SSH その4at UNIX

---

219:春山征吾 ◆unIxUSernc
05/04/23 10:16:34
>>218
SSH1のRSA認証では(チャレンジの前に)クライアントがユーザの公開鍵を送ります。
一致する公開鍵がサーバにあるとその鍵を使ったチャレンジをサーバが送ります。

SSH2の公開鍵認証でも、通常はまずクライアントはユーザの公開鍵を送り
サーバはその有無を返します。
クライアントがユーザの秘密鍵を用いた署名を送る際にもユーザの公開鍵をつけます。

220:春山征吾 ◆unIxUSernc
05/04/23 10:42:49
偽ホストとの通信でユーザ認証までいってしまえば、
クライアントからの情報を検証せずとも偽ホストは適当な返答を返して
ログインを許可できるので
その意味でも
>>196 は間抜けでした。

221:194
05/04/23 19:08:52
>>219
やっと、公開鍵を送ってることが理解できた。サンクス

222:名無しさん＠お腹いっぱい。
05/04/25 17:52:18
はじめまして。
ＳＳＨ初心者なのですが、ポートフォワードに関して教えていただけないでしょうか？
一つのサーバーにＳＳＨ、WebDav(Apache)サーバ、ＩＲＣサーバを動かしているのですが
ユーザー１とユーザー２がいるとして
・ユーザー１はポートフォワードでWebDavのサーバーにしか転送できない
・ユーザー２はＩＲＣのサーバーにしか転送できない

と言った設定をする事は可能でしょうか？つまりユーザー１がＩＲＣを利用したり、
ユーザー２がWebDavを利用したりできないように特定のポート番号だけをフォワードできるようにする設定にしたいのですが

厨質問ですみません、御教授下さい・・・

223:無しさん＠お腹いっぱい。
05/04/25 20:51:20
>>222 OpenSSH だと、ホスト毎のforwarding設定はできるけど、
ユーザ毎設定をサーバでやるいうのは出来んように思う。

224:名無しさん＠お腹いっぱい。
05/04/25 21:28:55
>>219
待て。クライアントは公開鍵なんぞ送らんぞ。
一度クライアント公開鍵を削除してからRSA認証でログインしてみれ。

225:名無しさん＠お腹いっぱい。
05/04/25 21:44:49
やってみたが、
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
...送ってない？

226:名無しさん＠お腹いっぱい。
05/04/25 21:44:57
>>222
permitopen

227:名無しさん＠お腹いっぱい。
05/04/25 22:52:15
>>225
公開鍵を送ってんじゃなくて「公開鍵認証方式で認証してくれ」っていうリクエストを送ってる。
/home/user/.ssh/id_rsa ←これクライアント秘密鍵だし。

228:名無しさん＠お腹いっぱい。
05/04/25 23:19:46
>>227
>>225を見て興味を持ったので俺もコードを見てみた。
どの公開鍵でなのかを伝えるために、公開鍵そのものを送ってるように思う。
(もちろんサーバはそれを無条件に使うわけではなくて、
ユーザのauthorized_keysに同じものがあれば使うんだろうけど)

sshconnect2.cのuserauth_pubkeyとsend_pubkey_test。


229:名無しさん＠お腹いっぱい。
05/04/25 23:34:30
>>228
公開鍵（例えばSSHv2のRSAならid_rsa.pub）をクライアントから削除して、
秘密鍵だけ置いた状態でサーバにSSH接続を試してみて。
接続できるでしょ？
つまり公開鍵を送っているわけではないってこと。

230:名無しさん＠お腹いっぱい。
05/04/25 23:52:18
「どの公開鍵でなのかを伝えるために公開鍵を送る」とあるけど、
ただしくは「どの公開鍵でなのかを伝えるために秘密鍵を使う」です。

動作の詳細は自分もはっきり説明できるわけじゃないんだけど（SSHv1と
SSHv2でも少々異なるようだし）、たとえばユーザＡとしてログインしようとしてるとして、
まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。
んで、SSHサーバ側で、その秘密鍵に対応する公開鍵が
/home/ユーザＡ/.ssh/authorized_keysに登録されているかどうか見る。
で、登録されているクライアント公開鍵でランダムデータを暗号化してクライアントに送る。
クライアント側ではその暗号化データをクライント秘密鍵で複合化して送り返す。
クライアント側の秘密鍵で正しく複合化できたら、クライアント側の
秘密鍵とサーバ側にある公開鍵が正しいペアだと証明できるので、認証される。

ってな具合だと思う。（本当はもっと複雑なことやってるらしいが）

231:名無しさん＠お腹いっぱい。
05/04/25 23:57:25
>>230
「秘密鍵を使う」というのが具体的にどういう使っているのか説明してくださいな。
できればコードに即しておねがい。


232:名無しさん＠お腹いっぱい。
05/04/26 00:00:20
>>229
秘密鍵ファイルには公開鍵の情報も含まれているわけだが

233:名無しさん＠お腹いっぱい。
05/04/26 00:03:15
>>229
前半は後半の根拠にならないですよ。ssh-keygenのmanを読んだことないですか?


234:名無しさん＠お腹いっぱい。
05/04/26 00:08:11
>>230
> まずSSHクライアントが「この秘密鍵ログインしたい」とサーバに伝える。

どういう情報でそれが伝えるのかが問題になってるわけだが。
知識もなければ読解力もないな。


235:名無しさん＠お腹いっぱい。
05/04/26 00:17:05
>>230 はもしかして秘密鍵を送ると思ってるんジャマイカ



236:名無しさん＠お腹いっぱい。
05/04/26 00:19:47
>>233
具体的な説明よろ

237:名無しさん＠お腹いっぱい。
05/04/26 00:21:27
>>236
ssh-keygenの-yオプション
つまりは>>232ってことだと思われ


238:名無しさん＠お腹いっぱい。
05/04/26 00:22:04
>>234
どういう情報で伝えるかが問題ではなく「公開鍵自体を送っているのかどうか」が問題なのだが。


239:名無しさん＠お腹いっぱい。
05/04/26 00:27:31
>>238
伝えるための情報として公開鍵そのものを送っているという話だと思うが。
>>228のその主張を否定してるわけだから、
公開鍵を送らないならどういう情報で同定してるのか教えてくれ。
それを送ってる部分のコードの特定も。


240:名無しさん＠お腹いっぱい。
05/04/26 00:38:57
ssh がどうやっているかは知らないけど、署名の要領 (秘密鍵で暗号化→公開鍵で復号化) で確認はできるよ。

241:名無しさん＠お腹いっぱい。
05/04/26 00:54:49
>>240 バカ一匹追加




242:名無しさん＠お腹いっぱい。
05/04/26 02:35:25
そろそろ誰かちゃんとした回答をしてください

243:名無しさん＠お腹いっぱい。
05/04/26 07:00:29
おまいらソース嫁

244:名無しさん＠お腹いっぱい。
05/04/29 12:43:52
リモート1：Solaris9(SunのSSH?)
リモート2：MiracleLinux(OpenSSH)
自分：WinXP+cygwin

という環境で、リモートマシンのパスワードの有効期限が
切れた後にsshでリモートに接続すると、

リモート1：その場で新パスワードに更新させられる
リモート2：切断

となってしまいます。OpenSSHでも、パスワード期限切れ時に
新パスワードに変更させてログイン続行させることは可能
ですか?

245:名無しさん＠お腹いっぱい。
05/04/29 12:47:33
公開鍵、秘密鍵って、マシン毎に作るもの？
それとも一人のユーザが一つずつもってりゃいい？

246:名無しさん＠お腹いっぱい。
05/04/29 12:49:19
リスク分散を考えるとそれぞれで作ったほうがいい。
しかし面倒くさい。
自分で判断出来ない池沼は何やっても無駄。

247:名無しさん＠お腹いっぱい。
05/04/29 14:18:40
秘密鍵一つ作れば公開鍵は無限に作れるよ

248:名無しさん＠お腹いっぱい。
05/04/29 14:31:00
>>244
OpenSSHとLinuxの認証システムは別個のプログラムで
あまり密でないから、結構ハックしないとだめそう。

ユーザーとして不便てことだけなら、
パスワードじゃなくて鍵をつかえればいい。

249:名無しさん＠お腹いっぱい。
05/04/29 15:49:13
pamの設定だけじゃないか?

250:名無しさん＠お腹いっぱい。
05/04/29 16:57:04
いや、privilege separationのせいでちとやっかい。

251:244
05/04/29 17:07:39
>>248>>249 レスありがとうございます。
リモートサーバの設定は、「パスワード認証なし」で、
RSAの鍵認証のみで使用しています。pamの設定、
調べてみることにします。

会社の規則で、すべてのサーバにパスワードの有効期限を
設定する必要が生じたため、困っているのです。このままだと、
遠隔地にある普段メンテしないLinuxマシンが、肝心な時に
パスワード期限切れで現地に行かないとメンテできない状況に
なりかねません。

逆に、「OpenSSH(+pam?)ではできない」という裏が取れれば、
「これこれの理由で有効期限は定めない」という設定許可申請を
会社に出すつもりなのですが、その裏も取れずに困っています。

教えてクンですみませんが、なにか情報のソースがあれば、
ご教授お願いします。

252:名無しさん＠お腹いっぱい。
05/04/29 20:39:32 BE:2287837-#
普段からちゃんとメンテ汁

253:244
05/05/01 00:01:42
>>252
「普段メンテしない」≠「メンテしてない」
「必要なとき以外にはアクセスしない」です。
あんまり同じ悩み抱えてる人はいないんでしょうか。
それとも、「(必要なくても)定期的にアクセスするが正解ですか?

254:名無しさん＠お腹いっぱい。
05/05/01 00:11:09
その状況だとワンタイムパスワードを利用するのも手

255:名無しさん＠お腹いっぱい。
05/05/01 02:03:53
SSHの公開鍵認証使ってるんでしょ?
むしろ普通のユーザのパスワードは潰しておくべきじゃないか。


256:192
05/05/07 21:01:20
自己解決。
opensslを0.9.7eから0.9.7gにしたらconfigure通ってあとはすんなりでした。
良かった。

257:名無しさん＠お腹いっぱい。
05/05/09 20:44:08
携帯からSSHでPCを遠隔操作できるシステム～ベータ版を無償公開
URLﾘﾝｸ(internet.watch.impress.co.jp)

258:名無しさん＠お腹いっぱい。
05/05/10 00:21:39
SymbianOSなNOKIAの携帯なら、もっと前からフリーなSSH clientはあったけど
PuTTY SSH client for Symbian OS
URLﾘﾝｸ(s2putty.sourceforge.net)

…未踏なんですか。入力/補完モードが肝？…というほどの新規性があるとも…


259:名無しさん＠お腹いっぱい。
05/05/12 17:36:08
ssh -X -M hoge command &を何回も実行すると、実行した数だけTCP/IPコネクションが
張られるんだけど、-Mオプションをつければコネクションを共有するんじゃないの？

260:名無しさん＠お腹いっぱい。
05/05/14 18:36:15
Intelのハイパースレッディングに深刻な脆弱性

IntelのXeonなどに実装のハイパースレッディングに深刻な脆弱性が発見された。
マルチユーザーシステムの管理者は直ちに使用を停止した方がいいとの勧告が出されている。

Intelのプロセッサに実装されているハイパースレッディング技術に深刻な脆弱性が存在すると、
セキュリティ研究者が報告した。

この問題を発見したのは、FreeBSDプロジェクトでセキュリティを担当するコリン・パーシバル氏。
オタワで開催のBSDCan 2005で5月13日、詳しい論文を提出したという。

ハイパースレッディングはIntelのPentium Extreme Edition、Pentium 4、モバイルPentium 4、
Xeonに実装されている技術。同氏がサイトに掲載している情報によれば、この脆弱性が原因で
ローカル情報が流出する恐れがあり、権限を持たないユーザーがRSA非公開鍵を盗み出すことが
できてしまうという。

マルチユーザーシステムの管理者は直ちにハイパースレッディングを停止した方がいいと同氏は
強く勧告。デスクトップPCなどのシングルユーザーシステムは影響を受けないとしている。

パーシバル氏は昨年10月にこの問題を発見。その後コンセプト実証プログラムを作成し、影響を
受ける全ベンダーにこの問題を通報したという。サイトには、FreeBSDやSCOなどから寄せられた
アドバイザリー情報が掲載されているが、今のところIntelからの情報は寄せられていない。
URLﾘﾝｸ(www.itmedia.co.jp)

261:名無しさん＠お腹いっぱい。
05/05/15 03:46:52
openSSH4.0のsftp-serverってUTF-8未対応だっけ？
WinSCPでアクセスするも適切にエンコーディングできん

262:名無しさん＠お腹いっぱい。
05/05/20 14:17:41
>>3
SSH Plugin
URLﾘﾝｸ(www.mud.de)(SSH1)

263:名無しさん＠お腹いっぱい。
05/05/21 16:58:51
fURLﾘﾝｸ(core.ring.gr.jp)
のWindows用sshクライアントで公開鍵を使ってopensshを使っているLinuxサーバに接続する方法を教えてください。

ssh-keygen2でキーを作成し、.pubファイルを~/.sshにアップロードし

ssh-keygen　-i　-f　kkk.pub　>　kkkk.pub
cat　kkkk.pub　>>　authorized_keys

ここまでやったのですが、その先がわかりません。よろしくお願いします。

264:名無しさん＠お腹いっぱい。
05/05/21 17:38:50
>>263
ssh hoge

265:名無しさん＠お腹いっぱい。
05/05/21 17:47:01
つ 入門SSH

266:名無しさん＠お腹いっぱい。
05/05/21 20:13:11
>>263
つ PuTTY
URLﾘﾝｸ(hp.vector.co.jp)

267:名無しさん＠お腹いっぱい。
05/05/22 06:21:48
fURLﾘﾝｸ(core.ring.gr.jp)
以外使えない環境なんです・・・

268:名無しさん＠お腹いっぱい。
05/05/22 06:57:49
debug表示のオプション(-vとか-d)をつけてssh2.exeで接続してみれば、
なにがおかしいかわかるかもね。


269:名無しさん＠お腹いっぱい。
05/05/22 17:09:53
「site:2ch.net」でググったらこのスレがトップにきますた

270:名無しさん＠お腹いっぱい。
05/05/23 07:06:38
>269
本当だ。なんでやねん。

271:名無しさん＠お腹いっぱい。
05/05/23 13:23:11
俺が試すとトップ10にも出てこないけど……。
ちなみにトップは大学受験サロン。

第2位は日本語限定かどうかで変わる。謎。


272:名無しさん＠お腹いっぱい。
05/05/23 19:05:21
ウェブ全体からの検索
SSH その4
大学受験サロン＠2ch掲示板
全国 鉄 道 混雑情報
【岡部の前に】岡部幸雄スレPart41【岡部無し】

日本語のページを検索
Vodafone質問スレッドPart73
McAfee Part.17
これを日本語化！な OS X アプリ発表会 Part 6
OS/2だよOS/2

273:名無しさん＠お腹いっぱい。
05/05/26 20:42:01
URLﾘﾝｸ(www.unixuser.org)

4.1p1ｷﾀｷﾀｷﾀｷﾀ━━(ﾟ∀ﾟ≡(ﾟ∀ﾟ≡ﾟ∀ﾟ)≡ﾟ∀ﾟ)━━!!
けど、ぁゃιぃ？




274:名無しさん＠お腹いっぱい。
05/05/26 21:58:06
本家見たけど、んなもんないじゃん。

275:名無しさん＠お腹いっぱい。
05/05/26 22:12:55
なんかオライリーから出るね

276:名無しさん＠お腹いっぱい。
05/05/27 01:01:01
>>274
本家webサイトはまだ更新されていないみたいだけど、openssh-unix-announce
にはアナウンスメールが来てるよ。

ただし、最初に送られてきたアナウンスメールに記載されていた SHA1 checksum
は間違いだそうで。。>>273の言う
　> けど、ぁゃιぃ？
はそういうことだろう。正しい checksum は
　SHA1 (openssh-4.1.tar.gz) = 62fc9596b20244bb559d5fee3ff3ecc0dfd557cb
　SHA1 (openssh-4.1p1.tar.gz) = e85d389da8ad8290f5031b8f9972e2623c674e46
だそうだ。

277:名無しさん＠お腹いっぱい。
05/05/27 01:11:54
いつもの通り、春山さんが変更内容の日本語訳を出して下さってますねー（感謝！）
URLﾘﾝｸ(www.unixuser.org)

で、大したことではないかもしれないですが…、

(1) 「著しい修正としては以下がある.」→「大きな修正としては以下のものが
挙げられる.」
(2) 「を用いる場合に起きる segfault を修正した.」→「を用いる場合に
　segmentation fault が発生してしまうのを修正した.」

のように書き直すといいかなと思いました。

278:276
05/05/27 01:41:32
>>274
> 本家見たけど、んなもんないじゃん。
って、本家 *FTPサーバ* のことか。確かにないですね。。チェックサム間違えた
とかで引っ込められたのかな？

アナウンスメールは確かに届いているんだけど...

279:274
05/05/27 13:13:10
今はたしかにありんす。

280:名無しさん＠お腹いっぱい。
05/05/27 15:59:28
portable版のpgp signatureも合わない。。。

$ gpg --verify openssh-4.1p1.tar.gz.asc
gpg: Signature made Wed May 25 21:26:24 2005 JST using DSA key ID 86FF9C48
gpg: BAD signature from "Damien Miller (Personal Key) <djm@mindrot.org>"

281:名無しさん＠お腹いっぱい
05/05/29 20:20:01
openssh-4.1p1をfURLﾘﾝｸ(ftp3.usa.openbsd.org)から入れてみた。
まだ1日しか経ってないけど、今のところ無問題。
ちなみに環境は玄箱にdebian　sarge入れてクライアントはwinxpとwin2kからputtyとwinscp使ってます。

282:281
05/05/29 20:31:56
言い忘れたけど、春山さん毎回ドキュメントの翻訳ありがとうございます。
「入門SSH」も早速読みました。これからもよろしくお願いします。

283:名無しさん＠お腹いっぱい。
05/06/08 10:00:27
windows版にsshスレがなかったのでこちらで質問させてもらいます．

sshでログイン，scpでファイル授受できる
Linux上のリモートを
windowsのネットワーク上の共有フォルダのように，
\\Kyoyu
としたり，
H:\
などの仮想ドライブとして
扱えるようにする方法はないでしょうか？

284:名無しさん＠お腹いっぱい。
05/06/08 10:21:15
NFS over ssh
NetBIOS over ssh

285:名無しさん＠お腹いっぱい。
05/06/08 12:33:02
何週間か前に同じ質問がソフトウェア板とWin板にもあったな
回答されてたのにレスつけてなかったな

286:283
05/06/09 01:56:52
>>284
どうも．

>>285
そっちでも質問した旨を書き忘れてました．
次からは気をつけます．

287:名無しさん＠お腹いっぱい
05/06/09 22:57:39
>283
この辺
URLﾘﾝｸ(www.c3.club.kyutech.ac.jp)
意図するものと違ったらごめん。

288:名無しさん＠お腹いっぱい。
05/06/10 23:56:03
ありがとうございます．
昨日の夜に見つけて試してみたのですが
うまく行きませんでした．

以下の操作で合っているでしょうか？

-----環境-----
ローカル：WinXP SP2
リモート：たぶんfedora2
今まではcygwinのsshとscp, winscpを使っていた

-----今回の作業-----
LoopbackAdapterをインストールし，
そのプロパティを
IP 192.168.2.250
NetBios over TCP/IP 無効のチェックボックスをオン

stoneをパスの通ったディレクトリにき，以下を実行．
$ stone localhost:8139 192.168.2.250:139

cygwinのsshを使用し，以下を実行．
$ ssh -L 8139:192.168.2.250:139 UserNameAtRemote@hoge.com
パスワードを求められ入力．


289:名無しさん＠お腹いっぱい。
05/06/10 23:56:58
-----出力-----
stoneのコマンドラインの出力
stoneJun 10 23:40:48 start (2.2e) [3684]
Jun 10 23:40:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:40:58 stone 1924: localhost:8139 <- 192.168.2.250:netbios-ssn

cygwinのsshのコマンドラインの出力は普段のログインと同じ．
---------------

explorerを開いてアドレスバーに
\\192.168.2.250
と入力してエンター
---------------
ssh実行中のコマンドラインの出力
channel 2: open failed: connect failed: No route to host

stone実行中のコマンドラインの出力
Jun 10 23:49:49 TCP 1788: read error err=10054, closing
Jun 10 23:49:58 Unknown address err=11004: 192.168.2.250
Jun 10 23:49:58 TCP1788:1764 0182d000 10 Jun 10 23:49:39 192.168.2.250:netbios-ssn ローカルPC名:3852 tx:0 rx:72 lp:4
---------------

間違っている点があったら教えてください．

290:名無しさん＠お腹いっぱい。
05/06/11 00:28:58
ぜんぜん理解してない

291:名無しさん＠お腹いっぱい。
05/06/11 15:08:42
TCP/IPの勉強しろや

292:名無しさん＠お腹いっぱい。
05/06/11 21:48:11
あきらめてwinscpつかいます

293:名無しさん＠お腹いっぱい。
05/06/12 01:54:39
SSHの不正アタック大杉！
ログ調べたら鯖立てて1年半で1万5000件くらいアタックされてたけど、
今週だけでもう6000件超えてるわ。
実害はまだないけどログの量が膨大でキモチワルイわ。
対策しないと・・・。

294:名無しさん＠お腹いっぱい。
05/06/12 02:53:28
>>293
MaxStartups 1 とでもしとけ。


295:名無しさん＠お腹いっぱい。
05/06/12 07:18:50
>>293 スクリプトで機械的に仕掛けてくるんだよ

296:名無しさん＠お腹いっぱい。
05/06/12 12:03:39
あのパターンのアタックだったら、数回unknownな接続が連続したところで、
ソースアドレスをフィルタしちゃえばいいと思う。

297:名無しさん＠お腹いっぱい。
05/06/12 13:01:05
それ以前にふつーは必要なとこ以外からのは拒否しとくだろう

298:名無しさん＠お腹いっぱい。
05/06/12 13:28:55
ウィルスに感染したマシンが延々とアタック続けてくるからな・・・

299:名無しさん＠お腹いっぱい。
05/06/12 13:35:54
ポート変えとくといいよ。

300:名無しさん＠お腹いっぱい。
05/06/12 16:42:33
300!

301:名無しさん＠お腹いっぱい。
05/06/13 01:18:09
忘れるんだよ、あまり頻繁に使わないと。


302:名無しさん＠お腹いっぱい。
05/06/13 14:24:43
特定のユーザのみを利用可能にして
それ以外のユーザは利用不可にしたいんだけど
なにで制限すればいいのでしょうか？

303: ◆m7YeytgDFE
05/06/13 14:34:23
>>302
例えば下記の方法は？
URLﾘﾝｸ(www.atmarkit.co.jp)


304:名無しさん＠お腹いっぱい。
05/06/13 15:56:05
>>302
AllowUsers

305:302
05/06/13 15:59:14
>>303
簡単な方法があるんですね
ありがとうございます

さっそく試そうと思ったのですが
現在リモートでしか接続できず失敗すると
なにもできなくなることに気づいたので
今度時間のあるときに試してみます。
ありがとうございました

306:名無しさん＠お腹いっぱい。
05/06/13 16:02:49
>>305
そんなあなたにtelnet

307:名無しさん＠お腹いっぱい。
05/06/13 17:02:14
自分の接続を受けてるsshdを手で殺さない限りは大丈夫だよ。


308:名無しさん＠お腹いっぱい。
05/06/13 17:07:52
>>307
ネットワークが不安定だったら？

309:名無しさん＠お腹いっぱい。
05/06/13 23:03:19
>>308
そんなあなたにrlogin

310:名無しさん＠お腹いっぱい。
05/06/15 18:24:58
screen でつないどけ

311:名無しさん＠お腹いっぱい。
05/06/15 19:00:53
>>310
話理解してる？

312:名無しさん＠お腹いっぱい。
05/06/15 19:01:06
脊髄反射はよくないなぁ。。

313:名無しさん＠お腹いっぱい。
05/06/15 20:03:07
おまえもな。


314:名無しさん＠お腹いっぱい。
05/06/24 23:17:55
SSH2ではRSAとDSAの２種類のアルゴリズムがあるようですが、
皆さんはどちらを使っておられますか？
また、その理由はなんですか？

自分は単純に暗号強度の強い方を選びたいと思ったのですが、
あるサイトによるとDSAの方が高度な暗号化でおすすめとあり、
また別のサイトではDSAには乱数の偏りによる脆弱性があるので
止めた方がいいと書かれていたり、どちらがよいのかわかりません。
脆弱性問題は2001年の話なのですが、もう解決しているのでしょうか。

315:名無しさん＠お腹いっぱい。
05/06/25 00:28:49
解決しとるに決まっとるがな。それに乱数の偏りはDSAの問題じゃないがな。

316:名無しさん＠お腹いっぱい。
05/06/25 21:32:58
理由は特にないがDSA使っている

317:名無しさん＠お腹いっぱい。
05/06/25 22:19:52
>>316
それで正解

318:名無しさん＠お腹いっぱい。
05/06/25 22:38:59
ものすごーく低レベルな質問だと思いますが、どなたかご教示ください

現在telnetの代わりとしてFTPのかわりとしてクライアント機でWINSCP３をつかうためにopenSSHをインストールしてます

○ユーザーごとに鍵を作る必要（ssh-keygen）がありますか？（telnetかわりはhogehoge FTPはfugefugeユーザの予定）
○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか？

なお、LINUX側はdebian 2.4.21　クライアント機はWIN　XPで考えております

319:名無しさん＠お腹いっぱい。
05/06/25 23:16:27
>>317
なんで正解なの？
今は特に理由なくRSA使ってるけど、話によってはDSAに乗り換えたい。

320:名無しさん＠お腹いっぱい。
05/06/25 23:24:02
>>318
低レベルすぎるな。
しばらく使ってみていろいろ試したら?

321:名無しさん＠お腹いっぱい。
05/06/25 23:40:33
DSAはRSAがつかえなかった頃の代替実装じゃなかったっけ？
新規の鍵は計算量が少なさそうなRSAでいいと思うけど。

322:名無しさん＠お腹いっぱい。
05/06/26 04:22:32
>>314
> 自分は単純に暗号強度の強い方を選びたいと思ったのですが、

どっちでもいいが、強度気にするなら鍵長長くしる


323:ごん米さん、お早う
05/06/26 06:36:36
暗号に対する考え方に、間違いは無いの。
キーの暗号化のために RSA は有るの。
Hellman Deffie だっけ、RSA は有るの、
でもさ、平文、つまり暗号化したい、Body の部分の
暗号化にはさ、とても RSA なんて使えないよ。
Body がたった１MBでもさ、巷の高速 CPU でもさ、
遅いのなンのって、、、。
何ならショートサイズの RSA で Body 暗号化
してみたら、、、。解るよ。実装上は未だ無理だし、
その必要も無いのがさ、、、、。


324:ごん米さん、お早う
05/06/26 06:41:07
ニイタカヤマノボレ
が暗号だと言う時代じゃ無いのだもの。
作戦地図のデータをファイル変換して、つまり暗号にして
ファイル転送しちゃいそうな時代なのでしょう。
現代は、、、。


325:ごん米さん、お早う
05/06/26 06:47:03
Helmann Deffie だっけで平文を暗号化すると、
RSA は必ず情報が冗長になるの解るよね、
mod の演算サイズになっちゃうの。
楕円曲線でも同じ、、、、。
って事は、復号にはファイルサイズが前もって
必要となちゃ鵜のだよね。
最後の１バイト、化けるの覚悟するだけだけどさ、。


326:ごん米さん、大丈夫
05/06/26 10:52:57
最後の１ブロックの復号が、、、。
０が一杯のデータファイルが、、、。
それじゃ詰まらない。

327:名無しさん＠お腹いっぱい。
05/06/26 11:47:15
>>318
簡単に答えておこうか

> ○ユーザーごとに鍵を作る必要（ssh-keygen）がありますか？（telnetかわりはhogehoge FTPはfugefugeユーザの予定）
作ったほうがセキュリティ的に強いが、作らなくても使える。
てか、RSA鍵について調べておけ。

> ○FTPとして使おうと思った際に、vsFTPDなどのFTPデーモンは起動している状態でないとだめでしょうか？
いらん。即停止。

> なお、LINUX側はdebian 2.4.21　クライアント機はWIN　XPで考えております
余談だが、debianとKernelのバージョンを混ぜるな危険。
kernel2.4.21ってのも、えらく中途半端なバージョンな気もするが。
sargeなら2.4.27にしといたほうがいいんじゃないか？

328:318
05/06/26 13:15:46
>>327
ありがとうございました。RSA鍵作って全部運用できました。
RSA鍵（SSH2用）作ると一緒にDSA鍵も作らないといけないんですか？エラーがでたっぽいので作っておくだけはしましたけど

あとkernelの件なんですが、ある事情でこのままなんです。いずれ2.6あたりにはしたいなあと思ってはいるのですが

329:名無しさん＠お腹いっぱい。
05/06/26 15:15:05
みなさん、教えてください。

昨日から急に私が運用しているサーバーさんに、ssh でログインする際 passphrase ではなく password を
聞かれるようになりました。
とくに、サーバー側の$HOME/.ssh/の中が変わったわけでもないのですが、、、。
sshd_configなど調べてみたのですが、何が原因なのか分かりません。
サーバー利用者から、いっぱい問い合わせがきて、あっぷあっっぷしています。

サーバー側の、$HOME/.ssh/authorized_keys には、正しいkeyが書かれています。

どなたか解決方法をご存知の方、教えてください。
よろしくお願いします


330:329
05/06/26 15:16:46
329です。
以下に、ssh -vv のログを添付します。
----
debug1: Host 'sakura' is known and matches the RSA host key.^M
debug1: Found key in /home/test/.ssh/known_hosts:63^M
debug1: bits set: 1598/3191^M
debug1: ssh_rsa_verify: signature correct^M
debug1: kex_derive_keys^M
debug1: newkeys: mode 1^M
debug1: SSH2_MSG_NEWKEYS sent^M
debug1: waiting for SSH2_MSG_NEWKEYS^M
debug1: newkeys: mode 0^M
debug1: SSH2_MSG_NEWKEYS received^M
debug1: done: ssh_kex2.^M
debug1: send SSH2_MSG_SERVICE_REQUEST^M
debug1: service_accept: ssh-userauth^M
debug1: got SSH2_MSG_SERVICE_ACCEPT^M
debug1: authentications that can continue: publickey,password^M
debug1: next auth method to try is publickey^M
debug1: try pubkey: /home/test/.ssh/id_dsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug1: try pubkey: /home/test/.ssh/id_rsa^M
debug2: we sent a publickey packet, wait for reply^M
debug1: authentications that can continue: publickey,password^M
debug2: we did not send a packet, disable method^M
debug1: next auth method to try is password^M
---

よろしくお願いします

331:名無しさん＠お腹いっぱい。
05/06/26 16:45:00
$HOME/.ssh の permission とかは確認されましたか。

332:名無しさん＠お腹いっぱい。
05/06/26 16:47:39
-vvvの方がよさげ

333:329
05/06/26 17:43:04
329です。

$HOME/.ssh と $HOME/.ssh/authorized_keys のパーミッションは確認していたのですが、、、。
なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
これを、755にしたらなおりました。ぬぬー。

331さん、332さん、ありがとうございmす。

334:名無しさん＠お腹いっぱい。
05/06/26 18:09:33
# /etc/init.d/sshd start

*Starting sshd...
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_rsa_key
fdopen failed : Bad file descriptor
Could not load host key : /etc/ssh/ssh_host_dsa_key
Disabling protocol version 2. could not load host key
sshd : no hostkeys available -- exiting.

/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key
は一番最初に/etc/init.d/sshd start したときに作られていました
/etc/ssh/sshd_config はデフォルトです
アドバイスお願いします

335:名無しさん＠お腹いっぱい。
05/06/26 23:21:57
>>333
> なぜだか分からないのですが、$HOME/<user_name> のパーッミションが、757とか変なふうになってました。
イヤーな悪寒。

336: ◆m7YeytgDFE
05/06/27 00:01:22
>>335
侵入を受けたという可能性？

337:名無しさん＠お腹いっぱい。
05/06/27 17:29:42
でないとしてもディスクがお釈迦。

338:名無しさん＠お腹いっぱい。
05/06/27 18:37:54
SSH接続して
sshdを再起動すると
その接続は切断されますか？

SSH関連の設定を変えるのが怖くて

339:名無しさん＠お腹いっぱい。
05/06/27 18:43:49
されない。


340:名無しさん＠お腹いっぱい。
05/06/27 19:03:09
やり方による。
怖いなら素直にローカルでいじれ。

341:338
05/06/27 19:37:18
>>339-340
しばらくマシンのある場所に行けないので
できればSSHでと思ったのですが
やり方によっては切れるってことですか。

と今気づいたのですが
試しに設定を変更せずに再起動してみればいいんですよね。
で、切断されませんでした。
でも設定変更の内容によっては切断されるってことですかね？
AllowUserで利用ユーザの制限をしようとしてます。

342:名無しさん＠お腹いっぱい。
05/06/27 19:56:41
別ポートで別プロセスの sshd を起動して、そっちからログインして作業すればよし。

343:名無しさん＠お腹いっぱい。
05/06/28 01:08:07
>>340
どういうやり方だと切れるの？ちょっと想像つかないんだが。

344:名無しさん＠お腹いっぱい。
05/06/28 01:58:12
>>343
sudo pkill sshd ぐらいやると切れそう

345:名無しさん＠お腹いっぱい。
05/06/28 02:14:41
>>343
落として上げる前にうっかりログアウトしちゃった、とかか?

346:名無しさん＠お腹いっぱい。
05/06/28 12:59:35
sshd_configいじりまくるならinetdで上げときゃ楽だよ

347:名無しさん＠お腹いっぱい。
05/06/28 13:52:12
おいらは緊急時にメンテナンス用ホストからはつなげられるよう、
inet 使って別ポートを listen させてる。
もちろん、 IP フィルタリングなどガチガチに制限してるけど。

348: ◆m7YeytgDFE
05/06/28 16:37:14
>>345
SSHでログインしてることを忘れてapt-get upgradeを実行したら、
パッケージの更新中に接続が切れちゃってそれっきりに...。
翌日にPCの前で作業するまで何もできなかったことが。

349:名無しさん＠お腹いっぱい。
05/06/28 16:45:39
moreはsshだけに頼らず発信者番号通知のダイアルアップとか
使いつつローカルに偽装してrloginから入るけどねぇ


350:名無しさん＠お腹いっぱい。
05/06/28 16:50:32
>>348
sshdをrestartするだけで切れる?
バイナリ自体をupdateするとだめなのか。

>>349
pagerのmoreと紛らわしいですな。


351:名無しさん＠お腹いっぱい。
05/06/28 16:56:50
漏れは solaris なんだけど、ld -G -h libcrypto.so.1 -o libcrypto.so.1
-z allextract libcrypto.a -z defaultextrace -lsocket -lsnl を実行したと
たんに死亡した。


352: ◆m7YeytgDFE
05/06/28 17:41:22
>>350
sshdをrestartしても大丈夫でした。
今試したら、stopでも既存のSSHのセッションは生きてますね。

以前にapt-getで切れたのはSSHが原因ではなくて、OpenVPNでした。
パッケージを更新する際にopenvpnが停止したので、切れたんですね。
SSHは無実(?)でした。ごめん。


353:名無しさん＠お腹いっぱい。
05/06/29 00:43:15
接続が切れると痛い作業はscreen使っとけ

354:名無しさん＠お腹いっぱい。
05/06/29 00:55:23
>>353
話の流れ嫁。
そういう問題ではない。

355:名無しさん＠お腹いっぱい。
05/06/30 05:36:15
>>354
たぶん >>353 は L2 でつながったマシンに screen 上げておいて、そこか
ら IPv6 node local で telnet しとけってことが言いたいんだよ、きっと。

だとしたらスレ違い？


356:名無しさん＠お腹いっぱい。
05/07/08 01:04:03
authorized_keys に command="command"　を書けば遠隔からログインしたら勝手にコマンドを実行して終了しますが、
このcommand に引数を渡すことは可能でしょうか?

command="dump /home" 　の代わりに、
command="dump /var/$1"　のような書き方をしたいのです。
/var/ 以下の特定のフォルダを指定してバックアップしたいときとかは便利ですよね?

357:名無しさん＠お腹いっぱい。
05/07/08 01:17:11
$SSH_ORIGINAL_COMMAND

358:356
05/07/08 01:43:51
>>357
的確なヒントありがとうございます。



359:名無しさん＠お腹いっぱい。
05/07/08 03:14:08
OpenSSH verup age

360:名無しさん＠お腹いっぱい。
05/07/08 20:13:03
OpenSSL-0.9.8も来たよ。
春山さんのところによると脆弱性でのupdateではないようだね、
だけど、ｵｲﾗは上げてみようっと。

361:名無しさん＠お腹いっぱい。
05/07/08 23:30:14
>>360
「も」って他には何が来ているの？

362:名無しさん＠お腹いっぱい。
05/07/09 00:13:27
>>361
どうつっこめばいい？

363:名無しさん＠お腹いっぱい。
05/07/09 00:17:43
>>362
そもそも、OpenSSH verup ageというのが意味不明

364:名無しさん＠お腹いっぱい。
05/07/09 02:09:12
>361
失礼。>359への便乗の意味で「も」を使っちまった。
で、Openssl-0.9.8はまだ入れてません。現在は0.9.7gなんだけど、
今日はリモートからだから、明日ローカルから入れてみようと思ってます。


365:名無しさん＠お腹いっぱい。
05/07/09 02:35:02
>>364
shared object の version number 変ったからリモートから入れても問題無いよ。

366:名無しさん＠お腹いっぱい。
05/07/12 17:12:45
通常のssh接続はパスワード認証不可で、sftpやscpの場合にはパスワード認証可能にしたいんんですが、
なんか方法ありませんか？

367:名無しさん＠お腹いっぱい。
05/07/12 18:07:35
んじゃ、合わせてsftpやscpで~/.sshを修正できないようにしないとね。

368:名無しさん＠お腹いっぱい。
05/07/12 19:15:17
>>367
で、肝心なやり方は？

369:名無しさん＠お腹いっぱい。
05/07/12 19:54:50
>>368
金30000円申し受けます。

370:名無しさん＠お腹いっぱい。
05/07/12 21:00:21
無理してレスしなくていいよ

371:名無しさん＠お腹いっぱい。
05/07/12 21:09:37
>>370
低レヴェルな煽りですね。
オツムのレヴェルが知れます。

372:名無しさん＠お腹いっぱい。
05/07/12 22:24:53
ハイハイ

で、分かる人いませんかー？

373:名無しさん＠お腹いっぱい。
05/07/12 22:32:44
できない

374:名無しさん＠お腹いっぱい。
05/07/13 05:35:40
~/.ssh
に
no　ssh
を追加する

375:名無しさん＠お腹いっぱい。
05/07/15 00:34:38
WinScpってsu使えないんですか？rootでログインするしかないんでしょうか？

376:名無しさん＠お腹いっぱい。
05/07/15 02:55:27
>>375
なにがやりたいのかさっぱりわからない

377:名無しさん＠お腹いっぱい。
05/07/15 07:57:29
>>376
SSHしか使ってなかった時は、rootでログインなんてしなくても、wheelグループのユーザーでログインして、
必要ならsuコマンドやsudoコマンドでrootに変えればOKだったのですが

昨日WinScp使い始めたら、rootでしかいじれないファイルの編集の仕方が分からず、結局rootでログインしました。
sshd_configでわざわざrootでのログインはデフォルトでnoに設定されてるし…

378:名無しさん＠お腹いっぱい。
05/07/15 08:04:28
tramp su

379:初期不良
05/07/15 08:57:17
なんか危なっかしいのがいるな

380:名無しさん＠お腹いっぱい。
05/07/15 09:01:34
URLﾘﾝｸ(winscp.net)

ちなみにこれをやるぐらいならrootでログインしたほうがマシ

381:名無しさん＠お腹いっぱい。
05/07/15 09:47:25
>>377
yes で解決だろ

382:名無しさん＠お腹いっぱい。
05/07/15 13:38:43
sshの認証で躓いているのですが、sourceforgeにログインする方法が詳しく書いてあるページはありませんか？


383:名無しさん＠お腹いっぱい。
05/07/15 17:22:40
sourceforgeのサイトにあるよ

384:名無しさん＠お腹いっぱい。
05/07/15 21:35:04
>366
man ssh_config(5)
man sshd_config(5)
man sshd(8)
すればだいたいわかるよ。（5）とかの数字はいらんけどね。
"openssh 日本語マニュアル"ぐらいでググれば、
日本語マニュアルページもあるよ。

385:名無しさん＠お腹いっぱい。
05/07/16 17:35:21
>>384
>すればだいたいわかるよ。（5）とかの数字はいらんけどね。
普通はこうだろ。
man 5 ssh_config
man 5 sshd_config
man 8 sshd

386:名無しさん＠お腹いっぱい。
05/07/16 22:23:26
No manual entry for 5.


387:●
05/07/16 23:16:27
過去ログ読んでみたのですが、分からなかったので質問させてください。

WindowsのいろんなSSHソフトで接続すると、なんかInsert、Delete、Home、End、PageUp、PageDownキーが変。
PCにつないだキーボードで入力した時とコードが違う…？しかもソフトごとに違う。

PuTTYの標準モード
"\e[2~": Insertキー
"\e[3~": Deleteキー
"\e[1~": Homeキー
"\e[4~": Endキー
"\e[5~": PageUpキー
"\e[6~": PageDownキー

Poderosaの設定
"\e[2~": Insertキー
"\e[3~": Deleteキー
"\e[7~": Homeキー
"\e[8~": Endキー
"\e[5~": PageUpキー
"\e[6~": PageDonwキー

TeraTermの設定
"\e[1~": Insertキー
"\e[4~": Deleteキー
"\e[2~": Homeキー
"\e[5~": Endキー
"\e[3~": PageUpキー
"\e[6~": PageDonwキー

bashを使ってるので、~/.inputrc にこれを元に適当に設定して何とかなりましたが、こういうものなんですか？
Windows以外のSSHクライアントもそうなんでしょうか

388:名無しさん＠お腹いっぱい。
05/07/19 11:16:31
ホストAを踏み台にしないと到達できないホストBがあって(どちらもfreebsd)

windows(putty) --- hostA --- hostB

ホストBにログインしたいときに、
まずsshでホストAに入って、その上でホストBにsshしています。
しかしこれだとhostAのttyを1つ消費してしまいます。

hostAのttyを消費せずにhostBにssh接続できませんでしょうか？

hostAにつなぎに行く際に、puttyの設定で「擬似端末を確保しない」にチェックをいれて
リモートコマンドで「ssh -t hostB」としましたが、
「Pseudo-terminal will not be allocated because stdin is not a terminal.」となり
うまく行きませんでした。

ttyってのがいまいちよく分かってないので、的はずれでしたらすみません。

389:名無しさん＠お腹いっぱい。
05/07/19 11:37:49
その方法じゃどうやったって、tty消費するよ。なんでそんなこと気にするのかは
疑問だけど、やるんだったら
ssh -f -L 10022:hostB:22 userA@hostA sleep 600 とダミーのバックグラウンド
プロセス動かしつつ(tty消費しない)ポートフォワードして、
ssh -p userB@localhostでhostBにつなぐとか。

ちなみに、この例だと600秒経過後ひとつめのシェルコマンドは終了するけど、
2番目の接続が終了するまで、ポートフォワードしたまま待ちになる。

puttyとかで一番目の方法を実現できるのかは知らない。(Cygwinだとできる)

390:名無しさん＠お腹いっぱい。
05/07/19 11:39:49
> ssh -p userB@localhostでhostBにつなぐとか。
失礼。
ssh -p 10022 userB@localhost ね。



391:388
05/07/19 11:56:27
hostAのttyが足りないって言われるんですよね。
みんながそれぞれいろんな所に踏台にしてるので。
ttyを増やすことを考えた方がいいかな。

392:名無しさん＠お腹いっぱい。
05/07/19 13:44:25
>>389 と同じ発想だけど
オプションは
-2 -N
でいいじゃない

393:名無しさん＠お腹いっぱい。
05/07/23 00:11:37
NATの中でプライベートアドレスが設定されているPCから
グローバルアドレスをふられているサーバにsshでログインしXフォワーディング機能を
利用してウィンドウをPCに表示したいのですが，
connect /tmp/.X11-unix/X0: Connection refused
X connection to localhost:10.0 broken (explicit kill or server shutdown)
と表示されてウィンドウが表示されません。
このような環境でXをPCにとばすことはできないのでしょうか。
ssh クライアントはcygwinのOpenSSH_3.9p1を使用し，もちろんXサーバも起動しています。

394:名無しさん＠お腹いっぱい。
05/07/23 00:58:01
>>393

localのルータかどこかで6000番台のパケットを遮断してるのでは？

sshだけならログインできるの？
ssh username@hoge.com
ssh -X username@hoge.com
の結果を貼ってミソ。

395:名無しさん＠お腹いっぱい。
05/07/23 01:32:07
sshdの設定で、/etc/ssh/sshd_config
X11UseLocalhost no
とすればよいらしい。
URLﾘﾝｸ(www.jp.freebsd.org)

396:名無しさん＠お腹いっぱい。
05/07/23 09:11:35
>>394
設定では6000番台のパケットを遮断するようにしていますが、
ルータのファイアウォールログでは6000台のパケットが飛んできて遮断したログは残っていませんでした。
この辺のパケットを22番ポートの中を通してきて、PC側ではlocalからのXを表示しているように見せるのが
Xフォワーディングだと思っていたのですが、なにか大きく勘違いしてしまっているのでしょうか。
>>395
ご教示いただいた設定をしてみましたところ、サーバにログインしたときの環境変数DISPLAYがlocalhost:10.0から
サーバホスト名:10.0となったのですが、実際にウィンドウを表示しようとしても393と同じように怒られるだけでした。
皆さんはNATの中からでもXのフォワーディングできてるんでしょうか?
もしそうなら、できない訳はないと思いますのでもう少し原因を調べてみます。


397:名無しさん＠お腹いっぱい。
05/07/23 10:43:16
そうですね。できないわけはありません。ssh通ってるなら、狭義のネットワーク
設定の問題ではありませんね。

398:名無しさん＠お腹いっぱい。
05/07/23 10:47:01
>>396
>>395 の設定は不要
X サーバは起動してるとのことだが、他の X クライアントは起動できてる?


399:名無しさん＠お腹いっぱい。
05/07/23 11:24:55
tcshではまったく問題ないのですが、シェルをbashにするとコマンドを入力時によく固まるのですが、どうしたら固まらないように出来るのでしょうか？


400:名無しさん＠お腹いっぱい。
05/07/23 22:45:16
>>399
この辺の話とちゃう？
URLﾘﾝｸ(www.atmarkit.co.jp)

bashはよく知らんが、環境変数TMOUTを参照しないようにすればよいらしい。

401:名無しさん＠お腹いっぱい。
05/07/24 13:16:54
メモメモ
URLﾘﾝｸ(sshdos.sf.net)

402:名無しさん＠お腹いっぱい。
05/07/25 00:39:04
WinSCP3を起動すると不正なメモリアクセスと警告が出るのですが
問題なく?使えていますこれって大丈夫ですか?
具具ってもこの症状が出る人いないっぽいので質問させていただきました。

403:名無しさん＠お腹いっぱい。
05/07/26 06:39:00
いままでftpを使ってきたところをsftpで置き換えようとしています。
ftpの場合、ユーザーのホームディレクトリをftpでアクセスした際の
トップディレクトリにできますが、sftpの場合はどのようにやるのかわかりません。
ユーザーがsftpでログインした際に、ユーザーのホームディレクトリを
トップディレクトリにする方法はありませんでしょうか？よろしくお願いします。

404:名無しさん＠お腹いっぱい。
05/07/27 23:14:17
>>403 ssh は何？openssh なら、でふぉでそうなるが。

405:名無しさん＠お腹いっぱい。
05/07/27 23:23:10
>>403
scponly か chrootssh でいけるかもわからんね。


406:名無しさん＠お腹いっぱい。
05/07/29 21:15:42
どなたかアドバイスを下さい．

グローバルIP(133.XXX.YYY.ZZZ)を持ったブロードバンドルータ(MN8300)
内のリーモートPC(Linux)にsshを使ってWAN側からアクセスしたいのですが，
どの様にしたら良いのでしょうか？

普段，LAN内はもちろんLAN側→WAN側のリモートホストにはsshを使って
ログインしています．

ググたり本読んだりしていろいろ調べましたが，｢Port Forwarding を
使えばどうにかできそうな？｣と思う位で，全然理解出来ませんでした．
(セキュリティやネットワークの圧倒的な知識不足です(-_-;))

ヒントだけでも頂ければ光栄です．よろしくお願いします．m(__)m　

407:名無しさん＠お腹いっぱい。
05/07/29 21:17:07
>>406
ヒント：Port Forwarding

408:名無しさん＠お腹いっぱい。
05/07/29 22:17:22
>>406
釣りじゃないよね？
単にルータのポートあければ済む。

それとも送信元ネットワークのFW越えとかそういう話？

409:名無しさん＠お腹いっぱい。
05/07/30 02:09:58
>>406
斜め読みでレス。ポートを開けて、スタティック(静的)ルートを設定。


410:名無しさん＠お腹いっぱい。
05/07/31 13:25:26
SSHログインできなくて困っています。

サーバはcoLinux+debianです。新しく立てました。
クライアントはcygwinのssh.exeです。ssh localhostでも同じです。purryも試しましたが同じ状況です。

「Password:」のプロンプトに続けてパスワードを入れた直後に、
切断されてしまいます。
colinux:/home# ssh xxxx@localhost
Password:
Connection closed by 127.0.0.1
colinux:/home#

auth.logは下記のようになっています。
Jul 31 13:14:05 colinux sshd[2676]: Connection from ::ffff:127.0.0.1 port 1034
Jul 31 13:14:05 colinux sshd[225]: debug1: Forked child 2676.
Jul 31 13:14:05 colinux sshd[2676]: debug1: Client protocol version 2.0; client software version OpenSSH_3.8.1p1 Debian-8.sarge.4
Jul 31 13:14:05 colinux sshd[2676]: debug1: match: OpenSSH_3.8.1p1 Debian-8.sarge.4 pat OpenSSH*
Jul 31 13:14:05 colinux sshd[2676]: debug1: Enabling compatibility mode for protocol 2.0
Jul 31 13:14:05 colinux sshd[2676]: debug1: Local version string SSH-1.99-OpenSSH_3.8.1p1 Debian-8.sarge.4
Jul 31 13:14:05 colinux sshd[2676]: debug1: PAM: initializing for "xxxx"
Jul 31 13:14:05 colinux sshd[2676]: debug1: PAM: setting PAM_RHOST to "localhost"
Jul 31 13:14:05 colinux sshd[2676]: debug1: PAM: setting PAM_TTY to "ssh"
Jul 31 13:14:05 colinux sshd[2676]: Failed none for xxxx from ::ffff:127.0.0.1 port 1034 ssh2

また、パスワードを間違えた場合と正しく入力した場合でauth.logの出力が違っていますので、
認証は通っているのではないかとおもいます。

よろしくお願いします。

411:名無しさん＠お腹いっぱい。
05/07/31 13:33:16
>>410
/etc/hosts.allow とかはどうなってんの？


412:名無しさん＠お腹いっぱい。
05/07/31 13:49:07
>>410
ChallengeResponseAuthentication no
とか


413:410
05/07/31 14:02:44
ありがとうございます。

hosts.allowは
ALL:ALL:allow
sshd: ALL
でした。
ALL: ALL
sshd: ALL
としてもだめでした。

/etc/ssh/sshd_configは、
PasswordAuthentication yes
ChallengeResponseAuthentication yes
です。

ChallengeResponseAuthenticationはnoだったので
yesにしてsshdをrestartしても状況は変わりませんでした。

よろしくお願いします。


414:名無しさん＠お腹いっぱい。
05/07/31 16:15:27
>>413
「UsePAM no」をsshd_configに追加してみる。

415:名無しさん＠お腹いっぱい。
05/07/31 19:14:38
> クライアントはcygwinのssh.exe
っていってるのに
> colinux:/home# ssh xxxx@localhost
これはどういうこと？

416:名無しさん＠お腹いっぱい。
05/08/01 00:09:36
Windowsのコンピュータ名がcolinux

417:410
05/08/01 08:34:08
ホストマシン(=windows)からcygwinでログインできなくて、コリャおかしいということで
ゲスト（＝colinux）に入ってlocalhostにsshしていました。
ややこしくしてすみません。


418:410
05/08/01 08:42:45
>>414
UsePAM yes
を
UsePAM no
にしたらログインできました。
ありがとうございます。

なにがおこってたのでしょうか。これから調べてみます。

419:名無しさん＠お腹いっぱい。
05/08/09 16:37:48
ちょっと板違いかもしれないですが。

ブラウザ上のホスト名のリンク(もしくはボタン)をクリックすると、
そのホストに対してのsshクライアントが立ち上がるようなツールを考えているんだけど、
どうやったらできるか教えてください。

windows上のfirefox で、接続先はFreeBSDです。

420:名無しさん＠お腹いっぱい。
05/08/09 16:53:51
ssh://

421:名無しさん＠お腹いっぱい。
05/08/09 19:23:20
>>419
鍵の指定とかどうすんの？

422:名無しさん＠お腹いっぱい。
05/08/09 20:16:50
>>421
それは考えなくてもいいかと、sshクライアントまかせだし。

で、確かにプロトコルはsshだけど実際はssh関係ないし板違いにはまちがいない。
firefoxはわからんけど、Windows作法での登録ならMSDNに載ってるので調べてみましょう。

423:419
05/08/09 20:23:26
板違いすみませんでした。
ssh:// に登録できればよかったんですが、よく分からなかったので、
telnet:// に URLからサーバ名とオプションに変換するラッパーを登録して
sshクライアントを起動することができました。
とりあえず、これで満足。

424:名無しさん＠お腹いっぱい。
05/08/09 23:36:07
delegate面白げ。
URLﾘﾝｸ(www.delegate.org)


425:名無しさん＠お腹いっぱい。
05/08/18 16:42:10
ssh(scp)でファイル転送すると、httpの場合に比べて
何パーセントぐらいオーバーヘッドがあるのでしょうか。
ADSL接続なホストからファイルをgetした時、
間に挟まってるプロキシのせいもあるんだろうけど、
殆ど差がなくて(scpのほうが速い時もあった)、ちと気になったもので。

426:名無しさん＠お腹いっぱい。
05/08/18 17:12:34
>>425
ssh の場合は Compression できる場合もあるしね。

427:名無しさん＠お腹いっぱい。
05/08/18 17:47:42
今ちょっとパケットダンプをしてみたが、
7106003バイトのファイルを転送するときに、
scp(非圧縮)で、7569559バイト、httpで7518479バイトだった。
意外にオーバーヘッド小さいね。
この数字は上り下り全部込みで、鍵の交換などのシーケンスも
含まれてるから、ファイルサイズが大きくなれば、もっと差は縮まると思う。

428:名無しさん＠お腹いっぱい。
05/08/18 18:19:40
測定環境にも大いに依存すると思うけど、傾向はわかるかな。
bzip2 -9 で圧縮された、約30Mbのファイル転送にかかった時間。

Windows PC(PM735) -> Linux PC(VIA C3 533)

winscp SFTP(v3) ... 2:25
winscp SCP ... 2:30
pscp ... 2:27
scp (cygwin) ... 0:39
ftp ... 0:18

winscpって、puttyのコード使ってるんでしたっけ?
なぜこんなに遅い?!

429:名無しさん＠お腹いっぱい。
05/08/18 19:23:57
>>428
使った暗号アルゴリズムも書かないとわからん

430:名無しさん＠お腹いっぱい。
05/08/18 20:12:53
arcfourで転送するのが最速だな。

431:428
05/08/18 20:31:21
arcfour 確かに速いすね

同条件で
scp 3des ... 0:41
scp arcfour ... 0:33

428での winscp の結果は aes でのものでした
でも 3des にしても誤差程度しか変わらなかった…

432:名無しさん＠お腹いっぱい。
05/08/18 21:26:29
scp の時だけ arcfour とかに変更って、どうやったらいいのかな。

433:名無しさん＠お腹いっぱい。
05/08/18 22:22:17
>>432
scp -c arcfour と指定する方法じゃだめなのか?


434:名無しさん＠お腹いっぱい。
05/08/18 22:45:16
> VIA C3 533
ぐらいのマシンになると、それなりにアルゴリズムで変化あるかもね。
ネットワーク帯域的にはどんぐらい差があるんだろうか。

435:名無しさん＠お腹いっぱい。
05/08/19 00:29:21
>>431
Blowfishだとどうよ？

436:名無しさん＠お腹いっぱい。
05/08/19 00:36:19
アルゴリズムでかなりスピードが変わるらしい。Triple-DESって速そうなイメージあったけど･･･。
URLﾘﾝｸ(slashdot.jp)

437:名無しさん＠お腹いっぱい。
05/08/19 02:11:40
当たり前じゃん…

438:名無しさん＠お腹いっぱい。
05/08/19 02:44:43
アルゴリズム変えるなら鍵作りなおさなきゃならんのか。

439:名無しさん＠お腹いっぱい。
05/08/19 09:23:58
>>430-432
パス指定とかメンドイ時は、WinSCP 使って転送してるんだけど、
これは arcfour 設定できないのかな…


440:428
05/08/19 09:53:22
428と同じ条件でもう一回やってみた。
面倒なのでそれぞれ1回しか測定してない。

winscp 3.7.5 (SSH implementation: OpenSSH_3.7.1p2)
blowfish ... 2:23
3des ... 2:25
aes ... 2:23

scp (OpenSSH_4.1p1)
3des ... 00:42
blowfish ... 00:40
arcfour ... 00:36

>>436 ほど結果に差がないのはまあなんか理由付けできそうだけど、
winscp ってほんとにOpenSSHの実装なのかなぁ(^^;
Server/Protocol Informationにはそうでているけど…。
俺がなんか間違ってる気がするが、わからん orz

>>439
今のバージョンではむりぽ。

441:名無しさん＠お腹いっぱい。
05/08/19 11:16:20
opennsslに入ってるx86用のアセンブラのコードを使ってないとかじゃない？

442:名無しさん＠お腹いっぱい。
05/08/19 12:50:03
C3だと中にハードウェアAESアクセラレータ入っててOpenBSDだかOpenSSLだかだと
それを有効活用するんじゃなかったっけか


443:428
05/08/19 13:52:25
すみませんすみませんすみません。
winscpはやっぱり putty 由来のコードですよね。
CVSリポジトリをちょっと覗いてみました。最初から見とけば良かった。

"Server/Protocol Information" に表示されるのは、
サーバで動いてるデーモンのバージョンですよね。
ああ、俺はなにをトチ狂ってしまったのかな(^^;
サーバをきちんとメンテしてないのをばらしてしまっただけだ orz

釣りしてしまってごめんなさいごめんなさい

444:名無しさん＠お腹いっぱい。
05/08/19 18:00:35
WinSCPが変に遅いのはforumとかで指摘されていたな。

あとsshdをURLﾘﾝｸ(www.psc.edu)に入れ替えると速いよ。

445:Debian_User ◆.sd0fJv372
05/08/19 23:44:43
puttyのputtygen.exeを使ってSSH-2 RSA 1024bitにチェックを入れた状態で
Generateをクリックして作成し、上の方に
Public key for pasting in to OpenSSH authorized_keys file:
と表示されている下の枠の文字列を全てコピーして、そして
# vi /home/user/.ssh/authorized_keys
で開いて、　今さっきコピーした内容を全てペースト後、 :wq を実行して
保存してviを終了して、 Key passphrase: と Confirm passphrase:　に
pass pass と同じ内容を入れてSave private keyをクリックして private.ppkで保存し、
# /etc/ini.d/ssh restart
# /etc/ini.d/ssh reload
と一応再読み込みしておいて、putty.exeを起動し、認証のところに先ほど作成した
private.ppkを選択し、接続を試みてみましたが
login as: user
Server refused our key
Using keyboard-interactive authentication.
Password:
となってしまい、パスワード認証しかできません。
他には、# ssh-keygen -t rsa を実行して公開鍵と秘密鍵を二つLinux側で作成して
# mv id_rsa.pub .ssh/authorized_keys として WindowsからFTPで秘密鍵（id_rsa)を
asciiモードとbinaryモード両方でダウンロードして（両方試すために)
両方ともputtygen.exeでLoadクリック＞読み込みで読み込みましたが、パスフレーズを
入力しろと言われて正常に読み込めます。正常に読み込んだので、Save private key
をクリックから private.ppk で保存して、それをputtyで読み込みつつサーバに接続しても
Server refused our key となります。binaryモードでFTPダウンロードしたファイルも
asciiモードでFTPダウンロードしたファイルもどっちをputtygen.exeに読み込ませても
結果は同じになります。かれこれ8時間以上Googleで検索したり試行錯誤したりしています。
何が悪いのかイマイチわかりません。どうかお助けを～・・・。

446:名無しさん＠お腹いっぱい。
05/08/20 00:05:47
id_rsa.pubの中を見ればわかると思いますが、
OpenSSHの鍵の表現とPuTTYのそれとは違います。
authorized_keysの中はひとつの鍵に対して１行になっています。
データ自体は共通ですので、適当にテキスト編集すればOKです。

とりあえずssh(1)は読んどきましょう。
$ man 1 ssh

447:Debian_User ◆.sd0fJv372
05/08/20 00:40:23
>>446
適当にテキスト編集するあたりよくわからないのですが・・・。
man 1 ssh　は読みましたが、難しい・・・。

ところで、気になったのですが
user@debian:~/.ssh$ /etc/init.d/ssh restart
Could not load host key: /etc/ssh/ssh_host_rsa_key
Could not load host key: /etc/ssh/ssh_host_dsa_key
Disabling protocol version 2. Could not load host key
sshd: no hostkeys available -- exiting.
このメッセージは問題がありますか？rootで実行すると正常にrestartできます。

448:名無しさん＠お腹いっぱい。
05/08/20 00:43:37
>このメッセージは問題がありますか？rootで実行すると正常にrestartできます。

root 以外で restart しようとしてるのか？

449:Debian_User ◆.sd0fJv372
05/08/20 03:05:10
>>448
そうです。できるわけないんですね・・・・。orz

ん～だめだ、どうやっても公開鍵方式での認証ができない。

450:名無しさん＠お腹いっぱい。
05/08/20 05:10:12
ls -l .ssh/authorized_keys

ssh -vvv


451:Debian_User ◆.sd0fJv372
05/08/20 05:48:34
>>450
user@debian:~$ ls -l .ssh/authorized_keys
-rw------- 1 user root 828 Aug 20 00:37 .ssh/authorized_keys
user@debian:~$ ssh -vvv
OpenSSH_3.8.1p1 Debian-8.sarge.4, OpenSSL 0.9.7e 25 Oct 2004
usage: ssh [-1246AaCfghkNnqsTtVvXxY] [-b bind_address] [-c cipher_spec]
[-D port] [-e escape_char] [-F configfile] [-i identity_file]
[-L port:host:hostport] [-l login_name] [-m mac_spec] [-o option]
[-p port] [-R port:host:hostport] [user@]hostname [command]

となりましたが・・・？よくわかりませんですはい。。
公開鍵認証にこれほどまで苦労するとは・・・おかしいなぁ・・・。
Fedora Core1の時はすんなりいけたんだけどなぁ・・・。

452:名無しさん＠お腹いっぱい。
05/08/20 05:53:02
ssh -vvv で繋げてみた時にメッセージ見せろっつってんだ。
過去ログもちゃんと読めよ

453:Debian_User ◆.sd0fJv372
05/08/20 09:48:00
>>452
改行が多すぎると怒られて投稿出来ないので
URLﾘﾝｸ(www.geocities.jp)
をご覧くださいまし。

454:名無しさん＠お腹いっぱい。
05/08/20 11:54:51
それだけ分かりやすく書いてあるのに分からないのか?
Cygwinでもchmodできるからね。

455:Debian_User ◆.sd0fJv372
05/08/20 12:16:31
>>454
いや、わかっていたのですが、chmodしても解決しなかったのでそのまま載せました。
改めて載せます。
URLﾘﾝｸ(www.geocities.jp)
これはLinux側で $ ssh-keygen -b 1024 -t rsa と実行して鍵を生成して
生成されたid_rsaをsftpでWindows側にDLしてそれをCygwinで読み込んでみたものです。

Enter passphrase for key 'id_rsa':　　と書かれているところで、正しいパスフレーズを
打ってもPassword:とパスワード認証に切り替わってしまいます。

URLﾘﾝｸ(www.geocities.jp)
これは、Linux側で $ ssh-keygen -b 1024 -t rsa と実行して鍵を生成して
生成されたid_rsaをsftpでWindows側にDLして、それをputtygen.exeに読み込み、
Save Private keyボタンをクリックしてPutty独自のフォーマット形式に変換したファイルを
Cygwinで読み込んでみたものです。
Enter passphrase for key 'putty_private.ppk':
Enter passphrase for key 'putty_private.ppk':
Enter passphrase for key 'putty_private.ppk':
3回正しいパスフレーズを打ち込んでもこうなりまして、その後Password:となり
上記同様パスワード認証に切り替わってしまいます。
いずれも成功していません。

456:名無しさん＠お腹いっぱい。
05/08/20 12:30:29
そりゃ失礼
rootで/usr/sbin/ssh -ddd -p 10443とかしてデバッグモードにして、
クライアントでつないでから、ログ見るといいかもよ。(-dddじゃログの
量多すぎるかもしれないけどそのへんは適当に)

457:Debian_User ◆.sd0fJv372
05/08/20 12:49:08
>>456
Debugモード動かしてみましたが、意味がわからないです（汗。

今ちょっとひっかかったのですが、puttyは
puttyjp.exeの日本語版（EUC-JP)で接続していますが、
Debian側は、未だに日本語が表示されない状態でして・・・。
サーバ機を直接操作するときは、ログインしたら
# export LANG=C を実行しなければ文字化けする状態なんですが
puttyjp.exeで接続した場合は、なぜかとりあえず英語の部分が文字化けしません。
ですが、日本語の文字列を入れた瞬間にひどい文字化けが発生します。

この、日本語とかの文字コードの問題によって正常に接続できないのかと思い
puttyjp.exeじゃなくてputty.exe(英語版）で接続してみましたが、やはり同じでしたorz。
Fedora Core1のときはすんなりできたのですが、どうしてDebianだとこんなに苦労するのか
不思議でたまりません。難しいです・・・・。

URLﾘﾝｸ(www.geocities.jp)
どこか設定おかしいのですかね・・・・。

458:名無しさん＠お腹いっぱい。
05/08/20 17:33:32
まず日本語が化ける問題とsshはまったく関係ない。
sshは8bitスルーでデータを送受信するだけで、データ自体には感知しないから。

・システムや環境変数によるLocaleの設定
・コンソールやPuTTYで扱える文字コード
あたりを調べてから、debian・Linuxくだ質・PuTTYスレあたりにいくべし。

459:名無しさん＠お腹いっぱい。
05/08/20 17:54:49
debian スレからきてんのよね。

460:名無しさん＠お腹いっぱい。
05/08/20 17:59:14
>>457
板違いだ。国に帰りたまえ。

461:名無しさん＠お腹いっぱい。
05/08/20 18:48:51
ls -l .ssh/
やってみ。

462:名無しさん＠お腹いっぱい。
05/08/20 18:49:58
>>461
個人情報(ユーザ名)がふくまれているので載せれません。

463:名無しさん＠お腹いっぱい。
05/08/20 18:53:48
>>462
.ssh/のパーミッションが知りたいだけなので、その部分だけどうぞ。

464:名無しさん＠お腹いっぱい。
05/08/20 21:40:06
っていうか何を載せなければ大丈夫なのかも把握していないのか……

465:名無しさん＠お腹いっぱい。
05/08/21 00:26:13
>>463
質問者じゃないけど、
.ssh/のパーミッション知りたいなら、ls -ld .ssh だろ。

466:名無しさん＠お腹いっぱい。
05/08/21 00:48:48
>>465
素でtypoですorz
何で気が付かなかったんだろ・･･。

467:名無しさん＠お腹いっぱい。
05/08/21 01:18:50
その繋ごうとしてるDebianのサーバーはちゃんと公開鍵認証で入れるようになってるの？

468:Debian_User ◆.sd0fJv372
05/08/21 04:29:37
>>458
なるほど、関係ないんですね・・。文字化けに関してはその辺調べないと・・。

>>459
Debianスレから誘導されました。sshに関する質問はDebianスレではスレ違いで
sshの本スレにいけと言われました。

>>462　は私の偽者ですね。私じゃありません。

>>463
>>464
載せることができます。

sidou@debian:~$ ls -ld .ssh/
drwx------ 2 sidou users 4096 Aug 20 14:38 .ssh/

>>467
URLﾘﾝｸ(www.geocities.jp)
これを見て頂ければわかるかと思いますが、
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile%h/.ssh/authorized_keys
となっていますので、公開鍵認証ができるはずです。Fedoraのときはこれで
正常にいけました。
ですがもうかれこれ相当膨大な時間を消費して必死に試行錯誤しましたが
結局公開鍵認証ができなかったので、超長いパスワードで認証することにしました。

469:名無しさん＠お腹いっぱい。
05/08/21 04:37:14
ターミナルで表示したとき
一行に収まらない文字列をコピペすると
行末で勝手に改行することあるよ。
そこら辺調べた？

470:名無しさん＠お腹いっぱい。
05/08/21 04:50:40
そのDebianのサーバーに入ったままで、>>455で作った鍵のid_rsa.pubの内容を
~/.ssh/authorized_keysに入れて
ssh localhost
ではどうなる？

それか~/.ssh/authorized_keysのサイズからしてほかのキーも入ってるみたいだけど
~/.ssh/authorized_keysを名前変えるなりしてどっかに退避しておいてから、
~/.ssh/id_rsa.pubを~/.ssh/authorized_keysにリネームして挑戦したらどう？

それでだめなら試験的に作った奴でいいから~/.ssh/authorized_keysを晒してもらった
方がいいかも…。

471:名無しさん＠お腹いっぱい。
05/08/21 05:06:46
サーバとクライアントでログを出力して、きちんと調べろ。
意味がわからないならわからないところを聞け。
sshの気持ちになってみろ。

472:Debian_User ◆.sd0fJv372
05/08/21 06:07:28
>>469
コピペする方法は何かと失敗しそうな感じ（改行が入ったり。）なので
$ cat id_rsa >> authorized_keys
でコピペせずに行っています。

>>470
sidou@debian:~/.ssh$ ls -ld ../.ssh/
drwx------ 2 sidou users 4096 Aug 21 06:00 ../.ssh/
sidou@debian:~/.ssh$ ls -ld authorized_keys
-rw------- 1 sidou users 242 Aug 21 06:00 authorized_keys
sidou@debian:~/.ssh$ diff id_rsa.pub authorized_keys
sidou@debian:~/.ssh$
sidou@debian:~/.ssh$ ssh -p 443 -i id_rsa
id_rsa id_rsa.pub
sidou@debian:~/.ssh$ ssh -p 443 -i id_rsa localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 95:c1:a2:65:01:c5:1f:43:a2:67:e7:4b:eb:91:06:4b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
Password:　←パスフレーズを入力
Password:　sidouのパスワードを入力
Password:　←空白（Enterだけ押した）
sidou@localhost's password:　←ココでsidouのパスワードを入力するとLoginできるが、ただのパスワード認証。
という結果になります。
次の投稿で、.ssh/authorized_keysを晒します。

>>471
すみません・・・なんせLinuxドシロウトなもので・・（汗。

473:Debian_User ◆.sd0fJv372
05/08/21 06:08:49
authorized_keysの中身です。

sidou@debian:~/.ssh$ cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEArC6bgRl46TGN73ftqcO3bQAelZzZNkAdbcoQl2ERhN5AFr9Bru6XDjxK2Mz3wOQbeZmFnB/smWurvZNEbYDtjn15bRoswg9oU/OdC2N9cDxIcmK57usq/TnKQs+FodIOD1HPJWqtdASkBegn2l7RRrcbE+PO3PiOXx9QVj3wCAE= sidou@debian.hikarusystem.ddo.jp
sidou@debian:~/.ssh$

問題あるんでしょうか・・・？

474:名無しさん＠お腹いっぱい。
05/08/21 06:22:18
ssh-rsaの後は改行されているのか？

475:Debian_User ◆.sd0fJv372
05/08/21 06:27:15
>>474
改行されていません。全て一行です。メモ帳にコピペして
メモ帳を最大化して閲覧してみるとわかります。（右側で折り返しオプションなしで。）

476:名無しさん＠お腹いっぱい。
05/08/21 07:19:18
>>472
ログを調べようとしないからシロウトのままなんだろ。
まあ好きにすればいいよ。

477:名無しさん＠お腹いっぱい。
05/08/21 07:39:56
「Fedoraの時は大丈夫でした。(私は悪くありません)」
「素人なので」
ばっかりだしな。もう放置でいいよ…

478:Debian_User ◆.sd0fJv372
05/08/21 09:48:47
Debugモードでわからないなりに操作してみた・・・。
WARNING: /etc/ssh/moduli does not exist, using old modulus
Failed none for sidou from 192.168.11.2 port 3912 ssh2
debug3: mm_auth_password: user not authenticated
Failed none for sidou from 192.168.11.2 port 3912 ssh2
debug1: userauth-request for user sidou service ssh-connection method publickey
debug1: attempt 1 failures 1
debug2: input_userauth_request: try method publickey
debug1: test whether pkalg/pkblob are acceptable
debug1: temporarily_use_uid: 1002/100 (e=0/0)
debug1: trying public key file /home/sidou/.ssh/authorized_keys
debug3: secure_filename: checking '/home/sidou/.ssh'
debug3: secure_filename: checking '/home/sidou'
Authentication refused: bad ownership or modes for directory /home/sidou
debug2: userauth_pubkey: authenticated 0 pkalg ssh-rsa
Failed publickey for sidou from 192.168.11.2 port 3912 ssh2
気になるログを抽出してみました。
Authentication refused: bad ownership or modes for directory /home/sidou
が最高に気になります！。
debian:~# ls -ld /home/sidou/
drwxrwxrwx 6 yurie yurie 8192 Aug 20 16:48 /home/sidou/
debian:~# chown sidou /home/sidou/
debian:~# ls -ld /home/sidou/
drwxrwxrwx 6 sidou yurie 8192 Aug 20 16:48 /home/sidou/
debian:~# chmod 700 /home/sidou
とパーミッションを変更して# /etc/ini.d/ssh stop ; /etc/ini.d/ssh start (なぜかrestartじゃできなかった。)とすると
公開鍵認証に成功しました！こんなところではまっていたとは・・トホホ・・なんで全然知らないユーザ(yurie)とかいうのに
なってんだよパーミッション・・。　>>476氏にログを調べないからシロウトのままと言われて
ちょっと頭にきましたが、本当にそうなんだろうと思い、がんばってログを調べた結果がコレです。
私が悪かったです。ログを今度からはしっかり見ようと思います。というかDebugモードの存在を知らなかった・・・orz。

479:Debian_User ◆.sd0fJv372
05/08/21 09:52:19
>>478
>とパーミッションを変更して# /etc/ini.d/ssh stop ; /etc/ini.d/ssh start (なぜかrestartじゃできなかった。)とすると

これ間違い。正しくは
/etc/init.d/ssh ね・・・。　でもなぜrestartじゃ反映されなかったんだろ。
stopじゃなきゃ反映されなかった。公開鍵認証ができるようになって本当にうれしいです。
何時間苦労したことか・・・苦労した甲斐がありました！

皆様大変ありがとうございました！。

480:名無しさん＠お腹いっぱい。
05/08/21 10:15:43
マルチの相手すんなよ。

481:名無しさん＠お腹いっぱい。
05/08/21 10:29:35
というかdebianで
chmod 755 ~
しとけ。
なんで777なんだ？

482:名無しさん＠お腹いっぱい。
05/08/21 11:24:24
>>478
/home/sidouの所有グループがyurieのままになってる予感。

chown sidou:users /home/sidou

やっとけ。

483:Debian_User ◆.sd0fJv372
05/08/21 11:37:44
>>482
あ、ログには書きませんでしたが、きちんと実行しています。ありがとうございます。
でも、実際にやったのは
# chown sidou /home/sidou
# chgrp users /home/sidou
でしたが。chown sidou:usersで一気に変更できるのは知りませんでした。

>>481
？

484:名無しさん＠お腹いっぱい。
05/08/21 11:41:49
>>>481
>？

ダメだこりゃ

「drwxr-xr-x」にしろってことだよ。

485:Debian_User ◆.sd0fJv372
05/08/21 11:58:14
>>484
いや、それはわかりますが、どこのディレクトリを？

# chmod 755 ~
$ chmod 755 ~
の二通り考えられますが、前者は /root/　を755に
後者は /home/sidou/ を755にすることになりますよね？
どこを755にしろと言ってるのかわからなかったので　「？」とレスしました。

486:名無しさん＠お腹いっぱい。
05/08/21 12:27:09
両方だ

487:名無しさん＠お腹いっぱい。
05/08/21 22:35:00
yurie からクラック♪

488:Debian_User ◆.sd0fJv372
05/08/21 22:48:39
>>487
ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

489:名無しさん＠お腹いっぱい。
05/08/21 23:13:29
group も yurie になってるけどいいのか？

490:名無しさん＠お腹いっぱい。
05/08/22 08:16:40
っていうか/rootも777だったのかよ。
呆れ返るな。

491:名無しさん＠お腹いっぱい。
05/08/22 08:17:56
もう一回聞くけど、なんで777だったの？

492:名無しさん＠お腹いっぱい。
05/08/22 08:33:42
なんつーか、センスないよな。

493:名無しさん＠お腹いっぱい。
05/08/22 11:52:40
>>491
has cracked

494:名無しさん＠お腹いっぱい。
05/08/22 12:07:30
$ ssh -L 21:ftp.hogehoge:21
とかのコマンドを実行して、
ftp>o localhost 21
を実行すると、hogehoegの21番に接続できますが、
例えば制限された職場等の環境から、アクセス規制がかかっているサイトを開くためには
どういうコマンドを実行すればいいですか？
$ ssh -L 80:目的のサイトドメイン名:80
だと、ブラウザに URLﾘﾝｸ(localhost:80)
と打てば確かにそのサイトを開くことができるでしょうが、開いた後、
そのサイトからリンクをめぐっていく場合に、リンクをクリックした瞬間から
アクセス規制が働きそうな気がします。その後のリンクにおいても正常にアクセスできるように
フォワードするにはどうすればいいのでしょうか？ご教授よろしくお願いします。

495:名無しさん＠お腹いっぱい。
05/08/22 12:15:03
入門SSH買ってきてSocksの項目読んでろ

496:名無しさん＠お腹いっぱい。
05/08/22 12:16:20
踏み台にしてるsshホストにHTTP-proxyでも建てたら？

497:名無しさん＠お腹いっぱい。
05/08/22 12:21:30
アクセス規制がかかっているサイトを開きたいのですが、と
職場の管理者に相談する。

498:名無しさん＠お腹いっぱい。
05/08/22 12:23:49
ssh -Dでsocksにすりゃいいじゃん。

sshが出来る時点で何でも出来るのに等しいから、システム管理者はportを塞いでいないのか？

499:名無しさん＠お腹いっぱい。
05/08/23 02:18:54
「ssh空いてるじゃん？な～んだ何してもいいんだ」
と思って家の鯖にトンネル掘ってvpn張って家のマシンにnfs mountとかして会社の
マイマシンの環境構築に勤しんでいたら、ある日ネト管の人に怒られた漏れが来ましたよ。

500:名無しさん＠お腹いっぱい。
05/08/23 04:03:27
ssh -Dを教えていただき、ありがとうございました。
システム管理者は22番はふさいでいます。
なので、通常はssh接続できませんが、
http(80),https(443)は開放しています。
この番号は、 URLﾘﾝｸ(*.html)<) を開くときに必要でしょ？
なので、これを利用しています。
つまり、80番で自宅にsshサーバを立てると通信内容が漏れて（sshのヘッダがばれて）
はじかれますが、httpsだと、sshのヘッダが入っていても、その内容にProxyは感知
しません。なので、ssh -p 443で接続することによって、ポーと塞ぎを回避しています。

501:名無しさん＠お腹いっぱい。
05/08/23 04:13:22
ssh -Dについて、詳細に解説しているサイトを教えてください。
Googleで ssh -Dと検索しましたが、これだと
"D"と言う文字列を除いてsshを検索（not オプション)になってしまい、まともに
検索できません。





贅沢を言うとなるべくなら画像付で開設しているサイトとか。。。まぁ
画像なくて文章だけでもかまいませんので、よろしくお願いします。

502:名無しさん＠お腹いっぱい。
05/08/23 06:50:48
manとソース読め

503:名無しさん＠お腹いっぱい。
05/08/23 12:36:30
>>500
ふさいでる、ってことはやっちゃいけないんだと思うよ。
443を開けているのは何やってもいいわけじゃないでしょう。
システム管理者に談判するのが筋。


504:名無しさん＠お腹いっぱい。
05/08/23 12:55:31
ちなみにどういう理由で怒られるの？

505:名無しさん＠お腹いっぱい。
05/08/23 13:14:09
そりゃ情報漏洩になるだRO!とかそのへん。
そうでなくても、何かあった時に疑わう罠。

管理者に直談判して許すぐらいなら、まー、はじめから空けてるね。

506:名無しさん＠お腹いっぱい。
05/08/23 19:12:18
>>500

悪いことは言わん、やめておけ。
業務上必要なら、担当者に相談しろ。
業務上不要なら、クビを覚悟で。

まともなとこなら定期的(/リアルタイム)でトラフィックパターンをチェックしてます。特定サイトへのトラフィックが増えれば、最低でも 1 ヶ月以内に分かりますよ。


507:名無しさん＠お腹いっぱい。
05/08/23 23:50:28
sniffすればsshのトラフィックとhttpsのトラフィックは一目で判別できるのでそこんとこよろしく。

508:名無しさん＠お腹いっぱい。
05/08/24 00:26:55
stoneでもかましとけば？

509:名無しさん＠お腹いっぱい。
05/08/24 10:28:08
中小に「まともなとこ」なんてないよ

510:名無しさん＠お腹いっぱい。
05/08/26 20:42:21
みんなに質問。
sshを会社や学校で使ってる人・ローカルな仲間内で使ってる人さまざまだと思うけど、
使ってるバージョンは？
もし、いつも最新版を使ってるなら、リリースがあってからどれぐらいでVer．upしてる？


511:名無しさん＠お腹いっぱい。
05/08/26 21:07:25
>>510
ftpサイトに起かれた時点でインスートールしてる。
もちろんリリース前

512:名無しさん＠お腹いっぱい。
05/08/26 21:57:40
当然、CVSのHEAD追っかけ。

513:名無しさん＠お腹いっぱい。
05/08/26 22:13:28
$ ssh2 -V
ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on **********

$ ssh1 -V
SSH Version 1.2.33 [**********], protocol version 1.5.
Standard version. Does not use RSAREF.

514:名無しさん＠お腹いっぱい。
05/08/26 22:51:21
>>510
Vineのパッケージに追従。

515:510
05/08/27 23:29:26
>511->514
なるほどねぇ。皆さんありがとう。
紹介が遅れましたが、うちは自宅と実家（隣町なんだけどね）でファイルのやりとりしてるんですが、
ここで「ｷﾀー」ってのがあってから最新にしてます。
だけど、やっぱりパッケージから入れてる人は　>514さんみたいになるのかな？
おそらく多数派はこのあたりなんでしょうか？
とりあえず答えてくれた皆さんありがとう。参考になりました。

516:名無しさん＠お腹いっぱい。
05/08/31 02:01:21
FreeBSDにOpenSSH 4.1p1を入れたいのでOpenSSL 0.9.8を入れようとしたらエラーorz
OpenSSLで前もって入れておくもの(依存関係)とかありますか?
また、OpenSSHでOpenSSL以外に必要なものがあれば教えてください

517:516
05/08/31 02:05:09
エラーが出てたのはOpenSSHだった
configureでIf you are in doubt, upgrade zlib to version 1.2.1.2 or greater.が発生。
zlib-1.2.3いれてるのに--without-zlib-version-checkしないと( ﾟДﾟ)ﾏｽﾞｰかな

518:名無しさん＠お腹いっぱい。
05/08/31 13:08:12
send-prしとけよ。ＦＲＥＥ　ＢＳＤユーザーはこんなんばっかなのか？

519:名無しさん＠お腹いっぱい。
05/08/31 17:27:37
>>518
「わざと全角にした」に一票

520:名無しさん＠お腹いっぱい。
05/09/01 06:23:44
>516
えーと当然だけどportsから入れようとしているんだよね？

521:名無しさん＠お腹いっぱい。
05/09/01 23:11:53
>516
どんなエラーが出たの？
ソースからビルドしたの？
zlibは？
そんなあなたに
URLﾘﾝｸ(www.openssh.com)
あと、FreeBSDのバージョン&gccのバージョンなども書くといいんじゃない？

522:名無しさん＠お腹いっぱい。
05/09/01 23:13:43
>>521
-CURRENT使っている方に10000ペリカ。

523:名無しさん＠お腹いっぱい。
05/09/02 00:47:05
4.2p1ｷﾀｷﾀｷﾀｷﾀ━━(ﾟ∀ﾟ≡(ﾟ∀ﾟ≡ﾟ∀ﾟ)≡ﾟ∀ﾟ)━━!!
URLﾘﾝｸ(marc.theaimsgroup.com)

524:521
05/09/02 23:11:26
>522
じゃあ、あっしはSTABLEに500ドラクマ

525:510
05/09/02 23:14:16
>523
さぁ、ソースとって来てbuildするか。

526:名無しさん＠お腹いっぱい。
05/09/03 02:38:35
eval `ssh-agent -k` をし忘れたときの最悪の場合の被害をお教え下さい。

527:名無しさん＠お腹いっぱい。
05/09/03 02:51:16
人類滅亡

528:名無しさん＠お腹いっぱい。
05/09/03 04:05:37
>>527
それなら問題なしです

529:名無しさん＠お腹いっぱい。
05/09/03 04:11:50
勃起不全

530:名無しさん＠お腹いっぱい。
05/09/03 04:40:28
>>529
そりゃ大問題です

531:名無しさん＠お腹いっぱい。
05/09/03 23:29:32
ライセンスがGPLに強制変更

532:名無しさん＠お腹いっぱい。
05/09/04 01:35:45
性欲とプロセスを持て余す。

533:名無しさん＠お腹いっぱい。
05/09/08 11:19:08
2005-09-08 未明
04:30 - 05:30 JST くらいの間に
急に例の SSH へのアタックが増えた。

俺んとこは平均 2-5回/日 だけど、
今回は１時間に 12回 だよ。

お前らはどうでしたか？

534:名無しさん＠お腹いっぱい。
05/09/08 11:36:39
>>533
同じものかどうかわかりませんが、うちにも定期的にきますね。

>俺んとこは平均 2-5回/日 だけど、
>今回は１時間に 12回 だよ。
うちに来るやつは2,3秒置きに10分くらいアタックされるです。こんな↓感じ。
Aug 31 17:52:55 host sshd[18418]: Invalid user amanda from 72.9.233.145
Aug 31 17:52:57 host sshd[16951]: Invalid user iris from 72.9.233.145
Aug 31 17:52:59 host sshd[16922]: Invalid user bonnie from 72.9.233.145
Aug 31 17:53:02 host sshd[18006]: Invalid user sparky from 72.9.233.145
Aug 31 17:53:04 host sshd[17145]: Invalid user clasic from 72.9.233.145
Aug 31 17:53:06 host sshd[17136]: Invalid user jamy from 72.9.233.145

こんな感じでユーザ名変えて何度も何度も…
実害がないとはいえ、ちょっとむかつきますね…。
こういうのって何とかならないもんなんでしょうか。

535:533
05/09/08 11:46:53
>>534
俺は syslog を検知して、Invalid user だったら、
当該 IP を hosts.deny に追加するシェルを動かしている。
なので２回目以降はその時点でブロック。

と同時に whois で引いたものメールで飛ばしている。
ケータイへの飛ばしているから、今朝起きたら、ウツになった。

まぁ、公開鍵認証を使うのが本来なんだろうけど…

536:名無しさん＠お腹いっぱい。
05/09/08 11:50:19
別ポートで上げれば減るらしい。

537:533
05/09/08 12:04:56
>>536
まぁ、そうなんだけどね。
研究というか、情報収集というか、仲間内へのアナウンスもあるし…

かといって、ハニーポットを構築するまでもないし（つーか、判らん）

今回は KR, CN だけでなく、JP(OCN) からが半分くらいだったよ。

538:名無しさん＠お腹いっぱい。
05/09/08 13:25:40
ウィンから使える良いクリアン教えてくれ

539:名無しさん＠お腹いっぱい。
05/09/08 13:34:39 BE:9641322-#
仮想端末から ssh でリモートホストにログインしたあと、
仮想端末の大きさを変えたとき、リモートホストの
プロセスからはその事を知る方法はありますか？

ssh でログインした先で emacs -nw して作業しているのですが、
仮想端末のサイズを変更しても emacs はそれに追随してくれません。
ssh クライアント側での画面サイズの変更に伴って、
ssh サーバ側で SIGWINCH シグナルが発行されてないってことですか？

540:名無しさん＠お腹いっぱい。
05/09/08 14:37:20
>>539
sshで、login先でviを起動し、ローカルのウィンドウをリサイズすると、
viもちゃんと追従するので、 SIGWINCH はエミットされてると思われ。
emacsの問題じゃないの?

541:名無しさん＠お腹いっぱい。
05/09/08 16:28:37
>>538
URLﾘﾝｸ(www.google.co.jp)

542:名無しさん＠お腹いっぱい。
05/09/08 18:54:14
URLﾘﾝｸ(homepage3.nifty.com)
にクリアンは英語で言うクライアントで、とある。
>>538はフランスかぶれといえよう。

543:名無しさん＠お腹いっぱい。
05/09/08 19:28:25
わざわざ英語で言い直すのはイギリスかぶれ

544:名無しさん＠お腹いっぱい。
05/09/08 19:42:43
じゃあこれからはsshというのはやめて日本語の呼び名で

545:名無しさん＠お腹いっぱい。
05/09/08 19:47:00
secure shell=締めつける貝

546:名無しさん＠お腹いっぱい。
05/09/08 20:11:17
とりあえず、hosts.denyで.jpと必要なら.bbtec.net以外からを蹴って、
鍵認証必須にしておけば、OpenSSHに穴が見つからない限り
安全に運用できるんジャマイカ。

547:名無しさん＠お腹いっぱい。
05/09/09 23:59:28
.>545
俺なら「暗号化通信手順」だなぁ。
締めつける貝って聞いてﾎﾀﾃのﾋﾓを思い出しちゃったよ。
あ～ｷﾁｬﾅｲ

548:名無しさん＠お腹いっぱい。
05/09/10 00:53:05
poderosa使ってたらいきなり落ちて接続不能に陥ったんですが
これは何が原因なんでしょうか?
接続しようとするとユーザ認証に失敗しましたと表示されます。
ググってみてもそれらしいページが見当たりません。

549:名無しさん＠お腹いっぱい。
05/09/10 09:35:26
>>547
>締めつける貝って聞いてﾎﾀﾃのﾋﾓを思い出しちゃったよ。

オレは嫁さんを思い浮かべた。

550:名無しさん＠お腹いっぱい。
05/09/10 10:58:16
>>549
嫁自慢か。

551:名無しさん＠そうだ選挙に行こう
05/09/10 21:26:29
首絞められてんじゃないか
財布奪われて

552:名無しさん＠そうだ選挙に行こう
05/09/11 12:22:09
>>551
でも、貝だしなぁ

普通はそこから締め付けるのは下の口を想像すると思う
確かに貝から貨幣を連想し財布に結びつけることもありえるけど
ちょっとまわりくどいかな

553:名無しさん＠お腹いっぱい。
05/09/12 10:26:03
SSHで、sftpでローカルにコピーしたいんですが、
Couldn't get handle: Failure
とどて蹴られます。
一応ぐぐったのですがでてきませんでした。
ご教授お願いいたします

554:名無しさん＠お腹いっぱい。
05/09/12 16:05:32
sshでログインする際にパスワードの入力まで行くのですが、そのさきうんともすんとも言わないのですが、何がいけないのでしょうか？

555:名無しさん＠お腹いっぱい。
05/09/12 16:23:14
オーせんてぃけいしょんがいけてない

556:名無しさん＠お腹いっぱい。
05/09/12 16:27:07
パスワード打っても ****** とか出ませんとかそういうネタか？

557:名無しさん＠お腹いっぱい。
05/09/13 10:44:52
パスワード打ったとき、******と出るパッチは無いのかな

558:名無しさん＠お腹いっぱい。
05/09/13 11:17:40
>>557
ソースを修正せずに済ます方法。

方法1:
あらかじめttyコマンドでtty名(/dev/pts/5とか)を調べておき、
パスワード入力プロンプトが出ている時、
stty echo < /dev/pts/5
を実行するようなラッパースクリプトを書く。
するとパスワードがエコーバックされる。
(***)ではないが。

方法2:
getpw()関数を横取りするようなlibXX.soを作り、
LD_PRELOADでロードする。

559:名無しさん＠お腹いっぱい。
05/09/13 11:28:29
で、>>554 はどこ行った?

560:名無しさん＠お腹いっぱい。
05/09/13 13:23:23
>>558
（ﾟ∀ﾟ）ｻﾝｸｽｺ
getpwを横取りするよ

561:名無しさん＠お腹いっぱい。
05/09/13 15:14:13
昔の ssh は setuid されてたようなおぼろげな記憶が。
この場合 LD_PRELOAD は効かんね。今は関係ないけどさ。

562:名無しさん＠お腹いっぱい。
05/09/13 16:24:16
getpwではなくgetpass(3)では？
でもgetpassは入力長さが環境によってまちまちだから。
sshはgetpass(3)使わずに自前で同等関数作って使ってるぞ。

563:名無しさん＠お腹いっぱい。
05/09/15 19:29:55
SSH接続について質問させてください。

Linux対してにssh2による接続をしていたのですが
ユーザのpasswordがexpireしている状態で接続すると、
クライアントプログラムによって異なる動作をします。

cygwin,putty：パスワードの変更を要求される
TTSSH：パスワード情報が変更されたというメッセージが表示される

このような動作の違いが現れる原因について調べております。
少なくとも、原因がopensshとTTSSHのどちらにあるかをはっきりさせたいのですが、
何かお分かりになる方がいらっしゃいましたら情報をいただけないでしょうか。

使用しているプログラム、opensshのバージョンは以下の様になっています。
また、Linuxでのユーザ管理はLDAP、sshはPAMで認証しています。

Linux(SUSE9)：openssh-3.8p1-37.17
cygwin：openssh-4.1p1-2
TTSSH：teraterum_utf8_414
putty：0.58

564:名無しさん＠お腹いっぱい。
05/09/15 22:41:53
TTSSHはお勧めできない。SSH1しか使えないからね。

565:名無しさん＠お腹いっぱい。
05/09/15 22:58:59
ちゃんとしらべてからかこうね。

566:名無しさん＠お腹いっぱい。
05/09/15 23:26:23
ちゃんとしらべてからかおうね。

567:名無しさん＠お腹いっぱい。
05/09/16 01:45:49
ちゃんとしらべてからやろうね。

568:名無しさん＠お腹いっぱい。
05/09/16 01:58:47
ちゃんとしらべてからまぐわろうね。

569:名無しさん＠お腹いっぱい。
05/09/16 02:49:25
ちゃんとしらべてからまぐろくおうね。

570:名無しさん＠お腹いっぱい。
05/09/16 02:59:40
もういいよ。

571:名無しさん＠お腹いっぱい。
05/09/16 03:13:14
毛利名人よ。

572:563
05/09/16 10:57:50
なんだかボロカスに言われているようですが、ちょっと確認させてください。

・使用したTeraterm proは「UTF-8 TeraTerm Pro with TTSSH2」なので、SSH2に対応しているはず
・｢New connection｣で｢Service:SSH｣、｢SSH version:SSH2｣を選択
・サーバ側のsshd_configでProtocol 2 を指定
・/var/log/messages のAcceptメッセージでssh2と表示されている

以上の理由でSSH2による接続はできていると思うのですが、見落としているところがありましたら
お教え願います。

573:名無しさん＠お腹いっぱい。
05/09/16 12:22:53
>>563
ボロカスには言われて無いだろ。
>>564が無知を晒して突っ込まれてただけ。
俺もTTSSHでssh2接続してるよ。

で、本題の方は、俺はLinux使ってないしそういう
システムに出会ったことが無いのでわかんないや。
俺が使ってるシステムでは、一般ユーザの/etc/passwdの
パスワードはつぶしてあって、パスワード認証は
ローカルでもできないから…。

574:名無しさん＠お腹いっぱい。
05/09/16 22:48:58
>>563
opensshのsshクライアント使って、サーバ-クライアント間のやり取りぐらい自分で調べたら？



575:名無しさん＠お腹いっぱい。
05/09/16 23:05:32
>>563　がアホの子だった場合に備えて、懇切丁寧に説明してやると

>cygwin,putty：パスワードの変更を要求される　

なんて場合があるのは、パスワードの変更を「サーバが要求する」ようなメッセージが流れているはず。
!!これが分からなければ、ｵﾏｲはアホの子!!
よって、cygwin　opensshをhigher　debug　levelで動かして、解析しろ。

自分で調べるなら、IETF　Draftsでそのメッセージの存在を調べれば良いし、
分からなけりゃ、調べた経緯をまとめ上げた上で、初めて人に聞くべき。

576:名無しさん＠お腹いっぱい。
05/09/19 11:09:54
A と B の PC があります。
A で ssh-keygen を行ない鍵を作成しました。
A で cat id_dsa.pub > authorized_keys を実行しました。
A から B に id_dsa, id_dsa.pub, authorized_keys をコピーしました。
Keychain を使い A から B に入る時は最初の一回だけ id_dsa に対するパスワードを聞かれます。
しかし B から A に入る時は毎回 id_dsa に対するパスワードを聞かれます。
両者の /etc/ssh/sshd_config は全く同じ内容です。

B 側の Keychain がうまくいってないように思えます。しかし両者の設定は全く同じです。
何処がおかしいか分かりますか？何かしら根本的な間違いがあるでしょうか？

577:名無しさん＠お腹いっぱい。
05/09/19 16:51:59
keychain じゃなくって ssh-agent でやってみたら?
それでうまくいくのだったら keychain の問題なのでは。

578:名無しさん＠お腹いっぱい。
05/09/19 18:55:40
>>577
ssh-agent だといけました。

579:名無しさん＠お腹いっぱい。
05/09/21 11:20:24
以前は問題なかったのですが、圧縮転送をオンにして接続しようとすると
Algorithm　negotiation　failed
というエラーが出て接続できなくなってしまいました。圧縮転送をオフにすれば
今でも接続できます。どうしたらこのエラーを消せるのでしょうか？よろしくお願いします。

580:名無しさん＠お腹いっぱい。
05/09/21 11:26:48
>>579
そのメッセイジそのものだと思うんだけど？

581:579
05/09/21 11:28:55
>>580
サーバ側が圧縮転送に対応していないということだと思うのですが、その設定はどこでやればよいのでしょうか？

582:名無しさん＠お腹いっぱい。
05/09/21 11:31:29
>>579
sshd_config:
Compression yes
のことか?

>>580
さすがにそれくらいは解ってるだろ。答えたくないならレスするなよ。

583:名無しさん＠お腹いっぱい。
05/09/21 20:23:00
OpenSSH 4.2のリリースノートにこう書いてある。
---
- Added a new compression method that delays the start of zlib
compression until the user has been authenticated successfully.
The new method ("Compression delayed") is on by default in the
server. This eliminates the risk of any zlib vulnerability
leading to a compromise of the server from unauthenticated users.

NB. Older OpenSSH (<3.5) versions have a bug that will cause them
to refuse to connect to any server that does not offer compression
when the client has compression requested. Since the new "delayed"
server mode isn't supported by these older clients, they will
refuse to connect to a new server unless compression is disabled
(on the client end) or the original compression method is enabled
on the server ("Compression yes" in sshd_config)
---
クライアント側がOpenSSHの3.5より前のバージョンじゃないか?

---

次ページ

最新レス表示

レスジャンプ

類似スレ一覧

スレッドの検索

話題のニュース

おまかせリスト

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch