SSH その8
RLogin http://nanno.dip.jp/softlib/man/rlogin/ が入ってねーな。SFTPも使えたり結構高性能。 難点は名前がクッソ紛らわしいのと、フォント周りが使いにくい事。 >>10 10ページにウソが書いてある。しれっとウソが書いてあると その先読む気にならないよね。でも頑張って次ページに進む と「公開鍵で制限出来る事」… ダメだこりゃ 文脈からして 秘密鍵(を格納したファイルid_rsa) 公開鍵(を格納したファイルauthorized_keys) だろ。 スライドなんだから文脈からわかることは聴衆が補完くらいしろや。 >>12 秘密鍵で暗号化したものを秘密鍵で復号できないわけなくね あぁ「でのみ」って書いてあるか。 できないであってると思うけどな。 文脈からいってssh2の公開鍵認証について説明している。 ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証 RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、 DSAは署名/検証は出来るが、暗号化/復号は出来ない 筆者はssh2の認証方式を理解していないと判断せざるを得ない 11ページ 誤 公開鍵で出来る事 正 公開鍵認証で出来る事 その先は読む気にならない >>16 は?秘密鍵から公開鍵が得られないとでも? そもそも秘密鍵で暗号化するっていうのがおかしいんだが。 >>18 > は?秘密鍵から公開鍵が得られないとでも? 得られない。中学生でも理解してる。 SSH-KEYGEN(1) BSD General Commands Manual SSH-KEYGEN(1) ssh-keygen -y [-f input_keyfile] -y This option will read a private OpenSSH format file and print an OpenSSH public key to stdout. 「秘密鍵ファイル」には「秘密鍵」と「公開鍵」が格納されているので「秘密鍵ファイル」から公開鍵は得ることが出来るが 秘密鍵から公開鍵を得る事は出来ない そこを峻別するんだとしたら「秘密鍵」でどうやって暗号化するの さあ? 公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だからな 書いた奴に聞けよ > 文脈からいってssh2の公開鍵認証について説明している。 そういう文脈だとわかってるやつが > ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証 > RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、 > DSAは署名/検証は出来るが、暗号化/復号は出来ない みたいなずれた話を持ち出してくる意図の方がわからん。 スライドのコメントに書いてあげるほうが建設的じゃないか。 >>24 > ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証 秘密鍵と公開鍵ってのは鍵の使い方の話で、鍵の能力の話じゃないからねぇ… >>14 暗号化に使った鍵で平文化は出来ないよ。そうでないと公開鍵暗号が成立しない。 公開鍵暗号は暗号化鍵を公開鍵として、平文化鍵を秘密鍵とする。 電子署名では暗号化鍵を秘密鍵として、平文化鍵を公開鍵とする。 暗号化鍵から平文化鍵が計算できるアルゴリズムは電子署名にしか使えず、 平文化鍵から暗号化鍵が計算できるアルゴリズムは公開鍵暗号にしか使えず、 どちらの鍵からももう一方の鍵を計算出来ないアルゴリズムはどちらにも使える。 さらに暗号化鍵と平文化鍵を入れ替える事ができる場合は単一の鍵ペアで両方できる。 秘密鍵ファイルの中に公開鍵も一緒に保存してあるか、秘密鍵から公開鍵が算出できるなら平文化できるけど、 電子署名でどちらも満たさない場合は復元できないよ。(普通は署名書として公開鍵添付するからンな事ないが) >>33 「公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だから」 スライドのどこで、それが分かる? p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と それをファイル(文字列)化したものという意味の二つの使い方を同じページで 使ってるのがまずいと思う。 2行目の「秘密鍵からは公開鍵が生成できる」は「いわゆる秘密鍵ファイルには 公開鍵情報も含まれているので、公開鍵情報を取り出せる」という意味だろう。 好意的に解釈すれば。 このスライドを書いた奴は分かってないはず、という見地に立てば、秘密鍵ファイルから 公開鍵を取り出せることを、秘密鍵から公開鍵が生成できると勘違いしているともとれるが。 p11の「公開鍵で制限出来ること」というタイトルに対して「公開鍵認証で出来る事」という案を出しているけど このページの話題は openssh の sshd の実装の話(他のsshサーバーでもこうなのかどうかは知らないので 間違ってたらごめんだけど)だから、誤りというほどではないと思う。 用語の使い方に「怪しい」ところがある、ということなら 初心者には勧められない、ということになると思う ちゃんと自分で解釈を脳内補完できる人には 多少の「誤解を招きかねない」表現も問題ないだろうが 件のドキュメントはそれができない人向けなんじゃ? 厳密に書こうとすると無闇にややこしくなっちゃって 初心者にわかりづらくなることもあるよね >>34 > p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と > それをファイル(文字列)化したものという意味の二つの使い方を同じページで > 使ってるのがまずいと思う。 秘密鍵を格納したファイルから公開鍵を取り出す事を「秘密鍵からは公開鍵が 生成できる」と表現したのなら、公開の場で発表する能力が無いって事だ。 >>35 もくじを見ると件のページは、おさらいの一部になっている。 ということは自分で脳内補完できる人向けじゃないだろうか。 >>38 ウソを拡大再生産する輩を全部憎んでいる 死ねばいいのに コメントなりtwitterなりで指摘しないと ここで叩いても気づかないんじゃないかな? 個人的には叩くほどのことじゃない気はする RSAの場合、2つの素数p, q(p≠q)に対し(p,q)を秘密鍵, pqを公開鍵にするのだから秘密鍵から公開鍵を生成するのは簡単だよね? >>49 id_rsaにmodules nとpublicExponent eが含まれてるから。 RFC 3447 PKCS #1: RSA Cryptography Specifications February 2003 A.1.2 RSA private key syntax An RSA private key should be represented with the ASN.1 type RSAPrivateKey: RSAPrivateKey ::= SEQUENCE { version Version, modulus INTEGER, -- n publicExponent INTEGER, -- e privateExponent INTEGER, -- d prime1 INTEGER, -- p prime2 INTEGER, -- q exponent1 INTEGER, -- d mod (p-1) exponent2 INTEGER, -- d mod (q-1) coefficient INTEGER, -- (inverse of q) mod p otherPrimeInfos OtherPrimeInfos OPTIONAL } 引っ張ってるのはオレじゃない。必死でSSH力を擁護してる誰か。 賢者timeな者だけが石を投げなさい(冗談 sshに限らず、ツールの100%も使いこなせていないなー OpenSSHのsshd_configでChrootDirectoryを指定することってあるよね。 そのディレクトリに、 All components of the pathname must be root-owned directories that are not writable by any other user or group. こういう制限があるけど、ナンデ? >>56 rootの設定と関係なしにlnとかで好きな場所に出来てしまうからじゃ? ChrootDirectoryの親まではroot-ownedでroot以外not writableという制限は分かるような気がするんだけど、 例えば、chroot先を/home/oresama/ に指定するとき oresama がroot以外not writableになってると oresamaは自分のホームディレクトリのはずなのにディレクトリもファイルも作れない。 ちょっと厳しくないかと思う。 >>58 「あのぉ、root先輩、ChrootDirectoryを /home/watashi/dakeno/himitsu/ にしてもらえませんかぁ。」って頼んで 「おっふ、やっといた」となったら rmdir /home/watashi/dakeno/himitsu ln -s /root /home/watashi/dakeno/himitsu 「計画通〜り」ってことだよね。 このためには/home/watashi/dakeno がwritableでなければ出来ないでしょ。 himitsu は writableでもかまわないんじゃないだろうか。 >>60 Chrootにつっこまれる他のユーザを騙すことはできるようになるな >>59 /etc/shadowとか自由に作れるがそれでいいのか? そっか、mv して新しく作ることが可能になるのか。 いくない。それは、いくないな。 >>59 あんま詳しくないけど、chroot先とホームディレクトリは別々じゃなかったけ? OpenSSH No Longer Has To Depend On OpenSSL - Slashdot http://beta.slashdot.org/story/201419 試してみたい 中国とかは法律的な理由もあるかも 暗号化通信は当局が解読可能な状態にしないと駄目なんだっけ? VPN張る事自体問題視されるとか聞いたことあるけど 今SSHについて勉強してます。 どなたかRSA1、RSA、DSAの違いにつ いて教えて頂けませんか? メリット、デメリットがわからず、どれを使って良いのかわかりません。 自分で調べろやは無しでお願いします。 >>71 shでも学んでろ。 532 名無しさん@お腹いっぱい。 sage 2014/09/14(日) 17:11:01.54 今シェルについて勉強してます。 どなたかash、bsh、cshの違いにつ いて教えて頂けませんか? メリット、デメリットがわからず、どれを使って良いのかわかりません。 自分で調べろやは無しでお願いします。 >>74 なに(笑 このコピペみたいなカキコは!(笑) お、俺じゃないんだからね みたいなじゃなくて改変コピペそのもの こんなつまらんことを時々思い出したかのように繰り返してる狂人だからスルー推奨 # netstat -n | grep 22 したら、知らないホストでESTABLISHED接続になってて # cat /var/log/secure| grep 知らないホスト(ロボット?) から複数のアタックがあったのだけど、session openってログ無かったんですが、 ssh のセッションがESTABLISHEDになることってあるのでしょうか? >>79 tcpのセッションとsshのセッションを分けて考えないと。 >>81 , >>82 ありがとうございます。 /var/log/secureでsession openになってないので気にしなくていいのですね。 ポートNo変えようかなーと思ってます。 >83 なんなら log をverbose にして暫く見張る。ま、port 番号変えるほうが対策になるけど。 秘密鍵使ってて、sshポートのハッキングなんてあるえるのでしょうか。 >>85 パスワード認証許可してないかノックしてるんだろ。 >>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。 「公開鍵を送ってくれ」と言ったら 秘密鍵も送ってくるユーザーの多いこと多いこと。 TCPラッパーが使えなくなると地味に困るなあ・・・ なんでサポート切っちゃうんでしょうか もしかしたら ifconfig みたいにメンテナがいないからじゃない? ftp 覗いてみたら tcp_wrappers_7.6.tar.gz のタイムスタンプは Apr 8 1997 だった sshd -iでinetdから上げるようにしてinetdのtcpwrapperを使うかね sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ とりあえずはpf.confでやるけど PAMでやれ、ってことかな。 pam_accessとかpam_login_accessとか。 誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの? manとか見るとクライアントのIPから逆引きでホスト名を確認して IPアドレスとホスト名のマッピングが出来なかったら接続を許可しないって動きの ようにみえるんだけど… この辺の詳しい動きがよくわからん 「逆引きまともに設定してないやつらなんて信用できるか!」 って人のために存在している。 クライアントの IP アドレスを逆引きしてホスト名を得る →そのホスト名を正引きして IP アドレスを得る →その IP アドレスが元のと一致してなかったら蹴る そんなごく当たり前のIP逆引きチェックそのものを質問してるわけない、 質問の意図は別のところにある、と見るべき引っかけ問題。 UseDNSをnoにすることってないのになぜオプションがあるのか、という質問? IP解決はDNSとは限らない(NISとかhostsとか)のになぜDNSという設定名? 逆引き出来ないクライアントから接続しているユーザーからの 「なんかログインに時間かかるんだけど」というクレームに 対応するため、逆引きをしないようにする機能だろ。 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる