初心者もOK! FreeBSD質問スレッドその124

[過去ﾛｸﾞ] 初心者もOK! FreeBSD質問スレッドその124 (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

622: 2020/10/30(金)00:15 AAS
LAN内PCからは接続できるってんだからそこはいじってあるんだろう。

623: 2020/10/30(金)02:24 AAS
ssh -v
ssh -vvv

624: 2020/10/30(金)11:24 AAS
>>619
hoge1をsshdの動くマシンとし、PPPoEを使うIPv4ルーターの配下で
IPv4 over IPv6(DS-liteやMAP-E、他)とは無縁で有る前提で

1.hoge1で適当なユーザーを作成し、ルーターのDHCPで使用されてないが同じサブネットの
固定プライベートアドレスとデフォルトゲートウェイを設定し
sshdをパスワード認証を明示的に有効にして起動する
2.ルーターにhoge1に設定した固定プレイベートアドレス宛のsshポート転送を作成する。
省6

625: 2020/10/30(金)11:59 AAS
仮にテスト用と言えども
root を passwd で入れるのに設定するのは怖すぎ

626: 2020/10/30(金)12:22 AAS
俺がISDN使ってた頃でさえSSHポートを開けたらその日のうちから延々とrootログインを試すわ外人の名前でログインを試すわですごかったな。
ログに残された沢山のIPアドレスを逆引きしたら99.99%がSARS-CoV-2を産んだ国からだった。

627: 2020/10/30(金)12:29 AAS
漏れの頃はロシアが多かった

628: 2020/10/30(金)14:00 AAS
尿漏れジジイは死んでくれ

629(1): 2020/10/30(金)15:31 AAS
今はウクライナ、ポーランド、オランダ、香港、越南、米国あたりからもよく来る印象
あれって機械的に総当たりしてるだけで、別にrootログイン成功された瞬間に全て乗っ取られるわけでもないんでしょ？
成功したとたんに乗っ取り処理実行するようにスクリプト書いてあったりすんのかな？

630: 2020/10/30(金)15:37 AAS
クラッカーなめたらいかんで

631: 2020/10/30(金)17:14 AAS
>>629
漏れがクラッカーだったらログインできたら早速ゾンビ化の上でクラスタに追加して活用するけどなあ。
ゾンビPCなんていくつあっても困らないし、リソースとして犯罪組織にいくらでも売り出せるわけだし。
ここまで全部自動化。
rootログインできたけど自動ゾンビ化出来なくても人の手をちょろっと使えば簡単でしょ。
次からは同じOSが自動化出来るだろうし美味しいよね。

632(1): 2020/10/30(金)17:48 AAS
逆に今rootでloginできるの

633: 2020/10/30(金)19:30 AAS
>>632
PermitRootLogin yes
に変更すれば可能

634: 2020/10/30(金)19:37 AAS
オラsshポートをWANに晒して短時間でもrootのパスワードログイン出来るようにするなんて
そんな恐ろしげなこと間違ってもできねえだ

最低限OpenVPNのTLS-AUTHくらいは欲しい

635: 2020/10/31(土)10:28 AAS
ほんそれ

素人はネットの闇をなめすぎ

636(1): 2020/10/31(土)11:27 AAS
rootでパスワード認証は論外だけどSSH接続は鍵認証？使ってればそれほど怖くないやろ
海外からの接続は遮断してるし仮想マシン上に踏み台用意したりOpenVPNも用意してるけど

脆弱性だとVPNだって有ったよな

637: 2020/10/31(土)11:54 AAS
>>636
備えがあれば本人が安心出来るならいいんじゃない
TLS-Authは目立ったCVE上がってないみたいだし

続きは専門スレでどうぞ

SSH その8
2chｽﾚ:unix

OpenVPN
省1

638: 2020/10/31(土)12:33 AAS
>>619 読む限りは
root で passwd で global IP の三重苦

639: 2020/10/31(土)14:26 AAS
sshにアクセスもとIPでの制限かかってんじゃないの？

640: 2020/10/31(土)14:42 AAS
「失敗」の中身をちゃんと書くまで放置でよろし

641: 2020/10/31(土)14:49 AAS
NAT/NAPT関連な気がするな

642: 2020/10/31(土)17:25 AAS
ヘアピンNAT

643(1): 2020/10/31(土)20:33 AAS
面倒だからrootのみで作業したい、それもパスワード無しで（質問じゃあない

644: 2020/10/31(土)20:42 AAS
boot -s

645: 2020/10/31(土)22:07 AAS
そりゃ入れないだろ

646: 2020/11/01(日)15:48 AAS
>>643
質問じゃないなら、お好きにどうぞとしか言いようがない

647: 2020/11/02(月)00:45 AAS
というか、個人用途だと同時に複数で使用したりしないし
rootとは別にアカウント必要な理由がよくわからない

648: 2020/11/02(月)01:13 AAS
うーん、本当に初心者的な・・・。
日常で使うだけなら管理者権限はいらないよね。
間違った操作をしても影響を限定的に抑えれるし。
恋人のＰＣで実行するはずの自家製マルウェアを間違って手元で実行してもシステムへの被害が抑えれるかもしれない。
ｒｏｏｔでログインしないことはＰＣを安全に使うための第一歩と言える。
必要であればｒｏｏｔで実行せざる得ないけどそうゆう時はｓｕは避けてｓｕｄｏかｄｏａｓを使うのがいいよ。

649: 2020/11/02(月)12:34 AAS
>個人用途だと同時に複数で使用したりしないし

🎉さんがいつの間にか同居してるってことかと

650(1): 2020/11/02(月)16:22 AAS
rootでloginしない方がいいって根拠は何なんだろうね
どっちにしてもパスワード打つわけだし
rootパスワード破られたらどっちにしても被害は甚大だし
宗教に近いのかな

651: 2020/11/02(月)16:29 AAS
>>650
違う。違う
rootでのパスワードログインを許可するな。と言ってるわけです

一般ユーザーログイン→suなら時間が稼げるわけですわ

652: 2020/11/02(月)16:41 AAS
存在が判明しているrootという最強のIDが、パスワードだけで守られていたら怖いよね

> 一般ユーザーログイン→suなら

その一般ユーザのIDが存在するか否か
存在してもパスワードが破られるか否か
パスワードが破られてもsu権限があるか否か

と言うように時間を稼げる

653: 2020/11/02(月)17:31 AAS
sudo でパスワード聴かれない環境もある

654: 2020/11/02(月)17:46 AAS
そろそろsshのスレにでも行った方がいいんじゃね

655: 2020/11/02(月)19:17 AAS
ﾌｧｯ!?権限なくて作業失敗しとるやんけ！須藤さんに声掛けしてやりなおしや！
みたいな二度手間になりがちで、そこが無駄だなぁと思ったりとかなんとかしちゃったりして
自分がやらかしたのに気づくのも必ずsudoした後だし

656: 2020/11/02(月)19:22 AAS
FreeBSDってsudoは標準で入ってないですよね？
セキュアな環境のために必須なら、普通、デフォで入ってるもんなんじゃ・・・？

657: 2020/11/02(月)19:39 AAS
必須じゃないってこと。

658: 2020/11/02(月)19:50 AAS
root権限がいらない作業は一般ユーザーで実施して、
root権限が必要な作業だけをsuしてやればいいんじゃね。

659: 2020/11/02(月)22:45 AAS
ローカルからのアクセスだけはrootでログイン可能で(SSH経由で192.168.xxなど)
インターネット越しのアクセスでは一般のみ(220.xxxや203.xxxなど)というように分けられますか？

660: 2020/11/02(月)23:10 AAS
できます

661: 2020/11/03(火)01:18 AAS
PermitRootLogin=without-password

662: 2020/11/03(火)01:18 AAS
ミスったorz

PermitRootLogin=without-password
を設定する方が幸せじゃない？

663(4): 2020/11/03(火)19:27 AAS
rootのパスワード無しにして↓が最高に便利だと思う
PermitRootLogin yes
UsePAM no
PermitEmptyPasswords yes

664: 2020/11/03(火)19:29 AAS
>>663
便利さを体験したいのでIP教えて

665: 2020/11/03(火)20:04 AAS
>>663
IPが嫌なら娘さんのパンツの色でもいいよ

666: 【B:88 W:81 H:82 (B cup)】 2020/11/03(火)20:16 AAS
>>663
ステキ！抱いて！！

667(3): 2020/11/04(水)02:29 AAS
富岳ベースのPRIMEHPC FX700買って届いたんだけど、FreeBSD/armがインスコできない
どうすればいいの？

OS消えてて今なにも入ってない状態

668: 2020/11/04(水)09:03 AAS
>>667

メーカーサポート対象外OS以外ゆえ
すべて自己責任としか。初期状態に
戻して自分でドライバ書けば動くかもな。

669: 2020/11/04(水)09:23 AAS
>>667
お前なら出来る
実用レベルに仕立てたら本スレで自慢してくれ

670: 2020/11/04(水)10:10 AAS
質問スレとはいえ、答えられることを期待しているのか？
それとも、くそ高いおもちゃ自慢か？

671: 2020/11/04(水)10:20 AAS
キャンペーン価格で500万弱か…
価格はともかく200V電源、Max2.7kWはちょっと…

672: 2020/11/04(水)10:39 AAS
とりあえずcent os arm でテスト。
動かないなら、俺に下さい。

673: 2020/11/04(水)10:39 AAS
なあに、富豪で技術レベルの高い667なら近いうちに我々に旗艦を披露してくれる筈

写真＆スクショ付で

674(1): 2020/11/04(水)10:43 AAS
なあに、デカいエアコンだと思えばいい
暖房しか出来ないが

675: 2020/11/04(水)10:49 AAS
>>674
天吊り型サーバーか…
なかなかに斬新だな

676: 2020/11/04(水)12:53 AAS
>>667
arm64なFreeBSDは使ったことあるのかな？

677(2): 2020/11/04(水)18:24 AAS
ssh + ipfwでポート22を使ってグローバルIPからのsshのアクセスは成功できたのですが
22以外のポートからアクセスしようとすると失敗してしまいます、2222でも9999でも失敗します
不足している設定などに心当たりがあれば教えていただけませんでしょうか

規制で弾かれるので詳しい設定は後出しになってしまいます

678(1): 2020/11/04(水)20:37 AAS
>>677
> ssh + ipfwでポート22を使ってグローバルIPからのsshのアクセスは成功できたのですが

そう言わずこういう事をやってるんだからもう少し情報出そうよ
設定した内容とか /var/log/security の自分なりに引っかかる部分とか

679: 2020/11/05(木)03:43 AAS
>>678
いくつかの構文が規制で弾かれるのでどうしても分かりにくくなったり分割になります

/var/log/securityは
kernel: ipfw: 500 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via alc0
同192.168.1.2:138 192.168.1.255:138 in via alc0
などで、ポート67,68,138に関するログがいくつかありましたが
グローバルIPの書かれたログも、ポート2222のログも無かったので内容が分かりませんでした

680: 2020/11/05(木)03:59 AAS
設定は
ホームルーター（FreeBSD外）のTCPのポート22と2222を解放
sshのsshd_configに、Port 22とPort 2222の2行を用意

681: 2020/11/05(木)04:01 AAS
/の数に反応して書き込み規制を掛けてくるようです

ipfwの/etc/ipfw.rulesは
! /bin/sh
IPF="ipfw -q add"
ipfw -q -f flush

allow tcp from any to any 22 in
これを22 out、2222 in、2222 outも用意
省2

682: 2020/11/05(木)08:58 AAS
>>677
設定が固まるまでIPFWは切る。パケットを観測したいならtcpdumpを使う。

sshdの待ち受けポートを変更したならルーターのポート転送設定も変更する。
ルーターの転送設定の接続元ポートと転送先ポートが同一でない場合、sshdの待受ポートをsshの接続先ポートに指定しては繋がらん。
1. ssh(22)-ルーター(22-22)-(22)sshd
2. ssh(10022)-ルーター(10022-10022)-(10022)sshd
3. ssh(22)-ルーター(22-10022)-(10022)sshd
省2

683: 2020/11/07(土)00:38 AAS
うちも 4 のパターンだ。

ルーターの問題か、BSD の問題かの切り分けをまずすべき。
なので、↑にある通り、ipfw 切って、tcpdump でパケット届くかの確認が良いかと。
パケット届けるまでは、ルーターの設定の問題だろう。

684: 2020/11/07(土)07:28 AAS
1で>663な組み合わせが男らしいと思うんだ

685: 2020/11/07(土)09:23 AAS
663はともかく、1で十分じゃん
なんで禁止なん？

686: 2020/11/07(土)11:08 AAS
外部からデフォルトポートで接続できるようになっているとそれだけでリスクが大きいってことじゃないの？
同様に身内だけのHTTP/HTTPSサーバも80/443は避けるでしょ

687: 2020/11/07(土)11:49 AAS
そんなもんでリスクが下がって一安心とか思ってる？
22がなけりゃ10022とか代表的な候補試すし、
なんならポートスキャンくらいかけるわな
パスワード認証を落としておくのが唯一で最善の解だろ

688: 2020/11/07(土)12:15 AAS
それより677はちゃんと繋がるようになったのか

689: 2020/11/07(土)13:58 AAS
passwd 認証拒否することの方が port 番号変えることよりも何万倍も重要

690(1): 2020/11/07(土)18:31 AAS
.sshをgithubに上げてたバカもいるから…

691: 2020/11/07(土)21:19 AAS
>>690
AWSを誰でも共有可能にしてくれる人もいるしね
外部ﾘﾝｸ:qiita.com

692: 2020/11/07(土)21:47 AAS
返金してもらえるなら安心してやらかすことができるね

693: 2020/11/08(日)14:31 AAS
な？
Rails だろ？

694(1): 2020/11/08(日)18:41 AAS
qiitaにアカウント作ると脳が退化するんだろ

695: 2020/11/09(月)00:03 AAS
アクセスキーとシークレットキーを公開って、どんなセキュリティ感覚なんだ？

696: 2020/11/09(月)00:35 AAS
両腕ブラリノーガード戦法を気取ったとか

肝心のクロスカウンターを打ち込むタイミングは
完全に逃したみたいだが

697(1): 2020/11/09(月)00:55 AAS
>>694
漏れはあまり退化しなかったぞ

698(3): 2020/11/09(月)11:43 AAS
ボケたおじいちゃんほど「ワシャぼけとらん！」と言うものです

699: 2020/11/09(月)12:20 AAS
677の悩みは解決したのか？
もともと釣り臭いが

700(1): 2020/11/09(月)13:16 AAS
>>698
ボケに限らないが
脳が誤動作してるときは脳がそれに気付けない

それをボケというならそうかもしれんが

701: 2020/11/09(月)22:07 AAS
それはボケだね

702(2): 2020/11/10(火)01:24 AAS
>>700
気付いた時に「あー、ボケてた」て言うじゃん

上下前次 1-新書関写板覧索設栞歴

あと 300 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.022s