[FrontPage] 更新履歴 - サイトマップ - "OpenSshShortTips" 配下のコンテンツ - 過去を発掘 | [Snap.Shot]

to FrontPage OpenSshShortTips

(Tue, 15 Jun 2010 14:07:22 GMT+9)

OpenSSH Short tips

ふつうに公開鍵認証

むつかしくないはずなんだけど、初めてだとちょっと戸惑うのかな。 下記を参考に。

www.ulis.ac.jp/ipc/main2002/man/openssh.html

OpenSSH を使う これ、どっかで見た名前だと思ったら、新山さんじゃあーりませんか。 http://tanaka-www.cs.titech.ac.jp/~euske/doc/OT/ のほう、無くしちゃったのかな、悲しい。

OpenSSH キー(鍵)の管理 第3回 IBM dWです。前から知ってはいたんだけど、ゆっくり読む機会がなかなか無くて。

RedHat のマニュアル

いつも思うのですが、よく書けています。ネット上で話題になることが少なくて残念。

www.jp.redhat.com/manual/Doc72/RH-DOCS/rhl-rg-ja-7.2/ch-ssh.html

-D オプションでsocks4トンネルサーバになる

OpenSSH 3.1 で確認。将来的には変わるかも…

秘密鍵には必ずパスフレーズを

入力せずに使うには、ssh-agentを常駐させておく。 障害発生→再起動後に自動復旧できなくなっちゃうけど、こればっかりはしょうがない。

あるいは、パスフレーズ無し用のアカウントは、 機能制限されたシェル にしておくなど、出来るだけ権限を狭めておくべし。

私は(最近ようやくなんだけど)port forward用のアカウントtunnelというのをつくり、 トンネリングにはこのアカウントを使うように設定した。

agent forwarding

普段使うベースとなるマシンは、だいたいいくつか決まっているはず。 秘密鍵は出来るだけそのマシンに集めておき、agent forwardingを活用して使い回す。

同じ鍵をいくつものマシンにコピーしたり、収拾がつかないほどの公開鍵をauthorized_keysに 追加するのはやめる。

ProxyCommand

初めて知りました。とりあえずsocket確立してくれるproxyあれば、いろいろと遊べるんですな。

http://www.gcd.org/sengoku/docs/NikkeiLinux01-01/Welcome.ja.html

http://jarp.jin.gr.jp/diary/200101b.html#200101121

(2003-11-14 takano) 追加。

http://murashima.net/rio/ssh_socks/

http://www.imasy.or.jp/~gotoh/ssh/ http://www.imasy.or.jp/~gotoh/connect.c

穴を開けて内部ホストに直結

なんで今まで気づかなかったんだろう。 CNAMEで使い分けて、configのHost振り分けを使えばよかったんだ! (あとで例でも書きます)

Heartbeat / Watchdogパッチ

http://www.sc.isc.tohoku.ac.jp/~hgot/sources/openssh-watchdog.html

TCP_KEEPALIVEだけだと、最近のクソ親切なルータでは、ばっちりマスカレードtimeoutして切ってくれますくそったれ。 で、これだとサーバもクライアントも嬉しくないのでHeartbeatとなるわけです。

今はヘタレているので、あとで入れてみよう。

…という間に入れてみたっす。とりあえずはぐーっど、良好です。 Watchdogを設定したサーバに、Heartbeatを吐かないクライアントで接続していると、 無操作時にバチンと切られてしまうのはちょっと悲しい。

(2005-07-12 takano) これと同等の機能は、4.1系になって標準装備されたらしい。 ServerAliveInterval というのがそれ。

Connection closed by remote host

なんで接続できないんだー!とお悩みの方へ。

ssh_exchange_identification: Connection closed by remote host

これ、切っているのはsshdでありsshdで無い。 そうですお兄さん、tcp_wrappersを忘れちゃいませんか。 hosts.allow みるべし。

(ほかの理由かもしれません、念のため)

(2010-0615追記) IPv6?環境の場合、 v6アドレスはカギカッコで囲まなくてはならない そうですよ、はい。

socket: Address family not supported by protocol

(2006-10-04 takano) こりゃ別に OpenSSH に限ったことじゃネェんですが。

localhost宛の接続、libbindのバージョン?によって、まず IPv6 のローカルアドレス ::1 へ繋ぎにいこうとしているみたい。 で、 IPv6 をサポートしていないカーネルから警告が出るようです。 犯人が誰なのか、ちゃんと特定できていないので、この項分かり次第改めます。 逆に御存じの方は コメント ください。

PermitTunnel

なんじゃそりゃと思ったら、(やっぱり)新山さんが既に書いていた。

OpenSSH を使った簡易VPNの構築

関連

RsyncShortTips

  HelpPage メールでコメント

© 2000-2013 Yukimasa TAKANO, all RIGHTs reserved.