SSH その4

**名無しさん＠お腹いっぱい。** · NG

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：http://pc5.2ch.net/test/read.cgi/unix/1058202104/

**584** · 2005/09/22(木) 02:16:46

>>588
すいません
ありがとうございました

**名無しさん＠お腹いっぱい。** · 2005/09/30(金) 23:17:20

急に今まで繋がっていたSSHが突如先日繋がらなくなりました。
もちろん設定は一切変更してません。でも何故か一般ユーザーはログインできるようなんです。
ちなみに認証は公開鍵式で試しに設定でパスワード認証も許可してみましたがその問題のユーザーはログインできませんでした。

ちなみに問題のユーザーと言うのはrootのことです。
root以外の一般権限のユーザーはログインできますがrootのみ急に出来なくなってしまいました。
ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。

Sep 30 23:05:03 sv crond(pam_unix)[6292]: session closed for user root
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7240]: session opened for user root by (uid=0)
Sep 30 23:10:01 sv crond(pam_unix)[7237]: session closed for user root

**名無しさん＠お腹いっぱい。** · 2005/09/30(金) 23:59:39

root で入れるようにしとくなよ。

**名無しさん＠お腹いっぱい。** · 2005/10/01(土) 05:50:59

>>590
> ログを参照してみると下の様なものが記されていたのですがどうすればよいのかご伝授お願いします。
マジレスすると root でログインするのをやめる。

**名無しさん＠お腹いっぱい。** · 2005/10/01(土) 06:16:10

このスレの連中はログの見方も知らんのか。

そのログは、クーロンがroot権限で実行されたときのログだ。
sshには何も関係ないし。

**名無しさん＠お腹いっぱい。** · 2005/10/01(土) 10:18:13

わろす

**名無しさん＠お腹いっぱい。** · 2005/10/01(土) 12:56:03

ぇ、このログ関係なかったんですか(´･ω･`)
言われてみればよく見るとこれが5分間隔で延々並んでましたからSNMP関係のかもしれませんでした；
どうもお騒がせしました（；

ちなみにこの問題の鯖は仲間内で使うターミナルサーバ的な感じだったのでrootを許可してましたがやっぱりそれでもrootは×の方が良かったかもですね
一応今は権限を持たせた一般ユーザーからsuでrootになるようにしてます。

ところで、認証はパスワードも許可してるのですがそれもやめるべきでしょうか。
テンプレには暗号化されてると書かれてますしいいかなぁと思っているのですが（汗

**名無しさん＠お腹いっぱい。** · 2005/10/01(土) 13:29:11

>>595
よしあし。
パスワードは総当たりだの推測だのに弱い。盗聴にも多少弱い。
鍵は秘密鍵の盗難に弱い。

**名無しさん＠お腹いっぱい。** · 2005/10/01(土) 15:48:50

>>595
鍵認証はMan-in-the-middle攻撃に強い。総当たり攻撃や推測は事実上不可能。
鍵の管理さえしっかりしていれば（パスフレーズさえ漏らさなければ）
PAMよりずっとセキュア。

それと、複数人で管理している場合、suはお勧めできない。
操作が記録に残るsudoを使うべし。

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 07:58:08

VNCをフォワーディングして使用したいのですが、
sshログインは出来ますが、ポートフォワーディングが出来ません。
家でプライベートネットワーク内だと出来るのですが、外からだと出来ません。何か設定はございますでしょうか？

因みにクライアントはteraterm-utf8です。
ルーターはかんでるけどsshログインは出来てるから関係ない??

