SSH その4
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
0289名無しさん@お腹いっぱい。
2005/06/10(金) 23:56:58stoneのコマンドラインの出力
stoneJun 10 23:40:48 start (2.2e) [3684]
Jun 10 23:40:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:40:58 stone 1924: localhost:8139 <- 192.168.2.250:netbios-ssn
cygwinのsshのコマンドラインの出力は普段のログインと同じ.
---------------
explorerを開いてアドレスバーに
\\192.168.2.250
と入力してエンター
---------------
ssh実行中のコマンドラインの出力
channel 2: open failed: connect failed: No route to host
stone実行中のコマンドラインの出力
Jun 10 23:49:49 TCP 1788: read error err=10054, closing
Jun 10 23:49:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:49:58 TCP1788:1764 0182d000 10 Jun 10 23:49:39 192.168.2.250:netbios-ssn ローカルPC名:3852 tx:0 rx:72 lp:4
---------------
間違っている点があったら教えてください.
0290名無しさん@お腹いっぱい。
2005/06/11(土) 00:28:580291名無しさん@お腹いっぱい。
2005/06/11(土) 15:08:420292名無しさん@お腹いっぱい。
2005/06/11(土) 21:48:110293名無しさん@お腹いっぱい。
2005/06/12(日) 01:54:39ログ調べたら鯖立てて1年半で1万5000件くらいアタックされてたけど、
今週だけでもう6000件超えてるわ。
実害はまだないけどログの量が膨大でキモチワルイわ。
対策しないと・・・。
0294名無しさん@お腹いっぱい。
2005/06/12(日) 02:53:28MaxStartups 1 とでもしとけ。
0295名無しさん@お腹いっぱい。
2005/06/12(日) 07:18:500296名無しさん@お腹いっぱい。
2005/06/12(日) 12:03:39ソースアドレスをフィルタしちゃえばいいと思う。
0297名無しさん@お腹いっぱい。
2005/06/12(日) 13:01:050298名無しさん@お腹いっぱい。
2005/06/12(日) 13:28:550299名無しさん@お腹いっぱい。
2005/06/12(日) 13:35:540300名無しさん@お腹いっぱい。
2005/06/12(日) 16:42:330301名無しさん@お腹いっぱい。
2005/06/13(月) 01:18:090302名無しさん@お腹いっぱい。
2005/06/13(月) 14:24:43それ以外のユーザは利用不可にしたいんだけど
なにで制限すればいいのでしょうか?
例えば下記の方法は?
ttp://www.atmarkit.co.jp/flinux/rensai/linuxtips/739pamssh.html
0304名無しさん@お腹いっぱい。
2005/06/13(月) 15:56:05AllowUsers
0305302
2005/06/13(月) 15:59:14簡単な方法があるんですね
ありがとうございます
さっそく試そうと思ったのですが
現在リモートでしか接続できず失敗すると
なにもできなくなることに気づいたので
今度時間のあるときに試してみます。
ありがとうございました
0306名無しさん@お腹いっぱい。
2005/06/13(月) 16:02:49そんなあなたにtelnet
0307名無しさん@お腹いっぱい。
2005/06/13(月) 17:02:140308名無しさん@お腹いっぱい。
2005/06/13(月) 17:07:52ネットワークが不安定だったら?
0309名無しさん@お腹いっぱい。
2005/06/13(月) 23:03:19そんなあなたにrlogin
0310名無しさん@お腹いっぱい。
2005/06/15(水) 18:24:580311名無しさん@お腹いっぱい。
2005/06/15(水) 19:00:53話理解してる?
0312名無しさん@お腹いっぱい。
2005/06/15(水) 19:01:060313名無しさん@お腹いっぱい。
2005/06/15(水) 20:03:070314名無しさん@お腹いっぱい。
2005/06/24(金) 23:17:55皆さんはどちらを使っておられますか?
また、その理由はなんですか?
