レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10

についての情報交換。

105 ：名無しさん＠お腹いっぱい。 ：2001/03/18(日) 22:00

>>104 このFAQかな？
http://www.openssh.com/faq.html#2.3

106 ：102 ：2001/03/18(日) 22:51

>>105
さんくす。もっと早く見ておくべきだった。

107 ：名無しさん＠お腹いっぱい。 ：2001/03/21(水) 17:41

OpenSSH 2.5.2p1 あげ
http://www.openssh.com/portable.html

108 ：名無しさん＠お腹いっぱい。 ：2001/03/23(金) 20:02

OpenSSH 2.5.2p2 でてます。

以下、ChangeLog より引用

20010322
- (djm) Better AIX no tty fix, spotted by Gert Doering <gert@greenie.muc.de>
- (djm) Released 2.5.2p2

20010321
- (djm) Fix ttyname breakage for AIX and Tru64. Patch from Steve
VanDevender <stevev@darkwing.uoregon.edu>
- (djm) Make sure pam_retval is initialised on call to pam_end. Patch
from Solar Designer <solar@openwall.com>
- (djm) Don't loop forever when changing password via PAM. Patch
from Solar Designer <solar@openwall.com>
- (djm) Generate config files before build
- (djm) Correctly handle SIA and AIX when no tty present. Spotted and
suggested fix from Mike Battersby <mib@unimelb.edu.au>

109 ：名無しさん＠お腹いっぱい。 ：2001/03/26(月) 13:42

OpenSSH 2.5.2p2 を tcpserver で動かすようにするためのパッチです。
http://storm.sst.com.br/openssh-2.5.2p2-daemontools.diff

110 ：名無しさん＠お腹いっぱい。 ：2001/03/28(水) 17:32

ttssh なんですが Windows 版で聞いても駄目そうなので質問させてください。

ウェブサーバは global IP を持っているが dbserver は private IP しか持っていない
という状況で

ssh webserver -L 15432:dbserver:5432

のようなことをしたいんですが、ttssh の forwarding 機能では設定可能な
項目が少なすぎて

ssh mailserver -L 10025:localhost:25

程度しかできないような気がするのですが ttssh でも可能でしょうか？

111 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 17:59

>110
ポート番号選択するところに数字入力するのはダメ？

112 ：うりゃ ：2001/03/29(木) 18:59

Teraterm.ini をいじるべし。
Autoexec.bat で、SET TERATERM_EXTENSIONS=1
と設定しているなら、[TTSSH]と言う項目が、あるはずだ。

113 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 19:11

>>111
それはもちろん試してますが、ようは localhost のポート番号と
接続先のポート番号しか指定できないわけで

local:xx foo:yy baz:zz
|---------| |----------|

のような指定が出来ないということなんですが...

114 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 21:20

>>113
cygwin 使った方が早いような気がするのはオレだけでしょうか?
PortForwarder とか言うツールもあるみたいよ。
http://portforwarder.nttsoft.net/JP/

もしttsshで出来るなら、オレにも教えてくれ。

# オレも試したが、挫折したクチです。まあ、ほんの数分間ちょっと
# 弄っただけだけど。

115 ：名無しさん＠お腹いっぱい。 ：2001/03/29(木) 23:30

>>110
Local 10025 to remort "foo.bar" port 25
とかいう設定は TTSSH で出来ますけど。
Foward Local port 10025
to remort machine port 25
って感じで。

116 ：???????????????B ：2001/03/30(金) 10:46

>>115
それはもちろんおーけーでしょう. 馬鹿でもできる.

>>114
もちろん cygwin の方が楽だし, 俺も cygwin で普段はやってる.
が, 客のマシンだから必要最低限で済ませたいんですよ.

PortForwarder も見つけたがダメっぽかった.

