Download
1 / 24
240 likes | 407 Views
KEK の計算機環境と SSH. 富士通 SS 研究会 2000/11/15 KEK 高エネルギー加速器研究機構 計算科学センター 八代茂夫. KEK の主要な計算機システム. なぜ SSH を導入したのか. 国内外の共同研究者に計算機環境を提供する必要性 リモートログイン , ファイル転送 パスワード通信を暗号化 slogin, ssh <-- telnet, rlogin, rsh sftp <-- ftp. SSH の機能. すべてのデータを暗号化 通信の内容を保護 暗号システムを使ったホスト認証
E N D
KEKの計算機環境とSSH 富士通 SS研究会 2000/11/15 KEK 高エネルギー加速器研究機構 計算科学センター 八代茂夫 Shigeo.Yashiro@kek.jp
KEKの主要な計算機システム Shigeo.Yashiro@kek.jp
なぜ SSH を導入したのか • 国内外の共同研究者に計算機環境を提供する必要性 • リモートログイン, ファイル転送 • パスワード通信を暗号化 • slogin, ssh <-- telnet, rlogin, rsh • sftp <-- ftp Shigeo.Yashiro@kek.jp
SSHの機能 • すべてのデータを暗号化 • 通信の内容を保護 • 暗号システムを使ったホスト認証 • IPアドレス偽装, IPソースルーチング, DNS偽装, といった不正アクセスの攻撃を防ぐ. • Xのフォワーディング機能 • XクライアントをFW越えされることに利用可. • ポートフォワーディング機能 • proxy(中継サーバ)を作成して通信. • ftp や pop などのセキュアでない通信と組み合わせて利用 Shigeo.Yashiro@kek.jp
SSHのバージョン • フィンランドの Tatu Ylonen が開発 • 現在 • SSH Communication Security社 (SSH社)がプログラムの開発 • F-Secure Corporation が製品化 • 日本での販売は(株)山田洋行 • SSHのプロトコルの標準化 • The Internet Engineering Task Force (IETF) Shigeo.Yashiro@kek.jp
フリーのSSH • OpenSSH • OpenBSDのプロジェクトとして開発 • SSH 1.2.12 をベースとして開発 • 1999年後半に公開 • LSH • GNU ライセンス扱い • OSSH • ライセンス記述が見当たらない. • SSH 1.2.12 をベースとして開発 • 1999年後半に公開 Shigeo.Yashiro@kek.jp
SSH プログラムのバージョン Shigeo.Yashiro@kek.jp
各プログラムの機能の比較 Shigeo.Yashiro@kek.jp
PCクライアント Shigeo.Yashiro@kek.jp
SSH の行なう認証 • サーバホストの認証 • 公開鍵暗号システム • サーバホストによるユーザ認証 Shigeo.Yashiro@kek.jp
サーバホストの認証( SSH1 ) クライアントホスト サーバホスト ログイン要求 Host-key(公開鍵)を送る Session-keyを作成してHost-keyで暗号化 Private-key によりSession-keyを復号化 サーバを認証 Shigeo.Yashiro@kek.jp
ユーザ認証 • パスワード認証 • パスワードは, 暗号化して通信 • 公開鍵暗号システムによる認証 • rhosts + 公開鍵暗号システム で認証 • セキュリティが弱くなりかねない • rhosts認証 • セキュリティが弱い Shigeo.Yashiro@kek.jp
公開鍵暗号システムによるユーザ認証 • 使用のための準備 • SSHクライアントホストで1組の公開鍵と秘密鍵を作成 • 公開鍵をリモートホスト(SSHサーバ)に送る. Shigeo.Yashiro@kek.jp
公開鍵暗号システム RSA によるユーザ認証 クライアントホスト サーバホスト 公開鍵を送る 乱数をユーザの公開鍵で暗号化 暗号文を秘密鍵で復号化,MD5チェックサムを送る MD5チェックサムを確認してユーザを認証 Shigeo.Yashiro@kek.jp
X11フォワーディング Shigeo.Yashiro@kek.jp
TCP/IPポートフォワーディング % ssh -L Y:HostB:K HostB Shigeo.Yashiro@kek.jp
Windowsでの使い方 • TeraTerm(Pro) + TTSSH • 起動 • Windows のメニューバー → 「スタート」→「プログラム(P)」→「Tera Term Pro」(フォルダ) →「Tera Term Pro」(プログラム) → ttermpro を起動 • X11フォワーディング • Windows でXサーバが起動されていること • TeraTermを起動→メニューバーから「Setup」→「SSH Forwarding」 → 「Display remote X application on local..」をチェック Shigeo.Yashiro@kek.jp
UNIXでの使い方 - ログイン • ログイン lune % ssh soleil • 公開鍵認証を使う場合には, 前準備が必要 lune % ssh-keygen • パスフレーズは空白にしない. (危険!) • private-key を登録する. • public-key をSSHサーバに転送する. Shigeo.Yashiro@kek.jp
UNIXでの使い方 - ファイル転送 • scp の例 lune % scp -p file1 soleil:~ lune % scp -p directory soleil:~ • 総称文字 lune % scp -p * soleil:~ • 軽い暗号システムの使用 lune % scp -p -c blowfish file1 soleil:~ • sftp lune % sftp soleil Shigeo.Yashiro@kek.jp
UNIXでの使い方 - ファイル転送 • ポートフォワーディングの利用 • ポートの設定 lune% ssh -L 12345:soleil:21 soleil • 別のウィンドウから lune% ftp localhost 12345 Connected to localhost. 220 soleil FTP server …... Name (localhost:yashiro): 331 Password required for yashiro. Password: my-PW 230 User yashiro logged in ftp> passive Shigeo.Yashiro@kek.jp
UNIX へのインストレーション • Configure % ./configure --with-libwrap=/usr/ lib • Make % make # make install • Configuration • TCP wrappers の hosts.allow sshd: LOCAL, .kek.jp sshdfwd-X11: LOCAL sshdfwd-12345: LOCAL, hostname Shigeo.Yashiro@kek.jp
SSH とtelnet Shigeo.Yashiro@kek.jp
パスワード認証 vs 公開鍵認証 Shigeo.Yashiro@kek.jp
SSH2 OpenSSH 価格 8万円/licence フリー インストレーション 容易 めんどう 公開鍵認証 DSA, RSA DSA PCクライアント SSH社 TTSSH, Nifty SSH社 TTSSH, Nifty? ファイル転送 Sftp, scp Sftpを追加 F-Secure vs OpenSSH Shigeo.Yashiro@kek.jp
