1read 100read
2013年05月UNIX149: SSH その7 (825) TOP カテ一覧 スレ一覧 2ch元 削除依頼
PPPoE (PPP over Ethernet) スレッド (294)
FreeBSDを語れ Part35 (875)
FreeWnnスレッド (463)
今までにオライリー本何冊買いましたか? (464)
meadowについて語ってくれなスレッド (263)
PPPoE (PPP over Ethernet) スレッド (294)

SSH その7


1 :2010/02/16 〜 最終レス :2013/03/27
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
 Part1:http://pc.2ch.net/unix/kako/976/976497035.html
 Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
 Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
 Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
 Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
 Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/

2 :
よくある質問
Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
 そのパスワードは暗号化されているのですか?
A.はい、その通りです。
 SSHプロトコルでは、まず始めにサーバ<->クライアント間で
 暗号化された通信路を確立します。
 ユーザ認証はその暗号化通信路の上で行なわれるので、
 パスワードなどもちゃんと秘匿されています。
Q.最近、root,test,admin,guest,userなどのユーザ名で
 ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
 各サイトのポリシーに従って、適切な制限をかけましょう。
 参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html

3 :
◇実装
本家ssh.com
 http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
 http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
 OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
 日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
 OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
TeraTerm/TTSSH
 http://hp.vector.co.jp/authors/VA002416/
 http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
 http://sleep.mat-yan.jp/~yutaka/windows/ / http://ttssh2.sourceforge.jp/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
 http://www.chiark.greenend.org.uk/~sgtatham/putty/
http://pc8.2ch.net/test/read.cgi/unix/1084686527/
 http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
 http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
 http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
 http://pro.wanadoo.fr/chombier/
PortForwarder
 http://www.fuji-climb.org/pf/JP/
TRAMP
 http://www.nongnu.org/tramp/tramp_ja.html

4 :
◇規格等
 ・RFC4250: The Secure Shell (SSH) Protocol Assigned Numbers
 ・RFC4251: The Secure Shell (SSH) Protocol Architecture
 ・RFC4252: The Secure Shell (SSH) Authentication Protocol
 ・RFC4253: The Secure Shell (SSH) Transport Layer Protocol
 ・RFC4254: The Secure Shell (SSH) Connection Protocol
 ・RFC4255: Using DNS to Securely Publish Secure Shell (SSH)
  Key Fingerprints
 ・RFC4256: Generic Message Exchange Authentication for the Secure
  Shell Protocol (SSH)
WideのSSH解説
 http://www.soi.wide.ad.jp/class/20000009/slides/12/

◇おまけ
Theoのキチガイぶり
 http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
 http://www.qmail.org/djbsssh/

5 :
一応前スレの最初の方をざっと眺めて指摘されていた点などを修正しつつスレ立てようと思いましたが
面倒糞くなったのでそのままコピペしました。
後よろしく。

6 :
※デフォルト設定のまま放っておくと総当りアタックの餌食になると覚悟してください。
最低限次のような対処をしておきましょう。
ttp://www12.atwiki.jp/linux2ch/pages/141.html
●最善策
パスワード認証を止めて、公開鍵認証へ変更する
rootの直接のログインは不許可とする
特定の接続元からのみ接続を許可する
●次善策
User名を推定しにくい物に設定し、AllowUsersで特定のユーザーのみログイン可能とする。 
特定の接続元からの接続を拒否する
ポートを変える

7 :
>>1


8 :
なあ、インターネットに繋がってないマシンも 6 をやってる?

9 :
パスフレーズ無しの公開鍵認証の方が楽

10 :
っつーか公開鍵使わない認証って SSH 使う意味ないよね

11 :
なんで?

12 :
>>10
俺もそうおもってた。。。。
でも、使えないんだよ。Dreamweaverだとかいうadobeのソフトは・・・
内部でopenssh呼び出してるだけなのに

13 :
>>11
パスワード認証を暗号化したところで
ブルートフォースアタックには無力

14 :
それがどうしたというのかね?

15 :
>>13
それを言うなら公開鍵もブルートフォースで破れる

16 :
それがどうしたというのかね?

17 :
RSA1024bit一個生成するのにどれだけ時間がかかるか、わかって言ってるのか?

18 :
>>6も勘違いしてるけど
ブルートフォースじゃなくて辞書攻撃なんだよなSSHが狙われてるのは

19 :
アクセス元しぼればいいだけじゃん。

20 :
辞書攻撃って(総当たりとは言えないにしても)ブルートフォース(腕ずく)の一種じゃないか?

