レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10

についての情報交換。

562 ：名無しさん＠ＸＥｍａｃｓ ：02/03/12 15:55

> > ・で、SSH1 の認証だとして読んだとしても重要なところが間違ってい
> > る (復号した challenge をそのまま response として返すようにしか
> > 読めない)。
> これは、ぼくにとってはまさにそういう理解なのですが、
> 何がまずいんでしょうか? 「暗号化された経路上で」という語句が
> 抜けているということでしょうか。

SSH1 の challenge&response はもう二捻りほど工夫してるんです。で、
暗号化された経路上とかは関係ありません。

もちろん答を書いちゃうのは簡単なんだけど、それだと面白くないの
で、少し自分で考えてみられては如何？

ヒントは：
1: 悪意のサーバへの対抗策
2: MITM への対抗策

ま、でも、これ誰にも聞かず／何も読まずに気づけたとしたら、凄い
センスだと思う。というか、センスあり過ぎかも。

ということで、わたしからの回答は二日後くらいに B-)

563 ：春山征吾 ◆9Ggg6xsM ：02/03/12 16:52

>>562
われわれの本にも同様の誤りがあったので、正誤表に加えました。
http://www.unixuser.org/%7Eharuyama/security/openssh/support/

564 ：552(=399) ：02/03/12 23:26

>>558
たしかに「*全面的に*信頼する」というのは言い過ぎかもしれないですけどね。
でも、（利用者・サーバ管理者からの視点での）SSHの仕組み、そしてSSH1プロト
コルの仕組みを知る分にはいいと思ってました。少なくとも、
　　http://stingray.sfc.keio.ac.jp/security/ssh/
はアレだし、>>399で書いた
　　http://www.seshop.com/bm_detail.asp?sku=59460
の本はクソ分かりにくいし…それに比べれば
　　http://www.unixuser.org/%7Eharuyama/security/openssh/support/
の本は分かりやすくかつ丁寧に書いてましたので、非常によいと思ってます。

>>559（新山）さん
たしかにあのWebページは作成中とのことだったので、ここに載せるべきではなかったのか
もしれません。もし気分を害されたのでしたら申しわけありません。私自身は、
例のWebページを本と同様、参考にさせていただいたので、>>560さんと同様、残
して下さるといいなと思います。

565 ：552(=399) ：02/03/12 23:44

>>558
>>562
（私も考えてみますです。たぶんムリだがtryするのはいいだろうと思うし）

566 ：552(=399) ：02/03/12 23:53

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2002/03.html#20020312_zlib

またbuild&installのやり直しだ（鬱）…OpenSSHもZlibを利用しているからね

567 ：新山 ：02/03/13 00:57

>>554
> もし気分を害されたのでしたら申しわけありません。

いや、そんなことは全然ないです。
むしろ、正直すまなかったという感じ。
いい機会なんでこのさいいったん消して、新しくつくりなおそうかと。
(他にもやってることがあるんで、いつになるかわからないけど、
まあほかにもSSHの解説はいっぱいあるわけだし)

>>562
そう指摘されて気づきましたが、responseをそのまま返すと
ニセのchallangeを送って、responseを記憶しておくという方法が
可能になってしまいますね。暗号文選択攻撃だっけ。

568 ：名無しさん＠ＸＥｍａｃｓ ：02/03/13 11:55

>>563
> われわれの本にも同様の誤りがあったので、正誤表に加えました。
> http://www.unixuser.org/%7Eharuyama/security/openssh/support/

反応はや。

＃見習わねば。

ということで、どこが間違っていたかは明らかになっちゃいましたね。
あとはこれらの手当によって何故 562 に書いたような効果が得られる
か、だけです。

>>567
> そう指摘されて気づきましたが、responseをそのまま返すと
> ニセのchallangeを送って、responseを記憶しておくという方法が
> 可能になってしまいますね。暗号文選択攻撃だっけ。

まぁ、公開鍵暗号の場合、選択暗号文攻撃への耐性は当り前に求めら
れるので、これでは不正解。そんなに悠長に何度もやり取りを繰り返
せる situation でもないですし。

悪意あるサーバが一発で致命的なダメージ (と言ってしまうとあとの
回答で「なーんだ」と思われちゃうかもしれないが) をクライアント
に対して与えることができてしまうのです。復号結果そのものを返し
てしまうと。

565 さんも頑張ってね。

569 ：名無しさん＠お腹いっぱい。 ：02/03/13 17:11

以前どこかのスレで聞いたのですがはっきりした答えが得られなかったので
聞きます。
sshのplain password log inをする場合に送る
login名とpasswordは既に安全な経路となっているのでしょうか。

570 ： ：02/03/13 17:17

>>569
passwordがplainなまま送られることはありません。

571 ：名無しさん＠お腹いっぱい。 ：02/03/13 17:51

研究室環境のsshを、現在利用しているssh.comのssh1/ssh2から
OpenSSHに移行しようと思っています。

管理者側の作業はいいとして、
ユーザ向けに、鍵 (や、authorization, hostkeysなどもあれば尚
可)のファイル変換・移行手順をまとめたガイドがあると大変嬉し
いのですが、どこかに転がっていませんでしょうか。

特に、ユーザが公開鍵・秘密鍵をSSHからOpenSSHに変換出来る手順
をわかりやすく説明したものを探しています。

572 ：名無しさん＠お腹いっぱい。 ：02/03/13 18:21

>>570
つまり、既に経路がssh化されてるということですか？

573 ：名無しさん＠お腹いっぱい。 ：02/03/13 18:23

>>572
すでに経路が暗号化されているということです。

574 ：春山征吾 ◆9Ggg6xsM ：02/03/14 00:15

>>571
http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_3
#管理上の都合でわたしのディレクトリにありますが、新山さんがまとめたものです。
#というか、この補遺は全面的に新山さんによるものです。
ちなみに、OpenSSH 2.9.9以降では SSH2の公開鍵もSSH1の公開鍵と同じく
~/.ssh/authorized_keys
に登録できます。(http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_8)
なお、SSH1の鍵はOpenSSHと商用SSHでフォーマットに違いはありません。

575 ：名無しさん＠お腹いっぱい。 ：02/03/14 01:12

sshといえば、うちの大学の某共用マシンは、sshのバージョンアップが
行われるたびにhost鍵が変わっている…

こういうクソい事は辞めてほしい…

576 ：名無しさん＠お腹いっぱい。 ：02/03/14 01:18

port scanツールでsshのscanしてみたのだけど、inet起動にしていると
port scanツールに引っかからないね。

何故って、port scanツールはタイムアウト時間が短いです。

inet起動の場合サーバ鍵の生成に時間がかかるので、最初少々待たさ
れます。その間にport scanツールがタイムアウトします。

577 ：名無しさん＠お腹いっぱい。 ：02/03/14 08:22

>>571
http://takei.webmasters.gr.jp/ldl/ から
たどれるどこかにあったような……。

>>576
タイムアウト値を長くすりゃいいんでないの?

578 ：名無しさん＠お腹いっぱい。 ：02/03/14 12:15

>>575
そんなマシン信頼できるかゴルァ! とつっこまないと。

579 ：名無しさん＠ＸＥｍａｃｓ ：02/03/14 13:37

>>562
> ということで、わたしからの回答は二日後くらいに B-)

それでは。

まず、復号した challenge をそのまま response として送ると、悪意
あるサーバに何ができてしまうかについてだけど、これは RSA という
アルゴリズムに固有の「復号処理と署名処理が同型である」という特
徴を利用した攻撃ということになる。

で、クライアントにとって不利益となる (たとえば「わたしは○○氏
から100万円借りてます」とかいう) よな電子文書から採った Hash 値
をサーバが challenge として送っていたとすると思いねぇ。暗号化さ
れた乱数値だと信じてクライアントがそれを復号して返してしまうと、
サーバは

・クライアントにとって不利益となる電子文書
・クライアントの秘密鍵で変換された当該電子文書の Hash 値

という二つのデータを入手できるわけ。これが何かといえば、すなわ
ち電子署名された文書に他ならないので、特に電子署名法が有効な現
在では、この事実を否認するためにクライアント氏は裁判で相当な労
力を割かなければならない羽目にも陥りかねないということ。

ここから得られる教訓は、セキュアプロトコルを設計する際、どちら
か一方が結果に対して完全なコントロール権を握ることがないように
図るのが肝心、ってとこかな。

そのために SSH1 では送られた challenge の復号結果をクライアント
がさらに hash することでサーバの影響力を弱めている (復号と hash
が逆だとまだちょっと危ない) し、SSH2 (や SSLv3) では被署名デー
タの一部としてクライアント/サーバ両方がそれぞれ独自に生成した乱
数値を含めるようになっているわけ。

また、SSH ではクライアントの鍵は認証用にしか使われないため顕在
化しないけど、もし暗号化にも利用してるような場合、上でいう challenge
としてどこかで拾っておいた「クライアントの公開鍵で暗号化された
データ」が送られたりすると、サーバは労せずしてその復号結果を手
にすることができるわけだ。

えらく長くなってしまったので、もう一点は別便で。

580 ：名無しさん＠ＸＥｍａｃｓ ：02/03/14 14:07

>>579
> えらく長くなってしまったので、もう一点は別便で。

で、もう一つ。セッション ID の効用の方ね。これはもちろん 579 の
攻撃に対するさらなる防御という意味合いも持っているんだけど、そ
れ以上に重要なのが MITM の検出という役割。

たぶんみなさんご存知のとおり、SSH の場合、サーバの Host Key を
known_hosts なんかでちゃんとチェックしないと MITM な攻撃者によっ
て仲介された形のセッションが張られる (= 通信内容バレバレな) 可
能性があるわけだが、response となる hash 値の生成元データの一部
としてセッション ID が含まれているおかげで、RSA 認証 (Rhosts with
RSA でも OK) を用いるならばそのような MITM が行われているかどう
かが検出できる。

それが何故かと言えば、セッション ID にはサーバの公開鍵情報が反
映されるようになっているから。で、もし、MITM されていると、クラ
イアントが見ているサーバ公開鍵とサーバ自身が使っている公開鍵が
別物になってしまうため、サーバによる response の検証が失敗する
というわけだ。

http://www.soi.wide.ad.jp/iw2000/iw2000_tut/slides/09/33.html

辺りを見ると参考になるかも。

581 ：名無しさん＠お腹いっぱい。 ：02/03/14 18:52

[Cygwin*-Update] OpenSSH-3.1p1-1
http://www.sixnine.net/finkl/d200203a.html#08-4
に変更点の訳発見。

582 ：５７６ ：02/03/14 22:06

>>577
善意な方向で意味を汲んでくれたようですが、
そういう意味で書いたのではなくてinet起動に
しておけばsshのバージョンアップしなくても
port scanで見つからないよ(藁　という意味で
書きました(汗

583 ：名無しさん＠お腹いっぱい。 ：02/03/15 01:58

>>582
ん？ port22 に来るたびに fork & exec はするだろうけど、そのたびに鍵作る？
もしそうだとして、それで portscan がタイムアウト起すほど時間かかるなら、
それ DoS アタックにむちゃむちゃ弱くないか？

584 ：582 ：02/03/15 09:46

>>583 鍵作る？
inet起動と書いてあるだろうが！forkするのはsshじゃなくてinetdだよ。
だから鍵は毎回作る事になる。

>>Dosアタック
弱いね。

しかし、メンテをさぼるような話ししれるんだから、
落ちてもresetボタン押して終わりです(汗

585 ：577 ：02/03/22 13:16

>>571
> 研究室環境のsshを、現在利用しているssh.comのssh1/ssh2から
> OpenSSHに移行しようと思っています。
あったあった。
新山/春山版の方が詳しいかもしんないけど、いちおう。
http://masy.families.jp/documents/secsh_key.html

586 ：名無しさん＠お腹いっぱい。 ：02/03/24 15:00

場違いな質問かもしれないんですが教えて。

SSH使って自宅ケーブルから大学へつないでいると
なにやら警告の窓が出てきて　IP***.***.***.***からポートスキャンに
似た攻撃を受けたみたいなメッセ(英語)が出てきて怖いんですが、
これ何か悪さをされてるのかな？怖くて最近使わないようになったんですが
教えてください。

587 ：名無しさん＠お腹いっぱい。 ：02/03/24 16:16

>>586
そのメッセージを見ずに答えろ
という挑戦ですか?

