2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SSH その3

1 :名無しさん@お腹いっぱい。:03/07/15 02:01
SSHに関する情報交換のスレッドです。

FAQ、リンク集は >>2-5 あたり。

前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html

134 :名無しさん@お腹いっぱい。:03/09/18 18:32
質問なんですが…
OpenSSHでバグがあるというので 3.7.1p1-4 に
アップデートをしたんですが、TTSSH や PuTTY などの
Windows クライアントから接続できなくなりました。
どうやらパスワード認証がダメのようです(何度も入力して、
最後は回数制限でディスコネクト)。
同じユーザ/パスワードで、他のサーバ経由で ssh すると
ログインできるんですが。
sshd_config で、Protocol を 1 にしても同様でした。
サーバ類は、すべて TurboLinux 7 Server です。


135 :名無しさん@お腹いっぱい。:03/09/18 18:49
>>134
sshd_configがどうなっているのか、ssh -v するとどうなるのかぐらい
書ける知能を持てるようがんばりましょう

136 :名無しさん@お腹いっぱい。:03/09/18 19:45
>>134
あと、ログ見れ。

137 :名無しさん@お腹いっぱい。:03/09/18 21:39
>>121
.NETアプリなので一発目の起動がかなり遅い & メモリ食うけど、
一度起動してしまえば結構普通に使えるね。タブの切り替えも
モタついたりしないし、ゲバラ起動中は認証情報を使い回すよう
にしとくと、別ウィンドウ起こしたくなったらALT+Rでさくっとタブが
開くのは便利だ。

ただ、今は自宅のP4-2.4GHz/1GB memoryなマシンだから職場
のP3-600MHz/128MB(悲)のマシンではどうかなぁ…
最新の1.4で描画周りをWin32 API直叩きに変えて描画速度は
かなり上がったとの事だけど、微妙に遅いような気もしないでは
ないし。明日試してみよ。

エスケープシーケンスの解釈はまだ色々変みたいだね。

138 :名無しさん@お腹いっぱい。:03/09/19 01:34
>>137
マ板に作者来てるから要望出すがよろし

139 :名無しさん@お腹いっぱい。:03/09/19 02:03
ちょっとすれ違いな質問お許しください。

openssh3 を使用しています。ssh でリモートホストにログインして
なんらかの作業を行うということをシェルスクリプト内で行いたいのですが
標準入力からパスワードを与えてもそれを読み取ってくれません。
エージェントを使うにしても最初に一度はパスフレーズを手動で与えねばなりません。ところが
実はPCスタートと同時に行いたいので、最初から最後まで無人でできる必要があります。
perl で ssh モジュールというのも考えましたが、port forwarding 機能も使いたくてこれもだめです。
なにか良い知恵などございませんでしょうか。

140 :名無しさん@お腹いっぱい。:03/09/19 02:05
もうすこし具体的に書くと、

#!/bin/tcsh
ssh <<EOF
パスワード
コマンド
コマンド
exit
EOF

みたいなことがしたいわけです。無理なのかな。

141 :名無しさん@お腹いっぱい。:03/09/19 02:08
>>140
expect でできるかも

142 :139:03/09/19 02:11
>>141

すさまじくすばやいレスありがとうございます。
でも、、expect ってなんですか?

143 :名無しさん@お腹いっぱい。:03/09/19 02:12
>>142
man expect

144 :名無しさん@お腹いっぱい。:03/09/19 02:21
>>139
単にパスフレーズを空文字列にしておけば良い。
秘密鍵ファイルのパーミッションに注意していれば、
これでも十分安全だ。

こちらも参考に↓
http://www.jp.freebsd.org/QandA/HTML/2255.html

145 :名無しさん@お腹いっぱい。:03/09/19 02:25
ついさっき linux-users ML でも話題になったな。
ttp://search.luky.org/linux-users.a/msg00706.html

146 :名無しさん@お腹いっぱい。:03/09/19 06:29
>>137
GNU screen使いのヲレにとってはエスケープシーケンスの解釈が甘いのは致命的
なんで、ちと手が出せんなぁ…。

147 :名無しさん@お腹いっぱい。:03/09/19 10:47
>>134
135,136は3.7.1p1をインストールすらしてないと思われ。

sshd_configをどう書こうが、password認証がPAM経由で
行われなくなった模様。--with-md5-passwordsをつけて
rebuildするしかない予感。
v2プロトコルだと、password認証が失敗した後、keyboard-
interactive(ChallengeResponse認証)でPAMが使われ、
始めてログインできる。
(この認証フェーズって良いわけ?これで)

TTSSHはv1プロトコルしか対応してないからあぼーん。
PuTTYはv2モードでkeyboard-interactiveが有効になって
いればログインできるかと。

148 :名無しさん@お腹いっぱい。:03/09/19 13:09
> 147
TTSSHでも、ログオン時に「TISを使う」を選択すればPAM経由でログオンできません?


149 :名無しさん@お腹いっぱい。:03/09/19 15:19
>>147
3.7.1p1にしてからWinSCP3.1でパスワードを保存している
にもかかわらず再度聞かれるのはそれが関係しているん
ですかね。

再度聞かれてくるパスワードを人為的に間違えると確かに
keyboard-interactiveで認証が通る。

パスワードを再度聞かれないようにしたいんですが、
これはOpenSSH側かWinSCP側かどっちの問題なんでしょうか?

150 :名無しさん@お腹いっぱい。:03/09/19 15:20
すみません。
アゲちまいました…

151 :139:03/09/19 17:19
>>143-145
どうもありがとう。大変参考になりました。

152 :147:03/09/19 17:32
>>148
確かにできるようですねん
でも、ChallengeResopnseフェーズでPAM(実質password認証)ってなんか変

>>149
もろ関係していると思われ
password認証時には--with-md5-passwords付で作られているか、
shadowパスワードを使用しないシステムでない限りなにを入れても
認証されない模様

こうなると個人的には
ChallengeResponse認証を禁止して、--with-md5-passwords
付きでinstallしる
とか思ってしまう

CallengeResponseシステムって本来使い捨てパスワードを実現する為に
あったと思ったんだけど、違うんだろうか・・・

153 :149:03/09/19 19:15
>>152
レスありがとうございます。
--with-md5-passwords付きで入れ直しました。
とりあえず、これで問題は解決しました。

どうもありがとうございました。

154 :134:03/09/19 23:28
>>147-148

レスありがとうございます。
たしかに、TTSSH だと TIS 使用で、
PuTTY ならプロトコル ver.2 でログインできました。
ただ、他のメンバーも使うのでオプションつけて
リビルドすることも考えます。

155 :134:03/09/19 23:39
>>154
自己レス読んでみたが、あきらかに SSH が
ちゃんと分かっていない。
勉強しないと > 自分

156 :名無しさん@お腹いっぱい。:03/09/20 00:07
>>152
> でも、ChallengeResopnseフェーズでPAM(実質password認証)ってなんか変
> ...
> CallengeResponseシステムって本来使い捨てパスワードを実現する為に
> あったと思ったんだけど、違うんだろうか・・・

そうか?
pamってのは普通のpassword認証だけでなく、One-time password認証や
Kerberos認証とかまでも包括した認証機構なんだから、
ChallengeResopnse認証じゃないとその機能を発揮できないでしょ。

むしろ俺には、password認証時にもpamが使われてしまう
今までの挙動の方が不自然に思える。


157 :名無しさん@お腹いっぱい。:03/09/20 01:08
>>156

なんか矛盾しているような。
PAMがpassword認証を含まないのならともかく、含むわけだから
password認証時にもPAMが動いて欲しいんでは?
実際それで問題が出てるわけだし。

むしろ話を逆にして、認証方法の設定をsshdが丸抱えしている今のやり
方をやめて、pamの枠組の中で全ての認証方法を選択できるようにする
のって無理なのかしらん?


158 :名無しさん@お腹いっぱい。:03/09/20 03:54
>>157
> pamの枠組の中で全ての認証方法を選択できるようにする
それは telnet over TSL とどこが違うのかと

ssh においては password 認証はオマケでそ

159 :名無しさん@お腹いっぱい。:03/09/22 12:18
>>158
>ssh においては password 認証はオマケでそ

そうか?
sshってそもそもtelnetの置換えだったと思ったが
いや、それ以前に、本家のsshとopensshで動作が違うと
いうのは良いのか?


160 :名無しさん@お腹いっぱい。:03/09/22 12:27
rsh の置換でしょ。

161 :名無しさん@お腹いっぱい。:03/09/23 10:32
"Memory bugs" in OpenSSH 3.7.1 and earlier, with unknown impact,
a different set of vulnerabilities than CAN-2003-0693 and CAN-2003-0695.

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0682


162 :名無しさん@お腹いっぱい。:03/09/23 16:51

チン  ☆  チン       ☆                                
       チンチン           チンチン     ♪         
           ♪   ☆ チチン            
    ♪                .☆   ジャーン!  
        ☆ チン  〃  ∧_∧   ____      
          ヽ ___\(・∀・ )/\_/    3.7.2p1まだー?
        チン  \_/⊂     つ   ‖         
           / ̄ ̄ ̄ ̄ ̄ ̄ ̄/|  ‖
        |  ̄  ̄ ̄ ̄ ̄ ̄ ̄:| :| /|\
        |            |/


163 :名無しさん@お腹いっぱい。:03/09/23 21:59
3.7.1p2 あげ!

>>162
出るかどうか分からんな

164 :名無しさん@お腹いっぱい。:03/09/24 01:05
認証と関係あるかわかりませんが、OSのバージョンが変わったら
SSH 経由のセッションが who や w で表示されなくなりました。
具体的には AIX4.3.3 ではうまくいってたのが AIX5.2.0 にしたら
うまくいかなくなったので困っています。
ようは wtmp がアップデートされなくなった感じ。
SSH 自体の設定になにかその辺いぢれるとこがあるのでしょうか。
sshd は自分でコンパイルした訳でなくバイナリをどこかから
落としてきたのを使ってるのですが、SSH のそのあたりの実装は
OSに強く依存してるということでしょうか。



165 :名無しさん@お腹いっぱい。:03/09/24 02:42
>>164
wtmpのパーミションとかは大丈夫か?
# ま、念のため。。。

もともと存在しないのなら touch wtmp で0バイトのファイルとして作成する、
とか。
# うーむ。。。(^^;;

これでダメなら、独自にコンパイルして入れるしかないかも。。。

一応、それ系のconfigureスクリプトのオプションとして--disable-wtmp(x)というの
があるけど、まぁ自動判定されるから必要ないかな。

166 :名無しさん@お腹いっぱい。:03/09/24 03:09
UsePrivilegeSeparationあたりは?
wtmp書くときにログインしたユーザの権限になっちゃってるとか。

Linuxでpam_mkhomedirがその状態だったもんで。

167 :名無しさん@お腹いっぱい。:03/09/24 09:12
ふ〜は……
バージョンアップ作業疲れた…

もうネルポ... =□○_

168 :名無しさん@お腹いっぱい。:03/09/24 10:23
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=106432248411636&w=2
って >>161 とはまた別?

169 :名無しさん@お腹いっぱい。:03/09/24 12:20
>>168
>>161はバッファ管理の話、>>168のURLに書かれているのはPAMの話。よって別物。
春山さんの「OpenSSH情報」にも記載されているので見るとよろしいかと。

170 :名無しさん@お腹いっぱい。:03/09/24 13:44
OpenSSH本家のAdvisoryを見ると
パスワード認証ごときでわざわざPAMつかうなって言っているようにも見えるな

171 :134:03/09/24 14:09
TTSSH でログインできない件でお騒がせした者です。
Turbo Linux からは、アップデートのアナウンスが出ていました。

http://www.turbolinux.co.jp/update/update_history/2003/TLBA-2003-5j.txt

172 :164:03/09/25 04:49
ともあれ、ベンダーの提供?している SSH を使ったところ問題は解決しました。

http://oss.software.ibm.com/developerworks/projects/opensshi/

173 :名無しさん@お腹いっぱい。:03/09/25 20:20
sshd_config で PasswordAuthentication yes と設定されているサーバに対して
特定のアカウントのみ PasswordAuthentication no として扱うことはできるのでしょうか.
(指定したアカウントは RSA 認証でしかログインできないよう設定したい)

試しに ~/.ssh/config に PasswordAuthentication no を記述してみましたが,
ダメでした (そりゃそーですが).


174 :名無しさん@お腹いっぱい。:03/09/25 22:53
それこそ PAM を使うと柔軟に対処出来るのだが。

175 :名無しさん@お腹いっぱい。:03/09/26 02:21
WINSCPっていつのまにかバージョン3になって様変わりしてたんだ。しらなんだ・・・

176 :名無しさん@お腹いっぱい。:03/09/26 23:08
正直、update面倒。
誰か、やっといて。


177 :名無しさん@お腹いっぱい。:03/09/27 07:21
Windows の話ですが、すいません。
Windows 用の scp/sftp クライアントで、日本語ファイル名がまともに使えるものはありますか?
クライアント側は SJIS 、サーバ側は日本語 EUC を使っています。

常用している FileZilla はパスワード認証しかできないようで、
WinSCP3.3 ではサーバの日本語 EUC ファイル名が化けるのです。


178 :名無しさん@お腹いっぱい。:03/09/29 09:28
OpenSSHセキュリティ管理ガイド ってもう絶版になってしまったんですか?

179 :春山征吾 ◆unIxUSernc :03/09/29 19:10
ちょっと前の時点で 「在庫僅少」 とのことです。

まあもう読まないほうがいいかも。古いし間違い多いし。

180 :178:03/09/29 20:28
返答ありがとうございます。

ぜひ「第2版」を (-人-)
売り文句は
  ・3.7.1対応
  ・Privilege Separation 対応
とか (ウヒ

181 :名無しさん@お腹いっぱい。:03/09/30 22:14
OpenSSL に穴が見つかったから、また入れ換えないといけないのか・・・

182 :名無しさん@お腹いっぱい。:03/09/30 23:51
freebsdをXサーバとし,
WindowsでAstec-Xを走らせて,クライアントの起動を試みているのですが,
rexec: Executing '/usr/X11R6/bin/kterm -display ipaddress:0.0' on server ...
/usr/X11R6/bin/kterm Xt error: Can't open display: ipaddress:0.0
というエラーが出,どうしても,クライアントの起動がうまく出来ません.
また,FreeBSD側では,

server rexecd : setsid failed: Operation not permitted
というエラーがでています.
この部分がかなり怪しいとは思うのですが,自分では解決できません.
Googleしても分かりませんでした.
sshd_configでは,X11Forwardをyesにしてますし,Astec-Xの設定も
rexecdを使用する方法にのっとてやっています.
/etc/inetd.confにおいても,rexecdを使用するように設定しました.
どうしても分からないので,教えてください.


183 :名無しさん@お腹いっぱい。:03/10/01 00:30
ipaddressってとこにちゃんとIPを入れないと駄目だと思う.


184 :名無しさん@お腹いっぱい。:03/10/01 01:51
opensshってなんかセキュリティホールわんさかだから、
俺はtelnet-ssl使ってるよ なんて人いますか


185 :名無しさん@お腹いっぱい。:03/10/01 03:49
>>181
スタティックリンクしているのかな?

186 :名無しさん@お腹いっぱい。:03/10/01 07:28
>>183
もちろんいれてます

187 :名無しさん@お腹いっぱい。:03/10/01 07:29
>>183
すれ違いな気がするのでFreeBSDすれでききます.

188 :名無しさん@お腹いっぱい。:03/10/01 20:03
portable/openssh-3.7.1p2*が2002年なのはなぜだw

189 :名無しさん@お腹いっぱい。:03/10/01 21:29
>>188
なんのはなし?

190 :名無しさん@お腹いっぱい。:03/10/01 22:44
>>184
openssl もセキュリティーホールわんさかあるだろ

191 :名無しさん@お腹いっぱい。:03/10/02 01:25
>>185
あ、そうか。入れ換える必要はないや。

ところで、 OpenSSL の入れ換えは必要ということでいいんですよね?

192 :名無しさん@お腹いっぱい。:03/10/02 01:36
なんで OpenSSH はこんなに穴が多いんですか。
theo の魔力はこの程度なんですか。

193 :184:03/10/02 01:57
>>190
そうだった。>>181を読み流してしまっていた。opensslもわんさかかぁ。
ショボーン


194 :初期不良:03/10/02 03:41
3.7.1p2 を入れたら
sshd[1983]: User hage not allowed because account is locked
とか言われるようになっちゃたぞ
パスワード無しのロック状態で ssh 以外で入れないと言うのが
ウマーだったのに...

195 :名無しさん@お腹いっぱい。:03/10/09 12:26
Win2000にOpenSSL+OpenSSHいれて、Portforwarder使って
アクセスすると"permission denied"の表示。
グルーピング設定が必要ということで、

1)mkgroup -l >> ..\etc\group
2)mkgroup -d >> ..\etc\group

をやったんだけど、2入力後「Cannot get PDC, code=2453」の表示。
スタンドアロンのみ環境じゃアカンのかい…。


196 :名無しさん@お腹いっぱい。:03/10/09 12:44
>>179
改訂版の予定とかは…。
ないとすれば現時点では書籍ではどれがいいんでしょう?


197 :春山征吾 ◆unIxUSernc :03/10/09 19:57
> 改訂版の予定とかは…。

出版社さん次第ですね。

198 :名無しさん@お腹いっぱい。:03/10/09 22:23
>>194
漏れも
仕方がないので --without-shadow をつけて configure から
やり直しましたとさ。
もう馬鹿かと。


199 :名無しさん@お腹いっぱい。:03/10/12 18:26
179じゃないけど
今一冊本を買うとしたら何だろか

OpenSSH セキュリティ管理ガイドは
もうどこにも売ってないです(ノД`、)

200 :199:03/10/12 18:27
>>199

> 179じゃないけど
196じゃないけどの間違いです。

201 :名無しさん@お腹いっぱい。:03/10/12 22:54
>>195
>スタンドアロンのみ環境
なのにPDCの情報取ろうとしたらエラーになるのは当たり前だが?

202 :名無しさん@お腹いっぱい。:03/10/13 01:57
>>199
やはりカタツムリ本 (http://www.snailbook.com/) か…
こっちのほうが少しだが古いし、いまさら和訳しただけでは
売れそうにないし…
最新情報を盛り込んだ分かりやすい本の需要は
ますます高まっていると思うけど。


203 :Linux初心者:03/10/15 01:11
よろしくお願いします。
Winscpについて質問します。

LinuxでSSHサーバを立てているのですが
Winscpで接続すると、カレントディレクトリーより上に
移動できてしまいます。

サーバ側の設定でこの現象を出来なくする方法はありますか?
知っている方がいれば教えてください。
お願いします。

204 :名無しさん@お腹いっぱい。:03/10/15 01:18
>>203
http://pc.2ch.net/test/read.cgi/unix/1065232073/324

205 :マルチポスト氏ね:03/10/15 02:47
[vine-users:062619] Winscp について

> よろしくお願いします。
> Winscpについて質問します。
>
> VineでSSHサーバを立てているのですが
> Winscpで接続すると、カレントディレクトリーより上に
> 移動できてしまいます。
>
> サーバ側の設定でこの現象を出来なくする方法はありますか?
> 知っている方がいれば教えてください。
> お願いします。


206 :名無しさん@お腹いっぱい。:03/10/16 01:28
>>182
超ー遅レスで無意味かも知れんが、

sshのX-Forwardingわかってますか?

FreeBSDマシンのkterm
<=> INET localhost:10.0 (10は設定による)
<=> sshサーバ
<=> sshクライアント
<=> AstecのXのsocket (Windoze上のことはよくわからん)

rexecを持ち出している時点で既にスレちがいなんよ。
Astecがどういうものかよく知らんが、とにかくWindoze上で
動くsshクライアントTTSSHやPuTTYなどが必要。
そして各々にあるX Forwarding設定を有効にすれば、いとも
簡単にできるはずだがな。



207 :名無しさん@お腹いっぱい。:03/10/16 10:24
ASTEC-X 自身が SSH を喋ります。


208 :名無しさん@お腹いっぱい。:03/10/16 13:44
WinSCPのことで質問させてください。
ローカルからリモートへは設定により改行コードがLFに自動変換されますが
リモートからローカルの場合、親切なのか良くわかりませんがCRLFと変換されてしまいます。

ローカルで編集して再度転送する際にはLFになるので
深く気にするのが大人気ないことでしょうか?

WinSCP : 3.3.0 build 177

209 :名無しさん@お腹いっぱい。:03/10/16 16:14
environmentの設定は両方向になってるんじゃないの?
普通のftpと同じで、アスキーかバイナリかの選択だと思うけど。
つまり、テキスト以外のデータのやり取りをするときのことを考えれば、LFのままにしておいた方がいいんじゃないか?


210 :名無しさん@お腹いっぱい。:03/10/16 23:41
sftpにパチ当ててFileZillaから日本語ファイル名(・∀・)イイ
ttp://www.hakusan.tsg.ne.jp/tjkawa/software/misc/sftp-sjis/index.html

211 :名無しさん@お腹いっぱい。:03/10/16 23:52
日本語の拡張を施すなら、クライアント側のほうがいいと思うが。
たたでさえ、OpenSSHはバージョンアップが激しいしな。

212 :名無しさん@お腹いっぱい。:03/10/17 00:09
>>207
なぁんだ、じゃ質問してるやつは釣師か(w

213 :名無しさん@お腹いっぱい。:03/10/17 23:01
djbsssh, a secure replacement for ssh
http://slashdot.jp/article.pl?sid=03/10/17/0825250&topic=1&mode=nested

これって

qmail.orgのネタだよなあ

214 :名無しさん@お腹いっぱい。:03/10/17 23:12
キタ━(゚∀゚)━( ゚∀)━(  ゚)━(  )━(゚  )━(∀゚ )━(゚∀゚)━!!!!

215 :名無しさん@おなかいっぱい:03/10/21 20:05
>197 春山さん
是非是非改訂版お願いします。初版ゲットできませんでした。
オライリーみたいなげぇじんが書いた奴じゃなくて、
きちっと日本人が書いた日本人のためのssh本と言うことで
春山さんお願いします。出版社は変わっても何してもいいです。
どうかよろしくです。発売待ってま〜す。

216 :199:03/10/25 00:39
結局大学の図書館で
OpenSSHセキュリティ管理ガイドを借りて読みました。
ssh2についての記述が少ないということ以外は
読みやすくてとってもいい本ですね

217 :名無しさん@お腹いっぱい。:03/10/31 14:19
最近やっと分った。ソース嫁っていう人の言うことが。
書籍やドキュメントよりもなによりも信用できるのはソースしかないんだってことが。
2次情報は所詮一次情報(ソース)を理解する助けにしかならないってこと。
で、BSDはLinuxの多くの配布系と違って/usr/srcに今使っているソースが
そろっていることの意味が分った!!!ありがとうBSD!ありがとうBSD!!!

218 :hage:03/10/31 17:32
>>217
まっ、その分manがおろそかでも・・(ぉ

219 :名無しさん@お腹いっぱい。:03/10/31 17:40
>>218
どのmanですか?


220 :名無しさん@お腹いっぱい。:03/10/31 17:41
>>217
ここに書くことじゃないけどな。

221 :名無しさん@お腹いっぱい。:03/10/31 20:26
man co


222 :名無しさん@お腹いっぱい。:03/11/04 03:14
SSH のように、ある秘密鍵を持っている人のアクセスを許可するような認証を
HTTP で行うためにはどうすればいいのでしょうか?

まぁ普通に sshd を立ち上げて、
Webサーバ側では localhostからだけ受け付けるようにしておいて、
トンネリングでアクセスさせるという方法もありなのかもしれませんが、
スマートでは無いように思います。

223 :名無しさん@お腹いっぱい。:03/11/04 03:30
SSLでクライアント側も認証させるとか?
っつーかスレ違い。

224 :名無しさん@お腹いっぱい。:03/11/04 05:13
>>222
Apache 限定でよければ Apache スレあたりで。

225 :行ってきます:03/11/04 05:37
>>223 SSLですか…だったらスレ違いですね、行ってきます。
>>224 Apache限定だとそういうことができるんですか?、行ってきます。

226 :名無しさん@お腹いっぱい。:03/11/05 00:19
expectとcronを使って、自動に接続をしたいんですけど、
以下のようなシェルをcronで走らせて、
接続を維持するにはどうしたらいいですかねえ
#!/usr/bin/expect
spawn /us/bin/ssh hostname
expect "Password:"
send "pass\r"
interact

227 :名無しさん@お腹いっぱい。:03/11/05 10:53
>>226expect なんぞ使わなくてもよいように公開鍵認証にする

228 :名無しさん@お腹いっぱい。:03/11/05 12:18
>>226
http://www.jp.freebsd.org/QandA/HTML/2255.html


229 :名無しさん@お腹いっぱい。:03/11/18 21:29
自宅鯖にSSH Forwardingでメールの送受信したいのに、
iptablesで110と25に穴を開けない送受信できないのはなぜ?
22を開けるだけじゃダメなの?
Etherealでパケットキャプチャしてみたが、どーみても22番しか使ってない。
どこか設定が悪いのかな?
教えてSSHのエライ人!

鯖はDebian GNU/Linux 3.0r1、OpenSSH 3.4p1-1.woody.
クライアントはWindowsXP Pro、Putty Release 0.53b-jp20030210

230 :名無しさん@お腹いっぱい。:03/11/18 21:55
>>229
うちは25だけで行けてます。

231 :名無しさん@お腹いっぱい。:03/11/18 22:22
>>229
自宅鯖→自宅鯖:25 なパケットまで落としているとか?
見当違いだったらスマソ

232 :名無しさん@お腹いっぱい。:03/11/18 22:28
ただのiptablesの設定ミスじゃねえの?

233 :229:03/11/18 23:05
>>231
ごめん。意味がよくわから無いけど、
「落としている」というのは、iptablesでDROPにしてあるということ?
たぶん、してないと思うけど・・・。

>>232
iptablesは↓こんな感じ。
dps:smtp、pop3の行が無いと送受信できない。
悪いところがあるかな?

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost localhost
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:ssh
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:www
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:smtp
ACCEPT tcp -- anywhere ns1.hogehoge.com tcp dpt:pop3
ACCEPT udp -- anywhere ns1.hogehoge.com udp dpt:domain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

234 :名無しさん@お腹いっぱい。:03/11/19 02:15
ACCEPT all -- ns1.hogehoge.com ns1.hogehoge.com
を入れたらどう?

235 :名無しさん@お腹いっぱい。:03/11/19 02:16
port fowardingの設定をしてるコマンドラインも
出した方が話が早いんじゃない?

236 :名無しさん@お腹いっぱい。:03/11/19 02:33
そうだね。クライアント側の設定に誤りがある可能性大。
iptablesだったらDROPのログチェイン作れば確認できるでしょうに。

237 :名無しさん@お腹いっぱい。:03/11/19 03:03
pdumpfs (・∀・)イイ!!かも

238 :PS:03/11/19 17:54
GuevaraでSSH2の接続ってどうやるんでしょうか。。。。
PuTTYならたいした設定もなく苦もなくできるんよ。

239 :名無しさん@お腹いっぱい。:03/11/19 19:34
犯罪予告キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
只今本人降臨中で祭りに発展中!!!!!!
急げ!急げ!!記念真紀子!!
http://news4.2ch.net/test/read.cgi/news/1069235370/

240 :229:03/11/19 20:43
>>229
それだ!!!
あなたがSSHのエライ人!
多謝感謝!ありがとうございました〜!
それから>>231も同じことだったね。
今理解できた(笑)。ありがと〜。

>>235
解決しちゃったけど、PuTTYのトンネルの設定はコレでした。↓
L8110 ns1.hogehoge.com:110
L8025 ns1.hogehoge.com:25

コマンドプロンプトで確認するとちゃんとListeningしてるように見える。
C:\>netstat -a

Active Connections

Proto Local Address Foreign Address State
TCP hostname:8025 hostname:0 LISTENING
TCP hostname:8110 hostname:0 LISTENING

他の人もありがとうございました。

241 :229:03/11/19 20:46
ミスった!
自分がエラくてどーする!>オレ
>>234さんでした。
本当にありがとうございました!


242 :名無しさん@XEmacs:03/11/20 13:36
別解として、iptables の設定は前のままで

> 解決しちゃったけど、PuTTYのトンネルの設定はコレでした。↓
> L8110 ns1.hogehoge.com:110
> L8025 ns1.hogehoge.com:25



> L8110 localhost:110
> L8025 localhost:25

とするんでもうまく行くかもね。


243 :名無しさん@お腹いっぱい。:03/11/23 17:09
記念パピコ。

244 :名無しさん@お腹いっぱい:03/11/23 18:30
↑(-_-;)

245 :名無しさん@お腹いっぱい。:03/11/25 01:12
http://www.dit.co.jp/ssh/support01.html
>Open SSHはOpen SSHがインターネットドラフトに基づいていないため,
>Public Keyを使った認証,接続はできません。

これどういう意味でしょ?

246 :春山征吾 ◆unIxUSernc :03/11/25 08:43
OpenSSHの鍵ファイルは、
ttp://www.ietf.org/internet-drafts/draft-ietf-secsh-publickeyfile-04.txt
の形式ではなく、そのまま商用SSHの鍵を利用することはできません。が、
ttp://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_3
変換して利用することができます。

あと、
・OpenSSHもAESをサポートしています。
・libsectokかOpenSCを利用するスマートカードサポートがあります。

247 :245:03/11/25 12:06
どうもです。

鋭意勉強中だったので、上のページでちょっとパニクりました。

なんでそこまで差別するのか。。。

これはもうドラフトsecshとopenssh関連のページを熟読するしかないですね。

ありがとうございました。



248 :名無しさん@お腹いっぱい。:03/11/25 12:14
DQN会社の売り込み文句なんぞ真にうけんでよろし

249 :名無しさん@お腹いっぱい。:03/11/29 21:40
ssh できるのに、scp や sftp ができません。
hostA, hostB, hostC があって、
hostA から hostB へは ssh, scp, sftp 全て OK
hostA から hostC へは ssh だけ OK
ちなみに、hostA から hostC への scp や sftp を -v してみると、
hostA% sftp hostC
OpenSSH_3.6.1p1+CAN-2003-0693, SSH protocols 1.5/2.0, OpenSSL 0x0090702f
debug1: Reading configuration data /path_to_home/.ssh/config
.
.
debug1: channel 0: request subsystem
debug1: channel 0: open confirm rwindow 0 rmax 32768
で止まっていました。
何かポイントありますか?

250 :250:03/11/30 01:51
>>249
とりあえず、コレ(↓)を見るヨロシ
 2.9 - ssh は問題ないのに、sftp/scp が接続に失敗する。
 http://www.openssh.com/ja/faq.html#2.9

# scpだけかと思ったら、sftpも標準入出力を使ってたのね...

251 :名無しさん@お腹いっぱい。:03/11/30 22:37
>>250
ぬりがとう。
これだ!と思ったのだけど、ちがうみたい。
でも、このおかげでちょっとわかってきた。
% ssh localhost tcsh
ができない。
% ssh localhost
はできる。
OS が MacOSX10.3 なのだけど、10.2まではちゃんと動いていたので、
どこかのバグかも。
もうちょっと調べてみるわ。


252 :名無しさん@お腹いっぱい。:03/11/30 23:21
>>251
環境変数 PATH とか?

253 :名無しさん@お腹いっぱい。:03/12/01 00:15
>>251

昔、リモートの .loginの中で exec zsh とかやってたら、上のよ
うな感じでscpでファイルを送りつけられない状態になった覚えが
あるけど・・・

全然外してたらスマソ




254 :名無しさん@お腹いっぱい。:03/12/01 00:56
分かりました。
結局、.cshrc がいけませんでした。
いろいろなホストで.cshrcを共通化していて、
ホストの差異を吸収しているところで問題がありました。
(おまけに、そのスクリプトにバグ発見)
おさわがせしました。


255 :名無しさん@お腹いっぱい。:03/12/04 02:03
% ssh -V
OpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.7c 30 Sep 2003
% ssh hostA
Disconnecting: Corrupted MAC on input.

っていうエラーが出るのですが、何がまずいのでしょう?
ホスト側で接続できるMACアドレスを限定しているってことでしょうか?

ちなみに、hostBにはちゃんとログインできるのですが、、、よろしくお願いします

256 :255追加:03/12/04 02:06
ちなみに
remoteC(TTSSH) -> hostA ○
remoteD(ssh) -> hostA ×(今回困っている状況)
という感じです。

257 :255,256:03/12/04 02:45
単にhostAがSSH1だっただけなので、
 s/ssh/ssh -1/
で解決しました、すみません

258 :名無しさん@お腹いっぱい。:03/12/04 13:21
MAC って「Message Authentication Code」のことなのかな?
そのエラーメッセージだけでは「MAC って何なんだー!?」ってなるよね。
「Disconnecting: Corrupted MAC on input」でぐぐってもよくわからんし。

259 :名無しさん@お腹いっぱい。:03/12/04 21:54
man ssh に載ってるね。

260 :名無しさん@お腹いっぱい。:03/12/05 22:25
scp するときに、いちいち認証をするんだけど、
これを省略するにはどうすればいいの?

261 :名無しさん@お腹いっぱい。:03/12/05 22:26
>>260
ssh について書いてある記事なり本なりには
たいてい書いてあるはずです。

262 :名無しさん@お腹いっぱい。:03/12/06 03:24
RSA鍵について最近はじめてトライしてみようと思ったのですが、疑問点が2つあります。
よろしければ、教えていただけますでしょうか?

(1)いくつかの、SSH関連サイトを見ると、
「作成した暗号キーペアの秘密鍵、"identity"を、FDなどで、WindowsPCへコピーせよ」とありますが、
レンタルサーバを借りてる場合などは、これは無理ですよね?

≪質問≫:この場合、どうするのがよいのでしょうか?
 (少ない知識の自分なりに考えてみたのですが、たとえば、
  セキュリティ強度的に落ちるものの、WINSCP3などでファイルをダウンロードするとか?でしょうか?)

(2)昔、某レンタルサーバで働いてたときに、
 同僚の2人が、Teraterm+SSHで、RSA鍵で認証するときに、パスフレーズは空のまんま、ログインしていました。
 ということは、鍵生成時に、パスフレーズを空にした(ただEntrer押しただけ)ということですよね?

≪質問≫:これって、セキュリティ的に、甘いのではと思うのですが、どうなんでしょうか?
 (いくつかのサイトを見ましたが、「10文字から30文字の間にすべきといわれています」といった類の文章が書いてあったもので。

上記、教えていただければ幸いです。

263 :名無しさん@お腹いっぱい。:03/12/06 03:40
>>262
1、鍵はローカル側で生成。リモート側には公開鍵のみ置く。
公開鍵の転送時に「転送先が本当に正しいのか」という問題があるが、
レンタルサーバという時点で既にセキュリティー的には甘いのでどこかで妥協する必要がある。

2、パスフレーズは秘密鍵を復号するためのもの。鍵の管理を厳重にすることと(程度以外は)同等。

264 :名無しさん@お腹いっぱい。:03/12/06 11:15
>>262
sshについて解説したサイトは多いが、安全性に問題がある方法とか
嘘を紹介しているところも少なくないからな。

>>262のような人に漏れが勧めているサイトはここ↓。
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/putty.shtml
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/winscp.shtml

WindowsからOpenSSHサーバへ接続する場合は
ここにある情報で十分だろう。
# まあ、細かいツッコミどころがないわけではないが…

265 :名無しさん@お腹いっぱい。:03/12/06 11:22
>>262
> 「作成した暗号キーペアの秘密鍵、"identity"を、FDなどで、WindowsPCへコピーせよ」とありますが、
これって Windows で鍵ペアを作りにくかった時代の話でしょ。
今なら Cygwin 入れればすぐ作れるよ。

>  同僚の2人が、Teraterm+SSHで、RSA鍵で認証するときに、パスフレーズは空のまんま、ログインしていました。
パスフレーズは手許にある秘密鍵を暗号化しておくためにある。
ぜったい秘密鍵を盗まれない! という自信があるなら空でもいいのでは。

266 :262:03/12/06 18:35
>>263-265
ありがとうございます。非常によく分かりました。
参考にあげてくださったも拝見しました。
非常にわかりやすかったです。
これからいろいろと試してみたいと思います。
ありがとうございます。

267 :262:03/12/06 18:36
>>266
誤:参考にあげてくださったも拝見しました。
正:参考にあげてくださったサイトも拝見しました。

失礼しました。

268 :名無しさん@お腹いっぱい。:03/12/11 07:15
すみません、puttyのpsftp機能を使って接続しようと思っているのですが、なぜか接続できません。
接続するさいに以下のログが出力されます。

No supported authentication methods left to try!
Fatal:unable to initialise SFTP: could not connect.

puttyからLinuxサーバーへは認証は成功し、正常に接続できるのですが、何か問題があるのでしょうか。。
sshもpsftpもポート22番なのでルータ等の設定は問題ありません。

269 :268:03/12/11 07:28
すみません、環境はdsa認証を使い、windowsXPクライアントからREDHAT7.3への接続になります。

また、>>249,>>250を参照しましたが、ダメでした。

270 :名無しさん@お腹いっぱい。:03/12/11 10:32
sshd_configに
Subsystem sftp /usr/lib/sftp-server
みたいな設定がないという可能性は?

271 :268:03/12/11 16:34
>>270

はい。それも確認はしてみましたが問題なく記述されておりました。
もちろんコメントアウトはしていませんでした。。

272 :名無しさん@お腹いっぱい。:03/12/11 17:37
putty側の問題なのか切り分けるのが先でわ。
とりあえずどっか別のLinuxマシンからsftpしてみるとか、Winしか無い
ならCygwinのsshに含まれてるsftpでつないでみるとか。

273 :名無しさん@お腹いっぱい。:03/12/11 17:50
エラー内容から見てみるとサーバ側の問題(゚ν゚)クサー

274 :名無しさん@お腹いっぱい。:03/12/14 05:27
質問というより確認なのですが1つのアカウントにたいして複数のrsa鍵を持つことは不可能ですよね?(裏技っぽい方法でなくて)

275 :名無しさん@お腹いっぱい。:03/12/14 11:02
>>274
可能。つーかman読め。

276 :名無しさん@お腹いっぱい。:03/12/15 13:42
$ man ssh
中略
-i identity_file
Selects a file from which the identity (private key) for RSA or
DSA authentication is read. The default is $HOME/.ssh/identity
for protocol version 1, and $HOME/.ssh/id_rsa and
$HOME/.ssh/id_dsa for protocol version 2. Identity files may
also be specified on a per-host basis in the configuration file.
It is possible to have multiple -i options (and multiple identi-
ties specified in configuration files).

277 :名無しさん@お腹いっぱい。:03/12/15 13:47
自分で探させてやれよ……。

278 :名無しさん@お腹いっぱい。:03/12/16 16:15
ncftp か lftp みたいな scp クライアントってありませんかねえ?

279 :名無しさん@お腹いっぱい。:03/12/16 19:33
>>278
あるよ。
 Yet Another FTP Client
 http://yafc.sourceforge.net/
# 春山さんのWebサイトからもリンクがはられてたはず。

lftpもsftpに対応したとかいう話を聞いたような気がするのだが…はて、どう
だったかな(lftpは使わないんでな、あまり知らん)。

280 :名無しさん@XEmacs:03/12/16 22:00
> あるよ。
>  Yet Another FTP Client

それは sftp クライアント。scp には未対応。


281 :名無しさん@お腹いっぱい。:03/12/16 22:24
「ftpクライアントみたいなscpクライアント」の意図しているものが分からん。
それはsftpとちゃうんか、と。
それにscpはscpそのままの方が便利だろうに。

282 :名無しさん@お腹いっぱい:03/12/16 22:42
コマンドラインのscpクライアントがほしいんだろ。たぶん。
ブックマークとかレジュームができればいいんだろ。たぶん。

283 :名無しさん@お腹いっぱい。:03/12/16 23:43
scp でファイル一覧とったりできるのか?

284 :名無しさん@XEmacs:03/12/17 12:44
>>281
> 「ftpクライアントみたいなscpクライアント」の意図しているものが分からん。
> それはsftpとちゃうんか、と。

考えついた唯一の存在理由は SSH1 でも使える、ってとこかな。

内部で ssh/scp コマンドを使うことで、ftp/sftp っぽいユーザイ
ンターフェースを提供するようなラッパーに対する需要はあっても
おかしくないだろう。GUI だが古い WinSCP なんてのもその類だし。

yafc も SSH 接続を確立するところでは似たようなことやってるわ
けだし。


285 :名無しさん@お腹いっぱい。:03/12/17 14:13
>>284
> 内部で ssh/scp コマンドを使うことで、
それが難しい/めんどくさいから sftp があるんでないの?

286 :名無しさん@お腹いっぱい。:03/12/17 16:52
>>279
> lftpもsftpに対応したとかいう話を聞いたような気がするのだが…
開発版で対応してるっぽいな。

287 :名無しさん@XEmacs:03/12/17 23:25
>>285
> > 内部で ssh/scp コマンドを使うことで、
> それが難しい/めんどくさいから sftp があるんでないの?

だから SSH1 では SFTP プロトコルは使えないんだってば。


288 :名無しさん@お腹いっぱい。:03/12/18 00:49
いまだに SSH1 に だけ しか対応してないサーバを放置していると?

289 :名無しさん@お腹いっぱい。:03/12/18 01:07
>>278
hsftpはどうよ?

290 :名無しさん@お腹いっぱい。:03/12/18 01:16
これか。はつみみです。
ttp://la-samhna.de/hsftp/

291 :名無しさん@お腹いっぱい。:03/12/20 01:49
>>268
もう解決した?

292 :名無しさん@お腹いっぱい。:03/12/21 16:07
sftpはちょっと遅いのが難点。
条件にもよるが、sftpの転送速度はscpに比べて20%〜50%くらいは劣る
からなあ。

293 :名無しさん@お腹いっぱい。:03/12/21 16:10
scpもかなり遅いガナー

294 :名無しさん@お腹いっぱい。:03/12/21 16:20
>>293
いや、CPU負荷の小さい暗号(arcfourとか)と
1GHz程度のCPUを使えば、100Mbpsの帯域なら
ほぼフルに使い切ることができる。

295 :279:03/12/21 17:52
亀レスですが…

>>280 あ、そうだったのですか。ご指摘どうもです。

>>283
リモートホストでlsコマンドを実行した結果を利用するのではなかったかと。

で、環境変数LANGがjaになってたりするとlsコマンドの実行結果が変化し(曜日
の表示が日本語になったりする)、エラーが発生する、と。WinSCPでそんなこ
とがあったと思います。

296 :古山良助:03/12/21 19:13
てくるで(トコロで)・・・・・


      ☆ チン     マチクタビレタ〜
                        マチクタビレタ〜
       ☆ チン  〃  ∧_∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
        ヽ ___\(\・∀・) < OpenSSHのバージョンアップまだ〜?
            \_/⊂ ⊂_ )   \_____________
          / ̄ ̄ ̄ ̄ ̄ ̄ /|
       | ̄ ̄ ̄ ̄ ̄ ̄ ̄|  |
       |  愛媛みかん |/

297 :名無しさん@お腹いっぱい。:03/12/21 20:30
ん、なんか穴あったっけ?


298 :   :03/12/22 00:06
SSH2用のRSA鍵はどうやって作成すればいいのでしょうか?

ssh-keygen -t rsa で作ると鍵の形式が違うぞゴルァ!とゲバラに怒られてしまいます。



299 :名無しさん@XEmacs:03/12/23 20:27
>>298
> SSH2用のRSA鍵はどうやって作成すればいいのでしょうか?
> ssh-keygen -t rsa で作ると鍵の形式が違うぞゴルァ!とゲバラに怒られてしまいます。

ssh-keygen2 使うとか、PuTTYgen 等で形式変換するとかの回りくど
い手ももちろんあるが、単にげばらに作らせればいいのでは?


300 :名無しさん@お腹いっぱい。:03/12/23 21:02
ちぇ

301 :299 :03/12/23 23:18
>>299
FreeBSDのportsからmake installしたのですが、ssh-keygen2 が無いようです。
ゲバラのツールで作ったもので試してみます。

ありがとうございました。


302 :名無しさん@Emacs:03/12/24 08:17
PasswordAuthentication yes と設定してるのなら、
AllowUsers でログイン・アカウントを制限してるだろうな。

パスワードがバレバレなアカウントがあったら、クラックされるぞ!

> 173
超超カメレスだが、

sshd_config で
> 特定のアカウントのみ PasswordAuthentication no として扱う

のなら、PasswordAuthentication no と設定したsshd を、
別なポートで、もう一つ動かせばいい。

22番しか使えないsshクライエントって、まだあるのか?

