トップページunix
1001コメント300KB

SSH その7

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2010/02/16(火) 21:23:37
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
 Part1:http://pc.2ch.net/unix/kako/976/976497035.html
 Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
 Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
 Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
 Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
 Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
03793712011/02/28(月) 15:04:24.35
すみません、原因がわかりました。
sourceforge.jp では、アカウント申請しただけではシェルサーバに
ログインできず、何らかのプロジェクトに属さないとダメなようです。

申し訳ありません、お騒がせしました。

>>378
レスどうもありがとうございます。
ssh -v でデバッグする方法は今回で知ったので、今後に役立たせていただきます。
0380名無しさん@お腹いっぱい。2011/03/26(土) 01:13:04.19
metosrv9.umd.eduがSSH舐めて歩いてる
0381名無しさん@お腹いっぱい。2011/03/27(日) 01:59:12.03
公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からDebにはsshで入れたが、Mac2からDebには Permission denied (publickey) のエラーで接続できなかった。
Mac1とMac2は同じ構成なので、これは不可思議だった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
Mac1からもDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。
0382名無しさん@お腹いっぱい。2011/03/27(日) 02:16:24.71
間違えたので訂正。

公開鍵認証の接続だけを許す設定で、>>373-374と同じ問題に悩んでいる。
Mac1, Mac2, Debian Stableがあり、Mac2 と Debianは同じネットワーク。
最初、Mac1からMac2にはsshで入れたが、DebからMac2には Permission denied (publickey) のエラーで接続できなかった。
Debのauthorized_keysやid_rsaのパーミッションをread onlyにするなどの変更をしたが、そうこうするうちに、
今度はMac1とMac2の両方からDebに入れなくなっていた。
Debのsshd_configを開いたときに知らずに変更してしまったのか。手がかりが分からず困ってる。
0383名無しさん@お腹いっぱい。2011/03/27(日) 09:08:23.01
どうみても別問題です
Mac側ユーザでls -la ~/.sshした結果でも貼ってみれば?
03843822011/03/27(日) 11:20:30.38
>>383 やはりそうですかねえ。それではMac1側のを一応貼ります。
-rw------- 1 me staff 1217 Feb 11 21:26 authorized_keys
-rw------- 1 me staff 1743 Jan 1 12:28 id_rsa
-rw-r--r--@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
-rw------- 1 me staff 418 Jan 1 13:07 id_rsa.pub
-rw-r--r-- 1 me staff 14756 Mar 13 11:53 known_hosts

上記のうち、Debのpublic keyを
-r--------@ 1 me staff 393 Feb 11 21:24 id_rsa.debian.pub
にしても変わりません。
0385名無しさん@お腹いっぱい。2011/03/27(日) 13:26:38.84
何言ってるのかちょっとわからない
Mac1はログインする側でDebがされる側?
まさかだけど鍵穴に鍵穴を突っ込もうと奮闘してるとか?
0386名無しさん@お腹いっぱい。2011/03/27(日) 13:48:31.92
ここと、

>Mac1からMac2に
>DebからMac2に

ここで、

>今度はMac1とMac2の両方からDebに

ログインの方向が変わってるぞ。鍵穴に鍵穴を突っ込もうとしてるか、鍵を鍵に突っ込もうとしてるのどちらか。
0387名無しさん@お腹いっぱい。2011/03/27(日) 15:02:42.89
pubkeyオンリーの運用が難しいなどと抜かす池沼はサーバの運用するな。
0388名無しさん@お腹いっぱい。2011/03/27(日) 23:17:45.54
>>385
なんか百合っぽい
0389名無しさん@お腹いっぱい。2011/03/28(月) 06:06:44.71
藤原一宏教授の虚偽申請は、日本の数学界に対する国民の信頼を裏切った、
無視することのできない重大な事件です。このような者がのうのうと責任ある教授職を
続けていることに、藤原氏がプロの学者であることを自覚しているのなら
なおさら疑問をかんじざるを得ません。今後二度とこのような事件が起きないように
するためにみなさんで建設的な議論をしましょう。
03903822011/03/28(月) 10:56:35.78
>>386
ログインの方向が変わっているのはその通りです。
3つのマシンがsshdを動かしていて、それぞれ公開鍵を発行して相互にログインできてました。

いま困っているのは
>今度はMac1とMac2の両方からDebに
が出来ない事ですが、
別の事象として、DebからMac2にアクセスするときにも同じエラーが起きていたということです。
0391名無しさん@お腹いっぱい。2011/03/28(月) 13:44:18.52
公開鍵は使いまわせるけど、秘密鍵は使いまわせないですよね?
その公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない。
0392名無しさん@お腹いっぱい。2011/03/28(月) 13:49:53.81
どういう意味で「公開鍵を使いまわす」と言ってるんだろう。
0393名無しさん@お腹いっぱい。2011/03/28(月) 13:50:31.92
>>391
キミは120%理解していない。
0394名無しさん@お腹いっぱい。2011/03/28(月) 14:21:01.08
なるほど、この人はパスフレーズが「鍵」だと勘違いしているのかな…

まあ何を拠り所に認証しようとしているか理解しないと
いつまでたっても勘違い度2000% になっちゃうね
0395名無しさん@お腹いっぱい。2011/03/28(月) 14:23:13.67
>公開鍵をベースに秘密鍵を使うクライアントで秘密鍵を作らないと動かない
これができるなら、公開鍵暗号って破綻しないか?
0396名無しさん@お腹いっぱい。2011/03/29(火) 15:29:07.09
お客様の中にPuTTYを使っている方はいらっしゃいませんか
PuTTYで共通する項目を設定することはできんものでしょうか
例えば色や外観など部分的な設定を各セッションで共通化したいのですが手軽な方法はないでしょうか
ICE IVのPuTTYを使っています
0397名無しさん@お腹いっぱい。2011/03/30(水) 10:19:55.10
putty.iniを編集(手動じゃ無くてもいいけど)するんじゃダメなの?

# そういう話じゃなくて?
0398名無しさん@お腹いっぱい。2011/03/30(水) 10:56:06.56
termcapでいうところのtc=が欲しいのだろう。オレも欲しい。
0399名無しさん@お腹いっぱい。2011/03/30(水) 11:56:39.06
ごった煮でもiceivでも多分、無理。実を言うと俺も欲しかった。
ところでputtyスレは新スレ誰も立てずに断絶してしまってる?
0400名無しさん@お腹いっぱい。2011/03/30(水) 13:52:04.65
ありがとう

>>397
それが一番手っ取り早いですね
ini中のいつも使っている[Session:XXXX]のColourXX=で他のセクションのColourを置換してしまえばいいわけですし

>>399
スレタイ検索ではputtyスレなかったです

0401名無しさん@お腹いっぱい。2011/03/30(水) 15:15:59.08
Default Settingsを読み込んでそこから派生させるとかじゃなくて?
0402 忍法帖【Lv=17,xxxPT】 2011/04/29(金) 12:59:56.51
Windowsでsftpにエクスプローラから直接アクセスする方法を教えてください。
0403名無しさん@お腹いっぱい。2011/04/29(金) 13:09:24.69
>>402
SFTPサーバーをエクスプローラの仮想フォルダとして追加できる「Swish」
http://www.forest.impress.co.jp/docs/review/20110127_422559.html
0404名無しさん@お腹いっぱい。2011/05/26(木) 20:38:23.52
ポートフォワードをする際に
sshサーバまでの暗号化をさせない方法はありますか?
0405名無しさん@お腹いっぱい。2011/05/26(木) 23:22:00.18
無い。
0406名無しさん@お腹いっぱい。2011/05/27(金) 00:21:30.09
>>404
sshでポートフォワードさせればいい
0407名無しさん@お腹いっぱい。2011/05/27(金) 10:08:43.79
不毛だけど「させない」って言ってるんだから放置で
0408名無しさん@お腹いっぱい。2011/05/27(金) 10:58:39.63
放置して暴れられても面倒だろ
>>404
スレ違い。SSHやめてnetcatでも使ってろよ。
0409名無しさん@お腹いっぱい。2011/05/27(金) 20:20:49.36
は?暗号化をさせない方法は>>406でokだからそれで終了でしょ?
0410名無しさん@お腹いっぱい。2011/05/28(土) 19:26:38.08
商用版SSHには暗号化無しにできるオプションがあるよ。
0411名無しさん@お腹いっぱい。2011/05/28(土) 19:35:03.83
>>406 >>409 は何を取り違えてるんだろうか? 普通に暗号化するんだけど

>>410 すみませんがフリー版でお願いします
0412名無しさん@お腹いっぱい。2011/05/28(土) 20:26:33.43
>>411
SSHを使わずにポートフォワードすればいいんじゃね?
0413名無しさん@お腹いっぱい。2011/05/29(日) 01:12:43.16
>>404
これでいいだろ
ipfw add 100 fwd ${remotehost},${remoteport} tcp from me to me dst-port ${localhost}
0414名無しさん@お腹いっぱい。2011/05/29(日) 01:14:39.58
最後の ${localhost} は ${localport} の間違い
0415名無しさん@お腹いっぱい。2011/05/29(日) 02:25:01.96
>>411
たぶん君のおちんちんが包茎なのが原因
0416名無しさん@お腹いっぱい。2011/05/29(日) 07:38:56.56
ふざけないでくれるかな。
結構真面目に質問したんだが。
0417名無しさん@お腹いっぱい。2011/05/29(日) 07:54:23.06
>>413
ssh鯖がレン鯖とかで、root権限がない場合は無理。
ipfw使うくらいならユーザー権限でstoneの方がいいだろ。
それでもssh鯖にはsshでのみアクセス化で、
勝手にport開いてlistenしてはいけない(fwでブロックされてる)という条件だと無理。
0418名無しさん@お腹いっぱい。2011/05/29(日) 07:55:48.88
なんで>>412>>413を無視するの
0419名無しさん@お腹いっぱい。2011/05/29(日) 09:02:41.42
>>416
君は自分の恥垢臭で発狂してしまうという珍しい症例。
その狂った頭はもう手のつけようがないけど、包茎は治る障害だから
せめて包茎主日ぐらいはしておけ。
0420名無しさん@お腹いっぱい。2011/05/29(日) 09:28:28.38
暗号化したくないのになんでSSH使いたいの?
0421名無しさん@お腹いっぱい。2011/05/29(日) 10:19:46.25
>>417
sshのみでアクセス可
って条件に非常に興味がある。
Linuxで、そんな設定が出来るのか?
どうやれば制限できるのか 方法を教えてほしい。
0422名無しさん@お腹いっぱい。2011/05/29(日) 11:13:24.12
>>420
よくよめ。
ssh鯖へのログインは暗号化。
その後のポートフォワードは暗号化せず。
だろ。
0423名無しさん@お腹いっぱい。2011/05/29(日) 11:30:30.65
だから>407でFAって言ったのに...
0424名無しさん@お腹いっぱい。2011/05/29(日) 11:40:36.38
ん?暗号化のCPU負荷を気にしてなくて実ネットワークに平文晒したいだけなら
ssh -L sport:remote:lport localhost
でよくない?
0425名無しさん@お腹いっぱい。2011/05/29(日) 11:42:46.20
s/lport/dport/
0426名無しさん@お腹いっぱい。2011/05/29(日) 11:54:23.14
なんだよ単なる露出狂かよ
0427名無しさん@お腹いっぱい。2011/05/29(日) 12:02:33.25
>>424
ssh鯖にログイン後に別のsshでssh鯖自身に接続してポートフォワードか
-gオプション要る。それだと stone使うのと同じ

手元のホストとssh鯖との間がsshでしか繋げない制限がかかってる場合
ssh鯖上で別のlistenポートを開けないので>>424 だとNG
0428名無しさん@お腹いっぱい。2011/05/29(日) 12:16:44.63
あと、自分のホストとSSH鯖との間にNATルーターがあって、
逆方向にポートフォワード(ssh -R)したい場合も
stoneや >>424の方法は使えませんな。
0429名無しさん@お腹いっぱい。2011/05/29(日) 12:32:47.86
>>428
なんで?
転送先へもNATされるのが普通だろうから問題ないでしょ?
0430名無しさん@お腹いっぱい。2011/05/29(日) 12:36:37.65
あ、転送先がNATの内側の話をいいたいのね
0431名無しさん@お腹いっぱい。2011/05/29(日) 12:38:33.66
>>429
内→外のNAT(NAPT)専用で、
NATルーターは別管理で、自分で設定を変更できないと考えろ
0432名無しさん@お腹いっぱい。2011/05/29(日) 12:42:59.23
いやNATの内側でも問題ないな
0433名無しさん@お腹いっぱい。2011/05/29(日) 13:24:10.87
包茎くん、コテハンつけてね。んまぁ、つけなくてもレスから恥垢臭
漂ってくるぐらいに臭いからわかるけどさ。
0434名無しさん@お腹いっぱい。2011/05/29(日) 15:48:54.77
面白いと思ってるのかな
0435名無しさん@お腹いっぱい。2011/06/08(水) 10:33:08.07
Sanba over SSH試してるんだがびっくりする位遅いんだな
Teratermだと2MB/s程度しか出ない
cygwinにOpenSSH-hpn入れてやっても13MB/sくらいが限界だわ
その割にCPUのリソース余ってる感じだし・・

CPUガリガリ使ってガンガン速度出てくれないもんかね〜
0436名無しさん@お腹いっぱい。2011/06/08(水) 10:35:04.35
あーSambaだった
0437名無しさん@お腹いっぱい。2011/06/08(水) 13:25:02.78
素直に sshfs にした方が
0438名無しさん@お腹いっぱい。2011/06/08(水) 13:41:44.24
>>437
素直なのかそれ
0439名無しさん@お腹いっぱい。2011/06/08(水) 15:13:04.49
すまない
素直じゃなかったよ////
0440名無しさん@お腹いっぱい。2011/06/08(水) 20:33:59.14
萌えた
0441名無しさん@お腹いっぱい。2011/06/09(木) 21:29:03.47
435ですが色々やりまくった結果
Sambaに拘るならWindowsでのsshクライアントはCygwinでOpensshをTar玉取ってきて
hpnパッチ当てるのが一番速いみたいです 商用だともっと速いのあるのかも?

んで鯖がGentooだったんですがこれが曲者でssh -vでOpenSSH_5.8p1-hpn13v10と
出るのにマルチスレッドで動いてませんでした 気が付くのにtopとにらめっこしつつ
設定変えまくって丸一日かかった・・・

鯖の方のOpensshも野良で入れたらsshdの負荷がMAXで200%まで行くようになって
SambaOverSSHでRead34MB/s、Write58MB/sまで出るようになりました(Phenom9750)
さすがに4コア全部使い切ったりはしないもんですね
ちなみにssh無しだとRead70MB/s、Write100MB/s位

SambaOverSSHで速度出そうって奇特な人は居ないかもしれませんが参考までに、
最初の2MB/sから34MB/sまで上がって嬉しくなったので書いてみましたw
0442名無しさん@お腹いっぱい。2011/06/15(水) 02:24:23.96
gentoo って hpn でもマルチスレッド動いてないんだ?
もしよかったら、どのあたりを設定したか教えてちょ。
0443名無しさん@お腹いっぱい。2011/06/17(金) 22:22:05.43
>>442
設定っていうか/etc/portage/profile/package.providedでGentoo純正のOpenssh
入らないようにして元々のを消してopenssh.orgで取ってきたTar玉のOpensshに
http://www.psc.edu/networking/projects/hpn-ssh/
で取ってきたパッチ上から3つ当ててインストールして/etc/init.d/sshdの
SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd}の所を
SSHD_BINARY=${SSHD_BINARY:-/usr/local/sbin/sshd}に書き換えただけです
0444名無しさん@お腹いっぱい。2011/06/18(土) 21:57:05.86
>>443
なーほー。
ありがとん!
0445名無しさん@お腹いっぱい。2011/07/01(金) 19:05:47.44
[クライアント-(Gateway)-サーバ]の環境下で, SSHで接続時にクライアントのディレクトリをサーバにマウントしたいのですが,
クライアントにsshdを導入せずマウントできる方法はないでしょうか
0446名無しさん@お腹いっぱい。2011/07/04(月) 18:50:53.50
逆ポートフォワーディングやればよかでは
0447名無しさん@お腹いっぱい。2011/07/10(日) 06:48:24.05
sshを導入しないならなぜここで聞くのか
0448名無しさん@お腹いっぱい。2011/07/10(日) 07:58:24.51
すみませんが詳しい方のみ回答をお願いします
0449名無しさん@お腹いっぱい。2011/07/10(日) 09:33:40.70
クライアントにsshdを導入するとマウントできる方法はあるでしょうか
0450名無しさん@お腹いっぱい。2011/07/10(日) 11:24:19.67
中国語でok
0451名無しさん@お腹いっぱい。2011/07/10(日) 11:40:20.66
我很遺憾、但我只懇求專家的人來回答。
0452名無しさん@お腹いっぱい。2011/07/10(日) 11:50:00.63
はい。
http://sourceforge.net/apps/mediawiki/fuse/index.php?title=SshfsFaq#Is_there_some_neat_way_to_do_it_in_reverse.3F
0453名無しさん@お腹いっぱい。2011/07/10(日) 13:04:32.53
フランスに渡米経験者のみ回答ok
0454名無しさん@お腹いっぱい。2011/07/20(水) 17:12:54.98
『入門OpenSSH』という書籍の原稿が公開されてた。
http://www.unixuser.org/~euske/doc/openssh/book/index.html
良い時代になったなぁ…
次スレのテンプレ(何年後だ)に入れて欲しいぞ。
0455名無しさん@お腹いっぱい。2011/07/20(水) 18:50:10.35
4.69 で直ったやつか?
ttp://ttssh2.sourceforge.jp/manual/ja/about/history.html#teraterm_4.69
0456名無しさん@お腹いっぱい。2011/07/20(水) 18:50:49.96
誤爆した。すまん。
0457名無しさん@お腹いっぱい。2011/07/25(月) 07:11:21.09
最近は外向きのSSLを一回解除して平文を読んでから外部にSSLで繋ぎ直すといった
Man in the MiddleみたいなことをするIDSがあるみたいですが
ローカルのクライアントから外部のサーバへアクセスする際に途中にこういったIDSが存在しても
公開鍵認証でSSH使っている場合にはこれは暗号文を復号されないということでよろしいのでしょうか?
0458名無しさん@お腹いっぱい。2011/07/25(月) 08:26:49.63
SSLの証明書やsshのサーバ host key が何かを
考えてから言ってくれ
0459名無しさん@お腹いっぱい。2011/07/26(火) 02:03:57.05
公開鍵認証かどうかは関係ないやろ。
ローカルのクライアントを操作してる人間が
MITMゲートウェイの提示してきた偽造したホスト公開鍵を
外部サーバのホスト公開鍵だと闇雲に信じてしまうんなら
そら盗聴されるわ。
0460名無しさん@お腹いっぱい。2011/07/30(土) 22:55:04.76
sshで逆引きして.jp以外は拒否ってできますか?
0461名無しさん@お腹いっぱい。2011/07/30(土) 23:50:26.03
>>460
TCP Wrapperのライブラリがリンクされているか、inetd経由で起動させれば可能だよ。
0462名無しさん@お腹いっぱい。2011/08/21(日) 18:50:25.69
接続元のサブネットごとに、認証方式を変える方法ってどう書けばいいでしょうか。
具体的には、ローカルアドレスからは公開鍵認証かパスワード認証、
グローバルアドレスからは公開鍵認証のみ、
としたいです。
0463名無しさん@お腹いっぱい。2011/08/23(火) 10:10:58.30
>>462
man sshd_configしてMatchでAddress使う書式確認すりゃいいんじゃね
0464名無しさん@お腹いっぱい。2011/08/23(火) 15:37:28.24
>>463
ありがとうございます。「Match,Address」というキーワードがわかったので
ssh Match Addressで検索したらそのものズバリのページがみつかりました。
ttp://inside.ascade.co.jp/node/4
0465名無しさん@お腹いっぱい。2011/08/26(金) 14:13:13.34
復帰
0466名無しさん@お腹いっぱい。2011/09/05(月) 22:44:49.86
ところでケルベロス使ってる人いる?
0467名無しさん@お腹いっぱい。2011/09/05(月) 23:53:13.16
いるよ
0468名無しさん@お腹いっぱい。2011/09/06(火) 21:54:07.01
どう?
0469名無しさん@お腹いっぱい。2011/09/06(火) 22:13:59.17
さぁ。
0470名無しさん@お腹いっぱい。2011/09/06(火) 23:05:47.45
ありゃ地獄だぜ
0471名無しさん@お腹いっぱい。2011/09/06(火) 23:46:26.24
http://www.openssh.com/txt/release-5.9
0472名無しさん@お腹いっぱい。2011/09/26(月) 21:02:40.54
よくわからなかったころは合成に良く使った
0473名無しさん@お腹いっぱい。2011/10/02(日) 12:31:00.47
質問です。

known_hostsに登録される鍵は、ホスト鍵と呼ばれるそうなのですが、
ホスト鍵にも秘密鍵と公開鍵があるんでしょうか?
その場合、known_hostsに登録されているのは公開鍵のほうですか?
0474名無しさん@お腹いっぱい。2011/10/02(日) 14:20:39.62
はい。
0475名無しさん@お腹いっぱい。2011/10/02(日) 21:41:53.68
>>474
ありがとうございます。
公開鍵はknown_hostsに登録されているとすると、
(ホスト鍵の)秘密鍵はどこに登録されているのでしょうか?

0476名無しさん@お腹いっぱい。2011/10/02(日) 21:58:32.77
$ grep ^HostKey /etc/ssh/sshd_config
0477名無しさん@お腹いっぱい。2011/10/03(月) 01:08:39.12
>>475
クライアント側の話?
なら秘密鍵はクライアント側にはないよ。
0478名無しさん@お腹いっぱい。2011/10/04(火) 19:18:25.34
>>476
$ grep ^HostKey /etc/ssh/sshd_config
$
■ このスレッドは過去ログ倉庫に格納されています