SSH その7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2010/02/16(火) 21:23:37FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
0205名無しさん@お腹いっぱい。
2010/05/14(金) 11:45:06それだと「暗号化されてるかどうか」の
確認にはならんような
sshが信用できないから
自分の目で確認したい
ということかw
その批判精神には感じ入るが…
>>203しかないのでわ
tcpdumpとか?
0206名無しさん@お腹いっぱい。
2010/05/14(金) 11:51:20暗号化の確認にはならないけど、逆にリモートデスクトップの通常のポートに
接続されていないことをnetstatで確認するのはどうだろう。
0207名無しさん@お腹いっぱい。
2010/05/14(金) 14:18:39アクセスがあるとそのリモートアドレスだけをhosts.allow に記述するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。
ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、hosts.allowを sshd: ALL にする
メルアドとスクリプトも作った。
0208名無しさん@お腹いっぱい。
2010/05/14(金) 20:13:48tcpdumpの出力を目視だけでは正しく暗号化されてるかまでは判別できないと思う
>>207
それならiptablesの方が汎用的では?
0209名無しさん@お腹いっぱい。
2010/05/15(土) 10:17:55アクセスがあるとそのリモートアドレスだけを iptables に追加するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。
ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、iptables に追加する
メルアドとスクリプトも作った。
0210名無しさん@お腹いっぱい。
2010/05/15(土) 14:18:110211名無しさん@お腹いっぱい。
2010/05/15(土) 16:39:380212名無しさん@お腹いっぱい。
2010/09/08(水) 19:35:34FTPやVNCで20〜30KB、squidのプロクシとかは一瞬120KBくらいは出たけど
CPUや光帯域がネックってわけじゃないみたいだし、ちょっと不満。
WindowsでOpenSSHとPuttyの組み合わせです
0213名無しさん@お腹いっぱい。
2010/09/08(水) 22:03:310214名無しさん@お腹いっぱい。
2010/09/09(木) 00:18:25VNCでも動きが激しいとこで400kb/sくらいでる
ssh通すと帯域制限されてる感触で、30kb/sしか出ない
一つのサーバとクライアント2台で試して同じ感じ
普通はどのくらいスループットでるものですか?
もしこれで遅すぎるならソフト変えてみる
0215名無しさん@お腹いっぱい。
2010/09/09(木) 01:31:410216名無しさん@お腹いっぱい。
2010/09/09(木) 01:46:54>トンネリング無しだと、FTPで3MB/s、
この速度からして802.11gとかか?
あとFTPのSSHトンネリングはSOCKSサーバ方式?
どんな方式にせよそんなに落ちるのはおかしい。
暗号化方式をrc4やblowfishにすると速度出る。
0217名無しさん@お腹いっぱい。
2010/09/09(木) 01:55:05http://sourceforge.net/projects/sshwindows/files/OpenSSH%20for%20Windows%20-%20Release/
一般的な家庭内LANで、ポート22開放してCorei3積んだWindowsXPに入れて動かしてる
SHH-2の公開鍵認証
回線はBフレッツハイパーファミリー
素直にLinux使えばいいんだろうけどね
0218名無しさん@お腹いっぱい。
2010/09/09(木) 01:59:120219名無しさん@お腹いっぱい。
2010/09/09(木) 02:00:320220名無しさん@お腹いっぱい。
2010/09/09(木) 03:02:15サーバ側で転送用に再接続する待ち受けポートをいちいちトンネリング設定してた
今SOCKS5方式で試してみて、転送速度は変わらなかったけど、便利になった
ウイルスセキィリティゼロが気休めに入っているけれども、
全部無効にしても違いが無い
今はWindowsファイアウォールだけ動かしてる
PuttyだけじゃなくTera Termでも試したけれども変わらなかった
サーバ側見直すよ
0221名無しさん@お腹いっぱい。
2010/09/09(木) 09:37:54もしかして中国とか? 先月中国出張の際にsshトンネルを通すと耐えられないくらい遅くなったよ。
0222名無しさん@お腹いっぱい。
2010/09/09(木) 21:02:140223名無しさん@お腹いっぱい。
2010/09/10(金) 19:56:49それぞれのスペックは?
0224名無しさん@お腹いっぱい。
2010/09/10(金) 20:02:28共有鍵暗号だからそんなに計算量変わらないか。
0225名無しさん@お腹いっぱい。
2010/09/21(火) 01:49:390226名無しさん@お腹いっぱい。
2010/11/12(金) 23:54:21バージョンや暗号化方式によって違うらしいけど
なんでそんなことするの?
0227名無しさん@お腹いっぱい。
2010/11/13(土) 00:38:500228名無しさん@お腹いっぱい。
2010/11/13(土) 10:01:45openssh と本家で仕様が違ってる(or 違ってた; 最近の事情は知らない)
0229名無しさん@お腹いっぱい。
2010/11/13(土) 15:32:380230名無しさん@お腹いっぱい。
2010/11/13(土) 20:43:41authorized_keysが使えない条件は何?
0231名無しさん@お腹いっぱい。
2010/11/13(土) 21:48:360232名無しさん@お腹いっぱい。
2010/11/13(土) 22:31:54ttp://hibari.2ch.net/test/read.cgi/win/1276868266/783
783 名前:名無し~3.EXE[sage] 投稿日:2010/11/10(水) 22:34:10 ID:Rr0vNFYE
Windows 7 クライアントだと Loopback でもポートがかちあって
ssh トンネル越しの Windows 共有 (SMB ove SSH) が自分はできてなかったが
良い解説を見つけてできるようになった
CIFS-over-SSH for Windows Vista/7
ttp://www.nikhef.nl/~janjust/CifsOverSSH/VistaLoopback.html
キーワード:
CIFS over SSH (445/tcp)
Microsoft Loopback Adapter
sc config smb start= demand
netsh interface portproxy add v4tov4
net start smb (後から実行)
445 じゃなく proxy ポートに接続
あとは cygwin の openssh でOK
0233名無しさん@お腹いっぱい。
2010/11/22(月) 21:44:26秘密鍵の保存場所って本気で考えると難しくないか?
普段入るサーバはsudo使えるやつが他にも数人いるし、
会社から提供されたPCもイントラチームにはdomain adminで筒抜け状態。
おいおい、いつ盗まれてもおかしくない状態!!・・・なんだけど
周りには「鍵認証って何?」って人しかいないから助かってるw
そもそも会社でパスフレーズなしは無謀?
しかし、パスワード毎回は面倒すぎる。
こういう場合はssh-agentかねやっぱ。
これはこれで面倒そうなんだよな。
皆どうしてるの?
0234名無しさん@お腹いっぱい。
2010/11/22(月) 21:52:07さらに同様の鍵が複数(沢山)あるとセキュリティ効果うp
0235名無しさん@お腹いっぱい。
2010/11/22(月) 22:41:50まあ、時間稼ぎにはなりそうだけど。。。
何百台もあるしなぁ。
0236名無しさん@お腹いっぱい。
2010/11/22(月) 23:33:270237名無しさん@お腹いっぱい。
2010/11/23(火) 00:30:37しかし、日々数十回ssh,scpするのに毎回パス入力。。。耐えられん。
だからこそ、安全なパスなし鍵運用を追及したい。
0238名無しさん@お腹いっぱい。
2010/11/23(火) 00:39:490239名無しさん@お腹いっぱい。
2010/11/23(火) 01:08:00他人が root ユーザーとしてログインできるマシンでは ssh-agent は使うべきではありません。
ってのを読んで不安になったんで。
0240名無しさん@お腹いっぱい。
2010/11/23(火) 02:05:03みんながrootで入れる環境だと意味ない罠
0241名無しさん@お腹いっぱい。
2010/11/23(火) 13:49:11パスなし鍵の方がよっぽど危険
0242名無しさん@お腹いっぱい。
2010/11/23(火) 15:34:51それらをssh-agentでひとつのパスワードで管理って出来ない?
0243名無しさん@お腹いっぱい。
2010/11/23(火) 17:39:16こういう意識でいる限り何を言っても無駄だな
0244名無しさん@お腹いっぱい。
2010/11/23(火) 18:13:490245名無しさん@お腹いっぱい。
2010/11/23(火) 18:46:04「一日一回」で済むってことが分かるのに
0246名無しさん@お腹いっぱい。
2010/11/23(火) 18:52:14そこをなんとかw
業務委託が切られちゃったから、やらざるを得ないけど、
単調作業が嫌いなので、とにかく楽にしたい。
>>244
暗号化はすでにやってる。truecryptでイメージ保存してて
出社したら、.ssh/にマウントさせてる。
でも、マウントした時点でsudoもってる奴らには見えてしまう。
0247名無しさん@お腹いっぱい。
2010/11/23(火) 18:56:50ただ、
ttp://www.gcd.org/blog/2007/07/123/
にもあったけどやっぱ他人がroot使える環境では
安全とは言えないんだよね?
0248名無しさん@お腹いっぱい。
2010/11/23(火) 19:03:24ssh信頼できないデバイスが信頼できな
0249名無しさん@お腹いっぱい。
2010/11/23(火) 19:06:33sshクラアントごと差し替えられたり、
キーロガーしこまれたりできるデバイスだったら
秘密鍵のパスフレーズだって抜けるでしょ。
0250名無しさん@お腹いっぱい。
2010/11/23(火) 19:23:24ってことは俺の環境でパスなし鍵の安全性確保は難しそうだ。
vmwareで解決しそうだけど、禁止だし。。。
厳しいなぁ。
0251名無しさん@お腹いっぱい。
2010/11/23(火) 19:46:02イントラチーム筒抜けとかいってたからローカルの話の
続きかと思った。この場合は秘密鍵そのものは覗き見できない。
まあ仮にクライアント側で秘密鍵の機密性が守れたとしても
ログイン先sshdに罠を仕込めるようなサーバ環境なら通信内容の
盗聴はできるよ。
とことん防衛するつもりならSSHクライアント/サーバ管理者以外にも
DNSサーバ管理者やIPルータ管理者の警戒もお忘れなく。。。
0252名無しさん@お腹いっぱい。
2010/11/23(火) 22:55:09>暗号化はすでにやってる。truecryptでイメージ保存してて
>出社したら、.ssh/にマウントさせてる。
そうじゃなくて使う瞬間だけメモリ上で復号するんだよ
0253名無しさん@お腹いっぱい。
2010/11/23(火) 23:21:57なるほど、盗まれることはないってことか。
まあ盗聴は気をつけるしかないかな。
今回は、パスなし秘密鍵はちゃんと管理せよってよく言うけど、
みんなはどうしてるのかなと思っただけだよ。
>>252
使うたびに複合は面倒じゃない?
ちなみにUSBは使えない。
0254名無しさん@お腹いっぱい。
2010/11/24(水) 00:26:210255名無しさん@お腹いっぱい。
2010/11/24(水) 10:28:49どんな仕事やってんだ?
0256名無しさん@お腹いっぱい。
2010/11/24(水) 11:36:540257名無しさん@お腹いっぱい。
2010/11/24(水) 12:27:160258名無しさん@お腹いっぱい。
2010/11/24(水) 12:39:330259名無しさん@お腹いっぱい。
2010/11/24(水) 20:52:07俺もそれ思ったw
信頼できないやつにroot権限与えてるのが
そもそも一番の問題なんじゃねーか。
それ前提だと何やっても無駄だろう。
0260名無しさん@お腹いっぱい。
2010/11/24(水) 22:15:000261名無しさん@お腹いっぱい。
2010/11/25(木) 12:46:55「職場でダウンローダセットしてゲットしました〜」
って書いてるようなそういう話じゃね?
もっとヤバい機密の横流しとかならパスワードを
打つくらいのは厭わないだろうし
0262名無しさん@お腹いっぱい。
2010/11/25(木) 21:46:29単独作業禁止、パスワードも再監者と確認しながら入力で
毎日他の担当者がアクセス履歴をチェックしてる。
当たり前のことだから別に面倒だとは思わんな
0263名無しさん@お腹いっぱい。
2010/11/25(木) 22:35:410264233
2010/11/25(木) 22:45:30そんな重要作業ではなく、ほとんど監査がらみのログ収集とか
ldap未導入サーバのアカウント一覧取ったりとか、そんな依頼。
サーバ一覧渡されて、scpで取るだけだけど、楽したいじゃない。
とりあえずssh-agentに変えたから、これでパスなし鍵を置きっぱなしよりは
ましになったか。sudo可の奴らは信頼することにする。
0265名無しさん@お腹いっぱい。
2010/11/25(木) 22:55:49> 2. ssh-agent を普通に使うだけでは便利性が高くない。
> 3. keychain は ssh-agent をもっと便利にしてくれるツール。
> 4. keychain を導入すればパスフレーズ入力が PC 起動につき一回で済む。
> 5. keychain を使えば複数 ssh-agent を起動する必要がなくなる。
0267名無しさん@お腹いっぱい。
2010/11/28(日) 13:30:26ttp://www.gadgety.net/shin/tips/unix/ssh2.html
のインストール手順で詰んだのですが、スーパーユーザーで作業するにはどのような操作を行えば良いでしょうか。
0268名無しさん@お腹いっぱい。
2010/11/28(日) 14:56:130269名無しさん@お腹いっぱい。
2010/11/28(日) 15:22:11スーパーユーザーって何のことだ?
administratorのことか?
Windowsから別のOSにログインするって話なら
その相手が何でどういう設定になってて
何をやりたいのか書かんと
0270名無しさん@お腹いっぱい。
2010/11/28(日) 23:18:260271名無しさん@お腹いっぱい。
2010/11/28(日) 23:21:340272名無しさん@お腹いっぱい。
2010/11/30(火) 13:18:270273名無しさん@お腹いっぱい。
2010/11/30(火) 18:47:410274名無しさん@お腹いっぱい。
2010/12/02(木) 08:10:560275名無しさん@お腹いっぱい。
2010/12/02(木) 15:05:360276名無しさん@お腹いっぱい。
2010/12/11(土) 02:57:100277名無しさん@お腹いっぱい。
2010/12/11(土) 19:10:00パスフレーズ入力を何回かすることになってでも、俺は
gpg-agent --enable-ssh-supportの方がいいやw
0278名無しさん@お腹いっぱい。
2011/01/22(土) 11:01:24OpenSSHのsshdで同一ホストからInvalied userなログイン要求があった場合に
外部プログラムを起動したいんだけど、何か方法ある?
maxlogins.plのようにsyslogを読む方法はローカルなユーザがlogger使って
悪戯できるので、イヤです。
0279名無しさん@お腹いっぱい。
2011/01/23(日) 00:34:30現状これを把握するには log 見るしかないんじゃない?
0280名無しさん@お腹いっぱい。
2011/01/23(日) 00:59:47ソースいじるしかないんじゃね?
その程度ならすぐ追加できそう
0281名無しさん@お腹いっぱい。
2011/01/23(日) 01:34:58swatchかsyslog-ngあたりを使うのが普通では
syslogを読む、ってのはよく分からんが
syslogdが出力したlogファイルを読む、という意味か?
少なくとも後者なら「出力」ではなく「入力」に対応して
外部コマンド起動させることはできるよ
syslogdの置き換えだから
俺はsyslog-ngで
「同一ホストから1分間に3回ログイン失敗したら30分遮断」
なスクリプトを起動させてる
以前はswatch使ってたけど、時々変な挙動起こしてたんでやめた
0282名無しさん@お腹いっぱい。
2011/01/23(日) 01:47:03syslog.confでパイプすることも含みます。
ローカルユーザーがloggerで悪戯できるということは、侵入者が
これを悪用して管理者のログインを邪魔することが可能になるの
で使いたくないのです。
(侵入されたときに制御を奪い返せなくなる)
0283名無しさん@お腹いっぱい。
2011/01/23(日) 01:51:22と書こうとしたら既にw
sshdの設定変えてログ出力を非標準のfacilityに変えちゃえば
ルート権限持ってないユーザには分からんだろう。
そもそもそんな馬鹿にローカルから使わせるのがいけないんじゃね?
とも思うが。
0284名無しさん@お腹いっぱい。
2011/01/23(日) 02:26:50> これを悪用して
んんん??
馬鹿ユーザじゃなくて「侵入者」がローカルで操作するの?
「ローカル」ってのはリモートではなく実機のコンソールでの操作って意味だよね?
どういう状況を想定しているのかイマイチ分からない…
実機を直接いじれる侵入者(あるいはその協力者)を想定するんじゃ
24h常駐ガードマン雇う等の物理的なセキュリティを厳重にするしか
根本対策にならんように思えるが
0285名無しさん@お腹いっぱい。
2011/01/23(日) 02:34:35に見えた
頭腐って来てるかも・・・
0286名無しさん@お腹いっぱい。
2011/01/23(日) 02:53:18防御ならパスワード認証不可にすれば解決では。
色々複雑な状況考えてる一方でノーガードに近いパスワード認証前提というのがチグハグに見える。
0287名無しさん@お腹いっぱい。
2011/01/23(日) 06:57:230288名無しさん@お腹いっぱい。
2011/01/23(日) 08:53:420289名無しさん@お腹いっぱい。
2011/01/23(日) 12:27:560290名無しさん@お腹いっぱい。
2011/01/23(日) 21:15:19侵入されて任意のコマンド実行可能な状態になったことをローカルユーザと
表現しました。
>>286
sshは公開鍵認証だけです。その上で侵入された場合を想定しています。
>>288
当該サーバが地理的に離れているので、侵入されたことが判明したら、
到着する前にシャットダウンできる備えはしておきたいのです。
0291名無しさん@お腹いっぱい。
2011/01/23(日) 21:25:22侵入された時点で物理的に電源を切る以外何をやっても無駄。
そこまで心配するならSELinuxなどを使いなよ。
0292名無しさん@お腹いっぱい。
2011/01/23(日) 21:46:08侵入の証跡取るためにはシャットダウンもよろしくないんだよね
うちだったら緊急時は接続してるSW側でport落とすかな
(そして俺が侵入者なら無通信になったらファイル消しまくるように
仕掛けるだろうw)
0293名無しさん@お腹いっぱい。
2011/01/23(日) 22:49:31> 侵入された時点で物理的に電源を切る以外何をやっても無駄。
侵入されても、rootを取られてなければ奪還の可能性はあります。
たとえrootを取られても、ログインできればシャットダウン出来る
可能性はありますが、ログインできなければその可能性は0ですよね。
>>292
> 侵入の証跡取るためにはシャットダウンもよろしくないんだよね
放置するよりはシャットダウンを選びます。踏み台にされて犯罪に
使われたりしたら面倒ですから。
> うちだったら緊急時は接続してるSW側でport落とすかな
零細なんでリモートで落とぜるSWは無理です。
0294名無しさん@お腹いっぱい。
2011/01/23(日) 23:19:09> sshは公開鍵認証だけです。その上で侵入された場合を想定しています。
どういう状況で「その上で侵入」が可能になるのか説明plz
・サーバは遠隔地にある……これは普通
・sshは公開鍵認証のみである……brute forceで破られる心配ゼロ
・それでも、もし入られたら制御を奪われる恐れがある……????
前提がそもそも成り立ってないでしょ。
公開鍵認証使っている以上、秘密鍵が漏洩しない限りsshでの侵入はない、というのが通常の前提。
それを突破してくるスーパーハカーを相手と想定してるなら、何やっても無駄だよ。
君の力の及ぶ相手ではないからあきらめろ、としか。
0295名無しさん@お腹いっぱい。
2011/01/24(月) 00:01:010296名無しさん@お腹いっぱい。
2011/01/24(月) 00:05:05sshdのバグ、httpdとか他の経路。クライアントへの攻撃。
0297名無しさん@お腹いっぱい。
2011/01/24(月) 00:08:19ま、それはともかく対策が過剰な気はする。
ipfw/iptablesなどで接続元を絞るとか、別のレイヤでの対策を考えるべき。
0298名無しさん@お腹いっぱい。
2011/01/24(月) 00:36:23jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
「待てよ、ログイン出来なくされる」と思い直しての質問です。
0299名無しさん@お腹いっぱい。
2011/01/24(月) 00:38:13tcp wrapperで逆引きを使うとか、10年前の対策だな。
0300名無しさん@お腹いっぱい。
2011/01/24(月) 00:48:410301名無しさん@お腹いっぱい。
2011/01/24(月) 00:50:150302名無しさん@お腹いっぱい。
2011/01/24(月) 01:19:40全然sshの話じゃなくなってるぞ
「httpdとか他の経路」ってのは何なんだよw
0303名無しさん@お腹いっぱい。
2011/01/24(月) 01:48:10> jpからの攻撃に対する対策として、maxlogins.plを使おうとしたけど、
> 「待てよ、ログイン出来なくされる」と思い直しての質問です。
「ある特定の条件に関しては遮断を行わない」ようなスクリプトにしとけばいいだけなんじゃないの?
管理者が直近のログインに使ったIPアドレスは除外する、とか
そこまでいろんなパターン考えてるわりに他人が作ったそのまま使うの前提ってのがよく分からん
自分に都合がいいのを自分で作りなよ
0304名無しさん@お腹いっぱい。
2011/01/24(月) 01:58:37brute forceの話はどこへ行った? w
OSが何かも分からんし前提条件も途中で変わるのでは話が
■ このスレッドは過去ログ倉庫に格納されています