KEK の計算機環境と SSH

2000/11/15 [email protected]/17

KEK の計算機環境と SSHKEK の計算機環境と SSH

富士通 SS 研究会2000/11/15

KEK 高エネルギー加速器研究機構計算科学センター

八代茂夫


KEK の主要な計算機システムKEK の主要な計算機システム

計算機システムプロジェクト性能

共通計算機 PS 実験、その他３１２３ SPECint95

KEKB 計算機 KEKB 実験１２８０３ SPECint95

原子核計算機原子核実験８３５ SPECint95

スーパー計算機理論物理、数値物理１２００　 Gflo ｐｓ


なぜ SSH を導入したのかなぜ SSH を導入したのか

国内外の共同研究者に計算機環境を提供する必要性– リモートログイン , ファイル転送

パスワード通信を暗号化– slogin, ssh <-- telnet, rlogin, rsh– sftp <-- ftp


SSH の機能SSH の機能

すべてのデータを暗号化– 通信の内容を保護

暗号システムを使ったホスト認証– IP アドレス偽装 , IP ソースルーチング , DNS 偽装 , といっ

た不正アクセスの攻撃を防ぐ .

X のフォワーディング機能– X クライアントを FW 越えされることに利用可 .

ポートフォワーディング機能– proxy( 中継サーバ ) を作成して通信 . – ftp や pop などのセキュアでない通信と組み合わせて利用


SSH のバージョンSSH のバージョン

フィンランドの Tatu Ylonen が開発現在

– SSH Communication Security 社 (SSH 社 )がプログラムの開発

– F-Secure Corporation が製品化– 日本での販売は（株）山田洋行

SSH のプロトコルの標準化– The Internet Engineering Task Force (IETF)


フリーの SSHフリーの SSH

OpenSSH– OpenBSD のプロジェクトとして開発– SSH 1.2.12 をベースとして開発– 1999 年後半に公開

LSH– GNU ライセンス扱い

OSSH– ライセンス記述が見当たらない .– SSH 1.2.12 をベースとして開発– 1999 年後半に公開


SSH プログラムのバージョンSSH プログラムのバージョン

最新バージョンプロトコルＳＳＨ　２ .x

2.3.0 Version 2 (+1)

ＳＳＨ　 1.２ .x

1.2.30 Version 1

OpenSSH 2.2.0 (2000/9/7) Version 2 & 1

LSH 1.0.7 (2000/3/15) Version 2

OSSH 1.5.6 (2000/7/5) Version 1


各プログラムの機能の比較各プログラムの機能の比較

ＳＳＨ２

ＳＳＨ 1

OpenSSH LSH OSSH

X forward yes yes yes no ?

Port forward -L, -R -L, -R -L -L, -R ?

scp yes yes no ? yes

sftp yes no no ? no


PC クライアントPC クライアント

SSH2 TTSSH Win32SSH SSH-Mac NiftyTelnet

Platform Win Win Win Mac Mac

protocol ver. 2 ver. 1 ver. 1 1 & 2 ver. 1User interface GUI,　

ssh2GUI ssh1 GUI GUI

日本語 yes yes no no Available

X forward Yes yes yes ? ?

Port forward L, R L, R L, R ? ?ファイル転送

scp2 no scp1 GUI GUI


SSH の行なう認証SSH の行なう認証

サーバホストの認証– 公開鍵暗号システム

サーバホストによるユーザ認証


Host-key( 公開鍵 ) を送る

サーバホスト

クライアントホスト

Session-keyを作成してHost-key で暗号化

ログイン要求

Private-key により Session-key を復号化

サーバを認証

サーバホストの認証 ( SSH1 )サーバホストの認証 ( SSH1 )


ユーザ認証ユーザ認証

パスワード認証– パスワードは , 暗号化して通信

公開鍵暗号システムによる認証 rhosts + 公開鍵暗号システムで認証

– セキュリティが弱くなりかねない rhosts 認証

– セキュリティが弱い


公開鍵暗号システムによるユーザ認証公開鍵暗号システムによるユーザ認証

使用のための準備– SSH クライアントホストで 1 組の公開鍵と秘密鍵を作成

– 公開鍵をリモートホスト (SSH サーバ ) に送る .


公開鍵暗号システム RSA によるユーザ認証公開鍵暗号システム RSA によるユーザ認証

乱数をユーザの公開鍵で暗号化

サーバホスト

クライアントホスト

暗号文を秘密鍵で復号化 ,MD5 チェックサムを送る

公開鍵を送る

MD5 チェックサムを確認してユーザを認証


X11 フォワーディングX11 フォワーディング


TCP/IP ポートフォワーディングTCP/IP ポートフォワーディング

% ssh -L Y:HostB:K HostB


Windows での使い方Windows での使い方

TeraTerm(Pro) + TTSSH 起動

– Windows のメニューバー → 「スタート」→「プログラム (P) 」→「 Tera Term Pro 」 (フォルダ ) →「 Tera Term Pro 」 (プログラム ) → ttermpro を起動

X11フォワーディング– Windows で X サーバが起動されていること– TeraTerm を起動 → メニューバーから「 Setup 」

→ 「 SSH Forwarding 」 → 「 Display remote X application on local.. 」をチェック


UNIX での使い方 - ログインUNIX での使い方 - ログイン

ログインlune % ssh soleil

公開鍵認証を使う場合には , 前準備が必要lune % ssh-keygen

– パスフレーズは空白にしない . ( 危険 !)– private-key を登録する .– public-key を SSH サーバに転送する .


UNIX での使い方 - ファイル転送UNIX での使い方 - ファイル転送

scp の例lune % scp -p file1 soleil:~lune % scp -p directory soleil:~

– 総称文字lune % scp -p * soleil:~

– 軽い暗号システムの使用lune % scp -p -c blowfish file1 soleil:~

sftplune % sftp soleil


UNIX での使い方 - ファイル転送UNIX での使い方 - ファイル転送

ポートフォワーディングの利用– ポートの設定

lune% ssh -L 12345:soleil:21 soleil– 別のウィンドウから

lune% ftp localhost 12345Connected to localhost.220 soleil FTP server …...Name (localhost:yashiro): 331 Password required for yashiro.Password: my-PW230 User yashiro logged inftp> passive


UNIX へのインストレーションUNIX へのインストレーション

Configure% ./configure --with-libwrap=/usr/ lib

Make% make# make install

Configuration– TCP wrappers の hosts.allow

sshd: LOCAL, .kek.jp sshdfwd-X11: LOCAL sshdfwd-12345: LOCAL, hostname


SSH と telnetSSH と telnet

hostC hostA

telnet=平文通信 SSH=暗号通信

hostB


パスワード認証 vs 公開鍵認証パスワード認証 vs 公開鍵認証

パスワード認証公開鍵認証

パスワードが漏れたら致命的致命的

パスワードの保管暗号化非保存パスワード検査可能不可能

複数のリモートホストのパスワード

異なる同一

認証の主体ホストサーバクライアント


F-Secure vs OpenSSHF-Secure vs OpenSSH

ファイル転送

PC クライアント

公開鍵認証

インストレーション

価格

Sftp を追加Sftp, scp

SSH 社TTSSH, Nifty?

SSH 社TTSSH, Nifty

DSADSA, RSA

めんどう容易

フリー8 万円 /licence

OpenSSHSSH2

Documents

KEK の計算機環境と SSH