SSH その8

1名無しさん@お腹いっぱい。2014/04/25(金) 18:50:57.67

394名無しさん@お腹いっぱい。2017/04/05(水) 10:06:26.88
OpenSSH 7.5 のハイライトらしきもの:
・ssh-1 を本格的に捨てにかかっている。一部のコマンドは -1 を受け付けない。
・UsePrivilegeSeparationがデフォルトONになり、設定はdeprecatedになった
・鍵認証でログインするとSHAハッシュが記録されるようになった。
 あとから追っかけるときに便利そう。(前からだっけ?)
Apr 5 09:28:12 saba sshd[27182]: Accepted publickey for ore from ::1 port 49525 ssh2: RSA SHA256:UfcrUWnSiFur5ra28VQoo7HgUShQueQ5LTnoJneZ48A


頑張ってOpenSSL-1.1に移植しても、
常用してるのはdropbearだからあんま意味ないじゃんと今更思った

395名無しさん@お腹いっぱい。2017/04/05(水) 12:44:28.64
>>394
Dropbearといえばmosh 1.3.0で--no-ssh-pty optionがはいってDropbearでも使えるようになったよ
オプションつけるのめんどいけど

396名無しさん@お腹いっぱい。2017/05/06(土) 12:01:52.59
ssh-1くたばった

397名無しさん@お腹いっぱい。2017/05/12(金) 02:00:27.48
ド素人スマソ。 OpenSSH Windows版ぶっ込んだサーバーpcにスマホのクライアントアプリからwolさせるSSHコマンドてある?
ググったらether-wakeてのが出たけどこれなの?
教えてエロい人

398名無しさん@お腹いっぱい。2017/05/12(金) 06:51:49.86
スマホ用のWake On LANアプリでよくね?

399名無しさん@お腹いっぱい。2017/05/12(金) 10:09:22.52
>>398 レスサンクス。スマホのwolアプリてパケットが暗号化されてるかよくわからないのでSSHでやれたら良いなぁと思った訳です。

400名無しさん@お腹いっぱい。2017/05/12(金) 18:10:39.13
>>399
何を何のために暗号化したいの
WOLはネットワークインタフェースカードの限られた部分で処理するから暗号化なんてしてたら処理できないんじゃ

401名無しさん@お腹いっぱい。2017/05/12(金) 18:18:57.58
MACアドレスとか入ってるからじゃない?
WiFiが暗号化されてれば問題ないはずだけどね

402名無しさん@お腹いっぱい。2017/05/12(金) 19:03:49.37
>>400>>401 レス感謝!ガチなド素人なもんでホントスマン。その暗号化が必要かどうかもわかってないもんで。
もともとは使ってる某NECルーターにある「ホームipロケーション」という簡易ddns機能的な奴を使って外部からwolをしようとしたら送信画面が暗号化されてない事に気付いて、これをなんとかしようと思った訳です。
よっぽどヤマハのルーターでも買ってやろかと思ったけどSSHサーバーぶっ込むの面白そうだなとチャレンジ中。

403名無しさん@お腹いっぱい。2017/05/12(金) 21:27:07.67
>>402
外部とルータ間の通信の暗号化は必要かもしれない
誰かが認証を盗聴したら同じことができてしまうからね

もしsshで接続できたとしたら、そのPCは起動しているだろうからWOLは不要

wake on lanはその名の通りLANで使うもの
同一ネットワーク内の全ての端末に簡単な通信パケットを送って各自がそれを見て自分宛だったら起動する
基本的には他のネットワークからは起動できない
だからルータにその機能がよくついている

外部端末とルータ間の通信の暗号化をお勧めする
またはVPNとか

404名無しさん@お腹いっぱい。2017/05/12(金) 22:03:21.63
>>403 エスパー発見!ありがとうございます。聞きたい事が全て先回りで答えが出てる感じ。やっぱVPNか。最初はpcをvpnサーバにしようかと思ってたところノーパソサーバ化&常時起動は火災の元みたいなスレ見てwolの適時起動にしようかと思ったの。
お騒がせしました。壮大なスレチでスマソ。

405名無しさん@お腹いっぱい。2017/05/12(金) 22:06:55.05
>>404
VPN鯖にしたいだけならラズパイみたいなボードPCをおすすめしておく

406名無しさん@お腹いっぱい。2017/05/12(金) 22:17:36.68
>>405 ラズパイ考えてた!スペックの低い端末を鯖にした時の通信速度が心配で候補から外してた。(あと敷居が高そうで)
メガサンキュー!方向性が見えてきた。

407名無しさん@お腹いっぱい。2017/05/12(金) 22:52:24.60
>>406
余程古い環境以外は通信速度のほうがボトルネックになるからそこまで気にしなくてもいいと思うけどなー、まあ敷居が高いのは言えてるが

408名無しさん@お腹いっぱい。2017/05/13(土) 06:11:14.50
ルータにVPNないなら
常時稼働ラズパイにsshで繋いでwolでも簡単だね

409名無しさん@お腹いっぱい。2017/05/13(土) 09:09:21.09
ここの人はスマホのSSHクライアント使ってる?
便利だけどすごく不安だわ
悪意のあるクライアントだと秘密鍵・パス・ホスト名を送信してるかもって思う

410名無しさん@お腹いっぱい。2017/05/13(土) 13:08:41.32
>>409
Connectbotとターミナルのdropbear使ってる、ソースあるし

411名無しさん@お腹いっぱい。2017/05/13(土) 22:43:39.42
なるほどオープンソースのクライアントを使えばいいのか

412名無しさん@お腹いっぱい。2017/05/14(日) 07:27:18.76
自分でビルドせずにストアから入れる場合は
そのソースから変更されないでビルドされてること確認しないとな

信頼できるディストリビューターって楽だな感謝

413名無しさん@お腹いっぱい。2017/05/15(月) 09:51:54.30
どういたしまして

414名無しさん@お腹いっぱい。2017/05/21(日) 03:07:43.78
いいってことよ

415名無しさん@お腹いっぱい。2017/06/27(火) 18:28:55.10
一度ログインできたホストに対して、コネクション落ちた後とか
何らかのきっかけで再ログインしようとした時に
「ssh_exchange_identification: Connection closed by remote host」
になる場合ってどういう原因でなりやすいの?

現状だと仮想マシンで運用しているからバックアップの仮想マシン
のスナショを新たに複製してそっちにはログインできる。
ログインできなくなったVMは使い捨ててるけど流石にめんどくさすぎる。
どうすれば効率よく再ログインできるようになる?

416名無しさん@お腹いっぱい。2017/07/04(火) 13:04:11.97
見たことなかったのでぐぐってみた。
sshd_configのMaxStartupsを増やすと解決することもあるらしい。

417名無しさん@お腹いっぱい。2017/07/09(日) 17:24:51.18
tor ってsshポートフォワードで不特定多数のサーバプロキシしてんの?
レイヤがよくわからん

418名無しさん@お腹いっぱい。2017/07/09(日) 23:38:21.08
>>417
sshスレにいるってことは公開鍵暗号を理解してる前提で説明すると
複数のtorノードをピックアップして各ノードの公開鍵で次のような入れ子の暗号データを作る
ノード1の公開鍵(ノード2の公開鍵(ノード3の公開鍵(オペレーション)))
ノード1が上のデータを受け取ると自分の秘密鍵で復号化してノード2に送る
ノード3まで来ると復号化した時にオペレーションが見えるので実行する
各ノードは最終ノード以外あといくつのレイヤがあるか分からない

419名無しさん@お腹いっぱい。2017/07/10(月) 01:56:21.15
>>418
うっわぁ・・・手が込んでるなこれ
接続結構遅くなるんじゃない?
鍵交換の猶予時間厳しくすればTorだけ弾けたりするのかな。
だめだ、最後のノードしか関係ないんだよな。
手動でしか鍵作ったことないけどssh-keygenとかそういう諸々は
自動化されてるのか?
転送先ってランダムなんでそ?

420名無しさん@お腹いっぱい。2017/07/10(月) 06:57:41.00
Torのスレでやった方がいいんじゃね

421名無しさん@お腹いっぱい。2017/07/15(土) 11:25:48.21
いまさら気づいたが
ESXi 6.0 入れたら
同梱の ssh が dropbear じゃなくて OpenSSH のものになっていた。

422名無しさん@お腹いっぱい。2017/08/15(火) 14:16:08.91
CentOS7の、OpenSSH6.6を使ってます

マシンにはLANインタフェースが3つあり、1つはインターネットへ、2つは内部用です

ここで、インターネット用のインタフェースだけ、SSHのポートを例えば2222に変更、それ以外は標準の22で利用したいと思ってます

sshd_configに、port 2222、ListenAddressにIPアドレス:22と書けば良いという情報を見つけたのですが
このListenAddressをカンマ区切りやスペース区切りなど色々と試しましたが複数の指定はできないらしく、
また0.0.0.0:22を指定するとインターネット用インタフェースでも22番をリッスンしてしまいます

結局、sshd_configは諦めて、iptablesによるフィルタリングとポートフォワードを併用して実装はしているのですが、
sshとiptablesの両方が設定に絡んでいて、分かりづらくなっているのを改めたいです

sshd_configで上記のような設定をすることは可能ですか?

423名無しさん@お腹いっぱい。2017/08/15(火) 15:46:01.85
ListenAddressは複数行かけるだろ

424名無しさん@お腹いっぱい。2017/08/15(火) 15:47:02.20
Linuxの話はLinux板で聞いてください

425名無しさん@お腹いっぱい。2017/08/15(火) 22:46:28.19
>>423
複数行で
ListenAddress インターネット:2222
ListenAddress 内部1:22
ListenAddress 内部2:22
と書いたところ、うまくいきました

ありがとうございました

426名無しさん@お腹いっぱい。2017/10/04(水) 21:46:58.61
OpenSSH 7.6
・ssh-1プロトコル完全に捨て
・arcfour,blowfish,CAST捨て
・1024ビット未満のRSA鍵は受け付けない
・CBC cipherはデフォルトで提供しない

古いssh鯖だと1024ビット未満制限とかCBCに引っかかるところあるんじゃないかな?

427名無しさん@お腹いっぱい。2017/10/04(水) 22:18:08.06
RSA鍵長のデフォルトが1024ビットのときなんてあったっけ?

428名無しさん@お腹いっぱい。2017/10/04(水) 22:19:06.74
間違い
1024未満のとき

429名無しさん@お腹いっぱい。2017/10/04(水) 23:20:01.18
CBC捨てるのはナゼ?
昔、実装の問題があったのは覚えてるけど、仕様自体に問題があるの?

430名無しさん@お腹いっぱい。2017/10/18(水) 17:08:22.12
CBC自体にはPadding Oracleを防ぐ・検出する仕組みがない

431名無しさん@お腹いっぱい。2017/10/31(火) 09:57:53.95
>>424
UnixもLinuxの親戚なんだからいいだろ

432名無しさん@お腹いっぱい。2017/10/31(火) 10:43:50.94
ダメです

433名無しさん@お腹いっぱい。2017/10/31(火) 10:49:45.97
LinuxはUNIXではないんだが

434名無しさん@お腹いっぱい。2017/10/31(火) 11:50:48.99
>>430
それはそうだけど、sshとしてcbc使った場合、
実装に問題がなければpadding oracle攻撃は不可能じゃない?

435名無しさん@お腹いっぱい。2017/10/31(火) 12:15:05.05
>>433
それ言いだすとFreeBSDとかも除外されてしまう

436名無しさん@お腹いっぱい。2017/12/16(土) 19:15:52.16

437名無しさん@お腹いっぱい。2017/12/22(金) 18:51:19.12
Agent Forwardingは
A->B->Cって繋げていくとき
AからBの鍵とBからCの鍵が同じじゃないと出来ないと思うんですけど
あってますか?

438名無しさん@お腹いっぱい。2017/12/22(金) 20:17:45.61
>>437
必要な鍵は「AからBの鍵」と、「AからCの鍵」
それらは別の鍵でいい

「BからCの鍵」は不要だよ

それらをすべて同じ鍵にすると、BにはAの秘密鍵も公開鍵も配置する必要があり
真に重要な鍵(Aの秘密鍵)を他人(B)に預けずに済むというAgent Forwardingのメリットが
なくなってしまっているのでは

439名無しさん@お腹いっぱい。2017/12/23(土) 04:08:25.92
ありがとうございます。
まとめるとB→Cの鍵がいらないかわりにA→Cの鍵とA→B使う
ことですね。

440名無しさん@お腹いっぱい。2017/12/29(金) 07:03:23.63
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

KMBRYP28K7

441名無しさん@お腹いっぱい。2018/02/05(月) 09:29:37.72
sshで接続されたとき、クライアント側のオプションによって
クライアントが、サーバに接続したときにポートフォワードの設定ができますよね

これをサーバ側からできませんか?
サーバが、クライアントから接続されたときにポートフォワードの設定をしたい

442名無しさん@お腹いっぱい。2018/02/06(火) 08:26:48.25
>>441
「サーバ側」の意味がよく分からないが、サーバ側でリスンしてクライアント側に繋ぐなら-Rでよいかと。
それとも繋いで来たクライアントにポートフォワードを強制させるサーバ側の設定があるかということ?
多分それは無理だと思う。

443名無しさん@お腹いっぱい。2018/02/08(木) 10:30:59.87
>>442
後者です

無理か・・・ まあ無理だよね。

444名無しさん@お腹いっぱい。2018/02/14(水) 09:20:46.82
☆ 私たち日本人の、を改正しましょう。現在、
衆議員と参議院の両院で、改憲議員が3分の2を超えております。

新着レスの表示
レスを投稿する