Secure Shell を使用すると、セキュリティ保護されていないネットワークを介した場合でも、リモートホストに安全にアクセスすることができます。認証は、パスワードまたは公開鍵、あるいはその両方を使用して行われます。すべてのネットワークトラフィックは暗号化されます。このため、Secure Shell では、悪意を持つ侵入者が傍受した通信を読んだり、偽装したりすることはできません。
Secure Shell には、リモートログインおよびリモートファイル転送を行うコマンドが組み込まれています。Secure Shell はオンデマンドタイプの Virtual Private Network (VPN) として使用することもでき、ローカルマシンとリモートマシンとの間で X Window System のトラフィックやポート番号を、暗号化されたネットワーク接続を介して転送することができます。
Secure Shell では、次の操作を行うことができます。
セキュリティ保護されていないネットワークを介して、別のホストに安全にログインする
2 つのホスト間でファイルを安全にコピーする
リモートホスト上でコマンドを安全に実行する
Solaris Secure Shell では、2 つのバージョンの Secure Shell プロトコルを利用できます。バージョン 1 は、Secure Shell プロトコルのオリジナルバージョンです。バージョン 2 は、安全性が向上し、バージョン 1 の基本的なセキュリティ設計上の欠点が修正されています。そのためバージョン 1 は、バージョン 2 に移行するユーザーを支援する目的だけに提供しています。バージョン 1 は、できるだけ使用しないでください。
このマニュアルでは、v1 はバージョン 1、v2 はバージョン 2 を表しています。
ユーザー認証 – ユーザーは、次のいずれかによって認証されます。
パスワード – ユーザーは、ログインプロセスアカウントのパスワードを入力します。
公開鍵 – ユーザーは、公開鍵と非公開鍵のペアを作成します。これらは、ローカルホストに格納されます。リモートホストには公開鍵が渡されます。公開鍵は、認証を完了するために必要です。
非公開鍵を管理するホストから、認証を行うホストに必要な公開鍵が渡されます。公開鍵認証は、パスワード認証よりも強力な認証メカニズムです。これは、非公開鍵がネットワーク上を移動しないためです。公開鍵と非公開鍵のペアは、ユーザーのホームディレクトリの .ssh サブディレクトリの下に格納されます。次の表に、公開鍵と非公開鍵を格納する ID ファイルのデフォルト名を示します。
表 5–1 ID ファイルの命名規則
非公開鍵、公開鍵 |
暗号化方式とプロトコルのバージョン |
---|---|
identity、identity.pub |
RSA v1 |
id_rsa、 id_rsa.pub |
RSA v2 |
id_dsa、id_dsa.pub |
DSA v2 |
ホスト認証 – ホスト認証では、ローカルホストの公開鍵に対するアクセス権をリモートホストに与える必要があります。ローカルホストの公開鍵のコピーは、リモートホストの $HOME/.ssh/known_hosts に格納されます。
次の表は、認証方式、互換性のあるプロトコルのバージョン、ローカルホストとリモートホストの要件、およびセキュリティレベルの一覧です。デフォルトの認証方式は、パスワードベースの認証です。
表 5–2 Secure Shell の認証方式
認証方式 (プロトコルのバージョン) |
ローカルホストの要件 |
リモートホストの要件 |
セキュリティレベル |
---|---|---|---|
パスワードベース (v1 または v2) |
ユーザーアカウント |
ユーザーアカウント |
中 |
RSA/DSA 公開鍵 (v2) |
ユーザーアカウント $HOME/.ssh/id_rsa または $HOME/.ssh/id_dsa に非公開鍵 $HOME/.ssh/id_rsa.pub または $HOME/.ssh/id_dsa.pub に公開鍵 |
ユーザーアカウント $HOME/.ssh/authorized_keys にユーザーの公開鍵 (id_rsa.pub または id_dsa.pub ) |
強 |
RSA 公開鍵 (v1) |
ユーザーアカウント $HOME/.ssh/identity に非公開鍵 $HOME/.ssh/identity.pub に公開鍵 |
ユーザーアカウント $HOME/.ssh/authorized_keys にユーザーの公開鍵 (identity.pub ) |
強 |
.rhosts と RSA (v1) |
ユーザーアカウント |
ユーザーアカウント /etc/hosts.equiv、 /etc/shosts.equiv、$HOME/.rhosts、または $HOME/.shosts にローカルホスト名 $HOME/.ssh/known_hosts または /etc/ssh/ssh_known_hosts にローカルホスト公開鍵 |
中 |
.rhosts のみ (v1 または v2) |
ユーザーアカウント |
ユーザーアカウント /etc/hosts.equiv、 /etc/shosts.equiv、$HOME/.rhosts、または $HOME/.shosts にローカルホスト名 | 弱 |