この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
セキュア シェル(SSH)サーバを使用すると、SSH クライアントはセキュアな暗号化された接続を確立できます。SSH は強化暗号化を使用して認証を行います。SSH サーバは、市販の一般的な SSH クライアントとの相互運用が可能です。
SSH では、TACACS+ ユーザ認証およびローカルに保存されたユーザ名とパスワードがサポートされます。
SSH クライアントは、SSH プロトコルで稼働しデバイス認証および暗号化を提供するアプリケーションです。SSH クライアントをインストールすると、SSH サーバを実行する任意のデバイスとの間でセキュアな暗号化された接続を確立できるようになります。この接続を通して、暗号化されたアウトバウンド接続が提供されます。SSH クライアントは、認証および暗号化により、非セキュアなネットワーク上でセキュアな通信ができます。
SSH クライアントは、市販の一般的な SSH サーバと連動します。
SSH では、セキュアな通信を行うためにサーバ キーが必要です。SSH サーバ キーは、次の SSH オプションに使用できます。
Rivest, Shamir, and Adelman(RSA)公開キー暗号化を使用した SSH バージョン 2
Digital System Algrorithm(DSA)を使用した SSH バージョン 2
SSH サービスをイネーブルにする前に、正しいバージョンの SSH サーバ キー ペアを取得しておいてください。使用する SSH クライアントのバージョンに応じた SSH サーバ キー ペアを生成します。SSH サービスは、SSH バージョン 2 で使用する次の 2 種類のキー ペアを受け入れます。
dsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する DSA キーペアが生成されます。
rsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する RSA キーペアが生成されます。
デフォルトでは、1024 ビットの RSA キーが生成されます。
SSH は、次の公開キー形式をサポートします。
注意 |
SSH キーをすべて削除すると、SSH サービスを開始できません。 |
パラメータ |
デフォルト |
---|---|
SSH サーバ |
イネーブル |
SSH サーバ キー |
1024 ビットで生成された RSA キー |
RSA キー生成ビット数 |
1024 |
セキュリティ要件に応じた SSH サーバ キーを生成するには、次の手順を実行します。
デフォルトの SSH サーバ キーは、1024 ビットで生成される RSA キーです。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configue terminal switch(config)# no feature ssh XML interface to system may become unavailable since ssh is disabled switch(config)# ssh key dsa force generating dsa key(1024 bits)..... . generated dsa key n1000v(config)# feature ssh n1000v(config)# show ssh key ************************************** rsa Keys generated:Sun Jul 27 15:18:46 2008 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAyKcb7Nv9Ki1OOId9/tdHHa/ngQujlvK5mXyL/n+DeOXK fVhHbX2a+V0cm7CCLUkBh+BvZRmpmOVTmU/5awfVhVxMKXMiPOPBc+A6/n3FVroyRwupMki6mWoM6Uwa GID5gsVPqFjFNSgMWtbhjo97XVKhgjFW+wOVt8QoAcrEtnwEfsnQk1EIr/0XIP1mqTsrqTsmjZ2vLk+f FzTGYAxMvYZI+BrN47aoH2ywS7CpnODjCDXJuDYSPbc3PA8t0ghU/60m9R+s6AZPuljVQbGfxPrahEu4 GVc6sMJNU1JxmqDJkodhMArObB4Umzj7E3Rdby/ZWx/clTYiXQR1X1VfhQ== bitcount:2048 fingerprint: fd:ca:48:73:b9:ee:e7:86:9e:1e:40:46:f1:50:1d:44 ************************************** dsa Keys generated:Sun Jul 27 15:20:12 2008 ssh-dss AAAAB3NzaC1kc3MAAACBALpdxLjXNS/jcCNY+F1QZV9HegxBEb0DMUmq9bSq2N+KAcvHllEh GnaiHhqarOlcEKqhLbIbuqtKTCvfa+Y1hBIAhWVjg1UR3/M22jqxnfhnxL5YRc1Q7fcesFax0myayAIU nXrkO5iwv9XHTu+EInRc4kJ0XrG9SxtLmDe/fi2ZAAAAFQDbRabAjZa6GfDpwjXw5smRhrElJwAAAIEA r50yi3hHawNnb5qgYLXhN+KA8XJF753eCWHtMw7NR8fz6fjQ1R2J97UjjGuQ8DvwpGeNQ5S+AuIo0rGq svdg7TTecBcbgBOnR7Fs2+W5HiSVEGbvj1xaeK8fkNE6kaJumBB343b8Rgj0G97MP/os1GfkEqmX9glB 0IOM2mgHHyoAAACAfRir27hHy+fw8CxPlsK0R6cFhxYyd/qYYogXFKYIOPxpLoYrjqODeOFThU7TJuBz aS97eXiruzbffHwzUGfXgmQT5o9IMZRTClWPA/5Ju4O9YABYHccUghf0W+QtgGOT6FOSvBh8uOV0kcHC GMJAP8omphauZJlc+wgFxhnkyh4= bitcount:1024 fingerprint: 44:91:32:1f:7a:d1:83:3c:f3:5e:db:53:0a:2d:ce:69 **************************************
SSH 公開キーを設定すると、パスワードを要求されることなく、SSH クライアントを使用してログインできます。SSH 公開キーは、次の 3 種類のいずれかの形式で指定できます。
ユーザ アカウントに OpenSSH 形式の SSH 公開キーを指定するには、次の手順を実行します。
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# username user1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAyK cb7Nv9Ki1OOId9/tdHHa/ngQujlvK5mXyL/n+DeOXKfVhHbX2a+V0cm7CCLUkBh+BvZRmpmOVTmU/5aw fVhVxMKXMiPOPBc+A6/n3FVroyRwupMki6mWoM6UwaGID5gsVPqFjFNSgMWtbhjo97XVKhgjFW+wOVt8 QoAcrEtnwEfsnQk1EIr/0XIP1mqTsrqTsmjZ2vLk+fFzTGYAxMvYZI+BrN47aoH2ywS7CpnODjCDXJuD YSPbc3PA8t0ghU/60m9R+s6AZPuljVQbGfxPrahEu4GVc6sMJNU1JxmqDJkodhMArObB4Umzj7E3Rdby /ZWx/clTYiXQR1X1VfhQ== switch(config)# exit switch# show user-account user:admin this user account has no expiry date roles:network-admin user:user1 this user account has no expiry date roles:network-operator ssh public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAyKcb7Nv9Ki1OOId9/tdH Ha/ngQujlvK5mXyL/n+DeOXKfVhHbX2a+V0cm7CCLUkBh+BvZRmpmOVTmU/5awfVhVxMKXMiPOPBc+A6 /n3FVroyRwupMki6mWoM6UwaGID5gsVPqFjFNSgMWtbhjo97XVKhgjFW+wOVt8QoAcrEtnwEfsnQk1EI r/0XIP1mqTsrqTsmjZ2vLk+fFzTGYAxMvYZI+BrN47aoH2ywS7CpnODjCDXJuDYSPbc3PA8t0ghU/60m 9R+s6AZPuljVQbGfxPrahEu4GVc6sMJNU1JxmqDJkodhMArObB4Umzj7E3Rdby/ZWx/clTYiXQR1X1Vf hQ== switch# copy running-config startup-config
ユーザ アカウントに IETF SECSH または PEM 形式の SSH 公開キーを指定するには、次の手順を実行します。
この手順を開始する前に、次のことを確認してください。
switch# copy tftp://10.78.1.10/secsh_file.pub bootflash:secsh_file.pub vrf management Trying to connect to tftp server...... Connection to server Established. | TFTP get operation was successful switch# configure terminal switch(config)# username User1 sshkey file bootflash:secsh_file.pub switch(config)# exit switch# show user-account user:admin this user account has no expiry date roles:network-admin user:user2 this user account has no expiry date roles:network-operator ssh public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAyKcb7Nv9Ki1OOId9/tdHHa/ ngQujlvK5mXyL/n+DeOXKfVhHbX2a+V0cm7CCLUkBh+BvZRmpmOVTmU/5awfVhVxMKXMiPOPBc+A6/n3FVroyRwupMki6 mWoM6UwaGID5gsVPqFjFNSgMWtbhjo97XVKhgjFW+wOVt8QoAcrEtnwEfsnQk1EIr/0XIP1mqTsrqTsmjZ2vLk+ fFzTGYAxMvYZI+BrN47aoH2ywS7CpnODjCDXJuDYSPbc3PA8t0ghU/60m9R+s6AZPuljVQbGfxPrahEu4GVc6sMJN U1JxmqDJkodhMArObB4Umzj7E3Rdby/ZWx/clTYiXQR1X1VfhQ== switch# copy running-config startup-config
IP を使用して SSH セッションを開始し、リモート装置と接続するには、次の手順を実行します。
この手順を開始する前に、次のことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# ssh [root@] {ip address | hostname } [vrf vrf-name] | IP を使用してリモート装置との SSH IP セッションを作成します。デフォルトの仮想ルーティングおよび転送(VRF)インスタンスはデフォルト VRF です。 |
switch# ssh root@172.28.30.77 root@172.28.30.77's password: Last login: Sat Jul 26 11:07:23 2008 from 171.70.209.64
SCP または SFTP を使用してサーバからファイルをダウンロードした際、またはリモート ホストへの SSH セッションを開始した際に追加された信頼できる SSH サーバのリストをアカウントからクリアするには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# clear ssh hosts | SSH ホスト セッションをクリアします。 |
switch# clear ssh hosts
SSH サーバをディセーブルにしてスイッチへの SSH アクセスを禁止するには、この手順を使用します。デフォルトでは、SSH サーバはイネーブルになっています。
SSH をディセーブルにした後で再度イネーブルにするには、初めに SSH サーバ キーを生成する必要があります。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# no feature ssh XML interface to system may become unavailable since ssh is disabled switch(config)# show ssh server ssh is not enabled switch(config)# copy running-config startup-config
SSH サーバをディセーブルにしたあと、SSH サーバ キーを削除するには、次の手順を実行します。
SSH をディセーブルにした後で再度イネーブルにするには、初めに SSH サーバ キーを生成する必要があります。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# no feature ssh switch(config)# no ssh key rsa switch(config)# show ssh key ************************************** rsa Keys generated:Sun Jul 27 15:18:46 2008 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAyKcb7Nv9Ki1OOId9/tdHHa/ngQujlvK5mXyL/n+DeOXK fVhHbX2a+V0cm7CCLUkBh+BvZRmpmOVTmU/5awfVhVxMKXMiPOPBc+A6/n3FVroyRwupMki6mWoM6Uwa GID5gsVPqFjFNSgMWtbhjo97XVKhgjFW+wOVt8QoAcrEtnwEfsnQk1EIr/0XIP1mqTsrqTsmjZ2vLk+f FzTGYAxMvYZI+BrN47aoH2ywS7CpnODjCDXJuDYSPbc3PA8t0ghU/60m9R+s6AZPuljVQbGfxPrahEu4 GVc6sMJNU1JxmqDJkodhMArObB4Umzj7E3Rdby/ZWx/clTYiXQR1X1VfhQ== bitcount:2048 fingerprint: fd:ca:48:73:b9:ee:e7:86:9e:1e:40:46:f1:50:1d:44 ************************************** dsa Keys generated:Sun Jul 27 15:20:12 2008 ssh-dss AAAAB3NzaC1kc3MAAACBALpdxLjXNS/jcCNY+F1QZV9HegxBEb0DMUmq9bSq2N+KAcvHllEh GnaiHhqarOlcEKqhLbIbuqtKTCvfa+Y1hBIAhWVjg1UR3/M22jqxnfhnxL5YRc1Q7fcesFax0myayAIU nXrkO5iwv9XHTu+EInRc4kJ0XrG9SxtLmDe/fi2ZAAAAFQDbRabAjZa6GfDpwjXw5smRhrElJwAAAIEA r50yi3hHawNnb5qgYLXhN+KA8XJF753eCWHtMw7NR8fz6fjQ1R2J97UjjGuQ8DvwpGeNQ5S+AuIo0rGq svdg7TTecBcbgBOnR7Fs2+W5HiSVEGbvj1xaeK8fkNE6kaJumBB343b8Rgj0G97MP/os1GfkEqmX9glB 0IOM2mgHHyoAAACAfRir27hHy+fw8CxPlsK0R6cFhxYyd/qYYogXFKYIOPxpLoYrjqODeOFThU7TJuBz aS97eXiruzbffHwzUGfXgmQT5o9IMZRTClWPA/5Ju4O9YABYHccUghf0W+QtgGOT6FOSvBh8uOV0kcHC GMJAP8omphauZJlc+wgFxhnkyh4= bitcount:1024 fingerprint: 44:91:32:1f:7a:d1:83:3c:f3:5e:db:53:0a:2d:ce:69 ************************************** mcs-srvr43(config)# no ssh key rsa mcs-srvr43(config)# show ssh key ************************************** could not retrieve rsa key information ************************************** dsa Keys generated:Sun Jul 27 15:20:12 2008 ssh-dss AAAAB3NzaC1kc3MAAACBALpdxLjXNS/jcCNY+F1QZV9HegxBEb0DMUmq9bSq2N+KAcvHllEh GnaiHhqarOlcEKqhLbIbuqtKTCvfa+Y1hBIAhWVjg1UR3/M22jqxnfhnxL5YRc1Q7fcesFax0myayAIU nXrkO5iwv9XHTu+EInRc4kJ0XrG9SxtLmDe/fi2ZAAAAFQDbRabAjZa6GfDpwjXw5smRhrElJwAAAIEA r50yi3hHawNnb5qgYLXhN+KA8XJF753eCWHtMw7NR8fz6fjQ1R2J97UjjGuQ8DvwpGeNQ5S+AuIo0rGq svdg7TTecBcbgBOnR7Fs2+W5HiSVEGbvj1xaeK8fkNE6kaJumBB343b8Rgj0G97MP/os1GfkEqmX9glB 0IOM2mgHHyoAAACAfRir27hHy+fw8CxPlsK0R6cFhxYyd/qYYogXFKYIOPxpLoYrjqODeOFThU7TJuBz aS97eXiruzbffHwzUGfXgmQT5o9IMZRTClWPA/5Ju4O9YABYHccUghf0W+QtgGOT6FOSvBh8uOV0kcHC GMJAP8omphauZJlc+wgFxhnkyh4= bitcount:1024 fingerprint: 44:91:32:1f:7a:d1:83:3c:f3:5e:db:53:0a:2d:ce:69 ************************************** mcs-srvr43(config)# no ssh key dsa mcs-srvr43(config)# show ssh key ************************************** could not retrieve rsa key information ************************************** could not retrieve dsa key information ************************************** no ssh keys present. you will have to generate them **************************************
デバイスから SSH セッションをクリアするには、次の手順を実行します。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# show users | ユーザ セッション情報を表示します。 |
ステップ 2 | switch# clear line vty-line | ユーザ SSH セッションをクリアします。 |
ステップ 3 | switch# show users | (任意) ユーザ セッション情報を表示します。 |
switch# show users NAME LINE TIME IDLE PID COMMENT admin tty1 Jul 25 19:13 old 2867 admin pts/0 Jul 28 09:49 00:02 28556 (10.21.148.122) admin pts/1 Jul 28 09:46 . 28437 (::ffff:10.21.148.122)* switch# clear line 0 switch# show users NAME LINE TIME IDLE PID COMMENT admin tty1 Jul 25 19:13 old 2867 admin pts/1 Jul 28 09:46 . 28437 (::ffff:10.21.148.122)* mcs-srvr43(config)#
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show ssh key [dsa | rsa] |
SSH サーバ キー ペアの情報を表示します。 |
show running-config security [all] |
実行コンフィギュレーション内の SSH とユーザ アカウントの設定を表示します。キーワード all を指定すると、SSH およびユーザ アカウントのデフォルト値が表示されます。 |
show ssh server |
SSH サーバの設定を表示します。 |
この例では、OpenSSH キーを使用して SSH を設定する手順を示します。
SSH サーバをディセーブルにします。
switch# configure terminal switch(config)# no feature ssh
SSH サーバ キーを生成します。
switch(config)# ssh key rsa generating rsa key(1024 bits)..... .generated rsa key
SSH サーバをイネーブルにします。
switch(config)# feature ssh
SSH サーバ キーを表示します。
switch(config)# show ssh key rsa Keys generated:Sat Sep 29 00:10:39 2007 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAvWhEBsF55oaPHNDBnpXOTw6+/OdHoLJZKr+MZm99n2U0 ChzZG4svRWmHuJY4PeDWl0e5yE3g3EO3pjDDmt923siNiv5aSga60K36lr39HmXL6VgpRVn1XQFiBwn4 na+H1d3Q0hDt+uWEA0tka2uOtXlDhliEmn4HVXOjGhFhoNE= bitcount:1024 fingerprint: 51:6d:de:1c:c3:29:50:88:df:cc:95:f0:15:5d:9a:df ************************************** could not retrieve dsa key information **************************************
OpenSSH 形式の SSH 公開キーを指定します。
switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAy19oF6QaZl9G+3f1XswK3OiW4H7YyUyuA50rv7gsEPjhOBYmsi6PAVKui1nIf/ DQhum+lJNqJP/eLowb7ubO+lVKRXFY/G+lJNIQW3g9igG30c6k6+XVn+NjnI1B7ihvpVh7dLddMOXwOnXHYshXmSiH 3UD/vKyziEh5S4Tplx8=
設定を保存します。
switch(config)# copy running-config startup-config
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
SSH |
5.2(1)SM1(5.1) |
この機能が導入されました。 |