レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10

についての情報交換。

639 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:19

$ ssh localhost
としてやったら
Password:
と聞かれてここにパスワードやパスフレーズを書いてやったのですが
permission denied, please try apain.
と出るようになってしまいました。
もちろんTTSSH等からも同様にログインできませんが、それまでに何を
やってしまったかは忘れてしまいました・・・・
解決するのによい方法はありますか？

640 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:23

ibm の　Zseries / Linux どうも怪しい。

641 ：名無しさん＠お腹いっぱい。 ：02/04/30 00:54

>>639
ssh -v localhost

642 ：age ：02/05/06 07:14

学校から家にログインしたいんだけど、firewallでHTTPしか学校の外に出られないんです。んで、調べたら
ttp://hp.vector.co.jp/authors/VA000770/docs/NikkeiLinux00-12/config.ja.html#FIREWALL
こんなの見付けたんだけど、
ProxyCommandに指定するものって他に1つしか見付からなかったんですよ。
なんかメジャーなものって他にあるんですか?
それともこんな環境で使っている人ってあんまりいないのかな?

643 ：名無しさん＠お腹いっぱい。 ：02/05/06 10:05

>>642
http://www.agroman.net/corkscrew/
http://proxytunnel.sourceforge.net/
多分他にもいっぱいある。

644 ：age ：02/05/06 20:57

>>643
これのWindowsで使えるものってあります?
あ、Cygwin上でじゃなくて。
というか無理なような気もするんですが...。

645 ：名無しさん＠お腹いっぱい。 ：02/05/06 21:56

家のsshdのポートを80にしちゃえ

646 ：名無しさん＠お腹いっぱい。 ：02/05/07 02:15

ttp://www.taiyo.co.jp/~gotoh/ssh/connect.html
これは?

647 ：名無しさん＠ＸＥｍａｃｓ ：02/05/07 08:18

>>645
> 家のsshdのポートを80にしちゃえ

https のための 443 が開いてるならそっちでも可。

♯httptunnel を知らなかった頃、実際に sshd@443 してたことがある

648 ：名無しさん＠お腹いっぱい。 ：02/05/14 19:53

WinSCP使って鯖に接続してるんですけど
鯖の設定でちょっと問題がでてきました。

1.ユーザーのデフォルトシェルを
/usr/bin/passwd
にすると接続できなくなる
それと

2.ログインしたときに特定のディレクトリしか見せないようにしたい。

以上のことってscpじゃ無理なんですかね。
FTPライクに使いたいんですが。

649 ：名無しさん＠お腹いっぱい。 ：02/05/15 01:00

>>648
> 1.ユーザーのデフォルトシェルを
cat /usr/bin/passwd >>/etc/shells
で解決したりする?

650 ：名無しさん＠Ｅｍａｃｓ ：02/05/15 01:13

>>649
しない

651 ：名無しさん＠お腹いっぱい。 ：02/05/15 01:38

>>649
cat じゃねーや。
echo /usr/bin/passwd >>/etc/shells

652 ：名無しさん＠ＸＥｍａｃｓ ：02/05/15 10:46

>>648
> 1.ユーザーのデフォルトシェルを
> /usr/bin/passwd
> にすると接続できなくなる

scp が作動するためには、クライアントで動く scp/sftp プロセスと
通信する scp/sftp-server プロセスを SSH コネクションを受けたサー
バ側で新たに立ち上げられなければならないんで、そのような操作を
許容しない passwd なんてのが user の shell として指定されてたら
そりゃ動かんでしょう。

♯WinSCP のログを見ればどんなことをやってるか判ると思うが。

> 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

やったことないけど、適当に chroot 環境を作るか、サーバが FreeBSD
なら jail を使うかすればできるのでは？

ssh.com 版の ssh だと ssh-chrootmgr ってのが付いていて、そんな
用途に使えそうではある。

653 ：名無しさん＠お腹いっぱい。 ：02/05/15 11:09

> 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

http://mail.incredimail.com/howto/openssh/
このへん参考になるかも。

漏れは、このパッチの /etc/passwd の pw_dir に chroot 先と home directory
を両方書くってのがキモチワルかったので、/etc/chroot.conf ってファイルに
その辺の情報を分離するように書き直して使ってるよ。

654 ：名無しさん＠お腹いっぱい。 ：02/05/15 11:47

>652,653
ありがとうございます．
やっぱりシェルは使わないと駄目そうですね．
chrootのほうはなんとかなりそうなんで
ちょっと試してみます．

655 ：よっしゃ！ ：02/05/17 16:07

OpenSSH-3.2.2p1 age

656 ：名無しさん＠お腹いっぱい。 ：02/05/17 17:33

>>655
うぐぅ。logout しても connection が切れてくれない…。sshd_config
見ても新しい設定が必要なわけじゃなさそうだし。

657 ：名無し ：02/05/17 21:08

>>656

もしかして Solaris 上で sshd 使われてます？

バグっぽい気がします。

658 ：名無しさん＠お腹いっぱい。 ：02/05/17 22:26

>>657
そそ。Solaris8。やっぱり bug かな?

659 ：421 ：02/05/17 23:41

>>658
もし bash を使っているなら，
.bash_profile に↓を追加してみてみー

shopt -s huponexit

660 ：名無し ：02/05/17 23:44

>>658
これでしょう。

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102162337505003&w=2

661 ：名無しさん＠お腹いっぱい。 ：02/05/18 00:02

>>660

これ↓もね

http://www.openssh.org/ja/faq.html#3.10

662 ：660 ：02/05/18 00:43

う〜む、私が厨房なだけなんでしょうけど。

bash ユーザなんですが少なからず .bash_profile に
shopt -s huponexit を書くだけでは何も変化しない
みたいです。

663 ：名無しさん＠お腹いっぱい。 ：02/05/18 00:46

>>662
.bashrc だたらどお？

664 ：660 ：02/05/18 00:58

.bashrc でも変化しませんでした。

"Sounds like race condition bug." てな意見も
出ているみたいです。

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102164965826471&w=2

665 ：名無しさん＠お腹いっぱい。 ：02/05/18 01:22

>>664
漏れんとこだと問題ないんだけどなぁ
ちなみに

$ uname -a
SunOS blade 5.8 Generic_108528-13 sun4u sparc SUNW,Sun-Blade-100
$ ssh -V
OpenSSH_3.0.2p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f

666 ：660 ：02/05/18 01:46

>>665
OpenSSH_3.2.2p1 にしたら logout しても connection が
切れなくなった、何でだろ？という話だったと思います。

Blade 100 ユーザさんなんですね。羨ましい。

667 ：名無しさん＠お腹いっぱい。 ：02/05/18 01:51

>>666
ウトゥだ氏のう

668 ：660 ：02/05/18 14:40

>>658
以下の patch で私の所では直りました。
http://bugzilla.mindrot.org/showattachment.cgi?attach_id=96

669 ：名無しさん＠お腹いっぱい。 ：02/05/18 18:39

>>666
うちも3.2.2p1に上げたら同じようにconnectionが切れなくなりました。
ついでにsuも出来なくなったりして。/dev/ttyが開けないとかいって
怒られちゃいます。なんでだろ？

670 ：名無しさん＠お腹いっぱい。 ：02/05/20 14:11

OpenSSH 3.2.2p1 に TCP Wrapper かますように
configure して、インストールしてみたのですが、
hosts.deny に sshd:all と書いて、
hosts.allow に sshd:192.168. と書いても
内部ネットワークホストからアクセスできません。
sshd: 0.0. と書くと何故かアクセスできます。

何が悪いのでしょう？

671 ：名無しさん＠お腹いっぱい。 ：02/05/20 21:00

OpenSSH_3.2.2p1にしたらemacsでctrl-gでコネクションが切れる（鬱
Solarisなんだよなぁ。

672 ：669 ：02/05/20 21:33

時間が出来たので上記のパッチを試してみたところ、
これまで通りの挙動をするようになりました。

いやあ、よかったよかった。

673 ：名無しさん＠お腹いっぱい。 ：02/05/21 11:10

>>670
> hosts.deny に sshd:all と書いて、
ALL は小文字でもいいんだっけ?

674 ：ぬー ：02/05/23 22:26

OpenSSH-3.2.3p1 age

675 ：名無しさん＠お腹いっぱい。 ：02/05/25 03:39

異なるものを両方ともSSHと呼んでしまったために、紛らわしかったり
誤解が生じたりしているのが、よくない。
通信の為のプロトコルに紛らわしさがあるのはよろしくないから、
改名するなどして、分かれた方がよくないかい。バイナリ-や
デーモンの名前も違えるべきだった。

676 ：名無しさん＠お腹いっぱい。 ：02/05/25 03:44

>>675
TatuとTheoにそう言ってよ。
あんた何者?

677 ：名無しさん＠お腹いっぱい。 ：02/05/25 03:48

OpenSSH と F-Secure SSH はそう呼べば紛れないけど、
ftp://ftp.ssh.com/pub/ssh/ のはなんて呼んでる?

678 ：名無しさん＠ＸＥｍａｃｓ ：02/05/25 09:19

> OpenSSH と F-Secure SSH はそう呼べば紛れないけど、
> ftp://ftp.ssh.com/pub/ssh/ のはなんて呼んでる?

(ssh.)com 版 ssh

♯芸なしでｽﾏﾝ

679 ：名無しさん＠お腹いっぱい。 ：02/05/30 23:38

local OpenSSH_2.9 FreeBSD localisations 20020307, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
remote OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

localでssh-keygen -t dsaして~/.ssh/id_dsaと~/.ssh/id_dsa.pubを作りました。
id_dsa.pubをremoteに転送してremoteの~/.ssh/authorized_keys2に入れました。

ssh -2 remote_ipで公開鍵認証しようとするとパスフレーズではなくパスワードを聞かれてしまいます。
ssh -vの結果はこうです。どうすれば公開鍵認証出来るのでしょうか？

OpenSSH_2.9 FreeBSD localisations 20020307, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: restore_uid
debug1: ssh_connect: getuid 1001 geteuid 1001 anon 1
debug1: Connecting to P6IWP [192.168.0.3] port 22.
debug1: temporarily_use_uid: 1001/0 (e=1001)
debug1: restore_uid
debug1: temporarily_use_uid: 1001/0 (e=1001)
debug1: restore_uid
debug1: Connection established.
debug1: identity file /home/mona-/.ssh/id_rsa type -1
debug1: identity file /home/mona-/.ssh/id_dsa type 2
debug1: Remote protocol version 1.99, remote software version OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614
debug1: match: OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614 pat ^OpenSSH_2\.5\.[012]
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_2.9 FreeBSD localisations 20020307
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST_OLD sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: dh_gen_key: priv key bits set: 124/256
debug1: bits set: 1035/2049
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'p6iwp' is known and matches the DSA host key.
debug1: Found key in /home/mona-/.ssh/known_hosts2:1
debug1: bits set: 1022/2049
debug1: len 55 datafellows 49152
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/mona-/.ssh/id_rsa
debug1: try pubkey: /home/mona-/.ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password

680 ：名無しさん＠お腹いっぱい。 ：02/05/31 00:16

>>679
authorized_keys2 のパーミッションが 666 とかになってるってことはないでしょうか?
サーバ側のログみないとなんともいえないけど、
もしサーバ側で bad ownership or modes for directory ほにゃららになってたらそれです。

681 ：考えてみよう。。。 ：02/05/31 00:16

すなわち、DSAを用いた公開鍵認証を行いたいわけですよね。

リモート側ではDSAを用いた公開鍵認証をサポートしている状態になってますか？

原因とは関係ないかもしれないけど、一応…

682 ：679 ：02/05/31 00:35

>>68{0..1}

リモートの~/.sshのパーミッションを700にしたらO.Kでした。
ありがとう。

683 ：名無しさん＠お腹いっぱい。 ：02/05/31 06:26

screenを使って仮想画面をいくつか使っている時に
ssh-agentが、ssh-addした仮想画面でしか有効ではない
のですがこういうものなのでしょうか？

つまり、同じユーザが同じマシン上でも、ssh-addしてない仮想画面で
sshで接続しようとするとパスフレーズを聞かれてしまうのです。

仮想画面毎にssh-addするのも綺麗じゃないと思うのですが。

684 ：名無しさん＠お腹いっぱい。 ：02/05/31 08:56

>>683
> ssh-agentが、ssh-addした仮想画面でしか有効ではない

「ssh-addした仮想画面でしか有効ではない」のではなくて、
「ssh-agent した仮想画面でしか有効ではない」のでしょう。

ssh-agent してから screen をたちあげれば、
ひとつの仮想画面で ssh-add するだけで ok ですよ。

わたくしは「ssh-agent screen」のようにして screen を起動しております。

685 ：名無しさん＠お腹いっぱい。 ：02/05/31 11:33

keychainを使えばいいと思う。

686 ：683 ：02/05/31 13:37

>>684,685
なるほど。keycainが便利そうなので試してみます。
zshの場合はbashの~/.bash_profileに対応するファイルはなんなのでしょうね？

687 ：名無しさん＠お腹いっぱい。 ：02/05/31 13:59

>>686
オレは ~/.zshenv で keychain がらみの設定してる

688 ：683 ：02/05/31 14:44

>>687
~/.zshenvをこうしてみました。

/usr/local/bin/keychain ~/.ssh/id_dsa
source ~/.ssh-agent-${HOSTNAME} > /dev/null
source ~/.zshrc

起動時に
/home/hiroyuki/.zshenv:source:26: no such file or directory: /home/hiroyuki/.ssh-agent-
こう出ます。

あなたの参考に見せてもらえませんか？

689 ：名無しさん＠ＸＥｍａｃｓ ：02/05/31 14:44

>>685
> keychainを使えばいいと思う。

おいらなら使わないことを勧めるが。

秘密鍵握った ssh-agent がユーザのコントロールを離れて永続するって
結構悪夢だと思う。

ま、環境にもよるんだろうけどね。

690 ：名無しさん＠Ｅｍａｃｓ ：02/05/31 15:19

>>687
HOSTNAME がセットされてないだけでは？
source ~/.ssh-agent-`hostname` でいけるでしょう．っていうか ls -a すれ．

>>689
ssh-agent の永続については，
http://www.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
ここ見て keychain --clear すればプロセスからは抜けないので
なんとかなるかなぁと思ったが，

http://www.ibm.com/jp/developerworks/linux/020426/j_l-keyc3.html
こっちみるとちょっと違う(抜け出せそうな)感じ．下のほうまだ読んでないので誰か
結論まとめて欲しいなと．

691 ：名無しさん＠お腹いっぱい。 ：02/05/31 15:43

>>689
> おいらなら使わないことを勧めるが。

おれも同意っす。
keychain のスクリプトをみてみたが、はっきりいって複雑すぎる。
こんな機構が必要な状況はあまりないと思う。
一般ユーザが cron で ssh なんて普通使わんでしょ。

IMHO, eval `ssh-agent` という使い方はやめるべき。
ssh-agent の子プロセスとしてシェルを上げるほうが正解。

692 ：名無しさん＠お腹いっぱい。 ：02/05/31 15:45

>>691
> IMHO, eval `ssh-agent` という使い方はやめるべき。
> ssh-agent の子プロセスとしてシェルを上げるほうが正解。

OpenSSHセキュリティ管理ガイドはeval `ssh-agent`を使っていますね。

693 ：名無しさん＠ＸＥｍａｃｓ ：02/05/31 16:02

> ssh-agent の永続については，

--clear オプションってのは、.bash_profile (なりなんなり) に、

keychain ~/.ssh/id_rsa

と書く代わりに

keychain --clear ~/.ssh/id_rsa

と書いておくことで、ちゃんと起動スクリプトを読ませるような入り
方をするお行儀の良い侵入者がこいつを踏んで ssh-agent が握ってる
秘密鍵を自分でクリアしてくれることを期待するって程度の話。

♯だとしか思えんのだが、間違っていたら誰か突っ込んでくれ。

だもんでまぁ、運が良ければそれでうまく行くかもしれんわなぁ。

で、プロセスから抜けずに秘密鍵をクリアするだけなら適宜 ssh-add -D
すりゃいい話ね。その代わり keychain のご利益はまったくなくなる
という諸刃の剣。

> こっちみるとちょっと違う(抜け出せそうな)感じ．下のほうまだ読んでないので誰か
> 結論まとめて欲しいなと．

下の方は『移植性を高めるためにこんなに苦労したんですよ』という
自慢話なので、読まなくてもよろし (?)。

まとめになってるかどうかは知らんが、

http://www.vicus-oryzae.com/gorua/

なんてページは書いてみた。

694 ：新山 ：02/05/31 16:12

自分がやってる方法を書いておきます。
いずれwebにでもまとめておきます。
この方法は最近思いついた。ごめんなさい。

1. ログインすると ssh-agent 環境下で kterm が起動する。
2. xinitrc (xsession) 内で別に起動した kterm 上でも同じ ssh-agent が利用可能。
　(これは$SSH_AUTH_SOCK を固定したパス名に symlink することにより実現)
3. 欠点: 同一ユーザが同時に2つ以上のxdmからログインすると
　また鍵を追加しなおさねばならない (が、ssh-agent が残る可能性はない)。
4. ssh1 を実行すれば、パスフレーズ聞かれるのは最初だけ。
　いっかいどこかのウインドウでやっておけばあとはどの端末からでも ok。
5. ログアウトすると鍵は無効になる。ssh-agent は残らない。

.xinitrc (.xsession) --------------------------------------
# SSH_AUTH_SOCK に ~/.ssh/authsock を入れて各 Xクライアントを起動しておく
export SSH_AUTH_SOCK=$HOME/.ssh/authsock
kterm &
twm &

# 最後に ssh-agent をあげる、このとき本物のソケットを
# ~/.ssh/authsock にシンボリックリンクさせる。
exec ssh-agent kterm -e sh -c 'ln -fs $SSH_AUTH_SOCK $HOME/.ssh/authsock; export SSH_AUTH_SOCK=$HOME/.ssh/authsock; exec bash'

.bashrc ---------------------------------------------------
# 関数 sshon1: 鍵がまだ追加されてなければ追加する。
function sshon1 {
　if [ ! "$SSH_AUTH_SOCK" ]; then echo 'SSH_AUTH_SOCK is not set.'; return 1; fi
　if ! (ssh-add -l 2>&1 | grep '(RSA1)'); then ssh-add ~/.ssh/identity; fi
}
# ssh1: エージェントに鍵がなければ、鍵を追加してから ssh 実行。
function ssh1 { sshon1 && command ssh $*; }

695 ：690 ：02/05/31 17:30

>>693
をぉ，これはどうも．すばらしいです．

で，pam_ssh は最近の FreeBSD だと標準で入ってます．といっても，
4.6 以降なのでまだリリースされたばっか(まだかな?)のやつ以降ですが．

696 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:42

sftpってファイルの補完が出来ますか？

697 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:43

s/ファイル/ファイル名/

698 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:48

>>696
OpenSSHじゃないSSHはsftpで補完が効くらしいよ。

699 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:52

>>696
クライアントの作りしだいでないの?
ncftp とか lftp って sftp に対応しないのかな。

700 ：名無しさん＠お腹いっぱい。 ：02/05/31 22:55

>>699
sftpはFTPではありません。

701 ：699 ：02/05/31 22:59

>>700
それが何か?

702 ：名無しさん＠お腹いっぱい。 ：02/05/31 23:02

>>701
いえ、何も。

703 ：名無しさん＠お腹いっぱい。 ：02/05/31 23:07

ftpクライアントがsftp-serverに接続できるわけない…。

704 ：699 ：02/05/31 23:12

>>703
sftp クライアントになってくんないかな、
って言ってんの。
lftp は HTTP クライアントになれるじゃん。

705 ：名無しさん＠ＸＥｍａｃｓ ：02/06/01 17:34

>>695
> で，pam_ssh は最近の FreeBSD だと標準で入ってます．といっても，
> 4.6 以降なのでまだリリースされたばっか(まだかな?)のやつ以降ですが．

情報感謝っす。ってことなら SSH2 対応が期待できるかな。

わくわく。

706 ：名無しさん＠ＸＥｍａｃｓ ：02/06/01 17:41

>>698
> OpenSSHじゃないSSHはsftpで補完が効くらしいよ。

F-secure のはわかんないけど、ssh.com 版の sftp はたしかに補完が
効くね。なので、Linux か {Free,Net,Open}BSD 使いなら sftp だけ
は com 版を使うって手はあるだろね。

あと、sftp 対応の ftp クライアントなら

http://yafc.sourceforge.net/

なんてのがあるみたい。

で、できるのかどうかよく知らんけど、scp で shell の completion
に頼るってのもアリなのでは。たとえば zsh とかなら。

707 ：名無しさん＠お腹いっぱい。 ：02/06/02 01:24

すみません、お伺いしたいんですがPDAで動くSSHってのはやはりないんでしょうか？
どんなPDAでもかまいません。

708 ：名無しさん＠お腹いっぱい。 ：02/06/02 02:20

Palm 用 ssh があったような。ただし passwd 認証のみでアレ。
US 版 Zaurus は当然ながら OpenSSH そのものが動く。

CE あたりでもありそうだけど、日本語通るのはなさそうな気が...

