訳者: 春山 征吾 HARUYAMA Seigo [ A Japanese translation of this document is available at [ http://www.unixuser.org/%7Eharuyama/security/openssh/index.html [ Thanks to HARUYAMA Seigo (略) OpenSSH is almost completely compatible with the commercial SSH 1.2.x. There are, however, a few exceptions that you will need to bear in mind while upgrading: OpenSSHは 商用 SSH 1.2.x と ほとんど完全に互換である。しかし、 アップレードするために耐えなければならない いくつかの例外がある。 1. OpenSSH does not support any patented transport algorithms. 1. OpenSSHは どんな特許が取られている転送アルゴリズム もサポートしていない。 Only 3DES and Blowfish can be selected. This difference may manifest itself in the ssh command refusing to read its config files. 3DESとBlowfishのみが選択できる。configファイルを読んだsshコマンドの 拒絶によってこの違いは示される。 Solution: Edit /etc/ssh/ssh_config and select a different "Cipher" option ("3des" or "blowfish"). 解決策: /etc/ssh/ssh_config (など、個人の設定ファイルは ~/.ssh/config - 訳注) を編集し、 異なる"Cipper"オプション(3des ないし blowfish) を選択する。 2. Old versions of commercial SSH encrypt host keys with IDEA 商用SSHの古いversionはhost keysを IDEAを用いて暗号化している。 The old versions of SSH used a patented algorithm to encrypt their /etc/ssh/ssh_host_key SSHの古いversionでは 特許が取られているアルゴリズムで /etc/ssh/ssh_host_keyが暗号化されている。 This problem will manifest as sshd not being able to read its host key. この問題はsshdがhost keyを読めないことによって 示される。 Solution: You will need to run the *commercial* version of ssh-keygen on the host's private key: 解決策: *商用*versionのssh-keygenをホストの秘密鍵について走らせる必要 がある。 ssh-keygen -u -f /etc/ssh/ssh_host_key (-u オプションは 鍵の暗号をdefaultの暗号(コンパイル時に決定され普通は3DES) に変化させる。- 訳注) 3. Incompatible changes to sshd_config format. 3. sshd_configのフォーマットに互換性のない変化 OpenSSH extends the sshd_config file format in a number of ways. There is currently one change which is incompatible with the old. OpenSSHはsshd_configファイルのフォーマットをいろいろと拡張している。 現在古いものと互換性のない変化が一つある。 Commercial SSH controlled logging using the "QuietMode" and "FascistLogging" directives. OpenSSH introduces a more general set of logging options "SyslogFacility" and "LogLevel". See the sshd manual page for details. 商用SSHは "QuietMode"と"FascistLogging" のオプションを用いて logの記録をコントロールしていた。OpenSSHはより一般的なlogの記録用 オプション "SyslogFacility"と"LogLevel"を導入している。詳しくは sshdのマニュアルを見よ。 4. Warning messages about key lengths 4. 鍵の長さについての警告 Commercial SSH's ssh-keygen program contained a bug which caused it to occasionally generate RSA keys which had their Most Significant Bit (MSB) unset. Such keys were advertised as being full-length, but are actually only half as secure. 商用SSHのssh-keygenプログラムは最大有効ビット(MSB)をセットしない RSAの鍵を時々生成してしまうbugを含んでいる。このような鍵は 完全な長さを持っているようにみえますが、実際にはたった半分しか 安全ではありません。 OpenSSH will print warning messages when it encounters such keys. To rid yourself of these message, edit you known_hosts files and replace the incorrect key length (usually "1024") with the correct key length (usually "1023"). このような鍵に当たった時、OpenSSHは警告を出す。このような警告を 取り除きたいならば、known_hosts ファイルを編集して不正確な鍵の長さ (一般に1024)を正しい鍵の長さ(一般に1023)に置きかえる。 5. Spurious PAM authentication messages in logfiles 5. logファイル中の贋のPAM認証メッセージ OpenSSH will generate spurious authentication failures at every login, similar to "authentication failure; (uid=0) -> root for sshd service". These are generated because OpenSSH first tries to determine whether a user needs authentication to login (e.g. empty password). Unfortunatly PAM likes to log all authentication events, this one included. OpenSSHは、すべてのloginの際 「"authentication failure; (uid=0) -> root for sshd service」のような 贋の認証失敗を生成する。これが生成されるのは、 OpenSSHは最初に、userがloginに必要としている認証 (例えば 空パスワード)を決定するために試すからである。 不幸なことに、PAMはすべての認証のイベントをlogに取り、 これも含まれている。 If it annoys you too much, set "PermitEmptyPasswords no" in sshd_config. This will quiet the error message at the expense of disabling logins to accounts with no password set. This is the default if you use the supplied sshd_config file. もしこれに非常にいらいらさせられるなら、sshd_config中で "PermitEmptyPasswords no" としよう。パスワードを設定しない アカウントでのloginをできなくする代わりにエラーメッセージを 抑制してくれる。提供されたsshd_configファイルを用いているなら これがdefaultである。 6. Empty passwords not allowed with PAM authentication 6. PAM 認証で空のパスワードが許されない To enable empty passwords with a version of OpenSSH built with PAM you must add the flag "nullok" to the end of the password checking module in the /etc/pam.d/sshd file. For example: PAMを用いるようにして作ったOpenSSHのversionで空のパスワード(認証) を有効にするには、/etc/pam.d/sshd ファイルの パスワード検査モジュールの 末尾で フラグ"nullok"を追加しなくてならない。 