レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10

についての情報交換。

701 ：699 ：02/05/31 22:59

>>700
それが何か?

702 ：名無しさん＠お腹いっぱい。 ：02/05/31 23:02

>>701
いえ、何も。

703 ：名無しさん＠お腹いっぱい。 ：02/05/31 23:07

ftpクライアントがsftp-serverに接続できるわけない…。

704 ：699 ：02/05/31 23:12

>>703
sftp クライアントになってくんないかな、
って言ってんの。
lftp は HTTP クライアントになれるじゃん。

705 ：名無しさん＠ＸＥｍａｃｓ ：02/06/01 17:34

>>695
> で，pam_ssh は最近の FreeBSD だと標準で入ってます．といっても，
> 4.6 以降なのでまだリリースされたばっか(まだかな?)のやつ以降ですが．

情報感謝っす。ってことなら SSH2 対応が期待できるかな。

わくわく。

706 ：名無しさん＠ＸＥｍａｃｓ ：02/06/01 17:41

>>698
> OpenSSHじゃないSSHはsftpで補完が効くらしいよ。

F-secure のはわかんないけど、ssh.com 版の sftp はたしかに補完が
効くね。なので、Linux か {Free,Net,Open}BSD 使いなら sftp だけ
は com 版を使うって手はあるだろね。

あと、sftp 対応の ftp クライアントなら

http://yafc.sourceforge.net/

なんてのがあるみたい。

で、できるのかどうかよく知らんけど、scp で shell の completion
に頼るってのもアリなのでは。たとえば zsh とかなら。

707 ：名無しさん＠お腹いっぱい。 ：02/06/02 01:24

すみません、お伺いしたいんですがPDAで動くSSHってのはやはりないんでしょうか？
どんなPDAでもかまいません。

708 ：名無しさん＠お腹いっぱい。 ：02/06/02 02:20

Palm 用 ssh があったような。ただし passwd 認証のみでアレ。
US 版 Zaurus は当然ながら OpenSSH そのものが動く。

CE あたりでもありそうだけど、日本語通るのはなさそうな気が...

709 ：名無しさん＠お腹いっぱい。 ：02/06/02 03:14

ttp://www.fuji-climb.org/pf/JP/

これだとだめ？＜ＣＥ
OpenSSHとはちょと違うみたいではあるけど。

710 ：名無しさん＠お腹いっぱい。 ：02/06/03 02:58

US 版 Zaurusってどこで買えるんでしょうか？
日本からもクレジットカードとかで買えますか？
お勧めの機種は何でしょうか？PDAは初めてなので全くのド素人です・・。
あと、その場合P-in compactなどを使ってそのまま通信できるのでしょうか？
どなたか実際に使われている方のホームページなどの情報はないのでしょうか？
いろいろすみません・・。

711 ：名無しさん＠お腹いっぱい。 ：02/06/03 04:38

それは、Zaurusでsshを使うための前振なのか‥？
明らかにハードウェア板やPC板の管轄じゃないのか？

712 ：名無しさん＠ＸＥｍａｃｓ ：02/06/03 13:41

>>709
> ttp://www.fuji-climb.org/pf/JP/
>
> これだとだめ？＜ＣＥ
> OpenSSHとはちょと違うみたいではあるけど。

ダメではないけど、SSH client ではなく“Port Forwarder”なんだか
ら、こいつで local に forward した telnet port に対して telnet
client を起動、とかの二度手間かける必要はある。

あと、SSH1 プロトコルにしか対応してないというのもいまとなっては
ちょっとね。

あ、そう言えば、全然関係ないんだけど、新山さんって

>>694
> 　if ! (ssh-add -l 2>&1 | grep '(RSA1)'); then ssh-add ~/.ssh/identity; fi

を見る限りまだ SSH1 現役？

結構勇者かも。

713 ：名無しさん＠お腹いっぱい。 ：02/06/04 23:44

端末一台(PC)と、ホスト(HP,SUN)が三台あって、
端末から $ X -query hostname
としてXを使っているのですけれども、こういう使い方で
sshを使った暗号化通信はできるのでしょうか？

ssh -R を使えばできそうな気がするのですが今ひとつ
理解できていないのでうまくいきません。

ご存じの方教えて下さい。

714 ：名無しさん＠お腹いっぱい。 ：02/06/05 00:40

>>713
http://www.tldp.org/HOWTO/XDMCP-HOWTO/procedure.html

> Using XDMCP is inherently insecure, therefore, most of the
> distributions shipped as it's XDMCP default turned off. If you
> must use XDMCP, be sure to use it only in a trusted networks,
> such as corporate network within a firewall. Unfortunately,
> XDMCP uses UDP, not TCP, therefore, it is not natively able to
> use it with SSH. To secure the connection with SSH, the
> technique is called X11 TCP/IP Port Forwarding.

XDMCPを使うのは本質的に危険です。なのでほとんどの
ディトリビューションでは XDMCP はデフォルトで禁止されています。
XDMCP を使わなければならないとしたら、ファイヤーウォールの中などの
信頼されたネットワーク間でだけにしてください。残念ながら
XDMCP は TCP ではなく UDP を使っているので、そのまま SSH を使う
ことはできません。SSH を使って接続を安全にする場合は、
X11 転送と呼ばれる技術を使います。

715 ：713 ：02/06/06 02:27

>>714
さんくす。

暗号化が必要なほどセキュリティが求められるところではXDMCPは使うなと、
必要なければそれでよし。

んでもってそもそもXDMCPはssh暗号化不可能。
XDMCPプロトコル詳しく知らなかったよ…。

716 ：名無しさん＠お腹いっぱい。 ：02/06/07 14:41

新規でOpenSSH-3.2.2p1を入れたのだが、何故かパスワードの認証は駄目・・・
ＲＡＳ認証は通るのに何故でしょう？
手順は以下
OpenSSL 0.9.6ｃを./configure make make　install
zlib1.1.4を./config make make install
OpenSSH-3.2.2p1を./configure --with-pam make make install
した。
cp contrib/redhat/sshd.init /etc/rc.d/init.d/sshd
chmod +x /etc/rc.d/init.d/sshd
/sbin/chkconfig --add sshd
cp contrib/redhat/sshd.pam /etc/pam.d/sshd

ＰＡＭが怪しいので下記に記載します。
#%PAM-1.0
auth required /lib/security/pam_pwdb.so shadow nodelay
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so
session required /lib/security/pam_limits.so

sshd_config

Port 22
Protocol 1
HostKey /usr/local/etc/ssh_host_key
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 600
PermitRootLogin no
RSAAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsAuthentication no
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
PasswordAuthentication yes
PermitEmptyPasswords no
ChallengeResponseAuthentication yes
X11Forwarding no
X11DisplayOffset 10
X11UseLocalhost yes
KeepAlive yes
UseLogin no
UsePrivilegeSeparation no
Subsystem sftp /usr/local/libexec/sftp-server

長文になり申し訳ないのですが、お分かりになられる方
教えて頂けると助かります。

717 ：名無しさん＠お腹いっぱい。 ：02/06/07 14:48

どう駄目なんかがわからん

718 ：716 ：02/06/07 16:17

>>717
ｽﾏｿ
/var/log/messageには
lease150 sshd[1586]: Failed password for admin from アドレス
port 1141
出ているが・・・。なんでFailed password なんだ！
rsa認証は通るのに・・

719 ：717ではないが… ：02/06/07 19:17

>>718
それだけではやはり分かりません。
まず最初に、きちんと動かそうとしている環境を書きましょう。使用している
OSは何？サーバ側だけでなくクライアント側のも書くよーに！

クライアント側のOSがUNIX系のもの（Linuxも含む）だったら、
[client]% ssh -vvv svhost
というように、-vvvを追加して試してみてよ。

720 ：名無しさん＠お腹いっぱい。 ：02/06/08 22:04

OpenSSH 3.2.3p1を使っています。

$ ssh -f localhost xterm
$ ssh -f localhost xload
など、ほとんどのものはX転送できるのですが、なぜか
ktermのときだけ
$ ssh -f localhost kterm
X11 connection rejected because of wrong authentication.
X connection to localhost:10.0 broken (explicit kill or server shutdown).
とでて転送できません。

ktermを転送できるようにしたいのですが、何かヒントをいただけないでしょうか?

721 ：名無しさん＠お腹いっぱい。 ：02/06/09 10:26

>>720
こういう条件には当てはまりそうですか? 当てはまるなら kterm へのパッチが出ている

kterm-6.2.0 を以下のような環境で利用していると、
OS: NetBSD-1.1, NetBSD-1.2, FreeBSD-2.2.2
認証方式: MIT-MAGIC-COOKIE-1
その他の条件: ホームディレクトリは別マシンにあり、NFS で
マウントしている。NFS サーバは kterm の走行す
るマシンに対して、root アクセスを許していない。
ファイル .Xauthority へアクセスできないため、下記のようにエラーが起こ
ることがあります。
% ./kterm
Xlib: connection to ":0.0" refused by server
Xlib: Client is not authorized to connect to Server
./kterm Xt error: Can't open display: :0.0

722 ：720 ：02/06/09 18:14

OSが>>721さんが書かれたものと違う(私の環境:VineLinux2.5)こと以外は、ばっちりあてはまります。
そういえば>>721さんの書かれている問題も出ていました。
そのときは
http://vine.ic.sci.yamaguchi-u.ac.jp/VineUsersML/5/msg00361.html
の方法で騙せて(?)いたのですが、今回はこの方法でもうまく行かなかったので
質問致しました。


パッチを探してみました。
http://lct.dei.uc.pt/download/ftp/pub/FreeBSD/2.2.8RELEASE/CD3/distfiles/kterm-6.2.0.NFS-xauth.patch
ですね。

SRPMをいじるのは初めてだったのですが、特に問題もなくビルドできました。
このパッチを当てたktermで>>720の問題も解決致しました。

どうも、ありがとうございました。

723 ：名無しさん＠お腹いっぱい。 ：02/06/09 19:45

>>714
UDP over(netcat) TCP over SSH

724 ：名無しさん＠お腹いっぱい。 ：02/06/10 03:40

>>723
ま、そこまでしてXDMCPが欲しいか、という問題でしょうね。

725 ：名無しさん＠お腹いっぱい。 ：02/06/13 14:51

OpenSSH 3.2.3p1を使っていて、ＯＳはコバルトキューブ3になります。
すべてインストール完了し/etc/rc.d/init.d/sshdを起動させた所
$Starting sshd:/etc/rc.d/init.d/sshd: initlog: command not found
ERROR!
のエラーがでてしまいました。rc.d/init.d/sshdのstart部分を
initlog -c "$SSHD $OPTIONS" && success || failure
↓
$SSHD -f /usr/local/etc/sshd_configに変更した所、うまく起動しました。
もしお分かりになられる方がいましたら、initlog -c のコマンドは何を行って
いるのでしょうか？

726 ：名無しさん＠お腹いっぱい。 ：02/06/14 08:40

sshでトンネル掘って、主にポートフォワーディング目的で利用する場合、
フォワーディングされるコネクションについては
むしろ暗号化して欲しくない
（暗号化するとデータ転送が重い、セキュリティは問題にならない）
と思うことがありますが、そういうことは可能ですか？

またそういう場合、つまり、暗号化よりも
ファイアウォールやNATのすり抜けのためのポートフォワーディングが
したいだけの場合、どうしてますか？

727 ：名無しさん＠お腹いっぱい。 ：02/06/14 08:52

> ファイアウォールやNATのすり抜けのためのポートフォワーディングが
> したいだけの場合、どうしてますか？

ぼくは以前 tcpserver と50行ぐらいの自前プログラムでやりましたが、
一般的にはstoneじゃないでしょうか。
www.gcd.org/sengoku/stone/

728 ：名無しさん＠お腹いっぱい。 ：02/06/14 09:31

>>727
stone だと、NATの外側から NATの内側にコネクションを張れないと思います。
ここでは、NATは基本的に「内側→外側」へのアクセスしかできず、
この設定は変更できないという前提です。

そこで、sshであらかじめ「内側→外側」に繋いでトンネルを掘っておく
わけですが、このトンネルについては暗号化しないで欲しいという要求です。

729 ：名無しさん＠お腹いっぱい。 ：02/06/14 10:01

>>728
前提がわからんな。
stone は NAT 関係ないんで、外から内側へのコネクションも問題なく張れる。

もっと具体的な例ｷﾎﾞﾝﾇ

730 ：729 ：02/06/14 10:03

ていうか、stone でフォワードできないような環境だったら
ssh のポートフォワードだってダメなような気がする。

>>728 は何か勘違いしているような。

731 ：728 ：02/06/14 10:21

>>729 >>730
NATの内側にプライベートアドレスのmyhost
外側にグローバルアドレスのremotehostがあります。

sshなら、あらかじめ内側から
myhost$ ssh remotehost -g -R 80:myhost:10080
としておけば、
remotehostの10080へのアクセスを
myhostの80ポートにフォワードできます。

stoneでは、それ以前の問題として、
そもそもNATの外側から内側へのアクセスができないため、
不可能だと思います。

732 ：728 ：02/06/14 10:27

補足：
NATマシン自体の中で、stoneを動かせばできるでしょが、
ここではNATマシンには触れないという前提です。

733 ：名無しさん＠お腹いっぱい。 ：02/06/14 12:54

>>727 >>729-730 は、stoneと言えば当然NAT-box上で動かすもの
（だから中継されるパケットはNATを通らない）
という前提で言っているのに対し、
>>726 >>728 >>731-732 は、ネットワーク経路の途中に自分の管理外の NAT-boxがあって、
それを越えて、しかも外部から自分のホストへの
逆向きのコネクションを張りたいと言っていて、
話が噛みあっていないと思われ。

sshで、 port forwardingだけして暗号化はしないって、無理なんじゃないかな。
やるとすればport forwarding機能付きの telnet/rlogin モドキを自作するとか・・

734 ：うろーぼえ ：02/06/14 13:04

>>726
cipher として null (だっけ?) を使う、とかできなかったっけ?

735 ：名無しさん＠お腹いっぱい。 ：02/06/14 13:54

>>734
多分、 Cipher none で、コマンドラインなら ssh -c none かな。
でも、今度はサーバー側でCipher noneでのログインを禁止しているのが普通という罠。

736 ：名無しさん＠お腹いっぱい。 ：02/06/14 23:51

sshdは、どこから起動してます？
rc.xxxからしてます？

sshdの突然死が怖いのとオペミスで殺されてもいいように
inittabにrespawnで書いているのですが、皆様どうしていますか教えて下さい。

737 ：名無しさん＠お腹いっぱい。 ：02/06/15 00:34

>>736
inetd から (w

738 ：nanasi ：02/06/15 00:39

私は rc3.d に S99sshd というスクリプトを作って
起動していますが、daemontool とかでも良いのでは？

739 ：名無しさん＠お腹いっぱい。 ：02/06/15 00:46

tcpserver + daemontools です。

740 ：名無しさん＠お腹いっぱい。 ：02/06/15 01:09

>>739
セッション開始に時間かかんない?

741 ：名無しさん＠お腹いっぱい。 ：02/06/15 02:31

>>740
速いマシンだとそんなに気にならないよ。

742 ：名無しさん＠お腹いっぱい。 ：02/06/15 17:52

>>715
xdmcpではつかったことないけど、zebedeeだとUDPでも暗号化トンネルが
掘れるよ

743 ：名無しさん＠お腹いっぱい。 ：02/06/20 19:57

authorized_keys2 って今は不要ってことでいいんでしょうか？


質問のついでにtypo指摘
http://www.unixuser.org/~haruyama/security/openssh/
>Solaris で/dev/randam などをエミュレートするモジュール
randam -> random

744 ：名無しさん＠お腹いっぱい。 ：02/06/20 21:22

今でも古いOpenSSH使っていれば必要だよ

745 ：名無しさん＠お腹いっぱい。 ：02/06/21 11:09

>>743
正確には、サーバ側で動作しているOpenSSHのバージョンが2.9及びそれより前の
場合なら、authorized_keys2は必要。2.9.9及びそれ以降なら不要。