自分は単純に暗号強度の強い方を選びたいと思ったのですが、
あるサイトによるとDSAの方が高度な暗号化でおすすめとあり、
また別のサイトではDSAには乱数の偏りによる脆弱性があるので
止めた方がいいと書かれていたり、どちらがよいのかわかりません。
脆弱性問題は2001年の話なのですが、もう解決しているのでしょうか。
0315名無しさん@お腹いっぱい。
2005/06/25(土) 00:28:490316名無しさん@お腹いっぱい。
2005/06/25(土) 21:32:580317名無しさん@お腹いっぱい。
2005/06/25(土) 22:19:52それで正解
0318名無しさん@お腹いっぱい。
2005/06/25(土) 22:38:59現在telnetの代わりとしてFTPのかわりとしてクライアント機でWINSCP3をつかうためにopenSSHをインストールしてます
○ユーザーごとに鍵を作る必要(ssh-keygen)がありますか?(telnetかわりはhogehoge FTPはfugefugeユーザの予定)
○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか?
なお、LINUX側はdebian 2.4.21 クライアント機はWIN XPで考えております
0319名無しさん@お腹いっぱい。
2005/06/25(土) 23:16:27なんで正解なの?
今は特に理由なくRSA使ってるけど、話によってはDSAに乗り換えたい。
0320名無しさん@お腹いっぱい。
2005/06/25(土) 23:24:02低レベルすぎるな。
しばらく使ってみていろいろ試したら?
0321名無しさん@お腹いっぱい。
2005/06/25(土) 23:40:33新規の鍵は計算量が少なさそうなRSAでいいと思うけど。
0322名無しさん@お腹いっぱい。
2005/06/26(日) 04:22:32> 自分は単純に暗号強度の強い方を選びたいと思ったのですが、
どっちでもいいが、強度気にするなら鍵長長くしる
0323ごん米さん、お早う
2005/06/26(日) 06:36:36キーの暗号化のために RSA は有るの。
Hellman Deffie だっけ、RSA は有るの、
でもさ、平文、つまり暗号化したい、Body の部分の
暗号化にはさ、とても RSA なんて使えないよ。
Body がたった1MBでもさ、巷の高速 CPU でもさ、
遅いのなンのって、、、。
何ならショートサイズの RSA で Body 暗号化
してみたら、、、。解るよ。実装上は未だ無理だし、
その必要も無いのがさ、、、、。
0324ごん米さん、お早う
2005/06/26(日) 06:41:07が暗号だと言う時代じゃ無いのだもの。
作戦地図のデータをファイル変換して、つまり暗号にして
ファイル転送しちゃいそうな時代なのでしょう。
現代は、、、。
0325ごん米さん、お早う
2005/06/26(日) 06:47:03RSA は必ず情報が冗長になるの解るよね、
mod の演算サイズになっちゃうの。
楕円曲線でも同じ、、、、。
って事は、復号にはファイルサイズが前もって
必要となちゃ鵜のだよね。
最後の1バイト、化けるの覚悟するだけだけどさ、。
0326ごん米さん、大丈夫
2005/06/26(日) 10:52:570が一杯のデータファイルが、、、。
それじゃ詰まらない。
0327名無しさん@お腹いっぱい。
2005/06/26(日) 11:47:15簡単に答えておこうか
> ○ユーザーごとに鍵を作る必要(ssh-keygen)がありますか?(telnetかわりはhogehoge FTPはfugefugeユーザの予定)
作ったほうがセキュリティ的に強いが、作らなくても使える。
てか、RSA鍵について調べておけ。
> ○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか?
いらん。即停止。
> なお、LINUX側はdebian 2.4.21 クライアント機はWIN XPで考えております
余談だが、debianとKernelのバージョンを混ぜるな危険。
kernel2.4.21ってのも、えらく中途半端なバージョンな気もするが。
sargeなら2.4.27にしといたほうがいいんじゃないか?
0328318
2005/06/26(日) 13:15:46ありがとうございました。RSA鍵作って全部運用できました。
RSA鍵(SSH2用)作ると一緒にDSA鍵も作らないといけないんですか?エラーがでたっぽいので作っておくだけはしましたけど
あとkernelの件なんですが、ある事情でこのままなんです。いずれ2.6あたりにはしたいなあと思ってはいるのですが
0329名無しさん@お腹いっぱい。
2005/06/26(日) 15:15:05昨日から急に私が運用しているサーバーさんに、ssh でログインする際 passphrase ではなく password を
聞かれるようになりました。
とくに、サーバー側の$HOME/.ssh/の中が変わったわけでもないのですが、、、。
sshd_configなど調べてみたのですが、何が原因なのか分かりません。
サーバー利用者から、いっぱい問い合わせがきて、あっぷあっっぷしています。
サーバー側の、$HOME/.ssh/authorized_keys には、正しいkeyが書かれています。
どなたか解決方法をご存知の方、教えてください。
よろしくお願いします
0330329
2005/06/26(日) 15:16:46以下に、ssh -vv のログを添付します。
----
debug1: Host 'sakura' is known and matches the RSA host key.^M
debug1: Found key in /home/test/.ssh/known_hosts:63^M
debug1: bits set: 1598/3191^M
debug1: ssh_rsa_verify: signature correct^M
debug1: kex_derive_keys^M
debug1: newkeys: mode 1^M
debug1: SSH2_MSG_NEWKEYS sent^M
debug1: waiting for SSH2_MSG_NEWKEYS^M
debug1: newkeys: mode 0^M
debug1: SSH2_MSG_NEWKEYS received^M
debug1: done: ssh_kex2.^M
debug1: send SSH2_MSG_SERVICE_REQUEST^M
debug1: service_accept: ssh-userauth^M
debug1: got SSH2_MSG_SERVICE_ACCEPT^M
debug1: authentications that can continue: publickey,password^M
debug1: next auth method to try is publickey^M
debug1: try pubkey: /home/test/.ssh/id_dsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug1: try pubkey: /home/test/.ssh/id_rsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug2: we did not send a packet, disable method^M
debug1: next auth method to try is password^M
---
よろしくお願いします
0331名無しさん@お腹いっぱい。
2005/06/26(日) 16:45:000332名無しさん@お腹いっぱい。
2005/06/26(日) 16:47:390333329
2005/06/26(日) 17:43:04$HOME/.ssh と $HOME/.ssh/authorized_keys のパーミッションは確認していたのですが、、、。
なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
これを、755にしたらなおりました。ぬぬー。
331さん、332さん、ありがとうございmす。
0334名無しさん@お腹いっぱい。
2005/06/26(日) 18:09:33*Starting sshd...
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_rsa_key
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_dsa_key
Disabling protocol version 2. could not load host key
sshd : no hostkeys available -- exiting.
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key
は一番最初に/etc/init.d/sshd start したときに作られていました
/etc/ssh/sshd_config はデフォルトです
アドバイスお願いします
0335名無しさん@お腹いっぱい。
2005/06/26(日) 23:21:57> なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
イヤーな悪寒。
侵入を受けたという可能性?
0337名無しさん@お腹いっぱい。
2005/06/27(月) 17:29:420338名無しさん@お腹いっぱい。
2005/06/27(月) 18:37:54sshdを再起動すると
その接続は切断されますか?
SSH関連の設定を変えるのが怖くて
0339名無しさん@お腹いっぱい。
2005/06/27(月) 18:43:490340名無しさん@お腹いっぱい。
2005/06/27(月) 19:03:09怖いなら素直にローカルでいじれ。
0341338
2005/06/27(月) 19:37:18しばらくマシンのある場所に行けないので
できればSSHでと思ったのですが
やり方によっては切れるってことですか。
と今気づいたのですが
試しに設定を変更せずに再起動してみればいいんですよね。
で、切断されませんでした。
でも設定変更の内容によっては切断されるってことですかね?
AllowUserで利用ユーザの制限をしようとしてます。
0342名無しさん@お腹いっぱい。
2005/06/27(月) 19:56:410343名無しさん@お腹いっぱい。
2005/06/28(火) 01:08:07どういうやり方だと切れるの?ちょっと想像つかないんだが。
0344名無しさん@お腹いっぱい。
2005/06/28(火) 01:58:12sudo pkill sshd ぐらいやると切れそう
0345名無しさん@お腹いっぱい。
2005/06/28(火) 02:14:41落として上げる前にうっかりログアウトしちゃった、とかか?
