3.2.2. セキュアなシェル
Secure Shell ()SSH)は、セキュアなチャンネルで別のシステムと通信するために使用される強力なネットワークプロトコルです。
SSH を介した転送は暗号化され、傍受から保護されます。暗号化ログインを使用して、従来のユーザー名とパスワードよりも優れた認証方法を提供することもできます。「暗号化ログイン」を参照してください。
SSH は、アクティベートが非常に簡単です。sshd デーモンを起動すると、システムは接続を許可し、接続プロセス中に正しいユーザー名とパスワードが提供されると、システムへのアクセスを許可します。SSH サービスの標準 TCP ポートはです 22。ただし、/etc/ssh/sshd_config 設定ファイルを変更してサービスを再起動すると、これを変更できます。このファイルには、SSH のその他の設定オプションも含まれます。
デフォルトでは、
sshd サービスはシステムの起動時に自動的に起動します。root で以下のコマンドを実行して、デーモンのステータスをクエリーします。
~]# service sshd statussshd サービスを再起動する必要がある場合は、root で以下のコマンドを発行します。
~]# service sshd restart
システムサービスの管理に関する詳細は、『 Red Hat Enterprise Linux 6 デプロイメントガイド』の「 サービス 『とデーモン』 」の章を参照してください。
Secure Shell()SSH)は、コンピューター間で暗号化されたトンネルも提供しますが、単一のポートのみを使用します。ポート転送は
SSH トンネル上で行うことができ、トラフィックはそのトンネルを通過するため暗号化されますが、ポート転送を使用する方法は fluid としてではありません。 VPN (「仮想プライベートネットワーク」).
3.2.2.1. 暗号化ログイン
SSH は、コンピューターへのログインに暗号鍵の使用をサポートします。これは、パスワードのみを使用するよりも安全です。このメソッドと他の認証方法を組み合わせる場合は、マルチファクター認証と見なされます。複数 「複数の認証方法」 の認証方法の使用に関する詳細は、を参照してください。
認証に暗号鍵を使用できるようにするには、
/etc/ssh/sshd_config ファイルの PubkeyAuthentication 設定ディレクティブをに設定する必要があり yesます。これはデフォルト設定であることに注意してください。ログインにパスワードを使用するのを無効 no にするには、PasswordAuthentication ディレクティブをに設定します。
SSH キーは、ssh-keygen コマンドを使用して生成できます。追加の引数なしで呼び出されると、2048 ビットが作成されます。 RSA キーセット。キーは、デフォルトで ~/.ssh ディレクトリーに保管されます。-b スイッチを使用してキーのビット強度を変更できます。通常、2048 ビットの鍵で十分です。SSH キーの 生成に関する詳細 は、『 Red Hat Enterprise Linux 6 デプロイメントガイド』の「キーペアの生成」の章を参照してください。
~/.ssh ディレクトリーには、2 つのキーが表示されるはずです。ssh-keygen コマンドの実行時にデフォルトを指定した場合は、生成されたファイルには id_rsa とという名前が付けられ、プライベートキーと公開鍵がそれぞれ id_rsa.pub 含まれます。秘密鍵を、ファイルの所有者以外のすべてのユーザーが読み取りできないようにすることで、常に秘密鍵を公開から保護する必要があります。ただし、公開鍵は、ログインするシステムに転送する必要があります。ssh-copy-id コマンドを使用すると、鍵をサーバーに転送できます。
~]$ ssh-copy-id -i [user@]server
また、このコマンドにより、公開鍵が サーバー 上の
~/.ssh/authorized_key ファイルに自動的に追加されます。sshd デーモンは、サーバーへのログインを試みる際にこのファイルをチェックします。
パスワードおよびその他の認証メカニズムと同様に、
SSH キーは定期的に変更する必要があります。これを行う場合は、authorized_key ファイルから未使用の鍵を削除するようにしてください。
