SSH その5

**名無しさん＠お腹いっぱい。** · 2006/04/20(木) 07:09:00

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 19:21:47

>>487
ライブ・ア・ライブとかそんなの

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 19:39:46

>>487
どこで切断されているのか分からないと、誰も答えられないのでは。

切断しているのは……

・接続先のシェル？ (もしくは何らかのプログラム？)
・接続先の sshd ？
・通信経路上のどこかのルータ？
・通信経路上のどこかのプロクシ？
・接続元の ssh ？
・接続元のシェル？ (もしくは何らかのプログラム？)

の、どれ？

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 19:58:42

きっとこいつの仕業
ttp://pc8.2ch.net/test/read.cgi/linux/1146235963/285-286

**名無しさん＠お腹いっぱい。** · 2006/12/19(火) 22:23:18

ServerAliveInterval 1

**名無しさん＠お腹いっぱい。** · 2006/12/20(水) 14:15:29

>>489
おそらく接続先のsshdだと思うのですが、sshd_configのどの項目を変更すればよいのか分かりません。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 09:32:41

おまいは >>489 のような質問に対して、ログ等の確たる証拠を
挙げようとは思わないのか？

さらに、>>491 のような書き込みを見てググったりしようとは思わ
ないのか？

自分が抱いた疑問点は、すでにどこかに回答があるのではない
かと思わないのか？

たとえあてずっぽうだとしても、そこまで言うのなら sshd_config の
ドキュメントはきちんと読んでいるんだろうな？

というわけだ。

2.12 - なにもしないで N 分たつと ssh 接続が固まるか、切れるかするんだけど。
http://www.openssh.com/ja/faq.html#2.12

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 09:55:06

SSHのウィンドウを×をクリックする以外で一発で終了する方法ってありますか？
exitだとrootの状態の場合一般ユーザに戻ったり、screen起動中だったらscreenを抜けたりするだけで
終了ができないので

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 09:57:55

>>494
「SSHのウィンドウ」って?

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:00:26

WindowsXPからPuttyを使って接続しているので、そのウィンドウのことです
説明不足ですいませんでした

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:04:27

>>494
su とか screenとか実行する時に、
exec su とか exec screen とかで実行すると良い。
exit一発で抜けられる。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:13:51

>>496
Alt+F4

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:54:33

>>498
×をクリックする以外で

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 10:57:25

クリックしてないじゃん。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 12:16:09

ちかごろはばかもつかうんだな。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 13:13:51

めんどくさがらずに順に抜けろよ。

**名無しさん＠お腹いっぱい。** · 2006/12/21(木) 13:15:36

sudo pkill sshd

**名無しさん＠お腹いっぱい。** · 2006/12/23(土) 06:30:09

SSHのLISTENポートを80にすることってできますでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/23(土) 08:37:47

>>487
@nifty なら諦める

**名無しさん＠お腹いっぱい。** · 2006/12/23(土) 09:37:53

>>504
できる

**名無しさん＠お腹いっぱい。** · 2006/12/25(月) 00:02:29

stone使って443経由でsshのトンネルを掘る場合、hosts.allowはどのように書くべきなのでしょうか？
x.x.x.xのホストからのトンネルだけを許可したい場合は普通に

sshd: x.x.x.x : allow

でいいの？（ /etc/servicesには "sshd 22/tcp" と書かれている前提で）
それとも、stoneを通過した時点でsshdにはlocalから繋ぎに来てるように見えてしまうんでしょうか？

**〈(｀・ω・｀)〉φ ▲** · 2006/12/25(月) 21:31:01

鍵認証が使えるGUIインターフェースのsftpクライアントはlinuxには無いのですか？
nautilusはパスワード認証しかできないみたいだし。

◆TWARamEjuA · NG

>>508
どこかでお見かけしたお名前♪
おそらく板違いかと思いますけれどもこの際、林檎機に乗り換えてしまえばCyberDuckなるものがあったりします♪
ttp://cyberduck.ch/

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 02:24:14

>>508
FileZillaじゃダメ？

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 05:37:21

それってLinuxでも使えるのでありまするか？

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 10:10:31

ref. gugurecas

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 21:36:22

FreeBSD6.1+OpenSSH鯖(www,mail,DNSで固定IP)にWinXPクライアント+PuTTyで公開鍵認証してますが
PuTTYでドメイン名で公開鍵認証はPagentでパスフレーズですんなり一般ユーザーログインできます。
しかし、いったんwinXPクライアントを再起動しておなじくPuTTYで固定IPアドレスでわざとパスフレーズを入れないとlogin as:と表示され
一般ユーザー名を入力しPassword:でパスワードを入力するとパスワード認証できてしまいます。パスワード認証を禁止したいのですが．．．
一応設定は
# /etc/ssh/sshd_config
PasswordAuthentication no とし
UseDNS yes を追加しています。
エロイ人よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 23:24:03

