入門OpenSSH / 第3章 OpenSSH のしくみ
この章では OpenSSH の簡単なしくみとその動作を説明します。 OpenSSH はクライアント ("ssh" コマンド) と サーバデーモン ("sshd" プログラム) の組み合わせを基本とします。 それぞれ「使う人」と「使われ方」につぎのような差異があります (図 openssh-overview)。 管理者が sshd デーモンをインストールおよび設定し、クライアントのログインを待ち受ける。 一般ユーザが ssh コマンド (クライアント) をつかってログインし、 シェルやファイル転送、ポート転送、VPN などの機能を利用する。 この章では 1. のインストールと設定が完了したあとに、 ユーザが ssh コマンドを使ってログインするまでの基本的な流れを説明します。 一般のユーザが OpenSSH の詳細を理解している必要はありません。 しかし OpenSSH の動きはその原理と大
Capistrano事始め - file-glob こと k.daibaの日記
インストールするまで サーバを沢山管理することになりました.それらのサーバではrubyを使っていたので,rubyベースのdeployツールCapistranoを使ってみる事にしました.Capistranoは2009/2に作者がもうメンテナンスしないぜと宣言したプロダクトです.とはいっても,コミュニティがメンテすることになるだろうから今後も問題ないだろうなと思ってます.それはそれとして,CapistranoをインストールするにはRubyGemsが必要なのでまずはそこからインストールします.RubyGems の使い方 - WebOS Goodiesを見ながらwgetでファイルをダウンロードして, # ruby setup.rb でインストールします.Capistranoは $ sudo gem install capistrano でインストールできます. 秘密鍵の管理 普段色々鍵を使っていて
capistranoでssh_optionsを設定し忘れててはまった話 - でじくる。
主にRailsなんかで使われている capistranoというデプロイツールがあります。 sshで指定したサーバにログインして、 適宜コマンドを実行できるツールですね、 思いっきりぶっちゃけて言うと。 公開鍵認証でログインさせようとした場合、 ssh_optionsを設定して秘密鍵の場所を指定してやる必要があります。 Capistrano事始め http://d.hatena.ne.jp/kdaiba/20090518/p1 直接コマンドを打って動作確認したときは 勝手にデフォルトの~/.ssh/id_rsaが使われてて気づかなかったんですが、 違うプログラムから実行させたときは当然のごとく使用されなかったので ちゃんと動かなかった、という話。
さくらVPS/CentOS 6.4初期状態から鍵認証SSHでの接続まで[Railsサーバへの道]
さくらVPS 2GB SSDのCentOS 6.4をセットアップしてイケているRailsサーバに仕上げるまでのシリーズ企画です。第1回は初期状態からSSHで接続できるようにするまです。一般的にインターネットに公開しているLinuxサーバはいろんな所からアクセスが来やすいので契約したらできるだけ早くこのパートを実施してください。 🏈 SSH認証鍵の作成今回のVPS用にローカルにSSH認証鍵を新規作成する場合は、SSH認証キーをBitbucket/GitHubに設定しよう!の「SSHキーの作成」のセクション を参考にSSHキーを作成。すでにSSHキーをローカルに保持している場合はスキップ。 😸 ユーザー作成ローカルのターミナルを起動してsshでサーバにログイン。 xxx.xxx.xxx.xxxは今回のサーバのIPです。また、パスワードはさくらVPSでは仮登録完了時のメールに記載されています
![さくらVPS/CentOS 6.4初期状態から鍵認証SSHでの接続まで[Railsサーバへの道]](https://cdn-ak-scissors.b.st-hatena.com/image/square/c2ea7e72d0d7f3ba6c237909f321e67ffbdaa24e/height=288;version=1;width=512/https%3A%2F%2Fmorizyun.github.io%2Fimg%2Fog_image.png)
さくらのレンタルサーバでSSH公開鍵認証
