のその主張を否定してるわけだから、
公開鍵を送らないならどういう情報で同定してるのか教えてくれ。
それを送ってる部分のコードの特定も。
0240名無しさん@お腹いっぱい。
2005/04/26(火) 00:38:570241名無しさん@お腹いっぱい。
2005/04/26(火) 00:54:490242名無しさん@お腹いっぱい。
2005/04/26(火) 02:35:250243名無しさん@お腹いっぱい。
2005/04/26(火) 07:00:290244名無しさん@お腹いっぱい。
2005/04/29(金) 12:43:52リモート2:MiracleLinux(OpenSSH)
自分:WinXP+cygwin
という環境で、リモートマシンのパスワードの有効期限が
切れた後にsshでリモートに接続すると、
リモート1:その場で新パスワードに更新させられる
リモート2:切断
となってしまいます。OpenSSHでも、パスワード期限切れ時に
新パスワードに変更させてログイン続行させることは可能
ですか?
0245名無しさん@お腹いっぱい。
2005/04/29(金) 12:47:33それとも一人のユーザが一つずつもってりゃいい?
0246名無しさん@お腹いっぱい。
2005/04/29(金) 12:49:19しかし面倒くさい。
自分で判断出来ない池沼は何やっても無駄。
0247名無しさん@お腹いっぱい。
2005/04/29(金) 14:18:400248名無しさん@お腹いっぱい。
2005/04/29(金) 14:31:00OpenSSHとLinuxの認証システムは別個のプログラムで
あまり密でないから、結構ハックしないとだめそう。
ユーザーとして不便てことだけなら、
パスワードじゃなくて鍵をつかえればいい。
0249名無しさん@お腹いっぱい。
2005/04/29(金) 15:49:130250名無しさん@お腹いっぱい。
2005/04/29(金) 16:57:040251244
2005/04/29(金) 17:07:39リモートサーバの設定は、「パスワード認証なし」で、
RSAの鍵認証のみで使用しています。pamの設定、
調べてみることにします。
会社の規則で、すべてのサーバにパスワードの有効期限を
設定する必要が生じたため、困っているのです。このままだと、
遠隔地にある普段メンテしないLinuxマシンが、肝心な時に
パスワード期限切れで現地に行かないとメンテできない状況に
なりかねません。
逆に、「OpenSSH(+pam?)ではできない」という裏が取れれば、
「これこれの理由で有効期限は定めない」という設定許可申請を
会社に出すつもりなのですが、その裏も取れずに困っています。
教えてクンですみませんが、なにか情報のソースがあれば、
ご教授お願いします。
0252名無しさん@お腹いっぱい。
NGNG0253244
2005/05/01(日) 00:01:42「普段メンテしない」≠「メンテしてない」
「必要なとき以外にはアクセスしない」です。
あんまり同じ悩み抱えてる人はいないんでしょうか。
それとも、「(必要なくても)定期的にアクセスするが正解ですか?
0254名無しさん@お腹いっぱい。
2005/05/01(日) 00:11:090255名無しさん@お腹いっぱい。
2005/05/01(日) 02:03:53むしろ普通のユーザのパスワードは潰しておくべきじゃないか。
0256192
2005/05/07(土) 21:01:20opensslを0.9.7eから0.9.7gにしたらconfigure通ってあとはすんなりでした。
良かった。
0257名無しさん@お腹いっぱい。
2005/05/09(月) 20:44:08http://internet.watch.impress.co.jp/cda/news/2005/05/09/7515.html
0258名無しさん@お腹いっぱい。
2005/05/10(火) 00:21:39PuTTY SSH client for Symbian OS
ttp://s2putty.sourceforge.net/
…未踏なんですか。入力/補完モードが肝?…というほどの新規性があるとも…
0259名無しさん@お腹いっぱい。
2005/05/12(木) 17:36:08張られるんだけど、-Mオプションをつければコネクションを共有するんじゃないの?
0260名無しさん@お腹いっぱい。
2005/05/14(土) 18:36:15IntelのXeonなどに実装のハイパースレッディングに深刻な脆弱性が発見された。
マルチユーザーシステムの管理者は直ちに使用を停止した方がいいとの勧告が出されている。
Intelのプロセッサに実装されているハイパースレッディング技術に深刻な脆弱性が存在すると、
セキュリティ研究者が報告した。
この問題を発見したのは、FreeBSDプロジェクトでセキュリティを担当するコリン・パーシバル氏。
オタワで開催のBSDCan 2005で5月13日、詳しい論文を提出したという。
ハイパースレッディングはIntelのPentium Extreme Edition、Pentium 4、モバイルPentium 4、
Xeonに実装されている技術。同氏がサイトに掲載している情報によれば、この脆弱性が原因で
ローカル情報が流出する恐れがあり、権限を持たないユーザーがRSA非公開鍵を盗み出すことが
できてしまうという。
マルチユーザーシステムの管理者は直ちにハイパースレッディングを停止した方がいいと同氏は
強く勧告。デスクトップPCなどのシングルユーザーシステムは影響を受けないとしている。
パーシバル氏は昨年10月にこの問題を発見。その後コンセプト実証プログラムを作成し、影響を
受ける全ベンダーにこの問題を通報したという。サイトには、FreeBSDやSCOなどから寄せられた
アドバイザリー情報が掲載されているが、今のところIntelからの情報は寄せられていない。
http://www.itmedia.co.jp/enterprise/articles/0505/14/news009.html
0261名無しさん@お腹いっぱい。
2005/05/15(日) 03:46:52WinSCPでアクセスするも適切にエンコーディングできん
0262名無しさん@お腹いっぱい。
2005/05/20(金) 14:17:41SSH Plugin
http://www.mud.de/se/jta/html/SSHTest.html(SSH1)
0263名無しさん@お腹いっぱい。
2005/05/21(土) 16:58:51のWindows用sshクライアントで公開鍵を使ってopensshを使っているLinuxサーバに接続する方法を教えてください。
ssh-keygen2でキーを作成し、.pubファイルを~/.sshにアップロードし
ssh-keygen -i -f kkk.pub > kkkk.pub
cat kkkk.pub >> authorized_keys
ここまでやったのですが、その先がわかりません。よろしくお願いします。
0264名無しさん@お腹いっぱい。
2005/05/21(土) 17:38:50ssh hoge
0265名無しさん@お腹いっぱい。
2005/05/21(土) 17:47:010266名無しさん@お腹いっぱい。
2005/05/21(土) 20:13:11つ PuTTY
ttp://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top
0267名無しさん@お腹いっぱい。
2005/05/22(日) 06:21:48以外使えない環境なんです・・・
0268名無しさん@お腹いっぱい。
2005/05/22(日) 06:57:49なにがおかしいかわかるかもね。
0269名無しさん@お腹いっぱい。
2005/05/22(日) 17:09:530270名無しさん@お腹いっぱい。
2005/05/23(月) 07:06:38本当だ。なんでやねん。
0271名無しさん@お腹いっぱい。
2005/05/23(月) 13:23:11ちなみにトップは大学受験サロン。
第2位は日本語限定かどうかで変わる。謎。
0272名無しさん@お腹いっぱい。
2005/05/23(月) 19:05:21SSH その4
大学受験サロン@2ch掲示板
全国 鉄 道 混雑情報
【岡部の前に】岡部幸雄スレPart41【岡部無し】
日本語のページを検索
Vodafone質問スレッドPart73
McAfee Part.17
これを日本語化!な OS X アプリ発表会 Part 6
OS/2だよOS/2
0273名無しさん@お腹いっぱい。
2005/05/26(木) 20:42:014.1p1キタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!
けど、ぁゃιぃ?
0274名無しさん@お腹いっぱい。
2005/05/26(木) 21:58:060275名無しさん@お腹いっぱい。
2005/05/26(木) 22:12:550276名無しさん@お腹いっぱい。
2005/05/27(金) 01:01:01本家webサイトはまだ更新されていないみたいだけど、openssh-unix-announce
にはアナウンスメールが来てるよ。
ただし、最初に送られてきたアナウンスメールに記載されていた SHA1 checksum
は間違いだそうで。。>>273の言う
> けど、ぁゃιぃ?
