SSH その7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2010/02/16(火) 21:23:37FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
0742名無しさん@お腹いっぱい。
2013/01/15(火) 11:36:48.330743名無しさん@お腹いっぱい。
2013/01/15(火) 14:22:36.97mosh のことなら、Cygwin使うしか方法はないです。
0744名無しさん@お腹いっぱい。
2013/01/15(火) 20:16:11.40開発用じゃないただの端末でもCygwin必須というのはちょっと敷居が上がりますね。
0745名無しさん@お腹いっぱい。
2013/01/20(日) 09:39:46.45リファレンス実装がGPL V3なんてありえねー。
0746名無しさん@お腹いっぱい。
2013/01/20(日) 15:49:07.410747名無しさん@お腹いっぱい。
2013/01/20(日) 23:31:05.470748名無しさん@お腹いっぱい。
2013/01/21(月) 00:14:22.73まあそのうち、Theoが、OpenMoshを立ち上げてくれるだろうさw
0749名無しさん@お腹いっぱい。
2013/01/21(月) 11:39:02.72非GPLで作るときに面倒くさいじゃん
せめてBSDにしてくれよ
0750名無しさん@お腹いっぱい。
2013/01/21(月) 11:57:03.080751名無しさん@お腹いっぱい。
2013/01/21(月) 14:04:46.04まあ確かに>>749 みたいな発想の人間がプロプラには多いよな。TCP/IPネットワーク周りはほとんどBSDのコピーもんばっか。
バグまでコピーしてたな。
0752名無しさん@お腹いっぱい。
2013/01/21(月) 21:40:18.76.protoにはGPL表示が無いけど、トップディレクトリにあるから信用できない。
.protoに著作権主張するつもりだろうか。RMSは.hには権利があると言ってたよね。
0753名無しさん@お腹いっぱい。
2013/01/22(火) 08:15:10.68逆。rmsはAPIに著作権はないといっている。.hも同じく。
0754名無しさん@お腹いっぱい。
2013/01/22(火) 10:52:45.65その面倒くさいことをやってくれた人達に敬意を払えということだろう。
ソースを公開するのもめんどくさい、GPLのライセンスを守るのも嫌だという
ことであれば、多くの先人達がそうして来たように、自分で非GPLなコード
を書けばいいだけ。
0755名無しさん@お腹いっぱい。
2013/01/22(火) 11:53:33.78じゃ、なんで.hにCopyleft書いてあるんだよ。
0756名無しさん@お腹いっぱい。
2013/01/22(火) 22:48:17.32日本国著作権法でプログラム言語の著作権は及ばなかったり、
アメリカのOracle対Google訴訟でOracleの主張が認められなくても、
gccやJDKには著作権で保護されるでしょ?
0757名無しさん@お腹いっぱい。
2013/01/23(水) 08:27:56.44これでも読めよ。
0758名無しさん@お腹いっぱい。
2013/01/23(水) 21:56:44.08> モジュールが同じ実行ファイルに含まれている場合、それらは言うまでもなく
> 一つのプログラムに結合されています。もしモジュールが共有アドレス空間で
> いっしょにリンクされて実行されるよう設計されているならば、それらが一つ
> のプログラムに結合されているのはほぼ間違いないでしょう。
APIでダイナミックライブラリで結合してもアウトって言ってるじゃん。
> 複雑な 内部データ構造を交換したりする場合は、それらも二つの部分がより大規模な
> プログラムに結合されていると考える基準となりうるでしょう。
データ構造にも権利を主張すると。
0759名無しさん@お腹いっぱい。
2013/01/23(水) 22:39:33.61>APIでダイナミックライブラリで結合してもアウトって言ってるじゃん。
System library に対する例外規定はあるけどな。
http://www.gnu.org/licenses/gpl-faq.html#WritingFSWithNFLibs
>データ構造にも権利を主張すると。
いやいやいやいや。
結合の判断基準に使っているだけだ。
仮に第3者(例えばさらに別のライブラリ)によって規定されたデータ構造をやりとりしていたとしても、
結合しているとみなされる訳で立場によってはより悪いとも言えるかもしれないが。
0760名無しさん@お腹いっぱい。
2013/01/23(水) 23:02:32.01これ許さないとバイナリ配布が不可能だから、自分の都合で緩めてるだけでしょ。
http://www.gnu.org/licenses/gpl-faq.html#GPLAndPlugins
fork,execはOKだけどファンクションコール(API)はGPLが感染するというのがこれまでの主張。
0761名無しさん@お腹いっぱい。
2013/01/24(木) 08:48:21.24してたんとちゃうの?
そりゃGPLedなライブラリまでリンクしたらアウトだろう。staticでも
sharedでも。
0762名無しさん@お腹いっぱい。
2013/02/08(金) 14:08:45.63Linuxの/etc/sshディレクトリ内に、ssh_host_rsa_key ssh_host_rsa_key.pub
ってのがあるけど、これは何?
公開鍵なら、このパスフレーズは?
0763名無しさん@お腹いっぱい。
2013/02/08(金) 14:24:23.00ない。
0764名無しさん@お腹いっぱい。
2013/02/08(金) 20:27:19.620765名無しさん@お腹いっぱい。
2013/02/08(金) 20:37:58.600766名無しさん@お腹いっぱい。
2013/02/08(金) 23:27:40.210767名無しさん@お腹いっぱい。
2013/02/09(土) 20:15:33.26どうしてそう思ったかkwsk
0768名無しさん@お腹いっぱい。
2013/02/10(日) 02:17:19.47http://toro.2ch.net/test/read.cgi/unix/1352973453/171-176
0769名無しさん@お腹いっぱい。
2013/02/10(日) 09:30:30.25そのネタなのは知ってるよ
どうしてそのネタを使おうと思ったかkwsk
と聞いたのだが
0770名無しさん@お腹いっぱい。
2013/02/10(日) 09:45:39.030771名無しさん@お腹いっぱい。
2013/03/19(火) 01:34:51.25昔あったビデオ端末みたいなssh & Telnet接続専用機ってないのかな?
もし売ってるなら興味あるんだけど
0772名無しさん@お腹いっぱい。
2013/03/19(火) 02:29:32.71いまどき、単体の製品を探すのは難しいと思う
それに、telnet はいいとして、ssh って使えるのか疑問…
いわゆるシンクライアントの走りだよね
0773名無しさん@お腹いっぱい。
2013/03/19(火) 08:04:09.51でもEFIからtelnetが使えるぐらいのはあった気がする。
0774名無しさん@お腹いっぱい。
2013/03/19(火) 10:01:45.85なんでそんなものが欲しいの?
0775名無しさん@お腹いっぱい。
2013/03/19(火) 10:12:59.82あってもtelnetですか
ssh使えるのはやっぱり無いっぽいですね・・・
>>774
古い機械に興味がありまして、同じような見た目と操作感で今でも使える物は無いかなと思った次第です
実用性云々より趣味ですかね
0776名無しさん@お腹いっぱい。
2013/03/19(火) 10:26:07.09実在しないのに?
0777名無しさん@お腹いっぱい。
2013/03/19(火) 10:31:02.27シリアル接続するやつとか調べた方がいいんじゃね。
0778名無しさん@お腹いっぱい。
2013/03/19(火) 10:38:43.63sun rayみたいなgui端末上のsshクライアントで置換できちゃうからね…
動作するモノを探すの自体大変そう
博物館級だよね
0779名無しさん@お腹いっぱい。
2013/03/19(火) 20:11:20.860780名無しさん@お腹いっぱい。
2013/03/21(木) 01:11:10.560781名無しさん@お腹いっぱい。
2013/03/21(木) 09:57:14.390782名無しさん@お腹いっぱい。
2013/03/21(木) 14:45:11.06ホームディレクトリと鍵のパーミッションと所有者以外に何が考えられますか?
ずっとハマってお手上げですorz
0783名無しさん@お腹いっぱい。
2013/03/21(木) 14:59:40.670784782
2013/03/21(木) 15:20:19.90/var/log/secureではパスワードで正常にログインできた
としか見当たりませんでした。
ssh -vvv server
〜略〜
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/server/user/.ssh/identity
debug3: no such identity: /home/server/user/.ssh/identity
debug1: Trying private key: /home/server/user/.ssh/id_rsa
debug3: no such identity: /home/server/user/.ssh/id_rsa
debug1: Trying private key: /home/server/user/.ssh/id_dsa
debug1: read PEM private key done: type DSA
debug3: sign_and_send_pubkey
debug2: we sent a publickey packet, wait for reply
debug3: Wrote 592 bytes for a total of 1717
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
すいません、助言をお願いします。
0785名無しさん@お腹いっぱい。
2013/03/21(木) 19:57:43.230786名無しさん@お腹いっぱい。
2013/03/21(木) 20:14:53.60それはssh1の名残だから関係ないよw
0787名無しさん@お腹いっぱい。
2013/03/21(木) 20:25:23.44すみませんが詳しい方のみ回答をお願いします
0788名無しさん@お腹いっぱい。
2013/03/21(木) 21:24:53.09ホームディレクトリそのものでなくても/から辿る途中でgroup writableをworld writableになってる
ホームディレクトリそのものでなくても/から辿る途中でownerが(root|自分)以外になってる
サーバー側のsshd_configでPubkeyAuthentication noになってる
authorized_keysのつもりで別のファイル名になってる
手元の私有鍵がweak keyでサーバーから拒否された(Debianの脆弱性のやつ)
ぐらい考えた。
とりあえず>>784のログは追わずに適当に詳しくない人が言ってるwww
> ホームディレクトリそのものでなくても/から辿る途中でgroup writableをworld writableになってる
group writableかworld writableのtypoだ。すまんこ
あと念のため、/から~/.ssh/authorized_keysまで辿る途中が正しい(ホームより下も影響する)。
パーミッションやオーナー関係かどうかはsshd_configを一時的に
StrictModes noとしたら切り分けられると思うよ。
StrictModes noでログインできるようならパーミッションかオーナーで何かやらかしてる。
0790名無しさん@お腹いっぱい。
2013/03/21(木) 21:34:48.24>no such identity: /home/server/user/.ssh/id_rsa
sssh1の名残?
0791名無しさん@お腹いっぱい。
2013/03/22(金) 00:58:34.83別ポートでサーバをデバッグモードで起動するのが吉
/usr/sbin/sshd -ddd -p 999
ssh -vvv -p 999 server
0792名無しさん@お腹いっぱい。
2013/03/22(金) 12:48:53.05これ、そんなファイルねーぞ。って意味だよ。
sshconnect2.cはその名の通りssh2の接続で使う関数を定義しているソースファイル。
sshconnect2.c:
static Key *
load_identity_file(char *filename)
{
...
if (stat(filename, &st) < 0) {
debug3("no such identity: %s", filename);
return NULL;
}
0793名無しさん@お腹いっぱい。
2013/03/22(金) 12:55:29.65× これ、そんなファイルねーぞ。って意味だよ。
○ これ、そんなファイルstatできねーぞ。って意味だよ。
.ssh/にxビットが無い場合も同じエラー
0794名無しさん@お腹いっぱい。
2013/03/22(金) 14:00:40.74だから、そのファイルは使ってないんだよ、この接続では。
その下で .ssh/id_dsa の方が使われてるだろ。
RSAじゃなくてDSAを使ってるの。
0795名無しさん@お腹いっぱい。
2013/03/22(金) 14:01:56.44すみませんが詳しい方のみ回答をお願いします
0796名無しさん@お腹いっぱい。
2013/03/22(金) 14:32:42.49消えろ、キチガイ荒らし
0797名無しさん@お腹いっぱい。
2013/03/22(金) 14:38:44.770798782
2013/03/22(金) 17:22:24.51>>788
/までのパーミッション見てみましたが、
グループと他ユーザは書き込み不可でした.
/etc/ssh/sshd_configで関係ありそうな所はこうなってます
RSAAuthentication no
PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
PasswordAuthentication yes
StrictModes noでやってもログインできませんでした。
後だしになっちゃいましたが,
もうちょっと環境を詳しく書きます.
server1: NISサーバ、NFSサーバ
server2: NISクライアント、NFSクライアント
~/.ssh/にはid_dsaとauthorized_keysを置いて
server1と2間の移動は相互に公開鍵認証したいのですが、
server1から2は出来て2から1は出来ない状況です。
sshd_configはserver1と2で同じ内容で、
OSは両方ともRHEL6.4です。
>>791
デバッグモードで起動したら公開鍵認証が通りました!
でも通常モードだと相変わらずパスワードを要求されます。
念のためservice sshd restartしても駄目みたいです。
0799名無しさん@お腹いっぱい。
2013/03/22(金) 19:00:51.53authorized_keysはワールドリーダブルになってる?
0800782
2013/03/22(金) 19:46:49.99その通りです。セキュリティ的にザルっぽいですが・・・
NISでpasswdとshadownとgroupも共有してます。
600だったので644に変更しましたが、効果なしでしたorz
0801名無しさん@お腹いっぱい。
2013/03/22(金) 20:57:56.20otherにx(実行)権限ないとダメだよ。
0803名無しさん@お腹いっぱい。
2013/03/22(金) 21:23:52.270804名無しさん@お腹いっぱい。
2013/03/22(金) 21:24:40.23Raspberry Piと家庭用のテレビで実装できる
0805782
2013/03/22(金) 22:41:47.94やってみましたが・・・(´・ω:;.:...
StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
ここまでできないと、変なトコでトンチンカンな設定してそうな気がしてます。
0806名無しさん@お腹いっぱい。
2013/03/22(金) 23:32:34.62scpで読み出すことは可能かな
そのとき取得できるファイルのサイズはいつのだろうか
0807名無しさん@お腹いっぱい。
2013/03/22(金) 23:37:59.06可能。読み出した瞬間のファイルサイズ。
0808名無しさん@お腹いっぱい。
2013/03/22(金) 23:46:41.54> StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
authorized_keysはrootが読むから、nfsならnobodyが読めないとダメ。という意味だけど違うのか。
ちゃんと起動するのかわからんが。
「StrictModes noでログインできるならパーミッションかオーナーでやらかしてる」とは書いたが、
「StrictModes noでもコケるならパーミッションもオーナーは正しい」とは書いてないぞ。
とりあえずrootでcat ~誰か/.ssh/authorized_keysはできんの?
0811名無しさん@お腹いっぱい。
2013/03/23(土) 00:40:28.84エスパーしてみると、SE Linuxは有効?
もし有効なら、無効にしてみるとどう?
ttp://bugs.centos.org/view.php?id=4959
0812782
2013/03/23(土) 23:56:51.08authorized_keysってroot権限で読んでるんですね。
知らなかった・・・
>>809
1でのデバッグモードの起動はrootでやりました。
2から1へ接続したのは一般ユーザです。
>>811
認証通ったキタ*・゜゚・*:.。..。.:*・゜(゚∀゚)゚・*:.。. .。.:*・゜゚・*!!!!
ありがとうございます!
皆さん長時間お付き合いいただきありがとうございました!
とりあえずSELinuxが原因なのはわかりましたが、
切っとくのよくないですよね。
設定煮詰めないとなぁ
0813名無しさん@お腹いっぱい。
2013/03/24(日) 00:32:34.740814811
2013/03/24(日) 01:04:09.95乙、どういたしまして。
RHEL6系はSE Linuxがデフォルト有効なのはトラブルの元でしかないような気がする。
インストール直後にまず無効にしてしまうなあ。
0815名無しさん@お腹いっぱい。
2013/03/24(日) 06:44:47.42すみませんが詳しくない方の誤回答を晒しておきますw
0816名無しさん@お腹いっぱい。
2013/03/24(日) 14:16:24.520817名無しさん@お腹いっぱい。
2013/03/24(日) 15:40:28.00こいつあちこちで書いてる。
0818名無しさん@お腹いっぱい。
2013/03/24(日) 16:11:32.41気にいると永遠に繰り返す。
0819名無しさん@お腹いっぱい。
2013/03/24(日) 18:28:33.55そこは問題ないことも当然知ってるし、
見当違いな低レベル回答は荒しと同レベルだなぁ。
0820名無しさん@お腹いっぱい。
2013/03/24(日) 19:05:08.38ゴミで残ってるテスト用につくったid_dsaを使って認証に失敗してると。
0821名無しさん@お腹いっぱい。
2013/03/27(水) 11:14:26.51ChallengeResponseAuthentication no
にしているのしか見当たらないんだが
この認証の利用方法が書いてあるWebページを知りませんか。
0822名無しさん@お腹いっぱい。
2013/03/27(水) 11:51:47.55sshdではなくてPAMの使い方を調べてみれば?