709 ：名無しさん＠お腹いっぱい。 ：02/06/02 03:14

ttp://www.fuji-climb.org/pf/JP/

これだとだめ？＜ＣＥ
OpenSSHとはちょと違うみたいではあるけど。

710 ：名無しさん＠お腹いっぱい。 ：02/06/03 02:58

US 版 Zaurusってどこで買えるんでしょうか？
日本からもクレジットカードとかで買えますか？
お勧めの機種は何でしょうか？PDAは初めてなので全くのド素人です・・。
あと、その場合P-in compactなどを使ってそのまま通信できるのでしょうか？
どなたか実際に使われている方のホームページなどの情報はないのでしょうか？
いろいろすみません・・。

711 ：名無しさん＠お腹いっぱい。 ：02/06/03 04:38

それは、Zaurusでsshを使うための前振なのか‥？
明らかにハードウェア板やPC板の管轄じゃないのか？

712 ：名無しさん＠ＸＥｍａｃｓ ：02/06/03 13:41

>>709
> ttp://www.fuji-climb.org/pf/JP/
>
> これだとだめ？＜ＣＥ
> OpenSSHとはちょと違うみたいではあるけど。

ダメではないけど、SSH client ではなく“Port Forwarder”なんだか
ら、こいつで local に forward した telnet port に対して telnet
client を起動、とかの二度手間かける必要はある。

あと、SSH1 プロトコルにしか対応してないというのもいまとなっては
ちょっとね。

あ、そう言えば、全然関係ないんだけど、新山さんって

>>694
> 　if ! (ssh-add -l 2>&1 | grep '(RSA1)'); then ssh-add ~/.ssh/identity; fi

を見る限りまだ SSH1 現役？

結構勇者かも。

713 ：名無しさん＠お腹いっぱい。 ：02/06/04 23:44

端末一台(PC)と、ホスト(HP,SUN)が三台あって、
端末から $ X -query hostname
としてXを使っているのですけれども、こういう使い方で
sshを使った暗号化通信はできるのでしょうか？

ssh -R を使えばできそうな気がするのですが今ひとつ
理解できていないのでうまくいきません。

ご存じの方教えて下さい。

714 ：名無しさん＠お腹いっぱい。 ：02/06/05 00:40

>>713
http://www.tldp.org/HOWTO/XDMCP-HOWTO/procedure.html

> Using XDMCP is inherently insecure, therefore, most of the
> distributions shipped as it's XDMCP default turned off. If you
> must use XDMCP, be sure to use it only in a trusted networks,
> such as corporate network within a firewall. Unfortunately,
> XDMCP uses UDP, not TCP, therefore, it is not natively able to
> use it with SSH. To secure the connection with SSH, the
> technique is called X11 TCP/IP Port Forwarding.

XDMCPを使うのは本質的に危険です。なのでほとんどの
ディトリビューションでは XDMCP はデフォルトで禁止されています。
XDMCP を使わなければならないとしたら、ファイヤーウォールの中などの
信頼されたネットワーク間でだけにしてください。残念ながら
XDMCP は TCP ではなく UDP を使っているので、そのまま SSH を使う
ことはできません。SSH を使って接続を安全にする場合は、
X11 転送と呼ばれる技術を使います。

715 ：713 ：02/06/06 02:27

>>714
さんくす。

暗号化が必要なほどセキュリティが求められるところではXDMCPは使うなと、
必要なければそれでよし。

んでもってそもそもXDMCPはssh暗号化不可能。
XDMCPプロトコル詳しく知らなかったよ…。

716 ：名無しさん＠お腹いっぱい。 ：02/06/07 14:41

新規でOpenSSH-3.2.2p1を入れたのだが、何故かパスワードの認証は駄目・・・
ＲＡＳ認証は通るのに何故でしょう？
手順は以下
OpenSSL 0.9.6ｃを./configure make make　install
zlib1.1.4を./config make make install
OpenSSH-3.2.2p1を./configure --with-pam make make install
した。
cp contrib/redhat/sshd.init /etc/rc.d/init.d/sshd
chmod +x /etc/rc.d/init.d/sshd
/sbin/chkconfig --add sshd
cp contrib/redhat/sshd.pam /etc/pam.d/sshd

ＰＡＭが怪しいので下記に記載します。
#%PAM-1.0
auth required /lib/security/pam_pwdb.so shadow nodelay
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so
session required /lib/security/pam_limits.so

sshd_config

Port 22
Protocol 1
HostKey /usr/local/etc/ssh_host_key
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 600
PermitRootLogin no
RSAAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsAuthentication no
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
PasswordAuthentication yes
PermitEmptyPasswords no
ChallengeResponseAuthentication yes
X11Forwarding no
X11DisplayOffset 10
X11UseLocalhost yes
KeepAlive yes
UseLogin no
UsePrivilegeSeparation no
Subsystem sftp /usr/local/libexec/sftp-server

長文になり申し訳ないのですが、お分かりになられる方
教えて頂けると助かります。

717 ：名無しさん＠お腹いっぱい。 ：02/06/07 14:48

どう駄目なんかがわからん

718 ：716 ：02/06/07 16:17

>>717
ｽﾏｿ
/var/log/messageには
lease150 sshd[1586]: Failed password for admin from アドレス
port 1141
出ているが・・・。なんでFailed password なんだ！
rsa認証は通るのに・・

719 ：717ではないが… ：02/06/07 19:17

>>718
それだけではやはり分かりません。
まず最初に、きちんと動かそうとしている環境を書きましょう。使用している
OSは何？サーバ側だけでなくクライアント側のも書くよーに！

クライアント側のOSがUNIX系のもの（Linuxも含む）だったら、
[client]% ssh -vvv svhost
というように、-vvvを追加して試してみてよ。

720 ：名無しさん＠お腹いっぱい。 ：02/06/08 22:04

OpenSSH 3.2.3p1を使っています。

$ ssh -f localhost xterm
$ ssh -f localhost xload
など、ほとんどのものはX転送できるのですが、なぜか
ktermのときだけ
$ ssh -f localhost kterm
X11 connection rejected because of wrong authentication.
X connection to localhost:10.0 broken (explicit kill or server shutdown).
とでて転送できません。

ktermを転送できるようにしたいのですが、何かヒントをいただけないでしょうか?

721 ：名無しさん＠お腹いっぱい。 ：02/06/09 10:26

>>720
こういう条件には当てはまりそうですか? 当てはまるなら kterm へのパッチが出ている

kterm-6.2.0 を以下のような環境で利用していると、
OS: NetBSD-1.1, NetBSD-1.2, FreeBSD-2.2.2
認証方式: MIT-MAGIC-COOKIE-1
その他の条件: ホームディレクトリは別マシンにあり、NFS で
マウントしている。NFS サーバは kterm の走行す
るマシンに対して、root アクセスを許していない。
ファイル .Xauthority へアクセスできないため、下記のようにエラーが起こ
ることがあります。
% ./kterm
Xlib: connection to ":0.0" refused by server
Xlib: Client is not authorized to connect to Server
./kterm Xt error: Can't open display: :0.0

722 ：720 ：02/06/09 18:14

OSが>>721さんが書かれたものと違う(私の環境:VineLinux2.5)こと以外は、ばっちりあてはまります。
そういえば>>721さんの書かれている問題も出ていました。
そのときは
http://vine.ic.sci.yamaguchi-u.ac.jp/VineUsersML/5/msg00361.html
の方法で騙せて(?)いたのですが、今回はこの方法でもうまく行かなかったので
質問致しました。


パッチを探してみました。
http://lct.dei.uc.pt/download/ftp/pub/FreeBSD/2.2.8RELEASE/CD3/distfiles/kterm-6.2.0.NFS-xauth.patch
ですね。

SRPMをいじるのは初めてだったのですが、特に問題もなくビルドできました。
このパッチを当てたktermで>>720の問題も解決致しました。

どうも、ありがとうございました。

723 ：名無しさん＠お腹いっぱい。 ：02/06/09 19:45

>>714
UDP over(netcat) TCP over SSH

724 ：名無しさん＠お腹いっぱい。 ：02/06/10 03:40

>>723
ま、そこまでしてXDMCPが欲しいか、という問題でしょうね。

725 ：名無しさん＠お腹いっぱい。 ：02/06/13 14:51

OpenSSH 3.2.3p1を使っていて、ＯＳはコバルトキューブ3になります。
すべてインストール完了し/etc/rc.d/init.d/sshdを起動させた所
$Starting sshd:/etc/rc.d/init.d/sshd: initlog: command not found
ERROR!
のエラーがでてしまいました。rc.d/init.d/sshdのstart部分を
initlog -c "$SSHD $OPTIONS" && success || failure
↓
$SSHD -f /usr/local/etc/sshd_configに変更した所、うまく起動しました。
もしお分かりになられる方がいましたら、initlog -c のコマンドは何を行って
いるのでしょうか？

726 ：名無しさん＠お腹いっぱい。 ：02/06/14 08:40

sshでトンネル掘って、主にポートフォワーディング目的で利用する場合、
フォワーディングされるコネクションについては
むしろ暗号化して欲しくない
（暗号化するとデータ転送が重い、セキュリティは問題にならない）
と思うことがありますが、そういうことは可能ですか？

またそういう場合、つまり、暗号化よりも
ファイアウォールやNATのすり抜けのためのポートフォワーディングが
したいだけの場合、どうしてますか？

727 ：名無しさん＠お腹いっぱい。 ：02/06/14 08:52

> ファイアウォールやNATのすり抜けのためのポートフォワーディングが
> したいだけの場合、どうしてますか？

ぼくは以前 tcpserver と50行ぐらいの自前プログラムでやりましたが、
一般的にはstoneじゃないでしょうか。
www.gcd.org/sengoku/stone/

728 ：名無しさん＠お腹いっぱい。 ：02/06/14 09:31

>>727
stone だと、NATの外側から NATの内側にコネクションを張れないと思います。
ここでは、NATは基本的に「内側→外側」へのアクセスしかできず、
この設定は変更できないという前提です。

そこで、sshであらかじめ「内側→外側」に繋いでトンネルを掘っておく
わけですが、このトンネルについては暗号化しないで欲しいという要求です。

729 ：名無しさん＠お腹いっぱい。 ：02/06/14 10:01

>>728
前提がわからんな。
stone は NAT 関係ないんで、外から内側へのコネクションも問題なく張れる。

もっと具体的な例ｷﾎﾞﾝﾇ

730 ：729 ：02/06/14 10:03

ていうか、stone でフォワードできないような環境だったら
ssh のポートフォワードだってダメなような気がする。

>>728 は何か勘違いしているような。

731 ：728 ：02/06/14 10:21

>>729 >>730
NATの内側にプライベートアドレスのmyhost
外側にグローバルアドレスのremotehostがあります。

sshなら、あらかじめ内側から
myhost$ ssh remotehost -g -R 80:myhost:10080
としておけば、
remotehostの10080へのアクセスを
myhostの80ポートにフォワードできます。

stoneでは、それ以前の問題として、
そもそもNATの外側から内側へのアクセスができないため、
不可能だと思います。

732 ：728 ：02/06/14 10:27

補足：
NATマシン自体の中で、stoneを動かせばできるでしょが、
ここではNATマシンには触れないという前提です。

733 ：名無しさん＠お腹いっぱい。 ：02/06/14 12:54

>>727 >>729-730 は、stoneと言えば当然NAT-box上で動かすもの
（だから中継されるパケットはNATを通らない）
という前提で言っているのに対し、
>>726 >>728 >>731-732 は、ネットワーク経路の途中に自分の管理外の NAT-boxがあって、
それを越えて、しかも外部から自分のホストへの
逆向きのコネクションを張りたいと言っていて、
話が噛みあっていないと思われ。

sshで、 port forwardingだけして暗号化はしないって、無理なんじゃないかな。
やるとすればport forwarding機能付きの telnet/rlogin モドキを自作するとか・・

734 ：うろーぼえ ：02/06/14 13:04

>>726
cipher として null (だっけ?) を使う、とかできなかったっけ?

735 ：名無しさん＠お腹いっぱい。 ：02/06/14 13:54

>>734
多分、 Cipher none で、コマンドラインなら ssh -c none かな。
でも、今度はサーバー側でCipher noneでのログインを禁止しているのが普通という罠。

736 ：名無しさん＠お腹いっぱい。 ：02/06/14 23:51

sshdは、どこから起動してます？
rc.xxxからしてます？

sshdの突然死が怖いのとオペミスで殺されてもいいように
inittabにrespawnで書いているのですが、皆様どうしていますか教えて下さい。

737 ：名無しさん＠お腹いっぱい。 ：02/06/15 00:34

>>736
inetd から (w

738 ：nanasi ：02/06/15 00:39

私は rc3.d に S99sshd というスクリプトを作って
起動していますが、daemontool とかでも良いのでは？

read.cgi ver5.26+ (01/10/21-)