はそういうことだろう。正しい checksum は
SHA1 (openssh-4.1.tar.gz) = 62fc9596b20244bb559d5fee3ff3ecc0dfd557cb
SHA1 (openssh-4.1p1.tar.gz) = e85d389da8ad8290f5031b8f9972e2623c674e46
だそうだ。
0277名無しさん@お腹いっぱい。
2005/05/27(金) 01:11:54ttp://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_4.1.txt
で、大したことではないかもしれないですが…、
(1) 「著しい修正としては以下がある.」→「大きな修正としては以下のものが
挙げられる.」
(2) 「を用いる場合に起きる segfault を修正した.」→「を用いる場合に
segmentation fault が発生してしまうのを修正した.」
のように書き直すといいかなと思いました。
0278276
2005/05/27(金) 01:41:32> 本家見たけど、んなもんないじゃん。
って、本家 *FTPサーバ* のことか。確かにないですね。。チェックサム間違えた
とかで引っ込められたのかな?
アナウンスメールは確かに届いているんだけど...
0279274
2005/05/27(金) 13:13:100280名無しさん@お腹いっぱい。
2005/05/27(金) 15:59:28$ gpg --verify openssh-4.1p1.tar.gz.asc
gpg: Signature made Wed May 25 21:26:24 2005 JST using DSA key ID 86FF9C48
gpg: BAD signature from "Damien Miller (Personal Key) <djm@mindrot.org>"
0281名無しさん@お腹いっぱい
2005/05/29(日) 20:20:01まだ1日しか経ってないけど、今のところ無問題。
ちなみに環境は玄箱にdebian sarge入れてクライアントはwinxpとwin2kからputtyとwinscp使ってます。
0282281
2005/05/29(日) 20:31:56「入門SSH」も早速読みました。これからもよろしくお願いします。
0283名無しさん@お腹いっぱい。
2005/06/08(水) 10:00:27sshでログイン,scpでファイル授受できる
Linux上のリモートを
windowsのネットワーク上の共有フォルダのように,
\\Kyoyu
としたり,
H:\
などの仮想ドライブとして
扱えるようにする方法はないでしょうか?
0284名無しさん@お腹いっぱい。
2005/06/08(水) 10:21:15NetBIOS over ssh
0285名無しさん@お腹いっぱい。
2005/06/08(水) 12:33:02回答されてたのにレスつけてなかったな
0287名無しさん@お腹いっぱい
2005/06/09(木) 22:57:39この辺
ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html#s2
意図するものと違ったらごめん。
0288名無しさん@お腹いっぱい。
2005/06/10(金) 23:56:03昨日の夜に見つけて試してみたのですが
うまく行きませんでした.
以下の操作で合っているでしょうか?
-----環境-----
ローカル:WinXP SP2
リモート:たぶんfedora2
今まではcygwinのsshとscp, winscpを使っていた
-----今回の作業-----
LoopbackAdapterをインストールし,
そのプロパティを
IP 192.168.2.250
NetBios over TCP/IP 無効のチェックボックスをオン
stoneをパスの通ったディレクトリにき,以下を実行.
$ stone localhost:8139 192.168.2.250:139
cygwinのsshを使用し,以下を実行.
$ ssh -L 8139:192.168.2.250:139 UserNameAtRemote@hoge.com
パスワードを求められ入力.
0289名無しさん@お腹いっぱい。
2005/06/10(金) 23:56:58stoneのコマンドラインの出力
stoneJun 10 23:40:48 start (2.2e) [3684]
Jun 10 23:40:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:40:58 stone 1924: localhost:8139 <- 192.168.2.250:netbios-ssn
cygwinのsshのコマンドラインの出力は普段のログインと同じ.
---------------
explorerを開いてアドレスバーに
\\192.168.2.250
と入力してエンター
---------------
ssh実行中のコマンドラインの出力
channel 2: open failed: connect failed: No route to host
stone実行中のコマンドラインの出力
Jun 10 23:49:49 TCP 1788: read error err=10054, closing
Jun 10 23:49:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:49:58 TCP1788:1764 0182d000 10 Jun 10 23:49:39 192.168.2.250:netbios-ssn ローカルPC名:3852 tx:0 rx:72 lp:4
---------------
間違っている点があったら教えてください.
