SSH その5
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/04/20(木) 07:09:00FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
0067名無しさん@お腹いっぱい。
2006/05/20(土) 23:10:16即レスありがとうございます。やっぱりできるんですね。
Term二つ立ち上げてやってみたらできたんで、もしかしてと思って聞いてみました。
これって危険ですよね。サーバー上でトンネル掘るのはタブーなんでしょうか?
0068名無しさん@お腹いっぱい。
2006/05/20(土) 23:17:58別ユーザにトンネルを使われることはなくなるかな。
そういうsshって存在するのかな?
0069名無しさん@お腹いっぱい。
2006/05/21(日) 02:19:410070名無しさん@お腹いっぱい。
2006/05/22(月) 08:28:04なんか問題ある?
0071名無しさん@お腹いっぱい。
2006/05/22(月) 21:18:52偶然他人がトンネルを発見すると、普通はサーバーBからは見えない
(がサーバーCからは見える)ホストにアクセスできてしまう可能性があります。
例えばNATの内側とか。
0072名無しさん@お腹いっぱい。
2006/05/22(月) 22:33:48自分側でアクセスをサーバのみに絞っておけばいいんでねーの?
あれ?
0073名無しさん@お腹いっぱい。
2006/05/22(月) 22:49:09> 例えばNATの内側とか。
デフォルトだと GatewayPorts が no だからいいんじゃね?
0074名無しさん@お腹いっぱい。
2006/05/23(火) 00:13:28なんか問題ある?
0075名無しさん@お腹いっぱい。
2006/05/23(火) 00:22:340076名無しさん@お腹いっぱい。
2006/05/24(水) 10:50:56他人のホストから自分のホストにスクリプトでscpを自動実行させたいのですが、
authorizedしてしまうと他人のホストのrootは自分のホストに対してやりたい放題です。当たり前ですが。
そもそも発想からして間違ってるかも知れませんね・・。
0077名無しさん@お腹いっぱい。
2006/05/24(水) 11:30:26そもそも信用できないroot管理下にいるユーザを信用するのはおかしい。信用してはいけない。
それを踏まえた上で、restricted scp/sftp 使うくらいしかないんでない?
007876
2006/05/24(水) 13:34:09ありがとうございます。やはりそうですよね。
相手ユーザー自体は信頼できないわけじゃないんですが、
理論上のセキュリティホールであることを気にしていました。
何か全く別の方法を考えるしかないですね。
0079名無しさん@お腹いっぱい
2006/05/24(水) 22:09:58chrootsshってのもあるけど、
ttp://chrootssh.sourceforge.net/index.php
こういう事じゃないのかな?
0080名無しさん@お腹いっぱい。
2006/05/24(水) 22:40:040081名無しさん@お腹いっぱい。
2006/05/24(水) 23:16:35大げさかも知れんがSELinuxとかで.ssh/書き込み不可能にしてみるとか。
0082名無しさん@お腹いっぱい。
2006/05/25(木) 00:26:53ありがとうございます。
chrootもscponlyも検討しました。
scponlyは何故かうまく動かなくて、ログインシェルに指定するとscpすらできず。。
chrootはまだ試していません。もう少しチャレンジしてみます。
.sshをアク禁にする方法があるとは知りませんでした。これも勉強してみます。
ただ、ネックとなる条件がいくつかありまして、
最初の公開鍵の作成から流し込みまでリモートホストから半自動実行させるため、
.sshをアク禁にはできないのです。
このやり方が問題なのかも知れませんが、リモートホストが大量にあるため。。
008376
2006/05/25(木) 00:37:21続きです。
できればsshも制限つきで使えるようにしておきたいので、
理想に近いのはchrootでディレクトリを絞って、かつ.sshをアク禁にするか、
失敗しているscponlyを成功させて、sshが必要なところは諦めて手動にするか、
といったところです。
0084名無しさん@お腹いっぱい
2006/05/25(木) 21:47:37いまいちよくわかんないんだけどさ
たとえば、「他人」て言うユーザーアカウントがあったとして、「他人」がログインすると
/home/他人になるよね。
で、chrootssh使えば、「他人」がログインしたディレクトリ=/home/他人が
ルートになってそこより上の階層にはいけないから、
「やりたい放題」にはならないと思うんだけど、これだと何が問題なの?
0085名無しさん@お腹いっぱい。
2006/05/26(金) 10:09:46そこのモジュールは
いくらかまえのバージョンで本家と統合された
0086名無しさん@お腹いっぱい。
2006/05/26(金) 21:00:43そうなの?
4.3p1でもパッチ出てるけど,不要なの?
0087名無しさん@お腹いっぱい。
2006/05/27(土) 07:49:48opensshはあくまで亜流
0088名無しさん@お腹いっぱい。
2006/05/27(土) 15:30:37> "本家"と書いたらssh.com版を指す
そうなのか?!俺はちょっと分かりにくいと思った。。(>>86氏と同じように考えた
んで)
ssh.comのもの(T.Yolen氏が作ったもの)が確かに「本家」であるのは間違いない
が、一番よく使われているのはOpenSSHだからね…。
「商用のもの」と書くか(これはこれで混乱するカモ)、「本家(ssh.com)のもの」
と書くと余計な誤解を防げるかと
0089名無しさん@お腹いっぱい。
2006/05/27(土) 15:51:10> >
009086
2006/05/27(土) 20:58:06了解
0091名無しさん@お腹いっぱい。
2006/05/28(日) 08:51:12世の中ではどう扱われているかってことだよな、大事なのは
0092名無しさん@お腹いっぱい。
2006/05/28(日) 22:02:20tcpserver経由でrblsmtpdを呼び出してsmtpdみたいなのを真似して
動くrblsshdを公開したら需要あるのかなぁ?
運用時の問題はRBLの更新速度やRBLの管理なんだけども… (´・ω・`)
0093名無しさん@お腹いっぱい。
2006/05/29(月) 01:33:16May 29 01:24:53 ari sshd: tcpserver: status: 1/100
May 29 01:24:53 ari sshd: tcpserver: pid 62452 from 127.0.0.1
May 29 01:24:53 ari sshd: tcpserver: ok 62452 localhost:127.0.0.1:10022 localhost:127.0.0.1::1966
May 29 01:24:56 ari sshd: rblsshd: Banned IP:127.0.0.1: 553 NO MORE
May 29 01:24:56 ari sshd: tcpserver: end 62452 status 0
May 29 01:24:56 ari sshd: tcpserver: status: 0/100
sshを使った時。
% ssh localhost -p 10022 -v
OpenSSH_3.5p1 FreeBSD-20030924, SSH protocols 1.5/2.0, OpenSSL 0x0090701f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to localhost.local.jp [127.0.0.1] port 10022.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Remote protocol version 1.9, remote software version rblsshd 0.0.1 AHYA(0_0)
debug1: no match: rblsshd 0.0.1 AHYA(0_0)
debug1: Local version string SSH-1.5-OpenSSH_3.5p1 FreeBSD-20030924
debug1: Waiting for server public key.
Disconnecting: Bad packet length 1349676916.
debug1: Calling cleanup 0x804c158(0x0)
sshdの鍵を送るときに適当に送ってるのでオーバーフローしちゃってますけど…。
中身はrblsmtpdを元にやっつけなので、もっさりな動作してます(´・ω・`)
0094名無しさん@お腹いっぱい。
2006/05/29(月) 08:09:25sourceforge にアカウントとって公開してみればいいんじゃね?
0095名無しさん@お腹いっぱい。
2006/05/29(月) 13:09:530096名無しさん@お腹いっぱい。
2006/05/29(月) 13:15:05購入時のまにゅある見てみ?
0097名無しさん@お腹いっぱい。
2006/06/03(土) 16:10:42Mac OS Xはrootアカウントが無効になっている。だからマニュアル読んでも……
0098名無しさん@お腹いっぱい。
2006/06/04(日) 13:02:56local側をinet:じゃなくてlocal:に接続させるpatchってないんですかね?
0099名無しさん@お腹いっぱい。
2006/06/04(日) 13:29:04何もしなくてもlocal側はLOCAL:(UNIXドメインソケット)にフォワードされる。
正確には、sshクライアント実行時のDISPLAY環境変数の値に
フォワードされる。もしINET:になってるのなら、DISPLAYの値が
localhost:0とかのINETドメインになってるんじゃないの?
DISPLAY=:0の状態でsshするべし。
0100名無しさん@お腹いっぱい。
2006/06/04(日) 23:12:29これ使ってる人いませんか?
0101名無しさん@お腹いっぱい。
2006/06/06(火) 18:13:03例えば、sshクライアント側のiptablesの設定は
-A INPUT -p tcp -s $(sshサーバ) --sport 22 -d $(自分) -j ACCEPT
-A OUTPUT -d $(sshサーバ) -s $(自分) -j ACCEPT
みたいにすればできますが、これって相手が22番ポートを使うように偽装した場合、侵入されてしまうと思うのですが、
実際はどうなんでしょうか?
でも他に方法ないし…
0102名無しさん@お腹いっぱい。
2006/06/06(火) 19:16:180103101
2006/06/06(火) 19:50:28スレ汚し失礼しました
0104名無しさん@お腹いっぱい。
2006/06/06(火) 21:08:27そんな信用出来ないところにログインするなよ。
0106名無しさん@お腹いっぱい。
2006/06/07(水) 02:20:30http://tips.linux.com/article.pl?sid=06/05/19/145227
0107名無しさん@お腹いっぱい。
2006/06/11(日) 06:13:230108名無しさん@お腹いっぱい。
2006/06/11(日) 21:31:38プロを雇ってやってんじゃないの?(雇ってないとこは論外だが)
0109名無しさん@お腹いっぱい。
2006/06/12(月) 00:54:120110名無しさん@お腹いっぱい。
2006/06/12(月) 01:55:53プロっていっても鯖の掃除しに来てるだけとかな
0111名無しさん@お腹いっぱい。
2006/06/12(月) 02:34:49以前、ルータにトラブルがあって、学科のLANから外にまったく繋がらなくなった。
学内部門電話帳で調べて電話したけど、秘書か誰かが「繋ぐことはできません」って。
仕方ないので研究室の電話使ってプロバイダに繋いで、ISPのメールアドレスから連絡したよ。
こいつら馬鹿なんじゃね?
0112名無しさん@お腹いっぱい。
2006/06/12(月) 02:38:090113名無しさん@お腹いっぱい。
2006/06/12(月) 02:41:57いまどき携帯メール使うだろ
0114名無しさん@お腹いっぱい。
2006/06/12(月) 02:47:11すまん、
>>113
結構前。まだ手持ちの携帯でメールは出せなかった。
0115名無しさん@お腹いっぱい。
2006/06/12(月) 03:42:09という間違った話はいまだに聞くことあるな
どこがソースなんだろう?
0116名無しさん@お腹いっぱい。
2006/06/12(月) 05:16:42いずれにしろパスワード認証はシラミツブシ攻撃に対して激しく弱いから使うな
おまいらのsecurityログにも攻撃の痕が大量に残ってるだろ?
0117名無しさん@お腹いっぱい。
2006/06/12(月) 12:25:470118名無しさん@お腹いっぱい。
2006/06/12(月) 16:55:070119名無しさん@お腹いっぱい。
2006/06/12(月) 17:29:29http://ja.wikipedia.org/wiki/Secure_Shell
0120名無しさん@お腹いっぱい。
2006/06/12(月) 18:53:28平文?キースキーミングとかでヤバイってわけじゃなくて?
DSAキーとか使うってのが普通なんで,パスワードなんて最後の最後の手段じゃないか?
0121名無しさん@お腹いっぱい。
2006/06/12(月) 19:29:480122名無しさん@お腹いっぱい。
2006/06/12(月) 19:33:31よく読め。
0123名無しさん@お腹いっぱい。
2006/06/12(月) 20:52:11denyhostsしてるし…
0124名無しさん@お腹いっぱい。
2006/06/13(火) 18:08:380125名無しさん@お腹いっぱい。
2006/06/13(火) 18:55:400126124
2006/06/13(火) 19:24:120127名無しさん@お腹いっぱい。
2006/06/13(火) 19:34:480128名無しさん@お腹いっぱい。
2006/06/13(火) 19:41:12qwertyみたいにホームポジションから動かなくても打てるからかヨw
0129名無しさん@お腹いっぱい。
2006/06/14(水) 12:09:12ttp://www.banana-fish.com/~piro/20040609.html#p06
結論として、「自動運転のためにssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作り、
その鍵を使ってできるコマンドを必要最小限に制限する」がベストということですが、そうなんですか?
>パスフレーズはいざという時の時間稼ぎでしかない。
というのには同意ですが、でもそれはそれで意味はありますよね。
なんかこのページの趣旨が分からないっす。というかコマンドごとに鍵作るなんて面倒すぎる…
よりセキュアにってことだと思いますが、セキュアにするならそもそも自動運転など…と思ってしまうわけで。
みなさんはどう思われますか&自動運転はどういうふうにやってますか?
0130名無しさん@お腹いっぱい。
2006/06/14(水) 12:20:05パスフレーズはどうするのがいいと思うの?
expect で自動化? 平文でどっかに書いとくの?
0131名無しさん@お腹いっぱい。
2006/06/14(水) 13:47:08セキュリティを犠牲にしてでも手間を省きたいならssh-agentを使えばいいじゃん
0132129
2006/06/14(水) 21:55:03いや、パスフレーズは適当に(できれば通常のログインパスワードより長めに)
expectはありえないのでは?平文で書くなんて恐ろしすぎる…
自分はssh-agent+ssh-addで自動運転、が普通だと思ってました。
>>131
パスワード認証ってことですか?それだとパスワードを相手ホストに送ってることになりますよね(まぁ暗号化はしてますが)
普通、セキュアな順に公開鍵認証、ホストベース認証、パスワード認証で、sshも認証の優先順位はこの順だったと思いますが
0133名無しさん@お腹いっぱい。
2006/06/14(水) 22:39:23パスワード認証の話ですけど
暗号化されたパスワードであっても盗聴は出来るんだから
それをそのまま突っ込まれればやばくないですか?
0134ヽ(´ー`)ノ ◆.ogCuANUcE
2006/06/15(木) 00:19:41概ね同意できると思うが。
1. ssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作る
パスフレーズなんて飾り。一方で、再起動の度にパスフレーズが必要という
手間がある。従って、手間に見合った効果がない(と思われる)。
2. その鍵を使ってできるコマンドを必要最小限に制限する
至極当たり前の考え。
自動運転 → コマンド内容も自動 → 実行されるコマンドは常に一定
→ 他のコマンドは使えないようにしてしまえ
パスワード認証は駄目だな。
自動運転が前提なんだから、ssh-agent みたいに毎回手入力するか、
expect のように平文でどこかに置いておく必要がある。まったく意味がない。
0135名無しさん@お腹いっぱい。
2006/06/15(木) 01:16:50> 自分はssh-agent+ssh-addで自動運転、が普通だと思ってました。
ssh-agentの乗っ取りにはどう対処する?
ssh-agentの開いたソケット(/tmp/ssh-xxx/agent.1234みたいなの)にアクセスできれば、
そのagentが記憶している全ての鍵は使い放題だし、
デバッガ等でssh-agentプロセスのメモリ空間を覗くことができれば生の秘密鍵が手に入る。
ssh-agentを乗っ取られないようにアクセス制限をかけることと、
パスフレーズ無しの秘密鍵を盗まれないようにアクセス制限をかけることに
どれだけの違いがある?
パスフレーズを毎回手入力しなきゃならないデメリットにも勝るものか?
0136名無しさん@お腹いっぱい。
2006/06/15(木) 02:10:240137名無しさん@お腹いっぱい。
2006/06/15(木) 02:22:020138名無しさん@お腹いっぱい。
2006/06/15(木) 02:49:360139ヽ(´ー`)ノ ◆.ogCuANUcE
2006/06/15(木) 05:40:32鍵を盗まれてから trust な鍵のペアに交換するまでの時間が稼げる分、
パスフレーズ付きが若干有利ってだけで、結局それに尽きる。
「正規のユーザしか秘密鍵を持っていない」ってのが鍵交換認証の肝なんで、
これが破られるとどうしようもない。
0140名無しさん@お腹いっぱい。
2006/06/15(木) 06:36:300141132
2006/06/15(木) 15:01:11>ssh-agentの乗っ取りにはどう対処する?
もちろんお手上げですよ。だからある程度安全だと確信できるホスト以外では使わない。
自分の考えは>>139と同じです。パスフレーズはないよりあったほうがマシ。秘密鍵盗られたらオワリ。
このへんは各々の前提や考え方(と好み)などによるってことですね。
自分はリモートログインにコマンド制限は一切かけたくない、というのが第一の前提で、
その上で秘密鍵盗難の危険が高いなら自動運転しない、低いならする、という考えです。
まぁいずれにせよ、自動運転なんて軽々しくやるもんじゃないと…
0142名無しさん@お腹いっぱい。
2006/06/15(木) 15:43:17のが一般的なのでしょうか?
0143名無しさん@お腹いっぱい。
2006/06/15(木) 21:03:390144名無しさん@お腹いっぱい。
2006/06/16(金) 19:27:23ttp://www.h7.dion.ne.jp/~matsu/feature/uzumi/tool_memo/ssh.html#1
0145名無しさん@お腹いっぱい。
2006/06/17(土) 13:33:24いや、認証転送に使うソケット(agent単体のときと同じく/tmp以下に作られる)に
アクセスされるとマズいのは変わらん。
まあ、便利さの裏側には何らかのセキュリティリスクがつきまとうものだ、っていう
至極あたりまえのことですな。
0146名無しさん@お腹いっぱい。
2006/06/24(土) 16:40:02毎度毎度 ssh クライアントでログインしなくてもいいように、
Windows のダイヤルアップアダプタか VPN アダプタのように扱える
SSH ポートフォワーディング用のソフトってないですかね・・・
ore.no.host.example.com 宛に接続が必要になると
自動的にあらかじめ登録した鍵を使ってあらかじめ決めた
ポートだけトンネルされた状態で接続してくれるような・・
0147名無しさん@お腹いっぱい。
2006/06/24(土) 17:08:250148名無しさん@お腹いっぱい。
2006/06/24(土) 18:49:25PortForwarder
http://www.fuji-climb.org/pf/JP/
0149名無しさん@お腹いっぱい。
2006/06/25(日) 06:01:33使えるように、Windowsのネットワークアダプターのユーザーインターフェースに
統合されているようなsshクライアント製品ってありませんか?
0150名無しさん@お腹いっぱい。
2006/06/25(日) 06:27:570151名無しさん@お腹いっぱい。
2006/06/25(日) 10:18:130152名無しさん@お腹いっぱい。
2006/06/25(日) 10:21:200153名無しさん@お腹いっぱい。
2006/06/26(月) 20:58:55http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X
キタァ! ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ ヽ(゚∀゚)ノ
from
コンピュータ関連書籍新刊一覧
http://pc.watch.impress.co.jp/docs/2006/market/i_nbook.htm
参考までに、既刊書籍:
[2] 入門SSH
http://www.ascii.co.jp/books/books/detail/4-7561-4553-1.shtml
[3] (絶版)OpenSSH セキュリティ管理ガイド
http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-0129-5
0154名無しさん@お腹いっぱい。
2006/06/27(火) 18:42:57#Fedora Core 5 の初期設定中にトラブルがいろいろと発生して、X-windowとかが飛んだのでまた再インストールorz
0155名無しさん@お腹いっぱい。
2006/06/27(火) 20:10:54host-keyを変えたとき
0156名無しさん@お腹いっぱい。
2006/06/27(火) 20:40:30巻末の「著者紹介」がなくなってた。まあ、どうでもいい(DDI)けど。
0157名無しさん@お腹いっぱい。
2006/06/28(水) 02:12:41ホストをクラックされて host key を変えられたとき
MITM されてるとき
0158名無しさん@お腹いっぱい。
2006/06/30(金) 00:59:53[1]はその改訂版なの?
あと対応バージョンはいくつなんだろう
0159名無しさん@お腹いっぱい。
2006/06/30(金) 14:35:300160名無しさん@お腹いっぱい。
2006/07/05(水) 22:53:492048じゃ今時足りない?
0161名無しさん@お腹いっぱい。
2006/07/06(木) 15:38:34@ITのこの記事読んで特定のコマンドしか実行できないユーザ作ったんですが。
これってそのrestrictedユーザ@hostががfoo@barとすると
ssh foo@bar bash -i
で簡単に回避されてしまうんですが。
これを回避して/bin/rbash以外起動できないようにする方法はありませんか?
いじるファイルによってはスレ違いかもしれませんが、一応fooはssh経由でしか入ってこないので。
0162名無しさん@お腹いっぱい。
2006/07/06(木) 15:46:56man sshd
AUTHORIZED_KEYS FILE FORMAT
...
command="command"
Specifies that the command is executed whenever this key is used
for authentication. The command supplied by the user (if any) is
ignored. The command is run on a pty if the client requests a
pty; otherwise it is run without a tty. If an 8-bit clean chan-
nel is required, one must not request a pty or should specify
no-pty. A quote may be included in the command by quoting it
with a backslash. This option might be useful to restrict cer-
tain public keys to perform just a specific operation. An exam-
ple might be a key that permits remote backups but nothing else.
Note that the client may specify TCP and/or X11 forwarding unless
they are explicitly prohibited. Note that this option applies to
shell, command or subsystem execution.
0163161
2006/07/06(木) 15:54:49ありがとうございます。…やっぱそれしかありませんかね?
今の環境がパスワード認証なのでそれを維持したままの方法がないかと模索していたのですが。
0164名無しさん@お腹いっぱい。
2006/07/06(木) 16:33:08これってフルパスでコマンド実行できない??
0165名無しさん@お腹いっぱい。
2006/07/06(木) 16:50:410166161
2006/07/06(木) 16:59:06記事にも書いていますが、実際にフルパスでコマンドを起動しようとするとrestricedとしてエラーになります。
なので必要最低限のコマンドだけ与え、PATHを制限したうえで、.bashrcと.bash_profileを編集不可にしてしまえばそれ以外のコマンドは起動できなくなります。
後はログイン時にrbash以外起動できなくすれば良いのですが、>>162の方法だけかな。
>>165
怖っ!w
スレ違い気味になってきましたね、すみません。
■ このスレッドは過去ログ倉庫に格納されています