ssh

1 名前:エニグマ 投稿日:2000/12/11(月) 10:10
についての情報交換。

2 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/11(月) 10:51
そうだ、前から訊きたかったんだ。

RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication no
TISAuthentication no
PasswordAuthentication yes

だとパスワードは平文なの?
# ソース読め?めんどうだなあ。


3 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/11(月) 12:59
>>2 sshd と ssh 間の通信は基本的に暗号化されているから、
パスワードはネットワーク上を流れるが平文ではない。

4 名前:2 投稿日:2000/12/11(月) 20:20
>>3
お互い鍵がわからない状態でも暗号化するんですか?
乱数で作った共有秘密を平文(同然)で交換してそれで暗号化するとか?
# ああ、なんか勘違いしてそうだ


5 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/11(月) 21:40
APOPとかで使ってるワンタイムパスワードと同じ理屈だったと思ったが。

6 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/11(月) 23:33
公開キーを使って秘密キーの交換をするんでしょ?
SSLと同じやり方だと思ったが
2回目以降の接続は、(保存してあれば)手元の公開キーを使う、と

7 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2000/12/12(火) 00:00
>>6
PasswordAuthentication yes の場合だろ。
これには公開鍵云々は関係ない。
>>5 が正解じゃなかったっけ?

8 名前:2 投稿日:2000/12/12(火) 00:13
どうも。やっぱソース見るかぁ。

>>5,7
でも /etc/passwd だよねえ? ←実は RSAAuth しか使ったことないらしい
生パスワードが無いから APOP 方式は使えないのでわ?


9 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 00:15
ホスト公開鍵&秘密鍵、ユーザ公開鍵&秘密鍵、
セッション鍵、パスフレーズ、普通のパスワード
の区別をつけないと。



10 名前:2 投稿日:2000/12/12(火) 00:18
>>9
そう、だから公開鍵をリモートに置いてない場合、セッション鍵を交換
する前のパスワードはどう保護してるかな? と思って。
# それが気になってず〜っと RSA 以外使ってない


11 名前:5 投稿日:2000/12/12(火) 01:15
いや、だからワンタイムパスワードの理屈で暗号化されたセッション間を
(生パスが)流れるから、結果的に暗号化はされるちゅう事だと思ったが。

12 名前:5 投稿日:2000/12/12(火) 01:17
もちろん生パス流す事には変わりないので、なるべく使わない方がいいのは
言うまでもない。
# 最近のsshd_configにもPasswordAuthenticationは「offにしろ」と
# 書かれてるよね

13 名前:5 投稿日:2000/12/12(火) 01:18
ごめん書き方が悪かった。
>もちろん生パス流す事には変わりないので

>もちろん生パスを打ち込む事には変わりないので
に訂正。

14 名前:名無しさん@腹一杯 投稿日:2000/12/12(火) 03:03
Cygwin でも最近は openssh が入るんだね。
Win なクライアントから slogin とかscp ができて便利便利。
http://sources.redhat.com/cygwin/

あと、PuTTY の pscp も使える。plink も。
http://www.chiark.greenend.org.uk/~sgtatham/putty/
# PuTTY 自身は日本語通さないから辛い。

パスワード/データの通信路を暗号化ってことなら、
既存の ftp クライアントがインターフェースに使える
SafeTP なんてのもあった。
http://www.cs.berkeley.edu/~smcpeak/SafeTP/


15 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 03:20
>>14 CygwinでもOpensshが入るって、ものすごく貴重。特にscp。

16 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 07:40
一応sshdも動くんだけど、まだちょっと動作が変な感じ > Cygwin

Win9xとかFATで使ってる場合、秘密鍵他人に読まれちゃう危険性はある
んで、意図的にPasswordAuthentication使うのもありかも。

17 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 08:55
Cygwinのsshdってちゃんと使えるのかな?
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=971354040&ls=50

18 名前:2 投稿日:2000/12/12(火) 09:10
>>12
> いや、だからワンタイムパスワードの理屈で暗号化されたセッション間を
> (生パスが)流れるから、結果的に暗号化はされるちゅう事だと思ったが。
ごめんなさい、やっぱりわかりません。
「ワンタイムパスワードの理屈」をわかってないのだと思うのですが、
この仕組みは
「両端はあらかじめ共通の秘密を知っていて、両者が同一であることを確認できる」
というものですよね?(少なくとも APOP のはそうですよね)

両端が共通して知っているのは「パスワード」だけですが、こいつはサーバ側では
crypt(3) されてるから使えないのではないか? と思ったのですが、、、

僕はどこを間違えているのでしょう??


19 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 11:38
ここを見よ:
http://tanaka-www.cs.titech.ac.jp/%7Eeuske/doc/openssh/man-sshd.html

20 名前:14 投稿日:2000/12/12(火) 12:03
>>15-17
えと、クライアントとしての ssh/scp が便利ね。
sshd(って言うのか?) を動かしてwinに入る方は期待してないっす。

>>18
1. (loginするときの)パスワードと、通信路暗号化のための暗号鍵は別物。
暗号可された通信路経由でパスワードを送る。

2. 通信路の暗号可に使うのは、固定鍵暗号(共通鍵暗号)方式。
だって、公開鍵暗号は計算のコストが高くて遅いから。

3. 固定暗号鍵は毎回変わる。
同じ固定鍵を使っていると、そのうち(類推/力尽くで解読)される可能性がある
また、固定暗号鍵は第三者に見られちゃイヤン。

4. てことで、両者の間で同じ固定暗号鍵を共有するために、
 a)鍵交換のテクニックを使う (ElGamal だっけ?)
 b)公開鍵暗号方式を使って、固定暗号鍵について同意を形成するための
  暗号可れた通信路を作る。
のどっちかを使う。
# ワンタイムパスワードは、a) だと思った。もっと詳しい人説明キボソ。

大筋あってると思うけれど。



21 名前:>14 投稿日:2000/12/12(火) 13:19
まぁ大体あってるけど、OTP と a) との話はまったく別だけど。
あと鍵交換アルゴリズムは Diffie-Hellman だ。


22 名前:2 投稿日:2000/12/12(火) 13:27
ありがとうございます。
> 1. (loginするときの)パスワードと、通信路暗号化のための暗号鍵は別物。
はい、これはわかってます。

> 暗号可された通信路経由でパスワードを送る。
この通信路を *公開鍵無しで*(authorized_keys が無い状態で)なおかつ
*認証が完了する前に*(クライアントを信用できない状態で) どう確立するか?
がわかってません。あ、サーバの host public key で暗号化するんですか?

> 2. 通信路の暗号可に使うのは、固定鍵暗号(共通鍵暗号)方式。
> だって、公開鍵暗号は計算のコストが高くて遅いから。
これもわかってます。

> 3. 固定暗号鍵は毎回変わる。
> 同じ固定鍵を使っていると、そのうち(類推/力尽くで解読)される可能性がある
> また、固定暗号鍵は第三者に見られちゃイヤン。
はい、これもわかってます。

> 4. てことで、両者の間で同じ固定暗号鍵を共有するために、
> a)鍵交換のテクニックを使う (ElGamal だっけ?)
これがわかってないのかな??

> b)公開鍵暗号方式を使って、固定暗号鍵について同意を形成するための
>  暗号可れた通信路を作る。
はい。

>>19
すみません。以前から悩んでたのでそれは穴が開くほと読みました。


23 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 16:25
ちがわねえか?
公開鍵暗号ってのは確かに秘密鍵をばらさずにすむから便利だけど、
ある公開鍵がなりすました他人のものではないという保証が難しい。

そこで、鍵交換がでてくるわけだ。といっても、鍵交換自体が公開鍵
暗号の焼き直しみたいなものだが。ElGamalは公開鍵運号系の一つだし、
鍵交換の方法でもあるわけだ。

結局このへんをつきつめると、ゼロ知識証明にたどりつく。ここから
先はちょっとばっかし算数(つーか論理的思考)が必要よ。

24 名前:asm 投稿日:2000/12/12(火) 19:34
俺も ssh のソースを読んだわけじゃないから偉そうなことは言えないのだが
>>20 に書いてることがおおむね正しいんじゃないか?

俺は ssh のプロトコルを次のように認識している。

1) まず client はあらかじめ何らかの方法で server のRSA(DSA)公開鍵を
  手に入れ、それを known_hosts(known_hosts2) に書いておく。

2) sshの接続の始めに server は自分のRSA(DSA)公開鍵を client に通知し、
  client はそれを known_hosts(known_hosts2) の内容と比較する。

3) これで、client は server が別のホストのなりすましでないと確認でき、
  また client -> server の片方向の暗号化通信路が確立できる。

4) 次に、このあとの通信に使うための共通鍵暗号の鍵を交換する。
  ssh1 では client が 256 bit のランダムな数を選び、3)の
  片方向暗号化通信路で送る。
  ssh2 では Diffie-Hellman アルゴリズムで共通鍵の交換を行う。
# 正確には、ssh1 ではより安全に鍵交換を行うため server は 2)で
# 1時間毎に再生成されるもう一つのRSA公開鍵も client に送っている。
# 区別のため、この鍵をサーバ鍵、1)の鍵をホスト鍵と呼ぶ。

5) これで client <-> server 間の双方向暗号化通信路が確立される。
  以降、*Authentication の設定に基づいて client の認証が行われる。

この手順だと PasswordAuthentication でも素の password は
暗号化通信路の中でしかやりとりされないから、かなり安全だと思う。
でも、例え暗号化されていても password は送りたくないってのなら
RSAAuthentication を使えばいいわけで。

25 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 22:09
Windowsで使える、日本語の通るまともなsshクライアントないっすか?
ttsshはいまいちバギーだし、RSAで動いてくんないし。

26 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/12(火) 22:46
ホスト間認証って challenge/response じゃないの?
しろうと質問ですまん。

27 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/13(水) 00:15
>>25
今、RSA Authで使ってるぞ。

28 名前:20 投稿日:2000/12/13(水) 00:37
>>24
詳細説明感謝
ソースが読めない厨房なので感謝

概要把握したつもりでも説明するとやっぱダメだわ

OTP云々濡ところは大誤り


29 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/13(水) 03:39
>>25
ttssh.exe使わずにTERATERM_EXTENSIONS=1設定してttermpro.exeから
起動した方がいい。ttssh.exeからの起動はなんか変な事が多かった。

30 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/13(水) 20:49
OpenSSH の Anonymous CVS Snapshot が用意された
http://bass.directhit.com/openssh_snap/


31 名前:asm 投稿日:2000/12/14(木) 01:37
>>26
公開鍵暗号を使った認証も challenge/response 型認証の
一つと言えるでしょう。
普通の一方向性関数を用いた場合との違いは、認証を受ける側だけが
秘密の情報を知っていればよいという点です。

ssh1 の場合は challenge に対する response を返さずにそのまま
共通鍵暗号の鍵にしているようですが。
# つまり、本物の server だけが共通鍵を手に入れられることを認証として
# 使っている。

ssh2 では Diffie-Hellman アルゴリズムでの鍵交換の前に
ホスト認証を行ってるはずですが、man の内容しか読んでないので
具体的にどのような方法で認証を行っているかはわかりません。
# やっぱりsource読むしかない?

32 名前:anonymousさん 投稿日:2000/12/18(月) 14:46
SolarisにSSH2.3.0を入れたのだが -f を付けて実行するとマシンごとハングしてしまう。
(2.1.0pl2でも同様。ただしSSH1では大丈夫)
どうすりゃいいんでしょうか?
あと、こういうのはどのMLで聞けばいいの?
ちなみに
% uname -a
SunOS ***.***.***.jp 5.6 Generic_105181-17 sun4u sparc SUNW,Ultra-1
こういうシステム。


33 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/18(月) 19:32
ssh は仕組みが結構知られてるようで厳密なこと知ってる人って実は少な
いよなー、RFC あるんだっけ? I-D だけかな。このスレで輪読しません
か。あるいはどなたか解説しませんか。


34 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/18(月) 20:20
こんな記事が届いたよ。
http://securityportal.com/cover/coverstory20001218.html


35 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/18(月) 20:49
>>33
RFCその他に記載なし


36 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/18(月) 20:58
http://www.ssh.fi/drafts/

37 名前:anonymousさん 投稿日:2000/12/18(月) 21:08
>>36
それちと古い。
http://www.ietf.org/html.charters/secsh-charter.html


38 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/18(月) 21:21
http://www.openssh.com/manual.html

39 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/19(火) 19:42
ssh1とsslが最近簡単にのっとられるように
なっちゃったじゃない。みんなssh2に逝こう

40 名前:asm 投稿日:2000/12/21(木) 17:08
>>39
たぶん>>34のリンク先のことを言ってるんだろうが、
ちょっと誤解を招きかねない言い方だな。

>>24で書いたようにsshではサーバーが送ってくる公開鍵と
known_hosts に書いてある公開鍵が一致するか確認することで
なりすましを防いでいるわけで、逆に言えば known_hosts に
接続先の公開鍵がない状態では簡単になりすましの餌食となってしまう。
これがsshの最大の弱点であり、ssh1でもssh2でも同じ。
ssh2が安全なのではなく、まだdsniffがssh2に対応してないだけであり、
原理的にはssh2もハイジャック可能だ。

でも、known_hosts の内容さえしっかり管理しておけば
ssh1でもまだ十分安全なはず。
結局、どんなツールも利点・欠点をちゃんと理解して使うべしってことだな。

41 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/21(木) 17:25
結局、ある人のためにあたらしくアカウント作ってあげるときは
「おまえの identity.pub よこせ」と言って
そのユーザの ~/.ssh/authorized_keys に置いたうえで、
当該ホストの ssh_host_key.pub を「おまえの known_hosts に
追加しろ」といって送りかえせばいいのね。

42 名前:???????????????B 投稿日:2000/12/21(木) 18:04
>>41
>「おまえの identity.pub よこせ」

とは言われたけど、送ったらそれだけでログインできたよ。
でも /etc/passwd の crypt 認証 (て言うのか?)
だったけど。もしかしたら最初から RSA 認証させるには

>「おまえの known_hosts に 追加しろ」

が必要なのかもしれない。


43 名前:41 投稿日:2000/12/21(木) 21:08
いやオレが言いたかったのはそういうことじゃなくって…
パスワード打ったってことは、きちんと RSA 認証できてないってことだ (サーバの設定かもしれんが、それも妙な話だ)。
known_hosts はなりすましを防ぐためにあるってことだよ。

44 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/21(木) 21:22
known_hostsには勝手に追加される。なりすまし防止の観点からは、
手動の方がいいけどな。
秘密鍵にパスフレーズを設定しておいたら、それをうちこまなきゃ
いけないので、一概にはいえない。

一番いいのは ssh -v で、ごちゃごちゃでてくるのを読む。
RSAAuth Failed とかなんとかってでてれば失敗してる。

45 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/21(木) 21:29
>44 んでも、秘密鍵のパスフレーズって /etc/passwd の
パスワードとは別モンだろう。42の状況は、PasswordAuthentication
になっちゃってるんじゃないかということよ。

46 名前:名無しさん@お腹いっぱい。 投稿日:2000/12/26(火) 01:17
age

47 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/04(木) 23:07
気がついたら21世紀age

48 名前:42 投稿日:2001/01/05(金) 00:32
>>42
>>「おまえの identity.pub よこせ」
> とは言われたけど、送ったらそれだけでログインできたよ。
ごめん。大嘘。identity.pub よこすか、/etc/master.passwd にある
crypted passwd よこせ、って言われたんだった。で、当時は何の
こっちゃかわからず、後者を選択したの。


49 名前:sendmail.org 投稿日:2001/01/12(金) 13:54
http://openssh.org

50 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/12(金) 13:56
http://openssh.com

51 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/14(日) 15:43
>>48
普通、identity.pub渡すだろ。

52 名前:42 メール:sage 投稿日:2001/01/14(日) 17:02
>>51
だから当時は ssh のことを全くわかってなかったんだってば。


53 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/14(日) 18:16
>>52
そういう事ね。

54 名前:名無しさん@お腹いっぱい。 メール:root@2ch.net 投稿日:2001/01/21(日) 10:05
age

55 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/22(月) 11:41
ふん。
所詮、公開鍵暗号なんて量子コンピュータができるまでの命。

56 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/01/22(月) 11:55
>>55
ネタにしても面白くなさすぎ。

57 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/22(月) 12:54
ゼロ知識証明ってどういう概念? 本は難しすぎてわからんし、
検索エンジンでもあまりいい説明がなかった。
公開鍵暗号系で鍵交換をすることはゼロ知識証明に入る?

58 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/22(月) 13:33
培風館「暗号と認証」に平易な説明が載ってるよ

英語で良ければ「Applied Cryptography」の 102-104 ページくらいがいい

つーか数学板で訊けば教えてくれる人いるのでは?

59 名前:名無しさん@お腹いっぱい。 投稿日:2001/01/23(火) 03:02
>>55 >>56
でも、本当だよな・・・
やっぱり機密情報は暗号化しようとしまいと
ネットワークに流さない方がいいのかな?


60 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/01/23(火) 03:19
我々がどんな機密を持っているのいうのだ。

61 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/01/23(火) 16:26
18禁エロゲーとロリ画像

62 名前:まつらー メール:sage 投稿日:2001/01/23(火) 16:34
>>59
ssh と関係ないけど企業秘密と言えば、NEC がイヤン♪な
メールフィルタアプリを発表(売?)したとか。
(Linux アプリだけど。)
http://www.necsoft.co.jp/soft/mailguardian/

N.G. ワードや、添付ファイルをチェックするみたい。
暗号化されてるのは、どーするんだろ?

給料泥棒してる我が身にとっては、嫌なシステムねぇ。(笑)

63 名前:まつらー メール:sage 投稿日:2001/01/23(火) 16:34
更に関係ないが、Web ページのソースを見たら、Kondara で作ってた。
<meta name="GENERATOR" content="Mozilla/4.7 [Kondara-ja]
(X11; I; Linux 2.2.14-0.8k1 i586) [Netscape]">
ふーん。。。

64 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/14(水) 18:00
なんだか今更になって、SSH の元作者 (いまは SSH Communication Security の社長) が OpenSSH チームに「SSH という名前はうちのトレードマークだ、名前変えろ」っていってるみたいよ。

65 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/02/14(水) 18:52
じゃ変えよう。シェルでも無い奴に sh 付いてて欝だったところだ。

66 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/02/14(水) 21:52
>>64
最近の流行ですな。そういうの。

67 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/02/14(水) 23:02
>>65
rsh (remoteの方ね) はどうする?

68 名前:65 メール:sage 投稿日:2001/02/15(木) 00:45
>>67
一緒にあぼーんじゃ、と思ったが
その存在忘れてた自分が欝なんで逝ってくるよ。

69 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/15(木) 05:19
ssh-1.2.31age

また入れ替えっかよー... (ブツクサ


70 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/15(木) 15:32
ssh 1.2.31 もやばいよ。
SSH1 を使うなら OpenSSH 2.3.0p1 でどうぞ。


71 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/15(木) 21:05
>>64
ネタ元きぼん。

72 名前:64 投稿日:2001/02/15(木) 21:34
>>71
See the openssh-unix-dev ml archive:
http://marc.theaimsgroup.com/?t=98211717600006&w=2&r=1

73 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/15(木) 23:29
最近のSSHデーモン(1.2.x)は全部root取られちゃうよ〜
http://www.securityfocus.com/


74 名前:71 メール:sage 投稿日:2001/02/15(木) 23:41
>>72
thanks!

75 名前:名無しさん@Emacs 投稿日:2001/02/16(金) 02:34
opensshはroot権限だけじゃなく、名前まで取られそう(W

76 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/16(金) 19:45
TTSSH 1.5.3 age


77 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/16(金) 21:49
FreSSH-0.8.1 age (よーわからんが)
http://www.fressh.org/


78 名前:ロッソ 投稿日:2001/02/16(金) 22:55
 〃
(中」中)ノ へぇ、FreSSH おもしろそうだね〜

79 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/18(日) 05:08
OpenSSH 2.5.0 age


80 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/18(日) 06:02
PortForwarderを使って普通のTelnetクライアントで
sshを使いたいのですが、この場合パスワード認証なしに
接続することは可能でしょうか?
現在はssh経由でTelnetdにパスワード認証で接続しています。
(暗号化されたパスワードが流れている状態です)

81 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/18(日) 11:42
23を潰して、RSAかDSAでしかログインできないように設定して
ユーザのパスワードを空にすればお望みどおりでは?


82 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/19(月) 15:01
早くこいこい2.5.0p1


83 名前:80 投稿日:2001/02/19(月) 22:25
レスありがとうございます。やっぱりそれしかないですかねー。
空パスワードはちょっとまずいんです。
ところで、ssh経由でTelnetdにパスワード認証で接続という
使い方で実際に外部から会社のマシンなどに
アクセスするのはセキュリティ的にどうなんでしょう?
Telnetdは走ってますが、ポート23はFWで閉じてます。
暗号化されているとはいえ、パスワードが流れるというのが
ちょっと不安かも?と思うんですが・・・

84 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/19(月) 22:50
2.5.0p1 は飛び越したようですね。
2.5.1p1 あげ。
ftp://ftp.openssh.com/pub/OpenBSD/OpenSSH/portable/

85 名前:ロッソ 投稿日:2001/02/19(月) 23:06
 〃
(π」π)ノ 早速 make & install だーっ!

86 名前:名無しさん@ちょっとへこんでる 投稿日:2001/02/20(火) 01:33
>>83=80
パスワード認証なし、の場合は別にして、パスワードが流れるのを嫌う
のでしたら、ssh 上で opie や s/key を使うのはどうでしょう

# 使ったことはないんですが、可能かと思われます... 間違ってます?


87 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/22(木) 19:59
TTSSH 1.5.4 age

88 名前:>>87 メール:sage 投稿日:2001/02/23(金) 06:06
なんで What's New が更新されてないんだろ?


89 名前:某所の管理者 投稿日:2001/02/27(火) 22:38
うちの学生が、ssh のパスフレーズは空でもOK
だよという余計な事を広めてしまったので、空の
パスフレーズを付ける人が増えてしまいました。
こともあろうに教官までが。

で、各ユーザの秘密鍵にパスフレーズが設定され
ているか確認する簡単な方法はありませんか?
ファイル
~/.ssh/identity
のパスフレーズです。


90 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/27(火) 22:42
(echo;echo;echo)|ssh-keygen -p -f $HOME/.ssh/identity
とやって、終了コードが 0 ならそいつのパスフレーズは空。
どうでしょ?

91 名前:某所の管理者 投稿日:2001/02/27(火) 23:11
>>90
Thank you!
うまくいきそうです。ありがとうございました。

92 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/27(火) 23:52
>>88
不気味ですね。
ソースもないね。


93 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/28(水) 00:42
「SSH」はオープンソースにあらず?
http://www.zdnet.co.jp/news/0102/27/e_ssh.html

見習うに値しないオープンソース事業モデル――SSHをめぐる論争
http://www.zdnet.co.jp/news/0102/27/e_leibovitch.html

OpenSSH開発プロジェクトから学ぶ教訓
http://www.zdnet.co.jp/news/0007/13/somogyi.html



94 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/02/28(水) 03:31
>>92
同じところにソースあるよ。ttssh154.zip


95 名前:94 メール:sage 投稿日:2001/02/28(水) 06:14
う、間違えた。ttssh154src.zip

96 名前:名無しさん@お腹いっぱい。 投稿日:2001/02/28(水) 23:57
何でリンク張らないんだろ > ttssh154src.zip

97 名前:名無しさん メール:sage 投稿日:2001/03/01(木) 00:34
単に忘れたんでしょ

98 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/02(金) 04:26
OpenSSH 1.5.1p2 age

99 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/03/02(金) 04:26
2.5.1p2 だ。鬱。

100 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/16(金) 21:38
ssh2とopen sshのコンパチ問題はどうにかならんのかage


101 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/16(金) 22:17
コンパチ問題って?

102 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/17(土) 00:01
OpenSSHデーモンうごかしてるサーバーに
ssh2では入れないでしょ?

[nanasi@2ch]~% ssh host.somewhere.com
warning: Authentication failed.
Disconnected; MAC error (Message authentication check fails.).

[nanasi@2ch]~% ssh1 host.somewhere.com
Last login: Fri Mar 16 11:50:43 2001 from 2ch
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.


Welcome to 2ch...


う、こういうの書くの緊張するなあ。個人・ホストを特定できる情報は
変更してあります。

103 名前:101 投稿日:2001/03/17(土) 23:04
それはヘンだぞ >>102
Server: OpenSSH-2.5.1p2
Client: SSH-2.4.0
で、できたよ? openssh の ssh-keygen -X を使って SSH.COM の id_dsa.pub を変換したものを OpenSSH の authorized_keys2 に追加した。

104 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/17(土) 23:59
む? んじゃもう解決してるのか?

ホストのOpensshは2.1だった。(FreeBSD 4.1)
クライアントはSSH 2.3.1

管理者と相談してみます。


105 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/18(日) 22:00
>>104 このFAQかな?
http://www.openssh.com/faq.html#2.3

106 名前:102 メール:sage 投稿日:2001/03/18(日) 22:51
>>105
さんくす。もっと早く見ておくべきだった。



107 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/21(水) 17:41
OpenSSH 2.5.2p1 あげ
http://www.openssh.com/portable.html

108 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/23(金) 20:02
OpenSSH 2.5.2p2 でてます。

以下、ChangeLog より引用

20010322
- (djm) Better AIX no tty fix, spotted by Gert Doering <gert@greenie.muc.de>
- (djm) Released 2.5.2p2

20010321
- (djm) Fix ttyname breakage for AIX and Tru64. Patch from Steve
VanDevender <stevev@darkwing.uoregon.edu>
- (djm) Make sure pam_retval is initialised on call to pam_end. Patch
from Solar Designer <solar@openwall.com>
- (djm) Don't loop forever when changing password via PAM. Patch
from Solar Designer <solar@openwall.com>
- (djm) Generate config files before build
- (djm) Correctly handle SIA and AIX when no tty present. Spotted and
suggested fix from Mike Battersby <mib@unimelb.edu.au>




109 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/26(月) 13:42
OpenSSH 2.5.2p2 を tcpserver で動かすようにするためのパッチです。
http://storm.sst.com.br/openssh-2.5.2p2-daemontools.diff

110 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/28(水) 17:32
ttssh なんですが Windows 版で聞いても駄目そうなので質問させてください。

ウェブサーバは global IP を持っているが dbserver は private IP しか持っていない
という状況で

ssh webserver -L 15432:dbserver:5432

のようなことをしたいんですが、ttssh の forwarding 機能では設定可能な
項目が少なすぎて

ssh mailserver -L 10025:localhost:25

程度しかできないような気がするのですが ttssh でも可能でしょうか?



111 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/29(木) 17:59
>110
ポート番号選択するところに数字入力するのはダメ?

112 名前:うりゃ 投稿日:2001/03/29(木) 18:59
Teraterm.ini をいじるべし。
Autoexec.bat で、SET TERATERM_EXTENSIONS=1
と設定しているなら、[TTSSH]と言う項目が、あるはずだ。

113 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/29(木) 19:11
>>111
それはもちろん試してますが、ようは localhost のポート番号と
接続先のポート番号しか指定できないわけで

local:xx foo:yy baz:zz
|---------| |----------|

のような指定が出来ないということなんですが...



114 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/29(木) 21:20
>>113
cygwin 使った方が早いような気がするのはオレだけでしょうか?
PortForwarder とか言うツールもあるみたいよ。
http://portforwarder.nttsoft.net/JP/

もしttsshで出来るなら、オレにも教えてくれ。

# オレも試したが、挫折したクチです。まあ、ほんの数分間ちょっと
# 弄っただけだけど。

115 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/29(木) 23:30
>>110
Local 10025 to remort "foo.bar" port 25
とかいう設定は TTSSH で出来ますけど。
Foward Local port 10025
to remort machine port 25
って感じで。


116 名前:???????????????B 投稿日:2001/03/30(金) 10:46
>>115
それはもちろんおーけーでしょう. 馬鹿でもできる.

>>114
もちろん cygwin の方が楽だし, 俺も cygwin で普段はやってる.
が, 客のマシンだから必要最低限で済ませたいんですよ.

PortForwarder も見つけたがダメっぽかった.


117 名前:名無しさん@XEmacs メール:sage 投稿日:2001/03/30(金) 11:05
確か、非cygwin環境でも動く、sshあったような気がするなあ。
コマンドラインで動かす奴。

うーん、検索したが、どこにあるのかわからないな。スマソ。

118 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/03/30(金) 11:34
ttp://bmrc.berkeley.edu/people/chaffee/winntutil.html
ここは?

119 名前:名無しさん@お腹いっぱい。 投稿日:2001/03/30(金) 13:35
>>116
DefaultForwarding=L15432:dbserver:5432
ttssh.exe /ssh webserver:22
でいいんじゃないの?

120 名前:なまえをいれてください 投稿日:2001/04/10(火) 23:39
age

121 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/16(月) 22:22
openssh-2.5.2 → ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-2.5.2.tgz

122 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/17(火) 19:05
訳せる人いる、、、、、
ssh-keygen(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1
sshd(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8&apropos=0&manpath=OpenBSD+Current
ssh(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh&sektion=1&apropos=0&manpath=OpenBSD+Current
ssh-agent(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent&sektion=1&apropos=0&manpath=OpenBSD+Current
ssh-add(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add&sektion=1&apropos=0&manpath=OpenBSD+Current
sftp(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sftp&sektion=1
sftp-server(英文) → http://www.openbsd.org/cgi-bin/man.cgi?query=sftp-server&sektion=8

各マニュアルの一番下の欄を見たら、「OpenBSD 2.9」って書いてあるけど、もうすぐOpenBSD 2.9が公開されるのかな。
つい最近、2.8をインストールしたばかりなのに。

123 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/17(火) 19:37
SSH Secure Shell 3.0は、今年の6月頃にフィンランドSSH社から発売予定(Windows, UNIX, Linux, and Sun Solaris platforms)。

多分OpenSSH 3.*.*のリリースはそれ以降だな。

124 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/18(水) 01:12
>>123
major version が違うってことは、protocol 自体も
version が上がるってことでしょうか? SSH-2.0 ですら
それほどは普及していないというのに…。

125 名前:日出ずる国の使者 投稿日:2001/04/18(水) 04:57
>>123
SSH2なんて結構、普及し照てるじゃん。確かSSH2は、SSH1のプロトコルをサポートしてたよね。

126 名前:日出ずる国の使者=>>125 投稿日:2001/04/18(水) 04:58
ゴメン。>>124の間違え。

127 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/18(水) 05:26
>>122
次期 2.9 になる snapshot が公開されたよ。
5月1日頃になるみたいだね。
www.deadly.org


128 名前:122 投稿日:2001/04/18(水) 06:08
XFree86-4.0.3が、OpenBSD 2.9の中に組み込まれそうだね。
SSH3(openssh3.*.*)は、恐らくというより間違いなく2.9以降になりそうだけど。

129 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/21(土) 23:15
いま、Linuxにssh2を入れてます。でもこれだとssh1からは入れず。
そこで、ssh1をインストールしてssh1/ssh2共用にした方がいいのか、Opensshを入れて、ssh1,ssh2のどちらからでも入れるようにしたほうが良いのか、どっちがよいのでしょうか?

MacOS X10.0.1はOpenSSHが標準なんですよね〜
でもMacOS9ではNiftyTelnet+SSHでssh1しか使えないから
ssh2のLinuxに入れないので困ってるところです。
常用MacOS9から、わざわざOSX10.0.1に切り替えるのも面倒で。

#自宅のCATV常時接続から会社にsshでつなげるのが目的
なんですが、peerかなんかに1時間もしないうちに接続
切られてしまいます。どうしてだろう?

130 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/22(日) 02:13
>>129
どっちでもいいんじゃないかな。いまssh2をなにかで使ってるなら、それを敢えて
つぶすこともないので、ssh1だけ入れればいいだろうし、ssh2もあまり使いでが
なければ、まあどちらでもって感じ。

131 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/22(日) 02:32
sshといえば、学校の計算機センターのsshがいつのまにかに
ssh-2.4.0にバージョンアップしていた。止めてくれ。Open
SSHとなぜかお話出来ない…。


132 名前:名無しさん@お腹いっぱい。 投稿日:2001/04/22(日) 08:06
新年、明けましておめでとうございます。

133 名前:129 投稿日:2001/04/22(日) 09:55
130サン、コメントどうも。
そうか、ただ気になる記事があるのです。
BSD magazine 2000.Number06のp.78に、SSH1,SSH2,OPENSSH,LSHへと
変遷させた著者の経験談が載っていて、その時の問題点が
いろいろとでています。たとえば、相手ホストはSSH2を解釈
するはずなのに設定でSSH1しか見ないというトラブル、逆に
クライアントがSSH1を優先してしまっている状況で、
相手ホストがSSH2以外は受け付けない、SSH2とOPENSSHの
間で認証はできるが、サーバ/クライアントのデータ浩瀚で
整合性がとれない、など、「なかなか思った通りには
動いてくれない」と書いてありました。
SSH初心者の私には、ちょっと怖じ気付いてしまう記事です。

それならいっそ、SSH2関連ファイルを全部消して、改めて
OPENSSHを入れた方が問題が起きなくていいかなと思うんです。

134 名前:129 投稿日:2001/04/22(日) 10:01
>>131
私の場合、会社はLINUXでssh2.4.0を使っています。
自宅ではMacOS X10.0.1でOPEN SSH-2.3.0p1ですが、
双方で、sshで入れますよ。

135 名前:ロッソ 投稿日:2001/04/22(日) 11:45
 〃    >>134
(中」中)ノ それ、ssh1 も入っているからじゃないですか?

136 名前:129 投稿日:2001/04/22(日) 11:59
>>135
LINUXにssh1は入ってないです。数日前にssh2.4.0をインストール
しました。ssh1のクライアントからは、そのLINUXには入れなかったです

137 名前:CCルリたん。 投稿日:2001/05/01(火) 16:46
Solaris2.6で、ssh-2.4.0のサーバをVer.1互換モードにして inetd から立ち
上げる設定にしたら、ssh-1.2.27/OpenSSH-1.2.3のクライアントとお話できな
くなりました。daemonで立ち上げた場合は問題ありません。inetdから立ち上
げる場合のみの不具合です。

原因は、sshd2は起動時にversionの出力をするのですが、daemonモードだと
stderrに出るので問題ないのですが、inetdだと、クライアントにversionの出
力を渡してしまうようです。それが不具合を起こすようです。

サーバとクライアントどちらで対応すべきか知らないのですが、サーバに次の
パッチをあてたら治るようです。私は英語書けないからだれか連絡してくれ(^^;;

*** ssh-2.4.0/apps/ssh/sshd2.c.ORG Mon Apr 30 03:24:50 2001
--- ssh-2.4.0/apps/ssh/sshd2.c Mon Apr 30 03:26:54 2001
***************
*** 1092,1098 ****
else
av0 = argv[0];

! ssh2_version(av0);

/* Initializations */
restart = FALSE;
--- 1092,1098 ----
else
av0 = argv[0];

! /*ssh2_version(av0);*/

/* Initializations */
restart = FALSE;
***************
*** 1299,1304 ****
--- 1299,1307 ----
}
}

+ if(!(data->config->inetd_mode))
+ ssh2_version(av0);
+
data->debug = data->config->verbose_mode;

/* load the host key */


138 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/02(水) 13:03
openssh-2.9.0

139 名前:CHANGES 投稿日:2001/05/02(水) 13:34
・ SSH2 における Hostbased 認証をサポート。
・ Rekeying (両方の鍵を再生成) をサポート。

140 名前:???????????????B 投稿日:2001/05/03(木) 20:50
sshを用いてNISを安全に行いたいのですが参考になるようなサイト等はありますか?

http://www.vacia.is.tohoku.ac.jp/~s-yamane/FAQ/ssh/ssh-faq-4.html#ss4.6

141 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/04(金) 01:42
>>140
どうしても SSH 使わないとダメ? secrpc 使うんじゃダメ?

