■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50



レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 :エニグマ :2000/12/11(月) 10:10
についての情報交換。

811 :名無しさん@Emacs :02/06/27 17:50
>>810
どっちかを off にしる〜

812 :名無しさん@お腹いっぱい。 :02/06/27 18:04
JPCERT も出た。
http://www.jpcert.or.jp/at/2002/at020004.txt


813 :名無しさん@お腹いっぱい。 :02/06/27 18:09
does not support both A and B

これもわからんか・・・
読もうとしろよ

814 :名無しさん@お腹いっぱい。 :02/06/27 21:07
>>810
「両方ともサポートしているわけではない」(部分否定)

815 :名無しさん@お腹いっぱい。 :02/06/27 21:18
>>812
読んでみたけど、対処方法に「Disable challenge response authentication」
といった記述が見つからないなぁ…

ちなみに、
http://www.cert.org/advisories/CA-2002-18.html
には記述されてます。

816 :名無しさん@お腹いっぱい。 :02/06/27 21:24
>>809 うちでも同じWARNING が出ました。ただ、
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt
にある「特権の分離がどのように行なわれるかを見てみます・・・」
を実行したところ、sshd ユーザーにchroot していることは
確認できましたので、見なかったことにしてます。
いいのかちら・・・?

817 :名無しさん@お腹いっぱい。 :02/06/27 21:41
root 24204 0.0 0.0 352 876 ?? Is 8:01PM 0:01.54 /usr/sbin/sshd
root 30733 0.0 0.0 388 1276 ?? Is 8:01PM 0:00.12 sshd: ore [priv] (sshd)
ore 2845 0.0 0.0 428 1208 ?? S 8:01PM 0:00.15 sshd: ore@ttyp0 (sshd)
root 1286 0.0 0.0 388 1280 ?? Is 8:15PM 0:00.13 sshd: ore [priv] (sshd)
ore 25440 0.0 0.0 428 1296 ?? S 8:15PM 0:00.47 sshd: ore@ttyp1 (sshd)


818 :名無しさん@お腹いっぱい。 :02/06/27 21:45
>>809
WARNING: Privilege separation user "sshd" does not exist
とは表示されなかったんでしょ? Makefile がしょぼいだけでしょう。

819 :名無しさん@お腹いっぱい。 :02/06/27 22:03
う〜ん。sshd っていう user & group 作って、/var/empty 作って
sshd_config に
UsePrivilegeSeparation yes
Compression no
って書いているのに
mona 507 0.6 1.0 3508 2364 ? S 21:56:29 0:00 sshd -i
root 472 0.0 1.0 2948 2324 ? S 21:56:23 0:00 sshd -i
ってなるんだけど、inetd 経由だとダメなの? ちなみに OS は Solaris8

820 :名無しさん@お腹いっぱい。 :02/06/27 22:09
>819
monaで動いてるプロセスがあれば大丈夫でしょ。
privsepされてなければどっちもroot。

821 :名無しさん@お腹いっぱい。 :02/06/27 23:40
>>820
Thanks. lsof しても /var/empty とか user が sshd だとかいうものが存在
しないんで、いったいどうなっとんのじゃと悩んでいたのでした。

822 :名無しさん@お腹いっぱい。 :02/06/28 12:40
>810 configureが腐っていてsys/types.hをincludeし忘れてるみたいだね。
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=1244997+0+current/freebsd-security


823 :名無しさん@お腹いっぱい。 :02/06/28 23:20
ssh.comのSSHはだいじょうぶなのですか?

824 :名無しさん@お腹いっぱい。 :02/06/30 14:02
>>778
おいらは別config書いてそこに

UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
Port 10022

とか書いといて、-Fオプションでconfig切替えて使ってるよ。
同一ホストでもportが違えば別のknown_hostsに書かれるのでちょっとだけ嬉しいはず。


825 :名無しさん@お腹いっぱい。 :02/06/30 16:28
>>818
すまん。初心者で直し方がわからない。
もしよろしければ直し方キボンヌ。

826 :名無しさん@Emacs :02/07/01 01:06
In article >>825, 名無しさん@お腹いっぱい。 <> wrote:
> すまん。初心者で直し方がわからない。
> もしよろしければ直し方キボンヌ。

どっちを # でコメントにすればよいですね:)

827 :名無しさん@XEmacs :02/07/01 13:23
>>823
> ssh.comのSSHはだいじょうぶなのですか?

なにが?


828 :名無しさん@XEmacs :02/07/01 13:33
>>824
> おいらは別config書いてそこに
>
> UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
> Port 10022
>
> とか書いといて、-Fオプションでconfig切替えて使ってるよ。

なるへそ。その手があったか。

で、こいつをちょいと発展させて config ファイルには

Host host1
HostName sshgateway.mycompany.com
Port XXX0
UserKnownHostsFile ~/.ssh/known_hosts_host1
Host host2
HostName sshgateway.mycompany.com
Port XXX1
UserKnownHostsFile ~/.ssh/known_hosts_host2


とか書いといてやって

$ ssh host1

とか

$ ssh host2

とかする、ってのはどうよ。


829 :名無しさん@お腹いっぱい。 :02/07/01 15:02
> どっちを # でコメントにすればよいですね:)

日本語の間違いを正しても依然として意味不明なのですが。

830 :名無しさん@お腹いっぱい。 :02/07/01 15:09
In article >>829, 名無しさん@お腹いっぱい。/sage/829 wrote:
> > どっちを # でコメントにすればよいですね:)
>
> 日本語の間違いを正しても依然として意味不明なのですが。

どちらかを、# でコメントにすれば良いですねじゃわからんか?

