SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 14:32:42.49

>>795
消えろ、キチガイ荒らし

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 14:38:44.77

反応すんな。

**782** · 2013/03/22(金) 17:22:24.51

反応遅くてすいません。

>>788
/までのパーミッション見てみましたが、
グループと他ユーザは書き込み不可でした．

/etc/ssh/sshd_configで関係ありそうな所はこうなってます
RSAAuthentication no
PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
PasswordAuthentication yes
StrictModes noでやってもログインできませんでした。

後だしになっちゃいましたが，
もうちょっと環境を詳しく書きます．
server1: NISサーバ、NFSサーバ
server2: NISクライアント、NFSクライアント

~/.ssh/にはid_dsaとauthorized_keysを置いて
server1と2間の移動は相互に公開鍵認証したいのですが、
server1から2は出来て2から1は出来ない状況です。
sshd_configはserver1と2で同じ内容で、
OSは両方ともRHEL6.4です。

>>791
デバッグモードで起動したら公開鍵認証が通りました！
でも通常モードだと相変わらずパスワードを要求されます。
念のためservice sshd restartしても駄目みたいです。

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 19:00:51.53

nfsでホームディレクトリ共有してるってこと?
authorized_keysはワールドリーダブルになってる?

**782** · 2013/03/22(金) 19:46:49.99

>>799
その通りです。セキュリティ的にザルっぽいですが・・・
NISでpasswdとshadownとgroupも共有してます。
600だったので644に変更しましたが、効果なしでしたorz

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 20:57:56.20

nfsでrootのファイルアクセスがnobodyになってたらディレクトリも
otherにx(実行)権限ないとダメだよ。

忍法帖【Lv=40,xxxPT】(1+0：8) · 2013/03/22(金) 21:22:37.32

デバッグモードなら通るというのが解せぬ

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 21:23:52.27

>>771

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 21:24:40.23

>>771
Raspberry Piと家庭用のテレビで実装できる

**782** · 2013/03/22(金) 22:41:47.94

>>801
やってみましたが・・・(´・ω:;.:...
StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
ここまでできないと、変なトコでトンチンカンな設定してそうな気がしてます。

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 23:32:34.62

誰かが高速に書き足している最中の巨大なファイルを
scpで読み出すことは可能かな
そのとき取得できるファイルのサイズはいつのだろうか

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 23:37:59.06

>>806
可能。読み出した瞬間のファイルサイズ。

**名無しさん＠お腹いっぱい。** · 2013/03/22(金) 23:46:41.54

>>805
> StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
authorized_keysはrootが読むから、nfsならnobodyが読めないとダメ。という意味だけど違うのか。

忍法帖【Lv=40,xxxPT】(1+0：8) · 2013/03/22(金) 23:53:20.04

もしかしてデバッグモードの起動はrootじゃなくて一般ユーザでやってるのか？
ちゃんと起動するのかわからんが。

忍法帖【Lv=40,xxxPT】(2+0：8) · 2013/03/22(金) 23:56:20.24

>>808
「StrictModes noでログインできるならパーミッションかオーナーでやらかしてる」とは書いたが、
「StrictModes noでもコケるならパーミッションもオーナーは正しい」とは書いてないぞ。

とりあえずrootでcat ~誰か/.ssh/authorized_keysはできんの？

**名無しさん＠お腹いっぱい。** · 2013/03/23(土) 00:40:28.84

>>808
エスパーしてみると、SE Linuxは有効？
もし有効なら、無効にしてみるとどう？
ttp://bugs.centos.org/view.php?id=4959

**782** · 2013/03/23(土) 23:56:51.08

>>808
authorized_keysってroot権限で読んでるんですね。
知らなかった・・・

>>809
1でのデバッグモードの起動はrootでやりました。
2から1へ接続したのは一般ユーザです。

>>811
認証通ったｷﾀ*･゜ﾟ･*:.｡..｡.:*･゜(ﾟ∀ﾟ)ﾟ･*:.｡. .｡.:*･゜ﾟ･*!!!!
ありがとうございます！
皆さん長時間お付き合いいただきありがとうございました！

