X
SSH その8
0001名無しさん@お腹いっぱい。
垢版 |
2014/04/25(金) 18:50:57.67
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

■前スレ
SSH その7
http://toro.2ch.net/test/read.cgi/unix/1266323017/

■過去スレ
その6 http://pc12.2ch.net/test/read.cgi/unix/1202782840/
その5 http://pc11.2ch.net/test/read.cgi/unix/1145484540/
その4 http://pc8.2ch.net/test/read.cgi/unix/1102242908/
その3 http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
その2 http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
その1 http://pc.2ch.net/unix/kako/976/976497035.html
0007名無しさん@お腹いっぱい。
垢版 |
2014/04/25(金) 23:12:13.51
SFTPクライアントやAndroid、iPad用のクライアントも入れたらどうだろう。

SFTPクライアント
WinSCP http://winscp.net/
WinSCP 日本語情報 http://sourceforge.jp/projects/winscp/

FileZilla https://filezilla-project.org/
FileZilla 日本語情報 http://sourceforge.jp/projects/filezilla/

Android
connectbot https://code.google.com/p/connectbot/
他にもいいのがある?

iPadについてはお手上げ。
0011名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 07:33:37.48
>>10
10ページにウソが書いてある。しれっとウソが書いてあると
その先読む気にならないよね。でも頑張って次ページに進む
と「公開鍵で制限出来る事」… ダメだこりゃ
0013名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 10:52:09.04
文脈からして
秘密鍵(を格納したファイルid_rsa)
公開鍵(を格納したファイルauthorized_keys)
だろ。
スライドなんだから文脈からわかることは聴衆が補完くらいしろや。
0017名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 12:26:46.52
文脈からいってssh2の公開鍵認証について説明している。
ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、
DSAは署名/検証は出来るが、暗号化/復号は出来ない
筆者はssh2の認証方式を理解していないと判断せざるを得ない

11ページ
誤 公開鍵で出来る事
正 公開鍵認証で出来る事

その先は読む気にならない
0020名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 13:38:52.41
SSH-KEYGEN(1) BSD General Commands Manual SSH-KEYGEN(1)

ssh-keygen -y [-f input_keyfile]

-y This option will read a private OpenSSH format file and print an
OpenSSH public key to stdout.
0021名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 13:54:34.66
「秘密鍵ファイル」には「秘密鍵」と「公開鍵」が格納されているので「秘密鍵ファイル」から公開鍵は得ることが出来るが
秘密鍵から公開鍵を得る事は出来ない
0023名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 14:24:19.40
さあ? 公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だからな
書いた奴に聞けよ
0024名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 14:54:01.14
> 文脈からいってssh2の公開鍵認証について説明している。

そういう文脈だとわかってるやつが

> ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
> RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、
> DSAは署名/検証は出来るが、暗号化/復号は出来ない

みたいなずれた話を持ち出してくる意図の方がわからん。
0031名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 22:42:46.64
秘密鍵と公開鍵ってのは鍵の使い方の話で、鍵の能力の話じゃないからねぇ…

>>14
暗号化に使った鍵で平文化は出来ないよ。そうでないと公開鍵暗号が成立しない。
公開鍵暗号は暗号化鍵を公開鍵として、平文化鍵を秘密鍵とする。
電子署名では暗号化鍵を秘密鍵として、平文化鍵を公開鍵とする。
暗号化鍵から平文化鍵が計算できるアルゴリズムは電子署名にしか使えず、
平文化鍵から暗号化鍵が計算できるアルゴリズムは公開鍵暗号にしか使えず、
どちらの鍵からももう一方の鍵を計算出来ないアルゴリズムはどちらにも使える。
さらに暗号化鍵と平文化鍵を入れ替える事ができる場合は単一の鍵ペアで両方できる。

秘密鍵ファイルの中に公開鍵も一緒に保存してあるか、秘密鍵から公開鍵が算出できるなら平文化できるけど、
電子署名でどちらも満たさない場合は復元できないよ。(普通は署名書として公開鍵添付するからンな事ないが)
0034名無しさん@お腹いっぱい。
垢版 |
2014/04/30(水) 12:08:31.64
>>33
「公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だから」
スライドのどこで、それが分かる?

p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と
それをファイル(文字列)化したものという意味の二つの使い方を同じページで
使ってるのがまずいと思う。
2行目の「秘密鍵からは公開鍵が生成できる」は「いわゆる秘密鍵ファイルには
公開鍵情報も含まれているので、公開鍵情報を取り出せる」という意味だろう。
好意的に解釈すれば。

このスライドを書いた奴は分かってないはず、という見地に立てば、秘密鍵ファイルから
公開鍵を取り出せることを、秘密鍵から公開鍵が生成できると勘違いしているともとれるが。

p11の「公開鍵で制限出来ること」というタイトルに対して「公開鍵認証で出来る事」という案を出しているけど
このページの話題は openssh の sshd の実装の話(他のsshサーバーでもこうなのかどうかは知らないので
間違ってたらごめんだけど)だから、誤りというほどではないと思う。
0035名無しさん@お腹いっぱい。
垢版 |
2014/04/30(水) 14:29:27.08
用語の使い方に「怪しい」ところがある、ということなら
初心者には勧められない、ということになると思う

ちゃんと自分で解釈を脳内補完できる人には
多少の「誤解を招きかねない」表現も問題ないだろうが
件のドキュメントはそれができない人向けなんじゃ?
0037名無しさん@お腹いっぱい。
垢版 |
2014/04/30(水) 15:09:13.09
>>34
> p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と
> それをファイル(文字列)化したものという意味の二つの使い方を同じページで
> 使ってるのがまずいと思う。
秘密鍵を格納したファイルから公開鍵を取り出す事を「秘密鍵からは公開鍵が
生成できる」と表現したのなら、公開の場で発表する能力が無いって事だ。
0039名無しさん@お腹いっぱい。
垢版 |
2014/04/30(水) 15:27:24.30
>>35
もくじを見ると件のページは、おさらいの一部になっている。
ということは自分で脳内補完できる人向けじゃないだろうか。
0045名無しさん@お腹いっぱい。
垢版 |
2014/04/30(水) 19:43:47.34
コメントなりtwitterなりで指摘しないと
ここで叩いても気づかないんじゃないかな?
個人的には叩くほどのことじゃない気はする
0049名無しさん@お腹いっぱい。
垢版 |
2014/04/30(水) 23:25:32.54
RSAの場合、2つの素数p, q(p≠q)に対し(p,q)を秘密鍵, pqを公開鍵にするのだから秘密鍵から公開鍵を生成するのは簡単だよね?
0050名無しさん@お腹いっぱい。
垢版 |
2014/05/01(木) 00:08:19.46
>>49
id_rsaにmodules nとpublicExponent eが含まれてるから。


RFC 3447 PKCS #1: RSA Cryptography Specifications February 2003


A.1.2 RSA private key syntax

An RSA private key should be represented with the ASN.1 type
RSAPrivateKey:

RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER, -- (inverse of q) mod p
otherPrimeInfos OtherPrimeInfos OPTIONAL
}
0056名無しさん@お腹いっぱい。
垢版 |
2014/05/01(木) 23:47:20.91
OpenSSHのsshd_configでChrootDirectoryを指定することってあるよね。
そのディレクトリに、
All components of the pathname must be root-owned directories that are not writable by any other user or group.
こういう制限があるけど、ナンデ?
005755
垢版 |
2014/05/01(木) 23:54:48.41
特権分離では?
0059名無しさん@お腹いっぱい。
垢版 |
2014/05/02(金) 01:28:27.26
ChrootDirectoryの親まではroot-ownedでroot以外not writableという制限は分かるような気がするんだけど、
例えば、chroot先を/home/oresama/ に指定するとき oresama がroot以外not writableになってると
oresamaは自分のホームディレクトリのはずなのにディレクトリもファイルも作れない。
ちょっと厳しくないかと思う。
0060名無しさん@お腹いっぱい。
垢版 |
2014/05/02(金) 01:37:37.96
>>58
「あのぉ、root先輩、ChrootDirectoryを /home/watashi/dakeno/himitsu/ にしてもらえませんかぁ。」って頼んで
「おっふ、やっといた」となったら
rmdir /home/watashi/dakeno/himitsu
ln -s /root /home/watashi/dakeno/himitsu
「計画通〜り」ってことだよね。
このためには/home/watashi/dakeno がwritableでなければ出来ないでしょ。
himitsu は writableでもかまわないんじゃないだろうか。
0069名無しさん@お腹いっぱい。
垢版 |
2014/06/02(月) 08:26:24.30
中国とかは法律的な理由もあるかも
暗号化通信は当局が解読可能な状態にしないと駄目なんだっけ?
VPN張る事自体問題視されるとか聞いたことあるけど
0071名無しさん@お腹いっぱい。
垢版 |
2014/09/14(日) 17:08:34.71
今SSHについて勉強してます。
どなたかRSA1、RSA、DSAの違いにつ
いて教えて頂けませんか?

メリット、デメリットがわからず、どれを使って良いのかわかりません。

自分で調べろやは無しでお願いします。
0074名無しさん@お腹いっぱい。
垢版 |
2014/09/14(日) 19:08:03.88
>>71
shでも学んでろ。

532 名無しさん@お腹いっぱい。 sage 2014/09/14(日) 17:11:01.54
今シェルについて勉強してます。
どなたかash、bsh、cshの違いにつ
いて教えて頂けませんか?

メリット、デメリットがわからず、どれを使って良いのかわかりません。

自分で調べろやは無しでお願いします。
0076名無しさん@お腹いっぱい。
垢版 |
2014/09/17(水) 05:52:02.33
みたいなじゃなくて改変コピペそのもの
こんなつまらんことを時々思い出したかのように繰り返してる狂人だからスルー推奨
0079名無しさん@お腹いっぱい。
垢版 |
2014/10/10(金) 08:24:44.85
# netstat -n | grep 22
したら、知らないホストでESTABLISHED接続になってて
# cat /var/log/secure| grep 知らないホスト(ロボット?)
から複数のアタックがあったのだけど、session openってログ無かったんですが、
ssh のセッションがESTABLISHEDになることってあるのでしょうか?
0083名無しさん@お腹いっぱい。
垢版 |
2014/10/10(金) 13:28:43.78
>>81, >>82
ありがとうございます。

/var/log/secureでsession openになってないので気にしなくていいのですね。
ポートNo変えようかなーと思ってます。
0088名無しさん@お腹いっぱい。
垢版 |
2014/10/11(土) 19:05:26.71
>>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。
0091名無しさん@お腹いっぱい。
垢版 |
2014/10/13(月) 16:13:39.16
>>90
coolですな。
0093名無しさん@お腹いっぱい。
垢版 |
2014/10/14(火) 17:23:56.12
もしかしたら ifconfig みたいにメンテナがいないからじゃない?
ftp 覗いてみたら tcp_wrappers_7.6.tar.gz のタイムスタンプは Apr 8 1997 だった
0096名無しさん@お腹いっぱい。
垢版 |
2014/10/14(火) 19:42:41.99
sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ
とりあえずはpf.confでやるけど
0100名無しさん@お腹いっぱい。
垢版 |
2014/10/18(土) 10:07:44.17
誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの?

manとか見るとクライアントのIPから逆引きでホスト名を確認して
IPアドレスとホスト名のマッピングが出来なかったら接続を許可しないって動きの
ようにみえるんだけど…

この辺の詳しい動きがよくわからん
0102名無しさん@お腹いっぱい。
垢版 |
2014/10/18(土) 11:03:43.55
クライアントの IP アドレスを逆引きしてホスト名を得る
→そのホスト名を正引きして IP アドレスを得る
→その IP アドレスが元のと一致してなかったら蹴る
0103名無しさん@お腹いっぱい。
垢版 |
2014/10/18(土) 11:42:47.38
そんなごく当たり前のIP逆引きチェックそのものを質問してるわけない、
質問の意図は別のところにある、と見るべき引っかけ問題。
0105名無しさん@お腹いっぱい。
垢版 |
2014/10/18(土) 12:52:20.85
UseDNSをnoにすることってないのになぜオプションがあるのか、という質問?
IP解決はDNSとは限らない(NISとかhostsとか)のになぜDNSという設定名?
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況