訳者: 春山 征吾 HARUYAMA Seigo [ A Japanese translation of this document is available at [ http://www.unixuser.org/%7Eharuyama/security/openssh/index.html [ Thanks to HARUYAMA Seigo (略) OpenSSH is almost completely compatible with the commercial SSH 1.2.x. There are, however, a few exceptions that you will need to bear in mind while upgrading: OpenSSH は 商用 SSH 1.2.x と ほとんど完全に互換である. しかし, アップレードするために耐えなければならない いくつかの例外がある. 1. OpenSSH does not support any patented transport algorithms. 1. OpenSSH は どんな特許が取られている転送アルゴリズム もサポートしていない. Only 3DES and Blowfish can be selected. This difference may manifest itself in the ssh command refusing to read its config files. 3DES と Blowfish のみが選択できる. config ファイルを読んだ ssh コマンドの 拒絶によってこの違いは示される. Solution: Edit /etc/ssh/ssh_config and select a different "Cipher" option ("3des" or "blowfish"). 解決策: /etc/ssh/ssh_config (など, 個人の設定ファイルは ~/.ssh/config - 訳注) を編集し, 異なる"Cipher"オプション (3des ないし blowfish) を選択する. 2. Old versions of commercial SSH encrypt host keys with IDEA 商用 SSH の古い version は host keys を IDEA を用いて暗号化している. The old versions of SSH used a patented algorithm to encrypt their /etc/ssh/ssh_host_key SSH の古い version では 特許が取られているアルゴリズムで /etc/ssh/ssh_host_key が暗号化されている. This problem will manifest as sshd not being able to read its host key. この問題は sshd が host key を読めないことによって 示される. Solution: You will need to run the *commercial* version of ssh-keygen on the host's private key: 解決策: *商用*version の ssh-keygen をホストの秘密鍵について走らせる必要 がある. ssh-keygen -u -f /etc/ssh/ssh_host_key (-u オプションは 鍵の暗号を default の暗号 (コンパイル時に決定され普通は 3DES) に変化させる. - 訳注) 3. Incompatible changes to sshd_config format. 3. sshd_config のフォーマットに互換性のない変化 OpenSSH extends the sshd_config file format in a number of ways. There is currently one change which is incompatible with the old. OpenSSH は sshd_config ファイルのフォーマットをいろいろと拡張している. 現在古いものと互換性のない変化が一つある. Commercial SSH controlled logging using the "QuietMode" and "FascistLogging" directives. OpenSSH introduces a more general set of logging options "SyslogFacility" and "LogLevel". See the sshd manual page for details. 商用 SSH は "QuietMode"と"FascistLogging" のオプションを用いて log の記録をコントロールしていた. OpenSSH はより一般的な log の記録用 オプション "SyslogFacility"と"LogLevel"を導入している. 詳しくは sshd のマニュアルを見よ. 4. Warning messages about key lengths 4. 鍵の長さについての警告 Commercial SSH's ssh-keygen program contained a bug which caused it to occasionally generate RSA keys which had their Most Significant Bit (MSB) unset. Such keys were advertised as being full-length, but are actually only half as secure. 商用 SSH の ssh-keygen プログラムは最大有効ビット (MSB) をセットしない RSA の鍵を時々生成してしまう bug を含んでいる. このような鍵は 完全な長さを持っているようにみえますが, 実際にはたった半分しか 安全ではありません. OpenSSH will print warning messages when it encounters such keys. To rid yourself of these message, edit you known_hosts files and replace the incorrect key length (usually "1024") with the correct key length (usually "1023"). このような鍵に当たった時, OpenSSH は警告を出す. このような警告を 取り除きたいならば, known_hosts ファイルを編集して不正確な鍵の長さ (一般に 1024) を正しい鍵の長さ (一般に 1023) に置きかえる. 5. Spurious PAM authentication messages in logfiles 5. log ファイル中の贋の PAM 認証メッセージ OpenSSH will generate spurious authentication failures at every login, similar to "authentication failure; (uid=0) -> root for sshd service". These are generated because OpenSSH first tries to determine whether a user needs authentication to login (e.g. empty password). Unfortunatly PAM likes to log all authentication events, this one included. OpenSSH は, すべての login の際 「"authentication failure; (uid=0) -> root for sshd service 」のような 贋の認証失敗を生成する. これが生成されるのは, OpenSSH は最初に, user が login に必要としている認証 (例えば 空パスワード) を決定するために試すからである. 不幸なことに, PAM はすべての認証のイベントを log に取り, これも含まれている. If it annoys you too much, set "PermitEmptyPasswords no" in sshd_config. This will quiet the error message at the expense of disabling logins to accounts with no password set. This is the default if you use the supplied sshd_config file. もしこれに非常にいらいらさせられるなら, sshd_config 中で "PermitEmptyPasswords no" としよう. パスワードを設定しない アカウントでの login をできなくする代わりにエラーメッセージを 抑制してくれる. 提供された sshd_config ファイルを用いているなら これが default である. 6. Empty passwords not allowed with PAM authentication 6. PAM 認証で空のパスワードが許されない To enable empty passwords with a version of OpenSSH built with PAM you must add the flag "nullok" to the end of the password checking module in the /etc/pam.d/sshd file. For example: PAM を用いるようにして作った OpenSSH の version で空のパスワード (認証) を有効にするには, /etc/pam.d/sshd ファイルの パスワード検査モジュールの 末尾で フラグ"nullok"を追加しなくてならない. 例えば, auth required/lib/security/pam_unix.so shadow nodelay nullok This must be done in addtion to setting "PermitEmptyPasswords yes" in the sshd_config file. 加えて sshd_config ファイル中で "PermitEmptyPasswords yes"と設定 する必要がある. There is one caveat when using empty passwords with PAM authentication: PAM will allow _any_ password when authenticating an account with an empty password. This breaks the check that sshd uses to determined whether an account has no password set and grant users access to the account regardless of the policy specified by "PermitEmptyPasswords". For this reason, it is recommended that you do not add the "nullok" directive to your PAM configuration file unless you specifically wish to allow empty passwords. PAM 認証で空パスワードを用いる場合の注意が一つある. PAM は 空のパスワードを持つアカウントの認証の際, _どんな_パスワードも 許してしまう. アカウントにパスワードが設定されていないかどうかの検査を 無効にしまた "PermitEmptyPasswords"で明記されるポリシーに関わらず アカウントへのアクセスを認めてしまう. このため, 特に空のパスワードを 許すよう設定することを望まないのであれば, PAM の設定ファイルに "nullok"命令を加えないことを推奨する. 7. X11 and/or agent forwarding does not work 7. X11 と/もしくは agent の 転送が 働かない. Check your ssh_config and sshd_config. The default configuration files disable authentication agent and X11 forwarding. ssh_config と sshd_config を調べよう. デフォルトの設定ファイルでは 認証エージェントと X11 の転送は無効になっている. 8. ssh takes a long time to connect with Linux/glibc 2.1 8. ssh での Linux/glibc 2.1 への接続に長い時間かかる. The glibc shipped with Redhat 6.1 appears to take a long time to resolve "IPv6 or IPv4" addresses from domain names. This can be kludged around with the --with-ipv4-default configure option. This instructs OpenSSH to use IPv4-only address resolution. (IPv6 lookups may still be made by specifying the -6 option). Redhat 6.1 で出荷された glibc は ドメイン名からの 「 IPv6 ないし IPv4 」の アドレスの解決に長い時間を要するようだ. これは configure のオプション --with-ipv4-default によって解決することができる. このオプションは OpenSSH に IPv4 のみのアドレスの解決をするように命じる. (それでも IPv6 の lookup は (ssh/sshd の)-6 オプションを明記することで行なえるであろう). 9. Logins from commercial ssh generate the error "Selected cipher type idea not supported by server" 9. 商用の ssh でのログインが, "Selected cipher type idea not supported by server" というエラーを生む. This error is generated when a commercial ssh which has been configured to use the 'idea' cipher attempts to connect to an OpenSSH server. To rectify this, select a different cipher in ssh_config or ~/.ssh/config (3des for security or blowfish for speed). idea 暗号を用いるよう設定された商用 ssh が OpenSSH のサーバに接続しようと 試みるとき, このエラーが生じる. これを直すには, ssh_config ないし~/.ssh/config にて異なる暗号を指定すればよい (セキュリティ指向の 3des ないしは速度指向の blowfish ) 10. "can't locate module net-pf-10" messages in log under Linux 10. Linux の log 中の "can't locate module net-pf-10"というメッセージ The Linux kernel is looking (via modprobe) for protocol family 10 (IPv6). Either 1. load the appropriate kernel module, 2. enter the correct alias in /etc/modules.conf or 3. disable IPv6 in /etc/modules.conf. Linux のカーネルは (modprobe を使って) protocol family 10 (IPv6) を 探す. 1. 適切な kernel module をロードする, 2. /etc/modules.conf に 正しい alias を入力する, 3 /etc/modules.conf で IPv6 を 無効にする, のいずれかを行なえばメッセージは消える. For some silly reason /etc/modules.conf may also be named /etc/conf.modules つまらない理由のために, /etc/modules.conf は /etc/conf.modules という名前になっているかもしれない. 11. Password authentication doesn't work on Slackware 7.0 11. Slackware 7.0 で Password 認証が働かない. Configure OpenSSH with --with-md5-passwords --with-md5-passwords オプション付きで OpenSSH を設定しよう. 12. ./configure or sshd complain about lack of RSA support 12. ./configure ないし sshd が RSA のサポートがないことに文句を言う. Ensure that your OpenSSL libraries have been built to include RSA support either internally or through RSAref. OpenSSL のライブラリが (内部でないし RSAref を通して) RSA のサポートを 含むように作られているか 確実にしよう. 13. "scp: command not found" errors 13. "scp: command not found" というエラー scp must be in the default PATH on both the client and the server. You may need to use the --with-default-path option to specify a custom path to search on the server. This option replaces the default path, so you need to specify all the current directories on your path as well as where you have installed scp. For example: scp はクライアントとサーバのどちらのデフォルトのパスにも入っていなければ ならない. サーバが探すパスを --with-default-path オプションを使って 特定する必要があるかもしれない. このオプションはデフォルトのパスを 置き換えるので, scp をインストールする場所と同じく現在のパスの ディレクトリすべてを特定する必要がある. たとえば, ./configure --with-default-path=/bin:/usr/bin:/usr/local/bin:/path/to/scp のように.