SSH その5
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/04/20(木) 07:09:00FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
0268名無しさん@お腹いっぱい。
2006/09/21(木) 22:59:27チョン・シナのアドレスをリストしてるとこはググれば見つかる
0269名無しさん@お腹いっぱい。
2006/09/21(木) 23:09:090270名無しさん@お腹いっぱい。
2006/09/21(木) 23:45:29当然、中国や韓国などからは接続拒否しているよ。
それにも関わらず、接続を試みようとするのはどういう
馬鹿ものなのかという質問なのだが。
0271名無しさん@お腹いっぱい。
2006/09/21(木) 23:50:18何も考えずスクリプト回してるだけっしょ。
0272名無しさん@お腹いっぱい。
2006/09/21(木) 23:55:18クラッカーにいいように使われてるだけだろうな
0273名無しさん@お腹いっぱい。
2006/09/21(木) 23:59:11それにも関わらず、2chでその意図を聞こうとするのはどういう
馬鹿ものなのか
0274名無しさん@お腹いっぱい。
2006/09/22(金) 00:01:320275名無しさん@お腹いっぱい。
2006/09/22(金) 00:07:54だよもんキター、だよもん
0276名無しさん@お腹いっぱい。
2006/09/22(金) 02:35:51アタックかけてる側は、接続拒否されてるかどうかなんて分かんないし。
馬鹿?
0277名無しさん@お腹いっぱい。
2006/09/22(金) 07:13:390278名無しさん@お腹いっぱい。
2006/09/22(金) 07:19:54もちろん、PasswordAuthentication noだし、AllowUsersも
設定している。
0279名無しさん@お腹いっぱい。
2006/09/22(金) 08:03:180280名無しさん@お腹いっぱい。
2006/09/22(金) 09:38:48bindみたいに書けると完璧
0281名無しさん@お腹いっぱい。
2006/09/22(金) 09:58:29それ以外からは公開鍵認証にしたいのですが
どうすればできますか?
0282名無しさん@お腹いっぱい。
2006/09/22(金) 10:09:250283名無しさん@お腹いっぱい。
2006/09/22(金) 11:01:15まず、前提条件として、以下の点について質問させてください。
パスワード認証を使わず、公開鍵認証で接続を行う場合、
クライアント側に秘密鍵を置く必要がありますよね。
その上で質問です。接続するクライアントA、サーバーとBとCがあった場合、
クライアントA → サーバーB → サーバーC
と言ったように、多段に接続したいのですが、
(サーバーBには直接接続できない)
・秘密鍵をクライアントAにだけおき、サーバーBにおきたくない
・できるだけ簡単に接続する方法はないか
といったようなことはできますでしょうか?
0284名無しさん@お腹いっぱい。
2006/09/22(金) 11:28:29ssh-agentのフォワード機能で普通にできる。
設定によっては ssh -A のオプションが必要。
0285名無しさん@お腹いっぱい。
2006/09/22(金) 11:37:55ssh(1)
-A Enables forwarding of the authentication agent connection. This
can also be specified on a per-host basis in a configuration
file.
Agent forwarding should be enabled with caution. Users with the
ability to bypass file permissions on the remote host (for the
agent's Unix-domain socket) can access the local agent through
the forwarded connection. An attacker cannot obtain key material
from the agent, however they can perform operations on the keys
that enable them to authenticate using the identities loaded into
the agent.
しかし、Bの特権を持っている人は秘密鍵を使うことは出来る(秘密鍵本体は盗めない)。
俺は、秘密鍵を使う時はポップアップで確認するようputtyのpagent(authentication
agent)を改造してつかっている。
0286283
2006/09/22(金) 11:41:06ごめん違った
(サーバーCには直接接続できない)
でした
0287283
2006/09/22(金) 14:32:59cl.pocari.org - connect を使って簡単に多段 SSH を実現する方法
http://cl.pocari.org/2006-09-04-2.html
connect.cを使う方法
cl.pocari.org - SSH で多段接続?
http://cl.pocari.org/2004-12-19-1.html
ssh-agentを使う方法
cl.pocari.org - SSH でポートフォワード
http://cl.pocari.org/2005-01-24-2.html
wakaran
どれが簡単な方法か、試してみようと思います。
-A使う方法がいまいちわかりませんが、また調べてみます
0288名無しさん@お腹いっぱい。
2006/09/22(金) 14:44:27せっかく回答もらってるのにそれは無視かい?
余計なこと調べなくていい。
ssh-agent 実行済みで、ふつうに ssh hostB ができる状態で、
ssh -A hostB するだけ。
で、hostB において ssh hostC すればそのまま入れる。
それだけ。
0290283
2006/09/22(金) 16:54:14$ ssh -A (hostB) -i (hostCの秘密鍵)
パスフレーズ入力
hostBのパスワード入力
hostBで、
$ ssh hostC
Permission denied (publickey).
と言われました?
んんん。
0291名無しさん@お腹いっぱい。
2006/09/22(金) 16:59:37おまえ、ssh-agent自体の使い方知らんのちゃうか?
$ ssh-agent bash
$ ssh-add
(パスフレーズ入力)
$ ssh -A hostB
hostB$ ssh hostC
hostC$
↑これだけだよ。
0292283
2006/09/22(金) 17:05:15いけました!
$ eval `ssh-agent`
$ ssh-add (hostCの秘密鍵)
(パスフレーズ入力)
$ ssh -A hostB
hostB $ ssh hostC
で、おkですね。
ssh-agentで、秘密鍵を覚えさせとかないといけないんですね
つきあっていただいて、ありがとうございました。
0293名無しさん@お腹いっぱい。
2006/09/22(金) 18:34:25host1 -> host2 -> host3 -> host4
を1発でログインできたりといった感じで…
0294名無しさん@お腹いっぱい。
2006/09/22(金) 20:51:500295名無しさん@お腹いっぱい。
2006/09/22(金) 20:58:22やってみればわかるけど、それだと「無端末」状態になるので、
シェルのプロンプトは出ないし、viとか画面制御系コマンドが起動できないし、
とにかく、普通にsshで直接ログインしたのとは違う状態になるよ。
0296名無しさん@お腹いっぱい。
2006/09/22(金) 21:09:44ssh -A -t host2 ssh -A -t host3 ssh -t host4
0297名無しさん@お腹いっぱい。
2006/09/22(金) 23:48:27いいこと知った
0298283
2006/09/22(金) 23:56:45> $ ssh -A hostB
> hostB $ ssh hostC
これは、
$ ssh -A -t hostB ssh -t hostC
でいけるんですね。
すげw
evalとこもshellにでもしたらもっと楽になるな
0299名無しさん@お腹いっぱい。
2006/09/23(土) 00:01:400300名無しさん@お腹いっぱい。
2006/09/23(土) 00:08:370301名無しさん@お腹いっぱい。
2006/09/23(土) 00:23:320302名無しさん@お腹いっぱい。
2006/09/23(土) 00:35:13tar -v ??
あと、tarはscpじゃないし。
0303名無しさん@お腹いっぱい。
2006/09/23(土) 01:31:30scp -oProxyCommand='ssh hostA netcat hostB 22' file hostB:
なんて、どう?
0304名無しさん@お腹いっぱい。
2006/09/23(土) 01:34:530305名無しさん@お腹いっぱい。
2006/09/24(日) 16:25:59どこで設定すればよいのでしょうか?
0306名無しさん@お腹いっぱい。
2006/09/24(日) 16:28:25sshd_configに記述、または sshdの起動スクリプトで sshd -p オプションで指定。
0307名無しさん@お腹いっぱい。
2006/09/25(月) 07:31:28ログインに時間がかかります。
12、13秒ほどかかります。
これって、こういうものですか?
