SSH その5
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/04/20(木) 07:09:00FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
0154名無しさん@お腹いっぱい。
2006/06/27(火) 18:42:57#Fedora Core 5 の初期設定中にトラブルがいろいろと発生して、X-windowとかが飛んだのでまた再インストールorz
0155名無しさん@お腹いっぱい。
2006/06/27(火) 20:10:54host-keyを変えたとき
0156名無しさん@お腹いっぱい。
2006/06/27(火) 20:40:30巻末の「著者紹介」がなくなってた。まあ、どうでもいい(DDI)けど。
0157名無しさん@お腹いっぱい。
2006/06/28(水) 02:12:41ホストをクラックされて host key を変えられたとき
MITM されてるとき
0158名無しさん@お腹いっぱい。
2006/06/30(金) 00:59:53[1]はその改訂版なの?
あと対応バージョンはいくつなんだろう
0159名無しさん@お腹いっぱい。
2006/06/30(金) 14:35:300160名無しさん@お腹いっぱい。
2006/07/05(水) 22:53:492048じゃ今時足りない?
0161名無しさん@お腹いっぱい。
2006/07/06(木) 15:38:34@ITのこの記事読んで特定のコマンドしか実行できないユーザ作ったんですが。
これってそのrestrictedユーザ@hostががfoo@barとすると
ssh foo@bar bash -i
で簡単に回避されてしまうんですが。
これを回避して/bin/rbash以外起動できないようにする方法はありませんか?
いじるファイルによってはスレ違いかもしれませんが、一応fooはssh経由でしか入ってこないので。
0162名無しさん@お腹いっぱい。
2006/07/06(木) 15:46:56man sshd
AUTHORIZED_KEYS FILE FORMAT
...
command="command"
Specifies that the command is executed whenever this key is used
for authentication. The command supplied by the user (if any) is
ignored. The command is run on a pty if the client requests a
pty; otherwise it is run without a tty. If an 8-bit clean chan-
nel is required, one must not request a pty or should specify
no-pty. A quote may be included in the command by quoting it
with a backslash. This option might be useful to restrict cer-
tain public keys to perform just a specific operation. An exam-
ple might be a key that permits remote backups but nothing else.
Note that the client may specify TCP and/or X11 forwarding unless
they are explicitly prohibited. Note that this option applies to
shell, command or subsystem execution.
0163161
2006/07/06(木) 15:54:49ありがとうございます。…やっぱそれしかありませんかね?
今の環境がパスワード認証なのでそれを維持したままの方法がないかと模索していたのですが。
0164名無しさん@お腹いっぱい。
2006/07/06(木) 16:33:08これってフルパスでコマンド実行できない??
0165名無しさん@お腹いっぱい。
2006/07/06(木) 16:50:410166161
2006/07/06(木) 16:59:06記事にも書いていますが、実際にフルパスでコマンドを起動しようとするとrestricedとしてエラーになります。
なので必要最低限のコマンドだけ与え、PATHを制限したうえで、.bashrcと.bash_profileを編集不可にしてしまえばそれ以外のコマンドは起動できなくなります。
後はログイン時にrbash以外起動できなくすれば良いのですが、>>162の方法だけかな。
>>165
怖っ!w
スレ違い気味になってきましたね、すみません。
0167名無しさん@お腹いっぱい。
2006/07/08(土) 07:03:300168名無しさん@お腹いっぱい。
2006/07/08(土) 08:47:47つパスフレーズ
0169名無しさん@お腹いっぱい。
2006/07/08(土) 14:59:02sshで同じローカルネットのサーバーA,Bに入って、kterm&
すると、Aは窓が開くのにBは窓が開かない現象に出くわしています。
ABともに、/etc/ssh/sshd_configのX11ForwardingはYesなのに、
sshでBに入ると$DIAPLAYが設定されておらず、無理やり-display :10.0
とやっても、Can't open displayでけられます。
Bのsshd -d -d -dで出力のこの辺みろとか、なにかアドバイスいただけ
ると助かります。
0170169
2006/07/08(土) 19:02:51いれてやってたんですが、xauthが入っていないとsshのX11Forwarding
は機能しないんですね。勉強になりました。
0171167
2006/07/08(土) 19:33:430172名無しさん@お腹いっぱい。
2006/07/08(土) 19:46:340173名無しさん@お腹いっぱい。
2006/07/09(日) 00:21:28それはもうだめかもわからんね。
0174名無しさん@お腹いっぱい。
2006/07/09(日) 12:03:520175名無しさん@お腹いっぱい。
2006/07/09(日) 14:20:050176名無しさん@お腹いっぱい。
2006/07/09(日) 15:03:560177名無しさん@お腹いっぱい。
2006/07/09(日) 19:19:460178名無しさん@お腹いっぱい。
2006/07/10(月) 15:02:24ttp://www.amazon.co.jp/gp/product/479801348X/
0179名無しさん@お腹いっぱい。
2006/07/10(月) 21:42:14そうとはかぎらんよ
0180名無しさん@お腹いっぱい。
2006/07/10(月) 21:58:16# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
0181名無しさん@お腹いっぱい。
2006/07/11(火) 03:31:36# PasswordAuthentication yes
...
# PermitRootLogin yes
----修正前
----修正後
# PasswordAuthentication yes
PasswordAuthentication no
...
# PermitRootLogin yes
PermitRootLogin no
----修正後
0182名無しさん@お腹いっぱい。
2006/07/11(火) 12:17:030183名無しさん@お腹いっぱい。
2006/07/11(火) 17:00:13どっちなのよ?
#がデフォとするなら、変えるときは>>181のように行を追加して、元に戻すときは削除するってことかい?
0184名無しさん@お腹いっぱい。
2006/07/11(火) 23:39:340185名無しさん@お腹いっぱい。
2006/07/12(水) 09:36:330186名無しさん@お腹いっぱい。
2006/07/12(水) 10:40:490187名無しさん@お腹いっぱい。
2006/07/12(水) 12:16:23んじゃ2chで聞け
(>>175にモドル)
0188名無しさん@お腹いっぱい。
2006/07/12(水) 12:52:110189名無しさん@お腹いっぱい。
2006/07/12(水) 22:32:07じゃあ、デフォ使わないで明示的に指定
した方が早い気ガス
0190名無しさん@お腹いっぱい。
2006/07/12(水) 23:04:470191名無しさん@お腹いっぱい。
2006/07/13(木) 22:40:06クライアントの公開鍵がsshサーバの~/.ssh/known_hostsに入ってるかどうか、ってことでそ?
誰か教えてください
0192名無しさん@お腹いっぱい。
2006/07/14(金) 00:07:49SSHプロトコルのバージョンの違い。前者(RhostsRSAAuthentication)はバージ
ョン1のみで、後者(HostbasedAuthentication)はバージョン2のみで使われる。
内容が同じなのか、また両者を1つの項目に統合してしまっても問題ないのかまで
は分からない。(※個人的には、何らかの理由があって分けたのではないかと思っ
ているけど。)
0193名無しさん@お腹いっぱい。
2006/07/14(金) 17:15:35だからsshdの秘密鍵にアクセスできる必要がある。
RhostsRSAAuthenticationとHostbasedAuthenticationはssh1とssh2のそれぞれで
設定が可能になっている。
でも、今どきはssh1は普通無効なのでRhostsRSAAuthenticationは使わない。
0194191
2006/07/14(金) 17:28:48「ホスト」単位で認証するんだから、クライアントのホスト鍵=sshdの公開鍵=/etc/ssd/ssh_***.pubっすね
ありがとうございますた
0195191
2006/07/14(金) 22:36:26Hostbased認証にはssh-keysignをsetuidする必要があるそうですが、setuidしてないのにログインできるマシンがあります。
よく見ると「Have a lot of fun...」の直後に「Agent pid 566」とか出て、ssh-agentが走っているようです。
ssh-agentって公開鍵認証(sshd_configでPubkeyAuthentication yes)で使うものですよね?
なぜこれが起動するんでしょうか?
他のマシンでは正常にホストベース認証でログインできました(もちろんssh-keysignにsetuidを立てないとエラー)
ちなみに問題のマシンのsshバージョんはOpenSSH_3.7.1p2,です
0196名無しさん@お腹いっぱい。
2006/07/16(日) 03:18:400197名無しさん@お腹いっぱい。
2006/07/16(日) 05:39:180198名無しさん@お腹いっぱい。
2006/07/16(日) 20:16:45いいえ、それはトムです。
0200名無しさん@お腹いっぱい。
2006/07/22(土) 18:21:43RSAAuthentication・・・RSA認証
RhostsRSAAuthentication ・・・RSA ホスト認証を使った Rhosts ベースの認証
のようですが、つまり後者は前者のRSA認証にrhosts、shostsファイルによる認証を加えたもの、ということですか?
0201名無しさん@お腹いっぱい。
2006/07/22(土) 19:57:1210 レス前も読まないのか
0202名無しさん@お腹いっぱい。
2006/07/22(土) 19:58:20違ったねごめんね
0203名無しさん@お腹いっぱい。
2006/07/23(日) 10:03:49同じIP address から短時間に 10回以上
アクセスがあったら(login error 回数だと尚良い)
そのアドレスにたいしては sshd を1時間 shutout する、
なんていう設定ができないかと思っているんですが
sshd の機能だけでは出来ないんですよね?
似たような話でも良いのですが、なにか方法はあるのでしょうか?
環境: OpenSSH_4.2p1 FreeBSD-20050903, OpenSSL 0.9.7e-p1
(できれば公開鍵 only ではなく password 認証は生かしておきたいです)
0204名無しさん@お腹いっぱい。
2006/07/23(日) 10:49:25普通に、ssh接続する接続元のIP以外はFWではじくのがベスト。
でなければ、中国とか台湾とか韓国のIPを根刮ぎDeny汁
0205名無しさん@お腹いっぱい。
2006/07/23(日) 12:24:22http://www.bsp.brain.riken.jp/~washizawa/ssh.html
http://yoosee.net/d/archives/2005/11/08/002.html
このへんを参考に。
0206名無しさん@お腹いっぱい。
2006/07/23(日) 16:21:03thx. MaxStartups の 3:30:20 みたいな表記がほぼズバリでした
>204
出張その他でいろいろな所から接続するので接続元は特定できないのと、
家族のアカウントのことは証明書ベースにするのはちょっと
面倒だったんで...
まあ CKT 方面は ssh に関しては deny したいところですけどね...
0207名無しさん@お腹いっぱい。
2006/07/23(日) 19:41:13sshdを別のポート番号で動かすのが手っ取り早いんじゃないかと思う。
そのマシンにログインする人全員にそのことを知らせる必要があるけれども。
# >>205の3つめのwebページからもリンクされている、
# http://www.unixuser.org/~haruyama/security/openssh/20051108.html
# を参照ってことで
0208153
2006/07/23(日) 19:50:55> [1] 入門OpenSSH
> http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X
>
> キタァ! ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ
某大学の図書館に入った ヽ(゚∀゚)ノ ので、さっそく借りてきた。
# [3]は、リクエストしたのになんだかんだ言って入らないまま時間が過ぎてついに
# 絶版になっちまってコンチクショーだったので、よかったYO
以上、チラシの裏w
>>158
> [3]は持ってるんだけど、
> [1]はその改訂版なの?
> あと対応バージョンはいくつなんだろう
[1]では4.3を対象として書かれているようですね。
0209200
2006/07/24(月) 12:16:45ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワード認証のことですか?
通信の通路はRSAで暗号化するのだから、パスワード認証もホストベース認証もみんなRSAは使ってるわけですよね?
ss1の話で今更あまり意味ないかもしれませんが、いちおう理解しておきたくて・・・
0210名無しさん@お腹いっぱい。
2006/07/24(月) 17:13:15> RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワ
> ード認証のことですか?
違 い ま す !
SSHプロトコル1.xでの公開鍵認証、です。RSAを使うんで、「RSA認証」と呼ばれて
いるわけだ。
sshd_configでの設定項目:
公開鍵認証:RSAAuthentication(1.x),PubkeyAuthentication(2.0)
パスワード認証:PasswordAuthentication(1.x,2.0共通)
0211名無しさん@お腹いっぱい。
2006/07/24(月) 18:10:04いや通信経路は RSA 使わないよ?
経路の暗号化は共通鍵方式。
いろいろとキホンを勉強してから個別資料のほうがいいと思うぞ
0212209
2006/07/25(火) 03:59:39公開鍵認証だったんですかー!ありがとうございました。
でもどっちも公開鍵認証なんなら
RSAAuthentication→PubkeyAuthentication1
PubkeyAuthentication→PubkeyAuthentication2
みたいにしてくれれば分かりやすいのに。"RSAを使ったAuthentication"は他にもいろいろあるのだし・・・
歴史の流れでそうなってるってことでしょうかね?
>>211
通信コストを下げるために公開鍵暗号は最初の認証のみで、後は共通鍵みたいですね。知らなかった
でも、使う共通鍵はホストとクライアントどちらのものなんでしょうか?
0213名無しさん@お腹いっぱい。
2006/07/25(火) 06:16:42許可していないホストを、勝手にユーザの~/.ssh/known_hostsにそのホスト認証鍵を
追加させたくないのですが、どうすればいいでしょうか。
とりあえず、/etc/ssh/ssh_configに
StrictHostKeyChecking yes
としておけば、未知のホストに接続した場合のfingerprintを聞いてこないので、抑止
にはなるかと思うのですが、ユーザが
% ssh -o StrictHostKeyChecking=no remote-address
とした場合、ssh_configの設定が上書きされるので、どうしたものかと思っています。
何か良い方法がありますでしょうか。
sshd_configの場合、IgnoreUserKnownHostsオプションがあるので良いのですが。。。
環境は、FreeBSD 5.3R OpenSSH_3.8.1p1です。
0214名無しさん@お腹いっぱい。
2006/07/25(火) 10:14:08なんでそんなことしたいんだろう。
ファイアウォールで閉じるとかじゃだめなん?
0215名無しさん@お腹いっぱい。
2006/07/25(火) 10:52:24そのオプションを削れば済むこと。
0216名無しさん@お腹いっぱい。
2006/07/25(火) 10:53:210217名無しさん@お腹いっぱい。
2006/07/25(火) 10:58:11それじゃファイル消して新しく作られて終わりじゃね?
0218名無しさん@お腹いっぱい。
2006/07/25(火) 11:12:53自力でコンパイルされたら終わりじゃね?
0219名無しさん@お腹いっぱい。
2006/07/25(火) 11:27:050220213
2006/07/25(火) 12:41:59サンクス。
ファイアウォールで制限する事にしました。妙な方向に考えていたようです。
そもそもの理由は、sshのクライアントとサーバ間でホスト認証&相互認証を
しようとして、sshd側は、クライアントのホスト公開鍵を/etc/ssh/ssh_known_hostsに
設定し、sshd_configのIgnoreUserKnownHosts,IgnoreRhostsの設定でユーザが故意・事故で
~/.ssh/に変なクライアントからの接続の許可を無視できればOKと考えた。
でも、ssh側は、/etc/ssh/ssh_known_hostsにサーバのホスト公開鍵を設定しても、
ユーザの設定(コマンドラインの-o指定や~/.ssh/config)で上書きされてしまったら、
意味がないかな?と思っていた次第です。
(たとえば、鍵指紋を何も考えずにEnter押すようなユーザや、サーバホスト鍵が変更されてる
というワーニングがでたら~/.ssh/known_hostsの該当部分を削除してしまうようなユーザを制限
できたらと考えていたのですが。)
>>216
ちなみに該当ファイルをReadOnlyにしても接続時に「ファイルに書き込むのに失敗した」という
旨のエラーがでるだけで接続自体は行うようです。
0221206
2006/07/25(火) 15:30:42login できるアカウントを制限していたためか
root やら admin やらでアタックを試しているうちは
"login の認証失敗" まで行かないことになって
MaxStartups の縛りが全然発動しないっぽいです… orz
だだだーとアカウントスキャンをかけてくる台・韓の
script kiddy のせいで /var/log/authlog がすげーバッチイまんまですた
(アドレス毎に 10-20行位で収まるようになるのかと思ったのに)
>207
確かに出張時に使う(接続元アドレスバラバラ)、のは私だけなので
port 22 は特定アドレスからの接続だけに限定して
一般の接続用としてはそれもアリかもしれないですね。
0222名無しさん@お腹いっぱい。
2006/07/26(水) 21:24:46ffftpで「接続しました。 接続できません。」となってしまいます。
・sshによるパスワード認証ログイン、通常のftpによるログインは可能
・PuTTY0.58-jp20050503でトンネル部分を設定
→L8021 ********.jp:21(左が源ポート、右が送り先)
・ffftpはポート8021、接続先localhost、PASV、FWなしに設定
・サーバはSolaris10、クライアントはWin。
・OpenSSH(Solaris10バンドル)使用。
→Sun_SSH_1.1、SSH プロトコル 1.5/2.0、OpenSSL
・ttp://cl.pocari.org/2006-05-18-1.htmlを見て、
AllowTcpForwarding yesにしてみました。
アドバイスあれば、よろしくお願いいたします。
0223名無しさん@お腹いっぱい。
2006/07/26(水) 22:19:250224名無しさん@お腹いっぱい。
2006/07/26(水) 22:25:280225名無しさん@お腹いっぱい。
2006/07/27(木) 17:42:20どうしたらいいですか。
0226名無しさん@お腹いっぱい。
2006/07/27(木) 18:18:270227名無しさん@お腹いっぱい。
2006/07/27(木) 23:38:470228名無しさん@お腹いっぱい。
2006/07/31(月) 22:42:07ファイルのパスに日本語が含まれるときに出るようですが、これを回避する方法ないですか?
スレ違いな気もしますが同じssh系ということで、お願いします
0229名無しさん@お腹いっぱい。
2006/07/31(月) 23:01:190230228
2006/07/31(月) 23:48:21即レスするくらいなら答えてくれてもいいのに…
0231名無しさん@お腹いっぱい。
2006/08/01(火) 00:12:21これでいいか?
0232名無しさん@お腹いっぱい。
2006/08/01(火) 07:29:56それか、comannderモードつかってexplorerとかからドロップしない。
0233228
2006/08/01(火) 13:06:59レスjどうもです
デスクトップとかからのドラッグドロップをよくやるもんで
いろいろ試しましたが、やはり無理なようですね。この件は諦めることにします
0234名無しさん@お腹いっぱい。
2006/08/06(日) 14:14:41どなたか解決策お願いします
以下、Poderosaの出力ログです(プロトコルはSSH2、認証方法は「パスワード」です)
[SSH:192.168.123.162] Received: SSH-2.0-OpenSSH_4.2
[SSH:192.168.123.162] Transmitted: SSH-2.0-Granados-2.0
[SSH:192.168.123.162] Transmitted: kex_algorithm=diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-dss,ssh-rsa; encryption_algorithms_client_to_server=aes128-cbc,blowfish-cbc,3des-cbc;
encryption_algorithms_server_to_client=aes128-cbc,blowfish-cbc,3des-cbc; mac_algorithms_client_to_server=hmac-sha1; mac_algorithms_server_to_client=hmac-sha1
[SSH:192.168.123.162] Received: kex_algorithm=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-rsa,ssh-dss;
encryption_algorithms_client_to_server=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr;
encryption_algorithms_server_to_client=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr;
mac_algorithms_client_to_server=hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; mac_algorithms_server_to_client=hmac-md5,hmac-sha1,hmac-ripemd160,
hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; comression_algorithms_client_to_server=none,zlib@openssh.com; comression_algorithms_server_to_client=none,zlib@openssh.com
[SSH:192.168.123.162] Transmitted:
[SSH:192.168.123.162] Received: verifying host key
[SSH:192.168.123.162] Received: the keys are refreshed
[SSH:192.168.123.162] Transmitted: ssh-userauth
[SSH:192.168.123.162] Transmitted: starting password authentication
[SSH:192.168.123.162] Received: user authentication failed:publickey,keyboard-interactive
0235名無しさん@お腹いっぱい。
2006/08/06(日) 14:16:560236名無しさん@お腹いっぱい。
2006/08/06(日) 14:35:410237名無しさん@お腹いっぱい。
2006/08/06(日) 14:48:32(イベントログもpassword入力後出力無し)
なんか情報小出しですみません
0238名無しさん@お腹いっぱい。
2006/08/06(日) 14:59:400239名無しさん@お腹いっぱい。
2006/08/06(日) 17:20:34一応貼っとくか
Poderosa使ってる奴いる?
http://pc8.2ch.net/test/read.cgi/mysv/1137596282/
0240名無しさん@お腹いっぱい。
2006/08/07(月) 14:49:47ググったら↓を見つけましたが、これで合ってるんですか?
ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509
<以下、引用>
keyboard-interactiveはサーバが直接仮想端末を制御して、パスワードを読み込むのに対して、
passwordはクライアント側が任意の方法でパスワードを読み込んでサーバに渡すらしい。
普通に端末から使う分にはあまり違いを意識することはないと思うが、sshを実行したプログラムが
(仮想)端末を持たない場合(Eclipseからssh経由でcvsを使う場合など)はpassword認証だと
SSH_ASKPASS が使えるという違いがある。というか、多分違うのはこれくらい。
0241名無しさん@お腹いっぱい。
2006/08/07(月) 23:26:46> keyboard-interactive認証とpassword認証の違いって何ですか?
password認証ってのはRFC4252の8章で定義されているやつで、
ぶっちゃけて言えば、ただ一回だけClientからServer宛てに
パスワード入りのパケットを投げつけて認証の成否を決めるやり方だ。
ttp://www.ietf.org/rfc/rfc4252.txt
対するkeyboard-interactive認証はRFC4256で定義されていて、
認証できるまでClientとServerの間で任意の回数・任意の個数の
メッセージをやりとりできる方法だ。
PAMのように複雑な状態遷移を持つ認証方法をssh上で行うことができるように、
password認証を拡張した方法ってことになる。
ttp://www.ietf.org/rfc/rfc4256.txt
> ググったら↓を見つけましたが、これで合ってるんですか?
> ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509
なんじゃそりゃ。
そんな無茶苦茶な説明なんか参考にしないで、RFC読め。
0242240
2006/08/08(火) 19:14:33>なんじゃそりゃ。
>そんな無茶苦茶な説明なんか参考にしないで、RFC読め。
おお、やはりガセでしたか。
本家(特に英語の)の説明を読むのはどうも億劫で、ついググって分かりやすく解説してるサイトを探しがちで…
やはりこういうのは公式のを読まなきゃだめっすね。猛省します。
ありがとうございました。
0243名無しさん@お腹いっぱい。
2006/08/11(金) 00:15:14【環境】
クライアント putty <==> FW <==> サーバ openSSH3.9 鍵認証方式
sshdの待機ポートをわけあって2つ(22, HOGE)にしたいと思っています。
そこでsshd_config内に
---------------------------------------
Port 22
Port HOGE
---------------------------------------
を追加し、sshdの再起動を行いました。
クライアントから接続すると、22番では接続可能なのですが、HOGEでは接続出来ません。
サーバのパケットダンプ(tcpdump tcp port HOGE -n)を見ると、サーバには届いているように見受けられます。
しかしputtyのログをみると、サーバには届いていて、sshdのバージョン情報?までは取れているのにもかかわらず、認証手続きが始まらない状態です。
サーバ側で"netstat -pln"、"nmap サーバのIP"等で確認しましたが、22:HOGEポートはLISTEN状態でした。
サーバ側の"/var/log/secure"、"/var/log/message"等には何も出力されていませんでした。
FWのポートが開いている事は確認済みです。
現在手元に環境が無いので詳細を書くことは出来ませんが、どなたか原因がわかる方はいらっしゃらないでしょうか?
0244名無しさん@お腹いっぱい。
2006/08/30(水) 03:02:29local-IPからは鍵もしくはパスワード認証
ってのをやろうとしたら、やっぱりsshd二つ動かすのが近道になっちまう?
0245名無しさん@お腹いっぱい。
2006/09/02(土) 00:31:32あるいは、-o PasswordAuthentication とか。
0246名無しさん@お腹いっぱい
2006/09/03(日) 15:23:29春山さんのところに出てた話で、予定されてる追加機能("Match"命令)興味あるなぁ。
パッチ当てずにchroot出来るならその方が良いんだが、どうなんだろう?
ちょっぴり期待
0247名無しさん@お腹いっぱい。
2006/09/10(日) 01:01:57デケデケ | |
ドコドコ < 新バージョン4.4(p1)まだーーーーーーーー!!? >
☆ ドムドム |_ _ _ _ _ _ _ _ _ _|
☆ ダダダダ! ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
ドシャーン! ヽ オラオラッ!! ♪
=≡= ∧_∧ ☆
♪ / 〃(・∀・ #) / シャンシャン
♪ 〆 ┌\と\と.ヾ∈≡∋ゞ
|| γ ⌒ヽヽコ ノ ||
|| ΣΣ .|:::|∪〓 || ♪
./|\人 _.ノノ _||_. /|\
ドチドチ!
(※出典:ttp://dokoaa.com/mada-.html)
0248名無しさん@お腹いっぱい
2006/09/10(日) 09:08:41ドラムうまいねぇ
0249名無しさん@お腹いっぱい。
2006/09/18(月) 05:14:30社員が数人、外部からSSHで接続することもあり
動的IPの人もいるのでIP制限をするわけでもなく
IDとパスワードさえあれば、どこからでも入れてしまいます。
一週間ログを取ってみたら毎日、辞書アタックや
ブルートフォースを食らっているのでiptablesで何らかの対応するか
公開鍵認証にしたほうがいいと上司に提案したのですが
それくらいのアタックなら大丈夫と言われました。
いくら乗っ取られる確率が低いといっても
いつ当たりを引くかわからないと思うのですが
僕が間違ってるのでしょうか
ちなみに顧客の個人情報を扱ってるサーバーです・・・
0250名無しさん@お腹いっぱい。
2006/09/18(月) 07:29:070251名無しさん@お腹いっぱい。
2006/09/18(月) 07:43:47しらばっくれる可能性大なので、大丈夫と判断した根拠を文書で
貰っときましょう。
0252名無しさん@お腹いっぱい。
2006/09/18(月) 07:48:21興味があるんで、その上司の歳と簡単な経歴が知りたい
0253名無しさん@お腹いっぱい。
2006/09/18(月) 09:52:47そういうやりとりはメールでやって、証拠を残しとくもんだ。
■ このスレッドは過去ログ倉庫に格納されています