SSH その4

**名無しさん＠お腹いっぱい。** · NG

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：http://pc5.2ch.net/test/read.cgi/unix/1058202104/

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 09:39:09

swatch -> tcp_wrapper でどうよ ?

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 17:32:15

デフォルトの22番ポートを使わないようにしてから
アタックなんて一切無いんだが。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 19:04:09

それメンドイと思ったけど、
普通は.ssh/configの定義名でアクセスするから問題ないか。

**名無しさん＠お腹いっぱい。** · 2005/10/19(水) 19:07:25

それに頼ると出先にいったときに忘れてたりする

**名無しさん＠お腹いっぱい。** · 2005/10/20(木) 09:10:43

>>629
おれもそれで自宅のは運用してるけど、
一般的にはアレゲな方法だと思われてるよね。

**名無しさん＠お腹いっぱい。** · 2005/10/20(木) 12:21:28

>>632
なんでアレゲなの?

**名無しさん＠お腹いっぱい。** · 2005/10/20(木) 12:24:15

そもそもアレゲってドレゲよ？

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 06:11:40

エロゲの親戚?

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 22:26:48

>>633
おれにもよくわからん。
httpd のポートを同じように 80 から変えるのは、
（会社の）proxy の許可が通らなかったりとか、
まー、色々あるから、避けられるのは理解できるんだけどネ。

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 23:15:01

アレゲって何？

スラドのコピペ
　　↓

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 23:28:12

↑ .｜ .┌┐
│ .└‐┘└┐
└──┐　 │
　　　 └─┘

**名無しさん＠お腹いっぱい。** · 2005/10/21(金) 23:56:19

>>620
ふつうにportsentryとかdenyhostsとか

**名無しさん＠お腹いっぱい。** · 2005/10/22(土) 03:19:19

knockdでコンコン

**名無しさん＠お腹いっぱい。** · 2005/10/22(土) 23:16:15

>>620
.jp以外を問答無用で蹴る。これでぐっと減ります。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 03:40:21

hosts.denyとかより下位レイヤで蹴ったほうが負荷が少ないよ。
うちは .cn .kr .hk .tw に属するIPアドレス手に入れて、
ssh に限らずざっくり全部拒否。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 08:01:03

>>642
.tw はまずいだろ

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 11:49:40

>>643
なんで？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 14:41:33

マザーボード資料とか見るとき?

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 14:48:49

こちらから接続にいくTCPくらいはステートフルに通すだろうから
全然問題ないのでは。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 15:18:40

台湾に出張に行ったときに困る

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 15:21:43

FTPのように、ユーザーが自分のホームディレクトリ以上に行けないようにすることは出来ますか？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 15:21:57

>>647
そのときは開ける、または君のところは開けるでいいじゃん？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 16:15:40

>>648
/bin や /usr や /usr/local も見えなくなるけどいいのかね？

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 16:18:28

Webページのみ利用のユーザーにFTPの代わりに提供したいのです。

**名無しさん＠お腹いっぱい。** · 2005/10/23(日) 16:20:37

chroot(概念を理解)とかjail(chroot環境構築のツール)とかを
調べてください。

**名無しさん＠お腹いっぱい。** · 2005/10/25(火) 11:25:27

.cn .kr .hk に属するIPを教えて

**名無しさん＠お腹いっぱい。** · 2005/10/25(火) 12:00:17

>>653
つ ttp://www.blackholes.us/
週一くらいで更新されているからrsyncでも使って自動updateのshellでも書けばいい

**名無しさん＠お腹いっぱい。** · 2005/10/26(水) 21:00:30

putty に関する質問はここでよろしいでしょうか？

**名無しさん＠お腹いっぱい。** · 2005/10/26(水) 21:31:39

>>655
Putty その２
http://pc8.2ch.net/test/read.cgi/unix/1084686527/

**名無しさん＠お腹いっぱい。** · 2005/10/26(水) 22:41:14

>>656
過疎ぎみのようですがそっちいってきます．

**名無しさん＠お腹いっぱい** · 2005/10/26(水) 23:27:57

SSHの通信内容を復号化してそのまま読みたいんですが、どうやったらできますかね？
デバッグモードとかじゃなくて、ペイロードを直接そのまま見たいんです。

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 00:18:49

暗号鍵を手に入れて復号。

**658** · 2005/10/27(木) 01:22:02

>>659
そういうことではなくて、通信内容を表示してくれる
sshクライアント等が欲しいんです。
どういう風に通信が行われているかはRFC読んでも
いまいち実感がわかないので、実際に見てみようかなと。

**ヽ(´ー`)ノ** ◆.ogCuANUcE · 2005/10/27(木) 01:46:10

言ってる意味が良く分からんけど、ethereal とかか？

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 02:52:44

>>660
NULL 暗号化を実装したサーバとクライアントを用意してがんばる。

**658** · 2005/10/27(木) 05:11:59

説明が足りませんでしたね。
実は今SSHの通信部分を実装してるんです。
実際のパケットも観察してみようと思ったんですが、当然ながらそのままでは暗号化で読めません。
で、どうにかして見られないかなと思ったわけです。

>>662
なるほど。ただちょっと面倒ですな…

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 12:39:51

opensslの関数をフックして通信内容をdumpするsoを作って、LD_PRELOADで読み込ませる。(socksみたいな感じで)

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 12:40:45

いま実装中ってことならおそらく ver.2 なんだろうけど、ver.1 でもいいんな
ら dsniff の sshmitm を debug mode で間に噛ませてやれば復号した通信内容
を dump してくれた筈。

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 12:45:43

>>648

scpやsftpだけで良ければこれで簡単に実装できます。
つ rssh http://www.sdri.co.jp/rssh/index.html.ja

shellが無いとダメ？

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 18:41:51

接続先サーバのホストキーが変わったときに
~/.ssh/known_hosts を新しいので上書きさせる方法ってない?

サーバ構築中で再インストールしたときとかで
攻撃によるものじゃないのが明らかなときに
いちいちエディタで開いて削るのはめんどくさい。
HashKnownHosts してるとどれを削ればいいのかわからないし。

**名無しさん＠お腹いっぱい。** · 2005/10/27(木) 22:24:55

>>667
構築中のサーバ専用の known_hosts ファイルを UserKnownHostsFile で指定
すればいいんじゃない? 変わったら rm すればいい

**名無しさん＠お腹いっぱい。** · 2005/10/28(金) 00:43:55

>>668
あー、それいいね。
やってみる。
どうもー。

**名無しさん＠お腹いっぱい。** · 2005/10/28(金) 00:58:57

構築中でもなんにしろ、known_hosts を勝手に上書きするのは
よろしくないと思うけど

**名無しさん＠お腹いっぱい。** · 2005/10/28(金) 09:32:53

>>620
# route add -host IPアドレス 127.1 -blackhole

**名無しさん＠お腹いっぱい。** · 2005/11/04(金) 14:01:26

age

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 02:05:57

NTT-ADSLモデムNVの内側にあるマシン A を踏み台にして、
支店βのLANに属しているマシン B (アドレスはローカル) と、
支店γのLANに属しているマシン C (アドレスはローカル) で、
ファイルのやりとりを画策してます。
B から A に ssh でログインできることと、
C から A に ssh でログインできることは確認済です。
C -> A -> B とすれば、C から B が見えると思い、次のコマンドを実行しましたが、
connection refused でした。

B$ ssh -R 10022:localhost:22 A
C$ ssh -L 10023:A:10022 A
C$ ssh -p 10023 localhost

3番目のコマンドを実行すると、
channel 2: open failed: connect failed: Connection refused
となります。
計算機 A の sshd_config では GatewayPorts yes としています。
不思議なのは、NTT-ADSLモデムの内側にあるマシン A を
物理的に違うところに運んで grobal address を持つマシンにすると、
うまくいくことです。

なぜなんでしょう？

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 02:41:34

673 です。追記です。
モデムの静的IPマスカレードで、22,10000-番ポートをマシンA に振ってあります。
マシンA の sshd は OpenSSH_3.8.1p1 でっす。

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 07:57:30

C からA にssh でログインして、

A$ ssh -p 10022 localhost

としてB にログインできるなら
C <-> A の経路が怪しい、ということになりますがどうでしょ。

**名無しさん＠お腹いっぱい。** · 2005/11/05(土) 16:50:07

>>673-674
C$ ssh -L 10023:A:10022 A
これがまずいのだと思います。
マシンAから見ると「グローバルアドレスを持っているモデム」の10022/tcpに転送するということです。
そのモデムは内側からモデムの持っているグローバルアドレスでアクセスされた場合は、
静的IPマスカレードで内側に転送したりしないのでしょう。

C$ ssh -L 10023:localhost:10022 A
とすればうまくいくと思います。

また
B$ ssh -R 10022:localhost:22 A
のように、ループバックアドレスのみをlistenする場合は、GatewayPortsオプションで許可しなくてもいいみたいです。
http://www.unixuser.org/~euske/doc/openssh/jman/ssh.html

**673** · 2005/11/05(土) 19:51:14

673です。大当たりでした。本当にありがとうございます。
>>675
その通りでした。で、
>>676
にて頂戴した方法で、期待通りの動作を確認することができました。
本当にありがとうございます。

C$ ssh -L 10023:localhost:10022 A
とすると、ここでの「localhost」は「A自身」なのでうまくいくと。
なるほど。この発想はまったくありませんでした。

また、ダメな例 (モデムの10022/tcpに転送) の解説も
私には非常に勉強になるものでした。完璧に誤解していました。

加えて、GatewayPorts no でもうまくいくことも確認できました。
はあー。ようやく寝られます。3日間悩みまくりました。
ありがとうございます。

あと、ついでに、嫁の妊娠が発覚しました。
今日は良いことだらけです。

**名無しさん＠お腹いっぱい。** · NG

>>677
login出来たのですね。おめでとう♪

彼女にloginできません
http://pc8.2ch.net/test/read.cgi/unix/1007136614/l50
にもご報告を（ｗ

**shin** · 2005/11/11(金) 01:01:35

OpenSSH3.1で、無限ループ（セル）して20秒ごとに、接続が切れたら再接続を行います。
しかし、約2時間ほどになるとセルもSSHのプロセスも自動で切れてしまいます。
どなたか、その原因、わかれば教えてください。
（SSHクライアント、Linux、MQのメッセージやり取り）。
よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:03:06

接続が切れたら再接続できてないから
自動で切れるんじゃないの。

**shin** · 2005/11/11(金) 01:09:34

＞接続が切れたら再接続できてないから
＞自動で切れるんじゃないの。
ありがとうございます。
しかし、プロセスまで切れるのはなぜですか？
大体、2時間ほどで起こるのは、どこかに設定が問題ありますか？
この前は３日間はもんだいなかったんですが、
このSSHクライアントに接続したマシンを変えたら、起こりました。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:15:18

セルって何？

**shin** · 2005/11/11(金) 01:20:35

＞セルって何？
たとえば、conn.sh です。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:22:21

なにそれ？

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:23:32

ごめんなさい、いま手元にはソースはないですが、
while
if ***
ssh ***
else
sleep 20
end
の程度です。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:25:55

もしかしてシェルスクリプトのこと「セル」って言ってんの？

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:28:25

＞もしかしてシェルスクリプトのこと「セル」って言ってんの？
ごめんなさい。そうです。
起動したconnプロセスも、SSHプロセスも同時に切れるということです。
シェルスクリプトの内容は無限ループなのに…

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:44:57

シェルスクリプトが間違ってんじゃないの。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:51:36

＞シェルスクリプトが間違ってんじゃないの。
間違いはないはずです。間違ったら、はじめに起動できないと思います。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 01:54:54

遅くまで、ありがとうございました。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 03:11:24

セル!
セル!
セル!

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 10:29:49

天下一武道会の時間ですか?

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 11:17:40

>>689
間違いはないはずです。～～～ったら、～～～と思います。
間違いはないはずです。～～～ったら、～～～と思います。
間違いはないはずです。～～～ったら、～～～と思います。
間違いはないはずです。～～～ったら、～～～と思います。
間違いはないはずです。～～～ったら、～～～と思います。
間違いはないはずです。～～～ったら、～～～と思います。
間違いはないはずです。～～～ったら、～～～と思います。

初心者がこう言う時、バグは大抵この場所に潜んでいる。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 11:50:35

昨日は遅くまでありがとうございました。
以下が実際シェルスクリプトのソースです。
よろしくお願いします。

#!/bin/bash
LOG=/home/xxxx/logs/ssh.log
LANG=
SSHCMD="ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482"
while true
do
isAlive=`ps -auxwww | grep -i "$SSHCMD" | grep -v grep | wc -l`
if [ ${isAlive} -eq 0 ]; then
echo ${isAlive} 1>> ${LOG}
date 1>> ${LOG}
ssh -v -p xxxx -l ${USER} -C -L 1415:localhost:1482 -R 3482:localhost:1414
xxx.xxx.xx.xxx /usr/bin/sleep 1000 1>> ${LOG} 2>>&1 &
fi
sleep 20
done

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 11:58:02

何がやりたいのかさっぱり分からんのだが(笑)。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:03:01

これは、SSHクライアントからSSHサーバーに接続するシェルスクリプトのソースです。
20秒ごとに、SSHプロセスを検索して、もし、SSHプロセスがなかったら、
もう一回、SSHの接続を行います。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:04:35

ちなみにSSHをずっと、つながっている状態にしたいということです。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:05:36

おれには分かるぞ。
OSが分からんが、シェル自体をnohup付で起動してやらないと駄目とかない?

というか、cronでいいじゃん、という気もするが。
プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:15:14

OSはRedHatLinuxES2.1です。
nohup付、cronは使わない形にしたいです。nohupはうまくいかなかったです。
＞プロセスチェックlsofなり(netstatなり)でportのLISTEN状況のチェックに変えて。
すいませんが、こちをちょっと、よくわからないですが、その方法を教えてもらいますか？
よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:19:12

あなた、外国の方ですか？

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:19:51

そうですが、日本で仕事をしてます。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:21:55

sshで繋がってる状態にしたいけど、
別のセッションで断続的になっても構わないのね。
ちょっとかわった要望。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:45:02

>>702
意味が分からないんだが、sleep 1000でも、1000秒で切れるわけ
じゃないよ。ポートフォワーディング中はフォワードしてる
全セッションが終了するまでsshは待つけど、それは分かってて言ってる?

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 12:46:37

たぶんautosshでも入れたら解決する問題のような

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 13:06:24

＞たぶんautosshでも入れたら解決する問題のような
autosshの実現方法は、どういうふうしたら、よいでしょうか？
その方法、よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 13:18:40

ホームページはここ
http://www.harding.motd.ca/autossh/
ここにRHEL2用のパッケージがある。
http://dag.wieers.com/packages/autossh/

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:11:25

>>706
ありがとうございます。早速、autosshを試してみます。
一応、この検証としてはSSHサーバとSSHクライアントは何も変わらなくて
SSHクライアントに接続しているテストマシン（三日間発生してない）から
別の環境のマシン（2時間ほどで発生しますが、データの送受信量によって
発生頻度が変わります。）に変えたらこの問題が発生してます。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:17:02

>>694
ps で調べるなんてムダな気がするのは俺だけ？
これだけでええやん。

#!/bin/bash
while true
do
ssh (オプションなどは省略)
sleep 20
done

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:27:10

>>708
これは、多分、無理だと思います。
SSHサーバー側で、もんく、ありましたので....

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:29:37

>>709
なんで無理なん?

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:39:29

>>710
そうです。始めはこれと似た方法でしましたが、SSHサーバー側で
なぜ、毎回、起動するのはいやだということでしたので....

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:43:31

>>711
言ってることがよくわからないんだが。
>>708 で ssh をフォアグラウンドで上げれば
>>694 と変わりないじゃん。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:54:02

ps コマンドで生死の検査をする方がずっと危険度が高い気がするのだが。
その「SSHサーバ運用者」がアレな気も。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:54:50

>>712
>>>711
>言ってることがよくわからないんだが。
こちは、SSHサーバは別の会社で管理するということです。
>>708 で ssh をフォアグラウンドで上げれば
たれかが、CTRL＋Cかを押すと切れるはずですね。
>>694 と変わりないじゃん。
プロセス検索で、あったら、とりあえず再起動するところはとおらないはずです。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 14:58:46

だめだ、話が通じない。
ここで聞くより
自分の母語のコミュニティで聞いた方がいいんじゃないか?

**708** · 2005/11/11(金) 15:03:07

>>714
だから、 >>708 をバックグラウンドで動かせばいいじゃん。

と思ったが、 autossh でも使った方がいろいろ面倒が無くていいか。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 15:15:33

>>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 15:20:51

>>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 21:04:28

死んでたら自動的に立ち上げたいの?
つ daemontools

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 21:08:45

>>719
絶対出てくると思った。

俺は我慢してたが。

**719** · 2005/11/11(金) 21:25:46

>>720

ごめんねえ
「そろそろ来るころだと思ったよ」ってやつ？

我慢すると体によくないよ。

**名無しさん＠お腹いっぱい。** · 2005/11/11(金) 22:01:17

inittab に書いとけ。

**名無しさん＠お腹いっぱい。** · 2005/11/13(日) 10:57:14

漏れ実際に daemontools 使って ControlMaster 立ち上げてまふ。
けど、たまにソケットファイルのロックにひっかかって死んでることが...

**名無しさん＠お腹いっぱい。** · 2005/11/13(日) 18:10:13

何がしたいか、よくわからんが、-Nでいいんじゃねーの？

**名無しさん＠お腹いっぱい。** · 2005/11/13(日) 19:44:26

「ソケットファイルのロック」って何？

**名無しさん＠お腹いっぱい。** · 2005/11/13(日) 20:59:06

>>725
プロセスが死んだ時に ControlPath に書いたソケットファイルが残っちゃうってはなし。

**名無しさん＠お腹いっぱい。** · 2005/11/14(月) 15:00:47

ttp://www.zelow.no/floppyfw/download/contrib/ssh/
ここのパッケージを使って
floppyfw で sshd を動かすところまではできたのですが,
パスワードなしでのログインができません.
クライアントの公開鍵をサーバの /root/.ssh/authorized_keys
に追加しているのですが, 鍵認証に失敗してパスワード認証しようとします.
パスワードなしでログインできるようにするにはどうすればいいでしょうか?
ログは以下のようになっています.

クライアント側ログ
$ ssh -v root@192.168.20.19
[snip]
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /home/user/.ssh/id_dsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
root@192.168.20.19's password: