SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 13:48:30

wgetで済むのにfirefoxを起動するのが牛刀

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 13:50:46

>>154
nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、
ptyは無駄にしかならない。

setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので
無駄にならない。

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 13:51:13

牛刀のほうが使いなれてるなら牛刀でいいじゃん

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 18:38:39

いやだから、ptyが無駄になって
何か問題があるのか?

そりゃ鳥をバラすのに牛刀使うのは
かえってやりにくかろうとは思うが
screen使って「特に問題が出ない」なら
別に構わんのでは?

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 18:50:41

そこは触れてほしくないみたいだよ。

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 19:22:26

> 「鶏を割くに焉んぞ牛刀を用いん」
> 小事を処理するのに、大掛かりな手段を用いることのたとえ。

「大掛かりな手段」と言うほどscreenは大掛かりか?
俺はわりと日常的に使ってるけど。

たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる
みたいな話ならまだ分かるが。
screenだぜ? w

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 19:24:21

MS Word を日常的に使ってれば
それは大掛かりにならんのでは

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 19:43:57

screenはインストールされてるとは限らないから、
わざわざscreenをインストールしてから作業開始だとすると大がかりだな。

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 19:48:50

それはまた話が別。

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 19:51:09

>>161
ヘタすると実作業よりも起動待ちの方が長くなるような
という意味合いで書いたんだが。
作業内容に比して大掛かりな道具という。

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 19:52:33

>>162
yumやaptの使い方知らないなら
確かに大掛かりな話になるかもね。

つか、そのレベルの人だったら
別の方法を採用したら
もっと大掛かりな話になりそうなw

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 20:09:00

勝手にソフトを入れてはいけない客先のマシンとか、
社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。

**名無しさん＠お腹いっぱい。** · 2010/03/26(金) 22:39:08

>>164
もれは attach するだけだから爆速

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 16:19:47

# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 16:20:30

# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。
なぜなのでしょうか？？
AllowUsers root は AllowUsers root hogehoge の間違いです。

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 16:21:18

ログ見ないのかね。

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 16:37:36

AuthorizedKeysFile /etc/ssh/authorized_keys
こんなデタラメな設定、誰に教わった?

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 16:47:36

あれ、なんかデジャヴ?

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 19:30:03

これは酷いw

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 19:39:25

こういうバカは死んで欲しい。
http://d.hatena.ne.jp/fjkktkys/20070214/1171433041

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 20:31:37

>>174
いちおう「最終手段」って書いてるじゃん。

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 23:56:23

何をやっているか理解せずに、全世界に公開する愚かな行為を言っているのだ。

**名無しさん＠お腹いっぱい。** · 2010/03/30(火) 23:59:29

ブログに書かれた設定系のネタでまともなものを見たことがない。

**名無しさん＠お腹いっぱい。** · 2010/03/31(水) 02:11:42

>>174
それ3行並べてるじゃん。
>>168のは一行しか書いてないじゃん。
なんで>>174の方を叩くべきって結論に？

>>177
ほう

**名無しさん＠お腹いっぱい。** · 2010/03/31(水) 19:07:47

3:1で>>174の勝ち。

**179** · 2010/03/31(水) 21:08:38

>>174の方が明らかに間違い
>>168はそれに騙された被害者

一日間に異論がなければそれで確定ね

**名無しさん＠お腹いっぱい。** · 2010/03/31(水) 21:55:09

>>168
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
ｺｺ見てわからなかったら、ｸﾞｰｸﾞﾙさんに聞いてください。

**名無しさん＠お腹いっぱい。** · 2010/03/31(水) 23:04:37

一日間に異論がなければそれで確定ね(ｷﾘｯ

**名無しさん＠お腹いっぱい。** · 2010/04/01(木) 17:19:46

何をやっているか理解せずに、誰かが書いた設定をコピペして使うのも愚かな行為。

**名無しさん＠お腹いっぱい。** · 2010/04/05(月) 19:44:17

どうしてもssh認証できなくて、2日間悩んだあげくやっと原因を発見した
作った.sshディレクトリの所有者がrootになってた
忘れないようにここに記録しておく

**名無しさん＠お腹いっぱい。** · 2010/04/05(月) 19:53:15

ばーかとしか言いようがない

**名無しさん＠お腹いっぱい。** · 2010/04/06(火) 07:47:09

そんなこと普通起きないから忘れていいよ。

**名無しさん＠お腹いっぱい。** · 2010/04/06(火) 21:43:11

いや、>>184 が記憶したいのが「所有者が root だから駄目だった」だったら
きっと同じようなことをまたやらかすに違いない

**名無しさん＠お腹いっぱい。** · 2010/04/07(水) 11:24:55

>>187
?
他に何を記憶したいという可能性が?

**名無しさん＠お腹いっぱい。** · 2010/04/08(木) 16:20:59

root だったからじゃなくて、所有者が違ったからだめなんだよ。
そういう記憶の仕方は良くない。

/root/.ssh の所有者がrootでも何の問題もないからな。

**名無しさん＠お腹いっぱい。** · 2010/04/08(木) 16:43:10

それを言うなら「所有者が違って、かつotherに読み込み権限がなかったから」だろ
>>184は所有者の確認もせずにパーミッションだけは700とかに設定したわけだな

**名無しさん＠お腹いっぱい。** · 2010/04/08(木) 16:54:06

>>190
違うよ。
「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。

**190** · 2010/04/08(木) 17:17:26

/home/testuser/.ssh# ls -la
合計 12
drwx---r-x 2 root root 4096 2010-04-08 17:05 .
drwxr-xr-x 3 testuser testuser 4096 2010-04-08 17:05 ..
-rw----r-- 1 root root 395 2010-04-08 17:05 authorized_keys

試してみたけどこの状態ならtestuserでSSHログインできたぞ。
ここから chmod o-rx . ./authorized_keys するとログイン不可。
まぁ環境によるのかもしれないけど。

**名無しさん＠お腹いっぱい。** · 2010/04/08(木) 21:03:08

drwx--x--x .
drwxr-xr-x ..
-rw------- authorized_keys
だろ常考

**名無しさん＠お腹いっぱい。** · 2010/04/08(木) 21:10:03

そういう話はしていない。

**187** · 2010/04/08(木) 22:18:50

俺が言いたかったのは「所有者が root だから駄目だった」という
個別の事例を記録しても意味がなくて、なぜ ~/.ssh の所有者を root に
してしまったのかの原因を詳らかにしておいた方がいいんじゃないの？
ってことだったんだけどね

平たく言うと、安易にスーパーユーザーで作業すんなってこと

**名無しさん＠お腹いっぱい。** · 2010/04/09(金) 10:15:32

>平たく言うと

遠すぎるな

**名無しさん＠お腹いっぱい。** · 2010/04/09(金) 10:23:15

いや
何度も書かれている
お前の目が節穴だっただけ

大抵の人はフィルタを通して物(この場合スレの書き込み)を見てしまう
大事なことが書かれていてもそれに気付くためには
本人がそれを受け入れるための準備が必要なんだ

**名無しさん＠お腹いっぱい。** · 2010/04/09(金) 10:32:54

>>191
× 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。
○ デフォルトでは所有者がroot以外の他人またはgoに書き込み権限有りの場合に拒否。
これほどあからさまな嘘は珍しい。

**名無しさん＠お腹いっぱい。** · 2010/04/16(金) 17:26:34

opensshでログインするとサーバー側にTIOCSCTTYの引数が無効とでます
何が原因かわかりますでしょうか

**名無しさん＠お腹いっぱい。** · 2010/04/16(金) 17:32:04

>>199
LANG=ja_JP.UTF-8 等にしているのが原因です。
LANG=C なら、ちゃんと
TIOCSCTTY: invalid argument
と出ます。

**名無しさん＠お腹いっぱい。** · 2010/04/16(金) 17:39:01

>>200
失礼しました勝手に訳しました
ログインはできるので影響はないんですが気になるので調べてます

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 21:33:11

一つ質問させて下さい。皆さんはSSHを用いて通信が暗号化された事をどのような方法で
確認していますか？

現在、
サーバ：windows2003server + cygwin(+openssh)
クライアント：windowsXP + teraterm
という環境でSSHポートフォワーディングを利用してリモートデスクトップ接続を
行おうとしており、実際に接続出来ていてリモートデスクトップが可能なのですが
経路が暗号化されているのかが判別出来ていません。