0346名無しさん@お腹いっぱい。
2005/06/28(火) 12:59:350347名無しさん@お腹いっぱい。
2005/06/28(火) 13:52:12inet 使って別ポートを listen させてる。
もちろん、 IP フィルタリングなどガチガチに制限してるけど。
SSHでログインしてることを忘れてapt-get upgradeを実行したら、
パッケージの更新中に接続が切れちゃってそれっきりに...。
翌日にPCの前で作業するまで何もできなかったことが。
0349名無しさん@お腹いっぱい。
2005/06/28(火) 16:45:39使いつつローカルに偽装してrloginから入るけどねぇ
0350名無しさん@お腹いっぱい。
2005/06/28(火) 16:50:32sshdをrestartするだけで切れる?
バイナリ自体をupdateするとだめなのか。
>>349
pagerのmoreと紛らわしいですな。
0351名無しさん@お腹いっぱい。
2005/06/28(火) 16:56:50-z allextract libcrypto.a -z defaultextrace -lsocket -lsnl を実行したと
たんに死亡した。
sshdをrestartしても大丈夫でした。
今試したら、stopでも既存のSSHのセッションは生きてますね。
以前にapt-getで切れたのはSSHが原因ではなくて、OpenVPNでした。
パッケージを更新する際にopenvpnが停止したので、切れたんですね。
SSHは無実(?)でした。ごめん。
0353名無しさん@お腹いっぱい。
2005/06/29(水) 00:43:150354名無しさん@お腹いっぱい。
2005/06/29(水) 00:55:23話の流れ嫁。
そういう問題ではない。
0355名無しさん@お腹いっぱい。
2005/06/30(木) 05:36:15たぶん >>353 は L2 でつながったマシンに screen 上げておいて、そこか
ら IPv6 node local で telnet しとけってことが言いたいんだよ、きっと。
だとしたらスレ違い?
0356名無しさん@お腹いっぱい。
2005/07/08(金) 01:04:03このcommand に引数を渡すことは可能でしょうか?
command="dump /home" の代わりに、
command="dump /var/$1" のような書き方をしたいのです。
/var/ 以下の特定のフォルダを指定してバックアップしたいときとかは便利ですよね?
0357名無しさん@お腹いっぱい。
2005/07/08(金) 01:17:110359名無しさん@お腹いっぱい。
2005/07/08(金) 03:14:080360名無しさん@お腹いっぱい。
2005/07/08(金) 20:13:03春山さんのところによると脆弱性でのupdateではないようだね、
だけど、オイラは上げてみようっと。
0361名無しさん@お腹いっぱい。
2005/07/08(金) 23:30:14「も」って他には何が来ているの?
0362名無しさん@お腹いっぱい。
2005/07/09(土) 00:13:27どうつっこめばいい?
0363名無しさん@お腹いっぱい。
2005/07/09(土) 00:17:43そもそも、OpenSSH verup ageというのが意味不明
0364名無しさん@お腹いっぱい。
2005/07/09(土) 02:09:12失礼。>359への便乗の意味で「も」を使っちまった。
で、Openssl-0.9.8はまだ入れてません。現在は0.9.7gなんだけど、
今日はリモートからだから、明日ローカルから入れてみようと思ってます。
0365名無しさん@お腹いっぱい。
2005/07/09(土) 02:35:02shared object の version number 変ったからリモートから入れても問題無いよ。
0366名無しさん@お腹いっぱい。
2005/07/12(火) 17:12:45なんか方法ありませんか?
0367名無しさん@お腹いっぱい。
2005/07/12(火) 18:07:350368名無しさん@お腹いっぱい。
2005/07/12(火) 19:15:17で、肝心なやり方は?
0369名無しさん@お腹いっぱい。
2005/07/12(火) 19:54:50金30000円申し受けます。
0370名無しさん@お腹いっぱい。
2005/07/12(火) 21:00:210371名無しさん@お腹いっぱい。
2005/07/12(火) 21:09:37低レヴェルな煽りですね。
オツムのレヴェルが知れます。
0372名無しさん@お腹いっぱい。
2005/07/12(火) 22:24:53で、分かる人いませんかー?
