第 6 章 Secure Shell を使用するための N1 Service Provisioning System 4.1 の構成
この章では、Secure Shell (SSH) 通信を行うように N1 Service Provisioning System 4.1 を構成する方法について説明します。
N1 Service Provisioning System 4.1 は OpenSSH 2.0 をサポートします。 OpenSSH 2.0 は、OpenBSD Project によって開発された SSH の無料版です。 詳細については、 を参照してください。 その他のバージョンの SSH をサポートする構成も可能です。
注 –
この章で紹介するコマンドとインタフェースは OpenSSH 2.0 用です。その他のバージョンの SSH を使用する場合は、その SSH の付属文書で、対応するコマンドやオプションを確認してください。OpenSSH 2.0 のコマンドとオプションの詳細については、「OpenSSH 2.0 コマンドリファレンス」」を参照してください。
この章の内容は次のとおりです。
SSH の概要と使用条件
SSH は、リモートコンピュータに安全にアクセスするための UNIX ベースのコマンド群兼プロトコルです。 電子証明書とパスワードの暗号化を利用して、接続の両端で認証を行うことにより、ネットワーク上のクライアントとサーバーの通信を保護します。 また、RSA 公開鍵暗号化を使って、接続と認証の管理を行います。 telnet やその他のシェルベースの通信方式より安全性が高く、Web サーバーやリモートシステムの管理に使用されます。
2 つの N1 Service Provisioning System 4.1 アプリケーション間にSSH 接続を設定した場合、ダウンストリームのアプリケーションは手動で起動する必要はありません。アップストリームのアプリケーションによって必要に応じて自動的に起動されます。その後、使用されている間は継続して動作しますが、一定の時間使用されていない場合、自動的に停止します。この一連の動作は、SSH 独特のものであり、その他の接続タイプでは見られません。
SSH 接続を使用する場合は、ダウンストリームのアプリケーションを手動で起動しないでください。 たとえば、Local Distributor が SSH を使って Remote Agent と接続するように設定した場合、Remote Agent を手動では起動しないでください。 Local Distributer は、必要に応じて Remote Agent を自動的に起動します。Remote Agent は使用されている間は継続して作動します。Local Distributor は、一定の時間使用されていない場合、Remote Agent を自動的に停止します。この時間は設定可能です。
空のパスワードキーと ssh-agent
SSH の構成時に、空のパスワードキーを使用するか、ssh-agent を使用するかを選択できます。 空のパスワードキーを使用する構成の場合、生成された SSH 非公開鍵は空のパスワード付きで格納されます。 よって、この非公開鍵には、パスワードなしでアクセスできます。 公開鍵を信頼するその他のマシンと SSH を使って通信するとき、パスワードプロンプトは表示されません。 ssh-agent を使用する場合、生成された非公開鍵はセキュリティ保護されたパスワード付きで安全なメディアに格納されます。 別のマシンと通信するときは、ssh-agent を起動し、安全なメディアから非公開鍵をアップロードして、パスワードを入力します。 非公開鍵はファイルシステムには格納されず、ssh-agent プロセスのメモリーに格納されます。
空のパスワードを使用する場合、非公開鍵はパスワードなしでマシンのファイルシステムに格納されます。 この非公開鍵は、SSH 通信を開始するすべてのマシン上に存在しなければなりません。 N1 Service Provisioning System 4.1 の場合、SSH を使ってダウンストリームのアプリケーションに接続するすべての Master Server と Local Distributor に、非公開鍵を配布する必要があります。 この方法では、高いセキュリティ効果は期待できません。
ssh-agent を使用する場合、非公開鍵は Master Server 上でしか時実行されない ssh-agent によって格納されます。 ネットワーク上のその他のマシンには、公開鍵が配布されます。 認証を必要とする SSH アプリケーションは、ssh-agent を使って認証を行います。 中間 SSH 接続を、Master Server 上で認証のために実行される ssh-agent へ Local Distributer からのプロキシ設定が可能になるように設定するときには、エージェントの転送機能を有効にする必要があります。 Local Distributor は、エージェントの転送機能を使って、ダウンストリームの Local Distributor や Remote Agent に認証情報を渡します。 この方法のほうが、先ほどの方法よりセキュリティの面で優れています。
