SSH™の使用でユーザーは、リモートからホストシステムへログインが可能となります。 FTP や Telnetとは異なり、SSHはログインセッションを暗号化しますので、侵入者がクリアテキストの パスワードを取り出すことは有り得ません。
SSHには、telnetやrshなどの古くて低レベル セキュリティのリモートホスト用ログインアプリケーションを置き換える設計がなされています。これに関連した scpと呼ばれるプログラムは、rcpなどホスト間で ファイルをコピーする設計の古いプログラムを置き換えます。これらの古い方のアプリケーションはクライアントと サーバー間で送信されるパスワードを暗号化しない為、可能な限りこれらを避けて下さい。リモートシステムに ログインする時に安全な手段を使用することは、クライアントシステムとリモートホスト両方のリスクを 減少させます。
SSH (これはSecure SHellの略)は、クライアント/サーバのアーキテクチャを 使用して2つのシステム間で安全な接続を確立するためのプロトコルです。
SSHプロトコルでは、次の保護手段が取られます:
初期接続の後、クライアントは以前に接続したのと同じサーバに接続している ことを確証できます。
クライアントは強力な128ビット暗号を使用して、サーバに認証情報を 送付します。
セッションの間に送受信されたデータの全ては、128ビット暗号を使用して送信されますので、 それを横取りしても復号と読み取りが非常に難しくなります。
クライアントはサーバからX11アプリケーション [1]を伝送できます。このX11フォワーディングと呼ばれる技術は ネットワーク上でグラフィカルアプリケーションを使用する為の安全な手段を提供します。
SSHプロトコルは、それが送受信するすべてを暗号化するため、そのままでは不安全な プロトコルを安全にするために使用されます。ポートフォワーディングと 呼ばれる技術を使用すれば、SSHサーバがPOPなどの普段は安全でないプロトコルを安全にする 経路になり、全体的にシステムとデータのセキュリティを向上します。
Red Hat Linuxには、一般的なOpenSSHパッケージ(openssh)、OpenSSHサーバーパッケー (openssh-server)及びクライアントパッケージ(openssh-clients)も 含まれています。OpenSSHのインストールと活用に付いての案内はRed Hat Linux カスタマイズガイドの中にある OpenSSHというタイトルの章を御覧下さい。また、OpenSSHパッケージはOpenSSLパッケージ (openssl)を必要とすることに注意して下さい。OpenSSLは、OpenSSHが暗号化された通信を 用意できるようにするための幾つかの重要な暗号化法ライブラリをインストールします。
SSHプロトコルを使用できるクライアントプログラムとサーバープログラムはたくさんあります。 現在使用されている主要なほとんどすべてのオペレーティングシステムに合わせて、各種のSSH クライアントバージョンが用意されています。
悪質なコンピュータユーザーは、あるシステムへのアクセスを得る為にネットワークトラフィックに 対して接続破壊、干渉、経路変更などを可能にするさまざまなツールを所持しています。一般的な表現では これらの脅威は以下のカテゴリーに分類できます:
2つのシステム間の通信の干渉 — この手口では、侵入者は、ネットワーク上の通信機構の 間のどこかに介在し、その間を通過する情報をコピーします。侵入者は、干渉し情報を横取りするか、又はその情報を変更して その本来の受信者に送り付ける可能性があります。
この攻撃は、パケットスニッファ(一般的なネットワークユーティリティ)を 使用してマウントできるものです。
特定ホストの偽装 — この策略の場合は、侵入者のシステムが通信の本来の受信者として 振舞うように設定されています。この策略が成功すれば、ユーザーのシステムは 間違った相手と通信していることに気が付きません。
この攻撃は、DNSポイゾニング(汚染)、 [2] 又はIPスプーフィングとして知られる技術でマウントできるものです。 [3]
どちらの手口でも重要な機密情報を干渉することができ、その干渉が悪意のある物である場合、 悲惨な結果となりえます。
SSHがリモートのシェルログインとファイルコピーの為に使用されるのであれば、これらのセキュリティ 脅威は大幅に減少できます。これはSSHのクライアントとサーバーが自身の身元を証明するのにデジタル署名を 使用する為です。さらには、クライアントとサーバー間のすべての通信が暗号化されています。ローカルと リモートのシステムのみが持つ鍵を使用して暗号化してあるため、この通信のどちらかの身元をスプーフ(偽装) しようとしても成功しません。
| [1] | X11 とはX11R6ウィンドウディスプレイシステムのことで、伝統的に X と 呼ばれます。Red Hat Linuxには、X11R6を基本にした、広範囲で使用されるオープン ソースのX ウィンドウシステムであるXFree86が 含まれています。 |
| [2] | DNSポイゾニングは、侵入者がDNSサーバーをクラックしてクライアントシステムを 悪意を持って複写偽装したホストに向けることで発生します。 |
| [3] | IPスプーフィングは侵入者が、ネットワーク上で信頼されたホストから送信された ように偽装したネットワークパッケージを送信することにより発生します。 |