Cygwin64 ssh¶ 目次Cygwin64 sshOpenSSHOpenSSH 7.1 問題と解決Cygwinをアップデートしたらsshの公開鍵認証がスキップされパスワード認証になってしまったまとめ詳細 OpenSSH¶ OpenSSH 7.1¶ 問題と解決¶ Cygwinをアップデートしたらsshの公開鍵認証がスキップされパスワード認証になってしまった¶ まとめ¶ 恒久的解決 DSA鍵はOpenSSH 7から無効とされたので(脆弱)、 RSA鍵 ECDSA等に変更する 暫定解決 ~/.ssh/configに次を追記 PubkeyAcceptedKeyTypes=+ssh-dss 注意)+で指定しないとssh-dss限定になってしまうため、他の鍵種類を使うとはねられてパスワード認証になってしまいます。 詳細¶ cygwinをアップデートした直後、sshでリモートマシンに接続したら、公
ssh使ってますか?公開鍵認証使ってますか?クラウドサービスやVPSサービスでリモートログインする際、セキュリティを強化するために使われる公開鍵認証ですが、鍵の作り方(暗号化方式)にいくつか種類があります。この暗号化方式でちょっと困ったことがあったので、セキュリティ強化の意味も込めて、設定を見なおしてみることにしました。 Ububtu 16.04にログインできない事件困った。SSHでログイン出来ないんです。某クラウド環境に作ったUbuntu 16.04環境に、sshログインできない。何度も環境作りなおしたんですが、上手く行かず、何が起きているのか分からずに悩むこと数時間。最終的に、公開鍵を作りなおすことで、ログインできるようになりました。 何がダメだったかというと、元々使っていた公開鍵がdsa形式だったため。rsaに変更したら、ログインできました。 こんなところで引っかかったことが無かった
先日Twitterに次のような書き込みをしたところ思ったより反応が良かったので、詳細の設定を紹介します。 UDP53番、TCP443番、UDP123番とポートノッキングをするとTCP443番に10秒だけsshdが現れる、という中二病全開の設定をした。皆様にもお勧めしたい。— hnw (@hnw) 2017年3月26日 といっても特殊なことをしたわけではなく、knockdでポートノッキングの設定を行い、iptablesと組み合わせて実現しました。 ポートノッキングとは ポートノッキングというのは、決められたポートを決められた順番で叩くことでファイアーウォールに穴を空けられるような仕組みのことです。ポートノッキングを使えば、TCPの7000番、8000番、9000番の3ポートにパケットを送りつけると22番ポート (SSH) へのアクセスが許可される、といった設定ができます。 ポートノッキングの
こんにちは。大阪の市田です。 今回は、下記のブログの内容を元に、踏み台サーバ経由のSSHセッションを記録する方法をご紹介します。 How to Record SSH Sessions Established Through a Bastion Host | AWS Security Blog 尚、踏み台サーバはAmazon Linuxを想定しています。 ポイント この記事のポイントは下記です。 OpenSSHの設定の修正 scriptコマンドの利用 踏み台サーバユーザの権限制限 ログファイルのS3保管 S3による踏み台サーバユーザの自動管理 SSHのエージェントフォワード利用 CloudFormationで環境構築 それでは順に説明していきたいと思います。 構成 想定の構成は下記の通りです。 ログファイルのディレクトリ作成 まずは、踏み台サーバにログの保存ディレクトリを作成し、アクセス制限
斎藤です。こんにちは。 今日は、デーモンの起動・終了に際してはserviceコマンドを使った方がいいよ、というお話です。 ※CentOS 6.4 (x86_64) でテストしています。尚、特記がある所を除きます。 デーモンの起動・終了には大きく2手 Linux、特にRedHat, CentOS, Fedora, Ubuntu[1]などでは、デーモンの起動・終了の制御の際に、大きく分けて次の2つの方法を用いる事ができます。 "/etc/init.d/"配下のスクリプト(以下、スクリプト)を直接実行する "service"コマンドを実行する 一見、同じ事をやっているように思えるのですが、実は違う部分があります。それは、起動スクリプトが扱う環境変数が違うのです。次の節で、検証してみます。 扱う環境変数が違う スクリプトを直接実行する場合は、実行時の際の環境変数をそのまま利用します。一方、serv
公開鍵、秘密鍵を設定し、いざログインしようとすると Server refused our key とメッセージが表示されてログインができません。 サーバーのログを確認したところ、以下のようなログが出ていました。 Authentication refused: bad ownership or modes for directory /home/yamasaki Authentication refused: bad ownership or modes for directoryでぐぐると以下の記事がありました。 クライアント側のユーザのホームディレクトリのパーミッションにも注意する。所有者以外の書込み権を設定してあるとだめ。 たとえば、/home/hogeのパーミッションが777の場合、公開鍵認証でsshログインしようとすると、 Permission denied (publickey,
以前の記事「$HOME/.ssh/configを活用していますか?」では、設定ファイルを少し頑張って書けば普段のSSHライフが随分変わりますよ、と紹介しました。今日はその続編です。前回よりマニアックな設定を紹介します。 2段以上先のサーバにログインする Dynamic Forward機能を使う 共通設定をまとめて書く 2段以上先のサーバにログインする 目的のサーバにログインするために、踏み台的なサーバを経由しないと入れない環境があります。例えば、dmz経由でないとDBサーバにログインできない環境、というのは良くある構成でしょう。 このような場合に、ProxyCommandパラメータが利用できます。 上の設定で「ssh db1」とすると、sshでdmzに接続し、dmzから192.168.0.201へログインします。これを利用するには踏み台サーバにncコマンドが必要ですが、大抵の環境にインスト
以下、上記の方法の詳細と問題点・適用範囲について説明していきます。 SSH接続を放置しない ログインして使う場合は、用が済んだらexitしましょう。 汎用的でかつセキュリティ的にも文句のない方法です。 筆者には絶対に無理です。 ルータの設定をなんとかする ルータのタイムアウト設定を延ばすのが一番まともな解決方法です。 短時間でNATテーブルをクリアしてしまうために起こるトラブルなので、 クリアするまでの時間を非常に長くすればOKということになります。 もっとも、 設定変更ができない場合もあるでしょうし、 機器によってはNATテーブルがあふれてしまう可能性もあるなど、 適用できない可能性もあります。 また、15分で切れるのが2時間で切れるようになったところで 問題としては変わっていないともいえます。 ログイン先で定期的に何かを出力するプログラムを実行する 端末を取得する場合のみ有効な方法です
sshでのアクセスを、IPや、ユーザごとに制限をかける事ができます。 ここでは、pam と呼ばれる認証の仕組みを利用します。 Last Update : 2006年09月05日 ssh を、ユーザ、IPでアクセス制限 手順 各設定ファイルの編集 必要であれば、sshd の再起動 設定ファイル /etc/security/access.conf /etc/pam.d/sshd /etc/ssh/sshd_config 1. 各設定ファイルの編集 下で紹介する設定ファイルですが、デフォルトでsshにpamを有効にする設定がされている場合があります。 その場合は、1-1、1-2の設定ファイルを保存した瞬間から、その変更が有効となります。 ネットワークごしの場合は、近くの端末を使ってテストするなどして気をつけましょう。 1-1. /etc/security/access.conf の編集 このファ
SSHといえどもデフォルトのままで使っているなら、そこには危険な落とし穴が存在する。本稿では、SSHのセキュリティを高めるのに役立つ簡単な方法を幾つか紹介する。 この記事では、SSH(secure shell)サービスのセキュリティを高めるのに役立つ簡単な方法を幾つか紹介する。 SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHが接続を待ち受けるポートの変更 SSHはデフォルトでは22番ポートで接続を待っている。攻撃者はポートスキャナを使ってホストがSSHサービスを実行しているかどうかを把握するが、(nmapを含め)たいていのポートスキャナではデフォルトでは1024以上のポート番号のスキャンは行なわれないため、SSH用のポートを1024以上の番号に変更して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く