鍵は、DSA 768bitです。
パスフレーズは、8文字程度です。
0308名無しさん@お腹いっぱい。
2006/09/25(月) 07:32:54ローカルホスト: PentiumD 3GHz、メモリ 2GB
リモートホスト: Celeron(R) 2.53GHz、メモリ 512MB
です。
0309名無しさん@お腹いっぱい。
2006/09/25(月) 07:34:40ローカルホスト:ssh cygwin OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
リモートホスト:sshd OpenSSH_4.2p1 Debian-7ubuntu3, OpenSSL 0.9.8a 11 Oct 2005
0310名無しさん@お腹いっぱい。
2006/09/25(月) 08:01:03DNS まわりじゃないの?
サーバ側でクライアントの IP アドレスを逆引きできないとか。
0311名無しさん@お腹いっぱい。
2006/09/25(月) 08:38:01↓を読んで、環境を晒してしまったことを後悔しましょう。
http://pc8.2ch.net/test/read.cgi/unix/1159025791/13
0312名無しさん@お腹いっぱい。
2006/09/25(月) 08:51:47問題なく逆引きできました。
サーバーもクライアントも、DNSに登録されています。
0313名無しさん@お腹いっぱい。
2006/09/25(月) 08:52:20これくらいの情報で、個人が特定できるものなんでしょうか・・・
0314名無しさん@お腹いっぱい。
2006/09/25(月) 13:14:22普通は分のオーダーになる
0315名無しさん@お腹いっぱい。
2006/09/25(月) 14:13:59sshd_configに
UseDNS no
って書くと早くなるかも。
0316名無しさん@お腹いっぱい。
2006/09/25(月) 14:47:15をオプションで明示してみれば? fall back が遅いのであれば、-v で大体検討はつくので試してみるべし。
ssh って、packet lengthあたりにバグが残っていて巨大なパケットを吐いている形跡なくない?
0317名無しさん@お腹いっぱい。
2006/09/25(月) 19:31:30ログインできないユーザーがあるのですが、どういったことが考えられますか?
・公開鍵を使っている
・同じ鍵で、別ユーザーではログインできている
・AllowUsers/DenyUsersは、sshd_configに書いていない。
・PasswordAuthentication = noで、パスワード入力は許可していない。
しかし、PasswordAuthentication = yesのときは、普通に入れた。
0318名無しさん@お腹いっぱい。
2006/09/25(月) 19:54:39authorized_keysのパーミッションが変
0319名無しさん@お腹いっぱい。
2006/09/25(月) 20:09:14~のパーミッションが変
0320名無しさん@お腹いっぱい。
2006/09/25(月) 20:09:40ログイン出来るユーザーからコピーしてもダメでした。
chmod 600 authorized_keys
chmod 644 authorized_keys
両方ダメでした。
何故だ・・・困った。
ユーザー変えただけだのに・・・
0321名無しさん@お腹いっぱい。
2006/09/25(月) 20:16:050322名無しさん@お腹いっぱい。
2006/09/25(月) 20:26:040323名無しさん@お腹いっぱい。
2006/09/25(月) 20:39:09.ssh 700
~ 775
>>321
(~と同じ)ログインしたいユーザー名になってた
>>322
そのようなファイル郡はありません。
ログインできているユーザーにもありません。
0324名無しさん@お腹いっぱい。
2006/09/25(月) 20:41:19あ、ローカルか。
Poderosaなので、その辺関係あるのかな?
0325317=320=323
2006/09/25(月) 20:52:49cygwinのsshからだと接続できました。
しかしながら、
> ssh (IPアドレス) -l (ユーザー名) -i (キー名)
Enter passphrase for key '(キー名)': ←パスフレーズを入力する
(ユーザー名)@(ホスト名)'s password: ←ユーザーのパスワードを入力する
ログイン出来る
という二段認証になっています・・・?
Poderosaや、WinSCPでログインできないのはこのせいでしょうか?
Poderosaでログインできたユーザーでは、
普通どおり、最初のパスフレーズのみを聞いてきます。
0326名無しさん@お腹いっぱい。
2006/09/25(月) 20:56:350327名無しさん@お腹いっぱい。
2006/09/25(月) 21:12:22あまり参考にしない方がいいよ。
0328名無しさん@お腹いっぱい。
2006/09/25(月) 21:15:160329名無しさん@お腹いっぱい。
2006/09/25(月) 21:16:54(a) 死ね!
(b) 七輪と煉炭
(c) 樹海
0330名無しさん@お腹いっぱい。
2006/09/25(月) 21:21:25authorized_keys のパーミッションとかは関係ない。
↑の点に付いて言ってるアドバイスは間違い。
ローカル側の identity id_dsa id_rsa は、
自分以外が読めるパーミッションではいけない。
0331317
2006/09/25(月) 21:58:41同グループで書き込めなくなっちゃうよ・・・
0332名無しさん@お腹いっぱい。
2006/09/25(月) 22:21:04sshd のログも張り付けず
な香具師は放置
0334名無しさん@お腹いっぱい。
2006/09/25(月) 22:41:540336名無しさん@お腹いっぱい。
2006/09/25(月) 22:46:42それは、二段認証になってたのじゃなくて、
公開キーでの認証に失敗したから、UNIXパスワードで認証されたの。
で、>>317 では「PasswordAuthentication = noで、パスワード入力は許可していない」
と言ってるのに、これと状況が食い違っている。
もう一度状況を整理すること。
で、ssh -v のログを貼ること。でないとマトモな人間は答えてくれないし、
「知ったか」が間違ったアドバイスをするだけ。既にされてるけど。
0337名無しさん@お腹いっぱい。
2006/09/25(月) 22:47:530338名無しさん@お腹いっぱい。
2006/09/25(月) 22:49:550339名無しさん@お腹いっぱい。
2006/09/25(月) 22:50:260340名無しさん@お腹いっぱい。
2006/09/25(月) 22:51:310341317
2006/09/25(月) 22:53:59> ssh (リモートのIP) -l (ユーザー名) -i (秘密鍵) -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (リモートのIP) [(リモートのIP)] port 22.
debug1: Connection established.
debug1: identity file (秘密鍵) type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(リモートのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
%
0342317
2006/09/25(月) 22:54:37debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key '(秘密鍵)':
debug1: read PEM private key done: type DSA
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
(ユーザー名)@(リモートのIP)'s password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Last login: Mon Sep 25 22:48:07 2006 from (前回ログインしたローカルホスト)
OpenBSD 3.8-stable (GENERIC) #1: Tue May 9 19:59:50 JST 2006
0343317
2006/09/25(月) 22:56:27すみません。
直後、ログインできねえ、とブーブー言われたので、
PasswordAuthentication = yes にしたのでした orz
>>338
試してみます。
0344317
2006/09/25(月) 23:02:04キタ━━━━━━(゚∀゚)━━━━━━ !!
ログインできたぁぁぁぁぁぁぁぁぁぁぁーーーーーーー
これだけのことなのかーーーーーーー
みなさま、付き合っていただきありがとうございました。
グループでの書き込みは諦めます・・・あぅあぅ orz
0345名無しさん@お腹いっぱい。
2006/09/25(月) 23:13:51それだけの事に俺も以前はまったんだーーーーーーーっ
0346名無しさん@お腹いっぱい。
2006/09/25(月) 23:16:04プププ
0347名無しさん@お腹いっぱい。
2006/09/25(月) 23:18:04SSHにどんな穴が開くか今ひらめいたよorz
0348名無しさん@お腹いっぱい。
2006/09/25(月) 23:25:22お勧めはせん
0349名無しさん@お腹いっぱい。
2006/09/25(月) 23:53:24umask 002
になってて、考えずにauthorized_keysを作成すると
グループにwビットが立ってsloginできない事があったなそういえば。
0350名無しさん@お腹いっぱい。
2006/09/26(火) 03:17:520351名無しさん@お腹いっぱい。
2006/09/26(火) 04:26:56それ、ウチの若いのも報告書に書いて、
そのまま客先に行って恥かいて困ってるのよ。
「おめーの田舎は、茨城県サーバ郡か?」
って言っても気付いてくれない。
0352名無しさん@お腹いっぱい。
2006/09/27(水) 04:21:00[SA22091] OpenSSH Identical Blocks Denial of Service Vulnerability
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2006/09.html#20060926_OpenSSH
ぬゎんだコレは! (@~@)!! 寝耳に水というか何というか。。
(注:既に修正済み)
んで、SSHプロトコルver.1 って有効にしてるところって多いのかな。(デフォルト
では、両方とも有効になっている。Protocolオプションのデフォルトは"2,1")
4.4(p1)がリリースされれば速攻でアップグレードしなきゃならんなぁ。。
0353名無しさん@お腹いっぱい。
2006/09/27(水) 07:37:160354名無しさん@お腹いっぱい。
2006/09/27(水) 14:28:260355名無しさん@お腹いっぱい。
2006/09/27(水) 16:23:070356名無しさん@お腹いっぱい。
2006/09/27(水) 19:06:58zlib に穴あっても攻撃されづらくなるんじゃね?
0357名無しさん@お腹いっぱい。
2006/09/28(木) 18:46:05…FreeBSDでビルドしようとしたけど、警告(warning)が出るわ出るわ。。orz
0358307
2006/09/28(木) 19:00:42どうも、特定のホストで遅くなるようです。
Ubuntuで遅くなる。
CentOS、OpenBSDの場合は、普通に瞬間的にログイン。
DNSはどれも逆引きできています。
0359307
2006/09/28(木) 19:01:32鍵も同じもので調べました。
クライアントは、Windows(Poderosa、及びcygwin+ssh)です。
0360名無しさん@お腹いっぱい
2006/09/28(木) 21:32:480361名無しさん@お腹いっぱい。
2006/09/28(木) 22:51:02http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten/henkouten_4.4.txt
0362名無しさん@お腹いっぱい。
2006/09/29(金) 18:22:29ここの活動状況について知ってる人いますか?
http://chrootssh.sourceforge.net/index.php
0363307
2006/09/29(金) 22:43:01> ssh (サーバーのIP) -i ~/.ssh/key.openssh -p ****** -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (サーバーのIP) [(サーバーのIP)] port 25672.
debug1: Connection established.
debug1: identity file /home/.ssh/key.openssh type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: match: OpenSSH_4.2p1 Debian-7ubuntu3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(サーバーのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:8
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/.ssh/key.openssh
debug1: PEM_read_PrivateKey failed
0364307
2006/09/29(金) 22:45:12Enter passphrase for key '/home/.ssh/key.openssh':
debug1: read PEM private key done: type DSA
ここで、10秒ほど、時間が掛かる
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Linux **** 2.6.15-27-server #1 SMP Sat Sep 16 02:57:21 UTC 2006 i686 GNU/Linux
認証に時間がかかっている雰囲気です。なぞです。
PasswordAuthentication no です。
0365名無しさん@お腹いっぱい。
2006/09/30(土) 01:06:52サーバ側の sshd -d も試したら?
0366307
2006/09/30(土) 10:55:49いきなり、名前呼ばれてびびったw
消し忘れかYO!!
試してみます。
0367307
2006/09/30(土) 11:09:27debug1: sshd version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: read PEM private key done: type RSA
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
debug1: Bind to port (ポート番号) on ::.
Server listening on :: port (ポート番号).
debug1: Bind to port (ポート番号) on 0.0.0.0.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 4 out 4 newsock 4 pipe -1 sock 7
debug1: inetd sockets after dupping: 3, 3
Connection from (クライントIP) port 4435
debug1: Client protocol version 2.0; client software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.2p1 Debian-7ubuntu3
debug1: permanently_set_uid: 100/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: An invalid name was supplied
Configuration file does not specify default realm
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
■ このスレッドは過去ログ倉庫に格納されています