2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SSH その7

1 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:23:37
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
 Part1:http://pc.2ch.net/unix/kako/976/976497035.html
 Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
 Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
 Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
 Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
 Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/

2 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:25:21
よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
 そのパスワードは暗号化されているのですか?
A.はい、その通りです。
 SSHプロトコルでは、まず始めにサーバ<->クライアント間で
 暗号化された通信路を確立します。
 ユーザ認証はその暗号化通信路の上で行なわれるので、
 パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
 ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
 各サイトのポリシーに従って、適切な制限をかけましょう。
 参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html

3 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:26:20
◇実装
本家ssh.com
 http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
 http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
 OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
 日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
 OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
 http://hp.vector.co.jp/authors/VA002416/
 http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
 http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
 http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
 http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
 http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
 http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
 http://pro.wanadoo.fr/chombier/
PortForwarder
 http://www.fuji-climb.org/pf/JP/
TRAMP
 http://www.nongnu.org/tramp/tramp_ja.html

4 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:27:05
◇規格等
 ・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
 ・RFC4251: The Secure Shell (SSH) Protocol Architecture
 ・RFC4252: The Secure Shell (SSH) Authentication Protocol
 ・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
 ・RFC4254: The Secure Shell (SSH) Connection Protocol
 ・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
  Key Fingerprints
 ・RFC4256: Generic Message Exchange Authentication for the Secure
  Shell Protocol (SSH)
WideのSSH解説
 http://www.soi.wide.ad.jp/class/20000009/slides/12/


◇おまけ
Theoのキチガイぶり
 http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
 http://www.qmail.org/djbsssh/

5 :1:2010/02/16(火) 21:28:09
一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが
面倒糞くなったのでそのままコピペしました。
後よろしく。

6 :名無しさん@お腹いっぱい。:2010/02/16(火) 21:33:26
※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。
最低限次のような対処をしておきましょう。

ttp://www12.atwiki.jp/linux2ch/pages/141.html

●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する

●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。 
特定の接続元からの接続を拒否する
ポートを変える

7 :名無しさん@お腹いっぱい。:2010/02/17(水) 14:12:38
>>1


8 :名無しさん@お腹いっぱい。:2010/02/17(水) 20:17:48
なあ、インターネットに繋がってないマシンも 6 をやってる?

9 :名無しさん@お腹いっぱい。:2010/02/17(水) 22:27:20
パスフレーズ無しの公開鍵認証の方が楽

10 :名無しさん@お腹いっぱい。:2010/02/18(木) 00:13:17
っつーか公開鍵使わない認証って SSH 使う意味ないよね

11 :名無しさん@お腹いっぱい。:2010/02/18(木) 00:19:24
なんで?

12 :名無しさん@お腹いっぱい。:2010/02/18(木) 00:20:21
>>10
俺もそうおもってた。。。。

でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに


13 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:41:47
>>11
パスワード認証を暗号化したところで
ブルートフォースアタックには無力

14 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:47:36
それがどうしたというのかね?


15 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:57:25
>>13
それを言うなら公開鍵もブルートフォースで破れる

16 :名無しさん@お腹いっぱい。:2010/02/18(木) 12:59:58
それがどうしたというのかね?

17 :名無しさん@お腹いっぱい。:2010/02/18(木) 13:15:12
RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?

18 :名無しさん@お腹いっぱい。:2010/02/18(木) 14:38:16
>>6も勘違いしてるけど
ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは

19 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:05:51
アクセス元しぼればいいだけじゃん。

20 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:31:37
辞書攻撃って(総当たりとは言えないにしても)ブルートフォース(腕ずく)の一種じゃないか?

21 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:41:53
>>20
いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない

22 :名無しさん@お腹いっぱい。:2010/02/18(木) 15:52:31
辞書攻撃は立派な攻撃手法の一種

ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉〜な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません


23 :名無しさん@お腹いっぱい。:2010/02/20(土) 19:40:35
# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22

# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

24 :名無しさん@お腹いっぱい。:2010/02/20(土) 19:43:11
# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# パーミッションチェック
StrictModes yes

# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server


こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか??
disconnected no supported authentication methods available
って表示されてしまいます。

25 :名無しさん@お腹いっぱい。:2010/02/20(土) 20:55:09
>>24
ssh2で接続してないからだな

26 :名無しさん@お腹いっぱい。:2010/02/20(土) 21:40:42
-vで起動すれば拒否される理由を教えてくれる。

27 :名無しさん@お腹いっぱい。:2010/02/21(日) 00:41:06
.ssh/authorized_keys から
違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな??

