ssh

■掲示板に戻る■ 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

ssh

1 ：エニグマ ：2000/12/11(月) 10:10: についての情報交換。
855 ：名無しさん＠お腹いっぱい。 ：02/07/04 12:19: SAを出す際に、特権分離を普及させよう、とか、古いプロトコルバージョンを
駆逐しよう、とかいった打算はいらない。
856 ：!849 ：02/07/04 12:33: >>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？

礼儀正しさと冷静さ
857 ：852 ：02/07/04 13:36: >>856
projectとして誤った対応があったというのと、theo個人の
非礼は別問題では

>>855
意図があったのでは、というのは私の勝手な妄想です。
858 ：842=850 ：02/07/04 14:51: >>851
解説感謝。よくわかりました。
859 ：849 ：02/07/04 18:15: >>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか？
これはひょっとして俺に聞いているのですか？

この問題に関しては俺はヤジ馬でいられたので (ssh の口を外に晒していない)
>>845 を書いたのも「お前ら、Theo ばかり叩いていていいのか？」という煽り
と軌道修正が半々の動機でした。
あの時点で workaround を公開することの是非もわからないと >>849 に書いた
はずだし、ごめん、俺に聞かれてもわからん。

むしろ、俺の頭の中にあるのは悪い方のシナリオだな。
セキュリティ企業の穴探し→早期の告知の競争がエスカレートするとか、
BSD resolver の穴が vendor に告知してから 5 時間以内に漏れたように、
「vendor に知らせない方がマシだ!」とキレる奴が増えてくるとか、今後
穴の告知に関してますます混乱が増えるんじゃないのか？
860 ：852 ：02/07/04 19:51: >>859
いえ、別に特定の人物に尋ねたつもりはないんですが、>>838みたいに
"隠してた"呼ばわりする人もいるぐらいだから、もっとスマートな解決策が
あったのかなぁ、と。
861 ：名無しさん＠お腹いっぱい。 ：02/07/04 20:42: >>853
ん, 2.3.1 より前は本当に穴が全くないのか?
今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
http://www.unixuser.org/~haruyama/security/openssh/security-holes.html

しかしこうしてみると穴が多いな. 早く穴の多さに DJB がキレてくれないかな.
862 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:03: >>861
何でそこで DJB が出て来るの？
863 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:30: djbsshを作らせるため。
864 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:37: >>863
バカみたい
865 ：名無しさん＠お腹いっぱい。 ：02/07/04 21:59: >ん, 2.3.1 より前は本当に穴が全くないのか?
>今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
セキュリティ修正だけbackportしてあれば穴が無いことになるはず。
866 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:26: >>865
純粋な疑問ですが、security fix を backport した 2.3.1 以前を配布していた
ベンダが実際にあるのですか？リリース版に含めていたのが 2.3.1 以前なので
せっせと backport して patch を配布していたといったところでしょうか？

よく知らないけどそういうことをするとしたら Debian なのかな？
867 ：名無しさん＠お腹いっぱい。 ：02/07/04 22:27: >>861-864
http://pc.2ch.net/test/read.cgi/unix/1021727195/173-174n
868 ：名無しさん＠お腹いっぱい。 ：02/07/04 23:52: >>866
Debian stable(potato)は OpenSSH 1.2.3 base. 穴がみつかるたびに
security fix を backport して対応していた。
(channel bug とか CRC-32 attack とか)

詳細を明かさずに、「いついつまでに update しろ」と連絡があって、
しかたなくおお慌てで ssh の update パッケージを出した。
(このとき指定された期日まで、24時間よりもずっと短かい時間しかなかった)
当然十分なテストが行なえるわけもなく、とりあえず 3.3 のパッケージと
判っている範囲でのアドバイザリを出したが、急造なのでバグが結構あった。
(3.3 のパッケージは都合6回 Debian version が上がっている)

いざ詳細があかされると、実はおお急ぎで出したパッケージによって
余計な穴を開けてしまった格好になっていたので、そりゃ怒りたくもなるよ。

そりゃまあ protocol 2 が使えるようになったこと自体は良いのかも
しれんけど、security team が抱える羽目になった苦労が大きすぎる。
869 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:14: すみません、板違いなのですがlinux板の方にsshスレが無いのでこちらで質問させてください。
OpenSSH3.4p1をインストールしているのですがうまくいきません

ssh2で接続でサーバがRedhat7.2でクライアントがwin2kのputtyなんですが
クライアントの接続の前にsshdが立ち上がらず困っています

以下sshd起動時メッセージ
[root@hoge etc]# /usr/local/sbin/sshd -d -f /usr/local/etc/sshd_config
debug1:sshd version OpenSSH_3.4p1
debug1:read PEM private key done:type RSA
debug1:private host key:#0 type 1 RSA
privilege separation user sshd does not exist
[root@hoge etc]#

>debug1:private host key:#0 type 1 RSA
これがssh2じゃないぞと怒られている気がしないでも無いのですが
やっぱりよくわかりません

confファイル
sshd_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt
ssh_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt

インストール時configure
./configure --with-pam --with-tcp-wrappers --with-ipv4-default

どなたかアドバイスいただけたらうれしいです。
870 ：名無しさん＠お腹いっぱい。 ：02/07/05 01:25: >>869
"privilege separation user sshd does not exist"が原因
>>763 参照
871 ：nanasi ：02/07/05 01:27: >>869
Privilege separation まわりでしょ。

このスレの 800 以降を読んでみて。
872 ：866 ：02/07/05 05:56: >>868
ありがとうございます。なるほど、1.2.3 とは驚きました。
>>845 で OpenSSH 側が Debian の対応を賞賛しているのに、
>>836 で Debian 側が no thanks と書いているのはそういう事情が
あったのですね。
873 ：868 ：02/07/05 06:33: Debian の ssh が古いのはリリースがもう2年近く前だから、という
事情もあるので勘弁してあげて下さい。
874 ：名無しさん＠お腹いっぱい。 ：02/07/05 14:01: http://www.jpcert.or.jp/at/2002/at020004.txt

JPCERTは、もっとも簡単な対応 "ChallengeResponseAuthentication no" を
対策として故意に載せていないのは陰謀の臭いがする。
875 ：815 ：02/07/05 16:55: CERT/CC（URLは>>815参照）にはきちんと書かれているようです。
なぜ書かれていないのかは私も不思議。
876 ：名無しさん＠お腹いっぱい。 ：02/07/06 02:44: まあ、いまだに Apache1.3.19 使ってるぐらいだからね（藁 < jpcert
877 ：名無しさん＠お腹いっぱい。 ：02/07/06 02:54: あれは honey pot ですっ（ぉ

…それはともかく、openssh.comのバージョンは1.3.24ですなー、たぶん例のパッチ
は当ててあるんだろうけど。
878 ：869 ：02/07/06 03:37: >>870
>>871

ｽﾏｿ
このスレは一様流して読んでからインストールに入ったのですが
気がつかなかったです。
今度から念入りに検索する事にします。
879 ：名無しさん＠お腹いっぱい。 ：02/07/06 03:44: 「一応」
880 ：名無しさん＠お腹いっぱい。 ：02/07/06 08:46: >>879
一応？
881 ：名無しさん＠カラアゲうまうま ：02/07/06 09:36: 878s/一様/一応/ってことだろ。
882 ：名無しさん＠お腹いっぱい。 ：02/07/09 12:36: scp と cron を利用して、リモートサーバのファイルの
バックアップを取りたいのですが、まず scp を使う際に
パスフレーズを訊かれないようにするには ssh-agent を
使えばいいということが分かりました。以下のページを
参考にしました。

http://www.zdnet.co.jp/help/tips/linux/l0403.html

しかし、このページの最後に

「ssh-agentに関する問題の1つは，cronジョブとの
関連性を持つことができない点だ。cronによって
定期的にsshを利用したrsyncを実現するといっ
た用途には，更なる作業が必要になる。」

とあるではありませんか。この「更なる作業」は説明
されておらず、ここで壁にぶつかりました。

どのようにすれば scp + cron のバックアップを
実現できるのでしょうか？
883 ：名無しさん＠お腹いっぱい。 ：02/07/09 12:40: >>882
.shosts
884 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:16: >>882
パスフレーズを空にすればいい。
885 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:17: 公開鍵認証にするとかじゃだめなんかな？
886 ：名無しさん＠お腹いっぱい。 ：02/07/09 13:31: http://www.google.com/search?q=cron+ssh&ie=Shift_JIS&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=lang_ja
このへんでいくらでもおいしいネタがいただけます
887 ：名無しさん＠お腹いっぱい。 ：02/07/09 14:45: sshをインストールして起動しようとすると
Privilege separation user sshd does not exist
って出て起動しないけど、何がいかんのかわからんです。なぜ？
888 ：名無しさん＠お腹いっぱい。 ：02/07/09 14:47: >>887
このスレを "Privilege" で検索してみたまえ。
889 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:31: teratermからつなぎたいのでプロトコル１の鍵を作りたいんすけど、
ssh-keygen -t rsaってやっても
id_rsaって鍵が出来上がってどうもプロトコル２みたい。
identityの作り方おせーてください
890 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:34: >>889
$ man ssh-keygen
.
.
.
-t type
Specifies the type of the key to create. The possible values are
``rsa1'' for protocol version 1 and ``rsa'' or ``dsa'' for protocol
version 2.
891 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:35: -t rsa1
892 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:38: OpenSSH で、以前 contrib にあった /etc/passwd の home direcotry フィールドを
/chrootdir//homedir の形式にすると、指定したディレクトリに chroot() して
くれる patch ( chroot-patch ) というのがあったと思いますが、
OpenSSH 3.4p1 で動くバージョンを持っている or 作られた方はいらっしゃいますか？
893 ：名無しさん＠お腹いっぱい。 ：02/07/09 16:42: >>892
このスレを "chroot" で検索してみたまえ。
894 ：889 ：02/07/09 17:19: 890、891
助かりました。thx!!
895 ：882 ：02/07/09 17:56: >>884
が言うとおり、とりあえず一番簡単そうなパスフレーズを
空にしてみました。

scp username@remotehost:backupfile local_storage

上記のようなコマンドを打つとパスフレーズも要求されず
うまくいくのですが、そのコマンドをcrontabに登録しても、
何にも起こりません。
あとは何が抜けているのでしょうか。
896 ：名無しさん＠お腹いっぱい。 ：02/07/10 00:41: >895
貴方の間が抜けています
早く探さないと手遅れになりますよ？
897 ：名無しさん＠お腹いっぱい。 ：02/07/10 00:42: >>895
そのコマンドが
どのアカウントでどのディレクトリで実行されるか
把握できてる?
898 ：名無しさん＠お腹いっぱい。 ：02/07/10 04:00: >>843
> モデムで圧縮すればいいやん。
暗号化後じゃV.42bis効かんと思うが。
899 ：名無しさん＠お腹いっぱい。 ：02/07/10 07:42: 確かに。
900 ：882 ：02/07/10 08:13: >>897
うっ、把握できてない。
ここらはもうcronの話？　アカウントは"crontab -e"を
設定したユーザーのアカウントで実行されるんだと思ってたけど、
間違ってる？
ディレクトリは意識したこともなかったです。
901 ：882 ：02/07/10 08:22: いやー分かったよ、ディレクトリのこと。
スレ違いなcronの話になってしまうけど、
HOME=~username
という環境変数をcrontabに設定したら、
幸せになれました。こうしないと、各ユーザの
~/.ssh/ の中身が読みにいけないってこと
だったのかな。

とにかく感謝です。
902 ：名無しさん＠ＸＥｍａｃｓ ：02/07/10 13:13: あと、パスフレーズなしの鍵で運用するときは、authorized_keys で
特定のコマンドしか実行できないよう制限しておくのが吉。
903 ：882 ：02/07/10 14:54: >>902
これは初耳。そんなことができるのですか？
具体的にはどうやって特定のコマンドとauthorized_keysを
関連付けるのでしょうか？

~remote_user/.ssh/authorized_keys は、元は
~local_user/.ssh/id_dsa.pub のことですよね？
904 ：名無しさん＠お腹いっぱい。 ：02/07/10 14:57: >>903 man sshd
905 ：882 ：02/07/10 16:07: >>903
ちゃんとマニュアルは読まないとダメだね。勉強に
なりました。
でも、authorized_keysで制限できるのは、
$ ssh -l remote_user remote_host command
と打つときのコマンドや、sshログインしてからの
コマンドだよね。

ローカルからのscpのみに制限したい場合はできない
んじゃないの？ (実際にcommand="scp ～"を指定
してみたけどうまくいかなかった。設定の仕方が
悪いだけ？)
906 ：名無しさん＠お腹いっぱい。 ：02/07/10 17:08: >>903
> ~remote_user/.ssh/authorized_keys は、元は
> ~local_user/.ssh/id_dsa.pub のことですよね？

Yes. 正確には
　~local_user/.ssh/id_dsa.pub∈~remote_user/.ssh/authorized_keys
かな。authorized_keysは"keys"と複数形になっている通り、公開鍵「集」なわけよ。

で、ここに記述された公開鍵に対応する秘密鍵を持っている人が正規ユーザ
としてログインできるというわけなのだ。

# 解決済だろうけど、一応。
# # ゆえにsage
907 ：名無しさん＠お腹いっぱい。 ：02/07/10 17:24: >>905
引数渡せない(渡されたコマンドの代わりにオプションで指定したもの使う)。
ssh+tarにすれば?
908 ：名無しさん＠ＸＥｍａｃｓ ：02/07/11 13:10: >>905
> ローカルからのscpのみに制限したい場合はできない
> んじゃないの？

うんにゃ。

> (実際にcommand="scp ～"を指定
> してみたけどうまくいかなかった。

前に書いてた

> scp username@remotehost:backupfile local_storage

ってのを -v オプション付きで実行してみ。scp したときにどんな処
理が裏で行われているか分かるから。

で、その通りに authorized_keys の command= option に書いてやりゃ
動く。

♯ただし、-v オプションは不要

> 設定の仕方が
> 悪いだけ？)

だと思う。

あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
の options 記述位置が全然違うけど、そこんとこは OK ？

ま、でも、

>>907
> ssh+tarにすれば?

がたぶん正解。
909 ：yamasa ：02/07/12 02:36: せっかくなので、QandAを書いてみますた。
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
ツッコミお願いします。
910 ：名無しさん＠お腹いっぱい。 ：02/07/12 10:46: >>909
PATHに頼るのは嫌いでふ。
911 ：名無しさん＠お腹いっぱい。 ：02/07/12 10:49: >>910
なら、ssh-add すれ。

つーか、なんで嫌いなんだろ。
912 ：名無しさん＠お腹いっぱい。 ：02/07/12 11:00: >>911
command="tar ..."の事でふ。
913 ：名無しさん＠ＸＥｍａｃｓ ：02/07/12 11:03: >>909
> せっかくなので、QandAを書いてみますた。
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
> ツッコミお願いします。

よく書けてると思うっす。

気になったところはこんくらい：

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468

> また、bash や zsh など sh 系のシェルを使っている場合は
> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。

デフォルトが sh 系コマンド生成なので -s は明示する必要なし

> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
> % ssh-add ~/.ssh/identity

個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
add してくれるし)？

> /etc/pam.conf の xdm 部分の設定例は次のようになります。
> xdm auth required pam_unix.so
> xdm auth optional pam_ssh.so use_first_pass

おいらは

auth sufficient /lib/security/pam_ssh.so

でやってるけど、この辺は考え方の違いなんでしょうね。

で、これ以外に

・keychain 型の ssh-agent を永続させる危うさについて (いい加減
くどい、て B-)
・(たしか) 3.3 から ssh-add -x/-X で agent 上の鍵の lock/unlock
　が、ssh-add -t life で鍵の保持期限が設定できるようになった

なんて話は触れときたいかも。

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255

> % cat ~/.ssh/backup.pub
> command="tar czf - hoge",no-pty,no-port-forwarding 1024 35 1472731(以下略)

あれあれ、SSH1 鍵でも command= を先頭に書くのでいいんだっけ？と
思って man page 読み返してみたら、それでよかったんですね。って
ことは、>>908 で

> あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
> の options 記述位置が全然違うけど、そこんとこは OK ？

と書いたのはまったくの嘘だったわけだ。ssh.com 版のと錯誤したよ
うでまことに申し訳ないっす。
914 ：yamasa ：02/07/13 02:26: >>910
確かに
command="tar czf - hoge" ...
よりは
command="/usr/bin/tar czf - hoge" ...
のほうがいいですね。あとで変えときます。

>>913
>> また、bash や zsh など sh 系のシェルを使っている場合は
>> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。
>
> デフォルトが sh 系コマンド生成なので -s は明示する必要なし

違うっす。-cも-sも指定しなかったときは、環境変数SHELLの値を見て
出力を決めてます。
ただ、自動判別に頼るのはトラブルのもとかなと思ったので
QandAでは明示的な指定方法だけを書くことにしました。

>> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
>> % ssh-add ~/.ssh/identity
>
> 個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
> 鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
> がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
> add してくれるし)？

これは俺もかなり悩みました。
確かに秘密鍵のファイル名を明示的に指定しなきゃならんのは
OpenSSH2.9でSSH2を使ってるときぐらいだから、
% ssh-add ~/.ssh/id_dsa
ってのを例にだしておけば十分なんですよね。

でも、FreBSD 4.6-RELEASEまで(おそらく4.6.1-RELEASEも)の
デフォルトではSSH1て繋ぎにいくし、多少冗長でも
確実に動作する例をQandAには書くべきだと思うから
~/.ssh/identity を指定しておきました。
デフォルト値のような詳しい内容についてはmanを読めってことで
いいんじゃないですかね。
915 ：yamasa ：02/07/13 02:27: >> /etc/pam.conf の xdm 部分の設定例は次のようになります。
>> xdm auth required pam_unix.so
>> xdm auth optional pam_ssh.so use_first_pass
>
> おいらは
>
> auth sufficient /lib/security/pam_ssh.so
>
> でやってるけど、この辺は考え方の違いなんでしょうね。

これについては↓を読んでちょ。
http://pc.2ch.net/test/read.cgi/unix/1014385300/330-352n

auth sufficient pam_ssh.so
だと SSH passphrase を空にしている輩なんかがいた場合に
大変なことになるんで、できるだけ安全側に倒した例を
挙げておきました。
まあ、わかっている奴がちゃんと影響を理解したうえで
pam.confをいじるのなら問題無いんで、QandAの例が
唯一の方法だと思われないように注意したつもりです。

あと、ssh-add -x とかのネタも取りあげたかったんだけど、
さすがに超長文になってしまうんで(もうなってるか)泣く泣く
割愛しました。
916 ：名無しさん＠お腹いっぱい。 ：02/07/13 14:18: 自宅の俺様専用鯖(PPPoE、非常時接続)にログインするとき、known_hostに入ってないので確認メッセージが鬱陶しいです。
また、ここでyesと答えてしまうと後々他人のものになるIPアドレスで登録されてしまうので気持ち悪い。
現在は、テンポラリのknown_hostsを生成し接続、切断後に削除というスクリプトを書いて使っていますが、なんかかっちょ悪い。

もっとスマートな方法はないでしょうか?
バージョンはOpenSSH_3.4p1。非固定IPでドメインも取っていません。
917 ：yamasa ：02/07/13 14:57: >>916
~/.ssh/config に
---
Host homepc
HostName 192.168.0.10
HostKeyAlias homepc
UserKnownHostsFile ~/.ssh/known_hosts.homepc
---
とでも書いておいて、
192.168.0.10 の部分を適当に書き換えるスクリプトを作ればよろし。
918 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:11: >>916
どうせ他人のアドレスになっても
そいつにログインすることはないから、
気にしないってのはどうよ。
known_hosts が膨れ上がるのが気になるなら
なんとかして known_hosts を別ファイルにわけて
ときどき rm する、とか。
919 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:26: >916
ダイナミックDNSを利用して同じホスト名でアクセスできるようにすれば委員でない？
920 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:31: >>917
なるほど… 書き換えるのは面倒なので-oで渡せるかな?
試して見ます(すぐには出来ないので報告は後日)。

