SSH認証

R81.10.00から、SSHでログインする際にパスワードベースの認証の代わりにRSA鍵認証が使えるようになりました。

警告 - この設定は、ファームウェアアップグレード時にはリセットされます。

手順:

  1. RSA鍵を作成し、その公開鍵をOpenSSH形式でエクスポートする。

    • Check Point Gaia OS(または Gaia Embedded OS)では、エキスパートモードでこのコマンドを使用します:

      1. 該当するコマンドを実行します:

        • R81.10.10 Build 3001より前のバージョンの場合

          ssh-keygen -t rsa -b 4096

        • バージョンR81.10.10 Build 3001以降の場合

          ssh-keygen -t ecdsa -b 521

        注:

      2. このプロンプトで、RSA秘密鍵に必要なパスとファイル名を入力します:

        Enter file in which to save the key (/home/admin/.ssh/id_rsa):

        注 - このファイルには複数のキーを追加できます。

        これらのキーは、Quantum Spark アプライアンスに設定されているすべての管理者に有効です。

      3. このプロンプトでEnterキーを押します:

        Enter passphrase (empty for no passphrase):

      4. このプロンプトでEnterキーを押します:

        Enter same passphrase again:

      Gaia OSサーバからの例:

      - この例では、"/home/admin/MyKey"ファイルがRSA秘密鍵、"/home/admin/MyKey.pub"ファイルがRSA公開鍵です。

      		 
      [Expert@HostName:0]# ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_rsa): /home/admin/MyKey
Enter passphrase (empty for no passphrase): Press the Enter Key
Enter same passphrase again: Press the Enter Key
Your identification has been saved in /home/admin/MyKey.
Your public key has been saved in /home/admin/MyKey.pub.
The key fingerprint is:
SHA256:iru...   ...   ...   ...   ...   ...bKrY admin@HostName
The key's randomart image is:
+---[RSA 4096]----+
|B=*. ..          |
|.B =o...         |
|  *o=.  .        |
|   O.. .         |
|..* = . S        |
|...@ = *         |
| E= O * .        |
|   = * .         |
|  ..B..          |
+----[SHA256]-----+
[Expert@HostName:0]#

    • Linux OS上では、"openssl"コマンド、または他の適用可能なアプリケーションを使うことができる。

      パスフレーズは設定しないでください。

      R81.10.10 Build 3001より前のバージョンの場合:

      openssl genrsa -out /var/log/MyKey.private 4096

      openssl rsa -in /var/log/MyKey.private -out /var/log/MyKey.public -outform PEM -pubout

      バージョンR81.10.10 Build 3001以上の場合:

      openssl ecparam -name secp521r1 -genkey -noout -out /var/log/MyKey.private

      openssl ec -in /var/log/MyKey.private -pubout > /var/log/MyKey.public

    • Windows OSでは、"PuTTYgen"ツールを使用することができます。

      パスフレーズは設定しないでください。

      PuTTY 組み込みヘルプの "Using public keys for SSH authentication" の章を参照してください。

  2. 公開鍵を含むファイルをLinuxベースのサーバからコンピュータへ転送します:

    RSA秘密鍵

    RSA公開鍵

    Gaia OSの場合

    /home/admin/MyKey

    /home/admin/MyKey.pub

    Linux OS用

    /var/log/MyKey.private

    /var/log/MyKey.public

  3. Quantum Sparkアプライアンスでコマンド ラインにアクセスします。

  4. ログインします。

  5. デフォルトのシェルがGaia Clish閉じた Gaia CLIのデフォルトのシェルであれば、エキスパートモードに移行します:

    expert

  6. 必要なディレクトリを作成します。

    mkdir -v /storage/.ssh

  7. このディレクトリに必要な権限を設定します。

    chmod 700 /storage/.ssh

  8. 公開キー(上記のGaia OSの例では"MyKey.pub")を含むファイルを、コンピュータからQuantum Spark Applianceのこのディレクトリに転送します:

    /storage/.ssh

  9. 公開キーのファイル名を "authorized_keys" に変更します:

    mv -v /storage/MyKey.pub /storage/.ssh/authorized_keys

  10. "/pfrm2.0/etc/sshd_config" ファイルを編集します:

    1. 現在のファイルをバックアップします。

      cp -v /pfrm2.0/etc/sshd_config{,_BKP}

    2. 現在のファイルを編集します:

      vi /pfrm2.0/etc/sshd_config

    3. この行を変更します:

      AuthorizedKeysFile       none

      をこの行に追加します:

      AuthorizedKeysFile       /storage/.ssh/authorized_keys

    4. 変更内容をファイルに保存し、エディタを終了します。

  11. Quantum Sparkアプライアンスを再起動します。

  12. SSHクライアントで、RSAまたはECDSA(バージョンによる)の秘密キーファイルを使用するようにSSHセッションを設定します。

    SSHクライアントのドキュメントを参照してください。

    - PuTTYの場合、秘密キーファイルをOpenSSHフォーマットからPPKフォーマットに変換する必要があります:

    1. PuTTYgenツールを起動します。

    2. 上部から変換メニューをクリックします。

    3. インポート キーをクリックします。

    4. 秘密キーファイルを選択し、開くをクリックします。

    5. 右下の秘密キーをクリックします。

      パスフレーズは設定しないでください。

  13. (秘密キーファイルを使用する)SSHクライアントでQuantum Sparkアプライアンスに接続します。

    プロンプトが表示されたら、該当するユーザ名を入力します。

    パスワードのプロンプトは表示されないはずです。