SSH その5

**名無しさん＠お腹いっぱい。** · 2006/04/20(木) 07:09:00

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 13:35:11

\でエスケープするのはSQL的には間違い

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 14:01:46

どっからSQLが出てきたんだ

**名無しさん＠お腹いっぱい。** · 2006/11/07(火) 23:27:45

オライリー特製コーヒーマグカップ貰おうぜ

**440** · 2006/11/08(水) 08:48:10

おまいらがチャカしている間に 4.5(p1) がリリースされてますぜ

情報元は春山さんのところ：
http://www.unixuser.org/~haruyama/security/openssh/20061108.html
（2006年11月08日 08:05更新、だそうで。）

**440** · 2006/11/08(水) 08:57:15

それにしても、春山さん、迅速ですなぁ…。感謝

セキュリティ関係の問題（「sshd の特権分離モニタのバグ」）を修正したので
緊急リリース、ということかな。

# 個人的には、FreeBSDでのコンパイル時の問題が解決された点の方が
# 大きかったりするんですが

**名無しさん＠お腹いっぱい。** · 2006/11/09(木) 05:57:20

echo "sshd: [IPアドレス]" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny

で、パスワード認証なんですが、これでは不十分ですか？

**名無しさん＠お腹いっぱい。** · 2006/11/09(木) 09:45:59

何が？

**442** · 2006/11/09(木) 20:59:14

は？

**名無しさん＠お腹いっぱい。** · 2006/11/10(金) 04:07:39

>>443 スルーしとけ。

**名無しさん＠お腹いっぱい。** · 2006/11/10(金) 10:55:52

hosts.allow denyを今さら使うのか

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 08:21:12

>>442じゃないが、

>>446
どのようなアクセス制限を行っているんですか？

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 13:20:22

iptables

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 14:36:24

それ以前に、hosts.allow, hosts.denyの動作原理を理解しているのかと・・・・・

使うようにプログラムが組まれていないと有効にならんぞあれ

**名無しさん＠お腹いっぱい。** · 2006/11/11(土) 15:11:28

sshd_config

**名無しさん＠お腹いっぱい。** · 2006/11/13(月) 01:23:40

rootが作ってくれたid_rsa/id_rsa.pubファイルを一般ユーザの
~/.ssh/以下に入れて使えますか？

ホストAからホストBに公開鍵認証で、ホストAのユーザhogeが
ログインする時、ホストAのrootがssh-keygenで作成した
id_rsa/id_rsa.pubファイルで公開鍵を設定したいのですが、
有効に働いてくれません。
通常は、ユーザhogeがssh-keygenで作成したid_rsa/id_rsa.pubを
設定するのが当然と思いますが、以上の様な使い方はできない
ものでしょうか。

**名無しさん＠お腹いっぱい。** · 2006/11/13(月) 03:51:02

>>451
可能。鍵認証関連のトラブルは、ほとんどのケースがファイルのアクセス権限が
間違ってるとか、ファイル名が違うとか、改行コードがおかしいとか、
そういう見落しがちな理由なので、もう一度よく確認してみることだな。

**名無しさん＠お腹いっぱい。** · 2006/11/13(月) 10:40:00

>>452
サンクス。失敗していたときと同じ手順でやったはずなのに、
できました。ｗ
おそらく、いろいろ作業してる際に、相手先のauthorized_keysに
登録し忘れてた気がします。（たぶん）

**ssh初心者** · 2006/11/14(火) 13:39:57

教えて頂きたいことがあります。

ssh-agent で登録する鍵の数は変更できますか？
現在 ssh -v で確認すると6つまで鍵を読みに行きます。
それ以外の鍵については毎回鍵の指定が必要になり
rsyncの際、不便になります。

よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2006/11/17(金) 19:04:06

shfsとsshfsの違いを教えてください

**名無しさん＠お腹いっぱい。** · 2006/11/17(金) 21:26:27

sの数

**名無しさん＠お腹いっぱい。** · 2006/11/19(日) 17:40:48

OpenSSHとOpenSSH-portableの違いを教えてください。

**名無しさん＠お腹いっぱい。** · 2006/11/19(日) 19:55:11

>>457
・前者はOpenBSD専用
・後者は「移植版」と呼ばれるもので、前者をそれ以外のOSにも対応させた
　もの

**名無しさん＠お腹いっぱい。** · 2006/11/20(月) 09:17:04

>>456
実質的に同じものと考えてよいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/11/20(月) 09:26:25