0373名無しさん@お腹いっぱい。
2005/07/12(火) 22:32:440374名無しさん@お腹いっぱい。
2005/07/13(水) 05:35:40に
no ssh
を追加する
0375名無しさん@お腹いっぱい。
2005/07/15(金) 00:34:380376名無しさん@お腹いっぱい。
2005/07/15(金) 02:55:27なにがやりたいのかさっぱりわからない
0377名無しさん@お腹いっぱい。
2005/07/15(金) 07:57:29SSHしか使ってなかった時は、rootでログインなんてしなくても、wheelグループのユーザーでログインして、
必要ならsuコマンドやsudoコマンドでrootに変えればOKだったのですが
昨日WinScp使い始めたら、rootでしかいじれないファイルの編集の仕方が分からず、結局rootでログインしました。
sshd_configでわざわざrootでのログインはデフォルトでnoに設定されてるし…
0378名無しさん@お腹いっぱい。
2005/07/15(金) 08:04:280379初期不良
2005/07/15(金) 08:57:170380名無しさん@お腹いっぱい。
2005/07/15(金) 09:01:34ちなみにこれをやるぐらいならrootでログインしたほうがマシ
0381名無しさん@お腹いっぱい。
2005/07/15(金) 09:47:25yes で解決だろ
0382名無しさん@お腹いっぱい。
2005/07/15(金) 13:38:430383名無しさん@お腹いっぱい。
2005/07/15(金) 17:22:400384名無しさん@お腹いっぱい。
2005/07/15(金) 21:35:04man ssh_config(5)
man sshd_config(5)
man sshd(8)
すればだいたいわかるよ。(5)とかの数字はいらんけどね。
"openssh 日本語マニュアル"ぐらいでググれば、
日本語マニュアルページもあるよ。
0385名無しさん@お腹いっぱい。
2005/07/16(土) 17:35:21>すればだいたいわかるよ。(5)とかの数字はいらんけどね。
普通はこうだろ。
man 5 ssh_config
man 5 sshd_config
man 8 sshd
0386名無しさん@お腹いっぱい。
2005/07/16(土) 22:23:260387●
2005/07/16(土) 23:16:27WindowsのいろんなSSHソフトで接続すると、なんかInsert、Delete、Home、End、PageUp、PageDownキーが変。
PCにつないだキーボードで入力した時とコードが違う…?しかもソフトごとに違う。
PuTTYの標準モード
"\e[2~": Insertキー
"\e[3~": Deleteキー
"\e[1~": Homeキー
"\e[4~": Endキー
"\e[5~": PageUpキー
"\e[6~": PageDownキー
Poderosaの設定
"\e[2~": Insertキー
"\e[3~": Deleteキー
"\e[7~": Homeキー
"\e[8~": Endキー
"\e[5~": PageUpキー
"\e[6~": PageDonwキー
TeraTermの設定
"\e[1~": Insertキー
"\e[4~": Deleteキー
"\e[2~": Homeキー
"\e[5~": Endキー
"\e[3~": PageUpキー
"\e[6~": PageDonwキー
bashを使ってるので、~/.inputrc にこれを元に適当に設定して何とかなりましたが、こういうものなんですか?
Windows以外のSSHクライアントもそうなんでしょうか
0388名無しさん@お腹いっぱい。
2005/07/19(火) 11:16:31windows(putty) --- hostA --- hostB
ホストBにログインしたいときに、
まずsshでホストAに入って、その上でホストBにsshしています。
しかしこれだとhostAのttyを1つ消費してしまいます。
hostAのttyを消費せずにhostBにssh接続できませんでしょうか?
hostAにつなぎに行く際に、puttyの設定で「擬似端末を確保しない」にチェックをいれて
リモートコマンドで「ssh -t hostB」としましたが、
「Pseudo-terminal will not be allocated because stdin is not a terminal.」となり
うまく行きませんでした。
ttyってのがいまいちよく分かってないので、的はずれでしたらすみません。
0389名無しさん@お腹いっぱい。
2005/07/19(火) 11:37:49疑問だけど、やるんだったら
ssh -f -L 10022:hostB:22 userA@hostA sleep 600 とダミーのバックグラウンド
プロセス動かしつつ(tty消費しない)ポートフォワードして、
ssh -p userB@localhostでhostBにつなぐとか。
ちなみに、この例だと600秒経過後ひとつめのシェルコマンドは終了するけど、
2番目の接続が終了するまで、ポートフォワードしたまま待ちになる。
puttyとかで一番目の方法を実現できるのかは知らない。(Cygwinだとできる)
■ このスレッドは過去ログ倉庫に格納されています