Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

24 SSH: 機密を保持するネットワーク操作

概要

ネットワークによる接続が提供されている環境では、一方のホストから他方のホストにログインする必要が生じることがあります。ユーザが認証を目的としてユーザ名とパスワードを送信する際、それをそのままテキスト形式で送ってしまうと、それは容易に傍受することができてしまうため、そのアカウントになりすましてログインできるようになってしまいます。これにより、攻撃者がユーザの保持しているファイルを読み取ることができてしまうほか、管理者や root のアカウントを奪取して不正なアカウントを作成することもできてしまいますし、他のコンピュータを攻撃する際の踏み台として使用することもできてしまいます。その昔は telnet , rsh , rlogin などのコマンドを利用して、ネットワーク上離れた場所との通信を確立していましたが、これらの方法はいずれも盗聴に対する保護が存在せず、暗号化などのセキュリティ機構も備わっていませんでした。それ以外にも、今もなお使用されている FTP などのプロトコルや、 rcp などのプログラムについても、暗号化が行われていませんでした。

SSH スイートは認証文字列 (通常はユーザ名とパスワード) だけでなく、コンピュータ間でやり取りされている全てのデータを暗号化することによって、必要な保護が得られるような仕組みを提供しています。 SSH でも第三者がデータの流れを傍受することはできてしまいますが、内容は暗号化されているため、暗号鍵を知らない限り元のデータを得ることができなくなっています。そのため、 SSH はインターネットなどの機密保護のないネットワークで、通信の機密を保持するために使用されます。なお、 openSUSE Leap での SSH 実装は、 OpenSSH という名称で提供されています。

openSUSE Leap では、 ssh , scp , sftp の各コマンドを提供する OpenSSH パッケージが既定でインストールされます。また、既定の設定では、 openSUSE Leap システムへのリモートアクセスは OpenSSH を利用した場合にのみできるようになっていて、 sshd を動作させ、ファイアウオールでアクセスを許可するように設定する必要があります。

openSUSE Leap での SSH は、ハードウエアアクセラレーション機能が利用できる環境であれば、それを使用するように設定されています。その結果、 SSH を介した巨大なファイルの転送は、暗号化ハードウエア無しの場合に比べてかなり高速になるように作られています。また、追加の利点として、 CPU への負荷も少なくなるようになっています。

24.1 ssh - Secure SHell

ssh コマンドを使用することで、ネットワーク上離れたシステムにログインして対話的な作業を行うことができます。たとえば tux というユーザ名で sun というホストにログインしたい場合は、下記のいずれかのコマンドを実行します:

tux > ssh tux@sun
tux > ssh -l tux sun

両方のマシンでユーザ名が同じであれば、ユーザ名を指定する必要はありません。 ssh sun のように入力して実行するだけで済みます。このコマンドを実行すると、パスワードの入力が求められますので、相手側のコンピュータでのパスワードを入力してください。認証が成功すると、相手側のコンピュータのコマンドラインを使用したり、 YaST のテキストモードのような対話的なアプリケーションを使用したりすることができるようになります。

これら加えて、 ssh では ssh ホスト コマンド のように入力して実行することで、対話操作を伴わないコマンドの実行にも対応しています。なお、 コマンド では適切に引用符を指定する必要があります。また、複数のコマンドはローカルのシェルと同じ方法で繋げることができます。

tux > ssh root@sun "dmesg -T | tail -n 25"
tux > ssh root@sun "cat /etc/issue && uptime"

24.1.1 ネットワーク上の離れたホストでの X アプリケーションの起動

SSH では、ネットワーク上離れた場所にある X アプリケーションも簡単に使用することができます。ssh コマンドに -X オプションを付けることで接続先の DISPLAY 変数が自動的に設定され、全ての X 出力が SSH の接続を介してローカルマシンに表示されるようになります。それと同時に接続先で起動された X アプリケーションは、不正に傍受されたりできないようになります。

24.1.2 エージェント転送

-A オプションを追加することで、 ssh-agent 認証の仕組みが接続先のマシンで有効化されます。このオプションを使用することで、公開鍵を様々なホストに登録して適切な場所に保存しておくだけで、それらのホストにパスワード無しでログインできるようになります。詳しくは 24.5.2項 「SSH 鍵のコピー」 をお読みください。

この仕組みは既定の設定では無効化されていますが、 /etc/ssh/sshd_config というシステム全体の設定に AllowAgentForwarding yes を追加するだけで、いつでも恒久的に有効化することができます。

24.2 scp - 機密を確保したファイルのコピー

scp は、指定したファイルをリモートのマシンとの間でコピーするプログラムです。 jupiter 内でのユーザ名と sun 内でのユーザ名が異なる場合は、 ユーザ名@ホスト名 の形式で指定してください。また、ホームディレクトリ以外のディレクトリにファイルをコピーしたい場合は、 sun: ディレクトリ の形式で指定してください。下記の例では、ローカルから接続先に、および接続先からローカルにそれぞれファイルをコピーしています。

tux > scp ~/MyLetter.tex tux@sun:/tmp 1
tux > scp tux@sun:/tmp/MyLetter.tex ~ 2

1

ローカルから接続先に

2

接続先からローカルに

ヒント
ヒント: -l オプションについて

ssh コマンドでは、 -l オプションを指定することで、接続先のコンピュータ内でのユーザを指定することができます (ユーザ名@ホスト名 と同じ意味になります) 。 scp コマンドの場合、 -lscp が消費する帯域を制限するためのオプションを意味しています。

正しいパスワードの入力が行われると、 scp はデータ転送を開始します。進捗表示バーと、各ファイルの転送にかかる残り時間が表示されます。 -q オプションを指定すると、それらの出力を省略することができます。

scp はディレクトリ全体を再帰的にコピーする用途でも使用することができます:

tux > scp -r src/ sun:backup/

上記のコマンドを実行すると、 src ディレクトリ内にある全てのファイルとサブディレクトリを、 sun 内の ~/backup ディレクトリにコピーします。サブディレクトリが存在していない場合は、それらは自動的に作成されます。

-p オプションは、 scp に対してファイルのタイムスタンプを変更しないようにするオプションです。 -C はデータ転送を圧縮するよう指示するオプションです。これにより転送の際のデータ量を減らすことができますが、送信側・受信側両方のホストでプロセッサにかかる負荷が上昇します。

24.3 sftp - 機密を保持したファイルの転送

24.3.1 sftp の使用

複数のファイルをコピーしたい場合や、異なる場所からコピーを行いたい場合は、 scp の代わりに sftp を利用したほうが便利になることがあります。このコマンドは、通常の FTP プロトコルと同様に、様々なコマンドを実行できるシェルを開くことができます。利用可能なコマンドの一覧を取得したい場合は、 sftp のプロンプトで help と入力してください。より詳しい詳細は、 sftp のマニュアルページに書かれています。

tux > sftp sun
Enter passphrase for key '/home/tux/.ssh/id_rsa':
Connected to sun.
sftp> help
Available commands:
bye                                Quit sftp
cd path                            Change remote directory to 'path'
[...]

24.3.2 ファイルアップロードのパーミッション設定

通常の FTP サーバと同様に、ユーザは SFTP を利用することで、ダウンロードだけでなくアップロードも行うことができます。コマンドは通常の FTP サーバと同じで、 put コマンドを利用します。既定では、アップロードしたファイルのパーミッションは、ローカル側のパーミッションと同じに設定されます。ただし、自動的に設定されるパーミッションを変更したい場合は、下記のいずれかを実施してください:

umask の設定

umask はパーミッションに対するフィルタとして動作する仕組みで、元々のファイルとアップロード先のファイルとの間で、引き継いで欲しくないビットを 1 にします。なお、アクセス許可を追加することはできません。取り消すことのみ実現できます:

表 24.1:

元々のパーミッション

umask の値

アップロードされたファイルのパーミッション

0666

0002

0664

0600

0002

0600

0775

0025

0750

SFTP サーバ側で umask を適用するには、 /etc/ssh/sshd_configuration ファイルを編集します。まずは Subsystem sftp で始まる行を探し、行の末尾に -u オプションを追加して、必要な値を指定してください。たとえば下記のようになります:

Subsystem sftp /usr/lib/ssh/sftp-server -u 0002
明示的なパーミッションの指定

SFTP 経由でアップロードされた全てのファイルに対して、同じパーミッションを設定するように指定する方法です。 -u オプションと同様に、 600 , 644 , 755 のような 3 桁のパーミッション値を指定してください。 -m-u の両方が指定された場合、 -u は無視されます。

SFTP サーバ側で明示的にパーミッションを指定するには、 /etc/ssh/sshd_configuration ファイルを編集します。まずは Subsystem sftp で始まる行を探し、行の末尾に -m オプションを追加して、必要な値を指定してください。たとえば下記のようになります:

Subsystem sftp /usr/lib/ssh/sftp-server -m 600

24.4 SSH デーモン ( sshd )

sshscp などのクライアント側プログラムを動作させるには、サーバ側で SSH デーモンを動作させておかなければなりません。 SSH デーモンは通常、裏で動く仕組みで、 TCP/IP ポート 22 で接続を待ち受けています。デーモンは初回の起動時に 3 種類の鍵対を作成しますが、それぞれの鍵対には公開鍵と機密鍵が含まれています。そのため、この処理は公開鍵ベースの鍵の生成と呼ばれます。また、 SSH を介した通信の機密が保たれるようにするため、機密鍵を含むファイルへのアクセスは、システム管理者にのみ許可するように設定しなければなりません。ただし、ファイルへのアクセス権は自動的に設定されます。さらに、機密鍵はローカルの SSH デーモンのみが使用するものであり、それ以外のユーザに公開してはなりません。逆に公開鍵 (ファイル名の拡張子が .pub になっているもの) は、接続を行うクライアントに送信されるものであり、全てのユーザから読み込むことができるようになっています。

接続は SSH クライアント側から行います。その後、待ち受けている SSH デーモンと SSH クライアントとの間でプロトコルとソフトウエアバージョンを含む識別情報を交換し、誤ったポートからの接続が行われないようにします。 SSH デーモンの子プロセスが要求に応答する仕組みであるため、複数の SSH 接続を同時に受け付けることができるようになっています。

SSH サーバと SSH クライアントとの間での通信において、 OpenSSH では SSH プロトコルのバージョン 1 とバージョン 2 の両方に対応しています。 SSH プロトコルではバージョン 2 が既定で使用されますが、 -1 オプションを指定することで、バージョン 1 を強制的に使用することができます。

SSH プロトコルのバージョン 1 を使用している場合、サーバ側ではホスト側の公開鍵と、 1 時間に 1 回再生成されるサーバ鍵を送信します。 SSH クライアント側では、任意に選択したセッション鍵を両方の鍵で暗号化して、 SSH サーバ側に送信します。 SSH クライアント側では、サーバに対して使用する暗号化方式を指定します。 SSH プロトコルのバージョン 2 では、サーバ鍵を必要としません。サーバとクライアントは、いずれも Diffie-Hellman の仕組みに従って鍵を交換します。

セッション鍵を解読するには、ホスト鍵とサーバ鍵の両方の機密鍵必要となるほか、機密鍵は公開鍵からは生成できないものです。そのため、通信相手となっている SSH デーモンのみがセッション鍵を解読できることになります。このような接続当初の動作は、 SSH クライアント側で -v オプションを指定して冗長出力を行うことで、より詳しく表示することができます。

ヒント
ヒント: SSH デーモンのログファイルの表示について

sshd が生成したログの出力を読みたい場合は、下記のコマンドを使用します:

tux > sudo journalctl -u sshd

24.4.1 SSH 鍵の管理

/etc/ssh/ 内にある機密鍵と公開鍵の両方を、機密の保持される外部のデバイスにバックアップしておくことをお勧めします。バックアップを採取しておくことで、鍵が不正に書き換えられた際の検出ができるほか、新しくシステムをインストールし直すような場合にも対応することができます。

ヒント
ヒント: 既存の SSH ホスト鍵

openSUSE Leap を既存の Linux インストールが存在する環境にインストールする場合、インストールルーチンは既存の SSH ホスト鍵を検索して、最も新しいアクセス日時のものを自動的に取り込むことができるようになっています。

初めて特定のホストに接続すると、クライアントは公開鍵を ~/.ssh/known_hosts 内に保存します。これにより、ネットワーク内で不正な鍵を使用させて、攻撃者に容易に機密メッセージを解読させてしまうような、中間者攻撃を防ぐことができます。このような攻撃が行われた場合、 ~/.ssh/known_hosts 内に保存されているホスト鍵が変更されていることが検出されるか、もしくはサーバ側でメッセージが解読できないことで判明します。

何らかの理由でホストの公開鍵が変わってしまった場合、クライアントはサーバへの接続前にその旨のメッセージを受け取ります。以前の鍵を削除したい場合は、 ssh-keygen -r ホスト名 を実行してください。

24.4.2 ホスト鍵のローテーション

OpenSSH バージョン 6.8 以降では、ホスト鍵の移行 (rotation) に対応するプロトコル拡張が提供されています。これは鍵を置き換える際に使用するためのもので、たとえば 1024 ビット RSA 鍵のような弱い鍵を使用していて、 2048 ビット DSA 鍵などのような強い鍵に置き換えるような場合に有用な仕組みです。クライアント側では、対応可能な 最適の 鍵を使用するようになります。

ヒント
ヒント: sshd の再起動について

サーバ側で新しいホスト鍵をインストールした場合は、 sshd を再起動してください。

このプロトコル拡張は、ユーザが ssh で接続を開始した際、クライアントに対してサーバ内にある新しいホスト鍵を通知することができる仕組みです。クライアント側のソフトウエアでは、その通知を受け取ると ~/.ssh/known_hosts ファイルを更新し、ユーザに対して新しい鍵の問い合わせを行ったりすることなく、新しい鍵を信頼することができます。つまり、 known_hosts ファイルには、初回の接続時にユーザに問い合わせた鍵に加えて、接続先のホスト内にある全てのホスト鍵が含まれることになります。

サーバの管理者側では、クライアント側の全員が新しい鍵を使用するようになったことを確認できれば、古いほうの鍵を削除することができます。このプロトコル拡張では、クライアント側で保存されている古い鍵を削除させることもできます。この鍵の削除処理は、 ssh セッション内で行われます。

さらに詳しい情報を知りたい場合は、下記を参照してください:

24.5 SSH 認証の仕組み

最も簡単な構成では、ログイン時にユーザのパスワードを入力させて認証を行います。しかしながら、複数のコンピュータを利用しているような場合、いちいちパスワードを覚えておくのは非効率ですし、面倒です。また、これらのパスワードは管理上の理由などで変更を行わなければならないこともあります。それだけでなく、 root のアクセスを許可するような場合、管理者側では root のパスワードを変更することなく、素早く個別の許可を取り消す措置を備えていなければならない場合もあります。

このような要件に対応するため、接続先のパスワードを入力することなくログインできる仕組みが用意されています。ユーザ側で鍵対を生成して、この鍵対を認証の代用として使用する方法です。この鍵対には公開鍵 ( id_rsa.pub もしくは id_dsa.pub ) と機密鍵 ( id_rsa もしくは id_dsa ) が含まれています。

接続先のユーザのパスワードを指定せずにログインできるようにするには、生成した公開鍵を、接続先のユーザのホームディレクトリ以下にある ~/.ssh/authorized_keys というファイルに保存しておかなければなりません。このファイルに保存する際には、このユーザのパスワードを知っておかなければなりませんし、公開鍵を削除すればアクセスも拒否されるようになることから、アカウントに対する完全な制御を実現できることになります。

生成した鍵対そのものに対する機密を保護するため、鍵対にはパスフレーズを設定しておいて、 ssh , scp , sftp のような各コマンドを使用する際に、パスフレーズを入力するように設定しておくことをお勧めします。通常のパスワード認証とは異なり、接続先のホストのユーザのパスワードとは連動していないものですので、自由に管理することができます。

上述のとおり鍵対を利用した認証方法のほかに、 SSH ではホストベースの認証にも対応しています。ホストベースの認証では、信頼されているホスト内のユーザは、同じユーザに対して同機能が有効化されている接続先にログインすることができるようになります。 openSUSE Leap では鍵対ベースの認証を設定しますので、本マニュアルでは説明していません。

注記
注記: ホストベースの認証でのファイルパーミッションについて

ホストベースの認証を使用している場合、 /usr/lib/ssh/ssh-keysign に対して setuid ビットを設定する必要があります。既定の openSUSE Leap ではそのような設定を行っていませんので、必要であれば手作業で設定を行ってください。なお、 /etc/permissions.local ファイルで必要な設定を行うことで、 openssh 自身に対する更新が提供された場合でも、パーミッションを設定し直す必要が無くなります。

24.5.1 SSH 鍵の生成

  1. 既定のパラメータ (RSA, 2048 ビット) で鍵対を生成するには、 ssh-keygen と入力して実行します。

  2. 生成された鍵対の保存先を尋ねられますので、 Enter を押して既定の保存先 ( ~/.ssh/id_rsa ) に保存するか、もしくは独自の場所を指定して保存します。

  3. パスフレーズを 10 文字から 30 文字程度の範囲で指定します。パスワードと同じルールで設定することをお勧めします。また、パスフレーズの省略はお勧めできません。

機密鍵については、自分自身以外には決してアクセスされることの無いよう、注意して保存を行ってください (パーミッションは 0600 に設定しておくべきです) 。また、機密鍵が他者に渡るようなことが決して起こらないようにもしてください。

既存の鍵対に対するパスフレーズを変更するには、 ssh-keygen -p を実行します。

24.5.2 SSH 鍵のコピー

SSH の公開鍵を接続先の ~/.ssh/authorized_keys にコピーする際、 ssh-copy-id コマンドを使用することができます。生成した鍵を ~/.ssh/id_rsa.pub 内に保存していれば、簡単にコピーを行うことができます。 DSA 鍵を使用しているような場合や、異なるファイル名に保存している場合は、パスを指定して実行する必要があります:

tux > ~/.ssh/id_rsa.pub
ssh-copy-id -i tux@sun

tux > ~/.ssh/id_dsa.pub
ssh-copy-id -i ~/.ssh/id_dsa.pub  tux@sun

tux > ~notme/.ssh/id_rsa.pub
ssh-copy-id -i ~notme/.ssh/id_rsa.pub  tux@sun

鍵のコピーを行うには、接続先のユーザのパスワードを入力する必要があります。また、鍵を削除したい場合は、 ~/.ssh/authorized_keys ファイルを手作業で編集してください。

24.5.3 ssh-agent の使用

Secure SHell で何度も作業を行うような場合、いちいちパスワードやパスフレーズを入力するのは面倒です。そのため、 SSH パッケージにはもう 1 つのツールである ssh-agent が提供されています。これは X セッションや端末セッションが有効である間、機密鍵を保持することができる仕組みです。その他のウインドウやプログラムは、 ssh-agent に対するクライアントとして起動します。 ssh-agent を起動することで様々な環境変数が設定され、 ssh , scp , sftp で自動ログインを行うことができるよう、エージェントの場所を通知することができます。詳しい説明については、 ssh-agent のマニュアルページをお読みください。

ssh-agent を起動したあとは、 ssh-add コマンドで鍵を追加していきます。このとき、パスフレーズの入力を求められます。パスフレーズをいったん入力してしまえば、再度認証を行うことなく Secure SHell のコマンドを使用することができるようになります。

24.5.3.1 X セッション内での ssh-agent の使用

openSUSE Leap では、 GNOME ディスプレイマネージャ経由でログインすることで、自動的に ssh-agent が起動されます。あとは ssh-add コマンドを実行して、 X セッションの冒頭で鍵を追加していくことになりますが、この処理をログイン時に自動的に実施したい場合は、下記のようにして実行します:

  1. まずは目的のユーザでログインして、 ~/.xinitrc ファイルが存在していないかどうかを確認します。

  2. 存在していない場合は、 /etc/skel 内にある雛形を使用して設定するか、もしくはシンプルにコピーして使用します:

    if [ -f ~/.xinitrc.template ]; then mv ~/.xinitrc.template ~/.xinitrc; \
    else cp /etc/skel/.xinitrc.template ~/.xinitrc; fi
  3. 雛形をコピーしたあとは、下記のような行を探してコメント文字 (#) を外します。 ~/.xinitrc が既に存在しているような場合は、下記のような行を追加します (コメント文字 (#) は外して記入してください) 。

    # if test -S "$SSH_AUTH_SOCK" -a -x "$SSH_ASKPASS"; then
    #       ssh-add < /dev/null
    # fi
  4. 新しい X セッションを開始すると、 SSH 鍵に対するパスフレーズの入力を求められます。

24.5.3.2 端末セッション内での ssh-agent の使用

端末セッションの場合は、 ssh-agent を手作業で起動して、後から ssh-add を実行する必要があります。 ssh-agent の起動方法には 2 種類のものがあります。 1 行目の例は既存のシェルから ssh-agent を起動して、その中で新しいシェルを起動する方法、 2 行目の例は既存のシェル内で ssh-agent を起動して、必要に応じて環境を書き換える方法です。

tux > ssh-agent -s /bin/bash
eval $(ssh-agent)

エージェントを起動したら、 ssh-add を実行して鍵を追加していってください。

24.6 ポート転送

ssh は TCP/IP 接続を転送するような用途でも使用することができます。この機能は SSH トンネリング とも呼ばれ、暗号化された通信を介して TCP の接続を別のマシン内にある特定のポートに転送することができます。

下記のコマンドを実行することで、 ローカルの TCP ポート 25 (SMTP) への接続を行うと、 jupiter への暗号化接続を介して sun の TCP ポート 25 (SMTP) に接続するようになります。これは特に、 SMTP-AUTH や POP-before-SMTP のような機能を持たない SMTP サーバを使用するような場合に有用です。 このようにポート転送を行うことで、電子メールを 自宅の メールサーバに配送するような構成を構築することができます。

root # ssh -L 25:sun:25 jupiter

上記と同様に、全ての POP3 接続 (ポート 110) を sun に転送したい場合は、下記のように実行します:

root # ssh -L 110:sun:110 jupiter

いずれのコマンドも特権ポートを使用していることから、 root で実行しなければなりません。いったんコマンドを実行すれば、一般ユーザからもそのポートを使用して電子メールを送受信できるようになります。この場合、電子メールソフトウエア側のサーバ設定は localhost を指定します。上記で説明したそれぞれのプログラムのオプションに関する説明は、 /usr/share/doc/packages/openssh 内にある OpenSSH のパッケージドキュメンテーション内にあります。

24.7 インストール済みのシステムにおける公開鍵の追加と削除

利用環境によっては、 SSH を利用してログインしたほうが便利であったり、 SSH 経由でのログインが必要となったりすることがあります。このような場合、 SSH 公開鍵認証を利用してログインする必要があることもあります。 SSH 鍵を追加もしくは削除するには、下記の手順で行います:

  1. YaST を開きます。

  2. セキュリティとユーザ 内にある ユーザとグループの管理 を選択します。

  3. 鍵を追加もしくは削除したいユーザを選んで、 編集 を押します。

  4. SSH 公開鍵 タブに切り替えます。

  5. ここから公開鍵を追加もしくは削除することができます。 SSH 公開鍵を追加する場合は、 .pub というファイル名のファイルを追加することができます。

  6. OK を押して閉じます。

追加した公開鍵は、 ~/.ssh/authorized_keys 内に保存されます。

24.8 さらなる情報

https://www.openssh.com

OpenSSH の Web ページ

https://en.wikibooks.org/wiki/OpenSSH

OpenSSH Wikibook (英語)

man sshd

OpenSSH デーモンのマニュアルページ

man ssh_config

OpenSSH のクライアント側設定ファイルのマニュアルページ

man scp, man sftp, man slogin, man ssh, man ssh-add, man ssh-agent, man ssh-copy-id, man ssh-keyconvert, man ssh-keygen, man ssh-keyscan

ファイルコピー ( scp , sftp ) やログイン ( slogin , ssh ) 、鍵管理などのコマンドに対するマニュアルページ。

/usr/share/doc/packages/openssh/README.SUSE, /usr/share/doc/packages/openssh/README.FIPS

SUSE 固有のパッケージドキュメンテーション; FIPS モードなど、提供元からの既定値の変更点などを説明しています。

このページを印刷