SSH その8
>>49
id_rsaにmodules nとpublicExponent eが含まれてるから。
RFC 3447 PKCS #1: RSA Cryptography Specifications February 2003
A.1.2 RSA private key syntax
An RSA private key should be represented with the ASN.1 type
RSAPrivateKey:
RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER, -- (inverse of q) mod p
otherPrimeInfos OtherPrimeInfos OPTIONAL
} 引っ張ってるのはオレじゃない。必死でSSH力を擁護してる誰か。 賢者timeな者だけが石を投げなさい(冗談
sshに限らず、ツールの100%も使いこなせていないなー OpenSSHのsshd_configでChrootDirectoryを指定することってあるよね。
そのディレクトリに、
All components of the pathname must be root-owned directories that are not writable by any other user or group.
こういう制限があるけど、ナンデ? >>56
rootの設定と関係なしにlnとかで好きな場所に出来てしまうからじゃ? ChrootDirectoryの親まではroot-ownedでroot以外not writableという制限は分かるような気がするんだけど、
例えば、chroot先を/home/oresama/ に指定するとき oresama がroot以外not writableになってると
oresamaは自分のホームディレクトリのはずなのにディレクトリもファイルも作れない。
ちょっと厳しくないかと思う。 >>58
「あのぉ、root先輩、ChrootDirectoryを /home/watashi/dakeno/himitsu/ にしてもらえませんかぁ。」って頼んで
「おっふ、やっといた」となったら
rmdir /home/watashi/dakeno/himitsu
ln -s /root /home/watashi/dakeno/himitsu
「計画通〜り」ってことだよね。
このためには/home/watashi/dakeno がwritableでなければ出来ないでしょ。
himitsu は writableでもかまわないんじゃないだろうか。 >>60
Chrootにつっこまれる他のユーザを騙すことはできるようになるな >>59
/etc/shadowとか自由に作れるがそれでいいのか? そっか、mv して新しく作ることが可能になるのか。
いくない。それは、いくないな。 >>59
あんま詳しくないけど、chroot先とホームディレクトリは別々じゃなかったけ? OpenSSH No Longer Has To Depend On OpenSSL - Slashdot
http://beta.slashdot.org/story/201419
試してみたい 中国とかは法律的な理由もあるかも
暗号化通信は当局が解読可能な状態にしないと駄目なんだっけ?
VPN張る事自体問題視されるとか聞いたことあるけど 今SSHについて勉強してます。
どなたかRSA1、RSA、DSAの違いにつ
いて教えて頂けませんか?
メリット、デメリットがわからず、どれを使って良いのかわかりません。
自分で調べろやは無しでお願いします。 >>71
shでも学んでろ。
532 名無しさん@お腹いっぱい。 sage 2014/09/14(日) 17:11:01.54
今シェルについて勉強してます。
どなたかash、bsh、cshの違いにつ
いて教えて頂けませんか?
メリット、デメリットがわからず、どれを使って良いのかわかりません。
自分で調べろやは無しでお願いします。 >>74
なに(笑
このコピペみたいなカキコは!(笑)
お、俺じゃないんだからね みたいなじゃなくて改変コピペそのもの
こんなつまらんことを時々思い出したかのように繰り返してる狂人だからスルー推奨 # netstat -n | grep 22
したら、知らないホストでESTABLISHED接続になってて
# cat /var/log/secure| grep 知らないホスト(ロボット?)
から複数のアタックがあったのだけど、session openってログ無かったんですが、
ssh のセッションがESTABLISHEDになることってあるのでしょうか? >>79
tcpのセッションとsshのセッションを分けて考えないと。 >>81, >>82
ありがとうございます。
/var/log/secureでsession openになってないので気にしなくていいのですね。
ポートNo変えようかなーと思ってます。 >83 なんなら log をverbose にして暫く見張る。ま、port 番号変えるほうが対策になるけど。 秘密鍵使ってて、sshポートのハッキングなんてあるえるのでしょうか。 >>85
パスワード認証許可してないかノックしてるんだろ。 >>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。 「公開鍵を送ってくれ」と言ったら
秘密鍵も送ってくるユーザーの多いこと多いこと。 TCPラッパーが使えなくなると地味に困るなあ・・・
なんでサポート切っちゃうんでしょうか もしかしたら ifconfig みたいにメンテナがいないからじゃない?
ftp 覗いてみたら tcp_wrappers_7.6.tar.gz のタイムスタンプは Apr 8 1997 だった sshd -iでinetdから上げるようにしてinetdのtcpwrapperを使うかね sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ
とりあえずはpf.confでやるけど PAMでやれ、ってことかな。
pam_accessとかpam_login_accessとか。 誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの?
manとか見るとクライアントのIPから逆引きでホスト名を確認して
IPアドレスとホスト名のマッピングが出来なかったら接続を許可しないって動きの
ようにみえるんだけど…
この辺の詳しい動きがよくわからん 「逆引きまともに設定してないやつらなんて信用できるか!」
って人のために存在している。 クライアントの IP アドレスを逆引きしてホスト名を得る
→そのホスト名を正引きして IP アドレスを得る
→その IP アドレスが元のと一致してなかったら蹴る そんなごく当たり前のIP逆引きチェックそのものを質問してるわけない、
質問の意図は別のところにある、と見るべき引っかけ問題。 UseDNSをnoにすることってないのになぜオプションがあるのか、という質問?
