SSH その5
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/04/20(木) 07:09:00FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
0121名無しさん@お腹いっぱい。
2006/06/12(月) 19:29:480122名無しさん@お腹いっぱい。
2006/06/12(月) 19:33:31よく読め。
0123名無しさん@お腹いっぱい。
2006/06/12(月) 20:52:11denyhostsしてるし…
0124名無しさん@お腹いっぱい。
2006/06/13(火) 18:08:380125名無しさん@お腹いっぱい。
2006/06/13(火) 18:55:400126124
2006/06/13(火) 19:24:120127名無しさん@お腹いっぱい。
2006/06/13(火) 19:34:480128名無しさん@お腹いっぱい。
2006/06/13(火) 19:41:12qwertyみたいにホームポジションから動かなくても打てるからかヨw
0129名無しさん@お腹いっぱい。
2006/06/14(水) 12:09:12ttp://www.banana-fish.com/~piro/20040609.html#p06
結論として、「自動運転のためにssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作り、
その鍵を使ってできるコマンドを必要最小限に制限する」がベストということですが、そうなんですか?
>パスフレーズはいざという時の時間稼ぎでしかない。
というのには同意ですが、でもそれはそれで意味はありますよね。
なんかこのページの趣旨が分からないっす。というかコマンドごとに鍵作るなんて面倒すぎる…
よりセキュアにってことだと思いますが、セキュアにするならそもそも自動運転など…と思ってしまうわけで。
みなさんはどう思われますか&自動運転はどういうふうにやってますか?
0130名無しさん@お腹いっぱい。
2006/06/14(水) 12:20:05パスフレーズはどうするのがいいと思うの?
expect で自動化? 平文でどっかに書いとくの?
0131名無しさん@お腹いっぱい。
2006/06/14(水) 13:47:08セキュリティを犠牲にしてでも手間を省きたいならssh-agentを使えばいいじゃん
0132129
2006/06/14(水) 21:55:03いや、パスフレーズは適当に(できれば通常のログインパスワードより長めに)
expectはありえないのでは?平文で書くなんて恐ろしすぎる…
自分はssh-agent+ssh-addで自動運転、が普通だと思ってました。
>>131
パスワード認証ってことですか?それだとパスワードを相手ホストに送ってることになりますよね(まぁ暗号化はしてますが)
普通、セキュアな順に公開鍵認証、ホストベース認証、パスワード認証で、sshも認証の優先順位はこの順だったと思いますが
0133名無しさん@お腹いっぱい。
2006/06/14(水) 22:39:23パスワード認証の話ですけど
暗号化されたパスワードであっても盗聴は出来るんだから
それをそのまま突っ込まれればやばくないですか?
0134ヽ(´ー`)ノ ◆.ogCuANUcE
2006/06/15(木) 00:19:41概ね同意できると思うが。
1. ssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作る
パスフレーズなんて飾り。一方で、再起動の度にパスフレーズが必要という
手間がある。従って、手間に見合った効果がない(と思われる)。
2. その鍵を使ってできるコマンドを必要最小限に制限する
至極当たり前の考え。
自動運転 → コマンド内容も自動 → 実行されるコマンドは常に一定
→ 他のコマンドは使えないようにしてしまえ
パスワード認証は駄目だな。
自動運転が前提なんだから、ssh-agent みたいに毎回手入力するか、
expect のように平文でどこかに置いておく必要がある。まったく意味がない。
0135名無しさん@お腹いっぱい。
2006/06/15(木) 01:16:50> 自分はssh-agent+ssh-addで自動運転、が普通だと思ってました。
ssh-agentの乗っ取りにはどう対処する?
ssh-agentの開いたソケット(/tmp/ssh-xxx/agent.1234みたいなの)にアクセスできれば、
そのagentが記憶している全ての鍵は使い放題だし、
デバッガ等でssh-agentプロセスのメモリ空間を覗くことができれば生の秘密鍵が手に入る。
ssh-agentを乗っ取られないようにアクセス制限をかけることと、
パスフレーズ無しの秘密鍵を盗まれないようにアクセス制限をかけることに
どれだけの違いがある?
