【無料ツールで作るセキュアな環境（47）】〜OpenSSH ７〜（執筆：office）

　前回、OpenSSHのクライアントによる接続準備として公開鍵認証の鍵の取り扱い方を説明した。今回はOpenSSHのクライアント利用方法についてさらに説明する。

　OpenSSHクライアントによるログインコマンドの具体例をまず示そう。
sshd.office.acというホストにofficeというユーザIDで、SSH1のプロトコルを用いてログインする場合には、
$ ssh -1 office@sshd.office.ac

となる。プロトコルとしてSSH2を使うなら最初の引数を -2 にすればよい。またローカル側（SSHクライアントを使用していうマシン）でのユーザIDとリモート側（SSHサーバが動いているログイン先のマシン）でのユーザIDが等しい場合にはユーザID（例では office@ の部分）は省略できる。

$ ssh -2 sshd.office.ac

一般的にはログインコマンドは

ssh -? [-v] [-C] [UserID@]hostname

という形になる。

　最初の引数にはプロトコル指定として数字の1か2が入る。オプションとして-vを指定した場合にはデバッグ用のメッセージが表示される。-Cオプションを指定した場合には通信内容が圧縮されて転送される。UserIDはもちろんリモート側でのUserIDで、ローカル側と同じ場合には省略できる。hostnameはホスト名でもIPアドレスでも指定可能だ。

　使っているクライアントマシンから該当サーバへ初めて接続したときには、
The authenticity of host 'sshd.office.ac (192.168.1.5)' cant be
established.
RSA1 fingerpintis e5:98:9b:4e:f4:06:3d:a2:69:11:84:23:6f:53:6a:cf.
Are you sure you want to continue connecting (yes/no)?

とリモートホストの公開鍵の指紋が表示される。yesを入力してログイン操作を続けると、
Warning: Parmanently added 'sshd.office.ac (192.168.1.5)'(RSA1) to the list of known hosts.

と表示される。これはリモートホストの公開鍵を記録したということである。

　SSHの通信においては、ユーザの認証以外にリモートホストについても認証を行い、接続しようとするリモートホストを騙る偽サーバへ接続させられる危険性を防いでいる。最初に公開鍵の指紋が表示されるが、この時も偽サーバに接続させられないよう、厳密にはこの指紋が該当ホストのものかを確かめる必要がある。リモートホストの公開鍵を記録してしまえば、次回ログイン時には自動的にホスト認証が行われるので、これらの表示や確認はなく、ホスト認証を意識することなく接続できる。リモートホストのホスト鍵が変更になった場合や、DNS spoofingやIP spoofingによって偽のサーバに接続させられそうになった場合には、接続を試みたときにWarningが表示される。

　次に、

office
office@ukky.net
http://www.office.ac/

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/vv/m-sc.htm