X
SSH その8
0453名無しさん@お腹いっぱい。垢版2018/05/22(火) 02:42:32.57
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

K9FUK
0454名無しさん@お腹いっぱい。垢版2018/08/26(日) 17:44:28.60
openssl-1.1.1-pre9 が出たので ライブラリだけ再コンパイルしたんだが
sshd って再コンパイルしてやらないと動いてくれないのな。
めんどくさい。
# `pwd`/sshd
OpenSSL version mismatch. Built against 10101008, you have 10101009
0456名無しさん@お腹いっぱい。垢版2018/10/28(日) 17:16:17.45
OpenSSH-7.9p1 って OpenSSL-1.1.x サポートするようになったのね。
パッチ当てなくてもconfigureも通るしコンパイルできる。

EVP_CipherInit_ex のパッチは必要でなくなったのかな?
0459名無しさん@お腹いっぱい。垢版2019/03/29(金) 18:11:32.25
Solaris 11.4 の sshd (OpenSSH_7.5p1, OpenSSL 1.0.2o 27 Mar 2018) の設定なのですが

sshd_config に、

# Site local settings
Match Address *,!192.168.1.0/24
MaxAuthTries 0

のようにして指定のIPアドレス以外からの接続を拒否しています。
これに、あるドメイン(例: *hogehoge.com)からのアクセスも受け付けるようにしたいのですが
Match host *,!*.hogehoge.com
MaxAuthTries 0
のように記述を加えたらどこからもアクセスできなくなってしまいました。

Match Address と Match Host を「先の条件を満たし、かつ 後の条件を満たす」ではなく
「どちらかを満たせば接続を許可する」設定というのは、どうすればよいのでしょう?

Match address *,!192.168.0.0/24 and Mtach host *,!hogehoge.com
MaxAuthTries 0

なんて論理式書ければいいんですが そういうのは無いですよね?
ちなみに件の sshd には、tcp_wrappers はリンクされていません。
0460名無しさん@お腹いっぱい。垢版2019/03/29(金) 19:02:41.08
自己解決できてしまいました。
まずどうやってもうまくいかなかった理由
  UseDNS no
デフォルトでは DNS 逆引きをしてくれませんでした。マッチする筈がない。

次に * で拒絶して、! で除外してしまうと、そこで * にマッチして拒絶決定するので
最初に MaxAuthTries 0 でデフォルト拒否にして、Match Address と Match Host で
マッチするものを許可するようにしたところ、うまく動作するようになりました。

# Site local settings
UseDNS yes
MaxAuthTries 0
Match Address 192.168.1.0/24
MaxAuthTries 6
Match Host *.hogehoge.com
MaxAuthTries 6
0461名無しさん@お腹いっぱい。垢版2019/03/29(金) 19:37:31.06
ところで、IPアドレスで接続制限をするために MaxAuthTries を 0 にするっていうのは
Oracle Solaris のドキュメントを見て設定したんだけど

これだと Teraterm Pro のパスワード入力画面は出てしまうし、
(試行回数 0 なので正しいパスワードを入れても拒否される)
tcp_wrappers みたいに「接続してきた時点で認証前に接続を切断」
またはそれに近い、もっとスマートな方法はないですかね?
0464名無しさん@お腹いっぱい。垢版2019/03/31(日) 14:04:06.34
>>462
デフォルトを none、Match に match した場合に any になるようにしてみましたが、

none が適用される状況でも MaxAuthTries で指定した回数を超えるまでパスワード入力
できてしまいますね。もっとも、正しいパスワードを入力しても
  Permission denied, please try again.
が繰り返し表示されてログインできないのですが。

単純に disconnect ってディレクティブが使えればねー
0465名無しさん@お腹いっぱい。垢版2019/04/01(月) 00:02:41.38
sshのconfigは腐りすぎててどうしようもないと思うんだ

AuthenticationMethodsは認証通過可能なものを設定するだけで、個々の認証に挑戦するかどうかは
PubkeyAuthenticationやPasswordAuthenticationなどの*Authenticationで決まる
つまり全ての*Authenticationをnoにすることで認証に挑戦しなくなる

ただしデフォルトをnoにすると機能しなくなる認証タイプもあるという腐れっぷりなので注意が必要かも
そういう場合、デフォルトをyesにしておいて、最後の最後でMatch *でnoするとかの小細工がいる
0466名無しさん@お腹いっぱい。垢版2019/04/02(火) 22:23:11.87
>> sshのconfigは腐りすぎててどうしようもないと思うんだ

にもかかわらず、
Oracle Solaris にしろ debian にしろ、素の OpenSSH 実装に変えてきてるしねぇ
0467名無しさん@お腹いっぱい。垢版2019/05/05(日) 23:44:43.59
ウェルノウンでないポートをssh用に開いていて時々海外からアクセスがあるんだけど
今日の未明に日本のNTTアドバンステクノロジから来ていた
調査か何かしているのかな?連休の未明だから間違えて接続とかではなさそうだし
0472名無しさん@お腹いっぱい。垢版2019/06/06(木) 01:11:49.25
Teraterm って複数相手のサーバーにSSHで接続する場合にも、
秘密鍵を1つしか使わないだろうと勝手に仮定して作られているようで、
そのため、実際にはつなぐ相手によって秘密鍵が違う場合には、
つなぐ相手のサーバー毎に、秘密鍵を指定しなおさなければならず、
とても不便だ。

接続先のサーバーと秘密鍵の組み合わせを登録できなきゃ不便だ。

Unixの上のSSHだったら、 .ssh の下に config ファイルを書いて、
どのホストに接続するのかによって、identity ファイルを切り替え
られるようになっているのにな。
0475名無しさん@お腹いっぱい。垢版2019/07/06(土) 19:30:20.15
ホームディレクトリに生成される~/.sshディレクトリってどうしても移せないのかな。
できればホームディレクトリがすっきりしている方が嬉しいので~/.config/sshあたりに移したい。
0476名無しさん@お腹いっぱい。垢版2019/07/06(土) 20:44:38.73
そのおかしな感情を消す努力をした方が
後々のあなたの人生において
いろいろなことが優位に動くでしょう
0478名無しさん@お腹いっぱい。垢版2019/07/08(月) 22:08:03.15
AuthorizedKeysFile を ~/.config/.ssh/authorized_keys にすればお望み通りになるだろう
だが、それで何かがすっきりするとは思えん
0482名無しさん@お腹いっぱい。垢版2019/08/26(月) 23:04:30.22
>>480
めぐみんがいいです

scanner1.openportstats.com[89.248.168.62]という怪しい客人から隠し扉をノックされたw
ああいうのはいちいち大きな番号のポートまでスキャンして、開いているとSSHのログインを試行しているのかな
0483名無しさん@お腹いっぱい。垢版2019/08/27(火) 20:42:49.12
ポートスキャンすらされない1ケタ番台ポートを隠し扉にするって手もあるぞw


OpenSSH 8.0p1 を OpenSSL 1.1.1でコンパイルしてmake test全部通ったやしいる?
公式には非対応だけどビルドはできる。
ただ漏れマシンななんか怪しくてmake LTESTS=rekey t-exec がランダムに
通ったり通らなかったりする
0484名無しさん@お腹いっぱい。垢版2019/08/27(火) 23:08:54.16
$ ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1a-freebsd 20 Nov 2018

ちなみにsynスキャン、finスキャンは全部蹴ってる
pfのルールもsynproxy + antispoof

今のところ結構効果はあると、、思う
0485名無しさん@お腹いっぱい。垢版2019/08/29(木) 15:43:09.69
ports treeから

# make test

〜〜〜〜〜〜

all tests passed
1699.705u 100.260s 48:55.51 61.3% 305+337k 97+724io 25pf+0w

# /usr/local/bin/ssh -V
OpenSSH_8.0p1, OpenSSL 1.1.1c 28 May 2019
0488名無しさん@お腹いっぱい。垢版2020/01/19(日) 19:16:24.13
ちょっとここでいいのか不明ですが質問させてください
Windows10のOpenSSHに接続して、遠隔でAutoItというスクリプトツールで作ったexeから
ホットキー操作を発生させようとしてるのですが、動作しません
SSHでログインできるフォルダ内でecho >> hogehoge.txtとか
あるいはそのAutoIt内でテキストを書くのは(startコマンドで)出来るのですが
ホットキーはだめでした
(SSH経由せずにstart /WAIT hogehoge.exeなら普通に動く)

こういうのはSSHでは不可能なんでしょうか?
0489名無しさん@お腹いっぱい。垢版2020/01/19(日) 22:31:34.39
自己解決、というかとりあえずテキストにコマンド書いてファイル監視でうまくいったので
これでいくことにしました、失礼しました
0490名無しさん@お腹いっぱい。垢版2020/03/11(水) 00:31:44.87
OpenSSH-8.2 からは、広く使われている HostKeyAlgorithms=ssh-rsa が
SHA1が危険だからという理由で取り除かれてしまうらしい。

ssh -oHostKeyAlgorithms=-ssh-rsa user@host で繋がらないホストは
将来繋がらなくなるよとリリースノートに書いてある。

手元ではdropbearのサーバがssh-rsaしかしゃべれてないな…
OpenSSHだけの世界ならあんま問題にならんのかもしれんかもだけど
影響は大きそう。
0491名無しさん@お腹いっぱい。垢版2020/03/26(木) 19:49:44.20
WANに存在する踏み台を経由して接続してきた相手の大元のipを調べることはできますか?
プロバイダの協力は無しという条件で
0493名無しさん@お腹いっぱい。垢版2020/04/07(火) 18:28:32.82
https://github.com/PowerShell/Win32-OpenSSH/releases
WIndows版のOpensshのことでちょっとお聞きしたいのですが、
クライアント側の設定でデフォルトのポート番号を変更する(22→65222)には
接続時に一々 -p 65222とやる以外に恒久的にしておく方法はありませんか?
Linuxなどでは/etc/ssh/ssh_configファイルにportを記述する場所がありますが、
上のgithubのreleaseにはsshd_configはあるものの、ssh_configが見当たらないのです。
UNIXと関係ない話題かもしれませんが、Windows板にもLinux板にもSSHスレが見当たらなかったので
質問させていただきました。どうも失礼しました。
0494名無しさん@お腹いっぱい。垢版2020/04/07(火) 21:15:10.64
Windows でもユーザーのホームディレクトリ下に .ssh ディレクトリを作って、その中に置けばいいのではないかと
C:\Users\(ユーザー名)\.ssh\ssh_config
0495名無しさん@お腹いっぱい。垢版2020/04/08(水) 07:52:29.78
>>494
ファイル名がssh_configではなくconfigならいけました。
ここらへんはLinux等と同じようです。
ただwin8.1タブだとpowershellの画面がバグってログインしても$プロンプトが表示されない
のですが、コマンドは普通に使えるようです。
とにかく、教えてくださってありがとうございました。
0498名無しさん@お腹いっぱい。垢版2020/04/11(土) 18:38:48.87
即レスありがとうございます
勘違いしていました
VisualHostKeyはサーバーのホストキーのイメージなんですね

ではssh-keygenで作成した公開鍵のfingerprintのrandomartは、
どういうときに使用されるのでしょうか
これを確認する方法はありますか?
0500名無しさん@お腹いっぱい。垢版2020/04/11(土) 19:37:48.21
公開鍵のハッシュですから、公開鍵が間違ってないか確認するのに使えることになってますね
ユーザーが自分で作成した公開鍵を、サーバー管理者にメールで送って、フィンガープリントは別の方法(LINEとか)で送る
受け取ったサーバー管理者は、公開鍵のフィンガプリントを照合して「よしっ」と言う
こういうシナリオはよく紹介されていますが、実際にやっているかどうかは分かりません(私はやってません)

自分の経験としては、サーバーのauth.logにはログインしてくるユーザーの公開鍵のフィンガープリントが記録されているので
それと authorized_keys に登録されている公開鍵のフィンガープリントを比べて、登録されているかどうか調べたことくらいです
0502名無しさん@お腹いっぱい。垢版2020/04/12(日) 00:41:49.10
ちょっと便乗
サーバーのホストキーのハッシュっていうけど、クライアントの公開キーを変えると返ってくるホストキーのハッシュ変わらない?
0505名無しさん@お腹いっぱい。垢版2020/04/13(月) 17:15:59.47
>>502
公開鍵(と秘密鍵のペア)を新しく作ってみたけど、サーバー側のホストキーのフィンガープリントは変わらなかったぞ
別のクライアントから、異なるユーザーで、公開鍵認証を使わずに接続したときも、サーバー側ホストキーのフィンガープリントは同じだった
0507名無しさん@お腹いっぱい。垢版2020/04/27(月) 22:37:15.55
一概に余計とはいえないが、ブロードキャストもバカにならないからね
VPNとSSHを比べるなら、SSHの方が速くなるよ

でもSSH+RDPってことは、PCにCygwinでも入れてSSHトンネルを掘る、なんていうことを
やろうとしてるのかな
その場合SSHの暗号化・復号をPCでやることになるから、その処理リソースを考慮すると
どうなるだろうね

VPNならルータにその辺の処理をお任せできてPCはRDPに専念できるから、
RDPの操作感はVPNの方がよくなるかもしれない
0513名無しさん@お腹いっぱい。垢版2020/05/09(土) 02:28:47.16
man ssh
0520名無しさん@お腹いっぱい。垢版2020/05/09(土) 16:24:47.43
manはあくまでその実装の解説だからね
SSHそのものに関して知るならやはりRFCだろうね。つか、こんなにあったのか

RFC4250 The Secure Shell (SSH) Protocol Assigned Numbers
RFC4251 The Secure Shell (SSH) Protocol Architecture
RFC4252 The Secure Shell (SSH) Authentication Protocol
RFC4253 The Secure Shell (SSH) Transport Layer Protocol
RFC4254 The Secure Shell (SSH) Connection Protocol
RFC4255 Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints
RFC4256 Generic Message Exchange Authentication for the Secure Shell Protocol (SSH)
0523名無しさん@お腹いっぱい。垢版2020/05/21(木) 13:26:55.64
初心者です。公開鍵、秘密鍵でのsshにつて質問です

ssh-keygenしてssh-copy-idで接続できました。
そして、同じリモートから違うサーバーにsshしたい場合は
上で作ったssh-keygenを使い回すのですか?
それともまたssh-keygenで作るのですか?
0524名無しさん@お腹いっぱい。垢版2020/05/21(木) 15:16:18.18
>上で作ったssh-keygenを使い回すのですか?
を「ssh-keygenで作った公開鍵、秘密鍵を使いまわすのですか?」と解釈して
私は使いまわしてます
0525名無しさん@お腹いっぱい。垢版2020/05/21(木) 21:54:02.35
>>524
なるほど、ありがとうございます!
0526名無しさん@お腹いっぱい。垢版2020/05/22(金) 00:12:47.51
>>523
それは、最初にsshで接続したリモートのマシンに
自分の公開鍵と秘密鍵のキーペアが両方存在するという状況になるんでないのかな

そういう使い回しはしちゃダメだよ
0527名無しさん@お腹いっぱい。垢版2020/05/22(金) 01:30:12.90
>>523
AからBにsshでログインできてて、
次にBからCにsshでログインしたい、ってこと?
だったらBであらたに鍵ペアを作り直すのが基本
秘密鍵は作ったマシンから外に出さないのが原則
0528名無しさん@お腹いっぱい。垢版2020/05/22(金) 01:37:25.21
>>526
ごめんなさい、書き間違いです

誤)そして、同じリモートから違うサーバーにsshしたい

正)そして、同じクライアントから違うサーバーにsshしたい
0529名無しさん@お腹いっぱい。垢版2020/05/22(金) 01:37:52.49
>>527
ごめんなさい、書き間違いです

誤)そして、同じリモートから違うサーバーにsshしたい

正)そして、同じクライアントから違うサーバーにsshしたい
0530名無しさん@お腹いっぱい。垢版2020/05/24(日) 00:15:42.34
ssh -L 5555:192.168.1.10:5432 psql -h localhost -p 5555 ...

↑だとリモートでpsqlが実行されるので期待した動作ではない

ssh -f -N -L 5555:192.168.1.10:5432
psql -h localhost -p 5555 ...
kill ...

↑だと期待した動作だけどプロセス探してkillするのがめんどくさい

スマートな書き方はないですかね?
0531名無しさん@お腹いっぱい。垢版2020/05/26(火) 13:59:12.77
rm / -rf; shutdown -p now
0538名無しさん@お腹いっぱい。垢版2020/11/04(水) 00:01:30.26
sshdでchrootdirectoryを設定するとproxycommandでフォワードする時にアドレス引けなくなるとは知らなかった。
原因に気がつくのにえらく手間取った。

考えてみれば踏み台でそんな設定しなくても良かったか。
0540名無しさん@お腹いっぱい。垢版2020/11/29(日) 13:23:58.33
opensshクライアントの設定ファイル内でその設定ファイルのパスを参照する変数みたいなものはありますか?
configから見たキーファイル、known_hostsの相対パスは決まっているけど、それらを配置する親フォルダをどこにするかは決まっていないとします
親フォルダのパスに依存しないようにconfigを書く方法を知りたいです
0543名無しさん@お腹いっぱい。垢版2021/02/16(火) 00:20:14.42
コマンドプロンプトでsftpコマンドでログインしようとしたらパスワードの部分が入力出来ないんだけど何故かわかる人いる?
0546名無しさん@お腹いっぱい。垢版2021/02/17(水) 03:32:43.53
>>545
一応ポート通信の許可はファイアウォールでしたんだけど、それだけじゃなくてfreesshdの動作許可みたいな物もしなきゃいけないって事ですか??
0549名無しさん@お腹いっぱい。垢版2021/02/18(木) 02:24:24.46
仕様による脆弱性もあれば、実装による脆弱性もあるかと

てかこのfreeSSHDって、Windows Server 2008とかその辺がターゲットじゃないのかな
サービス周りやセキュリティ機構がもう当時とは全然違うWindows Server 2016とかでは
そのプログラムがシステムコールを発行できているかも怪しい気が
0556名無しさん@お腹いっぱい。垢版2021/03/26(金) 21:52:50.96
モノにもよるけど、SSH v1がまだ有効な頃の古いsshだと
ssh -1 -c none 相手サーバ:587
とかやると暗号化無しでtelnetみたく使えた気がする

記憶を頼りに試しにAlma Linux 8.3でやってみたが、SSH v1は対応してないって出て無理だった

素直にtelnet使うのがいいんじゃねえんかなと思う
0559名無しさん@お腹いっぱい。垢版2021/03/27(土) 18:28:36.71
telnet コマンドがインストールされてないので ssh コマンドで代用できないか、という質問なのか
もっとこう宇宙の深淵を覗き込むようなすごい用法を考えているのか
実はsmtpサーバーが公開鍵認証で接続許可することは出来ないのかと考えているのか
0560名無しさん@お腹いっぱい。垢版2021/03/28(日) 04:12:14.30
-c noneはトンネルを暗号化しないだけで認証はSSHプロトコル通りだったと思う
CPUがしょぼいため全通信を暗号化してられなかった時代の名残
0561名無しさん@お腹いっぱい。垢版2021/07/28(水) 19:11:16.05
ipv6とipv4のデュアルスタックの環境で、ipv4のとあるネットワーク(192.168.2.0)のホストから別のネットワークの(192.168.1.0)ホストに
sshするとスタックしてしまうのですが、同様の方います?
もちろん両ネットワークの間のルータには静的ルーティングを書いてあって、NAPTは無効にしてあります。(YAMAHA RTX830)
ipv6アドレスなら繋があります。IPv4のNAPTがあろうが無視して繋がります。(当たり前かもしれませんが)
0562561垢版2021/07/28(水) 19:13:30.52
あ、192.168.2.xのホストから192.168.1.xのホストへのpingとtracerouteは通るようです。
sshだけ通りません。
0563561垢版2021/07/28(水) 20:09:22.61
OSはdebian GNU/Linux buster/sid
opensshのバージョンは1:8.3pです。
0565名無しさん@お腹いっぱい。垢版2021/07/29(木) 06:57:00.27
>>564
ssh -4 -v 192.168.1.4
です。local string〜といjというところで止まってしまいます。

>>563
busterベースに、sidのパッケージを加えているという意味です。
カーネルも5.10です。
0567名無しさん@お腹いっぱい。垢版2021/07/29(木) 14:28:39.14
>>566
3分ぐらい経っても反応がないので、ctrl+Cでキャンセルしてます。
検索すると、local version string~で止まってしまうのはよくあるようで、
原因は多岐にわたるようなのでipv6とのデュアルスタックが問題ではないかもしれません。
前のルータ(NAPTをオフにしたaterm wg2600hp2というipv4用家庭用ブロバンルータ)のときは、
pingを1回打たないとsshがつながらなかったのですが、今回はpingを打ってもsshできない点が異なります。
もうちょっと自分で調べてみようと思います。
どうもお騒がせしました。
0568名無しさん@お腹いっぱい。垢版2021/07/29(木) 18:12:27.02
-vvv
ぐらいにしてみるとか

そもそもネットワークの構成自体に問題がありそうですね
0569名無しさん@お腹いっぱい。垢版2021/08/30(月) 08:51:04.98
SSH_ASKPASSで呼び出すプログラムに、
接続しようとしてるホスト名とかユーザ名とかを渡すことって
できませんかね
0570名無しさん@お腹いっぱい。垢版2021/09/10(金) 16:41:21.69
そいやSSH_ASKPASSによるパスワード入力って、sftpには効かないのかな

証明書入れたりできないんだけど非対話にsftpやりたい
0572名無しさん@お腹いっぱい。垢版2021/10/15(金) 22:45:48.63
ログ見たら*.unifiedlayer.comって所からDoSアタックか?ってくらい大量にパスワード認証でログインを試みられてた

パスワード認証できないんだから攻撃対象を変えればいいのに……
パスワード認証できなくてもゴリ押しで何かできるのかな
0573名無しさん@お腹いっぱい。垢版2021/10/25(月) 15:19:03.34
親戚ということにしてください。

mosh で接続すると画面にゴミというか、乱れるのですがどうすればいいか
教えてください、偉いひと

同じターミナルそふとの ssh ではそのようなことはありません。
0575名無しさん@お腹いっぱい。垢版2021/12/15(水) 11:50:33.60
ssh経由でAndroidからパソコンのexeファイルを開いたら何故か画面に表示されません
タスクマネージャで見る限り起動してはいるようです
パソコン画面に起動したexeを表示させる方法はないですか?
0577名無しさん@お腹いっぱい。垢版2022/01/29(土) 11:50:46.96
デスクトップと同じワークステーションで動かす
分からなければググれ
0579名無しさん@お腹いっぱい。垢版2022/11/20(日) 12:15:46.89
   | \
   |Д`) ダレモイナイ・・オドルナラ イマノウチ
   |⊂
   |


     ♪  Å
   ♪   / \   ランタ タン
      ヽ(´Д`;)ノ   ランタ タン
         (  へ)    ランタ ランタ
          く       タン



   ♪    Å
     ♪ / \   ランタ ランタ
      ヽ(;´Д`)ノ  ランタ タン
         (へ  )    ランタ タンタ
             >    タン
0581名無しさん@お腹いっぱい。垢版2023/06/14(水) 22:46:40.05
誰かいる?(´・ω・`)

ssh -i ファイル ユーザ@サーバ コマンド
ssh -t -i ファイル ユーザ@サーバ コマンド

1つ目の方はコマンドの終了ステータス取れるんだけど2つ目の-tありだとステータス取れなくて困ってます
-tオプションの仮想端末わりあてしないとどういうデメリットある?
-tオプションつけたままでコマンドの終了ステータス取る方法ある
0583名無しさん@お腹いっぱい。垢版2023/06/20(火) 14:51:56.48
-t をつけるのは、そのコマンドが対話的な入力を求めるときじゃないのかな
なのでデメリットは入力が必要なコマンドが途中で止まっちゃうこと
終了ステータスはわからん
0584名無しさん@お腹いっぱい。垢版2023/09/10(日) 04:35:39.02
putty を長年使用していたが RLogin を試してみたらタブと一斉送信が便利すぎて鞍替えした。
1990年代から開発され、20年以上の歴史があるソフトらしく結構枯れたアプリのように思える。
使ったことのない方はぜひ一度試してみることをおすすめする。
0585名無しさん@お腹いっぱい。垢版2023/09/10(日) 14:04:25.25
ずっとsshでトンネリングしてきたけど時流に乗ってvpnもやってみるかと調べていたらIKEv2というのがセキュリティが高いとか出てきたが文字列で認証って……
文字列のどこがセキュリティ高いのか訳がわからん
0586名無しさん@お腹いっぱい。垢版2023/09/10(日) 20:58:23.24
文字列って事前共有鍵?
0588名無しさん@お腹いっぱい。垢版2023/09/11(月) 00:43:15.41
何が言いたいのわからん。
文字列はバイナリに変換できるし、バイナリは文字列に変換できる。
文字列の何が気に入らないの?
0590名無しさん@お腹いっぱい。垢版2023/09/12(火) 08:51:32.17
>>589
RSA は公開鍵暗号で公開が前提なのと暗号強度はそれほど強くないので長くする必要がある。
暗号はアルゴルズムによるので長さを比較するのは無意味
0591名無しさん@お腹いっぱい。垢版2023/09/12(火) 11:09:12.97
公開鍵認証は現段階では ED25519 一択と思っていた。ら、使えないところあるのね。困ったもんだ。
0592名無しさん@お腹いっぱい。垢版2023/09/12(火) 12:26:49.09
事前共有キーはssh のパスフレーズ認証感があって嫌
感覚でしかないが
0593名無しさん@お腹いっぱい。垢版2023/09/12(火) 19:41:52.25
ん、もしかしてsshも文字数がそこそこあればパスフレーズ認証の方が強いのか???
0596名無しさん@お腹いっぱい。垢版2023/09/13(水) 06:18:05.08
>>595
私の知識では
ED25519 は2の128乗の強さ
RSA 4096 は2の140乗の強さ
なので、強さだけで言うと RSA 4096 のほうが強いけど実際の鍵の短さ、速度の面で ED25519 のほうが有利。
なおRSA 2048 は量子コンピュータで解析できそうなので 2031年(2030年だったかも)以降は使用しないように勧告が出ていたはず。
いまのうちに ED25519 に乗り換えておけば長い間メンテをサボれるw(かもしれない)。
0597名無しさん@お腹いっぱい。垢版2023/09/13(水) 08:54:26.14
暗号の強さは計算強度だけによるものではない。その暗号がどれくらい研究されて攻撃手段が確立されているかに依存する。
そういう意味で古い暗号であるRSAはかなり不利。
0598名無しさん@お腹いっぱい。垢版2023/09/13(水) 12:32:58.67
逆に研究され続けても使われている枯れた技術は強いかもしれん
新しい暗号の弱点が唐突に見つかる可能性もあるし
0599名無しさん@お腹いっぱい。垢版2023/09/13(水) 15:21:55.38
>>596
なお、現在主流の RSA 2048 の暗号強度は 112bit だから
一般的に言えば ED25519 は RSA より暗号強度は高いと言っても間違いではないと思う。
0604名無しさん@お腹いっぱい。垢版2023/09/15(金) 03:41:29.34
>>600
どっかのwebサイトで読んだんだがビット数を増やしていっても素数の数があまり増えないせいでRSAのビット数を増やしても暗号強度があまり増えないらしいよ。
0607名無しさん@お腹いっぱい。垢版2023/11/27(月) 00:42:27.14
一人で複数の端末からアクセスする場合、鍵は1つを使い回すほうが良いのか個別に作るほうが良いのかどっちだったっけ?
昔、調べたような気がするけど忘れてしまった
0608名無しさん@お腹いっぱい。垢版2023/11/27(月) 09:22:38.98
個別に作る方が良いよ

どれかの端末が盗難されたり不正侵入されたりで鍵が漏洩した場合に、
その端末用の鍵を無効化するだけでよくなる
0609名無しさん@お腹いっぱい。垢版2023/11/27(月) 20:30:31.36
>>604
だからこそまだ伸び代のあるED25519はビット数をちょっと増やせばRSAを突き放せるはずなのに…
速いし暗号強度も強ければ最強になれるのに
0611名無しさん@お腹いっぱい。垢版2023/12/23(土) 22:59:49.20
WindowsとLinux(A)をデュアルブートにしようと思います
更にWindowsにはwslを使ってLinux(B)をインストールしようと思います
AとBは同時に起動することはないので同じホスト名にしようかと検討しています
リモートからsshを使ってあるときはAに接続したり
別のときにはBに接続したりするのですが
これってWARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!が出ますよね?
ホスト名はAとBで変えるべきでしょうかね?
0612名無しさん@お腹いっぱい。垢版2023/12/24(日) 08:25:18.64
sshに限らず、ポカミスの可能性をちょっととでも減らす意味で、別名にしたほうが無難だと思うな
その上で、何らかのクライアントからどうしても同一名でアクセスしなけりゃならんのなら
ネーム鯖なりクライアントのhostsで別名をつければいいんだし
0613名無しさん@お腹いっぱい。垢版2023/12/24(日) 11:35:28.12
>>612
レスありがとうございます
なるほどーよく分かりました

動機としては名前を考えるのが面倒くさいw
やはり別名つけることにします
0614名無しさん@お腹いっぱい。垢版2023/12/26(火) 19:58:24.53
AとBで同じサーバーキー(/etc/ssh/ssh_host_key)使えば警告は出ない
0615名無しさん@お腹いっぱい。垢版2023/12/26(火) 21:13:30.66
>>614
有難うございます
なるほどたぶんそうだろうなと推測してたのですが
具体的なファイル名を教えて頂きまして
ありがとうございました
0616名無しさん@お腹いっぱい。垢版2023/12/27(水) 01:24:16.98
複数のマシンで同じ秘密鍵を使うのは良くないんじゃない?
片方のマシンの秘密鍵が漏れたらもう片方のマシンの秘密鍵が漏れたことになる。
0617名無しさん@お腹いっぱい。垢版2023/12/27(水) 03:53:44.23
凡ミス防止にホスト名分けたほうがいいのは同意だけど、known_hostsって同じホスト名に複数公開鍵登録できなかったっけ?
0619名無しさん@お腹いっぱい。垢版2023/12/28(木) 01:09:42.12
>>611
同じホスト名なのに中身が前回と変わっていることに気づくための機能なので
デュアルブートのような場合は、まさに該当しますよね
WARNINGが出るのが当然なので、それが嫌ならホスト名を変えるべきでしょう
0620名無しさん@お腹いっぱい。垢版2024/01/02(火) 17:56:15.69
IPアドレスをDHCPで割り当てていると、DHCPサーバは前回割り当てたアドレスを優先的に割り当てる
DHCPサーバ対してパラメータを渡すことで異なるアドレスの配布を受けることもできるけど、
(やったことないからわからないし)DHCPサーバは普通市販ルータにやらせているだろうから面倒そう
クライアント側で可能な解決方法は、同じサーバキーを使う、スタティックにアドレスを割り当てる、mDNSに逃げる
0621611垢版2024/01/02(火) 21:06:24.90
>>613に書いたように別名をつけたのですが
みなさん有難うございます
大変勉強になります
0622名無しさん@お腹いっぱい。垢版2024/01/05(金) 16:46:46.10
すみません、質問させてください。

在宅研修としてVMwareでLinuxsの仮想サーバーを構築しています。
年末まで自主学習ののち、三日時間を空けて昨日TeraTermでSSH接続を試みたのですができませんでした。
ウェブコンソールから任意のユーザー名のパスフレーズを変更することで一時は繋がったのですが、
その後また繋がらず。
一晩おいた今日は繋がったのですが、TeraTermが落ちた後から再度繋がらなくなっています。
(TeraTermの接続が不安定です)
接続が不安定になるまでに行っていた課題の内容は「セキュリティを考慮してrootからのログインを無効にする」です。
年末にroot以外のユーザーを2つ作成するところまで行い、その後年始に起動したらこうなっていました。

TeraTermが繋がらないときの流れは、
取得したドメインとポート入力OK→その後の画面でユーザー名とパスフレーズを入力がダメという感じです。
エラーメッセージは「認証に失敗しました。再試行してください」です。
このエラーメッセージがパスフレーズが間違っているときのものなのは分かるのですが、
パスフレーズは正しいですし繋がるときと繋がらないときがあるのもよく分かりません。
swacthを停止させても直りません。

会社でもお手上げだと……。
去年の年末にITの会社に入り、知識も解決力もないのでご助言頂けると幸いです。
0624名無しさん@お腹いっぱい。垢版2024/01/06(土) 06:48:48.54
適当に丸めないで、エラーメッセージを全部生で見せてほしい
見せられない部分は *** とか example.com とかに置き換えてもいいから

あと、ドメイン取ってるってのも気になるな
localhostじゃなくて、どこかに作ってるんだろうが、IP直打ちじゃダメなのか?
0625名無しさん@お腹いっぱい。垢版2024/01/06(土) 12:57:29.88
貧弱なネットが正月休みの負荷に耐えられなかった感じがするのはオレだけ?
0626名無しさん@お腹いっぱい。垢版2024/01/07(日) 02:50:05.20
teraterm がダメなら rlogin や putty ではどうなの
そのLinux仮想マシンのIPアドレスの設定はどうやっているの? IPv4のみ? v6は?知らない間にv6も有効になってる?
teratermで接続するときはホスト名?それともIPアドレス?
ウェブコンソールは何?Webmin ? cockpit ?なんでもいいけど、それを使ってシェル(ターミナル)は開ける?開けるならそれでsshdのログを見れない?

Linuxのディストリ(CentOSとかUbuntuとか、とバージョン)も開示する方が答えが得やすい。何故ならもろもろ推測しやすいから
0627名無しさん@お腹いっぱい。垢版2024/01/07(日) 18:27:43.58
>>622
同じFQDNに複数のサーバーがある(A、B、C)
622はAにだけログインできるので、ラウンドロビンでB、Cに接続してしまった場合ログインできない
とか?
0628名無しさん@お腹いっぱい。垢版2024/01/22(月) 22:21:54.26
sidedoor を使って常時sshトンネルを張るように出来たんだけど
https://github.com/daradib/sidedoor
これ、sshを一個しか実行できないように見える。
複数のホストにsshトンネルを張れるものって何かないだろうか
0630名無しさん@お腹いっぱい。垢版2024/01/24(水) 02:16:49.04
autosshはsystemdの設定が面倒なのでsidedoorを使ってみた
0631名無しさん@お腹いっぱい。垢版2024/03/06(水) 23:40:42.84
WindowsのOpensshってLast Loginを表示してくれないの?
PrintLastLogをyesにしても何も出ない…
0632名無しさん@お腹いっぱい。垢版2024/03/27(水) 20:09:21.03
見たいルックスでもなかった気に食わないやつだと思う
こどおじなんてそっちのけ、運営が有名人が多くて
実はスイカの方がいいじゃないかと思うよ
政治の話
0634名無しさん@お腹いっぱい。垢版2024/03/27(水) 20:36:10.58
楽しみ方が良いのかもな
0637名無しさん@お腹いっぱい。垢版2024/03/31(日) 00:54:07.09
こんな板にもスクリプトが来るのか…
0639名無しさん@お腹いっぱい。垢版2024/04/04(木) 02:22:18.49
>>638
このバックドア、「OpenSSHをはじめ」どころかsshを狙い撃ちのバックドアのようですね
0640名無しさん@お腹いっぱい。垢版2024/04/04(木) 08:24:43.56
>>638
5.6とか新しいの入ってないでしょ
0641名無しさん@お腹いっぱい。垢版2024/04/13(土) 23:44:51.13
これ、たまたま変じゃね?って気づいたから良かったけど、同じようなことが発覚せずバックドアとして存在しているんだろうな
0642名無しさん@お腹いっぱい。垢版2024/04/16(火) 14:20:05.26
CVE-2024-31497……

やっぱりRSAが安心だなw
0645名無しさん@お腹いっぱい。垢版2024/04/18(木) 00:00:41.12
>>644
今回の件でいえば別物

署名60個ってのは60回ログインしてたらコンプされてる?
0647名無しさん@お腹いっぱい。垢版2024/04/21(日) 16:02:28.87
乱数を得るのにSHA-512を使ってた。P-256 P-384 には足りてたが P-521 には9bit足りないのを忘れてた。
ってことか。
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況