SSH その5

**名無しさん＠お腹いっぱい。** · 2006/04/20(木) 07:09:00

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/

**名無しさん＠お腹いっぱい。** · 2006/09/30(土) 14:39:51

>>373
自己レスです
上記の認証エラーが発生するのはサーバがRedhat9の場合のみでRedhat7.3では発生していないのでサーバ側の問題かと思います

**307** · 2006/09/30(土) 15:01:50

>>372
sudo grep -R pam_ssh /etc/*
しましたが、特にpamの設定はされていないようです。

パスフレーズとログインパス一緒にしても変わりませんでした。

むむむ。

**307** · 2006/09/30(土) 15:18:27

nslookupでちゃんと逆引きできるのになーと思いつつ、
念のため、/etc/hostsにホスト情報書いたら、
普通にすばやくログインできるようになりました・・・なんでだろ('A`)

いろいろ、ご迷惑かけてしまいました。
ありがとうございました。

**名無しさん＠お腹いっぱい。** · 2006/09/30(土) 15:20:00

>>375
grep は -i つけなきゃいかんよ。

**307** · 2006/09/30(土) 15:22:54

わかりました・・・プライマリのDNSサーバーが死んでたためでした。
/etc/resolv.confから死んだDNSサーバーをはずして、生きているセカンダリだけにしたら、
ふつーにサクッとログインできました orz

**名無しさん＠お腹いっぱい。** · 2006/09/30(土) 16:00:11

>>378
>>310-311 が即回答してるのに、そんなオチが許されるとでも、、、

**名無しさん＠お腹いっぱい。** · 2006/09/30(土) 16:02:59

まー、ありがちだわな。

**365** · 2006/09/30(土) 19:29:39

よーし、ポート 25672 で動いてる ssh 探しちゃうぞーw

**名無しさん＠お腹いっぱい。** · 2006/10/01(日) 22:30:56

ｗｗｗ

**名無しさん＠お腹いっぱい。** · 2006/10/02(月) 02:07:06

http://www.openssh.com/ja/list.html
からリンクされている www.mindrot.org って死んでるの?

MLのアーカイブが見られなくて困ってるんですけど...

**名無しさん＠お腹いっぱい。** · 2006/10/02(月) 04:32:44

死んでないよ。
lists.mindrot.org にリダイレクトされるよ。

**名無しさん＠お腹いっぱい。** · 2006/10/03(火) 23:33:44

>>362

どうなっているんでしょうね。
osshChroot-4.3p1.diffで当面はしのげると思いますが。

**名無しさん＠お腹いっぱい。** · 2006/10/05(木) 01:19:58

ssh-agentで記憶している鍵を使って、ローカルファイルの暗号化と復号をしたいのですが、
なにかいい方法はありますか？ cygwinを使っています。

試したこと(opensslでsshの公開鍵を使えるかどうか試した)

$ cat ~/.ssh/id_dsa.pub
ssh-dss (中略) xxx@xxx

$ openssl rsautl -pubin -inkey ~/.ssh/id_dsa.pub -in test -encrypt -out test.enc
unable to load Public Key

**名無しさん＠お腹いっぱい。** · 2006/10/05(木) 01:51:09

>>386

DSAって認証のみにしか使えないんじゃ？

RSAなら復号にも使えるはずだけど、OpenSSHのssh-agentは
認証のみにしか使えない実装になってた。

商用のssh-agent2の方はそのような事に使えそうな機能が入ってたが。

**名無しさん＠お腹いっぱい。** · 2006/10/05(木) 10:50:42

DSAは署名アルゴリズムなので暗号化には使えないと思う

**名無しさん＠お腹いっぱい。** · 2006/10/05(木) 14:51:35

>>385
復活しましたね。

**386** · 2006/10/06(金) 02:02:46

回答ありがとうございました。RSA鍵を作り直して、ファイルの暗号化をしてみました。
商用ソフトを使う予定はないのですが、なにか簡単な方法はないでしょうか。
自分でssh-agentに復号させるようなツールを作るしかないのでしょうか。
あと、ssh-keygenで作った公開鍵をopensslで直接読み込めないのですが、
何か間違っているのでしょうか。

やったこと
$ cat ~/.ssh/id_rsa.pub
ssh-rsa AAAA(中略) xxx@xxx

$ openssl rsautl -encrypt -pubin -inkey ~/.ssh/id_rsa.pub -in a.txt -out a.txt.
enc
unable to load Public Key
ssh-keygenで作った公開鍵は、そのままじゃ読めない

$ openssl rsa -pubout -in ~/.ssh/id_rsa -out public.pem
Enter pass phrase for /home/xxx/.ssh/id_rsa:
writing RSA key
ssh-agentが常駐してるけど、パスフレーズは聞かれてしまう。
ssh-keygenで作った秘密鍵を読んで、公開鍵を出力することはできる。

$ openssl rsautl -encrypt -pubin -inkey public.pem -in a.txt -out a.txt.enc
opensslで作り直した公開鍵なら暗号化できる

$ openssl rsautl -decrypt -inkey ~/.ssh/id_rsa -in a.txt.enc
Enter pass phrase for /home/xxx/.ssh/id_rsa:
asdfag
パスフレーズが聞かれるけど、ssh-keygenで作った秘密鍵ならopensslで使える。

**名無しさん＠お腹いっぱい。** · 2006/10/06(金) 03:47:09

>>390
> なにか簡単な方法はないでしょうか。

簡単な方法は無いと思う。
自分で作る気なら、役にたちそうなパッチとかはあるけど。
# それだけではまだ無理って事。

**名無しさん＠お腹いっぱい。** · 2006/10/09(月) 15:12:04

多段のportforwardの設定で質問があります
ていうか正解を教えてください
さっぱりわかりません
接続元をZ、ホストがABとあり
Z→Aは 22/tcp、A→Bも 22/tcpのみしか開いていない状況で
Bの80/tcpに接続したいのですが
A,Bの.ssh/configには、なにをどう書けば実現できるのでしょうか？
Zで使用している portforwarder の config.txtには
Host ZtoB
HostName A
User hoge
LocalForward 8080 A:8080
と記述し、Zのproxyとしてlocalhost:8080を使おうと思っています
どなたか教えてください
よろしくお願いします

**名無しさん＠お腹いっぱい。** · 2006/10/10(火) 06:33:48

%z ssh b -L 2002:localhost:2003 ssh a -L 2003:localhost:80

とかじゃないか?

**名無しさん＠お腹いっぱい。** · 2006/10/12(木) 18:08:22

長時間何もコマンドを打たないと、接続が切れてしまいます。
切れないようにするにはどこを設定すればよいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/10/12(木) 22:01:11

>>394
ssh keepalive で検索

**名無しさん＠お腹いっぱい。** · 2006/10/12(木) 22:02:58

ssh heartbeat で検索のほうがいいかもしれない

**名無しさん＠お腹いっぱい。** · 2006/10/13(金) 00:13:51

ServerAliveInterval で検索のほうが良くないか?

**名無しさん＠お腹いっぱい。** · 2006/10/13(金) 00:18:25

煉炭青木が原で検索すればおk

**名無しさん＠お腹いっぱい。** · 2006/10/14(土) 03:42:05

それはどうかな？

**名無しさん＠お腹いっぱい。** · 2006/10/15(日) 04:39:23

>>395-397
こんなところでdebianの勝手パッチの弊害がｗ

**素人で本当にすみません** · 2006/10/15(日) 04:54:19

すみません。本当に困っている事があるので教えてください。

DSNサーバを立ち上げていない状態で、SSHでのローカル内へのログイン(ipアドレスでの接続)に一分程かかってしまう
のですが、何故こんなに遅いのか分からないのです。
googleで検索したところ、/etc/sshd_config でUseDNSをnoにすれば良いと書いてあって試したのですが、
全く意味がありませんでした。
何か御助言頂ければ幸いです。

**名無しさん＠お腹いっぱい。** · 2006/10/15(日) 04:59:23

/etc/hosts.allowの1行目に
ALL : ALL : allow
って書けばいいじゃない。

**401** · 2006/10/15(日) 05:08:32

>402

ありがとうございます神様!!!
近日、さっそく試してみます。本当にありがとうございました!
もし宜しければ、僕が401で書いた内容に関して、
一体何が原因だったのか教えて頂けますでしょうか?
あつかましいと思うのですが、御教示頂けませんでしょうか

**名無しさん＠お腹いっぱい。** · 2006/10/15(日) 07:59:15

noに書き換えただけだからじゃね？

**名無しさん＠お腹いっぱい。** · 2006/10/15(日) 09:20:58

バックドア開けろと言われても理解せずに開けちゃいそうな人だなあ。

**名無しさん＠お腹いっぱい。** · 2006/10/15(日) 13:02:42

libwrap が逆引きしてんじゃね。

**名無しさん＠お腹いっぱい。** · 2006/10/21(土) 11:44:47

SSH のダイナミック転送ってすごいんですよ | Typemiss.net
http://www.typemiss.net/blog/kounoike/20061019-100

**名無しさん＠お腹いっぱい。** · 2006/10/21(土) 21:05:50

>>407
> ところで，この方法の最大の利点は「中継サーバにログインアカウントが必要
> ないこと」だと思っています。上で例を示したときにユーザ名が「sshfwd」なの
> はこの布石です。

それじゃauditできないだろう。
誰か悪い子が「この秘密鍵使えば一旦このネットワークに入らないと見れない
ものも見れるよ」とかって無関係な人に使わせてもそれを洗い出すのが難しい。
2chに変な書き込みがされて問題になったり、不正アクセスの嫌疑がかかったり
して初めて発覚したりしそう。

**名無しさん＠お腹いっぱい。** · 2006/10/22(日) 11:42:03

トラックバック:http://www.typemiss.net/trackback/100

**名無しさん＠お腹いっぱい。** · 2006/10/23(月) 14:04:58

>>408
出来る。

**名無しさん＠お腹いっぱい。** · 2006/10/24(火) 03:45:50

sshを経由して遠隔地のsambaに接続することはできますか？

**名無しさん＠お腹いっぱい。** · 2006/10/24(火) 21:26:46

>>411
できる

**名無しさん＠お腹いっぱい。** · 2006/10/24(火) 21:56:29

>>412
まじすか。>>411じゃないけど、方法を知りたい。

ポートフォワードでも使うんですかね。
調べても、いまいちできたっていう情報がでてこないので・・・。

VPN使うしかないと思ってたので、できたらすごくうれしいのだが

**名無しさん＠お腹いっぱい。** · 2006/10/24(火) 23:42:00

ごく普通にできるとおもうからこそ、
誰も書かないんだと思う。

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 03:13:07

>>413
相手の445ポートへフォワーディング

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 07:18:20

>>415
ローカルポート何番にですか？
445に転送しようとすると、ローカル側ですでに使われていてbindできないのですが。
Windowsでは、アクセスするポート指定できましたっけ？

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 08:46:17

>>416

samba over sshで検索すると、
ttp://datafarm.apgrid.org/software/html/ja/user/smboverssh.html
ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html
ページが見つかると思うのだが。

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 09:28:59

>>417
調べたら負けかな、と思ってる

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 14:38:09

445ポートでやることはできませんか？

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 16:01:30

ググレカス

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 18:54:12

マラカスを思いだしたよ。

**名無しさん＠お腹いっぱい。** · 2006/10/25(水) 22:23:35

445じゃなくて139でやるといい
つか漏れがやったときは445では無理だった

**名無しさん＠お腹いっぱい。** · 2006/10/26(木) 00:50:55

心のきれいな方でないと、445ポートでの運用はできません。

**412** · 2006/10/26(木) 01:50:12

>>413
普通にポートフォワーディングする。
smbclient, smbmount にはポート番号指定できるでしょ。

**名無しさん＠お腹いっぱい。** · 2006/10/28(土) 22:42:02

> smbclient, smbmount
Windows では、どうすれば・・・orz

**名無しさん＠お腹いっぱい。** · 2006/10/28(土) 23:50:38

ググレカス

**名無しさん＠お腹いっぱい。** · 2006/10/29(日) 07:39:19

>>425
Windowsでは不可。139を使え。

**名無しさん＠お腹いっぱい。** · 2006/10/29(日) 10:08:36

いい加減スレ違いすぎるわけだが

**名無しさん＠お腹いっぱい。** · 2006/10/29(日) 15:15:15

>>427
Windowsから445ポートだけではつなぐことはできないということなのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/10/29(日) 21:40:59

