Cisco Nexus 5500 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 7.x
- Updated:
- 2017年6月16日
章のタイトル: SSH および Telnet の設定
SSH および Telnet の設定
この章の内容は、次のとおりです。
SSH および Telnet の設定
SSH および Telnet の概要
SSH サーバ
セキュア シェル(SSH)プロトコル サーバ機能を使用すると、SSH クライアントは Cisco Nexus デバイスとの間で、セキュアな暗号化された接続を確立できます。SSH は強化暗号化を使用して認証を行います。Cisco Nexus デバイス スイッチの SSH サーバは、無償あるいは商用の SSH クライアントと連係して動作します。
SSH がサポートするユーザ認証メカニズムには、RADIUS、TACACS+、およびローカルに格納されたユーザ名とパスワードを使用した認証があります。
SSH クライアント
SSH クライアント機能は、SSH プロトコルを介して実行されるアプリケーションで、認証と暗号化を行います。SSH クライアントを使用すると、スイッチは、別の Cisco Nexus デバイススイッチとの間、または SSH サーバを稼働している他の任意のデバイスとの間でセキュアな暗号化された接続を確立できます。この接続は、暗号化されたアウトバウンド接続を実現します。認証と暗号化により、SSH クライアントは、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。
Cisco Nexus デバイスの SSH クライアントは、無償あるいは商用の SSH サーバと連係して動作します。
SSH サーバ キー
SSH では、Cisco Nexus デバイスとのセキュアな通信を行うためにサーバ キーが必要です。SSH キーは、次の SSH オプションに使用できます。
-
Rivest, Shamir, and Adelman(RSA)公開キー暗号化を使用した SSH バージョン 2
-
Digital System Algrorithm(DSA)を使用した SSH バージョン 2
SSH サービスをイネーブルにする前に、適切なバージョンの SSH サーバ キー ペアを取得してください。使用中の SSH クライアント バージョンに応じて、SSH サーバ キー ペアを生成します。SSH サービスでは、SSH バージョン 2 に対応する 2 とおりのキー ペアを使用できます。
-
dsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する DSA キーペアが生成されます。
-
rsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する RSA キーペアが生成されます。
デフォルトでは、Cisco Nexus デバイスは 1024 ビットの RSA キーを生成します。
SSH は、次の公開キー形式をサポートします。
 注意 | SSH キーをすべて削除すると、SSH サービスを開始できません。 |
Telnet サーバ
Telnet プロトコルは、ホストとの TCP/IP 接続を確立します。Telnet を使用すると、あるサイトのユーザが別サイトのログイン サーバとの TCP 接続を確立して、システム間でキーストロークをやり取りできます。Telnet は、リモート システムのアドレスとして、IP アドレスまたはドメイン名を受け取ります。
Cisco Nexus デバイスでは、デフォルトで Telnet サーバがイネーブルになっています。
SSH の注意事項および制約事項
SSH には、次の注意事項および制限事項があります。
SSH の設定
SSH サーバ キーの生成
セキュリティ要件に基づいて SSH サーバ キーを生成できます。デフォルトの SSH サーバ キーは、1024 ビットで生成される RSA キーです。
次に、SSH サーバ キーを生成する例を示します。
switch# configure terminal switch(config)# ssh key rsa 2048 switch(config)# exit switch# show ssh key switch# copy running-config startup-config
ユーザ アカウント用 SSH 公開キーの指定
SSH 公開キーを設定すると、パスワードを要求されることなく、SSH クライアントを使用してログインできます。SSH 公開キーは、次の 3 種類のいずれかの形式で指定できます。
Open SSH 形式による SSH 公開キーの指定
ユーザ アカウント用に SSH 形式で SSH 公開キーを指定できます。
次に、Open SSH 形式で SSH 公開キーを指定する例を示します。
switch# configure terminal switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAri3mQy4W1AV9Y2t2hrEWgbUEYz CfTPO5B8LRkedn56BEy2N9ZcdpqE6aqJLZwfZcTFEzaAAZp9AS86dgBAjsKGs7UxnhGySr8ZELv+DQBsDQH6rZt0KR+2Da8hJD4Z XIeccWk0gS1DQUNZ300xstQsYZUtqnx1bvm5Ninn0McNinn0Mc= switch(config)# exit switch# show user-account switch# copy running-config startup-config
 (注) | 上記の例の username コマンドは、読みやすくするために改行されていますが、単一行です。 |
IETF SECSH 形式による SSH 公開キーの指定
ユーザ アカウント用に IETF SECSH 形式で SSH 公開キーを指定できます。
次に、IETF SECSH 形式で SSH 公開キーを指定する例を示します。
switch#copy tftp://10.10.1.1/secsh_file.pub bootflash:secsh_file.pub switch# configure terminal switch(config)# username User1 sshkey file bootflash:secsh_file.pub switch(config)# exit switch# show user-account switch# copy running-config startup-config
PEM フォーマット化された公開キー証明書形式による SSH 公開キーの指定
ユーザ アカウント用に PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定できます。
次に、PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定する例を示します。
switch# copy tftp://10.10.1.1/cert.pem bootflash:cert.pem switch# configure terminal switch# show user-account switch# copy running-config startup-config
リモート デバイスとの SSH セッションの開始
Cisco Nexus デバイスからリモート デバイスに接続する SSH セッションを開始できます。
| コマンドまたはアクション | 目的 |
|---|
SSH ホストのクリア
SCP または SFTP を使用してサーバからファイルをダウンロードする場合は、サーバと信頼性のある SSH 関係を確立します。
| コマンドまたはアクション | 目的 |
|---|
SSH サーバのディセーブル化
SSH サーバは、デフォルトでCisco Nexus デバイスでイネーブルになっています。
SSH サーバ キーの削除
SSH サーバをディセーブルにした後、SSH サーバ キーを削除できます。
(注) | SSH を再度イネーブルにするには、まず、SSH サーバ キーを生成する必要があります。 |
SSH セッションのクリア
Cisco Nexus デバイスから SSH セッションをクリアできます。
| コマンドまたはアクション | 目的 |
|---|
SSH の設定例
次に、SSH を設定する例を示します。
Telnet の設定
Telnet サーバのディセーブル化
デフォルトでは、Telnet サーバはイネーブルに設定されています。Cisco Nexus デバイスの Telnet サーバをディセーブルにできます。
| コマンドまたはアクション | 目的 |
|---|
Telnet サーバの再イネーブル化
Cisco Nexus デバイスの Telnet サーバがディセーブルにされた場合は、再度イネーブルにできます。
| コマンドまたはアクション | 目的 |
|---|
リモート デバイスとの Telnet セッションの開始
Telnet セッションを開始してリモート デバイスに接続する前に、次の作業を行う必要があります。
| コマンドまたはアクション | 目的 |
|---|
次に、Telnet セッションを開始してリモート デバイスに接続する例を示します。
switch# telnet 10.10.1.1 Trying 10.10.1.1... Connected to 10.10.1.1. Escape character is '^]'. switch login:
Telnet セッションのクリア
Cisco Nexus デバイスから Telnet セッションをクリアできます。
| コマンドまたはアクション | 目的 |
|---|
SSH および Telnet の設定の確認
SSH の設定情報を表示するには、次のいずれかの作業を行います。
SSH のデフォルト設定
次の表に、SSH パラメータのデフォルト設定を示します。
|
パラメータ |
デフォルト |
|---|---|
|
SSH サーバ |
イネーブル |
|
SSH サーバ キー |
1024 ビットで生成された RSA キー |
|
RSA キー生成ビット数 |
1024 |
|
Telnet サーバ |
イネーブル |
フィードバック