Upload
huong
View
76
Download
0
Embed Size (px)
DESCRIPTION
KEK の計算機環境と SSH. 富士通 SS 研究会 2000/11/15 KEK 高エネルギー加速器研究機構 計算科学センター 八代茂夫. KEK の主要な計算機システム. なぜ SSH を導入したのか. 国内外の共同研究者に計算機環境を提供する必要性 リモートログイン , ファイル転送 パスワード通信を暗号化 slogin, ssh
Citation preview
2000/11/15 [email protected]/17
KEK の計算機環境と SSHKEK の計算機環境と SSH
富士通 SS 研究会2000/11/15
KEK 高エネルギー加速器研究機構計算科学センター
八代茂夫
2000/11/15 [email protected]/24
KEK の主要な計算機システムKEK の主要な計算機システム
計算機システム プロジェクト 性能
共通計算機 PS 実験、その他 3123 SPECint95
KEKB 計算機 KEKB 実験 12803 SPECint95
原子核計算機 原子核実験 835 SPECint95
スーパー計算機 理論物理、数値物理 1200 Gflo ps
2000/11/15 [email protected]/24
なぜ SSH を導入したのかなぜ SSH を導入したのか
国内外の共同研究者に計算機環境を提供する必要性– リモートログイン , ファイル転送
パスワード通信を暗号化– slogin, ssh <-- telnet, rlogin, rsh– sftp <-- ftp
2000/11/15 [email protected]/24
SSH の機能SSH の機能
すべてのデータを暗号化– 通信の内容を保護
暗号システムを使ったホスト認証– IP アドレス偽装 , IP ソースルーチング , DNS 偽装 , といっ
た不正アクセスの攻撃を防ぐ .
X のフォワーディング機能– X クライアントを FW 越えされることに利用可 .
ポートフォワーディング機能– proxy( 中継サーバ ) を作成して通信 . – ftp や pop などのセキュアでない通信と組み合わせて利用
2000/11/15 [email protected]/24
SSH のバージョンSSH のバージョン
フィンランドの Tatu Ylonen が開発 現在
– SSH Communication Security 社 (SSH 社 )がプログラムの開発
– F-Secure Corporation が製品化– 日本での販売は(株)山田洋行
SSH のプロトコルの標準化– The Internet Engineering Task Force (IETF)
2000/11/15 [email protected]/24
フリーの SSHフリーの SSH
OpenSSH– OpenBSD のプロジェクトとして開発– SSH 1.2.12 をベースとして開発– 1999 年後半に公開
LSH– GNU ライセンス扱い
OSSH– ライセンス記述が見当たらない .– SSH 1.2.12 をベースとして開発– 1999 年後半に公開
2000/11/15 [email protected]/24
SSH プログラムのバージョンSSH プログラムのバージョン
最新バージョン プロトコルSSH 2 .x
2.3.0 Version 2 (+1)
SSH 1.2 .x
1.2.30 Version 1
OpenSSH 2.2.0 (2000/9/7) Version 2 & 1
LSH 1.0.7 (2000/3/15) Version 2
OSSH 1.5.6 (2000/7/5) Version 1
2000/11/15 [email protected]/24
各プログラムの機能の比較各プログラムの機能の比較
SSH2
SSH 1
OpenSSH LSH OSSH
X forward yes yes yes no ?
Port forward -L, -R -L, -R -L -L, -R ?
scp yes yes no ? yes
sftp yes no no ? no
2000/11/15 [email protected]/24
PC クライアントPC クライアント
SSH2 TTSSH Win32SSH SSH-Mac NiftyTelnet
Platform Win Win Win Mac Mac
protocol ver. 2 ver. 1 ver. 1 1 & 2 ver. 1User interface GUI,
ssh2GUI ssh1 GUI GUI
日本語 yes yes no no Available
X forward Yes yes yes ? ?
Port forward L, R L, R L, R ? ?ファイル転送
scp2 no scp1 GUI GUI
2000/11/15 [email protected]/24
Host-key( 公開鍵 ) を送る
サーバホスト
クライアントホスト
Session-keyを作成してHost-key で暗号化
ログイン要求
Private-key により Session-key を復号化
サーバを認証
サーバホストの認証 ( SSH1 )サーバホストの認証 ( SSH1 )
2000/11/15 [email protected]/24
ユーザ認証ユーザ認証
パスワード認証– パスワードは , 暗号化して通信
公開鍵暗号システムによる認証 rhosts + 公開鍵暗号システム で認証
– セキュリティが弱くなりかねない rhosts 認証
– セキュリティが弱い
2000/11/15 [email protected]/24
公開鍵暗号システムによるユーザ認証公開鍵暗号システムによるユーザ認証
使用のための準備– SSH クライアントホストで 1 組の公開鍵と秘密鍵を作成
– 公開鍵をリモートホスト (SSH サーバ ) に送る .
2000/11/15 [email protected]/24
公開鍵暗号システム RSA によるユーザ認証公開鍵暗号システム RSA によるユーザ認証
乱数をユーザの公開鍵で暗号化
サーバホスト
クライアントホスト
暗号文を秘密鍵で復号化 ,MD5 チェックサムを送る
公開鍵を送る
MD5 チェックサムを確認してユーザを認証
2000/11/15 [email protected]/24
X11 フォワーディングX11 フォワーディング
2000/11/15 [email protected]/24
Windows での使い方Windows での使い方
TeraTerm(Pro) + TTSSH 起動
– Windows のメニューバー → 「スタート」→「プログラム (P) 」→「 Tera Term Pro 」 (フォルダ ) →「 Tera Term Pro 」 (プログラム ) → ttermpro を起動
X11フォワーディング– Windows で X サーバが起動されていること– TeraTerm を 起 動 → メ ニ ュ ー バ ー か ら 「 Setup 」
→ 「 SSH Forwarding 」 → 「 Display remote X application on local.. 」をチェック
2000/11/15 [email protected]/24
UNIX での使い方 - ログインUNIX での使い方 - ログイン
ログインlune % ssh soleil
公開鍵認証を使う場合には , 前準備が必要lune % ssh-keygen
– パスフレーズは空白にしない . ( 危険 !)– private-key を登録する .– public-key を SSH サーバに転送する .
2000/11/15 [email protected]/24
UNIX での使い方 - ファイル転送UNIX での使い方 - ファイル転送
scp の例lune % scp -p file1 soleil:~lune % scp -p directory soleil:~
– 総称文字lune % scp -p * soleil:~
– 軽い暗号システムの使用lune % scp -p -c blowfish file1 soleil:~
sftplune % sftp soleil
2000/11/15 [email protected]/24
UNIX での使い方 - ファイル転送UNIX での使い方 - ファイル転送
ポートフォワーディングの利用– ポートの設定
lune% ssh -L 12345:soleil:21 soleil– 別のウィンドウから
lune% ftp localhost 12345Connected to localhost.220 soleil FTP server …...Name (localhost:yashiro): 331 Password required for yashiro.Password: my-PW230 User yashiro logged inftp> passive
2000/11/15 [email protected]/24
UNIX へのインストレーションUNIX へのインストレーション
Configure% ./configure --with-libwrap=/usr/ lib
Make% make# make install
Configuration– TCP wrappers の hosts.allow
sshd: LOCAL, .kek.jp sshdfwd-X11: LOCAL sshdfwd-12345: LOCAL, hostname
2000/11/15 [email protected]/24
パスワード認証 vs 公開鍵認証パスワード認証 vs 公開鍵認証
パスワード認証 公開鍵認証
パスワードが漏れたら 致命的 致命的
パスワードの保管 暗号化 非保存パスワード検査 可能 不可能
複数のリモートホストのパスワード
異なる 同一
認証の主体ホスト サーバ クライアント
2000/11/15 [email protected]/24
F-Secure vs OpenSSHF-Secure vs OpenSSH
ファイル転送
PC クライアント
公開鍵認証
インストレーション
価格
Sftp を追加Sftp, scp
SSH 社TTSSH, Nifty?
SSH 社TTSSH, Nifty
DSADSA, RSA
めんどう容易
フリー8 万円 /licence
OpenSSHSSH2