28 :名無しさん@お腹いっぱい。:2010/02/21(日) 02:45:27
アクセス権のせいだろうな

29 :名無しさん@お腹いっぱい。:2010/02/21(日) 11:54:43
これまでは問題なく運用出来ていましたが、
ある日突然connection refusedのエラーが出て接続できなくなりました。

ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。

ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。

30 :sshd 起動するだけじゃん:2010/02/21(日) 12:02:02
> これまでは問題なく(ry
> ある日突然(ry

そのあいだにやったことを書けば解決できるじゃろ

31 :名無しさん@お腹いっぱい。:2010/02/21(日) 12:10:18
/etc/init.d/じゃなくて/sbin/init.d/じゃないの?
HP-UX知らないやつは手を出すなよ、壊すから

32 :名無しさん@お腹いっぱい。:2010/02/21(日) 13:16:06
レスサンクス。
>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。

>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。

使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。

33 :名無しさん@お腹いっぱい。:2010/02/21(日) 19:16:21
どう考えても ssh の質問じゃなくて HP-UX の質問じゃん

34 :名無しさん@お腹いっぱい。:2010/02/21(日) 19:25:47
>>33
10.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。

とりあえずinit.dの場所が違うのが分かったので明日調べてみます。

そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。

35 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:19:13
スレ違いかもしれないが、WikipediaのSSHに関する記事
http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか?

OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か?

36 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:22:08
wikiなんだから書き替えたら。

37 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:45:14
・PasswordAuthentication noにする
・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh

38 :名無しさん@お腹いっぱい。:2010/02/21(日) 20:56:35
ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。
そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。

>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。

>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。

39 :名無しさん@お腹いっぱい。:2010/02/21(日) 21:10:01
チャイナ、コリアはデフォルトでドロップだろ。

40 :名無しさん@お腹いっぱい。:2010/02/21(日) 21:13:41
/bin/reverseattack

41 :名無しさん@お腹いっぱい。:2010/02/22(月) 02:53:56
>>38
> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。

42 :名無しさん@お腹いっぱい。:2010/02/22(月) 10:10:09
ssh 対象ユーザで shell 不要ってどういう場合?

sftp only?

43 :名無しさん@お腹いっぱい。:2010/02/22(月) 10:19:43
authorized_keysでコマンド指定してあれば、不要なんじゃないかな。

44 :名無しさん@お腹いっぱい。:2010/02/22(月) 17:53:23
>>37
> ・Portは22以外にする
> 意味無し

>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。

>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。

45 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:31:42
>>44
稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。

46 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:49:34
ログを減らせることに意味があるだろうが、ということだと思うんだが。

47 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:54:18
ログを減らせることの意味がわからないんじゃないの

48 :名無しさん@お腹いっぱい。:2010/02/22(月) 18:56:05
俺もウェルノウンポート以外を使うのは、ある程度は有効だと思う。
まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。
効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。

49 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:00:51
稚拙な管理者はログを一切見ないので
ログが多かろうと少なかろうと違いはない
ということだな

50 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:06:33
Password(PAM)有効じゃ無ければログ残らないだろ。
ログ減らせるとか喜んでる奴、恥ずかしくないのか?

51 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:08:25
セキュリティポリシーって難しいよね。

某スレで、送信元IPアドレスでフィルタリングしちゃう
(= 許可されたIPアドレス以外は認証すらしない)
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ?
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら

もー、初心者扱いされてまいったよ。
死ねだのタコだの。もうね。。

52 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:11:51
可能性のあるところだけ通せばいい。個人用ならそれが普通。

53 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:18:39
>>50
OpenSSHサーバだけど、公開鍵認証でもログ残るよ?
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)

ちなみに僕ちんはファイアウォールでもログ残しているよ。

54 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:20:23
>>53
それ、侵入されたログ。www

55 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:28:00
>>54
おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。

56 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:31:32
>>50
あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?

>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね

57 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:33:08
>>53
そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。

>>54
知らないって幸せだね。


58 :名無しさん@お腹いっぱい。:2010/02/22(月) 19:56:28
>>57
> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。

sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例

Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios

知らなかった?

59 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:16:49
HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、
変えられるんなら変えたほうが効果がある。

>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。

まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。

ちなみに>>44の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス

60 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:27:40
>>58
ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。w
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。

しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?

まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。

61 :59:2010/02/22(月) 20:32:12
「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと
「それで完全に防げる」と勘違いしちゃだめなわけで。

62 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:42:14
>パスワード認証を有効にしている素人管理者サイト

これ誤解や。パスワード認証自体が危険なわけじゃないで。

63 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:47:06
個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。

64 :名無しさん@お腹いっぱい。:2010/02/22(月) 20:52:09
>>59
うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに

うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする

65 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:03:13
>>51
基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし

66 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:09:01
>コントロールパネルのようなものを作っておくと便利

それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る


67 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:10:01
>>62
このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。

もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。

68 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:11:07
>>62
またおまえか
そんなアホな風説流すな

69 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:14:47
>>68
なにが?

70 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:15:50
>>66
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ?
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ?
ログが増えるのも防止できて一石二鳥三鳥だぜ

71 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:18:44
>>70
VPNでアクセスすりゃいいよめんどくせぇ

72 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:18:53
>平文 HTTP の basic 認証とかだったら殴る

xrea.comですねわかります

73 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:25:22
>>65
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。

74 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:26:27
>>73 そういう書き方は「こいつ余裕ないんだなプ」と思われるだけなんだがな…

75 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:33:42
それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ

76 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:35:02
sshd : .jp : allow

これだけでだいぶ減る

77 :名無しさん@お腹いっぱい。:2010/02/22(月) 21:45:19
パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw

78 :名無しさん@お腹いっぱい。:2010/02/23(火) 00:04:33
まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね?
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。

79 :名無しさん@お腹いっぱい。:2010/02/23(火) 00:05:14
あ、ごめんなさい。スレ間違えました

80 :名無しさん@お腹いっぱい。:2010/02/23(火) 00:07:38
SSH HSHwwww

81 :名無しさん@お腹いっぱい。:2010/02/26(金) 00:57:19
俺はHHがイイです

82 :名無しさん@お腹いっぱい。:2010/02/26(金) 13:35:19
じゃあ俺はH×H

83 :名無しさん@お腹いっぱい。:2010/02/26(金) 13:43:06

         ∧_∧   ┌─────────────
       ◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん!
        \    /  └─────────────
       _/ __ \_
      (_/    \_)
           lll

84 :名無しさん@お腹いっぱい。:2010/02/26(金) 18:33:22
HH+コイルタップで十分だな

85 :名無しさん@お腹いっぱい。:2010/03/03(水) 09:13:47
未だにSSHで検索すると埼玉最終兵器が一番上な件

86 :名無しさん@お腹いっぱい。:2010/03/03(水) 09:25:53
>>85
かっこいいからいいじゃん。むしろsshの語源の方がださいし。

87 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:11:15
sshはセキュア・シェル・、、の略だそうですが、
では h は何の略なんですかぁ?

Secure Shell H???

88 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:12:32
Secure SHell

89 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:13:03
S=Secure
SH=Shell
のはず

90 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:17:35
もっと粋な返しはないのか。。

91 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:28:34
>>90
ぢゃお前がお手本みせろよ

92 :名無しさん@お腹いっぱい。:2010/03/03(水) 11:35:49
>>90
フリがつまんないからしょうがない。

93 :名無しさん@お腹いっぱい。:2010/03/03(水) 18:34:21
sh
↓外からも使えたら便利じゃね?
rsh
↓やべー穴だらけだったよw
ssh

94 :名無しさん@お腹いっぱい。:2010/03/03(水) 21:46:53
>>90
wktk

95 :名無しさん@お腹いっぱい。:2010/03/03(水) 22:57:12
S=すごい
S=Scienceで
H=Hします

96 :名無しさん@お腹いっぱい。:2010/03/05(金) 20:06:08
>>93
もう進化しないのかな

97 :名無しさん@お腹いっぱい。:2010/03/06(土) 08:33:58
sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)