>>513
ChallengeResponseAuthentication no
とかじゃないの

**名無しさん＠お腹いっぱい。** · 2006/12/26(火) 23:51:38

UNIXで公開されているsftpサーバにWindowsからネットワークドライブとして接続したいのですが、
フリーで行う方法はないでしょうか？商用ソフトだとWebDriveというものがあるようなのですが。

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 00:04:47

ねえな

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 00:58:55

Macならネイティブで対応してるよん

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 07:21:35

>>514
あなたエロイ人！

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 15:28:38

質問があります。

VineLinuxでOpenSSHとVNCを導入しました、
ブロードバンドルータのNAPTの設定で、
このLinuxは外部にSSHの２２番ポートしか開放していませんが、
SSHのフォワーディング機能を使って外部からVNCを使いたいと思ってます。

しかし、使えません・・。
ローカルのほかのWindowsPCからのアクセスはOKでした。
外部からは、cmd.exe のnetstatを打つと

TCP winpc:4770 localhost:5901 ESTABLISHED

コネクションはできてます、他にもAPACHE等も動かしフォワーディングしましたが、
同じ状況でした。
sshの設定はデフォルトのままです。
グローバルになると何か特別な設定が必要なのでしょうか？

**名無しさん＠お腹いっぱい。** · 2006/12/27(水) 23:57:44

>>519
似たような環境のようだがうちではこれで使えてるよ
ssh -L 5901:localhost:5901 -f -N vncserver
vncviewer :1

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 01:36:54

全ユーザの秘密鍵一括作成ってできないかなぁ・・・

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 08:58:41

秘密でも何でもないじゃないか

といいつつ公開鍵認証onlyにしたいため、同意。

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 09:01:11

公開鍵認証onlyにしておけば、みんな勝手にやってくれるよ

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 10:05:41

どうやって、authorized_keysに登録させるんだい?

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 10:41:02

>>524
ssh で・・・あれ?

**名無しさん＠お腹いっぱい。** · 2006/12/29(金) 11:02:32

.rhosts 見させる方が簡単じゃん

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 01:06:28

>>524見て思い出したけど、
sshを鍵認証で、新しいユーザーに使わせたいときって、
鍵持っている他のユーザーで入って、suして、authorized_keysに追加するしかないんですかね？

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 02:07:19

端末の前に行けばいいじゃないか

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 02:31:49

交通費その他を>>528が出してくれるなら是非

じゃなくて
>>527
そのユーザにパスワード認証で入らせる。
それができないなら、もともとSSHが使えない人、なのかもしれない。

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 08:48:55

「交通費その他がかかる」なんて条件
後から付け加えられてもなぁ。

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 09:27:56

>>529 じゃないけど ssh スレなんだし遠隔地ってのは
考慮しても良いと思うなー

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 11:20:03

authorized_keysへの追加というお題なので、コンソール使えないのは暗黙の条件だな。

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 11:32:37

ﾉ OpenSSH LDAP Public Key Patch

**名無しさん＠お腹いっぱい。** · 2007/01/03(水) 11:50:39

lpk patchか。やはりLDAP入れる覚悟を決めるか…

**名無しさん＠お腹いっぱい。** · 2007/01/11(木) 23:25:31

>>529
書き忘れました。
パスワード認証は、デフォで切ってます・・・
ていうか、切らないと、鍵認証の意味ねー

**名無しさん＠お腹いっぱい。** · 2007/01/12(金) 00:15:11

ftpで入るんだ･･･あれ？

**名無しさん＠お腹いっぱい。** · 2007/02/01(木) 06:46:16

sshで別のマシンにログインする時にローカルの
.bashrc のセッティングをフォーワードする方法はありますか？

**名無しさん＠お腹いっぱい。** · 2007/02/01(木) 10:32:59

事前に .bashrc を scp しとく

**名無しさん＠お腹いっぱい。** · 2007/02/14(水) 19:25:59

http://opentechpress.jp/security/article.pl?sid=07/02/13/0020220

**名無しさん＠お腹いっぱい。** · 2007/02/19(月) 21:32:52

ローカルのマシンのみログインできるようなアクセス制御ってできますか？

**名無しさん＠お腹いっぱい。** · 2007/02/19(月) 21:38:02

>>540
hosts.allow と hosts.deny とか・・・

**名無しさん＠お腹いっぱい。** · 2007/02/19(月) 21:42:44

>>541
ということはsshの機能でそういうのはないんですかね？

**名無しさん＠お腹いっぱい。** · 2007/02/20(火) 01:56:14

ローカルマシンにわざわざsshで入るのもどうかと思うけど？
もしかして、意味を取り違えてる？

**名無しさん＠お腹いっぱい。** · 2007/02/20(火) 07:47:43

>>543
意味を取り違えてるか感覚が古いかのどちらかだな。

**名無しさん＠お腹いっぱい。** · 2007/02/20(火) 22:03:24

ひょっとして、
自分のドメインからだけsshできるようにしたいんか？>>540

**540** · 2007/02/20(火) 22:17:23

外部からは接続させずに、LAN内からのみ接続させたいんです

**名無しさん＠お腹いっぱい。** · 2007/02/20(火) 22:24:05

>>546
・ルータで port 22 をフィルタリングする
・NIC を追加するか IPalias して IP アドレス追加した上で
sshd が listen する IP アドレスをかえる

**名無しさん＠お腹いっぱい。** · 2007/02/20(火) 23:18:14

hosts.allow でなにがまずいの？

**名無しさん＠お腹いっぱい。** · 2007/02/20(火) 23:31:18

>>548
今どきhosts?って感じ

**名無しさん＠お腹いっぱい。** · 2007/02/21(水) 01:07:36

hosts.allow と hosts を区別できない奴は(中略)難しい

**名無しさん＠お腹いっぱい。** · 2007/02/21(水) 09:55:32

hosts.allowの動作メカニズムを知った上で使うなら問題無い。

**名無しさん＠お腹いっぱい。** · 2007/02/21(水) 10:09:26

>>550
やっぱり勘違いさせたかｗ
難しい奴だな

**名無しさん＠お腹いっぱい。** · 2007/02/21(水) 19:45:47

オープンな無線LANを使用するときに、HTTPを安全に使用したいので
sshのポートフォワーディングを使用しようと思い、
クライアント側でhttpのプロキシをlocalhost:10080に設定し、
ssh -v -L 8080:SERVER:80 SERVER
としたのですが、サーバー側で
open failed: administratively prohibited: open failed
という表示がでてうまくつながりません。。

どなたかポートフォワーディングを使用している方いたら教えてください。。

**名無しさん＠お腹いっぱい。** · 2007/02/21(水) 20:01:21

エラーメッセージのとおり、
サーバかクライアントのどちらかでポートフォワーディングしない
設定になってるんでない？

**553** · 2007/02/21(水) 20:05:28

ほとんど初期状態のままでいるのですが、
ポートフォワーディング用の特別な設定ってあるんでしょうか？

**名無しさん＠お腹いっぱい。** · 2007/02/21(水) 21:45:57

初期状態とかいうものはない

see sshd_config(5)

**名無しさん＠お腹いっぱい。** · 2007/02/23(金) 13:26:20

ファイルのダウンロードはどうやるか教えてエロイ人

**名無しさん＠お腹いっぱい。** · 2007/02/23(金) 14:02:02

sftp, rsync -e ssh …
好きなの使え

**名無しさん＠お腹いっぱい。** · 2007/02/23(金) 15:41:56

scp

**名無しさん＠お腹いっぱい。** · 2007/02/28(水) 04:15:31

http://matt.ucc.asn.au/dropbear/dropbear.html

これの話題が出てないので、一応ねたふり…

明日あたり試験鯖で試してみようかなと考え中。

**名無しさん＠お腹いっぱい。** · 2007/02/28(水) 05:48:20

これはsshの新しい実装ということかしら？

**名無しさん＠お腹いっぱい。** · 2007/02/28(水) 09:37:40

sshの実装は昔からいくつかあるし、そのうちの一つだろ。

**名無しさん＠お腹いっぱい。** · 2007/02/28(水) 12:55:59

>>560
なぜ注目したのか書いてみてよ

**名無しさん＠お腹いっぱい。** · 2007/02/28(水) 14:35:53

>>560
uClibcな鯖なのか？
small-linux系で見かけた事がある＞ dropbear

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 01:02:33

>>560
FreeBSDにportで入れてみた。dropbare(sshd)はメモリサイズが1/4で済む。
PATHが正しく設定されない。(FreeBSDのloginのお作法に従っていない)
dbclient(ssd)はagentが使えないようなのでパス。

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 12:41:51

ssh-agentが/tmp/に残したUNIXドメインソケットのゴミの
お掃除はどうやっていますか?

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 13:53:56

放置プレイ

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 16:04:37

>>697
たびたびすみません。
make CFLAGS='-m32 -g -fno-strict-aliasing -pipe' でメイクしても
"symbol `re_cache' is already defined うんぬん" というエラーがでて、
もしやと思い。make rmconfig, make clean で再度、make install clean
をしたら通っちゃいました。

おさわがせしました。m(_ _)m

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 16:13:04

ssh tectia serverで鍵認証で接続する際に
かならず（linuxユーザの）パスワード聞かれるんだけど
鍵認証のみで接続できるようには出来ないのでしょうか？

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 16:50:45

>>569 configがそうなってるとか、permissionがおかしいとかじゃね? ssh -vv 見ながら自分で解決するか晒したまえ。

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 16:51:41

PreferredAuthentications

**名無しさん＠お腹いっぱい。** · 2007/03/01(木) 22:52:20

>>566
正常に終了した場合、UNIXドメインソケットのゴミは
残らなかった気がするが、気のせいかな？
# 自分が確認したのは OpenSSH のやつ。

**名無しさん＠お腹いっぱい。** · 2007/03/02(金) 00:22:38

>>577
最近のはそうなったのかな? 今、試してみると消えますね...

**572** · 2007/03/02(金) 01:31:29

>>573
debug mode(ssh-agent -d)で起動したのを ^C で殺すと残るけど、仕方ないかな。
自分はパッチあてて、それでも掃除するようにしてある。

**名無しさん＠お腹いっぱい。** · 2007/03/02(金) 16:42:19

>>570
鍵が見えてなかったみたいなので
鍵置いてるディレクトリのパーミッションを700
にしたところいけました。
もともとのパーミッションがゆるすぎだった模様。
どうもありがとうございました

**名無しさん＠お腹いっぱい。** · 2007/03/04(日) 21:52:20

OpenSSHのsftpに補完機能を追加するパッチを作ってみました。
http://www.phys98.homeip.net/~ide/aboutopenssh.html#sftp-Completion
# もうすぐ新バージョンが出るようなのでタイミング悪いですが。

**名無しさん＠お腹いっぱい。** · 2007/03/05(月) 12:32:21

GeoIPを使って、国外からアタックをブロックしている人って居ますかね?

**名無しさん＠お腹いっぱい。** · 2007/03/05(月) 18:06:09

GeoIPが何かは知らないが自分で設定してブロックしてる

**名無しさん＠お腹いっぱい。** · 2007/03/06(火) 00:59:44

三国フィルタで十分だろ。

**名無しさん＠お腹いっぱい。** · 2007/03/06(火) 02:22:47

国内からもアタックされるし、フィルタなんかイラネ

**名無しさん＠お腹いっぱい。** · 2007/03/06(火) 03:01:12

>>580
でもアタックの大半が国外なのは事実。
自分が国内に住んでいるのであれば、.jpだけ通した方がsshdもCPUを食わないし、楽。

**名無しさん＠お腹いっぱい。** · 2007/03/06(火) 08:36:40

JPNICのwhoisデータベースから変換したJPPASSフィルタと
過去にアタックしてきたJPBLOCKフィルタ組み合わせてる

アタックしてきたIP＝侵入されてスクリプト設置された＝セキュリティ的に弱いネットワーク・管理者
って見なしてるけど、
某大手企業様だったり、セキュリティコンサルティング会社だったり、まぁ色々あるな。

**名無しさん＠お腹いっぱい。** · 2007/03/09(金) 09:41:24

sshdのログから不正アクセスするIPアドレスを自動でhosts.denyに追加してくれる「DenyHosts」
http://denyhosts.sourceforge.net/

**名無しさん＠お腹いっぱい。** · 2007/03/09(金) 10:25:17

>>583
あー、俺 cron で自作スクリプト回してるわ(w
/etc/hosts.allow に deny 表記だけど(なんか hosts.deny は obsolete っぽい)。
ついでに /var/log/xferlog も見てるよ。

**名無しさん＠お腹いっぱい。** · 2007/03/09(金) 10:27:18

>>584
> (なんか hosts.deny は obsolete っぽい)。
なんで？

**名無しさん＠お腹いっぱい。** · 2007/03/09(金) 10:38:45

>>585
ちょっと調べたけど理由はわからない(管理の手間か、プログラムの容易さ?)
とにかく /etc/hosts.deny は deprecated なんで hosts.allow に両方書けっていう話らしい。
FreeBSD の 5.x と 6.x。

**名無しさん＠お腹いっぱい。** · 2007/03/09(金) 10:52:26

FreeBSD というより tcp_wrapper からの要請みたい。
昔は /etc/hosts.allow → /etc/hosts.deny の順に見てたけど、
一つのファイルでルールが合致した順に制御する、
というのがわかりやすいからじゃないかな?