SSH その4
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
0532名無しさん@お腹いっぱい。
2005/09/04(日) 01:35:450533名無しさん@お腹いっぱい。
2005/09/08(木) 11:19:0804:30 - 05:30 JST くらいの間に
急に例の SSH へのアタックが増えた。
俺んとこは平均 2-5回/日 だけど、
今回は1時間に 12回 だよ。
お前らはどうでしたか?
0534名無しさん@お腹いっぱい。
2005/09/08(木) 11:36:39同じものかどうかわかりませんが、うちにも定期的にきますね。
>俺んとこは平均 2-5回/日 だけど、
>今回は1時間に 12回 だよ。
うちに来るやつは2,3秒置きに10分くらいアタックされるです。こんな↓感じ。
Aug 31 17:52:55 host sshd[18418]: Invalid user amanda from 72.9.233.145
Aug 31 17:52:57 host sshd[16951]: Invalid user iris from 72.9.233.145
Aug 31 17:52:59 host sshd[16922]: Invalid user bonnie from 72.9.233.145
Aug 31 17:53:02 host sshd[18006]: Invalid user sparky from 72.9.233.145
Aug 31 17:53:04 host sshd[17145]: Invalid user clasic from 72.9.233.145
Aug 31 17:53:06 host sshd[17136]: Invalid user jamy from 72.9.233.145
こんな感じでユーザ名変えて何度も何度も…
実害がないとはいえ、ちょっとむかつきますね…。
こういうのって何とかならないもんなんでしょうか。
0535533
2005/09/08(木) 11:46:53俺は syslog を検知して、Invalid user だったら、
当該 IP を hosts.deny に追加するシェルを動かしている。
なので2回目以降はその時点でブロック。
と同時に whois で引いたものメールで飛ばしている。
ケータイへの飛ばしているから、今朝起きたら、ウツになった。
まぁ、公開鍵認証を使うのが本来なんだろうけど…
0536名無しさん@お腹いっぱい。
2005/09/08(木) 11:50:190537533
2005/09/08(木) 12:04:56まぁ、そうなんだけどね。
研究というか、情報収集というか、仲間内へのアナウンスもあるし…
かといって、ハニーポットを構築するまでもないし(つーか、判らん)
今回は KR, CN だけでなく、JP(OCN) からが半分くらいだったよ。
0538名無しさん@お腹いっぱい。
2005/09/08(木) 13:25:400539名無しさん@お腹いっぱい。
NGNG仮想端末の大きさを変えたとき、リモートホストの
プロセスからはその事を知る方法はありますか?
ssh でログインした先で emacs -nw して作業しているのですが、
仮想端末のサイズを変更しても emacs はそれに追随してくれません。
ssh クライアント側での画面サイズの変更に伴って、
ssh サーバ側で SIGWINCH シグナルが発行されてないってことですか?
0540名無しさん@お腹いっぱい。
2005/09/08(木) 14:37:20sshで、login先でviを起動し、ローカルのウィンドウをリサイズすると、
viもちゃんと追従するので、 SIGWINCH はエミットされてると思われ。
emacsの問題じゃないの?
0541名無しさん@お腹いっぱい。
2005/09/08(木) 16:28:37http://www.google.co.jp/search?q=%A5%A6%A5%A3%A5%F3+%A5%AF%A5%EA%A5%A2%A5%F3&hl=ja&ie=EUC-JP
0542名無しさん@お腹いっぱい。
2005/09/08(木) 18:54:14にクリアンは英語で言うクライアントで、とある。
>>538はフランスかぶれといえよう。
0543名無しさん@お腹いっぱい。
2005/09/08(木) 19:28:250544名無しさん@お腹いっぱい。
2005/09/08(木) 19:42:430545名無しさん@お腹いっぱい。
2005/09/08(木) 19:47:000546名無しさん@お腹いっぱい。
2005/09/08(木) 20:11:17鍵認証必須にしておけば、OpenSSHに穴が見つからない限り
安全に運用できるんジャマイカ。
0547名無しさん@お腹いっぱい。
2005/09/09(金) 23:59:28俺なら「暗号化通信手順」だなぁ。
締めつける貝って聞いてホタテのヒモを思い出しちゃったよ。
あ〜キチャナイ
0548名無しさん@お腹いっぱい。
2005/09/10(土) 00:53:05これは何が原因なんでしょうか?
接続しようとするとユーザ認証に失敗しましたと表示されます。
ググってみてもそれらしいページが見当たりません。
0549名無しさん@お腹いっぱい。
2005/09/10(土) 09:35:26>締めつける貝って聞いてホタテのヒモを思い出しちゃったよ。
オレは嫁さんを思い浮かべた。
0550名無しさん@お腹いっぱい。
2005/09/10(土) 10:58:16嫁自慢か。
0551名無しさん@そうだ選挙に行こう
2005/09/10(土) 21:26:29財布奪われて
0552名無しさん@そうだ選挙に行こう
2005/09/11(日) 12:22:09でも、貝だしなぁ
普通はそこから締め付けるのは下の口を想像すると思う
確かに貝から貨幣を連想し財布に結びつけることもありえるけど
ちょっとまわりくどいかな
0553名無しさん@お腹いっぱい。
2005/09/12(月) 10:26:03Couldn't get handle: Failure
とどて蹴られます。
一応ぐぐったのですがでてきませんでした。
ご教授お願いいたします
0554名無しさん@お腹いっぱい。
2005/09/12(月) 16:05:320555名無しさん@お腹いっぱい。
2005/09/12(月) 16:23:140556名無しさん@お腹いっぱい。
2005/09/12(月) 16:27:070557名無しさん@お腹いっぱい。
2005/09/13(火) 10:44:520558名無しさん@お腹いっぱい。
2005/09/13(火) 11:17:40ソースを修正せずに済ます方法。
方法1:
あらかじめttyコマンドでtty名(/dev/pts/5とか)を調べておき、
パスワード入力プロンプトが出ている時、
stty echo < /dev/pts/5
を実行するようなラッパースクリプトを書く。
するとパスワードがエコーバックされる。
(***)ではないが。
方法2:
getpw()関数を横取りするようなlibXX.soを作り、
LD_PRELOADでロードする。
0559名無しさん@お腹いっぱい。
2005/09/13(火) 11:28:290560名無しさん@お腹いっぱい。
2005/09/13(火) 13:23:23(゚∀゚)サンクスコ
getpwを横取りするよ
0561名無しさん@お腹いっぱい。
2005/09/13(火) 15:14:13この場合 LD_PRELOAD は効かんね。今は関係ないけどさ。
0562名無しさん@お腹いっぱい。
2005/09/13(火) 16:24:16でもgetpassは入力長さが環境によってまちまちだから。
sshはgetpass(3)使わずに自前で同等関数作って使ってるぞ。
0563名無しさん@お腹いっぱい。
2005/09/15(木) 19:29:55Linux対してにssh2による接続をしていたのですが
ユーザのpasswordがexpireしている状態で接続すると、
クライアントプログラムによって異なる動作をします。
cygwin,putty:パスワードの変更を要求される
TTSSH:パスワード情報が変更されたというメッセージが表示される
このような動作の違いが現れる原因について調べております。
少なくとも、原因がopensshとTTSSHのどちらにあるかをはっきりさせたいのですが、
何かお分かりになる方がいらっしゃいましたら情報をいただけないでしょうか。
使用しているプログラム、opensshのバージョンは以下の様になっています。
また、Linuxでのユーザ管理はLDAP、sshはPAMで認証しています。
Linux(SUSE9):openssh-3.8p1-37.17
cygwin:openssh-4.1p1-2
TTSSH:teraterum_utf8_414
putty:0.58
0564名無しさん@お腹いっぱい。
2005/09/15(木) 22:41:530565名無しさん@お腹いっぱい。
2005/09/15(木) 22:58:590566名無しさん@お腹いっぱい。
2005/09/15(木) 23:26:230567名無しさん@お腹いっぱい。
2005/09/16(金) 01:45:490568名無しさん@お腹いっぱい。
2005/09/16(金) 01:58:470569名無しさん@お腹いっぱい。
2005/09/16(金) 02:49:250570名無しさん@お腹いっぱい。
2005/09/16(金) 02:59:400571名無しさん@お腹いっぱい。
2005/09/16(金) 03:13:140572563
2005/09/16(金) 10:57:50・使用したTeraterm proは「UTF-8 TeraTerm Pro with TTSSH2」なので、SSH2に対応しているはず
・「New connection」で「Service:SSH」、「SSH version:SSH2」を選択
・サーバ側のsshd_configでProtocol 2 を指定
・/var/log/messages のAcceptメッセージでssh2と表示されている
以上の理由でSSH2による接続はできていると思うのですが、見落としているところがありましたら
お教え願います。
0573名無しさん@お腹いっぱい。
2005/09/16(金) 12:22:53ボロカスには言われて無いだろ。
>>564が無知を晒して突っ込まれてただけ。
俺もTTSSHでssh2接続してるよ。
で、本題の方は、俺はLinux使ってないしそういう
システムに出会ったことが無いのでわかんないや。
俺が使ってるシステムでは、一般ユーザの/etc/passwdの
パスワードはつぶしてあって、パスワード認証は
ローカルでもできないから…。
0574名無しさん@お腹いっぱい。
2005/09/16(金) 22:48:58opensshのsshクライアント使って、サーバ-クライアント間のやり取りぐらい自分で調べたら?