21 :
>>20
いや、ブルートは辞書ひいたりしないし、ポパイに至っては字も読めない

22 :
辞書攻撃は立派な攻撃手法の一種
ブルートフォースといったら普通は「総当たり」作戦
一億玉砕本土決戦火の玉〜な方を指すので
小賢しく辞書を片手にやるような軟弱な手法は眼中にはありません

23 :
# SSHプロトコルの指定
Protocol 2
# rootでのアクセス許可
PermitRootLogin yes
# 接続を許可するユーザ
AllowUsers root
# セキュリティ設定
MaxStartups 2:90:5
LoginGraceTime 20
MaxAuthTries 3
port 22
# RSA公開鍵認証の有効化
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

24 :
# パスワード認証無効化
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
ChallengeResponseAuthentication no
# ログのレベルを指定
SyslogFacility AUTH
LogLevel INFO
# パーミッションチェック
StrictModes yes
# その他
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

こんな感じで設定してるのですが、なぜか鍵認証方式で認証できなくなりました。
どうしてでしょうか??
disconnected no supported authentication methods available
って表示されてしまいます。

25 :
>>24
ssh2で接続してないからだな

26 :
-vで起動すれば拒否される理由を教えてくれる。

27 :
.ssh/authorized_keys から
違う場所に保存先を変えたら問題なく利用できました。
バージョンアップしたせいかな??

28 :
アクセス権のせいだろうな

29 :
これまでは問題なく運用出来ていましたが、
ある日突然connection refusedのエラーが出て接続できなくなりました。
ps -e | grep sshd
としてもなにもでないため、sshdが起動してないように見えます。
HPUX10.2の環境のためか、シェルスクリプト
/etc/init.d/
がなく、
/opt/openssh/sbin/sshd start
ではダメと思いますが、sshdをfindで探してもここ以外見つかりません。
ネット上の一般的な知識が適用できず困っています。
HP-UX10.2運用で良い方法ありましたら教えてください。

30 :
> これまでは問題なく(ry
> ある日突然(ry
そのあいだにやったことを書けば解決できるじゃろ

31 :
/etc/init.d/じゃなくて/sbin/init.d/じゃないの?
HP-UX知らないやつは手を出すなよ、壊すから

32 :
レスサンクス。
>>30
再起動しかしてないです。
他のアプリが不調で二回再起動後に突然発生。
その後はsshd_configいじりすぎて何がなんだか。
一度全部消して作り直した方が良いかな。
>>31
init.dの場所が違うのかな。調べてみます。
init.d/sshd
があれば良いんだけど。
使いたくないんだけど、
HP-UXでしか動かないソフトを今でも使っていて。
dtermの使い勝手が悪くて閉口気味。
hptermが使える11.0に上げたいですが、目的のソフトが動かないというオチ。
10.2のdepotが非常にレアで参ってます。

33 :
どう考えても ssh の質問じゃなくて HP-UX の質問じゃん

34 :
>>33
10.2はデフォルトでssh入ってません。
パッケージ見つけてきて自分で入れたのですが。
とりあえずinit.dの場所が違うのが分かったので明日調べてみます。
そこから先はsshないしはsshdのconfigファイルか、
鍵関係に問題ありかなと思ってます。
自分で勉強もしますが、色々教えていただければ幸いです。

35 :
スレ違いかもしれないが、WikipediaのSSHに関する記事
http://ja.wikipedia.org/wiki/Secure_Shell
の「SSHのセキュリティリスク」のセクションに書かれていること、ちょっとやりすぎじゃないか?
OpenSSHのデフォルト設定の危険性を挙げているが、原文(英語)見ても
そんなことちっとも書いてないじゃないか。
IPAの仕業か?

36 :
wikiなんだから書き替えたら。

37 :
・PasswordAuthentication noにする
・PermitRootLogin noにする
・Protocol 2にする
正しい
・Portは22以外にする
意味無し
・ChallengeResponseAuthentication noにする
正しい
・AllowUsersにおいて特定のユーザーのみ接続を許可する
AllowUsers等(DenyUsers,DenyGroups,AllowGroups)でよい。
・authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する
好きにすれば
・X11 port forwardingは無効にする
ログインを許容して、(OpenSSHの)X11 port forwardingをいじめても意味は無い。
・シェルが不要であれば、passwdファイルからシェルを取り除く
馬鹿丸出し。取り除いたらデフォルトは/bin/sh