SSH の要件
N1 Service Provisioning System 4.1 は、次の SSH 機能を要求します。
-
ssh によるリモートコマンド呼び出し
-
公開 - 非公開鍵認証
-
BatchMode yes (ユーザーの介入なしで ssh コマンドを呼び出す機能) のサポート
ssh-agent を使用する場合、次の SSH 機能が必要になります。
-
ssh-agent のサポート
-
SSH の ssh-agent 転送機能のサポート。 OpenSSH での -A オプションの使用
SSH 接続を行うマシンでは、次のような便利な機能を利用できます。ただし、これらの機能は必須ではありません。
-
リモートコマンド呼び出し実行時の tty の強制割り当て。 OpenSSH での -t オプションの使用
-
ssh エージェントの強制終了。 OpenSSH での ssh-agent コマンドの -k オプションの使用
-
高度なセキュリティを実現する RSA 鍵の生成。 OpenSSH での -t rsa の使用
次のチェックリストを使って、SSH の実装が N1 Service Provisioning System 4.1 の要件を満たしているかどうかを確認します。
-
ssh-keygen コマンドは、SSH 呼び出しの認証に使用できる公開鍵と非公開鍵のペアを生成する必要がある
-
追加情報なしでホストキーの交換やパスワードの取得が可能な指定のホスト上で、認証用非公開鍵がパスワードなしで (または空のパスワード付きで) 生成された場合、次の ssh コマンドを実行できなければならない
% ssh –o `BatchMode yes' hostname
-
パスワード付きで生成された非公開鍵を使ってアップロードされたホストで、ssh-agent を実行して、host1、host2 を経て host3 にホップしたとする。この host3 上で、追加情報なしでホストキーの交換やパスワードの取得が可能な場合、次の ssh コマンドを実行できなければならない
% ssh –o `BatchMode yes' –A host1 ssh –o `BatchMode yes' –A host2 ssh –o `BatchMode yes' host3
-
ssh コマンドを使って、標準入力ストリーム、標準出力ストリーム、標準エラーストリームを、リモートマシンで実行されるコマンドに正常にパイプできなければならない
-
ssh-add コマンドを使って、パスワード付きの非公開鍵を認証用として ssh-agent にアップロードできなければならない
SSH の構成 (作業マップ)
次の表に、N1 Service Provisioning System 4.1 が SSH を使用するように構成するために必要なタスクを示します。
表 6–1 作業マップ: SSH の構成|
作業 |
説明 |
参照先 |
|---|---|---|
|
セキュリティレベルの決定 |
空のパスワードを使用するか ssh-agent を使用するかを判断する | |
|
鍵の生成 |
SSH 接続を開始するアプリケーション上で鍵を生成する | |
|
鍵の設定 |
生成された鍵を Local Distributor と Remote Agent にコピーする。 空のパスワード鍵を使用するか ssh-agent を使用するかに応じて、適切な作業を選択する |
「1 組の鍵ペアを使用するとき、空のパスワードファイルに鍵を設定する」 |
|
Master Server 上の接続の設定とテスト |
Master Server を起動する前に、SSH 接続を設定し、テストする | |
|
Local Distributor と Remote Agent で SSH を使用する構成 |
SSH を使用するように、Local Distributor と Remote Agent を構成する | |
|
(任意) CLI クライアントで SSH を使用する構成 |
CLI クライアントを使用する場合、SSH を使用するように構成する |
鍵の準備
Master Server とLocal Distributor やRemote Agent との通信の認証に使用する公開- 非公開鍵のペアを生成します
ssh-agent を使用する場合、必要な鍵のペアは 1 組だけです。 空のパスワードを使用する場合は、2 台のマシン間をつなぐ SSH 接続ごとに 1 組ずつ鍵のペアを生成します。 または、1 組の鍵のペアをすべての接続で使用することもできます。 生成するペアごとに、次の処理を行います。
鍵のペアを生成する
手順
-
Master Server (空のパスワードを使用し、接続ごとに鍵のペアを生成する場合はアップストリームのマシン) 上で、鍵を生成します。
% ssh-keygen –t rsa
パスワードプロンプトが表示されます。
-
パスワードが必要かどうかを確認します。
-
空のパスワード鍵を使用する場合は不要。 Return キーを押して継続
-
ssh-agent を使用する場合は鍵のパスワードを入力
鍵を保存するかどうかを確認するプロンプトが表示されます。
-
-
Return キーを押して、デフォルトの場所に鍵を保存します。
非公開鍵の保存場所は、/User-home/.ssh/id_rsa です。 公開鍵の保存場所は、/HOME/.ssh/id_rsa.pub です。
User-home には、現在 Master Server マシンにログインしているユーザーのホームディレクトリが入ります。
1 組の鍵ペアを使用するとき、空のパスワードファイルに鍵を設定する
手順
-
非公開鍵を、Master Server からアップストリームの各マシンにコピーします。 この鍵をホームディレクトリに保存します。
% cp /User-home/.ssh/id_rsa /User-home-upstream/.ssh/id_rsa
User-home には現在 Master Server マシンにログインしているユーザーのホームディレクトリ、User-home-upstream にはアップストリームのマシンのホームディレクトリを指定します。 アップストリームのマシンは、ダウンストリームのマシンとの SSH 接続を開始するマシンです。
Local Distributor ごとに固有の非公開鍵を持たせるか、すべての Local Distributor に同じ非公開鍵を共有させるかを選択できます。
-
公開鍵をダウンストリームの各マシンにコピーします。 この鍵を /.ssh/authorized_keys2 ファイルに保存します。
% cp /HOME-MS/.ssh/id_rsa.pub /HOME-downstream/.ssh/authorized_keys2
User-home には、Master Server のホームディレクトリを指定します。一方、User-home-downstream には、前の手順で設定したマシンの接続先となる Local Distributor または Remote Agent マシンのホームディレクトリを指定します。 SSH を使って接続を確立するすべての Local Distributor および Remote Agent に公開鍵をコピーします。
-
.ssh/ ディレクトリとその親ディレクトリ (存在する場合) が world writable でないことを確認します。
-
その他のユーザーまたはグループが、非公開鍵ファイル .ssh/id_rsa へのアクセスを許可されていないことを確認します。
-
.ssh/authorized_keys2 ファイルのアクセス権ビットを 600 に変更します。
複数の鍵ペアを使用するとき、空のパスワードファイルに鍵を設定する
始める前に
SSH 接続ごと (ネットワーク上の鍵ペアごと) に、次の処理を行います。
手順
-
公開鍵を、アップストリームのマシンからダウンストリームの各マシンにコピーします。 この鍵を User-home/.ssh/authorized_keys2 ファイルに保存します。
% cp /User-home-upstream/.ssh/id_rsa.pub /User-home-downstream/.ssh/authorized_keys2
User-home-upstream には、アップストリームのマシンのホームディレクトリを指定します。Use-home-downstream には、アップストリームのマシンの接続先となる Local Distributor または Remote Agent マシンのホームディレクトリを指定します。
-
.ssh/ ディレクトリとその親ディレクトリ (存在する場合) が world writable でないことを確認します。
-
その他のユーザーまたはグループが、非公開鍵ファイル .ssh/id_rsa へのアクセスを許可されていないことを確認します。
-
.ssh/authorized_keys2 ファイルのアクセス権ビットを 600 に変更します。
ssh-agent に鍵を設定する
手順
-
Master Server 上の非公開鍵ファイル ~/.ssh/id_rsa を安全なメディアにコピーします。
% cp /User-hone/.ssh/id_rsa path_to_file/
User-home には現在 Master Server マシンにログインしているユーザーのホームディレクトリ、path_to_file/ には非公開鍵ファイルの保存先となる安全なメディアのパスを指定します。
-
非公開鍵ファイルをローカルファイルシステムから削除します。
% rm /User-home/.ssh/id_rsa
-
公開鍵を、SSH を使用するように設定する個々の Local Distributor と Remote Agent にコピーします。 この鍵を ~/.ssh/authorized_keys2 ファイルに保存します。
% cp /User-home.ssh/id_rsa.pub /User-home-APP/.ssh/authorized_keys2
User-home には、Master Server マシンのホームディレクトリを指定します。User-home-APP には、現在 Local Distributor または Remote Agent マシンにログインしているユーザーのホームディレクトリを指定します。
-
.ssh/ ディレクトリとその親ディレクトリ (存在する場合) が world writable でないことを確認します。
-
.ssh/authorized_keys2 ファイルのアクセス権ビットを 600 に変更します。
-
次の行を、Master Server と Local Distributor の config.properties ファイルに追加します。これで、ssh-agent の転送機能が有効になります。
net.ssh.args=-o|BatchMode yes|-A
Master Server 上の接続の設定とテスト
この節では、SSH の初期設定とテストについて説明します。この初期設定とテストが完了してから、SSH を使用するように N1 Service Provisioning System 4.1 を構成します。 ssh-agent を使用する場合は、設定とテストを開始する前に、ssh-agent を実行する必要があります。
Master Server 上で ssh-agent を起動する
ssh-agent を使用する場合は、Master Server を起動する前に、次の処理を行います。ssh-agent を使用しない場合、この処理は不要です。
手順
-
ssh-agent を起動します。
% eval `ssh-agent`
ssh-agent により、2 つの環境変数 SSH_AUTH_SOCK と SSH_AGENT_PID が設定されます。ssh と ssh-add は、これらの環境変数を使って ssh-agent に接続します。
-
生成した非公開鍵をアップロードします。
% ssh-add path-to-file/
path-to-file/ には、非公開鍵ファイルを保存した安全なメディアのパスを指定します。
パスワードプロンプトが表示されます。
-
鍵の生成時に作成したパスワードを入力します。
ssh-agent の停止
eval `ssh-agent –k` コマンドで、ssh-agent を停止できます。
このコマンドは、SSH_AGENT_PID 変数を使って、ssh-agent プロセスに停止信号を送ります。 また、ssh-agent の起動時に設定した環境変数の設定を解除します。
Master Server 上で接続を設定し、テストする
始める前に
ssh-agent を使用する場合は、「「Master Server 上で ssh-agent を起動する」」に説明されている手順に従って、ssh-agent を起動します。 設定はセッションを認識するため、ssh-agent を起動したセッションと同じセッションで、すべてのSSH コマンド(ssh、ssh-add、cr_server start) を実行する必要があります。 このセッションが終了している場合は、実行中の ssh-agent プログラムを強制終了して、新規に ssh-agent プログラムを実行しなければなりません。 また、非公開鍵をアップロードする必要があります。
手順
-
SSH 接続パスをテストします。
% ssh target-host-IP set % ssh -A -t target-host-IP ls -l
-A オプションは、ssh-agent を使用する場合だけ使用してください。 target-host-IP には、このマシンの接続先マシンの IP アドレスを指定します。
たとえば、Master Server (MS)、Local Distributor (LD1、LD2、LD3)、Remote Agent (RA1、RA2、RA3、RA4) が設定されているネットワークについて考えてみましょう。
MS | \ | \ | \ LD1 LD2 | \ \ | \ LD3 | \ |\ | | | \ | | | \ | | | \ RA1 RA2 RA3 RA4
このネットワークでは、Master Server 上で次のコマンドを実行し、ネットワーク上のLocal Distributor とRemote Agent のIP アドレスを LD1、LD2、RA1、RA2、RA3、RA4 と置き換えることで、SSH 接続パスをテストします。
% ssh -A -t LD1 ssh -t RA1 set % ssh -A -t LD1 ssh -t RA2 set % ssh -A -t LD2 ssh -A -t LD3 ssh -t RA3 set % ssh -A -t LD2 ssh -A -t LD3 ssh -t RA4 set
これらのコマンドは、Master Server が SSH を使ってダウンロードストリームのマシンに接続するとき使用するパスをたどります。 各コマンドにより、SSH で、引数として指定されたマシンと通信するために必要なホストキーの交換が可能になります。
ホストキーの交換を許可するかどうかを確認する SSH プロンプトが表示されます。
-
すべてのプロンプトに「yes」で答えます。
-
すべてのコマンドの出力で、環境変数が正しく設定されていることを確認します。
PATH 変数には、/bin、/usr/bin のほか、ユーザーの環境を構成するすべてのディレクトリを指定します。
-
SSH 接続パスを再度テストします。
手順 1 と同じコマンドを実行して、接続パスを再度テストし、情報の入力を求めるシステムプロンプトが表示されないことを確認します。
設定とテストのくり返し
この処理は、鍵に変更を加えるたびに、くり返し行う必要があります。 システムの設定によっては、マシンのリブートを行うたびに、この処理を行わなければならない場合もあります。
アプリケーションの構成
Master Server 上での SSH の設定とテストが完了したら、Master Server が SSH を使って接続する N1 Service Provisioning System 4.1 のその他のマシンを構成します。
SSH を使用するように Local Distributor と Remote Agent を構成する
Master Server から Remote Agent へと N1 Service Provisioning System 4.1 ネットワークをたどり、中間の Local Distributor を検出順に構成することにより、SSH 構成を完了しておく必要があります。 これは、本質的には、ツリーネットワークを先行順にたどる (preorder traversal) 処理になります。
たとえば、Master Server (MS)、Local Distributor (LD1、LD2、LD3)、Remote Agent (RA1、RA2、RA3、RA4) が設定されているネットワークについて考えてみましょう。
MS | \ | \ | \ LD1 LD2 | \ \ | \ LD3 | \ |\ | | | \ | | | \ | | | \ RA1 RA2 RA3 RA4 |
LD1、RA1、RA2、LD2、LD3、RA3、RA4 の順でネットワークを構成します。 この順で、あるマシンの構成を完了してから次のマシンに進みます。
手順
-
Web インタフェースを使って、構成するマシンの「Host Details」ページを表示します。う
-
そのマシンでどのアプリケーションを構成するかによって、Local Distributor と Remote Agent のどちらかのセクションに接続の詳細情報を追加します。
-
接続タイプとして ssh を指定します。
-
「Advanced Parameters」フィールドに次のテキストを追加します。
cprefix=/N1SPS4.1-Home/application
N1SPS4.1–Home には、アプリケーションのホームディレクトリを指定します。application には、Remote Agent を構成している場合はエージェント、Local Distributor を構成している場合は ID を指定します。
たとえば、N1 Service Provisioning System 4.1 のインストールディレクトリが /opt/SUNWn1sps/N1_Service_Provisioning_System_4.1/ で、Remote Agent を構成している場合は、次のテキストを追加します。
cprefix=/opt/SUNWn1sps/N1_Service_Provisioning_System_4.1/agent
-
ホストの詳細情報を保存します。
-
このマシン上で Remote Agent または Local Distributor のインスタンスが実行されていないことを確認します。
-
このアプリケーションインスタンスの「Host Details」ページを開き、「Test Connection」をクリックします。
-
ここまでの処理を、ネットワーク内のすべてのマシンについてくり返します。
ssh-agent を使って、SSH を使用するように CLI クライアントを構成する
ssh-agent を使って、SSH 接続を行うように CLI クライアントを構成するには、次の手順に従ってください。
手順
-
Master Server と、CLI クライアントのインストール先のマシン上で、新しいオペレーティングシステムユーザーアカウントを作成します。
Master Server、Local Distributor、Remote Agent のインストール時に指定したアカウント以外となります。
-
前の手順で作成した新規ユーザーのアカウントで、Master Server にログインします。
-
「「鍵のペアを生成する」」の手順に従って、新規ユーザーの公開鍵と非公開鍵を生成します。
Master Server、Local Distributor、Remote Agent の通信用として生成した鍵を再利用することはできません。
-
Master Server 上で、非公開鍵ファイルを安全なメディアにコピーします。
% cp /User-home/.ssh/id_rsa path-to-file/.ssh/id_rsa
User-home には、現在 Master Server マシンにログインしているユーザーのホームディレクトリが入ります。 path-to-file/ には、非公開鍵ファイルを保存する安全なメディアのパスを指定します。
-
非公開鍵ファイルをローカルファイルシステムから削除します。
% rm /User-home/.ssh/id_rsa
-
Master Server 上で、ユーザーの /.ssh/authorized_keys2 ファイルの末尾に公開鍵を連結します。
% cat /User-home/.ssh/id_rsa.pub >> /HOME-MS/.ssh/authorized_keys2
User-home には、Master Server マシンのホームディレクトリを指定します。
-
先ほど作成した新規ユーザーのアカウントで、CLI クライアントにログインします。
-
ssh-agent を起動します。
% ssh-agent > /User-home/.ssh/agent_vars
User-home には、CLI クライアントマシンに現在ログインしているユーザーのホームディレクトリを指定します。
-
.profile または .cshrc ファイルに次の行を追加します。
. /User-home/.ssh/agent_vars
User-home には、CLI クライアントマシンのホームディレクトリを指定します。
-
Master Server からいったんログアウトし、再度ログインします。
-
生成した非公開鍵をアップロードします。
% ssh-add path-to-file/
path-to-file/ には、非公開鍵ファイルを保存する安全なメディアのパスを指定します。
CLI クライアントは、Master Server と接続するときの認証に、SSH と ssh-agent を使用するようになります。
-
ローカルホストからの接続だけを許可するように、Master Server を構成します。 具体的な手順については、「JVM セキュリティポリシーの構成」を参照してください。
ssh-agent の停止
注 –
ssh-agent を停止したい場合は、CLI クライアント上で次のコマンドを実行します。
% eval `ssh-agent –k >User-home/.ssh/agent_vars` |
User-home には、CLI クライアントマシンに現在ログインしているユーザーのホームディレクトリを指定します。
空のパスワードで CLI クライアントが SSH 接続を行うように構成する
空のパスワードで CLI クライアントが SSH 接続を行うように構成するには、次の手順に従ってください。
手順
-
Master Server と、CLI クライアントをインストールするマシン上で、新しいオペレーティングシステムユーザーアカウントを作成します。
Master Server、Local Distributor、Remote Agent のインストール時に指定したアカウント以外となります。
-
前の手順で作成した新規ユーザーのアカウントで、CLI クライアントマシンにログインします。
-
「鍵のペアを生成する」の手順に従って、新規ユーザーの公開鍵と非公開鍵を生成します。
Master Server、Local Distributor、Remote Agent の通信用として生成した鍵を再利用することはできません。
-
CLI クライアント上の公開鍵ファイルを、Master Server マシン上の新規ユーザーの authorized_keys2 ファイルにコピーします。
% cp User-home-CLI/.ssh/id_rsa.pub User-home-MS/.ssh/id_rsa.pub
User-home-CLI には CLI クライアントマシンのホームディレクトリ、User-home-MS には Master Server マシンのホームディレクトリを指定します。
-
Master Server 上で、ユーザーの /.ssh/authorized_keys2 ファイルの末尾に公開鍵を連結します。
% cat /User-home/.ssh/id_rsa.pub >> /User-home/.ssh/authorized_keys2
User-home には、現在 Master Server マシンにログインしているユーザーのホームディレクトリが入ります。
-
先ほど作成した新規ユーザーのアカウントで、CLI クライアントにログインします。
-
SSH 接続をテストします。
% ssh IP-Address-MS set
IP-Address-MS には、Master Server マシンの IP アドレスを指定します。
鍵の交換を促すメッセージが表示される場合があります。
-
鍵の交換を促すメッセージが表示された場合は、「yes」で答えます。
-
PATH 変数が正しく設定されていることを確認します。
PATH 変数には、/bin、 /usr/bin のほか、ユーザーの環境を構成するディレクトリをすべて指定する必要があります。
-
ローカルホストからの接続だけを許可するように、Master Server を構成します。 具体的な手順については、「JVM セキュリティポリシーの構成」を参照してください。
jexec ラッパー
SSH を介して Remote Agent を起動した場合、Remote Agent は jexec ラッパーを使って Java 仮想マシンを起動します。 jexec ラッパーはスーパーユーザー (root) が所有するネイティブの実行可能ファイルであり、ビットセット setuid を保持しています。 さらに、Remote Agent をインストールしたユーザーと同じ groupid を保持しているため、グループに実行権が許可されます。 このファイルは、Remote Agent をインストールしたユーザーが所有する protect ディレクトリに格納されます。 Remote Agent を所有するユーザーだけに、このファイルの実行権が許可されます。 その他のユーザーは、jexec ラッパーを実行できません。
jexec と protect のファイルアクセス権が誤って変更されることがないように、常に注意を払ってください。
次の変更を加えることにより、jexec のセキュリティを強化することができます。
-
JVM 実行ファイル (通常、シェルスクリプト) の所有者としてスーパーユーザー (root) またはアプリケーションを所有するユーザーを指定し、それ以外のユーザーやグループに書き込み権を許可しない。 N1 Service Provisioning System 4.1 で JRE をインストールする場合は、N1SPS4.1-home/common/jre 内の全ファイルは必ずアプリケーションの所有者によって所有されるようにし、それ以外のユーザーやグループに書き込みアクセスを許可しない
-
アプリケーションを所有するユーザーのユーザー ID は、SSH を使ってログインするとき以外は許可しない。 SSH を使ってログインする場合は、公開鍵認証だけを許可する。 アプリケーションを所有するユーザー以外のユーザーやグループには、/N1SPS4.1-home/.ssh ディレクトリへのあらゆるアクセスを禁止する
-
公開鍵認証だけを許可するように、SSH サーバーを構成できる。この場合は、パスワード認証を無効にするため、etc/sshd_config ファイルに次の行が含まれていなければならない
PasswordAuthentication no
-
etc/sshd_config ファイルに、RhostsRSAAuthentication という語を含む行が含まれていてはならない。この認証は、デフォルトでは許可されていない。 RSAAuthentication という語を含む行がある場合、その値を yes (デフォルト) に設定する必要がある
-
Remote Agent のセキュリティをさらに強化したい場合は、/N1SPS4.1-home/.ssh/authorized_keys2 ファイルを編集して、Master Server の公開鍵が含まれる行の前に次のテキストを追加する
no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty
その他の詳細情報については、sshd(1M) のマニュアルページを参照してください。
OpenSSH 2.0 コマンドリファレンス
この節では、この章で扱う OpenSSH 2.0 コマンドと各種オプションについて説明します。 別のバージョンの SSH を使用している場合は、そのバージョンで、次のコマンドと同等のコマンドならびにオプションが使用できるかどうかを確認してください。
表 6–2 OpenSSH 2.0 コマンド|
ツール |
説明 |
|---|---|
|
ssh |
アプリケーションにその他のアプリケーションのリモート呼び出しを許可する。 SSH 通信を行う構成にした場合、ソフトウェアは ssh コマンドを使ってリモートアプリケーション (Remote Agent または Local Distributor) を呼び出す。リモートアプリケーションとの通信には、SSH の標準入出力ストリームを使用する |
|
ssh-agent |
パスワード付きの非公開鍵を使用したい場合に使用する。 アプリケーションの SSH 呼び出しが ssh-agent 通信で認証を行えるように、ssh-agent を使って鍵をアップロードする |
|
ssh-add |
ssh-agent に非公開鍵をアップロードする |
|
ssh-keygen |
SSH 接続を保護するため、公開鍵 - 非公開鍵のペアを生成する |
ssh コマンドには、次のオプションがあります。
- -A
-
認証エージェント転送を有効にする
- -o `BatchMode yes'
-
パスフレーズクエリーを無効にする
- -t
-
コマンドが発行されている場合も tty を割り当てる
ssh-keygen コマンドには、次のオプションがあります。
- -t rsa
-
生成する鍵のタイプを RSA にする
ssh-agent コマンドには、次のオプションがあります。
- -k
-
環境変数 SSH_AGENT_PID 内の pid セットを使ってエージェントを強制終了する。 その他の実装では、別の環境変数を使用する可能性がある
- © 2010, Oracle Corporation and/or its affiliates