ソースを表示
出典: Wikipedio
Secure Shell
のソース
移動:
ナビゲーション
,
検索
以下に示された理由によりページの編集を行うことができません:
この処理は
登録利用者
の権限を持った利用者のみが実行できます。
以下にソースを表示しています:
{{IPstack}} <!-- Edit the stack image at: Template:IPstack --> '''Secure Shell'''(セキュアシェル)は、[[暗号]]や[[認証]]の技術を利用して、安全にリモートコンピュータと[[通信]]するための[[プロトコル]]。[[パスワード]]などの認証部分を含むすべての[[コンピュータネットワーク|ネットワーク]]上の通信が暗号化される。[[wikt:スペルアウト|スペルアウト]]するよりも、[[頭字語]]の'''SSH'''(エスエスエイチ)と呼称することが多い。 そもそもは[[Telnet]]や[[rsh]]、[[rlogin]]などといった、リモートホストの[[シェル]]を利用するための既存のプロトコルを代用する手段として考えられていた。TelnetやFTPは、ネットワーク上に[[平文]]でパスワードを送信してしまうため、パスワードをネットワーク経路上でのぞき見されてしまう(これを[[盗聴]]や[[スニフ]]と呼ぶ)危険性が高く、商業的なインターネット空間では問題が大きかった。Telnet同様に、リモートホスト間でのファイルコピー用のコマンド[[rcp]]を代用する[[Secure copy|scp]]や、FTPを代用するための[[SSH File Transfer Protocol|sftp]]も用意されている。 SSHの暗号通信は、[[公開鍵暗号]]([[RSA暗号|RSA]]や[[DSA]])を用いて[[共通鍵暗号]]([[トリプルDES]]、[[AES暗号|AES]]など)の[[共通鍵]]を暗号化して[[鍵交換]]を行い、通信自体は高速な共通鍵暗号を用いる、いわゆる[[ハイブリッド暗号]]である。また、[[成りすまし]]を防止するための認証の仕組みも充実している。[[パスワード]][[認証]]、[[公開鍵暗号|公開鍵]][[認証]]、[[ワンタイムパスワード]]などが提供されており、個々の[[情報セキュリティポリシー]]に合わせて選択できる。 現在は、バージョン1とバージョン2の2種類のプロトコルが共存している。脆弱性が発見されているため、バージョン1の利用は推奨されない。商用アプリケーションや[[フリーソフトウェア]]など幾つかの実装があり、特許や互換性の問題などでやや混乱があったが、[[2006年]]にSSHのプロトコルおよびその関連技術が[[Request for Comments|RFC]]として制定された<ref>RFC 4250、RFC 4251、RFC 4252、RFC 4253、RFC 4254、RFC 4255、RFC 4256を参照。</ref>。ただ、2008年の時点でもっとも一般に普及しているのは、[[オープンソース]]で開発されている[[OpenSSH]]で<ref>{{cite web |url=http://www.openssh.com/usage/ssh-stats.html|title=Statistics from the current scan results|accessdate=2009-03-08}}</ref>、[[Linux]]などでも標準的に利用されているため、現在では単にSSHと言った場合、OpenSSHの実装系を指すことが多い。 == SSHサーバ == * [[OpenSSH]] (マルチプラットフォーム) * SSH Tectia Server (マルチプラットフォーム) * [http://www.attachmatewrq.jp/Products/Security/Reflection+for+Secure+IT/rsit.htm Reflection for Secure IT (マルチプラットフォーム)] == SSHクライアント == * [[OpenSSH]] (マルチプラットフォーム) * [[PuTTY]] (Windows, UNIX) * [[Tera Term]] (Windows) * [[Poderosa]] (Windows) * SSH Tectia Client (マルチプラットフォーム) * [http://www.attachmatewrq.jp/Products/Security/Reflection+for+Secure+IT/rsit.htm Reflection for Secure IT (マルチプラットフォーム)] == SSHのセキュリティリスク == SSHクライアントの利用者がサーバ鍵の指紋を確認しない場合、意図しないリモートコンピュータに接続していても気づかず、通信内容を盗聴される恐れがある。 また、SSHサーバには、設定値が適切でないために発生するセキュリティリスクがある。一例として、OpenSSHにおける以下のような設定があげられる。 * PasswordAuthenticationが既定で有効である * PermitRootLoginが既定で有効である * Protocolが既定でssh1を許可している * 既定のPortが22で既知である * ChallengeResponseAuthenticationが既定で有効である * AllowUsersにおいて既定ですべてのユーザーに許可されている * 認証にたびたび失敗するホストからの接続を制限しない * 認証に失敗しても再認証を受け入れるまでウエイト時間を設けない * 既定ではないが、X11 port forwardingが有効にできる * 認証が通るとシェルへのアクセスが認められる これらの状態では、たとえば[[総当たり攻撃|ブルートフォースアタック]]でセキュリティを突破することが可能である。実際にセキュリティを破られたサーバが存在し、IPAではこの問題について危険性があることを勧告している。 OpenSSHを採用しているサーバOSの中には、上記の値をデフォルト値としていないものもある。しかし、デフォルトのsshd_configに対してなんら対策を施していない場合、非常に多くの情報が既知である。攻撃者はパスワードを見つけることだけに専念してセキュリティを破り、またスーパーユーザー特権を獲得することができる。 この問題に対してのソリューションは、SSHサーバの設定のデフォルト値には危険なものがあることを認識して対策することである。 * PasswordAuthentication noにする * PermitRootLogin noにする * Protocol 2にする * Portは22以外にする * ChallengeResponseAuthentication noにする * AllowUsersにおいて特定のユーザーのみ接続を許可する * authlogなどで認証失敗を検出したら、そのホストからの接続を遮断する * X11 port forwardingは無効にする * シェルが不要であれば、passwdファイルからシェルを取り除く == 脚注 == <references /> == 関連記事 == * [[Secure Sockets Layer|SSL]] * [[Telnet]] * [[File Transfer Protocol]] * [[SSH File Transfer Protocol]] * [[Secure copy]] * [[sshfs]]([[Filesystem in Userspace|FUSE]]の応用) * [[Files transferred over shell protocol|FISH]] [[Category:インターネットのプロトコル]] [[Category:暗号ソフトウェア]] [[af:Secure Shell]] [[ar:قشرة آمنة]] [[bg:SSH]] [[bs:Secure Shell]] [[ca:Secure Shell]] [[cs:Secure Shell]] [[da:SSH]] [[de:Secure Shell]] [[en:Secure Shell]] [[eo:SSH]] [[es:Secure Shell]] [[et:Turvakest]] [[eu:Secure Shell]] [[fi:SSH]] [[fr:Secure Shell]] [[gl:Secure shell]] [[he:Secure Shell]] [[hr:Secure Shell]] [[hu:Secure Shell]] [[id:SSH]] [[it:Secure shell]] [[ko:시큐어 셸]] [[lt:SSH]] [[mk:Secure Shell]] [[nl:Secure Shell]] [[no:Secure Shell]] [[pl:SSH]] [[pt:SSH]] [[ru:SSH]] [[simple:Secure Shell]] [[sk:Secure shell]] [[sl:Secure shell]] [[sr:SSH]] [[sv:SSH]] [[th:Secure Shell]] [[tr:SSH]] [[uk:SSH]] [[vi:SSH]] [[yo:Secure Shell]] [[zh:SSH]]
このページで使われているテンプレート:
Template:Cite web
Template:IPstack
Secure Shell
に戻る。
表示
本文
ノート
ソースを表示
履歴
個人用ツール
ログイン
ナビゲーション
メインページ
コミュニティ・ポータル
最近の出来事
最近更新したページ
おまかせ表示
ヘルプ
検索
ツールボックス
リンク元
リンク先の更新状況
特別ページ