![[OpenSSH]](../images/smalltitle.gif){kind=small}
1.0 - Apakah itu OpenSSH dan Dimana Saya Bisa Mendapatakannya?
- 1.1 - Apakah itu OpenSSH?
- 1.2 - Mengapa harus digunakan?
- 1.3 - Sistem Operasi apa yang didukung?
- 1.4 - Bagaimana tentang hakcipta, penggunaan dan hakpaten?
- 1.5 - Dimana saya harus meminta bantuan?
2.0 - Pertanyaan Umum
- 2.1 - Mengapa ssh/scp melakukan hubungan dengan port bernomor rendah. Firewall saya menutupnya.
- 2.2 - Mengapa klien ssh setuid root?
- 2.3 - Mengapa SSH 2.3 punya masalah interoperasi dengan OpenSSH 2.1.1?
- 2.4 - Mengapa muncul pesan dari OpenSSH: Dispatch protocol error: type 20
- 2.5 - Versi lama SSH komersil mengenkripsi kunci host dengan IDEA.
- 2.6 - Apakah itu pesan peringatan tentang panjang kunci?
- 2.7 - X11 dan/atau forward agen tidak berjalan.
- 2.8 - Setelah memperbarui OpenSSH Saya kehilangan dukungan untuk SSH2.
- 2.9 - sftp/scp gagal saat disambungkan, tetapi ssh OK saja.
3.0 - Pertanyaan OpenSSH Portabel
- 3.1 - Pesan pada berkas log tentang otentikasi palsu/tidak sah PAM.
- 3.2 - Katakunci kosong tidak diperbolehkan dalam otentikasi PAM.
- 3.3 - ssh(1) memakan waktu lama untuk tersambung dengan Linux/glibc 2.1
- 3.4 - Pesan log "Can't locate module net-pf-10" pada Linux.
- 3.5 - Otentikasi katakunci tidak berjalan pada Slackware 7.0
- 3.6 - Komplain configure atau sshd(8) tentang kekurangan dukungan pada RSA
- 3.7 - Kesalahan "scp: command not found"
- 3.8 - Tidak bisa membaca passphrase
- 3.9 - 'configure' tidak ditemukan atau gagal sewaktu make
- 3.10 - Hang sewaktu mengakhiri ssh
- 3.11 - Mengapa ssh ada waktu diam waktu diakhiri?
- 3.12 - Saya membarui menjadi OpenSSH 3.1 dan forwarding X11 tidak lagi bekerja.
OpenSSH adalah sebuah versi GRATIS dari alat konektivitas SSH yang telah meningkatkan jumlah orang di Internet untuk menjadi bersandar padanya. Banyak pengguna telnet, rlogin, ftp, dan program sepadan lainnya mungkin tidak menyadari bahwa katakunci mereka ditransmisikan melalui Internet tanpa enkripsi, tetapi tidak demikian dengan OpenSSH. OpenSSH mengenkripsi seluruh lalulintas data (termasuk katakunci) yang secara efektif menghilangkan pencurian data, pembajakan koneksi, dan serangan tingkat jaringan lainnya.
OpenSSH menyertakan program ssh(1) sebagai pengganti, dan scp(1) yang menggantikan rcp(1) dan ftp(1). OpenSSH juga punya , baru-baru ini, menambahkan sftp(1) dan sftp-server(8) yang mengimplementasikan solusi lebih mudah untuk transfer berkas. Hal ini berdasar pada draf IETF secsh-filexfer.
OpenSSH berisi sejumlah program.
OpenSSH merupakan rangkaian alat untuk membuat koneksi jaringan anda semakin aman. Berikut adalah daftar fiturnya:
Currently, almost all communications in computer networks are done without encryption. As a consequence, anyone who has access to any machine connected to the network can listen in on any communication. This is being done by hackers, curious administrators, employers, criminals, industrial spies, and governments. Some networks leak off enough electromagnetic radiation that data may be captured even from a distance.
When you log in, your password goes in the network in plain text. Thus, any listener can then use your account to do any evil he likes. Many incidents have been encountered worldwide where crackers have started programs on workstations without the owner's knowledge just to listen to the network and collect passwords. Programs for doing this are available on the Internet, or can be built by a competent programmer in a few hours.
Businesses have trade secrets, patent applications in preparation, pricing information, subcontractor information, client data, personnel data, financial information, etc. Currently, anyone with access to the network (any machine on the network) can listen to anything that goes in the network, without any regard to normal access restrictions.
Many companies are not aware that information can so easily be recovered from the network. They trust that their data is safe since nobody is supposed to know that there is sensitive information in the network, or because so much other data is transferred in the network. This is not a safe policy.
Meskipun OpenSSH dikembangkan pada OpenBSD ada sejumlah besar varietas jembatan utuk sistem operasi lain. Versi portabel OpenSSH dipimpin oleh Damien Miller. Untuk ulasan singkat versi portabel OpenSSH lihat: http://www.openssh.com/portable.html. Ulasan singkat untuk So lain yang didukung ada dibawah ini.
Daftar vendor yang menyertakan OpenSSH dalam distribusi mereka terletak pada www.openssh.com/users.html. :
The OpenSSH developers have tried very hard to keep OpenSSH free of any patent or copyright problems. To do this, some options had to be stripped from OpenSSH. Namely support for patented algorithms.
OpenSSH does not support any patented transport algorithms. In SSH1 mode, only 3DES and Blowfish are available options. In SSH2 mode, only 3DES, Blowfish, CAST128, Arcfour and AES can be selected. The patented IDEA algorithm is not supported.
OpenSSH provides support for both SSH1 and SSH2 protocols.
Since the RSA patent has expired, there are no restrictions on the use of RSA algorithm using software, including OpenBSD.
There are many places to turn to for help. In addition to the main OpenSSH website: http://www.openssh.com, there are many mailing lists to try. But before trying any mailing lists, please search through all mailing list archives to see if your question has already been answered. The OpenSSH Mailing List has been archived and put in searchable form and can be found at theaimsgroup.com.
For more information on subscribing to OpenSSH related mailing lists, please see: www.openssh.com/list.html.
The OpenSSH client uses low numbered ports for rhosts and rhosts-rsa authentication because the server needs to trust the username provided by the client. To get around this, you can add the below example to your ssh_config or ~/.ssh/config file.
UsePrivilegedPort no
Or you can specify this option on the command line, using the -o option to ssh(1) command.
$ ssh -o "UsePrivilegedPort no" host.com
In conjunction with the previous question, (2.1) OpenSSH needs root authority to be able to bind to low-numbered ports to facilitate rhosts authentication. A privileged port is also required for rhosts-rsa authentication to older SSH releases.
Additionally, for both rhosts-rsa authentication (in protocol version 1) and hostbased authentication (in protocol version 2) the ssh client needs to access the private host key in order to authenticate the client machine to the server. So the setuid root bit is needed for these authentication methods, too. You can safely remove the setuid bit from the ssh executable if you don't want to use these authentication methods.
SSH 2.3 and earlier versions contain a flaw in their HMAC implementation. Their code was not supplying the full data block output from the digest, and instead always provided 128 bits. For longer digests, this caused SSH 2.3 to not interoperate with OpenSSH.
OpenSSH 2.2.0 detects that SSH 2.3 has this flaw. Recent versions of SSH will have this bug fixed. Or you can add the following to SSH 2.3 sshd2_config.
Mac hmac-md5
Problems in interoperation have been seen because older versions of OpenSSH did not support session rekeying. However the commercial SSH 2.3 tries to negotiate this feature, and you might experience connection freezes or see the error message "Dispatch protocol error: type 20 ". To solve this problem, either upgrade to a recent OpenSSH release or disable rekeying by adding the following to your commercial SSH 2.3's ssh2_config or sshd2_config.
RekeyIntervalSeconds 0
The old versions of SSH used a patented algorithm to encrypt their /etc/ssh/ssh_host_key. This problem will manifest as sshd(8) not being able to read its host key. To solve this, use the command below to convert your ssh_host_key to use 3DES. NOTE: Use the ssh-keygen(1) program from the Commercial SSH product, *NOT* OpenSSH for the example below.
# ssh-keygen -u -f /etc/ssh/ssh_host_key
Commercial SSH's ssh-keygen(1) program contained a bug which caused it to occasionally generate Pubkey Authentication (RSA or DSA) keys which had their Most Significant Bit (MSB) unset. Such keys were advertised as being full-length, but are actually, half the time, smaller than advertised.
OpenSSH will print warning messages when it encounters such keys. To rid yourself of these message, edit you known_hosts files and replace the incorrect key length (usually "1024") with the correct key length (usually "1023").
Check your ssh_config and sshd_config. The default configuration files disable authentication agent and X11 forwarding. To enable it, put the line below in sshd_config:
X11Forwarding yes
and put the following lines in ssh_config:
ForwardAgent yes
ForwardX11 yes
NOTE: For users of Linux Mandrake 7.2, Mandrake modifies the XAUTHORITY environment variable in /etc/skel/.bashrc, and thus any bash user's home directory. This variable is set by OpenSSH and for either of the above options to work, you need to comment out the line:
# export XAUTHORITY=$HOME/.Xauthority
Between versions changes can be made to sshd_config or ssh_config. You should always check on these changes when upgrading versions of OpenSSH. After OpenSSH Version 2.3.0 you need to add the following to your sshd_config
HostKey /etc/ssh_host_dsa_key
HostKey /etc/ssh_host_rsa_key
sftp and/or scp may fail at connection time if you have shell initialization (.profile, .bashrc, .cshrc, etc) which produces output for non-interactive sessions. This output confuses the sftp/scp client. You can verify if your shell is doing this by executing:
ssh yourhost /usr/bin/true
If the above command produces any output, then you need to modify your shell initialization.
Versi portabel OpenSSH akan membuat kesalahan otentikasi tidak sah pada setiap login, terlihat seperti baris berikut:
"authentication failure; (uid=0) -> root for sshd service"
Kesalahan ini dibuat karena OpenSSH pertama akan menentukan apakah pengguna memerlukan otentikasi untuk login (misal, katakunci kosong). Unfortunately PAM likes to log all authentication events, this one included.
Jika hal ini terlalu mengganggu anda, aturlah "PermitEmptyPasswords no" pada sshd_config. Hal ini akan 'membungkam' pesan kesalahan dengan pengaruh akan membuat tidak bisa login akoun tanpa password. Ini harus merupakan aturan dasar dari berkas sshd_config yang anda pakai.
Untuk membolehkan katakunci kosong dengan sebuah versi OpenSSH yang dibangun dengan PAM anda harus menambahkan tanda nullok pada akhir modul pemeriksaan katakunci di berkas /etc/pam.d/sshd. Sebagai contoh:
auth required/lib/security/pam_unix.so shadow nodelay nullok
Hal ini harus dilakukan sebagai tambahan untuk "PermitEmptyPasswords yes" pada berkas sshd_config.
There is one caveat when using empty passwords with PAM authentication: PAM will allow any password when authenticating an account with an empty password. This breaks the check that sshd(8) uses to determine whether an account has no password set and grant users access to the account regardless of the policy specified by PermitEmptyPasswords. For this reason, it is recommended that you do not add the nullok directive to your PAM configuration file unless you specifically wish to allow empty passwords.
glibc yang disertakan dalam Redhat 6.1 kelihatan membutuhkan waktu lama untuk mencari alamat "IPv6 atau IPv4" dari nama domain. Masalah ini bisa diatasi dengan opsi configure --with-ipv4-default. Hal ini akan menginstruksikan OpenSSH agar menggunakan resolusi alamat IPv4-saja. (pencarian IPv6 masih mungkin dilakukan dengan menentukan opsi -6).
Kernel Linux mencari (via modprobe) keluarga protokol 10 (IPv6). Anda bisa memuat modul kernel yang tepat, dengan menempatkan alias yang benar pada /etc/modules.conf ataupun mematikan IPv6 pada /etc/modules.conf.
Untuk beberapa alasan /etc/modules.conf mungkin juga mempunyai nama /etc/conf.modules.
Untuk Slackware 7.0, anda perlu menghubungkan OpenSSH dengan libcrypt.
LIBS=-lcrypt ./configure [opsi]
Pastikan bahwa pustaka OpenSSL anda telah dibangun untuk menyertakan dukungan RSA atau DSA baik secara internal maupun melalui RSAref.
scp(1) harus berada pada PATH dasar di kedua sisi baik klien maupun server. Anda mungkin perlu menggunakan opsi --with-default-path guna menentukan sebuah path untuk ditemukan pada server. Opsi ini menggantikan path dasar, sehingga anda perlu menspesifikasikan keseluruhan direktori saat ini pada path anda sesuai dengan tempat anda menginstall scp. Sebagai contoh:
$ ./configure --with-default-path=/bin:/usr/bin:/usr/local/bin:/path/tempat_di_install_nya/scp
Beberapa sistem operasi mengatur /dev/tty dengan modus yang tidak tepat, menyebabkan pembacaan katakunci menjadi gagal dengan kesalahan berikut:
You have no controlling tty. Cannot read passphrase.
Solusinya adalah dengan mengatur ulang perijinan pada /dev/tty menjadi modus 0666 dan melaporkan kesalahan sebagai sebuah bug ke vendor SO anda.
Jika tidak ada berkas 'configure' pada berkas tar.gz yang telah anda muat-dapat atau gagal melakukan make dengan pesan kesalahan "missing separator" , anda mungkin telah memuat-dapat distribusi OpenSSH dari OpenBSD dan anda coba kompail pada platform lain. Mohon merujuk pada keterangan versi portabel.
OpenSSH mungkin bisa hang sewaktu diakhiri. Hal ini bisa terjadi ketika terdapat sebuah proses-belakang yang berjalan. Ini dikenal terjadi di Linux dan HP-UX. Masalah ini dapat diverifikasi dengan melakukan hal berikut:
Atau coba gunakan ini juga:
$ sleep 20 & exit
$ sleep 20 < /dev/null > /dev/null 2>&1 &
Untuk pengguna bash tambahkan "shopt -s huponexit" baik pada /etc/bashrc maupun ~/.bashrc. Jika tidak, konsultasikan dengan halaman manual untuk menemukan sebuah opsi agar bisa mengirim sinyal HUP pada tugas yang sedang aktif sewaktu diakhiri.
Ketika mengeksekusi
ssh perlu waktu diam, karena dibutuhkan untuk menunggu:
$ ssh host perintah
perintah tersebut tidak membutuhkan
masukan lebih lanjut.
perintah tersebut tidak menghasilkan
keluaran lebih lanjut.
perintah diakhiri karena sshd perlu memberitahukan
status pengakhiran dari perintah ke ssh.
Secara umum, klien X11 yang menggunakan X11 R6 harus bekerja dengan aturan dasar tersebut. Beberapa vendor, termasuk HP, menyertakan klien X11 dengan pustaka R6 dan R5, sehingga beberapa klien akan bekerja, dan lainnya tidak. Hal ini ditemukan pada 11.X di HP-UX.
www@openbsd.org