home *** CD-ROM | disk | FTP | other *** search
/ linuxmafia.com 2016 / linuxmafia.com.tar / linuxmafia.com / pub / linux / security / ylonen-ssh / ssh-old-faq < prev    next >
Encoding:
Text File  |  2000-06-08  |  25.6 KB  |  728 lines
  1. Newsgroups: comp.security.unix,comp.security.misc
  2. Subject: SSH (Secure Shell) FAQ - Frequently Asked Questions
  3. MIME-Version: 1.0
  4. Content-Type: text/plain; charset=ISO-8859-1
  5. Content-Transfer-Encoding: 8bit
  6.  
  7.  
  8. Archive-name: computer-security/ssh-faq
  9. Url: http://www.uni-karlsruhe.de/~ig25/ssh-faq/
  10. Posting-frequency: every 14 days
  11.  
  12. -----BEGIN PGP SIGNED MESSAGE-----
  13.  
  14.   Ssh (Secure Shell) FAQ - Frequently asked questions
  15.   by Thomas K÷nig Thomas.Koenig@ciw.uni-karlsruhe.de
  16.   $Date: 1996/03/27 14:17:53 $
  17.  
  18.   This document is a list of Frequently Asked Questions (plus hopefully
  19.   correct answers) about the Secure Shell, ssh.     IMPORTANT: There is a
  20.   security bug in all versions of ssh before 1.2.12.92.     Upgrade to a
  21.   newer version is recommended.
  22.  
  23.  
  24.   1. Meta-questions
  25.   1.1. Where do I get this document?
  26.   1.2. Where do I send questions, corrections etc. about this document?
  27.  
  28.  
  29.   2. Ssh basics
  30.   2.1. What is ssh?
  31.   2.2. Why should I use it?
  32.   2.3. What kinds of attacks does ssh protect against?
  33.   2.4. What kind of attacks does ssh not protect against?
  34.   2.5. How does it work?
  35.  
  36.  
  37.   3. Obtaining and installing ssh
  38.   3.1. What is the latest version of ssh?
  39.   3.2. May I legally run ssh?
  40.   3.3. What about commercial use of ssh?
  41.   3.4. Where can I obtain ssh?
  42.   3.5. How do I install it?
  43.   3.6. Where do I get help?
  44.   3.7. Are there any versions for other operating systems than UNIX?
  45.   3.8. What about administration of ssh?
  46.  
  47.  
  48.   4. Ssh Applications
  49.   4.1. Can I run backups over ssh?
  50.   4.2. Should I turn encryption off, for performance reasons?
  51.   4.3. Can I use ssh to communicate across a firewall?
  52.   4.4. Can I distribute files with ssh, as with rdist?
  53.   4.5. Can I use ssh to securely connect two subnets across the
  54.   Internet?
  55.   4.6. Can I use ssh to securely forward UDP-based services, such as NFS
  56.   or NIS?
  57.   4.7. Can I forward SGI GL connections over ssh?
  58.   4.8. Can I use ssh to protect services like ftp or POP?
  59.  
  60.  
  61.   5. Problems
  62.   5.1. ssh otherhost xclient & does not work!
  63.   5.2. Ssh fails with "Resource temporarily unavailable" for Solaris 2.4
  64.   5.3. X11 forwarding does not work for an SCO binary with the iBCS2
  65.   emulator under Linux.
  66.   5.4. Ssh is doing wrong things for multi-homed hosts!
  67.   5.5. Userid swapping is broken under AIX!
  68.   5.6. ssh-keygen dumps core on Alpha OSF!
  69.   5.7. ssh-keygen dumps core on Solaris or SunOS
  70.   5.8. On Linux, compilation aborts with some error message about
  71.   libc.so.4
  72.   5.9. X authorization sometimes fails.
  73.   5.10. Ssh on Irix 5 tells me "You don't exist, go away!"
  74.   5.11. Ssh asks me for passwords despite .rhosts!
  75.   5.12. Why does ssh loop with "Secure connection refused'?
  76.   5.13. ssh-agent does not work with rxvt! rxvt closes all file
  77.   descriptors when starting up, including the one used by
  78.  
  79.   6. Miscellaneous
  80.   6.1. How widespread is use of ssh?
  81.   6.2. Credits
  82.  
  83.   1.  Meta-questions
  84.  
  85.   1.1.    Where do I get this document?
  86.  
  87.   The latest version of this document is available from http://www.uni-
  88.   karlsruhe.de/~ig25/ssh-faq/. It will also be posted, on a regular
  89.   basis, to the Usenet newsgroups comp.security.misc,
  90.   comp.security.unix, comp.answers and news.answers. This version is
  91.   PGP-signed, and will be available from
  92.   ftp://rtfm.mit.edu/pub/usenet/news.answers/computer-security/ssh-faq
  93.   and from http://www.uni-karlsruhe.de/~ig25/ssh-faq/ssh-faq.faq.
  94.  
  95.   The original SGML file is at http://www.uni-karlsruhe.de/~ig25/ssh-
  96.   faq/ssh-faq.sgml.
  97.  
  98.   Also of interest is the ssh home page, at http://www.cs.hut.fi/ssh/.
  99.  
  100.   1.2.    Where do I send questions, corrections etc. about this document?
  101.  
  102.   Please send them to the maintainer, Thomas.Koenig@ciw.uni-karlsruhe.de
  103.  
  104.   2.  Ssh basics
  105.  
  106.  
  107.   2.1.    What is ssh?
  108.  
  109.   To quote the README file:
  110.  
  111.   Ssh (Secure Shell) is a program to log into another computer over a
  112.   network, to execute commands in a remote machine, and to move files
  113.   from one machine to another. It provides strong authentication and
  114.   secure communications over insecure channels. It is intended as a
  115.   replacement for rlogin, rsh, and rcp.
  116.  
  117.   Additionally, ssh provides secure X connections and secure forwarding
  118.   of arbitrary TCP connections.
  119.  
  120.   2.2.    Why should I use it?
  121.  
  122.   The traditional BSD 'r' - commmands (rsh, rlogin, rcp) are vulnerable
  123.   to different kinds of attacks. Somebody who has root access to
  124.   machines on the network, or physical access to the wire, can gain
  125.   unauthorized access to systems in a variety of ways. It is also
  126.   possible for such a person to log all the traffic to and from your
  127.   system, including passwords (which ssh never sends in the clear).
  128.  
  129.   The X Window System also has a number of severe vulnerabilities. With
  130.   ssh, you can create secure remote X sessions which are transparent to
  131.   the user. As a side effect, using remote X clients with ssh is more
  132.   convenient for users.
  133.  
  134.   Users can continue to use old .rhosts and /etc/hosts.equiv files;
  135.   changing over to ssh is mostly transparent for them. If a remote site
  136.   does not support ssh, a fallback mechanism to rsh is included.
  137.  
  138.   2.3.    What kinds of attacks does ssh protect against?
  139.  
  140.   Ssh protects against:
  141.  
  142.   o  IP spoofing, where a remote host sends out packets which pretend to
  143.      come from another, trusted host. Ssh even protects against a
  144.      spoofer on the local network, who can pretend he is your router to
  145.      the outside.
  146.  
  147.   o  IP source routing, where a host can pretend that an IP packet comes
  148.      from another, trusted host.
  149.  
  150.   o  DNS spoofing, where an attacker forges name server records
  151.  
  152.   o  Interception of cleartext passwords and other data by intermediate
  153.      hosts.
  154.  
  155.   o  Manipulation of data by people in control of intermediate hosts
  156.  
  157.   o  Attacks based on listening to X authentication data and spoofed
  158.      connection to the X11 server.
  159.  
  160.   In other words, ssh never trusts the net; somebody hostile who has
  161.   taken over the network can only force ssh to disconnect, but cannot
  162.   decrypted or play back the traffic, or hijack the connection.
  163.  
  164.   The above only holds if you actually use encryption. Ssh does have an
  165.   option to use encryption of type "none" this is only for debugging
  166.   purposes, and should not be used.
  167.  
  168.   2.4.    What kind of attacks does ssh not protect against?
  169.  
  170.   Ssh will not help you with anything that compromises your host's
  171.   security in some other way. Once an attacker has gained root access to
  172.   a machine, he can then subvert ssh, too.
  173.  
  174.   If somebody malevolent has access to your home directory, then
  175.   security is nonexistent. This is very much the case if your home
  176.   directory is exported via NFS.
  177.  
  178.   2.5.    How does it work?
  179.  
  180.   For more extensive information, please refer to the README and RFC
  181.   files in the ssh directory. The proposed RFC is also available as an
  182.   Internet Draft, as draft-ylonen-ssh-protocol-00.txt.
  183.  
  184.   All communications are encrypted using IDEA or one of several other
  185.   ciphers (three-key triple-DES, DES, RC4-128, TSS). Encryption keys are
  186.   exchanged using RSA, and data used in the key exchange is destroyed
  187.   every hour (keys are not saved anywhere). Every host has an RSA key
  188.   which is used to authenticate the host. Encryption is used to protect
  189.   against IP-spoofing; public key authentication is used to protect
  190.   against DNS and routing spoofing.
  191.  
  192.   RSA keys are also used to authenticate hosts.
  193.  
  194.   3.  Obtaining and installing ssh
  195.  
  196.  
  197.   3.1.    What is the latest version of ssh?
  198.  
  199.   The latest officially released version is 1.2.0. The latest
  200.   development version is 1.2.13.
  201.  
  202.   ssh-1.2.12.92 and later versions contain an important security fix.
  203.   Using it instead of earlier versions is recommended.    The fix here is
  204.   intended to be temporary, and upgrading to the next release after that
  205.   is highly recommended when it becomes available.  The temporary fix
  206.   has some drawbacks.  For more information, read the ssh mailing list
  207.   archive at
  208.    http://www.cs.hut.fi/ssh/ssh-archive/.
  209.  
  210.  
  211.   Ssh currently runs on UNIX or related systems, plus under OS/2.  Ports
  212.   have been successful to all "mainstream" UNIX systems.  The current
  213.   Windows version is believed to be unstable.
  214.  
  215.   At present, there are no known working versions for other operating
  216.   systems (but see below).
  217.  
  218.   3.2.    May I legally run ssh?
  219.  
  220.   Ssh is free software, and can be freely used by anyone for any
  221.   purpose.
  222.  
  223.   However, in some countries, particularly France, Russia, Iraq, and
  224.   Pakistan, it may be illegal to use any encryption at all without a
  225.   special permit.
  226.  
  227.   If you are in the United States, you should be aware that, while ssh
  228.   was written outside the United States using information publicly
  229.   available everywhere, the US Government may consider it a criminal
  230.   offence to export this software from the US once it has been imported,
  231.   including putting it on a ftp site.  Contact the Office of Defence
  232.   Trade Controls if you need more information.
  233.  
  234.   The algorithms RSA and IDEA, which are used by ssh, are claimed as
  235.   patented in different countries, including the US. Linking against the
  236.   RSAREF2 library, which is possible, may or may not make it legal to
  237.   use ssh for non-commercial purposes in the US. You may need to obtain
  238.   licenses for commercial use of IDEA; ssh can be configured to work
  239.   without it.  Ssh works perfectly fine without IDEA, however.
  240.  
  241.   For more detail, refer to the file COPYING in the ssh source
  242.   distribution.
  243.  
  244.   For information on software patents in general, see the Leauge for
  245.   Programming Freedom's homepage at http://lpf.org/.
  246.  
  247.  
  248.   3.3.    What about commercial use of ssh?
  249.  
  250.   Ssh has been freely available in the Unix environment, and almost
  251.   certainly will remain to be so in future.
  252.  
  253.   Tatu Yl÷nen, the original author of ssh, has started a company, SSH
  254.   Communications Security Oy, that will provide commercial support and
  255.   licenses for ssh.  He is working on licensing the patents to be able
  256.   to provide fully licensed commercial versions.  The negotiations are
  257.   still underway, and it will take a couple more weeks before it is
  258.   known what the situation will really be.
  259.  
  260.   About commercial issues, it is best to contact him directly for now.
  261.   I can best be reached by e-mail as
  262.    ylo@cs.hut.fi, or by fax at +358-0-4354 3206.
  263.  
  264.   3.4.    Where can I obtain ssh?
  265.  
