1read 100read
2012年4月UNIX109: SSH その7 (594)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
■Solaris9 ってどうよ?■ (248)
彼女がオープンソース化されそうです (665)
UNIXイタイ発言募集 (825)
VM Wareってどうですか? (651)
初心者もOK! FreeBSD質問スレッド その113 (839)
Viと仲良くする方法 (480)
SSH その7
1 :10/02/16 〜 最終レス :12/02/21 SSHに関する情報交換のスレッドです。 FAQ、リンク集は >>2-5 あたり。 過去ログ Part1:http://pc.2ch.net/unix/kako/976/976497035.html Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/ Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/ Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
2 : よくある質問 Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも そのパスワードは暗号化されているのですか? A.はい、その通りです。 SSHプロトコルでは、まず始めにサーバ<->クライアント間で 暗号化された通信路を確立します。 ユーザ認証はその暗号化通信路の上で行なわれるので、 パスワードなどもちゃんと秘匿されています。 Q.最近、root,test,admin,guest,userなどのユーザ名で ログインを試みる輩がいるのですが? A.sshdにアタックするツールが出回っているようです。 各サイトのポリシーに従って、適切な制限をかけましょう。 参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
3 : ◇実装 本家ssh.com http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語) OpenSSH http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語) OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/ 日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/ OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html TeraTerm/TTSSH http://hp.vector.co.jp/authors/VA002416/ http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版) http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版) PuTTY http://www.chiark.greenend.org.uk/~sgtatham/putty/ http://pc8.2ch.net/test/read.cgi/unix/1084686527/ http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ) http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ) VeraTerm http://www.routrek.co.jp/product/varaterm/ MacSSH/SFTP http://pro.wanadoo.fr/chombier/ PortForwarder http://www.fuji-climb.org/pf/JP/ TRAMP http://www.nongnu.org/tramp/tramp_ja.html
4 : ◇規格等 ・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers ・RFC4251: The Secure Shell (SSH) Protocol Architecture ・RFC4252: The Secure Shell (SSH) Authentication Protocol ・RFC4253: The Secure Shell (SSH) Transport Layer Protocol ・RFC4254: The Secure Shell (SSH) Connection Protocol ・RFC4255: Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints ・RFC4256: Generic Message Exchange Authentication for the Secure Shell Protocol (SSH) WideのSSH解説 http://www.soi.wide.ad.jp/class/20000009/slides/12/ ◇おまけ Theoのキチガイぶり http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550 djbsssh(ネタ) http://www.qmail.org/djbsssh/
5 : 一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが 面倒糞くなったのでそのままコピペしました。 後よろしく。
6 : ※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。 最低限次のような対処をしておきましょう。 ttp://www12.atwiki.jp/linux2ch/pages/141.html ●最善策 パスワード認証を止めて、公開鍵認証へ変更する rootの直接のログインは不許可とする 特定の接続元からのみ接続を許可する ●次善策 User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。 特定の接続元からの接続を拒否する ポートを変える
7 : >>1 乙
8 : なあ、インターネットに繋がってないマシンも 6 をやってる?
9 : パスフレーズ無しの公開鍵認証の方が楽
10 : っつーか公開鍵使わない認証って SSH 使う意味ないよね
11 : なんで?
12 : >>10 俺もそうおもってた。。。。 でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・ 内部でopenssh呼び出してるだけなのに
13 : >>11 パスワード認証を暗号化したところで ブルートフォースアタックには無力
14 : それがどうしたというのかね?
15 : >>13 それを言うなら公開鍵もブルートフォースで破れる
16 : それがどうしたというのかね?
17 : RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?
18 : >>6 も勘違いしてるけど ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは
19 : アクセス元しぼればいいだけじゃん。
20 : 辞書攻撃って(総当たりとは言えないにしても)ブルートフォース(腕ずく)の一種じゃないか?
