SSH その4

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 255 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その4

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/05 19:35:08]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：pc5.2ch.net/test/read.cgi/unix/1058202104/
115 名前：sage mailto:sage [05/03/04 20:51:15 ]: 113です。114でお答えくださったお方、ありがとうございます。
明日さっそく試してみようと思います。
誰に聞いてもわからなくて、迷った上で書き込んだのですが答えてくださる方がいて本当によかったです。
116 名前：名無しさん＠お腹いっぱい。 [05/03/09 17:06:36 ]: sftpってサーバがわでftpdみたいにget/putのログって取れる？

客のサポートしなきゃならんので追跡したいんだけど。
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/09 17:17:04 ]: patch
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/09 22:22:19 ]: >>116
そういうことって十分ありうるよね。
openssh-unix-devとかで聞いてみたらいかが？

Subject: [sftp] file transfer log

Hi,
Can sftp-server(8) keep a record of transferred files?
119 名前：名無しさん＠お腹いっぱい。 [05/03/09 23:39:25 ]: 4.0p1ｷﾀﾜｧ*･゜ﾟ･*:.｡..｡.:*･゜(n‘∀‘)ηﾟ･*:.｡. .｡.:*･゜ﾟ･* !!!!!
120 名前：名無しさん＠お腹いっぱい。 [05/03/10 12:38:33 ]: >>118

やっぱり標準だとナサゲですよね・・・
聞いてみようかなー。
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/10 17:13:46 ]: Winscp3についての質問です。

winscpには、cp いわゆるコピーのコマンドにあたるものは
ないのでしょうか？
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/10 17:20:17 ]: Vara Termでマクロを組んでいるんですが、とあるところからお借りした
サンプルには、ポートの指定が乗っていないようでした。
これにポートの指定を追加するにはどうすればよろしいのでしょうか？
教えてくださいませ。

import VaraTerm;
import VaraTerm.Macro;
import System.Drawing;

var env = new Environment();

/*
* Please modify the following values before you run this macro!
*/
var host = "";
var account = "";
var password = "";
var encoding = "SHIFT_JIS";
var prikey = "\\id_dsa.ppk";

sshlogin();

function sshlogin() {
var param = new SSHTerminalParam(ConnectionMethod.SSH2, host, account, password);
param.AuthType = AuthType.PublicKey;
param.Encoding = encoding;
param.IdentityFile = prikey;
param.TerminalType = TerminalType.XTerm;
var c = env.Connections.Open(param);
}
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/10 18:51:59 ]: >>121
ttp://www.sodan.ecc.u-tokyo.ac.jp/2002/article/tips/ssh/winscp.shtml#winscpbasics
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/12 11:49:23 ]: OpenSSH4.0はどんな具合ですか？
conf使い回せるのかな？
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/12 21:20:54 ]: >>124 問題ない。conf使いまわせる。
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/12 23:59:35 ]: ってか、何が変わったの？
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/13 00:15:54 ]: >>126 ttp://www.openssh.com/txt/release-4.0
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/13 00:18:36 ]: >>127
日本語訳も乗っけとけ
ttp://www.unixuser.org/%7Eharuyama/security/openssh/henkouten/henkouten_4.0.txt
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/13 11:44:59 ]: sshdに対する無差別なアクセスがまたうざくなってきてない？
Failed password for rootか
Failed password for invalid userが
3回続いたら ipfwでdropするようなことしてみようかな
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/13 13:16:31 ]: OpenSSHにてファイルサーバーをたてています。
sftpでレジューム機能を有効にしたいんですが、sftpの設定ファイルはどこにあるのでしょうか？
（ネットでいろいろ探したんですが見つけられませんでした...）

環境は
OpenSSH 3.4p1 + chrootssh patch
Debian GNU/Linux 3.0(kernel 2.4.17)（玄箱）
です。
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/13 14:51:01 ]: >>129
ログインする可能性のあるホスト以外からの
アクセスを切っといたほうが楽。
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/13 14:57:13 ]: >>130 OpenSSH/sftp ではデフォで file transfer resume の機能は
無いので内科医。パッチを書いてる人はぽつぽつ居るようだ。
ttp://bachue.com/alejo/patches.html
ttp://groups-beta.google.com/group/mailing.unix.openssh-dev/msg/6a74edfbea3c5601?q=%5BPATCH%5D:+scp+program+improved&hl=en&lr=&ie=UTF-8&oe=utf-8&rnum=1
133 名前：130 mailto:sage [05/03/13 18:36:05 ]: >>132

どうもありがとうございます。
とりあえず玄箱でchrootsshとresumeのパッチを当てたopensshを作ってみます。
ご報告は後ほど...（まだまだ初心者なのでトラブル可能性が...）
134 名前：130 mailto:sage [05/03/15 01:16:37 ]: >>132

ttp://groups-beta.google.com/group/mailing.unix.openssh-dev/msg/6a74edfbea3c5601?q=%5BPATCH%5D:+scp+program+improved&hl=en&lr=&ie=UTF-8&oe=utf-8&rnum=1
のパッチがうまく当たらないので土日にでもdiffファイルの構造を調べて、
ソースを書き換えてみます...
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/16 17:36:19 ]: >>129
ルーターでWAN側とLAN側のポートを切り替えてるから静かなものだよ。
136 名前：名無しさん＠お腹いっぱい。 [05/03/16 18:53:41 ]: 接続先が複数あるとき、鍵は接続先ごとに作った方がいいのでしょうか？
1つの鍵を全部の接続先に登録しても問題ないですか？
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/16 19:00:21 ]: それは、それほど問題ない。
それよりも、接続元として使うマシンが複数ある場合、
接続元ごとに違う鍵を作ることの方がむしろ大事。
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [皇紀2665/04/01(金) 07:10:47 ]: sshで鯖につないでてほっとくと３分ぐらいで反応がなくなる（自動ログアウトする）
みたいなんですが、この期間を長く設定するにはどこいじればいいですか？
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [皇紀2665/04/01(金) 08:43:35 ]: sshクライアントでNULLパケットでも定期的に出せばいいジャン。
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [皇紀2665/04/01(金) 09:17:41 ]: 反応がなくなるのと自動ログアウトは違うと思うが
141 名前：名無しさん＠お腹いっぱい。 mailto:sage [皇紀2665/04/01(金) 11:59:07 ]: >>138
どこかでNATしてない？
もしそうならそのNAT箱の実装がださいのでそれを窓から投げ捨ててまともな機材に入れ替えろ
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 17:43:24 ]: >>138
使っているシェルは何でしょ？

tcshならシェル変数autologoutというのがあるわけで、それかなー、とｵﾓﾀ。
（ただし、自動ログアウト時には auto-logout というのが表示されるから、今回
の件とは関係がないかも…。）
143 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 18:27:06 ]: KeepAlive 設定してもだめなの？

ところで、sshd宛のattackは以前は中国・台湾からが多かったけど、
竹島条例以来、半島からのが増えてる。
奴らはわかりやすいなぁ。
144 名前：138 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 18:42:39 ]: bash使ってるんですが
/etc/profileに
TMOUT=1800
と設定してます

たしかに自動ログアウトの表示はでずに反応がなくなるんで、この設定とは
関係ない気もします

>>141,143
NAT、KeepAliveをヒントに調べてみたらそれらしきものがありました　どうもです
www.geocities.co.jp/AnimeComic/1098/documents/unixmemo/ssh-keepalive.html
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/02(土) 22:52:17 ]: しかし、クライアントに何を使ってるか一切出さないのは最近の流行なの？
146 名前：名無しさん＠お腹いっぱい。 mailto:sage [UNIX時間(+0900)35年,2005/04/03(日) 02:11:27 ]: 流行だよ
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 00:21:11 ]: sshなんだけど、公開キーをサーバーに転送したんだけど
どこに置けばいいのかわからない。
もしかしてどこでもよくて、なんかのファイルで指定するの？
誰か教えてください。
148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 00:35:03 ]: OpenSSHなら ~/.ssh/authorized_keys の中
くわしくはssh(1)を参照
149 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 00:35:07 ]: OpenSSHとssh.com版でびみょーに違うけど、
~/.ssh/ か ~/.ssh2/ あたり。
150 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 08:41:13 ]: ~/.ssh/ ってどこ？
cd ~/.ssh/
そのようなファイルやディレクトリはありません。
/etc/ssh/ の事？
151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 08:53:05 ]: >>150
おまいは使わないほうが良いと思われ。

Cygwin の OpenSSH も 4.0p1 になってて驚いた。
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 09:35:28 ]: linux暦2週間のおいらには早すぎた？
153 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 13:34:13 ]: >>152
いい機会なのでじっくりたっぷりねぶるように勉強してください。

ディレクトリがなければ自分でつくれ。
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/07(木) 13:48:25 ]: >>150
linux2ch.bbzone.net/index.php?bashBeginner#neac2d23
155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 14:02:31 ]: /root/.ssh/id_rsa.pub
にキー置いて
PuTTYでログインしようとしたら
server refused our key
って表示されます。
どこが悪いのでしょうか？
設定はほとんどデフォルトです。
156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 14:10:26 ]: ほとんどデフォルトとか言われてましても。
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 14:14:48 ]: rootでログインを許可しただけです。
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 15:06:28 ]: >>155
自分に対してくれたレスぐらい見ようよ、見直そうよ。
159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 15:19:12 ]: 日頃の行い悪いと、拒絶されるっちゅーこったな。
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 17:58:51 ]: >>155
> /root/.ssh/id_rsa.pub
（　ﾟдﾟ）ﾎﾟｶｰﾝ
161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 20:03:26 ]: >>155
たまには man ssh 汁
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 20:28:25 ]: 教えてあげたい気もしなくはないが、
その程度の理解しかできてないのに「rootでログインを許可した」とか
しれっと言われちゃうとさすがに恐くてのー。
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 21:41:27 ]: >>155 暇だから相手して進ぜよう。
$ grep -i root /etc/ssh/sshd_config
とやって結果をここに貼りなされ。話は
それからぢゃ。
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 22:00:53 ]: 許可がありません
165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/08(金) 22:15:49 ]: >>163
（　ﾟдﾟ）ﾎﾟｶｰﾝ
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/09(土) 23:34:25 ]: openssh と ssh どちらを入れたのか?でも揉めそうだな。
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/10(日) 16:50:12 ]: sshだけどデフォルトでAllowUsers っていう設定項目ある？
なんかインストールするたびにある時とない時があるんだけど・・・＾＾；
168 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/10(日) 17:50:29 ]: >>167 OpenSSH だとその設定項目はいつだってあるが、
デふぉではsshd_config にその記載行は無い。
169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/10(日) 17:54:34 ]: THX
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/11(月) 07:09:02 ]: ちょっとスレ違いかも知れないが
WinSCP3っていうソフトだけど接続先、一箇所しか登録してないから
起動時にその接続先に接続したいんだけど
オプションとかで指定できないのかな？
-load とか試したけど読み込んでくれない。
171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/11(月) 07:30:08 ]: スレ違いというよりも板違いって感じがしないでもないでもない。
172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/11(月) 18:13:47 ]: PuTTYっていうソフト使ってたのだが
なんかいまいち使いにくい。
シンプルなやつか多機能なやつ、どちらを使おうか悩んでる。
シンプルでお勧めなのと、多機能でお勧めなのを教えて(　ﾟДﾟ)ﾎｽｨ
173 名前：初期不良 mailto:sage [2005/04/11(月) 18:50:56 ]: シンプル多機能
Cygwin OpenSSH
174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/11(月) 21:26:22 ]: >>172
TeraTermのUTF-8対応版とか？多機能...だよね？
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/12(火) 00:24:03 ]: Poderosa
ja.poderosa.org/

VaraTerm がオープンソース化
slashdot.jp/article.pl?sid=05/04/07/1326207
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/12(火) 16:03:11 ]: >>175
それ鍵認証に対応してるの？
177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/12(火) 16:11:01 ]: あちこちで宣伝してるな
178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/12(火) 20:14:20 ]: >>175
イラネ
179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/12(火) 21:09:26 ]: 昔から2chで幾度となく宣伝してたな
180 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/15(金) 18:23:10 ]: # vi /etc/ssh/ssh_config
に、デフォルトで
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server
これらの記述があったと思うんだけど
なぜかほとんどない・・・再インストール後ってこんなもの？
181 名前：（　ﾟдﾟ）ﾎﾟｶｰﾝ mailto:sage [2005/04/15(金) 18:32:37 ]: From: [180] 名無しさん＠お腹いっぱい。 <sage>
Date: 2005/04/15(金) 18:23:10

# vi /etc/ssh/ssh_config
に、デフォルトで
PasswordAuthentication no
PermitEmptyPasswords no
RhostsRSAAuthentication no
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server
これらの記述があったと思うんだけど
なぜかほとんどない・・・再インストール後ってこんなもの？
_______________________________________________________________
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/15(金) 18:40:10 ]: /etc/ssh/sshd_config

だったのか・・・orz
183 名前：初期不良 mailto:sage [2005/04/15(金) 19:10:41 ]: >>182
たいしたことじゃない気に病むな
イキロ
184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/15(金) 19:30:49 ]: ま、そんなもんだ。
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/15(金) 21:34:02 ]: 人間だもの
生きてるだけで恥さらし

みつを
186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/16(土) 21:30:20 ]: うちの会社のリモート認証が
1. IDカードに表示されている数字列(時間で変わる)を見る
2. その数字列をあるプログラムに食わせると、ワンタイムパスワードが生成される。
3. sshでそのパスワードを使ってログインする。
というものなんですが、2.から3.へコピペするのが面倒なんで、自動化
したいんです(ちなみにそれだけなら構わないと会社に言われています)
ssh-agentとssh-add使ってスクリプトでなんとかなるかと思いましたが、
パスワードには対応してないみたいですね。SSH_ASKPASSも無視されるし。
(OpenSSH 3.9p1です)

で、sshはパスワードをどうも標準入力ではなく、/dev/ttyからしか
取ってくれないみたいなんで困っています。
なんかいい方法はないでしょうか。ファイルに書き出すとか、psで
見えてしまうのはまずいです。一時的にシェル変数に格納される
くらいならいいですけど。
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 00:48:27 ]: >>186
つ openpty(3)
188 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 02:02:30 ]: >>187
ありがとうございます。でもド素人には荷が重いアドバイスかも。

openptyしてforkして制御端末化してからsshをexec。
親はバッファリングを止めて子の出力を見てパスワード要求が来たら
パスワード送ってそのあとは入出力をそのままスルーで流すって
感じですか?

...ちょっとシェルスクリプトレベルを超えてる気がしますが、やってみます。
189 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 08:47:32 ]: expect
190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 09:09:03 ]: sshのソースコードを修正して内部でその秘密のプログラムを呼ぶ方が早いのでは?
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/17(日) 10:44:38 ]: >>189
ありがとうございます。結局ptyをperlから扱えるモジュールを探したら、
IO::PtyとExpect.pmにたどり着きました。TCLは知らないのでEXPECT(1)を
覚えるよりPerl使ったほうが早そうです。
サンプルの2.B.rloginってやつがほとんどそのまま使えそう。

>>190
そんな気はしますが、あんまり触りたくないんですよね。

結局スレ違いになっちゃって、すみません。
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 23:00:45 ]: OpenSSH-4.0p1をソースからビルドしようとしてるんですが、
configureで最近のlibcryptoが無いって怒られます。
で、see config.logとも出るので、見てみるんですが、いまいちわかりません。
config.logは長いので、ここには貼り付けられません。
環境は玄箱HG　debian sargeです。現在3.8.1.p1が入ってます。（OpenSSL-0.9.7e Zlib-1.2.2）
ちなみに、LD＿LIBRARY＿PATHやPATHは通してあります。
何ぞヒントになるポインタだけでも与えていただけないでしょうか？宜しくお願いします。
193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/19(火) 23:20:50 ]: >>192
> configureで最近のlibcryptoが無いって怒られます。
> ちなみに、LD＿LIBRARY＿PATHやPATHは通してあります。
下手な要約や翻訳をせずに、やった操作とエラー出力をそのまんまコピペしる。
194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 02:18:36 ]: ~/.ssh/identity.pubを安全な方法で持って行くように書いてある
ページをたまに見かけるんだけど、なぜ安全な方法で持って
いかなければならいのか、わかりません。

公開鍵から秘密鍵とか計算できるの？
195 名前： ◆uGRdPa4j32 mailto:sage [2005/04/20(水) 02:54:28 ]: >>194
嘘を嘘であると見抜ける(ry
196 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 12:09:02 ]: >>194
ユーザの公開鍵が他者に知られると、
他者が偽ホストを作ってそこにログインさせようとする攻撃に対する防御が弱くなります。

ホストの認証が適切に行われれば防げますが、
SSHのホストの認証は相手のホスト公開鍵を入手しておかないと機能しません。
たとえば、先方のホストの入れ換えがあって、ホスト公開鍵が変わったことはわかっているが
ホスト公開鍵そのものは知らないという状況では、
新しく提示されたホスト公開鍵を信用してしまいがちです。

ユーザの公開鍵が真に安全に渡され管理されていれば、
ホストの認証がごまかされてもユーザの認証の段階で不審なことに気づきやすいでしょう。
(公開鍵を登録してもらったはずなのにパスワードのプロンプトがでるな? とか)

なのでユーザの公開鍵も*可能ならば*安全な方法で渡したほうがよいと思います。
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 12:17:30 ]: >>196
理由とするにはかなり無理矢理な感じのする屁理屈だなあ。
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 13:18:45 ]: >>197
セキュリティホールとその対策なんてそんなもんよ
半分はブービートラップ半分は屁理屈
199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 13:37:10 ]: 事故にあう確率が違うのでできれば車より徒歩で移動した方がいいと思いますみたいな。
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 13:44:48 ]: >>198
わかってない人とかエセコン猿だとそうかもね。

>>199
知らないおじさんについていかないよう、人見知りする子に育てた方がいいと思いますみたいな。
201 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 17:10:22 ]: >>196の例えは不適切。ホスト名乗っ取る際に、クライアントの公開鍵はすべて無条件に
受け入れるようにしておけば疑う余地はないし、最初の1回でその公開鍵を入手できる。
202 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 17:38:56 ]: >>201
認証の際にユーザの公開鍵を送るので、そうされたらダメですね。

196は撤回します。お騒がせして失礼しました。
203 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 17:44:26 ]: 仕切り直して、
安全でない手段でユーザの公開鍵を送ると、
途中で他者に公開鍵をすりかえられて、
サーバへの登録後正規のユーザが確認するより先に他者にログインされる
という攻撃はあると思われます。
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 17:52:55 ]: それ考えたけど、すりかえができるような状況なら
わざわざすりかえなくともいきなり偽の公開鍵送りつけても
サーバに登録してもらえそうな気がした。
「あー、おれおれ。この鍵入れといて」って。
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 19:32:01 ]: 「公開」鍵だぞ？
公開して問題ない鍵なのに、安全な方法で送る必要ねぇだろ、アホか。
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 19:36:30 ]: >>205
なら >>203 に反論してよ。
207 名前：192 mailto:sage [2005/04/20(水) 21:34:31 ]: >193
apt-get installでsshをインストール。
バージョンが3.8.1p1だったので、openssh-4.0p1.tar.gzを取得して/home/userでtarコマンドで展開
openssh-4.0p1ディレクトリの中でmkdir build && cd buildして　../configureを実行。
3分弱くらいで
configure: error: *** Can't find recent OpenSSL libcrypto (see config.log for details) ***
となりました。
以上です。宜しくお願いします。
もう一度環境ですが、玄箱HG debian sarge 　gccバージョン3.3.5です。
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 22:00:49 ]: >>203
chrootまたはjailなどの隔離環境でクライアントに接続試験させてから本格的に
ホームディレクトリで運用させれば良いんじゃないの。
そこまでする必要にせまられったことは今まであったこと無かったが。
209 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 22:22:26 ]: >>208
それも安全な方法のひとつじゃないですかね。
210 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 22:36:18 ]: この話は、

管理者が、
・正規ユーザと確認してから登録する
なり
・(鍵自体の確認手段がないなら)正規ユーザがログインできるかどうかすぐに確認してもらえる状況で登録する
などといったポリシーに基づいて鍵の登録を行う

とユーザの側からでなく管理者の側からとらえたほうがいいのかな。
211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 01:18:03 ]: >>210
違う。
>>194は「持っていく」と書いているので、その気になれば安全な
方法で持っていって自分で登録できる人、と読める。
自分で登録できるなら登録後のverifyも可能なので、途中経路での
すり替えは気にする必要ない。当然公開鍵は盗み見られてもかまわない。
ってことで、>>194はただの杞憂。

もし、「持っていく」ではなく「ログインしたいサーバの管理者に渡す」
という話なら、>>210となる。
212 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 01:25:26 ]: ・公開鍵は安全で無い経路で伝達
・フィンガープリントは安全な経路で伝達

こうじゃないの？
213 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/21(木) 02:19:35 ]: >>210
・正規ユーザと確認してから登録する -> ・正規ユーザの鍵と確認してから登録する
です。

>>212
それも管理者が確認できる方法のひとつです。
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 03:24:37 BE:1755623- ]: www.unixuser.org/%7Eharuyama/security/openssh/20050421.html

すばやいね。
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 04:14:07 BE:3510443- ]: triaez.kaisei.org/~kaoru/diary/?200305a#200305045
GlobalKnownHostsFile as read only known_hosts

www.nantoka.com/~kei/diary/?200504b&to=200504181#200504181
「REMOTE HOST IDENTIFICATION HAS CHANGED」が出たら、~/.ssh/known_hostsを消せ

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef