レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10

についての情報交換。

747 ：名無しさん＠お腹いっぱい。 ：02/06/22 06:29

ウマー！！！！！！！！！！

残念ながら、現在はftp.jp.openbsd.orgにすらない模様…ftp.openbsd.orgだけですな

アナウンスメールはこちら：
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102468921703145&w=2

748 ：skel.103M ：02/06/22 07:13

例によって変更内容の日本語訳といきますか！原文は>>747にあるURLというこ
とで。

セキュリティに関する変更内容
============================

- "privilege separation"のサポートを強化しました：

この機能はデフォルトで有効になります。

sshd_config(5)の UsePrivilegeSeparation オプションを参照して下さい。また、より
詳しい情報は http://www.citi.umich.edu/u/provos/ssh/privsep.html で得ることができ
ます。
- SSHプロトコルバージョン２のHostBased認証を利用するためにssh（という名前
のクライアントプログラム）に対して、rootにsetuidする必要がなくなりまし
た。ssh-keysign(8)をご参照願います。SSHプロトコルバージョン１のRhostsRSA認
証を利用する場合は従来通りroot権限が必要です（訳者注：すなわち、sshに
対してrootにsetuidする必要があるということです。）が、この認証を利用す
ることはもはや推奨されません。

その他の変更内容
================

- クライアント及びサーバの設定オプションに関する説明はそれぞれ
ssh_config(5)とsshd_config(5)に移動しました。
- サーバ（sshd）では新しく Compression オプションがサポートされるようにな
りました。sshd_config(5)をご参照下さい。
- クライアント（ssh）のオプションである RhostsRSAAuthentication 及び
RhostsAuthentication のデフォルトは no になりました。ssh_config(5)参照。
- クライアント（ssh）のオプションである FallBackToRsh 及び UseRsh は
廃止されました。
- …意味不明だ(T_T)…
　　原文：ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
- …これも意味不明(T_T)…
　　原文：ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
- PuTTYをクライアントとして使用していた場合、validな（←どういう訳がいい
か分からない^^;）RSA署名にもかかわらず発生していた問題をfixしました。

749 ：skel.103M ：02/06/22 07:16

「その他の変更内容」の最後の部分はうまく訳せなかった（苦笑

詳しい方、フォローよろしくです。

750 ：名無しさん＠お腹いっぱい。 ：02/06/22 07:21

ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/
ftp://ftp.ayamura.org/pub/openssh/
ftp://ftp.u-aizu.ac.jp/pub/os/OpenBSD/OpenSSH/

まだ行き渡っていないみたい…

751 ：746 ：02/06/22 07:22

>>748
よくわからんのなら急いで翻訳しようとしないほうがいいですよ。

> ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
エージェントを一時的に「ロックさせる機能」がついたということです。
あと、鍵を追加するときにその鍵の(エージェント中での)最大生存時間を指定できるようになりますた。

> ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
ssh-agent は通信用にAF_UNIXドメインソケットを使っていて、いままではこれは
/tmp/ssh-ほにゃららにバインドされて、このディレクトリは決め打ちで変えられなかったのだが、
これがオプションで変えられるよになった、ということ。

あとはroot権限分離のために、ホスト鍵参照部分を ssh-keysign にかためて、
これだけ suidroot にしたということのようです。
マニュアルでは長たらしい設定ファイルの説明がぜんぶ別セクション
ssh_config(5), sshd_config(5) に分けられました。

752 ：748 ：02/06/22 07:32

なるほど。どうもありがとうございます。

一定時間が過ぎたらもう一度ssh-add使って追加し直すようにさせることができ
るようになったわけですね＜ssh-agent

万一ログインしたまま（xlockもかけないで）席を外したりした場合でも被害を
ある程度抑えられるわけですな。結構便利かも


----
翻訳一番乗リげっとズサー!!やったろかと思ったんで（をい

…回線切って寝ます

753 ：名無しさん＠Ｅｍａｃｓ ：02/06/22 14:24

>>748
> - PuTTYをクライアントとして使用していた場合、validな（←どういう訳がいい
> か分からない^^;）RSA署名にもかかわらず発生していた問題をfixしました。

有効な

754 ：748 ：02/06/22 14:32

o8YO GOZAIMASU
>>753
ぶわはははは
そうですね。すっかり忘れてました＜「有効な」

ありがとうございます！

755 ：春山征吾 ◆9Ggg6xsM ：02/06/22 14:41

>>743
ご指摘ありがとうございます。

変更点の拙訳を置きました。
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.3.txt

756 ：名無しさん＠Ｅｍａｃｓ ：02/06/22 15:46

/var/empty ってなんですか?

757 ：748 ：02/06/22 18:05

>>755
ごくろうさまです。えっと、その他の変更内容の１番目は
　×ssh_config (5) から sshd_config (5) に移された.
　◯それぞれ ssh_config (5) と sshd_config (5) に移された.
ではないでしょうか。

758 ：春山征吾 ◆9Ggg6xsM ：02/06/22 18:12

>>757
ご指摘ありがとうございます。
修正しました。

759 ：名無しさん＠Ｅｍａｃｓ ：02/06/23 13:54

http://slashdot.jp/article.pl?sid=02/06/22/2148212&mode=thread

760 ：名無しさん＠お腹いっぱい。 ：02/06/23 14:08

From: "skel.103M" <skeleten@shillest.net>
Subject: [installer 7329] Re: lftp-2.5.4
Date: Thu, 13 Jun 2002 02:49:05 +0900

> [installer 7318]で既に報告済みでしたね…すみません。（汗
> 検索するときはヘッダだけでなく本文も対象にしないと…
>
> skel.103M <skeleten@shillest.net>
>
>

761 ：名無しさん＠お腹いっぱい。 ：02/06/23 14:11

>>760
コピペうざい。

762 ：名無しさん＠お腹いっぱい。 ：02/06/24 11:56

openssh3.3で/var/emptyがどうのとか言われたんで作ったんですが
そこらへんのネタ持ってる人いませんか？

763 ：名無しさん＠お腹いっぱい。 ：02/06/24 13:47

>>762
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt

764 ：名無しさん＠お腹いっぱい。 ：02/06/25 07:48

来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
3.3 で UsePriviledgeSeparation を使っていれば問題は起きないが、
それ以外では exploit されるとのこと。
http://www.koka-in.org/~haruyama/ssh_koka-in_org/0/4.html

765 ：名無しさん＠お腹いっぱい。 ：02/06/25 09:39

板違いですが、宜しかったら教えてください。
これからセキュルティー確保の為、SWATCHでログ監視を行うのですが、
何を監視したら良いのでしょう？/var/messageでＰＡＭ認証の失敗は
引っ掛けているのですが、他にありますか？

766 ：名無しさん＠お腹いっぱい。 ：02/06/25 09:40

>>765
スレ違い。
くだ質で聞け。

767 ：名無しさん＠お腹いっぱい。 ：02/06/25 12:09

3.3p1@linux-2.2.21で　UsePriviledgeSeparation yesだと
mmapのエラーが出るっすよ
とりあえずCompression noにするしかないの?

768 ：名無しさん＠お腹いっぱい。 ：02/06/25 13:18

FreeBSD4.5のCURRENTを利用してます。
OpenSSHを利用する際に、ログイン時にchrootさせて、
セキュリティ強化したいと思っているのですが、可能でしょうか？
商用版sshのほうには、そういう機能あるみたいですけど。

769 ：名無しさん＠お腹いっぱい。 ：02/06/25 13:21

>>768
むかしは chroot patch とゆーのが openssh に付いてきたんだけど
いまはもうメンテされてないってさ。
openssh-3.3p1/contrib/README 参照。

770 ：768 ：02/06/25 13:34

>>769
ありがとうございます。
読んで見ます。

でも、実現できないんですかねぇ。
ftpだとProftpd使えば楽にできちゃうんですが・・・

771 ：名無しさん＠お腹いっぱい。 ：02/06/25 18:03

>768 >764を読め。

772 ：名無しさん＠お腹いっぱい。 ：02/06/25 19:01

>>768
ユーザー毎に chroot 先を変えるということなら >>769 の言う chroot patch.
3.3 対応のものは無いと思うけど。

>>771 の言うのは port 22 で待ち受ける部分と認証部とユーザーにサービスを
提供する部分を分けて、認証部を /var/empty に chroot するという実装。
クライアントからみたサービスが変わるわけではない。

773 ：名無しさん＠お腹いっぱい。 ：02/06/25 19:01

FreeBSD 4.5 Release にopenssh-3.3p1 をインストールした。
% ssh localhost とやって試してみたら、
logout してもシェルが戻って来ないよ。なんで???
教えて。おながい。

774 ：773 ：02/06/25 19:09

.login に xbiff と書いていた俺が馬鹿だった。
逝ってきます。ばびゅ〜〜〜ん

775 ：名無しさん＠お腹いっぱい。 ：02/06/25 20:09

　 ,､|,､
　(f⌒i
　 U j.|
　　UJ
　　 ：
　 ‐＝‐

776 ：名無しさん＠Ｅｍａｃｓ ：02/06/25 21:20

ssh-rand-helper についての日本語の解説ってどっかにない?

777 ：名無しさん＠お腹いっぱい。 ：02/06/26 02:38

>>776
これじゃだめ?
http://www.unixuser.org/~euske/doc/openssh/jman/ssh-rand-helper.html

778 ：名無しさん＠お腹いっぱい。 ：02/06/26 03:18

sshのknown hostsファイルには、IPアドレスとホストキーがかかれる
だけなのが不便。なぜかというと、SSHでFW内部に外部から入る為の
中継用のゲートウェイのマシンのIPアドレスが１つで、それへの
接続する際のポート番号を変えることで、FW内部のどこにパケットを
フォワードするかを指定したいのだけれども、SSHのクライアント
側の　KNOWN　HOSTSを記録するファイルにはポート番号の違いで
相手を区別認識させる手段がない。だからつなぎにいくポート番号を
変えるときにはKNOWN HOSTSファイルを一度消してからでないと
せつぞくが失敗する。不便だ。

779 ：名無しさん＠お腹いっぱい。 ：02/06/26 07:58

来週の月曜日には OpenSSH 3.4 が出るようです。
http://www.openssh.com/

　現在 OpenSSH にはまだ公表されていない脆弱性が存在します。
　OpenSSH 3.3 にアップデートし、UsePrivilegeSeparation (特権分離)
　オプションを使用するよう強くおすすめします。
　特権分離機能はこの問題をブロックします。来週の月曜日にはこの脆弱性を解決する
　OpenSSH 3.4 リリースが出ますので、どうかお見逃しなく。

780 ：名無しさん＠お腹いっぱい。 ：02/06/26 08:03

FreeBSD STABLEに3.3がmergeされたけど3.4に差し替えかな？

781 ： ：02/06/26 10:17

ttp://www.unixuser.org/~haruyama/security/openssh/privsep.txt
上記のメモを参考にdebianのssh 3.3p1-0.0woody1の
特権分離を確認してみたのですが、下記のようになりました。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.5 2752 688 ? S 09:29 0:00 /usr/sbin/sshd

ここで $ ssh localhost する。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.4 1.2 5044 1564 ? S 10:00 0:00 /usr/sbin/sshd
sshd 2371 1.2 1.0 4172 1300 ? S 10:00 0:00 /usr/sbin/sshd

$ sudo lsof -p 2371
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 2371 root cwd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root rtd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root txt REG 3,8 276072 195636 /usr/sbin/sshd
..........

ここでloginする。
$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.0 1.3 6272 1656 ? S 10:00 0:00 /usr/sbin/sshd
nanashi 2748 0.0 1.3 6292 1764 ? S 10:05 0:00 /usr/sbin/sshd

debianの場合、/var/run/sshdにchrootするようなんですが、lsofした時のsshdのUSERが
rootとなってるのは問題ないのでしょうか？

782 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 11:10

>>768
> FreeBSD4.5のCURRENTを利用してます。
> OpenSSHを利用する際に、ログイン時にchrootさせて、
> セキュリティ強化したいと思っているのですが、可能でしょうか？
> 商用版sshのほうには、そういう機能あるみたいですけど。

FreeBSD なら ssh.com のはタダで使えるんだから chroot が必要なと
ころではそっちを使えばいいんでは？

783 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:19

>>764
> 来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
Privilege Separation を普及させるための狂言だったらおもしろいな。

784 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:52

ＳＳＨ社、教育機関対象に暗号通信ソフトの割引サービスを開始
http://www.ipsec.co.jp/about/press/2002/2002-06-25.html

