Products  | Support  | Solutions  | Partners  | News  | Online Shop
Turbolinux
Home

Turbolinux Users' Forum></TD>
                <TD><IMG SRC=
> ホーム> Turbolinux Users' World > Turbolinux Users' Forum

"TeraTermでSSH接続不可能に…"

印刷する  
 
ホーム → カンファレンス → Turbolinuxユーザーズフォーラム (Public)
Original Message

"TeraTermでSSH接続不可能に…"
Posted by アクア on 09-18-03, 03:25 AM (JST)
http://www.turbolinux.co.jp/security/TLSA-2003-51j.txt
こちらのセキュリティ情報を元に
今までopenssh-3.6.1p1-11、openssh-server-3.6.1p1-11(openssl-0.9.6i-4)
だった(多分)のをturbopkgコマンドで早速アップデートしたところ、
LAN内PC上のTeraTermからSSH接続ができなくなってしまい、
/var/log/messagesに
Failed password for 〜 from 192.168.1.101 port xxxx
というログが出ていました。
しかし、試しにシェルアカウントを持っている別のサーバー上から接続してみたところ
今まで通り接続が可能な状態でした?!
「tcpdmatch sshd 192.168.1.101」としてチェックした結果は
「access: granted」でしたし、TeraTermのアイコンも鍵付き(?)に変化したので
SSHサーバーへの接続は問題なくできているようなのですが…?

ちなみに当方の環境はTurboLinux8Server(プロモーション版)で
sshdはxinetd経由で起動するようにしてあり、
認証にはプレインテキストを使っています。
同様の現象が出て解決策をご存じの方、
あるいは他に確認すべき点がございましたら教えてください。
よろしくお願いいたします。

  編集 | [リプライ] | [引用してリプライ] | [ポスト] |

 目次

((ロビー)) [トピックス]
このトピックのメッセージ

1. "RE: TeraTermでSSH接続不可能に…"
Posted by hatena on 09-18-03, 08:45 AM (JST)
自分も同じ現象になりました。

とりあえず、意味不明ですが
Tera Term(TSSH)でプレンテキストやRSAなどを選ぶところで
TISを選択したら接続できました。

どなたか、補足していただけると幸いです。

環境
TL8S prom
xinetd経由で起動
プレンテキストで承認

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

2. "RE: TeraTermでSSH接続不可能に…"
Posted by ひろ on 09-18-03, 05:09 PM (JST)
私もTL7S パッケージ版で同様の状態です。
TISを選択すると接続できるところまで同じです...

Tera Term Pro ttssh ではダメですが、Cygwinの
sshクライアントからは、プレーンテキスト接続でも
問題無くつながります。

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

3. "RE: TeraTermでSSH接続不可能に…"
Posted by Marionette on 09-18-03, 05:18 PM (JST)
TLS6.5/TL7Sですが同じく...です。
普段は「RSA1」を使っていたので別に困りませんが。

それと、皆さん使えると書いておられますが、今まで駄目だったTISが、
パスワード入力ウィンドウがオープンしてログイン出来るようになりました。

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

4. "RE: TeraTermでSSH接続不可能に…"
Posted by アクア on 09-18-03, 05:41 PM (JST)
同じ現象が出ている方がおられるようなのでほっと(?)してます。
私の方でもChallenge/Response方式での認証であれば今まで通り接続できました。

で、自分でもこれに関する資料を色々探していたのですが今回のセキュリティ情報元と思われる
http://www.mindrot.org/pipermail/openssh-unix-announce/2003-September/000064.html
こちらのサイトを(英語は全然ダメなのですが)さらっと流し読みしてみたところ、
「Rhosts authentication has been removed in ssh(1) and sshd(8).」
という部分を見つけたのでRhosts認証方式は使えなくなった(?)らしいことはわかったのですが
パスワード認証方式に関するメッセージは見つかりませんでした。
(実際にはあるのに英語が読めていないだけかもしれません(^^;))

