公開鍵認証によるSSHで使う鍵管理をssh-agentで楽する
ssh接続で使う公開鍵のパスフレーズ入力は面倒ですが、ssh-agentでパスフレーズ入力を代理してくれます。 また、複数サーバを横断する場合に鍵の管理に困りますが、ssh-agentで秘密鍵をサーバに配置せずに済みます。 ssh-agentとは? ssh-agentは認証代理プログラムです。 RSAやDSA、ECDSAなど公開鍵認証に使う秘密鍵をメモリ上に保持します。 エージェントプロセスが生きている間は、sshログイン時のパスフレーズ入力を代理します。 ssh-agentの最大のメリット ssh-agentはパスフレーズを代理してくれることですが、最もその効果を発揮するのは、 複数サーバーを跨いだ認証で、サーバ毎に秘密鍵の配置が不要になります。 インターネット上に秘密鍵を配置するリスクを負わずに、ローカル上で秘密鍵を保持しててもエージェントが認証を代理してくれます。 ssh-agent
MatchでSSH/SCP接続時のProxyCommand有無を区別する | DevelopersIO
ども、大瀧です。 IPアドレスベースのアクセス制限を設定しているサイトにSSH/SCPで接続するために、SOCKSプロキシを経由する環境があります。以下のブログ記事のような構成です。 VPN利用者のためにdelegateでSOCKSサーバーを立ててみました | Developers.IO ProxyCommandを使って踏み台(Bastion)経由で直接ssh/scpする | Developers.IO ~/.ssh/configファイルにProxyCommandパラメータを設定すれば良いのですが、常時プロキシ経由で良いかというとアクセス元IPアドレスが許可IPアドレスに含まれるオフィス出勤時はプロキシを経由したくないといったケースがやっぱり出てくるわけです。 そこで本記事ではMatchパラメータを用いてProxyCommandパラメータの有無を区別する設定をご紹介します。 Matchパラ
S3に置いた公開鍵でSSH認証したい - Qiita
なぜ? サーバが増えると、各ユーザの公開鍵を更新するのが大変 (ansibleとか使ってても)1 LDAPやDB等を使うにしても、サーバ構築・維持の手間を敬遠 DRサイト等の複数拠点に鍵を更新する場合にS3だと楽(aws s3 sync とか)でVPNで繋がっている必要も無い どうやる? /etc/ssh/sshd_config で AuthorizedKeysCommand を指定する 指定するコマンドは ssh-s3-helper S3バケットを用意して、SSH公開鍵をアップロードしておく 実行環境 go 版 (ssh-s3-helper.go) go 1.6.2 で動作確認済み sh 版 (ssh-s3-helper.sh) /bin/sh と、curl または wget で 動作確認済み Bucketポリシーの設定 { "Version": "2012-10-17", "Id":
SSHラッパーコマンドEsshのv1.0.0をリリースしました - オープンソースこねこね
開発の経緯 機能 利用例 ログイン時にターミナルの色を変える アプリケーションのデプロイ Esshは、zsh補完やLuaスクリプトによる動的なコンフィグレーションなど、便利機能を実装した、sshのラッパーコマンドです。 github.com ドキュメントをまとめたWebサイトも作成しました。 https://essh.sitespread.net/ 上記Webサイトのトップにasciinemaで撮ったターミナルオペレーションのデモを乗せましたので、そちらを見ていただければ、どういったものか大体のことはわかると思います。 開発の経緯 2015/11に以下の記事を書き、Zsshというコマンドを作成しました。 kohkimakimoto.hatenablog.com その後、CentOSのリポジトリにzsshというパッケージが存在していたため、コマンド名をzsshからesshに変え、自分の利用に
ポートノッキングで10秒間だけsshdを公開する設定 - hnwの日記
先日Twitterに次のような書き込みをしたところ思ったより反応が良かったので、詳細の設定を紹介します。 UDP53番、TCP443番、UDP123番とポートノッキングをするとTCP443番に10秒だけsshdが現れる、という中二病全開の設定をした。皆様にもお勧めしたい。— hnw (@hnw) 2017年3月26日 といっても特殊なことをしたわけではなく、knockdでポートノッキングの設定を行い、iptablesと組み合わせて実現しました。 ポートノッキングとは ポートノッキングというのは、決められたポートを決められた順番で叩くことでファイアーウォールに穴を空けられるような仕組みのことです。ポートノッキングを使えば、TCPの7000番、8000番、9000番の3ポートにパケットを送りつけると22番ポート (SSH) へのアクセスが許可される、といった設定ができます。 ポートノッキングの
sshのラッパーコマンドを作った - オープンソースこねこね
GoでSSHコマンドに便利機能を追加したコマンドを作りました。 2017/04/11 追記: この記事の内容は古くなっています! 2017/04/11時点の最新の仕様は、次の記事を参照してください SSHラッパーコマンドEsshのv1.0.0をリリースしました - オープンソースこねこね 追記ここまで。以下は2015/11時点の古い情報となります。 github.com 機能として Luaで~/.ssh/configに相当する設定を書ける。 zshの補完機能を使って、接続先一覧を出す。 サーバ接続時にフックを仕込める。自分はスクリーンの色を変えるの使っている。 複数のリモートサーバにまとめてコマンドを実行する。 といったところです。詳細はリポジトリのREADMEを見ていだければと思います。 ビルド済みバイナリをリリースページにおいてあるので、インストールはダウンロードして解凍してパスの通っ
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
最強のSSH踏み台設定 - Qiita
追記:openssh-7.3 以降なら ProxyJump や -J が使えます ホスト名を + で繋げることで多段Proxy接続も簡単に、がコンセプトだった本エントリの設定ですが、OpenSSH 7.3 から ProxyJump という設定が使えるようになったので、使えるなら ProxyJump を使う方が健全だし柔軟で使い勝手も良いのでそちらを覚えて帰ることをオススメします。 使い方は簡単で以下のような感じです。多段も行けるし、踏み台ホスト毎にユーザ名やポート番号を変えることも出来ます。 # 1. bastion.example.jp -> internal.example.jp ssh -J bastion.example.jp internal.example.jp # 2. bastion.example.jp -> internal.example.jp -> super-de
多段SSHをAnsibleで設定する | DevelopersIO
渡辺です。 セキュリティを高めるなどの理由で対象インスタンスにEIPを付与しない場合、SSHは踏み台(Bastion)経由となります(参考: Amazon VPC環境にメンテナンス用の踏み台サーバを構築する)。 踏み台サーバのある構成でAnsibleを利用する場合、ansible.cnfのssh_connectionでssh_argsを設定しましょう。 ssh_configの準備 はじめにsshのconfigファイルを作成します。 これは、~/.ssh/configに設定するファイルの一部と考えて良いでしょう。 Ansibleのファイルと一緒にバージョン管理する方が良いと思うので、Ansibleのプロジェクトルートにおくことをおすすめします。 Host bastion HostName 52.52.xxx.xxx User ec2-user IdentityFile ~/.ssh/prd.
tmux + ssh + Mackerel API を組み合わせたとにかくモダンなサーバオペレーション - ゆううきブログ
冗長化させたホストやスケールアウトさせたホストなどの同じサーバ構成をもつホストグループや、あるサービスに所属するホスト全てに同時にsshして同時に操作したいことがある。 複数のホストに同時ログインするツールとして cssh があるけど、毎回複数のホスト名をチマチマ入力したり、すぐに古くなるホスト一覧ファイルを手元に持ちたくない。Immutable Infrastructure 時代にはそぐわない。Immutable Infrastructure 時代にはホスト名なんて毎日変化するし誰も覚えてない。サーバ管理ツール上のグループ名を使ってグループ配下のホストに同時にsshしたい。 あと、cssh は個人的に挙動がなんか微妙なので、代わりに tmux と ssh を組み合わせている。 cssh はマスタとかスレーブとか気持ちはわかるけど、複数ウィンドウ操作は使い慣れたターミナルマルチプレクサを使
SSH接続時のLANG設定がOS設定値と異なる時の対処方法 | DevelopersIO
藤本です。 私事ですが、本日「AWS 認定ソリューションアーキテクト - アソシエイトレベル」を受験しまして、 無事合格しました。 早速、1週間後に「AWS 認定Sysopsアドミニストレータ― - アソシエイトレベル」を申し込みました。 今月中に3つのアソシエイト取得を目指します。 さて、本題 概要 OSXやLinux/Unixをクライアント端末に利用されている方、 LinuxやUnixにSSH接続した時、 接続先となるOSの言語が確かに英語で設定しているはずなのに、 あれ?日本語?ってなった方がいらっしゃるのではないでしょうか? $ cat /etc/sysconfig/i18n LANG=en_US.UTF-8 確かに言語は英語に設定しているはずなのに。。。 $ date 2015年 7月 8日 水曜日 09:46:17 UTC こんなのや $ ls -l 合計 0 こんなの $ e
SSH Agent Forwarding considered harmful
tl;dr: Don’t use SSH ForwardAgent, it’s stupid and insecure. Use ProxyCommand instead. Hackernews thread on this post r/netsec thread on this post Introduction Since I recently saw a post on Reddit netsec which sadly omitted what to use instead of ssh-agent, I felt it was time to write yet another discussion about the perils of what is a useless workflow at best and a dangerous habit at worst. I’l
サーバ屋日記: sshuttle vpnでサーバのリモート管理を便利に
2013年7月26日金曜日 sshuttle vpnでサーバのリモート管理を便利に データセンタに置かれたサーバに外部からネットワーク経由でアクセスし、電源のON/OFFやBIOS設定、OSインストールなどを行うことができれば、非常に便利です。 最近のサーバには、ネットワーク経由で電源をON/OFFしたり、コーンソール画面を操作するための、IPMI準拠のリモートマネージメント機能が備わっていることが多いので、既に利用されている方も多いと思います。 通常、サーバは、ファイアウォールによりネットワーク的に守られた場所にあるので、踏み台サーバにsshログインして、そこからアクセスしている場合も多いでしょう。 このような場合、リモートマネージメント機能を使うには、オフィスからデータセンタにvpnを張れると便利なのですが、vpnを張るのもなかなか面倒です。 今回、sshuttle(https:/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSH 8.3 client fails with: load pubkey invalid format - Part 2 - Hacker's ramblings
OpenSSH 8.3 client fails with: load pubkey invalid format - Hacker's ramblings
ついにWindowsにMicrosoft公式SSHクライアントがやってくる | スラド