ssh

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10: についての情報交換。
421 ：名無しさん＠お腹いっぱい。 ：02/02/15 22:26: >407
sshd_config の PasswordAuthentication は no ですか？
ああそうですか．
お役に立てなくて済みませんね．
422 ：407 ：02/02/15 22:40: >>419
ssh1 だと逝けました｡

>>420
こんなん出ましたけど～

2002-02-15 22:37:29 Looking up host ～
2002-02-15 22:37:29 Connecting to ～
2002-02-15 22:37:30 Server version: SSH-1.99-OpenSSH_3.0.2p1
2002-02-15 22:37:30 We claim version: SSH-2.0-PuTTY-Local: Feb 11 2002 09:39:39
2002-02-15 22:37:30 Using SSH protocol version 2
2002-02-15 22:37:30 Doing Diffie-Hellman group exchange
2002-02-15 22:37:30 Doing Diffie-Hellman key exchange
2002-02-15 22:37:31 Host key fingerprint is:
2002-02-15 22:37:31 ssh-rsa 1024 ～
2002-02-15 22:37:31 Initialised AES-256 client->server encryption
2002-02-15 22:37:31 Initialised AES-256 server->client encryption
2002-02-15 22:37:31 Keyboard-interactive authentication refused
2002-02-15 22:37:33 Sent password
2002-02-15 22:37:33 Access granted
2002-02-15 22:37:33 Opened channel for session
2002-02-15 22:37:33 Allocated pty
2002-02-15 22:37:33 Started a shell/command
423 ：407 ：02/02/15 22:44: >>421
つーか、no にすると接続後に putty 閉じてしまいますが何か？
424 ：名無しさん＠お腹いっぱい。 ：02/02/15 22:55: >>422
その RSA キーって puttygen.exe で作った?
425 ：421 ：02/02/15 22:58: >423
（SSH1 なら）RSAAuthentication は yes
（SSH2 なら）PubkeyAuthentication は yes なんだろうな，ﾃﾒｰ
426 ：407 ：02/02/15 23:01: >>425
つーか、Cygwin の ssh だとパスフレーズ聞いてくれるんだって。
427 ：421 ：02/02/15 23:03: >426
それ早く言えよー
428 ：407 ：02/02/15 23:10: >>427
>418 で言ってますが何か？

前後しますが
>424
puttygen で作らんといかんの？んなアホな
429 ：421 ：02/02/15 23:11: >428
> >418 で言ってますが何か？
ｸﾞｽﾝ，逝ってきます…
430 ：407 ：02/02/15 23:14: >>429
逝かなくていいからパスフレーズの聞かれ方教えてください
431 ：名無しさん＠お腹いっぱい。 ：02/02/15 23:51: >>428
> puttygen で作らんといかんの？んなアホな
Cygwin の ssh-keygen -t rsa で作ったキーと puttygen で作ったキーを
見比べると、ファイルの書式が違ってるぞ。
432 ：421 ：02/02/16 01:04: >431
そういや SSH2 って鍵の形式に関して互換性の問題があったような無かったような
433 ：名無しさん＠Ｅｍａｃｓ ：02/02/16 03:09: Putty の鍵の形式は IETF 標準なのでしょう。
これは Cygwin の ssh (OpenSSH) でつくった鍵とは形式が違います。

公開鍵だけなら Cygwin の ssh-keygen で putty 用に変換できるけど、
秘密鍵も入ってるなら putty で作りなおしたほうがはやい。

cf.
http://www.unixuser.org/~haruyama/security/openssh/support/addendum.html#add_3
434 ：407 ：02/02/16 04:02: >>433
ﾃﾞｷﾀｰﾖ！
でもこれからあちこちのサーバに公開鍵置き直さないとﾀﾞﾒかと思うと鬱だ。。。
435 ：名無しさん＠お腹いっぱい。 ：02/02/16 04:16: 質問です。

プロバの鯖がtelnetでしか入れないので、ユーザ権限でsshdを動かしたいです。
環境はsolaris。バイナリのssh、sshd、ssh-keygenがあります。
SSH Version 1.2.27 [sparc-sun-solaris2.5.1], protocol version 1.5.
ちと古くてアレなんですが、コンパイルする環境がないので、これより新しいのは用意できません。

＃これは余談ですが、x86のLinux/FreeSolaris上でクロスコンパイルとかできます？

現状:パスワード認証不可、RSA認証も不可です。

$ ssh -v -p 22222 nanashi@solaris.puge.ne.jp
SSH Version OpenSSH-1.2.3, protocol version 1.5.
Compiled with SSL.
debug: Reading configuration data /home/nanashi/.ssh/config
debug: Reading configuration data /etc/ssh/ssh_config
debug: Applying options for *
debug: ssh_connect: getuid 1000 geteuid 1000 anon 1
debug: Connecting to solaris.puge.ne.jp [2xx.xxx.xxx.xxx] port 22222.
debug: Connection established.
debug: Remote protocol version 1.5, remote software version 1.2.27
debug: Waiting for server public key.
debug: Received server public key (768 bits) and host key (1024 bits).
debug: Host 'solaris.puge.ne.jp' is known and matches the host key.
debug: Encryption type: 3des
debug: Sent encrypted session key.
debug: Installing crc compensation attack detector.
debug: Received encrypted confirmation.
debug: Trying RSA authentication with key 'nanashi@hoge.com'
debug: Server refused our key.
debug: Doing password authentication.
nanashi@solaris.puge.ne.jp's password:
Permission denied, please try again.
nanashi@solaris.puge.ne.jp's password:

こんな感じです。
436 ：名無しさん＠お腹いっぱい。 ：02/02/16 04:16: で、やったこととしては、
・ssh-keygenでssh_host_key ssh_host_key.pubを作成(ヌルパスフレーズ)
・ユーザ権限でport 22222で起動
・authorized_keysをftpでアップロード

sshd_configはこんな感じ。

Port 22222
ListenAddress 0.0.0.0
HostKey /so-net/home/addie/.ssh/ssh_host_key
RandomSeed /etc/ssh_random_seed
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts no
StrictModes yes
QuietMode no
X11Forwarding yes
X11DisplayOffset 10
FascistLogging no
PrintMotd yes
KeepAlive yes
SyslogFacility DAEMON
RhostsAuthentication no
RhostsRSAAuthentication yes
RSAAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
UseLogin no

ファイルはすべて600、ディレクトリは700にしてあります。

＃うーん。ローカルで実験してからにしたほうがいいか...。
437 ：名無しさん＠Ｅｍａｃｓ ：02/02/16 05:42: サーバ側で sshd -d を実行してデバッグモードで接続するとどうなる?
438 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:09: >>436
一般ユーザ権限だと PAM が認証を蹴るんじゃない？
439 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:16: >>435
クロスコンパイルには、ターゲットのランタイムライブラリが必要。
プロバイダの /usr/lib をごっそり取って来るとか。
440 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:42: >>437
$ ./sshd -d -f sshd_config
debug: sshd version 1.2.27 [sparc-sun-solaris2.5.1]
debug: Initializing random number generator; seed file /etc/ssh_random_seed
log: Server listening on port 22222.
log: Generating 768 bit RSA key.
Generating p: ..++ (distance 52)
Generating q: ...++ (distance 16)
Computing the keys...
Testing the keys...
Key generation complete.
log: RSA key generation complete.
debug: Server will not fork when running in debugging mode.
log: Connection from 2xx.xxx.xxx.xxx port 4854
log: Could not reverse map address 2xx.xxx.xxx.xxx.
debug: Client protocol version 1.5; client software version OpenSSH-1.2.3
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: Installing crc compensation attack detector.
debug: Can't find nanashi's shadow - access denied.

こんな感じでした。
パスワード認証は/etc/shadow(?)を見るっぽいので、ユーザ権限では動きようがないですね。

debug: Sent encrypted session key.
debug: Installing crc compensation attack detector.
debug: Received encrypted confirmation.
debug: Trying RSA authentication with key 'nanashi@hoge.com'
debug: Server refused our key.
debug: Doing password authentication.

なぜサーバがrefuseするかが分からないな。
441 ：名無しさん＠お腹いっぱい。 ：02/02/16 06:50: >>440
ちゃんと調べてないけど
PermitEmptyPasswords no
って空のパスフレーズもrefuseするんじゃなかったっけ？
442 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:05: >>441
ユーザのパスフレーズは空じゃないです。
一応試してみたのですが、ダメでした..。
443 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:19: 彼女の pussy に ssh で入ろうとしたらパスフレーズ聞かれずに
パスワード聞かれちゃうんですけど、それは漏れが厨房だからでしょうか？
444 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:40: >>444
ちゃんと sshe の設定できてる?
ある日ふと気付くと PermitEmptyPassword yes とかになってたりするか
ら気をつけよ。
445 ：名無しさん＠お腹いっぱい。 ：02/02/16 07:45: >>443
プロトコルのバージョンが違うからです。
商用のpussyなら大丈夫かと思われます。
446 ：何が何でも Solaris IA版存続を願う会2ch支部長 ：02/02/16 08:55: >>435 http://sunfreeware.com/ で，Solaris2.5/2.5.1用なら2.9.9p2，
Solaris2.6以降用なら3.0.2p1のOpenSSHバイナリが入手できると思うけど？
447 ：名無しさん＠お腹いっぱい。 ：02/02/16 09:14: >>446
うーん、/usr/localに手出せないけど大丈夫かしら。
LD_LIBRARY_PATHとかに~/libとか足して、そこにopensslとか入れれば大丈夫ですかね。
あんまりquotaがないので、置けるかな...。

＃あと、SunOS 5.5.1ってSolaris 2.5.1のことなのでしょうか(スレ違いっぽいけど
448 ：名無しさん＠お腹いっぱい。 ：02/02/16 09:30: >>447
yes
SunOS 5.5.1 = Solaris 2.5.1
449 ：名無しさん＠お腹いっぱい。 ：02/02/16 13:16: >>443
しばらくpussyに接続してなかったんじゃないの？
pussyの仕様上、しばらく使われてないと自動的に開いちゃうよ。

あとはホスト単位でパスワード無しを許可する設定にしてない？
450 ：名無しさん＠お腹いっぱい。 ：02/02/16 14:20: >>449
低いネタは、大人の時間でやってくれ。

たまにはいいが、まともな話よりも量を占めるのは行き過ぎ。
451 ：407 ：02/02/16 14:48: おはようございます。

ところでふっと気になったのですが、
putty-ssh と Cygwin-ssh はﾋｮﾄｰｼﾃ共存できなかったりしますでしょうか？
いろいろと素の ssh も使う必要があるので共存できなかったつらいものが
あるのですが。。。
452 ：407 ：02/02/16 14:57: >>451
ｺﾞﾒｿ、できたわ。
つーか、

putty用: DSA鍵ペア
Cygwin-ssh用: RSA鍵ペア

と使い分けるようにしました。同じ鍵でできる方法あれば教えてください。
のんびり待ってます。
453 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:00: Windows上で動作するssh2対応クライアントのPuTTYに
日本語対応パッチが出てました
http://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top

おや？なんか２重書き込みとか言われるのは何故???
454 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:01: あ、書き込めた...よかった
455 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:19: どうでもいいけど putty って、接合剤の「パテ」のことだったんだね。
456 ：名無しさん＠お腹いっぱい。 ：02/02/17 03:45: >>453
> なんか２重書き込みとか言われるのは
既出のネタだからじゃないの？
457 ：名無しさん＠お腹いっぱい。 ：02/02/23 09:57: sshdがスタンドアロンで起動してるんですけど、これをinetd+tcpwrapperなりxinetd、tcpserverを経由して
自分の学校とか以外のホスト名からは弾くようにすると、いくらかセキュア度ってあがりますか？
458 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:09: >>456
そんな便利な機能あるならソース公開キボンヌ (ﾜﾗ

>>457
sshd の conf ファイルで弾くよりもって事？
459 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:12: >>458
はい。スーパーデーモンでまず弾き、sshdの設定ファイルでも弾くようにする設定です。
意味がないでしょうか？
460 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:28: >>459
sshdってスタンドアロンで起動してても、
勝手にhosts.allowとhosts.denyを
反映してくれると思うんだけど。
なにか勘違いしてたらスマンが、
既に望んでる状態じゃなくて？
461 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:30: >>457
ホスト名ではじくのはやめとけ。
DNSの逆引きがspoofされていたら意味ないぞ。

ただ sshは認証に負荷がかかるので、IPレベルで
信用できないホストをあらかじめはじくのは負荷削減に役立つ場合もある。

あと、openssh を libwrap つきでコンパイルすれば sshd 自身が
hosts.allow や hosts.deny を見るよ。
462 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:40: PuTTY の話ここでしても良いですか？
他に相応しいｽﾚがあれば教えてください。
PuTTY で logout したり、なんらかの原因接続が切れた後に
inactive になったウィンドウをそのまま再利用して接続するのって
出来ないのでしょうか？

>>457
461 が言うように libwrap 付きで hosts.(allow|deny)使うのが
楽で良いと思うよ。tcpdchk で warning 出ちゃうけど。
463 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:44: >>461
> ホスト名ではじくのはやめとけ。
> DNSの逆引きがspoofされていたら意味ないぞ。
え? 正引きで引き直して二重チェックしないの?
464 ：名無しさん＠お腹いっぱい。 ：02/02/23 10:46: >>462 自己レス
http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist.html
Plausible feature wish list
Perhaps an inactive window should have a menu option to reactivate
the session (like Duplicate Session but in the same window).
しょぼーん
465 ：エミネム ：02/02/23 13:13: についての情報交換希望。
466 ：名無しさん＠お腹いっぱい。 ：02/02/23 13:46: >>463
そういえば、そんなの意味がないからヤメレって djb は主張しておるな。
467 ：名無しさん＠お腹いっぱい。 ：02/02/24 09:48: どうしてなの? >466
468 ：名無しさん＠お腹いっぱい。 ：02/02/24 16:22: >>467
僕は>>466ではないけど、DNSサーバが乗っ取られたら、正引きの結果も正しいと
保証されないからだと思った。
469 ：名無しさん＠お腹いっぱい。 ：02/02/24 16:30: 逆引きだけならDNSサーバを乗っ取る必要なんてないじゃん。
470 ：名無しさん＠お腹いっぱい。 ：02/02/24 17:56: >468 なるほど。

hosts.allowにドメインで書いてると逆引きした後のホスト名だけ
ログに残るみたいだけど、逆引きする前のIPアドレスも残る
ようにできないのかな。
471 ：名無しさん＠お腹いっぱい。 ：02/02/24 21:00: Putty 上で screen 使おうと思ったらあんまり調子よくない、
ってな話はここで聞くべき？それとも screen ｽﾚに逝くべき？
472 ：名無しさん＠お腹いっぱい。 ：02/02/25 00:54: screenスレdeso.
sshは端末上で起こることは何も関係ない。
473 ：名無しさん＠お腹いっぱい。 ：02/02/25 02:07: そういやー忘れてたけど、単純にホストを制限したいんなら
libwrap を使うやりかたのほかに、
ユーザレベルの ~/.ssh/authorized_keys でもできるよ。

~/.ssh/authorized_keys:

　1024 33 1210290129012...12019209 hoge@fuga

とあるところを、

　from="*.trusted.domain" 1024 33 1210290129012...12019209 hoge@fuga

とすれば、この公開鍵では .trusted.domain から接続した
ユーザしかログインできなくなる。
474 ：名無しさん＠お腹いっぱい。 ：02/02/25 03:17: >>473
そうだね。ただし、OpenSSHにはそれ関係のセキュリティホールが見つかっている
ので、サーバ側のOpenSSHのバージョンは少なくとも2.9.9以降にしないとね。
＃　現在の最新バージョンは3.0.2 →http://www.openssh.com/ja/
475 ：473 ：02/02/25 03:18: sageてｼﾏｯﾀ…鬱打氏脳
476 ：474 ：02/02/25 03:20: 474=475　おれアホや。。。
477 ：名無しさん＠お腹いっぱい。 ：02/02/25 12:39: (･∀･)ﾊﾞ-ｶﾊﾞ-ｶ!!
478 ：474=475 ：02/02/25 19:39: >>477
IRCで騒ぎながらカキコするとこーゆーことになるんだよ。。
479 ：新山ゆうすけ ：02/02/27 07:37: OpenSSH-3.0.2p1 の日本語マニュアル、ようやく翻訳完了しました。
遅くなってすみません。

　http://www.unixuser.org/%7Eeuske/doc/openssh/jman/

間違ってるとこあったらご指摘おながいします。
480 ：名無しさん＠お腹いっぱい。 ：02/02/27 08:57: 479に神が降臨したぞ！
481 ：新山：02/02/27 10:38: つーか>>473とかもオレなんですけど…
あのときちょうどsshd.8のそのあたりを訳してたのよー
482 ：名無しさん＠お腹いっぱい。 ：02/02/27 14:33: 新山氏に感謝age
483 ：名無しさん＠お腹いっぱい。 ：02/02/27 15:37: TRAMP の設定を解説したページやドキュメントってどっかにありますかね？
というか、私の周りで、TRAMP を満足に動かせてる人って皆無なのですが。
TRAMP って本当に動くものなのでしょうか？
484 ：名無しさん@XEｍａｃｓ ：02/02/27 18:49: >483

ココは見てますよね?
ttp://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html

最近のは知らないけど、昔(去年くらい?)は問題なく動かしてましたよ。

当時、 ssh で使うときは ssh-agent でパスワード入力しないでアクセスできる
状態で使わないとダメだったです。
# こりは知らないと結構ハマるかも。
485 ：474=475=476 ：02/02/27 20:22: >>481
ぎゃー（怖
いわゆるシャカに説法だったってわけだ（欝打詩嚢...
486 ：名無しさん＠お腹いっぱい。 ：02/02/27 22:34: 社内 LAN などで、内<->外は Firewall があったりする。
内で使うもんにも ssh が必要か？
487 ：名無しさん＠お腹いっぱい。 ：02/02/27 22:38: >>486
ssh-agent 使うとラク。
つーか、r系は設定方法忘れた。
488 ：421 ：02/02/27 22:42: >486
NFS で /home を共有していれば，ほとんど価値なしと思われ．
489 ：名無しさん＠お腹いっぱい。 ：02/02/27 23:34: >>487-488
つか、内で ssh 使わなイカンような環境下で同じ仕事せなならんってーのは、
職場の精神衛生上あまりよろしくないと思うのだが。。。
490 ：名無しさん＠お腹いっぱい。 ：02/02/28 00:35: >>479
説明逆になってますよ.

>scp(1) - SSH1 および SSH2 プロトコル上で動作する FTP ライクなプログラム。
>sftp(1) - rcp(1) に似たファイルコピープログラム。
491 ：名無しさん＠お腹いっぱい。 ：02/02/28 00:39: >>489
会社のマシンにwgetでﾀﾞｳｿﾛｰﾄﾞしたエロ画像が
うなるほど置いてあったりしたら気になるかもしらんけどね（笑

たしかにヤな環境だよなあ
492 ：名無しさん＠お腹いっぱい。 ：02/02/28 01:10: >>489
外回りが多い人用に無線 LAN 導入してるような環境だと、ssh 使いたくなる
かもじれず。(WEP じゃあねぇ）
493 ：名無しさん＠お腹いっぱい。 ：02/02/28 01:22: >>491
それ以前に firewall のログからマークされると思われ。
494 ：名無しさん＠お腹いっぱい。 ：02/02/28 02:09: >>490
ありがと。直したっす。

本当はOpenSSHの公式ページからもリンクさせたいのだが、
いまちょっと翻訳MLでつっこまれてる。。。むずかしいな。。
495 ：名無しさん＠お腹いっぱい。 ：02/02/28 09:32: ちっとアバウトな質問なんですが。
いろいろなマシンにopensshを入れて回ってるんですが一部のマシンで
--with-tcp-wrappers が有効にならない現象が出ています。
FreeBSD2.2.5 と SunOS5.8 です。うまく行くマシンもあるのですが
駄目なマシンは何度再コンパイルしても駄目で、FreeBSDの場合は
うまく行ったマシンで生成された sshd をコピーすることで回避出来て
いますが SunOSの方はそれでも駄目なんです。アクセス元を制限出来ません。