303 :名無しさん@XEmacs:03/12/25 16:41
>>301
> FreeBSDのportsからmake installしたのですが、ssh-keygen2 が無いようです。

ふーん、おかしいね。うちの FreeBSD 4.8-R では ports で問題な
く入れられたけど。

-bash-2.05b$ ssh-keygen2 -V
ssh-keygen2 version 3.2.5, compiled Dec 24 2003.


304 :名無しさん@お腹いっぱい。:03/12/27 21:25
>>300
君はゲバラの話が出たから、『ちぇ』って書いてみたの??
チェ・ゲバラを知ってても面白くないぞ。

305 :名無しさん@お腹いっぱい。:04/01/22 13:26
sftpでログインしてもサーバ側のlastログには残らないのですが、
残す方法ってありますか? /var/log/messagesには

sshd[28325]: subsystem request for sftp

こんなログしか残ってなくて、誰がログインしたかわかりません。

306 :名無しさん@お腹いっぱい。:04/01/24 13:56
保守

307 :名無しさん@お腹いっぱい。:04/01/24 14:36
保守の価値なし

308 :名無しさん@お腹いっぱい。:04/01/24 14:39
>>305
LogLevel DEBUG

309 :名無しさん@お腹いっぱい。:04/01/25 10:49
>>308
それだと他のメッセージがウザイ

310 :名無しさん@お腹いっぱい。:04/01/26 14:53
お疲れさんです。
WINSCP 3.4.2
ー>Solaris8
コンソールでは、問題ないのですが、画面に表示できません。

ご教示ください、お願いします。
以下 ログです。

> ls -la ; echo "WinSCP: this is end-of-file:$status"
< 合計 22
< drwxr-x--- 3 user00 user00 512 1月 26日 13:07 .
< drwxr-xr-x 27 root root 1024 1月 25日 18:50 ..
< -rw------- 1 root other 15 1月 26日 13:40 .bash_history
< -rw-r--r-- 1 user00 user00 744 1月 25日 17:34 .cshrc
< -rw-r--r-- 1 user00 user00 2287 1月 25日 17:35 .profile
< drwxr-x--- 2 user00 user00 512 1月 26日 12:04 .ssh
< -rw-r--r-- 1 user00 user00 124 12月 29日 02:49 local.cshrc
< -rw-r--r-- 1 user00 user00 607 12月 29日 02:49 local.login
< -rw-r--r-- 1 user00 user00 582 12月 29日 02:49 local.profile
< WinSCP: this is end-of-file:0
* (ECommand) ディレクトリ '/export/home/user00' のリスト取得のエラー
* ディレクトリのリストに不正な行 '合計 22'
* 不正な権限の表記 '計 22'


311 :名無しさん@お腹いっぱい。:04/01/26 17:07
>>310
お疲れさんです

312 :名無しさん@お腹いっぱい。:04/01/26 22:45
今のところWinSCPでEUCファイル名を扱う方法はない?
sftpdのパッチは公開されてたけど、自分の管理下にないサーバでも使いたい
日本語ファイル名使うな、と言われればそれまでだけど

313 :名無しさん@お腹いっぱい。:04/01/27 11:43
日本語ファイル名使うな

314 :名無しさん@お腹いっぱい。:04/01/27 13:11
はい、それまで。


315 :310:04/01/27 13:48
レスありがとうございます。

前に表示できていたのですが、たまたまですか?
ja_JP.PCKで

316 :名無しさん@お腹いっぱい。:04/01/27 20:53
はい、それから〜

317 :名無しさん@お腹いっぱい。:04/01/28 14:04
>>268
psftp を起動後 open host.name を入力すると思いますが、この host.name にIPアドレスや
FQDNを入力しているのではないでしょうか(勝手な想像ですが)。実は、この host.name には
PUTTY.EXE(またはPUTTYJP.EXE) の「保存されたセッション」の名称を入力するのが
正しいのです。
亀れすですみませんが、4時間ハマってやっと解決したうれしさでカキコしてしまいました。

318 :名無しさん@お腹いっぱい。:04/01/28 15:32
>>312
WinSCPやめてFilezillaじゃダメ?

319 :310:04/01/28 20:47
ログインシェルを/bin/shにしたら、表示できました。
>>318
トライしてみる。
ありがとう。

320 :310:04/01/28 21:39
>>318
Filezila、ssh接続は、できないね。
残念。


321 :310:04/01/28 21:42
>>318

ごめん。できるね。

322 :名無しさん@お腹いっぱい。:04/01/28 22:50
FileZillaとsftpにeuc-jpパッチで幸せ(・∀・)イイ!!

323 :名無しさん@お腹いっぱい。:04/01/29 11:38
>>305の類似だけど
winscpでのloginをlastlog に残す方法はあるの?
LogLevel 変えてもlastlog には書かれないし。

324 :名無しさん@お腹いっぱい。:04/01/31 17:28
scp すると転送先でのファイルのパーミッションが 600 になるんですが、
どうすれば 644 とかに変更できるか誰か教えてくれませんか?

325 :名無しさん@お腹いっぱい。:04/01/31 17:43
>>324
umask

326 :名無しさん@お腹いっぱい。:04/02/05 21:55
1. 事前に公開鍵が置いていないところへは絶対に ssh で逝けないのか?
2. 初めて公開鍵を置きに逝くときに ssh で逝きたし
3. w3m に ssh を被せたし
4. mutt から ssh 使いたし //その場合の PGP との堅固性の比較も

327 :名無しさん@お腹いっぱい。:04/02/05 22:05
> 1. 事前に公開鍵が置いていないところへは絶対に ssh で逝けないのか?
> 2. 初めて公開鍵を置きに逝くときに ssh で逝きたし

password認証やOTP認証を使え

> 3. w3m に ssh を被せたし
> 4. mutt から ssh 使いたし //その場合の PGP との堅固性の比較も

意味不明

328 :sage:04/02/10 00:30
sftp-serverを見ると、ただwriteしているように見えますが、誰がどこで暗号化しているんでしょうか?
sshdがどこかで暗号化してるんでしょうか?それともsftp-server自身?
初級な質問ですみません。ご存知の方は教えてください。

329 :名無しさん@お腹いっぱい。:04/02/10 13:04
>>328
だから、まず接続時に ssh の公開鍵認証を行うわけ。
その後クライアント側はランダムに共通鍵を作ってサーバに
それを送信するわけ。もちろんその共通鍵の受渡しには公開
鍵暗号を使うんだけどね。

んでその共通鍵で暗号化して通信してるのさ。

なんでずっと公開鍵暗号を使わないのか?っつー疑問がある
かも知れんが、それは共通鍵暗号/復号の方が軽いのさ。

では


330 :名無しさん@お腹いっぱい。:04/02/10 19:17
いま、大学とバイト先の会社とで、まったく同じ問題を味わっています。

まず自宅からsshで大学なり会社なりのサーバにアクセスして、
そのサーバから内部でsshで目的のコンピュータにアクセスする経路をたどる必要があります。

これ自体はよいのですが、ローカルから目的のコンピュータにデータを送ろうとした場合、
やたら面倒になってしまうので困っています。
今はscpを2回行っているのですが、頻繁にファイルのやり取りをするので、
よくミスをしてしまい、能率的にも精神的にも効率が非常に悪いです。

よくある環境だと思うのですが、何か方法があるのでしょうか?
ググる際の簡単なキーワードだけでも結構ですので、ぜひ教えてください。

331 :名無しさん@お腹いっぱい。:04/02/10 19:20
自宅にsshdを立てて、目的のコンピュータからscpする

332 :名無しさん@お腹いっぱい。:04/02/10 19:21
多段

333 :名無しさん@お腹いっぱい。:04/02/10 19:23
>>331
大学、会社とも、内から外にsshポートをあけていません
>>332
とりあえずぐぐってみます

334 :名無しさん@お腹いっぱい。:04/02/10 19:29
stone (with SSH port forwarding) 使うとわりとすっきりいくかも

335 :名無しさん@お腹いっぱい。:04/02/10 20:07
>>332
ちょっと見てみましたが、結局gatewayとなるサーバが
ポートを公開してくれないことには使えないみたいですね。

>>334
大学や会社の内部コンピュータにも、sshを使わないと入れないのですよ…

336 :名無しさん@XEmacs:04/02/10 20:40
>>329
> その後クライアント側はランダムに共通鍵を作ってサーバに
> それを送信するわけ。もちろんその共通鍵の受渡しには公開
> 鍵暗号を使うんだけどね。

それは protocol v1.X での動作だから、v2 でしか動かせない
sftp-server に関する説明としては不適切かな。


337 :名無しさん@お腹いっぱい。:04/02/10 20:50
>>335
ムリヤリ SSH だけで解決しようとしないで
管理者に相談すれ。

338 :名無しさん@お腹いっぱい。:04/02/10 21:28
>>337
大学も会社も、なかなかに私の立場が低くて頼みづらいんですよね。
とりあえず、会社の方はsshを通してもらえるかもしれないので、
自宅のsshdと通信する方法でミスを減らそうと思います。

339 :名無しさん@XEmacs:04/02/11 00:24
>>335
> >>332
> ちょっと見てみましたが、結局gatewayとなるサーバが
> ポートを公開してくれないことには使えないみたいですね。

って何を見てそういう結論に達したのか分からんけど、>>330 によ
れば

自宅PC → 相手GW
相手GW → 目的SV

それぞれの SSH 接続はできてるんだよな?

であれば、(たぶん) 前スレで既出だが、自宅PC → 相手GW の SSH
接続する際に目的SV の port 22 を自宅 PC の適当な port に
local forward してやりゃいいだけ。

>>338
> 大学も会社も、なかなかに私の立場が低くて頼みづらいんですよね。

相手NW のポリシー侵害することになる可能性もあるから、いずれに
しても勝手にはやらず、相手NW 管理者にきちんと確認はしとくべし。


340 :名無しさん@お腹いっぱい。:04/02/11 04:03
公開鍵(e,n)を手に入れる。
nを因数分解して、素数p,qを手に入れる。
{g,{d,k}} = ExtendedGCD[e,(p-1)(q-1)]となるようなdを見つける。
g=k=1である。d<0 なら d+(p-1)(q-1)とする(不定性のため)。
秘密鍵(d,n)を手に入れることができた。
アスキーコードになっている文字列Sに対し、
Mod[S^d,n]とし、暗号を解除、あとはそのアスキーコードを
FromCharacterCode["S"]で英字に直し、目的の文章を手に入れる。


341 :名無しさん@お腹いっぱい。:04/02/11 04:23
素数判定は「決定的」多項式時間で可能
ttp://science2.2ch.net/test/read.cgi/math/1028813059/

342 :名無しさん@お腹いっぱい。:04/02/11 04:56
一応並みの数学屋として、「そーいうレベルでのアレ」だとは
ゆっとく。業績としてはたしかなものだけんどね


343 :名無しさん@お腹いっぱい。:04/02/11 10:58
>>336
v2はどーゆー動きなの?

344 :名無しさん@お腹いっぱい。:04/02/11 11:03
>>310 ログインシェルはcsh系?
だとしたらまずWinSCPの設定でシェルを /bin/sh に変更。bashでもいいけど。
Clear national variables(日本語版だとどう訳されてるんだろ)という項目がある
はずだからそれにチェックを入れる。それで英語の出力が出るはず。

345 :名無しさん@XEmacs:04/02/11 17:13
>>343
> v2はどーゆー動きなの?

v2 では共通鍵交換方式も server/client 間で交渉可能となってる
けど、現状使われている事実上唯一のアルゴリズムは D&H であり、
server 認証は S/C 双方の一時 D&H parameter その他のデータに対
して server が施したデジタル署名を client が検証することで実
現されてる。


346 :名無しさん@お腹いっぱい。:04/02/11 20:52
何言ってるかわからないんですが、、、

347 :名無しさん@お腹いっぱい。:04/02/11 22:57
>>346
とりあえずInternet Draftを嫁。
http://www.ietf.org/html.charters/secsh-charter.html

"SSH Protocol Architecture"と"SSH Transport Layer Protocol"を読めば、
とりあえずサーバ<=>クライアント間の暗号化通信路を確立するところまでは
わかるはず。

348 :名無しさん@お腹いっぱい。:04/02/13 09:55
PuTTY 0.54 age

349 :名無しさん@お腹いっぱい。:04/02/13 11:29
PuTTYごときでageるなよ

350 :名無しさん@お腹いっぱい。:04/02/20 08:42
ご存知の方がいらしたら、教えてください。
Port Forward する際に、クライアント側の .ssh/config で
「LocalForward 80 hogehost:80」 みたいに書けるわけですが、
"hogehost" をlocalhost に限定するような制約って
サーバ側(sshd_config 等)で可能なんでしょうか。

351 :名無しさん@お腹いっぱい。:04/02/20 08:48
>>350
別のプロセスで Proxy したら同じことだからそんな機能意味ないでしょ。

352 :名無しさん@お腹いっぱい。:04/02/20 17:22
>>351
えーと、ユーザのログインシェルは /bin/false 等に設定して殺してあります。
要するに、勝手に外部(sshd 起動ホスト以外)の SMTP とかに port forward
されたくないんです。
やっぱり、iptable とかでフィルタリングするしかないんでしょうか。。。

353 :名無しさん@お腹いっぱい。:04/02/20 21:52
ログインは許可しないのにローカルにだけフォワードする
のはいいの??
それって結局フォワード先も特定のポートしか無いんだ
ろうから SSL 使えば良いんじゃないでしょうか。

354 :350:04/02/20 23:29
>>353
そうです。
ログインは許可せずに、特定のアプリケーションだけ SSH による鍵認証により
接続して使わせたいのです。

355 :名無しさん@お腹いっぱい。:04/02/21 03:29
>>350
permitopen="host:port"


356 :350:04/02/21 15:11
>>355
ありがとうございます。おかげでやりたかったことが実現できました。

sshd_config ではなく authorized_keys で、それぞれの公開鍵ごとに制御可能なのですね。
というわけで、$HOME/.ssh/authorized_keys でユーザごとに管理させるのを止めて
管理者側で一元管理するようにしました。

357 :sage:04/02/23 07:11
OpenSSHのssdで、暗号化する前の通信データ(送信)と、複合化後の受信データ、つまり暗号化されていないそれぞれの情報の内容が見たいのですが、どこで取得できるかわかりません〜。
printfかファイル出力で取得しようかと思いますが、どこに仕掛けたらよいか・・・
誰かお助け(教えて)ください〜。お願いします。

358 :名無しさん@お腹いっぱい。:04/02/23 10:00
Cygwinスレに出てるcocotの真似すればよい

359 :名無しさん@XEmacs:04/02/23 13:39
>>357
> OpenSSHのssdで、暗号化する前の通信データ(送信)と、複合化後の受信データ、
> printfかファイル出力で取得しようかと思いますが、どこに仕掛けたらよいか・・・

実際の暗号化/復号処理を行なってるのは packet.c。

こいつを -DPACKET_DEBUG 付きで compile すると ssh/sshd が処理
前後の内容を標準エラーに吐き出すようになるので (たぶん)、その
辺参考にしててきとーにいじくってみれば?


360 :357:04/02/23 15:32
>>358
>>359
初心者の私の質問に親切にお答えいただいてありがとうございます。
非常に参考になりました。
さっそく試してみようと思います。

361 :名無しさん@お腹いっぱい。:04/02/24 23:19
OpenSSH 3.8 release age

362 :A5501T:04/02/24 23:46
キタ━(°∀°)━!!

363 :名無しさん@お腹いっぱい。:04/02/25 01:25
幾つか設定項目変わってるねぇ

diff -u openssh-3.7p1/sshd_config openssh-3.8p1/sshd_config ってみるテスト
+#KerberosGetAFSToken no

-#GSSAPICleanupCreds yes
+#GSSAPICleanupCredentials yes

-# bypass the setting of 'PasswordAuthentication'
-#UsePAM yes
+# bypass the setting of 'PasswordAuthentication' and 'PermitEmptyPasswords'
+#UsePAM no

-#KeepAlive yes
+#TCPKeepAlive yes


364 :名無しさん@お腹いっぱい。:04/02/26 23:51
PAM がデフォルトでNOになったのね。

365 :名無しさん@お腹いっぱい。:04/02/27 00:26
テラターム!

366 :名無しさん@お腹いっぱい。:04/03/02 23:03
初心者なのにunixサーバ管理者に任命されて、sshdをインストールしたはいいのですが、telnetを止めろと言われました。
でもsshdが動いていれば、telnetdは殺してもいいものなのでしょうか?それとも、他の方法でアクセスできないようにするのでしょうか。
不安でなかなか実行できません。
私の理解では、sshでログインするのは暗号化されているが、telnetと同じというイメージなのですが・・・
教えてください。

367 :名無しさん@お腹いっぱい。:04/03/02 23:09
>>366
ssh は rsh をセキュアにしたものであって telnet とは無関係。


368 :名無しさん@お腹いっぱい。:04/03/02 23:11
telnet は即効で止めましょう。
「telnet で繋がらないやん」と言われたら、「SSHしか駄目です」と言いましょう。
それ以外には困ることはありません。

これでサーバー管理者の第一歩を歩みだせましたね。

369 :名無しさん@お腹いっぱい。:04/03/03 02:30
> telnetと同じイメージ
イメージで処理せず、疑問に思ったことは可能な限り自分で調べてみましょう。
ssh の通信が暗号化されるかどうかは、パケットキャプチャしてみれば確認できます。
それでも気になるなら、ソースコードまでたどるという手もあります。

イメージだけで管理を始めるとトンデモ管理者への第一歩を歩んだことになります。
今ならまだ間に合います。


370 :名無しさん@お腹いっぱい。:04/03/03 15:33
>>369 はBSD厨ですんで放置で。。。

371 :名無しさん@お腹いっぱい。:04/03/03 15:57
>>369 は全然回答になってないしな。

372 :名無しさん@お腹いっぱい。:04/03/03 16:01
(・∀・)ジサクジエンデシタ

373 :名無しさん@お腹いっぱい。:04/03/03 16:48
>>369を要約してみました。







ぐぐれ。

374 :名無しさん@お腹いっぱい。:04/03/03 17:14
>>373
0点。


375 :名無しさん@お腹いっぱい。:04/03/04 06:23
366で書いた者です。
皆さんのお話、とても参考になりました。
どうもありがとうございます。わかると面白いので今後もさらに勉強します。


376 :名無しさん@お腹いっぱい。:04/03/04 15:28
login shell が始めから ssh 通っているのってどうやっているのですか?

377 :名無しさん@お腹いっぱい。:04/03/04 17:04
>>376
どういう意味?

378 :名無しさん@お腹いっぱい。:04/03/04 17:20
>>377
例えば↓な感じの

|-sshd---sshd---bash---pstree

ttp://pc.2ch.net/test/read.cgi/linux/1015251437/2
ttp://pc.2ch.net/test/read.cgi/linux/1015251437/4
ttp://pc.2ch.net/test/read.cgi/linux/1015251437/10

379 :名無しさん@お腹いっぱい。:04/03/04 17:45
>>378
単に ssh でログインして pstree 打っただけでは。

380 :名無しさん@お腹いっぱい。:04/03/05 02:46
一つの接続に対して sshd のプロセスが二つ立ち上がる
理由ってなんだったっけな。

>>376 が思い描いていそうなのは
ssh host1 -t ssh host2
みたいなことか

381 :名無しさん@お腹いっぱい。:04/03/05 04:43
>>380
つか、一つの接続には sshd ひとつしか立ち上がってないでしょ。
一個目の sshd は親玉 daemon 。
↓これ見てみ。
http://pc.2ch.net/test/read.cgi/linux/1015251437/9

382 :名無しさん@お腹いっぱい。:04/03/05 07:12
>>380
UsePrivilegeSeparation yes でsshdが2つ動く

383 :名無しさん@お腹いっぱい。:04/03/05 12:40
>>381
うぉ、そうだった。thx

384 :名無しさん@お腹いっぱい。:04/03/06 04:03
うp方向のsshってある?
その逆はscpだけど。

385 :名無しさん@お腹いっぱい。:04/03/06 04:17
まあ落ち着いてscpのmanでも読め。


386 :名無しさん@お腹いっぱい。:04/03/06 11:53
まあ、落ち着いて cp の man でも読めや。

387 :名無しさん@お腹いっぱい。:04/03/06 15:24
ついでにsftpのmanも読め

388 :名無しさん@お腹いっぱい。:04/03/06 16:03
えーと、

rsh  ---> ssh
rlogin ---> ssh
telnet ---> ssh
ftp  ---> sftp
rcp  ---> scp
rcp  ---> rsync

で良いでしょうか?

389 :名無しさん@お腹いっぱい。:04/03/06 22:48
rsync ---> rsync -e ssh


390 :名無しさん@お腹いっぱい。:04/03/06 23:42
ふつう RSYNC_RSH=ssh; export RSYNC_RSH してるだろ。


391 :名無しさん@お腹いっぱい。:04/03/07 00:08
ふつうって何さ

392 :名無しさん@お腹いっぱい。:04/03/07 00:29
友達の少ないしとをいぢめちゃだめですよ

393 :名無しさん@お腹いっぱい。:04/03/07 16:15
rsync 2.6.0だとsshがデフォルトになってるはずさ。

394 :名無しさん@お腹いっぱい。:04/03/08 00:54
-e "ssh -l ユーザー"だったりするくらRSYNC_RSHは使えないなぁ

395 :名無しさん@お腹いっぱい。:04/03/08 01:01
ふつう user@host:/path/to/dir するだろ。


396 :名無しさん@お腹いっぱい。:04/03/08 01:03
rsync -z と rsync -e 'ssh -C' はどっちが効率いいんざましょ。

397 :名無しさん@お腹いっぱい。:04/03/08 17:28
>>395
なんかそれだと/home/ユーザー/.sshの中の鍵を見つけてくれないんだよね
なんでだろ?

398 :名無しさん@お腹いっぱい。:04/03/08 20:01
>>394
.ssh/config に User 指定しとけば host:/path/to/dir でいける


399 :名無しさん@お腹いっぱい。:04/03/09 16:39
>>396
http://www.mail-archive.com/rsync@lists.samba.org/msg08406.html


400 :名無しさん@お腹いっぱい。:04/03/09 19:00
>>400ゲトー
http://www63.tok2.com/home2/tokumeizatudan/2ch/2ch.swf
↑UNIX板、2ちゃんに関するフラッシュ

401 :名無しさん@お腹いっぱい。:04/03/12 01:43
リモートにアクセスした後にそこのルートディレクトリ(/)以下全部を、ローカル(hoge.jp)のbokeユーザのホームディレクトリにコピーしたい時、
#scp -r /* boke@hoge.jp
でよろしいでしょうか?

402 :名無しさん@お腹いっぱい。:04/03/12 03:05
>>381
あのですね
接続ごとに 2つずつたちあがるんですけど
これは何が原因ですかね

接続ごとに親玉いるんですかね

403 :名無しさん@お腹いっぱい。:04/03/12 03:26
>>402
1個下のレスぐらい見なよ

404 :おしりからミミズが出てきたYO:04/03/12 03:27
次期Openssh(openssh-4.0.rc.tar.gz)は、パッチとして提供つつ削られたchroot機能が標準化されるらしい。

405 :名無しさん@お腹いっぱい。:04/03/12 03:29
それよりsftpの効率をあげてほすい

406 :名無しさん@お腹いっぱい。:04/03/12 03:34
自分自身で自身を攻撃すると
ループバック攻撃が成立し、デフレスパイラルならぬ
「アタック・スパイラル」が成立してなんだか楽しそう_| ̄|○

まさにうんこスパイラルですな

407 :名無しさん@お腹いっぱい。:04/03/12 06:05
それより Heartbeat/Watchdog Patch を標準化してほすい

408 :名無しさん@お腹いっぱい。:04/03/12 14:10
>>401
マルチか。

409 :ssh-geek:04/03/15 04:25
ASPページや、ASP.NETといったサーバサイドはもちろん、VB,VB.NET, C#アプリケーションからも手軽にSSHクライアントアプリケーションが開発できます。
海外(ロシア)ですが、非常に親切に回答してもらえます。

近々日本人スタッフによるサポートも始まるようで、試してみる価値ありです。

http://www.weonlydo.com/

410 :ssh-geek:04/03/15 04:25
ASPページや、ASP.NETといったサーバサイドはもちろん、VB,VB.NET, C#アプリケーションからも手軽にSSHクライアントアプリケーションが開発できます。
海外(ロシア)ですが、非常に親切に回答してもらえます。

近々日本人スタッフによるサポートも始まるようで、試してみる価値ありです。

http://www.weonlydo.com/

411 :名無しさん@お腹いっぱい。:04/03/18 18:41
OpenSSL に穴が出てるけど、問題アリなのは libssl の方であって、
libcrypto には関係ないから ssh は影響なしという理解であってる?


412 :名無しさん@おなかいっぱい:04/03/19 23:18
SFU3.5のOpenSSH371.p2使ってみたんだけど、なかなか良かとよ。
Cygwinのsshdより軽いもんね。
まぁsftpはどやっても重いけど、コリャどうしようもなか問題ね。
今日日VPN付きルータなんてのもあるようだが、オイラはOpenSSHやね。
もちろんケースバイケースなんでしょうが、WinもUNIXも混ぜ混ぜMIXなオイラにはありがたいOpenSSHでした。
さて、オナニーでもして寝るか。

413 :名無しさん@お腹いっぱい。:04/03/21 23:44
boxA(会社) から boxB(家) は接続できる
boxB(家) から boxA(会社) は接続できない

という環境のとき,boxAから
[user@boxA]$ ssh -R 10022:localhost:22 boxB
でポートフォワーディングしておけば,
[user@boxB]$ ssh -p 10022 localhost
boxBからもboxAへ接続できるじゃん! 超便利.

そんなある日,家にいるとき,boxBをリブートしたいけど,
boxAからの接続は切りたくない.どうしようと思い,
boxAで
while true ; do
ssh -N -R 10022:localhost:22 boxB
echo "reconnect.." ; sleep 60
done
このようなスクリプトはしらせれば解決だろ.と思ったのですが.
boxBがリブートしたり,落ちたりして,sshセッションが無効になっても
ssh -N -R 10022:localhost:22 boxB
の部分は動きっぱなしで,ループしてくれません.

今は,姑息な手段で,解決しようとしていますが,なにかエレガントな解決方法ありませんか?




414 :名無しさん@お腹いっぱい。:04/03/22 00:00
Heartbeat/Watchdog Patch for OpenSSH とか。

415 :名無しさん@お腹いっぱい。:04/03/22 04:33
PasswordAuthenticationをnoにしているにも関わらず、
パスワード認証が通ってしまうのは何故なんでしょうか?

416 :名無しさん@お腹いっぱい。:04/03/22 05:00
>>415
しらん。-t つけて起動してみるとか。

417 :名無しさん@お腹いっぱい。:04/03/22 05:36
>>415
それはパスワード認証ではないから、とか言ってみるテスト。
ssh -v でみてみよう。
sshd -d で受けてみよう。

116 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)