142 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/06(日) 04:13
secrpcとは何でしょうか?
googleで検索してみたのですが日本語ページはひとつも引っかかりませんでした。
英語のページは今から読んでみます。

143 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/05/06(日) 09:05
securePC?ネタか…

144 名前:141 投稿日:2001/05/06(日) 09:42
>>143
Solaris8 な machie で man secure_rpc してみましょう。
Linux でも
http://www.cs.vu.nl/~gerco/SecureRPC/
とかある模様。

145 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/06(日) 10:28
ふと考えてみると、secure RPC って基本的には Solaris only
だよな…。

あと、NIS を捨て捨てして NIS+ にいっちゃうとかいうのも
思ったけど、これなんかさらに Solaris only だし。

最近、どうも頭の中が Solaris になってしまっているなぁ…。

146 名前:dsniff 投稿日:2001/05/08(火) 00:21
>>1-145
安心するな。

64.4.43.7 ******.passport.com
64.4.43.7 ******.hotmail.com

147 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/08(火) 20:57
% ssh machine
でmachineに入って、
% exec &
バックグラウンドでジョブを動かし、exitしようとしても、
execが終了するまでプロンプトが出てきません。
こういう場合はどう対処すれば良いのでしょうか?

148 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/08(火) 22:02
ssh -f machine cmd (& はつけない)

149 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/08(火) 23:35
-f ではちょっと駄目なわけがありまして。
あるディレクトリ上でそのコマンドを実行しないといけないのです…

150 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/05/09(水) 01:13
ssh 自体をバックグラウンドジョブにすれば良いんだよね。exit を
実行後 ~^Z で ssh をサスペンドして bg でどう?


151 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/09(水) 01:42
>>149
ssh -f machine 'cd /dir; cmd' とか。
cd して cmd を実行する wrapper を作って、それを
ssh から実行するとか。


152 名前:147 投稿日:2001/05/09(水) 10:29
>>150
マニュアルを見たのですが良くわからなかったので・・・
~ っていうのは普通にチルダを入力しては駄目なんでしょうか?
^Z はCtrl + z ですよね?

>>151
なるほど、一度試してみます。

153 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/09(水) 10:45
「~& (チルダのあとにアンパサンド)」で直接バックグラウンドになるよ。
ただし ~ は改行を入力した直後に押さないとだめ。

154 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/09(水) 16:21
OpenSSH 2.5.1 から 2.9に変えたらログイン出来なくなった。。。
何故に?

155 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/09(水) 16:59
2.9 からは、デフォルトのプロトコルが SSH2 だよ。
ssh -1 ではどう?

156 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/09(水) 17:49
んにゃ、鯖がOpenSSH2.9 でWinからログインできひん事なった。
2.5.2に戻したけどログインできん。
2.5.1に戻したらログインできるようになった・・・・。

157 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/11(金) 13:48
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=973004747&st=115&to=117

158 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/11(金) 21:25
板違いなんですが向こうにはsshのスレが無く、こちらの方が適当かなと思ったので。

openssh-2.9p1-1.src.rpm をインストールして
sshdを立ち上げようとしたのですが、

Starting sshd: /usr/etc/sshd_config: そのようなファイルやディレクトリはありません
[FAILED]

というエラーが出てしまいます。
/etc/rc.d/init.d/sshd を見ると、はじめの方に
# config: /etc/ssh/sshd_config
というコメント行があるようなので、このファイルを読むような設定になっているはず
なのですが・・・実際インストール時に/etc/ssh/sshd_config は
作成されているようです。

どうすればsshdを立ち上げることができるでしょうか?

159 名前:名無しさん 投稿日:2001/05/11(金) 21:52
素直に
  cp /etc/ssh/sshd_config /usr/etc/sshd_config
すれば?


160 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/11(金) 22:04
やってみました。
sshd_configだけを移動させてもまだ他にも足りない、と言われるので
/etc/ssh/* 全部を /usr/etc/ に入れると動きました。

なんか納得いきませんが..

161 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/12(土) 10:18
# config: /etc/ssh/sshd_config
の# 外してないというオチですか?

162 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/12(土) 16:39
え?ここコメントイン(?)してもいいんですか?
単にインストール時の設定がコメントとして書かれているだけかと思ってました。
ちょっと試してみます・・・

# /etc/rc.d/init.d/sshd restart
してみると
config:: command not found
というメッセージが出てきました。
うちのシステムにconfigというコマンドが入って無い、ということなんでしょうか??

163 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/05/12(土) 16:45
それ、コメントアウトしとかなあかんで

>>161
Linuxユーザを混乱さすなや


164 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/12(土) 22:03
おいらも>>147と同様抜けるときに固まってしまう。
おそらく
http://www.openssh.org/ja/faq.html#3.10
で対処できると思うのだが(当方Linux)、
cshでの書式がわからんのだ・・・

165 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/13(日) 00:10


          || ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄||
          ||  BSD馬鹿は     Λ_Λ  いいですね。
          ||   放置!  \ (゜ー゜*)
          ||________⊂⊂ |
  ∧ ∧    ∧ ∧    ∧ ∧    | ̄ ̄ ̄ ̄|
  (  ∧ ∧ (   ∧ ∧ (  ∧ ∧ |      |
〜(_(  ∧ ∧ __(  ∧ ∧__(   ∧ ∧ ̄ ̄ ̄
  〜(_(  ∧ ∧_(  ∧ ∧_(   ∧ ∧  は〜い、先生。
    〜(_(   ,,)〜(_(   ,,)〜(_(   ,,)
      〜(___ノ  〜(___ノ   〜(___ノ




166 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/13(日) 00:35
*BSD を使いこなせない厨房発見!

167 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/13(日) 00:36
慶応とか上智はfinger外からでもかけられるみたいだけど。
こういうのってどうなんだろう。

168 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/13(日) 00:36
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし
朝鮮人に生存する権利なし


169 名前:167 メール:sage 投稿日:2001/05/13(日) 00:38
スレ間違えた。スマソ。

170 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/13(日) 00:49
> 147 名前:名無しさん@お腹いっぱい。投稿日:2001/05/08(火) 20:57
> % ssh machine
> でmachineに入って、
> % exec &
> バックグラウンドでジョブを動かし、exitしようとしても、
> execが終了するまでプロンプトが出てきません。

> 164 名前:名無しさん@お腹いっぱい。投稿日: 2001/05/12(土) 22:03
> おいらも>>147[205]と同様抜けるときに固まってしまう。
> おそらく
> http://www.openssh.org/ja/faq.html#3.10[206]
> で対処できると思うのだが(当方Linux)、

「exec </dev/null >/dev/null 2>&1 &」とかすればよろし。


171 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/13(日) 01:11
> 170 名前:名無しさん@お腹いっぱい。投稿日: 2001/05/13(日) 00:49
…中略…
> 「exec </dev/null >/dev/null 2>

# &だけ自前でquoteすんの?

「exec </dev/null >/dev/null 2>&1 &」とすればよろし。

…と書いてある。


172 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 11:21
OpenSSH 2.5.1 から 2.9に変えたらログイン出来なくなった。。。
何故に?
何故に?
何故に?

173 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 12:32
2.9からはデフォルトがSSH2だぞ。ssh -1では駄目か?

174 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 14:02
おお、できました。くだらないところではまってしまった。

175 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 16:47
>>173
ていうか、未だにSSH1使ってるのが分からん。

176 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 16:58
>>175

Tera Term + ttssh を使う場合、SSH1 を使わざるを得ない
と思うが。MS Windows 系 OS のことを考えなくていいなら
SSH1 不要論に同意。

177 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 17:40
>>175
OpenSSH-2.5 までは、SSH2 のサポートが完璧ではなかったから。
(いまも100%完璧ではないけどね)

178 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 21:27
なぜSSH1では駄目なのかがわからん。

179 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 23:49
OpenSSH の鯖にWinからログインは出来ないの?

180 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/16(水) 23:54
>>179
OpenSSH → OpenSSH2.9

181 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/17(木) 08:36
age

182 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/17(木) 08:54
>>178
そんなあなたにSOI。山口先生が解説してくれます。
http://www.soi.wide.ad.jp/class/20000009/slides/12/

183 名前:#!/bin/sage 投稿日:2001/05/17(木) 09:49
>>176
cygwin上でopensshを使えばssh1を使わなければならない問題は解決できるぞ。
とりあえず端末程度のことができるだけでよければこれで問題なし。

唯一残るのはTeraTermでないと使えない機能(X/Zmodem等でのファイル転送とか)
くらいだが。


184 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/17(木) 19:22
age

185 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/19(土) 15:05
age

186 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/05/19(土) 16:39
>>182
いや、全然わからなかったが。

187 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/20(日) 16:04
>>186
http://www.soi.wide.ad.jp/class/20000009/slides/12/7.html
に「SSH1 は弱い (MITM attack を許す」ってあるっしょ。

188 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:2001/05/21(月) 17:02
http://ton.2ch.net/test/read.cgi?bbs=sec&key=990177436

189 名前:asm 投稿日:2001/05/21(月) 23:14
>>187
いやいや、SSH2でもMITM攻撃を受ける可能性はあるよ。
というかPKIが整っていない状況では、どんな暗号でも
なりすまし等の攻撃を受ける危険性は常にある。
単にMITM攻撃を受けるってだけの理由じゃ「SSH2だって弱いじゃないか」と言われても仕方ない。

「SSH1が弱い」ってのは、何らかの原因で秘密鍵等が漏れた場合、
雪崩式に通信内容が破られる危険性があるからで、
それと比較した場合、二重三重に暗号化を行っているSSH2は安全だと言ってるに過ぎない。
あと、もう一つの理由はSSH1に、MITM攻撃を仕掛けるツールは存在するが(dsniff)、
SSH2を攻撃するツールは少なくとも公には知られていないってこと。

ここらへんはssh, dsniff, PKIとかのキーワードで検索すればもっと詳しいことが
わかると思うよ。

190 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/21(月) 23:40
>>176
TTSSHにSSH2をくっつけようよしてまーす。
ソース読むと、ほんの少々はSSH2の実装も考えてた形跡がある。


191 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/23(水) 10:46
>>189
SSH1が脆弱というのはこのへんの話だと思いますが。
PKIがなくてもSSH2なら運用ポリシーでMITM攻撃は回避できます。

http://sysadmin.oreilly.com/news/silverman_1200.html
the SSH-1 public-key user-authentication method is also vulnerable;
the attacker may use the signed authenticator from the client side to
access the client's account on the server. However, the SSH-2 public-key
and host-based client authentication methods are MITM-proof: the authenticators
involved are bound to session identifiers that are forced to
be different on either side of the attacker.


192 名前:名無しさん@お腹いっぱい。 投稿日:2001/05/27(日) 14:46
>>190
がんばってくれ。

193 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/05/28(月) 22:11
>>189の知ったか厨房ぶりが恥ずかしいな。

194 名前:asm 投稿日:2001/05/29(火) 21:51
おやおや、知ったか厨房なんて言われちゃったよ。

>>191
その点でSSH1が脆弱なのは知ってます。
でも、SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できませんし、
そのためにはサーバ側にユーザの公開鍵が登録されている必要があります。
(当然、ユーザの秘密鍵が洩れていたり、偽物のユーザ鍵をサーバに登録されて
しまった場合もアウト。パスワード認証なんて論外。)

結局、安全な接続を行うには、あらかじめ何らかの確実な方法でサーバの公開鍵を
クライアント側に、ユーザの公開鍵をサーバ側に登録しておき、
それら公開鍵・秘密鍵を厳重に管理しなければなりません。
でも、それができるのなら、SSH1だって十分安全だということができます。
SSH2なら上の前提が破られても通信を完全に乗っ取るのは困難(不可能ではない)だ
という意味で、「SSH2はSSH1より安全」と私は言ってるわけです。

195 名前:名無しさん@お腹いっぱい。 投稿日:2001/06/04(月) 12:12
>>194
ssh1ってDSA認証使えるの?
>>191の英文を読むと公開鍵を厳重に管理してもMITMを受けるのではないの?
俺の読解力不足だったらスマソ。

196 名前:名無しさん@お腹いっぱい。 投稿日:2001/06/04(月) 13:35
> SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できません
これってなんで?
認証の種類は関係ないように思うけど。

197 名前:名無しさん@お腹いっぱい。 投稿日:2001/06/04(月) 13:53
>>195
DSA鍵はSSH2からです。SSH1では使えません

198 名前:名無しさん@お腹いっぱい。 投稿日:2001/06/04(月) 16:33
                 / ̄ ̄ ̄ ̄ ̄
                 | はやくこの板が
                 |  あらし厨房だらけになって
     ,__     |    逝ってくれますように
    /  ./\    \_____
  /  ./( ・ ).\       o〇       ヾ!;;;::iii|//"
/_____/ .(´ー`) ,\   ∧∧         |;;;;::iii|/゛
 ̄|| || || ||. |っ¢..|| ̄   (,,  ) ナムナム   |;;;;::iii|
  || || || ||./,,, |ゝ iii~   ⊂  ヾwwwjjrjww!;;;;::iii|jwjjrjww〃
  | ̄ ̄ ̄|~~凸( ̄)凸 .(  ,,)〜 wjwjjrj从jwwjwjjrj从jr


199 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/06/04(月) 16:35
なんだ…レスが増えてたと思ったらこれか。

200 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/06/04(月) 18:46
プロトコルの設計上の強度として
SSH2>SSH1
ということでいいんじゃない。
>>194のように運用の話を混ぜるのが間違い。

201 名前:名無しさん@お腹いっぱい。 投稿日:2001/06/04(月) 21:03
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆                                     ☆
★         本当の優しみがあります!            ★
☆        楽しいイベントもいっぱい!            ☆
★      全ての引き篭りはここから始まった!        ★
☆                                     ☆
★      http://teri.2ch.net/tubo/index2.html           ★
☆                                     ☆
★            だって大好きっ!               ★
☆             ヽ(´ー`)ノ                   ☆
★           厨房板リターンズ               ★
☆                                     ☆
★      時にはケンカ、だけどすぐに仲直り!!       ★
☆         ここは仮想世界の楽園!!           ☆
★                                     ★
☆★☆★☆★ねぇひろゆき・・・ギュッってして・・・★☆★☆★☆★


202 名前:asm 投稿日:2001/06/07(木) 21:24
>>195-196
>>191で引用されている部分は、MITM攻撃が成功してしまった後の話をしています。
# 例えば、1回目の接続時などに攻撃者から送られたfakeの公開鍵をクライアントが
# 信用してしまった場合や、攻撃者が何らかの方法でサーバの秘密鍵を入手していた
# 場合などです。
# 当然、このような状況ではssh1/ssh2どちらの場合でもMITM攻撃が
# 成功してしまいます。

通常、sshではクライアント-サーバ間の暗号化通信路が確立した後に
ユーザの認証を行いますが、ssh2の認証方式のいくつかは、MITM攻撃を受けた場合に
認証が成功しないようなアルゴリズムを採用しています。
そのような意味でssh2はより安全だと、>>191が引用している記事は述べているのです。
# とは言っても、攻撃する側からすれば、多少面倒な障害が増えただけ
# といった程度ですが。

203 名前:asm 投稿日:2001/06/07(木) 21:26
>>200
いや、誤解を与えてしまったかもしれませんが、いま私が問題にしてるのは
ssh1とssh2のプロトコル設計上の強度差ではありません。

>>187のリンク先にある記事の
「・ただし SSH1は弱い (MITM攻撃を許す)
    運用面での注意を施せば実用可能」
http://www.soi.wide.ad.jp/class/20000009/slides/12/7.html
という記述と、
「・実際に交換されていないときには、“Man In The Middle” attack を実施される可能性がある (ssh1)」
http://www.soi.wide.ad.jp/class/20000009/slides/12/13.html
という記述が、「ssh2を使っていればMITM攻撃は受けない」というような誤解を
招く恐れがあるので不適切だと言いたいのです。

実際は、今まで散々挙げてきたように、ssh2でも鍵管理がしっかりしていなければ
簡単にMITM攻撃を受けてしまいます。

もし上記の記事を訂正するなら、7ページの該当部分は
「プロトコル設計上の強度はSSH2のほうが強いので、SSH2を使用することを推奨」
と述べるだけにとどめ、13ページのほうは
「・実際に交換されていないときには、“Man In The Middle” attack を
実施される可能性がある (SSH1, SSH2共通)」
としておくのが適切だと思います。
さらに、「ネットワークを通じて公開鍵を交換した場合は、
必ず鍵の正当性をfingerprintで確認しておくべきである」
と書いておくのもよいと思います。

204 名前:教えて勲 投稿日:2001/06/09(土) 17:04
みなさま、教えてください。
ssh-2.4.0とOpenSSH-2.9で、鍵認証が出来ません。
そこで秀和システムの『OpenSSHセキュリティ管理ガイド』(2001.6.10初版、
著者は2ちゃんねらーでLinux厨房だと(笑))のp.172を見ると、
OpenSSHの鍵ファイルと商用SSH2の鍵ファイル形式に互換性が無いから
変換してやる必要がある、と書いてあります。
 そのやり方を読んでみると、
ssh-keygen -i -f (暗号化されていない商用ssh2鍵ファイル名)
で変換するということですが、(暗号化されていない・・・)を
作るために、ssh2のssh-keygen(ssh-keygen2のことか)コマンドを
使って、秘密鍵のパスフレーズをからに設定してください、これに
よって秘密鍵の暗号化がおこなわれなくなり、OpenSSHのssh-keygen
コマンドで鍵の変換ができるようになります、と書いてあります。

ところが、上の具体的なやり方がわからないのです。
とりあえず、自分なりにやったのは、ssh2クライアント側で
ssh-keygen2 -P id_dsa_1024_a.pub
とやって、出来たid_dsa_1024_a.pub.pubを、サーバOpenSSHの~/.sshに
コピーし、それを
ssh-keygen -i -f id_dsa_1024_a.pub.pub
とやって、ssh2→ssh1鍵ファイル形式に変換したつもりになって、
それをautherized_keys2にcatしたのですが、だめ(パスワード認証に
なってしまう)。

ssh-keygenによるファイル変換の方法がそもそもよく解って無いのは
自分でも承知してるんですが、正しい具体的方法を知りたいのです。

それからこの問題は>>103と関係あるのかな?103に書いてある方法、
>openssh の ssh-keygen -X を使って SSH.COM の id_dsa.pub を
>変換したものを OpenSSH の authorized_keys2 に追加した。
の意味もわからないんです。ssh-keygenに-Xというオプションは
manには説明が無いし、SSH.COMが何のことかわからないし、
ssh2のユーザ公開鍵はid_dsa_1024_a.pubだと思うし・・・。

無知な私にどうか教えてくださいませ。

205 名前:新山祐介 投稿日:2001/06/09(土) 18:14
>>204 それは商用SSH2クライアントを使って OpenSSHサーバに
ログインしたいということでしょうか? その場合、
サーバ側に置く必要があるのは OpenSSH の公開鍵だけですから、
SSH2側のパスフレーズを空にする必要はありません。あそこに
書いてある注意は「SSH2 の秘密鍵を OpenSSH 用に変換する」
ときだけにあてはまります。SSH2 といえども公開鍵のほうは暗号化されていないので、普通に
% (OpenSSHの)ssh-keygen -i -f id_dsa_1024_a.pub >> ~/.ssh/authorized_keys2
とやればログインできるはずです。
ここの部分ちょっと説明がわかりにくかったですね、すみません。
あとでサポートページに書いておきます。

206 名前:教えて勲 投稿日:2001/06/09(土) 18:27
>>205
著者の方から直接のコメント、ありがとうございます!
2ちゃんねらーってことで、期待はしてました(^_^)

目的はおっしゃるとおりでございます。お教えいただいたように
試してみます。

#サポートページって「はじめに」に書いてあったURLですね。

207 名前:教えて勲 投稿日:2001/06/09(土) 19:17
試したら出来ました!つまり、商用SSH2クライアントを使って
OpenSSHサーバに、鍵認証でログイン出来ました。

ついでに、OpenSSHクライアントからssh -2を使って、商用SSH2サーバに
鍵認証でログイン出来ました。
%(OpenSSHの)ssh-keygen -e -f id_dsa_a.pub >> ssh2ed_id_dsa_a.pub
として、このファイルをssh2サーバの~/.ssh2/にコピーして、
それをauthorizationファイルのKeyで指定してやれば、
見事!に、パスフレーズ入力場面がでてきてくれました。

新山さん、ありがとうございました。この本、良いね!
「SSHセキュアシェルリファレンス」(翔泳社)の本には
OpenSSHとの相互運用なんて一言も書いてない。雑誌にも
個別の解説はあっても相互運用のことまではかかれてないから。。。


208 名前:名無しさん@お腹いっぱい。 投稿日:2001/06/14(木) 00:22
ssh

209 名前:名無しさん@お腹いっぱい。 投稿日:2001/06/19(火) 21:13
OpenSSH-2.9p2

バグフィックスのみ。新機能の追加はなし。

210 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/20(金) 17:45
本家の3.0が出た

211 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/22(日) 11:27
>>210
早速 security hole がハケーンされて
3.0.1 になってるな。

212 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/25(水) 12:25
sftpのGUIクライアントってあるんでしょうか?

213 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/25(水) 13:23
>>212
scp なら、Windows 用は WinSCP がある。
Mac 用は NiftyTelnet SSH でできるらしい。

214 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/25(水) 13:23
ssh.com って f-secure.com とは違うのか?

215 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/25(水) 13:26
gftp
http://gftp.seul.org/
ただし、sftpserv をインストールする必要あり。
http://www.xbill.org/sftp/

216 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/25(水) 13:30
>>214 f-secureはまえにssh.comの販売代理店みたいなことを
してたらしいが、最近はどっちも売ってるね。

217 名前:212 投稿日:2001/07/26(木) 14:23
>>213
はい、WINではWinSCPを使わせてもらってます。
それで、BSDやLinuxにもこういうのはないかな?と思いまして。

>>215
OpenSSH2.9(sftp-server)とsftpservって共存できるんでしょうか・・・?
同じような質問を見つけたんですが、古すぎて回答が見つかりませんでした
http://www.google.com/search?q=cache:7oOD2mrf-u0:nooz.org/comp.os.linux.misc/msg50773.html+sftp+gftp+openssh&hl=ja

218 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/26(木) 20:26
>>217
215じゃないけど、共存できるよ。

219 名前:名無しさん@お腹いっぱい。 投稿日:2001/07/29(日) 23:52
>>218
有り難うございます。おっしゃるとおり共存可能でした。
gftpでの動作も確認できました。

220 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/13(月) 17:00

ファイアウォールごしにsshでつないでいて、ターミナルをほうっておくと
止ってしまうんですが、原因にはどんなものが
考えられるでしょう?

特に
tail -f /var/log/messages
とか
emacs -nw
とかしている場合、1分ぐらい放っておいただけで
とまります。キー操作をうけつけなくなったように見えて、
しばらくしてから反応したりします。

んー、これだけの情報じゃダメですね。

221 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/13(月) 22:45
>>220
そーゆーファイアウォールだからです

222 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/14(火) 00:20
>>220

そういうファイアウォールなんですか? っていうか、
どういう設定をするとそうなるんでしょう?

管理者にねじこむので教えてください。

223 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/08/14(火) 00:33
>>222
管理者に聞いてみ。

224 名前:221 メール:sage 投稿日:2001/08/14(火) 00:46
>>223
つーか、どんなファイアウォールかによるので
管理者じゃないとわからんと思はれ

225 名前:222 メール:sage 投稿日:2001/08/14(火) 10:15
>>223 224

了解。お盆あけたら行ってきます。

今のうちの管理者あんまり好きじゃないんだよね。余計なこと
ばっかりしてる感じで。sshコネクション切られるように
なったもの今の人々に変わってからで。

226 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:2001/08/23(木) 00:47
SSH経由で客にFTPさせたいんですけど、TTSSHのPortForwardingを使ってもらうとして、
ログインはできるけどlsやdirができないんです。ン万番台のポートにつなぎにいこうとしてる。
ファイアウォールは22番開けただけではだめなんですかね?

227 名前:ななしさん@おなかいっぱい 投稿日:2001/08/23(木) 00:50
>>226
駄目です。FTPプロトコルについてちょっと調べてみ。

228 名前:名無しさん@XEmacs 投稿日:2001/08/23(木) 00:56
>>226
キーワードはパッシブモードですね。

229 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/08/23(木) 01:46
>>226
Cygwin+OpenSSHでscp使ってもらうってのじゃダメかにゅ?

230 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/08/23(木) 12:42
うちは TTSSH + ZMODEM だよ(藁
WinSCP っていう GUI なツールもあるんで探してみてくれ。

231 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:2001/08/23(木) 13:03
鍵のつかえる WinSCP ってないかなあ。
自分のしってる WinSCP は UNIX accnount の password による
認証しかできない。

232 名前:226 投稿日:01/08/26 21:51 ID:WvysIa6M
とりあえずWinSCPで行きます。
みなさん情報ありがとうございました。

233 名前:名無しさん@お腹いっぱい。 投稿日:01/08/26 22:11 ID:iy09H5/E
UNIX 板本来の話題なので age

>>230
ヲレもその構成好きなんだけど、TTSSH の zmodem って
大きい file を transfer すると凍るっていう bug があるので…。

ためしに 100MB 転送してみませう。

234 名前:名無しさん@お腹いっぱい。 投稿日:01/08/27 00:12 ID:IEEn6nBM
今月号の SD の P.212 からの記事に出てる ssh.com の出してる Windows 版
クライアントの日本語版はいつごろ公開されるんだろう

235 名前:名無しさん@お腹いっぱい。 投稿日:01/09/04 01:24 ID:54wipsLs
https://www.netsecurity.ne.jp/article/2/2736.html
これはどうよ?

236 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/09/04 01:30 ID:JslBq3jc
>>235 ふむ......パスワード打ち込む時とかは 意図的に「一本指打法」とか
した方がいいのかな(w

237 名前:名無しさん@お腹いっぱい。 投稿日:01/09/04 01:57 ID:54wipsLs
>>236
パスワード打ち込む時に、所々わざと間違ってバックスペース打つとか言う手は、どうですか?

238 名前:名無し 投稿日:01/09/04 02:05 ID:hjMMGWB.
どのパスワードが漏れるの?

239 名前:名無しさん@お腹いっぱい。 投稿日:01/09/04 03:30 ID:H/n4pYvE
つーかキー押す度にパケット送信してたんだ?
ENTER押したら一気に送るんじゃ駄目なんかいのう。

240 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/09/04 03:40 ID:JslBq3jc
>>239 ローカル側でキー入力がエコーバックされるようになってないとかなりつらい
特にEmacsなんか使う時のこと考えると......そもそもEmacsなんかだと単純に
ローカル側でエコーバックさせるなんていうのじゃ まともに使えるか......

241 名前:239 メール:sage 投稿日:01/09/04 04:34 ID:H/n4pYvE
あ、暗号化セッション上での話か。逝ってきます...

242 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/09/04 05:36 ID:JslBq3jc
>>241 sshのログインセッションについては オリジナル版のSSHは知らないけど
OpenSSHのソースを見てみると SSH1/SSH2いずれの場合もread_passphrase()と
いう関数でパスワード文字列を全部読み込んだ上でパケット送信してるみたい

243 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/09/04 23:03 ID:levxIDCI
>>235
なんだかなあ…
テンペスト仕掛けた方がまだましなんじゃないか?(笑

244 名前:名無しさん@お腹いっぱい。 投稿日:01/09/27 00:47
OpenSSH-2.9.9p2 あげ
http://www.openssh.org/
日本語版は明日中には更新されます。

CHANGES:
ssh-copy-id というコマンドが追加された。
password認証をつかってリモートホスト上のホームに
authorized_keysを自動的にコピーするらしい。

245 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/09/27 00:49
すみません。ssh-copy-idはSlackwareに元々含まれていたもので、
OpenSSHじゃなかったらしい。逝ってくる。

246 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/09/28 01:41
あれ Debian の OpenSSH にも ssh-copy-id がある...
Slack からパクって Debian patch に入れたのかな。

247 名前:名無しさん@お腹いっぱい。 投稿日:01/10/11 00:42
WinSCP 2.0beta age

SSH2
RSA auth.(SSH1 only)
Stored session list
etc...

248 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:01/10/19 18:02
WindowsでGUIで
sftpが使えるftpクライアントって何があります?
できればSSH2で

249 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/19 18:35
>>248
WinSCP でやるしかないんじゃネーノ?
sftp じゃないけど。

つーか、板違い。

250 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:01/10/20 00:48
>>249
板違いですいませんが
サーバはsolarisなんでカンベン

sftpってやっぱないんですかね

251 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/20 01:47
>>250
まぁぎりぎり OK な範囲じゃねぇの?

http://www.ipsec.co.jp/products/ssh/

にあるのが PDF のパンフレットを見る限り SFTP 出来るみたい
が, どうも日本語版の評価版なり非商用版は download 出来ないのか?

252 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/20 03:30
OpenSSHメーリングリストで、たしかCuteFTPが "sorta" support と
されていたような気がする。

253 名前:名無しさん@お腹いっぱい。 投稿日:01/10/22 13:16
>>251-252
とりあえずは英語版をDLしてみます

teraterm+ttsshはうまくいったので
sftpを試したいのです

254 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/22 16:48
ギリギリ OK っつーか win 板でやっても多分・・・

255 名前:sftp メール:sage 投稿日:01/10/22 17:52
だめだ・・
うまくいかない

server:
OpenSSH2.9.9p2のsftpdで

client:
Cuteftp
SSHのsftp2
どっちもだめだった
設定が悪いのか?
誰かこの組み合わせで成功した人いませんか?

256 名前:名無しさん@お腹いっぱい。 投稿日:01/10/23 20:33
Linuxでの話なのですが向こうにsshのスレが無かったので…

sshでリモートホストに接続してそちらでプログラムを走らせ、
そのままログアウトしようとするとそこで固まってしまうのですが
解決法をご存じの方はいらっしゃいませんか?
おそらく
http://www.openssh.com/ja/faq.html#3.10
で書いてあることだと思うのですが、bashでの設定法しか書いてないので(当方tcsh)。
あと、shellをbashに変えてこの方法を試してみたのですが、うまくいかないような…?

-fオプションを使ってバックグラウンドで走らせるようにすればうまくいくのですが、これを使えない状況があるもので、別の方法を探しています。

>>147-153 で書かれているのと同じ状況でしょうか?ただ、
うちの環境ではなぜか ~& が使えないようなんです。

257 名前:256 メール:sage 投稿日:01/10/23 20:43
あ、原因がわかりました。
http://www.openbsd.org/cgi-bin/man.cgi?query=ssh
によると、 ~& はプロトコル1でしか使えないようですが
うちは2を使ってるからですね。
1に戻すのが手っ取り早いですね、これは。

258 名前:ななしさん メール:afoafo 投稿日:01/10/23 21:15
>>248
iXplorer が使えると思う。sftp じゃないかもしれんけど、
GUI で ftp ライクに使える。便利。
動作は今ひとつ不安定な部分あり。
ttp://www.i-tree.org/ixplorer.htm

259 名前:名無しさん@お腹いっぱい。 投稿日:01/10/24 01:38
>>256
tcshでも
 % sleep 20 </dev/null >&/dev/null & exit
などとやればすぐログアウトするよ。
でもリモートでプログラム走らせるんならちゃんとデーモン化させとくか、
screen使ってdetachするほうがよいと思うよ。
ここにちゃんとスレもあるし: http://cocoa.2ch.net/test/read.cgi/unix/1001966406/

260 名前:名無しさん@お腹いっぱい。 投稿日:01/10/24 02:19
>>259
うみゅ。ふつ〜 screen。tty から入力する必要がある process でも
なんの問題もないし。

261 名前:256 投稿日:01/10/24 03:07
>>259
> tcshでも
>  % sleep 20 </dev/null >&/dev/null & exit
> などとやればすぐログアウトするよ。
うちではやはりこのコマンドでもプログラムが動いている間はログアウト出来ませんでした…

デーモン化、というのがよく分かっていないのですが、
http://www.linux.or.jp/JM/html/netkit/man3/daemon.3.html
この関数を使うっていうことでしょうか?
こちらも今試してみたのですが、やはり実行中ですとログアウトできませんでした(使い方間違ってる可能性も大いにありますが…)。

screenの方は、ちょっと今からマニュアルを読んでみます。
X上で作業する場合でも有用なんでしょうか?

262 名前:名無しさん@お腹いっぱい。 投稿日:01/10/24 04:15
むぅ。Debian unstable に emacs21 がのっかったか。Solaris じゃなぜか
compile に失敗だ…。

>>261
screen は session の再開っていう鬼のように強い機能があるので、X 環境だろ
うだなんだろうが、非常に便利。

263 名前:あまね ◆ANPANsaE 投稿日:01/10/25 01:14
何でも質問板にも書いたのですが、
sshのForwarding機能を使って
FTPを行いたいのですが、
FTPのデータ部分も暗号化したいのです。

現在、FTPクライアントで
データ用ポートにpasvでアクセスし、
LISTしようとしたところでエラーになってしまいます。

使用しているOSはTurboLinux
使用しているFTPはWu-FTP
クライアントOSはWindows98
クライアントFTPソフトはFFftpです。

264 名前:あまね ◆ANPANsaE 投稿日:01/10/25 01:22
>>226-228でも書いてあるとおり、
pasvにしつつ、
/etc/ftpaccessに
port-allowとpasv-allowを
all 0.0.0.0で書き加えたんですけど…
(検証環境なので、セキュリティは無視しています)
あと、pasvで使えるポートの幅も指定しました
(もちろん1024以上で指定しました^^;)

いろんなサイトを見ましたが、どうしても解決しません。
うぐぅ、困り果てています。

265 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/25 01:27
>>264
漏れは問題ないぞ。FreeBSD だけどな(w

266 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/25 01:28
>>264 ssh自体がftp proxyに相当する機能を内蔵しないかぎり、
port forwardingでftpは無理。

267 名前:265 メール:sage 投稿日:01/10/25 01:30
>>266
漏れはやってるってYO!

268 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/25 01:38
>>267
dataは暗号化されてないYO!

269 名前:名無しさん@Emacs メール:sage 投稿日:01/10/25 01:42
Passive FTP にしてクライアントをちょい修正すれば
いけるような気がするんだけど、どのみち面倒そう。
sftpかrsync使えってことだな。

270 名前:265 メール:sage 投稿日:01/10/25 01:43
>>268
え、そなの?逆向きは暗号化してくんないの?
知らん買った逝ってきます..... ... .

271 名前:名無しさん@XEmacs メール:sage 投稿日:01/10/25 02:44
>>270
逆向きな経路は暗号化しない、というか出来ないはず。

ftp のコマンドとデータの通信経路が別だからね…。
家では使わないようにしてます。

272 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/25 02:51
>>271
FTPって扱いにくいプロトコルだよねー。

273 名前:あまね(ダメ会社員) ◆ANPANsaE メール:sage 投稿日:01/10/25 09:47
>>265-272
レスありがとうございます。
えっとですね、下記のサイトにFTPのDATA部分の暗号化について
触れてあるのですが、このとおりにやっているつもりなのですが
できないのです…

http://www.ez-net.ne.jp/special/server/no-class/ssh-forward.asp

クライアントによって出来たり、出来なかったりがあるみたいですね。

http://www.ez-net.ne.jp/dictionaries/checked/pasv-ssh.asp

上記のページで紹介されている SteedFTP は既にVerUPされていて
現行のものを使って試したのですがうまくいきませんでした。

274 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/10/25 10:55
>>273
そのページ見てみた。たしかにそうやればできなかないが、そんなこと
するよりscpなりsftpなり使った方がいいよ。

275 名前:あまね(ダメ会社員) ◆ANPANsaE メール:sage 投稿日:01/10/25 11:55
>>274
んー、そうですか。
どうしても代替できない状況での検証だったので…

出来ないことがわかったので、よかったです。

アリガトウございました。

276 名前:  投稿日:01/10/25 15:19
sshのセキュリティーを破る方法をMITが発見した
そうですが、どうやれば破れるのですか?

277 名前:名無しさん@お腹いっぱい。 投稿日:01/10/25 15:24
openssh の cvs 版の version.h を見ると、OpenSSH_3.0p1 ってなっていますな。

278 名前:なんか出てる 投稿日:01/10/25 19:36
「CERT/CC Vulnerability Note VU#945216」
http://www.kb.cert.org/vuls/id/945216

とりあえず、プロトコルバージョン1を無効
にしておいた方がいいのかな。

OpenSSH の方は随分前に見つかっていたセキュ
リティホールに対する攻撃を検出するコード
自体に穴があったということでしょうか?

ちょっと気味の悪い記事も…
「Hackers Put A Price Tag On New Attack Tool」
http://www.infowar.com/hacker/01/hack_101901a_j.shtml

279 名前:278 メール:sage 投稿日:01/10/25 20:47
どうも早とちりだった。2 月に見つかってた
問題なんですね。

> リティホールに対する攻撃を検出するコード
> 自体に穴があったということでしょうか?

だからこれはウソだった。現在のバージョンで
はもう直ってますね。

280 名前:SSH 投稿日:01/10/26 05:36
SSH

281 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:01/10/26 18:56
$$Η

282 名前:名無しさん@お腹いっぱい。 投稿日:01/11/02 23:01
OpenSSH Red Hat Linux 7.0 以上や Mandrake 7.1 以上などで
採用されている OpenSSH において, SSH protocol Version 2 で
鍵認証を行う際に利用するファイル "~/.ssh/authorized_keys2" に
複数の鍵を登録していると, 許可していないホストからの接続を
アクセスを許してしまう可能性があります.

283 名前:あまね(ダメ会社員) ◆ANPANsaE 投稿日:01/11/07 16:42
>>275
自己レス
http://www2k.biglobe.ne.jp/~chiharu2/vaio/ttssh-ftp.txt

で、出来た。

ただし、ポートの範囲を指定してしまうと、
wu-ftp側で一度張ったポートを開きっぱなしにしてしまうようなので、
使用可能なポートは多めに取っておかないとダメ。

284 名前:名無しさん@お腹いっぱい。 投稿日:01/11/07 16:48
OpenSSH 3.0 が release。3.0p1 ももうすぐ出ます。

285 名前:あまね(ダメ会社員) ◆ANPANsaE 投稿日:01/11/07 21:16
ががーん。
windows2000だと問題ないようだけど、
windows98だとTTSSHで
ポートフォワーディング設定を16個以上いれると、
どのポートでも受け付けてくれなくなります。

286 名前:名無しさん@Emacs メール:sage 投稿日:01/11/08 04:59
ぎょえーもう3.0出たのかよ。
いーかげん早くマニュアル訳せよ! >俺

ところで、いつもかならずopenbsdの1ヶ月前にopensshが
リリースされるみたいね。

287 名前:おたく、名有りさん? メール:sage 投稿日:01/11/09 14:17
http://pc.2ch.net/test/read.cgi?bbs=unix&key=1004581380&ls=100
の38以降。
これまじっすか?

288 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/11/09 15:15
ネタだと思う。信頼できないユーザーがいる環境で-maproot=rootで
NFS exportするわけないじゃん。

289 名前:名無しさん@お腹いっぱい。 投稿日:01/11/10 22:50
あのぅ... ちょっとお尋ねしますが、ssh で入ろうとしたときに

Enter passphrase for RSA key 'foo@example.com'

と聞いてくることを期待しているのに

foo@example.com's password:

と聞いてくるのはなぜでしょう?
ローカルの identify.pub はリモートの authorized_keys に追加してあります。

290 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/11/10 22:53
>>289
SSH protocol 2が有効になってるのかな?
ssh -v remote.example.com
してみれば何が起こっているのかわかると思う。

291 名前:名無しさん@お腹いっぱい。 投稿日:01/11/10 23:15
>>290
やってみた。終わりの方↓

debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/******/.ssh/id_rsa
debug1: try privkey: /home/******/.ssh/id_dsa
debug1: next auth method to try is password

やはり「SSH2 だけど SSH2 用の鍵がねーよ!」というわけでしょうか。
んだって ssh-keygen したら identify しか作ってくんねーよ?
id_rsa とか id_dsa ってのは明示的にオプション指定せんとあかんてこと?

292 名前:291=289 メール:sage 投稿日:01/11/10 23:23
>>291
なるほどマニュアルとか読んでみて理解した。

クライアント、サーバ両方が SSH2 対応してたら SSH2 での通信となる(当たり前やな)。
SSH2 用の鍵は -t dsa か -t rsa で作り、リモートに置くファイルの名前も
authorized_keys2 となるってわけですね?

sage つつ聞くけど dsa と rsa ってのはどっちがいいの?

293 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/11/11 00:21
>>292
ちょい古めのOpenSSHだとSSH2ではDSA keyしか使えないので、
俺はDSAを使ってる。

294 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/11/11 03:19
>>292
原理的に RSA のほうがすこし速い (計算が少なくてすむ) ようです。
DSA は RSA 特許がまだあった頃、基本的に RSA を避けるため
だけに使われたというかんじなので、今はどっちでもいいと思う。

けれども >>293 がいう通り古い OpenSSH は DSA しか
受けつけないから、混合して使うなら DSA がいいかな。

でも基本的には古い OpenSSH は穴があるので入れ換えたほうがいいですよ。
cf. http://www.openssh.org/ja/security.html

295 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/11/11 06:59
知ってるとは思うが
% ssh -1
というオプションもあるですよ、と。一応。

296 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/11/11 13:16
>>295
そもそもですね、SSH1 と SSH2 の違いてなんですか?
SSH1 じゃ弱いんでしょうか?
だとすると TeraTermPro + TTSSH 使ってる漏れは一体…

297 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/11/11 13:48
>>296
>SSH1 と SSH2 の違いてなんですか?
このスレの >>172-203 辺りに書いてるよ。

あとは sshd のマニュアルとか。
http://www.openssh.com/ja/manual.html

298 名前:296 メール:sage 投稿日:01/11/11 13:53
>>297
ごめん、そういやこのスレは過去ログ全然読んでなかったわ。逝ってくる

299 名前:asm メール:sage 投稿日:01/11/12 00:05
# このコテハン使うの久しぶりだなあ。

>>194に間違いがあったんで訂正しておく。
> SSH2においてもDSA認証を使った場合でしかMITM攻撃を発見できませんし、
ここで言いたかったのは「パスワード認証じゃダメよ」ってことなので、
ssh2のRSA鍵認証やhost-based認証(ssh1のRhostsRSAAuthenticationに相当)でも
MITM攻撃を発見できる。

なぜMITM攻撃を発見できるかは、プログラム板のスレ
http://pc.2ch.net/test/read.cgi/tech/1002736958/
を見てちょ。

300 名前:名無しさん@お腹いっぱい。 投稿日:01/11/12 14:36
OpenSSH って、Red Hat 7.2 以外用の .rpm の配布やめちゃったの?

301 名前:名無しさん@Emacs 投稿日:01/11/20 05:43
いつの間にやら OpenSSH-3.0.1 が出てたよage

302 名前:名無しさん@お腹いっぱい。 投稿日:01/12/03 04:06
age

303 名前:名無しさん@お腹いっぱい。 投稿日:01/12/03 04:19
接続先の~/.ssh/xxxに自分のpublicをコピーしないでただ
sshで接続しただけでも通信は暗号化されてそれなりに安全ですよね?

304 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/03 10:00
>>303
最初のパスワードが平文で流れちゃうけどな

305 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/03 10:09
>>304
んなこたーない。

306 名前:名無しさん@Emacs 投稿日:01/12/05 08:28
OpenSSH-3.0.2 が出ました。
3.0.1 にはセキュリティーホールがあります。

UseLogin を使ったときにまずいことが起きたようです。
(まあ uselogin を使ってる人は少ないだろうけど)

307 名前:名無しさん@お腹いっぱい。 投稿日:01/12/05 09:45
>>304

パスワードを知っていれば誰でも接続できるってだけかと思ってたよ。

308 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/05 15:55
>>304
平文では流れないよ。

309 名前:304 メール:sage 投稿日:01/12/05 16:09
ウソ書いてスマソ。どこかにそう書いてあったように思ったもので。
じゃー303の回答としては「それなりに安全」っつーことでいいんですよね?

310 名前:名無しさん@お腹いっぱい。 投稿日:01/12/06 12:37
sshで生パスが流れなくなって安心安心.

とかいってftpで生パス流してクラックされるモナー

311 名前:名無しさん@お腹いっぱい。 投稿日:01/12/06 12:38
>310 PortFowardingしろや

312 名前:名無しさん@お腹いっぱい。 投稿日:01/12/06 12:53
>>311
forwardingではftpはできないと思う

313 名前:名無しさん@お腹いっぱい。 投稿日:01/12/06 13:48
sftp 使えや。

314 名前:名無しさん@お腹いっぱい。 投稿日:01/12/06 14:30
>309
最初に相手の公開鍵もらうときにMITM攻撃される可能性があるってことだな。
だから初回は(yes/no)を聞いてくるわけで。

315 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/06 15:16
>>314
それはパスワード認証でも鍵認証でもいっしょじゃない?

316 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/06 15:37
>315
違うと思われ。

317 名前:名無しさん@お腹いっぱい。 投稿日:01/12/06 17:25
>>315
パスワード認証だと、最終的に生の password が相手に渡るってことを
お忘れなく。

318 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/06 22:44
>>312
パスワードの暗号化のみが目的で転送するファイルの内容が洩れても
気にしないならftp portのport forwardingで目的は達せられるよ。

319 名前:315 メール:sage 投稿日:01/12/07 00:30
>>317
それはわかるけど、>>314 は認証に入る前の話でしょ?

320 名前:nanasi メール:sage 投稿日:01/12/07 03:27
>>319
確かに最初の鍵交換の段階なので RSA だろうが password 認証だろうが
いっしょなんだけど、なりすまし喰らった場合の被害の大きさも考える
必要もあるんじゃないかと。

まあ、そもそもの発端が >>303 なので、答えとしては「それなりに安全」
ってなるだろうけど。

321 名前:名無しさん@Emacs メール:sage 投稿日:01/12/09 04:02
結局、なりすましは最初の一回はどうやってもだめ。
相手ホストのfingerprintをメモっておくしかない。

322 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/09 18:11
なりすまされたとき、password認証だと生password送っちゃうけど、
公開鍵認証なら秘密鍵を送るわけではないから、公開鍵認証使っとけということか。

323 名前:名無しさん@お腹いっぱい。 投稿日:01/12/13 10:06
http://www.incidents.org/diary/diary.php?id=116
誰か情報持ってませんか?

324 名前:名無しさん@お腹いっぱい。 投稿日:01/12/14 03:12
SSH 3.0.1 のサーバへ hostbased でログインできません.
サーバの設定は,

AllowedAuthentications hostbased,publickey
AllowSHosts hoge\.fuga\.org

となっていて,/etc/ssh2/knownhosts には,hoge.fuga.org.ssh-dss.pub
を置いてあります.設定で見落としてるところはどこでしょうか?
publickey によるログインはできています.

325 名前:名無しさん@お腹いっぱい。 投稿日:01/12/15 16:50
ssh.com のSSH Secure Shell for Workstations 体験版を使用してみたのですが、
Escキーが使えないのですが、これはなんとかならないのですか?
viを使用中抜け出せなくなってしまいました。

これが解決したらライセンス購入しようかなと思ったりしています。

326 名前:名無しさん@お腹いっぱい。 投稿日:01/12/16 04:36
ssh sshd
なんて読むのか?
シュシュ?
シュシュド?

327 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/16 05:52
宍戸

328 名前:名無しさん@Emacs メール:sage 投稿日:01/12/16 07:41


329 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/16 13:07
わらた

330 名前:名無しさん@お腹いっぱい。 投稿日:01/12/16 13:29
>>326
Secure SHell
Secure SHell Daemon
と読んでる。

331 名前:名無しさん@Emacs メール:sage 投稿日:01/12/16 13:36
ィエス!ィエス!エッチ!
ィエス!ィエス!エッチデ〜ィ!!

332 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/16 14:22
そういえば前 Tatu Ylonen が OpenSSH グループに
「sshの名前を変えろ」といってきたとき、代替案として
出てきたのが secsh だった。

dev-mlで「『せっくしゅ』はろれつの回らないヨッパライみたいで嫌」
というやりとりがあった。

この件は結局どうなったんだろうなあ。

333 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/16 16:11
>332 NetBSDの連中が開発してるのはSecSHじゃなかったっけ。

334 名前:名無しさん@お腹いっぱい。 投稿日:01/12/16 20:54
今はえすえすえっち。
以前はえすしぇ。cshをしーしぇて読んでたから。通じなかったからやめた。

335 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/16 21:47
セク-シュ

336 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:01/12/16 21:47
もれ「えすしぇ」もしくは「せきゅあーしぇる」(まんまか)

337 名前:名無しさん@お腹いっぱい。 投稿日:01/12/16 23:09
にしても FAQ とか SecSH とか、この手の略称にするの、向うの人は
好きなんだなぁ。

338 名前:名無しさん@お腹いっぱい。 メール:( ̄ー ̄) 投稿日:02/01/03 11:15
これは……シェルか?
改名キボン

339 名前:名無しさん メール:sage 投稿日:02/01/03 17:03
それではrshも改名しますか?

340 名前:名無しさん@お腹いっぱい。 投稿日:02/01/06 02:47
>>324

$ cat /etc/ssh_config
Host *
Protocol 2
HostbasedAuthentication yes

341 名前:名無しさん@お腹いっぱい。 投稿日:02/01/09 22:42
>>332

カタカナで書けばそれなりに聞こえない?>「セックシュ」

ちょと間抜けか....

342 名前:名無しさん@お腹いっぱい。 投稿日:02/01/11 02:31
すみません、激しく板違いなのは承知なのですが…

WIN用のssh(sftp)サーバっていうのは
どういった種類のものがあるのかご存知でしょうか?

343 名前:名無しさん@Emacs 投稿日:02/01/11 02:38
・cygwin用openssh http://www.cygwin.com/
・another openssh for win http://www.networksimplicity.com/openssh

2番目のやつはまだためしてないや。
調査きぼーん。

344 名前:342 メール:sage 投稿日:02/01/11 03:11
即レスありがとうございます。
せっかくだから2番目の方を、って
this package may not currently function on Windows XP
ってなってますね(当方XP)。
とりあえず、人柱になってみます。

345 名前:342 メール:sage 投稿日:02/01/11 03:44
サービスをstartさせようとすると

>問題が発生したため、FireDaemon.exe を終了します。 ご不便をおかけして申し訳ありません。

というメッセージが。
一応サービスは起動しているようですが…?

> C:\>ssh localhost
> hoge@localhost's password: <-パスワード入力
> Connection to localhost closed.
>
> H:\>ssh localhost
> hoge@localhost's password:
> Last login: Fri Jan 11 03:38:35 2002 from localhost
> Connection to localhost closed.

という感じでログインしてもすぐcloseされてしまいました。
実はWIN使い始めたばっかりでいまいち使い方分かってないので、
今の段階で私が出来るのはここまでです…
また時間のあるときに勉強してみます。

346 名前:名無しさん@お腹いっぱい。 投稿日:02/01/11 15:10
すみません。ここで聞いていいのかわからないのですが・・・
わかるかたがいらっしゃいましたら、教えてください。
お願いします。

サーバA,Bがあります。
サーバAが死んだ場合は、サーバBがサーバAとなります。
サーバAでssh-keygenを使って作った鍵などを
サーバBにもっていけば、サーバBをサーバAと同じとみなし
他のサーバから接続できることがわかりました。

ではssh-keygenで作成されるキーは、
何の情報をもとに作成されるのでしょうか?
(私は、ホスト情報などが使われるのかと思ってました)

347 名前:名無しさん@お腹いっぱい。 投稿日:02/01/11 16:48
>>346
> (私は、ホスト情報などが使われるのかと思ってました)

推測されてどうするよ
どう考えても乱数(prngdその他)だろう

348 名前:名無しさん@お腹いっぱい。 投稿日:02/01/15 10:53
sshについてくるsftpとは
ftpとどのような関係にあるのでしょうか?
単にftpに似てるファイル転送プログラムなんですか?

349 名前:名無しさん@お腹いっぱい。 投稿日:02/01/15 11:12
http://bom-ba-ye.com/a.cgi?netapp=1

350 名前:名無しさん@お腹いっぱい。 投稿日:02/01/25 12:50
>>348
Yes.


351 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/25 18:07
逝ってよし

352 名前:名無しさん@お腹いっぱい。 投稿日:02/01/27 20:37

ssh -X remotehost
して、remotehostでemacsを
立ちあげて
logout
してしまうと、そのktermがフリーズしてしまうのですが、
対処法はありますか?なにか間違ってますか?



353 名前:名無しさん@お腹いっぱい。 投稿日:02/01/27 21:10
226,263の方の質問に近い(同じ?)けど。。
ssh の port forwarding ができないっす。
FTPのデータ部分は暗号化しませんです。

クライアント側 win98 + TTSSH + FFFTP
鯖 FreeBSD 4.5-RC + pure-ftpd
win98 から FreeBSD へ ssh と FTP は使用できています。

で、こういったところを参考に設定し、
ttp://www.ozawa.ics.keio.ac.jp/~kimura/ssh-forward/
FTP で port forwarding しようとすると、

>PASV
227 Entering Passive Mode (192,168,0,3,170,53).
ダウンロードのためにホスト 192.168.0.3 (43573) に接続しています.
接続しました.
>LIST
受信はタイムアウトで失敗しました.
接続が切断されました.
コマンドが受け付けられません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.

と怒られるっす。どうすれば良いですか?_?
ご教授くださいですぅ。

354 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/27 22:22
http://messages.yahoo.co.jp/bbs?.mm=CP&action=m&board=1835092&tid=a1za1za1za5ja5ja5ca5afa59bcaldha2a1za1za1z&sid=1835092&mid=3390

漏れもこれ知りたい。

355 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/27 22:38
>>353
clientのIPアドレス、FreeBSD boxのIPアドレスをどうしてるか。
port forwardの設定。
も書いてくれないとわからんよ。
あと、FFFTP以外のftpクライアントで試すとどうなる?

356 名前:353 メール:sage 投稿日:02/01/27 23:51
>>355 了解っす。最小構成だと

鯖 FreeBSD 4.5-RC + pure-ftpd IP:192.168.0.3

クライアント側 win98 + TTSSH + FFFTP IP:192.168.0.2
SSH Port Forwarding
local 8021 to remote machine "192.168.0.3" port 21

>FFFTP以外のftpクライアントで試すとどうなる?

NextFTP(試用期間です。制限は無いと思うです)で、以下のようなログです。

----ここから
NextFTP Ver2.10 2002(C)Toxsoft

ホストを探しています - localhost
ホストに接続しています - localhost (127.0.0.1)
220-=(<*>)=-.:. (( Welcome to PureFTPd 1.0.7 )) .:.-=(<*>)=-
220-You are user number 1 of 3 allowed
220-Local time is now 23:27 and the load is 0.00. Server port: 21.
220-This is a private system - No anonymous login
220 You will be disconnected after 5 minutes of inactivity.
>USER hogehoge
331 User hogehoge OK. Password required
>PASS ********
230-User hogehoge has group access to: ftpgroup operator wheel hogehoge
230 OK. Current restricted directory is /
>XPWD
257 "/" is your current location
ファイルリストを取得しています...
>TYPE A
200 TYPE is now ASCII
>PASV
227 Entering Passive Mode (192,168,0,3,174,47).
>LIST
421 Timeout
< ホストから切断されました。 >
< エラー : コマンドを送信できませんでした。 (1057-0) >
< エラー : コマンドを送信できませんでした。 (1052-0) >
< エラー : 転送はキャンセルされました。 (1055-10038) >
< ファイルの一覧を取得できませんでした。 >
< ホストに接続できませんでした。 >
----ここまで

あと、参考になるわかりませんが LIST で停止する時 FreeBSD で netstat すると、

Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 hogehoge3.43504 hogehoge2.1248 FIN_WAIT_2
tcp4 0 0 hogehoge3.43504 *.*  LISTEN
tcp4 0 0 hogehoge3.ftp hogehoge3.1061 ESTABLISHED
tcp4 0 0 hogehoge3.1061 hogehoge3.ftp ESTABLISHED
tcp4 0 20 hogehoge3.ssh hogehoge4.1230 ESTABLISHED

となっています。
長くてすみません。こんな厨房な私を、お導きくだせぇ m(_"_)m

357 名前:353 メール:sage 投稿日:02/01/27 23:56
あ・・ちなみに
hogehoge2 = 192.168.0.2 = クライアント
hogehoge3 = 192.168.0.3 = 鯖
ッス。

358 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/28 00:08
>>356
ちょい調べてみたよ。
Pure-FTPd は passive で用意した port に違うホストから繋いだ場合はコネ
クションを閉じちゃうみたい。
つまり、SSH の port forward と組み合わせて使う事はできないってこと。

359 名前:353=356=357 メール:sage 投稿日:02/01/28 00:37
>>358
おお・・そうでありますか。納得であります。
素直に諦めて、別の FTPD にします。
設定が手軽で使い勝手良かったんだけどなぁ( ´_ゝ`)

わざわざ調べていただいて、ありがとうございました。

360 名前:名無しさん@お腹いっぱい。 投稿日:02/01/28 01:08
>>359
後学のために教えてください。
FreeBSD 標準の ftpd を使わない理由って何でしょう?
個人的にはそこらの ftpd よりよほど信頼できるし、設定もしやすいと思うのですが。

361 名前:名無しさん@お腹いっぱい。 投稿日:02/01/28 01:26
>> 353
sshで簡単にファイル転送したいならWinSCPつかえば?
http://winscp.vse.cz/eng/


362 名前:359 メール:sage 投稿日:02/01/28 02:13
>>360
私の場合一番大きな理由は Virtual users ってのが使え かつ設定が簡単だからです。
これが私の使用目的(と、ずぼらな管理?)に向いる(と思う)のです。
ttp://pureftpd.sourceforge.net/README.Virtual-Users

私は FreeBSD の標準の ftpd も使いこなせてないと思います。
同じ機能が標準の ftpd でできるかもしれませんが
少なくとも、私はそのやり方がわかりませんでした。ハイ

で、必要な部分については Virtual users でまとめて管理し、
それとは別にプライベートな部分は ssh で・・・と考えたわけです。

#的はずれな考え方かもしれません。

>>361
考慮中であります。

363 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/01/28 02:41
FTP鯖にsftpつかおーよ。
もち暗号化されるからクリアテキストでパスとか流れないし、けっこう嬉しいよ。

364 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/28 02:44
個人的には、sftpをつかったらFTP鯖とはいえないと思うが..


365 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/28 02:50
sftpdでした。
dぬけてました

366 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/28 03:22
>365 >364はそういう事を言ってるのではないと思われ。

367 名前:名無しさん@お腹いっぱい。 投稿日:02/01/28 11:14
>>353
ガマヌしてsftp使えや
それがいやならIPsecでトヌネル掘れや

368 名前:名無しさん@XEmacs 投稿日:02/01/28 16:51
>>352
> ssh -X remotehost
> して、remotehostでemacsを
> 立ちあげて
> logout
> してしまうと、そのktermがフリーズしてしまうのですが、

フリーズというか、たぶん emacs が終わるのを待っちゃってるだけ。

ログインなんぞせず、-f option でも付けて emacs を X Client とし
て直接起動してやればよろし。


369 名前:名無しさん@お腹いっぱい。 投稿日:02/01/28 19:01
>>352
頻出問題。cf. http://www.openssh.org/ja/faq.html#3.10
 $ emacs </dev/null >/dev/null 2>&1 &
とやってもたぶんうまくいくよ。


370 名前:1/30の教えて君 投稿日:02/01/30 00:53
教えて君ですが…
OpenSSHのバージョン3系を使いたいと思ってます。

openssh-3.0p1.tar.gz
openssh-3.0.1p1.tar.gz
openssh-3.0.2p1.tar.gz

といったところがリリースされていますが、OpenSSLはどれを用いれば
良いのでしょうか? 最近のものだと

openssl-0.9.6b.tar.gz
openssl-0.9.6c.tar.gz

といったところのようですが…
つまりは、どの組み合わせが良いのかが解っておりません。
ご存じのかたいましたら教えてください。


371 名前:名無しさん@お腹いっぱい。 投稿日:02/01/30 01:05
>>370
便乗させて。

OpenSSL の配布物で、

openssl-VERSION.tar.gz



openssl-engine-VERSION.tar.gz

って何が違うんでしょう?

372 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/01/30 01:39
>>371
たしか openssl-engine は暗号化ライブラリのみで、
それに SSL の証明書作成ツールやなんやらがついてきたのが
openssl じゃなかったっけ。自信ない。


373 名前:371 メール:sage 投稿日:02/01/30 02:19
>>372
教えてもらっといてアレだが逆じゃねーの?
engine つきの方が大きいみたいだが。

374 名前:名無しさん@お腹いっぱい。 投稿日:02/01/30 06:10
>>370
私のところでは
openssh-3.0.2p1.tar.gz + openssl-0.9.6b.tar.gz
で使えてます.

375 名前:名無しさん@お腹いっぱい。 投稿日:02/01/30 08:31
winでパスだけ通しておけば使える
コマンドラインのsshのバイナリってないっすか?

376 名前:名無しさん@Emacs 投稿日:02/01/30 09:11
openssh for cygwin

377 名前:名無しさん@お腹いっぱい。 投稿日:02/01/30 09:22
ssh の X11 Forward って便利だけど、
ssh の回線を切断してもリモートで立ち上げたXのプログラムをリモートで実行したまま
にする方法ってあるの?
コンソールアプリなら動きつづけるけど、Xのアプリは無理なのかな?

378 名前:名無しさん@Emacs 投稿日:02/01/30 11:14
ふつー、X のプログラムって Xserver との接続が切れると、
X のリクエストを発行した瞬間に落ちちゃうでしょ。

リモートで Xvnc を動かしておいて、
そこで X のアプリケーションを走らせるっつうのはどうか?


379 名前:377 投稿日:02/01/30 16:11
>>378
Xvncってこことか?
http://www.atmarkit.co.jp/flinux/special/vnc01/vnc01a.html
セキュリティが甘そうだが・・・パスワードは暗号化されて送信されるのかな。
でも面白そう。

380 名前:名無しさん@お腹いっぱい。 投稿日:02/01/30 16:38
>>379
over SSH で使えばよろし。

381 名前:377 投稿日:02/01/30 16:49
>>380
おお、それはいい!
これのことだよね?
http://www.uk.research.att.com/vnc/sshvnc.html


382 名前:名無しさん@お腹いっぱい。 投稿日:02/01/30 17:03
>>381
そそ。以前は http://www.uk.research.att.com/vnc/ のトップページにも
もっと安全に使うためにってそこに link が張られていたんだけど、
いまは http://www.uk.research.att.com/vnc/faq.html のほうに記述が
うつっちゃった。

それに、ここは SSH スレだし。

383 名前:1/30の教えて君 投稿日:02/01/31 00:01
>>374
どうもありがとうございました。
その組み合わせで試してみようと思います

384 名前:名無しさん@お腹いっぱい。 投稿日:02/02/01 04:32
ssh の -g って
Allows remote hosts to connect to local forwarded ports.
だけど、どういうときに使うの?

385 名前:名無しさん@お腹いっぱい。 投稿日:02/02/01 04:52
デフォルトではフォワードされたポートは localhost にしか
binding されないので、そのままだとネットワーク上の他の
ホストからはみれない。
それをみれるようにするのが -g オプション。


386 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/01 05:51
>>385
なるほど、そういうことなんだ。サンキュ

387 名前:名無しさん@お腹いっぱい。 投稿日:02/02/01 09:01
FreeBSD-currentではpam_sshとOpenSSHで
シングルサインオンに出来て快適なのですが、
このpam_sshはSolarisの上でもすぐコンパイルできます?

やろうと思いつつ、なかなか時間がとれなくて……。
(sparcv9用のコンパイラから用意しないといけないかも)

使ってるよという方いらしたら教えてくださいな。


388 名前:名無しさん@お腹いっぱい。 投稿日:02/02/01 23:37
VPN How-to にあるような
SSH+PPPのコンビでVPNを貼りたいんだけど
pty-redir ってなかなか手に入らないので
SSH+PPxPで似たようなことが出来ないか検討中なんです。

勘違いならゴメンなんだけど pty-redir の代わりに userlink とか使える?

PPxPで相手とコネクション貼ったあと、そこにSSHの入出力を
リダイレクトできればいいと思うんだけど・・・よくわからんです。

だれかわたしの質問をうまくまとめて、ヒントください

389 名前:名無しさん@Emacs 投稿日:02/02/02 00:32
>> 388
ssh で portforward したところに ppp 通すだけでいいんじゃないの?
標準 ppp でできたと思うけど.

あるいは vtun 使うとか.


390 名前:名無しさん@お腹いっぱい。 投稿日:02/02/02 02:25
>>389
>ssh で portforward したところに ppp 通すだけでいいんじゃないの?
なるほど・・・その方法をすこし勉強してみます。
ヒントサンクス

391 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/02 16:22
こういうのって何かattackしてるんでしょうかね?

Feb 2 12:34:56 onakaippai sshd[24248]: [ID 800047 auth.info] scanned from 123.123.123.123 with SSH-1.0-SSH_Version_Mapper. Don't panic.
Feb 2 12:34:56 onakaippai sshd[24244]: [ID 800047 auth.info] Did not receive identification string from 123.123.123.123.


392 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/02 17:13
たぶん ScanSSH だと思います。なんか最近よく来ますねえ。
http://www.monkey.org/~provos/scanssh/


393 名前:名無しさん@お腹いっぱい。 投稿日:02/02/06 00:38
ローカルにある.emacs.elをaaa.comというホストにscp
を使ってコピーするにはどうすればいいのでしょうか?

394 名前:393 メール:sage 投稿日:02/02/06 00:39
もちろんaaa.comにはsshでログインできます。

395 名前:名無しさん@お腹いっぱい。 投稿日:02/02/06 00:39
$ scp .emacs.el aaa.com:~/

396 名前:393 メール:sage 投稿日:02/02/06 00:45
>>395
> $ scp .emacs.el aaa.com:~/

ありがとう。できました。
man に一杯オプションがあるからもっと複雑なのかと
思っちゃいました。


397 名前:名無しさん@お腹いっぱい。 投稿日:02/02/09 01:57
一年以上前だったと思いますが
OpenSSH関係の本で、表紙が水色で四角になっているような
本が出版されたと思います。
出版社と本の題名教えてもらえますか?

398 名前:397 メール:sage 投稿日:02/02/09 01:59
表紙にイルカがいたかも

399 名前:SSHマンセー メール:age 投稿日:02/02/09 02:37
>>397
これか?
http://www.seshop.com/bm_detail.asp?sku=59460

しかし、OpenSSHではなくて商用SSHの本だな…。しかも内容が理解できへんかった。
(買ったけど(死))


400 名前:397 メール:sage 投稿日:02/02/09 02:38
>>399
そう、それ。
OpenSSHじゃなかったのか。

まぁありがとう。

401 名前:397 メール:sage 投稿日:02/02/09 02:39
しかもこいつはクジラだな。

402 名前:SSHマンセー 投稿日:02/02/09 02:41
ちなみに。
SSH勉強するなら、やっぱこれ:
http://www.unixuser.org/~haruyama/security/openssh/support/

いやー、この本のおかげでSSH理解できました。著者の方々に感謝!


403 名前:名無しさん@Emacs 投稿日:02/02/09 02:56
scp でリモートの Unix にファイルを新しく作成するのですが,
シェルやftpの umask に相当するものを設定することはできるのでしょうか?
具体的には644ではなくて664になって欲しいのですが.


404 名前:名無しさん@お腹いっぱい。 投稿日:02/02/09 03:07
>>403
んなもんsftpのマニュアル見たらあるだろゴルァ!…と思ったけど、
実はないっぽい。
ローカルな方ならlumaskっつーコマンドがあるのにな…。
とりあえず、(メンドイだろうけど)コピー後にchmodを使うように
するしかないように思われ。


405 名前:名無しさん@Emacs 投稿日:02/02/09 03:19
>>403
大量のファイルなら、あらかじめローカルで 664 にしといて tar で転送すれば?

% tar cf - groupwritabledir/ | ssh remotehost tar xf - -C/distination/dir/


406 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/09 08:01
>>401
俺はサメに見えた。


407 名前:名無しさん@お腹いっぱい。 投稿日:02/02/15 14:25
putty で ssh で入ろうとしたらパスフレーズ聞かれずに
パスワード聞かれちゃうんですけど、それは漏れが厨房だからでしょうか?

408 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 15:23
そうです。

409 名前:407 投稿日:02/02/15 16:12
>>408
ありがd

脱厨房を目指したいのですが、単刀直入に言ってどこをどうすれば
パスフレーズで入れるんでしょうか?

Configuration の Connection → SSH の "Preffered SSH protocol version"
は "2" にチェックを入れてるのですが、それだけではダメなのでしょうか?

試しに "Encryption cipher selection policy" の順番を変えてみたりも
したんですが、変化ありませんでした。

あ、"Auth" のところの Private Key ファイルは id_rsa ファイルを指定しております。
# ttssh ではこれで入れてました。



410 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 16:46
ねぇ、putty って使ったこと無いんだけど ttssh より使えるの?
日本語とか通るの?