サーバについての記事です。 さくらのレンタルサーバを利用するときにターミナルでSSHを使う事が増えたのでメモ。 SSHのプロトコルを使用してサーバと接続を行う時に、パスワード認証と公開鍵認証という二つの認証方式があるようです。 参考ページ パスワード認証 SSH接続を行ったときにログインするときにパスワードを入力して接続する方法です。SSHでデフォルトで使われている認証方式です。接続はtelnetとは異なりパスワードの送信時もパスワードの暗号化をしてセキュアな通信を実現します。 実際に接続すると以下のような認証になります。 $ ssh username@username.sakura.ne.jp username@username.sakura.ne.jp's password:パスワードを入力 Welcome to FreeBSD! RSA認証 公開鍵と私有鍵というキーのペアを作成して公
さくらのVPSで最初にやっておくこと | blog.nomnel.net
※ 基本的にMac(|Linux)のターミナルから作業する場合の手順を書いています. Windowsの場合はsshとscpをどうにかするか, Linuxに乗り換えてください. 契約から起動するまではこちら -> さくらのVPSを契約して起動するまで 設定ファイルの編集に使うviの使い方はこちら -> vi(vim)の最低限の使い方 目次 最初の接続 MacからVPSにssh接続 rootのパスワード変更 とりあえずのセキュリティ対策 sshのポート変更 アプリケーションのアップデート 作業用ユーザの作成 ユーザの作成とパスワードの設定 sudoできるように 鍵認証でのssh接続 Macでrsa認証鍵を生成 公開鍵をVPSに転送 鍵を登録 sshdの設定変更 鍵認証でのssh接続の確認 iptablesの設定 設定ファイル編集 自動起動を有効化 MacからVPSにssh接続 まずはMacから
さくらのレンタルサーバにSSHでログインしてみた - NAT’s Programming Champloo
rubyで作ったCGIを公開したくなったので、さくらのレンタルサーバを使い始めることにしました。今までこの日記で、OS X上のWeb共有でCGIを動かせるようにしていたのは、ローカルでCGIをテストする環境を作るためだったのでした。 ちなみに契約したのは、スタンダードです。 WordPress、EC-CUBE、concrete5等CMSが使えるスタンダードプラン - レンタルサーバーはさくらインターネット スタンダードより上のプランだとSSHでログインできる。私が普段使っているMacBook Pro(OS X)ならSSHが入っているので、さっそく試してみる事にした。 SSHの使い方にはあまり詳しくないので少し調べてみたら、暗号鍵のファイルを作れば、パスワード入力なしの鍵認証でログインできることが分かったので、パスワードなしログインも試してみた。 パスワード認証でログイン まず暗号鍵を作る前
ssh の agent forwarding
エージェント転送を試したのでメモします。素人の想像ですけど、エージェントというのは手元マシンに常駐させるもので、中間のマシンでエージェントを動かす必要はないのだと思います。 アメンボのようにスイスイと滑るようにホスト間を移動することが目標です。 その際、各ホストに存在する Linux ユーザーのパスワードも手元秘密鍵のパスフレーズも入力する必要がありません。 前提 手元の Windows マシンで鍵ペア (秘密鍵と公開鍵) を作成済み。 鍵ペアの片方 (公開鍵) はリモート ホスト複数台すべての ~/.ssh/authorized_keys ファイルに登録済み。 (step 1) 手元の Windows マシンにエージェントを常駐させる c:\program files\PuTTY\pageant.exe をダブル クリック 通知領域 (?) に出現するアイコンを右クリックして、View
SSHのProxyCommandを使用すると踏み台サーバ経由のSSHが楽になる
仕事でよく、特定のIPアドレスからしかSSH接続を許可していないサーバがあると思います。 (俺的には、鍵認証のみでIP制限はずしてと思うのですがw) この場合 「クライアントPC」→「踏み台SSHサーバ(許可されているIPアドレスのサーバ)」→「目的のサーバ」 という感じで1度無駄なsshコマンドが必要になるのでうざい、直接接続できたらどれだけハッピーか とういことで「踏み台サーバがSSHのプロキシの役割すればいいのでは」ということで検索したら 「ProxyCommand」というものを発見!! で、設定方法 vim ~/.ssh/config Host mokutekiserver.com ProxyCommand ssh proxyserver.com nc %h %p このような感じで、記述すると クライアントから直接 「ssh test@mokutekiserver.com」で接続で
続・$HOME/.ssh/configを活用していますか? — ディノオープンラボラトリ
以前の記事「$HOME/.ssh/configを活用していますか?」では、設定ファイルを少し頑張って書けば普段のSSHライフが随分変わりますよ、と紹介しました。今日はその続編です。前回よりマニアックな設定を紹介します。 2段以上先のサーバにログインする Dynamic Forward機能を使う 共通設定をまとめて書く 2段以上先のサーバにログインする 目的のサーバにログインするために、踏み台的なサーバを経由しないと入れない環境があります。例えば、dmz経由でないとDBサーバにログインできない環境、というのは良くある構成でしょう。 このような場合に、ProxyCommandパラメータが利用できます。 上の設定で「ssh db1」とすると、sshでdmzに接続し、dmzから192.168.0.201へログインします。これを利用するには踏み台サーバにncコマンドが必要ですが、大抵の環境にインスト
特定のサーバを踏み台にして別のsshサーバに接続する (ProxyCommand) | maeda.log
2010-01-21 23:08 | tag: linux インターネット上のサーバのsshdの設定で、接続できるホストのIPアドレスを限定するという運用は多いと思います。このような運用を行っている場合、目的のサーバに接続するためには、以下のように一旦プロキシ(踏み台)サーバに接続して、あらためて目的のサーバに接続するという操作となり、やや煩雑です。 ■概念図 |クライアント| --(ssh)--> |プロキシサーバ| --(ssh)--> |目的のサーバ| ■手順 1. クライアントからプロキシサーバに対してsshで接続、ログイン。 (user_proxyはプロキシサーバ上のユーザー) $ ssh user_proxy@proxy.example.jp 2. プロキシサーバからクライアントに対してsshで接続、ログイン。 (user_destは目的のサーバ上のユーザー) $ ssh us
Action*3 - sshのconfigを設定する(多段ssh、Dynamic Forward)
思いをカタチにするためのBlog。思うだけなら誰でもできる。さあ今、何をする?Actionを起こせ!圧倒的ではないか、我がssh環境は。 そう言えとTwitterでつっこまれたので、そう言います。 何が言いたいかというとsshのconfigを活用すると便利。 で、圧倒的なssh環境を得るために、多段sshとDynamic Forwardについてまとめおきますよと。 基礎編 通常、sshでアクセスするとき、 $ ssh -l boku hoge-foo-www1 -p 10022 -i ~/.ssh/id_rsa.foo とか打ちますよね。 タイプ数多いですねー。 ここで.ssh/configの登場したりします。 $ vim .ssh/config # ~/.ssh/config Host foo HostName hoge-foo-www1 User boku IdentityFile ~
SSHD (8)
OpenSSH SSH デーモン 書式 sshd [-46DdeiqTt ] [-b ビット数 ] [-C 接続指定 ] [-f 設定ファイル ] [-g ログイン制限時間 ] [-h ホスト鍵ファイル ] [-k 鍵の生成間隔 ] [-o オプション ] [-p ポート ] [-u 長さ ] 説明 sshd (OpenSSH デーモン) はssh (1) のためのデーモンプログラムです。これらのプログラムはともにrlogin とrsh を置き換えるもので、安全でないネットワーク上にある、2つの信頼されていないホスト間で、暗号化された安全な通信を提供します。 sshd はクライアントからの接続を listen します。通常、これはブート時に/etc/rcから起動され、接続を受けつけるたびに新しいデーモンが fork します。fork したデーモンは、鍵の交換、暗号化、認証、コマンド実行、そ
sshでポートフォワード
sshには言わずと知れた「ポートフォワード」という機能があります。 読んで時の如しで、sshの暗号化されたトンネルを利用し、任意のポートに来た通信を転送できます。 何がうれしいかと言うと、リモートの 5432番 をローカルの 5432 にマッピング出きる。 つまり、sshさえ繋がれば、そのサーバから見える範囲ならなんでも使える!と言うことです。 1・ローカルへリモートのポートをマッピング 例えば、二つのホスト(chiba, shiga)があるとします。 chibaに、shigaの5900ポートをフォワードする場合は以下のようになります。
ポートフォワーディングの利用
■概要 「SSH」には、特定のポートから受け取ったデータを他のポートへ転送する「ポートフォワーディング(port forwarding)」 という機能があります。 これは、リモートコンピュータのポートを、自分のPCのポートにSSHを通して仮想的に割り当てることにより、リモートの ポートを自分のPCのポートであるように利用することができます。 ■利用用途 例えば、学外から学内限定ページを見る手段としては「VPN接続サービス(SSL-VPN)」があります。 しかし、サポートプロトコルが限定されており、そのページに「Java」や「ActiveX」等が使われていると、うまく表示されません。 「ポートフォワーディング」機能により、これらのアプリケーションも暗号化され利用可能となります。
SSH ポートフォワーディング
ポートフォワーディング(port forwarding)とは、ローカルコンピュータの特定のポートに送られてきたデータを、別な通信経路を用いてリモートコンピュータの特定ポートに送信する事です。 この通信経路には、SSHを利用する事が多いです。 SSHの通信路を使用することによって、通信を暗号化することができます。 通信のイメージは図のようになります。 通常は、各アプリケーションが、それぞれのポートを使用して暗号化されていない平文で通信を行います。 しかし、このままではパケットの盗聴などセキュリティに危険が生じます。 そこで登場するのが、”SSHを利用したポートフォワーディング(Port Forwarding)”です。 この方法によって、通信は暗号化されたSSHの経路を通ります。 従って、平文よりも安全性を高める事ができます。 では、実際の通信の経路を追ってみましょう。 通常の通信では、各アプ
SSH のダイナミック転送ってすごいんですよ | Typemiss.net
DSAS開発者の部屋:OpenSSH クライアントの proxy -- 踏み台サーバを経由しての ssh nc と ProxyCommand を使うというアイデアは今まで見たことが無く,なるほど!と感心しました。ですが,もっと便利な方法があります。ssh -Dはすごい便利です。SSH のほかにも色々できますし,中継サーバを「転送専用」と割り切ってしまえば,管理がとっても楽になり,セキュリティレベルを高く保つことも容易になります。他で情報を見かけないので,そのうち書こうと思っていたのですが,せっかくなので書いてしまいましょう。 はじめに:ssh の多段接続問題 DSAS開発者の部屋:OpenSSH クライアントの proxy -- 踏み台サーバを経由しての ssh のように,ssh の多段接続を行いたいという要求はあちこちであるかと思います。私の所属している研究室の場合は,計算用クラスタとい
SSH力をつけよう
5. RFC RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4255 Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints RFC 4256 Generic Message Exchange Authent
PuTTY で鍵交換方式による SSH 接続
1. はじめに KUINS ニュース No.45 で,暗号技術を用いた安全な通信方式の SSH(Secure SHell) を用いて接続ができる Windowsマシンに対応した SSHクライアントプログラムで端末エミュレータの機能を持つ PuTTY の利用方法について紹介しました. その中では,パスワードを用いたユーザ認証によってSSH接続を実現する 設定について記載しましたが,ユーザ認証としてパスワードを利用すると, UNIXで用いるパスワードは8文字しか有効でないことが多いため,総当り攻撃や辞書攻撃などに弱く,容易にパスワードを破られる 接続しようとするサーバを偽って、偽のSSHサーバに接続させられてしまうことにより,パスワードを盗まれる などによって,パスワードが第三者によって利用されてしまう「なりすまし」の 危険性を回避することはできません. そのため,SSHではパスワード認
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