SSH その7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2010/02/16(火) 21:23:37FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
0585名無しさん@お腹いっぱい。
2012/02/17(金) 10:13:54.86Acceptedのログにフォワーデング先のポート番号も出るならlogwatchとかでバレちゃうかなぁ
0586名無しさん@お腹いっぱい。
2012/02/17(金) 10:19:21.26環境作って検証しないとわからん。
だったら自分でやれ、と。
0587名無しさん@お腹いっぱい。
2012/02/17(金) 16:46:24.08CentOS6でほぼデフォといえばキュピィーーンってくるエスパーに期待しちゃったお
とりあえずありがd
DBはログ監視どころかログとってすらなさげだから普通にsshでログインしてから
DB接続した形跡をhistoryに残さないよう注意しつつなんとかするお
0588名無しさん@お腹いっぱい。
2012/02/17(金) 18:24:52.200589名無しさん@お腹いっぱい。
2012/02/17(金) 18:41:10.850590名無しさん@お腹いっぱい。
2012/02/17(金) 21:54:54.640591名無しさん@お腹いっぱい。
2012/02/17(金) 23:51:35.080592名無しさん@お腹いっぱい。
2012/02/20(月) 20:36:43.13リモートからの接続も,サーバ自身からの接続(ssh localhost -l ${USER})でも,
ユーザがrootならば接続できるのですが,一般ユーザだと接続に失敗します.
--vvオプションで実行した場合以下のようになるのですが,解決法のわかる方いらっしゃらないでしょうか
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to localhost:22).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Write failed: Broken pipe
0593名無しさん@お腹いっぱい。
2012/02/21(火) 09:53:18.190594名無しさん@お腹いっぱい。
2012/02/21(火) 11:30:57.65認証は通ってるからsshd側でログとらないとわからないなあ。pamとかかな。
0595名無しさん@お腹いっぱい。
2012/05/21(月) 20:55:35.98key id_rsaを作りました。
そのkeyでSSHログインしようとすると
>ssh -i id_rsa hogehoge.com
Enter passphrase for key
と
なぜか設定した覚えのないパスフレーズを求められてしまいます。
PuttyのGUIのほうでログインすると問題ないのですが、、、
0596名無しさん@お腹いっぱい。
2012/05/21(月) 21:13:48.03それぞれの対応ソフトでしか使えない
公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない
0597名無しさん@お腹いっぱい。
2012/05/21(月) 21:17:45.88> 公開鍵はopensshの形式にエクスポートできるが秘密鍵はそうではない
ん?
変換できるでしょ。
ttp://blog.promob.jp/fri/2010/01/putty.html
0598名無しさん@お腹いっぱい。
2012/06/29(金) 13:23:53.050599名無しさん@お腹いっぱい。
2012/07/08(日) 11:35:00.67sudo ifconfig eth0 0.0.0.0 promisc down
したら、外部からsshできなくなったんだけど、なんで??
0600名無しさん@お腹いっぱい。
2012/07/08(日) 11:45:24.420601599
2012/07/08(日) 11:52:21.07俺?
promiscって自分宛じゃないパケットを受け取るかどうかの設定だよね?
別に無効にしてもsshはできるはずじゃないの?
0602名無しさん@お腹いっぱい。
2012/07/08(日) 11:55:05.45-promisc
0603名無しさん@お腹いっぱい。
2012/07/08(日) 12:00:04.670605名無しさん@お腹いっぱい。
2012/07/08(日) 13:09:24.830606名無しさん@お腹いっぱい。
2012/07/08(日) 13:56:41.22ネットワークフィルタでソースアドレス書き換えるとか、頑張れ
ばまるっきり不可能ってわけじゃない。
0607名無しさん@お腹いっぱい。
2012/07/08(日) 17:20:36.380608名無しさん@お腹いっぱい。
2012/08/08(水) 06:27:16.59寿命は大丈夫ですか? 今はSATA2で使ってます。
0609名無しさん@お腹いっぱい。
2012/08/08(水) 10:57:46.44寿命は大丈夫でしょ。
0610名無しさん@お腹いっぱい。
2012/08/08(水) 11:03:57.630611名無しさん@お腹いっぱい。
2012/08/08(水) 11:11:47.630612名無しさん@お腹いっぱい。
2012/09/12(水) 18:18:41.33-----BEGIN RSA PRIVATE KEY-----
や
-----BEGIN PUBLIC KEY-----
のような文字列で始まるのがPEMファイルだと思うのですが、
id_rsa, id_rsa.pub があるときに、id_rsaはPEM形式と共通のようですが、
id_rsa.pubは何形式というのでしょう?
