Secure Shell (概要)

Oracle Solaris の Secure Shell は、Secure Sockets Layer および Transport Layer Security を実装したオープンソースのツールキットである OpenSSL に基づいて構築されています。

Oracle Solaris では、このツールキットの 2 つの個別のバージョンを使用できます。

バージョン 1.0.0 は、Secure Shell が動作するデフォルトのバージョンです。
バージョン 0.9.8 は、暗号化モジュールのための米国政府のコンピュータセキュリティー標準である FIPS-140 を実装しています。

FIPS-140 (FIPS) モードで Secure Shell を使用するには、「Secure Shell と FIPS-140」を参照してください。

Secure Shell では、認証は、パスワード、公開鍵、またはその両方の使用によって提供されます。すべてのネットワークトラフィックは暗号化されます。このため、Secure Shell では、悪意を持つ侵入者が傍受した通信を読むことはできません。また、攻撃者が偽装することもできません。

Secure Shell は、オンデマンドタイプの仮想プライベートネットワーク (VPN) として使用することもできます。VPN では、暗号化されたネットワークリンクを介して、ローカルマシンとリモートマシン間で、X ウィンドウシステムのトラフィックを転送したり個々のポート番号を接続したりできます。

Secure Shell では、次の操作を行うことができます。

セキュリティー保護されていないネットワークを介して、別のホストに安全にログインします。
2 つのホスト間でファイルを安全にコピーします。
リモートホスト上でコマンドを安全に実行します。

サーバー側では、Secure Shell が Secure Shell プロトコルのバージョン 2 (v2) をサポートしています。クライアント側では、v2 に加えて、クライアントがバージョン 1 (v1) をサポートしています。v1 については、『System Administration Guide: Security Services 』を参照してください。

Secure Shell 認証

Secure Shell は、リモートホストへの接続を認証するために、公開鍵とパスワードの方式を提供します。公開鍵認証は、パスワード認証よりも強力な認証メカニズムです。これは、非公開鍵がネットワーク上を移動しないためです。

認証方式は、次の順序で試されます。構成が認証方式を満たさないときは、次の方式が試されます。

GSS-API –mech_krb5 (Kerberos V) や mech_dh (AUTH_DH) などの GSS-API メカニズムの資格を使用して、クライアントとサーバーを認証します。GSS-API の詳細は、『Oracle Solaris 11 セキュリティーサービス開発ガイド』の「GSS-API の紹介」を参照してください。
ホストに基づく認証 – ホスト鍵と rhosts ファイルを使用します。クライアントの RSA および DSA 公開/非公開ホスト鍵を使用してクライアントを認証します。rhosts ファイルを使用して、ユーザーに対してクライアントを承認します。
公開鍵認証 – RSA および DSA 公開/非公開鍵によってユーザーを認証します。
パスワード認証 – PAM を使用してユーザーを認証します。v2 でのキーボード認証方式では、PAM による任意のプロンプトが可能です。詳細については、sshd(1M) のマニュアルページの「SECURITY」のセクションを参照してください。

次の表では、リモートホストにログインしようとするユーザーを認証するための要件を示します。ユーザーは、ローカルホスト (クライアント) 上に存在します。リモートホスト (サーバー) は、sshd デーモンを実行しています。次の表は、Secure Shell の認証方式、互換性のあるプロトコルのバージョン、およびホストの要件の一覧です。

表 15-1 Secure Shell の認証方式

認証方式	ローカルホスト (クライアント) の要件	リモートホスト (サーバー) の要件
GSS-API	GSS メカニズムのイニシエータの資格。	GSS メカニズムのアクセプタの資格。詳細は、「Secure Shell での GSS 資格の取得」を参照してください。
ホストに基づく	ユーザーアカウント `/etc/ssh/ssh_host_rsa_key` または `/etc/ssh/ssh_host_dsa_key` にローカルホストの非公開鍵 `/etc/ssh/ssh_config` 内で `HostbasedAuthentication yes`	ユーザーアカウント `/etc/ssh/known_hosts` または `~/.ssh/known_hosts` にローカルホストの公開鍵 `/etc/ssh/sshd_config` 内で `HostbasedAuthentication yes` `/etc/ssh/sshd_config` 内で `IgnoreRhosts no` `/etc/ssh/shosts.equiv`、 `/etc/hosts.equiv`、 `~/.rhosts`、または `~/.shosts` にローカルホストのエントリ
RSA または DSA 公開鍵	ユーザーアカウント `~/.ssh/id_rsa` または `~/.ssh/id_dsa` に非公開鍵 `~/.ssh/id_rsa.pub` または `~/.ssh/id_dsa.pub` にユーザーの公開鍵	ユーザーアカウント `~/.ssh/authorized_keys` にユーザーの公開鍵
パスワードベース	ユーザーアカウント	ユーザーアカウント PAM をサポートします。
`.rhosts` と RSA (v1) (サーバーのみ)	ユーザーアカウント `/etc/ssh/ssh_host_rsa1_key` にローカルホストの公開鍵	ユーザーアカウント `/etc/ssh/ssh_known_hosts` または `~/.ssh/known_hosts` にローカルホストの公開鍵 `/etc/ssh/sshd_config` 内で `IgnoreRhosts no` `/etc/ssh/shosts.equiv`、 `/etc/hosts.equiv`、 `~/.shosts`、または `~/.rhosts` にローカルホストのエントリ

企業における Secure Shell

Oracle Solaris システム上の Secure Shell の総合的な説明については、『Secure Shell in the Enterprise』 (Jason Reid 著、ISBN 0-13-142900-0、2003 年 6 月) を参照してください。このドキュメントは、Sun Microsystems Press によって発行されている Sun BluePrints Series の 1 つです。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語)