さーて,どんどんこんらんさせていきますよ。 高度な例 (3) - 多段 ssh 要件は*1 host:gw1 に user:foo というアカウントがある host:gw2 に user:bar というアカウントがある host:target に user:baz というアカウントがある user:dayflower が host:local から host:gw1, host:gw2 を経由して host:target に user:baz で アクセスしたい ProxyCommand をカスケードして指定していけばなんとでもなります。実行例は下記のとおり((コマンドラインから実行する場合,実用上の理由から %h や %p などの展開は利用していません))。 local% ssh -o "ProxyCommand ssh -o 'ProxyCommand ssh -l foo -i fo
以前 2.(gateway で netcat を ssh 経由で実行することによる転送)はよくわからないけど失敗 多段 rsync がめんどくさい - daily dayflower と書きましたが,なんとなく仕組みがわかってきたので書きます。 2年前くらいに流行ってたネタなので今更感満点。 まとめ 単純に到達できない場所に ssh でつなぐために ProxyCommand という [http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config:title=ssh_config] の設定子が使える ProxyCommand とは ssh クライアントと標準入出力でやりとりする 多段 ssh をする際に ProxyCommand で指定すると有用なものとして下記のものがある nc (netcat) OpenBSD や RedHat 系には(お
SSHサーバーを外向きに開けてるん。でも総当たりされるので面倒だ。そこで対策。 内側からはパスワードで認証する。 外側からは鍵認証にする。 iptablesでSSHへの総当たりを止める このうち1,2について。 外側と内側で認証方式を変える これが意外と便利なんだな。WAN側は公開鍵、LAN側はパスワードで認証。 ここで便利に使えるのが、Matchエントリ。クライアント条件別に設定が出来る。 49 # Change to no to disable tunnelled clear text passwords 50 PasswordAuthentication no #パスワードで認証を禁止する。鍵だけ。 #中略 #192.168.*.*からの接続だけパスワードで認証許可する 81 Match Address 192.168.*.* 82 PasswordAuthentication ye
ネタ元:odz buffer - SSHで多段ログインする方法(別解) Features of connect.c are: Supports SOCKS (version 4/4a/5) and https CONNECT method. Supports NO-AUTH and USERPASS authentication of SOCKS Partially supports telnet proxy (experimental). You can input password from tty, ssh-askpass or environment variable. Run on UNIX or Windows platform. You can compile with various C compiler (cc, gcc, Visual C, Borland C. etc
connect を使って簡単に多段 SSH を実現する方法 2006-09-04-2: [Security] OpenSSH 限定の話になるのかもしれませんが,localhost から remotehost1 を経由して remotehost2 に接続するような 多段 SSH を実現するには,ポートフォワードを使う方法がありました. この話は以前ここでも,話題に上げたことがありました ([2005-01-24-2]). もちろんこの方法でも実現できますが,OpenSSH の ProxyCommand を利用することで簡単に多段 SSH が実現できます. 1. ソース (http://www.meadowy.org/~gotoh/ssh/connect.c) を取得します. 2. ソースのコメントを参考に connect.c をコンパイルします.うちの環境は Solaris なので,以下のよ
残念でした - JULYの日記 どうも最近、ssh に対するブルートフォース・アタックがはやっているらしい。前に、1時間半ものの間、アタックされていいたのを書いたが、今度は 7/21 18:56:24(日本時間)から 23:48:24、約5時間に渡ってずーっと、ムダなアタックをしていました。たぶんツールは同じで、アタックに使う辞書が豊富になってきて、なんだろうけど、繰り返しますが、我が家の ssh サーバは公開鍵認証以外お断りなので、単なるログイン認証を繰り返しても、永遠に入れることはありませんので、あしからず。 ただ、こうも長時間にわたって続けられると、こいつのために帯域を取られているというのが癪に障る。別に、実害は無いんだけど、やはり気分が悪い。OpenSSH で認証に失敗した場合に、だんだん認証結果のレスポンスが遅くなるような仕組みがあれば、それを設定したいのだが、認証部分を PAM
It achieves this by establishing and maintaining a SSH connection from within the firewall to a SSH server of your choice. sshは,極めて強力なツールです.単純に暗号化されたシェルを提供するだけではありません.その真髄は,ポートフォワーディング機能にあります.ローカル(クライアント側)の特定のポートへのTCPセッションをリモート(サーバ側)の任意のポートへ転送することができる機能です.これによって、ファイアウォールに阻まれた外部のサーバから、メールを読んだり、VNCなどによるリモートアクセスを利用したりすることができます。また,あまり知られてはいないようですが,Dynamic Port Forwarding機能(-D option)によって,SOCKS Proxyとし
はじめに sshのポートを開いていると、世界中からrootログインやありがちなアカウント(guestとか)でのログインを試すアクセスがやってきます。 通常はsshでrootログインなど許可していないので(してませんよね?)、被害がないはずなのですが、立て続けに何度もアクセスされると気持ち悪いことは確かなので、そのような接続元を自動的にアクセス拒否してしまおうというのが目的です。 OSはFreeBSD 5.4Rを前提とします。 swatchのインストール&起動 swatch 3.1.1をportよりインストールします。(詳細省略) /etc/rc.confに以下を追加します。 swatch_enable="YES" swatch_rules="1" swatch_1_flags="--tail-file=/var/log/auth.log --awk-field-syntax --co
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
