Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand

HP-UX Secure Shellによる安全なリモートアクセス

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む

代表的な使用方法


認証方法について


HP-UX Secure Shellの認証にはいくつかの方式がサポートされています。以下はその代表的な認証方法です。(これ以外にもあります)

Password認証 通常のPassword認証を暗号化したもの。認証の際のパスワードは暗号化されて通信を行う
Hostbased認証 RSA(公開鍵)認証とクライアントホストの認証方法を組み合わせたホスト認証で、RSA認証とrshの.rhosts(.shosts)ファイルを使用した認証方式を用いる。(ホスト単位で認証)
PublicKey認証 RSA公開鍵式暗号を利用し、公開鍵と秘密鍵のペアでユーザ個人の認証を行う。公開鍵はサーバー側で管理し、秘密鍵とパスフレーズは個人で管理。(SSHを利用した暗号化認証では、この方式が最もセキュア)
対話的認証(S/Key 認証またはPAM認証) 毎回異なるパスワード(one-timeパスワード)を用いる。(チャレンジレスポンス認証)

ここでは、簡単な設定方法の Password認証と、Secure Shellの認証でもっともセキュリティ強度の高い PublicKey認証を使用する設定について説明します。

HP-UX Secure Shellによる安全なリモートアクセス
はじめに
概要
インストール/クライアントプログラム/fingerprint
代表的な使用方法

Password認証のための設定


これは、通常のunixログオンと同じく、アカウント名およびパスワードを指定してログオンする方法です。ただし、Password認証は、アカウント名およびパスワードを知っている人は誰でもログインできてしまうので、セキュリティ強度は強くありません。
  • HP-UX Secure Shellクライアントでの設定
    特に必要ありません。初回接続時のホストfingerprint確認のみ
  • HP-UX Secure Shellサーバー設定
    HP-UX Secure Shellサーバーのデフォルト設定では、Password認証を使ってログイン可能になっています。明示的に設定する場合は設定ファイル /etc/opt/ssh/sshd_config 内で 以下の設定を行います。

    PasswordAuthentication yes

これにより、sshやsftpなどのコマンドで Password認証でのログインが可能になります。


PublicKey認証のための設定


PublicKey認証では、クライアントの秘密鍵、公開鍵、パスフレーズを使って認証を行います。ログインのためには、クライアント上には秘密鍵、サーバー上にはクライアントの公開鍵、ログオン時にパスフレーズの入力が必要になりますので、たとえ第三者がパスフレーズを入手しても別のクライアントからはログインすることができません。
  • HP-UX Secure Shellクライアントでの設定
    以下のコマンドにより、クライアント上で公開鍵、秘密鍵のペアを作成します。作成時にはパスフレーズを指定します。PublicKey認証でログインする際にはパスワードの代わりにこのパスフレーズを入力する事になります。

    ssh-keygen -t dsa

    このコマンドで <ホームディレクトリ>/.ssh/ に公開鍵id_dsa.pubと 秘密鍵id_dsaが作成されます。この秘密鍵は誰にも知られないように管理します。(パーミッションはデフォルトで600になっていますので変更しないようにしてください。)
    公開鍵 id_dsa.pubは、ログインするサーバーに転送して登録します。公開鍵はその性質上盗聴されても問題ありませんが、転送途中で改ざんされてしまうとそのクライアントからのログインが出来なくなってしまうので、sftpや scpなどを使うほうがよいでしょう。
  • HP-UX Secure Shellサーバー設定
    クライアントで作成された公開鍵の内容を SSHサーバーの
    <ホームディレクトリ>/.ssh/authorized_keys ファイルに追加します。authorized_keysには複数のクライアントの公開鍵がまとめて登録されますので、authorized_keysに id_dsa.pubを直接上書きせず、アペンドするようにします。(クライアントの公開鍵を初めて登録する場合には authorized_keysは存在しません。)
    公開鍵ですので、他の人に見られることは問題ありませんが、壊されるとPublicKey認証でのリモートログインが出来なくなりますので パーミッションは 600などにしておきます。
    HP-UX Secure Shellサーバーのデフォルト設定では、PublicKey認証を使ってのログインも可能になっています。明示的に設定する場合は設定ファイル /etc/opt/ssh/sshd_config 内で 以下の設定を行います。

    PubkeyAuthentication yes

    これで、登録されたクライアントから PublicKey認証でログオン可能になりますが、この状態では、登録されてないクライアントからのPassword認証も可能な状態ですので、PublicKey認証が正常に設定できたら、/etc/opt/ssh/sshd_config 内で以下のように設定して、Password認証でのログインを禁止する事をお勧めします。

    PasswordAuthentication no

これで、登録されたクライアントからしか リモートログイン出来ない状態になり、よりセキュリティ強度が高まります。

  • PublicKey認証で便利なツール
    HP-UX Secure Shellには他にもいくつかのプログラムが含まれています。

    ssh-agent ― PublicKey認証で使われる認証鍵を保持する認証エージェント
    ssh-add ― 認証エージェントに RSA あるいは DSA 秘密鍵を追加

    この認証エージェントを使用すると、繰り返し同じホストに対して sftpや scp、 sshを行う際に、PublicKey認証のためのパスフレーズの入力を一度で済ますことが出来ます。
    認証エージェントを使用しない場合は、その都度パスフレーズの入力が必要になります。
    認証エージェントは、そのプロセス情報などを環境変数を経由して利用しますので、必ず evalコマンドと併用します。(evalコマンドが ssh-agentの出力を環境変数に登録します。)

    コマンド使用例:
    # eval `ssh-agent` ― 認証エージェントの開始、環境変数などの設定
    # ssh-add ― ここで一度だけパスフレーズの入力が必要
    # ssh host5 ― 以降は、何度 ssh、sftp、scpを使用してもパスフレーズは不要
    :
    # eval `ssh-agent -k` ― 認証エージェントの停止、環境変数のクリア
最初のページへ 前のページへ  

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

HPEサポートセンター
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項