0290名無しさん@お腹いっぱい。
2005/06/11(土) 00:28:580291名無しさん@お腹いっぱい。
2005/06/11(土) 15:08:420292名無しさん@お腹いっぱい。
2005/06/11(土) 21:48:110293名無しさん@お腹いっぱい。
2005/06/12(日) 01:54:39ログ調べたら鯖立てて1年半で1万5000件くらいアタックされてたけど、
今週だけでもう6000件超えてるわ。
実害はまだないけどログの量が膨大でキモチワルイわ。
対策しないと・・・。
0294名無しさん@お腹いっぱい。
2005/06/12(日) 02:53:28MaxStartups 1 とでもしとけ。
0295名無しさん@お腹いっぱい。
2005/06/12(日) 07:18:500296名無しさん@お腹いっぱい。
2005/06/12(日) 12:03:39ソースアドレスをフィルタしちゃえばいいと思う。
0297名無しさん@お腹いっぱい。
2005/06/12(日) 13:01:050298名無しさん@お腹いっぱい。
2005/06/12(日) 13:28:550299名無しさん@お腹いっぱい。
2005/06/12(日) 13:35:540300名無しさん@お腹いっぱい。
2005/06/12(日) 16:42:330301名無しさん@お腹いっぱい。
2005/06/13(月) 01:18:090302名無しさん@お腹いっぱい。
2005/06/13(月) 14:24:43それ以外のユーザは利用不可にしたいんだけど
なにで制限すればいいのでしょうか?
例えば下記の方法は?
ttp://www.atmarkit.co.jp/flinux/rensai/linuxtips/739pamssh.html
0304名無しさん@お腹いっぱい。
2005/06/13(月) 15:56:05AllowUsers
0305302
2005/06/13(月) 15:59:14簡単な方法があるんですね
ありがとうございます
さっそく試そうと思ったのですが
現在リモートでしか接続できず失敗すると
なにもできなくなることに気づいたので
今度時間のあるときに試してみます。
ありがとうございました
0306名無しさん@お腹いっぱい。
2005/06/13(月) 16:02:49そんなあなたにtelnet
0307名無しさん@お腹いっぱい。
2005/06/13(月) 17:02:140308名無しさん@お腹いっぱい。
2005/06/13(月) 17:07:52ネットワークが不安定だったら?
0309名無しさん@お腹いっぱい。
2005/06/13(月) 23:03:19そんなあなたにrlogin
0310名無しさん@お腹いっぱい。
2005/06/15(水) 18:24:580311名無しさん@お腹いっぱい。
2005/06/15(水) 19:00:53話理解してる?
0312名無しさん@お腹いっぱい。
2005/06/15(水) 19:01:060313名無しさん@お腹いっぱい。
2005/06/15(水) 20:03:070314名無しさん@お腹いっぱい。
2005/06/24(金) 23:17:55皆さんはどちらを使っておられますか?
また、その理由はなんですか?
自分は単純に暗号強度の強い方を選びたいと思ったのですが、
あるサイトによるとDSAの方が高度な暗号化でおすすめとあり、
また別のサイトではDSAには乱数の偏りによる脆弱性があるので
止めた方がいいと書かれていたり、どちらがよいのかわかりません。
脆弱性問題は2001年の話なのですが、もう解決しているのでしょうか。
0315名無しさん@お腹いっぱい。
2005/06/25(土) 00:28:490316名無しさん@お腹いっぱい。
2005/06/25(土) 21:32:580317名無しさん@お腹いっぱい。
2005/06/25(土) 22:19:52それで正解
0318名無しさん@お腹いっぱい。
2005/06/25(土) 22:38:59現在telnetの代わりとしてFTPのかわりとしてクライアント機でWINSCP3をつかうためにopenSSHをインストールしてます
○ユーザーごとに鍵を作る必要(ssh-keygen)がありますか?(telnetかわりはhogehoge FTPはfugefugeユーザの予定)
○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか?
なお、LINUX側はdebian 2.4.21 クライアント機はWIN XPで考えております
0319名無しさん@お腹いっぱい。
2005/06/25(土) 23:16:27なんで正解なの?
今は特に理由なくRSA使ってるけど、話によってはDSAに乗り換えたい。
■ このスレッドは過去ログ倉庫に格納されています