こんな現象に会った方いませんか？
496 ：名無しさん＠お腹いっぱい。 ：02/02/28 14:20: >>495
まさか Solaris8 machine に libwrap が入っていないっていうことはないよね。
497 ：名無しさん＠お腹いっぱい。 ：02/02/28 14:30: そーだとしたら configure した時点で通らないと思いますが？
一応手動で tcpd.h と libwrap.a はそれなりの場所に入れてます。
エラー吐かずに終わるのに期待の動作しないのが困りモノ…
498 ：名無しさん＠お腹いっぱい。 ：02/02/28 18:54: >>497
configure した時の出力の最後の方で

TCP Wrappers support: yes

にちゃんとなってる?
499 ：黒き風 ：02/03/03 15:42: ････！？
500 ：黒き風 ：02/03/03 15:44: ・・・・！！
501 ：名無しさん＠お腹いっぱい。 ：02/03/07 23:22: またもや openssh のリモート・ホールが発見されましたな。
今度のは crc の奴よりは、サーバー側の深刻度はちょっとだけ低いみたいだけど。
(root を奪えるのは認証されたユーザーだけ？)

FreSSH も、0.8.1 より新しいのは出てないみたいだしのう。
502 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:10: >>501
FreSSHって、実用レベルに達してるの?
503 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:19: >>502

0.8.1は、それなりには使えるんだけど、負荷をかけるとバグが出てトラブル
ことがあるみたい。なので、まだ普通には勧められない感じ。
504 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:32: >>501
リモート・ホールってどーゆーやつを言うの？
ローカルアタックに関するFixだと思うんだけど・・・
まあ、3.1リリースおめでとうございます、てことで。
505 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:43: OpenSSH 用 Heartbeat/Watchdog パッチが便利で使ってるのだけれど、
バージョンアップする度に毎回当てるのめんどくさいので、
本家に取り込まれないかなぁ、といつも思うのだが、難しいのだろうか？
http://www.sc.isc.tohoku.ac.jp/~hgot/sources/ssh-watchdog-j.html
506 ：名無しさん＠お腹いっぱい。 ：02/03/08 00:49: >>504

確かに、ほとんどのサイトにとっては、ローカル・ホールと等価だろうけど、
ある種のサイト(ssh経由で、任意のユーザーにシェルではないアクセスを
提供しているサイト)にとってはリモートでも危ないから、やっぱりリモート・
ホールじゃないかな。

結局、ローカル・ホールをどう定義するかって問題なんだけど、ローカルマシ
ンでそのコマンドを実行しないと発現しないホールのことだと定義する、す
なわち、シェル・アクセスのあるユーザーに対してか、あるいは、他の穴で既
に侵入されている場合だけに問題になるものだけが、ローカル・ホールと定義
するなら、今回のはリモート・ホール。

認証を通っていればローカル・ユーザーだと定義するなら、確かにローカル・
ホールだけど、上に書いたように、ssh経由で任意のユーザーにアクセスを提
供しているサービスって、存在するから、必ずしも、こちらの定義は使えない
と思うな。

> まあ、3.1リリースおめでとうございます、てことで。

全然めでたくないよ。
crcの奴みたいな、任意のリモート・ユーザーに突かれるホールに比べると、
緊急度は低いけどね。
507 ：504 ：02/03/08 01:12: >>506
解説ども。
>全然めでたくないよ。
これはマジで言ってる？Fixされたらめでたいと思うけどな。
まさかバグや穴を作るのは断じて許さない、てわけじゃないよね？
508 ：skel.103M ：02/03/08 02:01: ChangeLogの日本語訳を書いてみました：

Important Changes（重要な変更点）：
==================================
・ホスト認証鍵や設定ファイルなどのディレクトリのデフォルトが /etc/ssh に
　変更された。
・ssh-keygen コマンドは、もはや特定の鍵タイプ（すなわちrsa1）をデフォルト
　とはしないようになった。すなわち、ユーザは必ず -t オプションで作成したい
　鍵のタイプ（rsa,dsa,rsa1のいずれか）を指定しなければならない。
・sshdのＸ転送機能は、デフォルトではローカルホストをlistenするようになった。
　もし、X11クライアントアプリケーションがこの変更により動作しなくなった場合、
　sshdの設定ファイル（訳注：sshd_configのこと）の X11UseLocalhost オプショ
　ンを変更して以前の動作に戻せばよい。
　　原文：sshd x11 forwarding listens on localhost by default;
　　　　　see sshd X11UseLocalhost option to revert to prior behaviour
　　　　　if your older X11 clients do not function with this configuration

Other Changes（その他の変更点）：
================================
・sshクライアントのエスケープ文字の１つ~&が両方のバージョンのSSHプロトコル
　で動作するようになった。
・sshdの ReverseMappingCheck オプションは、意味がより分かりやすい VerifyReverseMapping と
　いう名前のオプションになった。従来通り、 ReverseMappingCheck という名前
　で設定することも可能である。
・使用された公開鍵（訳注：ユーザ認証鍵の公開鍵）の指紋が LogLevel=VERBOSE の
　ときにログとして記録されるようになった。
・シェルが存在しないなどの理由でログインが許可されなかった場合、その理由が
　ログとして記録されるようになった。
・Ｘ転送におけるエラー処理を強化した。
・……意味不明 (T_T) ……
　　原文：improved packet/window size handling in ssh2
・regex(3)を使用しなくなった。
・sshdで SIGCHLD races が発生するという現象（Solarisで発生する）を
　対策？？？……意味不明 (T_T) ……
　　原文：fix SIGCHLD races in sshd (seen on Solaris)
・sshdに -o オプションが新設された。
・sftpに -B, -R, -P オプションが新設された。
・ssh-add コマンドは、3つのデフォルトのユーザ認証鍵すべてを認証エージェント
　に登録する追加する
　　原文：ssh-add now adds all 3 default keys
・ssh-keyscan コマンドのバグフィックス
・……意味不明 (T_T) ……
　　原文：ssh-askpass for hostkey dialog
・……意味不明 (T_T) ……
　　原文：fix fd leak in sshd on SIGHUP
・……意味不明 (T_T) ……
　　原文：TCP_NODELAY set on X11 and TCP forwarding endpoints

原文を書いているところは、日本語訳に自信がないところです(苦笑)
うまく訳せる方・意味が分かる方は、フォローしてくださると助かりますです。
509 ：skel.103M ：02/03/08 02:20: 懲りずに続き：

セキュリティ関係の変更点(adv.channelalloc)：
１．影響を受けるシステム
　　バージョン2.0から3.0.2までのすべてのリリースには channel code に
　　off-by-one エラーが含まれています。
　　　原文：All versions of OpenSSH between 2.0 and 3.0.2 contain an
　　　　　　off-by-one error in the channel code.

　　3.1以降のバージョンではこの問題は解決されています。
２．影響
　　この脆弱性を持ったSSHサーバにログインしている正規のユーザによって、
　　SSHサーバに…(不明)…。また、この脆弱性を持ったSSHクライアントに
　　悪意を持ったSSHサーバがattackすることによっても同様の…(不明)…。
　　　原文：This bug can be exploited locally by an authenticated user
　　　　　　logging into a vulnerable OpenSSH server or by a malicious
　　　　　　SSH server attacking a vulnerable OpenSSH client.
３．解決方法
　　次のパッチ（訳注：省略させていただきました）を適用するか、バージョン3.1
　　以降を使用することによってこの問題は解決されます。
４．Credits
　　このバグは Joost Pol <joost@pine.nl> 氏によって発見されました。
510 ：春山征吾 ◆9Ggg6xsM ：02/03/08 02:23: >>508-509
skel.103Mさん、たびたび情報提供ありがとうございます。

変更点について、私の訳を
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.1.txt
に載せました。

また今回のセキュリティホールについて
http://www.unixuser.org/%7Eharuyama/security/openssh/index.html
に記載しました。
511 ：skel.103M ：02/03/08 02:25: うーむ、翻訳って難しい…（汗）
512 ：skel.103M ：02/03/08 02:29: >>510
かぶったーーー（撃沈）
春山征吾センセ、こちらこそいつもお世話になってます。

＃　作業早っ！！
513 ：新山：02/03/08 02:30: >>509
オレならこういう場合 2つの文に分けちゃいますが。

> This bug can be exploited locally by an authenticated user
> logging into a vulnerable OpenSSH server or by a malicious
> SSH server attacking a vulnerable OpenSSH client.

　このバグは、脆弱な OpenSSH サーバに認証してログインしたユーザによって
　ローカルで濫用される危険があります。あるいは、悪意ある OpenSSH サーバが
　脆弱な OpenSSH クライアントを攻撃することによっても同じくローカルで
　濫用されます。

locally 「ローカルで」っていう表現はいまいち好きじゃない。
exploit 「濫用」もなんかひっかかる。「搾取」だとイメージ違うし。
514 ：新山：02/03/08 02:32: あ。春山さんだ。。。
515 ：skel.103M ：02/03/08 02:42: >>513
初めまして！！（たぶん

> locally 「ローカルで」っていう表現はいまいち好きじゃない。
　私もそう思いました。「認証してログインしたローカルユーザ」がいいのか
　なぁ…。
> exploit 「濫用」もなんかひっかかる。「搾取」だとイメージ違うし。
　「exploitされてしまう」と訳すと、日本語訳ぢゃねーってツッコミ入れられそう
　ですしね。「不正に高い権限をとられてしまう」がいいのでしょうか…ふ～む…
516 ：名無しさん＠お腹いっぱい。 ：02/03/08 02:42: >> 全然めでたくないよ。

> これはマジで言ってる？

マジよ。

> Fixされたらめでたいと思うけどな。

もちろん、fixされないよりはマシね。
でも運用している側からすると、ssh/sshd を入れ換える手間が発生するので、
全然めでたくないよ。作ってるほうだって、穴が見つかったのを嬉しいなんて
思ってないとおもうぞ。穴が存在するが報告されてない状態と比較するなら、
確かに嬉しいだろうけどね。

>まさかバグや穴を作るのは断じて許さない、てわけじゃないよね？

まあね。バグのないソフトウェアなんて存在しないからね。
でも、正直言って、俺にとって最近もっとも手間がかかるソフトウェアが
sshd なんだよな。
俺は新しい機能とか便利な機能とかは要らない、現状の機能か、現状より
少ない機能でいいから、穴のない sshd が欲しいよ。
517 ：名無しさん＠お腹いっぱい。 ：02/03/08 03:03: >>516
つまりインストールすんのめんどくさいだろうがボケということね
518 ：新山：02/03/08 03:44: > でも、正直言って、俺にとって最近もっとも手間がかかるソフトウェアが
> sshd なんだよな。
> 俺は新しい機能とか便利な機能とかは要らない、現状の機能か、現状より
> 少ない機能でいいから、穴のない sshd が欲しいよ。

djb信者として、はげしく同意。

つーかこういう意見は openssh 開発グループの中にもあって、
MailCheck とかどうでもいいような機能ははずそうよ、という議論が
むかしあった。でもどんどん余計な機能が追加されてるね…。
519 ：名無しさん＠お腹いっぱい。 ：02/03/08 03:49: つーか思った。
djbに作らせればいいんでないの？
520 ：_ ：02/03/08 03:56: >>518
> でもどんどん余計な機能が追加されてるね…。
　具体的にどういうものでしょうか。（他意は全くございません、*本気で*知りた
　いわけです。）私ならKerberos認証、Rhosts認証、PrintMotd、PrintLastLogあたり
　かな。。

ちなみに、「host.domain」という名前でsshにシンボリックリンクを張っておくと、
　　% host.domain
と実行したら、
　　% ssh host.domain
を実行したのと同等になるっていう機能があるようで…（つい最近知ったんですけ
ど）。これって便利？

掲示板に戻る全部前100 次100 最新50

read.cgi ver5.26+ (01/10/21-)