Ubuntu で OpenSSH の鍵管理を gpg-agent に委譲する【たぶん決定版】
OpenSSH では ssh-agent を GnuPG の gpg-agent に置き換えることで鍵の管理を GnuPG 側に委譲できる。ちなみに gpg-agent は GnuPG 秘密鍵管理の中核コンポーネントで,自身はパスフレーズを一定期間キャッシュすることでユーザの鍵操作を省力化できる(秘密鍵そのものはキャッシュしない)。また,リモートの gpg-agent 同士の連携も可能である。 ただし Ubuntu を含む Debian 系ディストリビューションでは OpenSSH の鍵管理に ssh-agent を使うことを前提に構成されているため, gpg-agent に置き換えるにはいくつかの設定変更が必要なようだ。この記事では,その設定変更について簡単にまとめておく[1]。 Ubuntu 設定の変更 gpg-agent サービスの確認 まずは gpg-agent がサービスとして稼
ssh をiptablesで国内限定にする(日本国外のIPから規制する) - それマグで!
グローバルIPでssh を有効にしたらスキャンがいっぱい来る 別に、実害は無いんだけど、ちょっと気持ち悪いよね。 1時間で1000近いログが溜まるんですね。 ポート22のsshはすげぇアクセス来るんだよね。 ISP側である程度のフィルタをされているはずなんだけど。それでもコレくらい来る。 Dec 21 15:02:13 raspi3 sshd[3524]: Received disconnect from 115.238.245.2 port 33445:11: [preauth] Dec 21 15:02:13 raspi3 sshd[3524]: Disconnected from 115.238.245.2 port 33445 [preauth] Dec 21 15:03:49 raspi3 sshd[3532]: Received disconnect from 115.238.
Deep Securityで不正なSSH接続を検知してみた | DevelopersIO
はじめに Trend Micro Deep Securityのセキュリティログ監視モジュールを使って、不正なSSH接続を検知してみました。 Deep Securityには、OSSECのセキュリティログ監視エンジンが統合されています。 存在しないユーザーでの接続と、存在するユーザーで誤ったキーペアを指定する接続の2パターンを試してみました。 前者は標準の監視ルールセットで検知しました。 後者はカスタムルールで検知しました。 セキュリティログ監視の有効化 EC2にDeep Security Agentをインストールします。 手順はこちらをご覧ください。 セキュリティログ監視を有効化します。 コンピュータエディタまたは、ポリシーエディタを開きます。 セキュリティログ監視 > 一般 を選択し、有効化します。 コンピュータエディタを開きます。 セキュリティログ監視 > 一般 を選択し、推奨設定を検索
sshrcで環境を汚さずにサーバの .bashrc .tmux.conf .vimrc 等をカスタマイズする | Weboo! Returns.
複数人で管理している本番サーバの環境をオレオレカスタマイズしてる人はいないと思うが、デフォルトのままだと使いにくいので、ぎりぎり許せる最大公約数的な設定をしているという管理者は多いのではないだろうか。 それでも、tmux や screen のプリフィックスは人によって通常使っているキーが違ったりして、これが異なるだけで非常に使いにくかったりする。自分はログインする度に以下のようなコマンドを打ちこんでいた。実に面倒くさい。 $ tmux set-option -g prefix C-t この件についてtwitterで聞いてみたところ、皆さんサーバ上に個人用の設定ファイルを用意して、ログイン時にそれを読み込んだりしているようだった。 で、これを何とかしようと思って少し調べてみた結果、以下の sshrc を使うのが便利という結論に至った。 https://github.com/Russell91
近頃の開発環境 : Mosh、z、tmux、Emacs、Perl について - naoyaのはてなダイアリー
昨日は年始の挨拶ついでに ELPA について脈絡もなく突然書きましたが、引き続き近頃の開発環境についてもだらだらと書いてみよう。 Mosh mosh というと一部の人間はひげなんとかさんが開発しているモナー的なあれを思い浮かべるかもしれないがそうではなく、mobile shell のことである。 思い切り簡略化して言うと「快適なssh」。回線が不安定な所でもエコー遅延など全く気にせず使えるし、Mac をスリープさせて復帰させたときもリモートホストにそのまま繋がりっぱなしのように見せかけてくれたりする。 詳しくはこの辺を。 mosh: MITからモバイル時代のSSH代替品 - karasuyamatenguの日記 インストールはリモートとローカル両方に必要ですが、まあ大概パッケージがあると思います。EC2 の Amazon Linux でも yum レポジトリの EPEL を有効にすれば y
scpとrsyncの所作の違い。気をつけるところ - さよならインターネット
scpでダサい作業していたら、riywoさんのポストを見つけて質問してみた。 そしてscpをパラレルにしてしまったのが判断ミスだったなー。けど検証する為には時間なかったから仕方ないな 2012-07-27 18:36:17 via YoruFukurou scp使わない派 2012-07-27 18:36:40 via YoruFukurou @riywo お、何使う派ですか? 2012-07-27 18:38:13 via YoruFukurou to @riywo @kenjiskywalker rsyncですね。scpはアトミックに更新できないので。 2012-07-27 18:38:31 via YoruFukurou to @kenjiskywalker 複数のファイルとかはrsync使うけど ギガバイトくらすの大きいファイルはscpで使い分けてた。 あれ、何で使い分けてるんだっ
【さくらのVPS+Debian】SSHへのブルートフォースアタックが激しいのでiptablesも使ってみた / Devslog
以前、 SSHへのブルートフォースアタック対策でdenyhostを入れましたが、denyhostが走るまでの間アタックされ続けるのが気になるので、iptablesを使ってブロックしてみます。 方法SSH(22)への接続が60秒以内で5回以上の場合に10分間接続を制限する設定は下の様な感じで登録します。 #接続制限フラグ立て $iptables -N SSHAttacker $iptables -A SSHAttacker -m recent --set --name attacker -j LOG --log-level warn --log-prefix 'SSHAttaker:' $iptables -A SSHAttacker -j DROP #接続制限されている場合は10分間接続拒否 $iptables -A INPUT -p tcp --dport 22 -m state --s
~/.ssh/config で簡単に複数ホストへのSSH接続を管理する - すぱぶらの日記
ssh で鍵やユーザ名を複数のホストで使い分けないといけない場合、それら設定を覚えておくのは面倒です。 それらホスト毎の設定は ~/.ssh/config で簡単に管理することができます。 複数の鍵を管理する場合 identity, id_rsa などのファイル名で保存しますが、これでは複数の鍵を置くことができないので、 test.org の場合、「id_rsa.test.org」 hoge.in の場合、「id_rsa.hoge.in」 など、ホスト名や用途名の prefix, suffix を付けて管理しています。 どの鍵をどのような用途で利用しているのかが分かればファイル名は何でも構いません。 ~/.ssh/configを記述する Host test.org HostName test.org IdentityFile ~/.ssh/id_rsa.test.org User test
第127回 ターミナルマルチプレクサ tmuxを使ってみよう | gihyo.jp
端末で作業をするなら、特にsshなどでネットワーク後しに作業を行うなら、仮想端末管理ソフトウェアであるGNU Screenは必須といってよいでしょう。Ubuntu 10.04であれば、GNU Screenをさらに便利に使うためのアプリケーション「byobu」が最初から導入されているので、こちらを使っているユーザも多いと思います(byobuについては本連載72回参照、注1)。 今週のレシピは、GNU Screenと同じ仮想端末管理ソフトウェアである「tmux」ターミナルマルチプレクサを紹介します。 GNU Screenの利点とは GNU Screenの利点を簡単におさらいしておきましょう。GNU Screenには多くの機能がありますが、筆者が主に使っているのは以下のような機能です。 GUIのタブ機能のように、複数の端末を起動して切り替えられる 端末を画面分割して使うことができる 端末上で
rsync + ssh でミラーリング - 発声練習
Unix系マシン2台をsshとrsyncを使ってミラーリングする。 ミラーリング対象のマシンをtarget、ファイルを保存するマシンをmirrorとする。 targetとmirrorには、user1というユーザーが存在するとする。 準備:鍵ログインの準備 mirror側でパスフレーズなしの鍵を作成する。既存の公開鍵ペアを上書きしないようにid_rsa_for_backupという名前にしておく。 % ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/user1/.ssh/id_rsa): /home/user1/.ssh/id_rsa_for_backup と入力し「Enter」を押す Enter passphrase (empty for
ウノウラボ Unoh Labs: 快適なsshクライアント生活
はじめまして、HIROKIです。 大規模コンテンツの開発に携わっていると数多くのサーバにsshでログインすることになります。その手間を軽減するために $HOME/.ssh/config を設定してみます。 sshコマンドを簡略化 例えば dev01.labs.unoh.netというサーバにsshでログインするのであれば、 $ ssh -i ~/.ssh/id_rsa.unoh hiroki@dev01.labs.unoh.net という感じのコマンドでログインしているかと思います。 これを $ ssh dev01 でログインできるように設定してみましょう。 Host dev01 User hiroki HostName dev01.labs.unoh.net IdentityFile ~/.ssh/id_rsa.unoh 秘密鍵を複数使いわけている人はIdentityFileを指定すると便
PukiWiki 【FrontPage】
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
rsyncで圧縮転送したいけどpigzみたいに並列にならなくて困る - なんかかきたい
tmate • Instant terminal sharing
時代が求めたSTNSと僕
Linux sshを使ったポートフォワード - rinn@wiki