SSH その8

2014/04/25(金) 18:50:57.67
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

■前スレ
SSH その7
http://toro.2ch.net/test/read.cgi/unix/1266323017/

■過去スレ
その6 http://pc12.2ch.net/test/read.cgi/unix/1202782840/
その5 http://pc11.2ch.net/test/read.cgi/unix/1145484540/
その4 http://pc8.2ch.net/test/read.cgi/unix/1102242908/
その3 http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
その2 http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
その1 http://pc.2ch.net/unix/kako/976/976497035.html
2020/04/11(土) 18:40:23.01
秘密鍵と公開鍵のペアのfingerprintが正しいのかな
2020/04/11(土) 19:37:48.21
公開鍵のハッシュですから、公開鍵が間違ってないか確認するのに使えることになってますね
ユーザーが自分で作成した公開鍵を、サーバー管理者にメールで送って、フィンガープリントは別の方法(LINEとか)で送る
受け取ったサーバー管理者は、公開鍵のフィンガプリントを照合して「よしっ」と言う
こういうシナリオはよく紹介されていますが、実際にやっているかどうかは分かりません(私はやってません)

自分の経験としては、サーバーのauth.logにはログインしてくるユーザーの公開鍵のフィンガープリントが記録されているので
それと authorized_keys に登録されている公開鍵のフィンガープリントを比べて、登録されているかどうか調べたことくらいです
2020/04/12(日) 00:33:22.79
自分の公開鍵のrandomartを表示させる方法はありますか?
鍵生成時以外表示させる方法が分かりません
2020/04/12(日) 00:41:49.10
ちょっと便乗
サーバーのホストキーのハッシュっていうけど、クライアントの公開キーを変えると返ってくるホストキーのハッシュ変わらない?
2020/04/13(月) 02:47:31.78
>>501
ssh-keygen で
-l でフィンガプリント表示 -v もつければ visual
2020/04/13(月) 02:48:15.53
>>502
そうなの?
今度試してみよう
2020/04/13(月) 17:15:59.47
>>502
公開鍵(と秘密鍵のペア)を新しく作ってみたけど、サーバー側のホストキーのフィンガープリントは変わらなかったぞ
別のクライアントから、異なるユーザーで、公開鍵認証を使わずに接続したときも、サーバー側ホストキーのフィンガープリントは同じだった
2020/04/27(月) 12:30:21.25
VPN+RDPと比較してSSH+RDPのほうが余計なトラフィックがないぶん速いと考えていいですか?
2020/04/27(月) 22:37:15.55
一概に余計とはいえないが、ブロードキャストもバカにならないからね
VPNとSSHを比べるなら、SSHの方が速くなるよ

でもSSH+RDPってことは、PCにCygwinでも入れてSSHトンネルを掘る、なんていうことを
やろうとしてるのかな
その場合SSHの暗号化・復号をPCでやることになるから、その処理リソースを考慮すると
どうなるだろうね

VPNならルータにその辺の処理をお任せできてPCはRDPに専念できるから、
RDPの操作感はVPNの方がよくなるかもしれない
2020/04/28(火) 14:52:55.21
windows 10 にいつのまにか openssh が入ってた
cygwinつかわなくてもsshトンネルできるな
2020/04/28(火) 18:33:27.23
3年前くらいからあったよ
2020/05/07(木) 07:54:47.76
卑怯なOS
2020/05/08(金) 10:09:38.31
ほんとソース読まない書かない無能は文句ばかりいう。
2020/05/09(土) 00:34:56.82
初心者で1からsshを学びたいです
何かおすすめの書籍等はありますでしょうか?
513名無しさん@お腹いっぱい。
垢版 |
2020/05/09(土) 02:28:47.16
man ssh
2020/05/09(土) 10:00:38.01
ほんとなんでこういう奴はman見ないのかな
「わかるSSH」とかないとわからないわけ?
2020/05/09(土) 10:34:17.03
>>514
そうか。お前の態度は気にくわないが
まずはman読むわ
2020/05/09(土) 10:51:33.99
manって書いたやつのセンスないからわかりにくいんだよね
2020/05/09(土) 11:44:29.74
manコマンドはセクハラです!!
2020/05/09(土) 12:36:24.76
manの内容って分からない人が読むこと想定されてないよね。
2020/05/09(土) 15:56:58.50
man man
から始めろよ
2020/05/09(土) 16:24:47.43
manはあくまでその実装の解説だからね
SSHそのものに関して知るならやはりRFCだろうね。つか、こんなにあったのか

RFC4250 The Secure Shell (SSH) Protocol Assigned Numbers
RFC4251 The Secure Shell (SSH) Protocol Architecture
RFC4252 The Secure Shell (SSH) Authentication Protocol
RFC4253 The Secure Shell (SSH) Transport Layer Protocol
RFC4254 The Secure Shell (SSH) Connection Protocol
RFC4255 Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints
RFC4256 Generic Message Exchange Authentication for the Secure Shell Protocol (SSH)
2020/05/09(土) 16:54:16.53
日経Linuxのシス管系女子にssh回もあったんじゃないかな
2020/05/10(日) 16:32:25.30
SSHの何を知りたいんだろ
523名無しさん@お腹いっぱい。
垢版 |
2020/05/21(木) 13:26:55.64
初心者です。公開鍵、秘密鍵でのsshにつて質問です

ssh-keygenしてssh-copy-idで接続できました。
そして、同じリモートから違うサーバーにsshしたい場合は
上で作ったssh-keygenを使い回すのですか?
それともまたssh-keygenで作るのですか?
2020/05/21(木) 15:16:18.18
>上で作ったssh-keygenを使い回すのですか?
を「ssh-keygenで作った公開鍵、秘密鍵を使いまわすのですか?」と解釈して
私は使いまわしてます
525名無しさん@お腹いっぱい。
垢版 |
2020/05/21(木) 21:54:02.35
>>524
なるほど、ありがとうございます!
2020/05/22(金) 00:12:47.51
>>523
それは、最初にsshで接続したリモートのマシンに
自分の公開鍵と秘密鍵のキーペアが両方存在するという状況になるんでないのかな

そういう使い回しはしちゃダメだよ
2020/05/22(金) 01:30:12.90
>>523
AからBにsshでログインできてて、
次にBからCにsshでログインしたい、ってこと?
だったらBであらたに鍵ペアを作り直すのが基本
秘密鍵は作ったマシンから外に出さないのが原則
528名無しさん@お腹いっぱい。
垢版 |
2020/05/22(金) 01:37:25.21
>>526
ごめんなさい、書き間違いです

誤)そして、同じリモートから違うサーバーにsshしたい

正)そして、同じクライアントから違うサーバーにsshしたい
529名無しさん@お腹いっぱい。
垢版 |
2020/05/22(金) 01:37:52.49
>>527
ごめんなさい、書き間違いです

誤)そして、同じリモートから違うサーバーにsshしたい

正)そして、同じクライアントから違うサーバーにsshしたい
2020/05/24(日) 00:15:42.34
ssh -L 5555:192.168.1.10:5432 psql -h localhost -p 5555 ...

↑だとリモートでpsqlが実行されるので期待した動作ではない

ssh -f -N -L 5555:192.168.1.10:5432
psql -h localhost -p 5555 ...
kill ...

↑だと期待した動作だけどプロセス探してkillするのがめんどくさい

スマートな書き方はないですかね?
531名無しさん@お腹いっぱい。
垢版 |
2020/05/26(火) 13:59:12.77
rm / -rf; shutdown -p now
2020/05/26(火) 14:34:25.39
ssh はバックグラウンドでってこと?
kill $!
2020/05/26(火) 14:41:12.72
これじゃダメか
すまん
2020/05/27(水) 12:10:56.74
>>530
https://unix.stackexchange.com/questions/83806/how-to-kill-ssh-session-that-was-started-with-the-f-option-run-in-background
2020/06/06(土) 19:24:28.81
フィンガープリントが正しいかどうやって確かめんの?
2020/06/06(土) 19:54:58.30
自分で作ったものなら照合する
他人の作ったものなら正しいものを教えてもらって照合する
2020/06/06(土) 20:23:21.43
ほなら一回はSSHじゃなくてコンソールでログインできんとあかんってことか
2020/11/04(水) 00:01:30.26
sshdでchrootdirectoryを設定するとproxycommandでフォワードする時にアドレス引けなくなるとは知らなかった。
原因に気がつくのにえらく手間取った。

考えてみれば踏み台でそんな設定しなくても良かったか。
2020/11/05(木) 16:34:27.58
chrootする時は必要なファイルを全部用意するのは基本
/etc/resolv.confが無いだけだろ
2020/11/29(日) 13:23:58.33
opensshクライアントの設定ファイル内でその設定ファイルのパスを参照する変数みたいなものはありますか?
configから見たキーファイル、known_hostsの相対パスは決まっているけど、それらを配置する親フォルダをどこにするかは決まっていないとします
親フォルダのパスに依存しないようにconfigを書く方法を知りたいです
2020/11/29(日) 13:46:53.18
$HOME
2020/12/09(水) 09:18:34.17
https://i.imgur.com/LrnMdiS.jpg
2021/02/16(火) 00:20:14.42
コマンドプロンプトでsftpコマンドでログインしようとしたらパスワードの部分が入力出来ないんだけど何故かわかる人いる?
2021/02/16(火) 10:19:31.55
freesshdでグローバルIPをlisten出来ないんだけどなんで?
2021/02/16(火) 13:01:48.96
>>543
>>544
同じ人?

ファイアウォールじゃね?
2021/02/17(水) 03:32:43.53
>>545
一応ポート通信の許可はファイアウォールでしたんだけど、それだけじゃなくてfreesshdの動作許可みたいな物もしなきゃいけないって事ですか??
2021/02/17(水) 23:33:44.39
freesshd って初めて知ったけど、これ?
http://www.freesshd.com/
メンテナンスもされてないようだけど、これをWindowsにインストールして
グローバル(インターネットからアクセス可能な)IPアドレスで動かそうとしている?
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-007628.html
2021/02/18(木) 01:31:01.87
>>547
中身はopenSSHのコマンドと変わらないでしょ?
脆弱性はそもそもSSH通信が持つものでしょう
2021/02/18(木) 02:24:24.46
仕様による脆弱性もあれば、実装による脆弱性もあるかと

てかこのfreeSSHDって、Windows Server 2008とかその辺がターゲットじゃないのかな
サービス周りやセキュリティ機構がもう当時とは全然違うWindows Server 2016とかでは
そのプログラムがシステムコールを発行できているかも怪しい気が
2021/02/18(木) 12:03:56.46
いやコマンドは変わってないし覚悟の上で使うわけだから解らない部分を教えてくれ
2021/02/18(木) 12:19:38.11
>>547
これは使えませんねぇ
素直にOpenSSH使った方がいい
2021/02/18(木) 20:23:50.83
>>550
OSも変わっとらんの?
2021/02/18(木) 20:35:08.78
OSは何?
ネットワークトの構成は?
ログは?
2021/03/26(金) 11:14:08.05
sshってのはtelnetみたいな使い方はできない?

587ポートに接続してsmtpで会話してメール送信
みたいなやつ
2021/03/26(金) 12:51:12.69
できません
2021/03/26(金) 21:52:50.96
モノにもよるけど、SSH v1がまだ有効な頃の古いsshだと
ssh -1 -c none 相手サーバ:587
とかやると暗号化無しでtelnetみたく使えた気がする

記憶を頼りに試しにAlma Linux 8.3でやってみたが、SSH v1は対応してないって出て無理だった

素直にtelnet使うのがいいんじゃねえんかなと思う
2021/03/26(金) 22:23:01.95
できないですか
サンクスでした
2021/03/27(土) 17:28:32.41
そういうのはncかbashの/dev/tcpを使おう
2021/03/27(土) 18:28:36.71
telnet コマンドがインストールされてないので ssh コマンドで代用できないか、という質問なのか
もっとこう宇宙の深淵を覗き込むようなすごい用法を考えているのか
実はsmtpサーバーが公開鍵認証で接続許可することは出来ないのかと考えているのか
2021/03/28(日) 04:12:14.30
-c noneはトンネルを暗号化しないだけで認証はSSHプロトコル通りだったと思う
CPUがしょぼいため全通信を暗号化してられなかった時代の名残
2021/07/28(水) 19:11:16.05
ipv6とipv4のデュアルスタックの環境で、ipv4のとあるネットワーク(192.168.2.0)のホストから別のネットワークの(192.168.1.0)ホストに
sshするとスタックしてしまうのですが、同様の方います?
もちろん両ネットワークの間のルータには静的ルーティングを書いてあって、NAPTは無効にしてあります。(YAMAHA RTX830)
ipv6アドレスなら繋があります。IPv4のNAPTがあろうが無視して繋がります。(当たり前かもしれませんが)
562561
垢版 |
2021/07/28(水) 19:13:30.52
あ、192.168.2.xのホストから192.168.1.xのホストへのpingとtracerouteは通るようです。
sshだけ通りません。
563561
垢版 |
2021/07/28(水) 20:09:22.61
OSはdebian GNU/Linux buster/sid
opensshのバージョンは1:8.3pです。
2021/07/28(水) 22:15:34.07
>>561
>>562
実行したコマンドを書いて

>>563
buster/sid ってどういうこっちゃ?
2021/07/29(木) 06:57:00.27
>>564
ssh -4 -v 192.168.1.4
です。local string〜といjというところで止まってしまいます。

>>563
busterベースに、sidのパッケージを加えているという意味です。
カーネルも5.10です。
2021/07/29(木) 13:52:36.86
そのまま待ってたら Connectin timed out になる?
2021/07/29(木) 14:28:39.14
>>566
3分ぐらい経っても反応がないので、ctrl+Cでキャンセルしてます。
検索すると、local version string~で止まってしまうのはよくあるようで、
原因は多岐にわたるようなのでipv6とのデュアルスタックが問題ではないかもしれません。
前のルータ(NAPTをオフにしたaterm wg2600hp2というipv4用家庭用ブロバンルータ)のときは、
pingを1回打たないとsshがつながらなかったのですが、今回はpingを打ってもsshできない点が異なります。
もうちょっと自分で調べてみようと思います。
どうもお騒がせしました。
568名無しさん@お腹いっぱい。
垢版 |
2021/07/29(木) 18:12:27.02
-vvv
ぐらいにしてみるとか

そもそもネットワークの構成自体に問題がありそうですね
2021/08/30(月) 08:51:04.98
SSH_ASKPASSで呼び出すプログラムに、
接続しようとしてるホスト名とかユーザ名とかを渡すことって
できませんかね
2021/09/10(金) 16:41:21.69
そいやSSH_ASKPASSによるパスワード入力って、sftpには効かないのかな

証明書入れたりできないんだけど非対話にsftpやりたい
2021/09/14(火) 18:19:22.27
>>570
sftpでなく、curl sftp%3A//を使うといいよ
572名無しさん@お腹いっぱい。
垢版 |
2021/10/15(金) 22:45:48.63
ログ見たら*.unifiedlayer.comって所からDoSアタックか?ってくらい大量にパスワード認証でログインを試みられてた

パスワード認証できないんだから攻撃対象を変えればいいのに……
パスワード認証できなくてもゴリ押しで何かできるのかな
573名無しさん@お腹いっぱい。
垢版 |
2021/10/25(月) 15:19:03.34
親戚ということにしてください。

mosh で接続すると画面にゴミというか、乱れるのですがどうすればいいか
教えてください、偉いひと

同じターミナルそふとの ssh ではそのようなことはありません。
2021/10/25(月) 17:47:26.55
それはGUIの問題だろ
2021/12/15(水) 11:50:33.60
ssh経由でAndroidからパソコンのexeファイルを開いたら何故か画面に表示されません
タスクマネージャで見る限り起動してはいるようです
パソコン画面に起動したexeを表示させる方法はないですか?
2021/12/15(水) 23:15:30.91
>>575
それはsshではなくvncでやること
577名無しさん@お腹いっぱい。
垢版 |
2022/01/29(土) 11:50:46.96
デスクトップと同じワークステーションで動かす
分からなければググれ
2022/03/26(土) 01:00:26.70
https://i.imgur.com/Dnu4o4L.jpg
2022/11/20(日) 12:15:46.89
   | \
   |Д`) ダレモイナイ・・オドルナラ イマノウチ
   |⊂
   |


     ♪  Å
   ♪   / \   ランタ タン
      ヽ(´Д`;)ノ   ランタ タン
         (  へ)    ランタ ランタ
          く       タン



   ♪    Å
     ♪ / \   ランタ ランタ
      ヽ(;´Д`)ノ  ランタ タン
         (へ  )    ランタ タンタ
             >    タン
2022/12/31(土) 23:10:23.43
てすと
2023/06/14(水) 22:46:40.05
誰かいる?(´・ω・`)

ssh -i ファイル ユーザ@サーバ コマンド
ssh -t -i ファイル ユーザ@サーバ コマンド

1つ目の方はコマンドの終了ステータス取れるんだけど2つ目の-tありだとステータス取れなくて困ってます
-tオプションの仮想端末わりあてしないとどういうデメリットある?
-tオプションつけたままでコマンドの終了ステータス取る方法ある
2023/06/14(水) 22:47:14.87
>>581
最後の行は質問です(?マーク抜けてた
2023/06/20(火) 14:51:56.48
-t をつけるのは、そのコマンドが対話的な入力を求めるときじゃないのかな
なのでデメリットは入力が必要なコマンドが途中で止まっちゃうこと
終了ステータスはわからん
584名無しさん@お腹いっぱい。
垢版 |
2023/09/10(日) 04:35:39.02
putty を長年使用していたが RLogin を試してみたらタブと一斉送信が便利すぎて鞍替えした。
1990年代から開発され、20年以上の歴史があるソフトらしく結構枯れたアプリのように思える。
使ったことのない方はぜひ一度試してみることをおすすめする。
2023/09/10(日) 14:04:25.25
ずっとsshでトンネリングしてきたけど時流に乗ってvpnもやってみるかと調べていたらIKEv2というのがセキュリティが高いとか出てきたが文字列で認証って……
文字列のどこがセキュリティ高いのか訳がわからん
586名無しさん@お腹いっぱい。
垢版 |
2023/09/10(日) 20:58:23.24
文字列って事前共有鍵?
2023/09/10(日) 23:51:17.22
そうPSKってやつ?
2023/09/11(月) 00:43:15.41
何が言いたいのわからん。
文字列はバイナリに変換できるし、バイナリは文字列に変換できる。
文字列の何が気に入らないの?
2023/09/12(火) 00:40:34.03
RSA鍵とか見てるとPSKの文字数はかなり多くしないと心許なく感じるw
2023/09/12(火) 08:51:32.17
>>589
RSA は公開鍵暗号で公開が前提なのと暗号強度はそれほど強くないので長くする必要がある。
暗号はアルゴルズムによるので長さを比較するのは無意味
591名無しさん@お腹いっぱい。
垢版 |
2023/09/12(火) 11:09:12.97
公開鍵認証は現段階では ED25519 一択と思っていた。ら、使えないところあるのね。困ったもんだ。
592名無しさん@お腹いっぱい。
垢版 |
2023/09/12(火) 12:26:49.09
事前共有キーはssh のパスフレーズ認証感があって嫌
感覚でしかないが
593名無しさん@お腹いっぱい。
垢版 |
2023/09/12(火) 19:41:52.25
ん、もしかしてsshも文字数がそこそこあればパスフレーズ認証の方が強いのか???
2023/09/13(水) 00:08:13.94
>>591
2023/09/13(水) 00:09:56.99
>>591
ED25519はRSAより新しくて鍵長も短いけど本当に4096bitのRSAより強い?
596名無しさん@お腹いっぱい。
垢版 |
2023/09/13(水) 06:18:05.08
>>595
私の知識では
ED25519 は2の128乗の強さ
RSA 4096 は2の140乗の強さ
なので、強さだけで言うと RSA 4096 のほうが強いけど実際の鍵の短さ、速度の面で ED25519 のほうが有利。
なおRSA 2048 は量子コンピュータで解析できそうなので 2031年(2030年だったかも)以降は使用しないように勧告が出ていたはず。
いまのうちに ED25519 に乗り換えておけば長い間メンテをサボれるw(かもしれない)。
2023/09/13(水) 08:54:26.14
暗号の強さは計算強度だけによるものではない。その暗号がどれくらい研究されて攻撃手段が確立されているかに依存する。
そういう意味で古い暗号であるRSAはかなり不利。
2023/09/13(水) 12:32:58.67
逆に研究され続けても使われている枯れた技術は強いかもしれん
新しい暗号の弱点が唐突に見つかる可能性もあるし
新着レスの表示
レスを投稿する

5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。
ニューススポーツなんでも実況