Ver. 1.3, 1999/11/1
Inside
- はじめに
- UNIX へのインストレーション
- Windows へのインストレーション
- SSH の使い方
- Mac へのインストールと使い方
- Link
- 雑誌類
- はじめに
リモートログイン telnet, rlogin, rsh, ftp などを, ssh プロトコルの slogin, ssh,
sftp に置き替えることにより, ネットワーク上の通信を盗聴やホストの偽装に対して, より安全なものにすることができます.
また ssh がサポートするポートフォワーディング機能を利用することにより, ファイァウオールをまたがっての通信も可能になります.
ここでは, UNIX への ssh サーバおよびクライアントのインストレーション, Windows (95, 98, NT4) への ssh クライアントのインストレーション, ssh の使い方について, 参考となる情報を提供します.
ssh には, フリーとみなされている ssh-1.2.26 と, 製品版である ssh-2.x があります. 導入時にはライセンスに留意してください.
- UNIX へのインストレーション
- ssh-1.2.27
"http://www.hal.t.u-tokyo.ac.jp/~kunito/install/ssh/index.shtml" (ssh-1.2.26)
を参照してください. サーバおよびクライアントがインストールできます.
TCPwrappers library がインストールされている場合には, サーバについて TCPwrappers のアクセスコントロールが利用できます. 利用したい場合には, 以下のファイルのあることを確認してください.
/usr/local/lib/libwrap.a
/usr/local/include/tcpd.h
なお RedHat6.0, Vine1.1, TurboLinux3.0 では, 以下のファイルになっています.
/usr/lib/libwrap.a
/usr/include/tcpd.h
configure を以下のように指定します.
% ./configure --with-libwrap=/usr/local/lib --with-x
RedHat6.0, Vine1.1, TurboLinux3.0 では, 以下のように指定します.
% ./configure --with-libwrap=/usr/lib --with-x
TCPwrappers の hosts.allow に ssh の記述を追加します.
- 商用版 ssh-2.x
商品の添付の文書を参照してください. サーバおよびクライアントがインストールできます.
TCPwrappers library がインストールされている場合には, サーバについて TCPwrappers のアクセスコントロールが利用できます. 利用したい場合には, 以下のファイルのあることを確認してください.
/usr/local/lib/libwrap.a
/usr/local/include/tcpd.h
configure を以下のように指定します.
% ./configure --with-libwrap=/usr/local/lib --with-x
ssh2 では ssh1 との互換モードが設定できます. まず, ssh1 をインストールしてから, ssh2 をインストールします.
インストール後に, 以下の設定を行ないます.
- /etc/ssh2/sshd2_config に以下のパラメータを追加する
Ssh1Compatibility : yes
Sshd1Path : /usr/local/sbin/sshd1
- /etc/ssh2/ssh2_config に以下のパラメータを追加する
Ssh1Compatibility : yes
Ssh1Path : /usr/local/bin/ssh1
- 環境設定
設定ファイル /etc/ssh*_config (ssh1), /etc/ssh2/ssh*2_config (ssh2) に設定します.
認証方式, 暗号方式などを設定できます. ほぼ初期値で問題ないでしょう.
サーバに対するアクセス制御は行なった方が良いでしょう.
TCP wrappers library をリンクした場合には, TCP wrappers の設定ファイルに記述します.
以下に設定例を示します. 3行目がsshdについてのアクセス制限で,
4行目がXのフォワーディングを行なうための記述です .
5行目が自ホストでフォワーディングを許すポートの番号です.
この例では2000番ポートの使用だけを許しています.
4行目と 5行目は LOCAL でなく, SSHD サーバのホスト名が必要なこともあります.
詳細は"man sshd" を参照して下さい.
ftpd: .kek.jp, LOCAL
telnetd: LOCAL, .kek.jp
sshd: LOCAL, .kek.jp
sshdfwd-X11: LOCAL
sshdfwd-2000: LOCAL
ssh1 では, /etc/sshd_config の中に AllowHosts および DenyHosts を記述することもできます.
- 自動起動の設定
Linux でシステムのブート時に SSH を自動的に立ち上げるためには, /etc/rc.d/ に設定をする.
- /etc/rc.d/init.d/sshd を作成する.
- /etc/rc.d/init.d/functions を確認する
PATH 変数の設定に, sshd をインストールしたディレクトリが含まれていることを確認する. 例えば Vine で /usr/local/sbin にインストールした場合には, 以下のように変更する.
export PATH="/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin"
- /etc/rc.d/rc*.d/ に登録する.
- Windows へのインストレーション
"http://www.jaist.ac.jp/~uchida-t/ssh/ を参照してください.
- Tera Term (Pro) + TeraTerm ssh 用 DLL
ファイルの入手先
環境設定
"Setup" メニューで設定できる主なものは以下の通りです.
- X forwarding の使用
- port forwarding の設定
- ssh_known_hosts の場所 (初期値は Tera Term と同一ディレクトリ)
"http://www.htp.org/~d/ise.org/ttssh/index.html" も多いに参考になります.
- SSH の Win32 での実装
- 概要
- "
http://www.jaist.ac.jp/~uchida-t/ssh/ssh-1.2.14-win32bin.zip"
などから入手して, "zip" を解凍すると, ssh1.exe, scp1.exe, ssh-keygen.exe ができます.
- 環境設定 :
- .ssh は $HOME に作られます. $HOME が設定されていない場合には autoexec.bat 等で設定します.
- 商用版 ssh-2.x
Readme.txt に従ってインストールします.
tnt.exe(ssh2.exe の Windows アプリケーション版,) keygen.exe(Windows アプリケーション版), ssh2.exe, scp2.exe がインストールされます.
環境設定は, 前項 "SSH の Win32 での実装"と同様です.
- SSH の使い方
SSH のリンク集
http://www.vacia.is.tohoku.ac.jp/~s-yamane/FAQ/ssh/link.html
などで探してください.
以下, 特記すべきことだけを述べます.
- ftp について
ssh2 サーバと ssh2 クライアント間では sftp により, セキュアな ftp がサポートされています. ssh1 では port forwarding 機能と, ncftp などの PASSIVE モードがサポートされている ftp を利用することにより, パスワードをセキュアなパスで送ることができます.
- DCE 環境での RSA/DSA 認証について
いくつかの留意すべきことがあります.
ログインしても DCE 認証は受けていません. dce_login により, DCE 認証は受ける必要があります.
X forwarding を利用するためには, environment ファイルで, 環境変数 XAUTHORITY により, /tmp などのローカルファイルシステムに Xauthority が作られるように指定する必要があります. 具体的には, 例えば ssh1 では, XAUTHORITY=/tmp/.Xusername と記述(usernameは自分の username を記述する) した1行を含むファイル $HOME/.ssh/environment を作成します.
- その他
POP など, パスワードをネットワークに流す他のアプリケーションも, ssh のport forwarding 機能を利用した方が良いでしょう.
- Mac へのインストールと使い方
参考になりそうな URL を紹介します.
- Link
- 雑誌類
- 多治見寿和「プログラミングテクニック」17
- UNIX Magazine Vol.14#3, 1999/3, ASCII
- 島 慶一「UNIX知恵袋」39-41
- UNIX Magazine Vol.13#6-8, 1998/6-8, ASCII
- 稲村 雄 「暗号ツールを使う<SSH>」
- OPEN DESIGN(CQ出版), No.18-19, 1997/2-4
- Camillo Srs, 「トランスポート層プロトコルSSHが可能にする安全な遠隔ログイン」
- 『
月刊ドクター・ドブズ・ジャーナル日本版』1998年2月号, 翔泳社
- 中村 正三郎, 「BRAVO! LINUX 第5回」
- 「LINUX JAPAN」Vol.6(1998)
- 渡辺直明「リモートアクセスとセキュリティ」
- Software Design, 第2特集:クライアントサイドのセキュリティ〜セキュリティを確保したサーバへのアクセス, NO.98, 1998/12, 技術評論社