SSH その5

**名無しさん＠お腹いっぱい。** · 2006/04/20(木) 07:09:00

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/

**名無しさん＠お腹いっぱい。** · 2007/05/09(水) 18:33:38

>>640
screen内ではpreexec(zsh)やpostcmd(tcsh)で
毎回$DISPLAYを設定してしまうのはどうだろうか。
エイリアスを定義して、アタッチするときにはファイルに$DISPLAYを
書いてからアタッチする。screen内では毎回そのファイルを見て
コマンド実行前に$DISPLAYを設定する。
複数のdisplayを同時並行で使わないというのが前提になるが、
時々自分の居場所が違うというくらいなら。

**名無しさん＠お腹いっぱい。** · 2007/05/13(日) 01:33:16

大学内でのみ見られるウェブページを自宅から見たいと思っています。
puttyでダイナミックなポートフォワードを設定して
firefoxのProxy(SOCKS)に指定したところ、
IPアドレス直打ちだと見られるようになったのですが、
http://foo.bar.ac.jpのように入力するとサーバが見つからないと怒られます。
リモート側で名前解決をしてくれればいいのですが、
putty・firefox・OpenSSHのどの設定なのか、そのあたりから分かりません。
どなたかご教示ください。

**名無しさん＠お腹いっぱい。** · 2007/05/13(日) 02:07:59

>>643
Firefoxなら、「about:config」で
network.proxy.socks_remote_dns
を「true」に変えればリモートで名前解決してくれたと思う。

**643** · 2007/05/13(日) 02:56:24

>>644
できました！
何時間も無関係の設定とにらめっこしてました。
本当にありがとうございます。

**sage** · 2007/05/20(日) 02:39:50

どなたか教えてください…
filezillaを使って、LAN内のサーバからsftpでファイルをダウンロードすると速度が4MB/sくらい出るのですが
外からLAN内のサーバにsftpでアクセスしてダウンロードすると300kB/sくらいしか出ません。
ftpの場合は十分速度が出ていたのでネットワークには問題は無いと考えています。
この速度差は普通なのでしょうか？

**名無しさん＠お腹いっぱい。** · 2007/05/20(日) 02:40:51

sage損なった…

**名無しさん@お腹いっぱい。** · 2007/05/20(日) 07:56:47

>>646
filezillaとか使ったこと無いけど，sftpよりscpのが速いよ。

あと、LANとWANの回線の太さは同じなの?　NICとかは?
最低限環境書かないと，誰も答えてくれないよ。

**名無しさん＠お腹いっぱい。** · 2007/05/20(日) 08:27:37

暗号化に時間がかかってるんじゃないの？

**名無しさん＠お腹いっぱい。** · 2007/05/20(日) 22:30:37

>>648
暗号化と復号によるコスト。
ftpだとどこかでキャッシュが有効だったりして高速だったという可能性は？

**650** · 2007/05/20(日) 22:31:20

646へのレスでした。

**名無しさん＠お腹いっぱい。** · 2007/05/21(月) 05:02:32

CPUの速いのに変えたら、速度差はなくなりました

**646** · 2007/05/22(火) 00:51:24

返事遅くなって申し訳ありません。レスありがとうございます。
あまりにも環境についての情報が少なすぎました、すみません。
sftpサーバはunixで、LAN内のマシンはWindows、外(他人の家)にWindows機、という状況での話でした。

この間に自分なりに得た結論は、filezillaの元となっているputtyのpsftpかな…が問題だということです。
外のWindows機からpsftpを使用してsftpでダウンロードを行うと同じような300kB/sという結果となりました。
外Windows機と同じLAN内に置いたLinux機からsftpコマンドで行うと速度が1.5MB/sほどでました。

>648
ありがとうございます、scpを使うことにします…
回線はLANが100BASE、WANが光なので速度差はさほど問題ではないと思います。

>649
スペックは全てのマシンが十分すぎるほどです。
全てのサーバ・クライアント両側ともCPU使用率は5%を超えていませんでした。

>650
暗号化・復号化によるコストならば、LAN内でも遅くなるんじゃ…
キャッシュの可能性はありません。

**646** · 2007/05/22(火) 00:56:34

CPU使用率は5%以下、ってのは速度が十分に出てない場合のときです、すみません。
速度が出てるときは55%前後になっていました。

**名無しさん＠お腹いっぱい。** · 2007/05/22(火) 04:41:28

プロバイダはどこだ？
プロバイダは普通http、ftpに最適化されてるぞ
他のポートは、p2pかもしれないということで、帯域制限されている。

**名無しさん＠お腹いっぱい。** · 2007/05/22(火) 10:05:04

どこの田舎だよそんな DQN プロバイダ

**名無しさん＠お腹いっぱい。** · 2007/05/22(火) 18:55:06

@nifty は非道かったよ

**名無しさん＠お腹いっぱい。** · 2007/05/22(火) 18:57:42

良心的なプロバイダっていま何処が残ってるの？

**648** · 2007/05/22(火) 19:56:53

>>646
なるほど、puttyのsftpだと遅いんだ。
うちはLinux機しかないから試せないけど、Cygwinのopensshでsftpだとどうだろうね?

ちなみに、うちはLAN内もWANもscp使ってて、ポートもウェルノウンじゃないポート使ってるけど、ADSLだからなのかそういう制限は無いなぁ。

**名無しさん＠お腹いっぱい。** · 2007/05/22(火) 22:47:55

>>658
InfoSphereかIIJに直接SOHO系サービスで契約
帯域欲しけりゃ金払え

**646** · 2007/05/23(水) 01:04:05

>655
プロバイダはOCNです。
Linuxからは速くてWindowsからは遅いってことからプロバイダの問題ではなさそうな気がします。

>659
また別の友人から、Cygwinでopensshのsftpでダウンロードしてもらったら1.8MB/s出ました。
WindowsのFilezilla、psftpはやはり遅かったです。
sftpクライアントソフトかWindowsがダメだという結論になりそうです…

**名無しさん＠お腹いっぱい。** · 2007/05/23(水) 08:38:59

>>660
InfoSphereからのSPAMときどき来るけどなぁ

**名無しさん＠お腹いっぱい。** · 2007/05/23(水) 10:23:24

>>661
OpenSSHはともかくとして、Cygwin自体は糞遅くないか？

**名無しさん＠お腹いっぱい。** · 2007/05/23(水) 10:29:40

だからなに？

**名無しさん＠お腹いっぱい。** · 2007/05/23(水) 10:33:07

664は>>662ね。

**名無しさん＠お腹いっぱい。** · 2007/05/23(水) 11:57:16

cygwinで速いと言うことはWindowsの問題じゃなくて、単にクライアントの問題じゃないのでしょうか？
もしよろしかったら、これを試してみてはいかがでしょうか？
http://core.ring.gr.jp/archives/net/ssh/SSHSecureShellClient-3.2.9.exe

**646** · 2007/05/23(水) 18:23:21

>663
自分はCygwinは触ったことないんでわからないです、すいません…

>666
こ、こいつはすげぇ…1.5MB/s出ました、ありがとうございます！
WinSCPよりも速い…やはりクライアントの問題のようですね。
これで日本語が使えれば最高ですね。

**名無しさん＠お腹いっぱい。** · 2007/05/23(水) 19:07:15

exeの直リン怖い

**名無しさん＠お腹いっぱい。** · 2007/05/23(水) 20:12:30

ssh.com謹製のクライアントのほうがまともなのは確かだな
OpenSSHはトロイ配った前科があるし、劣化コピーのWinSCPはいわずもがな

**￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣** · 2007/05/23(水) 21:17:15

　　　　　∧__∧ 　 ________　　　
　　　　　<# ｀Д´>/￣/￣/ 　　　ウリナラ(ssh.com)製以外は粗悪品ﾆﾀﾞ！
　　　　　（二二二つ /　と）　　　
　　　　　　| 　　　/　 / 　/　　　
　＿＿　 | 　　￣|￣￣　　　　　
　＼　￣￣￣￣￣￣￣＼　　　　　
　　||＼　　　　　　　　　　　＼　　
　　||＼||￣￣￣￣￣￣￣||￣
　　||　 ||￣￣￣￣￣￣￣||　
　　　 .||　　　　　　　　 || 　

**名無しさん＠お腹いっぱい。** · 2007/05/24(木) 13:17:21

WinSCPで試してみたらどう？
内部で、psftp使ってるかもわからんけど

**名無しさん＠お腹いっぱい。** · 2007/05/24(木) 13:18:15

って、WinSCP試したあとか。スマソ

>>666
試してみたいのだけど、これのホームページってないですか？

**名無しさん＠お腹いっぱい。** · 2007/05/24(木) 13:28:22

>>672
www.ssh.com

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 10:30:45

>668
ringサーバで怖いって、頭悪い？

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 10:37:29

>>674
ring サーバだとなんで怖くないの？

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 10:51:08

おまえらまんじゅう怖いをしらねーのかよ

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 11:07:16

exeの直リンはとても危険です！！！むやみにクリックしないようにしましょう。
ちゃんとzipで固めてあれば展開して中のexeをクリックしても安心です。

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 11:27:16

いちいちサーバのドメインなんか覚えてないからな

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 13:31:08

相変わらずopenssh.comが㌧㌦

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 20:58:04

>>677
目から鱗！
有益な情報ありが㌧

**名無しさん＠お腹いっぱい。** · 2007/05/25(金) 21:29:41

んなわけねーだろw

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 08:32:57

ローカルに一旦保存して実行する前にウイルスチェックすれば、
リンク先がzipだろうがexeだろうが変わらんよ

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 08:54:52

ringサーバは一旦ウイルスチェックされているから安全だよ

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 11:09:07

古いファイルはMD5やSHA1でググると見つかる

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 13:22:20

exeでもzipでも素性がわからんと実行する気になれないから
結局リンク元を探すことになって余計な手間がかかる。

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 13:23:48

ウィルスチェックって、新しいウィルスは検出できないよね。

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 14:34:21

新しくなくても、中国で流行っているようなタイプは情報が出てこなくて未対応な事がある。
実際、中国出張でウイルス持ち帰ってきて被害が出た事例がある。

過去に流行ったものかどうかのチェックができるだけでも良しとするか、
完璧でないからダメだと思うかはその人次第

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 14:38:14

俺がもしこういうスレでウィルスばらまくとしたら、完全自作で未公開の物をまくだろうな

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 15:14:57

わざわざそんなことしなくてもエロ画像ってリンクしとけばほいほいふむだろ

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 15:41:23

な、なんだってーｗ

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 15:58:03

いつまでやってんだ

**名無しさん＠お腹いっぱい。** · 2007/05/26(土) 16:05:25

次の春が来るまで・・・

**名無しさん＠お腹いっぱい。** · 2007/05/27(日) 06:48:32

ワッフル　ワッフル

**名無しさん＠お腹いっぱい。** · 2007/05/27(日) 21:24:18

最新版には非商用版はなくなっちゃったの？

**名無しさん＠お腹いっぱい。** · 2007/05/28(月) 04:06:15

もともとオープンソースだよ

**名無しさん＠お腹いっぱい** · 2007/05/28(月) 05:44:23

sshはよくわからんことになってる
opensshは今まで通りです

**名無しさん＠お腹いっぱい。** · 2007/05/29(火) 04:10:45

フォワーディング？でvnc接続したいんですが、繋がりません。
cygwin$ ssh -g -L 5901:localhost:5901 server

クライアントはRealVNC
server:1 ○ localhost:1 ×

接続試行後にプロンプトが出ます：
[ VNC Viewer : Question ]
　The connection closed unexpeectedly
　Do you wish to attempt to reconnect to localhost:1?
　　Y N

同時にcygwinに出力されます
channel 2: open failed: connect failed: Connection refused

原因が分かりません、どなたか教えてください。

**名無しさん＠お腹いっぱい。** · 2007/05/29(火) 05:11:11

cygwin$ ssh -g -L 15900:localhost:5900 server

**名無しさん＠お腹いっぱい。** · 2007/05/29(火) 16:48:21

>>698
？

**名無しさん＠お腹いっぱい。** · 2007/05/29(火) 17:40:39

viewer側のFWで5901番ポートがブロックされてるだけじゃね
sshクライアントが5901番ポート開放できるようにしないと

**名無しさん＠お腹いっぱい。** · 2007/05/30(水) 05:06:02

>>700
あ、成る程、試してみます。

**名無しさん＠お腹いっぱい。** · 2007/05/31(木) 00:17:46

>>700
だめでしたorz
原因が分かりません･･･

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 20:37:19

あるPCで秘密鍵と公開鍵を作って、
それらをほかのPCにコピーしてSSH認証ってできないんですか？

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 20:53:55

Yes.

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 22:25:56

ふつうにできるだろ…常識的に考えて…

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 22:26:43

だから "Yes." って答えてるじゃん。

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 23:20:35

>>705
日本語で言えば「いや、できるよ」って意味が英語で言えばyesな。

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 02:47:39

>>703
できるけど、鍵の形式には注意な。ssh.comとOpenSSHが混在してると、コンバート必要。
あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 06:55:27

>>708
> あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。
なんでだよ。お前わかって無いな。

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 10:27:15

>>709
まともに鍵管理できない奴がいると秘密鍵を世界に向けて大公開してしまうしなー
管理者がジャムおじさんクラスだともうgdgdｗ
ttp://pc11.2ch.net/test/read.cgi/unix/1156065192/792

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 21:58:55

>>710
共有していても、してなくても盗まれるリスクは同一だ。

> まともな管理者なら原則禁止してるだろう。
これは、お前の創作した原則か?

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 22:27:51

変なひとが一人でプンプンしてる・・・

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 22:46:37

>>711
同一じゃないだろ・・・

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 23:11:35

パスフレーズ無しにできるのも危険要素のひとつだ罠

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 23:30:29

各ホストのセキュリティリスクに違いがあった場合に、
一番弱いところにレベルがあうのが危ないんじゃないかってことかな？？

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 23:48:15

パスフレーズの有無と秘密鍵の共有は無関係だし、
秘密鍵を盗まれれば、それが共有であろうが無かろうが、
その秘密鍵を受け入れるマシンへは侵入できることになる。

弱いところに置いた鍵では重要なマシンにアクセスさせないという
運用も無理やりこじつければありだが、そんなマシンに秘密鍵おく
必要は無い。

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 00:11:22

じゃ、パスワード認証禁止してるマシンにはどうやって入るの？

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 00:21:20

プンプン君はそんなとこから入るな、と言いたいんじゃね。
でも入らなきゃいけない時もある。で、そのマシン用に鍵を新たに作る、と。

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 02:12:55

お前ら、わかってないだろ。ログイン先に秘密鍵を置く必要は無い。

パスワード認証禁止しているということは、公開鍵を管理者に
渡せば追加してくれるんだろ。
なぜ、新たに鍵を作る必要があるんだ?

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 02:33:27

> ログイン先に秘密鍵を置く
誰が言ったんだよそんなこと

**名無しさん@お腹いっぱい。** · 2007/07/13(金) 22:03:12

盛り上がって参りました。

**名無しさん＠お腹いっぱい。** · 2007/07/14(土) 22:14:43

侵入経路を特定する意味でも、鍵は共通化させないほうがいい。

あとで犯人探しするときに

**名無しさん＠お腹いっぱい。** · 2007/07/14(土) 22:42:25

PAMやLDAPであらゆるサービスのパスワードを共通にしているｱﾌｫ管理者もいるｗ

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 06:27:12

そんな管理者は私刑でいいよ

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 09:16:14

ちゃんと暗号化できている通進路で使うパスワードは
共通化しても良さそうに思うけど?

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 11:15:07

>>725
ヒント: 一度漏れたら全部おじゃん

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 20:22:20

>>725
つーか暗号化してる通信路でそこまで信頼しちゃうなら
telnetでも使っとけよ

**名無しさん＠お腹いっぱい。** · 2007/07/16(月) 14:57:57

うちの会社、管理者が唐突にパスワード認証禁止されたあと、
みんな不便ー、とぶーたれてた。
いつにころからか、だれが広めはじめたのか知らないが
パスフレーズ無し秘密鍵が流行りだして
みんな便利ー、といってる。
どっちのほうがよかったんだか。。。

**名無しさん＠お腹いっぱい。** · 2007/07/16(月) 20:56:38

>>728
流行りのパスワード攻撃を考えれば、公開鍵認証のほうがいいだろうな

**名無しさん＠お腹いっぱい。** · 2007/07/20(金) 01:02:45

>>728
昔は .rhosts 書いて rsh なんか動かしてたわけで、それがセキュアになったと思えばいいんじゃね?

**名無しさん＠お腹いっぱい。** · 2007/07/20(金) 01:04:04

rshよりもマシ、と3回唱えるわけか

**名無しさん＠お腹いっぱい。** · 2007/07/20(金) 20:50:01

秘密鍵の取り扱いにさえ気を付ければ大丈夫なんじゃない？
もれはputty-agentにパスフレーズ記憶させてる。パスなしよりはまし？

**名無しさん＠お腹いっぱい。** · 2007/07/21(土) 02:51:31

パス無しもパスありも大差無いので
趣味だと思う。

**名無しさん＠お腹いっぱい。** · 2007/07/21(土) 02:52:51

パスアリパスナシパスパス

**名無しさん＠お腹いっぱい。** · 2007/07/21(土) 09:46:05

>>732
エージェントフォワードに気をつければ全然OK

>>733
鍵を置く場所で全然違う。

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 11:39:29

# SSHプロトコルの指定
Protocol 2

# rootでのアクセス
PermitRootLogin no

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# パスワード認証
RhostsAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no

# ユーザアクセス権
AllowUsers test

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# 最大起動数（SSHピンポンダッシュ）
MaxStartups 3:75:7

# パーミッションチェック
StrictModes yes

# ~/.rhosts or ~/.shosts ファイルの無効化
IgnoreRhosts yes

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 11:40:17

# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

#その他
X11Forwarding no

以下はProtocol 2なので設定不要？？
RhostsRSAAuthentication no
RSAAuthentication yes

sshっていうものをしって設定してるのだがプリコトル2で鍵アクセスするならこんな感じの設定でいいのかな？

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 17:28:00

SSHアクセスしてviやemacs使うとき、日本語が入ったファイルだと文字エンコードが合わなくて文字化けしちゃうんですが、
これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
/etc/man.configをPAGER /usr/bin/less -isr、PAGER /usr/bin/lvなどと編集する以外に方法はないのでしょうか？
複数のファイルが、異なったエンコード方式で保存されている場合、それらを毎回eucJPだったりsjisだったりutf-8だったりに書き換えなきゃいけませんか？

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 17:28:46

書きそびれました。
サーバ側はUbuntuで、SSHクライアント側はMacのコンソールです。WindowsのPuTTYでも構いませんが。

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 17:30:58

>>738
SSH の話ってより Ubuntu の話だから
こっちで聞いた方がいいよ。
【deb系】Ubuntu Linux 15【ディストリ】
http://pc11.2ch.net/test/read.cgi/linux/1183177389/

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 18:03:35

>>738
> これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
↑Ubuntu やなくて、RedHatちゃう？