Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第23章 ネットワークのセキュリティー保護

23.1. 2 台のシステム間で OpenSSH を使用した安全な通信の使用

SSH (Secure Shell) は、クライアント/サーバーアーキテクチャーを使用する 2 つのシステム間で安全な通信を提供し、ユーザーがリモートでサーバーホストシステムにログインできるようにするプロトコルです。FTP や Telnet などの他のリモート通信プロトコルとは異なり、SSH はログインセッションを暗号化します。これにより、侵入者が接続から暗号化されていないパスワードを収集するのを防ぎます。

23.1.1. SSH 鍵ペアの生成

ローカルシステムで SSH 鍵ペアを生成し、生成された公開鍵を OpenSSH サーバーにコピーすることで、パスワードを入力せずに OpenSSH サーバーにログインできます。鍵を作成する各ユーザーは、この手順を実行する必要があります。

システムを再インストールした後も以前に生成した鍵ペアを保持するには、新しい鍵を作成する前に ~/.ssh/ ディレクトリーをバックアップします。再インストール後に、このディレクトリーをホームディレクトリーにコピーします。これは、(root を含む) システムの全ユーザーで実行できます。

前提条件

  • OpenSSH サーバーに鍵を使用して接続するユーザーとしてログインしている。
  • OpenSSH サーバーが鍵ベースの認証を許可するように設定されている。

手順

  1. ECDSA 鍵ペアを生成します。

    Copy to Clipboard Toggle word wrap 
    $ ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/<username>/.ssh/id_ecdsa):
Enter passphrase (empty for no passphrase): <password>
Enter same passphrase again: <password>
Your identification has been saved in /home/<username>/.ssh/id_ecdsa.
Your public key has been saved in /home/<username>/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:Q/x+qms4j7PCQ0qFd09iZEFHA+SqwBKRNaU72oZfaCI <username>@<localhost.example.com>
The key's randomart image is:
+---[ECDSA 256]---+
|.oo..o=++        |
|.. o .oo .       |
|. .. o. o        |
|....o.+...       |
|o.oo.o +S .      |
|.=.+.   .o       |
|E.*+.  .  . .    |
|.=..+ +..  o     |
|  .  oo*+o.      |
+----[SHA256]-----+

    パラメーターなしで ssh-keygen コマンドを使用して RSA 鍵ペアを生成することも、ssh-keygen -t ed25519 コマンドを入力して Ed25519 鍵ペアを生成することもできます。Ed25519 アルゴリズムは FIPS-140 に準拠しておらず、FIPS モードでは OpenSSH は Ed25519 鍵で機能しないことに注意してください。

  2. 公開鍵をリモートマシンにコピーします。

    Copy to Clipboard Toggle word wrap 
    $ ssh-copy-id <username>@<ssh-server-example.com>
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
<username>@<ssh-server-example.com>'s password:
…
Number of key(s) added: 1

Now try logging into the machine, with: "ssh '<username>@<ssh-server-example.com>'" and check to make sure that only the key(s) you wanted were added.

    <username>@<ssh-server-example.com> は、認証情報に置き換えます。

    セッションで ssh-agent プログラムを使用しない場合は、上記のコマンドで、最後に変更した ~/.ssh/id*.pub 公開鍵をコピーします (インストールされていない場合)。別の公開キーファイルを指定したり、ssh-agent により、メモリーにキャッシュされた鍵よりもファイル内の鍵の方が優先順位を高くするには、-i オプションを指定して ssh-copy-id コマンドを使用します。

検証

  • 鍵ファイルを使用して OpenSSH サーバーにログインします。

    Copy to Clipboard Toggle word wrap 
    $ ssh -o PreferredAuthentications=publickey <username>@<ssh-server-example.com>

関連情報

  • システム上の ssh-keygen(1) および ssh-copy-id(1) man ページ

23.1.2. OpenSSH サーバーで鍵ベースの認証を唯一の方法として設定する

システムのセキュリティーを強化するには、OpenSSH サーバーでパスワード認証を無効にして鍵ベースの認証を有効にします。

前提条件

  • openssh-server パッケージがインストールされている。
  • サーバーで sshd デーモンが実行している。

  • 鍵を使用して OpenSSH サーバーに接続できる。

    詳細は、SSH 鍵ペアの生成 セクションを参照してください。

手順

  1. テキストエディターで /etc/ssh/sshd_config 設定を開きます。以下に例を示します。

    Copy to Clipboard Toggle word wrap 
    # vi /etc/ssh/sshd_config

  2. PasswordAuthentication オプションを no に変更します。

    Copy to Clipboard Toggle word wrap 
    PasswordAuthentication no
  3. 新しいデフォルトインストール以外のシステムでは、PubkeyAuthentication パラメーターが設定されていないか、yes に設定されていることを確認します。

  4. ChallengeResponseAuthentication ディレクティブを no に設定します。

    設定ファイル内では対応するエントリーがコメントアウトされていること、およびデフォルト値が yes であることに注意してください。

  5. NFS がマウントされたホームディレクトリーで鍵ベースの認証を使用するには、SELinux ブール値 use_nfs_home_dirs を有効にします。

    Copy to Clipboard Toggle word wrap 
    # setsebool -P use_nfs_home_dirs 1
  6. リモートで接続している場合は、コンソールもしくは帯域外アクセスを使用せず、パスワード認証を無効にする前に、鍵ベースのログインプロセスをテストします。

  7. sshd デーモンを再読み込みし、変更を適用します。

    Copy to Clipboard Toggle word wrap 
    # systemctl reload sshd

関連情報

  • システム上の sshd_config(5) および setsebool(8) man ページ

23.1.3. ssh-agent を使用した SSH 認証情報のキャッシュ

SSH 接続を開始するたびにパスフレーズを入力しなくても済むように、ssh-agent ユーティリティーを使用して、ログインセッションの SSH 秘密鍵をキャッシュできます。エージェントが実行中で、鍵のロックが解除されている場合、鍵のパスワードを再入力することなく、この鍵を使用して SSH サーバーにログインできます。秘密鍵とパスフレーズのセキュリティーが確保されます。

前提条件

  • SSH デーモンが実行されており、ネットワーク経由でアクセスできるリモートホストがある。
  • リモートホストにログインするための IP アドレスまたはホスト名および認証情報を把握している。

  • パスフレーズで SSH キーペアを生成し、公開鍵をリモートマシンに転送している。

    詳細は、SSH 鍵ペアの生成 セクションを参照してください。

手順

  1. セッションで ssh-agent を自動的に起動するためのコマンドを ~/.bashrc ファイルに追加します。

    1. 任意のテキストエディターで ~/.bashrc を開きます。次に例を示します。

      Copy to Clipboard Toggle word wrap 
      $ vi ~/.bashrc

    2. 以下の行をファイルに追加します。

      Copy to Clipboard Toggle word wrap 
      eval $(ssh-agent)
    3. 変更を保存し、エディターを終了します。

  2. ~/.ssh/config ファイルに次の行を追加します。

    Copy to Clipboard Toggle word wrap 
    AddKeysToAgent yes

    セッションでこのオプションを使用して ssh-agent が起動されると、エージェントはホストに初めて接続するときにのみパスワードを要求します。

検証

  • エージェントにキャッシュされた秘密鍵に対応する公開鍵を使用するホストにログインします。次に例を示します。

    Copy to Clipboard Toggle word wrap 
    $ ssh <example.user>@<ssh-server@example.com>

    パスフレーズを入力する必要がないことに注意してください。

23.1.4. スマートカードに保存した SSH 鍵による認証

スマートカードに ECDSA 鍵と RSA 鍵を作成して保存し、そのスマートカードを使用して OpenSSH クライアントで認証することができます。スマートカード認証は、デフォルトのパスワード認証に代わるものです。

前提条件

  • クライアントで、opensc パッケージをインストールして、pcscd サービスを実行している。

手順

  1. PKCS #11 の URI を含む OpenSC PKCS #11 モジュールが提供する鍵のリストを表示し、その出力を keys.pub ファイルに保存します。

    Copy to Clipboard Toggle word wrap 
    $ ssh-keygen -D pkcs11: > keys.pub

  2. 公開鍵をリモートサーバーに転送します。ssh-copy-id コマンドを使用し、前の手順で作成した keys.pub ファイルを指定します。

    Copy to Clipboard Toggle word wrap 
    $ ssh-copy-id -f -i keys.pub <username@ssh-server-example.com>

  3. ECDSA 鍵を使用して <ssh-server-example.com> に接続します。鍵を一意に参照する URI のサブセットのみを使用することもできます。次に例を示します。

    Copy to Clipboard Toggle word wrap 
    $ ssh -i "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so" <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $

    OpenSSH は p11-kit-proxy ラッパーを使用し、OpenSC PKCS #11 モジュールが p11-kit ツールに登録されているため、前のコマンドを簡略化できます。

    Copy to Clipboard Toggle word wrap 
    $ ssh -i "pkcs11:id=%01" <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $

    PKCS #11 の URI の id= の部分を飛ばすと、OpenSSH が、プロキシーモジュールで利用可能な鍵をすべて読み込みます。これにより、必要な入力の量を減らすことができます。

    Copy to Clipboard Toggle word wrap 
    $ ssh -i pkcs11: <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $

  4. オプション:~/.ssh/config ファイルで同じ URI 文字列を使用して、設定を永続化できます。

    Copy to Clipboard Toggle word wrap 
    $ cat ~/.ssh/config
IdentityFile "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so"
$ ssh <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $

    ssh クライアントユーティリティーが、この URI とスマートカードの鍵を自動的に使用するようになります。

関連情報

  • システム上の p11-kit(8)opensc.conf(5)pcscd(8)ssh(1)、および ssh-keygen(1) man ページ

23.1.5. 関連情報

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.