サーバー群への管理者アクセス権限を統制する | ロードバランスすだちくん
シンジです。sshを利用してサーバーへアクセスする際、IDとパスワードでrootにダイレクトアクセスさせてるケースもままあるでしょうが、監査も通らないし乗っ取りリスク高すぎ問題なので辞めたいところです。クラウドを日常的に利用する方々の場合、通常は証明書認証によってサーバーログインを行っていると思います。証明書ファイルが次々と増えていく問題、証明書ファイルを手に入れれば多くの人がサーバーにログインできちゃう問題は目をつぶるしかないのか。 そこでエンプラなどでは、「踏み台サーバー」を作って、そこでアクセス権限をコントロールすることで、サーバーログインへの統制を図るわけですが、第一踏み台から第二踏み台へそして第三踏み台とかいう絶望も現実的に存在している実状です。そもそも、エンプラが踏み台サーバーを自前で作るわけがなく、そういう製品を購入して作ってもらう、はい数千万円、保守費毎年よろしくみたいな世
sslh でport443 を有効活用して、sshもhttpsも同時に待ち受けする。 - それマグで!
443ポート以外が絶滅しそうです あちこちでポートは閉じられています。ssh や sftp もプロキシ利用も、各種ポートでは、全く外部に出れず、接続できないネットワークが多いです。 TCP/IPなのにIPとポートを使った通信ができない、壊れたネットワークが当然になりました。 これらの接続制限にとても不便を感じることが多いです。 サーバー管理者の気分一つでポートが空いたり閉じたり、私が触ってたネットワークではポリシーが統一されず、クソネットワーク管理者に振り回されて、動くはずのものが動かず、不便なことが多かったのです。そこで仕方なく443を使っています。 私達が利用する端末では80/443 のポートの外部接続が閉じられることは少なく、443であれば通信できます。 そのため、443ポートに様々なアプリケーションを起動していると思います。 443 ポートとIPアドレスが枯渇する・・・ よほどのG
Python+SSHな自動化・デプロイメントツールFabricを活用するTips
こんにちは。CTOの馬場です。 みんな大好きFabricのTipsです。 Welcome to Fabric! -- Fabric documentation よくデプロイツールとして紹介されますが、 自動化のためのPython+SSH+コマンド実行フレームワークとして柔軟に使えて超便利です。 基本的には 手元でのコマンド実行 SSHごしのリモートサーバでのコマンド実行 SSHごしのリモートサーバでsudoしてコマンド実行 ができるツールなのですが、使い方の例を紹介します。 間違いなどあればお近くのハートビーツ社員か @netmarkjp に教えていただけると嬉しいです。 Python 2.7.10 + Fabric 1.10.2 + Paramiko 1.15.2で動作確認しました。 複数のサーバに対して同じユーザ・パスワードでログインする ユーザ名やパスワードを一括指定できます。 鍵認
近頃の開発環境 : Mosh、z、tmux、Emacs、Perl について - naoyaのはてなダイアリー
昨日は年始の挨拶ついでに ELPA について脈絡もなく突然書きましたが、引き続き近頃の開発環境についてもだらだらと書いてみよう。 Mosh mosh というと一部の人間はひげなんとかさんが開発しているモナー的なあれを思い浮かべるかもしれないがそうではなく、mobile shell のことである。 思い切り簡略化して言うと「快適なssh」。回線が不安定な所でもエコー遅延など全く気にせず使えるし、Mac をスリープさせて復帰させたときもリモートホストにそのまま繋がりっぱなしのように見せかけてくれたりする。 詳しくはこの辺を。 mosh: MITからモバイル時代のSSH代替品 - karasuyamatenguの日記 インストールはリモートとローカル両方に必要ですが、まあ大概パッケージがあると思います。EC2 の Amazon Linux でも yum レポジトリの EPEL を有効にすれば y
OpenSSHのセッションを束ねるControlMasterの使いにくい部分はControlPersistで解決できる - このブログはURLが変更になりました
OpenSSHには1本のコネクションで複数のSSHセッションを束ねて使える機能があります。例えば、~/.ssh/configに Host example.com ControlMaster auto ControlPath ~/.ssh/mux-%r@%h:%pと設定しておくと、最初に接続したsshセッションのコネクション(マスターコネクション)を使いまわし、複数のSSHセッションをマスターコネクションに束ねることができます*1。 主なメリットは以下のとおり。 TCPセッションは1つなのでTCPの同時接続数が制限されているサーバでも複数sshが可能*2 コネクションを使いまわした場合、接続にかかる時間が短い(ssh経由で複数回に分けてコマンド投入とかで時間短縮) コネクションを使いまわした場合、パスワード入力やパスフレーズ入力が不要*3 ですが、ControlMasterとControlP
sshを使いこなすための7つの設定 - 射撃しつつ前転 改
五月病が抜け切らないIT系新入社員に贈るシリーズ第1段。 ~/.ssh/configにはいろいろな設定が書けるが、周囲を見渡した限り、あまり活用されているようには見受けられない。そこで、今回は便利な設定をいくつか集めてみた。 長いホスト名に短い名前をつける Host exp1 HostName verrrryyy.looooong.hostname.example.jp ssh verrrryyy.looooong.hostname.example.jpの代わりにssh exp1でログインできるようになる。 ちなみに、zshの場合、configファイルに登録されたホスト名はsshコマンドを打つときに補完されるので更に便利。 特定のホストへログインするときのユーザ名や鍵をカスタマイズする Host github.com User tkng IdentityFile ~/.ssh/id_rsa
sshで指定したコマンドしか実行できない公開鍵を作る - 技術メモ帳
自動バックアップ処理をさせたいが シェル権限を与えたくないときとかに使える技。 やり方は簡単で $HOME/.ssh/authorized_keys の "コマンドを制限したい公開鍵" の行の先頭に 実行させたいコマンドを記述すればよい。 そのときのフォーマットはだいたい以下のようになる。 command="実行させたいコマンド",sshのオプションをカンマ区切りで書く command=hoge というのを付け足すことによって その公開鍵でアクセスがあったときに 指定したコマンドを実行させることができる。 たとえば、uptime を実行させたいときは、 以下のようにすればよい。 command="uptime",no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding ssh-rsa AAAABbBFERTWER....
大容量ファイルのSCP転送を高速にする方法 - 元RX-7乗りの適当な日々
比較的大きいサイズのファイルをSCPで転送することがあって、できるだけ高速化してみたかったので、色々試してみたメモ。 scpというかsshには、暗号化方式と圧縮有無の指定があるので、それらのベンチマークを。 尚、以下は、SSH v2が対象です。v1はかなり遅かったのと、そもそも使っていないので試していません。 (追記: 2019/11) 本エントリの情報は既に古いため、以下のエントリにて再検証しています。あわせてご覧くださいませ。 ベンチマークで利用した環境 [Server1] <=> [Gigabit Switching Hub] <=> [Server2] Server1 (HP ML115 G5) AMD Phenom 9950, 8GB, RAMディスク使用, Gigabit Ethernet Server2 (HP ML115 G1) AMD Opteron 1210, 4GB,
白山大棋牌_爱上棋牌app_棋牌挂通用激活码_老铁棋牌怎么可以赢钱_人民棋牌河北逸趣麻将
就算是骨灰级的牌粉偶尔也会不知道那么一两个牌绩卓越的玩家,或者忽略某玩家突然之间在绰号两端加上了自己的真实姓名,最近就有这么一号牌绩超群...
Firefoxからsshのダイナミック転送を使って非公開サーバへアクセスする - 射撃しつつ前転 改
sshにはダイナミック転送という機能がある。この機能を使うと、sshはアプリケーション側にはSOCKSプロクシとして振る舞うが、そこからsshの接続先までは暗号化された状態で通信が行われる。 これだけだと通常のトンネリングとどう違うのかよくわからないかもしれないが、ダイナミック転送の場合は転送ポートを指定する必要がない。ここがダイナミックと表現される所以だろう。 例えば、オフィスAにある開発サーバdev1にオフィス外からアクセスしたいとする。しかし、dev1はオフィス外には公開されておらず、踏み台サーバladd1を経由してしかアクセスするしかない。ladd1はsshのみが動いており、これまではsshのトンネリング機能を使ってアクセスしてきたのだが、ウェブアプリケーションをデバッグする際はいちいちウェブアプリケーションのポート毎にトンネルを掘るのが面倒くさい。オフィスに限らずデータセンターへ
続・$HOME/.ssh/configを活用していますか? — ディノオープンラボラトリ
以前の記事「$HOME/.ssh/configを活用していますか?」では、設定ファイルを少し頑張って書けば普段のSSHライフが随分変わりますよ、と紹介しました。今日はその続編です。前回よりマニアックな設定を紹介します。 2段以上先のサーバにログインする Dynamic Forward機能を使う 共通設定をまとめて書く 2段以上先のサーバにログインする 目的のサーバにログインするために、踏み台的なサーバを経由しないと入れない環境があります。例えば、dmz経由でないとDBサーバにログインできない環境、というのは良くある構成でしょう。 このような場合に、ProxyCommandパラメータが利用できます。 上の設定で「ssh db1」とすると、sshでdmzに接続し、dmzから192.168.0.201へログインします。これを利用するには踏み台サーバにncコマンドが必要ですが、大抵の環境にインスト
SSHホストベース認証
自宅内のサーバ間はホストベース認証にしてみました。 正直、ここに書いてあることを読むより About SSHのHostbased 認証 Hostbased Authentication を見ていただいたほうがよっぽどわかりやすく、かつ有益だと思います。 環境 サーバ(接続先) : server.example.jp クライアント(接続元) : client.example.jp 上記ホストは/etc/hostsもしくはDNSに登録済みで正引き逆引きともに名前解決可能であることとします。 サーバでの準備 /etc/ssh/sshd_configの設定変更 Protocol 2のみ使用することにしてますので以下の設定を加えます。Protocol 1も使う場合は別の設定が必要ですが、今更使うことは推奨されませんので割愛します。 ホストベース認証を有効にします。 HostbasedAuthenti
デリヘル使いたいなぁ・・・
デリヘル使いたいなぁ・・・ お金に余裕があると、どうしてもデリヘルを使いたくなりませんか?僕はなっちゃうんですよね・・・でも頻繁に通っちゃうと、お金がすぐ無くなってしまうので、このサイトに載せている体験談で我慢しているんですよ! 俺好みの新人がいて・・・ 俺の友達のデリヘル嬢は最近めっちゃ稼いでるらしくて俺にも分けてくれって感じです。デリヘルやっぱりお金が儲かるからそりゃあ続けるって言ってますが人気が出たらすごいらしいんですよね。俺もそういう風に応援したくなるというか指名したくなる風俗嬢はいますよ。あの子は新人の頃からまあ好きで俺は最初は新人はあんまりと思ってたんですが意外とプレイも頑張ってくれて俺に対して色々と気を遣ってくれるところがよくて俺はもっとたくさん話をしたいとは思いました。なにせめっちゃきれいな風俗嬢なんで会うたびにかわいくなってくんですよね。でも俺としてはすっぴんの方が好きな
shd-tcp-toolsを用いたポートフォワーディング、ロードバランシング、レートリミティングの実装 | OSDN Magazine
本稿で紹介するshd-tcp-toolsは、ポートフォワーディング(ポート転送)、ロードバランシング(負荷分散)、レートリミティング(転送速度制限)をTCP接続に施すためのツール群をまとめたものである。これが役立つのは、SSHサービスを提供したいが長時間に及ぶ単一のSCPオペレーションがサーバのインターネット接続を食い尽くしてしまわないよう、各ユーザが利用できる帯域幅に制限を設けておきたいという場合だ。 確かにポートフォワーディング機能はSSH自身にも用意されているが、これにshd-tcp-toolsを併用することで、ポート転送に対するレートリミティングが可能となる。ただしshd-tcp-toolsはTCPレベルで動作し、認証および暗号化に関する有効な機能を有していないため、SSHのポートフォワーディング機能をshd-tcp-toolsにて置き換えられるという訳ではない。つまりSSHとsh
KVMスイッチに替わるソフトウェア「x2x」
1組のキーボードとマウスで目の前の複数のマシンの複数のディスプレイに手軽にアクセスしたいなら、KVMスイッチを購入せずともx2xを使えば十分に目的は達せられる。 仮想化の風潮に乗った人は別として、おそらく自宅かオフィスには(複数のOSを利用する場合は特に)複数のコンピュータがあり、デスク上には1組以上のキーボードとマウスがあるはずだ。KVMスイッチを買わずにデスクのスペースを空けたい場合、解決策の1つはx2xである。簡単に言うと、x2xはTCP/IPネットワーク経由でディスプレイを走らせるX Window Systemの機能を利用する。この状況は、ディスプレイを走らせるというより、むしろ別のディスプレイのマウスとキーボードを動かす、というのに近い。 x2xは、リモートXサーバに直接接続するか、SSHを経由して実行できる。後者は簡単で安全だ。一方、直接接続する方法はやや難しい。Xシステムの設
rsync + cron + ssh (rsyncd を立てない編)
目的と環境条件 このテキストでは、 rsync を使ったリモートバックアップ(遠隔バックアッ プ)の方法、特に ssh と cron を利用して、暗号化された経路を経由しての バックアップを自動的に行うための手順を示します。 ここで ssh の認証には、パスフレーズを空にし、かつ実行できるコマンドを 限定した ssh 鍵ペアを作成し使用します。これにより、 ssh-agent や eychain を利用する方法、ホストベース認証を利用する方法よりも安全なバッ クアップ体制が整えられる……はずです。 なお、このドキュメントの内容の正確さについては無保証です。なんせ、備忘 録みたいなものですので……。また、このドキュメントに書かれていることを 実行した結果直接的および間接的に発生した損害について、私(佐藤裕介)は 何ら責任を負いかねます。 用語の説明 ローカルホスト、ローカルマシン、ローカル
実用SSH 第2版
Unix系OSだけでなくWindowsやMacintoshなど他のさまざまなOSでも利用可能なSSHは、セキュアなネットワーク接続に不可欠なソフトウェアです。本書では、SSHの導入および基本的な使い方からネットワーク環境に依存する高度な設定や使い方まで、OpenSSHとTectiaをベースにSSHが持つすべての機能を網羅的に解説します。ホームユーザから大規模ネットワークの管理者まで、セキュアなネットワーク接続を望むすべての人にとって本書は大いに役立つでしょう。SSH-2プロトコル対応。 監訳者によるサポートページ サンプルPDF(まえがき、350KB) サンプルPDF(3章--抜粋--、350KB) サンプルPDF(12章--抜粋--、300KB) サンプルPDF(付録G、300KB) 監訳者まえがき まえがき―― ようこそSSHの世界へ! 1章 SSHへの招待 1.1 SSHとは何か?
Altair☆'s 三日坊主 blog:SSHへの辞書攻撃回避スクリプト - livedoor Blog(ブログ)
最近、sshのポートに様々なユーザIDを試して侵入しようとするアクセスがうざい。 辞書のならびが何種類かあるらしく、なかには日本のサイトを攻撃するために特化した版も。satoh、tanaka、itohなどのユーザIDのアクセス失敗のログが残っている日もあった。 そんなんで、正しいユーザIDに一発で入れないアクセスを排除するスクリプトを書いてみた。要するに一発めに失敗したら、即座にiptablesでブロックしちゃう仕掛け。 1 #!/bin/sh 2 d='[0-9]\{1,3\}'; d="$d\.$d\.$d\.$d" 3 4 tail --follow=name /var/log/auth.log \ 5 |sed -ne'/sshd\[.*\]: /!d 6 /POSSIBLE BREAKIN ATTEMPT!/bx 7 /Did not receive identification
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
VMWare ESXi で SSH を有効にする - ふなWiki
http://www.typemiss.net/blog/kounoike/20061019-100