411 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 16:59
百聞は一見にしかず。一度、使ってみるがよろし。

412 名前:407 メール:sage 投稿日:02/02/15 17:46
>>410
漏れもこないだまでダメだと思ってたんだけれど
いつのまにかジャパニーズなパッチ作ってる人ハケーンしたのよ。
つーか、memo に流れてたんだけど。

413 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 17:58
これだね。
http://hp.vector.co.jp/authors/VA024651/

414 名前:名無しさん@お腹いっぱい。 投稿日:02/02/15 18:10
>>410
俺も興味を持ったので putty ダウンロードして使ってみたけど、フォントの設定
さえ変更すれば日本語は通るね ([Window] - [Appearance])。

文字コードに関しては SJIS ならデフォルでいける模様。[Window] - [Translation]
に文字コード設定があるが、日本語 EUC とか ISO-2022-JP の設定はないから、
日本語だと SJIS か UTF-8 以外はダメっぽい。

SSH2 喋れるし agent 使えるし key generation tool もついてるし、なかなか良い
ね。

415 名前:名無しさん@お腹いっぱい。 投稿日:02/02/15 18:14
>>414
VT100 emulation はどんな感じ? screen がキチンと動くんならいいんだけど。
あと、半角カナはどう?


416 名前:407 メール:sage 投稿日:02/02/15 18:18
>>415
つーかそこまで言うなら試してみなよ。
少なくともうちでは screen は使えてるよ。
ターミナル的には VT100 っつーより xterm 状態みたいだけど。

んで、何でパスフレーズ聞いてくれないか漏れに教えて。

417 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 18:23
>>416
[Connection] - [SSH] - [Auth] の Private key file for authentication は
設定してる?

418 名前:407 投稿日:02/02/15 18:45
>>417
>409 見てくれー
rsa鍵指定してるよん。ttssh とか、cygwin-ssh はこれで逝けてるのだが。

ちょっと age

419 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 18:52
SSH1だとどう?

420 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 19:14
>>418
ログインできてるケースの Event Log の内容を張ってみる。使ってるのは DSA 鍵で
相手は FreeBSD 4.5 ね。

2002-02-15 18:57:05 Looking up host "XXX.XXX.XXX.XXX"
2002-02-15 18:57:05 Connecting to XXX.XXX.XXX.XXX port XXXXXX
2002-02-15 18:57:05 Server version: SSH-1.99-OpenSSH_2.9 FreeBSD localisations 20011202
2002-02-15 18:57:05 We claim version: SSH-2.0-PuTTY-Local: Feb 11 2002 09:41:13
2002-02-15 18:57:05 Using SSH protocol version 2
2002-02-15 18:57:05 Doing Diffie-Hellman group exchange
2002-02-15 18:57:05 Doing Diffie-Hellman key exchange
2002-02-15 18:57:06 Host key fingerprint is:
2002-02-15 18:57:06 ssh-dss 1024 XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
2002-02-15 18:57:06 Initialised AES-256 client->server encryption
2002-02-15 18:57:06 Initialised AES-256 server->client encryption
2002-02-15 18:57:06 Pageant is running. Requesting keys.
2002-02-15 18:57:06 Pageant has 1 SSH2 keys
2002-02-15 18:57:06 Trying Pageant key #0
2002-02-15 18:57:06 This key matches configured key file
2002-02-15 18:57:06 Sending Pageant's response
2002-02-15 18:57:06 Access granted
2002-02-15 18:57:06 Opened channel for session
2002-02-15 18:57:06 Requesting OpenSSH-style agent forwarding
2002-02-15 18:57:06 Agent forwarding enabled
2002-02-15 18:57:06 Allocated pty
2002-02-15 18:57:06 Started a shell/command

421 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 22:26
>407
sshd_config の PasswordAuthentication は no ですか?
ああそうですか.
お役に立てなくて済みませんね.

422 名前:407 投稿日:02/02/15 22:40
>>419
ssh1 だと逝けました。

>>420
こんなん出ましたけど〜

2002-02-15 22:37:29 Looking up host 〜
2002-02-15 22:37:29 Connecting to 〜
2002-02-15 22:37:30 Server version: SSH-1.99-OpenSSH_3.0.2p1
2002-02-15 22:37:30 We claim version: SSH-2.0-PuTTY-Local: Feb 11 2002 09:39:39
2002-02-15 22:37:30 Using SSH protocol version 2
2002-02-15 22:37:30 Doing Diffie-Hellman group exchange
2002-02-15 22:37:30 Doing Diffie-Hellman key exchange
2002-02-15 22:37:31 Host key fingerprint is:
2002-02-15 22:37:31 ssh-rsa 1024 〜
2002-02-15 22:37:31 Initialised AES-256 client->server encryption
2002-02-15 22:37:31 Initialised AES-256 server->client encryption
2002-02-15 22:37:31 Keyboard-interactive authentication refused
2002-02-15 22:37:33 Sent password
2002-02-15 22:37:33 Access granted
2002-02-15 22:37:33 Opened channel for session
2002-02-15 22:37:33 Allocated pty
2002-02-15 22:37:33 Started a shell/command

423 名前:407 投稿日:02/02/15 22:44
>>421
つーか、no にすると接続後に putty 閉じてしまいますが何か?

424 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 22:55
>>422
その RSA キーって puttygen.exe で作った?

425 名前:421 メール:sage 投稿日:02/02/15 22:58
>423
(SSH1 なら)RSAAuthentication は yes
(SSH2 なら)PubkeyAuthentication は yes なんだろうな,テメー

426 名前:407 投稿日:02/02/15 23:01
>>425
つーか、Cygwin の ssh だとパスフレーズ聞いてくれるんだって。

427 名前:421 メール:sage 投稿日:02/02/15 23:03
>426
それ早く言えよー

428 名前:407 投稿日:02/02/15 23:10
>>427
>418 で言ってますが何か?

前後しますが
>424
puttygen で作らんといかんの?んなアホな

429 名前:421 メール:sage 投稿日:02/02/15 23:11
>428
> >418 で言ってますが何か?
グスン,逝ってきます…

430 名前:407 投稿日:02/02/15 23:14
>>429
逝かなくていいからパスフレーズの聞かれ方教えてください

431 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/15 23:51
>>428
> puttygen で作らんといかんの?んなアホな
Cygwin の ssh-keygen -t rsa で作ったキーと puttygen で作ったキーを
見比べると、ファイルの書式が違ってるぞ。

432 名前:421 メール:sage 投稿日:02/02/16 01:04
>431
そういや SSH2 って鍵の形式に関して互換性の問題があったような無かったような

433 名前:名無しさん@Emacs 投稿日:02/02/16 03:09
Putty の鍵の形式は IETF 標準なのでしょう。
これは Cygwin の ssh (OpenSSH) でつくった鍵とは形式が違います。

公開鍵だけなら Cygwin の ssh-keygen で putty 用に変換できるけど、
秘密鍵も入ってるなら putty で作りなおしたほうがはやい。

cf.
http://www.unixuser.org/~haruyama/security/openssh/support/addendum.html#add_3


434 名前:407 メール:sage 投稿日:02/02/16 04:02
>>433
デキターヨ!
でもこれからあちこちのサーバに公開鍵置き直さないとダメかと思うと鬱だ。。。

435 名前:名無しさん@お腹いっぱい。 投稿日:02/02/16 04:16
質問です。

プロバの鯖がtelnetでしか入れないので、ユーザ権限でsshdを動かしたいです。
環境はsolaris。バイナリのssh、sshd、ssh-keygenがあります。
SSH Version 1.2.27 [sparc-sun-solaris2.5.1], protocol version 1.5.
ちと古くてアレなんですが、コンパイルする環境がないので、これより新しいのは用意できません。

#これは余談ですが、x86のLinux/FreeSolaris上でクロスコンパイルとかできます?

現状:パスワード認証不可、RSA認証も不可です。

$ ssh -v -p 22222 nanashi@solaris.puge.ne.jp
SSH Version OpenSSH-1.2.3, protocol version 1.5.
Compiled with SSL.
debug: Reading configuration data /home/nanashi/.ssh/config
debug: Reading configuration data /etc/ssh/ssh_config
debug: Applying options for *
debug: ssh_connect: getuid 1000 geteuid 1000 anon 1
debug: Connecting to solaris.puge.ne.jp [2xx.xxx.xxx.xxx] port 22222.
debug: Connection established.
debug: Remote protocol version 1.5, remote software version 1.2.27
debug: Waiting for server public key.
debug: Received server public key (768 bits) and host key (1024 bits).
debug: Host 'solaris.puge.ne.jp' is known and matches the host key.
debug: Encryption type: 3des
debug: Sent encrypted session key.
debug: Installing crc compensation attack detector.
debug: Received encrypted confirmation.
debug: Trying RSA authentication with key 'nanashi@hoge.com'
debug: Server refused our key.
debug: Doing password authentication.
nanashi@solaris.puge.ne.jp's password:
Permission denied, please try again.
nanashi@solaris.puge.ne.jp's password:

こんな感じです。

436 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 04:16
で、やったこととしては、
・ssh-keygenでssh_host_key ssh_host_key.pubを作成(ヌルパスフレーズ)
・ユーザ権限でport 22222で起動
・authorized_keysをftpでアップロード

sshd_configはこんな感じ。

Port 22222
ListenAddress 0.0.0.0
HostKey /so-net/home/addie/.ssh/ssh_host_key
RandomSeed /etc/ssh_random_seed
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts no
StrictModes yes
QuietMode no
X11Forwarding yes
X11DisplayOffset 10
FascistLogging no
PrintMotd yes
KeepAlive yes
SyslogFacility DAEMON
RhostsAuthentication no
RhostsRSAAuthentication yes
RSAAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
UseLogin no

ファイルはすべて600、ディレクトリは700にしてあります。

#うーん。ローカルで実験してからにしたほうがいいか...。

437 名前:名無しさん@Emacs メール:sage 投稿日:02/02/16 05:42
サーバ側で sshd -d を実行してデバッグモードで接続するとどうなる?

438 名前:名無しさん@お腹いっぱい。 投稿日:02/02/16 06:09
>>436
一般ユーザ権限だと PAM が認証を蹴るんじゃない?



439 名前:名無しさん@お腹いっぱい。 投稿日:02/02/16 06:16
>>435
クロスコンパイルには、ターゲットのランタイムライブラリが必要。
プロバイダの /usr/lib をごっそり取って来るとか。


440 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 06:42
>>437
$ ./sshd -d -f sshd_config
debug: sshd version 1.2.27 [sparc-sun-solaris2.5.1]
debug: Initializing random number generator; seed file /etc/ssh_random_seed
log: Server listening on port 22222.
log: Generating 768 bit RSA key.
Generating p: ..++ (distance 52)
Generating q: ...++ (distance 16)
Computing the keys...
Testing the keys...
Key generation complete.
log: RSA key generation complete.
debug: Server will not fork when running in debugging mode.
log: Connection from 2xx.xxx.xxx.xxx port 4854
log: Could not reverse map address 2xx.xxx.xxx.xxx.
debug: Client protocol version 1.5; client software version OpenSSH-1.2.3
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: Installing crc compensation attack detector.
debug: Can't find nanashi's shadow - access denied.

こんな感じでした。
パスワード認証は/etc/shadow(?)を見るっぽいので、ユーザ権限では動きようがないですね。

debug: Sent encrypted session key.
debug: Installing crc compensation attack detector.
debug: Received encrypted confirmation.
debug: Trying RSA authentication with key 'nanashi@hoge.com'
debug: Server refused our key.
debug: Doing password authentication.

なぜサーバがrefuseするかが分からないな。

441 名前:名無しさん@お腹いっぱい。 投稿日:02/02/16 06:50
>>440
ちゃんと調べてないけど
PermitEmptyPasswords no
って空のパスフレーズもrefuseするんじゃなかったっけ?

442 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 07:05
>>441
ユーザのパスフレーズは空じゃないです。
一応試してみたのですが、ダメでした..。

443 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 07:19
彼女の pussy に ssh で入ろうとしたらパスフレーズ聞かれずに
パスワード聞かれちゃうんですけど、それは漏れが厨房だからでしょうか?


444 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 07:40
>>444
ちゃんと sshe の設定できてる?
ある日ふと気付くと PermitEmptyPassword yes とかになってたりするか
ら気をつけよ。

445 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 07:45
>>443
プロトコルのバージョンが違うからです。
商用のpussyなら大丈夫かと思われます。

446 名前:何が何でも Solaris IA版存続を願う会2ch支部長 メール:sage 投稿日:02/02/16 08:55
>>435 http://sunfreeware.com/ で,Solaris2.5/2.5.1用なら2.9.9p2,
Solaris2.6以降用なら3.0.2p1のOpenSSHバイナリが入手できると思うけど?


447 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 09:14
>>446
うーん、/usr/localに手出せないけど大丈夫かしら。
LD_LIBRARY_PATHとかに~/libとか足して、そこにopensslとか入れれば大丈夫ですかね。
あんまりquotaがないので、置けるかな...。

#あと、SunOS 5.5.1ってSolaris 2.5.1のことなのでしょうか(スレ違いっぽいけど

448 名前:名無しさん@お腹いっぱい。 投稿日:02/02/16 09:30
>>447
yes
SunOS 5.5.1 = Solaris 2.5.1


449 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 13:16
>>443
しばらくpussyに接続してなかったんじゃないの?
pussyの仕様上、しばらく使われてないと自動的に開いちゃうよ。

あとはホスト単位でパスワード無しを許可する設定にしてない?


450 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/16 14:20
>>449
低いネタは、大人の時間でやってくれ。

たまにはいいが、まともな話よりも量を占めるのは行き過ぎ。

451 名前:407 投稿日:02/02/16 14:48
おはようございます。

ところで ふっ と気になったのですが、
putty-ssh と Cygwin-ssh は ヒョトーシテ 共存できなかったりしますでしょうか?
いろいろと素の ssh も使う必要があるので共存できなかったつらいものが
あるのですが。。。

452 名前:407 メール:sage 投稿日:02/02/16 14:57
>>451
ゴメソ、できたわ。
つーか、

putty用: DSA鍵ペア
Cygwin-ssh用: RSA鍵ペア

と使い分けるようにしました。同じ鍵でできる方法あれば教えてください。
のんびり待ってます。

453 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/17 03:00
Windows上で動作するssh2対応クライアントのPuTTYに
日本語対応パッチが出てました
http://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top

おや?なんか2重書き込みとか言われるのは何故???

454 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/17 03:01
あ、書き込めた...よかった

455 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/17 03:19
どうでもいいけど putty って、接合剤の「パテ」のことだったんだね。

456 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/17 03:45
>>453
> なんか2重書き込みとか言われるのは
既出のネタだからじゃないの?

457 名前:名無しさん@お腹いっぱい。 投稿日:02/02/23 09:57
sshdがスタンドアロンで起動してるんですけど、これをinetd+tcpwrapperなりxinetd、tcpserverを経由して
自分の学校とか以外のホスト名からは弾くようにすると、いくらかセキュア度ってあがりますか?

458 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/23 10:09
>>456
そんな便利な機能あるならソース公開キボンヌ (ワラ

>>457
sshd の conf ファイルで弾くよりもって事?

459 名前:名無しさん@お腹いっぱい。 投稿日:02/02/23 10:12
>>458
はい。スーパーデーモンでまず弾き、sshdの設定ファイルでも弾くようにする設定です。
意味がないでしょうか?

460 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/23 10:28
>>459
sshdってスタンドアロンで起動してても、
勝手にhosts.allowとhosts.denyを
反映してくれると思うんだけど。
なにか勘違いしてたらスマンが、
既に望んでる状態じゃなくて?


461 名前:名無しさん@お腹いっぱい。 投稿日:02/02/23 10:30
>>457
ホスト名ではじくのはやめとけ。
DNSの逆引きがspoofされていたら意味ないぞ。

ただ sshは認証に負荷がかかるので、IPレベルで
信用できないホストをあらかじめはじくのは負荷削減に役立つ場合もある。

あと、openssh を libwrap つきでコンパイルすれば sshd 自身が
hosts.allow や hosts.deny を見るよ。

462 名前:名無しさん@お腹いっぱい。 投稿日:02/02/23 10:40
PuTTY の話ここでしても良いですか?
他に相応しいスレがあれば教えてください。
PuTTY で logout したり、なんらかの原因接続が切れた後に
inactive になったウィンドウをそのまま再利用して接続するのって
出来ないのでしょうか?

>>457
461 が言うように libwrap 付きで hosts.(allow|deny)使うのが
楽で良いと思うよ。tcpdchk で warning 出ちゃうけど。

463 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/23 10:44
>>461
> ホスト名ではじくのはやめとけ。
> DNSの逆引きがspoofされていたら意味ないぞ。
え? 正引きで引き直して二重チェックしないの?

464 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/23 10:46
>>462 自己レス
http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist.html
Plausible feature wish list
Perhaps an inactive window should have a menu option to reactivate
the session (like Duplicate Session but in the same window).
しょぼーん

465 名前:エミネム 投稿日:02/02/23 13:13
についての情報交換希望。

466 名前:名無しさん@お腹いっぱい。 投稿日:02/02/23 13:46
>>463
そういえば、そんなの意味がないからヤメレって djb は主張しておるな。

467 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/24 09:48
どうしてなの? >466

468 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/24 16:22
>>467
僕は>>466ではないけど、DNSサーバが乗っ取られたら、正引きの結果も正しいと
保証されないからだと思った。


469 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/24 16:30
逆引きだけならDNSサーバを乗っ取る必要なんてないじゃん。

470 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/24 17:56
>468 なるほど。

hosts.allowにドメインで書いてると逆引きした後のホスト名だけ
ログに残るみたいだけど、逆引きする前のIPアドレスも残る
ようにできないのかな。

471 名前:名無しさん@お腹いっぱい。 投稿日:02/02/24 21:00
Putty 上で screen 使おうと思ったらあんまり調子よくない、
ってな話はここで聞くべき?それとも screen スレに逝くべき?

472 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/25 00:54
screenスレdeso.
sshは端末上で起こることは何も関係ない。

473 名前:名無しさん@お腹いっぱい。 投稿日:02/02/25 02:07
そういやー忘れてたけど、単純にホストを制限したいんなら
libwrap を使うやりかたのほかに、
ユーザレベルの ~/.ssh/authorized_keys でもできるよ。

~/.ssh/authorized_keys:

 1024 33 1210290129012...12019209 hoge@fuga

とあるところを、

 from="*.trusted.domain" 1024 33 1210290129012...12019209 hoge@fuga

とすれば、この公開鍵では .trusted.domain から接続した
ユーザしかログインできなくなる。

474 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/25 03:17
>>473
そうだね。ただし、OpenSSHにはそれ関係のセキュリティホールが見つかっている
ので、サーバ側のOpenSSHのバージョンは少なくとも2.9.9以降にしないとね。
# 現在の最新バージョンは3.0.2 →http://www.openssh.com/ja/


475 名前:473 投稿日:02/02/25 03:18
sageてシマッタ…鬱打氏脳


476 名前:474 メール:sage 投稿日:02/02/25 03:20
474=475 おれアホや。。。


477 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/25 12:39
(・∀・)バ-カバ-カ!!

478 名前:474=475 メール:sage 投稿日:02/02/25 19:39
>>477
IRCで騒ぎながらカキコするとこーゆーことになるんだよ。。

479 名前:新山ゆうすけ 投稿日:02/02/27 07:37
OpenSSH-3.0.2p1 の日本語マニュアル、ようやく翻訳完了しました。
遅くなってすみません。

 http://www.unixuser.org/%7Eeuske/doc/openssh/jman/

間違ってるとこあったらご指摘おながいします。

480 名前:名無しさん@お腹いっぱい。 投稿日:02/02/27 08:57
479に神が降臨したぞ!


481 名前:新山 メール:sage 投稿日:02/02/27 10:38
つーか>>473とかもオレなんですけど…
あのときちょうどsshd.8のそのあたりを訳してたのよー

482 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/02/27 14:33
新山氏に感謝age

483 名前:名無しさん@お腹いっぱい。 投稿日:02/02/27 15:37
TRAMP の設定を解説したページやドキュメントってどっかにありますかね?
というか、私の周りで、TRAMP を満足に動かせてる人って皆無なのですが。
TRAMP って本当に動くものなのでしょうか?

484 名前:名無しさん@XEmacs 投稿日:02/02/27 18:49
>483

ココは見てますよね?
ttp://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html

最近のは知らないけど、昔(去年くらい?)は問題なく動かしてましたよ。

当時、 ssh で使うときは ssh-agent でパスワード入力しないでアクセスできる
状態で使わないとダメだったです。
# こりは知らないと結構ハマるかも。


485 名前:474=475=476 メール:sage 投稿日:02/02/27 20:22
>>481
ぎゃー(怖
いわゆるシャカに説法だったってわけだ(欝打詩嚢...


486 名前:名無しさん@お腹いっぱい。 投稿日:02/02/27 22:34
社内 LAN などで、内<->外は Firewall があったりする。
内で使うもんにも ssh が必要か?

487 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/27 22:38
>>486
ssh-agent 使うとラク。
つーか、r系は設定方法忘れた。

488 名前:421 メール:sage 投稿日:02/02/27 22:42
>486
NFS で /home を共有していれば,ほとんど価値なしと思われ.

489 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/27 23:34
>>487-488
つか、内で ssh 使わなイカンような環境下で同じ仕事せなならんってーのは、
職場の精神衛生上あまりよろしくないと思うのだが。。。

490 名前:名無しさん@お腹いっぱい。 投稿日:02/02/28 00:35
>>479
説明逆になってますよ.

>scp(1) - SSH1 および SSH2 プロトコル上で動作する FTP ライクなプログラム。
>sftp(1) - rcp(1) に似たファイルコピープログラム。


491 名前:名無しさん@お腹いっぱい。 投稿日:02/02/28 00:39
>>489
会社のマシンにwgetでダウソロードしたエロ画像が
うなるほど置いてあったりしたら気になるかもしらんけどね(笑

たしかにヤな環境だよなあ

492 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/28 01:10
>>489
外回りが多い人用に無線 LAN 導入してるような環境だと、ssh 使いたくなる
かもじれず。(WEP じゃあねぇ)

493 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/28 01:22
>>491
それ以前に firewall のログからマークされると思われ。

494 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/28 02:09
>>490
ありがと。直したっす。

本当はOpenSSHの公式ページからもリンクさせたいのだが、
いまちょっと翻訳MLでつっこまれてる。。。むずかしいな。。

495 名前:名無しさん@お腹いっぱい。 投稿日:02/02/28 09:32
ちっとアバウトな質問なんですが。
いろいろなマシンにopensshを入れて回ってるんですが一部のマシンで
--with-tcp-wrappers が有効にならない現象が出ています。
FreeBSD2.2.5 と SunOS5.8 です。うまく行くマシンもあるのですが
駄目なマシンは何度再コンパイルしても駄目で、FreeBSDの場合は
うまく行ったマシンで生成された sshd をコピーすることで回避出来て
いますが SunOSの方はそれでも駄目なんです。アクセス元を制限出来ません。

こんな現象に会った方いませんか?


496 名前:名無しさん@お腹いっぱい。 投稿日:02/02/28 14:20
>>495
まさか Solaris8 machine に libwrap が入っていないっていうことはないよね。

497 名前:名無しさん@お腹いっぱい。 投稿日:02/02/28 14:30
そーだとしたら configure した時点で通らないと思いますが?
一応手動で tcpd.h と libwrap.a はそれなりの場所に入れてます。
エラー吐かずに終わるのに期待の動作しないのが困りモノ…


498 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/02/28 18:54
>>497
configure した時の出力の最後の方で

TCP Wrappers support: yes

にちゃんとなってる?

499 名前:黒き風 メール:sage 投稿日:02/03/03 15:42
・・・・!?

500 名前:黒き風 メール:sage 投稿日:02/03/03 15:44
・・・・!!

501 名前:名無しさん@お腹いっぱい。 投稿日:02/03/07 23:22
またもや openssh のリモート・ホールが発見されましたな。
今度のは crc の奴よりは、サーバー側の深刻度はちょっとだけ低いみたいだけど。
(root を奪えるのは認証されたユーザーだけ?)

FreSSH も、0.8.1 より新しいのは出てないみたいだしのう。


502 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 00:10
>>501
FreSSHって、実用レベルに達してるの?

503 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 00:19
>>502

0.8.1は、それなりには使えるんだけど、負荷をかけるとバグが出てトラブル
ことがあるみたい。なので、まだ普通には勧められない感じ。


504 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 00:32
>>501
リモート・ホールってどーゆーやつを言うの?
ローカルアタックに関するFixだと思うんだけど・・・
まあ、3.1リリースおめでとうございます、てことで。

505 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 00:43
OpenSSH 用 Heartbeat/Watchdog パッチが便利で使ってるのだけれど、
バージョンアップする度に毎回当てるのめんどくさいので、
本家に取り込まれないかなぁ、といつも思うのだが、難しいのだろうか?
http://www.sc.isc.tohoku.ac.jp/~hgot/sources/ssh-watchdog-j.html


506 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 00:49
>>504

確かに、ほとんどのサイトにとっては、ローカル・ホールと等価だろうけど、
ある種のサイト(ssh経由で、任意のユーザーにシェルではないアクセスを
提供しているサイト)にとってはリモートでも危ないから、やっぱりリモート・
ホールじゃないかな。

結局、ローカル・ホールをどう定義するかって問題なんだけど、ローカルマシ
ンで そのコマンドを実行しないと発現しないホールのことだと定義する、す
なわち、シェル・アクセスのあるユーザーに対してか、あるいは、他の穴で既
に侵入されている場合だけに問題になるものだけが、ローカル・ホールと定義
するなら、今回のはリモート・ホール。

認証を通っていればローカル・ユーザーだと定義するなら、確かにローカル・
ホールだけど、上に書いたように、ssh経由で任意のユーザーにアクセスを提
供しているサービスって、存在するから、必ずしも、こちらの定義は使えない
と思うな。

> まあ、3.1リリースおめでとうございます、てことで。

全然めでたくないよ。
crcの奴みたいな、任意のリモート・ユーザーに突かれるホールに比べると、
緊急度は低いけどね。


507 名前:504 メール:sage 投稿日:02/03/08 01:12
>>506
解説ども。
>全然めでたくないよ。
これはマジで言ってる?Fixされたらめでたいと思うけどな。
まさかバグや穴を作るのは断じて許さない、てわけじゃないよね?

508 名前:skel.103M 投稿日:02/03/08 02:01
ChangeLogの日本語訳を書いてみました:

Important Changes(重要な変更点):
==================================
・ホスト認証鍵や設定ファイルなどのディレクトリのデフォルトが /etc/ssh に
 変更された。
・ssh-keygen コマンドは、もはや特定の鍵タイプ(すなわちrsa1)をデフォルト
 とはしないようになった。すなわち、ユーザは必ず -t オプションで作成したい
 鍵のタイプ(rsa,dsa,rsa1のいずれか)を指定しなければならない。
・sshdのX転送機能は、デフォルトではローカルホストをlistenするようになった。
 もし、X11クライアントアプリケーションがこの変更により動作しなくなった場合、
 sshdの設定ファイル(訳注:sshd_configのこと)の X11UseLocalhost オプショ
 ンを変更して以前の動作に戻せばよい。
  原文:sshd x11 forwarding listens on localhost by default;
     see sshd X11UseLocalhost option to revert to prior behaviour
     if your older X11 clients do not function with this configuration

Other Changes(その他の変更点):
================================
・sshクライアントのエスケープ文字の1つ~&が両方のバージョンのSSHプロトコル
 で動作するようになった。
・sshdの ReverseMappingCheck オプションは、意味がより分かりやすい VerifyReverseMapping と
 いう名前のオプションになった。従来通り、 ReverseMappingCheck という名前
 で設定することも可能である。
・使用された公開鍵(訳注:ユーザ認証鍵の公開鍵)の指紋が LogLevel=VERBOSE の
 ときにログとして記録されるようになった。
・シェルが存在しないなどの理由でログインが許可されなかった場合、その理由が
 ログとして記録されるようになった。
・X転送におけるエラー処理を強化した。
・……意味不明 (T_T) ……
  原文:improved packet/window size handling in ssh2
・regex(3)を使用しなくなった。
・sshdで SIGCHLD races が発生するという現象(Solarisで発生する)を
 対策???……意味不明 (T_T) ……
  原文:fix SIGCHLD races in sshd (seen on Solaris)
・sshdに -o オプションが新設された。
・sftpに -B, -R, -P オプションが新設された。
・ssh-add コマンドは、3つのデフォルトのユーザ認証鍵すべてを認証エージェント
 に登録する追加する
  原文:ssh-add now adds all 3 default keys
・ssh-keyscan コマンドのバグフィックス
・……意味不明 (T_T) ……
  原文:ssh-askpass for hostkey dialog
・……意味不明 (T_T) ……
  原文:fix fd leak in sshd on SIGHUP
・……意味不明 (T_T) ……
  原文:TCP_NODELAY set on X11 and TCP forwarding endpoints

原文を書いているところは、日本語訳に自信がないところです(苦笑)
うまく訳せる方・意味が分かる方は、フォローしてくださると助かりますです。


509 名前:skel.103M 投稿日:02/03/08 02:20
懲りずに続き:

セキュリティ関係の変更点(adv.channelalloc):
1.影響を受けるシステム
  バージョン2.0から3.0.2までのすべてのリリースには channel code に
  off-by-one エラーが含まれています。
   原文:All versions of OpenSSH between 2.0 and 3.0.2 contain an
      off-by-one error in the channel code.

  3.1以降のバージョンではこの問題は解決されています。
2.影響
  この脆弱性を持ったSSHサーバにログインしている正規のユーザによって、
  SSHサーバに…(不明)…。また、この脆弱性を持ったSSHクライアントに
  悪意を持ったSSHサーバがattackすることによっても同様の…(不明)…。
   原文:This bug can be exploited locally by an authenticated user
      logging into a vulnerable OpenSSH server or by a malicious
      SSH server attacking a vulnerable OpenSSH client.
3.解決方法
  次のパッチ(訳注:省略させていただきました)を適用するか、バージョン3.1
  以降を使用することによってこの問題は解決されます。
4.Credits
  このバグは Joost Pol <joost@pine.nl> 氏によって発見されました。


510 名前:春山征吾 ◆9Ggg6xsM メール:haruyama@unixuser.org 投稿日:02/03/08 02:23
>>508-509
skel.103Mさん、たびたび情報提供ありがとうございます。

変更点について、私の訳を
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.1.txt
に載せました。

また今回のセキュリティホールについて
http://www.unixuser.org/%7Eharuyama/security/openssh/index.html
に記載しました。

511 名前:skel.103M メール:sage 投稿日:02/03/08 02:25
うーむ、翻訳って難しい…(汗)


512 名前:skel.103M メール:sage 投稿日:02/03/08 02:29
>>510
かぶったーーー(撃沈)
春山征吾センセ、こちらこそいつもお世話になってます。

# 作業早っ!!


513 名前:新山 メール:sage 投稿日:02/03/08 02:30
>>509
オレならこういう場合 2つの文に分けちゃいますが。

> This bug can be exploited locally by an authenticated user
> logging into a vulnerable OpenSSH server or by a malicious
> SSH server attacking a vulnerable OpenSSH client.

 このバグは、脆弱な OpenSSH サーバに認証してログインしたユーザによって
 ローカルで濫用される危険があります。あるいは、悪意ある OpenSSH サーバが
 脆弱な OpenSSH クライアントを攻撃することによっても同じくローカルで
 濫用されます。

locally 「ローカルで」っていう表現はいまいち好きじゃない。
exploit 「濫用」もなんかひっかかる。「搾取」だとイメージ違うし。

514 名前:新山 メール:sage 投稿日:02/03/08 02:32
あ。春山さんだ。。。

515 名前:skel.103M メール:sage 投稿日:02/03/08 02:42
>>513
初めまして!!(たぶん

> locally 「ローカルで」っていう表現はいまいち好きじゃない。
 私もそう思いました。「認証してログインしたローカルユーザ」がいいのか
 なぁ…。
> exploit 「濫用」もなんかひっかかる。「搾取」だとイメージ違うし。
 「exploitされてしまう」と訳すと、日本語訳ぢゃねーってツッコミ入れられそう
 ですしね。「不正に高い権限をとられてしまう」がいいのでしょうか…ふ〜む…


516 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 02:42
>> 全然めでたくないよ。

> これはマジで言ってる?

マジよ。

> Fixされたらめでたいと思うけどな。

もちろん、fixされないよりはマシね。
でも運用している側からすると、ssh/sshd を入れ換える手間が発生するので、
全然めでたくないよ。作ってるほうだって、穴が見つかったのを嬉しいなんて
思ってないとおもうぞ。穴が存在するが報告されてない状態と比較するなら、
確かに嬉しいだろうけどね。

>まさかバグや穴を作るのは断じて許さない、てわけじゃないよね?

まあね。バグのないソフトウェアなんて存在しないからね。
でも、正直言って、俺にとって最近もっとも手間がかかるソフトウェアが
sshd なんだよな。
俺は新しい機能とか便利な機能とかは要らない、現状の機能か、現状より
少ない機能でいいから、穴のない sshd が欲しいよ。


517 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 03:03
>>516
つまりインストールすんのめんどくさいだろうがボケということね


518 名前:新山 メール:sage 投稿日:02/03/08 03:44
> でも、正直言って、俺にとって最近もっとも手間がかかるソフトウェアが
> sshd なんだよな。
> 俺は新しい機能とか便利な機能とかは要らない、現状の機能か、現状より
> 少ない機能でいいから、穴のない sshd が欲しいよ。

djb信者として、はげしく同意。

つーかこういう意見は openssh 開発グループの中にもあって、
MailCheck とかどうでもいいような機能ははずそうよ、という議論が
むかしあった。でもどんどん余計な機能が追加されてるね…。

519 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 03:49
つーか思った。
djbに作らせればいいんでないの?


520 名前:_ 投稿日:02/03/08 03:56
>>518
> でもどんどん余計な機能が追加されてるね…。
 具体的にどういうものでしょうか。(他意は全くございません、*本気で*知りた
 いわけです。)私ならKerberos認証、Rhosts認証、PrintMotd、PrintLastLogあたり
 かな。。

ちなみに、「host.domain」という名前でsshにシンボリックリンクを張っておくと、
  % host.domain
と実行したら、
  % ssh host.domain
を実行したのと同等になるっていう機能があるようで…(つい最近知ったんですけ
ど)。これって便利?