  266.   The central site for distributing ssh is ftp://ftp.cs.hut.fi/pub/ssh/.
  267.  
  268.   Official releases are PGP-signed, with the key ID
  269.  
  270.   DCB9AE01 1995/04/24 Ssh distribution key <ylo@cs.hut.fi>
  271.   Key fingerprint =  C8 90 C8 5A 08 F0 F5 FD  61 AF E6 FF CF D4 29 D9
  272.  
  273.  
  274.   The latest development version is available from
  275.   ftp://ftp.cs.hut.fi/pub/ssh/snapshots/.
  276.  
  277.   Ssh is also available via anonymous ftp from the following sites:
  278.  
  279.      Australia:
  280.     ftp://coombs.anu.edu.au/pub/security/tools
  281.  
  282.      Chile:
  283.     ftp://ftp.inf.utfsm.cl/pub/security/ssh
  284.  
  285.      Finland:
  286.     ftp://ftp.funet.fi/pub/unix/security/login/ssh
  287.  
  288.      Germany:
  289.     ftp://ftp.cert.dfn.de/pub/tools/net/ssh
  290.  
  291.      Hungary:
  292.     ftp://ftp.kfki.hu/pub/packages/security/ssh
  293.  
  294.      Ireland:
  295.     ftp://odyssey.ucc.ie/pub/ssh
  296.  
  297.      Poland:
  298.     ftp://ftp.agh.edu.pl/pub/security/ssh
  299.  
  300.      Portugal:
  301.     ftp://ftp.ci.uminho.pt/pub/security/ssh
  302.  
  303.      Russia:
  304.     ftp://ftp.kiae.su/unix/crypto
  305.  
  306.      Slovenia:
  307.     ftp://ftp.arnes.si/security/ssh
  308.  
  309.      United Kingdom:
  310.     ftp://ftp.exweb.com/pub/security/ssh
  311.  
  312.      United States:
  313.     ftp://ftp.net.ohio-state.edu/pub/security/ssh
  314.  
  315.      United States:
  316.     ftp://ftp.gw.com/pub/unix/ssh
  317.  
  318.   Some mirrors may not have the most recent snapshots available.
  319.  
  320.   3.5.    How do I install it?
  321.  
  322.   Get the file from a site near you, then unpack it with
  323.  
  324.   gzip -c -d ssh-1.2.13.tar.gz | tar xvf -
  325.  
  326.  
  327.   then change into the directory ssh-1.2.13, read the file INSTALL, and
  328.   follow the directions in it.
  329.  
  330.   3.6.    Where do I get help?
  331.  
  332.   First of all, read the documentation, this document :-) and the ssh
  333.   home page, at http://www.cs.hut.fi/ssh/.
  334.  
  335.   If this doesn't help, you can send mail to the mailing list for ssh
  336.   users at ssh@clinet.fi.  To subscribe, send mail to
  337.   majordomo@clinet.fi with
  338.  
  339.   subscribe ssh
  340.  
  341.  
  342.   in the body of the message.
  343.  
  344.   Before subscribing, you might like to take a look at the archives of
  345.   the mailing list, at http://www.cs.hut.fi/ssh/ssh-archive.
  346.  
  347.   3.7.    Are there any versions for other operating systems than UNIX?
  348.  
  349.   Heikki Suonsivu (hsu@clinet.fi) and Michael Henits (moi@dio.com) each
  350.   offered a US$ 100 reward for the first stable, freely redistributable
  351.   version for either Windows or MacOS.
  352.  
  353.   There is a preliminary version for Windows by Cedomir.Igaly@srce.hr,
  354.   available from http://public.srce.hr/~cigaly/ssh/; you might want to
  355.   test this.  A mirror is avialable from
  356.   ftp://ftp.cs.hut.fi/pub/ssh/windows/cigaly/; the filename is
  357.   ssh-1-2-.zip.
  358.  
  359.   Tatu Yl÷nen, the original author of ssh, is currently working on a
  360.   Windows version.
  361.  
  362.   Bernt.Budde@udac.uu.se is working on a Mac port.
  363.  
  364.   A port to VMS, by Mark Martinec (Mark.Martinec@nsc.ijs.si), is being
  365.   worked on.
  366.  
  367.   A port to OS/2 can be obtained from ftp://ftp.cs.hut.fi/pub/ssh/os2/.
  368.   The current maintainer, Robert Muchsel (rmuchsel@iiic.ethz.ch) does
  369.   not have much time to continue supporting it; if you're interested in
  370.   doing so, please drop him a line.
  371.  
  372.   There is a special mailing list for the OS/2 version of ssh.    To
  373.   subscribe, send mail to majordomo@clinet.fi with
  374.  
  375.   subscribe ssh-os2
  376.  
  377.  
  378.   in the body of the message.
  379.  
  380.   3.8.    What about administration of ssh?
  381.  
  382.   The central problem of administering ssh is the management of host
  383.   keys.     You can collect them automatically each night using either
  384.   make-ssh-known-hosts.pl (distributed with the ssh source distribution)
  385.   or with the much faster ssh-keyscan, from
  386.   ftp://cag.lcs.mit.edu/pub/dm/ (also available from
  387.   ftp://ftp.cs.hut.fi/ssh/contrib/).
  388.  
  389.   Thomas K÷nig has written a script to process output from one of these
  390.   utilities, check for new keys, warn about hosts which have changed
  391.   their keys (which could be an indication of a man in the middle
  392.   attack) and generate a complete new file.  This script is available
  393.   from http://www.uni-karlsruhe.de/~ig25/ssh-faq/comp-host-list.
  394.  
  395.   With these utilities, you can write scripts to verify public keys on a
  396.   regular basis.  When new machines are running ssh or people have
  397.   changed public keys, you may want to contact the people in question
  398.   directly, to make sure there were no man in the middle attacks (to
  399.   which these utilities are vulnerable).
  400.  
  401.   A fingerprint scheme (equivalent to PGP fingerprints) has been
  402.   proposed to make this easier; it will probably be implemented in the
  403.   next release.
  404.  
  405.  
  406.   4.  Ssh Applications
  407.  
  408.  
  409.   4.1.    Can I run backups over ssh?
  410.  
  411.   Yes. Since ssh is a drop-in replacement for rsh, backup scripts should
  412.   continue to work. If you use rdist, see below.
  413.  
  414.   4.2.    Should I turn encryption off, for performance reasons?
  415.  
  416.   No; you should keep it turned on, for security reasons.
  417.  
  418.   Today's CPUs are fast enough that performance losses (if any) only are
  419.   noticable for local Ethernet speeds, or faster.
  420.  
  421.   You might want to specify RC4 encryption instead of the default, IDEA,
  422.   with -c rc4, for faster operation.
  423.  
  424.   Following are some measurements where the different encryption methods
  425.   were applied between a P5/90 and a 486/100, both running Linux, for
  426.   copying files with scp across a lightly loaded Ethernet.
  427.  
  428.   The model chosen was t=a+x/b; a is the startup time in seconds, and b
  429.   the sustainable transfer rate in kB/s. Also given are the 68.3%
  430.   confidence intervals for the data, as determined by the Levenberg-
  431.   Marquardt algorithm as implemented a pre-3.6 version of gnuplot.
  432.  
  433.  
  434.   Encryption      a[s]        da[s]    b[kB/s]      db[kB/s]
  435.   none          2.37         0.37     386.1        5.8
  436.   rc4          1.96         0.27     318.2        2.9
  437.   tss          2.33         0.37     298.5        3.5
  438.   des          2.07         0.19     218.8        1.0
  439.   idea          2.25         0.45     169.6        1.3
  440.   3des          1.92         0.11     118.2        0.2
  441.  
  442.  
  443.   Across a heavily loaded Ethernet, rc4 encryption together with
  444.   compression may actually be faster than using rcp.
  445.  
  446.   If you don't encrypt your sessions, you are vulnerable to all the
  447.   attacks which are open on the "r" suite of utilities, and you might as
  448.   well not use ssh.
  449.  
  450.   4.3.    Can I use ssh to communicate across a firewall?
  451.  
  452.   Yes; you can use TCP forwarding for that, by using its secure TCP
  453.   forwarding features.
  454.  
  455.   4.4.    Can I distribute files with ssh, as with rdist?
  456.  