# といいつつ、2.xはセキュリティホールがあるので、少なくても3.0.2以降に
# バージョンアップすべきだと思いますけどね＜サーバ側

typoネタは念のためぜひメールでも知らとくといいと思いますぞ

746 ：名無しさん＠お腹いっぱい。 ：02/06/22 06:19

OpenSSH-3.3 age

747 ：名無しさん＠お腹いっぱい。 ：02/06/22 06:29

ウマー！！！！！！！！！！

残念ながら、現在はftp.jp.openbsd.orgにすらない模様…ftp.openbsd.orgだけですな

アナウンスメールはこちら：
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102468921703145&w=2

748 ：skel.103M ：02/06/22 07:13

例によって変更内容の日本語訳といきますか！原文は>>747にあるURLというこ
とで。

セキュリティに関する変更内容
============================

- "privilege separation"のサポートを強化しました：

この機能はデフォルトで有効になります。

sshd_config(5)の UsePrivilegeSeparation オプションを参照して下さい。また、より
詳しい情報は http://www.citi.umich.edu/u/provos/ssh/privsep.html で得ることができ
ます。
- SSHプロトコルバージョン２のHostBased認証を利用するためにssh（という名前
のクライアントプログラム）に対して、rootにsetuidする必要がなくなりまし
た。ssh-keysign(8)をご参照願います。SSHプロトコルバージョン１のRhostsRSA認
証を利用する場合は従来通りroot権限が必要です（訳者注：すなわち、sshに
対してrootにsetuidする必要があるということです。）が、この認証を利用す
ることはもはや推奨されません。

その他の変更内容
================

- クライアント及びサーバの設定オプションに関する説明はそれぞれ
ssh_config(5)とsshd_config(5)に移動しました。
- サーバ（sshd）では新しく Compression オプションがサポートされるようにな
りました。sshd_config(5)をご参照下さい。
- クライアント（ssh）のオプションである RhostsRSAAuthentication 及び
RhostsAuthentication のデフォルトは no になりました。ssh_config(5)参照。
- クライアント（ssh）のオプションである FallBackToRsh 及び UseRsh は
廃止されました。
- …意味不明だ(T_T)…
　　原文：ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
- …これも意味不明(T_T)…
　　原文：ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
- PuTTYをクライアントとして使用していた場合、validな（←どういう訳がいい
か分からない^^;）RSA署名にもかかわらず発生していた問題をfixしました。

749 ：skel.103M ：02/06/22 07:16

「その他の変更内容」の最後の部分はうまく訳せなかった（苦笑

詳しい方、フォローよろしくです。

750 ：名無しさん＠お腹いっぱい。 ：02/06/22 07:21

ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/
ftp://ftp.ayamura.org/pub/openssh/
ftp://ftp.u-aizu.ac.jp/pub/os/OpenBSD/OpenSSH/

まだ行き渡っていないみたい…

751 ：746 ：02/06/22 07:22

>>748
よくわからんのなら急いで翻訳しようとしないほうがいいですよ。

> ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
エージェントを一時的に「ロックさせる機能」がついたということです。
あと、鍵を追加するときにその鍵の(エージェント中での)最大生存時間を指定できるようになりますた。

> ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
ssh-agent は通信用にAF_UNIXドメインソケットを使っていて、いままではこれは
/tmp/ssh-ほにゃららにバインドされて、このディレクトリは決め打ちで変えられなかったのだが、
これがオプションで変えられるよになった、ということ。

あとはroot権限分離のために、ホスト鍵参照部分を ssh-keysign にかためて、
これだけ suidroot にしたということのようです。
マニュアルでは長たらしい設定ファイルの説明がぜんぶ別セクション
ssh_config(5), sshd_config(5) に分けられました。

752 ：748 ：02/06/22 07:32

なるほど。どうもありがとうございます。

一定時間が過ぎたらもう一度ssh-add使って追加し直すようにさせることができ
るようになったわけですね＜ssh-agent

万一ログインしたまま（xlockもかけないで）席を外したりした場合でも被害を
ある程度抑えられるわけですな。結構便利かも


----
翻訳一番乗リげっとズサー!!やったろかと思ったんで（をい

…回線切って寝ます

753 ：名無しさん＠Ｅｍａｃｓ ：02/06/22 14:24

>>748
> - PuTTYをクライアントとして使用していた場合、validな（←どういう訳がいい
> か分からない^^;）RSA署名にもかかわらず発生していた問題をfixしました。

