[FrontPage] | 更新履歴 - サイトマップ - "OpenSshShortTips" 配下のコンテンツ - 過去を発掘 | [Snap.Shot] |
OpenSshShortTips |
OpenSSH
Short tipsむつかしくないはずなんだけど、初めてだとちょっと戸惑うのかな。 下記を参考に。
www.ulis.ac.jp/ipc/main2002/man/openssh.html
OpenSSH
を使う
これ、どっかで見た名前だと思ったら、新山さんじゃあーりませんか。
http://tanaka-www.cs.titech.ac.jp/~euske/doc/OT/ のほう、無くしちゃったのかな、悲しい。
OpenSSH
キー(鍵)の管理 第3回
IBM dWです。前から知ってはいたんだけど、ゆっくり読む機会がなかなか無くて。
RedHat
のマニュアルいつも思うのですが、よく書けています。ネット上で話題になることが少なくて残念。
www.jp.redhat.com/manual/Doc72/RH-DOCS/rhl-rg-ja-7.2/ch-ssh.html
OpenSSH 3.1
で確認。将来的には変わるかも…
入力せずに使うには、ssh-agentを常駐させておく。 障害発生→再起動後に自動復旧できなくなっちゃうけど、こればっかりはしょうがない。
あるいは、パスフレーズ無し用のアカウントは、 機能制限されたシェル にしておくなど、出来るだけ権限を狭めておくべし。
私は(最近ようやくなんだけど)port forward用のアカウントtunnelというのをつくり、 トンネリングにはこのアカウントを使うように設定した。
普段使うベースとなるマシンは、だいたいいくつか決まっているはず。 秘密鍵は出来るだけそのマシンに集めておき、agent forwardingを活用して使い回す。
同じ鍵をいくつものマシンにコピーしたり、収拾がつかないほどの公開鍵をauthorized_keysに 追加するのはやめる。
ProxyCommand
初めて知りました。とりあえずsocket確立してくれるproxyあれば、いろいろと遊べるんですな。
http://www.gcd.org/sengoku/docs/NikkeiLinux01-01/Welcome.ja.html
http://jarp.jin.gr.jp/diary/200101b.html#200101121
(2003-11-14 takano) 追加。
http://murashima.net/rio/ssh_socks/
http://www.imasy.or.jp/~gotoh/ssh/ http://www.imasy.or.jp/~gotoh/connect.c
なんで今まで気づかなかったんだろう。 CNAMEで使い分けて、configのHost振り分けを使えばよかったんだ! (あとで例でも書きます)
http://www.sc.isc.tohoku.ac.jp/~hgot/sources/openssh-watchdog.html
TCP_KEEPALIVEだけだと、最近のクソ親切なルータでは、ばっちりマスカレードtimeoutして切ってくれますくそったれ。 で、これだとサーバもクライアントも嬉しくないのでHeartbeatとなるわけです。
今はヘタレているので、あとで入れてみよう。
…という間に入れてみたっす。とりあえずはぐーっど、良好です。 Watchdogを設定したサーバに、Heartbeatを吐かないクライアントで接続していると、 無操作時にバチンと切られてしまうのはちょっと悲しい。
(2005-07-12 takano)
これと同等の機能は、4.1系になって標準装備されたらしい。 ServerAliveInterval
というのがそれ。
なんで接続できないんだー!とお悩みの方へ。
ssh_exchange_identification: Connection closed by remote host
これ、切っているのはsshdでありsshdで無い。
そうですお兄さん、tcp_wrappersを忘れちゃいませんか。
hosts.allow
みるべし。
(ほかの理由かもしれません、念のため)
(2010-0615追記) IPv6?環境の場合、 v6アドレスはカギカッコで囲まなくてはならない そうですよ、はい。
(2006-10-04 takano)
こりゃ別に OpenSSH
に限ったことじゃネェんですが。
localhost宛の接続、libbindのバージョン?によって、まず IPv6
のローカルアドレス ::1
へ繋ぎにいこうとしているみたい。
で、 IPv6
をサポートしていないカーネルから警告が出るようです。
犯人が誰なのか、ちゃんと特定できていないので、この項分かり次第改めます。
逆に御存じの方は コメント ください。
PermitTunnel
なんじゃそりゃと思ったら、(やっぱり)新山さんが既に書いていた。