SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:25:21

よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
　そのパスワードは暗号化されているのですか？
A.はい、その通りです。
　SSHプロトコルでは、まず始めにサーバ<->クライアント間で
　暗号化された通信路を確立します。
　ユーザ認証はその暗号化通信路の上で行なわれるので、
　パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
　ログインを試みる輩がいるのですが？
A.sshdにアタックするツールが出回っているようです。
　各サイトのポリシーに従って、適切な制限をかけましょう。
　参考：http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:26:20

◇実装
本家ssh.com
　http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
　http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
　OpenSSH情報：http://www.unixuser.org/~haruyama/security/openssh/
　日本語マニュアル：http://www.unixuser.org/~euske/doc/openssh/jman/
　OpenSSH-HOWTO：http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
　http://hp.vector.co.jp/authors/VA002416/
　http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
　http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
　http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
　http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
　http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
　http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
　http://pro.wanadoo.fr/chombier/
PortForwarder
　http://www.fuji-climb.org/pf/JP/
TRAMP
　http://www.nongnu.org/tramp/tramp_ja.html

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:27:05

◇規格等
　・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
　・RFC4251: The Secure Shell (SSH) Protocol Architecture
　・RFC4252: The Secure Shell (SSH) Authentication Protocol
　・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
　・RFC4254: The Secure Shell (SSH) Connection Protocol
　・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
　　Key Fingerprints
　・RFC4256: Generic Message Exchange Authentication for the Secure
　　Shell Protocol (SSH)
WideのSSH解説
　http://www.soi.wide.ad.jp/class/20000009/slides/12/

◇おまけ
Theoのキチガイぶり
　http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
　http://www.qmail.org/djbsssh/

1 · 2010/02/16(火) 21:28:09

一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが
面倒糞くなったのでそのままコピペしました。
後よろしく。

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:33:26

※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。
最低限次のような対処をしておきましょう。

ttp://www12.atwiki.jp/linux2ch/pages/141.html

●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する

●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする｡　
特定の接続元からの接続を拒否する
ポートを変える

**名無しさん＠お腹いっぱい。** · 2010/02/17(水) 14:12:38

>>1
乙

**名無しさん＠お腹いっぱい。** · 2010/02/17(水) 20:17:48

なあ、インターネットに繋がってないマシンも 6 をやってる？

**名無しさん＠お腹いっぱい。** · 2010/02/17(水) 22:27:20

パスフレーズ無しの公開鍵認証の方が楽

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 00:13:17

っつーか公開鍵使わない認証って SSH 使う意味ないよね

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 00:19:24

なんで？

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 00:20:21

>>10
俺もそうおもってた。。。。

でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 12:41:47

>>11
パスワード認証を暗号化したところで
ブルートフォースアタックには無力

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 12:47:36

それがどうしたというのかね?

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 12:57:25

>>13
それを言うなら公開鍵もブルートフォースで破れる

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 12:59:58

それがどうしたというのかね?

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 13:15:12

RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 14:38:16

>>6も勘違いしてるけど
ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 15:05:51

アクセス元しぼればいいだけじゃん。

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 15:31:37

辞書攻撃って（総当たりとは言えないにしても）ブルートフォース（腕ずく）の一種じゃないか？

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 15:41:53

>>20
いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない

**名無しさん＠お腹いっぱい。** · 2010/02/18(木) 15:52:31

辞書攻撃は立派な攻撃手法の一種

ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉～な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません

**名無しさん＠お腹いっぱい。** · 2010/02/20(土) 19:40:35

# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22

# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

**名無しさん＠お腹いっぱい。** · 2010/02/20(土) 19:43:11

# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# パーミッションチェック
StrictModes yes

# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか？？
disconnected no supported authentication methods available
って表示されてしまいます。

**名無しさん＠お腹いっぱい。** · 2010/02/20(土) 20:55:09

>>24
ssh2で接続してないからだな

**名無しさん＠お腹いっぱい。** · 2010/02/20(土) 21:40:42

-vで起動すれば拒否される理由を教えてくれる。

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 00:41:06

.ssh/authorized_keys から
違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな？？

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 02:45:27

アクセス権のせいだろうな

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 11:54:43

これまでは問題なく運用出来ていましたが、
ある日突然connection　refusedのエラーが出て接続できなくなりました。

ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd　start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。

ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。

**sshd 起動するだけじゃん** · 2010/02/21(日) 12:02:02

> これまでは問題なく(ry
> ある日突然(ry

そのあいだにやったことを書けば解決できるじゃろ

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 12:10:18

/etc/init.d/じゃなくて/sbin/init.d/じゃないの？
HP-UX知らないやつは手を出すなよ、壊すから

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 13:16:06

レスサンクス。
>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。

>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。

使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 19:16:21

どう考えても ssh の質問じゃなくて HP-UX の質問じゃん

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 19:25:47

>>33
10.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。

とりあえずinit.dの場所が違うのが分かったので明日調べてみます。

そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 20:19:13

スレ違いかもしれないが、WikipediaのSSHに関する記事
http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか？

OpenSSHのデフォルト設定の危険性を挙げているが、原文（英語）見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か？

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 20:22:08

wikiなんだから書き替えたら。

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 20:45:14

・PasswordAuthentication noにする
・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 20:56:35

ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。
そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。

>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。

>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 21:10:01

チャイナ、コリアはデフォルトでドロップだろ。

**名無しさん＠お腹いっぱい。** · 2010/02/21(日) 21:13:41

/bin/reverseattack