No Such Blog or Diary

«Prev || 1 | 2 | 3 |...| 1009 | 1010 | 1011 |...| 1246 | 1247 | 1248 || Next»

佐川か…

名古屋から昨日の夜に送り出して何故東京に今日届かない? 一日待ってた俺が馬鹿だったのか…

スピードライト 580EX II

でかすぎる気もするけどGN大きいほうがいいよねということで何も考えずにポチッた.よくわからん店だけど今日発送してくれたようなので明日に届くことを期待.

酒6L


この前高島屋で見つけられなかったので室町酒造オンラインショップで買い込んだ.何本買うか一瞬迷ったけどダンボールで来るなら12本だとオラクルが降ってきたので梅酒11本+桃酒1本となった.これで月に一本でも一年もつ.

アホか?

つまりのところ

残った点の解決法.

Match Address を sshd_config に書くのが一番スマートな解決法にみえる.ただ,サブネットマスクのビット長が25というのがちょっと引っかかる.OpenSSHのバージョンが 5.1であれば

Match Address xxx.xxx.xxx.128/25
    PasswordAuthentication yes

とかのアドレス/マスクのビット数というマッチングが効いてくれるのだけど,残念なことにサーバに入ってるのは5.1未満で上の表記が使えない.サブネットが/24だったらワイルドカードを使ったxxx.xxx.xxx.*の表記で問題ないけど/25だとうまく書くすべがない気がする….

別の手法としては,別ポートで内部向けのsshdを立ち上げておいて,iptablesで内側からのssh接続要求をそのポートに回してしまう方法がある.たとえば内向きのsshdが2222で待っているとして

iptables -t nat -A PREROUTING -p tcp -s xxx.xxx.xxx.128/25 -d xxx.xxx.xxx.yyy --dport 22 -j DNAT --to-destination xxx.xxx.xxx.yyy:2222

とか追加してみるとできる(xxx.xxx.xxx.yyyをサーバとして).んで,内部向けのsshdはxinetdで立ち上げるのが設定ファイルの記述量やらの点で一番楽そうな気がする./etc/services に

ssh_internal	2222/tcp

とか追加して, /etc/xited.d/ssh_internal を

service ssh_internal
{
        only_from       = xxx.xxx.xxx.128/25
        disable         = no
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/sshd
        server_args     = -i -f /etc/ssh/sshd_config.internal
        log_on_success  += DURATION USERID
        log_on_failure  += USERID
        nice            = 10
}

とか書いて,内向きのsshd_config を /etc/ssh/sshd_config.internal として

PasswordAuthentication yes

と書いてみる. …あほか?

まあ,内側からパスワードで入らなきゃならん機会ってのは共用マシンからのログイン時だけ&そんなことをする人間も少ないので,内側からのパスワード認証を許可しなくても問題ない気配.

どっち回転?

http://www.procreo.jp/labo/labo13.htmlとか.足だけ見てたら向こう向いて足を左右に振り回しているように見えてきた….股より上まで見ると左右の足の切り替えが起こるので振り回しているだけには見えづらい.

残った点

sshの認証をデフォルトでは鍵で行いつつ特定IPからはパスワードでオッケーにする方法は無いのだろうか? ポート変えて二重に待機していれば簡単だろうけど同一ポートでできるのかな?

«Prev || 1 | 2 | 3 |...| 1009 | 1010 | 1011 |...| 1246 | 1247 | 1248 || Next»
Search
Feeds

Page Top