IP解決はDNSとは限らない(NISとかhostsとか)のになぜDNSという設定名? 逆引き出来ないクライアントから接続しているユーザーからの
「なんかログインに時間かかるんだけど」というクレームに
対応するため、逆引きをしないようにする機能だろ。 「それは逆引き設定しろ」と言えば済む話で、sshdの設定を変えるべきではない。 1ユーザーの逆引き無視要求で、全ユーザーの逆引きチェックを無効(危険)に晒すなんて、、 ごめん、言葉が足らなかった。
このUseDNS、デフォルトだとYesになっていると思うんだけど、クライアントが逆引き出来ない状態
(DNSサーバへの接続が出来ない状態やそもそもレコードにIPが登録されていない状態)でもSSHって接続出来るじゃない?
だとしたら、どういう時に使えるの?と思って。
1.IPアドレスがDNSに登録されている状態
かつ
2.そのホスト名を再度正引きしたら違うIPアドレスになっている
上みたいな状態の時だけは接続させないって認識であってるのかな?
レコードにいなかったり、DNSに接続出来ない時はそのままSSH接続出来るって事はわかるんだけど… rhosts認証を突破されないためのオプションだよ。 >>113
rhosts認証って、sshd_configのデフォルト設定だと有効になっていないよね?
てことは、sshd_configがデフォルトの状態のまま利用されていたら、このオプションでやってくれることってログの記録時にホスト名でロギングしてくれるくらいって
認識であっているかな?
他の何か利用用途ってあります? >>116
> 考えてもしょうがないからさっさとnoにしちゃえよ
インシデントになったせいで、会議で説明しなきゃならないんだよ 自分がやるべきことを掲示板に丸投げしてドヤ顔かよw ウソ教えられて、会議でそれを突っ込まれたら、2chで聞いたと言い訳するのかな? >>118
>>119
とはいっても、サポートよりここの住人の方が詳しいし頼りになるし…
教えてもらった情報を元に海外のサイトとサポートで裏取しようと思ってたんだ
仕様の部分がもうよくわからなくて… かまってもらえるのは回答者にとって興味がある場合だけ >>120
ホスト名で認証しない限りUseDNSはNoでいい。
今時IgnoreRhostsがnoになってることはないだろ。
デフォルトはrsh引きずってるだけ。 かまうと調子こいてソースは?とかエビデンスは?とか言い始めるぞw というわけで、このスレでのSSHに関する情報交換は全面禁止となりました。 ログインシェルをsshに変えたいんですが、chshでやろうとするとエラーになります。
どうすればいいですか? まずはその屏風からsshとかいうシェルを出してみてください sshはすでにインストール済みで、動作確認済みです >>127
>>129
出来ません、出来ません。
SSHにはそんなこと出来ません。 >>127
/etc/shellsにないんじゃないか。
ログインできなくなってもしらんけど。 /etc/shellsですか、ありがとうございます。
今環境がないので明日、客先で試してみます。 >>126
× このスレでのSSHに関する情報交換は全面禁止となりました
○ このスレでのSSHに関するサポート乞食は全面禁止となりました 132=129=127なのか、ネタレスだったのかはしらんけど、
本気でそれを客先でやったらとんでも無い事にはなるだろうなぁ…
sudoも出来ない状況だと、hddを別のに刺して直すしか思いつかん。 UNIX板には死語レベルのコピペにマジレスするピュア()な中高年が多いですね SSH で接続すると、日本語入力ができなくなるのだが、、これって無理なの?
Cygwin → LinuxMint
LinuxMint → LinuxMint(別ユーザー)
ターミナル または 、ssh -X で手元に表示したアプリでも日本語入力できない。
LinuxMint単独だと、 Mozcとかで日本語入力できてるんだけど。 >>139
この場合日本語入力はローカル側のが使われるんだよ。sshログイン先のホストのものではない。
必要な環境変数が設定されてないとエスパー。 >139-142
失礼しやした。
結論から言うと、リモート先で、
export XMODIFIERS="@im=fcitx"
と入力することによって、
GUIアプリ(Firefoxとかgvim)でも、日本語入力(Mozc)ができるようになりました。
で、後は、この export 文を設定ファイルで自動読み込みさせたい。
.bashrc に書くのはイマイチだし、
かといって、.ssh/rc に 書くと、
今度は、sshが、 xauth を読まなくなる。
これについては、
SSHのマニュアルか
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
個人ページ
http://namazu.org/~tsuchiya/ssh/
http://uncorrelated.no-ip.com/20101225.shtml
を参考に対処できそう。 自己レス
>>143
LinuxMint→LinuxMint へ、ssh -X でリモートログインした場合、
export XMODIFIERS="@im=fcitx"
すれば、gvim等のGUIアプリでも日本語入力のインターフェースが使えた。
だけど、~/.ssh/rc に記述すると xauth関連が良く分からないのであきらめ。
おとなしく、exportを手打ちするか、source することにした。
それから、
cygwin → LinuxMint へ ssh -X で リモートログインした場合は、
リモートの Xアプリ(gvim)にて、日本語入力インターフェースを使う方法が見つからなかった。
orz cat .ssh/id_rsa | ssh username@remotehost 'cat >> .ssh/authorized_keys; chmod 600 .ssh/authorized_keys'
これだと秘密鍵をremotehostに持ち出すことになるよね?
このあと特にエラーが出るわけでもないから初心者だと気づかないかも。 なんで秘密キーを公開キーのファイルに追記してんの?w >>146
公開鍵登録しろよ。多分id_rsa.pub