521 名前:新山 メール:sage 投稿日:02/03/08 04:18
たとえば 3.0 で追加された、スマートカードから鍵を読むという機能。
ぼくは使ったことないのでよく知らないけど、これって別プロセスにして
ssh-add みたくするんじゃダメなの、と思う。

あと、機能というわけではないけど、サイトの運営ポリシーの違いを
反映させるような瑣末なオプションが多い。今回の X11UseLocalhost も
そうだし、3.0.1 の NoHostAuthenticatinForLocalhost とか。
こんなのインストール時に一度決めたら普通変えないでしょ。
それならデフォルトで安全なほうに決め打ちしといて、
あとはパッチで対応させるか、configure のオプションにしろと思う
(これはこれで問題ありか)。だけど互換性が足をひきずってるんでしょうね。
OpenSSH-2.9 からデフォルトが SSH2 になってハマった人は多いはず
(OpenSSH本では締め切り直前にそれに気づいて必死で直した)。
そういうとこで問題を起こしたくないのかもしれない。

まあ、こんなとこで書いてないで dev-ml にでも
投稿しろといわれればそれまでです。はい。

522 名前:新山 メール:sage 投稿日:02/03/08 04:24
ああ、今思ったけど、ssh.com との互換性も重視してるのかも。
すると本家が機能を追加してたらどうしようもないですね。

523 名前:名無しさん@お腹いっぱい。 投稿日:02/03/08 09:17
>>520
> ちなみに、「host.domain」という名前でsshにシンボリックリンクを張っておくと、
>   % host.domain
> と実行したら、
>   % ssh host.domain
> を実行したのと同等になるっていう機能があるようで…(つい最近知ったんですけ
> ど)。これって便利?

あまり便利だとも思わないけど、rloginに昔からあるよ。

まあ、シェルの入力補完でホスト名を補完できる、ってのは
便利と言えば便利かも。


524 名前:名無しさん@お腹いっぱい。 投稿日:02/03/08 09:34
>>520

一つの端末からいくつものマシンにログインして、
セッションをサスペンドで保持している場合、cshの
ジョブコントロールで簡単に切り替えられる。
(%<ジョブの先頭>ってやつ)

xxx-yy01なんてホスト名ばかりだとあまり嬉しくないが。


525 名前:名無しさん@XEmacs 投稿日:02/03/08 17:24
>>520
> ちなみに、「host.domain」という名前でsshにシンボリックリンクを張っておくと、

って機能は 2.3 と 2.5 の間辺りで消された筈だが。

ssh.com 版の話?


526 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/08 17:29
>>519
> djbに作らせればいいんでないの?
free じゃなくなりそうで、やだ。

527 名前:_ 投稿日:02/03/08 19:21
>>523
うん、知ってる。実は、
  http://www.oreilly.com/catalog/sshtdg/
の本を読んで初めて知ったんよ。


528 名前:_(=520=527) メール:sage 投稿日:02/03/08 19:27
>>525
そ、そうなんですか…。それで春山センセの本
  http://www.unixuser.org/~haruyama/security/openssh/support/
の本には書いてなかったわけか。>>527の通りなんだけど、そっちの本には書
いてあるのに春山センセの本には書いてないのはどうしてかなー、と思って
たわけなんです。


529 名前:_(520=527=528) メール:sage 投稿日:02/03/08 19:30
>>521
なるほどです。どうもありがとうございます。
# あの本の執筆時の舞台裏ではそういうことがあったのですか…どうもご
# 苦労さまです m(__)m


530 名前:skel.103M 投稿日:02/03/08 19:41
なんか今さらアレですけど…
>>508-509
実はコレ、Installer MLで流れてきたメールに記載されていたものを日本語訳
したものです。で、そのメールの発信者の方は、
  http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=101550252713913&w=2
から原文を引用されたと思われます。よって私の日本語訳(あまりいいデキ
とは言えんが…苦笑)の原文は上記URLにあるということでよろしくです。


531 名前:たいがいSunOS4.1は捨てたいのだが金がないぞ。 投稿日:02/03/09 03:43
SunOS4.1.4JLEじゃssh-3.1.0はmake出来ませんな。makeするには

パッチをあてる。
-----
*** sshmalloc.c.ORG Tue Mar 5 19:46:10 2002
--- sshmalloc.c Tue Mar 5 19:48:14 2002
***************
*** 487,493 ****
#pragma weak ssh_free = _ssh_free
#pragma weak ssh_strdup = _ssh_strdup
#pragma weak ssh_memdup = _ssh_memdup
! #elif defined(__GNUC__) && !defined(__APPLE__)
void *ssh_malloc(size_t size)
__attribute__ ((weak, alias("_ssh_malloc")));
void *ssh_realloc(void *ptr, size_t old_size, size_t new_size)
--- 487,493 ----
#pragma weak ssh_free = _ssh_free
#pragma weak ssh_strdup = _ssh_strdup
#pragma weak ssh_memdup = _ssh_memdup
! #elif 0 // defined(__GNUC__) && !defined(__APPLE__)
void *ssh_malloc(size_t size)
__attribute__ ((weak, alias("_ssh_malloc")));
void *ssh_realloc(void *ptr, size_t old_size, size_t new_size)
--------

次に,

setenv LIBS "/usr/local/lib/gcc-2.95.3/lib/libiberty.a"

とかする。pathは環境に合わせる。そして

./configure

しませう。



532 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/09 04:00
djbはリモートホストにログインするのに何を使ってるんだ?
まさかtelnetじゃないよな?



533 名前: メール:sage 投稿日:02/03/09 04:28
テラターム

534 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/09 04:48
>>532
SMTP 使ってるよ

535 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/09 05:09
>>532
> まさかtelnetじゃないよな?
IPsec や Kerberos を使ってる場合には telnet もアリだと思うが。

536 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/11 00:01
>>535
そういえば、Kerberosって日本じゃ全然流行らないねぇ。

537 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/11 10:38
>>535
Windowsを含めたシングルサインオン環境を実現しようとして、一時期
いろいろ調べたんだけど、標準的に使える暗号がsingle DESだけぽいの
で諦めた。Heimdal(krb5)はWindows方面拡張のRC4にも対応してるみた
いだったけど、灰色ライセンスの暗号に依存するシステムはヤなので不
採用。

538 名前:537 メール:sage 投稿日:02/03/11 10:39
間違えた。537は>>536ね。

539 名前:名無しさん@お腹いっぱい。 投稿日:02/03/11 13:13
OpenSSH インストール中につき

age

540 名前:名無しさん@お腹いっぱい。 メール:  投稿日:02/03/11 17:34
「誰か ttssh2 作ってください」
っていうスレ立ててもいいですか?

541 名前:名無しさん@XEmacs メール:sage 投稿日:02/03/11 17:45
>>540

最近だと ssh2 に対応して日本語が使えるクライアントとして

http://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top

つーのがありますが,これだとアカンのですか?自分ではウィソは使わ
ないので,ttssh と比べた報告をキボンヌ.


542 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/11 17:46
>>540
ここでいいじゃん。

543 名前:名無しさん@お腹いっぱい。 メール:  投稿日:02/03/11 17:51
>>541
もちろん知ってますが、

PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/l50

やはりTeratermを使いたいので。


>>542
ここで言っても人が集まりませんし。

544 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/11 17:55
>>540
だめ。

「ttssh2 作ったので、見てください」

なら可。

545 名前:名無しさん@お腹いっぱい。 メール:  投稿日:02/03/11 17:58
>>544
わかりました。

546 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/11 18:00
というか、スレ立てるだけで誰か作ってくれたりしたら
なんて素晴しいだろうね >>545


547 名前:名無しさん@お腹いっぱい。 投稿日:02/03/11 18:06
>>546
しかしザウルス用の2chブラウザなんかは本当にできましたけどね。

ザウルス用2ちゃんブラウザって無いの?
http://pc.2ch.net/test/read.cgi/mobile/1002359628/l50

しばしスレ名とテンプレを募集します。



「ttssh2って便利ですよね」
1 名前:エニグマ 投稿日:2000/12/11(月) 10:10
みなさん欲しいですよね。

関連スレ
PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/l50


548 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/11 18:11
>>540
立ててもいいけど、言いだしっぺの法則が適用されます。

549 名前:skel.103M 投稿日:02/03/11 19:01
作れればいいなー、とは思う。ホントに。

が、
  http://www.openssh.com/ja/manual.html
のプロトコルの仕様書(英語)読んでもさっぱり分からない。SSH1なら
  http://www.oreilly.com/catalog/sshtdg/
とか
  http://www.unixuser.org/%7Eharuyama/security/openssh/
の本を読めば仕組みは大体分かるんだけどね。(少なくとも、利用
者(含:サーバ管理者)にとって必要な情報はすべて書かれていると
私は思います。)


550 名前:名無しさん@お腹いっぱい。 メール:  投稿日:02/03/11 20:02
>>549
なかなかいいリンクですね。
テンプレに追加、と。

>>548
スキルが無い奴に限ってスレ立てたがる法則もありますけどね。

551 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/11 21:47
>>540
実物のあるPuTTYスレですら30レスしかついてないのに、これ以上Winネタはやめてくれ。
せめてage荒らし収まってからにしてくれ。

552 名前:_ 投稿日:02/03/12 00:02
>>550
追加するなら、こっちも:
http://www.unixuser.org/~euske/doc/openssh/
(たぶんすでに追加してると思うけど…)

あと、
  http://www.unixuser.org/~haruyama/security/openssh/support/
の本を読んで勉強した後に分かったことですが、
  http://stingray.sfc.keio.ac.jp/security/ssh/
の「実際に使ってみる」の
> 1. まず、接続元のsshが接続先にsshdにこれから接続するユーザー名とその公開鍵を送ります。
は誤りです(このページの筆者自身このことについて懐疑的になっていますが)。これ
以外にも、SSHについて書かれたWebページは、誤りと思われるものが多かったりする
ので注意が必要かと。経験上、最終更新日が1999年より前のWebページは誤りが含まれ
ている可能性が高いです。(ま、1999年より前は、SSHに関する情報がまだ十分に整理
されていなかった時期だから仕方がないといえば仕方がないのでしょうけどね。)

# とっととtcpdumpの使い方を覚えよう…今のままぢゃ説得力がないからなー(苦笑)


553 名前:552 投稿日:02/03/12 00:16
私自身、
 http://www.openssh.com/ja/
 http://www.openssh.com/ja/manual.html
 http://www.unixuser.org/~euske/doc/openssh/
と、
 http://www.unixuser.org/~haruyama/security/openssh/support/
 http://www.oreilly.com/catalog/sshtdg/
の本は全面的に信頼してます。それ以外のWebページに関しては分からないですな。

あと、誤解のないように言わせていただくなら、>>552
> は誤りです
というのは、上記の本に書かれていることとは異なるという意味です。


554 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/12 02:45
ちょっとスレ違いぎみだがコレ。
http://pc.2ch.net/test/read.cgi/tech/1002736958/
75からの話は参考になる。

555 名前:名無しさん@お腹いっぱい。 投稿日:02/03/12 09:46
OpenSSH 3.1p なんですが、

FreeBSD 2.2.8R
FreeBSD 4.2R

ではそのままでは make できまへんでした。鬱だ。

FreeBSD 3.5.1R
FreeBSD 4.4R
FreeBSD 4.5R

ではオッケーでした。

556 名前:名無しさん@お腹いっぱい。 投稿日:02/03/12 09:48
>>555
opensslのバージョンは?

557 名前:555 投稿日:02/03/12 09:52
>>556
0.9.6c です。

ちなみに openssh-3.0.2p1 までは
↑の全てで make できてました。

558 名前:名無しさん@XEmacs 投稿日:02/03/12 11:21
>>553
> 私自身、
>  http://www.openssh.com/ja/
>  http://www.openssh.com/ja/manual.html
>  http://www.unixuser.org/~euske/doc/openssh/
> と、
>  http://www.unixuser.org/~haruyama/security/openssh/support/
>  http://www.oreilly.com/catalog/sshtdg/
> の本は全面的に信頼してます。

ざっと見てみただけだけど、少なくとも、

>  http://www.unixuser.org/~euske/doc/openssh/

を「全面的に信頼」するのはやめとくのが吉。

4. SSH プロトコルのしくみ - 必ず知っておくべきこと

の部分の記述には明白な誤りがあるので。

・「ここでは SSH2 を使うものとして話をすすめる」と言いながら、
書かれている認証方法は SSH1 のもの。
・で、SSH1 の認証だとして読んだとしても重要なところが間違ってい
る (復号した challenge をそのまま response として返すようにしか
読めない)。
・で、やっぱ SSH2 の認証を書くべきでしょう、いまなら。

559 名前:新山 メール:sage 投稿日:02/03/12 12:27
> ざっと見てみただけだけど、少なくとも、
> >  http://www.unixuser.org/~euske/doc/openssh/
> を「全面的に信頼」するのはやめとくのが吉。

すみません。書いた自分が言うのもなんですが、まったくそのとおりで、
あんな中途半端な状態のものをいつまでも公開していてのは害になるだけですね。
わかってはいたんですが、いつか直そうと思いつつちっとも進まずに
放置していました (しかも完成しないうちから中途半端に改訂したりしてた)。

とりあえず完成するまであのページの内容は空にしておきます。

# つうか、あのページを最初に書きはじめたときはまさか自分が OpenSSH についての
# 本を書くことになるとか、あのページが大勢の人に見られるなどとは思っても
# いなかった。人目に触れるようになるとやっぱ大変だなあ。

560 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/12 12:58
>>559
せっかくだから、注でもつけて
空にしないでおいてくださいな。


561 名前:新山 メール:sage 投稿日:02/03/12 14:08
うーん、でも間違ってるとわかってるものを
わざわざ公開するのはあれなので。とりあえず消しました。
(まあ「素人が書く資料の悪い見本」として展示するというのはそれなりに
面白い試みではあるのだが、ネタがネタなので)

ところで、後学のためにお聞きしたいんですが、

> ・で、SSH1 の認証だとして読んだとしても重要なところが間違ってい
> る (復号した challenge をそのまま response として返すようにしか
> 読めない)。

これは、ぼくにとってはまさにそういう理解なのですが、
何がまずいんでしょうか? 「暗号化された経路上で」という語句が
抜けているということでしょうか。

562 名前:名無しさん@XEmacs メール:<sage> 投稿日:02/03/12 15:55
> > ・で、SSH1 の認証だとして読んだとしても重要なところが間違ってい
> > る (復号した challenge をそのまま response として返すようにしか
> > 読めない)。
> これは、ぼくにとってはまさにそういう理解なのですが、
> 何がまずいんでしょうか? 「暗号化された経路上で」という語句が
> 抜けているということでしょうか。

SSH1 の challenge&response はもう二捻りほど工夫してるんです。で、
暗号化された経路上とかは関係ありません。

もちろん答を書いちゃうのは簡単なんだけど、それだと面白くないの
で、少し自分で考えてみられては如何?

ヒントは:
1: 悪意のサーバへの対抗策
2: MITM への対抗策

ま、でも、これ誰にも聞かず/何も読まずに気づけたとしたら、凄い
センスだと思う。というか、センスあり過ぎかも。

ということで、わたしからの回答は二日後くらいに B-)


563 名前:春山征吾 ◆9Ggg6xsM メール:sage 投稿日:02/03/12 16:52
>>562
われわれの本にも同様の誤りがあったので、正誤表に加えました。
http://www.unixuser.org/%7Eharuyama/security/openssh/support/

564 名前:552(=399) 投稿日:02/03/12 23:26
>>558
たしかに「*全面的に*信頼する」というのは言い過ぎかもしれないですけどね。
でも、(利用者・サーバ管理者からの視点での)SSHの仕組み、そしてSSH1プロト
コルの仕組みを知る分にはいいと思ってました。少なくとも、
  http://stingray.sfc.keio.ac.jp/security/ssh/
はアレだし、>>399で書いた
  http://www.seshop.com/bm_detail.asp?sku=59460
の本はクソ分かりにくいし…それに比べれば
  http://www.unixuser.org/%7Eharuyama/security/openssh/support/
の本は分かりやすくかつ丁寧に書いてましたので、非常によいと思ってます。

>>559(新山)さん
たしかにあのWebページは作成中とのことだったので、ここに載せるべきではなかったのか
もしれません。もし気分を害されたのでしたら申しわけありません。私自身は、
例のWebページを本と同様、参考にさせていただいたので、>>560さんと同様、残
して下さるといいなと思います。


565 名前:552(=399) メール:sage 投稿日:02/03/12 23:44
>>558
>>562
(私も考えてみますです。たぶんムリだがtryするのはいいだろうと思うし)


566 名前:552(=399) 投稿日:02/03/12 23:53
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2002/03.html#20020312_zlib

またbuild&installのやり直しだ(鬱)…OpenSSHもZlibを利用しているからね


567 名前:新山 メール:sage 投稿日:02/03/13 00:57
>>554
> もし気分を害されたのでしたら申しわけありません。

いや、そんなことは全然ないです。
むしろ、正直すまなかったという感じ。
いい機会なんでこのさいいったん消して、新しくつくりなおそうかと。
(他にもやってることがあるんで、いつになるかわからないけど、
まあほかにもSSHの解説はいっぱいあるわけだし)

>>562
そう指摘されて気づきましたが、responseをそのまま返すと
ニセのchallangeを送って、responseを記憶しておくという方法が
可能になってしまいますね。暗号文選択攻撃だっけ。

568 名前:名無しさん@XEmacs メール:sage 投稿日:02/03/13 11:55
>>563
> われわれの本にも同様の誤りがあったので、正誤表に加えました。
> http://www.unixuser.org/%7Eharuyama/security/openssh/support/

反応はや。

#見習わねば。

ということで、どこが間違っていたかは明らかになっちゃいましたね。
あとはこれらの手当によって何故 562 に書いたような効果が得られる
か、だけです。

>>567
> そう指摘されて気づきましたが、responseをそのまま返すと
> ニセのchallangeを送って、responseを記憶しておくという方法が
> 可能になってしまいますね。暗号文選択攻撃だっけ。

まぁ、公開鍵暗号の場合、選択暗号文攻撃への耐性は当り前に求めら
れるので、これでは不正解。そんなに悠長に何度もやり取りを繰り返
せる situation でもないですし。

悪意あるサーバが一発で致命的なダメージ (と言ってしまうとあとの
回答で「なーんだ」と思われちゃうかもしれないが) をクライアント
に対して与えることができてしまうのです。復号結果そのものを返し
てしまうと。

565 さんも頑張ってね。


569 名前:名無しさん@お腹いっぱい。 投稿日:02/03/13 17:11
以前どこかのスレで聞いたのですがはっきりした答えが得られなかったので
聞きます。
sshのplain password log inをする場合に送る
login名とpasswordは既に安全な経路となっているのでしょうか。

570 名前: メール:sage 投稿日:02/03/13 17:17
>>569
passwordがplainなまま送られることはありません。


571 名前:名無しさん@お腹いっぱい。 投稿日:02/03/13 17:51
研究室環境のsshを、現在利用しているssh.comのssh1/ssh2から
OpenSSHに移行しようと思っています。

管理者側の作業はいいとして、
ユーザ向けに、鍵 (や、authorization, hostkeysなどもあれば尚
可)のファイル変換・移行手順をまとめたガイドがあると大変嬉し
いのですが、どこかに転がっていませんでしょうか。

特に、ユーザが公開鍵・秘密鍵をSSHからOpenSSHに変換出来る手順
をわかりやすく説明したものを探しています。


572 名前:名無しさん@お腹いっぱい。 投稿日:02/03/13 18:21
>>570
つまり、既に経路がssh化されてるということですか?

573 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/13 18:23
>>572
すでに経路が暗号化されているということです。

574 名前:春山征吾 ◆9Ggg6xsM メール:sage 投稿日:02/03/14 00:15
>>571
http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_3
#管理上の都合でわたしのディレクトリにありますが、新山さんがまとめたものです。
#というか、この補遺は全面的に新山さんによるものです。
ちなみに、OpenSSH 2.9.9以降では SSH2の公開鍵もSSH1の公開鍵と同じく
~/.ssh/authorized_keys
に登録できます。(http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_8)
なお、SSH1の鍵はOpenSSHと商用SSHでフォーマットに違いはありません。

575 名前:名無しさん@お腹いっぱい。 投稿日:02/03/14 01:12
sshといえば、うちの大学の某共用マシンは、sshのバージョンアップが
行われるたびにhost鍵が変わっている…

こういうクソい事は辞めてほしい…

576 名前:名無しさん@お腹いっぱい。 投稿日:02/03/14 01:18
port scanツールでsshのscanしてみたのだけど、inet起動にしていると
port scanツールに引っかからないね。

何故って、port scanツールはタイムアウト時間が短いです。

inet起動の場合サーバ鍵の生成に時間がかかるので、最初少々待たさ
れます。その間にport scanツールがタイムアウトします。

577 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/14 08:22
>>571
http://takei.webmasters.gr.jp/ldl/ から
たどれるどこかにあったような……。

>>576
タイムアウト値を長くすりゃいいんでないの?

578 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/14 12:15
>>575
そんなマシン信頼できるかゴルァ! とつっこまないと。


579 名前:名無しさん@XEmacs メール:sage 投稿日:02/03/14 13:37
>>562
> ということで、わたしからの回答は二日後くらいに B-)

それでは。

まず、復号した challenge をそのまま response として送ると、悪意
あるサーバに何ができてしまうかについてだけど、これは RSA という
アルゴリズムに固有の「復号処理と署名処理が同型である」という特
徴を利用した攻撃ということになる。

で、クライアントにとって不利益となる (たとえば「わたしは○○氏
から100万円借りてます」とかいう) よな電子文書から採った Hash 値
をサーバが challenge として送っていたとすると思いねぇ。暗号化さ
れた乱数値だと信じてクライアントがそれを復号して返してしまうと、
サーバは

・クライアントにとって不利益となる電子文書
・クライアントの秘密鍵で変換された当該電子文書の Hash 値

という二つのデータを入手できるわけ。これが何かといえば、すなわ
ち電子署名された文書に他ならないので、特に電子署名法が有効な現
在では、この事実を否認するためにクライアント氏は裁判で相当な労
力を割かなければならない羽目にも陥りかねないということ。

ここから得られる教訓は、セキュアプロトコルを設計する際、どちら
か一方が結果に対して完全なコントロール権を握ることがないように
図るのが肝心、ってとこかな。

そのために SSH1 では送られた challenge の復号結果をクライアント
がさらに hash することでサーバの影響力を弱めている (復号と hash
が逆だとまだちょっと危ない) し、SSH2 (や SSLv3) では被署名デー
タの一部としてクライアント/サーバ両方がそれぞれ独自に生成した乱
数値を含めるようになっているわけ。

また、SSH ではクライアントの鍵は認証用にしか使われないため顕在
化しないけど、もし暗号化にも利用してるような場合、上でいう challenge
としてどこかで拾っておいた「クライアントの公開鍵で暗号化された
データ」が送られたりすると、サーバは労せずしてその復号結果を手
にすることができるわけだ。

えらく長くなってしまったので、もう一点は別便で。


580 名前:名無しさん@XEmacs メール:sage 投稿日:02/03/14 14:07
>>579
> えらく長くなってしまったので、もう一点は別便で。

で、もう一つ。セッション ID の効用の方ね。これはもちろん 579 の
攻撃に対するさらなる防御という意味合いも持っているんだけど、そ
れ以上に重要なのが MITM の検出という役割。

たぶんみなさんご存知のとおり、SSH の場合、サーバの Host Key を
known_hosts なんかでちゃんとチェックしないと MITM な攻撃者によっ
て仲介された形のセッションが張られる (= 通信内容バレバレな) 可
能性があるわけだが、response となる hash 値の生成元データの一部
としてセッション ID が含まれているおかげで、RSA 認証 (Rhosts with
RSA でも OK) を用いるならばそのような MITM が行われているかどう
かが検出できる。

それが何故かと言えば、セッション ID にはサーバの公開鍵情報が反
映されるようになっているから。で、もし、MITM されていると、クラ
イアントが見ているサーバ公開鍵とサーバ自身が使っている公開鍵が
別物になってしまうため、サーバによる response の検証が失敗する
というわけだ。

http://www.soi.wide.ad.jp/iw2000/iw2000_tut/slides/09/33.html

辺りを見ると参考になるかも。


581 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/14 18:52
[Cygwin*-Update] OpenSSH-3.1p1-1
http://www.sixnine.net/finkl/d200203a.html#08-4
に変更点の訳発見。

582 名前:576 投稿日:02/03/14 22:06
>>577
善意な方向で意味を汲んでくれたようですが、
そういう意味で書いたのではなくてinet起動に
しておけばsshのバージョンアップしなくても
port scanで見つからないよ(藁 という意味で
書きました(汗

583 名前:名無しさん@お腹いっぱい。 投稿日:02/03/15 01:58
>>582
ん? port22 に来るたびに fork & exec はするだろうけど、そのたびに鍵作る?
もしそうだとして、それで portscan がタイムアウト起すほど時間かかるなら、
それ DoS アタックにむちゃむちゃ弱くないか?


584 名前:582 投稿日:02/03/15 09:46
>>583 鍵作る?
inet起動と書いてあるだろうが!forkするのはsshじゃなくてinetdだよ。
だから鍵は毎回作る事になる。

>>Dosアタック
弱いね。

しかし、メンテをさぼるような話ししれるんだから、
落ちてもresetボタン押して終わりです(汗

585 名前:577 メール:sage 投稿日:02/03/22 13:16
>>571
> 研究室環境のsshを、現在利用しているssh.comのssh1/ssh2から
> OpenSSHに移行しようと思っています。
あったあった。
新山/春山版の方が詳しいかもしんないけど、いちおう。
http://masy.families.jp/documents/secsh_key.html

586 名前:名無しさん@お腹いっぱい。 投稿日:02/03/24 15:00
場違いな質問かもしれないんですが教えて。

SSH使って自宅ケーブルから大学へつないでいると
なにやら警告の窓が出てきて IP***.***.***.***からポートスキャンに
似た攻撃を受けたみたいなメッセ(英語)が出てきて怖いんですが、
これ何か悪さをされてるのかな?怖くて最近使わないようになったんですが
教えてください。

587 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/24 16:16
>>586
そのメッセージを見ずに答えろ
という挑戦ですか?

588 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/24 18:04
日本のメッセと言えば幕張が思い浮かぶけど、
英語のメッセはよく知らないなぁ。

589 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/24 19:14
>>484
> ttp://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html

それって古いままやね。tramp.tar.gz ばらすと新しいのに
sync してありますぜ。


590 名前:名無しさん@お腹いっぱい。 投稿日:02/03/24 21:07
>587
Host with IP number ***.***.***.*** tried to connect to
local port 21. This could be some kind of port scan
って感じだったんだが。

591 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/24 21:59
tramp 使ってみました。こりゃ手放せなくなりそう。
日本語ドキュメントはありがたいです。でも、
http://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html
の「TRAMP ファイル名のきまり」は変じゃないですか?
/[メソッド名/ユーザ名@マシン名]/ としたらうまく逝きました。

592 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/25 05:18
>> 591
see 589


593 名前:ななし 投稿日:02/03/30 10:39
微妙にスレ違いな気がしないでもないんですが、質問です。
OpenSSHをいれるときに MD5を有効にしてコンパイルするってのが
ありますよね?。

このMD5って、入れたほうが暗号化という面で見た場合、通常よりも有効なんでしょうか?4
http://wdic.asuka.net/?title=MD5
こっちで見たらSHA-1に主役の座を渡してるってあるし。
DESが64bit MD5が128bitでどうのこうのという記述を読むと、やっぱりなやむし。
現時点でコンパイルするとしたらどちらのほうがいいのでしょう?



594 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/30 13:24
>>593
そもそも MD5 って暗号化アルゴリズムじゃないぞ。

595 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/03/30 14:11
MD5って、SSHでは改竄を検出することに使ってるだけじゃないか?(よく知らん)

596 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/01 16:58
新山さんと春山さんの買ったなり。

597 名前:7743@OpenSSH メール:sage 投稿日:02/04/01 18:10
>>596
そして http://www.unixuser.org/~haruyama/security/openssh/support/ をブックマークに
追加する、と。


598 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/01 18:11
どうしても「ニイヤマ」と読んでしまう。

599 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/01 18:32
アラヤマと読んでいた。スマソ。


600 名前:596 メール:sage 投稿日:02/04/01 20:14
俺も最後のページで正しい読み方知った。
SKKのL辞書にも載ってないのでcgiに登録するなり。
著者略歴笑った。

601 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/02 05:36
http://www.google.com/search?q=cache:0DiFJ8lfeoEC:www12.freeweb.ne.jp/shopping/miyucyan/fr_kenchin.htm+%82%AF%82%F1%82%BF%82%F1%8F%60+%82%C6%82%A4%82%D3+%90%D8%82%E9&hl=ja&start=24&lr=lang_ja
切る人もいるみたい。あとは握り潰す人も。
ちぎる > つぶす ??


602 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/04/09 15:43
厨問で申し訳ないのだが・・・

サーバ:FreeBSD4.4-R & OpenSSH3.1p1
クライアント:W2K & TeraTermPro+ttssh

にて。
サーバ側で identity(RSA1)を作成し、FFFTP(アスキーモード)で
クライアントマシンにDLした。
だが、接続しようとすると
「The specified key file does not contain an SSH private key」
と表示され接続できない。

どうしたら良い?

603 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/09 16:28
>>602
SSH1の秘密鍵(identity)はバイナリファイルです。

604 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/09 17:21
>>602
細かいことかもしんないけど、
サーバ側で鍵を作るってのはいかがなものか。
puttygen.exe で作った鍵って TTSSH で使えない?
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

605 名前:602 メール:age 投稿日:02/04/09 17:38
サンクスコ

606 名前:602 メール:sage 投稿日:02/04/09 17:43
>>604
そっか、ローカルで作ったほうが良いよね
サンクスコ

607 名前:名無しさん@お腹いっぱい。 投稿日:02/04/11 13:20
SSH2のwindows用日本語版ソフトはないでしょうか?
できればGUIのものが良いです。
Puttyを使っているのですが、英語表記なのが難点です。
ご存知でしたらご紹介願います。

608 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/11 13:23
ないれす。日本語化して使いなされ。
PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/l50

609 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/11 13:24
昨日のssh君か。

610 名前:名無しさん@お腹いっぱい。 投稿日:02/04/11 14:50
WinSCPを使用して、サーバに接続しようとすると
Public key packet not received.
というエラーが出てしまいます。
この理由がわからず困っています。
どなたか理由をご存知の方はいるでしょうか?
sshの場所で失礼ですが、教えて下さい。

611 名前:名無しさん@お腹いっぱい。 投稿日:02/04/12 02:16
solaris8 でうまくopensshが動いてくれん。
泣きそうだ!
どっか良いページないか?

612 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/12 02:26
>>611
どううまくいってないのか書かないことには
だれも助けられん。

613 名前:名無しさん@お腹いっぱい。 投稿日:02/04/12 03:22
>>611
普通に動いているが...
ssh 、 sshd ともに。
ちなみにsolaris8 64bit 10/01

614 名前:初期不良 投稿日:02/04/12 04:18
>>611
GCC のバージョンを落としたらうまくいったという話があったような

615 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/04/12 08:44
>>612に同意。

>>611
・「uname -a」の実行結果は?
・いつうまくいかないの?コンパイル時、それとも実行時?
 (実行時だと思うが、一応...)
・動かそうと思っているOpenSSHのバージョンは?Solarisなんだから
  http://www.openssh.com/ja/portable.html
 にある「移植版」を動かそうとしているよね?
・使用したコンパイラの種類、バージョンは?

とりあえず、>>613と同様、
  SunOS ******** 5.8 Generic_108528-12 sun4u sparc SUNW,Sun-Blade-100
ではきちんと動作してますです。


616 名前:名無しさん@XEmacs メール:sage 投稿日:02/04/12 09:58
>>610
> WinSCPを使用して、サーバに接続しようとすると
> Public key packet not received.
> というエラーが出てしまいます。
> この理由がわからず困っています。

WinSCP と sshd のバージョンは?

WinSCP1 と SSH2 な sshd で通信しようとするとそんなエラーが出る
というようなことをどっかで誰かがドイツ語で書いてるのを読んだ気
がする。

もしそうなら、sshd の管理者におねだりして SSH1 をサポートしても
らうか (おいらが管理者なら拒否するけど)、WinSCP2βにあぷしましょ
う。

βと言っても問題なく使えてるし (SSH2 プロトコルで公開鍵認証が使
えんのがいまいちだが)。

617 名前:名無しさん@お腹いっぱい。 投稿日:02/04/14 19:47
>>616
お返事有難う御座います。
sshdのバージョンは3.0.1
WinSCPは1.00
です。

早速ですがβ版にVer.upしたところ使用できました。

618 名前:名無しさん@お腹いっぱい。 投稿日:02/04/14 23:12
authorized_keys2のfrom句について、ホスト名とIPアドレスの両方を記述していないとrejectされる
ようになる設定ってどれなんでしょう?

619 名前:名無しさん@お腹いっぱい。 投稿日:02/04/15 02:05
617さんのようにWinSCP2のβ版を使用しました。
サーバへのアクセスは出来たのですが、転送しようとすると
Command failed with return code 255.
と出てリモートからローカルへのファイルの移動が行えません。
またローカルからリモートへ移動しようとすると、
フリーズしてしまいます。
これはソフトのバグでしょうか?

620 名前:名無しさん@お腹いっぱい。 投稿日:02/04/15 09:07
鍵を作らなくてもsshdが動いているサーバに
sloginできるのはどうしてでしょうか?

621 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/15 09:08
鍵を使わない認証をしているからでは。

622 名前:名無しさん@お腹いっぱい。 投稿日:02/04/22 01:09
TTSSH経由でいつものユーザーで作業をしてまして、ふと別のユーザーの分もsshの鍵を
作ったら便利だな、と思って鍵を作って普段用と同じようにauthorized_keysという名前にして
identityをクライアントにもっていって・・・とやってみたところ、そのユーザーではログインでき
ませんでした。
しかも、鍵の作り直しなどをそのマシンのコンソールから操作していまして、気づいたらクライアント
のWindows機からTTSSH経由でもはじかれるようになってしまいました。
鍵とパスフレーズは合っているようなのですが、解決策はありませんか?ヽ(`Д´)ノウァァァァァン!!
「認証は失敗しました」とTTSSHではでています。

623 名前:_ 投稿日:02/04/22 01:30
お、
 http://www.unixuser.org/%7Eharuyama/security/openssh/
が更新されている…「Kerberos/AFS support に弱点」とのこと。該当サイトの
管理者はご注意!

# 春山センセ、ごくろうさまです m(__)m


624 名前:名無しさん@お腹いっぱい。 投稿日:02/04/22 02:04
>622
鍵の生成はどこでやってるの?サーバ側?
だったら新しい鍵を生成したとき古い鍵を上書きしてるのかも。
ちょっと落ち着いて考えて見れ。
なんか激しく手違いしてるかも知れんぞ?