また、id_rsa.pubから公開鍵のPEM形式への変換方法はありますか?
認識が間違っている所があれば指摘いただけるとありがたいです.
0613名無しさん@お腹いっぱい。
2012/09/12(水) 20:22:15.49id_rsa.pub から変換する方法も知らね。id_rsa から変換するなら以下でできる。
openssl rsa -in id_rsa -pubout
0614名無しさん@お腹いっぱい。
2012/09/12(水) 22:28:47.52おお、公開鍵のPEMが欲しかったのでありがとうございます
0615名無しさん@お腹いっぱい。
2012/09/14(金) 18:20:18.67複数のサーバーに対し公開鍵認証を行う場合、
サーバー毎に秘密鍵・公開鍵を作成してクライアントに持たすべきですか?
ググってconfigファイルでの分ける設定は見つかりましたが、
セキュリティ上分けるべきかどうかを言及しているサイトは見つかりませんでした。
サーバー毎に作成する場合、鍵の管理が煩雑になりそうですので、
可能であれば公開鍵を共用したいと思いますが、リスク面ではどうなんでしょうか?
0616名無しさん@お腹いっぱい。
2012/09/14(金) 18:22:38.590617名無しさん@お腹いっぱい。
2012/09/14(金) 18:40:00.900618615
2012/09/14(金) 19:23:28.06>>617は私じゃないですけど、
サーバに侵入されて公開鍵が盗まれても問題ないのでは?そもそも公開してるわけだし。
サーバに侵入されて公開鍵が書き換えられたら問題ですけど、
それと複数サーバで同じ公開鍵を使うかどうかとは別問題かと思うんですが・・
0619名無しさん@お腹いっぱい。
2012/09/14(金) 19:25:34.240620名無しさん@お腹いっぱい。
2012/09/14(金) 19:32:51.15普通は分けないってことだ
複数のサーバが自分の同じ公開鍵をもってたからって、
どれかの管理者が他のサーバに侵入したりできないよ
0621名無しさん@お腹いっぱい。
2012/09/14(金) 19:36:06.19パスワード認証ね場合パスワードは自分の頭のなかにしかないけど
鍵認証だと~/.ssh以下にパスワードに相当する秘密鍵がおもいっきり置いてある
自分の頭は宇宙人以外にハッキングされることはないけど
ホームディレクトリは侵入されたら\(^o^)/
でもみんな2つ組み合わせてるか
0622名無しさん@お腹いっぱい。
2012/09/14(金) 19:41:46.06>ホームディレクトリは侵入
この時点で終わってるだろwwwww
0623名無しさん@お腹いっぱい。
2012/09/14(金) 19:52:39.50とくに>>615のような話題だとどちらのことを言ってるのかまぎらわしい
0624名無しさん@お腹いっぱい。
2012/09/14(金) 19:56:52.260625名無しさん@お腹いっぱい。
2012/09/14(金) 19:57:06.45秘物鍵にパスフレーズつけとけ
0626名無しさん@お腹いっぱい。
2012/09/14(金) 20:04:43.13だったら>>624で1ヶ所ヤラれるということは
サーバ別に鍵を分けてたとしてもたぶん全滅。
0627名無しさん@お腹いっぱい。
2012/09/14(金) 20:08:05.37>>618 によるとそういうことじゃないらしい。
0628名無しさん@お腹いっぱい。
2012/09/14(金) 20:13:01.812Nにおさめるというのがある
パスワード認証で全サーバ同じパスワードで運用すればN個ですむけど
サーバの管理者が違うとそうもいかないし
0629名無しさん@お腹いっぱい。
2012/09/14(金) 21:49:10.59それはsshが世にでた頃から言われたこと。
rootが信用できないならこの仕組みは成り立たないよ。
0630名無しさん@お腹いっぱい。
2012/09/14(金) 21:56:42.860631名無しさん@お腹いっぱい。
2012/09/14(金) 22:40:01.78それが信用できるrootを確保する一番簡単な手段だろ。なにをいまさら。
0632名無しさん@お腹いっぱい。
2012/09/14(金) 22:41:54.00見当違い
0633名無しさん@お腹いっぱい。
2012/09/14(金) 23:43:03.66Pagentとか
0634名無しさん@お腹いっぱい。
2012/09/14(金) 23:49:19.18SSHサーバ側の管理者がのっとられた場合、
パスワード認証なら生パスワードを抜かれて悪用されるリスクがあるけど
公開鍵認証なら秘密鍵の内容を抜かれることはないはず
0635名無しさん@お腹いっぱい。
2012/09/14(金) 23:53:34.05>>618参照。
0636名無しさん@お腹いっぱい。
2012/09/15(土) 00:07:58.47え、そんなのあたりまえだろ?だれへのれす?
0637名無しさん@お腹いっぱい。
2012/09/15(土) 00:22:10.930638名無しさん@お腹いっぱい。
2012/09/15(土) 01:14:35.26公開鍵のことなんかいってないぞ
0639615
2012/09/15(土) 01:52:37.87認識としては、公開鍵が抜かれても特に問題は無し、
公開鍵が書き換えられる状態だと、そのサーバのみ成りすまし可能、
秘密鍵は抜かれたら、全サーバー成りすまし可能で、
秘密鍵が抜かれる状態だと、どっち道全部持ってかれるので
個別にペアを用意していても意味ないんじゃないかなと
思った次第です。
0640名無しさん@お腹いっぱい。
2012/09/15(土) 02:51:28.680641名無しさん@お腹いっぱい。
2012/09/15(土) 11:01:33.13> 公開鍵が書き換えられる状態だと、そのサーバのみ成りすまし可能、
そんな杜撰な管理のサーバならSSHサーバの改ざんもありうるよ。
パスワード認証のパスワードを抜き取る細工(同じパスワード使いまわしを期待して他のサーバのっとり)
→公開鍵認証に失敗してパスワード認証にフォールバックする設定で、うっかりパスワードを入力してしまったらアウト
中間者攻撃の細工
→ホスト鍵の認証失敗で気づけるけど、意味が分からず無視するような人はアウト
0642名無しさん@お腹いっぱい。
2012/09/15(土) 18:02:41.14SSH2の認証ステップって(C:クライアント S:サーバー)
1 C=>S 公開鍵認証してよ。ユーザー名はコレで、公開鍵はこれ
2 S=>C その鍵OK。 んじゃ、このデータDに署名してみ。
3 C=>S 署名した。どや。
4 S=>C 署名あってる。ログインさせたる。
こんな感じでしょ。
Sが乗っ取られてる場合にDは実は他のS'への認証情報だったりしない?
DにはセッションIDが入ってるけど、セッションIDの決定方法が良くわからない。
でも、ホスト鍵も盗まれてる状態だったら、S'へのログインを同時に
試みる事で、同一のセッションID生成できるよね。
0643名無しさん@お腹いっぱい。
2012/09/15(土) 18:07:17.61公開鍵が盗まれると。他のサーバに対してその鍵が有効であるか確認できる。
0644名無しさん@お腹いっぱい。
2012/09/15(土) 18:46:50.83「データDに署名」って
ttp://www14.plala.or.jp/campus-note/vine_linux/server_ssh/ssh_key.html
で言うとどこの話?
0645名無しさん@お腹いっぱい。
2012/09/15(土) 19:00:19.72その解説はSSH2じゃない。下の方じゃSSH2で解説してるのに…
こういう古いゴミ情報をいつまでも公開すんなよ。
ssh1だけど、3で送るデータがSで生成したものではなく、S'から受け取った
ものだったらS'へログインできるようになるよね。
ssh2も似たような事が可能な気がする。
0646名無しさん@お腹いっぱい。
2012/09/15(土) 19:17:30.290647名無しさん@お腹いっぱい。
2012/09/15(土) 19:22:07.63少なくともSSH1は禁止だね。
0648名無しさん@お腹いっぱい。
2012/09/17(月) 10:32:16.11>こういう古いゴミ情報をいつまでも公開すんなよ。
何年も前のスレが消えないUNIX板住人がそれを言う資格あるんだろうか
0649名無しさん@お腹いっぱい。
2012/09/17(月) 11:31:16.70簡単には落とせない2chのスレでは話違うでしょ。
0650名無しさん@お腹いっぱい。
2012/09/17(月) 12:01:13.510651名無しさん@お腹いっぱい。
2012/09/17(月) 14:00:02.160652名無しさん@お腹いっぱい。
2012/10/23(火) 11:42:43.030653名無しさん@お腹いっぱい。
2012/10/23(火) 11:44:29.690654名無しさん@お腹いっぱい。
2012/10/23(火) 12:01:41.490655名無しさん@お腹いっぱい。
2012/10/28(日) 09:08:44.82いちいちポート転送なんてやってられないよ
VPN 楽でいい
0656名無しさん@お腹いっぱい。
2012/10/29(月) 23:05:11.73って、繋ぐたびに毎回設定してるのか?
変わったやつだな
0657名無しさん@お腹いっぱい。
2012/10/30(火) 16:01:13.290658名無しさん@お腹いっぱい。
2012/12/03(月) 20:16:12.13パスワードなしにするのに必要かと思ってずっとyesにしてたわ
0659名無しさん@お腹いっぱい。
2012/12/11(火) 21:01:38.150660名無しさん@お腹いっぱい。
2012/12/13(木) 17:46:55.26よく分かってない人に説明するときに面倒くさいから
VPNとか言っちゃっても うそにはならんよね?
0661名無しさん@お腹いっぱい。
2012/12/13(木) 17:52:39.18「簡易VPN」とか言っといた方がいいかもね。
0662名無しさん@お腹いっぱい。
2012/12/13(木) 17:54:36.30IP通すわけじゃないよね。
0663名無しさん@お腹いっぱい。
2012/12/14(金) 17:27:34.010664名無しさん@お腹いっぱい。
2012/12/14(金) 17:56:29.980665名無しさん@お腹いっぱい。
2012/12/15(土) 01:14:10.540666名無しさん@お腹いっぱい。
2012/12/15(土) 16:10:28.850667名無しさん@お腹いっぱい。
2012/12/15(土) 18:11:33.630668名無しさん@お腹いっぱい。
2012/12/16(日) 14:25:41.73これって同時接続最大数とか設定するところってある?
0669名無しさん@お腹いっぱい。
2012/12/16(日) 14:52:00.730670名無しさん@お腹いっぱい。
2012/12/16(日) 14:56:39.030671名無しさん@お腹いっぱい。
2012/12/16(日) 18:09:45.350672名無しさん@お腹いっぱい。
2012/12/16(日) 18:18:19.79ありがとう。
同時に100本くらい接続する予定だったんだけど
大丈夫そうなので安心したわ。
0673名無しさん@お腹いっぱい。
2012/12/16(日) 18:23:25.510674名無しさん@お腹いっぱい。
2012/12/16(日) 18:57:44.16通信量にもよるが。
0675名無しさん@お腹いっぱい。
2012/12/16(日) 22:21:39.87ほっといたら1000本10000本とか使いそうだなお前
0676名無しさん@お腹いっぱい。
2012/12/16(日) 22:32:32.94ネトゲか
0677名無しさん@お腹いっぱい。
2012/12/17(月) 19:35:31.321000本程度ならともかく、10000本はつらいよね
0678名無しさん@お腹いっぱい。
2012/12/22(土) 18:27:18.03リモートログインした先のシェルのカレントディレクトリのファイルを
接続元のローカルのプログラムで開くには、どういうやり方が良いのでしょう?
その逆は、割と楽なんだけど。
ssh ログイン先ホスト コマンド
例えば、Vimだったら、
vim scp://ユーザ名@ホスト名/ホームディレクトリからの相対パス
でもっと便利にファイルを編集できたりするのだけど。
参考: http://news.mynavi.jp/articles/2011/01/24/vim-using-ssh/index.html
0679名無しさん@お腹いっぱい。
2012/12/22(土) 18:33:49.310680名無しさん@お腹いっぱい。
2012/12/22(土) 18:38:35.54え、逆も楽じゃないだろう
ssh リモートホスト -- リモートコマンド ローカルファイル
でないと比較にならない
0681名無しさん@お腹いっぱい。
2012/12/22(土) 18:40:09.00って感じでいいんじゃないすか
0682名無しさん@お腹いっぱい。
2012/12/22(土) 18:56:40.05それ「その逆」になってないしw リモートのviでリモートのファイル開くだけ。
0683名無しさん@お腹いっぱい。
2012/12/22(土) 20:54:26.41している場合 どうしたら実行できますか
0684名無しさん@お腹いっぱい。
2012/12/22(土) 21:05:46.67セグメンテーション違反がソースではなくSSH経由に問題にあって発生していることを、
どのようにして調べたのですか?
0685名無しさん@お腹いっぱい。
2012/12/22(土) 22:00:47.91Ubuntu Server 12.0.4.1 amd64 で自鯖を作っています。
このマシンに Internet 経由で LAN 外からアクセスしたいと思うのですが。
特定の MAC アドレスしか SSH でのリモートログインを受け付けないように
設定することって出来るんでしょうか?
■ このスレッドは過去ログ倉庫に格納されています