何か確認出来る方法、ツール等ありましたらご教示下さい。

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 21:43:42

パケットキャプチャでも使ってみたらどうだろう

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 21:50:06

ルータ経由でネットワーク分離して
間違って直結しようとしても出来ない構成にしておけばいいじゃん

**名無しさん＠お腹いっぱい。** · 2010/05/14(金) 11:45:06

>>204
それだと「暗号化されてるかどうか」の
確認にはならんような

sshが信用できないから
自分の目で確認したい
ということかw
その批判精神には感じ入るが…

>>203しかないのでわ
tcpdumpとか?

**名無しさん＠お腹いっぱい。** · 2010/05/14(金) 11:51:20

>>202
暗号化の確認にはならないけど、逆にリモートデスクトップの通常のポートに
接続されていないことをnetstatで確認するのはどうだろう。

**名無しさん＠お腹いっぱい。** · 2010/05/14(金) 14:18:39

自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけをhosts.allow に記述するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、hosts.allowを sshd: ALL にする
メルアドとスクリプトも作った。

**名無しさん＠お腹いっぱい。** · 2010/05/14(金) 20:13:48

>>205
tcpdumpの出力を目視だけでは正しく暗号化されてるかまでは判別できないと思う
>>207
それならiptablesの方が汎用的では？

**名無しさん＠お腹いっぱい。** · 2010/05/15(土) 10:17:55

自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけを iptables に追加するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、iptables に追加する
メルアドとスクリプトも作った。

**名無しさん＠お腹いっぱい。** · 2010/05/15(土) 14:18:11

メールサーバも落ちてたらお手上げなので、DNS query受け付けると、iptables フラッシュするためのRRとスクリプトも作った。ドメインも買った。

**名無しさん＠お腹いっぱい。** · 2010/05/15(土) 16:39:38

面白いと思ってるのが痛い

**名無しさん＠お腹いっぱい。** · 2010/09/08(水) 19:35:34

sshでトンネリングしてみたけれども、転送速度ってこんな遅いの？

FTPやVNCで20～30KB、squidのプロクシとかは一瞬120KBくらいは出たけど
CPUや光帯域がネックってわけじゃないみたいだし、ちょっと不満。

WindowsでOpenSSHとPuttyの組み合わせです

**名無しさん＠お腹いっぱい。** · 2010/09/08(水) 22:03:31

トンネリングしない場合と比べてどうなの？

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 00:18:25

トンネリング無しだと、FTPで3MB/s、
VNCでも動きが激しいとこで400kb/sくらいでる

ssh通すと帯域制限されてる感触で、30kb/sしか出ない
一つのサーバとクライアント2台で試して同じ感じ

普通はどのくらいスループットでるものですか？
もしこれで遅すぎるならソフト変えてみる

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 01:31:41

サーバーは何？

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 01:46:54

>>214
＞トンネリング無しだと、FTPで3MB/s、

この速度からして802.11gとかか？
あとFTPのSSHトンネリングはSOCKSサーバ方式？
どんな方式にせよそんなに落ちるのはおかしい。
暗号化方式をrc4やblowfishにすると速度出る。

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 01:55:05

OpenSSH for Windows 3.8p1-1 20040709 Build
http://sourceforge.net/projects/sshwindows/files/OpenSSH%20for%20Windows%20-%20Release/

一般的な家庭内LANで、ポート22開放してCorei3積んだWindowsXPに入れて動かしてる
SHH-2の公開鍵認証
回線はBフレッツハイパーファミリー

素直にLinux使えばいいんだろうけどね

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 01:59:12

つまり回線は関係ないんだよね

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 02:00:32

セキュリティソフトは？

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 03:02:15

>あとFTPのSSHトンネリングはSOCKSサーバ方式？
サーバ側で転送用に再接続する待ち受けポートをいちいちトンネリング設定してた
今SOCKS5方式で試してみて、転送速度は変わらなかったけど、便利になった

ウイルスセキィリティゼロが気休めに入っているけれども、
全部無効にしても違いが無い
今はWindowsファイアウォールだけ動かしてる

PuttyだけじゃなくTera Termでも試したけれども変わらなかった
サーバ側見直すよ

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 09:37:54

>>212
もしかして中国とか? 先月中国出張の際にsshトンネルを通すと耐えられないくらい遅くなったよ。

**名無しさん＠お腹いっぱい。** · 2010/09/09(木) 21:02:14

ssh -q -n hostname dd if=/dev/zero bs=8M count=1 > /dev/null

**名無しさん＠お腹いっぱい。** · 2010/09/10(金) 19:56:49

ダウンロードなのかアップロードなのかでCPUスペックがより必要なホストがどちらかが変わる。
それぞれのスペックは？

**名無しさん＠お腹いっぱい。** · 2010/09/10(金) 20:02:28

あ、ごめんなさい、圧縮転送とかんちがいした。
共有鍵暗号だからそんなに計算量変わらないか。

**名無しさん＠お腹いっぱい。** · 2010/09/21(火) 01:49:39

20MB/sくらいはデルよ

**名無しさん＠お腹いっぱい。** · 2010/11/12(金) 23:54:21

authorized_keys と authorized_keys2 ってどういう違いがあるの？
バージョンや暗号化方式によって違うらしいけど
なんでそんなことするの？

**名無しさん＠お腹いっぱい。** · 2010/11/13(土) 00:38:50

authorized_keys に version2 のキー置いても問題なく動いてるけど

**名無しさん＠お腹いっぱい。** · 2010/11/13(土) 10:01:45

>226
openssh と本家で仕様が違ってる(or 違ってた; 最近の事情は知らない)

**名無しさん＠お腹いっぱい。** · 2010/11/13(土) 15:32:38

確かに本家とは仕様が違ってる/違ってたけど、authorized_keysとauthorized_keys2って違いじゃないはずだぞ。

**名無しさん＠お腹いっぱい。** · 2010/11/13(土) 20:43:41

結局authorized_keys2は互換性のために残っているんだっけ？
authorized_keysが使えない条件は何？

**名無しさん＠お腹いっぱい。** · 2010/11/13(土) 21:48:36

リンクしとけよ

**名無しさん＠お腹いっぱい。** · 2010/11/13(土) 22:31:54

【新世代】 Windows 7 Part70
ttp://hibari.2ch.net/test/read.cgi/win/1276868266/783

783 名前：名無し~3.EXE[sage] 投稿日：2010/11/10(水) 22:34:10 ID:Rr0vNFYE
Windows 7 クライアントだと Loopback でもポートがかちあって
ssh トンネル越しの Windows 共有 (SMB ove SSH) が自分はできてなかったが
良い解説を見つけてできるようになった

CIFS-over-SSH for Windows Vista/7
ttp://www.nikhef.nl/~janjust/CifsOverSSH/VistaLoopback.html

キーワード:
CIFS over SSH (445/tcp)
Microsoft Loopback Adapter
sc config smb start= demand
netsh interface portproxy add v4tov4
net start smb (後から実行)
445 じゃなく proxy ポートに接続

あとは cygwin の openssh でOK

**名無しさん＠お腹いっぱい。** · 2010/11/22(月) 21:44:26

鍵認証パスフレーズなしで長いことやってきたが
秘密鍵の保存場所って本気で考えると難しくないか？

普段入るサーバはsudo使えるやつが他にも数人いるし、
会社から提供されたPCもイントラチームにはdomain adminで筒抜け状態。
おいおい、いつ盗まれてもおかしくない状態！！・・・なんだけど
周りには「鍵認証って何？」って人しかいないから助かってるｗ

そもそも会社でパスフレーズなしは無謀？
しかし、パスワード毎回は面倒すぎる。

こういう場合はssh-agentかねやっぱ。
これはこれで面倒そうなんだよな。

皆どうしてるの？

**名無しさん＠お腹いっぱい。** · 2010/11/22(月) 21:52:07

パスなし鍵でどのホストに繋がるのかが判らないようにしておけばよい
さらに同様の鍵が複数(沢山)あるとセキュリティ効果うｐ

**名無しさん＠お腹いっぱい。** · 2010/11/22(月) 22:41:50

パスなし鍵をたくさん用意して、ホストごとに変えろってこと？
まあ、時間稼ぎにはなりそうだけど。。。
何百台もあるしなぁ。

**名無しさん＠お腹いっぱい。** · 2010/11/22(月) 23:33:27

(´-`).｡oO 周囲の人間が信用できないのにどうしてパス無し鍵を使うのだろう

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 00:30:37

セキュリティと利便性が相反するのはわかる。
しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。
だからこそ、安全なパスなし鍵運用を追及したい。

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 00:39:49

なんのためにssh-agentがあると思ってるんだ?

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 01:08:00

ttp://webos-goodies.jp/archives/50672669.html
他人が root ユーザーとしてログインできるマシンでは ssh-agent は使うべきではありません。
ってのを読んで不安になったんで。

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 02:05:03

rootしか見れない場所に置くしかないけど
みんながrootで入れる環境だと意味ない罠

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 13:49:11

>>239
パスなし鍵の方がよっぽど危険

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 15:34:51

パスなし鍵（複数）をローカルに暗号化して保存しておいて
それらをssh-agentでひとつのパスワードで管理って出来ない？

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 17:39:16

> しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。

こういう意識でいる限り何を言っても無駄だな

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 18:13:49

USBメモリに暗号化しておいとく

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 18:46:04

っていうか ssh-agent 使ってみれば
「一日一回」で済むってことが分かるのに

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 18:52:14

>>243
そこをなんとかｗ
業務委託が切られちゃったから、やらざるを得ないけど、
単調作業が嫌いなので、とにかく楽にしたい。

>>244
暗号化はすでにやってる。truecryptでイメージ保存してて
出社したら、.ssh/にマウントさせてる。
でも、マウントした時点でsudoもってる奴らには見えてしまう。

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 18:56:50

パスなしよりは安全だから、ssh-agentにしますわ。
ただ、
ttp://www.gcd.org/blog/2007/07/123/
にもあったけどやっぱ他人がroot使える環境では
安全とは言えないんだよね？

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 19:03:24

そんなの当然でしょ。
ssh信頼できないデバイスが信頼できな

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 19:06:33

すません、書き込み失敗した。
sshクラアントごと差し替えられたり、
キーロガーしこまれたりできるデバイスだったら
秘密鍵のパスフレーズだって抜けるでしょ。

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 19:23:24

そうですよね。。
ってことは俺の環境でパスなし鍵の安全性確保は難しそうだ。
vmwareで解決しそうだけど、禁止だし。。。
厳しいなぁ。

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 19:46:02

ん？>>247の引用URLはForwardAgentでの話か。
イントラチーム筒抜けとかいってたからローカルの話の
続きかと思った。この場合は秘密鍵そのものは覗き見できない。

まあ仮にクライアント側で秘密鍵の機密性が守れたとしても
ログイン先sshdに罠を仕込めるようなサーバ環境なら通信内容の
盗聴はできるよ。

とことん防衛するつもりならSSHクライアント／サーバ管理者以外にも
DNSサーバ管理者やIPルータ管理者の警戒もお忘れなく。。。

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 22:55:09

>>246
>暗号化はすでにやってる。truecryptでイメージ保存してて
>出社したら、.ssh/にマウントさせてる。
そうじゃなくて使う瞬間だけメモリ上で復号するんだよ

**名無しさん＠お腹いっぱい。** · 2010/11/23(火) 23:21:57

>>251
なるほど、盗まれることはないってことか。
まあ盗聴は気をつけるしかないかな。
今回は、パスなし秘密鍵はちゃんと管理せよってよく言うけど、
みんなはどうしてるのかなと思っただけだよ。

>>252
使うたびに複合は面倒じゃない？
ちなみにUSBは使えない。

**名無しさん＠お腹いっぱい。** · 2010/11/24(水) 00:26:21

正直マニュアルくらい読んでからにしてくれ…