リモートワークを行う際に俎上に載る問題のひとつが「プライベートネットワークにある組織内リソースにどのようにアクセスするか」です。今回はそんな問題の解決策のひとつとなりうる、SSH経由でSOCKSプロキシを構築する方法を紹介しましょう。 HTTP/HTTPSが使えるVPN(のようなもの)がほしい ここからいろいろ述べますが、簡単に言うと「SSHのDynamic Port ForwardingをSOCKSプロキシとして利用する」というだけの話です。 さて、リモートワークによる働き方は、会社の文化・セキュリティ要件によって多種多様に分かれます。その中でも最も「ゆるい」のが、「個人の端末・インターネット回線を用いてあとは良しなにやってくれ」というものでしょう。作業がインターネット上で完結する、つまりパブリックなクラウドサービスを積極的に活用している業務であれば、それでもおおよそなんとかなります。
Uber、Facebook、NetflixがどのようにSSHを使っているか
Gravitationalより。後半は宣伝だが... JUL 16, 2019 BY JON SILVERS ある調査によると、39秒ごとにサイバーセキュリティ攻撃があります。このような攻撃に対する防御は、今日の企業の運営方法にとって最も重要になっています。ITインフラストラクチャを保護するための従来のアプローチは、ファイアウォール、VPN、パスワードポリシーなどの周辺指向のソリューションです。これらはすべて優れていて必要なものですが、コードやインフラストラクチャレベルで組織に「組み込まれている」セキュリティベクトルを言及していません。これが、コンプライアンス、devops、エンジニアリングなどの従来とは異なる分野でセキュリティが強化されている理由の1つです。 多くの顧客やエンドユーザーが取り組んでいるdevopsレベルでは、より多くのチームがインフラストラクチャの保護に注力しており、それ
attributes.rb `��ùU default['sshd']['sshd_config']['AuthenticationMethods'] = 'publickey,keyboard-interactive:pam' default['sshd']['sshd_config']['ChallengeResponseAuthentication'] = 'yes' default['sshd']['sshd_config']['PasswordAuthentication'] = 'no' index.markdown Hi! I'm Liz, a Developer Advocate at honeycomb.io, and I spent my first weeks at the company doing security hardening of our infrast
How SSH port became 22 The default SSH port is 22. It is not a coincidence. This is a story of how it got that port. When I (Tatu Ylonen first published this story in April 2017, it went viral and got about 120,000 readers in three days. The story of getting SSH port 22 I wrote the initial version of SSH (Secure Shell) in Spring 1995. It was a time when telnet and FTP were widely used. Anyway, I d
You may have heard that the NSA can decrypt SSH at least some of the time. If you have not, then read the latest batch of Snowden documents now. All of it. This post will still be here when you finish. My goal with this post here is to make NSA analysts sad. TL;DR: Scan this post for fixed width fonts, these will be the config file snippets and commands you have to use. Warning: You will need a re
ホスト鍵とは SSHの鍵はデジタル署名用の秘密鍵であり、本人確認に使われる。いわゆるid_rsaは、ユーザー側の本人確認のために使われる。 一方、SSHサーバー側も専用の秘密鍵を所有している。これは /etc/ssh/ssh_host_{dsa,ecdsa,ed25519,rsa}_key のような場所に保管されている。SSH接続の際には、これを使った公開鍵認証も行われる。クライアント側の .ssh/known_hosts と照らし合わせてチェックする。 ホスト鍵がないと何が問題か もし悪意ある第三者が通信を盗聴・改竄できる場合、偽のサーバーと通信させることができてしまう。すると、適切な暗号を用いて全くの別人と会話しているという本末転倒な状態になる。偽のサーバー上と気付かずにsudoパスワードを入れたら困ったことになるかもしれない。 HashKnownHostsをオフにする 筆者は、ホスト
私は普段は Windows マシンから自宅サーバの Linux に ssh で接続して作業しており、端末内で作業が完結している間はいいのだけど、Web ブラウザはローカル側なので、URL を開いたりクリップボードのやりとりなどが面倒。 そこで便利なのが lemonade! GitHub - lemonade-command/lemonade: Lemonade is a remote utility tool. (copy, paste and open browser) over TCP. ssh 越しから URL を飛ばしてローカルでブラウザを開いたり、リモート側からローカルのクリップボードの読み書きができる。便利。 lemonade を使う上であれこれやったのでメモ。 port forwarding lemonade 作者の pocke さんはローカルマシン内で動いている仮想環境との
macOS Sierra の SSH で、秘密鍵のパスフレーズが Keychain 保存されない問題の解決方法 昨年11月に新しい Macbook Pro を購入して、12月にようやく環境移行などの設定をしはじめたが、これまでできていた SSH接続パスフレーズの Keychain 保存ができない。 SSH の接続が必要な Git 利用時なんかでも、毎回パスの入力を求められてしまうようになった。 も、もしや、macOS Sierraって、 SSH で キーチェーン使えない!? — ハム (@h2ham) 2016年12月12日 Twitter でもつぶやいたが、解決にたどり着けず。自分も検索でたどりついていたが、参考リンクのリプライをもらうものの、解決にはいたらず。 macOS Sierra のSSH接続で、秘密鍵へのパスを覚えてくれない問題 – Qiita とりあえず AddKeysToA
おそらく golang を暫く使っておられる方であればご存じだと思いますが今日は crypto/ssh を紹介します。 Windows で ssh と聞くとどうしても msys やら cygwin やら入れないといけなくて ランタイムを入れるのが嫌だ 特殊なパス形式とか嫌だ そもそも業務で使いづらい といった個人的もしくは政治的な事柄が起きてなかなか実現しづらかったりします。でも golang なら msys や cygwin に頼らず ssh コマンドを、しかもライブラリとして扱う事が出来るので golang で作ったウェブサーバやバッチから UNIX ホストに対して ssh コマンドを送る事が出来るのです。 ssh - GoDoc package ssh import "golang.org/x/crypto/ssh" Package ssh implements an SSH cli
私はかつて、 ssh-chat というプログラムを書きました。 ssh http://t.co/E7Ilc0B0BC pic.twitter.com/CqYBR1WYO4 — Andrey ???? Petrov (@shazow) December 13, 2014 アイデアは単純なもので、ターミナルを開いてこのようにタイプするだけのことです。 $ ssh chat.shazow.net たいていの人はこの後に続けてlsコマンドをタイプするのでしょうが、ちょっと待って。よく見てください。そこにあるのはシェルではなく、なんとチャットルームですよ! 詳しいことはわからないけど、何かすごいことが起こっているようですね。 SSHはユーザー名を認識する sshでサーバーに接続するときに、sshクライアントはいくつかの環境変数をサーバーへの入力として渡します。その中のひとつが環境変数$USERです。
先日、OpenSSH 7.3 がリリースされましたが、 http://www.openssh.com/txt/release-7.3 新しい機能として、ProxyJump設定パラメータと、これに対応する「-J」コマンドラインオプションが加わっています。 以前の記事(OpenSSH のNetcat modeを使う)でも書きましたが、netcat モードができたから、ncとかconnect 使わなくても踏み台越えが楽になりましたが、さらに記述が簡素化されました。 使い方はこうです。 ssh -J user@fumidai user@innerhost 複数台踏み台ホストを経由する場合には、 ssh -J user@fumidai01,user2@fumidai02 user@innerhost と複数の踏み台ホストをカンマ区切りで記載すれば、複数の踏み台を経由したホストにも簡単に接続することが
TIM Labsの言い出しっぺなのに、まるで記事を書いていなかったhimuka_kenです。 ネタはヘビーな話題から、夜のおかずまで…あるんですが、なかなか書く時間がありません。 (サボっていると言われたらその通りですが、何か?) さて、メモをしとかないと忘れてしまいそうなのと、割りと社内でも知られていない?ので 記事として残しておきます。 OpenSSH の manを、ある日しげしげと眺めていると、 -W host:port Requests that standard input and output on the client be for- warded to host on port over the secure channel. なんじゃこりゃ?と調べてみると、OpenSSH 5.4から実質netcat の機能を取り込んだ様です。 今までは、踏み台等の特定のホスト経由で多段で
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
ssh-copy-idコマンドを今さら知ったので、メモ。 何に使うコマンドかというと、sshのクライアント認証で使う公開鍵をサーバー側にコピーするのに使う。 sshでリモートホストに接続する場合、接続先のリモートホストに公開鍵を登録する必要があるが、ssh-copy-idコマンドを使わないと次の手順になる。 ssh-keygen -t dsa →公開鍵と秘密鍵を作成 scp .ssh/id_rsa.pub 192.168.1.16:~ →公開鍵をリモートホストのユーザーのホームディレクトリにコピー ssh 192.168.1.16 →リモートホストに接続。ここでパスワードを入力 mkdir .ssh →ユーザーのホームディレクトリに.sshディレクトリがなければ作成 cat id_dsa.pub >> .ssh/authorized_keys →公開鍵をauthorized_keysファイ
OpenSSHには1本のコネクションで複数のSSHセッションを束ねて使える機能があります。例えば、~/.ssh/configに Host example.com ControlMaster auto ControlPath ~/.ssh/mux-%r@%h:%pと設定しておくと、最初に接続したsshセッションのコネクション(マスターコネクション)を使いまわし、複数のSSHセッションをマスターコネクションに束ねることができます*1。 主なメリットは以下のとおり。 TCPセッションは1つなのでTCPの同時接続数が制限されているサーバでも複数sshが可能*2 コネクションを使いまわした場合、接続にかかる時間が短い(ssh経由で複数回に分けてコマンド投入とかで時間短縮) コネクションを使いまわした場合、パスワード入力やパスフレーズ入力が不要*3 ですが、ControlMasterとControlP
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