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 10:08:57

>>598
VNCサーバー側のログと設定の確認はした？
VNCの実装にもよるけど、(通常意味のない)localhostからの接続を制限しているものがあるよ。

とりあえずポートフォワーディングが問題だとかんがえているなら、
他のアプリ(ポート)で試してみるとかやんないと。

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 13:28:19

>>599
一応apacheでも試したんですが、ダメでした。http://localhst や　プライベート内のpcからhttp://192.168.1.xでは見えるんですが。
最初に書いたとおり、プライベートネットワーク内からのフォワードは出来てるので、localhostは拒否してないと思うのですが。

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 13:30:02

あっ、http://localhostてのはもちろんssh鯖のpcからです。

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 14:25:26

具体的に！

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 20:14:55

思う、じゃなくって、telnet localhost 80 でもなんでもいいからやれ。
個人的推理では loopback でしくってるだけ。

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 20:20:11

> localhostは拒否してないと思うのですが
> 思うのですが

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 20:59:00

>>603 すいません。。telnet localhost 80 は問題なく接続出来ました。。

**名無しさん＠お腹いっぱい。** · 2005/10/05(水) 21:00:58

ネタだよネタ。ﾇﾙｰしろ。

**名無しさん＠お腹いっぱい。** · 2005/10/06(木) 12:19:24

パスワードを入力しないでログインできるようにするにはどの方法がよいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2005/10/06(木) 14:18:30

環境による。

**名無しさん＠お腹いっぱい。** · 2005/10/06(木) 23:59:16

>>607
鍵認証。

**名無しさん＠お腹いっぱい。** · 2005/10/07(金) 00:10:53

それにしても一度はパスフレーズを入力するんだけどね。
どっちみち。
だけどパスワード認証よりも、公開鍵認証のが安全らしいよ。
御安全に。

**名無しさん＠お腹いっぱい。** · 2005/10/07(金) 00:52:26

空パスフレーズ

**名無しさん＠お腹いっぱい。** · 2005/10/07(金) 09:15:42

>>610
鍵認証時のパスフレーズなんておまけみたいな物。
あってもなくても大して変わらん。

秘密鍵さえ確実に保存しておけば。

**名無しさん＠お腹いっぱい。** · 2005/10/07(金) 09:21:43

鍵のパス空にしてるけどやばいかな?

**名無しさん＠お腹いっぱい。** · 2005/10/07(金) 09:29:07

レスを読めない人

**ヽ(´ー`)ノ** ◆.ogCuANUcE · 2005/10/07(金) 09:32:23

ssh-agent とか。

パスフレーズより、鍵の bit 長の方が重要なんじゃなかったっけ？

むしろ、パスフレーズの入力無しでログインするってことは、PC を放置してて
誰かに勝手にログインされても分からないということなので、そこは気を付け
た方が良いね。そういう意味では、パスフレーズがあった方が気休めにはなる。

**610** · 2005/10/08(土) 20:08:46

俺は>615の言うとおりと思ってる。
あと仮に公開鍵を盗まれても、もう一つパスフレーズという鍵みたいなもんがあるから、
クラックするのにもう一手間かかるもんね。まぁ無いよりはましって事で。
>613
やっぱり簡単にログインできる魅力と
クラックされてどれぐらい困るかの問題じゃないかなぁ?
にしてもパスフレーズつければ完璧って事ではないけどね。

#パスフレーズは俺の自己満足なのかなぁ?

**名無しさん＠お腹いっぱい。** · 2005/10/09(日) 01:40:20

自動化処理でいろいろ面倒なのでパスフレーズは無しにしてる。

**名無しさん＠お腹いっぱい。** · 2005/10/09(日) 02:05:33

>>616
公開鍵は盗まれても問題ない

**名無しさん＠お腹いっぱい。** · 2005/10/13(木) 00:06:20

>>607
Kerberos使う。
ログインもKerberosでやって、そのとき発行されたチケットでsshに突撃。

SSOって奴だ。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 02:19:57

SSHのブルートフォースが毎日毎日続くので対策を検討しています。
簡単な対処法などあったら教えてください。
OSはRed Hat Linux 9。openssh-3.5p1-11.2.legacy。openssl-0.9.7a-20.4.legacyです。
一定回数以上の接続リトライで通信を遮断とか、
リトライ間隔の調整が、容易に行えるrpmパッケージがあると最高なのですが。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 02:21:42

syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
作れば簡単にできそうだけど。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 02:31:59

>>621
> syslogをパイプで受けてファイアウォールのフィルタをon/offするツールでも
> 作れば簡単にできそうだけど。

ブルートフォースはrootユーザーから始まるようなので、syslogのAuthを
パイプで受けとって、rootのログインの試みを検出した時点から、
ポートを一定時間閉じるスクリプトを書けばいいんだけど・・・
・・・作るのがメンドイのですよ。

ポートノッキングをrpmパッケージで導入した方が簡単ですかねぇ。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 02:38:30

メンドイってあんた、そんな何時間もかかるものじゃあるまいし……。
こうやって質問してる間に書けちゃうだろうに。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 02:53:55

アクセスごとにポートの開け閉めをしていたら、競合状態を
作り出しちゃいそうだなぁ、設計がめんどうだなぁと。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 02:58:24

つiptablesのipt_recentモジュール

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 03:05:59

620ﾀｿが穴のあるスクリプト書いちゃうかもしれんから、
もし既に書いてるなら参考に見せたげりゃーいいのに。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 09:34:32

ふつーはもっと下のレベルでアクセス制限するなりポート変えるなりすりゃいいだけだろ

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 09:39:09

swatch -> tcp_wrapper でどうよ ?

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 17:32:15

デフォルトの22番ポートを使わないようにしてから
アタックなんて一切無いんだが。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 19:04:09

それメンドイと思ったけど、
普通は.ssh/configの定義名でアクセスするから問題ないか。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 19:07:25

それに頼ると出先にいったときに忘れてたりする

**名無しさん＠お腹いっぱい。** · 2005/10/20(木) 09:10:43

>>629
おれもそれで自宅のは運用してるけど、
一般的にはアレゲな方法だと思われてるよね。

**名無しさん＠お腹いっぱい。** · 2005/10/20(木) 12:21:28

>>632
なんでアレゲなの?

**名無しさん＠お腹いっぱい。** · 2005/10/20(木) 12:24:15

そもそもアレゲってドレゲよ？

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 06:11:40

エロゲの親戚?

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 22:26:48

>>633
おれにもよくわからん。
httpd のポートを同じように 80 から変えるのは、
（会社の）proxy の許可が通らなかったりとか、
まー、色々あるから、避けられるのは理解できるんだけどネ。

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 23:15:01

アレゲって何？

スラドのコピペ
　　↓

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 23:28:12

↑ .｜ .┌┐
│ .└‐┘└┐
└──┐　 │
　　　 └─┘

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 23:56:19

>>620
ふつうにportsentryとかdenyhostsとか

**名無しさん＠お腹いっぱい。** · 2005/10/22(土) 03:19:19

knockdでコンコン

**名無しさん＠お腹いっぱい。** · 2005/10/22(土) 23:16:15

>>620
.jp以外を問答無用で蹴る。これでぐっと減ります。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 03:40:21

hosts.denyとかより下位レイヤで蹴ったほうが負荷が少ないよ。
うちは .cn .kr .hk .tw に属するIPアドレス手に入れて、
ssh に限らずざっくり全部拒否。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 08:01:03

>>642
.tw はまずいだろ

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 11:49:40

>>643
なんで？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 14:41:33

マザーボード資料とか見るとき?

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 14:48:49

こちらから接続にいくTCPくらいはステートフルに通すだろうから
全然問題ないのでは。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 15:18:40

台湾に出張に行ったときに困る

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 15:21:43

FTPのように、ユーザーが自分のホームディレクトリ以上に行けないようにすることは出来ますか？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 15:21:57

>>647
そのときは開ける、または君のところは開けるでいいじゃん？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 16:15:40

>>648
/bin や /usr や /usr/local も見えなくなるけどいいのかね？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 16:18:28

Webページのみ利用のユーザーにFTPの代わりに提供したいのです。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 16:20:37

chroot(概念を理解)とかjail(chroot環境構築のツール)とかを
調べてください。

**名無しさん＠お腹いっぱい。** · 2005/10/25(火) 11:25:27

.cn .kr .hk に属するIPを教えて

**名無しさん＠お腹いっぱい。** · 2005/10/25(火) 12:00:17

>>653
つ ttp://www.blackholes.us/
週一くらいで更新されているからrsyncでも使って自動updateのshellでも書けばいい

**名無しさん＠お腹いっぱい。** · 2005/10/26(水) 21:00:30

putty に関する質問はここでよろしいでしょうか？

**名無しさん＠お腹いっぱい。** · 2005/10/26(水) 21:31:39

>>655
Putty その２
http://pc8.2ch.net/test/read.cgi/unix/1084686527/

**名無しさん＠お腹いっぱい。** · 2005/10/26(水) 22:41:14

>>656
過疎ぎみのようですがそっちいってきます．

**名無しさん＠お腹いっぱい** · 2005/10/26(水) 23:27:57

SSHの通信内容を復号化してそのまま読みたいんですが、どうやったらできますかね？
デバッグモードとかじゃなくて、ペイロードを直接そのまま見たいんです。

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 00:18:49

暗号鍵を手に入れて復号。

**658** · 2005/10/27(木) 01:22:02

>>659
そういうことではなくて、通信内容を表示してくれる
sshクライアント等が欲しいんです。
どういう風に通信が行われているかはRFC読んでも
いまいち実感がわかないので、実際に見てみようかなと。

**ヽ(´ー`)ノ** ◆.ogCuANUcE · 2005/10/27(木) 01:46:10

言ってる意味が良く分からんけど、ethereal とかか？

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 02:52:44

>>660
NULL 暗号化を実装したサーバとクライアントを用意してがんばる。

**658** · 2005/10/27(木) 05:11:59

説明が足りませんでしたね。
実は今SSHの通信部分を実装してるんです。
実際のパケットも観察してみようと思ったんですが、当然ながらそのままでは暗号化で読めません。
で、どうにかして見られないかなと思ったわけです。

>>662
なるほど。ただちょっと面倒ですな…

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 12:39:51

opensslの関数をフックして通信内容をdumpするsoを作って、LD_PRELOADで読み込ませる。(socksみたいな感じで)

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 12:40:45

いま実装中ってことならおそらく ver.2 なんだろうけど、ver.1 でもいいんな
ら dsniff の sshmitm を debug mode で間に噛ませてやれば復号した通信内容
を dump してくれた筈。

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 12:45:43

>>648

scpやsftpだけで良ければこれで簡単に実装できます。
つ rssh http://www.sdri.co.jp/rssh/index.html.ja

shellが無いとダメ？

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 18:41:51

接続先サーバのホストキーが変わったときに
~/.ssh/known_hosts を新しいので上書きさせる方法ってない?

サーバ構築中で再インストールしたときとかで
攻撃によるものじゃないのが明らかなときに
いちいちエディタで開いて削るのはめんどくさい。
HashKnownHosts してるとどれを削ればいいのかわからないし。

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 22:24:55

>>667
構築中のサーバ専用の known_hosts ファイルを UserKnownHostsFile で指定
すればいいんじゃない? 変わったら rm すればいい

**名無しさん＠お腹いっぱい。** · 2005/10/28(金) 00:43:55

>>668
あー、それいいね。
やってみる。
どうもー。

**名無しさん＠お腹いっぱい。** · 2005/10/28(金) 00:58:57

構築中でもなんにしろ、known_hosts を勝手に上書きするのは
よろしくないと思うけど

**名無しさん＠お腹いっぱい。** · 2005/10/28(金) 09:32:53

>>620
# route add -host IPアドレス 127.1 -blackhole

**名無しさん＠お腹いっぱい。** · 2005/11/04(金) 14:01:26

age

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 02:05:57

NTT-ADSLモデムNVの内側にあるマシン A を踏み台にして、
支店βのLANに属しているマシン B (アドレスはローカル) と、
支店γのLANに属しているマシン C (アドレスはローカル) で、
ファイルのやりとりを画策してます。
B から A に ssh でログインできることと、
C から A に ssh でログインできることは確認済です。
C -> A -> B とすれば、C から B が見えると思い、次のコマンドを実行しましたが、
connection refused でした。

B$ ssh -R 10022:localhost:22 A
C$ ssh -L 10023:A:10022 A
C$ ssh -p 10023 localhost

3番目のコマンドを実行すると、
channel 2: open failed: connect failed: Connection refused
となります。
計算機 A の sshd_config では GatewayPorts yes としています。
不思議なのは、NTT-ADSLモデムの内側にあるマシン A を
物理的に違うところに運んで grobal address を持つマシンにすると、
うまくいくことです。

なぜなんでしょう？

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 02:41:34

673 です。追記です。
モデムの静的IPマスカレードで、22,10000-番ポートをマシンA に振ってあります。
マシンA の sshd は OpenSSH_3.8.1p1 でっす。

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 07:57:30

C からA にssh でログインして、

A$ ssh -p 10022 localhost

としてB にログインできるなら
C <-> A の経路が怪しい、ということになりますがどうでしょ。

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 16:50:07

>>673-674
C$ ssh -L 10023:A:10022 A
これがまずいのだと思います。
マシンAから見ると「グローバルアドレスを持っているモデム」の10022/tcpに転送するということです。
そのモデムは内側からモデムの持っているグローバルアドレスでアクセスされた場合は、
静的IPマスカレードで内側に転送したりしないのでしょう。

C$ ssh -L 10023:localhost:10022 A
とすればうまくいくと思います。

また
B$ ssh -R 10022:localhost:22 A
のように、ループバックアドレスのみをlistenする場合は、GatewayPortsオプションで許可しなくてもいいみたいです。
http://www.unixuser.org/~euske/doc/openssh/jman/ssh.html

**673** · 2005/11/05(土) 19:51:14

673です。大当たりでした。本当にありがとうございます。
>>675
その通りでした。で、
>>676
にて頂戴した方法で、期待通りの動作を確認することができました。
本当にありがとうございます。

C$ ssh -L 10023:localhost:10022 A
とすると、ここでの「localhost」は「A自身」なのでうまくいくと。
なるほど。この発想はまったくありませんでした。

また、ダメな例 (モデムの10022/tcpに転送) の解説も
私には非常に勉強になるものでした。完璧に誤解していました。

加えて、GatewayPorts no でもうまくいくことも確認できました。
はあー。ようやく寝られます。3日間悩みまくりました。
ありがとうございます。

あと、ついでに、嫁の妊娠が発覚しました。
今日は良いことだらけです。

**名無しさん＠お腹いっぱい。** · NG

>>677
login出来たのですね。おめでとう♪

彼女にloginできません
http://pc8.2ch.net/test/read.cgi/unix/1007136614/l50
にもご報告を（ｗ

**shin** · 2005/11/11(金) 01:01:35

OpenSSH3.1で、無限ループ（セル）して20秒ごとに、接続が切れたら再接続を行います。
しかし、約2時間ほどになるとセルもSSHのプロセスも自動で切れてしまいます。
どなたか、その原因、わかれば教えてください。
（SSHクライアント、Linux、MQのメッセージやり取り）。
よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:03:06

接続が切れたら再接続できてないから
自動で切れるんじゃないの。

**shin** · 2005/11/11(金) 01:09:34

＞接続が切れたら再接続できてないから
＞自動で切れるんじゃないの。
ありがとうございます。
しかし、プロセスまで切れるのはなぜですか？
大体、2時間ほどで起こるのは、どこかに設定が問題ありますか？
この前は３日間はもんだいなかったんですが、
このSSHクライアントに接続したマシンを変えたら、起こりました。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:15:18

セルって何？

**shin** · 2005/11/11(金) 01:20:35

＞セルって何？
たとえば、conn.sh です。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:22:21

なにそれ？

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:23:32

ごめんなさい、いま手元にはソースはないですが、
while
if ***
ssh ***
else
sleep 20
end
の程度です。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:25:55

もしかしてシェルスクリプトのこと「セル」って言ってんの？

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:28:25

＞もしかしてシェルスクリプトのこと「セル」って言ってんの？
ごめんなさい。そうです。
起動したconnプロセスも、SSHプロセスも同時に切れるということです。
シェルスクリプトの内容は無限ループなのに…

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:44:57

シェルスクリプトが間違ってんじゃないの。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:51:36

＞シェルスクリプトが間違ってんじゃないの。
間違いはないはずです。間違ったら、はじめに起動できないと思います。