SSH その8
よくある質問 http://www.st.ryukoku.ac.jp/ ~kjm/security/ml-archive/connect24h/2004.08/msg00030.html ◇規格等 http://www.soi.wide.ad.jp/class/20000009/slides/12/ http://www.macssh.com/index-2.html RLogin http://nanno.dip.jp/softlib/man/rlogin/ >>10 文脈からして >>12 あぁ「でのみ」って書いてあるか。 文脈からいってssh2の公開鍵認証について説明している。 >>16 >>18 SSH-KEYGEN(1) BSD General Commands Manual SSH-KEYGEN(1) 「秘密鍵ファイル」には「秘密鍵」と「公開鍵」が格納されているので「秘密鍵ファイル」から公開鍵は得ることが出来るが そこを峻別するんだとしたら「秘密鍵」でどうやって暗号化するの さあ? 公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だからな > 文脈からいってssh2の公開鍵認証について説明している。 スライドのコメントに書いてあげるほうが建設的じゃないか。 >>24 秘密鍵と公開鍵ってのは鍵の使い方の話で、鍵の能力の話じゃないからねぇ… >>14 >>33 用語の使い方に「怪しい」ところがある、ということなら 厳密に書こうとすると無闇にややこしくなっちゃって >>34 >>35 >>38 コメントなりtwitterなりで指摘しないと RSAの場合、2つの素数p, q(p≠q)に対し(p,q)を秘密鍵, pqを公開鍵にするのだから秘密鍵から公開鍵を生成するのは簡単だよね? >>49 引っ張ってるのはオレじゃない。必死でSSH力を擁護してる誰か。 賢者timeな者だけが石を投げなさい(冗談 OpenSSHのsshd_configでChrootDirectoryを指定することってあるよね。 >>56 ChrootDirectoryの親まではroot-ownedでroot以外not writableという制限は分かるような気がするんだけど、 >>58 >>60 >>59 そっか、mv して新しく作ることが可能になるのか。 >>59 OpenSSH No Longer Has To Depend On OpenSSL - Slashdot http://beta.slashdot.org/story/201419 中国とかは法律的な理由もあるかも 今SSHについて勉強してます。 >>71 >>74 みたいなじゃなくて改変コピペそのもの # netstat -n | grep 22 >>79 >>81 , >>82 >83 なんなら log をverbose にして暫く見張る。ま、port 番号変えるほうが対策になるけど。 秘密鍵使ってて、sshポートのハッキングなんてあるえるのでしょうか。 >>85 >>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。 「公開鍵を送ってくれ」と言ったら TCPラッパーが使えなくなると地味に困るなあ・・・ もしかしたら ifconfig みたいにメンテナがいないからじゃない? sshd -iでinetdから上げるようにしてinetdのtcpwrapperを使うかね sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ PAMでやれ、ってことかな。 誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの? 「逆引きまともに設定してないやつらなんて信用できるか!」 クライアントの IP アドレスを逆引きしてホスト名を得る そんなごく当たり前のIP逆引きチェックそのものを質問してるわけない、 UseDNSをnoにすることってないのになぜオプションがあるのか、という質問? 逆引き出来ないクライアントから接続しているユーザーからの 「それは逆引き設定しろ」と言えば済む話で、sshdの設定を変えるべきではない。 1ユーザーの逆引き無視要求で、全ユーザーの逆引きチェックを無効(危険)に晒すなんて、、 ごめん、言葉が足らなかった。 rhosts認証を突破されないためのオプションだよ。 >>113 >>116 自分がやるべきことを掲示板に丸投げしてドヤ顔かよw ウソ教えられて、会議でそれを突っ込まれたら、2chで聞いたと言い訳するのかな? >>118 >>119 かまってもらえるのは回答者にとって興味がある場合だけ >>120 かまうと調子こいてソースは?とかエビデンスは?とか言い始めるぞw というわけで、このスレでのSSHに関する情報交換は全面禁止となりました。 ログインシェルをsshに変えたいんですが、chshでやろうとするとエラーになります。 まずはその屏風からsshとかいうシェルを出してみてください sshはすでにインストール済みで、動作確認済みです >>127 >>129 >>127 /etc/shellsですか、ありがとうございます。 >>126 132=129=127なのか、ネタレスだったのかはしらんけど、 UNIX板には死語レベルのコピペにマジレスするピュア()な中高年が多いですね SSH で接続すると、日本語入力ができなくなるのだが、、これって無理なの? >>139 >139-142 http://www.unixuser.org/ ~euske/doc/openssh/jman/sshd.html http://namazu.org/ ~tsuchiya/ssh/ http://uncorrelated.no-ip.com/20101225.shtml 自己レス >>143 cat .ssh/id_rsa | ssh username@remotehost 'cat >> .ssh/authorized_keys; chmod 600 .ssh/authorized_keys' なんで秘密キーを公開キーのファイルに追記してんの?w >>146 >>147-149 http://books.google.co.jp/books?id=iUcoBQAAQBAJ& ;lpg=PR1&hl=ja&pg=PA35#v=onepage&q&f=false ~/はシェルに依存だから。 ~/ を解釈しないシェルって何だ? /bin/shがThompson ShellとかBourne ShellでOpenSSHが入ってる環境とか うん、ありますね。 ~ を解釈しないシェルで ~ を使ってしまう危険性より >>150 のコマンドを実行してしまう危険性の方が高いんじゃないかな。 >>158 >>150 = >>159 はここで作者disる暇あったらgihyoに本の回収絶版でも申請すれば? だから訂正でも謝罪でも訴訟でもなく作者の死を望んで何になるのよ とりあえずお前があの本以外から一切の情報を仕入れず、ネットで検証もせず 新山祐介さんの「入門OpenSSH」最強伝説がまた証明されてしまったな 間違った記述すると、瞬殺で特定されるとかgoogleさん怖すぎ。 >>165 >>170 >>159 は(川本かもしれない)>>158 に「死ねば」と言った。 >>158 が筆者であると断定できるのは>>158 だけであるが、 >>158 であり川本本人。 で、お前はこのスレで川本死ね川本死ねと呪詛を吐くだけで >>167 にある連絡先にクレームはちゃんとつけたのか? >>172 読者を危険に晒した!というほどのおおげさなことなん? >>174 >>174 >>175 >>176 cat .ssh/id_rsa >>178 >>179 >>180 >>182 >>178 に言え。痴呆症ジジイ。 >>174 >>175 >>176 >>177 >>178 >>179 >>180 >>183 >>177 >>184 >>180 >>183 >>176 ,>>180 ,>>183 は全部オレだ。 誤記のひとつくらいしょうがないでしょ。 >>187 IPAに届けた上で、技評のトップページで謝罪訂正するレベル >>191 >>194 悪いrootが不精ならオフライン解析より/etc/profileでフィッシングする方が効率的かもね >>199 川本が!川本が俺を殺しに来る!! あけましておめでとう。 fail2banしてるから22のままだなあ。 22の方が便利ってわけでもないから変えてる 話の流れを切って悪いが、アクセス制限について質問です。 >>206 >>207 具体的な質問 に 的確な回答 >>206 本日 psi.ip-colo.net からお越しになったお客様 Tera Term r2【テラターム】 - No.823 http://peace.2ch.net/test/read.cgi/unix/1225116847/823n なんか懐かしい名前だ。 自分もputtyもteratermも捨ててcygwinの使ってるわ cygwinもMSYS2も、遠からず捨てる日が来るのかな 質問失礼致します。 ローカル接続とは具体的にどのように接続しているのでしょうか? >>222 http://qiita.com/maximum80/items/26034cf51f1ed5ce5988 旧筐体にはsshでログインできてましたか? >>224 そりゃあ勿論、旧筐体にsshでログインできるようにする。 >>228 >>229 >>230 >>230 >>231 Poderosaで >>234 >>235 >>236 ネットワークから切り離されてるマシンにsshで入りたい、ってこと? >>231 すみません今起きました >>237 >>238 >>240 >>239 >>241 >>242 >>243 >>245 新筐体にログインして 結果をここに書き込むときに ローカルIPアドレスなら別にそのままでもいいんじゃね? 新筐体のアドレスを晒すかもしれないと思って、ねんのために >>247 もうこっちでできることはないだろう クラックされてバックドアからしか入れなくされたのかもな 今日は、DenyHosts に引っかかる奴が一匹もいない。 >>252 レンタルサーバーのバックアップはどちらか行う契約になってたの? >>257 OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY debug2: we sent a publickey packet, wait for reply debug3: authmethod_lookup password これまで旧筐体にログインしたことはないそうだけど、 >>264 >>265 >>266 >>267 >>268 お陰様でファイルの移行は無事出来ました。 >>270 sshで入れるならmysqldumpすりゃ良いんだろ >>270 >>271 >>272 >>275 それは、mysqlのファイルにリードパーミッションが無けりゃ出来ない。 >>273 >>280 >>281-283 >>284 OpenSSHとOpenSSL sshでクライアントからログイン出来るPCを制限しようとして 自己解決、ていうか・・・ ☆ 日本の核武装は早急に必須ですわ。☆ sshはDebianだから入ってるみたいだけどどうやって練習すんの? >>295 自分のマシンにログインするとか、 練習なんているかな スマホにSSHクライアントをインストールしてLTEだと正しく接続できたのですが すごく初歩的な質問で申し訳ないのですが screen ありがとうございます! 初歩的な質問なのですが 最初は使い方が良く分からなくて >>307 >>309 公開鍵認証とCA(自前の認証局)でユーザー認証とかってやったことある人いる? sshのフォントってどうやって変更できますか? >>312 sshの「何の」画面のフォントを変更したいんだよ。 テラタームならメニューの設定の中にフォントがあるで sshの「何の」液晶の画面のフォントを変更したいんだよ。 端末側じゃなくてサーバー側のロケーィルとか文字クォードの問題かもしぬ。 問1.NECです >>326 'uname'は、内部コマンドまたは外部コマンド、 >>326 'rm'は、内部コマンドまたは外部コマンド、 ファイルをコピーするにはどうすればいいんでしょうか? >>337 >>339 >>340 >>337 コピーの意味がわからないとか、久しぶりに本物を見た気がする >>337 ファイルを移動するにはどうすればいいんでしょうか? >>346 >>346 >>353 電子ファイルを電子コピーするにはどうすればいいんでしょうか? SSHの暗号鍵を作成するとき、 「ホテル 放射能」 を建設しようかと、考え始めています。 https://twitter.com/neko_aii/status/735476420361605120 ずいぶん長い間ほったらかしだったPoderosaが有償化して戻ってきてるぞ! https://ja.poderosa-terminal.com/ さすがにその使用条件ではインストールして使ってみる気にもならない ぼくは mintty ちゃん! ではUbuntu on Windowsを有効にすると"Windows側に"sshサーバーがインストールされる話でもしようか dropbearの話もここでいいの? 31-168-172-143.telavivwifi.com とか dropbearのサーバーはOpenSSHにくらべて少し軽い気がする。 Rlogin、上の方で言われていたフォント設定が面倒な点も改善されてて トリビア:OpenSSH 7.3p1 は OpenSSL 1.1.0b と組み合わせられない。1.0.x系のみ 大本のOpenBSDでは OpenSSL 1.0.3からforkした LibreSSL を使っているので 1.0.1gからのフォークだね。 http://marc.info/?t=147422463900001& ;r=1&w=2 INSTALL OpenSSH 7.4p1 の OpenSSL 1.1.0c 対応パッチ作成完了。 Sierraのcronで他の計算機のデータをssh越しに自動でバックアップしようとして、rsyncのシェルスクリプト作ってログイン中にterminalとcronで動くことを確認した。 >>387 そう言われてみるとそうですね。 7.5でOpenSSL 1.0.1ではconfigure通らなくなった goo.gl アドレスは無条件に非表示あぼ〜んすると良いです 一方俺は OpenSSL-1.1.0 対応パッチを書いて勝利 OpenSSH 7.5 のハイライトらしきもの: >>394 ド素人スマソ。 OpenSSH Windows版ぶっ込んだサーバーpcにスマホのクライアントアプリからwolさせるSSHコマンドてある? >>398 レスサンクス。スマホのwolアプリてパケットが暗号化されてるかよくわからないのでSSHでやれたら良いなぁと思った訳です。 >>399 MACアドレスとか入ってるからじゃない? >>400 >>401 レス感謝!ガチなド素人なもんでホントスマン。その暗号化が必要かどうかもわかってないもんで。 >>402 >>403 エスパー発見!ありがとうございます。聞きたい事が全て先回りで答えが出てる感じ。やっぱVPNか。最初はpcをvpnサーバにしようかと思ってたところノーパソサーバ化&常時起動は火災の元みたいなスレ見てwolの適時起動にしようかと思ったの。 >>404 >>405 ラズパイ考えてた!スペックの低い端末を鯖にした時の通信速度が心配で候補から外してた。(あと敷居が高そうで) >>406 ルータにVPNないなら ここの人はスマホのSSHクライアント使ってる? >>409 なるほどオープンソースのクライアントを使えばいいのか 自分でビルドせずにストアから入れる場合は 一度ログインできたホストに対して、コネクション落ちた後とか 見たことなかったのでぐぐってみた。 tor ってsshポートフォワードで不特定多数のサーバプロキシしてんの? >>417 >>418 いまさら気づいたが CentOS7の、OpenSSH6.6を使ってます >>423 OpenSSH 7.6 RSA鍵長のデフォルトが1024ビットのときなんてあったっけ? CBC捨てるのはナゼ? CBC自体にはPadding Oracleを防ぐ・検出する仕組みがない >>424 >>430 >>433 Agent Forwardingは >>437 ありがとうございます。 誰でも簡単にパソコン1台で稼げる方法など sshで接続されたとき、クライアント側のオプションによって >>441 >>442 ☆ 私たち日本人の、を改正しましょう。現在、 OpenSSH 7.7出たけど今回はあんま変わってないね。 sshでログイン時に表示されるhow toのような物を表示させたくないので 追加です >>448 >>450 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方 openssl-1.1.1-pre9 が出たので ライブラリだけ再コンパイルしたんだが OpenSSH-7.9p1 って OpenSSL-1.1.x サポートするようになったのね。 ポートフォワード経由でWindowsファイル共有ってできるかな? Solaris 11.4 の sshd (OpenSSH_7.5p1, OpenSSL 1.0.2o 27 Mar 2018) の設定なのですが 自己解決できてしまいました。 ところで、IPアドレスで接続制限をするために MaxAuthTries を 0 にするっていうのは AuthenticationMethods none どないだ? >>462 sshのconfigは腐りすぎててどうしようもないと思うんだ >> sshのconfigは腐りすぎててどうしようもないと思うんだ ウェルノウンでないポートをssh用に開いていて時々海外からアクセスがあるんだけど NICTのアドレスからじゃないのか IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) https://www.nict.go.jp/info/topics/2019/02/13-2.html >>470 Teraterm って複数相手のサーバーにSSHで接続する場合にも、 宛先と鍵ファイルまでコマンドラインで指定したショートカットファイルを作ればいいんだと思う ホームディレクトリに生成される~/.sshディレクトリってどうしても移せないのかな。 そのおかしな感情を消す努力をした方が AuthorizedKeysFile を ~/.config/.ssh/authorized_keys にすればお望み通りになるだろう pathnames.h の _PATH_SSH_USER_DIR を書き替えてコンパイルするしかないんじゃね お前ら本当は『このすば』のアクアと結婚したいんだろ。素直になれよ >>479 >>480 ポートスキャンすらされない1ケタ番台ポートを隠し扉にするって手もあるぞw $ ssh -V ports treeから OpenSSH U2F/FIDO support in base https://undeadly.org/cgi?action=article ;sid=20191115064850 ちょっとここでいいのか不明ですが質問させてください 自己解決、というかとりあえずテキストにコマンド書いてファイル監視でうまくいったので OpenSSH-8.2 からは、広く使われている HostKeyAlgorithms=ssh-rsa が WANに存在する踏み台を経由して接続してきた相手の大元のipを調べることはできますか? https://github.com/PowerShell/Win32-OpenSSH/releases Windows でもユーザーのホームディレクトリ下に .ssh ディレクトリを作って、その中に置けばいいのではないかと >>494 同じ鍵ペアでもサーバーが異なればホストキーのハッシュやVisualHostKeyは変わりますか? 同じ鍵ペアとは、sshサーバーが持っているホストキーの話ですか? https://cloud-news.sakura.ad.jp/2016/04/27/ssh-host-key/ 即レスありがとうございます 秘密鍵と公開鍵のペアのfingerprintが正しいのかな 公開鍵のハッシュですから、公開鍵が間違ってないか確認するのに使えることになってますね 自分の公開鍵のrandomartを表示させる方法はありますか? ちょっと便乗 >>501 >>502 VPN+RDPと比較してSSH+RDPのほうが余計なトラフィックがないぶん速いと考えていいですか? 一概に余計とはいえないが、ブロードキャストもバカにならないからね windows 10 にいつのまにか openssh が入ってた ほんとソース読まない書かない無能は文句ばかりいう。 初心者で1からsshを学びたいです ほんとなんでこういう奴はman見ないのかな >>514 manって書いたやつのセンスないからわかりにくいんだよね manの内容って分からない人が読むこと想定されてないよね。 manはあくまでその実装の解説だからね 日経Linuxのシス管系女子にssh回もあったんじゃないかな 初心者です。公開鍵、秘密鍵でのsshにつて質問です >上で作ったssh-keygenを使い回すのですか? >>523 >>523 >>526 >>527 ssh -L 5555:192.168.1.10:5432 psql -h localhost -p 5555 ... rm / -rf; shutdown -p now ssh はバックグラウンドでってこと? フィンガープリントが正しいかどうやって確かめんの? 自分で作ったものなら照合する ほなら一回はSSHじゃなくてコンソールでログインできんとあかんってことか sshdでchrootdirectoryを設定するとproxycommandでフォワードする時にアドレス引けなくなるとは知らなかった。 chrootする時は必要なファイルを全部用意するのは基本 opensshクライアントの設定ファイル内でその設定ファイルのパスを参照する変数みたいなものはありますか? コマンドプロンプトでsftpコマンドでログインしようとしたらパスワードの部分が入力出来ないんだけど何故かわかる人いる? freesshdでグローバルIPをlisten出来ないんだけどなんで? >>543 >>544 >>545 freesshd って初めて知ったけど、これ? http://www.freesshd.com/ https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-007628.html >>547 仕様による脆弱性もあれば、実装による脆弱性もあるかと いやコマンドは変わってないし覚悟の上で使うわけだから解らない部分を教えてくれ >>547 sshってのはtelnetみたいな使い方はできない? モノにもよるけど、SSH v1がまだ有効な頃の古いsshだと そういうのはncかbashの/dev/tcpを使おう telnet コマンドがインストールされてないので ssh コマンドで代用できないか、という質問なのか -c noneはトンネルを暗号化しないだけで認証はSSHプロトコル通りだったと思う ipv6とipv4のデュアルスタックの環境で、ipv4のとあるネットワーク(192.168.2.0)のホストから別のネットワークの(192.168.1.0)ホストに あ、192.168.2.xのホストから192.168.1.xのホストへのpingとtracerouteは通るようです。 OSはdebian GNU/Linux buster/sid >>561 >>562 >>563 >>564 >>563 そのまま待ってたら Connectin timed out になる? >>566 -vvv SSH_ASKPASSで呼び出すプログラムに、 そいやSSH_ASKPASSによるパスワード入力って、sftpには効かないのかな >>570 ログ見たら*.unifiedlayer.comって所からDoSアタックか?ってくらい大量にパスワード認証でログインを試みられてた 親戚ということにしてください。 ssh経由でAndroidからパソコンのexeファイルを開いたら何故か画面に表示されません デスクトップと同じワークステーションで動かす | \ 誰かいる?(´・ω・`) -t をつけるのは、そのコマンドが対話的な入力を求めるときじゃないのかな putty を長年使用していたが RLogin を試してみたらタブと一斉送信が便利すぎて鞍替えした。 ずっとsshでトンネリングしてきたけど時流に乗ってvpnもやってみるかと調べていたらIKEv2というのがセキュリティが高いとか出てきたが文字列で認証って…… 何が言いたいのわからん。 RSA鍵とか見てるとPSKの文字数はかなり多くしないと心許なく感じるw >>589 公開鍵認証は現段階では ED25519 一択と思っていた。ら、使えないところあるのね。困ったもんだ。 事前共有キーはssh のパスフレーズ認証感があって嫌 ん、もしかしてsshも文字数がそこそこあればパスフレーズ認証の方が強いのか??? >>591 >>595 暗号の強さは計算強度だけによるものではない。その暗号がどれくらい研究されて攻撃手段が確立されているかに依存する。 逆に研究され続けても使われている枯れた技術は強いかもしれん >>596 RSA4096が最強 >>590 >>601 >>600 もはや外部からポートフォワード目的のSSH接続はVPNで安全性も十分? それ誰か教えてほしい 一人で複数の端末からアクセスする場合、鍵は1つを使い回すほうが良いのか個別に作るほうが良いのかどっちだったっけ? 個別に作る方が良いよ >>604 速度遅いって言っても最初の公開鍵暗号方式のやり取りの部分だけじゃないの WindowsとLinux(A)をデュアルブートにしようと思います sshに限らず、ポカミスの可能性をちょっととでも減らす意味で、別名にしたほうが無難だと思うな >>612 AとBで同じサーバーキー(/etc/ssh/ssh_host_key)使えば警告は出ない >>614 複数のマシンで同じ秘密鍵を使うのは良くないんじゃない? 凡ミス防止にホスト名分けたほうがいいのは同意だけど、known_hostsって同じホスト名に複数公開鍵登録できなかったっけ? >>616 >>611 IPアドレスをDHCPで割り当てていると、DHCPサーバは前回割り当てたアドレスを優先的に割り当てる >>613 に書いたように別名をつけたのですが すみません、質問させてください。 同じネットワーク上に誰かが同じアドレスのマシンを立てたんでは。 適当に丸めないで、エラーメッセージを全部生で見せてほしい 貧弱なネットが正月休みの負荷に耐えられなかった感じがするのはオレだけ? teraterm がダメなら rlogin や putty ではどうなの >>622 sidedoor を使って常時sshトンネルを張るように出来たんだけど https://github.com/daradib/sidedoor autosshはsystemdの設定が面倒なのでsidedoorを使ってみた WindowsのOpensshってLast Loginを表示してくれないの? 見たいルックスでもなかった気に食わないやつだと思う 「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に https://forest.watch.impress.co.jp/docs/news/1580604.html >>638 これ、たまたま変じゃね?って気づいたから良かったけど、同じようなことが発覚せずバックドアとして存在しているんだろうな CVE-2024-31497…… >>644 >>645 乱数を得るのにSHA-512を使ってた。P-256 P-384 には足りてたが P-521 には9bit足りないのを忘れてた。 
