SSH その4

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 255 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その4

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/05 19:35:08]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：pc5.2ch.net/test/read.cgi/unix/1058202104/
202 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 17:38:56 ]: >>201
認証の際にユーザの公開鍵を送るので、そうされたらダメですね。

196は撤回します。お騒がせして失礼しました。
203 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 17:44:26 ]: 仕切り直して、
安全でない手段でユーザの公開鍵を送ると、
途中で他者に公開鍵をすりかえられて、
サーバへの登録後正規のユーザが確認するより先に他者にログインされる
という攻撃はあると思われます。
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 17:52:55 ]: それ考えたけど、すりかえができるような状況なら
わざわざすりかえなくともいきなり偽の公開鍵送りつけても
サーバに登録してもらえそうな気がした。
「あー、おれおれ。この鍵入れといて」って。
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 19:32:01 ]: 「公開」鍵だぞ？
公開して問題ない鍵なのに、安全な方法で送る必要ねぇだろ、アホか。
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 19:36:30 ]: >>205
なら >>203 に反論してよ。
207 名前：192 mailto:sage [2005/04/20(水) 21:34:31 ]: >193
apt-get installでsshをインストール。
バージョンが3.8.1p1だったので、openssh-4.0p1.tar.gzを取得して/home/userでtarコマンドで展開
openssh-4.0p1ディレクトリの中でmkdir build && cd buildして　../configureを実行。
3分弱くらいで
configure: error: *** Can't find recent OpenSSL libcrypto (see config.log for details) ***
となりました。
以上です。宜しくお願いします。
もう一度環境ですが、玄箱HG debian sarge 　gccバージョン3.3.5です。
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/20(水) 22:00:49 ]: >>203
chrootまたはjailなどの隔離環境でクライアントに接続試験させてから本格的に
ホームディレクトリで運用させれば良いんじゃないの。
そこまでする必要にせまられったことは今まであったこと無かったが。
209 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 22:22:26 ]: >>208
それも安全な方法のひとつじゃないですかね。
210 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/20(水) 22:36:18 ]: この話は、

管理者が、
・正規ユーザと確認してから登録する
なり
・(鍵自体の確認手段がないなら)正規ユーザがログインできるかどうかすぐに確認してもらえる状況で登録する
などといったポリシーに基づいて鍵の登録を行う

とユーザの側からでなく管理者の側からとらえたほうがいいのかな。
211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 01:18:03 ]: >>210
違う。
>>194は「持っていく」と書いているので、その気になれば安全な
方法で持っていって自分で登録できる人、と読める。
自分で登録できるなら登録後のverifyも可能なので、途中経路での
すり替えは気にする必要ない。当然公開鍵は盗み見られてもかまわない。
ってことで、>>194はただの杞憂。

もし、「持っていく」ではなく「ログインしたいサーバの管理者に渡す」
という話なら、>>210となる。
212 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 01:25:26 ]: ・公開鍵は安全で無い経路で伝達
・フィンガープリントは安全な経路で伝達

こうじゃないの？
213 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/21(木) 02:19:35 ]: >>210
・正規ユーザと確認してから登録する -> ・正規ユーザの鍵と確認してから登録する
です。

>>212
それも管理者が確認できる方法のひとつです。
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 03:24:37 BE:1755623- ]: www.unixuser.org/%7Eharuyama/security/openssh/20050421.html

すばやいね。
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 04:14:07 BE:3510443- ]: triaez.kaisei.org/~kaoru/diary/?200305a#200305045
GlobalKnownHostsFile as read only known_hosts

www.nantoka.com/~kei/diary/?200504b&to=200504181#200504181
「REMOTE HOST IDENTIFICATION HAS CHANGED」が出たら、~/.ssh/known_hostsを消せ
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/21(木) 16:05:30 ]: >>2を読んで厨質問しそうになっていた自分を戒めたｗ
217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/22(金) 23:15:39 ]: ポートフォワードで質問なのですが
1000番から2000番までのポートを対象のサーバへ
それぞれフォワードさせたいのですが可能でしょうか。

コマンド的には以下のような感じです。

ssh 192.168.2.1 -L 1000-2000:192.168.1.1:1000-2000 -g
218 名前：194 mailto:sage [2005/04/23(土) 00:25:30 ]: ちょっと忙しくて見れてなかったが、レスくれた方々ありがとうございます。

てっきり、公開鍵と暗号化された通信内容から秘密鍵が割り出せて
通信内容がばれる可能性があるのかと思ってた。
(これは現実的な時間では計算できない？っぽい。)
全然違うことを心配していました。

気になったのですが>>202は、間違えてませんか?
認証の際にユーザの公開鍵を送ることはたぶん無いですよ。
www.unixuser.org/~euske/doc/openssh/jman/ssh.html
の「チャレンジ」周辺に書いてあります。

正解は、>>195
219 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/23(土) 10:16:34 ]: >>218
SSH1のRSA認証では(チャレンジの前に)クライアントがユーザの公開鍵を送ります。
一致する公開鍵がサーバにあるとその鍵を使ったチャレンジをサーバが送ります。

SSH2の公開鍵認証でも、通常はまずクライアントはユーザの公開鍵を送り
サーバはその有無を返します。
クライアントがユーザの秘密鍵を用いた署名を送る際にもユーザの公開鍵をつけます。
220 名前：春山征吾 ◆unIxUSernc mailto:sage [2005/04/23(土) 10:42:49 ]: 偽ホストとの通信でユーザ認証までいってしまえば、
クライアントからの情報を検証せずとも偽ホストは適当な返答を返して
ログインを許可できるので
その意味でも
>>196 は間抜けでした。
221 名前：194 mailto:sage [2005/04/23(土) 19:08:52 ]: >>219
やっと、公開鍵を送ってることが理解できた。サンクス
222 名前：名無しさん＠お腹いっぱい。 [2005/04/25(月) 17:52:18 ]: はじめまして。
ＳＳＨ初心者なのですが、ポートフォワードに関して教えていただけないでしょうか？
一つのサーバーにＳＳＨ、WebDav(Apache)サーバ、ＩＲＣサーバを動かしているのですが
ユーザー１とユーザー２がいるとして
・ユーザー１はポートフォワードでWebDavのサーバーにしか転送できない
・ユーザー２はＩＲＣのサーバーにしか転送できない

と言った設定をする事は可能でしょうか？つまりユーザー１がＩＲＣを利用したり、
ユーザー２がWebDavを利用したりできないように特定のポート番号だけをフォワードできるようにする設定にしたいのですが

厨質問ですみません、御教授下さい・・・
223 名前：無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 20:51:20 ]: >>222 OpenSSH だと、ホスト毎のforwarding設定はできるけど、
ユーザ毎設定をサーバでやるいうのは出来んように思う。
224 名前：名無しさん＠お腹いっぱい。 [2005/04/25(月) 21:28:55 ]: >>219
待て。クライアントは公開鍵なんぞ送らんぞ。
一度クライアント公開鍵を削除してからRSA認証でログインしてみれ。
225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 21:44:49 ]: やってみたが、
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
...送ってない？
226 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 21:44:57 ]: >>222
permitopen
227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 22:52:15 ]: >>225
公開鍵を送ってんじゃなくて「公開鍵認証方式で認証してくれ」っていうリクエストを送ってる。
/home/user/.ssh/id_rsa ←これクライアント秘密鍵だし。
228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 23:19:46 ]: >>227
>>225を見て興味を持ったので俺もコードを見てみた。
どの公開鍵でなのかを伝えるために、公開鍵そのものを送ってるように思う。
(もちろんサーバはそれを無条件に使うわけではなくて、
ユーザのauthorized_keysに同じものがあれば使うんだろうけど)

sshconnect2.cのuserauth_pubkeyとsend_pubkey_test。
229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 23:34:30 ]: >>228
公開鍵（例えばSSHv2のRSAならid_rsa.pub）をクライアントから削除して、
秘密鍵だけ置いた状態でサーバにSSH接続を試してみて。
接続できるでしょ？
つまり公開鍵を送っているわけではないってこと。
230 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 23:52:18 ]: 「どの公開鍵でなのかを伝えるために公開鍵を送る」とあるけど、
ただしくは「どの公開鍵でなのかを伝えるために秘密鍵を使う」です。

動作の詳細は自分もはっきり説明できるわけじゃないんだけど（SSHv1と
SSHv2でも少々異なるようだし）、たとえばユーザＡとしてログインしようとしてるとして、
まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
んで、SSHサーバ側で、その秘密鍵に対応する公開鍵が
/home/ユーザＡ/.ssh/authorized_keysに登録されているかどうか見る。
で、登録されているクライアント公開鍵でランダムデータを暗号化してクライアントに送る。
クライアント側ではその暗号化データをクライント秘密鍵で複合化して送り返す。
クライアント側の秘密鍵で正しく複合化できたら、クライアント側の
秘密鍵とサーバ側にある公開鍵が正しいペアだと証明できるので、認証される。

ってな具合だと思う。（本当はもっと複雑なことやってるらしいが）
231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/25(月) 23:57:25 ]: >>230
「秘密鍵を使う」というのが具体的にどういう使っているのか説明してくださいな。
できればコードに即しておねがい。
232 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:00:20 ]: >>229
秘密鍵ファイルには公開鍵の情報も含まれているわけだが
233 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:03:15 ]: >>229
前半は後半の根拠にならないですよ。ssh-keygenのmanを読んだことないですか?
234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:08:11 ]: >>230
> まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。

どういう情報でそれが伝えるのかが問題になってるわけだが。
知識もなければ読解力もないな。
235 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:17:05 ]: >>230 はもしかして秘密鍵を送ると思ってるんジャマイカ
236 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:19:47 ]: >>233
具体的な説明よろ
237 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:21:27 ]: >>236
ssh-keygenの-yオプション
つまりは>>232ってことだと思われ
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:22:04 ]: >>234
どういう情報で伝えるかが問題ではなく「公開鍵自体を送っているのかどうか」が問題なのだが。
239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:27:31 ]: >>238
伝えるための情報として公開鍵そのものを送っているという話だと思うが。
>>228のその主張を否定してるわけだから、
公開鍵を送らないならどういう情報で同定してるのか教えてくれ。
それを送ってる部分のコードの特定も。
240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:38:57 ]: ssh がどうやっているかは知らないけど、署名の要領 (秘密鍵で暗号化→公開鍵で復号化) で確認はできるよ。
241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 00:54:49 ]: >>240 バカ一匹追加
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 02:35:25 ]: そろそろ誰かちゃんとした回答をしてください
243 名前：名無しさん＠お腹いっぱい。 [2005/04/26(火) 07:00:29 ]: おまいらソース嫁
244 名前：名無しさん＠お腹いっぱい。 [2005/04/29(金) 12:43:52 ]: リモート1：Solaris9(SunのSSH?)
リモート2：MiracleLinux(OpenSSH)
自分：WinXP+cygwin

という環境で、リモートマシンのパスワードの有効期限が
切れた後にsshでリモートに接続すると、

リモート1：その場で新パスワードに更新させられる
リモート2：切断

となってしまいます。OpenSSHでも、パスワード期限切れ時に
新パスワードに変更させてログイン続行させることは可能
ですか?
245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 12:47:33 ]: 公開鍵、秘密鍵って、マシン毎に作るもの？
それとも一人のユーザが一つずつもってりゃいい？
246 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 12:49:19 ]: リスク分散を考えるとそれぞれで作ったほうがいい。
しかし面倒くさい。
自分で判断出来ない池沼は何やっても無駄。
247 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 14:18:40 ]: 秘密鍵一つ作れば公開鍵は無限に作れるよ
248 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 14:31:00 ]: >>244
OpenSSHとLinuxの認証システムは別個のプログラムで
あまり密でないから、結構ハックしないとだめそう。

ユーザーとして不便てことだけなら、
パスワードじゃなくて鍵をつかえればいい。
249 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 15:49:13 ]: pamの設定だけじゃないか?
250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 16:57:04 ]: いや、privilege separationのせいでちとやっかい。
251 名前：244 mailto:sage [2005/04/29(金) 17:07:39 ]: >>248 >>249 レスありがとうございます。
リモートサーバの設定は、「パスワード認証なし」で、
RSAの鍵認証のみで使用しています。pamの設定、
調べてみることにします。

会社の規則で、すべてのサーバにパスワードの有効期限を
設定する必要が生じたため、困っているのです。このままだと、
遠隔地にある普段メンテしないLinuxマシンが、肝心な時に
パスワード期限切れで現地に行かないとメンテできない状況に
なりかねません。

逆に、「OpenSSH(+pam?)ではできない」という裏が取れれば、
「これこれの理由で有効期限は定めない」という設定許可申請を
会社に出すつもりなのですが、その裏も取れずに困っています。

教えてクンですみませんが、なにか情報のソースがあれば、
ご教授お願いします。
252 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/29(金) 20:39:32 BE:2287837-#]: 普段からちゃんとメンテ汁
253 名前：244 mailto:sage [2005/05/01(日) 00:01:42 ]: >>252
「普段メンテしない」≠「メンテしてない」
「必要なとき以外にはアクセスしない」です。
あんまり同じ悩み抱えてる人はいないんでしょうか。
それとも、「(必要なくても)定期的にアクセスするが正解ですか?
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/01(日) 00:11:09 ]: その状況だとワンタイムパスワードを利用するのも手
255 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/01(日) 02:03:53 ]: SSHの公開鍵認証使ってるんでしょ?
むしろ普通のユーザのパスワードは潰しておくべきじゃないか。
256 名前：192 mailto:sage [2005/05/07(土) 21:01:20 ]: 自己解決。
opensslを0.9.7eから0.9.7gにしたらconfigure通ってあとはすんなりでした。
良かった。
257 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/09(月) 20:44:08 ]: 携帯からSSHでPCを遠隔操作できるシステム～ベータ版を無償公開
internet.watch.impress.co.jp/cda/news/2005/05/09/7515.html
258 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/10(火) 00:21:39 ]: SymbianOSなNOKIAの携帯なら、もっと前からフリーなSSH clientはあったけど
PuTTY SSH client for Symbian OS
ttp://s2putty.sourceforge.net/

…未踏なんですか。入力/補完モードが肝？…というほどの新規性があるとも…
259 名前：名無しさん＠お腹いっぱい。 [2005/05/12(木) 17:36:08 ]: ssh -X -M hoge command &を何回も実行すると、実行した数だけTCP/IPコネクションが
張られるんだけど、-Mオプションをつければコネクションを共有するんじゃないの？
260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/14(土) 18:36:15 ]: Intelのハイパースレッディングに深刻な脆弱性

IntelのXeonなどに実装のハイパースレッディングに深刻な脆弱性が発見された。
マルチユーザーシステムの管理者は直ちに使用を停止した方がいいとの勧告が出されている。

Intelのプロセッサに実装されているハイパースレッディング技術に深刻な脆弱性が存在すると、
セキュリティ研究者が報告した。

この問題を発見したのは、FreeBSDプロジェクトでセキュリティを担当するコリン・パーシバル氏。
オタワで開催のBSDCan 2005で5月13日、詳しい論文を提出したという。

ハイパースレッディングはIntelのPentium Extreme Edition、Pentium 4、モバイルPentium 4、
Xeonに実装されている技術。同氏がサイトに掲載している情報によれば、この脆弱性が原因で
ローカル情報が流出する恐れがあり、権限を持たないユーザーがRSA非公開鍵を盗み出すことが
できてしまうという。

マルチユーザーシステムの管理者は直ちにハイパースレッディングを停止した方がいいと同氏は
強く勧告。デスクトップPCなどのシングルユーザーシステムは影響を受けないとしている。

パーシバル氏は昨年10月にこの問題を発見。その後コンセプト実証プログラムを作成し、影響を
受ける全ベンダーにこの問題を通報したという。サイトには、FreeBSDやSCOなどから寄せられた
アドバイザリー情報が掲載されているが、今のところIntelからの情報は寄せられていない。
www.itmedia.co.jp/enterprise/articles/0505/14/news009.html
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/15(日) 03:46:52 ]: openSSH4.0のsftp-serverってUTF-8未対応だっけ？
WinSCPでアクセスするも適切にエンコーディングできん
262 名前：名無しさん＠お腹いっぱい。 [2005/05/20(金) 14:17:41 ]: >>3
SSH Plugin
www.mud.de/se/jta/html/SSHTest.html(SSH1)
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 16:58:51 ]: ftp://core.ring.gr.jp/pub/net/ssh/
のWindows用sshクライアントで公開鍵を使ってopensshを使っているLinuxサーバに接続する方法を教えてください。

ssh-keygen2でキーを作成し、.pubファイルを~/.sshにアップロードし

ssh-keygen -i -f kkk.pub > kkkk.pub
cat kkkk.pub >> authorized_keys

ここまでやったのですが、その先がわかりません。よろしくお願いします。
264 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 17:38:50 ]: >>263
ssh hoge
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 17:47:01 ]: つ入門SSH
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/21(土) 20:13:11 ]: >>263
つ PuTTY
ttp://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top
267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/22(日) 06:21:48 ]: ftp://core.ring.gr.jp/pub/net/ssh/
以外使えない環境なんです・・・
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/22(日) 06:57:49 ]: debug表示のオプション(-vとか-d)をつけてssh2.exeで接続してみれば、
なにがおかしいかわかるかもね。
269 名前：名無しさん＠お腹いっぱい。 [2005/05/22(日) 17:09:53 ]: 「site:2ch.net」でググったらこのスレがトップにきますた
270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/23(月) 07:06:38 ]: >269
本当だ。なんでやねん。
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/23(月) 13:23:11 ]: 俺が試すとトップ10にも出てこないけど……。
ちなみにトップは大学受験サロン。

第2位は日本語限定かどうかで変わる。謎。
272 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/23(月) 19:05:21 ]: ウェブ全体からの検索
SSH その4
大学受験サロン＠2ch掲示板
全国鉄道混雑情報
【岡部の前に】岡部幸雄スレPart41【岡部無し】

日本語のページを検索
Vodafone質問スレッドPart73
McAfee Part.17
これを日本語化！な OS X アプリ発表会 Part 6
OS/2だよOS/2
273 名前：名無しさん＠お腹いっぱい。 [2005/05/26(木) 20:42:01 ]: www.unixuser.org/~haruyama/security/openssh/

4.1p1ｷﾀｷﾀｷﾀｷﾀ━━━(ﾟ∀ﾟ≡(ﾟ∀ﾟ≡ﾟ∀ﾟ)≡ﾟ∀ﾟ)━━━━!!
けど、ぁゃιぃ？
274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/26(木) 21:58:06 ]: 本家見たけど、んなもんないじゃん。
275 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/26(木) 22:12:55 ]: なんかオライリーから出るね
276 名前：名無しさん＠お腹いっぱい。 [2005/05/27(金) 01:01:01 ]: >>274
本家webサイトはまだ更新されていないみたいだけど、openssh-unix-announce
にはアナウンスメールが来てるよ。

ただし、最初に送られてきたアナウンスメールに記載されていた SHA1 checksum
は間違いだそうで。。>>273の言う
　> けど、ぁゃιぃ？
はそういうことだろう。正しい checksum は
　SHA1 (openssh-4.1.tar.gz) = 62fc9596b20244bb559d5fee3ff3ecc0dfd557cb
　SHA1 (openssh-4.1p1.tar.gz) = e85d389da8ad8290f5031b8f9972e2623c674e46
だそうだ。
277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 01:11:54 ]: いつもの通り、春山さんが変更内容の日本語訳を出して下さってますねー（感謝！）
ttp://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_4.1.txt

で、大したことではないかもしれないですが…、

(1) 「著しい修正としては以下がある.」→「大きな修正としては以下のものが
挙げられる.」
(2) 「を用いる場合に起きる segfault を修正した.」→「を用いる場合に
　segmentation fault が発生してしまうのを修正した.」

のように書き直すといいかなと思いました。
278 名前：276 mailto:sage [2005/05/27(金) 01:41:32 ]: >>274
> 本家見たけど、んなもんないじゃん。
って、本家 *FTPサーバ* のことか。確かにないですね。。チェックサム間違えた
とかで引っ込められたのかな？

アナウンスメールは確かに届いているんだけど...
279 名前：274 mailto:sage [2005/05/27(金) 13:13:10 ]: 今はたしかにありんす。
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/27(金) 15:59:28 ]: portable版のpgp signatureも合わない。。。

$ gpg --verify openssh-4.1p1.tar.gz.asc
gpg: Signature made Wed May 25 21:26:24 2005 JST using DSA key ID 86FF9C48
gpg: BAD signature from "Damien Miller (Personal Key) <djm@mindrot.org>"
281 名前：名無しさん＠お腹いっぱい mailto:sage [2005/05/29(日) 20:20:01 ]: openssh-4.1p1をftp://ftp3.usa.openbsd.org/から入れてみた。
まだ1日しか経ってないけど、今のところ無問題。
ちなみに環境は玄箱にdebian　sarge入れてクライアントはwinxpとwin2kからputtyとwinscp使ってます。
282 名前：281 mailto:sage [2005/05/29(日) 20:31:56 ]: 言い忘れたけど、春山さん毎回ドキュメントの翻訳ありがとうございます。
「入門SSH」も早速読みました。これからもよろしくお願いします。
283 名前：名無しさん＠お腹いっぱい。 [2005/06/08(水) 10:00:27 ]: windows版にsshスレがなかったのでこちらで質問させてもらいます．

sshでログイン，scpでファイル授受できる
Linux上のリモートを
windowsのネットワーク上の共有フォルダのように，
\\Kyoyu
としたり，
H:\
などの仮想ドライブとして
扱えるようにする方法はないでしょうか？
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/08(水) 10:21:15 ]: NFS over ssh
NetBIOS over ssh
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/08(水) 12:33:02 ]: 何週間か前に同じ質問がソフトウェア板とWin板にもあったな
回答されてたのにレスつけてなかったな
286 名前：283 [2005/06/09(木) 01:56:52 ]: >>284
どうも．

>>285
そっちでも質問した旨を書き忘れてました．
次からは気をつけます．
287 名前：名無しさん＠お腹いっぱい mailto:sage [2005/06/09(木) 22:57:39 ]: >283
この辺
ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html#s2
意図するものと違ったらごめん。
288 名前：名無しさん＠お腹いっぱい。 [2005/06/10(金) 23:56:03 ]: ありがとうございます．
昨日の夜に見つけて試してみたのですが
うまく行きませんでした．

以下の操作で合っているでしょうか？

-----環境-----
ローカル：WinXP SP2
リモート：たぶんfedora2
今まではcygwinのsshとscp, winscpを使っていた

-----今回の作業-----
LoopbackAdapterをインストールし，
そのプロパティを
IP 192.168.2.250
NetBios over TCP/IP 無効のチェックボックスをオン

stoneをパスの通ったディレクトリにき，以下を実行．
$ stone localhost:8139 192.168.2.250:139

cygwinのsshを使用し，以下を実行．
$ ssh -L 8139:192.168.2.250:139 UserNameAtRemote@hoge.com
パスワードを求められ入力．
289 名前：名無しさん＠お腹いっぱい。 [2005/06/10(金) 23:56:58 ]: -----出力-----
stoneのコマンドラインの出力
stoneJun 10 23:40:48 start (2.2e) [3684]
Jun 10 23:40:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:40:58 stone 1924: localhost:8139 <- 192.168.2.250:netbios-ssn

cygwinのsshのコマンドラインの出力は普段のログインと同じ．
---------------

explorerを開いてアドレスバーに
\\192.168.2.250
と入力してエンター
---------------
ssh実行中のコマンドラインの出力
channel 2: open failed: connect failed: No route to host

stone実行中のコマンドラインの出力
Jun 10 23:49:49 TCP 1788: read error err=10054, closing
Jun 10 23:49:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:49:58 TCP1788:1764 0182d000 10 Jun 10 23:49:39 192.168.2.250:netbios-ssn ローカルPC名:3852 tx:0 rx:72 lp:4
---------------

間違っている点があったら教えてください．
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/11(土) 00:28:58 ]: ぜんぜん理解してない
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/11(土) 15:08:42 ]: TCP/IPの勉強しろや
292 名前：名無しさん＠お腹いっぱい。 [2005/06/11(土) 21:48:11 ]: あきらめてwinscpつかいます
293 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 01:54:39 ]: SSHの不正アタック大杉！
ログ調べたら鯖立てて1年半で1万5000件くらいアタックされてたけど、
今週だけでもう6000件超えてるわ。
実害はまだないけどログの量が膨大でキモチワルイわ。
対策しないと・・・。
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 02:53:28 ]: >>293
MaxStartups 1 とでもしとけ。
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 07:18:50 ]: >>293 スクリプトで機械的に仕掛けてくるんだよ
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 12:03:39 ]: あのパターンのアタックだったら、数回unknownな接続が連続したところで、
ソースアドレスをフィルタしちゃえばいいと思う。
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 13:01:05 ]: それ以前にふつーは必要なとこ以外からのは拒否しとくだろう
298 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 13:28:55 ]: ウィルスに感染したマシンが延々とアタック続けてくるからな・・・
299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 13:35:54 ]: ポート変えとくといいよ。
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/12(日) 16:42:33 ]: 300!
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/13(月) 01:18:09 ]: 忘れるんだよ、あまり頻繁に使わないと。
302 名前：名無しさん＠お腹いっぱい。 [2005/06/13(月) 14:24:43 ]: 特定のユーザのみを利用可能にして
それ以外のユーザは利用不可にしたいんだけど
なにで制限すればいいのでしょうか？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef