SSH その4

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 255 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その4

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/05 19:35:08]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
　　春山さんのとこ→ www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
　Part3：pc5.2ch.net/test/read.cgi/unix/1058202104/
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 06:30:17 ]: ハックられた?
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 09:52:43 ]: >873-874
>貝が無残にも砕かれた。
>共有ライブラリがぶっ飛んだ。
これってクラッキング以外に原因考えるとしたら、hddのread write不良とか？
いずれにしても穏やかでないなぁ。
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 15:29:16 ]: OpenSSHでクラッカー対策にグリーティングメッセージの
「SSH-1.99-OpenSSH_3.8.1p1」みたいなのを隠したいんですが、
これってソースから直さなければならないんでしょうか？
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/04(土) 15:37:05 ]: 隠しても対策にならんよ。
881 名前：名無しさん@お腹いっぱい mailto:sage [2006/03/04(土) 18:20:49 ]: >879
とりあえず最新使っとけば?
>510-513みたいに
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/07(火) 15:40:06 ]: うむ。対策には成らんね。
とにかく22に繋いで試すって攻撃だし。いちいちバージョンチェックなんてしてない。

sshdがあぼーんしたときの裏口作りは重要。
% sudo /etc/rc.d/sshd restartして止めさしちゃう事も有る。
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/07(火) 23:28:58 ]: だぁね。
まぁせいぜい出来るのは、sshd_configの設定をぬかり無くする事と
Listen Portをｳｪﾙﾉｳﾝなポート使わないとか、そぎゃんところですか。
884 名前：名無しさん＠お腹いっぱい。 [2006/03/08(水) 04:02:52 ]: 普通に、daemontools ですよ。
tcpserver で接続管理して接続できるIPアドレスを
限ればいい。
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/08(水) 04:17:06 ]: djb儲はdjbsshでも使ってろ
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/08(水) 09:46:31 ]: >>884
わざわざそんなん通さなくても libwrap でいいじゃん。
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/09(木) 04:29:50 ]: マエノ方面の香具師か。。。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 01:14:41 ]: 信者ってどこにでも居るね。
qmail/djbdnsの話題をされるとは思わなかった。ウゼー！
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 01:24:24 ]: 普通にビルドしたらlibwrap使えるんだし、ネタにしかみえん。
890 名前：名無しさん＠お腹いっぱい。 [2006/03/10(金) 12:38:42 ]: >>886
cr.yp.to/qmail/venema.html
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 12:57:59 ]: >>890
それが何?
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 13:36:37 ]: 信者は怖いね。
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/10(金) 22:00:05 ]: OpenBSD + OpenSSH + djbdns + qmail + OpenNTPD。これ最強。
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/11(土) 00:42:17 ]: さすがにウェブサーバーは入れないかｗｗ
895 名前：名無しさん＠お腹いっぱい。 [2006/03/11(土) 03:17:56 ]: fnordとかいれてたりして。
節操無さ過ぎｗｗｗ
896 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 12:17:41 ]: いろいろなユーザー名でログインを試みようとした形跡があるのですが、
このようなアタックを防ぐにはどうしたらよいのでしょうか？
同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか？
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 12:20:44 ]: >>896
libwrap や FW などで
必要なとこ以外からのアクセスは禁止するようにする。

根本的解決ではないが
別ポートで sshd を上げると軽減するという話もある。
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 12:24:47 ]: >>896
897の大作に加えて、sshd_configでログイン出来るユーザを制限しておく。
パスワード認証を許可しない。
信用出来ないユーザにシェルアカウントを与えない。

＞同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか？
俺はdenyhostsを使っている。
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/12(日) 21:18:20 ]: 犬糞ならiptablesのburst機能使えば近いことはできる。
他のOSでも同様のことができるんじゃないかな。
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 00:51:31 ]: >>896
ttp://www.musicae.ath.cx/diary/?200506c&to=200506272#200506272
我が家ではここの設定をそのまま使用してる。
パスワード認証も切ってるけど。
901 名前：900 mailto:sage [2006/03/13(月) 01:21:19 ]: 認証成功でもカウントされちゃうけどね。
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 09:44:03 ]: >>896
前にここにも書いたけど、うちにもすげー来る。
オレはswatchでlogを監視してhosts.denyに追加するようにしてるよ。
903 名前： ◆TWARamEjuA mailto:sage [2006/03/13(月) 22:17:19 BE:3485748-#]: やっぱりログ監視だよなぁ。。。

今度の休みにやろっと。
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 22:40:56 ]: ログの監視もいいが、必要なところ以外からの接続は拒否した方がいいと思う。
sshdにアクセスされている時は、外向きのアクセスが不安定になっている気が
する。ルーターがヘタレなせいかもしれないが。
905 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/13(月) 23:21:49 ]: もう>>896氏は見ているかもしれないですが…、

>>896
www.koka-in.org/~haruyama/ssh_koka-in_org/200/250.html
以降のスレッドを見るﾖﾛｼ。
www.koka-in.org/~haruyama/ssh_koka-in_org/200/251.html
とかね。
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 20:35:23 ]: きてるきてる
203.241.56.142から5回ずつ朝鮮。
907 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 20:39:00 ]: >>904
不安定にみえるのは、機器やネットの処理能力をアタックに食われているだけかも。
908 名前：名無しさん@お腹いっぱい mailto:sage [2006/03/15(水) 21:03:44 ]: 俺もそう思う。
前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。
909 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 22:26:27 ]: >>907-908
特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。
910 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 22:46:33 ]: >>909
ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 23:06:28 ]: ミドルクラスPC + NIC二枚挿し + OpenBSD で「見えない高速firewall」とか。
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/15(水) 23:54:07 ]: アッタック
913 名前：名無しさん＠お腹いっぱい。 [2006/03/16(木) 04:18:46 ]: >>912
汚れが落ちる。
914 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/16(木) 13:39:42 ]: アタタック
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/16(木) 14:18:41 ]: こっちのアタックは服の汚れを落とす
ttp://www.kao.co.jp/attack/
こっちのアタックはエンジンの汚れを落とす
ttp://web.kyoto-inet.or.jp/people/macchann/hiroshi/X1.html
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/16(木) 18:32:46 ]: （´・ω・）
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/17(金) 10:35:52 ]: 使える科技庁は国によって違うのですか？
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/18(土) 21:21:50 ]: >>917
国によって組織の形態や名称が違うのは間違いありません。
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/19(日) 02:50:15 ]: >>194-
あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます？

読んでて思ったんですが、
１．ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
２．クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
３．鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればＯＫ。
みたいな流れではだめ？

ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。

ソースや仕様を嫁と言われそうですが．．．
920 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/19(日) 08:09:21 ]: ソースや仕様を嫁
921 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 09:01:25 ]: 2GB以上のファイルをscpで転送する方法はないのでしょうか？
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 09:42:09 ]: >>921
アップロード:
ssh remote 'cat > file' < file

ダウンロード:
ssh remote cat file > file

でいいのでは?
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 10:15:44 ]: >>921
scp でできなかったっけ
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 13:01:12 ]: 2GB以上のファイルの扱いはOSに依存するから。
925 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 13:04:46 ]: >>924
ファイルシステムじゃないの？
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 13:50:57 ]: なんかその辺に依存するから。
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 15:25:51 ]: 「環境に依存する」でいいじゃんｗ
928 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 17:07:57 ]: scpでFC5のDVDファイルを転送したところ、ちょうど2048kBで止まってしまいました。
結局wgetで取得したのですが。
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 17:10:01 ]: >>928
たった2048kBで止まったのなら、ネットワークの断線とか、他の原因と思われ。
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 20:47:47 ]: >>402
私もそれが発生してました。(Windows XP SP2+Athlon 64)
DEPの無視対象にWinSCP3.exeを入れたら直ったみたです。
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 20:52:26 ]: >>921-928
いや、2Gってintがオーバーフローするのでそれをきちんと考慮してないソフトがへくる
というのは結構ある。　家にビデオサーバーを設定して２Gを超えるファイルが普通の
環境で色々やったらサーバ(Debian 3.0)、クライアント(Win)側で色々問題が
あった。　例えばapache 1.4が２G以上のファイルを上げることが出来ないとか
IE, Firefox内蔵のFTPクライアントがだめだとか。　（WinのコマンドラインのFTPは
okだった）。　

だからこれはscpの実装の問題である可能性大。
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 20:56:15 ]: ヒント: 2048kB = 2MB
933 名前：931 mailto:sage [2006/03/22(水) 22:57:08 ]: >>932
>>921=928 だと思うけど最初に２GBって言ったから >>928の2048kbは2048MBの
間違いと思われ。
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/22(水) 23:11:31 ]: 思い込みで答えちゃいけないよ。
935 名前：923 mailto:sage [2006/03/23(木) 03:01:42 ]: >>931
実際試すとうまくいくんだよ。環境は Debian GNU/Linux 3.1, ext3fs
$ dd of=vip seek=8192 bs=1048576 count=0
読み込んだブロック数は 0+0
書き込んだブロック数は 0+0
0 bytes transferred in 0.000629 seconds (0 bytes/sec)
$ ls -l vip
-rw-r--r-- 1 hoge hoge 8589934592 2006-03-23 02:52 vip
$ scp vip remote:/tmp
vip 100% 8192MB 26.7MB/s 05:07
$ ssh remote ls -l /tmp/vip
-rw-r--r-- 1 hoge hoge 8589934592 Mar 23 02:57 /tmp/vip
936 名前：931 mailto:sage [2006/03/23(木) 04:46:31 ]: >>935
いや、だからそれはちゃんと対処したバージョンのscpだからであり、>>921が使ったバージョンが対処してない
実装なんじゃない?　statの代わりにstat64を使うとか、２G以上のファイルを扱うにはわざわざしなければ
ならないことがあるんだから。
937 名前：923 mailto:sage [2006/03/23(木) 11:54:13 ]: >>936
ソース見ればわかるが _FILE_OFFSET_BITS, _LARGE_FILES などを定義するだ
けだよ。OpenSSH であれば、対応したのはかなり前の話。ChangeLog に以下の
ように書かれてる。
20010925
- (djm) Add AC_SYS_LARGEFILE configure test
19991111
- Fix integer overflow which was messing up scp's progress bar for large
file transfers. Fix submitted to OpenBSD developers. Report and fix
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/24(金) 19:16:08 ]: おれはとりあえず rsync 使うよ。中断しても損した気分にならないし。
939 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/03/26(日) 23:34:58 ]: Winscp3で質問があります。
サーバ側がcygwinでsshしてるですが、
winscpでサーバにアクセスすると、rootがcygwinを
インストールしたディレクトリ、D:\cygwinの下なんですが、
アクセスしたい場所が、Dドラ直下にあるんです。
表示されているrootから、ひとつディレクトリをあげるって
できるんでしょうか？
940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/26(日) 23:43:47 ]: cygwinの問題だろ
941 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/27(月) 00:36:45 ]: >>939
cd /cygdrive/d
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/27(月) 09:28:54 ]: BUGTRAQにTheo様降臨。
943 名前：939 mailto:sage [2006/03/28(火) 00:05:29 ]: >>941
おおぉ、うまくいきそうな予感。
やってみます。
ありがとうございます。
944 名前：939 mailto:sage [2006/03/28(火) 22:36:11 ]: そして、うまく行きました。
ありがとうございました。
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/30(木) 23:30:43 ]: 特定のユーザについて scp と sftp は禁止するってことは可能でしょうか
ポートフォワーディングの禁止は authorized_keys と no-port-forwarding と書くと
実現できるみたいですが scp と sftp も使えなくする方法ってありますか
946 名前：945 mailto:sage [2006/03/30(木) 23:54:47 ]: 自己レス
rssh にして許可しなければ良さそうです
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/31(金) 21:00:58 ]: sshコンソールが実用的に使えるモバイル機器で今のところ最小なのは何？
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/31(金) 21:40:37 ]: >>947
i MODE
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 19:45:49 ]: >>947
W-ZERO3でも使えるよな（最小じゃないだろうけど）
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 21:35:42 ]: iモードは実用的に使うにはちと辛いような
やっぱフルキーボードはほしいところ
951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 22:01:30 ]: SLA300
952 名前：名無しさん＠お腹いっぱい。 [2006/04/02(日) 22:12:54 ]: 遠隔地のPCにsshでログインしてちょっと放置しているとセッションが切れてしまうんだけど、
これってどこかでタイムアウトの設定できるんですか？

別にセッション切れるのはかまわないんだけど、クライアント側が固まっちゃってサーバ側では
死んだプロセスが残っているのでいちいち消して回らないといけなくて面倒です。・゜・(ノ∀`)・゜・。
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 22:16:34 ]: >>952
keepalives
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 22:28:38 ]: keepaliveはデフォでyesだと思ってたら、intervalの設定しないと生きないんですね・・・
ちょっといま実験中。３，４０分くらいしたら結果書きますね。
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 23:03:22 ]: みごと死ななくなりました。ありがとうございました。
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/02(日) 23:45:16 ]: スレ的にはkeepaliveで正解かもだけど、この場合先にscreenだろ？
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/03(月) 18:32:17 ]: ssh_configのTCPKeepAliveとServerAliveIntervalは全然別物じゃないか？

前者はカーネルのTCP/IPレベルでのkeepaliveを使うかどうかで、
後者はSSHレベルでkeepaliveパケットを投げるかどうかだと思ったが。

TCP/IPのkeepalive送信間隔はデフォルトだと2時間とかなので、
ルータが通信のないコネクションを調べて切る間隔より長いから
yesでも切れてたんだろうな。

>>956
だな。
958 名前：名無しさん＠お腹いっぱい。 [2006/04/06(木) 11:05:58 ]: TeraTerm(SSH2、UTF-8対応版)
って、このタイプの秘密鍵に対応していないの？

"read error SSH2 private key file"
って出てしまう。
puttyやUNIXのssh -iでは問題なし。

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A1 (略)

-----END RSA PRIVATE KEY-----
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/06(木) 13:06:52 ]: >>958
TeraTerm で RSA の鍵を作るとそのタイプの鍵だよ。
ssh-keygen -t rsa で作っても同じ。
手元で最新版(4.34)を使ってみたけど大丈夫だったよ。
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/06(木) 16:55:18 ]: サーバ側がFC5のOpnSSHでクライアント側がWindowsの商用SSHのフリー版なのですが、
パスワードなしでログインできるようにできますか？
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/06(木) 21:40:23 ]: >>960
Active Directoryを構築してKerberos認証すればよし。
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 10:38:42 ]: sftpで日本語は使えないのですか？
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 11:43:44 ]: >>962
使えるよ。(確認済み)
964 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 11:53:53 ]: >>962
どういう意味で？
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 11:59:04 ]: 少なくともプロトコルの問題ではない。
クライアントとサーバのプログラムの処理及びファイルシステムのロケールに
よって使えたり使えなかったり。サーバ側が原因で使えないことはまれだと思う。
ファイル名のエンコーディングを変換できないクライアントの場合、
日本語ファイル名を扱える可能性はだいぶ低くなる(サーバとクライアントの
文字コードが一致している場合のみ)。そもそも8ビット通さないクライアントも
珍しくない。

要するに文字コード変換できるクライアント使えということだ。
966 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/07(金) 13:54:25 ]: HostbasedAuthenticationってどうしてそれほど安全じゃないのですか？
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/09(日) 05:59:20 ]: まずrloginとかrshが安全だと思える環境かどうか答えてちょ
968 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/15(土) 11:08:45 ]: DSA の公開鍵を設定すべきところを RSA 用の公開鍵を設置してログインできない場合、
どういう風にエラーとして表示されますか？
969 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/15(土) 11:53:44 ]: やってみれば?
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 04:40:45 ]: LAN側からとWAN側からでopensshの設定切り替えることってできますか？
できれば待ち受けポートは変更したくないです。
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 07:26:41 ]: >>970
ListenAddress?
972 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 12:18:35 ]: 質問っす。
Windows SSHクライアントでターミナル接続：Poderosa、
ファイル転送にWinSCPを使ってるいるのですが、
フォーマットちゃうから同じ秘密鍵ファイルを2種類もってないといけない。

1個にならないものですか？
PuTTY+WinSCPがお勧めなのでしょうか？

Poderosaでてるスレがなかったので、スレ違いでしたらすいません。
973 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 19:22:15 ]: teraterm_utf8 434
にて、sshで接続すると

Unexpected SSH2 message(1) on current stage(2)
Server disconnected with message 'Protocol error: expected packet type 30, got 34'.

と出るサーバがあるのですが
原因が、わかりません

ttp://nanno.dip.jp/softlib/man/rlogin/
こちらのソフトでは、なんとか接続できるんですが

何か、参考になることはないでしょうか？
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/17(月) 23:02:04 ]: >>970
tcpserverで待ち受けて切り替えたら？
975 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 00:36:24 ]: 　ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
なんですか？

　悪意あるユーザがクライアントとしてホスト公開鍵を入手し、その鍵を偽装鯖で使う
ことができてしまうのではと、ふと疑問が出たものですから。

　そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
成り立っているものと私の中では認識しているのですが、ＦＡＱや日本語訳man
にもそれらしき記述がなくて、ず～～～～～～っと悩んでいます。ちょこっとでも
ホスト認証時にホスト秘密鍵が使われるんだよ～って記述があればすっきりする
んです。

　それともホスト認証においてセキュアな部分はホスト公開鍵の管理に依存している
ということなのでしょうか？ホスト公開鍵の配布はofflineじゃなくてもできるのに？

詳しい方、ご教示お願いしまするう
976 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 01:15:34 ]: >>975
> 　ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
> 鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
> なんですか？

んなこたない。

> 　そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> 成り立っているものと私の中では認識しているのですが、ＦＡＱや日本語訳man
> にもそれらしき記述がなくて、ず～～～～～～っと悩んでいます。ちょこっとでも
> ホスト認証時にホスト秘密鍵が使われるんだよ～って記述があればすっきりする
> んです。

man ssh-keysign
www.ietf.org/rfc/rfc4252.txt
977 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 09:20:44 ]: >>973
クライアント：UTF-8 TeraTerm Pro with TTSSH2 （sourceforge.jp/projects/ttssh2/）
サーバ：
　OS＝？
　sshd＝？（商用SSH、OpenSSH、その他いろいろあるが、どれだ？）

サーバ側でOpenSSHを動かしているのなら、「# sshd -vvv」で詳しく調べること
ですな。ちなみに、
　'Protocol error: expected packet type 30, got 34'
は、OpenSSH-4.3p2の場合、openssh-4.3p2/packet.cのpacket_read_expect()が
出しているみたい。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef