SFTPしたときの転送ログ(xferlog)を記録するための設定は、どうすれば良いでしょうか?…SFTPしたときの転送ログ(xferlog)を記録するための設定は、どうすれば良いでしょうか? RH系(9.0/ES3/4)、OpenSSH_3.5p1以降です。
Index of /software/ajaxterm/
../ files/ 13-Nov-2008 16:55 - HEADER.html 28-Feb-2011 02:26 5203 scr.png 31-Mar-2006 19:52 65082
Firefoxからsshのダイナミック転送を使って非公開サーバへアクセスする - 射撃しつつ前転 改
sshにはダイナミック転送という機能がある。この機能を使うと、sshはアプリケーション側にはSOCKSプロクシとして振る舞うが、そこからsshの接続先までは暗号化された状態で通信が行われる。 これだけだと通常のトンネリングとどう違うのかよくわからないかもしれないが、ダイナミック転送の場合は転送ポートを指定する必要がない。ここがダイナミックと表現される所以だろう。 例えば、オフィスAにある開発サーバdev1にオフィス外からアクセスしたいとする。しかし、dev1はオフィス外には公開されておらず、踏み台サーバladd1を経由してしかアクセスするしかない。ladd1はsshのみが動いており、これまではsshのトンネリング機能を使ってアクセスしてきたのだが、ウェブアプリケーションをデバッグする際はいちいちウェブアプリケーションのポート毎にトンネルを掘るのが面倒くさい。オフィスに限らずデータセンターへ
ncある限りぼくはどこまででもいけるッ! - (ひ)メモ
多段SSHの話。 2008-05-02追記 ncの-w secオプションで、一定時間通信がなければncが終了するようにしました。このオプションを指定しないと、sshコネクションを切った後でもncのプロセスが残留してしまいます。 2010-03-08 OpenSSH 5.4以降のnetcat mode (ssh -W host:port ...) を使えば、ncコマンドは不要かも。 2010-11-08 zshでNo such file or directoryと言われるのは、これが原因かもhttps://bugzilla.mindrot.org/show_bug.cgi?id=1494 正攻法でこたつにアクセスするには下図のようなSSHアクセスを繰り返さなければならない、といった状況があるとする。 uchi ----> otonari otonari ----> genkan genkan
ITmedia エンタープライズ : Linux Tips「SSHピンポンダッシュを防ぎたい」
「/etc/hosts.allow」ファイルなどでアクセス制限などを行っていても、相次ぐアタックに頭を悩ませていないだろうか。syslogにアタックの痕跡が何行も残っていることに、気になっている管理者は多いはずだ。 セキュアシェルソフトの1つ「OpenSSH」を利用している場合には、不正なアタックが立て続けに行われた際、次のように設定することでアクセス元に制限を掛けることができる。 「MaxStartups」には3つの数値が「:」に区切られて記述されており、SSHデーモンへの認証要求数を意味する。 上記の設定例では、「2」つまでの接続要求を受け付け、3つを超えるそれ以降の要求を「80」%の割合で拒否し、さらに要求が増え続けて「5」つを超えると以降すべてを拒否するという意味だ。自分のサーバ環境に応じて数値を変えるとよいだろう。変更後はデーモンを再起動させる必要がある。
LunaTear: sshのロックアカウント
rsa認証用の個人鍵を持ち歩くめどが立ったのでさっくりパスワード認証もチャレンジレスポンス認証も無効にして、ついでにPAM認証も無効にしてみました。 # vi /etc/ssh/sshd_config PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no これで、多少はセキュアになったかなと思っていたんですが、今日ふとリモートマシンがsshを利用したバックアップに失敗している事に気がつきました。 こいつはリモートバックアップ専用アカウントなのでパスワードを設定せず元々rha認証を使ってたんで、なんでかなぁと思いながら早速syslogをのぞいみていると sshd[---]: User hoge not allowed because account is locked ロックアカウントって何?(苦笑) ど
sftpとChrootDirectory - rougeref’s diary
4月9日のエントリで環境を作って、4月10日のエントリで問題を書いた件。 もう一度整理するとこんな感じ。 サーバ側はOpenSSHをつかって、クライアント側はputtyとFileZillaを使って比較的容易にセキュアなftpサーバをたてることができる。 しかしデフォルトのままの設定だと、サーバ上の読み込み権があるファイルが丸見えになる。 SSHでログインされることもある。SFTPアクセスだけに制限したい。 考えられるのはsftpでアクセスしてくるユーザにchrootっぽい制限をかけて、特定のディレクトリ以外のアクセスを許さないこと。tectia(商用ssh)にはユーザ単位にchrootをかける機能があります。OpenSSHも4.8から似たような機能が追加されました。今日はそれを試してみます。 だいたいここの通り。ちょっと間違っているところがあるのでそこは修正しました。 ユーザを作成する 今
phpmyadminをセキュアにアクセスする方法
こんにちは、もじら組組長ことたろちゃんです。 今回はphpmyadminなどの管理系アプリケーションを手軽にセキュアにアクセスする方法を紹介しようと思います。 phpmyadminなどの管理系アプリケーションは便利な反面、セキュリティ上問題になる事があるため、IP制限をかけたりするのですが、アクセス可能なサイトが増えるとIPの管理だけでひと手間かかってしまいます。今回はその手間を省く事を主眼においてアクセス制限をかけてみます。 今回は以下のような条件のサイトを構築したとします。 グローバルIPのあるサーバに対してApache及びMySQLでサイトを構築管理者はSSHを通してサーバをメンテナンスする さて、このサーバに対してphpmyadminを入れたいのですが、どうやってインストールしましょうか? まず、phpmyadmin自体をインストールします。debian系であれば、/var/www
OpenSSH 4.9で、chrootがサポートされたらしい - (ひ)メモ
まだ試してないけど。 New features: Added chroot(2) support for sshd(8), controlled by a new option "ChrootDirectory". Please refer to sshd_config(5) for details, and please use this feature carefully. (bz#177 bz#1352) http://www.openssh.com/txt/release-4.9 あと、これも場合によっては使えそうな変更点。 Accept the PermitRootLogin directive in a sshd_config(5) Match block. Allows for, e.g. permitting root only from the local network
TeraTermで複数のマシンに公開鍵を配る方法 - UNIX的なアレ
用途ごとに分けたターミナルの選び方 - UNIX的なアレ でも書きましたが、複数のサーバーにsshの公開鍵を配るようなときはパスワードを自動入力させるようなスクリプトが便利です。 似たようなことができる言語で、expectがありますが自分はTeraTermマクロを利用するケースが多いです。 そんなときに書いた簡単なTeraTermマクロを紹介します。 sendln 'for i in `cat ~/serverlist` ; do ssh-copy-id $i ; done' :loop wait '(yes/no)?' 'password:' 'Password:' if result=1 sendln 'yes' # (yes/no)? と聞かれたときにyesと入力させる if result=2 sendln '********' # password: と聞かれたときに自分のパスワー
OpenSSH クライアントの proxy -- 踏み台サーバを経由しての ssh : DSAS開発者の部屋
DSAS のメンテナンスは,基本的に ssh を使ったリモートメンテナンスで済んでしまいます.夜中や休日に非常事態が起こったとしても,ネットワーク接続さえ確保できればその場で対応できます.ただ,さすがにインターネットから DSAS に直接 ssh できる様にしておくのは一抹の不安があります.ですので,DSAS への ssh 接続は社内のサーバからのみ許すようにしておいて,外からログインする必要があるときは一旦社内のサーバを経由することにしています. このような形にしている場合,DSAS にログインしようとする際は,一旦社内のサーバに ssh 接続する必要があって,小さなことですが一手間かかってしまいます.できればワンステップで接続できる方法が無いかと思って色々検索してみた(※)ところ,このページで ProxyCommand という設定項目を見つけました(見つけたのがボスの個人サイトなのは本
sshd config
名前 sshd_config - OpenSSH SSH デーモン 設定ファイル 書式 /etc/ssh/sshd_config 説明 sshd は /etc/ssh/sshd_config (あるいはコマンドラインから -f オプションで指定したファイル) から設定を読み込みます。このファイルの各行は ``キーワード 引数'' の形式になっており、空行あるいは `#' で始まる行はコメントとみなされます。 使用できるキーワードとその説明は以下の通りです (キーワードでは大文字小文字は区別されませんが、引数では区別されることに注意してください): AFSTokenPassing (AFS トークンパス) このオプションは AFS トークンがサーバに転送されるかどうか指定します。デフォルトは ``no'' です。 AllowGroups (許可するグループ) このキーワードにはいくつ
sshでSOCKSプロキシ - 技術メモ帳
ssh -D で 疑似SOCKSサーバー になることができる。 というのは、たしか前にも書いた。 それにプラスして、任意のコマンドを SOCKS対応させる tsocks を利用して VPNのようなことをやってみた。 ( tsocksは、先進的なディストリビューションだと デフォルトで入ってるような気がする。) たとえば、 local -> hostA -> hostB と、hostA を必ず経由しなければ到達できない hostB があったとした場合、 これらを利用すると、同じネットワークにいるかのように 任意のアプリケーションを騙すことができるようになるため、 local$ tsocks ssh user@hostB 上記のように、local から直接アクセスできるようになる。 ちなみに、サーバー側に、 ソフトウェアをインストールする必要はない。 この場合で言う、local のみにソフトウ
sshで公開鍵ごとにコマンド制限する際の注意点1 - 技術メモ帳
を書くのを忘れていたので一応書いておく。 command="任意のコマンド" としておくと、任意のコマンドしか実行できない 公開鍵を作れるというのは前に書いたが、 そのときに、$SSH_ORIGINAL_COMMAND という環境変数を利用すれば、 動的に処理を切り分けることが出来る。 以下はその例である。 command="cat $SSH_ORIGINAL_COMMAND" このようにしておけば、 ssh user@remote_host "/var/log/messages" これで、任意のファイルをcatするだけの公開鍵ができる。 …ように思われるが、$SSH_ORIGINAL_COMMAND の部分を うまい具合に調節すれば、悪意あるコマンドを注入することが出来てしまう。 試しに、バッククオート演算子を利用して uptime を実行してみた。 $ ssh user@remote_
SSHポートフォワードでLAN内のサービスを使いたい
SSHクライアント(コマンド)では、任意のポート番号を指定して転送を行う機能が用意されている。簡易的ではあるもののVPNライクな利用が可能になるのだ。 例えば、SSHログインは許可されているが、POP3の110番ポートがグローバルに開かれていない場合、SSHの22番を介して110番ポートのPOP3サービスが利用できるようになる。 具体的な利用方法を挙げよう。次の例は、ログイン先の「mail.example.com」のファイアウォール内で稼働されているPOP3サービスを、ローカルの1045番(任意)に割り当てる指定だ。この際、ローカルのメールソフトではPOP3の標準110番を1045番に変更しておく必要がある。 上記のそれぞれのオプション指定は、次のような意味になっている。 -N ログイン後にポートフォワードを行う。 -f ログイン認証後はバックグラウンドで動作する。パスフレーズ入力後、再度
rsshによるセキュアなファイル転送
サーバに置いたファイルを外部から扱う方法の一つとしてsshがあります。sshの良いところは、秘密鍵を使用した認証(秘密鍵なら絶対安全というわけではありませんが)や単一のポート(22番)でセキュアな通信路を確保できることにありますが、一方でシステムにログインしてシェルでありとあらゆるコマンドが使用できてしまうという問題もあります。基本的に管理者以外はシェルでのアクセスはさせずに、ftpに変わる方法でセキュアなファイル転送をさせたい場合、何らかの対策が必要になります。そのような要求に答えてくれるのが、rsshです。 rssh はホストへの ssh を使ったアクセスの制限を提供する制限付きシェルで、シェルが rssh に設定されたユーザには、scp、sftp、cvs、rdist、rsyncのうち許可されたものしか利用できないようにできます。ここでは、scp と sftp のみを許可するイメージで
SSHjailを用いたjail化によるOpenSSHサーバの保護 | OSDN Magazine
jail(ジェイル)とは、システムのルートディレクトリを仮想的に変更する機構を示す用語である。この機構を利用すると、特定のサービスを分離してファイルシステムへのアクセスを禁止させることができる。 外部からの攻撃に弱いサービスの1つに侵入されると、それを足がかりにシステム全体を不正利用される可能性があるため、セキュリティ的に不備があったり秘匿性の高いネットワークサービスを運用する場合はchrootを用いたjail化を検討すべきだろう。jail化されたサービスに不正侵入されたとしても、そこから盗み出されるのは、侵入者に読み取られても影響のない情報だけに限定しておけるからである。具体的に何をjail化しておけばいいのかというと、それは不正侵入に使われ易いターゲットであり、例えばBIND、Apache、FTP、SSHといったサービスが挙げられる。そして本稿で紹介するのは、OpenSSHデーモンにj
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.openssh.com/txt/cbc.adv
http://www.agroman.net/corkscrew/
http://www.sb.soft.iwate-pu.ac.jp/~yushi/memo/ssh_port_forward.html