レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10

についての情報交換。

830 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:09

In article >>829, 名無しさん＠お腹いっぱい。/sage/829 wrote:
> > どっちを # でコメントにすればよいですね:)
>
> 日本語の間違いを正しても依然として意味不明なのですが。

どちらかを、# でコメントにすれば良いですねじゃわからんか?

ヘ_ヘ
ミ・・ ミ
( ° )〜
~~~~~~~~~~

831 ：名無しさん＠カラアゲうまうま ：02/07/01 15:09

日本語だと思うから意味不明なのです。

832 ：名無しさん＠お腹いっぱい。 ：02/07/01 15:13

In article >>831, 名無しさん＠カラアゲうまうま/sage/831 wrote:
> 日本語だと思うから意味不明なのです。

そうですね:)
推奨するのは自分の頭で考えることです。

833 ：名無しさん＠Ｅｍａｃｓ ：02/07/01 17:33

From: OSADA Yoshiko <o.yoshiko@jp.fujitsu.com>
Subject: [ssh:00010] Re: WARNING: Privilege separation user "sshd" does not exist
Date: Mon, 01 Jul 2002 16:37:06 +0900

> とっても早いレス、ありがとうございました。
>
> ところで、追加質問させていただきます。
> これは、openssh3.4では必須の作業なのですか？それともオプショ
> ンなのですか？

(ﾟДﾟ)ﾊｧ?

834 ：名無しさん＠お腹いっぱい。 ：02/07/01 17:35

>>833
ML ヲチしたいならこちらでどうぞ。

ニュース、ML キチガイリスト 6 人目
http://pc.2ch.net/test/read.cgi/unix/1023635938/

835 ：初期不良 ：02/07/01 23:23

>>830
> どっちを # でコメントにすればよいですかね:)

の補完候補もあり

836 ：名無しさん＠お腹いっぱい。 ：02/07/02 02:06

changelog.Debian.gz

> openssh (1:3.4p1-1) testing; urgency=high
>
> * thanks to the security team for their work
> * no thanks to ISS/Theo de Raadt for their handling of these bugs

837 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:02

>>836
いくらなんでもこれはひどいなぁ。bug 発見して fix したのは Theo でしょ。

838 ：名無しさん＠お腹いっぱい。 ：02/07/02 13:34

>>837
workaroundがあるのに隠してたのもTheo。

839 ：名無しさん＠お腹いっぱい。 ：02/07/02 16:54

>>837
ひどくはないだろ。
theoは何がしたかったかマジで意味不明。

840 ：名無しさん＠お腹いっぱい。 ：02/07/02 22:58

>>839
特権分離を使わせたかった。

841 ：名無しさん＠お腹いっぱい。 ：02/07/03 12:43

AirH" 128k + PuTTY日本語対応で使用中。
パケットは遅延がデカいからキー打ってからのタイムラグが結構デカい。
何とも言えない使い心地だ。

842 ：名無しさん＠お腹いっぱい。 ：02/07/03 13:11

いまだに56kダイヤルアップで大学にログインしてskkつかってメール書いてますが何か?
compression禁止なマシンだと大変イタイです。

843 ：名無しさん＠お腹いっぱい。 ：02/07/03 14:40

>>842
モデム使うんなら、モデムで圧縮すればいいやん。

844 ：名無しさん＠お腹いっぱい。 ：02/07/03 17:32

>>842
スループットとタイムラグは別物。

845 ：名無しさん＠お腹いっぱい。 ：02/07/03 19:13

>>836-839
おい、お前ら。本家 OpenSSH の (Revised) Advisory は読んだのですか？

最初の Advisory から Credits: ISS. と書いてあったはずなので、
俺は一番悪いのは ISS ではないかと思っていましたが。

>>836
OpenSSH の側では Debian の対応を賞賛しているのに。。。

>>837
ISS の Advisory を読む限り、穴を発見したのは ISS でしょ。

846 ：名無しさん＠お腹いっぱい。 ：02/07/03 21:49

>>845
theoの発言を読んだ上で書いてるの？

847 ：845 ：02/07/03 22:33

>>846
俺は Theo は悪くないと書いたつもりはないぞ。 OpenSSH Advisory は
彼の側の文書だから、これだけを読んで判断するのは早計だろうからな。

それとも、Theo の発言と Advisory の記述が食い違っているという指摘？
そういうことなら俺は気付いていないのでぜひ教えていただけますか。

それはともかく、

>>837 は (Advisory を読む限り) 事実誤認。

>>838
確かに workaround は隠されていたな。 その辺の事情は OpenSSH Advisory
の Release Process に書かれているが、これを読んでも >>839 はまだ意味
不明と言い切るのか？

最初の警告を出した、ここにも書かれていない事情について、Apache の時
みたいにまた ISS が絡んでいるのではと俺は疑っているのだが。

848 ：名無しさん＠お腹いっぱい。 ：02/07/03 23:02

>>847
>>839はhttp://pc.2ch.net/test/read.cgi/unix/1023635938/546-550nあたり
の言動が意味不明だと言ってるのだと思われ。
あんだけ煽っといて「実は設定で回避できました、テヘ」じゃ、そりゃ、みん
な怒るよ。

849 ：845=847 ：02/07/03 23:32

>>848
だからその辺の事情が OpenSSH Advisory で述べられているという話。

「workaround を公開 == 穴のある場所を限定」なので、あの時点で workaround
を公開すべきだったのかは俺にはわからない。

ただ、そもそも最初の中途半端な警告がなければ何も問題なかったのだよな？
その事情について >>840 みたいな声も多かったが、Advisory に Credits: ISS.
とあるのを見て「また ISS かよ!」と思った俺みたいなのは他にいないのか？

850 ：名無しさん＠お腹いっぱい。 ：02/07/04 08:23

> スループットとタイムラグは別物。

これどゆこと?
AirH" のほうが 56k dialup よりもタイムラグあるってこと?
そんなに遅延すんの?

851 ：名無しさん＠お腹いっぱい。 ：02/07/04 11:02

>>850
そう、AirH"のパケット方式だとどんなホストにping撃っても300, 400msはあたりまえ。
平均すると500ms〜700msくらいは待たされるんじゃないだろうか。
通常のアナログモデムだとこんなには遅延しないでしょ。
PHSでもPIAFSとかなら遅延は少ないみたいだけど。

852 ：名無しさん＠Ｅｍａｃｓ ：02/07/04 11:17

>>849
おおむね同意

itojun氏曰「workaroundを公開すれば500行程度に攻撃対象が限定される」
らしいので穴突くのも楽勝であっただろう。
しかも相手がISSだったので放置すれば、そのまま公開される危険性もあった。

それらを踏まえれば、MLでの発言はともかくtheoに全面的に非が有った
とは言い切れないと考える。
煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
どういうのが有ったとお考えですか？

853 ：名無しさん＠お腹いっぱい。 ：02/07/04 11:58

theoの非：
穴のない 2.3.1 より前のバージョンを使っていた管理者に対して、
穴のある 3.3 使うよう促した。

854 ：852 ：02/07/04 12:12

>>853
vulnerabirityのあるバージョンを明記したSAを出したら、changelog
から攻撃箇所を特定できると思います。

protocol1しか話せないバージョンを駆逐したかったという意図も
否定できないけど。

855 ：名無しさん＠お腹いっぱい。 ：02/07/04 12:19

SAを出す際に、特権分離を普及させよう、とか、古いプロトコルバージョンを
駆逐しよう、とかいった打算はいらない。

856 ：!849 ：02/07/04 12:33

>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？

礼儀正しさと冷静さ

857 ：852 ：02/07/04 13:36

>>856
projectとして誤った対応があったというのと、theo個人の
非礼は別問題では

>>855
意図があったのでは、というのは私の勝手な妄想です。

858 ：842=850 ：02/07/04 14:51

>>851
解説感謝。よくわかりました。

859 ：849 ：02/07/04 18:15

>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？
これはひょっとして俺に聞いているのですか？

この問題に関しては俺はヤジ馬でいられたので (ssh の口を外に晒していない)
>>845 を書いたのも「お前ら、Theo ばかり叩いていていいのか？」という煽り
と軌道修正が半々の動機でした。
あの時点で workaround を公開することの是非もわからないと >>849 に書いた
はずだし、ごめん、俺に聞かれてもわからん。

むしろ、俺の頭の中にあるのは悪い方のシナリオだな。
セキュリティ企業の 穴探し→早期の告知 の競争がエスカレートするとか、
BSD resolver の穴が vendor に告知してから 5 時間以内に漏れたように、
「vendor に知らせない方がマシだ!」とキレる奴が増えてくるとか、今後
穴の告知に関してますます混乱が増えるんじゃないのか？

860 ：852 ：02/07/04 19:51

>>859
いえ、別に特定の人物に尋ねたつもりはないんですが、>>838みたいに
"隠してた"呼ばわりする人もいるぐらいだから、もっとスマートな解決策が
あったのかなぁ、と。

861 ：名無しさん＠お腹いっぱい。 ：02/07/04 20:42

>>853
ん, 2.3.1 より前は本当に穴が全くないのか?
今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
http://www.unixuser.org/~haruyama/security/openssh/security-holes.html

しかしこうしてみると穴が多いな. 早く穴の多さに DJB がキレてくれないかな.

862 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:03

>>861
何でそこで DJB が出て来るの？

863 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:30

djbsshを作らせるため。

864 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:37

>>863
バカみたい

865 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:59

>ん, 2.3.1 より前は本当に穴が全くないのか?
>今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
セキュリティ修正だけbackportしてあれば穴が無いことになるはず。

866 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:26

>>865
純粋な疑問ですが、security fix を backport した 2.3.1 以前を配布していた
ベンダが実際にあるのですか？ リリース版に含めていたのが 2.3.1 以前なので
せっせと backport して patch を配布していたといったところでしょうか？

よく知らないけどそういうことをするとしたら Debian なのかな？

867 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:27

>>861-864
http://pc.2ch.net/test/read.cgi/unix/1021727195/173-174n

868 ：名無しさん＠お腹いっぱい。 ：02/07/04 23:52

>>866
Debian stable(potato)は OpenSSH 1.2.3 base. 穴がみつかるたびに
security fix を backport して対応していた。
(channel bug とか CRC-32 attack とか)

詳細を明かさずに、「いついつまでに update しろ」と連絡があって、
しかたなくおお慌てで ssh の update パッケージを出した。
(このとき指定された期日まで、24時間よりもずっと短かい時間しかなかった)
当然十分なテストが行なえるわけもなく、とりあえず 3.3 のパッケージと
判っている範囲でのアドバイザリを出したが、急造なのでバグが結構あった。
(3.3 のパッケージは都合6回 Debian version が上がっている)

いざ詳細があかされると、実はおお急ぎで出したパッケージによって
余計な穴を開けてしまった格好になっていたので、そりゃ怒りたくもなるよ。

そりゃまあ protocol 2 が使えるようになったこと自体は良いのかも
しれんけど、security team が抱える羽目になった苦労が大きすぎる。

869 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:14

すみません、板違いなのですがlinux板の方にsshスレが無いのでこちらで質問させてください。
OpenSSH3.4p1をインストールしているのですがうまくいきません

ssh2で接続でサーバがRedhat7.2でクライアントがwin2kのputtyなんですが
クライアントの接続の前にsshdが立ち上がらず困っています

以下sshd起動時メッセージ
[root@hoge etc]# /usr/local/sbin/sshd -d -f /usr/local/etc/sshd_config
debug1:sshd version OpenSSH_3.4p1
debug1:read PEM private key done:type RSA
debug1:private host key:#0 type 1 RSA
privilege separation user sshd does not exist
[root@hoge etc]#

>debug1:private host key:#0 type 1 RSA
これがssh2じゃないぞと怒られている気がしないでも無いのですが
やっぱりよくわかりません

confファイル
sshd_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt
ssh_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt

インストール時configure
./configure --with-pam --with-tcp-wrappers --with-ipv4-default

どなたかアドバイスいただけたらうれしいです。

870 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:25

>>869
"privilege separation user sshd does not exist"が原因
>>763 参照

871 ：nanasi ：02/07/05 01:27

>>869
Privilege separation まわりでしょ。

このスレの 800 以降を読んでみて。

872 ：866 ：02/07/05 05:56

>>868
ありがとうございます。なるほど、1.2.3 とは驚きました。
>>845 で OpenSSH 側が Debian の対応を賞賛しているのに、
>>836 で Debian 側が no thanks と書いているのはそういう事情が
あったのですね。

873 ：868 ：02/07/05 06:33

Debian の ssh が古いのはリリースがもう2年近く前だから、という
事情もあるので勘弁してあげて下さい。

874 ：名無しさん＠お腹いっぱい。 ：02/07/05 14:01

http://www.jpcert.or.jp/at/2002/at020004.txt

JPCERTは、もっとも簡単な対応 "ChallengeResponseAuthentication no" を
対策として故意に載せていないのは陰謀の臭いがする。

875 ：815 ：02/07/05 16:55

CERT/CC（URLは>>815参照）にはきちんと書かれているようです。
なぜ書かれていないのかは私も不思議。

876 ：名無しさん＠お腹いっぱい。 ：02/07/06 02:44

まあ、いまだに Apache1.3.19 使ってるぐらいだからね（藁 < jpcert

877 ：名無しさん＠お腹いっぱい。 ：02/07/06 02:54

あれは honey pot ですっ（ぉ

…それはともかく、openssh.comのバージョンは1.3.24ですなー、たぶん例のパッチ
は当ててあるんだろうけど。

878 ：869 ：02/07/06 03:37

>>870
>>871

ｽﾏｿ
このスレは一様流して読んでからインストールに入ったのですが
気がつかなかったです。
今度から念入りに検索する事にします。

879 ：名無しさん＠お腹いっぱい。 ：02/07/06 03:44

「一応」

880 ：名無しさん＠お腹いっぱい。 ：02/07/06 08:46

>>879
一応？

881 ：名無しさん＠カラアゲうまうま ：02/07/06 09:36

878s/一様/一応/ってことだろ。

882 ：名無しさん＠お腹いっぱい。 ：02/07/09 12:36

scp と cron を利用して、リモートサーバのファイルの
バックアップを取りたいのですが、まず scp を使う際に
パスフレーズを訊かれないようにするには ssh-agent を
使えばいいということが分かりました。以下のページを
参考にしました。

http://www.zdnet.co.jp/help/tips/linux/l0403.html

しかし、このページの最後に

「ssh-agentに関する問題の1つは，cronジョブとの
関連性を持つことができない点だ。cronによって
定期的にsshを利用したrsyncを実現するといっ
た用途には，更なる作業が必要になる。」

とあるではありませんか。この「更なる作業」は説明
されておらず、ここで壁にぶつかりました。

どのようにすれば scp + cron のバックアップを
実現できるのでしょうか？

883 ：名無しさん＠お腹いっぱい。 ：02/07/09 12:40

>>882
.shosts

884 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:16

>>882
パスフレーズを空にすればいい。

885 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:17

公開鍵認証にするとかじゃだめなんかな？

886 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:31

http://www.google.com/search?q=cron+ssh&ie=Shift_JIS&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=lang_ja
このへんでいくらでもおいしいネタがいただけます

887 ：名無しさん＠お腹いっぱい。 ：02/07/09 14:45

sshをインストールして起動しようとすると
Privilege separation user sshd does not exist
って出て起動しないけど、何がいかんのかわからんです。なぜ？

888 ：名無しさん＠お腹いっぱい。 ：02/07/09 14:47

>>887
このスレを "Privilege" で検索してみたまえ。

889 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:31

teratermからつなぎたいのでプロトコル１の鍵を作りたいんすけど、
ssh-keygen -t rsaってやっても
id_rsaって鍵が出来上がってどうもプロトコル２みたい。
identityの作り方おせーてください

890 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:34

>>889
$ man ssh-keygen
.
.
.
-t type
Specifies the type of the key to create. The possible values are
``rsa1'' for protocol version 1 and ``rsa'' or ``dsa'' for protocol
version 2.

891 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:35

-t rsa1

892 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:38

OpenSSH で、以前 contrib にあった /etc/passwd の home direcotry フィールドを
/chrootdir//homedir の形式にすると、指定したディレクトリに chroot() して
くれる patch ( chroot-patch ) というのがあったと思いますが、
OpenSSH 3.4p1 で動くバージョンを持っている or 作られた方はいらっしゃいますか？

893 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:42

>>892
このスレを "chroot" で検索してみたまえ。

894 ：889 ：02/07/09 17:19

890、891
助かりました。thx!!

895 ：882 ：02/07/09 17:56

>>884
が言うとおり、とりあえず一番簡単そうなパスフレーズを
空にしてみました。

scp username@remotehost:backupfile local_storage

上記のようなコマンドを打つとパスフレーズも要求されず
うまくいくのですが、そのコマンドをcrontabに登録しても、
何にも起こりません。
あとは何が抜けているのでしょうか。

896 ：名無しさん＠お腹いっぱい。 ：02/07/10 00:41

>895
貴方の間が抜けています
早く探さないと手遅れになりますよ？

897 ：名無しさん＠お腹いっぱい。 ：02/07/10 00:42

>>895
そのコマンドが
どのアカウントでどのディレクトリで実行されるか
把握できてる?

898 ：名無しさん＠お腹いっぱい。 ：02/07/10 04:00

>>843
> モデムで圧縮すればいいやん。
暗号化後じゃV.42bis効かんと思うが。

899 ：名無しさん＠お腹いっぱい。 ：02/07/10 07:42

確かに。

900 ：882 ：02/07/10 08:13

>>897
うっ、把握できてない。
ここらはもうcronの話？　アカウントは"crontab -e"を
設定したユーザーのアカウントで実行されるんだと思ってたけど、
間違ってる？
ディレクトリは意識したこともなかったです。

901 ：882 ：02/07/10 08:22

いやー分かったよ、ディレクトリのこと。
スレ違いなcronの話になってしまうけど、
HOME=~username
という環境変数をcrontabに設定したら、
幸せになれました。こうしないと、各ユーザの
~/.ssh/ の中身が読みにいけないってこと
だったのかな。

とにかく感謝です。

902 ：名無しさん＠ＸＥｍａｃｓ ：02/07/10 13:13

あと、パスフレーズなしの鍵で運用するときは、authorized_keys で
特定のコマンドしか実行できないよう制限しておくのが吉。

903 ：882 ：02/07/10 14:54

>>902
これは初耳。そんなことができるのですか？
具体的にはどうやって特定のコマンドとauthorized_keysを
関連付けるのでしょうか？

~remote_user/.ssh/authorized_keys は、元は
~local_user/.ssh/id_dsa.pub のことですよね？

904 ：名無しさん＠お腹いっぱい。 ：02/07/10 14:57

>>903 man sshd

905 ：882 ：02/07/10 16:07

>>903
ちゃんとマニュアルは読まないとダメだね。勉強に
なりました。
でも、authorized_keysで制限できるのは、
$ ssh -l remote_user remote_host command
と打つときのコマンドや、sshログインしてからの
コマンドだよね。

ローカルからのscpのみに制限したい場合はできない
んじゃないの？ (実際にcommand="scp 〜"を指定
してみたけどうまくいかなかった。設定の仕方が
悪いだけ？)

906 ：名無しさん＠お腹いっぱい。 ：02/07/10 17:08

>>903
> ~remote_user/.ssh/authorized_keys は、元は
> ~local_user/.ssh/id_dsa.pub のことですよね？

Yes. 正確には
　~local_user/.ssh/id_dsa.pub∈~remote_user/.ssh/authorized_keys
かな。authorized_keysは"keys"と複数形になっている通り、公開鍵「集」なわけよ。

で、ここに記述された公開鍵に対応する秘密鍵を持っている人が正規ユーザ
としてログインできるというわけなのだ。

# 解決済だろうけど、一応。
# # ゆえにsage

907 ：名無しさん＠お腹いっぱい。 ：02/07/10 17:24

>>905
引数渡せない(渡されたコマンドの代わりにオプションで指定したもの使う)。
ssh+tarにすれば?

908 ：名無しさん＠ＸＥｍａｃｓ ：02/07/11 13:10

>>905
> ローカルからのscpのみに制限したい場合はできない
> んじゃないの？

うんにゃ。

> (実際にcommand="scp 〜"を指定
> してみたけどうまくいかなかった。

前に書いてた

> scp username@remotehost:backupfile local_storage

ってのを -v オプション付きで実行してみ。scp したときにどんな処
理が裏で行われているか分かるから。

で、その通りに authorized_keys の command= option に書いてやりゃ
動く。

♯ただし、-v オプションは不要

> 設定の仕方が
> 悪いだけ？)

だと思う。

あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
の options 記述位置が全然違うけど、そこんとこは OK ？

ま、でも、

>>907
> ssh+tarにすれば?

がたぶん正解。

909 ：yamasa ：02/07/12 02:36

せっかくなので、QandAを書いてみますた。
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
ツッコミお願いします。

910 ：名無しさん＠お腹いっぱい。 ：02/07/12 10:46

>>909
PATHに頼るのは嫌いでふ。

911 ：名無しさん＠お腹いっぱい。 ：02/07/12 10:49

>>910
なら、ssh-add すれ。

つーか、なんで嫌いなんだろ。

912 ：名無しさん＠お腹いっぱい。 ：02/07/12 11:00

>>911
command="tar ..."の事でふ。

913 ：名無しさん＠ＸＥｍａｃｓ ：02/07/12 11:03

>>909
> せっかくなので、QandAを書いてみますた。
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
> ツッコミお願いします。

よく書けてると思うっす。

気になったところはこんくらい：

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468

> また、bash や zsh など sh 系のシェルを使っている場合は
> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。

デフォルトが sh 系コマンド生成なので -s は明示する必要なし

> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
> % ssh-add ~/.ssh/identity

個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
add してくれるし)？

> /etc/pam.conf の xdm 部分の設定例は次のようになります。
> xdm auth required pam_unix.so
> xdm auth optional pam_ssh.so use_first_pass

おいらは

auth sufficient /lib/security/pam_ssh.so

でやってるけど、この辺は考え方の違いなんでしょうね。

で、これ以外に

・keychain 型の ssh-agent を永続させる危うさについて (いい加減
くどい、て B-)
・(たしか) 3.3 から ssh-add -x/-X で agent 上の鍵の lock/unlock
　が、ssh-add -t life で鍵の保持期限が設定できるようになった

なんて話は触れときたいかも。

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255

> % cat ~/.ssh/backup.pub
> command="tar czf - hoge",no-pty,no-port-forwarding 1024 35 1472731(以下略)

あれあれ、SSH1 鍵でも command= を先頭に書くのでいいんだっけ？と
思って man page 読み返してみたら、それでよかったんですね。って
ことは、>>908 で

> あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
> の options 記述位置が全然違うけど、そこんとこは OK ？

と書いたのはまったくの嘘だったわけだ。ssh.com 版のと錯誤したよ
うでまことに申し訳ないっす。

914 ：yamasa ：02/07/13 02:26

>>910
確かに
command="tar czf - hoge" ...
よりは
command="/usr/bin/tar czf - hoge" ...
のほうがいいですね。あとで変えときます。

>>913
>> また、bash や zsh など sh 系のシェルを使っている場合は
>> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。
>
> デフォルトが sh 系コマンド生成なので -s は明示する必要なし

違うっす。-cも-sも指定しなかったときは、環境変数SHELLの値を見て
出力を決めてます。
ただ、自動判別に頼るのはトラブルのもとかなと思ったので
QandAでは明示的な指定方法だけを書くことにしました。

>> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
>> % ssh-add ~/.ssh/identity
>
> 個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
> 鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
> がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
> add してくれるし)？

これは俺もかなり悩みました。
確かに秘密鍵のファイル名を明示的に指定しなきゃならんのは
OpenSSH2.9でSSH2を使ってるときぐらいだから、
% ssh-add ~/.ssh/id_dsa
ってのを例にだしておけば十分なんですよね。

でも、FreBSD 4.6-RELEASEまで(おそらく4.6.1-RELEASEも)の
デフォルトではSSH1て繋ぎにいくし、多少冗長でも
確実に動作する例をQandAには書くべきだと思うから
~/.ssh/identity を指定しておきました。
デフォルト値のような詳しい内容についてはmanを読めってことで
いいんじゃないですかね。

915 ：yamasa ：02/07/13 02:27

>> /etc/pam.conf の xdm 部分の設定例は次のようになります。
>> xdm auth required pam_unix.so
>> xdm auth optional pam_ssh.so use_first_pass
>
> おいらは
>
> auth sufficient /lib/security/pam_ssh.so
>
> でやってるけど、この辺は考え方の違いなんでしょうね。

これについては↓を読んでちょ。
http://pc.2ch.net/test/read.cgi/unix/1014385300/330-352n

auth sufficient pam_ssh.so
だと SSH passphrase を空にしている輩なんかがいた場合に
大変なことになるんで、できるだけ安全側に倒した例を
挙げておきました。
まあ、わかっている奴がちゃんと影響を理解したうえで
pam.confをいじるのなら問題無いんで、QandAの例が
唯一の方法だと思われないように注意したつもりです。


あと、ssh-add -x とかのネタも取りあげたかったんだけど、
さすがに超長文になってしまうんで(もうなってるか)泣く泣く
割愛しました。

916 ：名無しさん＠お腹いっぱい。 ：02/07/13 14:18

自宅の俺様専用鯖(PPPoE、非常時接続)にログインするとき、known_hostに入ってないので確認メッセージが鬱陶しいです。
また、ここでyesと答えてしまうと後々他人のものになるIPアドレスで登録されてしまうので気持ち悪い。
現在は、テンポラリのknown_hostsを生成し接続、切断後に削除というスクリプトを書いて使っていますが、なんかかっちょ悪い。

もっとスマートな方法はないでしょうか?
バージョンはOpenSSH_3.4p1。非固定IPでドメインも取っていません。

917 ：yamasa ：02/07/13 14:57

>>916
~/.ssh/config に
---
Host homepc
HostName 192.168.0.10
HostKeyAlias homepc
UserKnownHostsFile ~/.ssh/known_hosts.homepc
---
とでも書いておいて、
192.168.0.10 の部分を適当に書き換えるスクリプトを作ればよろし。

918 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:11

>>916
どうせ他人のアドレスになっても
そいつにログインすることはないから、
気にしないってのはどうよ。
known_hosts が膨れ上がるのが気になるなら
なんとかして known_hosts を別ファイルにわけて
ときどき rm する、とか。

919 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:26

>916
ダイナミックDNSを利用して同じホスト名でアクセスできるようにすれば委員でない？

920 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:31

>>917
なるほど… 書き換えるのは面倒なので-oで渡せるかな?
試して見ます(すぐには出来ないので報告は後日)。

>>918
やっぱ気持ち悪いし。アドレス間違えて他人鯖にログインしようとしたこと何回かあるし… (w
間の悪いことに鯖設定変えた後だったので、失敗したかと迂闊にもパスワード送っちまった。

921 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:33

>>919
俺様専用鯖なので他人からのアクセスの可能性は出来るだけ回避しようと…

922 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:49

>921
欲張りすぎ
利便性と安全性は相反するもの

923 ：916 ：02/07/13 16:25

>>922
やだ。安全性を犠牲にするなら不便なほうがいい。
犠牲にしない範囲で便利は欲しい。(w

924 ：名無しさん＠お腹いっぱい。 ：02/07/13 16:43

>>923
ネットに繋がず持ち歩く、でファイナルアンサー

925 ：916 ：02/07/13 16:57

>>924
必要なのは俺様専用鯖に繋がっているBフレという資源なわけで、これのために
外からアクセスしてる。
残念な事に光ファイバというのは持ち歩く訳にはいかにゃーだ。

つーか、>>917で成功すれば俺的にはFAなんだが… (w

926 ：名無しさん＠お腹いっぱい。 ：02/07/13 17:02

資源を持ち歩くんだよ

927 ：sage ：02/07/13 17:20

だから必要な資源はインターネットにアクセスするBフレなんだってば。

928 ：名無しさん＠お腹いっぱい。 ：02/07/13 17:24

延長しまくれ

929 ：916 ：02/07/13 17:24

外に出たときはssh(22)しか自由にならないの。だから俺様専用鯖までトンネル掘るの。

read.cgi ver5.26+ (01/10/21-)