それよりもセキュリティを高めるためにパスワード認証は「禁止」してしまうべき…
といった情報の方がネット上でいっぱい見つかりましたので
なぜ今回、このような状態になったのかわからないのはいまいち釈然としませんが
sshd_configのPasswordAuthenticationとChallengeResponseAuthenticationを明示的にnoに設定して
とりあえず今後はRSA鍵認証方式を使うようにしていこうと思います。

でもこの件に関して何か情報がございましたら引き続きよろしくお願いします。

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

5. "RE: TeraTermでSSH接続不可能に…"
Posted by quanri on 09-19-03, 05:12 PM (JST)
こちらでも、1台(TL7 server, メールサーバとして利用)ではまったく同じ症状が出たのですが、なぜか、もう一台(TL7 server, Webサーバーとして利用、ハード構成はRAIDがSCSIかIDEかを除くと殆ど同じ)では、今まで通りplain passwordでログインできます。念のため、今回のupdate package を rpm --force で再度インストールしてみましたが、変わりませんでした。
2台は、/etc/hosts.allow も同じ(sshd : ALL)です。
どうなっているのか解らず、困惑しています。
  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

6. "RE: TeraTermでSSH接続不可能に…"
Posted by quanri on 09-19-03, 05:36 PM (JST)
もちろん、ssh_config, sshd_config も2台とも同じ(デフォルトのまま)です。
  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

7. "RE: TeraTermでSSH接続不可能に…"
Posted by take five on 09-21-03, 00:13 AM (JST)
私も openssh-server-3.7.1p1-4 にアップグレードしたら, 一部のユーザからログインできないとの苦情を貰いました.

私の場合は, srpm を取ってきて, openssh.spec の configure のオプションで --with-md5-passwords を追加してパッケージを作り直したらログインできるようになりました.

パスワードの暗号化に md5 を使っていないユーザ(/etc/shadow のパスワード欄が $1$ で始まっていないユーザ)には, 特に問題は発生しませんでした.

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

8. "RE: TeraTermでSSH接続不可能に…"
Posted by アクア on 09-21-03, 02:43 AM (JST)
当方では各種develパッケージをインストールしていないので
SRPMだけは持ってきて中身をちらっと見てみたものの
take fiveさんのおっしゃる方法でrpmパッケージの再作成&インストールは試せていませんが
ということはTurboLinux社(?)が今回のRPMパッケージを作成する際に
MD5パスワードサポートを含める設定にしなかったか
前のバージョンが入手できないので確かめようもありませんが
今回からビルドのデフォルト設定が変わった…ということでしょうか?

最後の投稿にあるように私の方はRSA鍵認証方式を使うようにしたのでいいのですが
サーバーを提供している方々などは一部クライアントから苦情が来て大変だったかもしれませんね(^^;
私のように開発環境を用意していない人達やソースからのビルド方法がわからない人達もいると思うので
今まで通りパスワード認証方式もサポートしているパッケージで公開してくれるか、
せめてそういったアナウンスがあるとよかったと思うのですが…(-_-;)
↑私はプロモーション版を使わせてもらってるのでサポートを求めることはできませんけど(苦笑)

とりあえずこれで原因がわかって(?)すっきりしました。
お返事ありがとうございましたm(_ _)m

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

9. "RE: TeraTermでSSH接続不可能に…"
Posted by リオ on 09-21-03, 09:35 AM (JST)
なんかこの辺、相変わらず全く進歩無いな。
仕様変えたら換えたでいいけど、ちゃんと対応策
とかなんかアナウンスしなと、プロモーション版
使っている人はいいかもしれないけど、正規版
使っている意味がない。

いつぞやのアパッチ事件で少しは懲りたのかと思って
いましたが、全然変わって無いのね。
少しは、テストしろよ。

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

10. "RE: TeraTermでSSH接続不可能に…"
Posted by みのむし on 09-21-03, 11:13 AM (JST)
>私の場合は, srpm を取ってきて, openssh.spec の configure のオプションで
>--with-md5-passwords を追加してパッケージを作り直したらログインできるようになりました.

openssh については詳しくないので偉そうな事を言う資格は無いのですが、一言...
Turbolinux でのデフォルトのパスワード認証方式はPAM パスワードを使用しています。
MD5 パスワードを使用する場合はセキュリティに十分考慮する必要があると思います。

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

11. "RE: TeraTermでSSH接続不可能に…"
Posted by blackcat on 09-22-03, 04:27 AM (JST)
windowsからPuTTYの端末で試したところ SSHプロトコルバージョンを 2以上にすればログオン出来るようです。
TeraTermはSSH1.5だからログオン出来ないのでしょうね。
  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

12. "修正版が出てますよ〜"
Posted by wacky on 09-22-03, 03:47 PM (JST)
早速、修正版がでましたね。

openssh-3.7.1p1-5.i586.rpm
openssh-clients-3.7.1p1-5.i586.rpm
openssh-server-3.7.1p1-5.i586.rpm

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

13. "RE: 修正版が出てますよ〜"
Posted by アクア on 09-22-03, 04:11 PM (JST)
ありがたいことです(^-^)
早速アップデートしてみようと思います♪
↑また何か起きるんじゃないかとちょっと怖かったりしますが。
  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

14. "RE: 修正版が出てますよ〜"
Posted by quanri on 09-24-03, 04:30 PM (JST)
こちらでは、修正版で今まで通りログインできるようになりました。ありがとうございました。
  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

15. "RE: 修正版が出てますよ〜"
Posted by hogehoge on 09-24-03, 08:19 PM (JST)
よくよく考えると Linux で Windows 版ソフトの対応を
しなければいけないって大変ですよね。
マイクロソフトが Linux 対応の為に...。
ありえないな。
  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

16. "openssh-3.7.1p2-1 だと今度は TIS でログインできない"
Posted by さるまっく Click to email on 09-29-03, 02:17 AM (JST)
users-MLで反響がなかったので、こちらでみなさまにお聞きしようとポストしました。

http://www.turbolinux.co.jp/security/TLSA-2003-51j.txt
を適用することで、TeraTermPro TTSSH の plain password でログインでき
なくなってしまった(TISならログインできる)問題を

http://www.turbolinux.co.jp/update/update_history/2003/TLBA-2003-5j.txt
を適用することで、対処してくれました。

ところが再び
http://www.turbolinux.co.jp/security/TLSA-2003-53j.txt
を適用して、openssh-3.7.1p2-1 にしたところ、今度は TeraTermPro TTSSH
で、plain password ではログインできるが、TIS ではログインできなくなって
しまいました。

みなさまのところではいかがでしょうか?
サーバにログインする利用者に、TISを使ってログインするように頼んだばかり
なのに、今度は TIS の方が使えなくなって困っています。。。

# plain password と TIS のいずれの方法でもログインできて欲しいのですが。

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

17. "RE: openssh-3.7.1p2-1 だと今度は TIS でログインできない"
Posted by foo on 09-29-03, 09:57 AM (JST)
http://www.turbolinux.co.jp/security/TLSA-2003-53j.txt
の注意事項に説明が追加されているようですよ。
  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |

18. "RE: openssh-3.7.1p2-1 だと今度は TIS でログインできない"
Posted by さるまっく on 09-29-03, 11:17 AM (JST)
>http://www.turbolinux.co.jp/security/TLSA-2003-53j.txt
>の注意事項に説明が追加されているようですよ。

ご指摘いただいてありがとうございました。
注意事項を見落としていました。

  削除 編集 | [リプライ] | [引用してリプライ] | [ポスト] |


アーカイブ | 削除

((ロビー)) [トピックス]
Powered by DCForumLite Version 3.0 (C)1997-2000 by DCScripts. All rights reserved.

SitemapQuestions or Comments...湿疾湿自湿疾湿杓湿疾湿自シェシュ湿疾湿耳湿疾湿自湿疾湿車湿疾湿自湿疾湿悉湿疾湿磁湿疾湿実湿疾湿磁湿疾湿蒔湿疾湿自湿疾湿漆湿疾湿自湿疾湿写湿疾湿磁湿疾湿実湿疾湿自湿疾湿捨湿疾湿自閏昭絢昭湿疾湿捨 Copyright © 2000 Turbolinux Inc. All Rights Reserved