ssh

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10: についての情報交換。
2 ：名無しさん＠お腹いっぱい。 ：2000/12/11(月) 10:51: そうだ、前から訊きたかったんだ。

RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication no
TISAuthentication no
PasswordAuthentication yes

だとパスワードは平文なの？
# ソース読め？めんどうだなあ。
3 ：名無しさん＠お腹いっぱい。 ：2000/12/11(月) 12:59: >>2 sshd と ssh 間の通信は基本的に暗号化されているから、
パスワードはネットワーク上を流れるが平文ではない。
4 ：2 ：2000/12/11(月) 20:20: >>3
お互い鍵がわからない状態でも暗号化するんですか？
乱数で作った共有秘密を平文（同然）で交換してそれで暗号化するとか？
# ああ、なんか勘違いしてそうだ
5 ：名無しさん＠お腹いっぱい。 ：2000/12/11(月) 21:40: APOPとかで使ってるワンタイムパスワードと同じ理屈だったと思ったが。
6 ：名無しさん＠お腹いっぱい。 ：2000/12/11(月) 23:33: 公開キーを使って秘密キーの交換をするんでしょ？
SSLと同じやり方だと思ったが
２回目以降の接続は、（保存してあれば）手元の公開キーを使う、と
7 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 00:00: >>6
PasswordAuthentication yes の場合だろ。
これには公開鍵云々は関係ない。
>>5 が正解じゃなかったっけ？
8 ：2 ：2000/12/12(火) 00:13: どうも。やっぱソース見るかぁ。

>>5,7
でも /etc/passwd だよねえ？ ←実は RSAAuth しか使ったことないらしい
生パスワードが無いから APOP 方式は使えないのでわ？
9 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 00:15: ホスト公開鍵＆秘密鍵、ユーザ公開鍵＆秘密鍵、
セッション鍵、パスフレーズ、普通のパスワード
の区別をつけないと。
10 ：2 ：2000/12/12(火) 00:18: >>9
そう、だから公開鍵をリモートに置いてない場合、セッション鍵を交換
する前のパスワードはどう保護してるかな？　と思って。
# それが気になってず～っと RSA 以外使ってない
11 ：5 ：2000/12/12(火) 01:15: いや、だからワンタイムパスワードの理屈で暗号化されたセッション間を
(生パスが)流れるから、結果的に暗号化はされるちゅう事だと思ったが。
12 ：5 ：2000/12/12(火) 01:17: もちろん生パス流す事には変わりないので、なるべく使わない方がいいのは
言うまでもない。
# 最近のsshd_configにもPasswordAuthenticationは「offにしろ」と
# 書かれてるよね
13 ：5 ：2000/12/12(火) 01:18: ごめん書き方が悪かった。
>もちろん生パス流す事には変わりないので
は
>もちろん生パスを打ち込む事には変わりないので
に訂正。
14 ：名無しさん＠腹一杯 ：2000/12/12(火) 03:03: Cygwin でも最近は openssh が入るんだね。
Win なクライアントから slogin とかscp ができて便利便利。
http://sources.redhat.com/cygwin/

あと、PuTTY の pscp も使える。plink も。
http://www.chiark.greenend.org.uk/~sgtatham/putty/
# PuTTY 自身は日本語通さないから辛い。

パスワード/データの通信路を暗号化ってことなら、
既存の ftp クライアントがインターフェースに使える
SafeTP なんてのもあった。
http://www.cs.berkeley.edu/~smcpeak/SafeTP/
15 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 03:20: >>14 CygwinでもOpensshが入るって、ものすごく貴重。特にscp。
16 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 07:40: 一応sshdも動くんだけど、まだちょっと動作が変な感じ > Cygwin

Win9xとかFATで使ってる場合、秘密鍵他人に読まれちゃう危険性はある
んで、意図的にPasswordAuthentication使うのもありかも。
17 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 08:55: Cygwinのsshdってちゃんと使えるのかな?
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=971354040&ls=50
18 ：2 ：2000/12/12(火) 09:10: >>12
> いや、だからワンタイムパスワードの理屈で暗号化されたセッション間を
> (生パスが)流れるから、結果的に暗号化はされるちゅう事だと思ったが。
ごめんなさい、やっぱりわかりません。
「ワンタイムパスワードの理屈」をわかってないのだと思うのですが、
この仕組みは
「両端はあらかじめ共通の秘密を知っていて、両者が同一であることを確認できる」
というものですよね？（少なくとも APOP のはそうですよね）

両端が共通して知っているのは「パスワード」だけですが、こいつはサーバ側では
crypt(3) されてるから使えないのではないか？　と思ったのですが、、、

僕はどこを間違えているのでしょう？？
19 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 11:38: ここを見よ:
http://tanaka-www.cs.titech.ac.jp/%7Eeuske/doc/openssh/man-sshd.html
20 ：14 ：2000/12/12(火) 12:03: >>15-17
えと、クライアントとしての ssh/scp が便利ね。
sshd(って言うのか？) を動かしてwinに入る方は期待してないっす。

>>18
1. (loginするときの)パスワードと、通信路暗号化のための暗号鍵は別物。
暗号可された通信路経由でパスワードを送る。

2. 通信路の暗号可に使うのは、固定鍵暗号（共通鍵暗号）方式。
だって、公開鍵暗号は計算のコストが高くて遅いから。

3. 固定暗号鍵は毎回変わる。
同じ固定鍵を使っていると、そのうち(類推/力尽くで解読)される可能性がある
また、固定暗号鍵は第三者に見られちゃイヤン。

4. てことで、両者の間で同じ固定暗号鍵を共有するために、
　a)鍵交換のテクニックを使う (ElGamal だっけ?)
　b)公開鍵暗号方式を使って、固定暗号鍵について同意を形成するための
　　暗号可れた通信路を作る。
のどっちかを使う。
# ワンタイムパスワードは、a) だと思った。もっと詳しい人説明キボソ。

大筋あってると思うけれど。
21 ：>14 ：2000/12/12(火) 13:19: まぁ大体あってるけど、OTP と a) との話はまったく別だけど。
あと鍵交換アルゴリズムは Diffie-Hellman だ。
22 ：2 ：2000/12/12(火) 13:27: ありがとうございます。
> 1. (loginするときの)パスワードと、通信路暗号化のための暗号鍵は別物。
はい、これはわかってます。

> 暗号可された通信路経由でパスワードを送る。
この通信路を *公開鍵無しで*（authorized_keys が無い状態で）なおかつ
*認証が完了する前に*（クライアントを信用できない状態で）どう確立するか？
がわかってません。あ、サーバの host public key で暗号化するんですか？

> 2. 通信路の暗号可に使うのは、固定鍵暗号（共通鍵暗号）方式。
> だって、公開鍵暗号は計算のコストが高くて遅いから。
これもわかってます。

> 3. 固定暗号鍵は毎回変わる。
> 同じ固定鍵を使っていると、そのうち(類推/力尽くで解読)される可能性がある
> また、固定暗号鍵は第三者に見られちゃイヤン。
はい、これもわかってます。

> 4. てことで、両者の間で同じ固定暗号鍵を共有するために、
>　a)鍵交換のテクニックを使う (ElGamal だっけ?)
これがわかってないのかな？？

>　b)公開鍵暗号方式を使って、固定暗号鍵について同意を形成するための
>　　暗号可れた通信路を作る。
はい。

>>19
すみません。以前から悩んでたのでそれは穴が開くほと読みました。
23 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 16:25: ちがわねえか？
公開鍵暗号ってのは確かに秘密鍵をばらさずにすむから便利だけど、
ある公開鍵がなりすました他人のものではないという保証が難しい。

そこで、鍵交換がでてくるわけだ。といっても、鍵交換自体が公開鍵
暗号の焼き直しみたいなものだが。ElGamalは公開鍵運号系の一つだし、
鍵交換の方法でもあるわけだ。

結局このへんをつきつめると、ゼロ知識証明にたどりつく。ここから
先はちょっとばっかし算数（つーか論理的思考）が必要よ。
24 ：asm ：2000/12/12(火) 19:34: 俺も ssh のソースを読んだわけじゃないから偉そうなことは言えないのだが
>>20 に書いてることがおおむね正しいんじゃないか?

俺は ssh のプロトコルを次のように認識している。

1) まず client はあらかじめ何らかの方法で server のRSA(DSA)公開鍵を
　　手に入れ、それを known_hosts(known_hosts2) に書いておく。

2) sshの接続の始めに server は自分のRSA(DSA)公開鍵を client に通知し、
　　client はそれを known_hosts(known_hosts2) の内容と比較する。

3) これで、client は server が別のホストのなりすましでないと確認でき、
　　また client -> server の片方向の暗号化通信路が確立できる。

4) 次に、このあとの通信に使うための共通鍵暗号の鍵を交換する。
　　ssh1 では client が 256 bit のランダムな数を選び、3)の
　　片方向暗号化通信路で送る。
　　ssh2 では Diffie-Hellman アルゴリズムで共通鍵の交換を行う。
# 正確には、ssh1 ではより安全に鍵交換を行うため server は 2)で
# 1時間毎に再生成されるもう一つのRSA公開鍵も client に送っている。
# 区別のため、この鍵をサーバ鍵、1)の鍵をホスト鍵と呼ぶ。

5) これで client <-> server 間の双方向暗号化通信路が確立される。
　　以降、*Authentication の設定に基づいて client の認証が行われる。

この手順だと PasswordAuthentication でも素の password は
暗号化通信路の中でしかやりとりされないから、かなり安全だと思う。
でも、例え暗号化されていても password は送りたくないってのなら
RSAAuthentication を使えばいいわけで。
25 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 22:09: Windowsで使える、日本語の通るまともなsshクライアントないっすか？
ttsshはいまいちバギーだし、RSAで動いてくんないし。
26 ：名無しさん＠お腹いっぱい。 ：2000/12/12(火) 22:46: ホスト間認証って challenge/response じゃないの?
しろうと質問ですまん。
27 ：名無しさん＠お腹いっぱい。 ：2000/12/13(水) 00:15: >>25
今、RSA Authで使ってるぞ。
28 ：20 ：2000/12/13(水) 00:37: >>24
詳細説明感謝
ソースが読めない厨房なので感謝

概要把握したつもりでも説明するとやっぱダメだわ

OTP云々濡ところは大誤り
29 ：名無しさん＠お腹いっぱい。 ：2000/12/13(水) 03:39: >>25
ttssh.exe使わずにTERATERM_EXTENSIONS=1設定してttermpro.exeから
起動した方がいい。ttssh.exeからの起動はなんか変な事が多かった。
30 ：名無しさん＠お腹いっぱい。 ：2000/12/13(水) 20:49: OpenSSH の Anonymous CVS Snapshot が用意された
http://bass.directhit.com/openssh_snap/
31 ：asm ：2000/12/14(木) 01:37: >>26
公開鍵暗号を使った認証も challenge/response 型認証の
一つと言えるでしょう。
普通の一方向性関数を用いた場合との違いは、認証を受ける側だけが
秘密の情報を知っていればよいという点です。

ssh1 の場合は challenge に対する response を返さずにそのまま
共通鍵暗号の鍵にしているようですが。
# つまり、本物の server だけが共通鍵を手に入れられることを認証として
# 使っている。

ssh2 では Diffie-Hellman アルゴリズムでの鍵交換の前に
ホスト認証を行ってるはずですが、man の内容しか読んでないので
具体的にどのような方法で認証を行っているかはわかりません。
# やっぱりsource読むしかない?
32 ：anonymousさん ：2000/12/18(月) 14:46: SolarisにSSH2.3.0を入れたのだが -f を付けて実行するとマシンごとハングしてしまう。
(2.1.0pl2でも同様。ただしSSH1では大丈夫)
どうすりゃいいんでしょうか？
あと、こういうのはどのMLで聞けばいいの？
ちなみに
% uname -a
SunOS ***.***.***.jp 5.6 Generic_105181-17 sun4u sparc SUNW,Ultra-1
こういうシステム。
33 ：名無しさん＠お腹いっぱい。 ：2000/12/18(月) 19:32: ssh は仕組みが結構知られてるようで厳密なこと知ってる人って実は少な
いよなー、RFC あるんだっけ？　I-D だけかな。このスレで輪読しません
か。あるいはどなたか解説しませんか。
34 ：名無しさん＠お腹いっぱい。 ：2000/12/18(月) 20:20: こんな記事が届いたよ。
http://securityportal.com/cover/coverstory20001218.html
35 ：名無しさん＠お腹いっぱい。 ：2000/12/18(月) 20:49: >>33
RFCその他に記載なし
36 ：名無しさん＠お腹いっぱい。 ：2000/12/18(月) 20:58: http://www.ssh.fi/drafts/
37 ：anonymousさん ：2000/12/18(月) 21:08: >>36
それちと古い。
http://www.ietf.org/html.charters/secsh-charter.html
38 ：名無しさん＠お腹いっぱい。 ：2000/12/18(月) 21:21: http://www.openssh.com/manual.html
39 ：名無しさん＠お腹いっぱい。 ：2000/12/19(火) 19:42: ssh1とsslが最近簡単にのっとられるように
なっちゃったじゃない。みんなssh2に逝こう
40 ：asm ：2000/12/21(木) 17:08: >>39
たぶん>>34のリンク先のことを言ってるんだろうが、
ちょっと誤解を招きかねない言い方だな。

>>24で書いたようにsshではサーバーが送ってくる公開鍵と
known_hosts に書いてある公開鍵が一致するか確認することで
なりすましを防いでいるわけで、逆に言えば known_hosts に
接続先の公開鍵がない状態では簡単になりすましの餌食となってしまう。
これがsshの最大の弱点であり、ssh1でもssh2でも同じ。
ssh2が安全なのではなく、まだdsniffがssh2に対応してないだけであり、
原理的にはssh2もハイジャック可能だ。

でも、known_hosts の内容さえしっかり管理しておけば
ssh1でもまだ十分安全なはず。
結局、どんなツールも利点・欠点をちゃんと理解して使うべしってことだな。
41 ：名無しさん＠お腹いっぱい。 ：2000/12/21(木) 17:25: 結局、ある人のためにあたらしくアカウント作ってあげるときは
「おまえの identity.pub よこせ」と言って
そのユーザの ~/.ssh/authorized_keys に置いたうえで、
当該ホストの ssh_host_key.pub を「おまえの known_hosts に
追加しろ」といって送りかえせばいいのね。
42 ：???????????????B ：2000/12/21(木) 18:04: >>41
>「おまえの identity.pub よこせ」

とは言われたけど、送ったらそれだけでログインできたよ。
でも /etc/passwd の crypt 認証 (て言うのか?)
だったけど。もしかしたら最初から RSA 認証させるには

>「おまえの known_hosts に追加しろ」

が必要なのかもしれない。
43 ：41 ：2000/12/21(木) 21:08: いやオレが言いたかったのはそういうことじゃなくって…
パスワード打ったってことは、きちんと RSA 認証できてないってことだ (サーバの設定かもしれんが、それも妙な話だ)。
known_hosts はなりすましを防ぐためにあるってことだよ。
44 ：名無しさん＠お腹いっぱい。 ：2000/12/21(木) 21:22: known_hostsには勝手に追加される。なりすまし防止の観点からは、
手動の方がいいけどな。
秘密鍵にパスフレーズを設定しておいたら、それをうちこまなきゃ
いけないので、一概にはいえない。

一番いいのは ssh -v で、ごちゃごちゃでてくるのを読む。
RSAAuth Failed とかなんとかってでてれば失敗してる。
45 ：名無しさん＠お腹いっぱい。 ：2000/12/21(木) 21:29: >44 んでも、秘密鍵のパスフレーズって /etc/passwd の
パスワードとは別モンだろう。42の状況は、PasswordAuthentication
になっちゃってるんじゃないかということよ。
46 ：名無しさん＠お腹いっぱい。 ：2000/12/26(火) 01:17: age
47 ：名無しさん＠お腹いっぱい。 ：2001/01/04(木) 23:07: 気がついたら21世紀age
48 ：42 ：2001/01/05(金) 00:32: >>42
>>「おまえの identity.pub よこせ」
> とは言われたけど、送ったらそれだけでログインできたよ。
ごめん。大嘘。identity.pub よこすか、/etc/master.passwd にある
crypted passwd よこせ、って言われたんだった。で、当時は何の
こっちゃかわからず、後者を選択したの。
49 ：sendmail.org ：2001/01/12(金) 13:54: http://openssh.org
50 ：名無しさん＠お腹いっぱい。 ：2001/01/12(金) 13:56: http://openssh.com
51 ：名無しさん＠お腹いっぱい。 ：2001/01/14(日) 15:43: >>48
普通､identity.pub渡すだろ。
52 ：42 ：2001/01/14(日) 17:02: >>51
だから当時は ssh のことを全くわかってなかったんだってば。
53 ：名無しさん＠お腹いっぱい。 ：2001/01/14(日) 18:16: >>52
そういう事ね。
54 ：名無しさん＠お腹いっぱい。 ：2001/01/21(日) 10:05: age
55 ：名無しさん＠お腹いっぱい。 ：2001/01/22(月) 11:41: ふん。
所詮、公開鍵暗号なんて量子コンピュータができるまでの命。
56 ：名無しさん＠お腹いっぱい。 ：2001/01/22(月) 11:55: >>55
ネタにしても面白くなさすぎ。
57 ：名無しさん＠お腹いっぱい。 ：2001/01/22(月) 12:54: ゼロ知識証明ってどういう概念? 本は難しすぎてわからんし、
検索エンジンでもあまりいい説明がなかった。
公開鍵暗号系で鍵交換をすることはゼロ知識証明に入る?
58 ：名無しさん＠お腹いっぱい。 ：2001/01/22(月) 13:33: 培風館「暗号と認証」に平易な説明が載ってるよ

英語で良ければ「Applied Cryptography」の 102-104 ページくらいがいい

つーか数学板で訊けば教えてくれる人いるのでは？
59 ：名無しさん＠お腹いっぱい。 ：2001/01/23(火) 03:02: >>55 >>56
でも、本当だよな・・・
やっぱり機密情報は暗号化しようとしまいと
ネットワークに流さない方がいいのかな?
60 ：名無しさん＠お腹いっぱい。 ：2001/01/23(火) 03:19: 我々がどんな機密を持っているのいうのだ。
61 ：名無しさん＠お腹いっぱい。 ：2001/01/23(火) 16:26: 18禁エロゲーとロリ画像
62 ：まつらー ：2001/01/23(火) 16:34: >>59
ssh と関係ないけど企業秘密と言えば、NEC がイヤン♪な
メールフィルタアプリを発表（売？）したとか。
（Linux アプリだけど。）
http://www.necsoft.co.jp/soft/mailguardian/

N.G. ワードや、添付ファイルをチェックするみたい。
暗号化されてるのは、どーするんだろ？

給料泥棒してる我が身にとっては、嫌なシステムねぇ。(笑)
63 ：まつらー ：2001/01/23(火) 16:34: 更に関係ないが、Web ページのソースを見たら、Kondara で作ってた。
<meta name="GENERATOR" content="Mozilla/4.7 [Kondara-ja]
(X11; I; Linux 2.2.14-0.8k1 i586) [Netscape]">
ふーん。。。
64 ：名無しさん＠お腹いっぱい。 ：2001/02/14(水) 18:00: なんだか今更になって、SSH の元作者 (いまは SSH Communication Security の社長) が OpenSSH チームに「SSH という名前はうちのトレードマークだ、名前変えろ」っていってるみたいよ。
65 ：名無しさん＠お腹いっぱい。 ：2001/02/14(水) 18:52: じゃ変えよう。シェルでも無い奴に sh 付いてて欝だったところだ。
66 ：名無しさん＠お腹いっぱい。 ：2001/02/14(水) 21:52: >>64
最近の流行ですな。そういうの。
67 ：名無しさん＠お腹いっぱい。 ：2001/02/14(水) 23:02: >>65
rsh (remoteの方ね) はどうする？
68 ：65 ：2001/02/15(木) 00:45: >>67
一緒にあぼーんじゃ、と思ったが
その存在忘れてた自分が欝なんで逝ってくるよ。
69 ：名無しさん＠お腹いっぱい。 ：2001/02/15(木) 05:19: ssh-1.2.31age

また入れ替えっかよー... (ﾌﾞﾂｸｻ
70 ：名無しさん＠お腹いっぱい。 ：2001/02/15(木) 15:32: ssh 1.2.31 もやばいよ。
SSH1 を使うなら OpenSSH 2.3.0p1 でどうぞ。
71 ：名無しさん＠お腹いっぱい。 ：2001/02/15(木) 21:05: >>64
ネタ元きぼん。
72 ：64 ：2001/02/15(木) 21:34: >>71
See the openssh-unix-dev ml archive:
http://marc.theaimsgroup.com/?t=98211717600006&w=2&r=1
73 ：名無しさん＠お腹いっぱい。 ：2001/02/15(木) 23:29: 最近のＳＳＨデーモン(1.2.x)は全部root取られちゃうよ～
http://www.securityfocus.com/
74 ：71 ：2001/02/15(木) 23:41: >>72
thanks!
75 ：名無しさん＠Ｅｍａｃｓ ：2001/02/16(金) 02:34: opensshはroot権限だけじゃなく、名前まで取られそう(W
76 ：名無しさん＠お腹いっぱい。 ：2001/02/16(金) 19:45: TTSSH 1.5.3 age
77 ：名無しさん＠お腹いっぱい。 ：2001/02/16(金) 21:49: FreSSH-0.8.1 age (よーわからんが)
http://www.fressh.org/
78 ：ロッソ ：2001/02/16(金) 22:55: 　〃
（中」中）ノ　へぇ、FreSSH おもしろそうだね～
79 ：名無しさん＠お腹いっぱい。 ：2001/02/18(日) 05:08: OpenSSH 2.5.0 age
80 ：名無しさん＠お腹いっぱい。 ：2001/02/18(日) 06:02: PortForwarderを使って普通のTelnetクライアントで
sshを使いたいのですが、この場合パスワード認証なしに
接続することは可能でしょうか？
現在はssh経由でTelnetdにパスワード認証で接続しています。
（暗号化されたパスワードが流れている状態です）
81 ：名無しさん＠お腹いっぱい。 ：2001/02/18(日) 11:42: 23を潰して、RSAかDSAでしかログインできないように設定して
ユーザのパスワードを空にすればお望みどおりでは？
82 ：名無しさん＠お腹いっぱい。 ：2001/02/19(月) 15:01: 早くこいこい2.5.0p1
83 ：80 ：2001/02/19(月) 22:25: レスありがとうございます。やっぱりそれしかないですかねー。
空パスワードはちょっとまずいんです。
ところで、ssh経由でTelnetdにパスワード認証で接続という
使い方で実際に外部から会社のマシンなどに
アクセスするのはセキュリティ的にどうなんでしょう？
Telnetdは走ってますが、ポート23はFWで閉じてます。
暗号化されているとはいえ、パスワードが流れるというのが
ちょっと不安かも？と思うんですが・・・
84 ：名無しさん＠お腹いっぱい。 ：2001/02/19(月) 22:50: 2.5.0p1 は飛び越したようですね。
2.5.1p1 あげ。
ftp://ftp.openssh.com/pub/OpenBSD/OpenSSH/portable/
85 ：ロッソ ：2001/02/19(月) 23:06: 　〃
（π」π）ノ　早速 make & install だーっ！
86 ：名無しさん＠ちょっとへこんでる ：2001/02/20(火) 01:33: >>83=80
パスワード認証なし、の場合は別にして、パスワードが流れるのを嫌う
のでしたら、ssh 上で opie や s/key を使うのはどうでしょう

# 使ったことはないんですが、可能かと思われます... 間違ってます？
87 ：名無しさん＠お腹いっぱい。 ：2001/02/22(木) 19:59: TTSSH 1.5.4 age
88 ：>>87 ：2001/02/23(金) 06:06: なんで What's New が更新されてないんだろ？
89 ：某所の管理者 ：2001/02/27(火) 22:38: うちの学生が、ssh のパスフレーズは空でもOK
だよという余計な事を広めてしまったので、空の
パスフレーズを付ける人が増えてしまいました。
こともあろうに教官までが。

で、各ユーザの秘密鍵にパスフレーズが設定され
ているか確認する簡単な方法はありませんか?
ファイル
~/.ssh/identity
のパスフレーズです。
90 ：名無しさん＠お腹いっぱい。 ：2001/02/27(火) 22:42: (echo;echo;echo)|ssh-keygen -p -f $HOME/.ssh/identity
とやって、終了コードが 0 ならそいつのパスフレーズは空。
どうでしょ?
91 ：某所の管理者 ：2001/02/27(火) 23:11: >>90
Thank you!
うまくいきそうです。ありがとうございました。
92 ：名無しさん＠お腹いっぱい。 ：2001/02/27(火) 23:52: >>88
不気味ですね。
ソースもないね。
93 ：名無しさん＠お腹いっぱい。 ：2001/02/28(水) 00:42: 「SSH」はオープンソースにあらず？
http://www.zdnet.co.jp/news/0102/27/e_ssh.html

見習うに値しないオープンソース事業モデル――SSHをめぐる論争
http://www.zdnet.co.jp/news/0102/27/e_leibovitch.html

OpenSSH開発プロジェクトから学ぶ教訓
http://www.zdnet.co.jp/news/0007/13/somogyi.html
94 ：名無しさん＠お腹いっぱい。 ：2001/02/28(水) 03:31: >>92
同じところにソースあるよ。ttssh154.zip
95 ：94 ：2001/02/28(水) 06:14: う、間違えた。ttssh154src.zip
96 ：名無しさん＠お腹いっぱい。 ：2001/02/28(水) 23:57: 何でリンク張らないんだろ　> ttssh154src.zip
97 ：名無しさん ：2001/03/01(木) 00:34: 単に忘れたんでしょ
98 ：名無しさん＠お腹いっぱい。 ：2001/03/02(金) 04:26: OpenSSH 1.5.1p2 age
99 ：名無しさん＠お腹いっぱい。 ：2001/03/02(金) 04:26: 2.5.1p2 だ。鬱。
100 ：名無しさん＠お腹いっぱい。 ：2001/03/16(金) 21:38: ssh2とopen sshのコンパチ問題はどうにかならんのかage
101 ：名無しさん＠お腹いっぱい。 ：2001/03/16(金) 22:17: コンパチ問題って?
102 ：名無しさん＠お腹いっぱい。 ：2001/03/17(土) 00:01: OpenSSHデーモンうごかしてるサーバーに
ssh2では入れないでしょ?

[nanasi@2ch]~% ssh host.somewhere.com
warning: Authentication failed.
Disconnected; MAC error (Message authentication check fails.).

[nanasi@2ch]~% ssh1 host.somewhere.com
Last login: Fri Mar 16 11:50:43 2001 from 2ch
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.

Welcome to 2ch...

う、こういうの書くの緊張するなあ。個人・ホストを特定できる情報は
変更してあります。
103 ：101 ：2001/03/17(土) 23:04: それはヘンだぞ >>102
Server: OpenSSH-2.5.1p2
Client: SSH-2.4.0
で、できたよ? openssh の ssh-keygen -X を使って SSH.COM の id_dsa.pub を変換したものを OpenSSH の authorized_keys2 に追加した。
104 ：名無しさん＠お腹いっぱい。 ：2001/03/17(土) 23:59: む? んじゃもう解決してるのか?

ホストのOpensshは2.1だった。(FreeBSD 4.1)
クライアントはSSH 2.3.1

管理者と相談してみます。
105 ：名無しさん＠お腹いっぱい。 ：2001/03/18(日) 22:00: >>104 このFAQかな？
http://www.openssh.com/faq.html#2.3
106 ：102 ：2001/03/18(日) 22:51: >>105
さんくす。もっと早く見ておくべきだった。
107 ：名無しさん＠お腹いっぱい。 ：2001/03/21(水) 17:41: OpenSSH 2.5.2p1 あげ
http://www.openssh.com/portable.html
108 ：名無しさん＠お腹いっぱい。 ：2001/03/23(金) 20:02: OpenSSH 2.5.2p2 でてます。

以下、ChangeLog より引用

20010322
- (djm) Better AIX no tty fix, spotted by Gert Doering <gert@greenie.muc.de>
- (djm) Released 2.5.2p2

20010321
- (djm) Fix ttyname breakage for AIX and Tru64. Patch from Steve
VanDevender <stevev@darkwing.uoregon.edu>
- (djm) Make sure pam_retval is initialised on call to pam_end. Patch
from Solar Designer <solar@openwall.com>
- (djm) Don't loop forever when changing password via PAM. Patch
from Solar Designer <solar@openwall.com>
- (djm) Generate config files before build
- (djm) Correctly handle SIA and AIX when no tty present. Spotted and
suggested fix from Mike Battersby <mib@unimelb.edu.au>
109 ：名無しさん＠お腹いっぱい。 ：2001/03/26(月) 13:42: OpenSSH 2.5.2p2 を tcpserver で動かすようにするためのパッチです。
http://storm.sst.com.br/openssh-2.5.2p2-daemontools.diff
110 ：名無しさん＠お腹いっぱい。 ：2001/03/28(水) 17:32: ttssh なんですが Windows 版で聞いても駄目そうなので質問させてください。

ウェブサーバは global IP を持っているが dbserver は private IP しか持っていない
という状況で

ssh webserver -L 15432:dbserver:5432

のようなことをしたいんですが、ttssh の forwarding 機能では設定可能な
項目が少なすぎて

ssh mailserver -L 10025:localhost:25

程度しかできないような気がするのですが ttssh でも可能でしょうか？
111 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 17:59: >110
ポート番号選択するところに数字入力するのはダメ？
112 ：うりゃ ：2001/03/29(木) 18:59: Teraterm.ini をいじるべし。
Autoexec.bat で、SET TERATERM_EXTENSIONS=1
と設定しているなら、[TTSSH]と言う項目が、あるはずだ。
113 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 19:11: >>111
それはもちろん試してますが、ようは localhost のポート番号と
接続先のポート番号しか指定できないわけで

local:xx foo:yy baz:zz
|---------| |----------|

のような指定が出来ないということなんですが...
114 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 21:20: >>113
cygwin 使った方が早いような気がするのはオレだけでしょうか?
PortForwarder とか言うツールもあるみたいよ。
http://portforwarder.nttsoft.net/JP/

もしttsshで出来るなら、オレにも教えてくれ。

# オレも試したが、挫折したクチです。まあ、ほんの数分間ちょっと
# 弄っただけだけど。
115 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 23:30: >>110
Local 10025 to remort "foo.bar" port 25
とかいう設定は TTSSH で出来ますけど。
Foward Local port 10025
to remort machine port 25
って感じで。
116 ：???????????????B ：2001/03/30(金) 10:46: >>115
それはもちろんおーけーでしょう. 馬鹿でもできる.

>>114
もちろん cygwin の方が楽だし, 俺も cygwin で普段はやってる.
が, 客のマシンだから必要最低限で済ませたいんですよ.

PortForwarder も見つけたがダメっぽかった.
117 ：名無しさん＠ＸＥｍａｃｓ ：2001/03/30(金) 11:05: 確か、非cygwin環境でも動く、sshあったような気がするなあ。
コマンドラインで動かす奴。

うーん、検索したが、どこにあるのかわからないな。スマソ。
118 ：名無しさん＠お腹いっぱい。 ：2001/03/30(金) 11:34: ttp://bmrc.berkeley.edu/people/chaffee/winntutil.html
ここは？
119 ：名無しさん＠お腹いっぱい。 ：2001/03/30(金) 13:35: >>116
DefaultForwarding=L15432:dbserver:5432
ttssh.exe /ssh webserver:22
でいいんじゃないの？
120 ：なまえをいれてください ：2001/04/10(火) 23:39: age
121 ：名無しさん＠お腹いっぱい。 ：2001/04/16(月) 22:22: openssh-2.5.2 → ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-2.5.2.tgz
122 ：名無しさん＠お腹いっぱい。 ：2001/04/17(火) 19:05: 訳せる人いる､､､､､
ssh-keygen(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1
sshd(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8&apropos=0&manpath=OpenBSD+Current
ssh(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh&sektion=1&apropos=0&manpath=OpenBSD+Current
ssh-agent(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent&sektion=1&apropos=0&manpath=OpenBSD+Current
ssh-add(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add&sektion=1&apropos=0&manpath=OpenBSD+Current
sftp(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sftp&sektion=1
sftp-server(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sftp-server&sektion=8

各マニュアルの一番下の欄を見たら､「OpenBSD 2.9｣って書いてあるけど､もうすぐOpenBSD 2.9が公開されるのかな。
つい最近､2.8をインストールしたばかりなのに。
123 ：名無しさん＠お腹いっぱい。 ：2001/04/17(火) 19:37: SSH Secure Shell 3.0は､今年の６月頃にフィンランドSSH社から発売予定(Windows, UNIX, Linux, and Sun Solaris platforms)。

多分OpenSSH 3.*.*のリリースはそれ以降だな。
124 ：名無しさん＠お腹いっぱい。 ：2001/04/18(水) 01:12: >>123
major version が違うってことは、protocol 自体も
version が上がるってことでしょうか? SSH-2.0 ですら
それほどは普及していないというのに…。
125 ：日出ずる国の使者 ：2001/04/18(水) 04:57: >>123
SSH2なんて結構、普及し照てるじゃん。確かSSH2は、SSH1のプロトコルをサポートしてたよね。
126 ：日出ずる国の使者=>>125 ：2001/04/18(水) 04:58: ゴメン。>>124の間違え。
127 ：名無しさん＠お腹いっぱい。 ：2001/04/18(水) 05:26: >>122
次期 2.9 になる snapshot が公開されたよ。
５月１日頃になるみたいだね。
www.deadly.org
128 ：122 ：2001/04/18(水) 06:08: XFree86-4.0.3が、OpenBSD 2.9の中に組み込まれそうだね。
SSH3(openssh3.*.*)は、恐らくというより間違いなく2.9以降になりそうだけど。
129 ：名無しさん＠お腹いっぱい。 ：2001/04/21(土) 23:15: いま、Linuxにssh2を入れてます。でもこれだとssh1からは入れず。
そこで、ssh1をインストールしてssh1/ssh2共用にした方がいいのか、Opensshを入れて、ssh1,ssh2のどちらからでも入れるようにしたほうが良いのか、どっちがよいのでしょうか？

MacOS X10.0.1はOpenSSHが標準なんですよね～
でもMacOS9ではNiftyTelnet+SSHでssh1しか使えないから
ssh2のLinuxに入れないので困ってるところです。
常用MacOS9から、わざわざOSX10.0.1に切り替えるのも面倒で。

＃自宅のCATV常時接続から会社にsshでつなげるのが目的
なんですが、peerかなんかに１時間もしないうちに接続
切られてしまいます。どうしてだろう？
130 ：名無しさん＠お腹いっぱい。 ：2001/04/22(日) 02:13: >>129
どっちでもいいんじゃないかな。いまssh2をなにかで使ってるなら、それを敢えて
つぶすこともないので、ssh1だけ入れればいいだろうし、ssh2もあまり使いでが
なければ、まあどちらでもって感じ。
131 ：名無しさん＠お腹いっぱい。 ：2001/04/22(日) 02:32: sshといえば、学校の計算機センターのsshがいつのまにかに
ssh-2.4.0にバージョンアップしていた。止めてくれ。Open
SSHとなぜかお話出来ない…。
132 ：名無しさん＠お腹いっぱい。 ：2001/04/22(日) 08:06: 新年、明けましておめでとうございます。
133 ：129 ：2001/04/22(日) 09:55: 130サン、コメントどうも。
そうか、ただ気になる記事があるのです。
BSD magazine 2000.Number06のp.78に、SSH1,SSH2,OPENSSH,LSHへと
変遷させた著者の経験談が載っていて、その時の問題点が
いろいろとでています。たとえば、相手ホストはSSH2を解釈
するはずなのに設定でSSH1しか見ないというトラブル、逆に
クライアントがSSH1を優先してしまっている状況で、
相手ホストがSSH2以外は受け付けない、SSH2とOPENSSHの
間で認証はできるが、サーバ／クライアントのデータ浩瀚で
整合性がとれない、など、「なかなか思った通りには
動いてくれない」と書いてありました。
SSH初心者の私には、ちょっと怖じ気付いてしまう記事です。

それならいっそ、SSH2関連ファイルを全部消して、改めて
OPENSSHを入れた方が問題が起きなくていいかなと思うんです。
134 ：129 ：2001/04/22(日) 10:01: >>131
私の場合、会社はLINUXでssh2.4.0を使っています。
自宅ではMacOS X10.0.1でOPEN SSH-2.3.0p1ですが、
双方で、sshで入れますよ。
135 ：ロッソ ：2001/04/22(日) 11:45: 　〃　　　　>>134
（中」中）ノ　それ、ssh1 も入っているからじゃないですか？
136 ：129 ：2001/04/22(日) 11:59: >>135
LINUXにssh1は入ってないです。数日前にssh2.4.0をインストール
しました。ssh1のクライアントからは、そのLINUXには入れなかったです
137 ：CCルリたん。 ：2001/05/01(火) 16:46: Solaris2.6で、ssh-2.4.0のサーバをVer.1互換モードにして inetd から立ち
上げる設定にしたら、ssh-1.2.27/OpenSSH-1.2.3のクライアントとお話できな
くなりました。daemonで立ち上げた場合は問題ありません。inetdから立ち上
げる場合のみの不具合です。

原因は、sshd2は起動時にversionの出力をするのですが、daemonモードだと
stderrに出るので問題ないのですが、inetdだと、クライアントにversionの出
力を渡してしまうようです。それが不具合を起こすようです。

サーバとクライアントどちらで対応すべきか知らないのですが、サーバに次の
パッチをあてたら治るようです。私は英語書けないからだれか連絡してくれ(^^;;

*** ssh-2.4.0/apps/ssh/sshd2.c.ORG Mon Apr 30 03:24:50 2001
--- ssh-2.4.0/apps/ssh/sshd2.c Mon Apr 30 03:26:54 2001
***************
*** 1092,1098 ****
else
av0 = argv[0];

! ssh2_version(av0);

/* Initializations */
restart = FALSE;
--- 1092,1098 ----
else
av0 = argv[0];

! /*ssh2_version(av0);*/

/* Initializations */
restart = FALSE;
***************
*** 1299,1304 ****
--- 1299,1307 ----
}
}

+ if(!(data->config->inetd_mode))
+ ssh2_version(av0);
+
data->debug = data->config->verbose_mode;

/* load the host key */
138 ：名無しさん＠お腹いっぱい。 ：2001/05/02(水) 13:03: openssh-2.9.0
139 ：CHANGES ：2001/05/02(水) 13:34: ・ SSH2 における Hostbased 認証をサポート。
・ Rekeying (両方の鍵を再生成) をサポート。
140 ：???????????????B ：2001/05/03(木) 20:50: sshを用いてNISを安全に行いたいのですが参考になるようなサイト等はありますか?

http://www.vacia.is.tohoku.ac.jp/~s-yamane/FAQ/ssh/ssh-faq-4.html#ss4.6
141 ：名無しさん＠お腹いっぱい。 ：2001/05/04(金) 01:42: >>140
どうしても SSH 使わないとダメ? secrpc 使うんじゃダメ?
142 ：名無しさん＠お腹いっぱい。 ：2001/05/06(日) 04:13: secrpcとは何でしょうか？
googleで検索してみたのですが日本語ページはひとつも引っかかりませんでした。
英語のページは今から読んでみます。
143 ：名無しさん＠お腹いっぱい。 ：2001/05/06(日) 09:05: securePC?ネタか…
144 ：141 ：2001/05/06(日) 09:42: >>143
Solaris8 な machie で man secure_rpc してみましょう。
Linux でも
http://www.cs.vu.nl/~gerco/SecureRPC/
とかある模様。
145 ：名無しさん＠お腹いっぱい。 ：2001/05/06(日) 10:28: ふと考えてみると、secure RPC って基本的には Solaris only
だよな…。

あと、NIS を捨て捨てして NIS+ にいっちゃうとかいうのも
思ったけど、これなんかさらに Solaris only だし。

最近、どうも頭の中が Solaris になってしまっているなぁ…。
146 ：dsniff ：2001/05/08(火) 00:21: >>1-145
安心するな。

64.4.43.7 ******.passport.com
64.4.43.7 ******.hotmail.com
147 ：名無しさん＠お腹いっぱい。 ：2001/05/08(火) 20:57: % ssh machine
でmachineに入って、
% exec &
バックグラウンドでジョブを動かし、exitしようとしても、
execが終了するまでプロンプトが出てきません。
こういう場合はどう対処すれば良いのでしょうか？
148 ：名無しさん＠お腹いっぱい。 ：2001/05/08(火) 22:02: ssh -f machine cmd (& はつけない)
149 ：名無しさん＠お腹いっぱい。 ：2001/05/08(火) 23:35: -f ではちょっと駄目なわけがありまして。
あるディレクトリ上でそのコマンドを実行しないといけないのです…
150 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 01:13: ssh 自体をバックグラウンドジョブにすれば良いんだよね。exit を
実行後 ~^Z で ssh をサスペンドして bg でどう？
151 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 01:42: >>149
ssh -f machine 'cd /dir; cmd' とか。
cd して cmd を実行する wrapper を作って、それを
ssh から実行するとか。
152 ：147 ：2001/05/09(水) 10:29: >>150
マニュアルを見たのですが良くわからなかったので・・・
~ っていうのは普通にチルダを入力しては駄目なんでしょうか？
^Z はCtrl + z ですよね?

>>151
なるほど、一度試してみます。
153 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 10:45: 「~& (チルダのあとにアンパサンド)」で直接バックグラウンドになるよ。
ただし ~ は改行を入力した直後に押さないとだめ。
154 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 16:21: OpenSSH 2.5.1 から 2.9に変えたらログイン出来なくなった。。。
何故に？
155 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 16:59: 2.9 からは、デフォルトのプロトコルが SSH2 だよ。
ssh -1 ではどう?
156 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 17:49: んにゃ、鯖がOpenSSH2.9 でWinからログインできひん事なった。
2.5.2に戻したけどログインできん。
2.5.1に戻したらログインできるようになった・・・・。
157 ：名無しさん＠お腹いっぱい。 ：2001/05/11(金) 13:48: http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=973004747&st=115&to=117
158 ：名無しさん＠お腹いっぱい。 ：2001/05/11(金) 21:25: 板違いなんですが向こうにはsshのスレが無く、こちらの方が適当かなと思ったので。

openssh-2.9p1-1.src.rpm をインストールして
sshdを立ち上げようとしたのですが、

Starting sshd: /usr/etc/sshd_config: そのようなファイルやディレクトリはありません
[FAILED]

というエラーが出てしまいます。
/etc/rc.d/init.d/sshd を見ると、はじめの方に
# config: /etc/ssh/sshd_config
というコメント行があるようなので、このファイルを読むような設定になっているはず
なのですが・・・実際インストール時に/etc/ssh/sshd_config は
作成されているようです。

どうすればsshdを立ち上げることができるでしょうか？
159 ：名無しさん ：2001/05/11(金) 21:52: 素直に
　　cp /etc/ssh/sshd_config /usr/etc/sshd_config
すれば？
160 ：名無しさん＠お腹いっぱい。 ：2001/05/11(金) 22:04: やってみました。
sshd_configだけを移動させてもまだ他にも足りない、と言われるので
/etc/ssh/* 全部を /usr/etc/ に入れると動きました。

なんか納得いきませんが..
161 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 10:18: # config: /etc/ssh/sshd_config
の# 外してないというオチですか？
162 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 16:39: え?ここコメントイン(?)してもいいんですか?
単にインストール時の設定がコメントとして書かれているだけかと思ってました。
ちょっと試してみます・・・

# /etc/rc.d/init.d/sshd restart
してみると
config:: command not found
というメッセージが出てきました。
うちのシステムにconfigというコマンドが入って無い、ということなんでしょうか??
163 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 16:45: それ、コメントアウトしとかなあかんで

>>161
Linuxユーザを混乱さすなや
164 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 22:03: おいらも>>147と同様抜けるときに固まってしまう。
おそらく
http://www.openssh.org/ja/faq.html#3.10
で対処できると思うのだが(当方Linux)、
cshでの書式がわからんのだ・・・
165 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:10: 　　　　　　　　　　||￣￣￣￣￣￣￣￣￣￣||
　　　　　　　　　　||　 BSD馬鹿は　　 Λ_Λ　　いいですね。
　　　　　　　　　　||　　　放置！　　＼　(ﾟーﾟ*)
　　　　　　　　　　||＿＿＿＿＿＿＿＿⊂⊂ |
　　∧ ∧　　　 ∧ ∧　　　 ∧ ∧　　　 |￣￣￣￣|
　 (　　∧ ∧　(　　 ∧ ∧　(　　∧ ∧　|　　　　　　|
～（＿(　　∧ ∧ __(　　∧ ∧__(　　 ∧ ∧￣￣￣
　　～（＿(　　∧ ∧＿(　　∧ ∧＿(　　 ∧ ∧ 　は～い、先生。
　　　　～（＿(　　,,)～（＿(　　,,)～（＿(　　,,)
　　　　　　～（＿__ﾉ　　～（＿__ﾉ　　～（＿__ﾉ
166 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:35: *BSD を使いこなせない厨房発見!
167 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:36: 慶応とか上智はfinger外からでもかけられるみたいだけど。
こういうのってどうなんだろう。
168 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:36: 朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
169 ：167 ：2001/05/13(日) 00:38: スレ間違えた。スマソ。
170 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:49: > 147 名前：名無しさん＠お腹いっぱい。投稿日：2001/05/08(火) 20:57
> % ssh machine
> でmachineに入って、
> % exec &
> バックグラウンドでジョブを動かし、exitしようとしても、
> execが終了するまでプロンプトが出てきません。

> 164 名前：名無しさん＠お腹いっぱい。投稿日： 2001/05/12(土) 22:03
> おいらも>>147[205]と同様抜けるときに固まってしまう。
> おそらく
> http://www.openssh.org/ja/faq.html#3.10[206]
> で対処できると思うのだが(当方Linux)、

「exec </dev/null >/dev/null 2>&1 &」とかすればよろし。
171 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 01:11: > 170 名前：名無しさん＠お腹いっぱい。投稿日： 2001/05/13(日) 00:49
…中略…
> 「exec </dev/null >/dev/null 2>

# &だけ自前でquoteすんの？

「exec </dev/null >/dev/null 2>&1 &」とすればよろし。

…と書いてある。
172 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 11:21: OpenSSH 2.5.1 から 2.9に変えたらログイン出来なくなった。。。
何故に？
何故に？
何故に？
173 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 12:32: 2.9からはデフォルトがSSH2だぞ。ssh -1では駄目か?
174 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 14:02: おお、できました。くだらないところではまってしまった。
175 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 16:47: >>173
ていうか､未だにSSH1使ってるのが分からん。
176 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 16:58: >>175

Tera Term + ttssh を使う場合、SSH1 を使わざるを得ない
と思うが。MS Windows 系 OS のことを考えなくていいなら
SSH1 不要論に同意。
177 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 17:40: >>175
OpenSSH-2.5 までは、SSH2 のサポートが完璧ではなかったから。
(いまも100%完璧ではないけどね)
178 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 21:27: なぜSSH1では駄目なのかがわからん。
179 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 23:49: OpenSSH の鯖にWinからログインは出来ないの？
180 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 23:54: >>179
OpenSSH → OpenSSH2.9
181 ：名無しさん＠お腹いっぱい。 ：2001/05/17(木) 08:36: age
182 ：名無しさん＠お腹いっぱい。 ：2001/05/17(木) 08:54: >>178
そんなあなたにSOI。山口先生が解説してくれます。
http://www.soi.wide.ad.jp/class/20000009/slides/12/
183 ：#!/bin/sage ：2001/05/17(木) 09:49: >>176
cygwin上でopensshを使えばssh1を使わなければならない問題は解決できるぞ。
とりあえず端末程度のことができるだけでよければこれで問題なし。

唯一残るのはTeraTermでないと使えない機能（X/Zmodem等でのファイル転送とか）
くらいだが。
184 ：名無しさん＠お腹いっぱい。 ：2001/05/17(木) 19:22: age
185 ：名無しさん＠お腹いっぱい。 ：2001/05/19(土) 15:05: age
186 ：名無しさん＠お腹いっぱい。 ：2001/05/19(土) 16:39: >>182
いや、全然わからなかったが。
187 ：名無しさん＠お腹いっぱい。 ：2001/05/20(日) 16:04: >>186
http://www.soi.wide.ad.jp/class/20000009/slides/12/7.html
に「SSH1 は弱い (MITM attack を許す」ってあるっしょ。
188 ：名無しさん＠お腹いっぱい。 ：2001/05/21(月) 17:02: http://ton.2ch.net/test/read.cgi?bbs=sec&key=990177436
189 ：asm ：2001/05/21(月) 23:14: >>187
いやいや、SSH2でもMITM攻撃を受ける可能性はあるよ。
というかPKIが整っていない状況では、どんな暗号でも
なりすまし等の攻撃を受ける危険性は常にある。
単にMITM攻撃を受けるってだけの理由じゃ「SSH2だって弱いじゃないか」と言われても仕方ない。

「SSH1が弱い」ってのは、何らかの原因で秘密鍵等が漏れた場合、
雪崩式に通信内容が破られる危険性があるからで、
それと比較した場合、二重三重に暗号化を行っているSSH2は安全だと言ってるに過ぎない。
あと、もう一つの理由はSSH1に、MITM攻撃を仕掛けるツールは存在するが(dsniff)、
SSH2を攻撃するツールは少なくとも公には知られていないってこと。

ここらへんはssh, dsniff, PKIとかのキーワードで検索すればもっと詳しいことが
わかると思うよ。
190 ：名無しさん＠お腹いっぱい。 ：2001/05/21(月) 23:40: >>176
TTSSHにSSH2をくっつけようよしてまーす。
ソース読むと、ほんの少々はSSH2の実装も考えてた形跡がある。
191 ：名無しさん＠お腹いっぱい。 ：2001/05/23(水) 10:46: >>189
SSH1が脆弱というのはこのへんの話だと思いますが。
PKIがなくてもSSH2なら運用ポリシーでMITM攻撃は回避できます。

http://sysadmin.oreilly.com/news/silverman_1200.html
the SSH-1 public-key user-authentication method is also vulnerable;
the attacker may use the signed authenticator from the client side to
access the client's account on the server. However, the SSH-2 public-key
and host-based client authentication methods are MITM-proof: the authenticators
involved are bound to session identifiers that are forced to
be different on either side of the attacker.
192 ：名無しさん＠お腹いっぱい。 ：2001/05/27(日) 14:46: >>190
がんばってくれ。
193 ：名無しさん＠お腹いっぱい。 ：2001/05/28(月) 22:11: >>189の知ったか厨房ぶりが恥ずかしいな。
194 ：asm ：2001/05/29(火) 21:51: おやおや、知ったか厨房なんて言われちゃったよ。

>>191
その点でSSH1が脆弱なのは知ってます。
でも、SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できませんし、
そのためにはサーバ側にユーザの公開鍵が登録されている必要があります。
(当然、ユーザの秘密鍵が洩れていたり、偽物のユーザ鍵をサーバに登録されて
しまった場合もアウト。パスワード認証なんて論外。)

結局、安全な接続を行うには、あらかじめ何らかの確実な方法でサーバの公開鍵を
クライアント側に、ユーザの公開鍵をサーバ側に登録しておき、
それら公開鍵・秘密鍵を厳重に管理しなければなりません。
でも、それができるのなら、SSH1だって十分安全だということができます。
SSH2なら上の前提が破られても通信を完全に乗っ取るのは困難(不可能ではない)だ
という意味で、「SSH2はSSH1より安全」と私は言ってるわけです。
195 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 12:12: >>194
ssh1ってDSA認証使えるの？
>>191の英文を読むと公開鍵を厳重に管理してもMITMを受けるのではないの？
俺の読解力不足だったらスマソ。
196 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 13:35: > SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できません
これってなんで?
認証の種類は関係ないように思うけど。
197 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 13:53: >>195
DSA鍵はSSH2からです。SSH1では使えません
198 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 16:33: 　　　　　　　　　／￣￣￣￣￣
　　　　　　　　　 |　はやくこの板が
　　　　　　　　　 |　　あらし厨房だらけになって
　　　　,＿＿　　　　　| 　　　逝ってくれますように
　　／　　.／＼　　　＼＿＿＿＿＿
　／　　.／( ・ ).＼　　　　　　o〇　　　　ヾ!;;;::iii|//"
／_____／ .（´ｰ｀）　,＼　　 ∧∧　　　　　　　 |;;;;::iii|/ﾞ
￣|| || || ||. |っ￠..||￣　　（,,　　）　ﾅﾑﾅﾑ　　 |;;;;::iii|
　 || || || ||./,,,　|ゝ iii~ 　　⊂　　ヾｗｗｗｊｊｒｊｗw!;;;;::iii|ｊｗｊｊｒｊｗw〃
　 |￣￣￣|~~凸（￣）凸　.（　　,,）～　ｗｊｗｊｊｒｊ从ｊｗｗｊｗｊｊｒｊ从ｊｒ
199 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 16:35: なんだ…レスが増えてたと思ったらこれか。
200 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 18:46: プロトコルの設計上の強度として
SSH2>SSH1
ということでいいんじゃない。
>>194のように運用の話を混ぜるのが間違い。
201 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 21:03: ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　☆
★　　　　　　　　本当の優しみがあります！　　　　　　　　　　　 ★
☆　　　　　　　　楽しいイベントもいっぱい！　　　　　　　　　　　　☆
★　　　　　　全ての引き篭りはここから始まった！　　　　　　　　★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ☆
★　　　　　　http://teri.2ch.net/tubo/index2.html　　　　　　　　　　　★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ☆
★　　　　　　　　　　　だって大好きっ！　　　　　　　　　　　　　　 ★
☆　　　　　　　　　　　　ヽ(´ー｀)ノ　　　　　　　　　　　　　　　　　　 ☆
★　　　　　　　　　　　厨房板リターンズ　　　　　　　　　　　　　　　★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　☆
★　　　　　　時にはケンカ、だけどすぐに仲直り！！　　　　　　　★
☆　　　　　　　　　ここは仮想世界の楽園！！　　　　　　　　　　　☆
★　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　★
☆★☆★☆★ねぇひろゆき・・・ギュッってして・・・★☆★☆★☆★
202 ：asm ：2001/06/07(木) 21:24: >>195-196
>>191で引用されている部分は、MITM攻撃が成功してしまった後の話をしています。
# 例えば、1回目の接続時などに攻撃者から送られたfakeの公開鍵をクライアントが
# 信用してしまった場合や、攻撃者が何らかの方法でサーバの秘密鍵を入手していた
# 場合などです。
# 当然、このような状況ではssh1/ssh2どちらの場合でもMITM攻撃が
# 成功してしまいます。

通常、sshではクライアント-サーバ間の暗号化通信路が確立した後に
ユーザの認証を行いますが、ssh2の認証方式のいくつかは、MITM攻撃を受けた場合に
認証が成功しないようなアルゴリズムを採用しています。
そのような意味でssh2はより安全だと、>>191が引用している記事は述べているのです。
# とは言っても、攻撃する側からすれば、多少面倒な障害が増えただけ
# といった程度ですが。
203 ：asm ：2001/06/07(木) 21:26: >>200
いや、誤解を与えてしまったかもしれませんが、いま私が問題にしてるのは
ssh1とssh2のプロトコル設計上の強度差ではありません。

>>187のリンク先にある記事の
「・ただし SSH1は弱い (MITM攻撃を許す）
　　　　運用面での注意を施せば実用可能」
http://www.soi.wide.ad.jp/class/20000009/slides/12/7.html
という記述と、
「・実際に交換されていないときには、“Man In The Middle” attack を実施される可能性がある（ｓｓｈ１）」
http://www.soi.wide.ad.jp/class/20000009/slides/12/13.html
という記述が、「ssh2を使っていればMITM攻撃は受けない」というような誤解を
招く恐れがあるので不適切だと言いたいのです。

実際は、今まで散々挙げてきたように、ssh2でも鍵管理がしっかりしていなければ
簡単にMITM攻撃を受けてしまいます。

もし上記の記事を訂正するなら、7ページの該当部分は
「プロトコル設計上の強度はSSH2のほうが強いので、SSH2を使用することを推奨」
と述べるだけにとどめ、13ページのほうは
「・実際に交換されていないときには、“Man In The Middle” attack を
実施される可能性がある (SSH1, SSH2共通)」
としておくのが適切だと思います。
さらに、「ネットワークを通じて公開鍵を交換した場合は、
必ず鍵の正当性をfingerprintで確認しておくべきである」
と書いておくのもよいと思います。
204 ：教えて勲 ：2001/06/09(土) 17:04: みなさま、教えてください。
ssh-2.4.0とOpenSSH-2.9で、鍵認証が出来ません。
そこで秀和システムの『OpenSSHセキュリティ管理ガイド』（2001.6.10初版、
著者は２ちゃんねらーでLinux厨房だと（笑））のp.172を見ると、
OpenSSHの鍵ファイルと商用SSH2の鍵ファイル形式に互換性が無いから
変換してやる必要がある、と書いてあります。
　そのやり方を読んでみると、
ssh-keygen -i -f (暗号化されていない商用ssh2鍵ファイル名)
で変換するということですが、（暗号化されていない・・・）を
作るために、ssh2のssh-keygen（ssh-keygen2のことか）コマンドを
使って、秘密鍵のパスフレーズをからに設定してください、これに
よって秘密鍵の暗号化がおこなわれなくなり、OpenSSHのssh-keygen
コマンドで鍵の変換ができるようになります、と書いてあります。

ところが、上の具体的なやり方がわからないのです。
とりあえず、自分なりにやったのは、ssh2クライアント側で
ssh-keygen2 -P id_dsa_1024_a.pub
とやって、出来たid_dsa_1024_a.pub.pubを、サーバOpenSSHの~/.sshに
コピーし、それを
ssh-keygen -i -f id_dsa_1024_a.pub.pub
とやって、ssh2→ssh1鍵ファイル形式に変換したつもりになって、
それをautherized_keys2にcatしたのですが、だめ（パスワード認証に
なってしまう）。

ssh-keygenによるファイル変換の方法がそもそもよく解って無いのは
自分でも承知してるんですが、正しい具体的方法を知りたいのです。

それからこの問題は>>103と関係あるのかな？103に書いてある方法、
＞openssh の ssh-keygen -X を使って SSH.COM の id_dsa.pub を
＞変換したものを OpenSSH の authorized_keys2 に追加した。
の意味もわからないんです。ssh-keygenに-Xというオプションは
manには説明が無いし、SSH.COMが何のことかわからないし、
ssh2のユーザ公開鍵はid_dsa_1024_a.pubだと思うし・・・。

無知な私にどうか教えてくださいませ。
205 ：新山祐介 ：2001/06/09(土) 18:14: >>204 それは商用SSH2クライアントを使って OpenSSHサーバに
ログインしたいということでしょうか? その場合、
サーバ側に置く必要があるのは OpenSSH の公開鍵だけですから、
SSH2側のパスフレーズを空にする必要はありません。あそこに
書いてある注意は「SSH2 の秘密鍵を OpenSSH 用に変換する」
ときだけにあてはまります。SSH2 といえども公開鍵のほうは暗号化されていないので、普通に
% (OpenSSHの)ssh-keygen -i -f id_dsa_1024_a.pub >> ~/.ssh/authorized_keys2
とやればログインできるはずです。
ここの部分ちょっと説明がわかりにくかったですね、すみません。
あとでサポートページに書いておきます。
206 ：教えて勲 ：2001/06/09(土) 18:27: >>205
著者の方から直接のコメント、ありがとうございます！
２ちゃんねらーってことで、期待はしてました(^_^)

目的はおっしゃるとおりでございます。お教えいただいたように
試してみます。

＃サポートページって「はじめに」に書いてあったURLですね。
207 ：教えて勲 ：2001/06/09(土) 19:17: 試したら出来ました！つまり、商用SSH2クライアントを使って
OpenSSHサーバに、鍵認証でログイン出来ました。

ついでに、OpenSSHクライアントからssh -2を使って、商用SSH2サーバに
鍵認証でログイン出来ました。
％(OpenSSHの）ssh-keygen -e -f id_dsa_a.pub >> ssh2ed_id_dsa_a.pub
として、このファイルをssh2サーバの~/.ssh2/にコピーして、
それをauthorizationファイルのKeyで指定してやれば、
見事！に、パスフレーズ入力場面がでてきてくれました。

新山さん、ありがとうございました。この本、良いね！
「SSHセキュアシェルリファレンス」（翔泳社）の本には
OpenSSHとの相互運用なんて一言も書いてない。雑誌にも
個別の解説はあっても相互運用のことまではかかれてないから。。。
208 ：名無しさん＠お腹いっぱい。 ：2001/06/14(木) 00:22: ssh
209 ：名無しさん＠お腹いっぱい。 ：2001/06/19(火) 21:13: OpenSSH-2.9p2

バグフィックスのみ。新機能の追加はなし。
210 ：名無しさん＠お腹いっぱい。 ：2001/07/20(金) 17:45: 本家の3.0が出た
211 ：名無しさん＠お腹いっぱい。 ：2001/07/22(日) 11:27: >>210
早速 security hole がハケーンされて
3.0.1 になってるな。
212 ：名無しさん＠お腹いっぱい。 ：2001/07/25(水) 12:25: sftpのGUIクライアントってあるんでしょうか?
213 ：名無しさん＠お腹いっぱい。 ：2001/07/25(水) 13:23: >>212
scp なら、Windows 用は WinSCP がある。
Mac 用は NiftyTelnet SSH でできるらしい。
214 ：名無しさん＠お腹いっぱい。 ：2001/07/25(水) 13:23: ssh.com って f-secure.com とは違うのか?
215 ：名無しさん＠お腹いっぱい。 ：2001/07/25(水) 13:26: gftp
http://gftp.seul.org/
ただし、sftpserv をインストールする必要あり。
http://www.xbill.org/sftp/
216 ：名無しさん＠お腹いっぱい。 ：2001/07/25(水) 13:30: >>214 f-secureはまえにssh.comの販売代理店みたいなことを
してたらしいが、最近はどっちも売ってるね。
217 ：212 ：2001/07/26(木) 14:23: >>213
はい、WINではWinSCPを使わせてもらってます。
それで、BSDやLinuxにもこういうのはないかな?と思いまして。

>>215
OpenSSH2.9(sftp-server)とsftpservって共存できるんでしょうか・・・?
同じような質問を見つけたんですが、古すぎて回答が見つかりませんでした
http://www.google.com/search?q=cache:7oOD2mrf-u0:nooz.org/comp.os.linux.misc/msg50773.html+sftp+gftp+openssh&hl=ja
218 ：名無しさん＠お腹いっぱい。 ：2001/07/26(木) 20:26: >>217
215じゃないけど、共存できるよ。
219 ：名無しさん＠お腹いっぱい。 ：2001/07/29(日) 23:52: >>218
有り難うございます。おっしゃるとおり共存可能でした。
gftpでの動作も確認できました。
220 ：名無しさん＠お腹いっぱい。 ：2001/08/13(月) 17:00: ファイアウォールごしにsshでつないでいて、ターミナルをほうっておくと
止ってしまうんですが、原因にはどんなものが
考えられるでしょう?

特に
tail -f /var/log/messages
とか
emacs -nw
とかしている場合、1分ぐらい放っておいただけで
とまります。キー操作をうけつけなくなったように見えて、
しばらくしてから反応したりします。

んー、これだけの情報じゃダメですね。
221 ：名無しさん＠お腹いっぱい。 ：2001/08/13(月) 22:45: >>220
そーゆーファイアウォールだからです
222 ：名無しさん＠お腹いっぱい。 ：2001/08/14(火) 00:20: >>220

そういうファイアウォールなんですか? っていうか、
どういう設定をするとそうなるんでしょう?

管理者にねじこむので教えてください。
223 ：名無しさん＠お腹いっぱい。 ：2001/08/14(火) 00:33: >>222
管理者に聞いてみ。
224 ：221 ：2001/08/14(火) 00:46: >>223
つーか、どんなファイアウォールかによるので
管理者じゃないとわからんと思はれ
225 ：222 ：2001/08/14(火) 10:15: >>223 224

了解。お盆あけたら行ってきます。

今のうちの管理者あんまり好きじゃないんだよね。余計なこと
ばっかりしてる感じで。sshコネクション切られるように
なったもの今の人々に変わってからで。
226 ：名無しさん＠お腹いっぱい。 ：2001/08/23(木) 00:47: SSH経由で客にFTPさせたいんですけど、TTSSHのPortForwardingを使ってもらうとして、
ログインはできるけどlsやdirができないんです。ン万番台のポートにつなぎにいこうとしてる。
ファイアウォールは22番開けただけではだめなんですかね？
227 ：ななしさん＠おなかいっぱい ：2001/08/23(木) 00:50: >>226
駄目です。FTPプロトコルについてちょっと調べてみ。
228 ：名無しさん＠ＸＥｍａｃｓ ：2001/08/23(木) 00:56: >>226
キーワードはパッシブモードですね。
229 ：名無しさん＠お腹いっぱい。 ：2001/08/23(木) 01:46: >>226
Cygwin+OpenSSHでscp使ってもらうってのじゃダメかにゅ？
230 ：名無しさん＠お腹いっぱい。 ：2001/08/23(木) 12:42: うちは TTSSH + ZMODEM だよ(藁
WinSCP っていう GUI なツールもあるんで探してみてくれ。
231 ：名無しさん＠お腹いっぱい。 ：2001/08/23(木) 13:03: 鍵のつかえる WinSCP ってないかなあ。
自分のしってる WinSCP は UNIX accnount の password による
認証しかできない。
232 ：226 ：01/08/26 21:51 ID:WvysIa6M: とりあえずWinSCPで行きます。
みなさん情報ありがとうございました。
233 ：名無しさん＠お腹いっぱい。 ：01/08/26 22:11 ID:iy09H5/E: UNIX 板本来の話題なので age

>>230
ヲレもその構成好きなんだけど、TTSSH の zmodem って
大きい file を transfer すると凍るっていう bug があるので…。

ためしに 100MB 転送してみませう。
234 ：名無しさん＠お腹いっぱい。 ：01/08/27 00:12 ID:IEEn6nBM: 今月号の SD の P.212 からの記事に出てる ssh.com の出してる Windows 版
クライアントの日本語版はいつごろ公開されるんだろう
235 ：名無しさん＠お腹いっぱい。 ：01/09/04 01:24 ID:54wipsLs: https://www.netsecurity.ne.jp/article/2/2736.html
これはどうよ？
236 ：名無しさん＠お腹いっぱい。 ：01/09/04 01:30 ID:JslBq3jc: >>235 ふむ......パスワード打ち込む時とかは　意図的に「一本指打法」とか
した方がいいのかな(w
237 ：名無しさん＠お腹いっぱい。 ：01/09/04 01:57 ID:54wipsLs: >>236
パスワード打ち込む時に、所々わざと間違ってバックスペース打つとか言う手は、どうですか？
238 ：名無し ：01/09/04 02:05 ID:hjMMGWB.: どのパスワードが漏れるの？
239 ：名無しさん＠お腹いっぱい。 ：01/09/04 03:30 ID:H/n4pYvE: つーかキー押す度にパケット送信してたんだ?
ENTER押したら一気に送るんじゃ駄目なんかいのう。
240 ：名無しさん＠お腹いっぱい。 ：01/09/04 03:40 ID:JslBq3jc: >>239 ローカル側でキー入力がエコーバックされるようになってないとかなりつらい
特にEmacsなんか使う時のこと考えると......そもそもEmacsなんかだと単純に
ローカル側でエコーバックさせるなんていうのじゃ　まともに使えるか......
241 ：239 ：01/09/04 04:34 ID:H/n4pYvE: あ、暗号化セッション上での話か。逝ってきます...
242 ：名無しさん＠お腹いっぱい。 ：01/09/04 05:36 ID:JslBq3jc: >>241 sshのログインセッションについては　オリジナル版のSSHは知らないけど
OpenSSHのソースを見てみると　SSH1/SSH2いずれの場合もread_passphrase()と
いう関数でパスワード文字列を全部読み込んだ上でパケット送信してるみたい
243 ：名無しさん＠お腹いっぱい。 ：01/09/04 23:03 ID:levxIDCI: >>235
なんだかなあ…
テンペスト仕掛けた方がまだましなんじゃないか?(笑
244 ：名無しさん＠お腹いっぱい。 ：01/09/27 00:47: OpenSSH-2.9.9p2 あげ
http://www.openssh.org/
日本語版は明日中には更新されます。

CHANGES:
ssh-copy-id というコマンドが追加された。
password認証をつかってリモートホスト上のホームに
authorized_keysを自動的にコピーするらしい。
245 ：名無しさん＠お腹いっぱい。 ：01/09/27 00:49: すみません。ssh-copy-idはSlackwareに元々含まれていたもので、
OpenSSHじゃなかったらしい。逝ってくる。
246 ：名無しさん＠お腹いっぱい。 ：01/09/28 01:41: あれ Debian の OpenSSH にも ssh-copy-id がある...
Slack からパクって Debian patch に入れたのかな。
247 ：名無しさん＠お腹いっぱい。 ：01/10/11 00:42: WinSCP 2.0beta age

SSH2
RSA auth.(SSH1 only)
Stored session list
etc...
248 ：名無しさん＠お腹いっぱい。 ：01/10/19 18:02: ＷｉｎｄｏｗｓでＧＵＩで
sftpが使えるｆｔｐクライアントって何があります？
できればSSH2で
249 ：名無しさん＠お腹いっぱい。 ：01/10/19 18:35: >>248
WinSCP でやるしかないんじゃネーノ？
sftp じゃないけど。

つーか、板違い。
250 ：名無しさん＠お腹いっぱい。 ：01/10/20 00:48: >>249
板違いですいませんが
サーバはsolarisなんでカンベン

sftpってやっぱないんですかね
251 ：名無しさん＠お腹いっぱい。 ：01/10/20 01:47: >>250
まぁぎりぎり OK な範囲じゃねぇの?

http://www.ipsec.co.jp/products/ssh/

にあるのが PDF のパンフレットを見る限り SFTP 出来るみたい
が, どうも日本語版の評価版なり非商用版は download 出来ないのか?
252 ：名無しさん＠お腹いっぱい。 ：01/10/20 03:30: OpenSSHメーリングリストで、たしかCuteFTPが "sorta" support と
されていたような気がする。
253 ：名無しさん＠お腹いっぱい。 ：01/10/22 13:16: >>251-252
とりあえずは英語版をＤＬしてみます

teraterm+ttsshはうまくいったので
sftpを試したいのです
254 ：名無しさん＠お腹いっぱい。 ：01/10/22 16:48: ギリギリ OK っつーか win 板でやっても多分・・・
255 ：ｓｆｔｐ ：01/10/22 17:52: だめだ・・
うまくいかない

server：
OpenSSH2.9.9p2のsftpdで

client:
Cuteftp
SSHのsftp2
どっちもだめだった
設定が悪いのか？
誰かこの組み合わせで成功した人いませんか？
256 ：名無しさん＠お腹いっぱい。 ：01/10/23 20:33: Linuxでの話なのですが向こうにsshのスレが無かったので…

sshでリモートホストに接続してそちらでプログラムを走らせ、
そのままログアウトしようとするとそこで固まってしまうのですが
解決法をご存じの方はいらっしゃいませんか?
おそらく
http://www.openssh.com/ja/faq.html#3.10
で書いてあることだと思うのですが、bashでの設定法しか書いてないので(当方tcsh)。
あと、shellをbashに変えてこの方法を試してみたのですが、うまくいかないような…?

-fオプションを使ってバックグラウンドで走らせるようにすればうまくいくのですが、これを使えない状況があるもので、別の方法を探しています。

>>147-153 で書かれているのと同じ状況でしょうか?ただ、
うちの環境ではなぜか ~& が使えないようなんです。
257 ：256 ：01/10/23 20:43: あ、原因がわかりました。
http://www.openbsd.org/cgi-bin/man.cgi?query=ssh
によると、 ~& はプロトコル1でしか使えないようですが
うちは2を使ってるからですね。
1に戻すのが手っ取り早いですね、これは。
258 ：ななしさん ：01/10/23 21:15: >>248
iXplorer が使えると思う。sftp じゃないかもしれんけど、
GUI で ftp ライクに使える。便利。
動作は今ひとつ不安定な部分あり。
ttp://www.i-tree.org/ixplorer.htm
259 ：名無しさん＠お腹いっぱい。 ：01/10/24 01:38: >>256
tcshでも
　% sleep 20 </dev/null >&/dev/null & exit
などとやればすぐログアウトするよ。
でもリモートでプログラム走らせるんならちゃんとデーモン化させとくか、
screen使ってdetachするほうがよいと思うよ。
ここにちゃんとスレもあるし: http://cocoa.2ch.net/test/read.cgi/unix/1001966406/
260 ：名無しさん＠お腹いっぱい。 ：01/10/24 02:19: >>259
うみゅ。ふつ～ screen。tty から入力する必要がある process でも
なんの問題もないし。
261 ：256 ：01/10/24 03:07: >>259
> tcshでも
> 　% sleep 20 </dev/null >&/dev/null & exit
> などとやればすぐログアウトするよ。
うちではやはりこのコマンドでもプログラムが動いている間はログアウト出来ませんでした…

デーモン化、というのがよく分かっていないのですが、
http://www.linux.or.jp/JM/html/netkit/man3/daemon.3.html
この関数を使うっていうことでしょうか?
こちらも今試してみたのですが、やはり実行中ですとログアウトできませんでした(使い方間違ってる可能性も大いにありますが…)。

screenの方は、ちょっと今からマニュアルを読んでみます。
X上で作業する場合でも有用なんでしょうか?
262 ：名無しさん＠お腹いっぱい。 ：01/10/24 04:15: むぅ。Debian unstable に emacs21 がのっかったか。Solaris じゃなぜか
compile に失敗だ…。

>>261
screen は session の再開っていう鬼のように強い機能があるので、X 環境だろ
うだなんだろうが、非常に便利。
263 ：あまね ◆ANPANsaE ：01/10/25 01:14: 何でも質問板にも書いたのですが、
sshのForwardｉｎｇ機能を使って
FTPを行いたいのですが、
FTPのデータ部分も暗号化したいのです。

現在、ＦＴＰクライアントで
データ用ポートにpasvでアクセスし、
LISTしようとしたところでエラーになってしまいます。

使用しているOSはTurboLinux
使用しているFTPはWu-FTP
クライアントOSはWindows98
クライアントFTPソフトはFFftpです。
264 ：あまね ◆ANPANsaE ：01/10/25 01:22: >>226-228でも書いてあるとおり、
pasvにしつつ、
/etc/ftpaccessに
port-allowとpasv-allowを
all　0.0.0.0で書き加えたんですけど…
（検証環境なので、セキュリティは無視しています）
あと、pasvで使えるポートの幅も指定しました
（もちろん1024以上で指定しました^^;）

いろんなサイトを見ましたが、どうしても解決しません。
うぐぅ、困り果てています。
265 ：名無しさん＠お腹いっぱい。 ：01/10/25 01:27: >>264
漏れは問題ないぞ。FreeBSD だけどな（ｗ
266 ：名無しさん＠お腹いっぱい。 ：01/10/25 01:28: >>264 ssh自体がftp proxyに相当する機能を内蔵しないかぎり、
port forwardingでftpは無理。
267 ：265 ：01/10/25 01:30: >>266
漏れはやってるってYO!
268 ：名無しさん＠お腹いっぱい。 ：01/10/25 01:38: >>267
dataは暗号化されてないYO!
269 ：名無しさん＠Ｅｍａｃｓ ：01/10/25 01:42: Passive FTP にしてクライアントをちょい修正すれば
いけるような気がするんだけど、どのみち面倒そう。
sftpかrsync使えってことだな。
270 ：265 ：01/10/25 01:43: >>268
え、そなの？逆向きは暗号化してくんないの？
知らん買った逝ってきます..... ... .
271 ：名無しさん＠ＸＥｍａｃｓ ：01/10/25 02:44: >>270
逆向きな経路は暗号化しない、というか出来ないはず。

ftp のコマンドとデータの通信経路が別だからね…。
家では使わないようにしてます。
272 ：名無しさん＠お腹いっぱい。 ：01/10/25 02:51: >>271
FTPって扱いにくいプロトコルだよねー。
273 ：あまね（ﾀﾞﾒ会社員） ◆ANPANsaE ：01/10/25 09:47: >>265-272
レスありがとうございます。
えっとですね、下記のサイトにFTPのDATA部分の暗号化について
触れてあるのですが、このとおりにやっているつもりなのですが
できないのです…

http://www.ez-net.ne.jp/special/server/no-class/ssh-forward.asp

クライアントによって出来たり、出来なかったりがあるみたいですね。

http://www.ez-net.ne.jp/dictionaries/checked/pasv-ssh.asp

上記のページで紹介されている SteedFTP は既にVerUPされていて
現行のものを使って試したのですがうまくいきませんでした。
274 ：名無しさん＠お腹いっぱい。 ：01/10/25 10:55: >>273
そのページ見てみた。たしかにそうやればできなかないが、そんなこと
するよりscpなりsftpなり使った方がいいよ。
275 ：あまね（ﾀﾞﾒ会社員） ◆ANPANsaE ：01/10/25 11:55: >>274
んー、そうですか。
どうしても代替できない状況での検証だったので…

出来ないことがわかったので、よかったです。

ｱﾘｶﾞﾄｳございました。
276 ：　：01/10/25 15:19: ｓｓｈのセキュリティーを破る方法をMITが発見した
そうですが、どうやれば破れるのですか？
277 ：名無しさん＠お腹いっぱい。 ：01/10/25 15:24: openssh の cvs 版の version.h を見ると、OpenSSH_3.0p1 ってなっていますな。
278 ：なんか出てる ：01/10/25 19:36: 「CERT/CC Vulnerability Note VU#945216」
http://www.kb.cert.org/vuls/id/945216

とりあえず、プロトコルバージョン１を無効
にしておいた方がいいのかな。

OpenSSH の方は随分前に見つかっていたセキュ
リティホールに対する攻撃を検出するコード
自体に穴があったということでしょうか？

ちょっと気味の悪い記事も…
「Hackers Put A Price Tag On New Attack Tool」
http://www.infowar.com/hacker/01/hack_101901a_j.shtml
279 ：278 ：01/10/25 20:47: どうも早とちりだった。2 月に見つかってた
問題なんですね。

> リティホールに対する攻撃を検出するコード
> 自体に穴があったということでしょうか？

だからこれはウソだった。現在のバージョンで
はもう直ってますね。
280 ：SSH ：01/10/26 05:36: SSH
281 ：名無しさん＠お腹いっぱい。 ：01/10/26 18:56: ＄＄Η
282 ：名無しさん＠お腹いっぱい。 ：01/11/02 23:01: OpenSSH Red Hat Linux 7.0 以上や Mandrake 7.1 以上などで
採用されている OpenSSH において, SSH protocol Version 2 で
鍵認証を行う際に利用するファイル "~/.ssh/authorized_keys2" に
複数の鍵を登録していると, 許可していないホストからの接続を
アクセスを許してしまう可能性があります.
283 ：あまね（ﾀﾞﾒ会社員） ◆ANPANsaE ：01/11/07 16:42: >>275
自己レス
http://www2k.biglobe.ne.jp/~chiharu2/vaio/ttssh-ftp.txt

で、出来た。

ただし、ポートの範囲を指定してしまうと、
wu-ftp側で一度張ったポートを開きっぱなしにしてしまうようなので、
使用可能なポートは多めに取っておかないとダメ。
284 ：名無しさん＠お腹いっぱい。 ：01/11/07 16:48: OpenSSH 3.0 が release。3.0p1 ももうすぐ出ます。
285 ：あまね（ﾀﾞﾒ会社員） ◆ANPANsaE ：01/11/07 21:16: ががーん。
windows2000だと問題ないようだけど、
windows98だとTTSSHで
ポートフォワーディング設定を16個以上いれると、
どのポートでも受け付けてくれなくなります。
286 ：名無しさん＠Ｅｍａｃｓ ：01/11/08 04:59: ぎょえーもう3.0出たのかよ。
いーかげん早くマニュアル訳せよ! >俺

ところで、いつもかならずopenbsdの1ヶ月前にopensshが
リリースされるみたいね。
287 ：おたく、名有りさん? ：01/11/09 14:17: http://pc.2ch.net/test/read.cgi?bbs=unix&key=1004581380&ls=100
の38以降。
これまじっすか?
288 ：名無しさん＠お腹いっぱい。 ：01/11/09 15:15: ネタだと思う。信頼できないユーザーがいる環境で-maproot=rootで
NFS exportするわけないじゃん。
289 ：名無しさん＠お腹いっぱい。 ：01/11/10 22:50: あのぅ...　ちょっとお尋ねしますが、ssh で入ろうとしたときに

Enter passphrase for RSA key 'foo@example.com'

と聞いてくることを期待しているのに

foo@example.com's password:

と聞いてくるのはなぜでしょう？
ローカルの identify.pub はリモートの authorized_keys に追加してあります。
290 ：名無しさん＠お腹いっぱい。 ：01/11/10 22:53: >>289
SSH protocol 2が有効になってるのかな?
ssh -v remote.example.com
してみれば何が起こっているのかわかると思う。
291 ：名無しさん＠お腹いっぱい。 ：01/11/10 23:15: >>290
やってみた。終わりの方↓

debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/******/.ssh/id_rsa
debug1: try privkey: /home/******/.ssh/id_dsa
debug1: next auth method to try is password

やはり「SSH2 だけど SSH2 用の鍵がねーよ！」というわけでしょうか。
んだって ssh-keygen したら identify しか作ってくんねーよ？
id_rsa とか id_dsa ってのは明示的にオプション指定せんとあかんてこと？
292 ：291=289 ：01/11/10 23:23: >>291
なるほどマニュアルとか読んでみて理解した。

クライアント、サーバ両方が SSH2 対応してたら SSH2 での通信となる（当たり前やな）。
SSH2 用の鍵は -t dsa か -t rsa で作り、リモートに置くファイルの名前も
authorized_keys2 となるってわけですね？

sage つつ聞くけど dsa と rsa ってのはどっちがいいの？
293 ：名無しさん＠お腹いっぱい。 ：01/11/11 00:21: >>292
ちょい古めのOpenSSHだとSSH2ではDSA keyしか使えないので、
俺はDSAを使ってる。
294 ：名無しさん＠お腹いっぱい。 ：01/11/11 03:19: >>292
原理的に RSA のほうがすこし速い (計算が少なくてすむ) ようです。
DSA は RSA 特許がまだあった頃、基本的に RSA を避けるため
だけに使われたというかんじなので、今はどっちでもいいと思う。

けれども >>293 がいう通り古い OpenSSH は DSA しか
受けつけないから、混合して使うなら DSA がいいかな。

でも基本的には古い OpenSSH は穴があるので入れ換えたほうがいいですよ。
cf. http://www.openssh.org/ja/security.html
295 ：名無しさん＠お腹いっぱい。 ：01/11/11 06:59: 知ってるとは思うが
% ssh -1
というオプションもあるですよ、と。一応。
296 ：名無しさん＠お腹いっぱい。 ：01/11/11 13:16: >>295
そもそもですね、SSH1 と SSH2 の違いてなんですか？
SSH1 じゃ弱いんでしょうか？
だとすると TeraTermPro + TTSSH 使ってる漏れは一体…
297 ：名無しさん＠お腹いっぱい。 ：01/11/11 13:48: >>296
>SSH1 と SSH2 の違いてなんですか？
このスレの >>172-203 辺りに書いてるよ。

あとは sshd のマニュアルとか。
http://www.openssh.com/ja/manual.html
298 ：296 ：01/11/11 13:53: >>297
ごめん、そういやこのｽﾚは過去ﾛｸﾞ全然読んでなかったわ。逝ってくる
299 ：asm ：01/11/12 00:05: # このコテハン使うの久しぶりだなあ。

>>194に間違いがあったんで訂正しておく。
> SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できませんし、
ここで言いたかったのは「パスワード認証じゃダメよ」ってことなので、
ssh2のRSA鍵認証やhost-based認証(ssh1のRhostsRSAAuthenticationに相当)でも
MITM攻撃を発見できる。

なぜMITM攻撃を発見できるかは、プログラム板のスレ
http://pc.2ch.net/test/read.cgi/tech/1002736958/
を見てちょ。
300 ：名無しさん＠お腹いっぱい。 ：01/11/12 14:36: OpenSSH って、Red Hat 7.2 以外用の .rpm の配布やめちゃったの?
301 ：名無しさん＠Ｅｍａｃｓ ：01/11/20 05:43: いつの間にやら OpenSSH-3.0.1 が出てたよage
302 ：名無しさん＠お腹いっぱい。 ：01/12/03 04:06: age
303 ：名無しさん＠お腹いっぱい。 ：01/12/03 04:19: 接続先の~/.ssh/xxxに自分のpublicをコピーしないでただ
sshで接続しただけでも通信は暗号化されてそれなりに安全ですよね？
304 ：名無しさん＠お腹いっぱい。 ：01/12/03 10:00: >>303
最初のパスワードが平文で流れちゃうけどな
305 ：名無しさん＠お腹いっぱい。 ：01/12/03 10:09: >>304
んなこたーない。
306 ：名無しさん＠Ｅｍａｃｓ ：01/12/05 08:28: OpenSSH-3.0.2 が出ました。
3.0.1 にはセキュリティーホールがあります。

UseLogin を使ったときにまずいことが起きたようです。
(まあ uselogin を使ってる人は少ないだろうけど)
307 ：名無しさん＠お腹いっぱい。 ：01/12/05 09:45: >>304

パスワードを知っていれば誰でも接続できるってだけかと思ってたよ。
308 ：名無しさん＠お腹いっぱい。 ：01/12/05 15:55: >>304
平文では流れないよ。
309 ：304 ：01/12/05 16:09: ｳｿ書いてｽﾏｿ。どこかにそう書いてあったように思ったもので。
じゃー303の回答としては「それなりに安全」っつーことでいいんですよね？
310 ：名無しさん＠お腹いっぱい。 ：01/12/06 12:37: sshで生パスが流れなくなって安心安心．

とかいってftpで生パス流してクラックされるモナー
311 ：名無しさん＠お腹いっぱい。 ：01/12/06 12:38: >310 PortFowardingしろや
312 ：名無しさん＠お腹いっぱい。 ：01/12/06 12:53: >>311
forwardingではftpはできないと思う
313 ：名無しさん＠お腹いっぱい。 ：01/12/06 13:48: sftp 使えや。
314 ：名無しさん＠お腹いっぱい。 ：01/12/06 14:30: >309
最初に相手の公開鍵もらうときにMITM攻撃される可能性があるってことだな。
だから初回は(yes/no)を聞いてくるわけで。
315 ：名無しさん＠お腹いっぱい。 ：01/12/06 15:16: >>314
それはパスワード認証でも鍵認証でもいっしょじゃない?
316 ：名無しさん＠お腹いっぱい。 ：01/12/06 15:37: >315
違うと思われ。
317 ：名無しさん＠お腹いっぱい。 ：01/12/06 17:25: >>315
パスワード認証だと、最終的に生の password が相手に渡るってことを
お忘れなく。
318 ：名無しさん＠お腹いっぱい。 ：01/12/06 22:44: >>312
パスワードの暗号化のみが目的で転送するファイルの内容が洩れても
気にしないならftp portのport forwardingで目的は達せられるよ。
319 ：315 ：01/12/07 00:30: >>317
それはわかるけど、>>314 は認証に入る前の話でしょ?
320 ：nanasi ：01/12/07 03:27: >>319
確かに最初の鍵交換の段階なので RSA だろうが password 認証だろうが
いっしょなんだけど、なりすまし喰らった場合の被害の大きさも考える
必要もあるんじゃないかと。

まあ、そもそもの発端が >>303 なので、答えとしては「それなりに安全」
ってなるだろうけど。
321 ：名無しさん＠Ｅｍａｃｓ ：01/12/09 04:02: 結局、なりすましは最初の一回はどうやってもだめ。
相手ホストのfingerprintをメモっておくしかない。
322 ：名無しさん＠お腹いっぱい。 ：01/12/09 18:11: なりすまされたとき、password認証だと生password送っちゃうけど、
公開鍵認証なら秘密鍵を送るわけではないから、公開鍵認証使っとけということか。
323 ：名無しさん＠お腹いっぱい。 ：01/12/13 10:06: http://www.incidents.org/diary/diary.php?id=116
誰か情報持ってませんか？
324 ：名無しさん＠お腹いっぱい。 ：01/12/14 03:12: SSH 3.0.1 のサーバへ hostbased でログインできません．
サーバの設定は，

AllowedAuthentications hostbased,publickey
AllowSHosts hoge\.fuga\.org

となっていて，/etc/ssh2/knownhosts には，hoge.fuga.org.ssh-dss.pub
を置いてあります．設定で見落としてるところはどこでしょうか？
publickey によるログインはできています．
325 ：名無しさん＠お腹いっぱい。 ：01/12/15 16:50: ssh.com のSSH Secure Shell for Workstations 体験版を使用してみたのですが、
Escキーが使えないのですが、これはなんとかならないのですか？
viを使用中抜け出せなくなってしまいました。

これが解決したらライセンス購入しようかなと思ったりしています。
326 ：名無しさん＠お腹いっぱい。 ：01/12/16 04:36: ssh sshd
なんて読むのか？
シュシュ？
シュシュド？
327 ：名無しさん＠お腹いっぱい。 ：01/12/16 05:52: 宍戸
328 ：名無しさん＠Ｅｍａｃｓ ：01/12/16 07:41: 錠
329 ：名無しさん＠お腹いっぱい。 ：01/12/16 13:07: わらた
330 ：名無しさん＠お腹いっぱい。 ：01/12/16 13:29: >>326
Secure SHell
Secure SHell Daemon
と読んでる。
331 ：名無しさん＠Ｅｍａｃｓ ：01/12/16 13:36: ｨｴｽ!ｨｴｽ!ｴｯﾁ!
ｨｴｽ!ｨｴｽ!ｴｯﾁﾃﾞ～ｨ!!
332 ：名無しさん＠お腹いっぱい。 ：01/12/16 14:22: そういえば前 Tatu Ylonen が OpenSSH グループに
「sshの名前を変えろ」といってきたとき、代替案として
出てきたのが secsh だった。

dev-mlで「『せっくしゅ』はろれつの回らないヨッパライみたいで嫌」
というやりとりがあった。

この件は結局どうなったんだろうなあ。
333 ：名無しさん＠お腹いっぱい。 ：01/12/16 16:11: >332 NetBSDの連中が開発してるのはSecSHじゃなかったっけ。
334 ：名無しさん＠お腹いっぱい。 ：01/12/16 20:54: 今はえすえすえっち。
以前はえすしぇ。cshをしーしぇて読んでたから。通じなかったからやめた。
335 ：名無しさん＠お腹いっぱい。 ：01/12/16 21:47: ｾｸ-ｼｭ
336 ：名無しさん＠お腹いっぱい。 ：01/12/16 21:47: もれ「えすしぇ」もしくは「せきゅあーしぇる」(まんまか)
337 ：名無しさん＠お腹いっぱい。 ：01/12/16 23:09: にしても FAQ とか SecSH とか、この手の略称にするの、向うの人は
好きなんだなぁ。
338 ：名無しさん＠お腹いっぱい。 ：02/01/03 11:15: これは……シェルか？
改名ｷﾎﾞﾝ
339 ：名無しさん ：02/01/03 17:03: それではrshも改名しますか？
340 ：名無しさん＠お腹いっぱい。 ：02/01/06 02:47: >>324

$ cat /etc/ssh_config
Host *
Protocol 2
HostbasedAuthentication yes
341 ：名無しさん＠お腹いっぱい。 ：02/01/09 22:42: >>332

カタカナで書けばそれなりに聞こえない？＞「セックシュ」

ちょと間抜けか....
342 ：名無しさん＠お腹いっぱい。 ：02/01/11 02:31: すみません、激しく板違いなのは承知なのですが…

WIN用のssh(sftp)サーバっていうのは
どういった種類のものがあるのかご存知でしょうか？
343 ：名無しさん＠Ｅｍａｃｓ ：02/01/11 02:38: ・cygwin用openssh http://www.cygwin.com/
・another openssh for win http://www.networksimplicity.com/openssh

2番目のやつはまだためしてないや。
調査きぼーん。
344 ：342 ：02/01/11 03:11: 即レスありがとうございます。
せっかくだから2番目の方を、って
this package may not currently function on Windows XP
ってなってますね(当方XP)。
とりあえず、人柱になってみます。
345 ：342 ：02/01/11 03:44: サービスをstartさせようとすると

>問題が発生したため、FireDaemon.exe を終了します。ご不便をおかけして申し訳ありません。

というメッセージが。
一応サービスは起動しているようですが…？

> C:\>ssh localhost
> hoge@localhost's password: <-パスワード入力
> Connection to localhost closed.
>
> H:\>ssh localhost
> hoge@localhost's password:
> Last login: Fri Jan 11 03:38:35 2002 from localhost
> Connection to localhost closed.

という感じでログインしてもすぐcloseされてしまいました。
実はWIN使い始めたばっかりでいまいち使い方分かってないので、
今の段階で私が出来るのはここまでです…
また時間のあるときに勉強してみます。
346 ：名無しさん＠お腹いっぱい。 ：02/01/11 15:10: すみません。ここで聞いていいのかわからないのですが・・・
わかるかたがいらっしゃいましたら、教えてください。
お願いします。

サーバA,Bがあります。
サーバAが死んだ場合は、サーバBがサーバAとなります。
サーバAでssh-keygenを使って作った鍵などを
サーバBにもっていけば、サーバBをサーバAと同じとみなし
他のサーバから接続できることがわかりました。

ではssh-keygenで作成されるキーは、
何の情報をもとに作成されるのでしょうか？
（私は、ホスト情報などが使われるのかと思ってました）
347 ：名無しさん＠お腹いっぱい。 ：02/01/11 16:48: >>346
> （私は、ホスト情報などが使われるのかと思ってました）

推測されてどうするよ
どう考えても乱数（prngdその他）だろう
348 ：名無しさん＠お腹いっぱい。 ：02/01/15 10:53: sshについてくるsftpとは
ftpとどのような関係にあるのでしょうか？
単にftpに似てるファイル転送プログラムなんですか？
349 ：名無しさん＠お腹いっぱい。 ：02/01/15 11:12: http://bom-ba-ye.com/a.cgi?netapp=1
350 ：名無しさん＠お腹いっぱい。 ：02/01/25 12:50: >>348
Yes.
351 ：名無しさん＠お腹いっぱい。 ：02/01/25 18:07: 逝ってよし
352 ：名無しさん＠お腹いっぱい。 ：02/01/27 20:37: ssh -X remotehost
して、remotehostでemacsを
立ちあげて
logout
してしまうと、そのktermがフリーズしてしまうのですが、
対処法はありますか?なにか間違ってますか?
353 ：名無しさん＠お腹いっぱい。 ：02/01/27 21:10: 226,263の方の質問に近い（同じ？）けど。。
ssh の port forwarding ができないっす。
FTPのデータ部分は暗号化しませんです。

クライアント側　win98 + TTSSH + FFFTP
鯖　FreeBSD 4.5-RC + pure-ftpd
win98 から FreeBSD へ ssh と FTP は使用できています。

で、こういったところを参考に設定し、
ttp://www.ozawa.ics.keio.ac.jp/~kimura/ssh-forward/
FTP で port forwarding しようとすると、

>PASV
227 Entering Passive Mode (192,168,0,3,170,53).
ダウンロードのためにホスト 192.168.0.3 (43573) に接続しています.
接続しました.
>LIST
受信はタイムアウトで失敗しました.
接続が切断されました.
コマンドが受け付けられません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.

と怒られるっす。どうすれば良いですか？＿？
ご教授くださいですぅ。
354 ：名無しさん＠お腹いっぱい。 ：02/01/27 22:22: http://messages.yahoo.co.jp/bbs?.mm=CP&action=m&board=1835092&tid=a1za1za1za5ja5ja5ca5afa59bcaldha2a1za1za1z&sid=1835092&mid=3390

漏れもこれ知りたい。
355 ：名無しさん＠お腹いっぱい。 ：02/01/27 22:38: >>353
clientのIPアドレス、FreeBSD boxのIPアドレスをどうしてるか。
port forwardの設定。
も書いてくれないとわからんよ。
あと、FFFTP以外のftpクライアントで試すとどうなる?
356 ：353 ：02/01/27 23:51: >>355 了解っす。最小構成だと

鯖　FreeBSD 4.5-RC + pure-ftpd　IP:192.168.0.3

クライアント側　win98 + TTSSH + FFFTP　IP:192.168.0.2
SSH Port Forwarding
local 8021 to remote machine "192.168.0.3" port 21

>FFFTP以外のftpクライアントで試すとどうなる?

NextFTP（試用期間です。制限は無いと思うです）で、以下のようなログです。

----ここから
NextFTP Ver2.10 2002(C)Toxsoft

ホストを探しています - localhost
ホストに接続しています - localhost (127.0.0.1)
220-=(<*>)=-.:. (( Welcome to PureFTPd 1.0.7 )) .:.-=(<*>)=-
220-You are user number 1 of 3 allowed
220-Local time is now 23:27 and the load is 0.00. Server port: 21.
220-This is a private system - No anonymous login
220 You will be disconnected after 5 minutes of inactivity.
>USER hogehoge
331 User hogehoge OK. Password required
>PASS ********
230-User hogehoge has group access to: ftpgroup operator wheel hogehoge
230 OK. Current restricted directory is /
>XPWD
257 "/" is your current location
ファイルリストを取得しています...
>TYPE A
200 TYPE is now ASCII
>PASV
227 Entering Passive Mode (192,168,0,3,174,47).
>LIST
421 Timeout
< ホストから切断されました。 >
< エラー : コマンドを送信できませんでした。 (1057-0) >
< エラー : コマンドを送信できませんでした。 (1052-0) >
< エラー : 転送はキャンセルされました。 (1055-10038) >
< ファイルの一覧を取得できませんでした。 >
< ホストに接続できませんでした。 >
----ここまで

あと、参考になるわかりませんが LIST で停止する時 FreeBSD で netstat すると、

Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 hogehoge3.43504 hogehoge2.1248 FIN_WAIT_2
tcp4 0 0 hogehoge3.43504 *.* 　LISTEN
tcp4 0 0 hogehoge3.ftp hogehoge3.1061 ESTABLISHED
tcp4 0 0 hogehoge3.1061 hogehoge3.ftp ESTABLISHED
tcp4 0 20 hogehoge3.ssh hogehoge4.1230 ESTABLISHED

となっています。
長くてすみません。こんな厨房な私を、お導きくだせぇ　ｍ（＿"＿）ｍ
357 ：353 ：02/01/27 23:56: あ・・ちなみに
hogehoge2 = 192.168.0.2 = クライアント
hogehoge3 = 192.168.0.3 = 鯖
ッス。
358 ：名無しさん＠お腹いっぱい。 ：02/01/28 00:08: >>356
ちょい調べてみたよ。
Pure-FTPd は passive で用意した port に違うホストから繋いだ場合はコネ
クションを閉じちゃうみたい。
つまり、SSH の port forward と組み合わせて使う事はできないってこと。
359 ：353=356=357 ：02/01/28 00:37: >>358
おお・・そうでありますか。納得であります。
素直に諦めて、別の FTPD にします。
設定が手軽で使い勝手良かったんだけどなぁ（　´_ゝ`）

わざわざ調べていただいて、ありがとうございました。
360 ：名無しさん＠お腹いっぱい。 ：02/01/28 01:08: >>359
後学のために教えてください。
FreeBSD 標準の ftpd を使わない理由って何でしょう？
個人的にはそこらの ftpd よりよほど信頼できるし、設定もしやすいと思うのですが。
361 ：名無しさん＠お腹いっぱい。 ：02/01/28 01:26: >> 353
sshで簡単にファイル転送したいならWinSCPつかえば?
http://winscp.vse.cz/eng/
362 ：359 ：02/01/28 02:13: >>360
私の場合一番大きな理由は Virtual users ってのが使え　かつ設定が簡単だからです。
これが私の使用目的（と、ずぼらな管理？）に向いる（と思う）のです。
ttp://pureftpd.sourceforge.net/README.Virtual-Users

私は FreeBSD の標準の ftpd も使いこなせてないと思います。
同じ機能が標準の ftpd でできるかもしれませんが
少なくとも、私はそのやり方がわかりませんでした。ハイ

で、必要な部分については Virtual users でまとめて管理し、
それとは別にプライベートな部分は ssh で・・・と考えたわけです。

#的はずれな考え方かもしれません。

>>361
考慮中であります。
363 ：名無しさん＠お腹いっぱい。 ：02/01/28 02:41: FTP鯖にsftpつかおーよ。
もち暗号化されるからクリアテキストでパスとか流れないし、けっこう嬉しいよ。
364 ：名無しさん＠お腹いっぱい。 ：02/01/28 02:44: 個人的には、sftpをつかったらFTP鯖とはいえないと思うが..
365 ：名無しさん＠お腹いっぱい。 ：02/01/28 02:50: sftpdでした。
dぬけてました
366 ：名無しさん＠お腹いっぱい。 ：02/01/28 03:22: >365 >364はそういう事を言ってるのではないと思われ。
367 ：名無しさん＠お腹いっぱい。 ：02/01/28 11:14: >>353
ｶﾞﾏﾇしてsftp使えや
それがいやならIPsecでﾄﾇﾈﾙ掘れや
368 ：名無しさん＠ＸＥｍａｃｓ ：02/01/28 16:51: >>352
> ssh -X remotehost
> して、remotehostでemacsを
> 立ちあげて
> logout
> してしまうと、そのktermがフリーズしてしまうのですが、

フリーズというか、たぶん emacs が終わるのを待っちゃってるだけ。

ログインなんぞせず、-f option でも付けて emacs を X Client とし
て直接起動してやればよろし。
369 ：名無しさん＠お腹いっぱい。 ：02/01/28 19:01: >>352
頻出問題。cf. http://www.openssh.org/ja/faq.html#3.10
　$ emacs </dev/null >/dev/null 2>&1 &
とやってもたぶんうまくいくよ。
370 ：1/30の教えて君 ：02/01/30 00:53: 教えて君ですが…
OpenSSHのバージョン3系を使いたいと思ってます。

openssh-3.0p1.tar.gz
openssh-3.0.1p1.tar.gz
openssh-3.0.2p1.tar.gz

といったところがリリースされていますが、OpenSSLはどれを用いれば
良いのでしょうか？最近のものだと

openssl-0.9.6b.tar.gz
openssl-0.9.6c.tar.gz

といったところのようですが…
つまりは、どの組み合わせが良いのかが解っておりません。
ご存じのかたいましたら教えてください。
371 ：名無しさん＠お腹いっぱい。 ：02/01/30 01:05: >>370
便乗させて。

OpenSSL の配布物で、

openssl-VERSION.tar.gz

と

openssl-engine-VERSION.tar.gz

って何が違うんでしょう？
372 ：名無しさん＠お腹いっぱい。 ：02/01/30 01:39: >>371
たしか openssl-engine は暗号化ライブラリのみで、
それに SSL の証明書作成ツールやなんやらがついてきたのが
openssl じゃなかったっけ。自信ない。
373 ：371 ：02/01/30 02:19: >>372
教えてもらっといてｱﾚだが逆じゃねーの？
engine つきの方が大きいみたいだが。
374 ：名無しさん＠お腹いっぱい。 ：02/01/30 06:10: >>370
私のところでは
openssh-3.0.2p1.tar.gz + openssl-0.9.6b.tar.gz
で使えてます．
375 ：名無しさん＠お腹いっぱい。 ：02/01/30 08:31: winでパスだけ通しておけば使える
コマンドラインのsshのバイナリってないっすか?
376 ：名無しさん＠Ｅｍａｃｓ ：02/01/30 09:11: openssh for cygwin
377 ：名無しさん＠お腹いっぱい。 ：02/01/30 09:22: ssh の X11 Forward って便利だけど、
ssh の回線を切断してもリモートで立ち上げたXのプログラムをリモートで実行したまま
にする方法ってあるの？
コンソールアプリなら動きつづけるけど、Xのアプリは無理なのかな？
378 ：名無しさん＠Ｅｍａｃｓ ：02/01/30 11:14: ふつー、X のプログラムって Xserver との接続が切れると、
X のリクエストを発行した瞬間に落ちちゃうでしょ。

リモートで Xvnc を動かしておいて、
そこで X のアプリケーションを走らせるっつうのはどうか?
379 ：377 ：02/01/30 16:11: >>378
Xvncってこことか？
http://www.atmarkit.co.jp/flinux/special/vnc01/vnc01a.html
セキュリティが甘そうだが・・・パスワードは暗号化されて送信されるのかな。
でも面白そう。
380 ：名無しさん＠お腹いっぱい。 ：02/01/30 16:38: >>379
over SSH で使えばよろし。
381 ：377 ：02/01/30 16:49: >>380
おお、それはいい！
これのことだよね？
http://www.uk.research.att.com/vnc/sshvnc.html
382 ：名無しさん＠お腹いっぱい。 ：02/01/30 17:03: >>381
そそ。以前は http://www.uk.research.att.com/vnc/ のトップページにも
もっと安全に使うためにってそこに link が張られていたんだけど、
いまは http://www.uk.research.att.com/vnc/faq.html のほうに記述が
うつっちゃった。

それに、ここは SSH スレだし。
383 ：1/30の教えて君 ：02/01/31 00:01: >>374
どうもありがとうございました。
その組み合わせで試してみようと思います
384 ：名無しさん＠お腹いっぱい。 ：02/02/01 04:32: ssh の -g って
Allows remote hosts to connect to local forwarded ports.
だけど、どういうときに使うの？
385 ：名無しさん＠お腹いっぱい。 ：02/02/01 04:52: デフォルトではフォワードされたポートは localhost にしか
binding されないので、そのままだとネットワーク上の他の
ホストからはみれない。
それをみれるようにするのが -g オプション。
386 ：名無しさん＠お腹いっぱい。 ：02/02/01 05:51: >>385
なるほど、そういうことなんだ。サンキュ
387 ：名無しさん＠お腹いっぱい。 ：02/02/01 09:01: FreeBSD-currentではpam_sshとOpenSSHで
シングルサインオンに出来て快適なのですが、
このpam_sshはSolarisの上でもすぐコンパイルできます?

やろうと思いつつ、なかなか時間がとれなくて……。
(sparcv9用のコンパイラから用意しないといけないかも)

使ってるよという方いらしたら教えてくださいな。
388 ：名無しさん＠お腹いっぱい。 ：02/02/01 23:37: VPN How-to にあるような
SSH+PPPのコンビでVPNを貼りたいんだけど
pty-redir ってなかなか手に入らないので
SSH+PPxPで似たようなことが出来ないか検討中なんです。

勘違いならｺﾞﾒﾝなんだけど pty-redir の代わりに userlink とか使える？

PPxPで相手とコネクション貼ったあと、そこにSSHの入出力を
リダイレクトできればいいと思うんだけど・・・よくわからんです。

だれかわたしの質問をうまくまとめて、ヒントください
389 ：名無しさん＠Ｅｍａｃｓ ：02/02/02 00:32: >> 388
ssh で portforward したところに ppp 通すだけでいいんじゃないの？
標準 ppp でできたと思うけど．

あるいは vtun 使うとか．
390 ：名無しさん＠お腹いっぱい。 ：02/02/02 02:25: >>389
＞ssh で portforward したところに ppp 通すだけでいいんじゃないの？
なるほど・・・その方法をすこし勉強してみます。
ヒントサンクス
391 ：名無しさん＠お腹いっぱい。 ：02/02/02 16:22: こういうのって何かattackしてるんでしょうかね？

Feb 2 12:34:56 onakaippai sshd[24248]: [ID 800047 auth.info] scanned from 123.123.123.123 with SSH-1.0-SSH_Version_Mapper. Don't panic.
Feb 2 12:34:56 onakaippai sshd[24244]: [ID 800047 auth.info] Did not receive identification string from 123.123.123.123.
392 ：名無しさん＠お腹いっぱい。 ：02/02/02 17:13: たぶん ScanSSH だと思います。なんか最近よく来ますねえ。
http://www.monkey.org/~provos/scanssh/
393 ：名無しさん＠お腹いっぱい。 ：02/02/06 00:38: ローカルにある.emacs.elをaaa.comというホストにscp
を使ってコピーするにはどうすればいいのでしょうか？
394 ：393 ：02/02/06 00:39: もちろんaaa.comにはsshでログインできます。
395 ：名無しさん＠お腹いっぱい。 ：02/02/06 00:39: $ scp .emacs.el aaa.com:~/
396 ：393 ：02/02/06 00:45: >>395
> $ scp .emacs.el aaa.com:~/

ありがとう。できました。
man に一杯オプションがあるからもっと複雑なのかと
思っちゃいました。
397 ：名無しさん＠お腹いっぱい。 ：02/02/09 01:57: 一年以上前だったと思いますが
OpenSSH関係の本で、表紙が水色で四角になっているような
本が出版されたと思います。
出版社と本の題名教えてもらえますか？
398 ：397 ：02/02/09 01:59: 表紙にイルカがいたかも
399 ：SSHマンセー ：02/02/09 02:37: >>397
これか？
http://www.seshop.com/bm_detail.asp?sku=59460

しかし、OpenSSHではなくて商用SSHの本だな…。しかも内容が理解できへんかった。
（買ったけど(死)）
400 ：397 ：02/02/09 02:38: >>399
そう、それ。
OpenSSHじゃなかったのか。

まぁありがとう。
401 ：397 ：02/02/09 02:39: しかもこいつはクジラだな。
402 ：SSHマンセー ：02/02/09 02:41: ちなみに。
SSH勉強するなら、やっぱこれ：
http://www.unixuser.org/~haruyama/security/openssh/support/

いやー、この本のおかげでSSH理解できました。著者の方々に感謝！
403 ：名無しさん＠Ｅｍａｃｓ ：02/02/09 02:56: scp でリモートの Unix にファイルを新しく作成するのですが,
シェルやftpの umask に相当するものを設定することはできるのでしょうか？
具体的には644ではなくて664になって欲しいのですが.
404 ：名無しさん＠お腹いっぱい。 ：02/02/09 03:07: >>403
んなもんsftpのマニュアル見たらあるだろｺﾞﾙｧ！…と思ったけど、
実はないっぽい。
ローカルな方ならlumaskっつーコマンドがあるのにな…。
とりあえず、（メンドイだろうけど）コピー後にchmodを使うように
するしかないように思われ。
405 ：名無しさん＠Ｅｍａｃｓ ：02/02/09 03:19: >>403
大量のファイルなら、あらかじめローカルで 664 にしといて tar で転送すれば?

% tar cf - groupwritabledir/ | ssh remotehost tar xf - -C/distination/dir/
406 ：名無しさん＠お腹いっぱい。 ：02/02/09 08:01: >>401
俺はサメに見えた。
407 ：名無しさん＠お腹いっぱい。 ：02/02/15 14:25: putty で ssh で入ろうとしたらパスフレーズ聞かれずに
パスワード聞かれちゃうんですけど、それは漏れが厨房だからでしょうか？
408 ：名無しさん＠お腹いっぱい。 ：02/02/15 15:23: そうです。
409 ：407 ：02/02/15 16:12: >>408
ありが㌧

脱厨房を目指したいのですが、単刀直入に言ってどこをどうすれば
パスフレーズで入れるんでしょうか？

Configuration の Connection → SSH の "Preffered SSH protocol version"
は "2" にチェックを入れてるのですが、それだけではダメなのでしょうか？

試しに "Encryption cipher selection policy" の順番を変えてみたりも
したんですが、変化ありませんでした。

あ、"Auth" のところの Private Key ファイルは id_rsa ファイルを指定しております。
＃ ttssh ではこれで入れてました。
410 ：名無しさん＠お腹いっぱい。 ：02/02/15 16:46: ねぇ、putty って使ったこと無いんだけど ttssh より使えるの？
日本語とか通るの？
411 ：名無しさん＠お腹いっぱい。 ：02/02/15 16:59: 百聞は一見にしかず。一度、使ってみるがよろし。
412 ：407 ：02/02/15 17:46: >>410
漏れもこないだまでダメだと思ってたんだけれど
いつのまにかジャパニーズなパッチ作ってる人ﾊｹｰﾝしたのよ。
つーか、memo に流れてたんだけど。
413 ：名無しさん＠お腹いっぱい。 ：02/02/15 17:58: これだね。
http://hp.vector.co.jp/authors/VA024651/
414 ：名無しさん＠お腹いっぱい。 ：02/02/15 18:10: >>410
俺も興味を持ったので putty ダウンロードして使ってみたけど、フォントの設定
さえ変更すれば日本語は通るね ([Window] - [Appearance])。

文字コードに関しては SJIS ならデフォルでいける模様。[Window] - [Translation]
に文字コード設定があるが、日本語 EUC とか ISO-2022-JP の設定はないから、
日本語だと SJIS か UTF-8 以外はダメっぽい。

SSH2 喋れるし agent 使えるし key generation tool もついてるし、なかなか良い
ね。
415 ：名無しさん＠お腹いっぱい。 ：02/02/15 18:14: >>414
VT100 emulation はどんな感じ? screen がキチンと動くんならいいんだけど。
あと、半角カナはどう?
416 ：407 ：02/02/15 18:18: >>415
つーかそこまで言うなら試してみなよ。
少なくともうちでは screen は使えてるよ。
ターミナル的には VT100 っつーより xterm 状態みたいだけど。

んで、何でパスフレーズ聞いてくれないか漏れに教えて。
417 ：名無しさん＠お腹いっぱい。 ：02/02/15 18:23: >>416
[Connection] - [SSH] - [Auth] の Private key file for authentication は
設定してる?
418 ：407 ：02/02/15 18:45: >>417
>409 見てくれー
rsa鍵指定してるよん。ttssh とか、cygwin-ssh はこれで逝けてるのだが。

ちょっと age
419 ：名無しさん＠お腹いっぱい。 ：02/02/15 18:52: SSH1だとどう?
420 ：名無しさん＠お腹いっぱい。 ：02/02/15 19:14: >>418
ログインできてるケースの Event Log の内容を張ってみる。使ってるのは DSA 鍵で
相手は FreeBSD 4.5 ね。

2002-02-15 18:57:05 Looking up host "XXX.XXX.XXX.XXX"
2002-02-15 18:57:05 Connecting to XXX.XXX.XXX.XXX port XXXXXX
2002-02-15 18:57:05 Server version: SSH-1.99-OpenSSH_2.9 FreeBSD localisations 20011202
2002-02-15 18:57:05 We claim version: SSH-2.0-PuTTY-Local: Feb 11 2002 09:41:13
2002-02-15 18:57:05 Using SSH protocol version 2
2002-02-15 18:57:05 Doing Diffie-Hellman group exchange
2002-02-15 18:57:05 Doing Diffie-Hellman key exchange
2002-02-15 18:57:06 Host key fingerprint is:
2002-02-15 18:57:06 ssh-dss 1024 XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
2002-02-15 18:57:06 Initialised AES-256 client->server encryption
2002-02-15 18:57:06 Initialised AES-256 server->client encryption
2002-02-15 18:57:06 Pageant is running. Requesting keys.
2002-02-15 18:57:06 Pageant has 1 SSH2 keys
2002-02-15 18:57:06 Trying Pageant key #0
2002-02-15 18:57:06 This key matches configured key file
2002-02-15 18:57:06 Sending Pageant's response
2002-02-15 18:57:06 Access granted
2002-02-15 18:57:06 Opened channel for session
2002-02-15 18:57:06 Requesting OpenSSH-style agent forwarding
2002-02-15 18:57:06 Agent forwarding enabled
2002-02-15 18:57:06 Allocated pty
2002-02-15 18:57:06 Started a shell/command
421 ：名無しさん＠お腹いっぱい。 ：02/02/15 22:26: >407
sshd_config の PasswordAuthentication は no ですか？
ああそうですか．
お役に立てなくて済みませんね．
422 ：407 ：02/02/15 22:40: >>419
ssh1 だと逝けました｡

>>420
こんなん出ましたけど～

2002-02-15 22:37:29 Looking up host ～
2002-02-15 22:37:29 Connecting to ～
2002-02-15 22:37:30 Server version: SSH-1.99-OpenSSH_3.0.2p1
2002-02-15 22:37:30 We claim version: SSH-2.0-PuTTY-Local: Feb 11 2002 09:39:39
2002-02-15 22:37:30 Using SSH protocol version 2
2002-02-15 22:37:30 Doing Diffie-Hellman group exchange
2002-02-15 22:37:30 Doing Diffie-Hellman key exchange
2002-02-15 22:37:31 Host key fingerprint is:
2002-02-15 22:37:31 ssh-rsa 1024 ～
2002-02-15 22:37:31 Initialised AES-256 client->server encryption
2002-02-15 22:37:31 Initialised AES-256 server->client encryption
2002-02-15 22:37:31 Keyboard-interactive authentication refused
2002-02-15 22:37:33 Sent password
2002-02-15 22:37:33 Access granted
2002-02-15 22:37:33 Opened channel for session
2002-02-15 22:37:33 Allocated pty
2002-02-15 22:37:33 Started a shell/command
423 ：407 ：02/02/15 22:44: >>421
つーか、no にすると接続後に putty 閉じてしまいますが何か？
424 ：名無しさん＠お腹いっぱい。 ：02/02/15 22:55: >>422
その RSA キーって puttygen.exe で作った?
425 ：421 ：02/02/15 22:58: >423
（SSH1 なら）RSAAuthentication は yes
（SSH2 なら）PubkeyAuthentication は yes なんだろうな，ﾃﾒｰ
426 ：407 ：02/02/15 23:01: >>425
つーか、Cygwin の ssh だとパスフレーズ聞いてくれるんだって。
427 ：421 ：02/02/15 23:03: >426
それ早く言えよー
428 ：407 ：02/02/15 23:10: >>427
>418 で言ってますが何か？

前後しますが
>424
puttygen で作らんといかんの？んなアホな
429 ：421 ：02/02/15 23:11: >428
> >418 で言ってますが何か？
ｸﾞｽﾝ，逝ってきます…
430 ：407 ：02/02/15 23:14: >>429
逝かなくていいからパスフレーズの聞かれ方教えてください
431 ：名無しさん＠お腹いっぱい。 ：02/02/15 23:51: >>428
> puttygen で作らんといかんの？んなアホな
Cygwin の ssh-keygen -t rsa で作ったキーと puttygen で作ったキーを
見比べると、ファイルの書式が違ってるぞ。
432 ：421 ：02/02/16 01:04: >431
そういや SSH2 って鍵の形式に関して互換性の問題があったような無かったような
433 ：名無しさん＠Ｅｍａｃｓ ：02/02/16 03:09: Putty の鍵の形式は IETF 標準なのでしょう。
これは Cygwin の ssh (OpenSSH) でつくった鍵とは形式が違います。

公開鍵だけなら Cygwin の ssh-keygen で putty 用に変換できるけど、
秘密鍵も入ってるなら putty で作りなおしたほうがはやい。

cf.
http://www.unixuser.org/~haruyama/security/openssh/support/addendum.html#add_3
434 ：407 ：02/02/16 04:02: >>433
ﾃﾞｷﾀｰﾖ！
でもこれからあちこちのサーバに公開鍵置き直さないとﾀﾞﾒかと思うと鬱だ。。。
435 ：名無しさん＠お腹いっぱい。 ：02/02/16 04:16: 質問です。

プロバの鯖がtelnetでしか入れないので、ユーザ権限でsshdを動かしたいです。
環境はsolaris。バイナリのssh、sshd、ssh-keygenがあります。
SSH Version 1.2.27 [sparc-sun-solaris2.5.1], protocol version 1.5.
ちと古くてアレなんですが、コンパイルする環境がないので、これより新しいのは用意できません。

＃これは余談ですが、x86のLinux/FreeSolaris上でクロスコンパイルとかできます？

現状:パスワード認証不可、RSA認証も不可です。

$ ssh -v -p 22222 nanashi@solaris.puge.ne.jp
SSH Version OpenSSH-1.2.3, protocol version 1.5.
Compiled with SSL.
debug: Reading configuration data /home/nanashi/.ssh/config
debug: Reading configuration data /etc/ssh/ssh_config
debug: Applying options for *
debug: ssh_connect: getuid 1000 geteuid 1000 anon 1
debug: Connecting to solaris.puge.ne.jp [2xx.xxx.xxx.xxx] port 22222.
debug: Connection established.
debug: Remote protocol version 1.5, remote software version 1.2.27
debug: Waiting for server public key.
debug: Received server public key (768 bits) and host key (1024 bits).
debug: Host 'solaris.puge.ne.jp' is known and matches the host key.
debug: Encryption type: 3des
debug: Sent encrypted session key.
debug: Installing crc compensation attack detector.
debug: Received encrypted confirmation.
debug: Trying RSA authentication with key 'nanashi@hoge.com'
debug: Server refused our key.
debug: Doing password authentication.
nanashi@solaris.puge.ne.jp's password:
Permission denied, please try again.
nanashi@solaris.puge.ne.jp's password:

こんな感じです。
436 ：名無しさん＠お腹いっぱい。 ：02/02/16 04:16: で、やったこととしては、
・ssh-keygenでssh_host_key ssh_host_key.pubを作成(ヌルパスフレーズ)
・ユーザ権限でport 22222で起動
・authorized_keysをftpでアップロード

sshd_configはこんな感じ。

Port 22222
ListenAddress 0.0.0.0
HostKey /so-net/home/addie/.ssh/ssh_host_key
RandomSeed /etc/ssh_random_seed
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts no
StrictModes yes
QuietMode no
X11Forwarding yes
X11DisplayOffset 10
FascistLogging no
PrintMotd yes
KeepAlive yes
SyslogFacility DAEMON
RhostsAuthentication no
RhostsRSAAuthentication yes
RSAAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
UseLogin no

ファイルはすべて600、ディレクトリは700にしてあります。

＃うーん。ローカルで実験してからにしたほうがいいか...。
437 ：名無しさん＠Ｅｍａｃｓ ：02/02/16 05:42: サーバ側で sshd -d を実行してデバッグモードで接続するとどうなる?
438 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:09: >>436
一般ユーザ権限だと PAM が認証を蹴るんじゃない？
439 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:16: >>435
クロスコンパイルには、ターゲットのランタイムライブラリが必要。
プロバイダの /usr/lib をごっそり取って来るとか。
440 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:42: >>437
$ ./sshd -d -f sshd_config
debug: sshd version 1.2.27 [sparc-sun-solaris2.5.1]
debug: Initializing random number generator; seed file /etc/ssh_random_seed
log: Server listening on port 22222.
log: Generating 768 bit RSA key.
Generating p: ..++ (distance 52)
Generating q: ...++ (distance 16)
Computing the keys...
Testing the keys...
Key generation complete.
log: RSA key generation complete.
debug: Server will not fork when running in debugging mode.
log: Connection from 2xx.xxx.xxx.xxx port 4854
log: Could not reverse map address 2xx.xxx.xxx.xxx.
debug: Client protocol version 1.5; client software version OpenSSH-1.2.3
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: Installing crc compensation attack detector.
debug: Can't find nanashi's shadow - access denied.

こんな感じでした。
パスワード認証は/etc/shadow(?)を見るっぽいので、ユーザ権限では動きようがないですね。

debug: Sent encrypted session key.
debug: Installing crc compensation attack detector.
debug: Received encrypted confirmation.
debug: Trying RSA authentication with key 'nanashi@hoge.com'
debug: Server refused our key.
debug: Doing password authentication.

なぜサーバがrefuseするかが分からないな。
441 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:50: >>440
ちゃんと調べてないけど
PermitEmptyPasswords no
って空のパスフレーズもrefuseするんじゃなかったっけ？
442 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:05: >>441
ユーザのパスフレーズは空じゃないです。
一応試してみたのですが、ダメでした..。
443 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:19: 彼女の pussy に ssh で入ろうとしたらパスフレーズ聞かれずに
パスワード聞かれちゃうんですけど、それは漏れが厨房だからでしょうか？
444 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:40: >>444
ちゃんと sshe の設定できてる?
ある日ふと気付くと PermitEmptyPassword yes とかになってたりするか
ら気をつけよ。
445 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:45: >>443
プロトコルのバージョンが違うからです。
商用のpussyなら大丈夫かと思われます。
446 ：何が何でも Solaris IA版存続を願う会2ch支部長 ：02/02/16 08:55: >>435 http://sunfreeware.com/ で，Solaris2.5/2.5.1用なら2.9.9p2，
Solaris2.6以降用なら3.0.2p1のOpenSSHバイナリが入手できると思うけど？
447 ：名無しさん＠お腹いっぱい。 ：02/02/16 09:14: >>446
うーん、/usr/localに手出せないけど大丈夫かしら。
LD_LIBRARY_PATHとかに~/libとか足して、そこにopensslとか入れれば大丈夫ですかね。
あんまりquotaがないので、置けるかな...。

＃あと、SunOS 5.5.1ってSolaris 2.5.1のことなのでしょうか(スレ違いっぽいけど
448 ：名無しさん＠お腹いっぱい。 ：02/02/16 09:30: >>447
yes
SunOS 5.5.1 = Solaris 2.5.1
449 ：名無しさん＠お腹いっぱい。 ：02/02/16 13:16: >>443
しばらくpussyに接続してなかったんじゃないの？
pussyの仕様上、しばらく使われてないと自動的に開いちゃうよ。

あとはホスト単位でパスワード無しを許可する設定にしてない？
450 ：名無しさん＠お腹いっぱい。 ：02/02/16 14:20: >>449
低いネタは、大人の時間でやってくれ。

たまにはいいが、まともな話よりも量を占めるのは行き過ぎ。
451 ：407 ：02/02/16 14:48: おはようございます。

ところでふっと気になったのですが、
putty-ssh と Cygwin-ssh はﾋｮﾄｰｼﾃ共存できなかったりしますでしょうか？
いろいろと素の ssh も使う必要があるので共存できなかったつらいものが
あるのですが。。。
452 ：407 ：02/02/16 14:57: >>451
ｺﾞﾒｿ、できたわ。
つーか、

putty用: DSA鍵ペア
Cygwin-ssh用: RSA鍵ペア

と使い分けるようにしました。同じ鍵でできる方法あれば教えてください。
のんびり待ってます。
453 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:00: Windows上で動作するssh2対応クライアントのPuTTYに
日本語対応パッチが出てました
http://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top

おや？なんか２重書き込みとか言われるのは何故???
454 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:01: あ、書き込めた...よかった
455 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:19: どうでもいいけど putty って、接合剤の「パテ」のことだったんだね。
456 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:45: >>453
> なんか２重書き込みとか言われるのは
既出のネタだからじゃないの？
457 ：名無しさん＠お腹いっぱい。 ：02/02/23 09:57: sshdがスタンドアロンで起動してるんですけど、これをinetd+tcpwrapperなりxinetd、tcpserverを経由して
自分の学校とか以外のホスト名からは弾くようにすると、いくらかセキュア度ってあがりますか？
458 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:09: >>456
そんな便利な機能あるならソース公開キボンヌ (ﾜﾗ

>>457
sshd の conf ファイルで弾くよりもって事？
459 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:12: >>458
はい。スーパーデーモンでまず弾き、sshdの設定ファイルでも弾くようにする設定です。
意味がないでしょうか？
460 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:28: >>459
sshdってスタンドアロンで起動してても、
勝手にhosts.allowとhosts.denyを
反映してくれると思うんだけど。
なにか勘違いしてたらスマンが、
既に望んでる状態じゃなくて？
461 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:30: >>457
ホスト名ではじくのはやめとけ。
DNSの逆引きがspoofされていたら意味ないぞ。

ただ sshは認証に負荷がかかるので、IPレベルで
信用できないホストをあらかじめはじくのは負荷削減に役立つ場合もある。

あと、openssh を libwrap つきでコンパイルすれば sshd 自身が
hosts.allow や hosts.deny を見るよ。
462 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:40: PuTTY の話ここでしても良いですか？
他に相応しいｽﾚがあれば教えてください。
PuTTY で logout したり、なんらかの原因接続が切れた後に
inactive になったウィンドウをそのまま再利用して接続するのって
出来ないのでしょうか？

>>457
461 が言うように libwrap 付きで hosts.(allow|deny)使うのが
楽で良いと思うよ。tcpdchk で warning 出ちゃうけど。
463 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:44: >>461
> ホスト名ではじくのはやめとけ。
> DNSの逆引きがspoofされていたら意味ないぞ。
え? 正引きで引き直して二重チェックしないの?
464 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:46: >>462 自己レス
http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist.html
Plausible feature wish list
Perhaps an inactive window should have a menu option to reactivate
the session (like Duplicate Session but in the same window).
しょぼーん
465 ：エミネム ：02/02/23 13:13: についての情報交換希望。
466 ：名無しさん＠お腹いっぱい。 ：02/02/23 13:46: >>463
そういえば、そんなの意味がないからヤメレって djb は主張しておるな。
467 ：名無しさん＠お腹いっぱい。 ：02/02/24 09:48: どうしてなの? >466
468 ：名無しさん＠お腹いっぱい。 ：02/02/24 16:22: >>467
僕は>>466ではないけど、DNSサーバが乗っ取られたら、正引きの結果も正しいと
保証されないからだと思った。
469 ：名無しさん＠お腹いっぱい。 ：02/02/24 16:30: 逆引きだけならDNSサーバを乗っ取る必要なんてないじゃん。
470 ：名無しさん＠お腹いっぱい。 ：02/02/24 17:56: >468 なるほど。

hosts.allowにドメインで書いてると逆引きした後のホスト名だけ
ログに残るみたいだけど、逆引きする前のIPアドレスも残る
ようにできないのかな。
471 ：名無しさん＠お腹いっぱい。 ：02/02/24 21:00: Putty 上で screen 使おうと思ったらあんまり調子よくない、
ってな話はここで聞くべき？それとも screen ｽﾚに逝くべき？
472 ：名無しさん＠お腹いっぱい。 ：02/02/25 00:54: screenスレdeso.
sshは端末上で起こることは何も関係ない。
473 ：名無しさん＠お腹いっぱい。 ：02/02/25 02:07: そういやー忘れてたけど、単純にホストを制限したいんなら
libwrap を使うやりかたのほかに、
ユーザレベルの ~/.ssh/authorized_keys でもできるよ。

~/.ssh/authorized_keys:

　1024 33 1210290129012...12019209 hoge@fuga

とあるところを、

　from="*.trusted.domain" 1024 33 1210290129012...12019209 hoge@fuga

とすれば、この公開鍵では .trusted.domain から接続した
ユーザしかログインできなくなる。
474 ：名無しさん＠お腹いっぱい。 ：02/02/25 03:17: >>473
そうだね。ただし、OpenSSHにはそれ関係のセキュリティホールが見つかっている
ので、サーバ側のOpenSSHのバージョンは少なくとも2.9.9以降にしないとね。
＃　現在の最新バージョンは3.0.2 →http://www.openssh.com/ja/
475 ：473 ：02/02/25 03:18: sageてｼﾏｯﾀ…鬱打氏脳
476 ：474 ：02/02/25 03:20: 474=475　おれアホや。。。
477 ：名無しさん＠お腹いっぱい。 ：02/02/25 12:39: (･∀･)ﾊﾞ-ｶﾊﾞ-ｶ!!
478 ：474=475 ：02/02/25 19:39: >>477
IRCで騒ぎながらカキコするとこーゆーことになるんだよ。。
479 ：新山ゆうすけ ：02/02/27 07:37: OpenSSH-3.0.2p1 の日本語マニュアル、ようやく翻訳完了しました。
遅くなってすみません。

　http://www.unixuser.org/%7Eeuske/doc/openssh/jman/

間違ってるとこあったらご指摘おながいします。
480 ：名無しさん＠お腹いっぱい。 ：02/02/27 08:57: 479に神が降臨したぞ！
481 ：新山：02/02/27 10:38: つーか>>473とかもオレなんですけど…
あのときちょうどsshd.8のそのあたりを訳してたのよー
482 ：名無しさん＠お腹いっぱい。 ：02/02/27 14:33: 新山氏に感謝age
483 ：名無しさん＠お腹いっぱい。 ：02/02/27 15:37: TRAMP の設定を解説したページやドキュメントってどっかにありますかね？
というか、私の周りで、TRAMP を満足に動かせてる人って皆無なのですが。
TRAMP って本当に動くものなのでしょうか？
484 ：名無しさん@XEｍａｃｓ ：02/02/27 18:49: >483

ココは見てますよね?
ttp://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html

最近のは知らないけど、昔(去年くらい?)は問題なく動かしてましたよ。

当時、 ssh で使うときは ssh-agent でパスワード入力しないでアクセスできる
状態で使わないとダメだったです。
# こりは知らないと結構ハマるかも。
485 ：474=475=476 ：02/02/27 20:22: >>481
ぎゃー（怖
いわゆるシャカに説法だったってわけだ（欝打詩嚢...
486 ：名無しさん＠お腹いっぱい。 ：02/02/27 22:34: 社内 LAN などで、内<->外は Firewall があったりする。
内で使うもんにも ssh が必要か？
487 ：名無しさん＠お腹いっぱい。 ：02/02/27 22:38: >>486
ssh-agent 使うとラク。
つーか、r系は設定方法忘れた。
488 ：421 ：02/02/27 22:42: >486
NFS で /home を共有していれば，ほとんど価値なしと思われ．
489 ：名無しさん＠お腹いっぱい。 ：02/02/27 23:34: >>487-488
つか、内で ssh 使わなイカンような環境下で同じ仕事せなならんってーのは、
職場の精神衛生上あまりよろしくないと思うのだが。。。
490 ：名無しさん＠お腹いっぱい。 ：02/02/28 00:35: >>479
説明逆になってますよ.

>scp(1) - SSH1 および SSH2 プロトコル上で動作する FTP ライクなプログラム。
>sftp(1) - rcp(1) に似たファイルコピープログラム。
491 ：名無しさん＠お腹いっぱい。 ：02/02/28 00:39: >>489
会社のマシンにwgetでﾀﾞｳｿﾛｰﾄﾞしたエロ画像が
うなるほど置いてあったりしたら気になるかもしらんけどね（笑

たしかにヤな環境だよなあ
492 ：名無しさん＠お腹いっぱい。 ：02/02/28 01:10: >>489
外回りが多い人用に無線 LAN 導入してるような環境だと、ssh 使いたくなる
かもじれず。(WEP じゃあねぇ）
493 ：名無しさん＠お腹いっぱい。 ：02/02/28 01:22: >>491
それ以前に firewall のログからマークされると思われ。
494 ：名無しさん＠お腹いっぱい。 ：02/02/28 02:09: >>490
ありがと。直したっす。

本当はOpenSSHの公式ページからもリンクさせたいのだが、
いまちょっと翻訳MLでつっこまれてる。。。むずかしいな。。
495 ：名無しさん＠お腹いっぱい。 ：02/02/28 09:32: ちっとアバウトな質問なんですが。
いろいろなマシンにopensshを入れて回ってるんですが一部のマシンで
--with-tcp-wrappers が有効にならない現象が出ています。
FreeBSD2.2.5 と SunOS5.8 です。うまく行くマシンもあるのですが
駄目なマシンは何度再コンパイルしても駄目で、FreeBSDの場合は
うまく行ったマシンで生成された sshd をコピーすることで回避出来て
いますが SunOSの方はそれでも駄目なんです。アクセス元を制限出来ません。

こんな現象に会った方いませんか？
496 ：名無しさん＠お腹いっぱい。 ：02/02/28 14:20: >>495
まさか Solaris8 machine に libwrap が入っていないっていうことはないよね。
497 ：名無しさん＠お腹いっぱい。 ：02/02/28 14:30: そーだとしたら configure した時点で通らないと思いますが？
一応手動で tcpd.h と libwrap.a はそれなりの場所に入れてます。
エラー吐かずに終わるのに期待の動作しないのが困りモノ…
498 ：名無しさん＠お腹いっぱい。 ：02/02/28 18:54: >>497
configure した時の出力の最後の方で

TCP Wrappers support: yes

にちゃんとなってる?
499 ：黒き風 ：02/03/03 15:42: ････！？
500 ：黒き風 ：02/03/03 15:44: ・・・・！！
501 ：名無しさん＠お腹いっぱい。 ：02/03/07 23:22: またもや openssh のリモート・ホールが発見されましたな。
今度のは crc の奴よりは、サーバー側の深刻度はちょっとだけ低いみたいだけど。
(root を奪えるのは認証されたユーザーだけ？)

FreSSH も、0.8.1 より新しいのは出てないみたいだしのう。
502 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:10: >>501
FreSSHって、実用レベルに達してるの?
503 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:19: >>502

0.8.1は、それなりには使えるんだけど、負荷をかけるとバグが出てトラブル
ことがあるみたい。なので、まだ普通には勧められない感じ。
504 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:32: >>501
リモート・ホールってどーゆーやつを言うの？
ローカルアタックに関するFixだと思うんだけど・・・
まあ、3.1リリースおめでとうございます、てことで。
505 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:43: OpenSSH 用 Heartbeat/Watchdog パッチが便利で使ってるのだけれど、
バージョンアップする度に毎回当てるのめんどくさいので、
本家に取り込まれないかなぁ、といつも思うのだが、難しいのだろうか？
http://www.sc.isc.tohoku.ac.jp/~hgot/sources/ssh-watchdog-j.html
506 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:49: >>504

確かに、ほとんどのサイトにとっては、ローカル・ホールと等価だろうけど、
ある種のサイト(ssh経由で、任意のユーザーにシェルではないアクセスを
提供しているサイト)にとってはリモートでも危ないから、やっぱりリモート・
ホールじゃないかな。

結局、ローカル・ホールをどう定義するかって問題なんだけど、ローカルマシ
ンでそのコマンドを実行しないと発現しないホールのことだと定義する、す
なわち、シェル・アクセスのあるユーザーに対してか、あるいは、他の穴で既
に侵入されている場合だけに問題になるものだけが、ローカル・ホールと定義
するなら、今回のはリモート・ホール。

認証を通っていればローカル・ユーザーだと定義するなら、確かにローカル・
ホールだけど、上に書いたように、ssh経由で任意のユーザーにアクセスを提
供しているサービスって、存在するから、必ずしも、こちらの定義は使えない
と思うな。

> まあ、3.1リリースおめでとうございます、てことで。

全然めでたくないよ。
crcの奴みたいな、任意のリモート・ユーザーに突かれるホールに比べると、
緊急度は低いけどね。
507 ：504 ：02/03/08 01:12: >>506
解説ども。
>全然めでたくないよ。
これはマジで言ってる？Fixされたらめでたいと思うけどな。
まさかバグや穴を作るのは断じて許さない、てわけじゃないよね？
508 ：skel.103M ：02/03/08 02:01: ChangeLogの日本語訳を書いてみました：

Important Changes（重要な変更点）：
==================================
・ホスト認証鍵や設定ファイルなどのディレクトリのデフォルトが /etc/ssh に
　変更された。
・ssh-keygen コマンドは、もはや特定の鍵タイプ（すなわちrsa1）をデフォルト
　とはしないようになった。すなわち、ユーザは必ず -t オプションで作成したい
　鍵のタイプ（rsa,dsa,rsa1のいずれか）を指定しなければならない。
・sshdのＸ転送機能は、デフォルトではローカルホストをlistenするようになった。
　もし、X11クライアントアプリケーションがこの変更により動作しなくなった場合、
　sshdの設定ファイル（訳注：sshd_configのこと）の X11UseLocalhost オプショ
　ンを変更して以前の動作に戻せばよい。
　　原文：sshd x11 forwarding listens on localhost by default;
　　　　　see sshd X11UseLocalhost option to revert to prior behaviour
　　　　　if your older X11 clients do not function with this configuration

Other Changes（その他の変更点）：
================================
・sshクライアントのエスケープ文字の１つ~&が両方のバージョンのSSHプロトコル
　で動作するようになった。
・sshdの ReverseMappingCheck オプションは、意味がより分かりやすい VerifyReverseMapping と
　いう名前のオプションになった。従来通り、 ReverseMappingCheck という名前
　で設定することも可能である。
・使用された公開鍵（訳注：ユーザ認証鍵の公開鍵）の指紋が LogLevel=VERBOSE の
　ときにログとして記録されるようになった。
・シェルが存在しないなどの理由でログインが許可されなかった場合、その理由が
　ログとして記録されるようになった。
・Ｘ転送におけるエラー処理を強化した。
・……意味不明 (T_T) ……
　　原文：improved packet/window size handling in ssh2
・regex(3)を使用しなくなった。
・sshdで SIGCHLD races が発生するという現象（Solarisで発生する）を
　対策？？？……意味不明 (T_T) ……
　　原文：fix SIGCHLD races in sshd (seen on Solaris)
・sshdに -o オプションが新設された。
・sftpに -B, -R, -P オプションが新設された。
・ssh-add コマンドは、3つのデフォルトのユーザ認証鍵すべてを認証エージェント
　に登録する追加する
　　原文：ssh-add now adds all 3 default keys
・ssh-keyscan コマンドのバグフィックス
・……意味不明 (T_T) ……
　　原文：ssh-askpass for hostkey dialog
・……意味不明 (T_T) ……
　　原文：fix fd leak in sshd on SIGHUP
・……意味不明 (T_T) ……
　　原文：TCP_NODELAY set on X11 and TCP forwarding endpoints

原文を書いているところは、日本語訳に自信がないところです(苦笑)
うまく訳せる方・意味が分かる方は、フォローしてくださると助かりますです。
509 ：skel.103M ：02/03/08 02:20: 懲りずに続き：

セキュリティ関係の変更点(adv.channelalloc)：
１．影響を受けるシステム
　　バージョン2.0から3.0.2までのすべてのリリースには channel code に
　　off-by-one エラーが含まれています。
　　　原文：All versions of OpenSSH between 2.0 and 3.0.2 contain an
　　　　　　off-by-one error in the channel code.

　　3.1以降のバージョンではこの問題は解決されています。
２．影響
　　この脆弱性を持ったSSHサーバにログインしている正規のユーザによって、
　　SSHサーバに…(不明)…。また、この脆弱性を持ったSSHクライアントに
　　悪意を持ったSSHサーバがattackすることによっても同様の…(不明)…。
　　　原文：This bug can be exploited locally by an authenticated user
　　　　　　logging into a vulnerable OpenSSH server or by a malicious
　　　　　　SSH server attacking a vulnerable OpenSSH client.
３．解決方法
　　次のパッチ（訳注：省略させていただきました）を適用するか、バージョン3.1
　　以降を使用することによってこの問題は解決されます。
４．Credits
　　このバグは Joost Pol <joost@pine.nl> 氏によって発見されました。
510 ：春山征吾 ◆9Ggg6xsM ：02/03/08 02:23: >>508-509
skel.103Mさん、たびたび情報提供ありがとうございます。

変更点について、私の訳を
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.1.txt
に載せました。

また今回のセキュリティホールについて
http://www.unixuser.org/%7Eharuyama/security/openssh/index.html
に記載しました。
511 ：skel.103M ：02/03/08 02:25: うーむ、翻訳って難しい…（汗）
512 ：skel.103M ：02/03/08 02:29: >>510
かぶったーーー（撃沈）
春山征吾センセ、こちらこそいつもお世話になってます。

＃　作業早っ！！
513 ：新山：02/03/08 02:30: >>509
オレならこういう場合 2つの文に分けちゃいますが。

> This bug can be exploited locally by an authenticated user
> logging into a vulnerable OpenSSH server or by a malicious
> SSH server attacking a vulnerable OpenSSH client.

　このバグは、脆弱な OpenSSH サーバに認証してログインしたユーザによって
　ローカルで濫用される危険があります。あるいは、悪意ある OpenSSH サーバが
　脆弱な OpenSSH クライアントを攻撃することによっても同じくローカルで
　濫用されます。

locally 「ローカルで」っていう表現はいまいち好きじゃない。
exploit 「濫用」もなんかひっかかる。「搾取」だとイメージ違うし。
514 ：新山：02/03/08 02:32: あ。春山さんだ。。。
515 ：skel.103M ：02/03/08 02:42: >>513
初めまして！！（たぶん

> locally 「ローカルで」っていう表現はいまいち好きじゃない。
　私もそう思いました。「認証してログインしたローカルユーザ」がいいのか
　なぁ…。
> exploit 「濫用」もなんかひっかかる。「搾取」だとイメージ違うし。
　「exploitされてしまう」と訳すと、日本語訳ぢゃねーってツッコミ入れられそう
　ですしね。「不正に高い権限をとられてしまう」がいいのでしょうか…ふ～む…
516 ：名無しさん＠お腹いっぱい。 ：02/03/08 02:42: >> 全然めでたくないよ。

> これはマジで言ってる？

マジよ。

> Fixされたらめでたいと思うけどな。

もちろん、fixされないよりはマシね。
でも運用している側からすると、ssh/sshd を入れ換える手間が発生するので、
全然めでたくないよ。作ってるほうだって、穴が見つかったのを嬉しいなんて
思ってないとおもうぞ。穴が存在するが報告されてない状態と比較するなら、
確かに嬉しいだろうけどね。

>まさかバグや穴を作るのは断じて許さない、てわけじゃないよね？

まあね。バグのないソフトウェアなんて存在しないからね。
でも、正直言って、俺にとって最近もっとも手間がかかるソフトウェアが
sshd なんだよな。
俺は新しい機能とか便利な機能とかは要らない、現状の機能か、現状より
少ない機能でいいから、穴のない sshd が欲しいよ。
517 ：名無しさん＠お腹いっぱい。 ：02/03/08 03:03: >>516
つまりインストールすんのめんどくさいだろうがボケということね
518 ：新山：02/03/08 03:44: > でも、正直言って、俺にとって最近もっとも手間がかかるソフトウェアが
> sshd なんだよな。
> 俺は新しい機能とか便利な機能とかは要らない、現状の機能か、現状より
> 少ない機能でいいから、穴のない sshd が欲しいよ。

djb信者として、はげしく同意。

つーかこういう意見は openssh 開発グループの中にもあって、
MailCheck とかどうでもいいような機能ははずそうよ、という議論が
むかしあった。でもどんどん余計な機能が追加されてるね…。
519 ：名無しさん＠お腹いっぱい。 ：02/03/08 03:49: つーか思った。
djbに作らせればいいんでないの？
520 ：_ ：02/03/08 03:56: >>518
> でもどんどん余計な機能が追加されてるね…。
　具体的にどういうものでしょうか。（他意は全くございません、*本気で*知りた
　いわけです。）私ならKerberos認証、Rhosts認証、PrintMotd、PrintLastLogあたり
　かな。。

ちなみに、「host.domain」という名前でsshにシンボリックリンクを張っておくと、
　　% host.domain
と実行したら、
　　% ssh host.domain
を実行したのと同等になるっていう機能があるようで…（つい最近知ったんですけ
ど）。これって便利？
521 ：新山：02/03/08 04:18: たとえば 3.0 で追加された、スマートカードから鍵を読むという機能。
ぼくは使ったことないのでよく知らないけど、これって別プロセスにして
ssh-add みたくするんじゃダメなの、と思う。

あと、機能というわけではないけど、サイトの運営ポリシーの違いを
反映させるような瑣末なオプションが多い。今回の X11UseLocalhost も
そうだし、3.0.1 の NoHostAuthenticatinForLocalhost とか。
こんなのインストール時に一度決めたら普通変えないでしょ。
それならデフォルトで安全なほうに決め打ちしといて、
あとはパッチで対応させるか、configure のオプションにしろと思う
(これはこれで問題ありか)。だけど互換性が足をひきずってるんでしょうね。
OpenSSH-2.9 からデフォルトが SSH2 になってハマった人は多いはず
(OpenSSH本では締め切り直前にそれに気づいて必死で直した)。
そういうとこで問題を起こしたくないのかもしれない。

まあ、こんなとこで書いてないで dev-ml にでも
投稿しろといわれればそれまでです。はい。
522 ：新山：02/03/08 04:24: ああ、今思ったけど、ssh.com との互換性も重視してるのかも。
すると本家が機能を追加してたらどうしようもないですね。
523 ：名無しさん＠お腹いっぱい。 ：02/03/08 09:17: >>520
> ちなみに、「host.domain」という名前でsshにシンボリックリンクを張っておくと、
> 　　% host.domain
> と実行したら、
> 　　% ssh host.domain
> を実行したのと同等になるっていう機能があるようで…（つい最近知ったんですけ
> ど）。これって便利？

あまり便利だとも思わないけど、rloginに昔からあるよ。

まあ、シェルの入力補完でホスト名を補完できる、ってのは
便利と言えば便利かも。
524 ：名無しさん＠お腹いっぱい。 ：02/03/08 09:34: >>520

一つの端末からいくつものマシンにログインして、
セッションをサスペンドで保持している場合、cshの
ジョブコントロールで簡単に切り替えられる。
(%<ジョブの先頭>ってやつ)

xxx-yy01なんてホスト名ばかりだとあまり嬉しくないが。
525 ：名無しさん＠ＸＥｍａｃｓ ：02/03/08 17:24: >>520
> ちなみに、「host.domain」という名前でsshにシンボリックリンクを張っておくと、

って機能は 2.3 と 2.5 の間辺りで消された筈だが。

ssh.com 版の話？
526 ：名無しさん＠お腹いっぱい。 ：02/03/08 17:29: >>519
> djbに作らせればいいんでないの？
free じゃなくなりそうで、やだ。
527 ：_ ：02/03/08 19:21: >>523
うん、知ってる。実は、
　　http://www.oreilly.com/catalog/sshtdg/
の本を読んで初めて知ったんよ。
528 ：_(=520=527) ：02/03/08 19:27: >>525
そ、そうなんですか…。それで春山センセの本
　　http://www.unixuser.org/~haruyama/security/openssh/support/
の本には書いてなかったわけか。>>527の通りなんだけど、そっちの本には書
いてあるのに春山センセの本には書いてないのはどうしてかなー、と思って
たわけなんです。
529 ：_(520=527=528) ：02/03/08 19:30: >>521
なるほどです。どうもありがとうございます。
＃　あの本の執筆時の舞台裏ではそういうことがあったのですか…どうもご
＃　苦労さまです m(__)m
530 ：skel.103M ：02/03/08 19:41: なんか今さらアレですけど…
>>508-509
実はコレ、Installer MLで流れてきたメールに記載されていたものを日本語訳
したものです。で、そのメールの発信者の方は、
　　http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=101550252713913&w=2
から原文を引用されたと思われます。よって私の日本語訳（あまりいいデキ
とは言えんが…苦笑）の原文は上記URLにあるということでよろしくです。
531 ：たいがいSunOS4.1は捨てたいのだが金がないぞ。 ：02/03/09 03:43: SunOS4.1.4ＪＬＥじゃssh-3.1.0はmake出来ませんな。makeするには

パッチをあてる。
-----
*** sshmalloc.c.ORG Tue Mar 5 19:46:10 2002
--- sshmalloc.c Tue Mar 5 19:48:14 2002
***************
*** 487,493 ****
#pragma weak ssh_free = _ssh_free
#pragma weak ssh_strdup = _ssh_strdup
#pragma weak ssh_memdup = _ssh_memdup
! #elif defined(__GNUC__) && !defined(__APPLE__)
void *ssh_malloc(size_t size)
__attribute__ ((weak, alias("_ssh_malloc")));
void *ssh_realloc(void *ptr, size_t old_size, size_t new_size)
--- 487,493 ----
#pragma weak ssh_free = _ssh_free
#pragma weak ssh_strdup = _ssh_strdup
#pragma weak ssh_memdup = _ssh_memdup
! #elif 0 // defined(__GNUC__) && !defined(__APPLE__)
void *ssh_malloc(size_t size)
__attribute__ ((weak, alias("_ssh_malloc")));
void *ssh_realloc(void *ptr, size_t old_size, size_t new_size)
--------

次に,

setenv LIBS "/usr/local/lib/gcc-2.95.3/lib/libiberty.a"

とかする。pathは環境に合わせる。そして

./configure

しませう。
532 ：名無しさん＠お腹いっぱい。 ：02/03/09 04:00: djbはリモートホストにログインするのに何を使ってるんだ？
まさかtelnetじゃないよな？
533 ：：02/03/09 04:28: テラターム
534 ：名無しさん＠お腹いっぱい。 ：02/03/09 04:48: >>532
SMTP 使ってるよ
535 ：名無しさん＠お腹いっぱい。 ：02/03/09 05:09: >>532
> まさかtelnetじゃないよな？
IPsec や Kerberos を使ってる場合には telnet もアリだと思うが。
536 ：名無しさん＠お腹いっぱい。 ：02/03/11 00:01: >>535
そういえば、Kerberosって日本じゃ全然流行らないねぇ。
537 ：名無しさん＠お腹いっぱい。 ：02/03/11 10:38: >>535
Windowsを含めたシングルサインオン環境を実現しようとして、一時期
いろいろ調べたんだけど、標準的に使える暗号がsingle DESだけぽいの
で諦めた。Heimdal(krb5)はWindows方面拡張のRC4にも対応してるみた
いだったけど、灰色ライセンスの暗号に依存するシステムはヤなので不
採用。
538 ：537 ：02/03/11 10:39: 間違えた。537は>>536ね。
539 ：名無しさん＠お腹いっぱい。 ：02/03/11 13:13: OpenSSH　インストール中につき

age
540 ：名無しさん＠お腹いっぱい。 ：02/03/11 17:34: 「誰か　ttssh2　作ってください」
っていうスレ立ててもいいですか？
541 ：名無しさん＠ＸＥｍａｃｓ ：02/03/11 17:45: >>540

最近だと ssh2 に対応して日本語が使えるクライアントとして

http://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top

つーのがありますが，これだとアカンのですか？自分ではウィソは使わ
ないので，ttssh と比べた報告をキボンヌ．
542 ：名無しさん＠お腹いっぱい。 ：02/03/11 17:46: >>540
ここでいいじゃん。
543 ：名無しさん＠お腹いっぱい。 ：02/03/11 17:51: >>541
もちろん知ってますが、

PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/l50

やはりTeratermを使いたいので。

>>542
ここで言っても人が集まりませんし。
544 ：名無しさん＠お腹いっぱい。 ：02/03/11 17:55: >>540
だめ。

「ttssh2 作ったので、見てください」

なら可。
545 ：名無しさん＠お腹いっぱい。 ：02/03/11 17:58: >>544
わかりました。
546 ：名無しさん＠お腹いっぱい。 ：02/03/11 18:00: というか、スレ立てるだけで誰か作ってくれたりしたら
なんて素晴しいだろうね >>545
547 ：名無しさん＠お腹いっぱい。 ：02/03/11 18:06: >>546
しかしザウルス用の2chブラウザなんかは本当にできましたけどね。

ザウルス用２ちゃんブラウザって無いの？
http://pc.2ch.net/test/read.cgi/mobile/1002359628/l50

しばしスレ名とテンプレを募集します。

「ttssh2って便利ですよね」
1 名前：エニグマ投稿日：2000/12/11(月) 10:10
みなさん欲しいですよね。

関連スレ
PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
548 ：名無しさん＠お腹いっぱい。 ：02/03/11 18:11: >>540
立ててもいいけど、言いだしっぺの法則が適用されます。
549 ：skel.103M ：02/03/11 19:01: 作れればいいなー、とは思う。ホントに。

が、
　　http://www.openssh.com/ja/manual.html
のプロトコルの仕様書(英語)読んでもさっぱり分からない。SSH1なら
　　http://www.oreilly.com/catalog/sshtdg/
とか
　　http://www.unixuser.org/%7Eharuyama/security/openssh/
の本を読めば仕組みは大体分かるんだけどね。（少なくとも、利用
者(含：サーバ管理者)にとって必要な情報はすべて書かれていると
私は思います。）
550 ：名無しさん＠お腹いっぱい。 ：02/03/11 20:02: >>549
なかなかいいリンクですね。
テンプレに追加、と。

>>548
スキルが無い奴に限ってスレ立てたがる法則もありますけどね。
551 ：名無しさん＠お腹いっぱい。 ：02/03/11 21:47: >>540
実物のあるPuTTYスレですら30レスしかついてないのに、これ以上Winネタはやめてくれ。
せめてage荒らし収まってからにしてくれ。
552 ：_ ：02/03/12 00:02: >>550
追加するなら、こっちも：
http://www.unixuser.org/~euske/doc/openssh/
（たぶんすでに追加してると思うけど…）

あと、
　　http://www.unixuser.org/~haruyama/security/openssh/support/
の本を読んで勉強した後に分かったことですが、
　　http://stingray.sfc.keio.ac.jp/security/ssh/
の「実際に使ってみる」の
> 1. まず、接続元のsshが接続先にsshdにこれから接続するユーザー名とその公開鍵を送ります。
は誤りです（このページの筆者自身このことについて懐疑的になっていますが）。これ
以外にも、SSHについて書かれたWebページは、誤りと思われるものが多かったりする
ので注意が必要かと。経験上、最終更新日が1999年より前のWebページは誤りが含まれ
ている可能性が高いです。（ま、1999年より前は、SSHに関する情報がまだ十分に整理
されていなかった時期だから仕方がないといえば仕方がないのでしょうけどね。）

＃　とっととtcpdumpの使い方を覚えよう…今のままぢゃ説得力がないからなー(苦笑)
553 ：552 ：02/03/12 00:16: 私自身、
　http://www.openssh.com/ja/
　http://www.openssh.com/ja/manual.html
　http://www.unixuser.org/~euske/doc/openssh/
と、
　http://www.unixuser.org/~haruyama/security/openssh/support/
　http://www.oreilly.com/catalog/sshtdg/
の本は全面的に信頼してます。それ以外のWebページに関しては分からないですな。

あと、誤解のないように言わせていただくなら、>>552の
> は誤りです
というのは、上記の本に書かれていることとは異なるという意味です。
554 ：名無しさん＠お腹いっぱい。 ：02/03/12 02:45: ちょっとスレ違いぎみだがコレ。
http://pc.2ch.net/test/read.cgi/tech/1002736958/
75からの話は参考になる。
555 ：名無しさん＠お腹いっぱい。 ：02/03/12 09:46: OpenSSH 3.1p なんですが、

FreeBSD 2.2.8R
FreeBSD 4.2R

ではそのままでは make できまへんでした。鬱だ。

FreeBSD 3.5.1R
FreeBSD 4.4R
FreeBSD 4.5R

ではオッケーでした。
556 ：名無しさん＠お腹いっぱい。 ：02/03/12 09:48: >>555
opensslのバージョンは？
557 ：555 ：02/03/12 09:52: >>556
0.9.6c です。

ちなみに openssh-3.0.2p1 までは
↑の全てで make できてました。
558 ：名無しさん＠ＸＥｍａｃｓ ：02/03/12 11:21: >>553
> 私自身、
> 　http://www.openssh.com/ja/
> 　http://www.openssh.com/ja/manual.html
> 　http://www.unixuser.org/~euske/doc/openssh/
> と、
> 　http://www.unixuser.org/~haruyama/security/openssh/support/
> 　http://www.oreilly.com/catalog/sshtdg/
> の本は全面的に信頼してます。

ざっと見てみただけだけど、少なくとも、

> 　http://www.unixuser.org/~euske/doc/openssh/

を「全面的に信頼」するのはやめとくのが吉。

4. SSH プロトコルのしくみ - 必ず知っておくべきこと

の部分の記述には明白な誤りがあるので。

・「ここでは SSH2 を使うものとして話をすすめる」と言いながら、
書かれている認証方法は SSH1 のもの。
・で、SSH1 の認証だとして読んだとしても重要なところが間違ってい
る (復号した challenge をそのまま response として返すようにしか
読めない)。
・で、やっぱ SSH2 の認証を書くべきでしょう、いまなら。
559 ：新山：02/03/12 12:27: > ざっと見てみただけだけど、少なくとも、
> > 　http://www.unixuser.org/~euske/doc/openssh/
> を「全面的に信頼」するのはやめとくのが吉。

すみません。書いた自分が言うのもなんですが、まったくそのとおりで、
あんな中途半端な状態のものをいつまでも公開していてのは害になるだけですね。
わかってはいたんですが、いつか直そうと思いつつちっとも進まずに
放置していました (しかも完成しないうちから中途半端に改訂したりしてた)。

とりあえず完成するまであのページの内容は空にしておきます。

# つうか、あのページを最初に書きはじめたときはまさか自分が OpenSSH についての
# 本を書くことになるとか、あのページが大勢の人に見られるなどとは思っても
# いなかった。人目に触れるようになるとやっぱ大変だなあ。
560 ：名無しさん＠お腹いっぱい。 ：02/03/12 12:58: >>559
せっかくだから、注でもつけて
空にしないでおいてくださいな。
561 ：新山：02/03/12 14:08: うーん、でも間違ってるとわかってるものを
わざわざ公開するのはあれなので。とりあえず消しました。
(まあ「素人が書く資料の悪い見本」として展示するというのはそれなりに
面白い試みではあるのだが、ネタがネタなので)

ところで、後学のためにお聞きしたいんですが、

> ・で、SSH1 の認証だとして読んだとしても重要なところが間違ってい
> る (復号した challenge をそのまま response として返すようにしか
> 読めない)。

これは、ぼくにとってはまさにそういう理解なのですが、
何がまずいんでしょうか? 「暗号化された経路上で」という語句が
抜けているということでしょうか。
562 ：名無しさん＠ＸＥｍａｃｓ ：02/03/12 15:55: > > ・で、SSH1 の認証だとして読んだとしても重要なところが間違ってい
> > る (復号した challenge をそのまま response として返すようにしか
> > 読めない)。
> これは、ぼくにとってはまさにそういう理解なのですが、
> 何がまずいんでしょうか? 「暗号化された経路上で」という語句が
> 抜けているということでしょうか。

SSH1 の challenge&response はもう二捻りほど工夫してるんです。で、
暗号化された経路上とかは関係ありません。

もちろん答を書いちゃうのは簡単なんだけど、それだと面白くないの
で、少し自分で考えてみられては如何？

ヒントは：
1: 悪意のサーバへの対抗策
2: MITM への対抗策

ま、でも、これ誰にも聞かず／何も読まずに気づけたとしたら、凄い
センスだと思う。というか、センスあり過ぎかも。

ということで、わたしからの回答は二日後くらいに B-)
563 ：春山征吾 ◆9Ggg6xsM ：02/03/12 16:52: >>562
われわれの本にも同様の誤りがあったので、正誤表に加えました。
http://www.unixuser.org/%7Eharuyama/security/openssh/support/
564 ：552(=399) ：02/03/12 23:26: >>558
たしかに「*全面的に*信頼する」というのは言い過ぎかもしれないですけどね。
でも、（利用者・サーバ管理者からの視点での）SSHの仕組み、そしてSSH1プロト
コルの仕組みを知る分にはいいと思ってました。少なくとも、
　　http://stingray.sfc.keio.ac.jp/security/ssh/
はアレだし、>>399で書いた
　　http://www.seshop.com/bm_detail.asp?sku=59460
の本はクソ分かりにくいし…それに比べれば
　　http://www.unixuser.org/%7Eharuyama/security/openssh/support/
の本は分かりやすくかつ丁寧に書いてましたので、非常によいと思ってます。

>>559（新山）さん
たしかにあのWebページは作成中とのことだったので、ここに載せるべきではなかったのか
もしれません。もし気分を害されたのでしたら申しわけありません。私自身は、
例のWebページを本と同様、参考にさせていただいたので、>>560さんと同様、残
して下さるといいなと思います。
565 ：552(=399) ：02/03/12 23:44: >>558
>>562
（私も考えてみますです。たぶんムリだがtryするのはいいだろうと思うし）
566 ：552(=399) ：02/03/12 23:53: http://www.st.ryukoku.ac.jp/~kjm/security/memo/2002/03.html#20020312_zlib

またbuild&installのやり直しだ（鬱）…OpenSSHもZlibを利用しているからね
567 ：新山：02/03/13 00:57: >>554
> もし気分を害されたのでしたら申しわけありません。

いや、そんなことは全然ないです。
むしろ、正直すまなかったという感じ。
いい機会なんでこのさいいったん消して、新しくつくりなおそうかと。
(他にもやってることがあるんで、いつになるかわからないけど、
まあほかにもSSHの解説はいっぱいあるわけだし)

>>562
そう指摘されて気づきましたが、responseをそのまま返すと
ニセのchallangeを送って、responseを記憶しておくという方法が
可能になってしまいますね。暗号文選択攻撃だっけ。
568 ：名無しさん＠ＸＥｍａｃｓ ：02/03/13 11:55: >>563
> われわれの本にも同様の誤りがあったので、正誤表に加えました。
> http://www.unixuser.org/%7Eharuyama/security/openssh/support/

反応はや。

＃見習わねば。

ということで、どこが間違っていたかは明らかになっちゃいましたね。
あとはこれらの手当によって何故 562 に書いたような効果が得られる
か、だけです。

>>567
> そう指摘されて気づきましたが、responseをそのまま返すと
> ニセのchallangeを送って、responseを記憶しておくという方法が
> 可能になってしまいますね。暗号文選択攻撃だっけ。

まぁ、公開鍵暗号の場合、選択暗号文攻撃への耐性は当り前に求めら
れるので、これでは不正解。そんなに悠長に何度もやり取りを繰り返
せる situation でもないですし。

悪意あるサーバが一発で致命的なダメージ (と言ってしまうとあとの
回答で「なーんだ」と思われちゃうかもしれないが) をクライアント
に対して与えることができてしまうのです。復号結果そのものを返し
てしまうと。

565 さんも頑張ってね。
569 ：名無しさん＠お腹いっぱい。 ：02/03/13 17:11: 以前どこかのスレで聞いたのですがはっきりした答えが得られなかったので
聞きます。
sshのplain password log inをする場合に送る
login名とpasswordは既に安全な経路となっているのでしょうか。
570 ：：02/03/13 17:17: >>569
passwordがplainなまま送られることはありません。
571 ：名無しさん＠お腹いっぱい。 ：02/03/13 17:51: 研究室環境のsshを、現在利用しているssh.comのssh1/ssh2から
OpenSSHに移行しようと思っています。

管理者側の作業はいいとして、
ユーザ向けに、鍵 (や、authorization, hostkeysなどもあれば尚
可)のファイル変換・移行手順をまとめたガイドがあると大変嬉し
いのですが、どこかに転がっていませんでしょうか。

特に、ユーザが公開鍵・秘密鍵をSSHからOpenSSHに変換出来る手順
をわかりやすく説明したものを探しています。
572 ：名無しさん＠お腹いっぱい。 ：02/03/13 18:21: >>570
つまり、既に経路がssh化されてるということですか？
573 ：名無しさん＠お腹いっぱい。 ：02/03/13 18:23: >>572
すでに経路が暗号化されているということです。
574 ：春山征吾 ◆9Ggg6xsM ：02/03/14 00:15: >>571
http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_3
#管理上の都合でわたしのディレクトリにありますが、新山さんがまとめたものです。
#というか、この補遺は全面的に新山さんによるものです。
ちなみに、OpenSSH 2.9.9以降では SSH2の公開鍵もSSH1の公開鍵と同じく
~/.ssh/authorized_keys
に登録できます。(http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_8)
なお、SSH1の鍵はOpenSSHと商用SSHでフォーマットに違いはありません。
575 ：名無しさん＠お腹いっぱい。 ：02/03/14 01:12: sshといえば、うちの大学の某共用マシンは、sshのバージョンアップが
行われるたびにhost鍵が変わっている…

こういうクソい事は辞めてほしい…
576 ：名無しさん＠お腹いっぱい。 ：02/03/14 01:18: port scanツールでsshのscanしてみたのだけど、inet起動にしていると
port scanツールに引っかからないね。

何故って、port scanツールはタイムアウト時間が短いです。

inet起動の場合サーバ鍵の生成に時間がかかるので、最初少々待たさ
れます。その間にport scanツールがタイムアウトします。
577 ：名無しさん＠お腹いっぱい。 ：02/03/14 08:22: >>571
http://takei.webmasters.gr.jp/ldl/ から
たどれるどこかにあったような……。

>>576
タイムアウト値を長くすりゃいいんでないの?
578 ：名無しさん＠お腹いっぱい。 ：02/03/14 12:15: >>575
そんなマシン信頼できるかゴルァ! とつっこまないと。
579 ：名無しさん＠ＸＥｍａｃｓ ：02/03/14 13:37: >>562
> ということで、わたしからの回答は二日後くらいに B-)

それでは。

まず、復号した challenge をそのまま response として送ると、悪意
あるサーバに何ができてしまうかについてだけど、これは RSA という
アルゴリズムに固有の「復号処理と署名処理が同型である」という特
徴を利用した攻撃ということになる。

で、クライアントにとって不利益となる (たとえば「わたしは○○氏
から100万円借りてます」とかいう) よな電子文書から採った Hash 値
をサーバが challenge として送っていたとすると思いねぇ。暗号化さ
れた乱数値だと信じてクライアントがそれを復号して返してしまうと、
サーバは

・クライアントにとって不利益となる電子文書
・クライアントの秘密鍵で変換された当該電子文書の Hash 値

という二つのデータを入手できるわけ。これが何かといえば、すなわ
ち電子署名された文書に他ならないので、特に電子署名法が有効な現
在では、この事実を否認するためにクライアント氏は裁判で相当な労
力を割かなければならない羽目にも陥りかねないということ。

ここから得られる教訓は、セキュアプロトコルを設計する際、どちら
か一方が結果に対して完全なコントロール権を握ることがないように
図るのが肝心、ってとこかな。

そのために SSH1 では送られた challenge の復号結果をクライアント
がさらに hash することでサーバの影響力を弱めている (復号と hash
が逆だとまだちょっと危ない) し、SSH2 (や SSLv3) では被署名デー
タの一部としてクライアント/サーバ両方がそれぞれ独自に生成した乱
数値を含めるようになっているわけ。

また、SSH ではクライアントの鍵は認証用にしか使われないため顕在
化しないけど、もし暗号化にも利用してるような場合、上でいう challenge
としてどこかで拾っておいた「クライアントの公開鍵で暗号化された
データ」が送られたりすると、サーバは労せずしてその復号結果を手
にすることができるわけだ。

えらく長くなってしまったので、もう一点は別便で。
580 ：名無しさん＠ＸＥｍａｃｓ ：02/03/14 14:07: >>579
> えらく長くなってしまったので、もう一点は別便で。

で、もう一つ。セッション ID の効用の方ね。これはもちろん 579 の
攻撃に対するさらなる防御という意味合いも持っているんだけど、そ
れ以上に重要なのが MITM の検出という役割。

たぶんみなさんご存知のとおり、SSH の場合、サーバの Host Key を
known_hosts なんかでちゃんとチェックしないと MITM な攻撃者によっ
て仲介された形のセッションが張られる (= 通信内容バレバレな) 可
能性があるわけだが、response となる hash 値の生成元データの一部
としてセッション ID が含まれているおかげで、RSA 認証 (Rhosts with
RSA でも OK) を用いるならばそのような MITM が行われているかどう
かが検出できる。

それが何故かと言えば、セッション ID にはサーバの公開鍵情報が反
映されるようになっているから。で、もし、MITM されていると、クラ
イアントが見ているサーバ公開鍵とサーバ自身が使っている公開鍵が
別物になってしまうため、サーバによる response の検証が失敗する
というわけだ。

http://www.soi.wide.ad.jp/iw2000/iw2000_tut/slides/09/33.html

辺りを見ると参考になるかも。
581 ：名無しさん＠お腹いっぱい。 ：02/03/14 18:52: [Cygwin*-Update] OpenSSH-3.1p1-1
http://www.sixnine.net/finkl/d200203a.html#08-4
に変更点の訳発見。
582 ：５７６ ：02/03/14 22:06: >>577
善意な方向で意味を汲んでくれたようですが、
そういう意味で書いたのではなくてinet起動に
しておけばsshのバージョンアップしなくても
port scanで見つからないよ(藁　という意味で
書きました(汗
583 ：名無しさん＠お腹いっぱい。 ：02/03/15 01:58: >>582
ん？ port22 に来るたびに fork & exec はするだろうけど、そのたびに鍵作る？
もしそうだとして、それで portscan がタイムアウト起すほど時間かかるなら、
それ DoS アタックにむちゃむちゃ弱くないか？
584 ：582 ：02/03/15 09:46: >>583 鍵作る？
inet起動と書いてあるだろうが！forkするのはsshじゃなくてinetdだよ。
だから鍵は毎回作る事になる。

>>Dosアタック
弱いね。

しかし、メンテをさぼるような話ししれるんだから、
落ちてもresetボタン押して終わりです(汗
585 ：577 ：02/03/22 13:16: >>571
> 研究室環境のsshを、現在利用しているssh.comのssh1/ssh2から
> OpenSSHに移行しようと思っています。
あったあった。
新山/春山版の方が詳しいかもしんないけど、いちおう。
http://masy.families.jp/documents/secsh_key.html
586 ：名無しさん＠お腹いっぱい。 ：02/03/24 15:00: 場違いな質問かもしれないんですが教えて。

SSH使って自宅ケーブルから大学へつないでいると
なにやら警告の窓が出てきて　IP***.***.***.***からポートスキャンに
似た攻撃を受けたみたいなメッセ(英語)が出てきて怖いんですが、
これ何か悪さをされてるのかな？怖くて最近使わないようになったんですが
教えてください。
587 ：名無しさん＠お腹いっぱい。 ：02/03/24 16:16: >>586
そのメッセージを見ずに答えろ
という挑戦ですか?
588 ：名無しさん＠お腹いっぱい。 ：02/03/24 18:04: 日本のメッセと言えば幕張が思い浮かぶけど、
英語のメッセはよく知らないなぁ。
589 ：名無しさん＠お腹いっぱい。 ：02/03/24 19:14: >>484
> ttp://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html

それって古いままやね。tramp.tar.gz ばらすと新しいのに
sync してありますぜ。
590 ：名無しさん＠お腹いっぱい。 ：02/03/24 21:07: >587
Host with IP number ***.***.***.*** tried to connect to
local port 21. This could be some kind of port scan
って感じだったんだが。
591 ：名無しさん＠お腹いっぱい。 ：02/03/24 21:59: tramp 使ってみました。こりゃ手放せなくなりそう。
日本語ドキュメントはありがたいです。でも、
http://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html
の「TRAMP ファイル名のきまり」は変じゃないですか?
/[メソッド名/ユーザ名@マシン名]/ としたらうまく逝きました。
592 ：名無しさん＠お腹いっぱい。 ：02/03/25 05:18: >> 591
see 589
593 ：ななし ：02/03/30 10:39: 微妙にスレ違いな気がしないでもないんですが、質問です。
OpenSSHをいれるときに MD5を有効にしてコンパイルするってのが
ありますよね？。

このＭＤ５って、入れたほうが暗号化という面で見た場合、通常よりも有効なんでしょうか？4
http://wdic.asuka.net/?title=MD5
こっちで見たらSHA-1に主役の座を渡してるってあるし。
DESが64bit MD5が128bitでどうのこうのという記述を読むと、やっぱりなやむし。
現時点でコンパイルするとしたらどちらのほうがいいのでしょう？
594 ：名無しさん＠お腹いっぱい。 ：02/03/30 13:24: >>593
そもそも MD5 って暗号化アルゴリズムじゃないぞ。
595 ：名無しさん＠お腹いっぱい。 ：02/03/30 14:11: MD5って、SSHでは改竄を検出することに使ってるだけじゃないか？(よく知らん)
596 ：名無しさん＠お腹いっぱい。 ：02/04/01 16:58: 新山さんと春山さんの買ったなり。
597 ：7743＠OpenSSH ：02/04/01 18:10: >>596
そして http://www.unixuser.org/~haruyama/security/openssh/support/ をブックマークに
追加する、と。
598 ：名無しさん＠お腹いっぱい。 ：02/04/01 18:11: どうしても「ニイヤマ」と読んでしまう。
599 ：名無しさん＠お腹いっぱい。 ：02/04/01 18:32: アラヤマと読んでいた。スマソ。
600 ：596 ：02/04/01 20:14: 俺も最後のページで正しい読み方知った。
SKKのL辞書にも載ってないのでcgiに登録するなり。
著者略歴笑った。
601 ：名無しさん＠お腹いっぱい。 ：02/04/02 05:36: http://www.google.com/search?q=cache:0DiFJ8lfeoEC:www12.freeweb.ne.jp/shopping/miyucyan/fr_kenchin.htm+%82%AF%82%F1%82%BF%82%F1%8F%60+%82%C6%82%A4%82%D3+%90%D8%82%E9&hl=ja&start=24&lr=lang_ja
切る人もいるみたい。あとは握り潰す人も。
ちぎる > つぶす ??
602 ：名無しさん＠お腹いっぱい。 ：02/04/09 15:43: 厨問で申し訳ないのだが・・・

サーバ：FreeBSD4.4-R & OpenSSH3.1p1
クライアント：W2K & TeraTermPro+ttssh

にて。
サーバ側で identity（RSA1）を作成し、FFFTP（アスキーモード）で
クライアントマシンにDLした。
だが、接続しようとすると
「The specified key file does not contain an SSH private key」
と表示され接続できない。

どうしたら良い？
603 ：名無しさん＠お腹いっぱい。 ：02/04/09 16:28: >>602
SSH1の秘密鍵(identity)はバイナリファイルです。
604 ：名無しさん＠お腹いっぱい。 ：02/04/09 17:21: >>602
細かいことかもしんないけど、
サーバ側で鍵を作るってのはいかがなものか。
puttygen.exe で作った鍵って TTSSH で使えない?
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
605 ：602 ：02/04/09 17:38: サンクスコ
606 ：602 ：02/04/09 17:43: >>604
そっか、ローカルで作ったほうが良いよね
サンクスコ
607 ：名無しさん＠お腹いっぱい。 ：02/04/11 13:20: SSH2のwindows用日本語版ソフトはないでしょうか？
できればGUIのものが良いです。
Puttyを使っているのですが、英語表記なのが難点です。
ご存知でしたらご紹介願います。
608 ：名無しさん＠お腹いっぱい。 ：02/04/11 13:23: ないれす。日本語化して使いなされ。
PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
609 ：名無しさん＠お腹いっぱい。 ：02/04/11 13:24: 昨日のssh君か。
610 ：名無しさん＠お腹いっぱい。 ：02/04/11 14:50: WinSCPを使用して、サーバに接続しようとすると
Public key packet not received.
というエラーが出てしまいます。
この理由がわからず困っています。
どなたか理由をご存知の方はいるでしょうか？
sshの場所で失礼ですが、教えて下さい。
611 ：名無しさん＠お腹いっぱい。 ：02/04/12 02:16: solaris8 でうまくopensshが動いてくれん。
泣きそうだ！
どっか良いページないか？
612 ：名無しさん＠お腹いっぱい。 ：02/04/12 02:26: >>611
どううまくいってないのか書かないことには
だれも助けられん。
613 ：名無しさん＠お腹いっぱい。 ：02/04/12 03:22: >>611
普通に動いているが...
ssh 、 sshd　ともに。
ちなみにsolaris8 64bit 10/01
614 ：初期不良 ：02/04/12 04:18: >>611
GCC のバージョンを落としたらうまくいったという話があったような
615 ：名無しさん＠お腹いっぱい。 ：02/04/12 08:44: >>612に同意。

>>611
・「uname -a」の実行結果は？
・いつうまくいかないの？コンパイル時、それとも実行時？
　（実行時だと思うが、一応...）
・動かそうと思っているOpenSSHのバージョンは？Solarisなんだから
　　http://www.openssh.com/ja/portable.html
　にある「移植版」を動かそうとしているよね？
・使用したコンパイラの種類、バージョンは？

とりあえず、>>613と同様、
　　SunOS ******** 5.8 Generic_108528-12 sun4u sparc SUNW,Sun-Blade-100
ではきちんと動作してますです。
616 ：名無しさん＠ＸＥｍａｃｓ ：02/04/12 09:58: >>610
> WinSCPを使用して、サーバに接続しようとすると
> Public key packet not received.
> というエラーが出てしまいます。
> この理由がわからず困っています。

WinSCP と sshd のバージョンは？

WinSCP1 と SSH2 な sshd で通信しようとするとそんなエラーが出る
というようなことをどっかで誰かがドイツ語で書いてるのを読んだ気
がする。

もしそうなら、sshd の管理者におねだりして SSH1 をサポートしても
らうか (おいらが管理者なら拒否するけど)、WinSCP2βにあぷしましょ
う。

βと言っても問題なく使えてるし (SSH2 プロトコルで公開鍵認証が使
えんのがいまいちだが)。
617 ：名無しさん＠お腹いっぱい。 ：02/04/14 19:47: >>616
お返事有難う御座います。
sshdのバージョンは3.0.1
WinSCPは1.00
です。

早速ですがβ版にVer.upしたところ使用できました。
618 ：名無しさん＠お腹いっぱい。 ：02/04/14 23:12: authorized_keys2のfrom句について、ホスト名とIPアドレスの両方を記述していないとrejectされる
ようになる設定ってどれなんでしょう?
619 ：名無しさん＠お腹いっぱい。 ：02/04/15 02:05: 617さんのようにWinSCP2のβ版を使用しました。
サーバへのアクセスは出来たのですが、転送しようとすると
Command failed with return code 255.
と出てリモートからローカルへのファイルの移動が行えません。
またローカルからリモートへ移動しようとすると、
フリーズしてしまいます。
これはソフトのバグでしょうか？
620 ：名無しさん＠お腹いっぱい。 ：02/04/15 09:07: 鍵を作らなくてもsshdが動いているサーバに
sloginできるのはどうしてでしょうか？
621 ：名無しさん＠お腹いっぱい。 ：02/04/15 09:08: 鍵を使わない認証をしているからでは。
622 ：名無しさん＠お腹いっぱい。 ：02/04/22 01:09: TTSSH経由でいつものユーザーで作業をしてまして、ふと別のユーザーの分もsshの鍵を
作ったら便利だな、と思って鍵を作って普段用と同じようにauthorized_keysという名前にして
identityをクライアントにもっていって・・・とやってみたところ、そのユーザーではログインでき
ませんでした。
しかも、鍵の作り直しなどをそのマシンのコンソールから操作していまして、気づいたらクライアント
のWindows機からTTSSH経由でもはじかれるようになってしまいました。
鍵とパスフレーズは合っているようなのですが、解決策はありませんか？ヽ(`Д´)ﾉｳｧｧｧｧｧﾝ!!
「認証は失敗しました」とTTSSHではでています。
623 ：_ ：02/04/22 01:30: お、
　http://www.unixuser.org/%7Eharuyama/security/openssh/
が更新されている…「Kerberos/AFS support に弱点」とのこと。該当サイトの
管理者はご注意！

＃　春山センセ、ごくろうさまです m(__)m
624 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:04: >622
鍵の生成はどこでやってるの？サーバ側？
だったら新しい鍵を生成したとき古い鍵を上書きしてるのかも。
ちょっと落ち着いて考えて見れ。
なんか激しく手違いしてるかも知れんぞ？
625 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:08: kerberos使ってる人そんなにおるんかいな
626 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:26: >>624
鍵はサーバー側で作りました。
~/.ssh/にidentityとidentity.pubができまして、後者をauthorized_keysにリネームなのです。
もしかして、鍵を作り直すときに~/.ssh/以下の二つのファイルを消し去ってから作り直した
のがいけなかったんでしょうか・・・・(;´д`)
627 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:32: >>626
リネームじゃなくて追加すべきだった。
628 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:42: >>622
＞ふと別のユーザーの分もsshの鍵を作ったら便利だな
私も同じ事を考えて、>>604を参考にクライアント側でパスフレーズだけを変えたその
ユーザーの秘密鍵作って、公開鍵identity.pubは更新せずにそのままサーバ側のそのユーザー
~/.ssh/authorized_keysにコピペ（キルヤン？）して、という風にしましたけど。。。
サーバのコンソールでログインできるなら、そこで一から作り直したほうが早いかもしれませんね。
629 ：名無しさん＠ＸＥｍａｃｓ ：02/04/23 18:47: >>623
> お、
> 　http://www.unixuser.org/%7Eharuyama/security/openssh/
> が更新されている…

全然関係ないけどこれ見て思い出したんで書いとこう。

http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_2

についてなんだけど、

>>実際にはこのファイルは公開鍵認証に使う秘密鍵と公開鍵両方の情
>>報を含んでいます (より厳密には、両方の鍵を生成するのに必要な
>>数値が格納されています)。

という記述は誤りね。いや、括弧のなかに『厳密』という文字列さえ
なければ別に気にもならなかったんだけど。

上の書き方からして RSA しか念頭になかったんでしょうが、そうだと
しても P と Q だけならともかく、D mod (P-1) や D mod (Q-1)、さ
らには Q^(-1) mod P まで保存されているので、これらを指して『両
方の鍵を生成するのに必要な数値』と言ってしまっては全然厳密じゃ
ないでしょう。

正しくは『秘密鍵を用いた処理を高速に実行するために必要な数値
(ただし RSA 限定)』といったところか。
630 ：a_a ：02/04/23 21:50: ところで zebedee ｽﾚってありましたっけ？
631 ：名無しさん＠お腹いっぱい。 ：02/04/23 22:00: 前はあった。
632 ：新山：02/04/24 00:24: >>629
ご指摘ありがとうございます。直しときますー
ほかにもそういう細かい勇み足はけっこうありそうだなあ。
633 ：名無しさん＠お腹いっぱい。 ：02/04/25 00:33: lftpの操作性を備えたsftp(相当のプログラム)ってないかな？
634 ：名無しさん＠お腹いっぱい。 ：02/04/27 03:51: どうでもいいけど OpenSSH-3.2.1p1 はもう出てるんだろうか。。。
635 ：名無しさん＠お腹いっぱい。 ：02/04/27 03:57: >>634
まだ出てないな…というか、OpenBSD専用のものすら出てないみたい。
p://ftp.openbsd.org/pub/OpenBSD/OpenSSH/

あ、でも、↑のFTPサイトに openssh-3.1-adv.token.patch があるぞ。。
636 ：名無しさん＠お腹いっぱい。 ：02/04/27 04:04: configureスクリプトの--with-pid-dirが効かないぢゃないかｺﾞﾙｧ！
…と思って調べてみたら、すでに存在するディレクトリでないとダメなわけね。

開発者メーリングリストの方に流してしまうところﾀﾞﾀｰﾖ…(;´д`)
637 ：名無しさん＠お腹いっぱい。 ：02/04/28 00:46: てゆーか、本家の http://www.openssh.org/security.html を見ると
すでに 3.2.1 が出てることになってるんだが…
638 ：名無しさん＠お腹いっぱい。 ：02/04/29 06:49: cvs log version.h してみると
date: 2002/04/23 23:48:15; author: djm; state: Exp; lines: +2 -2
- (djm) OpenBSD CVS Sync
- markus@cvs.openbsd.org 2002/04/23 12:54:10
[version.h]
3.2.1
てなわけで、すでに version.h では
#define SSH_VERSION "OpenSSH_3.2.1p1"
ってなっているんだよね。
639 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:19: $ ssh localhost
としてやったら
Password:
と聞かれてここにパスワードやパスフレーズを書いてやったのですが
permission denied, please try apain.
と出るようになってしまいました。
もちろんTTSSH等からも同様にログインできませんが、それまでに何を
やってしまったかは忘れてしまいました・・・・
解決するのによい方法はありますか？
640 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:23: ibm の　Zseries / Linux どうも怪しい。
641 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:54: >>639
ssh -v localhost
642 ：age ：02/05/06 07:14: 学校から家にログインしたいんだけど、firewallでHTTPしか学校の外に出られないんです。んで、調べたら
ttp://hp.vector.co.jp/authors/VA000770/docs/NikkeiLinux00-12/config.ja.html#FIREWALL
こんなの見付けたんだけど、
ProxyCommandに指定するものって他に1つしか見付からなかったんですよ。
なんかメジャーなものって他にあるんですか?
それともこんな環境で使っている人ってあんまりいないのかな?
643 ：名無しさん＠お腹いっぱい。 ：02/05/06 10:05: >>642
http://www.agroman.net/corkscrew/
http://proxytunnel.sourceforge.net/
多分他にもいっぱいある。
644 ：age ：02/05/06 20:57: >>643
これのWindowsで使えるものってあります?
あ、Cygwin上でじゃなくて。
というか無理なような気もするんですが...。
645 ：名無しさん＠お腹いっぱい。 ：02/05/06 21:56: 家のsshdのポートを80にしちゃえ
646 ：名無しさん＠お腹いっぱい。 ：02/05/07 02:15: ttp://www.taiyo.co.jp/~gotoh/ssh/connect.html
これは?
647 ：名無しさん＠ＸＥｍａｃｓ ：02/05/07 08:18: >>645
> 家のsshdのポートを80にしちゃえ

https のための 443 が開いてるならそっちでも可。

♯httptunnel を知らなかった頃、実際に sshd@443 してたことがある
648 ：名無しさん＠お腹いっぱい。 ：02/05/14 19:53: WinSCP使って鯖に接続してるんですけど
鯖の設定でちょっと問題がでてきました。

1.ユーザーのデフォルトシェルを
/usr/bin/passwd
にすると接続できなくなる
それと

2.ログインしたときに特定のディレクトリしか見せないようにしたい。

以上のことってscpじゃ無理なんですかね。
FTPライクに使いたいんですが。
649 ：名無しさん＠お腹いっぱい。 ：02/05/15 01:00: >>648
> 1.ユーザーのデフォルトシェルを
cat /usr/bin/passwd >>/etc/shells
で解決したりする?
650 ：名無しさん＠Ｅｍａｃｓ ：02/05/15 01:13: >>649
しない
651 ：名無しさん＠お腹いっぱい。 ：02/05/15 01:38: >>649
cat じゃねーや。
echo /usr/bin/passwd >>/etc/shells
652 ：名無しさん＠ＸＥｍａｃｓ ：02/05/15 10:46: >>648
> 1.ユーザーのデフォルトシェルを
> /usr/bin/passwd
> にすると接続できなくなる

scp が作動するためには、クライアントで動く scp/sftp プロセスと
通信する scp/sftp-server プロセスを SSH コネクションを受けたサー
バ側で新たに立ち上げられなければならないんで、そのような操作を
許容しない passwd なんてのが user の shell として指定されてたら
そりゃ動かんでしょう。

♯WinSCP のログを見ればどんなことをやってるか判ると思うが。

> 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

やったことないけど、適当に chroot 環境を作るか、サーバが FreeBSD
なら jail を使うかすればできるのでは？

ssh.com 版の ssh だと ssh-chrootmgr ってのが付いていて、そんな
用途に使えそうではある。
653 ：名無しさん＠お腹いっぱい。 ：02/05/15 11:09: > 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

http://mail.incredimail.com/howto/openssh/
このへん参考になるかも。

漏れは、このパッチの /etc/passwd の pw_dir に chroot 先と home directory
を両方書くってのがキモチワルかったので、/etc/chroot.conf ってファイルに
その辺の情報を分離するように書き直して使ってるよ。
654 ：名無しさん＠お腹いっぱい。 ：02/05/15 11:47: >652,653
ありがとうございます．
やっぱりシェルは使わないと駄目そうですね．
chrootのほうはなんとかなりそうなんで
ちょっと試してみます．
655 ：よっしゃ！ ：02/05/17 16:07: OpenSSH-3.2.2p1 age
656 ：名無しさん＠お腹いっぱい。 ：02/05/17 17:33: >>655
うぐぅ。logout しても connection が切れてくれない…。sshd_config
見ても新しい設定が必要なわけじゃなさそうだし。
657 ：名無し ：02/05/17 21:08: >>656

もしかして Solaris 上で sshd 使われてます？

バグっぽい気がします。
658 ：名無しさん＠お腹いっぱい。 ：02/05/17 22:26: >>657
そそ。Solaris8。やっぱり bug かな?
659 ：421 ：02/05/17 23:41: >>658
もし bash を使っているなら，
.bash_profile に↓を追加してみてみー

shopt -s huponexit
660 ：名無し ：02/05/17 23:44: >>658
これでしょう。

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102162337505003&w=2
661 ：名無しさん＠お腹いっぱい。 ：02/05/18 00:02: >>660

これ↓もね

http://www.openssh.org/ja/faq.html#3.10
662 ：660 ：02/05/18 00:43: う～む、私が厨房なだけなんでしょうけど。

bash ユーザなんですが少なからず .bash_profile に
shopt -s huponexit を書くだけでは何も変化しない
みたいです。
663 ：名無しさん＠お腹いっぱい。 ：02/05/18 00:46: >>662
.bashrc だたらどお？
664 ：660 ：02/05/18 00:58: .bashrc でも変化しませんでした。

"Sounds like race condition bug." てな意見も
出ているみたいです。

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102164965826471&w=2
665 ：名無しさん＠お腹いっぱい。 ：02/05/18 01:22: >>664
漏れんとこだと問題ないんだけどなぁ
ちなみに

$ uname -a
SunOS blade 5.8 Generic_108528-13 sun4u sparc SUNW,Sun-Blade-100
$ ssh -V
OpenSSH_3.0.2p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f
666 ：660 ：02/05/18 01:46: >>665
OpenSSH_3.2.2p1 にしたら logout しても connection が
切れなくなった、何でだろ？という話だったと思います。

Blade 100 ユーザさんなんですね。羨ましい。
667 ：名無しさん＠お腹いっぱい。 ：02/05/18 01:51: >>666
ウトゥだ氏のう
668 ：660 ：02/05/18 14:40: >>658
以下の patch で私の所では直りました。
http://bugzilla.mindrot.org/showattachment.cgi?attach_id=96
669 ：名無しさん＠お腹いっぱい。 ：02/05/18 18:39: >>666
うちも3.2.2p1に上げたら同じようにconnectionが切れなくなりました。
ついでにsuも出来なくなったりして。/dev/ttyが開けないとかいって
怒られちゃいます。なんでだろ？
670 ：名無しさん＠お腹いっぱい。 ：02/05/20 14:11: OpenSSH 3.2.2p1 に TCP Wrapper かますように
configure して、インストールしてみたのですが、
hosts.deny に sshd:all と書いて、
hosts.allow に sshd:192.168. と書いても
内部ネットワークホストからアクセスできません。
sshd: 0.0. と書くと何故かアクセスできます。

何が悪いのでしょう？
671 ：名無しさん＠お腹いっぱい。 ：02/05/20 21:00: OpenSSH_3.2.2p1にしたらemacsでctrl-gでコネクションが切れる（鬱
Solarisなんだよなぁ。
672 ：669 ：02/05/20 21:33: 時間が出来たので上記のパッチを試してみたところ、
これまで通りの挙動をするようになりました。

いやあ、よかったよかった。
673 ：名無しさん＠お腹いっぱい。 ：02/05/21 11:10: >>670
> hosts.deny に sshd:all と書いて、
ALL は小文字でもいいんだっけ?
674 ：ぬー：02/05/23 22:26: OpenSSH-3.2.3p1 age
675 ：名無しさん＠お腹いっぱい。 ：02/05/25 03:39: 異なるものを両方ともSSHと呼んでしまったために、紛らわしかったり
誤解が生じたりしているのが、よくない。
通信の為のプロトコルに紛らわしさがあるのはよろしくないから、
改名するなどして、分かれた方がよくないかい。バイナリ-や
デーモンの名前も違えるべきだった。
676 ：名無しさん＠お腹いっぱい。 ：02/05/25 03:44: >>675
TatuとTheoにそう言ってよ。
あんた何者?
677 ：名無しさん＠お腹いっぱい。 ：02/05/25 03:48: OpenSSH と F-Secure SSH はそう呼べば紛れないけど、
ftp://ftp.ssh.com/pub/ssh/ のはなんて呼んでる?
678 ：名無しさん＠ＸＥｍａｃｓ ：02/05/25 09:19: > OpenSSH と F-Secure SSH はそう呼べば紛れないけど、
> ftp://ftp.ssh.com/pub/ssh/ のはなんて呼んでる?

(ssh.)com 版 ssh

♯芸なしでｽﾏﾝ
679 ：名無しさん＠お腹いっぱい。 ：02/05/30 23:38: local OpenSSH_2.9 FreeBSD localisations 20020307, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
remote OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

localでssh-keygen -t dsaして~/.ssh/id_dsaと~/.ssh/id_dsa.pubを作りました。
id_dsa.pubをremoteに転送してremoteの~/.ssh/authorized_keys2に入れました。

ssh -2 remote_ipで公開鍵認証しようとするとパスフレーズではなくパスワードを聞かれてしまいます。
ssh -vの結果はこうです。どうすれば公開鍵認証出来るのでしょうか？

OpenSSH_2.9 FreeBSD localisations 20020307, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: restore_uid
debug1: ssh_connect: getuid 1001 geteuid 1001 anon 1
debug1: Connecting to P6IWP [192.168.0.3] port 22.
debug1: temporarily_use_uid: 1001/0 (e=1001)
debug1: restore_uid
debug1: temporarily_use_uid: 1001/0 (e=1001)
debug1: restore_uid
debug1: Connection established.
debug1: identity file /home/mona-/.ssh/id_rsa type -1
debug1: identity file /home/mona-/.ssh/id_dsa type 2
debug1: Remote protocol version 1.99, remote software version OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614
debug1: match: OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614 pat ^OpenSSH_2\.5\.[012]
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_2.9 FreeBSD localisations 20020307
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST_OLD sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: dh_gen_key: priv key bits set: 124/256
debug1: bits set: 1035/2049
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'p6iwp' is known and matches the DSA host key.
debug1: Found key in /home/mona-/.ssh/known_hosts2:1
debug1: bits set: 1022/2049
debug1: len 55 datafellows 49152
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/mona-/.ssh/id_rsa
debug1: try pubkey: /home/mona-/.ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password
680 ：名無しさん＠お腹いっぱい。 ：02/05/31 00:16: >>679
authorized_keys2 のパーミッションが 666 とかになってるってことはないでしょうか?
サーバ側のログみないとなんともいえないけど、
もしサーバ側で bad ownership or modes for directory ほにゃららになってたらそれです。
681 ：考えてみよう。。。 ：02/05/31 00:16: すなわち、DSAを用いた公開鍵認証を行いたいわけですよね。

リモート側ではDSAを用いた公開鍵認証をサポートしている状態になってますか？

原因とは関係ないかもしれないけど、一応…
682 ：679 ：02/05/31 00:35: >>68{0..1}

リモートの~/.sshのパーミッションを700にしたらO.Kでした。
ありがとう。
683 ：名無しさん＠お腹いっぱい。 ：02/05/31 06:26: screenを使って仮想画面をいくつか使っている時に
ssh-agentが、ssh-addした仮想画面でしか有効ではない
のですがこういうものなのでしょうか？

つまり、同じユーザが同じマシン上でも、ssh-addしてない仮想画面で
sshで接続しようとするとパスフレーズを聞かれてしまうのです。

仮想画面毎にssh-addするのも綺麗じゃないと思うのですが。
684 ：名無しさん＠お腹いっぱい。 ：02/05/31 08:56: >>683
> ssh-agentが、ssh-addした仮想画面でしか有効ではない

「ssh-addした仮想画面でしか有効ではない」のではなくて、
「ssh-agent した仮想画面でしか有効ではない」のでしょう。

ssh-agent してから screen をたちあげれば、
ひとつの仮想画面で ssh-add するだけで ok ですよ。

わたくしは「ssh-agent screen」のようにして screen を起動しております。
685 ：名無しさん＠お腹いっぱい。 ：02/05/31 11:33: keychainを使えばいいと思う。
686 ：683 ：02/05/31 13:37: >>684,685
なるほど。keycainが便利そうなので試してみます。
zshの場合はbashの~/.bash_profileに対応するファイルはなんなのでしょうね？
687 ：名無しさん＠お腹いっぱい。 ：02/05/31 13:59: >>686
オレは ~/.zshenv で keychain がらみの設定してる
688 ：683 ：02/05/31 14:44: >>687
~/.zshenvをこうしてみました。

/usr/local/bin/keychain ~/.ssh/id_dsa
source ~/.ssh-agent-${HOSTNAME} > /dev/null
source ~/.zshrc

起動時に
/home/hiroyuki/.zshenv:source:26: no such file or directory: /home/hiroyuki/.ssh-agent-
こう出ます。

あなたの参考に見せてもらえませんか？
689 ：名無しさん＠ＸＥｍａｃｓ ：02/05/31 14:44: >>685
> keychainを使えばいいと思う。

おいらなら使わないことを勧めるが。

秘密鍵握った ssh-agent がユーザのコントロールを離れて永続するって
結構悪夢だと思う。

ま、環境にもよるんだろうけどね。
690 ：名無しさん＠Ｅｍａｃｓ ：02/05/31 15:19: >>687
HOSTNAME がセットされてないだけでは？
source ~/.ssh-agent-`hostname` でいけるでしょう．っていうか ls -a すれ．

>>689
ssh-agent の永続については，
http://www.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
ここ見て keychain --clear すればプロセスからは抜けないので
なんとかなるかなぁと思ったが，

http://www.ibm.com/jp/developerworks/linux/020426/j_l-keyc3.html
こっちみるとちょっと違う(抜け出せそうな)感じ．下のほうまだ読んでないので誰か
結論まとめて欲しいなと．
691 ：名無しさん＠お腹いっぱい。 ：02/05/31 15:43: >>689
> おいらなら使わないことを勧めるが。

おれも同意っす。
keychain のスクリプトをみてみたが、はっきりいって複雑すぎる。
こんな機構が必要な状況はあまりないと思う。
一般ユーザが cron で ssh なんて普通使わんでしょ。

IMHO, eval `ssh-agent` という使い方はやめるべき。
ssh-agent の子プロセスとしてシェルを上げるほうが正解。
692 ：名無しさん＠お腹いっぱい。 ：02/05/31 15:45: >>691
> IMHO, eval `ssh-agent` という使い方はやめるべき。
> ssh-agent の子プロセスとしてシェルを上げるほうが正解。

OpenSSHセキュリティ管理ガイドはeval `ssh-agent`を使っていますね。
693 ：名無しさん＠ＸＥｍａｃｓ ：02/05/31 16:02: > ssh-agent の永続については，

--clear オプションってのは、.bash_profile (なりなんなり) に、

keychain ~/.ssh/id_rsa

と書く代わりに

keychain --clear ~/.ssh/id_rsa

と書いておくことで、ちゃんと起動スクリプトを読ませるような入り
方をするお行儀の良い侵入者がこいつを踏んで ssh-agent が握ってる
秘密鍵を自分でクリアしてくれることを期待するって程度の話。

♯だとしか思えんのだが、間違っていたら誰か突っ込んでくれ。

だもんでまぁ、運が良ければそれでうまく行くかもしれんわなぁ。

で、プロセスから抜けずに秘密鍵をクリアするだけなら適宜 ssh-add -D
すりゃいい話ね。その代わり keychain のご利益はまったくなくなる
という諸刃の剣。

> こっちみるとちょっと違う(抜け出せそうな)感じ．下のほうまだ読んでないので誰か
> 結論まとめて欲しいなと．

下の方は『移植性を高めるためにこんなに苦労したんですよ』という
自慢話なので、読まなくてもよろし (?)。

まとめになってるかどうかは知らんが、

http://www.vicus-oryzae.com/gorua/

なんてページは書いてみた。
694 ：新山：02/05/31 16:12: 自分がやってる方法を書いておきます。
いずれwebにでもまとめておきます。
この方法は最近思いついた。ごめんなさい。

1. ログインすると ssh-agent 環境下で kterm が起動する。
2. xinitrc (xsession) 内で別に起動した kterm 上でも同じ ssh-agent が利用可能。
　(これは$SSH_AUTH_SOCK を固定したパス名に symlink することにより実現)
3. 欠点: 同一ユーザが同時に2つ以上のxdmからログインすると
　また鍵を追加しなおさねばならない (が、ssh-agent が残る可能性はない)。
4. ssh1 を実行すれば、パスフレーズ聞かれるのは最初だけ。
　いっかいどこかのウインドウでやっておけばあとはどの端末からでも ok。
5. ログアウトすると鍵は無効になる。ssh-agent は残らない。

.xinitrc (.xsession) --------------------------------------
# SSH_AUTH_SOCK に ~/.ssh/authsock を入れて各 Xクライアントを起動しておく
export SSH_AUTH_SOCK=$HOME/.ssh/authsock
kterm &
twm &

# 最後に ssh-agent をあげる、このとき本物のソケットを
# ~/.ssh/authsock にシンボリックリンクさせる。
exec ssh-agent kterm -e sh -c 'ln -fs $SSH_AUTH_SOCK $HOME/.ssh/authsock; export SSH_AUTH_SOCK=$HOME/.ssh/authsock; exec bash'

.bashrc ---------------------------------------------------
# 関数 sshon1: 鍵がまだ追加されてなければ追加する。
function sshon1 {
　if [ ! "$SSH_AUTH_SOCK" ]; then echo 'SSH_AUTH_SOCK is not set.'; return 1; fi
　if ! (ssh-add -l 2>&1 | grep '(RSA1)'); then ssh-add ~/.ssh/identity; fi
}
# ssh1: エージェントに鍵がなければ、鍵を追加してから ssh 実行。
function ssh1 { sshon1 && command ssh $*; }
695 ：690 ：02/05/31 17:30: >>693
をぉ，これはどうも．すばらしいです．

で，pam_ssh は最近の FreeBSD だと標準で入ってます．といっても，
4.6 以降なのでまだリリースされたばっか(まだかな?)のやつ以降ですが．
696 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:42: sftpってファイルの補完が出来ますか？
697 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:43: s/ファイル/ファイル名/
698 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:48: >>696
OpenSSHじゃないSSHはsftpで補完が効くらしいよ。
699 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:52: >>696
クライアントの作りしだいでないの?
ncftp とか lftp って sftp に対応しないのかな。
700 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:55: >>699
sftpはFTPではありません。
701 ：699 ：02/05/31 22:59: >>700
それが何か?
702 ：名無しさん＠お腹いっぱい。 ：02/05/31 23:02: >>701
いえ、何も。
703 ：名無しさん＠お腹いっぱい。 ：02/05/31 23:07: ftpクライアントがsftp-serverに接続できるわけない…。
704 ：699 ：02/05/31 23:12: >>703
sftp クライアントになってくんないかな、
って言ってんの。
lftp は HTTP クライアントになれるじゃん。
705 ：名無しさん＠ＸＥｍａｃｓ ：02/06/01 17:34: >>695
> で，pam_ssh は最近の FreeBSD だと標準で入ってます．といっても，
> 4.6 以降なのでまだリリースされたばっか(まだかな?)のやつ以降ですが．

情報感謝っす。ってことなら SSH2 対応が期待できるかな。

わくわく。
706 ：名無しさん＠ＸＥｍａｃｓ ：02/06/01 17:41: >>698
> OpenSSHじゃないSSHはsftpで補完が効くらしいよ。

F-secure のはわかんないけど、ssh.com 版の sftp はたしかに補完が
効くね。なので、Linux か {Free,Net,Open}BSD 使いなら sftp だけ
は com 版を使うって手はあるだろね。

あと、sftp 対応の ftp クライアントなら

http://yafc.sourceforge.net/

なんてのがあるみたい。

で、できるのかどうかよく知らんけど、scp で shell の completion
に頼るってのもアリなのでは。たとえば zsh とかなら。
707 ：名無しさん＠お腹いっぱい。 ：02/06/02 01:24: すみません、お伺いしたいんですがPDAで動くSSHってのはやはりないんでしょうか？
どんなPDAでもかまいません。
708 ：名無しさん＠お腹いっぱい。 ：02/06/02 02:20: Palm 用 ssh があったような。ただし passwd 認証のみでアレ。
US 版 Zaurus は当然ながら OpenSSH そのものが動く。

CE あたりでもありそうだけど、日本語通るのはなさそうな気が...
709 ：名無しさん＠お腹いっぱい。 ：02/06/02 03:14: ttp://www.fuji-climb.org/pf/JP/

これだとだめ？＜ＣＥ
OpenSSHとはちょと違うみたいではあるけど。
710 ：名無しさん＠お腹いっぱい。 ：02/06/03 02:58: US 版 Zaurusってどこで買えるんでしょうか？
日本からもクレジットカードとかで買えますか？
お勧めの機種は何でしょうか？PDAは初めてなので全くのド素人です・・。
あと、その場合P-in compactなどを使ってそのまま通信できるのでしょうか？
どなたか実際に使われている方のホームページなどの情報はないのでしょうか？
いろいろすみません・・。
711 ：名無しさん＠お腹いっぱい。 ：02/06/03 04:38: それは、Zaurusでsshを使うための前振なのか‥？
明らかにハードウェア板やPC板の管轄じゃないのか？
712 ：名無しさん＠ＸＥｍａｃｓ ：02/06/03 13:41: >>709
> ttp://www.fuji-climb.org/pf/JP/
>
> これだとだめ？＜ＣＥ
> OpenSSHとはちょと違うみたいではあるけど。

ダメではないけど、SSH client ではなく“Port Forwarder”なんだか
ら、こいつで local に forward した telnet port に対して telnet
client を起動、とかの二度手間かける必要はある。

あと、SSH1 プロトコルにしか対応してないというのもいまとなっては
ちょっとね。

あ、そう言えば、全然関係ないんだけど、新山さんって

>>694
> 　if ! (ssh-add -l 2>&1 | grep '(RSA1)'); then ssh-add ~/.ssh/identity; fi

を見る限りまだ SSH1 現役？

結構勇者かも。
713 ：名無しさん＠お腹いっぱい。 ：02/06/04 23:44: 端末一台(PC)と、ホスト(HP,SUN)が三台あって、
端末から $ X -query hostname
としてXを使っているのですけれども、こういう使い方で
sshを使った暗号化通信はできるのでしょうか？

ssh -R を使えばできそうな気がするのですが今ひとつ
理解できていないのでうまくいきません。

ご存じの方教えて下さい。
714 ：名無しさん＠お腹いっぱい。 ：02/06/05 00:40: >>713
http://www.tldp.org/HOWTO/XDMCP-HOWTO/procedure.html

> Using XDMCP is inherently insecure, therefore, most of the
> distributions shipped as it's XDMCP default turned off. If you
> must use XDMCP, be sure to use it only in a trusted networks,
> such as corporate network within a firewall. Unfortunately,
> XDMCP uses UDP, not TCP, therefore, it is not natively able to
> use it with SSH. To secure the connection with SSH, the
> technique is called X11 TCP/IP Port Forwarding.

XDMCPを使うのは本質的に危険です。なのでほとんどの
ディトリビューションでは XDMCP はデフォルトで禁止されています。
XDMCP を使わなければならないとしたら、ファイヤーウォールの中などの
信頼されたネットワーク間でだけにしてください。残念ながら
XDMCP は TCP ではなく UDP を使っているので、そのまま SSH を使う
ことはできません。SSH を使って接続を安全にする場合は、
X11 転送と呼ばれる技術を使います。
715 ：713 ：02/06/06 02:27: >>714
さんくす。

暗号化が必要なほどセキュリティが求められるところではXDMCPは使うなと、
必要なければそれでよし。

んでもってそもそもXDMCPはssh暗号化不可能。
XDMCPプロトコル詳しく知らなかったよ…。
716 ：名無しさん＠お腹いっぱい。 ：02/06/07 14:41: 新規でOpenSSH-3.2.2p1を入れたのだが、何故かパスワードの認証は駄目・・・
ＲＡＳ認証は通るのに何故でしょう？
手順は以下
OpenSSL 0.9.6ｃを./configure make make　install
zlib1.1.4を./config make make install
OpenSSH-3.2.2p1を./configure --with-pam make make install
した。
cp contrib/redhat/sshd.init /etc/rc.d/init.d/sshd
chmod +x /etc/rc.d/init.d/sshd
/sbin/chkconfig --add sshd
cp contrib/redhat/sshd.pam /etc/pam.d/sshd

ＰＡＭが怪しいので下記に記載します。
#%PAM-1.0
auth required /lib/security/pam_pwdb.so shadow nodelay
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so
session required /lib/security/pam_limits.so

sshd_config

Port 22
Protocol 1
HostKey /usr/local/etc/ssh_host_key
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 600
PermitRootLogin no
RSAAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsAuthentication no
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
PasswordAuthentication yes
PermitEmptyPasswords no
ChallengeResponseAuthentication yes
X11Forwarding no
X11DisplayOffset 10
X11UseLocalhost yes
KeepAlive yes
UseLogin no
UsePrivilegeSeparation no
Subsystem sftp /usr/local/libexec/sftp-server

長文になり申し訳ないのですが、お分かりになられる方
教えて頂けると助かります。
717 ：名無しさん＠お腹いっぱい。 ：02/06/07 14:48: どう駄目なんかがわからん
718 ：716 ：02/06/07 16:17: >>717
ｽﾏｿ
/var/log/messageには
lease150 sshd[1586]: Failed password for admin from アドレス
port 1141
出ているが・・・。なんでFailed password なんだ！
rsa認証は通るのに・・
719 ：717ではないが… ：02/06/07 19:17: >>718
それだけではやはり分かりません。
まず最初に、きちんと動かそうとしている環境を書きましょう。使用している
OSは何？サーバ側だけでなくクライアント側のも書くよーに！

クライアント側のOSがUNIX系のもの（Linuxも含む）だったら、
[client]% ssh -vvv svhost
というように、-vvvを追加して試してみてよ。
720 ：名無しさん＠お腹いっぱい。 ：02/06/08 22:04: OpenSSH 3.2.3p1を使っています。

$ ssh -f localhost xterm
$ ssh -f localhost xload
など、ほとんどのものはX転送できるのですが、なぜか
ktermのときだけ
$ ssh -f localhost kterm
X11 connection rejected because of wrong authentication.
X connection to localhost:10.0 broken (explicit kill or server shutdown).
とでて転送できません。

ktermを転送できるようにしたいのですが、何かヒントをいただけないでしょうか?
721 ：名無しさん＠お腹いっぱい。 ：02/06/09 10:26: >>720
こういう条件には当てはまりそうですか? 当てはまるなら kterm へのパッチが出ている

kterm-6.2.0 を以下のような環境で利用していると、
OS: NetBSD-1.1, NetBSD-1.2, FreeBSD-2.2.2
認証方式: MIT-MAGIC-COOKIE-1
その他の条件: ホームディレクトリは別マシンにあり、NFS で
マウントしている。NFS サーバは kterm の走行す
るマシンに対して、root アクセスを許していない。
ファイル .Xauthority へアクセスできないため、下記のようにエラーが起こ
ることがあります。
% ./kterm
Xlib: connection to ":0.0" refused by server
Xlib: Client is not authorized to connect to Server
./kterm Xt error: Can't open display: :0.0
722 ：720 ：02/06/09 18:14: OSが>>721さんが書かれたものと違う(私の環境:VineLinux2.5)こと以外は、ばっちりあてはまります。
そういえば>>721さんの書かれている問題も出ていました。
そのときは
http://vine.ic.sci.yamaguchi-u.ac.jp/VineUsersML/5/msg00361.html
の方法で騙せて(?)いたのですが、今回はこの方法でもうまく行かなかったので
質問致しました。

パッチを探してみました。
http://lct.dei.uc.pt/download/ftp/pub/FreeBSD/2.2.8RELEASE/CD3/distfiles/kterm-6.2.0.NFS-xauth.patch
ですね。

SRPMをいじるのは初めてだったのですが、特に問題もなくビルドできました。
このパッチを当てたktermで>>720の問題も解決致しました。

どうも、ありがとうございました。
723 ：名無しさん＠お腹いっぱい。 ：02/06/09 19:45: >>714
UDP over(netcat) TCP over SSH
724 ：名無しさん＠お腹いっぱい。 ：02/06/10 03:40: >>723
ま、そこまでしてXDMCPが欲しいか、という問題でしょうね。
725 ：名無しさん＠お腹いっぱい。 ：02/06/13 14:51: OpenSSH 3.2.3p1を使っていて、ＯＳはコバルトキューブ3になります。
すべてインストール完了し/etc/rc.d/init.d/sshdを起動させた所
$Starting sshd:/etc/rc.d/init.d/sshd: initlog: command not found
ERROR!
のエラーがでてしまいました。rc.d/init.d/sshdのstart部分を
initlog -c "$SSHD $OPTIONS" && success || failure
↓
$SSHD -f /usr/local/etc/sshd_configに変更した所、うまく起動しました。
もしお分かりになられる方がいましたら、initlog -c のコマンドは何を行って
いるのでしょうか？
726 ：名無しさん＠お腹いっぱい。 ：02/06/14 08:40: sshでトンネル掘って、主にポートフォワーディング目的で利用する場合、
フォワーディングされるコネクションについては
むしろ暗号化して欲しくない
（暗号化するとデータ転送が重い、セキュリティは問題にならない）
と思うことがありますが、そういうことは可能ですか？

またそういう場合、つまり、暗号化よりも
ファイアウォールやNATのすり抜けのためのポートフォワーディングが
したいだけの場合、どうしてますか？
727 ：名無しさん＠お腹いっぱい。 ：02/06/14 08:52: > ファイアウォールやNATのすり抜けのためのポートフォワーディングが
> したいだけの場合、どうしてますか？

ぼくは以前 tcpserver と50行ぐらいの自前プログラムでやりましたが、
一般的にはstoneじゃないでしょうか。
www.gcd.org/sengoku/stone/
728 ：名無しさん＠お腹いっぱい。 ：02/06/14 09:31: >>727
stone だと、NATの外側から NATの内側にコネクションを張れないと思います。
ここでは、NATは基本的に「内側→外側」へのアクセスしかできず、
この設定は変更できないという前提です。

そこで、sshであらかじめ「内側→外側」に繋いでトンネルを掘っておく
わけですが、このトンネルについては暗号化しないで欲しいという要求です。
729 ：名無しさん＠お腹いっぱい。 ：02/06/14 10:01: >>728
前提がわからんな。
stone は NAT 関係ないんで、外から内側へのコネクションも問題なく張れる。

もっと具体的な例ｷﾎﾞﾝﾇ
730 ：729 ：02/06/14 10:03: ていうか、stone でフォワードできないような環境だったら
ssh のポートフォワードだってダメなような気がする。

>>728 は何か勘違いしているような。
731 ：728 ：02/06/14 10:21: >>729 >>730
NATの内側にプライベートアドレスのmyhost
外側にグローバルアドレスのremotehostがあります。

sshなら、あらかじめ内側から
myhost$ ssh remotehost -g -R 80:myhost:10080
としておけば、
remotehostの10080へのアクセスを
myhostの80ポートにフォワードできます。

stoneでは、それ以前の問題として、
そもそもNATの外側から内側へのアクセスができないため、
不可能だと思います。
732 ：728 ：02/06/14 10:27: 補足：
NATマシン自体の中で、stoneを動かせばできるでしょが、
ここではNATマシンには触れないという前提です。
733 ：名無しさん＠お腹いっぱい。 ：02/06/14 12:54: >>727 >>729-730 は、stoneと言えば当然NAT-box上で動かすもの
（だから中継されるパケットはNATを通らない）
という前提で言っているのに対し、
>>726 >>728 >>731-732 は、ネットワーク経路の途中に自分の管理外の NAT-boxがあって、
それを越えて、しかも外部から自分のホストへの
逆向きのコネクションを張りたいと言っていて、
話が噛みあっていないと思われ。

sshで、 port forwardingだけして暗号化はしないって、無理なんじゃないかな。
やるとすればport forwarding機能付きの telnet/rlogin モドキを自作するとか・・
734 ：うろーぼえ ：02/06/14 13:04: >>726
cipher として null (だっけ?) を使う、とかできなかったっけ?
735 ：名無しさん＠お腹いっぱい。 ：02/06/14 13:54: >>734
多分、 Cipher none で、コマンドラインなら ssh -c none かな。
でも、今度はサーバー側でCipher noneでのログインを禁止しているのが普通という罠。
736 ：名無しさん＠お腹いっぱい。 ：02/06/14 23:51: sshdは、どこから起動してます？
rc.xxxからしてます？

sshdの突然死が怖いのとオペミスで殺されてもいいように
inittabにrespawnで書いているのですが、皆様どうしていますか教えて下さい。
737 ：名無しさん＠お腹いっぱい。 ：02/06/15 00:34: >>736
inetd から (w
738 ：nanasi ：02/06/15 00:39: 私は rc3.d に S99sshd というスクリプトを作って
起動していますが、daemontool とかでも良いのでは？
739 ：名無しさん＠お腹いっぱい。 ：02/06/15 00:46: tcpserver + daemontools です。
740 ：名無しさん＠お腹いっぱい。 ：02/06/15 01:09: >>739
セッション開始に時間かかんない?
741 ：名無しさん＠お腹いっぱい。 ：02/06/15 02:31: >>740
速いマシンだとそんなに気にならないよ。
742 ：名無しさん＠お腹いっぱい。 ：02/06/15 17:52: >>715
xdmcpではつかったことないけど、zebedeeだとUDPでも暗号化トンネルが
掘れるよ
743 ：名無しさん＠お腹いっぱい。 ：02/06/20 19:57: authorized_keys2 って今は不要ってことでいいんでしょうか？

質問のついでにtypo指摘
http://www.unixuser.org/~haruyama/security/openssh/
>Solaris で/dev/randam などをエミュレートするモジュール
randam -> random
744 ：名無しさん＠お腹いっぱい。 ：02/06/20 21:22: 今でも古いOpenSSH使っていれば必要だよ
745 ：名無しさん＠お腹いっぱい。 ：02/06/21 11:09: >>743
正確には、サーバ側で動作しているOpenSSHのバージョンが2.9及びそれより前の
場合なら、authorized_keys2は必要。2.9.9及びそれ以降なら不要。

# といいつつ、2.xはセキュリティホールがあるので、少なくても3.0.2以降に
# バージョンアップすべきだと思いますけどね＜サーバ側

typoネタは念のためぜひメールでも知らとくといいと思いますぞ
746 ：名無しさん＠お腹いっぱい。 ：02/06/22 06:19: OpenSSH-3.3 age
747 ：名無しさん＠お腹いっぱい。 ：02/06/22 06:29: ウマー！！！！！！！！！！

残念ながら、現在はftp.jp.openbsd.orgにすらない模様…ftp.openbsd.orgだけですな

アナウンスメールはこちら：
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102468921703145&w=2
748 ：skel.103M ：02/06/22 07:13: 例によって変更内容の日本語訳といきますか！原文は>>747にあるURLというこ
とで。

セキュリティに関する変更内容
============================

- "privilege separation"のサポートを強化しました：

この機能はデフォルトで有効になります。

sshd_config(5)の UsePrivilegeSeparation オプションを参照して下さい。また、より
詳しい情報は http://www.citi.umich.edu/u/provos/ssh/privsep.html で得ることができ
ます。
- SSHプロトコルバージョン２のHostBased認証を利用するためにssh（という名前
のクライアントプログラム）に対して、rootにsetuidする必要がなくなりまし
た。ssh-keysign(8)をご参照願います。SSHプロトコルバージョン１のRhostsRSA認
証を利用する場合は従来通りroot権限が必要です（訳者注：すなわち、sshに
対してrootにsetuidする必要があるということです。）が、この認証を利用す
ることはもはや推奨されません。

その他の変更内容
================

- クライアント及びサーバの設定オプションに関する説明はそれぞれ
ssh_config(5)とsshd_config(5)に移動しました。
- サーバ（sshd）では新しく Compression オプションがサポートされるようにな
りました。sshd_config(5)をご参照下さい。
- クライアント（ssh）のオプションである RhostsRSAAuthentication 及び
RhostsAuthentication のデフォルトは no になりました。ssh_config(5)参照。
- クライアント（ssh）のオプションである FallBackToRsh 及び UseRsh は
廃止されました。
- …意味不明だ(T_T)…
　　原文：ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
- …これも意味不明(T_T)…
　　原文：ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
- PuTTYをクライアントとして使用していた場合、validな（←どういう訳がいい
か分からない^^;）RSA署名にもかかわらず発生していた問題をfixしました。
749 ：skel.103M ：02/06/22 07:16: 「その他の変更内容」の最後の部分はうまく訳せなかった（苦笑

詳しい方、フォローよろしくです。
750 ：名無しさん＠お腹いっぱい。 ：02/06/22 07:21: ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/
ftp://ftp.ayamura.org/pub/openssh/
ftp://ftp.u-aizu.ac.jp/pub/os/OpenBSD/OpenSSH/

まだ行き渡っていないみたい…
751 ：746 ：02/06/22 07:22: >>748
よくわからんのなら急いで翻訳しようとしないほうがいいですよ。

> ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
エージェントを一時的に「ロックさせる機能」がついたということです。
あと、鍵を追加するときにその鍵の(エージェント中での)最大生存時間を指定できるようになりますた。

> ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
ssh-agent は通信用にAF_UNIXドメインソケットを使っていて、いままではこれは
/tmp/ssh-ほにゃららにバインドされて、このディレクトリは決め打ちで変えられなかったのだが、
これがオプションで変えられるよになった、ということ。

あとはroot権限分離のために、ホスト鍵参照部分を ssh-keysign にかためて、
これだけ suidroot にしたということのようです。
マニュアルでは長たらしい設定ファイルの説明がぜんぶ別セクション
ssh_config(5), sshd_config(5) に分けられました。
752 ：748 ：02/06/22 07:32: なるほど。どうもありがとうございます。

一定時間が過ぎたらもう一度ssh-add使って追加し直すようにさせることができ
るようになったわけですね＜ssh-agent

万一ログインしたまま（xlockもかけないで）席を外したりした場合でも被害を
ある程度抑えられるわけですな。結構便利かも

----
翻訳一番乗リげっとズサー!!やったろかと思ったんで（をい

…回線切って寝ます
753 ：名無しさん＠Ｅｍａｃｓ ：02/06/22 14:24: >>748
> - PuTTYをクライアントとして使用していた場合、validな（←どういう訳がいい
> か分からない^^;）RSA署名にもかかわらず発生していた問題をfixしました。

有効な
754 ：748 ：02/06/22 14:32: o8YO GOZAIMASU
>>753
ぶわはははは
そうですね。すっかり忘れてました＜「有効な」

ありがとうございます！
755 ：春山征吾 ◆9Ggg6xsM ：02/06/22 14:41: >>743
ご指摘ありがとうございます。

変更点の拙訳を置きました。
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.3.txt
756 ：名無しさん＠Ｅｍａｃｓ ：02/06/22 15:46: /var/empty ってなんですか?
757 ：748 ：02/06/22 18:05: >>755
ごくろうさまです。えっと、その他の変更内容の１番目は
　×ssh_config (5) から sshd_config (5) に移された.
　◯それぞれ ssh_config (5) と sshd_config (5) に移された.
ではないでしょうか。
758 ：春山征吾 ◆9Ggg6xsM ：02/06/22 18:12: >>757
ご指摘ありがとうございます。
修正しました。
759 ：名無しさん＠Ｅｍａｃｓ ：02/06/23 13:54: http://slashdot.jp/article.pl?sid=02/06/22/2148212&mode=thread
760 ：名無しさん＠お腹いっぱい。 ：02/06/23 14:08: From: "skel.103M" <skeleten@shillest.net>
Subject: [installer 7329] Re: lftp-2.5.4
Date: Thu, 13 Jun 2002 02:49:05 +0900

> [installer 7318]で既に報告済みでしたね…すみません。（汗
> 検索するときはヘッダだけでなく本文も対象にしないと…
>
> skel.103M <skeleten@shillest.net>
>
>
761 ：名無しさん＠お腹いっぱい。 ：02/06/23 14:11: >>760
コピペうざい。
762 ：名無しさん＠お腹いっぱい。 ：02/06/24 11:56: openssh3.3で/var/emptyがどうのとか言われたんで作ったんですが
そこらへんのネタ持ってる人いませんか？
763 ：名無しさん＠お腹いっぱい。 ：02/06/24 13:47: >>762
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt
764 ：名無しさん＠お腹いっぱい。 ：02/06/25 07:48: 来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
3.3 で UsePriviledgeSeparation を使っていれば問題は起きないが、
それ以外では exploit されるとのこと。
http://www.koka-in.org/~haruyama/ssh_koka-in_org/0/4.html
765 ：名無しさん＠お腹いっぱい。 ：02/06/25 09:39: 板違いですが、宜しかったら教えてください。
これからセキュルティー確保の為、SWATCHでログ監視を行うのですが、
何を監視したら良いのでしょう？/var/messageでＰＡＭ認証の失敗は
引っ掛けているのですが、他にありますか？
766 ：名無しさん＠お腹いっぱい。 ：02/06/25 09:40: >>765
スレ違い。
くだ質で聞け。
767 ：名無しさん＠お腹いっぱい。 ：02/06/25 12:09: 3.3p1@linux-2.2.21で　UsePriviledgeSeparation yesだと
mmapのエラーが出るっすよ
とりあえずCompression noにするしかないの?
768 ：名無しさん＠お腹いっぱい。 ：02/06/25 13:18: FreeBSD4.5のCURRENTを利用してます。
OpenSSHを利用する際に、ログイン時にchrootさせて、
セキュリティ強化したいと思っているのですが、可能でしょうか？
商用版sshのほうには、そういう機能あるみたいですけど。
769 ：名無しさん＠お腹いっぱい。 ：02/06/25 13:21: >>768
むかしは chroot patch とゆーのが openssh に付いてきたんだけど
いまはもうメンテされてないってさ。
openssh-3.3p1/contrib/README 参照。
770 ：768 ：02/06/25 13:34: >>769
ありがとうございます。
読んで見ます。

でも、実現できないんですかねぇ。
ftpだとProftpd使えば楽にできちゃうんですが・・・
771 ：名無しさん＠お腹いっぱい。 ：02/06/25 18:03: >768 >764を読め。
772 ：名無しさん＠お腹いっぱい。 ：02/06/25 19:01: >>768
ユーザー毎に chroot 先を変えるということなら >>769 の言う chroot patch.
3.3 対応のものは無いと思うけど。

>>771 の言うのは port 22 で待ち受ける部分と認証部とユーザーにサービスを
提供する部分を分けて、認証部を /var/empty に chroot するという実装。
クライアントからみたサービスが変わるわけではない。
773 ：名無しさん＠お腹いっぱい。 ：02/06/25 19:01: FreeBSD 4.5 Release にopenssh-3.3p1 をインストールした。
% ssh localhost とやって試してみたら、
logout してもシェルが戻って来ないよ。なんで???
教えて。おながい。
774 ：773 ：02/06/25 19:09: .login に xbiff と書いていた俺が馬鹿だった。
逝ってきます。ばびゅ～～～ん
775 ：名無しさん＠お腹いっぱい。 ：02/06/25 20:09: 　 ,､|,､
　(f⌒i
　 U j.|
　　UJ
　　：
　 ‐＝‐
776 ：名無しさん＠Ｅｍａｃｓ ：02/06/25 21:20: ssh-rand-helper についての日本語の解説ってどっかにない?
777 ：名無しさん＠お腹いっぱい。 ：02/06/26 02:38: >>776
これじゃだめ?
http://www.unixuser.org/~euske/doc/openssh/jman/ssh-rand-helper.html
778 ：名無しさん＠お腹いっぱい。 ：02/06/26 03:18: sshのknown hostsファイルには、IPアドレスとホストキーがかかれる
だけなのが不便。なぜかというと、SSHでFW内部に外部から入る為の
中継用のゲートウェイのマシンのIPアドレスが１つで、それへの
接続する際のポート番号を変えることで、FW内部のどこにパケットを
フォワードするかを指定したいのだけれども、SSHのクライアント
側の　KNOWN　HOSTSを記録するファイルにはポート番号の違いで
相手を区別認識させる手段がない。だからつなぎにいくポート番号を
変えるときにはKNOWN HOSTSファイルを一度消してからでないと
せつぞくが失敗する。不便だ。
779 ：名無しさん＠お腹いっぱい。 ：02/06/26 07:58: 来週の月曜日には OpenSSH 3.4 が出るようです。
http://www.openssh.com/

　現在 OpenSSH にはまだ公表されていない脆弱性が存在します。
　OpenSSH 3.3 にアップデートし、UsePrivilegeSeparation (特権分離)
　オプションを使用するよう強くおすすめします。
　特権分離機能はこの問題をブロックします。来週の月曜日にはこの脆弱性を解決する
　OpenSSH 3.4 リリースが出ますので、どうかお見逃しなく。
780 ：名無しさん＠お腹いっぱい。 ：02/06/26 08:03: FreeBSD STABLEに3.3がmergeされたけど3.4に差し替えかな？
781 ：：02/06/26 10:17: ttp://www.unixuser.org/~haruyama/security/openssh/privsep.txt
上記のメモを参考にdebianのssh 3.3p1-0.0woody1の
特権分離を確認してみたのですが、下記のようになりました。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.5 2752 688 ? S 09:29 0:00 /usr/sbin/sshd

ここで $ ssh localhost する。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.4 1.2 5044 1564 ? S 10:00 0:00 /usr/sbin/sshd
sshd 2371 1.2 1.0 4172 1300 ? S 10:00 0:00 /usr/sbin/sshd

$ sudo lsof -p 2371
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 2371 root cwd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root rtd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root txt REG 3,8 276072 195636 /usr/sbin/sshd
..........

ここでloginする。
$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.0 1.3 6272 1656 ? S 10:00 0:00 /usr/sbin/sshd
nanashi 2748 0.0 1.3 6292 1764 ? S 10:05 0:00 /usr/sbin/sshd

debianの場合、/var/run/sshdにchrootするようなんですが、lsofした時のsshdのUSERが
rootとなってるのは問題ないのでしょうか？
782 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 11:10: >>768
> FreeBSD4.5のCURRENTを利用してます。
> OpenSSHを利用する際に、ログイン時にchrootさせて、
> セキュリティ強化したいと思っているのですが、可能でしょうか？
> 商用版sshのほうには、そういう機能あるみたいですけど。

FreeBSD なら ssh.com のはタダで使えるんだから chroot が必要なと
ころではそっちを使えばいいんでは？
783 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:19: >>764
> 来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
Privilege Separation を普及させるための狂言だったらおもしろいな。
784 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:52: ＳＳＨ社、教育機関対象に暗号通信ソフトの割引サービスを開始
http://www.ipsec.co.jp/about/press/2002/2002-06-25.html
785 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:19: 3.3にしたら A というホストに接続しに行くと A から A の UDP 53 に
アクセスしに行くようになりました。UDP 53なのでDNSだと思うのですが、
A のresolv.confは別のアドレス(127.0.0.1)になっています。
786 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:41: >>785
(ﾟдﾟ)ﾎﾟｶｰﾝ

# 127.0.0.1って何のアドレスか分かってるかい？
787 ：785 ：02/06/26 13:47: >786
dnscacheを使ってますのでlocalhostにdnsの受け口があります。
788 ：名無しさん＠お腹いっぱい。 ：02/06/26 15:42: >>787
再帰的に名前解決しにいかなくていいの?
789 ：785 ：02/06/26 16:42: dnscacheが解決しに行ってくれます。
790 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:44: じゃあ、dnscacheはどのhostに問い合わせにいくの?
791 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:46: >>789
お前、tinydns と dnscache の関係わかってないだろ?
792 ：785 ：02/06/26 17:20: >790
dnscacheはroot/servers/にあるアドレスを元にそれぞれのDNSサーバに
名前を問い合わせに行きます。そこにドメイン名のファイルがあれば
そのアドレスに問い合わせますし、なければ@ファイルにあるアドレス
に問い合わせます。必要なら再起的に。
>791
dnscacheは自分が管理しているドメイン以外のアドレスを解決する場合に
利用されます。tinydnsは自分が管理しているドメインへの問い合わせに
答える為に利用されます。

この話のAのホストではtinydnsは動いていませんし、実際このドメイン
の名前を解決する為のDNSサーバは別にあります。ですので127.0.0.1に
DNSの問い合わせが来ることはあっても、Aのアドレスに来るはずはない
と思ってるんですが。
793 ：名無しさん＠お腹いっぱい。 ：02/06/26 17:42: >>791
>>786への回答よろしく。
794 ：768 ：02/06/26 18:12: >>782
FreeBSDならば、ssh.comの商品が自由に使えるってホント？
どこに書いてあるの？
795 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 21:24: >>794
> FreeBSDならば、ssh.comの商品が自由に使えるってホント？

FreeBSD だけってわけじゃなくて Linux/NetBSD/OpenBSD でも、ね。

あと、もちろん、ssh.com の商品全部がってわけじゃない (が、少
なくとも SSH Secure Shell for Servers は該当してる) けど。

> どこに書いてあるの？

正確なところは commerce.ssh.com から Non commercial 版をダウ
ンロードして中の LICENSE ファイルを見てみるのが一番だと思うけ
ど、手近なところでは

ttp://www.ssh.com/faq/index.cfm?id=171

辺りとか。
796 ：名無しさん＠お腹いっぱい。 ：02/06/26 22:30: でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
使えない…。
797 ：sshd ：02/06/27 00:07: openssh-3.4 ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
798 ：某翻訳担当 ：02/06/27 00:17: おいおいきのういってた予定と違うじゃねーか
はえーよ!
799 ：名無しさん＠お腹いっぱい。 ：02/06/27 00:21: しかも弱点があるのは 2.9.9 以降...
設定で容易に回避可能...
800 ：春山征吾 ◆9Ggg6xsM ：02/06/27 00:31: >>781
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=101680346025114&w=2
でも　USER が root ですね。
手元のlsof(revision: 4.59)のmanのUSERの項:
> However, on Linux USER　is the user ID number or login that owns the directory in /proc
> where lsof finds information　about the process.
> Usually that is the same value reported by ps(1), but may differ when
> the process has changed its effective user ID.

ということなので、よさそうではあります。
801 ：781 ：02/06/27 00:44: >>800
レスどうもです。
linuxのlsofの問題なので、確認しようがないということのようですね。
ありがとうございました。
802 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:24: >>783
>Privilege Separation を普及させるための狂言だったらおもしろいな。

結局、その通りだったようです。まあ穴があったのは事実ですが。
今回の穴の対応策は次のような感じでしょうか？

・以下の人はOpenSSH 3.1のままで大丈夫
　　- "AFS/Kerberos support and ticket/token passing enabled" でない人
　　- "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.2.3 のままで大丈夫
　　- "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.3 のままで大丈夫
　　- "UsePrivilegeSeparation yes" にしている人

・それ以外の人はOpenSSH 3.4 にしましょう
803 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:31: > ・以下の人はOpenSSH 3.3 のままで大丈夫
>　　- "UsePrivilegeSeparation yes" にしている人

"ChallengeResponseAuthentication no" という設定を加えるのならともかく、
"UsePrivilegeSeparation yes" だけでは、とても安全とは言えん。

> ・以下の人はOpenSSH 3.1のままで大丈夫
> 　　- "AFS/Kerberos support and ticket/token passing enabled" でない人
> 　　- "ChallengeResponseAuthentication no" にしている人

これも、
"AFS/Kerberos support and ticket/token passing enabled" でなく、
かつ "ChallengeResponseAuthentication no" にしている人
なんじゃないの？
804 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:47: /.の方でも話題になってますね
ttp://slashdot.jp/article.pl?sid=02/06/26/112206&mode=thread

元ネタはこっち(↓)？
ttp://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584
805 ：名無しさん＠お腹いっぱい。 ：02/06/27 07:54: ISC だと思ってた。
806 ：名無しさん＠ＸＥｍａｃｓ ：02/06/27 10:34: >>796
> でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
> 使えない…。

まぁ、ね。

ただ、当時とは違い OpenSSH という立派な alternative がある現在
では、Free UNIXen 利用者層への蒔餌という意味合いの強いこのポリ
シーはそうそう変えんだろうとは思うが。

.com 版のにしろ、OpenSSH にしろ、間違っても一生ものになるわきゃ
ないんだから、要は、その時点その時点で使えるものを使えばいいっ
てだけの話で。

前に >>706 にも書いた通り、.com 版 sftp client はファイル名の補
完ができたりするんで結構便利だしね。
807 ：名無しさん＠お腹いっぱい。 ：02/06/27 10:38: pamが使えないとかいう問題は治ってる？
ChangeLog見たけど
- (djm) Fix int overflow in auth2-pam.c, similar to one discovered by ISS
これの事？
808 ：名無しさん＠お腹いっぱい。 ：02/06/27 11:01: 3.4p1をSolarisで使っているんだけど、
sshd_config に UsePrivilegeSeparation yes を書いた場合、
つなげようとすると
debug1: Connection established.
debug1: read PEM private key done: type DSA
debug1: read PEM private key done: type RSA
debug1: identity file /home/mona/.ssh/identity type 0
debug1: identity file /home/mona/.ssh/id_rsa type -1
debug1: identity file /home/mona/.ssh/id_dsa type 2
ssh_exchange_identification: Connection closed by remote host
となって connection 切られちゃう。

debug1: Remote protocol version 1.99, remote software version OpenSSH_3.4p1
debug1: match: OpenSSH_3.4p1 pat ^OpenSSH
Enabling compatibility mode for protocol 2.0
って続くはずなのになぁ。
809 ：名無しさん＠お腹いっぱい。 ：02/06/27 11:34: 3.4p1（BSDi)
sshdユーザーを作ったのにmake insatllでこの表示はあってのかい？
id sshd || echo "WARNING: Privilege separation user \"sshd\" does not exist"

一応、psで見るとこんな感じだが、
ps auwwx | grep sshd
root 1497 0.0 0.2 900 436 ?? Ss 11:27AM 0:00.28 /usr/local/sbin
/sshd
root 1578 0.0 0.4 928 804 ?? I 11:28AM 0:00.03 hoge [priv] (sshd)

こりゃー間違ってんかな？lsofしてもrootでしか動いてなんだが。。
810 ：名無しさん＠お腹いっぱい。 ：02/06/27 17:01: FreeBSD4.5にopenssh-3.4p1をインストールしたのだが、
sshdを立ちあげると次のようなエラーが出る。
一応sshdは動いているようなのだが。

This platform does not support both privilege separation and compression
Compression disabled

なんで?
811 ：名無しさん＠Ｅｍａｃｓ ：02/06/27 17:50: >>810
どっちかを off にしる～
812 ：名無しさん＠お腹いっぱい。 ：02/06/27 18:04: JPCERT も出た。
http://www.jpcert.or.jp/at/2002/at020004.txt
813 ：名無しさん＠お腹いっぱい。 ：02/06/27 18:09: does not support both A and B

これもわからんか・・・
読もうとしろよ
814 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:07: >>810
「両方ともサポートしているわけではない」（部分否定）
815 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:18: >>812
読んでみたけど、対処方法に「Disable challenge response authentication」
といった記述が見つからないなぁ…

ちなみに、
http://www.cert.org/advisories/CA-2002-18.html
には記述されてます。
816 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:24: >>809 うちでも同じWARNING が出ました。ただ、
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt
にある「特権の分離がどのように行なわれるかを見てみます・・・」
を実行したところ、sshd ユーザーにchroot していることは
確認できましたので、見なかったことにしてます。
いいのかちら・・・？
817 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:41: root 24204 0.0 0.0 352 876 ?? Is 8:01PM 0:01.54 /usr/sbin/sshd
root 30733 0.0 0.0 388 1276 ?? Is 8:01PM 0:00.12 sshd: ore [priv] (sshd)
ore 2845 0.0 0.0 428 1208 ?? S 8:01PM 0:00.15 sshd: ore@ttyp0 (sshd)
root 1286 0.0 0.0 388 1280 ?? Is 8:15PM 0:00.13 sshd: ore [priv] (sshd)
ore 25440 0.0 0.0 428 1296 ?? S 8:15PM 0:00.47 sshd: ore@ttyp1 (sshd)
818 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:45: >>809
WARNING: Privilege separation user "sshd" does not exist
とは表示されなかったんでしょ？ Makefile がしょぼいだけでしょう。
819 ：名無しさん＠お腹いっぱい。 ：02/06/27 22:03: う～ん。sshd っていう user & group 作って、/var/empty 作って
sshd_config に
UsePrivilegeSeparation yes
Compression no
って書いているのに
mona 507 0.6 1.0 3508 2364 ? S 21:56:29 0:00 sshd -i
root 472 0.0 1.0 2948 2324 ? S 21:56:23 0:00 sshd -i
ってなるんだけど、inetd 経由だとダメなの? ちなみに OS は Solaris8
820 ：名無しさん＠お腹いっぱい。 ：02/06/27 22:09: >819
monaで動いてるプロセスがあれば大丈夫でしょ。
privsepされてなければどっちもroot。
821 ：名無しさん＠お腹いっぱい。 ：02/06/27 23:40: >>820
Thanks. lsof しても /var/empty とか user が sshd だとかいうものが存在
しないんで、いったいどうなっとんのじゃと悩んでいたのでした。
822 ：名無しさん＠お腹いっぱい。 ：02/06/28 12:40: >810 configureが腐っていてsys/types.hをincludeし忘れてるみたいだね。
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=1244997+0+current/freebsd-security
823 ：名無しさん＠お腹いっぱい。 ：02/06/28 23:20: ssh.comのSSHはだいじょうぶなのですか？
824 ：名無しさん＠お腹いっぱい。 ：02/06/30 14:02: >>778
おいらは別config書いてそこに

UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
Port 10022

とか書いといて、-Fオプションでconfig切替えて使ってるよ。
同一ホストでもportが違えば別のknown_hostsに書かれるのでちょっとだけ嬉しいはず。
825 ：名無しさん＠お腹いっぱい。 ：02/06/30 16:28: >>818
すまん。初心者で直し方がわからない。
もしよろしければ直し方ｷﾎﾞﾝﾇ。
826 ：名無しさん＠Ｅｍａｃｓ ：02/07/01 01:06: In article >>825, 名無しさん＠お腹いっぱい。 <> wrote:
> すまん。初心者で直し方がわからない。
> もしよろしければ直し方ｷﾎﾞﾝﾇ。

どっちを # でコメントにすればよいですね:)
827 ：名無しさん＠ＸＥｍａｃｓ ：02/07/01 13:23: >>823
> ssh.comのSSHはだいじょうぶなのですか？

なにが？
828 ：名無しさん＠ＸＥｍａｃｓ ：02/07/01 13:33: >>824
> おいらは別config書いてそこに
>
> UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
> Port 10022
>
> とか書いといて、-Fオプションでconfig切替えて使ってるよ。

なるへそ。その手があったか。

で、こいつをちょいと発展させて config ファイルには

Host host1
HostName sshgateway.mycompany.com
Port XXX0
UserKnownHostsFile ~/.ssh/known_hosts_host1
Host host2
HostName sshgateway.mycompany.com
Port XXX1
UserKnownHostsFile ~/.ssh/known_hosts_host2
…

とか書いといてやって

$ ssh host1

とか

$ ssh host2

とかする、ってのはどうよ。
829 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:02: > どっちを # でコメントにすればよいですね:)

日本語の間違いを正しても依然として意味不明なのですが。
830 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:09: In article >>829, 名無しさん＠お腹いっぱい。/sage/829 wrote:
> > どっちを # でコメントにすればよいですね:)
>
> 日本語の間違いを正しても依然として意味不明なのですが。

どちらかを、# でコメントにすれば良いですねじゃわからんか?

ヘ_ヘ
ミ・・ミ
( ° )～
~~~~~~~~~~
831 ：名無しさん＠カラアゲうまうま ：02/07/01 15:09: 日本語だと思うから意味不明なのです。
832 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:13: In article >>831, 名無しさん＠カラアゲうまうま/sage/831 wrote:
> 日本語だと思うから意味不明なのです。

そうですね:)
推奨するのは自分の頭で考えることです。
833 ：名無しさん＠Ｅｍａｃｓ ：02/07/01 17:33: From: OSADA Yoshiko <o.yoshiko@jp.fujitsu.com>
Subject: [ssh:00010] Re: WARNING: Privilege separation user "sshd" does not exist
Date: Mon, 01 Jul 2002 16:37:06 +0900

> とっても早いレス、ありがとうございました。
>
> ところで、追加質問させていただきます。
> これは、openssh3.4では必須の作業なのですか？それともオプショ
> ンなのですか？

(ﾟДﾟ)ﾊｧ?
834 ：名無しさん＠お腹いっぱい。 ：02/07/01 17:35: >>833
ML ヲチしたいならこちらでどうぞ。

ニュース、ML キチガイリスト 6 人目
http://pc.2ch.net/test/read.cgi/unix/1023635938/
835 ：初期不良 ：02/07/01 23:23: >>830
> どっちを # でコメントにすればよいですかね:)

の補完候補もあり
836 ：名無しさん＠お腹いっぱい。 ：02/07/02 02:06: changelog.Debian.gz

> openssh (1:3.4p1-1) testing; urgency=high
>
> * thanks to the security team for their work
> * no thanks to ISS/Theo de Raadt for their handling of these bugs
837 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:02: >>836
いくらなんでもこれはひどいなぁ。bug 発見して fix したのは Theo でしょ。
838 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:34: >>837
workaroundがあるのに隠してたのもTheo。
839 ：名無しさん＠お腹いっぱい。 ：02/07/02 16:54: >>837
ひどくはないだろ。
theoは何がしたかったかマジで意味不明。
840 ：名無しさん＠お腹いっぱい。 ：02/07/02 22:58: >>839
特権分離を使わせたかった。
841 ：名無しさん＠お腹いっぱい。 ：02/07/03 12:43: AirH" 128k + PuTTY日本語対応で使用中。
パケットは遅延がデカいからキー打ってからのタイムラグが結構デカい。
何とも言えない使い心地だ。
842 ：名無しさん＠お腹いっぱい。 ：02/07/03 13:11: いまだに56kダイヤルアップで大学にログインしてskkつかってメール書いてますが何か?
compression禁止なマシンだと大変イタイです。
843 ：名無しさん＠お腹いっぱい。 ：02/07/03 14:40: >>842
モデム使うんなら、モデムで圧縮すればいいやん。
844 ：名無しさん＠お腹いっぱい。 ：02/07/03 17:32: >>842
スループットとタイムラグは別物。
845 ：名無しさん＠お腹いっぱい。 ：02/07/03 19:13: >>836-839
おい、お前ら。本家 OpenSSH の (Revised) Advisory は読んだのですか？

最初の Advisory から Credits: ISS. と書いてあったはずなので、
俺は一番悪いのは ISS ではないかと思っていましたが。

>>836
OpenSSH の側では Debian の対応を賞賛しているのに。。。

>>837
ISS の Advisory を読む限り、穴を発見したのは ISS でしょ。
846 ：名無しさん＠お腹いっぱい。 ：02/07/03 21:49: >>845
theoの発言を読んだ上で書いてるの？
847 ：845 ：02/07/03 22:33: >>846
俺は Theo は悪くないと書いたつもりはないぞ。 OpenSSH Advisory は
彼の側の文書だから、これだけを読んで判断するのは早計だろうからな。

それとも、Theo の発言と Advisory の記述が食い違っているという指摘？
そういうことなら俺は気付いていないのでぜひ教えていただけますか。

それはともかく、

>>837 は (Advisory を読む限り) 事実誤認。

>>838
確かに workaround は隠されていたな。その辺の事情は OpenSSH Advisory
の Release Process に書かれているが、これを読んでも >>839 はまだ意味
不明と言い切るのか？

最初の警告を出した、ここにも書かれていない事情について、Apache の時
みたいにまた ISS が絡んでいるのではと俺は疑っているのだが。
848 ：名無しさん＠お腹いっぱい。 ：02/07/03 23:02: >>847
>>839はhttp://pc.2ch.net/test/read.cgi/unix/1023635938/546-550nあたり
の言動が意味不明だと言ってるのだと思われ。
あんだけ煽っといて「実は設定で回避できました、テヘ」じゃ、そりゃ、みん
な怒るよ。
849 ：845=847 ：02/07/03 23:32: >>848
だからその辺の事情が OpenSSH Advisory で述べられているという話。

「workaround を公開 == 穴のある場所を限定」なので、あの時点で workaround
を公開すべきだったのかは俺にはわからない。

ただ、そもそも最初の中途半端な警告がなければ何も問題なかったのだよな？
その事情について >>840 みたいな声も多かったが、Advisory に Credits: ISS.
とあるのを見て「また ISS かよ!」と思った俺みたいなのは他にいないのか？
850 ：名無しさん＠お腹いっぱい。 ：02/07/04 08:23: > スループットとタイムラグは別物。

これどゆこと?
AirH" のほうが 56k dialup よりもタイムラグあるってこと?
そんなに遅延すんの?
851 ：名無しさん＠お腹いっぱい。 ：02/07/04 11:02: >>850
そう、AirH"のパケット方式だとどんなホストにping撃っても300, 400msはあたりまえ。
平均すると500ms～700msくらいは待たされるんじゃないだろうか。
通常のアナログモデムだとこんなには遅延しないでしょ。
PHSでもPIAFSとかなら遅延は少ないみたいだけど。
852 ：名無しさん＠Ｅｍａｃｓ ：02/07/04 11:17: >>849
おおむね同意

itojun氏曰「workaroundを公開すれば500行程度に攻撃対象が限定される」
らしいので穴突くのも楽勝であっただろう。
しかも相手がISSだったので放置すれば、そのまま公開される危険性もあった。

それらを踏まえれば、MLでの発言はともかくtheoに全面的に非が有った
とは言い切れないと考える。
煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
どういうのが有ったとお考えですか？
853 ：名無しさん＠お腹いっぱい。 ：02/07/04 11:58: theoの非：
穴のない 2.3.1 より前のバージョンを使っていた管理者に対して、
穴のある 3.3 使うよう促した。
854 ：852 ：02/07/04 12:12: >>853
vulnerabirityのあるバージョンを明記したSAを出したら、changelog
から攻撃箇所を特定できると思います。

protocol1しか話せないバージョンを駆逐したかったという意図も
否定できないけど。
855 ：名無しさん＠お腹いっぱい。 ：02/07/04 12:19: SAを出す際に、特権分離を普及させよう、とか、古いプロトコルバージョンを
駆逐しよう、とかいった打算はいらない。
856 ：!849 ：02/07/04 12:33: >>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？

礼儀正しさと冷静さ
857 ：852 ：02/07/04 13:36: >>856
projectとして誤った対応があったというのと、theo個人の
非礼は別問題では

>>855
意図があったのでは、というのは私の勝手な妄想です。
858 ：842=850 ：02/07/04 14:51: >>851
解説感謝。よくわかりました。
859 ：849 ：02/07/04 18:15: >>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？
これはひょっとして俺に聞いているのですか？

この問題に関しては俺はヤジ馬でいられたので (ssh の口を外に晒していない)
>>845 を書いたのも「お前ら、Theo ばかり叩いていていいのか？」という煽り
と軌道修正が半々の動機でした。
あの時点で workaround を公開することの是非もわからないと >>849 に書いた
はずだし、ごめん、俺に聞かれてもわからん。

むしろ、俺の頭の中にあるのは悪い方のシナリオだな。
セキュリティ企業の穴探し→早期の告知の競争がエスカレートするとか、
BSD resolver の穴が vendor に告知してから 5 時間以内に漏れたように、
「vendor に知らせない方がマシだ!」とキレる奴が増えてくるとか、今後
穴の告知に関してますます混乱が増えるんじゃないのか？
860 ：852 ：02/07/04 19:51: >>859
いえ、別に特定の人物に尋ねたつもりはないんですが、>>838みたいに
"隠してた"呼ばわりする人もいるぐらいだから、もっとスマートな解決策が
あったのかなぁ、と。
861 ：名無しさん＠お腹いっぱい。 ：02/07/04 20:42: >>853
ん, 2.3.1 より前は本当に穴が全くないのか?
今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
http://www.unixuser.org/~haruyama/security/openssh/security-holes.html

しかしこうしてみると穴が多いな. 早く穴の多さに DJB がキレてくれないかな.
862 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:03: >>861
何でそこで DJB が出て来るの？
863 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:30: djbsshを作らせるため。
864 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:37: >>863
バカみたい
865 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:59: >ん, 2.3.1 より前は本当に穴が全くないのか?
>今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
セキュリティ修正だけbackportしてあれば穴が無いことになるはず。
866 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:26: >>865
純粋な疑問ですが、security fix を backport した 2.3.1 以前を配布していた
ベンダが実際にあるのですか？リリース版に含めていたのが 2.3.1 以前なので
せっせと backport して patch を配布していたといったところでしょうか？

よく知らないけどそういうことをするとしたら Debian なのかな？
867 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:27: >>861-864
http://pc.2ch.net/test/read.cgi/unix/1021727195/173-174n
868 ：名無しさん＠お腹いっぱい。 ：02/07/04 23:52: >>866
Debian stable(potato)は OpenSSH 1.2.3 base. 穴がみつかるたびに
security fix を backport して対応していた。
(channel bug とか CRC-32 attack とか)

詳細を明かさずに、「いついつまでに update しろ」と連絡があって、
しかたなくおお慌てで ssh の update パッケージを出した。
(このとき指定された期日まで、24時間よりもずっと短かい時間しかなかった)
当然十分なテストが行なえるわけもなく、とりあえず 3.3 のパッケージと
判っている範囲でのアドバイザリを出したが、急造なのでバグが結構あった。
(3.3 のパッケージは都合6回 Debian version が上がっている)

いざ詳細があかされると、実はおお急ぎで出したパッケージによって
余計な穴を開けてしまった格好になっていたので、そりゃ怒りたくもなるよ。

そりゃまあ protocol 2 が使えるようになったこと自体は良いのかも
しれんけど、security team が抱える羽目になった苦労が大きすぎる。
869 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:14: すみません、板違いなのですがlinux板の方にsshスレが無いのでこちらで質問させてください。
OpenSSH3.4p1をインストールしているのですがうまくいきません

ssh2で接続でサーバがRedhat7.2でクライアントがwin2kのputtyなんですが
クライアントの接続の前にsshdが立ち上がらず困っています

以下sshd起動時メッセージ
[root@hoge etc]# /usr/local/sbin/sshd -d -f /usr/local/etc/sshd_config
debug1:sshd version OpenSSH_3.4p1
debug1:read PEM private key done:type RSA
debug1:private host key:#0 type 1 RSA
privilege separation user sshd does not exist
[root@hoge etc]#

>debug1:private host key:#0 type 1 RSA
これがssh2じゃないぞと怒られている気がしないでも無いのですが
やっぱりよくわかりません

confファイル
sshd_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt
ssh_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt

インストール時configure
./configure --with-pam --with-tcp-wrappers --with-ipv4-default

どなたかアドバイスいただけたらうれしいです。
870 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:25: >>869
"privilege separation user sshd does not exist"が原因
>>763 参照
871 ：nanasi ：02/07/05 01:27: >>869
Privilege separation まわりでしょ。

このスレの 800 以降を読んでみて。
872 ：866 ：02/07/05 05:56: >>868
ありがとうございます。なるほど、1.2.3 とは驚きました。
>>845 で OpenSSH 側が Debian の対応を賞賛しているのに、
>>836 で Debian 側が no thanks と書いているのはそういう事情が
あったのですね。
873 ：868 ：02/07/05 06:33: Debian の ssh が古いのはリリースがもう2年近く前だから、という
事情もあるので勘弁してあげて下さい。
874 ：名無しさん＠お腹いっぱい。 ：02/07/05 14:01: http://www.jpcert.or.jp/at/2002/at020004.txt

JPCERTは、もっとも簡単な対応 "ChallengeResponseAuthentication no" を
対策として故意に載せていないのは陰謀の臭いがする。
875 ：815 ：02/07/05 16:55: CERT/CC（URLは>>815参照）にはきちんと書かれているようです。
なぜ書かれていないのかは私も不思議。
876 ：名無しさん＠お腹いっぱい。 ：02/07/06 02:44: まあ、いまだに Apache1.3.19 使ってるぐらいだからね（藁 < jpcert
877 ：名無しさん＠お腹いっぱい。 ：02/07/06 02:54: あれは honey pot ですっ（ぉ

…それはともかく、openssh.comのバージョンは1.3.24ですなー、たぶん例のパッチ
は当ててあるんだろうけど。
878 ：869 ：02/07/06 03:37: >>870
>>871

ｽﾏｿ
このスレは一様流して読んでからインストールに入ったのですが
気がつかなかったです。
今度から念入りに検索する事にします。
879 ：名無しさん＠お腹いっぱい。 ：02/07/06 03:44: 「一応」
880 ：名無しさん＠お腹いっぱい。 ：02/07/06 08:46: >>879
一応？
881 ：名無しさん＠カラアゲうまうま ：02/07/06 09:36: 878s/一様/一応/ってことだろ。
882 ：名無しさん＠お腹いっぱい。 ：02/07/09 12:36: scp と cron を利用して、リモートサーバのファイルの
バックアップを取りたいのですが、まず scp を使う際に
パスフレーズを訊かれないようにするには ssh-agent を
使えばいいということが分かりました。以下のページを
参考にしました。

http://www.zdnet.co.jp/help/tips/linux/l0403.html

しかし、このページの最後に

「ssh-agentに関する問題の1つは，cronジョブとの
関連性を持つことができない点だ。cronによって
定期的にsshを利用したrsyncを実現するといっ
た用途には，更なる作業が必要になる。」

とあるではありませんか。この「更なる作業」は説明
されておらず、ここで壁にぶつかりました。

どのようにすれば scp + cron のバックアップを
実現できるのでしょうか？
883 ：名無しさん＠お腹いっぱい。 ：02/07/09 12:40: >>882
.shosts
884 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:16: >>882
パスフレーズを空にすればいい。
885 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:17: 公開鍵認証にするとかじゃだめなんかな？
886 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:31: http://www.google.com/search?q=cron+ssh&ie=Shift_JIS&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=lang_ja
このへんでいくらでもおいしいネタがいただけます
887 ：名無しさん＠お腹いっぱい。 ：02/07/09 14:45: sshをインストールして起動しようとすると
Privilege separation user sshd does not exist
って出て起動しないけど、何がいかんのかわからんです。なぜ？
888 ：名無しさん＠お腹いっぱい。 ：02/07/09 14:47: >>887
このスレを "Privilege" で検索してみたまえ。
889 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:31: teratermからつなぎたいのでプロトコル１の鍵を作りたいんすけど、
ssh-keygen -t rsaってやっても
id_rsaって鍵が出来上がってどうもプロトコル２みたい。
identityの作り方おせーてください
890 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:34: >>889
$ man ssh-keygen
.
.
.
-t type
Specifies the type of the key to create. The possible values are
``rsa1'' for protocol version 1 and ``rsa'' or ``dsa'' for protocol
version 2.
891 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:35: -t rsa1
892 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:38: OpenSSH で、以前 contrib にあった /etc/passwd の home direcotry フィールドを
/chrootdir//homedir の形式にすると、指定したディレクトリに chroot() して
くれる patch ( chroot-patch ) というのがあったと思いますが、
OpenSSH 3.4p1 で動くバージョンを持っている or 作られた方はいらっしゃいますか？
893 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:42: >>892
このスレを "chroot" で検索してみたまえ。
894 ：889 ：02/07/09 17:19: 890、891
助かりました。thx!!
895 ：882 ：02/07/09 17:56: >>884
が言うとおり、とりあえず一番簡単そうなパスフレーズを
空にしてみました。

scp username@remotehost:backupfile local_storage

上記のようなコマンドを打つとパスフレーズも要求されず
うまくいくのですが、そのコマンドをcrontabに登録しても、
何にも起こりません。
あとは何が抜けているのでしょうか。
896 ：名無しさん＠お腹いっぱい。 ：02/07/10 00:41: >895
貴方の間が抜けています
早く探さないと手遅れになりますよ？
897 ：名無しさん＠お腹いっぱい。 ：02/07/10 00:42: >>895
そのコマンドが
どのアカウントでどのディレクトリで実行されるか
把握できてる?
898 ：名無しさん＠お腹いっぱい。 ：02/07/10 04:00: >>843
> モデムで圧縮すればいいやん。
暗号化後じゃV.42bis効かんと思うが。
899 ：名無しさん＠お腹いっぱい。 ：02/07/10 07:42: 確かに。
900 ：882 ：02/07/10 08:13: >>897
うっ、把握できてない。
ここらはもうcronの話？　アカウントは"crontab -e"を
設定したユーザーのアカウントで実行されるんだと思ってたけど、
間違ってる？
ディレクトリは意識したこともなかったです。
901 ：882 ：02/07/10 08:22: いやー分かったよ、ディレクトリのこと。
スレ違いなcronの話になってしまうけど、
HOME=~username
という環境変数をcrontabに設定したら、
幸せになれました。こうしないと、各ユーザの
~/.ssh/ の中身が読みにいけないってこと
だったのかな。

とにかく感謝です。
902 ：名無しさん＠ＸＥｍａｃｓ ：02/07/10 13:13: あと、パスフレーズなしの鍵で運用するときは、authorized_keys で
特定のコマンドしか実行できないよう制限しておくのが吉。
903 ：882 ：02/07/10 14:54: >>902
これは初耳。そんなことができるのですか？
具体的にはどうやって特定のコマンドとauthorized_keysを
関連付けるのでしょうか？

~remote_user/.ssh/authorized_keys は、元は
~local_user/.ssh/id_dsa.pub のことですよね？
904 ：名無しさん＠お腹いっぱい。 ：02/07/10 14:57: >>903 man sshd
905 ：882 ：02/07/10 16:07: >>903
ちゃんとマニュアルは読まないとダメだね。勉強に
なりました。
でも、authorized_keysで制限できるのは、
$ ssh -l remote_user remote_host command
と打つときのコマンドや、sshログインしてからの
コマンドだよね。

ローカルからのscpのみに制限したい場合はできない
んじゃないの？ (実際にcommand="scp ～"を指定
してみたけどうまくいかなかった。設定の仕方が
悪いだけ？)
906 ：名無しさん＠お腹いっぱい。 ：02/07/10 17:08: >>903
> ~remote_user/.ssh/authorized_keys は、元は
> ~local_user/.ssh/id_dsa.pub のことですよね？

Yes. 正確には
　~local_user/.ssh/id_dsa.pub∈~remote_user/.ssh/authorized_keys
かな。authorized_keysは"keys"と複数形になっている通り、公開鍵「集」なわけよ。

で、ここに記述された公開鍵に対応する秘密鍵を持っている人が正規ユーザ
としてログインできるというわけなのだ。

# 解決済だろうけど、一応。
# # ゆえにsage
907 ：名無しさん＠お腹いっぱい。 ：02/07/10 17:24: >>905
引数渡せない(渡されたコマンドの代わりにオプションで指定したもの使う)。
ssh+tarにすれば?
908 ：名無しさん＠ＸＥｍａｃｓ ：02/07/11 13:10: >>905
> ローカルからのscpのみに制限したい場合はできない
> んじゃないの？

うんにゃ。

> (実際にcommand="scp ～"を指定
> してみたけどうまくいかなかった。

前に書いてた

> scp username@remotehost:backupfile local_storage

ってのを -v オプション付きで実行してみ。scp したときにどんな処
理が裏で行われているか分かるから。

で、その通りに authorized_keys の command= option に書いてやりゃ
動く。

♯ただし、-v オプションは不要

> 設定の仕方が
> 悪いだけ？)

だと思う。

あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
の options 記述位置が全然違うけど、そこんとこは OK ？

ま、でも、

>>907
> ssh+tarにすれば?

がたぶん正解。
909 ：yamasa ：02/07/12 02:36: せっかくなので、QandAを書いてみますた。
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
ツッコミお願いします。
910 ：名無しさん＠お腹いっぱい。 ：02/07/12 10:46: >>909
PATHに頼るのは嫌いでふ。
911 ：名無しさん＠お腹いっぱい。 ：02/07/12 10:49: >>910
なら、ssh-add すれ。

つーか、なんで嫌いなんだろ。
912 ：名無しさん＠お腹いっぱい。 ：02/07/12 11:00: >>911
command="tar ..."の事でふ。
913 ：名無しさん＠ＸＥｍａｃｓ ：02/07/12 11:03: >>909
> せっかくなので、QandAを書いてみますた。
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
> ツッコミお願いします。

よく書けてると思うっす。

気になったところはこんくらい：

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468

> また、bash や zsh など sh 系のシェルを使っている場合は
> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。

デフォルトが sh 系コマンド生成なので -s は明示する必要なし

> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
> % ssh-add ~/.ssh/identity

個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
add してくれるし)？

> /etc/pam.conf の xdm 部分の設定例は次のようになります。
> xdm auth required pam_unix.so
> xdm auth optional pam_ssh.so use_first_pass

おいらは

auth sufficient /lib/security/pam_ssh.so

でやってるけど、この辺は考え方の違いなんでしょうね。

で、これ以外に

・keychain 型の ssh-agent を永続させる危うさについて (いい加減
くどい、て B-)
・(たしか) 3.3 から ssh-add -x/-X で agent 上の鍵の lock/unlock
　が、ssh-add -t life で鍵の保持期限が設定できるようになった

なんて話は触れときたいかも。

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255

> % cat ~/.ssh/backup.pub
> command="tar czf - hoge",no-pty,no-port-forwarding 1024 35 1472731(以下略)

あれあれ、SSH1 鍵でも command= を先頭に書くのでいいんだっけ？と
思って man page 読み返してみたら、それでよかったんですね。って
ことは、>>908 で

> あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
> の options 記述位置が全然違うけど、そこんとこは OK ？

と書いたのはまったくの嘘だったわけだ。ssh.com 版のと錯誤したよ
うでまことに申し訳ないっす。
914 ：yamasa ：02/07/13 02:26: >>910
確かに
command="tar czf - hoge" ...
よりは
command="/usr/bin/tar czf - hoge" ...
のほうがいいですね。あとで変えときます。

>>913
>> また、bash や zsh など sh 系のシェルを使っている場合は
>> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。
>
> デフォルトが sh 系コマンド生成なので -s は明示する必要なし

違うっす。-cも-sも指定しなかったときは、環境変数SHELLの値を見て
出力を決めてます。
ただ、自動判別に頼るのはトラブルのもとかなと思ったので
QandAでは明示的な指定方法だけを書くことにしました。

>> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
>> % ssh-add ~/.ssh/identity
>
> 個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
> 鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
> がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
> add してくれるし)？

これは俺もかなり悩みました。
確かに秘密鍵のファイル名を明示的に指定しなきゃならんのは
OpenSSH2.9でSSH2を使ってるときぐらいだから、
% ssh-add ~/.ssh/id_dsa
ってのを例にだしておけば十分なんですよね。

でも、FreBSD 4.6-RELEASEまで(おそらく4.6.1-RELEASEも)の
デフォルトではSSH1て繋ぎにいくし、多少冗長でも
確実に動作する例をQandAには書くべきだと思うから
~/.ssh/identity を指定しておきました。
デフォルト値のような詳しい内容についてはmanを読めってことで
いいんじゃないですかね。
915 ：yamasa ：02/07/13 02:27: >> /etc/pam.conf の xdm 部分の設定例は次のようになります。
>> xdm auth required pam_unix.so
>> xdm auth optional pam_ssh.so use_first_pass
>
> おいらは
>
> auth sufficient /lib/security/pam_ssh.so
>
> でやってるけど、この辺は考え方の違いなんでしょうね。

これについては↓を読んでちょ。
http://pc.2ch.net/test/read.cgi/unix/1014385300/330-352n

auth sufficient pam_ssh.so
だと SSH passphrase を空にしている輩なんかがいた場合に
大変なことになるんで、できるだけ安全側に倒した例を
挙げておきました。
まあ、わかっている奴がちゃんと影響を理解したうえで
pam.confをいじるのなら問題無いんで、QandAの例が
唯一の方法だと思われないように注意したつもりです。

あと、ssh-add -x とかのネタも取りあげたかったんだけど、
さすがに超長文になってしまうんで(もうなってるか)泣く泣く
割愛しました。
916 ：名無しさん＠お腹いっぱい。 ：02/07/13 14:18: 自宅の俺様専用鯖(PPPoE、非常時接続)にログインするとき、known_hostに入ってないので確認メッセージが鬱陶しいです。
また、ここでyesと答えてしまうと後々他人のものになるIPアドレスで登録されてしまうので気持ち悪い。
現在は、テンポラリのknown_hostsを生成し接続、切断後に削除というスクリプトを書いて使っていますが、なんかかっちょ悪い。

もっとスマートな方法はないでしょうか?
バージョンはOpenSSH_3.4p1。非固定IPでドメインも取っていません。
917 ：yamasa ：02/07/13 14:57: >>916
~/.ssh/config に
---
Host homepc
HostName 192.168.0.10
HostKeyAlias homepc
UserKnownHostsFile ~/.ssh/known_hosts.homepc
---
とでも書いておいて、
192.168.0.10 の部分を適当に書き換えるスクリプトを作ればよろし。
918 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:11: >>916
どうせ他人のアドレスになっても
そいつにログインすることはないから、
気にしないってのはどうよ。
known_hosts が膨れ上がるのが気になるなら
なんとかして known_hosts を別ファイルにわけて
ときどき rm する、とか。
919 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:26: >916
ダイナミックDNSを利用して同じホスト名でアクセスできるようにすれば委員でない？
920 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:31: >>917
なるほど… 書き換えるのは面倒なので-oで渡せるかな?
試して見ます(すぐには出来ないので報告は後日)。

>>918
やっぱ気持ち悪いし。アドレス間違えて他人鯖にログインしようとしたこと何回かあるし… (w
間の悪いことに鯖設定変えた後だったので、失敗したかと迂闊にもパスワード送っちまった。
921 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:33: >>919
俺様専用鯖なので他人からのアクセスの可能性は出来るだけ回避しようと…
922 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:49: >921
欲張りすぎ
利便性と安全性は相反するもの
923 ：916 ：02/07/13 16:25: >>922
やだ。安全性を犠牲にするなら不便なほうがいい。
犠牲にしない範囲で便利は欲しい。(w
924 ：名無しさん＠お腹いっぱい。 ：02/07/13 16:43: >>923
ネットに繋がず持ち歩く、でファイナルアンサー
925 ：916 ：02/07/13 16:57: >>924
必要なのは俺様専用鯖に繋がっているBフレという資源なわけで、これのために
外からアクセスしてる。
残念な事に光ファイバというのは持ち歩く訳にはいかにゃーだ。

つーか、>>917で成功すれば俺的にはFAなんだが… (w
926 ：名無しさん＠お腹いっぱい。 ：02/07/13 17:02: 資源を持ち歩くんだよ
927 ：sage ：02/07/13 17:20: だから必要な資源はインターネットにアクセスするBフレなんだってば。
928 ：名無しさん＠お腹いっぱい。 ：02/07/13 17:24: 延長しまくれ
929 ：916 ：02/07/13 17:24: 外に出たときはssh(22)しか自由にならないの。だから俺様専用鯖までトンネル掘るの。
930 ：名無しさん＠お腹いっぱい。 ：02/07/13 18:19: >>916

　　　　　　　　　　厨　　房　　必　　死　　だ　　な
931 ：916 ：02/07/13 18:28: 夏の虫がたかって来たようなので、ここらで退散します。
ご報告は後日。
932 ：名無しさん＠お腹いっぱい。 ：02/07/13 18:31: 　　　　　　　　　　二　　度　　と　　来　　る　　な
933 ：名無しさん＠お腹いっぱい。 ：02/07/13 18:32: 固定IPくれえるプロバイダに乗り換えろや
934 ：名無しさん＠ＸＥｍａｃｓ ：02/07/13 18:33: >>914
> > デフォルトが sh 系コマンド生成なので -s は明示する必要なし
> 違うっす。-cも-sも指定しなかったときは、環境変数SHELLの値を見て
> 出力を決めてます。

うひゃ、ほんとだ。c_flag が 1 かどうかで csh と sh の構文を変
化させてるとこしか確認しなかったんで sh 系がデフォルトだとお
もてたけど、その前に SHELL の終わり三文字を見て c_flag を設定
してたのね。

逝った。

> ただ、自動判別に頼るのはトラブルのもとかなと思ったので
> QandAでは明示的な指定方法だけを書くことにしました。

うん、納得。

> でも、FreBSD 4.6-RELEASEまで(おそらく4.6.1-RELEASEも)の
> デフォルトではSSH1て繋ぎにいくし、

そうなんすか…。

みんな、CORE-SDI の例のやつはどう評価してるんだろうなぁ。ちゃん
と理解した上でやってるならいいんだけど。

> デフォルト値のような詳しい内容についてはmanを読めってことで
> いいんじゃないですかね。

はい、これも納得。
935 ：名無しさん＠ＸＥｍａｃｓ ：02/07/13 18:46: >>920
> >>917
> なるほど… 書き換えるのは面倒なので-oで渡せるかな?
> 試して見ます(すぐには出来ないので報告は後日)。

うん、できるはずなんで試してみ。

しかし、そっか、HostKeyAlias なんてのが config keyword にあった
んだ。そんじゃ >>828 に書いた方法でもこれを使ってやれば knownhosts
ファイル変える必要もないんじゃないか。

しかも、ssh_config の man page には

> HostKeyAlias
> Specifies an alias that should be used instead of the real host
> name when looking up or saving the host key in the host key
> database files. This option is useful for tunneling ssh connec-
> tions or for multiple servers running on a single host.

とかきっちり書いてあるし。
936 ：yamasa ：02/07/14 01:11: >>920
その自宅サーバのIPアドレスの範囲の見当がついているのなら、
---
Host 192.168.*
HostKeyAlias homepc
UserKnownHostsFile ~/.ssh/known_hosts.homepc
---
とでもしておけば ~/.ssh/config を書き換える必要はない。
-o オプションを使うぐらいなら、こっちにしとけば?
937 ：916 ：02/07/15 10:35: 試してみました。
HostKeyAlias mypc
としてknown_hosts2にホスト名をmypcとしたサーバ鍵を追加するだけでおっけでした。
Host 192.168.*はHostKeyAliasに影響しないようです。
938 ：916 ：02/07/15 11:18: 追記
HostKeyAliasだけでいけるのは-oで指定したときだけでした。
結局、割り当てられるのは/16なアドレス範囲二つのうちどちらかなので、次のようなconfigにしました。

Host xxx.xxx.*
HostKeyAlias mypc
StrictHostKeyChecking yes

Host yyy.yyy.*
HostKeyAlias mypc
StrictHostKeyChecking yes
939 ：名無しさん＠ＸＥｍａｃｓ ：02/07/15 16:00: >>935
> しかし、そっか、HostKeyAlias なんてのが config keyword にあった
> んだ。

しかも bug ってるし (HostKeyAlias で大文字を使うと known_hosts
とのマッチが取れず何回アクセスしても新しい鍵だと逝って来る)。

とりあえず patch は openssh@openssh.com に送ったけど、あんま使
われてない機能なんだろうなぁ。
940 ：名無しさん＠お腹いっぱい。 ：02/07/15 19:00: IETFのsecsh WG逝った人～
941 ：名無しさん＠お腹いっぱい。 ：02/07/18 14:41: sftpを止めて、proftpdに戻したいんだけどどしたらいい？
/etc/ssh/sshd_configの
#Subsystem sftp /usr/libexec/openssh/sftp-server
この行潰したりしてみたんだけど状況変らず・・・
942 ：名無しさん＠お腹いっぱい。 ：02/07/18 15:59: >>941
sftp と proftpd が提供する FTP とは無関係だぞ
943 ：名無しさん＠お腹いっぱい。 ：02/07/18 17:24: 問題
sftpにdがついてないのは何故でしょう？
944 ：名無しさん＠お腹いっぱい。 ：02/07/18 17:30: （　ﾟдﾟ）ﾎﾟｶｰﾝ
945 ：名無しさん＠お腹いっぱい。 ：02/07/18 18:34: >>943
めんどくさかったから。
946 ：名無しさん＠お腹いっぱい。 ：02/07/18 18:37: >>943
かわりにsがついてるから
947 ：名無しさん＠お腹いっぱい。 ：02/07/18 19:28: >>941
設定ファイル編集後に
　　　# kill -HUP （sshdのプロセスID）
してないからでは？
948 ：名無しさん＠お腹いっぱい。 ：02/07/18 19:50: それ以前の問題だろ
949 ：名無しさん＠お腹いっぱい。 ：02/07/19 10:40: >>943
sftp-serverならありますが。
>>947
（　ﾟдﾟ）ﾎﾟｶｰﾝ
950 ：名無しさん＠お腹いっぱい。 ：02/07/19 15:15: 次スレどうします？
建てるのは>>980にお任せするとして。
テンプレ作りとかした方がいいですかね。
951 ：名無しさん＠お腹いっぱい。 ：02/07/19 15:54: じゃあスレタイは「ssh2」で。
952 ：名無しさん＠お腹いっぱい。 ：02/07/19 16:54: 個人的には
「ssh protocol ver.2」
の方が好みだな。
953 ：名無しさん＠お腹いっぱい。 ：02/07/19 16:57: 混乱するから「ssh その2」でいい。
954 ：名無しさん＠お腹いっぱい。 ：02/07/19 17:28: 大文字か小文字か、も問題にならへんか？
955 ：名無しさん＠お腹いっぱい。 ：02/07/19 22:35: WinでGUIなフリーのsftp実装キボンヌ

とか言ってみるテスト
956 ：名無しさん＠お腹いっぱい。 ：02/07/20 00:55: >>955
氏ね。
957 ：名無しさん＠カラアゲうまうま ：02/07/20 12:49: >>955
実装しなさい。自分で。
958 ：名無しさん＠お腹いっぱい。 ：02/07/20 15:23: 漏れは cygwin の openssh 使うからいいんだけど、他の人に ssh 使ってもらおうとすると
CUI かボッタクリなやつしかない状況だからなぁ・・・
WinSCP という手もあるがイマイチだし
959 ：名無しさん＠カラアゲうまうま ：02/07/20 17:02: 欲しい香具師が実装するしかないだろ。そんなもん。
cygwinならtcl/tkでやってみれば。
960 ：名無しさん＠お腹いっぱい。 ：02/07/21 15:27: Privilege separation が有効になるようにして、
Solaris 2.6 のホストに入れてみたんだけれど、ssh2 でつなごうとすると

no matching comp found: client zlib server none

って接続を切られてしまう。~/.ssh/config で Compression を yes にしても
no にしても同じだし。

ssh1 だとつながるんだけれどなぁ…。もしかして、README.privsep に
書いてあった

Privsep はファイルディスクリプタの転送を必要とする.
mmap MAP_ANON が働かないシステムでは、圧縮が無効になる.

が原因なのかな。
961 ：960 ：02/07/22 22:35: う～ん、Solaris 2.6 以外にも FreeBSD 3-STABLE も同じだった。
962 ：名無しさん＠お腹いっぱい。 ：02/07/23 18:05: >>960
こないだ手元でも同じ問題が出た。
autoconfだかautomake を新しくして解決した記憶がある。
963 ：名無しさん＠ｘｙｚｚｙ ：02/07/27 21:06: sshとは直接関係しない質問なのですが、
携帯端末などからsshで繋いだ時に、電波状況が悪くなったりして、
回線が強制切断されてしまう事があります。
接続し直してみると新規ログインになってしまうのですが、
これを切断前と同じセッションに接続する事は可能なのでしょうか？
964 ：名無しさん＠お腹いっぱい。 ：02/07/27 21:22: >>963
できたらマズいでしょ。
965 ：名無しさん＠お腹いっぱい。 ：02/07/27 21:22: screen 使うって手はあるか。
966 ：名無しさん＠お腹いっぱい。 ：02/07/27 23:00: 　　　　　　　　　☆ ﾁﾝ　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ～
　　　　　　　　　　　　　　　　　　　　　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ～
　　　　　 ☆　ﾁﾝ　　〃　 Λ＿Λ　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　ヽ　＿＿_＼（＼・∀・）　＜　　新スレまだ～？
　　　　　　　＼＿／⊂　⊂＿ )　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　　　／￣￣￣￣￣￣／|
　　　　　　　　|￣￣￣￣￣￣￣|　 |
　　　　　　　　|　.てるねっと　　 |／
967 ：963 ：02/07/28 00:39: >>965 なるほど,screenですか. thx!
968 ：名無しさん＠お腹いっぱい。 ：02/07/28 01:02: >>966
990ぐらい逝ってからでいいんでないの？
969 ：名無しさん＠お腹いっぱい。 ：02/07/28 01:30: ssh-agentを使ってあまり意識せずにsshを使いたいと思うわけで、
Xの場合はssh-agent startxとか
ターミナルの場合はssh-agent screenとかして
ssh-addして快適なんですが、
最近Mac OS Xを使いはじめて、こまっていることがあります。
OS XのemacsはGUI使うやつは現在コマンドラインから
たちあげらんないので、上のような手段が使えないんです。
こういう場合に他のssh-agentと通信させる手段はないでしょうか?
せめてssh-askpassがたちあがってくれればうれしいんですけどねえ。
970 ：名無しさん＠ＸＥｍａｃｓ ：02/07/28 12:55: >>969
> OS XのemacsはGUI使うやつは現在コマンドラインから
> たちあげらんないので、上のような手段が使えないんです。

Mac OS X は使ったことがないのでよく分からんが、

SSH Agent Services for Mac OS X
SSH Ask Password for Mac OS X
http://www-inst.eecs.berkeley.edu/~kevinvv/

SSH Agent
http://www.phil.uu.nl/~xges/ssh/

辺りではなんとかならない？

で、要は環境変数 SSH_AUTH_SOCK に ssh-agent が listen してい
る UNIX domain socket 名が書かれていればいいだけの話なんで、
他で ssh-agent が動かしてあるなら、emacs のなかで

(setenv "SSH_AUTH_SOCK" "/path/to/UNIX-domain-socket")

なんて S 式を eva ってやりゃいい筈。

デフォルトでは UNIX domain socket 名は乱数文字列になっちゃうん
で agent を立ち上げ直すたびに毎回名前を変えてやらなきゃならなく
なるけど、

>>694 で新山さんが書いてる方法や、OpenSSH3.3 以降なら ssh-agent
に与える -b オプションを使うことで、常に特定の名前にしてやる
ことも可。

別解としては、(Mac OS X のじゃない) keychain を使うって手もある
んだろうけど、お奨めできない。
971 ：名無しさん＠お腹いっぱい。 ：02/07/29 10:43: とってもadhocだが

setenv SSH_AUTH_SOCK=`find /tmp -name 'agent.*' -type s -user $user`

でいいだろ。適当にaliasしやがってください。
972 ：名無しさん＠ＸＥｍａｃｓ ：02/07/29 12:26: > setenv SSH_AUTH_SOCK=`find /tmp -name 'agent.*' -type s -user $user`

$ find /tmp -name 'agent.*' -type s -user $user
find: missing argument to `-user'
$ find /tmp -name 'agent.*' -type s -user $USER
/tmp/ssh-eOcUZ875/agent.875
/tmp/ssh-QjJi9456/agent.9456
/tmp/ssh-tLf14369/agent.14369
/tmp/ssh-deV19511/agent.19511
/tmp/ssh-aRI17056/agent.17056
/tmp/ssh-PrVY4645/agent.4645
/tmp/ssh-Ygp20066/agent.20066
/tmp/ssh-eZXd4029/agent.4029
/tmp/ssh-LQSb7735/agent.7735
/tmp/ssh-PgV19337/agent.19337
/tmp/ssh-YQC16434/agent.16434
$ ps acx | egrep ssh-agent
19338 ? S 0:00 ssh-agent
$

ですが何か？
973 ：名無しさん＠お腹いっぱい。 ：02/07/29 21:48: >972
下らない揚げ足取り＆ちゃんと終了させていない自慢ですか( ´_ゝ`)
974 ：972ではないが… ：02/07/30 02:19: 単に、不意に残ってしまった場合のエラー処理も入れといた方がいいという意味
だろ。

そうカッカするなYO
975 ：972 だが… ：02/07/30 16:05: >>974
> 単に、不意に残ってしまった場合のエラー処理も入れといた方がいいという意味
> だろ。

$ cat set_agent_socket
for as in `find /tmp -name 'agent.*' -type s -user $USER`; do
if SSH_AUTH_SOCK=$as ssh-add -l; then
SSH_AUTH_SOCK=$as
export SSH_AUTH_SOCK
break
fi
done > /dev/null 2>&1
$ unset SSH_AUTH_SOCK
$ ssh-add -l
Could not open a connection to your authentication agent.
$ . set_agent_socket
$ ssh-add -l
1024 c2:c7:13:37:07:eb:a6:03:e3:3a:9a:26:c5:f5:b4:92 *************** (RSA1)
2048 89:23:bb:cc:38:b2:99:a7:d2:c7:81:da:56:9a:4a:d3 ********************** (RSA)
1024 10:d2:ce:c0:89:1f:37:bc:b5:2e:f5:95:ee:d4:98:64 ********************** (DSA)
$

うん、結構便利かもしんない。しかし、

>>969
> 最近Mac OS Xを使いはじめて、こまっていることがあります。
> OS XのemacsはGUI使うやつは現在コマンドラインから
> たちあげらんないので、上のような手段が使えないんです。

だもんで元の質問者の役には立たないという罠。

♯ま、似たようなこと elisp で書くのも簡単だけど、ね。
976 ：名無しさん＠ＸＥｍａｃｓ ：02/07/31 17:16: > ♯ま、似たようなこと elisp で書くのも簡単だけど、ね。

(defun set-agent-socket ()
(interactive)
(save-window-excursion
(set-buffer (get-buffer-create " *sas temp*"))
(erase-buffer)
(call-process "find" nil '(t nil) nil
"/tmp" "-name" "agent.*"
"-type" "s"
"-user" (user-login-name))
(goto-char (point-min))
(while (and (not (eobp))
(not (zerop (call-process "ssh-add" nil nil nil
"-l"))))
(setenv "SSH_AUTH_SOCK"
(buffer-substring (point)
(progn (end-of-line) (point))))
(forward-line 1))))

ってとこか。

>>969 氏がどんなことをやりたかったのかは分からぬが、こいつを
eva って M-x set-agent-socket してやると既存の ssh-agent と通信
して tramp が使えることくらいは確認しといた。

これもそこそこ便利かもしれん。
977 ：名無しさん＠お腹いっぱい。 ：02/08/01 01:43: opensslの穴ってOpenSSHに関係あるの？
978 ：名無しさん＠お腹いっぱい。 ：02/08/01 01:46: >>977
あるよ。大アリ。

そろそろ次スレ用意しませぬか？
980越えるとdat落ちが心配だし。
979 ：名無しさん＠お腹いっぱい。 ：02/08/01 02:05: 　　　　　　　　　　　　 /　ヽ　　　　　 /　ヽ
　　　　　　　　　　　　　　 /　　　ヽ＿＿＿/　　　ヽ　　ｲﾗｲﾗｲﾗｲﾗ
　　　　　　　　　　　　／　ノ（　　　　l＿＿＿l　　　＼
　　　　　　　　　　　 |　　⌒ 　 ● 　|　　　 |　　●　 |　　／￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　へ　　　 |　　へ　　　ヽ　 /　　　　　|　＜　次スレまだ～？
　　　　　　　＼＼　　＼　＼＼　　　　ヽ/　　　　／　　＼＿＿＿＿＿＿＿＿＿＿＿＿
ﾁﾝ　　　　　　　＼＼　　.＞　＼＼　　　　　　　　　　ヽ
　　　ﾁﾝ　　　　　　＼＼/　　　　＼＼　　＿　　　　　　 |
　　　　　　＼￣￣￣￣￣￣￣／　 /￣　　ヽ　　　　/　　＿
　　　　　　　＼回回回回回／￣￣ヽ　　　　　　　　/￣￣／|
　　　　　　　　　＼＿＿＿／　　　　　ヽ＿＿＿＿／　　／　 |
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　／　　　|
　　　　　　　　　　　　　　　　　　　　　　　　　　　　／　　　　 |
980 ：名無しさん＠お腹いっぱい。 ：02/08/01 08:59: SSH その2
http://pc.2ch.net/test/read.cgi/unix/1028157825/
981 ：名無しさん＠お腹いっぱい。 ：02/08/01 18:32: ごめんな～
982 ：名無しさん＠お腹いっぱい。 ：02/08/02 10:33: >>979
ﾜﾛﾀ
983 ：名無しさん＠お腹いっぱい。 ：02/08/02 14:53: >>979
今出ました～。
984 ：名無しさん＠お腹いっぱい。 ：02/08/02 22:37: 　　　　　まもなくここは　乂1000取り合戦場乂　となります。

　　　＼∧＿ﾍ　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣
　,,､,､,,,　/ ＼〇ノゝ∩ ＜　1000取り合戦、いくぞｺﾞﾙｧ！！　　　　　　　,,､,､,,,
　　　　/三√ ﾟДﾟ)　/　　＼＿＿＿＿＿＿＿＿＿＿＿＿　　,,､,､,,,
　　　　/三/| ﾟＵﾟ|＼　　　　　　,,､,､,,,　　　　　　　　　　　　　　　　　　　　　　　,,､,､,,,
　,,､,､,,,　Ｕ（:::::::::::）　　,,､,､,,,　　　　　　　　　＼オーーーーーーーッ！！／
　　　　//三/|三|＼　　　　　∧＿∧∧＿∧ ∧＿∧∧＿∧∧＿∧∧＿∧
　　　　　　∪　 ∪　　　　　　（　　　　）　　　（　　　　）　　　（　　　　）　　　）
　,,､,､,,,　　　　　　　,,､,､,,,　　∧＿∧∧＿∧∧＿∧ ∧＿∧∧＿∧∧＿∧∧＿∧
　　　　　　,,､,､,,,　　　　　　（　　　　）　　　（　　　　）　　　（　　　　）　　　
985 ：名無しさん＠お腹いっぱい。 ：02/08/02 23:39: 1K
986 ：名無しさん＠お腹いっぱい。 ：02/08/03 00:11: 保全

dat落ちする前に保存しとこうか？
987 ：次スレ案内 ：02/08/03 11:12: SSH その2
http://pc.2ch.net/test/read.cgi/unix/1028157825/
988 ：名無しさん＠お腹いっぱい。 ：02/08/04 13:13: ごめんな～
989 ：さげ：2006/09/11(月) 17:50 ID:???: 豪憲軍
990 ：名無しさん＠お腹いっぱい。 ：2006/09/11(月) 17:52 ID:???: 牛でないかい
991 ：名無しさん＠お腹いっぱい。 ：2006/09/11(月) 17:55 ID:p3lll1po: アーイェー
992 ：名無しさん＠お腹いっぱい。 ：2006/09/11(月) 17:57 ID:???: みんなであそぼうどうぶつかぞくーー♪
993 ：つーぺーぽー ：2006/09/11(月) 18:00 ID:???: 保存だろ！！
994 ：名無しさん＠お腹いっぱい。 ：2006/09/11(月) 18:04 ID:???: >>989,->>992

ｷﾁｵ
995 ：名無しさん＠お腹いっぱい。 ：2006/09/11(月) 18:06 ID:???: だべさ
996 ：浪江亮太 ：2006/09/11(月) 18:09 ID:???: ボクは風呂に入んないからフケ・ノミだらけだけど、仲良くしてね♪
997 ：名無しさん＠お腹いっぱい。 ：2006/09/11(月) 18:11 ID:???: >>996
ヲタ上がりのヒキニート＆マルチ死ね！
998 ：喪ゲ& ◆ZuJJWwfY ：2006/09/11(月) 18:14 ID:p3lll1po: 何故か知らぬが旅路は爆発。。。

　　　　　　　　　　　　　　　　　　　　　　　　　　　でごんでごん
999 ：名無しさん＠お腹いっぱい。 ：2006/09/11(月) 18:16 ID:???: うざっ!!
1000 ：停止しますた。。。 ：2006/09/11(月) 18:17 ID:???: 【ロールパンナを押し倒して犯したい＝精液をぶちまけて噛ましたい、孕ましたい】

　　　　　　　　　　　　　　　　　Y⌒'''⌒'ー、人人
　　　　　　　　　　　　　　＼　γ;;;;;ノ..;;;）　　　ヽ　　　て
　　　　　　　　　　　　　　　 ,,,γ;;;;,,…　::::::::::*::　ヽ
　　　　　　　　　　　　　　（;;;人＿（＼!（(^i_::*::: }
　　　　　　　　　　　　　　　|　/*-''￣　￣''- i　リ
　　　　　　　　　　　　　　　|　ソr《・》,,、ir《・》、| | 　　ウ゛オ゛ーー！！ロールパンナー！！！
　　　　　　　　　　　　　　　リ i ;;;;　　 |　　::::　 | |
　　　　　　　　　　　　　　　 } <ヘ　　ノ　:::　　/;; >i
　　　　　　　　　　　　　　　 | |:::l　*`;ー;;`ヽ:l:::| |
　　　　　　　　　　　　　　　ノヽ:::;;;;; ll==ュヽ/ リノ
　　　　　　　　＿＿,,,,＿.ｒ.彡ノ　ソ;::　|'Y',|:::／|　| 　　
　　　　　　／　　　　　　　　　{彡|;;;;;＼／ | （` , 　　　　
　　　　　/　　　＿＿,,,,＿-　　　　　　／ﾊ（iヽ
　　　　./ 　　／　,／　　:{彡　　　　　/。　。彡
　　　／　.／　.／　　　　　　　　　　人　ヮ; 人.
　////⊃; `／　　　　　　　　　;*／　 jr,''⌒ヽ　　　　　ア゛ァ゛ァ゛ー゛ー゛ー゛ー゛ー゛ー゛ー゛！！！！！！
////;`　.／　　　　　　　　　　／ /７┐　　　`ヽ　　　　　　→(ロールパンナの悲鳴と喘ぎ声)
.Yt‐リ. ./ 　　　　　　　　 ,,イ=---‐''"ヽ、j　　　.i
　　　 / 　'　　　　　　'"　　　　=''"´　　}.ヽ、　　ヽ
　　 / 　　　　　　　　　　　／　　　　 /　ヽ、　ゝ
　　/　　　　　　　　　　　/　　　　　/t　　ヽ'ヲ'''t
　（　　　　　　　　　　／　　　　／ .リ　　　)　　ii
　　jヽ入　　　　　　‐/`ー:、 .／　　　　 ,　　i｝: 　i
　　{　　`''tー-‐'''''''./　.　／.`ヽ､　　●　　ノヾ　｀i,:
　　`　'ー- ゞ　　　/　　　(　　　　　ーー‐''" .　　! .　ヽ
　　　　　　　　　　{　　　　 `''t 　　　　　　　　　　`ー''"
　　　　　　　　　　`ー´ `''ー- ゞ

真・スレッドストッパー。。。（￣ー￣）ニヤリッ
1001 ：１００１ ：Over 1000 Thread: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

掲示板に戻る全部次100 最新50

read.cgi ver5.26+ (01/10/21-)