有効な

754 ：748 ：02/06/22 14:32

o8YO GOZAIMASU
>>753
ぶわはははは
そうですね。すっかり忘れてました＜「有効な」

ありがとうございます！

755 ：春山征吾 ◆9Ggg6xsM ：02/06/22 14:41

>>743
ご指摘ありがとうございます。

変更点の拙訳を置きました。
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.3.txt

756 ：名無しさん＠Ｅｍａｃｓ ：02/06/22 15:46

/var/empty ってなんですか?

757 ：748 ：02/06/22 18:05

>>755
ごくろうさまです。えっと、その他の変更内容の１番目は
　×ssh_config (5) から sshd_config (5) に移された.
　◯それぞれ ssh_config (5) と sshd_config (5) に移された.
ではないでしょうか。

758 ：春山征吾 ◆9Ggg6xsM ：02/06/22 18:12

>>757
ご指摘ありがとうございます。
修正しました。

759 ：名無しさん＠Ｅｍａｃｓ ：02/06/23 13:54

http://slashdot.jp/article.pl?sid=02/06/22/2148212&mode=thread

760 ：名無しさん＠お腹いっぱい。 ：02/06/23 14:08

From: "skel.103M" <skeleten@shillest.net>
Subject: [installer 7329] Re: lftp-2.5.4
Date: Thu, 13 Jun 2002 02:49:05 +0900

> [installer 7318]で既に報告済みでしたね…すみません。（汗
> 検索するときはヘッダだけでなく本文も対象にしないと…
>
> skel.103M <skeleten@shillest.net>
>
>

761 ：名無しさん＠お腹いっぱい。 ：02/06/23 14:11

>>760
コピペうざい。

762 ：名無しさん＠お腹いっぱい。 ：02/06/24 11:56

openssh3.3で/var/emptyがどうのとか言われたんで作ったんですが
そこらへんのネタ持ってる人いませんか？

763 ：名無しさん＠お腹いっぱい。 ：02/06/24 13:47

>>762
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt

764 ：名無しさん＠お腹いっぱい。 ：02/06/25 07:48

来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
3.3 で UsePriviledgeSeparation を使っていれば問題は起きないが、
それ以外では exploit されるとのこと。
http://www.koka-in.org/~haruyama/ssh_koka-in_org/0/4.html

765 ：名無しさん＠お腹いっぱい。 ：02/06/25 09:39

板違いですが、宜しかったら教えてください。
これからセキュルティー確保の為、SWATCHでログ監視を行うのですが、
何を監視したら良いのでしょう？/var/messageでＰＡＭ認証の失敗は
引っ掛けているのですが、他にありますか？

766 ：名無しさん＠お腹いっぱい。 ：02/06/25 09:40

>>765
スレ違い。
くだ質で聞け。

767 ：名無しさん＠お腹いっぱい。 ：02/06/25 12:09

3.3p1@linux-2.2.21で　UsePriviledgeSeparation yesだと
mmapのエラーが出るっすよ
とりあえずCompression noにするしかないの?

768 ：名無しさん＠お腹いっぱい。 ：02/06/25 13:18

FreeBSD4.5のCURRENTを利用してます。
OpenSSHを利用する際に、ログイン時にchrootさせて、
セキュリティ強化したいと思っているのですが、可能でしょうか？
商用版sshのほうには、そういう機能あるみたいですけど。

769 ：名無しさん＠お腹いっぱい。 ：02/06/25 13:21

>>768
むかしは chroot patch とゆーのが openssh に付いてきたんだけど
いまはもうメンテされてないってさ。
openssh-3.3p1/contrib/README 参照。

