サポートされるSSH暗号、MAC、KexAlgorithmsの設定

重要:

  • Scalable Platform(ElasticXL、Maestro、およびシャーシ)では、該当するセキュリティグループのGaia gClishで該当するコマンドを実行する必要があります。

  • 機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

バックグラウンド

Gaiaオペレーティングシステムでは、SSHデーモンに対して異なる設定を行うことができます。

これらのSSH設定はGaia Clishで行うことができます:

設定

説明

SSH暗号

SSHはSSH接続で送信するデータのプライバシーのために暗号を使います。

SSHメッセージ認証コード

SSHはメッセージ認証コードを使って、SSH接続で送る各メッセージの完全性を維持します。これはSSHピア間の整合性を提供します。

SSHキー交換アルゴリズム

SSHはキー交換アルゴリズムを使用して、SSHピアと共有セッションキーを安全に交換します。

SSHクライアントのアライブ間隔

SSHv2では、これはタイムアウト間隔(秒単位)であり、SSHクライアントからデータが受信されない場合、sshdデーモンはクライアントからの応答を要求するために暗号化されたチャネルを通してメッセージを送信します。

これは、ClientAliveIntervalsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は無効になっています(デフォルト値は0)。

https://man7.org/linux/man-pages/man5/sshd_config.5.htmlを参照してください。

SSHパスワード認証

パスワード認証を許可するかどうかを指定します。

これは、PasswordAuthenticationsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は有効になっています(デフォルト値は "yes" )。

https://man7.org/linux/man-pages/man5/sshd_config.5.htmlを参照してください。

SSHによるRootログインの許可

rootユーザがSSH経由でログインできるかどうかを指定します。

これは、PermitRootLoginsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は有効になっています(デフォルト値は "yes" )。

https://man7.org/linux/man-pages/man5/sshd_config.5.htmlを参照してください。

SSH DNSの使用

sshdデーモンがリモートホスト名を検索し、リモート IP アドレスの解決されたホスト名 が同じ IP アドレスにマップバックされることを確認する必要があるかどうかを指定します。

これは、UseDNSsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は無効になっています(デフォルト値は "no" )。

https://man7.org/linux/man-pages/man5/sshd_config.5.htmlを参照してください。

set ssh server

      cipher <Cipher>{on | off}

      client-alive-interval 0-65535

      kex <Key Exchange Algorithm> {on | off}

      mac <Message Authentication Code> {on | off}

      password-authentication {yes | no}

      permit-root-login {yes | no | without-password | prohibit-password | forced-commands-only}

      use-dns {yes | no}

show ssh server

      cipher enabled

      cipher supported

      client-alive-interval

      kex enabled

      kex supported

      mac enabled

      mac supported

      password-authentication

      permit-root-login

      use-dns

  • サポートされているSSH暗号を表示するには:

    show ssh server cipher supported

    これらはサポートされているSSH暗号です:

    • 3des-cbc

    • aes128-cbc

    • aes128-ctr

    • aes128-gcm@openssh.com

    • aes192-cbc

    • aes192-ctr

    • aes256-cbc

    • aes256-ctr

    • aes256-gcm@openssh.com

    • chacha20-poly1305@openssh.com

    • rijndael-cbc@lysator.liu.se

  • 有効なSSH暗号を表示するには

    show ssh server cipher enabled

    デフォルトで有効になっているSSH暗号:

    • aes128-ctr

    • aes128-gcm@openssh.com

    • aes192-ctr

    • aes256-ctr

    • aes256-gcm@openssh.com

    • chacha20-poly1305@openssh.com

  • サポートされているSSH暗号を有効または無効にするには

    set ssh server cipher <Cipher> {on | off}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

  • サポートされているSSHキー交換アルゴリズムを表示するには

    show ssh server kex supported

    これらはサポートされているSSHキー交換アルゴリズムです:

    • curve25519-sha256

    • curve25519-sha256@libssh.org

    • diffie-hellman-group1-sha1

    • diffie-hellman-group14-sha1

    • diffie-hellman-group14-sha256

    • diffie-hellman-group16-sha512

    • diffie-hellman-group18-sha512

    • diffie-hellman-group-exchange-sha1

    • diffie-hellman-group-exchange-sha256

    • ecdh-sha2-nistp256

    • ecdh-sha2-nistp384

    • ecdh-sha2-nistp521

  • 有効なSSHキー交換アルゴリズムを表示するには

    show ssh server kex enabled

    これらはデフォルトで有効になっているSSHキー交換アルゴリズムです:

    • curve25519-sha256

    • curve25519-sha256@libssh.org

    • diffie-hellman-group14-sha1

    • diffie-hellman-group14-sha256

    • diffie-hellman-group16-sha512

    • diffie-hellman-group18-sha512

    • diffie-hellman-group-exchange-sha256

    • ecdh-sha2-nistp256

    • ecdh-sha2-nistp384

    • ecdh-sha2-nistp521

  • サポートされているSSHキー交換アルゴリズムを有効または無効にするには

    set ssh server kex <Key Exchange Algorithm> {on | off}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

  • サポートされているSSHメッセージ認証コードを表示するには:

    show ssh server mac supported

    これらはサポートされているSSHメッセージ認証コードである:

    • hmac-md5-96-etm@openssh.com

    • hmac-md5-etm@openssh.com

    • hmac-sha1

    • hmac-sha1-96-etm@openssh.com

    • hmac-sha1-etm@openssh.com

    • hmac-sha2-256

    • hmac-sha2-256-etm@openssh.com

    • hmac-sha2-512

    • hmac-sha2-512-etm@openssh.com

    • umac-64-etm@openssh.com

    • umac-64@openssh.com

    • umac-128-etm@openssh.com

    • umac-128@openssh.com

  • 有効になっているSSHメッセージ認証コードを表示するには

    show ssh server mac enabled

    デフォルトで有効になっているSSHメッセージ認証コード:

    • hmac-sha1

    • hmac-sha1-etm@openssh.com

    • hmac-sha2-256

    • hmac-sha2-256-etm@openssh.com

    • hmac-sha2-512

    • hmac-sha2-512-etm@openssh.com

    • umac-64-etm@openssh.com

    • umac-64@openssh.com

    • umac-128-etm@openssh.com

    • umac-128@openssh.com

  • サポートされているSSHメッセージ認証コードを有効または無効にするには

    set ssh server mac <Message Authentication Code> {on | off}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

  • 現在の間隔を表示するには

    show ssh server client-alive-interval

  • 必要な間隔を設定するには(秒単位):

    set ssh server client-alive-interval 0-65535

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

  • 現在の許可を表示するには

    show ssh server password-authentication

  • 必要な権限を設定するには

    set ssh server password-authentication {yes | no}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

  • 現在の許可を表示するには

    show ssh server permit-root-login

  • 必要な権限を設定するには

    set ssh server permit-root-login {yes | no | without-password | prohibit-password | forced-commands-only}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

  • 現在の許可を表示するには

    show ssh server use-dns

  • 必要な権限を設定するには

    set ssh server use-dns {yes | no}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。