安全にssh接続をするために、行う設定をまとめました。後で自分自身が見返せるように作成しました。 環境といたしましては、 client:Windows11 host:Ubuntu22.0.4.1LTS 前提としてroot以外ユーザーでログインします。 公開鍵暗号方式とは 公開鍵暗号方式を簡単に説明すると、次のようなイメージです。 まず、自分専用の「暗号をかける魔法」と「暗号を解く魔法」を準備します。このうち、「暗号をかける魔法」をみんなに公開します。みんなはその魔法を使って、あなた宛てのメッセージを安全に暗号化して送ります。 「暗号を解く魔法」は誰にも教えない秘密の魔法です。 そして、あなただけが知っている秘密の「暗号を解く魔法」を使って、送られてきたメッセージを読み解きます。 これで誰でも暗号化はできるけど、解けるのはあなた専用の魔法だけという仕組み。 イメージで覚える 暗号をかける魔法
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ
Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ
Development Division/Platform Team/Sys-Infra Unitの伊豆です。Sys-Infra Unitはインフラエンジニア・SRE 的な役割を担っています。 今回は、ある日突然SSHログインが遅くなったときに調査した内容を共有します。 SSHログインに数分かかる ある日、AWS EC2上で動いている開発環境のSSHゲートウェイにSSHログインすると30秒以上かかると報告がありました。-vvvオプションを指定してSSHログインしてみるとpledge: filesystemというログが出力された後、数十秒から数分程度かかってSSHログインが成功する状況でした。 pledge: filesystemやssh slowなどで検索してみると、主に以下のような対処法が挙げられていましたがどれを試しても状況は改善されませんでした。 systemd-logindを再起動
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? #!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 #########################################
長らく Putty(パティ) を使っていました(ssh-keygenが梱包されていて便利なので)。ところがこの Putty 開発も終わってるしシングルウインドウもあり使いづらいなと思っている人もおおいのでは?と思うんですよね。そこで。Rlogin に! ダウンロード先 本家ここからダウンロード。 Rlogin 使ってみた wikipediaをみると「RLoginは1998年の開発から始まる10年来のソフトウェアであり、定番ターミナルエミュレータ(Tera Term, PuTTY, Poderosa)のいいとこ取りをした統合的な端末ソフトに仕上がっている。実行プログラムはPuTTYと同様、EXEファイル1つのみとなっている。」とあるので枯れたプログラムでいい感じ(いい意味で)。 これが欲しかった TeraTem, Putty だとコピーバッファにある文字列を「マウスの右クリックでペースト」す
今日から急に新しい連載をすることにしました。 いつまで続くかわかりませんが、主として Ubuntu Serverでの気づきについてポイントのみ、書いていきたいと思います。(難易度:高) クライアントで鍵を準備。 ssh-keygenで .ssh/id_rsaと .ssh/id_rsa.pubができるので、scpでサーバへコピーする。 $ ssh-keygen -t rsa $ scp -P 22 .ssh/id_rsa.pub Server-IP-Address:~/ サーバ側の作業。 .ssh/authorized_keysに公開鍵を追加しておく。 $ cat id_rsa.pub >> .ssh/authorized_keys 普通はこれでログインできるはずだが、エラーがでたときに疑うべきところ。 $ ssh -p 22 user@server-name A) ssh: c
さくらVPS512Mを契約しました。 サーバ関連は分野ではなく知識が乏しいので、色々と弄って必要な作業を把握したいと思います。 parallelsにcentOSをいれて試すのも良いですが、金払ったほうがしっかりやりそうだったので。。。 知識が無いながらもいろいろなサイトを参考に設定してみました。 リモートコンソールでログイン 初期はVPSコントロールパネルのリモートコンソールからrootでログインします。 パスワードを聞かれるので初期パスワードを入力します。 login: root Password: SAKURA Internet [Virtual Private Server SERVICE] rootのパスワードを変更する パスワードが初期設定のままなので、変更します。 $ passwd Changing password for user root. New UNIX passwo
140文字で収まらなかったので. ssh でログインはできる(認証は成功している)し操作も普通に行える(RTTが正常な範囲)けど,ログインできるまでに(パスワード認証の場合はユーザ名やパスワードを聞かれるまでに)非常に時間がかかるような場合の原因と対処方法を記しておく.こうした現象は主に何らかの方法に挑戦して失敗・タイムアウトしていることが原因である. クライアントの名前解決が原因 クライアントの名前解決ができなくて時間がかかっている.サーバ側での設定変更が主. ssh サーバの /etc/hosts にクライアントの設定を書く 名前解決ができないので ssh クライアントの直接名前を設定してあげる.個別対応なのであまり良い解決策ではないが,やむを得ない場合はこの方法. 192.168.0.2 ssh-client.example.com 192.168.0.2 がクライアントの IP ア
B! 330 0 0 0 SSH関連のポストが結構たまったので取り敢えずのまとめ。 SSHクライアント Windows Mac Android/iPhone 多段SSH 外部から見れないページを外部から見る方法 その他ポートフォワード 同じサーバーに複数接続時に接続高速化 接続を強化 無料ダイナミックDNS Mac関連 SSHクライアント ターミナルです。 LinuxならGnomeターミナルなりなんなり入ってる物で良いでしょうし、 Macも取り敢えずは入ってるターミナル.appで使えます。 Windowsでは現段階ではコマンドプロンプトやPowerShellではsshがサポートされてないので 1 何らかの物を入れてあげる必要があります。 Windows Windowsでは今パッと入れるのであれば MobaXtermが一番優れていると思います。 MobaXterm: Windowsでのcyg
openssl 必須。暗号化、復号化、認証等を行うライブラリ類が含まれています。 openssh 必須。OpenSSH が使用するディレクトリ、ドキュメント、 および鍵を作成・参照するプログラムとそのマニュアルが含まれています。 openssh-clients 必須。rlogin と telnet の代わりになる ssh、 rcp の代わりになる scp、 および ftp の代わりになる sftp と それらのマニュアルを含んでいます。 openssh-askpass OpenSSH のパスフレーズを入力させるウィンドウを表示させるのに必要な プログラムと、それらのマニュアル、ドキュメントを含んでいます。 これは必須ではありません。 openssh-askpass-gnome gtk+ で作られた openssh-askpass を使用するのに必要なプログラムと そのマニュアルが含まれてい
ホーム CentOS6 OTRSのインストール CentOS6 VNC Serverのインストール CentOS6 iperfでスループット計測 CentOS6 IPv6アドレスの設定および無効化 CentOS6 IPv6のスタティックルートの追加 CentOS6 スタティックルートの追加 CentOS6 2TB以上のHDを使う カーネル起動の視覚化 カーネル起動オプション CentOS6 Quota CentOS6 Mondorescue CentOS6 NTP CentOS6 Kdump CentOS6 NIC Bonding CentOS6 SNMP Trap Manager CentOS6 ext4ファイルシステム CentOS6 yum CentOS6 リソース管理 CentOS6 iptablesによるパケットフィルタ CentOS6 Tripwire CentOS6 chkr
PCにシリアルコンソールでログインできるように設定した。シリアルコンソールを使えばNICの設定などでもあわてずに利用できる。便利。シリアルコンソールでつかうmgetty mingettyのttyってなんだろう ttyとは、 どうやら、標準出力の接続先デバイス事のらしい。一般的にはpts、RS232C経由などはttyS0が標準出力の接続先になっていて、中継しているプログラムがmgetty。 図で表すと PC----ssh------/dev/pts/1--sshd----bash #ssh が接続されている PC----rs232c---/dev/ttyS0--mgetty--bash #rs232c が接続されている とttyなど仮想端末経由になっている。コレ今はよく解ったけど、ずっとよく解らなかった。 私が理解できるようになるまで、次のプロセスがありました。 2ヶ月前 先輩に訊いてみた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く