770 ：768 ：02/06/25 13:34

>>769
ありがとうございます。
読んで見ます。

でも、実現できないんですかねぇ。
ftpだとProftpd使えば楽にできちゃうんですが・・・

771 ：名無しさん＠お腹いっぱい。 ：02/06/25 18:03

>768 >764を読め。

772 ：名無しさん＠お腹いっぱい。 ：02/06/25 19:01

>>768
ユーザー毎に chroot 先を変えるということなら >>769 の言う chroot patch.
3.3 対応のものは無いと思うけど。

>>771 の言うのは port 22 で待ち受ける部分と認証部とユーザーにサービスを
提供する部分を分けて、認証部を /var/empty に chroot するという実装。
クライアントからみたサービスが変わるわけではない。

773 ：名無しさん＠お腹いっぱい。 ：02/06/25 19:01

FreeBSD 4.5 Release にopenssh-3.3p1 をインストールした。
% ssh localhost とやって試してみたら、
logout してもシェルが戻って来ないよ。なんで???
教えて。おながい。

774 ：773 ：02/06/25 19:09

.login に xbiff と書いていた俺が馬鹿だった。
逝ってきます。ばびゅ〜〜〜ん

775 ：名無しさん＠お腹いっぱい。 ：02/06/25 20:09

　 ,､|,､
　(f⌒i
　 U j.|
　　UJ
　　 ：
　 ‐＝‐

776 ：名無しさん＠Ｅｍａｃｓ ：02/06/25 21:20

ssh-rand-helper についての日本語の解説ってどっかにない?

777 ：名無しさん＠お腹いっぱい。 ：02/06/26 02:38

>>776
これじゃだめ?
http://www.unixuser.org/~euske/doc/openssh/jman/ssh-rand-helper.html

778 ：名無しさん＠お腹いっぱい。 ：02/06/26 03:18

sshのknown hostsファイルには、IPアドレスとホストキーがかかれる
だけなのが不便。なぜかというと、SSHでFW内部に外部から入る為の
中継用のゲートウェイのマシンのIPアドレスが１つで、それへの
接続する際のポート番号を変えることで、FW内部のどこにパケットを
フォワードするかを指定したいのだけれども、SSHのクライアント
側の　KNOWN　HOSTSを記録するファイルにはポート番号の違いで
相手を区別認識させる手段がない。だからつなぎにいくポート番号を
変えるときにはKNOWN HOSTSファイルを一度消してからでないと
せつぞくが失敗する。不便だ。

779 ：名無しさん＠お腹いっぱい。 ：02/06/26 07:58

来週の月曜日には OpenSSH 3.4 が出るようです。
http://www.openssh.com/

　現在 OpenSSH にはまだ公表されていない脆弱性が存在します。
　OpenSSH 3.3 にアップデートし、UsePrivilegeSeparation (特権分離)
　オプションを使用するよう強くおすすめします。
　特権分離機能はこの問題をブロックします。来週の月曜日にはこの脆弱性を解決する
　OpenSSH 3.4 リリースが出ますので、どうかお見逃しなく。

780 ：名無しさん＠お腹いっぱい。 ：02/06/26 08:03

FreeBSD STABLEに3.3がmergeされたけど3.4に差し替えかな？

781 ： ：02/06/26 10:17

ttp://www.unixuser.org/~haruyama/security/openssh/privsep.txt
上記のメモを参考にdebianのssh 3.3p1-0.0woody1の
特権分離を確認してみたのですが、下記のようになりました。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.5 2752 688 ? S 09:29 0:00 /usr/sbin/sshd

ここで $ ssh localhost する。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.4 1.2 5044 1564 ? S 10:00 0:00 /usr/sbin/sshd
sshd 2371 1.2 1.0 4172 1300 ? S 10:00 0:00 /usr/sbin/sshd

$ sudo lsof -p 2371
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 2371 root cwd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root rtd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root txt REG 3,8 276072 195636 /usr/sbin/sshd
..........

ここでloginする。
$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.0 1.3 6272 1656 ? S 10:00 0:00 /usr/sbin/sshd
nanashi 2748 0.0 1.3 6292 1764 ? S 10:05 0:00 /usr/sbin/sshd

debianの場合、/var/run/sshdにchrootするようなんですが、lsofした時のsshdのUSERが
rootとなってるのは問題ないのでしょうか？

782 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 11:10

>>768
> FreeBSD4.5のCURRENTを利用してます。
> OpenSSHを利用する際に、ログイン時にchrootさせて、
> セキュリティ強化したいと思っているのですが、可能でしょうか？
> 商用版sshのほうには、そういう機能あるみたいですけど。

FreeBSD なら ssh.com のはタダで使えるんだから chroot が必要なと
ころではそっちを使えばいいんでは？

783 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:19

>>764
> 来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
Privilege Separation を普及させるための狂言だったらおもしろいな。

784 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:52

ＳＳＨ社、教育機関対象に暗号通信ソフトの割引サービスを開始
http://www.ipsec.co.jp/about/press/2002/2002-06-25.html

785 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:19

3.3にしたら A というホストに接続しに行くと A から A の UDP 53 に
アクセスしに行くようになりました。UDP 53なのでDNSだと思うのですが、
A のresolv.confは別のアドレス(127.0.0.1)になっています。

786 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:41

>>785
(ﾟдﾟ)ﾎﾟｶｰﾝ

# 127.0.0.1って何のアドレスか分かってるかい？

787 ：785 ：02/06/26 13:47

>786
dnscacheを使ってますのでlocalhostにdnsの受け口があります。

788 ：名無しさん＠お腹いっぱい。 ：02/06/26 15:42

>>787
再帰的に名前解決しにいかなくていいの?

789 ：785 ：02/06/26 16:42

dnscacheが解決しに行ってくれます。

790 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:44

じゃあ、dnscacheはどのhostに問い合わせにいくの?

791 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:46

>>789
お前、tinydns と dnscache の関係わかってないだろ?

792 ：785 ：02/06/26 17:20

>790
dnscacheはroot/servers/にあるアドレスを元にそれぞれのDNSサーバに
名前を問い合わせに行きます。そこにドメイン名のファイルがあれば
そのアドレスに問い合わせますし、なければ@ファイルにあるアドレス
に問い合わせます。必要なら再起的に。
>791
dnscacheは自分が管理しているドメイン以外のアドレスを解決する場合に
利用されます。tinydnsは自分が管理しているドメインへの問い合わせに
答える為に利用されます。

この話のAのホストではtinydnsは動いていませんし、実際このドメイン
の名前を解決する為のDNSサーバは別にあります。ですので127.0.0.1に
DNSの問い合わせが来ることはあっても、Aのアドレスに来るはずはない
と思ってるんですが。

793 ：名無しさん＠お腹いっぱい。 ：02/06/26 17:42

>>791
>>786への回答よろしく。

794 ：768 ：02/06/26 18:12

>>782
FreeBSDならば、ssh.comの商品が自由に使えるってホント？
どこに書いてあるの？

795 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 21:24

>>794
> FreeBSDならば、ssh.comの商品が自由に使えるってホント？

FreeBSD だけってわけじゃなくて Linux/NetBSD/OpenBSD でも、ね。

あと、もちろん、ssh.com の商品全部がってわけじゃない (が、少
なくとも SSH Secure Shell for Servers は該当してる) けど。

> どこに書いてあるの？

正確なところは commerce.ssh.com から Non commercial 版をダウ
ンロードして中の LICENSE ファイルを見てみるのが一番だと思うけ
ど、手近なところでは

ttp://www.ssh.com/faq/index.cfm?id=171

辺りとか。

796 ：名無しさん＠お腹いっぱい。 ：02/06/26 22:30

でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
使えない…。

797 ：sshd ：02/06/27 00:07

openssh-3.4 ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

798 ：某翻訳担当 ：02/06/27 00:17

おいおいきのういってた予定と違うじゃねーか
はえーよ!

799 ：名無しさん＠お腹いっぱい。 ：02/06/27 00:21

しかも弱点があるのは 2.9.9 以降...
設定で容易に回避可能...

800 ：春山征吾 ◆9Ggg6xsM ：02/06/27 00:31

>>781
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=101680346025114&w=2
でも　USER が root ですね。
手元のlsof(revision: 4.59)のmanのUSERの項:
> However, on Linux USER　is the user ID number or login that owns the directory in /proc
> where lsof finds information　about the process.
> Usually that is the same value reported by ps(1), but may differ when
> the process has changed its effective user ID.

ということなので、よさそうではあります。

read.cgi ver5.26+ (01/10/21-)