  457.   Stock rdist 6.1.0 does not work together with ssh, due to bugs in it.
  458.   The 6.1.1 versions of rdist and later versions are believed to work.
  459.  
  460.   If you use rdist, don't forget to compile the path to ssh into it.
  461.   Alternatively, you may specify the -P option so rdist uses ssh, and
  462.   not rsh.
  463.  
  464.   4.5.    Can I use ssh to securely connect two subnets across the Inter¡
  465.   net?
  466.  
  467.   This has been discussed on the ssh mailing list. A proposed solution
  468.   was to run ppp with TCP forwarding; however, this has not been
  469.   implemented yet.
  470.  
  471.   Another solution, proposed and executed by anthony.baxter@aaii.oz.au,
  472.   is to use tunnel devices.
  473.  
  474.   If you have details of anything that works, please forward them to the
  475.   ssh mailing list.
  476.  
  477.   4.6.    Can I use ssh to securely forward UDP-based services, such as
  478.   NFS or NIS?
  479.  
  480.   There is a general working solution for RPC-based services, such as
  481.   NIS.    You can download it from ftp://ftp.tu-
  482.   chemnitz.de/pub/Local/informatik/sec_rpc/. NIS, in particular, is
  483.   working.
  484.  
  485.   In principle, this could also be adapted for NFS; this has not been
  486.   done yet.
  487.  
  488.   Services which are based purely on UDP, such as DNS, have not been
  489.   secured with ssh yet, although it is possible in principle.
  490.  
  491.   4.7.    Can I forward SGI GL connections over ssh?
  492.  
  493.   It is not likely that this will be implemented. GL uses a totally
  494.   different protocol from X, and at least gld would have to be replaced.
  495.  
  496.   OpenGL, when run as an X server extension, should pose no problem.
  497.  
  498.   4.8.    Can I use ssh to protect services like ftp or POP?
  499.  
  500.   If you want to avoid sending ftp passwords in cleartext over the net,
  501.   you can use ssh to encrypt your command channel.  Suppose you are on a
  502.   host called myhost and want to initiate a ftp connection to ftphost.
  503.   On mymachine, you do
  504.  
  505.   mymachine$ ssh -L 1234:ftphost.do.main:21 ftphost
  506.  
  507.  
  508.   This logs you on to ftphost and also forwards connections to 1234 on
  509.   mymachine to ftphost.
  510.  
  511.   Then, in another window, you to
  512.  
  513.   mymachine$ ftp mymachine 1234
  514.   220 ftphost FTP server (Foonix 08/15) ready.
  515.   Name: (mymachine:yourname):
  516.   331 Password required for yourname
  517.   Password:
  518.   230 User yourname logged in.
  519.  
  520.  
  521.   For POP, Stephane Bortzmeyer (bortzmeyer@pasteur.fr) has written a
  522.   script which protects the mail transfer and passwords ussing ssh.  It
  523.   requires no modification to existing POP servers or clients, and is
  524.   available from ftp://ftp.pasteur.fr/pub/Network/gwpop/.
  525.  
  526.   Other services could be secured by similar means.
  527.  
  528.   5.  Problems
  529.  
  530.   If you don't find your problem listed below, please submit a bug
  531.   report to ssh-bugs@clinet.fi giving full details of
  532.  
  533.   o  Version number of ssh and (if different) sshd
  534.  
  535.  
  536.   o  What you expected ssh to do
  537.  
  538.   o  What ssh did instead (including all error messages)
  539.  
  540.   o  The system you use (for example, the output of uname -a), and the
  541.      output of config.guess.
  542.  
  543.   o  The compiler you used, plus any compilation flags
  544.  
  545.   o  The output of ssh -v
  546.  
  547.   o  The output of the sshd daemon when run in debug mode, as sshd -d
  548.  
  549.      Please try the latest snapshot from
  550.      ftp://ftp.cs.hut.fi/pub/ssh/snapshots/ before reporting any bug.
  551.  
  552.   5.1.    ssh otherhost xclient & does not work!
  553.  
  554.   No, it doesn't. Use "ssh -f otherhost xclient" instead, or "ssh -n
  555.   otherhost xclient &" if you want a script to be compatible with rsh.
  556.  
  557.   5.2.    Ssh fails with "Resource temporarily unavailable" for Solaris
  558.   2.4
  559.  
  560.   This is a kernel bug in Solaris. Get the patch 101945-34 to fix it.
  561.  
  562.   5.3.    X11 forwarding does not work for an SCO binary with the iBCS2
  563.   emulator under Linux.
  564.  
  565.   You need to set the hostname to the fully qualified domain name for
  566.   this to work. Some Linux distributions set the hostname to the first
  567.   part of the FQDN only.
  568.  
  569.   5.4.    Ssh is doing wrong things for multi-homed hosts!
  570.  
  571.   Check whether gethostbyname() really returns the complete lists of
  572.   possible IP addresses (you might, for example, have your system
  573.   configured to search /etc/hosts first, which might contain only one of
  574.   the IP addresses).
  575.  
  576.   5.5.    Userid swapping is broken under AIX!
  577.  
  578.   This is a bug in AIX 3.2.5, reported as APAR IX38941, and fixed by
  579.   patches U435001, U427862, U426915, and a few others. Contact your IBM
  580.   representative for details.
  581.  
  582.   5.6.    ssh-keygen dumps core on Alpha OSF!
  583.  
  584.   For Alpha OSF/1 1.3.2, this is due to a bug in the vendor-supplied
  585.   compiler with maximum optimization.
  586.  
  587.   Turn off all optimization for ssh-keygen, or use gcc.
  588.  
  589.   5.7.    ssh-keygen dumps core on Solaris or SunOS
  590.  
  591.   This is a bug in gcc 2.7.0, which causes it to generated incorrect
  592.   code without optimization. Supply the "-O" or "-O -g" options to gcc
  593.   when compiling. Alternatively, upgrade to gcc 2.7.2.
  594.  
  595.   5.8.    On Linux, compilation aborts with some error message about
  596.   libc.so.4
  597.  
  598.   This is an incorrectly configured Linux system; do a "cd /usr/lib; ln
  599.   -s libc.sa libg.sa" as root to remedy this.
  600.  
  601.  
  602.   5.9.    X authorization sometimes fails.
  603.  
  604.   This is believed to be a bug in HP-UX 9 xauth, SR 5003209619. Patch
  605.   PHSS_5568 is believed to fix this problem.
  606.  
  607.   If this occurs for any other platform, please mail details to
  608.    ssh-bugs@clinet.fi.
  609.  
  610.   5.10.     Ssh on Irix 5 tells me "You don't exist, go away!"
  611.  
  612.   As of 1.2.12, you need to remove -lnsl in the Makefile.  A later
  613.   version of ssh might fix this.
  614.  
  615.   5.11.     Ssh asks me for passwords despite .rhosts!
  616.  
  617.   There are several possibilities why this could be the case; common
  618.   ones include
  619.  
  620.   o  The client host key is not stored in the known_hosts file.     Note
  621.      that this has to be the canonical (usually, the fully qualified)
  622.      domain name.
  623.  
  624.   o  The host does not have a reverse mapping in the name servers.  Note
  625.      that ssh requires that it has both a reverse mapping, and a forward
  626.      mapping that contains the original IP address.
  627.  
  628.   o  A multi-homed host does not have all of its IP addresses listed in
  629.      the DNS entry.  Note that versions prior to 1.2.12 have bugs in
  630.      handling multi-homed hosts.
  631.  
  632.   o  User's home directory or ~/.rhosts is world or group-writable (see
  633.      StrictModes server configuration option).
  634.  
  635.   o  On some machines, if the home directory is on an NFS volume,
  636.      ~/.rhosts and your home directory may need to be world-readable.
  637.  
  638.   o  The root account has to use ~/.rhosts or ~/.shosts;
  639.      /etc/shosts.equiv and /etc/hosts.equiv are disregarded for root.
  640.  
  641.   o  Confusion between RhostsRSAAuthentication and RSAAuthentication.
  642.  
  643.      RhostsRSAAuthentication is a functional replacement for the 'r'
  644.      utilities; this requires the ssh program to be setuid root, a
  645.      secret key in /etc/host_key file on the client, a corresponding
  646.      public key entry in /etc/ssh_known_hosts, plus entries in
  647.      ~/.[sr]hosts or /etc/[s]hosts.equiv.
  648.  
  649.      RSAAuthentication is done on a per-user basis and requires a
  650.      ~/.ssh/identity file on the client side (to be generated with ssh-
  651.      keygen), plus a matching ~/.ssh/authorized_keys on the server side.
  652.  
  653.   5.12.     Why does ssh loop with "Secure connection refused'?
  654.  
  655.   This is a configuration problem.
  656.  
  657.   Ssh attempts to fall back to the "r" commands when it cannot connect
  658.   to an ssh daemon on the remote host.    It does this by execing your old
  659.   rsh to use the old protocol.
  660.  
  661.   There are two possibilities why this could be:
  662.  
  663.   o  You probably have installed ssh as rsh, and forgotten to give the
  664.      --with-rsh=PATH option to configure the second time.  When ssh is
  665.      looking for rsh, it keeps executing itself (or an older version of
  666.      itself).  To solve this, recompile ssh with the correct place for
  667.      rsh.
  668.   o  You  moved the old rsh and rlogin into a different directory and
  669.      correctly are calling the old rsh.     The old rsh has a hard-coded
  670.      path to the old rlogin program, so you wind up execing the old rsh
  671.      which in turn execs the new replacement (ssh)rlogin.
  672.  
  673.      In that case, you might want to move the old rsh and rlogin
  674.      binaries into /usr/old, patch the old rsh binary by running the
  675.      Perl script
  676.  
  677.      perl -pi.orig -e 's+/usr/(bin|ucb)/rlogin+/usr/old/rlogin+g ;' /usr/old/rsh
  678.  
  679.  
  680.   which will generate a patched version of rsh and save the old one in
  681.   /usr/old/rsh.orig.
  682.  
  683.   Reconfigure ssh with --with-rsh=/usr/old/rsh.
  684.  
  685.   5.13.     rxvt closes all file descriptors when starting up, including
  686.   the one used by ssh-agent.  Use xterm, or look at the mailing list
  687.   archives at http://www.cs.hut.fi/ssh/ssh-archive/ for Timo Rinne's
  688.   rxvt patch.  ssh-agent does not work with rxvt!
  689.  
  690.   6.  Miscellaneous
  691.  
  692.  
  693.   6.1.    How widespread is use of ssh?
  694.  
  695.   As with every piece of freely available software, this is difficult to
  696.   find out.  The best current estimates are that at least 1000
  697.   insitutions in 40 countries use it.  This estimate is based on
  698.  
  699.   o  The number of people on the ssh mailing list, around 600, from 40
  700.      different countries and several hundred domains
  701.  
  702.   o  Each week, the ssh home pages are accessed from roughly 5000
  703.      different machines, many of them web caches; also, these machines
  704.      often are different from week to week.
  705.  
  706.  
  707.   6.2.    Credits
  708.  
  709.   Most of the credit, of course, goes to Tatu Yl÷nen for writing ssh and
  710.   making it available to the public. I have also used parts of his text
  711.   from the documentation accompanying the ssh source distribution.
  712.   Thanks also for his corrections for this FAQ.
  713.  
  714.   Also of invaluable help were corrections and additions from members of
  715.   the ssh mailing list and the Usenet newsgroups, by Mark Martinec,
  716.   Pedro Melo, Michael Soukas, Adrian Colley, Kenneth J. Hendrickson,
  717.   Adam Hammer, Olaf Titz, David Mazieres and Wayne Schroeder.
  718.  
  719. -----BEGIN PGP SIGNATURE-----
  720. Version: 2.6.2i
  721.  
  722. iQCVAwUBMVlOVPBu+cbJcKCVAQFZMwP+J5la5m9ja+N1tEb3afhax//jFvFrqY93
  723. 5VS25XIRjp16KV9bl0Q+4LG+sLE91rD49JAIIDgxkeurnorgNjCXIqxM5eVnkCTQ
  724. 7Oj1WVn0q96h7llDDuoRorh+jrq3FcQn5PHJPyko/r72FeIPRrGxwqOIFBaAwjRn
  725. R/lD+ulfFeU=
  726. =tmRx
  727. -----END PGP SIGNATURE-----
  728.