0575名無しさん@お腹いっぱい。
2005/09/16(金) 23:05:32>cygwin,putty:パスワードの変更を要求される
なんて場合があるのは、パスワードの変更を「サーバが要求する」ようなメッセージが流れているはず。
!!これが分からなければ、オマイはアホの子!!
よって、cygwin opensshをhigher debug levelで動かして、解析しろ。
自分で調べるなら、IETF Draftsでそのメッセージの存在を調べれば良いし、
分からなけりゃ、調べた経緯をまとめ上げた上で、初めて人に聞くべき。
0576名無しさん@お腹いっぱい。
2005/09/19(月) 11:09:54A で ssh-keygen を行ない鍵を作成しました。
A で cat id_dsa.pub > authorized_keys を実行しました。
A から B に id_dsa, id_dsa.pub, authorized_keys をコピーしました。
Keychain を使い A から B に入る時は最初の一回だけ id_dsa に対するパスワードを聞かれます。
しかし B から A に入る時は毎回 id_dsa に対するパスワードを聞かれます。
両者の /etc/ssh/sshd_config は全く同じ内容です。
B 側の Keychain がうまくいってないように思えます。しかし両者の設定は全く同じです。
何処がおかしいか分かりますか?何かしら根本的な間違いがあるでしょうか?
0577名無しさん@お腹いっぱい。
2005/09/19(月) 16:51:59それでうまくいくのだったら keychain の問題なのでは。
0578名無しさん@お腹いっぱい。
2005/09/19(月) 18:55:40ssh-agent だといけました。
0579名無しさん@お腹いっぱい。
2005/09/21(水) 11:20:24Algorithm negotiation failed
というエラーが出て接続できなくなってしまいました。圧縮転送をオフにすれば
今でも接続できます。どうしたらこのエラーを消せるのでしょうか?よろしくお願いします。
0580名無しさん@お腹いっぱい。
2005/09/21(水) 11:26:48そのメッセイジそのものだと思うんだけど?
0582名無しさん@お腹いっぱい。
2005/09/21(水) 11:31:29sshd_config:
Compression yes
のことか?
>>580
さすがにそれくらいは解ってるだろ。答えたくないならレスするなよ。
0583名無しさん@お腹いっぱい。
2005/09/21(水) 20:23:00---
- Added a new compression method that delays the start of zlib
compression until the user has been authenticated successfully.
The new method ("Compression delayed") is on by default in the
server. This eliminates the risk of any zlib vulnerability
leading to a compromise of the server from unauthenticated users.
NB. Older OpenSSH (<3.5) versions have a bug that will cause them
to refuse to connect to any server that does not offer compression
when the client has compression requested. Since the new "delayed"
server mode isn't supported by these older clients, they will
refuse to connect to a new server unless compression is disabled
(on the client end) or the original compression method is enabled
on the server ("Compression yes" in sshd_config)
---
クライアント側がOpenSSHの3.5より前のバージョンじゃないか?
0584名無しさん@お腹いっぱい。
2005/09/21(水) 23:32:01ログには
Sep 21 22:55:48 6151 sshd[73]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
Sep 21 22:55:48 6151 sshd[73]: fatal: Cannot bind any address.
と、残っています(6151はホスト名です)
何が悪いのでしょうか?
0585ヽ(´ー`)ノ ◆.ogCuANUcE
2005/09/21(水) 23:38:29> Bind to port 22 on 0.0.0.0 failed: Address already in use.
> Cannot bind any address.
0586名無しさん@お腹いっぱい。
2005/09/21(水) 23:56:04問題はそれでした。
クライアント側にこれ
http://www.ssh.com/support/downloads/secureshellwks/non-commercial.html
を使っていたのが問題だったようです。
とりあえずは、サーバ側の設定のdelayedをyesにして対処したいと思います。
0587584
2005/09/22(木) 01:32:51すいません
bindが0.0.0.0の22番ポートを失敗しました: アドレスが使われています
と言うような感じだと思うのですが
検索などしましたが、どのように解決できるかわかりません
すいませんが教えていただけ無いでしょうか?
