玄箱インストールドキュメント 第五章

なんだかいきなりモチベーション落ちた、
書いてきたものをコピペするだけなんだけどねー(ノ∀`)
11.12よりお送りしますか。

・ssh及びscreenのインストール
標準telnetはもっさりして断線のおそれすらあるので
sshとscreenのインストールを行う。

#aptitude install ssh screen

問1
SSH2プロトコル2のみをサポートしますか?yes
putty使いなので問題ない。

問2
SUIDを有効にし、rootでkeysignをインストールしますか?(要約)no

Hostbased 認証を行う場合ルート権限で
ssh-keysignを利用できるようにする?って問い。
設定に不満があった場合はdpkg-reconfigure sshで
再設定が可能となる。

##TIPS・・・6
ホストベースド認証 (hostbased authentication) は以下のように動作します:
ユーザが ssh を実行するマシンが、リモートマシン側の /etc/hosts.equiv ある
いは /etc/shosts.equiv に記載されており、さらにそのユーザ名が双方で同じか
、あるいはリモートマシン上のそのユーザのホームディレクトリに ~/.rhosts あ
るいは ~/.shosts が存在して、クライアントマシンの名前とそのマシン上でのそ
のユーザ名が記載されている場合、そのユーザのログインが考慮されます。サー
バはさらに、このクライアントのホスト鍵 (以下の /etc/ssh/ssh_known_hosts
と ~/.ssh/known_hosts を参照) が 必ず正しいことを要求します。これが正しけ
ればログインが許可されます。この認証方式により IP 詐称、DNS 詐称やルーテ
ィング詐称などの攻撃が迂回できます。 [管理者のかたに注意: 一般的にいって
、 /etc/hosts.equiv 、 ~/.rhosts および rlogin/rsh プロトコルは本質的に危
険であり、セキュリティを考慮するのであれば禁止すべきです。]
#####

問3
sshサーバを起動しますか?
利用したいからインストールしたのである、当然yes
以上を操作すればsshが利用可能となる。

さて、会社の玄箱ではこの設定は非常にスムーズにいったが
自宅でやった場合はなぜかログイン名入力したところで
落ちるようになってしまった。
どうも問2の設定を生かすと~/.rhostの設定を生かさねばならないらしく
これがデフォルトで読み込みできない状態になっているので
コリジョンが発生して落ちる・・・という寸法らしい。
問2は無条件でOFFにすべきではないだろうか。

sshを鍵認証方式にする話は別途方法を模索してもらいたい。
ひとまず通常のユーザー認証でこの話は終了にする。

一通りつながることを確認できたらinetdの編集を行う。

$sudo vi /etc/inetd.conf

真ん中くらいの位置にある
telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd
をコメントアウトし
##telnet
とする。これでtelnetが起動しなくなる。

編集が終了したら
/etc/init.d/inetd restart
でスーパーデーモンを再起動する。

ここで念のためきちんと設定反映されているかtelnetで接続することをお勧めする。

申し訳程度にコンフィグ設定
$sudo vi /etc/ssh/sshd_config

sshそのものの設定についてだが、イントラのみの接続しか行わないので
特に設定した点は

PermitRootLogin no・・・・・デフォルトでYes、ルートユーザのログインを不許可

くらいである。
ついでに記しておくと、Yes、noは大文字小文字の区別がしっかりしないと
設定反映しないどころかsshの起動もできなくなるので注意が必要である。

・screenとは
仮想コンソールみたいな機能を提供してくれるソフト。
windows上からコンソールで動かしているときも機能するので
すばらしく使い勝手が良い。

使い方は
$screen
と打つ、これで新たにコンソールが生成されるので
また新たにジョブを生成しても構わないし、
とりあえずカレントジョブ以外の仕事を画面上で行いたいときは
0-9番までの仮想コンソールの起動ができそうである。
RedHat系をいじっているときは
ここまでリソースがカツカツだった思い出がないので
仮想コンソールすらろくに触らなかったが
ことputty利用してのwindows使いには朗報すぎる話とは思った。
大抵はデフォルトで入っているってから
私の見落としだけだと思うが…

例:仮想コンソールっぽい利用方法
ls -la /etc
と打つ

画面にふぁいるリストが表示される。

$screenと打つ

先ほどまでのリスト消滅、新たにコンソールが生成される。
仮想ということなのでexitすれば元のコンソールが表示される。

例2:puttyでの利用方法
なんか操作する(aptitudeとか)

急にwindowsを再起動せねばいけなくなる。(意図的に用事作らなくてもいい)

$screenと打つ

putty強制終了(セッションを切断しますか?と問われるけどyes)

windowsで再びputtyを立ち上げ、接続する。

$screen -rと打つ

元の画面復帰。

例2の利用法がもっとも場面に適している気がする。
こと玄箱は不意に切断があったりするので
ログインしたら$screenでもいいかも知れない。

参考URL:ssh編
http://www.geocities.jp/error_storm/colinux3.html#3-1
http://www.unixuser.org/~euske/doc/openssh/jman/ssh.html

玄箱インストールドキュメント 第五章」への6件のフィードバック

  1. おー!sshキター。
    なんかメンドクサソウだから回避してたけど、これ見て入れてみる。
    telnetでプツプツ切れたことなかったんで。

  2. 重大な記載ミスがあったので
    一カ所修正、どこが間違っていたとかは言わない方向。

    >ゆけー
    鍵認証がめんどいってか
    NICが腐ってるとおもうので
    あえてはずしたんだが、いれといたほうがええかな・・・
    SSHがんがれ。(がんばるほどのことがあるか謎ですけども)

  3. 鍵認証がまさにメンドイところです。
    ssh使うメリットってセキュア通信だと思ってたので。
    でも会社からつなぐための秘密ゲートウェイがssh受け付けてなかったので
    とりあえずインストールしてみたssh出番なし。しょんぼり。

  4. >ゆけー
    わしのとらえ方としては
    telnet・・・つながるだけ
    ssh・・・・パスワードが平文で流れないからちょっぴり安心、安定
    鍵認証・・・そもそも認証入力をなくしたい

    ってことになってる。
    だからどうってこともないんだがなー。
    で、sshのデフォルト待ち受けポートを
    秘密ゲートウェイの開いてる口にやればいんじゃない?
    っておもったんだが、それはだみなのか

  5. 秘密ゲートウェイと社内LANがなんか独自仕様っぽくて使い回しにくいっす。
    下手したらWEBベースのhttps経由の変なターミナルのほうが使いやすいぐらい。
    ただ、telnetで動作安定してるので、そこまではやってないっす。

  6. >ゆけー
    レスする主義なんで極力書こうとおもったら
    明日会うのだった、つーことでまた明日(*´д`*)

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA