SSH その4

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 255 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その4

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/05 19:35:08]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：pc5.2ch.net/test/read.cgi/unix/1058202104/
711 名前：名無しさん＠お腹いっぱい。 [2005/11/11(金) 14:39:29 ]: >>710
そうです。始めはこれと似た方法でしましたが、SSHサーバー側で
なぜ、毎回、起動するのはいやだということでしたので....
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 14:43:31 ]: >>711
言ってることがよくわからないんだが。
>>708 で ssh をフォアグラウンドで上げれば
>>694 と変わりないじゃん。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 14:54:02 ]: ps コマンドで生死の検査をする方がずっと危険度が高い気がするのだが。
その「SSHサーバ運用者」がアレな気も。
714 名前：名無しさん＠お腹いっぱい。 [2005/11/11(金) 14:54:50 ]: >>712
>>>711
>言ってることがよくわからないんだが。
こちは、SSHサーバは別の会社で管理するということです。
>>708 で ssh をフォアグラウンドで上げれば
たれかが、CTRL＋Cかを押すと切れるはずですね。
>>694 と変わりないじゃん。
プロセス検索で、あったら、とりあえず再起動するところはとおらないはずです。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 14:58:46 ]: だめだ、話が通じない。
ここで聞くより
自分の母語のコミュニティで聞いた方がいいんじゃないか?
716 名前：708 mailto:sage [2005/11/11(金) 15:03:07 ]: >>714
だから、 >>708 をバックグラウンドで動かせばいいじゃん。

と思ったが、 autossh でも使った方がいろいろ面倒が無くていいか。
717 名前：名無しさん＠お腹いっぱい。 [2005/11/11(金) 15:15:33 ]: >>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
718 名前：名無しさん＠お腹いっぱい。 [2005/11/11(金) 15:20:51 ]: >>716
>>>714
>だから、 >>708 をバックグラウンドで動かせばいいじゃん。
ありがとうございます。
しかし、この方法は、試したことがあるので、とりあえずは使わないです。
719 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 21:04:28 ]: 死んでたら自動的に立ち上げたいの?
つ daemontools
720 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 21:08:45 ]: >>719
絶対出てくると思った。

俺は我慢してたが。
721 名前：719 mailto:sage [2005/11/11(金) 21:25:46 ]: >>720

ごめんねえ
「そろそろ来るころだと思ったよ」ってやつ？

我慢すると体によくないよ。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/11(金) 22:01:17 ]: inittab に書いとけ。
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/13(日) 10:57:14 ]: 漏れ実際に daemontools 使って ControlMaster 立ち上げてまふ。
けど、たまにソケットファイルのロックにひっかかって死んでることが...
724 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/13(日) 18:10:13 ]: 何がしたいか、よくわからんが、-Nでいいんじゃねーの？
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/13(日) 19:44:26 ]: 「ソケットファイルのロック」って何？
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/13(日) 20:59:06 ]: >>725
プロセスが死んだ時に ControlPath に書いたソケットファイルが残っちゃうってはなし。
727 名前：名無しさん＠お腹いっぱい。 [2005/11/14(月) 15:00:47 ]: ttp://www.zelow.no/floppyfw/download/contrib/ssh/
ここのパッケージを使って
floppyfw で sshd を動かすところまではできたのですが,
パスワードなしでのログインができません.
クライアントの公開鍵をサーバの /root/.ssh/authorized_keys
に追加しているのですが, 鍵認証に失敗してパスワード認証しようとします.
パスワードなしでログインできるようにするにはどうすればいいでしょうか?
ログは以下のようになっています.

クライアント側ログ
$ ssh -v root@192.168.20.19
[snip]
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /home/user/.ssh/id_dsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
root@192.168.20.19's password:
728 名前：名無しさん＠お腹いっぱい。 [2005/11/14(月) 15:01:34 ]: >>727
サーバ側ログ
# sshd -d
[snip]
debug1: userauth-request for user root service ssh-connection method none
debug1: attempt 0 failures 0
Failed none for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 2 failures 2
debug1: test whether pkalg/pkblob are acceptable
Failed publickey for ROOT from 192,168,20,1 port 3970 ssh2
debug1: userauth-request for user root service ssh-connection method keyboard-interactive
debug1: attempt 3 failures 3
debug1: keyboard-interactive language devs
Failed keyboard-interactive for ROOT from 192,168,20,1 port 3970 ssh2
729 名前：名無しさん＠お腹いっぱい。 [2005/11/14(月) 15:52:59 ]: ～>>726
皆さんの協力、ありがとうございます。
この起動セールスクリプトは問題ないです。
この問題は急ぎやらなければできないので、結局はCronTabに登録して、１分ごと
にチェックするようにして、解決しました。今のところ、元は３０分～４時間で
一回、この起動セールスクリプトが切れたんですが、１０時間ほどだったんですが
発生してなかったです。よい解決方法とは、なりませんが......
　
730 名前：名無しさん＠お腹いっぱい。 [2005/11/20(日) 17:35:33 ]: どこで聞くべきかよくわからないので、ここで質問させてください。

Vine3.2で sftp サーバーを構築しています。
hpn-ssh のパッチを当てると高速化が可能であると聞いて、以下の手順で導入してみました。

1) もともと入っていた ssh は apt-get remove ssh で削除
2) openssh-4.2p1.tar.gz をＤＬして解凍
3) hpn-ssh-4.2p1-hpn11.diff のパッチを当てる
4) $ ./configure --prefix=/opt --sysconfdir=/opt/etc/ssh
5) $ make
6) # make install
7) /etc/rc.d/init.d/sshd の中の sshd　等の場所を prefix で指定したものに書き換え
8) 再起動

これでとりあえず接続は出来るようになったのですが、いかんせん速度が遅いまま
なのです。入れ替える前は 200-300kB/s だったのですが、入れ替え後もほとんど
同じ数値です。hpn-ssh を有効にするには何かオプションの指定のようなことが必要
なのでしょうか？　それとも PentiumIII 1GHz ではこのくらいの速度が限界なのでしょ
うか？　ちなみに ftp 接続では 8-10MB/s 程度の速度が出ています。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/23(水) 12:30:06 ]: ＞何かオプションの指定のようなことが必要
知らないが、パッチを嫁ばわかるだろ。
732 名前：名無しさん＠お腹いっぱい。 [2005/11/24(木) 13:22:03 ]: ssh の Remote Forwarding が下のような警告で失敗するのですが,
1023以下のポートの転送はできないのでしょうか?

$ ssh -N -v -R80:localhost:80 remote
...
debug1: Remote connections from LOCALHOST:80 forwarded to local address localhost:80
debug1: Entering interactive session.
debug1: Remote: Server has disabled port forwarding.
debug1: remote forward failure for: listen 80, connect localhost:80
Warning: remote port forwarding failed for listen port 80
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 13:30:42 ]: 特権ポートだけど root ならできるんじゃないの?
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 16:36:39 ]: >>733
root でも Remote Forwarding で特権ポートは使えませんでした.
サーバ側で root 権限で Local Forwarding ならいけるようです.
remote# ssh -N -v -L80:localhost:2080 localhost
client$ ssh -N -v -R2080:localhost:80 remote
のように二つ動かすしかないんでしょうか.
板違いになりますが, こういうことは iptables で可能なんでしょうか?
735 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 16:48:09 ]: iptablesなら可能だね
736 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 17:03:37 ]: >>734
ちゃんとサーバー側の root で接続してる?
$ ssh -N -v -R80:localhost:80 -l root remote
737 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/24(木) 20:03:54 ]: >>735,736
すいません. なんかボケてたみたいです.
もう一度確認したら root なら Remote Forwarding でできました.
でもこれでは全部 localhost からのアクセスになってしまって
.htaccess でアクセス制限できないんですね.
ディレクトリごとの制御とかはできなくなりますが,
サーバ側の iptables を併用するしかなさそうです.
738 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 15:08:30 ]: いまがver3を使っているのですが、問題ありませんか？
739 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/25(金) 15:35:51 ]: 自分で判断できないのは問題ですね。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 00:27:37 ]: 自由に使用できるサーバを、
友人に公開しようと思っているのですが、
IP アドレスが一つしかありません。
WEB サーバの方は、delegate を使用してなんとかなるのですが、
SSH も delegate を使用できますでしょうか。
ちなみに、JAIL 環境でプライベート IP が振ってあります。
あと、DNS は書いてあります。
ポートをずらして公開するのが手っ取り早いでしょうか。

MOUNT="/* www.example.com1* vhost=-www.example.com1" \
MOUNT="/* www.example.com2/* vhost=-www.example.com2" \
MOUNT="/* www.example.com3/* vhost=-www.example.com3" \
741 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 00:31:58 ]: 友人の発信元IPアドレスを見てなんとかする方法もあるけどポートずらすのがいいと思う。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 00:46:57 ]: 22 番を外部公開してても、
暗号鍵認証でのみ許可してれば
セキュリティホール以外で進入されることは
ないと考えてよいですか？
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 01:01:26 ]: >>742
いいえ
744 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 01:43:24 ]: >>742
公開鍵ではなくて?
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 02:05:14 ]: >>744
そんなことは知っています。
どなたかわかる方、お願いしますm(_ _)m
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 02:10:20 ]: >>742
絶対はないです。
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 03:17:18 ]: セキュリティに関して「安全ですか？」と聞けば答は常に「いいえ」。
その質問は一番大きなセキュリティホールが質問者の頭に開いている事を示しているから。
そして>>745のレスはおまえが人間のクズである事を示しているので、
もうマトモな解答は付かないだろう。
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 03:28:59 ]: LANケーブルをひっこ抜きました。
無線LANもserialも繋がってません。
これで絶対安全ですか？
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 06:25:14 ]: コンソールがのこっとる
750 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 08:10:41 ]: テンペストで画面もまる見え
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 08:23:23 ]: 引っこ抜くなら電源ケーブルだな
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 10:06:41 ]: 透視でHDDの中身もまる見え
753 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 11:55:09 ]: 円盤引っこ抜け
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 11:57:20 ]: 昨日までログインできてたんだけど、今日になってできないようになった。
ssh -vvvvv me@myhost すると、id_rsa読む所で、

debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype

こんなん出るんだけど、これって何が起こったの？
755 名前：742 mailto:sage [2005/11/30(水) 13:22:47 ]: >>743,744,746,747
どうもありがとうございました。
ソーシャルハッキングなどを想定してるので「いいえ」ということでしょうか。
少なくともパスワード総当りでは通れないですよね。

>>745 は自分ではないのですが、
不愉快な思いをさせて失礼しました。
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 13:57:06 ]: >>754
> ssh -vvvvv me@myhost すると、

v は三つまで。

> こんなん出るんだけど、これって何が起こったの？

その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
てるとこなんで、ログインできない理由とは無関係。
757 名前：754 mailto:sage [2005/11/30(水) 15:12:39 ]: > その部分は、まず rsa1 鍵だと思って読んでみたら違ったー、と言っ
それは読めば判るんだけど、これって昨日まで使ってたRSA 鍵なんだけど。

ログインできない最後の理由は判っていて、RSA鍵が読めない為に鍵認証
できなくて、パスワード認証は禁止してるからなんだけど。

どうしてRSA鍵が読めないなんて言い出すのかが判らんのよ。
パスワード認証有効にする訳にもいかんし、ssh-keygen -t rsa で鍵作りなおしても
やっぱり読めないとぬかしやがるし。

パーミッションも確認したけど、.ssh/は700で .ssh/id_rsa も600になっとる。
ワケワカラン。
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 15:15:08 ]: >>757
サーバ側の設定が変わったってことはないの？
759 名前：754 mailto:sage [2005/11/30(水) 15:45:08 ]: >>758
昨日はssh関係いじった覚えはないんだけど。
そもそも、鍵が読めないのとサーバの設定になんか関係あるの？
760 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 15:47:42 ]: >>754
サーバ側でログ確認した方がいいなじゃない?
それか -d とか。
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 16:52:40 ]: >>754
例えば、Protocol 2 になると rsa1 が使えなくなったりするわけですよ。
サーバ側の管理を >>754 がやってるかどうかも俺らは聞いてないし、
適切にアドバイスできるとでも思ってるんか？

「ログ見ろ」としか言えねぇよ。
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/30(水) 16:57:45 ]: strace使うとかね。
763 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/08(木) 00:44:53 ]: sshでリモートログインした時に
~/.ssh/rc
から
exec zsh
で zsh を起動させたいんだけど起動しない。
sh ~/.ssh/rc
としてやると普通に起動するんだけど…。
もしかしてこれって仕様？
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/08(木) 01:34:49 ]: >>763
sshdからpopen(3)されるだけなので対話的プログラムは実行できない。
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 02:08:14 ]: NAT 配下のマシン(A)にアクセスさせたく、グローバルIPをもっている
マシン(B) に対して

ssh -R 8888:localhost:22 hostB

とやりました。この時、hostB にログインして ssh -p 8888 localhost
をすると hostA に接続できるのですが、この hostA, hostB とは関係のない
hostC から ssh -p 8888 hostB しても hostA には接続できません。

これを実現させるのにはどのような設定が必要でしょうか？
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 02:43:12 ]: >>765
sshd_configのGatewayPorts
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/10(土) 09:21:21 ]: >763
>It must not produce any output on stdout; stderr must be used instead.
とか書いてあるし、~/.ssh/rc でやるのは無理があるんじゃない？
ログインシェルの初期設定ファイルで環境変数を見て SSH_* が設定されていたら zsh にとばすとか。
っていうか ssh -t example.com zsh だとあかんの？
768 名前：名無しさん＠お腹いっぱい。 [2005/12/19(月) 07:47:20 ]: すみません
sshクライアントからviを起動すると未確認のエスケープシーケンスがある。
というエラーが出てしまい、ファイルの編集ができません。
sshからテキストファイルを編集する何か良い方法はないものでしょうか？
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/19(月) 08:00:06 ]: ターミナルを変更したら、エラーが無くなりました。吊ってきますorz
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/13(金) 16:46:47 ]: 保守
771 名前：名無しさん＠お腹いっぱい。 [2006/01/25(水) 15:50:08 ]: Debian sargeでOpenSSH 3.8.1p1, OpenSSL 0.9.7eを使ってsshサーバを立てようとしています。
あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?
772 名前：名無しさん＠お腹いっぱい。 mailto:ｓage [2006/01/25(水) 16:22:10 ]: ｷﾀー　　ヽ(ﾟ∀ﾟ)ノ
CVE-2006-0225　www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0225
www.st.ryukoku.ac.jp/~kjm/security/memo/2006/01.html#20060125_scp

tun(4)のサポートなんて後でイイから、さっさといろんなバグ潰した4.3を
出せってば　:-)
１週間後に出すぞってメールで流してから何週間経っているんだと小一時間(ry
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/25(水) 22:01:50 ]: >772
scp 'foo:bar*' .
とか便利に使ってたんだが、バグだったのか…
774 名前：名無しさん＠お腹いっぱい。 [2006/01/25(水) 23:58:08 ]: >>773

そーいうことではなくて、記号や空白が名前の一部に入っているファイル
が問題視されているのですが。

たとえば
scp 'foo:bar*' .
であれば、foo というマシン上に
bar foo
bar*
といったファイルがあるとうまくいかないと。

そもそもが、
www.redhat.com/archives/fedora-announce-list/2006-January/msg00062.html
には
local to local and remote to remote copy with scp
と書いてあるわけで、
foo という「リモートマシン」から「ローカル」
という時点で、既に今回の対象外な気がしますが。
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/26(木) 01:45:25 ]: >774
OpenSSH 情報の www.unixuser.org/%7Eharuyama/security/openssh/20060125.html に

> system()関数を用いているためにリモートホストでもシェルによるコマンドの解釈が行われます。
> このため適当に細工を施されたファイル名をコピーすると、リモートホストでユーザの権限でコマンドが
> 実行されます。

なんて書いてあって、リモート側でsystem()関数によるファイル名展開しないように
対策されるのかと勘違いしてました。
776 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/26(木) 13:51:52 ]: >>771
> あるIPアドレスからの接続はパスワード認証と公開鍵認証を許可して、それ以外のIPアドレスからの
> 接続は公開鍵認証のみ許可をする、といった感じの設定は出来ますか?

OpenSSH だと config file を変えて sshd 二つ上げとくしかないん
じゃなかろか。

ちなみに $sh.com 版なら HostSpecificConfigって機能を使うと sshd
一つで client host 毎に認証方式を変えることが可能。
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/26(木) 15:53:09 ]: そだねえ。片方をポート10022とかに上げといて、
ソースアドレスによってはそちらにリダイレクトするようにしたら、
sshdが2つなのをユーザに意識させずに切り替えることもできそう。
pfなら

rdr on fxp0 proto tcp from <allow_password_address> to self port ssh -> $myaddr port 10022

とかになるのかな。
778 名前：771 mailto:sage [2006/01/26(木) 20:41:25 ]: >>776-777
前の代のサーバはssh.com版を使ってたみたいで、HostSpecificConfig
を使って上記のような設定をしていたので、なんとかOpenSSHで
出来ないものかな、と思いましたが、2つ立ち上げるしかないんですね。
ありがとうございました。
779 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/01/26(木) 21:15:43 ]: >>775
間違った記述をしていたので修正しました。
780 名前：773 mailto:sage [2006/01/28(土) 04:18:01 ]: >774

問題の本質は
> シェルによるファイル名の解釈が2度おこなわれる
事なので、local-to-localやremote-to-remoteのコピーだけの問題じゃない気がしてきた。

remote-to-local、local-to-remote でも、localでのシェルによる解釈、
remoteでのscp起動の時にもシェルを経由するわけだし。

その意味で、OpenSSH 情報の元の記述は的外れでなかった気がしてきた。

なわけで、今回の修正だけではまずいんじゃないかなあ。
781 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/01/28(土) 09:07:30 ]: >>780
パッチをみたところ、local-to-localとremote-to-remoteでの処理での
system()が置き換えられていました。
scp.cのそれ以外の部分ではsystem()は使われていません。

OpenSSH情報の記述はさらに直します。
782 名前：773 mailto:sage [2006/01/28(土) 21:06:24 ]: >781
system()を使ってなくてもやばいんじゃないかって事です。
783 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/01/29(日) 01:24:30 ]: ためしてみたところ、
% scp remote:\;/usr/bin/yes .
とすると
remoteで/usr/bin/yes が起動しました。
784 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/01/29(日) 01:33:08 ]: % scp remote:\;/bin/sleep\ 1000 .
なんてのもいけますね。
785 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/01/29(日) 01:40:59 ]: local-to-remoteでも
% scp foo remote:.\;/bin/sleep\ 1000
としてコマンドを実行できました。

local-to-localやremote-to-remoteと同様の問題があると考えていいように思えます。
明日朝から用事があるので一旦終了します。
786 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/01/29(日) 17:22:47 ]: rsyncでも
% rsync foo remote:.\;sleep\ 1000
や
% rsync remote:foo\;sleep\ 1000 .
でremoteでのコマンド実行ができました。

ファイル転送においてもリモートでコマンドを実行する枠組を利用している以上
利用者が気をつけるしかないかもしれませんね。
787 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/29(日) 17:55:02 ]: sshdはコマンドを実行するときsh -cで実行しているけど、shを使
わずに直接実行してほしい。shを使いたかったら明示的に書けばい
いだけ。

参考
pc8.2ch.net/test/read.cgi/unix/1131026501/984
788 名前：773 mailto:sage [2006/01/30(月) 01:08:35 ]: OpenSSH情報では
> local-to-localやremote-to-remoteとは異なり実際のファイルのコピーによって
> コマンドが実行されるわけではありません。
と修正されてたけど、
% ls
remote:;/usr/bin/yes
% scp * foo
とか。

% ls
remote:*
これも意図しないファイルをコピーされてしまうような。

OpenSSH FAQ 2.13とか、ほっといてはいけなかったのかな。

>787
確かにその通りだと思うんだが、変更したらSSHのRFCと矛盾しないかな？
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/30(月) 01:35:38 ]: >>787
参考が読めない
おれにも●売ってくれよ。10円で。
790 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/30(月) 01:37:01 ]: >scp 'foo:bar*' .
は今後使えなくなるの?
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/30(月) 02:20:09 ]: >>788
> % ls
> remote:;/usr/bin/yes
これは無理w
> % ls
> remote:*
これは仕様上仕方ないんじゃないか。
$ scp * .
ssh: remote: Name or service not known
792 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/30(月) 02:33:14 ]: >>789

984 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2006/01/20(金) 22:59:14
スレ違いだが、

sshは引数をスペースを間に入れて結合した文字列をsshdに送る。
sshdは
argv[0] = shell
argv[1] = "-c"
argv[2] = 送られた文字列
のように実行する。
なので'1 2 3'というファイルを指定するためには
ssh localhost touch "'1 2 3'"
のように''をつける必要がある。

シェルを経由して実行する場合は引数(の数と内容)を保ったまま渡
すのは無理なのかもしれんが。
793 名前：773 mailto:sage [2006/01/30(月) 02:35:42 ]: >791
確かにこのままだと駄目だった。
が、path通っているのであれば、こっち
> % ls
> remote:;yes
だったら。
794 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/01/30(月) 09:14:19 ]: >>793
% ls
remote:;yes
% scp * foo

でremoteでyesが実行されますね。
OpenSSH情報の記述を訂正します。
795 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/30(月) 10:32:33 ]: >>794
> % scp * foo
hostname:pathname の形式で指定する以上、たぶんどうしようもない。
scp ./* foo:bar/
なら問題ない。
796 名前：773 mailto:sage [2006/01/31(火) 01:22:49 ]: >795
リモートでコマンド実行の方は危険な記号をエスケープするなり
して対処するのかなあ。

で、hostname:pathname の hostname: の部分を処理する前に、
hostname:pathname がファイルとして存在しているか確認して、
存在していた場合、ユーザーに確認 or エラー吐いて失敗とか。
# -B オプションとか付いてたら確認せず実行とか。

とにかく、意図したファイルのコピーが失敗するだけならともかく、
意図しないファイルのコピーが実行されてしまうのは避けた方が無難だと
思う。
797 名前：773 mailto:sage [2006/01/31(火) 01:37:42 ]: >791
>> % ls
>> remote:;/usr/bin/yes
>これは無理w
こんなの思い付いた。
% echo */*/*/*
remote:;/usr/bin/yes
798 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/01(水) 17:51:27 ]: PuTTYgen使って公開鍵作るとき[Public key for pasting into OpenSSH authorized_keys2 file]欄の
文字列をコピーしてメモ帳に貼り付ける、と紹介してるサイトがあるけど
【Save Public key】ボタンを押して保存じゃ駄目ですか？
わざわざ面倒なことする理由って何ですか？
799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/01(水) 17:58:44 ]: ボタンが無い時代に書かれた記事の孫引きだからだろ
800 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/01(水) 19:57:54 ]: >>798
形式が違う。
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/01(水) 23:41:18 ]: OpenSSH 4.3/4.3p1 リリース
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/02(木) 01:48:07 ]: >798
保存した物はssh-keygen -X -fで変換しないと~/.ssh/authorized_keysの形式に成らないよね
803 名前：798 mailto:sage [2006/02/02(木) 02:03:23 ]: >>799
自分もそうじゃないかと思いました。
ボタンがあるのにコピペするのは昔の名残なのかと。
しかしどうしても気になり、質問してしまいました。

>>800、>>802
！！、そういうことなんですか！ありがとうございます!!
モヤモヤが晴れました。御三方ありがとうございました。!
804 名前：名無しさん＠お腹いっぱい。 [2006/02/02(木) 06:05:35 ]: >>801
4.3(p1) ｷﾀー　　ヽ(ﾟ∀ﾟ)ノ
805 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/02/03(金) 18:57:02 ]: 4.3p1はconfigureまわりに問題があるので、4.3p2がじきにでるようですね。

>>773- 以降で議論したscp の local-to-remote, remote-to-local のコマンド挿入の
問題について、セキュリティの問題として openssh@openssh.com に連絡しようと思います。
(なぜ openssh@openssh.com かは ttp://www.openssh.com/report.html を参照)
反対意見がなければ、日曜か月曜に送ります。

メールの内容は長いので
ttp://unixuser.org/%7Eharuyama/security/openssh/tmp/openssh_scp_command_injection.txt
におきました。
806 名前：773 mailto:sage [2006/02/03(金) 22:17:07 ]: >788
> % ls
> remote:*
> これも意図しないファイルをコピーされてしまうような。
こっちの報告はどうしましょう？

>791
> これは仕様上仕方ないんじゃないか。
ってのも分かるのですが、
さらに
% ls
foo@remote:*
とかにして、
foo@remote% ls -l
rwsrwsrwx 1 foo foo 100 2006-02-03 03:55 bar
とかが
% scp * .
とかでコピーされちゃうとまずそうなんですけど。
実験したら -p オプション付けなくてもsuid bitコピーされちゃいましたし。
# umask の設定でsuid bit無効化出来ましたっけ？

後、
% ls
-p foo
とかで、予期しないオプションをremoteのscpに与える攻撃とか思い付いたのですが。
# 組み合わせや設定次第でやばげな事が出来そうです。
# remote:-Sfoo とかでremote-to-remoteになったときとか。

対策するなら796で書いた事ぐらい？
807 名前：773 mailto:sage [2006/02/03(金) 22:25:54 ]: rsyncの開発元にも別に送った方がいいかもしれません。
# scp や rsync の実装の問題でしょうし。
808 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/02/03(金) 22:47:52 ]: >>806-807 に対応して
ttp://unixuser.org/%7Eharuyama/security/openssh/tmp/openssh_scp_command_injection.txt
を上書きしました。

・Subjectを scp/rsync Command Line Shell Command Injection in the case of local-to-remote and remote-to-local copies & scp/rsync user-unintended file copy with a malicious filename に。

・rsync-bugs@samba.orgにも送るという文章を追加

・次の文章を追加
In addition, This example (using a malicious filename)
----------
% ls
remote:*
% scp * .
(or rsync -e ssh * .)
----------
causes an user-unintended file copy.
809 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/02/03(金) 22:57:20 ]: オプションを利用すると、
% ls
-S ls a
% scp * remote:
ls: No such file or directory
lost connection

とローカルホストでプログラムを実行させることもできますね。
(rsyncでも-e で同様のことができるでしょう)
送るまでにもっと例を追加します。
810 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 23:01:52 ]: 日本の恥だから止めんか！
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 23:11:11 ]: 春山さん乙
812 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/02/03(金) 23:16:03 ]: >>809
% ls
-Sls a
% scp * remote:
ls: invalid line width: ardAgent no
lost connection

でした。
813 名前：名無しさん＠お腹いっぱい。 mailto:これだけしかいえないがsage [2006/02/03(金) 23:22:13 ]: 乙
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 23:27:22 ]: そんなもの脆弱性でもなんでもないだろ。
頼むからやめてくれ。どうかしてるぞ。
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 23:28:11 ]: どちらかというとシェルの問題でない？
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 23:37:00 ]: バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
普通のバグリポートを送るだけで充分だ。
これはおかしな動きだと疑問に思ったら真っ先に本家のMLに聞いてみるべきなのに。
あんたこんな所にしか相談出来る相手が居ないのか？
ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
817 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/03(金) 23:41:10 ]: >ここには馬鹿しか居ない。このままじゃ駄目になっちゃうよ。
正直同感
818 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/02/03(金) 23:46:47 ]: >>805 にて
>反対意見がなければ、日曜か月曜に送ります。
と書きましたので、送るのは中止します。

ここで相談しているのは、
773氏の寄与が大きいので了解を取るべきと考えたからです。
819 名前：773 mailto:sage [2006/02/04(土) 00:12:45 ]: 私自身はセキュリティの問題として送ってもらう事に賛成です。
自分自身でバグリポートをさっさと送らなかった事には謝罪します。

しかし、
>816
> バグではある。明らかに利用者が意図しない動きをしている。だが脆弱性ではない。
と言うのは疑問です。
元の CVE-2006-0225 が任意のコマンドを実行される脆弱性で修整されるべきなら、
今回の物もssh自身の問題だけではないかもしれませんが、任意のコマンドを
実行してしまうもので「脆弱性ではない」とは言い切れないと思います。
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 00:38:25 ]: >>809
少なくとも、これに関しては scp には何の罪はない。

% touch -- -l
% ls *

これで ls -l が実行されるのは ls のせいではなくシェルのせいだ。
821 名前：春山征吾 ◆unIxUSernc mailto:sage [2006/02/04(土) 00:57:26 ]: >>820
そうですね。失礼しました。
822 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 03:42:17 ]: なんかおもろい流れになっててﾜﾛｽｗ
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:26:34 ]: 的はずれなことを言っているのかもしれませんが、ポートフォワードで
離れた場所のLAN内にあるsambaサーバもしくはWindowsの共有にアクセスすることはできますか？
824 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 15:30:09 ]: ssh?
825 名前：823 mailto:sage [2006/02/04(土) 16:51:29 ]: 例えば、ここの場合、
www.gcd.org/sengoku/docs/NikkeiLinux01-02/forward.ja.html
プロキシーサーバに接続することによって、LAN内のすべてのwwwサーバにアクセスできるようになりますが
これと似たことを、sambaでもできないかと考えているのですが。
826 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/04(土) 21:32:09 ]: 難しい
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/05(日) 00:34:30 ]: >>823
つ [SoftEther改めPacketiX VPN]
828 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/05(日) 01:35:04 ]: >>823
SEはライセンスがアレなので・・・

つ [OpenVPN]
829 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/05(日) 07:56:54 ]: ポート番号を指定できないWindowsが恨めしいと思ったｗ
830 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/05(日) 11:08:33 ]: >>823
きわものが似合いそうな823に
つ[zebedee]
rogiken.org/daemon/tips/smb_zbd.html

opensshってバインドするアドレスを指定できなかったんだよねぇ、たしか。

だから、いったん8139とかにバインドして、stoneでLoopbackアダプタに
バインドした気がする。
遠い昔のことでわすれた。。
831 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/06(月) 10:17:17 ]: >>823
望んでいるものかどうかわからないけど、
つ [ ttp://www.c3.club.kyutech.ac.jp/c3magazine/4th/nbssh/nbssh.html ]
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/06(月) 16:58:10 ]: >>823
445ポートでうまくいかない？
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/07(火) 14:04:58 ]: SoftEther系がなんも考えずにできて楽だな
無料じゃないのがやだけど
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/07(火) 21:57:27 ]: >>833
無料じゃないの？
835 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/08(水) 01:09:06 ]: >>834
個人かつ非営利目的な場合のみ無料。
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/08(水) 01:45:58 ]: SoftEtherは作者がkittyでさえなければ...
道具に罪はないとは言うけれど、セキュリティに関わるものだけにちょっと。
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/08(水) 08:18:01 ]: ライセンスの更新画面土井よ
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/08(水) 15:45:08 ]: SSHのスレで作者のキティ度を云々するのはいかがなものか？
839 名前：名無しさん@お腹いっぱい [2006/02/11(土) 17:35:31 ]: 4.3p2ｷﾀｰ
ttp://www.unixuser.org/~haruyama/security/openssh/
にも出てるよ。
さすが春山さん早いねぇ。
840 名前：名無しさん＠お腹いっぱい。 [2006/02/11(土) 20:27:48 ]: おいお前ら。FCの名作ソフト「いっき」のオンライン対戦するぞ！
↓
game.coden.ntt.com/games/ikki.html

King of Wands
game.coden.ntt.com/kingofwands/
841 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/11(土) 21:08:27 ]: lastlog直った
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/15(水) 23:49:32 ]: W-ZERO3 + Pocket PuTTYで外部からSSH接続できるんだけど
困った事に受信側のPocket PuTTYで日本語が全部文字化けしちゃうす。
誰か対策できた人おる？
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/17(金) 17:24:41 ]: >>842
うーん
速攻で設定直したからうちでは問題ないなぁ
844 名前：名無しさん＠お腹いっぱい。 [2006/02/19(日) 17:18:14 ]: 圧縮を指定して接続しようとすると、エラーが出てしまいます。
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/19(日) 18:00:39 ]: このスレにはエスパーはいませんので、そこんとこよろしくです。
846 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/22(水) 11:32:13 ]: 現在の本スレ

Putty その２
pc8.2ch.net/test/read.cgi/unix/1084686527/l50
847 名前：名無しさん＠お腹いっぱい。 [2006/02/22(水) 16:29:31 ]: www.laksmido.com/3090.html
ここにあるとおりに設定してみたのですが、依然として、
どちらからログインする際にもパスフレーズを求められてしまいます。
考えられる原因としてはどのようなものがあるでしょうか？
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/22(水) 16:33:08 ]: >>847
これ、情報古いよ。
もっとまともなとこ読め。
849 名前：８４８ mailto:sage [2006/02/22(水) 17:41:14 ]: ありがとうございます。
どのサイトに新しい情報が載っているでしょうか？もし教えていただければ幸いです。
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/22(水) 19:53:07 ]: ssh2でぐぐれ。
851 名前：名無しさん@お腹いっぱい mailto:sage [2006/02/23(木) 02:57:08 ]: >847
パッと見で思い当たるところ。
　.sshのパーミッション
　~/.ssh/authorized_keysの中身
/etc/sshd_configの設定
あと、logは見た?
その辺を一通り確認すれば、何とかなると思う。
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/24(金) 08:55:27 ]: ssh -vでデバックとって曝せ。
853 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/24(金) 09:42:11 ]: デバックだってさ（*´Д`)
　　　　￣
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/24(金) 14:01:15 ]: CentOS 4.2
openssl 0.9.8a
zlib 1.2.1.2-1.2(RPM)
openssh 4.1p1

上記の環境で
# ./configure \
--with-tcp-wrappers \
--with-pam
# make
を行うと

/usr/local/lib/libcrypto.a(dso_dlfcn.o)(.text+0x321): In function `dlfcn_bind_func':
: undefined reference to `dlerror'
collect2: ld returned 1 exit status
make: *** [ssh] Error 1

とエラーになってしまいます。

そこで、直接 Makefile を編集して、
LIBS= に -ldl を追加して make を通しましたが、こういった手法しかないのでしょうか？

今回、普通に make が通らなかったことが疑問なのですが、その原因がわかる方はいらっしゃいますか？
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/24(金) 14:19:05 ]: さすが盗人CentOS厨はひとあじ違うね
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/24(金) 19:47:11 ]: 板違い。リヌクス板に逝け。
857 名前：名無しさん＠お腹いっぱい。 [2006/02/28(火) 19:05:57 ]: sftpで日本語ファイルを扱えるようにする方法を教えてください
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 19:10:10 ]: >>857
「日本語のファイル名」を定義してください。
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 20:09:26 ]: また定義厨キタ。定義厨ウザイ。そんなの質問から読みとれるだろ。
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 20:27:34 ]: ( ﾟдﾟ)ﾎﾟｶｰﾝ
861 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 20:40:12 ]: 質問も厨臭いが反応もすんばらすぃ
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 21:01:05 ]: >>857
俺のところでは特に設定なしで日本語ファイル名が使えてる。
もし日本語ファイル名が使えないなら、どううまくいかないのか
もう少し詳しく書け。
少なくとも、変なことしてなければ設定なしで使えるはず。
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 21:53:58 ]: >>859
読み取れたなら答えてあげてよ。
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 22:21:59 ]: >>857
UNIX側をsjis環境にして日本語はすべてsjisに統一する
コントンジョノイコ
865 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 22:31:10 ]: UNIX側をsjis環境にしてWindowsは日本語EUC環境にする。
これでおあいこじゃないか
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 22:50:10 ]: UTF-8 ・・・そこは最後のフロンティア・・・
867 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 22:57:35 ]: >>863
すでに答えてるじゃん。
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/28(火) 23:02:04 ]: >>865
「UNIX側って??」
UNIX板なんだからUNIX以外のOSは無視でしょ。
オレのところはUNIXホストはすべてEUCで統一。
この状態でsftpで日本語ファイル名は問題なく使える。
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/01(水) 00:46:07 ]: 日本語ファイル名ではなく日本語ファイルだ
文字コード変換して転送とかそういうことじゃね
870 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/01(水) 00:55:51 ]: >>869
そもそも相手先で違う物に内容を改ざんするsftp
なら使わない選択を選ぶのが筋
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/01(水) 01:08:48 ]: filezilla+春山さんパッチ使っとけ
872 名前：名無しさん＠お腹いっぱい。 [2006/03/04(土) 01:43:45 ]: いつもできていたのに、今日SSHで接続しようとしたら
Read from remote host ***********: Connection reset by peer

となってしまって接続できなくなってしまいました。。

どうすればよいですか？？
873 名前：名無しさん＠お腹いっぱい。 [2006/03/04(土) 01:55:51 ]: いくつか考えられる原因・・・

・単にメモリが無い。
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・おまいの居場所が無い。無残にもそれは管理者に消されたか
　もしくは根のモノに。
・NICが腐った。
・共有ライブラリがぶっ飛んだ。

その他もろもろの理由でSSHは不調になる（全部経験したこと）
874 名前：名無しさん＠お腹いっぱい。 [2006/03/04(土) 02:06:49 ]: とりあえずWebminは繋がるんです。

メモリは
Mem: 459M Active, 327M Inact, 173M Wired, 39M Cache, 112M Buf, 6104K Free
です。(1G)

・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・共有ライブラリがぶっ飛んだ。

これぐらいでしょうか。。
でもsshはちゃんと起動できるんです。停止も起動も出来ました。@webmin
875 名前：名無しさん＠お腹いっぱい。 [2006/03/04(土) 02:41:50 ]: /bin/cshが壊れたようでした。
お騒がせしました。
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 02:59:18 ]: なんでそんなんが壊れるんだ
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 06:30:17 ]: ハックられた?
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 09:52:43 ]: >873-874
>貝が無残にも砕かれた。
>共有ライブラリがぶっ飛んだ。
これってクラッキング以外に原因考えるとしたら、hddのread write不良とか？
いずれにしても穏やかでないなぁ。
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 15:29:16 ]: OpenSSHでクラッカー対策にグリーティングメッセージの
「SSH-1.99-OpenSSH_3.8.1p1」みたいなのを隠したいんですが、
これってソースから直さなければならないんでしょうか？
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 15:37:05 ]: 隠しても対策にならんよ。
881 名前：名無しさん@お腹いっぱい mailto:sage [2006/03/04(土) 18:20:49 ]: >879
とりあえず最新使っとけば?
>510-513みたいに
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/07(火) 15:40:06 ]: うむ。対策には成らんね。
とにかく22に繋いで試すって攻撃だし。いちいちバージョンチェックなんてしてない。

sshdがあぼーんしたときの裏口作りは重要。
% sudo /etc/rc.d/sshd restartして止めさしちゃう事も有る。
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/07(火) 23:28:58 ]: だぁね。
まぁせいぜい出来るのは、sshd_configの設定をぬかり無くする事と
Listen Portをｳｪﾙﾉｳﾝなポート使わないとか、そぎゃんところですか。
884 名前：名無しさん＠お腹いっぱい。 [2006/03/08(水) 04:02:52 ]: 普通に、daemontools ですよ。
tcpserver で接続管理して接続できるIPアドレスを
限ればいい。
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/08(水) 04:17:06 ]: djb儲はdjbsshでも使ってろ
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/08(水) 09:46:31 ]: >>884
わざわざそんなん通さなくても libwrap でいいじゃん。
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/09(木) 04:29:50 ]: マエノ方面の香具師か。。。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 01:14:41 ]: 信者ってどこにでも居るね。
qmail/djbdnsの話題をされるとは思わなかった。ウゼー！
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 01:24:24 ]: 普通にビルドしたらlibwrap使えるんだし、ネタにしかみえん。
890 名前：名無しさん＠お腹いっぱい。 [2006/03/10(金) 12:38:42 ]: >>886
cr.yp.to/qmail/venema.html
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 12:57:59 ]: >>890
それが何?
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 13:36:37 ]: 信者は怖いね。
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 22:00:05 ]: OpenBSD + OpenSSH + djbdns + qmail + OpenNTPD。これ最強。
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/11(土) 00:42:17 ]: さすがにウェブサーバーは入れないかｗｗ
895 名前：名無しさん＠お腹いっぱい。 [2006/03/11(土) 03:17:56 ]: fnordとかいれてたりして。
節操無さ過ぎｗｗｗ
896 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 12:17:41 ]: いろいろなユーザー名でログインを試みようとした形跡があるのですが、
このようなアタックを防ぐにはどうしたらよいのでしょうか？
同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか？
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 12:20:44 ]: >>896
libwrap や FW などで
必要なとこ以外からのアクセスは禁止するようにする。

根本的解決ではないが
別ポートで sshd を上げると軽減するという話もある。
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 12:24:47 ]: >>896
897の大作に加えて、sshd_configでログイン出来るユーザを制限しておく。
パスワード認証を許可しない。
信用出来ないユーザにシェルアカウントを与えない。

＞同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか？
俺はdenyhostsを使っている。
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 21:18:20 ]: 犬糞ならiptablesのburst機能使えば近いことはできる。
他のOSでも同様のことができるんじゃないかな。
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 00:51:31 ]: >>896
ttp://www.musicae.ath.cx/diary/?200506c&to=200506272#200506272
我が家ではここの設定をそのまま使用してる。
パスワード認証も切ってるけど。
901 名前：900 mailto:sage [2006/03/13(月) 01:21:19 ]: 認証成功でもカウントされちゃうけどね。
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 09:44:03 ]: >>896
前にここにも書いたけど、うちにもすげー来る。
オレはswatchでlogを監視してhosts.denyに追加するようにしてるよ。
903 名前： ◆TWARamEjuA mailto:sage [2006/03/13(月) 22:17:19 BE:3485748-#]: やっぱりログ監視だよなぁ。。。

今度の休みにやろっと。
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 22:40:56 ]: ログの監視もいいが、必要なところ以外からの接続は拒否した方がいいと思う。
sshdにアクセスされている時は、外向きのアクセスが不安定になっている気が
する。ルーターがヘタレなせいかもしれないが。
905 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 23:21:49 ]: もう>>896氏は見ているかもしれないですが…、

>>896
www.koka-in.org/~haruyama/ssh_koka-in_org/200/250.html
以降のスレッドを見るﾖﾛｼ。
www.koka-in.org/~haruyama/ssh_koka-in_org/200/251.html
とかね。
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 20:35:23 ]: きてるきてる
203.241.56.142から5回ずつ朝鮮。
907 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 20:39:00 ]: >>904
不安定にみえるのは、機器やネットの処理能力をアタックに食われているだけかも。
908 名前：名無しさん@お腹いっぱい mailto:sage [2006/03/15(水) 21:03:44 ]: 俺もそう思う。
前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。
909 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 22:26:27 ]: >>907-908
特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。
910 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 22:46:33 ]: >>909
ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 23:06:28 ]: ミドルクラスPC + NIC二枚挿し + OpenBSD で「見えない高速firewall」とか。
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 23:54:07 ]: アッタック
913 名前：名無しさん＠お腹いっぱい。 [2006/03/16(木) 04:18:46 ]: >>912
汚れが落ちる。
914 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/16(木) 13:39:42 ]: アタタック
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/16(木) 14:18:41 ]: こっちのアタックは服の汚れを落とす
ttp://www.kao.co.jp/attack/
こっちのアタックはエンジンの汚れを落とす
ttp://web.kyoto-inet.or.jp/people/macchann/hiroshi/X1.html
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/16(木) 18:32:46 ]: （´・ω・）
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/17(金) 10:35:52 ]: 使える科技庁は国によって違うのですか？
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/18(土) 21:21:50 ]: >>917
国によって組織の形態や名称が違うのは間違いありません。
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/19(日) 02:50:15 ]: >>194-
あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます？

読んでて思ったんですが、
１．ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
２．クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
３．鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればＯＫ。
みたいな流れではだめ？

ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。

ソースや仕様を嫁と言われそうですが．．．
920 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/19(日) 08:09:21 ]: ソースや仕様を嫁
921 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 09:01:25 ]: 2GB以上のファイルをscpで転送する方法はないのでしょうか？
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 09:42:09 ]: >>921
アップロード:
ssh remote 'cat > file' < file

ダウンロード:
ssh remote cat file > file

でいいのでは?
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 10:15:44 ]: >>921
scp でできなかったっけ
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 13:01:12 ]: 2GB以上のファイルの扱いはOSに依存するから。
925 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 13:04:46 ]: >>924
ファイルシステムじゃないの？
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 13:50:57 ]: なんかその辺に依存するから。
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 15:25:51 ]: 「環境に依存する」でいいじゃんｗ
928 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 17:07:57 ]: scpでFC5のDVDファイルを転送したところ、ちょうど2048kBで止まってしまいました。
結局wgetで取得したのですが。
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 17:10:01 ]: >>928
たった2048kBで止まったのなら、ネットワークの断線とか、他の原因と思われ。
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 20:47:47 ]: >>402
私もそれが発生してました。(Windows XP SP2+Athlon 64)
DEPの無視対象にWinSCP3.exeを入れたら直ったみたです。
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 20:52:26 ]: >>921-928
いや、2Gってintがオーバーフローするのでそれをきちんと考慮してないソフトがへくる
というのは結構ある。　家にビデオサーバーを設定して２Gを超えるファイルが普通の
環境で色々やったらサーバ(Debian 3.0)、クライアント(Win)側で色々問題が
あった。　例えばapache 1.4が２G以上のファイルを上げることが出来ないとか
IE, Firefox内蔵のFTPクライアントがだめだとか。　（WinのコマンドラインのFTPは
okだった）。　

だからこれはscpの実装の問題である可能性大。
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 20:56:15 ]: ヒント: 2048kB = 2MB
933 名前：931 mailto:sage [2006/03/22(水) 22:57:08 ]: >>932
>>921=928 だと思うけど最初に２GBって言ったから >>928の2048kbは2048MBの
間違いと思われ。
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 23:11:31 ]: 思い込みで答えちゃいけないよ。
935 名前：923 mailto:sage [2006/03/23(木) 03:01:42 ]: >>931
実際試すとうまくいくんだよ。環境は Debian GNU/Linux 3.1, ext3fs
$ dd of=vip seek=8192 bs=1048576 count=0
読み込んだブロック数は 0+0
書き込んだブロック数は 0+0
0 bytes transferred in 0.000629 seconds (0 bytes/sec)
$ ls -l vip
-rw-r--r-- 1 hoge hoge 8589934592 2006-03-23 02:52 vip
$ scp vip remote:/tmp
vip 100% 8192MB 26.7MB/s 05:07
$ ssh remote ls -l /tmp/vip
-rw-r--r-- 1 hoge hoge 8589934592 Mar 23 02:57 /tmp/vip
936 名前：931 mailto:sage [2006/03/23(木) 04:46:31 ]: >>935
いや、だからそれはちゃんと対処したバージョンのscpだからであり、>>921が使ったバージョンが対処してない
実装なんじゃない?　statの代わりにstat64を使うとか、２G以上のファイルを扱うにはわざわざしなければ
ならないことがあるんだから。
937 名前：923 mailto:sage [2006/03/23(木) 11:54:13 ]: >>936
ソース見ればわかるが _FILE_OFFSET_BITS, _LARGE_FILES などを定義するだ
けだよ。OpenSSH であれば、対応したのはかなり前の話。ChangeLog に以下の
ように書かれてる。
20010925
- (djm) Add AC_SYS_LARGEFILE configure test
19991111
- Fix integer overflow which was messing up scp's progress bar for large
file transfers. Fix submitted to OpenBSD developers. Report and fix
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 19:16:08 ]: おれはとりあえず rsync 使うよ。中断しても損した気分にならないし。
939 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/03/26(日) 23:34:58 ]: Winscp3で質問があります。
サーバ側がcygwinでsshしてるですが、
winscpでサーバにアクセスすると、rootがcygwinを
インストールしたディレクトリ、D:\cygwinの下なんですが、
アクセスしたい場所が、Dドラ直下にあるんです。
表示されているrootから、ひとつディレクトリをあげるって
できるんでしょうか？
940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/26(日) 23:43:47 ]: cygwinの問題だろ
941 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/27(月) 00:36:45 ]: >>939
cd /cygdrive/d
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/27(月) 09:28:54 ]: BUGTRAQにTheo様降臨。
943 名前：939 mailto:sage [2006/03/28(火) 00:05:29 ]: >>941
おおぉ、うまくいきそうな予感。
やってみます。
ありがとうございます。
944 名前：939 mailto:sage [2006/03/28(火) 22:36:11 ]: そして、うまく行きました。
ありがとうございました。
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/30(木) 23:30:43 ]: 特定のユーザについて scp と sftp は禁止するってことは可能でしょうか
ポートフォワーディングの禁止は authorized_keys と no-port-forwarding と書くと
実現できるみたいですが scp と sftp も使えなくする方法ってありますか
946 名前：945 mailto:sage [2006/03/30(木) 23:54:47 ]: 自己レス
rssh にして許可しなければ良さそうです
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/31(金) 21:00:58 ]: sshコンソールが実用的に使えるモバイル機器で今のところ最小なのは何？
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/31(金) 21:40:37 ]: >>947
i MODE
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 19:45:49 ]: >>947
W-ZERO3でも使えるよな（最小じゃないだろうけど）
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 21:35:42 ]: iモードは実用的に使うにはちと辛いような
やっぱフルキーボードはほしいところ
951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 22:01:30 ]: SLA300
952 名前：名無しさん＠お腹いっぱい。 [2006/04/02(日) 22:12:54 ]: 遠隔地のPCにsshでログインしてちょっと放置しているとセッションが切れてしまうんだけど、
これってどこかでタイムアウトの設定できるんですか？

別にセッション切れるのはかまわないんだけど、クライアント側が固まっちゃってサーバ側では
死んだプロセスが残っているのでいちいち消して回らないといけなくて面倒です。・゜・(ノ∀`)・゜・。
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 22:16:34 ]: >>952
keepalives
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 22:28:38 ]: keepaliveはデフォでyesだと思ってたら、intervalの設定しないと生きないんですね・・・
ちょっといま実験中。３，４０分くらいしたら結果書きますね。
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 23:03:22 ]: みごと死ななくなりました。ありがとうございました。
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 23:45:16 ]: スレ的にはkeepaliveで正解かもだけど、この場合先にscreenだろ？
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/03(月) 18:32:17 ]: ssh_configのTCPKeepAliveとServerAliveIntervalは全然別物じゃないか？

前者はカーネルのTCP/IPレベルでのkeepaliveを使うかどうかで、
後者はSSHレベルでkeepaliveパケットを投げるかどうかだと思ったが。

TCP/IPのkeepalive送信間隔はデフォルトだと2時間とかなので、
ルータが通信のないコネクションを調べて切る間隔より長いから
yesでも切れてたんだろうな。

>>956
だな。
958 名前：名無しさん＠お腹いっぱい。 [2006/04/06(木) 11:05:58 ]: TeraTerm(SSH2、UTF-8対応版)
って、このタイプの秘密鍵に対応していないの？

"read error SSH2 private key file"
って出てしまう。
puttyやUNIXのssh -iでは問題なし。

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A1 (略)

-----END RSA PRIVATE KEY-----
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/06(木) 13:06:52 ]: >>958
TeraTerm で RSA の鍵を作るとそのタイプの鍵だよ。
ssh-keygen -t rsa で作っても同じ。
手元で最新版(4.34)を使ってみたけど大丈夫だったよ。
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/06(木) 16:55:18 ]: サーバ側がFC5のOpnSSHでクライアント側がWindowsの商用SSHのフリー版なのですが、
パスワードなしでログインできるようにできますか？
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/06(木) 21:40:23 ]: >>960
Active Directoryを構築してKerberos認証すればよし。
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 10:38:42 ]: sftpで日本語は使えないのですか？
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 11:43:44 ]: >>962
使えるよ。(確認済み)
964 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 11:53:53 ]: >>962
どういう意味で？
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 11:59:04 ]: 少なくともプロトコルの問題ではない。
クライアントとサーバのプログラムの処理及びファイルシステムのロケールに
よって使えたり使えなかったり。サーバ側が原因で使えないことはまれだと思う。
ファイル名のエンコーディングを変換できないクライアントの場合、
日本語ファイル名を扱える可能性はだいぶ低くなる(サーバとクライアントの
文字コードが一致している場合のみ)。そもそも8ビット通さないクライアントも
珍しくない。

要するに文字コード変換できるクライアント使えということだ。
966 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 13:54:25 ]: HostbasedAuthenticationってどうしてそれほど安全じゃないのですか？
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 05:59:20 ]: まずrloginとかrshが安全だと思える環境かどうか答えてちょ
968 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/15(土) 11:08:45 ]: DSA の公開鍵を設定すべきところを RSA 用の公開鍵を設置してログインできない場合、
どういう風にエラーとして表示されますか？
969 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/15(土) 11:53:44 ]: やってみれば?
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 04:40:45 ]: LAN側からとWAN側からでopensshの設定切り替えることってできますか？
できれば待ち受けポートは変更したくないです。
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 07:26:41 ]: >>970
ListenAddress?
972 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 12:18:35 ]: 質問っす。
Windows SSHクライアントでターミナル接続：Poderosa、
ファイル転送にWinSCPを使ってるいるのですが、
フォーマットちゃうから同じ秘密鍵ファイルを2種類もってないといけない。

1個にならないものですか？
PuTTY+WinSCPがお勧めなのでしょうか？

Poderosaでてるスレがなかったので、スレ違いでしたらすいません。
973 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 19:22:15 ]: teraterm_utf8 434
にて、sshで接続すると

Unexpected SSH2 message(1) on current stage(2)
Server disconnected with message 'Protocol error: expected packet type 30, got 34'.

と出るサーバがあるのですが
原因が、わかりません

ttp://nanno.dip.jp/softlib/man/rlogin/
こちらのソフトでは、なんとか接続できるんですが

何か、参考になることはないでしょうか？
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 23:02:04 ]: >>970
tcpserverで待ち受けて切り替えたら？
975 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 00:36:24 ]: 　ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
なんですか？

　悪意あるユーザがクライアントとしてホスト公開鍵を入手し、その鍵を偽装鯖で使う
ことができてしまうのではと、ふと疑問が出たものですから。

　そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
成り立っているものと私の中では認識しているのですが、ＦＡＱや日本語訳man
にもそれらしき記述がなくて、ず～～～～～～っと悩んでいます。ちょこっとでも
ホスト認証時にホスト秘密鍵が使われるんだよ～って記述があればすっきりする
んです。

　それともホスト認証においてセキュアな部分はホスト公開鍵の管理に依存している
ということなのでしょうか？ホスト公開鍵の配布はofflineじゃなくてもできるのに？

詳しい方、ご教示お願いしまするう
976 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 01:15:34 ]: >>975
> 　ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
> 鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
> なんですか？

んなこたない。

> 　そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> 成り立っているものと私の中では認識しているのですが、ＦＡＱや日本語訳man
> にもそれらしき記述がなくて、ず～～～～～～っと悩んでいます。ちょこっとでも
> ホスト認証時にホスト秘密鍵が使われるんだよ～って記述があればすっきりする
> んです。

man ssh-keysign
www.ietf.org/rfc/rfc4252.txt
977 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 09:20:44 ]: >>973
クライアント：UTF-8 TeraTerm Pro with TTSSH2 （sourceforge.jp/projects/ttssh2/）
サーバ：
　OS＝？
　sshd＝？（商用SSH、OpenSSH、その他いろいろあるが、どれだ？）

サーバ側でOpenSSHを動かしているのなら、「# sshd -vvv」で詳しく調べること
ですな。ちなみに、
　'Protocol error: expected packet type 30, got 34'
は、OpenSSH-4.3p2の場合、openssh-4.3p2/packet.cのpacket_read_expect()が
出しているみたい。
978 名前：977 mailto:sage [2006/04/19(水) 09:31:33 ]: 引き続き、サーバ側がOpenSSHであると仮定して考えてみた。

・"SSH2_"で始まるマクロのうち、30または34と定義されているものを調べてみた。
・乱暴だが、全部の.hファイルから30または34を含む行を探した。

後者でも以外に効果があった。注目すべきは openssh-4.3p2/ssh2.h だろうか。

ということで、クライアントとサーバで鍵の形式が違うのが原因ではないかと「推
測した」。

以上、チラシの裏（ｗ

>>973は、サーバに関する情報だけでなく、どの認証方法でログインしようとした
のかも書いた方がいいな。
979 名前：名無しさん＠お腹いっぱい。 [2006/04/19(水) 09:47:51 ]: レスありがとうございます。

> > 　そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> > 成り立っているものと私の中では認識しているのですが、ＦＡＱや日本語訳man
> > にもそれらしき記述がなくて、ず～～～～～～っと悩んでいます。ちょこっとでも
> > ホスト認証時にホスト秘密鍵が使われるんだよ～って記述があればすっきりする
> > んです。
>
> man ssh-keysign
> www.ietf.org/rfc/rfc4252.txt

これはホスト認証・共通鍵生成したあとのユーザ認証のフェーズになっているような気がします。そういう仕様なんだからそうなんでしょうね・・・。

うみゅう、私の質問の仕方が悪かったです。

SSH接続(Protocol 2)のホスト認証の時点で、ホスト鍵ペア（ホスト秘密鍵・ホスト公開鍵）が「公開暗号方式」として機能しているのか知りたかったのです。

ベタな平文を自己証明だとかクライアントに送られてきて、「これを信用しなさい」と言われても、信用する根拠がないように思えてしょうがないのです。

ホスト認証の時点でホスト秘密鍵は登場してこないのでしょうか？鍵交換のところ（DH鍵交換）でホスト秘密鍵が使われてるような気がしてきました。

--- モーソウ
S：これ、俺の証明書だけどいい？
C：じゃあ、君が送ってくれたホスト公開鍵で暗号化したもの送り返すから、
それをホスト秘密鍵で複合化して返してよ～。それが正しかったら信用してあげる。
S：ほいほい、これね～。複合化したけど、これ当たってる？
C： OK～、君を信じるよ♪
---
980 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 10:20:51 ]: >>979

www.scl.kyoto-u.ac.jp/scl/usage/SSH/abst.html
981 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 10:24:03 ]: >>979

ＰＧＰの仕組みを勉強してみろ
982 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 10:27:05 ]: PGP は関係ないだろ。
983 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 10:28:21 ]: >>970
↓tcpserver使って切り替えてるやり方
ttp://www.hrt.dis.titech.ac.jp/~sera/FreeBSD/openssh/sshd.htm
>>971
ListenAddressでクライアントごとに挙動（設定）変えれたっけ？（許可／拒否をするものだと思ってたけど）
984 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 10:41:09 ]: >>983
いや、
ListenAddress 変えて sshd を2つ起動すればいいかな、
と思ったんだけど。
985 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 10:41:24 ]: >>975=>>979
以下のどちらかの本、読んでみた？もしまだなら、読んでみるといいと思う。
　・OpenSSH セキュリティ管理ガイド
　　www.unixuser.org/~haruyama/security/openssh/support/
　・入門SSH
　　www.unixuser.org/~haruyama/security/openssh/asciissh/

前者は絶版になってしまっているけど、私はこの本を読んで勉強したので（大変分
かりやすかったんですよ）。後者は、前者の「後継」ってカンジ。著者は同じです
ので、読む価値はあると私は思います。

>>980
お、なんだか (∀)ｲｲ!
986 名前：975 [2006/04/19(水) 11:10:46 ]: >979
大感謝です！これで納得いきました^^ 貴重な情報ありがとうございました。

>981
頑張ってPGPも勉強してみます。自己証明という観点でいえば知っておきたいところですし、感謝です。

>985
情報ありがとうございます。お財布と相談して、amazon.comに見に行ってきますー
987 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 11:12:53 ]: >>982
あほですか？

PGPの認証方式はＳＳＨにも流用できる考えがありますよ
PGPそのものを使い方をいっているわけではないでしょが
988 名前：975 [2006/04/19(水) 11:12:55 ]: >>979
>大感謝です！これで納得いきました^^ 貴重な情報ありがとうございました。
みすった、てめえの発言に感謝してどーすんだーー；

>980
大感謝です！これで納得いきました^^ 貴重な情報ありがとうございました。
989 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 17:07:27 ]: > >980
> 大感謝です！これで納得いきました^^ 貴重な情報ありがとうございました。

まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
スト認証の説明、ほとんど間違いだから。

SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
を送ってクライアントに検証させることで直接的に確認してるって
のが正解。
990 名前：名無しさん＠お腹いっぱい。 [2006/04/19(水) 17:21:03 ]: >>989
> まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
> スト認証の説明、ほとんど間違いだから。

自分も後から、ご指摘の記述部分でDH鍵交換方式に触れていないところが
怪しくなって、調べてみました。

>
> SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
> 送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
> を送ってクライアントに検証させることで直接的に確認してるって
> のが正解。

ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
の記述を発見して、仰せの通りだと理解しました。

ご指摘ありがとうございました。（感謝
991 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 18:00:29 ]: >>990
> ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
> の記述を発見して、

うん、こっちの方は user 認証のところに若干難がある (SSH1 のみ
の説明だし、SSH1 だとしても微妙なところが抜けてる) 他はちゃん
と書けてる感じっすね。
992 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 18:14:16 ]: >>978
ありがとうございます。
OpenSSHです。
sshd version OpenSSH_2.5.2p2

どのような認証方法で、
以前の
・プレイインテキストを使う
・RSA/DSA鍵を使う
・チャレンジレスポンス認証を使う
などの画面が出るときに、落ちちゃうというか
そのエラーが出るんです。
993 名前：976 mailto:sage [2006/04/20(木) 01:03:01 ]: >>975
すまん、HostbasedAuthenticationのことと勘違いしてた。
994 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:10:55 ]: そろそろやばそうなので、とりあえず次スレ立てました。
pc8.2ch.net/test/read.cgi/unix/1145484540/
995 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 12:42:45 ]: >>994 乙彼
996 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 13:02:21 ]: じゃあ１つ埋め
997 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 15:25:41 ]: 10010gewt
998 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 16:23:45 ]: 192.168.65.254
999 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 16:29:57 ]: 俺のIP勝手に使うな
1000 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 16:39:05 ]: 127.255.255.254
1001 名前：１００１ [Over 1000 Thread]: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef