ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
ホストに基づく認証を Secure Shell に設定する方法
Secure Shell デフォルトのユーザーおよびホスト例外を作成する方法
sftp ファイルのための切り離されたディレクトリを作成する方法
Secure Shell で使用する公開鍵と非公開鍵のペアを生成する方法
Secure Shell の公開鍵のパスフレーズを変更する方法
Secure Shell を使用してリモートホストにログインする方法
Secure Shell でのパスワードのプロンプトを減らす方法
Secure Shell を使用して ZFS をリモートで管理する方法
Secure Shell を使用してファイルをコピーする方法
ファイアウォール外部のホストへのデフォルトの Secure Shell 接続を設定する方法
22. Kerberos エラーメッセージとトラブルシューティング
Secure Shell は OpenSSH プロジェクトのフォークです。OpenSSH の最近のバージョンに見つかった脆弱性に対するセキュリティー関連の修正が、個別のバグ修正および機能として Secure Shellに組み込まれています。Secure Shell フォークに対しては内部開発が継続されます。
このリリースの Secure Shell では、v2 プロトコル用に次の機能が実装されています。
ForceCommand キーワード – ユーザーがコマンド行に入力した内容に関係なく、指定されたコマンドを強制的に実行します。このキーワードは、Match ブロックの内側で非常に役立ちます。この sshd_config 構成オプションは、$HOME/.ssh/authorized_keys 内の command="..." オプションに似ています。
AES-128 パスフレーズ保護 – このリリースでは、ssh-keygen コマンドで生成される非公開鍵は AES-128 アルゴリズムで保護されます。このアルゴリズムでは、新しく生成された鍵や再暗号化された鍵 (パスフレーズが変更された場合など) を保護します。
sftp-server コマンドの -u オプション – ユーザーがファイルやディレクトリに対して明示的な umask を設定できるようにします。このオプションは、ユーザーのデフォルトの umask をオーバーライドします。例については、sshd_config(4) のマニュアルページの「Subsystem」の説明を参照してください。
Match ブロック用のその他のキーワード – Match ブロックの内側では AuthorizedKeysFile、ForceCommand、および HostbasedUsesNameFromPacketOnly がサポートされています。デフォルトでは、AuthorizedKeysFile の値は $HOME/.ssh/authorized_keys で、HostbasedUsesNameFromPacketOnly の値は no です。Match ブロックを使用するには、「Secure Shell デフォルトのユーザーおよびホスト例外を作成する方法」を参照してください。
Oracle Solaris の技術者はプロジェクトにバグ修正を提供するほかに、次の Oracle Solaris の機能を Secure Shell のフォークに組み込みました。
PAM - Secure Shell では PAM が使用されます。OpenSSH の UsePAM 構成オプションはサポートされていません。
特権の分離 - Secure Shell では OpenSSH プロジェクトの特権分離コードは使用されません。Secure Shell では、監査、記録管理、および再キーイングの処理がセッションプロトコルの処理から分離されます。
Secure Shell の特権分離コードは常にオンに設定されており、オフに切り替えることはできません。OpenSSH の UsePrivilegeSeparation 設定オプションはサポートされていません。
ロケール - Secure Shell では、RFC 4253「Secure Shell Transfer Protocol」で定義されている言語ネゴシエーションが完全にサポートされています。ユーザーがログインしたあと、ユーザーのログインシェルプロファイルは Secure Shell でネゴシエーションを行なったロケール設定をオーバーライドできます。
監査 - Secure Shell は Solaris 監査サービスに完全に統合されています。監査サービスについては、パート VII「Oracle Solaris での監査」を参照してください。
GSS-API のサポート - GSS-API はユーザー認証と初期鍵交換の両方に使用できます。GSS-API は RFC 4462「Generic Security Service Application Program Interface」で定義されています。
プロキシコマンド - Secure Shell では、SOCKS5 プロトコルと HTTP プロトコルのプロキシコマンドが提供されています。例については、「ファイアウォール外部のホストへのデフォルトの Secure Shell 接続を設定する方法」を参照してください。
Oracle Solaris リリースでは、Secure Shell は SSH_OLD_FORWARD_ADDR 互換性フラグを OpenSSH プロジェクトから再同期します。2011 年 3 月現在で、Secure Shell バージョンは 1.5 です。