SSH その5

**名無しさん＠お腹いっぱい。** · 2006/04/20(木) 07:09:00

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/

**名無しさん＠お腹いっぱい。** · 2007/05/29(火) 05:11:11

cygwin$ ssh -g -L 15900:localhost:5900 server

**名無しさん＠お腹いっぱい。** · 2007/05/29(火) 16:48:21

>>698
？

**名無しさん＠お腹いっぱい。** · 2007/05/29(火) 17:40:39

viewer側のFWで5901番ポートがブロックされてるだけじゃね
sshクライアントが5901番ポート開放できるようにしないと

**名無しさん＠お腹いっぱい。** · 2007/05/30(水) 05:06:02

>>700
あ、成る程、試してみます。

**名無しさん＠お腹いっぱい。** · 2007/05/31(木) 00:17:46

>>700
だめでしたorz
原因が分かりません･･･

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 20:37:19

あるPCで秘密鍵と公開鍵を作って、
それらをほかのPCにコピーしてSSH認証ってできないんですか？

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 20:53:55

Yes.

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 22:25:56

ふつうにできるだろ…常識的に考えて…

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 22:26:43

だから "Yes." って答えてるじゃん。

**名無しさん＠お腹いっぱい。** · 2007/07/11(水) 23:20:35

>>705
日本語で言えば「いや、できるよ」って意味が英語で言えばyesな。

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 02:47:39

>>703
できるけど、鍵の形式には注意な。ssh.comとOpenSSHが混在してると、コンバート必要。
あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 06:55:27

>>708
> あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。
なんでだよ。お前わかって無いな。

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 10:27:15

>>709
まともに鍵管理できない奴がいると秘密鍵を世界に向けて大公開してしまうしなー
管理者がジャムおじさんクラスだともうgdgdｗ
ttp://pc11.2ch.net/test/read.cgi/unix/1156065192/792

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 21:58:55

>>710
共有していても、してなくても盗まれるリスクは同一だ。

> まともな管理者なら原則禁止してるだろう。
これは、お前の創作した原則か?

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 22:27:51

変なひとが一人でプンプンしてる・・・

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 22:46:37

>>711
同一じゃないだろ・・・

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 23:11:35

パスフレーズ無しにできるのも危険要素のひとつだ罠

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 23:30:29

各ホストのセキュリティリスクに違いがあった場合に、
一番弱いところにレベルがあうのが危ないんじゃないかってことかな？？

**名無しさん＠お腹いっぱい。** · 2007/07/12(木) 23:48:15

パスフレーズの有無と秘密鍵の共有は無関係だし、
秘密鍵を盗まれれば、それが共有であろうが無かろうが、
その秘密鍵を受け入れるマシンへは侵入できることになる。

弱いところに置いた鍵では重要なマシンにアクセスさせないという
運用も無理やりこじつければありだが、そんなマシンに秘密鍵おく
必要は無い。

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 00:11:22

じゃ、パスワード認証禁止してるマシンにはどうやって入るの？

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 00:21:20

プンプン君はそんなとこから入るな、と言いたいんじゃね。
でも入らなきゃいけない時もある。で、そのマシン用に鍵を新たに作る、と。

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 02:12:55

お前ら、わかってないだろ。ログイン先に秘密鍵を置く必要は無い。

パスワード認証禁止しているということは、公開鍵を管理者に
渡せば追加してくれるんだろ。
なぜ、新たに鍵を作る必要があるんだ?

**名無しさん＠お腹いっぱい。** · 2007/07/13(金) 02:33:27

> ログイン先に秘密鍵を置く
誰が言ったんだよそんなこと

**名無しさん@お腹いっぱい。** · 2007/07/13(金) 22:03:12

盛り上がって参りました。

**名無しさん＠お腹いっぱい。** · 2007/07/14(土) 22:14:43

侵入経路を特定する意味でも、鍵は共通化させないほうがいい。

あとで犯人探しするときに

**名無しさん＠お腹いっぱい。** · 2007/07/14(土) 22:42:25

PAMやLDAPであらゆるサービスのパスワードを共通にしているｱﾌｫ管理者もいるｗ

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 06:27:12

そんな管理者は私刑でいいよ

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 09:16:14

ちゃんと暗号化できている通進路で使うパスワードは
共通化しても良さそうに思うけど?

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 11:15:07

>>725
ヒント: 一度漏れたら全部おじゃん

**名無しさん＠お腹いっぱい。** · 2007/07/15(日) 20:22:20

>>725
つーか暗号化してる通信路でそこまで信頼しちゃうなら
telnetでも使っとけよ

**名無しさん＠お腹いっぱい。** · 2007/07/16(月) 14:57:57

うちの会社、管理者が唐突にパスワード認証禁止されたあと、
みんな不便ー、とぶーたれてた。
いつにころからか、だれが広めはじめたのか知らないが
パスフレーズ無し秘密鍵が流行りだして
みんな便利ー、といってる。
どっちのほうがよかったんだか。。。

**名無しさん＠お腹いっぱい。** · 2007/07/16(月) 20:56:38

>>728
流行りのパスワード攻撃を考えれば、公開鍵認証のほうがいいだろうな

**名無しさん＠お腹いっぱい。** · 2007/07/20(金) 01:02:45

>>728
昔は .rhosts 書いて rsh なんか動かしてたわけで、それがセキュアになったと思えばいいんじゃね?

**名無しさん＠お腹いっぱい。** · 2007/07/20(金) 01:04:04

rshよりもマシ、と3回唱えるわけか

**名無しさん＠お腹いっぱい。** · 2007/07/20(金) 20:50:01

秘密鍵の取り扱いにさえ気を付ければ大丈夫なんじゃない？
もれはputty-agentにパスフレーズ記憶させてる。パスなしよりはまし？

**名無しさん＠お腹いっぱい。** · 2007/07/21(土) 02:51:31

パス無しもパスありも大差無いので
趣味だと思う。

**名無しさん＠お腹いっぱい。** · 2007/07/21(土) 02:52:51

パスアリパスナシパスパス

**名無しさん＠お腹いっぱい。** · 2007/07/21(土) 09:46:05

>>732
エージェントフォワードに気をつければ全然OK

>>733
鍵を置く場所で全然違う。

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 11:39:29

# SSHプロトコルの指定
Protocol 2

# rootでのアクセス
PermitRootLogin no

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# パスワード認証
RhostsAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no

# ユーザアクセス権
AllowUsers test

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# 最大起動数（SSHピンポンダッシュ）
MaxStartups 3:75:7

# パーミッションチェック
StrictModes yes

# ~/.rhosts or ~/.shosts ファイルの無効化
IgnoreRhosts yes

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 11:40:17

# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

#その他
X11Forwarding no

以下はProtocol 2なので設定不要？？
RhostsRSAAuthentication no
RSAAuthentication yes

sshっていうものをしって設定してるのだがプリコトル2で鍵アクセスするならこんな感じの設定でいいのかな？

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 17:28:00

SSHアクセスしてviやemacs使うとき、日本語が入ったファイルだと文字エンコードが合わなくて文字化けしちゃうんですが、
これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
/etc/man.configをPAGER /usr/bin/less -isr、PAGER /usr/bin/lvなどと編集する以外に方法はないのでしょうか？
複数のファイルが、異なったエンコード方式で保存されている場合、それらを毎回eucJPだったりsjisだったりutf-8だったりに書き換えなきゃいけませんか？

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 17:28:46

書きそびれました。
サーバ側はUbuntuで、SSHクライアント側はMacのコンソールです。WindowsのPuTTYでも構いませんが。

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 17:30:58

>>738
SSH の話ってより Ubuntu の話だから
こっちで聞いた方がいいよ。
【deb系】Ubuntu Linux 15【ディストリ】
http://pc11.2ch.net/test/read.cgi/linux/1183177389/

**名無しさん＠お腹いっぱい。** · 2007/08/10(金) 18:03:35

>>738
> これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
↑Ubuntu やなくて、RedHatちゃう？

**名無しさん＠お腹いっぱい** · 2007/08/19(日) 12:55:14

OpenSSH 4.7/4.7p1
もうすぐみたいね。
早い人たちはtesting参加してるのかな?

**名無しさん＠お腹いっぱい。** · 2007/08/24(金) 08:29:02

ttp://ex23.2ch.net/test/read.cgi/ghard/1187884772/433

> 433 名前：名無しさん必死だな [sage] 投稿日： 2007/08/24(金) 08:10:22 ID:OpeNssh/0
> GC版は人数集めてやる場合でも
> ミクロでないGBAを用意しないといけないのが厳しいからなぁ。
> ポケモンマニアでもないのにGBA何台も買ってられないしｗ

ID:OpeNssh/0
ID:OpeNssh/0
ID:OpeNssh/0

( ﾟдﾟ )

**名無しさん＠お腹いっぱい。** · 2007/08/24(金) 16:09:31

すごいな

**名無しさん＠お腹いっぱい。** · 2007/09/05(水) 18:58:58

OpenSSH 4.7/4.7p1が出てた

**名無しさん＠お腹いっぱい。** · 2007/09/05(水) 19:41:03

AからBに鍵認証でSSH接続したい。
Aで秘密鍵・公開鍵を生成してBのauthorized_hostsに公開鍵を書き加えてやったらログインできたんだが、
Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。
ログインしようとしたらPassword:となるから鍵認証はスルーされているような。

**名無しさん＠お腹いっぱい。** · 2007/09/05(水) 19:42:29

×authorized_hosts
○authorized_keys

**名無しさん＠お腹いっぱい。** · 2007/09/05(水) 20:19:06

>Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。

Bの sshd の設定なりを確認

あと sshd の出所が違って authorized_keys の書式とかが違う可能性もあるね

**名無しさん＠お腹いっぱい。** · 2007/09/05(水) 22:32:48

＞Aに公開鍵を渡して、AからBにsshで鍵認証ログイン
Bはログインされまくりですか？

**名無しさん＠お腹いっぱい。** · 2007/09/07(金) 09:44:15

OpenSSH 4.7 has just been released. It will be available from the
mirrors listed at http://www.openssh.com/ shortly.

**名無しさん＠お腹いっぱい。** · 2007/09/07(金) 12:42:59

http://hobby9.2ch.net/test/read.cgi/chakumelo/1119447963/

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 17:41:29

リモートログインして作業をしていたら突然
Disconnecting: Corrupted MAC on input.
と言われて切られてしまいました

この解決方法を教えていただきたいのですが

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 17:44:43

ssh の問題じゃなさそうだなーとは思わなかったのか?

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 17:50:24

>>753
全く

今日突然出てきたもんで

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 17:52:54

突然出たなら何でsshが原因なんだと思うんだろ

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 18:03:36

>>755
リモートログインしていた状態で
Disconnecting: Corrupted MAC on input.
とでてきたわけですから
まずここに聞きにくるのは自然の流れかと

違うんであれば他の場所で聞きますので
適当なスレがあれば教えてください

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 18:20:23

>>752 は MACって何か知らない、に1票。

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 18:34:08

ttp://www.unixuser.org/~haruyama/security/openssh/dat/pc5.2ch.net_80__unix_dat_1058202104.html

ここの255あたりは参考になるかな?

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 18:38:18

MAC はイーサアドレスの事で、sshは無関係

そんな風に考えていた時期が僕にもありました

◆TWARamEjuA · NG

(´-`).｡ｏＯ(まずぐぐるのが自然の摂理だと思うけれども。。。)

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 21:04:00

ttp://www.google.com/search?q=Disconnecting+Corrupted+MAC+input

それっぽいのがたくさんあるね

**名無しさん＠お腹いっぱい。** · 2007/09/21(金) 21:54:16

etherのMACだったら
> Disconnecting: Corrupted MAC on input.
こんなメッセージは不自然だとは考えないのかな。 >>753は。

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 08:55:10

設定変更してないのに出たら別の所疑えよ

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 10:14:54

>>752の情報から「設定変更してない」と断定できてしまうキミはエスパー。
でも、ソフトウェアエンジニアとしての資質が欠如している。

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 10:24:29

>>764
「設定変更してないのに出『たら』」
『たら』は仮定を表すのでこの文は仮定文だが、
それを断定文と誤読してしまうキミは
日本人としての国語能力が欠如している。

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 10:45:41

>>765
「設定変更してない」のに出たら

俺は 764 じゃないけど断定してる（と思われている）のはここジャマイカ

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 10:51:49

if (設定変更してない && 出た) { ; }
だろ。

if節の中に何を言っていても断定ではない。すべて仮定。

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 11:07:12

「出た」は既に発生した事象なので
設定変更してない && 出た == 設定変更してない && true == 設定変更してない

詭弁を弄し黒を白と言いくるめようとする情熱を持つキミはSEの資質を120%持っている。

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 11:21:58

>>767
そういう言い方ってのは
それまでの文脈で事象 ( 設定変更してない && 出た ) が既出でないと不自然だから
“結果として”断定しているわけだ

>>768
よくわからん

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 12:35:59

>>768
お前ファビョりすぎだろｗ

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 12:47:29

おまいら落ち着けよｗ
要は最初の質問者が問題なだけの話しだろ
最初の質問者で無い限り、そんな論点で熱くなるのはどうかしてる

◆TWARamEjuA · 2007/09/22(土) 14:42:09

もうお彼岸なのに暑い日が続きますよね。

**名無しさん＠お腹いっぱい。** · 2007/09/22(土) 19:06:39

設定変更したんなら戻せよ、でしかないな

**名無しさん＠お腹いっぱい。** · 2007/09/23(日) 14:55:37

>>752
訂正不可能な媒体上の化けが原因ではないかと。

物理的にNICがおかしいという問題から始まって、
最後にはOSのメモリ管理あたりにまで遡及して、
トラブルシューティングする必要あり。
　

**名無しさん＠お腹いっぱい。** · 2007/09/23(日) 20:06:11

MACのアルゴリズムが変わったってことはないのかな
デフォルトがHMAC-MD5からHMAC-SHA1とか

**774** · 2007/09/23(日) 23:16:38

俺が見た例は、

・FreeBSDでGbEを挿したら調子悪かったとき。
・NICが壊れかけた時
・安物スイッチから煙が出たとき。

MACって略語やめればいいのに。

Message Authentication Code　= MAC
Media Access Control address = MAC
Mandatory Access Controll = MAC

これらの概念は全部　UNIX-OSを管理すると
出くわす可能性が在る。

**名無しさん＠お腹いっぱい。** · 2007/09/24(月) 12:29:20

2つめはMACじゃなくてMACアドレスと言わんか?

**名無しさん＠お腹いっぱい。** · 2007/09/24(月) 13:01:55

IPアドレスのことをIPって言ういるよ

**名無しさん＠お腹いっぱい。** · 2007/09/24(月) 13:02:46

ちょっと詳しくなって専門用語を覚えたてのやつは往々にして変な略しかたをする

**名無しさん＠お腹いっぱい。** · 2007/09/24(月) 13:02:56

×言ういるよ
○言う人いるよ

**名無しさん＠お腹いっぱい。** · 2007/09/24(月) 22:09:16

×言ういるよ
○言うアルよ

**名無しさん＠お腹いっぱい。** · 2007/09/25(火) 21:38:24

一番有名なの忘れてるよ。

Machintosh = MAC

**名無しさん＠お腹いっぱい。** · 2007/09/26(水) 01:53:42

それはMac

**名無しさん＠お腹いっぱい。** · 2007/09/26(水) 09:44:16

俺の中でMACと言えば工具メーカー

**名無しさん＠お腹いっぱい** · 2007/09/26(水) 10:16:13

UTF-8 tera term proでログインしようとすると接続が切られ強制終了してしまいます。指定されたポートも開けてあるのですが、他に何が原因でしょうか？

**名無しさん＠お腹いっぱい。** · 2007/09/26(水) 11:42:40

# てるねっとさーば 22
してみろ

接続できるならてらたーむ
そうでないなら相手(or経路)の問題

**785** · 2007/09/26(水) 15:48:56

SSH-1.**-openSSH_3.*.***と出てきました。相手・経路の問題ではなさそうなのですが、テラタームの端末の設定でしょうか？過去ログを読んでみたのですがよくわかりませんでした。。初心者ですいません！対処法を教えて欲しいです(T_T)

**名無しさん＠お腹いっぱい。** · 2007/09/26(水) 15:57:29

UTF-8対応版ってことはSSH2にも対応しているので、それが原因じゃないよね。
ログインしようとしてるのは、自分の管理してるサーバ？
ログを見れば大抵の原因はすぐにわかると思うけど。

今の状態だけでエスパー的に判断するなら、鍵認証しか許可していないのに
パスワード認証でログインしようとしてるとか、rootでログインしようとし
てるとか、一番ありそうなのはそんなところか？

**785** · 2007/09/26(水) 16:26:25

SSH1もSSH2でもログイン出来ませんでした。ログイン使用としているのはリモートサーバー（他大学への）です。
rootでは利用していないです。鍵認証なしでログインしようとしてますが、サーバー関連HPには鍵認証のみとは書いて無かったんですが。。。

**名無しさん＠お腹いっぱい。** · 2007/09/26(水) 20:31:32

cygwinでsshもってきて、ssh -v してみろ

**名無しさん＠お腹いっぱい。** · 2007/09/26(水) 20:52:28

>>789
上でも書かれているように、とりあえずCygwinのsshやPuttyなど
別のクライアントで試してみて、サーバとクライアントのどちら側の
問題なのかを切り分けてみた方が良いかも。

あと、「切断される」だけじゃわからないので、どういう風に切断
されるかとか、何かエラーメッセージが出てないかとか、初めて接
続しようとしているのかとか、書けるだけの情報は書いた方が他の
人からも返事をもらいやすいと思うけどね。

**名無しさん＠お腹いっぱい。** · 2007/09/27(木) 02:07:01

root@APサーバでJavaからsshを実行し、BDサーバにrootで入ってshellを呼び、Javaを実行しているのですが、

DBサーバ側の処理は正常終了しているのに
なぜかプロセスが残ってしまいwaitFor()で戻ってきません…

~/.bashrc に shopt -s huponexit を入れてみたのですが効果がありませんでした。

APサーバのJavaでは「ssh *.*.*.* sh foo.sh」な感じで呼んでます。
Telnetなどで上を直接たたくとプロセスはきちんと消えるのです。
どなたか原因が分かる方いらっしゃいますか？

**名無しさん＠お腹いっぱい。** · 2007/09/27(木) 02:22:30

エスパー回答。

stdoutが詰まってる。

**792** · 2007/09/28(金) 01:09:15

>>793

遅れてすいません。
会社からでは２ｃｈに書き込めませんでした。

結果は回答していただいた通りでした！！！
APサーバ側で標準出力を取っていたのですが、
エラー出力も吐き出させないと駄目なんですね。
そもそも「吐き出させる」というイメージが全然ありませんでした。

首の皮一枚でなんとかクビにならずに済みました。
本当にありがとうございました。

**名無しさん＠お腹いっぱい。** · 2007/09/30(日) 11:17:17

openssh なんだが、utmp/wtmp 書き出しを enable してるとき、
ssh 経由のターミナル接続は utmp/wtmp に確かにログするけど、
sftp はログしないよね。これって、確信的な仕様？syslog とか
secure を使え、という指導がされてるってことかな？

**名無しさん＠お腹いっぱい。** · 2007/09/30(日) 11:25:08

struct utmpはメンバーとして端末名をもっている。
端末(pty)アロケートしない場合はログインと見なしていないのは当たり前。

**名無しさん＠お腹いっぱい。** · 2007/09/30(日) 11:40:03

>>796 ut_line 空にしといても良いじゃん。
そしたら、どっかに不都合でるの？