785 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:19

3.3にしたら A というホストに接続しに行くと A から A の UDP 53 に
アクセスしに行くようになりました。UDP 53なのでDNSだと思うのですが、
A のresolv.confは別のアドレス(127.0.0.1)になっています。

786 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:41

>>785
(ﾟдﾟ)ﾎﾟｶｰﾝ

# 127.0.0.1って何のアドレスか分かってるかい？

787 ：785 ：02/06/26 13:47

>786
dnscacheを使ってますのでlocalhostにdnsの受け口があります。

788 ：名無しさん＠お腹いっぱい。 ：02/06/26 15:42

>>787
再帰的に名前解決しにいかなくていいの?

789 ：785 ：02/06/26 16:42

dnscacheが解決しに行ってくれます。

790 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:44

じゃあ、dnscacheはどのhostに問い合わせにいくの?

791 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:46

>>789
お前、tinydns と dnscache の関係わかってないだろ?

792 ：785 ：02/06/26 17:20

>790
dnscacheはroot/servers/にあるアドレスを元にそれぞれのDNSサーバに
名前を問い合わせに行きます。そこにドメイン名のファイルがあれば
そのアドレスに問い合わせますし、なければ@ファイルにあるアドレス
に問い合わせます。必要なら再起的に。
>791
dnscacheは自分が管理しているドメイン以外のアドレスを解決する場合に
利用されます。tinydnsは自分が管理しているドメインへの問い合わせに
答える為に利用されます。

この話のAのホストではtinydnsは動いていませんし、実際このドメイン
の名前を解決する為のDNSサーバは別にあります。ですので127.0.0.1に
DNSの問い合わせが来ることはあっても、Aのアドレスに来るはずはない
と思ってるんですが。

793 ：名無しさん＠お腹いっぱい。 ：02/06/26 17:42

>>791
>>786への回答よろしく。

794 ：768 ：02/06/26 18:12

>>782
FreeBSDならば、ssh.comの商品が自由に使えるってホント？
どこに書いてあるの？

795 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 21:24

>>794
> FreeBSDならば、ssh.comの商品が自由に使えるってホント？

FreeBSD だけってわけじゃなくて Linux/NetBSD/OpenBSD でも、ね。

あと、もちろん、ssh.com の商品全部がってわけじゃない (が、少
なくとも SSH Secure Shell for Servers は該当してる) けど。

> どこに書いてあるの？

正確なところは commerce.ssh.com から Non commercial 版をダウ
ンロードして中の LICENSE ファイルを見てみるのが一番だと思うけ
ど、手近なところでは

ttp://www.ssh.com/faq/index.cfm?id=171

辺りとか。

796 ：名無しさん＠お腹いっぱい。 ：02/06/26 22:30

でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
使えない…。

797 ：sshd ：02/06/27 00:07

openssh-3.4 ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

798 ：某翻訳担当 ：02/06/27 00:17

おいおいきのういってた予定と違うじゃねーか
はえーよ!

799 ：名無しさん＠お腹いっぱい。 ：02/06/27 00:21

しかも弱点があるのは 2.9.9 以降...
設定で容易に回避可能...

800 ：春山征吾 ◆9Ggg6xsM ：02/06/27 00:31

>>781
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=101680346025114&w=2
でも　USER が root ですね。
手元のlsof(revision: 4.59)のmanのUSERの項:
> However, on Linux USER　is the user ID number or login that owns the directory in /proc
> where lsof finds information　about the process.
> Usually that is the same value reported by ps(1), but may differ when
> the process has changed its effective user ID.

ということなので、よさそうではあります。

801 ：781 ：02/06/27 00:44

>>800
レスどうもです。
linuxのlsofの問題なので、確認しようがないということのようですね。
ありがとうございました。

802 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:24

>>783
>Privilege Separation を普及させるための狂言だったらおもしろいな。

結局、その通りだったようです。まあ穴があったのは事実ですが。
今回の穴の対応策は次のような感じでしょうか？

・以下の人はOpenSSH 3.1のままで大丈夫
　　- "AFS/Kerberos support and ticket/token passing enabled" でない人
　　- "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.2.3 のままで大丈夫
　　- "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.3 のままで大丈夫
　　- "UsePrivilegeSeparation yes" にしている人

・それ以外の人はOpenSSH 3.4 にしましょう

803 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:31

> ・以下の人はOpenSSH 3.3 のままで大丈夫
>　　- "UsePrivilegeSeparation yes" にしている人

"ChallengeResponseAuthentication no" という設定を加えるのならともかく、
"UsePrivilegeSeparation yes" だけでは、とても安全とは言えん。

> ・以下の人はOpenSSH 3.1のままで大丈夫
> 　　- "AFS/Kerberos support and ticket/token passing enabled" でない人
> 　　- "ChallengeResponseAuthentication no" にしている人

これも、
"AFS/Kerberos support and ticket/token passing enabled" でなく、
かつ "ChallengeResponseAuthentication no" にしている人
なんじゃないの？

804 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:47

/.の方でも話題になってますね
ttp://slashdot.jp/article.pl?sid=02/06/26/112206&mode=thread

元ネタはこっち(↓)？
ttp://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584

805 ：名無しさん＠お腹いっぱい。 ：02/06/27 07:54

ISC だと思ってた。

806 ：名無しさん＠ＸＥｍａｃｓ ：02/06/27 10:34

>>796
> でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
> 使えない…。

まぁ、ね。

ただ、当時とは違い OpenSSH という立派な alternative がある現在
では、Free UNIXen 利用者層への蒔餌という意味合いの強いこのポリ
シーはそうそう変えんだろうとは思うが。

.com 版のにしろ、OpenSSH にしろ、間違っても一生ものになるわきゃ
ないんだから、要は、その時点その時点で使えるものを使えばいいっ
てだけの話で。

前に >>706 にも書いた通り、.com 版 sftp client はファイル名の補
完ができたりするんで結構便利だしね。

807 ：名無しさん＠お腹いっぱい。 ：02/06/27 10:38

pamが使えないとかいう問題は治ってる？
ChangeLog見たけど
- (djm) Fix int overflow in auth2-pam.c, similar to one discovered by ISS
これの事？

808 ：名無しさん＠お腹いっぱい。 ：02/06/27 11:01

3.4p1をSolarisで使っているんだけど、
sshd_config に UsePrivilegeSeparation yes を書いた場合、
つなげようとすると
debug1: Connection established.
debug1: read PEM private key done: type DSA
debug1: read PEM private key done: type RSA
debug1: identity file /home/mona/.ssh/identity type 0
debug1: identity file /home/mona/.ssh/id_rsa type -1
debug1: identity file /home/mona/.ssh/id_dsa type 2
ssh_exchange_identification: Connection closed by remote host
となって connection 切られちゃう。

debug1: Remote protocol version 1.99, remote software version OpenSSH_3.4p1
debug1: match: OpenSSH_3.4p1 pat ^OpenSSH
Enabling compatibility mode for protocol 2.0
って続くはずなのになぁ。

809 ：名無しさん＠お腹いっぱい。 ：02/06/27 11:34

3.4p1（BSDi)
sshdユーザーを作ったのにmake insatllでこの表示はあってのかい？
id sshd || echo "WARNING: Privilege separation user \"sshd\" does not exist"

一応、psで見るとこんな感じだが、
ps auwwx | grep sshd
root 1497 0.0 0.2 900 436 ?? Ss 11:27AM 0:00.28 /usr/local/sbin
/sshd
root 1578 0.0 0.4 928 804 ?? I 11:28AM 0:00.03 hoge [priv] (sshd)

こりゃー間違ってんかな？lsofしてもrootでしか動いてなんだが。。

810 ：名無しさん＠お腹いっぱい。 ：02/06/27 17:01

FreeBSD4.5にopenssh-3.4p1をインストールしたのだが、
sshdを立ちあげると次のようなエラーが出る。
一応sshdは動いているようなのだが。

This platform does not support both privilege separation and compression
Compression disabled

なんで?

811 ：名無しさん＠Ｅｍａｃｓ ：02/06/27 17:50

>>810
どっちかを off にしる〜

812 ：名無しさん＠お腹いっぱい。 ：02/06/27 18:04

JPCERT も出た。
http://www.jpcert.or.jp/at/2002/at020004.txt

813 ：名無しさん＠お腹いっぱい。 ：02/06/27 18:09

does not support both A and B

これもわからんか・・・
読もうとしろよ

814 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:07

>>810
「両方ともサポートしているわけではない」（部分否定）

815 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:18

>>812
読んでみたけど、対処方法に「Disable challenge response authentication」
といった記述が見つからないなぁ…

ちなみに、
http://www.cert.org/advisories/CA-2002-18.html
には記述されてます。

816 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:24

>>809 うちでも同じWARNING が出ました。ただ、
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt
にある「特権の分離がどのように行なわれるかを見てみます・・・」
を実行したところ、sshd ユーザーにchroot していることは
確認できましたので、見なかったことにしてます。
いいのかちら・・・？

817 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:41

root 24204 0.0 0.0 352 876 ?? Is 8:01PM 0:01.54 /usr/sbin/sshd
root 30733 0.0 0.0 388 1276 ?? Is 8:01PM 0:00.12 sshd: ore [priv] (sshd)
ore 2845 0.0 0.0 428 1208 ?? S 8:01PM 0:00.15 sshd: ore@ttyp0 (sshd)
root 1286 0.0 0.0 388 1280 ?? Is 8:15PM 0:00.13 sshd: ore [priv] (sshd)
ore 25440 0.0 0.0 428 1296 ?? S 8:15PM 0:00.47 sshd: ore@ttyp1 (sshd)

818 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:45

>>809
WARNING: Privilege separation user "sshd" does not exist
とは表示されなかったんでしょ？ Makefile がしょぼいだけでしょう。

819 ：名無しさん＠お腹いっぱい。 ：02/06/27 22:03

う〜ん。sshd っていう user & group 作って、/var/empty 作って
sshd_config に
UsePrivilegeSeparation yes
Compression no
って書いているのに
mona 507 0.6 1.0 3508 2364 ? S 21:56:29 0:00 sshd -i
root 472 0.0 1.0 2948 2324 ? S 21:56:23 0:00 sshd -i
ってなるんだけど、inetd 経由だとダメなの? ちなみに OS は Solaris8

820 ：名無しさん＠お腹いっぱい。 ：02/06/27 22:09

>819
monaで動いてるプロセスがあれば大丈夫でしょ。
privsepされてなければどっちもroot。

821 ：名無しさん＠お腹いっぱい。 ：02/06/27 23:40

>>820
Thanks. lsof しても /var/empty とか user が sshd だとかいうものが存在
しないんで、いったいどうなっとんのじゃと悩んでいたのでした。

822 ：名無しさん＠お腹いっぱい。 ：02/06/28 12:40

>810 configureが腐っていてsys/types.hをincludeし忘れてるみたいだね。
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=1244997+0+current/freebsd-security

823 ：名無しさん＠お腹いっぱい。 ：02/06/28 23:20

ssh.comのSSHはだいじょうぶなのですか？

824 ：名無しさん＠お腹いっぱい。 ：02/06/30 14:02

>>778
おいらは別config書いてそこに

UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
Port 10022

とか書いといて、-Fオプションでconfig切替えて使ってるよ。
同一ホストでもportが違えば別のknown_hostsに書かれるのでちょっとだけ嬉しいはず。

825 ：名無しさん＠お腹いっぱい。 ：02/06/30 16:28

>>818
すまん。初心者で直し方がわからない。
もしよろしければ直し方ｷﾎﾞﾝﾇ。

826 ：名無しさん＠Ｅｍａｃｓ ：02/07/01 01:06

In article >>825, 名無しさん＠お腹いっぱい。 <> wrote:
> すまん。初心者で直し方がわからない。
> もしよろしければ直し方ｷﾎﾞﾝﾇ。

どっちを # でコメントにすればよいですね:)

827 ：名無しさん＠ＸＥｍａｃｓ ：02/07/01 13:23

>>823
> ssh.comのSSHはだいじょうぶなのですか？

なにが？

828 ：名無しさん＠ＸＥｍａｃｓ ：02/07/01 13:33

>>824
> おいらは別config書いてそこに
>
> UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
> Port 10022
>
> とか書いといて、-Fオプションでconfig切替えて使ってるよ。

なるへそ。その手があったか。

で、こいつをちょいと発展させて config ファイルには

Host host1
HostName sshgateway.mycompany.com
Port XXX0
UserKnownHostsFile ~/.ssh/known_hosts_host1
Host host2
HostName sshgateway.mycompany.com
Port XXX1
UserKnownHostsFile ~/.ssh/known_hosts_host2
…

とか書いといてやって

$ ssh host1

とか

$ ssh host2

とかする、ってのはどうよ。

829 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:02

> どっちを # でコメントにすればよいですね:)

日本語の間違いを正しても依然として意味不明なのですが。

830 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:09

In article >>829, 名無しさん＠お腹いっぱい。/sage/829 wrote:
> > どっちを # でコメントにすればよいですね:)
>
> 日本語の間違いを正しても依然として意味不明なのですが。

どちらかを、# でコメントにすれば良いですねじゃわからんか?

ヘ_ヘ
ミ・・ ミ
( ° )〜
~~~~~~~~~~

831 ：名無しさん＠カラアゲうまうま ：02/07/01 15:09

日本語だと思うから意味不明なのです。

832 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:13

In article >>831, 名無しさん＠カラアゲうまうま/sage/831 wrote:
> 日本語だと思うから意味不明なのです。

そうですね:)
推奨するのは自分の頭で考えることです。

833 ：名無しさん＠Ｅｍａｃｓ ：02/07/01 17:33

From: OSADA Yoshiko <o.yoshiko@jp.fujitsu.com>
Subject: [ssh:00010] Re: WARNING: Privilege separation user "sshd" does not exist
Date: Mon, 01 Jul 2002 16:37:06 +0900

> とっても早いレス、ありがとうございました。
>
> ところで、追加質問させていただきます。
> これは、openssh3.4では必須の作業なのですか？それともオプショ
> ンなのですか？

(ﾟДﾟ)ﾊｧ?

834 ：名無しさん＠お腹いっぱい。 ：02/07/01 17:35

>>833
ML ヲチしたいならこちらでどうぞ。

ニュース、ML キチガイリスト 6 人目
http://pc.2ch.net/test/read.cgi/unix/1023635938/

835 ：初期不良 ：02/07/01 23:23

>>830
> どっちを # でコメントにすればよいですかね:)

の補完候補もあり

836 ：名無しさん＠お腹いっぱい。 ：02/07/02 02:06

changelog.Debian.gz

> openssh (1:3.4p1-1) testing; urgency=high
>
> * thanks to the security team for their work
> * no thanks to ISS/Theo de Raadt for their handling of these bugs

837 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:02

>>836
いくらなんでもこれはひどいなぁ。bug 発見して fix したのは Theo でしょ。

838 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:34

>>837
workaroundがあるのに隠してたのもTheo。

839 ：名無しさん＠お腹いっぱい。 ：02/07/02 16:54

>>837
ひどくはないだろ。
theoは何がしたかったかマジで意味不明。

840 ：名無しさん＠お腹いっぱい。 ：02/07/02 22:58

>>839
特権分離を使わせたかった。

841 ：名無しさん＠お腹いっぱい。 ：02/07/03 12:43

AirH" 128k + PuTTY日本語対応で使用中。
パケットは遅延がデカいからキー打ってからのタイムラグが結構デカい。
何とも言えない使い心地だ。

842 ：名無しさん＠お腹いっぱい。 ：02/07/03 13:11

いまだに56kダイヤルアップで大学にログインしてskkつかってメール書いてますが何か?
compression禁止なマシンだと大変イタイです。

843 ：名無しさん＠お腹いっぱい。 ：02/07/03 14:40

>>842
モデム使うんなら、モデムで圧縮すればいいやん。

844 ：名無しさん＠お腹いっぱい。 ：02/07/03 17:32

>>842
スループットとタイムラグは別物。

845 ：名無しさん＠お腹いっぱい。 ：02/07/03 19:13

>>836-839
おい、お前ら。本家 OpenSSH の (Revised) Advisory は読んだのですか？

最初の Advisory から Credits: ISS. と書いてあったはずなので、
俺は一番悪いのは ISS ではないかと思っていましたが。

>>836
OpenSSH の側では Debian の対応を賞賛しているのに。。。

>>837
ISS の Advisory を読む限り、穴を発見したのは ISS でしょ。

846 ：名無しさん＠お腹いっぱい。 ：02/07/03 21:49

>>845
theoの発言を読んだ上で書いてるの？

read.cgi ver5.26+ (01/10/21-)