レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10

についての情報交換。

777 ：名無しさん＠お腹いっぱい。 ：02/06/26 02:38

>>776
これじゃだめ?
http://www.unixuser.org/~euske/doc/openssh/jman/ssh-rand-helper.html

778 ：名無しさん＠お腹いっぱい。 ：02/06/26 03:18

sshのknown hostsファイルには、IPアドレスとホストキーがかかれる
だけなのが不便。なぜかというと、SSHでFW内部に外部から入る為の
中継用のゲートウェイのマシンのIPアドレスが１つで、それへの
接続する際のポート番号を変えることで、FW内部のどこにパケットを
フォワードするかを指定したいのだけれども、SSHのクライアント
側の　KNOWN　HOSTSを記録するファイルにはポート番号の違いで
相手を区別認識させる手段がない。だからつなぎにいくポート番号を
変えるときにはKNOWN HOSTSファイルを一度消してからでないと
せつぞくが失敗する。不便だ。

779 ：名無しさん＠お腹いっぱい。 ：02/06/26 07:58

来週の月曜日には OpenSSH 3.4 が出るようです。
http://www.openssh.com/

　現在 OpenSSH にはまだ公表されていない脆弱性が存在します。
　OpenSSH 3.3 にアップデートし、UsePrivilegeSeparation (特権分離)
　オプションを使用するよう強くおすすめします。
　特権分離機能はこの問題をブロックします。来週の月曜日にはこの脆弱性を解決する
　OpenSSH 3.4 リリースが出ますので、どうかお見逃しなく。

780 ：名無しさん＠お腹いっぱい。 ：02/06/26 08:03

FreeBSD STABLEに3.3がmergeされたけど3.4に差し替えかな？

781 ： ：02/06/26 10:17

ttp://www.unixuser.org/~haruyama/security/openssh/privsep.txt
上記のメモを参考にdebianのssh 3.3p1-0.0woody1の
特権分離を確認してみたのですが、下記のようになりました。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.5 2752 688 ? S 09:29 0:00 /usr/sbin/sshd

ここで $ ssh localhost する。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.4 1.2 5044 1564 ? S 10:00 0:00 /usr/sbin/sshd
sshd 2371 1.2 1.0 4172 1300 ? S 10:00 0:00 /usr/sbin/sshd

$ sudo lsof -p 2371
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 2371 root cwd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root rtd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root txt REG 3,8 276072 195636 /usr/sbin/sshd
..........

ここでloginする。
$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.0 1.3 6272 1656 ? S 10:00 0:00 /usr/sbin/sshd
nanashi 2748 0.0 1.3 6292 1764 ? S 10:05 0:00 /usr/sbin/sshd

debianの場合、/var/run/sshdにchrootするようなんですが、lsofした時のsshdのUSERが
rootとなってるのは問題ないのでしょうか？

782 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 11:10

>>768
> FreeBSD4.5のCURRENTを利用してます。
> OpenSSHを利用する際に、ログイン時にchrootさせて、
> セキュリティ強化したいと思っているのですが、可能でしょうか？
> 商用版sshのほうには、そういう機能あるみたいですけど。

FreeBSD なら ssh.com のはタダで使えるんだから chroot が必要なと
ころではそっちを使えばいいんでは？

783 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:19

>>764
> 来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
Privilege Separation を普及させるための狂言だったらおもしろいな。

784 ：名無しさん＠お腹いっぱい。 ：02/06/26 11:52

ＳＳＨ社、教育機関対象に暗号通信ソフトの割引サービスを開始
http://www.ipsec.co.jp/about/press/2002/2002-06-25.html

785 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:19

3.3にしたら A というホストに接続しに行くと A から A の UDP 53 に
アクセスしに行くようになりました。UDP 53なのでDNSだと思うのですが、
A のresolv.confは別のアドレス(127.0.0.1)になっています。

786 ：名無しさん＠お腹いっぱい。 ：02/06/26 13:41

>>785
(ﾟдﾟ)ﾎﾟｶｰﾝ

# 127.0.0.1って何のアドレスか分かってるかい？

787 ：785 ：02/06/26 13:47

>786
dnscacheを使ってますのでlocalhostにdnsの受け口があります。

788 ：名無しさん＠お腹いっぱい。 ：02/06/26 15:42

>>787
再帰的に名前解決しにいかなくていいの?

789 ：785 ：02/06/26 16:42

dnscacheが解決しに行ってくれます。

790 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:44

じゃあ、dnscacheはどのhostに問い合わせにいくの?

791 ：名無しさん＠お腹いっぱい。 ：02/06/26 16:46

>>789
お前、tinydns と dnscache の関係わかってないだろ?

792 ：785 ：02/06/26 17:20

>790
dnscacheはroot/servers/にあるアドレスを元にそれぞれのDNSサーバに
名前を問い合わせに行きます。そこにドメイン名のファイルがあれば
そのアドレスに問い合わせますし、なければ@ファイルにあるアドレス
に問い合わせます。必要なら再起的に。
>791
dnscacheは自分が管理しているドメイン以外のアドレスを解決する場合に
利用されます。tinydnsは自分が管理しているドメインへの問い合わせに
答える為に利用されます。

この話のAのホストではtinydnsは動いていませんし、実際このドメイン
の名前を解決する為のDNSサーバは別にあります。ですので127.0.0.1に
DNSの問い合わせが来ることはあっても、Aのアドレスに来るはずはない
と思ってるんですが。

793 ：名無しさん＠お腹いっぱい。 ：02/06/26 17:42

>>791
>>786への回答よろしく。

794 ：768 ：02/06/26 18:12

>>782
FreeBSDならば、ssh.comの商品が自由に使えるってホント？
どこに書いてあるの？

795 ：名無しさん＠ＸＥｍａｃｓ ：02/06/26 21:24

>>794
> FreeBSDならば、ssh.comの商品が自由に使えるってホント？

FreeBSD だけってわけじゃなくて Linux/NetBSD/OpenBSD でも、ね。

あと、もちろん、ssh.com の商品全部がってわけじゃない (が、少
なくとも SSH Secure Shell for Servers は該当してる) けど。

> どこに書いてあるの？

正確なところは commerce.ssh.com から Non commercial 版をダウ
ンロードして中の LICENSE ファイルを見てみるのが一番だと思うけ
ど、手近なところでは

ttp://www.ssh.com/faq/index.cfm?id=171

辺りとか。

796 ：名無しさん＠お腹いっぱい。 ：02/06/26 22:30

でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
使えない…。

797 ：sshd ：02/06/27 00:07

openssh-3.4 ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

798 ：某翻訳担当 ：02/06/27 00:17

おいおいきのういってた予定と違うじゃねーか
はえーよ!

799 ：名無しさん＠お腹いっぱい。 ：02/06/27 00:21

しかも弱点があるのは 2.9.9 以降...
設定で容易に回避可能...

800 ：春山征吾 ◆9Ggg6xsM ：02/06/27 00:31

>>781
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=101680346025114&w=2
でも　USER が root ですね。
手元のlsof(revision: 4.59)のmanのUSERの項:
> However, on Linux USER　is the user ID number or login that owns the directory in /proc
> where lsof finds information　about the process.
> Usually that is the same value reported by ps(1), but may differ when
> the process has changed its effective user ID.

ということなので、よさそうではあります。

801 ：781 ：02/06/27 00:44

>>800
レスどうもです。
linuxのlsofの問題なので、確認しようがないということのようですね。
ありがとうございました。

802 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:24

>>783
>Privilege Separation を普及させるための狂言だったらおもしろいな。

結局、その通りだったようです。まあ穴があったのは事実ですが。
今回の穴の対応策は次のような感じでしょうか？

・以下の人はOpenSSH 3.1のままで大丈夫
　　- "AFS/Kerberos support and ticket/token passing enabled" でない人
　　- "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.2.3 のままで大丈夫
　　- "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.3 のままで大丈夫
　　- "UsePrivilegeSeparation yes" にしている人

・それ以外の人はOpenSSH 3.4 にしましょう

803 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:31

> ・以下の人はOpenSSH 3.3 のままで大丈夫
>　　- "UsePrivilegeSeparation yes" にしている人

"ChallengeResponseAuthentication no" という設定を加えるのならともかく、
"UsePrivilegeSeparation yes" だけでは、とても安全とは言えん。

> ・以下の人はOpenSSH 3.1のままで大丈夫
> 　　- "AFS/Kerberos support and ticket/token passing enabled" でない人
> 　　- "ChallengeResponseAuthentication no" にしている人

これも、
"AFS/Kerberos support and ticket/token passing enabled" でなく、
かつ "ChallengeResponseAuthentication no" にしている人
なんじゃないの？

804 ：名無しさん＠お腹いっぱい。 ：02/06/27 03:47

/.の方でも話題になってますね
ttp://slashdot.jp/article.pl?sid=02/06/26/112206&mode=thread

元ネタはこっち(↓)？
ttp://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584

805 ：名無しさん＠お腹いっぱい。 ：02/06/27 07:54

ISC だと思ってた。

806 ：名無しさん＠ＸＥｍａｃｓ ：02/06/27 10:34

>>796
> でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
> 使えない…。

まぁ、ね。

ただ、当時とは違い OpenSSH という立派な alternative がある現在
では、Free UNIXen 利用者層への蒔餌という意味合いの強いこのポリ
シーはそうそう変えんだろうとは思うが。

.com 版のにしろ、OpenSSH にしろ、間違っても一生ものになるわきゃ
ないんだから、要は、その時点その時点で使えるものを使えばいいっ
てだけの話で。

前に >>706 にも書いた通り、.com 版 sftp client はファイル名の補
完ができたりするんで結構便利だしね。

807 ：名無しさん＠お腹いっぱい。 ：02/06/27 10:38

pamが使えないとかいう問題は治ってる？
ChangeLog見たけど
- (djm) Fix int overflow in auth2-pam.c, similar to one discovered by ISS
これの事？

808 ：名無しさん＠お腹いっぱい。 ：02/06/27 11:01

3.4p1をSolarisで使っているんだけど、
sshd_config に UsePrivilegeSeparation yes を書いた場合、
つなげようとすると
debug1: Connection established.
debug1: read PEM private key done: type DSA
debug1: read PEM private key done: type RSA
debug1: identity file /home/mona/.ssh/identity type 0
debug1: identity file /home/mona/.ssh/id_rsa type -1
debug1: identity file /home/mona/.ssh/id_dsa type 2
ssh_exchange_identification: Connection closed by remote host
となって connection 切られちゃう。

debug1: Remote protocol version 1.99, remote software version OpenSSH_3.4p1
debug1: match: OpenSSH_3.4p1 pat ^OpenSSH
Enabling compatibility mode for protocol 2.0
って続くはずなのになぁ。

809 ：名無しさん＠お腹いっぱい。 ：02/06/27 11:34

3.4p1（BSDi)
sshdユーザーを作ったのにmake insatllでこの表示はあってのかい？
id sshd || echo "WARNING: Privilege separation user \"sshd\" does not exist"

一応、psで見るとこんな感じだが、
ps auwwx | grep sshd
root 1497 0.0 0.2 900 436 ?? Ss 11:27AM 0:00.28 /usr/local/sbin
/sshd
root 1578 0.0 0.4 928 804 ?? I 11:28AM 0:00.03 hoge [priv] (sshd)

こりゃー間違ってんかな？lsofしてもrootでしか動いてなんだが。。

810 ：名無しさん＠お腹いっぱい。 ：02/06/27 17:01

FreeBSD4.5にopenssh-3.4p1をインストールしたのだが、
sshdを立ちあげると次のようなエラーが出る。
一応sshdは動いているようなのだが。

This platform does not support both privilege separation and compression
Compression disabled

なんで?

811 ：名無しさん＠Ｅｍａｃｓ ：02/06/27 17:50

>>810
どっちかを off にしる〜

812 ：名無しさん＠お腹いっぱい。 ：02/06/27 18:04

JPCERT も出た。
http://www.jpcert.or.jp/at/2002/at020004.txt

813 ：名無しさん＠お腹いっぱい。 ：02/06/27 18:09

does not support both A and B

これもわからんか・・・
読もうとしろよ

814 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:07

>>810
「両方ともサポートしているわけではない」（部分否定）

815 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:18

>>812
読んでみたけど、対処方法に「Disable challenge response authentication」
といった記述が見つからないなぁ…

ちなみに、
http://www.cert.org/advisories/CA-2002-18.html
には記述されてます。

816 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:24

>>809 うちでも同じWARNING が出ました。ただ、
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt
にある「特権の分離がどのように行なわれるかを見てみます・・・」
を実行したところ、sshd ユーザーにchroot していることは
確認できましたので、見なかったことにしてます。
いいのかちら・・・？

817 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:41

root 24204 0.0 0.0 352 876 ?? Is 8:01PM 0:01.54 /usr/sbin/sshd
root 30733 0.0 0.0 388 1276 ?? Is 8:01PM 0:00.12 sshd: ore [priv] (sshd)
ore 2845 0.0 0.0 428 1208 ?? S 8:01PM 0:00.15 sshd: ore@ttyp0 (sshd)
root 1286 0.0 0.0 388 1280 ?? Is 8:15PM 0:00.13 sshd: ore [priv] (sshd)
ore 25440 0.0 0.0 428 1296 ?? S 8:15PM 0:00.47 sshd: ore@ttyp1 (sshd)

818 ：名無しさん＠お腹いっぱい。 ：02/06/27 21:45

>>809
WARNING: Privilege separation user "sshd" does not exist
とは表示されなかったんでしょ？ Makefile がしょぼいだけでしょう。

819 ：名無しさん＠お腹いっぱい。 ：02/06/27 22:03

う〜ん。sshd っていう user & group 作って、/var/empty 作って
sshd_config に
UsePrivilegeSeparation yes
Compression no
って書いているのに
mona 507 0.6 1.0 3508 2364 ? S 21:56:29 0:00 sshd -i
root 472 0.0 1.0 2948 2324 ? S 21:56:23 0:00 sshd -i
ってなるんだけど、inetd 経由だとダメなの? ちなみに OS は Solaris8

820 ：名無しさん＠お腹いっぱい。 ：02/06/27 22:09

>819
monaで動いてるプロセスがあれば大丈夫でしょ。
privsepされてなければどっちもroot。

821 ：名無しさん＠お腹いっぱい。 ：02/06/27 23:40

>>820
Thanks. lsof しても /var/empty とか user が sshd だとかいうものが存在
しないんで、いったいどうなっとんのじゃと悩んでいたのでした。

822 ：名無しさん＠お腹いっぱい。 ：02/06/28 12:40

>810 configureが腐っていてsys/types.hをincludeし忘れてるみたいだね。
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=1244997+0+current/freebsd-security

823 ：名無しさん＠お腹いっぱい。 ：02/06/28 23:20

ssh.comのSSHはだいじょうぶなのですか？

824 ：名無しさん＠お腹いっぱい。 ：02/06/30 14:02

>>778
おいらは別config書いてそこに

UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
Port 10022

とか書いといて、-Fオプションでconfig切替えて使ってるよ。
同一ホストでもportが違えば別のknown_hostsに書かれるのでちょっとだけ嬉しいはず。

825 ：名無しさん＠お腹いっぱい。 ：02/06/30 16:28

>>818
すまん。初心者で直し方がわからない。
もしよろしければ直し方ｷﾎﾞﾝﾇ。

826 ：名無しさん＠Ｅｍａｃｓ ：02/07/01 01:06

In article >>825, 名無しさん＠お腹いっぱい。 <> wrote:
> すまん。初心者で直し方がわからない。
> もしよろしければ直し方ｷﾎﾞﾝﾇ。

どっちを # でコメントにすればよいですね:)

827 ：名無しさん＠ＸＥｍａｃｓ ：02/07/01 13:23

>>823
> ssh.comのSSHはだいじょうぶなのですか？

なにが？

828 ：名無しさん＠ＸＥｍａｃｓ ：02/07/01 13:33

>>824
> おいらは別config書いてそこに
>
> UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
> Port 10022
>
> とか書いといて、-Fオプションでconfig切替えて使ってるよ。

なるへそ。その手があったか。

で、こいつをちょいと発展させて config ファイルには

Host host1
HostName sshgateway.mycompany.com
Port XXX0
UserKnownHostsFile ~/.ssh/known_hosts_host1
Host host2
HostName sshgateway.mycompany.com
Port XXX1
UserKnownHostsFile ~/.ssh/known_hosts_host2
…

とか書いといてやって

$ ssh host1

とか

$ ssh host2

とかする、ってのはどうよ。

829 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:02

> どっちを # でコメントにすればよいですね:)

日本語の間違いを正しても依然として意味不明なのですが。

830 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:09

In article >>829, 名無しさん＠お腹いっぱい。/sage/829 wrote:
> > どっちを # でコメントにすればよいですね:)
>
> 日本語の間違いを正しても依然として意味不明なのですが。

どちらかを、# でコメントにすれば良いですねじゃわからんか?

ヘ_ヘ
ミ・・ ミ
( ° )〜
~~~~~~~~~~

831 ：名無しさん＠カラアゲうまうま ：02/07/01 15:09

日本語だと思うから意味不明なのです。

832 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:13

In article >>831, 名無しさん＠カラアゲうまうま/sage/831 wrote:
> 日本語だと思うから意味不明なのです。

そうですね:)
推奨するのは自分の頭で考えることです。

833 ：名無しさん＠Ｅｍａｃｓ ：02/07/01 17:33

From: OSADA Yoshiko <o.yoshiko@jp.fujitsu.com>
Subject: [ssh:00010] Re: WARNING: Privilege separation user "sshd" does not exist
Date: Mon, 01 Jul 2002 16:37:06 +0900

> とっても早いレス、ありがとうございました。
>
> ところで、追加質問させていただきます。
> これは、openssh3.4では必須の作業なのですか？それともオプショ
> ンなのですか？

(ﾟДﾟ)ﾊｧ?

834 ：名無しさん＠お腹いっぱい。 ：02/07/01 17:35

>>833
ML ヲチしたいならこちらでどうぞ。

ニュース、ML キチガイリスト 6 人目
http://pc.2ch.net/test/read.cgi/unix/1023635938/

835 ：初期不良 ：02/07/01 23:23

>>830
> どっちを # でコメントにすればよいですかね:)

の補完候補もあり

836 ：名無しさん＠お腹いっぱい。 ：02/07/02 02:06

changelog.Debian.gz

> openssh (1:3.4p1-1) testing; urgency=high
>
> * thanks to the security team for their work
> * no thanks to ISS/Theo de Raadt for their handling of these bugs

837 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:02

>>836
いくらなんでもこれはひどいなぁ。bug 発見して fix したのは Theo でしょ。

838 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:34

>>837
workaroundがあるのに隠してたのもTheo。

839 ：名無しさん＠お腹いっぱい。 ：02/07/02 16:54

>>837
ひどくはないだろ。
theoは何がしたかったかマジで意味不明。

840 ：名無しさん＠お腹いっぱい。 ：02/07/02 22:58

>>839
特権分離を使わせたかった。

841 ：名無しさん＠お腹いっぱい。 ：02/07/03 12:43

AirH" 128k + PuTTY日本語対応で使用中。
パケットは遅延がデカいからキー打ってからのタイムラグが結構デカい。
何とも言えない使い心地だ。

842 ：名無しさん＠お腹いっぱい。 ：02/07/03 13:11

いまだに56kダイヤルアップで大学にログインしてskkつかってメール書いてますが何か?
compression禁止なマシンだと大変イタイです。

843 ：名無しさん＠お腹いっぱい。 ：02/07/03 14:40

>>842
モデム使うんなら、モデムで圧縮すればいいやん。

844 ：名無しさん＠お腹いっぱい。 ：02/07/03 17:32

>>842
スループットとタイムラグは別物。

845 ：名無しさん＠お腹いっぱい。 ：02/07/03 19:13

>>836-839
おい、お前ら。本家 OpenSSH の (Revised) Advisory は読んだのですか？

最初の Advisory から Credits: ISS. と書いてあったはずなので、
俺は一番悪いのは ISS ではないかと思っていましたが。

>>836
OpenSSH の側では Debian の対応を賞賛しているのに。。。

>>837
ISS の Advisory を読む限り、穴を発見したのは ISS でしょ。

846 ：名無しさん＠お腹いっぱい。 ：02/07/03 21:49

>>845
theoの発言を読んだ上で書いてるの？

847 ：845 ：02/07/03 22:33

>>846
俺は Theo は悪くないと書いたつもりはないぞ。 OpenSSH Advisory は
彼の側の文書だから、これだけを読んで判断するのは早計だろうからな。

それとも、Theo の発言と Advisory の記述が食い違っているという指摘？
そういうことなら俺は気付いていないのでぜひ教えていただけますか。

それはともかく、

>>837 は (Advisory を読む限り) 事実誤認。

>>838
確かに workaround は隠されていたな。 その辺の事情は OpenSSH Advisory
の Release Process に書かれているが、これを読んでも >>839 はまだ意味
不明と言い切るのか？

最初の警告を出した、ここにも書かれていない事情について、Apache の時
みたいにまた ISS が絡んでいるのではと俺は疑っているのだが。

848 ：名無しさん＠お腹いっぱい。 ：02/07/03 23:02

>>847
>>839はhttp://pc.2ch.net/test/read.cgi/unix/1023635938/546-550nあたり
の言動が意味不明だと言ってるのだと思われ。
あんだけ煽っといて「実は設定で回避できました、テヘ」じゃ、そりゃ、みん
な怒るよ。

849 ：845=847 ：02/07/03 23:32

>>848
だからその辺の事情が OpenSSH Advisory で述べられているという話。

「workaround を公開 == 穴のある場所を限定」なので、あの時点で workaround
を公開すべきだったのかは俺にはわからない。

ただ、そもそも最初の中途半端な警告がなければ何も問題なかったのだよな？
その事情について >>840 みたいな声も多かったが、Advisory に Credits: ISS.
とあるのを見て「また ISS かよ!」と思った俺みたいなのは他にいないのか？

850 ：名無しさん＠お腹いっぱい。 ：02/07/04 08:23

> スループットとタイムラグは別物。

これどゆこと?
AirH" のほうが 56k dialup よりもタイムラグあるってこと?
そんなに遅延すんの?

851 ：名無しさん＠お腹いっぱい。 ：02/07/04 11:02

>>850
そう、AirH"のパケット方式だとどんなホストにping撃っても300, 400msはあたりまえ。
平均すると500ms〜700msくらいは待たされるんじゃないだろうか。
通常のアナログモデムだとこんなには遅延しないでしょ。
PHSでもPIAFSとかなら遅延は少ないみたいだけど。

852 ：名無しさん＠Ｅｍａｃｓ ：02/07/04 11:17

>>849
おおむね同意

itojun氏曰「workaroundを公開すれば500行程度に攻撃対象が限定される」
らしいので穴突くのも楽勝であっただろう。
しかも相手がISSだったので放置すれば、そのまま公開される危険性もあった。

それらを踏まえれば、MLでの発言はともかくtheoに全面的に非が有った
とは言い切れないと考える。
煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
どういうのが有ったとお考えですか？

853 ：名無しさん＠お腹いっぱい。 ：02/07/04 11:58

theoの非：
穴のない 2.3.1 より前のバージョンを使っていた管理者に対して、
穴のある 3.3 使うよう促した。

854 ：852 ：02/07/04 12:12

>>853
vulnerabirityのあるバージョンを明記したSAを出したら、changelog
から攻撃箇所を特定できると思います。

protocol1しか話せないバージョンを駆逐したかったという意図も
否定できないけど。

855 ：名無しさん＠お腹いっぱい。 ：02/07/04 12:19

SAを出す際に、特権分離を普及させよう、とか、古いプロトコルバージョンを
駆逐しよう、とかいった打算はいらない。

856 ：!849 ：02/07/04 12:33

>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？

礼儀正しさと冷静さ

857 ：852 ：02/07/04 13:36

>>856
projectとして誤った対応があったというのと、theo個人の
非礼は別問題では

>>855
意図があったのでは、というのは私の勝手な妄想です。

858 ：842=850 ：02/07/04 14:51

>>851
解説感謝。よくわかりました。

859 ：849 ：02/07/04 18:15

>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？
これはひょっとして俺に聞いているのですか？

この問題に関しては俺はヤジ馬でいられたので (ssh の口を外に晒していない)
>>845 を書いたのも「お前ら、Theo ばかり叩いていていいのか？」という煽り
と軌道修正が半々の動機でした。
あの時点で workaround を公開することの是非もわからないと >>849 に書いた
はずだし、ごめん、俺に聞かれてもわからん。

むしろ、俺の頭の中にあるのは悪い方のシナリオだな。
セキュリティ企業の 穴探し→早期の告知 の競争がエスカレートするとか、
BSD resolver の穴が vendor に告知してから 5 時間以内に漏れたように、
「vendor に知らせない方がマシだ!」とキレる奴が増えてくるとか、今後
穴の告知に関してますます混乱が増えるんじゃないのか？

860 ：852 ：02/07/04 19:51

>>859
いえ、別に特定の人物に尋ねたつもりはないんですが、>>838みたいに
"隠してた"呼ばわりする人もいるぐらいだから、もっとスマートな解決策が
あったのかなぁ、と。

861 ：名無しさん＠お腹いっぱい。 ：02/07/04 20:42

>>853
ん, 2.3.1 より前は本当に穴が全くないのか?
今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
http://www.unixuser.org/~haruyama/security/openssh/security-holes.html

しかしこうしてみると穴が多いな. 早く穴の多さに DJB がキレてくれないかな.

862 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:03

>>861
何でそこで DJB が出て来るの？

863 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:30

djbsshを作らせるため。

864 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:37

>>863
バカみたい

865 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:59

>ん, 2.3.1 より前は本当に穴が全くないのか?
>今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
セキュリティ修正だけbackportしてあれば穴が無いことになるはず。

866 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:26

>>865
純粋な疑問ですが、security fix を backport した 2.3.1 以前を配布していた
ベンダが実際にあるのですか？ リリース版に含めていたのが 2.3.1 以前なので
せっせと backport して patch を配布していたといったところでしょうか？

よく知らないけどそういうことをするとしたら Debian なのかな？

867 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:27

>>861-864
http://pc.2ch.net/test/read.cgi/unix/1021727195/173-174n

868 ：名無しさん＠お腹いっぱい。 ：02/07/04 23:52

>>866
Debian stable(potato)は OpenSSH 1.2.3 base. 穴がみつかるたびに
security fix を backport して対応していた。
(channel bug とか CRC-32 attack とか)

詳細を明かさずに、「いついつまでに update しろ」と連絡があって、
しかたなくおお慌てで ssh の update パッケージを出した。
(このとき指定された期日まで、24時間よりもずっと短かい時間しかなかった)
当然十分なテストが行なえるわけもなく、とりあえず 3.3 のパッケージと
判っている範囲でのアドバイザリを出したが、急造なのでバグが結構あった。
(3.3 のパッケージは都合6回 Debian version が上がっている)

いざ詳細があかされると、実はおお急ぎで出したパッケージによって
余計な穴を開けてしまった格好になっていたので、そりゃ怒りたくもなるよ。

そりゃまあ protocol 2 が使えるようになったこと自体は良いのかも
しれんけど、security team が抱える羽目になった苦労が大きすぎる。

869 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:14

すみません、板違いなのですがlinux板の方にsshスレが無いのでこちらで質問させてください。
OpenSSH3.4p1をインストールしているのですがうまくいきません

ssh2で接続でサーバがRedhat7.2でクライアントがwin2kのputtyなんですが
クライアントの接続の前にsshdが立ち上がらず困っています

以下sshd起動時メッセージ
[root@hoge etc]# /usr/local/sbin/sshd -d -f /usr/local/etc/sshd_config
debug1:sshd version OpenSSH_3.4p1
debug1:read PEM private key done:type RSA
debug1:private host key:#0 type 1 RSA
privilege separation user sshd does not exist
[root@hoge etc]#

>debug1:private host key:#0 type 1 RSA
これがssh2じゃないぞと怒られている気がしないでも無いのですが
やっぱりよくわかりません

confファイル
sshd_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt
ssh_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt

インストール時configure
./configure --with-pam --with-tcp-wrappers --with-ipv4-default

どなたかアドバイスいただけたらうれしいです。

870 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:25

>>869
"privilege separation user sshd does not exist"が原因
>>763 参照

871 ：nanasi ：02/07/05 01:27

>>869
Privilege separation まわりでしょ。

このスレの 800 以降を読んでみて。

872 ：866 ：02/07/05 05:56

>>868
ありがとうございます。なるほど、1.2.3 とは驚きました。
>>845 で OpenSSH 側が Debian の対応を賞賛しているのに、
>>836 で Debian 側が no thanks と書いているのはそういう事情が
あったのですね。

873 ：868 ：02/07/05 06:33

Debian の ssh が古いのはリリースがもう2年近く前だから、という
事情もあるので勘弁してあげて下さい。

874 ：名無しさん＠お腹いっぱい。 ：02/07/05 14:01

http://www.jpcert.or.jp/at/2002/at020004.txt

JPCERTは、もっとも簡単な対応 "ChallengeResponseAuthentication no" を
対策として故意に載せていないのは陰謀の臭いがする。

875 ：815 ：02/07/05 16:55

CERT/CC（URLは>>815参照）にはきちんと書かれているようです。
なぜ書かれていないのかは私も不思議。

876 ：名無しさん＠お腹いっぱい。 ：02/07/06 02:44

まあ、いまだに Apache1.3.19 使ってるぐらいだからね（藁 < jpcert

read.cgi ver5.26+ (01/10/21-)