SSH その7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2010/02/16(火) 21:23:37FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
0003名無しさん@お腹いっぱい。
2010/02/16(火) 21:26:20本家ssh.com
http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
http://hp.vector.co.jp/authors/VA002416/
http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/
PortForwarder
http://www.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html
0004名無しさん@お腹いっぱい。
2010/02/16(火) 21:27:05・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
・RFC4251: The Secure Shell (SSH) Protocol Architecture
・RFC4252: The Secure Shell (SSH) Authentication Protocol
・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
・RFC4254: The Secure Shell (SSH) Connection Protocol
・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
Key Fingerprints
・RFC4256: Generic Message Exchange Authentication for the Secure
Shell Protocol (SSH)
WideのSSH解説
http://www.soi.wide.ad.jp/class/20000009/slides/12/
◇おまけ
Theoのキチガイぶり
http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
http://www.qmail.org/djbsssh/
00051
2010/02/16(火) 21:28:09面倒糞くなったのでそのままコピペしました。
後よろしく。
0006名無しさん@お腹いっぱい。
2010/02/16(火) 21:33:26最低限次のような対処をしておきましょう。
ttp://www12.atwiki.jp/linux2ch/pages/141.html
●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する
●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。
特定の接続元からの接続を拒否する
ポートを変える
0007名無しさん@お腹いっぱい。
2010/02/17(水) 14:12:38乙
0008名無しさん@お腹いっぱい。
2010/02/17(水) 20:17:480009名無しさん@お腹いっぱい。
2010/02/17(水) 22:27:200010名無しさん@お腹いっぱい。
2010/02/18(木) 00:13:170011名無しさん@お腹いっぱい。
2010/02/18(木) 00:19:240012名無しさん@お腹いっぱい。
2010/02/18(木) 00:20:21俺もそうおもってた。。。。
でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに
0013名無しさん@お腹いっぱい。
2010/02/18(木) 12:41:47パスワード認証を暗号化したところで
ブルートフォースアタックには無力
0014名無しさん@お腹いっぱい。
2010/02/18(木) 12:47:360015名無しさん@お腹いっぱい。
2010/02/18(木) 12:57:25それを言うなら公開鍵もブルートフォースで破れる
0016名無しさん@お腹いっぱい。
2010/02/18(木) 12:59:580017名無しさん@お腹いっぱい。
2010/02/18(木) 13:15:120018名無しさん@お腹いっぱい。
2010/02/18(木) 14:38:16ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは
0019名無しさん@お腹いっぱい。
2010/02/18(木) 15:05:510020名無しさん@お腹いっぱい。
2010/02/18(木) 15:31:370021名無しさん@お腹いっぱい。
2010/02/18(木) 15:41:53いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない
0022名無しさん@お腹いっぱい。
2010/02/18(木) 15:52:31ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉〜な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません
0023名無しさん@お腹いっぱい。
2010/02/20(土) 19:40:35Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers root
# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
0024名無しさん@お腹いっぱい。
2010/02/20(土) 19:43:11PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか??
disconnected no supported authentication methods available
って表示されてしまいます。
0025名無しさん@お腹いっぱい。
2010/02/20(土) 20:55:09ssh2で接続してないからだな
0026名無しさん@お腹いっぱい。
2010/02/20(土) 21:40:420027名無しさん@お腹いっぱい。
2010/02/21(日) 00:41:06違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな??
0028名無しさん@お腹いっぱい。
2010/02/21(日) 02:45:270029名無しさん@お腹いっぱい。
2010/02/21(日) 11:54:43ある日突然connection refusedのエラーが出て接続できなくなりました。
ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。
ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。
0030sshd 起動するだけじゃん
2010/02/21(日) 12:02:02> ある日突然(ry
そのあいだにやったことを書けば解決できるじゃろ
0031名無しさん@お腹いっぱい。
2010/02/21(日) 12:10:18HP-UX知らないやつは手を出すなよ、壊すから
0032名無しさん@お腹いっぱい。
2010/02/21(日) 13:16:06>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。
>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。
使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。
0033名無しさん@お腹いっぱい。
2010/02/21(日) 19:16:210034名無しさん@お腹いっぱい。
2010/02/21(日) 19:25:4710.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。
とりあえずinit.dの場所が違うのが分かったので明日調べてみます。
そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。
0035名無しさん@お腹いっぱい。
2010/02/21(日) 20:19:13http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか?
OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か?
0036名無しさん@お腹いっぱい。
2010/02/21(日) 20:22:080037名無しさん@お腹いっぱい。
2010/02/21(日) 20:45:14・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh
0038名無しさん@お腹いっぱい。
2010/02/21(日) 20:56:35そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。
>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。
>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。
0039名無しさん@お腹いっぱい。
2010/02/21(日) 21:10:010040名無しさん@お腹いっぱい。
2010/02/21(日) 21:13:410041名無しさん@お腹いっぱい。
2010/02/22(月) 02:53:56> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。
0042名無しさん@お腹いっぱい。
2010/02/22(月) 10:10:09sftp only?
0043名無しさん@お腹いっぱい。
2010/02/22(月) 10:19:430044名無しさん@お腹いっぱい。
2010/02/22(月) 17:53:23> ・Portは22以外にする
> 意味無し
>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。
>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。
0045名無しさん@お腹いっぱい。
2010/02/22(月) 18:31:42稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。
0046名無しさん@お腹いっぱい。
2010/02/22(月) 18:49:340047名無しさん@お腹いっぱい。
2010/02/22(月) 18:54:180048名無しさん@お腹いっぱい。
2010/02/22(月) 18:56:05まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。
効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。
0049名無しさん@お腹いっぱい。
2010/02/22(月) 19:00:51ログが多かろうと少なかろうと違いはない
ということだな
0050名無しさん@お腹いっぱい。
2010/02/22(月) 19:06:33ログ減らせるとか喜んでる奴、恥ずかしくないのか?
0051名無しさん@お腹いっぱい。
2010/02/22(月) 19:08:25某スレで、送信元IPアドレスでフィルタリングしちゃう
(= 許可されたIPアドレス以外は認証すらしない)
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ?
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら
もー、初心者扱いされてまいったよ。
死ねだのタコだの。もうね。。
0052名無しさん@お腹いっぱい。
2010/02/22(月) 19:11:510053名無しさん@お腹いっぱい。
2010/02/22(月) 19:18:39OpenSSHサーバだけど、公開鍵認証でもログ残るよ?
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)
ちなみに僕ちんはファイアウォールでもログ残しているよ。
0054名無しさん@お腹いっぱい。
2010/02/22(月) 19:20:23それ、侵入されたログ。www
0055名無しさん@お腹いっぱい。
2010/02/22(月) 19:28:00おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。
0056名無しさん@お腹いっぱい。
2010/02/22(月) 19:31:32あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?
>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね
0057名無しさん@お腹いっぱい。
2010/02/22(月) 19:33:08そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。
>>54
知らないって幸せだね。
0058名無しさん@お腹いっぱい。
2010/02/22(月) 19:56:28> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。
sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例
Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios
知らなかった?
0059名無しさん@お腹いっぱい。
2010/02/22(月) 20:16:49変えられるんなら変えたほうが効果がある。
>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。
まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。
ちなみに>>44の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス
0060名無しさん@お腹いっぱい。
2010/02/22(月) 20:27:40ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。w
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。
しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?
まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。
006159
2010/02/22(月) 20:32:12「それで完全に防げる」と勘違いしちゃだめなわけで。
0062名無しさん@お腹いっぱい。
2010/02/22(月) 20:42:14これ誤解や。パスワード認証自体が危険なわけじゃないで。
0063名無しさん@お腹いっぱい。
2010/02/22(月) 20:47:060064名無しさん@お腹いっぱい。
2010/02/22(月) 20:52:09うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに
うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする
0065名無しさん@お腹いっぱい。
2010/02/22(月) 21:03:13基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし
0066名無しさん@お腹いっぱい。
2010/02/22(月) 21:09:01それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る
0067名無しさん@お腹いっぱい。
2010/02/22(月) 21:10:01このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。
もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。
0068名無しさん@お腹いっぱい。
2010/02/22(月) 21:11:07またおまえか
そんなアホな風説流すな
0069名無しさん@お腹いっぱい。
2010/02/22(月) 21:14:47なにが?
0070名無しさん@お腹いっぱい。
2010/02/22(月) 21:15:50もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ?
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ?
ログが増えるのも防止できて一石二鳥三鳥だぜ
0071名無しさん@お腹いっぱい。
2010/02/22(月) 21:18:44VPNでアクセスすりゃいいよめんどくせぇ
0072名無しさん@お腹いっぱい。
2010/02/22(月) 21:18:53xrea.comですねわかります
0073名無しさん@お腹いっぱい。
2010/02/22(月) 21:25:22なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。
0074名無しさん@お腹いっぱい。
2010/02/22(月) 21:26:270075名無しさん@お腹いっぱい。
2010/02/22(月) 21:33:420076名無しさん@お腹いっぱい。
2010/02/22(月) 21:35:02これだけでだいぶ減る
0077名無しさん@お腹いっぱい。
2010/02/22(月) 21:45:19が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw
0078名無しさん@お腹いっぱい。
2010/02/23(火) 00:04:33どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。
0079名無しさん@お腹いっぱい。
2010/02/23(火) 00:05:140080名無しさん@お腹いっぱい。
2010/02/23(火) 00:07:380081名無しさん@お腹いっぱい。
2010/02/26(金) 00:57:190082名無しさん@お腹いっぱい。
2010/02/26(金) 13:35:190083名無しさん@お腹いっぱい。
2010/02/26(金) 13:43:06∧_∧ ┌─────────────
◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん!
\ / └─────────────
_/ __ \_
(_/ \_)
lll
0084名無しさん@お腹いっぱい。
2010/02/26(金) 18:33:220085名無しさん@お腹いっぱい。
2010/03/03(水) 09:13:470086名無しさん@お腹いっぱい。
2010/03/03(水) 09:25:53かっこいいからいいじゃん。むしろsshの語源の方がださいし。
0087名無しさん@お腹いっぱい。
2010/03/03(水) 11:11:15では h は何の略なんですかぁ?
Secure Shell H???
0088名無しさん@お腹いっぱい。
2010/03/03(水) 11:12:320089名無しさん@お腹いっぱい。
2010/03/03(水) 11:13:03SH=Shell
のはず
0090名無しさん@お腹いっぱい。
2010/03/03(水) 11:17:350091名無しさん@お腹いっぱい。
2010/03/03(水) 11:28:34ぢゃお前がお手本みせろよ
0092名無しさん@お腹いっぱい。
2010/03/03(水) 11:35:49フリがつまんないからしょうがない。
0093名無しさん@お腹いっぱい。
2010/03/03(水) 18:34:21↓外からも使えたら便利じゃね?
rsh
↓やべー穴だらけだったよw
ssh
0094名無しさん@お腹いっぱい。
2010/03/03(水) 21:46:53wktk
0095名無しさん@お腹いっぱい。
2010/03/03(水) 22:57:12S=Scienceで
H=Hします
0096名無しさん@お腹いっぱい。
2010/03/05(金) 20:06:08もう進化しないのかな
0097名無しさん@お腹いっぱい。
2010/03/06(土) 08:33:580098名無しさん@お腹いっぱい。
2010/03/06(土) 11:26:240099名無しさん@お腹いっぱい。
2010/03/06(土) 15:30:310100名無しさん@お腹いっぱい。
2010/03/06(土) 17:01:540101名無しさん@お腹いっぱい。
2010/03/06(土) 18:47:130102名無しさん@お腹いっぱい。
2010/03/07(日) 02:32:360103名無しさん@お腹いっぱい。
2010/03/07(日) 08:52:59今後の展開はこうだろ
■ このスレッドは過去ログ倉庫に格納されています