[index] CentreCOM 9424T コマンドリファレンス 2.11

運用・管理/Secure Shell


  - SSHサーバー
   - パスワード認証


Secure Shell(SSH)は、暗号技術を利用してネットワーク経由のログインなどを安全に行うためのプロトコルです。通信内容の暗号化により盗聴や改ざんを防ぐほか、サーバーやユーザーの認証機能によってなりすましを防ぐ効果もあります。

本製品は、SSHバージョン1(1.5)とバージョン2のサーバー機能を備えています(ともにIPv4上のみ)。セッションの暗号アルゴリズムは3DES/RC4/128bit AES/192bit AES/256bit AES、認証方式はパスワード認証をサポートしています。

Note - SSHを使うには、事前にローカルIPインターフェース(マネージメントVLANインターフェース)の設定が必要です。詳しくは「IP」/「IPインターフェース」を参照してください。

Note - SSHサーバーを利用する場合は、マネージメントアクセスコントロールを有効にしないでください。マネージメントアクセスコントロールの有効時は、Management ACLの設定にかかわらず、本製品宛てのSSHパケットをすべて破棄します。

 

SSHサーバー

ここでは、本製品をSSHサーバーとして動作させるための基本設定について説明します。SSHはIPv4上で動作するため、IPv4の設定までは完了しているものとします。

SSHサーバーの運用にあたっては、以下の点に注意してください。
Note - SSHサーバー有効時にもTelnetサーバーは有効のままです。必要な場合はTelnetサーバーを無効にしてください。

以下に基本設定を示します。

 

パスワード認証

パスワード認証でSSHサーバーを運用するための最低限の設定を示します。なお、IPv4の設定までは済んでいるものとします。

  1. SSHサーバーのホスト鍵(Host Key)を鍵番号「1」として作成します。推奨鍵長は1024ビットです。


    Note - RSA鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA鍵の作成を行うと、CPUに処理に負荷がかかるので、スイッチの動作に影響を与えます。RSA鍵の作成は、本製品をネットワークに接続していない状態か、ネットワークの負荷が低いときに行うことをお勧めします。

    Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。

    Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、DESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。

  2. SSHサーバーのサーバー鍵(Server Key)を鍵番号「2」として作成します。サーバー鍵は最小長512バイトで、なおかつ、ホスト鍵より128ビット以上短くなくてはなりません。一般的な長さは768バイトです。


    Note - RSA鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。

  3. SSHサーバーを有効化します。このとき、手順1、2で作成したホスト鍵とサーバー鍵の番号を指定します。


■ SSH経由でのログイン失敗が50回連続した場合、下記のようなログが出力され、SSHサーバーが自動的に無効化されます。SSHサーバーを再度有効化するには、手動でENABLE SSH SERVERコマンドを実行してください。なお、SSH経由のログインには、SET USERCONFIGコマンドのLOGINFAILは適用されません。


■ 作成した鍵の情報はSHOW ENCO KEYコマンドで確認できます。


■ デフォルトではサーバー鍵の自動更新は行われません。自動更新を行うには、ENABLE SSH SERVERコマンドかSET SSH SERVERコマンドのEXPIRYTIMEパラメーターで0以外の更新間隔(時間)を指定します。EXPIRYTIMEパラメーターの省略時は0(更新しない)となります。次の例では、SSHサーバーを有効化するときに、5時間ごとに鍵を更新するよう設定しています。


サーバーを有効化した後で設定を変更するには、SET SSH SERVERコマンドを使います。


■ SSHサーバーの状態はSHOW SSHコマンドで確認できます。


■ SSH使用時には、以下のSSH関連イベントがログに記録されます。







(C) 2009-2012 アライドテレシスホールディングス株式会社

PN: 613-001210 Rev.F