てか、どっかいけ剥げ。

**名無しさん＠お腹いっぱい。** · 2006/11/06(月) 17:38:16

実用SSH 第2版
http://www.oreilly.co.jp/books/4873112877/

**名無しさん@お腹いっぱい** · 2006/11/06(月) 19:18:48

ほほぅ、興味ありますなぁ。
だけど、\5.040はきっついなぁ。
さすがはオライリー。値段に貫禄つけてきやがる。

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 00:51:03

>>432
5 円は安いな

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 01:11:32

なんと５円とは貫禄ありすぎて怖いぞ

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 01:14:09

>>432は欧州在住

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 12:34:47

5をエスケープしてるのはどういう意味?

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 13:35:11

\でエスケープするのはSQL的には間違い

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 14:01:46

どっからSQLが出てきたんだ

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 23:27:45

オライリー特製コーヒーマグカップ貰おうぜ

**440** · 2006/11/08(水) 08:48:10

おまいらがチャカしている間に 4.5(p1) がリリースされてますぜ

情報元は春山さんのところ：
http://www.unixuser.org/~haruyama/security/openssh/20061108.html
（2006年11月08日 08:05更新、だそうで。）

**440** · 2006/11/08(水) 08:57:15

それにしても、春山さん、迅速ですなぁ…。感謝

セキュリティ関係の問題（「sshd の特権分離モニタのバグ」）を修正したので
緊急リリース、ということかな。

# 個人的には、FreeBSDでのコンパイル時の問題が解決された点の方が
# 大きかったりするんですが

**名無しさん＠お腹いっぱい。** · 2006/11/09(木) 05:57:20

echo "sshd: [IPアドレス]" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny

で、パスワード認証なんですが、これでは不十分ですか？

**名無しさん＠お腹いっぱい。** · 2006/11/09(木) 09:45:59

何が？

**442** · 2006/11/09(木) 20:59:14

は？

**名無しさん＠お腹いっぱい。** · 2006/11/10(金) 04:07:39

>>443 スルーしとけ。

**名無しさん＠お腹いっぱい。** · 2006/11/10(金) 10:55:52

hosts.allow denyを今さら使うのか

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 08:21:12

>>442じゃないが、

>>446
どのようなアクセス制限を行っているんですか？

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 13:20:22

iptables

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 14:36:24

それ以前に、hosts.allow, hosts.denyの動作原理を理解しているのかと・・・・・

使うようにプログラムが組まれていないと有効にならんぞあれ

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 15:11:28

sshd_config

**名無しさん＠お腹いっぱい。** · 2006/11/13(月) 01:23:40

rootが作ってくれたid_rsa/id_rsa.pubファイルを一般ユーザの
~/.ssh/以下に入れて使えますか？

ホストAからホストBに公開鍵認証で、ホストAのユーザhogeが
ログインする時、ホストAのrootがssh-keygenで作成した
id_rsa/id_rsa.pubファイルで公開鍵を設定したいのですが、
有効に働いてくれません。
通常は、ユーザhogeがssh-keygenで作成したid_rsa/id_rsa.pubを
設定するのが当然と思いますが、以上の様な使い方はできない
ものでしょうか。

**名無しさん＠お腹いっぱい。** · 2006/11/13(月) 03:51:02

>>451
可能。鍵認証関連のトラブルは、ほとんどのケースがファイルのアクセス権限が
間違ってるとか、ファイル名が違うとか、改行コードがおかしいとか、
そういう見落しがちな理由なので、もう一度よく確認してみることだな。

**名無しさん＠お腹いっぱい。** · 2006/11/13(月) 10:40:00

>>452
サンクス。失敗していたときと同じ手順でやったはずなのに、
できました。ｗ
おそらく、いろいろ作業してる際に、相手先のauthorized_keysに
登録し忘れてた気がします。（たぶん）

**ssh初心者** · 2006/11/14(火) 13:39:57

教えて頂きたいことがあります。

ssh-agent で登録する鍵の数は変更できますか？
現在 ssh -v で確認すると6つまで鍵を読みに行きます。
それ以外の鍵については毎回鍵の指定が必要になり
rsyncの際、不便になります。

よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2006/11/17(金) 19:04:06

shfsとsshfsの違いを教えてください

**名無しさん＠お腹いっぱい。** · 2006/11/17(金) 21:26:27

sの数

**名無しさん＠お腹いっぱい。** · 2006/11/19(日) 17:40:48

OpenSSHとOpenSSH-portableの違いを教えてください。

**名無しさん＠お腹いっぱい。** · 2006/11/19(日) 19:55:11

>>457
・前者はOpenBSD専用
・後者は「移植版」と呼ばれるもので、前者をそれ以外のOSにも対応させた
　もの

**名無しさん＠お腹いっぱい。** · 2006/11/20(月) 09:17:04

>>456
実質的に同じものと考えてよいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/11/20(月) 09:26:25

だめだ

**名無しさん＠お腹いっぱい。** · 2006/11/20(月) 10:21:55

ところで、ちょっと話をきいてくれよ。
HPNってどうよ？

**名無しさん＠お腹いっぱい。** · 2006/11/25(土) 07:17:19

テキストモードとバイナリモードの切り替え方法を教えてください

**名無しさん＠お腹いっぱい。** · 2006/11/25(土) 07:43:22

ちんちんがあるかないか

**名無しさん＠お腹いっぱい。** · 2006/11/30(木) 22:51:28

4.5対応のHPN-SSHパッチって出てたのか
http://lists.mindrot.org/pipermail/openssh-unix-dev/2006-November/024908.html

**名無しさん＠お腹いっぱい。** · 2006/12/05(火) 06:56:10

JTA - Telnet/SSH for the JAVA platform
http://javatelnet.org/space/start

**名無しさん＠お腹いっぱい。** · 2006/12/05(火) 07:12:34

うむ～、それ、ネットカフェのIEじゃ動かなかったな。
Java アプレットが禁止されてるのかなぁ。

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 02:20:03

数日前よりBruteforceAttackされる時のパスワードを
盗み見してみるけど、アッタクしてきたユーザ名とかパスワードを公開するのは
法的にまずいんかなぁ？

統計処理したものを定期的に公開するか、リアルタイムに公開するか迷ってるんだが…。
# BruteforceAttackしてくるユーザ名とパスワードを公開するのは、
# こんなパスワードとかユーザ名は狙われやすいと喚起したいだけなんだども(´･ω･`)

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 02:42:34

喚起しても何にもならないからやめたほうがいいと思う。

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 05:19:06

喚起する意味が分からん。
そんな辞書はどこにでも転がっている。
どうしても活用したければ収集してログインの時に警告すれば？
そういうことするためのPAMモジュールがあったと思う。

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 09:45:48

>>467
これ見せればいいじゃん
http://www.cyberpolice.go.jp/server/rd_env/pdf/20060817_SSH.pdf

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 15:10:04

>>469
辞書は確かに何処でも転がっているとは思うんですが、
統計的なのとかあったら最近の動向とか分かって自分は便利だなぁと思ったので。
Login時の警告というのは、どういうことでしょうか？:-)
Banner /etc/ssh_msgなどは表示させてはいるんですが。
また、そのPAMモジュールについて良かったら詳しく教えて下さい。

>>470
おぉ、そんな資料が@policeから出てたとは…
喚起用にリンクしてみます。

ところで、SSH Attackしてくる人はpublickeyのみしか許可してないのに
Scriptがいけていないのかそれを無視してkeyboard-interactiveで
何度も試みるのは何故でしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 15:33:21

Scriptがいけていないから。

**名無しさん＠お腹いっぱい。** · 2006/12/07(木) 22:36:34

FreeBSD 6.1RでPacket Filterを導入後、SSHのログイン時間が異常に
遅くなりました。（遅いですが、ログインはできます。認証が失敗
しているというようなログも見当たりません。）
"login as:"の表示の速さはいつも通りですが、その後の表示が始まる
までが以上に遅いです。調べている途中で、ＩＰアドレスの逆引きが
解決するまでに時間がかかるのでは？という記述を見かけ、解決してる
途中ですが、他にこのような症状の原因となるものはあるのでしょうか？