パスフレーズを毎回手入力しなきゃならないデメリットにも勝るものか?
0136名無しさん@お腹いっぱい。
2006/06/15(木) 02:10:240137名無しさん@お腹いっぱい。
2006/06/15(木) 02:22:020138名無しさん@お腹いっぱい。
2006/06/15(木) 02:49:360139ヽ(´ー`)ノ ◆.ogCuANUcE
2006/06/15(木) 05:40:32鍵を盗まれてから trust な鍵のペアに交換するまでの時間が稼げる分、
パスフレーズ付きが若干有利ってだけで、結局それに尽きる。
「正規のユーザしか秘密鍵を持っていない」ってのが鍵交換認証の肝なんで、
これが破られるとどうしようもない。
0140名無しさん@お腹いっぱい。
2006/06/15(木) 06:36:300141132
2006/06/15(木) 15:01:11>ssh-agentの乗っ取りにはどう対処する?
もちろんお手上げですよ。だからある程度安全だと確信できるホスト以外では使わない。
自分の考えは>>139と同じです。パスフレーズはないよりあったほうがマシ。秘密鍵盗られたらオワリ。
このへんは各々の前提や考え方(と好み)などによるってことですね。
自分はリモートログインにコマンド制限は一切かけたくない、というのが第一の前提で、
その上で秘密鍵盗難の危険が高いなら自動運転しない、低いならする、という考えです。
まぁいずれにせよ、自動運転なんて軽々しくやるもんじゃないと…
0142名無しさん@お腹いっぱい。
2006/06/15(木) 15:43:17のが一般的なのでしょうか?
0143名無しさん@お腹いっぱい。
2006/06/15(木) 21:03:390144名無しさん@お腹いっぱい。
2006/06/16(金) 19:27:23ttp://www.h7.dion.ne.jp/~matsu/feature/uzumi/tool_memo/ssh.html#1
0145名無しさん@お腹いっぱい。
2006/06/17(土) 13:33:24いや、認証転送に使うソケット(agent単体のときと同じく/tmp以下に作られる)に
アクセスされるとマズいのは変わらん。
まあ、便利さの裏側には何らかのセキュリティリスクがつきまとうものだ、っていう
至極あたりまえのことですな。
0146名無しさん@お腹いっぱい。
2006/06/24(土) 16:40:02毎度毎度 ssh クライアントでログインしなくてもいいように、
Windows のダイヤルアップアダプタか VPN アダプタのように扱える
SSH ポートフォワーディング用のソフトってないですかね・・・
ore.no.host.example.com 宛に接続が必要になると
自動的にあらかじめ登録した鍵を使ってあらかじめ決めた
ポートだけトンネルされた状態で接続してくれるような・・
0147名無しさん@お腹いっぱい。
2006/06/24(土) 17:08:250148名無しさん@お腹いっぱい。
2006/06/24(土) 18:49:25PortForwarder
http://www.fuji-climb.org/pf/JP/
0149名無しさん@お腹いっぱい。
2006/06/25(日) 06:01:33使えるように、Windowsのネットワークアダプターのユーザーインターフェースに
統合されているようなsshクライアント製品ってありませんか?
0150名無しさん@お腹いっぱい。
2006/06/25(日) 06:27:570151名無しさん@お腹いっぱい。
2006/06/25(日) 10:18:130152名無しさん@お腹いっぱい。
2006/06/25(日) 10:21:200153名無しさん@お腹いっぱい。
2006/06/26(月) 20:58:55http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X
キタァ! ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ
from
コンピュータ関連書籍新刊一覧
http://pc.watch.impress.co.jp/docs/2006/market/i_nbook.htm
参考までに、既刊書籍:
[2] 入門SSH
http://www.ascii.co.jp/books/books/detail/4-7561-4553-1.shtml
[3] (絶版)OpenSSH セキュリティ管理ガイド
http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-0129-5
0154名無しさん@お腹いっぱい。
2006/06/27(火) 18:42:57#Fedora Core 5 の初期設定中にトラブルがいろいろと発生して、X-windowとかが飛んだのでまた再インストールorz
0155名無しさん@お腹いっぱい。
2006/06/27(火) 20:10:54host-keyを変えたとき
0156名無しさん@お腹いっぱい。
2006/06/27(火) 20:40:30巻末の「著者紹介」がなくなってた。まあ、どうでもいい(DDI)けど。
0157名無しさん@お腹いっぱい。
2006/06/28(水) 02:12:41ホストをクラックされて host key を変えられたとき
MITM されてるとき
0158名無しさん@お腹いっぱい。
2006/06/30(金) 00:59:53[1]はその改訂版なの?
