06/02/28 22:57:35
>>863
すでに答えてるじゃん。
868:名無しさん@お腹いっぱい。
06/02/28 23:02:04
>>865
「UNIX側って??」
UNIX板なんだからUNIX以外のOSは無視でしょ。
オレのところはUNIXホストはすべてEUCで統一。
この状態でsftpで日本語ファイル名は問題なく使える。
869:名無しさん@お腹いっぱい。
06/03/01 00:46:07
日本語ファイル名ではなく日本語ファイルだ
文字コード変換して転送とかそういうことじゃね
870:名無しさん@お腹いっぱい。
06/03/01 00:55:51
>>869
そもそも相手先で違う物に内容を改ざんするsftp
なら使わない選択を選ぶのが筋
871:名無しさん@お腹いっぱい。
06/03/01 01:08:48
filezilla+春山さんパッチ使っとけ
872:名無しさん@お腹いっぱい。
06/03/04 01:43:45
いつもできていたのに、今日SSHで接続しようとしたら
Read from remote host ***********: Connection reset by peer
となってしまって接続できなくなってしまいました。。
どうすればよいですか??
873:名無しさん@お腹いっぱい。
06/03/04 01:55:51
いくつか考えられる原因・・・
・単にメモリが無い。
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・おまいの居場所が無い。無残にもそれは管理者に消されたか
もしくは根のモノに。
・NICが腐った。
・共有ライブラリがぶっ飛んだ。
その他もろもろの理由でSSHは不調になる(全部経験したこと)
874:名無しさん@お腹いっぱい。
06/03/04 02:06:49
とりあえずWebminは繋がるんです。
メモリは
Mem: 459M Active, 327M Inact, 173M Wired, 39M Cache, 112M Buf, 6104K Free
です。(1G)
・PAM競合で腐った。
・おまいの好きな貝が、無残にも砕かれた。
・共有ライブラリがぶっ飛んだ。
これぐらいでしょうか。。
でもsshはちゃんと起動できるんです。停止も起動も出来ました。@webmin
875:名無しさん@お腹いっぱい。
06/03/04 02:41:50
/bin/cshが壊れたようでした。
お騒がせしました。
876:名無しさん@お腹いっぱい。
06/03/04 02:59:18
なんでそんなんが壊れるんだ
877:名無しさん@お腹いっぱい。
06/03/04 06:30:17
ハックられた?
878:名無しさん@お腹いっぱい。
06/03/04 09:52:43
>873-874
>貝が無残にも砕かれた。
>共有ライブラリがぶっ飛んだ。
これってクラッキング以外に原因考えるとしたら、hddのread write不良とか?
いずれにしても穏やかでないなぁ。
879:名無しさん@お腹いっぱい。
06/03/04 15:29:16
OpenSSHでクラッカー対策にグリーティングメッセージの
「SSH-1.99-OpenSSH_3.8.1p1」みたいなのを隠したいんですが、
これってソースから直さなければならないんでしょうか?
880:名無しさん@お腹いっぱい。
06/03/04 15:37:05
隠しても対策にならんよ。
881:名無しさん@お腹いっぱい
06/03/04 18:20:49
>879
とりあえず最新使っとけば?
>510-513みたいに
882:名無しさん@お腹いっぱい。
06/03/07 15:40:06
うむ。対策には成らんね。
とにかく22に繋いで試すって攻撃だし。いちいちバージョンチェックなんてしてない。
sshdがあぼーんしたときの裏口作りは重要。
% sudo /etc/rc.d/sshd restartして止めさしちゃう事も有る。
883:名無しさん@お腹いっぱい。
06/03/07 23:28:58
だぁね。
まぁせいぜい出来るのは、sshd_configの設定をぬかり無くする事と
Listen Portをウェルノウンなポート使わないとか、そぎゃんところですか。
884:名無しさん@お腹いっぱい。
06/03/08 04:02:52
普通に、daemontools ですよ。
tcpserver で接続管理して接続できるIPアドレスを
限ればいい。
885:名無しさん@お腹いっぱい。
06/03/08 04:17:06
djb儲はdjbsshでも使ってろ
886:名無しさん@お腹いっぱい。
06/03/08 09:46:31
>>884
わざわざそんなん通さなくても libwrap でいいじゃん。
887:名無しさん@お腹いっぱい。
06/03/09 04:29:50
マエノ方面の香具師か。。。
888:名無しさん@お腹いっぱい。
06/03/10 01:14:41
信者ってどこにでも居るね。
qmail/djbdnsの話題をされるとは思わなかった。ウゼー!
889:名無しさん@お腹いっぱい。
06/03/10 01:24:24
普通にビルドしたらlibwrap使えるんだし、ネタにしかみえん。
890:名無しさん@お腹いっぱい。
06/03/10 12:38:42
>>886
URLリンク(cr.yp.to)
891:名無しさん@お腹いっぱい。
06/03/10 12:57:59
>>890
それが何?
892:名無しさん@お腹いっぱい。
06/03/10 13:36:37
信者は怖いね。
893:名無しさん@お腹いっぱい。
06/03/10 22:00:05
OpenBSD + OpenSSH + djbdns + qmail + OpenNTPD。これ最強。
894:名無しさん@お腹いっぱい。
06/03/11 00:42:17
さすがにウェブサーバーは入れないかww
895:名無しさん@お腹いっぱい。
06/03/11 03:17:56
fnordとかいれてたりして。
節操無さ過ぎwww
896:名無しさん@お腹いっぱい。
06/03/12 12:17:41
いろいろなユーザー名でログインを試みようとした形跡があるのですが、
このようなアタックを防ぐにはどうしたらよいのでしょうか?
同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
897:名無しさん@お腹いっぱい。
06/03/12 12:20:44
>>896
libwrap や FW などで
必要なとこ以外からのアクセスは禁止するようにする。
根本的解決ではないが
別ポートで sshd を上げると軽減するという話もある。
898:名無しさん@お腹いっぱい。
06/03/12 12:24:47
>>896
897の大作に加えて、sshd_configでログイン出来るユーザを制限しておく。
パスワード認証を許可しない。
信用出来ないユーザにシェルアカウントを与えない。
>同じIPから何回か失敗したら、しばらくそのIPから受け付けないというような方法はないものでしょうか?
俺はdenyhostsを使っている。
899:名無しさん@お腹いっぱい。
06/03/12 21:18:20
犬糞ならiptablesのburst機能使えば近いことはできる。
他のOSでも同様のことができるんじゃないかな。
900:名無しさん@お腹いっぱい。
06/03/13 00:51:31
>>896
URLリンク(www.musicae.ath.cx)
我が家ではここの設定をそのまま使用してる。
パスワード認証も切ってるけど。
901:900
06/03/13 01:21:19
認証成功でもカウントされちゃうけどね。
902:名無しさん@お腹いっぱい。
06/03/13 09:44:03
>>896
前にここにも書いたけど、うちにもすげー来る。
オレはswatchでlogを監視してhosts.denyに追加するようにしてるよ。
903: ◆TWARamEjuA
06/03/13 22:17:19 BE:3485748-#
やっぱりログ監視だよなぁ。。。
今度の休みにやろっと。
904:名無しさん@お腹いっぱい。
06/03/13 22:40:56
ログの監視もいいが、必要なところ以外からの接続は拒否した方がいいと思う。
sshdにアクセスされている時は、外向きのアクセスが不安定になっている気が
する。ルーターがヘタレなせいかもしれないが。
905:名無しさん@お腹いっぱい。
06/03/13 23:21:49
もう>>896氏は見ているかもしれないですが…、
>>896
URLリンク(www.koka-in.org)
以降のスレッドを見るヨロシ。
URLリンク(www.koka-in.org)
とかね。
906:名無しさん@お腹いっぱい。
06/03/15 20:35:23
きてるきてる
203.241.56.142から5回ずつ朝鮮。
907:名無しさん@お腹いっぱい。
06/03/15 20:39:00
>>904
不安定にみえるのは、機器やネットの処理能力をアタックに食われているだけかも。
908:名無しさん@お腹いっぱい
06/03/15 21:03:44
俺もそう思う。
前に朝鮮人のIPをDROPしたらネットワークもPCも軽くなったよ。
909:名無しさん@お腹いっぱい。
06/03/15 22:26:27
>>907-908
特定のところからしかつながらないようになっているから、内部はいいと思う
のだが、ルータへのアッタックはどうにもできないから。
910:名無しさん@お腹いっぱい。
06/03/15 22:46:33
>>909
ルーターの前に透過的なFWを噛ますとか。
ルーターのフィルタを効率的にするための何かしらの手立てを講じるとか。
フィルタの順番をかえて負荷がどう変わるか観測するとかね。
911:名無しさん@お腹いっぱい。
06/03/15 23:06:28
ミドルクラスPC + NIC二枚挿し + OpenBSD で「見えない高速firewall」とか。
912:名無しさん@お腹いっぱい。
06/03/15 23:54:07
アッタック
913:名無しさん@お腹いっぱい。
06/03/16 04:18:46
>>912
汚れが落ちる。
914:名無しさん@お腹いっぱい。
06/03/16 13:39:42
アタタック
915:名無しさん@お腹いっぱい。
06/03/16 14:18:41
こっちのアタックは服の汚れを落とす
URLリンク(www.kao.co.jp)
こっちのアタックはエンジンの汚れを落とす
URLリンク(web.kyoto-inet.or.jp)
916:名無しさん@お腹いっぱい。
06/03/16 18:32:46
(´・ω・)
917:名無しさん@お腹いっぱい。
06/03/17 10:35:52
使える科技庁は国によって違うのですか?
918:名無しさん@お腹いっぱい。
06/03/18 21:21:50
>>917
国によって組織の形態や名称が違うのは間違いありません。
919:名無しさん@お腹いっぱい。
06/03/19 02:50:15
>>194-
あのー、194以降、話に挙がった「鍵認証方式で接続時に、公開鍵を送るか送らないか」ですが、結論って出てます?
読んでて思ったんですが、
1.ユーザの接続要求に対し、鯖はランダムな文字列を用意し、接続要求のあったユーザの(鯖に置かれてる)公開鍵(複数あれば各公開鍵)で暗号化しユーザに返す。
2.クライアントは、届いた暗号文を秘密鍵で復号→秘密鍵で暗号化して鯖に送信。
3.鯖は届いた暗号文をユーザの(それぞれの)公開鍵で復号し、最初に作成したランダムな文字列(のもの)があればOK。
みたいな流れではだめ?
ユーザの秘密鍵に対応する公開鍵も分かるし、公開鍵も流さなくて済むと思うんですけど。
# 公開鍵なんだから、本来なら別に流れてても良いんだろうけど。
ソースや仕様を嫁と言われそうですが...
920:名無しさん@お腹いっぱい。
06/03/19 08:09:21
ソースや仕様を嫁
921:名無しさん@お腹いっぱい。
06/03/22 09:01:25
2GB以上のファイルをscpで転送する方法はないのでしょうか?
922:名無しさん@お腹いっぱい。
06/03/22 09:42:09
>>921
アップロード:
ssh remote 'cat > file' < file
ダウンロード:
ssh remote cat file > file
でいいのでは?
923:名無しさん@お腹いっぱい。
06/03/22 10:15:44
>>921
scp でできなかったっけ
924:名無しさん@お腹いっぱい。
06/03/22 13:01:12
2GB以上のファイルの扱いはOSに依存するから。
925:名無しさん@お腹いっぱい。
06/03/22 13:04:46
>>924
ファイルシステムじゃないの?
926:名無しさん@お腹いっぱい。
06/03/22 13:50:57
なんかその辺に依存するから。
927:名無しさん@お腹いっぱい。
06/03/22 15:25:51
「環境に依存する」でいいじゃんw
928:名無しさん@お腹いっぱい。
06/03/22 17:07:57
scpでFC5のDVDファイルを転送したところ、ちょうど2048kBで止まってしまいました。
結局wgetで取得したのですが。
929:名無しさん@お腹いっぱい。
06/03/22 17:10:01
>>928
たった2048kBで止まったのなら、ネットワークの断線とか、他の原因と思われ。
930:名無しさん@お腹いっぱい。
06/03/22 20:47:47
>>402
私もそれが発生してました。(Windows XP SP2+Athlon 64)
DEPの無視対象にWinSCP3.exeを入れたら直ったみたです。
931:名無しさん@お腹いっぱい。
06/03/22 20:52:26
>>921-928
いや、2Gってintがオーバーフローするのでそれをきちんと考慮してないソフトがへくる
というのは結構ある。 家にビデオサーバーを設定して2Gを超えるファイルが普通の
環境で色々やったらサーバ(Debian 3.0)、クライアント(Win)側で色々問題が
あった。 例えばapache 1.4が2G以上のファイルを上げることが出来ないとか
IE, Firefox内蔵のFTPクライアントがだめだとか。 (WinのコマンドラインのFTPは
okだった)。
だからこれはscpの実装の問題である可能性大。
932:名無しさん@お腹いっぱい。
06/03/22 20:56:15
ヒント: 2048kB = 2MB
933:931
06/03/22 22:57:08
>>932
>>921=928 だと思うけど最初に2GBって言ったから >>928の2048kbは2048MBの
間違いと思われ。
934:名無しさん@お腹いっぱい。
06/03/22 23:11:31
思い込みで答えちゃいけないよ。
935:923
06/03/23 03:01:42
>>931
実際試すとうまくいくんだよ。環境は Debian GNU/Linux 3.1, ext3fs
$ dd of=vip seek=8192 bs=1048576 count=0
読み込んだブロック数は 0+0
書き込んだブロック数は 0+0
0 bytes transferred in 0.000629 seconds (0 bytes/sec)
$ ls -l vip
-rw-r--r-- 1 hoge hoge 8589934592 2006-03-23 02:52 vip
$ scp vip remote:/tmp
vip 100% 8192MB 26.7MB/s 05:07
$ ssh remote ls -l /tmp/vip
-rw-r--r-- 1 hoge hoge 8589934592 Mar 23 02:57 /tmp/vip
936:931
06/03/23 04:46:31
>>935
いや、だからそれはちゃんと対処したバージョンのscpだからであり、>>921が使ったバージョンが対処してない
実装なんじゃない? statの代わりにstat64を使うとか、2G以上のファイルを扱うにはわざわざしなければ
ならないことがあるんだから。
937:923
06/03/23 11:54:13
>>936
ソース見ればわかるが _FILE_OFFSET_BITS, _LARGE_FILES などを定義するだ
けだよ。OpenSSH であれば、対応したのはかなり前の話。ChangeLog に以下の
ように書かれてる。
20010925
- (djm) Add AC_SYS_LARGEFILE configure test
19991111
- Fix integer overflow which was messing up scp's progress bar for large
file transfers. Fix submitted to OpenBSD developers. Report and fix
938:名無しさん@お腹いっぱい。
06/03/24 19:16:08
おれはとりあえず rsync 使うよ。中断しても損した気分にならないし。
939:名無しさん@お腹いっぱい。
06/03/26 23:34:58
Winscp3で質問があります。
サーバ側がcygwinでsshしてるですが、
winscpでサーバにアクセスすると、rootがcygwinを
インストールしたディレクトリ、D:\cygwinの下なんですが、
アクセスしたい場所が、Dドラ直下にあるんです。
表示されているrootから、ひとつディレクトリをあげるって
できるんでしょうか?
940:名無しさん@お腹いっぱい。
06/03/26 23:43:47
cygwinの問題だろ
941:名無しさん@お腹いっぱい。
06/03/27 00:36:45
>>939
cd /cygdrive/d
942:名無しさん@お腹いっぱい。
06/03/27 09:28:54
BUGTRAQにTheo様降臨。
943:939
06/03/28 00:05:29
>>941
おおぉ、うまくいきそうな予感。
やってみます。
ありがとうございます。
944:939
06/03/28 22:36:11
そして、うまく行きました。
ありがとうございました。
945:名無しさん@お腹いっぱい。
06/03/30 23:30:43
特定のユーザについて scp と sftp は禁止するってことは可能でしょうか
ポートフォワーディングの禁止は authorized_keys と no-port-forwarding と書くと
実現できるみたいですが scp と sftp も使えなくする方法ってありますか
946:945
06/03/30 23:54:47
自己レス
rssh にして許可しなければ良さそうです
947:名無しさん@お腹いっぱい。
06/03/31 21:00:58
sshコンソールが実用的に使えるモバイル機器で今のところ最小なのは何?
948:名無しさん@お腹いっぱい。
06/03/31 21:40:37
>>947
i MODE
949:名無しさん@お腹いっぱい。
06/04/02 19:45:49
>>947
W-ZERO3でも使えるよな(最小じゃないだろうけど)
950:名無しさん@お腹いっぱい。
06/04/02 21:35:42
iモードは実用的に使うにはちと辛いような
やっぱフルキーボードはほしいところ
951:名無しさん@お腹いっぱい。
06/04/02 22:01:30
SLA300
952:名無しさん@お腹いっぱい。
06/04/02 22:12:54
遠隔地のPCにsshでログインしてちょっと放置しているとセッションが切れてしまうんだけど、
これってどこかでタイムアウトの設定できるんですか?
別にセッション切れるのはかまわないんだけど、クライアント側が固まっちゃってサーバ側では
死んだプロセスが残っているのでいちいち消して回らないといけなくて面倒です。・゜・(ノ∀`)・゜・。
953:名無しさん@お腹いっぱい。
06/04/02 22:16:34
>>952
keepalives
954:名無しさん@お腹いっぱい。
06/04/02 22:28:38
keepaliveはデフォでyesだと思ってたら、intervalの設定しないと生きないんですね・・・
ちょっといま実験中。3,40分くらいしたら結果書きますね。
955:名無しさん@お腹いっぱい。
06/04/02 23:03:22
みごと死ななくなりました。ありがとうございました。
956:名無しさん@お腹いっぱい。
06/04/02 23:45:16
スレ的にはkeepaliveで正解かもだけど、この場合先にscreenだろ?
957:名無しさん@お腹いっぱい。
06/04/03 18:32:17
ssh_configのTCPKeepAliveとServerAliveIntervalは全然別物じゃないか?
前者はカーネルのTCP/IPレベルでのkeepaliveを使うかどうかで、
後者はSSHレベルでkeepaliveパケットを投げるかどうかだと思ったが。
TCP/IPのkeepalive送信間隔はデフォルトだと2時間とかなので、
ルータが通信のないコネクションを調べて切る間隔より長いから
yesでも切れてたんだろうな。
>>956
だな。
958:名無しさん@お腹いっぱい。
06/04/06 11:05:58
TeraTerm(SSH2、UTF-8対応版)
って、このタイプの秘密鍵に対応していないの?
"read error SSH2 private key file"
って出てしまう。
puttyやUNIXのssh -iでは問題なし。
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A1 (略)
-----END RSA PRIVATE KEY-----
959:名無しさん@お腹いっぱい。
06/04/06 13:06:52
>>958
TeraTerm で RSA の鍵を作るとそのタイプの鍵だよ。
ssh-keygen -t rsa で作っても同じ。
手元で最新版(4.34)を使ってみたけど大丈夫だったよ。
960:名無しさん@お腹いっぱい。
06/04/06 16:55:18
サーバ側がFC5のOpnSSHでクライアント側がWindowsの商用SSHのフリー版なのですが、
パスワードなしでログインできるようにできますか?
961:名無しさん@お腹いっぱい。
06/04/06 21:40:23
>>960
Active Directoryを構築してKerberos認証すればよし。
962:名無しさん@お腹いっぱい。
06/04/07 10:38:42
sftpで日本語は使えないのですか?
963:名無しさん@お腹いっぱい。
06/04/07 11:43:44
>>962
使えるよ。(確認済み)
964:名無しさん@お腹いっぱい。
06/04/07 11:53:53
>>962
どういう意味で?
965:名無しさん@お腹いっぱい。
06/04/07 11:59:04
少なくともプロトコルの問題ではない。
クライアントとサーバのプログラムの処理及びファイルシステムのロケールに
よって使えたり使えなかったり。サーバ側が原因で使えないことはまれだと思う。
ファイル名のエンコーディングを変換できないクライアントの場合、
日本語ファイル名を扱える可能性はだいぶ低くなる(サーバとクライアントの
文字コードが一致している場合のみ)。そもそも8ビット通さないクライアントも
珍しくない。
要するに文字コード変換できるクライアント使えということだ。
966:名無しさん@お腹いっぱい。
06/04/07 13:54:25
HostbasedAuthenticationってどうしてそれほど安全じゃないのですか?
967:名無しさん@お腹いっぱい。
06/04/09 05:59:20
まずrloginとかrshが安全だと思える環境かどうか答えてちょ
968:名無しさん@お腹いっぱい。
06/04/15 11:08:45
DSA の公開鍵を設定すべきところを RSA 用の公開鍵を設置してログインできない場合、
どういう風にエラーとして表示されますか?
969:名無しさん@お腹いっぱい。
06/04/15 11:53:44
やってみれば?
970:名無しさん@お腹いっぱい。
06/04/17 04:40:45
LAN側からとWAN側からでopensshの設定切り替えることってできますか?
できれば待ち受けポートは変更したくないです。
971:名無しさん@お腹いっぱい。
06/04/17 07:26:41
>>970
ListenAddress?
972:名無しさん@お腹いっぱい。
06/04/17 12:18:35
質問っす。
Windows SSHクライアントでターミナル接続:Poderosa、
ファイル転送にWinSCPを使ってるいるのですが、
フォーマットちゃうから同じ秘密鍵ファイルを2種類もってないといけない。
1個にならないものですか?
PuTTY+WinSCPがお勧めなのでしょうか?
Poderosaでてるスレがなかったので、スレ違いでしたらすいません。
973:名無しさん@お腹いっぱい。
06/04/17 19:22:15
teraterm_utf8 434
にて、sshで接続すると
Unexpected SSH2 message(1) on current stage(2)
Server disconnected with message 'Protocol error: expected packet type 30, got 34'.
と出るサーバがあるのですが
原因が、わかりません
URLリンク(nanno.dip.jp)
こちらのソフトでは、なんとか接続できるんですが
何か、参考になることはないでしょうか?
974:名無しさん@お腹いっぱい。
06/04/17 23:02:04
>>970
tcpserverで待ち受けて切り替えたら?
975:名無しさん@お腹いっぱい。
06/04/19 00:36:24
ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
なんですか?
悪意あるユーザがクライアントとしてホスト公開鍵を入手し、その鍵を偽装鯖で使う
ことができてしまうのではと、ふと疑問が出たものですから。
そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
にもそれらしき記述がなくて、ず~~~~~~っと悩んでいます。ちょこっとでも
ホスト認証時にホスト秘密鍵が使われるんだよ~って記述があればすっきりする
んです。
それともホスト認証においてセキュアな部分はホスト公開鍵の管理に依存している
ということなのでしょうか?ホスト公開鍵の配布はofflineじゃなくてもできるのに?
詳しい方、ご教示お願いしまするう
976:名無しさん@お腹いっぱい。
06/04/19 01:15:34
>>975
> ガイシュツかもしれないですが、sshd(SSH2)に対するクライアントのホスト認証って、
> 鯖からよこされたホスト公開鍵と自分の持ってるknown_hostsにある鍵の突合せだけ
> なんですか?
んなこたない。
> そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> にもそれらしき記述がなくて、ず~~~~~~っと悩んでいます。ちょこっとでも
> ホスト認証時にホスト秘密鍵が使われるんだよ~って記述があればすっきりする
> んです。
man ssh-keysign
URLリンク(www.ietf.org)
977:名無しさん@お腹いっぱい。
06/04/19 09:20:44
>>973
クライアント:UTF-8 TeraTerm Pro with TTSSH2 (URLリンク(sourceforge.jp))
サーバ:
OS=?
sshd=?(商用SSH、OpenSSH、その他いろいろあるが、どれだ?)
サーバ側でOpenSSHを動かしているのなら、「# sshd -vvv」で詳しく調べること
ですな。ちなみに、
'Protocol error: expected packet type 30, got 34'
は、OpenSSH-4.3p2の場合、openssh-4.3p2/packet.cのpacket_read_expect()が
出しているみたい。
978:977
06/04/19 09:31:33
引き続き、サーバ側がOpenSSHであると仮定して考えてみた。
・"SSH2_"で始まるマクロのうち、30または34と定義されているものを調べてみた。
・乱暴だが、全部の.hファイルから30または34を含む行を探した。
後者でも以外に効果があった。注目すべきは openssh-4.3p2/ssh2.h だろうか。
ということで、クライアントとサーバで鍵の形式が違うのが原因ではないかと「推
測した」。
以上、チラシの裏(w
>>973は、サーバに関する情報だけでなく、どの認証方法でログインしようとした
のかも書いた方がいいな。
979:名無しさん@お腹いっぱい。
06/04/19 09:47:51
レスありがとうございます。
> > そもそも公開鍵暗号方式の場合、ホスト秘密鍵とホスト公開鍵のペアで鍵として
> > 成り立っているものと私の中では認識しているのですが、FAQや日本語訳man
> > にもそれらしき記述がなくて、ず~~~~~~っと悩んでいます。ちょこっとでも
> > ホスト認証時にホスト秘密鍵が使われるんだよ~って記述があればすっきりする
> > んです。
>
> man ssh-keysign
> URLリンク(www.ietf.org)
これはホスト認証・共通鍵生成したあとのユーザ認証のフェーズになっているような気がします。そういう仕様なんだからそうなんでしょうね・・・。
うみゅう、私の質問の仕方が悪かったです。
SSH接続(Protocol 2)のホスト認証の時点で、ホスト鍵ペア(ホスト秘密鍵・ホスト公開鍵)が「公開暗号方式」として機能しているのか知りたかったのです。
ベタな平文を自己証明だとかクライアントに送られてきて、「これを信用しなさい」と言われても、信用する根拠がないように思えてしょうがないのです。
ホスト認証の時点でホスト秘密鍵は登場してこないのでしょうか?鍵交換のところ(DH鍵交換)でホスト秘密鍵が使われてるような気がしてきました。
--- モーソウ
S: これ、俺の証明書だけどいい?
C: じゃあ、君が送ってくれたホスト公開鍵で暗号化したもの送り返すから、
それをホスト秘密鍵で複合化して返してよ~。それが正しかったら信用してあげる。
S: ほいほい、これね~。複合化したけど、これ当たってる?
C: OK~、君を信じるよ♪
---
980:名無しさん@お腹いっぱい。
06/04/19 10:20:51
>>979
URLリンク(www.scl.kyoto-u.ac.jp)
981:名無しさん@お腹いっぱい。
06/04/19 10:24:03
>>979
PGPの仕組みを勉強してみろ
982:名無しさん@お腹いっぱい。
06/04/19 10:27:05
PGP は関係ないだろ。
983:名無しさん@お腹いっぱい。
06/04/19 10:28:21
>>970
↓tcpserver使って切り替えてるやり方
URLリンク(www.hrt.dis.titech.ac.jp)
>>971
ListenAddressでクライアントごとに挙動(設定)変えれたっけ?(許可/拒否をするものだと思ってたけど)
984:名無しさん@お腹いっぱい。
06/04/19 10:41:09
>>983
いや、
ListenAddress 変えて sshd を2つ起動すればいいかな、
と思ったんだけど。
985:名無しさん@お腹いっぱい。
06/04/19 10:41:24
>>975=>>979
以下のどちらかの本、読んでみた?もしまだなら、読んでみるといいと思う。
・OpenSSH セキュリティ管理ガイド
URLリンク(www.unixuser.org)
・入門SSH
URLリンク(www.unixuser.org)
前者は絶版になってしまっているけど、私はこの本を読んで勉強したので(大変分
かりやすかったんですよ)。後者は、前者の「後継」ってカンジ。著者は同じです
ので、読む価値はあると私は思います。
>>980
お、なんだか (∀)イイ!
986:975
06/04/19 11:10:46
>979
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
>981
頑張ってPGPも勉強してみます。自己証明という観点でいえば知っておきたいところですし、感謝です。
>985
情報ありがとうございます。お財布と相談して、amazon.comに見に行ってきますー
987:名無しさん@お腹いっぱい。
06/04/19 11:12:53
>>982
あほですか?
PGPの認証方式はSSHにも流用できる考えがありますよ
PGPそのものを使い方をいっているわけではないでしょが
988:975
06/04/19 11:12:55
>>979
>大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
みすった、てめえの発言に感謝してどーすんだーー;
>980
大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
989:名無しさん@お腹いっぱい。
06/04/19 17:07:27
> >980
> 大感謝です!これで納得いきました^^ 貴重な情報ありがとうございました。
まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
スト認証の説明、ほとんど間違いだから。
SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
を送ってクライアントに検証させることで直接的に確認してるって
のが正解。
990:名無しさん@お腹いっぱい。
06/04/19 17:21:03
>>989
> まぁ、納得したんなら余計なお世話かもしれぬが、そのページのホ
> スト認証の説明、ほとんど間違いだから。
自分も後から、ご指摘の記述部分でDH鍵交換方式に触れていないところが
怪しくなって、調べてみました。
>
> SSH1 ではクライアントがセッション鍵をサーバ公開鍵で暗号化して
> 送ることで間接的に、SSH2 ではサーバが自秘密鍵で署名したデータ
> を送ってクライアントに検証させることで直接的に確認してるって
> のが正解。
URLリンク(human.is.kyushu-u.ac.jp)
の記述を発見して、仰せの通りだと理解しました。
ご指摘ありがとうございました。(感謝
991:名無しさん@お腹いっぱい。
06/04/19 18:00:29
>>990
> URLリンク(human.is.kyushu-u.ac.jp)
> の記述を発見して、
うん、こっちの方は user 認証のところに若干難がある (SSH1 のみ
の説明だし、SSH1 だとしても微妙なところが抜けてる) 他はちゃん
と書けてる感じっすね。
992:名無しさん@お腹いっぱい。
06/04/19 18:14:16
>>978
ありがとうございます。
OpenSSHです。
sshd version OpenSSH_2.5.2p2
どのような認証方法で、
以前の
・プレイインテキストを使う
・RSA/DSA鍵を使う
・チャレンジレスポンス認証を使う
などの画面が出るときに、落ちちゃうというか
そのエラーが出るんです。
993:976
06/04/20 01:03:01
>>975
すまん、HostbasedAuthenticationのことと勘違いしてた。
994:名無しさん@お腹いっぱい。
06/04/20 07:10:55
そろそろやばそうなので、とりあえず次スレ立てました。
スレリンク(unix板)
995:名無しさん@お腹いっぱい。
06/04/20 12:42:45
>>994 乙彼
996:名無しさん@お腹いっぱい。
06/04/20 13:02:21
じゃあ1つ埋め
997:名無しさん@お腹いっぱい。
06/04/20 15:25:41
10010gewt
998:名無しさん@お腹いっぱい。
06/04/20 16:23:45
192.168.65.254
999:名無しさん@お腹いっぱい。
06/04/20 16:29:57
俺のIP勝手に使うな
1000:名無しさん@お腹いっぱい。
06/04/20 16:39:05
127.255.255.254
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。