SSH その4
レス数が1000を超えています。これ以上書き込みはできません。
0001名無しさん@お腹いっぱい。
NGNGFAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
0908名無しさん@お腹いっぱい
2006/03/15(水) 21:03:44前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。
0909名無しさん@お腹いっぱい。
2006/03/15(水) 22:26:27特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。
0910名無しさん@お腹いっぱい。
2006/03/15(水) 22:46:33ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。
0911名無しさん@お腹いっぱい。
2006/03/15(水) 23:06:280912名無しさん@お腹いっぱい。
2006/03/15(水) 23:54:070913名無しさん@お腹いっぱい。
2006/03/16(木) 04:18:46汚れが落ちる。
0914名無しさん@お腹いっぱい。
2006/03/16(木) 13:39:420915名無しさん@お腹いっぱい。
2006/03/16(木) 14:18:41ttp://www.kao.co.jp/attack/
こっちのアタックはエンジンの汚れを落とす
ttp://web.kyoto-inet.or.jp/people/macchann/hiroshi/X1.html
0916名無しさん@お腹いっぱい。
2006/03/16(木) 18:32:460917名無しさん@お腹いっぱい。
2006/03/17(金) 10:35:520918名無しさん@お腹いっぱい。
2006/03/18(土) 21:21:50国によって組織の形態や名称が違うのは間違いありません。
0919名無しさん@お腹いっぱい。
2006/03/19(日) 02:50:15あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます?
読んでて思ったんですが、
1.ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
2.クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
3.鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればOK。
みたいな流れではだめ?
ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。
ソースや仕様を嫁と言われそうですが...
0920名無しさん@お腹いっぱい。
2006/03/19(日) 08:09:210921名無しさん@お腹いっぱい。
2006/03/22(水) 09:01:250922名無しさん@お腹いっぱい。
2006/03/22(水) 09:42:09アップロード:
ssh remote 'cat > file' < file
ダウンロード:
ssh remote cat file > file
でいいのでは?
0923名無しさん@お腹いっぱい。
2006/03/22(水) 10:15:44scp でできなかったっけ
0924名無しさん@お腹いっぱい。
2006/03/22(水) 13:01:120925名無しさん@お腹いっぱい。
2006/03/22(水) 13:04:46ファイルシステムじゃないの?
0926名無しさん@お腹いっぱい。
2006/03/22(水) 13:50:570927名無しさん@お腹いっぱい。
2006/03/22(水) 15:25:510928名無しさん@お腹いっぱい。
2006/03/22(水) 17:07:57結局wgetで取得したのですが。
0929名無しさん@お腹いっぱい。
2006/03/22(水) 17:10:01たった2048kBで止まったのなら、ネットワークの断線とか、他の原因と思われ。
0930名無しさん@お腹いっぱい。
2006/03/22(水) 20:47:47私もそれが発生してました。(Windows XP SP2+Athlon 64)
DEPの無視対象にWinSCP3.exeを入れたら直ったみたです。
0931名無しさん@お腹いっぱい。
2006/03/22(水) 20:52:26いや、2Gってintがオーバーフローするのでそれをきちんと考慮してないソフトがへくる
というのは結構ある。 家にビデオサーバーを設定して2Gを超えるファイルが普通の
環境で色々やったらサーバ(Debian 3.0)、クライアント(Win)側で色々問題が
あった。 例えばapache 1.4が2G以上のファイルを上げることが出来ないとか
IE, Firefox内蔵のFTPクライアントがだめだとか。 (WinのコマンドラインのFTPは
okだった)。
だからこれはscpの実装の問題である可能性大。
0932名無しさん@お腹いっぱい。
2006/03/22(水) 20:56:150934名無しさん@お腹いっぱい。
2006/03/22(水) 23:11:310935923
2006/03/23(木) 03:01:42実際試すとうまくいくんだよ。環境は Debian GNU/Linux 3.1, ext3fs
$ dd of=vip seek=8192 bs=1048576 count=0
読み込んだブロック数は 0+0
書き込んだブロック数は 0+0
0 bytes transferred in 0.000629 seconds (0 bytes/sec)
$ ls -l vip
-rw-r--r-- 1 hoge hoge 8589934592 2006-03-23 02:52 vip
$ scp vip remote:/tmp
vip 100% 8192MB 26.7MB/s 05:07
$ ssh remote ls -l /tmp/vip
-rw-r--r-- 1 hoge hoge 8589934592 Mar 23 02:57 /tmp/vip
0936931
2006/03/23(木) 04:46:31いや、だからそれはちゃんと対処したバージョンのscpだからであり、>>921が使ったバージョンが対処してない
実装なんじゃない? statの代わりにstat64を使うとか、2G以上のファイルを扱うにはわざわざしなければ
ならないことがあるんだから。
0937923
2006/03/23(木) 11:54:13ソース見ればわかるが _FILE_OFFSET_BITS, _LARGE_FILES などを定義するだ
けだよ。OpenSSH であれば、対応したのはかなり前の話。ChangeLog に以下の
ように書かれてる。
20010925
- (djm) Add AC_SYS_LARGEFILE configure test
19991111
- Fix integer overflow which was messing up scp's progress bar for large
file transfers. Fix submitted to OpenBSD developers. Report and fix
0938名無しさん@お腹いっぱい。
2006/03/24(金) 19:16:080939名無しさん@お腹いっぱい。
2006/03/26(日) 23:34:58サーバ側がcygwinでsshしてるですが、
winscpでサーバにアクセスすると、rootがcygwinを
インストールしたディレクトリ、D:\cygwinの下なんですが、
アクセスしたい場所が、Dドラ直下にあるんです。
表示されているrootから、ひとつディレクトリをあげるって
できるんでしょうか?
0940名無しさん@お腹いっぱい。
2006/03/26(日) 23:43:470941名無しさん@お腹いっぱい。
2006/03/27(月) 00:36:45cd /cygdrive/d
0942名無しさん@お腹いっぱい。
2006/03/27(月) 09:28:540944939
2006/03/28(火) 22:36:11ありがとうございました。
0945名無しさん@お腹いっぱい。
2006/03/30(木) 23:30:43ポートフォワーディングの禁止は authorized_keys と no-port-forwarding と書くと
実現できるみたいですが scp と sftp も使えなくする方法ってありますか
0946945
2006/03/30(木) 23:54:47rssh にして許可しなければ良さそうです
0947名無しさん@お腹いっぱい。
2006/03/31(金) 21:00:580948名無しさん@お腹いっぱい。
2006/03/31(金) 21:40:37i MODE
0949名無しさん@お腹いっぱい。
2006/04/02(日) 19:45:49W-ZERO3でも使えるよな(最小じゃないだろうけど)
0950名無しさん@お腹いっぱい。
2006/04/02(日) 21:35:42やっぱフルキーボードはほしいところ
0951名無しさん@お腹いっぱい。
2006/04/02(日) 22:01:300952名無しさん@お腹いっぱい。
2006/04/02(日) 22:12:54これってどこかでタイムアウトの設定できるんですか?
別にセッション切れるのはかまわないんだけど、クライアント側が固まっちゃってサーバ側では
死んだプロセスが残っているのでいちいち消して回らないといけなくて面倒です。・゜・(ノ∀`)・゜・。
0953名無しさん@お腹いっぱい。
2006/04/02(日) 22:16:34keepalives
0954名無しさん@お腹いっぱい。
2006/04/02(日) 22:28:38ちょっといま実験中。3,40分くらいしたら結果書きますね。
0955名無しさん@お腹いっぱい。
2006/04/02(日) 23:03:220956名無しさん@お腹いっぱい。
2006/04/02(日) 23:45:160957名無しさん@お腹いっぱい。
2006/04/03(月) 18:32:17前者はカーネルのTCP/IPレベルでのkeepaliveを使うかどうかで、
後者はSSHレベルでkeepaliveパケットを投げるかどうかだと思ったが。
TCP/IPのkeepalive送信間隔はデフォルトだと2時間とかなので、
ルータが通信のないコネクションを調べて切る間隔より長いから
yesでも切れてたんだろうな。
>>956
だな。
0958名無しさん@お腹いっぱい。
2006/04/06(木) 11:05:58って、このタイプの秘密鍵に対応していないの?
