TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
FreeBSDを語れ Part47
UNIXでJAVA
tcpdumpを用いて他人の通信を盗聴したら犯罪
FreeBSD/amd64 part3 (and for operation-2ch)
AIXスレッド Technology Levels 06(Part6)
shift+spaceボクメツ委員会
4.4BSDの設計と実装
そんなふうに考えていた時期がありました
Cygwin使っている人いますか? その21
vi 2nd
SSH その8
- 1 :2014/04/25 〜 最終レス :2020/06/06
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
■前スレ
SSH その7
http://toro.2ch.sc/test/read.cgi/unix/1266323017/
■過去スレ
その6 http://pc12.2ch.sc/test/read.cgi/unix/1202782840/
その5 http://pc11.2ch.sc/test/read.cgi/unix/1145484540/
その4 http://pc8.2ch.sc/test/read.cgi/unix/1102242908/
その3 http://pc5.2ch.sc/unix/kako/1058/10582/1058202104.html
その2 http://pc.2ch.sc/unix/kako/1028/10281/1028157825.html
その1 http://pc.2ch.sc/unix/kako/976/976497035.html
- 2 :
- よくある質問
Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
- 3 :
- ◇実装
本家ssh.com
http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
http://hp.vector.co.jp/authors/VA002416/
http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.sc/test/read.cgi/unix/1084686527/
http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/
PortForwarder
http://www.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html
- 4 :
- ◇規格等
・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
・RFC4251: The Secure Shell (SSH) Protocol Architecture
・RFC4252: The Secure Shell (SSH) Authentication Protocol
・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
・RFC4254: The Secure Shell (SSH) Connection Protocol
・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
Key Fingerprints
・RFC4256: Generic Message Exchange Authentication for the Secure
Shell Protocol (SSH)
WideのSSH解説
http://www.soi.wide.ad.jp/class/20000009/slides/12/
- 5 :
- リンクは修正したほうがいいかもしれないね。
OpenSSH
http://www.openssh.com/ja/ (日本語) ← 無くなってる
http://www.jp.openbsd.org/openssh/ が日本語ページらしいが、実際は英語。
TeraTerm/TTSSH
http://sleep.mat-yan.jp/~yutaka/windows/ ← 無くなってる
/ http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://pc8.2ch.sc/test/read.cgi/unix/1084686527/
→ 現行スレ Putty その3 【パティ】http://toro.2ch.sc/test/read.cgi/unix/1302006799/
VeraTerm
→ Poderosaに名称変更 http://sourceforge.jp/projects/sfnet_poderosa/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/ ← 無くなってる?
PortForwarder
http://www.fuji-climb.org/pf/JP/
→ http://toh.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html ← ページがない。
→ http://www.nongnu.org/tramp/
- 6 :
- http://www.macssh.com/index-2.html
MacSSH はこれかな。
X より前の Mac OS 用っぽいから削除でもいいかと。
- 7 :
- SFTPクライアントやAndroid、iPad用のクライアントも入れたらどうだろう。
SFTPクライアント
WinSCP http://winscp.net/
WinSCP 日本語情報 http://sourceforge.jp/projects/winscp/
FileZilla https://filezilla-project.org/
FileZilla 日本語情報 http://sourceforge.jp/projects/filezilla/
Android
connectbot https://code.google.com/p/connectbot/
他にもいいのがある?
iPadについてはお手上げ。
- 8 :
- 前スレラストはケイオス過ぎだわ
- 9 :
- RLogin http://nanno.dip.jp/softlib/man/rlogin/
が入ってねーな。SFTPも使えたり結構高性能。
難点は名前がクッソ紛らわしいのと、フォント周りが使いにくい事。
- 10 :
- SSH力をつけよう
http://www.slideshare.net/tohakushi/ssh-13118950
これも入れといて。
- 11 :
- >>10
10ページにウソが書いてある。しれっとウソが書いてあると
その先読む気にならないよね。でも頑張って次ページに進む
と「公開鍵で制限出来る事」… ダメだこりゃ
- 12 :
- >>11
どれがウソ?
- 13 :
- 文脈からして
秘密鍵(を格納したファイルid_rsa)
公開鍵(を格納したファイルauthorized_keys)
だろ。
スライドなんだから文脈からわかることは聴衆が補完くらいしろや。
- 14 :
- >>12
秘密鍵で暗号化したものを秘密鍵で復号できないわけなくね
- 15 :
- >>14
そんなこと書いてある?
- 16 :
- あぁ「でのみ」って書いてあるか。
できないであってると思うけどな。
- 17 :
- 文脈からいってssh2の公開鍵認証について説明している。
ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、
DSAは署名/検証は出来るが、暗号化/復号は出来ない
筆者はssh2の認証方式を理解していないと判断せざるを得ない
11ページ
誤 公開鍵で出来る事
正 公開鍵認証で出来る事
その先は読む気にならない
- 18 :
- >>16
は?秘密鍵から公開鍵が得られないとでも?
そもそも秘密鍵で暗号化するっていうのがおかしいんだが。
- 19 :
- >>18
> は?秘密鍵から公開鍵が得られないとでも?
得られない。中学生でも理解してる。
- 20 :
- SSH-KEYGEN(1) BSD General Commands Manual SSH-KEYGEN(1)
ssh-keygen -y [-f input_keyfile]
-y This option will read a private OpenSSH format file and print an
OpenSSH public key to stdout.
- 21 :
- 「秘密鍵ファイル」には「秘密鍵」と「公開鍵」が格納されているので「秘密鍵ファイル」から公開鍵は得ることが出来るが
秘密鍵から公開鍵を得る事は出来ない
- 22 :
- そこを峻別するんだとしたら「秘密鍵」でどうやって暗号化するの
- 23 :
- さあ? 公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だからな
書いた奴に聞けよ
- 24 :
- > 文脈からいってssh2の公開鍵認証について説明している。
そういう文脈だとわかってるやつが
> ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
> RSAは署名/検証, 暗号化/復号のどちらにも利用できるが、
> DSAは署名/検証は出来るが、暗号化/復号は出来ない
みたいなずれた話を持ち出してくる意図の方がわからん。
- 25 :
- スライドのコメントに書いてあげるほうが建設的じゃないか。
- 26 :
- >>24
> ssh2の公開鍵認証は暗号化→復号ではなくデジタル署名→検証
- 27 :
- http://www.slideshare.net/tohakushi/janog335-33679095
同じ人の新しいスライドがあるけど、こっちは端折りすぎかな。
- 28 :
- >>11が決定版の資料を作ってくれればいいのよ。
- 29 :
- >>28
http://svnweb.freebsd.org/base/head/crypto/openssh/
- 30 :
- >>26
>>22
- 31 :
- 秘密鍵と公開鍵ってのは鍵の使い方の話で、鍵の能力の話じゃないからねぇ…
>>14
暗号化に使った鍵で平文化は出来ないよ。そうでないと公開鍵暗号が成立しない。
公開鍵暗号は暗号化鍵を公開鍵として、平文化鍵を秘密鍵とする。
電子署名では暗号化鍵を秘密鍵として、平文化鍵を公開鍵とする。
暗号化鍵から平文化鍵が計算できるアルゴリズムは電子署名にしか使えず、
平文化鍵から暗号化鍵が計算できるアルゴリズムは公開鍵暗号にしか使えず、
どちらの鍵からももう一方の鍵を計算出来ないアルゴリズムはどちらにも使える。
さらに暗号化鍵と平文化鍵を入れ替える事ができる場合は単一の鍵ペアで両方できる。
秘密鍵ファイルの中に公開鍵も一緒に保存してあるか、秘密鍵から公開鍵が算出できるなら平文化できるけど、
電子署名でどちらも満たさない場合は復元できないよ。(普通は署名書として公開鍵添付するからンな事ないが)
- 32 :
- >>29
ルークよ、ソースを使うのじゃ?
- 33 :
- >>30
>>23
- 34 :
- >>33
「公開鍵暗号を暗号化/復号に使うと思い込んでたのはスライド書いた奴だから」
スライドのどこで、それが分かる?
p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と
それをファイル(文字列)化したものという意味の二つの使い方を同じページで
使ってるのがまずいと思う。
2行目の「秘密鍵からは公開鍵が生成できる」は「いわゆる秘密鍵ファイルには
公開鍵情報も含まれているので、公開鍵情報を取り出せる」という意味だろう。
好意的に解釈すれば。
このスライドを書いた奴は分かってないはず、という見地に立てば、秘密鍵ファイルから
公開鍵を取り出せることを、秘密鍵から公開鍵が生成できると勘違いしているともとれるが。
p11の「公開鍵で制限出来ること」というタイトルに対して「公開鍵認証で出来る事」という案を出しているけど
このページの話題は openssh の sshd の実装の話(他のsshサーバーでもこうなのかどうかは知らないので
間違ってたらごめんだけど)だから、誤りというほどではないと思う。
- 35 :
- 用語の使い方に「怪しい」ところがある、ということなら
初心者には勧められない、ということになると思う
ちゃんと自分で解釈を脳内補完できる人には
多少の「誤解を招きかねない」表現も問題ないだろうが
件のドキュメントはそれができない人向けなんじゃ?
- 36 :
- 厳密に書こうとすると無闇にややこしくなっちゃって
初心者にわかりづらくなることもあるよね
- 37 :
- >>34
> p10 は「秘密鍵/公開鍵」という用語を鍵ペア(データ)のどちらか一方という意味と
> それをファイル(文字列)化したものという意味の二つの使い方を同じページで
> 使ってるのがまずいと思う。
秘密鍵を格納したファイルから公開鍵を取り出す事を「秘密鍵からは公開鍵が
生成できる」と表現したのなら、公開の場で発表する能力が無いって事だ。
- 38 :
- 恨みでもあるの?
- 39 :
- >>35
もくじを見ると件のページは、おさらいの一部になっている。
ということは自分で脳内補完できる人向けじゃないだろうか。
- 40 :
- >>38
ウソを拡大再生産する輩を全部憎んでいる
Rばいいのに
- 41 :
- 間違いは正しましょう。
人は許しましょう。
- 42 :
- >>40
>>25
- 43 :
- >>42
じゃ、お前が教えてやれ。俺は叩く。
- 44 :
- >>43
おれは君ほど知識ないから。
- 45 :
- コメントなりtwitterなりで指摘しないと
ここで叩いても気づかないんじゃないかな?
個人的には叩くほどのことじゃない気はする
- 46 :
- アカウントないのでコメントできません。
- 47 :
- 作ればいいのよ。
- 48 :
- >>47
それがイヤだから2chにいるの
- 49 :
- RSAの場合、2つの素数p, q(p≠q)に対し(p,q)を秘密鍵, pqを公開鍵にするのだから秘密鍵から公開鍵を生成するのは簡単だよね?
- 50 :
- >>49
id_rsaにmodules nとpublicExponent eが含まれてるから。
RFC 3447 PKCS #1: RSA Cryptography Specifications February 2003
A.1.2 RSA private key syntax
An RSA private key should be represented with the ASN.1 type
RSAPrivateKey:
RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER, -- (inverse of q) mod p
otherPrimeInfos OtherPrimeInfos OPTIONAL
}
- 51 :
- いつまでこの話題引っ張るの?
- 52 :
- >>11があきらめるまで。
- 53 :
- 引っ張ってるのはオレじゃない。必死でSSH力を擁護してる誰か。
- 54 :
- それに反応してるなら同罪。
- 55 :
- 賢者timeな者だけが石を投げなさい(冗談
sshに限らず、ツールの100%も使いこなせていないなー
- 56 :
- OpenSSHのsshd_configでChrootDirectoryを指定することってあるよね。
そのディレクトリに、
All components of the pathname must be root-owned directories that are not writable by any other user or group.
こういう制限があるけど、ナンデ?
- 57 :
- 特権分離では?
- 58 :
- >>56
rootの設定と関係なしにlnとかで好きな場所に出来てしまうからじゃ?
- 59 :
- ChrootDirectoryの親まではroot-ownedでroot以外not writableという制限は分かるような気がするんだけど、
例えば、chroot先を/home/oresama/ に指定するとき oresama がroot以外not writableになってると
oresamaは自分のホームディレクトリのはずなのにディレクトリもファイルも作れない。
ちょっと厳しくないかと思う。
- 60 :
- >>58
「あのぉ、root先輩、ChrootDirectoryを /home/watashi/dakeno/himitsu/ にしてもらえませんかぁ。」って頼んで
「おっふ、やっといた」となったら
rmdir /home/watashi/dakeno/himitsu
ln -s /root /home/watashi/dakeno/himitsu
「計画通〜り」ってことだよね。
このためには/home/watashi/dakeno がwritableでなければ出来ないでしょ。
himitsu は writableでもかまわないんじゃないだろうか。
- 61 :
- >>60
Chrootにつっこまれる他のユーザを騙すことはできるようになるな
- 62 :
- >>59
/etc/shadowとか自由に作れるがそれでいいのか?
- 63 :
- そっか、mv して新しく作ることが可能になるのか。
いくない。それは、いくないな。
- 64 :
- >>59
あんま詳しくないけど、chroot先とホームディレクトリは別々じゃなかったけ?
- 65 :
- OpenSSH No Longer Has To Depend On OpenSSL - Slashdot
http://beta.slashdot.org/story/201419
試してみたい
- 66 :
- VPN経由でSSHって使えないの?
- 67 :
- >>66
何か使えない理由ある?
- 68 :
- 宗教上の理由とか。
- 69 :
- 中国とかは法律的な理由もあるかも
暗号化通信は当局が解読可能な状態にしないと駄目なんだっけ?
VPN張る事自体問題視されるとか聞いたことあるけど
- 70 :
- それ>>66とは別の話だよね。
- 71 :
- 今SSHについて勉強してます。
どなたかRSA1、RSA、DSAの違いにつ
いて教えて頂けませんか?
メリット、デメリットがわからず、どれを使って良いのかわかりません。
自分で調べろやは無しでお願いします。
- 72 :
- 挿入ネタはいいです
- 73 :
- 挿入ねたって?
- 74 :
- >>71
shでも学んでろ。
532 名無しさん@お腹いっぱい。 sage 2014/09/14(日) 17:11:01.54
今シェルについて勉強してます。
どなたかash、bsh、cshの違いにつ
いて教えて頂けませんか?
メリット、デメリットがわからず、どれを使って良いのかわかりません。
自分で調べろやは無しでお願いします。
- 75 :
- >>74
なに(笑
このコピペみたいなカキコは!(笑)
お、俺じゃないんだからね
- 76 :
- みたいなじゃなくて改変コピペそのもの
こんなつまらんことを時々思い出したかのように繰り返してる狂人だからスルー推奨
- 77 :
- 改変コピペ上等。全力で釣られるのが真の漢
- 78 :
- 基地外本人乙
- 79 :
- # netstat -n | grep 22
したら、知らないホストでESTABLISHED接続になってて
# cat /var/log/secure| grep 知らないホスト(ロボット?)
から複数のアタックがあったのだけど、session openってログ無かったんですが、
ssh のセッションがESTABLISHEDになることってあるのでしょうか?
- 80 :
- catが無駄です
- 81 :
- >>79
あります
- 82 :
- >>79
tcpのセッションとsshのセッションを分けて考えないと。
- 83 :
- >>81, >>82
ありがとうございます。
/var/log/secureでsession openになってないので気にしなくていいのですね。
ポートNo変えようかなーと思ってます。
- 84 :
- >83 なんなら log をverbose にして暫く見張る。ま、port 番号変えるほうが対策になるけど。
- 85 :
- 秘密鍵使ってて、sshポートのハッキングなんてあるえるのでしょうか。
- 86 :
- >>85
マスコミじゃないんだからクラッキングとか攻撃とか呼ぼうぜ。
回答:sshd自体に脆弱性があれば普通に吹っ飛ばされるよ。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002571.html
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002570.html
http://jvndb.jvn.jp/ja/contents/2006/JVNDB-2006-000763.html
http://jvndb.jvn.jp/ja/contents/2003/JVNDB-2003-000274.html
- 87 :
- >>85
パスワード認証許可してないかノックしてるんだろ。
- 88 :
- >>85 とある共用鯖で、アホな鯖管がルート奪取脆弱性ありのカーネル放置していて、これまたよく分かってないユーザが、何人も公開鍵、秘密鍵を一遍に取られてえらいことになった、つう事案があったよ。
- 89 :
- 「公開鍵を送ってくれ」と言ったら
秘密鍵も送ってくるユーザーの多いこと多いこと。
- 90 :
- そういうのは9割が中国からだから、
http://freetibet.org/about/human-rights-tibet
の中身を返すようにしてる
- 91 :
- >>90
coolですな。
- 92 :
- TCPラッパーが使えなくなると地味に困るなあ・・・
なんでサポート切っちゃうんでしょうか
- 93 :
- もしかしたら ifconfig みたいにメンテナがいないからじゃない?
ftp 覗いてみたら tcp_wrappers_7.6.tar.gz のタイムスタンプは Apr 8 1997 だった
- 94 :
- sshd -iでinetdから上げるようにしてinetdのtcpwrapperを使うかね
- 95 :
- inetdサポートもそのうち削られそうだ
- 96 :
- sshd_configのMatch AddressとDenyUsers, AllowUsersあたりでかわりにがんばれってことかなぁ
とりあえずはpf.confでやるけど
- 97 :
- リロードめんどいな
- 98 :
- PAMでやれ、ってことかな。
pam_accessとかpam_login_accessとか。
- 99 :
- 参考
http://marc.info/?t=139815213700004
http://marc.info/?t=139827570900003
- 100 :
- 誰か知ってたら教えて欲しいんだけど、UseDNSって何のために存在しているの?
manとか見るとクライアントのIPから逆引きでホスト名を確認して
IPアドレスとホスト名のマッピングが出来なかったら接続を許可しないって動きの
ようにみえるんだけど…
この辺の詳しい動きがよくわからん
100〜のスレッドの続きを読む
好きなパスを書け@UNIX
Windows禁止の職場に勤める人の集い
女性を UNIX に招くための HOWTO
■OpenBSD(VMS)の考察及炉理画像を貼り付けるスレ
彼女をCVSで管理したい
【POSIX】UNIXプログラミング【BSD】
Frontpage Server Extensions for Unix 研究スレ
FreeWnnスレッド
るびきちスレ
デスクトップ自慢
--------------------
アメ車総合スレ Part.2
国際決済銀行「周期的にもうすぐリーマンショック並みの恐慌が来るぞ〜」 [649717704]
『株式会社イーグルジャンプ立て籠もり事件』 の続報です。
魔入りました!入間くん part.4
【闘牛】ランボルギーニ Part42【Lamborghini】
劇場版【マクロスΔ】激情のワルキューレ Part.6
DNPテクノパック 田辺工場
すまない死ぬかもしれない #4
PX-W3U3 Part28【W3U2・S3U2・S3U・W3U4・Q3U4】
懐かしの限定解除
ビビット 6/26(火) ★1
防水屋スレ part14
ネズミが家に住みついて困ってる人集合 18匹目
IDにモビルスーツの型番が出たら神 234
定休腐雑Part4
2018女子バレーボール総合実況スレPart58
the pillows 277
迷惑プリパラーの被害を報告していくスレ
寝台特急サンライズ瀬戸・出雲☆彡PART95
社会人大学院生を語ろう!
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
