ProxyJumpでhostnameを解決しながら踏み台サーバーをジャンプ - Qiita
なにこれ 最近こんな案件に当たりました サーバーの種類がかなりの台数ある上に、踏み台経由じゃないとアクセスできない 認証鍵もポートもユーザー名も全部バラバラ 踏み台サーバーは定期的に再生成されIPがたまに変わる ・・・お堅い仕事は結構ですが、とにかくサーバーあたりの情報指定が多くssh/confignが汚染されるのが嫌なので、別ファイルを使ってsshを叩けるようにしたい!と思ったのですが、適当にProxyCommand書いてもssh: Could not resolve hostnameが出て詰まったので調査がてら勉強しなおしました。 sshの基本についてもついでに書くので、本題にしか興味がない人は本題まで飛ばしてください。 最近忙しすぎて年単位で記事書けてなかった&保守もできてなかったので、記事を書くリハビリを兼ねます sshでサーバーにアクセス 単純にsshコマンドでアクセスする まず
Mac OS X以降のssh-agent事情 - Qiita
ssh についてもう少し詳しくなろうと色々と調べたり手を動かしたりと勉強する中で、ssh-agent の Mac での扱い方、挙動に数日悩んだので調べてみました。 ssh-agent とは ssh-agent is a program to hold private keys used for public key authentication (RSA, DSA, ECDSA, Ed25519). ssh-agentは、公開鍵認証(RSA、DSA、ECDSA、Ed25519)に使用される秘密鍵を保持するプログラムです。 The agent initially does not have any private keys.Keys are added using ssh(1) (see AddKeysToAgent in ssh_config(5) for details) or ssh-
Macだけで認証鍵のppkをpemに変換してターミナルでssh接続を可能にする | ふたえごのWEBテクニックブログ
制作会社によっては、サーバへの鍵をppkを使っているところがあると思います。 ただし、Macのパソコンだとターミナルに限らずppkを使ったssh接続に対応していないソフトがあると思います。 (筆者が好きなYummyもpemは対応しているが、ppkには対応していませんでした) なのでppkをpemへ変換する方法をご紹介。 必要な環境 ・HomebrewがインストールされているMac ・puttyがインストールされているMac 両方ともすでにインストールされている方は、やり方へどうぞ インストールがされていない方は以下の方法でインストールを行います。 インストール自体は2分もあれば終わると思います。 Homebrewのインストール まずはターミナルを起動します。 起動が完了したら 1.以下のコマンドを実行 ruby -e "$(curl -fsSL https://raw.githubuser
ngrokよりserveoがすごい。0秒で localhostを固定URLで公開 - Qiita
注意 serveoがサービス停止中です。 みんな大好きcloud functionには欠点があります。 それは、実際にコードをデプロイしないと、httpsで公開できないこと。 そのため、slackのコマンドを作ったり、ラズベリーパイとかを開発するのに不便だったりします。 以前私はngrokというcliアプリを使っていました。 とても使いやすく、ユーザー登録+ngrokのインストール+セットアップだけで使い始めることができます。 お金を払えば固定URLもゲットできます。 しかし、今回もっと良いものを見つけたので紹介します。 serveoです。 なんとこのserveoインストールもセットアップも不要です。 ターミナルで、以下のように ssh -R 80:localhost:3000 serveo.net と打つだけで自分のPCのlocalhost:3000を、固定URLでhttpsとして公開し
sshの鍵を作るときにちょっとだけ気にしたいこと | DevelopersIO
こんにちは、臼田です。 AWSでEC2と接続するためのsshの鍵の生成は、基本AWS側で行なってくれますが、ec2-user以外のユーザで別の鍵を利用したり、AWS以外でもGithub等のサービスに利用したりする際には自分でsshの鍵を作成すると思います。 本当にちょっとしたことですが、ssh-keygenで鍵を生成する際に気にしたいことを書きます。 普通に作ってみる ssh-keygenコマンドは対話式で鍵を生成することができます。 具体的には、下記のような動作になります。 $ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/Users/username/.ssh/id_rsa): /Users/username/.ssh/test Enter passphr
踏み台サーバ経由のSSHセッションを記録する方法 | DevelopersIO
こんにちは。大阪の市田です。 今回は、下記のブログの内容を元に、踏み台サーバ経由のSSHセッションを記録する方法をご紹介します。 How to Record SSH Sessions Established Through a Bastion Host | AWS Security Blog 尚、踏み台サーバはAmazon Linuxを想定しています。 ポイント この記事のポイントは下記です。 OpenSSHの設定の修正 scriptコマンドの利用 踏み台サーバユーザの権限制限 ログファイルのS3保管 S3による踏み台サーバユーザの自動管理 SSHのエージェントフォワード利用 CloudFormationで環境構築 それでは順に説明していきたいと思います。 構成 想定の構成は下記の通りです。 ログファイルのディレクトリ作成 まずは、踏み台サーバにログの保存ディレクトリを作成し、アクセス制限
何でもSSHでやってしまいませんか? | POSTD
私はかつて、 ssh-chat というプログラムを書きました。 ssh http://t.co/E7Ilc0B0BC pic.twitter.com/CqYBR1WYO4 — Andrey ???? Petrov (@shazow) December 13, 2014 アイデアは単純なもので、ターミナルを開いてこのようにタイプするだけのことです。 $ ssh chat.shazow.net たいていの人はこの後に続けてlsコマンドをタイプするのでしょうが、ちょっと待って。よく見てください。そこにあるのはシェルではなく、なんとチャットルームですよ! 詳しいことはわからないけど、何かすごいことが起こっているようですね。 SSHはユーザー名を認識する sshでサーバーに接続するときに、sshクライアントはいくつかの環境変数をサーバーへの入力として渡します。その中のひとつが環境変数$USERです。
フリーエンジニアのIT案件ならレバテックフリーランス
情報漏えいは他人事ではなく、今この瞬間にも自分のサイトやクライアントのサイトがクラッカーのターゲットになっているかもしれません。 「SSHという言葉は聞いたことあるけれど…」という方のために、SSHの基礎、設定・Tipを解説している記事を12個ご紹介します。 安全にネットワークを使用するには今や通信の暗号化は必須となっているので、この機会にSSHを本格的に学び始めてはいかがでしょう。 インフラエンジニア案件を提案してもらう SSHの基礎解説 インフラエンジニアじゃなくても押さえておきたいSSHの基礎知識 / Qiita http://qiita.com/tag1216/items/5d06bad7468f731f590e SSHを使う上で知っておきたい基本知識を解説している記事です。 エンジニアではないけれどSSHを学びたいという方に向けた記事になっているので、SSHを学習してみようかなと
fail2banしてやる! – CLARA ONLINE techblog
お疲れ様です。國分です。 勉強会準備でいっぱいいっぱいですのが、 「今週のブログは……?」という編集さんからの催促は クララオンラインの監視サービスのように規則正しく行われます。 ポート監視は大切ですので、皆さま、監視サービスをご利用ください。 では今回は、そんな ストレスフルな環境に有効なストレス解消法をお伝えしたいと思います。 今回の記事の目次 fail2banストレス解消法 公開サーバが狙われるとこうなる fail2banとは fail2banを設定してみる fail2ban設定結果 fail2ban ストレス解消法 後回しにしてきた仕事を地道こなしていると、 差出人:nyaowncloud_Fails2Banから、こんなメールを受信します。 …………引っ掛かってる、引っ掛かってる 😆 このメールを受信するたびに、にやりとしています。 このメールが何かというと、 私が検証用に設置し
fail2banをインストールしてサーバへの不正攻撃を防ぐ - 本日も乙
VPSなどサーバを外部に公開していると、様々な攻撃を受ける可能性があります。例えば、パスワードを総当りで入力してSSHログインしようとするブルートフォース攻撃などが代表的です。 以前、公開した公開鍵認証でSSH接続する方法に変更していれば秘密鍵を盗まれない限り、サーバにSSH接続することができませんが、攻撃をただただ受けるのは嫌なのでfail2banをインストールして対策しましょう。 fail2banのバージョンは0.8.11-2.el6 です。 0.8.11 より古いバージョンは脆弱性があるとのことなので、古いバージョンをインストールしている人はアップデートしてください。 fail2banのインストール epelパッケージをインストール $ sudo rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-rel
Dockerでホストを乗っ取られた - Qiita
注意 本件記事ですが、私の不適切な行動(拾ったスクリプトを検証なく走らせる)が原因です。「dockerは(特に何もしなくとも)危険」との誤解を皆様に与えた点、ご迷惑をおかけいたしました。申し訳ございません。 拡散されている記事を削除するのはさらなる誤解を招きかねないと思いましたので、冒頭に注意を付記しております。以下の記事は、「自分が何してるかをきちんと検証できないとセキュリティホールを生み出す」という意味で参考にして頂ければ幸いです。 追記 Twitterやはてブで言及いただきました皆様、ありがとうございます。 本件はpullしてきたイメージが悪意ある開発者によるものかどうかにかぎらず、不適切な設定をしていると起こり得ます。 ※コメント欄に質問への回答という形で、私がそのときに走らせていたイメージの一覧を挙げておりますが、どのイメージも評判あるものだと思います。 皆様におかれましては「あ
5分で終わらせるCentOS7のfirewalld設定
# 有効な設定を確認 >>> firewall-cmd --list-services --zone=public --permanent dhcpv6-client # 設定追加(sshとmysqlを追加) firewall-cmd --add-service=ssh --zone=public --permanent firewall-cmd --add-service=mysql --zone=public --permanent # 設定削除(sshを削除) firewall-cmd --remove-service=ssh --zone=public --permanent # 設定一覧を表示 ls -lta /usr/lib/firewalld/services/ # 各設定毎の内容確認 cat /usr/lib/firewalld/services/ssh.xml # 設定を
最強のSSH踏み台設定 - Qiita
追記:openssh-7.3 以降なら ProxyJump や -J が使えます ホスト名を + で繋げることで多段Proxy接続も簡単に、がコンセプトだった本エントリの設定ですが、OpenSSH 7.3 から ProxyJump という設定が使えるようになったので、使えるなら ProxyJump を使う方が健全だし柔軟で使い勝手も良いのでそちらを覚えて帰ることをオススメします。 使い方は簡単で以下のような感じです。多段も行けるし、踏み台ホスト毎にユーザ名やポート番号を変えることも出来ます。 # 1. bastion.example.jp -> internal.example.jp ssh -J bastion.example.jp internal.example.jp # 2. bastion.example.jp -> internal.example.jp -> super-de
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
PuTTY で鍵交換方式による SSH 接続
1. はじめに KUINS ニュース No.45 で,暗号技術を用いた安全な通信方式の SSH(Secure SHell) を用いて接続ができる Windowsマシンに対応した SSHクライアントプログラムで端末エミュレータの機能を持つ PuTTY の利用方法について紹介しました. その中では,パスワードを用いたユーザ認証によってSSH接続を実現する 設定について記載しましたが,ユーザ認証としてパスワードを利用すると, UNIXで用いるパスワードは8文字しか有効でないことが多いため,総当り攻撃や辞書攻撃などに弱く,容易にパスワードを破られる 接続しようとするサーバを偽って、偽のSSHサーバに接続させられてしまうことにより,パスワードを盗まれる などによって,パスワードが第三者によって利用されてしまう「なりすまし」の 危険性を回避することはできません. そのため,SSHではパスワード認
SSHの認証でワンタイムパスワードを使う(導入編) - 雑記帳(2014-09-12)
■ [Linux] SSHの認証でワンタイムパスワードを使う(導入編) 最近、様々なサービスでRFC 4226とRFC 6238で定義されているワンタイムパスワードが利用されるようになってきている。このワンタイムパスワードを、SSHでLinuxにログインする際に使えるということを知ったので、試したみた。対応しているOpenSSHは、6.2以降となる。 参考 OpenSSH 6.2 adds support for two-factor authentication なお、今回はAmazon Linux 2014.03を対象とする。 Google Authenticatorをインストールする Google Authenticatorは、PAMモジュールとして使えるものが提供されているので、そちらをインストールする。Amazon Linuxの場合は、なんとパッケージが用意されているので、yum
多段SSHの設定を.ssh/configにまとめる - Qiita
概要 踏み台サーバを経由した多段SSHの設定をconfigにまとめる方法 接続するマシンは、WANやゲートウェイ内のネットワークのいずれにも属する可能性があると想定(ノートPC等) ネットワーク図 図のようにゲートウェイ経由でしかアクセスできないネットワーク内にさらにゲートウェイがあるネットワークを想定 単純な多段SSHの書き方 host gateway HostName sshgate.hoge User hoge Host RemoteHost-out HostName RemoteHost User fuga ProxyCommand ssh -W %h:%p gateway 上記の設定を~/.ssh/configに書いた後、 ssh RemoteHost-out でgateway経由でのアクセスが可能 複数に同時に設定を適応する場合 .ssh/configには複数の設定をワイルドカ
定番SSHクライアント「Google Chrome」
はじめに こんにちは。KMC2回生のtyageです。 京都もほんとに寒くなってきて鍋が捗りますね。簡単だし美味しいあったまるし、最高ですね。 この記事はKMCアドベントカレンダー2013の17日目の記事で、 昨日は1回生のnona65537君によるSSH の二段階認証についてでした。 今日はGoogle ChromeというSSHクライアントの紹介なのですが、12日間続いたKMCアドベントカレンダーのサブプロジェクトであるSSHアドベントカレンダーもこれで最後になります。 最後がこれでいいのか?とも思うのですが、今までの内容がハードだったという方に向けて優しい内容となっておりますので、安心して御覧ください。 定番SSHクライアント「Google Chrome」 Google Chrome(もしくはChromium)と聞いて「あっ、SSHクライアントのことか!」と思われた方には少し物足りないか
ssh接続先の文字コードが接続元と違うときの対処法 - 文字っぽいの。
問題 自分の環境:UTF-8 SSH接続先:EUC-JP とかよくありますね。 $ export LANG=eucJP とか $ export LANG=ja_JP.UTF-8 してあげてもいいんですが、わざわざやるのも面倒ですし、「ログイン先とこっちのどっちで設定するといいんだ?」みたいに悩みます。 解決法 cocotというツールを使います。 $ brew install cocot でインストール終わり。後は $ cocot -t UTF-8 -p EUC-JP ssh tarou@example.com とすると、手元のUTF-8環境に合わせて向こう側のEUC-JPをコンバートしてくれます。 参考 Ubuntu日本語フォーラム / GNOMEの文字コードを常にEUC-JPにする方法
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSHに重大バグ