"read error SSH2 private key file"
って出てしまう。
puttyやUNIXのssh -iでは問題なし。
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A1 (略)
-----END RSA PRIVATE KEY-----
0959名無しさん@お腹いっぱい。
2006/04/06(木) 13:06:52TeraTerm で RSA の鍵を作るとそのタイプの鍵だよ。
ssh-keygen -t rsa で作っても同じ。
手元で最新版(4.34)を使ってみたけど大丈夫だったよ。
0960名無しさん@お腹いっぱい。
2006/04/06(木) 16:55:18パスワードなしでログインできるようにできますか?
0961名無しさん@お腹いっぱい。
2006/04/06(木) 21:40:23Active Directoryを構築してKerberos認証すればよし。
0962名無しさん@お腹いっぱい。
2006/04/07(金) 10:38:420963名無しさん@お腹いっぱい。
2006/04/07(金) 11:43:44使えるよ。(確認済み)
0964名無しさん@お腹いっぱい。
2006/04/07(金) 11:53:53どういう意味で?
0965名無しさん@お腹いっぱい。
2006/04/07(金) 11:59:04クライアントとサーバのプログラムの処理及びファイルシステムのロケールに
よって使えたり使えなかったり。サーバ側が原因で使えないことはまれだと思う。
ファイル名のエンコーディングを変換できないクライアントの場合、
日本語ファイル名を扱える可能性はだいぶ低くなる(サーバとクライアントの
文字コードが一致している場合のみ)。そもそも8ビット通さないクライアントも
珍しくない。
要するに文字コード変換できるクライアント使えということだ。
0966名無しさん@お腹いっぱい。
2006/04/07(金) 13:54:250967名無しさん@お腹いっぱい。
2006/04/09(日) 05:59:200968名無しさん@お腹いっぱい。
2006/04/15(土) 11:08:45どういう風にエラーとして表示されますか?
0969名無しさん@お腹いっぱい。
2006/04/15(土) 11:53:440970名無しさん@お腹いっぱい。
2006/04/17(月) 04:40:45できれば待ち受けポートは変更したくないです。
0971名無しさん@お腹いっぱい。
2006/04/17(月) 07:26:41ListenAddress?
0972名無しさん@お腹いっぱい。
2006/04/17(月) 12:18:35Windows SSHクライアントでターミナル接続:Poderosa、
ファイル転送にWinSCPを使ってるいるのですが、
フォーマットちゃうから同じ秘密鍵ファイルを2種類もってないといけない。
1個にならないものですか?
PuTTY+WinSCPがお勧めなのでしょうか?
Poderosaでてるスレがなかったので、スレ違いでしたらすいません。
0973名無しさん@お腹いっぱい。
2006/04/17(月) 19:22:15にて、sshで接続すると
Unexpected SSH2 message(1) on current stage(2)
Server disconnected with message 'Protocol error: expected packet type 30, got 34'.
と出るサーバがあるのですが
原因が、わかりません
ttp://nanno.dip.jp/softlib/man/rlogin/
こちらのソフトでは、なんとか接続できるんですが
何か、参考になることはないでしょうか?
0974名無しさん@お腹いっぱい。
2006/04/17(月) 23:02:04tcpserverで待ち受けて切り替えたら?
0975名無しさん@お腹いっぱい。
2006/04/19(水) 00:36:24鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
なんですか?
悪意あるユーザがクライアントとしてホスト公開鍵を入手し、その鍵を偽装鯖で使う
ことができてしまうのではと、ふと疑問が出たものですから。
そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
んです。
それともホスト認証においてセキュアな部分はホスト公開鍵の管理に依存している
ということなのでしょうか?ホスト公開鍵の配布はofflineじゃなくてもできるのに?
詳しい方、ご教示お願いしまするう
0976名無しさん@お腹いっぱい。
2006/04/19(水) 01:15:34> ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
> 鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
> なんですか?
んなこたない。
> そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
> ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
> んです。
man ssh-keysign
http://www.ietf.org/rfc/rfc4252.txt
0977名無しさん@お腹いっぱい。
2006/04/19(水) 09:20:44クライアント:UTF-8 TeraTerm Pro with TTSSH2 (http://sourceforge.jp/projects/ttssh2/)
サーバ:
OS=?
sshd=?(商用SSH、OpenSSH、その他いろいろあるが、どれだ?)
サーバ側でOpenSSHを動かしているのなら、「# sshd -vvv」で詳しく調べること
ですな。ちなみに、
'Protocol error: expected packet type 30, got 34'
は、OpenSSH-4.3p2の場合、openssh-4.3p2/packet.cのpacket_read_expect()が
出しているみたい。
0978977
2006/04/19(水) 09:31:33・"SSH2_"で始まるマクロのうち、30または34と定義されているものを調べてみた。
・乱暴だが、全部の.hファイルから30または34を含む行を探した。
後者でも以外に効果があった。注目すべきは openssh-4.3p2/ssh2.h だろうか。
ということで、クライアントとサーバで鍵の形式が違うのが原因ではないかと「推
測した」。
以上、チラシの裏(w
>>973は、サーバに関する情報だけでなく、どの認証方法でログインしようとした
のかも書いた方がいいな。
0979名無しさん@お腹いっぱい。
2006/04/19(水) 09:47:51> > そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> > 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> > にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
> > ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
> > んです。
>
> man ssh-keysign
> http://www.ietf.org/rfc/rfc4252.txt
これはホスト認証・共通鍵生成したあとのユーザ認証のフェーズになっているような気がします。そういう仕様なんだからそうなんでしょうね・・・。
うみゅう、私の質問の仕方が悪かったです。
SSH接続(Protocol 2)のホスト認証の時点で、ホスト鍵ペア(ホスト秘密鍵・ホスト公開鍵)が「公開暗号方式」として機能しているのか知りたかったのです。
ベタな平文を自己証明だとかクライアントに送られてきて、「これを信用しなさい」と言われても、信用する根拠がないように思えてしょうがないのです。
ホスト認証の時点でホスト秘密鍵は登場してこないのでしょうか?鍵交換のところ(DH鍵交換)でホスト秘密鍵が使われてるような気がしてきました。
--- モーソウ
S: これ、俺の証明書だけどいい?
C: じゃあ、君が送ってくれたホスト公開鍵で暗号化したもの送り返すから、
それをホスト秘密鍵で複合化して返してよ〜。それが正しかったら信用してあげる。
S: ほいほい、これね〜。複合化したけど、これ当たってる?
C: OK〜、君を信じるよ♪
---
0980名無しさん@お腹いっぱい。
2006/04/19(水) 10:20:51http://www.scl.kyoto-u.ac.jp/scl/usage/SSH/abst.html
0981名無しさん@お腹いっぱい。
2006/04/19(水) 10:24:03PGPの仕組みを勉強してみろ
0982名無しさん@お腹いっぱい。
2006/04/19(水) 10:27:050983名無しさん@お腹いっぱい。
2006/04/19(水) 10:28:21↓tcpserver使って切り替えてるやり方
ttp://www.hrt.dis.titech.ac.jp/~sera/FreeBSD/openssh/sshd.htm
>>971
ListenAddressでクライアントごとに挙動(設定)変えれたっけ?(許可/拒否をするものだと思ってたけど)
0984名無しさん@お腹いっぱい。
2006/04/19(水) 10:41:09いや、
ListenAddress 変えて sshd を2つ起動すればいいかな、
と思ったんだけど。
0985名無しさん@お腹いっぱい。
2006/04/19(水) 10:41:24以下のどちらかの本、読んでみた?もしまだなら、読んでみるといいと思う。
・OpenSSH セキュリティ管理ガイド
http://www.unixuser.org/~haruyama/security/openssh/support/
・入門SSH
http://www.unixuser.org/~haruyama/security/openssh/asciissh/
前者は絶版になってしまっているけど、私はこの本を読んで勉強したので(大変分
かりやすかったんですよ)。後者は、前者の「後継」ってカンジ。著者は同じです
ので、読む価値はあると私は思います。
>>980
お、なんだか (∀)イイ!
0986975
2006/04/19(水) 11:10:46大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
>981
頑張ってPGPも勉強してみます。自己証明という観点でいえば知っておきたいところですし、感謝です。
>985
情報ありがとうございます。お財布と相談して、amazon.comに見に行ってきますー
0987名無しさん@お腹いっぱい。
2006/04/19(水) 11:12:53あほですか?
PGPの認証方式はSSHにも流用できる考えがありますよ
PGPそのものを使い方をいっているわけではないでしょが
0988975
2006/04/19(水) 11:12:55>大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
みすった、てめえの発言に感謝してどーすんだーー;
>980
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
0989名無しさん@お腹いっぱい。
2006/04/19(水) 17:07:27> 大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
スト認証の説明、ほとんど間違いだから。
SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
を送ってクライアントに検証させることで直接的に確認してるって
のが正解。
0990名無しさん@お腹いっぱい。
2006/04/19(水) 17:21:03> まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
> スト認証の説明、ほとんど間違いだから。
自分も後から、ご指摘の記述部分でDH鍵交換方式に触れていないところが
怪しくなって、調べてみました。
>
> SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
> 送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
> を送ってクライアントに検証させることで直接的に確認してるって
> のが正解。
ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
の記述を発見して、仰せの通りだと理解しました。
ご指摘ありがとうございました。(感謝
0991名無しさん@お腹いっぱい。
2006/04/19(水) 18:00:29> ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
> の記述を発見して、
うん、こっちの方は user 認証のところに若干難がある (SSH1 のみ
の説明だし、SSH1 だとしても微妙なところが抜けてる) 他はちゃん
と書けてる感じっすね。
0992名無しさん@お腹いっぱい。
2006/04/19(水) 18:14:16ありがとうございます。
OpenSSHです。
sshd version OpenSSH_2.5.2p2
どのような認証方法で、
以前の
・プレイインテキストを使う
・RSA/DSA鍵を使う
・チャレンジレスポンス認証を使う
などの画面が出るときに、落ちちゃうというか
そのエラーが出るんです。
0994名無しさん@お腹いっぱい。
2006/04/20(木) 07:10:55http://pc8.2ch.net/test/read.cgi/unix/1145484540/
0995名無しさん@お腹いっぱい。
2006/04/20(木) 12:42:450996名無しさん@お腹いっぱい。
2006/04/20(木) 13:02:210997名無しさん@お腹いっぱい。
2006/04/20(木) 15:25:410998名無しさん@お腹いっぱい。
2006/04/20(木) 16:23:450999名無しさん@お腹いっぱい。
2006/04/20(木) 16:29:571000名無しさん@お腹いっぱい。
2006/04/20(木) 16:39:0510011001
Over 1000Threadもう書けないので、新しいスレッドを立ててくださいです。。。
レス数が1000を超えています。これ以上書き込みはできません。