「入門SSH」サポートページ

アスキーでの「入門SSH」の紹介ページ

正誤情報

(2005/07/23更新)

「入門SSH」 正誤表
該当箇所修正内容備考
25ページ下から2行目「サービスやOSが以上終了してしまうことがあります。」->「サービスやOSが異常終了してしまうことがあります。」Leihcrevさんからの御指摘
96ページ 「3.6.2 リモートホストでの公開鍵の登録」リモートホストに「$HOME/.ssh」ディレクトリがある場合の操作のみが記述されています. もし, リモートホストに「$HOME/.ssh」ディレクトリがない場合には, 「cat id_rsa.pub >> ...」の前に「mkdir -m 700 $HOME/.ssh/」などでディレクトリを作成してください. 「-m 700」を付けるのは, 97ページのコラムに記述したように「$HOME/.ssh」ディレクトリの内容は他のユーザから見られないことが好ましいからです.
96ページ 「3.6.2 リモートホストでの公開鍵の登録」リモートホストに公開鍵を登録する際に暗号化せよと述べており, その理由として「盗聴した公開鍵を偽ホストに登録しユーザを偽ホストにログインさせる」という攻撃を挙げています. しかし, 公開鍵認証の際にはユーザの公開鍵をサーバの側に送って利用できるか確認するため(もしくはいきなりユーザの公開鍵とそれを用いた署名を送る場合もあります), (ホストの認証をどうにかしてごまかした後ならば)偽ホストは公開鍵認証をいつでも成功させることができます. ですから, 「盗聴した…」の記述は意味がありません. もう1つ挙げている理由である「攻撃者が送信の経路上で公開鍵を自分の鍵のものにすりかえてそれを登録させる」(ものに, は不要ですね) は有効です. このすりかえの攻撃を防ぐためには, 狭い意味での暗号化は必要なく, 電子署名などで対処できます. ですから, 対応手段として挙げている「PGPによる暗号化と署名」は「PGPによる署名」のみとなります. 参考: 2ch: UNIX板 SSH その4 194-
96ページ 「3.6.2 リモートホストでの公開鍵の登録」リモートホストに公開鍵を登録する際に暗号化せよと述べており, その理由として「盗聴した公開鍵を偽ホストに登録しユーザを偽ホストにログインさせる」という攻撃を挙げています. しかし, 公開鍵認証の際にはユーザの公開鍵をサーバの側に送って利用できるか確認するため(もしくはいきなりユーザの公開鍵とそれを用いた署名を送る場合もあります), (ホストの認証をどうにかしてごまかした後ならば)偽ホストは公開鍵認証をいつでも成功させることができます. ですから, 「盗聴した…」の記述は意味がありません. もう1つ挙げている理由である「攻撃者が送信の経路上で公開鍵を自分の鍵のものにすりかえてそれを登録させる」(ものに, は不要ですね) は有効です. このすりかえの攻撃を防ぐためには, 狭い意味での暗号化は必要なく, 電子署名などで対処できます. ですから, 対応手段として挙げている「PGPによる暗号化と署名」は「PGPによる署名」のみとなります. 参考: 2ch: UNIX板 SSH その4 194-
129ページ 「4.1.3 SSHのポート転送」SSHのダイナミックポート転送を利用してFireFoxから外部のサーバにアクセスする際に, 「ただし、ローカルホスト側でホスト名からIPアドレスの解決ができる必要があります。」と記述しています. しかし, FireFox側で「network.proxy.socks_remote_dns」をtrueに設定することで, リモート側で解決してくれるようです.参考: 2ch: UNIX板 SSH その5 644

補足情報

(2006/2/21更新)

本書で示したURLによるリンク集

「入門SSH」で示したURLによるリンク集を用意しました.

文責:春山 征吾 (HARUYAMA Seigo)
email: haruyama@unixuser.org