SSH その7

**名無しさん＠お腹いっぱい。** · 2010/02/16(火) 21:23:37

SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
　Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
　Part5：http://pc11.2ch.net/test/read.cgi/unix/1145484540/
　Part6：http://pc12.2ch.net/test/read.cgi/unix/1202782840/

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 18:54:28.09

「アドレスと IP の対応」って結局何だったんだ。

**878** · 2013/10/25(金) 21:17:59.61

fqdnとipアドレスの対応の書き間違えだった

**878** · 2013/10/25(金) 21:40:45.22

改めて自鯖で試してみた。

・/etc/hosts にクライアントのIPアドレスとホスト名の対応を記載し
　networking restart することで、DNS を止めてもポーズは解消
・/etc/default/ssh に -u0 を記載しても、残念ながら効果なし

-u0 は知らなかったので sshd の man 見て、DNS が有効になる他の
設定とかを把握した。
それらが有効になってないことも確認したが、UseDNS no も -u0 も
今回のポーズ解消には効果がなかった。

DNS はあまり運用したくない＆ DHCP で IPアドレスを配りたいので、
・特定MAC宛てに固定のIPアドレスを払出すよう設定
・サーバの /etc/hosts にその固定のIPアドレスとホスト名を設定
とすることにした。

レスくれた皆、ありがとう。

**名無しさん＠お腹いっぱい。** · 2013/10/25(金) 21:46:41.12

> ・サーバの /etc/hosts にその固定のIPアドレスとホスト名を設定
これで出来てるじゃん。/etc/hostsに書けってそういう事だよ。
DHCPが振り出すアドレス範囲はどんなヘッポコASDLルータでも指定可能なので、
hostsにその範囲のアドレス/ホスト名を全部するだけ

**名無しさん＠お腹いっぱい。** · 2013/11/04(月) 10:37:19.34

仮想化でOSのイメージを複製して別ホストとして運用する場合、
複製したSSHサーバホスト鍵で運用しちゃまずいよね？
VPSホスティングで
別の契約者に同じSSHホスト鍵を与えているケースがあるみたい。

https://sect.iij.ad.jp/d/2012/08/109998.html
↑と似た話だけど、組み込み機器というわけではないし、
乱数発生器の不良ということでもなく、
仮想化でそういうミスはよくあることなのかな。

**名無しさん＠お腹いっぱい。** · 2013/11/04(月) 13:38:01.68

VPSなんて使う時は普通自分のほうでも鍵の再生成するでしょ

「SSH 再生成」でググったページをペタリ
ttp://doruby.kbmj.com/totoro_blog/20130624/vps_ssh_

**900** · 2013/11/04(月) 15:16:09.22

>>901 サンクス。認識している人がいて安心した。
確かに借りた方で鍵を再生成するだけで済む話なんだけど、
サーバが身元を証明するデータを共有しちゃいけないことを
認識していないプロバイダというのは、その程度のものなんだろう。
「初回接続時に警告が出るので[OK]を押しましょう」みたいな解説がはびこったせいで、
ホスト鍵検証の意義や必要性を理解できてない業者さんもいるんだろうな。

**名無しさん＠お腹いっぱい。** · 2013/11/06(水) 17:47:47.91

経路の暗号化のための機能、という認識しかないのであろう。
提供する側も使う側もｗだからNSCがほくほくな訳で。

**名無しさん＠お腹いっぱい。** · 2013/11/06(水) 22:20:50.43

イメージ複製で鍵がコピーされないって
それはそれで問題あるよ

**名無しさん＠お腹いっぱい。** · 2013/11/07(木) 02:28:22.20

そこの業者がその仮想化プラットフォームに慣れてないってことはわかるかもね
普通に考えれば鍵生成前(もしくはインストール後に鍵削除して)スナップショット取って
コピー元のイメージにして、デプロイする時にIPアドレス振る流れで鍵生成がいいだろうけど
それが出来ない程度にそのプラットフォームに慣れてないってことじゃね？