だめだ

**名無しさん＠お腹いっぱい。** · 2006/11/20(月) 10:21:55

ところで、ちょっと話をきいてくれよ。
HPNってどうよ？

**名無しさん＠お腹いっぱい。** · 2006/11/25(土) 07:17:19

テキストモードとバイナリモードの切り替え方法を教えてください

**名無しさん＠お腹いっぱい。** · 2006/11/25(土) 07:43:22

ちんちんがあるかないか

**名無しさん＠お腹いっぱい。** · 2006/11/30(木) 22:51:28

4.5対応のHPN-SSHパッチって出てたのか
http://lists.mindrot.org/pipermail/openssh-unix-dev/2006-November/024908.html

**名無しさん＠お腹いっぱい。** · 2006/12/05(火) 06:56:10

JTA - Telnet/SSH for the JAVA platform
http://javatelnet.org/space/start

**名無しさん＠お腹いっぱい。** · 2006/12/05(火) 07:12:34

うむ～、それ、ネットカフェのIEじゃ動かなかったな。
Java アプレットが禁止されてるのかなぁ。

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 02:20:03

数日前よりBruteforceAttackされる時のパスワードを
盗み見してみるけど、アッタクしてきたユーザ名とかパスワードを公開するのは
法的にまずいんかなぁ？

統計処理したものを定期的に公開するか、リアルタイムに公開するか迷ってるんだが…。
# BruteforceAttackしてくるユーザ名とパスワードを公開するのは、
# こんなパスワードとかユーザ名は狙われやすいと喚起したいだけなんだども(´･ω･`)

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 02:42:34

喚起しても何にもならないからやめたほうがいいと思う。

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 05:19:06

喚起する意味が分からん。
そんな辞書はどこにでも転がっている。
どうしても活用したければ収集してログインの時に警告すれば？
そういうことするためのPAMモジュールがあったと思う。

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 09:45:48

>>467
これ見せればいいじゃん
http://www.cyberpolice.go.jp/server/rd_env/pdf/20060817_SSH.pdf

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 15:10:04

>>469
辞書は確かに何処でも転がっているとは思うんですが、
統計的なのとかあったら最近の動向とか分かって自分は便利だなぁと思ったので。
Login時の警告というのは、どういうことでしょうか？:-)
Banner /etc/ssh_msgなどは表示させてはいるんですが。
また、そのPAMモジュールについて良かったら詳しく教えて下さい。

>>470
おぉ、そんな資料が@policeから出てたとは…
喚起用にリンクしてみます。

ところで、SSH Attackしてくる人はpublickeyのみしか許可してないのに
Scriptがいけていないのかそれを無視してkeyboard-interactiveで
何度も試みるのは何故でしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/06(水) 15:33:21

Scriptがいけていないから。

**名無しさん＠お腹いっぱい。** · 2006/12/07(木) 22:36:34

FreeBSD 6.1RでPacket Filterを導入後、SSHのログイン時間が異常に
遅くなりました。（遅いですが、ログインはできます。認証が失敗
しているというようなログも見当たりません。）
"login as:"の表示の速さはいつも通りですが、その後の表示が始まる
までが以上に遅いです。調べている途中で、ＩＰアドレスの逆引きが
解決するまでに時間がかかるのでは？という記述を見かけ、解決してる
途中ですが、他にこのような症状の原因となるものはあるのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/07(木) 23:28:55

>>473
逆引きができない場合がほとんど。
まずはそこをクリア汁
話はそれから

**名無しさん＠お腹いっぱい。** · 2006/12/08(金) 02:47:38

やはり原因は、逆引きだったようです。ポート開けたら直りました。

**名無しさん＠お腹いっぱい。** · 2006/12/08(金) 10:13:03

>>475
ポートと逆引きと何の関係が？
もしかして 53/udp の outgoing を閉じてたとか・・・
あれ？みんなもしかしてそういう運用してる？

**名無しさん＠お腹いっぱい。** · 2006/12/11(月) 13:42:43

shfsとsshfsでは機能的に何か差がありますか？

**名無しさん＠お腹いっぱい。** · 2006/12/13(水) 21:12:19

sの数

**名無しさん＠お腹いっぱい。** · 2006/12/14(木) 18:10:04

OpenSSHとOpenSSH-portableでは機能的に何か差がありますか？

**名無しさん＠お腹いっぱい。** · 2006/12/14(木) 18:16:06

いいかげんにしろ

**名無しさん＠お腹いっぱい。** · 2006/12/15(金) 19:39:25

samba over sshのやり方が書いてあるサイトは知りませんか？

**名無しさん＠お腹いっぱい。** · 2006/12/15(金) 19:40:56

ぐぐれ

**名無しさん＠お腹いっぱい。** · 2006/12/15(金) 20:18:45

>>481
このスレの最初から見直せ

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 11:42:57

>>467
数日のデータに何の意味がある?
せいぜい半年とか1年とか取れよ。

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 17:03:24

445/tcp をポートフォワードするだけで
Windowsのファイル共有にアクセス出来ます？

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 17:10:16

またお前か

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 19:07:20

しばらくの間、コマンドを何も入力しないと自動的に切断されてしまうのですが、
この自動切断までの時間はどこで設定できるのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 19:21:47

>>487
ライブ・ア・ライブとかそんなの

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 19:39:46

>>487
どこで切断されているのか分からないと、誰も答えられないのでは。

切断しているのは……

・接続先のシェル？ (もしくは何らかのプログラム？)
・接続先の sshd ？
・通信経路上のどこかのルータ？
・通信経路上のどこかのプロクシ？
・接続元の ssh ？
・接続元のシェル？ (もしくは何らかのプログラム？)

の、どれ？

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 19:58:42

きっとこいつの仕業
ttp://pc8.2ch.net/test/read.cgi/linux/1146235963/285-286

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 22:23:18

ServerAliveInterval 1

**名無しさん＠お腹いっぱい。** · 2006/12/20(水) 14:15:29

>>489
おそらく接続先のsshdだと思うのですが、sshd_configのどの項目を変更すればよいのか分かりません。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 09:32:41

おまいは >>489 のような質問に対して、ログ等の確たる証拠を
挙げようとは思わないのか？

さらに、>>491 のような書き込みを見てググったりしようとは思わ
ないのか？

自分が抱いた疑問点は、すでにどこかに回答があるのではない
かと思わないのか？

たとえあてずっぽうだとしても、そこまで言うのなら sshd_config の
ドキュメントはきちんと読んでいるんだろうな？

というわけだ。

2.12 - なにもしないで N 分たつと ssh 接続が固まるか、切れるかするんだけど。
http://www.openssh.com/ja/faq.html#2.12

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 09:55:06

SSHのウィンドウを×をクリックする以外で一発で終了する方法ってありますか？
exitだとrootの状態の場合一般ユーザに戻ったり、screen起動中だったらscreenを抜けたりするだけで
終了ができないので

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 09:57:55

>>494
「SSHのウィンドウ」って?

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:00:26

WindowsXPからPuttyを使って接続しているので、そのウィンドウのことです
説明不足ですいませんでした

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:04:27

>>494
su とか screenとか実行する時に、
exec su とか exec screen とかで実行すると良い。
exit一発で抜けられる。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:13:51

>>496
Alt+F4

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:54:33

>>498
×をクリックする以外で

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:57:25

クリックしてないじゃん。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 12:16:09

ちかごろはばかもつかうんだな。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 13:13:51

めんどくさがらずに順に抜けろよ。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 13:15:36

sudo pkill sshd

**名無しさん＠お腹いっぱい。** · 2006/12/23(土) 06:30:09

SSHのLISTENポートを80にすることってできますでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/23(土) 08:37:47

>>487
@nifty なら諦める

**名無しさん＠お腹いっぱい。** · 2006/12/23(土) 09:37:53

>>504
できる

**名無しさん＠お腹いっぱい。** · 2006/12/25(月) 00:02:29

stone使って443経由でsshのトンネルを掘る場合、hosts.allowはどのように書くべきなのでしょうか？
x.x.x.xのホストからのトンネルだけを許可したい場合は普通に

sshd: x.x.x.x : allow

でいいの？（ /etc/servicesには "sshd 22/tcp" と書かれている前提で）
それとも、stoneを通過した時点でsshdにはlocalから繋ぎに来てるように見えてしまうんでしょうか？

**〈(｀・ω・｀)〉φ ▲** · 2006/12/25(月) 21:31:01

鍵認証が使えるGUIインターフェースのsftpクライアントはlinuxには無いのですか？
nautilusはパスワード認証しかできないみたいだし。

◆TWARamEjuA · NG

>>508
どこかでお見かけしたお名前♪
おそらく板違いかと思いますけれどもこの際、林檎機に乗り換えてしまえばCyberDuckなるものがあったりします♪
ttp://cyberduck.ch/

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 02:24:14

>>508
FileZillaじゃダメ？

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 05:37:21

それってLinuxでも使えるのでありまするか？

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 10:10:31

ref. gugurecas

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 21:36:22

FreeBSD6.1+OpenSSH鯖(www,mail,DNSで固定IP)にWinXPクライアント+PuTTyで公開鍵認証してますが
PuTTYでドメイン名で公開鍵認証はPagentでパスフレーズですんなり一般ユーザーログインできます。
しかし、いったんwinXPクライアントを再起動しておなじくPuTTYで固定IPアドレスでわざとパスフレーズを入れないとlogin as:と表示され
一般ユーザー名を入力しPassword:でパスワードを入力するとパスワード認証できてしまいます。パスワード認証を禁止したいのですが．．．
一応設定は
# /etc/ssh/sshd_config
PasswordAuthentication no とし
UseDNS yes を追加しています。
エロイ人よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 23:24:03

>>513
ChallengeResponseAuthentication no
とかじゃないの

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 23:51:38

UNIXで公開されているsftpサーバにWindowsからネットワークドライブとして接続したいのですが、
フリーで行う方法はないでしょうか？商用ソフトだとWebDriveというものがあるようなのですが。

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 00:04:47

ねえな

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 00:58:55

Macならネイティブで対応してるよん

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 07:21:35

>>514
あなたエロイ人！

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 15:28:38

質問があります。

VineLinuxでOpenSSHとVNCを導入しました、
ブロードバンドルータのNAPTの設定で、
このLinuxは外部にSSHの２２番ポートしか開放していませんが、
SSHのフォワーディング機能を使って外部からVNCを使いたいと思ってます。

しかし、使えません・・。
ローカルのほかのWindowsPCからのアクセスはOKでした。
外部からは、cmd.exe のnetstatを打つと

TCP winpc:4770 localhost:5901 ESTABLISHED

コネクションはできてます、他にもAPACHE等も動かしフォワーディングしましたが、
同じ状況でした。
sshの設定はデフォルトのままです。
グローバルになると何か特別な設定が必要なのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 23:57:44

>>519
似たような環境のようだがうちではこれで使えてるよ
ssh -L 5901:localhost:5901 -f -N vncserver
vncviewer :1

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 01:36:54

全ユーザの秘密鍵一括作成ってできないかなぁ・・・

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 08:58:41

秘密でも何でもないじゃないか

といいつつ公開鍵認証onlyにしたいため、同意。

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 09:01:11

公開鍵認証onlyにしておけば、みんな勝手にやってくれるよ

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 10:05:41

どうやって、authorized_keysに登録させるんだい?

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 10:41:02

>>524
ssh で・・・あれ?

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 11:02:32

.rhosts 見させる方が簡単じゃん

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 01:06:28

>>524見て思い出したけど、
sshを鍵認証で、新しいユーザーに使わせたいときって、
鍵持っている他のユーザーで入って、suして、authorized_keysに追加するしかないんですかね？

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 02:07:19

端末の前に行けばいいじゃないか

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 02:31:49

交通費その他を>>528が出してくれるなら是非

じゃなくて
>>527
そのユーザにパスワード認証で入らせる。
それができないなら、もともとSSHが使えない人、なのかもしれない。

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 08:48:55

「交通費その他がかかる」なんて条件
後から付け加えられてもなぁ。

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 09:27:56

>>529 じゃないけど ssh スレなんだし遠隔地ってのは
考慮しても良いと思うなー

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 11:20:03

authorized_keysへの追加というお題なので、コンソール使えないのは暗黙の条件だな。

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 11:32:37

ﾉ OpenSSH LDAP Public Key Patch

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 11:50:39

lpk patchか。やはりLDAP入れる覚悟を決めるか…

**名無しさん＠お腹いっぱい。** · 2007/01/11(木) 23:25:31

>>529
書き忘れました。
パスワード認証は、デフォで切ってます・・・
ていうか、切らないと、鍵認証の意味ねー

**名無しさん＠お腹いっぱい。** · 2007/01/12(金) 00:15:11

ftpで入るんだ･･･あれ？