よろしくおねがいします
また、sshdは起動できていたみたいです
すいませんでした
0588名無しさん@お腹いっぱい。
2005/09/22(木) 02:09:58→ 22番ポートへのbindに失敗しました。
で、「起動できていたみたい」じゃなくて、「起動しているのに
また起動しようとするからエラーが出ていた」んだよ。
# 眠ぃ...
0590名無しさん@お腹いっぱい。
2005/09/30(金) 23:17:20もちろん設定は一切変更してません。でも何故か一般ユーザーはログインできるようなんです。
ちなみに認証は公開鍵式で試しに設定でパスワード認証も許可してみましたがその問題のユーザーはログインできませんでした。
ちなみに問題のユーザーと言うのはrootのことです。
root以外の一般権限のユーザーはログインできますがrootのみ急に出来なくなってしまいました。
ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
Sep 30 23:05:03 sv crond(pam_unix)[6292]: session closed for user root
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7240]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session closed for user root
0591名無しさん@お腹いっぱい。
2005/09/30(金) 23:59:390592名無しさん@お腹いっぱい。
2005/10/01(土) 05:50:59> ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
マジレスすると root でログインするのをやめる。
0593名無しさん@お腹いっぱい。
2005/10/01(土) 06:16:10そのログは、クーロンがroot権限で実行されたときのログだ。
sshには何も関係ないし。
0594名無しさん@お腹いっぱい。
2005/10/01(土) 10:18:130595名無しさん@お腹いっぱい。
2005/10/01(土) 12:56:03言われてみればよく見るとこれが5分間隔で延々並んでましたからSNMP関係のかもしれませんでした;
どうもお騒がせしました(;
ちなみにこの問題の鯖は仲間内で使うターミナルサーバ的な感じだったのでrootを許可してましたがやっぱりそれでもrootは×の方が良かったかもですね
一応今は権限を持たせた一般ユーザーからsuでrootになるようにしてます。
ところで、認証はパスワードも許可してるのですがそれもやめるべきでしょうか。
テンプレには暗号化されてると書かれてますしいいかなぁと思っているのですが(汗
0596名無しさん@お腹いっぱい。
2005/10/01(土) 13:29:11よしあし。
パスワードは総当たりだの推測だのに弱い。盗聴にも多少弱い。
鍵は秘密鍵の盗難に弱い。
0597名無しさん@お腹いっぱい。
2005/10/01(土) 15:48:50鍵認証はMan-in-the-middle攻撃に強い。総当たり攻撃や推測は事実上不可能。
鍵の管理さえしっかりしていれば(パスフレーズさえ漏らさなければ)
PAMよりずっとセキュア。
それと、複数人で管理している場合、suはお勧めできない。
操作が記録に残るsudoを使うべし。
0598名無しさん@お腹いっぱい。
2005/10/05(水) 07:58:08sshログインは出来ますが、ポートフォワーディングが出来ません。
家でプライベートネットワーク内だと出来るのですが、外からだと出来ません。何か設定はございますでしょうか?
因みにクライアントはteraterm-utf8です。
ルーターはかんでるけどsshログインは出来てるから関係ない??
0599名無しさん@お腹いっぱい。
2005/10/05(水) 10:08:57VNCサーバー側のログと設定の確認はした?
