SSH その3

1 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/15 02:01

SSHに関する情報交換のスレッドです。

FAQ、リンク集は >>2-5 あたり。

前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html

2 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/15 02:02

よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
　そのパスワードは暗号化されているのですか？

A.はい、その通りです。
　SSHプロトコルでは、まず始めにサーバ<->クライアント間で
　暗号化された通信路を確立します。
　ユーザ認証はその暗号化通信路の上で行なわれるので、
　パスワードなどもちゃんと秘匿されています。

3 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/15 02:02

どうしたら遠隔地の根権限を獲得できますかね。
なかなか、根のアカウントを取得できませんで困ってます。
誰か助けてください。

4 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/15 02:02

関連リンク集

本家SSH: http://www.ssh.com/
(日本語) http://www.ipsec.co.jp/
OpenSSH: http://www.openssh.com/ja/
OpenSSH情報: http://www.unixuser.org/~haruyama/security/openssh/
OpenSSHマニュアル: http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO: http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/
(PuTTY日本語版): http://hp.vector.co.jp/authors/VA024651/
(PuTTYスレ): http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
TTSSH: http://www.zip.com.au/~roca/ttssh.html
(TTSSH日本語版): http://www.sakurachan.org/soft/teraterm-j/ttssh/
MacSSH: http://www.macssh.com/
WideのSSH解説: http://www.soi.wide.ad.jp/class/20000009/slides/12/
IETF secsh protocol: http://www.ietf.org/html.charters/secsh-charter.html
PortForwarder: http://www.fuji-climb.org/pf/JP/
VNC on SSH: http://www.uk.research.att.com/vnc/sshvnc.html
Tramp: http://www.nongnu.org/tramp/tramp_ja.html
おまけ・Theoのキチガイぶり: http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550

5 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/15 02:03

なかなか、うまくいかないんっすよね。(汗;

6 名前：あぼーん メール：あぼーん 投稿日：あぼーん

あぼーん

7 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/15 12:19

age

8 名前：春山征吾 ◆unIxUSernc メール：sage 投稿日：03/07/16 00:28

前スレをdatから変換して
http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
に置きました。(まだdat落ちしてませんが)

9 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/16 07:44

>>3
管理者にお願い汁

10 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/16 10:38

ポートフォワードについて質問です。
ssh -L ローカルフォワードはリモートマシン→ローカルマシン。
ssh -R リモートフォワードはローカルマシン→リモートマシン。と言う考え方であってますか？
最近使い始めてポートフォワードも使ってるんですが、きちんと理解しきってません。
ssh関連のhpやらmanも見たんですが、いちいちそこまで説明してくれませんでした。
sshはOpenssh On Cygwin 3.6.1p1。クライアントにPuttyを使ってTightVNCでリモートしてます。
もう一つ、ローカルマシン＝sshdの動いてるマシン。リモートマシン＝クライアントマシン
てのもあってますかね？
マブいトンネルビルダーになりたいです。皆さんの知恵をお借りしてその一歩を踏み出させてください。

11 名前：10 メール：sage 投稿日：03/07/16 10:44

春山さんすいません。せっかく訳していただいたmanですが、印刷して何度読み返しても私のようなハナタレにはわかりませんでした。

12 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/16 11:00

>>10
> ssh -L ローカルフォワードはリモートマシン→ローカルマシン。
> ssh -R リモートフォワードはローカルマシン→リモートマシン。と言う考え方であってますか？
これじゃどういう考え方かわからんよ。

13 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/16 11:02

>>10
> もう一つ、ローカルマシン＝sshdの動いてるマシン。リモートマシン＝クライアントマシン
逆。

14 名前：10 メール：sage 投稿日：03/07/16 13:54

>>12,13
ご教授ありがとうございます。
10の質問ですが、ｓｓｈ　-Lとssh　-Rの違いが良くわかってなくて
たとえば、ローカルマシン(仮にhostA)のVNCクライアントからリモートマシン(仮にhostB)のVNCサーバにフォワードする場合、
ssh -L　5900:hostB:5900 hostB -l usernameですよね？
これが逆にリモートマシンのVNCクライアントからローカルマシンのVNCサーバにフォワードするなら
ssh -R〜になるんですか？それともssh -L 5900:hostA:5900 hostAすか？
どうにも職業はわからない言い訳にはなりませんが、鳶にもわかるように教えてください。

15 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/16 18:22

hostL% ssh -L portL:hostO:portO hostR
(hostL, portL) ==> hostR --> (hostO, portO)

hostL% ssh -R portR:hostO:portO hostR
(hostR, portR) ==> hostL --> (hostO, portO)

こんな感じかな。==> が暗号化されてるやつ。--> がされてないやつ。

16 名前：10 メール：sage 投稿日：03/07/16 19:01

>>15
ありがとうございます。納得です。
これでちょっとは「セキュアな鳶」になれた気がします。
私の居住区の鳶は危ない人が多いので、何かと安全には気を使います。
まぁPCに関してはスケベサイト覗いて喜ぶのが関の山の人たちなんですがね。
とは言うものの、私も例外なく
「プロジェクトX」の「東京タワー」の奴はバイブルのように大事にしてます。
桐生五郎　イナセだねぇ。
スレ違いごめんなさい。皆さんありがとうございました。

17 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/16 23:34

いつのころからか
% ssh host1 ssh host2
すると
Pseudo-terminal will not be allocated because stdin is not a terminal.
Host key verification failed.
っていわれるようになってしまった。
どうやったらこれができるようになるんでせう？

18 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/17 00:08

FreeBSD5.1R+OpenSSHでsshとsftp-server使ってセキュアな自宅鯖にするぜ、と思っていたんですが、sftp遅すぎ。
30〜40KB/sしかでない。
なお、CPUはほとんど使っていない模様。(Celeron366)
と思ってlocalhostにsftpしてみると1.3MB/sほどはでてる。
このときは30%ほどCPUを使っている。

Windowsのクライアントが悪いのかとも思ったが、
職場でnetbsdとFreeBSDでsftpを試してみるが、組み合わせにもよるが
70KB/sがいいとこ。

localhostでのみスピードが出るということは、経路依存なんでしょうか。
最初はWinのクライアント(FileZilla)を疑っちゃいましたが…

自宅鯖が流行ってきた今こそ、ssh+sftpの時代ではないだろうかと思うのだが、
いかんせんsftpがマイナーすぎる…

19 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/17 00:43

sftp っていまいち使い勝手が分からないのだけど、
どういう用途で使うものなの？ scp との違いは？

20 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/17 01:32

sftpないといやんってことは全く無い。
WinSCPあるし一般ユーザもすんなりftpから移行してくれてる。

ただ、tree表示が欲しい時は時々あるな。
scpクライアントでtree表示できるやつある？

21 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/17 01:59

WinSCPは3からSFTP対応らしくてSCPとの違いがまとめてありました。

SFTPとSCPの違い(英語)
http://winscp.vse.cz/eng/protocols.php

22 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/18 05:05

>>20
ssh.com や F-secure の scp クライアントとかって
ツリーではなかったっけ？

23 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/07/18 07:37

>>22
> ssh.com や F-secure の scp クライアントとかって
> ツリーではなかったっけ？

ssh.com のは (scp じゃなく sftp client だけど) たしかに tree 表
示だね。

24 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/18 07:55

一般の人に使ってもらうには、FFFTPみたいな
完全日本語のが対応してくれないときびしい。

ログインにssh使ってくれって言うだけで面倒、わかんないからいいや、とか言うやつらいるし。

25 名前：あぼーん メール：あぼーん 投稿日：あぼーん

あぼーん

26 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/18 10:25

>>24
つまらん!!!!
オマエの言うことは、つまらん・・・・

27 名前：20 メール：sage 投稿日：03/07/18 18:11

>>23
その通り、俺が聞きたいのは、tree表示の *scp* client が
あるかどうか。ssh.com のが tree なのは知ってるよ。

sftp client にあって scp client にないなら、sftp を
使う理由として十分なものがあると思うわけだ。

28 名前：名無しさん@Vim%Chalice 投稿日：03/07/18 21:05

説明

29 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/18 23:34

scp は自分で ls やって解析するってだけで tree 表示もやろうと思えばできるんでわ

30 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/18 23:53

>>29
ふむ。ssh foo.bar ls -lR してツリーを取得してから scp するのか。ただ、相手が
ls 持っているとは限らないのが辛いところ。

31 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/19 01:03

WinSCP は ls でファイルリスト取得してるんじゃなかったけ？
はるか昔にちょっと使っただけからうるおぼえ

32 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/19 02:42

WinSCP は ls してるので、相手が ls 持ってないところでは
使えないばかりか、過去 locale の設定で問題多発。

SSH.COM のは sftp だが、F-Secure のは sftp/scp クライアントだった気が。
インタフェースそっくりだからなんか間違えそうだが。

33 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/19 11:32

Sambaの使っているポート
137:udp　138:udp　139:tcp
をSSHのトンネル使ってインターネット越しに転送してみたいです。

会社で常時起動のUNIXマシン上にSambaサーバーが走っていて
そのHDDを自宅にてネットワークドライブしてマウントしたいわけです。
SSH使ってこんなことを安全に実現する方法って可能ですか？

34 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/19 12:39

>>33
SSHじゃなければならないというわけじゃないのなら、素直にIPSecなどでVPN
張ったほうがいいと思うけど。

35 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/20 09:23

>>32
なにゅう、そうなのか。
でも F-Secure のは有料な気配…
みるとこ間違ってるんかな。

漏れが使うならどっちでもいいっちゅうか scp の方が使い勝手いいが、
やっぱユーザにはそれを押し付けるわけにはいかんわけで。
Windows でも動作する GUI なアプリケーションがほすぃ。

>>24 が言うように FFFTP なみに使えないとやっぱ厳しい。
漏れの言うのはあくまでI/Fの話で、日本語はどうでもいいんだが。

36 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/21 05:36

いくらsshとはいえ、外部からアクセス出来るように
するのは抵抗があります。ドメイン名と同じユーザー
がいて、しかもそれが辞書に載ってるようなパスワード
だったら、やっぱ確実にクラックされますかね。

37 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/21 09:40

>>36
発アドレスを制限するとか。
パスワード認証を禁止するとか。

38 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/21 11:59

>>36
RSA認証って知ってる?

39 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/21 12:57

>>37>>38
パスワード認証禁止すればよかったのか。
RSA認証って鍵を交換するやつ？ちと今から
調べてきまつ。きっと穴だらけの設定になる
からクラックしたい人はどうぞ。

40 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/21 13:07

sshはデフォルトだと穴だらけだからな、
気をつけたほうがいいぞ

41 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/23 17:28

みごとに、クラックされました。ssh
ftp も危ないね。

42 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 18:06

この世にクラック不可能なものなどありません。

HACK THE PLANET.

43 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 18:16

>>41
どういうこと?

44 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 19:00

どうせrootでのloginを許可したまま、rootにqwertyとかパスワードつけてたんだろ。
いや、rootのパスワードなしかもしれん。

45 名前：41 投稿日：03/07/23 19:33

unix ていうより、linuxのはなし。鯖仕込んだのは、私じゃないよ。
　ある鯖は、redhat6の鯖公開後、なんと３０分でftpdの穴から進入された。１年後に呼ばれて、
私がチェックしていて、/devのなかに居候を見つけた。ftpdを最新に更新して置けば防げたはず。
別の２年くらい運営していた鯖でも、私がlogをチェックしている最中に、sshdを盛んに攻撃してるの
に気づいた。急遽、sshdのバージョンアプを準備をしてる１時間に進入されて、logもきれいに掃除され
てしまったな。これも、sshdのバージョンアップを怠ったのが原因。
　他にも、幾つかのredhat鯖で、居候ぎいるのを摘発した。redhatも、さすがに、最近はもう少し
ましになってるとは思うが、デフォルトのざる鯖では、ほとんど確実に進入されてる印象。
　おかげで、ちょっと見ただけでも、居候を発見できるようになったが。

46 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 19:37

>>45
要するに
「穴のあるままバージョンアップせずに放置してたら侵入されますた」
って話?

47 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/23 20:10

とてもよくあるはなしよ。

48 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/23 20:13

>>41
そんなあなたに、OpenBSD-3.3STABLE + cvs

49 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 20:18

いくらプロトコルが安全でも、安全の度合いは実装に依存する。
セキュリティの強さは最も弱い場所によって決まるから。

50 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 20:21

+ cvs か。。。

51 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 20:24

OpenBSDやFreeBSDでは、メモリにタグ付けしてバッファーオーバーランをOSレベルで回避する実装が
始まってるんだっけ？

52 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 21:44

sshの公開鍵暗号を使った認証のとき、パスワードじゃなくてパスフレーズっていいますよね。
10-30文字くらいの、他人に悟られないような文字列がいいといいますけど、
これもやはりランダムな文字列がいいんですか？
8文字くらいならランダムな文字列でも覚えられますけど、
30文字となるとなかなか大変です。

53 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 21:49

毎回打ち込んでいるのですか?

54 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/07/23 22:24

>>52
> 10-30文字くらいの、他人に悟られないような文字列がいいといいますけど、
> これもやはりランダムな文字列がいいんですか？

そりゃその長さのランダム文字列を覚えられるのならそれに越したこ
とはないが、“ワード”じゃなく“フレーズ”を使うだけでもその文
字列が“辞書”に載る可能性は十分低くなるので、ランダム性は特に
気にしてないな。

55 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/23 22:30

漏れはさすがに keychain 使ってるので毎回打ち込んでない。
(昔は ssh-agent 使ってたけど、keychain 知ってからは
ログインの度に打ち込まないといけない ssh-agent は使わなくなった)

まあ何年か使ってると8文字のパスワードの2つ3つ覚えていると
思われるので、それを組み合わせて使うとランダム文字列にもなって
よいと思う。24文字ランダムな文字列があれば簡単には分かんないだろう、
と思って……(毎回入れるわけじゃないのでそんな苦痛でもない)

56 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/25 00:28

>33
tcpの139番と445番をフォワーディングすればいはず。
139と445番があいてるマシン(非windowsマシンとか)があれば楽かも
自宅にwindowsマシンしかない場合は↓とかを参考に。
ttp://hp.vector.co.jp/authors/VA001791/software/putty.html

57 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/26 11:43

SSH使ってVPNを22番のportだけ使って実現することって出来ますか？

58 名前：初期不良 メール：sage 投稿日：03/07/26 12:27

>>57
ppp over ssh

59 名前：57 投稿日：03/07/26 19:20

>>58
そんなものがあったとは、poptopとは違うんですか？

60 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/26 19:27

違います。

61 名前：名無しさん＠お腹いっぱい。 メール：age 投稿日：03/07/26 19:30

ﾗｼﾞｵ板でなんかスレ立て放題だぞ　ﾜﾗﾀ
なぜか規制ゼロ？スレ立て練習で10個ぐらいたてたけどまだ立てられるぞｗｗ
どーなってんだ？
http://tv.2ch.net/am/

62 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/26 21:06

パーミッションが正しく設定されていないと、うまく使えないんですね。
少しはまってしまった。

63 名前：57 投稿日：03/07/26 21:17

>>60
Poptopに比べてメリット・デメリットは何ですか（・∀・）？

64 名前：初期不良 メール：sage 投稿日：03/07/27 11:12

>>63
TCP なので NAT 越えもへっちゃら
TCP over TCP なので重くなったりもする
ってなところじゃないかと。あとはこっちへ

VPN
http://pc.2ch.net/test/read.cgi/network/990103131/

65 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/28 14:16

ssh -Xで、Xの転送をすると、DISPLAY=localhost:10.0となりますが、
人がたくさんいるときはlocalhost:11.0とか12.0とかになります。
DISPLAYの値が変わるのは不都合なので、localhost:15.0とかに固定
したいのですが、方法はありますか?

66 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/28 14:31

>人がたくさんいるときは
そいつらを追い出してください。

67 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/28 16:24

>>65
~/.ssh/environmentに
"X11DisplayOffset 15" を追加。でも早いもの勝ちは変わらないので
"X11DisplayOffset 99" くらいをオススメする。

ただし /etc/ssh/sshd_config に
"PermitUserEnvironment yes" が必要 (defaultはno)

68 名前：65 メール：sage 投稿日：03/07/28 21:37

>>67
environmentに書いてもできませんでした。
sshd_configに書いたらできました。
でもsshd_configに書いたら全員変わってしまうので、意味ないです。

69 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/28 22:02

>>68
ん? おかしいな。"PermitUserEnvironment yes" した後、sshd 再起動してない
とかの落ちじゃないよね?

70 名前：68 メール：sage 投稿日：03/07/28 23:47

>>69
再起動しました。
X11DisplayOffsetは設定されていますが、DISPLAYは変わらないようです。
echo $X11DisplayOffset $DISPLAY
99 localhost:13.0

71 名前：67 メール：sage 投稿日：03/07/29 01:35

あー、~/ssh/environment って環境変数設定できるだけか。

ソース追ってみたけど、display offset は /etc/sshd_config でしか
変更不可能みたい。無理っぽいや。スマソ

72 名前：名無しさん＠お腹いっぱい。 投稿日：03/07/29 16:44

既出ならスマソ。JAVAで使えるSSH
ttp://javassh.org/
ただし、SunのJava WebStarをインストールする必要あり。Javaの意味ねー。

他にもいろいろJAVAアプレットの実装が転がっているけど、どれもイマイチ。
漫画喫茶からでも安心して使えるSSHクライアントをきぼん。

73 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/29 16:49

>>72
そんな所から使うこと自体が間違っている予感。

74 名前：あぼーん メール：あぼーん 投稿日：あぼーん

あぼーん

75 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/07/29 17:06

>>73
確かにキーロガーが仕込まれてるかもわからん端末じゃ SSH も安心じゃないよなー。

76 名前：あぼーん メール：あぼーん 投稿日：あぼーん

あぼーん

77 名前：名無しさん＠お腹いっぱい。 投稿日：03/08/05 21:30

WinSCP2からFreeBSD上で動作しているSSHサーバーへ接続しようとしましたが、
パスワードを再度問われ、そこでもう一度同じPasswordを入れると

Unexpected directory listing line "drwxr-xr-x 8 xxxxxxx xxxxxxx
1024 8 5 19:31 .".Operation aborted

というエラーメッセージが表示され接続ができません。なおxxxxxはユーザー名。
一方同じ端末上でCygwinのSSHを使って遠隔ログインを試みるとこちらは
正常にログインできます。パスワードも同じです。なにがいけないのでしょうか？

78 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/06 01:39

>>77
接続自身はできていると信じて書いてみる。
ドラッグしたらコピーできないか？

ssh で login したときにLANG かなんかがja_JP.系になってるでしょ。
WinSCP は ls の結果をみてファイルのリストを作ってるから、
日付の形式が違うとなんだかわからんのではないかと。
.cshrc から setenv LANG を抜くか、 setenv LC_TIME C しとけばいけるんじゃない？

79 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/06 02:24

なんか昔はできたんだけどいま WinSCP が >>77 に書いたような
症状で使えなくなっている。なぜ？？ 他の人も WinSCP 2.3
試してみてくれない？ (素直に 3 使えってことか)

80 名前：初期不良 メール：sage 投稿日：03/08/06 02:45

>>77
FreeBSD4-Stable の OpenSSH3.6.1p1 に
WinSCP2.3 でぷてぃでエクスポートした dsa 鍵を使って
接続してみたけど問題無いでよ。

81 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/06 09:34

Cygwinをインストールせずに使えるOpenSSHパッケージってどこで公開されてましたっけ？
インストールせずにというか、インストールしてあると使えなかったような気も。
ふらふらリンク追ってるとき見かけたけど、いざ探すとなるとサッパリ見あたらない…

82 名前：77 メール：sage 投稿日：03/08/07 01:59

>>78
FreeBSDなんでLANGはja_JP.EUC_JP(?)に設定してあるとおもいます。
ソフトの動作上この部分は変更したくないのですが・・・・

83 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/07 02:29

>>82
ソフトの動作上っていうか、自分でログインするときにはLANG=ja_JP.eucJPにしていて
これを変更したくないのなら、WinSCPで接続するときだけLANG=Cにしちゃえば？

具体的には~/.loginあたりにこんなのを書いておけばいいと思うよ。
if ($?SSH_CLIENT && ! $?SSH_TTY) setenv LANG C

84 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/07 09:49

>>81
OpenSSH for Windows
http://lexa.mckenna.edu/sshwindows/

85 名前：77 メール：sage 投稿日：03/08/08 00:07

WinSCPのヴァージョンを3.1に上げたら
FreeBSD標準のSSHサーバーに接続できなかった問題が解決されました。

3系列になってからSCPに加えて、SFTP(allow SCP fallback)とSFTPが追加
されていました。従来通りのSCPでは接続出来ませんでしたが、SFTPに変更
したら問題なく接続出来るようになりました。
※それでも途中で再度パスワードを聞かれるという症状がありましたが、
公開鍵をSSHサーバー側に登録したら一発で接続できるようになりました。

SFTPってなんだろう・・・・
allow SCP fallbackって何だろう・・・・

86 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/08 09:32

SFTP = secure FTP
FTP の代替用として開発されたプロトコルだけど、sshd以外にもうひとつ
デーモンが必要（なはず）な上に、いままでWindows用のフリーなクライアントが
なかった（Cygwinは除く）ので使われていなかった。

SCP fallback…SFTPで接続に失敗したら自動的にSCPに切り替えるという意味では。

87 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/08 11:47

>>86
daemonはいらないぞ
sshd_configに
Subsystem sftp /usr/local/libexec/sftp-server
と記述する必要はあるけど。

88 名前：85 メール：sage 投稿日：03/08/08 22:09

>>86-87
ということは、FreeBSDのsshdはSFTPを標準でサポートしているということですね。
逆にSCPはサポートしていないと言うことになるわけですか。

89 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/08 22:12

>>88
はぁ? ちったぁ自分で調べてからモノを言えよ

90 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/08 22:49

>>88
そうです。FreeBSDなんてしょせんガキのおもちゃです。
我社のsshを購入されれば、SFTP,SCPなどが全て標準でサポートされています。
ぜひとも購入を検討してください。

91 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/08 23:44

>>90
SSH社員ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

92 名前：あぼーん メール：あぼーん 投稿日：あぼーん

あぼーん

93 名前：名無しさん＠おなかいっぱい 投稿日：03/08/21 12:20

OpensshOnCygwin 3.6.1.p1のsshdにPuttyでログインしようとすると
パスワードのところでAccessDeniedとなり断られてしまいます。
以前にトラブルが会って再インストールしたら、こんなになってしまいました。
以前とパスワード・ログインのユーザーネームも変わりありません。
authorized_keysへの登録もしています。
イベントログ晒しますので、解決へのアドバイスお願いします。

94 名前：93 投稿日：03/08/21 12:22

2003-08-21 11:53:58Looking up host "hoge.jp"

2003-08-21 11:53:58Connecting to XXX.XXX.XXX.XXX port 22

2003-08-21 11:53:58Server version: SSH-1.99-OpenSSH_3.6.1p1

2003-08-21 11:53:58We claim version: SSH-2.0-PuTTY-Release-0.53b-jp20030210

2003-08-21 11:53:58Using SSH protocol version 2

2003-08-21 11:53:58Doing Diffie-Hellman group exchange

2003-08-21 11:53:58Doing Diffie-Hellman key exchange

2003-08-21 11:53:59Host key fingerprint is:

2003-08-21 11:53:59ssh-rsa 1024 b4:23:1a:e4:1b:5d:7a:05:82:a3:ac:c4:f0:3e:fb:64

2003-08-21 11:53:59Initialised zlib (RFC1950) compression

2003-08-21 11:53:59Initialised zlib (RFC1950) decompression

2003-08-21 11:53:59Initialised triple-DES client->server encryption

2003-08-21 11:53:59Initialised triple-DES server->client encryption

95 名前：93 投稿日：03/08/21 12:23

2003-08-21 11:53:59Reading private key file "C:\Program Files\PuTTY\id_rsa.pub.PPK"

2003-08-21 11:54:00Pageant is running. Requesting keys.

2003-08-21 11:54:00Pageant has 1 SSH2 keys

2003-08-21 11:54:00Trying Pageant key #0

2003-08-21 11:54:00This key matches configured key file

2003-08-21 11:54:00Key refused

2003-08-21 11:54:28Sent password

2003-08-21 11:54:28Access denied

2003-08-21 11:54:28Reading private key file "C:\Program Files\PuTTY\id_rsa.pub.PPK"

2003-08-21 11:54:28Pageant is running. Requesting keys.

2003-08-21 11:54:28Pageant has 1 SSH2 keys

2003-08-21 11:54:28Trying Pageant key #0

96 名前：93 投稿日：03/08/21 12:23

2003-08-21 11:54:28This key matches configured key file

2003-08-21 11:54:28Key refused

2003-08-21 11:54:31Sent password

2003-08-21 11:54:31Access denied

2003-08-21 11:54:31Reading private key file "C:\Program Files\PuTTY\id_rsa.pub.PPK"

2003-08-21 11:54:31Pageant is running. Requesting keys.

2003-08-21 11:54:31Pageant has 1 SSH2 keys

2003-08-21 11:54:31Trying Pageant key #0

2003-08-21 11:54:31This key matches configured key file

2003-08-21 11:54:32Received disconnect message (SSH_DISCONNECT_PROTOCOL_ERROR)

2003-08-21 11:54:32Disconnection message text: Too many authentication failures for torazo

2003-08-21 11:54:32Server sent disconnect message
type 2 (SSH_DISCONNECT_PROTOCOL_ERROR):
"Too many authentication failures for torazo"

97 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/21 18:49

>>93
よく分からんな…「再インストールした」のはどっち？クライアント側（PuTTY）
ですか、それともサーバ側（「OpensshOnCygwin 3.6.1.p1のsshd」）ですか？

あと、サーバ側の設定ファイル sshd_config ではきちんとパスワード認証を許可
するようになってますか？

98 名前：93 メール：sage 投稿日：03/08/21 19:47

>>97
レスありがとうございます。説明がガサかったですね。
再インストールしたのはサーバー側です。
OpensshOnCygwin3.6.1P1を再インストールして
再度Puttyで作った鍵をauthorized_keysに登録しました。
また、sshd_configはPasswordAuthentication yesになってます。
どうかお力を貸してください。宜しくお願いします。

99 名前：93 メール：sage 投稿日：03/08/21 19:51

>98
×　再度Puttyで作った鍵
○　以前から使っていたPuttyの鍵
すんません。93ですが、間違えました。

100 名前：９７ メール：sage 投稿日：03/08/21 22:31

>>98-99
なるほど、再インストールしたのはサーバ側、と。

で、「以前から使っていたPuttyの鍵」の公開鍵をサーバ側の ~/.ssh/authorized_keys
に登録した、とのことだが、それはしなくてもいいだろ？公開鍵認証ではなく
パスワード認証でログインするんだったらさ。

また、sshdのプロセスにHUPシグナルを送って設定ファイル sshd_config をもう
一度読み込ませてからtryしてみて下さい。

101 名前：93 メール：sage 投稿日：03/08/22 00:48

>97==100
アドバイスありがとうございます。
HUPシグナルを送るってのは、sshdを再起動するって事ですよね？
CygwinでのHUPシグナルの送り方がわからないので、調べてやってみます。
#　ちいと今から4泊5日ぐらいの出張なので、
#　戻ってからご報告させていただきます。
#　ご助言いただいておいてスミマセン。

102 名前：９７ メール：sage 投稿日：03/08/22 01:16

>>101（=>>93）
> CygwinでのHUPシグナルの送り方がわからないので、調べてやってみます。
HUPシグナルを送ることに固執しなくてもいいですよ。よく分からないなら、sshdを
一度終了し、また起動すればいいです。

要するに、sshd_configに記述されている通りにsshdが「本当に」動作してんのか？
…ということです。

あと、>>94-96のログはPuTTY（クライアント側）が出力したものでしょうか？（俺
はPuTTYは使ってないんでね…ｽﾏｿ）もしそうなら、サーバ側
（「OpensshOnCygwin3.6.1P1」）の出力も見せて下さい。

103 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/22 10:25

AstecXのマルチウィンドウモードでsshを使ってSolaris2.6のマシンにログインし、
ktermを起動させようとすると、

＞term: Undefined variable
＞Warning: AXSecSH: exit: 1
＞This program is an suid-root program or is being run by the root user.
＞The full text of the error or warning message cannot be safely formatted
＞in this environment. You may get a more descriptive message by running the
＞program as a non-root user or by removing the suid bit on the executable.
＞/usr/local/X11R6.4/bin/kterm Xt error: Can't open display: %s

と表示され、ktermが立ち上がりません。
ちなみに、xtermやdttermでも Can't open display と出てきてやっぱし上がりません。

ktermに特別なオプションが必要なのでしょうか？
それとも、sshのconfigureするときにオプションを間違えたのか・・・。

どなたか解決法を！

104 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/26 05:53

放置される>>103萌へ

105 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/28 22:13

>>104
そりゃエラーメッセージすら読めないようなヤシは放置されてしかるべきでしょ

106 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/29 22:08

authorized_keys だけじゃなくて .ssh ディレクトリ自体もパーミッションが適切じゃないと
RSA認証とかしてくれないのね。しばらく悩んだ。

107 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/30 00:49

>>106
そりゃ ~/.ssh/ が他のユーザ（グループ内の他のユーザも含む）に書き込み権限
があったら authorized_keys を書き換えることができるからでしょ。直接編集
できなくても、削除→コピーで可能なわけだし。

ってゆーか、umask 0な状態にでもしてたのかぃ？

>>103
「term: Undefined variable」は知らんが（"TERM"なら検討がつくけど）、
　　・サーバ側マシン（Solaris2.6のマシン）のsshdは X転送を許可する ように
　　　設定されてるか？
　　・"X authority"の設定はきちんと行っていますか？（→xauth(1)）
あたりか。なお、環境変数DISPLAYは気にしなくてよい…X転送が許可されていれば、
ログイン時にすでに適切に設定されてるからな。（というか、環境変数DISPLAYは
変更してはならない）。

>>105
単に人がいないだけでそ

108 名前：106 メール：sage 投稿日：03/08/30 00:57

>>107
Debianなんでデフォルトだとgroupにもwが付くんです（１人１グループだから）

109 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/30 06:12

>>108
んなこたーない。

110 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/30 09:05

>>108-109
redhatもuid=gidだとumask 002になる。

111 名前： 投稿日：03/08/30 10:20

OpenSSH 3.6.1p2 でホスト鍵による認証をしています。
OS は Debian GNU/Linux です。

リモートの $HOME/.shosts にローカルのホストを書くと認証されるんですが、
リモートの /etc/hosts.equiv にローカルのホストを書くと認証されません。
リモートの /etc/ssh/shosts.equiv に書いても認証されません。

ユーザーごとの $HOME/.{r|s}hosts の有効･無効を切り替えるオプションは
/etc/ssh/sshd_config の IgnoreRhosts {yes|no} だと思うのですが、
システムワイドな /etc/hosts.equiv , /etc/ssh/shosts.equiv の
有効・無効を切り替える何かがあるのでしょうか？

なお、 sshd -d -d -d でデバッグモードにして詳細をはかせてみても、
そのあたりの情報は出力されませんでした。

112 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/08/30 11:25

>>111
(1) SSHプロトコルのバージョンはどちらでしょう？1.5ですか、それとも2.0ですか？
(2) 認証方法名は RhostsRSA認証(SSH1) または Hostbased認証(SSH2) ですね？
（用語が定められているんだからきちんと使ってyo...）
(3) SSHプロトコルのバージョンによって設定オプション名が異なるのですが、大丈夫
ですか？バージョン1.5の場合はRhostsRSAAuthenticationで、バージョン2.0
の場合はHostbasedAuthenticationだったはず。
http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
(4) そのOpenSSHはＯＳ（Debian GNU/Linux）付属のもですか、それとも自分でコ
ンパイルしてインストールしたものですか？(s)hosts.equivのパスは本当にそれ
で正しいのか、ということです。/usr/local/etc/かもしれないし。

> ユーザーごとの $HOME/.{r|s}hosts の有効･無効を切り替えるオプションは
> /etc/ssh/sshd_config の IgnoreRhosts {yes|no} だと思うのですが、
そうです。

> システムワイドな /etc/hosts.equiv , /etc/ssh/shosts.equiv の
> 有効・無効を切り替える何かがあるのでしょうか？
ないと思う。少なくとも、IgnoreRhostsで切り替えることは「できない」のは
間違いないでしょう（マニュアルに明記されてある）。

> なお、 sshd -d -d -d でデバッグモードにして詳細をはかせてみても、
> そのあたりの情報は出力されませんでした。
念のため貼った方がよろしいかと。

113 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/09/01 13:05

>>111
> リモートの $HOME/.shosts にローカルのホストを書くと認証されるんですが、
> リモートの /etc/hosts.equiv にローカルのホストを書くと認証されません。

この症状からすると、

http://www.koka-in.org/%7Eharuyama/ssh_koka-in_org/100/105.html
http://www.koka-in.org/%7Eharuyama/ssh_koka-in_org/100/106.html

辺りの問題かな？

114 名前： 投稿日：03/09/02 16:57

>>113 どうもビンゴのようです。ありがとうございました。

「man page には明に記載されてはなさそうですが、auth-rhosts.c 辺
　りを読むと /etc/s?hosts.equiv を参照するのは uid !=0 の時だけ
　となってるようです。」

とのことです。素直に ~root/.ssh/authorized_keys を使うことにします。

115 名前： 投稿日：03/09/02 16:57

完全にローカルに隔離されたクラスタのノード間での SSH だったんで、
root でいいや、ってやってました。

116 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/03 06:37

すげー些事だけど、WinSCPのサイトの英語って。。

>Version 2.0 beta (#110) December 21th 2002

twenty-oneth？

117 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/03 07:06

まあチェコの人だから大目に見ようよ。
日本発のソフトと比べると、英語サイトを書くだけでも偉い。

118 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/03 09:52

>>116
その辺はスクリプトで自動生成してるんじゃないの?
んで、面倒なんで st nd は手抜いてやってないとか。

119 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/07 15:23

いや、別のところではrdとかあるよ。ロジックに穴があるんでしょ

120 名前：93 メール：sage 投稿日：03/09/08 22:31

>97
メチャメチャ亀レスになってしまい申し訳ありません。
会社にだまされて、長期出張になってしまいました。
最悪何ヶ月かは山の中で過ごすかもしれません。
そんな中、sshdを再起動してみましたが、症状は変わりませんでした。
また、おっしゃるとおり晒したログはPuttyのものです。
sshd側のログは記録するようになってませんでしたので、
再度設定しなおして、晒すことにします。
とりあえずダム工事が私を待っているので、
帰るか逃げて来るかしたら、ご報告させていただきます。
あぁ〜、タワークレーン解体なんて、もうやりたくない。
山にそのまま捨ててしまえばいいのに。
スレ違い＆亀レスごめんなさい。

121 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/14 06:04

ゲバラってどうよ？
いままで、TeraTerm -> Cygwin(SSH2) -> サーバ　ってつなぎ方してて重くて、
WinなSSH2クライアント探してたらたまたま見つけた。
http://www.routrek.co.jp/product/guevara.html

122 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/14 11:13

Terminal Font が使えないのか…。

123 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/14 19:12

>>121
PuTTY スレでずいぶん前に見かけたな。
.NET だか何だかを使ってるので、すんげー重いって話だった。
俺は使った事ないからわからんけど。

124 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/14 19:37

>>123
ちょっと前にｲﾝｽｺしたんだけど、確かに重い。

Teraterm+TeratermMenuのほうが(・∀・)ｲｲ!。
ついでにTeratermWindowChangerがあるのも(・∀・)ｲｲ!。

125 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/14 20:52

タブってのはいいな。

126 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/16 22:29

3.7ｷﾀ━(ﾟ∀ﾟ)━( ﾟ∀)━( 　ﾟ)━(　　)━(ﾟ 　)━(∀ﾟ )━(ﾟ∀ﾟ)━!!!!

127 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/17 01:51

All versions of OpenSSH's sshd prior to 3.7 contain a buffer management error.
http://www.openssh.com/txt/buffer.adv

128 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/17 08:34

CERT Advisory CA-2003-24 Buffer Management Vulnerability in OpenSSH
http://www.cert.org/advisories/CA-2003-24.html

(´･ω･`) ｼｮﾎﾞｰﾝ

129 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/17 09:39

もう 3.7.1 が出てるよ...

130 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/17 13:17

3.7.1 でセキュリティの問題は安定？

いんすとーら ML のこがよういちろうさんの記事によると、なんか 3.7 系から、
sshd_config の設定項目がいくつか変更 (廃止・新規) があったみたいね。

131 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/17 21:35

>>129
すげー、ホントだ……

# >>128のAdvisoryは>>127のbuffer.advの話だよね

>>130
意味分からんぞ (ﾟДﾟ)ｺﾞﾙｧ ……と書こうと思ったら、これ(↓)のことか
　　20030917
　　 - (djm) OpenBSD Sync
　　 - markus@cvs.openbsd.org 2003/09/16 21:02:40
　　 [buffer.c channels.c version.h]
　　 more malloc/fatal fixes; ok millert/deraadt; ghudson at MIT.EDU
　　 - (djm) Crank RPM spec versions
　　 - (djm) Release 3.7.1p1
# from openssh-3.7.1p1/ChangeLog

132 名前：131 メール：sage 投稿日：03/09/17 22:25

>>128
>>130
buffer.advが改訂されたのね…

>>130
> いんすとーら ML のこがよういちろうさんの記事によると、なんか 3.7 系から、
> sshd_config の設定項目がいくつか変更 (廃止・新規) があったみたいね。
ちょっとChangeLog見てみたYO
　　追加
　　　UsePAM（？）
　　　ConnectTimeOut（ssh）
　　　AddressFamily（ssh）
　　　UseDNS（sshd？）
　　削除
　　　VerifyReverseMapping（sshd）
　　　AFSTokenPassing（sshd）　←20030802？
　　　RhostsAuthentication（ssh, sshd）
あたりか…

氏が いんすとーら ML ですでに書いておられるならｽﾏｿ
# 読んでないから分からん…

133 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/18 02:20

RhostsAuthenticationは意外と使っている人が多かった模様。
なんのためにsshつかっているんだか小一時間問いつめたくなったけど、こんな
もんなのかなぁ。

134 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/18 18:32

質問なんですが…
OpenSSHでバグがあるというので 3.7.1p1-4 に
アップデートをしたんですが、TTSSH や PuTTY などの
Windows クライアントから接続できなくなりました。
どうやらパスワード認証がダメのようです（何度も入力して、
最後は回数制限でディスコネクト）。
同じユーザ／パスワードで、他のサーバ経由で ssh すると
ログインできるんですが。
sshd_config で、Protocol を 1 にしても同様でした。
サーバ類は、すべて TurboLinux 7 Server です。

135 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/18 18:49

>>134
sshd_configがどうなっているのか、ssh -v するとどうなるのかぐらい
書ける知能を持てるようがんばりましょう

136 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/18 19:45

>>134
あと、ログ見れ。

137 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/18 21:39

>>121
.NETアプリなので一発目の起動がかなり遅い & メモリ食うけど、
一度起動してしまえば結構普通に使えるね。タブの切り替えも
モタついたりしないし、ゲバラ起動中は認証情報を使い回すよう
にしとくと、別ウィンドウ起こしたくなったらALT+Rでさくっとタブが
開くのは便利だ。

ただ、今は自宅のP4-2.4GHz/1GB memoryなマシンだから職場
のP3-600MHz/128MB(悲)のマシンではどうかなぁ…
最新の1.4で描画周りをWin32 API直叩きに変えて描画速度は
かなり上がったとの事だけど、微妙に遅いような気もしないでは
ないし。明日試してみよ。

エスケープシーケンスの解釈はまだ色々変みたいだね。

138 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 01:34

>>137
マ板に作者来てるから要望出すがよろし

139 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/19 02:03

ちょっとすれ違いな質問お許しください。

openssh3 を使用しています。ssh でリモートホストにログインして
なんらかの作業を行うということをシェルスクリプト内で行いたいのですが
標準入力からパスワードを与えてもそれを読み取ってくれません。
エージェントを使うにしても最初に一度はパスフレーズを手動で与えねばなりません。ところが
実はPCスタートと同時に行いたいので、最初から最後まで無人でできる必要があります。
perl で ssh モジュールというのも考えましたが、port forwarding 機能も使いたくてこれもだめです。
なにか良い知恵などございませんでしょうか。

140 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/19 02:05

もうすこし具体的に書くと、

#!/bin/tcsh
ssh <<EOF
パスワード
コマンド
コマンド
exit
EOF

みたいなことがしたいわけです。無理なのかな。

141 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 02:08

>>140
expect でできるかも

142 名前：139 投稿日：03/09/19 02:11

>>141

すさまじくすばやいレスありがとうございます。
でも、、expect ってなんですか？

143 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 02:12

>>142
man expect

144 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 02:21

>>139
単にパスフレーズを空文字列にしておけば良い。
秘密鍵ファイルのパーミッションに注意していれば、
これでも十分安全だ。

こちらも参考に↓
http://www.jp.freebsd.org/QandA/HTML/2255.html

145 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 02:25

ついさっき linux-users ML でも話題になったな。
ttp://search.luky.org/linux-users.a/msg00706.html

146 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 06:29

>>137
GNU screen使いのヲレにとってはエスケープシーケンスの解釈が甘いのは致命的
なんで、ちと手が出せんなぁ…。

147 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 10:47

>>134
135,136は3.7.1p1をインストールすらしてないと思われ。

sshd_configをどう書こうが、password認証がPAM経由で
行われなくなった模様。--with-md5-passwordsをつけて
rebuildするしかない予感。
v2プロトコルだと、password認証が失敗した後、keyboard-
interactive(ChallengeResponse認証)でPAMが使われ、
始めてログインできる。
(この認証フェーズって良いわけ?これで)

TTSSHはv1プロトコルしか対応してないからあぼーん。
PuTTYはv2モードでkeyboard-interactiveが有効になって
いればログインできるかと。

148 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 13:09

> 147
TTSSHでも、ログオン時に「TISを使う」を選択すればPAM経由でログオンできません？

149 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/19 15:19

>>147
3.7.1p1にしてからWinSCP3.1でパスワードを保存している
にもかかわらず再度聞かれるのはそれが関係しているん
ですかね。

再度聞かれてくるパスワードを人為的に間違えると確かに
keyboard-interactiveで認証が通る。

パスワードを再度聞かれないようにしたいんですが、
これはOpenSSH側かWinSCP側かどっちの問題なんでしょうか？

150 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/19 15:20

すみません。
アゲちまいました…

151 名前：139 投稿日：03/09/19 17:19

>>143-145
どうもありがとう。大変参考になりました。

152 名前：147 メール：sage 投稿日：03/09/19 17:32

>>148
確かにできるようですねん
でも、ChallengeResopnseフェーズでPAM(実質password認証)ってなんか変

>>149
もろ関係していると思われ
password認証時には--with-md5-passwords付で作られているか、
shadowパスワードを使用しないシステムでない限りなにを入れても
認証されない模様

こうなると個人的には
ChallengeResponse認証を禁止して、--with-md5-passwords
付きでinstallしる
とか思ってしまう

CallengeResponseシステムって本来使い捨てパスワードを実現する為に
あったと思ったんだけど、違うんだろうか・・・

153 名前：149 メール：sage 投稿日：03/09/19 19:15

>>152
レスありがとうございます。
--with-md5-passwords付きで入れ直しました。
とりあえず、これで問題は解決しました。

どうもありがとうございました。

154 名前：134 投稿日：03/09/19 23:28

>>147-148

レスありがとうございます。
たしかに、TTSSH だと TIS 使用で、
PuTTY ならプロトコル ver.2 でログインできました。
ただ、他のメンバーも使うのでオプションつけて
リビルドすることも考えます。

155 名前：134 メール：sage 投稿日：03/09/19 23:39

>>154
自己レス読んでみたが、あきらかに SSH が
ちゃんと分かっていない。
勉強しないと > 自分

156 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/20 00:07

>>152
> でも、ChallengeResopnseフェーズでPAM(実質password認証)ってなんか変
> ...
> CallengeResponseシステムって本来使い捨てパスワードを実現する為に
> あったと思ったんだけど、違うんだろうか・・・

そうか?
pamってのは普通のpassword認証だけでなく、One-time password認証や
Kerberos認証とかまでも包括した認証機構なんだから、
ChallengeResopnse認証じゃないとその機能を発揮できないでしょ。

むしろ俺には、password認証時にもpamが使われてしまう
今までの挙動の方が不自然に思える。

157 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/20 01:08

>>156

なんか矛盾しているような。
PAMがpassword認証を含まないのならともかく、含むわけだから
password認証時にもPAMが動いて欲しいんでは？
実際それで問題が出てるわけだし。

むしろ話を逆にして、認証方法の設定をsshdが丸抱えしている今のやり
方をやめて、pamの枠組の中で全ての認証方法を選択できるようにする
のって無理なのかしらん？

158 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/20 03:54

>>157
> pamの枠組の中で全ての認証方法を選択できるようにする
それは telnet over TSL とどこが違うのかと

ssh においては password 認証はオマケでそ

159 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/22 12:18

>>158
>ssh においては password 認証はオマケでそ

そうか？
sshってそもそもtelnetの置換えだったと思ったが
いや、それ以前に、本家のsshとopensshで動作が違うと
いうのは良いのか？

160 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/22 12:27

rsh の置換でしょ。

161 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/23 10:32

"Memory bugs" in OpenSSH 3.7.1 and earlier, with unknown impact,
a different set of vulnerabilities than CAN-2003-0693 and CAN-2003-0695.

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0682

162 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/23 16:51

ﾁﾝ　　☆　　ﾁﾝ　　　　　　　☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　　　　ﾁﾝﾁﾝ　　　　　　　　　　　ﾁﾝﾁﾝ　　　　　♪　　　　　　　　　
　　　　　　　　　　　♪　　　☆ ﾁﾁﾝ　　　　　　　　　　　　
　　　　♪　　　　　　　　　　　　　　　 .☆　 　ｼﾞｬｰﾝ！　　
　　　 　 　 ☆　ﾁﾝ　　〃　 ∧＿∧ 　 ＿＿__ 　　　　　
　 　 　 　 　　ヽ　＿＿_＼（・∀・　）／＼＿／　　　　3.7.2p1まだー？
　　 　 　 　ﾁﾝ　 ＼＿／⊂　　 　 つ　　 ‖　　　　　　　　　
　　 　 　 　 　 ／￣￣￣￣￣￣￣／|　 ‖
　　　　　　　　| ￣ ￣￣￣￣￣￣:|　:| ／|＼
　　　　　　　　|　 　　　　　　　　　　|／

163 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/23 21:59

3.7.1p2　あげ！

>>162
出るかどうか分からんな

164 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/24 01:05

認証と関係あるかわかりませんが、ＯＳのバージョンが変わったら
SSH 経由のセッションが who や w で表示されなくなりました。
具体的には AIX4.3.3 ではうまくいってたのが AIX5.2.0 にしたら
うまくいかなくなったので困っています。
ようは wtmp がアップデートされなくなった感じ。
SSH 自体の設定になにかその辺いぢれるとこがあるのでしょうか。
sshd は自分でコンパイルした訳でなくバイナリをどこかから
落としてきたのを使ってるのですが、SSH のそのあたりの実装は
ＯＳに強く依存してるということでしょうか。

165 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/24 02:42

>>164
wtmpのパーミションとかは大丈夫か？
# ま、念のため。。。

もともと存在しないのなら touch wtmp で０バイトのファイルとして作成する、
とか。
# うーむ。。。(^^;;

これでダメなら、独自にコンパイルして入れるしかないかも。。。

一応、それ系のconfigureスクリプトのオプションとして--disable-wtmp(x)というの
があるけど、まぁ自動判定されるから必要ないかな。

166 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/24 03:09

UsePrivilegeSeparationあたりは？
wtmp書くときにログインしたユーザの権限になっちゃってるとか。

Linuxでpam_mkhomedirがその状態だったもんで。

167 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/24 09:12

ふ〜は……
バージョンアップ作業疲れた…

もうﾈﾙﾎﾟ...　＝□○＿

168 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/24 10:23

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=106432248411636&w=2
って >>161 とはまた別?

169 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/24 12:20

>>168
>>161はバッファ管理の話、>>168のURLに書かれているのはPAMの話。よって別物。
春山さんの「OpenSSH情報」にも記載されているので見るとよろしいかと。

170 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/24 13:44

OpenSSH本家のAdvisoryを見ると
パスワード認証ごときでわざわざPAMつかうなって言っているようにも見えるな

171 名前：134 メール：sage 投稿日：03/09/24 14:09

TTSSH でログインできない件でお騒がせした者です。
Turbo Linux からは、アップデートのアナウンスが出ていました。

http://www.turbolinux.co.jp/update/update_history/2003/TLBA-2003-5j.txt

172 名前：164 メール：sage 投稿日：03/09/25 04:49

ともあれ、ベンダーの提供？している SSH を使ったところ問題は解決しました。

http://oss.software.ibm.com/developerworks/projects/opensshi/

173 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/25 20:20

sshd_config で PasswordAuthentication yes と設定されているサーバに対して
特定のアカウントのみ PasswordAuthentication no として扱うことはできるのでしょうか．
(指定したアカウントは RSA 認証でしかログインできないよう設定したい)

試しに ~/.ssh/config に PasswordAuthentication no を記述してみましたが，
ダメでした (そりゃそーですが)．

174 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/25 22:53

それこそ PAM を使うと柔軟に対処出来るのだが。

175 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/26 02:21

WINSCPっていつのまにかバージョン３になって様変わりしてたんだ。しらなんだ・・・

176 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/26 23:08

正直、update面倒。
誰か、やっといて。

177 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/27 07:21

Windows の話ですが、すいません。
Windows 用の scp/sftp クライアントで、日本語ファイル名がまともに使えるものはありますか?
クライアント側は SJIS 、サーバ側は日本語 EUC を使っています。

常用している FileZilla はパスワード認証しかできないようで、
WinSCP3.3 ではサーバの日本語 EUC ファイル名が化けるのです。

178 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/29 09:28

OpenSSHセキュリティ管理ガイド ってもう絶版になってしまったんですか？

179 名前：春山征吾 ◆unIxUSernc メール：sage 投稿日：03/09/29 19:10

ちょっと前の時点で 「在庫僅少」 とのことです。

まあもう読まないほうがいいかも。古いし間違い多いし。

180 名前：178 メール：sage 投稿日：03/09/29 20:28

返答ありがとうございます。

ぜひ「第２版」を (-人-)
売り文句は
　　・3.7.1対応
　　・Privilege Separation 対応
とか (ｳﾋ

181 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/09/30 22:14

OpenSSL に穴が見つかったから、また入れ換えないといけないのか・・・

182 名前：名無しさん＠お腹いっぱい。 投稿日：03/09/30 23:51

freebsdをXサーバとし，
WindowsでAstec-Xを走らせて，クライアントの起動を試みているのですが，
rexec: Executing '/usr/X11R6/bin/kterm -display ipaddress:0.0' on server ...
/usr/X11R6/bin/kterm Xt error: Can't open display: ipaddress:0.0
というエラーが出，どうしても，クライアントの起動がうまく出来ません．
また，FreeBSD側では，

server rexecd : setsid failed: Operation not permitted
というエラーがでています．
この部分がかなり怪しいとは思うのですが，自分では解決できません．
Googleしても分かりませんでした．
sshd_configでは，X11Forwardをyesにしてますし，Astec-Xの設定も
rexecdを使用する方法にのっとてやっています．
/etc/inetd.confにおいても，rexecdを使用するように設定しました．
どうしても分からないので，教えてください．

183 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/01 00:30

ipaddressってとこにちゃんとIPを入れないと駄目だと思う.

184 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/01 01:51

opensshってなんかセキュリティホールわんさかだから、
俺はtelnet-ssl使ってるよ　なんて人いますか

185 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/01 03:49

>>181
スタティックリンクしているのかな？

186 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/01 07:28

>>183
もちろんいれてます

187 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/01 07:29

>>183
すれ違いな気がするのでFreeBSDすれでききます．

188 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/01 20:03

portable/openssh-3.7.1p2*が2002年なのはなぜだw

189 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/01 21:29

>>188
なんのはなし？

190 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/01 22:44

>>184
openssl もセキュリティーホールわんさかあるだろ

191 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/02 01:25

>>185
あ、そうか。入れ換える必要はないや。

ところで、 OpenSSL の入れ換えは必要ということでいいんですよね？

192 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/02 01:36

なんで OpenSSH はこんなに穴が多いんですか。
theo の魔力はこの程度なんですか。

193 名前：184 メール：sage 投稿日：03/10/02 01:57

>>190
そうだった。>>181を読み流してしまっていた。opensslもわんさかかぁ。
ｼｮﾎﾞｰﾝ

194 名前：初期不良 メール：sage 投稿日：03/10/02 03:41

3.7.1p2 を入れたら
sshd[1983]: User hage not allowed because account is locked
とか言われるようになっちゃたぞ
パスワード無しのロック状態で ssh 以外で入れないと言うのが
ウマーだったのに...

195 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/09 12:26

Win2000にOpenSSL+OpenSSHいれて、Portforwarder使って
アクセスすると"permission denied"の表示。
グルーピング設定が必要ということで、

1)mkgroup -l >> ..\etc\group
2)mkgroup -d >> ..\etc\group

をやったんだけど、2入力後「Cannot get PDC, code=2453」の表示。
スタンドアロンのみ環境じゃアカンのかい…。

196 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/09 12:44

>>179
改訂版の予定とかは…。
ないとすれば現時点では書籍ではどれがいいんでしょう？

197 名前：春山征吾 ◆unIxUSernc メール：sage 投稿日：03/10/09 19:57

> 改訂版の予定とかは…。

出版社さん次第ですね。

198 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/09 22:23

>>194
漏れも
仕方がないので --without-shadow をつけて configure から
やり直しましたとさ。
もう馬鹿かと。

199 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/12 18:26

179じゃないけど
今一冊本を買うとしたら何だろか

OpenSSH セキュリティ管理ガイドは
もうどこにも売ってないです(ﾉД`､)

200 名前：199 メール：sage 投稿日：03/10/12 18:27

>>199

> 179じゃないけど
196じゃないけどの間違いです。

201 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/12 22:54

>>195
>スタンドアロンのみ環境
なのにPDCの情報取ろうとしたらエラーになるのは当たり前だが？

202 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/13 01:57

>>199
やはりカタツムリ本 (http://www.snailbook.com/) か…
こっちのほうが少しだが古いし、いまさら和訳しただけでは
売れそうにないし…
最新情報を盛り込んだ分かりやすい本の需要は
ますます高まっていると思うけど。

203 名前：Linux初心者 投稿日：03/10/15 01:11

よろしくお願いします。
Winscpについて質問します。

LinuxでSSHサーバを立てているのですが
Winscpで接続すると、カレントディレクトリーより上に
移動できてしまいます。

サーバ側の設定でこの現象を出来なくする方法はありますか？
知っている方がいれば教えてください。
お願いします。

204 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/15 01:18

>>203
http://pc.2ch.net/test/read.cgi/unix/1065232073/324

205 名前：マルチポスト氏ね メール：sage 投稿日：03/10/15 02:47

[vine-users:062619] Winscp について

> よろしくお願いします。
> Winscpについて質問します。
>
> VineでSSHサーバを立てているのですが
> Winscpで接続すると、カレントディレクトリーより上に
> 移動できてしまいます。
>
> サーバ側の設定でこの現象を出来なくする方法はありますか？
> 知っている方がいれば教えてください。
> お願いします。

206 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/16 01:28

>>182
超ー遅レスで無意味かも知れんが、

sshのX-Forwardingわかってますか？

FreeBSDマシンのkterm
<=> INET localhost:10.0 (10は設定による)
<=> sshサーバ
<=> sshクライアント
<=> AstecのXのsocket (Windoze上のことはよくわからん)

rexecを持ち出している時点で既にスレちがいなんよ。
Astecがどういうものかよく知らんが、とにかくWindoze上で
動くsshクライアントTTSSHやPuTTYなどが必要。
そして各々にあるX Forwarding設定を有効にすれば、いとも
簡単にできるはずだがな。

207 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/16 10:24

ASTEC-X 自身が SSH を喋ります。

208 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/16 13:44

WinSCPのことで質問させてください。
ローカルからリモートへは設定により改行コードがLFに自動変換されますが
リモートからローカルの場合、親切なのか良くわかりませんがCRLFと変換されてしまいます。

ローカルで編集して再度転送する際にはLFになるので
深く気にするのが大人気ないことでしょうか？

WinSCP : 3.3.0 build 177

209 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/16 16:14

environmentの設定は両方向になってるんじゃないの？
普通のftpと同じで、アスキーかバイナリかの選択だと思うけど。
つまり、テキスト以外のデータのやり取りをするときのことを考えれば、LFのままにしておいた方がいいんじゃないか？

210 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/16 23:41

sftpにﾊﾟﾁ当ててFileZillaから日本語ファイル名（・∀・）ｲｲ
ttp://www.hakusan.tsg.ne.jp/tjkawa/software/misc/sftp-sjis/index.html

211 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/16 23:52

日本語の拡張を施すなら、クライアント側のほうがいいと思うが。
たたでさえ、OpenSSHはバージョンアップが激しいしな。

212 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/17 00:09

>>207
なぁんだ、じゃ質問してるやつは釣師か（ｗ

213 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/17 23:01

djbsssh, a secure replacement for ssh
http://slashdot.jp/article.pl?sid=03/10/17/0825250&topic=1&mode=nested

これって

qmail.orgのネタだよなあ

214 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/17 23:12

ｷﾀ━(ﾟ∀ﾟ)━( ﾟ∀)━( 　ﾟ)━(　　)━(ﾟ 　)━(∀ﾟ )━(ﾟ∀ﾟ)━!!!!

215 名前：名無しさん＠おなかいっぱい 投稿日：03/10/21 20:05

>197 春山さん
是非是非改訂版お願いします。初版ゲットできませんでした。
オライリーみたいなげぇじんが書いた奴じゃなくて、
きちっと日本人が書いた日本人のためのssh本と言うことで
春山さんお願いします。出版社は変わっても何してもいいです。
どうかよろしくです。発売待ってま〜す。

216 名前：199 投稿日：03/10/25 00:39

結局大学の図書館で
OpenSSHセキュリティ管理ガイドを借りて読みました。
ssh2についての記述が少ないということ以外は
読みやすくてとってもいい本ですね

217 名前：名無しさん＠お腹いっぱい。 投稿日：03/10/31 14:19

最近やっと分った。ソース嫁っていう人の言うことが。
書籍やドキュメントよりもなによりも信用できるのはソースしかないんだってことが。
2次情報は所詮一次情報(ソース)を理解する助けにしかならないってこと。
で、BSDはLinuxの多くの配布系と違って/usr/srcに今使っているソースが
そろっていることの意味が分った！！！ありがとうBSD！ありがとうBSD！！！

218 名前：hage メール：sage 投稿日：03/10/31 17:32

>>217
まっ、その分manがおろそかでも・・（ぉ

219 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/31 17:40

>>218
どのmanですか?

220 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/31 17:41

>>217
ここに書くことじゃないけどな。

221 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/10/31 20:26

man co

222 名前：名無しさん＠お腹いっぱい。 投稿日：03/11/04 03:14

SSH のように、ある秘密鍵を持っている人のアクセスを許可するような認証を
HTTP で行うためにはどうすればいいのでしょうか？

まぁ普通に sshd を立ち上げて、
Webサーバ側では localhostからだけ受け付けるようにしておいて、
トンネリングでアクセスさせるという方法もありなのかもしれませんが、
スマートでは無いように思います。

223 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/04 03:30

SSLでクライアント側も認証させるとか？
っつーかスレ違い。

224 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/04 05:13

>>222
Apache 限定でよければ Apache スレあたりで。

225 名前：行ってきます 投稿日：03/11/04 05:37

>>223 SSLですか…だったらスレ違いですね、行ってきます。
>>224 Apache限定だとそういうことができるんですか？、行ってきます。

226 名前：名無しさん＠お腹いっぱい。 投稿日：03/11/05 00:19

expectとcronを使って、自動に接続をしたいんですけど、
以下のようなシェルをcronで走らせて、
接続を維持するにはどうしたらいいですかねえ
#!/usr/bin/expect
spawn /us/bin/ssh hostname
expect "Password:"
send "pass\r"
interact

227 名前：名無しさん＠お腹いっぱい。 投稿日：03/11/05 10:53

>>226expect なんぞ使わなくてもよいように公開鍵認証にする

228 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/05 12:18

>>226
http://www.jp.freebsd.org/QandA/HTML/2255.html

229 名前：名無しさん＠お腹いっぱい。 投稿日：03/11/18 21:29

自宅鯖にSSH Forwardingでメールの送受信したいのに、
iptablesで110と25に穴を開けない送受信できないのはなぜ？
22を開けるだけじゃダメなの？
Etherealでパケットキャプチャしてみたが、どーみても22番しか使ってない。
どこか設定が悪いのかな？
教えてSSHのエライ人！

鯖はDebian GNU/Linux 3.0r1、OpenSSH 3.4p1-1.woody.
クライアントはWindowsXP Pro、Putty Release 0.53b-jp20030210

230 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/18 21:55

>>229
うちは25だけで行けてます。

231 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/18 22:22

>>229
自宅鯖→自宅鯖:25 なパケットまで落としているとか？
見当違いだったらスマソ

232 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/18 22:28

ただのiptablesの設定ミスじゃねえの？

233 名前：229 投稿日：03/11/18 23:05

>>231
ごめん。意味がよくわから無いけど、
「落としている」というのは、iptablesでDROPにしてあるということ？
たぶん、してないと思うけど・・・。

>>232
iptablesは↓こんな感じ。
dps:smtp、pop3の行が無いと送受信できない。
悪いところがあるかな？

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost localhost
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:ssh
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:www
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:smtp
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:pop3
ACCEPT udp -- anywhere ns1.hogehoge.com udp dpt:domain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

234 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/19 02:15

ACCEPT all -- ns1.hogehoge.com ns1.hogehoge.com
を入れたらどう？

235 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/19 02:16

port fowardingの設定をしてるコマンドラインも
出した方が話が早いんじゃない?

236 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/19 02:33

そうだね。クライアント側の設定に誤りがある可能性大。
iptablesだったらDROPのログチェイン作れば確認できるでしょうに。

237 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/19 03:03

pdumpfs (・∀・)ｲｲ!!かも

238 名前：PS 投稿日：03/11/19 17:54

GuevaraでSSH2の接続ってどうやるんでしょうか。。。。
PuTTYならたいした設定もなく苦もなくできるんよ。

239 名前：名無しさん＠お腹いっぱい。 投稿日：03/11/19 19:34

犯罪予告ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
只今本人降臨中で祭りに発展中！！！！！！
急げ！急げ！！記念真紀子！！
http://news4.2ch.net/test/read.cgi/news/1069235370/

240 名前：229 投稿日：03/11/19 20:43

>>229
それだ！！！
あなたがSSHのエライ人！
多謝感謝！ありがとうございました〜！
それから>>231も同じことだったね。
今理解できた（笑）。ありがと〜。

>>235
解決しちゃったけど、PuTTYのトンネルの設定はコレでした。↓
L8110 ns1.hogehoge.com:110
L8025 ns1.hogehoge.com:25

コマンドプロンプトで確認するとちゃんとListeningしてるように見える。
C:\>netstat -a

Active Connections

Proto Local Address Foreign Address State
TCP hostname:8025 hostname:0 LISTENING
TCP hostname:8110 hostname:0 LISTENING

他の人もありがとうございました。

241 名前：229 メール：sage 投稿日：03/11/19 20:46

ミスった！
自分がエラくてどーする！＞オレ
>>234さんでした。
本当にありがとうございました！

242 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/11/20 13:36

別解として、iptables の設定は前のままで

> 解決しちゃったけど、PuTTYのトンネルの設定はコレでした。↓
> L8110 ns1.hogehoge.com:110
> L8025 ns1.hogehoge.com:25

を

> L8110 localhost:110
> L8025 localhost:25

とするんでもうまく行くかもね。

243 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/23 17:09

記念パピコ。

244 名前：名無しさん＠お腹いっぱい 投稿日：03/11/23 18:30

↑(-_-;)

245 名前：名無しさん＠お腹いっぱい。 投稿日：03/11/25 01:12

http://www.dit.co.jp/ssh/support01.html
>Open SSHはOpen SSHがインターネットドラフトに基づいていないため，
>Public Keyを使った認証，接続はできません。

これどういう意味でしょ？

246 名前：春山征吾 ◆unIxUSernc メール：sage 投稿日：03/11/25 08:43

OpenSSHの鍵ファイルは、
ttp://www.ietf.org/internet-drafts/draft-ietf-secsh-publickeyfile-04.txt
の形式ではなく、そのまま商用SSHの鍵を利用することはできません。が、
ttp://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_3
変換して利用することができます。

あと、
・OpenSSHもAESをサポートしています。
・libsectokかOpenSCを利用するスマートカードサポートがあります。

247 名前：245 投稿日：03/11/25 12:06

どうもです。

鋭意勉強中だったので、上のページでちょっとパニクりました。

なんでそこまで差別するのか。。。

これはもうドラフトsecshとopenssh関連のページを熟読するしかないですね。

ありがとうございました。

248 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/25 12:14

DQN会社の売り込み文句なんぞ真にうけんでよろし

249 名前：名無しさん＠お腹いっぱい。 投稿日：03/11/29 21:40

ssh できるのに、scp や sftp ができません。
hostA, hostB, hostC があって、
hostA から hostB へは ssh, scp, sftp 全て OK
hostA から hostC へは ssh だけ OK
ちなみに、hostA から hostC への scp や sftp を -v してみると、
hostA% sftp hostC
OpenSSH_3.6.1p1+CAN-2003-0693, SSH protocols 1.5/2.0, OpenSSL 0x0090702f
debug1: Reading configuration data /path_to_home/.ssh/config
.
.
debug1: channel 0: request subsystem
debug1: channel 0: open confirm rwindow 0 rmax 32768
で止まっていました。
何かポイントありますか？

250 名前：250 メール：sage 投稿日：03/11/30 01:51

>>249
とりあえず、コレ(↓)を見るﾖﾛｼ
　2.9 - ssh は問題ないのに、sftp/scp が接続に失敗する。
　http://www.openssh.com/ja/faq.html#2.9

# scpだけかと思ったら、sftpも標準入出力を使ってたのね...

251 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/30 22:37

>>250
ぬりがとう。
これだ！と思ったのだけど、ちがうみたい。
でも、このおかげでちょっとわかってきた。
% ssh localhost tcsh
ができない。
% ssh localhost
はできる。
OS が MacOSX10.3 なのだけど、10.2まではちゃんと動いていたので、
どこかのバグかも。
もうちょっと調べてみるわ。

252 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/11/30 23:21

>>251
環境変数 PATH とか？

253 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/01 00:15

>>251

昔、リモートの .loginの中で exec zsh とかやってたら、上のよ
うな感じでscpでファイルを送りつけられない状態になった覚えが
あるけど・・・

全然外してたらｽﾏｿ

254 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/01 00:56

分かりました。
結局、.cshrc がいけませんでした。
いろいろなホストで.cshrcを共通化していて、
ホストの差異を吸収しているところで問題がありました。
(おまけに、そのスクリプトにバグ発見)
おさわがせしました。

255 名前：名無しさん＠お腹いっぱい。 投稿日：03/12/04 02:03

% ssh -V
OpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.7c 30 Sep 2003
% ssh hostA
Disconnecting: Corrupted MAC on input.

っていうエラーが出るのですが、何がまずいのでしょう？
ホスト側で接続できるMACアドレスを限定しているってことでしょうか？

ちなみに、hostBにはちゃんとログインできるのですが、、、よろしくお願いします

256 名前：255追加 投稿日：03/12/04 02:06

ちなみに
remoteC(TTSSH) -> hostA ○
remoteD(ssh) -> hostA ×(今回困っている状況)
という感じです。

257 名前：255,256 投稿日：03/12/04 02:45

単にhostAがSSH1だっただけなので、
　s/ssh/ssh -1/
で解決しました、すみません

258 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/04 13:21

MAC って「Message Authentication Code」のことなのかな？
そのエラーメッセージだけでは「MAC って何なんだー！？」ってなるよね。
「Disconnecting: Corrupted MAC on input」でぐぐってもよくわからんし。

259 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/04 21:54

man ssh に載ってるね。

260 名前：名無しさん＠お腹いっぱい。 投稿日：03/12/05 22:25

scp するときに、いちいち認証をするんだけど、
これを省略するにはどうすればいいの？

261 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/05 22:26

>>260
ssh について書いてある記事なり本なりには
たいてい書いてあるはずです。

262 名前：名無しさん＠お腹いっぱい。 投稿日：03/12/06 03:24

RSA鍵について最近はじめてトライしてみようと思ったのですが、疑問点が２つあります。
よろしければ、教えていただけますでしょうか？

（１）いくつかの、SSH関連サイトを見ると、
「作成した暗号キーペアの秘密鍵、"identity"を、FDなどで、WindowsPCへコピーせよ」とありますが、
レンタルサーバを借りてる場合などは、これは無理ですよね？

≪質問≫：この場合、どうするのがよいのでしょうか？
　（少ない知識の自分なりに考えてみたのですが、たとえば、
　　セキュリティ強度的に落ちるものの、WINSCP3などでファイルをダウンロードするとか？でしょうか？）

(2)昔、某レンタルサーバで働いてたときに、
　同僚の２人が、Teraterm+SSHで、RSA鍵で認証するときに、パスフレーズは空のまんま、ログインしていました。
　ということは、鍵生成時に、パスフレーズを空にした（ただEntrer押しただけ）ということですよね？

≪質問≫：これって、セキュリティ的に、甘いのではと思うのですが、どうなんでしょうか？
　（いくつかのサイトを見ましたが、「１０文字から３０文字の間にすべきといわれています」といった類の文章が書いてあったもので。

上記、教えていただければ幸いです。

263 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/06 03:40

>>262
1、鍵はローカル側で生成。リモート側には公開鍵のみ置く。
公開鍵の転送時に「転送先が本当に正しいのか」という問題があるが、
レンタルサーバという時点で既にセキュリティー的には甘いのでどこかで妥協する必要がある。

2、パスフレーズは秘密鍵を復号するためのもの。鍵の管理を厳重にすることと(程度以外は)同等。

264 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/06 11:15

>>262
sshについて解説したサイトは多いが、安全性に問題がある方法とか
嘘を紹介しているところも少なくないからな。

>>262のような人に漏れが勧めているサイトはここ↓。
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/putty.shtml
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/winscp.shtml

WindowsからOpenSSHサーバへ接続する場合は
ここにある情報で十分だろう。
# まあ、細かいツッコミどころがないわけではないが…

265 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/06 11:22

>>262
> 「作成した暗号キーペアの秘密鍵、"identity"を、FDなどで、WindowsPCへコピーせよ」とありますが、
これって Windows で鍵ペアを作りにくかった時代の話でしょ。
今なら Cygwin 入れればすぐ作れるよ。

> 　同僚の２人が、Teraterm+SSHで、RSA鍵で認証するときに、パスフレーズは空のまんま、ログインしていました。
パスフレーズは手許にある秘密鍵を暗号化しておくためにある。
ぜったい秘密鍵を盗まれない! という自信があるなら空でもいいのでは。

266 名前：262 メール：sage 投稿日：03/12/06 18:35

>>263-265
ありがとうございます。非常によく分かりました。
参考にあげてくださったも拝見しました。
非常にわかりやすかったです。
これからいろいろと試してみたいと思います。
ありがとうございます。

267 名前：262 メール：sage 投稿日：03/12/06 18:36

>>266
誤：参考にあげてくださったも拝見しました。
正：参考にあげてくださったサイトも拝見しました。

失礼しました。

268 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/11 07:15

すみません、puttyのpsftp機能を使って接続しようと思っているのですが、なぜか接続できません。
接続するさいに以下のログが出力されます。

No supported authentication methods left to try!
Fatal:unable to initialise SFTP: could not connect.

puttyからLinuxサーバーへは認証は成功し、正常に接続できるのですが、何か問題があるのでしょうか。。
sshもpsftpもポート22番なのでルータ等の設定は問題ありません。

269 名前：268 メール：sage 投稿日：03/12/11 07:28

すみません、環境はdsa認証を使い、windowsXPクライアントからREDHAT7.3への接続になります。

また、>>249,>>250を参照しましたが、ﾀﾞﾒでした。

270 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/11 10:32

sshd_configに
Subsystem sftp /usr/lib/sftp-server
みたいな設定がないという可能性は?

271 名前：268 メール：sage 投稿日：03/12/11 16:34

>>270

はい。それも確認はしてみましたが問題なく記述されておりました。
もちろんコメントアウトはしていませんでした。。

272 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/11 17:37

putty側の問題なのか切り分けるのが先でわ。
とりあえずどっか別のLinuxマシンからsftpしてみるとか、Winしか無い
ならCygwinのsshに含まれてるsftpでつないでみるとか。

273 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/11 17:50

エラー内容から見てみるとサーバ側の問題(ﾟνﾟ)ｸｻｰ

274 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/14 05:27

質問というより確認なのですが１つのアカウントにたいして複数のrsa鍵を持つことは不可能ですよね？（裏技っぽい方法でなくて）

275 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/14 11:02

>>274
可能。つーかman読め。

276 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/15 13:42

$ man ssh
中略
-i identity_file
Selects a file from which the identity (private key) for RSA or
DSA authentication is read. The default is $HOME/.ssh/identity
for protocol version 1, and $HOME/.ssh/id_rsa and
$HOME/.ssh/id_dsa for protocol version 2. Identity files may
also be specified on a per-host basis in the configuration file.
It is possible to have multiple -i options (and multiple identi-
ties specified in configuration files).

277 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/15 13:47

自分で探させてやれよ……。

278 名前：名無しさん＠お腹いっぱい。 投稿日：03/12/16 16:15

ncftp か lftp みたいな scp クライアントってありませんかねえ？

279 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/16 19:33

>>278
あるよ。
　Yet Another FTP Client
　http://yafc.sourceforge.net/
# 春山さんのWebサイトからもリンクがはられてたはず。

lftpもsftpに対応したとかいう話を聞いたような気がするのだが…はて、どう
だったかな（lftpは使わないんでな、あまり知らん）。

280 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/12/16 22:00

> あるよ。
> 　Yet Another FTP Client

それは sftp クライアント。scp には未対応。

281 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/16 22:24

「ftpクライアントみたいなscpクライアント」の意図しているものが分からん。
それはsftpとちゃうんか、と。
それにscpはscpそのままの方が便利だろうに。

282 名前：名無しさん＠お腹いっぱい メール：sage 投稿日：03/12/16 22:42

コマンドラインのscpクライアントがほしいんだろ。たぶん。
ブックマークとかレジュームができればいいんだろ。たぶん。

283 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/16 23:43

scp でファイル一覧とったりできるのか?

284 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/12/17 12:44

>>281
> 「ftpクライアントみたいなscpクライアント」の意図しているものが分からん。
> それはsftpとちゃうんか、と。

考えついた唯一の存在理由は SSH1 でも使える、ってとこかな。

内部で ssh/scp コマンドを使うことで、ftp/sftp っぽいユーザイ
ンターフェースを提供するようなラッパーに対する需要はあっても
おかしくないだろう。GUI だが古い WinSCP なんてのもその類だし。

yafc も SSH 接続を確立するところでは似たようなことやってるわ
けだし。

285 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/17 14:13

>>284
> 内部で ssh/scp コマンドを使うことで、
それが難しい/めんどくさいから sftp があるんでないの?

286 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/17 16:52

>>279
> lftpもsftpに対応したとかいう話を聞いたような気がするのだが…
開発版で対応してるっぽいな。

287 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/12/17 23:25

>>285
> > 内部で ssh/scp コマンドを使うことで、
> それが難しい/めんどくさいから sftp があるんでないの?

だから SSH1 では SFTP プロトコルは使えないんだってば。

288 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/18 00:49

いまだに SSH1 に だけ しか対応してないサーバを放置していると？

289 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/18 01:07

>>278
hsftpはどうよ？

290 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/18 01:16

これか。はつみみです。
ttp://la-samhna.de/hsftp/

291 名前：名無しさん＠お腹いっぱい。 投稿日：03/12/20 01:49

>>268
もう解決した？

292 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/21 16:07

sftpはちょっと遅いのが難点。
条件にもよるが、sftpの転送速度はscpに比べて20%〜50%くらいは劣る
からなあ。

293 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/21 16:10

scpもかなり遅いｶﾞﾅｰ

294 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/21 16:20

>>293
いや、CPU負荷の小さい暗号(arcfourとか)と
1GHz程度のCPUを使えば、100Mbpsの帯域なら
ほぼフルに使い切ることができる。

295 名前：279 メール：sage 投稿日：03/12/21 17:52

亀レスですが…

>>280　あ、そうだったのですか。ご指摘どうもです。

>>283
リモートホストでlsコマンドを実行した結果を利用するのではなかったかと。

で、環境変数LANGがjaになってたりするとlsコマンドの実行結果が変化し（曜日
の表示が日本語になったりする）、エラーが発生する、と。WinSCPでそんなこ
とがあったと思います。

296 名前：古山良助 メール：sage 投稿日：03/12/21 19:13

てくるで(トコロで)・・・・・


　　　　　　☆ ﾁﾝ　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　　　　　　　　　　　　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　 　 　 ☆　ﾁﾝ　　〃　 ∧＿∧　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　　ヽ　＿＿_＼（＼・∀・）　＜　OpenSSHのバージョンアップまだ〜？
　 　 　 　 　 　 ＼＿／⊂　⊂＿ )　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　 　 　 　 　 ／￣￣￣￣￣￣ ／|
　　　　　　　|￣￣￣￣￣￣￣|　 |
　　　　　　　|　　愛媛みかん　|／

297 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/21 20:30

ん、なんか穴あったっけ?

298 名前：　　　 メール：sage 投稿日：03/12/22 00:06

SSH2用のRSA鍵はどうやって作成すればいいのでしょうか?

ssh-keygen -t rsa で作ると鍵の形式が違うぞゴルァ!とゲバラに怒られてしまいます。

299 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/12/23 20:27

>>298
> SSH2用のRSA鍵はどうやって作成すればいいのでしょうか?
> ssh-keygen -t rsa で作ると鍵の形式が違うぞゴルァ!とゲバラに怒られてしまいます。

ssh-keygen2 使うとか、PuTTYgen 等で形式変換するとかの回りくど
い手ももちろんあるが、単にげばらに作らせればいいのでは？

300 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/23 21:02

ちぇ

301 名前：299　 メール：sage 投稿日：03/12/23 23:18

>>299
FreeBSDのportsからmake installしたのですが、ssh-keygen2 が無いようです。
ゲバラのツールで作ったもので試してみます。

ありがとうございました。

302 名前：名無しさん＠Ｅｍａｃｓ 投稿日：03/12/24 08:17

PasswordAuthentication yes と設定してるのなら、
AllowUsers でログイン・アカウントを制限してるだろうな。

パスワードがバレバレなアカウントがあったら、クラックされるぞ!

> 173
超超カメレスだが、

sshd_config で
> 特定のアカウントのみ PasswordAuthentication no として扱う

のなら、PasswordAuthentication no と設定したsshd を、
別なポートで、もう一つ動かせばいい。

22番しか使えないsshクライエントって、まだあるのか？

303 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：03/12/25 16:41

>>301
> FreeBSDのportsからmake installしたのですが、ssh-keygen2 が無いようです。

ふーん、おかしいね。うちの FreeBSD 4.8-R では ports で問題な
く入れられたけど。

-bash-2.05b$ ssh-keygen2 -V
ssh-keygen2 version 3.2.5, compiled Dec 24 2003.

304 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：03/12/27 21:25

>>300
君はゲバラの話が出たから、『ちぇ』って書いてみたの？？
チェ・ゲバラを知ってても面白くないぞ。

305 名前：名無しさん＠お腹いっぱい。 投稿日：04/01/22 13:26

sftpでログインしてもサーバ側のlastログには残らないのですが、
残す方法ってありますか？ /var/log/messagesには

sshd[28325]: subsystem request for sftp

こんなログしか残ってなくて、誰がログインしたかわかりません。

306 名前：名無しさん＠お腹いっぱい。 投稿日：04/01/24 13:56

保守

307 名前：名無しさん＠お腹いっぱい。 投稿日：04/01/24 14:36

保守の価値なし

308 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/24 14:39

>>305
LogLevel DEBUG

309 名前：名無しさん＠お腹いっぱい。 投稿日：04/01/25 10:49

>>308
それだと他のメッセージがウザイ

310 名前：名無しさん＠お腹いっぱい。 投稿日：04/01/26 14:53

お疲れさんです。
ＷＩＮＳＣＰ　３．４．２
ー＞Solaris8
コンソールでは、問題ないのですが、画面に表示できません。

ご教示ください、お願いします。
以下　ログです。

> ls -la ; echo "WinSCP: this is end-of-file:$status"
< 合計 22
< drwxr-x--- 3 user00 user00 512 1月 26日 13:07 .
< drwxr-xr-x 27 root root 1024 1月 25日 18:50 ..
< -rw------- 1 root other 15 1月 26日 13:40 .bash_history
< -rw-r--r-- 1 user00 user00 744 1月 25日 17:34 .cshrc
< -rw-r--r-- 1 user00 user00 2287 1月 25日 17:35 .profile
< drwxr-x--- 2 user00 user00 512 1月 26日 12:04 .ssh
< -rw-r--r-- 1 user00 user00 124 12月 29日 02:49 local.cshrc
< -rw-r--r-- 1 user00 user00 607 12月 29日 02:49 local.login
< -rw-r--r-- 1 user00 user00 582 12月 29日 02:49 local.profile
< WinSCP: this is end-of-file:0
* (ECommand) ディレクトリ '/export/home/user00' のリスト取得のエラー
* ディレクトリのリストに不正な行 '合計 22'
* 不正な権限の表記 '�計 22'

311 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/26 17:07

>>310
お疲れさんです

312 名前：名無しさん＠お腹いっぱい。 投稿日：04/01/26 22:45

今のところWinSCPでEUCファイル名を扱う方法はない？
sftpdのパッチは公開されてたけど、自分の管理下にないサーバでも使いたい
日本語ファイル名使うな、と言われればそれまでだけど

313 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/27 11:43

日本語ファイル名使うな

314 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/27 13:11

はい、それまで。

315 名前：310 投稿日：04/01/27 13:48

レスありがとうございます。

前に表示できていたのですが、たまたまですか？
ja_JP.PCKで

316 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/27 20:53

はい、それから〜

317 名前：名無しさん＠お腹いっぱい。 投稿日：04/01/28 14:04

>>268
psftp を起動後 open host.name を入力すると思いますが、この host.name にＩＰアドレスや
ＦＱＤＮを入力しているのではないでしょうか（勝手な想像ですが）。実は、この host.name には
PUTTY.EXE(またはPUTTYJP.EXE) の「保存されたセッション」の名称を入力するのが
正しいのです。
亀れすですみませんが、４時間ハマってやっと解決したうれしさでカキコしてしまいました。

318 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/28 15:32

>>312
WinSCPやめてFilezillaじゃダメ？

319 名前：310 投稿日：04/01/28 20:47

ログインシェルを/bin/shにしたら、表示できました。
>>318
トライしてみる。
ありがとう。

320 名前：310 投稿日：04/01/28 21:39

>>318
Filezila、ssh接続は、できないね。
残念。

321 名前：310 投稿日：04/01/28 21:42

>>318

ごめん。できるね。

322 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/28 22:50

FileZillaとsftpにeuc-jpパッチで幸せ(・∀・)ｲｲ!!

323 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/29 11:38

>>305の類似だけど
winscpでのloginをlastlog に残す方法はあるの？
LogLevel 変えてもlastlog には書かれないし。

324 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/31 17:28

scp すると転送先でのファイルのパーミッションが 600 になるんですが、
どうすれば 644 とかに変更できるか誰か教えてくれませんか？

325 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/01/31 17:43

>>324
umask

326 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/05 21:55

1. 事前に公開鍵が置いていないところへは絶対に ssh で逝けないのか？
2. 初めて公開鍵を置きに逝くときに ssh で逝きたし
3. w3m に ssh を被せたし
4. mutt から ssh 使いたし //その場合の PGP との堅固性の比較も

327 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/05 22:05

> 1. 事前に公開鍵が置いていないところへは絶対に ssh で逝けないのか？
> 2. 初めて公開鍵を置きに逝くときに ssh で逝きたし

password認証やOTP認証を使え

> 3. w3m に ssh を被せたし
> 4. mutt から ssh 使いたし //その場合の PGP との堅固性の比較も

意味不明

328 名前：sage 投稿日：04/02/10 00:30

sftp-serverを見ると、ただwriteしているように見えますが、誰がどこで暗号化しているんでしょうか？
sshdがどこかで暗号化してるんでしょうか？それともsftp-server自身？
初級な質問ですみません。ご存知の方は教えてください。

329 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/10 13:04

>>328
だから、まず接続時に ssh の公開鍵認証を行うわけ。
その後クライアント側はランダムに共通鍵を作ってサーバに
それを送信するわけ。もちろんその共通鍵の受渡しには公開
鍵暗号を使うんだけどね。

んでその共通鍵で暗号化して通信してるのさ。

なんでずっと公開鍵暗号を使わないのか？っつー疑問がある
かも知れんが、それは共通鍵暗号／復号の方が軽いのさ。

では

330 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/10 19:17

いま、大学とバイト先の会社とで、まったく同じ問題を味わっています。

まず自宅からsshで大学なり会社なりのサーバにアクセスして、
そのサーバから内部でsshで目的のコンピュータにアクセスする経路をたどる必要があります。

これ自体はよいのですが、ローカルから目的のコンピュータにデータを送ろうとした場合、
やたら面倒になってしまうので困っています。
今はscpを２回行っているのですが、頻繁にファイルのやり取りをするので、
よくミスをしてしまい、能率的にも精神的にも効率が非常に悪いです。

よくある環境だと思うのですが、何か方法があるのでしょうか？
ググる際の簡単なキーワードだけでも結構ですので、ぜひ教えてください。

331 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/10 19:20

自宅にsshdを立てて、目的のコンピュータからscpする

332 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/10 19:21

多段

333 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/10 19:23

>>331
大学、会社とも、内から外にsshポートをあけていません
>>332
とりあえずぐぐってみます

334 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/10 19:29

stone (with SSH port forwarding) 使うとわりとすっきりいくかも

335 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/10 20:07

>>332
ちょっと見てみましたが、結局gatewayとなるサーバが
ポートを公開してくれないことには使えないみたいですね。

>>334
大学や会社の内部コンピュータにも、sshを使わないと入れないのですよ…

336 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/02/10 20:40

>>329
> その後クライアント側はランダムに共通鍵を作ってサーバに
> それを送信するわけ。もちろんその共通鍵の受渡しには公開
> 鍵暗号を使うんだけどね。

それは protocol v1.X での動作だから、v2 でしか動かせない
sftp-server に関する説明としては不適切かな。

337 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/10 20:50

>>335
ムリヤリ SSH だけで解決しようとしないで
管理者に相談すれ。

338 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/10 21:28

>>337
大学も会社も、なかなかに私の立場が低くて頼みづらいんですよね。
とりあえず、会社の方はsshを通してもらえるかもしれないので、
自宅のsshdと通信する方法でミスを減らそうと思います。

339 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/02/11 00:24

>>335
> >>332
> ちょっと見てみましたが、結局gatewayとなるサーバが
> ポートを公開してくれないことには使えないみたいですね。

って何を見てそういう結論に達したのか分からんけど、>>330 によ
れば

自宅PC → 相手GW
相手GW → 目的SV

それぞれの SSH 接続はできてるんだよな？

であれば、(たぶん) 前スレで既出だが、自宅PC → 相手GW の SSH
接続する際に目的SV の port 22 を自宅 PC の適当な port に
local forward してやりゃいいだけ。

>>338
> 大学も会社も、なかなかに私の立場が低くて頼みづらいんですよね。

相手NW のポリシー侵害することになる可能性もあるから、いずれに
しても勝手にはやらず、相手NW 管理者にきちんと確認はしとくべし。

340 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/11 04:03

公開鍵(e,n)を手に入れる。
ｎを因数分解して、素数p,qを手に入れる。
{g,{d,k}} = ExtendedGCD[e,(p-1)(q-1)]となるようなdを見つける。
g=k=1である。d<0 なら　d+(p-1)(q-1)とする（不定性のため）。
秘密鍵（d,n）を手に入れることができた。
アスキーコードになっている文字列Sに対し、
Mod[S^d,n]とし、暗号を解除、あとはそのアスキーコードを
FromCharacterCode["S"]で英字に直し、目的の文章を手に入れる。

341 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/11 04:23

素数判定は「決定的」多項式時間で可能
ttp://science2.2ch.net/test/read.cgi/math/1028813059/

342 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/11 04:56

一応並みの数学屋として、「そーいうレベルでのアレ」だとは
ゆっとく。業績としてはたしかなものだけんどね

343 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/11 10:58

>>336
v2はどーゆー動きなの？

344 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/11 11:03

>>310　ログインシェルはcsh系？
だとしたらまずWinSCPの設定でシェルを /bin/sh に変更。bashでもいいけど。
Clear national variables（日本語版だとどう訳されてるんだろ）という項目がある
はずだからそれにチェックを入れる。それで英語の出力が出るはず。

345 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/02/11 17:13

>>343
> v2はどーゆー動きなの？

v2 では共通鍵交換方式も server/client 間で交渉可能となってる
けど、現状使われている事実上唯一のアルゴリズムは D&H であり、
server 認証は S/C 双方の一時 D&H parameter その他のデータに対
して server が施したデジタル署名を client が検証することで実
現されてる。

346 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/11 20:52

何言ってるかわからないんですが、、、

347 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/11 22:57

>>346
とりあえずInternet Draftを嫁。
http://www.ietf.org/html.charters/secsh-charter.html

"SSH Protocol Architecture"と"SSH Transport Layer Protocol"を読めば、
とりあえずサーバ<=>クライアント間の暗号化通信路を確立するところまでは
わかるはず。

348 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/13 09:55

PuTTY 0.54 age

349 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/13 11:29

PuTTYごときでageるなよ

350 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/20 08:42

ご存知の方がいらしたら、教えてください。
Port Forward する際に、クライアント側の .ssh/config で
「LocalForward 80 hogehost:80」 みたいに書けるわけですが、
"hogehost" をlocalhost に限定するような制約って
サーバ側（sshd_config 等）で可能なんでしょうか。

351 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/20 08:48

>>350
別のプロセスで Proxy したら同じことだからそんな機能意味ないでしょ。

352 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/20 17:22

>>351
えーと、ユーザのログインシェルは /bin/false 等に設定して殺してあります。
要するに、勝手に外部（sshd 起動ホスト以外）の SMTP とかに port forward
されたくないんです。
やっぱり、iptable とかでフィルタリングするしかないんでしょうか。。。

353 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/20 21:52

ログインは許可しないのにローカルにだけフォワードする
のはいいの？？
それって結局フォワード先も特定のポートしか無いんだ
ろうから SSL 使えば良いんじゃないでしょうか。

354 名前：350 投稿日：04/02/20 23:29

>>353
そうです。
ログインは許可せずに、特定のアプリケーションだけ SSH による鍵認証により
接続して使わせたいのです。

355 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/21 03:29

>>350
permitopen="host:port"

356 名前：350 投稿日：04/02/21 15:11

>>355
ありがとうございます。おかげでやりたかったことが実現できました。

sshd_config ではなく authorized_keys で、それぞれの公開鍵ごとに制御可能なのですね。
というわけで、$HOME/.ssh/authorized_keys でユーザごとに管理させるのを止めて
管理者側で一元管理するようにしました。

357 名前：sage 投稿日：04/02/23 07:11

OpenSSHのssdで、暗号化する前の通信データ（送信）と、複合化後の受信データ、つまり暗号化されていないそれぞれの情報の内容が見たいのですが、どこで取得できるかわかりません〜。
printfかファイル出力で取得しようかと思いますが、どこに仕掛けたらよいか・・・
誰かお助け（教えて）ください〜。お願いします。

358 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/23 10:00

Cygwinスレに出てるcocotの真似すればよい

359 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/02/23 13:39

>>357
> OpenSSHのssdで、暗号化する前の通信データ（送信）と、複合化後の受信データ、
> printfかファイル出力で取得しようかと思いますが、どこに仕掛けたらよいか・・・

実際の暗号化/復号処理を行なってるのは packet.c。

こいつを -DPACKET_DEBUG 付きで compile すると ssh/sshd が処理
前後の内容を標準エラーに吐き出すようになるので (たぶん)、その
辺参考にしててきとーにいじくってみれば？

360 名前：357 メール：sage 投稿日：04/02/23 15:32

>>358
>>359
初心者の私の質問に親切にお答えいただいてありがとうございます。
非常に参考になりました。
さっそく試してみようと思います。

361 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/24 23:19

OpenSSH 3.8 release age

362 名前：A5501T 投稿日：04/02/24 23:46

ｷﾀ━(°∀°)━！！

363 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/25 01:25

幾つか設定項目変わってるねぇ

diff -u openssh-3.7p1/sshd_config openssh-3.8p1/sshd_config ってみるテスト
+#KerberosGetAFSToken no

-#GSSAPICleanupCreds yes
+#GSSAPICleanupCredentials yes

-# bypass the setting of 'PasswordAuthentication'
-#UsePAM yes
+# bypass the setting of 'PasswordAuthentication' and 'PermitEmptyPasswords'
+#UsePAM no

-#KeepAlive yes
+#TCPKeepAlive yes

364 名前：名無しさん＠お腹いっぱい。 投稿日：04/02/26 23:51

PAM がデフォルトでNOになったのね。

365 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/02/27 00:26

テラターム！

366 名前：名無しさん＠お腹いっぱい。 投稿日：04/03/02 23:03

初心者なのにunixサーバ管理者に任命されて、sshdをインストールしたはいいのですが、telnetを止めろと言われました。
でもsshdが動いていれば、telnetdは殺してもいいものなのでしょうか？それとも、他の方法でアクセスできないようにするのでしょうか。
不安でなかなか実行できません。
私の理解では、sshでログインするのは暗号化されているが、telnetと同じというイメージなのですが・・・
教えてください。

367 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/02 23:09

>>366
ssh は rsh をセキュアにしたものであって telnet とは無関係。

368 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/02 23:11

telnet は即効で止めましょう。
「telnet で繋がらないやん」と言われたら、「SSHしか駄目です」と言いましょう。
それ以外には困ることはありません。

これでサーバー管理者の第一歩を歩みだせましたね。

369 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/03 02:30

> telnetと同じイメージ
イメージで処理せず、疑問に思ったことは可能な限り自分で調べてみましょう。
ssh の通信が暗号化されるかどうかは、パケットキャプチャしてみれば確認できます。
それでも気になるなら、ソースコードまでたどるという手もあります。

イメージだけで管理を始めるとトンデモ管理者への第一歩を歩んだことになります。
今ならまだ間に合います。

370 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/03 15:33

>>369 はBSD厨ですんで放置で。。。

371 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/03 15:57

>>369 は全然回答になってないしな。

372 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/03 16:01

(･∀･)ｼﾞｻｸｼﾞｴﾝﾃﾞｼﾀ

373 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/03 16:48

>>369を要約してみました。







ぐぐれ。

374 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/03 17:14

>>373
0点。

375 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/04 06:23

366で書いた者です。
皆さんのお話、とても参考になりました。
どうもありがとうございます。わかると面白いので今後もさらに勉強します。

376 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/04 15:28

login shell が始めから ssh 通っているのってどうやっているのですか？

377 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/04 17:04

>>376
どういう意味？

378 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/04 17:20

>>377
例えば↓な感じの

|-sshd---sshd---bash---pstree

ttp://pc.2ch.net/test/read.cgi/linux/1015251437/2
ttp://pc.2ch.net/test/read.cgi/linux/1015251437/4
ttp://pc.2ch.net/test/read.cgi/linux/1015251437/10

379 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/04 17:45

>>378
単に ssh でログインして pstree 打っただけでは。

380 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/05 02:46

一つの接続に対して sshd のプロセスが二つ立ち上がる
理由ってなんだったっけな。

>>376 が思い描いていそうなのは
ssh host1 -t ssh host2
みたいなことか

381 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/05 04:43

>>380
つか、一つの接続には sshd ひとつしか立ち上がってないでしょ。
一個目の sshd は親玉 daemon 。
↓これ見てみ。
http://pc.2ch.net/test/read.cgi/linux/1015251437/9

382 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/05 07:12

>>380
UsePrivilegeSeparation yes でsshdが2つ動く

383 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/05 12:40

>>381
うぉ、そうだった。thx

384 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/06 04:03

うp方向のsshってある？
その逆はscpだけど。

385 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/06 04:17

まあ落ち着いてscpのmanでも読め。

386 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/06 11:53

まあ、落ち着いて cp の man でも読めや。

387 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/06 15:24

ついでにsftpのmanも読め

388 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/06 16:03

えーと、

rsh　　---> ssh
rlogin ---> ssh
telnet ---> ssh
ftp　　---> sftp
rcp　　---> scp
rcp　　---> rsync

で良いでしょうか？

389 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/06 22:48

rsync　---> rsync -e ssh

390 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/06 23:42

ふつう RSYNC_RSH=ssh; export RSYNC_RSH してるだろ。

391 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/07 00:08

ふつうって何さ

392 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/07 00:29

友達の少ないしとをいぢめちゃだめですよ

393 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/07 16:15

rsync 2.6.0だとsshがデフォルトになってるはずさ。

394 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/08 00:54

-e "ssh -l ユーザー"だったりするくらRSYNC_RSHは使えないなぁ

395 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/08 01:01

ふつう user@host:/path/to/dir するだろ。

396 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/08 01:03

rsync -z と rsync -e 'ssh -C' はどっちが効率いいんざましょ。

397 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/08 17:28

>>395
なんかそれだと/home/ユーザー/.sshの中の鍵を見つけてくれないんだよね
なんでだろ？

398 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/08 20:01

>>394
.ssh/config に User 指定しとけば host:/path/to/dir でいける

399 名前：名無しさん＠お腹いっぱい。 投稿日：04/03/09 16:39

>>396
http://www.mail-archive.com/rsync@lists.samba.org/msg08406.html

400 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/09 19:00

>>400ｹﾞﾄｰ
http://www63.tok2.com/home2/tokumeizatudan/2ch/2ch.swf
↑ＵＮＩＸ板、２ちゃんに関するフラッシュ

401 名前：名無しさん＠お腹いっぱい。 投稿日：04/03/12 01:43

リモートにアクセスした後にそこのルートディレクトリ(/)以下全部を、ローカル(hoge.jp)のbokeユーザのホームディレクトリにコピーしたい時、
#scp -r /* boke@hoge.jp
でよろしいでしょうか？

402 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/12 03:05

>>381
あのですね
接続ごとに 2つずつたちあがるんですけど
これは何が原因ですかね

接続ごとに親玉いるんですかね

403 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/12 03:26

>>402
1個下のレスぐらい見なよ

404 名前：おしりからミミズが出てきたYO メール：Sage 投稿日：04/03/12 03:27

次期Ｏｐｅｎｓｓｈ(openssh-4.0.rc.tar.gz)は、パッチとして提供つつ削られたchroot機能が標準化されるらしい。

405 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/12 03:29

それよりsftpの効率をあげてほすい

406 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/12 03:34

自分自身で自身を攻撃すると
ループバック攻撃が成立し、デフレスパイラルならぬ
「アタック・スパイラル」が成立してなんだか楽しそう＿|￣|○

まさにうんこスパイラルですな

407 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/12 06:05

それより Heartbeat/Watchdog Patch を標準化してほすい

408 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/12 14:10

>>401
マルチか。

409 名前：ssh-geek 投稿日：04/03/15 04:25

ASPページや、ASP.NETといったサーバサイドはもちろん、VB,VB.NET, C#アプリケーションからも手軽にSSHクライアントアプリケーションが開発できます。
海外（ロシア）ですが、非常に親切に回答してもらえます。

近々日本人スタッフによるサポートも始まるようで、試してみる価値ありです。

http://www.weonlydo.com/

410 名前：ssh-geek 投稿日：04/03/15 04:25

ASPページや、ASP.NETといったサーバサイドはもちろん、VB,VB.NET, C#アプリケーションからも手軽にSSHクライアントアプリケーションが開発できます。
海外（ロシア）ですが、非常に親切に回答してもらえます。

近々日本人スタッフによるサポートも始まるようで、試してみる価値ありです。

http://www.weonlydo.com/

411 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/18 18:41

OpenSSL に穴が出てるけど、問題アリなのは libssl の方であって、
libcrypto には関係ないから ssh は影響なしという理解であってる？

412 名前：名無しさん＠おなかいっぱい メール：sage 投稿日：04/03/19 23:18

SFU3.5のOpenSSH371.p2使ってみたんだけど、なかなか良かとよ。
Cygwinのsshdより軽いもんね。
まぁsftpはどやっても重いけど、コリャどうしようもなか問題ね。
今日日VPN付きルータなんてのもあるようだが、ｵｲﾗはOpenSSHやね。
もちろんケースバイケースなんでしょうが、WinもUNIXも混ぜ混ぜMIXなｵｲﾗにはありがたいOpenSSHでした。
さて、オナニーでもして寝るか。

413 名前：名無しさん＠お腹いっぱい。 投稿日：04/03/21 23:44

boxA(会社) から boxB(家) は接続できる
boxB(家) から boxA(会社) は接続できない

という環境のとき，boxAから
[user@boxA]$ ssh -R 10022:localhost:22 boxB
でポートフォワーディングしておけば，
[user@boxB]$ ssh -p 10022 localhost
boxBからもboxAへ接続できるじゃん! 超便利．

そんなある日，家にいるとき，boxBをリブートしたいけど，
boxAからの接続は切りたくない．どうしようと思い，
boxAで
while true ; do
ssh -N -R 10022:localhost:22 boxB
echo "reconnect.." ; sleep 60
done
このようなスクリプトはしらせれば解決だろ．と思ったのですが.
boxBがリブートしたり，落ちたりして，sshセッションが無効になっても
ssh -N -R 10022:localhost:22 boxB
の部分は動きっぱなしで，ループしてくれません．

今は，姑息な手段で，解決しようとしていますが，なにかエレガントな解決方法ありませんか？

414 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/22 00:00

Heartbeat/Watchdog Patch for OpenSSH とか。

415 名前：名無しさん＠お腹いっぱい。 投稿日：04/03/22 04:33

PasswordAuthenticationをnoにしているにも関わらず、
パスワード認証が通ってしまうのは何故なんでしょうか？

416 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/22 05:00

>>415
しらん。-t つけて起動してみるとか。

417 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/22 05:36

>>415
それはパスワード認証ではないから、とか言ってみるテスト。
ssh -v でみてみよう。
sshd -d で受けてみよう。

418 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/03/23 05:44

>>415
おそらくChallengeResponseAuthenticationがらみでしょ。
ttp://home.jp.freebsd.org/cgi-bin/showmail/FreeBSD-users-jp/71239

419 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/03/23 14:45

>>414
> Heartbeat/Watchdog Patch for OpenSSH とか。

Protocol2 なら ClientAliveInterval だけで OK。

420 名前：415 メール：sage 投稿日：04/03/24 02:10

>>418
これでした。ありがとうございます。

421 名前：名無しさん＠お腹いっぱい。 投稿日：04/04/15 00:08

シェルの中で、.netrcを使ってsftpを実行させようとするのだが動きません。
エラーを確認すると"machine"をsftpが認識できないようなのです。
sftpで、FTP転送スクリプトファイルである.netrcを使いたい時、どうすればいいのでしょうか。
(ちなみにftpコマンドの場合は正常に接続できました。)

◇自作のスクリプト

　echo machine XXXX.XXXX.XXXX.XXXX(接続先IP) login XXXX password XXXXXX > $HOME'/.netrc'
echo macdef init >> $HOME'/.netrc'
echo binary >> $HOME'/.netrc'

sftp -v -i XXXX.XXXX.XXXX.XXXX(接続先IP) < $HOME'/.netrc'

( ftp -v -i XXXX.XXXX.XXXX.XXXX(接続先IP) < $HOME'/.netrc' だと正常に接続する)

422 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/15 00:25

sftp が .netrc を読むとは初耳だ。
ftp とは似て非ざるものぞ。

423 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/15 08:02

>>422
×非ざる
○非なる
これでは否定の否定だ。

424 名前：421 投稿日：04/04/15 08:36

やっぱ.netrcはsftpじゃ読めないってこと・

425 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/15 10:04

>>423
非（あら）ざる
非（ひ）なる

426 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/15 10:18

>>421
sftpは.netrcを読まないので、自動ログインする場合は別の方法が必要になる。
パスフレーズなしの秘密鍵を使うとか。
つか、

> ftp -v -i XXXX.XXXX.XXXX.XXXX(接続先IP) < $HOME'/.netrc'

って使い方は合ってるの?
.netrcは標準入力に与えるんじゃなくて、ただ記述しておくだけ(ftpが勝手に読む)んだと
思ってたけど。

427 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/15 12:08

man ハ偉大ナリ
man シル　man シル　man シル

428 名前：421 投稿日：04/04/15 22:48

>>422-426
レスさんくすです。
sftpは.netrcを読まないんですね。

>.netrcは標準入力に与えるんじゃなくて、ただ記述しておくだけ(ftpが勝手に読む)んだと
思ってたけど。

明示的にする為にわざとそういう書き方をしています。


シェル内にsftpを組み込む時、いちいち１つずつファイルを転送するコマンドを書かずに、
１つの転送スクリプトにまとめておき、sftpに一度で読み出すようにしたいんですが
何か方法ってあるんでしょうか。

429 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/15 23:06

>明示的にする為にわざとそういう書き方をしています。

いや、それ間違ってるので。
標準入力に食わせるコマンド列と .netrc は文法が違うし、
そもそも -n という引数を与えなけりゃならんし。
詳しくは ftp の man を読んでくれ。
sftp の man も読むと答が載っててウマーだ。

430 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/16 08:14

>>425
読み方なら知ってるよ。
それとも「似て非(あら)ざる」という言い回しがあると言ってるのかな？

431 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/16 10:57

「あらざる」が否定の否定とはどういうことだ？

432 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/16 11:39

「非(あらず)」が否定で、それにさらに否定の助動詞「ざる」がくっついてるから、かな。

433 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/16 13:28

という恥ずかしい勘違いを>>423はやっちまったわけだな。

「非ず」は「あり」+「ず」だろ。

「似て非ざる」を「似て非なる」に訂正したはいいが、蛇足だったな。

434 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/16 20:54

どうでもいい箇所の揚げ足とって面白いんだろうか？

435 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/16 22:20

>>423=434
そんなに悔しいか。なら始めっから間違った知識でひとの揚げ足なんか取るなよ。

436 名前： 投稿日：04/04/20 12:42

どうして誰も書かないのか不思議だが…、

　　　OpenSSH 3.8.1　＆　OpenSSH 3.8.1p1　　あげ！！！

437 名前：436 投稿日：04/04/20 12:44

あー、間違えたｽﾏｿ

移植版じゃない方（OpenBSD専用版）は 3.8 のままなのか

438 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/20 12:46

なんで、 3.8p2 じゃなくて 3.8.1p1 なのだろう？？

439 名前：436 メール：sage 投稿日：04/04/20 12:48

http://www.itmedia.co.jp/enterprise/0404/20/epn06.html
にハメられた…コンチックショ

440 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/20 12:50

>>438
"p" は patch level の "p" でなくて portable の "p" のことと思われ。

つまり、本家が 3.8 → 3.8.1 に上がって、
portable もそれに追従すると 3.8.1p1 になる、と。

441 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/20 13:28

早速 3.8.1p1 を入れようと思うが
元の ssh と同じ prefix じゃないとヤバいのかな？

442 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/20 16:31

>>440
つーか、3.8.1 はでてねーんだなこれが。>>437 のとおり。
see ttp://www.openssh.com/

443 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/20 16:54

>>442
あ、はい、それは了解してますが、一般的なバージョン付けの話ということで。
紛らわしい話をしてしまってスマソ。

444 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/21 13:40

超初心者です。
sshを使うように命ぜられましてtelnetでログイン後
a@a ssh-keygen -t rsa1
enter
パス入力*2

と行っているのですが、prng_seedが作成されません。
identityとidentity.pubは作成されています。
その後authorized_keysを作成してidentityをbinaryでローカルにFTPしても
やはりログインできません。

別の人が同じ手順でやると、きちんと出来るのですが
何かユーザーに権限とか必要なのでしょうか。

445 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/21 20:53

宿題だか研修だか知らんが、まあ頑張れ

446 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/22 09:42

>>444
情報が少なすぎorあいまい。
ローカル、リモートを区別するために、それぞれ命名すること。
各種の操作をどちらで行ったか書くこと。
telnetかsshとか両者がからむときは、どちらからどちらへの操作か書くこと。
OS, sshのバージョンも場合によっては必要。
ssh -vの結果を、うまくできる人と比較すること。
本当に同じ手順で同じことをやったの？
ところで、秘密鍵をFTPで転送したりするの？

447 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/22 12:17

>>442
OpenBSDのcvs headのsshは3.8.1だよん

448 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/22 12:24

sftpでうpろーどできんの？

449 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/23 01:11

>>444
~/.ssh/は0700じゃないとダメなので確認する。
authorized_keysも0600が望ましい。

450 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/04/23 01:12

あ、秘密鍵送ってんのか。駄レスｽﾏｿ

451 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/02 14:41

初心者なので分からないのですが、
あるPCにSSHログインした場合、どんなログ情報が残るのですか？
220.xxx.xxx.xxx -> 159.xxx.xxx.xxx
とだけしか残りませんか？
その後のディレクトリの移動もログに残りますか？
ログの場所はどこですか？教えてください。すいません...。

452 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/02 14:46

>>451
管理者に聞いて下さい。

453 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/02 15:03

特定のディレクトリに入ってきたら
ログを取るような設定は出来ますか？

454 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/02 15:07

(´-`).｡ｏＯ(何がしたいんだか…)

455 名前：ばんざぁ〜い！君でしこってよかったぁ メール：あげ 投稿日：04/05/02 15:14

いえぇ〜い！ばんざぁ〜い！君でしこってよかったぁ
このままずぅ〜っとずぅ〜っと　死ぬまでオナニ〜

>>454
恐らくＳＳＨなんてどうでもいくて　かまってほしかっただけなのでは？
質問内容自体が具体性に欠け漠然としているので
さして緊急でもなかろうて

456 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/02 15:41

>>427
これ気に入った。

457 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/02 17:48

>>456
うむ。特に黄金厨は。

458 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/03 08:24

>453
Windows ならできるけど、Unix でもできるのかは知らない。

459 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/03 11:18

「できるかは知らない」→「できるかどうかは知らない」

460 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/03 20:17

>>441
なぜそう思うの？

461 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/03 22:50

依存関係。ssh/ssl を利用しているバイナリを把握できないでいるので。
他に安全策などありましたらお知らせ下さいな。

462 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/04 01:24

>>461
全部再コンパイルする

463 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/04 16:42

SFTPでUTF-8なfsの日本語ファイル名を読めるクライアントってありませんか？

自宅のファイル鯖(FedoraCore1)を普段Sambaでマウントして、外出先でファイルが
必要となった場合はSFTPで取り出す・・っというような事をやってます。

Sambaの設定はUTF-8、fsもUTF-8なので自宅では問題ないんですが、外出先だとSamba
で保存した日本語ファイル名が文字化けします。

FedoraをEUCで運用＆>>210のパッチ・・・っという方法以外でありましたら
助言お願いします。

464 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/04 16:47

>>463
emacs

465 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/07 04:06

>>463
確かFilezillaにパッチをあててた人がいたけど、今ぐぐっても見つからない・・・

ここのページのリンクは切れてるけれど、どこかにあるはずなので探してみては？
ttp://yusukebe.com/archives/2004_03_12_033135.php

466 名前：463 メール：sage 投稿日：04/05/07 08:30

>>465
リンク切れのようですね。

ただ、色々探してみたところ、その改造版はEUC→SJISのような感じです。
UTF-8→SJISの物はやっぱりまだ無いんですかね。

あんまりUTF-8のfsってなさそうですし。。

467 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/08 04:34

>>466
あれ？変換元の文字コードはいくつかから選択できたと思ったのだけれど。
気のせいだったかな。

468 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/09 00:55

port forwarding を imap のために使っています。

しかし、ノートPCをスリープさせ、復帰させると多くの場合 port forwarding
のコネクションが切れてしまい、改めて port forwarding する必要があります。

zebedee というものが便利そうだと思ったのですが、これはサーバ側のポート
を開ける必要があるので、サーバの設定変更の権限のない私にはだめでした。

zebedee のように常時特定のポートを listen するような ssh のラッパーって
ありませんか？

469 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/09 19:34

>468
シェルが解放されてるんなら、zebedeeをバッググラウンドで起動しとけばいいんじゃん？
一般ユーザでもできるよ。

470 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/10 00:59

>>469
そうなんですか？
ちょっと試してみます。ぬりがとう。

471 名前：468=470 投稿日：04/05/10 02:08

>>469
すみません。誤解させたようです。

確かに shell は解放されているので、ユーザプロセスで zebedee を走らすこ
とは可能なんですが、サーバ側で走る zebedee はどこかのポートを listen し
なくてはなしませんよね？つまり、外からそのサーバのそのポートにつながる
ようにルータをいじらなくてはいけないと思うのですが、私は勘違いしてます
か？

上が正しいとすると私はルータの設定をいじれないので、やっぱり無理だと思
います。ちなみに、そのサーバには ssh だけがつながるようにルータが設定さ
れてます。(なので、ssh のラッパーがほしぃ...。)

472 名前：469 メール：sage 投稿日：04/05/10 02:21

>私は勘違いしてますか？
いやモロ正しいですｗ。
自宅サーバに外からつなぐ環境で試したので、ルータをいじれないところまで
考えていませんでした。ごめん〜。

特定のポートをリスンして、リクエストが来たら
PortForwarder ( ttp://www.fuji-climb.org/pf/JP/ )
をキックするスクリプトならチャチャっとすぐできるかもよ？　

473 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/10 08:19

>>471
zebedee を使わない ssh ラッパーが有るのなら、その方が良いのは当然だが、

imap サーバにsshで入る事ができるのなら、
imap クライエント側(ノートPC)でzebedee をサーバ・listnmodeモードで動かす。
imap サーバ側で zebedee をユーザプロセスでクライエント・モードで動かす。
方法がある。この場合、imapサーバ側では、ポートをリッスンせず、ノートPCに接続しようとするだけだから、ポートを開ける必要が無い。

より具体的には、
ノートPCで zebedee をサーバ・listenmodeで動かしたら、
ノートPCからimapサーバへssh で入り、zebedee をクライエント・モードで動かす。
だから、スクリプトは難しくない。

既出かもしれないが、zebedee はデフォルトだと暗号化しない設定でコンパイルされているバイナリがあるので、keylengthパラメータを設定しておく方が無難。

474 名前：468=470 投稿日：04/05/11 00:26

>472
Mac なので、PortForwarder は使えませんが、自分でスクリプトを書こうかと
思いつつあります。

>473
そんな使い方があるとは知りませんでした。
紹介ありがとうございます。
しかし、ノートPCがオフラインからオンラインになる際にzebedeeを上げ直すの
はsshを張り直すのとコストが同じな気がするので、やっぱり、自分でスクリプ
トを書いてみます。

みなさまお騒がせしますた。

475 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/17 17:36

PuTTYに関する質問です。

WinXPで使っていたPuTTYを削除したのですが、調べてみると、
以前ログインしたホストキーがレジストリに残っているみたいです。
どこを削除すればこの情報が消えるのでしょうか？
初歩的な質問ですいません。

476 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/17 17:40

「残っているみたい」なところを削除すればいい。

477 名前：475 メール：sage 投稿日：04/05/18 01:46

>>476
なるほど、解決しました。
ありがとうございます。

478 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/18 01:52

>>477
そんなレスにいちいち感謝しなくていい。
ｴｽｴｽエッチしたことない俺でも言える。

479 名前：476 メール：sage 投稿日：04/05/18 01:59

仕方ないなぁ。
HKEY_CURRENT_USER\Software\SimonTatham
あたりを調べてみ。

480 名前：476 メール：sage 投稿日：04/05/18 02:00

もう解決したか、こいつはしつれー。

481 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/21 14:55

自宅からお客のデータセンターにSSHでポートフォワードしたりしてメンテに活用してるんですが、
トラブルなんかのとき電話で連絡しあいながらだとメンバーとの連携がうまくいかないんです。

そこでデータセンター内にスタンドアロンのircdを上げようかと思ったんですが、
TCPとUDPの両方を使うような噂です。（スタンドアロンじゃない場合にUDPを使ってる？）
クライアントとの接続にもUDPが必須だとするとSSHのトンネルでは使えないですよね。

実験しようにも自由になる環境がなく、どなかた実績がある方がいれば
使えるのかどうか教えてもらいたいのですが・・・

482 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/22 03:32

デスクで Windows を使っていて、Putty + Pagent を
使って FreeBSD に公開鍵認証で接続しています。
その FreeBSD から、何台かの Server に ssh で
接続しなければなりません。そこでの認証にも
Pagent を使うことはできないのでしょうか？
現在は FreeBSD 上で keychain を使っていますが
認証を 2 回しなくていけないのでちょっと面倒です。

483 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/22 09:35

>>482
×pagent
◯pageant

エージェントのフォワードを使えばいいはず。

484 名前：482 投稿日：04/05/22 11:15

>>483
ありがとうございます。

ポートフォワードをすればよいとのことですが
よく理解できません。もうちょっとヒントを下さい。

485 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/22 11:44

>>484
ポートフォワードなどとは誰もいっていない。

486 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/22 14:09

>>482
同じアカウントなんだろ？
ならどのサーバーにも同じ公開鍵を置いておけば良いだけの話だ。

487 名前：482 投稿日：04/05/22 14:46

>>486
Windows から login するのは FreeBSD だけです。
その 他の Server は FreeBSD を経由して login
しないといけないのです。

他の Server への認証も pageant を使って認証
できますか？

488 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/22 14:52

>>487
その FreeBSD 機のアカウントの公開鍵を
その先の何台かの Server に置いときゃいいのでは？

489 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/22 15:26

>>487
エージェントのフォワードしろっつの

490 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/22 15:38

manをみようともせず、具体的なやり方要求する教えて君は氏んでくれ。

491 名前：482 メール：sage 投稿日：04/05/22 15:52

>>488
その公開鍵の対になる秘密鍵は pageant で使っている奴を
流用するのですか？ その場合でも、もう一度 FreeBSD から
他の Server に login する時にパスフレーズを入力する
必要があると思います。

>>489
> エージェントのフォワードしろっつの
port foward と勘違いしてました。
ForwardAgent をすればできるようです。
ありがとうございました。

>>490
はい、氏にますよ。

492 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/25 02:54

man sshd_configに載ってなかったのですが、
デフォルトのディレクトリを決めて、
それより上位のディレクトリにはいけないように
するにはどうすればよいのでしょうか？
あと、suでroot権限を持つのを禁止するにはPAMの設定で決めるのでしょうか？
configファイルでなんとか設定できないでしょうか？

493 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/25 07:31

>>492
シェルの起動後にsshdからいろいろ制御するのは困難でしょうね。
authorized_keysで使えるコマンドを制限できるので、
chroot環境か独自シェルだけにするとかは可能だけど。

494 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/25 10:45

>>492
あちこち見られたら困るようなユーザには
シェルを使わせるべきではない。

> あと、suでroot権限を持つのを禁止するにはPAMの設定で決めるのでしょうか？
ssh とは関係ない。
使用している OS のスレで聞いてくれ。

495 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/25 11:35

>>492
"ssh chroot"でぐぐればぁ〜

suの質問ははげしくスレ違いだけど
PAMでもできるし〜、rootのパスワードつぶしてsudo使うってのもあるよね

496 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/30 03:41

なんか、安全なバッシュあったべ？

497 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/31 10:37

安全靴でバスケはしないよ？

498 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/31 10:48

バッシュ ザ スタンピード

499 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/31 10:57

フランコ・バッシュ

500 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/31 16:50

俺は492では無いですが、自分もやってみたかったんでググってみました
http://nadmin.org/howto/chrooted-ssh.html
ここっぽいんですが、
/path/to/chroot/./home/username
の意味がサッパリ分かりません。
どういう意味なのでしょうか？（pathとかtoとか

501 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/31 16:59

>>500
そのまんま chroot 先の path って意味でしょ。

502 名前：500 メール：sage 投稿日：04/05/31 17:09

???
ｻﾊﾟｰﾘです(汗
例を挙げて頂ければ嬉しいのですが；

503 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/05/31 17:25

>>502
ごくありきたりな書き方なのでわからないならくだ質で聞いてください

504 名前：500 メール：sage 投稿日：04/05/31 17:26

>>503
分かりました。
すみませんスレ汚しをしてしまって。
ではでは

505 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/01 23:40

WinSCP 使ってると、稀にリモートサーバーの特定のパスが
すりかわったようになってしまうことがある。そんかことって、ない？

例えば
/path/to/dokka
に移動したいのに、移動してみると常に
/home/jibun
になってしまうとか。

起動しなおしても直んない。Windows ごと再起動すれば良かったかも。


・・・てなことを質問するスレはどこにあるでしょうか？

506 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/02 08:46

「コマンド」→「キャッシュをクリア」で治りました。
ども。

507 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/03 22:03

ルータ経由で外に出るのですが、接続LAN内からはrootログインOK、外からはダメみたいなことってできますか？

508 名前：名無しさん＠お腹いっぱい。 投稿日：04/06/03 22:19

ルータ経由で外に出るのですが
ルータ経由で外に出るのですが
ルータ経由で外に出るのですが
ルータ経由で外に出るのですが

外からはダメみたいな…

509 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/03 22:19

>>507
authorized_keysでアドレス制限がかけられる。他にもいろいろある。

510 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/03 23:40

rootログインを制限することで何が安全になりますか？

511 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/04 00:44

rootでログインできなくなります。

512 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/04 15:20

性欲を持て余す。

513 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/04 20:34

もしかするとFAQかも知れないんですが..
ファイアウォールの中の計算機(会社や大学など)に外から入りたい場合、
普通はその中の計算機から
inner% ssh -R 12345:localhost:23 outer
して、ファイアウォール外のホスト outer のポート12345にアクセスすれば
(例えば)telnet で外から入ることができますよね。

ただ、現在はセキュリティ上の考慮から、ほとんど全て?のファイアウォール外
のホストは、特定の既知ポート以外は閉じて外からアクセスできなくなっている
ような気がします。
ということは、この ssh のポートフォワードを使って外から自分の普段使っている
計算機に入るのは事実上無理ということでしょうか？
中身が0で攻撃されてもOKの、踏み石としてだけのサーバーがあれば
いいんですが..。
何かやり方があるようでしたら教えて下さい。

514 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/04 20:39

一体何のための火壁だよ

515 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/04 21:12

>514
セキュリティ的に危険なのは承知として、
ssh の -R は本来それができる機構ではなかったかな、という意味でした。

516 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/04 21:42

インターネット上にsshのポートが空いてるホストはいくらでもあるよ。
外部ホストは自宅のWindows(cygwin)やOSXでもいいわけだし。

でも事を運ぶまえに管理者へ相談は必ずしてね。最悪泣きをみるから。

517 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 13:53

ﾘﾓ-ﾄで設定してていきなり iptable -t filter -P INPUT DROP

orz

518 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 14:11

>>516
22番が空いてる無料サーバはいくらでもあるみたいですが、
ポートフォワードができるような他のポートを使える(サーバを立て
られる)ようなサーバはあまりないような気がするんですよね..。;
# それができると、せっかく telnet を禁止していても、例えばstoneで抜け道
を作ることができるからでしょうか。

>でも事を運ぶまえに管理者へ相談は必ずしてね。最悪泣きをみるから。
そうですね。うーん。

519 名前：名無しさん＠Ｅｍａｃｓ メール：sage 投稿日：04/06/05 15:41

> 中身が0で攻撃されてもOKの、踏み石としてだけのサーバーがあれば

中身がなくても、踏み台として使われるから攻撃されちゃだめだよ。

520 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 16:59

>>518
そりゃお前みたいなユーザがいるとセキュリティ計画めちゃくちゃになるからなあ。
管理者も大変だわ。

521 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 19:01

>>520
「お前みたいな」なんて言われる筋合いはない。
可能性の話として議論できないのかなぁ。

522 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 19:12

殺伐としてて(･∀･)ｲｲ!!

523 名前：名無しさん＠お腹いっぱい。 投稿日：04/06/05 19:13

SSH：Special Service Hourって友達が言ってたんですけど本当ですか？

524 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 19:17

あなたのような、ならいいのかしら

>>521
えー、そりゃできないよ。そういうホストを仮定できる環境が
思いつかない。一般的でない。
自分がよくても管理者（多かれ少なかれおまいもそうじゃろ？）が
ヒドい目にあうぞな。だから気をつけてね >>518

525 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 19:23

>>521
幼稚すぎて可能性の議論とは認められない。従ってお前呼ばわりされてもしょうがない。

526 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 19:35

一体何のための火壁だよ

527 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/05 20:36

火壁に触る奴は無差別にそのIPを他所にバラ撒くで手を打とうかね

528 名前：ﾈﾀﾆﾏｼﾞﾚｽｶｺ(ry メール：sage 投稿日：04/06/06 14:48

>>523
Secure SHell

529 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/09 10:25

>>513
ssh のポートフォワードを使わなくても、
sshで ファイアーウォールの内側から外に出る事ができるのなら、
ファイアーウォールの外から内側に入る事は可能。

ただし、許可されていない方法(管理者が知らない方法を含む)で、外部から内部へ入った場合、不正アクセス禁止法で刑事訴追される場合がある。管理者は告発する事ができる。

# 今じゃ、管理者の御叱言だけでは、すまされない。

530 名前：名無しさん＠お腹いっぱい。 投稿日：04/06/13 19:39

cygwin で

ssh-keygen -t rsa

してパスワードを適当にうったところ

open ~/.ssh/id_rsa failed: No such file or directory.
Saving the key failed: ~/.ssh/id_rsa

となり失敗します．
たしかに， .ssh 自体が最初からないのですが，
なければ作ってはくれないのでしょうか？

531 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/13 19:44

>>530
ssh-keygenは~/.sshがなければ勝手につくってくれる。
ホームに至るまでのパーミッションがおかしいのでは？

532 名前：名無しさん＠お腹いっぱい。 投稿日：04/06/24 11:22

ホストAとBの間で複数のサービスをトンネリングするとき、
サービスの各ポートを仮想化して実際のポートを
１つにまとめることはできませんか？

HOST-A　　　　　　　　　　　　HOST-B
　｜　　　　　　　　　　　　　　　　｜
============================================ TCP over http/443など１つ。
　｜　　　　　　　　　　　　　　　　｜
　<---------ftp------------>　…仮想ポート1,2
　｜　　　　　　　　　　　　　　　　｜
　<---------telnet --------->　…仮想ポート3
　｜　　　　　　　　　　　　　　　　｜
　<---------その他 -------->　…仮想ポート4
　｜　　　　　　　　　　　　　　　　｜
　<----------------------->　…仮想ポート5
　｜　　　　　　　　　　　　　　　　｜
=============================================
　｜　　　　　　　　　　　　　　　　｜


sshの話題じゃないかもしれませんが、
トンネリング扱ってるスレが他に見当たらないので。
（適当なスレがあったら移動します）

VPNってのがそうなんでしょうか。
ちなみにSoftEtherみたいな大掛かりなのは導入したくないです。

533 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/06/24 13:11

>>532
> ホストAとBの間で複数のサービスをトンネリングするとき、
> サービスの各ポートを仮想化して実際のポートを
> １つにまとめることはできませんか？

いまんとこ SOCKS only だから御希望の動作とはちと違うかもしれ
ないけど、OpenSSH の dynamic port forwarding で似たようなこと
が可能なんじゃないかな。

534 名前：ｳｻﾁｬｿ メール：bill@microsoft.com 投稿日：04/06/24 22:50

微妙にスレ違いでｽﾏｿ。

SFU に SSH でログインすると、ホームじゃなくて / に入ってしまう…。
これは、「そんなワケの判らないもの使うな」って神の啓示なんだろうか。

教えて！エロい人！！

535 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/25 11:22

何を教えればいいんだろう。

536 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/25 12:38

>>534
それはきっと神の啓示だと思われます。

537 名前：ｳｻﾁｬｿ メール：sage bill@microsoft.com 投稿日：04/06/25 22:01

そうか！神の啓示だったんだ！！


…って、自己解決しますた。ｽﾏｿ。
どうもドメインユーザーだとそうなってしまうらしい。

ssh +usachan hoge

だとローカルアカウントのホーム C:\Documents and Settings\usachan
に入るけど、

ssh DOMAIN+usachan hoge

だと / に入ってしまう模様。
別ドメインの同名ユーザーが、同じディレクトリにログインしてしまうとは…。
こりゃ Cygwin 使えってこと？

538 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/27 19:19

SSHによる遠隔操作は、外部CGI実行プログラム（Perl,sh）からも
クライアントとして実現できますか？

それともやはりターミナル、専用クライアント（TTSSH等）しか不可能なのでしょうか。

539 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/27 19:25

>>538
できるよん

540 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/27 19:41

ただし、できるということが即やっていいことを意味しないので慎重に検討すべし。
ヘタすりゃ大穴が開きかねん。

541 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/28 16:38

.ssh/authorized_keysにcommand=hogeとか書いておくのがふつ〜かな?
ただ、パスフレーズなしな公開鍵による認証にする場合が多いんで、鍵の管理には
注意が必要。

542 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/29 20:23

Perl,shで書かれたCGI式のSSHクライアントを配布してる場所ありませんか？

Javaアプレット形式のクライアントは発見できましたが
あまり使い勝手が良くなかったので。

543 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/29 21:32

>>542
webmin

544 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/30 11:38

>>543
レンタルサーバーなのでインストールは出来ないです。。
PerlモジュールのURI::SSHや、
シェルスクリプトによるssh接続などのサンプルスクリプト等が
載っているページを探してるんですが見つかりません。。

545 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/06/30 11:56

>>544
板違い。WebProg板へいってらっしゃい

546 名前：名無しさん＠お腹いっぱい。 投稿日：04/07/02 00:16

春山さん乙でつ

547 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/02 00:26

だれそれ

548 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/02 15:30

確かに春山は新山ほどには有名じゃないだろうけど
それでも知らないってのは弱すぎるんじゃね？

549 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/02 19:04

あ、そうなの？
どっちも同程度に有名だと思ってた。

550 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/02 22:43

で、何者なのさ。

551 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/03 00:20

春山さんの著書
http://www.amazon.co.jp/exec/obidos/ASIN/4763191594/

新山さんはこっち
http://www.amazon.co.jp/exec/obidos/ASIN/4535512736/

552 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/03 06:32

>549
春山っていうと、なんだろうな。東大、OpenSSH、goRua って感じかな。
新山っていうと、なんだろうな。東工大、djb、地下鉄話って感じかな。
新山って、山形のファン掲示板にも出入りしててちょっと恥ずかしい
感じを露呈してるけど、地下鉄話は結構よかったし、qmail 使おうと
したヤシなら一度は世話になってるんじゃないかと思うんで、
新山の方が名は売れてるんじゃないかな、と思う。

553 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/03 10:57

なんだ、結局人の尻馬に乗っていきがってる香具師らか…
さむいの〜

554 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/03 11:00

どっちもﾁｮｿだってことだろ

555 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/03 12:06

紳士服?

556 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/05 22:20

だれもが巨人の肩に乗ってるんだよ。

557 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/05 23:19

そうでもないがな

558 名前：名無しさん＠お腹いっぱい。 投稿日：04/07/29 02:25

神降臨
「ファイル名を サーバ: EUC-JP ローカル: SHIFT_JIS となるように変換します.」
ttp://www.unixuser.org/~haruyama/software/filezilla_patch.html


以前公開されていたファイル名変換パッチとは別の方が製作なされたもよう。
ほんとうにどうもありがとうございます。 ＞ パッチ作者様 (神)

559 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/29 18:28

>>558
cygwin のこれが欲しいな

560 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/07/30 14:47

unixuser のくせに Windows アプリのパッチなんて作ってんのかｗ

561 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/08 12:07

FileZilla のほうは PuTTY の修正版出たヨ。

>>560
何もしない人乙

562 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/08 22:39

>>561
>>560は放置ということでﾖﾛｼｸ

563 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/09 22:44

WinSCP も修正版きました

564 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/11 03:46

最近、

Aug 11 01:52:28 ...... sshd[24725]: Illegal user test from 202.102.242.178
Aug 11 01:52:29 ...... sshd[24727]: Illegal user guest from 202.102.242.178
Aug 11 01:52:29 ...... sshd[24728]: Illegal user test from 202.102.242.178
Aug 11 01:52:30 ...... sshd[24731]: Illegal user admin from 202.102.242.178
Aug 11 01:52:30 ...... sshd[24733]: Illegal user guest from 202.102.242.178
Aug 11 01:52:31 ...... sshd[24735]: Illegal user admin from 202.102.242.178
Aug 11 01:52:31 ...... sshd[24737]: Illegal user admin from 202.102.242.178
Aug 11 01:52:32 ...... sshd[24739]: Illegal user user from 202.102.242.178
Aug 11 01:52:32 ...... sshd[24741]: Illegal user admin from 202.102.242.178

みたいなログが多いんだけど、これ何？

565 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/11 08:13

sshd Illegal user

でｸﾞｸﾞれば出てくるだろーに。
スクリプトかなんか使った不正アクセスだよ。

566 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/11 08:43

>>564
先月末から何度もアクセスしてくるな。
たぶん、このユーザーで入れるルーターか何かがあるんじゃなかろうか？

567 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/11 11:49

何回かログイン失敗したホストからの接続を認証前にはじくにはどうすればよいでしょうか？

568 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/11 13:20

>>567
そんな難しいことしなくても、jp以外をハジけば大抵解決するがな。

569 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/11 15:12

svscan -> tcpserver -> sshd -> multilog な環境だと楽かも。
multilog から、illegal 吐き出したホストを積算して規定数以上溜まったら tcp.ssh.cdb に、:deny 書き出して制限するとかね。

570 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 01:33

というか自分の管理ホスト以外からはport 22ってブロックしません？

571 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 02:00

>>570
そうだね。

572 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 09:22

>>570
そうしたいけど、外からメンテするときに困る

573 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 09:26

>>572
いいんだよ、それで。鍵交換認証にしておけば問題なし。

574 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 13:17

>>573
どういう意味？

575 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 13:57

>>574
（ ﾟдﾟ）ﾎﾟｶｰﾝ
まさか、パスワード認証のみなんてことは．．．

576 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 14:01

keygen

577 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 14:07

>>575
鍵交換認証ならポート 22 閉じててもいいの?

578 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 14:16

>>577
いいんだよ、それで。鍵交換認証にしておけば問題なし。

579 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 14:18

>>577
いいんだよ、それで。ポート 23 開けておけば問題なし。

580 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 14:56

echo +>/etc/hosts.equiv しておけばいいんじゃなかったっけ？

581 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 19:21

お前ら・・・

582 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 20:05

>>573 がちゃんと説明しないのがいけない。

583 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/12 22:58

説明しなきゃわからんのか。ssh使う意味あるのかい。

584 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 01:04

>>583
port 22 をブロックしたら当然外から接続できないと思うのですが、
それで「鍵交換認証にしておけば問題なし」の意味がわからない。

「鍵交換認証にしておけば port 22 をブロックしても外からメンテするのに問題ない」
とは一体どういう意味かと？

585 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 01:06

ネタにマジレスすんなよ。

586 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 01:12

きっと別ポートで sshd 動かすんだよ

587 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 01:32

584ってマジレスなの？
学生のうちにもっと読解力をつけたほうがいいよ。おじさん心配。

588 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 01:38

>>587
人生の先輩として
どの辺がおかしいのか教えてやってくれ。

589 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 01:52

telnetdを22で動かしてる俺は勝ち組？

590 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 04:46

>>589
笑わせ組

591 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 06:31

>>589
笑われ組

592 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 08:55

そして後から泣く組

593 名前：573 ではないが メール：sage 投稿日：04/08/13 09:26

ブロックしたいけど、外からメンテするときに困るから、ブロックしない。い
いんだよ、それで。鍵交換認証にしておけばブロックしなくても問題なし。

594 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 13:22

>>593
>>573 の「いいんだよ、それで」の「それ」が曖昧でワケワカだったのですが、
「port 22 を閉じなくてもいいんだよ」という意味だったんですね。
やっと意味が通ってスッキリしました。

595 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 17:44

>>594
そして、「うぐぅsshdのsecurity holeを突かれちゃったよ」ってことになるんだにょ。

596 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 18:45

>>595
そこまで言ったら、どのポートも空けられないわな

597 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 19:03

WANにつないでない俺は勝ち組。

598 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 22:43

漏れの彼女も鍵認証です known_hosts

599 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/13 23:16

>>598
気をつけて。
↓
彼女にloginできません
http://pc5.2ch.net/test/read.cgi/unix/1007136614/l50

600 名前：573 ではないが メール：sage 投稿日：04/08/13 23:41

600!

601 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 03:43

ちゅーか自宅からログインする可能性があるユルめの踏み台ホストを一台作って。
他の管理ホストはその踏み台からだけ許可しておけってことだ。

踏み台ホストはhosts.allowでsshd : .marunouchi.ocn.ne.jp : allowみたいなちょっとユルめの設定にしたり。

602 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 04:54

それじゃネカフェからメンテできません

603 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 06:43

どうして？
ネカフェから踏み台にログインして、それからメンテすりゃいいじゃん。
marunouchi.ocn.ne.jpはあくまでも例だぜ。

604 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 07:10

>>602
世界中のネットカフェを登録しておく

605 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/14 07:16

ユルめの踏み台ホストに進入されるかもしれないので、もう一台ユルめの踏み台ホストを作って（以下エンドレス）

606 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 08:23

>604 (･∀･)ｲｲ!!

607 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 12:37

webから接続申請するフォームをつくって、
その元アドレスからport 22へのSYNパケットを5分間だけ許可するようにしてる。

608 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 14:46

ＩＳＰのメールボックスに署名付暗号化メールで接続申請を出して、
その中に書かれたアドレスからport 22へのSYNパケットを5分間だけ許可するようにしてる。

609 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/14 15:35

>>608
嘘ばっか。

610 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/15 00:10

まぁtcpserverとか駆使すれば出来なくは無いが。

611 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/17 03:16

最近sshdへの不正アクセスがあちこちで起こってるらしいよ。
久々にログ見て発見した。
上と同様、test、guest、admin、user、rootでログインしようとしてきてる。
rootではパスワードが違うってログに残ってる。
大体この順でアクセスを試みている点から見て
ウイルスかその類のような希ガス。

612 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/17 08:21

>>611
ばっか。

613 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/17 09:17

>>611
脳天気な香具師だな。

614 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/17 10:40

中国、スウェデーン、韓国、日本、色んなとこからアクセスを試みてるよ。こういうのが最近流行ってるの?俺はもう引退したから良く分からないんだけどさ。とりあえずsshdを止めといた。ほとんど使わんので。

615 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/17 21:20

>>613
詳細きぼん

616 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/18 00:13

$ tail /var/log/authlog
tail: /var/log/authlog: Permission denied

617 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/18 03:18

>>611
AirH"でダイヤルアップしてるWin2000のノートPCがあるんだが、
Cygwinのsshdが(インスコした時のまま)パスワード認証で動いてて、
おまけにFWソフトの設定タコっててsshdへの接続全部素通し状態で、
昨日ふとイベントビューア見てちょっと青ざめちまった。

618 名前：初期不良 投稿日：04/08/18 12:08

なんか 3.9p1 が出とる

619 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/18 14:18

次は4.0かな?
どんなセキュホが仕込まれるのか想像したらオラすっげえワクワクしてきたぞ。

620 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/18 14:47

SHA の脆弱性関連？

621 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/19 01:25

春山さんのとこチェックしる。
http://www.unixuser.org/~haruyama/security/openssh/henkouten_3.9.txt

622 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/19 13:01

>>621
今回は無理に上げる必要はなさげですかね。

623 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/19 17:55

>>612-613

詳細をキボリヌ

624 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/19 19:08

アホな質問かもしれませんが教えてください。

sftpって、送るファイルそのものの安全制を確保するもので、サーバ側のIPフィルタなんかとは守る部分が違うものなんですか？
つまり、sftpで暗号化して送ったからって、ポートが開けっ放しじゃ意味無いよ、ってことなんでしょうか？併用するべきですか？

インターネットから会社のサーバにファイル転送したいんですが、IPフィルタがかかっていて、自宅PCは動的グローバルIPで何かと面倒なので、IPフィルタやめて、sftpでやったらセキュリティ的にどうにかならないもんだろうか、とちょっと思ったんですが･･･。

625 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/19 21:06

>>611

うちにも同じようなログが残ってます。
sshd_configで「PasswordAuthentication no」にしてパスワード認証は無効に
しているはずなのですが・・

Failed password for root from ｘｘｘ.ｘｘｘ.ｘｘｘ.ｘｘｘ port 50000 ssh2

ってなっていて凄く気になります。詳しい方や何か情報をお持ちの方はいませんか？

626 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/19 21:18

>>625
ばっか。

627 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/19 21:23

Failed だよ何言っているんだッ!!＼（ﾟ∀ﾟ）ノ

628 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/19 22:41

ちーとはｸﾞｸﾞれよ。

629 名前：625 投稿日：04/08/19 23:01

>>628

スミマセン・・
ｸﾞｸﾞってもそれなりに納得いく結果が得られませんでした。

630 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/19 23:03

>>624
何言ってんの?

631 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 10:06

>>625,629
ちっとは man sshd や man sshd_config しろよな。

632 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 14:26

>>611,>>625他
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
早い話が、どこぞのバカが不正にログインしようとしてるってことです。不特定多数
に対する攻撃のようですな。


>>628　ググっても見つからなかった

633 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 15:04

そりゃ探し方が悪い。
あるいは日本語のページしか探してないんだろ。

634 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 15:14

http://www.bayashi.net/svr/doc/ssh.html
を、参考にしてるのですが
/root/.ssh/ の中には
id_dsa
id_dsa.pub
id_rsa
id_rsa.pub
しかないのですが、
identity.pub
identity
はどこにあるのでしょうか？？

それと
# /etc/rc.d/init.d/sshd start
と、入力したら
Generating SSH1 RSA host key: [ OK ]
Generating SSH2 RSA host key: [ OK ]
Generating SSH2 DSA host key: [ OK ]
Starting sshd: [ OK ]
と表示されるらしいのですが
Starting sshd: [ OK ]
しか表示されません。異常なのでしょうか？？

635 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 18:05

釣りじゃないことを願うけど、前者は
$ man ssh-keygen
で-t typeのところを見ればわかるかと。

後者はサーバが起動するたびにサーバ鍵が変わると普通は困るので、
鍵の自動作成は初回のみ(厳密には鍵がない場合)しか行われないってこと。

# 件のページは古いので今となっては正確ではない。
# というかああいう個人サイトは絶対複数のサイトを見て参考程度に留めること。
# 基本は一次情報です

636 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 18:22

>>635
identity.pub
identity
この二つはどのファイルに変わってるのか教えてくれませんか・・・？

637 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 18:51

>>636
今もそのファイル。SSHプロトコル1でしか使われないけど。

638 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 19:02

>>637
マジですか？？

/root/.ssh/ の中に
id_dsa
id_dsa.pub
id_rsa
id_rsa.pub
しかないのは、おかしいのでしょうか？
ちゃんと暗号キーを作成したと思ってたのですが・・・

639 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 19:07

> ちゃんと暗号キーを作成したと思ってたのですが・・・
ちゃんとやってない香具師に限ってそういうことを言うような気がする。

ちゃんと man ssh-keygen した？
ちゃんと ssh-keygen -t rsa1 した？

＃ ていうか、そもそも、いまどき rsa1 は要らん気もする。

640 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 19:43

>>633
例を示せ

＃ どうせ煽るためだけに来てるﾔｼだろうけどな


> あるいは日本語のページしか探してないんだろ。

　んなわけないだろアホ

641 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 19:43

「ちゃんと」をNGワードにする事をお推めします。

642 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 19:45

# ssh-keygen -t dsa
# ssh-keygen -t rsa
の二つしかやってません。

man ssh-keygen
は、今からやります。
ssh-keygen -t rsa1
は要らん気もするってことなのでやらないことにします。

643 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/20 20:31

かのｽﾚで続きが見当たらないと思ってたら このｽﾚに来てたのか （藁

644 名前：625 投稿日：04/08/21 10:39

>>632

情報ありがとう御座います！

PubkeyAuthenticationだけしか許可してないに何故

input_userauth_request: illegal user test
Could not reverse map address xxx.xxx.xxx.xxx.
Failed password for illegal user test from xxx.xxx.xxx.xxx port xxxx ssh2
Received disconnect from xxx.xxx.xxx.xxx: 11: Bye Bye

こんな感じのログが残るのか不思議・・

645 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/21 10:42

何が問題なんだ?
fail してるならいいじゃん。
つーか、FW なり tcp_wrapper なり AllowUsers なりで
接続元ホストを限定しとけよ。

646 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/21 12:19

>644 大丈夫、本当にやばい時はlogすら残らないから。

647 名前：632 メール：sage 投稿日：04/08/21 13:20

>>644
sshdはsyslogを通してログを吐く。
そのログは auth.info のログだな。（facilityが"auth"でlevelが"info"ってこと。）

どれくらい詳しくログを吐かせるのかも sshd_config で設定できる。
SyslogFacilityとかLogLevelの項目がそれ。

あとはマニュアル sshd_config(5) を読むこった。3.8.1p1のものだけど、マニュアル
の日本語訳もあるから（http://www.openssh.com/ja/manual.html）、それを参考にすれば
いいさ。

>>645の言う通り、それで問題ないだろ。
　・「不正に」ログインしようとした奴がログインに失敗した
　・そもそも許可されていない方法（パスワード認証）でログインしようとし
　　て本当にログインに失敗した
ってだけなんだからな。

　　　勉　強　し　ろ　ー　！！

648 名前：632 メール：sage 投稿日：04/08/21 13:23

許可されていない方法（>>625の場合ではパスワード認証）でログインしようと
して本当にログインに失敗した場合もログに残すという仕様になっているんだ
よね、sshdは。

649 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/21 17:00

ログの意味分からないやつがログを見てもねぇ……。

実はあちこちにクラックの痕跡が残ってたりして。

650 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/22 12:30

SSHの商標問題って最終的にどうなったの？

651 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/25 14:09

SSHの解説で一番わかりやすいのどこー？
参考にしてるサイトは少し内容が古いせいか知らないが
自分がやってる全然違う。最終更新日が二年前だったから？

652 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 14:31

>>651
OpenSSHのなにについての解説かしらんけど
ttp://www.openssh.com/ja/
まずはここ見て、わからんところをググればいいとおもう。

653 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 14:32

ごめん、OpenSSHじゃなくてSSHか。↑のは無視してください

654 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 14:38

SSHとOpenSHHってどこが違うの？？

655 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/25 15:45

>>654
いろいろ

656 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 16:06

いろいろってどこが？？

657 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 16:19

角度とか。

658 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/25 16:25

>>654のOpenSHHって何だ？

659 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 18:45

当たり具合とか。

660 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 19:43

一番使われてそうなんだけど以外と延びないｽﾚだね

661 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 19:55

>>660
別にアレコレと設定が必要でもないからね

662 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/25 23:56

SSHで作った鍵だけど、LAN上のPCに送る方法とかない？
やっぱりフロッピーに入れて移動させるしかない？？
フロッピー指すところがマザーにないんだけど・・・

663 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 00:02

1. USBメモリ
2. scp/sftp (パスワード・経路は最低限ではあるが暗号化される)

664 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 00:03

>>662
そのLAN上のPC上でopensslでキーペア作って公開鍵をSSHの鍵があるところまで送る、
SSHの鍵を公開鍵で暗号化してLAN上のPCに送る。復号する。以上

665 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 00:13

sshの秘密鍵を移動する必要はないでそ?
公開鍵は平文でも問題ないし。

666 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 00:19

>>656
ダメージとか

667 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 00:44

>>665
公開鍵はどうやって移動する?

668 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 00:59

>>667
まだ鯖を立てようとしてる段階なのでわからないです。
http://fedora.zive.net/openssh.shtml
を参考に鯖を立てようとしています。
秘密鍵はどういう風に使えばいいのかいまいち理解できておりません（汗

669 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/26 01:01

（汗
（汗
（汗
（汗
（汗
（汗
（汗
（汗

670 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 01:02

>>667
端末間でコピペ
メール
2chに書く

671 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 01:28

歌う

672 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 01:34

>>667 はネタでしょ。

673 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 01:35

公開鍵移すのにパスワード平文で流したりはするなよ。

674 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 01:44

>>673
パスワード認証だと平文で流れると未だに勘違いしてる馬鹿ハケーン

675 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 01:55

>>673
は？公開鍵って別にとられてもいいんだけどネタ？

676 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 02:17

>>674
そのくらいはわかっとるよ。
TELNET とか FTP で移すなよ、と。

>>675
パスワードって書いてあるの読めなかった?

677 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 07:54

>>676
(ﾟДﾟ)ﾊｧ?

678 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 09:26

telnet/ftpでログインするときにパスワードが平文で流れる
ってことが言いたいんだろ。

一発目の公開鍵をコピーするときはsshdをパスワード認証にしておいて
コピー後に鍵交換認証に変更する、でいいんじゃない。

679 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 12:49

>>676
言い訳苦しすぎ ﾌﾟｷﾞｬﾗﾋﾋ

680 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 13:41

インストールしてから最低限すればいいコマンド教えてください

681 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 13:51

↓ >>680 へお約束レスをどうぞ。

682 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 14:06

シェルスクリプトからSCP使ってサーバへデータコピーしてんだ
が、転送中にサーバが死んでもコマンド終了しません。
ボスケテ〜

683 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/26 18:37

>>680

>>681お言葉に甘えまして・・
まずrootでログインして「rm -rf /」のコマンドを実行してください。

684 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/26 19:12

PermitRootLogin = no じゃないのか。

685 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 06:03

>>683
Linuxだったら
shred /dev/hda
とかもいいよね。

686 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 15:02

rootでログイン許可しないほうが(・∀・)ｲｲ!!って書いてるサイトあるけど
LAN以外のPCからアクセスできないようにしてても危ないの？？

687 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 15:05

>>686
許可してるより許可しないほうが比較的(・∀・)ｲｲ!!のは議論するまでもない。
どうしてもしなきゃならんようなものでもないし。

688 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 15:19

rootを許可してもパスワードと秘密鍵がなければログインできないからいいんじゃない？？
こんな考え方の漏れは甘い？？？

689 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 15:33

root でいきなり入ると誰がアクセスしたの分からなくなるだろ。

690 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 15:36

漏れしか使用してないわけで。

691 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 15:59

>>686 >>688 >>690
好きにすりゃええやん。

692 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 18:35

LAN上からしか利用しないならTELNETでもいいよな？？
IPで制限しちゃえばいいことだし・・・

693 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 19:55

そのマシンへのアクセスはLANからしかできないとしても、
そのLANに繋がっている他のマシンもそうとは限らないわけで

694 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 20:03

こうして踏み台が作られていくのであった

695 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/27 21:23

telnetだとパスワード毎回入力せなあかんから
LANでもログインには使わない。
いまとなっては23番ポート以外に使う方が多そう。

696 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/28 03:02

そういう問題じゃなくてなぜSSHじゃないといけないのか，
なぜtelnetは危険なのかその理由を考えれば自ずと答えは出るはずだが?

697 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/28 04:36

なんでこんなレベル低いの？

698 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/28 04:57

2chだから

699 名前：名無しさん＠お腹いっぱい。[ メール：sage 投稿日：04/08/28 09:22

cron からrsyncで鯖の中身をバックアップ機に吸い上げたい、と。んで、

鯖の　/etc/.../sshd_configでは　PermitRootLogin forced-commands-only
にして、同じく鯖の　/root/.ssh/authorized_keys2には
command="rsync --server --sender -bulogDtprz --delete . /var/www/" ssh-rsa AAA...
と書いておくと。

これでバックアップ機からの
# rsync -auzb -e ssh --exclude='*~' --delete saba.com:/var/www/ /var/www
は動く、と。それは良いのです。

が、/var/www以外のディレクトリも同様にrsyncできるようにしたいとすると、
authorized_keys2にはどうやっとけば良いんでしょうか？単に同じpub keyをこぴぺして
command="rsync --server --sender -bulogDtprz --delete . /var/ftp/" ssh-rsa AAA..
みたいのを追加したんだけどは駄目なんですわ。最初に書いた/var/wwwのほうしか動かない。

これって、
command="rsync --server --sender -bulogDtprz --delete . /" ssh-rsa AAA...
とでもしておいて、とりあえず全部rsyncできるようにしておいて、いらないものを除外するために
長ーーーい Excludeリストを使え、つうことですか？

700 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/28 10:02

シェルスクリプトをつかうとか

701 名前：699 メール：sage 投稿日：04/08/28 12:17

>>700 どうも。wrapperにしないと駄目みたいですね。
鯖 saba.comに/root/remote-rsyncとか適当な名前のファイルを作って、

#!/bin/sh
if echo $SSH_ORIGINAL_COMMAND|grep -e "^rsync " >/dev/null 2>&1; then
$SSH_ORIGINAL_COMMAND
else
echo "No access. Sorry."
fi

としておく。ほんで、同じく鯖の/root/.ssh/authorized_keys2のほうは、

command="/root/remote-rsync" ...key...

としておく。そうするとバックアップマシンのrootから

# rsync -auzb -e ssh --exclude='*~' --delete saba.com:/どこでも/ /どこでも

がめでたく実行可能になりますた。OpenSSHのこのあたりのdoc、えらいわかりにくくて
難儀しますた。

702 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/08/28 19:45

>>701
> # rsync -auzb -e ssh --exclude='*~' --delete saba.com:/どこでも/ /どこでも
>
> がめでたく実行可能になりますた。

うーん、たしかにそれはそうだろうけど、

> #!/bin/sh
> if echo $SSH_ORIGINAL_COMMAND|grep -e "^rsync " >/dev/null 2>&1; then
> $SSH_ORIGINAL_COMMAND
> else
> echo "No access. Sorry."
> fi

これだとたぶん逆方向の rsync もできると思うので、事実上何も制
限してないに等しい気がする。

素直に rsync server を使うのが吉では (873/tcp を開けるのがヤ
なら over ssh で rsync server 起動することもできる)。

703 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/28 20:00

>>702 御意。

$ rsync -auzb -e ssh --exclude='*~' --delete saba.com:/どこでも/ /どこでも

とローカルで起動すると、鯖で動くのは

$ rsync --server --sender -bulogDtprz --delete . /home2/どこでも/

だから、鯖上の/root/.ssh/authorized_keys2で

#!/bin/sh
if echo $SSH_ORIGINAL_COMMAND|grep -e "^rsync --server --sender " >/dev/null 2>&
1; then
$SSH_ORIGINAL_COMMAND
else
echo "No access. Sorry."
fi

とでもすれば良い。これで逆方向rsyncは不可になる。

704 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/08/28 21:39

>>703
> とでもすれば良い。これで逆方向rsyncは不可になる。

いや、まぁ、それはそうなんだけど、それは document 化されてい
ない現行 rsync の振舞に依存しているわけだし、吸い出し only だ
としてもなんでもかんでも吸い出されて構わんというわけでもなか
ろうし、かといってさらに script の中で吸い出し可の領域をチェッ
クするなどと言い出したら繁雑でどうしようもなかろうし、という
ことで、

>>702
> 素直に rsync server を使うのが吉では (873/tcp を開けるのがヤ
> なら over ssh で rsync server 起動することもできる)。

だと思うわけよ。

705 名前：703 メール：sage 投稿日：04/08/28 21:58

>>704 コメントありが豚。
man rsyncd.conf読みますた。たしかに
use chrootできたり、pathが指定できたり、
こっちのほうがが遥かに良いね。873/tcpは
開けたくないので、over ssh 逝きます。

706 名前：名無しさん＠お腹いっぱい。 投稿日：04/08/29 21:14

Puttyが文字化けしていて困っています
日本語パッチはあたっていると思うのですが、
フォントの選択？が間違っているのかもしれません。

解決方法をご存知のかたよろしくお願いします

707 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/29 21:36

>>706
いまどきの文字化けの原因は、
フォントがサポートしていない文字セットを使ってる他に
期待している文字セットやエンコーディングとの相違があります。

接続先の環境をしらべてみてください。
Unix系OSなら
$ env | grep LANG
でわかるはずです。
そしてPuTTYの設定をすみからすみまで確認してください。

エスパーではないのでこれ以上はわかりません。
でもスレちがいの予感はします。

708 名前：706 投稿日：04/08/29 21:38

すみません、Putty自体が文字化けしています。（チェックボックスなど）
エクスプローラのような部分はきちんと表示されています。

709 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/29 21:44

予感的中
ttp://pc5.2ch.net/test/read.cgi/unix/1084686527/46-

710 名前：706 投稿日：04/08/29 21:48

>>709
ありがとうございました！！

711 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/30 02:26

>>611
rootはlogin許可しないだろう、普通。

712 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 10:42

>>711
ところがFedoraはデフォルトで許可な罠

713 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 11:01

SUSEもデフォルトで許可な罠
パスワードログインだって出来ちゃうよ

714 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 11:04

>>713
Debian も・・・

715 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 11:12

Linux って標準インストール（そういうものがあるのか知らんが）に ssh が入っているの？
入っているのに許可しまくりじゃ怖いな

716 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 11:21

>>715
Debian は、標準でインストールされるが、sshd をたちあげるかどうかは選べる。
Fedora は、標準でインストールされるが、sshd はデフォルトでは起動しない。

717 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 15:45

どんな大手ディストリビューションもOpenSSHが入っていてsshdが設定の有無はあるにせよ起動可能。
*BSDも同様。

718 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 15:58

>>717
なにを寝ぼけたことを言っているのやら。

719 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 16:08

そーですね

720 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 18:09

>>716
なるほど知らないうちにインストールされて
且つ、勝手に起動されるってことは無さそうですね。

721 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 18:14

昔は結構あったね。
勝手にサービス起動してるやつ。
最近はうるさいから。

722 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 19:20

>>712 あたり
そもそも上流で PermitRootLogin yes がデフォルトになってるのが謎だ。

723 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/08/31 21:11

>>716
Fedoraもデフォルトで起動されるが、
ファイアウォールのデフォルト設定で遮断される。

724 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 05:33

最近ssh2へのアタックが激しいんですが、
何かあったんですかね？

725 名前：724 メール：sage 投稿日：04/09/01 05:34

>>611 だったんですね ^^;

726 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 07:53

>>723
ファイアウォールって hosts.deny のこと？

727 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 08:34

iptablesじゃねぇの？

728 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 08:37

>>726
寝ぼけてるのか釣りなのか…

729 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 12:21

昨日の夜
Failed password for root from x.x.x.x port nnnn ssh2
が3秒おきに2650回... 鬱だ

730 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 15:10

>>729
/sbin/route add -host x.x.x.x reject

731 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 16:37

だからTCPWrappersで.jpと既知の接続元のみに絞っとけと(ry

732 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 20:22

rblsmtpd の ssh 版があるといいのかな？

733 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 21:07

tcpserverでsshdを待っていれば良い

734 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 23:34

iptablesだろ。

735 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/01 23:46

だから、どっからでもアクセスできるようにする必要は無いだろっつの

736 名前：729 メール：sage 投稿日：04/09/01 23:52

いや実際
PermitRootLogin without-password
だから 実害はないわけですがログが大量に出るのがいやなだけで Faildのはメールで届くようにしたんで朝見たら警告メールが2650通... と言うだけです。
どんな方法で拒否しても拒否したことをメール通知するようにしてたら同じだけ届くことには違いないわけでって、sshの話題じゃないですね。

737 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/02 00:06

>>736
ssh の前で drop しろっつの

738 名前：729 メール：sage 投稿日：04/09/02 01:26

>>737
dropしたらしたでdropした通知が来るわけで... ただの愚痴です。

739 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/02 01:47

ネタ？
仮にdropしたもの全部の情報が欲しいとしても
重要度の高い通知が埋もれるのは本末転倒なので、
都合のいい集計フィルタをつくったりするんだけどね。
賢いロガーをつかってもいいし。

740 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/04 00:25

リモートのサーバにあるファイルをPOPのようにSSH経由で(ただしPOPはまったく使わずに)取得→サーバ上のファイルは削除
ってのやりたいんだが、どうもうまい方法が見つからない。
rsync --deleteとかそういうのできるかと思ったができなかった(やるとしたら向こうからこっちにrsyncしないといかんヽ(`Д´)ﾉ)。

皆さん知恵を貸してくださいませ。

741 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/04 01:56

どうしても1コマンドでやりたければ、
ssh remote-host rsync --delete ...
とか。

742 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/04 16:23

>>740
smv 欲しくなるときあるよね。

743 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/04 16:48

ある、けど無い理由も解る

744 名前：名無しさん＠お腹いっぱい。 投稿日：04/09/07 12:29

接続元IPアドレスによって、
パスワード認証を許可するか or 公開鍵認証のみにするか
を指定するには sshd_config でどう記述すればよいのでしょうか。
どなたか教えてください。

745 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/07 12:53

>>744
sshdをふたつ立ち上げる。

746 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/07 13:25

あー、なるほど。
とほほほほ。。。。

747 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/07 15:44

>>746
tcpwrapper で IP によって sshd -f ... を twist する。

748 名前：名無しさん＠お腹いっぱい。 投稿日：04/09/09 00:25

多分初歩的なことだと思うんですが、

ttp://www.jp.freebsd.org/QandA/HTML/1949.html
を参照して、
鯖でssh-keygenして出来たid_dsa.pubを、クライアント側の~/.ssh/authorized_keys2にしたのですが、
入ろうとすると、Permission denied.(pubkey)と言われてしまいました。
何か勘違いしてますでしょうか？

pubkeyを使わずpasswd認証だけなら普通に入れてます。

749 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/09 00:39

>>748
とりあえずサーバー、クライアントのOS名とバージョン、
sshdやsshクライアントの名称とバージョンを書くよろし。

750 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/09 00:45

サーバ側の鍵をクライアントで認証したいの？？

751 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/09 00:51

>>748
> 鯖でssh-keygenして出来たid_dsa.pubを、クライアント側の~/.ssh/authorized_keys2にしたのですが、

逆。
クライアント側でssh-keygenして出来たid_dsa.pubを、
サーバー側の~/.ssh/authorized_keysにコピーしないと。

752 名前：748 メール：sage 投稿日：04/09/09 07:31

>>751,>>751
やはり初歩的(っつーか根本的)なことでした。
なるほどそういうことだったのか...
解決です。thx。

753 名前：初期不良 メール：sage 投稿日：04/09/09 07:37

公開鍵暗号の仕組みをもう少し理解して使った方がいいんじゃないかと...

754 名前：名無しさん＠お腹いっぱい。 投稿日：04/09/09 11:55

>>748の便乗質問です。

priとsecの2台のサーバがあります。
その2台のサーバに向かって、同じクライアントホストから、
telnetコマンドで22番をたたいてみると、

$ telnet pri.***.com 22
Trying...
Connected to pri.***.com
Escape character is '^]'.
SSH-2.0-OpenSSH_3.6.1p2

$ telnet sec.***.com 22
Trying...
Connected to sec.***.com
Escape character is '^]'.
SSH-1.99-OpenSSH_3.6.1p2

みたいな感じで、表示される結果が違います。
サーバ側であがっているSSHのverが違うってことなんでしょうか？

両方のサーバの状態をそろえるにはどこを手直ししたらよいのでしょう？
疑うことができるところを教えて欲しいのですが。。。

ちなみに、
・両サーバのsshd_configは同じ。
・バイナリーもpriからsecに同じもの(OpenSSH3.6.)を移動
・sshdの再起動は両サーバで実施済み。
・両サーバ、クライアント全てOSは赤帽9
です。

755 名前：754 メール：sage 投稿日：04/09/09 11:58

補足。

・実現したいこと
priが障害でpriのIPがsecに移った時に、
同じIPにむかってsshでログインしようとすると、
いまクライアント側にある、サーバ側の公開鍵が書き換わったよ、
(DSAの公開鍵→RSAの公開鍵？)
みたいなメッセージが出てしまって、
書き換えますかみたいなyes/no聞かれてしまいます。
このメッセージが出なくなるようにしたいのですが。。。

756 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/09 12:04

>>754
> ・バイナリーもpriからsecに同じもの(OpenSSH3.6.)を移動
そんなことやって大丈夫なの?

