当記事ではLinuxのSSHのインストールとハイブリッド認証についてご紹介します。
SSH のインストールと設定
SSH(Secure Shell)とは、リモートホストを安全にリモート制御することができる機能です。
強力な認 証機能と暗号化により、ファイル転送やリモート操作を安全に行うことができます。 例えば TELNET を使用した場合、通信内容はプレーンテキスト(平文)なので、通信経路を盗聴されると容易にアカウントやパスワードが判明してしまいます。 SSH では経路を流れるデータが暗号化されるので、通 信の安全性が高まります。 Linux では、OpenSSH が一般的に利用されています。 SSH には現在、バージョン 1 系とバージョン 2 系 があり、公開鍵暗号方式の認証アルゴリズムに違いがあります。 バージョン 1 系では RSA1 が、バージョン 2 系では DSA、Ed25519、ECDSA および RSA が使用されています。 それぞれのプロトコルには互換性はありませんが、OpenSSH では両方のプロトコルに対応しています。 ただし、最近では SSH のデフォルトの設 定で、バージョン 2 のみが利用が可能な状態になっていることがほとんどです。
SSH のインストールと起動
OpenSSH は、ほとんどのディストリビューションでパッケージが用意されています。 Red Hat 系ディス トリビューションでは「openssh」、「openssh-server」、「openssh-client」パッケージを、Debian GNU/Linux では「openssh-client」と「openssh-server」パッケージをインストールします。 OpenSSH をインストールすると、「/etc/ssh」ディレクトリ以下にローカルホスト用の公開鍵と秘密鍵が作 成されます。 秘密鍵は外部に漏れないように管理します。(アクセス権は、所有者 root のみ読み書き可能と なっています。パーミッション=600) ただし、Linux を最小インストールした場合でもほとんどの場合、デフォルトで SSH はインストールされます。 以下の表は、CentOS7 においてデフォルトで作成されるホストの公開鍵と秘密鍵です。
SSHをインストールすると、サーバー機能を提供するsshdとsshクライアントの両方がインストールされ ます。sshdの設定ファイルは「/etc/ssh/sshd_config」となり、sshクライアント用の設定ファイルとして 「/etc/ssh/ssh_config」という設定ファイルが用意されます。同じような名前なので注意が必要です。SSH(sshd)はデフォルトで、Linuxが起動と同時にサービスを開始するようになっています
SSH の暗号化方式とホスト認証
SSHの暗号化方式には、「ハイブリッド暗号方式」という暗号化方式が使われています。このハイブリッド暗号方式は、「共通鍵暗号方式」と「公開鍵暗号方式」の二つの方式を使った暗号化方式です。
「共通鍵暗号方式」とは、共通鍵という共通の鍵で暗号化・復号を行う方式です。 SSHの場合、通信内容 を暗号化するために使用します。 「公開鍵暗号方式」とは、一対の鍵(公開鍵・秘密鍵)を使って暗号化・復号を行う方式です。
SSHの場合、共通鍵暗号方式で使用する共通鍵を暗号化し、送信者と受信者の間で安全に共通鍵を交換するために使用します。
また、SSH では、ユーザー名とパスワードによるユーザー認証に先立って、ホストの正当性を確認するホスト認証が行われます。
接続先が初めて接続するホストの場合、クライアント側では、接続先ホストが登録さ れていない旨のメッセージが表示され、「~/.ssh/known_hosts」に接続先ホストの公開鍵が登録されます。
次回の接続からはメッセージが表示されなくなります。
もし悪意のある何者かが接続先ホスト(SSH サーバー) になりすましていたら、警告メッセージが表示されるため、異常に気付くことができます。
今回はLinuxでのSSHの設定及びSSH接続の際に用いられるハイブリッド暗号方式について紹介しました。
SSHの接続には様々な設定や、暗号鍵を用いた認証等、いくつか存在しています。
先ずは基本的な仕組みや概要を学んで頂ければと思います。
