ssh-keysign
ssh-keysign は、ローカルホスト鍵にアクセスしたり、SSH プロトコルバージョン 2 でのホストベース認証中に必要なデジタル署名を生成したりするために ssh(1) によって使用されます。この署名は、ほかの項目の中でも特に、クライアントホストの名前とクライアントユーザーの名前などのデータに対するものです。
ssh-keysign は、デフォルトでは無効になっており、グローバルなクライアント構成ファイル /etc/ssh/ssh_config で HostbasedAuthentication を yes に設定することによってのみ有効にできます。
ssh-keysign は、ユーザーによってではなく、ssh から呼び出されるように設計されています。ホストベース認証についての詳細は、ssh(1) および sshd(1M) を参照してください。
ssh-keysign を有効にするかどうかを制御します。
これらのファイルには、デジタル署名を生成するために使用されるホスト鍵のプライベートな部分が含まれています。これらは root によって所有され、root からのみ読み取り可能で、ほかのユーザーからはアクセスできないようにするべきです。root からのみ読み取り可能であるため、ホストベース認証が使用される場合、ssh-keysign は set-uid root である必要があります。
ssh-keysign は、次の条件のときはホストベース認証データに署名しません。
/etc/ssh/ssh_config で HostbasedAuthentication クライアント構成パラメータが yes に設定されていない場合。この設定は、ユーザーの ~/.ssh/ssh_config ファイルでオーバーライドできません。
/etc/ssh/ssh_config 内のクライアントのホスト名とユーザー名が、ssh-keysign が呼び出されたクライアントの正規ホスト名と、ssh-keysign を呼び出しているユーザーの名前に一致していない場合。
ホストベース認証データの内容に関する ssh-keysign の制限にもかかわらず、ユーザーは引き続きそれをクライアントの非公開ホスト鍵を取得するための手段として使用できます。そのため、ホストベース認証はデフォルトでは無効になっています。
属性についての詳細は、マニュアルページの attributes(5) を参照してください。
|
ssh(1), sshd(1M), ssh_config(4), attributes(5)
Markus Friedl、markus@openbsd.org
ssh-keysign は最初 Ox 3.2 で導入されました。