117 ：名無しさん＠ＸＥｍａｃｓ ：2001/03/30(金) 11:05

確か、非cygwin環境でも動く、sshあったような気がするなあ。
コマンドラインで動かす奴。

うーん、検索したが、どこにあるのかわからないな。スマソ。

118 ：名無しさん＠お腹いっぱい。 ：2001/03/30(金) 11:34

ttp://bmrc.berkeley.edu/people/chaffee/winntutil.html
ここは？

119 ：名無しさん＠お腹いっぱい。 ：2001/03/30(金) 13:35

>>116
DefaultForwarding=L15432:dbserver:5432
ttssh.exe /ssh webserver:22
でいいんじゃないの？

120 ：なまえをいれてください ：2001/04/10(火) 23:39

age

121 ：名無しさん＠お腹いっぱい。 ：2001/04/16(月) 22:22

openssh-2.5.2 → ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-2.5.2.tgz

122 ：名無しさん＠お腹いっぱい。 ：2001/04/17(火) 19:05

訳せる人いる､､､､､
ssh-keygen(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1
sshd(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8&apropos=0&manpath=OpenBSD+Current
ssh(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh&sektion=1&apropos=0&manpath=OpenBSD+Current
ssh-agent(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent&sektion=1&apropos=0&manpath=OpenBSD+Current
ssh-add(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add&sektion=1&apropos=0&manpath=OpenBSD+Current
sftp(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sftp&sektion=1
sftp-server(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sftp-server&sektion=8

各マニュアルの一番下の欄を見たら､「OpenBSD 2.9｣って書いてあるけど､もうすぐOpenBSD 2.9が公開されるのかな。
つい最近､2.8をインストールしたばかりなのに。

123 ：名無しさん＠お腹いっぱい。 ：2001/04/17(火) 19:37

SSH Secure Shell 3.0は､今年の６月頃にフィンランドSSH社から発売予定(Windows, UNIX, Linux, and Sun Solaris platforms)。

多分OpenSSH 3.*.*のリリースはそれ以降だな。

124 ：名無しさん＠お腹いっぱい。 ：2001/04/18(水) 01:12

>>123
major version が違うってことは、protocol 自体も
version が上がるってことでしょうか? SSH-2.0 ですら
それほどは普及していないというのに…。

125 ：日出ずる国の使者 ：2001/04/18(水) 04:57

>>123
SSH2なんて結構、普及し照てるじゃん。確かSSH2は、SSH1のプロトコルをサポートしてたよね。

126 ：日出ずる国の使者=>>125 ：2001/04/18(水) 04:58

ゴメン。>>124の間違え。

127 ：名無しさん＠お腹いっぱい。 ：2001/04/18(水) 05:26

>>122
次期 2.9 になる snapshot が公開されたよ。
５月１日頃になるみたいだね。
www.deadly.org

128 ：122 ：2001/04/18(水) 06:08

XFree86-4.0.3が、OpenBSD 2.9の中に組み込まれそうだね。
SSH3(openssh3.*.*)は、恐らくというより間違いなく2.9以降になりそうだけど。

129 ：名無しさん＠お腹いっぱい。 ：2001/04/21(土) 23:15

いま、Linuxにssh2を入れてます。でもこれだとssh1からは入れず。
そこで、ssh1をインストールしてssh1/ssh2共用にした方がいいのか、Opensshを入れて、ssh1,ssh2のどちらからでも入れるようにしたほうが良いのか、どっちがよいのでしょうか？

MacOS X10.0.1はOpenSSHが標準なんですよね〜
でもMacOS9ではNiftyTelnet+SSHでssh1しか使えないから
ssh2のLinuxに入れないので困ってるところです。
常用MacOS9から、わざわざOSX10.0.1に切り替えるのも面倒で。

＃自宅のCATV常時接続から会社にsshでつなげるのが目的
なんですが、peerかなんかに１時間もしないうちに接続
切られてしまいます。どうしてだろう？

130 ：名無しさん＠お腹いっぱい。 ：2001/04/22(日) 02:13

>>129
どっちでもいいんじゃないかな。いまssh2をなにかで使ってるなら、それを敢えて
つぶすこともないので、ssh1だけ入れればいいだろうし、ssh2もあまり使いでが
なければ、まあどちらでもって感じ。

131 ：名無しさん＠お腹いっぱい。 ：2001/04/22(日) 02:32

sshといえば、学校の計算機センターのsshがいつのまにかに
ssh-2.4.0にバージョンアップしていた。止めてくれ。Open
SSHとなぜかお話出来ない…。

132 ：名無しさん＠お腹いっぱい。 ：2001/04/22(日) 08:06

新年、明けましておめでとうございます。

133 ：129 ：2001/04/22(日) 09:55

130サン、コメントどうも。
そうか、ただ気になる記事があるのです。
BSD magazine 2000.Number06のp.78に、SSH1,SSH2,OPENSSH,LSHへと
変遷させた著者の経験談が載っていて、その時の問題点が
いろいろとでています。たとえば、相手ホストはSSH2を解釈
するはずなのに設定でSSH1しか見ないというトラブル、逆に
クライアントがSSH1を優先してしまっている状況で、
相手ホストがSSH2以外は受け付けない、SSH2とOPENSSHの
間で認証はできるが、サーバ／クライアントのデータ浩瀚で
整合性がとれない、など、「なかなか思った通りには
動いてくれない」と書いてありました。
SSH初心者の私には、ちょっと怖じ気付いてしまう記事です。

それならいっそ、SSH2関連ファイルを全部消して、改めて
OPENSSHを入れた方が問題が起きなくていいかなと思うんです。

134 ：129 ：2001/04/22(日) 10:01

>>131
私の場合、会社はLINUXでssh2.4.0を使っています。
自宅ではMacOS X10.0.1でOPEN SSH-2.3.0p1ですが、
双方で、sshで入れますよ。

135 ：ロッソ ：2001/04/22(日) 11:45

　〃　　　　>>134
（中」中）ノ　それ、ssh1 も入っているからじゃないですか？

136 ：129 ：2001/04/22(日) 11:59

>>135
LINUXにssh1は入ってないです。数日前にssh2.4.0をインストール
しました。ssh1のクライアントからは、そのLINUXには入れなかったです

137 ：CCルリたん。 ：2001/05/01(火) 16:46

Solaris2.6で、ssh-2.4.0のサーバをVer.1互換モードにして inetd から立ち
上げる設定にしたら、ssh-1.2.27/OpenSSH-1.2.3のクライアントとお話できな
くなりました。daemonで立ち上げた場合は問題ありません。inetdから立ち上
げる場合のみの不具合です。

原因は、sshd2は起動時にversionの出力をするのですが、daemonモードだと
stderrに出るので問題ないのですが、inetdだと、クライアントにversionの出
力を渡してしまうようです。それが不具合を起こすようです。

サーバとクライアントどちらで対応すべきか知らないのですが、サーバに次の
パッチをあてたら治るようです。私は英語書けないからだれか連絡してくれ(^^;;

*** ssh-2.4.0/apps/ssh/sshd2.c.ORG Mon Apr 30 03:24:50 2001
--- ssh-2.4.0/apps/ssh/sshd2.c Mon Apr 30 03:26:54 2001
***************
*** 1092,1098 ****
else
av0 = argv[0];

! ssh2_version(av0);

/* Initializations */
restart = FALSE;
--- 1092,1098 ----
else
av0 = argv[0];

! /*ssh2_version(av0);*/

/* Initializations */
restart = FALSE;
***************
*** 1299,1304 ****
--- 1299,1307 ----
}
}

+ if(!(data->config->inetd_mode))
+ ssh2_version(av0);
+
data->debug = data->config->verbose_mode;

/* load the host key */

138 ：名無しさん＠お腹いっぱい。 ：2001/05/02(水) 13:03

openssh-2.9.0

139 ：CHANGES ：2001/05/02(水) 13:34

・ SSH2 における Hostbased 認証をサポート。
・ Rekeying (両方の鍵を再生成) をサポート。

140 ：???????????????B ：2001/05/03(木) 20:50

sshを用いてNISを安全に行いたいのですが参考になるようなサイト等はありますか?

http://www.vacia.is.tohoku.ac.jp/~s-yamane/FAQ/ssh/ssh-faq-4.html#ss4.6

141 ：名無しさん＠お腹いっぱい。 ：2001/05/04(金) 01:42

>>140
どうしても SSH 使わないとダメ? secrpc 使うんじゃダメ?

142 ：名無しさん＠お腹いっぱい。 ：2001/05/06(日) 04:13

secrpcとは何でしょうか？
googleで検索してみたのですが日本語ページはひとつも引っかかりませんでした。
英語のページは今から読んでみます。

143 ：名無しさん＠お腹いっぱい。 ：2001/05/06(日) 09:05

securePC?ネタか…

144 ：141 ：2001/05/06(日) 09:42

>>143
Solaris8 な machie で man secure_rpc してみましょう。
Linux でも
http://www.cs.vu.nl/~gerco/SecureRPC/
とかある模様。

145 ：名無しさん＠お腹いっぱい。 ：2001/05/06(日) 10:28

ふと考えてみると、secure RPC って基本的には Solaris only
だよな…。

あと、NIS を捨て捨てして NIS+ にいっちゃうとかいうのも
思ったけど、これなんかさらに Solaris only だし。

最近、どうも頭の中が Solaris になってしまっているなぁ…。

146 ：dsniff ：2001/05/08(火) 00:21

>>1-145
安心するな。

64.4.43.7 ******.passport.com
64.4.43.7 ******.hotmail.com

147 ：名無しさん＠お腹いっぱい。 ：2001/05/08(火) 20:57

% ssh machine
でmachineに入って、
% exec &
バックグラウンドでジョブを動かし、exitしようとしても、
execが終了するまでプロンプトが出てきません。
こういう場合はどう対処すれば良いのでしょうか？

148 ：名無しさん＠お腹いっぱい。 ：2001/05/08(火) 22:02

ssh -f machine cmd (& はつけない)

149 ：名無しさん＠お腹いっぱい。 ：2001/05/08(火) 23:35

-f ではちょっと駄目なわけがありまして。
あるディレクトリ上でそのコマンドを実行しないといけないのです…

150 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 01:13

ssh 自体をバックグラウンドジョブにすれば良いんだよね。exit を
実行後 ~^Z で ssh をサスペンドして bg でどう？

151 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 01:42

>>149
ssh -f machine 'cd /dir; cmd' とか。
cd して cmd を実行する wrapper を作って、それを
ssh から実行するとか。

152 ：147 ：2001/05/09(水) 10:29

>>150
マニュアルを見たのですが良くわからなかったので・・・
~ っていうのは普通にチルダを入力しては駄目なんでしょうか？
^Z はCtrl + z ですよね?

>>151
なるほど、一度試してみます。

153 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 10:45

「~& (チルダのあとにアンパサンド)」で直接バックグラウンドになるよ。
ただし ~ は改行を入力した直後に押さないとだめ。

154 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 16:21

OpenSSH 2.5.1 から 2.9に変えたらログイン出来なくなった。。。
何故に？

155 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 16:59

2.9 からは、デフォルトのプロトコルが SSH2 だよ。
ssh -1 ではどう?

156 ：名無しさん＠お腹いっぱい。 ：2001/05/09(水) 17:49

んにゃ、鯖がOpenSSH2.9 でWinからログインできひん事なった。
2.5.2に戻したけどログインできん。
2.5.1に戻したらログインできるようになった・・・・。

157 ：名無しさん＠お腹いっぱい。 ：2001/05/11(金) 13:48

http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=973004747&st=115&to=117

158 ：名無しさん＠お腹いっぱい。 ：2001/05/11(金) 21:25

板違いなんですが向こうにはsshのスレが無く、こちらの方が適当かなと思ったので。

openssh-2.9p1-1.src.rpm をインストールして
sshdを立ち上げようとしたのですが、

Starting sshd: /usr/etc/sshd_config: そのようなファイルやディレクトリはありません
[FAILED]

というエラーが出てしまいます。
/etc/rc.d/init.d/sshd を見ると、はじめの方に
# config: /etc/ssh/sshd_config
というコメント行があるようなので、このファイルを読むような設定になっているはず
なのですが・・・実際インストール時に/etc/ssh/sshd_config は
作成されているようです。

どうすればsshdを立ち上げることができるでしょうか？

159 ：名無しさん ：2001/05/11(金) 21:52

素直に
　　cp /etc/ssh/sshd_config /usr/etc/sshd_config
すれば？

160 ：名無しさん＠お腹いっぱい。 ：2001/05/11(金) 22:04

やってみました。
sshd_configだけを移動させてもまだ他にも足りない、と言われるので
/etc/ssh/* 全部を /usr/etc/ に入れると動きました。

なんか納得いきませんが..

161 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 10:18

# config: /etc/ssh/sshd_config
の# 外してないというオチですか？

162 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 16:39

え?ここコメントイン(?)してもいいんですか?
単にインストール時の設定がコメントとして書かれているだけかと思ってました。
ちょっと試してみます・・・

# /etc/rc.d/init.d/sshd restart
してみると
config:: command not found
というメッセージが出てきました。
うちのシステムにconfigというコマンドが入って無い、ということなんでしょうか??

163 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 16:45

それ、コメントアウトしとかなあかんで

>>161
Linuxユーザを混乱さすなや

164 ：名無しさん＠お腹いっぱい。 ：2001/05/12(土) 22:03

おいらも>>147と同様抜けるときに固まってしまう。
おそらく
http://www.openssh.org/ja/faq.html#3.10
で対処できると思うのだが(当方Linux)、
cshでの書式がわからんのだ・・・

165 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:10

　　　　　　　　　　||￣￣￣￣￣￣￣￣￣￣||
　　　　　　　　　　||　 BSD馬鹿は 　 　 Λ_Λ　　いいですね。
　　　　　　　　　　||　　　放置！　　＼　(ﾟーﾟ*)
　　　　　　　　　　||＿＿＿＿＿＿＿＿⊂⊂ |
　　∧ ∧　　　 ∧ ∧　　　 ∧ ∧　　　 |￣￣￣￣|
　 (　　∧ ∧　(　　 ∧ ∧　(　　∧ ∧　|　　　　　　|
〜（＿(　　∧ ∧ __(　　∧ ∧__(　　 ∧ ∧￣￣￣
　　〜（＿(　　∧ ∧＿(　　∧ ∧＿(　　 ∧ ∧ 　は〜い、先生。
　　　　〜（＿(　 　,,)〜（＿(　 　,,)〜（＿(　 　,,)
　　　　　　〜（＿__ﾉ　　〜（＿__ﾉ 　　〜（＿__ﾉ

166 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:35

*BSD を使いこなせない厨房発見!

167 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:36

慶応とか上智はfinger外からでもかけられるみたいだけど。
こういうのってどうなんだろう。

168 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:36

朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし

169 ：167 ：2001/05/13(日) 00:38

スレ間違えた。スマソ。

170 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 00:49

> 147 名前：名無しさん＠お腹いっぱい。投稿日：2001/05/08(火) 20:57
> % ssh machine
> でmachineに入って、
> % exec &
> バックグラウンドでジョブを動かし、exitしようとしても、
> execが終了するまでプロンプトが出てきません。

> 164 名前：名無しさん＠お腹いっぱい。投稿日： 2001/05/12(土) 22:03
> おいらも>>147[205]と同様抜けるときに固まってしまう。
> おそらく
> http://www.openssh.org/ja/faq.html#3.10[206]
> で対処できると思うのだが(当方Linux)、

「exec </dev/null >/dev/null 2>&1 &」とかすればよろし。

171 ：名無しさん＠お腹いっぱい。 ：2001/05/13(日) 01:11

> 170 名前：名無しさん＠お腹いっぱい。投稿日： 2001/05/13(日) 00:49
…中略…
> 「exec </dev/null >/dev/null 2>

# &だけ自前でquoteすんの？

「exec </dev/null >/dev/null 2>&1 &」とすればよろし。

…と書いてある。

172 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 11:21

OpenSSH 2.5.1 から 2.9に変えたらログイン出来なくなった。。。
何故に？
何故に？
何故に？

173 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 12:32

2.9からはデフォルトがSSH2だぞ。ssh -1では駄目か?

174 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 14:02

おお、できました。くだらないところではまってしまった。

175 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 16:47

>>173
ていうか､未だにSSH1使ってるのが分からん。

176 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 16:58

>>175

Tera Term + ttssh を使う場合、SSH1 を使わざるを得ない
と思うが。MS Windows 系 OS のことを考えなくていいなら
SSH1 不要論に同意。

177 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 17:40

>>175
OpenSSH-2.5 までは、SSH2 のサポートが完璧ではなかったから。
(いまも100%完璧ではないけどね)

178 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 21:27

なぜSSH1では駄目なのかがわからん。

179 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 23:49

OpenSSH の鯖にWinからログインは出来ないの？

180 ：名無しさん＠お腹いっぱい。 ：2001/05/16(水) 23:54

>>179
OpenSSH → OpenSSH2.9

181 ：名無しさん＠お腹いっぱい。 ：2001/05/17(木) 08:36

age

182 ：名無しさん＠お腹いっぱい。 ：2001/05/17(木) 08:54

>>178
そんなあなたにSOI。山口先生が解説してくれます。
http://www.soi.wide.ad.jp/class/20000009/slides/12/

183 ：#!/bin/sage ：2001/05/17(木) 09:49

>>176
cygwin上でopensshを使えばssh1を使わなければならない問題は解決できるぞ。
とりあえず端末程度のことができるだけでよければこれで問題なし。

唯一残るのはTeraTermでないと使えない機能（X/Zmodem等でのファイル転送とか）
くらいだが。

184 ：名無しさん＠お腹いっぱい。 ：2001/05/17(木) 19:22

age

185 ：名無しさん＠お腹いっぱい。 ：2001/05/19(土) 15:05

age

186 ：名無しさん＠お腹いっぱい。 ：2001/05/19(土) 16:39

>>182
いや、全然わからなかったが。

187 ：名無しさん＠お腹いっぱい。 ：2001/05/20(日) 16:04

>>186
http://www.soi.wide.ad.jp/class/20000009/slides/12/7.html
に「SSH1 は弱い (MITM attack を許す」ってあるっしょ。

188 ：名無しさん＠お腹いっぱい。 ：2001/05/21(月) 17:02

http://ton.2ch.net/test/read.cgi?bbs=sec&key=990177436

189 ：asm ：2001/05/21(月) 23:14

>>187
いやいや、SSH2でもMITM攻撃を受ける可能性はあるよ。
というかPKIが整っていない状況では、どんな暗号でも
なりすまし等の攻撃を受ける危険性は常にある。
単にMITM攻撃を受けるってだけの理由じゃ「SSH2だって弱いじゃないか」と言われても仕方ない。

「SSH1が弱い」ってのは、何らかの原因で秘密鍵等が漏れた場合、
雪崩式に通信内容が破られる危険性があるからで、
それと比較した場合、二重三重に暗号化を行っているSSH2は安全だと言ってるに過ぎない。
あと、もう一つの理由はSSH1に、MITM攻撃を仕掛けるツールは存在するが(dsniff)、
SSH2を攻撃するツールは少なくとも公には知られていないってこと。

ここらへんはssh, dsniff, PKIとかのキーワードで検索すればもっと詳しいことが
わかると思うよ。

190 ：名無しさん＠お腹いっぱい。 ：2001/05/21(月) 23:40

>>176
TTSSHにSSH2をくっつけようよしてまーす。
ソース読むと、ほんの少々はSSH2の実装も考えてた形跡がある。

191 ：名無しさん＠お腹いっぱい。 ：2001/05/23(水) 10:46

>>189
SSH1が脆弱というのはこのへんの話だと思いますが。
PKIがなくてもSSH2なら運用ポリシーでMITM攻撃は回避できます。

http://sysadmin.oreilly.com/news/silverman_1200.html
the SSH-1 public-key user-authentication method is also vulnerable;
the attacker may use the signed authenticator from the client side to
access the client's account on the server. However, the SSH-2 public-key
and host-based client authentication methods are MITM-proof: the authenticators
involved are bound to session identifiers that are forced to
be different on either side of the attacker.

192 ：名無しさん＠お腹いっぱい。 ：2001/05/27(日) 14:46

>>190
がんばってくれ。

193 ：名無しさん＠お腹いっぱい。 ：2001/05/28(月) 22:11

>>189の知ったか厨房ぶりが恥ずかしいな。

194 ：asm ：2001/05/29(火) 21:51

おやおや、知ったか厨房なんて言われちゃったよ。

>>191
その点でSSH1が脆弱なのは知ってます。
でも、SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できませんし、
そのためにはサーバ側にユーザの公開鍵が登録されている必要があります。
(当然、ユーザの秘密鍵が洩れていたり、偽物のユーザ鍵をサーバに登録されて
しまった場合もアウト。パスワード認証なんて論外。)

結局、安全な接続を行うには、あらかじめ何らかの確実な方法でサーバの公開鍵を
クライアント側に、ユーザの公開鍵をサーバ側に登録しておき、
それら公開鍵・秘密鍵を厳重に管理しなければなりません。
でも、それができるのなら、SSH1だって十分安全だということができます。
SSH2なら上の前提が破られても通信を完全に乗っ取るのは困難(不可能ではない)だ
という意味で、「SSH2はSSH1より安全」と私は言ってるわけです。

195 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 12:12

>>194
ssh1ってDSA認証使えるの？
>>191の英文を読むと公開鍵を厳重に管理してもMITMを受けるのではないの？
俺の読解力不足だったらスマソ。

196 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 13:35

> SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できません
これってなんで?
認証の種類は関係ないように思うけど。

197 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 13:53

>>195
DSA鍵はSSH2からです。SSH1では使えません

198 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 16:33

　　 　 　 　 　 　 　 　 ／￣￣￣￣￣
　　 　 　 　 　 　 　 　 |　はやくこの板が
　　 　 　 　 　 　 　 　 |　　あらし厨房だらけになって
　　 　　,＿＿　　　　　| 　　　逝ってくれますように
　 　 ／　　.／＼ 　　　＼＿＿＿＿＿
　 ／　　.／( ・ ).＼ 　　　　　　o〇　 　 　　 ヾ!;;;::iii|//"
／_____／ .（´ｰ｀）　,＼　　 ∧∧　　　　　　 　 |;;;;::iii|/ﾞ
￣|| || || ||. |っ¢..||￣　　 （,,　　）　ﾅﾑﾅﾑ　　 |;;;;::iii|
　 || || || ||./,,,　|ゝ iii~ 　　⊂　　ヾｗｗｗｊｊｒｊｗw!;;;;::iii|ｊｗｊｊｒｊｗw〃
　 |￣￣￣|~~凸（￣）凸　.（　　,,）〜　ｗｊｗｊｊｒｊ从ｊｗｗｊｗｊｊｒｊ从ｊｒ

199 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 16:35

なんだ…レスが増えてたと思ったらこれか。

200 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 18:46

プロトコルの設計上の強度として
SSH2>SSH1
ということでいいんじゃない。
>>194のように運用の話を混ぜるのが間違い。

201 ：名無しさん＠お腹いっぱい。 ：2001/06/04(月) 21:03

★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　　☆
★　　　　　　　　 本当の優しみがあります！　　　　　　　　　　　 ★
☆　　　　　　　　楽しいイベントもいっぱい！　　　　　　　　　　　　☆
★　　　　　　全ての引き篭りはここから始まった！　　　　　　　　★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ☆
★　　　　　　http://teri.2ch.net/tubo/index2.html　　　　　　　　　　　★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ☆
★　　　　　　　　　　　 だって大好きっ！　　　　　　　　　　　　　　 ★
☆　　　　　　　　　　　　 ヽ(´ー｀)ノ　　　　　　　　　　　　　　　　　　 ☆
★　　　　　　　　　　　厨房板リターンズ　　　　　　　　　　　　　　　★
☆　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　☆
★　　　　　　時にはケンカ、だけどすぐに仲直り！！　　　　　　　★
☆　　　　　　　　　ここは仮想世界の楽園！！　　　　　　　　　　　☆
★　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　★
☆★☆★☆★ねぇひろゆき・・・ギュッってして・・・★☆★☆★☆★

202 ：asm ：2001/06/07(木) 21:24

>>195-196
>>191で引用されている部分は、MITM攻撃が成功してしまった後の話をしています。
# 例えば、1回目の接続時などに攻撃者から送られたfakeの公開鍵をクライアントが
# 信用してしまった場合や、攻撃者が何らかの方法でサーバの秘密鍵を入手していた
# 場合などです。
# 当然、このような状況ではssh1/ssh2どちらの場合でもMITM攻撃が
# 成功してしまいます。

通常、sshではクライアント-サーバ間の暗号化通信路が確立した後に
ユーザの認証を行いますが、ssh2の認証方式のいくつかは、MITM攻撃を受けた場合に
認証が成功しないようなアルゴリズムを採用しています。
そのような意味でssh2はより安全だと、>>191が引用している記事は述べているのです。
# とは言っても、攻撃する側からすれば、多少面倒な障害が増えただけ
# といった程度ですが。

203 ：asm ：2001/06/07(木) 21:26

>>200
いや、誤解を与えてしまったかもしれませんが、いま私が問題にしてるのは
ssh1とssh2のプロトコル設計上の強度差ではありません。

>>187のリンク先にある記事の
「・ただし SSH1は弱い (MITM攻撃を許す）
　　　　運用面での注意を施せば実用可能」
http://www.soi.wide.ad.jp/class/20000009/slides/12/7.html
という記述と、
「・実際に交換されていないときには、“Man In The Middle” attack を実施される可能性がある （ｓｓｈ１）」
http://www.soi.wide.ad.jp/class/20000009/slides/12/13.html
という記述が、「ssh2を使っていればMITM攻撃は受けない」というような誤解を
招く恐れがあるので不適切だと言いたいのです。

実際は、今まで散々挙げてきたように、ssh2でも鍵管理がしっかりしていなければ
簡単にMITM攻撃を受けてしまいます。

もし上記の記事を訂正するなら、7ページの該当部分は
「プロトコル設計上の強度はSSH2のほうが強いので、SSH2を使用することを推奨」
と述べるだけにとどめ、13ページのほうは
「・実際に交換されていないときには、“Man In The Middle” attack を
実施される可能性がある (SSH1, SSH2共通)」
としておくのが適切だと思います。
さらに、「ネットワークを通じて公開鍵を交換した場合は、
必ず鍵の正当性をfingerprintで確認しておくべきである」
と書いておくのもよいと思います。

204 ：教えて勲 ：2001/06/09(土) 17:04

みなさま、教えてください。
ssh-2.4.0とOpenSSH-2.9で、鍵認証が出来ません。
そこで秀和システムの『OpenSSHセキュリティ管理ガイド』（2001.6.10初版、
著者は２ちゃんねらーでLinux厨房だと（笑））のp.172を見ると、
OpenSSHの鍵ファイルと商用SSH2の鍵ファイル形式に互換性が無いから
変換してやる必要がある、と書いてあります。
　そのやり方を読んでみると、
ssh-keygen -i -f (暗号化されていない商用ssh2鍵ファイル名)
で変換するということですが、（暗号化されていない・・・）を
作るために、ssh2のssh-keygen（ssh-keygen2のことか）コマンドを
使って、秘密鍵のパスフレーズをからに設定してください、これに
よって秘密鍵の暗号化がおこなわれなくなり、OpenSSHのssh-keygen
コマンドで鍵の変換ができるようになります、と書いてあります。

ところが、上の具体的なやり方がわからないのです。
とりあえず、自分なりにやったのは、ssh2クライアント側で
ssh-keygen2 -P id_dsa_1024_a.pub
とやって、出来たid_dsa_1024_a.pub.pubを、サーバOpenSSHの~/.sshに
コピーし、それを
ssh-keygen -i -f id_dsa_1024_a.pub.pub
とやって、ssh2→ssh1鍵ファイル形式に変換したつもりになって、
それをautherized_keys2にcatしたのですが、だめ（パスワード認証に
なってしまう）。

ssh-keygenによるファイル変換の方法がそもそもよく解って無いのは
自分でも承知してるんですが、正しい具体的方法を知りたいのです。

それからこの問題は>>103と関係あるのかな？103に書いてある方法、
＞openssh の ssh-keygen -X を使って SSH.COM の id_dsa.pub を
＞変換したものを OpenSSH の authorized_keys2 に追加した。
の意味もわからないんです。ssh-keygenに-Xというオプションは
manには説明が無いし、SSH.COMが何のことかわからないし、
ssh2のユーザ公開鍵はid_dsa_1024_a.pubだと思うし・・・。

無知な私にどうか教えてくださいませ。

read.cgi ver5.26+ (01/10/21-)