ヘ_ヘ
ミ・・ ミ
( ° )〜
~~~~~~~~~~

831 :名無しさん@カラアゲうまうま :02/07/01 15:09
日本語だと思うから意味不明なのです。

832 :名無しさん@お腹いっぱい。 :02/07/01 15:13
In article >>831, 名無しさん@カラアゲうまうま/sage/831 wrote:
> 日本語だと思うから意味不明なのです。

そうですね:)
推奨するのは自分の頭で考えることです。


833 :名無しさん@Emacs :02/07/01 17:33
From: OSADA Yoshiko <o.yoshiko@jp.fujitsu.com>
Subject: [ssh:00010] Re: WARNING: Privilege separation user "sshd" does not exist
Date: Mon, 01 Jul 2002 16:37:06 +0900

> とっても早いレス、ありがとうございました。
>
> ところで、追加質問させていただきます。
> これは、openssh3.4では必須の作業なのですか?それともオプショ
> ンなのですか?

(゚Д゚)ハァ?

834 :名無しさん@お腹いっぱい。 :02/07/01 17:35
>>833
ML ヲチしたいならこちらでどうぞ。

ニュース、ML キチガイリスト 6 人目
http://pc.2ch.net/test/read.cgi/unix/1023635938/

835 :初期不良 :02/07/01 23:23
>>830
> どっちを # でコメントにすればよいですかね:)

の補完候補もあり

836 :名無しさん@お腹いっぱい。 :02/07/02 02:06
changelog.Debian.gz

> openssh (1:3.4p1-1) testing; urgency=high
>
> * thanks to the security team for their work
> * no thanks to ISS/Theo de Raadt for their handling of these bugs

837 :名無しさん@お腹いっぱい。 :02/07/02 13:02
>>836
いくらなんでもこれはひどいなぁ。bug 発見して fix したのは Theo でしょ。

838 :名無しさん@お腹いっぱい。 :02/07/02 13:34
>>837
workaroundがあるのに隠してたのもTheo。

839 :名無しさん@お腹いっぱい。 :02/07/02 16:54
>>837
ひどくはないだろ。
theoは何がしたかったかマジで意味不明。


840 :名無しさん@お腹いっぱい。 :02/07/02 22:58
>>839
特権分離を使わせたかった。

841 :名無しさん@お腹いっぱい。 :02/07/03 12:43
AirH" 128k + PuTTY日本語対応で使用中。
パケットは遅延がデカいからキー打ってからのタイムラグが結構デカい。
何とも言えない使い心地だ。


842 :名無しさん@お腹いっぱい。 :02/07/03 13:11
いまだに56kダイヤルアップで大学にログインしてskkつかってメール書いてますが何か?
compression禁止なマシンだと大変イタイです。

843 :名無しさん@お腹いっぱい。 :02/07/03 14:40
>>842
モデム使うんなら、モデムで圧縮すればいいやん。

844 :名無しさん@お腹いっぱい。 :02/07/03 17:32
>>842
スループットとタイムラグは別物。

845 :名無しさん@お腹いっぱい。 :02/07/03 19:13
>>836-839
おい、お前ら。本家 OpenSSH の (Revised) Advisory は読んだのですか?

最初の Advisory から Credits: ISS. と書いてあったはずなので、
俺は一番悪いのは ISS ではないかと思っていましたが。

>>836
OpenSSH の側では Debian の対応を賞賛しているのに。。。

>>837
ISS の Advisory を読む限り、穴を発見したのは ISS でしょ。


846 :名無しさん@お腹いっぱい。 :02/07/03 21:49
>>845
theoの発言を読んだ上で書いてるの?

847 :845 :02/07/03 22:33
>>846
俺は Theo は悪くないと書いたつもりはないぞ。 OpenSSH Advisory は
彼の側の文書だから、これだけを読んで判断するのは早計だろうからな。

それとも、Theo の発言と Advisory の記述が食い違っているという指摘?
そういうことなら俺は気付いていないのでぜひ教えていただけますか。

それはともかく、

>>837 は (Advisory を読む限り) 事実誤認。

>>838
確かに workaround は隠されていたな。 その辺の事情は OpenSSH Advisory
の Release Process に書かれているが、これを読んでも >>839 はまだ意味
不明と言い切るのか?

最初の警告を出した、ここにも書かれていない事情について、Apache の時
みたいにまた ISS が絡んでいるのではと俺は疑っているのだが。


848 :名無しさん@お腹いっぱい。 :02/07/03 23:02
>>847
>>839http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550nあたり
の言動が意味不明だと言ってるのだと思われ。
あんだけ煽っといて「実は設定で回避できました、テヘ」じゃ、そりゃ、みん
な怒るよ。

849 :845=847 :02/07/03 23:32
>>848
だからその辺の事情が OpenSSH Advisory で述べられているという話。

「workaround を公開 == 穴のある場所を限定」なので、あの時点で workaround
を公開すべきだったのかは俺にはわからない。

ただ、そもそも最初の中途半端な警告がなければ何も問題なかったのだよな?
その事情について >>840 みたいな声も多かったが、Advisory に Credits: ISS.
とあるのを見て「また ISS かよ!」と思った俺みたいなのは他にいないのか?


850 :名無しさん@お腹いっぱい。 :02/07/04 08:23
> スループットとタイムラグは別物。

これどゆこと?
AirH" のほうが 56k dialup よりもタイムラグあるってこと?
そんなに遅延すんの?

851 :名無しさん@お腹いっぱい。 :02/07/04 11:02
>>850
そう、AirH"のパケット方式だとどんなホストにping撃っても300, 400msはあたりまえ。
平均すると500ms〜700msくらいは待たされるんじゃないだろうか。
通常のアナログモデムだとこんなには遅延しないでしょ。
PHSでもPIAFSとかなら遅延は少ないみたいだけど。


852 :名無しさん@Emacs :02/07/04 11:17
>>849
おおむね同意

itojun氏曰「workaroundを公開すれば500行程度に攻撃対象が限定される」
らしいので穴突くのも楽勝であっただろう。
しかも相手がISSだったので放置すれば、そのまま公開される危険性もあった。

それらを踏まえれば、MLでの発言はともかくtheoに全面的に非が有った
とは言い切れないと考える。
煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
どういうのが有ったとお考えですか?


853 :名無しさん@お腹いっぱい。 :02/07/04 11:58
theoの非:
穴のない 2.3.1 より前のバージョンを使っていた管理者に対して、
穴のある 3.3 使うよう促した。

854 :852 :02/07/04 12:12
>>853
vulnerabirityのあるバージョンを明記したSAを出したら、changelog
から攻撃箇所を特定できると思います。

protocol1しか話せないバージョンを駆逐したかったという意図も
否定できないけど。


855 :名無しさん@お腹いっぱい。 :02/07/04 12:19
SAを出す際に、特権分離を普及させよう、とか、古いプロトコルバージョンを
駆逐しよう、とかいった打算はいらない。

856 :!849 :02/07/04 12:33
>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか?

礼儀正しさと冷静さ


857 :852 :02/07/04 13:36
>>856
projectとして誤った対応があったというのと、theo個人の
非礼は別問題では

>>855
意図があったのでは、というのは私の勝手な妄想です。

858 :842=850 :02/07/04 14:51
>>851
解説感謝。よくわかりました。

859 :849 :02/07/04 18:15
>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか?
これはひょっとして俺に聞いているのですか?

この問題に関しては俺はヤジ馬でいられたので (ssh の口を外に晒していない)
>>845 を書いたのも「お前ら、Theo ばかり叩いていていいのか?」という煽り
と軌道修正が半々の動機でした。
あの時点で workaround を公開することの是非もわからないと >>849 に書いた
はずだし、ごめん、俺に聞かれてもわからん。

むしろ、俺の頭の中にあるのは悪い方のシナリオだな。
セキュリティ企業の 穴探し→早期の告知 の競争がエスカレートするとか、
BSD resolver の穴が vendor に告知してから 5 時間以内に漏れたように、
「vendor に知らせない方がマシだ!」とキレる奴が増えてくるとか、今後
穴の告知に関してますます混乱が増えるんじゃないのか?


860 :852 :02/07/04 19:51
>>859
いえ、別に特定の人物に尋ねたつもりはないんですが、>>838みたいに
"隠してた"呼ばわりする人もいるぐらいだから、もっとスマートな解決策が
あったのかなぁ、と。


861 :名無しさん@お腹いっぱい。 :02/07/04 20:42
>>853
ん, 2.3.1 より前は本当に穴が全くないのか?
今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
http://www.unixuser.org/~haruyama/security/openssh/security-holes.html

しかしこうしてみると穴が多いな. 早く穴の多さに DJB がキレてくれないかな.


862 :名無しさん@お腹いっぱい。 :02/07/04 21:03
>>861
何でそこで DJB が出て来るの?

863 :名無しさん@お腹いっぱい。 :02/07/04 21:30
djbsshを作らせるため。

864 :名無しさん@お腹いっぱい。 :02/07/04 21:37
>>863
バカみたい

865 :名無しさん@お腹いっぱい。 :02/07/04 21:59
>ん, 2.3.1 より前は本当に穴が全くないのか?
>今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
セキュリティ修正だけbackportしてあれば穴が無いことになるはず。

866 :名無しさん@お腹いっぱい。 :02/07/04 22:26
>>865
純粋な疑問ですが、security fix を backport した 2.3.1 以前を配布していた
ベンダが実際にあるのですか? リリース版に含めていたのが 2.3.1 以前なので
せっせと backport して patch を配布していたといったところでしょうか?

よく知らないけどそういうことをするとしたら Debian なのかな?


867 :名無しさん@お腹いっぱい。 :02/07/04 22:27
>>861-864
http://pc.2ch.net/test/read.cgi/unix/1021727195/173-174n


868 :名無しさん@お腹いっぱい。 :02/07/04 23:52
>>866
Debian stable(potato)は OpenSSH 1.2.3 base. 穴がみつかるたびに
security fix を backport して対応していた。
(channel bug とか CRC-32 attack とか)

詳細を明かさずに、「いついつまでに update しろ」と連絡があって、
しかたなくおお慌てで ssh の update パッケージを出した。
(このとき指定された期日まで、24時間よりもずっと短かい時間しかなかった)
当然十分なテストが行なえるわけもなく、とりあえず 3.3 のパッケージと
判っている範囲でのアドバイザリを出したが、急造なのでバグが結構あった。
(3.3 のパッケージは都合6回 Debian version が上がっている)

いざ詳細があかされると、実はおお急ぎで出したパッケージによって
余計な穴を開けてしまった格好になっていたので、そりゃ怒りたくもなるよ。

そりゃまあ protocol 2 が使えるようになったこと自体は良いのかも
しれんけど、security team が抱える羽目になった苦労が大きすぎる。


869 :名無しさん@お腹いっぱい。 :02/07/05 01:14
すみません、板違いなのですがlinux板の方にsshスレが無いのでこちらで質問させてください。
OpenSSH3.4p1をインストールしているのですがうまくいきません

ssh2で接続でサーバがRedhat7.2でクライアントがwin2kのputtyなんですが
クライアントの接続の前にsshdが立ち上がらず困っています

以下sshd起動時メッセージ
[root@hoge etc]# /usr/local/sbin/sshd -d -f /usr/local/etc/sshd_config
debug1:sshd version OpenSSH_3.4p1
debug1:read PEM private key done:type RSA
debug1:private host key:#0 type 1 RSA
privilege separation user sshd does not exist
[root@hoge etc]#

>debug1:private host key:#0 type 1 RSA
これがssh2じゃないぞと怒られている気がしないでも無いのですが
やっぱりよくわかりません

confファイル
sshd_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt
ssh_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt

インストール時configure
./configure --with-pam --with-tcp-wrappers --with-ipv4-default

どなたかアドバイスいただけたらうれしいです。


870 :名無しさん@お腹いっぱい。 :02/07/05 01:25
>>869
"privilege separation user sshd does not exist"が原因
>>763 参照

871 :nanasi :02/07/05 01:27
>>869
Privilege separation まわりでしょ。

このスレの 800 以降を読んでみて。


872 :866 :02/07/05 05:56
>>868
ありがとうございます。なるほど、1.2.3 とは驚きました。
>>845 で OpenSSH 側が Debian の対応を賞賛しているのに、
>>836 で Debian 側が no thanks と書いているのはそういう事情が
あったのですね。


873 :868 :02/07/05 06:33
Debian の ssh が古いのはリリースがもう2年近く前だから、という
事情もあるので勘弁してあげて下さい。


874 :名無しさん@お腹いっぱい。 :02/07/05 14:01
http://www.jpcert.or.jp/at/2002/at020004.txt

JPCERTは、もっとも簡単な対応 "ChallengeResponseAuthentication no" を
対策として故意に載せていないのは陰謀の臭いがする。

875 :815 :02/07/05 16:55
CERT/CC(URLは>>815参照)にはきちんと書かれているようです。
なぜ書かれていないのかは私も不思議。

876 :名無しさん@お腹いっぱい。 :02/07/06 02:44
まあ、いまだに Apache1.3.19 使ってるぐらいだからね(藁 < jpcert

877 :名無しさん@お腹いっぱい。 :02/07/06 02:54
あれは honey pot ですっ(ぉ

…それはともかく、openssh.comのバージョンは1.3.24ですなー、たぶん例のパッチ
は当ててあるんだろうけど。

878 :869 :02/07/06 03:37
>>870
>>871

スマソ
このスレは一様流して読んでからインストールに入ったのですが
気がつかなかったです。
今度から念入りに検索する事にします。


879 :名無しさん@お腹いっぱい。 :02/07/06 03:44
「一応」

880 :名無しさん@お腹いっぱい。 :02/07/06 08:46
>>879
一応?

881 :名無しさん@カラアゲうまうま :02/07/06 09:36
878s/一様/一応/ってことだろ。

882 :名無しさん@お腹いっぱい。 :02/07/09 12:36
scp と cron を利用して、リモートサーバのファイルの
バックアップを取りたいのですが、まず scp を使う際に
パスフレーズを訊かれないようにするには ssh-agent を
使えばいいということが分かりました。以下のページを
参考にしました。

http://www.zdnet.co.jp/help/tips/linux/l0403.html

しかし、このページの最後に

「ssh-agentに関する問題の1つは,cronジョブとの
関連性を持つことができない点だ。cronによって
定期的にsshを利用したrsyncを実現するといっ
た用途には,更なる作業が必要になる。」

とあるではありませんか。この「更なる作業」は説明
されておらず、ここで壁にぶつかりました。

どのようにすれば scp + cron のバックアップを
実現できるのでしょうか?


883 :名無しさん@お腹いっぱい。 :02/07/09 12:40
>>882
.shosts

884 :名無しさん@お腹いっぱい。 :02/07/09 13:16
>>882
パスフレーズを空にすればいい。

885 :名無しさん@お腹いっぱい。 :02/07/09 13:17
公開鍵認証にするとかじゃだめなんかな?

886 :名無しさん@お腹いっぱい。 :02/07/09 13:31
http://www.google.com/search?q=cron+ssh&ie=Shift_JIS&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=lang_ja
このへんでいくらでもおいしいネタがいただけます

887 :名無しさん@お腹いっぱい。 :02/07/09 14:45
sshをインストールして起動しようとすると
Privilege separation user sshd does not exist
って出て起動しないけど、何がいかんのかわからんです。なぜ?

888 :名無しさん@お腹いっぱい。 :02/07/09 14:47
>>887
このスレを "Privilege" で検索してみたまえ。

889 :名無しさん@お腹いっぱい。 :02/07/09 16:31
teratermからつなぎたいのでプロトコル1の鍵を作りたいんすけど、
ssh-keygen -t rsaってやっても
id_rsaって鍵が出来上がってどうもプロトコル2みたい。
identityの作り方おせーてください

890 :名無しさん@お腹いっぱい。 :02/07/09 16:34
>>889
$ man ssh-keygen
.
.
.
-t type
Specifies the type of the key to create. The possible values are
``rsa1'' for protocol version 1 and ``rsa'' or ``dsa'' for protocol
version 2.

891 :名無しさん@お腹いっぱい。 :02/07/09 16:35
-t rsa1

892 :名無しさん@お腹いっぱい。 :02/07/09 16:38
OpenSSH で、以前 contrib にあった /etc/passwd の home direcotry フィールドを
/chrootdir//homedir の形式にすると、指定したディレクトリに chroot() して
くれる patch ( chroot-patch ) というのがあったと思いますが、
OpenSSH 3.4p1 で動くバージョンを持っている or 作られた方はいらっしゃいますか?


893 :名無しさん@お腹いっぱい。 :02/07/09 16:42
>>892
このスレを "chroot" で検索してみたまえ。

894 :889 :02/07/09 17:19
890、891
助かりました。thx!!

895 :882 :02/07/09 17:56
>>884
が言うとおり、とりあえず一番簡単そうなパスフレーズを
空にしてみました。

scp username@remotehost:backupfile local_storage

上記のようなコマンドを打つとパスフレーズも要求されず
うまくいくのですが、そのコマンドをcrontabに登録しても、
何にも起こりません。
あとは何が抜けているのでしょうか。


896 :名無しさん@お腹いっぱい。 :02/07/10 00:41
>895
貴方の間が抜けています
早く探さないと手遅れになりますよ?

897 :名無しさん@お腹いっぱい。 :02/07/10 00:42
>>895
そのコマンドが
どのアカウントでどのディレクトリで実行されるか
把握できてる?

898 :名無しさん@お腹いっぱい。 :02/07/10 04:00
>>843
> モデムで圧縮すればいいやん。
暗号化後じゃV.42bis効かんと思うが。

899 :名無しさん@お腹いっぱい。 :02/07/10 07:42
確かに。

900 :882 :02/07/10 08:13
>>897
うっ、把握できてない。
ここらはもうcronの話? アカウントは"crontab -e"を
設定したユーザーのアカウントで実行されるんだと思ってたけど、
間違ってる?
ディレクトリは意識したこともなかったです。


901 :882 :02/07/10 08:22
いやー分かったよ、ディレクトリのこと。
スレ違いなcronの話になってしまうけど、
HOME=~username
という環境変数をcrontabに設定したら、
幸せになれました。こうしないと、各ユーザの
~/.ssh/ の中身が読みにいけないってこと
だったのかな。

とにかく感謝です。

902 :名無しさん@XEmacs :02/07/10 13:13
あと、パスフレーズなしの鍵で運用するときは、authorized_keys で
特定のコマンドしか実行できないよう制限しておくのが吉。


903 :882 :02/07/10 14:54
>>902
これは初耳。そんなことができるのですか?
具体的にはどうやって特定のコマンドとauthorized_keysを
関連付けるのでしょうか?

~remote_user/.ssh/authorized_keys は、元は
~local_user/.ssh/id_dsa.pub のことですよね?

904 :名無しさん@お腹いっぱい。 :02/07/10 14:57
>>903 man sshd

905 :882 :02/07/10 16:07
>>903
ちゃんとマニュアルは読まないとダメだね。勉強に
なりました。
でも、authorized_keysで制限できるのは、
$ ssh -l remote_user remote_host command
と打つときのコマンドや、sshログインしてからの
コマンドだよね。

ローカルからのscpのみに制限したい場合はできない
んじゃないの? (実際にcommand="scp 〜"を指定
してみたけどうまくいかなかった。設定の仕方が
悪いだけ?)

906 :名無しさん@お腹いっぱい。 :02/07/10 17:08
>>903
> ~remote_user/.ssh/authorized_keys は、元は
> ~local_user/.ssh/id_dsa.pub のことですよね?

Yes. 正確には
 ~local_user/.ssh/id_dsa.pub∈~remote_user/.ssh/authorized_keys
かな。authorized_keysは"keys"と複数形になっている通り、公開鍵「集」なわけよ。

で、ここに記述された公開鍵に対応する秘密鍵を持っている人が正規ユーザ
としてログインできるというわけなのだ。

# 解決済だろうけど、一応。
# # ゆえにsage

907 :名無しさん@お腹いっぱい。 :02/07/10 17:24
>>905
引数渡せない(渡されたコマンドの代わりにオプションで指定したもの使う)。
ssh+tarにすれば?

908 :名無しさん@XEmacs :02/07/11 13:10
>>905
> ローカルからのscpのみに制限したい場合はできない
> んじゃないの?

うんにゃ。

> (実際にcommand="scp 〜"を指定
> してみたけどうまくいかなかった。

前に書いてた

> scp username@remotehost:backupfile local_storage

ってのを -v オプション付きで実行してみ。scp したときにどんな処
理が裏で行われているか分かるから。

で、その通りに authorized_keys の command= option に書いてやりゃ
動く。

♯ただし、-v オプションは不要

> 設定の仕方が
> 悪いだけ?)

だと思う。

あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
の options 記述位置が全然違うけど、そこんとこは OK ?

ま、でも、

>>907
> ssh+tarにすれば?

がたぶん正解。


909 :yamasa :02/07/12 02:36
せっかくなので、QandAを書いてみますた。
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
ツッコミお願いします。

910 :名無しさん@お腹いっぱい。 :02/07/12 10:46
>>909
PATHに頼るのは嫌いでふ。


掲示板に戻る 全部 前100 次100 最新50

read.cgi ver5.26+ (01/10/21-)