SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
■前スレ
SSH その7
http://toro.2ch.net/test/read.cgi/unix/1266323017/
■過去スレ
その6 http://pc12.2ch.net/test/read.cgi/unix/1202782840/
その5 http://pc11.2ch.net/test/read.cgi/unix/1145484540/
その4 http://pc8.2ch.net/test/read.cgi/unix/1102242908/
その3 http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
その2 http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
その1 http://pc.2ch.net/unix/kako/976/976497035.html
探検
SSH その8
2014/04/25(金) 18:50:57.67
2017/05/12(金) 18:10:39.13
2017/05/12(金) 18:18:57.58
MACアドレスとか入ってるからじゃない?
WiFiが暗号化されてれば問題ないはずだけどね
WiFiが暗号化されてれば問題ないはずだけどね
2017/05/12(金) 19:03:49.37
>>400>>401 レス感謝!ガチなド素人なもんでホントスマン。その暗号化が必要かどうかもわかってないもんで。
もともとは使ってる某NECルーターにある「ホームipロケーション」という簡易ddns機能的な奴を使って外部からwolをしようとしたら送信画面が暗号化されてない事に気付いて、これをなんとかしようと思った訳です。
よっぽどヤマハのルーターでも買ってやろかと思ったけどSSHサーバーぶっ込むの面白そうだなとチャレンジ中。
もともとは使ってる某NECルーターにある「ホームipロケーション」という簡易ddns機能的な奴を使って外部からwolをしようとしたら送信画面が暗号化されてない事に気付いて、これをなんとかしようと思った訳です。
よっぽどヤマハのルーターでも買ってやろかと思ったけどSSHサーバーぶっ込むの面白そうだなとチャレンジ中。
2017/05/12(金) 21:27:07.67
>>402
外部とルータ間の通信の暗号化は必要かもしれない
誰かが認証を盗聴したら同じことができてしまうからね
もしsshで接続できたとしたら、そのPCは起動しているだろうからWOLは不要
wake on lanはその名の通りLANで使うもの
同一ネットワーク内の全ての端末に簡単な通信パケットを送って各自がそれを見て自分宛だったら起動する
基本的には他のネットワークからは起動できない
だからルータにその機能がよくついている
外部端末とルータ間の通信の暗号化をお勧めする
またはVPNとか
外部とルータ間の通信の暗号化は必要かもしれない
誰かが認証を盗聴したら同じことができてしまうからね
もしsshで接続できたとしたら、そのPCは起動しているだろうからWOLは不要
wake on lanはその名の通りLANで使うもの
同一ネットワーク内の全ての端末に簡単な通信パケットを送って各自がそれを見て自分宛だったら起動する
基本的には他のネットワークからは起動できない
だからルータにその機能がよくついている
外部端末とルータ間の通信の暗号化をお勧めする
またはVPNとか
2017/05/12(金) 22:03:21.63
>>403 エスパー発見!ありがとうございます。聞きたい事が全て先回りで答えが出てる感じ。やっぱVPNか。最初はpcをvpnサーバにしようかと思ってたところノーパソサーバ化&常時起動は火災の元みたいなスレ見てwolの適時起動にしようかと思ったの。
お騒がせしました。壮大なスレチでスマソ。
お騒がせしました。壮大なスレチでスマソ。
2017/05/12(金) 22:06:55.05
>>404
VPN鯖にしたいだけならラズパイみたいなボードPCをおすすめしておく
VPN鯖にしたいだけならラズパイみたいなボードPCをおすすめしておく
2017/05/12(金) 22:17:36.68
>>405 ラズパイ考えてた!スペックの低い端末を鯖にした時の通信速度が心配で候補から外してた。(あと敷居が高そうで)
メガサンキュー!方向性が見えてきた。
メガサンキュー!方向性が見えてきた。
2017/05/12(金) 22:52:24.60
>>406
余程古い環境以外は通信速度のほうがボトルネックになるからそこまで気にしなくてもいいと思うけどなー、まあ敷居が高いのは言えてるが
余程古い環境以外は通信速度のほうがボトルネックになるからそこまで気にしなくてもいいと思うけどなー、まあ敷居が高いのは言えてるが
2017/05/13(土) 06:11:14.50
ルータにVPNないなら
常時稼働ラズパイにsshで繋いでwolでも簡単だね
常時稼働ラズパイにsshで繋いでwolでも簡単だね
2017/05/13(土) 09:09:21.09
ここの人はスマホのSSHクライアント使ってる?
便利だけどすごく不安だわ
悪意のあるクライアントだと秘密鍵・パス・ホスト名を送信してるかもって思う
便利だけどすごく不安だわ
悪意のあるクライアントだと秘密鍵・パス・ホスト名を送信してるかもって思う
2017/05/13(土) 13:08:41.32
>>409
Connectbotとターミナルのdropbear使ってる、ソースあるし
Connectbotとターミナルのdropbear使ってる、ソースあるし
2017/05/13(土) 22:43:39.42
なるほどオープンソースのクライアントを使えばいいのか
2017/05/14(日) 07:27:18.76
自分でビルドせずにストアから入れる場合は
そのソースから変更されないでビルドされてること確認しないとな
信頼できるディストリビューターって楽だな感謝
そのソースから変更されないでビルドされてること確認しないとな
信頼できるディストリビューターって楽だな感謝
2017/05/15(月) 09:51:54.30
どういたしまして
2017/05/21(日) 03:07:43.78
いいってことよ
415名無しさん@お腹いっぱい。
2017/06/27(火) 18:28:55.10 一度ログインできたホストに対して、コネクション落ちた後とか
何らかのきっかけで再ログインしようとした時に
「ssh_exchange_identification: Connection closed by remote host」
になる場合ってどういう原因でなりやすいの?
現状だと仮想マシンで運用しているからバックアップの仮想マシン
のスナショを新たに複製してそっちにはログインできる。
ログインできなくなったVMは使い捨ててるけど流石にめんどくさすぎる。
どうすれば効率よく再ログインできるようになる?
何らかのきっかけで再ログインしようとした時に
「ssh_exchange_identification: Connection closed by remote host」
になる場合ってどういう原因でなりやすいの?
現状だと仮想マシンで運用しているからバックアップの仮想マシン
のスナショを新たに複製してそっちにはログインできる。
ログインできなくなったVMは使い捨ててるけど流石にめんどくさすぎる。
どうすれば効率よく再ログインできるようになる?
2017/07/04(火) 13:04:11.97
見たことなかったのでぐぐってみた。
sshd_configのMaxStartupsを増やすと解決することもあるらしい。
sshd_configのMaxStartupsを増やすと解決することもあるらしい。
417名無しさん@お腹いっぱい。
2017/07/09(日) 17:24:51.18 tor ってsshポートフォワードで不特定多数のサーバプロキシしてんの?
レイヤがよくわからん
レイヤがよくわからん
2017/07/09(日) 23:38:21.08
>>417
sshスレにいるってことは公開鍵暗号を理解してる前提で説明すると
複数のtorノードをピックアップして各ノードの公開鍵で次のような入れ子の暗号データを作る
ノード1の公開鍵(ノード2の公開鍵(ノード3の公開鍵(オペレーション)))
ノード1が上のデータを受け取ると自分の秘密鍵で復号化してノード2に送る
ノード3まで来ると復号化した時にオペレーションが見えるので実行する
各ノードは最終ノード以外あといくつのレイヤがあるか分からない
sshスレにいるってことは公開鍵暗号を理解してる前提で説明すると
複数のtorノードをピックアップして各ノードの公開鍵で次のような入れ子の暗号データを作る
ノード1の公開鍵(ノード2の公開鍵(ノード3の公開鍵(オペレーション)))
ノード1が上のデータを受け取ると自分の秘密鍵で復号化してノード2に送る
ノード3まで来ると復号化した時にオペレーションが見えるので実行する
各ノードは最終ノード以外あといくつのレイヤがあるか分からない
2017/07/10(月) 01:56:21.15
>>418
うっわぁ・・・手が込んでるなこれ
接続結構遅くなるんじゃない?
鍵交換の猶予時間厳しくすればTorだけ弾けたりするのかな。
だめだ、最後のノードしか関係ないんだよな。
手動でしか鍵作ったことないけどssh-keygenとかそういう諸々は
自動化されてるのか?
転送先ってランダムなんでそ?
うっわぁ・・・手が込んでるなこれ
接続結構遅くなるんじゃない?
鍵交換の猶予時間厳しくすればTorだけ弾けたりするのかな。
だめだ、最後のノードしか関係ないんだよな。
手動でしか鍵作ったことないけどssh-keygenとかそういう諸々は
自動化されてるのか?
転送先ってランダムなんでそ?
2017/07/10(月) 06:57:41.00
Torのスレでやった方がいいんじゃね
2017/07/15(土) 11:25:48.21
いまさら気づいたが
ESXi 6.0 入れたら
同梱の ssh が dropbear じゃなくて OpenSSH のものになっていた。
ESXi 6.0 入れたら
同梱の ssh が dropbear じゃなくて OpenSSH のものになっていた。
2017/08/15(火) 14:16:08.91
CentOS7の、OpenSSH6.6を使ってます
マシンにはLANインタフェースが3つあり、1つはインターネットへ、2つは内部用です
ここで、インターネット用のインタフェースだけ、SSHのポートを例えば2222に変更、それ以外は標準の22で利用したいと思ってます
sshd_configに、port 2222、ListenAddressにIPアドレス:22と書けば良いという情報を見つけたのですが
このListenAddressをカンマ区切りやスペース区切りなど色々と試しましたが複数の指定はできないらしく、
また0.0.0.0:22を指定するとインターネット用インタフェースでも22番をリッスンしてしまいます
結局、sshd_configは諦めて、iptablesによるフィルタリングとポートフォワードを併用して実装はしているのですが、
sshとiptablesの両方が設定に絡んでいて、分かりづらくなっているのを改めたいです
sshd_configで上記のような設定をすることは可能ですか?
マシンにはLANインタフェースが3つあり、1つはインターネットへ、2つは内部用です
ここで、インターネット用のインタフェースだけ、SSHのポートを例えば2222に変更、それ以外は標準の22で利用したいと思ってます
sshd_configに、port 2222、ListenAddressにIPアドレス:22と書けば良いという情報を見つけたのですが
このListenAddressをカンマ区切りやスペース区切りなど色々と試しましたが複数の指定はできないらしく、
また0.0.0.0:22を指定するとインターネット用インタフェースでも22番をリッスンしてしまいます
結局、sshd_configは諦めて、iptablesによるフィルタリングとポートフォワードを併用して実装はしているのですが、
sshとiptablesの両方が設定に絡んでいて、分かりづらくなっているのを改めたいです
sshd_configで上記のような設定をすることは可能ですか?
2017/08/15(火) 15:46:01.85
ListenAddressは複数行かけるだろ
2017/08/15(火) 15:47:02.20
Linuxの話はLinux板で聞いてください
2017/08/15(火) 22:46:28.19
>>423
複数行で
ListenAddress インターネット:2222
ListenAddress 内部1:22
ListenAddress 内部2:22
と書いたところ、うまくいきました
ありがとうございました
複数行で
ListenAddress インターネット:2222
ListenAddress 内部1:22
ListenAddress 内部2:22
と書いたところ、うまくいきました
ありがとうございました
2017/10/04(水) 21:46:58.61
OpenSSH 7.6
・ssh-1プロトコル完全に捨て
・arcfour,blowfish,CAST捨て
・1024ビット未満のRSA鍵は受け付けない
・CBC cipherはデフォルトで提供しない
古いssh鯖だと1024ビット未満制限とかCBCに引っかかるところあるんじゃないかな?
・ssh-1プロトコル完全に捨て
・arcfour,blowfish,CAST捨て
・1024ビット未満のRSA鍵は受け付けない
・CBC cipherはデフォルトで提供しない
古いssh鯖だと1024ビット未満制限とかCBCに引っかかるところあるんじゃないかな?
2017/10/04(水) 22:18:08.06
RSA鍵長のデフォルトが1024ビットのときなんてあったっけ?
2017/10/04(水) 22:19:06.74
間違い
1024未満のとき
1024未満のとき
2017/10/04(水) 23:20:01.18
CBC捨てるのはナゼ?
昔、実装の問題があったのは覚えてるけど、仕様自体に問題があるの?
昔、実装の問題があったのは覚えてるけど、仕様自体に問題があるの?
2017/10/18(水) 17:08:22.12
CBC自体にはPadding Oracleを防ぐ・検出する仕組みがない
2017/10/31(火) 09:57:53.95
>>424
UnixもLinuxの親戚なんだからいいだろ
UnixもLinuxの親戚なんだからいいだろ
2017/10/31(火) 10:43:50.94
ダメです
2017/10/31(火) 10:49:45.97
LinuxはUNIXではないんだが
2017/10/31(火) 11:50:48.99
2017/10/31(火) 12:15:05.05
>>433
それ言いだすとFreeBSDとかも除外されてしまう
それ言いだすとFreeBSDとかも除外されてしまう
2017/12/16(土) 19:15:52.16
Using the OpenSSH Beta in Windows 10 Fall Creators Update and Windows Server 1709
https://blogs.msdn.microsoft.com/powershell/2017/12/15/using-the-openssh-beta-in-windows-10-fall-creators-update-and-windows-server-1709/
https://blogs.msdn.microsoft.com/powershell/2017/12/15/using-the-openssh-beta-in-windows-10-fall-creators-update-and-windows-server-1709/
2017/12/22(金) 18:51:19.12
Agent Forwardingは
A->B->Cって繋げていくとき
AからBの鍵とBからCの鍵が同じじゃないと出来ないと思うんですけど
あってますか?
A->B->Cって繋げていくとき
AからBの鍵とBからCの鍵が同じじゃないと出来ないと思うんですけど
あってますか?
2017/12/22(金) 20:17:45.61
>>437
必要な鍵は「AからBの鍵」と、「AからCの鍵」
それらは別の鍵でいい
「BからCの鍵」は不要だよ
それらをすべて同じ鍵にすると、BにはAの秘密鍵も公開鍵も配置する必要があり
真に重要な鍵(Aの秘密鍵)を他人(B)に預けずに済むというAgent Forwardingのメリットが
なくなってしまっているのでは
必要な鍵は「AからBの鍵」と、「AからCの鍵」
それらは別の鍵でいい
「BからCの鍵」は不要だよ
それらをすべて同じ鍵にすると、BにはAの秘密鍵も公開鍵も配置する必要があり
真に重要な鍵(Aの秘密鍵)を他人(B)に預けずに済むというAgent Forwardingのメリットが
なくなってしまっているのでは
2017/12/23(土) 04:08:25.92
ありがとうございます。
まとめるとB→Cの鍵がいらないかわりにA→Cの鍵とA→B使う
ことですね。
まとめるとB→Cの鍵がいらないかわりにA→Cの鍵とA→B使う
ことですね。
440名無しさん@お腹いっぱい。
2017/12/29(金) 07:03:23.63 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
KMBRYP28K7
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
KMBRYP28K7
441名無しさん@お腹いっぱい。
2018/02/05(月) 09:29:37.72 sshで接続されたとき、クライアント側のオプションによって
クライアントが、サーバに接続したときにポートフォワードの設定ができますよね
これをサーバ側からできませんか?
サーバが、クライアントから接続されたときにポートフォワードの設定をしたい
クライアントが、サーバに接続したときにポートフォワードの設定ができますよね
これをサーバ側からできませんか?
サーバが、クライアントから接続されたときにポートフォワードの設定をしたい
442名無しさん@お腹いっぱい。
2018/02/06(火) 08:26:48.25 >>441
「サーバ側」の意味がよく分からないが、サーバ側でリスンしてクライアント側に繋ぐなら-Rでよいかと。
それとも繋いで来たクライアントにポートフォワードを強制させるサーバ側の設定があるかということ?
多分それは無理だと思う。
「サーバ側」の意味がよく分からないが、サーバ側でリスンしてクライアント側に繋ぐなら-Rでよいかと。
それとも繋いで来たクライアントにポートフォワードを強制させるサーバ側の設定があるかということ?
多分それは無理だと思う。
2018/02/08(木) 10:30:59.87
2018/02/14(水) 09:20:46.82
☆ 私たち日本人の、を改正しましょう。現在、
衆議員と参議院の両院で、改憲議員が3分の2を超えております。
衆議員と参議院の両院で、改憲議員が3分の2を超えております。
2018/04/09(月) 22:08:02.38
OpenSSH 7.7出たけど今回はあんま変わってないね。
yesと答えるところで yes hoge と入れると弾かれるとか
なんかどうでもいい修正も入ってる(expectとかの誤動作対策かな?)
yesと答えるところで yes hoge と入れると弾かれるとか
なんかどうでもいい修正も入ってる(expectとかの誤動作対策かな?)
2018/04/24(火) 21:58:54.21
sssssss
447名無しさん@お腹いっぱい。
2018/04/25(水) 10:36:59.11 てすと
448名無しさん@お腹いっぱい。
2018/04/25(水) 10:39:23.44 sshでログイン時に表示されるhow toのような物を表示させたくないので
その設定方法を教えて下さい
sshd_configで
PrintMotd no
Banner none
上記の設定でOSの起動時のメッセージは表示されなくなったけど
何種類かのhow toのような物がランダムな順序で表示される
その設定方法を教えて下さい
sshd_configで
PrintMotd no
Banner none
上記の設定でOSの起動時のメッセージは表示されなくなったけど
何種類かのhow toのような物がランダムな順序で表示される
2018/04/25(水) 10:40:35.07
追加です
●サーバー側
OS: FreeBSD 11.1
ssh: OpenSSH_7.2p2
●端末側
OS: Win7
sshクライアント: PuTTY
●サーバー側
OS: FreeBSD 11.1
ssh: OpenSSH_7.2p2
●端末側
OS: Win7
sshクライアント: PuTTY
2018/04/25(水) 14:15:46.83
>>448
fortune のことかな。.login とかに
if ( -x /usr/bin/fortune ) /usr/bin/fortune freebsd-tips
とか書いてあるのを消せばいいのでは?
fortune のことかな。.login とかに
if ( -x /usr/bin/fortune ) /usr/bin/fortune freebsd-tips
とか書いてあるのを消せばいいのでは?
2018/04/25(水) 17:46:10.72
2018/04/28(土) 16:05:46.52
~/.hushloginをtouch
453名無しさん@お腹いっぱい。
2018/05/22(火) 02:42:32.57 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
K9FUK
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
K9FUK
2018/08/26(日) 17:44:28.60
openssl-1.1.1-pre9 が出たので ライブラリだけ再コンパイルしたんだが
sshd って再コンパイルしてやらないと動いてくれないのな。
めんどくさい。
# `pwd`/sshd
OpenSSL version mismatch. Built against 10101008, you have 10101009
sshd って再コンパイルしてやらないと動いてくれないのな。
めんどくさい。
# `pwd`/sshd
OpenSSL version mismatch. Built against 10101008, you have 10101009
2018/10/13(土) 19:35:30.76
2018/10/28(日) 17:16:17.45
OpenSSH-7.9p1 って OpenSSL-1.1.x サポートするようになったのね。
パッチ当てなくてもconfigureも通るしコンパイルできる。
EVP_CipherInit_ex のパッチは必要でなくなったのかな?
パッチ当てなくてもconfigureも通るしコンパイルできる。
EVP_CipherInit_ex のパッチは必要でなくなったのかな?
457名無しさん@お腹いっぱい。
2018/11/11(日) 19:15:52.322019/02/08(金) 20:47:38.70
ポートフォワード経由でWindowsファイル共有ってできるかな?
RDPはできてるんだが。
RDPはできてるんだが。
2019/03/29(金) 18:11:32.25
Solaris 11.4 の sshd (OpenSSH_7.5p1, OpenSSL 1.0.2o 27 Mar 2018) の設定なのですが
sshd_config に、
# Site local settings
Match Address *,!192.168.1.0/24
MaxAuthTries 0
のようにして指定のIPアドレス以外からの接続を拒否しています。
これに、あるドメイン(例: *hogehoge.com)からのアクセスも受け付けるようにしたいのですが
Match host *,!*.hogehoge.com
MaxAuthTries 0
のように記述を加えたらどこからもアクセスできなくなってしまいました。
Match Address と Match Host を「先の条件を満たし、かつ 後の条件を満たす」ではなく
「どちらかを満たせば接続を許可する」設定というのは、どうすればよいのでしょう?
Match address *,!192.168.0.0/24 and Mtach host *,!hogehoge.com
MaxAuthTries 0
なんて論理式書ければいいんですが そういうのは無いですよね?
ちなみに件の sshd には、tcp_wrappers はリンクされていません。
sshd_config に、
# Site local settings
Match Address *,!192.168.1.0/24
MaxAuthTries 0
のようにして指定のIPアドレス以外からの接続を拒否しています。
これに、あるドメイン(例: *hogehoge.com)からのアクセスも受け付けるようにしたいのですが
Match host *,!*.hogehoge.com
MaxAuthTries 0
のように記述を加えたらどこからもアクセスできなくなってしまいました。
Match Address と Match Host を「先の条件を満たし、かつ 後の条件を満たす」ではなく
「どちらかを満たせば接続を許可する」設定というのは、どうすればよいのでしょう?
Match address *,!192.168.0.0/24 and Mtach host *,!hogehoge.com
MaxAuthTries 0
なんて論理式書ければいいんですが そういうのは無いですよね?
ちなみに件の sshd には、tcp_wrappers はリンクされていません。
2019/03/29(金) 19:02:41.08
自己解決できてしまいました。
まずどうやってもうまくいかなかった理由
UseDNS no
デフォルトでは DNS 逆引きをしてくれませんでした。マッチする筈がない。
次に * で拒絶して、! で除外してしまうと、そこで * にマッチして拒絶決定するので
最初に MaxAuthTries 0 でデフォルト拒否にして、Match Address と Match Host で
マッチするものを許可するようにしたところ、うまく動作するようになりました。
# Site local settings
UseDNS yes
MaxAuthTries 0
Match Address 192.168.1.0/24
MaxAuthTries 6
Match Host *.hogehoge.com
MaxAuthTries 6
まずどうやってもうまくいかなかった理由
UseDNS no
デフォルトでは DNS 逆引きをしてくれませんでした。マッチする筈がない。
次に * で拒絶して、! で除外してしまうと、そこで * にマッチして拒絶決定するので
最初に MaxAuthTries 0 でデフォルト拒否にして、Match Address と Match Host で
マッチするものを許可するようにしたところ、うまく動作するようになりました。
# Site local settings
UseDNS yes
MaxAuthTries 0
Match Address 192.168.1.0/24
MaxAuthTries 6
Match Host *.hogehoge.com
MaxAuthTries 6
2019/03/29(金) 19:37:31.06
ところで、IPアドレスで接続制限をするために MaxAuthTries を 0 にするっていうのは
Oracle Solaris のドキュメントを見て設定したんだけど
これだと Teraterm Pro のパスワード入力画面は出てしまうし、
(試行回数 0 なので正しいパスワードを入れても拒否される)
tcp_wrappers みたいに「接続してきた時点で認証前に接続を切断」
またはそれに近い、もっとスマートな方法はないですかね?
Oracle Solaris のドキュメントを見て設定したんだけど
これだと Teraterm Pro のパスワード入力画面は出てしまうし、
(試行回数 0 なので正しいパスワードを入れても拒否される)
tcp_wrappers みたいに「接続してきた時点で認証前に接続を切断」
またはそれに近い、もっとスマートな方法はないですかね?
2019/03/29(金) 20:57:30.98
AuthenticationMethods none どないだ?
2019/03/30(土) 23:35:44.69
>>462
やってみるっす!
やってみるっす!
2019/03/31(日) 14:04:06.34
>>462
デフォルトを none、Match に match した場合に any になるようにしてみましたが、
none が適用される状況でも MaxAuthTries で指定した回数を超えるまでパスワード入力
できてしまいますね。もっとも、正しいパスワードを入力しても
Permission denied, please try again.
が繰り返し表示されてログインできないのですが。
単純に disconnect ってディレクティブが使えればねー
デフォルトを none、Match に match した場合に any になるようにしてみましたが、
none が適用される状況でも MaxAuthTries で指定した回数を超えるまでパスワード入力
できてしまいますね。もっとも、正しいパスワードを入力しても
Permission denied, please try again.
が繰り返し表示されてログインできないのですが。
単純に disconnect ってディレクティブが使えればねー
2019/04/01(月) 00:02:41.38
sshのconfigは腐りすぎててどうしようもないと思うんだ
AuthenticationMethodsは認証通過可能なものを設定するだけで、個々の認証に挑戦するかどうかは
PubkeyAuthenticationやPasswordAuthenticationなどの*Authenticationで決まる
つまり全ての*Authenticationをnoにすることで認証に挑戦しなくなる
ただしデフォルトをnoにすると機能しなくなる認証タイプもあるという腐れっぷりなので注意が必要かも
そういう場合、デフォルトをyesにしておいて、最後の最後でMatch *でnoするとかの小細工がいる
AuthenticationMethodsは認証通過可能なものを設定するだけで、個々の認証に挑戦するかどうかは
PubkeyAuthenticationやPasswordAuthenticationなどの*Authenticationで決まる
つまり全ての*Authenticationをnoにすることで認証に挑戦しなくなる
ただしデフォルトをnoにすると機能しなくなる認証タイプもあるという腐れっぷりなので注意が必要かも
そういう場合、デフォルトをyesにしておいて、最後の最後でMatch *でnoするとかの小細工がいる
2019/04/02(火) 22:23:11.87
>> sshのconfigは腐りすぎててどうしようもないと思うんだ
にもかかわらず、
Oracle Solaris にしろ debian にしろ、素の OpenSSH 実装に変えてきてるしねぇ
にもかかわらず、
Oracle Solaris にしろ debian にしろ、素の OpenSSH 実装に変えてきてるしねぇ
2019/05/05(日) 23:44:43.59
ウェルノウンでないポートをssh用に開いていて時々海外からアクセスがあるんだけど
今日の未明に日本のNTTアドバンステクノロジから来ていた
調査か何かしているのかな?連休の未明だから間違えて接続とかではなさそうだし
今日の未明に日本のNTTアドバンステクノロジから来ていた
調査か何かしているのかな?連休の未明だから間違えて接続とかではなさそうだし
2019/05/07(火) 13:51:49.14
https://notice.go.jp/
これの関係かな
これの関係かな
2019/05/08(水) 00:48:09.00
NICTのアドレスからじゃないのか
NTT-ATに発注したのかな
NTT-ATに発注したのかな
2019/05/10(金) 20:11:25.43
IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新)
https://www.nict.go.jp/info/topics/2019/02/13-2.html
https://www.nict.go.jp/info/topics/2019/02/13-2.html
2019/05/11(土) 14:13:04.81
472名無しさん@お腹いっぱい。
2019/06/06(木) 01:11:49.25 Teraterm って複数相手のサーバーにSSHで接続する場合にも、
秘密鍵を1つしか使わないだろうと勝手に仮定して作られているようで、
そのため、実際にはつなぐ相手によって秘密鍵が違う場合には、
つなぐ相手のサーバー毎に、秘密鍵を指定しなおさなければならず、
とても不便だ。
接続先のサーバーと秘密鍵の組み合わせを登録できなきゃ不便だ。
Unixの上のSSHだったら、 .ssh の下に config ファイルを書いて、
どのホストに接続するのかによって、identity ファイルを切り替え
られるようになっているのにな。
秘密鍵を1つしか使わないだろうと勝手に仮定して作られているようで、
そのため、実際にはつなぐ相手によって秘密鍵が違う場合には、
つなぐ相手のサーバー毎に、秘密鍵を指定しなおさなければならず、
とても不便だ。
接続先のサーバーと秘密鍵の組み合わせを登録できなきゃ不便だ。
Unixの上のSSHだったら、 .ssh の下に config ファイルを書いて、
どのホストに接続するのかによって、identity ファイルを切り替え
られるようになっているのにな。
2019/06/06(木) 03:30:56.56
宛先と鍵ファイルまでコマンドラインで指定したショートカットファイルを作ればいいんだと思う
2019/06/06(木) 10:36:01.85
tereterm menu
2019/07/06(土) 19:30:20.15
ホームディレクトリに生成される~/.sshディレクトリってどうしても移せないのかな。
できればホームディレクトリがすっきりしている方が嬉しいので~/.config/sshあたりに移したい。
できればホームディレクトリがすっきりしている方が嬉しいので~/.config/sshあたりに移したい。
476名無しさん@お腹いっぱい。
2019/07/06(土) 20:44:38.73 そのおかしな感情を消す努力をした方が
後々のあなたの人生において
いろいろなことが優位に動くでしょう
後々のあなたの人生において
いろいろなことが優位に動くでしょう
2019/07/08(月) 10:47:25.14
なぜ返信したしw
2019/07/08(月) 22:08:03.15
AuthorizedKeysFile を ~/.config/.ssh/authorized_keys にすればお望み通りになるだろう
だが、それで何かがすっきりするとは思えん
だが、それで何かがすっきりするとは思えん
2019/07/10(水) 01:49:41.06
pathnames.h の _PATH_SSH_USER_DIR を書き替えてコンパイルするしかないんじゃね
2019/07/10(水) 06:42:05.04
お前ら本当は『このすば』のアクアと結婚したいんだろ。素直になれよ
2019/07/14(日) 15:16:29.13
2019/08/26(月) 23:04:30.22
>>480
めぐみんがいいです
scanner1.openportstats.com[89.248.168.62]という怪しい客人から隠し扉をノックされたw
ああいうのはいちいち大きな番号のポートまでスキャンして、開いているとSSHのログインを試行しているのかな
めぐみんがいいです
scanner1.openportstats.com[89.248.168.62]という怪しい客人から隠し扉をノックされたw
ああいうのはいちいち大きな番号のポートまでスキャンして、開いているとSSHのログインを試行しているのかな
2019/08/27(火) 20:42:49.12
ポートスキャンすらされない1ケタ番台ポートを隠し扉にするって手もあるぞw
OpenSSH 8.0p1 を OpenSSL 1.1.1でコンパイルしてmake test全部通ったやしいる?
公式には非対応だけどビルドはできる。
ただ漏れマシンななんか怪しくてmake LTESTS=rekey t-exec がランダムに
通ったり通らなかったりする
OpenSSH 8.0p1 を OpenSSL 1.1.1でコンパイルしてmake test全部通ったやしいる?
公式には非対応だけどビルドはできる。
ただ漏れマシンななんか怪しくてmake LTESTS=rekey t-exec がランダムに
通ったり通らなかったりする
2019/08/27(火) 23:08:54.16
$ ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1a-freebsd 20 Nov 2018
ちなみにsynスキャン、finスキャンは全部蹴ってる
pfのルールもsynproxy + antispoof
今のところ結構効果はあると、、思う
OpenSSH_8.0p1, OpenSSL 1.1.1a-freebsd 20 Nov 2018
ちなみにsynスキャン、finスキャンは全部蹴ってる
pfのルールもsynproxy + antispoof
今のところ結構効果はあると、、思う
2019/08/29(木) 15:43:09.69
ports treeから
# make test
〜〜〜〜〜〜
all tests passed
1699.705u 100.260s 48:55.51 61.3% 305+337k 97+724io 25pf+0w
# /usr/local/bin/ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1c 28 May 2019
# make test
〜〜〜〜〜〜
all tests passed
1699.705u 100.260s 48:55.51 61.3% 305+337k 97+724io 25pf+0w
# /usr/local/bin/ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1c 28 May 2019
2019/10/14(月) 01:46:02.67
>>480
ゆんゆんでお願いします
ゆんゆんでお願いします
2019/11/22(金) 12:37:21.98
OpenSSH U2F/FIDO support in base
https://undeadly.org/cgi?action=article;sid=20191115064850
yubicoとかと組み合わせられるようになるのかな。
https://undeadly.org/cgi?action=article;sid=20191115064850
yubicoとかと組み合わせられるようになるのかな。
2020/01/19(日) 19:16:24.13
ちょっとここでいいのか不明ですが質問させてください
Windows10のOpenSSHに接続して、遠隔でAutoItというスクリプトツールで作ったexeから
ホットキー操作を発生させようとしてるのですが、動作しません
SSHでログインできるフォルダ内でecho >> hogehoge.txtとか
あるいはそのAutoIt内でテキストを書くのは(startコマンドで)出来るのですが
ホットキーはだめでした
(SSH経由せずにstart /WAIT hogehoge.exeなら普通に動く)
こういうのはSSHでは不可能なんでしょうか?
Windows10のOpenSSHに接続して、遠隔でAutoItというスクリプトツールで作ったexeから
ホットキー操作を発生させようとしてるのですが、動作しません
SSHでログインできるフォルダ内でecho >> hogehoge.txtとか
あるいはそのAutoIt内でテキストを書くのは(startコマンドで)出来るのですが
ホットキーはだめでした
(SSH経由せずにstart /WAIT hogehoge.exeなら普通に動く)
こういうのはSSHでは不可能なんでしょうか?
2020/01/19(日) 22:31:34.39
自己解決、というかとりあえずテキストにコマンド書いてファイル監視でうまくいったので
これでいくことにしました、失礼しました
これでいくことにしました、失礼しました
2020/03/11(水) 00:31:44.87
OpenSSH-8.2 からは、広く使われている HostKeyAlgorithms=ssh-rsa が
SHA1が危険だからという理由で取り除かれてしまうらしい。
ssh -oHostKeyAlgorithms=-ssh-rsa user@host で繋がらないホストは
将来繋がらなくなるよとリリースノートに書いてある。
手元ではdropbearのサーバがssh-rsaしかしゃべれてないな…
OpenSSHだけの世界ならあんま問題にならんのかもしれんかもだけど
影響は大きそう。
SHA1が危険だからという理由で取り除かれてしまうらしい。
ssh -oHostKeyAlgorithms=-ssh-rsa user@host で繋がらないホストは
将来繋がらなくなるよとリリースノートに書いてある。
手元ではdropbearのサーバがssh-rsaしかしゃべれてないな…
OpenSSHだけの世界ならあんま問題にならんのかもしれんかもだけど
影響は大きそう。
2020/03/26(木) 19:49:44.20
WANに存在する踏み台を経由して接続してきた相手の大元のipを調べることはできますか?
プロバイダの協力は無しという条件で
プロバイダの協力は無しという条件で
2020/03/26(木) 22:03:01.47
その踏み台の協力が無ければ出来ないでしょう
2020/04/07(火) 18:28:32.82
https://github.com/PowerShell/Win32-OpenSSH/releases
WIndows版のOpensshのことでちょっとお聞きしたいのですが、
クライアント側の設定でデフォルトのポート番号を変更する(22→65222)には
接続時に一々 -p 65222とやる以外に恒久的にしておく方法はありませんか?
Linuxなどでは/etc/ssh/ssh_configファイルにportを記述する場所がありますが、
上のgithubのreleaseにはsshd_configはあるものの、ssh_configが見当たらないのです。
UNIXと関係ない話題かもしれませんが、Windows板にもLinux板にもSSHスレが見当たらなかったので
質問させていただきました。どうも失礼しました。
WIndows版のOpensshのことでちょっとお聞きしたいのですが、
クライアント側の設定でデフォルトのポート番号を変更する(22→65222)には
接続時に一々 -p 65222とやる以外に恒久的にしておく方法はありませんか?
Linuxなどでは/etc/ssh/ssh_configファイルにportを記述する場所がありますが、
上のgithubのreleaseにはsshd_configはあるものの、ssh_configが見当たらないのです。
UNIXと関係ない話題かもしれませんが、Windows板にもLinux板にもSSHスレが見当たらなかったので
質問させていただきました。どうも失礼しました。
2020/04/07(火) 21:15:10.64
Windows でもユーザーのホームディレクトリ下に .ssh ディレクトリを作って、その中に置けばいいのではないかと
C:\Users\(ユーザー名)\.ssh\ssh_config
C:\Users\(ユーザー名)\.ssh\ssh_config
2020/04/08(水) 07:52:29.78
>>494
ファイル名がssh_configではなくconfigならいけました。
ここらへんはLinux等と同じようです。
ただwin8.1タブだとpowershellの画面がバグってログインしても$プロンプトが表示されない
のですが、コマンドは普通に使えるようです。
とにかく、教えてくださってありがとうございました。
ファイル名がssh_configではなくconfigならいけました。
ここらへんはLinux等と同じようです。
ただwin8.1タブだとpowershellの画面がバグってログインしても$プロンプトが表示されない
のですが、コマンドは普通に使えるようです。
とにかく、教えてくださってありがとうございました。
2020/04/11(土) 17:52:24.81
同じ鍵ペアでもサーバーが異なればホストキーのハッシュやVisualHostKeyは変わりますか?
2020/04/11(土) 18:19:19.56
同じ鍵ペアとは、sshサーバーが持っているホストキーの話ですか?
別のサーバーでもホストキーが同じならハッシュやVisualHostKeyも同じになります
https://cloud-news.sakura.ad.jp/2016/04/27/ssh-host-key/
こういうことが起きます
別のサーバーでもホストキーが同じならハッシュやVisualHostKeyも同じになります
https://cloud-news.sakura.ad.jp/2016/04/27/ssh-host-key/
こういうことが起きます
2020/04/11(土) 18:38:48.87
即レスありがとうございます
勘違いしていました
VisualHostKeyはサーバーのホストキーのイメージなんですね
ではssh-keygenで作成した公開鍵のfingerprintのrandomartは、
どういうときに使用されるのでしょうか
これを確認する方法はありますか?
勘違いしていました
VisualHostKeyはサーバーのホストキーのイメージなんですね
ではssh-keygenで作成した公開鍵のfingerprintのrandomartは、
どういうときに使用されるのでしょうか
これを確認する方法はありますか?
2020/04/11(土) 18:40:23.01
秘密鍵と公開鍵のペアのfingerprintが正しいのかな
レスを投稿する
ニュース
- 日本行き空路49万件キャンセル 中国自粛呼びかけ 日本行きチケット予約の約32%に相当 [ぐれ★]
- 【中国外務省】日中関係悪化は高市氏に責任と名指しで非難… ★3 [BFU★]
- 【中国外務省】日中関係悪化は高市氏に責任と名指しで非難… ★2 [BFU★]
- 小野田紀美・経済安保担当相「何か気に入らないことがあればすぐに経済的威圧をする国への依存はリスク」 ★2 [Hitzeschleier★]
- 外務省局長は無言で厳しい表情…日中の高官協議終了か 高市首相“台湾”発言で中国が強硬対応 発言撤回求めたか…★2 [BFU★]
- 小野田紀美・経済安保担当相「何か気に入らないことがあればすぐに経済的威圧をする国への依存はリスク」 [Hitzeschleier★]
- 中国高官と話す外務省局長の表情、やばい ★2 [175344491]
- ラーメン屋「日高屋が安いせいで客が来ない!日高屋はもっと値上げしろ!」 [449534113]
- 【高市速報】日本人の3割「中国への武力行使に踏み切る必要がある」ANN世論調査 [931948549]
- 外務省局長、よくわからないまま帰国へ [834922174]
- 本日開催の人口戦略本部に安倍晋三が出席😲 生きとったんかワレ [884040186]
- 中国外務省「日中関係の悪化は高市早苗首相が原因」と名指しで強く非難。キタ━(゚∀゚)━! [153490809]