>>755
~/.ssh/known_hosts から公開鍵を手で消すとか。
UserKnownHostsFile をいじるとか。

757 名前：754 メール：sage 投稿日：04/09/09 12:30

>>756
>> ・バイナリーもpriからsecに同じもの(OpenSSH3.6.)を移動
>そんなことやって大丈夫なの?
書き方わかりにくくてすまそ。
言いたかったことはpriとsecはクラスタ構成ってやつで、
ハードから入ってるアプリとかもすべて、
環境は同じにしているつもり、ってことです。
＃同じじゃないからだめなんだろうとはおもうけど。。。
バイナリ云々は気にしないでください。


>~/.ssh/known_hosts から公開鍵を手で消すとか。
>UserKnownHostsFile をいじるとか。
known_hostsも同じにものにしてます。
切り替わった後に手を加えないでsshで入りたいんです。
一度公開鍵を書き換えれば、その後はyes/no聞かれずに入れます。
（ただ、またpriに切り替わったらyes/no聞かれます。。。)
言葉足らずですまそ。

758 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/09 13:41

クライアントで切り替わったのを意識したくなかったら、
それこそサーバのホスト鍵も一緒にするしかない。

priとsecで同じアドレスを引けるようにして、
ssh pri
ssh sec
とすればknown_hostsのエントリは別個になるけども。

759 名前：754 メール：sage 投稿日：04/09/09 15:01

>>758
>クライアントで切り替わったのを意識したくなかったら、
>それこそサーバのホスト鍵も一緒にするしかない。

なるほど。それはわかりました。

えーと、いまその二つのサーバに入れないからちょっと確認できないんだけど、
ssh-keygenで作った鍵はrsaもdsaも二つともあって、
全く同じkeyが二つ、priにもsecにも両方にあるとする。

そのとき、サーバ側のホスト鍵をどれを使うかを、
たとえば、クライアントのホスト名とか、ログイン先(元)のユーザ名ごと
によってつかいわけることってできるんでしょうか。
できるとしたら、それを決めるファイルってどれなんでしょう。

telnetで22をたたいたときの、
---
pri：　SSH-2.0-OpenSSH_3.6.1p2
sec： SSH-1.99-OpenSSH_3.6.1p2
---
ステータスが違うから、
サーバごとに、デフォルトで参照するホスト鍵もちがうのかなと、
ちとおもいました。

汚してばかりで申し訳ない。。。

760 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/09 15:52

おすすめできないけど、
~/.ssh/ssh_config でこうするとホスト鍵変わっても質問されなくなる。

Host: pri
StrictHostKeyChecking no
Host: sec
StrictHostKeyChecking no

761 名前：名無しさん＠ＸＥｍａｃｓ メール：sage 投稿日：04/09/10 09:55

>>759
> そのとき、サーバ側のホスト鍵をどれを使うかを、
> たとえば、クライアントのホスト名とか、ログイン先(元)のユーザ名ごと
> によってつかいわけることってできるんでしょうか。

sshd のレベルでは各アルゴリズム (rsa1/rsa/dsa) 毎に有効な鍵は
高々一つなので、そういうことをやりたい (それができたところで
問題が解消されるとも思えないんだけど) なら sshd を起動する前
の段階 (tcp_wrapper とか) でなんとかせにゃならんでしょうね。

> pri：　SSH-2.0-OpenSSH_3.6.1p2
> sec： SSH-1.99-OpenSSH_3.6.1p2

この辺り、man page にも載ってないし、ぐぐってもあんまり見付か
んないぽいけど、1.99 と 2.00 の違いは protocol version 1 系を
サポートするかしないか。普通は sshd_config の Protocol の設定
を反映するもん。

だもんで、sshd_config の内容が前の書き込みにあった通り本当に
両ホストで同一なんだとすれば、こうなる原因として考えられるの
は、pri の方に version1 用のホスト鍵が置いてない、くらい。

762 名前：SSH野郎 メール：sage 投稿日：04/09/21 17:53:49

SSH2でRSA2とDSAどっちつかってる？
で、採用の決め手はなんかも教えれ。

763 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/22 00:19:06

>>762
DSA。小倉優子が使っているから。

764 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/22 01:54:19

ありすだろ？

765 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/24 08:02:09

ぐむむ

766 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/25 04:33:07

lsh
http://www.lysator.liu.se/~nisse/lsh/

って、どうですか？
使った事ある人います？

767 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/26 02:30:39

いません

768 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/26 03:53:49

>>766
「SSHサーバのフリーな実装」ではOpenSSHより先だったのにね…

769 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/26 12:20:22

SSHサーバのフリーの実装はSSHが最初では？

770 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/26 20:01:34

>>769 ssh.com は SSH2 以降のライセンスがなー
それに >>768 は OpenSSH より lsh の方が先だったとしか言っていないと思うのだが

771 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/27 00:52:04

♪あぁ〜すれちがい〜

772 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/09/27 03:24:19

>>770
まあ >>769 も >>768 が間違いと言ってるわけじゃないし、みんなﾏﾀｰﾘ逝こう。

773 名前：名無しさん 投稿日：04/10/15 22:43:37

A(red hat)192.168.134.2/usr/local/sbin/sshd -p 3690

          192.168.134.1
B(red hat)ssh -fNL 1080:192.168.134.2:3690 192.168.134.2
          192.168.136.1

C(debian) 192.168.136.2ssh -fNL 1080:192.168.136.1:1080 192.168.136.1

C マシンから
$ ssh -p 1080 localhost
とやってC->B->Aと繋げたいのですが


C マシンで
ssh_exchange_identification: Connection closed by remote host
と出ます
多段ポートフォワードがまちがっているのでしょうか？

A,B,Cともにhosts.allow, hosts.denyは記述なしです
どのようにすればできるのかおしえてください

774 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/16 01:15:48

>>773
ssh -g

775 名前：名無しさん＠お腹いっぱい。 投稿日：04/10/16 18:43:49

複数回ログオンに失敗した場合に
一定時間ロックする設定はあるのでしょうか？

776 名前：773 投稿日：04/10/16 18:48:07

>>774
できました。
オプションが必要だったんですね
どもでした

777 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/21 16:00:34

ログ見たら

Oct 21 00:46:01 <auth.info> XXXXX sshd[2601]: Did not receive identification string from 221.186.131.165

の後に

Oct 21 00:57:54 <auth.info> XXXXX sshd[2608]: Failed password for nobody from 221.186.131.165 port 43766 ssh2
Oct 21 00:57:54 <auth.info> XXXXX sshd[2610]: Illegal user patrick from 221.186.131.165

というのが約150行も（0:46から00:59まで）…。221.186.131.165は踏台にされてんのか？

あと、

Oct 21 05:49:31 <auth.info> XXXXX sshd[3312]: Failed password for nobody from 218.237.65.10 port 51714 ssh2

も…(以下略)


こういうことがあると、
　>>775
　あったら嬉しいかもね。

778 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/21 21:40:25

>>777 禿同です。このpatrick...て言ってくるやつ、うちの鯖にも
よく来るよ。こういうのは大抵IP番号をdynamicにやっていてあとで
ログみても発信元をトレースできないのが大部分だよね。
sshに手を入れる自信はないですが、syslogを見張るデーモンを
作って、繰り返しlogin失敗するのがいたら自動的に一時
route テーブル設定でパケット排除するようにするくらいなら
結構すぐできるかも。

779 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/21 22:39:26

>>778

うちにも来ていた。whoisで調べると複数のプロバイダになっているけど、
IPアドレス自体が偽装なのか？

780 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/21 23:41:46

うちに最近きた patrick... は半島からだな。
220.117.18x.xx

781 名前：777 メール：sage 投稿日：04/10/22 00:41:15

>>778
> syslogを見張るデーモンを
> 作って、繰り返しlogin失敗するのがいたら自動的に一時
> route テーブル設定でパケット排除するようにするくらいなら
> 結構すぐできるかも。

　すげーな。俺にはできないです (^^;;
　俺なら単純にそのブロックまるごとフィルタリングでパケットを叩き落し
ますけどね。あるいは、アクセス元を自分が使うプロバイダ「のみ」に限定
するとか。

>>779
>>777の 221.186.131.165 か？これはOCNが確保したブロックの一部分を、株式会社
＊＊＊（←一応伏せとく）に貸しているというような状態。

782 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/22 07:07:34

>>781
apache+mod_SSLで自CAでキー作成にて、SSLページ準備。
mod_PHPにて、接続元IPを識別して、ファイルorDBに書き込むスクリプト作成。
上記スクリプトページに.htaccessにて、BASIC認証を施す。
rootのcronで、ファイルorDBを見て、「IPが有ったらsshdへのアクセスを許可」する。
と同時に一定時間経過したIP情報は削除する。

許可の方法はipfwでもhosts.allow/denyの操作など、いろいろポリシーにて変化するだろうが、
さほど重くはない。

つーことで、うちではsshdへのアクセスは基本denyで必要なときだけどこからでもallowにしてます。
不満はcronが1分おきで...

本当はメール受信→特定アカウント＆コマンド抽出→sshdアクセス許可としたいんだけど、mandokuse

783 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/22 12:57:41

>>782
apacheが落ちて、起動させようとsshでログインしようとしたら（りゃ

784 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/22 13:18:45

なかなかおもろいことやってんね。
携帯とかからアクセスするのにも使えそうだな。

785 名前：名無しさん＠お腹いっぱい。 投稿日：04/10/22 23:18:20

>>783
番犬(WatchDog)は基本中の基本ですね...

786 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/22 23:24:22

ここ数年「apacheが落ちた」なんて、見たこと無い...

787 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 10:36:22

>>786
２ちゃんねるではしょっちゅう落ちていますよ。様々な要因はありますけれども。

788 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 11:30:33

>>775 こういうのがある。
ttp://www.derkeiler.com/Mailing-Lists/securityfocus/Secure_Shell/2004-09/0113.html

789 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 21:53:21

patrickというユーザーを作って(passwdもpatrickとかにしといて)、
ログインしやがったら激しく苛める、なんて仕組み作れないかなぁ

790 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 22:02:22

FreeBSDサーバが落ちまくってるらしいな。

791 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 22:07:43

>>790

そうか?

792 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 22:25:17

>>789

攻制防壁

793 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 23:10:03

>>789
んー、俺もなんかやり返してやりたいよ。
どうにかできないものかな。

794 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 23:27:37

honeypotdのスクリプトを公開している奴がいたな。

あんまり苛めると目をつけられてDDoSされるかもしれないからDDNSサーバーとかでやったほうがいいかも。

795 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/23 23:44:52

っつか、ログを見ていてなんとなく思うんだけど、
意図的にやってるヤツばっかじゃなくて、
無自覚にやってそうなヤツが多くない?

796 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/24 00:20:49

whoisすると中国のIPが多い。

797 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/25 15:38:06

>789
　ログインしたら .login とかシェルのスタートアップが走るから、そこに
仕込んどきゃいい……のかな？
　とりあえず相手の IP は分かってるわけだから、DoS やり返して潰す
くらいはできそうだけど。

798 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/25 15:45:35

>>795
いわゆる zombie host というケースも結構多いんじゃないかな？
DoS やり返すのはあまり得策じゃないような。

799 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/25 21:12:08

patrickでログインに成功した風なんだけど、1文字1文字すごーーーーい長い時間がかかるってのはどう？

800 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/25 22:03:53

一種の蜜壷じゃん

801 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/25 22:17:48

Solaris の login(1) なんかは、
認証失敗したときのウェイトを自由に設定できるみたいだけど、
その他の OS ではそういうのできないのかな？

って、もう SSH と全然関係ないな・・・

802 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/25 22:29:53

いっそjailかchrootでsandboxを用意して、ログインに成功したら
どういう挙動を示すのか観察してみたら。
なんか小学校のころの蟻さん観察みたいだけど。

FreeBSDだとipfwでdummynetかませば>>799みたいにできるけど、
他のOSでもできるのかな?

803 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/27 22:21:34

ssh通信の暗号化って、どのレベルまで及ぶのですか？
具体的には、ファイル名も暗号化されているのでしょうか？

804 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/27 22:25:31

外から見てわかるのは、ああ SSH で通信してるなあ、ってなくらいのレベル。

805 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/27 22:40:42

>>803
ファイル名って、SSHをなんだと思っているんだ、お前?

806 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/27 23:40:52

推測するに、コマンドラインの各引数をrot13するものみたいに想像してるんじゃなかろうか。

807 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 00:08:36

>>805
SCP だと思ってるんだよ、きっと

808 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 00:48:25

>>804
どのサーバに接続してるかは分からない？

809 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 00:50:18

それがわからなかったら途中のルータはIPパケットのルーティングに悩んでしまうぞ

810 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 00:51:13

>>808
わかる

811 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 00:53:33

心配しなくてもおまいがエロ画像を落してるのは周囲にバレバレだ。

812 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 01:07:07

ファイル名も保護したいんだったら stunnel 使えばいいじゃん

813 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 02:10:33

>>807
むしろSSL、さらにはhttpsとの混同をしている雰囲気が。

814 名前：初期不良 メール：sage 投稿日：04/10/28 05:05:21

どこからかファイル名が保護されていないことになってるぞｗ

815 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/28 14:03:49

>>814
だってそもそもファイル名なんて概念ないもの。scpやsftpならともかく。

816 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/10/30 10:39:55

ファイル名だ、httpsだtoka
そもそも、層が違うもんナ

そうそう

817 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/02 14:34:07

最近はチラシも両面印刷が多くて余白がないのでここにメモ。

Solaris8 には /dev/random がない。112438-03 を patchadd してから
リブートすると生えてくる。Sol9 から標準装備。Sol7 は 3rd party のものを使う。

Solaris に openssl-0.9.7e をインストールするときは
# make install SHELL=/usr/bin/bash
としないとコケる。0.9.7d までは /bin/sh のままで大丈夫。

openssh-3.9p1 の configure は zlib のバージョンが古いと蹴るので、
zlib-1.1.4 を別途インストールするか --without-zlib-version-check が必要。

818 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 15:48:21

A -- (WAN) -- B - (LAN) - C

で、Aからsshでトンネリングしてftp接続をしようとしたのですが
今sshdがBで、ftpdがCで動いており、普段21ポートにリクエストが来た場合、BはCへport forwardしています。

この時、Aからsshにどのようなオプションをつけたら、上手くトンネリングできるでしょうか？

819 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 16:42:07

>>818
ftpはファイル転送時に別途にsession張りにいくから、sshで21/tcpをforwardしても
あんまり意味がないけどどうよ?

820 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 17:20:03

>>819
とりあえずID/パスワードだけでも暗号化しようかなーと思いました。意味なさげでしょうか？

821 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 17:23:28

>>820
暗号化云々は置いといても、A->Cに直接通信できる必要があるわけで…。
別のファイル転送プロトコルを使うとか、いっそVPN張るとかしたほうがいいかと。

822 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 17:34:21

>>821
どうもご助言ありがとうございました。別のアプローチを考えてみます。

823 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 17:42:59

>>818
逃げではあるがBにsshで喰ったあとにBとしてCにFTPとか
B-Cにmountを挿し込んでおくとか

824 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 17:50:02

PASV モードでもなんとかならんのだっけ？

825 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/04 18:18:28

>>824
BでNATかけている場合は逆にPORTじゃないとダメだし、BがIP forwarding切っている
場合には無理。

826 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/05 08:41:01

>>824
PASVだとデータポートが確定しないんじゃない？

827 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/06 14:45:30

autossh ちうのがあるらしいんだけどどんなもんなんでしょう？
今はポートフォワードに Zebedee っていうのを使ってるんだけど、
それよりつおいものなら使ってみたくなくもなくなくない。

828 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/06 23:11:22

stoneとZebedeeどっちがいい？

829 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/07 02:19:35

>826
Cに置くftpdがいじれるのなら、PASVポートの範囲を指定して
forwadingしてしまえば桶。

830 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/07 02:36:25

素直にsftpつかったほうが...

831 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/07 03:14:27

>>830
ファイル名やパスでeucに対応したsftpクライアントがあればね。

832 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/07 03:42:25

>>831

>>558

833 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/07 11:57:29

>832
そのfilezillaのpatch版って、日本語を含むパスの作成が
できたっけ?

834 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/07 14:13:01

>>831
元質問者の題意ほったらかしだな。

835 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/10 12:14:20

F-Secure SSH クライアントってどこで買えばいいの！

Vectorに旧バガボンドあるけど、なんか会社自体怪しそうなので怖くて手が出せません。
だれかおしえてくだふぁお

836 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/10 13:55:28

sshでタブ式のクライアントツールない？

837 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/10 14:01:08

>>835
ｸﾞｸﾞﾚ
tp://www.wrq.com/products/reflection/ssh/

>>836
ｸﾞ(ry
tp://www.routrek.co.jp/product/varaterm/

838 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/10 14:04:13

>>837
それちょー有名だけど.net入れるの嫌だ

839 名前：835 メール：sage 投稿日：04/11/10 14:33:27

>>837
かなりググったんですが。
日本法人が有るようなのでそこから買いたいなとおもって探しまして。

で、殆どゴミ情報ですが、11月から（11月末から？）エフ・セキュアのSSH製品は
サイバネットシステム株式会社が販売・サポート代行となったようです。
サイバネットの方ではただいまコンテンツ作成中、とのことでした。
サイバネットにメールしたら売ってくれそうな雰囲気なので話してみます。

840 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/10 16:44:24

$HOME/.ssh のパーミッションが 700 でないとだめだなんて…
だれもおしえてくれなかったYO!

841 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/10 16:50:43

別に何でもいいよ？

842 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/10 16:51:42

$ umask
0077

843 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/10 17:10:36

>>841
777 でも?

844 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/10 23:39:13

>>843 もしかして sshd_config で設定できるのかな、そのへん。

845 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/11 13:35:25

StrictModes noでOK

846 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/12 12:53:28

SSH のトンネルを流れる各ストリームの流量を
モニタできるようなクライアントってないですかね。

847 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/13 03:14:29

>>846
そんなことが出来たらSSHの意味ないじゃん

848 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/13 03:38:08

いや、そういうことができるクライアントを作りたいっていってんだろ。
途中でストリームを計測するんじゃなくて。
sshにちょっと手を加えれば簡単にできそうだが。

849 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/13 05:07:25

ssh -X で login したとき DISPLAY は localhost:10.0 などに
自動的に設定されていましたが, あるときから,
192.168.38.1:0.0 のように ssh を起動した端末側の IP に
設定されるようになってしまい, xhost しないとウィンドウを
とばせなくなってしまいました.
いろいろいじってて, 何が原因でこうなったかつかめないのですが,
何かわかる方はいますでしょうか?
X サーバは cygwin でクライアントは coLinux/Gentoo で,
sshd_config の X11Forwarding は yes にしています.

850 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/16 23:16:31

http://www.vector.co.jp/soft/winnt/net/se320973.html をインストールしたのですが、
TeraTerm + TTSSH(ssh2) に id_dsa ファイル(秘密鍵) をつかって
サーバにログインするにはどうしたらいいのでしょうか？

TeraTerm + TTSSH(ssh2) で、「接続方法」に ssh、「SSH Version」に ssh2 を
選んでも、パスワードによる認証しかできません。

851 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/17 12:27:59

>>850 TeraTerm も TTSSH も進化していたのか。

852 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/17 12:30:20

>>850
■制限事項
・認証機構は password authentication にのみ対応しています

853 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/17 12:31:54

>>852
ﾌﾟ

854 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/17 12:35:07

>>853 だまれや糞虫

855 名前：初期不良 メール：sage 投稿日：04/11/17 13:58:00

>>850
確か putty agent 経由じゃなかったっけか？
winscp の間違いかもしれんが... 今は cygwin 使ってるので全然追ってないです。

856 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/17 14:45:48

>>855
最近の winscp は、putty agent いらないよ。
以前は必要だったけど。

857 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/18 00:09:37

>856
へー知らなかった。公開鍵認証はWinSCPに取り込まれたの？

858 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/18 08:37:18

>>857
Version 2.1 beta (#119) January 13th 2003

* SSH core upgraded to PuTTY 0.53b. It brings following changes:
　o Support for public keys in SSH2, both RSA and DSA. Agent forwarding is supported, but only to OpenSSH servers, because ssh.com have a different agent protocol which they haven't published.

http://winscp.sourceforge.net/eng/history.php?fullhistory=1#fullhistory

ということで、だいぶ以前から使えます。
漏れは、putty agent は最近使いません。 pscp 使う時くらいかな？
winscp は日本語使えるので( ﾟДﾟ)ｳﾏｰ

859 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 11:11:09

＜引用＞
Linux colinux 2.6.8.1-co-0.6.2-pre6 #58 Sun Oct 24 21:48:46 IST 2004 i686 unknown
＜中略＞
user@colinux:~$ ssh craft@craftcross.gr.jp
Host key verification failed.
user@colinux:~$ su
Password:
colinux:/home/user# ssh hoge@fuga.jp
hoge@fuga.jp's password:
-bash-2.05b$
＜/引用＞

こんな環境でWinからSSH（teraterm）でログイン後外部に接続しようとすると
rootでは問題なく接続できるのにuserでは接続できません

別にredhat 9の環境を持っているのですが、こちらではどんなユーザでも
外に出て行くことができます。
どこを調べればいいでしょうか？

860 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 12:57:03

859はバカに違いない

861 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 14:28:49

>>859
超能力者じゃないので、意味がわからない。
もう少し判りやすく書いたらレスがもらえる鴨

862 名前：859 投稿日：04/11/19 15:04:40

>>861
colinux 上の Debian と　redhat9　の環境があります。
WinXPのteratermでログインし、そこから外部のサーバにログインしているのですが、
colinuxからｓｓｈで外部サーバに接続する場合、root　では問題ないのに
userで接続しようとすると、
Host key verification failed.
と怒られるため、いちいち su しなければなりません。

redhat9からは rootであれuserであれ外部サイトにsshで接続できます。
colinux 上の Debianからでもuserで接続したいのですが、
どのあたりの設定を見ればいいですか？

863 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 15:37:19

>>862 ホスト鍵でホストの正当性をチェックするのに失敗しているようだ。
~/.ssh/known_hosts はちゃんつくられているかな？

864 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 15:40:04

>>862
細かいことが判らんが、
Debian で ssh -v -v -v hoge@foo.bar したら
原因が特定できるかも。

-v の意味は、man を見ましょう。

865 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 16:18:26

パスワードアタックなアクセスには効き目あるか分からんけど
sshdをxinetd経由で動かせば
flags = SONSOR
deny_time = 5
とかで行けないか？

866 名前：865 メール：sage 投稿日：04/11/19 16:20:39

ｽﾏｿ、865は775宛てね。あの娘にSYN投げてNACK貰ってくるわ・・・

867 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 16:41:40

>>866 俺なんて手前のファイアウォールで　DROP されてるよ。

868 名前：859 投稿日：04/11/19 16:46:22

>>863
>>864
~/.ssh/known_hosts できてません。
/root/.ssh/known_hosts はありました。
試しに~/.ssh/known_hosts にコピーしちゃって
$ ssh 192.168.1.2
としたらいろいろでましたが
Permission denied (publickey,password,keyboard-interactive).
といわれました。
双方、redhat９もDebian(colinux）もwebmin上から見て、まったく同じ設定で
やってるんですが、redhat９の方はぜんぜん問題ないです。

869 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 17:27:59

>>868
chmod 500 ~/.ssh/known_hosts

870 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 17:54:39

>>869
漏れは
chmod 700 ~/.ssh
chmod 644 ~/.ssh/known_hosts
で動いてるけどな。
たぶん ~/.ssh のパーミッション（と、もしかしたらオーナーも）おかしいんじゃないかな。

871 名前：859 投稿日：04/11/19 18:22:46

>>869
>>870
--
user@colinux:~$ ls -al /home/user/
total 28
drwxr-xr-x 4 user user 4096 Nov 15 02:42 .
drwxr-xr-x 5 root root 4096 Nov 13 11:57 ..
-rw------- 1 user user 1633 Nov 19 17:22 .bash_history
-rw-r--r-- 1 user user 509 Nov 4 21:00 .bash_profile
-rw-r--r-- 1 user user 1093 Nov 4 21:00 .bashrc
drwx------ 2 user user 4096 Nov 18 20:45 .ssh
user@colinux:~$ ls -al /home/user/.ssh/
total 12
drwx------ 2 user user 4096 Nov 18 20:45 .
drwxr-xr-x 4 user user 4096 Nov 15 02:42 ..
-rw-r--r-- 1 user user 1129 Nov 18 20:45 known_hosts
user@colinux:~$
--
700 と　644　なんです

872 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 18:27:01

>>871 その known_hosts は root からコピーしてきたもの？
それ消してしまったほうがいいと思うよ。

873 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 18:35:02

>>872 とおもったけど、同じホストからもらった公開鍵ならどのユーザでも
同じものがセーブされているようなんで、関係なさそう。

やっぱり ssh -v -v -v で接続して出てきたログを眺めてみるのが
いいんじゃないかな。

874 名前：859 投稿日：04/11/19 18:53:30

長くてすいません、すいません。
繋がるrootとuserで「ssh -vvv 192.168.1.2（redhat9です）」としたところ、
rootでは「※ここ」の次にパスワードを聞かれますが、userではその後このようにエラーが出ます。
また、この行までのdebug内容を見比べましたが同じでした。

--引用
debug1: next auth method to try is password　＜−※ここ
debug3: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
debug3: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
debug3: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug2: we did not send a packet, disable method
debug1: no more auth methods to try
Permission denied (publickey,password,keyboard-interactive).
debug1: Calling cleanup 0x8063aac(0x0)
user@colinux:~$
--/引用
このログから何かわかりますか？

875 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 21:20:17

読まずに書くが rm -fr .ssh して
ssh-keygen やり直したらどうか。

876 名前：859 メール：sage 投稿日：04/11/19 22:32:52

うーん、どうしても駄目です。

877 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 22:48:17

初心者質問で申し訳け無いのですがお聞きしたいことがあります．
当方今までAstecX+TTSSHでXforwardngを行っていたのですが，昨日新たに
RH9のマシンを用意して今までどうりの設定方法(X11Forwarding YES　など)を
試しても上手く行きません．（>103　と同じです）
DISPLAY=xxx.xx.xx.xxx:10.0などとIPを入れれば無事飛んでくるのですが，他の
Linuxマシンではlocalhost:10.0のままで飛んできます．localhostのままで
動かすにはどこを設定すれば良いでしょうか...　御教授下さい

878 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 22:53:30

>>859 入りたいのはどっち?
craft@craftcross.gr.jp
hoge@fuga.jp

879 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/19 22:58:01

>>859
ssh_config に「EnableSSHKeysign yes」は無いか?
ssh-keysign は setuid root でインストールされているか?

880 名前：859 メール：sage 投稿日：04/11/20 19:01:03

>>879
> ssh_config に「EnableSSHKeysign yes」は無いか?
ないです。
> ssh-keysign は setuid root でインストールされているか?
ssh-keysign自体がなさそうです。

colinux:~# ssh
ssh ssh-add ssh-agent ssh-copy-id ssh-keygen ssh-keyscan sshd

881 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/20 21:22:37

/usr/libexec/openssh/ssh-keysign あたりにないかね

882 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/21 01:40:42

>>880（＝>>859）
ssh-keysignのパスは実行形式に直接埋め込まれていると思う。探してみるﾖﾛｼ

% strings ssh | grep ssh-keysign

883 名前：859 メール：sage 投稿日：04/11/22 11:23:16

>>882
ありました。
--
colinux:~# ls -al /usr/lib/ssh-keysign
-rwxr-xr-x 1 root root 151496 Sep 19 2003 /usr/lib/ssh-keysign>>879
--
> >>859
> ssh_config に「EnableSSHKeysign yes」は無いか?
> ssh-keysign は setuid root でインストールされているか?
--
colinux:~# cat /etc/ssh/ssh_config
# コメントアウト部省略
Host *
ForwardX11 yes
--
こんな風なんですが、どうなってればいいんでしょうか

884 名前：859 メール：sage 投稿日：04/11/22 11:26:38

で、
--
user@colinux:~$ ssh user@hoge.net
Permission denied, please try again.
Permission denied, please try again.
Permission denied (publickey,password,keyboard-interactive).
user@colinux:~$
--
となります。
rootなら問題ありません。

885 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/22 12:11:55

>>883
>>882 のコマンドの実行結果を出して味噌！

886 名前：859 メール：sage 投稿日：04/11/22 12:56:04

>>885
colinux:/usr/lib# strings ssh | grep ssh-keysign
strings: ssh: No such file or directory
colinux:/usr/lib#

です

887 名前：879 メール：sage 投稿日：04/11/22 13:18:16

>>883
rootで、
# chown root /usr/lib/ssh-keysign
# chmod 4711 /usr/lib/ssh-keysign
をやってからだとどうなる?

888 名前：859 メール：sage 投稿日：04/11/22 13:20:42

>>887
colinux:/usr/lib# chown root /usr/lib/ssh-keysign
colinux:/usr/lib# chmod 4711 /usr/lib/ssh-keysign
colinux:/usr/lib# strings ssh | grep ssh-keysign
strings: ssh: No such file or directory
colinux:/usr/lib# ls -al /usr/lib/ssh-keysign
-rws--x--x 1 root root 151496 Sep 19 2003 /usr/lib/ssh-keysign

でした

889 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/22 15:50:36

> colinux:/usr/lib# strings ssh | grep ssh-keysign
> strings: ssh: No such file or directory

strings `which ssh` |grep ssh-keysign
/usr/lib/ssh-keysign

おんなじ colinux debian で。
こんなことに気づかないようじゃ、
なんか初歩的なところでミスをしてるような感じ。
redhat には ssh できるの？
ssh 先のサーバの設定は問題ないの？

890 名前：879 メール：sage 投稿日：04/11/22 17:12:59

>>888
そうじゃなくて、chown, chmod をやったあとで、
一般ユーザで ssh でログインしようとしたらどうなるかってこと。

891 名前：859 メール：sage 投稿日：04/11/22 17:52:05

>>890
すいません。
やはりrootだとログインできますが、ユーザだと駄目です。
--
colinux:~# ls -al /usr/lib/ssh-keysign
-rws--x--x 1 root root 151496 Sep 19 2003 /usr/lib/ssh-keysign
colinux:~# ssh foo@bar.net
foo@bar.net's password:
-bash-2.05b$ exit
logout
Connection to bar.net closed.
colinux:~# su user
user@colinux:/root$ ssh foo@bar.net
Permission denied, please try again.
Permission denied, please try again.
Permission denied (publickey,password,keyboard-interactive).
user@colinux:/root$
user@colinux:/root$ su foo
Password:
foo@colinux:/root$ ssh foo@bar.net
Host key verification failed.
foo@colinux:/root$

892 名前：859 メール：sage 投稿日：04/11/22 17:54:14

>>889
colinux:~# ssh user@192.168.1.2 # 192.168.1.2（RHL9）はrootでログインできる
user@192.168.1.2's password:
Last login: Mon Nov 22 17:46:15 2004 from 192.168.1.25
[user@user_RedHat user]$ exit
Connection to 192.168.1.2 closed.
colinux:~# su user
user@colinux:/root$ ssh user@192.168.1.2
Host key verification failed.# userではログインできない
user@colinux:/root$
--
RHL9から外部サーバへはrootであれuserであれログインできます。
なのでログインできるのが当たり前、と思っていました。

893 名前：859 メール：sage 投稿日：04/11/22 18:06:14

>>889
お騒がせしてすいません
colinux debian で rootではなく一般ユーザで外部サーバに
sshログインできてますか？

894 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/22 18:32:32

>>892 (どこに参照させれば良いかわかんなかったので)
>>890 さんのは当を得ていると思います。
syslog に　メッセージ出させると意味わかると思いますよ。

895 名前：889 メール：sage 投稿日：04/11/22 20:55:15

>>893
できてるよ。
もう一度 ssh のパッケージを入れなおしてみるとか。

896 名前：859 メール：sage 投稿日：04/11/22 22:36:04

http://www.namazu.org/~tsuchiya/ssh/#hostbasedauthentication

このページの「OpenSSH-3.4p1 のバグ」って何か関係がありますか？

colinux:~# ssh -V
OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3, SSH protocols 1.5/2.0, OpenSSL 0x0090603f

897 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/22 23:59:07

>>896
関係ない

898 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/23 01:23:27

.ssh の所有者とパーミッションはどうなってる？

899 名前：859 メール：sage 投稿日：04/11/23 14:50:11

>>898
こんな感じです。
--
user@colinux:~$ ssh foo@bar.net
Permission denied, please try again.
Permission denied, please try again.
Permission denied (publickey,password,keyboard-interactive).
user@colinux:~$ ls -al
total 28
drwxr-xr-x 4 user user 4096 Nov 15 02:42 .
drwxr-xr-x 5 root root 4096 Nov 13 11:57 ..
-rw------- 1 user user 1254 Nov 22 11:03 .bash_history
-rw-r--r-- 1 user user 509 Nov 4 21:00 .bash_profile
-rw-r--r-- 1 user user 1093 Nov 4 21:00 .bashrc
drwx------ 2 user user 4096 Nov 16 18:00 .ssh
user@colinux:~$ ls -al .ssh
total 12
drwx------ 2 user user 4096 Nov 16 18:00 .
drwxr-xr-x 4 user user 4096 Nov 15 02:42 ..
-rw-r--r-- 1 user user 908 Nov 16 18:00 known_hosts
user@colinux:~$ su
Password:
colinux:/home/user# cd
colinux:~# ssh foo@bar.net
foo@bar.net's password:
-bash-2.05b$ exit
logout
Connection to bar.net closed.
colinux:~#

900 名前：900! メール：sage 投稿日：04/11/23 15:51:37

>>899
ls -l `which ssh`
の結果は?

901 名前：859 メール：sage 投稿日：04/11/23 16:10:03

>>900
colinux:~# ls -l `which ssh`
-rwxr-xr-x 1 root root 230248 Sep 19 2003 /usr/bin/ssh

です。
なんかここまでくると非常に単純な間違いを起こしてるような気がします。
もう一度再インスト（何度かやったのですが）、してみようと思いますが、
teraterm で colnux/Debian にログイン、そこからユーザアカウントで外部サーバに接続する、という設定を順を追って要点を教えてもらえませんか？
あるいはポインタでも。
インストは　apt-get install ssh で stable にしてます。

902 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 01:06:44

はっきりいってよくわからんので、
どうせ再インスコするなら
unstable に dist-upgrade して試してみたら？
colinux ならディスクイメージをコピーしとけば簡単に戻せるので。

903 名前：894 メール：sage 投稿日：04/11/24 03:28:38

>>859
sshd_config に

SyslogFacility AUTH
LogLevel INFO

と書き加えて、さらに /etc/syslog.conf に
auth.info<タブ>/var/log/authlog
とでも書き加えて

syslogd の　プロセスに HUP シグナルを送り、
(ps -ef | egrep syslogd でプロセスID調べて 、kill -HUP プロセスID)
として　sshd を再起動させて

もう一度　ssh　で接続したときのログって
どんな感じになっています？

904 名前：859 メール：sage 投稿日：04/11/24 15:02:54

>>903
# colinux/Debianからアクセス
user@colinux:~$ ssh 192.168.1.2
Permission denied, please try again.
Permission denied, please try again.
Permission denied (publickey,password,keyboard-interactive).
user@colinux:~$

# user_RedHatのログ
[root@user_RedHat root]# cat /var/log/authlog
Nov 24 14:48:50 user_RedHat sshd[27111]: Server listening on 0.0.0.0 port 22.
Nov 24 14:59:00 user_RedHat last message repeated 2 times
Nov 24 14:59:39 user_RedHat sshd[27209]: Failed password for user from 192.168.1.25 port 63023 ssh2

こんなんでした

905 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 15:31:56

>>904
Redhat 側の user のパスワードが間違っているんじゃないの？

906 名前：859 メール：sage 投稿日：04/11/24 15:35:52

>>902
colinux:~# apt-get remove ssh
colinux:~# dpkg --purge ssh
で、念のためにrootもuserもすべての.sshを
colinux:~# rm -rf .ssh/
として削除し、/etc/apt/sources.list を unstable に切り替えて、
apt-get install ssh しました。
インストールしたときの質問には、
Allow SSH protocol 2 only <No>
Do you want /usr/lib/ssh-keysign to be installed SUID root? <Yes>
Do you want to run the sshd server? <Yes>
と答えました。しかし rootでは接続するもののuserではやはり

user@colinux:/root$ ssh user@192.168.1.2
Host key verification failed.
となってしまいます。
インストールされたsshは
colinux:~# ssh -V
OpenSSH_3.8.1p1 Debian-8.sarge.3, OpenSSL 0.9.7d 17 Mar 2004
です。
この場合user_RedHat の/var/log/authlog には何も残ってないです。
903 で表示したログは /root/.ssh/known_hostsを/home/user/.sshにコピーして
chown chgrp したものを置いたときのログです。

907 名前：859 メール：sage 投稿日：04/11/24 15:43:00

>>905
どちらも明示的にuser名を指定しています。
rootではパスワードを聞かれますが、userではそもそもそこまで行きません。

colinux:~# ssh user@192.168.1.2
user@192.168.1.2's password:
Last login: Wed Nov 24 15:19:56 2004 from 192.168.1.25
[user@user_RedHat user]$

Connection to 192.168.1.2 closed.
colinux:~# su user
user@colinux:/root$ ssh user@192.168.1.2
Host key verification failed.
user@colinux:/root$

上でも書きましたが、/root/.ssh/known_hostsを/home/user/.sshにコピーした場合は
Host key verification failed.　ではなく
Permission denied (publickey,password,keyboard-interactive).
といわれますが、userを明示しても同じですし、そもそもuserではパスワード聞かれる
ところまでこの場合も行きません。
ただ気になったのは、sshをunstable でインストした時に最後

exim: could not open panic log - aborting: original error above
2004-11-24 15:18:10 1CWqTi-00007m-00 Cannot open main log file "/var/log/exim/mainlog": Permission denied: euid=8 egid=8

こんなこと言われました。何か関係ありますか？

908 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 17:31:25

>>901
rootのときとuserのときとで使っているsshが違うという可能性は?
あと ssh -v user@192.168.1.2、もしくは ssh -v -l user 192.168.1.2
で詳しいログを出したほうがいいと思うぞ。

909 名前：859 メール：sage 投稿日：04/11/24 17:53:19

>>908
> >>901
> rootのときとuserのときとで使っているsshが違うという可能性は?
双方 ssh -V の出力は同じでした。

> あと ssh -v user@192.168.1.2、もしくは ssh -v -l user 192.168.1.2
> で詳しいログを出したほうがいいと思うぞ。
どっちもデバッグ出力は同じでしたので一つだけ貼ります。

user@colinux:~$ ssh -v -l user 192.168.1.2
OpenSSH_3.8.1p1 Debian-8.sarge.3, OpenSSL 0.9.7d 17 Mar 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 192.168.1.2 [192.168.1.2] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_3.5p1
debug1: match: OpenSSH_3.5p1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
Host key verification failed.
user@colinux:~$

910 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 18:04:26

>>909
ふぅ。ssh -Vが重要なのではなくて、きちんと同じバイナリを使っているのか
root と userとでそれぞれ which sshしてみるのが重要なんだけど、
理解できてないのか…。

んで、.ssh/known_hostsの192.168.1.2のエントリが古い情報が入っているから
Host key verification failed.ってなるのは理解できてる?

~root/.ssh/known_hostsをcpしてchown&chgrpした場合は
Permission denied (publickey,password,keyboard-interactive).
とのことだけど、それならすくなくとも.ssh/known_hostsの問題は解決できている
ことは理解できてる?

ってことで、~/.ssh/known_hostsをrmするなり192.168.1.2のエントリを消すなり
~root/.ssh/known_hostsをcp & chownするなりして、.ssh/known_hostsの問題を
解決して Permission denied (publickey,password,keyboard-interactive).
とエラーが出る際のssh -vをどうぞ。

911 名前：859 メール：sage 投稿日：04/11/24 18:39:04

>>910
root と userとで/usr/bin/ssh　で同じでした。

912 名前：859 メール：sage 投稿日：04/11/24 18:40:16

>>910
> ssh -vをどうぞ。
user@colinux:~$ ssh -v user@192.168.1.2
OpenSSH_3.8.1p1 Debian-8.sarge.3, OpenSSL 0.9.7d 17 Mar 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 192.168.1.2 [192.168.1.2] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_3.5p1
debug1: match: OpenSSH_3.5p1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.1.2' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct

913 名前：859 メール：sage 投稿日：04/11/24 18:40:59

>>910
# 怒られたので分けました。
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Trying private key: /home/user/.ssh/id_rsa
debug1: Trying private key: /home/user/.ssh/id_dsa
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
debug1: Authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
debug1: Authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: No more authentication methods to try.
Permission denied (publickey,password,keyboard-interactive).
user@colinux:~$

お世話かけます

914 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 18:47:38

Permission denied, please try again.
ってパスワード間違っているときに出てくるものだけどなぁ。
ひょっとして /etc/ssh/ssh_config とか ~user/.ssh/config とかで
PasswordAuthentication no
ってなってない?

915 名前：859 メール：sage 投稿日：04/11/24 19:00:58

>>914
> ひょっとして /etc/ssh/ssh_config とか ~user/.ssh/config とかで
> PasswordAuthentication no
> ってなってない?

~user/.ssh/config はないです。
/etc/ssh/ssh_config　はすべてコメントアウトされてました。
ちなみに　# PasswordAuthentication yes の行があり、コメント外してみましたが、
症状変わらず、ssh -v の結果も同じでした。

ご面倒かけます

916 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 19:14:02

sshで、rootとかwebmasterとかのアカウントで進入を
試みる輩が毎日いるのですが（不特定多数）、
なんとかギャフンと言わせる事はできませんか？

たとえばrootからのログインはchrootしてあって何もない
ディレクトリにぽつんと「残念でした」と各種言語で書いた
テキストだけを置いておくとか…

無視するのが一番ですかね。

917 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 19:18:25

>>916
> 無視するのが一番ですかね。
はい。

918 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 19:57:17

>>916
ログイン試行してる方はスクリプトか何かでやってると思うので、
仕返しする (したつもりになる) だけ無駄じゃないかと。
なので >>917 と。

919 名前：859 メール：sage 投稿日：04/11/24 20:37:26

度々すいません。
root_fsをオリジナルの、
Debian-3.0r2.ext3-mit-backports.1gb.bz2
に切り替え、
ネットワークの設定　/etc/network/interfaces　を行って
apt-get update
apt-get upgrade
apt-get install console-tools console-data
groupadd user
useradd -d /home/user -G user user
apt-get install ssh を
Allow SSH protocol 2 only <No>
Do you want /usr/lib/ssh-keysign to be installed SUID root? <Yes>
Do you want to run the sshd server? <Yes>
でインストールしました。
rootでsshし可能でしたが、ｕｓｅｒでは
Host key verification failed　となりましたので
cp /root/.ssh/known_hosts /home/user/.ssh して
chown chgrp して再度userから接続を試みましたが
Permission denied (publickey,password,keyboard-interactive).
でした。。。
素のディスクイメージに最低限の設定で試みましたが
要は、まったく変わらぬ症状です。
困りました。
ディストリ変える、とかからやらなきゃ駄目でしょうか。

920 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 22:00:48

そこまでやって駄目なら接続先の問題のような機がする。

921 名前：859 メール：sage 投稿日：04/11/24 22:09:20

>>920
いや、だってRHL９からはroot だろうが ｕｓｅｒだろうが繋がるんです。
で、ちなみに　FC1　のイメージ持ってきて　ネットワークの設定だけして
user作って Winからteratermでsshしてログインし
外につなぎに行ったら、簡単にできました。。。。

なんかよくわかりませんが、debianに拘ってる訳じゃないので
乗り換えようと思います。

ホントお騒がせしました。

922 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 22:31:19

>>921
root と user で type ssh するとどうなる?

923 名前：859 メール：sage 投稿日：04/11/24 22:37:44

>>922
user@colinux:~$ type ssh
ssh is /usr/bin/ssh
user@colinux:~$ su
Password:
colinux:/home/user# type ssh
ssh is /usr/bin/ssh
colinux:/home/user#

です

924 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 23:37:47

>>923
聞いたことも見たこともない症状だから原因を知りたいんだが。
ディスクイメージごとどこかにアップできない?

925 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/24 23:41:18

うちも colinux の debian イメージ使ってるけど
なんともないけどなあ。
redhat には user でも接続できるんでしょ？
外部のサーバってルータ越しという意味かな？
別の外部サーバではどうなるんだろう？

926 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/25 00:10:58

chmod u+s /usr/bin/ssh するとうまくいきそうな気が。

927 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/25 00:28:18

>>923
ls -l /dev/tty するとどうなる?

928 名前：859 メール：sage 投稿日：04/11/25 10:48:17

>>926
colinux:~# ls -l /usr/bin/ssh
-rwxr-xr-x 1 root root 230248 Sep 19 2003 /usr/bin/ssh
colinux:~# chmod u+s /usr/bin/ssh
colinux:~# ls -l /usr/bin/ssh
-rwsr-xr-x 1 root root 230248 Sep 19 2003 /usr/bin/ssh
colinux:~# exit
exit
user@colinux:~$ ssh user@192.168.1.2
Permission denied, please try again.
Permission denied, please try again.
Permission denied (publickey,password,keyboard-interactive).
user@colinux:~$ ls -l /dev/tty
crw-r--r-- 1 root root 5, 0 Jun 24 08:33 /dev/tty
user@colinux:~$

>>927
user@colinux:~$ ls -l /dev/tty
crw-r--r-- 1 root root 5, 0 Jun 24 08:33 /dev/tty
user@colinux:~$

お世話になります

929 名前：859 メール：sage 投稿日：04/11/25 10:55:44

>>925
いえ、colinux/debian からはLAN内のredhat はおろかルータ先の
サーバーには user では接続できないです。
ただしrootでは問題なくどこにでも接続できます。
接続できる先はLAN内のRHL9とレンタルサーバ×２ヶ所の合計３ヶ所
ありますが、そのすべてに対して同じ症状です

930 名前：859 メール：sage 投稿日：04/11/25 11:38:02

>>927
colinux:~# chmod go+w /dev/tty
colinux:~# ls -l /dev/tty
crw-rw-rw- 1 root root 5, 0 Nov 25 11:34 /dev/tty
colinux:~#

うわあ、これでうまく行きました。
ホント、ありがとうございました、皆様。

この辺、まったく触ってない、っていうかDebianの素のイメージでも
同じでした。
後学のためにお教え下さい。
なぜ僕の環境のみこんなことになってたのでしょうか。

931 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/25 12:28:50

うひゃ。/dev/ttyがo-wになっていたのか…。この手の症状はほんと原因がつかみ
にくいなぁ。

ちなみに、Debian標準では当然ながら
crw-rw-rw- 1 root tty 5, 0 Nov 18 13:21 /dev/tty
とかいう感じのパーミッション& UID & GIDです。

932 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/25 12:32:20

で、何で /dev/tty が go-w になったんだ？
そっちが激しく気になるのだが。

933 名前：859 メール：sage 投稿日：04/11/25 12:42:49

colinux:~# ls -al /dev/tty
crw-r--r-- 1 root root 5, 0 Jun 23 23:33 /dev/tty

Debian-3.0r2.ext3-mit-backports.1gb.bz2
をネットワークの設定、sshのインストールしただけのものを
見てみましたが同じでした。
今から出かけますが、後でこれのまったく触ってない、解凍しただけのもので
立ち上げてこれだけ見てみたいと思います

934 名前：859 メール：sage 投稿日：04/11/25 12:52:46

Debian-3.0r2.ext3-mit-backports.1gb.bz2 を解凍し
何もしないで見てみました。

colinux:~# ls -al /dev/tty
crw-r--r-- 1 root root 5, 0 Jun 23 23:33 /dev/tty

935 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/25 21:27:27

>>934
coLinux のサイトで公開されてる Debian のイメージを作った人が間違ったの
ではないかと。umask 22 のまま、tar で p をつけずにコピーしたものと思わ
れる

936 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/25 21:42:17

>>935
もしそうなら、SSH 以外にも落し穴がいっぱいありそうやね。

937 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/25 21:50:32

>>936
以前試したときは、/tmp や /var/tmp が書けなかった記憶がある

938 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/26 10:00:22

うは、だめじゃん。

939 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/26 13:35:09

結論としてはcoLinuxのDebianのイメージは使っちゃいけないってことですな。
/dev/ttyのパーミッションだけでなくGIDまで違ってきていたり、/var/tmpが
書けなかったりだと、あらゆるファイルがumask 22でUID & GIDがroot.rootになって
いそうな雰囲気。

940 名前：名無しさん＠お腹いっぱい。 投稿日：04/11/26 23:18:50

ssh2って正直不要な気がする

941 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/26 23:23:40

>>940
そのココロは？

942 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 00:12:30

つーかssh1の方がもはや不要でしょ。

943 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 01:22:46

ssh自体が不要だぁー

944 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 02:54:49

ssh2ってそんなに安全か？
一般人にはssh1レベルで十分かと。

945 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 04:38:51

一般人は Windows 3.1 で telnet でもしててください。

946 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 05:07:13

ホームディレクトリなくせばssh不要。
全部共有にしよう。おまいらnyとかbittorrentとかうpとか好きだろ？

947 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 06:02:21

最近の流行はrsh、これ

948 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 09:20:01

>>944
矛盾してない？

949 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 11:30:37

>>944
ssh1ってそんなに安全か？
一般人にはssh2レベルで十分かと。

950 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/11/27 13:28:34

>>939
http://pc5.2ch.net/test/read.cgi/linux/1098153141/
の514以降を参照してね。

951 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/01 07:36:22

ここ一ヶ月ほど毎日続いていたrootでのアクセスの試みが
ここ二日ほどばったりと止まって、かえって不安です……

952 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/01 12:33:21

>>951
あーごめん俺だ
いい加減諦めたぜ

953 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/01 14:39:05

>>951
実はアクセスの痕跡を一切残さない状態で使われちゃってるとか。

954 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/01 15:00:53

>>953
しぃー！

955 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/01 16:41:54

sshでルートアクセス可能にしていたの?

956 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/01 16:50:06

「アクセスの試み」が「ルートアクセス可能」にすり替わる謎。

957 名前：951 メール：sage 投稿日：04/12/02 06:15:01

>>955
もちろんしていないんだけれど、ばったりと止んだので
逆に不安になっていたのでした。

と思ったら、しっかり再開されました。
かえってほっとする不思議。

958 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/02 09:10:42

パスワード認証禁止しようよ。

959 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/02 10:05:09

「アクセスの試み」が「パスワード認証許可」にすり替わる謎。

960 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/02 11:22:01

>>959
フツーはパスワード認証でアタックしてくるだろうが。
下手な言葉遊びは恥ずかしいぞ。

961 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/02 22:17:50

読解力が無いのはもっと恥ずかしいぞ

962 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/02 22:38:47

はぁ。
じゃぁどう違うのか説明してみてよ。
どうせできないのだろうけど。

963 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/03 03:12:55

できるが、余白が足りない。

964 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/03 03:19:43

何行ぐらい要るの?

965 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/03 22:20:21

じゃあ、次スレ行こうか。

966 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/03 22:27:28

sftpのレジューム機能って、winscp3だけの機能ですか?
linuxのsftpは、manを見てもそれらしき記述が見付からないのですが…

967 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/04 02:10:26

>>966
おそらくそうだと思う。レジュームしたいなら rsync がオススメ

968 名前：966 メール：sage 投稿日：04/12/04 05:44:26

>>967
なんと、rsyncにそんな機能が…早速調べてみます。ありがとうございました

969 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/05 18:21:34

~$ ssh -p XXXX REMOTE_HOST

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ 警告: 遠隔ホストの認証が変更されています！ @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
誰かが悪いことをやった可能性があります！
たった今、誰かがパケットの盗聴(中間者攻撃)をやったかもしれません！
XXXホストキーが変更されているだけという可能性もあります。
遠隔ホストから送信されたXXXキーによるフィンガープリントは
XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX.です。
あなたのシステム管理者に連絡してください。
このメッセージが出なくなるように/DIR/USER/SECRET/known_hostsに正しい
ホストキーを追記してください。
/DIR/USER/SECRET/known_hostsに必要なキーはXXです。
遠隔ホストのXXXホストキーが変更され、厳密にチェックされました。
ホストキーの認証に失敗しました。

970 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/05 19:39:08

950超えているため、いずれdat落ちしてしまうので次スレ立てますた。
　SSH その4
　http://pc5.2ch.net/test/read.cgi/unix/1102242908/

971 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/05 22:23:13

>>970
スレがdat落ちするのは、981超えて24時間書き込みなければ、じゃない？
でも乙。

972 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/06 01:04:33

まぁええことよ

973 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/07 16:13:22

ぐえっへっへ

974 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/11 17:55:22

埋

975 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/18 19:40:06

ume

976 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/25 22:38:37

ｳﾒｰ

977 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/26 00:19:40

hage

978 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/26 07:29:23

梅

979 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/26 08:46:10

楳

980 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/27 01:24:38

有馬

981 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/27 08:44:36

温

982 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/27 08:58:35

子

983 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/27 16:23:10

呻

984 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/28 00:34:27

膿め

985 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/28 00:50:56

天皇賞

986 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/28 08:22:29

User Mode E...

987 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/28 10:26:54

次

988 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/28 12:43:41

仕事納めですなー

989 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/28 13:06:52

>>988
まだまだ納まりませんー。年末年始は自宅で作業ですー。(T_T)
職場のサーバにはsshでつながっちゃうので、自宅からでもあまり困らないし。

990 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/29 13:21:54

990

991 名前：名無しさん＠お腹いっぱい。 投稿日：04/12/29 13:34:41

990

992 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/29 14:03:33

990

993 名前：名無しさん＠お腹いっぱい。 投稿日：04/12/29 15:02:24

990

994 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/29 15:08:35

990

995 名前：名無しさん＠お腹いっぱい。 投稿日：04/12/29 15:10:43

990

996 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/29 18:04:19

990

997 名前：名無しさん＠お腹いっぱい。 投稿日：04/12/29 19:39:44

990

998 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/29 20:06:15

から

999 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：04/12/29 20:13:47

Ducati 999

1000 名前：名無しさん＠お腹いっぱい。 投稿日：04/12/29 20:14:38

1000は俺が頂いた。

　。,　　.ﾟ。　+　☆。,ﾟ.　o　。+　。ﾟ.,
　ﾟ.　ｏ　*　。　ﾟ。　ﾟ.。　　ﾟ。　+ﾟ　　。　ﾟ
ﾟ　`　.ﾟ　.　　.　ﾟ.　.　ﾟ　　.　ﾟ　　.　　,
　.　　.　　　。　　　.　,　　　　　　。
　　　　　　　　　　　　　　　　　ﾟ　
　　　　　　　　｡ﾟ　日
　　　　　(*'∀`)ノ 　　∫ ○　　∠〆〜_-ワ
　　　　　人＿',ﾍﾍ　へ.aノ人　 《*)ゞ≦0《*)
　‐''"´''""゛'"｀''"´'''"″"''"｀''""''"｀''"｀'"｀"'｀`'‐

1001 名前：１００１ 投稿日：Over 1000 Thread

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。