home *** CD-ROM | disk | FTP | other *** search

---

/ linuxmafia.com 2016 / linuxmafia.com.tar / linuxmafia.com / pub / linux / security / ylonen-ssh / ssh-old-faq

< prev

next >

Wrap

Text File  |  2000-06-08  |  26KB  |  728 lines

---

1. Newsgroups: comp.security.unix,comp.security.misc
2. Subject: SSH (Secure Shell) FAQ - Frequently Asked Questions
3. MIME-Version: 1.0
4. Content-Type: text/plain; charset=ISO-8859-1
5. Content-Transfer-Encoding: 8bit
6.  
7.  
8. Archive-name: computer-security/ssh-faq
9. Url: http://www.uni-karlsruhe.de/~ig25/ssh-faq/
10. Posting-frequency: every 14 days
11.  
12. -----BEGIN PGP SIGNED MESSAGE-----
13.  
14.   Ssh (Secure Shell) FAQ - Frequently asked questions
15.   by Thomas K÷nig Thomas.Koenig@ciw.uni-karlsruhe.de
16.   $Date: 1996/03/27 14:17:53 $
17.  
18.   This document is a list of Frequently Asked Questions (plus hopefully
19.   correct answers) about the Secure Shell, ssh.     IMPORTANT: There is a
20.   security bug in all versions of ssh before 1.2.12.92.     Upgrade to a
21.   newer version is recommended.
22.  
23.  
24.   1. Meta-questions
25.   1.1. Where do I get this document?
26.   1.2. Where do I send questions, corrections etc. about this document?
27.  
28.  
29.   2. Ssh basics
30.   2.1. What is ssh?
31.   2.2. Why should I use it?
32.   2.3. What kinds of attacks does ssh protect against?
33.   2.4. What kind of attacks does ssh not protect against?
34.   2.5. How does it work?
35.  
36.  
37.   3. Obtaining and installing ssh
38.   3.1. What is the latest version of ssh?
39.   3.2. May I legally run ssh?
40.   3.3. What about commercial use of ssh?
41.   3.4. Where can I obtain ssh?
42.   3.5. How do I install it?
43.   3.6. Where do I get help?
44.   3.7. Are there any versions for other operating systems than UNIX?
45.   3.8. What about administration of ssh?
46.  
47.  
48.   4. Ssh Applications
49.   4.1. Can I run backups over ssh?
50.   4.2. Should I turn encryption off, for performance reasons?
51.   4.3. Can I use ssh to communicate across a firewall?
52.   4.4. Can I distribute files with ssh, as with rdist?
53.   4.5. Can I use ssh to securely connect two subnets across the
54.   Internet?
55.   4.6. Can I use ssh to securely forward UDP-based services, such as NFS
56.   or NIS?
57.   4.7. Can I forward SGI GL connections over ssh?
58.   4.8. Can I use ssh to protect services like ftp or POP?
59.  
60.  
61.   5. Problems
62.   5.1. ssh otherhost xclient & does not work!
63.   5.2. Ssh fails with "Resource temporarily unavailable" for Solaris 2.4
64.   5.3. X11 forwarding does not work for an SCO binary with the iBCS2
65.   emulator under Linux.
66.   5.4. Ssh is doing wrong things for multi-homed hosts!
67.   5.5. Userid swapping is broken under AIX!
68.   5.6. ssh-keygen dumps core on Alpha OSF!
69.   5.7. ssh-keygen dumps core on Solaris or SunOS
70.   5.8. On Linux, compilation aborts with some error message about
71.   libc.so.4
72.   5.9. X authorization sometimes fails.
73.   5.10. Ssh on Irix 5 tells me "You don't exist, go away!"
74.   5.11. Ssh asks me for passwords despite .rhosts!
75.   5.12. Why does ssh loop with "Secure connection refused'?
76.   5.13. ssh-agent does not work with rxvt! rxvt closes all file
77.   descriptors when starting up, including the one used by
78.  
79.   6. Miscellaneous
80.   6.1. How widespread is use of ssh?
81.   6.2. Credits
82.  
83.   1.  Meta-questions
84.  
85.   1.1.    Where do I get this document?
86.  
87.   The latest version of this document is available from http://www.uni-
88.   karlsruhe.de/~ig25/ssh-faq/. It will also be posted, on a regular
89.   basis, to the Usenet newsgroups comp.security.misc,
90.   comp.security.unix, comp.answers and news.answers. This version is
91.   PGP-signed, and will be available from
92.   ftp://rtfm.mit.edu/pub/usenet/news.answers/computer-security/ssh-faq
93.   and from http://www.uni-karlsruhe.de/~ig25/ssh-faq/ssh-faq.faq.
94.  
95.   The original SGML file is at http://www.uni-karlsruhe.de/~ig25/ssh-
96.   faq/ssh-faq.sgml.
97.  
98.   Also of interest is the ssh home page, at http://www.cs.hut.fi/ssh/.
99.  
100.   1.2.    Where do I send questions, corrections etc. about this document?
101.  
102.   Please send them to the maintainer, Thomas.Koenig@ciw.uni-karlsruhe.de
103.  
104.   2.  Ssh basics
105.  
106.  
107.   2.1.    What is ssh?
108.  
109.   To quote the README file:
110.  
111.   Ssh (Secure Shell) is a program to log into another computer over a
112.   network, to execute commands in a remote machine, and to move files
113.   from one machine to another. It provides strong authentication and
114.   secure communications over insecure channels. It is intended as a
115.   replacement for rlogin, rsh, and rcp.
116.  
117.   Additionally, ssh provides secure X connections and secure forwarding
118.   of arbitrary TCP connections.
119.  
120.   2.2.    Why should I use it?
121.  
122.   The traditional BSD 'r' - commmands (rsh, rlogin, rcp) are vulnerable
123.   to different kinds of attacks. Somebody who has root access to
124.   machines on the network, or physical access to the wire, can gain
125.   unauthorized access to systems in a variety of ways. It is also
126.   possible for such a person to log all the traffic to and from your
127.   system, including passwords (which ssh never sends in the clear).
128.  
129.   The X Window System also has a number of severe vulnerabilities. With
130.   ssh, you can create secure remote X sessions which are transparent to
131.   the user. As a side effect, using remote X clients with ssh is more
132.   convenient for users.
133.  
134.   Users can continue to use old .rhosts and /etc/hosts.equiv files;
135.   changing over to ssh is mostly transparent for them. If a remote site
136.   does not support ssh, a fallback mechanism to rsh is included.
137.  
138.   2.3.    What kinds of attacks does ssh protect against?
139.  
140.   Ssh protects against:
141.  
142.   o  IP spoofing, where a remote host sends out packets which pretend to
143.      come from another, trusted host. Ssh even protects against a
144.      spoofer on the local network, who can pretend he is your router to
145.      the outside.
146.  
147.   o  IP source routing, where a host can pretend that an IP packet comes
148.      from another, trusted host.
149.  
150.   o  DNS spoofing, where an attacker forges name server records
151.  
152.   o  Interception of cleartext passwords and other data by intermediate
153.      hosts.
154.  
155.   o  Manipulation of data by people in control of intermediate hosts
156.  
157.   o  Attacks based on listening to X authentication data and spoofed
158.      connection to the X11 server.
159.  
160.   In other words, ssh never trusts the net; somebody hostile who has
161.   taken over the network can only force ssh to disconnect, but cannot
162.   decrypted or play back the traffic, or hijack the connection.
163.  
164.   The above only holds if you actually use encryption. Ssh does have an
165.   option to use encryption of type "none" this is only for debugging
166.   purposes, and should not be used.
167.  
168.   2.4.    What kind of attacks does ssh not protect against?
169.  
170.   Ssh will not help you with anything that compromises your host's
171.   security in some other way. Once an attacker has gained root access to
172.   a machine, he can then subvert ssh, too.
173.  
174.   If somebody malevolent has access to your home directory, then
175.   security is nonexistent. This is very much the case if your home
176.   directory is exported via NFS.
177.  
178.   2.5.    How does it work?
179.  
180.   For more extensive information, please refer to the README and RFC
181.   files in the ssh directory. The proposed RFC is also available as an
182.   Internet Draft, as draft-ylonen-ssh-protocol-00.txt.
183.  
184.   All communications are encrypted using IDEA or one of several other
185.   ciphers (three-key triple-DES, DES, RC4-128, TSS). Encryption keys are
186.   exchanged using RSA, and data used in the key exchange is destroyed
187.   every hour (keys are not saved anywhere). Every host has an RSA key
188.   which is used to authenticate the host. Encryption is used to protect
189.   against IP-spoofing; public key authentication is used to protect
190.   against DNS and routing spoofing.
191.  
192.   RSA keys are also used to authenticate hosts.
193.  
194.   3.  Obtaining and installing ssh
195.  
196.  
197.   3.1.    What is the latest version of ssh?
198.  
199.   The latest officially released version is 1.2.0. The latest
200.   development version is 1.2.13.
201.  
202.   ssh-1.2.12.92 and later versions contain an important security fix.
203.   Using it instead of earlier versions is recommended.    The fix here is
204.   intended to be temporary, and upgrading to the next release after that
205.   is highly recommended when it becomes available.  The temporary fix
206.   has some drawbacks.  For more information, read the ssh mailing list
207.   archive at
208.    http://www.cs.hut.fi/ssh/ssh-archive/.
209.  
210.  
211.   Ssh currently runs on UNIX or related systems, plus under OS/2.  Ports
212.   have been successful to all "mainstream" UNIX systems.  The current
213.   Windows version is believed to be unstable.
214.  
215.   At present, there are no known working versions for other operating
216.   systems (but see below).
217.  
218.   3.2.    May I legally run ssh?
219.  
220.   Ssh is free software, and can be freely used by anyone for any
221.   purpose.
222.  
223.   However, in some countries, particularly France, Russia, Iraq, and
224.   Pakistan, it may be illegal to use any encryption at all without a
225.   special permit.
226.  
227.   If you are in the United States, you should be aware that, while ssh
228.   was written outside the United States using information publicly
229.   available everywhere, the US Government may consider it a criminal
230.   offence to export this software from the US once it has been imported,
231.   including putting it on a ftp site.  Contact the Office of Defence
232.   Trade Controls if you need more information.
233.  
234.   The algorithms RSA and IDEA, which are used by ssh, are claimed as
235.   patented in different countries, including the US. Linking against the
236.   RSAREF2 library, which is possible, may or may not make it legal to
237.   use ssh for non-commercial purposes in the US. You may need to obtain
238.   licenses for commercial use of IDEA; ssh can be configured to work
239.   without it.  Ssh works perfectly fine without IDEA, however.
240.  
241.   For more detail, refer to the file COPYING in the ssh source
242.   distribution.
243.  
244.   For information on software patents in general, see the Leauge for
245.   Programming Freedom's homepage at http://lpf.org/.
246.  
247.  
248.   3.3.    What about commercial use of ssh?
249.  
250.   Ssh has been freely available in the Unix environment, and almost
251.   certainly will remain to be so in future.
252.  
253.   Tatu Yl÷nen, the original author of ssh, has started a company, SSH
254.   Communications Security Oy, that will provide commercial support and
255.   licenses for ssh.  He is working on licensing the patents to be able
256.   to provide fully licensed commercial versions.  The negotiations are
257.   still underway, and it will take a couple more weeks before it is
258.   known what the situation will really be.
259.  
260.   About commercial issues, it is best to contact him directly for now.
261.   I can best be reached by e-mail as
262.    ylo@cs.hut.fi, or by fax at +358-0-4354 3206.
263.  
264.   3.4.    Where can I obtain ssh?
265.  
266.   The central site for distributing ssh is ftp://ftp.cs.hut.fi/pub/ssh/.
267.  
268.   Official releases are PGP-signed, with the key ID
269.  
270.   DCB9AE01 1995/04/24 Ssh distribution key <ylo@cs.hut.fi>
271.   Key fingerprint =  C8 90 C8 5A 08 F0 F5 FD  61 AF E6 FF CF D4 29 D9
272.  
273.  
274.   The latest development version is available from
275.   ftp://ftp.cs.hut.fi/pub/ssh/snapshots/.
276.  
277.   Ssh is also available via anonymous ftp from the following sites:
278.  
279.      Australia:
280.     ftp://coombs.anu.edu.au/pub/security/tools
281.  
282.      Chile:
283.     ftp://ftp.inf.utfsm.cl/pub/security/ssh
284.  
285.      Finland:
286.     ftp://ftp.funet.fi/pub/unix/security/login/ssh
287.  
288.      Germany:
289.     ftp://ftp.cert.dfn.de/pub/tools/net/ssh
290.  
291.      Hungary:
292.     ftp://ftp.kfki.hu/pub/packages/security/ssh
293.  
294.      Ireland:
295.     ftp://odyssey.ucc.ie/pub/ssh
296.  
297.      Poland:
298.     ftp://ftp.agh.edu.pl/pub/security/ssh
299.  
300.      Portugal:
301.     ftp://ftp.ci.uminho.pt/pub/security/ssh
302.  
303.      Russia:
304.     ftp://ftp.kiae.su/unix/crypto
305.  
306.      Slovenia:
307.     ftp://ftp.arnes.si/security/ssh
308.  
309.      United Kingdom:
310.     ftp://ftp.exweb.com/pub/security/ssh
311.  
312.      United States:
313.     ftp://ftp.net.ohio-state.edu/pub/security/ssh
314.  
315.      United States:
316.     ftp://ftp.gw.com/pub/unix/ssh
317.  
318.   Some mirrors may not have the most recent snapshots available.
319.  
320.   3.5.    How do I install it?
321.  
322.   Get the file from a site near you, then unpack it with
323.  
324.   gzip -c -d ssh-1.2.13.tar.gz | tar xvf -
325.  
326.  
327.   then change into the directory ssh-1.2.13, read the file INSTALL, and
328.   follow the directions in it.
329.  
330.   3.6.    Where do I get help?
331.  
332.   First of all, read the documentation, this document :-) and the ssh
333.   home page, at http://www.cs.hut.fi/ssh/.
334.  
335.   If this doesn't help, you can send mail to the mailing list for ssh
336.   users at ssh@clinet.fi.  To subscribe, send mail to
337.   majordomo@clinet.fi with
338.  
339.   subscribe ssh
340.  
341.  
342.   in the body of the message.
343.  
344.   Before subscribing, you might like to take a look at the archives of
345.   the mailing list, at http://www.cs.hut.fi/ssh/ssh-archive.
346.  
347.   3.7.    Are there any versions for other operating systems than UNIX?
348.  
349.   Heikki Suonsivu (hsu@clinet.fi) and Michael Henits (moi@dio.com) each
350.   offered a US$ 100 reward for the first stable, freely redistributable
351.   version for either Windows or MacOS.
352.  
353.   There is a preliminary version for Windows by Cedomir.Igaly@srce.hr,
354.   available from http://public.srce.hr/~cigaly/ssh/; you might want to
355.   test this.  A mirror is avialable from
356.   ftp://ftp.cs.hut.fi/pub/ssh/windows/cigaly/; the filename is
357.   ssh-1-2-.zip.
358.  
359.   Tatu Yl÷nen, the original author of ssh, is currently working on a
360.   Windows version.
361.  
362.   Bernt.Budde@udac.uu.se is working on a Mac port.
363.  
364.   A port to VMS, by Mark Martinec (Mark.Martinec@nsc.ijs.si), is being
365.   worked on.
366.  
367.   A port to OS/2 can be obtained from ftp://ftp.cs.hut.fi/pub/ssh/os2/.
368.   The current maintainer, Robert Muchsel (rmuchsel@iiic.ethz.ch) does
369.   not have much time to continue supporting it; if you're interested in
370.   doing so, please drop him a line.
371.  
372.   There is a special mailing list for the OS/2 version of ssh.    To
373.   subscribe, send mail to majordomo@clinet.fi with
374.  
375.   subscribe ssh-os2
376.  
377.  
378.   in the body of the message.
379.  
380.   3.8.    What about administration of ssh?
381.  
382.   The central problem of administering ssh is the management of host
383.   keys.     You can collect them automatically each night using either
384.   make-ssh-known-hosts.pl (distributed with the ssh source distribution)
385.   or with the much faster ssh-keyscan, from
386.   ftp://cag.lcs.mit.edu/pub/dm/ (also available from
387.   ftp://ftp.cs.hut.fi/ssh/contrib/).
388.  
389.   Thomas K÷nig has written a script to process output from one of these
390.   utilities, check for new keys, warn about hosts which have changed
391.   their keys (which could be an indication of a man in the middle
392.   attack) and generate a complete new file.  This script is available
393.   from http://www.uni-karlsruhe.de/~ig25/ssh-faq/comp-host-list.
394.  
395.   With these utilities, you can write scripts to verify public keys on a
396.   regular basis.  When new machines are running ssh or people have
397.   changed public keys, you may want to contact the people in question
398.   directly, to make sure there were no man in the middle attacks (to
399.   which these utilities are vulnerable).
400.  
401.   A fingerprint scheme (equivalent to PGP fingerprints) has been
402.   proposed to make this easier; it will probably be implemented in the
403.   next release.
404.  
405.  
406.   4.  Ssh Applications
407.  
408.  
409.   4.1.    Can I run backups over ssh?
410.  
411.   Yes. Since ssh is a drop-in replacement for rsh, backup scripts should
412.   continue to work. If you use rdist, see below.
413.  
414.   4.2.    Should I turn encryption off, for performance reasons?
415.  
416.   No; you should keep it turned on, for security reasons.
417.  
418.   Today's CPUs are fast enough that performance losses (if any) only are
419.   noticable for local Ethernet speeds, or faster.
420.  
421.   You might want to specify RC4 encryption instead of the default, IDEA,
422.   with -c rc4, for faster operation.
423.  
424.   Following are some measurements where the different encryption methods
425.   were applied between a P5/90 and a 486/100, both running Linux, for
426.   copying files with scp across a lightly loaded Ethernet.
427.  
428.   The model chosen was t=a+x/b; a is the startup time in seconds, and b
429.   the sustainable transfer rate in kB/s. Also given are the 68.3%
430.   confidence intervals for the data, as determined by the Levenberg-
431.   Marquardt algorithm as implemented a pre-3.6 version of gnuplot.
432.  
433.  
434.   Encryption      a[s]        da[s]    b[kB/s]      db[kB/s]
435.   none          2.37         0.37     386.1        5.8
436.   rc4          1.96         0.27     318.2        2.9
437.   tss          2.33         0.37     298.5        3.5
438.   des          2.07         0.19     218.8        1.0
439.   idea          2.25         0.45     169.6        1.3
440.   3des          1.92         0.11     118.2        0.2
441.  
442.  
443.   Across a heavily loaded Ethernet, rc4 encryption together with
444.   compression may actually be faster than using rcp.
445.  
446.   If you don't encrypt your sessions, you are vulnerable to all the
447.   attacks which are open on the "r" suite of utilities, and you might as
448.   well not use ssh.
449.  
450.   4.3.    Can I use ssh to communicate across a firewall?
451.  
452.   Yes; you can use TCP forwarding for that, by using its secure TCP
453.   forwarding features.
454.  
455.   4.4.    Can I distribute files with ssh, as with rdist?
456.  
457.   Stock rdist 6.1.0 does not work together with ssh, due to bugs in it.
458.   The 6.1.1 versions of rdist and later versions are believed to work.
459.  
460.   If you use rdist, don't forget to compile the path to ssh into it.
461.   Alternatively, you may specify the -P option so rdist uses ssh, and
462.   not rsh.
463.  
464.   4.5.    Can I use ssh to securely connect two subnets across the Inter¡
465.   net?
466.  
467.   This has been discussed on the ssh mailing list. A proposed solution
468.   was to run ppp with TCP forwarding; however, this has not been
469.   implemented yet.
470.  
471.   Another solution, proposed and executed by anthony.baxter@aaii.oz.au,
472.   is to use tunnel devices.
473.  
474.   If you have details of anything that works, please forward them to the
475.   ssh mailing list.
476.  
477.   4.6.    Can I use ssh to securely forward UDP-based services, such as
478.   NFS or NIS?
479.  
480.   There is a general working solution for RPC-based services, such as
481.   NIS.    You can download it from ftp://ftp.tu-
482.   chemnitz.de/pub/Local/informatik/sec_rpc/. NIS, in particular, is
483.   working.
484.  
485.   In principle, this could also be adapted for NFS; this has not been
486.   done yet.
487.  
488.   Services which are based purely on UDP, such as DNS, have not been
489.   secured with ssh yet, although it is possible in principle.
490.  
491.   4.7.    Can I forward SGI GL connections over ssh?
492.  
493.   It is not likely that this will be implemented. GL uses a totally
494.   different protocol from X, and at least gld would have to be replaced.
495.  
496.   OpenGL, when run as an X server extension, should pose no problem.
497.  
498.   4.8.    Can I use ssh to protect services like ftp or POP?
499.  
500.   If you want to avoid sending ftp passwords in cleartext over the net,
501.   you can use ssh to encrypt your command channel.  Suppose you are on a
502.   host called myhost and want to initiate a ftp connection to ftphost.
503.   On mymachine, you do
504.  
505.   mymachine$ ssh -L 1234:ftphost.do.main:21 ftphost
506.  
507.  
508.   This logs you on to ftphost and also forwards connections to 1234 on
509.   mymachine to ftphost.
510.  
511.   Then, in another window, you to
512.  
513.   mymachine$ ftp mymachine 1234
514.   220 ftphost FTP server (Foonix 08/15) ready.
515.   Name: (mymachine:yourname):
516.   331 Password required for yourname
517.   Password:
518.   230 User yourname logged in.
519.  
520.  
521.   For POP, Stephane Bortzmeyer (bortzmeyer@pasteur.fr) has written a
522.   script which protects the mail transfer and passwords ussing ssh.  It
523.   requires no modification to existing POP servers or clients, and is
524.   available from ftp://ftp.pasteur.fr/pub/Network/gwpop/.
525.  
526.   Other services could be secured by similar means.
527.  
528.   5.  Problems
529.  
530.   If you don't find your problem listed below, please submit a bug
531.   report to ssh-bugs@clinet.fi giving full details of
532.  
533.   o  Version number of ssh and (if different) sshd
534.  
535.  
536.   o  What you expected ssh to do
537.  
538.   o  What ssh did instead (including all error messages)
539.  
540.   o  The system you use (for example, the output of uname -a), and the
541.      output of config.guess.
542.  
543.   o  The compiler you used, plus any compilation flags
544.  
545.   o  The output of ssh -v
546.  
547.   o  The output of the sshd daemon when run in debug mode, as sshd -d
548.  
549.      Please try the latest snapshot from
550.      ftp://ftp.cs.hut.fi/pub/ssh/snapshots/ before reporting any bug.
551.  
552.   5.1.    ssh otherhost xclient & does not work!
553.  
554.   No, it doesn't. Use "ssh -f otherhost xclient" instead, or "ssh -n
555.   otherhost xclient &" if you want a script to be compatible with rsh.
556.  
557.   5.2.    Ssh fails with "Resource temporarily unavailable" for Solaris
558.   2.4
559.  
560.   This is a kernel bug in Solaris. Get the patch 101945-34 to fix it.
561.  
562.   5.3.    X11 forwarding does not work for an SCO binary with the iBCS2
563.   emulator under Linux.
564.  
565.   You need to set the hostname to the fully qualified domain name for
566.   this to work. Some Linux distributions set the hostname to the first
567.   part of the FQDN only.
568.  
569.   5.4.    Ssh is doing wrong things for multi-homed hosts!
570.  
571.   Check whether gethostbyname() really returns the complete lists of
572.   possible IP addresses (you might, for example, have your system
573.   configured to search /etc/hosts first, which might contain only one of
574.   the IP addresses).
575.  
576.   5.5.    Userid swapping is broken under AIX!
577.  
578.   This is a bug in AIX 3.2.5, reported as APAR IX38941, and fixed by
579.   patches U435001, U427862, U426915, and a few others. Contact your IBM
580.   representative for details.
581.  
582.   5.6.    ssh-keygen dumps core on Alpha OSF!
583.  
584.   For Alpha OSF/1 1.3.2, this is due to a bug in the vendor-supplied
585.   compiler with maximum optimization.
586.  
587.   Turn off all optimization for ssh-keygen, or use gcc.
588.  
589.   5.7.    ssh-keygen dumps core on Solaris or SunOS
590.  
591.   This is a bug in gcc 2.7.0, which causes it to generated incorrect
592.   code without optimization. Supply the "-O" or "-O -g" options to gcc
593.   when compiling. Alternatively, upgrade to gcc 2.7.2.
594.  
595.   5.8.    On Linux, compilation aborts with some error message about
596.   libc.so.4
597.  
598.   This is an incorrectly configured Linux system; do a "cd /usr/lib; ln
599.   -s libc.sa libg.sa" as root to remedy this.
600.  
601.  
602.   5.9.    X authorization sometimes fails.
603.  
604.   This is believed to be a bug in HP-UX 9 xauth, SR 5003209619. Patch
605.   PHSS_5568 is believed to fix this problem.
606.  
607.   If this occurs for any other platform, please mail details to
608.    ssh-bugs@clinet.fi.
609.  
610.   5.10.     Ssh on Irix 5 tells me "You don't exist, go away!"
611.  
612.   As of 1.2.12, you need to remove -lnsl in the Makefile.  A later
613.   version of ssh might fix this.
614.  
615.   5.11.     Ssh asks me for passwords despite .rhosts!
616.  
617.   There are several possibilities why this could be the case; common
618.   ones include
619.  
620.   o  The client host key is not stored in the known_hosts file.     Note
621.      that this has to be the canonical (usually, the fully qualified)
622.      domain name.
623.  
624.   o  The host does not have a reverse mapping in the name servers.  Note
625.      that ssh requires that it has both a reverse mapping, and a forward
626.      mapping that contains the original IP address.
627.  
628.   o  A multi-homed host does not have all of its IP addresses listed in
629.      the DNS entry.  Note that versions prior to 1.2.12 have bugs in
630.      handling multi-homed hosts.
631.  
632.   o  User's home directory or ~/.rhosts is world or group-writable (see
633.      StrictModes server configuration option).
634.  
635.   o  On some machines, if the home directory is on an NFS volume,
636.      ~/.rhosts and your home directory may need to be world-readable.
637.  
638.   o  The root account has to use ~/.rhosts or ~/.shosts;
639.      /etc/shosts.equiv and /etc/hosts.equiv are disregarded for root.
640.  
641.   o  Confusion between RhostsRSAAuthentication and RSAAuthentication.
642.  
643.      RhostsRSAAuthentication is a functional replacement for the 'r'
644.      utilities; this requires the ssh program to be setuid root, a
645.      secret key in /etc/host_key file on the client, a corresponding
646.      public key entry in /etc/ssh_known_hosts, plus entries in
647.      ~/.[sr]hosts or /etc/[s]hosts.equiv.
648.  
649.      RSAAuthentication is done on a per-user basis and requires a
650.      ~/.ssh/identity file on the client side (to be generated with ssh-
651.      keygen), plus a matching ~/.ssh/authorized_keys on the server side.
652.  
653.   5.12.     Why does ssh loop with "Secure connection refused'?
654.  
655.   This is a configuration problem.
656.  
657.   Ssh attempts to fall back to the "r" commands when it cannot connect
658.   to an ssh daemon on the remote host.    It does this by execing your old
659.   rsh to use the old protocol.
660.  
661.   There are two possibilities why this could be:
662.  
663.   o  You probably have installed ssh as rsh, and forgotten to give the
664.      --with-rsh=PATH option to configure the second time.  When ssh is
665.      looking for rsh, it keeps executing itself (or an older version of
666.      itself).  To solve this, recompile ssh with the correct place for
667.      rsh.
668.   o  You  moved the old rsh and rlogin into a different directory and
669.      correctly are calling the old rsh.     The old rsh has a hard-coded
670.      path to the old rlogin program, so you wind up execing the old rsh
671.      which in turn execs the new replacement (ssh)rlogin.
672.  
673.      In that case, you might want to move the old rsh and rlogin
674.      binaries into /usr/old, patch the old rsh binary by running the
675.      Perl script
676.  
677.      perl -pi.orig -e 's+/usr/(bin|ucb)/rlogin+/usr/old/rlogin+g ;' /usr/old/rsh
678.  
679.  
680.   which will generate a patched version of rsh and save the old one in
681.   /usr/old/rsh.orig.
682.  
683.   Reconfigure ssh with --with-rsh=/usr/old/rsh.
684.  
685.   5.13.     rxvt closes all file descriptors when starting up, including
686.   the one used by ssh-agent.  Use xterm, or look at the mailing list
687.   archives at http://www.cs.hut.fi/ssh/ssh-archive/ for Timo Rinne's
688.   rxvt patch.  ssh-agent does not work with rxvt!
689.  
690.   6.  Miscellaneous
691.  
692.  
693.   6.1.    How widespread is use of ssh?
694.  
695.   As with every piece of freely available software, this is difficult to
696.   find out.  The best current estimates are that at least 1000
697.   insitutions in 40 countries use it.  This estimate is based on
698.  
699.   o  The number of people on the ssh mailing list, around 600, from 40
700.      different countries and several hundred domains
701.  
702.   o  Each week, the ssh home pages are accessed from roughly 5000
703.      different machines, many of them web caches; also, these machines
704.      often are different from week to week.
705.  
706.  
707.   6.2.    Credits
708.  
709.   Most of the credit, of course, goes to Tatu Yl÷nen for writing ssh and
710.   making it available to the public. I have also used parts of his text
711.   from the documentation accompanying the ssh source distribution.
712.   Thanks also for his corrections for this FAQ.
713.  
714.   Also of invaluable help were corrections and additions from members of
715.   the ssh mailing list and the Usenet newsgroups, by Mark Martinec,
716.   Pedro Melo, Michael Soukas, Adrian Colley, Kenneth J. Hendrickson,
717.   Adam Hammer, Olaf Titz, David Mazieres and Wayne Schroeder.
718.  
719. -----BEGIN PGP SIGNATURE-----
720. Version: 2.6.2i
721.  
722. iQCVAwUBMVlOVPBu+cbJcKCVAQFZMwP+J5la5m9ja+N1tEb3afhax//jFvFrqY93
723. 5VS25XIRjp16KV9bl0Q+4LG+sLE91rD49JAIIDgxkeurnorgNjCXIqxM5eVnkCTQ
724. 7Oj1WVn0q96h7llDDuoRorh+jrq3FcQn5PHJPyko/r72FeIPRrGxwqOIFBaAwjRn
725. R/lD+ulfFeU=
726. =tmRx
727. -----END PGP SIGNATURE-----
728.