SSH その5

**名無しさん＠お腹いっぱい。** · 2006/04/20(木) 07:09:00

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 13:51:52

>>873
事実上無理。
IPアドレスやドメイン名から「日本」を区別することは出来ないので。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 13:53:37

IP アドレスはがんばればできんじゃね

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 13:55:58

完全ではなくても実用的には可能。
apnicが国別IP割り当てリストを公開しているので
月1くらいの頻度でそれをとってきてフィルタのテーブルを更新してる。
結構それなりに落としてくれる。
一応困ったときのためにフィルタしないアドレスブロックを入れる仕組みも
作ったが今のところ使ってない。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 13:59:01

>>875,876
歴史的PIアドレスや、JPNICではなくAPNICメンバになってるようなISPから
割り振りを受けたIPアドレスは無視するというのなら出来なくはないが、
かなり漏れが出るよ。

「その辺のユーザは軒並み無視してOK」的な運用であれば可能だけど。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 14:02:15

>>873
日本全部から許可する必要あんの？
自分が使う ISP だけ許可しとく、とかでいいんじゃね？

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 14:09:45

>>877
別に構わないのでは?
なんなら手で書いたテーブルから追加するようにすればいいし。
話題の目的を理解してない希ガス。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 14:50:00

逆引きして .jp　じゃなければ弾く。
逆引き出来ねえなんてのは、野良IPだから弾けばよい。
.net やら、 .com で国内に逆引きを付けてる変態（ウチもそうだがｗ）
は、つど登録して置きゃおｋ。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 15:10:05

そういえば、日本では逆引きできないISPって最近減ってきたかな。
しっかし、v6での逆引きってどうなるんだろう? 逆引きなんて無意味だから
やめちまえっていう話もv6どころかv4でもあるわけだし。

聞いたところによると韓国・中国では逆引きできないのが普通らしいね。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 16:22:43

>>879
一応書いておかないと、WHOISやCIDRブロックリストから接続元が日本か
どうか正確に判断できると思っちゃってる人がたまにいるし、実際企業系の
サービスで使ってるサーバで、それをやろうとした痛い知り合いがいたので…。

で、sshdが動いているサーバへの接続とかだったら、個人的には許可する
ブロックごとに手動で登録でいいんじゃないかと思ったりもする。
そういうのがダメなぐらいシビアな運用なんだったら、「アクセス出来ない
ところだけ後から手動で追加」ってのもやっぱり駄目なんじゃないかなーと
か思ったり…。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 16:25:00

>>878
動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
トチ狂ったバカの無差別攻撃がたまらん。georgeやらandyやらユーザ名を変えるだけならまだしも
それを片っ端からポート変えて試すとは…。なんたるトラフィックの無駄遣い。
せめて最初にポートスキャンしてくれればいいものを。

>>876 >>880の2方法が正解なのかな。どちらにしろPCルータじゃないとダメそうだ。
でも肝心の接続部分はハードウェアルータに任せたい。
そうなると間に挟むしか無いのか。昔ながらのファイアウォールだ。
なんかエレガントさに欠ける気がする。うーむ…。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 16:25:49

>>883
> 動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
ならスレ違い。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 16:37:18

>>884
？？？
sshd動かしたサーバでssh以外に何も使ってないの？

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 16:40:21

ssh 以外へのアクセス制限の話は
ssh スレでやる必要ないっしょ。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 17:02:40

>>886
いやいや、sshへのアクセス制限の話だよ。
sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
そこに向けてまでsshログインしてこようとする輩がいるのよ。
だからサーバ群に到達する以前にルータの時点で国単位でパケットごと捨てたいという話。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 17:04:07

22/tcp 宛だけ >>878 にすればいいじゃん。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 17:11:40

>>888
もう釣られないぞ。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 18:38:12

>>873
「東アジアフィルター」でぐぐれ

接続ルータは業務用ローエンド(RTX1100とかIX2015とかCisco1812Jなど)の
フィルタをたくさん書ける奴に交換すれば良かろう

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 18:58:32

>>890
おお！これは凄い！素晴らしい！ありがとう！

ルータは残念ながら元からRTX1100なのでした。
でも、これ見る限りある程度ざっくり切れそう。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 19:14:29

無駄な努力せずに、ポート番号変えろよ。

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 21:41:36

ある意味正解かもな > ポート番号変更

**名無しさん＠お腹いっぱい。** · 2007/11/08(木) 22:09:27

887で、

|sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
|そこに向けてまでsshログインしてこようとする輩がいるのよ。

って書いているから、そういう奴には、ポート番号変えても無駄だろう。
空いている所には無理矢理入ろうとしているようだ。

**名無しさん＠お腹いっぱい。** · 2007/11/09(金) 01:15:54

普段はポートを閉じて置いて、決められた順番にポートを叩くと
必要なポートをあけてくれる knockd ってのが無かったっけ？(用途はsshに限らんが)
ちょっとめんどいけど、それなりに有効ではなかろうか。

**名無しさん＠お腹いっぱい。** · 2007/11/09(金) 10:35:38

めんどくさすぎっす

まだ ssh over TLS みたいにして
TLS のネゴしてからにするとかの方が…

やっぱ面倒だ…

**名無しさん＠お腹いっぱい。** · 2007/11/09(金) 11:13:35

放置プレイが一番楽

**名無しさん＠お腹いっぱい。** · 2007/11/09(金) 11:53:51

むしろこの際 jail の下とかに account/password が
root/root みたいなのを用意して捕獲して眺めるとか

ログ付きの sh とかないのかな?

**名無しさん＠お腹いっぱい。** · 2007/11/09(金) 12:15:34

>>897
実害はauth関連のログが溢れる程度なんで、手間をかけてまで対策かけるのは
確かにアホらしいんだよなぁ。

**名無しさん＠お腹いっぱい。** · 2007/11/09(金) 13:12:33

IPで制限かけるのは無理だと悟ったので、hosts.allowからspawnでシェルスクリプトを呼び出して、
一定回数以上ログインに失敗する or rootでログインしようとしたIPからのアクセスを
iptablesで5分くらい弾くようにしてる。ログも溢れないし、精神衛生的にも良い。

**名無しさん＠お腹いっぱい。** · 2007/11/09(金) 13:12:59

>>895
見てみたがSolarisだとダメなのか…。

**名無しさん＠お腹いっぱい。** · 2007/11/20(火) 11:21:36

>901
その昔、
http://phenoelit-us.org/stuff/cd00rdescr.html
をSolarisに移植して遊んでたことがある。昔過ぎて移植した
ソースは失われ、上のlinkが辛うじて残るのみだった...

**名無しさん＠お腹いっぱい。** · 2007/12/07(金) 05:13:17

>>900
http://danger.rulez.sk/projects/bruteforceblocker/
BSD系とかだとこんなのあるみたいですよん

さらに、うちは独自にSSH用DNSRBL作ってサーバ群で共有して弾いてますけど
そこそこに弾いてくれます。
利用者ドメインが.JPのみのサーバでも、どこかで検出したら同じIPアドレス
とは格闘しなくてよいですが、一部IPアドレスが連番なサーバ群に同時に
攻撃されると一時的に両方ともが相手することになるのが気になったりしますね。

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 07:48:44

sshfsを起動時にマウントする方法を教えてください。

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 20:39:49

シェルスクリプト内で、ssh接続して公開鍵認証で無く、パスワード認証になった場合は
パスワードプロンプトからシェルにプロンプトを戻す設定ってありますでしょうか？

下記のようなスクリプトを実行した場合にプロンプトが戻るようにしたいです。

[root@www ssh]# cat aaa.sh
ssh -l guest 192.168.10.3
echo $?

公開鍵認証だけに設定するのは要件からできません。
よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 21:01:24

>>905
expectやzshのzptyについて調べたほうがいいような気がする

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 21:12:35

>>905

ssh -l guest 192.168.10.3 -o 'PasswordAuthentication no'

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 21:15:12

SSHで接続しようとすると接続までに 30 秒ほど時間のかかるサーバーがあります．
接続後は問題ありません．認証は公開鍵暗号を使っています．

ssh -vv で見てみると次の表示をした後とまっているようです．
なにがまずいんでしょうか？

>debug2: we sent a publickey packet, wait for reply

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 21:40:52

>>908
逆引きできてるかい？

**908** · 2007/12/11(火) 21:43:46

>>909
逆引きはできてないです．
この場合どういう設定をすれば待ちを回避できるのでしょうか？

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 21:54:56

>>906,907
回答ありがとうございます。なるほどそういう方法もあるんですね。
ただ、その場合回避はクライアントに依存することになるかと思います。

サーバ側設定で「公開鍵認証できない場合は。。。」で処理を分けるというのは
やはりできないでしょうか？

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 21:57:02

>>911
なんだ、サーバー側をいじっていいのかよ。それを先に言え。
サーバー側の ssh_config で、 PasswordAuthentication no を設定。

以上。

**名無しさん＠お腹いっぱい。** · 2007/12/11(火) 22:02:26

sshサーバ側hostsにクライアントのエントリ書いて治まればlibwrapだな

**名無しさん＠お腹いっぱい。** · 2007/12/12(水) 00:09:33

>>912
それだと公開鍵認証接続しか許可しないのでは？
パスワード認証になった場合、TELNET接続のように一定時間で
プロンプトが戻ってくるようにしたいのですが、上手い方法が
無くて悩んでいます。

**名無しさん＠お腹いっぱい。** · 2007/12/12(水) 17:21:07

ちゃんと要件整理してから出直しておくれ…

**名無しさん＠お腹いっぱい。** · 2007/12/20(木) 14:36:35

sshfsでsftpをマウントしているのですが、マシンの起動時に、マウントする方法を教えてください。
パスワードで躓いています。

**名無しさん＠お腹いっぱい。** · 2007/12/20(木) 16:26:07

>>916
パスワードを使わないようにする

**名無しさん＠お腹いっぱい。** · 2007/12/20(木) 18:59:58

>>916 パスフレーズなしの鍵で認証すればおｋ

**名無しさん＠お腹いっぱい。** · 2007/12/20(木) 19:52:51

puttyならつながるのに、いつの間に、ttsshは、opensshとの相性が
悪くなってやがんのよ？　事前共有鍵とか作って置いておけっての？
はあぁ・・・

**名無しさん＠お腹いっぱい。** · 2007/12/20(木) 22:45:50

>>919
今のご時世、Poderosaじゃね？

**名無しさん＠お腹いっぱい。** · 2007/12/20(木) 23:21:23

ターミナルエミュレータなのに.NETアプリで重いというのがなぁ

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 00:10:57

>>921
重いのはインストール時と初回起動時だなｗ

タブブラウジング出来るってのは、やはり正義だ。
20台纏めて面倒見なきゃならん時なんかは、寺よりもポデの方が便利。
ショートカットでのタブ移動を憶えたら、もう戻れない身体になってしまった。
アプリ自体も安定しているしね。

ただし、富士通SPARC機のXSCFには何故か接続出来ないという罠が待っている。
XSCFだけ寺を使うしかないという罠。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 07:41:20

>>922
GNU screen使いなんで、タブとかはまるで使わんからなぁ。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 10:04:01

>>923
>20台纏めて

まぁそれでも俺はパテ使いだが。SDIだろ結局。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 12:20:36

screenを起動したマシンから、windowを新しく開いてそこからsshしてるのではないかと。
キーボード操作だけでコピペできるのは非常に便利。

Poderosaは.NETな時点で使わない。個人的に.NET嫌いなので。それにPuTTYほど細かいカスタマイズができない。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 13:28:46

個人でせいぜい数台管理するのと
サバ管が何十台も管理するんじゃ違うと思う。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 14:57:34

>>925
そそ。そこから各マシンにはずっとsshしっぱなしなので、
いちいちtermのほうで何度もsshをする必要ないし。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 17:13:08

メイン環境がMac OS Xだから、そういった事に気を使う事は不要だったりする :-)
単にTerminal.app開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 20:34:09

メイン環境がFreeBSDだから、そういった事に気を使う事は不要だったりする :-)
単にKTerm開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 21:05:42

メイン環境がCygwinだから、そういった事に気を使う事は不要だったりする :-)
単にkterm開いて、そのままsshコマンド打つだけだからね。
Macかぶれな人は面倒だねぇ。

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 21:25:53

同時に何枚も開くときの話じゃねーの？

**名無しさん＠お腹いっぱい。** · 2007/12/21(金) 21:38:43

>>931
そこでscreenですよ

**名無しさん＠お腹いっぱい。** · 2007/12/22(土) 12:18:22

ubuntuにdenyhostsを入れたのですが、パソコンの起動時にdenyhostsが起動してくれません。
どこで設定すればよいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2007/12/26(水) 10:36:43

>>933

ttp://www.ksknet.net/linuxai/chkconfig_initd.html

**名無しさん＠お腹いっぱい。** · 2007/12/27(木) 01:05:58

sshfsを起動時にマウントしたいのですが、マウントの実行をrootではなくユーザーで行いたいのですが、
何かよい方法はないでしょうか？

**名無しさん＠お腹いっぱい。** · 2007/12/27(木) 01:24:24

>>935
cron

**名無しさん＠お腹いっぱい。** · 2007/12/27(木) 01:30:25

>>935
su

**名無しさん＠お腹いっぱい。** · 2007/12/27(木) 02:00:15

uidが0の「ユーザー」を作る。

**名無しさん＠お腹いっぱい。** · 2007/12/28(金) 00:30:02

toor？

**質問させて下さい** · 2007/12/31(月) 03:59:30

sshの初心者ですいません
sshにつなぐことはできたのですがコマンドがわかりません；；

アクセス解析をサイトに入れたいのですが
入れたいサクセス解析
ttp://www.hping.org/visitors/　（visitors0.7です）

某ブログより次のようにコマンドを打てばインストールされましたが、自分で指定したサーバー上の
フォルダにインストールしたいのですが、何度してエラーがでてしまい無理でした。

wget http://www.hping.org/visitors/visitors-0.7.tar.gz
tar xvzf visitors-0.7.tar.gz
cd visitors_0.7
make
cp visitors /usr/bin

public_html/www.123.com/abc/
abcのフォルダにインストールしたい場合はどのようにコマンドをうってあげればいいのでしょうか？
よろしければアドバイスお願いします。

**名無しさん＠お腹いっぱい。** · 2007/12/31(月) 04:25:11

某ブログに聞け。
というよりも、ちゃんとドキュメント読むのが先。

**名無しさん＠お腹いっぱい。** · 2007/12/31(月) 09:57:29

>>940
キミに必要なのはsshの使い方じゃなくてUNIX,LINUXの使い方。
本屋行って入門書を買ってくるか、キミのように「自分が何をわかっ
ていない」かさえわからない超ウルトラ初心者でも暖かく迎え入れ
てくれるlinux板に行きなさい。

**名無しさん＠お腹いっぱい。** · 2007/12/31(月) 13:44:52

いまさらですが
>808からの流れであの方のAAが出てないのが不思議だｗ

**名無しさん＠お腹いっぱい。** · 2008/01/01(火) 03:43:14

>>928
もともとMacユーザで、10.3くらいまでは結構Terminal使ってたんだけど、PuTTYに比べて
・アンチエイリアスうぜー
・Emacsとか表示崩れすぎなんじゃボケ！！
って感じで
「Macツカエネー」と思ってたよ。
いまだいぶマシなの？

**名無しさん＠お腹いっぱい。** · 2008/01/01(火) 03:54:17

うん、少しは麻紙。
アンチエイリアスうぜーんだったら、xterm使えば四濾紙。

**名無しさん＠お腹いっぱい。** · 2008/01/01(火) 05:06:48

>>944
＞アンチエイリアスうぜー

は？

＞Emacsとか表示崩れすぎ

明らかに、設定が悪いだけだな
安置の攣りか？

**名無しさん＠お腹いっぱい。** · 2008/01/01(火) 05:11:28

元来のマック使いに、その辺りを期待するのは無謀。
アホでも使えるが売りだから。

**名無しさん＠お腹いっぱい。** · 2008/01/01(火) 05:16:14

sshじゃなくてターミナルエミュレータのスレでやれよ・・・

**名無しさん＠お腹いっぱい。** · 2008/01/04(金) 09:31:49

sshfsで一度マウントすると、再起動してもマウントされているのは仕様ですか？

**名無しさん＠お腹いっぱい。** · 2008/01/04(金) 10:57:49

>>949
/etc/fstab

**名無しさん＠お腹いっぱい。** · 2008/01/05(土) 10:26:17

見てみましたが、fstabにはsshfs関係の設定は何も書かれていないのですが、・・・

**名無しさん＠お腹いっぱい。** · 2008/01/05(土) 11:18:24

http://pc11.2ch.net/test/read.cgi/linux/1196399724/659

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 16:22:15

皆さんお元気ですか？私は質問したい。
port forwarding で２つ以上のマッスィーンを一発でトンネルできるか？できるのか？
可能ですか否ですか？飛び石は面倒な気持ちなんです。

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 16:25:07

「chi」を「スィ」と発音するのかよｗ

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 17:05:21

するよな？

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 17:14:50

さぁ～？

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 17:15:23

[∫i] ≠ スィ

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 17:18:41

ミシン（←英語は発音大事）

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 17:19:40

んー、やっぱ出来るわけないですよね常考。２つ以上のマチャイネを一発でトンネルなんて。
コツコツport forward する。皆さんの生暖かい応対に感激いたしました。バイビー

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 17:24:06

×トンネル
○タノウ（←英語は発音大事）

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 17:34:14

マチャアキ、頼む…

**名無しさん＠お腹いっぱい。** · 2008/01/10(木) 19:05:56

「スィ」じゃなくて「シュイ」って感じ

**名無しさん＠お腹いっぱい。** · 2008/01/12(土) 04:43:15

>>953
一発では無理だよ

**名無しさん＠お腹いっぱい。** · 2008/01/19(土) 13:20:21

どうして、しょっちゅうバグが見つかって、改訂されるのだろうかな。

**名無しさん＠お腹いっぱい。** · 2008/01/19(土) 16:16:48

「コードはバグを産み出す」って格言があるから。

**名無しさん＠お腹いっぱい。** · 2008/01/19(土) 20:16:02

バグが残ってるなんて怠慢だとか言う連中って
テストで毎回全教科満点とったり仕事はノーミスで優秀だったりするのか？

ま、964みたいなヤツがそうであるとは到底おもえないわけだが。
ただの無知か釣りでしかない。

**名無しさん＠お腹いっぱい。** · 2008/01/19(土) 20:18:56

>>964
OpenSSHでなくssh.com使っとけ
もう数年間freezeしたまんまだ

**614** · 2008/01/29(火) 10:25:15

遅レススマソ

authorized_keys の特定のユーザーを消したいという話ですが、
公開鍵をみてもメールアドレスなどの情報はついてません・・・。

というか、自分で putty_gen とか Poderosa で生成したのがついてない orz

下記サイトの「authorized_keys ファイルの例:」を見たら、
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
# でコメントも書けるようですし、行末にスペース区切りでコメントOKみたいので・・・

って、putty_genで、「鍵のコメント」欄に適当にテキスト入れたら、
authorized_keys にコピペする公開鍵に上記アドレスの例のようにコメントつけられました。

今後はそれで行こうと思います。

**名無しさん＠お腹いっぱい。** · 2008/02/07(木) 21:21:40

windowsのpoderosaで作った公開鍵と秘密鍵で
poderosaからはパスフレーズを使ってログインできるんですが、
秘密鍵をlinuxクライアントに持っていき、ホームの.ssh/id_rsa に置き、
sshにログインしようとしたのですが、
同じパスフレーズでログインできないのはなぜでしょうか？

**名無しさん＠お腹いっぱい。** · 2008/02/07(木) 21:44:43

$HOME/.sshのディレクトリのパーミッションは700にすること。
755とかは不可。

**名無しさん＠お腹いっぱい。** · 2008/02/08(金) 10:43:42

FTPのasciiモードってオチじゃないの?

**名無しさん＠お腹いっぱい。** · 2008/02/08(金) 11:17:37

すでに自己解決しました。
ちなみに>>970 >>971 とも大はずしですｗｗ

**名無しさん＠お腹いっぱい。** · 2008/02/08(金) 11:18:21

クイズはやめれ