読者です 読者をやめる 読者になる 読者になる

うまいぼうぶろぐ

linuxとhttpdとperlのメモ

sshuttle でssh使って簡単vpn

ssh

https://github.com/apenwarr/sshuttle ポートフォワードだと個別にport設定したり、 ブラウザのプロキシ設定いじらないとダメだけど sshuttle の場合、iptables(macだとpfctl ?)で特定のnetwork宛の通信を ssh経由にねじまげてくれるのでvpnのように使える…

openssh chrootかつsftpだけ利用できる環境を構築する

参考 https://en.wikibooks.org/wiki/OpenSSH/Cookbook/SFTP#Chrooted_SFTP-only_Accounts 設定があまり複雑でなくて、色々な落としどころ求めたらこうなった。利用するのはopenssh。 opensshのMatch User(Group)とChrootDirectoryを使えばいいけど、 openss…

sshd_config AllowUsersにuser@host を書いてユーザごとにログイン元IPを制限する

これ出来るの知らなかった。(IP制限はfirewall, iptables, tcp wrapper(/etc/hosts.allow) でもするけど) man sshd_config にガッツリ書かれてますね。 AllowUsers (snip) If the pattern takes the form USER@HOST then USER and HOST are separately check…

known_hostsを手動で編集しなくてもssh-keygen -R hostname で良かった / sshのremote hostが変更になってsshでエラーが出るとき

仮想マシンを作っては壊して、などをやっていると良く起こる。仮想マシンじゃなくても物理サーバが壊れて、IPを引き継いで復旧させた場合なども同様。clinetのknown_hostsに登録されているものと、remote hostのsshdの認証鍵が変わっていて、中間者攻撃の可…

RHEL6系でpamを有効にしているとldapユーザだけsshdから拒否られる件

/var/log/secure fatal: Access denied for user hogem by PAM account configurationおそらくどこかの設定がおかしいだけで、他にまともな解決法があるはずだけど、ちょっち時間がないのでとりあえず/etc/ssh/sshd_config の"UsePAM no" に設定している。

opensshのsftp serverでログを取る - Chroot user編

see also. openssh の sftp server でログを取る 普通のユーザはinternal-sftp -f authpriv のようにしてsyslogのfacilityを指定するだけで良い。けどchroot しているuserの場合にはログが出ない。理由はchroot ディレクトリの下にsyslogd のsocketがないか…

openssh の sftp server でログを取る

ftpだとxferlog あたりに残るけど、default だとsftpの場合はログに残らない、ということに今更気付いたので設定変更しておく。 http://q.hatena.ne.jp/1162012755 こんな感じで、syslog 経由で残すようにする。sshd_config Subsystem sftp internal-sftp -f…

openssh 4.9以降で正式にサポートされたchroot sshで公開鍵認証を使う場合の罠

ref. openssh 4.9以降でchroot ssh chroot するディレクトリを /chroot の例 ↑のエントリにも書いたように、以前のpatch版のchrootの場合は sshd_configには特別に記述をせずに、/etc/passwdに hoge:x:1000:1000::/chroot/./home/hoge:/bin/bashと書くだけだ…

openssh 4.9以降でchroot ssh

http://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_4.8.txt 4.9以降で、正式にchrootがサポートされた。sshd_configにChrootDirectoryの設定が追加されている。今までのopenssh-chrootパッチ適用とは設定が少し違うぽい。特にsftpの…

openssh 4.9以降でユーザのログインをsftpのみに制限する

ユーザのshellを/bin/bashから/sbin/nologin などに変更して、 sshd_config でinternal-sftpを設定するだけで良くなった。 Subsystem sftp internal-sftp 4.9以前では/sbin/nologin にすると、sftpも出来なかったはず。。。

sshの"User hoge not allowed because account is locked

ssh

UsePam Noだと、ロックアカウント(パスワードが空)のユーザはログインできないらしい(鍵認証しようとしてもダメ)UsePam yesにするか、デタラメなパスワードつけるか。

sshのport forwarding

ssh

ssh remote login以外にもport forwardすることも出来るんですね。でもバックドアのようにもなるので使い方には少し注意。sshd_configのGatewayPortsの設定次第で挙動が変わる。 man sshd_config The argument may be ``no'' to force remote port forwardin…

sshで指定したコマンドのみ実行する

http://d.hatena.ne.jp/lurker/20060728/1154093951 authorized_keysのコンマの違いではまった。 command="uptime", ssh-rsa AAAA.... # OK command="uptime",ssh-rsa AAAA.... # NG

chroot対応opensshのインストールmemo

chrootとは特定のディレクトリをルートディレクトリに変更しちゃうことです。プロバイダのwebサーバにftpで接続したときにpublic_htmlより上が見えなくなってるのはftpのchrootの仕業です。特定のユーザにサーバでの作業を制限したい時に有効なのでchroot版…