SSH その5

1 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/20(木) 07:09:00: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：http://pc.2ch.net/unix/kako/976/976497035.html
　Part2：http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：http://pc8.2ch.net/test/read.cgi/unix/1102242908/
2 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/20(木) 07:09:53: よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
　そのパスワードは暗号化されているのですか？
A.はい、その通りです。
　SSHプロトコルでは、まず始めにサーバ<->クライアント間で
　暗号化された通信路を確立します。
　ユーザ認証はその暗号化通信路の上で行なわれるので、
　パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
　ログインを試みる輩がいるのですが？
A.sshdにアタックするツールが出回っているようです。
　各サイトのポリシーに従って、適切な制限をかけましょう。
　参考：http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
3 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/20(木) 07:10:05: ◇実装
本家ssh.com
　http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
　http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
　OpenSSH情報：http://www.unixuser.org/~haruyama/security/openssh/
　日本語マニュアル：http://www.unixuser.org/~euske/doc/openssh/jman/
　OpenSSH-HOWTO：http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html

TeraTerm/TTSSH
　http://hp.vector.co.jp/authors/VA002416/
　http://www.zip.com.au/~roca/ttssh.html / http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
　http://sleep.mat-yan.jp/~yutaka/windows/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
　http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
　http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
　http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
　http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
　http://pro.wanadoo.fr/chombier/
PortForwarder
　http://www.fuji-climb.org/pf/JP/
TRAMP
　http://www.nongnu.org/tramp/tramp_ja.html
4 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/20(木) 07:10:21: ◇規格等
IETF secsh
　http://www.ietf.org/html.charters/secsh-charter.html
WideのSSH解説
　http://www.soi.wide.ad.jp/class/20000009/slides/12/

◇おまけ
Theoのキチガイぶり
　http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
　http://www.qmail.org/djbsssh/
5 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/20(木) 07:50:00: Theoつ
6 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/20(木) 19:37:27: >>4
> ◇規格等
> IETF secsh
> 　http://www.ietf.org/html.charters/secsh-charter.html

今はRFC出てるっしょ。
　・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
　・RFC4251: The Secure Shell (SSH) Protocol Architecture
　・RFC4252: The Secure Shell (SSH) Authentication Protocol
　・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
　・RFC4254: The Secure Shell (SSH) Connection Protocol
　・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
　　Key Fingerprints
　・RFC4256: Generic Message Exchange Authentication for the Secure
　　Shell Protocol (SSH)

http://www.itmedia.co.jp/enterprise/articles/0601/19/news073.html
7 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/20(木) 19:38:38: >>1-4
言い忘れたけど、乙！
8 名前： ◆2YYPBG4Se. 投稿日：2006/04/20(木) 23:48:04: >>3
　UTF-8 TeraTerm Pro with TTSSH2のその頁は，いまは見られないっぽいから，
URLは http://sourceforge.jp/projects/ttssh2/ あたりを書いておくほうがいいかと。
9 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/21(金) 05:09:18: rootで公開キーで接続したいのですが、公開キーはどこにコピーすればよいのでしょうか？
ユーザーの場合はホームディレクトリの.ssh内のauthorized_keysですが、rootの場合がよく分かりません。
よろしくお願いします。
10 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/21(金) 08:27:01: >>9
ホームディレクトリの.ssh内のauthorized_keys
11 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/21(金) 09:20:06: /root/.ssh/authorized_keys
でしょうか？やってみたのですがうまくいきません。
12 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/21(金) 11:15:51: >>11
sshd_config に PermitRootLogin yes
13 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/21(金) 11:24:53: 面倒がらずにsu, sudoあたりを使うのが多少なりとも安全かと…
14 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/22(土) 00:51:10: >>12
消(ry

>>11
sshd_config に PermitRootLogin without-password
15 名前：名無しさん＠お腹いっぱい。 投稿日：2006/04/22(土) 01:31:47: VPS2台ある環境で、定期的に片方のサーバにバックアップを行う
SHを書いたんですが、
「Pseudo-terminal will not be allocated because stdin is not a terminal.」と
エラーが出たままコンソールが固まってしまいます。
（ctrl+cでエスケープできますが）

スクリプトはこれです。

#/bin/sh

rotate() {
ssh root@***
cd /home/backup
}

rotate &

何か考えられる原因はありますでしょうか。
ssh -t root@***は駄目でした。
16 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/22(土) 01:37:22: ｸﾏｰ
17 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/23(日) 03:16:56: http://www.google.co.jp/search?&num=ie=UTF-8&oe=UTF-8&hl=ja&lr=lang_ja&q=Pseudo-terminal%20will%20not%20be%20allocated%20because%20stdin%20is%20not%20a%20terminal.
18 名前：ｷﾓｵﾀ 投稿日：2006/04/24(月) 11:37:02: 『dsaでの鍵認証が必要なグループ(webadmin)』と『パスワード認証のみのグループ(user)』という二通りのグループのユーザー達がログインできるような環境を作りたいのですが、もし可能でしたら教授頂きたいです。

下記の設定値を変更しながら複数のログイン環境を試みましたが、上述した二通りの条件を満たすに至りませんでした。

[etc/ssh/sshd_config]
ChallengeResponseAuthentication no
PasswordAuthentication yes
UsePAM yes

[etc/pam.d/ssh]
account required /lib/security/pam_access.so

[etc/security/access.conf]
+:ALL EXCEPT webadmin:ALL
-:ALL EXCEPT user:ALL

根本的に設定するファイルから間違っているのでしょうか・・
どなたか詳しい方、ヒントでもかまいません。
よろしくお願いしますm(_ _)m
19 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/24(月) 15:36:28: 全角文字を含んだコマンドを発行できる無料sshクライアントがあったら教えて下さい。
現在はPuttyを使っているのですが、Puttyで全角文字を使用するのは無理ですよね？
20 名前：名無しさん＠お腹いっぱい。 投稿日：2006/04/24(月) 17:09:39: UTF-8 TeraTerm Pro with TTSSH2 のウィンドウにドラッグするとファイルを転送できる機能は
便利で良さそうなんだけど、プロトコルはどこで指定するのかなぁ・・・
デフォルトでは何使ってるんだろう？
21 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/24(月) 17:29:13: >>19
全角文字の入力ってことですよね？出来ていますが。
22 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/24(月) 18:06:10: >>18
> 『dsaでの鍵認証が必要なグループ(webadmin)』と『パスワード認証のみのグループ(user)』という二通りのグループのユーザー達がログインできるような環境を作りたい

OpenSSH はそういう小回り効かせた処理は不得手っぽいんで PAM と
組み合わせたところで無理なんじゃなかろか。

$sh.com のなら、UserSpecificConfig という user%group@host 単
位で指定できる副構成ファイル (正規表現なので group のみ指定可)
を使えるから、おそらく簡単に実現可能。
23 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/24(月) 19:37:22: >>18
ポート番号が違う異なる設定ファイルでそれぞれsshdが起動できるなら可能かも。

思いっきり思いつきだが。
24 名前：ｷﾓｵﾀ 投稿日：2006/04/25(火) 20:26:10: >>22 >>23
親切な方、ありがとう。

>>22
"$sh.com" "UserSpecificConfig" ぐぐってみたんですが、情報少ないですね；；

>>23
そのやりかたが一般的みたいですね、sshdを二つ以上起動しなくても普通にできてもいいことかなって思っていたのですがあきらめます；；
25 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/25(火) 20:27:37: >>24
つ、釣られないぞ…
26 名前：ｷﾓｵﾀ 投稿日：2006/04/25(火) 20:32:18: つ、釣ってないよ！
27 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/26(水) 12:05:04: > つ、釣ってないよ！

s/\$/S/
28 名前：名無しさん＠お腹いっぱい。 投稿日：2006/04/27(木) 03:06:32: openSSHでの公開鍵認証では、LDAPに登録した公開鍵などを利用する事は可能でしょうか？
調べてみたのですが、それらしい記述が見つかりませんでした。
29 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/27(木) 08:39:39: ためしたことはありませんが、
OPENSSH LDAP PUBLIC KEY PATCH
ttp://www.opendarwin.org/en/projects/openssh-lpk/
というものがあります
30 名前：28 メール：sage 投稿日：2006/04/27(木) 12:48:35: >>29
情報ありがとうございます。
早速試してみようと思います。
31 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/27(木) 23:55:33: 玄箱をVINE化して使ってます。先日、停電で玄箱が落ちてしまい、その後から
起動してもSSHで接続できなくなりました。sambaなどは正常に動いてます。
COMポートがないので二進も三進もいかなくて困っています。
HDDを取り外してPCに接続し、KNOPPIXで起動してHDD内のファイルを参照できました。
どこかファイルをいじれば復旧できるもんでしょうか？
識者の方、お知恵をお貸しください。
32 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/28(金) 00:43:56: >>31
telnet とか
rlogin とかいろいろあるじゃん
33 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/28(金) 01:07:29: >>3
VaraTermも今はPoderosaになってる。

http://ja.poderosa.org/
34 名前：31 メール：sage 投稿日：2006/04/29(土) 22:44:51: >>32
sshでしかつながらないように設定してあるんです。
telnetでもいいんでつなぐ方法ありますかね？
knoppixで起動して、/etc/rc.localにsshが起動するように
書いてみたんですがダメでした。。。
35 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/29(土) 23:40:57: telnetで繋がるようにすればいい
36 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/29(土) 23:55:44: >>34
マウントできるんなら、ログ見るとか
telnetd 有効にしてみるとかいろいろできるでしょ。
37 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/04/30(日) 08:51:15: >>34
>/etc/rc.localにsshが起動するように書いてみたんですが

sshじゃなくてsshdだが、というオチじゃないよね?
あと、Vineベースだとtelnetdは標準では無かったような・・(1CDの影響)
当然、rlogindもない。

あとは、inetdから/bin/shを直接起動するという荒技がある。
誰でもパスワード無しで入れることに注意だけど。
38 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/02(火) 00:03:27: 玄箱の問題じゃなくてルーターの設定がデフォルト設定になって繋がらないというオチもあるな。
39 名前：名無しさん＠お腹いっぱい。 投稿日：2006/05/04(木) 02:02:01: PortForwarding を使うと localhost が実は他のサーバになったりしますが、
別のサーバに接続したいとき、毎回 ~/.ssh/known_hosts から localhost を
削除しないと
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED
が出てしまい接続できません。

このサーバの鍵のチェックを無視する方法はありませんでしょうか？
40 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/04(木) 02:49:40: >>39
ヒント: UserKnownHostsFile
41 名前：39 メール：sage 投稿日：2006/05/04(木) 07:26:12: なるほど、known_hosts をサーバごとに分けることができたのですね。
~/.ssh/config に
UserKnownHostsFile ~/.ssh/known_hosts_server1
を追加することで、毎回 known_hosts を編集しなくてよくなりました。
サンクス。
42 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/06(土) 15:02:16: scpはうまく動作するのですが、 ssh が動作しません。
$ssh -v host
の出力には、

debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.

と出ますので、認証は成功してるっぽいのですが、
この表示の後、入力に対して全く応答がなくなります。

一体、何が起こっているのやら、皆目見当がつきません。
解決法、若しくは、原因を追究する方法に関する知恵をお貸しください。
43 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/06(土) 17:43:49: >>42
環境は? 他のユーザだとどうなの?
44 名前：42 メール：sage 投稿日：2006/05/06(土) 18:37:23: ローカルもリモートも同じくVine Linux です。
SSHは元から、入っていた物を使っております。

ローカルとリモートの間には、スイッチングハブが2台挟まっていますが、
以前、問題なく通信できており，pingも通りますので、
通信環境の問題ではないと思うのですが、詳しいところは判りません。

他ユーザーでは、どうか？との事ですが、
リモートホストで新規ユーザーを作成し、
ローカルからSSH経由でログインを試してみたところ、
新たに作成したユーザーでも同様の症状でした。
45 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/08(月) 03:42:02: >>42
うまく行ってるscpのコマンドラインとsshで入れてるユーザ名は一致してる？
sshdのログはどうなってる？
46 名前：42 メール：sage 投稿日：2006/05/08(月) 11:36:23: 先程、ssh接続を試してみると問題なく接続できました。
うまくいかなかった原因は謎のままですが・・・。

ユーザー名ですが、一致しております。
また，ログですが、
/var/log/messages
/var/log/secure
を見る限りでは、認証は成功してるのですが、
セッションがオープンされていなかったようです。

過去、何度かこのような現象が起こっておりましたので、
できれば、原因を解明したいと思っています。
引続き、知恵を貸していただければ幸いです。
47 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/09(火) 00:06:18: >>46
疑似端末の確保ができないとそんな風になるかも?
48 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/09(火) 11:16:10: 質問

SSHを使用した場合、
Linux上で動くサービスの通信プロセス全てがSSHを通して行われるの？
またはポート毎にSSHを通すor通さない等の設定は可能でしょうか？
49 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/09(火) 11:58:12: ( ﾟдﾟ)ﾎﾟｶｰﾝ
50 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/09(火) 12:07:55: >>48
そういうことをやりたいときにはIPsecを使う
51 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/09(火) 13:23:42: http://www.unixuser.org/~euske/doc/openssh/openssh-vpn.html
52 名前：42 メール：sage 投稿日：2006/05/10(水) 12:48:26: >>47
擬似端末の確保ができない理由には、
どのような事が考えられるのでしょうか？
53 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/10(水) 14:01:07: >>52
疑似端末の数が足りない
54 名前：42 メール：sage 投稿日：2006/05/11(木) 18:20:51: 53>>
SSHで接続しようとするユーザーは私だけですので，
擬似端末の数が足りないと言う事は無いと思います．
55 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/11(木) 21:30:30: >>54
質問しておいてその言い方はないだろ。
56 名前：名無しさん＠お腹いっぱい。 投稿日：2006/05/12(金) 06:41:41: はぁ～
57 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/12(金) 06:47:57: ひぃ～
58 名前：42 メール：sage 投稿日：2006/05/12(金) 08:08:26: 申し訳ございませんでした。

>>53殿

SSHで接続しようとするユーザーは私だけでござりますので，
>>53殿がおっしゃるような擬似端末の数が足りないなどと言う事は
無いとお申し上げございります．
59 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/12(金) 09:37:19: ハットリ君？
60 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/12(金) 09:43:22: ,.――――-､
　ヽ /￣￣￣｀ヽ、
　　| |　（・）｡（･）|　　
　　| |＠＿,.--､_,> 　擬似端末が足りないはずはないでござる
　　ヽヽ＿＿＿ノ　　　　　　　　　　　　　　　　　　の巻
61 名前：42 メール：sage 投稿日：2006/05/12(金) 14:55:04: >>55
言い方が気に障ったのであれば謝ります。
ごめんなさい。

「擬似端末の数」との事でしたので、
私ひとりしか使っていなければ足りなくなる事は無いと思い込んでいたのですが、
調べてみましたが、そんな単純な物ではないようですね。
不見識を恥じます。

もし良ければ、Vinelinux での擬似端末の最大数の確認の仕方、
および、擬似端末の数が足りなくなる原因などを教えてください。
62 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/12(金) 14:58:25: >>61
Linux独自の確認法はLinux板で
63 名前：42 メール：sage 投稿日：2006/05/12(金) 17:39:44: そんなこと言わずに教えてくだすれ
64 名前：42 メール：sage 投稿日：2006/05/12(金) 18:03:43: Linux板のVine Linux Thread へ移動する事にしました。
質問に答えてくださり、どうもありがとうございました。

>>58,63
･･･。
65 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/20(土) 22:45:45: ﾕｰｻﾞｰ1がｻｰﾊﾞｰA上からｻｰﾊﾞｰBにSSHでログインしてｻｰﾊﾞｰCにトンネルを掘る
そのときﾕｰｻﾞｰ2がｻｰﾊﾞｰAからそのトンネルを使うことはできるんですか？
66 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/20(土) 22:52:12: >>65
できる(できてしまう)。
67 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/20(土) 23:10:16: >>66
即レスありがとうございます。やっぱりできるんですね。
Term二つ立ち上げてやってみたらできたんで、もしかしてと思って聞いてみました。
これって危険ですよね。ｻｰﾊﾞｰ上でトンネル掘るのはタブーなんでしょうか？
68 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/20(土) 23:17:58: トンネルのローカル側をUNIXドメインソケットにするようなことができれば
別ユーザにトンネルを使われることはなくなるかな。
そういうsshって存在するのかな?
69 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/21(日) 02:19:41: あったとして役に立つシーンがあまり思い浮かばない。
70 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/22(月) 08:28:04: >>65-67
なんか問題ある？
71 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/22(月) 21:18:52: >>70
偶然他人がトンネルを発見すると、普通はｻｰﾊﾞｰBからは見えない
（がｻｰﾊﾞｰCからは見える）ホストにアクセスできてしまう可能性があります。
例えばNATの内側とか。
72 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/22(月) 22:33:48: サーバ側からのトンネルは基本的に自分に返すのに使うんだから
自分側でアクセスをサーバのみに絞っておけばいいんでねーの？
あれ？
73 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/22(月) 22:49:09: >>71
> 例えばNATの内側とか。
デフォルトだと GatewayPorts が no だからいいんじゃね?
74 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/23(火) 00:13:28: >>71
なんか問題ある？
75 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/23(火) 00:22:34: むしろ見せたいんですが。80番とか。
76 名前：名無しさん＠お腹いっぱい。 投稿日：2006/05/24(水) 10:50:56: 質問です。.ssh/を保護しつつscpを許可する方法ってないでしょうか。
他人のホストから自分のホストにスクリプトでscpを自動実行させたいのですが、
authorizedしてしまうと他人のホストのrootは自分のホストに対してやりたい放題です。当たり前ですが。
そもそも発想からして間違ってるかも知れませんね・・。
77 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/24(水) 11:30:26: >>76
そもそも信用できないroot管理下にいるユーザを信用するのはおかしい。信用してはいけない。
それを踏まえた上で、restricted scp/sftp 使うくらいしかないんでない?
78 名前：76 投稿日：2006/05/24(水) 13:34:09: >>77
ありがとうございます。やはりそうですよね。
相手ユーザー自体は信頼できないわけじゃないんですが、
理論上のセキュリティホールであることを気にしていました。
何か全く別の方法を考えるしかないですね。
79 名前：名無しさん@お腹いっぱい メール：sage 投稿日：2006/05/24(水) 22:09:58: >76
chrootsshってのもあるけど、
ttp://chrootssh.sourceforge.net/index.php
こういう事じゃないのかな?
80 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/24(水) 22:40:04: scponlyとか使えばいいんじゃない？
81 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/24(水) 23:16:35: >>76
大げさかも知れんがSELinuxとかで.ssh/書き込み不可能にしてみるとか。
82 名前：名無しさん＠お腹いっぱい。 投稿日：2006/05/25(木) 00:26:53: >>79-81
ありがとうございます。
chrootもscponlyも検討しました。
scponlyは何故かうまく動かなくて、ログインシェルに指定するとscpすらできず。。
chrootはまだ試していません。もう少しチャレンジしてみます。

.sshをアク禁にする方法があるとは知りませんでした。これも勉強してみます。

ただ、ネックとなる条件がいくつかありまして、
最初の公開鍵の作成から流し込みまでリモートホストから半自動実行させるため、
.sshをアク禁にはできないのです。
このやり方が問題なのかも知れませんが、リモートホストが大量にあるため。。
83 名前：76 投稿日：2006/05/25(木) 00:37:21: あ、>>82は私です。

続きです。
できればsshも制限つきで使えるようにしておきたいので、
理想に近いのはchrootでディレクトリを絞って、かつ.sshをアク禁にするか、
失敗しているscponlyを成功させて、sshが必要なところは諦めて手動にするか、
といったところです。
84 名前：名無しさん@お腹いっぱい メール：sage 投稿日：2006/05/25(木) 21:47:37: >76
いまいちよくわかんないんだけどさ
たとえば、｢他人｣て言うユーザーアカウントがあったとして、｢他人｣がログインすると
/home/他人になるよね。
で、chrootssh使えば、｢他人｣がログインしたディレクトリ=/home/他人が
ルートになってそこより上の階層にはいけないから、
｢やりたい放題｣にはならないと思うんだけど、これだと何が問題なの?
85 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/26(金) 10:09:46: >>79
そこのモジュールは
いくらかまえのバージョンで本家と統合された
86 名前：名無しさん@お腹いっぱい。 メール：sage 投稿日：2006/05/26(金) 21:00:43: >85
そうなの?
4.3p1でもパッチ出てるけど,不要なの?
87 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/27(土) 07:49:48: "本家"と書いたらssh.com版を指す
opensshはあくまで亜流
88 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/27(土) 15:30:37: >>87
> "本家"と書いたらssh.com版を指す

そうなのか？！俺はちょっと分かりにくいと思った。。（>>86氏と同じように考えた
んで）
ssh.comのもの(T.Yolen氏が作ったもの)が確かに「本家」であるのは間違いない
が、一番よく使われているのはOpenSSHだからね…。

「商用のもの」と書くか（これはこれで混乱するカモ）、「本家(ssh.com)のもの」
と書くと余計な誤解を防げるかと
89 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/27(土) 15:51:10: >>88
> >
90 名前：86 メール：sage 投稿日：2006/05/27(土) 20:58:06: >87
了解
91 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/28(日) 08:51:12: 自分がどう思うか、じゃ無くて
世の中ではどう扱われているかってことだよな、大事なのは
92 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/28(日) 22:02:20: 最近頻発してるBruteForceAttackにリアルタイムに対応するために、
tcpserver経由でrblsmtpdを呼び出してsmtpdみたいなのを真似して
動くrblsshdを公開したら需要あるのかなぁ？

運用時の問題はRBLの更新速度やRBLの管理なんだけども… (´・ω・｀)
93 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/29(月) 01:33:16: 忘れたのでrblsshd動作様子@syslog

May 29 01:24:53 ari sshd: tcpserver: status: 1/100
May 29 01:24:53 ari sshd: tcpserver: pid 62452 from 127.0.0.1
May 29 01:24:53 ari sshd: tcpserver: ok 62452 localhost:127.0.0.1:10022 localhost:127.0.0.1::1966
May 29 01:24:56 ari sshd: rblsshd: Banned IP:127.0.0.1: 553 NO MORE
May 29 01:24:56 ari sshd: tcpserver: end 62452 status 0
May 29 01:24:56 ari sshd: tcpserver: status: 0/100

sshを使った時。
% ssh localhost -p 10022 -v
OpenSSH_3.5p1 FreeBSD-20030924, SSH protocols 1.5/2.0, OpenSSL 0x0090701f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to localhost.local.jp [127.0.0.1] port 10022.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Remote protocol version 1.9, remote software version rblsshd 0.0.1 AHYA(0_0)
debug1: no match: rblsshd 0.0.1 AHYA(0_0)
debug1: Local version string SSH-1.5-OpenSSH_3.5p1 FreeBSD-20030924
debug1: Waiting for server public key.
Disconnecting: Bad packet length 1349676916.
debug1: Calling cleanup 0x804c158(0x0)

sshdの鍵を送るときに適当に送ってるのでオーバーフローしちゃってますけど…。
中身はrblsmtpdを元にやっつけなので、もっさりな動作してます（´・ω・｀）
94 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/29(月) 08:09:25: >>93
sourceforge にアカウントとって公開してみればいいんじゃね?
95 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/29(月) 13:09:53: macにrootでアクセスしたいのですが、mac側でrootのパスワードはどこで設定するのでしょうか？
96 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/05/29(月) 13:15:05: OSXの話か？
購入時のまにゅある見てみ？
97 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/03(土) 16:10:42: >96
Mac OS Xはrootアカウントが無効になっている。だからマニュアル読んでも……
98 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/04(日) 13:02:56: X11のポートフォワードで、
local側をinet:じゃなくてlocal:に接続させるpatchってないんですかね?
99 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/04(日) 13:29:04: >>98
何もしなくてもlocal側はLOCAL:(UNIXドメインソケット)にフォワードされる。
正確には、sshクライアント実行時のDISPLAY環境変数の値に
フォワードされる。もしINET:になってるのなら、DISPLAYの値が
localhost:0とかのINETドメインになってるんじゃないの?
DISPLAY=:0の状態でsshするべし。
100 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/04(日) 23:12:29: ttp://nanno.dip.jp/softlib/man/rlogin/
これ使ってる人いませんか？
101 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/06(火) 18:13:03: 初歩的な質問ですが、お願いします。

例えば、sshクライアント側のiptablesの設定は
-A INPUT -p tcp -s $(sshサーバ) --sport 22 -d $(自分) -j ACCEPT
-A OUTPUT -d $(sshサーバ) -s $(自分) -j ACCEPT
みたいにすればできますが、これって相手が22番ポートを使うように偽装した場合、侵入されてしまうと思うのですが、
実際はどうなんでしょうか？
でも他に方法ないし…
102 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/06(火) 19:16:18: なんでくだ質スレにいかないの?
103 名前：101 メール：sage 投稿日：2006/06/06(火) 19:50:28: 逝ってきます
スレ汚し失礼しました
104 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/06(火) 21:08:27: >>101
そんな信用出来ないところにログインするなよ。
105 名前：101 メール：sage 投稿日：2006/06/06(火) 21:15:30: >>104
大学のサーバなので信用出来ないわけではないのですが…

ふと思ったので質問してしまいました
106 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/07(水) 02:20:30: Accelerating OpenSSH connections with ControlMaster
http://tips.linux.com/article.pl?sid=06/05/19/145227
107 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/11(日) 06:13:23: 大学のサーバは信用しない方がいいね
108 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/11(日) 21:31:38: そうなんか？
プロを雇ってやってんじゃないの？（雇ってないとこは論外だが）
109 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 00:54:12: ボランティアベースのプロだろうなw
110 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 01:55:53: 実態はひどいもんだよ

プロっていっても鯖の掃除しに来てるだけとかな
111 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 02:34:49: うちの大学のネットワーク管理部門、連絡手段はメールのみだって。

以前、ルータにトラブルがあって、学科のLANから外にまったく繋がらなくなった。
学内部門電話帳で調べて電話したけど、秘書か誰かが「繋ぐことはできません」って。
仕方ないので研究室の電話使ってプロバイダに繋いで、ISPのメールアドレスから連絡したよ。
こいつら馬鹿なんじゃね？
112 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 02:38:09: いい加減スレ違い。
113 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 02:41:57: いつの話か知らんが
いまどき携帯メール使うだろ
114 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 02:47:11: >>112
すまん、

>>113
結構前。まだ手持ちの携帯でメールは出せなかった。
115 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 03:42:09: パスワード認証は平文で行われるから使うな

という間違った話はいまだに聞くことあるな
どこがソースなんだろう？
116 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 05:16:42: いずれにしろパスワード認証はシラミツブシ攻撃に対して激しく弱いから使うな

おまいらのsecurityログにも攻撃の痕が大量に残ってるだろ？
117 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 12:25:47: 俺ポート変えてるから
118 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 16:55:07: SSHの読みはシュシュハッでいいのですか？
119 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 17:29:29: 普通に「エスエスエイチ」でいいんじゃない？
http://ja.wikipedia.org/wiki/Secure_Shell
120 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 18:53:28: >>115
平文？キースキーミングとかでヤバイってわけじゃなくて？

DSAｷｰとか使うってのが普通なんで，パスワードなんて最後の最後の手段じゃないか？
121 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 19:29:48: SSHH シシハハ
122 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 19:33:31: >>120
よく読め。
123 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/12(月) 20:52:11: >>116
denyhostsしてるし…
124 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/13(火) 18:08:38: RSAとDSAってどっちが良いの？
125 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/13(火) 18:55:40: DSAならキーボードからの打ち間違えが少ない
126 名前：124 メール：sage 投稿日：2006/06/13(火) 19:24:12: すまんせん意味分からんス
127 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/13(火) 19:34:48: どっちでもいいんじゃね？
128 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/13(火) 19:41:12: w
qwertyみたいにホームポジションから動かなくても打てるからかヨw
129 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/14(水) 12:09:12: ちょっと質問というか相談なのですが、↓のサイトの
ttp://www.banana-fish.com/~piro/20040609.html#p06
結論として、「自動運転のためにssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作り、
その鍵を使ってできるコマンドを必要最小限に制限する」がベストということですが、そうなんですか？
＞パスフレーズはいざという時の時間稼ぎでしかない。
というのには同意ですが、でもそれはそれで意味はありますよね。
なんかこのページの趣旨が分からないっす。というかコマンドごとに鍵作るなんて面倒すぎる…

よりセキュアにってことだと思いますが、セキュアにするならそもそも自動運転など…と思ってしまうわけで。
みなさんはどう思われますか＆自動運転はどういうふうにやってますか？
130 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/14(水) 12:20:05: >>129
パスフレーズはどうするのがいいと思うの?
expect で自動化? 平文でどっかに書いとくの?
131 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/14(水) 13:47:08: セキュアにしたいなら毎回パスワードを入力した方が良いんじゃないの。
セキュリティを犠牲にしてでも手間を省きたいならssh-agentを使えばいいじゃん
132 名前：129 メール：sage 投稿日：2006/06/14(水) 21:55:03: >>130
いや、パスフレーズは適当に（できれば通常のログインパスワードより長めに）
expectはありえないのでは？平文で書くなんて恐ろしすぎる…
自分はssh-agent＋ssh-addで自動運転、が普通だと思ってました。

>>131
パスワード認証ってことですか？それだとパスワードを相手ホストに送ってることになりますよね（まぁ暗号化はしてますが）
普通、セキュアな順に公開鍵認証、ホストベース認証、パスワード認証で、sshも認証の優先順位はこの順だったと思いますが
133 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/14(水) 22:39:23: パスワード認証の話ですけど

暗号化されたパスワードであっても盗聴は出来るんだから

それをそのまま突っ込まれればやばくないですか？
134 名前：ヽ(´ー`)ノ ◆.ogCuANUcE メール：sage 投稿日：2006/06/15(木) 00:19:41: >>129
概ね同意できると思うが。

1. ssh-agent常駐させるなら、パスフレーズ無しの自動運転専用鍵を作る

パスフレーズなんて飾り。一方で、再起動の度にパスフレーズが必要という
手間がある。従って、手間に見合った効果がない(と思われる)。

2. その鍵を使ってできるコマンドを必要最小限に制限する

至極当たり前の考え。

自動運転 → コマンド内容も自動 → 実行されるコマンドは常に一定
→ 他のコマンドは使えないようにしてしまえ

パスワード認証は駄目だな。
自動運転が前提なんだから、ssh-agent みたいに毎回手入力するか、
expect のように平文でどこかに置いておく必要がある。まったく意味がない。
135 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/15(木) 01:16:50: >>132
> 自分はssh-agent＋ssh-addで自動運転、が普通だと思ってました。

ssh-agentの乗っ取りにはどう対処する?

ssh-agentの開いたソケット(/tmp/ssh-xxx/agent.1234みたいなの)にアクセスできれば、
そのagentが記憶している全ての鍵は使い放題だし、
デバッガ等でssh-agentプロセスのメモリ空間を覗くことができれば生の秘密鍵が手に入る。

ssh-agentを乗っ取られないようにアクセス制限をかけることと、
パスフレーズ無しの秘密鍵を盗まれないようにアクセス制限をかけることに
どれだけの違いがある?
パスフレーズを毎回手入力しなきゃならないデメリットにも勝るものか?
136 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/15(木) 02:10:24: 公開鍵認証なんて秘密鍵を盗まれればおしまいだよ。
137 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/15(木) 02:22:02: 盗まれたら速攻でrevokeっしょ。
138 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/15(木) 02:49:36: 確認せずに yes 連発するやつらばっかりだから MITM でいいよ。
139 名前：ヽ(´ー`)ノ ◆.ogCuANUcE メール：sage 投稿日：2006/06/15(木) 05:40:32: >>136
鍵を盗まれてから trust な鍵のペアに交換するまでの時間が稼げる分、
パスフレーズ付きが若干有利ってだけで、結局それに尽きる。

「正規のユーザしか秘密鍵を持っていない」ってのが鍵交換認証の肝なんで、
これが破られるとどうしようもない。
140 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/15(木) 06:36:30: Theoみたいな奴がそう簡単に秘密鍵を盗まれるのか？
141 名前：132 メール：sage 投稿日：2006/06/15(木) 15:01:11: >>135
＞ssh-agentの乗っ取りにはどう対処する?
もちろんお手上げですよ。だからある程度安全だと確信できるホスト以外では使わない。
自分の考えは>>139と同じです。パスフレーズはないよりあったほうがマシ。秘密鍵盗られたらｵﾜﾘ。

このへんは各々の前提や考え方（と好み）などによるってことですね。
自分はリモートログインにコマンド制限は一切かけたくない、というのが第一の前提で、
その上で秘密鍵盗難の危険が高いなら自動運転しない、低いならする、という考えです。

まぁいずれにせよ、自動運転なんて軽々しくやるもんじゃないと…
142 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/15(木) 15:43:17: すべてのマシンで同じ鍵を使用しているのですが、マシンごとにそれぞれ鍵を作る
のが一般的なのでしょうか？
143 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/15(木) 21:03:39: そう。
144 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/16(金) 19:27:23: 認証転送使えばssh-agent乗っ取りのリスクも少しは軽減されるんすか？
ttp://www.h7.dion.ne.jp/~matsu/feature/uzumi/tool_memo/ssh.html#1
145 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/17(土) 13:33:24: >>144
いや、認証転送に使うソケット(agent単体のときと同じく/tmp以下に作られる)に
アクセスされるとマズいのは変わらん。
まあ、便利さの裏側には何らかのセキュリティリスクがつきまとうものだ、っていう
至極あたりまえのことですな。
146 名前：名無しさん＠お腹いっぱい。 投稿日：2006/06/24(土) 16:40:02: いくつもある UNIX 鯖に Windows マシンからトンネル張るために
毎度毎度 ssh クライアントでログインしなくてもいいように、
Windows のダイヤルアップアダプタか VPN アダプタのように扱える
SSH ポートフォワーディング用のソフトってないですかね・・・

ore.no.host.example.com 宛に接続が必要になると
自動的にあらかじめ登録した鍵を使ってあらかじめ決めた
ポートだけトンネルされた状態で接続してくれるような・・
147 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/24(土) 17:08:25: plink
148 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/24(土) 18:49:25: PortForwarder
http://www.fuji-climb.org/pf/JP/
149 名前：名無しさん＠お腹いっぱい。 投稿日：2006/06/25(日) 06:01:33: 顧客がsshのポートフォワーディングであることを意識せずに
使えるように、Windowsのネットワークアダプターのユーザーインターフェースに
統合されているようなsshクライアント製品ってありませんか？
150 名前：名無しさん＠お腹いっぱい。 投稿日：2006/06/25(日) 06:27:57: otp でいいじゃん
151 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/25(日) 10:18:13: なんでもかんでもsshで解決しようとするのか
152 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/25(日) 10:21:20: >>151 他の方法での通信を組織がポリシーとして許してくれない。
153 名前：名無しさん＠お腹いっぱい。 投稿日：2006/06/26(月) 20:58:55: [1] 入門OpenSSH
　　http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X

キタァ！　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ

from
　コンピュータ関連書籍新刊一覧
　http://pc.watch.impress.co.jp/docs/2006/market/i_nbook.htm

参考までに、既刊書籍：

[2] 入門SSH
　　http://www.ascii.co.jp/books/books/detail/4-7561-4553-1.shtml

[3] (絶版)OpenSSH セキュリティ管理ガイド
　　http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-0129-5
154 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/27(火) 18:42:57: どんな時に、sshのhost-keyは変わりますか？

#Fedora Core 5 の初期設定中にトラブルがいろいろと発生して、X-windowとかが飛んだのでまた再インストールorz
155 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/27(火) 20:10:54: >>154
host-keyを変えたとき
156 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/27(火) 20:40:30: 「入門OpenSSH」買ってきた。
巻末の「著者紹介」がなくなってた。まあ、どうでもいい(DDI)けど。
157 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/28(水) 02:12:41: >>154
ホストをクラックされて host key を変えられたとき
MITM されてるとき
158 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/30(金) 00:59:53: [3]は持ってるんだけど、
[1]はその改訂版なの？
あと対応バージョンはいくつなんだろう
159 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/06/30(金) 14:35:30: あげ
160 名前：名無しさん＠お腹いっぱい。 投稿日：2006/07/05(水) 22:53:49: bit数ってみんなどれくらいにしてまつか？
2048じゃ今時足りない？
161 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/06(木) 15:38:34: http://www.atmarkit.co.jp/flinux/rensai/linuxtips/363rbashuser.html
@ITのこの記事読んで特定のコマンドしか実行できないユーザ作ったんですが。

これってそのrestrictedユーザ@hostががfoo@barとすると

ssh foo@bar bash -i

で簡単に回避されてしまうんですが。
これを回避して/bin/rbash以外起動できないようにする方法はありませんか？

いじるファイルによってはスレ違いかもしれませんが、一応fooはssh経由でしか入ってこないので。
162 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/06(木) 15:46:56: >>161
man sshd
AUTHORIZED_KEYS FILE FORMAT
...
command="command"
Specifies that the command is executed whenever this key is used
for authentication. The command supplied by the user (if any) is
ignored. The command is run on a pty if the client requests a
pty; otherwise it is run without a tty. If an 8-bit clean chan-
nel is required, one must not request a pty or should specify
no-pty. A quote may be included in the command by quoting it
with a backslash. This option might be useful to restrict cer-
tain public keys to perform just a specific operation. An exam-
ple might be a key that permits remote backups but nothing else.
Note that the client may specify TCP and/or X11 forwarding unless
they are explicitly prohibited. Note that this option applies to
shell, command or subsystem execution.
163 名前：161 メール：sage 投稿日：2006/07/06(木) 15:54:49: >>162
ありがとうございます。…やっぱそれしかありませんかね？
今の環境がパスワード認証なのでそれを維持したままの方法がないかと模索していたのですが。
164 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/06(木) 16:33:08: >>161
これってフルパスでコマンド実行できない？？
165 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/06(木) 16:50:41: /etc/exportsの(の前にスペース入れちゃう人だからねえ
166 名前：161 メール：sage 投稿日：2006/07/06(木) 16:59:06: >>164
記事にも書いていますが、実際にフルパスでコマンドを起動しようとするとrestricedとしてエラーになります。
なので必要最低限のコマンドだけ与え、PATHを制限したうえで、.bashrcと.bash_profileを編集不可にしてしまえばそれ以外のコマンドは起動できなくなります。

後はログイン時にrbash以外起動できなくすれば良いのですが、>>162の方法だけかな。

>>165
怖っ！ｗ

スレ違い気味になってきましたね、すみません。
167 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/08(土) 07:03:30: もしrootの人に秘密鍵を盗まれてしまったら、そのrootの人は、公開鍵を置いてあるサーバに自由にアクセスできるようになってしまうのでしょうか？
168 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/08(土) 08:47:47: >>167
つパスフレーズ
169 名前：名無しさん＠お腹いっぱい。 メール： sage 投稿日：2006/07/08(土) 14:59:02: linux debian スレから来ました。クライアントCから
sshで同じローカルネットのサーバーA,Bに入って、kterm&
すると、Aは窓が開くのにBは窓が開かない現象に出くわしています。
ABともに、/etc/ssh/sshd_configのX11ForwardingはYesなのに、
sshでBに入ると$DIAPLAYが設定されておらず、無理やり-display :10.0
とやっても、Can't open displayでけられます。

Bのsshd -d -d -dで出力のこの辺みろとか、なにかアドバイスいただけ
ると助かります。
170 名前：169 メール： sage 投稿日：2006/07/08(土) 19:02:51: すみません。自己解決できました。Bはxserverなしの鯖で、xtermだけ
いれてやってたんですが、xauthが入っていないとsshのX11Forwarding
は機能しないんですね。勉強になりました。
171 名前：167 メール：sage 投稿日：2006/07/08(土) 19:33:43: パスフレーズは設定していません
172 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/08(土) 19:46:34: おわた
173 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/09(日) 00:21:28: >>171
それはもうだめかもわからんね。
174 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/09(日) 12:03:52: 公開鍵を換えなさい
175 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/09(日) 14:20:05: /etc/sshのconfigファイル、ほとんど#がかかってるけど一体どれがデフォになってるのかﾜｹﾜｶﾒ
176 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/09(日) 15:03:56: 環境を書かないとはこれいかに。
177 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/09(日) 19:19:46: #がデフォルトだろ
178 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/10(月) 15:02:24: 入門OpenSSH
ttp://www.amazon.co.jp/gp/product/479801348X/
179 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/10(月) 21:42:14: >>177
そうとはかぎらんよ
180 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/10(月) 21:58:16: # The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
181 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/11(火) 03:31:36: ----修正前
# PasswordAuthentication yes

...

# PermitRootLogin yes
----修正前

----修正後
# PasswordAuthentication yes
PasswordAuthentication no

...

# PermitRootLogin yes
PermitRootLogin no
----修正後
182 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/11(火) 12:17:03: opensshでサーバ証明書じゃなくて個人証明書で認証を行わせることってできるでしょうか。
183 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/11(火) 17:00:13: >>179
どっちなのよ？

#がデフォとするなら、変えるときは>>181のように行を追加して、元に戻すときは削除するってことかい？
184 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/11(火) 23:39:34: デフォルトの値を知りたきゃmanすれ。
185 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/12(水) 09:36:33: manはたまに信用ならんからソース嫁
186 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/12(水) 10:40:49: ﾒﾝﾄﾞｸｾ
187 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/12(水) 12:16:23: >>186
んじゃ2chで聞け

(>>175にﾓﾄﾞﾙ)
188 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/12(水) 12:52:11: なんでずっと環境隠してるんだろう。
189 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/12(水) 22:32:07: >>186
じゃあ、デフォ使わないで明示的に指定
した方が早い気ガス
190 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/12(水) 23:04:47: parent_domain_matches_subdomainsがけしからん！
191 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/13(木) 22:40:06: man sshd_configにRhostsRSAAuthenticationとHostbasedAuthentication は似てるってあるけど、全く同じなんじゃないの？
クライアントの公開鍵がsshサーバの~/.ssh/known_hostsに入ってるかどうか、ってことでそ？
誰か教えてください
192 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/14(金) 00:07:49: >>191
SSHプロトコルのバージョンの違い。前者（RhostsRSAAuthentication）はバージ
ョン1のみで、後者（HostbasedAuthentication）はバージョン2のみで使われる。

内容が同じなのか、また両者を１つの項目に統合してしまっても問題ないのかまで
は分からない。（※個人的には、何らかの理由があって分けたのではないかと思っ
ているけど。）
193 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/14(金) 17:15:35: クライアントの公開鍵じゃなくて、クライアントで動いているsshdの公開鍵。
だからsshdの秘密鍵にアクセスできる必要がある。

RhostsRSAAuthenticationとHostbasedAuthenticationはssh1とssh2のそれぞれで
設定が可能になっている。
でも、今どきはssh1は普通無効なのでRhostsRSAAuthenticationは使わない。
194 名前：191 メール：sage 投稿日：2006/07/14(金) 17:28:48: あ、そうか
「ホスト」単位で認証するんだから、クライアントのホスト鍵＝sshdの公開鍵＝/etc/ssd/ssh_***.pubっすね
ありがとうございますた
195 名前：191 メール：sage 投稿日：2006/07/14(金) 22:36:26: 何度もすいません。追加質問お願いします。家のマシンでテストしていたんですが
Hostbased認証にはssh-keysignをsetuidする必要があるそうですが、setuidしてないのにログインできるマシンがあります。
よく見ると「Have a lot of fun...」の直後に「Agent pid 566」とか出て、ssh-agentが走っているようです。
ssh-agentって公開鍵認証（sshd_configでPubkeyAuthentication yes)で使うものですよね？
なぜこれが起動するんでしょうか？
他のマシンでは正常にホストベース認証でログインできました（もちろんssh-keysignにsetuidを立てないとエラー）

ちなみに問題のマシンのsshバージョんはOpenSSH_3.7.1p2,です
196 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/16(日) 03:18:40: ssh-agentが起動するのはシェルのスタートアップファイルがそのように書いてあるから。
197 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/16(日) 05:39:18: ホストで認証するのは危険ですか？
198 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/16(日) 20:16:45: >>197
いいえ、それはトムです。
199 名前：195 メール：sage 投稿日：2006/07/17(月) 16:04:58: >>196
ほんとだアホすぎる・・・orz
thxです
200 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/22(土) 18:21:43: RSAAuthentication　と　RhostsRSAAuthentication の違いを教えてください。manだと、
　RSAAuthentication・・・RSA認証
　RhostsRSAAuthentication ・・・RSA ホスト認証を使った Rhosts ベースの認証
のようですが、つまり後者は前者のRSA認証にrhosts、shostsファイルによる認証を加えたもの、ということですか？
201 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/22(土) 19:57:12: >>200
10 レス前も読まないのか
202 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/22(土) 19:58:20: >>200
違ったねごめんね
203 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/23(日) 10:03:49: 最近中国とか台湾とか韓国方面からの ssh password アタックが多いので…

同じIP address から短時間に 10回以上
アクセスがあったら(login error 回数だと尚良い)
そのアドレスにたいしては sshd を1時間 shutout する、
なんていう設定ができないかと思っているんですが
sshd の機能だけでは出来ないんですよね?
似たような話でも良いのですが、なにか方法はあるのでしょうか?

環境: OpenSSH_4.2p1 FreeBSD-20050903, OpenSSL 0.9.7e-p1

(できれば公開鍵 only ではなく password 認証は生かしておきたいです)
204 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/23(日) 10:49:25: >>203
普通に、ssh接続する接続元のIP以外はFWではじくのがベスト。
でなければ、中国とか台湾とか韓国のIPを根刮ぎDeny汁
205 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/23(日) 12:24:22: http://www.itmedia.co.jp/help/tips/linux/l0541.html
http://www.bsp.brain.riken.jp/~washizawa/ssh.html
http://yoosee.net/d/archives/2005/11/08/002.html
このへんを参考に。
206 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/23(日) 16:21:03: >205
thx. MaxStartups の 3:30:20 みたいな表記がほぼズバリでした

>204
出張その他でいろいろな所から接続するので接続元は特定できないのと、
家族のアカウントのことは証明書ベースにするのはちょっと
面倒だったんで...

まあ CKT 方面は ssh に関しては deny したいところですけどね...
207 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/23(日) 19:41:13: >>203＝>>206
sshdを別のポート番号で動かすのが手っ取り早いんじゃないかと思う。
そのマシンにログインする人全員にそのことを知らせる必要があるけれども。

# >>205の３つめのwebページからもリンクされている、
# 　http://www.unixuser.org/~haruyama/security/openssh/20051108.html
# を参照ってことで
208 名前：153 メール：sage 投稿日：2006/07/23(日) 19:50:55: >>153
> [1] 入門OpenSSH
> 　　http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-1348-X
>
> キタァ！　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ　ヽ(ﾟ∀ﾟ)ノ

某大学の図書館に入ったヽ(ﾟ∀ﾟ)ノので、さっそく借りてきた。
# [3]は、リクエストしたのになんだかんだ言って入らないまま時間が過ぎてついに
# 絶版になっちまってｺﾝﾁｸｼｮｰだったので、よかったYO

以上、チラシの裏ｗ

>>158
> [3]は持ってるんだけど、
> [1]はその改訂版なの？
> あと対応バージョンはいくつなんだろう

[1]では4.3を対象として書かれているようですね。
209 名前：200 メール：sage 投稿日：2006/07/24(月) 12:16:45: 何か勘違いしてますね自分・・・↓を見たのですが
ttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワード認証のことですか？
通信の通路はRSAで暗号化するのだから、パスワード認証もホストベース認証もみんなRSAは使ってるわけですよね？

ss1の話で今更あまり意味ないかもしれませんが、いちおう理解しておきたくて・・・
210 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/24(月) 17:13:15: >>209
> RSAAuthenticationは「純粋なRSA認証」とありますが、これはいわゆるパスワ
> ード認証のことですか？

違います！
SSHプロトコル1.xでの公開鍵認証、です。RSAを使うんで、「RSA認証」と呼ばれて
いるわけだ。

sshd_configでの設定項目：
　公開鍵認証：RSAAuthentication（1.x），PubkeyAuthentication（2.0）
　パスワード認証：PasswordAuthentication（1.x,2.0共通）
211 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/24(月) 18:10:04: >通信の通路はRSAで暗号化するのだから、

いや通信経路は RSA 使わないよ?
経路の暗号化は共通鍵方式。
いろいろとキホンを勉強してから個別資料のほうがいいと思うぞ
212 名前：209 メール：sage 投稿日：2006/07/25(火) 03:59:39: >>210
公開鍵認証だったんですかー！ありがとうございました。
でもどっちも公開鍵認証なんなら
RSAAuthentication→PubkeyAuthentication1
PubkeyAuthentication→PubkeyAuthentication2
みたいにしてくれれば分かりやすいのに。"RSAを使ったAuthentication"は他にもいろいろあるのだし・・・
歴史の流れでそうなってるってことでしょうかね？

>>211
通信コストを下げるために公開鍵暗号は最初の認証のみで、後は共通鍵みたいですね。知らなかった
でも、使う共通鍵はホストとクライアントどちらのものなんでしょうか？
213 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/25(火) 06:16:42: sshでサーバに繋ぐときに、GlobalKnownHostsFile(/etc/ssh/ssh_known_hosts)で
許可していないホストを、勝手にユーザの~/.ssh/known_hostsにそのホスト認証鍵を
追加させたくないのですが、どうすればいいでしょうか。
とりあえず、/etc/ssh/ssh_configに
StrictHostKeyChecking yes
としておけば、未知のホストに接続した場合のfingerprintを聞いてこないので、抑止
にはなるかと思うのですが、ユーザが
% ssh -o StrictHostKeyChecking=no remote-address
とした場合、ssh_configの設定が上書きされるので、どうしたものかと思っています。
何か良い方法がありますでしょうか。

sshd_configの場合、IgnoreUserKnownHostsオプションがあるので良いのですが。。。

環境は、FreeBSD 5.3R OpenSSH_3.8.1p1です。
214 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/25(火) 10:14:08: >>213
なんでそんなことしたいんだろう。
ファイアウォールで閉じるとかじゃだめなん?
215 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/25(火) 10:52:24: 理由はわからないが、ソースが公開されているのだから、修正して
そのオプションを削れば済むこと。
216 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/25(火) 10:53:21: ~/.ssh/known_hosts をルート所有のリードオンリーにする。
217 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/25(火) 10:58:11: >>216
それじゃファイル消して新しく作られて終わりじゃね?
218 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/25(火) 11:12:53: >>215
自力でコンパイルされたら終わりじゃね?
219 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/25(火) 11:27:05: 結局ファイアヲールで防ぐしかないんじゃね？
220 名前：213 メール：sage 投稿日：2006/07/25(火) 12:41:59: >>214-219
サンクス。
ファイアウォールで制限する事にしました。妙な方向に考えていたようです。
そもそもの理由は、sshのクライアントとサーバ間でホスト認証＆相互認証を
しようとして、sshd側は、クライアントのホスト公開鍵を/etc/ssh/ssh_known_hostsに
設定し、sshd_configのIgnoreUserKnownHosts,IgnoreRhostsの設定でユーザが故意・事故で
~/.ssh/に変なクライアントからの接続の許可を無視できればＯＫと考えた。
でも、ssh側は、/etc/ssh/ssh_known_hostsにサーバのホスト公開鍵を設定しても、
ユーザの設定（コマンドラインの-o指定や~/.ssh/config）で上書きされてしまったら、
意味がないかな？と思っていた次第です。
（たとえば、鍵指紋を何も考えずにEnter押すようなユーザや、サーバホスト鍵が変更されてる
というワーニングがでたら~/.ssh/known_hostsの該当部分を削除してしまうようなユーザを制限
できたらと考えていたのですが。）

>>216
ちなみに該当ファイルをReadOnlyにしても接続時に「ファイルに書き込むのに失敗した」という
旨のエラーがでるだけで接続自体は行うようです。
221 名前：206 メール：sage 投稿日：2006/07/25(火) 15:30:42: >206 のように書きましたが、AllowUsers で
login できるアカウントを制限していたためか
root やら admin やらでアタックを試しているうちは
"login の認証失敗" まで行かないことになって
MaxStartups の縛りが全然発動しないっぽいです… orz

だだだーとアカウントスキャンをかけてくる台・韓の
script kiddy のせいで /var/log/authlog がすげーバッチイまんまですた
(アドレス毎に 10-20行位で収まるようになるのかと思ったのに)

>207
確かに出張時に使う(接続元アドレスバラバラ)、のは私だけなので
port 22 は特定アドレスからの接続だけに限定して
一般の接続用としてはそれもアリかもしれないですね。
222 名前：名無しさん＠お腹いっぱい。 投稿日：2006/07/26(水) 21:24:46: sshポートフォワーディングを用いてftpを使いたいのですが、
ffftpで「接続しました。　接続できません。」となってしまいます。

・sshによるパスワード認証ログイン、通常のftpによるログインは可能
・PuTTY0.58-jp20050503でトンネル部分を設定
→L8021 ********.jp:21(左が源ポート、右が送り先）
・ffftpはポート8021、接続先localhost、PASV、FWなしに設定
・サーバはSolaris10、クライアントはWin。
・OpenSSH（Solaris10バンドル）使用。
→Sun_SSH_1.1、SSH プロトコル 1.5/2.0、OpenSSL
・ttp://cl.pocari.org/2006-05-18-1.htmlを見て、
　AllowTcpForwarding yesにしてみました。

アドバイスあれば、よろしくお願いいたします。
223 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/26(水) 22:19:25: 出来たら感動ものである
224 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/26(水) 22:25:28: ぐぐればすぐに
225 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/27(木) 17:42:20: RMSを見ならって~を777にしたらログインできなくなりますた。
どうしたらいいですか。
226 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/27(木) 18:18:27: RMSを見習って気に入らない動作はすぐに修整しましょう。
227 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/27(木) 23:38:47: hurd だとどうなるんでしょ :-)
228 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/31(月) 22:42:07: winscpでwin→linuxへファイルを送るとき、送り終わった後に「ファイル・フォルダ '4>2↑?' はありません」といちいちプロンプトが出ます。
ファイルのパスに日本語が含まれるときに出るようですが、これを回避する方法ないですか？

ｽﾚ違いな気もしますが同じssh系ということで、お願いします
229 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/07/31(月) 23:01:19: スレ違いなら回答するけど板違いなのでどっか行け。
230 名前：228 メール：sage 投稿日：2006/07/31(月) 23:48:21: win板の質問スレだとごちゃごちゃしてるし、winscp使ってる人の割合も少ないと思ったもので
即レスするくらいなら答えてくれてもいいのに…
231 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/01(火) 00:12:21: 回避する方法はある。
これでいいか?
232 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/01(火) 07:29:56: パスに日本語が含まれないようにすればいい。
それか、comannderモードつかってexplorerとかからドロップしない。
233 名前：228 メール：sage 投稿日：2006/08/01(火) 13:06:59: >>232
レスｊどうもです
デスクトップとかからのドラッグドロップをよくやるもんで
いろいろ試しましたが、やはり無理なようですね。この件は諦めることにします
234 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/06(日) 14:14:41: PuttyだとつながるのにPoderosaだとつながらない、という現象が起きて困っています
どなたか解決策お願いします

以下、Poderosaの出力ログです（プロトコルはSSH2、認証方法は「パスワード」です）

[SSH:192.168.123.162] Received: SSH-2.0-OpenSSH_4.2
[SSH:192.168.123.162] Transmitted: SSH-2.0-Granados-2.0
[SSH:192.168.123.162] Transmitted: kex_algorithm=diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-dss,ssh-rsa; encryption_algorithms_client_to_server=aes128-cbc,blowfish-cbc,3des-cbc;
encryption_algorithms_server_to_client=aes128-cbc,blowfish-cbc,3des-cbc; mac_algorithms_client_to_server=hmac-sha1; mac_algorithms_server_to_client=hmac-sha1
[SSH:192.168.123.162] Received: kex_algorithm=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-rsa,ssh-dss;
encryption_algorithms_client_to_server=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr;
encryption_algorithms_server_to_client=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr;
mac_algorithms_client_to_server=hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; mac_algorithms_server_to_client=hmac-md5,hmac-sha1,hmac-ripemd160,
hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; comression_algorithms_client_to_server=none,zlib@openssh.com; comression_algorithms_server_to_client=none,zlib@openssh.com
[SSH:192.168.123.162] Transmitted:
[SSH:192.168.123.162] Received: verifying host key
[SSH:192.168.123.162] Received: the keys are refreshed
[SSH:192.168.123.162] Transmitted: ssh-userauth
[SSH:192.168.123.162] Transmitted: starting password authentication
[SSH:192.168.123.162] Received: user authentication failed:publickey,keyboard-interactive
235 名前：名無しさん＠お腹いっぱい。 投稿日：2006/08/06(日) 14:16:56: 失礼、あげておきます
236 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/06(日) 14:35:41: 元 Vera 使いだけど、キーボードインタラクティブの有効無効とか無いの？
237 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/06(日) 14:48:32: KeyboardInteractiveも可能なのですがPassword入力後無反応になってしまいます
（イベントログもpassword入力後出力無し）

なんか情報小出しですみません
238 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/06(日) 14:59:40: 板違いだと思うんだが。
239 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/06(日) 17:20:34: SSH の問題ならここでもいいと思うけどよくわからんな
一応貼っとくか

Poderosa使ってる奴いる？
http://pc8.2ch.net/test/read.cgi/mysv/1137596282/
240 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/07(月) 14:49:47: keyboard-interactive認証とpassword認証の違いって何ですか？

ググったら↓を見つけましたが、これで合ってるんですか？
ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509
＜以下、引用＞
keyboard-interactiveはサーバが直接仮想端末を制御して、パスワードを読み込むのに対して、
passwordはクライアント側が任意の方法でパスワードを読み込んでサーバに渡すらしい。
普通に端末から使う分にはあまり違いを意識することはないと思うが、sshを実行したプログラムが
(仮想)端末を持たない場合(Eclipseからssh経由でcvsを使う場合など)はpassword認証だと
SSH_ASKPASS が使えるという違いがある。というか、多分違うのはこれくらい。
241 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/07(月) 23:26:46: >>240
> keyboard-interactive認証とpassword認証の違いって何ですか？

password認証ってのはRFC4252の8章で定義されているやつで、
ぶっちゃけて言えば、ただ一回だけClientからServer宛てに
パスワード入りのパケットを投げつけて認証の成否を決めるやり方だ。
ttp://www.ietf.org/rfc/rfc4252.txt

対するkeyboard-interactive認証はRFC4256で定義されていて、
認証できるまでClientとServerの間で任意の回数・任意の個数の
メッセージをやりとりできる方法だ。
PAMのように複雑な状態遷移を持つ認証方法をssh上で行うことができるように、
password認証を拡張した方法ってことになる。
ttp://www.ietf.org/rfc/rfc4256.txt

> ググったら↓を見つけましたが、これで合ってるんですか？
> ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509

なんじゃそりゃ。
そんな無茶苦茶な説明なんか参考にしないで、RFC読め。
242 名前：240 メール：sage 投稿日：2006/08/08(火) 19:14:33: >>241
＞なんじゃそりゃ。
＞そんな無茶苦茶な説明なんか参考にしないで、RFC読め。
おお、やはりガセでしたか。
本家（特に英語の）の説明を読むのはどうも億劫で、ついググって分かりやすく解説してるサイトを探しがちで…
やはりこういうのは公式のを読まなきゃだめっすね。猛省します。
ありがとうございました。
243 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/11(金) 00:15:14: 質問です。
【環境】
クライアント putty <==> FW <==> サーバ openSSH3.9 鍵認証方式

sshdの待機ポートをわけあって2つ(22, HOGE)にしたいと思っています。
そこでsshd_config内に
---------------------------------------
Port 22
Port HOGE
---------------------------------------
を追加し、sshdの再起動を行いました。
クライアントから接続すると、22番では接続可能なのですが、HOGEでは接続出来ません。
サーバのパケットダンプ(tcpdump tcp port HOGE -n)を見ると、サーバには届いているように見受けられます。
しかしputtyのログをみると、サーバには届いていて、sshdのバージョン情報？までは取れているのにもかかわらず、認証手続きが始まらない状態です。
サーバ側で"netstat -pln"、"nmap サーバのIP"等で確認しましたが、22：HOGEポートはLISTEN状態でした。
サーバ側の"/var/log/secure"、"/var/log/message"等には何も出力されていませんでした。
FWのポートが開いている事は確認済みです。
現在手元に環境が無いので詳細を書くことは出来ませんが、どなたか原因がわかる方はいらっしゃらないでしょうか？
244 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/08/30(水) 03:02:29: global-IPからは鍵認証
local-IPからは鍵もしくはパスワード認証

ってのをやろうとしたら、やっぱりsshd二つ動かすのが近道になっちまう？
245 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/02(土) 00:31:32: fall back to password でいいんじゃないの?

あるいは、-o PasswordAuthentication とか。
246 名前：名無しさん@お腹いっぱい 投稿日：2006/09/03(日) 15:23:29: 4.4p1そろそろみたいね。
春山さんのところに出てた話で、予定されてる追加機能("Match"命令)興味あるなぁ。
パッチ当てずにchroot出来るならその方が良いんだが、どうなんだろう?
ちょっぴり期待
247 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/10(日) 01:01:57: 　　　　　　　　　　　　　　　＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　　|
　　　　　　　　ﾄﾞｺﾄﾞｺ　　＜　新バージョン4.4(p1)まだーーーーーーーー！！？　＞
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　＿　＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（･∀･ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓　||　　　♪
　　　　　　　 .／|＼人＿.ノノ _||_.　／|＼
　　　　　　　　　ﾄﾞﾁﾄﾞﾁ!

（※出典：ttp://dokoaa.com/mada-.html）
248 名前：名無しさん@お腹いっぱい 投稿日：2006/09/10(日) 09:08:41: >247
ﾄﾞﾗﾑうまいねぇ
249 名前：名無しさん＠お腹いっぱい。 メール：age 投稿日：2006/09/18(月) 05:14:30: 社内に設置してあるサーバーの管理を任されたのですが
社員が数人、外部からSSHで接続することもあり
動的IPの人もいるのでIP制限をするわけでもなく
IDとパスワードさえあれば、どこからでも入れてしまいます。

一週間ログを取ってみたら毎日、辞書アタックや
ブルートフォースを食らっているのでiptablesで何らかの対応するか
公開鍵認証にしたほうがいいと上司に提案したのですが
それくらいのアタックなら大丈夫と言われました。

いくら乗っ取られる確率が低いといっても
いつ当たりを引くかわからないと思うのですが
僕が間違ってるのでしょうか

ちなみに顧客の個人情報を扱ってるサーバーです･･･
250 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 07:29:07: 上司を張った押してでも、セキュアな設定をしてしまえ
251 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 07:43:47: > それくらいのアタックなら大丈夫と言われました。
しらばっくれる可能性大なので、大丈夫と判断した根拠を文書で
貰っときましょう。
252 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 07:48:21: >それくらいのアタックなら大丈夫と言われました。
興味があるんで、その上司の歳と簡単な経歴が知りたい
253 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 09:52:47: >>249
そういうやりとりはメールでやって、証拠を残しとくもんだ。
254 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 13:48:34: 上司の言質を取った上で、アタックで侵入されたログをでっち上げるべし。
責任はすべて上司へ。（管理職は責任をとるためにいる）
255 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 14:05:27: >>250
それも有りなんですが
勝手に設定を変えて作業報告すらしてくれない人なので･･･
何度か不具合を起こしてサービス不能な状態になりました

>>251 >>253
文書を残すのは大事ですよね
メールもロクに投げてくれないような会社なので
自分だけはしっかりやっておこうと思います

>>252
30歳くらいでサーバーの実務経験は長いようです
自分の方が若い上に実務経験があまりないので
あまり意見を聞いてもらえません

>>254
危険性を認識させる必要はありますね･･･
大丈夫だと思っていても
実際に事故が起きて後悔する人って多いですからね
256 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 17:33:54: 弱いパスワードのユーザをしらべておくくらいのことはしておいたほうが
257 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 17:47:08: sshでやられたケースって、
安易なユーザ名＋安易なパスワードが9割以上じゃないのか？

最近のsshへの総当りって、辞書使って攻撃して、辞書が尽きたら諦める
つまり、辞書でヒットしなかったら、ヒットする他のサイト探した方が速いって考え方なんで、
ユーザ名もパスワードも記号の羅列になっているような物はまず侵入されない。

まぁ、漏れの所は、日本以外弾いて、更に、一度攻撃してきたところはネットワーク毎弾いてるけど。
258 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/18(月) 17:49:02: sshでログインするユーザーは数名というなら、それだけを許可する設定に変えると良い。
259 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 18:16:17: >>256
それを上司や経営者に断りなくやってクビになった人が居るお
260 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/18(月) 18:18:34: ともかく上司がそういう方針なら仕方ない。
証拠を集めて説得する事が出来ればいいが、たいていは無駄。
もっと上の人間に直訴するか辞めるか。辞めるなら求人難の今だと思うがな。
261 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/20(水) 21:01:22: >>260
今は求人難なの？
262 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/20(水) 22:33:13: 募集をしても人が来ない。コンビニでさえ人手不足。
年収1000万以上の技術者になると、恐らく言い値で雇ってもらえる。

即戦力じゃなくても再教育して使えるならOK、雇ってしまえ　という所さえある。

いろいろな意味で淘汰されるな。
263 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/20(水) 23:31:45: >>262
へー
年収1000万以上の技術職なんて紹介して欲しいぐらいだけど
264 名前：not 262 メール：sage 投稿日：2006/09/20(水) 23:38:50: 年収1000万以上の技術職ってザラに居るよ。オレもそうだし、、
265 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 20:54:44: sshでの接続は特定の際とからしか許可していないのに、しつこく
接続しようとする馬鹿ものがいる。例えば 221.141.3.52 とか、
221.224.8.88 とか。こういう奴らは何を考えているのだろうか？
266 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 21:05:37: CN, China とか KR, Korea, Republic of とか
267 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 21:09:41: >>265
す～ぱ～はか～に狙われた（(；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
268 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 22:59:27: iptablesなどでアドレス範囲まとめてポアしる
チョン・シナのアドレスをリストしてるとこはググれば見つかる
269 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 23:09:09: 三国人フィルタでぐぐれ
270 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 23:45:29: だから特定のサイトからしか接続できないのよ。
当然、中国や韓国などからは接続拒否しているよ。
それにも関わらず、接続を試みようとするのはどういう
馬鹿ものなのかという質問なのだが。
271 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 23:50:18: 何を考えてるのかって言われても、
何も考えずスクリプト回してるだけっしょ。
272 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 23:55:18: スクリプト回すというか、そのホストがbot化され、
クラッカーにいいように使われてるだけだろうな
273 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/21(木) 23:59:11: 自分が意図しない不要な接続だと思ったらとっととDENYしちゃえばいいのに
それにも関わらず、２ｃｈでその意図を聞こうとするのはどういう
馬鹿ものなのか
274 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 00:01:32: http://www.dayomon.net/fw/iptables.txt
275 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 00:07:54: >>274
だよもんｷﾀｰ、だよもん
276 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 02:35:51: >>270
アタックかけてる側は、接続拒否されてるかどうかなんて分かんないし。
馬鹿？
277 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 07:13:39: PasswordAuthentication no なら問題なし
278 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 07:19:54: 接続拒否と接続無視は違うのだが。

もちろん、PasswordAuthentication noだし、AllowUsersも
設定している。
279 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 08:03:18: これ以上何が聞きたいんだか
280 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 09:38:48: そんなことはどうでもいいから、接続元IPによってconfig切り替えれる機能付けてくれよ

bindみたいに書けると完璧
281 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 09:58:29: ローカルネットワークからはパスワード
それ以外からは公開鍵認証にしたいのですが
どうすればできますか？
282 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 10:09:25: ローカルアドレスとそれ以外のアドレスでlistenする複数のsshdを起動しとけばよい。
283 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/22(金) 11:01:15: ちょっと質問があります。

まず、前提条件として、以下の点について質問させてください。
パスワード認証を使わず、公開鍵認証で接続を行う場合、
クライアント側に秘密鍵を置く必要がありますよね。

その上で質問です。接続するクライアントA、サーバーとBとCがあった場合、

　クライアントA → サーバーB → サーバーC

と言ったように、多段に接続したいのですが、
（サーバーBには直接接続できない）

・秘密鍵をクライアントAにだけおき、サーバーBにおきたくない
・できるだけ簡単に接続する方法はないか

といったようなことはできますでしょうか？
284 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 11:28:29: >>283
ssh-agentのフォワード機能で普通にできる。
設定によっては ssh -A のオプションが必要。
285 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 11:37:55: 置かないというのはできる。
ssh(1)
-A Enables forwarding of the authentication agent connection. This
can also be specified on a per-host basis in a configuration
file.
Agent forwarding should be enabled with caution. Users with the
ability to bypass file permissions on the remote host (for the
agent's Unix-domain socket) can access the local agent through
the forwarded connection. An attacker cannot obtain key material
from the agent, however they can perform operations on the keys
that enable them to authenticate using the identities loaded into
the agent.
しかし、Bの特権を持っている人は秘密鍵を使うことは出来る(秘密鍵本体は盗めない)。
俺は、秘密鍵を使う時はポップアップで確認するようputtyのpagent(authentication
agent)を改造してつかっている。
286 名前：283 投稿日：2006/09/22(金) 11:41:06: ＞（サーバーBには直接接続できない）
ごめん違った
　（サーバーCには直接接続できない）
でした
287 名前：283 投稿日：2006/09/22(金) 14:32:59: 調べたら、いろいろでてきました。

cl.pocari.org - connect を使って簡単に多段 SSH を実現する方法
http://cl.pocari.org/2006-09-04-2.html
connect.cを使う方法

cl.pocari.org - SSH で多段接続？
http://cl.pocari.org/2004-12-19-1.html
ssh-agentを使う方法

cl.pocari.org - SSH でポートフォワード
http://cl.pocari.org/2005-01-24-2.html
wakaran

どれが簡単な方法か、試してみようと思います。
-A使う方法がいまいちわかりませんが、また調べてみます
288 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 14:44:27: >>287
せっかく回答もらってるのにそれは無視かい?
余計なこと調べなくていい。
ssh-agent 実行済みで、ふつうに ssh hostB ができる状態で、
ssh -A hostB するだけ。
で、hostB において ssh hostC すればそのまま入れる。
それだけ。
289 名前：283 メール：sage 投稿日：2006/09/22(金) 15:57:33: >>288
ごめんなさい。
そっちでやってみます。
290 名前：283 メール：sage 投稿日：2006/09/22(金) 16:54:14: $ ssh-agent bash
$ ssh -A (hostB) -i (hostCの秘密鍵)
パスフレーズ入力
hostBのパスワード入力

hostBで、
$ ssh hostC
Permission denied (publickey).
と言われました？
んんん。
291 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 16:59:37: >>290
おまえ、ssh-agent自体の使い方知らんのちゃうか?

$ ssh-agent bash
$ ssh-add
(パスフレーズ入力)

$ ssh -A hostB

hostB$ ssh hostC

hostC$

↑これだけだよ。
292 名前：283 投稿日：2006/09/22(金) 17:05:15: >>291
いけました！

$ eval `ssh-agent`
$ ssh-add (hostCの秘密鍵)
(パスフレーズ入力)
$ ssh -A hostB

hostB $ ssh hostC

で、おｋですね。

ssh-agentで、秘密鍵を覚えさせとかないといけないんですね

つきあっていただいて、ありがとうございました。
293 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 18:34:25: 3段活用できませんかね
host1 -> host2 -> host3 -> host4
を1発でログインできたりといった感じで…
294 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 20:51:50: ssh -A host2 ssh -A host3 ssh host4
295 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 20:58:22: >>294
やってみればわかるけど、それだと「無端末」状態になるので、
シェルのプロンプトは出ないし、viとか画面制御系コマンドが起動できないし、
とにかく、普通にsshで直接ログインしたのとは違う状態になるよ。
296 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 21:09:44: んなら
ssh -A -t host2 ssh -A -t host3 ssh -t host4
297 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/22(金) 23:48:27: 多段sshを一発でやる方法があったのか

いいこと知った
298 名前：283 投稿日：2006/09/22(金) 23:56:45: わおｗ

> $ ssh -A hostB
> hostB $ ssh hostC
これは、

$ ssh -A -t hostB ssh -t hostC

でいけるんですね。
すげｗ
evalとこもshellにでもしたらもっと楽になるな
299 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/23(土) 00:01:40: 多段でscpしようとおもったらどうすれば？
300 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/23(土) 00:08:37: がんばりなさい
301 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/23(土) 00:23:32: ssh -A host2 ssh -A host3 ssh host4 tar cf - hoge| tar -vf -
302 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/23(土) 00:35:13: >>301
tar -v ??

あと、tarはscpじゃないし。
303 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/23(土) 01:31:30: > 299

scp -oProxyCommand='ssh hostA netcat hostB 22' file hostB:

なんて、どう？
304 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/23(土) 01:34:53: 昔、多段sftpやろうとしたらcore吐いて落ちた
305 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/24(日) 16:25:59: sshdに対するアタックを減らすために、ポート番号を22以外に変更したいのですが、
どこで設定すればよいのでしょうか？
306 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/24(日) 16:28:25: >>305
sshd_configに記述、または sshdの起動スクリプトで sshd -p オプションで指定。
307 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 07:31:28: 鍵+パスフレーズを利用してsshを利用しているのですが、
ログインに時間がかかります。
12、13秒ほどかかります。

これって、こういうものですか？

鍵は、DSA 768bitです。
パスフレーズは、8文字程度です。
308 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 07:32:54: すいません、マシンのスペック書き忘れました。

ローカルホスト： PentiumD 3GHz、メモリ 2GB
リモートホスト： Celeron(R) 2.53GHz、メモリ 512MB

です。
309 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 07:34:40: 一応、sshのバージョンも
ローカルホスト：ssh cygwin OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
リモートホスト：sshd OpenSSH_4.2p1 Debian-7ubuntu3, OpenSSL 0.9.8a 11 Oct 2005
310 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 08:01:03: >>307
DNS まわりじゃないの？
サーバ側でクライアントの IP アドレスを逆引きできないとか。
311 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 08:38:01: 本当にDNS逆引きが原因だった場合は、
↓を読んで、環境を晒してしまったことを後悔しましょう。
http://pc8.2ch.net/test/read.cgi/unix/1159025791/13
312 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 08:51:47: >>310
問題なく逆引きできました。
サーバーもクライアントも、DNSに登録されています。
313 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 08:52:20: >>311
これくらいの情報で、個人が特定できるものなんでしょうか・・・
314 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 13:14:22: DNS まわりが原因の場合は12,3秒では済まない。
普通は分のオーダーになる
315 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 14:13:59: >>307

sshd_configに

UseDNS no

って書くと早くなるかも。
316 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 14:47:15: PasswordAuthentication

をオプションで明示してみれば? fall back が遅いのであれば、-v で大体検討はつくので試してみるべし。

ssh って、packet lengthあたりにバグが残っていて巨大なパケットを吐いている形跡なくない?
317 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 19:31:30: ssh でユーザー認証できないと言われ、
ログインできないユーザーがあるのですが、どういったことが考えられますか？

・公開鍵を使っている
・同じ鍵で、別ユーザーではログインできている
・AllowUsers/DenyUsersは、sshd_configに書いていない。
・PasswordAuthentication = noで、パスワード入力は許可していない。
しかし、PasswordAuthentication = yesのときは、普通に入れた。
318 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 19:54:39: authorized_keysの書き方が変
authorized_keysのパーミッションが変
319 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 20:09:14: .sshのパーミッションが変
~のパーミッションが変
320 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 20:09:40: >>318
ログイン出来るユーザーからコピーしてもダメでした。
chmod 600 authorized_keys
chmod 644 authorized_keys
両方ダメでした。

何故だ・・・困った。
ユーザー変えただけだのに・・・
321 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 20:16:05: chown user authorized_keys
322 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 20:26:04: local$ chmod 600 ~/.ssh/identity ~/.ssh/id_dsa ~/.ssh/id_rsa
323 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 20:39:09: >>319
.ssh 700
~ 775

>>321
(~と同じ)ログインしたいユーザー名になってた

>>322
そのようなファイル郡はありません。
ログインできているユーザーにもありません。
324 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/25(月) 20:41:19: >>322
あ、ローカルか。
Poderosaなので、その辺関係あるのかな？
325 名前：317=320=323 投稿日：2006/09/25(月) 20:52:49: 紛らわしいので、名前つけました。

cygwinのsshからだと接続できました。
しかしながら、

> ssh (IPアドレス) -l （ユーザー名） -i (キー名)
Enter passphrase for key '(キー名)': ←パスフレーズを入力する
(ユーザー名)@(ホスト名)'s password: ←ユーザーのパスワードを入力する
ログイン出来る

という二段認証になっています・・・？
Poderosaや、WinSCPでログインできないのはこのせいでしょうか？

Poderosaでログインできたユーザーでは、
普通どおり、最初のパスフレーズのみを聞いてきます。
326 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 20:56:35: ~ を755にしてみそ
327 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 21:12:22: なんつーか、間違ったアドバイスする人多いね、このスレ。
あまり参考にしない方がいいよ。
328 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 21:15:16: 正しいアドバイスしてから言えば
329 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 21:16:54: 正しいアドバイス：

(a) 死ね！
(b) 七輪と煉炭
(c) 樹海
330 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 21:21:25: ~ は 700 でログインできる。
authorized_keys のパーミッションとかは関係ない。
↑の点に付いて言ってるアドバイスは間違い。

ローカル側の identity id_dsa id_rsa は、
自分以外が読めるパーミッションではいけない。
331 名前：317 投稿日：2006/09/25(月) 21:58:41: >>326
同グループで書き込めなくなっちゃうよ・・・
332 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 22:21:04: ssh -v での様子も張り付けず
sshd のログも張り付けず

な香具師は放置
333 名前：326 メール：sage 投稿日：2006/09/25(月) 22:35:23: >>331
俺が以前嵌った時と同じ嵌り方してるんだから、文句言うな！ｗ
334 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 22:41:54: だからぁ～、~ のパーミッションは無関係だって
335 名前：317 投稿日：2006/09/25(月) 22:46:11: >>332
>>311を読んで、できるだけ情報を晒さないようにしたのですが、ヒドイ・・・うう
でも、解決したいので、晒してみます。
336 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 22:46:42: >>325
それは、二段認証になってたのじゃなくて、
公開キーでの認証に失敗したから、UNIXパスワードで認証されたの。

で、>>317 では「PasswordAuthentication = noで、パスワード入力は許可していない」
と言ってるのに、これと状況が食い違っている。
もう一度状況を整理すること。

で、ssh -v のログを貼ること。でないとマトモな人間は答えてくれないし、
「知ったか」が間違ったアドバイスをするだけ。既にされてるけど。
337 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 22:47:53: >>311 のネタを真に受けていたとはｗ
338 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 22:49:55: 騙されたと思ってchmod go-w ~ をやれ
339 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 22:50:26: いや、騙してないからやれ。
340 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 22:51:31: この際グループでの書き込みはあきらめてやれ。
341 名前：317 投稿日：2006/09/25(月) 22:53:59: -v 晒します

> ssh (リモートのIP) -l (ユーザー名) -i (秘密鍵) -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (リモートのIP) [(リモートのIP)] port 22.
debug1: Connection established.
debug1: identity file (秘密鍵) type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(リモートのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey

%
342 名前：317 投稿日：2006/09/25(月) 22:54:37: debug1: Trying private key: (秘密鍵)
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key '(秘密鍵)':
debug1: read PEM private key done: type DSA
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
(ユーザー名)@(リモートのIP)'s password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Last login: Mon Sep 25 22:48:07 2006 from (前回ログインしたローカルホスト)
OpenBSD 3.8-stable (GENERIC) #1: Tue May 9 19:59:50 JST 2006
343 名前：317 投稿日：2006/09/25(月) 22:56:27: >>336
すみません。
直後、ログインできねえ、とブーブー言われたので、
PasswordAuthentication = yes にしたのでした orz

>>338
試してみます。
344 名前：317 投稿日：2006/09/25(月) 23:02:04: >>338
ｷﾀ━━━━━━（ﾟ∀ﾟ）━━━━━━ !!
ログインできたぁぁぁぁぁぁぁぁぁぁぁーーーーーーー
これだけのことなのかーーーーーーー

みなさま、付き合っていただきありがとうございました。

グループでの書き込みは諦めます・・・あぅあぅ orz
345 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 23:13:51: >>344
それだけの事に俺も以前はまったんだーーーーーーーっ
346 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 23:16:04: >>334
プププ
347 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 23:18:04: んで、君のおかげで~/.がグループから書き込めるようになってると
SSHにどんな穴が開くか今ひらめいたよorz
348 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 23:25:22: strictmode no

お勧めはせん
349 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/25(月) 23:53:24: linux のなんかのディストリビューションだと
umask 002
になってて、考えずにauthorized_keysを作成すると
グループにwビットが立ってsloginできない事があったなそういえば。
350 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/26(火) 03:17:52: RedHat 7.x とかね。要らんことすんな死ねクソと思った。
351 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/26(火) 04:26:56: >>323
それ、ウチの若いのも報告書に書いて、
そのまま客先に行って恥かいて困ってるのよ。

「おめーの田舎は、茨城県サーバ郡か?」
って言っても気付いてくれない。
352 名前：名無しさん＠お腹いっぱい。 メール：age 投稿日：2006/09/27(水) 04:21:00: セキュリティホール memo (2006.09.26) より
[SA22091] OpenSSH Identical Blocks Denial of Service Vulnerability
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2006/09.html#20060926_OpenSSH

ぬゎんだコレは！　(@~@)!!　寝耳に水というか何というか。。
（注：既に修正済み）

んで、SSHプロトコルver.1 って有効にしてるところって多いのかな。（デフォルト
では、両方とも有効になっている。Protocolオプションのデフォルトは"2,1"）

4.4(p1)がリリースされれば速攻でアップグレードしなきゃならんなぁ。。
353 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/27(水) 07:37:16: ｹﾞﾗｹﾞﾗ
354 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/27(水) 14:28:26: なあに、かえって Protocol 2 に設定変更する言い訳になる。
355 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/27(水) 16:23:07: Compression delayedはCompression yesと比較して何かメリットがあるのですか？
356 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/27(水) 19:06:58: >>355
zlib に穴あっても攻撃されづらくなるんじゃね？
357 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/28(木) 18:46:05: 4.4p1が出たのに誰のｶｷｺもない件

…FreeBSDでビルドしようとしたけど、警告(warning)が出るわ出るわ。。orz
358 名前：307 投稿日：2006/09/28(木) 19:00:42: ログインが遅いと言っていた者です。

どうも、特定のホストで遅くなるようです。
Ubuntuで遅くなる。
CentOS、OpenBSDの場合は、普通に瞬間的にログイン。

DNSはどれも逆引きできています。
359 名前：307 投稿日：2006/09/28(木) 19:01:32: 全てOSはサーバー側です。

鍵も同じもので調べました。
クライアントは、Windows(Poderosa、及びcygwin+ssh)です。
360 名前：名無しさん@お腹いっぱい 投稿日：2006/09/28(木) 21:32:48: 4.4p1うちにもｷﾀｰ
361 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/28(木) 22:51:02: 変更点by春山さんｷﾀ*･゜ﾟ･*:.｡..｡.:*･゜(ﾟ∀ﾟ)ﾟ･*:.｡. .｡.:*･゜ﾟ･*!!!!!
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten/henkouten_4.4.txt
362 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/29(金) 18:22:29: 4.4にchroot patchを当てようと思い以下にアクセスしたけど404…。
ここの活動状況について知ってる人いますか？

http://chrootssh.sourceforge.net/index.php
363 名前：307 投稿日：2006/09/29(金) 22:43:01: -v 張ってみます。

> ssh (サーバーのIP) -i ~/.ssh/key.openssh -p ****** -v
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Connecting to (サーバーのIP) [(サーバーのIP)] port 25672.
debug1: Connection established.
debug1: identity file /home/.ssh/key.openssh type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: match: OpenSSH_4.2p1 Debian-7ubuntu3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '(サーバーのIP)' is known and matches the RSA host key.
debug1: Found key in /home/toby/.ssh/known_hosts:8
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/.ssh/key.openssh
debug1: PEM_read_PrivateKey failed
364 名前：307 投稿日：2006/09/29(金) 22:45:12: debug1: read PEM private key done: type <unknown>
Enter passphrase for key '/home/.ssh/key.openssh':
debug1: read PEM private key done: type DSA

ここで、10秒ほど、時間が掛かる

debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Linux **** 2.6.15-27-server #1 SMP Sat Sep 16 02:57:21 UTC 2006 i686 GNU/Linux

認証に時間がかかっている雰囲気です。なぞです。

PasswordAuthentication no です。
365 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/30(土) 01:06:52: >>364 toby さん
サーバ側の sshd -d も試したら?
366 名前：307 投稿日：2006/09/30(土) 10:55:49: >>365
いきなり、名前呼ばれてびびったｗ
消し忘れかYO!!

試してみます。
367 名前：307 メール：sage 投稿日：2006/09/30(土) 11:09:27: $ sudo /usr/sbin/sshd -d
debug1: sshd version OpenSSH_4.2p1 Debian-7ubuntu3
debug1: read PEM private key done: type RSA
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
debug1: Bind to port (ポート番号) on ::.
Server listening on :: port (ポート番号).
debug1: Bind to port (ポート番号) on 0.0.0.0.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 4 out 4 newsock 4 pipe -1 sock 7
debug1: inetd sockets after dupping: 3, 3
Connection from (クライントIP) port 4435
debug1: Client protocol version 2.0; client software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.2p1 Debian-7ubuntu3
debug1: permanently_set_uid: 100/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: An invalid name was supplied
Configuration file does not specify default realm

debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
368 名前：307 メール：sage 投稿日：2006/09/30(土) 11:09:58: debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user (ユーザー名) service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "(ユーザー名)"
Failed none for (ユーザー名) from (クライアントIP) port 4435 ssh2
debug1: userauth-request for user (ユーザー名) service ssh-connection method publickey
debug1: attempt 1 failures 1

ここで辺で時間がかかっている

debug1: PAM: setting PAM_RHOST to "(クライアントのホスト名)"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/(ユーザー名)/.ssh/authorized_keys
debug1: matching key found: file /home/(ユーザー名)/.ssh/authorized_keys, line 1
Found matching DSA key: ********************************************
debug1: restore_uid: 0/0
debug1: ssh_dss_verify: signature correct
debug1: do_pam_account: called
Accepted publickey for (ユーザー名) from (クライアントIP) port 4435 ssh2
debug1: monitor_child_preauth: (ユーザー名) has been authenticated by privileged process
Accepted publickey for (ユーザー名) from (クライアントIP) port 4435 ssh2
369 名前：307 投稿日：2006/09/30(土) 11:10:55: debug1: PAM: reinitializing credentials
debug1: permanently_set_uid: 1000/1000
debug1: Entering interactive session for SSH2.
debug1: server_init_dispatch_20
debug1: server_input_channel_open: ctype session rchan 0 win 65536 max 16384
debug1: input_session_request
debug1: channel 0: new [server-session]
debug1: session_new: init
debug1: session_new: session 0
debug1: session_open: channel 0
debug1: session_open: session 0: link with channel 0
debug1: server_input_channel_open: confirm session
debug1: server_input_channel_req: channel 0 request pty-req reply 0
debug1: session_by_channel: session 0 channel 0
debug1: session_input_channel_req: session 0 req pty-req
debug1: Allocating pty.
debug1: session_new: init
debug1: session_new: session 0
debug1: session_pty_req: session 0 alloc /dev/pts/1
debug1: server_input_channel_req: channel 0 request shell reply 0
debug1: session_by_channel: session 0 channel 0
debug1: session_input_channel_req: session 0 req shell
debug1: PAM: setting PAM_TTY to "/dev/pts/1"
debug1: Setting controlling tty using TIOCSCTTY.

みたいな感じです。
PAMが問題なのかなぁ？
370 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/30(土) 11:17:06: >>366
今は個人情報保護の時代です。
OSやアプリのバージョン、ハードウェアの情報、設定ファイルの内容からも
ある程度個人の特定が可能です。質問の際にはなるべくOSやアプリのバージョン、
ハードウェアの情報、設定ファイルの内容を書かず、
最小限の情報だけで回答を貰えばラッキーというスタンスで臨みましょう。
371 名前：307 投稿日：2006/09/30(土) 11:34:48: UsePAM no
にしてもダメっぽいです。遅いまま。

>>370
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
372 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/30(土) 13:33:20: pam_sshを無効にする。
sshプライベートキーのパスフレーズとログインパスワードを一致させる。
373 名前：名無しさん＠お腹いっぱい。 投稿日：2006/09/30(土) 14:18:26: クライアントが原因だと思うのですがwindowsのttsshにてLinuxサーバへsshで接続する時に
Sep 30 14:12:43 hogehoge.net sshd(pam_unix)[2192]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=XXX.XXX.XXX.XXX user=Hogehoge
Sep 30 14:12:45 hogehoge.net sshd(pam_unix)[2194]: session opened for user Hogehoge by (uid=500)
といったように必ず1行目のNODEVsshで認証に失敗しています。
これを起こらないようにするttsshの設定をご存じの方はいらっしゃいますでしょうか？
374 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/30(土) 14:39:51: >>373
自己レスです
上記の認証エラーが発生するのはサーバがRedhat9の場合のみでRedhat7.3では発生していないのでサーバ側の問題かと思います
375 名前：307 投稿日：2006/09/30(土) 15:01:50: >>372
sudo grep -R pam_ssh /etc/*
しましたが、特にpamの設定はされていないようです。

パスフレーズとログインパス一緒にしても変わりませんでした。

むむむ。
376 名前：307 メール：sage 投稿日：2006/09/30(土) 15:18:27: nslookupでちゃんと逆引きできるのになーと思いつつ、
念のため、/etc/hostsにホスト情報書いたら、
普通にすばやくログインできるようになりました・・・なんでだろ('A`)

いろいろ、ご迷惑かけてしまいました。
ありがとうございました。
377 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/30(土) 15:20:00: >>375
grep は -i つけなきゃいかんよ。
378 名前：307 メール：sage 投稿日：2006/09/30(土) 15:22:54: わかりました・・・プライマリのDNSサーバーが死んでたためでした。
/etc/resolv.confから死んだDNSサーバーをはずして、生きているセカンダリだけにしたら、
ふつーにサクッとログインできました orz
379 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/30(土) 16:00:11: >>378
>>310-311 が即回答してるのに、そんなオチが許されるとでも、、、
380 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/09/30(土) 16:02:59: まー、ありがちだわな。
381 名前：365 メール：sage 投稿日：2006/09/30(土) 19:29:39: よーし、ポート 25672 で動いてる ssh 探しちゃうぞーw
382 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/01(日) 22:30:56: ｗｗｗ
383 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/02(月) 02:07:06: http://www.openssh.com/ja/list.html
からリンクされている www.mindrot.org って死んでるの?

MLのアーカイブが見られなくて困ってるんですけど...
384 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/02(月) 04:32:44: 死んでないよ。
lists.mindrot.org にリダイレクトされるよ。
385 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/03(火) 23:33:44: >>362

どうなっているんでしょうね。
osshChroot-4.3p1.diffで当面はしのげると思いますが。
386 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/05(木) 01:19:58: ssh-agentで記憶している鍵を使って、ローカルファイルの暗号化と復号をしたいのですが、
なにかいい方法はありますか？ cygwinを使っています。

試したこと(opensslでsshの公開鍵を使えるかどうか試した)

$ cat ~/.ssh/id_dsa.pub
ssh-dss (中略) xxx@xxx

$ openssl rsautl -pubin -inkey ~/.ssh/id_dsa.pub -in test -encrypt -out test.enc
unable to load Public Key
387 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/05(木) 01:51:09: >>386

DSAって認証のみにしか使えないんじゃ？

RSAなら復号にも使えるはずだけど、OpenSSHのssh-agentは
認証のみにしか使えない実装になってた。

商用のssh-agent2の方はそのような事に使えそうな機能が入ってたが。
388 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/05(木) 10:50:42: DSAは署名アルゴリズムなので暗号化には使えないと思う
389 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/05(木) 14:51:35: >>385
復活しましたね。
390 名前：386 メール：sage 投稿日：2006/10/06(金) 02:02:46: 回答ありがとうございました。RSA鍵を作り直して、ファイルの暗号化をしてみました。
商用ソフトを使う予定はないのですが、なにか簡単な方法はないでしょうか。
自分でssh-agentに復号させるようなツールを作るしかないのでしょうか。
あと、ssh-keygenで作った公開鍵をopensslで直接読み込めないのですが、
何か間違っているのでしょうか。

やったこと
$ cat ~/.ssh/id_rsa.pub
ssh-rsa AAAA(中略) xxx@xxx

$ openssl rsautl -encrypt -pubin -inkey ~/.ssh/id_rsa.pub -in a.txt -out a.txt.
enc
unable to load Public Key
ssh-keygenで作った公開鍵は、そのままじゃ読めない

$ openssl rsa -pubout -in ~/.ssh/id_rsa -out public.pem
Enter pass phrase for /home/xxx/.ssh/id_rsa:
writing RSA key
ssh-agentが常駐してるけど、パスフレーズは聞かれてしまう。
ssh-keygenで作った秘密鍵を読んで、公開鍵を出力することはできる。

$ openssl rsautl -encrypt -pubin -inkey public.pem -in a.txt -out a.txt.enc
opensslで作り直した公開鍵なら暗号化できる

$ openssl rsautl -decrypt -inkey ~/.ssh/id_rsa -in a.txt.enc
Enter pass phrase for /home/xxx/.ssh/id_rsa:
asdfag
パスフレーズが聞かれるけど、ssh-keygenで作った秘密鍵ならopensslで使える。
391 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/06(金) 03:47:09: >>390
> なにか簡単な方法はないでしょうか。

簡単な方法は無いと思う。
自分で作る気なら、役にたちそうなパッチとかはあるけど。
# それだけではまだ無理って事。
392 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/09(月) 15:12:04: 多段のportforwardの設定で質問があります
ていうか正解を教えてください
さっぱりわかりません
接続元をZ、ホストがABとあり
Z→Aは 22/tcp、A→Bも 22/tcpのみしか開いていない状況で
Bの80/tcpに接続したいのですが
A,Bの.ssh/configには、なにをどう書けば実現できるのでしょうか？
Zで使用している portforwarder の config.txtには
Host ZtoB
HostName A
User hoge
LocalForward 8080 A:8080
と記述し、Zのproxyとしてlocalhost:8080を使おうと思っています
どなたか教えてください
よろしくお願いします
393 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/10(火) 06:33:48: %z ssh b -L 2002:localhost:2003 ssh a -L 2003:localhost:80

とかじゃないか?
394 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/12(木) 18:08:22: 長時間何もコマンドを打たないと、接続が切れてしまいます。
切れないようにするにはどこを設定すればよいのでしょうか？
395 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/12(木) 22:01:11: >>394
ssh keepalive で検索
396 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/12(木) 22:02:58: ssh heartbeat で検索のほうがいいかもしれない
397 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/13(金) 00:13:51: ServerAliveInterval で検索のほうが良くないか?
398 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/13(金) 00:18:25: 煉炭青木が原で検索すればおk
399 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/14(土) 03:42:05: それはどうかな？
400 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/15(日) 04:39:23: >>395-397
こんなところでdebianの勝手パッチの弊害がｗ
401 名前：素人で本当にすみません 投稿日：2006/10/15(日) 04:54:19: すみません。本当に困っている事があるので教えてください。

DSNサーバを立ち上げていない状態で、SSHでのローカル内へのログイン(ipアドレスでの接続)に一分程かかってしまう
のですが、何故こんなに遅いのか分からないのです。
googleで検索したところ、/etc/sshd_config でUseDNSをnoにすれば良いと書いてあって試したのですが、
全く意味がありませんでした。
何か御助言頂ければ幸いです。
402 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/15(日) 04:59:23: /etc/hosts.allowの1行目に
ALL : ALL : allow
って書けばいいじゃない。
403 名前：401 投稿日：2006/10/15(日) 05:08:32: >402

ありがとうございます神様!!!
近日、さっそく試してみます。本当にありがとうございました!
もし宜しければ、僕が401で書いた内容に関して、
一体何が原因だったのか教えて頂けますでしょうか?
あつかましいと思うのですが、御教示頂けませんでしょうか
404 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/15(日) 07:59:15: noに書き換えただけだからじゃね？
405 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/15(日) 09:20:58: バックドア開けろと言われても理解せずに開けちゃいそうな人だなあ。
406 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/15(日) 13:02:42: libwrap が逆引きしてんじゃね。
407 名前：名無しさん＠お腹いっぱい。 投稿日：2006/10/21(土) 11:44:47: SSH のダイナミック転送ってすごいんですよ | Typemiss.net
http://www.typemiss.net/blog/kounoike/20061019-100
408 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/21(土) 21:05:50: >>407
> ところで，この方法の最大の利点は「中継サーバにログインアカウントが必要
> ないこと」だと思っています。上で例を示したときにユーザ名が「sshfwd」なの
> はこの布石です。

それじゃauditできないだろう。
誰か悪い子が「この秘密鍵使えば一旦このネットワークに入らないと見れない
ものも見れるよ」とかって無関係な人に使わせてもそれを洗い出すのが難しい。
2chに変な書き込みがされて問題になったり、不正アクセスの嫌疑がかかったり
して初めて発覚したりしそう。
409 名前：名無しさん＠お腹いっぱい。 投稿日：2006/10/22(日) 11:42:03: トラックバック:http://www.typemiss.net/trackback/100
410 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/23(月) 14:04:58: >>408
出来る。
411 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/24(火) 03:45:50: sshを経由して遠隔地のsambaに接続することはできますか？
412 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/24(火) 21:26:46: >>411
できる
413 名前：名無しさん＠お腹いっぱい。 投稿日：2006/10/24(火) 21:56:29: >>412
まじすか。>>411じゃないけど、方法を知りたい。

ポートフォワードでも使うんですかね。
調べても、いまいちできたっていう情報がでてこないので・・・。

VPN使うしかないと思ってたので、できたらすごくうれしいのだが
414 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/24(火) 23:42:00: ごく普通にできるとおもうからこそ、
誰も書かないんだと思う。
415 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 03:13:07: >>413
相手の445ポートへフォワーディング
416 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 07:18:20: >>415
ローカルポート何番にですか？
445に転送しようとすると、ローカル側ですでに使われていてbindできないのですが。
Windowsでは、アクセスするポート指定できましたっけ？
417 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 08:46:17: >>416

samba over sshで検索すると、
ttp://datafarm.apgrid.org/software/html/ja/user/smboverssh.html
ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html
ページが見つかると思うのだが。
418 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 09:28:59: >>417
調べたら負けかな、と思ってる
419 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 14:38:09: 445ポートでやることはできませんか？
420 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 16:01:30: ググレカス
421 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 18:54:12: マラカスを思いだしたよ。
422 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/25(水) 22:23:35: 445じゃなくて139でやるといい
つか漏れがやったときは445では無理だった
423 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/26(木) 00:50:55: 心のきれいな方でないと、445ポートでの運用はできません。
424 名前：412 メール：sage 投稿日：2006/10/26(木) 01:50:12: >>413
普通にポートフォワーディングする。
smbclient, smbmount にはポート番号指定できるでしょ。
425 名前：名無しさん＠お腹いっぱい。 投稿日：2006/10/28(土) 22:42:02: > smbclient, smbmount
Windows では、どうすれば・・・orz
426 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/28(土) 23:50:38: ググレカス
427 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/29(日) 07:39:19: >>425
Windowsでは不可。139を使え。
428 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/29(日) 10:08:36: いい加減スレ違いすぎるわけだが
429 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/29(日) 15:15:15: >>427
Windowsから445ポートだけではつなぐことはできないということなのでしょうか？
430 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/10/29(日) 21:40:59: てか、どっかいけ剥げ。
431 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/06(月) 17:38:16: 実用SSH 第2版
http://www.oreilly.co.jp/books/4873112877/
432 名前：名無しさん@お腹いっぱい 投稿日：2006/11/06(月) 19:18:48: ほほぅ、興味ありますなぁ。
だけど、\5.040はきっついなぁ。
さすがはオライリー。値段に貫禄つけてきやがる。
433 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/07(火) 00:51:03: >>432
5 円は安いな
434 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/07(火) 01:11:32: なんと５円とは貫禄ありすぎて怖いぞ
435 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/07(火) 01:14:09: >>432は欧州在住
436 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/07(火) 12:34:47: 5をエスケープしてるのはどういう意味?
437 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/07(火) 13:35:11: \でエスケープするのはSQL的には間違い
438 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/07(火) 14:01:46: どっからSQLが出てきたんだ
439 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/07(火) 23:27:45: オライリー特製コーヒーマグカップ貰おうぜ
440 名前：440 投稿日：2006/11/08(水) 08:48:10: おまいらがチャカしている間に 4.5(p1) がリリースされてますぜ

情報元は春山さんのところ：
http://www.unixuser.org/~haruyama/security/openssh/20061108.html
（2006年11月08日 08:05更新、だそうで。）
441 名前：440 メール：sage 投稿日：2006/11/08(水) 08:57:15: それにしても、春山さん、迅速ですなぁ…。感謝

セキュリティ関係の問題（「sshd の特権分離モニタのバグ」）を修正したので
緊急リリース、ということかな。

# 個人的には、FreeBSDでのコンパイル時の問題が解決された点の方が
# 大きかったりするんですが
442 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/09(木) 05:57:20: echo "sshd: [IPアドレス]" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny

で、パスワード認証なんですが、これでは不十分ですか？
443 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/09(木) 09:45:59: 何が？
444 名前：442 メール：sage 投稿日：2006/11/09(木) 20:59:14: は？
445 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/10(金) 04:07:39: >>443 スルーしとけ。
446 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/10(金) 10:55:52: hosts.allow denyを今さら使うのか
447 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/11(土) 08:21:12: >>442じゃないが、

>>446
どのようなアクセス制限を行っているんですか？
448 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/11(土) 13:20:22: iptables
449 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/11(土) 14:36:24: それ以前に、hosts.allow, hosts.denyの動作原理を理解しているのかと・・・・・

使うようにプログラムが組まれていないと有効にならんぞあれ
450 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/11(土) 15:11:28: sshd_config
451 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/13(月) 01:23:40: rootが作ってくれたid_rsa/id_rsa.pubファイルを一般ユーザの
~/.ssh/以下に入れて使えますか？

ホストAからホストBに公開鍵認証で、ホストAのユーザhogeが
ログインする時、ホストAのrootがssh-keygenで作成した
id_rsa/id_rsa.pubファイルで公開鍵を設定したいのですが、
有効に働いてくれません。
通常は、ユーザhogeがssh-keygenで作成したid_rsa/id_rsa.pubを
設定するのが当然と思いますが、以上の様な使い方はできない
ものでしょうか。
452 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/13(月) 03:51:02: >>451
可能。鍵認証関連のトラブルは、ほとんどのケースがファイルのアクセス権限が
間違ってるとか、ファイル名が違うとか、改行コードがおかしいとか、
そういう見落しがちな理由なので、もう一度よく確認してみることだな。
453 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/13(月) 10:40:00: >>452
サンクス。失敗していたときと同じ手順でやったはずなのに、
できました。ｗ
おそらく、いろいろ作業してる際に、相手先のauthorized_keysに
登録し忘れてた気がします。（たぶん）
454 名前：ssh初心者 投稿日：2006/11/14(火) 13:39:57: 教えて頂きたいことがあります。

ssh-agent で登録する鍵の数は変更できますか？
現在 ssh -v で確認すると6つまで鍵を読みに行きます。
それ以外の鍵については毎回鍵の指定が必要になり
rsyncの際、不便になります。

よろしくお願いします。
455 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/17(金) 19:04:06: shfsとsshfsの違いを教えてください
456 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/17(金) 21:26:27: sの数
457 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/19(日) 17:40:48: OpenSSHとOpenSSH-portableの違いを教えてください。
458 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/19(日) 19:55:11: >>457
・前者はOpenBSD専用
・後者は「移植版」と呼ばれるもので、前者をそれ以外のOSにも対応させた
　もの
459 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/20(月) 09:17:04: >>456
実質的に同じものと考えてよいのでしょうか？
460 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/20(月) 09:26:25: だめだ
461 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/20(月) 10:21:55: ところで、ちょっと話をきいてくれよ。
HPNってどうよ？
462 名前：名無しさん＠お腹いっぱい。 投稿日：2006/11/25(土) 07:17:19: テキストモードとバイナリモードの切り替え方法を教えてください
463 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/25(土) 07:43:22: ちんちんがあるかないか
464 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/11/30(木) 22:51:28: 4.5対応のHPN-SSHパッチって出てたのか
http://lists.mindrot.org/pipermail/openssh-unix-dev/2006-November/024908.html
465 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/05(火) 06:56:10: JTA - Telnet/SSH for the JAVA platform
http://javatelnet.org/space/start
466 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/05(火) 07:12:34: うむ～、それ、ネットカフェのIEじゃ動かなかったな。
Java アプレットが禁止されてるのかなぁ。
467 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/06(水) 02:20:03: 数日前よりBruteforceAttackされる時のパスワードを
盗み見してみるけど、アッタクしてきたユーザ名とかパスワードを公開するのは
法的にまずいんかなぁ？

統計処理したものを定期的に公開するか、リアルタイムに公開するか迷ってるんだが…。
# BruteforceAttackしてくるユーザ名とパスワードを公開するのは、
# こんなパスワードとかユーザ名は狙われやすいと喚起したいだけなんだども(´･ω･`)
468 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/06(水) 02:42:34: 喚起しても何にもならないからやめたほうがいいと思う。
469 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/06(水) 05:19:06: 喚起する意味が分からん。
そんな辞書はどこにでも転がっている。
どうしても活用したければ収集してログインの時に警告すれば？
そういうことするためのPAMモジュールがあったと思う。
470 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/06(水) 09:45:48: >>467
これ見せればいいじゃん
http://www.cyberpolice.go.jp/server/rd_env/pdf/20060817_SSH.pdf
471 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/06(水) 15:10:04: >>469
辞書は確かに何処でも転がっているとは思うんですが、
統計的なのとかあったら最近の動向とか分かって自分は便利だなぁと思ったので。
Login時の警告というのは、どういうことでしょうか？:-)
Banner /etc/ssh_msgなどは表示させてはいるんですが。
また、そのPAMモジュールについて良かったら詳しく教えて下さい。

>>470
おぉ、そんな資料が@policeから出てたとは…
喚起用にリンクしてみます。

ところで、SSH Attackしてくる人はpublickeyのみしか許可してないのに
Scriptがいけていないのかそれを無視してkeyboard-interactiveで
何度も試みるのは何故でしょうか？
472 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/06(水) 15:33:21: Scriptがいけていないから。
473 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/07(木) 22:36:34: FreeBSD 6.1RでPacket Filterを導入後、SSHのログイン時間が異常に
遅くなりました。（遅いですが、ログインはできます。認証が失敗
しているというようなログも見当たりません。）
"login as:"の表示の速さはいつも通りですが、その後の表示が始まる
までが以上に遅いです。調べている途中で、ＩＰアドレスの逆引きが
解決するまでに時間がかかるのでは？という記述を見かけ、解決してる
途中ですが、他にこのような症状の原因となるものはあるのでしょうか？
474 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/07(木) 23:28:55: >>473
逆引きができない場合がほとんど。
まずはそこをクリア汁
話はそれから
475 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/08(金) 02:47:38: やはり原因は、逆引きだったようです。ポート開けたら直りました。
476 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/08(金) 10:13:03: >>475
ポートと逆引きと何の関係が？
もしかして 53/udp の outgoing を閉じてたとか・・・
あれ？みんなもしかしてそういう運用してる？
477 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/11(月) 13:42:43: shfsとsshfsでは機能的に何か差がありますか？
478 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/13(水) 21:12:19: sの数
479 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/14(木) 18:10:04: OpenSSHとOpenSSH-portableでは機能的に何か差がありますか？
480 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/14(木) 18:16:06: いいかげんにしろ
481 名前：名無しさん＠お腹いっぱい。 投稿日：2006/12/15(金) 19:39:25: samba over sshのやり方が書いてあるサイトは知りませんか？
482 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/15(金) 19:40:56: ぐぐれ
483 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/15(金) 20:18:45: >>481
このスレの最初から見直せ
484 名前：名無しさん＠お腹いっぱい。 投稿日：2006/12/19(火) 11:42:57: >>467
数日のデータに何の意味がある?
せいぜい半年とか1年とか取れよ。
485 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/19(火) 17:03:24: 445/tcp をポートフォワードするだけで
Windowsのファイル共有にアクセス出来ます？
486 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/19(火) 17:10:16: またお前か
487 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/19(火) 19:07:20: しばらくの間、コマンドを何も入力しないと自動的に切断されてしまうのですが、
この自動切断までの時間はどこで設定できるのでしょうか？
488 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/19(火) 19:21:47: >>487
ライブ・ア・ライブとかそんなの
489 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/19(火) 19:39:46: >>487
どこで切断されているのか分からないと、誰も答えられないのでは。

切断しているのは……

・接続先のシェル？ (もしくは何らかのプログラム？)
・接続先の sshd ？
・通信経路上のどこかのルータ？
・通信経路上のどこかのプロクシ？
・接続元の ssh ？
・接続元のシェル？ (もしくは何らかのプログラム？)

の、どれ？
490 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/19(火) 19:58:42: きっとこいつの仕業
ttp://pc8.2ch.net/test/read.cgi/linux/1146235963/285-286
491 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/19(火) 22:23:18: ServerAliveInterval 1
492 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/20(水) 14:15:29: >>489
おそらく接続先のsshdだと思うのですが、sshd_configのどの項目を変更すればよいのか分かりません。
493 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 09:32:41: おまいは >>489 のような質問に対して、ログ等の確たる証拠を
挙げようとは思わないのか？

さらに、>>491 のような書き込みを見てググったりしようとは思わ
ないのか？

自分が抱いた疑問点は、すでにどこかに回答があるのではない
かと思わないのか？

たとえあてずっぽうだとしても、そこまで言うのなら sshd_config の
ドキュメントはきちんと読んでいるんだろうな？

というわけだ。

2.12 - なにもしないで N 分たつと ssh 接続が固まるか、切れるかするんだけど。
http://www.openssh.com/ja/faq.html#2.12
494 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 09:55:06: SSHのウィンドウを×をクリックする以外で一発で終了する方法ってありますか？
exitだとrootの状態の場合一般ユーザに戻ったり、screen起動中だったらscreenを抜けたりするだけで
終了ができないので
495 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 09:57:55: >>494
「SSHのウィンドウ」って?
496 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 10:00:26: WindowsXPからPuttyを使って接続しているので、そのウィンドウのことです
説明不足ですいませんでした
497 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 10:04:27: >>494
su とか screenとか実行する時に、
exec su とか exec screen とかで実行すると良い。
exit一発で抜けられる。
498 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 10:13:51: >>496
Alt+F4
499 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 10:54:33: >>498
×をクリックする以外で
500 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 10:57:25: クリックしてないじゃん。
501 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 12:16:09: ちかごろはばかもつかうんだな。
502 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 13:13:51: めんどくさがらずに順に抜けろよ。
503 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/21(木) 13:15:36: sudo pkill sshd
504 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/23(土) 06:30:09: SSHのLISTENポートを80にすることってできますでしょうか？
505 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/23(土) 08:37:47: >>487
@nifty なら諦める
506 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/23(土) 09:37:53: >>504
できる
507 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/25(月) 00:02:29: stone使って443経由でsshのトンネルを掘る場合、hosts.allowはどのように書くべきなのでしょうか？
x.x.x.xのホストからのトンネルだけを許可したい場合は普通に

sshd: x.x.x.x : allow

でいいの？（ /etc/servicesには "sshd 22/tcp" と書かれている前提で）
それとも、stoneを通過した時点でsshdにはlocalから繋ぎに来てるように見えてしまうんでしょうか？
508 名前：〈(｀・ω・｀)〉φ ▲ メール：sage 投稿日：2006/12/25(月) 21:31:01: 鍵認証が使えるGUIインターフェースのsftpクライアントはlinuxには無いのですか？
nautilusはパスワード認証しかできないみたいだし。
509 名前： ◆TWARamEjuA メール：sage 投稿日：2006/12/25(月) 22:23:21 BE:1307726-BRZ(6677): >>508
どこかでお見かけしたお名前♪
おそらく板違いかと思いますけれどもこの際、林檎機に乗り換えてしまえばCyberDuckなるものがあったりします♪
ttp://cyberduck.ch/
510 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/26(火) 02:24:14: >>508
FileZillaじゃダメ？
511 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/26(火) 05:37:21: それってLinuxでも使えるのでありまするか？
512 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/26(火) 10:10:31: ref. gugurecas
513 名前：名無しさん＠お腹いっぱい。 投稿日：2006/12/26(火) 21:36:22: FreeBSD6.1+OpenSSH鯖(www,mail,DNSで固定IP)にWinXPクライアント+PuTTyで公開鍵認証してますが
PuTTYでドメイン名で公開鍵認証はPagentでパスフレーズですんなり一般ユーザーログインできます。
しかし、いったんwinXPクライアントを再起動しておなじくPuTTYで固定IPアドレスでわざとパスフレーズを入れないとlogin as:と表示され
一般ユーザー名を入力しPassword:でパスワードを入力するとパスワード認証できてしまいます。パスワード認証を禁止したいのですが．．．
一応設定は
# /etc/ssh/sshd_config
PasswordAuthentication no とし
UseDNS yes を追加しています。
エロイ人よろしくお願いします。
514 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/26(火) 23:24:03: >>513
ChallengeResponseAuthentication no
とかじゃないの
515 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/26(火) 23:51:38: UNIXで公開されているsftpサーバにWindowsからネットワークドライブとして接続したいのですが、
フリーで行う方法はないでしょうか？商用ソフトだとWebDriveというものがあるようなのですが。
516 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/27(水) 00:04:47: ねえな
517 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/27(水) 00:58:55: Macならネイティブで対応してるよん
518 名前：名無しさん＠お腹いっぱい。 投稿日：2006/12/27(水) 07:21:35: >>514
あなたエロイ人！
519 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/27(水) 15:28:38: 質問があります。

VineLinuxでOpenSSHとVNCを導入しました、
ブロードバンドルータのNAPTの設定で、
このLinuxは外部にSSHの２２番ポートしか開放していませんが、
SSHのフォワーディング機能を使って外部からVNCを使いたいと思ってます。

しかし、使えません・・。
ローカルのほかのWindowsPCからのアクセスはOKでした。
外部からは、cmd.exe のnetstatを打つと

TCP winpc:4770 localhost:5901 ESTABLISHED

コネクションはできてます、他にもAPACHE等も動かしフォワーディングしましたが、
同じ状況でした。
sshの設定はデフォルトのままです。
グローバルになると何か特別な設定が必要なのでしょうか？
520 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/27(水) 23:57:44: >>519
似たような環境のようだがうちではこれで使えてるよ
ssh -L 5901:localhost:5901 -f -N vncserver
vncviewer :1
521 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/29(金) 01:36:54: 全ユーザの秘密鍵一括作成ってできないかなぁ・・・
522 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/29(金) 08:58:41: 秘密でも何でもないじゃないか

といいつつ公開鍵認証onlyにしたいため、同意。
523 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/29(金) 09:01:11: 公開鍵認証onlyにしておけば、みんな勝手にやってくれるよ
524 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/29(金) 10:05:41: どうやって、authorized_keysに登録させるんだい?
525 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/29(金) 10:41:02: >>524
ssh で・・・あれ?
526 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2006/12/29(金) 11:02:32: .rhosts 見させる方が簡単じゃん
527 名前：名無しさん＠お腹いっぱい。 投稿日：2007/01/03(水) 01:06:28: >>524見て思い出したけど、
sshを鍵認証で、新しいユーザーに使わせたいときって、
鍵持っている他のユーザーで入って、suして、authorized_keysに追加するしかないんですかね？
528 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/03(水) 02:07:19: 端末の前に行けばいいじゃないか
529 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/03(水) 02:31:49: 交通費その他を>>528が出してくれるなら是非

じゃなくて
>>527
そのユーザにパスワード認証で入らせる。
それができないなら、もともとSSHが使えない人、なのかもしれない。
530 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/03(水) 08:48:55: 「交通費その他がかかる」なんて条件
後から付け加えられてもなぁ。
531 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/03(水) 09:27:56: >>529 じゃないけど ssh スレなんだし遠隔地ってのは
考慮しても良いと思うなー
532 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/03(水) 11:20:03: authorized_keysへの追加というお題なので、コンソール使えないのは暗黙の条件だな。
533 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/03(水) 11:32:37: ﾉ OpenSSH LDAP Public Key Patch
534 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/03(水) 11:50:39: lpk patchか。やはりLDAP入れる覚悟を決めるか…
535 名前：名無しさん＠お腹いっぱい。 投稿日：2007/01/11(木) 23:25:31: >>529
書き忘れました。
パスワード認証は、デフォで切ってます・・・
ていうか、切らないと、鍵認証の意味ねー
536 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/01/12(金) 00:15:11: ftpで入るんだ･･･あれ？
537 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/01(木) 06:46:16: sshで別のマシンにログインする時にローカルの
.bashrc のセッティングをフォーワードする方法はありますか？
538 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/01(木) 10:32:59: 事前に .bashrc を scp しとく
539 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/14(水) 19:25:59: http://opentechpress.jp/security/article.pl?sid=07/02/13/0020220
540 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/19(月) 21:32:52: ローカルのマシンのみログインできるようなアクセス制御ってできますか？
541 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/19(月) 21:38:02: >>540
hosts.allow と hosts.deny とか・・・
542 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/19(月) 21:42:44: >>541
ということはsshの機能でそういうのはないんですかね？
543 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/20(火) 01:56:14: ローカルマシンにわざわざsshで入るのもどうかと思うけど？
もしかして、意味を取り違えてる？
544 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/20(火) 07:47:43: >>543
意味を取り違えてるか感覚が古いかのどちらかだな。
545 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/20(火) 22:03:24: ひょっとして、
自分のドメインからだけsshできるようにしたいんか？>>540
546 名前：540 メール：sage 投稿日：2007/02/20(火) 22:17:23: 外部からは接続させずに、LAN内からのみ接続させたいんです
547 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/20(火) 22:24:05: >>546
・ルータで port 22 をフィルタリングする
・NIC を追加するか IPalias して IP アドレス追加した上で
sshd が listen する IP アドレスをかえる
548 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/20(火) 23:18:14: hosts.allow でなにがまずいの？
549 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/20(火) 23:31:18: >>548
今どきhosts?って感じ
550 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/21(水) 01:07:36: hosts.allow と hosts を区別できない奴は(中略)難しい
551 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/21(水) 09:55:32: hosts.allowの動作メカニズムを知った上で使うなら問題無い。
552 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/21(水) 10:09:26: >>550
やっぱり勘違いさせたかｗ
難しい奴だな
553 名前：名無しさん＠お腹いっぱい。 投稿日：2007/02/21(水) 19:45:47: オープンな無線LANを使用するときに、HTTPを安全に使用したいので
sshのポートフォワーディングを使用しようと思い、
クライアント側でhttpのプロキシをlocalhost:10080に設定し、
ssh -v -L 8080:SERVER:80 SERVER
としたのですが、サーバー側で
open failed: administratively prohibited: open failed
という表示がでてうまくつながりません。。

どなたかポートフォワーディングを使用している方いたら教えてください。。
554 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/21(水) 20:01:21: エラーメッセージのとおり、
サーバかクライアントのどちらかでポートフォワーディングしない
設定になってるんでない？
555 名前：553 メール：sage 投稿日：2007/02/21(水) 20:05:28: ほとんど初期状態のままでいるのですが、
ポートフォワーディング用の特別な設定ってあるんでしょうか？
556 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/21(水) 21:45:57: 初期状態とかいうものはない

see sshd_config(5)
557 名前：名無しさん＠お腹いっぱい。 投稿日：2007/02/23(金) 13:26:20: ファイルのダウンロードはどうやるか教えてエロイ人
558 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/23(金) 14:02:02: sftp, rsync -e ssh …
好きなの使え
559 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/23(金) 15:41:56: scp
560 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/28(水) 04:15:31: http://matt.ucc.asn.au/dropbear/dropbear.html

これの話題が出てないので、一応ねたふり…

明日あたり試験鯖で試してみようかなと考え中。
561 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/28(水) 05:48:20: これはsshの新しい実装ということかしら？
562 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/28(水) 09:37:40: sshの実装は昔からいくつかあるし、そのうちの一つだろ。
563 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/28(水) 12:55:59: >>560
なぜ注目したのか書いてみてよ
564 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/02/28(水) 14:35:53: >>560
uClibcな鯖なのか？
small-linux系で見かけた事がある＞ dropbear
565 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/01(木) 01:02:33: >>560
FreeBSDにportで入れてみた。dropbare(sshd)はメモリサイズが1/4で済む。
PATHが正しく設定されない。(FreeBSDのloginのお作法に従っていない)
dbclient(ssd)はagentが使えないようなのでパス。
566 名前：名無しさん＠お腹いっぱい。 投稿日：2007/03/01(木) 12:41:51: ssh-agentが/tmp/に残したUNIXドメインソケットのゴミの
お掃除はどうやっていますか?
567 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/01(木) 13:53:56: 放置プレイ
568 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/01(木) 16:04:37: >>697
たびたびすみません。
make CFLAGS='-m32 -g -fno-strict-aliasing -pipe' でメイクしても
"symbol `re_cache' is already defined うんぬん" というエラーがでて、
もしやと思い。make rmconfig, make clean で再度、make install clean
をしたら通っちゃいました。

おさわがせしました。m(_ _)m
569 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/01(木) 16:13:04: ssh tectia serverで鍵認証で接続する際に
かならず（linuxユーザの）パスワード聞かれるんだけど
鍵認証のみで接続できるようには出来ないのでしょうか？
570 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/01(木) 16:50:45: >>569 configがそうなってるとか、permissionがおかしいとかじゃね? ssh -vv 見ながら自分で解決するか晒したまえ。
571 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/01(木) 16:51:41: PreferredAuthentications
572 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/01(木) 22:52:20: >>566
正常に終了した場合、UNIXドメインソケットのゴミは
残らなかった気がするが、気のせいかな？
# 自分が確認したのは OpenSSH のやつ。
573 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/02(金) 00:22:38: >>577
最近のはそうなったのかな? 今、試してみると消えますね...
574 名前：572 メール：sage 投稿日：2007/03/02(金) 01:31:29: >>573
debug mode(ssh-agent -d)で起動したのを ^C で殺すと残るけど、仕方ないかな。
自分はパッチあてて、それでも掃除するようにしてある。
575 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/02(金) 16:42:19: >>570
鍵が見えてなかったみたいなので
鍵置いてるディレクトリのパーミッションを700
にしたところいけました。
もともとのパーミッションがゆるすぎだった模様。
どうもありがとうございました
576 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/04(日) 21:52:20: OpenSSHのsftpに補完機能を追加するパッチを作ってみました。
http://www.phys98.homeip.net/~ide/aboutopenssh.html#sftp-Completion
# もうすぐ新バージョンが出るようなのでタイミング悪いですが。
577 名前：名無しさん＠お腹いっぱい。 投稿日：2007/03/05(月) 12:32:21: GeoIPを使って、国外からアタックをブロックしている人って居ますかね?
578 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/05(月) 18:06:09: GeoIPが何かは知らないが自分で設定してブロックしてる
579 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/06(火) 00:59:44: 三国フィルタで十分だろ。
580 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/06(火) 02:22:47: 国内からもアタックされるし、フィルタなんかイラネ
581 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/06(火) 03:01:12: >>580
でもアタックの大半が国外なのは事実。
自分が国内に住んでいるのであれば、.jpだけ通した方がsshdもCPUを食わないし、楽。
582 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/06(火) 08:36:40: JPNICのwhoisデータベースから変換したJPPASSフィルタと
過去にアタックしてきたJPBLOCKフィルタ組み合わせてる

アタックしてきたIP＝侵入されてスクリプト設置された＝セキュリティ的に弱いネットワーク・管理者
って見なしてるけど、
某大手企業様だったり、セキュリティコンサルティング会社だったり、まぁ色々あるな。
583 名前：名無しさん＠お腹いっぱい。 投稿日：2007/03/09(金) 09:41:24: sshdのログから不正アクセスするIPアドレスを自動でhosts.denyに追加してくれる「DenyHosts」
http://denyhosts.sourceforge.net/
584 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/09(金) 10:25:17: >>583
あー、俺 cron で自作スクリプト回してるわ(w
/etc/hosts.allow に deny 表記だけど(なんか hosts.deny は obsolete っぽい)。
ついでに /var/log/xferlog も見てるよ。
585 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/09(金) 10:27:18: >>584
> (なんか hosts.deny は obsolete っぽい)。
なんで？
586 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/09(金) 10:38:45: >>585
ちょっと調べたけど理由はわからない(管理の手間か、プログラムの容易さ?)
とにかく /etc/hosts.deny は deprecated なんで hosts.allow に両方書けっていう話らしい。
FreeBSD の 5.x と 6.x。
587 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/09(金) 10:52:26: FreeBSD というより tcp_wrapper からの要請みたい。
昔は /etc/hosts.allow → /etc/hosts.deny の順に見てたけど、
一つのファイルでルールが合致した順に制御する、
というのがわかりやすいからじゃないかな?
588 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/09(金) 13:12:08: >>587
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap2/freebsd/remote.html
ここにも書いてあるな。

ところでopenssh 4.6p1って消された?
589 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/09(金) 13:41:34: あぁ、FreeBSD ローカルの話ね。
590 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/09(金) 15:42:13: hosts.denyの話しらなかった。
591 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/10(土) 00:23:10: >>588 の自己解決
marc.theaimsgroup.com/?l=openssh-unix-dev&m=117337577125049&w=2

cygwinの都合など知らぬわ。
592 名前：名無しさん＠お腹いっぱい。 投稿日：2007/03/10(土) 11:49:54: 女性は働きたければ働いて､働きたくなきゃ働かない､辛くなったらやめていい｡
そもそも女性に辛い仕事を押し付けないこと｡かといって雑用やらせるのもﾀﾞﾒ｡
それで給与も昇進も平等にね｡ただし残業､転勤､深夜当直させたら女性差別だよ｡
間接差別禁止規定って知ってるでしょ｡なんでも平等にね｡髪形と服装は女性の自由だけど｡
それからｱﾌｧｰﾏﾃｨﾌﾞｱｸｼｮﾝと管理職30%目標もね｡産休育休もね｡当然給与40%保障で｡
主婦と言っても､家事を強制される言われはないし､出産するかどうかは女が決めること｡
でも産まれたら育児を女性に押し付けないでね｡二人の子供なんだから当然でしょ｡
ただし離婚したら親権は母親のものだよ｡育児は女性のほうが向いてるんだし｡

それから働く夫を妻が支えるなんて時代遅れの女性差別｡
これからは働く妻を夫が支えなきゃ｡
あ､もちろん収入は夫の方が多くて当然だけどね｡妻には扶養請求権だってあるんだから｡
それと夫は妻に優しくね｡妻が望まないｾｯｸｽは家庭内ﾚｲﾌﾟだよ｡
夫が妻のｾｯｸｽの求めに応じないと離婚事由になるけどね｡
離婚したら慰謝料とか財産分与とかまあ当然だけど｡
女性はか弱いから母子手当ても生活保護も税金控除も当然だよね｡足りないぐらい｡

それと女性に女らしさを押し付けないでよ｡
そんなの窮屈で面倒だし､いまさら男尊女卑ですかって感じ｡
でも男はやっぱ男らしくないとね｡
いつになったらﾚﾃﾞｨｰﾌｧｰｽﾄ覚えるの?ﾜﾘｶﾝなんてありえないし｡
少子化だって男のせいでしょ｡男がだらしないから女性が結婚できないんだよ｡
え?ﾚﾃﾞｨｰｽﾃﾞｰ?あれはいいの｡
別に私たちが頼んだ訳じゃないし｡店が勝手にやってるんでしょ｡
593 名前：名無しさん＠お腹いっぱい。 投稿日：2007/03/12(月) 22:42:26: OpenSSHってconfigureのオプションに何も付けない時、tcp-wrapperに
対応してますか？
594 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/13(火) 14:53:46: ない。
595 名前：馬鹿者 メール：sage 投稿日：2007/03/13(火) 20:40:55: 偉い人教えてください。
TSSHで作業しながら、WinSCPのver3.6位でアップやらダウンやら繰り返して
いたら、ログアウトした後、何故か２度とサーバに接続できない状態に。
しかも、２サーバも同一状態にｏｒｚ
うちの、Ｓｕある人がキーの入れ替えやらなんやらやってくれたのですが
どうしても復旧せず、こっちが馬鹿者扱いに。。。。
職場では２ｃｈ見ちゃダメ書き込んじゃダメ、資料持ち出しちゃダメの
ﾀﾞﾒﾀﾞﾒ状態なので、この程度しか情報ないのですがわかる方おられまし
たら、なんとかご教示願います。
WinSCPを3.8にしたらいいよー見たいな書き込みを英語フォーラムで見
かけたのですが、確たる証拠がないとVerアップできないしもう号泣す
る他無し、、、
596 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/13(火) 21:01:11: とりあえず
＞どうしても復旧せず、こっちが馬鹿者扱いに。。。。
復旧できないsuがバカってのはFA

>595の情報じゃよくわからん
ssh -v の結果みりゃわかるんじゃねーの？
597 名前：馬鹿者 メール：sage 投稿日：2007/03/13(火) 21:11:57: おおおお！ｒｅｓが。
ssh -vとかやろうにも馬鹿者なので、殺したサーバにアクセスさせて貰えない
のですよ。。WinSCPのログ見ても、秘密キーが認証できません
セッションのパスワードを入力せよ馬鹿者＠大ボケ．逝ってヨシ’ｐａｓｓ
と出ているだけで、馬鹿者本人では手の打ちようが無し。
どこそこからの情報でこうやってみればいいのでは？みたいな事仕入れました
みたいに報告しないと馬鹿の言う話は聞けない状態なので、なんとかもう少し
ヒントをお願い致します。
ssh -v は進言してみます。
598 名前：馬鹿者 メール：sage 投稿日：2007/03/13(火) 21:13:46: ５９６様ありがとうございました
↑先にお礼だろうよ！という辺りが馬鹿者臭漂わせてます、、すみませんorz
599 名前：名無しさん@お腹いっぱい。 メール：sage 投稿日：2007/03/13(火) 21:22:27: そのssh接続も本当はﾀﾞﾒでﾙｰﾙｼｶﾄでやったって話?
もしそうなら、あなた自身もﾀﾞﾒになるかも。

そうでなければ、>>596氏の仰せの通り。
600 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/13(火) 21:32:43: うちのサーバは認証失敗繰り返すとブラックリスト入りしてアクセス拒否されるよ。
似たようなことやってるんじゃない？
601 名前：馬鹿者 メール：sage 投稿日：2007/03/13(火) 21:38:05: 599様
ルールシカトではなく、正式ルートを通して作ってもらった物です。
で、喜んでTSSHとWinＳＣＰでがちゃがちゃやってたら壊れてしまい
ました。正式ルートで作った物を壊してしまったのでもう一回作り
直して下さいというのも情けない話なので、末端でリカバリ出来な
いかと（末端にもｓｕ権限ある人いるので）やっているのですが巧
くいかない状態なのです。
馬鹿者本人はは、何も作業できないので指をくわえて復旧を待って
いる状態なのです。
で、単刀直入な話、WinSCPでログインしつつＴＳＳＨもログインし
てガチャガチャやるとｓｓｈは壊れる物なのですか？？
壊れる物だとしたら、ｓｓｈ　－ｖを、馬鹿者のＨＯＭＥで打ち込
めばどうすればいいか馬鹿でもわかるものなのですか？
という２点です。。ｗｅｂ漁りまくったのですが、まともに議論し
ているのが２ｃｈだけのようなので、、、すみません。
その辺りの整理でご教示お願い致します。
602 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/13(火) 21:41:44: つcygwin
603 名前：馬鹿者 メール：sage 投稿日：2007/03/13(火) 21:43:36: ６００様
ＴＴＳＨ＜＝logout
WinSCP＜＝F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にﾀ駄目＞認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
（一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので）
それも視野にいれさせて頂きます。ありがとうございます
604 名前：馬鹿者 メール：sage 投稿日：2007/03/13(火) 21:44:12: ６００様
ＴＴＳＨ＜＝logout
WinSCP＜＝F10で終了
その直後に再ログインしようとしてダメなので、認証失敗連続
ではないと思うのですが、一時的にﾀ駄目＞認証失敗繰り返す
のコンボでブラックリストに乗った可能性はあります。
（一時的にダメになったけど放置してたらそのうち使えるよう
になったという、話はどこかのHPで見たので）
それも視野にいれさせて頂きます。ありがとうございます
605 名前：馬鹿者 メール：sage 投稿日：2007/03/13(火) 21:46:04: 馬鹿焦りすぎ。。。連続書き込み失礼致しました。
606 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/14(水) 00:24:42: tssh とか ttsh ってなんだ？ ttssh か？ちょっとおちつけよ。

>>602 のいうとおり cygwin の ssh を使うか、
あるいは putty なら ssh のセッションをフルダンプがとれるから
それを眺めてミリゃいいだろ。

業務でやってるなら素直に始末書書いて管理者に処理してもらえ
607 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/14(水) 03:16:38: アップ/ダウンできていたというのならば通常使用が出来ていたっつーことだし、
通常使用の範囲内であれば始末書はないでしょ

でもこの焦りぶりが怪しいんだけどね
608 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/15(木) 15:03:13: 「壊れた」の意味もわからんし、そもそも状況説明が怪しすぎる。
というか、日本語で書いてくれんと解読するだけで手間だ。
609 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/15(木) 21:02:21: アホ振りから察するに、.shostsとか.ssh/ 壊したんだろ…
610 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/15(木) 22:37:46: >>馬鹿者
まずWinSCPの問題なのかサーバー側の問題なのかハッキリさせた方がいいな。
同一プライベートキーでPuTTY,TTSSHなどのシェルターミナルだけで接続できるか？
接続できればWinSCPのセッションに不都合が有りとみた。
接続できなきゃプライベートキーに何かあるか
サーバー側に理由があるかもしれん。
611 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/16(金) 14:53:43: OpenSSHを4.6p1に入れたらTTSSHの1.5.4で繋がらなくなったんだけど、
他にそういう人いますか？

sshdをdebugオプション付きで起動すると、

debug1: Client protocol version 1.5; client software version TTSSH/1.5.4 Win32
debug1: no match: TTSSH/1.5.4 Win32
debug1: Local version string SSH-1.99-OpenSSH_4.6
debug1: Sent 768 bit server key and 1024 bit host key.
debug1: Encryption type: 3des
debug1: Received session key; encryption turned on.
debug1: Installing crc compensation attack detector.
Disconnecting: Corrupted check bytes on input.
debug1: do_cleanup

という感じで接続が切られてしまいます。

その後手元で色々試して見た限りでは、

OpenSSH4.6p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8d
OpenSSH4.5p1+OpenSSL0.9.8e

の組み合わせだとOKで、

OpenSSH4.6p1+OpenSSL0.9.8e

だけがNGっぽい感じなのですが…。
612 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/16(金) 16:30:52: エラーメッセージでぐぐれ
openssh "Corrupted check bytes on input" "Installing crc compensation attack detector"
613 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/19(月) 12:37:18: >>612
ありがとう。自分でググった時には見つけられなかったけど、
上記のキーワードで検索し直したらそれっぽいページに辿り着けたよ。

ちょっとOpenSSLにパッチ当ててみる。
614 名前：名無しさん＠お腹いっぱい。 投稿日：2007/03/22(木) 05:04:35: ふと思ったのですが、

退社した人とかいなくなった人がログインできないように、
authorized_keys のエントリを消したい場合、
authorized_keysに書き込まれている公開鍵から何か情報を得ることってできる？

公開鍵のリストを自前で管理して、これは、誰々の公開鍵～って記録しておくしかないですか？
まさか、秘密鍵から公開鍵つくれるけど、消すために、秘密鍵よこせ！ってわけにもいかんし
615 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/22(木) 09:14:19: メールアドレスついてるでしょ? それで識別すればいいじゃん。

もっとも、ちゃんとアカウントわけろやと思うわけだが。
616 名前：名無しさん＠お腹いっぱい。 投稿日：2007/03/22(木) 12:24:18: >>614
とりあえずauthorized_keysのファイルをcatしてみ。
アカウントさえちゃんと分けてれば多分分かる。
ユーザ名@ホスト名が行の最後にくっついてるから。
617 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/22(木) 13:11:16: >>614
退社した場合どうするか決っていないのにsshさせている管理自体を直せよｗ
618 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/30(金) 15:13:47: MacOSX10.4.9です。
VNCの接続を暗号化したいと思い、SSH Forwardingを使いました。

ssh -L 5900:localhost:5900 鯖ユーザ@鯖アドレス

繋がるのですが、VNCクライアントで見に行こうとすると。

channel 3: open failed: connect failed: Connection refused

と出てしまいます。
これは何が問題でしょうか？
619 名前：名無しさん@お腹いっぱい。 メール：sage 投稿日：2007/03/30(金) 21:24:07: >>618
ひょっとしてVNCのﾘｽﾝﾎﾟｰﾄが違うんじゃない?
5901とか5902とか
620 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/31(土) 11:22:29: SMB over SSH - ヽ( ・∀・)ノくまくまー(2007-03-28)
http://wota.jp/ac/?date=20070328#p01
621 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/03/31(土) 11:35:38: >>620
改めて思う。なんでファイル共有でポートを指定できないのかとｗ
622 名前：618 メール：sage 投稿日：2007/04/01(日) 10:21:15: >>619

それも疑いまして、相手先のMacのVNCserverの設定を見たのですが、
ディスプレー番号0ということでport5900になっていました。

Serverのローカル接続では5900で接続できるのです。
唯一その鯖だけがエラーを吐いて繋がらず、他は繋がるので
それだけ何かがおかしいのかもしれませんが

channel 3なんてググッっても出てこなくて弱ってしまいました。
623 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/04/01(日) 14:50:16: そのサーバのsshd_configにAllowTcpForwarding noが入ってたりしない？
とりあえずsshに-vvvでも付けて様子見てみたら。
624 名前：618 メール：sage 投稿日：2007/04/02(月) 17:39:34: >>623

このようになりました

Connection to port 5900 forwarding to localhost port 5900 requested.
debug2: fd 9 setting TCP_NODELAY
debug3: fd 9 is O_NONBLOCK
debug3: fd 9 is O_NONBLOCK
debug1: channel 3: new [direct-tcpip]
channel 3: open failed: connect failed: Connection refused
debug1: channel 3: free: direct-tcpip: listening port 5900 for localhost port 5900, connect from 127.0.0.1 port 54538, nchannels 4
debug3: channel 3: status: The following connections are open:
#2 client-session (t4 r0 i0/0 o0/0 fd 6/7 cfd -1)
#3 direct-tcpip: listening port 5900 for localhost port 5900, connect from 127.0.0.1 port 54538 (t3 r-1 i0/0 o0/0 fd 9/9 cfd -1)

debug3: channel 3: close_fds r 9 w 9 e -1 c -1

他にオープンしている接続があるので接続が拒否されたということでしょうか・・・
625 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/04/02(月) 21:40:34: >>624
こっちのSSH(OpenSSH 4.5p1)のデバッグメッセージとちょっと違ってるみたいです。
つなぎにいってるマシンのSSH、バージョンはいくつですか？

ローカル側のポートが既に使われていた場合、OpenSSH 4.5p1のデバッグメッセージはこんな感じですた。
チャンネルを割り当てられる前にエラーとなるので、原因は別なんじゃないないかな？

debug1: Local connections to LOCALHOST:8080 forwarded to remote address remote.example.com:3128
debug3: channel_setup_fwd_listener: type 2 wildcard 0 addr NULL
debug1: Local forwarding listening on ::1 port 8080.
bind: Address already in use
debug1: Local forwarding listening on 127.0.0.1 port 8080.
bind: Address already in use
channel_setup_fwd_listener: cannot listen to port: 8080
Could not request local forwarding.
626 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/04/03(火) 00:32:56: >>618
ログインした先で telnet localhost 5900 はつながるの？
627 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/04/03(火) 03:45:59: サーバのsshd_configにAllowTcpForwarding noを入れたら、こんなデバッグメッセージが出た。
やっぱsshd_configのAllowTcpForwardingがnoとしか思えん。

debug1: Connection to port 8025 forwarding to localhost port 25 requested.
debug2: fd 9 setting TCP_NODELAY
debug3: fd 9 is O_NONBLOCK
debug3: fd 9 is O_NONBLOCK
debug1: channel 3: new [direct-tcpip]
channel 3: open failed: administratively prohibited: open failed
debug1: channel 3: free: direct-tcpip: listening port 8025 for localhost port 25, connect from ::1 port 51473, nchannels 4
debug3: channel 3: status: The following connections are open:
#2 client-session (t4 r0 i0/0 o0/0 fd 6/7 cfd -1)
#3 direct-tcpip: listening port 8025 for localhost port 25, connect from ::1 port 51473 (t3 r-1 i0/0 o0/0 fd 9/9 cfd -1)

debug3: channel 3: close_fds r 9 w 9 e -1 c -1

サーバ側のポートフォワード設定ってネゴシエーション時には使われないんだね。
ローカル側でコネクション張りにいくまでポートフォワードできるかどうか分からないのはいいことなのか悪いことなのか。
628 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/04/03(火) 06:21:52: サーバ側でポートフォワーディング禁止するって意味あんのかね?
ローカルとログインした先とで適当なプログラム動かせば同じことできるのに。
コネクションはそれ専用に使っちゃうけどさ。
629 名前：618 メール：sage 投稿日：2007/04/03(火) 09:44:30: ありがとうございます。

SSHのバージョンは
"OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006"

ログインした先では・・・

telnet localhost 5900
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
RFB 003.003

ちょっと不安な行がありますが、
繋がるようです。

/etc/sshd_config を見に行きましたが、
AllowTcpForwardingの項目自体がありませんでした。
しかしエラーはこの項目のno設定と同じですね。
項目を作ってyesにしてみましたが、状況は同じでした。
630 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/04/03(火) 10:01:47: >>629
最初のrefusedは最初にv6で繋げにいこうとしてるから。
telnet 127.0.0.1 5900にすれば出なくなるよ。
631 名前：618 メール：sage 投稿日：2007/04/03(火) 10:24:56: >>630

::1 ってそういうことだったんですね・・・ありがとうございます。
632 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/06(日) 19:33:46: SSHで繋いで、ちょっとトイレに行って戻ってみると、
接続が切れていることがしょっちゅうです。
朝起きたらてきめん切れています。
切れないようにするにはどうしたらよいのでしょうか？
633 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/06(日) 19:42:05: sshは自動的に接続を切らない。
切ってる犯人(cshのautologoutとか)を突き止めて対策する。
634 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/06(日) 20:17:27: >>632
NAT(NAPT)経由で接続してるんじゃない？
keepaliveを使えばいいと思う。

NATな環境で放置したSSH接続が切断される問題について
http://www.geocities.co.jp/AnimeComic/1098/documents/unixmemo/ssh-keepalive.html
635 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/06(日) 21:04:01: >632
それはそれとして screen 使え
636 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/08(火) 03:57:40: >>635
3行でscreenを使うと切れることに対する利点を説明してください
637 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/08(火) 09:39:02: 日本語でおｋ
638 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/08(火) 10:09:01: >>636
切れても
切れてナーイ！
ねこだいすき
639 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/08(火) 10:22:14: 3行でscreen使うと status 行が使い物にならないよねー
640 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/09(水) 00:47:12: X Forwarding使ってるとscreenじゃやっぱり困るので、
結局がVNC使ってる。WAN越しだと重いが。
641 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/09(水) 01:42:41: VNC使ってそこでterm動かすくらいならsshだけで済むことが多いな
642 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/09(水) 18:33:38: >>640
screen内ではpreexec(zsh)やpostcmd(tcsh)で
毎回$DISPLAYを設定してしまうのはどうだろうか。
エイリアスを定義して、アタッチするときにはファイルに$DISPLAYを
書いてからアタッチする。screen内では毎回そのファイルを見て
コマンド実行前に$DISPLAYを設定する。
複数のdisplayを同時並行で使わないというのが前提になるが、
時々自分の居場所が違うというくらいなら。
643 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/13(日) 01:33:16: 大学内でのみ見られるウェブページを自宅から見たいと思っています。
puttyでダイナミックなポートフォワードを設定して
firefoxのProxy(SOCKS)に指定したところ、
IPアドレス直打ちだと見られるようになったのですが、
http://foo.bar.ac.jpのように入力するとサーバが見つからないと怒られます。
リモート側で名前解決をしてくれればいいのですが、
putty・firefox・OpenSSHのどの設定なのか、そのあたりから分かりません。
どなたかご教示ください。
644 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/13(日) 02:07:59: >>643
Firefoxなら、「about:config」で
network.proxy.socks_remote_dns
を「true」に変えればリモートで名前解決してくれたと思う。
645 名前：643 メール：sage 投稿日：2007/05/13(日) 02:56:24: >>644
できました！
何時間も無関係の設定とにらめっこしてました。
本当にありがとうございます。
646 名前：sage 投稿日：2007/05/20(日) 02:39:50: どなたか教えてください…
filezillaを使って、LAN内のサーバからsftpでファイルをダウンロードすると速度が4MB/sくらい出るのですが
外からLAN内のサーバにsftpでアクセスしてダウンロードすると300kB/sくらいしか出ません。
ftpの場合は十分速度が出ていたのでネットワークには問題は無いと考えています。
この速度差は普通なのでしょうか？
647 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/20(日) 02:40:51: sage損なった…
648 名前：名無しさん@お腹いっぱい。 メール：sage 投稿日：2007/05/20(日) 07:56:47: >>646
filezillaとか使ったこと無いけど，sftpよりscpのが速いよ。

あと、LANとWANの回線の太さは同じなの?　NICとかは?
最低限環境書かないと，誰も答えてくれないよ。
649 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/20(日) 08:27:37: 暗号化に時間がかかってるんじゃないの？
650 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/20(日) 22:30:37: >>648
暗号化と復号によるコスト。
ftpだとどこかでキャッシュが有効だったりして高速だったという可能性は？
651 名前：650 メール：sage 投稿日：2007/05/20(日) 22:31:20: 646へのレスでした。
652 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/21(月) 05:02:32: CPUの速いのに変えたら、速度差はなくなりました
653 名前：646 メール：sage 投稿日：2007/05/22(火) 00:51:24: 返事遅くなって申し訳ありません。レスありがとうございます。
あまりにも環境についての情報が少なすぎました、すみません。
sftpサーバはunixで、LAN内のマシンはWindows、外(他人の家)にWindows機、という状況での話でした。

この間に自分なりに得た結論は、filezillaの元となっているputtyのpsftpかな…が問題だということです。
外のWindows機からpsftpを使用してsftpでダウンロードを行うと同じような300kB/sという結果となりました。
外Windows機と同じLAN内に置いたLinux機からsftpコマンドで行うと速度が1.5MB/sほどでました。

>648
ありがとうございます、scpを使うことにします…
回線はLANが100BASE、WANが光なので速度差はさほど問題ではないと思います。

>649
スペックは全てのマシンが十分すぎるほどです。
全てのサーバ・クライアント両側ともCPU使用率は5%を超えていませんでした。

>650
暗号化・復号化によるコストならば、LAN内でも遅くなるんじゃ…
キャッシュの可能性はありません。
654 名前：646 メール：sage 投稿日：2007/05/22(火) 00:56:34: CPU使用率は5%以下、ってのは速度が十分に出てない場合のときです、すみません。
速度が出てるときは55%前後になっていました。
655 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/22(火) 04:41:28: プロバイダはどこだ？
プロバイダは普通http、ftpに最適化されてるぞ
他のポートは、p2pかもしれないということで、帯域制限されている。
656 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/22(火) 10:05:04: どこの田舎だよそんな DQN プロバイダ
657 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/22(火) 18:55:06: @nifty は非道かったよ
658 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/22(火) 18:57:42: 良心的なプロバイダっていま何処が残ってるの？
659 名前：648 メール：sage 投稿日：2007/05/22(火) 19:56:53: >>646
なるほど、puttyのsftpだと遅いんだ。
うちはLinux機しかないから試せないけど、Cygwinのopensshでsftpだとどうだろうね?

ちなみに、うちはLAN内もWANもscp使ってて、ポートもウェルノウンじゃないポート使ってるけど、ADSLだからなのかそういう制限は無いなぁ。
660 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/22(火) 22:47:55: >>658
InfoSphereかIIJに直接SOHO系サービスで契約
帯域欲しけりゃ金払え
661 名前：646 メール：sage 投稿日：2007/05/23(水) 01:04:05: >655
プロバイダはOCNです。
Linuxからは速くてWindowsからは遅いってことからプロバイダの問題ではなさそうな気がします。

>659
また別の友人から、Cygwinでopensshのsftpでダウンロードしてもらったら1.8MB/s出ました。
WindowsのFilezilla、psftpはやはり遅かったです。
sftpクライアントソフトかWindowsがダメだという結論になりそうです…
662 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/23(水) 08:38:59: >>660
InfoSphereからのSPAMときどき来るけどなぁ
663 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/23(水) 10:23:24: >>661
OpenSSHはともかくとして、Cygwin自体は糞遅くないか？
664 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/23(水) 10:29:40: だからなに？
665 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/23(水) 10:33:07: 664は>>662ね。
666 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/23(水) 11:57:16: cygwinで速いと言うことはWindowsの問題じゃなくて、単にクライアントの問題じゃないのでしょうか？
もしよろしかったら、これを試してみてはいかがでしょうか？
http://core.ring.gr.jp/archives/net/ssh/SSHSecureShellClient-3.2.9.exe
667 名前：646 メール：sage 投稿日：2007/05/23(水) 18:23:21: >663
自分はCygwinは触ったことないんでわからないです、すいません…

>666
こ、こいつはすげぇ…1.5MB/s出ました、ありがとうございます！
WinSCPよりも速い…やはりクライアントの問題のようですね。
これで日本語が使えれば最高ですね。
668 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/23(水) 19:07:15: exeの直リン怖い
669 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/23(水) 20:12:30: ssh.com謹製のクライアントのほうがまともなのは確かだな
OpenSSHはトロイ配った前科があるし、劣化コピーのWinSCPはいわずもがな
670 名前：￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣ メール：sage 投稿日：2007/05/23(水) 21:17:15: 　　　　　∧__∧ 　 ________　　　
　　　　　<# ｀Д´>/￣/￣/ 　　　ウリナラ(ssh.com)製以外は粗悪品ﾆﾀﾞ！
　　　　　（二二二つ /　と）　　　
　　　　　　| 　　　/　 / 　/　　　
　＿＿　 | 　　￣|￣￣　　　　　
　＼　￣￣￣￣￣￣￣＼　　　　　
　　||＼　　　　　　　　　　　＼　　
　　||＼||￣￣￣￣￣￣￣||￣
　　||　 ||￣￣￣￣￣￣￣||　
　　　 .||　　　　　　　　 || 　
671 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/24(木) 13:17:21: WinSCPで試してみたらどう？
内部で、psftp使ってるかもわからんけど
672 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/24(木) 13:18:15: って、WinSCP試したあとか。スマソ

>>666
試してみたいのだけど、これのホームページってないですか？
673 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/24(木) 13:28:22: >>672
www.ssh.com
674 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/25(金) 10:30:45: >668
ringサーバで怖いって、頭悪い？
675 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/25(金) 10:37:29: >>674
ring サーバだとなんで怖くないの？
676 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/25(金) 10:51:08: おまえらまんじゅう怖いをしらねーのかよ
677 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/25(金) 11:07:16: exeの直リンはとても危険です！！！むやみにクリックしないようにしましょう。
ちゃんとzipで固めてあれば展開して中のexeをクリックしても安心です。
678 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/25(金) 11:27:16: いちいちサーバのドメインなんか覚えてないからな
679 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/25(金) 13:31:08: 相変わらずopenssh.comが㌧㌦
680 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/25(金) 20:58:04: >>677
目から鱗！
有益な情報ありが㌧
681 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/25(金) 21:29:41: んなわけねーだろw
682 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/26(土) 08:32:57: ローカルに一旦保存して実行する前にウイルスチェックすれば、
リンク先がzipだろうがexeだろうが変わらんよ
683 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 08:54:52: ringサーバは一旦ウイルスチェックされているから安全だよ
684 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 11:09:07: 古いファイルはMD5やSHA1でググると見つかる
685 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 13:22:20: exeでもzipでも素性がわからんと実行する気になれないから
結局リンク元を探すことになって余計な手間がかかる。
686 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 13:23:48: ウィルスチェックって、新しいウィルスは検出できないよね。
687 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 14:34:21: 新しくなくても、中国で流行っているようなタイプは情報が出てこなくて未対応な事がある。
実際、中国出張でウイルス持ち帰ってきて被害が出た事例がある。

過去に流行ったものかどうかのチェックができるだけでも良しとするか、
完璧でないからダメだと思うかはその人次第
688 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 14:38:14: 俺がもしこういうスレでウィルスばらまくとしたら、完全自作で未公開の物をまくだろうな
689 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/26(土) 15:14:57: わざわざそんなことしなくてもエロ画像ってリンクしとけばほいほいふむだろ
690 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 15:41:23: な、なんだってーｗ
691 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 15:58:03: いつまでやってんだ
692 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/26(土) 16:05:25: 次の春が来るまで・・・
693 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/27(日) 06:48:32: ワッフル　ワッフル
694 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/27(日) 21:24:18: 最新版には非商用版はなくなっちゃったの？
695 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/28(月) 04:06:15: もともとオープンソースだよ
696 名前：名無しさん＠お腹いっぱい メール：sage 投稿日：2007/05/28(月) 05:44:23: sshはよくわからんことになってる
opensshは今まで通りです
697 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/29(火) 04:10:45: フォワーディング？でvnc接続したいんですが、繋がりません。
cygwin$ ssh -g -L 5901:localhost:5901 server

クライアントはRealVNC
server:1 ○ localhost:1 ×

接続試行後にプロンプトが出ます：
[ VNC Viewer : Question ]
　The connection closed unexpeectedly
　Do you wish to attempt to reconnect to localhost:1?
　　Y N

同時にcygwinに出力されます
channel 2: open failed: connect failed: Connection refused

原因が分かりません、どなたか教えてください。
698 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/29(火) 05:11:11: cygwin$ ssh -g -L 15900:localhost:5900 server
699 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/29(火) 16:48:21: >>698
？
700 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/29(火) 17:40:39: viewer側のFWで5901番ポートがブロックされてるだけじゃね
sshクライアントが5901番ポート開放できるようにしないと
701 名前：名無しさん＠お腹いっぱい。 投稿日：2007/05/30(水) 05:06:02: >>700
あ、成る程、試してみます。
702 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/05/31(木) 00:17:46: >>700
だめでしたorz
原因が分かりません･･･
703 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/11(水) 20:37:19: あるPCで秘密鍵と公開鍵を作って、
それらをほかのPCにコピーしてSSH認証ってできないんですか？
704 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/11(水) 20:53:55: Yes.
705 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/11(水) 22:25:56: ふつうにできるだろ…常識的に考えて…
706 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/11(水) 22:26:43: だから "Yes." って答えてるじゃん。
707 名前：名無しさん＠お腹いっぱい。 投稿日：2007/07/11(水) 23:20:35: >>705
日本語で言えば「いや、できるよ」って意味が英語で言えばyesな。
708 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/12(木) 02:47:39: >>703
できるけど、鍵の形式には注意な。ssh.comとOpenSSHが混在してると、コンバート必要。
あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。
709 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/12(木) 06:55:27: >>708
> あと秘密鍵を複数ホストで共有するのは考え物、まともな管理者なら原則禁止してるだろう。
なんでだよ。お前わかって無いな。
710 名前：名無しさん＠お腹いっぱい。 投稿日：2007/07/12(木) 10:27:15: >>709
まともに鍵管理できない奴がいると秘密鍵を世界に向けて大公開してしまうしなー
管理者がジャムおじさんクラスだともうgdgdｗ
ttp://pc11.2ch.net/test/read.cgi/unix/1156065192/792
711 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/12(木) 21:58:55: >>710
共有していても、してなくても盗まれるリスクは同一だ。

> まともな管理者なら原則禁止してるだろう。
これは、お前の創作した原則か?
712 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/12(木) 22:27:51: 変なひとが一人でプンプンしてる・・・
713 名前：名無しさん＠お腹いっぱい。 投稿日：2007/07/12(木) 22:46:37: >>711
同一じゃないだろ・・・
714 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/12(木) 23:11:35: パスフレーズ無しにできるのも危険要素のひとつだ罠
715 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/12(木) 23:30:29: 各ホストのセキュリティリスクに違いがあった場合に、
一番弱いところにレベルがあうのが危ないんじゃないかってことかな？？
716 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/12(木) 23:48:15: パスフレーズの有無と秘密鍵の共有は無関係だし、
秘密鍵を盗まれれば、それが共有であろうが無かろうが、
その秘密鍵を受け入れるマシンへは侵入できることになる。

弱いところに置いた鍵では重要なマシンにアクセスさせないという
運用も無理やりこじつければありだが、そんなマシンに秘密鍵おく
必要は無い。
717 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/13(金) 00:11:22: じゃ、パスワード認証禁止してるマシンにはどうやって入るの？
718 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/13(金) 00:21:20: プンプン君はそんなとこから入るな、と言いたいんじゃね。
でも入らなきゃいけない時もある。で、そのマシン用に鍵を新たに作る、と。
719 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/13(金) 02:12:55: お前ら、わかってないだろ。ログイン先に秘密鍵を置く必要は無い。

パスワード認証禁止しているということは、公開鍵を管理者に
渡せば追加してくれるんだろ。
なぜ、新たに鍵を作る必要があるんだ?
720 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/13(金) 02:33:27: > ログイン先に秘密鍵を置く
誰が言ったんだよそんなこと
721 名前：名無しさん@お腹いっぱい。 投稿日：2007/07/13(金) 22:03:12: 盛り上がって参りました。
722 名前：名無しさん＠お腹いっぱい。 投稿日：2007/07/14(土) 22:14:43: 侵入経路を特定する意味でも、鍵は共通化させないほうがいい。

あとで犯人探しするときに
723 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/14(土) 22:42:25: PAMやLDAPであらゆるサービスのパスワードを共通にしているｱﾌｫ管理者もいるｗ
724 名前：名無しさん＠お腹いっぱい。 投稿日：2007/07/15(日) 06:27:12: そんな管理者は私刑でいいよ
725 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/15(日) 09:16:14: ちゃんと暗号化できている通進路で使うパスワードは
共通化しても良さそうに思うけど?
726 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/15(日) 11:15:07: >>725
ヒント: 一度漏れたら全部おじゃん
727 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/15(日) 20:22:20: >>725
つーか暗号化してる通信路でそこまで信頼しちゃうなら
telnetでも使っとけよ
728 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/16(月) 14:57:57: うちの会社、管理者が唐突にパスワード認証禁止されたあと、
みんな不便ー、とぶーたれてた。
いつにころからか、だれが広めはじめたのか知らないが
パスフレーズ無し秘密鍵が流行りだして
みんな便利ー、といってる。
どっちのほうがよかったんだか。。。
729 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/16(月) 20:56:38: >>728
流行りのパスワード攻撃を考えれば、公開鍵認証のほうがいいだろうな
730 名前：名無しさん＠お腹いっぱい。 投稿日：2007/07/20(金) 01:02:45: >>728
昔は .rhosts 書いて rsh なんか動かしてたわけで、それがセキュアになったと思えばいいんじゃね?
731 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/20(金) 01:04:04: rshよりもマシ、と3回唱えるわけか
732 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/20(金) 20:50:01: 秘密鍵の取り扱いにさえ気を付ければ大丈夫なんじゃない？
もれはputty-agentにパスフレーズ記憶させてる。パスなしよりはまし？
733 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/21(土) 02:51:31: パス無しもパスありも大差無いので
趣味だと思う。
734 名前：名無しさん＠お腹いっぱい。 投稿日：2007/07/21(土) 02:52:51: パスアリパスナシパスパス
735 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/07/21(土) 09:46:05: >>732
エージェントフォワードに気をつければ全然OK

>>733
鍵を置く場所で全然違う。
736 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/08/10(金) 11:39:29: # SSHプロトコルの指定
Protocol 2

# rootでのアクセス
PermitRootLogin no

# 鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# パスワード認証
RhostsAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no

# ユーザアクセス権
AllowUsers test

# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO

# 最大起動数（SSHピンポンダッシュ）
MaxStartups 3:75:7

# パーミッションチェック
StrictModes yes

# ~/.rhosts or ~/.shosts ファイルの無効化
IgnoreRhosts yes
737 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/08/10(金) 11:40:17: # チャレンジ・レスポンス認証
ChallengeResponseAuthentication no

#その他
X11Forwarding no

以下はProtocol 2なので設定不要？？
RhostsRSAAuthentication no
RSAAuthentication yes

sshっていうものをしって設定してるのだがプリコトル2で鍵アクセスするならこんな感じの設定でいいのかな？
738 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/08/10(金) 17:28:00: SSHアクセスしてviやemacs使うとき、日本語が入ったファイルだと文字エンコードが合わなくて文字化けしちゃうんですが、
これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
/etc/man.configをPAGER /usr/bin/less -isr、PAGER /usr/bin/lvなどと編集する以外に方法はないのでしょうか？
複数のファイルが、異なったエンコード方式で保存されている場合、それらを毎回eucJPだったりsjisだったりutf-8だったりに書き換えなきゃいけませんか？
739 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/08/10(金) 17:28:46: 書きそびれました。
サーバ側はUbuntuで、SSHクライアント側はMacのコンソールです。WindowsのPuTTYでも構いませんが。
740 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/08/10(金) 17:30:58: >>738
SSH の話ってより Ubuntu の話だから
こっちで聞いた方がいいよ。
【deb系】Ubuntu Linux 15【ディストリ】
http://pc11.2ch.net/test/read.cgi/linux/1183177389/
741 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/08/10(金) 18:03:35: >>738
> これの解決法って/etc/sysconfig/i18nをLANG="ja_JP.eucJP"、SUPPORTED="ja_JP.eucJP:ja_JP:ja"
↑Ubuntu やなくて、RedHatちゃう？
742 名前：名無しさん＠お腹いっぱい 投稿日：2007/08/19(日) 12:55:14: OpenSSH 4.7/4.7p1
もうすぐみたいね。
早い人たちはtesting参加してるのかな?
743 名前：名無しさん＠お腹いっぱい。 投稿日：2007/08/24(金) 08:29:02: ttp://ex23.2ch.net/test/read.cgi/ghard/1187884772/433

> 433 名前：名無しさん必死だな [sage] 投稿日： 2007/08/24(金) 08:10:22 ID:OpeNssh/0
> GC版は人数集めてやる場合でも
> ミクロでないGBAを用意しないといけないのが厳しいからなぁ。
> ポケモンマニアでもないのにGBA何台も買ってられないしｗ

ID:OpeNssh/0
ID:OpeNssh/0
ID:OpeNssh/0

( ﾟдﾟ )
744 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/08/24(金) 16:09:31: すごいな
745 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/05(水) 18:58:58: OpenSSH 4.7/4.7p1が出てた
746 名前：名無しさん＠お腹いっぱい。 投稿日：2007/09/05(水) 19:41:03: AからBに鍵認証でSSH接続したい。
Aで秘密鍵・公開鍵を生成してBのauthorized_hostsに公開鍵を書き加えてやったらログインできたんだが、
Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。
ログインしようとしたらPassword:となるから鍵認証はスルーされているような。
747 名前：名無しさん＠お腹いっぱい。 投稿日：2007/09/05(水) 19:42:29: ×authorized_hosts
○authorized_keys
748 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/05(水) 20:19:06: >Bで秘密鍵・公開鍵を生成してAに公開鍵を渡して、AからBにsshで鍵認証ログインすることは出来ないものか。

Bの sshd の設定なりを確認

あと sshd の出所が違って authorized_keys の書式とかが違う可能性もあるね
749 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/05(水) 22:32:48: ＞Aに公開鍵を渡して、AからBにsshで鍵認証ログイン
Bはログインされまくりですか？
750 名前：名無しさん＠お腹いっぱい。 投稿日：2007/09/07(金) 09:44:15: OpenSSH 4.7 has just been released. It will be available from the
mirrors listed at http://www.openssh.com/ shortly.
751 名前：名無しさん＠お腹いっぱい。 投稿日：2007/09/07(金) 12:42:59: http://hobby9.2ch.net/test/read.cgi/chakumelo/1119447963/
752 名前：名無しさん＠お腹いっぱい。 投稿日：2007/09/21(金) 17:41:29: リモートログインして作業をしていたら突然
Disconnecting: Corrupted MAC on input.
と言われて切られてしまいました

この解決方法を教えていただきたいのですが
753 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/21(金) 17:44:43: ssh の問題じゃなさそうだなーとは思わなかったのか?
754 名前：名無しさん＠お腹いっぱい。 投稿日：2007/09/21(金) 17:50:24: >>753
全く

今日突然出てきたもんで
755 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/21(金) 17:52:54: 突然出たなら何でsshが原因なんだと思うんだろ
756 名前：名無しさん＠お腹いっぱい。 投稿日：2007/09/21(金) 18:03:36: >>755
リモートログインしていた状態で
Disconnecting: Corrupted MAC on input.
とでてきたわけですから
まずここに聞きにくるのは自然の流れかと

違うんであれば他の場所で聞きますので
適当なスレがあれば教えてください
757 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/21(金) 18:20:23: >>752 は MACって何か知らない、に1票。
758 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/21(金) 18:34:08: ttp://www.unixuser.org/~haruyama/security/openssh/dat/pc5.2ch.net_80__unix_dat_1058202104.html

ここの255あたりは参考になるかな?
759 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/21(金) 18:38:18: MAC はイーサアドレスの事で、sshは無関係

そんな風に考えていた時期が僕にもありました
760 名前： ◆TWARamEjuA メール：sage 投稿日：2007/09/21(金) 20:59:48 BE:6861479-2BP(6825): (´-`).｡ｏＯ(まずぐぐるのが自然の摂理だと思うけれども。。。)
761 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/21(金) 21:04:00: ttp://www.google.com/search?q=Disconnecting+Corrupted+MAC+input

それっぽいのがたくさんあるね
762 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/21(金) 21:54:16: etherのMACだったら
> Disconnecting: Corrupted MAC on input.
こんなメッセージは不自然だとは考えないのかな。 >>753は。
763 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 08:55:10: 設定変更してないのに出たら別の所疑えよ
764 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 10:14:54: >>752の情報から「設定変更してない」と断定できてしまうキミはエスパー。
でも、ソフトウェアエンジニアとしての資質が欠如している。
765 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 10:24:29: >>764
「設定変更してないのに出『たら』」
『たら』は仮定を表すのでこの文は仮定文だが、
それを断定文と誤読してしまうキミは
日本人としての国語能力が欠如している。
766 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 10:45:41: >>765
「設定変更してない」のに出たら

俺は 764 じゃないけど断定してる（と思われている）のはここジャマイカ
767 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 10:51:49: if (設定変更してない && 出た) { ; }
だろ。

if節の中に何を言っていても断定ではない。すべて仮定。
768 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 11:07:12: 「出た」は既に発生した事象なので
設定変更してない && 出た == 設定変更してない && true == 設定変更してない

詭弁を弄し黒を白と言いくるめようとする情熱を持つキミはSEの資質を120%持っている。
769 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 11:21:58: >>767
そういう言い方ってのは
それまでの文脈で事象 ( 設定変更してない && 出た ) が既出でないと不自然だから
“結果として”断定しているわけだ

>>768
よくわからん
770 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 12:35:59: >>768
お前ファビョりすぎだろｗ
771 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 12:47:29: おまいら落ち着けよｗ
要は最初の質問者が問題なだけの話しだろ
最初の質問者で無い限り、そんな論点で熱くなるのはどうかしてる
772 名前： ◆TWARamEjuA メール：sage 投稿日：2007/09/22(土) 14:42:09: もうお彼岸なのに暑い日が続きますよね。
773 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/22(土) 19:06:39: 設定変更したんなら戻せよ、でしかないな
774 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/23(日) 14:55:37: >>752
訂正不可能な媒体上の化けが原因ではないかと。

物理的にNICがおかしいという問題から始まって、
最後にはOSのメモリ管理あたりにまで遡及して、
トラブルシューティングする必要あり。
　
775 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/23(日) 20:06:11: MACのアルゴリズムが変わったってことはないのかな
デフォルトがHMAC-MD5からHMAC-SHA1とか
776 名前：774 メール：sage 投稿日：2007/09/23(日) 23:16:38: 俺が見た例は、

・FreeBSDでGbEを挿したら調子悪かったとき。
・NICが壊れかけた時
・安物スイッチから煙が出たとき。

MACって略語やめればいいのに。

Message Authentication Code　= MAC
Media Access Control address = MAC
Mandatory Access Controll = MAC

これらの概念は全部　UNIX-OSを管理すると
出くわす可能性が在る。
777 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/24(月) 12:29:20: 2つめはMACじゃなくてMACアドレスと言わんか?
778 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/24(月) 13:01:55: IPアドレスのことをIPって言ういるよ
779 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/24(月) 13:02:46: ちょっと詳しくなって専門用語を覚えたてのやつは往々にして変な略しかたをする
780 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/24(月) 13:02:56: ×言ういるよ
○言う人いるよ
781 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/24(月) 22:09:16: ×言ういるよ
○言うアルよ
782 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/25(火) 21:38:24: 一番有名なの忘れてるよ。

Machintosh = MAC
783 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/26(水) 01:53:42: それはMac
784 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/26(水) 09:44:16: 俺の中でMACと言えば工具メーカー
785 名前：名無しさん＠お腹いっぱい メール：sage 投稿日：2007/09/26(水) 10:16:13: UTF-8 tera term proでログインしようとすると接続が切られ強制終了してしまいます。指定されたポートも開けてあるのですが、他に何が原因でしょうか？
786 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/26(水) 11:42:40: # てるねっとさーば 22
してみろ

接続できるならてらたーむ
そうでないなら相手(or経路)の問題
787 名前：785 メール：sage 投稿日：2007/09/26(水) 15:48:56: SSH-1.**-openSSH_3.*.***と出てきました。相手・経路の問題ではなさそうなのですが、テラタームの端末の設定でしょうか？過去ログを読んでみたのですがよくわかりませんでした。。初心者ですいません！対処法を教えて欲しいです(T_T)
788 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/26(水) 15:57:29: UTF-8対応版ってことはSSH2にも対応しているので、それが原因じゃないよね。
ログインしようとしてるのは、自分の管理してるサーバ？
ログを見れば大抵の原因はすぐにわかると思うけど。

今の状態だけでエスパー的に判断するなら、鍵認証しか許可していないのに
パスワード認証でログインしようとしてるとか、rootでログインしようとし
てるとか、一番ありそうなのはそんなところか？
789 名前：785 メール：sage 投稿日：2007/09/26(水) 16:26:25: SSH1もSSH2でもログイン出来ませんでした。ログイン使用としているのはリモートサーバー（他大学への）です。
rootでは利用していないです。鍵認証なしでログインしようとしてますが、サーバー関連HPには鍵認証のみとは書いて無かったんですが。。。
790 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/26(水) 20:31:32: cygwinでsshもってきて、ssh -v してみろ
791 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/26(水) 20:52:28: >>789
上でも書かれているように、とりあえずCygwinのsshやPuttyなど
別のクライアントで試してみて、サーバとクライアントのどちら側の
問題なのかを切り分けてみた方が良いかも。

あと、「切断される」だけじゃわからないので、どういう風に切断
されるかとか、何かエラーメッセージが出てないかとか、初めて接
続しようとしているのかとか、書けるだけの情報は書いた方が他の
人からも返事をもらいやすいと思うけどね。
792 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/27(木) 02:07:01: root@APサーバでJavaからsshを実行し、BDサーバにrootで入ってshellを呼び、Javaを実行しているのですが、

DBサーバ側の処理は正常終了しているのに
なぜかプロセスが残ってしまいwaitFor()で戻ってきません…

~/.bashrc に shopt -s huponexit を入れてみたのですが効果がありませんでした。

APサーバのJavaでは「ssh *.*.*.* sh foo.sh」な感じで呼んでます。
Telnetなどで上を直接たたくとプロセスはきちんと消えるのです。
どなたか原因が分かる方いらっしゃいますか？
793 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/27(木) 02:22:30: エスパー回答。

stdoutが詰まってる。
794 名前：792 メール：sage 投稿日：2007/09/28(金) 01:09:15: >>793

遅れてすいません。
会社からでは２ｃｈに書き込めませんでした。

結果は回答していただいた通りでした！！！
APサーバ側で標準出力を取っていたのですが、
エラー出力も吐き出させないと駄目なんですね。
そもそも「吐き出させる」というイメージが全然ありませんでした。

首の皮一枚でなんとかクビにならずに済みました。
本当にありがとうございました。
795 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/30(日) 11:17:17: openssh なんだが、utmp/wtmp 書き出しを enable してるとき、
ssh 経由のターミナル接続は utmp/wtmp に確かにログするけど、
sftp はログしないよね。これって、確信的な仕様？syslog とか
secure を使え、という指導がされてるってことかな？
796 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/30(日) 11:25:08: struct utmpはメンバーとして端末名をもっている。
端末(pty)アロケートしない場合はログインと見なしていないのは当たり前。
797 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/30(日) 11:40:03: >>796 ut_line 空にしといても良いじゃん。
そしたら、どっかに不都合でるの？
798 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/09/30(日) 16:43:44: >>795
パッチ作って送ったら? デフォルトにはしないで
sshd_configのオプションでOn/Offするように
してたら採用してくれるんじゃない?
799 名前：795=797 メール：sage 投稿日：2007/09/30(日) 17:33:50: openssh の ML アーカイブ調べたら、んじゃ俺がパッチ
作ったル、と息まいてた人が何年か前に居たけど、
逃げたか、スルーされたか、それっきりになっているみたいです。
大人しく /var/secure から拾うことにしまつ。
800 名前：Eカップ女子大生 投稿日：2007/10/03(水) 22:40:55: サーバー間でコピーってどうやんの！
明日までにやんないといけないの！
助けてお願い！
801 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/04(木) 00:09:27: とりあえず、XMODEMかな
802 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/04(木) 00:23:24: kermit
803 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/04(木) 01:57:30: ZMODEMがいいよ
804 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/04(木) 06:57:36: zmodemでできました!!!どうもありがと
805 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/04(木) 10:58:15: なんだよ、uuencode/uudecodeを教えてやろうと思ったのにｸﾔｼｰﾅｰ
806 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/04(木) 11:36:58: ハッカーならftp bounceだな。
807 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/07(日) 21:33:07: ish で固めようよ
808 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/08(月) 00:20:11: 昔UNIX用のアーカイバで、特殊なツールを一切使わず
shellだけで書かれたアーカイバがあったと思うのだが、
名前覚えている人いない?

解凍するときは、

sh hoge.sh

ってしたらファイルが解凍される。

確か sh archiveの略でsharc だったと思うのだが、ググっても
出てこない。
809 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/08(月) 00:39:54: shar？
810 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/08(月) 00:51:29: 展開しなくてもざっと中身が確認できるので重宝は重宝だったね。
811 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/08(月) 00:52:09: >>809
ありがとん！

NetNewsの頃はよく使われてたよね。
812 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/08(月) 00:56:59: 物騒な世の中だからshar(1)で展開しろ。
sh archive
で展開する奴はクズ。
813 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/09(火) 11:05:58: はて。展開までサポートする shar というのは見たことがない。
GNU には unshar(1) が存在するようだが、GNU 以外で見たことがない。

っていうか、なんでこのスレ？
814 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/09(火) 11:08:15: SHスレだからだろう
815 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/09(火) 11:20:49: で、GNU の unshar のソースを斜め読みしてみたが、
テキストファイルから shar アーカイブを見つけて sh に渡してるだけで、
unshar を使っても shar アーカイブの中の物騒なスクリプトは
回避できないことがわかった。
816 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/09(火) 21:27:36: make もパッケージ物のインストールも
結局信用しないと実行できないね。
817 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/10(水) 09:26:06: >>814
Secure Shell Archiver を目指すということなのかｗ
818 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/10(水) 11:44:31: >>817
sshar…　どう発音すればいいんだ（ｗ
819 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/10(水) 11:49:14: IMのローマ字入力に従って「っしゃー」はどうか?
820 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/10(水) 12:37:08: 「すしゃーる」がいいよ。
フランス語っぽくてちょっとかっこいいだろ。
821 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/10(水) 13:40:52: スレ違いネタはいいかげんやめれ。
822 名前：名無しさん＠お腹いっぱい。 投稿日：2007/10/11(木) 00:24:55: puttyスレより適切かと思いこちらに来ました。ご教示ください。

local→GW1→GW2
みたいな時、→のところをそれぞれ異なるパスフレーズをputtyjpで
トンネルしているのですが、例えば最初にあげるputtyではL9974 10.128.128.10:22
みたいになっていて、二回目にあげるputtyでは、127.0.0.1の9974を
接続先のポートに指定することでログインは出来るようになりました。

このとき、GW2であげているVNCサーバー（例えば、ディスプレイは1）の時に
二つのputtyjpでトンネルはどのように記述すればよいでしょうか？

VNCだと5901をトンネルするんだよなぁ、、、と迷っています。

よろしくお願いします。
823 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 02:35:21: モット単純に出来る。
824 名前：名無しさん＠お腹いっぱい。 投稿日：2007/10/11(木) 14:58:24: 自社で sshd を外部からのアクセスのために運用していますが、ログインしっぱなしの人が多いため、
(ssh でログインしてきたけど、一切パケットが流れていないが接続は確立している状態)
これを制御したいです。どうしたらいいでしょうか？

sshd_config で KeepAlive という項目がありましたが、これを
Yesにしても、クライアント側がクラッシュしたとか強制的に電源を切ったときに、
サーバ側でのプロセスをゾンビにせずにkillするのであって、
今回の目的には使えない、という理解であってますよね？

ブロードバンドルータや NAT などで、LAN 内からインターネット上の
ホストに ssh で接続し、何も操作していなかったらタイムアウトして
コネクションが死ぬ場合がありますが、これは sshd の設定ではなく、
ブロードバンドルータの設定ですよね。
場合によっては、パケットリピータを sshd の前にかまして似たようなことをするしかないかな。
(delegate、stone みたいなのでできるのだろうか)

なお、ログインしてシェルを開いて while 文で date; sleep 300 みたいなことを
したり、putty とかでダミーパケットを定期的に送ってくる人がいますが、
これは防ぎようがないのであきらめますが、冒頭の私の目的を達成するために
何かいいアイデアがあれば、よろしくお願いします。
825 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 16:15:07: 私は毎朝rebootかけてるYo!
826 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 17:11:31: >>824
ログインしっぱなしでいいじゃん
827 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 19:24:56: >>824
通貨、OSぐらい書いたら？
828 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 20:13:47: つうか、まずはmanぐらい読んでみたらと。
829 名前：824 メール：sage 投稿日：2007/10/11(木) 20:23:07: >>827
すみません、サーバ側のOSは FreeBSD で、OpenSSHを使っています。

クライアント側は特に絞っていません。(Windows ユーザ、Linux ユーザ、Macユーザあり)

とりあえずクライアント側はおいといて、サーバ側で何かできるかがあればうれしいです。
830 名前：824 メール：sage 投稿日：2007/10/11(木) 20:35:45: man sshd と man sshd_config は読みました。
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
しかし私の目的が達せられそうなものは見つけられませんでした。
もしあるのだったら、キーワードだけでもいいので教えてください。

※
824 では書きませんでしたが、 ClientAliveCountMax、ClientAliveInterval も、
ssh 上で何も操作していなくても ssh 接続が正しく確立していれば、サーバ側から
生存確認を送ってもクライアントが返してしまうので、サーバ側で接続を切ることはできないと
理解しています。
831 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 20:44:30: ttyのidle時間が一定以上ならsshdにHUP送れば?
832 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 20:53:14: >>830
シェルの autologout でも設定しておけば?
833 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 21:30:57: >>832
ワシもそう思ったから念のためにOSを聞いたのだ。
834 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 22:25:45: 別に深く考えずにこれをcronabに書いとけYo!

30 3 * * * /sbin/shutdown -r +3
835 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/11(木) 23:08:23: >>830
idled使え。FreeBSDならportsに入ってる。
836 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/12(金) 07:58:11: Mac OS Xの10.4なんですが、ローカルのターミナルで
DISPLAY変数がセットされていてxeyesなども実行できる状態から
別のマシン(同じくMac OS X 10.4)にssh -Xしても
向こう側でDISPLAY変数がセットされない。-Yオプションでもだめでした。
~/.ssh/configでもForwardX11 yesにしてます。

以前にLinuxで同じようにするとDISPLAY変数が:10.0みたいな感じに
自動設定されたと思うんだけど、他にどのへん確認したらいいでしょうか?
837 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/12(金) 08:02:30: ターミナル：Terminal.app？
838 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/12(金) 10:39:05: >>836
ssh -vvで確認。
たぶんxauthあたりの問題。
839 名前：836 メール：sage 投稿日：2007/10/12(金) 12:09:06: 相手側のsshd_configでX11Forwarding yesを設定したらいけました。
デフォがnoでした。ごめんなさい。ごめんなさい。
840 名前：824 メール：sage 投稿日：2007/10/12(金) 15:04:36: レスを下さった方、どうもありがとうございます。

やはり sshd 側で切ってしまうことはできなさそうなので、教えていただいたように
ssh の外の世界でできないか考えて見ます。

shell の autologout が一番簡単そうですが、ユーザ側で設定を変えることもできてしまいます。
ダイヤルアップルータがやっているように、ipfw や外のファイアウォールで、そのセッションが無通信だったら
切るということもできそうですが、複雑になりそうなので、>>831 をやるシェルを書いて cron で回すか、idled を
使ってみる方向でやってみます。
841 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/12(金) 16:36:24: >>840
シェルを書く? シェルを改造してautologout強制させるるのか?
842 名前：824 メール：sage 投稿日：2007/10/12(金) 18:00:47: あ、 bash 等を改造するのではなく、
ps して idel 時間を調べて、長かったら kill　するようなシェルスクリプトという意味です
(スクリプトという言葉が抜けていた)

でも担当者と話していて、ipfw で無通信が長かったら切るという方向で進めようかな、と思ってきた。
(できるかどうか調べ中ですが)
843 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/12(金) 18:30:19: screenで作業してる奴がぶーたれそうだな>824
844 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 00:35:05: シェルってゆうな。クズ。
845 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 02:13:31: >>840
autologout の設定を変えるくらいのやつは、
while date; do sleep 300; done
くらいのこともするのではないだろうか。
846 名前：824 メール：sage 投稿日：2007/10/13(土) 03:31:26: >>843
うちの環境は、直接外からsshで入れるサーバは単なるゲートウェイなので、
そこからさらに社内サーバにsshでログインしてそこで作業しています。
screenする人は社内サーバ側でしてもらえば、と。

>>844
すみません

>>845
おっしゃるとおりですね。あるいは putty 等でダミーパケット飛ばしている人もいます。
そういうケースは仕方がないとあきらめることにしています。

話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
みなさんのところではそういう話はないですか？
847 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 11:45:44: suse10.3でsftpをマウントしたいのですが、どのパッケージをインストールしたらよいのでしょうか？
848 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 11:49:51: >>846
> 話は変わりますが、最近個人情報とか内部統制とかで会社の上のほうがうるさくなって、
> 「ssh受付サーバ」でもこのような制限をできないかという話が来たのですが、
sshは全面(入るほうも、出るほうも)禁止にするしかないという結論が必至なので
黙っている。
849 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 12:02:57: >>847
くだらねえ質問はここに書き込め！ Part 154
http://pc11.2ch.net/test/read.cgi/linux/1191596561/
850 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 16:20:58: >>840
idledのCOPYRIGHTを見ると、非営利的な利用しか認めてないようだ。
会社で利用するのは問題あるような気が…。
851 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 19:30:09: >>850
ちょっと調べたらdebianでも大昔non-free扱いで入ってたがもう削除されてるぽい。
FreeBSDってのはそういうライセンス的に微妙なのをしれっと入れるのですか…
おっと、スレ違いでごめん。
852 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 20:09:54: スレ違いっていうより気違い。
853 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/13(土) 22:13:50: >>851
当たり前。ports には ssh.com の ssh も入ってるよ。
854 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/14(日) 10:37:02: >846
[おうち鯖GW(screen)]-[824社GW]-[内部鯖1]
という人のこと

>850
社内のサービスとして使用するのは、営利とは言わないはずなんだが
855 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/14(日) 11:41:36: >>854
> 社内のサービスとして使用するのは、営利とは言わないはずなんだが
それはお前の願望。「営利」の定義は著作権者によってまちまち。
856 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/14(日) 11:49:46: 大学等でも、学生が講義やレポートを作るために使う端末は非営利とされるが、
事務部で事務員が使っている端末は営利利用と判断される場合があるな。
857 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/14(日) 14:05:35: 結果的に会社の利益に結びついてんだから営利じゃね？
社内のサークル（趣味）内での利用とかなら別だが、見た感じ業務として使ってるだろ
Ex)「社内のサークル紹介Webサーバを自宅からメンテします」ってのと「社内業務用サーバのメンテします」ってのの違い
858 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/14(日) 14:52:58: その会社が営利企業の場合、
顧客に対する活動ではなく、自社の(内部向け)業務であっても、営利目的となるのでは。
非営利団体が、内部の経理作業とかの場合、非営利となるんだろうか？
859 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/14(日) 16:10:21: >>855ですでに正解が書かれてるのに何を議論しているんだ?
著作権者の定義が全て。お前ら権利を持ってないクズが定義する権利は無い。
曖昧な場合は権利者に確認すればよい。
860 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/16(火) 01:13:41: 「OpenSSH 4.7p1」 + 「OpenSSL 0.9.8e」な環境のOpenSSLを0.9.8fにアップデートしたら、
sshdを起動させようとすると「OpenSSLのバージョンが違う」的なメッセージが出て、sshdが起
動しなくなりました。
OpenSSHを再ビルド&インストールして事なきを得ましたが、OpenSSHって、以前からOpenSSL
のバージョンに依存していましたでしょうか？
861 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/16(火) 01:20:00: $ ldd /usr/sbin/sshd
/usr/sbin/sshd:
libssh.so.3 => /usr/lib/libssh.so.3 (0x280a4000)
libutil.so.6 => /lib/libutil.so.6 (0x280d9000)
libz.so.3 => /lib/libz.so.3 (0x280e5000)
libwrap.so.4 => /usr/lib/libwrap.so.4 (0x280f6000)
libpam.so.3 => /usr/lib/libpam.so.3 (0x280fd000)
libgssapi.so.8 => /usr/lib/libgssapi.so.8 (0x28104000)
libkrb5.so.8 => /usr/lib/libkrb5.so.8 (0x2810b000)
libasn1.so.8 => /usr/lib/libasn1.so.8 (0x2813f000)
libcom_err.so.3 => /usr/lib/libcom_err.so.3 (0x28160000)
libroken.so.9 => /usr/lib/libroken.so.9 (0x28162000)
libcrypto.so.5 => /lib/libcrypto.so.5 (0x2816e000)
libcrypt.so.3 => /lib/libcrypt.so.3 (0x28290000)
libc.so.7 => /lib/libc.so.7 (0x282a8000)
libmd.so.3 => /lib/libmd.so.3 (0x28395000)
862 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/16(火) 02:40:06: Linux初心者にオススメの無料OS、Ubuntu(ｳﾌﾞﾝﾄｩ)。
ISOイメージをCDに焼くだけで起動ディスクの完成。
ディスクを入れたまま再起動すれば即(･∀･)ｳﾌﾞﾝﾄｩ!!
既存の環境を汚さないLiveCDタイプで、安心して試せます。
気に入ったらHDDにインストールして常用も可能。

ダウンロード
http://www.ubuntulinux.jp/products/GetUbuntu

世界で圧倒的人気のLinux、それがUbuntu。
http://google.com/trends?q=Ubuntu%2CMandriva%2CSUSE%2CFedora%2CKnoppix

初心者超歓迎BBS
http://pc11.2ch.net/test/read.cgi/linux/1177677371/

★Ubuntu日本語サイト
http://www.ubuntulinux.jp/
★Ubuntu 7.04紹介記事
http://itpro.nikkeibp.co.jp/article/NEWS/20070420/269132/
http://itpro.nikkeibp.co.jp/article/NEWS/20070608/274191/
★Ubuntu 7.04インストールガイド
http://itpro.nikkeibp.co.jp/article/COLUMN/20070507/270108/

3Dデスクトップ環境「Beryl」
Minimizing Effects　http://www.youtube.com/watch?v=fgV3KTKsRRk
Desktop Cube　http://www.youtube.com/watch?v=xCO14ISplEg
Rain Effects　http://www.youtube.com/watch?v=bLQgnXDgXyE
Window Switching　http://www.youtube.com/watch?v=7JNEwa4-Q9s
Beryl + Wiiリモコン　http://www.youtube.com/watch?v=xzlAR1rPKPg
863 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/16(火) 06:02:58: >>862
> 世界で圧倒的人気のLinux、それがUbuntu。

「世界で*初心者だけに*圧倒的人気のLinux」の間違いじゃねぇの。
こんなことするから、嫌われる。
864 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/16(火) 06:04:18: >>860

--without-openssl-header-check

つけて、コンパイル。
865 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/16(火) 08:28:50: >>863
荒らしに反応すんな。
866 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/16(火) 10:19:06: >>862-863
ID非表示をいいことに自作自演までやってのけますかｗｗ
867 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/21(日) 21:55:16: >>864
>>860じゃないけど、ありがとう！
そのオプションは、4.5p1→4.6p1で追加されたようですね。

ちなみに、>>860の
　「OpenSSLのバージョンが違う」的なメッセージ
は
　OpenSSL version mismatch. Built against 90805f, you have 908070
といったものですね（数値はOpenSSLのバージョンによって変わる）

ちなみに、私の方では、sshdが動いている状態で（停止させること
なく）OpenSSLのバージョンアップが行われたため、sshdがポートを
listenしているのに、以下のようになって接続できなくなるという
、奇妙な状態になってしまいました。
　　　% telnet XXXXXX.net 22
　　　Trying ***.***.***.***...
　　　Connected to XXXXXX.net.
　　　Escape character is '^]'.
　　　Connection closed by foreign host.
　　　%

% /usr/local/sbin/sshd -V
して上記のエラーメッセージ見てやっと気が付いた…。むぅ
syslogが出すログには何も出てこないし
クライアントからの接続要求が来たときにfork()し、生成された子プ
ロセスが（上記のエラーを理由に）即座に終了したんだと予想。
868 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/21(日) 23:53:50: >>867
"--without-openssl-header-check"はconfigure実行時にチェックするだけ。
だまされちゃダメょ。
869 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/10/22(月) 06:14:40: 要するに OpenSSL をバージョンアップしたときは、
忘れずに OpenSSH もビルドしなおせ！ってことね。
870 名前：名無しさん＠お腹いっぱい。 投稿日：2007/11/07(水) 20:29:33: ssh を使ってサーバのポートを監視したいと思っているのですが
"ConnectTimeout=5"を指定しているのですがうまく動きません。

ssh -v -o "ConnectTimeout=5" hoge.local -p 80
-----------------------------------------------
OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to hoge.local [hoge.local] port 548.
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.
debug1: identity file /home/page/.ssh/identity type -1
debug1: identity file /home/page.ssh/id_rsa type 1
debug1: identity file /home/page.ssh/id_dsa type -1　←ここで止まってしまいます。

何か設定が間違っているのでしょうか？よろしくお願い致します。
871 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 12:41:49: ちっぷｓ：　sshdを野良ビルドしてる時は、static にしたほうが良い。
OSをうｐぐれした時に忘れて、離元ログインできなくなるので。
872 名前：名無しさん＠お腹いっぱい。 投稿日：2007/11/08(木) 13:13:27: Linux (Debian と Ubuntu) で OpenSSH つかってるんですが、
この間うっかりしててサーバのディスクがフルになってしまい、
そのサーバへは ssh でのログインができなくなってしまいました。
結局現地に行って問題は解決したのですが、ディスクフルになると
sshd ってログインを受け付けなくなってしまうのでしょうか？

そもそもパーティションを切らずに /var も含めて一緒の
一つのファイルシステムで運用していた自分が悪いのですが、
もし /var や /tmp を別のパーティションにして運用していれば
たとえ /home を含む / がディスクフルになっても sshd は
ログインを受け付けてくれていたのでしょうか？
873 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 13:26:31: もう手動でフィルタ書くの疲れた。
日本以外からのアクセスは全てルータ単位でパケットごと捨てたいんだけど、どうすればいいんだろう？
簡単そうなのに見当が付かん。
874 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 13:51:52: >>873
事実上無理。
IPアドレスやドメイン名から「日本」を区別することは出来ないので。
875 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 13:53:37: IP アドレスはがんばればできんじゃね
876 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 13:55:58: 完全ではなくても実用的には可能。
apnicが国別IP割り当てリストを公開しているので
月1くらいの頻度でそれをとってきてフィルタのテーブルを更新してる。
結構それなりに落としてくれる。
一応困ったときのためにフィルタしないアドレスブロックを入れる仕組みも
作ったが今のところ使ってない。
877 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 13:59:01: >>875,876
歴史的PIアドレスや、JPNICではなくAPNICメンバになってるようなISPから
割り振りを受けたIPアドレスは無視するというのなら出来なくはないが、
かなり漏れが出るよ。

「その辺のユーザは軒並み無視してOK」的な運用であれば可能だけど。
878 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 14:02:15: >>873
日本全部から許可する必要あんの？
自分が使う ISP だけ許可しとく、とかでいいんじゃね？
879 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 14:09:45: >>877
別に構わないのでは?
なんなら手で書いたテーブルから追加するようにすればいいし。
話題の目的を理解してない希ガス。
880 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 14:50:00: 逆引きして .jp　じゃなければ弾く。
逆引き出来ねえなんてのは、野良IPだから弾けばよい。
.net やら、 .com で国内に逆引きを付けてる変態（ウチもそうだがｗ）
は、つど登録して置きゃおｋ。
881 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 15:10:05: そういえば、日本では逆引きできないISPって最近減ってきたかな。
しっかし、v6での逆引きってどうなるんだろう? 逆引きなんて無意味だから
やめちまえっていう話もv6どころかv4でもあるわけだし。

聞いたところによると韓国・中国では逆引きできないのが普通らしいね。
882 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 16:22:43: >>879
一応書いておかないと、WHOISやCIDRブロックリストから接続元が日本か
どうか正確に判断できると思っちゃってる人がたまにいるし、実際企業系の
サービスで使ってるサーバで、それをやろうとした痛い知り合いがいたので…。

で、sshdが動いているサーバへの接続とかだったら、個人的には許可する
ブロックごとに手動で登録でいいんじゃないかと思ったりもする。
そういうのがダメなぐらいシビアな運用なんだったら、「アクセス出来ない
ところだけ後から手動で追加」ってのもやっぱり駄目なんじゃないかなーと
か思ったり…。
883 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 16:25:00: >>878
動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
トチ狂ったバカの無差別攻撃がたまらん。georgeやらandyやらユーザ名を変えるだけならまだしも
それを片っ端からポート変えて試すとは…。なんたるトラフィックの無駄遣い。
せめて最初にポートスキャンしてくれればいいものを。

>>876 >>880の2方法が正解なのかな。どちらにしろPCルータじゃないとダメそうだ。
でも肝心の接続部分はハードウェアルータに任せたい。
そうなると間に挟むしか無いのか。昔ながらのファイアウォールだ。
なんかエレガントさに欠ける気がする。うーむ…。
884 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 16:25:49: >>883
> 動いてるのがsshdだけならそれでいいんだけど、性質上そんなわけは無いので。
ならスレ違い。
885 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 16:37:18: >>884
？？？
sshd動かしたサーバでssh以外に何も使ってないの？
886 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 16:40:21: ssh 以外へのアクセス制限の話は
ssh スレでやる必要ないっしょ。
887 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 17:02:40: >>886
いやいや、sshへのアクセス制限の話だよ。
sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
そこに向けてまでsshログインしてこようとする輩がいるのよ。
だからサーバ群に到達する以前にルータの時点で国単位でパケットごと捨てたいという話。
888 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 17:04:07: 22/tcp 宛だけ >>878 にすればいいじゃん。
889 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 17:11:40: >>888
もう釣られないぞ。
890 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 18:38:12: >>873
「東アジアフィルター」でぐぐれ

接続ルータは業務用ローエンド(RTX1100とかIX2015とかCisco1812Jなど)の
フィルタをたくさん書ける奴に交換すれば良かろう
891 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 18:58:32: >>890
おお！これは凄い！素晴らしい！ありがとう！

ルータは残念ながら元からRTX1100なのでした。
でも、これ見る限りある程度ざっくり切れそう。
892 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 19:14:29: 無駄な努力せずに、ポート番号変えろよ。
893 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 21:41:36: ある意味正解かもな > ポート番号変更
894 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/08(木) 22:09:27: 887で、

|sshの他にもデーモンが動いてるから、22番以外のポートがちらほら開いてるんだけど、
|そこに向けてまでsshログインしてこようとする輩がいるのよ。

って書いているから、そういう奴には、ポート番号変えても無駄だろう。
空いている所には無理矢理入ろうとしているようだ。
895 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/09(金) 01:15:54: 普段はポートを閉じて置いて、決められた順番にポートを叩くと
必要なポートをあけてくれる knockd ってのが無かったっけ？(用途はsshに限らんが)
ちょっとめんどいけど、それなりに有効ではなかろうか。
896 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/09(金) 10:35:38: めんどくさすぎっす

まだ ssh over TLS みたいにして
TLS のネゴしてからにするとかの方が…

やっぱ面倒だ…
897 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/09(金) 11:13:35: 放置プレイが一番楽
898 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/09(金) 11:53:51: むしろこの際 jail の下とかに account/password が
root/root みたいなのを用意して捕獲して眺めるとか

ログ付きの sh とかないのかな?
899 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/09(金) 12:15:34: >>897
実害はauth関連のログが溢れる程度なんで、手間をかけてまで対策かけるのは
確かにアホらしいんだよなぁ。
900 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/09(金) 13:12:33: IPで制限かけるのは無理だと悟ったので、hosts.allowからspawnでシェルスクリプトを呼び出して、
一定回数以上ログインに失敗する or rootでログインしようとしたIPからのアクセスを
iptablesで5分くらい弾くようにしてる。ログも溢れないし、精神衛生的にも良い。
901 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/09(金) 13:12:59: >>895
見てみたがSolarisだとダメなのか…。
902 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/11/20(火) 11:21:36: >901
その昔、
http://phenoelit-us.org/stuff/cd00rdescr.html
をSolarisに移植して遊んでたことがある。昔過ぎて移植した
ソースは失われ、上のlinkが辛うじて残るのみだった...
903 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/07(金) 05:13:17: >>900
http://danger.rulez.sk/projects/bruteforceblocker/
BSD系とかだとこんなのあるみたいですよん

さらに、うちは独自にSSH用DNSRBL作ってサーバ群で共有して弾いてますけど
そこそこに弾いてくれます。
利用者ドメインが.JPのみのサーバでも、どこかで検出したら同じIPアドレス
とは格闘しなくてよいですが、一部IPアドレスが連番なサーバ群に同時に
攻撃されると一時的に両方ともが相手することになるのが気になったりしますね。
904 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/11(火) 07:48:44: sshfsを起動時にマウントする方法を教えてください。
905 名前：名無しさん＠お腹いっぱい。 投稿日：2007/12/11(火) 20:39:49: シェルスクリプト内で、ssh接続して公開鍵認証で無く、パスワード認証になった場合は
パスワードプロンプトからシェルにプロンプトを戻す設定ってありますでしょうか？

下記のようなスクリプトを実行した場合にプロンプトが戻るようにしたいです。

[root@www ssh]# cat aaa.sh
ssh -l guest 192.168.10.3
echo $?

公開鍵認証だけに設定するのは要件からできません。
よろしくお願いします。
906 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/11(火) 21:01:24: >>905
expectやzshのzptyについて調べたほうがいいような気がする
907 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/11(火) 21:12:35: >>905

ssh -l guest 192.168.10.3 -o 'PasswordAuthentication no'
908 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/11(火) 21:15:12: SSHで接続しようとすると接続までに 30 秒ほど時間のかかるサーバーがあります．
接続後は問題ありません．認証は公開鍵暗号を使っています．

ssh -vv で見てみると次の表示をした後とまっているようです．
なにがまずいんでしょうか？

>debug2: we sent a publickey packet, wait for reply
909 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/11(火) 21:40:52: >>908
逆引きできてるかい？
910 名前：908 メール：sage 投稿日：2007/12/11(火) 21:43:46: >>909
逆引きはできてないです．
この場合どういう設定をすれば待ちを回避できるのでしょうか？
911 名前：名無しさん＠お腹いっぱい。 投稿日：2007/12/11(火) 21:54:56: >>906,907
回答ありがとうございます。なるほどそういう方法もあるんですね。
ただ、その場合回避はクライアントに依存することになるかと思います。

サーバ側設定で「公開鍵認証できない場合は。。。」で処理を分けるというのは
やはりできないでしょうか？
912 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/11(火) 21:57:02: >>911
なんだ、サーバー側をいじっていいのかよ。それを先に言え。
サーバー側の ssh_config で、 PasswordAuthentication no を設定。

以上。
913 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/11(火) 22:02:26: sshサーバ側hostsにクライアントのエントリ書いて治まればlibwrapだな
914 名前：名無しさん＠お腹いっぱい。 投稿日：2007/12/12(水) 00:09:33: >>912
それだと公開鍵認証接続しか許可しないのでは？
パスワード認証になった場合、TELNET接続のように一定時間で
プロンプトが戻ってくるようにしたいのですが、上手い方法が
無くて悩んでいます。
915 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/12(水) 17:21:07: ちゃんと要件整理してから出直しておくれ…
916 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/20(木) 14:36:35: sshfsでsftpをマウントしているのですが、マシンの起動時に、マウントする方法を教えてください。
パスワードで躓いています。
917 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/20(木) 16:26:07: >>916
パスワードを使わないようにする
918 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/20(木) 18:59:58: >>916 パスフレーズなしの鍵で認証すればおｋ
919 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/20(木) 19:52:51: puttyならつながるのに、いつの間に、ttsshは、opensshとの相性が
悪くなってやがんのよ？　事前共有鍵とか作って置いておけっての？
はあぁ・・・
920 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/20(木) 22:45:50: >>919
今のご時世、Poderosaじゃね？
921 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/20(木) 23:21:23: ターミナルエミュレータなのに.NETアプリで重いというのがなぁ
922 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 00:10:57: >>921
重いのはインストール時と初回起動時だなｗ

タブブラウジング出来るってのは、やはり正義だ。
20台纏めて面倒見なきゃならん時なんかは、寺よりもポデの方が便利。
ショートカットでのタブ移動を憶えたら、もう戻れない身体になってしまった。
アプリ自体も安定しているしね。

ただし、富士通SPARC機のXSCFには何故か接続出来ないという罠が待っている。
XSCFだけ寺を使うしかないという罠。
923 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 07:41:20: >>922
GNU screen使いなんで、タブとかはまるで使わんからなぁ。
924 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 10:04:01: >>923
>20台纏めて

まぁそれでも俺はパテ使いだが。SDIだろ結局。
925 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 12:20:36: screenを起動したマシンから、windowを新しく開いてそこからsshしてるのではないかと。
キーボード操作だけでコピペできるのは非常に便利。

Poderosaは.NETな時点で使わない。個人的に.NET嫌いなので。それにPuTTYほど細かいカスタマイズができない。
926 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 13:28:46: 個人でせいぜい数台管理するのと
サバ管が何十台も管理するんじゃ違うと思う。
927 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 14:57:34: >>925
そそ。そこから各マシンにはずっとsshしっぱなしなので、
いちいちtermのほうで何度もsshをする必要ないし。
928 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 17:13:08: メイン環境がMac OS Xだから、そういった事に気を使う事は不要だったりする :-)
単にTerminal.app開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
929 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 20:34:09: メイン環境がFreeBSDだから、そういった事に気を使う事は不要だったりする :-)
単にKTerm開いて、そのままsshコマンド打つだけだからね。
Winな人は面倒だねぇ。
930 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 21:05:42: メイン環境がCygwinだから、そういった事に気を使う事は不要だったりする :-)
単にkterm開いて、そのままsshコマンド打つだけだからね。
Macかぶれな人は面倒だねぇ。
931 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 21:25:53: 同時に何枚も開くときの話じゃねーの？
932 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/21(金) 21:38:43: >>931
そこでscreenですよ
933 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/22(土) 12:18:22: ubuntuにdenyhostsを入れたのですが、パソコンの起動時にdenyhostsが起動してくれません。
どこで設定すればよいのでしょうか？
934 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/26(水) 10:36:43: >>933

ttp://www.ksknet.net/linuxai/chkconfig_initd.html
935 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/27(木) 01:05:58: sshfsを起動時にマウントしたいのですが、マウントの実行をrootではなくユーザーで行いたいのですが、
何かよい方法はないでしょうか？
936 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/27(木) 01:24:24: >>935
cron
937 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/27(木) 01:30:25: >>935
su
938 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/27(木) 02:00:15: uidが0の「ユーザー」を作る。
939 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/28(金) 00:30:02: toor？
940 名前：質問させて下さい 投稿日：2007/12/31(月) 03:59:30: sshの初心者ですいません
sshにつなぐことはできたのですがコマンドがわかりません；；

アクセス解析をサイトに入れたいのですが
入れたいサクセス解析
ttp://www.hping.org/visitors/　（visitors0.7です）

某ブログより次のようにコマンドを打てばインストールされましたが、自分で指定したサーバー上の
フォルダにインストールしたいのですが、何度してエラーがでてしまい無理でした。

wget http://www.hping.org/visitors/visitors-0.7.tar.gz
tar xvzf visitors-0.7.tar.gz
cd visitors_0.7
make
cp visitors /usr/bin

public_html/www.123.com/abc/
abcのフォルダにインストールしたい場合はどのようにコマンドをうってあげればいいのでしょうか？
よろしければアドバイスお願いします。
941 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/31(月) 04:25:11: 某ブログに聞け。
というよりも、ちゃんとドキュメント読むのが先。
942 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2007/12/31(月) 09:57:29: >>940
キミに必要なのはsshの使い方じゃなくてUNIX,LINUXの使い方。
本屋行って入門書を買ってくるか、キミのように「自分が何をわかっ
ていない」かさえわからない超ウルトラ初心者でも暖かく迎え入れ
てくれるlinux板に行きなさい。
943 名前：名無しさん＠お腹いっぱい。 投稿日：2007/12/31(月) 13:44:52: いまさらですが
>808からの流れであの方のAAが出てないのが不思議だｗ
944 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/01(火) 03:43:14: >>928
もともとMacユーザで、10.3くらいまでは結構Terminal使ってたんだけど、PuTTYに比べて
・アンチエイリアスうぜー
・Emacsとか表示崩れすぎなんじゃボケ！！
って感じで
「Macツカエネー」と思ってたよ。
いまだいぶマシなの？
945 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/01(火) 03:54:17: うん、少しは麻紙。
アンチエイリアスうぜーんだったら、xterm使えば四濾紙。
946 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/01(火) 05:06:48: >>944
＞アンチエイリアスうぜー

は？

＞Emacsとか表示崩れすぎ

明らかに、設定が悪いだけだな
安置の攣りか？
947 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/01(火) 05:11:28: 元来のマック使いに、その辺りを期待するのは無謀。
アホでも使えるが売りだから。
948 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/01(火) 05:16:14: sshじゃなくてターミナルエミュレータのスレでやれよ・・・
949 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/04(金) 09:31:49: sshfsで一度マウントすると、再起動してもマウントされているのは仕様ですか？
950 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/04(金) 10:57:49: >>949
/etc/fstab
951 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/05(土) 10:26:17: 見てみましたが、fstabにはsshfs関係の設定は何も書かれていないのですが、・・・
952 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/05(土) 11:18:24: http://pc11.2ch.net/test/read.cgi/linux/1196399724/659
953 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 16:22:15: 皆さんお元気ですか？私は質問したい。
port forwarding で２つ以上のマッスィーンを一発でトンネルできるか？できるのか？
可能ですか否ですか？飛び石は面倒な気持ちなんです。
954 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 16:25:07: 「chi」を「スィ」と発音するのかよｗ
955 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 17:05:21: するよな？
956 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 17:14:50: さぁ～？
957 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 17:15:23: [∫i] ≠ スィ
958 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 17:18:41: ミシン（←英語は発音大事）
959 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 17:19:40: んー、やっぱ出来るわけないですよね常考。２つ以上のマチャイネを一発でトンネルなんて。
コツコツport forward する。皆さんの生暖かい応対に感激いたしました。バイビー
960 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 17:24:06: ×トンネル
○タノウ（←英語は発音大事）
961 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 17:34:14: マチャアキ、頼む…
962 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/10(木) 19:05:56: 「スィ」じゃなくて「シュイ」って感じ
963 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/12(土) 04:43:15: >>953
一発では無理だよ
964 名前：名無しさん＠お腹いっぱい。 投稿日：2008/01/19(土) 13:20:21: どうして、しょっちゅうバグが見つかって、改訂されるのだろうかな。
965 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/19(土) 16:16:48: 「コードはバグを産み出す」って格言があるから。
966 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/19(土) 20:16:02: バグが残ってるなんて怠慢だとか言う連中って
テストで毎回全教科満点とったり仕事はノーミスで優秀だったりするのか？

ま、964みたいなヤツがそうであるとは到底おもえないわけだが。
ただの無知か釣りでしかない。
967 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/01/19(土) 20:18:56: >>964
OpenSSHでなくssh.com使っとけ
もう数年間freezeしたまんまだ
968 名前：614 投稿日：2008/01/29(火) 10:25:15: 遅レススマソ

authorized_keys の特定のユーザーを消したいという話ですが、
公開鍵をみてもメールアドレスなどの情報はついてません・・・。

というか、自分で putty_gen とか Poderosa で生成したのがついてない orz

下記サイトの「authorized_keys ファイルの例:」を見たら、
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
# でコメントも書けるようですし、行末にスペース区切りでコメントOKみたいので・・・

って、putty_genで、「鍵のコメント」欄に適当にテキスト入れたら、
authorized_keys にコピペする公開鍵に上記アドレスの例のようにコメントつけられました。

今後はそれで行こうと思います。
969 名前：名無しさん＠お腹いっぱい。 投稿日：2008/02/07(木) 21:21:40: windowsのpoderosaで作った公開鍵と秘密鍵で
poderosaからはパスフレーズを使ってログインできるんですが、
秘密鍵をlinuxクライアントに持っていき、ホームの.ssh/id_rsa に置き、
sshにログインしようとしたのですが、
同じパスフレーズでログインできないのはなぜでしょうか？
970 名前：名無しさん＠お腹いっぱい。 メール：sage 投稿日：2008/02/07(木) 21:44:43: $HOME/.sshのディレクトリのパーミッションは700にすること。
755とかは不可。

dat2html.rb 0.1 Converted.