SSH その4

**名無しさん＠お腹いっぱい。** · NG

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：http://pc5.2ch.net/test/read.cgi/unix/1058202104/

**春山征吾** ◆unIxUSernc · 2006/02/04(土) 00:57:26

>>820
そうですね。失礼しました。

**名無しさん＠お腹いっぱい。** · 2006/02/04(土) 03:42:17

なんかおもろい流れになっててﾜﾛｽｗ

**名無しさん＠お腹いっぱい。** · 2006/02/04(土) 15:26:34

的はずれなことを言っているのかもしれませんが、ポートフォワードで
離れた場所のLAN内にあるsambaサーバもしくはWindowsの共有にアクセスすることはできますか？

**名無しさん＠お腹いっぱい。** · 2006/02/04(土) 15:30:09

ssh?

**823** · 2006/02/04(土) 16:51:29

例えば、ここの場合、
http://www.gcd.org/sengoku/docs/NikkeiLinux01-02/forward.ja.html
プロキシーサーバに接続することによって、LAN内のすべてのwwwサーバにアクセスできるようになりますが
これと似たことを、sambaでもできないかと考えているのですが。

**名無しさん＠お腹いっぱい。** · 2006/02/04(土) 21:32:09

難しい

**名無しさん＠お腹いっぱい。** · 2006/02/05(日) 00:34:30

>>823
つ [SoftEther改めPacketiX VPN]

**名無しさん＠お腹いっぱい。** · 2006/02/05(日) 01:35:04

>>823
SEはライセンスがアレなので・・・

つ [OpenVPN]

**名無しさん＠お腹いっぱい。** · 2006/02/05(日) 07:56:54

ポート番号を指定できないWindowsが恨めしいと思ったｗ

**名無しさん＠お腹いっぱい。** · 2006/02/05(日) 11:08:33

>>823
きわものが似合いそうな823に
つ[zebedee]
http://rogiken.org/daemon/tips/smb_zbd.html

opensshってバインドするアドレスを指定できなかったんだよねぇ、たしか。

だから、いったん8139とかにバインドして、stoneでLoopbackアダプタに
バインドした気がする。
遠い昔のことでわすれた。。

**名無しさん＠お腹いっぱい。** · 2006/02/06(月) 10:17:17

>>823
望んでいるものかどうかわからないけど、
つ [ ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html ]

**名無しさん＠お腹いっぱい。** · 2006/02/06(月) 16:58:10

>>823
445ポートでうまくいかない？

**名無しさん＠お腹いっぱい。** · 2006/02/07(火) 14:04:58

SoftEther系がなんも考えずにできて楽だな
無料じゃないのがやだけど

**名無しさん＠お腹いっぱい。** · 2006/02/07(火) 21:57:27

>>833
無料じゃないの？

**名無しさん＠お腹いっぱい。** · 2006/02/08(水) 01:09:06

>>834
個人かつ非営利目的な場合のみ無料。

**名無しさん＠お腹いっぱい。** · 2006/02/08(水) 01:45:58

SoftEtherは作者がkittyでさえなければ...
道具に罪はないとは言うけれど、セキュリティに関わるものだけにちょっと。

**名無しさん＠お腹いっぱい。** · 2006/02/08(水) 08:18:01

ライセンスの更新画面土井よ

**名無しさん＠お腹いっぱい。** · 2006/02/08(水) 15:45:08

SSHのスレで作者のキティ度を云々するのはいかがなものか？

**名無しさん@お腹いっぱい** · 2006/02/11(土) 17:35:31

4.3p2ｷﾀｰ
ttp://www.unixuser.org/~haruyama/security/openssh/
にも出てるよ。
さすが春山さん早いねぇ。

**名無しさん＠お腹いっぱい。** · 2006/02/11(土) 20:27:48

おいお前ら。FCの名作ソフト「いっき」のオンライン対戦するぞ！
↓
http://game.coden.ntt.com/games/ikki.html

King of Wands
http://game.coden.ntt.com/kingofwands/

**名無しさん＠お腹いっぱい。** · 2006/02/11(土) 21:08:27

lastlog直った

**名無しさん＠お腹いっぱい。** · 2006/02/15(水) 23:49:32

W-ZERO3 + Pocket PuTTYで外部からSSH接続できるんだけど
困った事に受信側のPocket PuTTYで日本語が全部文字化けしちゃうす。
誰か対策できた人おる？

**名無しさん＠お腹いっぱい。** · 2006/02/17(金) 17:24:41

>>842
うーん
速攻で設定直したからうちでは問題ないなぁ

**名無しさん＠お腹いっぱい。** · 2006/02/19(日) 17:18:14

圧縮を指定して接続しようとすると、エラーが出てしまいます。

**名無しさん＠お腹いっぱい。** · 2006/02/19(日) 18:00:39

このスレにはエスパーはいませんので、そこんとこよろしくです。

**名無しさん＠お腹いっぱい。** · 2006/02/22(水) 11:32:13

現在の本スレ

Putty その２
http://pc8.2ch.net/test/read.cgi/unix/1084686527/l50

**名無しさん＠お腹いっぱい。** · 2006/02/22(水) 16:29:31

http://www.laksmido.com/3090.html
ここにあるとおりに設定してみたのですが、依然として、
どちらからログインする際にもパスフレーズを求められてしまいます。
考えられる原因としてはどのようなものがあるでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/02/22(水) 16:33:08

>>847
これ、情報古いよ。
もっとまともなとこ読め。

**８４８** · 2006/02/22(水) 17:41:14

ありがとうございます。
どのサイトに新しい情報が載っているでしょうか？もし教えていただければ幸いです。

**名無しさん＠お腹いっぱい。** · 2006/02/22(水) 19:53:07

ssh2でぐぐれ。

**名無しさん@お腹いっぱい** · 2006/02/23(木) 02:57:08

>847
パッと見で思い当たるところ。
　.sshのパーミッション
　~/.ssh/authorized_keysの中身
/etc/sshd_configの設定
あと、logは見た?
その辺を一通り確認すれば、何とかなると思う。

**名無しさん＠お腹いっぱい。** · 2006/02/24(金) 08:55:27

ssh -vでデバックとって曝せ。

**名無しさん＠お腹いっぱい。** · 2006/02/24(金) 09:42:11

デバックだってさ（*´Д`)
　　　　￣

**名無しさん＠お腹いっぱい。** · 2006/02/24(金) 14:01:15

CentOS 4.2
openssl 0.9.8a
zlib 1.2.1.2-1.2(RPM)
openssh 4.1p1

上記の環境で
# ./configure \
--with-tcp-wrappers \
--with-pam
# make
を行うと

/usr/local/lib/libcrypto.a(dso_dlfcn.o)(.text+0x321): In function `dlfcn_bind_func':
: undefined reference to `dlerror'
collect2: ld returned 1 exit status
make: *** [ssh] Error 1

とエラーになってしまいます。

そこで、直接 Makefile を編集して、
LIBS= に -ldl を追加して make を通しましたが、こういった手法しかないのでしょうか？

今回、普通に make が通らなかったことが疑問なのですが、その原因がわかる方はいらっしゃいますか？

**名無しさん＠お腹いっぱい。** · 2006/02/24(金) 14:19:05

さすが盗人CentOS厨はひとあじ違うね

**名無しさん＠お腹いっぱい。** · 2006/02/24(金) 19:47:11

板違い。リヌクス板に逝け。

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 19:05:57

sftpで日本語ファイルを扱えるようにする方法を教えてください

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 19:10:10

>>857
「日本語のファイル名」を定義してください。

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 20:09:26

また定義厨キタ。定義厨ウザイ。そんなの質問から読みとれるだろ。

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 20:27:34

( ﾟдﾟ)ﾎﾟｶｰﾝ

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 20:40:12

質問も厨臭いが反応もすんばらすぃ

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 21:01:05

>>857
俺のところでは特に設定なしで日本語ファイル名が使えてる。
もし日本語ファイル名が使えないなら、どううまくいかないのか
もう少し詳しく書け。
少なくとも、変なことしてなければ設定なしで使えるはず。

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 21:53:58

>>859
読み取れたなら答えてあげてよ。

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 22:21:59

>>857
UNIX側をsjis環境にして日本語はすべてsjisに統一する
コントンジョノイコ

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 22:31:10

UNIX側をsjis環境にしてWindowsは日本語EUC環境にする。
これでおあいこじゃないか

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 22:50:10

UTF-8 ・・・そこは最後のフロンティア・・・

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 22:57:35

>>863
すでに答えてるじゃん。

**名無しさん＠お腹いっぱい。** · 2006/02/28(火) 23:02:04

>>865
「UNIX側って??」
UNIX板なんだからUNIX以外のOSは無視でしょ。
オレのところはUNIXホストはすべてEUCで統一。
この状態でsftpで日本語ファイル名は問題なく使える。

**名無しさん＠お腹いっぱい。** · 2006/03/01(水) 00:46:07

日本語ファイル名ではなく日本語ファイルだ
文字コード変換して転送とかそういうことじゃね

**名無しさん＠お腹いっぱい。** · 2006/03/01(水) 00:55:51

>>869
そもそも相手先で違う物に内容を改ざんするsftp
なら使わない選択を選ぶのが筋

**名無しさん＠お腹いっぱい。** · 2006/03/01(水) 01:08:48

filezilla+春山さんパッチ使っとけ

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 01:43:45

いつもできていたのに、今日SSHで接続しようとしたら
Read from remote host ***********: Connection reset by peer

となってしまって接続できなくなってしまいました。。

どうすればよいですか？？

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 01:55:51

いくつか考えられる原因・・・

・単にメモリが無い。
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・おまいの居場所が無い。無残にもそれは管理者に消されたか
　もしくは根のモノに。
・NICが腐った。
・共有ライブラリがぶっ飛んだ。

その他もろもろの理由でSSHは不調になる（全部経験したこと）

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 02:06:49

とりあえずWebminは繋がるんです。

メモリは
Mem: 459M Active, 327M Inact, 173M Wired, 39M Cache, 112M Buf, 6104K Free
です。(1G)

・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・共有ライブラリがぶっ飛んだ。

これぐらいでしょうか。。
でもsshはちゃんと起動できるんです。停止も起動も出来ました。@webmin

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 02:41:50

/bin/cshが壊れたようでした。
お騒がせしました。

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 02:59:18

なんでそんなんが壊れるんだ

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 06:30:17

ハックられた?

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 09:52:43

>873-874
>貝が無残にも砕かれた。
>共有ライブラリがぶっ飛んだ。
これってクラッキング以外に原因考えるとしたら、hddのread write不良とか？
いずれにしても穏やかでないなぁ。

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 15:29:16

OpenSSHでクラッカー対策にグリーティングメッセージの
「SSH-1.99-OpenSSH_3.8.1p1」みたいなのを隠したいんですが、
これってソースから直さなければならないんでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/03/04(土) 15:37:05

隠しても対策にならんよ。

**名無しさん@お腹いっぱい** · 2006/03/04(土) 18:20:49

>879
とりあえず最新使っとけば?
>510-513みたいに

**名無しさん＠お腹いっぱい。** · 2006/03/07(火) 15:40:06

うむ。対策には成らんね。
とにかく22に繋いで試すって攻撃だし。いちいちバージョンチェックなんてしてない。

sshdがあぼーんしたときの裏口作りは重要。
% sudo /etc/rc.d/sshd restartして止めさしちゃう事も有る。

**名無しさん＠お腹いっぱい。** · 2006/03/07(火) 23:28:58

だぁね。
まぁせいぜい出来るのは、sshd_configの設定をぬかり無くする事と
Listen Portをｳｪﾙﾉｳﾝなポート使わないとか、そぎゃんところですか。

**名無しさん＠お腹いっぱい。** · 2006/03/08(水) 04:02:52

普通に、daemontools ですよ。
tcpserver で接続管理して接続できるIPアドレスを
限ればいい。

**名無しさん＠お腹いっぱい。** · 2006/03/08(水) 04:17:06

djb儲はdjbsshでも使ってろ

**名無しさん＠お腹いっぱい。** · 2006/03/08(水) 09:46:31

>>884
わざわざそんなん通さなくても libwrap でいいじゃん。

**名無しさん＠お腹いっぱい。** · 2006/03/09(木) 04:29:50

マエノ方面の香具師か。。。

**名無しさん＠お腹いっぱい。** · 2006/03/10(金) 01:14:41

信者ってどこにでも居るね。
qmail/djbdnsの話題をされるとは思わなかった。ウゼー！

**名無しさん＠お腹いっぱい。** · 2006/03/10(金) 01:24:24

普通にビルドしたらlibwrap使えるんだし、ネタにしかみえん。

**名無しさん＠お腹いっぱい。** · 2006/03/10(金) 12:38:42

>>886
http://cr.yp.to/qmail/venema.html

**名無しさん＠お腹いっぱい。** · 2006/03/10(金) 12:57:59

>>890
それが何?

**名無しさん＠お腹いっぱい。** · 2006/03/10(金) 13:36:37

信者は怖いね。

**名無しさん＠お腹いっぱい。** · 2006/03/10(金) 22:00:05

OpenBSD + OpenSSH + djbdns + qmail + OpenNTPD。これ最強。

**名無しさん＠お腹いっぱい。** · 2006/03/11(土) 00:42:17

さすがにウェブサーバーは入れないかｗｗ

**名無しさん＠お腹いっぱい。** · 2006/03/11(土) 03:17:56

fnordとかいれてたりして。
節操無さ過ぎｗｗｗ

**名無しさん＠お腹いっぱい。** · 2006/03/12(日) 12:17:41

いろいろなユーザー名でログインを試みようとした形跡があるのですが、
このようなアタックを防ぐにはどうしたらよいのでしょうか？
同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/03/12(日) 12:20:44

>>896
libwrap や FW などで
必要なとこ以外からのアクセスは禁止するようにする。

根本的解決ではないが
別ポートで sshd を上げると軽減するという話もある。

**名無しさん＠お腹いっぱい。** · 2006/03/12(日) 12:24:47

>>896
897の大作に加えて、sshd_configでログイン出来るユーザを制限しておく。
パスワード認証を許可しない。
信用出来ないユーザにシェルアカウントを与えない。

＞同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか？
俺はdenyhostsを使っている。

**名無しさん＠お腹いっぱい。** · 2006/03/12(日) 21:18:20

犬糞ならiptablesのburst機能使えば近いことはできる。
他のOSでも同様のことができるんじゃないかな。

**名無しさん＠お腹いっぱい。** · 2006/03/13(月) 00:51:31

>>896
ttp://www.musicae.ath.cx/diary/?200506c&to=200506272#200506272
我が家ではここの設定をそのまま使用してる。
パスワード認証も切ってるけど。

**900** · 2006/03/13(月) 01:21:19

認証成功でもカウントされちゃうけどね。

**名無しさん＠お腹いっぱい。** · 2006/03/13(月) 09:44:03

>>896
前にここにも書いたけど、うちにもすげー来る。
オレはswatchでlogを監視してhosts.denyに追加するようにしてるよ。

◆TWARamEjuA · NG

やっぱりログ監視だよなぁ。。。

今度の休みにやろっと。

**名無しさん＠お腹いっぱい。** · 2006/03/13(月) 22:40:56

ログの監視もいいが、必要なところ以外からの接続は拒否した方がいいと思う。
sshdにアクセスされている時は、外向きのアクセスが不安定になっている気が
する。ルーターがヘタレなせいかもしれないが。

**名無しさん＠お腹いっぱい。** · 2006/03/13(月) 23:21:49

もう>>896氏は見ているかもしれないですが…、

>>896
http://www.koka-in.org/~haruyama/ssh_koka-in_org/200/250.html
以降のスレッドを見るﾖﾛｼ。
http://www.koka-in.org/~haruyama/ssh_koka-in_org/200/251.html
とかね。

**名無しさん＠お腹いっぱい。** · 2006/03/15(水) 20:35:23

きてるきてる
203.241.56.142から5回ずつ朝鮮。

**名無しさん＠お腹いっぱい。** · 2006/03/15(水) 20:39:00

>>904
不安定にみえるのは、機器やネットの処理能力をアタックに食われているだけかも。

**名無しさん@お腹いっぱい** · 2006/03/15(水) 21:03:44

俺もそう思う。
前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。

**名無しさん＠お腹いっぱい。** · 2006/03/15(水) 22:26:27

>>907-908
特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。

**名無しさん＠お腹いっぱい。** · 2006/03/15(水) 22:46:33

>>909
ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。

**名無しさん＠お腹いっぱい。** · 2006/03/15(水) 23:06:28

ミドルクラスPC + NIC二枚挿し + OpenBSD で「見えない高速firewall」とか。

**名無しさん＠お腹いっぱい。** · 2006/03/15(水) 23:54:07

アッタック

**名無しさん＠お腹いっぱい。** · 2006/03/16(木) 04:18:46

>>912
汚れが落ちる。

**名無しさん＠お腹いっぱい。** · 2006/03/16(木) 13:39:42

アタタック

**名無しさん＠お腹いっぱい。** · 2006/03/16(木) 14:18:41

こっちのアタックは服の汚れを落とす
ttp://www.kao.co.jp/attack/
こっちのアタックはエンジンの汚れを落とす
ttp://web.kyoto-inet.or.jp/people/macchann/hiroshi/X1.html

**名無しさん＠お腹いっぱい。** · 2006/03/16(木) 18:32:46

（´・ω・）

**名無しさん＠お腹いっぱい。** · 2006/03/17(金) 10:35:52

使える科技庁は国によって違うのですか？

**名無しさん＠お腹いっぱい。** · 2006/03/18(土) 21:21:50

>>917
国によって組織の形態や名称が違うのは間違いありません。

**名無しさん＠お腹いっぱい。** · 2006/03/19(日) 02:50:15

>>194-
あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます？

読んでて思ったんですが、
１．ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
２．クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
３．鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればＯＫ。
みたいな流れではだめ？

ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。

ソースや仕様を嫁と言われそうですが．．．

**名無しさん＠お腹いっぱい。** · 2006/03/19(日) 08:09:21

ソースや仕様を嫁