588 ：名無しさん＠お腹いっぱい。 ：02/03/24 18:04

日本のメッセと言えば幕張が思い浮かぶけど、
英語のメッセはよく知らないなぁ。

589 ：名無しさん＠お腹いっぱい。 ：02/03/24 19:14

>>484
> ttp://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html

それって古いままやね。tramp.tar.gz ばらすと新しいのに
sync してありますぜ。

590 ：名無しさん＠お腹いっぱい。 ：02/03/24 21:07

>587
Host with IP number ***.***.***.*** tried to connect to
local port 21. This could be some kind of port scan
って感じだったんだが。

591 ：名無しさん＠お腹いっぱい。 ：02/03/24 21:59

tramp 使ってみました。こりゃ手放せなくなりそう。
日本語ドキュメントはありがたいです。でも、
http://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html
の「TRAMP ファイル名のきまり」は変じゃないですか?
/[メソッド名/ユーザ名@マシン名]/ としたらうまく逝きました。

592 ：名無しさん＠お腹いっぱい。 ：02/03/25 05:18

>> 591
see 589

593 ：ななし ：02/03/30 10:39

微妙にスレ違いな気がしないでもないんですが、質問です。
OpenSSHをいれるときに MD5を有効にしてコンパイルするってのが
ありますよね？。

このＭＤ５って、入れたほうが暗号化という面で見た場合、通常よりも有効なんでしょうか？4
http://wdic.asuka.net/?title=MD5
こっちで見たらSHA-1に主役の座を渡してるってあるし。
DESが64bit MD5が128bitでどうのこうのという記述を読むと、やっぱりなやむし。
現時点でコンパイルするとしたらどちらのほうがいいのでしょう？

594 ：名無しさん＠お腹いっぱい。 ：02/03/30 13:24

>>593
そもそも MD5 って暗号化アルゴリズムじゃないぞ。

595 ：名無しさん＠お腹いっぱい。 ：02/03/30 14:11

MD5って、SSHでは改竄を検出することに使ってるだけじゃないか？(よく知らん)

596 ：名無しさん＠お腹いっぱい。 ：02/04/01 16:58

新山さんと春山さんの買ったなり。

597 ：7743＠OpenSSH ：02/04/01 18:10

>>596
そして http://www.unixuser.org/~haruyama/security/openssh/support/ をブックマークに
追加する、と。

598 ：名無しさん＠お腹いっぱい。 ：02/04/01 18:11

どうしても「ニイヤマ」と読んでしまう。

599 ：名無しさん＠お腹いっぱい。 ：02/04/01 18:32

アラヤマと読んでいた。スマソ。

600 ：596 ：02/04/01 20:14

俺も最後のページで正しい読み方知った。
SKKのL辞書にも載ってないのでcgiに登録するなり。
著者略歴笑った。

601 ：名無しさん＠お腹いっぱい。 ：02/04/02 05:36

http://www.google.com/search?q=cache:0DiFJ8lfeoEC:www12.freeweb.ne.jp/shopping/miyucyan/fr_kenchin.htm+%82%AF%82%F1%82%BF%82%F1%8F%60+%82%C6%82%A4%82%D3+%90%D8%82%E9&hl=ja&start=24&lr=lang_ja
切る人もいるみたい。あとは握り潰す人も。
ちぎる > つぶす ??

602 ：名無しさん＠お腹いっぱい。 ：02/04/09 15:43

厨問で申し訳ないのだが・・・

サーバ：FreeBSD4.4-R & OpenSSH3.1p1
クライアント：W2K & TeraTermPro+ttssh

にて。
サーバ側で identity（RSA1）を作成し、FFFTP（アスキーモード）で
クライアントマシンにDLした。
だが、接続しようとすると
「The specified key file does not contain an SSH private key」
と表示され接続できない。

どうしたら良い？

603 ：名無しさん＠お腹いっぱい。 ：02/04/09 16:28

>>602
SSH1の秘密鍵(identity)はバイナリファイルです。

604 ：名無しさん＠お腹いっぱい。 ：02/04/09 17:21

>>602
細かいことかもしんないけど、
サーバ側で鍵を作るってのはいかがなものか。
puttygen.exe で作った鍵って TTSSH で使えない?
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

605 ：602 ：02/04/09 17:38

サンクスコ

606 ：602 ：02/04/09 17:43

>>604
そっか、ローカルで作ったほうが良いよね
サンクスコ

607 ：名無しさん＠お腹いっぱい。 ：02/04/11 13:20

SSH2のwindows用日本語版ソフトはないでしょうか？
できればGUIのものが良いです。
Puttyを使っているのですが、英語表記なのが難点です。
ご存知でしたらご紹介願います。

608 ：名無しさん＠お腹いっぱい。 ：02/04/11 13:23

ないれす。日本語化して使いなされ。
PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/l50

609 ：名無しさん＠お腹いっぱい。 ：02/04/11 13:24

昨日のssh君か。

610 ：名無しさん＠お腹いっぱい。 ：02/04/11 14:50

WinSCPを使用して、サーバに接続しようとすると
Public key packet not received.
というエラーが出てしまいます。
この理由がわからず困っています。
どなたか理由をご存知の方はいるでしょうか？
sshの場所で失礼ですが、教えて下さい。

611 ：名無しさん＠お腹いっぱい。 ：02/04/12 02:16

solaris8 でうまくopensshが動いてくれん。
泣きそうだ！
どっか良いページないか？

612 ：名無しさん＠お腹いっぱい。 ：02/04/12 02:26

>>611
どううまくいってないのか書かないことには
だれも助けられん。

613 ：名無しさん＠お腹いっぱい。 ：02/04/12 03:22

>>611
普通に動いているが...
ssh 、 sshd　ともに。
ちなみにsolaris8 64bit 10/01

614 ：初期不良 ：02/04/12 04:18

>>611
GCC のバージョンを落としたらうまくいったという話があったような

615 ：名無しさん＠お腹いっぱい。 ：02/04/12 08:44

>>612に同意。

>>611
・「uname -a」の実行結果は？
・いつうまくいかないの？コンパイル時、それとも実行時？
　（実行時だと思うが、一応...）
・動かそうと思っているOpenSSHのバージョンは？Solarisなんだから
　　http://www.openssh.com/ja/portable.html
　にある「移植版」を動かそうとしているよね？
・使用したコンパイラの種類、バージョンは？

とりあえず、>>613と同様、
　　SunOS ******** 5.8 Generic_108528-12 sun4u sparc SUNW,Sun-Blade-100
ではきちんと動作してますです。

616 ：名無しさん＠ＸＥｍａｃｓ ：02/04/12 09:58

>>610
> WinSCPを使用して、サーバに接続しようとすると
> Public key packet not received.
> というエラーが出てしまいます。
> この理由がわからず困っています。

WinSCP と sshd のバージョンは？

WinSCP1 と SSH2 な sshd で通信しようとするとそんなエラーが出る
というようなことをどっかで誰かがドイツ語で書いてるのを読んだ気
がする。

もしそうなら、sshd の管理者におねだりして SSH1 をサポートしても
らうか (おいらが管理者なら拒否するけど)、WinSCP2βにあぷしましょ
う。

βと言っても問題なく使えてるし (SSH2 プロトコルで公開鍵認証が使
えんのがいまいちだが)。

617 ：名無しさん＠お腹いっぱい。 ：02/04/14 19:47

>>616
お返事有難う御座います。
sshdのバージョンは3.0.1
WinSCPは1.00
です。

早速ですがβ版にVer.upしたところ使用できました。

618 ：名無しさん＠お腹いっぱい。 ：02/04/14 23:12

authorized_keys2のfrom句について、ホスト名とIPアドレスの両方を記述していないとrejectされる
ようになる設定ってどれなんでしょう?

619 ：名無しさん＠お腹いっぱい。 ：02/04/15 02:05

617さんのようにWinSCP2のβ版を使用しました。
サーバへのアクセスは出来たのですが、転送しようとすると
Command failed with return code 255.
と出てリモートからローカルへのファイルの移動が行えません。
またローカルからリモートへ移動しようとすると、
フリーズしてしまいます。
これはソフトのバグでしょうか？

620 ：名無しさん＠お腹いっぱい。 ：02/04/15 09:07

鍵を作らなくてもsshdが動いているサーバに
sloginできるのはどうしてでしょうか？

621 ：名無しさん＠お腹いっぱい。 ：02/04/15 09:08

鍵を使わない認証をしているからでは。

622 ：名無しさん＠お腹いっぱい。 ：02/04/22 01:09

TTSSH経由でいつものユーザーで作業をしてまして、ふと別のユーザーの分もsshの鍵を
作ったら便利だな、と思って鍵を作って普段用と同じようにauthorized_keysという名前にして
identityをクライアントにもっていって・・・とやってみたところ、そのユーザーではログインでき
ませんでした。
しかも、鍵の作り直しなどをそのマシンのコンソールから操作していまして、気づいたらクライアント
のWindows機からTTSSH経由でもはじかれるようになってしまいました。
鍵とパスフレーズは合っているようなのですが、解決策はありませんか？ヽ(`Д´)ﾉｳｧｧｧｧｧﾝ!!
「認証は失敗しました」とTTSSHではでています。

623 ：_ ：02/04/22 01:30

お、
　http://www.unixuser.org/%7Eharuyama/security/openssh/
が更新されている…「Kerberos/AFS support に弱点」とのこと。該当サイトの
管理者はご注意！

＃　春山センセ、ごくろうさまです m(__)m

624 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:04

>622
鍵の生成はどこでやってるの？サーバ側？
だったら新しい鍵を生成したとき古い鍵を上書きしてるのかも。
ちょっと落ち着いて考えて見れ。
なんか激しく手違いしてるかも知れんぞ？

625 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:08

kerberos使ってる人そんなにおるんかいな

626 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:26

>>624
鍵はサーバー側で作りました。
~/.ssh/にidentityとidentity.pubができまして、後者をauthorized_keysにリネームなのです。
もしかして、鍵を作り直すときに~/.ssh/以下の二つのファイルを消し去ってから作り直した
のがいけなかったんでしょうか・・・・(;´д`)

627 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:32

>>626
リネームじゃなくて追加すべきだった。

628 ：名無しさん＠お腹いっぱい。 ：02/04/22 02:42

>>622
＞ふと別のユーザーの分もsshの鍵を作ったら便利だな
私も同じ事を考えて、>>604を参考にクライアント側でパスフレーズだけを変えたその
ユーザーの秘密鍵作って、公開鍵identity.pubは更新せずにそのままサーバ側のそのユーザー
~/.ssh/authorized_keysにコピペ（キルヤン？）して、という風にしましたけど。。。
サーバのコンソールでログインできるなら、そこで一から作り直したほうが早いかもしれませんね。

629 ：名無しさん＠ＸＥｍａｃｓ ：02/04/23 18:47

>>623
> お、
> 　http://www.unixuser.org/%7Eharuyama/security/openssh/
> が更新されている…

全然関係ないけどこれ見て思い出したんで書いとこう。

http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_2

についてなんだけど、

>>実際にはこのファイルは公開鍵認証に使う秘密鍵と公開鍵両方の情
>>報を含んでいます (より厳密には、両方の鍵を生成するのに必要な
>>数値が格納されています)。

という記述は誤りね。いや、括弧のなかに『厳密』という文字列さえ
なければ別に気にもならなかったんだけど。

上の書き方からして RSA しか念頭になかったんでしょうが、そうだと
しても P と Q だけならともかく、D mod (P-1) や D mod (Q-1)、さ
らには Q^(-1) mod P まで保存されているので、これらを指して『両
方の鍵を生成するのに必要な数値』と言ってしまっては全然厳密じゃ
ないでしょう。

正しくは『秘密鍵を用いた処理を高速に実行するために必要な数値
(ただし RSA 限定)』といったところか。

630 ：a_a ：02/04/23 21:50

ところで zebedee ｽﾚってありましたっけ？

631 ：名無しさん＠お腹いっぱい。 ：02/04/23 22:00

前はあった。

632 ：新山 ：02/04/24 00:24

>>629
ご指摘ありがとうございます。直しときますー
ほかにもそういう細かい勇み足はけっこうありそうだなあ。

633 ：名無しさん＠お腹いっぱい。 ：02/04/25 00:33

lftpの操作性を備えたsftp(相当のプログラム)ってないかな？

634 ：名無しさん＠お腹いっぱい。 ：02/04/27 03:51

どうでもいいけど OpenSSH-3.2.1p1 はもう出てるんだろうか。。。

635 ：名無しさん＠お腹いっぱい。 ：02/04/27 03:57

>>634
まだ出てないな…というか、OpenBSD専用のものすら出てないみたい。
p://ftp.openbsd.org/pub/OpenBSD/OpenSSH/

あ、でも、↑のFTPサイトに openssh-3.1-adv.token.patch があるぞ。。

636 ：名無しさん＠お腹いっぱい。 ：02/04/27 04:04

configureスクリプトの--with-pid-dirが効かないぢゃないかｺﾞﾙｧ！
…と思って調べてみたら、すでに存在するディレクトリでないとダメなわけね。

開発者メーリングリストの方に流してしまうところﾀﾞﾀｰﾖ…(;´д`)

637 ：名無しさん＠お腹いっぱい。 ：02/04/28 00:46

てゆーか、本家の http://www.openssh.org/security.html を見ると
すでに 3.2.1 が出てることになってるんだが…

638 ：名無しさん＠お腹いっぱい。 ：02/04/29 06:49

cvs log version.h してみると
date: 2002/04/23 23:48:15; author: djm; state: Exp; lines: +2 -2
- (djm) OpenBSD CVS Sync
- markus@cvs.openbsd.org 2002/04/23 12:54:10
[version.h]
3.2.1
てなわけで、すでに version.h では
#define SSH_VERSION "OpenSSH_3.2.1p1"
ってなっているんだよね。

639 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:19

$ ssh localhost
としてやったら
Password:
と聞かれてここにパスワードやパスフレーズを書いてやったのですが
permission denied, please try apain.
と出るようになってしまいました。
もちろんTTSSH等からも同様にログインできませんが、それまでに何を
やってしまったかは忘れてしまいました・・・・
解決するのによい方法はありますか？

640 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:23

ibm の　Zseries / Linux どうも怪しい。

641 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:54

>>639
ssh -v localhost

642 ：age ：02/05/06 07:14

学校から家にログインしたいんだけど、firewallでHTTPしか学校の外に出られないんです。んで、調べたら
ttp://hp.vector.co.jp/authors/VA000770/docs/NikkeiLinux00-12/config.ja.html#FIREWALL
こんなの見付けたんだけど、
ProxyCommandに指定するものって他に1つしか見付からなかったんですよ。
なんかメジャーなものって他にあるんですか?
それともこんな環境で使っている人ってあんまりいないのかな?

643 ：名無しさん＠お腹いっぱい。 ：02/05/06 10:05

>>642
http://www.agroman.net/corkscrew/
http://proxytunnel.sourceforge.net/
多分他にもいっぱいある。

644 ：age ：02/05/06 20:57

>>643
これのWindowsで使えるものってあります?
あ、Cygwin上でじゃなくて。
というか無理なような気もするんですが...。

645 ：名無しさん＠お腹いっぱい。 ：02/05/06 21:56

家のsshdのポートを80にしちゃえ

646 ：名無しさん＠お腹いっぱい。 ：02/05/07 02:15

ttp://www.taiyo.co.jp/~gotoh/ssh/connect.html
これは?

647 ：名無しさん＠ＸＥｍａｃｓ ：02/05/07 08:18

>>645
> 家のsshdのポートを80にしちゃえ

https のための 443 が開いてるならそっちでも可。

♯httptunnel を知らなかった頃、実際に sshd@443 してたことがある

648 ：名無しさん＠お腹いっぱい。 ：02/05/14 19:53

WinSCP使って鯖に接続してるんですけど
鯖の設定でちょっと問題がでてきました。

1.ユーザーのデフォルトシェルを
/usr/bin/passwd
にすると接続できなくなる
それと

2.ログインしたときに特定のディレクトリしか見せないようにしたい。

以上のことってscpじゃ無理なんですかね。
FTPライクに使いたいんですが。

649 ：名無しさん＠お腹いっぱい。 ：02/05/15 01:00

>>648
> 1.ユーザーのデフォルトシェルを
cat /usr/bin/passwd >>/etc/shells
で解決したりする?

650 ：名無しさん＠Ｅｍａｃｓ ：02/05/15 01:13

>>649
しない

651 ：名無しさん＠お腹いっぱい。 ：02/05/15 01:38

>>649
cat じゃねーや。
echo /usr/bin/passwd >>/etc/shells

652 ：名無しさん＠ＸＥｍａｃｓ ：02/05/15 10:46

>>648
> 1.ユーザーのデフォルトシェルを
> /usr/bin/passwd
> にすると接続できなくなる

scp が作動するためには、クライアントで動く scp/sftp プロセスと
通信する scp/sftp-server プロセスを SSH コネクションを受けたサー
バ側で新たに立ち上げられなければならないんで、そのような操作を
許容しない passwd なんてのが user の shell として指定されてたら
そりゃ動かんでしょう。

♯WinSCP のログを見ればどんなことをやってるか判ると思うが。

> 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

やったことないけど、適当に chroot 環境を作るか、サーバが FreeBSD
なら jail を使うかすればできるのでは？

ssh.com 版の ssh だと ssh-chrootmgr ってのが付いていて、そんな
用途に使えそうではある。

653 ：名無しさん＠お腹いっぱい。 ：02/05/15 11:09

> 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

http://mail.incredimail.com/howto/openssh/
このへん参考になるかも。

漏れは、このパッチの /etc/passwd の pw_dir に chroot 先と home directory
を両方書くってのがキモチワルかったので、/etc/chroot.conf ってファイルに
その辺の情報を分離するように書き直して使ってるよ。

654 ：名無しさん＠お腹いっぱい。 ：02/05/15 11:47

>652,653
ありがとうございます．
やっぱりシェルは使わないと駄目そうですね．
chrootのほうはなんとかなりそうなんで
ちょっと試してみます．

655 ：よっしゃ！ ：02/05/17 16:07

OpenSSH-3.2.2p1 age

656 ：名無しさん＠お腹いっぱい。 ：02/05/17 17:33

>>655
うぐぅ。logout しても connection が切れてくれない…。sshd_config
見ても新しい設定が必要なわけじゃなさそうだし。

657 ：名無し ：02/05/17 21:08

>>656

もしかして Solaris 上で sshd 使われてます？

バグっぽい気がします。

658 ：名無しさん＠お腹いっぱい。 ：02/05/17 22:26

>>657
そそ。Solaris8。やっぱり bug かな?

659 ：421 ：02/05/17 23:41

>>658
もし bash を使っているなら，
.bash_profile に↓を追加してみてみー

shopt -s huponexit

660 ：名無し ：02/05/17 23:44

>>658
これでしょう。

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102162337505003&w=2

661 ：名無しさん＠お腹いっぱい。 ：02/05/18 00:02

>>660

これ↓もね

http://www.openssh.org/ja/faq.html#3.10

read.cgi ver5.26+ (01/10/21-)