**名無しさん＠お腹いっぱい。** · 2013/11/07(木) 03:06:23.41

他人が作った鍵なんか使わないだろ、普通。

**名無しさん＠お腹いっぱい。** · 2013/11/07(木) 04:42:19.23

鍵生成時のコマンドラインが業者から知らされてて、それが適切であればいいと思うけど？
それともパスフレーズの変え方がわからないとかそういうお話？

**名無しさん＠お腹いっぱい。** · 2013/11/07(木) 07:56:51.08

>>907
> 「初回接続時に警告が出るので[OK]を押しましょう」みたいな解説がはびこったせいで、
これが何でダメだと言われたのか意味わかってる?

**名無しさん＠お腹いっぱい。** · 2013/11/07(木) 08:35:22.59

わからん

**名無しさん＠お腹いっぱい。** · 2013/11/07(木) 11:03:04.73

じゃ、混乱の元だからこの話題には参加しないで。

**名無しさん＠お腹いっぱい。** · 2013/11/24(日) 07:57:20.06

OTP どう？使ってる？

**名無しさん＠お腹いっぱい。** · 2013/11/24(日) 10:11:35.58

使ってない。

**名無しさん＠お腹いっぱい。** · 2013/12/30(月) 15:56:17.36

OpenSSH の証明書どう？使ってる？
生の鍵ペアよりも便利なこと・不便なことがあったら教えなさい。

**名無しさん＠お腹いっぱい。** · 2013/12/30(月) 16:05:14.83

OpenSSH クライアントの便利機能に
「接続の共有」(ControlPath とかで設定するやつ) があるけど
これが Cygwin で使えなくておじさん心底ガッカリした。
しかし Unix ソケットの fd 渡しってこんなところで使われるんだな。

**名無しさん＠お腹いっぱい。** · 2013/12/30(月) 16:35:28.55

ssh のできそうでできないこと。3 番以上のファイルディスクリプタの接続。
$ ssh example.com 'echo ONE ; echo THREE >&3 ; echo FOUR >&4' 1> 1.out 3> 3.out 4> 4.out
sh: 3: Bad file descriptor
sh: 4: Bad file descriptor
1 回の SSH 接続で複数コマンド出力を別々に取り出したいのだけどできない。
(少なくとも Linux の) su は同様のことができて便利なんだけど。

**名無しさん＠お腹いっぱい。** · 2013/12/30(月) 17:17:23.37

冬休みにエスエスエツチを始めたいのですがどのアプリを入れればいいのかいつぱいあつてわかりません。オーエスはアンドロイドです。よろしく教えてください。

**名無しさん＠お腹いっぱい。** · 2013/12/30(月) 23:32:00.31

>>915
RFC4254のSSH_MSG_CHANNEL_EXTENDED_DATAが
SSH_EXTENDED_DATA_STDERRしか定義されてないんだよな

**名無しさん＠お腹いっぱい。** · 2013/12/30(月) 23:41:44.85

意味も分からず2>&1とかしてたけど、そういうことだったのね。
勉強になります。

**名無しさん＠お腹いっぱい。** · 2014/03/20(木) 13:06:59.63

.ssh/configで
Host *
User spam
Host eggs
User sausage
みたいな設定をしているのに、eggs宛のssh(ssh eggs)でspamとしてログインしてしまいます。
原因とかありますか？

**名無しさん＠お腹いっぱい。** · 2014/03/20(木) 13:22:06.13

そいいうネタはいいです

**名無しさん＠お腹いっぱい。** · 2014/03/20(木) 13:27:02.06

>>919
上から順にマッチさせるので
Host * は最後に書く。

**名無しさん＠お腹いっぱい。** · 2014/04/02(水) 19:02:57.63

ポートフォワード専用に ForceCommand /bin/true してあるアカウントにTeraTermでログインする場合、
PuTTYで言うところの「シェルやコマンドを開始しない」に相当するオプションは
どうやって設定すればいいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2014/04/02(水) 20:59:53.18

>>922
最近Windows使ってないのでうろ覚えだけどポート転送のメニューがあった気がするよ

**922** · 2014/04/03(木) 13:23:02.98

そのアカウントはポートフォワード専用アカウントなのでシェルを使えないように設定してあります。
openssh の sshコマンドで -N に相当する(と思う)オプションです。
設定→SSH転送のメニューはあるのですが、その周辺には見当たりませんでした。

**名無しさん＠お腹いっぱい。** · 2014/04/03(木) 14:12:52.79

>922
別ソフトだけど putty だと接続->SSH の項目に
shell等を開始しない(N)ってのがあるようです

**名無しさん＠お腹いっぱい。** · 2014/04/03(木) 14:41:38.77

>>925
>>922 はそれを当然知ってて質問してるだろｗ

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 07:21:50.26

所謂HeartBleed問題ってOpenSSHには関係ないのでしょうか
関係ないと思っていたのですがWinSCPやFFFTPなどがHeartbleed問題への対策をしたとか見かけたので不安になってきました

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 08:38:47.54

>>927
関係ない。
http://undeadly.org/cgi?action=article&;sid=20140408063423
OpenSSH作者のTheo自らの発言。
SSLセッションの問題なので、プロトコル自体別なsshは関係ない。

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 20:05:04.33

>>927
今見てみたらwinscpもffftpも、ftpsとかftp over sslで使ってるからじゃないかな。opensshのsftpとは別。

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 20:48:51.97

落ち着いて読めば気づくだろうにな

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 21:16:16.25

ftpsとか使っている奴いるの？

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 21:44:54.21

>>931
いるよ

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 21:57:26.67

質問です。
FTP に proftpd 使ってるんですけど、
普段は、/etc/proftpd.conf で
Deny all
してるのを、使う時だけ
# Deny all
してるわけです。
これをいちいちSSHでサーバに接続して編集とかしないで、
$ ssh -t -p 22 server comand
みたいに一発でできないですかね？

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 23:14:47.68

できるよ。

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 23:16:08.40

その運用方針はともかく
ssh server command
は普通ならできるんじゃないですかね。

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 23:18:05.05

ssh できる環境なら
わざわざ FTP 使わずとも scp でいいんじゃね。

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 23:35:58.55

>>935
なので、その具体的な command が知りたいわけですよ

**名無しさん＠お腹いっぱい。** · 2014/04/18(金) 23:40:39.16

>>936
特定の下位ディレクトリとか特定のファイルだけ"目視"で除くとか、
同名ファイルの存在時にどうするか、"都度都度変わる"とか、
いろんな場合でやっぱりFTPクライアントは scp より便利なので。
何にも考えなくて一括してアップロードするときなんかは scp で、
定時バックアップは rsync+ssh でやってるんですけどね

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 00:53:40.93

>>937
なんたるゴウランガ！

Deny all
と
# Deny all
の二つのproftpd.confを作っておいて
コピるなり、リンクするなり。

いや、もうSFTPで。

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 02:00:58.82

>>939
頭いいなぁ！
なるほど
ssh -t server 'sudo cp /etc/proftpd.desabled /etc/proftpd.conf'
と
ssh -t server 'sudo cp /etc/proftpd.enabled /etc/proftpd.conf'
を用意しとけばいいんだ！
君って、天才？

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 02:45:44.17

>>939
上手くいったでござる m(__)m
なんでSFTP使わないかって言うと、
たまに一般ユーザーにFTP開放しなくちゃいけないんだけど、
それだけのためにアカウント作りたくないし、
で、パスワードログインは当然無効にしてあるから。
で、使う時だけ俺がSSHでサーバにログインしてFTP開放してたんですよ
これで、コマンド行から一発だわ(笑)

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 04:56:14.07

一般ユーザーに sftp 使わせれば良いのに・・
WinSCPあたりのクライアントならマウスぽちぽちの人でも使えるだべ

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 05:15:54.70

>>940
lnで切り替える方が一般的だと思うが。
alternativesとかそのまま使えそうな気も。
それより、サービス自体止めちゃった方が。
そもそもrsyncでいい。

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 08:15:17.64

>>940
× desabled
○ disabled

コピーした後 proftpd をrestartする必要があるのでは

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 11:22:10.98

>>944
restartしなくても大丈夫

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 11:27:49.01

はいはい、HUPね。アスペかよｗ

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 12:07:48.95

スーパーデーモン使ってたりして。

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 12:10:41.65

>>946
いやいや、
standalone だったらダメだけど、xinetd.d経由だったら大丈夫だろ

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 12:12:40.96

933 読めば、書いてなくてもxinetd.d経由で使ってるなって分かるわな

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 12:34:09.08

>>949
なんでわかるの?
書いてないことはやってないなんて決め付けなら危険かも。

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 13:26:22.98

FTPユーザーが使うときだけ設定を変更するなら、
使うときだけFTPサーバーを立ち上げればいいんじゃないか？

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 13:31:08.35

>>942
うちは一般ユーザーにsftpを使ってもらってる。
初めての人にはWinSCPでの使い方を説明してる。
が、「puttygenで作った鍵ファイルがどこに保存されたか分からない」という問い合わせがちょいちょいある。

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 14:49:02.21

>>950
アスペかよ？

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 14:50:11.83

>>951
だからスタンドアロンじゃないっての分かるだろ？

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 14:53:26.82

>>948-949
なんで、「x」inetd経由だってわかるの？
inetd経由かも知れないのにそうじゃないって断定できる根拠は？

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 15:11:11.65

>>954
だからスタンドアロンにすれば、っていう提案。

**名無しさん＠お腹いっぱい。** · 2014/04/19(土) 16:06:55.37

>>953
わからないので教えて下さい。お願いします。

**名無しさん＠お腹いっぱい。** · 2014/04/20(日) 09:21:32.73

>>949
>>933 に書いてあるのは

・普段は Deny all の設定にしてある
・ftpを使う必要のあるときだけ sshで入ってこの行をコメントアウト

この二点だけだよね。
この二点のどこから「xinetd.d経由」と判断出来るの?
マジで分からんので是非教えてくれ。

**名無しさん＠お腹いっぱい。** · 2014/04/20(日) 09:22:51.55

「xinetd.d経由」じゃなくて、inetd xinetdなどのスーパーデーモン経由と判断できる。

**名無しさん＠お腹いっぱい。** · 2014/04/20(日) 10:07:24.96

もう勘弁してやれ。

**名無しさん＠お腹いっぱい。** · 2014/04/20(日) 10:16:41.05

>>958
アスペかよ(笑)
1. confファイルを書き換えるだけで制御してるって訳だからデーモンではない
2. 最近の(随分前から？)ディストリじゃ、xinetd が標準 (よりセキュアだから)
そんだけのことだろ？
アスペ君(笑)

**名無しさん＠お腹いっぱい。** · 2014/04/20(日) 12:16:40.12

>>961
1. >>950
2. 個別の話をしているんだから、最近とか多いとか関係ない。

勘で言っておいて、それ以外をアスペって。

**名無しさん＠お腹いっぱい。** · 2014/04/20(日) 13:58:55.26

>>962
そういう痛い人なんだから、もう勘弁してあげなさいよ。

**名無しさん＠お腹いっぱい。** · 2014/04/22(火) 18:24:29.64

いまどき、あえて inetd とか使う意味あるの？
こんなとこで「なんで分かる」とか言い出したらキリがないが、やっぱ、そいつが書いてるみたいに普通に xinetd って発想になるだろ？

**名無しさん＠お腹いっぱい。** · 2014/04/22(火) 18:31:37.51

inetd にせよ xinetd にせよ
スーパーデーモン経由で sshd 使う意味ってあんのかな。

**名無しさん＠お腹いっぱい。** · 2014/04/22(火) 18:41:29.18

>>965
スーパーデーモン経由なのはproftpdだよ。
proftpd.confをsshで書き換えたあとproftpdのリスタートは必要ないのか？
→ xinetd経由だから必要ない
というのが話の発端

**名無しさん＠お腹いっぱい。** · 2014/04/22(火) 19:02:48.86

蒸し返すのもあれですが
「スーパーデーモン経由かどうか」
「xinetd なのか inetd なのか」
という２つの話題が入り混じっているので話がまとまりにくいですね。
わざと混乱させてるんだとしたら、たちが悪いと思いますが。

**名無しさん＠お腹いっぱい。** · 2014/04/22(火) 19:52:45.86

>>966
あぁ、そうだった。すまん。

**名無しさん＠お腹いっぱい。** · 2014/04/22(火) 23:07:17.00

これはあれだな
「スーパーデーモン経由で云々」
って書けば済んだものを
「xinetd経由で云々」
って書いたばっかりに
「inetd の可能性もあるだろ？」
とか突っこまれてしまった…
スーパーデーモンって書いても普通は誰でも xinetd 使ってるって思う訳だが

**名無しさん＠お腹いっぱい。** · 2014/04/22(火) 23:36:12.11

>>969
>スーパーデーモンって書いても普通は誰でも xinetd 使ってるって思う訳だが
いや、俺は今でも設定ファイルが簡単なinetdが好きで使ってるよ

**名無しさん＠お腹いっぱい。** · 2014/04/23(水) 00:30:20.53

もうこの話終わりでよくね。

**名無しさん＠お腹いっぱい。** · 2014/04/23(水) 13:25:13.41

>>969
>>947

**名無しさん＠お腹いっぱい。** · 2014/04/23(水) 14:06:27.55

もう終わりにしましょう。

**名無しさん＠お腹いっぱい。** · 2014/04/24(木) 17:23:31.44

>>974
このスレを?
それとも，UNIX板のSSHスレそのものを?
それとも・・・・UN・・・おや，誰か来たようだ．

**名無しさん＠お腹いっぱい。** · 2014/04/24(木) 18:47:00.68

kill -KILL $$

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 06:54:50.03

GWにシェルを始めようと思ってます。
cshは古い、bshは当たり前？じゃあashか？ ashより優れた sshにするか？

コンサートだとA席よりS席の方が上ですよね？

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 08:26:26.13

そういうネタはいいです。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:22:17.59

SSHがなかったら遠隔サーバの管理とかできなかったよね？
いまだに代替手段がないもんね。
SSH様様だわ

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:30:09.44

電話回線経由のシリアルポートっていうのもあるんやで

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:32:10.43

>>978
rshとかtelnetとかあったやん。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:33:21.47

>>979
だからそれは非常時のね
普段そんなことしてる人はいないでしょ？
特殊な場合以外は

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:34:25.83

>>980
セキュアに使えたらいいんだよ、
SSHと同様以上に

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:35:04.32

後から条件増やされてもな。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:36:13.40

VNCとかRDPとかもあるしiLOみたいなのもあるし。
とか言うと「テキストベースじゃないと」とか言いだすんだろうな。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:37:30.36

いや、現実的な意味でSSHに取って代わるものはないよね？って話ですわ

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:38:01.83

どんどん話が変わってくる。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:38:38.43

> SSHがなかったら遠隔サーバの管理とかできなかったよね？
最初これだったのに。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:39:09.80

>>984
VMCも実際は over ssh でしょ？
サーバーに繋ぐときは

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:40:00.21

>>987
だからセキュアじゃなかったらサーバーに繋げないじゃん（泣）

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:42:35.96

VPNがあるから問題ない。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:45:47.73

>>990
それって冗談で言ってる？
プロトコルに SSH 使ってるんですけど…

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:47:19.65

>>991
それって冗談で言ってる？

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:48:58.70

えっと、ここって UNIX 板だよね？

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:50:47.74

UNIX板じゃなかったら何板なんだ。

**名無しさん＠お腹いっぱい。** · 2014/04/25(金) 17:58:56.75

あまりにも低レベルなレスが多くて…