21 : >>20 いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない
22 : 辞書攻撃は立派な攻撃手法の一種 ブルートフォースといったら普通は「総当たり」作戦 一億玉砕本土決戦火の玉〜な方を指すので 小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません
23 : # SSHプロトコルの指定 Protocol 2 # rootでのアクセス許可 PermitRootLogin yes # 接続を許可するユーザ AllowUsers root # セキュリティ設定 MaxStartups 2:90:5 LoginGraceTime 20 MaxAuthTries 3 port 22 # RSA公開鍵認証の有効化 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
24 : # パスワード認証無効化 PasswordAuthentication no PermitEmptyPasswords no RhostsRSAAuthentication no ChallengeResponseAuthentication no # ログのレベルを指定 SyslogFacility AUTH LogLevel INFO # パーミッションチェック StrictModes yes # その他 GSSAPIAuthentication no GSSAPICleanupCredentials yes UsePAM no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。 どうしてでしょうか?? disconnected no supported authentication methods available って表示されてしまいます。
25 : >>24 ssh2で接続してないからだな
26 : -vで起動すれば拒否される理由を教えてくれる。
27 : .ssh/authorized_keys から 違う場所に保存先を変えたら問題なく利用できました。 バージョンアップしたせいかな??
28 : アクセス権のせいだろうな
29 : これまでは問題なく運用出来ていましたが、 ある日突然connection refusedのエラーが出て接続できなくなりました。 ps -e | grep sshd としてもなにもでないため、sshdが起動してないように見えます。 HPUX10.2の環境のためか、シェルスクリプト /etc/init.d/ がなく、 /opt/openssh/sbin/sshd start ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。 ネット上の一般的な知識が適用できず困っています。 HP-UX10.2運用で良い方法ありましたら教えてください。
30 : > これまでは問題なく(ry > ある日突然(ry そのあいだにやったことを書けば解決できるじゃろ
31 : /etc/init.d/じゃなくて/sbin/init.d/じゃないの? HP-UX知らないやつは手を出すなよ、壊すから
32 : レスサンクス。 >>30 再起動しかしてないです。 他のアプリが不調で二回再起動後に突然発生。 その後はsshd_configいじりすぎて何がなんだか。 一度全部消して作り直した方が良いかな。 >>31 init.dの場所が違うのかな。調べてみます。 init.d/sshd があれば良いんだけど。 使いたくないんだけど、 HP-UXでしか動かないソフトを今でも使っていて。 dtermの使い勝手が悪くて閉口気味。 hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。 10.2のdepotが非常にレアで参ってます。
33 : どう考えても ssh の質問じゃなくて HP-UX の質問じゃん
34 : >>33 10.2はデフォルトでssh入ってません。 パッケージ見つけてきて自分で入れたのですが。 とりあえずinit.dの場所が違うのが分かったので明日調べてみます。 そこから先はsshないしはsshdのconfigファイルか、 鍵関係に問題ありかなと思ってます。 自分で勉強もしますが、色々教えていただければ幸いです。
35 : スレ違いかもしれないが、WikipediaのSSHに関する記事 http://ja.wikipedia.org/wiki/Secure_Shell の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか? OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても そんなことちっとも書いてないじゃないか。 IPAの仕業か?
36 : wikiなんだから書き替えたら。
37 : ・PasswordAuthentication noにする ・PermitRootLogin noにする ・Protocol 2にする 正しい ・Portは22以外にする 意味無し ・ChallengeResponseAuthentication noにする 正しい ・AllowUsersにおいて特定のユーザーのみ接続を許可する AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。 ・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する 好きにすれば ・X11 port forwardingは無効にする ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。 ・シェルが不要であれば、passwdファイルからシェルを取り除く 馬鹿丸出し。取り除いたらデフォルトは/bin/sh
38 : ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。 そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。 >>37 攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。 >シェルが不要であれば、passwdファイルからシェルを取り除く /bin/false とかにすればいいと思うが。。
39 : チャイナ、コリアはデフォルトでドロップだろ。
40 : /bin/reverseattack
41 : >>38 > >シェルが不要であれば、passwdファイルからシェルを取り除く > /bin/false とかにすればいいと思うが。。 だから"取り除く"じゃないんだろ。
42 : ssh 対象ユーザで shell 不要ってどういう場合? sftp only?
43 : authorized_keysでコマンド指定してあれば、不要なんじゃないかな。
44 : >>37 > ・Portは22以外にする > 意味無し >>38 も書いてるけど、意味は大いにあるよ。 Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。 必要なログがゴミの中に埋没しなくなるのはかなり重要。 >>39 最近は cn, kr 以外のも相当多いぞ。 数年前とは状況が違う。
45 : >>44 稚拙な攻撃ツールからのログを減らしてるだけ。 sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。
46 : ログを減らせることに意味があるだろうが、ということだと思うんだが。
47 : ログを減らせることの意味がわからないんじゃないの
48 : 俺もウェルノウンポート以外を使うのは、ある程度は有効だと思う。 まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。 効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。
49 : 稚拙な管理者はログを一切見ないので ログが多かろうと少なかろうと違いはない ということだな
50 : Password(PAM)有効じゃ無ければログ残らないだろ。 ログ減らせるとか喜んでる奴、恥ずかしくないのか?
51 : セキュリティポリシーって難しいよね。 某スレで、送信元IPアドレスでフィルタリングしちゃう (= 許可されたIPアドレス以外は認証すらしない) 人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ? でもね、俺は自宅だけでなく大学とかからもSSH使うから 送信元IPアドレスでのフィルタリングはしてないよ、って言ったら もー、初心者扱いされてまいったよ。 だのタコだの。もうね。。
52 : 可能性のあるところだけ通せばいい。個人用ならそれが普通。
53 : >>50 OpenSSHサーバだけど、公開鍵認証でもログ残るよ? Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2 Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0) ちなみに僕ちんはファイアウォールでもログ残しているよ。
54 : >>53 それ、侵入されたログ。www
55 : >>54 おお、ほんとだチャレンジに失敗するとログ残さないな。 ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。
56 : >>50 あえて攻撃のログを出させた方が 動的にフィルタで対処できる、という考え方もあるんだが。 攻撃を受けた&失敗したログがまったく残らないのでは 「新しいパターンの攻撃」が出たときどうするの? >>52 個人用ならある程度は限定できるだろうけど 仕事だとそうもいかんね
57 : >>53 そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから 気にするほどログが大きくならないということかと。 >>54 知らないって幸せだね。
58 : >>57 > そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。 sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」 となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。 つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。 以下はその設定での /var/log/secure の攻撃失敗例 Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155 Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69 Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios 知らなかった?
59 : HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、 変えられるんなら変えたほうが効果がある。 >>45 は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、 だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して 攻撃が来たことは一度もないわけで。 まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。 ちなみに>>44 の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス
60 : >>58 ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。 22から変える意味はない。w パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。 本質を理解しないとダメだよ。 しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし… そこに残ってる"Did not receive identification string"はsshプロトコルでプロト コルバージョンの交換が出来なかった時のログ。 "input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。 勉強になったか? まとめると、 port 22を変更するのはパスワード認証を有効にしている素人管理者サイト でログを減量できるが、それ以上の意味は無い。
61 : 「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと 「それで完全に防げる」と勘違いしちゃだめなわけで。
62 : >パスワード認証を有効にしている素人管理者サイト これ誤解や。パスワード認証自体が危険なわけじゃないで。
63 : 個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。
64 : >>59 うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって ほとんどないような..... だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ っていうか全ポートスキャンなんて効率悪すぎるだろうに うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ 確かにほとんどこんなポート突きになんて来ない気がする
65 : >>51 基本的に送信元IPアドレスを限定する方をお勧めする 一時的に可変的なIPアドレスからの接続を許可するために コントロールパネルのようなものを作っておくと便利 いま繋がってるアドレスをその日だけ許可するとか出来るし
66 : >コントロールパネルのようなものを作っておくと便利 それをどうやって安全に操作させるか… 平文 HTTP の basic 認証とかだったら殴る
67 : >>62 このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効) うれしい管理者は、素人管理者と推定出来ます。 もっとも、パスワード認証無効の中にも>>58 のような素人も居るので素人とパス ワード認証を結び付けるのには無理があるかもしれません。
68 : >>62 またおまえか そんなアホな風説流すな
69 : >>68 なにが?
70 : >>66 もちろん平文にはしないが 少なくとも ssh にアタックしてくるスクリプトが わざわざコントロールパネルの URL を調べて そっちでアクセス元 IP アドレス許可してから アタックし直す可能性なんて限りなく低いだろ? 仮にコンパネ側の方が認証パスして その IP アドレスが許可されたとしても ssh の方の鍵持ってなきゃ実質なにも出来ないだろ? ログが増えるのも防止できて一石二鳥三鳥だぜ
71 : >>70 VPNでアクセスすりゃいいよめんどくせぇ
72 : >平文 HTTP の basic 認証とかだったら殴る xrea.comですねわかります
73 : >>65 なるほど、うん、うん。それはいいね。 まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで 別に教えてくれなくても平気なんだけど、 まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも いるけど、 そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう ホノボノすると思うんで、どうかな、もうちょっと詳しく… いや別に俺がマネしようとか言うんじゃないんだ。
74 : >>73 そういう書き方は「こいつ余裕ないんだなプ」と思われるだけなんだがな…
75 : それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ
76 : sshd : .jp : allow これだけでだいぶ減る
77 : パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔 が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる >>76 それは海外行った時困るだろw
78 : まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね? どうしたってメタル臭が抜けない気がする。 どうしてもっていうならディマジオのスーパーディストーションの白黒 にするとおさまりいいと思うよ。
79 : あ、ごめんなさい。スレ間違えました
80 : SSH HSHwwww
81 : 俺はHHがイイです
82 : じゃあ俺はH×H
83 : ∧_∧ ┌───────────── ◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん! \ / └───────────── _/ __ \_ (_/ \_) lll
84 : HH+コイルタップで十分だな
85 : 未だにSSHで検索すると埼玉最終兵器が一番上な件
86 : >>85 かっこいいからいいじゃん。むしろsshの語源の方がださいし。
87 : sshはセキュア・シェル・、、の略だそうですが、 では h は何の略なんですかぁ? Secure Shell H???
88 : Secure SHell
89 : S=Secure SH=Shell のはず
90 : もっと粋な返しはないのか。。
91 : >>90 ぢゃお前がお手本みせろよ
92 : >>90 フリがつまんないからしょうがない。
93 : sh ↓外からも使えたら便利じゃね? rsh ↓やべー穴だらけだったよw ssh
94 : >>90 wktk
95 : S=すごい S=Scienceで H=Hします
96 : >>93 もう進化しないのかな
97 : sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)
98 : おいやめろ
99 : いいぞもっとやれ
100read 1read 1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
SSH その7 (594)
FreeBSDを語れ Part33 (479)
ニャース・ΜL キテガイリスト 28人目 (682)
UNIX系雑誌読んでますか?No.6 (685)
【火の鳥】Firebird【不死鳥】 (281)
今までにオライリー本何冊買いましたか? (457)
--log9.info------------------
全日本ボクシング新人王決勝戦 (582)
長谷川がドネアに勝つには? (177)
【SB級】ノニト・ドネア4 (895)
亀田の試合会場が空席だらけwww (108)
亀田の亀ガード (778)
しずちゃんロンドン五輪挑戦 (960)
村木田一歩・リングサイドコラムを語ろう!3 (515)
【悪業三昧】勝又総合1【亀田と二人三脚】 (179)
【辰吉粉砕】ウィラポン【西岡粉砕】 (193)
パッキャオはサウスポーだから勝ち続けてるだけ (141)
実現しなかった夢のカード (157)
【Sフライチャンピオン】中広大悟]【亀田逃亡】 (440)
【グレイテスト】モハメド・アリ【ボクサー】 (145)
伊藤沙月 (449)
【前WBA・Sフライ級】清水智信 16【チャンピオン】 (646)
マイクタイソンvsAKB48,強いのどっち? (206)
--log55.com------------------
マスク買えない奴ってどうしてんの?
馬体が凄い凄かった馬
サイレンススズカVSタップダンスシチー中京2000b
無修正流出したAV女優でオススメあらんか?
コロナのおかげで次の総選挙で自民党が負ける可能性
☆牝馬が6歳春で強制引退なのが納得いかない。 昔と違いレース体系も整備されてるのに。
小倉優子と旦那どっちが悪いと思う?
コロナのおかげで外食が空いてて最高。外食控えてる奴ってバカだよな。