38 :
ブルートフォースアタックで簡単に破られるパスワードって、よっぽど弱いんだろうな。
そりゃ論理的にはいつかはビンゴするだろうけど、確率論的には現実的な時間内では簡単に破ることはできないし、ログ監視してりゃすぐわかるだろうになぁ。
>>37
攻撃によってログが埋もれるのがウザイ場合は、ポート番号を変更することはあるよ。
>シェルが不要であれば、passwdファイルからシェルを取り除く
/bin/false とかにすればいいと思うが。。

39 :
チャイナ、コリアはデフォルトでドロップだろ。

40 :
/bin/reverseattack

41 :
>>38
> >シェルが不要であれば、passwdファイルからシェルを取り除く
> /bin/false とかにすればいいと思うが。。
だから"取り除く"じゃないんだろ。

42 :
ssh 対象ユーザで shell 不要ってどういう場合?
sftp only?

43 :
authorized_keysでコマンド指定してあれば、不要なんじゃないかな。

44 :
>>37
> ・Portは22以外にする
> 意味無し
>>38 も書いてるけど、意味は大いにあるよ。
Portを変えるだけでログイン関係のログの量が簡単に1/100程度には減る。
必要なログがゴミの中に埋没しなくなるのはかなり重要。
>>39
最近は cn, kr 以外のも相当多いぞ。
数年前とは状況が違う。

45 :
>>44
稚拙な攻撃ツールからのログを減らしてるだけ。
sshdは接続されたらsshdである事を自己申告するのでデフォルトから変える意味は無い。

46 :
ログを減らせることに意味があるだろうが、ということだと思うんだが。

47 :
ログを減らせることの意味がわからないんじゃないの

48 :
俺もウェルノウンポート以外を使うのは、ある程度は有効だと思う。
まるっきりポートスキャンする奴もいるかもしれないけど、ウェルノウンポートはまともに来るもんね。
効果としてはセキュアになるとまでは言えないかも知れないけど、しないよりはましだと思う。

49 :
稚拙な管理者はログを一切見ないので
ログが多かろうと少なかろうと違いはない
ということだな

50 :
Password(PAM)有効じゃ無ければログ残らないだろ。
ログ減らせるとか喜んでる奴、恥ずかしくないのか?

51 :
セキュリティポリシーって難しいよね。
某スレで、送信元IPアドレスでフィルタリングしちゃう
(= 許可されたIPアドレス以外は認証すらしない)
人がいたんだが、もちろんそれはそれでポリシーとしてありだと思うよ?
でもね、俺は自宅だけでなく大学とかからもSSH使うから
送信元IPアドレスでのフィルタリングはしてないよ、って言ったら
もー、初心者扱いされてまいったよ。
Rだのタコだの。もうね。。

52 :
可能性のあるところだけ通せばいい。個人用ならそれが普通。

53 :
>>50
OpenSSHサーバだけど、公開鍵認証でもログ残るよ?
Feb 22 19:14:21 *** sshd[18646]: Accepted publickey for naoto from *** port 51295 ssh2
Feb 22 19:14:21 *** sshd[18646]: pam_unix(sshd:session): session opened for user naoto by (uid=0)
ちなみに僕ちんはファイアウォールでもログ残しているよ。

54 :
>>53
それ、侵入されたログ。www

55 :
>>54
おお、ほんとだチャレンジに失敗するとログ残さないな。
ま、ファイアウォールのログ監視してれば攻撃されていることはすぐにわかるけどね。

56 :
>>50
あえて攻撃のログを出させた方が
動的にフィルタで対処できる、という考え方もあるんだが。
攻撃を受けた&失敗したログがまったく残らないのでは
「新しいパターンの攻撃」が出たときどうするの?
>>52
個人用ならある程度は限定できるだろうけど
仕事だとそうもいかんね

57 :
>>53
そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
ログが肥大化するのであって、無効にしておけば接続してきてもすぐにあきらめるから
気にするほどログが大きくならないということかと。
>>54
知らないって幸せだね。

58 :
>>57
> そういうことじゃなくて、パスワード認証を有効にしてるから辞書攻撃を食らって
UsePAMが設定されてるといってパスワード認証が有効とは限らんよ。
sshd_config の注釈では「PAMの設定次第でPasswordAuthentication, PermitEmptyPasswordsの設定は無視される」
となってるが、普通は UsePAM yes にしても PasswordAuthenticationやPermitEmptyPasswords の設定はちゃんと効く。
つまり PAMの設定が変なことになってない限り、UsePAM yes と PasswordAuthentication no の組み合わせで
ちゃんとパスワード認証不可になり、攻撃失敗のログも残る。
以下はその設定での /var/log/secure の攻撃失敗例
Feb 21 06:40:28 hogehoge sshd[25255]: Received disconnect from 219.139.240.176: 11: Bye Bye
Feb 21 17:17:26 hogehoge sshd[26496]: Did not receive identification string from 85.132.35.155
Feb 21 18:07:02 hogehoge sshd[26596]: Invalid user nagios from 222.68.194.69
Feb 21 18:07:02 hogehoge sshd[26597]: input_userauth_request: invalid user nagios
知らなかった?

59 :
HTTPやSMTPやらと違って、不特定多数からアクセスされることが前提のサービスじゃないわけだから、
変えられるんなら変えたほうが効果がある。
>>45は「丸一日nmapでポートスキャンすればSSHポート見つかる」って言いたいんだろうし、
だからあんたにとっては無意味なんだろうってのもわかるけど、俺の場合デフォルトから変えたSSHポートに対して
攻撃が来たことは一度もないわけで。
まあアレだ、「HTTPのバナーを削れ」ってのとある意味では似ていてある意味では違うもんなんだと思う。
ちなみに>>44の「ログの量が減る」っていう発想はなかったw 微妙に間違ってる希ガス

60 :
>>58
ログ太らせるのが趣味でそのように設定しているんだから、むしろ歓迎すべきだな。
22から変える意味はない。w
パスワード認証不可でPAMを有効にできるのはPAMのアカウンティングを利用するため。
本質を理解しないとダメだよ。
しかも、ログの読み方知らないで見当外れのログを自信満々に例示してるし…
そこに残ってる"Did not receive identification string"はsshプロトコルでプロト
コルバージョンの交換が出来なかった時のログ。
"input_userauth_request: invalid user"は認証方式の交換に失敗した時のログ。
勉強になったか?
まとめると、
port 22を変更するのはパスワード認証を有効にしている素人管理者サイト
でログを減量できるが、それ以上の意味は無い。

61 :
「HTTPのバナーを削れ」ってのと…て書いたけど、もちとわかりやすく言うと
「それで完全に防げる」と勘違いしちゃだめなわけで。

62 :
>パスワード認証を有効にしている素人管理者サイト
これ誤解や。パスワード認証自体が危険なわけじゃないで。

63 :
個人で使う範囲なら、公開鍵認証オンリーにできるんだけどね。

64 :
>>59
うちにも自宅鯖置いてるけど、ポートスキャンってフルでかけてくることって
ほとんどないような.....
だいたい特定のポートをいくつかかいつまんでポートスキャンしてくる感じ
っていうか全ポートスキャンなんて効率悪すぎるだろうに
うちは22/TCPでSSH動かしてるけど、例えば65432/TCPとかにでもしときゃ
確かにほとんどこんなポート突きになんて来ない気がする

65 :
>>51
基本的に送信元IPアドレスを限定する方をお勧めする
一時的に可変的なIPアドレスからの接続を許可するために
コントロールパネルのようなものを作っておくと便利
いま繋がってるアドレスをその日だけ許可するとか出来るし

66 :
>コントロールパネルのようなものを作っておくと便利
それをどうやって安全に操作させるか…
平文 HTTP の basic 認証とかだったら殴る

67 :
>>62
このスレでのサンプリングの結果、ログが減って(すなわちパスワード認証有効)
うれしい管理者は、素人管理者と推定出来ます。
もっとも、パスワード認証無効の中にも>>58のような素人も居るので素人とパス
ワード認証を結び付けるのには無理があるかもしれません。

68 :
>>62
またおまえか
そんなアホな風説流すな

69 :
>>68
なにが?

70 :
>>66
もちろん平文にはしないが
少なくとも ssh にアタックしてくるスクリプトが
わざわざコントロールパネルの URL を調べて
そっちでアクセス元 IP アドレス許可してから
アタックし直す可能性なんて限りなく低いだろ?
仮にコンパネ側の方が認証パスして
その IP アドレスが許可されたとしても
ssh の方の鍵持ってなきゃ実質なにも出来ないだろ?
ログが増えるのも防止できて一石二鳥三鳥だぜ

71 :
>>70
VPNでアクセスすりゃいいよめんどくせぇ

72 :
>平文 HTTP の basic 認証とかだったら殴る
xrea.comですねわかります

73 :
>>65
なるほど、うん、うん。それはいいね。
まあ、俺は詳しいやり方を聞かなくても余裕で出来ちゃうんで
別に教えてくれなくても平気なんだけど、
まあ、世の中にはそのやり方を知りたいけど素直に聞けなくて
やれ「そんなやり方はセキュアじゃない」とか言っちゃうやつも
いるけど、
そのやり方をちょっと詳しく分かりやすく書いてあげると、なんかこう
ホノボノすると思うんで、どうかな、もうちょっと詳しく…
いや別に俺がマネしようとか言うんじゃないんだ。

74 :
>>73 そういう書き方は「こいつ余裕ないんだなプ」と思われるだけなんだがな…

75 :
それをマジレスと思えるあんたはまだ素直な心の持ち主なんだなあ

76 :
sshd : .jp : allow
これだけでだいぶ減る

77 :
パスワード認証無効 & AllowUsersで絞っているけど、たまに攻撃の間隔
が短すぎてCPU負荷があがることがあるので、DenyHostsとかも使ってる
>>76
それは海外行った時困るだろw

78 :
まあ最近SSHは流行んないつーか、普通にシングル3つでいいんじゃね?
どうしたってメタル臭が抜けない気がする。
どうしてもっていうならディマジオのスーパーディストーションの白黒
にするとおさまりいいと思うよ。

79 :
あ、ごめんなさい。スレ間違えました

80 :
SSH HSHwwww

81 :
俺はHHがイイです

82 :
じゃあ俺はH×H

83 :

         ∧_∧   ┌─────────────
       ◯( ´∀` )◯ < 僕は .357 H&H Magnumちゃん!
        \    /  └─────────────
       _/ __ \_
      (_/    \_)
           lll

84 :
HH+コイルタップで十分だな

85 :
未だにSSHで検索すると埼玉最終兵器が一番上な件

86 :
>>85
かっこいいからいいじゃん。むしろsshの語源の方がださいし。

87 :
sshはセキュア・シェル・、、の略だそうですが、
では h は何の略なんですかぁ?

Secure Shell H???

88 :
Secure SHell

89 :
S=Secure
SH=Shell
のはず

90 :
もっと粋な返しはないのか。。

91 :
>>90
ぢゃお前がお手本みせろよ

92 :
>>90
フリがつまんないからしょうがない。

93 :
sh
↓外からも使えたら便利じゃね?
rsh
↓やべー穴だらけだったよw
ssh

94 :
>>90
wktk

95 :
S=すごい
S=Scienceで
H=Hします

96 :
>>93
もう進化しないのかな

97 :
sh → rsh → ssh → ssh(OpenSSH) → ssh(djbssh)

98 :
おいやめろ

99 :
いいぞもっとやれ

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
【日本語】M+ フォント【フリー】 part6 (341)
ニャース・ΜL キテガイリスト 28人目 (758)
C shell 撲滅委員会 (419)
中級者もOK! FreeBSD質問スレッド (869)
【さぁ】NetApp【あっぷっぷ】 (600)
私は感動した!!ありがとうUNIXの皆さん!2006夏〜 (803)
--log9.info------------------
【頑張れ】滋賀県高校野球スレ60【湖国球児】 (667)
愛知県の高校野球67 (348)
山形県の高校野球part43 (213)
京都 立命館宇治2 (563)
【関東の】茨城 VS 埼玉【お荷物】 ★5 (883)
関東唯一選手権優勝のない埼玉! (915)
大垣日大 応援スレ15 (230)
【吉本】足立学園【ダボ高】 (201)
東東京の高校野球15 (878)
九州国際大付 Part10 (717)
四国の地元部隊は再び全国制覇できるのか? (648)
【大阪】光星学院×東海大甲府【神奈川】 (672)
【オホーツク 】 遠軽高校 (283)
旭川・空知・名寄地区の高校野球 (267)
【白河】福島県南の高校野球Part1【光南】 (797)
早稲田実業学校 Part41 (219)
--log55.com------------------
【XF9-1】F-3を語るスレ118【推力15トン以上】
アサルトライフルスレッド その62
護衛艦総合スレ Part.118
初心者歓迎 スレ立てる前に此処で質問を 916
【スペンサー銃】八重の桜の分析【綾瀬はるか】103
【89式】戦後国産小火器総合 37【64式】
[火器重視か] 第九哨戒艦部隊 [センサーか?]
ソ連はなぜ1945年8月に北海道を爆撃しなかったか