SSHログインの失敗が大量に記録されているとSSHログインが極端に遅くなる - Repro Tech Blog
Development Division/Platform Team/Sys-Infra Unitの伊豆です。Sys-Infra Unitはインフラエンジニア・SRE 的な役割を担っています。 今回は、ある日突然SSHログインが遅くなったときに調査した内容を共有します。 SSHログインに数分かかる ある日、AWS EC2上で動いている開発環境のSSHゲートウェイにSSHログインすると30秒以上かかると報告がありました。-vvvオプションを指定してSSHログインしてみるとpledge: filesystemというログが出力された後、数十秒から数分程度かかってSSHログインが成功する状況でした。 pledge: filesystemやssh slowなどで検索してみると、主に以下のような対処法が挙げられていましたがどれを試しても状況は改善されませんでした。 systemd-logindを再起動
wsl2でsshuttle - winでssh先に簡易VPNを張る - Qiita
# ルーティングテーブルを変更するため、実行する WSL2 のターミナルに Windows の admin 権限が必要。 wsshuttle -r ssh-server -x 157.0.0.0/8 0/0 wsshuttle -r ssh-server -x 157.0.0.0/8 0/0 --dry route.exe delete 157.0.0.0 mask 255.0.0.0 route.exe delete 3.3.3.3 mask 255.255.255.255 route.exe delete 0.0.0.0 mask 128.0.0.0 route.exe delete 128.0.0.0 mask 128.0.0.0 route.exe add 157.0.0.0 mask 255.0.0.0 192.168.3.1 metric 1 if 7 route.exe ad
2020年5月20日 リモート接続でいつものシェルを! ssh越しでポータブルなシェル環境を実現する「xxh」 | gihyo.jp
Linux Daily Topics 2020年5月20日リモート接続でいつものシェルを! ssh越しでポータブルなシェル環境を実現する「xxh」 リモートからホストにsshで接続する際、bashやzshなどいつも使っているシェルで操作したいというニーズを受けて、この5月から開発がスタートしたプロジェクトに「xxh」がある。ライセンスはBSD Licenseで、Python 3で開発されており、Linux(x86_64)上で動作する。なお開発者の名前も「xxh」とされている。 xxh/xxh : 🚀 Bring your favorite shell wherever you go through the ssh -GitHub xxhの原理はごくシンプルで、ホストに対し、ポータブルで密閉されたシェル環境をアップロードし、リモートマシンからssh越しで利用可能にするというもの。rootア
SSHログイン時に公開鍵認証とGoogle OAuthで多要素認証する | ten-snapon.com
# ブラウザで認証後表示されたコードをペーストする Please type code:xxxxxxxxxxxxxxx sshでサーバにログインする際に、まず公開鍵認証が行われ、正解するとたーみなるに、このURLを開いてくれというメッセージが出ます。 https://accounts.google.com/o/oauth2/auth?access_type=offline&client_id=xxxxxxxx-xxxxxxxxxxx.apps.googleusercontent.com&redirect_uri=uxxxxx 上記の部分ですね。これをブラウザに貼り付けて、Googleの認証を超えると、あるコードが払い出されるので、それをターミナルに貼り付けると無事ログインできます。また、ログイン後はトークンが有効期限のうちは再度oAuthする必要はありません。 インストール方法 OAuth
AnsibleとDockerによる1000台同時SSHオペレーション環境 - ゆううきブログ
1000台同時SSHオペレーション環境を構築するにあたって、手元のローカル環境の性能限界の問題を解決するために、オペレーションサーバをSSHクライアントとすることによりSSH実行を高速化した。実行環境としてDocker、レジストリとしてAmazon ECR(EC2 Container Registry)を用いて、ローカル環境とオペレーションサーバ環境を統一することにより、オペレーションサーバの構成管理の手間を削減した。 はじめに システム構成 実装上の工夫 オペレーションサーバ越しのroot権限実行 rawモジュールとscriptモジュールのみの利用 Ansibleの実行ログのGit保存 まとめと今後の課題 はじめに 3年前に Ansible + Mackerel APIによる1000台規模のサーバオペレーション - ゆううきブログ という記事を書いた。 この記事では、ホストインベントリと
fabricで鍵認証をセットする - Qiita
chefとかfabricとか使ってると、いちいちサーバログイン時に認証を聞かれるのが面倒だし、公開鍵認証で行けたらいいなぁ、と思うことがあります。 通常は ssh-copy-id を使えばいいと思うんですが、fabricで事前にセットアップしたホスト一覧があるならこういうのも便利かと思うので、作ってみます。 ゴリゴリに書いてますが、一応登録済みキーでないか確認して追加しています。 from fabric.api import * @task def copy_id(file="~/.ssh/id_rsa.pub"): """Identityをauthorized_keysに追加する""" put(file, "/tmp/id.pub") try: run("if [ ! -d ~/.ssh ]; then mkdir -p ~/.ssh; fi") run("if [ ! -f ~/.ss
SSH サーバセキュリティ設定検討 WG の活動概要|CSIRT - 日本シーサート協議会
インシデントによっては、SSH サーバのセキュリティ設定で未然に防げるものも多いと考えています。SSH サーバの設定の重要性について、注意喚起の契機となるようなセキュリティ設定に関するドキュメント作成し、普及啓発を目指しています。 SSHサービスは、サーバのリモート保守やファイル転送などで利用できます。その反面、サイバー攻撃活動の攻撃対象となり、踏み台として悪用され、第三者への不正アクセスに加担してしまう可能性があります。本ガイドでは、SSHサーバをサイバー攻撃から守るためのセキュリティ設定について解説します。 V1.0 は、CentOS 6.5、OpenSSH 5.3p1 のクライアントとサーバ環境(openssh-5.3p1-94.el6.i686、openssh-clients-5.3p1-94.el6.i686、openssh-server-5.3p1-94.el6.i686)で動
続・ラフなラボ – tmux 内で SSH した時のロギングを自動でやる
この記事は Pepabo AdventCalendar 2014 の9日目の記事です。 前日はinouetakuyaさんでした! 明日はtnmtさんです! 今年まさかアドベントカレンダーに参加することになるとは思っていませんでしたが、 今朝社内IRCにてチーム内で反響があった tmux で作業をする際の tip を紹介したいと思います。 今朝のチームのIRCの一幕 私はいちいち手動で作業ログを取得するのが面倒なので普段から踏み台サーバの tmux で pip-pane を使ってほぼ自動的にやっているのですが、 今朝以下を zipper さんに発見されたのをきっかけにすこし盛り上がりました。 laughk 11803 0.1 0.0 74852 1496 ? Ss 10:23 0:00 tmux -2 laughk 11804 0.1 0.0 65764 3200 pts/3 Ss+ 10:
tmux + ssh + Mackerel API を組み合わせたとにかくモダンなサーバオペレーション - ゆううきブログ
冗長化させたホストやスケールアウトさせたホストなどの同じサーバ構成をもつホストグループや、あるサービスに所属するホスト全てに同時にsshして同時に操作したいことがある。 複数のホストに同時ログインするツールとして cssh があるけど、毎回複数のホスト名をチマチマ入力したり、すぐに古くなるホスト一覧ファイルを手元に持ちたくない。Immutable Infrastructure 時代にはそぐわない。Immutable Infrastructure 時代にはホスト名なんて毎日変化するし誰も覚えてない。サーバ管理ツール上のグループ名を使ってグループ配下のホストに同時にsshしたい。 あと、cssh は個人的に挙動がなんか微妙なので、代わりに tmux と ssh を組み合わせている。 cssh はマスタとかスレーブとか気持ちはわかるけど、複数ウィンドウ操作は使い慣れたターミナルマルチプレクサを使
GitHubユーザーのSSH鍵6万個を調べてみた - hnwの日記
(2015/1/30 追記)時期は不明ですが、現時点のgithub.comはEd25519鍵にも対応しています。 (2016/5/31 追記)「GitHubにバグ報告して賞金$500を頂いた話」で紹介した通り、既に弱い鍵はGitHubから削除され、新規登録もできなくなっています。 GitHub APIを利用して、GitHubの31661アカウントに登録されているSSH公開鍵64404個を取得してみました。抽出方法*1が適当すぎて偏りがあるような気もしますが、面白い結果が得られたと思うのでまとめてみます。 SSH鍵の種類 鍵の種類 個数 割合 RSA鍵 61749 (95.88%) DSA鍵 2647 (4.11%) ECDSA鍵 8 (0.01%) 約6万個の鍵のうち、8個だけECDSA(楕円DSA)鍵が見つかりました!常用しているのか試しに登録してみただけなのかはわかりませんが、何にせよ
Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ
「Ciscoは全てのシステムに同じSSH鍵を使うという過ちを犯し、その秘密鍵を顧客のシステム上に残しておいた」とSANSは解説している。 米Cisco Systemsは7月2日(現地時間)、「Unified Communications Domain Manager」(Unified CDM)の脆弱性に関する情報を公開した。システムに特権アクセスできるデフォルトのSSH鍵が存在する脆弱性など、3件の脆弱性について解説している。 同社のセキュリティ情報によると、Unified CDMにはサポート担当者へのアクセス用にデフォルトのSSH鍵が存在し、この秘密鍵がシステム上にセキュアでない方法で保存されていることが分かった。攻撃者がこの鍵を入手でき、サポートアカウント経由でシステムにroot権限でアクセスできてしまう状態だという。 この脆弱性について米セキュリティ機関のSANS Internet
RSA公開鍵から素数の積を取り出す方法 - hnwの日記
RSA暗号はHTTPSやSSHの通信で利用されている暗号化方式です。公開鍵として巨大な素数の積を交換しあって暗号に利用しており、この素因数分解が困難であることにより安全性が担保されています。このことは教科書にも載っているような内容で、ご存じの方も多いかと思います。 ところで、その素数の積を実際に見たことってありますか?少なくとも僕は見たことがありませんでしたし、大抵の人は見たことが無いのではないでしょうか。本稿ではこの公開鍵の情報を見る方法を紹介します。 OpenSSH公開鍵の中身を見る まずはOpenSSHの公開鍵の情報を取り出してみます。OpenSSHの公開鍵は次のようなものです。 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCw+XdXSrhBcDFAXPcisrc8im4y8ytC46HEQ0GsWOph9OPK1elTQmBD5LATGfp4JG4
【Linux小技】 scp(ssh)での暗号化方式の違いによる転送速度ベンチマーク 「知ったかブログ」
目的 ホスト間のファイルのコピーは、セキュリティの問題もあってscpやsftpは普通で良く使うのですが、特に大きなファイルを転送しようとすると、同じギガビットイーサネットスイッチに二つのホストを繋いでいてもなぜか50MB/sくらいしかなりません。何か設定がおかしいかといろいろ試したのですが、ftpで転送すると普通に100MB/s出ることから、どうやらssh側の制限らしいことまでは突き止めました。 色々調べていくと、今のsshの場合は送信時に暗号化方式をいくつか選択することができ、暗号化方式によっても転送速度が異なるようです。たぶん暗号化と復号にCPUを使っているからでしょうか。 理屈はまあ脇に置いておいて、取り急ぎは暗号強度は無視して転送速度を確認したいです。というわけで、暗号方式の違いによる転送速度を比較してみました。 ssh暗号化方式の変更方法 一言でいえば、 # scp -c [暗号
近頃の開発環境 : Mosh、z、tmux、Emacs、Perl について - naoyaのはてなダイアリー
昨日は年始の挨拶ついでに ELPA について脈絡もなく突然書きましたが、引き続き近頃の開発環境についてもだらだらと書いてみよう。 Mosh mosh というと一部の人間はひげなんとかさんが開発しているモナー的なあれを思い浮かべるかもしれないがそうではなく、mobile shell のことである。 思い切り簡略化して言うと「快適なssh」。回線が不安定な所でもエコー遅延など全く気にせず使えるし、Mac をスリープさせて復帰させたときもリモートホストにそのまま繋がりっぱなしのように見せかけてくれたりする。 詳しくはこの辺を。 mosh: MITからモバイル時代のSSH代替品 - karasuyamatenguの日記 インストールはリモートとローカル両方に必要ですが、まあ大概パッケージがあると思います。EC2 の Amazon Linux でも yum レポジトリの EPEL を有効にすれば y
mosh: MITからモバイル時代のSSH代替品 - karasuyamatenguの日記
http://mosh.mit.edu/ ローミング可能 断続的な接続でも平気 ローカルエコーで快適なレスポンス などの機能をそなえたSSH代替ターミナルソフト。その名も「モッシュ」 iPhone/iPadでウロウロしながらサーバ作業をするのを想定しているようだ。ドキュメントやパッケージの充実度からしてもかなり高質のプロジェクト。こいつら本気でSSHを越えようとしている。 こんな能書き IPが変っても大丈夫 スリープ後もターミナルが生きている 遅いリンクでもローカルエコーにより快適 要は素早く打ち込んでいるときにスクリーンが止っちゃうことがない フルスクリーンモードでも有効 サーバ側と同期化されていない入力はアンダーラインで記される ルート権限がなくてもサーバのインストール可能 サーバは一般プログラムとしてインストールして、それをSSHで立ち上げる SSHをinetdとして使っている感じだ
rsync + cron + ssh (rsyncd を立てない編)
目的と環境条件 このテキストでは、 rsync を使ったリモートバックアップ(遠隔バックアッ プ)の方法、特に ssh と cron を利用して、暗号化された経路を経由しての バックアップを自動的に行うための手順を示します。 ここで ssh の認証には、パスフレーズを空にし、かつ実行できるコマンドを 限定した ssh 鍵ペアを作成し使用します。これにより、 ssh-agent や eychain を利用する方法、ホストベース認証を利用する方法よりも安全なバッ クアップ体制が整えられる……はずです。 なお、このドキュメントの内容の正確さについては無保証です。なんせ、備忘 録みたいなものですので……。また、このドキュメントに書かれていることを 実行した結果直接的および間接的に発生した損害について、私(佐藤裕介)は 何ら責任を負いかねます。 用語の説明 ローカルホスト、ローカルマシン、ローカル
GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう - ただのにっき(2012-03-08)
■ GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう 先日、Railsアプリにありがちなセキュリティホールがあることが判明したGitHub。詳細は@sora_hによる「github の mass assignment 脆弱性が突かれた件」が非常によくまとまっているので参照のこと。脆弱性の内容そのものもだけど、開発者として脆弱性指摘をどのように受容、対応すべきかを考えさせられる事例だった。 で、これはようするに赤の他人が任意のリポジトリへのコミット権を取得できてしまうという事例だったのだけど、脆弱性の内容をみる限りその他のさまざまな入力もスルーされていた可能性がある。ということで、その対策が(おそらく)なされたのだろう、今朝になってGitHubから「SSH Keyの確認をせよ」というメールがいっせいにユーザに配信された。3日で修正とか、GitHubの中の人もずいぶん
備忘録 - iCloud の Back to My Mac でSSHログインする : 404 Blog Not Found
2011年11月18日12:00 カテゴリTipsiTech 備忘録 - iCloud の Back to My Mac でSSHログインする MobileMeの頃から存在していたのですが、iCloud化によりBack to My Mac(どこでもMy Mac)という素敵機能が無料で使えるようになりました。 Back to My Mac - Wikipedia, the free encyclopediaBack to My Mac is a feature introduced with Mac OS X 10.5 Leopard that uses Wide-Area Bonjour to securely discover services across the Internet and automatically configure ad hoc, on-demand, point
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSH ハニーポットでの悪い人の観察
SSH力をつけよう
