SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2011/05/29(日) 12:32:47.86

>>428
なんで？
転送先へもNATされるのが普通だろうから問題ないでしょ？

**名無しさん＠お腹いっぱい。** · 2011/05/29(日) 12:36:37.65

あ、転送先がNATの内側の話をいいたいのね

**名無しさん＠お腹いっぱい。** · 2011/05/29(日) 12:38:33.66

>>429
内→外のNAT(NAPT)専用で、
NATルーターは別管理で、自分で設定を変更できないと考えろ

**名無しさん＠お腹いっぱい。** · 2011/05/29(日) 12:42:59.23

いやNATの内側でも問題ないな

**名無しさん＠お腹いっぱい。** · 2011/05/29(日) 13:24:10.87

包茎くん、コテハンつけてね。んまぁ、つけなくてもレスから恥垢臭
漂ってくるぐらいに臭いからわかるけどさ。

**名無しさん＠お腹いっぱい。** · 2011/05/29(日) 15:48:54.77

面白いと思ってるのかな

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 10:33:08.07

Sanba over SSH試してるんだがびっくりする位遅いんだな
Teratermだと2MB/s程度しか出ない
cygwinにOpenSSH-hpn入れてやっても13MB/sくらいが限界だわ
その割にCPUのリソース余ってる感じだし・・

CPUガリガリ使ってガンガン速度出てくれないもんかね～

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 10:35:04.35

あーSambaだった

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 13:25:02.78

素直に sshfs にした方が

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 13:41:44.24

>>437
素直なのかそれ

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 15:13:04.49

すまない
素直じゃなかったよ////

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 20:33:59.14

萌えた

**名無しさん＠お腹いっぱい。** · 2011/06/09(木) 21:29:03.47

435ですが色々やりまくった結果
Sambaに拘るならWindowsでのsshクライアントはCygwinでOpensshをTar玉取ってきて
hpnパッチ当てるのが一番速いみたいです　商用だともっと速いのあるのかも？

んで鯖がGentooだったんですがこれが曲者でssh -vでOpenSSH_5.8p1-hpn13v10と
出るのにマルチスレッドで動いてませんでした　気が付くのにtopとにらめっこしつつ
設定変えまくって丸一日かかった・・・

鯖の方のOpensshも野良で入れたらsshdの負荷がMAXで200%まで行くようになって
SambaOverSSHでRead34MB/s、Write58MB/sまで出るようになりました(Phenom9750)
さすがに4コア全部使い切ったりはしないもんですね
ちなみにssh無しだとRead70MB/s、Write100MB/s位

SambaOverSSHで速度出そうって奇特な人は居ないかもしれませんが参考までに、
最初の2MB/sから34MB/sまで上がって嬉しくなったので書いてみましたｗ

**名無しさん＠お腹いっぱい。** · 2011/06/15(水) 02:24:23.96

gentoo って hpn でもマルチスレッド動いてないんだ?
もしよかったら、どのあたりを設定したか教えてちょ。

**名無しさん＠お腹いっぱい。** · 2011/06/17(金) 22:22:05.43

>>442
設定っていうか/etc/portage/profile/package.providedでGentoo純正のOpenssh
入らないようにして元々のを消してopenssh.orgで取ってきたTar玉のOpensshに
http://www.psc.edu/networking/projects/hpn-ssh/
で取ってきたパッチ上から3つ当ててインストールして/etc/init.d/sshdの
SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd}の所を
SSHD_BINARY=${SSHD_BINARY:-/usr/local/sbin/sshd}に書き換えただけです

**名無しさん＠お腹いっぱい。** · 2011/06/18(土) 21:57:05.86

>>443
なーほー。
ありがとん!

**名無しさん＠お腹いっぱい。** · 2011/07/01(金) 19:05:47.44

[クライアント-(Gateway)-サーバ]の環境下で, SSHで接続時にクライアントのディレクトリをサーバにマウントしたいのですが,
クライアントにsshdを導入せずマウントできる方法はないでしょうか

**名無しさん＠お腹いっぱい。** · 2011/07/04(月) 18:50:53.50

逆ポートフォワーディングやればよかでは

**名無しさん＠お腹いっぱい。** · 2011/07/10(日) 06:48:24.05

sshを導入しないならなぜここで聞くのか

**名無しさん＠お腹いっぱい。** · 2011/07/10(日) 07:58:24.51

すみませんが詳しい方のみ回答をお願いします

**名無しさん＠お腹いっぱい。** · 2011/07/10(日) 09:33:40.70

クライアントにsshdを導入するとマウントできる方法はあるでしょうか

**名無しさん＠お腹いっぱい。** · 2011/07/10(日) 11:24:19.67

中国語でok

**名無しさん＠お腹いっぱい。** · 2011/07/10(日) 11:40:20.66

我很遺憾、但我只懇求專家的人來回答。

**名無しさん＠お腹いっぱい。** · 2011/07/10(日) 11:50:00.63

はい。
http://sourceforge.net/apps/mediawiki/fuse/index.php?title=SshfsFaq#Is_there_some_neat_way_to_do_it_in_reverse.3F

**名無しさん＠お腹いっぱい。** · 2011/07/10(日) 13:04:32.53

フランスに渡米経験者のみ回答ok

**名無しさん＠お腹いっぱい。** · 2011/07/20(水) 17:12:54.98

『入門OpenSSH』という書籍の原稿が公開されてた。
http://www.unixuser.org/~euske/doc/openssh/book/index.html
良い時代になったなぁ…
次スレのテンプレ（何年後だ）に入れて欲しいぞ。

**名無しさん＠お腹いっぱい。** · 2011/07/20(水) 18:50:10.35

4.69 で直ったやつか？
ttp://ttssh2.sourceforge.jp/manual/ja/about/history.html#teraterm_4.69

**名無しさん＠お腹いっぱい。** · 2011/07/20(水) 18:50:49.96

誤爆した。すまん。

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 07:11:21.09

最近は外向きのSSLを一回解除して平文を読んでから外部にSSLで繋ぎ直すといった
Man in the MiddleみたいなことをするIDSがあるみたいですが
ローカルのクライアントから外部のサーバへアクセスする際に途中にこういったIDSが存在しても
公開鍵認証でSSH使っている場合にはこれは暗号文を復号されないということでよろしいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 08:26:49.63

SSLの証明書やsshのサーバ host key が何かを
考えてから言ってくれ

**名無しさん＠お腹いっぱい。** · 2011/07/26(火) 02:03:57.05

公開鍵認証かどうかは関係ないやろ。
ローカルのクライアントを操作してる人間が
MITMゲートウェイの提示してきた偽造したホスト公開鍵を
外部サーバのホスト公開鍵だと闇雲に信じてしまうんなら
そら盗聴されるわ。

**名無しさん＠お腹いっぱい。** · 2011/07/30(土) 22:55:04.76

sshで逆引きして.jp以外は拒否ってできますか？

**名無しさん＠お腹いっぱい。** · 2011/07/30(土) 23:50:26.03

>>460
TCP Wrapperのライブラリがリンクされているか、inetd経由で起動させれば可能だよ。

**名無しさん＠お腹いっぱい。** · 2011/08/21(日) 18:50:25.69

接続元のサブネットごとに、認証方式を変える方法ってどう書けばいいでしょうか。
具体的には、ローカルアドレスからは公開鍵認証かパスワード認証、
グローバルアドレスからは公開鍵認証のみ、
としたいです。

**名無しさん＠お腹いっぱい。** · 2011/08/23(火) 10:10:58.30

>>462
man sshd_configしてMatchでAddress使う書式確認すりゃいいんじゃね

**名無しさん＠お腹いっぱい。** · 2011/08/23(火) 15:37:28.24

>>463
ありがとうございます。「Match,Address」というキーワードがわかったので
ssh Match Addressで検索したらそのものズバリのページがみつかりました。
ttp://inside.ascade.co.jp/node/4

