- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [04/12/05 19:35:08]
- SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:pc.2ch.net/unix/kako/976/976497035.html
Part2:pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
春山さんのとこ→ www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
Part3:pc5.2ch.net/test/read.cgi/unix/1058202104/
- 973 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/17(月) 19:22:15 ]
- teraterm_utf8 434
にて、sshで接続すると
Unexpected SSH2 message(1) on current stage(2)
Server disconnected with message 'Protocol error: expected packet type 30, got 34'.
と出るサーバがあるのですが
原因が、わかりません
ttp://nanno.dip.jp/softlib/man/rlogin/
こちらのソフトでは、なんとか接続できるんですが
何か、参考になることはないでしょうか?
- 974 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/17(月) 23:02:04 ]
- >>970
tcpserverで待ち受けて切り替えたら?
- 975 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 00:36:24 ]
- ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
なんですか?
悪意あるユーザがクライアントとしてホスト公開鍵を入手し、その鍵を偽装鯖で使う
ことができてしまうのではと、ふと疑問が出たものですから。
そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
んです。
それともホスト認証においてセキュアな部分はホスト公開鍵の管理に依存している
ということなのでしょうか?ホスト公開鍵の配布はofflineじゃなくてもできるのに?
詳しい方、ご教示お願いしまするう
- 976 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 01:15:34 ]
- >>975
> ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
> 鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
> なんですか?
んなこたない。
> そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
> ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
> んです。
man ssh-keysign
www.ietf.org/rfc/rfc4252.txt
- 977 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 09:20:44 ]
- >>973
クライアント:UTF-8 TeraTerm Pro with TTSSH2 (sourceforge.jp/projects/ttssh2/)
サーバ:
OS=?
sshd=?(商用SSH、OpenSSH、その他いろいろあるが、どれだ?)
サーバ側でOpenSSHを動かしているのなら、「# sshd -vvv」で詳しく調べること
ですな。ちなみに、
'Protocol error: expected packet type 30, got 34'
は、OpenSSH-4.3p2の場合、openssh-4.3p2/packet.cのpacket_read_expect()が
出しているみたい。
- 978 名前:977 mailto:sage [2006/04/19(水) 09:31:33 ]
- 引き続き、サーバ側がOpenSSHであると仮定して考えてみた。
・"SSH2_"で始まるマクロのうち、30または34と定義されているものを調べてみた。
・乱暴だが、全部の.hファイルから30または34を含む行を探した。
後者でも以外に効果があった。注目すべきは openssh-4.3p2/ssh2.h だろうか。
ということで、クライアントとサーバで鍵の形式が違うのが原因ではないかと「推
測した」。
以上、チラシの裏(w
>>973は、サーバに関する情報だけでなく、どの認証方法でログインしようとした
のかも書いた方がいいな。
- 979 名前:名無しさん@お腹いっぱい。 [2006/04/19(水) 09:47:51 ]
- レスありがとうございます。
> > そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> > 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> > にもそれらしき記述がなくて、ず〜〜〜〜〜〜っと悩んでいます。ちょこっとでも
> > ホスト認証時にホスト秘密鍵が使われるんだよ〜って記述があればすっきりする
> > んです。
>
> man ssh-keysign
> www.ietf.org/rfc/rfc4252.txt
これはホスト認証・共通鍵生成したあとのユーザ認証のフェーズになっているような気がします。そういう仕様なんだからそうなんでしょうね・・・。
うみゅう、私の質問の仕方が悪かったです。
SSH接続(Protocol 2)のホスト認証の時点で、ホスト鍵ペア(ホスト秘密鍵・ホスト公開鍵)が「公開暗号方式」として機能しているのか知りたかったのです。
ベタな平文を自己証明だとかクライアントに送られてきて、「これを信用しなさい」と言われても、信用する根拠がないように思えてしょうがないのです。
ホスト認証の時点でホスト秘密鍵は登場してこないのでしょうか?鍵交換のところ(DH鍵交換)でホスト秘密鍵が使われてるような気がしてきました。
--- モーソウ
S: これ、俺の証明書だけどいい?
C: じゃあ、君が送ってくれたホスト公開鍵で暗号化したもの送り返すから、
それをホスト秘密鍵で複合化して返してよ〜。それが正しかったら信用してあげる。
S: ほいほい、これね〜。複合化したけど、これ当たってる?
C: OK〜、君を信じるよ♪
---
- 980 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 10:20:51 ]
- >>979
www.scl.kyoto-u.ac.jp/scl/usage/SSH/abst.html
- 981 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 10:24:03 ]
- >>979
PGPの仕組みを勉強してみろ
- 982 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 10:27:05 ]
- PGP は関係ないだろ。
- 983 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 10:28:21 ]
- >>970
↓tcpserver使って切り替えてるやり方
ttp://www.hrt.dis.titech.ac.jp/~sera/FreeBSD/openssh/sshd.htm
>>971
ListenAddressでクライアントごとに挙動(設定)変えれたっけ?(許可/拒否をするものだと思ってたけど)
- 984 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 10:41:09 ]
- >>983
いや、
ListenAddress 変えて sshd を2つ起動すればいいかな、
と思ったんだけど。
- 985 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 10:41:24 ]
- >>975=>>979
以下のどちらかの本、読んでみた?もしまだなら、読んでみるといいと思う。
・OpenSSH セキュリティ管理ガイド
www.unixuser.org/~haruyama/security/openssh/support/
・入門SSH
www.unixuser.org/~haruyama/security/openssh/asciissh/
前者は絶版になってしまっているけど、私はこの本を読んで勉強したので(大変分
かりやすかったんですよ)。後者は、前者の「後継」ってカンジ。著者は同じです
ので、読む価値はあると私は思います。
>>980
お、なんだか (∀)イイ!
- 986 名前:975 [2006/04/19(水) 11:10:46 ]
- >979
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
>981
頑張ってPGPも勉強してみます。自己証明という観点でいえば知っておきたいところですし、感謝です。
>985
情報ありがとうございます。お財布と相談して、amazon.comに見に行ってきますー
- 987 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 11:12:53 ]
- >>982
あほですか?
PGPの認証方式はSSHにも流用できる考えがありますよ
PGPそのものを使い方をいっているわけではないでしょが
- 988 名前:975 [2006/04/19(水) 11:12:55 ]
- >>979
>大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
みすった、てめえの発言に感謝してどーすんだーー;
>980
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
- 989 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 17:07:27 ]
- > >980
> 大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
スト認証の説明、ほとんど間違いだから。
SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
を送ってクライアントに検証させることで直接的に確認してるって
のが正解。
- 990 名前:名無しさん@お腹いっぱい。 [2006/04/19(水) 17:21:03 ]
- >>989
> まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
> スト認証の説明、ほとんど間違いだから。
自分も後から、ご指摘の記述部分でDH鍵交換方式に触れていないところが
怪しくなって、調べてみました。
>
> SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
> 送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
> を送ってクライアントに検証させることで直接的に確認してるって
> のが正解。
ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
の記述を発見して、仰せの通りだと理解しました。
ご指摘ありがとうございました。(感謝
- 991 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 18:00:29 ]
- >>990
> ttp://human.is.kyushu-u.ac.jp/~yosinori/ssh/protocol-j.html
> の記述を発見して、
うん、こっちの方は user 認証のところに若干難がある (SSH1 のみ
の説明だし、SSH1 だとしても微妙なところが抜けてる) 他はちゃん
と書けてる感じっすね。
- 992 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/19(水) 18:14:16 ]
- >>978
ありがとうございます。
OpenSSHです。
sshd version OpenSSH_2.5.2p2
どのような認証方法で、
以前の
・プレイインテキストを使う
・RSA/DSA鍵を使う
・チャレンジレスポンス認証を使う
などの画面が出るときに、落ちちゃうというか
そのエラーが出るんです。
- 993 名前:976 mailto:sage [2006/04/20(木) 01:03:01 ]
- >>975
すまん、HostbasedAuthenticationのことと勘違いしてた。
- 994 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 07:10:55 ]
- そろそろやばそうなので、とりあえず次スレ立てました。
pc8.2ch.net/test/read.cgi/unix/1145484540/
- 995 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 12:42:45 ]
- >>994 乙彼
- 996 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 13:02:21 ]
- じゃあ1つ埋め
- 997 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 15:25:41 ]
- 10010gewt
- 998 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 16:23:45 ]
- 192.168.65.254
- 999 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 16:29:57 ]
- 俺のIP勝手に使うな
- 1000 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/04/20(木) 16:39:05 ]
- 127.255.255.254
- 1001 名前:1001 [Over 1000 Thread]
- このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
|
 |
