3. コマンドラインインタフェース
3.6 SNMP
3.7.7 Secure Shell コマンド
Secure Shell (SSH)は、それ以前からあったバークレーリモートアクセスツールのセキュリティ
面を確保した代替としてサーバ/クライアントアプリケーションを含んでいます。また、SSHは
Telnetに代わる本機へのセキュアなリモート管理アクセスを提供します。
クライアントがSSHプロトコルによって本機と接続する場合、本機はアクセス認証のために ローカルのユーザ名およびパスワードと共にクライアントが使用する公開暗号キーを生成しま す。さらに、SSHでは本機とSSHを利用する管理端末の間の通信をすべて暗号化し、ネット ワーク上のデータの保護を行ないます。
ここでは、SSHサーバを設定するためのコマンドを解説します。
なお、SSH経由での管理アクセスを行なうためには、クライアントにSSHクライアントをイン ストールする必要があります。
[注意] 本機ではSSH Version1.5と2.0をサポートしています。
本機のSSHサーバはパスワード及びパブリックキー認証をサポートしています。SSHクライア ントによりパスワード認証を選択した場合、認証設定ページで設定したパスワードにより本機 内、RADIUS、TACACS+のいずれかの認証方式を用います。クライアントがパブリックキー認
コマンド 機能 モード ページ
ip ssh server SSHサーバの使用 GC P119
ip ssh timeout SSHサーバの認証タイムアウト設定 GC P120
ip ssh authentication -retries
クライアントに許可するリトライ数の設定 GC P121
ip ssh
server-key size
SSHサーバキーサイズの設定 GC P121 copy tftp
public-key
ユーザ公開キーのTFTPサーバから本機へコピー PE P46 delete
public-key
特定ユーザの公開キーの削除 PE P122
ip ssh crypto host-key generate
ホストキーの生成 PE P123
ip ssh crypto zeroize
RAMからのホストキーの削除 PE P124 ip ssh save
host-key
RAMからフラッシュメモリへのホストキーの保存 PE P124
disconnect ライン接続の終了 PE P65
show ip ssh SSHサーバの状態の表示及びSSH認証タイムアウト時間
とリトライ回数の設定
PE P125
show ssh SSHセッション状態の表示 PE P125
show public-key 特定のユーザ又はホストの公開キーの表示 PE P126
show users SSHユーザ、アクセスレベル、公開キータイプの表示 PE P43
ユーザ認証
SSHサーバを使用するには以下の手順で設定を行ないます。
(1)ホストキーペアの生成 ― "ip ssh crypto host-key generate"コマンドによりホスト パブ リック/プライベートキーのペアを生成します。
(2)ホスト公開キーのクライアントへの提供 ― 多くのSSHクライアントは、本機との自 動的に初期接続設定中に自動的にホストキーを受け取ります。そうでない場合には、
手動で管理端末のホストファイルを作成し、ホスト公開キーを置く必要があります。
ホストファイル中の公開暗号キーは以下の例のように表示されます。
10.1.0.54 1024 35
1568499540186766925933394677505461732531367489083654725415020245593199868544358361 651999923329781766065830956
1082591321289023376546801726272571413428762941301196195566782
5956641048695742788814620651941746772984865468615717739390164779355942303577413098 02273708779454524083971752646358058176716709574804776117
(3)クライアント公開キーの本機への取り込み ― P4-69"copy tftp public-key"コマンドを使 用し、SSHクライアントの本機の管理アクセスに提供される公開キーを含むファイル をコピーします。クライアントへはこれらのキーを使用し、認証が行なわれます。現 在のファームウェアでは以下のようなUNIX標準フォーマットのファイルのみ受け入れ ることが可能です。
1024 35
1341081685609893921040944920155425347631641921872958921143173880055536161631051775 9408386863110929123222682851925437460310093718772119969631781366277414168985132049 1172048303392543241016379975923714490119380060902539484084827178194372288402533115 952134861022902978982721353267131629432532818915045306393916643 [email protected]
(4)オプションパラメータの設定 ― SSH設定ページで、認証タイムアウト、リトライ回 数、サーバキーサイズなどの設定を行なってください。
(5)SSHの有効化 ― "ip ssh server"コマンドを使用し、本機のSSHサーバを有効にして下 さい。
(6)Challenge/Response認証 ― SSHクライアントが本機と接続しようとした場合、SSH サーバはセッションキーと暗号化方式を調整するためにホストキーペアを使用します。
本機上に保存された公開キーに対応するプライベートキーを持つクライアントのみア クセスすることができます。
以下のような手順で認証プロセスが行なわれます。
a. クライアントが公開キーを本機に送ります。
b. 本機はクライアントの公開キーとメモリに保存されている情報を比較します。
c. 一致した場合、公開キーを利用し本機はバイトの任意のシーケンスを暗号化し、その値を クライアントに送信します。
d. クライアントはプライベートキーを使用してバイトを解読し、解読したバイトを本機に送 信します。
ユーザ認証 ip ssh server
SSHサーバの使用を有効にします。"no"を前に置くことで設定を無効にします。
文法
[no] ip ssh server
初期設定
無効コマンドモード
Global Configurationコマンド解説
• 最大4セッションの同時接続をサポートします。最大セッション数はTelnet及びSSHの合 計数です。
• SSHサーバはクライアントとの接続を確立する際にDAS又はRASを使ったキー交換を行
います。その後、DES (56-bit)または3DES (168-bit) を用いてデータの暗号化を行います。
• SSHサーバを有効にする前に、ホストキーを生成する必要があります。
例
関連するコマンド
ip ssh crypto host-key generate (P123) show ssh (P125)
Console#ip ssh crypto host-key generate dsa Console#configure
Console(config)#ip ssh server Console(config)#
ユーザ認証
ip ssh timeout
SSHサーバのタイムアウト時間を設定します。"no"を前に置くことで初期設定に戻ります。
文法
ip ssh timeout
seconds
no ip ssh timeout•
seconds
― SSH接続調整時のクライアント応答のタイムアウト時間(設定範囲:1-120)初期設定
10秒コマンドモード
Global Configurationコマンド解説
タイムアウトはSSH情報交換時のクライアントからの応答を本機が待つ時間の指定を行ないま す。SSHセッションが確立した後のユーザ入力のタイムアウトはvtyセッションへの "exec-timeout"コマンドを使用します。
例
関連するコマンド
exec-timeout (P59) show ip ssh (P125)Console(config)#ip ssh timeout 60 Console(config)#
ユーザ認証 ip ssh authentication-retries
SSHサーバがユーザの再認証を行なう回数を設定します。"no"を前に置くことで初期設定に戻 ります。
文法
ip ssh authentication-retries
count
no ip ssh authentication-retries•
count
― インタフェースがリセット後、認証を行なうことができる回数(設定範囲:1-5)
初期設定
3コマンドモード
Global Configuration例
関連するコマンド
show ip ssh (P125)ip ssh server-key size
SSHサーバキーサイズを設定します。"no"を前に置くことで初期設定に戻ります。
文法
ip ssh server-key size
key-size
no ip ssh server-key size•
key-size
― サーバキーのサイズ(設定範囲:512-896bits)初期設定
768 bitsコマンドモード
Global Configurationコマンド解説
• サーバキーはプライベートキーとなり本機以外との共有はしません。
Console(config)#ip ssh authentication-retries 2 Console(config)#
ユーザ認証
delete public-key
特定のユーザパブリックキーを削除します。
文法
delete public-key
username
[dsa | rsa]•
username
― SSHサーバ名(設定範囲:1-8文字)• dsa ― DSA公開キータイプ
• rsa ― RSA公開キータイプ
初期設定
DSA及びRSAキーの両方の削除
コマンドモード
Privileged Exec
例
Console#delete public-key admin dsa Console#
ユーザ認証 ip ssh crypto host-key generate
パブリック及びプライベートのホストキーペアの生成を行ないます。
文法
ip ssh crypto host-key generate [dsa | rsa]
• dsa ― DSA(Version2)キータイプ
• rsa ― RSA(Version1)キータイプ
初期設定
DSA及びRSAキーペア両方の生成
コマンドモード
Privileged Exec
コマンド解説
• 本コマンドはホストキーペアをメモリ(RAM)に保存します。" ip ssh save host-key"コマ ンドを使用してホストキーペアをフラッシュメモリに保存できます。
• 多くのSSHクライアントは接続設定時に自動的にパブリックキーをホストファイルとし て保存します。そうでない場合には、手動で管理端末のホストファイルを作成し、ホス ト公開キーを置く必要があります。
• SSHサーバは、接続しようとするクライアントとセッションキー及び暗号化方法を取り
決めるためにホストキーを使用します。
例
関連するコマンド
ip ssh crypto zeroize (P124) ip ssh save host-key (P124)
Console#ip ssh crypto host-key generate dsa Console#
ユーザ認証
ip ssh crypto zeroize
ホストキーをメモリ(RAM)から削除します。
文法
ip ssh crypto zeroize [dsa | rsa]
• dsa ― DSAキータイプ
• rsa ― RSAキータイプ
初期設定
DSA及びRSAキーの両方を削除
コマンドモード
Privileged Exec
コマンド解説
• RAMからホストキーを削除します。" no ip ssh save host-key"コマンドを使用することで フラッシュメモリからホストキーを削除できます。
• 本コマンドを使用する際は事前にSSHサーバを無効にして下さい。
例
ip ssh save host-key
ホストキーをRAMからフラッシュメモリに保存します。
文法
ip ssh save host-key [dsa | rsa]
• dsa ― DSAキータイプ
• rsa ― RSAキータイプ
初期設定
DSA及びRSAキーの両方を保存
コマンドモード
Privileged Exec
例
Console#ip ssh crypto zeroize dsa Console#
ユーザ認証 show ip ssh
このコマンドを使用することでSSHサーバの設定状況を閲覧することができます。
コマンドモード
Privileged Exec例
show ssh
現在のSSHサーバへの接続状況を表示します。
コマンドモード
Privileged Exec例
Console#show ip ssh
SSH Enabled - version 1.99
Negotiation timeout: 120 secs; Authentication retries: 3 Server key size: 768 bits
Console#
Console#show ssh
Connection Version State Username Encryption
0 2.0 Session-Started admin ctos aes128-cbc-hmac-md5 stoc aes128-cbc-hmac-md5 Console#
項目 解説
Session セッション番号( 0-3)
Version SSHバージョン番号
State 認証接続状態(値: Negotiation-Started, Authentication-Started,Session-Started)
Username クライアントのユーザ名
Encryption 暗号化方式はクライアントとサーバの間で自動的に情報交換を行ない設定します。
SSH v1.5の選択肢:DES, 3DES
SSH v2.0の選択肢はclient-to-server (ctos)及びserver-to-client (stoc)の2種類の方式 をサポートします:
aes128-cbc-hmac-sha1、aes192-cbc-hmac-sha1 aes256-cbc-hmac-sha1、3des-cbc-hmac-sha1 blowfish-cbc-hmac-sha1、aes128-cbc-hmac-md5 aes192-cbc-hmac-md5、aes256-cbc-hmac-md5 3des-cbc-hmac-md5、blowfish-cbc-hmac-md5
ユーザ認証
show public-key
特定のユーザ又はホストの公開キーを表示します。
文法
show public-key [user [
username
]| host]•
username
― SSHユーザ名(範囲:1-8文字)初期設定
すべての公開キーの表示
コマンドモード
Privileged Execコマンド解説
• パラメータを設定しない場合には、すべてのキーが表示されます。キーワードを入力し、
ユーザ名を指定しない場合、すべてのユーザの公開キーが表示されます。
• RSAキーが表示された場合、最初のフィールドはホストキーサイズ(1024)となり、次
のフィールドはエンコードされた公開指数(35)、その後の値がエンコードされたモ ジュールとなります。DSAキーが表示された場合、最初のフィールドはSSHで使用さ れる暗号化方式のDSSとなり、その後の値がエンコードされたモジュールとなります。
例
Console#show public-key host Host:
RSA:
1024 35
156849954018676692593339467750546173253136748908365472541502024559319 986854435836165199992332978176606583095861082591321289023376546801726 272571413428762941301196195566782595664104869574278881462065194174677 298486546861571773939016477935594230357741309802273708779454524083971 752646358058176716709574804776117
DSA:
ssh-dss AAAB3NzaC1kc3MAAACBAPWKZTPbsRIB8ydEXcxM3dyV/yrDbKStIlnzD/
Dg0h2HxcYV44sXZ2JXhamLK6P8bvuiyacWbUW/
a4PAtp1KMSdqsKeh3hKoA3vRRSy1N2XFfAKxl5fwFfvJlPdOkFgzLGMinvSNYQwiQXbKT BH0Z4mUZpE85PWxDZMaCNBPjBrRAAAAFQChb4vsdfQGNIjwbvwrNLaQ77isiwAAAIEAsy 5YWDC99ebYHNRj5kh47wY4i8cZvH+/
p9cnrfwFTMU01VFDly3IR2G395NLy5Qd7ZDxfA9mCOfT/
yyEfbobMJZi8oGCstSNOxrZZVnMqWrTYfdrKX7YKBw/
Kjw6BmiFq7O+jAhf1Dg45loAc27s6TLdtny1wRq/
ow2eTCD5nekAAACBAJ8rMccXTxHLFAczWS7EjOyDbsloBfPuSAb4oAsyjKXKVYNLQkTLZ fcFRu41bS2KV5LAwecsigF/+DjKGWtPNIQqabKgYCw2 o/