あと対応バージョンはいくつなんだろう
0159名無しさん@お腹いっぱい。
2006/06/30(金) 14:35:300160名無しさん@お腹いっぱい。
2006/07/05(水) 22:53:492048じゃ今時足りない?
0161名無しさん@お腹いっぱい。
2006/07/06(木) 15:38:34@ITのこの記事読んで特定のコマンドしか実行できないユーザ作ったんですが。
これってそのrestrictedユーザ@hostががfoo@barとすると
ssh foo@bar bash -i
で簡単に回避されてしまうんですが。
これを回避して/bin/rbash以外起動できないようにする方法はありませんか?
いじるファイルによってはスレ違いかもしれませんが、一応fooはssh経由でしか入ってこないので。
0162名無しさん@お腹いっぱい。
2006/07/06(木) 15:46:56man sshd
AUTHORIZED_KEYS FILE FORMAT
...
command="command"
Specifies that the command is executed whenever this key is used
for authentication. The command supplied by the user (if any) is
ignored. The command is run on a pty if the client requests a
pty; otherwise it is run without a tty. If an 8-bit clean chan-
nel is required, one must not request a pty or should specify
no-pty. A quote may be included in the command by quoting it
with a backslash. This option might be useful to restrict cer-
tain public keys to perform just a specific operation. An exam-
ple might be a key that permits remote backups but nothing else.
Note that the client may specify TCP and/or X11 forwarding unless
they are explicitly prohibited. Note that this option applies to
shell, command or subsystem execution.
0163161
2006/07/06(木) 15:54:49ありがとうございます。…やっぱそれしかありませんかね?
今の環境がパスワード認証なのでそれを維持したままの方法がないかと模索していたのですが。
0164名無しさん@お腹いっぱい。
2006/07/06(木) 16:33:08これってフルパスでコマンド実行できない??
0165名無しさん@お腹いっぱい。
2006/07/06(木) 16:50:410166161
2006/07/06(木) 16:59:06記事にも書いていますが、実際にフルパスでコマンドを起動しようとするとrestricedとしてエラーになります。
なので必要最低限のコマンドだけ与え、PATHを制限したうえで、.bashrcと.bash_profileを編集不可にしてしまえばそれ以外のコマンドは起動できなくなります。
後はログイン時にrbash以外起動できなくすれば良いのですが、>>162の方法だけかな。
>>165
怖っ!w
スレ違い気味になってきましたね、すみません。
0167名無しさん@お腹いっぱい。
2006/07/08(土) 07:03:300168名無しさん@お腹いっぱい。
2006/07/08(土) 08:47:47つパスフレーズ
0169名無しさん@お腹いっぱい。
2006/07/08(土) 14:59:02sshで同じローカルネットのサーバーA,Bに入って、kterm&
すると、Aは窓が開くのにBは窓が開かない現象に出くわしています。
ABともに、/etc/ssh/sshd_configのX11ForwardingはYesなのに、
sshでBに入ると$DIAPLAYが設定されておらず、無理やり-display :10.0
とやっても、Can't open displayでけられます。
Bのsshd -d -d -dで出力のこの辺みろとか、なにかアドバイスいただけ
ると助かります。
0170169
2006/07/08(土) 19:02:51いれてやってたんですが、xauthが入っていないとsshのX11Forwarding
は機能しないんですね。勉強になりました。
0171167
2006/07/08(土) 19:33:430172名無しさん@お腹いっぱい。
2006/07/08(土) 19:46:340173名無しさん@お腹いっぱい。
2006/07/09(日) 00:21:28それはもうだめかもわからんね。
0174名無しさん@お腹いっぱい。
2006/07/09(日) 12:03:520175名無しさん@お腹いっぱい。
2006/07/09(日) 14:20:050176名無しさん@お腹いっぱい。
2006/07/09(日) 15:03:560177名無しさん@お腹いっぱい。
2006/07/09(日) 19:19:460178名無しさん@お腹いっぱい。
2006/07/10(月) 15:02:24ttp://www.amazon.co.jp/gp/product/479801348X/
0179名無しさん@お腹いっぱい。
2006/07/10(月) 21:42:14そうとはかぎらんよ
0180名無しさん@お腹いっぱい。
2006/07/10(月) 21:58:16# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
0181名無しさん@お腹いっぱい。
2006/07/11(火) 03:31:36# PasswordAuthentication yes
...
# PermitRootLogin yes
----修正前
----修正後
# PasswordAuthentication yes
PasswordAuthentication no
...
# PermitRootLogin yes
PermitRootLogin no
----修正後
0182名無しさん@お腹いっぱい。
2006/07/11(火) 12:17:030183名無しさん@お腹いっぱい。
2006/07/11(火) 17:00:13どっちなのよ?
#がデフォとするなら、変えるときは>>181のように行を追加して、元に戻すときは削除するってことかい?
0184名無しさん@お腹いっぱい。
2006/07/11(火) 23:39:340185名無しさん@お腹いっぱい。
2006/07/12(水) 09:36:330186名無しさん@お腹いっぱい。
2006/07/12(水) 10:40:490187名無しさん@お腹いっぱい。
2006/07/12(水) 12:16:23んじゃ2chで聞け
(>>175にモドル)
0188名無しさん@お腹いっぱい。
2006/07/12(水) 12:52:110189名無しさん@お腹いっぱい。
2006/07/12(水) 22:32:07じゃあ、デフォ使わないで明示的に指定
した方が早い気ガス
0190名無しさん@お腹いっぱい。
2006/07/12(水) 23:04:470191名無しさん@お腹いっぱい。
2006/07/13(木) 22:40:06クライアントの公開鍵がsshサーバの~/.ssh/known_hostsに入ってるかどうか、ってことでそ?
誰か教えてください
0192名無しさん@お腹いっぱい。
2006/07/14(金) 00:07:49SSHプロトコルのバージョンの違い。前者(RhostsRSAAuthentication)はバージ
ョン1のみで、後者(HostbasedAuthentication)はバージョン2のみで使われる。
内容が同じなのか、また両者を1つの項目に統合してしまっても問題ないのかまで
は分からない。(※個人的には、何らかの理由があって分けたのではないかと思っ
ているけど。)
0193名無しさん@お腹いっぱい。
2006/07/14(金) 17:15:35だからsshdの秘密鍵にアクセスできる必要がある。
RhostsRSAAuthenticationとHostbasedAuthenticationはssh1とssh2のそれぞれで
設定が可能になっている。
でも、今どきはssh1は普通無効なのでRhostsRSAAuthenticationは使わない。
0194191
2006/07/14(金) 17:28:48「ホスト」単位で認証するんだから、クライアントのホスト鍵=sshdの公開鍵=/etc/ssd/ssh_***.pubっすね
ありがとうございますた
0195191
2006/07/14(金) 22:36:26Hostbased認証にはssh-keysignをsetuidする必要があるそうですが、setuidしてないのにログインできるマシンがあります。
よく見ると「Have a lot of fun...」の直後に「Agent pid 566」とか出て、ssh-agentが走っているようです。
ssh-agentって公開鍵認証(sshd_configでPubkeyAuthentication yes)で使うものですよね?
なぜこれが起動するんでしょうか?
他のマシンでは正常にホストベース認証でログインできました(もちろんssh-keysignにsetuidを立てないとエラー)
ちなみに問題のマシンのsshバージョんはOpenSSH_3.7.1p2,です
0196名無しさん@お腹いっぱい。
2006/07/16(日) 03:18:400197名無しさん@お腹いっぱい。
2006/07/16(日) 05:39:180198名無しさん@お腹いっぱい。
2006/07/16(日) 20:16:45いいえ、それはトムです。
0200名無しさん@お腹いっぱい。
2006/07/22(土) 18:21:43RSAAuthentication・・・RSA認証
RhostsRSAAuthentication ・・・RSA ホスト認証を使った Rhosts ベースの認証
のようですが、つまり後者は前者のRSA認証にrhosts、shostsファイルによる認証を加えたもの、ということですか?
0201名無しさん@お腹いっぱい。
2006/07/22(土) 19:57:1210 レス前も読まないのか
0202名無しさん@お腹いっぱい。
2006/07/22(土) 19:58:20違ったねごめんね
0203名無しさん@お腹いっぱい。
2006/07/23(日) 10:03:49同じIP address から短時間に 10回以上
アクセスがあったら(login error 回数だと尚良い)
そのアドレスにたいしては sshd を1時間 shutout する、
なんていう設定ができないかと思っているんですが
sshd の機能だけでは出来ないんですよね?
似たような話でも良いのですが、なにか方法はあるのでしょうか?
環境: OpenSSH_4.2p1 FreeBSD-20050903, OpenSSL 0.9.7e-p1
(できれば公開鍵 only ではなく password 認証は生かしておきたいです)
0204名無しさん@お腹いっぱい。
2006/07/23(日) 10:49:25普通に、ssh接続する接続元のIP以外はFWではじくのがベスト。
でなければ、中国とか台湾とか韓国のIPを根刮ぎDeny汁
0205名無しさん@お腹いっぱい。
2006/07/23(日) 12:24:22http://www.bsp.brain.riken.jp/~washizawa/ssh.html
http://yoosee.net/d/archives/2005/11/08/002.html
このへんを参考に。
0206名無しさん@お腹いっぱい。
2006/07/23(日) 16:21:03thx. MaxStartups の 3:30:20 みたいな表記がほぼズバリでした
>204
出張その他でいろいろな所から接続するので接続元は特定できないのと、
家族のアカウントのことは証明書ベースにするのはちょっと
面倒だったんで...
まあ CKT 方面は ssh に関しては deny したいところですけどね...
0207名無しさん@お腹いっぱい。
2006/07/23(日) 19:41:13sshdを別のポート番号で動かすのが手っ取り早いんじゃないかと思う。
そのマシンにログインする人全員にそのことを知らせる必要があるけれども。
# >>205の3つめのwebページからもリンクされている、
# http://www.unixuser.org/~haruyama/security/openssh/20051108.html
# を参照ってことで
0208153
2006/07/23(日) 19:50:55> [1] 入門OpenSSH
> http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X
>
> キタァ! ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ
某大学の図書館に入った ヽ(゚∀゚)ノ ので、さっそく借りてきた。
# [3]は、リクエストしたのになんだかんだ言って入らないまま時間が過ぎてついに
# 絶版になっちまってコンチクショーだったので、よかったYO
以上、チラシの裏w
>>158
> [3]は持ってるんだけど、
> [1]はその改訂版なの?
> あと対応バージョンはいくつなんだろう
[1]では4.3を対象として書かれているようですね。
0209200
2006/07/24(月) 12:16:45ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワード認証のことですか?
通信の通路はRSAで暗号化するのだから、パスワード認証もホストベース認証もみんなRSAは使ってるわけですよね?
ss1の話で今更あまり意味ないかもしれませんが、いちおう理解しておきたくて・・・
0210名無しさん@お腹いっぱい。
2006/07/24(月) 17:13:15> RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワ
> ード認証のことですか?
違 い ま す !
SSHプロトコル1.xでの公開鍵認証、です。RSAを使うんで、「RSA認証」と呼ばれて
いるわけだ。
sshd_configでの設定項目:
公開鍵認証:RSAAuthentication(1.x),PubkeyAuthentication(2.0)
パスワード認証:PasswordAuthentication(1.x,2.0共通)
0211名無しさん@お腹いっぱい。
2006/07/24(月) 18:10:04いや通信経路は RSA 使わないよ?
経路の暗号化は共通鍵方式。
いろいろとキホンを勉強してから個別資料のほうがいいと思うぞ
0212209
2006/07/25(火) 03:59:39公開鍵認証だったんですかー!ありがとうございました。
でもどっちも公開鍵認証なんなら
RSAAuthentication→PubkeyAuthentication1
PubkeyAuthentication→PubkeyAuthentication2
みたいにしてくれれば分かりやすいのに。"RSAを使ったAuthentication"は他にもいろいろあるのだし・・・
歴史の流れでそうなってるってことでしょうかね?
>>211
通信コストを下げるために公開鍵暗号は最初の認証のみで、後は共通鍵みたいですね。知らなかった
でも、使う共通鍵はホストとクライアントどちらのものなんでしょうか?
0213名無しさん@お腹いっぱい。
2006/07/25(火) 06:16:42許可していないホストを、勝手にユーザの~/.ssh/known_hostsにそのホスト認証鍵を
追加させたくないのですが、どうすればいいでしょうか。
とりあえず、/etc/ssh/ssh_configに
StrictHostKeyChecking yes
としておけば、未知のホストに接続した場合のfingerprintを聞いてこないので、抑止
にはなるかと思うのですが、ユーザが
% ssh -o StrictHostKeyChecking=no remote-address
とした場合、ssh_configの設定が上書きされるので、どうしたものかと思っています。
何か良い方法がありますでしょうか。
sshd_configの場合、IgnoreUserKnownHostsオプションがあるので良いのですが。。。
環境は、FreeBSD 5.3R OpenSSH_3.8.1p1です。
0214名無しさん@お腹いっぱい。
2006/07/25(火) 10:14:08なんでそんなことしたいんだろう。
ファイアウォールで閉じるとかじゃだめなん?
0215名無しさん@お腹いっぱい。
2006/07/25(火) 10:52:24そのオプションを削れば済むこと。
0216名無しさん@お腹いっぱい。
2006/07/25(火) 10:53:210217名無しさん@お腹いっぱい。
2006/07/25(火) 10:58:11それじゃファイル消して新しく作られて終わりじゃね?
0218名無しさん@お腹いっぱい。
2006/07/25(火) 11:12:53自力でコンパイルされたら終わりじゃね?
0219名無しさん@お腹いっぱい。
2006/07/25(火) 11:27:050220213
2006/07/25(火) 12:41:59サンクス。
ファイアウォールで制限する事にしました。妙な方向に考えていたようです。
そもそもの理由は、sshのクライアントとサーバ間でホスト認証&相互認証を
しようとして、sshd側は、クライアントのホスト公開鍵を/etc/ssh/ssh_known_hostsに
設定し、sshd_configのIgnoreUserKnownHosts,IgnoreRhostsの設定でユーザが故意・事故で
~/.ssh/に変なクライアントからの接続の許可を無視できればOKと考えた。
でも、ssh側は、/etc/ssh/ssh_known_hostsにサーバのホスト公開鍵を設定しても、
ユーザの設定(コマンドラインの-o指定や~/.ssh/config)で上書きされてしまったら、
意味がないかな?と思っていた次第です。
(たとえば、鍵指紋を何も考えずにEnter押すようなユーザや、サーバホスト鍵が変更されてる
というワーニングがでたら~/.ssh/known_hostsの該当部分を削除してしまうようなユーザを制限
できたらと考えていたのですが。)
>>216
ちなみに該当ファイルをReadOnlyにしても接続時に「ファイルに書き込むのに失敗した」という
旨のエラーがでるだけで接続自体は行うようです。
■ このスレッドは過去ログ倉庫に格納されています