iPhoneのOpenSSHを安全に使う設定(jailbreak後)

関連するかもしれない記事

• WindowsからUSBケーブル経由でSSH接続『iPhone Tunnel Suite』の使い方。
• 脱獄iPhoneでいまだかつてない失敗をした。
• 脱獄iPhoneに侵入された事例と関連情報。
• iPhone向けスパイウェアがリリースされるようです。(対象は脱獄者)
• WEPはもう一瞬で解読されてしまうらしい(iPhoneの無線LAN環境見直しを)

Comments:43

匿名 08-07-31 (木) 2:56

パーミッションの644 は600間違いじゃないですか？
そのまま試してつながらないと騒ぐユーザが大量発生したらいいですね

goodegg 08-07-31 (木) 9:34

匿名様

ご指摘の通り”/var/root/.ssh/authorized_keys”は600ですね。
訂正させて頂きました。

自分の設定は600でした…

ご指摘ありがとう御座います！！

匿名 08-08-17 (日) 20:18

自分はiPod touch使いです。
一応rootとmobileのパスワードは変更していましたが、
せっかくのsshなのにやり方が…と思っていたらここを見つけました。

解説ありがとうございました。
大変分かりやすかったです。

# iPhoneでJBってすごく危険なんですね。
# 3G経由でどこからでも入れちゃうなんて…ガクブル

goodegg 08-08-18 (月) 2:20

そう言って頂くと嬉しいです。
iPhoneでjailbreakしてOpenSSH入れて何もしていない人って実際どれくらいいるんでしょうね。
実際に攻撃される可能性は少ないとは思いますが….root権限でって怖さ倍増ですね。

あつし 08-08-27 (水) 16:51

最近JBしたのですがopennsshはインストしていません。
JBしただけならば他からアクセスされることはありませんよね？

goodegg 08-08-27 (水) 17:32

あつしさんのご推察の通りかと思います。
shh入っていなければ当面は大丈夫かと存じます。

ファイル転送だけなら以下のようなソフトでやってしまうっていうのもありです。
http://www.oshiete-kun.net/archives/2007/12/touchtouchexplorer.html
（ちょっと古い記事ですが…)

TTT 08-09-07 (日) 15:40

はじめまして
winpwn-2.5のcustumで2.0.2からJB成功しました。
ありがとうございます。
その後、rootパスワードを変更しようと思いましたが、MobileTerminalでsu rootとpasswdコマンド入力後、パスワード入力がどうしてもできません。
installerでレポジトリiphone.sleepers.net/repo.xmlを追加し、SUID Lib Fixをインストールしようとしたのですが、This iPhone term fix, fixes an issue where you cannot login to any of the term apps after installing BSD subsystem v2.0 or newer.という内容のURLを見ろと表示されインストールできませんでした。
BSD subsystem v2.0はインストールしておりません。
cydiaを一度アンインストールしなければならないのでしょうか？
SUID Lib Fixに代わるソフトもしくは他にパスワードを入力するための方法がありましたら教えてください。
よろしくお願いします。

goodegg 08-09-07 (日) 23:30

TTTさんへ。

パスワードが入力できないと言うことですが..

1.MobileTerminal起動
2.su rooot
3.Password: 入力するがなにも表示されない

って感じでしょうか。

3の時点では”なにも表示されない状態が正しい”んですが、
そんな勘違いでないですよね。
それならパスワード入力後、returnキー押せば解決なんですが…

私もFW2.0.2 WInPwn(Custom)なんですが、
特段SUID Lib Fixなどはインストールしていません。

Passwordを入力できないっていうのは…
入力するとアプリが落ちる/固まるんでしょうか、
それとも何かのエラーメッセージが表示されるんでしょうか。

TTT 08-09-08 (月) 9:00

＞3の時点では”なにも表示されない状態が正しい”んですが、
そんな勘違いでないですよね。

すみません、勘違いでした。

ちなみに、rootとmobileのパスを変更しただけではセキュリティ上安全とは言えないのでしょうか？

goodegg 08-09-08 (月) 10:04

勘違いでも解決したようでよかったです。

>ちなみに、rootとmobileのパスを変更しただけではセキュリティ上安全とは言えないのでしょうか？

絶対と言うことはどんな設定していてもないかと思いますが、
たぶん大丈夫だと思います。

私はipod touch FW1.1.3時代に、
passwdコマンドでパスワード変更すると問題が起きたことがあったので、
個人的にトラウマになっているのでその方法を実践＆紹介していません。
(そのときは確かBSD Subsystemの問題かなにか。)

以下のサイトではパスワード変更して、
特に問題ないみたいです。
（この方は＋鍵方式にしてますが…)

【iPhone hack 2】iPhoneにSSHで接続する。- aquadrops
http://aquadrops.jp/archives/522

TTT 08-09-08 (月) 20:13

以下のサイトを見てパスを変えても問題が起きない様でしたので試みました。
http://www.laloopa.com/20080424/84/

rootもmobileもパス変更しましたが、今のところ問題なく動作しております。

どうもありがとうございました。

Pat 08-09-13 (土) 23:46

記事に関係ないお話で申し訳ありません。。
脱獄済みで、iPhoneの画面の右上にSan Marcosという文字と、66°という文字が急に出てきたのですが、原因が
分からず困っております。原因、そしてなにか打つ手は考えられるでしょうか‥？

goodegg 08-09-14 (日) 0:02

San Marcosはきっと地名ですよね。
私はなったことないですね。
google先生にさっと聞いてもわかりません。
なんかアプリ入れたり、設定変えたりしませんでした？

Pat 08-09-14 (日) 0:23

地名ですね！
私も調べましたが判りませんでした。
多分なのですが、WinSCPを使い、Winterboardのアイコンを一つ一つ拾って入れてた時から変わったような気がします。。
さっきは66°だったのが65度に下がりました(^-^;)

taku 08-09-24 (水) 22:03

こんばんは。

JB初心者ですがいろいろと勉強させてもらっております。ありがとうございます。

以下の点について質問があります

2.とりあえずの設定　で２番目の

SSHを使わない時はBossPrefsでSSHをOFFにしておく([設定]から3GをOFF)

ですが、SSHをOFFにしたのであれば、３GをOFFにする必要が無いと思うのですがどうでしょうか？

goodegg 08-09-24 (水) 22:53

>taku san
おっしゃるとおりです。
しばらく気付いてませんでした。
いまから直しておきます。
ご指摘ありがとう御座います。

... 08-10-14 (火) 1:46

rootとmobileのパスワード変更の参考に。

http://d.hatena.ne.jp/gnutar/20071013

goodegg 09-01-30 (金) 1:58

記事内容を全面改定しました。
・設定例をrootユーザでのログインOK -> rootユーザでのログインNGに変更。
・関連情報を追加。
何も考えないで記事書いていると冗長化が著しいなぁ。

知らない人 09-01-30 (金) 8:32

タイムリーな記事、どうもありがとうございます。

早速、変更させてもらいます。（もう、書かれている通りにしか出来ない素人ですが）
これで、SSHオンのまま忘れていても（たまにある）安全かなと思います。

本当にためになる記事をいつもありがとうございます。

知らない人（素人の意） 09-01-30 (金) 11:15

連続で済みません。
結局、root接続に戻しました。Terminalコマンドに疎いもので、CyberduckのSSH接続で
かなりのファイル操作をしてます。root権限で実行するものばかりでした。(^◇^;)

goodegg 09-01-30 (金) 12:32

sshログインは上記手順でmobileのみに限定して、ログイン後suコマンドでrootユーザになれば良いかと思います。その1手間がセキュアかと。

jailbreaker 09-01-30 (金) 14:20

ipodtouchを復元していて気づいたんですがiphoneの設定とitunesで出ていたんですがもしかしてバグ？
環境はvistaでipodはma623jです

知らない人（素人の意） 09-01-30 (金) 20:19

goodeggさん、こんばんは。
Terminalでのリモート接続なら確かにsuでOKなんですが、Cyberduck(Mac)ではSFTPでmobile接続
した後にsu -> rootに切り替えられないんですよ。コマンド送信は出来そうなのですがうまく行きま
せんでした。
幸いというかCyberduckは鍵ファイルを選択出来るので、Terminalではid_rsaでmobile接続として、
もう一つid_rsa.rootという鍵ファイルを作ってこちらでCyberduckはroot接続するようにしました。

goodegg 09-01-30 (金) 20:38

> 知らない人（素人の意） san
すみません。どんな風につかっているか分ってませんでした…
SFTP,SCPは”su root”は確かにできません。

私の場合、ファイル転送はmobileユーザがアクセスできる所にコピーしてからか、i-FunBoxでやってますが…
(i-FunBoxはWindows向けのUSB経由でファイル転送するです。Mac向けはMacユーザでなく分りません…)

ただ面倒なのも事実。

どっちゃにせよ、とりあえず鍵認証にしておけば大丈夫だと思います。

知らない人(素人の意)さんは実はそれなりにわかってらっしゃると思いますが…
本当にしらない人用にとりあえず一番安全なroot拒否の形の記事に改訂しました。

rootが良いって方向けに記事内に補足追記しました。

知らない人 09-01-31 (土) 9:18

ふざけた名前で済みません。
基本、SFTPで大部分操作してます。ファイルのリネーム、複製、パーミッション、編集ですら
iPhone上に置いたまま出来るんです。
本当に必要な最小限しか、Terminalは操作しません（出来ません）goodeggさんの記事にある
コマンドの羅列を意味も判らず打ち込んでいるレベルです。

本当にいつも有用な記事ありがとうございます。（私的アンテナにも登録させて頂きました。）

nobu 09-03-10 (火) 11:47

はじめまして。iPhoneの購入を考え（契約の関係で買えるのは２ヶ月先ですが）いろいろと下調べをしているものです。

iPhoneはOpenSSHをダウンロード後WinSCPでroot接続をすることでファイルの管理が出来ますが、記事の中にあるようにキーファイルを作成しroot接続を禁止してしまった場合、WinSCPを用いてのファイル管理は出来なくなりますよね？
WinSCPでrootの代わりにmobileでRSA認証をして接続すれば同じことが出来るのでしょうか？

ちょっと記事の内容とは逸れているかもしれませんがそこら辺を教えていただければ助かります。

goodegg 09-03-10 (火) 22:04

>nobuさん
コメントありがとうございます。
おっしゃる通り上記内容ですと…WinSCPでroot権限のファイルを持ってくることはできません。
上記記事ではrootでのアクセスを禁止して、mobileでのファイル操作を想定しています。

1.PuttyなどでSSH接続(at mobile)
2.suでrootユーザになって、取得したいファイルをアーカイブし、mobileがアクセス可能にする。
3.WinSCPでSCP接続(at mobile)

と手間がかかります。

これが面倒で堪らなければrootでの接続を許可するのも、ひとつの選択かと思います。

nobu 09-03-10 (火) 22:28

goodeggさん　お返事ありがとうございます。

なんだかいろいろと難しそうですね。僕には対策方法がまだ良く分からないです(^^;;

root接続を許可してもmobileと同様キーファイルを作成しておけばセキュリティはほとんど問題ないですよね？

ところで、root接続を許可し、mobileと同じ公開鍵をrootにも入れて１つの秘密鍵で２つの認証を行うってのは可能ですか？こういう使い方が出来るのか不明ですが・・・。それとも、mobileとは全く別の公開鍵と秘密鍵を作らなければいけないのでしょうか？

goodegg 09-03-10 (火) 23:06

>nobuさん
こんばんは！

>root接続を許可してもmobileと同様キーファイルを作成しておけばセキュリティはほとんど問題ないですよね？
何をやっても完璧なんてないとは思ってますが…十分だと思います。あとはBossPrefsやSBSettingsで必要ないときにSSHをOFFにしておくとかですかね。

>ところで、root接続を許可し、mobileと同じ公開鍵をrootにも入れて１つの秘密鍵で２つの認証を行うってのは可能ですか？こういう使い方が出来るのか不明ですが・・・。それとも、mobileとは全く別の公開鍵と秘密鍵を作らなければいけないのでしょうか？

同じ鍵を使いたい！って思ったことがなく試みたことがないため、できるかどうか確定情報を持ち合わせていませんが…通常別の鍵にするかと思います。

nobu 09-03-10 (火) 23:21

こんばんは。　早い回答ありがとうございます！

>何をやっても完璧なんてないとは思ってますが…十分だと思います。あとはBossPrefsやSBSettingsで必要ないときにSSHをOFFにしておくとかですかね。
分かりました。とりあえず買ったらそういう方法にしてみます。

もう一つの方は　http://www.ibm.com/developerworks/jp/linux/library/l-keyc/　によると
「公開鍵はその生成後、アクセスしたいリモート・マシンにコピーすることができ、リモート・マシンは1つの私有鍵に対して認証を行うことができます。つまり、アクセスしたいすべてのシステムに対してそれぞれのキー・ペアを生成する必要はなく、たった1つのペアでよいということです。」
と書いてあるのでmobileと同じキーファイルでOKのようですね。なんか、自分で聞いた事なのに申し訳ありません。

最初は脱獄のことすら良く分からなかったのですが、分かってくると非常に奥が深いですね^^;;
いろいろと調べていくうちにあれもこれも出てきてiPhoneがこんなに多様性があるとは思ってもいませんでした。
goodeggさんのこのページは非常に参考になります。分からないことがあったらその都度質問させていただくかもしれませんが、その時はまた是非教えてください。ありがとうございました。

goodegg 09-03-11 (水) 2:29

> nobu さん
きちんと調べて答えずにすみませんでした。
また参考URLありがとうございます！

奥が深くて楽しいですよねぇ。
答えられることはお答えするので何かあればまたどうぞ。

まるぼろ 09-03-26 (木) 14:56

初めまして。JBとは何かと調べていたら、ここにたどり着きました。
質問よろしいでしょうか？アイコンを変更したり、メールの着信音を鳴らす。
という事をする場合、OpenSSHを入れないと出来かねるのでしょうか？
更に、JBした後、SSHを未使用でもrootとmobileのpassword変更をするべきなのでしょうか？
お返事お待ちしております。

goodegg 09-03-26 (木) 23:01

>まるぼろ san
はじめまして！

App StoreのJailbreak版に相当するCydiaと言うソフトからアプリを導入する、i-FunBoxなどのUSB接続経由のソフトでファイルを見るだけならOpenSSHは不要です。
また個人的には必要性がなければOpenSSHをいれないことをオススメしています。

用意されたアイコンなどに変更するだけならWinterBoardなどのアプリが、
メール(i.softbank.jp)の通知音を鳴らすならSBankNotifyと言うアプリがあります。

パスワード変更についてはOpenSSH導入如何に関わらずオススメします。
Jailbreakは純正品よりもセキュリティ的には脆弱になります。（きちんと対応をしていれば堅強と言う考えかもありますが..）

Jailbreakによってファイルシステムもオープンになりますし、OpenSSHに関わらず穴があった場合に、
パスワードを変更している方が良いと言う認識です。

Jailbreakについてはどうしても自己の責任においてとなってしまうので、
納得いくまでお調べになってから実施してくださいませ。

まるぼろ 09-03-27 (金) 0:08

早速のお返事ありがとうございます。
大変参考になりました。それでは、OpenSSHは基本的にいれない方向で考えます。
メインが、アイコン変更と着信音なので・・。
簡易な質問にもかかわらず、お答え頂本当にありがとうございました。
また、何かありましたらサイトを熟考してみます。

まるぼろ 09-03-27 (金) 0:08

早速のお返事ありがとうございます。
大変参考になりました。それでは、OpenSSHは基本的にいれない方向で考えます。
メインが、アイコン変更と着信音なので・・。
簡易な質問にもかかわらず、お答え頂本当にありがとうございました。
また、何かありましたらサイトを熟考してみます。

nobu 09-04-06 (月) 19:50

goodeggさんこんばんは。お久しぶりです。

先日、念願のiPhoneを購入し早速いろんなところをいじくりまくっています。
今日、無事にiPhoneへの認証方式を鍵認証へ移行出来たのですが、
Terminalからviコマンドを用いsshd_configの設定を変えて鍵認証だけに切り替えたかったのですが、command not foundとなってしまい、viコマンドを受け付けてくれませんでした。
因みにPC側ではcygwinを使用しているのですが、cygwinでやっても同じようにcommand not foundと出てきて設定の変更が出来ませんでした。
何か思い当たる節がありましたらご教授願います。

goodegg 09-04-06 (月) 23:55

> nobu san
おひさしぶりです。
iPhone購入おめでとうございます！
壊さない程度にガツガツいじっていきましょう。

さて、viコマンドですがCydiaからNew Viをインストールすると使えるようになりませんでしょうか？

nobu 09-04-07 (火) 11:04

New Viをインストールした途端に使えるようになりました^^;
まだまだ勉強が足りないようです・・・

無事に鍵認証へ完全移行出来ました。ありがとうございました。これでひとまず安心といった所です。

syslogも取れるように設定を変えたいのですが、まだ良く分からないので勉強します。

pine 09-04-20 (月) 16:18

こんにちは。PC素人、iphone初心者です。
私は今週から長期で海外に行くのでsimロックを解除したいが為に脱獄をしました。yellowsn0wとopenSSHを入れ、root、mobileユーザのパスワードを変更もた上でdocomoのsimカードを入れたのですが使えませんでした。脱獄アプリは特に必要なくsimフリーにして海外でtextと通話と標準のiphone機能さえ利用できればいいです。時間がなく一人で焦っているのですが、リスクも少ない最良方法がわかれば教えて下さい。

goodegg 09-04-20 (月) 18:12

> pine san
コメントありがとうございます。
必要に迫られたことがないので正直SIMロック周りは情報・知識をもってません。

yellowsn0wって脱獄方法等が限定されていませんでしたっけ？
ベースバンド（モデムファームウェア）のバージョンが対応している、していないうんぬん。。。
そんな程度の認識しかなく、申し訳ないです。

SIMフリーにしないで…通話ローミング＋データローミング停止って方法もありますが、通話料が高くなるから長期だと考えものですね。

参考：：
http://mitaimon.cocolog-nifty.com/blog/2008/09/iphone3g-577d.html
http://www.kenkyuu.net/whatsnew/2009/02/iphone_abroad.html

mon 09-04-27 (月) 10:28

最近脱獄したのですがOpenSSHはインストールしていません。
今後インストールの予定もありません。

そこで質問ですがOpenSSHを入れていなくてもiFunBoxでファイルの操作ができますがこれって正常ですか？脱獄によって勝手にOpenSSHがインストールされてる事ってあるんですかね？
返答お願いいたします。

baron 09-05-07 (木) 0:11

初めまして、私バロンと申します。よろしく。

さっそくですが、iPhoneのOpenSSH導入で本記事を参考にさせて頂きました。ありがとうございます！(^^

また記事を読んでいて、少し気になったのでコメントさせて頂きます。

“1.PuttyでiPhoneに接続”の手順で、iPhone(サーバ)で秘密鍵と公開鍵を生成する手順になっていますが、鍵生成はiPhoneにSSH接続するコンピュータ上(クライアント)で生成することをお勧めします。
秘密鍵は、生成したコンピュータから外部へ持ち出さないことがセキュリティ維持になるので、iPhone上(サーバ)で鍵生成はしない方がいいと思いますよ。

資料を探していて、いくつかわかりやすい記事を見つけたので以下にご紹介しておきます。

5分で絶対に分かるPKI - @IT
http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin00.html

公開鍵暗号方式 - IPA
http://www.ipa.go.jp/security/pki/022.html

それではまた。

goodegg 09-05-08 (金) 22:22

>baron san
鍵を持ち出さないって言うのはおっしゃる通りですね！
コメント＆URLありがとうございます。

Trackbacks:3

トラックバックURL

http://iphone.goodegg.jp/archives/186/trackback

Listed below are links to weblogs that reference

iPhoneのOpenSSHを安全に使う設定(jailbreak後) from iPhone.goodegg.jp

pingback from iPhoneNotes使いたさにJailBreakについて調べてみた — hibilog 2008 08-08-20 (水) 23:39

[...] iPhoneのOpenSSHを安全に使う設定(jailbreak後) - iPhone.goodegg.jp [...]

pingback from [脱獄]iPhoneに入れているJailbreak向けアプリ | Web scratch 08-10-18 (土) 17:58

[...] るときに使ったりする。 OpenSSHも弄っとく。 iPhoneのOpenSSHを安全に使う設定(jailbreak後) - iPhone.goodegg.jp [...]

pingback from iPhoneOS 2.2.1が来た。 « watrix 09-01-29 (木) 12:29

[...] ■Five Icon dock - FW2.0+でもdockにアイコンを5つに！ ■OpenSSH - SSHで接続（セキュリティには注意！） ■MobileTerminal - [...]