0823名無しさん@お腹いっぱい。
2013/03/27(水) 12:38:34.530824名無しさん@お腹いっぱい。
2013/03/27(水) 16:54:28.42これで検索すれば沢山あるはず
0825名無しさん@お腹いっぱい。
2013/03/27(水) 17:44:50.930826名無しさん@お腹いっぱい。
2013/08/01(木) NY:AN:NY.AN例えばあるPortを特定のIPアドレスからのみログイン可能とすることは出来るでしょうか?
例えば、
Port 42000 # どのアドレスからもログイン可
Port 22 # あるIPからのみログイン可
具体的には大学から自鯖にアクセスしたいのですが、セキュリティのため、
一般のポートに対してアクセスができない制限がかかっています。
そのため22番を開けたいのですが、その代わりIPを大学のみに制限したいのです。
0827名無しさん@お腹いっぱい。
2013/08/01(木) NY:AN:NY.AN0828名無しさん@お腹いっぱい。
2013/08/01(木) NY:AN:NY.ANNetBEUIとかAppleTalkとかからログイン可って意味なんだろ、きっと
0829名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN他の機能と組み合わせるほうがいいと思います。
Linuxならiptablesとか。
0830名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN0831名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN0832名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.ANhttp://cr.yp.to/ucspi-tcp/tcprules.html
http://cr.yp.to/ucspi-tcp/tcpserver.html
http://cr.yp.to/daemontools.html
この辺使えれば簡単だ
0833名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN0834名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.ANそれぞれ別の設定ファイルを用意してプロセス2つ起動するのがいちばん簡単。
hosts.allowでアクセス制限しようとすると共通になっちゃうので
sshd_config自体で制限する必要があるけど。
つーか、公開鍵認証以外を拒否するようにしておけば、
port 22だけで何も問題ないと思うんだけど、それで侵入された例ってあるのかね?
昔debianがやらかした弱い鍵を放置しておいたとかいうなら話は別だけど。
0835826
2013/08/02(金) NY:AN:NY.AN確かにsshd_configでやる必要はないので、
iptables(というかufw)で設定してみます。
0836名無しさん@お腹いっぱい。
2013/09/06(金) 03:29:33.24確かにログインした直後、指定したディレクトリがルートの様に見えて
それ以上、上に行けない事は確認したのですが
ログイン直後のディレクトリにファイルの書き込みが出来ません。
所有者がrootでないといけないとの事で
ググると別のディレクトリを作ろう と書いてあるページが数多くヒットするのですが
sftpでログインする、ログイン直後のディレクトリより上に行けない、ログイン直後のディレクトリの中身は空っぽ、ログイン直後のディレクトリにファイルの読み書きが出来る
設定はどの様にすればよいのでしょうか
0837名無しさん@お腹いっぱい。
2013/09/06(金) 12:00:19.210838名無しさん@お腹いっぱい。
2013/09/06(金) 12:19:08.230839名無しさん@お腹いっぱい。
2013/09/06(金) 12:56:25.030840名無しさん@お腹いっぱい。
2013/09/06(金) 17:34:15.19┃→E すみませんがくわしいかたのみかいとうをおねがいします┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
0841名無しさん@お腹いっぱい。
2013/09/06(金) 18:25:43.90
■ このスレッドは過去ログ倉庫に格納されています