VNCの実装にもよるけど、(通常意味のない)localhostからの接続を制限しているものがあるよ。
とりあえずポートフォワーディングが問題だとかんがえているなら、
他のアプリ(ポート)で試してみるとかやんないと。
0600名無しさん@お腹いっぱい。
2005/10/05(水) 13:28:19一応apacheでも試したんですが、ダメでした。http://localhst や プライベート内のpcからhttp://192.168.1.xでは見えるんですが。
最初に書いたとおり、プライベートネットワーク内からのフォワードは出来てるので、localhostは拒否してないと思うのですが。
0601名無しさん@お腹いっぱい。
2005/10/05(水) 13:30:020602名無しさん@お腹いっぱい。
2005/10/05(水) 14:25:260603名無しさん@お腹いっぱい。
2005/10/05(水) 20:14:55個人的推理では loopback でしくってるだけ。
0604名無しさん@お腹いっぱい。
2005/10/05(水) 20:20:11> 思うのですが
0605名無しさん@お腹いっぱい。
2005/10/05(水) 20:59:000606名無しさん@お腹いっぱい。
2005/10/05(水) 21:00:580607名無しさん@お腹いっぱい。
2005/10/06(木) 12:19:240608名無しさん@お腹いっぱい。
2005/10/06(木) 14:18:300609名無しさん@お腹いっぱい。
2005/10/06(木) 23:59:16鍵認証。
0610名無しさん@お腹いっぱい。
2005/10/07(金) 00:10:53どっちみち。
だけどパスワード認証よりも、公開鍵認証のが安全らしいよ。
御安全に。
0611名無しさん@お腹いっぱい。
2005/10/07(金) 00:52:260612名無しさん@お腹いっぱい。
2005/10/07(金) 09:15:42鍵認証時のパスフレーズなんておまけみたいな物。
あってもなくても大して変わらん。
秘密鍵さえ確実に保存しておけば。
0613名無しさん@お腹いっぱい。
2005/10/07(金) 09:21:430614名無しさん@お腹いっぱい。
2005/10/07(金) 09:29:070615ヽ(´ー`)ノ ◆.ogCuANUcE
2005/10/07(金) 09:32:23パスフレーズより、鍵の bit 長の方が重要なんじゃなかったっけ?
むしろ、パスフレーズの入力無しでログインするってことは、PC を放置してて
誰かに勝手にログインされても分からないということなので、そこは気を付け
た方が良いね。そういう意味では、パスフレーズがあった方が気休めにはなる。
0616610
2005/10/08(土) 20:08:46あと仮に公開鍵を盗まれても、もう一つパスフレーズという鍵みたいなもんがあるから、
クラックするのにもう一手間かかるもんね。まぁ無いよりはましって事で。
>613
やっぱり簡単にログインできる魅力と
クラックされてどれぐらい困るかの問題じゃないかなぁ?
にしてもパスフレーズつければ完璧って事ではないけどね。
#パスフレーズは俺の自己満足なのかなぁ?
0617名無しさん@お腹いっぱい。
2005/10/09(日) 01:40:200618名無しさん@お腹いっぱい。
2005/10/09(日) 02:05:33公開鍵は盗まれても問題ない
0619名無しさん@お腹いっぱい。
2005/10/13(木) 00:06:20Kerberos使う。
ログインもKerberosでやって、そのとき発行されたチケットでsshに突撃。
SSOって奴だ。
0620名無しさん@お腹いっぱい。
2005/10/19(水) 02:19:57簡単な対処法などあったら教えてください。
OSはRed Hat Linux 9。openssh-3.5p1-11.2.legacy。openssl-0.9.7a-20.4.legacyです。
一定回数以上の接続リトライで通信を遮断とか、
リトライ間隔の調整が、容易に行えるrpmパッケージがあると最高なのですが。
0621名無しさん@お腹いっぱい。
2005/10/19(水) 02:21:42作れば簡単にできそうだけど。
0622名無しさん@お腹いっぱい。
2005/10/19(水) 02:31:59> syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
> 作れば簡単にできそうだけど。
ブルートフォースはrootユーザーから始まるようなので、syslogのAuthを
パイプで受けとって、rootのログインの試みを検出した時点から、
ポートを一定時間閉じるスクリプトを書けばいいんだけど・・・
・・・作るのがメンドイのですよ。
ポートノッキングをrpmパッケージで導入した方が簡単ですかねぇ。
0623名無しさん@お腹いっぱい。
2005/10/19(水) 02:38:30こうやって質問してる間に書けちゃうだろうに。
0624名無しさん@お腹いっぱい。
2005/10/19(水) 02:53:55作り出しちゃいそうだなぁ、設計がめんどうだなぁと。
0625名無しさん@お腹いっぱい。
2005/10/19(水) 02:58:240626名無しさん@お腹いっぱい。
2005/10/19(水) 03:05:59もし既に書いてるなら参考に見せたげりゃーいいのに。
0627名無しさん@お腹いっぱい。
2005/10/19(水) 09:34:320628名無しさん@お腹いっぱい。
2005/10/19(水) 09:39:090629名無しさん@お腹いっぱい。
2005/10/19(水) 17:32:15アタックなんて一切無いんだが。
0630名無しさん@お腹いっぱい。
2005/10/19(水) 19:04:09普通は.ssh/configの定義名でアクセスするから問題ないか。
0631名無しさん@お腹いっぱい。
2005/10/19(水) 19:07:25
■ このスレッドは過去ログ倉庫に格納されています