SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 18:22:38.59

公開鍵盗まれるようなサーバに入って作業すること自体マズいんじゃないの。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 18:40:00.90

すみませんが詳しい方のみ回答をお願いします

**615** · 2012/09/14(金) 19:23:28.06

>>616
>>617は私じゃないですけど、
サーバに侵入されて公開鍵が盗まれても問題ないのでは？そもそも公開してるわけだし。
サーバに侵入されて公開鍵が書き換えられたら問題ですけど、
それと複数サーバで同じ公開鍵を使うかどうかとは別問題かと思うんですが・・

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:25:34.24

ならどういう事態を心配してるんだろ。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:32:51.15

分け方がググらなきゃわからないほどマイナーってことは、
普通は分けないってことだ

複数のサーバが自分の同じ公開鍵をもってたからって、
どれかの管理者が他のサーバに侵入したりできないよ

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:36:06.19

よく考えたら鍵認証って怖いな

パスワード認証ね場合パスワードは自分の頭のなかにしかないけど

鍵認証だと~/.ssh以下にパスワードに相当する秘密鍵がおもいっきり置いてある
自分の頭は宇宙人以外にハッキングされることはないけど
ホームディレクトリは侵入されたら＼（^ｏ^）／

でもみんな2つ組み合わせてるか

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:41:46.06

あほかｗｗｗ
＞ホームディレクトリは侵入
この時点で終わってるだろｗｗｗｗｗ

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:52:39.50

公開鍵認証といってもホスト認証とユーザ認証があるよ
とくに>>615のような話題だとどちらのことを言ってるのかまぎらわしい

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:56:52.26

1ヶ所ヤラれたら芋づる式に他もヤラれる、ってことを言いたいんじゃないかな

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 19:57:06.45

>>621
秘物鍵にパスフレーズつけとけ

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 20:04:43.13

>>615の書き方だとクライアントはひとつ。
だったら>>624で1ヶ所ヤラれるということは
サーバ別に鍵を分けてたとしてもたぶん全滅。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 20:08:05.37

>>624
>>618 によるとそういうことじゃないらしい。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 20:13:01.81

公開鍵認証のメリットのひとつにＮ人の間での通信に必要な鍵の総数を
２Ｎにおさめるというのがある

パスワード認証で全サーバ同じパスワードで運用すればＮ個ですむけど
サーバの管理者が違うとそうもいかないし

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 21:49:10.59

>>621
それはsshが世にでた頃から言われたこと。

rootが信用できないならこの仕組みは成り立たないよ。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 21:56:42.86

rootを信用しようがしまいが個人PCなら自分がrootなんだけどね

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 22:40:01.78

>>630
それが信用できるrootを確保する一番簡単な手段だろ。なにをいまさら。

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 22:41:54.00

>>631
見当違い

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 23:43:03.66

ふつうローカルの個人管理下にあるデバイスだけに秘密鍵をおいてそこへSSHエージェントじゃないのか
Pagentとか

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 23:49:19.18

SSHクライアント側の管理者ではなく
SSHサーバ側の管理者がのっとられた場合、
パスワード認証なら生パスワードを抜かれて悪用されるリスクがあるけど
公開鍵認証なら秘密鍵の内容を抜かれることはないはず

**名無しさん＠お腹いっぱい。** · 2012/09/14(金) 23:53:34.05

公開鍵が盗まれることは心配してないみたいよ。
>>618参照。

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 00:07:58.47

>>635
え、そんなのあたりまえだろ？だれへのれす？

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 00:22:10.93

>>634へのレス。

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 01:14:35.26

>>634で盗まれるかどうかの話はパスワードや秘密鍵であって
公開鍵のことなんかいってないぞ

**615** · 2012/09/15(土) 01:52:37.87

レスいっぱいでビックリした。
認識としては、公開鍵が抜かれても特に問題は無し、
公開鍵が書き換えられる状態だと、そのサーバのみ成りすまし可能、
秘密鍵は抜かれたら、全サーバー成りすまし可能で、
秘密鍵が抜かれる状態だと、どっち道全部持ってかれるので
個別にペアを用意していても意味ないんじゃないかなと
思った次第です。

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 02:51:28.68

それでいいよ。

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 11:01:33.13

>>639

> 公開鍵が書き換えられる状態だと、そのサーバのみ成りすまし可能、

そんな杜撰な管理のサーバならSSHサーバの改ざんもありうるよ。

パスワード認証のパスワードを抜き取る細工（同じパスワード使いまわしを期待して他のサーバのっとり）
→公開鍵認証に失敗してパスワード認証にフォールバックする設定で、うっかりパスワードを入力してしまったらアウト

中間者攻撃の細工
→ホスト鍵の認証失敗で気づけるけど、意味が分からず無視するような人はアウト

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 18:02:41.14

ログイン先が乗っ取られてたら、そこに公開鍵認証でログインを試みるのってヤバくない?

SSH2の認証ステップって(C:クライアント S:サーバー)
1 C=>S 公開鍵認証してよ。ユーザー名はコレで、公開鍵はこれ
2 S=>C その鍵OK。んじゃ、このデータDに署名してみ。
3 C=>S 署名した。どや。
4 S=>C 署名あってる。ログインさせたる。
こんな感じでしょ。

Sが乗っ取られてる場合にDは実は他のS'への認証情報だったりしない?
DにはセッションIDが入ってるけど、セッションIDの決定方法が良くわからない。

でも、ホスト鍵も盗まれてる状態だったら、S'へのログインを同時に
試みる事で、同一のセッションID生成できるよね。

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 18:07:17.61

>>639
公開鍵が盗まれると。他のサーバに対してその鍵が有効であるか確認できる。

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 18:46:50.83

>>642
「データDに署名」って
ttp://www14.plala.or.jp/campus-note/vine_linux/server_ssh/ssh_key.html
で言うとどこの話?

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 19:00:19.72

>>644
その解説はSSH2じゃない。下の方じゃSSH2で解説してるのに…
こういう古いゴミ情報をいつまでも公開すんなよ。

ssh1だけど、3で送るデータがSで生成したものではなく、S'から受け取った
ものだったらS'へログインできるようになるよね。

ssh2も似たような事が可能な気がする。

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 19:17:30.29

アウト

**名無しさん＠お腹いっぱい。** · 2012/09/15(土) 19:22:07.63

ああ、セッションID決定するのにSの公開鍵も使ってるのかも。
少なくともSSH1は禁止だね。

**名無しさん＠お腹いっぱい。** · 2012/09/17(月) 10:32:16.11

>>645
＞こういう古いゴミ情報をいつまでも公開すんなよ。
何年も前のスレが消えないUNIX板住人がそれを言う資格あるんだろうか

**名無しさん＠お腹いっぱい。** · 2012/09/17(月) 11:31:16.70

自分でいつでも消せる個人ページと
簡単には落とせない2chのスレでは話違うでしょ。

**名無しさん＠お腹いっぱい。** · 2012/09/17(月) 12:01:13.51

googleで1年以内の更新サイトのみ検索するようにしたほうが早い

**名無しさん＠お腹いっぱい。** · 2012/09/17(月) 14:00:02.16

古くても有用な情報はある。

**名無しさん＠お腹いっぱい。** · 2012/10/23(火) 11:42:43.03

sshがあったらVPNっていらないよね・・・

**名無しさん＠お腹いっぱい。** · 2012/10/23(火) 11:44:29.69

個人レベルの話だけど

**名無しさん＠お腹いっぱい。** · 2012/10/23(火) 12:01:41.49

用途によるね。

**名無しさん＠お腹いっぱい。** · 2012/10/28(日) 09:08:44.82

>>652
いちいちポート転送なんてやってられないよ
VPN 楽でいい

**名無しさん＠お腹いっぱい。** · 2012/10/29(月) 23:05:11.73

いちいち
って、繋ぐたびに毎回設定してるのか?
変わったやつだな

**名無しさん＠お腹いっぱい。** · 2012/10/30(火) 16:01:13.29

まずWindowsのリモートデスクトップに繋ぎます。

**名無しさん＠お腹いっぱい。** · 2012/12/03(月) 20:16:12.13

PermitEmptyPasswords って、鍵認証するならnoでも構わないんだな
パスワードなしにするのに必要かと思ってずっとyesにしてたわ

**名無しさん＠お腹いっぱい。** · 2012/12/11(火) 21:01:38.15

autosshさん便利すぎわらた

**名無しさん＠お腹いっぱい。** · 2012/12/13(木) 17:46:55.26

SSHによるポートフォワードを設定するんだけど
よく分かってない人に説明するときに面倒くさいから
VPNとか言っちゃってもうそにはならんよね？

**名無しさん＠お腹いっぱい。** · 2012/12/13(木) 17:52:39.18

第2層ができるわけじゃないから「ネットワーク」とは言いたくないな。
「簡易VPN」とか言っといた方がいいかもね。

**名無しさん＠お腹いっぱい。** · 2012/12/13(木) 17:54:36.30

あ、第3層と言うべきか。
IP通すわけじゃないよね。

**名無しさん＠お腹いっぱい。** · 2012/12/14(金) 17:27:34.01

ただ単にトンネルって言っても通じないものなの？

**名無しさん＠お腹いっぱい。** · 2012/12/14(金) 17:56:29.98

もう面倒くさいからトンネルで済ますわ

**名無しさん＠お腹いっぱい。** · 2012/12/15(土) 01:14:10.54

天井は落ちますか?

**名無しさん＠お腹いっぱい。** · 2012/12/15(土) 16:10:28.85

ふっ、ははははは！挟まっちまった！

**名無しさん＠お腹いっぱい。** · 2012/12/15(土) 18:11:33.63

その面はトンネルじゃないだろw

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 14:25:41.73

ポートフォワードの設定をしたんだけど、
これって同時接続最大数とか設定するところってある？

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 14:52:00.73

ない。

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 14:56:39.03

「そう思うんならお前がパッチ書け」で終了

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 18:09:45.35

それおもしろくないからやめた方がいいよ。

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 18:18:19.79

>>669
ありがとう。
同時に100本くらい接続する予定だったんだけど
大丈夫そうなので安心したわ。

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 18:23:25.51

なんだ、同時接続最大数を(1個とかに)制限したいんじゃなかったのか

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 18:57:44.16

100セッションをシングルスレッドで暗号処理するのはつらくないか?
通信量にもよるが。

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 22:21:39.87

同時に100本て何やる気だ
ほっといたら1000本10000本とか使いそうだなお前

**名無しさん＠お腹いっぱい。** · 2012/12/16(日) 22:32:32.94

100もセッション貼るアプリケーションって…
ネトゲか

**名無しさん＠お腹いっぱい。** · 2012/12/17(月) 19:35:31.32

>>675
1000本程度ならともかく、10000本はつらいよね

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 18:27:18.03

SSHで
リモートログインした先のシェルのカレントディレクトリのファイルを
接続元のローカルのプログラムで開くには、どういうやり方が良いのでしょう？

その逆は、割と楽なんだけど。
ssh ログイン先ホストコマンド
例えば、Vimだったら、
vim scp://ユーザ名@ホスト名/ホームディレクトリからの相対パス
でもっと便利にファイルを編集できたりするのだけど。

参考: http://news.mynavi.jp/articles/2011/01/24/vim-using-ssh/index.html

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 18:33:49.31

普通にsshfsでも使えば？

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 18:38:35.54

>>678
え、逆も楽じゃないだろう

ssh リモートホスト -- リモートコマンドローカルファイル

でないと比較にならない

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 18:40:09.00

普通に元のマシンにssh host command arg
って感じでいいんじゃないすか

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 18:56:40.05

>>681
それ「その逆」になってないしｗリモートのviでリモートのファイル開くだけ。

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 20:54:26.41

セグメンテーション違反がソースではなく、SSH経由に問題にあって発生
している場合　どうしたら実行できますか

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 21:05:46.67

>>683
セグメンテーション違反がソースではなくSSH経由に問題にあって発生していることを、
どのようにして調べたのですか？

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:00:47.91

Ubuntu 質問スレから誘導されてきました。

Ubuntu Server 12.0.4.1 amd64 で自鯖を作っています。
このマシンに Internet 経由で LAN 外からアクセスしたいと思うのですが。
特定の MAC アドレスしか SSH でのリモートログインを受け付けないように
設定することって出来るんでしょうか？

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:14:19.96

>>685
MACアドレスは簡単に偽装可能ですよ。

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:17:58.38

偽装可能でもいいので、特定の MAC アドレスしか受け付けないように
設定することって出来るんでしょうか？

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:21:36.54

>>687
はい。できます。

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:32:39.20

SSHの設定っていうより、
iptablesで特定のMACアドレスからの特定ポートへのアクセスをドロップするとかでいいのかな

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:33:17.84

インターネット越しにMACアドレスかよ。
直近のルーターのMACアドレスが付いて中継されるだけだろｗ

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:35:48.41

http://engawa.2ch.net/test/read.cgi/linux/1353370139/737
737 ：login:Penguin：2012/12/22(土) 22:07:04.26 ID:jz2+65Mg
>>736
てか直前のルータのMACアドレスに書き換えられるから、
インターネットでのMACアドレス制限は無意味だよ。
LAN内ならともかく。

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:36:34.92

じゃあそのルーターのmacアドレスで制限すれば最強じゃね

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:37:00.15

ああ、LAN内までグローバルアドレスになってなってないと、たぶんダメだな

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:41:08.72

MACでの制限にどれほどの意味があるかは別として
ここまでまともな回答がないのがすごいな
unko@benki:~$ iptables -m mac （ｒｙ
で解決するじゃん
まぁ俺もまともには書かないわけだが

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:51:03.54

Internet経由でLAN外からか。サーバのあるLAN側だけじゃなくて、
発信する側の接続環境でもクライアントのMACアドレスはIPパケットからは落ちちゃうだろうなｗ
TCPパケットにはMACアドレスなんて保存されてないし、
可能性としてはSSHのレイヤーでMACアドレスを保存してたらできる？ｗ
でもそんなの保存してないよねｗ

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:56:35.75

>>695
お前さあ
別スレから粘着して同じようなことばっかり書いて他人を蔑む暇があったら
公開鍵使うとか代替案でも提供してやれば？
もちろん俺はやらないけど

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 22:59:28.62

ｗの人うざー

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:00:23.70

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:01:33.50

>>694

> unko@benki:~$ iptables -m mac （ｒｙ
> で解決するじゃん

え？…

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:05:41.03

>>699

>え？…

え？…

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:08:49.88

。とｗにはろくなのがいない
これ常識

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:13:57.45

アカウント名を00-11-22-33-44-55のようなMACアドレスにして
sshd_configに
DenyUsers 00-11-22-33-44-55 xx-xx-xx-xx-xx-xx ...

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:16:36.72

有効なMACアドレス用アカウントの鍵やパスワードが漏洩したら
無効なMACアドレスを持つクライアントからログインできるからダメだな

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:17:32.46

↑ネタにマジレス

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:24:02.69

質問者が偽装可能でもいいって言ってるんだから、ユーザー名を長くするって回答でいいだろ？

>>691の元の書き込み見る限り
＞ピンポイントで当たることなんか、物凄い低い確率だと思うんですが。
とか言ってるし、ユーザ名も長くすればピンポイントで当たることなんて物凄い低い確率だ

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:37:13.80

>>704
すまん>>702=>>703=>>706なんだわ

**名無しさん＠お腹いっぱい。** · 2012/12/22(土) 23:52:58.02

>>685
google≒okwave系＜＜＜＜＜越えられない壁＝得られない回答＜＜＜＜＜＜＜＜＜２ｃｈ

大切なことだからノートにメモしておけよ

**名無しさん＠お腹いっぱい。** · 2012/12/23(日) 00:04:27.76

ユーザ名を長くするくらいなら鍵長をでかくする方がましだろうと思うが、
そうではなくて質問主はクライアントデバイスを識別したいのだろう。
ユーザ名と鍵ファイルが盗まれてもデバイス固有の認証で防御したいのかと。

クライアントデバイスに隣接するブロードバンドルーターやアクセスポイントの
ファイアウォール設定ではじくしかないんじゃない？

**名無しさん＠お腹いっぱい。** · 2012/12/23(日) 00:08:34.01

もう質問者本人は見てないだろうから
。さん（＝ｗさん）も寝ればいいんじゃない？

**名無しさん＠お腹いっぱい。** · 2012/12/23(日) 10:23:41.39

L2、L3がごちゃ混ぜで笑った。

**名無しさん＠お腹いっぱい。** · 2012/12/23(日) 10:29:49.46

>>699
>>694って、どこのMACアドレス指定して制限かけるつもりなんだろうね

>>692で制限したら外からのアクセス全部制限するのと同じだから、
そんなのIPレベルでフィルタリングしろって話だ

まあ>>691の話が理解できていないバカなんだろうけど

偽装可能でいいなら、IPv6使うようにして、IPv6アドレスはNDPで生成させる
IPv6アドレスにMACアドレスが埋め込まれる(一部bit反転したり、fffeが入ったりするが)ので、
それを元にIPv6アドレスでフィルタリングするって手もあるかも
prefix部分がころころ変わるとめんどくさいかもしれないが

**名無しさん＠お腹いっぱい。** · 2012/12/23(日) 12:50:03.76

にゃるほど。
v6になればMACアドレスを元にベンダーを制限することができるかもね。

**名無しさん＠お腹いっぱい。** · 2012/12/23(日) 13:29:46.46

>>712
NDPを素直に使っている限りはね

http://takagi-hiromitsu.jp/diary/20080730.html
な話もあるし、IPv6アドレスを手動で振られたらダメなので、その辺は考慮する必要があるけど
ま、その辺のスキルがあるやつはMACアドレスの変え方くらい知ってるだろう

**名無しさん＠お腹いっぱい。** · 2012/12/23(日) 18:56:49.78

普通は、デフォルトでtemporary addressだから無理。

**名無しさん＠お腹いっぱい。** · 2012/12/24(月) 00:02:09.82

ICカード認証にすればカードそのものが盗まれない限り安心なんじゃないの？