98 :名無しさん@お腹いっぱい。:2010/03/06(土) 11:26:24
おいやめろ

99 :名無しさん@お腹いっぱい。:2010/03/06(土) 15:30:31
いいぞもっとやれ

100 :名無しさん@お腹いっぱい。:2010/03/06(土) 17:01:54
で、最後は飽きて放置するんですな。


101 :名無しさん@お腹いっぱい。:2010/03/06(土) 18:47:13
そしていろんなパッチだらけになってお世辞にもsecureとはいえなくなっちゃうんですね。

102 :名無しさん@お腹いっぱい。:2010/03/07(日) 02:32:36
wsh

103 :名無しさん@お腹いっぱい。:2010/03/07(日) 08:52:59
ssh → sssh → ssssh …
今後の展開はこうだろ

104 :名無しさん@お腹いっぱい。:2010/03/07(日) 09:28:35
Secure SSHキボン

105 :名無しさん@お腹いっぱい。:2010/03/07(日) 10:30:54
インセキュアな奴が使うから無理。
パスワード認証でパスワード保存したいとか、正気の沙汰とは思えない。

106 :名無しさん@お腹いっぱい。:2010/03/07(日) 13:05:25
>>103
ssh→ssh2→ssh2'→ssh2'turbo→superssh2→superssh2X→ssh4

107 :名無しさん@お腹いっぱい。:2010/03/07(日) 13:49:39
スーパー ssh 冒険の謎 2 でいいよ


108 :名無しさん@お腹いっぱい。:2010/03/07(日) 13:50:53
>>106
→ sshIV とか sshタクティクスとか

109 :名無しさん@お腹いっぱい。:2010/03/07(日) 16:02:02
sshEXとssh0は

110 :名無しさん@お腹いっぱい。:2010/03/07(日) 19:35:54
Zssh
sshZZ
νssh
ssh-F91

111 :名無しさん@お腹いっぱい。:2010/03/07(日) 22:55:43
Ξssh も仲間に…

112 :名無しさん@お腹いっぱい。:2010/03/07(日) 23:26:27
続・ssh
続続・ssh
また又・ssh
新・ssh
ニュー・ssh
痛快・ssh

113 :名無しさん@お腹いっぱい。:2010/03/07(日) 23:29:58
あぶないssh
もっとあぶないssh
もっともっとあぶないssh

114 :名無しさん@お腹いっぱい。:2010/03/07(日) 23:34:46
もっともあぶないSSH
さらにあぶないSSH

115 :名無しさん@お腹いっぱい。:2010/03/08(月) 00:57:28
つまんないのでもういいです。

116 :名無しさん@お腹いっぱい。:2010/03/08(月) 16:33:56
嘘です、もっとやってください。

117 :名無しさん@お腹いっぱい。:2010/03/08(月) 21:11:22
knkssh

118 :名無しさん@お腹いっぱい。:2010/03/10(水) 21:53:41
openssh-5.4/5.4p1来たね。

119 :名無しさん@お腹いっぱい。:2010/03/10(水) 22:46:49
公開鍵認証が出来なくなった

120 :名無しさん@お腹いっぱい。:2010/03/10(水) 22:51:37
へぇ〜

121 :名無しさん@お腹いっぱい。:2010/03/10(水) 22:52:20
ほぉ〜

122 :名無しさん@お腹いっぱい。:2010/03/10(水) 23:04:03
公開鍵認証が出来ないなら、秘密鍵認証すればいいじゃない。

123 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:14:28
えっ

124 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:32:08
>>123
いじめんなよ

125 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:37:00
ケーキを食べればいいじゃないネタに何いってんのっていうか

126 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:42:43
もうひとひねり欲しいところ。

127 :名無しさん@お腹いっぱい。:2010/03/11(木) 01:45:22
むしろサイバーノーガード戦法で

128 :名無しさん@お腹いっぱい。:2010/03/11(木) 03:25:55
もしかしてGIF騒動の二の舞?

129 :名無しさん@お腹いっぱい。:2010/03/11(木) 12:19:55
>>119
英語でいいんでソース頼む

130 :名無しさん@お腹いっぱい。:2010/03/11(木) 12:22:11
ソースっていうか
>>119の環境でできなくなったって話じゃないの。

131 :名無しさん@お腹いっぱい。:2010/03/11(木) 15:47:16
単にプロトコル2がデフォルトになって、
敢えて設定しない限り1は使えなくなっただけじゃ
なかったっけ?

132 :119:2010/03/11(木) 22:50:59
あぁ・・・うちだけか。ナンテコッタイ

ssh-keygenで鍵セット作ったんだけど公開鍵がputtygen.exeで読み込めなかったんだ。
PuTTYの方で作らないとダメなのかなと、puttygen.exe作った公開鍵をssh-keygenで変換して接続を試みたんだけどNG
ChallengeResponseAuthenticationをコメントアウトすると接続そのものは出来るようになったんだけど
パスフレーズではなくパスワードの入力でないとダメだった。で、鍵認証出来なくなってる?って思ったんです。
sshd_configは5.3p1で使っていたのと全く同じ
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes

133 :名無しさん@お腹いっぱい。:2010/03/12(金) 00:18:30
>>132
多分、鍵の置く場所変えたら直ると思う。

134 :名無しさん@お腹いっぱい。:2010/03/12(金) 19:50:51
AuthorizedKeysFile のところ%h付けなくなったんだっけ?
明示的に%h付けてみたら?

135 :名無しさん@お腹いっぱい。:2010/03/13(土) 05:23:41
RSAよりDSAの方がつおいんだな。
しらなカッタワ。

136 :名無しさん@お腹いっぱい。:2010/03/13(土) 11:42:41
DSAって1024縛りがなかったっけ?

137 :名無しさん@お腹いっぱい。:2010/03/13(土) 21:54:51
んなこたぁない

138 :名無しさん@お腹いっぱい。:2010/03/14(日) 14:13:18
現状のsshで使えるのは1024ビットのDSAだけでしょ?

http://marc.info/?l=openssh-unix-dev&m=126630542032768&w=2

反対にRSAのビット長の方は上限は決まってないんだっけ。
実際にはopensshだとssh-keygenで作成できる上限やsshが扱える限界が
あるみたいだけど何の制約からなんだろう。

ところで、うちのCore2Duoでためしにopenssl genrsa 65536を
実行してみたらCPU 50%しか使わないね。p,q同時に生成するような
パッチってないのかな?(需要ないか・・・)


139 :名無しさん@お腹いっぱい。:2010/03/14(日) 14:33:26
仕様上そうなってるけど、PuTTY の keygen では作れてしまう。
以前試したときには確か使えたと思う。

140 :名無しさん@お腹いっぱい。:2010/03/14(日) 14:44:53
ssh.com版は少なくとも2048bitを作れた気がする。
opensshが勝手に制限してるだけ?

141 :名無しさん@お腹いっぱい。:2010/03/14(日) 19:09:22
TeraTermの中の人が書いたまとめっぽいのがあった。
ttp://slashdot.jp/~doda/journal/465416

142 :名無しさん@お腹いっぱい。:2010/03/14(日) 21:48:22
(L,N)=(2048,160)な中途半端なDSA鍵なら
長いRSA鍵の方がよっぽどましだと思うけど。

(L,N)=(2048,224)のDSA鍵使うにはSSHプロトコルの
拡張が必要なんでしょ?


143 :名無しさん@お腹いっぱい。:2010/03/26(金) 08:23:11

sshをつかってWindowsから接続しています。
nohupを使ってプログラムを実行したあと、ウインドウを閉じると、プログラムが終了してしまいます。
exitコマンドを使えば、切断したあともプログラムの実行は継続されます。
ウインドウを直接閉じた際もプログラムを継続する方法はないでしょうか?

144 :名無しさん@お腹いっぱい。:2010/03/26(金) 08:29:16
>>142
nohupは SIGHUPを無視するだけで、
ウィンドウ閉じた時にそれ以外のシグナルが来れば終了するわな。
すべてのシグナルを無視するラッパーをかますか、
てっとり早く setsidコマンドを使う方法もある。

145 :名無しさん@お腹いっぱい。:2010/03/26(金) 08:59:54
>>143
つ GNU screen

146 :名無しさん@お腹いっぱい。:2010/03/26(金) 12:15:39
普通screen

147 :名無しさん@お腹いっぱい。:2010/03/26(金) 12:24:14
この用途でscreenは牛刀。

148 :名無しさん@お腹いっぱい。:2010/03/26(金) 12:31:36
tmux

149 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:17:52
>147
牛刀結構ではないか
ギロチンつかうよりはまし

150 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:28:40
>>147
screen使うと何か問題が出るのか?

151 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:43:00
debianをetch->lennyにしたらstoneがなくなったのでsocatにしたけど
こういうのが牛刀?

152 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:43:29
ptyが無駄に消費される

153 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:45:57
>>152
足りないの?

154 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:47:16
×無駄に消費される
○有効に活用される

155 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:48:30
wgetで済むのにfirefoxを起動するのが牛刀

156 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:50:46
>>154
nohupの代替の場合、stdout/stderrはもともとファイルにリダイレクトされてるので、
ptyは無駄にしかならない。

setsidとかFreeBSDのdaemonとかはcontrol terminalを切り離すので
無駄にならない。

157 :名無しさん@お腹いっぱい。:2010/03/26(金) 13:51:13
牛刀のほうが使いなれてるなら牛刀でいいじゃん

158 :名無しさん@お腹いっぱい。:2010/03/26(金) 18:38:39
いやだから、ptyが無駄になって
何か問題があるのか?

そりゃ鳥をバラすのに牛刀使うのは
かえってやりにくかろうとは思うが
screen使って「特に問題が出ない」なら
別に構わんのでは?

159 :名無しさん@お腹いっぱい。:2010/03/26(金) 18:50:41
そこは触れてほしくないみたいだよ。

160 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:22:26
> 「鶏を割くに焉んぞ牛刀を用いん」
> 小事を処理するのに、大掛かりな手段を用いることのたとえ。

「大掛かりな手段」と言うほどscreenは大掛かりか?
俺はわりと日常的に使ってるけど。

たかだか1、2行のメモを書くのにわざわざMS Wordを立ち上げる
みたいな話ならまだ分かるが。
screenだぜ? w

161 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:24:21
MS Word を日常的に使ってれば
それは大掛かりにならんのでは


162 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:43:57
screenはインストールされてるとは限らないから、
わざわざscreenをインストールしてから作業開始だとすると大がかりだな。

163 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:48:50
それはまた話が別。

164 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:51:09
>>161
ヘタすると実作業よりも起動待ちの方が長くなるような
という意味合いで書いたんだが。
作業内容に比して大掛かりな道具という。

165 :名無しさん@お腹いっぱい。:2010/03/26(金) 19:52:33
>>162
yumやaptの使い方知らないなら
確かに大掛かりな話になるかもね。

つか、そのレベルの人だったら
別の方法を採用したら
もっと大掛かりな話になりそうなw

166 :名無しさん@お腹いっぱい。:2010/03/26(金) 20:09:00
勝手にソフトを入れてはいけない客先のマシンとか、
社内だったとしてもインストール許可を申請すると日数がかかるものもあるわけで。

167 :名無しさん@お腹いっぱい。:2010/03/26(金) 22:39:08
>>164
もれは attach するだけだから爆速

168 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:19:47
# SSHプロトコルの指定
Protocol 2

# rootでのアクセス許可
PermitRootLogin yes

# 接続を許可するユーザ
AllowUsers root

# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys

169 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:20:30
# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

このような設定でsshに接続しているのですが、ユーザー権だとログインできないです。
なぜなのでしょうか??
AllowUsers root は AllowUsers root hogehoge の間違いです。

170 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:21:18
ログ見ないのかね。

171 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:37:36
AuthorizedKeysFile /etc/ssh/authorized_keys
こんなデタラメな設定、誰に教わった?

172 :名無しさん@お腹いっぱい。:2010/03/30(火) 16:47:36
あれ、なんかデジャヴ?

