Putty その3 【パティ】
>>189です。
どうも、職場のサーバー側に問題があったようです。職場の壁のLANコンセントに
機器(PCやルーター)を直結するとエラーパケットが発生するようで、スイッチング
ハブを間に入れるとまともになるようです。
壁コンセントの大元のスイッチ(おそらくCisco製)との相性か、ケーブルの長さの
問題な気がします。最近の改装工事で接続ミスが多くどうも素人工事の感じで
まさかの後者の問題のような気もしてます。
問題の発生が日本語版Putty>英語版、バージョン0.58>0.63になる理由が、よく
分からないのですが、Puttyのせいで問題が起こっているわけではないようです。
日本語化に尽力頂いているみなさま失礼しました。 >>196
単に相性って可能性もあるけど、規格に満たないケーブルで1000BASEとか通すとアホみたいにエラー出るよ。
ハブが弱い線の部分を100BASEに落としてくれてエラー減ってるとかそういう可能性が高い気がする。 結線がまとも(ツイストペアがペアになってない)じゃないケーブルとか 自作LANケーブルだと圧着前後の撚り戻し量やペアじゃない線をペアにしたりで良し悪しあるけど、
LANコンセントの後ろも全く同じミスが起こりうるのに、目視確認できないからタチが悪い。
CAT6コネクタ使いながらCAT5ギリギリのケーブルが後ろにいるなんて事例もあるんじゃないかな。 >>197-199
構内ネットワークは100Baseなのでケーブルの問題(少なくとも
替えて改善しないコンセント以降のケーブル)ではないと思う。
コンセントとスイッチの間の接続か、スイッチ自身(最初の話では
CiscoのCatalyst35xx)の相性問題じゃないかと思う。
とりあえず、ハブを間に入れてパケットエラー率が1/5000程度に
なってるけど、やや高めでアナログ的な問題も残ってそうな感じ。
今のところ、自宅→(問題のスイッチ等)→ルーター→sshサーバ
→(別の系統のネットワークの)Windows8のリモートデスクトップ
とつないで快適に使えてる。出勤しなくていいじゃん。
よく分からないのはsshだけで問題が出ること。Windows8から
外部にHTTPアクセスするときも同じはずなのに問題が出ない。 >>200
sshだけで問題が出るっての昔どこかで体験したな。原因はL2スイッチの故障だった
なんでそんなことが起きるのかまでは素人なんで分からなかった
なおICEIVがECDSAに対応した模様 >>201
スイッチの故障もあり得るか。10年経ったし天井裏のスイッチを
入れ替えてもいい頃かもしれないな。
とりあえずPuttyの側でSSHの圧縮をオンにしてると問題が起きる
頻度が下がっているのでそのまま使ってる。ポートフォワードで
rdpやVNCを使ってて圧縮自体はそっちもかかってるはずだけど。 ECDH/ECDSAに対応したんで遊んでみてるんだけど、openssh server側で
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
みたいに複数の指定あるとき、RSAとECDSAどっち使うかの優先順位ってどこかで設定可能?
openssh clientは決めうちってるみたいだけど 違った、openssh client なら HostKeyAlgorithms で設定可能だ ごった煮、アップデートしてくれないかなあ
アップデートする気ないならhdkさんとこにリンク貼るか
いつまでもセキュリティホールのあるバージョンがググるとトップに来るのはなあ iceivはベースがsvn trunkなのと独自ecdsa対応なのがちょっと。 (´-`).oO(こないだRLoginに乗り換えちゃったよ・・・) 実質opensslとopensshの移植だから本家が導入するかもしれん完全独自な実装より信頼できる,
っていう考え方は駄目か? opensshはともかくopensslの信頼度はボロボロですわ putty以外のterminal emulatorは全部opensslだろw opensslは確かにボロボロだが、client側だとserver程神経質になる必要も無いだろ。 中間者攻撃で秘密鍵が盗まれたりしたら恐ろしいことになる。
サーバのメモリ読まれても秘密鍵は読まれない(よね?)筈だけど、
クライアントのメモリ読まれたら秘密鍵読まれてログインし放題や。 そもそもその中間者攻撃はどうやって成功させるの?
sshで中間者攻撃が成功したとか聞いたこと無いんだが
なんのためにサーバー側のfingerprint確認してんだよ え? クライアントのメモリ読むのは中間者攻撃じゃ不可能でしょ?
クライアントのローカルマシン上で悪意のあるソフトウェアを動かして、
それがメモリから秘密鍵を盗み見る可能性はあるから、
秘密鍵を保持したメモリは使用直後に上書きして消す。
でもそれってopenssh側の実装の問題だからopenssl関係ない。 opensslに未知の脆弱性がある、と言う事を前提にそこを突くような鯖を用意して
中間者攻撃をしかけるって事だと妄想したが、無理ありすぎるわw
そもそもそんなにopenssl嫌ならopenssh使うのだって駄目って事になるだろ
論理が破綻してますわ >>215
認証より前の段階で脆弱性があればfingerprint確認は効果が無い。
opensslで大きな話題になったheartbleedも認証前に機能する脆弱性。
>>216
opensslのheartbleedはサーバないしクライアントのメモリを認証前に盗み見ることの出来る脆弱性。
攻撃対象のクライアントを偽サーバに誘導する方法が中間者攻撃であれば中間者攻撃は成立する。
あ、opensshではheartbleedされないけど、これはそれに相当する脆弱性があった場合の話ね?
ローカルからの攻撃は無関係だし、そもそもOSの脆弱性に近いような気もするなぁ…それ。
>>217
openssl、opensshを問わず、暗号通信ライブラリに脆弱性があった場合に
client側とserver側でどちらに脆弱性があった場合がより危険かと言う話。
serverだと任意コード実行であってもその鯖のroot止まりだが、
clientだとメモリ内容漏洩の段階で秘密鍵(クライアント認証情報)が漏れてしまう。
clientだからってまったく安心できないから>>213の認識は誤りだろう。
中間者攻撃は実施コストが高く、標的型で狙われないと被弾しにくいからあまり意識しなくて良いというだけ。 攻撃者がサーバーとクライアントのどっちを狙うかって考えたらそりゃサーバーだろ
標的型でピンポイントで狙うのならまあクライアント側もありえるけどそもそも前提がおかしい 結局iceivのecdsa実装は使うと危険なの? 本家の実装待つべき? プロトコル周りが独自だとちょと怖いけど、暗号とか圧縮みたいな数値を規則的に弄るだけの部分は間違ってたら通信できないだけ。
あんまり気にする必要はない…と思ってるけど
> 2014/09/10 修正内容
> ホスト鍵が ECDSA の場合にクラッシュすることがあった。
> 旧バージョンでホスト鍵を取得していた場合、警告が出るかもしれません。
これは暗号じゃなくて暗号による処理の切り替えでミスってたってだけ…だよ…ね…? パッチをdiffればわかるけど、"ecdsa521"を"521"とtypoしたのと
unsigned char * を char * とtypoした2箇所だけ違う。 挑戦しようとしてみたけど、Win32の描画周りがさっぱりわからん。
C#メインのゆとりでございます。 確かNetBSDには
COMPAT_PECOFF というのがあって
Winのエロゲを動かしていたような記憶が ああそうかputtyはgtkでも動くんだった。
しかしそこまでポータビリティ考慮する実装を追加するのは大変そうだ。 sixelって実用的な意味あんの? X立ち上げればいいじゃん、って話じゃなく? 縛りプレイやってるならともかく、普通はブラウザ立ち上げたほうがいい iceiv+puttyの最新版に更新したついでに鍵をECDSAにしてみたんだけど
サーバ側のsshdが古いとECDSAに対応してないし
クライアント側もFilezillaやTortoiseSVNは当然対応してないしで
結局元のRSA鍵に戻してしまった
Nagさんのコメントによると本家の次のreleaseはまだECDSAに対応しないようだし
鍵をECDSAに完全移行するにはまだ時間がかかりそうだ iceiv+putty
2015/01/09 版
2週間たったな。そろそろ置き換えるか。 putty 毎日使っているから、話題が無いと寂しいw。
話題が無いのは何も問題が無いと言う事で、よいことなのかしらw iceiv版puttyとpagentで質問なんですが、puttyでpagent使って認証する時どうやってECDSA鍵を優先させるんでしょうか?
現状、pagentにECDSA鍵とRSA鍵を読み込ませてるんですが
puttyでの認証時なぜかRSA鍵側で認証されます。
pagentにECDSA鍵のみを読み込ませると、もちろんputtyでssh認証時にECDSA鍵が使われるんですが
両方の鍵を読み込ませると、うちではRSA鍵が優先されます。
puttyの鍵交換アルゴリズムオプションのアルゴリズム選択ポリシーは
ECDH key exchangeが一番上なんですがここでは無い?
まあ過渡期運用なんで、RSA鍵使わないようにすればいいだけではあるんだけど
なにか設定で回避出来るのであれば教えてください。 ソースは見てないけどpagentに設定項目自体みあたらないし、pagent側の
標準の挙動だったりしないかな。 鍵交換とは全く別の話だから、「PuTTYでは公開鍵の優先順位を設定できない」
っていうのが仕様な気がするな やはり仕様ですか。
puttyでセッションログ取ってみたけどいきなりRSAで認証されてるし手の打ちようが無いなぁ。
素直に諦めます。 pageantへの鍵の登録順を変えてみてもだめかな?
ソース見たけど2-3-4木から一つずつ引っ張り出してるから、こいつが
登録順がキープされる代物なら先に登録した鍵が先に取り出されるような気がする。 >>245
pagentに渡す引数の順番を変えてみても鍵の一覧に表示される順番は変わらないので
fingerprintか何かでソートされてるっぽいです。 malware入りputtyが出回ってるから注意、らしいよ
対策は公式サイトからダウンロードしろ、だけど
派生版使ってる場合はどうにもならんなあ plink.exeとかで、最初に接続したときにファイルに保存しますかって聞いてくるあれ
無条件に y したいんだけどどうしたらいい?
そもそも聞いてこないのが理想だけど > 2015/07/26 修正内容
> ごった煮版 pageant には passphrase を設定に保存する機能が含まれていましたが、
> 以前から注意を喚起しているように、実装的に見ても危険なように思います。
> 昨今の状況を鑑み、安全な実装に代替されるまで機能を削除することにしました。
putty-gdi-20130807.zipのpageantを起動すると相変わらず「パスフレーズを記憶する」
というチェックボックスが表示されるんですけど…。
一方で、puttyやplinkが鍵にアクセスしようとすると、鍵を渡してもいいかって確認の
ダイアログが出てたのが出なくなったんだけど、まさか間違えてこっちの機能を削除した
って落ちじゃないよね? phraseをメモリに保存する機能は本家にもともとある
設定ファイルとかレジストリに保存する機能はごった煮
削除されたんは、ごった煮昨日のほうなんじゃね? いや良く知らんけど
まあそうだとしたら旧版の利用者のレジストリとかにはphraseが保存されたまま
だろうから、削除する手段とか告知したほうがいいんじゃね
まあ分かって使ってる奴なら自力でなんとかするだろうが 本家も対応ずみと勘違いしてたが、楕円曲線暗号系は開発ブランチで、
まだ安定版には降りてきてなかったんだな win10でaeroglass復活したって聞いたけど
iceivのd2ddw版はglass効果駄目だな。他のアプリもglassな奴は全滅だ。
結局、復活したように見えてしてないのかー >>259
なんか対応したけどWin7と同じようには行かないみたいで iceiv新しいの出てるじゃん
おいおい、おまえらそれぐらいしか話題無いんだから知らせてくれよー iceivは頻繁に新しいの出してるよ
タイトルバー右クリックのメニューが正常に日本語化されなくなって久しい MacのiTerm2だと特定のワードに自動で色付けてくれて便利なんだけどputtyでもそういうパッチありませんかね
例えば
「Error」:赤
のように設定しておくとぱっと見ただけでエラーの位置がわかって便利なのです >>264
そういう出力フィルタを通せばいいんじゃない? 出力フィルタとはPuttyの機能ではなく接続先でパイプとエスケープシーケンスなりなんなりで色をつけるということでしょうか
設定するだけで勝手に色付けしてくれるのがiTerm2の便利なところなのですが、まだ無いようなら自分で書きます
ありがとうございました ED25519鍵対応バージョンのpageantで
INI対応・パスワードINI保存対応の誰か作って無いかな?
iceiv版のはパスワードINI保存辞めちゃった上に
INI対応までゴッソリ削除されちゃってて駄目だったんだよね・・・
自分でパッチ当てようと思ったけども
pageantのソースがECDSA・ED25519鍵対応バージョンから変わりすぎてて
俺には無理だったorz INI対応つか、パスワード保存にしかINIを使ってなかったら、両者は一体なんじゃね?
どうせメモリ上にパスフレーズ保持してんだから、
INIに平文もどきで保存したって大した違いじゃないような気もするんだが、
やっぱ危険すぎて公開できないのかね INI対応はPuTTYのセッションリストとかをINIから読み込む機能
PuTTYのセッションリストをINIに保存してると最新のiceiv版だと
pageantの保存されたセッションの中身が空っぽになっちゃう。
パスワード保存の方は確かに鍵ファイルからパスワード消しちゃえば
済む問題だった・・・
この辺りが切り捨てられちゃったのは
pageantのコードがゴッソリ変更されてて
パッチ当てるとかってレベルじゃなくて
工数が掛かりすぎるからpageantの対応やめた
ってのが本音じゃないかな?
0.66のリリース版のソースと現行の開発版のソースだと
別のプログラムって位コード変わっちゃってるよ。 とりあえずINI対応しないと使い物にならないので
自力でINI対応したんでうpしとく。
http://www.dotup.org/uploda/www.dotup.org634889.zip.html
内容は
PuTTYの開発版スナップショット(2015/11/28版の物)に
putty-gdi-20151109のパッチを適用して
putty-gdi-20150228のパッチの中からpageantのini対応関係の
パッチだけ抜き出してマージした物を当てただけ
VS2015でビルドして最適化オプション色々付けたので
もしかしたら環境によっては動かないかも? いやdiffが付いてるから自分で確認して再コンパイルして使うよ、ありがとう
> INI対応はPuTTYのセッションリストとかをINIから読み込む機能
なるほど、それがあったか。たまにしか使わないから忘れてたよ ICE IVのサイト、会社とかからだと普通にアクセスできるのに、
自宅からだとConnection Refusedでアクセスできない
うーん、何故だ? 変なproxy通してるか、banに巻き込まれてるんじゃ puttyでbash on windowsのコンソールを開く方法あるかの? おいおい0.68正式版出てるじゃねぇか
それすら話題に上げないっておまえら・・・ 何となくスレは見続けてるけど、俺は RLogin に乗り換えちゃったんだよね…… Cygwin + tmux に乗り換えたけど RLogin ってのスゲーよさそうだなw RLoginって良いですね。フォントも崩れないし。背景を透過してくれたら最高じゃない?
でも、WinSCP使いの俺には、sftp微妙。
ソース提供してくれているから作者不在になった時でも、皆で支えていけば良いけど... >>283
PuTTYのCJK選択時に比べると、RLoginは記号の文字幅とか微妙じゃない? >>284
逆に、PuTTYは文字高が微妙じゃないですか?
「Meiryo-MSR-CJK」とかのメイリオ野良フォントを使うと、「g,q、q」が判別不能。 >>285
PuTTYjpで行間とベースラインの設定を変えれば文字高はどうにでもなると思うけどなぁ RLoginいいんたけど、PuTTYのplinkに相当するものがないから、結局PuTTYも使わざるを得ない…。 本家が更新されてないのにPuTTYjpが更新されたと思ったら、メニューの日本語化がされなくなっていた問題が修正されたのか。
ICE IVにも同じ問題があるから、この修正を取り込んでほしいな。 いつの間にか本家から0.70が出てるな。
Security fixを含むから、PuTTYjpもICE IVも早いとこ更新してくだされ。 ICE の putty にアクセス出来ないのですが、私だけじゃ無いですよね? Windows10 pro AUでputtyを使っております。
いつの頃からputtyのウィンドウをクリックしてもアクティブになりません。
puttyのタイトルバーをクリックするとアクティブになりますが、
さすがに不便なので何か解決策ないでしょうか。 iceiv GDI版なら背景を半透明にしてるとそうなる 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
2H0ZF7E9RF ☆ 日本の、改憲をしましょう。現在、衆議員と参議院の両院で、
改憲議員が3分の2を超えております。『憲法改正国民投票法』、
でググってみてください。国会の発議はすでに可能です。
平和は勝ち取るものです。お願い致します。☆☆ 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
L9HQ7