MkLinux Installation Notes(English)

Descriptions of the Current Directory

Ssh: セキュアー・シェル

English Page is here.

ファイル

このディレクトリーにはセキュアーシェル関連のファイルが置いてあります。

        CHANGES                       : 正式更新記録
        LICENSING                     : ライセンス条項
        SPECS                         : SPEC ファイル
        SOURCES                       : パッチなど
        README.html                   : this file
        ssh-1.2.27-1a.nosrc.rpm       : バージョン 1.x のソース無し RPM 
        ssh-1.2.27-1a.ppc.rpm         : バージョン 1.x のバイナリー RPM
        ssh-default-1.2.27-1a.ppc.rpm : バージョン 1.x のバイナリー RPM
        ssh-2.0.13-1b.nosrc.rpm       : バージョン 2.x のソース無し RPM 
        ssh-2.0.13-1b.ppc.rpm         : バージョン 2.x のバイナリー RPM
        ssh-default-2.0.13-1b.ppc.rpm : バージョン 2.x のバイナリー RPM

バージョン１のインストール手順

注意セキュアーシェルのパッケージのダウンロード、使用の前に、暗号ソフトの使用に関する、あなたの国における法的制限条項を確認してください。また、バージョン２からはフリーでなくなった事にご注意ください。非商用目的でのみ御使用になれます。詳しくは LICENSING を御覧ください。

バージョン２をお使いになる場合でも、バージョン１をインストールする事をお勧めします。後方互換性のためです。

バージョン１のインストールは

# rpm -Uvh <somewhere>/ssh-1.2.27-1a.ppc.rpm

# rpm -Uvh <somewhere>/ssh-default-1.2.27-1a.ppc.rpm

で終りですが、直ちにホスト鍵を再生成してください。

# ssh-keygen -b 1024 -f /etc/ssh_host_key -N ''

これで、 renew /etc/ssh_host_key、/etc/ssh_host_key.pub、および /etc/ssh_random_seed が更新されます。パッケージに含まれるホスト鍵を使用し続けるのは、安全上大きな問題があります。このパッケージをダウンロードした人には、それらの鍵が筒抜けですから。

ホスト鍵の再生成が終ったら、セキュアーシェルのデーモンを走らせます。手動では

# /etc/rc.d/init.d/sshd.init start

などとすることにより、あるいは、システムを再起動することにより自動的にデーモンの起動ができます。

バージョン１の使い方

まず、個人の鍵を生成します。

$ ssh-keygen1

......

これで、 $HOME/.ssh/identity、$HOME/.ssh/identity.pub、および $HOME/.ssh/random_seed ができます。この際、パスフレーズの入力を要求されますので、１５から３０文字程度の類推されにくい文を用意しておきます。

$ cd $HOME/.ssh

$ ls

identity

identity.pub

random_seed

$ cat identity.pub >> authorized_keys

セキュアーシェルを使うには、（リモートホスト上の）あなたの公開鍵が "authorized_keys" に登録されている必要があります。上の最後の行は、とりあえず、あなたのローカルホストでのアカウントの公開鍵を "authorized_keys" に登録しています。 "identity" は秘密鍵ですので、これがネットワーク上を流れる事が絶対にないように機密保持が必要です。

これまでの設定で、

$ slogin <your_host_name>

などとすることにより、セキュアーシェルでのログインが可能になります。

最初の slogin では $HOST/.ssh/known_hosts に <your_host_name> が登録されていないと怒られ、このままログインを続けるかどうか確認を迫られます。続けると、$HOST/.ssh/known_hosts に、 <your_host_name> の公開鍵が自動的に登録されます。その後、パスフレーズの入力が求められます。パスフレーズが正しければ、セキュアーシェルによるログインは完了です。

セキュアーシェルでのセッションは全て暗号化されるので、ネットワークの傍受による機密漏洩の危険を大幅に低下させる事が可能です。私は、自宅からの PPP を通したログインでセキュアーシェルのお世話になっています。

slogin、ssh、scp、ssh-keygen、ssh-agent、 ssh-add　などのコマンドの使い方の詳細については man を御覧ください。

バージョン２のインストール手順

バージョン２をお使いになる場合でも、バージョン１をインストールする事をお勧めします。後方互換性のためです。バージョン１のインストールについては上を御覧ください。

バージョン２のインストール前に、まずバージョン１のデーモンを止めてください。

# /etc/rc.d/init.d/sshd.init stop

次に

# rpm -ivh <somewhere>/ssh-2.0.13-1b.ppc.rpm

# rpm -Uvh <somewhere>/ssh-default-2.0.13-1b.ppc.rpm

としてバージョン２をインストールします。本体パッケージのインストールの際に "-Uvh" でなく "-ivh" を使っている点に注意してください。バージョン１を消してしまわないためです。こうすることでバージョン１しかサポートしていないシステムとの接続も引続き可能となります。

バージョン１の時と同様、直ちにホスト鍵を再生成します．

# ssh-keygen -b 1024 -P -o /etc/ssh2/hostkey

これで /etc/ssh2/hostkey、/etc/ssh2/hostkey.pub、および /etc/ssh2/random_seed が更新されます。パッケージに含まれるホスト鍵を使用し続けるのは、安全上大きな問題があります。このパッケージをダウンロードした人には、それらの鍵が筒抜けですから。バージョン１とはコマンドライン引数が変わった事に注意してください。

ホスト鍵の再生成が終ったら、セキュアーシェルのデーモンを走らせます。手動では

# /etc/rc.d/init.d/sshd.init start

などとすることにより、あるいは、システムを再起動することにより自動的にデーモンの起動ができます。

バージョン２の使い方

まず、個人の鍵を生成します。

$ ssh-keygen

......

これで、ディフォールトでは $HOME/.ssh2/id_dsa_1024_a、$HOME/.ssh2/id_dsa_1024_a.pub、および $HOME/.ssh2/random_seed ができます。この際、パスフレーズの入力を要求されますので、１５から３０文字程度の類推されにくい文を用意しておきます。

$ cd $HOME/.ssh2

$ ls

id_dsa_1024_a

id_dsa_1024_a.pub

random_seed

$ echo "IdKey id_dsa_1024_a" >> identification

$ echo "Key id_dsa_1024_a.pub" >> authorization

セキュアーシェルを使うには、（リモートホスト上の）あなたの公開鍵が $HOST/.ssh2/ ディレクトリーにあり、また、そのファイル名が $HOME/.ssh2/authorization に登録されている必要があります。上の最後の行は、とりあえず、あなたのローカルホストでのアカウントの公開鍵を "authorized_keys" に登録しています。上の例での "id_dsa_1024_a" は秘密鍵ですので、これがネットワーク上を流れる事が絶対にないように機密保持が必要です。秘密鍵のファイル名は、上のように $HOME/.ssh2/identification に登録しておきます。公開鍵、秘密鍵のファイル名は、正しく対応がとれていれば変更可能です。ホスト名を含む名前にしておくと分かりやすいと思います。