625 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/22 02:08
kerberos使ってる人そんなにおるんかいな

626 名前:名無しさん@お腹いっぱい。 投稿日:02/04/22 02:26
>>624
鍵はサーバー側で作りました。
~/.ssh/にidentityとidentity.pubができまして、後者をauthorized_keysにリネームなのです。
もしかして、鍵を作り直すときに~/.ssh/以下の二つのファイルを消し去ってから作り直した
のがいけなかったんでしょうか・・・・(;´д`)

627 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/22 02:32
>>626
リネームじゃなくて追加すべきだった。

628 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/22 02:42
>>622
>ふと別のユーザーの分もsshの鍵を作ったら便利だな
私も同じ事を考えて、>>604を参考にクライアント側でパスフレーズだけを変えたその
ユーザーの秘密鍵作って、公開鍵identity.pubは更新せずにそのままサーバ側のそのユーザー
~/.ssh/authorized_keysにコピペ(キルヤン?)して、という風にしましたけど。。。
サーバのコンソールでログインできるなら、そこで一から作り直したほうが早いかもしれませんね。

629 名前:名無しさん@XEmacs メール:sage 投稿日:02/04/23 18:47
>>623
> お、
>  http://www.unixuser.org/%7Eharuyama/security/openssh/
> が更新されている…

全然関係ないけどこれ見て思い出したんで書いとこう。

http://www.unixuser.org/%7Eharuyama/security/openssh/support/addendum.html#add_2

についてなんだけど、

>>実際にはこのファイルは公開鍵認証に使う秘密鍵と公開鍵両方の情
>>報を含んでいます (より厳密には、両方の鍵を生成するのに必要な
>>数値が格納されています)。

という記述は誤りね。いや、括弧のなかに『厳密』という文字列さえ
なければ別に気にもならなかったんだけど。

上の書き方からして RSA しか念頭になかったんでしょうが、そうだと
しても P と Q だけならともかく、D mod (P-1) や D mod (Q-1)、さ
らには Q^(-1) mod P まで保存されているので、これらを指して『両
方の鍵を生成するのに必要な数値』と言ってしまっては全然厳密じゃ
ないでしょう。

正しくは『秘密鍵を用いた処理を高速に実行するために必要な数値
(ただし RSA 限定)』といったところか。


630 名前:a_a メール:@ 投稿日:02/04/23 21:50
ところで zebedee スレってありましたっけ?

631 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/23 22:00
前はあった。

632 名前:新山 メール:sage 投稿日:02/04/24 00:24
>>629
ご指摘ありがとうございます。直しときますー
ほかにもそういう細かい勇み足はけっこうありそうだなあ。

633 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/25 00:33
lftpの操作性を備えたsftp(相当のプログラム)ってないかな?

634 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/27 03:51
どうでもいいけど OpenSSH-3.2.1p1 はもう出てるんだろうか。。。

635 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/27 03:57
>>634
まだ出てないな…というか、OpenBSD専用のものすら出てないみたい。
p://ftp.openbsd.org/pub/OpenBSD/OpenSSH/

あ、でも、↑のFTPサイトに openssh-3.1-adv.token.patch があるぞ。。


636 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/27 04:04
configureスクリプトの--with-pid-dirが効かないぢゃないかゴルァ!
…と思って調べてみたら、すでに存在するディレクトリでないとダメなわけね。

開発者メーリングリストの方に流してしまうところダターヨ…(;´д`)


637 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/28 00:46
てゆーか、本家の http://www.openssh.org/security.html を見ると
すでに 3.2.1 が出てることになってるんだが…

638 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/29 06:49
cvs log version.h してみると
date: 2002/04/23 23:48:15; author: djm; state: Exp; lines: +2 -2
- (djm) OpenBSD CVS Sync
- markus@cvs.openbsd.org 2002/04/23 12:54:10
[version.h]
3.2.1
てなわけで、すでに version.h では
#define SSH_VERSION "OpenSSH_3.2.1p1"
ってなっているんだよね。

639 名前:名無しさん@お腹いっぱい。 投稿日:02/04/30 00:19
$ ssh localhost
としてやったら
Password:
と聞かれてここにパスワードやパスフレーズを書いてやったのですが
permission denied, please try apain.
と出るようになってしまいました。
もちろんTTSSH等からも同様にログインできませんが、それまでに何を
やってしまったかは忘れてしまいました・・・・
解決するのによい方法はありますか?

640 名前:名無しさん@お腹いっぱい。 投稿日:02/04/30 00:23
ibm の Zseries / Linux どうも怪しい。


641 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/04/30 00:54
>>639
ssh -v localhost

642 名前:age メール:age 投稿日:02/05/06 07:14
学校から家にログインしたいんだけど、firewallでHTTPしか学校の外に出られないんです。んで、調べたら
ttp://hp.vector.co.jp/authors/VA000770/docs/NikkeiLinux00-12/config.ja.html#FIREWALL
こんなの見付けたんだけど、
ProxyCommandに指定するものって他に1つしか見付からなかったんですよ。
なんかメジャーなものって他にあるんですか?
それともこんな環境で使っている人ってあんまりいないのかな?

643 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/06 10:05
>>642
http://www.agroman.net/corkscrew/
http://proxytunnel.sourceforge.net/
多分他にもいっぱいある。

644 名前:age メール:age 投稿日:02/05/06 20:57
>>643
これのWindowsで使えるものってあります?
あ、Cygwin上でじゃなくて。
というか無理なような気もするんですが...。

645 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/06 21:56
家のsshdのポートを80にしちゃえ

646 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/07 02:15
ttp://www.taiyo.co.jp/~gotoh/ssh/connect.html
これは?


647 名前:名無しさん@XEmacs 投稿日:02/05/07 08:18
>>645
> 家のsshdのポートを80にしちゃえ

https のための 443 が開いてるならそっちでも可。

♯httptunnel を知らなかった頃、実際に sshd@443 してたことがある


648 名前:名無しさん@お腹いっぱい。 投稿日:02/05/14 19:53
WinSCP使って鯖に接続してるんですけど
鯖の設定でちょっと問題がでてきました。

1.ユーザーのデフォルトシェルを
/usr/bin/passwd
にすると接続できなくなる
それと

2.ログインしたときに特定のディレクトリしか見せないようにしたい。

以上のことってscpじゃ無理なんですかね。
FTPライクに使いたいんですが。


649 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/15 01:00
>>648
> 1.ユーザーのデフォルトシェルを
cat /usr/bin/passwd >>/etc/shells
で解決したりする?


650 名前:名無しさん@Emacs メール:sage 投稿日:02/05/15 01:13
>>649
しない

651 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/15 01:38
>>649
cat じゃねーや。
echo /usr/bin/passwd >>/etc/shells


652 名前:名無しさん@XEmacs メール:sage 投稿日:02/05/15 10:46
>>648
> 1.ユーザーのデフォルトシェルを
> /usr/bin/passwd
> にすると接続できなくなる

scp が作動するためには、クライアントで動く scp/sftp プロセスと
通信する scp/sftp-server プロセスを SSH コネクションを受けたサー
バ側で新たに立ち上げられなければならないんで、そのような操作を
許容しない passwd なんてのが user の shell として指定されてたら
そりゃ動かんでしょう。

♯WinSCP のログを見ればどんなことをやってるか判ると思うが。

> 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

やったことないけど、適当に chroot 環境を作るか、サーバが FreeBSD
なら jail を使うかすればできるのでは?

ssh.com 版の ssh だと ssh-chrootmgr ってのが付いていて、そんな
用途に使えそうではある。


653 名前:名無しさん@お腹いっぱい。 投稿日:02/05/15 11:09
> 2.ログインしたときに特定のディレクトリしか見せないようにしたい。

http://mail.incredimail.com/howto/openssh/
このへん参考になるかも。

漏れは、このパッチの /etc/passwd の pw_dir に chroot 先と home directory
を両方書くってのがキモチワルかったので、/etc/chroot.conf ってファイルに
その辺の情報を分離するように書き直して使ってるよ。

654 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/15 11:47
>652,653
ありがとうございます.
やっぱりシェルは使わないと駄目そうですね.
chrootのほうはなんとかなりそうなんで
ちょっと試してみます.

655 名前:よっしゃ! 投稿日:02/05/17 16:07
OpenSSH-3.2.2p1 age

656 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/17 17:33
>>655
うぐぅ。logout しても connection が切れてくれない…。sshd_config
見ても新しい設定が必要なわけじゃなさそうだし。

657 名前:名無し 投稿日:02/05/17 21:08
>>656

もしかして Solaris 上で sshd 使われてます?

バグっぽい気がします。

658 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/17 22:26
>>657
そそ。Solaris8。やっぱり bug かな?

659 名前:421 メール:sage 投稿日:02/05/17 23:41
>>658
もし bash を使っているなら,
.bash_profile に↓を追加してみてみー

shopt -s huponexit

660 名前:名無し 投稿日:02/05/17 23:44
>>658
これでしょう。

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102162337505003&w=2


661 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/18 00:02
>>660

これ↓もね

http://www.openssh.org/ja/faq.html#3.10

662 名前:660 投稿日:02/05/18 00:43
う〜む、私が厨房なだけなんでしょうけど。

bash ユーザなんですが少なからず .bash_profile に
shopt -s huponexit を書くだけでは何も変化しない
みたいです。

663 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/18 00:46
>>662
.bashrc だたらどお?

664 名前:660 メール:sage 投稿日:02/05/18 00:58
.bashrc でも変化しませんでした。

"Sounds like race condition bug." てな意見も
出ているみたいです。

http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102164965826471&w=2

665 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/18 01:22
>>664
漏れんとこだと問題ないんだけどなぁ
ちなみに

$ uname -a
SunOS blade 5.8 Generic_108528-13 sun4u sparc SUNW,Sun-Blade-100
$ ssh -V
OpenSSH_3.0.2p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f

666 名前:660 メール:sage 投稿日:02/05/18 01:46
>>665
OpenSSH_3.2.2p1 にしたら logout しても connection が
切れなくなった、何でだろ?という話だったと思います。

Blade 100 ユーザさんなんですね。羨ましい。

667 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/18 01:51
>>666
ウトゥだ氏のう

668 名前:660 メール:sage 投稿日:02/05/18 14:40
>>658
以下の patch で私の所では直りました。
http://bugzilla.mindrot.org/showattachment.cgi?attach_id=96

669 名前:名無しさん@お腹いっぱい。 投稿日:02/05/18 18:39
>>666
うちも3.2.2p1に上げたら同じようにconnectionが切れなくなりました。
ついでにsuも出来なくなったりして。/dev/ttyが開けないとかいって
怒られちゃいます。なんでだろ?

670 名前:名無しさん@お腹いっぱい。 投稿日:02/05/20 14:11
OpenSSH 3.2.2p1 に TCP Wrapper かますように
configure して、インストールしてみたのですが、
hosts.deny に sshd:all と書いて、
hosts.allow に sshd:192.168. と書いても
内部ネットワークホストからアクセスできません。
sshd: 0.0. と書くと何故かアクセスできます。

何が悪いのでしょう?

671 名前:名無しさん@お腹いっぱい。 投稿日:02/05/20 21:00
OpenSSH_3.2.2p1にしたらemacsでctrl-gでコネクションが切れる(鬱
Solarisなんだよなぁ。

672 名前:669 投稿日:02/05/20 21:33
時間が出来たので上記のパッチを試してみたところ、
これまで通りの挙動をするようになりました。

いやあ、よかったよかった。

673 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/21 11:10
>>670
> hosts.deny に sshd:all と書いて、
ALL は小文字でもいいんだっけ?

674 名前:ぬー 投稿日:02/05/23 22:26
OpenSSH-3.2.3p1 age


675 名前:名無しさん@お腹いっぱい。 投稿日:02/05/25 03:39
異なるものを両方ともSSHと呼んでしまったために、紛らわしかったり
誤解が生じたりしているのが、よくない。
通信の為のプロトコルに紛らわしさがあるのはよろしくないから、
改名するなどして、分かれた方がよくないかい。バイナリ-や
デーモンの名前も違えるべきだった。

676 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/25 03:44
>>675
TatuとTheoにそう言ってよ。
あんた何者?

677 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/25 03:48
OpenSSH と F-Secure SSH はそう呼べば紛れないけど、
ftp://ftp.ssh.com/pub/ssh/ のはなんて呼んでる?


678 名前:名無しさん@XEmacs メール:sage 投稿日:02/05/25 09:19
> OpenSSH と F-Secure SSH はそう呼べば紛れないけど、
> ftp://ftp.ssh.com/pub/ssh/ のはなんて呼んでる?

(ssh.)com 版 ssh

♯芸なしでスマン


679 名前:名無しさん@お腹いっぱい。 投稿日:02/05/30 23:38
local OpenSSH_2.9 FreeBSD localisations 20020307, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
remote OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

localでssh-keygen -t dsaして~/.ssh/id_dsaと~/.ssh/id_dsa.pubを作りました。
id_dsa.pubをremoteに転送してremoteの~/.ssh/authorized_keys2に入れました。

ssh -2 remote_ipで公開鍵認証しようとするとパスフレーズではなくパスワードを聞かれてしまいます。
ssh -vの結果はこうです。どうすれば公開鍵認証出来るのでしょうか?

OpenSSH_2.9 FreeBSD localisations 20020307, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: restore_uid
debug1: ssh_connect: getuid 1001 geteuid 1001 anon 1
debug1: Connecting to P6IWP [192.168.0.3] port 22.
debug1: temporarily_use_uid: 1001/0 (e=1001)
debug1: restore_uid
debug1: temporarily_use_uid: 1001/0 (e=1001)
debug1: restore_uid
debug1: Connection established.
debug1: identity file /home/mona-/.ssh/id_rsa type -1
debug1: identity file /home/mona-/.ssh/id_dsa type 2
debug1: Remote protocol version 1.99, remote software version OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614
debug1: match: OpenSSH_2.5.1 NetBSD_Secure_Shell-20010614 pat ^OpenSSH_2\.5\.[012]
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_2.9 FreeBSD localisations 20020307
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST_OLD sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: dh_gen_key: priv key bits set: 124/256
debug1: bits set: 1035/2049
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'p6iwp' is known and matches the DSA host key.
debug1: Found key in /home/mona-/.ssh/known_hosts2:1
debug1: bits set: 1022/2049
debug1: len 55 datafellows 49152
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/mona-/.ssh/id_rsa
debug1: try pubkey: /home/mona-/.ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password

680 名前:名無しさん@お腹いっぱい。 投稿日:02/05/31 00:16
>>679
authorized_keys2 のパーミッションが 666 とかになってるってことはないでしょうか?
サーバ側のログみないとなんともいえないけど、
もしサーバ側で bad ownership or modes for directory ほにゃららになってたらそれです。


681 名前:考えてみよう。。。 メール:sage 投稿日:02/05/31 00:16
すなわち、DSAを用いた公開鍵認証を行いたいわけですよね。

リモート側ではDSAを用いた公開鍵認証をサポートしている状態になってますか?

原因とは関係ないかもしれないけど、一応…

682 名前:679 メール:sage 投稿日:02/05/31 00:35
>>68{0..1}

リモートの~/.sshのパーミッションを700にしたらO.Kでした。
ありがとう。


683 名前:名無しさん@お腹いっぱい。 投稿日:02/05/31 06:26
screenを使って仮想画面をいくつか使っている時に
ssh-agentが、ssh-addした仮想画面でしか有効ではない
のですがこういうものなのでしょうか?

つまり、同じユーザが同じマシン上でも、ssh-addしてない仮想画面で
sshで接続しようとするとパスフレーズを聞かれてしまうのです。

仮想画面毎にssh-addするのも綺麗じゃないと思うのですが。

684 名前:名無しさん@お腹いっぱい。 投稿日:02/05/31 08:56
>>683
> ssh-agentが、ssh-addした仮想画面でしか有効ではない

「ssh-addした仮想画面でしか有効ではない」のではなくて、
「ssh-agent した仮想画面でしか有効ではない」のでしょう。

ssh-agent してから screen をたちあげれば、
ひとつの仮想画面で ssh-add するだけで ok ですよ。

わたくしは「ssh-agent screen」のようにして screen を起動しております。


685 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 11:33
keychainを使えばいいと思う。

686 名前:683 投稿日:02/05/31 13:37
>>684,685
なるほど。keycainが便利そうなので試してみます。
zshの場合はbashの~/.bash_profileに対応するファイルはなんなのでしょうね?


687 名前:名無しさん@お腹いっぱい。 投稿日:02/05/31 13:59
>>686
オレは ~/.zshenv で keychain がらみの設定してる


688 名前:683 メール:sage 投稿日:02/05/31 14:44
>>687
~/.zshenvをこうしてみました。

/usr/local/bin/keychain ~/.ssh/id_dsa
source ~/.ssh-agent-${HOSTNAME} > /dev/null
source ~/.zshrc

起動時に
/home/hiroyuki/.zshenv:source:26: no such file or directory: /home/hiroyuki/.ssh-agent-
こう出ます。

あなたの参考に見せてもらえませんか?

689 名前:名無しさん@XEmacs メール:sage 投稿日:02/05/31 14:44
>>685
> keychainを使えばいいと思う。

おいらなら使わないことを勧めるが。

秘密鍵握った ssh-agent がユーザのコントロールを離れて永続するって
結構悪夢だと思う。

ま、環境にもよるんだろうけどね。


690 名前:名無しさん@Emacs メール:sage 投稿日:02/05/31 15:19
>>687
HOSTNAME がセットされてないだけでは?
source ~/.ssh-agent-`hostname` でいけるでしょう.っていうか ls -a すれ.

>>689
ssh-agent の永続については,
http://www.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
ここ見て keychain --clear すればプロセスからは抜けないので
なんとかなるかなぁと思ったが,

http://www.ibm.com/jp/developerworks/linux/020426/j_l-keyc3.html
こっちみるとちょっと違う(抜け出せそうな)感じ.下のほうまだ読んでないので誰か
結論まとめて欲しいなと.



691 名前:名無しさん@お腹いっぱい。 投稿日:02/05/31 15:43
>>689
> おいらなら使わないことを勧めるが。

おれも同意っす。
keychain のスクリプトをみてみたが、はっきりいって複雑すぎる。
こんな機構が必要な状況はあまりないと思う。
一般ユーザが cron で ssh なんて普通使わんでしょ。

IMHO, eval `ssh-agent` という使い方はやめるべき。
ssh-agent の子プロセスとしてシェルを上げるほうが正解。

692 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 15:45
>>691
> IMHO, eval `ssh-agent` という使い方はやめるべき。
> ssh-agent の子プロセスとしてシェルを上げるほうが正解。

OpenSSHセキュリティ管理ガイドはeval `ssh-agent`を使っていますね。

693 名前:名無しさん@XEmacs メール:sage 投稿日:02/05/31 16:02
> ssh-agent の永続については,

--clear オプションってのは、.bash_profile (なりなんなり) に、

keychain ~/.ssh/id_rsa

と書く代わりに

keychain --clear ~/.ssh/id_rsa

と書いておくことで、ちゃんと起動スクリプトを読ませるような入り
方をするお行儀の良い侵入者がこいつを踏んで ssh-agent が握ってる
秘密鍵を自分でクリアしてくれることを期待するって程度の話。

♯だとしか思えんのだが、間違っていたら誰か突っ込んでくれ。

だもんでまぁ、運が良ければそれでうまく行くかもしれんわなぁ。

で、プロセスから抜けずに秘密鍵をクリアするだけなら適宜 ssh-add -D
すりゃいい話ね。その代わり keychain のご利益はまったくなくなる
という諸刃の剣。

> こっちみるとちょっと違う(抜け出せそうな)感じ.下のほうまだ読んでないので誰か
> 結論まとめて欲しいなと.

下の方は『移植性を高めるためにこんなに苦労したんですよ』という
自慢話なので、読まなくてもよろし (?)。

まとめになってるかどうかは知らんが、

http://www.vicus-oryzae.com/gorua/

なんてページは書いてみた。


694 名前:新山 メール:sage 投稿日:02/05/31 16:12
自分がやってる方法を書いておきます。
いずれwebにでもまとめておきます。
この方法は最近思いついた。ごめんなさい。

1. ログインすると ssh-agent 環境下で kterm が起動する。
2. xinitrc (xsession) 内で別に起動した kterm 上でも同じ ssh-agent が利用可能。
 (これは$SSH_AUTH_SOCK を固定したパス名に symlink することにより実現)
3. 欠点: 同一ユーザが同時に2つ以上のxdmからログインすると
 また鍵を追加しなおさねばならない (が、ssh-agent が残る可能性はない)。
4. ssh1 を実行すれば、パスフレーズ聞かれるのは最初だけ。
 いっかいどこかのウインドウでやっておけばあとはどの端末からでも ok。
5. ログアウトすると鍵は無効になる。ssh-agent は残らない。

.xinitrc (.xsession) --------------------------------------
# SSH_AUTH_SOCK に ~/.ssh/authsock を入れて各 Xクライアントを起動しておく
export SSH_AUTH_SOCK=$HOME/.ssh/authsock
kterm &
twm &

# 最後に ssh-agent をあげる、このとき本物のソケットを
# ~/.ssh/authsock にシンボリックリンクさせる。
exec ssh-agent kterm -e sh -c 'ln -fs $SSH_AUTH_SOCK $HOME/.ssh/authsock; export SSH_AUTH_SOCK=$HOME/.ssh/authsock; exec bash'

.bashrc ---------------------------------------------------
# 関数 sshon1: 鍵がまだ追加されてなければ追加する。
function sshon1 {
 if [ ! "$SSH_AUTH_SOCK" ]; then echo 'SSH_AUTH_SOCK is not set.'; return 1; fi
 if ! (ssh-add -l 2>&1 | grep '(RSA1)'); then ssh-add ~/.ssh/identity; fi
}
# ssh1: エージェントに鍵がなければ、鍵を追加してから ssh 実行。
function ssh1 { sshon1 && command ssh $*; }


695 名前:690 メール:sage 投稿日:02/05/31 17:30
>>693
をぉ,これはどうも.すばらしいです.

で,pam_ssh は最近の FreeBSD だと標準で入ってます.といっても,
4.6 以降なのでまだリリースされたばっか(まだかな?)のやつ以降ですが.


696 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 22:42
sftpってファイルの補完が出来ますか?

697 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 22:43
s/ファイル/ファイル名/

698 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 22:48
>>696
OpenSSHじゃないSSHはsftpで補完が効くらしいよ。

699 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 22:52
>>696
クライアントの作りしだいでないの?
ncftp とか lftp って sftp に対応しないのかな。

700 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 22:55
>>699
sftpはFTPではありません。

701 名前:699 メール:sage 投稿日:02/05/31 22:59
>>700
それが何か?

702 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 23:02
>>701
いえ、何も。


703 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/05/31 23:07
ftpクライアントがsftp-serverに接続できるわけない…。

704 名前:699 メール:sage 投稿日:02/05/31 23:12
>>703
sftp クライアントになってくんないかな、
って言ってんの。
lftp は HTTP クライアントになれるじゃん。

705 名前:名無しさん@XEmacs メール:sage 投稿日:02/06/01 17:34
>>695
> で,pam_ssh は最近の FreeBSD だと標準で入ってます.といっても,
> 4.6 以降なのでまだリリースされたばっか(まだかな?)のやつ以降ですが.

情報感謝っす。ってことなら SSH2 対応が期待できるかな。

わくわく。


706 名前:名無しさん@XEmacs メール:sage 投稿日:02/06/01 17:41
>>698
> OpenSSHじゃないSSHはsftpで補完が効くらしいよ。

F-secure のはわかんないけど、ssh.com 版の sftp はたしかに補完が
効くね。なので、Linux か {Free,Net,Open}BSD 使いなら sftp だけ
は com 版を使うって手はあるだろね。

あと、sftp 対応の ftp クライアントなら

http://yafc.sourceforge.net/

なんてのがあるみたい。

で、できるのかどうかよく知らんけど、scp で shell の completion
に頼るってのもアリなのでは。たとえば zsh とかなら。


707 名前:名無しさん@お腹いっぱい。 投稿日:02/06/02 01:24
すみません、お伺いしたいんですがPDAで動くSSHってのはやはりないんでしょうか?
どんなPDAでもかまいません。

708 名前:名無しさん@お腹いっぱい。 投稿日:02/06/02 02:20
Palm 用 ssh があったような。ただし passwd 認証のみでアレ。
US 版 Zaurus は当然ながら OpenSSH そのものが動く。

CE あたりでもありそうだけど、日本語通るのはなさそうな気が...


709 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/02 03:14
ttp://www.fuji-climb.org/pf/JP/

これだとだめ?<CE
OpenSSHとはちょと違うみたいではあるけど。

710 名前:名無しさん@お腹いっぱい。 投稿日:02/06/03 02:58
US 版 Zaurusってどこで買えるんでしょうか?
日本からもクレジットカードとかで買えますか?
お勧めの機種は何でしょうか?PDAは初めてなので全くのド素人です・・。
あと、その場合P-in compactなどを使ってそのまま通信できるのでしょうか?
どなたか実際に使われている方のホームページなどの情報はないのでしょうか?
いろいろすみません・・。

711 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/03 04:38
それは、Zaurusでsshを使うための前振なのか‥?
明らかにハードウェア板やPC板の管轄じゃないのか?

712 名前:名無しさん@XEmacs メール:sage 投稿日:02/06/03 13:41
>>709
> ttp://www.fuji-climb.org/pf/JP/
>
> これだとだめ?<CE
> OpenSSHとはちょと違うみたいではあるけど。

ダメではないけど、SSH client ではなく“Port Forwarder”なんだか
ら、こいつで local に forward した telnet port に対して telnet
client を起動、とかの二度手間かける必要はある。

あと、SSH1 プロトコルにしか対応してないというのもいまとなっては
ちょっとね。

あ、そう言えば、全然関係ないんだけど、新山さんって

>>694
>  if ! (ssh-add -l 2>&1 | grep '(RSA1)'); then ssh-add ~/.ssh/identity; fi

を見る限りまだ SSH1 現役?

結構勇者かも。


713 名前:名無しさん@お腹いっぱい。 投稿日:02/06/04 23:44
端末一台(PC)と、ホスト(HP,SUN)が三台あって、
端末から $ X -query hostname
としてXを使っているのですけれども、こういう使い方で
sshを使った暗号化通信はできるのでしょうか?

ssh -R を使えばできそうな気がするのですが今ひとつ
理解できていないのでうまくいきません。

ご存じの方教えて下さい。


714 名前:名無しさん@お腹いっぱい。 投稿日:02/06/05 00:40
>>713
http://www.tldp.org/HOWTO/XDMCP-HOWTO/procedure.html

> Using XDMCP is inherently insecure, therefore, most of the
> distributions shipped as it's XDMCP default turned off. If you
> must use XDMCP, be sure to use it only in a trusted networks,
> such as corporate network within a firewall. Unfortunately,
> XDMCP uses UDP, not TCP, therefore, it is not natively able to
> use it with SSH. To secure the connection with SSH, the
> technique is called X11 TCP/IP Port Forwarding.

XDMCPを使うのは本質的に危険です。なのでほとんどの
ディトリビューションでは XDMCP はデフォルトで禁止されています。
XDMCP を使わなければならないとしたら、ファイヤーウォールの中などの
信頼されたネットワーク間でだけにしてください。残念ながら
XDMCP は TCP ではなく UDP を使っているので、そのまま SSH を使う
ことはできません。SSH を使って接続を安全にする場合は、
X11 転送と呼ばれる技術を使います。

715 名前:713 メール:sage 投稿日:02/06/06 02:27
>>714
さんくす。

暗号化が必要なほどセキュリティが求められるところではXDMCPは使うなと、
必要なければそれでよし。

んでもってそもそもXDMCPはssh暗号化不可能。
XDMCPプロトコル詳しく知らなかったよ…。


716 名前:名無しさん@お腹いっぱい。 投稿日:02/06/07 14:41
新規でOpenSSH-3.2.2p1を入れたのだが、何故かパスワードの認証は駄目・・・
RAS認証は通るのに何故でしょう?
手順は以下
OpenSSL 0.9.6cを./configure make make install
zlib1.1.4を./config make make install
OpenSSH-3.2.2p1を./configure --with-pam make make install
した。
cp contrib/redhat/sshd.init /etc/rc.d/init.d/sshd
chmod +x /etc/rc.d/init.d/sshd
/sbin/chkconfig --add sshd
cp contrib/redhat/sshd.pam /etc/pam.d/sshd

PAMが怪しいので下記に記載します。
#%PAM-1.0
auth required /lib/security/pam_pwdb.so shadow nodelay
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so
session required /lib/security/pam_limits.so

sshd_config

Port 22
Protocol 1
HostKey /usr/local/etc/ssh_host_key
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 600
PermitRootLogin no
RSAAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsAuthentication no
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
PasswordAuthentication yes
PermitEmptyPasswords no
ChallengeResponseAuthentication yes
X11Forwarding no
X11DisplayOffset 10
X11UseLocalhost yes
KeepAlive yes
UseLogin no
UsePrivilegeSeparation no
Subsystem sftp /usr/local/libexec/sftp-server

長文になり申し訳ないのですが、お分かりになられる方
教えて頂けると助かります。

717 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/07 14:48
どう駄目なんかがわからん

718 名前:716 投稿日:02/06/07 16:17
>>717
スマソ
/var/log/messageには
lease150 sshd[1586]: Failed password for admin from アドレス
port 1141
出ているが・・・。なんでFailed password なんだ!
rsa認証は通るのに・・

719 名前:717ではないが… 投稿日:02/06/07 19:17
>>718
それだけではやはり分かりません。
まず最初に、きちんと動かそうとしている環境を書きましょう。使用している
OSは何?サーバ側だけでなくクライアント側のも書くよーに!

クライアント側のOSがUNIX系のもの(Linuxも含む)だったら、
[client]% ssh -vvv svhost
というように、-vvvを追加して試してみてよ。

720 名前:名無しさん@お腹いっぱい。 投稿日:02/06/08 22:04
OpenSSH 3.2.3p1を使っています。

$ ssh -f localhost xterm
$ ssh -f localhost xload
など、ほとんどのものはX転送できるのですが、なぜか
ktermのときだけ
$ ssh -f localhost kterm
X11 connection rejected because of wrong authentication.
X connection to localhost:10.0 broken (explicit kill or server shutdown).
とでて転送できません。

ktermを転送できるようにしたいのですが、何かヒントをいただけないでしょうか?

721 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/09 10:26
>>720
こういう条件には当てはまりそうですか? 当てはまるなら kterm へのパッチが出ている

kterm-6.2.0 を以下のような環境で利用していると、
OS: NetBSD-1.1, NetBSD-1.2, FreeBSD-2.2.2
認証方式: MIT-MAGIC-COOKIE-1
その他の条件: ホームディレクトリは別マシンにあり、NFS で
マウントしている。NFS サーバは kterm の走行す
るマシンに対して、root アクセスを許していない。
ファイル .Xauthority へアクセスできないため、下記のようにエラーが起こ
ることがあります。
% ./kterm
Xlib: connection to ":0.0" refused by server
Xlib: Client is not authorized to connect to Server
./kterm Xt error: Can't open display: :0.0


722 名前:720 投稿日:02/06/09 18:14
OSが>>721さんが書かれたものと違う(私の環境:VineLinux2.5)こと以外は、ばっちりあてはまります。
そういえば>>721さんの書かれている問題も出ていました。
そのときは
http://vine.ic.sci.yamaguchi-u.ac.jp/VineUsersML/5/msg00361.html
の方法で騙せて(?)いたのですが、今回はこの方法でもうまく行かなかったので
質問致しました。


パッチを探してみました。
http://lct.dei.uc.pt/download/ftp/pub/FreeBSD/2.2.8RELEASE/CD3/distfiles/kterm-6.2.0.NFS-xauth.patch
ですね。

SRPMをいじるのは初めてだったのですが、特に問題もなくビルドできました。
このパッチを当てたktermで>>720の問題も解決致しました。

どうも、ありがとうございました。

723 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/09 19:45
>>714
UDP over(netcat) TCP over SSH


724 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/10 03:40
>>723
ま、そこまでしてXDMCPが欲しいか、という問題でしょうね。

725 名前:名無しさん@お腹いっぱい。 投稿日:02/06/13 14:51
OpenSSH 3.2.3p1を使っていて、OSはコバルトキューブ3になります。
すべてインストール完了し/etc/rc.d/init.d/sshdを起動させた所
$Starting sshd:/etc/rc.d/init.d/sshd: initlog: command not found
ERROR!
のエラーがでてしまいました。rc.d/init.d/sshdのstart部分を
initlog -c "$SSHD $OPTIONS" && success || failure

$SSHD -f /usr/local/etc/sshd_configに変更した所、うまく起動しました。
もしお分かりになられる方がいましたら、initlog -c のコマンドは何を行って
いるのでしょうか?

726 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/14 08:40
sshでトンネル掘って、主にポートフォワーディング目的で利用する場合、
フォワーディングされるコネクションについては
むしろ暗号化して欲しくない
(暗号化するとデータ転送が重い、セキュリティは問題にならない)
と思うことがありますが、そういうことは可能ですか?

またそういう場合、つまり、暗号化よりも
ファイアウォールやNATのすり抜けのためのポートフォワーディングが
したいだけの場合、どうしてますか?

727 名前:名無しさん@お腹いっぱい。 投稿日:02/06/14 08:52
> ファイアウォールやNATのすり抜けのためのポートフォワーディングが
> したいだけの場合、どうしてますか?

ぼくは以前 tcpserver と50行ぐらいの自前プログラムでやりましたが、
一般的にはstoneじゃないでしょうか。
www.gcd.org/sengoku/stone/


728 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/14 09:31
>>727
stone だと、NATの外側から NATの内側にコネクションを張れないと思います。
ここでは、NATは基本的に「内側→外側」へのアクセスしかできず、
この設定は変更できないという前提です。

そこで、sshであらかじめ「内側→外側」に繋いでトンネルを掘っておく
わけですが、このトンネルについては暗号化しないで欲しいという要求です。

729 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/14 10:01
>>728
前提がわからんな。
stone は NAT 関係ないんで、外から内側へのコネクションも問題なく張れる。

もっと具体的な例キボンヌ


730 名前:729 メール:sage 投稿日:02/06/14 10:03
ていうか、stone でフォワードできないような環境だったら
ssh のポートフォワードだってダメなような気がする。

>>728 は何か勘違いしているような。


731 名前:728 メール:sage 投稿日:02/06/14 10:21
>>729 >>730
NATの内側にプライベートアドレスのmyhost
外側にグローバルアドレスのremotehostがあります。

sshなら、あらかじめ内側から
myhost$ ssh remotehost -g -R 80:myhost:10080
としておけば、
remotehostの10080へのアクセスを
myhostの80ポートにフォワードできます。

stoneでは、それ以前の問題として、
そもそもNATの外側から内側へのアクセスができないため、
不可能だと思います。

732 名前:728 メール:sage 投稿日:02/06/14 10:27
補足:
NATマシン自体の中で、stoneを動かせばできるでしょが、
ここではNATマシンには触れないという前提です。

733 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/14 12:54
>>727 >>729-730 は、stoneと言えば当然NAT-box上で動かすもの
(だから中継されるパケットはNATを通らない)
という前提で言っているのに対し、
>>726 >>728 >>731-732 は、ネットワーク経路の途中に自分の管理外の NAT-boxがあって、
それを越えて、しかも外部から自分のホストへの
逆向きのコネクションを張りたいと言っていて、
話が噛みあっていないと思われ。

sshで、 port forwardingだけして暗号化はしないって、無理なんじゃないかな。
やるとすればport forwarding機能付きの telnet/rlogin モドキを自作するとか・・

734 名前:うろーぼえ メール:sage 投稿日:02/06/14 13:04
>>726
cipher として null (だっけ?) を使う、とかできなかったっけ?


735 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/14 13:54
>>734
多分、 Cipher none で、コマンドラインなら ssh -c none かな。
でも、今度はサーバー側でCipher noneでのログインを禁止しているのが普通という罠。

736 名前:名無しさん@お腹いっぱい。 投稿日:02/06/14 23:51
sshdは、どこから起動してます?
rc.xxxからしてます?

sshdの突然死が怖いのとオペミスで殺されてもいいように
inittabにrespawnで書いているのですが、皆様どうしていますか教えて下さい。


737 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/15 00:34
>>736
inetd から (w

738 名前:nanasi メール:sage 投稿日:02/06/15 00:39
私は rc3.d に S99sshd というスクリプトを作って
起動していますが、daemontool とかでも良いのでは?

739 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/15 00:46
tcpserver + daemontools です。

740 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/15 01:09
>>739
セッション開始に時間かかんない?

741 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/15 02:31
>>740
速いマシンだとそんなに気にならないよ。

742 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/15 17:52
>>715
xdmcpではつかったことないけど、zebedeeだとUDPでも暗号化トンネルが
掘れるよ

743 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/20 19:57
authorized_keys2 って今は不要ってことでいいんでしょうか?


質問のついでにtypo指摘
http://www.unixuser.org/~haruyama/security/openssh/
>Solaris で/dev/randam などをエミュレートするモジュール
randam -> random

744 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/20 21:22
今でも古いOpenSSH使っていれば必要だよ

745 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/21 11:09
>>743
正確には、サーバ側で動作しているOpenSSHのバージョンが2.9及びそれより前の
場合なら、authorized_keys2は必要。2.9.9及びそれ以降なら不要。

# といいつつ、2.xはセキュリティホールがあるので、少なくても3.0.2以降に
# バージョンアップすべきだと思いますけどね<サーバ側

typoネタは念のためぜひメールでも知らとくといいと思いますぞ

746 名前:名無しさん@お腹いっぱい。 投稿日:02/06/22 06:19
OpenSSH-3.3 age

747 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/22 06:29
ウマー!!!!!!!!!!

残念ながら、現在はftp.jp.openbsd.orgにすらない模様…ftp.openbsd.orgだけですな

アナウンスメールはこちら:
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102468921703145&w=2

748 名前:skel.103M メール:sage 投稿日:02/06/22 07:13
例によって変更内容の日本語訳といきますか!原文は>>747にあるURLというこ
とで。

セキュリティに関する変更内容
============================

- "privilege separation"のサポートを強化しました:

この機能はデフォルトで有効になります。

sshd_config(5)の UsePrivilegeSeparation オプションを参照して下さい。また、より
詳しい情報は http://www.citi.umich.edu/u/provos/ssh/privsep.html で得ることができ
ます。
- SSHプロトコルバージョン2のHostBased認証を利用するためにssh(という名前
のクライアントプログラム)に対して、rootにsetuidする必要がなくなりまし
た。ssh-keysign(8)をご参照願います。SSHプロトコルバージョン1のRhostsRSA認
証を利用する場合は従来通りroot権限が必要です(訳者注:すなわち、sshに
対してrootにsetuidする必要があるということです。)が、この認証を利用す
ることはもはや推奨されません。

その他の変更内容
================

- クライアント及びサーバの設定オプションに関する説明はそれぞれ
ssh_config(5)とsshd_config(5)に移動しました。
- サーバ(sshd)では新しく Compression オプションがサポートされるようにな
りました。sshd_config(5)をご参照下さい。
- クライアント(ssh)のオプションである RhostsRSAAuthentication 及び
RhostsAuthentication のデフォルトは no になりました。ssh_config(5)参照。
- クライアント(ssh)のオプションである FallBackToRsh 及び UseRsh は
廃止されました。
- …意味不明だ(T_T)…
  原文:ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
- …これも意味不明(T_T)…
  原文:ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
- PuTTYをクライアントとして使用していた場合、validな(←どういう訳がいい
か分からない^^;)RSA署名にもかかわらず発生していた問題をfixしました。


749 名前:skel.103M メール:sage 投稿日:02/06/22 07:16
「その他の変更内容」の最後の部分はうまく訳せなかった(苦笑

詳しい方、フォローよろしくです。

750 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/22 07:21
ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/
ftp://ftp.ayamura.org/pub/openssh/
ftp://ftp.u-aizu.ac.jp/pub/os/OpenBSD/OpenSSH/

まだ行き渡っていないみたい…

751 名前:746 投稿日:02/06/22 07:22
>>748
よくわからんのなら急いで翻訳しようとしないほうがいいですよ。

> ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
エージェントを一時的に「ロックさせる機能」がついたということです。
あと、鍵を追加するときにその鍵の(エージェント中での)最大生存時間を指定できるようになりますた。

> ssh-agent can now bind to unix-domain sockets given on the command line, see ssh-agent(1).
ssh-agent は通信用にAF_UNIXドメインソケットを使っていて、いままではこれは
/tmp/ssh-ほにゃららにバインドされて、このディレクトリは決め打ちで変えられなかったのだが、
これがオプションで変えられるよになった、ということ。

あとはroot権限分離のために、ホスト鍵参照部分を ssh-keysign にかためて、
これだけ suidroot にしたということのようです。
マニュアルでは長たらしい設定ファイルの説明がぜんぶ別セクション
ssh_config(5), sshd_config(5) に分けられました。

752 名前:748 メール:sage 投稿日:02/06/22 07:32
なるほど。どうもありがとうございます。

一定時間が過ぎたらもう一度ssh-add使って追加し直すようにさせることができ
るようになったわけですね<ssh-agent

万一ログインしたまま(xlockもかけないで)席を外したりした場合でも被害を
ある程度抑えられるわけですな。結構便利かも


----
翻訳一番乗リげっとズサー!!やったろかと思ったんで(をい

…回線切って寝ます

753 名前:名無しさん@Emacs メール:sage 投稿日:02/06/22 14:24
>>748
> - PuTTYをクライアントとして使用していた場合、validな(←どういう訳がいい
> か分からない^^;)RSA署名にもかかわらず発生していた問題をfixしました。

有効な

754 名前:748 メール:sage 投稿日:02/06/22 14:32
o8YO GOZAIMASU
>>753
ぶわはははは
そうですね。すっかり忘れてました<「有効な」

ありがとうございます!

755 名前:春山征吾 ◆9Ggg6xsM メール:sage 投稿日:02/06/22 14:41
>>743
ご指摘ありがとうございます。

変更点の拙訳を置きました。
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.3.txt

756 名前:名無しさん@Emacs 投稿日:02/06/22 15:46
/var/empty ってなんですか?

757 名前:748 メール:sage 投稿日:02/06/22 18:05
>>755
ごくろうさまです。えっと、その他の変更内容の1番目は
 ×ssh_config (5) から sshd_config (5) に移された.
 ◯それぞれ ssh_config (5) と sshd_config (5) に移された.
ではないでしょうか。

758 名前:春山征吾 ◆9Ggg6xsM メール:sage 投稿日:02/06/22 18:12
>>757
ご指摘ありがとうございます。
修正しました。

759 名前:名無しさん@Emacs 投稿日:02/06/23 13:54
http://slashdot.jp/article.pl?sid=02/06/22/2148212&mode=thread

760 名前:名無しさん@お腹いっぱい。 投稿日:02/06/23 14:08
From: "skel.103M" <skeleten@shillest.net>
Subject: [installer 7329] Re: lftp-2.5.4
Date: Thu, 13 Jun 2002 02:49:05 +0900

> [installer 7318]で既に報告済みでしたね…すみません。(汗
> 検索するときはヘッダだけでなく本文も対象にしないと…
>
> skel.103M <skeleten@shillest.net>
>
>


761 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/23 14:11
>>760
コピペうざい。

762 名前:名無しさん@お腹いっぱい。 投稿日:02/06/24 11:56
openssh3.3で/var/emptyがどうのとか言われたんで作ったんですが
そこらへんのネタ持ってる人いませんか?

763 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/24 13:47
>>762
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt

764 名前:名無しさん@お腹いっぱい。 投稿日:02/06/25 07:48
来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
3.3 で UsePriviledgeSeparation を使っていれば問題は起きないが、
それ以外では exploit されるとのこと。
http://www.koka-in.org/~haruyama/ssh_koka-in_org/0/4.html

765 名前:名無しさん@お腹いっぱい。 投稿日:02/06/25 09:39
板違いですが、宜しかったら教えてください。
これからセキュルティー確保の為、SWATCHでログ監視を行うのですが、
何を監視したら良いのでしょう?/var/messageでPAM認証の失敗は
引っ掛けているのですが、他にありますか?

766 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/25 09:40
>>765
スレ違い。
くだ質で聞け。

767 名前:名無しさん@お腹いっぱい。 投稿日:02/06/25 12:09
3.3p1@linux-2.2.21で UsePriviledgeSeparation yesだと
mmapのエラーが出るっすよ
とりあえずCompression noにするしかないの?


768 名前:名無しさん@お腹いっぱい。 投稿日:02/06/25 13:18
FreeBSD4.5のCURRENTを利用してます。
OpenSSHを利用する際に、ログイン時にchrootさせて、
セキュリティ強化したいと思っているのですが、可能でしょうか?
商用版sshのほうには、そういう機能あるみたいですけど。

769 名前:名無しさん@お腹いっぱい。 投稿日:02/06/25 13:21
>>768
むかしは chroot patch とゆーのが openssh に付いてきたんだけど
いまはもうメンテされてないってさ。
openssh-3.3p1/contrib/README 参照。


770 名前:768 投稿日:02/06/25 13:34
>>769
ありがとうございます。
読んで見ます。

でも、実現できないんですかねぇ。
ftpだとProftpd使えば楽にできちゃうんですが・・・

771 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/25 18:03
>768 >764を読め。

772 名前:名無しさん@お腹いっぱい。 投稿日:02/06/25 19:01
>>768
ユーザー毎に chroot 先を変えるということなら >>769 の言う chroot patch.
3.3 対応のものは無いと思うけど。

>>771 の言うのは port 22 で待ち受ける部分と認証部とユーザーにサービスを
提供する部分を分けて、認証部を /var/empty に chroot するという実装。
クライアントからみたサービスが変わるわけではない。

773 名前:名無しさん@お腹いっぱい。 投稿日:02/06/25 19:01
FreeBSD 4.5 Release にopenssh-3.3p1 をインストールした。
% ssh localhost とやって試してみたら、
logout してもシェルが戻って来ないよ。なんで???
教えて。おながい。

774 名前:773 メール:sage 投稿日:02/06/25 19:09
.login に xbiff と書いていた俺が馬鹿だった。
逝ってきます。ばびゅ〜〜〜ん

775 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/25 20:09
  ,、|,、
 (f⌒i
  U j.|
  UJ
   :
  ‐=‐


776 名前:名無しさん@Emacs メール:sage 投稿日:02/06/25 21:20
ssh-rand-helper についての日本語の解説ってどっかにない?

777 名前:名無しさん@お腹いっぱい。 投稿日:02/06/26 02:38
>>776
これじゃだめ?
http://www.unixuser.org/~euske/doc/openssh/jman/ssh-rand-helper.html

778 名前:名無しさん@お腹いっぱい。 投稿日:02/06/26 03:18
sshのknown hostsファイルには、IPアドレスとホストキーがかかれる
だけなのが不便。なぜかというと、SSHでFW内部に外部から入る為の
中継用のゲートウェイのマシンのIPアドレスが1つで、それへの
接続する際のポート番号を変えることで、FW内部のどこにパケットを
フォワードするかを指定したいのだけれども、SSHのクライアント
側の KNOWN HOSTSを記録するファイルにはポート番号の違いで
相手を区別認識させる手段がない。だからつなぎにいくポート番号を
変えるときにはKNOWN HOSTSファイルを一度消してからでないと
せつぞくが失敗する。不便だ。

779 名前:名無しさん@お腹いっぱい。 投稿日:02/06/26 07:58
来週の月曜日には OpenSSH 3.4 が出るようです。
http://www.openssh.com/

 現在 OpenSSH にはまだ公表されていない脆弱性が存在します。
 OpenSSH 3.3 にアップデートし、UsePrivilegeSeparation (特権分離)
 オプションを使用するよう強くおすすめします。
 特権分離機能はこの問題をブロックします。来週の月曜日にはこの脆弱性を解決する
 OpenSSH 3.4 リリースが出ますので、どうかお見逃しなく。


780 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/26 08:03
FreeBSD STABLEに3.3がmergeされたけど3.4に差し替えかな?

781 名前: メール:sage 投稿日:02/06/26 10:17
ttp://www.unixuser.org/~haruyama/security/openssh/privsep.txt
上記のメモを参考にdebianのssh 3.3p1-0.0woody1の
特権分離を確認してみたのですが、下記のようになりました。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.5 2752 688 ? S 09:29 0:00 /usr/sbin/sshd

ここで $ ssh localhost する。

$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.4 1.2 5044 1564 ? S 10:00 0:00 /usr/sbin/sshd
sshd 2371 1.2 1.0 4172 1300 ? S 10:00 0:00 /usr/sbin/sshd

$ sudo lsof -p 2371
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 2371 root cwd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root rtd DIR 3,8 4096 245792 /var/run/sshd
sshd 2371 root txt REG 3,8 276072 195636 /usr/sbin/sshd
..........

ここでloginする。
$ ps waux | grep sshd | grep -v grep
root 395 0.0 0.6 2752 872 ? S 09:29 0:00 /usr/sbin/sshd
root 2370 0.0 1.3 6272 1656 ? S 10:00 0:00 /usr/sbin/sshd
nanashi 2748 0.0 1.3 6292 1764 ? S 10:05 0:00 /usr/sbin/sshd

debianの場合、/var/run/sshdにchrootするようなんですが、lsofした時のsshdのUSERが
rootとなってるのは問題ないのでしょうか?


782 名前:名無しさん@XEmacs メール:sage 投稿日:02/06/26 11:10
>>768
> FreeBSD4.5のCURRENTを利用してます。
> OpenSSHを利用する際に、ログイン時にchrootさせて、
> セキュリティ強化したいと思っているのですが、可能でしょうか?
> 商用版sshのほうには、そういう機能あるみたいですけど。

FreeBSD なら ssh.com のはタダで使えるんだから chroot が必要なと
ころではそっちを使えばいいんでは?


783 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/26 11:19
>>764
> 来週あたりでまた OpenSSH のセキュリティホールが公表されるそうです。
Privilege Separation を普及させるための狂言だったらおもしろいな。

784 名前:名無しさん@お腹いっぱい。 投稿日:02/06/26 11:52
SSH社、教育機関対象に暗号通信ソフトの割引サービスを開始
http://www.ipsec.co.jp/about/press/2002/2002-06-25.html

785 名前:名無しさん@お腹いっぱい。 投稿日:02/06/26 13:19
3.3にしたら A というホストに接続しに行くと A から A の UDP 53 に
アクセスしに行くようになりました。UDP 53なのでDNSだと思うのですが、
A のresolv.confは別のアドレス(127.0.0.1)になっています。


786 名前:名無しさん@お腹いっぱい。 投稿日:02/06/26 13:41
>>785
(゜д゜)ポカーン

# 127.0.0.1って何のアドレスか分かってるかい?


787 名前:785 メール:sage 投稿日:02/06/26 13:47
>786
dnscacheを使ってますのでlocalhostにdnsの受け口があります。


788 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/26 15:42
>>787
再帰的に名前解決しにいかなくていいの?

789 名前:785 メール:sage 投稿日:02/06/26 16:42
dnscacheが解決しに行ってくれます。


790 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/26 16:44
じゃあ、dnscacheはどのhostに問い合わせにいくの?

791 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/26 16:46
>>789
お前、tinydns と dnscache の関係わかってないだろ?

792 名前:785 メール:sage 投稿日:02/06/26 17:20
>790
dnscacheはroot/servers/にあるアドレスを元にそれぞれのDNSサーバに
名前を問い合わせに行きます。そこにドメイン名のファイルがあれば
そのアドレスに問い合わせますし、なければ@ファイルにあるアドレス
に問い合わせます。必要なら再起的に。
>791
dnscacheは自分が管理しているドメイン以外のアドレスを解決する場合に
利用されます。tinydnsは自分が管理しているドメインへの問い合わせに
答える為に利用されます。

この話のAのホストではtinydnsは動いていませんし、実際このドメイン
の名前を解決する為のDNSサーバは別にあります。ですので127.0.0.1に
DNSの問い合わせが来ることはあっても、Aのアドレスに来るはずはない
と思ってるんですが。


793 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/26 17:42
>>791
>>786への回答よろしく。

794 名前:768 投稿日:02/06/26 18:12
>>782
FreeBSDならば、ssh.comの商品が自由に使えるってホント?
どこに書いてあるの?

795 名前:名無しさん@XEmacs メール:sage 投稿日:02/06/26 21:24
>>794
> FreeBSDならば、ssh.comの商品が自由に使えるってホント?

FreeBSD だけってわけじゃなくて Linux/NetBSD/OpenBSD でも、ね。

あと、もちろん、ssh.com の商品全部がってわけじゃない (が、少
なくとも SSH Secure Shell for Servers は該当してる) けど。

> どこに書いてあるの?

正確なところは commerce.ssh.com から Non commercial 版をダウ
ンロードして中の LICENSE ファイルを見てみるのが一番だと思うけ
ど、手近なところでは

ttp://www.ssh.com/faq/index.cfm?id=171

辺りとか。


796 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/26 22:30
でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
使えない…。

797 名前:sshd 投稿日:02/06/27 00:07
openssh-3.4 キタ━━━━━━(゜∀゜)━━━━━━ !!!!!

798 名前:某翻訳担当 メール:sage 投稿日:02/06/27 00:17
おいおいきのういってた予定と違うじゃねーか
はえーよ!

799 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 00:21
しかも弱点があるのは 2.9.9 以降...
設定で容易に回避可能...

800 名前:春山征吾 ◆9Ggg6xsM メール:sage 投稿日:02/06/27 00:31
>>781
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=101680346025114&w=2
でも USER が root ですね。
手元のlsof(revision: 4.59)のmanのUSERの項:
> However, on Linux USER is the user ID number or login that owns the directory in /proc
> where lsof finds information about the process.
> Usually that is the same value reported by ps(1), but may differ when
> the process has changed its effective user ID.

ということなので、よさそうではあります。

801 名前:781 メール:sage 投稿日:02/06/27 00:44
>>800
レスどうもです。
linuxのlsofの問題なので、確認しようがないということのようですね。
ありがとうございました。

802 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/06/27 03:24
>>783
>Privilege Separation を普及させるための狂言だったらおもしろいな。

結局、その通りだったようです。まあ穴があったのは事実ですが。
今回の穴の対応策は次のような感じでしょうか?

・以下の人はOpenSSH 3.1のままで大丈夫
  - "AFS/Kerberos support and ticket/token passing enabled" でない人
  - "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.2.3 のままで大丈夫
  - "ChallengeResponseAuthentication no" にしている人

・以下の人はOpenSSH 3.3 のままで大丈夫
  - "UsePrivilegeSeparation yes" にしている人

・それ以外の人はOpenSSH 3.4 にしましょう

803 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 03:31
> ・以下の人はOpenSSH 3.3 のままで大丈夫
>  - "UsePrivilegeSeparation yes" にしている人

"ChallengeResponseAuthentication no" という設定を加えるのならともかく、
"UsePrivilegeSeparation yes" だけでは、とても安全とは言えん。

> ・以下の人はOpenSSH 3.1のままで大丈夫
>   - "AFS/Kerberos support and ticket/token passing enabled" でない人
>   - "ChallengeResponseAuthentication no" にしている人

これも、
"AFS/Kerberos support and ticket/token passing enabled" でなく、
かつ "ChallengeResponseAuthentication no" にしている人
なんじゃないの?

804 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 03:47
/.の方でも話題になってますね
ttp://slashdot.jp/article.pl?sid=02/06/26/112206&mode=thread

元ネタはこっち(↓)?
ttp://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584


805 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 07:54
ISC だと思ってた。

806 名前:名無しさん@XEmacs メール:sage 投稿日:02/06/27 10:34
>>796
> でも、昔の豹変ぶりを思いだすと ssh.com の製品はちょっと恐くて
> 使えない…。

まぁ、ね。

ただ、当時とは違い OpenSSH という立派な alternative がある現在
では、Free UNIXen 利用者層への蒔餌という意味合いの強いこのポリ
シーはそうそう変えんだろうとは思うが。

.com 版のにしろ、OpenSSH にしろ、間違っても一生ものになるわきゃ
ないんだから、要は、その時点その時点で使えるものを使えばいいっ
てだけの話で。

前に >>706 にも書いた通り、.com 版 sftp client はファイル名の補
完ができたりするんで結構便利だしね。


807 名前:名無しさん@お腹いっぱい。 投稿日:02/06/27 10:38
pamが使えないとかいう問題は治ってる?
ChangeLog見たけど
- (djm) Fix int overflow in auth2-pam.c, similar to one discovered by ISS
これの事?


808 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 11:01
3.4p1をSolarisで使っているんだけど、
sshd_config に UsePrivilegeSeparation yes を書いた場合、
つなげようとすると
debug1: Connection established.
debug1: read PEM private key done: type DSA
debug1: read PEM private key done: type RSA
debug1: identity file /home/mona/.ssh/identity type 0
debug1: identity file /home/mona/.ssh/id_rsa type -1
debug1: identity file /home/mona/.ssh/id_dsa type 2
ssh_exchange_identification: Connection closed by remote host
となって connection 切られちゃう。

debug1: Remote protocol version 1.99, remote software version OpenSSH_3.4p1
debug1: match: OpenSSH_3.4p1 pat ^OpenSSH
Enabling compatibility mode for protocol 2.0
って続くはずなのになぁ。

809 名前:名無しさん@お腹いっぱい。 投稿日:02/06/27 11:34
3.4p1(BSDi)
sshdユーザーを作ったのにmake insatllでこの表示はあってのかい?
id sshd || echo "WARNING: Privilege separation user \"sshd\" does not exist"

一応、psで見るとこんな感じだが、
ps auwwx | grep sshd
root 1497 0.0 0.2 900 436 ?? Ss 11:27AM 0:00.28 /usr/local/sbin
/sshd
root 1578 0.0 0.4 928 804 ?? I 11:28AM 0:00.03 hoge [priv] (sshd)

こりゃー間違ってんかな?lsofしてもrootでしか動いてなんだが。。


810 名前:名無しさん@お腹いっぱい。 投稿日:02/06/27 17:01
FreeBSD4.5にopenssh-3.4p1をインストールしたのだが、
sshdを立ちあげると次のようなエラーが出る。
一応sshdは動いているようなのだが。

This platform does not support both privilege separation and compression
Compression disabled

なんで?

811 名前:名無しさん@Emacs メール:sage 投稿日:02/06/27 17:50
>>810
どっちかを off にしる〜

812 名前:名無しさん@お腹いっぱい。 投稿日:02/06/27 18:04
JPCERT も出た。
http://www.jpcert.or.jp/at/2002/at020004.txt


813 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 18:09
does not support both A and B

これもわからんか・・・
読もうとしろよ

814 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 21:07
>>810
「両方ともサポートしているわけではない」(部分否定)

815 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 21:18
>>812
読んでみたけど、対処方法に「Disable challenge response authentication」
といった記述が見つからないなぁ…

ちなみに、
http://www.cert.org/advisories/CA-2002-18.html
には記述されてます。

816 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 21:24
>>809 うちでも同じWARNING が出ました。ただ、
http://www.unixuser.org/~haruyama/security/openssh/privsep.txt
にある「特権の分離がどのように行なわれるかを見てみます・・・」
を実行したところ、sshd ユーザーにchroot していることは
確認できましたので、見なかったことにしてます。
いいのかちら・・・?

817 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 21:41
root 24204 0.0 0.0 352 876 ?? Is 8:01PM 0:01.54 /usr/sbin/sshd
root 30733 0.0 0.0 388 1276 ?? Is 8:01PM 0:00.12 sshd: ore [priv] (sshd)
ore 2845 0.0 0.0 428 1208 ?? S 8:01PM 0:00.15 sshd: ore@ttyp0 (sshd)
root 1286 0.0 0.0 388 1280 ?? Is 8:15PM 0:00.13 sshd: ore [priv] (sshd)
ore 25440 0.0 0.0 428 1296 ?? S 8:15PM 0:00.47 sshd: ore@ttyp1 (sshd)


818 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 21:45
>>809
WARNING: Privilege separation user "sshd" does not exist
とは表示されなかったんでしょ? Makefile がしょぼいだけでしょう。

819 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 22:03
う〜ん。sshd っていう user & group 作って、/var/empty 作って
sshd_config に
UsePrivilegeSeparation yes
Compression no
って書いているのに
mona 507 0.6 1.0 3508 2364 ? S 21:56:29 0:00 sshd -i
root 472 0.0 1.0 2948 2324 ? S 21:56:23 0:00 sshd -i
ってなるんだけど、inetd 経由だとダメなの? ちなみに OS は Solaris8

820 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 22:09
>819
monaで動いてるプロセスがあれば大丈夫でしょ。
privsepされてなければどっちもroot。

821 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/27 23:40
>>820
Thanks. lsof しても /var/empty とか user が sshd だとかいうものが存在
しないんで、いったいどうなっとんのじゃと悩んでいたのでした。

822 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/28 12:40
>810 configureが腐っていてsys/types.hをincludeし忘れてるみたいだね。
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=1244997+0+current/freebsd-security


823 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/06/28 23:20
ssh.comのSSHはだいじょうぶなのですか?

824 名前:名無しさん@お腹いっぱい。 投稿日:02/06/30 14:02
>>778
おいらは別config書いてそこに

UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
Port 10022

とか書いといて、-Fオプションでconfig切替えて使ってるよ。
同一ホストでもportが違えば別のknown_hostsに書かれるのでちょっとだけ嬉しいはず。


825 名前:名無しさん@お腹いっぱい。 投稿日:02/06/30 16:28
>>818
すまん。初心者で直し方がわからない。
もしよろしければ直し方キボンヌ。

826 名前:名無しさん@Emacs メール:sage 投稿日:02/07/01 01:06
In article >>825, 名無しさん@お腹いっぱい。 <> wrote:
> すまん。初心者で直し方がわからない。
> もしよろしければ直し方キボンヌ。

どっちを # でコメントにすればよいですね:)

827 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/01 13:23
>>823
> ssh.comのSSHはだいじょうぶなのですか?

なにが?


828 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/01 13:33
>>824
> おいらは別config書いてそこに
>
> UserKnownHostsFile /home/myself/.ssh/known_hosts_port_10022
> Port 10022
>
> とか書いといて、-Fオプションでconfig切替えて使ってるよ。

なるへそ。その手があったか。

で、こいつをちょいと発展させて config ファイルには

Host host1
HostName sshgateway.mycompany.com
Port XXX0
UserKnownHostsFile ~/.ssh/known_hosts_host1
Host host2
HostName sshgateway.mycompany.com
Port XXX1
UserKnownHostsFile ~/.ssh/known_hosts_host2


とか書いといてやって

$ ssh host1

とか

$ ssh host2

とかする、ってのはどうよ。


829 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/01 15:02
> どっちを # でコメントにすればよいですね:)

日本語の間違いを正しても依然として意味不明なのですが。

830 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/01 15:09
In article >>829, 名無しさん@お腹いっぱい。/sage/829 wrote:
> > どっちを # でコメントにすればよいですね:)
>
> 日本語の間違いを正しても依然として意味不明なのですが。

どちらかを、# でコメントにすれば良いですねじゃわからんか?

ヘ_ヘ
ミ・・ ミ
( ° )〜
~~~~~~~~~~

831 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/07/01 15:09
日本語だと思うから意味不明なのです。

832 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/01 15:13
In article >>831, 名無しさん@カラアゲうまうま/sage/831 wrote:
> 日本語だと思うから意味不明なのです。

そうですね:)
推奨するのは自分の頭で考えることです。


833 名前:名無しさん@Emacs 投稿日:02/07/01 17:33
From: OSADA Yoshiko <o.yoshiko@jp.fujitsu.com>
Subject: [ssh:00010] Re: WARNING: Privilege separation user "sshd" does not exist
Date: Mon, 01 Jul 2002 16:37:06 +0900

> とっても早いレス、ありがとうございました。
>
> ところで、追加質問させていただきます。
> これは、openssh3.4では必須の作業なのですか?それともオプショ
> ンなのですか?

(゜Д゜)ハァ?

834 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/01 17:35
>>833
ML ヲチしたいならこちらでどうぞ。

ニュース、ML キチガイリスト 6 人目
http://pc.2ch.net/test/read.cgi/unix/1023635938/

835 名前:初期不良 メール:sage 投稿日:02/07/01 23:23
>>830
> どっちを # でコメントにすればよいですかね:)

の補完候補もあり

836 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/02 02:06
changelog.Debian.gz

> openssh (1:3.4p1-1) testing; urgency=high
>
> * thanks to the security team for their work
> * no thanks to ISS/Theo de Raadt for their handling of these bugs

837 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/02 13:02
>>836
いくらなんでもこれはひどいなぁ。bug 発見して fix したのは Theo でしょ。

838 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/02 13:34
>>837
workaroundがあるのに隠してたのもTheo。

839 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/02 16:54
>>837
ひどくはないだろ。
theoは何がしたかったかマジで意味不明。


840 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/02 22:58
>>839
特権分離を使わせたかった。

841 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/03 12:43
AirH" 128k + PuTTY日本語対応で使用中。
パケットは遅延がデカいからキー打ってからのタイムラグが結構デカい。
何とも言えない使い心地だ。


842 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/03 13:11
いまだに56kダイヤルアップで大学にログインしてskkつかってメール書いてますが何か?
compression禁止なマシンだと大変イタイです。

843 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/03 14:40
>>842
モデム使うんなら、モデムで圧縮すればいいやん。

844 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/03 17:32
>>842
スループットとタイムラグは別物。

845 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/03 19:13
>>836-839
おい、お前ら。本家 OpenSSH の (Revised) Advisory は読んだのですか?

最初の Advisory から Credits: ISS. と書いてあったはずなので、
俺は一番悪いのは ISS ではないかと思っていましたが。

>>836
OpenSSH の側では Debian の対応を賞賛しているのに。。。

>>837
ISS の Advisory を読む限り、穴を発見したのは ISS でしょ。


846 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/03 21:49
>>845
theoの発言を読んだ上で書いてるの?

847 名前:845 メール:sage 投稿日:02/07/03 22:33
>>846
俺は Theo は悪くないと書いたつもりはないぞ。 OpenSSH Advisory は
彼の側の文書だから、これだけを読んで判断するのは早計だろうからな。

それとも、Theo の発言と Advisory の記述が食い違っているという指摘?
そういうことなら俺は気付いていないのでぜひ教えていただけますか。

それはともかく、

>>837 は (Advisory を読む限り) 事実誤認。

>>838
確かに workaround は隠されていたな。 その辺の事情は OpenSSH Advisory
の Release Process に書かれているが、これを読んでも >>839 はまだ意味
不明と言い切るのか?

最初の警告を出した、ここにも書かれていない事情について、Apache の時
みたいにまた ISS が絡んでいるのではと俺は疑っているのだが。


848 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/03 23:02
>>847
>>839http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550nあたり
の言動が意味不明だと言ってるのだと思われ。
あんだけ煽っといて「実は設定で回避できました、テヘ」じゃ、そりゃ、みん
な怒るよ。

849 名前:845=847 メール:sage 投稿日:02/07/03 23:32
>>848
だからその辺の事情が OpenSSH Advisory で述べられているという話。

「workaround を公開 == 穴のある場所を限定」なので、あの時点で workaround
を公開すべきだったのかは俺にはわからない。

ただ、そもそも最初の中途半端な警告がなければ何も問題なかったのだよな?
その事情について >>840 みたいな声も多かったが、Advisory に Credits: ISS.
とあるのを見て「また ISS かよ!」と思った俺みたいなのは他にいないのか?


850 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 08:23
> スループットとタイムラグは別物。

これどゆこと?
AirH" のほうが 56k dialup よりもタイムラグあるってこと?
そんなに遅延すんの?

851 名前:名無しさん@お腹いっぱい。 投稿日:02/07/04 11:02
>>850
そう、AirH"のパケット方式だとどんなホストにping撃っても300, 400msはあたりまえ。
平均すると500ms〜700msくらいは待たされるんじゃないだろうか。
通常のアナログモデムだとこんなには遅延しないでしょ。
PHSでもPIAFSとかなら遅延は少ないみたいだけど。


852 名前:名無しさん@Emacs メール:sage 投稿日:02/07/04 11:17
>>849
おおむね同意

itojun氏曰「workaroundを公開すれば500行程度に攻撃対象が限定される」
らしいので穴突くのも楽勝であっただろう。
しかも相手がISSだったので放置すれば、そのまま公開される危険性もあった。

それらを踏まえれば、MLでの発言はともかくtheoに全面的に非が有った
とは言い切れないと考える。
煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
どういうのが有ったとお考えですか?


853 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 11:58
theoの非:
穴のない 2.3.1 より前のバージョンを使っていた管理者に対して、
穴のある 3.3 使うよう促した。

854 名前:852 メール:sage 投稿日:02/07/04 12:12
>>853
vulnerabirityのあるバージョンを明記したSAを出したら、changelog
から攻撃箇所を特定できると思います。

protocol1しか話せないバージョンを駆逐したかったという意図も
否定できないけど。


855 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 12:19
SAを出す際に、特権分離を普及させよう、とか、古いプロトコルバージョンを
駆逐しよう、とかいった打算はいらない。

856 名前:!849 メール:sage 投稿日:02/07/04 12:33
>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか?

礼儀正しさと冷静さ


857 名前:852 メール:sage 投稿日:02/07/04 13:36
>>856
projectとして誤った対応があったというのと、theo個人の
非礼は別問題では

>>855
意図があったのでは、というのは私の勝手な妄想です。

858 名前:842=850 メール:sage 投稿日:02/07/04 14:51
>>851
解説感謝。よくわかりました。

859 名前:849 メール:sage 投稿日:02/07/04 18:15
>>852
> 煽りじゃなくて純粋に知りたいのですが、もっとマシな対応とすれば
> どういうのが有ったとお考えですか?
これはひょっとして俺に聞いているのですか?

この問題に関しては俺はヤジ馬でいられたので (ssh の口を外に晒していない)
>>845 を書いたのも「お前ら、Theo ばかり叩いていていいのか?」という煽り
と軌道修正が半々の動機でした。
あの時点で workaround を公開することの是非もわからないと >>849 に書いた
はずだし、ごめん、俺に聞かれてもわからん。

むしろ、俺の頭の中にあるのは悪い方のシナリオだな。
セキュリティ企業の 穴探し→早期の告知 の競争がエスカレートするとか、
BSD resolver の穴が vendor に告知してから 5 時間以内に漏れたように、
「vendor に知らせない方がマシだ!」とキレる奴が増えてくるとか、今後
穴の告知に関してますます混乱が増えるんじゃないのか?


860 名前:852 メール:sage 投稿日:02/07/04 19:51
>>859
いえ、別に特定の人物に尋ねたつもりはないんですが、>>838みたいに
"隠してた"呼ばわりする人もいるぐらいだから、もっとスマートな解決策が
あったのかなぁ、と。


861 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 20:42
>>853
ん, 2.3.1 より前は本当に穴が全くないのか?
今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
http://www.unixuser.org/~haruyama/security/openssh/security-holes.html

しかしこうしてみると穴が多いな. 早く穴の多さに DJB がキレてくれないかな.


862 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 21:03
>>861
何でそこで DJB が出て来るの?

863 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 21:30
djbsshを作らせるため。

864 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 21:37
>>863
バカみたい

865 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 21:59
>ん, 2.3.1 より前は本当に穴が全くないのか?
>今回の穴は関係なかったとしても以前の穴(local/remote 共?)があるはずでは?
セキュリティ修正だけbackportしてあれば穴が無いことになるはず。

866 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 22:26
>>865
純粋な疑問ですが、security fix を backport した 2.3.1 以前を配布していた
ベンダが実際にあるのですか? リリース版に含めていたのが 2.3.1 以前なので
せっせと backport して patch を配布していたといったところでしょうか?

よく知らないけどそういうことをするとしたら Debian なのかな?


867 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 22:27
>>861-864
http://pc.2ch.net/test/read.cgi/unix/1021727195/173-174n


868 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/04 23:52
>>866
Debian stable(potato)は OpenSSH 1.2.3 base. 穴がみつかるたびに
security fix を backport して対応していた。
(channel bug とか CRC-32 attack とか)

詳細を明かさずに、「いついつまでに update しろ」と連絡があって、
しかたなくおお慌てで ssh の update パッケージを出した。
(このとき指定された期日まで、24時間よりもずっと短かい時間しかなかった)
当然十分なテストが行なえるわけもなく、とりあえず 3.3 のパッケージと
判っている範囲でのアドバイザリを出したが、急造なのでバグが結構あった。
(3.3 のパッケージは都合6回 Debian version が上がっている)

いざ詳細があかされると、実はおお急ぎで出したパッケージによって
余計な穴を開けてしまった格好になっていたので、そりゃ怒りたくもなるよ。

そりゃまあ protocol 2 が使えるようになったこと自体は良いのかも
しれんけど、security team が抱える羽目になった苦労が大きすぎる。


869 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/05 01:14
すみません、板違いなのですがlinux板の方にsshスレが無いのでこちらで質問させてください。
OpenSSH3.4p1をインストールしているのですがうまくいきません

ssh2で接続でサーバがRedhat7.2でクライアントがwin2kのputtyなんですが
クライアントの接続の前にsshdが立ち上がらず困っています

以下sshd起動時メッセージ
[root@hoge etc]# /usr/local/sbin/sshd -d -f /usr/local/etc/sshd_config
debug1:sshd version OpenSSH_3.4p1
debug1:read PEM private key done:type RSA
debug1:private host key:#0 type 1 RSA
privilege separation user sshd does not exist
[root@hoge etc]#

>debug1:private host key:#0 type 1 RSA
これがssh2じゃないぞと怒られている気がしないでも無いのですが
やっぱりよくわかりません

confファイル
sshd_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt
ssh_config
http://damerin.tcp-ip.cc/uploader/source/up0001.txt

インストール時configure
./configure --with-pam --with-tcp-wrappers --with-ipv4-default

どなたかアドバイスいただけたらうれしいです。


870 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/05 01:25
>>869
"privilege separation user sshd does not exist"が原因
>>763 参照

871 名前:nanasi メール:sage 投稿日:02/07/05 01:27
>>869
Privilege separation まわりでしょ。

このスレの 800 以降を読んでみて。


872 名前:866 メール:sage 投稿日:02/07/05 05:56
>>868
ありがとうございます。なるほど、1.2.3 とは驚きました。
>>845 で OpenSSH 側が Debian の対応を賞賛しているのに、
>>836 で Debian 側が no thanks と書いているのはそういう事情が
あったのですね。


873 名前:868 メール:sage 投稿日:02/07/05 06:33
Debian の ssh が古いのはリリースがもう2年近く前だから、という
事情もあるので勘弁してあげて下さい。


874 名前:名無しさん@お腹いっぱい。 投稿日:02/07/05 14:01
http://www.jpcert.or.jp/at/2002/at020004.txt

JPCERTは、もっとも簡単な対応 "ChallengeResponseAuthentication no" を
対策として故意に載せていないのは陰謀の臭いがする。

875 名前:815 メール:sage 投稿日:02/07/05 16:55
CERT/CC(URLは>>815参照)にはきちんと書かれているようです。
なぜ書かれていないのかは私も不思議。

876 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/06 02:44
まあ、いまだに Apache1.3.19 使ってるぐらいだからね(藁 < jpcert

877 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/06 02:54
あれは honey pot ですっ(ぉ

…それはともかく、openssh.comのバージョンは1.3.24ですなー、たぶん例のパッチ
は当ててあるんだろうけど。

878 名前:869 メール:sage 投稿日:02/07/06 03:37
>>870
>>871

スマソ
このスレは一様流して読んでからインストールに入ったのですが
気がつかなかったです。
今度から念入りに検索する事にします。


879 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/06 03:44
「一応」

880 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/06 08:46
>>879
一応?

881 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/07/06 09:36
878s/一様/一応/ってことだろ。

882 名前:名無しさん@お腹いっぱい。 投稿日:02/07/09 12:36
scp と cron を利用して、リモートサーバのファイルの
バックアップを取りたいのですが、まず scp を使う際に
パスフレーズを訊かれないようにするには ssh-agent を
使えばいいということが分かりました。以下のページを
参考にしました。

http://www.zdnet.co.jp/help/tips/linux/l0403.html

しかし、このページの最後に

「ssh-agentに関する問題の1つは,cronジョブとの
関連性を持つことができない点だ。cronによって
定期的にsshを利用したrsyncを実現するといっ
た用途には,更なる作業が必要になる。」

とあるではありませんか。この「更なる作業」は説明
されておらず、ここで壁にぶつかりました。

どのようにすれば scp + cron のバックアップを
実現できるのでしょうか?


883 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 12:40
>>882
.shosts

884 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 13:16
>>882
パスフレーズを空にすればいい。

885 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 13:17
公開鍵認証にするとかじゃだめなんかな?

886 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 13:31
http://www.google.com/search?q=cron+ssh&ie=Shift_JIS&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=lang_ja
このへんでいくらでもおいしいネタがいただけます

887 名前:名無しさん@お腹いっぱい。 投稿日:02/07/09 14:45
sshをインストールして起動しようとすると
Privilege separation user sshd does not exist
って出て起動しないけど、何がいかんのかわからんです。なぜ?

888 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 14:47
>>887
このスレを "Privilege" で検索してみたまえ。

889 名前:名無しさん@お腹いっぱい。 投稿日:02/07/09 16:31
teratermからつなぎたいのでプロトコル1の鍵を作りたいんすけど、
ssh-keygen -t rsaってやっても
id_rsaって鍵が出来上がってどうもプロトコル2みたい。
identityの作り方おせーてください

890 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 16:34
>>889
$ man ssh-keygen
.
.
.
-t type
Specifies the type of the key to create. The possible values are
``rsa1'' for protocol version 1 and ``rsa'' or ``dsa'' for protocol
version 2.

891 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 16:35
-t rsa1

892 名前:名無しさん@お腹いっぱい。 投稿日:02/07/09 16:38
OpenSSH で、以前 contrib にあった /etc/passwd の home direcotry フィールドを
/chrootdir//homedir の形式にすると、指定したディレクトリに chroot() して
くれる patch ( chroot-patch ) というのがあったと思いますが、
OpenSSH 3.4p1 で動くバージョンを持っている or 作られた方はいらっしゃいますか?


893 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/09 16:42
>>892
このスレを "chroot" で検索してみたまえ。

894 名前:889 投稿日:02/07/09 17:19
890、891
助かりました。thx!!

895 名前:882 投稿日:02/07/09 17:56
>>884
が言うとおり、とりあえず一番簡単そうなパスフレーズを
空にしてみました。

scp username@remotehost:backupfile local_storage

上記のようなコマンドを打つとパスフレーズも要求されず
うまくいくのですが、そのコマンドをcrontabに登録しても、
何にも起こりません。
あとは何が抜けているのでしょうか。


896 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/10 00:41
>895
貴方の間が抜けています
早く探さないと手遅れになりますよ?

897 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/10 00:42
>>895
そのコマンドが
どのアカウントでどのディレクトリで実行されるか
把握できてる?

898 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/10 04:00
>>843
> モデムで圧縮すればいいやん。
暗号化後じゃV.42bis効かんと思うが。

899 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/10 07:42
確かに。

900 名前:882 メール:sage 投稿日:02/07/10 08:13
>>897
うっ、把握できてない。
ここらはもうcronの話? アカウントは"crontab -e"を
設定したユーザーのアカウントで実行されるんだと思ってたけど、
間違ってる?
ディレクトリは意識したこともなかったです。


901 名前:882 メール:sage 投稿日:02/07/10 08:22
いやー分かったよ、ディレクトリのこと。
スレ違いなcronの話になってしまうけど、
HOME=~username
という環境変数をcrontabに設定したら、
幸せになれました。こうしないと、各ユーザの
~/.ssh/ の中身が読みにいけないってこと
だったのかな。

とにかく感謝です。

902 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/10 13:13
あと、パスフレーズなしの鍵で運用するときは、authorized_keys で
特定のコマンドしか実行できないよう制限しておくのが吉。


903 名前:882 投稿日:02/07/10 14:54
>>902
これは初耳。そんなことができるのですか?
具体的にはどうやって特定のコマンドとauthorized_keysを
関連付けるのでしょうか?

~remote_user/.ssh/authorized_keys は、元は
~local_user/.ssh/id_dsa.pub のことですよね?

904 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/10 14:57
>>903 man sshd

905 名前:882 メール:sage 投稿日:02/07/10 16:07
>>903
ちゃんとマニュアルは読まないとダメだね。勉強に
なりました。
でも、authorized_keysで制限できるのは、
$ ssh -l remote_user remote_host command
と打つときのコマンドや、sshログインしてからの
コマンドだよね。

ローカルからのscpのみに制限したい場合はできない
んじゃないの? (実際にcommand="scp 〜"を指定
してみたけどうまくいかなかった。設定の仕方が
悪いだけ?)

906 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/10 17:08
>>903
> ~remote_user/.ssh/authorized_keys は、元は
> ~local_user/.ssh/id_dsa.pub のことですよね?

Yes. 正確には
 ~local_user/.ssh/id_dsa.pub∈~remote_user/.ssh/authorized_keys
かな。authorized_keysは"keys"と複数形になっている通り、公開鍵「集」なわけよ。

で、ここに記述された公開鍵に対応する秘密鍵を持っている人が正規ユーザ
としてログインできるというわけなのだ。

# 解決済だろうけど、一応。
# # ゆえにsage

907 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/10 17:24
>>905
引数渡せない(渡されたコマンドの代わりにオプションで指定したもの使う)。
ssh+tarにすれば?

908 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/11 13:10
>>905
> ローカルからのscpのみに制限したい場合はできない
> んじゃないの?

うんにゃ。

> (実際にcommand="scp 〜"を指定
> してみたけどうまくいかなかった。

前に書いてた

> scp username@remotehost:backupfile local_storage

ってのを -v オプション付きで実行してみ。scp したときにどんな処
理が裏で行われているか分かるから。

で、その通りに authorized_keys の command= option に書いてやりゃ
動く。

♯ただし、-v オプションは不要

> 設定の仕方が
> 悪いだけ?)

だと思う。

あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
の options 記述位置が全然違うけど、そこんとこは OK ?

ま、でも、

>>907
> ssh+tarにすれば?

がたぶん正解。


909 名前:yamasa 投稿日:02/07/12 02:36
せっかくなので、QandAを書いてみますた。
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
ツッコミお願いします。

910 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/12 10:46
>>909
PATHに頼るのは嫌いでふ。

911 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/12 10:49
>>910
なら、ssh-add すれ。

つーか、なんで嫌いなんだろ。

912 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/12 11:00
>>911
command="tar ..."の事でふ。

913 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/12 11:03
>>909
> せっかくなので、QandAを書いてみますた。
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468
> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255
> ツッコミお願いします。

よく書けてると思うっす。

気になったところはこんくらい:

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5468

> また、bash や zsh など sh 系のシェルを使っている場合は
> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。

デフォルトが sh 系コマンド生成なので -s は明示する必要なし

> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
> % ssh-add ~/.ssh/identity

個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
add してくれるし)?

> /etc/pam.conf の xdm 部分の設定例は次のようになります。
> xdm auth required pam_unix.so
> xdm auth optional pam_ssh.so use_first_pass

おいらは

auth sufficient /lib/security/pam_ssh.so

でやってるけど、この辺は考え方の違いなんでしょうね。

で、これ以外に

・keychain 型の ssh-agent を永続させる危うさについて (いい加減
くどい、て B-)
・(たしか) 3.3 から ssh-add -x/-X で agent 上の鍵の lock/unlock
 が、ssh-add -t life で鍵の保持期限が設定できるようになった

なんて話は触れときたいかも。

> http://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA/2255

> % cat ~/.ssh/backup.pub
> command="tar czf - hoge",no-pty,no-port-forwarding 1024 35 1472731(以下略)

あれあれ、SSH1 鍵でも command= を先頭に書くのでいいんだっけ?と
思って man page 読み返してみたら、それでよかったんですね。って
ことは、>>908

> あ、あと、SSH1 と SSH2 では authorized_keys ファイルエントリ中
> の options 記述位置が全然違うけど、そこんとこは OK ?

と書いたのはまったくの嘘だったわけだ。ssh.com 版のと錯誤したよ
うでまことに申し訳ないっす。


914 名前:yamasa メール:sage 投稿日:02/07/13 02:26
>>910
確かに
command="tar czf - hoge" ...
よりは
command="/usr/bin/tar czf - hoge" ...
のほうがいいですね。あとで変えときます。

>>913
>> また、bash や zsh など sh 系のシェルを使っている場合は
>> ssh-agent -c の代わりに ssh-agent -s と指定して下さい。
>
> デフォルトが sh 系コマンド生成なので -s は明示する必要なし

違うっす。-cも-sも指定しなかったときは、環境変数SHELLの値を見て
出力を決めてます。
ただ、自動判別に頼るのはトラブルのもとかなと思ったので
QandAでは明示的な指定方法だけを書くことにしました。

>> 引数に秘密鍵のファイル名を指定して ssh-add を実行して下さい。
>> % ssh-add ~/.ssh/identity
>
> 個人的希望では、設定例は SSH2 ベースにして欲しいかも。つーか、
> 鍵ファイル名の指定は要らなくないすか (2.9 の頃なら ~/.ssh/identity
> がデフォルトだし、最近のはデフォルトの名前の鍵は全部まとめて
> add してくれるし)?

これは俺もかなり悩みました。
確かに秘密鍵のファイル名を明示的に指定しなきゃならんのは
OpenSSH2.9でSSH2を使ってるときぐらいだから、
% ssh-add ~/.ssh/id_dsa
ってのを例にだしておけば十分なんですよね。

でも、FreBSD 4.6-RELEASEまで(おそらく4.6.1-RELEASEも)の
デフォルトではSSH1て繋ぎにいくし、多少冗長でも
確実に動作する例をQandAには書くべきだと思うから
~/.ssh/identity を指定しておきました。
デフォルト値のような詳しい内容についてはmanを読めってことで
いいんじゃないですかね。

915 名前:yamasa メール:sage 投稿日:02/07/13 02:27
>> /etc/pam.conf の xdm 部分の設定例は次のようになります。
>> xdm auth required pam_unix.so
>> xdm auth optional pam_ssh.so use_first_pass
>
> おいらは
>
> auth sufficient /lib/security/pam_ssh.so
>
> でやってるけど、この辺は考え方の違いなんでしょうね。

これについては↓を読んでちょ。
http://pc.2ch.net/test/read.cgi/unix/1014385300/330-352n

auth sufficient pam_ssh.so
だと SSH passphrase を空にしている輩なんかがいた場合に
大変なことになるんで、できるだけ安全側に倒した例を
挙げておきました。
まあ、わかっている奴がちゃんと影響を理解したうえで
pam.confをいじるのなら問題無いんで、QandAの例が
唯一の方法だと思われないように注意したつもりです。


あと、ssh-add -x とかのネタも取りあげたかったんだけど、
さすがに超長文になってしまうんで(もうなってるか)泣く泣く
割愛しました。

916 名前:名無しさん@お腹いっぱい。 投稿日:02/07/13 14:18
自宅の俺様専用鯖(PPPoE、非常時接続)にログインするとき、known_hostに入ってないので確認メッセージが鬱陶しいです。
また、ここでyesと答えてしまうと後々他人のものになるIPアドレスで登録されてしまうので気持ち悪い。
現在は、テンポラリのknown_hostsを生成し接続、切断後に削除というスクリプトを書いて使っていますが、なんかかっちょ悪い。

もっとスマートな方法はないでしょうか?
バージョンはOpenSSH_3.4p1。非固定IPでドメインも取っていません。

917 名前:yamasa メール:sage 投稿日:02/07/13 14:57
>>916
~/.ssh/config に
---
Host homepc
HostName 192.168.0.10
HostKeyAlias homepc
UserKnownHostsFile ~/.ssh/known_hosts.homepc
---
とでも書いておいて、
192.168.0.10 の部分を適当に書き換えるスクリプトを作ればよろし。

918 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 15:11
>>916
どうせ他人のアドレスになっても
そいつにログインすることはないから、
気にしないってのはどうよ。
known_hosts が膨れ上がるのが気になるなら
なんとかして known_hosts を別ファイルにわけて
ときどき rm する、とか。

919 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 15:26
>916
ダイナミックDNSを利用して同じホスト名でアクセスできるようにすれば委員でない?

920 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 15:31
>>917
なるほど… 書き換えるのは面倒なので-oで渡せるかな?
試して見ます(すぐには出来ないので報告は後日)。

>>918
やっぱ気持ち悪いし。アドレス間違えて他人鯖にログインしようとしたこと何回かあるし… (w
間の悪いことに鯖設定変えた後だったので、失敗したかと迂闊にもパスワード送っちまった。

921 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 15:33
>>919
俺様専用鯖なので他人からのアクセスの可能性は出来るだけ回避しようと…

922 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 15:49
>921
欲張りすぎ
利便性と安全性は相反するもの

923 名前:916 メール:sage 投稿日:02/07/13 16:25
>>922
やだ。安全性を犠牲にするなら不便なほうがいい。
犠牲にしない範囲で便利は欲しい。(w

924 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 16:43
>>923
ネットに繋がず持ち歩く、でファイナルアンサー

925 名前:916 メール:sage 投稿日:02/07/13 16:57
>>924
必要なのは俺様専用鯖に繋がっているBフレという資源なわけで、これのために
外からアクセスしてる。
残念な事に光ファイバというのは持ち歩く訳にはいかにゃーだ。

つーか、>>917で成功すれば俺的にはFAなんだが… (w

926 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 17:02
資源を持ち歩くんだよ

927 名前:sage メール:sage 投稿日:02/07/13 17:20
だから必要な資源はインターネットにアクセスするBフレなんだってば。

928 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 17:24
延長しまくれ

929 名前:916 メール:sage 投稿日:02/07/13 17:24
外に出たときはssh(22)しか自由にならないの。だから俺様専用鯖までトンネル掘るの。

930 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 18:19
>>916

          厨  房  必  死  だ  な


931 名前:916 メール:sage 投稿日:02/07/13 18:28
夏の虫がたかって来たようなので、ここらで退散します。
ご報告は後日。

932 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 18:31

          二  度  と  来  る  な


933 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/13 18:32
固定IPくれえるプロバイダに乗り換えろや

934 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/13 18:33
>>914
> > デフォルトが sh 系コマンド生成なので -s は明示する必要なし
> 違うっす。-cも-sも指定しなかったときは、環境変数SHELLの値を見て
> 出力を決めてます。

うひゃ、ほんとだ。c_flag が 1 かどうかで csh と sh の構文を変
化させてるとこしか確認しなかったんで sh 系がデフォルトだとお
もてたけど、その前に SHELL の終わり三文字を見て c_flag を設定
してたのね。

逝った。

> ただ、自動判別に頼るのはトラブルのもとかなと思ったので
> QandAでは明示的な指定方法だけを書くことにしました。

うん、納得。

> でも、FreBSD 4.6-RELEASEまで(おそらく4.6.1-RELEASEも)の
> デフォルトではSSH1て繋ぎにいくし、

そうなんすか…。

みんな、CORE-SDI の例のやつはどう評価してるんだろうなぁ。ちゃん
と理解した上でやってるならいいんだけど。

> デフォルト値のような詳しい内容についてはmanを読めってことで
> いいんじゃないですかね。

はい、これも納得。


935 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/13 18:46
>>920
> >>917
> なるほど… 書き換えるのは面倒なので-oで渡せるかな?
> 試して見ます(すぐには出来ないので報告は後日)。

うん、できるはずなんで試してみ。

しかし、そっか、HostKeyAlias なんてのが config keyword にあった
んだ。そんじゃ >>828 に書いた方法でもこれを使ってやれば knownhosts
ファイル変える必要もないんじゃないか。

しかも、ssh_config の man page には

> HostKeyAlias
> Specifies an alias that should be used instead of the real host
> name when looking up or saving the host key in the host key
> database files. This option is useful for tunneling ssh connec-
> tions or for multiple servers running on a single host.

とかきっちり書いてあるし。


936 名前:yamasa メール:sage 投稿日:02/07/14 01:11
>>920
その自宅サーバのIPアドレスの範囲の見当がついているのなら、
---
Host 192.168.*
HostKeyAlias homepc
UserKnownHostsFile ~/.ssh/known_hosts.homepc
---
とでもしておけば ~/.ssh/config を書き換える必要はない。
-o オプションを使うぐらいなら、こっちにしとけば?

937 名前:916 メール:sage 投稿日:02/07/15 10:35
試してみました。
HostKeyAlias mypc
としてknown_hosts2にホスト名をmypcとしたサーバ鍵を追加するだけでおっけでした。
Host 192.168.*はHostKeyAliasに影響しないようです。

938 名前:916 メール:sage 投稿日:02/07/15 11:18
追記
HostKeyAliasだけでいけるのは-oで指定したときだけでした。
結局、割り当てられるのは/16なアドレス範囲二つのうちどちらかなので、次のようなconfigにしました。

Host xxx.xxx.*
HostKeyAlias mypc
StrictHostKeyChecking yes

Host yyy.yyy.*
HostKeyAlias mypc
StrictHostKeyChecking yes

939 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/15 16:00
>>935
> しかし、そっか、HostKeyAlias なんてのが config keyword にあった
> んだ。

しかも bug ってるし (HostKeyAlias で大文字を使うと known_hosts
とのマッチが取れず何回アクセスしても新しい鍵だと逝って来る)。

とりあえず patch は openssh@openssh.com に送ったけど、あんま使
われてない機能なんだろうなぁ。


940 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/15 19:00
IETFのsecsh WG逝った人〜

941 名前:名無しさん@お腹いっぱい。 投稿日:02/07/18 14:41
sftpを止めて、proftpdに戻したいんだけどどしたらいい?
/etc/ssh/sshd_configの
#Subsystem sftp /usr/libexec/openssh/sftp-server
この行潰したりしてみたんだけど状況変らず・・・


942 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/18 15:59
>>941
sftp と proftpd が提供する FTP とは無関係だぞ

943 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/18 17:24
問題
sftpにdがついてないのは何故でしょう?


944 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/18 17:30
( ゜д゜)ポカーン

945 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/18 18:34
>>943
めんどくさかったから。

946 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/18 18:37
>>943
かわりにsがついてるから

947 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/18 19:28
>>941
設定ファイル編集後に
   # kill -HUP (sshdのプロセスID)
してないからでは?

948 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/18 19:50
それ以前の問題だろ

949 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/19 10:40
>>943
sftp-serverならありますが。
>>947
( ゜д゜)ポカーン

950 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/19 15:15
次スレどうします?
建てるのは>>980にお任せするとして。
テンプレ作りとかした方がいいですかね。

951 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/19 15:54
じゃあスレタイは「ssh2」で。

952 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/19 16:54
個人的には
「ssh protocol ver.2」
の方が好みだな。

953 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/19 16:57
混乱するから「ssh その2」でいい。

954 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/19 17:28
大文字か小文字か、も問題にならへんか?

955 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/19 22:35
WinでGUIなフリーのsftp実装キボンヌ


とか言ってみるテスト

956 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/20 00:55
>>955
氏ね。

957 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/07/20 12:49
>>955
実装しなさい。自分で。


958 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/20 15:23
漏れは cygwin の openssh 使うからいいんだけど、他の人に ssh 使ってもらおうとすると
CUI かボッタクリなやつしかない状況だからなぁ・・・
WinSCP という手もあるがイマイチだし

959 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/07/20 17:02
欲しい香具師が実装するしかないだろ。そんなもん。
cygwinならtcl/tkでやってみれば。

960 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/21 15:27
Privilege separation が有効になるようにして、
Solaris 2.6 のホストに入れてみたんだけれど、ssh2 でつなごうとすると

no matching comp found: client zlib server none

って接続を切られてしまう。~/.ssh/config で Compression を yes にしても
no にしても同じだし。

ssh1 だとつながるんだけれどなぁ…。もしかして、README.privsep に
書いてあった

Privsep は ファイルディスクリプタの転送を必要とする.
mmap MAP_ANON が働かないシステムでは、圧縮が無効になる.

が原因なのかな。

961 名前:960 投稿日:02/07/22 22:35
う〜ん、Solaris 2.6 以外にも FreeBSD 3-STABLE も同じだった。


962 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/23 18:05
>>960
こないだ手元でも同じ問題が出た。
autoconfだかautomake を新しくして解決した記憶がある。


963 名前:名無しさん@xyzzy メール:sage 投稿日:02/07/27 21:06
sshとは直接関係しない質問なのですが、
携帯端末などからsshで繋いだ時に、電波状況が悪くなったりして、
回線が強制切断されてしまう事があります。
接続し直してみると新規ログインになってしまうのですが、
これを切断前と同じセッションに接続する事は可能なのでしょうか?

964 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/27 21:22
>>963
できたらマズいでしょ。


965 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/27 21:22
screen 使うって手はあるか。

966 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/27 23:00
         ☆ チン     マチクタビレタ〜
                         マチクタビレタ〜
        ☆ チン  〃  Λ_Λ   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
          ヽ ___\(\・∀・) <  新スレまだ〜?
             \_/⊂ ⊂_ )   \_____________
           / ̄ ̄ ̄ ̄ ̄ ̄ /|
        | ̄ ̄ ̄ ̄ ̄ ̄ ̄|  |
        | .てるねっと   |/

967 名前:963 メール:sage 投稿日:02/07/28 00:39
>>965 なるほど,screenですか. thx!

968 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/28 01:02
>>966
990ぐらい逝ってからでいいんでないの?

969 名前:名無しさん@お腹いっぱい。 投稿日:02/07/28 01:30

ssh-agentを使ってあまり意識せずにsshを使いたいと思うわけで、
Xの場合はssh-agent startxとか
ターミナルの場合はssh-agent screenとかして
ssh-addして快適なんですが、
最近Mac OS Xを使いはじめて、こまっていることがあります。
OS XのemacsはGUI使うやつは現在コマンドラインから
たちあげらんないので、上のような手段が使えないんです。
こういう場合に他のssh-agentと通信させる手段はないでしょうか?
せめてssh-askpassがたちあがってくれればうれしいんですけどねえ。




970 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/28 12:55
>>969
> OS XのemacsはGUI使うやつは現在コマンドラインから
> たちあげらんないので、上のような手段が使えないんです。

Mac OS X は使ったことがないのでよく分からんが、

SSH Agent Services for Mac OS X
SSH Ask Password for Mac OS X
http://www-inst.eecs.berkeley.edu/~kevinvv/

SSH Agent
http://www.phil.uu.nl/~xges/ssh/

辺りではなんとかならない?


で、要は環境変数 SSH_AUTH_SOCK に ssh-agent が listen してい
る UNIX domain socket 名が書かれていればいいだけの話なんで、
他で ssh-agent が動かしてあるなら、emacs のなかで

(setenv "SSH_AUTH_SOCK" "/path/to/UNIX-domain-socket")

なんて S 式を eva ってやりゃいい筈。

デフォルトでは UNIX domain socket 名は乱数文字列になっちゃうん
で agent を立ち上げ直すたびに毎回名前を変えてやらなきゃならなく
なるけど、

>>694 で新山さんが書いてる方法や、OpenSSH3.3 以降なら ssh-agent
に与える -b オプションを使うことで、常に特定の名前にしてやる
ことも可。


別解としては、(Mac OS X のじゃない) keychain を使うって手もある
んだろうけど、お奨めできない。


971 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/29 10:43
とってもadhocだが

setenv SSH_AUTH_SOCK=`find /tmp -name 'agent.*' -type s -user $user`

でいいだろ。適当にaliasしやがってください。

972 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/29 12:26
> setenv SSH_AUTH_SOCK=`find /tmp -name 'agent.*' -type s -user $user`

$ find /tmp -name 'agent.*' -type s -user $user
find: missing argument to `-user'
$ find /tmp -name 'agent.*' -type s -user $USER
/tmp/ssh-eOcUZ875/agent.875
/tmp/ssh-QjJi9456/agent.9456
/tmp/ssh-tLf14369/agent.14369
/tmp/ssh-deV19511/agent.19511
/tmp/ssh-aRI17056/agent.17056
/tmp/ssh-PrVY4645/agent.4645
/tmp/ssh-Ygp20066/agent.20066
/tmp/ssh-eZXd4029/agent.4029
/tmp/ssh-LQSb7735/agent.7735
/tmp/ssh-PgV19337/agent.19337
/tmp/ssh-YQC16434/agent.16434
$ ps acx | egrep ssh-agent
19338 ? S 0:00 ssh-agent
$

ですが何か?


973 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/07/29 21:48
>972
下らない揚げ足取り&ちゃんと終了させていない自慢ですか( ´_ゝ`)

974 名前:972ではないが… メール:sage 投稿日:02/07/30 02:19
単に、不意に残ってしまった場合のエラー処理も入れといた方がいいという意味
だろ。

そうカッカするなYO

975 名前:972 だが… メール:sage 投稿日:02/07/30 16:05
>>974
> 単に、不意に残ってしまった場合のエラー処理も入れといた方がいいという意味
> だろ。

$ cat set_agent_socket
for as in `find /tmp -name 'agent.*' -type s -user $USER`; do
if SSH_AUTH_SOCK=$as ssh-add -l; then
SSH_AUTH_SOCK=$as
export SSH_AUTH_SOCK
break
fi
done > /dev/null 2>&1
$ unset SSH_AUTH_SOCK
$ ssh-add -l
Could not open a connection to your authentication agent.
$ . set_agent_socket
$ ssh-add -l
1024 c2:c7:13:37:07:eb:a6:03:e3:3a:9a:26:c5:f5:b4:92 *************** (RSA1)
2048 89:23:bb:cc:38:b2:99:a7:d2:c7:81:da:56:9a:4a:d3 ********************** (RSA)
1024 10:d2:ce:c0:89:1f:37:bc:b5:2e:f5:95:ee:d4:98:64 ********************** (DSA)
$

うん、結構便利かもしんない。しかし、

>>969
> 最近Mac OS Xを使いはじめて、こまっていることがあります。
> OS XのemacsはGUI使うやつは現在コマンドラインから
> たちあげらんないので、上のような手段が使えないんです。

だもんで元の質問者の役には立たないという罠。

♯ま、似たようなこと elisp で書くのも簡単だけど、ね。


976 名前:名無しさん@XEmacs メール:sage 投稿日:02/07/31 17:16
> ♯ま、似たようなこと elisp で書くのも簡単だけど、ね。

(defun set-agent-socket ()
(interactive)
(save-window-excursion
(set-buffer (get-buffer-create " *sas temp*"))
(erase-buffer)
(call-process "find" nil '(t nil) nil
"/tmp" "-name" "agent.*"
"-type" "s"
"-user" (user-login-name))
(goto-char (point-min))
(while (and (not (eobp))
(not (zerop (call-process "ssh-add" nil nil nil
"-l"))))
(setenv "SSH_AUTH_SOCK"
(buffer-substring (point)
(progn (end-of-line) (point))))
(forward-line 1))))

ってとこか。

>>969 氏がどんなことをやりたかったのかは分からぬが、こいつを
eva って M-x set-agent-socket してやると既存の ssh-agent と通信
して tramp が使えることくらいは確認しといた。

これもそこそこ便利かもしれん。


977 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 01:43
opensslの穴ってOpenSSHに関係あるの?

978 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 01:46
>>977
あるよ。大アリ。

そろそろ次スレ用意しませぬか?
980越えるとdat落ちが心配だし。

979 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 02:05
                   / ヽ        / ヽ
               /   ヽ___/   ヽ  イライライライラ
            / ノ(     l___l   \
             |  ⌒   ●  |    |  ●  |   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
       へ    |   へ       ヽ   /     | <  次スレまだ〜?
        \\  \  \\    ヽ/     /   \____________
チン        \\  .> \\          ヽ
   チン      \\/    \\  _       |
      \ ̄ ̄ ̄ ̄ ̄ ̄ ̄/  / ̄   ヽ    /   _
        \回回回回回/ ̄ ̄ヽ        / ̄ ̄ /|
         \___/      ヽ____/  /  |
                               /   |
                              /     |

980 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 08:59
SSH その2
http://pc.2ch.net/test/read.cgi/unix/1028157825/


981 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 18:32
ごめんな〜

982 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 10:33
>>979
ワロタ

983 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 14:53
>>979
今出ました〜。

984 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 22:37
     まもなくここは 乂1000取り合戦場乂 となります。

      \∧_ヘ     / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ,,、,、,,, / \〇ノゝ∩ < 1000取り合戦、いくぞゴルァ!!       ,,、,、,,,
    /三√ ゜Д゜) /   \____________  ,,、,、,,,
     /三/| ゜U゜|\      ,,、,、,,,                       ,,、,、,,,
 ,,、,、,,, U (:::::::::::)  ,,、,、,,,         \オーーーーーーーッ!!/
      //三/|三|\     ∧_∧∧_∧ ∧_∧∧_∧∧_∧∧_∧
      ∪  ∪       (    )    (     )   (    )    )
 ,,、,、,,,       ,,、,、,,,  ∧_∧∧_∧∧_∧ ∧_∧∧_∧∧_∧∧_∧
      ,,、,、,,,       (    )    (    )    (    )   

985 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 23:39
1K

986 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/03 00:11
保全

dat落ちする前に保存しとこうか?

987 名前:次スレ案内 メール:sage 投稿日:02/08/03 11:12
SSH その2
http://pc.2ch.net/test/read.cgi/unix/1028157825/

988 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/04 13:13
ごめんな〜


dat2html.rb 0.1 Converted.