とりあえずSELinuxが原因なのはわかりましたが、
切っとくのよくないですよね。
設定煮詰めないとなぁ

**名無しさん＠お腹いっぱい。** · 2013/03/24(日) 00:32:34.74

エスパー現る

**811** · 2013/03/24(日) 01:04:09.95

>>812
乙、どういたしまして。
RHEL6系はSE Linuxがデフォルト有効なのはトラブルの元でしかないような気がする。
インストール直後にまず無効にしてしまうなあ。

**名無しさん＠お腹いっぱい。** · 2013/03/24(日) 06:44:47.42

>>785 >>792 >>793
すみませんが詳しくない方の誤回答を晒しておきますｗ

**名無しさん＠お腹いっぱい。** · 2013/03/24(日) 14:16:24.52

なんでこのスレにキチガイが常駐しているんだろ?

**名無しさん＠お腹いっぱい。** · 2013/03/24(日) 15:40:28.00

ここだけじゃないよ。
こいつあちこちで書いてる。

**名無しさん＠お腹いっぱい。** · 2013/03/24(日) 16:11:32.41

多分自閉症
気にいると永遠に繰り返す。

**名無しさん＠お腹いっぱい。** · 2013/03/24(日) 18:28:33.55

うーん、質問者は no such identity: の意味なんて当然知ってるし、
そこは問題ないことも当然知ってるし、
見当違いな低レベル回答は荒しと同レベルだなぁ。

**名無しさん＠お腹いっぱい。** · 2013/03/24(日) 19:05:08.38

今時dsaなんて使ってると思わなかったのさ。
ゴミで残ってるテスト用につくったid_dsaを使って認証に失敗してると。

**名無しさん＠お腹いっぱい。** · 2013/03/27(水) 11:14:26.51

sshdの設定方法をググると、
ChallengeResponseAuthentication no
にしているのしか見当たらないんだが
この認証の利用方法が書いてあるWebページを知りませんか。

**名無しさん＠お腹いっぱい。** · 2013/03/27(水) 11:51:47.55

>>821
sshdではなくてPAMの使い方を調べてみれば？

**名無しさん＠お腹いっぱい。** · 2013/03/27(水) 12:38:34.53

つ「すみませんが詳しい方のみ回答をお願いします」

**名無しさん＠お腹いっぱい。** · 2013/03/27(水) 16:54:28.42

google authenticatorで2段階認証する時に使ってるから、
これで検索すれば沢山あるはず

**名無しさん＠お腹いっぱい。** · 2013/03/27(水) 17:44:50.93

http://www.mindtwist.de/main/linux/5-linux-security/6-how-to-use-one-time-ssh-passwords-on-debianubuntu.html

**名無しさん＠お腹いっぱい。** · 2013/08/01(木) NY:AN:NY.AN

sshd_configのPortの設定は複数可能とのことですが、
例えばあるPortを特定のIPアドレスからのみログイン可能とすることは出来るでしょうか？

例えば、
Port 42000 # どのアドレスからもログイン可
Port 22 # あるIPからのみログイン可

具体的には大学から自鯖にアクセスしたいのですが、セキュリティのため、
一般のポートに対してアクセスができない制限がかかっています。
そのため22番を開けたいのですが、その代わりIPを大学のみに制限したいのです。

**名無しさん＠お腹いっぱい。** · 2013/08/01(木) NY:AN:NY.AN

IPってゆーな

**名無しさん＠お腹いっぱい。** · 2013/08/01(木) NY:AN:NY.AN

「IPからのみログイン可」以外の方は、
NetBEUIとかAppleTalkとかからログイン可って意味なんだろ、きっと

**名無しさん＠お腹いっぱい。** · 2013/08/02(金) NY:AN:NY.AN

>>826
他の機能と組み合わせるほうがいいと思います。
Linuxならiptablesとか。

**名無しさん＠お腹いっぱい。** · 2013/08/02(金) NY:AN:NY.AN

すみませんが詳しい方のみ回答をお願いします

**名無しさん＠お腹いっぱい。** · 2013/08/02(金) NY:AN:NY.AN

http://attrip.jp/wp-content/uploads/2013/03/19602036.jpg

**名無しさん＠お腹いっぱい。** · 2013/08/02(金) NY:AN:NY.AN

>>826
http://cr.yp.to/ucspi-tcp/tcprules.html
http://cr.yp.to/ucspi-tcp/tcpserver.html
http://cr.yp.to/daemontools.html
この辺使えれば簡単だ

**名無しさん＠お腹いっぱい。** · 2013/08/02(金) NY:AN:NY.AN

sshdをinetdとかtcpserverから立ち上げる奴なんて20世紀で滅んだはずなのに…

**名無しさん＠お腹いっぱい。** · 2013/08/02(金) NY:AN:NY.AN

listenするport番号が違うんだから、
それぞれ別の設定ファイルを用意してプロセス2つ起動するのがいちばん簡単。
hosts.allowでアクセス制限しようとすると共通になっちゃうので
sshd_config自体で制限する必要があるけど。

つーか、公開鍵認証以外を拒否するようにしておけば、
port 22だけで何も問題ないと思うんだけど、それで侵入された例ってあるのかね？
昔debianがやらかした弱い鍵を放置しておいたとかいうなら話は別だけど。

**826** · 2013/08/02(金) NY:AN:NY.AN

みなさまありがとうございます。

確かにsshd_configでやる必要はないので、
iptables（というかufw）で設定してみます。

**名無しさん＠お腹いっぱい。** · 2013/09/06(金) 03:29:33.24

sftpのchrootについてなのですが
確かにログインした直後、指定したディレクトリがルートの様に見えて
それ以上、上に行けない事は確認したのですが
ログイン直後のディレクトリにファイルの書き込みが出来ません。
所有者がrootでないといけないとの事で
ググると別のディレクトリを作ろう　と書いてあるページが数多くヒットするのですが
sftpでログインする、ログイン直後のディレクトリより上に行けない、ログイン直後のディレクトリの中身は空っぽ、ログイン直後のディレクトリにファイルの読み書きが出来る
設定はどの様にすればよいのでしょうか

**名無しさん＠お腹いっぱい。** · 2013/09/06(金) 12:00:19.21

sftpっていうかパーミションの話じゃないの？

**名無しさん＠お腹いっぱい。** · 2013/09/06(金) 12:19:08.23

すみませんが詳しい方のみ回答をお願いします

**名無しさん＠お腹いっぱい。** · 2013/09/06(金) 12:56:25.03

ぶき　ぼうぐは　そうびをして　みに　つけるように！　もってるだけでは　だめですぞ！

**名無しさん＠お腹いっぱい。** · 2013/09/06(金) 17:34:15.19

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃→E すみませんがくわしいかたのみかいとうをおねがいします┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

**名無しさん＠お腹いっぱい。** · 2013/09/06(金) 18:25:43.90

ドシロートが、誰が詳しくて誰が詳しくないのか、わかるのか？

**名無しさん＠お腹いっぱい。** · 2013/09/06(金) 18:33:04.24

馬鹿っぽいのは文体でわかるよ

**名無しさん＠お腹いっぱい。** · 2013/09/07(土) 10:59:24.62

まず服を脱ぎます

**名無しさん＠お腹いっぱい。** · 2013/09/07(土) 20:29:29.46

失礼但我要求只専門的人間回答

**名無しさん＠お腹いっぱい。** · 2013/09/07(土) 21:28:01.81

Я хотел бы сказать, что я сожалею только для человека, который является более

**名無しさん＠お腹いっぱい。** · 2013/09/20(金) 16:08:56.77

格安SIMの100kbpsのものを挿入したスマートフォンからテザリングにて作業しております。
スマートフォンでGmailの確認やTwitterなど、ちょっとしたWebサイトを見るのであればこの速度で十分と感じております。

この速度でもsshにてVPSに接続して作業できるかと思っていたのですが、速度が頭打ちになっているのかターミナルに文字を入力したものが実際に表示されるのも少々遅延してしまいます。
SSHは100kbps以上の通信を行なっているのでしょうか？

リモートファイルの編集作業などはEmacsのTrampを使うなどで対策が行えるのですが、ターミナルでのコマンド操作でも快適に出来る方法はありませんでしょうか?
moshというものを試してみたのですが同様の遅延がありました。

**名無しさん＠お腹いっぱい。** · 2013/09/20(金) 17:03:35.76

そいいうネタはいいです

**名無しさん＠お腹いっぱい。** · 2013/09/20(金) 17:12:38.15

>>846
bpsとかの速度の問題ではなくて、pingの問題ですね

**名無しさん＠お腹いっぱい。** · 2013/09/20(金) 17:13:11.98

コピペ改変に構うな

**名無しさん＠お腹いっぱい。** · 2013/09/20(金) 20:24:37.78

すみません。ネタではなく本当に疑問に思っておりました。
あまりに私の知識が足りていないようで申し訳ありません。

>>848
pingの問題とはどのようなものになるでしょうか?少々調べてみたのですが、記事を見つけることができませんでした。
通信速度の問題で無いという事は、テザリングや携帯電話網通信の問題という事でしょうか?

あまりにもレベルが低い内容のようですが、どうかご説明いただけると助かります。

**名無しさん＠お腹いっぱい。** · 2013/09/21(土) 01:41:12.47

自分で「遅延」って書いてるじゃん．
それだけのことですがな

ちなみに「通信速度」って遅延とは(関係はするけど)一応別ですよ?
どういう意味で使っているか知りませんが

**名無しさん＠お腹いっぱい。** · 2013/09/21(土) 14:19:18.66

ありがとうございます。

どうしても理解が出来ず、私なりに考えた憶測になるのですが、通信速度の問題でなく遅延の問題ということは、
ノートPCからWiFiでスマートフォン、スマートフォンからテザリングでDoCoMo、DoCoMo回線からインターネット、インターネットからVPS
と、この4段階で各々の回線間に遅延が出ているということで宜しいでしょうか？
公共無線LANで遅延が出ないということは、DoCoMoからインターネットに大きく遅延があるということでしょうか？

この場合、外からSSHで操作をしたい場合は高速契約のSIMを使ってテザリングをしても同様になりそうなのですが、皆様はどのように外で作業されておりますでしょうか？
WiMAXで解決できるのであれば契約を変えようと思っているのですが、遅延がでない（少ない）方法があればお教えいただければと思います。

また、コマンド入力のレスポンスが送れるのは特に気にならないのですが、コマンドを入力際に一文字づつの入力に遅延があることのみ気になります。
ローカルでコマンド入力をバッファリングし、エンターを押した際にリモートに送ることで解決でそうなのですが、そのような方法はありませんでしょうか？

どうも私の知識が足りず、質問ばかりになりましたがどうかよろしくお願いいたします。

**名無しさん＠お腹いっぱい。** · 2013/09/21(土) 14:48:25.59

IIJmioのSIM出た時、イオンSIMから乗り換えたら格段にレスポンス改善したな
>>852
なので遅延は回線次第だよ。気になるならMosh使えば？

**名無しさん＠お腹いっぱい。** · 2013/09/21(土) 16:01:11.56

衛星回線とか遅延が大きいよね。どんなに高速でも。

**名無しさん＠お腹いっぱい。** · 2013/09/21(土) 17:03:48.88

光の速さは超えられないからな
静止軌道だと最低でも往復で200ms以上の遅延があるし

**名無しさん＠お腹いっぱい。** · 2013/09/21(土) 17:45:06.33

3.6万/30万=0.12
0.12*2 = 0.24
240ms遅延だな。

**852** · 2013/09/21(土) 23:01:51.60

ありがとうございます
私の理解が概ねあっていたようで、ヒントを下さった皆様有難うございました

>>853
契約によっても変わるようですね。自宅の回線を含めてWiMAXへの移行を考えていたため、WiMAXの遅延も考えて移行しなけれればならないと参考になりました。
ありがとうございました。
moshは、>>846に書かせていただいたとおり私の環境では改善はありませんでした。
設定などがあるのかしらべてみます。

**名無しさん＠お腹いっぱい。** · 2013/09/23(月) 13:31:21.41

>>857
moshはこっちにレスポンス来る前に推測で文字表示してるから早く感じるだけ
とかそんなんだったような
その部分は下線付きで表示されるから慣れないと気持ち悪い

**名無しさん＠お腹いっぱい。** · 2013/09/24(火) 12:21:10.17

いわゆるローカルエコー的なものだよね。

**名無しさん＠お腹いっぱい。** · 2013/09/26(木) 00:53:28.78

mosh user@hogehoge.com で以下のエラーが出る。

zsh: No such file or directory
ssh_exchange_identification: Connection closed by remote host
/usr/local/bin/mosh: Did not find remote IP address (is SSH ProxyCommand disabled?).

原因わかります？

**名無しさん＠お腹いっぱい。** · 2013/09/26(木) 07:17:31.10

書いてあるとおりじゃね?

**名無しさん＠お腹いっぱい。** · 2013/09/26(木) 12:01:45.00

>>860
ログインシェルに問題があると見せかけて、実はIP絞ってましたという釣りですね。
そうでないのなら文面通りzshを探す（多分あるけど）
多分、ログインシェルとして認められてないとかじゃない？（設定時に気づくから違うかも）

**名無しさん＠お腹いっぱい。** · 2013/09/26(木) 23:59:04.21

>>862
ちな環境はMacだよ。
ログインシェルは変えてないからbashなはず。

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 00:20:41.50

>>863
sshではhogehoge.comにはつながるの？

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 08:17:58.45

>>864
もちろん！

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 08:20:47.83

あ、それから、hogehoge.comでmosh_serverを起動して、クライアントからkeyみたいなの使ってmosh_clientでつなぐとつながるよ
クライアントもサーバも両方Macね

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 10:05:28.20

実在ドメイン勝手に使うな

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 10:30:36.05

hogehoge.comの中の人なんでしょ？

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 11:35:35.84

>>866
moshスクリプトの247行目付近にexec sshをやっているところがあるのでそこをprintにして実行して、
実行可能なパラメータになっているか確認してください。
そのパラメータに問題があると思われるので、いろいろ変更してあたりをつけてみてはどうでしょうか。

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 17:05:22.55

>>867
ごめん。調べてから書くべきやったね。申し訳ない

**名無しさん＠お腹いっぱい。** · 2013/09/27(金) 17:19:18.54

某所を荒らしているhoge厨を召喚しようか?

**名無しさん＠お腹いっぱい。** · 2013/09/28(土) 14:25:39.38

>>869
printにしたけどよくわからんかった…使ってるのがzshやからダメなんかな？
bashからやったら成功したよ。
エスケープの違い？

**名無しさん＠お腹いっぱい。** · 2013/09/28(土) 23:04:31.16

>>872
クライアント側のシェル変えたらうまくいったって話？
とりあえずおめ

1) 1つのIPからport forwardして複数の仮想化したOSにつないでるんだけど
sshのfingerprintをhost:portで1つのOSとして管理する方法はありませんかね

2) mosh(クライアント)をwindowsから使うには仮想化使って*BSDやLinuxを動かすしかないですか？

ヒントになりそうなURLとかあったらください

**名無しさん＠お腹いっぱい。** · 2013/09/28(土) 23:19:19.29

IPってゆうな。クズ

**名無しさん＠お腹いっぱい。** · 2013/09/28(土) 23:33:55.14

意外と簡単に自己解決したｗ
レスthx

**名無しさん＠お腹いっぱい。** · 2013/09/29(日) 00:09:18.36

>>875
どうやって解決したの？

**名無しさん＠お腹いっぱい。** · 2013/09/29(日) 13:16:16.81

IP イップ
OS オッス
SSH スッシュ

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 02:00:08.70

debian wheezy 上の OpenSSH 6.0p1 へのログイン時に、5秒くらいのポーズが入ってしまう現象が起こっている。
自宅のクライアントからのアクセス時のみであるので、debian 上に DNS を立ててクライアントマシンのアドレスを
逆引きできるようにしたら解消した。

/etc/ssh/sshd_config に UseDNS no を記述しても解消はしなかった。

ログイン時のアドレス逆引き自体をさせなくして、クライアントマシンを DHCP 運用に戻したいのだが、
解決方法はないものだろうか。
お知恵をお借りしたい。

**878** · 2013/10/25(金) 02:12:51.20

詳しい環境は以下の通り。
[サーバ]
OS: debian wheezy
SSH: OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.1e 11 Feb 2013
IPアドレス: ホームゲートウェイから全ポートを転送するプライベートIPアドレス
(特に設定変更した項目)
・ポートを標準から変更
・Protocol 2
・MaxStartups 2:90:4
・PermitRootLogin no
・RSAAuthentication no
・ChallengeResponseAuthentication no
・PasswordAuthentication no
・UsePAM no
・UseDNS no

[クライアント]
OS: Windows
クライアントアプリ: putty 0.60 または OpenSSH 6.1p1, OpenSSL 1.0.1c 10 May 2012
IPアドレス: サーバと同セグのIPアドレス

**878** · 2013/10/25(金) 02:20:18.01

開始からポーズを挟んでしばらくのsshdのデバッグログはこんな感じ

Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: fd 5 is not O_NONBLOCK
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug1: Forked child 14430.
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: send_rexec_state: entering fd = 8 config len 747
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: ssh_msg_send: type 0
Oct 25 00:52:57 HOSTNAME sshd[14381]: debug3: send_rexec_state: done
Oct 25 00:52:57 HOSTNAME sshd[14430]: debug3: oom_adjust_restore
Oct 25 00:52:57 HOSTNAME sshd[14430]: Set /proc/self/oom_score_adj to 0
Oct 25 00:52:57 HOSTNAME sshd[14430]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
Oct 25 00:52:57 HOSTNAME sshd[14430]: debug1: inetd sockets after dupping: 3, 3
Oct 25 00:53:02 HOSTNAME sshd[14430]: Connection from 192.168.100.33 port 56287
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: Client protocol version 2.0; client software version PuTTY_Release_0.60
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: no match: PuTTY_Release_0.60
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: Enabling compatibility mode for protocol 2.0
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: Local version string SSH-2.0-OpenSSH_6.0p1 Debian-4
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug2: fd 3 setting O_NONBLOCK
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug2: Network child is on pid 14432
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug3: preauth child monitor started
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug3: privsep user:group 113:65534 [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: permanently_set_uid: 113/65534 [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: list_hostkey_types: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256 [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: SSH2_MSG_KEXINIT sent [preauth]
Oct 25 00:53:02 HOSTNAME sshd[14430]: debug1: SSH2_MSG_KEXINIT received [preauth]
...

**878** · 2013/10/25(金) 02:26:20.11

クライアントはこんな感じ。
何か手掛かりがあれば良いのですが…

# ssh -vvv USER@HOSTNAME.FQDN -p 13422
OpenSSH_6.1p1, OpenSSL 1.0.1c 10 May 2012
debug2: ssh_connect: needpriv 0
debug1: Connecting to HOSTNAME.FQDN [192.168.100.90] port 13422.
debug1: Connection established.
debug1: identity file /home/.ssh/id_rsa type -1
debug1: identity file /home/.ssh/id_rsa-cert type -1
debug1: identity file /home/.ssh/id_dsa type -1
debug1: identity file /home/.ssh/id_dsa-cert type -1
debug1: identity file /home/.ssh/id_ecdsa type -1
debug1: identity file /home/.ssh/id_ecdsa-cert type -1

(ここで5秒ポーズ)

debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-4
debug1: match: OpenSSH_6.0p1 Debian-4 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1
debug2: fd 3 setting O_NONBLOCK
debug3: put_host_port: [HOSTNAME.FQDN]:13422
debug3: load_hostkeys: loading entries for host "[HOSTNAME.FQDN]:13422" from file "/home/.ssh/known_hosts"
debug3: load_hostkeys: found key type ECDSA in file /home/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys
debug3: order_hostkeyalgs: prefer hostkeyalgs: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
...

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 07:29:12.06

>>878
泥縄っぽいけどdnsmasqとかのHost NameオプションをあつかえるDHCPサーバを使うというのは？

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 07:42:18.57

逆引きとDHCPは関係ない。
ローカルなDNSを立てたくないというならDHCPで振り出すアドレス範囲が
逆引き出来るように/etc/hostsにアドレス範囲を全部追加しとけばいい。

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 09:07:17.02

逆引きしてるのは sshd じゃなくて hosts.allow。

**878** · 2013/10/25(金) 09:15:59.73

ありがとう。
やっぱ、逆引きを正常にさせるのが良いのかな。

後出しですまないけれど、
/etc/hosts に追記してもうまくいかなかったので、逆引きチェックを止めるのを目指していた。
冷静になってみると networking の restart をサボってたかも。

>>882
nttのhgwについてるDHCPでは無理っぽい機能ですね。
興味はあるけど、この問題だけなら mac アドレス決めうちで固定のIPアドレスを払い出すのでも
解決できそうなので、今のところはパスします。

>>883
/etc/hosts で試してうまく行けば、そうしてみます。

お二人ともありがとう。

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 09:22:31.00

自由にならないDHCPサーバーを渡り歩いているオレは無料ddnsに「ローカルアドレス」を登録するという荒業に出た。

**878** · 2013/10/25(金) 09:28:32.76

>>884
あれ、そうなの？
hosts.deny で全拒否後、hosts.allow では同セグと、特定のアドレスのみ許可している。
アドレスと IP の対応は書かないから、関係ないと思ってた。

**878** · 2013/10/25(金) 09:30:33.21

笑ったw
でもプライベートアドレスだからなー

仕事戻ります。また結果出たら報告します。
でわ。

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 09:38:36.33

ああ、逆引きか。無料ddnsは役に立たないね。忘れて。

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 09:46:03.97

>>887
多分sshd以外にも逆引きするものが入ってるよね。

素直にDNSキャッシュサーバーと逆引きウォールを入れるのが吉

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 10:16:04.02

逆引きウォールって言うのか。

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 10:29:05.41

http://cr.yp.to/djbdns/wall.html

https://code.google.com/p/google-dnswall/

など

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 10:37:38.91

sshd -u0

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 11:32:34.73

>>887
アドレスと IP の対応て何？

**878** · 2013/10/25(金) 18:41:05.95

>>884,894
ぁ、hosts.allow が逆引きしてるなんて想像してなかった。

UNKNOWN とか PARANOID とかで許可/拒否を振り分けられるんだ。
勉強になった。