>>918
やっぱ気持ち悪いし。アドレス間違えて他人鯖にログインしようとしたこと何回かあるし… (w
間の悪いことに鯖設定変えた後だったので、失敗したかと迂闊にもパスワード送っちまった。
921 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:33: >>919
俺様専用鯖なので他人からのアクセスの可能性は出来るだけ回避しようと…
922 ：名無しさん＠お腹いっぱい。 ：02/07/13 15:49: >921
欲張りすぎ
利便性と安全性は相反するもの
923 ：916 ：02/07/13 16:25: >>922
やだ。安全性を犠牲にするなら不便なほうがいい。
犠牲にしない範囲で便利は欲しい。(w
924 ：名無しさん＠お腹いっぱい。 ：02/07/13 16:43: >>923
ネットに繋がず持ち歩く、でファイナルアンサー
925 ：916 ：02/07/13 16:57: >>924
必要なのは俺様専用鯖に繋がっているBフレという資源なわけで、これのために
外からアクセスしてる。
残念な事に光ファイバというのは持ち歩く訳にはいかにゃーだ。

つーか、>>917で成功すれば俺的にはFAなんだが… (w
926 ：名無しさん＠お腹いっぱい。 ：02/07/13 17:02: 資源を持ち歩くんだよ
927 ：sage ：02/07/13 17:20: だから必要な資源はインターネットにアクセスするBフレなんだってば。
928 ：名無しさん＠お腹いっぱい。 ：02/07/13 17:24: 延長しまくれ
929 ：916 ：02/07/13 17:24: 外に出たときはssh(22)しか自由にならないの。だから俺様専用鯖までトンネル掘るの。
930 ：名無しさん＠お腹いっぱい。 ：02/07/13 18:19: >>916

　　　　　　　　　　厨　　房　　必　　死　　だ　　な
931 ：916 ：02/07/13 18:28: 夏の虫がたかって来たようなので、ここらで退散します。
ご報告は後日。
932 ：名無しさん＠お腹いっぱい。 ：02/07/13 18:31: 　　　　　　　　　　二　　度　　と　　来　　る　　な
933 ：名無しさん＠お腹いっぱい。 ：02/07/13 18:32: 固定IPくれえるプロバイダに乗り換えろや
934 ：名無しさん＠ＸＥｍａｃｓ ：02/07/13 18:33: >>914
> > デフォルトが sh 系コマンド生成なので -s は明示する必要なし
> 違うっす。-cも-sも指定しなかったときは、環境変数SHELLの値を見て
> 出力を決めてます。

うひゃ、ほんとだ。c_flag が 1 かどうかで csh と sh の構文を変
化させてるとこしか確認しなかったんで sh 系がデフォルトだとお
もてたけど、その前に SHELL の終わり三文字を見て c_flag を設定
してたのね。

逝った。

> ただ、自動判別に頼るのはトラブルのもとかなと思ったので
> QandAでは明示的な指定方法だけを書くことにしました。

うん、納得。

> でも、FreBSD 4.6-RELEASEまで(おそらく4.6.1-RELEASEも)の
> デフォルトではSSH1て繋ぎにいくし、

そうなんすか…。

みんな、CORE-SDI の例のやつはどう評価してるんだろうなぁ。ちゃん
と理解した上でやってるならいいんだけど。

> デフォルト値のような詳しい内容についてはmanを読めってことで
> いいんじゃないですかね。

はい、これも納得。
935 ：名無しさん＠ＸＥｍａｃｓ ：02/07/13 18:46: >>920
> >>917
> なるほど… 書き換えるのは面倒なので-oで渡せるかな?
> 試して見ます(すぐには出来ないので報告は後日)。

うん、できるはずなんで試してみ。

しかし、そっか、HostKeyAlias なんてのが config keyword にあった
んだ。そんじゃ >>828 に書いた方法でもこれを使ってやれば knownhosts
ファイル変える必要もないんじゃないか。

しかも、ssh_config の man page には

> HostKeyAlias
> Specifies an alias that should be used instead of the real host
> name when looking up or saving the host key in the host key
> database files. This option is useful for tunneling ssh connec-
> tions or for multiple servers running on a single host.

とかきっちり書いてあるし。
936 ：yamasa ：02/07/14 01:11: >>920
その自宅サーバのIPアドレスの範囲の見当がついているのなら、
---
Host 192.168.*
HostKeyAlias homepc
UserKnownHostsFile ~/.ssh/known_hosts.homepc
---
とでもしておけば ~/.ssh/config を書き換える必要はない。
-o オプションを使うぐらいなら、こっちにしとけば?
937 ：916 ：02/07/15 10:35: 試してみました。
HostKeyAlias mypc
としてknown_hosts2にホスト名をmypcとしたサーバ鍵を追加するだけでおっけでした。
Host 192.168.*はHostKeyAliasに影響しないようです。
938 ：916 ：02/07/15 11:18: 追記
HostKeyAliasだけでいけるのは-oで指定したときだけでした。
結局、割り当てられるのは/16なアドレス範囲二つのうちどちらかなので、次のようなconfigにしました。

Host xxx.xxx.*
HostKeyAlias mypc
StrictHostKeyChecking yes

Host yyy.yyy.*
HostKeyAlias mypc
StrictHostKeyChecking yes
939 ：名無しさん＠ＸＥｍａｃｓ ：02/07/15 16:00: >>935
> しかし、そっか、HostKeyAlias なんてのが config keyword にあった
> んだ。

しかも bug ってるし (HostKeyAlias で大文字を使うと known_hosts
とのマッチが取れず何回アクセスしても新しい鍵だと逝って来る)。

とりあえず patch は openssh@openssh.com に送ったけど、あんま使
われてない機能なんだろうなぁ。
940 ：名無しさん＠お腹いっぱい。 ：02/07/15 19:00: IETFのsecsh WG逝った人～
941 ：名無しさん＠お腹いっぱい。 ：02/07/18 14:41: sftpを止めて、proftpdに戻したいんだけどどしたらいい？
/etc/ssh/sshd_configの
#Subsystem sftp /usr/libexec/openssh/sftp-server
この行潰したりしてみたんだけど状況変らず・・・
942 ：名無しさん＠お腹いっぱい。 ：02/07/18 15:59: >>941
sftp と proftpd が提供する FTP とは無関係だぞ
943 ：名無しさん＠お腹いっぱい。 ：02/07/18 17:24: 問題
sftpにdがついてないのは何故でしょう？
944 ：名無しさん＠お腹いっぱい。 ：02/07/18 17:30: （　ﾟдﾟ）ﾎﾟｶｰﾝ
945 ：名無しさん＠お腹いっぱい。 ：02/07/18 18:34: >>943
めんどくさかったから。
946 ：名無しさん＠お腹いっぱい。 ：02/07/18 18:37: >>943
かわりにsがついてるから
947 ：名無しさん＠お腹いっぱい。 ：02/07/18 19:28: >>941
設定ファイル編集後に
　　　# kill -HUP （sshdのプロセスID）
してないからでは？
948 ：名無しさん＠お腹いっぱい。 ：02/07/18 19:50: それ以前の問題だろ
949 ：名無しさん＠お腹いっぱい。 ：02/07/19 10:40: >>943
sftp-serverならありますが。
>>947
（　ﾟдﾟ）ﾎﾟｶｰﾝ
950 ：名無しさん＠お腹いっぱい。 ：02/07/19 15:15: 次スレどうします？
建てるのは>>980にお任せするとして。
テンプレ作りとかした方がいいですかね。
951 ：名無しさん＠お腹いっぱい。 ：02/07/19 15:54: じゃあスレタイは「ssh2」で。
952 ：名無しさん＠お腹いっぱい。 ：02/07/19 16:54: 個人的には
「ssh protocol ver.2」
の方が好みだな。
953 ：名無しさん＠お腹いっぱい。 ：02/07/19 16:57: 混乱するから「ssh その2」でいい。
954 ：名無しさん＠お腹いっぱい。 ：02/07/19 17:28: 大文字か小文字か、も問題にならへんか？

次100 最新50 (10:00PM - 03:00AM の間一気に全部は読めません)

read.cgi ver5.26+ (01/10/21-)