Secure Shell は、新規にインストールされた Oracle Solaris システム上のデフォルトのリモートアクセスプロトコルです。Secure Shell のデフォルトの実装は sunssh 実装 (SunSSH) です。openssh 実装 (OpenSSH) も利用できます。
Oracle Solaris の Secure Shell では、OpenSSL libcrypto ライブラリの低レベルの暗号化 API が使用されます。OpenSSL ツールキットは、Secure Sockets Layer および Transport Layer Security を実装します。
FIPS 140-2 モードで Secure Shell を使用する方法の詳細については、SunSSH と FIPS 140-2を参照してください。
Secure Shell では、認証は、パスワード、公開鍵、またはその両方の使用によって提供されます。すべてのネットワークトラフィックは暗号化されます。このため、Secure Shell では、悪意を持つ侵入者が傍受した通信を読むことはできません。また、攻撃者が偽装することもできません。
Secure Shell は、オンデマンドタイプの仮想プライベートネットワーク (VPN)として使用することもできます。VPN では、暗号化されたネットワークリンクを介して、ローカルシステムとリモートシステム間で、X ウィンドウシステムのトラフィックを転送したり個々のポート番号を接続したりできます。
Secure Shell では、次の操作を行うことができます。
セキュリティー保護されていないネットワークを介して、別のホストに安全にログインします。
2 つのホスト間でファイルを安全にコピーします。
リモートシステム上でコマンドをセキュアに実行します。
サーバー側では、Secure Shell が Secure Shell プロトコルのバージョン 2 (v2) をサポートしています。クライアント側では、v2 に加えて、クライアントがバージョン 1 (v1) をサポートしています。
Secure Shell は、リモートシステムへの接続を認証するために、公開鍵とパスワードの方式を提供します。公開鍵認証は、非公開鍵がネットワーク上を移動しないためより強力な認証メカニズムです。
認証方式は、次の順序で試されます。構成が認証方式を満たさないときは、次の方式が試されます。
GSS-API 認証 – mech_krb5 (Kerberos V) などの GSS-API メカニズムの資格を使用して、Secure Shell クライアントとサーバーを認証します。GSS-API 認証の詳細は、Oracle Solaris 11 セキュリティーサービス開発ガイド の GSS-API の紹介を参照してください。
ホストに基づく認証 – ホスト鍵と rhosts ファイルを使用します。Secure Shell クライアントの RSA または DSA 公開/非公開ホスト鍵を使用してクライアントを認証します。rhosts ファイルを使用して、ユーザーに対してクライアントを承認します。
公開鍵認証 – RSA または DSA 公開/非公開鍵によってユーザーを認証します。
キーボード対話型認証 – PAM を使用してユーザーを認証します。v2 でのキーボード認証方式では、PAM による任意のプロンプトが可能です。詳細は、sshd(1M) のマニュアルページの「SECURITY」のセクションを参照してください。
次の表では、リモートシステムにログインしようとするユーザーを認証するための要件を示します。ユーザーは、ローカルシステム (クライアントシステム) 上に存在します。リモートシステムである Secure Shell サーバーは sshd デーモンを実行しています。次の表は、Secure Shell の認証方式とシステムの要件を示します。
|