Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.3.11. SSH の保護

セキュアシェル (SSH)は、安全なチャンネルを介して別のシステムとの通信に使用される強力なネットワークプロトコルです。SSH 経由の送信は暗号化され、インターセプションから保護されます。SSH プロトコルおよび Red Hat Enterprise Linux 7 での SSH サービスの使用方法については、『Red Hat Enterprise Linux 7 システム管理者のガイド』の OpenSSH の章を参照してください。
重要
本セクションでは、SSH 設定のセキュリティーを保護する最も一般的な方法を説明します。これがないと、推奨の計測値の一覧は網羅的または definitive と見なされます。基本的な SSH の概念については、sshd デーモンの動作を変更したり、ssh(1) に変更するすべての設定ディレクティブの説明は、sshd_config (5) を参照してください。

4.3.11.1. 暗号化ログイン

SSH は、コンピューターへのログインに使用する暗号鍵の使用に対応します。これは、パスワードのみを使用する場合よりもはるかに安全です。このメソッドと他の認証方法を組み合わせると、マルチファクター認証と見なされる可能性があります。複数の認証方法の使用方法については、「複数の認証方法」 を参照してください。
認証に暗号鍵を使用できるようにするには、/etc/ssh/sshd_config ファイルのPubkeyAuthentication 設定ディレクティブを yes に設定する必要があります。これはデフォルト設定であることに注意してください。PasswordAuthentication ディレクティブを no に設定して、ログインにパスワードを使用する可能性を無効にします。
SSH キーは、ssh-keygen コマンドを使用して生成できます。引数を追加せずに呼び出すと、2048 ビットの RSA 鍵セットが作成されます。この鍵はデフォルトで ~/.ssh/ ディレクトリーに保存されます。-b スイッチを使用して、キーのビットストリングを変更できます。通常、2048 ビットキーを使用するだけで十分です。『Red Hat Enterprise Linux 7 システム管理者のガイド』の「OpenSSH の設定 」の章には、鍵ペアの生成に関する詳細情報が記載されています。
~/.ssh/ ディレクトリーに 2 つのキーが表示されるはずです。ssh-keygen コマンドの実行時にデフォルトを許可すると、生成されたファイルの名前が id_rsa および id_rsa.pub となり、秘密鍵と公開鍵をそれぞれ含まれます。秘密鍵を、他の人がファイルの所有者に読み取りできないようにすることで、秘密鍵を常に保護する必要があります。ただし、公開鍵は、ログインするシステムに転送する必要があります。ssh-copy-id コマンドを使用して、鍵をサーバーに転送できます。
~]$ ssh-copy-id -i [user@]server
このコマンドは、サーバーの ~/.ssh/authorized_keys ファイルに公開鍵を自動的に追加します。サーバーにログインしようとすると、sshd デーモンはこのファイルをチェックします。
パスワードおよびその他の認証メカニズムと同様に、SSH 鍵は定期的に変更する必要があります。これを行った際は、未使用の鍵を authorized_keys ファイルから削除してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。