FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A.はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
各サイトのポリシーに従って、適切な制限をかけましょう。
参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
本家ssh.com
http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
http://hp.vector.co.jp/authors/VA002416/
http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
http://pro.wanadoo.fr/chombier/
PortForwarder
http://www.fuji-climb.org/pf/JP/
TRAMP
http://www.nongnu.org/tramp/tramp_ja.html
・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
・RFC4251: The Secure Shell (SSH) Protocol Architecture
・RFC4252: The Secure Shell (SSH) Authentication Protocol
・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
・RFC4254: The Secure Shell (SSH) Connection Protocol
・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
Key Fingerprints
・RFC4256: Generic Message Exchange Authentication for the Secure
Shell Protocol (SSH)
WideのSSH解説
http://www.soi.wide.ad.jp/class/20000009/slides/12/
◇おまけ
Theoのキチガイぶり
http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
http://www.qmail.org/djbsssh/
面倒糞くなったのでそのままコピペしました。
後よろしく。
最低限次のような対処をしておきましょう。
ttp://www12.atwiki.jp/linux2ch/pages/141.html
●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する
●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。
特定の接続元からの接続を拒否する
ポートを変える
乙
俺もそうおもってた。。。。
でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに
パスワード認証を暗号化したところで
ブルートフォースアタックには無力
それを言うなら公開鍵もブルートフォースで破れる
ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは
いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない
ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉〜な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません
Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers root
# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか??
disconnected no supported authentication methods available
って表示されてしまいます。
ssh2で接続してないからだな
違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな??
ある日突然connection refusedのエラーが出て接続できなくなりました。
ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。
ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。
> ある日突然(ry
そのあいだにやったことを書けば解決できるじゃろ
HP-UX知らないやつは手を出すなよ、壊すから
>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。
>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。
使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。
10.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。
とりあえずinit.dの場所が違うのが分かったので明日調べてみます。
そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。
http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか?
OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か?
・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh
そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。
>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。
>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。
> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。
sftp only?
> ・Portは22以外にする
> 意味無し
>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。
>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。
稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。
まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。
効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。
ログが多かろうと少なかろうと違いはない
ということだな
ログ減らせるとか喜んでる奴、恥ずかしくないのか?
某スレで、送信元IPアドレスでフィルタリングしちゃう
(= 許可されたIPアドレス以外は認証すらしない)
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ?
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら
もー、初心者扱いされてまいったよ。
だのタコだの。もうね。。
OpenSSHサーバだけど、公開鍵認証でもログ残るよ?
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)
ちなみに僕ちんはファイアウォールでもログ残しているよ。
それ、侵入されたログ。www
おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。
あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?
>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね
そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。
>>54
知らないって幸せだね。
> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。
sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例
Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios
知らなかった?
変えられるんなら変えたほうが効果がある。
>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。
まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。
ちなみに>>44の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス
ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。w
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。
しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?
まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。
「それで完全に防げる」と勘違いしちゃだめなわけで。
これ誤解や。パスワード認証自体が危険なわけじゃないで。
うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに
うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする
基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし
それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る
このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。
もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。
またおまえか
そんなアホな風説流すな
なにが?
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ?
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ?
ログが増えるのも防止できて一石二鳥三鳥だぜ
VPNでアクセスすりゃいいよめんどくせぇ
xrea.comですねわかります
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。
これだけでだいぶ減る
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。
∧_∧ ┌─────────────
◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん!
\ / └─────────────
_/ __ \_
(_/ \_)
lll
かっこいいからいいじゃん。むしろsshの語源の方がださいし。
では h は何の略なんですかぁ?
Secure Shell H???
SH=Shell
のはず
ぢゃお前がお手本みせろよ
フリがつまんないからしょうがない。
↓外からも使えたら便利じゃね?
rsh
↓やべー穴だらけだったよw
ssh
wktk
S=Scienceで
H=Hします
もう進化しないのかな
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
Sawfish単独使い倒しスレ (394)
BSDって死滅しちゃうの? (789)
Exim (387)
ここだけ10年、時代が遅れているスレ (238)
秀丸をUnixに移植しろ!emacs,viはゴミ以下 3 (493)
コマンドオプション (155)
--log9.info------------------
【プロレス】FIGHTING TV サムライpart842【格闘技】 (250)
【ATP】テニス総合実況スレ2012 Part193【WTA】 (150)
【Jspo】モータースポーツ 蘇る!20世紀の名レース (295)
プロバスケbjリーグ (144)
新日本プロレス 3.4旗揚げ記念日PPV Part2 (145)
WWE実況 Part1207 (247)
【代替】2012F1テスト実況スレ Lap8 (458)
中京競馬 1回2日目〜3日目 (442)
ラグビー日本選手権 海外ラグビー (382)
はません (799)
【D専】 (257)
おりせん六 (903)
巨専】 (791)
とらせん6 (301)
ハム専 (786)
わしせん5 (192)
--log55.com------------------
★2ch.scは何故失敗したのか
★クロール批判要望スレ
★削ジェンヌに文句ある人集合
★迷惑行為報告担当 - 小さな親切募集中 2
★2ch.scへの要望スレ Part3
★かっこう観測所
★スレ立て人キャップ
★2ch.scニュース系板観測所