SSH その5
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/04/20(木) 07:09:00FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
0518名無しさん@お腹いっぱい。
2006/12/27(水) 07:21:35あなたエロイ人!
0519名無しさん@お腹いっぱい。
2006/12/27(水) 15:28:38VineLinuxでOpenSSHとVNCを導入しました、
ブロードバンドルータのNAPTの設定で、
このLinuxは外部にSSHの22番ポートしか開放していませんが、
SSHのフォワーディング機能を使って外部からVNCを使いたいと思ってます。
しかし、使えません・・。
ローカルのほかのWindowsPCからのアクセスはOKでした。
外部からは、cmd.exe のnetstatを打つと
TCP winpc:4770 localhost:5901 ESTABLISHED
コネクションはできてます、他にもAPACHE等も動かしフォワーディングしましたが、
同じ状況でした。
sshの設定はデフォルトのままです。
グローバルになると何か特別な設定が必要なのでしょうか?
0520名無しさん@お腹いっぱい。
2006/12/27(水) 23:57:44似たような環境のようだがうちではこれで使えてるよ
ssh -L 5901:localhost:5901 -f -N vncserver
vncviewer :1
0521名無しさん@お腹いっぱい。
2006/12/29(金) 01:36:540522名無しさん@お腹いっぱい。
2006/12/29(金) 08:58:41といいつつ公開鍵認証onlyにしたいため、同意。
0523名無しさん@お腹いっぱい。
2006/12/29(金) 09:01:110524名無しさん@お腹いっぱい。
2006/12/29(金) 10:05:410525名無しさん@お腹いっぱい。
2006/12/29(金) 10:41:02ssh で・・・あれ?
0526名無しさん@お腹いっぱい。
2006/12/29(金) 11:02:320527名無しさん@お腹いっぱい。
2007/01/03(水) 01:06:28sshを鍵認証で、新しいユーザーに使わせたいときって、
鍵持っている他のユーザーで入って、suして、authorized_keysに追加するしかないんですかね?
0528名無しさん@お腹いっぱい。
2007/01/03(水) 02:07:190529名無しさん@お腹いっぱい。
2007/01/03(水) 02:31:49じゃなくて
>>527
そのユーザにパスワード認証で入らせる。
それができないなら、もともとSSHが使えない人、なのかもしれない。
0530名無しさん@お腹いっぱい。
2007/01/03(水) 08:48:55後から付け加えられてもなぁ。
0531名無しさん@お腹いっぱい。
2007/01/03(水) 09:27:56考慮しても良いと思うなー
0532名無しさん@お腹いっぱい。
2007/01/03(水) 11:20:030533名無しさん@お腹いっぱい。
2007/01/03(水) 11:32:370534名無しさん@お腹いっぱい。
2007/01/03(水) 11:50:390535名無しさん@お腹いっぱい。
2007/01/11(木) 23:25:31書き忘れました。
パスワード認証は、デフォで切ってます・・・
ていうか、切らないと、鍵認証の意味ねー
0536名無しさん@お腹いっぱい。
2007/01/12(金) 00:15:110537名無しさん@お腹いっぱい。
2007/02/01(木) 06:46:16.bashrc のセッティングをフォーワードする方法はありますか?
0538名無しさん@お腹いっぱい。
2007/02/01(木) 10:32:590539名無しさん@お腹いっぱい。
2007/02/14(水) 19:25:590540名無しさん@お腹いっぱい。
2007/02/19(月) 21:32:520541名無しさん@お腹いっぱい。
2007/02/19(月) 21:38:02hosts.allow と hosts.deny とか・・・
0542名無しさん@お腹いっぱい。
2007/02/19(月) 21:42:44ということはsshの機能でそういうのはないんですかね?
0543名無しさん@お腹いっぱい。
2007/02/20(火) 01:56:14もしかして、意味を取り違えてる?
0544名無しさん@お腹いっぱい。
2007/02/20(火) 07:47:43意味を取り違えてるか感覚が古いかのどちらかだな。
0545名無しさん@お腹いっぱい。
2007/02/20(火) 22:03:24自分のドメインからだけsshできるようにしたいんか?>>540
0546540
2007/02/20(火) 22:17:230547名無しさん@お腹いっぱい。
2007/02/20(火) 22:24:05・ルータで port 22 をフィルタリングする
・NIC を追加するか IPalias して IP アドレス追加した上で
sshd が listen する IP アドレスをかえる
0548名無しさん@お腹いっぱい。
2007/02/20(火) 23:18:140549名無しさん@お腹いっぱい。
2007/02/20(火) 23:31:18今どきhosts?って感じ
0550名無しさん@お腹いっぱい。
2007/02/21(水) 01:07:360551名無しさん@お腹いっぱい。
2007/02/21(水) 09:55:320552名無しさん@お腹いっぱい。
2007/02/21(水) 10:09:26やっぱり勘違いさせたかw
難しい奴だな
0553名無しさん@お腹いっぱい。
2007/02/21(水) 19:45:47sshのポートフォワーディングを使用しようと思い、
クライアント側でhttpのプロキシをlocalhost:10080に設定し、
ssh -v -L 8080:SERVER:80 SERVER
としたのですが、サーバー側で
open failed: administratively prohibited: open failed
という表示がでてうまくつながりません。。
どなたかポートフォワーディングを使用している方いたら教えてください。。
0554名無しさん@お腹いっぱい。
2007/02/21(水) 20:01:21サーバかクライアントのどちらかでポートフォワーディングしない
設定になってるんでない?
0555553
2007/02/21(水) 20:05:28ポートフォワーディング用の特別な設定ってあるんでしょうか?
0556名無しさん@お腹いっぱい。
2007/02/21(水) 21:45:57see sshd_config(5)
0557名無しさん@お腹いっぱい。
2007/02/23(金) 13:26:200558名無しさん@お腹いっぱい。
2007/02/23(金) 14:02:02好きなの使え
0559名無しさん@お腹いっぱい。
2007/02/23(金) 15:41:560560名無しさん@お腹いっぱい。
2007/02/28(水) 04:15:31これの話題が出てないので、一応ねたふり…
明日あたり試験鯖で試してみようかなと考え中。
0561名無しさん@お腹いっぱい。
2007/02/28(水) 05:48:200562名無しさん@お腹いっぱい。
2007/02/28(水) 09:37:400563名無しさん@お腹いっぱい。
2007/02/28(水) 12:55:59なぜ注目したのか書いてみてよ
0564名無しさん@お腹いっぱい。
2007/02/28(水) 14:35:53uClibcな鯖なのか?
small-linux系で見かけた事がある > dropbear
0565名無しさん@お腹いっぱい。
2007/03/01(木) 01:02:33FreeBSDにportで入れてみた。dropbare(sshd)はメモリサイズが1/4で済む。
PATHが正しく設定されない。(FreeBSDのloginのお作法に従っていない)
dbclient(ssd)はagentが使えないようなのでパス。
0566名無しさん@お腹いっぱい。
2007/03/01(木) 12:41:51お掃除はどうやっていますか?
0567名無しさん@お腹いっぱい。
2007/03/01(木) 13:53:560568名無しさん@お腹いっぱい。
2007/03/01(木) 16:04:37たびたびすみません。
make CFLAGS='-m32 -g -fno-strict-aliasing -pipe' でメイクしても
"symbol `re_cache' is already defined うんぬん" というエラーがでて、
もしやと思い。make rmconfig, make clean で再度、make install clean
をしたら通っちゃいました。
おさわがせしました。m(_ _)m
0569名無しさん@お腹いっぱい。
2007/03/01(木) 16:13:04かならず(linuxユーザの)パスワード聞かれるんだけど
鍵認証のみで接続できるようには出来ないのでしょうか?
0570名無しさん@お腹いっぱい。
2007/03/01(木) 16:50:450571名無しさん@お腹いっぱい。
2007/03/01(木) 16:51:410572名無しさん@お腹いっぱい。
2007/03/01(木) 22:52:20正常に終了した場合、UNIXドメインソケットのゴミは
残らなかった気がするが、気のせいかな?
# 自分が確認したのは OpenSSH のやつ。
0573名無しさん@お腹いっぱい。
2007/03/02(金) 00:22:38最近のはそうなったのかな? 今、試してみると消えますね...
0574572
2007/03/02(金) 01:31:29debug mode(ssh-agent -d)で起動したのを ^C で殺すと残るけど、仕方ないかな。
自分はパッチあてて、それでも掃除するようにしてある。
0575名無しさん@お腹いっぱい。
2007/03/02(金) 16:42:19鍵が見えてなかったみたいなので
鍵置いてるディレクトリのパーミッションを700
にしたところいけました。
もともとのパーミッションがゆるすぎだった模様。
どうもありがとうございました
0576名無しさん@お腹いっぱい。
2007/03/04(日) 21:52:20http://www.phys98.homeip.net/~ide/aboutopenssh.html#sftp-Completion
# もうすぐ新バージョンが出るようなのでタイミング悪いですが。
0577名無しさん@お腹いっぱい。
2007/03/05(月) 12:32:210578名無しさん@お腹いっぱい。
2007/03/05(月) 18:06:090579名無しさん@お腹いっぱい。
2007/03/06(火) 00:59:440580名無しさん@お腹いっぱい。
2007/03/06(火) 02:22:470581名無しさん@お腹いっぱい。
2007/03/06(火) 03:01:12でもアタックの大半が国外なのは事実。
自分が国内に住んでいるのであれば、.jpだけ通した方がsshdもCPUを食わないし、楽。
0582名無しさん@お腹いっぱい。
2007/03/06(火) 08:36:40過去にアタックしてきたJPBLOCKフィルタ組み合わせてる
アタックしてきたIP=侵入されてスクリプト設置された=セキュリティ的に弱いネットワーク・管理者
って見なしてるけど、
某大手企業様だったり、セキュリティコンサルティング会社だったり、まぁ色々あるな。
0583名無しさん@お腹いっぱい。
2007/03/09(金) 09:41:24http://denyhosts.sourceforge.net/
0584名無しさん@お腹いっぱい。
2007/03/09(金) 10:25:17あー、俺 cron で自作スクリプト回してるわ(w
/etc/hosts.allow に deny 表記だけど(なんか hosts.deny は obsolete っぽい)。
ついでに /var/log/xferlog も見てるよ。
0585名無しさん@お腹いっぱい。
2007/03/09(金) 10:27:18> (なんか hosts.deny は obsolete っぽい)。
なんで?
0586名無しさん@お腹いっぱい。
2007/03/09(金) 10:38:45ちょっと調べたけど理由はわからない(管理の手間か、プログラムの容易さ?)
とにかく /etc/hosts.deny は deprecated なんで hosts.allow に両方書けっていう話らしい。
FreeBSD の 5.x と 6.x。
0587名無しさん@お腹いっぱい。
2007/03/09(金) 10:52:26昔は /etc/hosts.allow → /etc/hosts.deny の順に見てたけど、
一つのファイルでルールが合致した順に制御する、
というのがわかりやすいからじゃないかな?
0588名無しさん@お腹いっぱい。
2007/03/09(金) 13:12:08http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap2/freebsd/remote.html
ここにも書いてあるな。
ところでopenssh 4.6p1って消された?
0589名無しさん@お腹いっぱい。
2007/03/09(金) 13:41:340590名無しさん@お腹いっぱい。
2007/03/09(金) 15:42:130591名無しさん@お腹いっぱい。
2007/03/10(土) 00:23:10marc.theaimsgroup.com/?l=openssh-unix-dev&m=117337577125049&w=2
cygwinの都合など知らぬわ。
0592名無しさん@お腹いっぱい。
2007/03/10(土) 11:49:54そもそも女性に辛い仕事を押し付けないこと。かといって雑用やらせるのもダメ。
それで給与も昇進も平等にね。ただし残業、転勤、深夜当直させたら女性差別だよ。
間接差別禁止規定って知ってるでしょ。なんでも平等にね。髪形と服装は女性の自由だけど。
それからアファーマティブアクションと管理職30%目標もね。産休育休もね。当然給与40%保障で。
主婦と言っても、家事を強制される言われはないし、出産するかどうかは女が決めること。
でも産まれたら育児を女性に押し付けないでね。二人の子供なんだから当然でしょ。
ただし離婚したら親権は母親のものだよ。育児は女性のほうが向いてるんだし。
それから働く夫を妻が支えるなんて時代遅れの女性差別。
これからは働く妻を夫が支えなきゃ。
あ、もちろん収入は夫の方が多くて当然だけどね。妻には扶養請求権だってあるんだから。
それと夫は妻に優しくね。妻が望まないセックスは家庭内レイプだよ。
夫が妻のセックスの求めに応じないと離婚事由になるけどね。
離婚したら慰謝料とか財産分与とかまあ当然だけど。
女性はか弱いから母子手当ても生活保護も税金控除も当然だよね。足りないぐらい。
それと女性に女らしさを押し付けないでよ。
そんなの窮屈で面倒だし、いまさら男尊女卑ですかって感じ。
でも男はやっぱ男らしくないとね。
いつになったらレディーファースト覚えるの?ワリカンなんてありえないし。
少子化だって男のせいでしょ。男がだらしないから女性が結婚できないんだよ。
え?レディースデー?あれはいいの。
別に私たちが頼んだ訳じゃないし。店が勝手にやってるんでしょ。
0593名無しさん@お腹いっぱい。
2007/03/12(月) 22:42:26対応してますか?
0594名無しさん@お腹いっぱい。
2007/03/13(火) 14:53:460595馬鹿者
2007/03/13(火) 20:40:55TSSHで作業しながら、WinSCPのver3.6位でアップやらダウンやら繰り返して
いたら、ログアウトした後、何故か2度とサーバに接続できない状態に。
しかも、2サーバも同一状態にorz
うちの、Suある人がキーの入れ替えやらなんやらやってくれたのですが
どうしても復旧せず、こっちが馬鹿者扱いに。。。。
職場では2ch見ちゃダメ書き込んじゃダメ、資料持ち出しちゃダメの
ダメダメ状態なので、この程度しか情報ないのですがわかる方おられまし
たら、なんとかご教示願います。
WinSCPを3.8にしたらいいよー見たいな書き込みを英語フォーラムで見
かけたのですが、確たる証拠がないとVerアップできないしもう号泣す
る他無し、、、
0596名無しさん@お腹いっぱい。
2007/03/13(火) 21:01:11>どうしても復旧せず、こっちが馬鹿者扱いに。。。。
復旧できないsuがバカってのはFA
>595の情報じゃよくわからん
ssh -v の結果みりゃわかるんじゃねーの?
0597馬鹿者
2007/03/13(火) 21:11:57ssh -vとかやろうにも馬鹿者なので、殺したサーバにアクセスさせて貰えない
のですよ。。WinSCPのログ見ても、秘密キーが認証できません
セッションのパスワードを入力せよ馬鹿者@大ボケ.逝ってヨシ’pass
と出ているだけで、馬鹿者本人では手の打ちようが無し。
どこそこからの情報でこうやってみればいいのでは?みたいな事仕入れました
みたいに報告しないと馬鹿の言う話は聞けない状態なので、なんとかもう少し
ヒントをお願い致します。
ssh -v は進言してみます。
0598馬鹿者
2007/03/13(火) 21:13:46↑先にお礼だろうよ!という辺りが馬鹿者臭漂わせてます、、すみませんorz
0599名無しさん@お腹いっぱい。
2007/03/13(火) 21:22:27もしそうなら、あなた自身もダメになるかも。
そうでなければ、>>596氏の仰せの通り。
0600名無しさん@お腹いっぱい。
2007/03/13(火) 21:32:43似たようなことやってるんじゃない?
0601馬鹿者
2007/03/13(火) 21:38:05ルールシカトではなく、正式ルートを通して作ってもらった物です。
で、喜んでTSSHとWinSCPでがちゃがちゃやってたら壊れてしまい
ました。正式ルートで作った物を壊してしまったのでもう一回作り
直して下さいというのも情けない話なので、末端でリカバリ出来な
いかと(末端にもsu権限ある人いるので)やっているのですが巧
くいかない状態なのです。
馬鹿者本人はは、何も作業できないので指をくわえて復旧を待って
いる状態なのです。
で、単刀直入な話、WinSCPでログインしつつTSSHもログインし
てガチャガチャやるとsshは壊れる物なのですか??
壊れる物だとしたら、ssh −vを、馬鹿者のHOMEで打ち込
めばどうすればいいか馬鹿でもわかるものなのですか?
という2点です。。web漁りまくったのですが、まともに議論し
ているのが2chだけのようなので、、、すみません。
その辺りの整理でご教示お願い致します。
0602名無しさん@お腹いっぱい。
2007/03/13(火) 21:41:440603馬鹿者
2007/03/13(火) 21:43:36TTSH<=logout
WinSCP<=F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にタ駄目>認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
(一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので)
それも視野にいれさせて頂きます。ありがとうございます
0604馬鹿者
2007/03/13(火) 21:44:12TTSH<=logout
WinSCP<=F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にタ駄目>認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
(一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので)
それも視野にいれさせて頂きます。ありがとうございます
0605馬鹿者
2007/03/13(火) 21:46:040606名無しさん@お腹いっぱい。
2007/03/14(水) 00:24:42>>602 のいうとおり cygwin の ssh を使うか、
あるいは putty なら ssh のセッションをフルダンプがとれるから
それを眺めてミリゃいいだろ。
業務でやってるなら素直に始末書書いて管理者に処理してもらえ
0607名無しさん@お腹いっぱい。
2007/03/14(水) 03:16:38通常使用の範囲内であれば始末書はないでしょ
でもこの焦りぶりが怪しいんだけどね
0608名無しさん@お腹いっぱい。
2007/03/15(木) 15:03:13というか、日本語で書いてくれんと解読するだけで手間だ。
0609名無しさん@お腹いっぱい。
2007/03/15(木) 21:02:210610名無しさん@お腹いっぱい。
2007/03/15(木) 22:37:46まずWinSCPの問題なのかサーバー側の問題なのかハッキリさせた方がいいな。
同一プライベートキーでPuTTY,TTSSHなどのシェルターミナルだけで接続できるか?
接続できればWinSCPのセッションに不都合が有りとみた。
接続できなきゃプライベートキーに何かあるか
サーバー側に理由があるかもしれん。
0611名無しさん@お腹いっぱい。
2007/03/16(金) 14:53:43他にそういう人いますか?
sshdをdebugオプション付きで起動すると、
debug1: Client protocol version 1.5; client software version TTSSH/1.5.4 Win32
debug1: no match: TTSSH/1.5.4 Win32
debug1: Local version string SSH-1.99-OpenSSH_4.6
debug1: Sent 768 bit server key and 1024 bit host key.
debug1: Encryption type: 3des
debug1: Received session key; encryption turned on.
debug1: Installing crc compensation attack detector.
Disconnecting: Corrupted check bytes on input.
debug1: do_cleanup
という感じで接続が切られてしまいます。
その後手元で色々試して見た限りでは、
OpenSSH4.6p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8e
の組み合わせだとOKで、
OpenSSH4.6p1+OpenSSL0.9.8e
だけがNGっぽい感じなのですが…。
0612名無しさん@お腹いっぱい。
2007/03/16(金) 16:30:52openssh "Corrupted check bytes on input" "Installing crc compensation attack detector"
0613名無しさん@お腹いっぱい。
2007/03/19(月) 12:37:18ありがとう。自分でググった時には見つけられなかったけど、
上記のキーワードで検索し直したらそれっぽいページに辿り着けたよ。
ちょっとOpenSSLにパッチ当ててみる。
0614名無しさん@お腹いっぱい。
2007/03/22(木) 05:04:35退社した人とかいなくなった人がログインできないように、
authorized_keys のエントリを消したい場合、
authorized_keysに書き込まれている公開鍵から何か情報を得ることってできる?
公開鍵のリストを自前で管理して、これは、誰々の公開鍵〜って記録しておくしかないですか?
まさか、秘密鍵から公開鍵つくれるけど、消すために、秘密鍵よこせ!ってわけにもいかんし
0615名無しさん@お腹いっぱい。
2007/03/22(木) 09:14:19もっとも、ちゃんとアカウントわけろやと思うわけだが。
0616名無しさん@お腹いっぱい。
2007/03/22(木) 12:24:18とりあえずauthorized_keysのファイルをcatしてみ。
アカウントさえちゃんと分けてれば多分分かる。
ユーザ名@ホスト名 が行の最後にくっついてるから。
0617名無しさん@お腹いっぱい。
2007/03/22(木) 13:11:16退社した場合どうするか決っていないのにsshさせている管理自体を直せよw
■ このスレッドは過去ログ倉庫に格納されています