SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 02:53:56

>>38
> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 10:10:09

ssh 対象ユーザで shell 不要ってどういう場合?

sftp only?

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 10:19:43

authorized_keysでコマンド指定してあれば、不要なんじゃないかな。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 17:53:23

>>37
> ・Portは22以外にする
> 意味無し

>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。

>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 18:31:42

>>44
稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 18:49:34

ログを減らせることに意味があるだろうが、ということだと思うんだが。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 18:54:18

ログを減らせることの意味がわからないんじゃないの

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 18:56:05

俺もｳｪﾙﾉｳﾝﾎﾟｰﾄ以外を使うのは、ある程度は有効だと思う。
まるっきりﾎﾟｰﾄｽｷｬﾝする奴もいるかもしれないけど、ｳｪﾙﾉｳﾝﾎﾟｰﾄはまともに来るもんね。
効果としてはｾｷｭｱになるとまでは言えないかも知れないけど、しないよりはましだと思う。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:00:51

稚拙な管理者はログを一切見ないので
ログが多かろうと少なかろうと違いはない
ということだな

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:06:33

Password(PAM)有効じゃ無ければログ残らないだろ。
ログ減らせるとか喜んでる奴、恥ずかしくないのか?

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:08:25

セキュリティポリシーって難しいよね。

某スレで、送信元IPアドレスでフィルタリングしちゃう
（＝許可されたIPアドレス以外は認証すらしない）
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ？
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら

もー、初心者扱いされてまいったよ。
死ねだのタコだの。もうね。。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:11:51

可能性のあるところだけ通せばいい。個人用ならそれが普通。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:18:39

>>50
OpenSSHサーバだけど、公開鍵認証でもログ残るよ？
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)

ちなみに僕ちんはファイアウォールでもログ残しているよ。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:20:23

>>53
それ、侵入されたログ。ｗｗｗ

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:28:00

>>54
おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:31:32

>>50
あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?

>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:33:08

>>53
そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。

>>54
知らないって幸せだね。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 19:56:28

>>57
> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。

sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例

Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios

知らなかった?

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 20:16:49

HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、
変えられるんなら変えたほうが効果がある。

>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。

まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。

ちなみに>>44の「ログの量が減る」っていう発想はなかったｗ微妙に間違ってる希ガス

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 20:27:40

>>58
ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。ｗ
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。

しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?

まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。

59 · 2010/02/22(月) 20:32:12

「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと
「それで完全に防げる」と勘違いしちゃだめなわけで。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 20:42:14

>パスワード認証を有効にしている素人管理者サイト

これ誤解や。パスワード認証自体が危険なわけじゃないで。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 20:47:06

個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 20:52:09

>>59
うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに

うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:03:13

>>51
基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:09:01

>コントロールパネルのようなものを作っておくと便利

それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:10:01

>>62
このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。

もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:11:07

>>62
またおまえか
そんなアホな風説流すな

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:14:47

>>68
なにが？

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:15:50

>>66
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ？
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ？
ログが増えるのも防止できて一石二鳥三鳥だぜ

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:18:44

>>70
VPNでアクセスすりゃいいよめんどくせぇ

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:18:53

>平文 HTTP の basic 認証とかだったら殴る

xrea.comですねわかります

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:25:22

>>65
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:26:27

>>73 そういう書き方は「こいつ余裕ないんだなﾌﾟ」と思われるだけなんだがな…

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:33:42

それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:35:02

sshd : .jp : allow

これだけでだいぶ減る

**名無しさん＠お腹いっぱい。** · 2010/02/22(月) 21:45:19

パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw

**名無しさん＠お腹いっぱい。** · 2010/02/23(火) 00:04:33

まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね？
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。

**名無しさん＠お腹いっぱい。** · 2010/02/23(火) 00:05:14

あ、ごめんなさい。スレ間違えました

**名無しさん＠お腹いっぱい。** · 2010/02/23(火) 00:07:38

SSH HSHｗｗｗｗ

**名無しさん＠お腹いっぱい。** · 2010/02/26(金) 00:57:19

俺はHHがイイです

**名無しさん＠お腹いっぱい。** · 2010/02/26(金) 13:35:19

じゃあ俺はH×H

**名無しさん＠お腹いっぱい。** · 2010/02/26(金) 13:43:06

　　　　　　　　∧＿∧　　　┌─────────────
　　　　　　 ◯（ ´∀｀）◯ ＜僕は .357 H&H Magnumちゃん！
　　　　　　　＼　　　／　　└─────────────
　　　　　　　_／＿＿＼_
　　　　　　（＿／　　　＼＿）
　　　　　　　　　　ｌｌｌ

**名無しさん＠お腹いっぱい。** · 2010/02/26(金) 18:33:22

HH+コイルタップで十分だな

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 09:13:47

未だにSSHで検索すると埼玉最終兵器が一番上な件

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 09:25:53

>>85
かっこいいからいいじゃん。むしろsshの語源の方がださいし。

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 11:11:15

sshはセキュア・シェル・、、の略だそうですが、
では h は何の略なんですかぁ？

Secure Shell H???

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 11:12:32

Secure SHell

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 11:13:03

S=Secure
SH=Shell
のはず

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 11:17:35

もっと粋な返しはないのか。。

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 11:28:34

>>90
ぢゃお前がお手本みせろよ

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 11:35:49

>>90
フリがつまんないからしょうがない。

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 18:34:21

sh
↓外からも使えたら便利じゃね？
rsh
↓やべー穴だらけだったよｗ
ssh

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 21:46:53

>>90
wktk

**名無しさん＠お腹いっぱい。** · 2010/03/03(水) 22:57:12

S=すごい
S=Scienceで
H=Hします

**名無しさん＠お腹いっぱい。** · 2010/03/05(金) 20:06:08

>>93
もう進化しないのかな

**名無しさん＠お腹いっぱい。** · 2010/03/06(土) 08:33:58

sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)

**名無しさん＠お腹いっぱい。** · 2010/03/06(土) 11:26:24

おいやめろ

**名無しさん＠お腹いっぱい。** · 2010/03/06(土) 15:30:31

いいぞもっとやれ

**名無しさん＠お腹いっぱい。** · 2010/03/06(土) 17:01:54

で、最後は飽きて放置するんですな。

**名無しさん＠お腹いっぱい。** · 2010/03/06(土) 18:47:13

そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 02:32:36

wsh

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 08:52:59

ssh → sssh → ssssh …
今後の展開はこうだろ

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 09:28:35

Secure SSHｷﾎﾞﾝ

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 10:30:54

インセキュアな奴が使うから無理。
パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 13:05:25

>>103
ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 13:49:39

スーパー ssh 冒険の謎 2 でいいよ

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 13:50:53

>>106
→ sshIV とか sshﾀｸﾃｨｸｽとか

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 16:02:02

sshEXとssh0は

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 19:35:54

Zssh
sshZZ
νssh
ssh-F91

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 22:55:43

Ξssh も仲間に…

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 23:26:27

続・ssh
続続・ssh
また又・ssh
新・ssh
ニュー・ssh
痛快・ssh

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 23:29:58

あぶないssh
もっとあぶないssh
もっともっとあぶないssh

**名無しさん＠お腹いっぱい。** · 2010/03/07(日) 23:34:46

もっともあぶないSSH
さらにあぶないSSH

**名無しさん＠お腹いっぱい。** · 2010/03/08(月) 00:57:28

つまんないのでもういいです。

**名無しさん＠お腹いっぱい。** · 2010/03/08(月) 16:33:56

嘘です、もっとやってください。

**名無しさん＠お腹いっぱい。** · 2010/03/08(月) 21:11:22

knkssh

**名無しさん＠お腹いっぱい。** · 2010/03/10(水) 21:53:41

openssh-5.4/5.4p1来たね。

**名無しさん＠お腹いっぱい。** · 2010/03/10(水) 22:46:49

公開鍵認証が出来なくなった

**名無しさん＠お腹いっぱい。** · 2010/03/10(水) 22:51:37

へぇ～

**名無しさん＠お腹いっぱい。** · 2010/03/10(水) 22:52:20

ほぉ～

**名無しさん＠お腹いっぱい。** · 2010/03/10(水) 23:04:03

公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 01:14:28

えっ

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 01:32:08

>>123
いじめんなよ

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 01:37:00

ケーキを食べればいいじゃないネタに何いってんのっていうか

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 01:42:43

もうひとひねり欲しいところ。

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 01:45:22

むしろサイバーノーガード戦法で

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 03:25:55

もしかしてGIF騒動の二の舞？

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 12:19:55

>>119
英語でいいんでソース頼む

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 12:22:11

ソースっていうか
>>119の環境でできなくなったって話じゃないの。

**名無しさん＠お腹いっぱい。** · 2010/03/11(木) 15:47:16

単にプロトコル2がデフォルトになって、
敢えて設定しない限り1は使えなくなっただけじゃ
なかったっけ？

**119** · 2010/03/11(木) 22:50:59

あぁ・・・うちだけか。ﾅﾝﾃｺｯﾀｲ

ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。
PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG
ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど
パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる？って思ったんです。
sshd_configは5.3p1で使っていたのと全く同じ
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes

**名無しさん＠お腹いっぱい。** · 2010/03/12(金) 00:18:30

>>132
多分、鍵の置く場所変えたら直ると思う。

**名無しさん＠お腹いっぱい。** · 2010/03/12(金) 19:50:51

AuthorizedKeysFile のところ%h付けなくなったんだっけ?
明示的に%h付けてみたら?

**名無しさん＠お腹いっぱい。** · 2010/03/13(土) 05:23:41

RSAよりDSAの方がつおいんだな。
しらなカッタワ。

**名無しさん＠お腹いっぱい。** · 2010/03/13(土) 11:42:41

DSAって1024縛りがなかったっけ?

**名無しさん＠お腹いっぱい。** · 2010/03/13(土) 21:54:51

んなこたぁない

**名無しさん＠お腹いっぱい。** · 2010/03/14(日) 14:13:18

現状のsshで使えるのは1024ビットのDSAだけでしょ？

http://marc.info/?l=openssh-unix-dev&m=126630542032768&w=2

反対にRSAのビット長の方は上限は決まってないんだっけ。
実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が
あるみたいだけど何の制約からなんだろう。

ところで、うちのCore2Duoでためしにopenssl genrsa 65536を
実行してみたらCPU 50%しか使わないね。p,q同時に生成するような
パッチってないのかな？（需要ないか・・・）

**名無しさん＠お腹いっぱい。** · 2010/03/14(日) 14:33:26

仕様上そうなってるけど、PuTTY の keygen では作れてしまう。
以前試したときには確か使えたと思う。

**名無しさん＠お腹いっぱい。** · 2010/03/14(日) 14:44:53

ssh.com版は少なくとも2048bitを作れた気がする。
opensshが勝手に制限してるだけ？

**名無しさん＠お腹いっぱい。** · 2010/03/14(日) 19:09:22

TeraTermの中の人が書いたまとめっぽいのがあった。
ttp://slashdot.jp/~doda/journal/465416