ssh (System Services)

ユーザーがSSHを使用して、CLIセッションを介して非集約型Junos OSプラットフォームへのSSHトンネルを作成できるようにします。

Junos OSリリース22.2R1以降、セキュリティを強化するため、TCP転送機能はデフォルトで無効になっています。TCP転送機能を有効にするには、[]階層レベルでステートメントを設定しますallow-tcp-forwardingedit system services ssh。さらに、[] 階層レベルの および no-tcp-forwarding ステートメントはedit system services ssh非推奨になりましたtcp-forwarding。

ソフトウェアがユーザーの認証を試みる際に、異なるユーザー認証方法を試みる順序を設定します。ソフトウェアは、ログインを試みるたびに、パスワードが一致するまで、最初の認証方法を順番に試します。

• 既定： ステートメントを含め authentication-order ない場合、ユーザーは設定されたパスワードに基づいて検証されます。

• 構文： 以下の認証方法を、試行する必要がある順序で 1 つ以上指定します。

  • ldaps- LDAP 認証サービスを使用します。

  • password- 階層レベルの ステートメント[edit system login user]でauthenticationユーザに設定されたパスワードを使用します。

  • radius- RADIUS認証サービスを使用します。

  • tacplus- TACACS+ 認証サービスを使用します。

ユーザーの公開キーの検索に使用するコマンド文字列を指定します。

許可されたキーコマンドを実行するアカウントのユーザーを指定します。

認証に受け入れられるプリンシパルのリストを指定します。このコマンドで追加されるプリンシパルは、 コマンドで authorized-principals-file 追加されるプリンシパルを補足するものです。

AuthorizedPrincipals SSH証明書ベースの認証のために、/var/etc でファイルを設定します。このファイルには名前の一覧が含まれており、認証で承認されるには、そのうちの 1 つが証明書に記載されている必要があります。

SSH証明書ベースの認証用のファイルに含まれる AuthorizedPrincipals 、許可される証明書プリンシパルのリストの生成に使用するプログラムを指定します。

SSHサーバーが暗号化および復号化機能を実行するために使用できる暗号のセットを指定します。

• 値： 以下の暗号方式を 1 つ以上指定します。

  • 3des-cbc- 暗号ブロック連鎖(CBC)モードのトリプルデータ暗号化標準(DES)。

  • aes128-cbc- CBCモードでの128ビット高度暗号化標準(AES)。

  • aes128-ctr- カウンター モードの 128 ビット AES。

  • aes128-gcm@openssh.com—ガロア/カウンターモードの128ビットAES。

  • aes192-cbc- CBC モードでの 192 ビット AES。

  • aes192-ctr- カウンター モードの 192 ビット AES。

  • aes256-cbc- CBC モードでの 256 ビット AES。

  • aes256-ctr- カウンター モードでの 256 ビット AES。

  • aes256-gcm@openssh.com- ガロア/カウンター モードの 256 ビット AES。

  • chacha20-poly1305@openssh.com—ChaCha20ストリーム暗号とPoly1305MAC。

sshd がクライアントからメッセージを受信せずに送信できる、クライアントアライブメッセージの数を設定します。クライアントアライブメッセージが送信されている間にこのしきい値に達すると、sshd はクライアントを切断し、セッションを終了します。クライアントアライブメッセージは、暗号化されたチャネルを介して送信されます。応答しないSSHクライアントを切断するには、 client-alive-intervalステートメントと組み合わせて使用します。

• デフォルト: 3 メッセージ

• 範囲: 0 から 255 メッセージ

タイムアウト間隔を秒単位で設定し、その後、クライアントからデータが受信されなかった場合、sshd は暗号化されたチャネルを介してメッセージを送信し、クライアントからの応答を要求します。このオプションは、SSHプロトコルバージョン2にのみ適用されます。client-alive-count-maxステートメントと組み合わせて使用し、応答しないSSHクライアントを切断します。

• デフォルト: 0 秒

• 範囲: 1 から 65535 秒

SSH サーバーがキーのフィンガープリントを表示するときに使用するハッシュアルゴリズムを指定します。

• 値： 次のいずれかを指定します。

  • md5:SSH サーバが MD5 アルゴリズムを使用できるようにします。

  • sha2-256—SSH サーバーが sha2-256 アルゴリズムを使用できるようにします。

• デフォルト: sha2-256

HostCertificate SSH証明書ベースの認証のために/etc/ssh/sshd_configでファイルを設定します。このファイルには、署名されたホスト証明書が含まれています。

Junos OSが承認済みSSHキーをログに記録できるようにします。 log-key-changes ステートメントが設定され、コミットされると、Junos OSは、各ユーザーの承認されたSSHキーのセットに対する変更をログに記録します(追加または削除されたキーを含む)。Junos OSは、 ステートメントが最後に設定された時点からの差異を log-key-changes ログに記録します。 log-key-changes ステートメントが設定されていない場合、Junos OSは許可されたすべてのSSHキーをログに記録します。

• 既定： Junos OSは、承認されたすべてのSSHキーをログに記録します。

SSHサーバーがメッセージの認証に使用できるメッセージ認証コード(MAC)アルゴリズムのセットを指定します。

• 値： メッセージを認証するために、以下のMACアルゴリズムを1つ以上指定します。

  • hmac-md5- メッセージダイジェスト5(MD5)を使用したハッシュベースMAC

  • hmac-md5-96- MD5 を使用した 96 ビットのハッシュベース MAC

  • hmac-md5-96-etm@openssh.com- MD5 を使用した 96 ビットのハッシュベースの暗号化と MAC

  • hmac-md5-etm@openssh.com—MMD5 を使用したハッシュベースの暗号化と MAC

  • hmac-sha1- セキュア ハッシュ アルゴリズム-1(SHA-1)を使用したハッシュベース MAC

  • hmac-sha1-96- SHA-1 を使用した 96 ビットのハッシュベース MAC

  • hmac-sha1-96-etm@openssh.com- SHA-1 を使用した 96 ビットのハッシュベースの暗号化と MAC

  • hmac-sha1-etm@openssh.com- SHA-1 を使用したハッシュベースの暗号化と MAC

  • hmac-sha2-256- セキュア ハッシュ アルゴリズム-2(SHA-2)を使用した 256 ビットのハッシュベース MAC

  • hmac-sha2-256-etm@openssh.com- SHA-2 を使用したハッシュベースの暗号化と Mac

  • hmac-sha2-512- SHA-2 を使用した 512 ビットのハッシュベース MAC

  • hmac-sha2-512-etm@openssh.com- SHA-2 を使用したハッシュベースの暗号化と Mac

  • umac-128-etm@openssh.com- RFC4418で指定されたUMAC-128アルゴリズムを使用してMACを暗号化する

  • umac-128@openssh.com—RFC4418で指定されたUMAC-128アルゴリズム

  • umac-64-etm@openssh.com- RFC4418で指定されたUMAC-64アルゴリズムを使用してMACを暗号化する

  • umac-64@openssh.com—RFC4418で指定されたUMAC-64アルゴリズム

ユーザー認証の前に SSH サーバーが受け入れる事前認証 SSH パケットの最大数を定義します。

• 範囲: 20 から 2147483647 パケット

• デフォルト: 128 パケット

1つのSSH接続で許可されるSSHセッションの最大数を指定します。

• 範囲: 1 から 65535 セッション

• デフォルト: 10 セッション

SSHチャレンジレスポンスベースの認証方法を無効にします。

SSHパスワードベースの認証方法を無効にします。

SSH のパスワードベース認証とチャレンジレスポンスベース認証の両方を無効にします。

システム全体で公開鍵認証を無効にします。[システムログインユーザー user-name 認証を編集]階層レベルでno-public-keysステートメントを指定すると、特定のユーザーの公開キー認証が無効になります。

着信SSH接続を受け入れるポート番号を指定します。

• デフォルト: 22

• 範囲 : 1 から 65535

セキュアシェル(SSH)プロトコルのバージョンを指定します。

Junos OSリリース19.3R1およびJunos OSリリース18.3R3以降、すべてのSRXシリーズデバイスで、[]階層レベルからedit system services ssh protocol-version非セキュアSSHプロトコルバージョン1(v1)オプションが削除されました。SSHプロトコルバージョン2(v2)をデフォルトオプションとして使用して、システムとアプリケーションをリモートで管理できます。v1オプションが廃止された場合、Junos OS は OpenSSH 7.4 以降のバージョンと互換性があります。

19.3R1および18.3R3より前のJunos OSリリースでは、システムとアプリケーションをリモート管理するオプションが引き続きサポート v1 されます。

• デフォルト: v2 - Junos OSリリース11.4で導入されたSSHプロトコルバージョン2がデフォルトです。

アクセス サービスのプロトコル(IPv6 または IPv4)ごとに、1 分あたりの最大接続試行回数を設定します。たとえば、レートが10に制限されている場合、1分間に10回までのIPv6 SSHセッション接続試行と、1分間に10回までのIPv4 SSHセッション接続試行が許容されます。

• 範囲: 1 から 250 接続

• デフォルト: 150 接続

セッション キーが再ネゴシエートされる前に制限を指定します。

SSH経由でユーザーアクセスを制御します。

• allow—ユーザーがSSH経由でrootとしてデバイスにログインできるようにします。

• deny - ユーザーが SSH 経由で root としてデバイスにログインできないようにします。

• deny-password—認証方法(RSA認証など)がパスワードを必要としない場合、ユーザーがSSH経由でrootとしてデバイスにログインできるようにします。

• 既定： deny-password は、ほとんどのシステムのデフォルトです。

  MXシリーズルーターのJunosリリース17.4R1以降、rootログインのデフォルトは denyです。以前のJunos OSリリースでは、MX240、MX480、MX960、MX2010、MX2020のデフォルト設定は allowでした。

受信SSHファイル転送プロトコル(SFTP)接続をグローバルに有効にします。ステートメントを設定する sftp-server ことで、許可されたデバイスがSFTPを介してデバイスに接続できるようになります。 sftp-server ステートメントが設定に存在しない場合、SFTPはグローバルに無効になり、デバイスはSFTPを介してデバイスに接続できません。

TrustedUserCAKey SSH証明書ベースの認証のために/etc/ssh/sshd_configでファイルを設定します。このファイルには、SSH証明書の公開鍵が含まれています。