**名無しさん＠お腹いっぱい。** · 2011/08/26(金) 14:13:13.34

復帰

**名無しさん＠お腹いっぱい。** · 2011/09/05(月) 22:44:49.86

ところでケルベロス使ってる人いる？

**名無しさん＠お腹いっぱい。** · 2011/09/05(月) 23:53:13.16

いるよ

**名無しさん＠お腹いっぱい。** · 2011/09/06(火) 21:54:07.01

どう？

**名無しさん＠お腹いっぱい。** · 2011/09/06(火) 22:13:59.17

さぁ。

**名無しさん＠お腹いっぱい。** · 2011/09/06(火) 23:05:47.45

ありゃ地獄だぜ

**名無しさん＠お腹いっぱい。** · 2011/09/06(火) 23:46:26.24

http://www.openssh.com/txt/release-5.9

**名無しさん＠お腹いっぱい。** · 2011/09/26(月) 21:02:40.54

よくわからなかったころは合成に良く使った

**名無しさん＠お腹いっぱい。** · 2011/10/02(日) 12:31:00.47

質問です。

known_hostsに登録される鍵は、ホスト鍵と呼ばれるそうなのですが、
ホスト鍵にも秘密鍵と公開鍵があるんでしょうか？
その場合、known_hostsに登録されているのは公開鍵のほうですか？

**名無しさん＠お腹いっぱい。** · 2011/10/02(日) 14:20:39.62

はい。

**名無しさん＠お腹いっぱい。** · 2011/10/02(日) 21:41:53.68

>>474
ありがとうございます。
公開鍵はknown_hostsに登録されているとすると、
（ホスト鍵の）秘密鍵はどこに登録されているのでしょうか？

**名無しさん＠お腹いっぱい。** · 2011/10/02(日) 21:58:32.77

$ grep ^HostKey /etc/ssh/sshd_config

**名無しさん＠お腹いっぱい。** · 2011/10/03(月) 01:08:39.12

>>475
クライアント側の話?
なら秘密鍵はクライアント側にはないよ。

**名無しさん＠お腹いっぱい。** · 2011/10/04(火) 19:18:25.34

>>476
$ grep ^HostKey /etc/ssh/sshd_config
$

**名無しさん＠お腹いっぱい。** · 2011/10/04(火) 19:46:31.60

>>478
じゃあ
$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh/
それぞれの結果見せて

**名無しさん＠お腹いっぱい。** · 2011/10/04(火) 23:04:59.53

もしもホストキーを自分と相手で同じもの使ったらどうなるの？

**名無しさん＠お腹いっぱい。** · 2011/10/05(水) 00:02:10.98

そんな事チェックしてないので、どうもならない。

**名無しさん＠お腹いっぱい。** · 2011/10/06(木) 00:24:04.87

>>477
クライアント側にあるのが秘密鍵じゃないの？

**名無しさん＠お腹いっぱい。** · 2011/10/06(木) 01:40:00.64

鍵を作ったところにしかないのが秘密鍵。
ホスト鍵はホストが作るんだからその秘密鍵がクライアントにあるはずがない。

**名無しさん＠お腹いっぱい。** · 2011/10/06(木) 02:11:06.54

入門OpenSSH
http://www.unixuser.org/~euske/doc/openssh/book/index.html

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 01:06:13.11

>>483
クライアントで秘密鍵と公開鍵を作って
サーバには公開鍵を登録する
と思ってたけど違うの？

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 01:42:46.67

>>485
それは認証用の鍵でしょなんの話をしてるんだよ

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 02:17:54.44

>>485
ホスト鍵の話だよ。
sshd_config で言う HostKey の話。

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 08:54:42.74

秘密鍵を使用する以外の別の場所で、それを作ってはいけないという決まりはない。

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 09:29:29.23

ホスト鍵って何に使うの？

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 09:53:01.24

>>488
いきなり何を言い出したんだ？

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 10:30:19.60

>>488
作ってはいけないという決まりはないが、
作るべきではない。

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 10:33:48.02

>>489
http://www.unixuser.org/~euske/doc/openssh/book/chap3.html

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 10:48:12.08

ホスト鍵が何かわかってないってことは、
初回ログイン時に表示される fingerprint が何かわかってないってこと。
何も考えずに yes って打ってるでしょ。
それ危険だよ。

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 11:06:06.49

サーバのIPがコロコロ変わるのでknown_hostsは毎回削除してたわ

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 11:21:58.23

わかっててやってるならいいけどさ。

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 21:45:45.81

ssh-agent コマンド
ってやってssh-agentを起動する時、
普通に考えると「コマンド」はssh-agentの子プロセスになると思いがちだけど、
実際にはssh-agent内部でfork()した後、その親プロセス側が「コマンド」をexec()する。

「コマンド」が親で、ssh-agentが子プロセスになる。
で、このままでは「コマンド」の終了をwait()やSIGCHLDとかで検出できないので、
ssh-agentはわざわざ10秒おきに「コマンド」が終了したかどうかチェックしてる。

何故わざわざ親と子を逆にして面倒なことをしているのでしょう?
何か理由があるのでしょうか?

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 23:15:25.03

呼び出し側がコマンドを子プロセス扱いできるようにってことかな？

**名無しさん＠お腹いっぱい。** · 2011/10/15(土) 02:02:05.36

フジテレビデモ
花王デモ
要チェック

**名無しさん＠お腹いっぱい。** · 2011/10/15(土) 11:32:51.63

親プロセスがsh以外の(変な)プログラムだと混乱するのがあるんじゃないかな。

**名無しさん＠お腹いっぱい。** · 2011/10/15(土) 11:48:39.01

>>499
は？祖父母プロセスのことをいいたいの？想像できん・・・

**名無しさん＠お腹いっぱい。** · 2011/10/15(土) 12:16:48.59

$ echo $$
19472
$ ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent bash -c 'echo $PPID'
19472
$ ssh-agent ssh-agent ssh-agent bash -c 'echo $PPID'
19472

**名無しさん＠お腹いっぱい。** · 2011/10/15(土) 12:26:07.78

10秒おきにポーリングしてプロセス終了を待つって無駄だよな。
実際ssh-agent終了直後、最大10秒間は /tmp/ssh-XXXXX が残ってしまう。
もっと効率的なアルゴリズムにできないのか?

**名無しさん＠お腹いっぱい。** · 2011/10/15(土) 12:37:43.36

>>496
しかもgetppid(2)じゃなくてkill(2)でチェックしてるんだな。10秒以内に同じ
PIDのプロセスが作られると終了しない、と。

コマンド指定しない時のforkと無理やり共通化したかっただけとか・・・？

**名無しさん＠お腹いっぱい。** · 2011/10/15(土) 14:05:20.20

コマンド付きだろうとなかろうと本来はssh-addやsshのためのソケットサーバ。
起動してしまえば子孫関係のないクライアントへも区別なくサービスできるし、
コマンド指定機能はオマケ機能扱いてことじゃね？

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 19:03:01.30

>479
それを見たところで分かるとは限らないという意味であえて書いてたのだが…

$ grep -i ^HostKey /etc/ssh/sshd_config
$ ls /etc/ssh
moduli ssh_host_ecdsa_key ssh_host_rsa_key
ssh_config ssh_host_ecdsa_key.pub ssh_host_rsa_key.pub
ssh_host_dsa_key ssh_host_key sshd_config
ssh_host_dsa_key.pub ssh_host_key.pub
$

こんなとこ

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 19:12:40.69

で、どうしたいの。

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 20:16:45.13

>>506
>>505に対して書いてるのか?なら
>>476が>>475の疑問を解消してくれるのを待ってる

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 20:28:43.50

grep結果にひっかからないということは/etc/sshのファイルが使われている保証はないということ？

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 20:43:02.38

>>505
ssh_host_ecdsa_key
ssh_host_rsa_key
ssh_host_dsa_key
ssh_host_key
がホスト鍵だな

次の質問ある？

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 22:58:06.50

>>508
/usr/sbin/sshd -T で確認すればいいんじゃない？

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 23:04:38.51

これからはセキュリティックの時代なので
ログインシェルをsshに変更したいんですが、
chsh -s /usr/bin/ssh
のプロンプトを発行するとエラーになりました。
何か設定が足りないんでしょうか？

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 23:17:07.67

そういうネタはいいです。

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 23:20:04.38

# echo /usr/bin/ssh >> /etc/shells

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 23:36:02.81

>>510
sshd: illegal option -- T
OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
usage: sshd [-46Ddeiqt] [-b bits] [-f config_file] [-g login_grace_time]
[-h host_key_file] [-k key_gen_time] [-o option] [-p port] [-u len]

**名無しさん＠お腹いっぱい。** · 2011/10/17(月) 23:39:22.21

ケチつけるだけじゃなく答え教えてあげたら。

**名無しさん＠お腹いっぱい。** · 2011/10/19(水) 08:11:00.41

カラー表示の非対応SSHクライアントで端末タイプにvt100等を使用すると
カラー情報をクライアントが認識できないため、カラーになる文字列の前後に余計な文字列が付与されますが、
このカラー情報のパケットのルールについて記載されているサイト等は無いでしょうか？

端末タイプのdumbを認識しないsshdの場合、手動で取り除きたいと考えています。

**名無しさん＠お腹いっぱい。** · 2011/10/19(水) 11:50:47.19

自己解決レス。

ANSIカラーコードという体系があったのですね。

**名無しさん＠お腹いっぱい。** · 2011/10/19(水) 13:27:19.47

っていうか vt100 はカラー対応じゃないし…

そもそも TERM をみてカラー対応じゃなかったら
そのエスケープシーケンスは吐くべきじゃないわけだが

**名無しさん＠お腹いっぱい。** · 2011/10/19(水) 14:01:20.68

TERMがvt100じゃなかったってオチでは？

**名無しさん＠お腹いっぱい。** · 2011/10/19(水) 14:31:14.74

エスパーするとGNU lsはTERMを認識せずにカラー表示する。
alias ls='ls --color' されてたりする。

TERMをちゃんと認識するには ncursesなり termcapなりのライブラリとのリンクが必要。
lsのような基本コマンドで ncursesとかに依存するのは大げさだから、
TERM無視してエスケープシーケンス出力する今のやりかたが妥当。

**名無しさん＠お腹いっぱい。** · 2011/10/19(水) 15:19:07.26

普通の標準出力の文字列内にエスケープシーケンスがあるべきじゃないだろうし、
5d（だっけ）と直近のmの間を取ってやればいいんじゃないか？

**名無しさん＠お腹いっぱい。** · 2011/10/30(日) 23:22:31.89

基本的には公開鍵認証、
特定のアドレス範囲内からの接続であればパスワード認証も可。
という設定にするにはどうすればいいですか？

というのも一部のクライアントが
公開鍵認証に対応していないもので……。

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 03:55:48.52

>>522
>>462-464

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:08:26.03

公開鍵認証に対応してないsshクライアントってなんだよ。
そんなのsshクライアントじゃない無視してもいい。

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:14:24.55

すみませんが詳しい方のみ回答をお願いします

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:34:45.02

>>525
sshd2個あげれば？
ふつうは524(クライアントソフト入れ替え)が正しい

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:37:38.84

>>522
/etc/ssh/sshd_configで
PasswordAuthentication no

Match 192.168.0.0/24
PasswordAuthentication yes

こんな感じかな。
コピペせずに
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
見ながら設定を推奨します。
てゆか>>523で正解。

>>524
俺も興味あるなｗ
「一部の」ってことはそれなりに数あるんだろうけど…なんじゃそりゃとしか。

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 09:47:02.51

クライアント側アプリではなく
「(公開鍵の概念を理解できない)顧客」
だったりしてな…