トップページunix
981コメント317KB

SSH その5

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2006/04/20(木) 07:09:00
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
 Part1:http://pc.2ch.net/unix/kako/976/976497035.html
 Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
 Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
0002名無しさん@お腹いっぱい。2006/04/20(木) 07:09:53
よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
 そのパスワードは暗号化されているのですか?
A.はい、その通りです。
 SSHプロトコルでは、まず始めにサーバ<->クライアント間で
 暗号化された通信路を確立します。
 ユーザ認証はその暗号化通信路の上で行なわれるので、
 パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
 ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
 各サイトのポリシーに従って、適切な制限をかけましょう。
 参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
0003名無しさん@お腹いっぱい。2006/04/20(木) 07:10:05
◇実装
本家ssh.com
 http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
 http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
 OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
 日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
 OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html

TeraTerm/TTSSH
 http://hp.vector.co.jp/authors/VA002416/
 http://www.zip.com.au/~roca/ttssh.html / http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
 http://sleep.mat-yan.jp/~yutaka/windows/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
 http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
 http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
 http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
 http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
 http://pro.wanadoo.fr/chombier/
PortForwarder
 http://www.fuji-climb.org/pf/JP/
TRAMP
 http://www.nongnu.org/tramp/tramp_ja.html
0004名無しさん@お腹いっぱい。2006/04/20(木) 07:10:21
◇規格等
IETF secsh
 http://www.ietf.org/html.charters/secsh-charter.html
WideのSSH解説
 http://www.soi.wide.ad.jp/class/20000009/slides/12/


◇おまけ
Theoのキチガイぶり
 http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
 http://www.qmail.org/djbsssh/
0005名無しさん@お腹いっぱい。2006/04/20(木) 07:50:00
Theoつ
0006名無しさん@お腹いっぱい。2006/04/20(木) 19:37:27
>>4
> ◇規格等
> IETF secsh
>  http://www.ietf.org/html.charters/secsh-charter.html

今はRFC出てるっしょ。
 ・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
 ・RFC4251: The Secure Shell (SSH) Protocol Architecture
 ・RFC4252: The Secure Shell (SSH) Authentication Protocol
 ・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
 ・RFC4254: The Secure Shell (SSH) Connection Protocol
 ・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
  Key Fingerprints
 ・RFC4256: Generic Message Exchange Authentication for the Secure
  Shell Protocol (SSH)

http://www.itmedia.co.jp/enterprise/articles/0601/19/news073.html
0007名無しさん@お腹いっぱい。2006/04/20(木) 19:38:38
>>1-4
言い忘れたけど、乙!
0008 ◆2YYPBG4Se. 2006/04/20(木) 23:48:04
>>3
 UTF-8 TeraTerm Pro with TTSSH2のその頁は,いまは見られないっぽいから,
URLは http://sourceforge.jp/projects/ttssh2/ あたりを書いておくほうがいいかと。
0009名無しさん@お腹いっぱい。2006/04/21(金) 05:09:18
rootで公開キーで接続したいのですが、公開キーはどこにコピーすればよいのでしょうか?
ユーザーの場合はホームディレクトリの.ssh内のauthorized_keysですが、rootの場合がよく分かりません。
よろしくお願いします。
0010名無しさん@お腹いっぱい。2006/04/21(金) 08:27:01
>>9
ホームディレクトリの.ssh内のauthorized_keys
0011名無しさん@お腹いっぱい。2006/04/21(金) 09:20:06
/root/.ssh/authorized_keys
でしょうか?やってみたのですがうまくいきません。
0012名無しさん@お腹いっぱい。2006/04/21(金) 11:15:51
>>11
sshd_config に PermitRootLogin yes
0013名無しさん@お腹いっぱい。2006/04/21(金) 11:24:53
面倒がらずにsu, sudoあたりを使うのが多少なりとも安全かと…
0014名無しさん@お腹いっぱい。2006/04/22(土) 00:51:10
>>12
消(ry

>>11
sshd_config に PermitRootLogin without-password
0015名無しさん@お腹いっぱい。2006/04/22(土) 01:31:47
VPS2台ある環境で、定期的に片方のサーバにバックアップを行う
SHを書いたんですが、
「Pseudo-terminal will not be allocated because stdin is not a terminal.」と
エラーが出たままコンソールが固まってしまいます。
(ctrl+cでエスケープできますが)

スクリプトはこれです。

#/bin/sh

rotate() {
ssh root@***
cd /home/backup
}

rotate &

何か考えられる原因はありますでしょうか。
ssh -t root@***は駄目でした。
0016名無しさん@お腹いっぱい。2006/04/22(土) 01:37:22
クマー
0017名無しさん@お腹いっぱい。2006/04/23(日) 03:16:56
http://www.google.co.jp/search?&num=ie=UTF-8&oe=UTF-8&hl=ja&lr=lang_ja&q=Pseudo-terminal%20will%20not%20be%20allocated%20because%20stdin%20is%20not%20a%20terminal.
0018キモオタ2006/04/24(月) 11:37:02
『dsaでの鍵認証が必要なグループ(webadmin)』と『パスワード認証のみのグループ(user)』という二通りのグループのユーザー達がログインできるような環境を作りたいのですが、もし可能でしたら教授頂きたいです。

下記の設定値を変更しながら複数のログイン環境を試みましたが、上述した二通りの条件を満たすに至りませんでした。

[etc/ssh/sshd_config]
ChallengeResponseAuthentication no
PasswordAuthentication yes
UsePAM yes

[etc/pam.d/ssh]
account required /lib/security/pam_access.so

[etc/security/access.conf]
+:ALL EXCEPT webadmin:ALL
-:ALL EXCEPT user:ALL

根本的に設定するファイルから間違っているのでしょうか・・
どなたか詳しい方、ヒントでもかまいません。
よろしくお願いしますm(_ _)m
0019名無しさん@お腹いっぱい。2006/04/24(月) 15:36:28
全角文字を含んだコマンドを発行できる無料sshクライアントがあったら教えて下さい。
現在はPuttyを使っているのですが、Puttyで全角文字を使用するのは無理ですよね?
0020名無しさん@お腹いっぱい。2006/04/24(月) 17:09:39
UTF-8 TeraTerm Pro with TTSSH2 のウィンドウにドラッグするとファイルを転送できる機能は
便利で良さそうなんだけど、プロトコルはどこで指定するのかなぁ・・・
デフォルトでは何使ってるんだろう?
0021名無しさん@お腹いっぱい。2006/04/24(月) 17:29:13
>>19
全角文字の入力ってことですよね?出来ていますが。
0022名無しさん@お腹いっぱい。2006/04/24(月) 18:06:10
>>18
> 『dsaでの鍵認証が必要なグループ(webadmin)』と『パスワード認証のみのグループ(user)』という二通りのグループのユーザー達がログインできるような環境を作りたい

OpenSSH はそういう小回り効かせた処理は不得手っぽいんで PAM と
組み合わせたところで無理なんじゃなかろか。

$sh.com のなら、UserSpecificConfig という user%group@host 単
位で指定できる副構成ファイル (正規表現なので group のみ指定可)
を使えるから、おそらく簡単に実現可能。
0023名無しさん@お腹いっぱい。2006/04/24(月) 19:37:22
>>18
ポート番号が違う異なる設定ファイルでそれぞれsshdが起動できるなら可能かも。

思いっきり思いつきだが。
0024キモオタ2006/04/25(火) 20:26:10
>>22 >>23
親切な方、ありがとう。

>>22
"$sh.com" "UserSpecificConfig" ぐぐってみたんですが、情報少ないですね;;

>>23
そのやりかたが一般的みたいですね、sshdを二つ以上起動しなくても普通にできてもいいことかなって思っていたのですがあきらめます;;
0025名無しさん@お腹いっぱい。2006/04/25(火) 20:27:37
>>24
つ、釣られないぞ…
0026キモオタ2006/04/25(火) 20:32:18
つ、釣ってないよ!
0027名無しさん@お腹いっぱい。2006/04/26(水) 12:05:04
> つ、釣ってないよ!

s/\$/S/
0028名無しさん@お腹いっぱい。2006/04/27(木) 03:06:32
openSSHでの公開鍵認証では、LDAPに登録した公開鍵などを利用する事は可能でしょうか?
調べてみたのですが、それらしい記述が見つかりませんでした。
0029名無しさん@お腹いっぱい。2006/04/27(木) 08:39:39
ためしたことはありませんが、
OPENSSH LDAP PUBLIC KEY PATCH
ttp://www.opendarwin.org/en/projects/openssh-lpk/
というものがあります
0030282006/04/27(木) 12:48:35
>>29
情報ありがとうございます。
早速試してみようと思います。
0031名無しさん@お腹いっぱい。2006/04/27(木) 23:55:33
玄箱をVINE化して使ってます。先日、停電で玄箱が落ちてしまい、その後から
起動してもSSHで接続できなくなりました。sambaなどは正常に動いてます。
COMポートがないので二進も三進もいかなくて困っています。
HDDを取り外してPCに接続し、KNOPPIXで起動してHDD内のファイルを参照できました。
どこかファイルをいじれば復旧できるもんでしょうか?
識者の方、お知恵をお貸しください。
0032名無しさん@お腹いっぱい。2006/04/28(金) 00:43:56
>>31
telnet とか
rlogin とかいろいろあるじゃん
0033名無しさん@お腹いっぱい。2006/04/28(金) 01:07:29
>>3
VaraTermも今はPoderosaになってる。

http://ja.poderosa.org/
0034312006/04/29(土) 22:44:51
>>32
sshでしかつながらないように設定してあるんです。
telnetでもいいんでつなぐ方法ありますかね?
knoppixで起動して、/etc/rc.localにsshが起動するように
書いてみたんですがダメでした。。。
0035名無しさん@お腹いっぱい。2006/04/29(土) 23:40:57
telnetで繋がるようにすればいい
0036名無しさん@お腹いっぱい。2006/04/29(土) 23:55:44
>>34
マウントできるんなら、ログ見るとか
telnetd 有効にしてみるとかいろいろできるでしょ。
0037名無しさん@お腹いっぱい。2006/04/30(日) 08:51:15
>>34
>/etc/rc.localにsshが起動するように書いてみたんですが

sshじゃなくてsshdだが、というオチじゃないよね?
あと、Vineベースだとtelnetdは標準では無かったような・・(1CDの影響)
当然、rlogindもない。

あとは、inetdから/bin/shを直接起動するという荒技がある。
誰でもパスワード無しで入れることに注意だけど。
0038名無しさん@お腹いっぱい。2006/05/02(火) 00:03:27
玄箱の問題じゃなくてルーターの設定がデフォルト設定になって繋がらないというオチもあるな。
0039名無しさん@お腹いっぱい。2006/05/04(木) 02:02:01
PortForwarding を使うと localhost が実は他のサーバになったりしますが、
別のサーバに接続したいとき、毎回 ~/.ssh/known_hosts から localhost を
削除しないと
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED
が出てしまい接続できません。

このサーバの鍵のチェックを無視する方法はありませんでしょうか?
0040名無しさん@お腹いっぱい。2006/05/04(木) 02:49:40
>>39
ヒント: UserKnownHostsFile
0041392006/05/04(木) 07:26:12
なるほど、known_hosts をサーバごとに分けることができたのですね。
~/.ssh/config に
UserKnownHostsFile ~/.ssh/known_hosts_server1
を追加することで、毎回 known_hosts を編集しなくてよくなりました。
サンクス。
0042名無しさん@お腹いっぱい。2006/05/06(土) 15:02:16
scpはうまく動作するのですが、 ssh が動作しません。
$ssh -v host
の出力には、

debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.

と出ますので、認証は成功してるっぽいのですが、
この表示の後、入力に対して全く応答がなくなります。

一体、何が起こっているのやら、皆目見当がつきません。
解決法、若しくは、原因を追究する方法に関する知恵をお貸しください。
0043名無しさん@お腹いっぱい。2006/05/06(土) 17:43:49
>>42
環境は? 他のユーザだとどうなの?
0044422006/05/06(土) 18:37:23
ローカルもリモートも同じくVine Linux です。
SSHは元から、入っていた物を使っております。

ローカルとリモートの間には、スイッチングハブが2台挟まっていますが、
以前、問題なく通信できており,pingも通りますので、
通信環境の問題ではないと思うのですが、詳しいところは判りません。

他ユーザーでは、どうか?との事ですが、
リモートホストで新規ユーザーを作成し、
ローカルからSSH経由でログインを試してみたところ、
新たに作成したユーザーでも同様の症状でした。
0045名無しさん@お腹いっぱい。2006/05/08(月) 03:42:02
>>42
うまく行ってるscpのコマンドラインとsshで入れてるユーザ名は一致してる?
sshdのログはどうなってる?
0046422006/05/08(月) 11:36:23
先程、ssh接続を試してみると問題なく接続できました。
うまくいかなかった原因は謎のままですが・・・。

ユーザー名ですが、一致しております。
また,ログですが、
/var/log/messages
/var/log/secure
を見る限りでは、認証は成功してるのですが、
セッションがオープンされていなかったようです。

過去、何度かこのような現象が起こっておりましたので、
できれば、原因を解明したいと思っています。
引続き、知恵を貸していただければ幸いです。
0047名無しさん@お腹いっぱい。2006/05/09(火) 00:06:18
>>46
疑似端末の確保ができないとそんな風になるかも?
0048名無しさん@お腹いっぱい。2006/05/09(火) 11:16:10
質問

SSHを使用した場合、
Linux上で動くサービスの通信プロセス全てがSSHを通して行われるの?
またはポート毎にSSHを通すor通さない等の設定は可能でしょうか?
0049名無しさん@お腹いっぱい。2006/05/09(火) 11:58:12
( ゚д゚)ポカーン
0050名無しさん@お腹いっぱい。2006/05/09(火) 12:07:55
>>48
そういうことをやりたいときにはIPsecを使う
0051名無しさん@お腹いっぱい。2006/05/09(火) 13:23:42
http://www.unixuser.org/~euske/doc/openssh/openssh-vpn.html
0052422006/05/10(水) 12:48:26
>>47
擬似端末の確保ができない理由には、
どのような事が考えられるのでしょうか?
0053名無しさん@お腹いっぱい。2006/05/10(水) 14:01:07
>>52
疑似端末の数が足りない
0054422006/05/11(木) 18:20:51
53>>
SSHで接続しようとするユーザーは私だけですので,
擬似端末の数が足りないと言う事は無いと思います.
0055名無しさん@お腹いっぱい。2006/05/11(木) 21:30:30
>>54
質問しておいてその言い方はないだろ。
0056名無しさん@お腹いっぱい。2006/05/12(金) 06:41:41
はぁ〜
0057名無しさん@お腹いっぱい。2006/05/12(金) 06:47:57
ひぃ〜
0058422006/05/12(金) 08:08:26
申し訳ございませんでした。

>>53殿

SSHで接続しようとするユーザーは私だけでござりますので, 
>>53殿がおっしゃるような擬似端末の数が足りないなどと言う事は
無いとお申し上げございります. 
0059名無しさん@お腹いっぱい。2006/05/12(金) 09:37:19
ハットリ君?
0060名無しさん@お腹いっぱい。2006/05/12(金) 09:43:22
,.――――-、
 ヽ / ̄ ̄ ̄`ヽ、
  | |  (・)。(・)|  
  | |@_,.--、_,>  擬似端末が足りないはずはないでござる
  ヽヽ___ノ                  の巻
0061422006/05/12(金) 14:55:04
>>55
言い方が気に障ったのであれば謝ります。
ごめんなさい。

「擬似端末の数」との事でしたので、
私ひとりしか使っていなければ足りなくなる事は無いと思い込んでいたのですが、
調べてみましたが、そんな単純な物ではないようですね。
不見識を恥じます。

もし良ければ、Vinelinux での擬似端末の最大数の確認の仕方、
および、擬似端末の数が足りなくなる原因などを教えてください。
0062名無しさん@お腹いっぱい。2006/05/12(金) 14:58:25
>>61
Linux独自の確認法はLinux板で
0063422006/05/12(金) 17:39:44
そんなこと言わずに教えてくだすれ
0064422006/05/12(金) 18:03:43
Linux板のVine Linux Thread へ移動する事にしました。
質問に答えてくださり、どうもありがとうございました。

>>58,63
・・・。
■ このスレッドは過去ログ倉庫に格納されています