173 :名無しさん@お腹いっぱい。:2010/03/30(火) 19:30:03
これは酷いw

174 :名無しさん@お腹いっぱい。:2010/03/30(火) 19:39:25
こういうバカは死んで欲しい。
http://d.hatena.ne.jp/fjkktkys/20070214/1171433041

175 :名無しさん@お腹いっぱい。:2010/03/30(火) 20:31:37
>>174
いちおう「最終手段」って書いてるじゃん。

176 :名無しさん@お腹いっぱい。:2010/03/30(火) 23:56:23
何をやっているか理解せずに、全世界に公開する愚かな行為を言っているのだ。

177 :名無しさん@お腹いっぱい。:2010/03/30(火) 23:59:29
ブログに書かれた設定系のネタでまともなものを見たことがない。

178 :名無しさん@お腹いっぱい。:2010/03/31(水) 02:11:42
>>174
それ3行並べてるじゃん。
>>168のは一行しか書いてないじゃん。
なんで>>174の方を叩くべきって結論に?

>>177
ほう

179 :名無しさん@お腹いっぱい。:2010/03/31(水) 19:07:47
3:1で>>174の勝ち。

180 :179:2010/03/31(水) 21:08:38
>>174の方が明らかに間違い
>>168はそれに騙された被害者

一日間に異論がなければそれで確定ね

181 :名無しさん@お腹いっぱい。:2010/03/31(水) 21:55:09
>>168
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
ココ見てわからなかったら、グーグルさんに聞いてください。

182 :名無しさん@お腹いっぱい。:2010/03/31(水) 23:04:37
一日間に異論がなければそれで確定ね(キリッ

183 :名無しさん@お腹いっぱい。:2010/04/01(木) 17:19:46
何をやっているか理解せずに、誰かが書いた設定をコピペして使うのも愚かな行為。

184 :名無しさん@お腹いっぱい。:2010/04/05(月) 19:44:17
どうしてもssh認証できなくて、2日間悩んだあげくやっと原因を発見した
作った.sshディレクトリの所有者がrootになってた
忘れないようにここに記録しておく

185 :名無しさん@お腹いっぱい。:2010/04/05(月) 19:53:15
ばーか としか言いようがない

186 :名無しさん@お腹いっぱい。:2010/04/06(火) 07:47:09
そんなこと普通起きないから忘れていいよ。

187 :名無しさん@お腹いっぱい。:2010/04/06(火) 21:43:11
いや、>>184 が記憶したいのが「所有者が root だから駄目だった」だったら
きっと同じようなことをまたやらかすに違いない

188 :名無しさん@お腹いっぱい。:2010/04/07(水) 11:24:55
>>187
?
他に何を記憶したいという可能性が?

189 :名無しさん@お腹いっぱい。:2010/04/08(木) 16:20:59
root だったからじゃなくて、所有者が違ったからだめなんだよ。
そういう記憶の仕方は良くない。

/root/.ssh の所有者がrootでも何の問題もないからな。

190 :名無しさん@お腹いっぱい。:2010/04/08(木) 16:43:10
それを言うなら「所有者が違って、かつotherに読み込み権限がなかったから」だろ
>>184は所有者の確認もせずにパーミッションだけは700とかに設定したわけだな

191 :名無しさん@お腹いっぱい。:2010/04/08(木) 16:54:06
>>190
違うよ。
「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。

192 :190:2010/04/08(木) 17:17:26
/home/testuser/.ssh# ls -la
合計 12
drwx---r-x 2 root root 4096 2010-04-08 17:05 .
drwxr-xr-x 3 testuser testuser 4096 2010-04-08 17:05 ..
-rw----r-- 1 root root 395 2010-04-08 17:05 authorized_keys

試してみたけどこの状態ならtestuserでSSHログインできたぞ。
ここから chmod o-rx . ./authorized_keys するとログイン不可。
まぁ環境によるのかもしれないけど。

193 :名無しさん@お腹いっぱい。:2010/04/08(木) 21:03:08
drwx--x--x .
drwxr-xr-x ..
-rw------- authorized_keys
だろ常考

194 :名無しさん@お腹いっぱい。:2010/04/08(木) 21:10:03
そういう話はしていない。

195 :187:2010/04/08(木) 22:18:50
俺が言いたかったのは「所有者が root だから駄目だった」という
個別の事例を記録しても意味がなくて、なぜ ~/.ssh の所有者を root に
してしまったのかの原因を詳らかにしておいた方がいいんじゃないの?
ってことだったんだけどね

平たく言うと、安易にスーパーユーザーで作業すんなってこと

196 :名無しさん@お腹いっぱい。:2010/04/09(金) 10:15:32
>平たく言うと

遠すぎるな


197 :名無しさん@お腹いっぱい。:2010/04/09(金) 10:23:15
いや
何度も書かれている
お前の目が節穴だっただけ

大抵の人はフィルタを通して物(この場合スレの書き込み)を見てしまう
大事なことが書かれていてもそれに気付くためには
本人がそれを受け入れるための準備が必要なんだ

198 :名無しさん@お腹いっぱい。:2010/04/09(金) 10:32:54
>>191
× 「所有者が違ってotherに読み込み権限がある」状態では拒否されるよ。
○ デフォルトでは所有者がroot以外の他人またはgoに書き込み権限有りの場合に拒否。
これほどあからさまな嘘は珍しい。

199 :名無しさん@お腹いっぱい。:2010/04/16(金) 17:26:34
opensshでログインするとサーバー側にTIOCSCTTYの引数が無効とでます
何が原因かわかりますでしょうか

200 :名無しさん@お腹いっぱい。:2010/04/16(金) 17:32:04
>>199
LANG=ja_JP.UTF-8 等にしているのが原因です。
LANG=C なら、ちゃんと
TIOCSCTTY: invalid argument
と出ます。

201 :名無しさん@お腹いっぱい。:2010/04/16(金) 17:39:01
>>200
失礼しました勝手に訳しました
ログインはできるので影響はないんですが気になるので調べてます


202 :名無しさん@お腹いっぱい。:2010/05/13(木) 21:33:11
一つ質問させて下さい。皆さんはSSHを用いて通信が暗号化された事をどのような方法で
確認していますか?

現在、
サーバ:windows2003server + cygwin(+openssh)
クライアント:windowsXP + teraterm
という環境でSSHポートフォワーディングを利用してリモートデスクトップ接続を
行おうとしており、実際に接続出来ていてリモートデスクトップが可能なのですが
経路が暗号化されているのかが判別出来ていません。

何か確認出来る方法、ツール等ありましたらご教示下さい。



203 :名無しさん@お腹いっぱい。:2010/05/13(木) 21:43:42
パケットキャプチャでも使ってみたらどうだろう

204 :名無しさん@お腹いっぱい。:2010/05/13(木) 21:50:06
ルータ経由でネットワーク分離して
間違って直結しようとしても出来ない構成にしておけばいいじゃん

205 :名無しさん@お腹いっぱい。:2010/05/14(金) 11:45:06
>>204
それだと「暗号化されてるかどうか」の
確認にはならんような

sshが信用できないから
自分の目で確認したい
ということかw
その批判精神には感じ入るが…

>>203しかないのでわ
tcpdumpとか?

206 :名無しさん@お腹いっぱい。:2010/05/14(金) 11:51:20
>>202
暗号化の確認にはならないけど、逆にリモートデスクトップの通常のポートに
接続されていないことをnetstatで確認するのはどうだろう。

207 :名無しさん@お腹いっぱい。:2010/05/14(金) 14:18:39
自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけをhosts.allow に記述するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、hosts.allowを sshd: ALL にする
メルアドとスクリプトも作った。

208 :名無しさん@お腹いっぱい。:2010/05/14(金) 20:13:48
>>205
tcpdumpの出力を目視だけでは正しく暗号化されてるかまでは判別できないと思う
>>207
それならiptablesの方が汎用的では?

209 :名無しさん@お腹いっぱい。:2010/05/15(土) 10:17:55
自分しかSSHでアクセスしないサーバでの話だが、
アクセスがあるとそのリモートアドレスだけを iptables に追加するHTTPSのページを作って
そのページにアクセスしてから鍵認証でSSHにログインするようにした。
自宅からや出張先からもつなぐ必要があるけど、すごく楽になった。

ただ、もしapacheだけ落ちたりしたらお手上げなので、メール受け付けると、iptables に追加する
メルアドとスクリプトも作った。

210 :名無しさん@お腹いっぱい。:2010/05/15(土) 14:18:11
メールサーバも落ちてたらお手上げなので、DNS query受け付けると、iptables フラッシュするためのRRとスクリプトも作った。ドメインも買った。


211 :名無しさん@お腹いっぱい。:2010/05/15(土) 16:39:38
面白いと思ってるのが痛い

50 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)