例えば、 auth required/lib/security/pam_unix.so shadow nodelay nullok This must be done in addtion to setting "PermitEmptyPasswords yes" in the sshd_config file. 加えて sshd_configファイル中で "PermitEmptyPasswords yes"と設定 する必要がある。 There is one caveat when using empty passwords with PAM authentication: PAM will allow _any_ password when authenticating an account with an empty password. This breaks the check that sshd uses to determined whether an account has no password set and grant users access to the account regardless of the policy specified by "PermitEmptyPasswords". For this reason, it is recommended that you do not add the "nullok" directive to your PAM configuration file unless you specifically wish to allow empty passwords. PAM認証で空パスワードを用いる場合の注意が一つある。PAMは 空のパスワードを持つアカウントの認証の際、_どんな_パスワードも 許してしまう。アカウントにパスワードが設定されていないかどうかの検査を 無効にしまた "PermitEmptyPasswords"で明記されるポリシーに関わらず アカウントへのアクセスを認めてしまう。このため、特に空のパスワードを 許すよう設定することを望まないのであれば、PAMの設定ファイルに "nullok"命令を加えないことを推奨する。 7. X11 and/or agent forwarding does not work 7. X11 と/もしくは agentの 転送が 働かない。 Check your ssh_config and sshd_config. The default configuration files disable authentication agent and X11 forwarding. ssh_configとsshd_configを調べよう。デフォルトの設定ファイルでは 認証エージェントとX11の転送は無効になっている。 8. ssh takes a long time to connect with Linux/glibc 2.1 8. sshでのLinux/glibc 2.1 への接続に長い時間かかる。 The glibc shipped with Redhat 6.1 appears to take a long time to resolve "IPv6 or IPv4" addresses from domain names. This can be kludged around with the --with-ipv4-default configure option. This instructs OpenSSH to use IPv4-only address resolution. (IPv6 lookups may still be made by specifying the -6 option). Redhat 6.1で出荷されたglibcは ドメイン名からの 「IPv6ないしIPv4」の アドレスの解決に長い時間を要するようだ。これは configureのオプション --with-ipv4-default によって解決することができる。このオプションは OpenSSHに IPv4のみのアドレスの解決をするように命じる。(それでも IPv6のlookupは(ssh/sshdの)-6オプションを明記することで行なえるであろう。) 9. Logins from commercial ssh generate the error "Selected cipher type idea not supported by server" 9. 商用のsshでのログインが、 "Selected cipher type idea not supported by server" というエラーを生む。 This error is generated when a commercial ssh which has been configured to use the 'idea' cipher attempts to connect to an OpenSSH server. To rectify this, select a different cipher in ssh_config or ~/.ssh/config (3des for security or blowfish for speed). idea暗号を用いるよう設定された商用sshがOpenSSHのサーバに接続しようと 試みるとき、このエラーが生じる。これを直すには、 ssh_configないし~/.ssh/configにて異なる暗号を指定すればよい (セキュリティ指向の 3des ないしは速度指向の blowfish ) 10. "can't locate module net-pf-10" messages in log under Linux 10. Linuxのlog中の "can't locate module net-pf-10"というメッセージ The Linux kernel is looking (via modprobe) for protocol family 10 (IPv6). Either 1. load the appropriate kernel module, 2. enter the correct alias in /etc/modules.conf or 3. disable IPv6 in /etc/modules.conf. Linuxのカーネルは(modprobeを使って) protocol family 10 (IPv6) を 探す。 1. 適切なkernel moduleをロードする、2. /etc/modules.conf に 正しい alias を入力する、 3 /etc/modules.conf で IPv6 を 無効にする、 のいずれかを行なえばメッセージは消える。 For some silly reason /etc/modules.conf may also be named /etc/conf.modules つまらない理由のために、 /etc/modules.conf は /etc/conf.modules という名前になっているかもしれない。 11. Password authentication doesn't work on Slackware 7.0 11. Slackware 7.0 で Password認証が働かない。 Configure OpenSSH with --with-md5-passwords --with-md5-passwordsオプション付きで OpenSSHを設定しよう。 12. ./configure or sshd complain about lack of RSA support 12. ./configure ないし sshd が RSAのサポートがないことに文句を言う。 Ensure that your OpenSSL libraries have been built to include RSA support either internally or through RSAref. OpenSSL のライブラリが(内部でないしRSArefを通して)RSAのサポートを 含むように作られているか 確実にしよう。 13. "scp: command not found" errors 13. "scp: command not found" というエラー scp must be in the default PATH on both the client and the server. You may need to use the --with-default-path option to specify a custom path to search on the server. This option replaces the default path, so you need to specify all the current directories on your path as well as where you have installed scp. For example: scpはクライアントとサーバのどちらのデフォルトのパスにも入っていなければ ならない。サーバが探すパスを --with-default-path オプションを使って 特定する必要があるかもしれない。このオプションはデフォルトのパスを 置き換えるので、scpをインストールする場所と同じく現在のパスの ディレクトリすべてを特定する必要がある。たとえば、 ./configure --with-default-path=/bin:/usr/bin:/usr/local/bin:/path/to/scp のように。