SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2011/10/19(水) 15:19:07.26

普通の標準出力の文字列内にエスケープシーケンスがあるべきじゃないだろうし、
5d（だっけ）と直近のmの間を取ってやればいいんじゃないか？

**名無しさん＠お腹いっぱい。** · 2011/10/30(日) 23:22:31.89

基本的には公開鍵認証、
特定のアドレス範囲内からの接続であればパスワード認証も可。
という設定にするにはどうすればいいですか？

というのも一部のクライアントが
公開鍵認証に対応していないもので……。

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 03:55:48.52

>>522
>>462-464

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:08:26.03

公開鍵認証に対応してないsshクライアントってなんだよ。
そんなのsshクライアントじゃない無視してもいい。

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:14:24.55

すみませんが詳しい方のみ回答をお願いします

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:34:45.02

>>525
sshd2個あげれば？
ふつうは524(クライアントソフト入れ替え)が正しい

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 08:37:38.84

>>522
/etc/ssh/sshd_configで
PasswordAuthentication no

Match 192.168.0.0/24
PasswordAuthentication yes

こんな感じかな。
コピペせずに
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
見ながら設定を推奨します。
てゆか>>523で正解。

>>524
俺も興味あるなｗ
「一部の」ってことはそれなりに数あるんだろうけど…なんじゃそりゃとしか。

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 09:47:02.51

クライアント側アプリではなく
「(公開鍵の概念を理解できない)顧客」
だったりしてな…

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 09:51:21.95

そういうクライアントは辞書攻撃でやられるパスワードをつける可能性が大だから、
やはり無視するのが正しい。

**名無しさん＠お腹いっぱい。** · 2011/10/31(月) 12:00:59.75

俺は >>528 の解釈が当たりだと思った

だったら man sshd_configしてMatchでAddressとUserとの組合せの書式を
確認させないといけないね。本当にやりたいことに近いのはIPアドレスで
判別じゃなくて、IPアドレス&ユーザ名で判別だろうからね。

Match User alice,bob Address 192.168.0.0/16,10.0.0.0/8
PasswordAuthentication yes
PermitEmptyPasswords no

本当にやりたいことは「こんなクソみたいな設定作業を低コストでどっか
にほっぽり出したうえで責任回避するにはどうしたらいいか」って問題の
解決だろうが、そんなもんスレ違いｗ

**名無しさん＠お腹いっぱい。** · 2011/11/02(水) 17:58:33.74

sshでUDPをポートフォワードする方法教えて。man見てもよくわからんね

**名無しさん＠お腹いっぱい。** · 2011/11/02(水) 18:02:28.57

>>531
ググれカス

**名無しさん＠お腹いっぱい。** · 2011/11/02(水) 18:05:33.59

>>531
SSHだけじゃできない、ってのはわかってるかな。

**531** · 2011/11/02(水) 18:54:46.54

もちろん、わかってません＞＜

**名無しさん＠お腹いっぱい。** · 2011/11/02(水) 19:54:37.43

じゃあnetcatも使ってなんとかしとけ

**名無しさん＠お腹いっぱい。** · 2011/11/02(水) 20:34:27.86

にゃあ

**名無しさん＠お腹いっぱい。** · 2011/11/02(水) 21:26:01.91

DeleGateのUDPrelayとかかます
http://i-red.info/docs/Manual.htm#serv_udprelay

忍法帖【Lv=40,xxxPT】 · 2011/11/07(月) 05:15:04.90

http overでssh接続することはできませんか？

**名無しさん＠お腹いっぱい。** · 2011/11/07(月) 10:52:52.94

connect.cとかcorkscrewとかを使えばできる。

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 18:42:53.73

sshdですが、2つのポートで待ち受けることはできるのでしょうか？

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 18:56:06.14

>>540
http://www.jp.freebsd.org/cgi/mroff.cgi?sect=5&cmd=&lc=1&subdir=man&dir=jpman-5.4.0%2Fman&subdir=man&man=sshd_config
Port (ポート番号)
sshd が接続を受けつける (listen する) ポート番号を指定します。デ
フォルトは 22 です。複数指定することも可能です。 ListenAddress の
項も参照してください。

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 18:58:30.21

http://www.openssh.org/manual.html

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 19:09:32.46

>>542
ﾊﾞｰｶ

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 19:20:13.84

罵倒する理由はなに？

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 20:33:45.19

>>544
>>541の2分後に堂々と>>542を書き込んでくるその神経に敬意を表して

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 21:10:27.53

狭量

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 21:17:59.43

2分後ｗ

**名無しさん＠お腹いっぱい。** · 2011/11/08(火) 21:28:40.96

>>542 と >>543 の狭量比べが始まりました
果たして勝者は!?

**542** · 2011/11/08(火) 21:34:40.77

おれは別にどうでもいいよ。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 04:40:41.95

早速の変身ありがとうございます。
2つのポートを使いたいというのは、ファイアウォール内では問題ないのですが
外からはポート80以外接続できないようになっています。
apacheは動いていないので、80番ポートを通してSSH接続できないかと
思案していたところでございました。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 05:04:47.19

>>550
80も狙われやすいと思うけど。

TCP porrt 53とか開いてないのかな？

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 09:16:59.92

>>551
狙われてもいいじゃん。
sshdの方で鍵認証のみにするなり防御の方法はあるし、
L4で狙われにくいポートを選ぶっていう小細工したって知れてるでしょ。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 09:21:38.93

ところが公開鍵認証に対応していないクライアントなんですよ。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 09:41:06.42

そのネタはもういいです。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 10:33:42.19

ポート変えるのは防御ってより
ウザいログを減らすためだな。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 13:46:38.52

まあ80番にSSHアタックしてこんだろ

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 14:11:59.34

ないとは言いきれない。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 14:23:07.22

sshは応答で簡単にわかるから、sshアタックあってもおかしくない

固定IPからのみのパケットフィルタリングとか出来ると
安全、安心。

**名無しさん＠お腹いっぱい。** · 2011/11/09(水) 17:47:20.05

鍵のみ+denyhostでいいんじゃ？

**名無しさん＠お腹いっぱい。** · 2011/12/24(土) 01:40:49.43

SignificantSukebeHeitai

**名無しさん＠お腹いっぱい。** · 2012/01/10(火) 15:29:17.25

OpenSSL 1.0.0f and 0.9.8s
https://www.openssl.org/news/secadv_20120104.txt
セキュリティフィクスのみかな

**561** · 2012/01/10(火) 15:56:25.99

あ，OpenSSHスレだった
ごめん

**名無しさん＠お腹いっぱい。** · 2012/01/23(月) 19:44:03.60

androidのconnectbotでssh port forwardしたいけどできねー。
他にクライアント無いですか。

**名無しさん＠お腹いっぱい。** · 2012/01/23(月) 21:51:14.28

>>563
stone じゃだめかいな。

**名無しさん＠お腹いっぱい。** · 2012/01/23(月) 23:15:51.72

Connectbotって、sshでパスワード認証成功させて、
アンドロイドVNCを起動させると、裏にまわったConnectbotが落ちちゃう(killされる？)みたいなんですよね。
でも、毎回そうなる訳じゃないから不思議...
やっぱりスレ違いかな。

**名無しさん＠お腹いっぱい。** · 2012/01/23(月) 23:33:59.68

SSHTunnelとAndroid VNCの組み合わせで使ってる

**名無しさん＠お腹いっぱい。** · 2012/01/23(月) 23:34:22.51

犬板にこんなスレできてるから聞いてみるといいかも
Android総合
http://engawa.2ch.net/test/read.cgi/linux/1327118733/

**名無しさん＠お腹いっぱい。** · 2012/01/24(火) 00:03:27.30

Root requiredなのを使えば鉄板なのはわかるんだけどなぁ。
でもnative binaryなAndroidアプリの話ならスレ違いってことはないか。

**名無しさん＠お腹いっぱい。** · 2012/01/24(火) 08:43:57.26

SSHTunnelは特権なくてもVNC程度なら使えるはずだけど

**名無しさん＠お腹いっぱい。** · 2012/01/26(木) 16:23:27.70

普通にSSHTunnelで出来ましたが、一回の接続につき、トンネルを一本しか掘れないんですね。
それだけが玉に傷。

**名無しさん＠お腹いっぱい。** · 2012/01/29(日) 14:02:58.50

ここに書けばいいのかよくわからないけど
ssh -Yでフォワードしてfirefoxとかはちゃんと動くんだけど
javaのアプリ(V2C)が空白になって描画されないんだよね
はじめは-Xでやってたんだけどググったら-Yでやれみたいなことが書いてあって試したんだけど変わらず
なにか心当たりある人いますか？

**名無しさん＠お腹いっぱい。** · 2012/01/29(日) 22:45:28.79

ごめんなさい自己解決しました
awesomeの問題？でwmname LG3Dを実行してから起動すると正常に描画されました

**名無しさん＠お腹いっぱい。** · 2012/02/09(木) 00:27:53.62

nohupコマンドについて質問です。
ログアウトしてもジョブが継続されるとのことですが、
ログアウトというのはSSHからログアウトという意味でしょうか？
それともSSHだけでなくターミナルを起動しているＰＣの電源を落としてもジョブは継続するのでしょうか？

**名無しさん＠お腹いっぱい。** · 2012/02/09(木) 00:56:26.20

>>573
はい

**名無しさん＠お腹いっぱい。** · 2012/02/09(木) 01:54:30.41

両方。

**名無しさん＠お腹いっぱい。** · 2012/02/09(木) 02:01:10.50

>>573-574
ありがとうございます

**名無しさん＠お腹いっぱい。** · 2012/02/09(木) 02:01:39.64

>>575
ありがとうございます

**名無しさん＠お腹いっぱい。** · 2012/02/16(木) 18:14:49.38

すみません、質問です。
昨日OpenSSH(5.9_p1-r3)サーバを再インストール(selinux,pam環境下)したところ
クライアントからrootでは接続する場合ではセッションを確立でき、
当然セッションを確立した状態からならほかの一般ユーザにログインもできるのですが
クライアントから直接一般ユーザでセッションを確立しようとすると
OpenSSH_5.4p1クライアントではConnection to (SERVER) closed by remote hostというエラーが発生し
OpenSSH_5.9p1(サーバ)から接続してもWrite failed: Broken pipeと表示されてセッションを確立できません
鍵の再作成とknown_hostの初期化, hosts.allo/denyなどは設定したのですが解決のめどはありません。
どなたかわかる方いらっしゃるでしょうか

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 03:51:00.06

CentOS6でほぼデフォルト状態で使用しています。
sshを使用してポート3306(DB)に接続した場合、そのことがログ/var/log/*に記録されますか？
それとも、sshでログインがあったことしか残りませんか？

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 07:47:06.09

やってみりゃいいじゃん。

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 08:11:16.92

きっと、攻撃する方でログは見れないんだろ。

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 08:15:44.70

同じ環境作ればいい。

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 09:12:34.88

対象の環境は侵入して調べなきゃ再現できないじゃないか。

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 09:58:20.38

そこはもう済んでるから
>>579みたいな質問になったんじゃないの？

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 10:13:54.86

サクッと教えてくれるのがおまえらやん…

Acceptedのログにフォワーデング先のポート番号も出るならlogwatchとかでバレちゃうかなぁ

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 10:19:21.26

さくっとわからんもの。
環境作って検証しないとわからん。
だったら自分でやれ、と。

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 16:46:24.08

>>580-584,586
CentOS6でほぼデフォといえばキュピィーーンってくるエスパーに期待しちゃったお
とりあえずありが㌧

DBはログ監視どころかログとってすらなさげだから普通にsshでログインしてから
DB接続した形跡をhistoryに残さないよう注意しつつなんとかするお

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 18:24:52.20

ほぼデフォといったって、my.cnfに一行追加するだけだろ。ｗ

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 18:41:10.85

デフォってminimal installのことか?

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 21:54:54.64

mysqlサーバにログインしてデフォで接続なら3306は関係ないだろj

**名無しさん＠お腹いっぱい。** · 2012/02/17(金) 23:51:35.08

ちんぼ

**名無しさん＠お腹いっぱい。** · 2012/02/20(月) 20:36:43.13

すみません質問です．
リモートからの接続も，サーバ自身からの接続(ssh localhost -l ${USER})でも，
ユーザがrootならば接続できるのですが，一般ユーザだと接続に失敗します．
--vvオプションで実行した場合以下のようになるのですが，解決法のわかる方いらっしゃらないでしょうか
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to localhost:22).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Write failed: Broken pipe

**名無しさん＠お腹いっぱい。** · 2012/02/21(火) 09:53:18.19

LogLevel上げてログを確認してみたら?

**名無しさん＠お腹いっぱい。** · 2012/02/21(火) 11:30:57.65

> debug1: Authentication succeeded (keyboard-interactive).
認証は通ってるからsshd側でログとらないとわからないなあ。pamとかかな。

**名無しさん＠お腹いっぱい。** · 2012/05/21(月) 20:55:35.98

windows用puttyでパスフレーズなしで
key id_rsaを作りました。
そのkeyでSSHログインしようとすると

>ssh -i id_rsa hogehoge.com
Enter passphrase for key

と
なぜか設定した覚えのないパスフレーズを求められてしまいます。

PuttyのGUIのほうでログインすると問題ないのですが、、、

**名無しさん＠お腹いっぱい。** · 2012/05/21(月) 21:13:48.03

puttyで作った秘密鍵とopensshで作った秘密鍵はフォーマットが違うから
それぞれの対応ソフトでしか使えない
公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない

**名無しさん＠お腹いっぱい。** · 2012/05/21(月) 21:17:45.88

>>596
> 公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない

ん?
変換できるでしょ。
ttp://blog.promob.jp/fri/2010/01/putty.html

**名無しさん＠お腹いっぱい。** · 2012/06/29(金) 13:23:53.05

SSHまでしたのにふざけんなよ

**名無しさん＠お腹いっぱい。** · 2012/07/08(日) 11:35:00.67

自宅サーバーで
sudo ifconfig eth0 0.0.0.0 promisc down
したら、外部からsshできなくなったんだけど、なんで？？

**名無しさん＠お腹いっぱい。** · 2012/07/08(日) 11:45:24.42

そういうネタはいいです

**599** · 2012/07/08(日) 11:52:21.07

>>600
俺？
promiscって自分宛じゃないパケットを受け取るかどうかの設定だよね？
別に無効にしてもsshはできるはずじゃないの？

**名無しさん＠お腹いっぱい。** · 2012/07/08(日) 11:55:05.45

promisc無効にするのに down はねーだろ

-promisc

**名無しさん＠お腹いっぱい。** · 2012/07/08(日) 12:00:04.67

直接の原因は、downしたからインターフェースが止まった。当たり前。

**599** · 2012/07/08(日) 12:10:24.81

>>602,603
まじか。ありがとう

**名無しさん＠お腹いっぱい。** · 2012/07/08(日) 13:09:24.83

downがなくても0.0.0.0じゃIPv4の通信はだめだろうねｗ

**名無しさん＠お腹いっぱい。** · 2012/07/08(日) 13:56:41.22

インターフェースにアドレスを割り振ることは必須ではないので、
ネットワークフィルタでソースアドレス書き換えるとか、頑張れ
ばまるっきり不可能ってわけじゃない。

**名無しさん＠お腹いっぱい。** · 2012/07/08(日) 17:20:36.38

ifconfig -promiscでpromiscuous modeを禁止できると思ってるのか>>599はｗ

**名無しさん＠お腹いっぱい。** · 2012/08/08(水) 06:27:16.59

SSHにすると体感でどれくらい速くなりますか?
寿命は大丈夫ですか? 今はSATA2で使ってます。

**名無しさん＠お腹いっぱい。** · 2012/08/08(水) 10:57:46.44

SSHにしたらいろいろ捗るよ。速さはrloginに劣るかも知れないけど、
寿命は大丈夫でしょ。

**名無しさん＠お腹いっぱい。** · 2012/08/08(水) 11:03:57.63

そうですか、そんなに速くはならないんですね。SSH買うのはちょっと見送ります。

**名無しさん＠お腹いっぱい。** · 2012/08/08(水) 11:11:47.63

スベったね。

**名無しさん＠お腹いっぱい。** · 2012/09/12(水) 18:18:41.33

PEMファイルについて質問です
-----BEGIN RSA PRIVATE KEY-----
や
-----BEGIN PUBLIC KEY-----
のような文字列で始まるのがPEMファイルだと思うのですが、

id_rsa, id_rsa.pub があるときに、id_rsaはPEM形式と共通のようですが、
id_rsa.pubは何形式というのでしょう？
また、id_rsa.pubから公開鍵のPEM形式への変換方法はありますか？

認識が間違っている所があれば指摘いただけるとありがたいです．

**名無しさん＠お腹いっぱい。** · 2012/09/12(水) 20:22:15.49

.pub が何という形式かは知らね。「openssh 公開鍵形式」でいいような気がするが。
id_rsa.pub から変換する方法も知らね。id_rsa から変換するなら以下でできる。
openssl rsa -in id_rsa -pubout

**名無しさん＠お腹いっぱい。** · 2012/09/12(水) 22:28:47.52

>>613
おお、公開鍵のPEMが欲しかったのでありがとうございます

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 18:20:18.67

公開鍵について質問です。
複数のサーバーに対し公開鍵認証を行う場合、
サーバー毎に秘密鍵・公開鍵を作成してクライアントに持たすべきですか？
ググってconfigファイルでの分ける設定は見つかりましたが、
セキュリティ上分けるべきかどうかを言及しているサイトは見つかりませんでした。
サーバー毎に作成する場合、鍵の管理が煩雑になりそうですので、
可能であれば公開鍵を共用したいと思いますが、リスク面ではどうなんでしょうか？

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 18:22:38.59

公開鍵盗まれるようなサーバに入って作業すること自体マズいんじゃないの。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 18:40:00.90

すみませんが詳しい方のみ回答をお願いします

**615** · 2012/09/14(金) 19:23:28.06

>>616
>>617は私じゃないですけど、
サーバに侵入されて公開鍵が盗まれても問題ないのでは？そもそも公開してるわけだし。
サーバに侵入されて公開鍵が書き換えられたら問題ですけど、
それと複数サーバで同じ公開鍵を使うかどうかとは別問題かと思うんですが・・

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:25:34.24

ならどういう事態を心配してるんだろ。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:32:51.15

分け方がググらなきゃわからないほどマイナーってことは、
普通は分けないってことだ

複数のサーバが自分の同じ公開鍵をもってたからって、
どれかの管理者が他のサーバに侵入したりできないよ