Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

データを安全にコピーするためのSSH既知のホストキーを設定する

セキュアシェル(SSH)は、暗号化アルゴリズムを使用してホスト、サーバー、セッションキーシステムを生成し、安全なデータ転送を保証します。設定アーカイブやイベントログなどのデータのバックグラウンド転送のためのFTPの代替として、SSHホストキーを設定して、SCP(セキュアコピー)をサポートすることができます。SCPのSSHサポートを設定するには、以下のタスクを完了する必要があります。

  • ルーティングエンジン設定階層にホスト名とホストキー情報を含めて、SSHの既知のホストを指定します。

  • SCP URLを設定して、データを受信するホストを指定します。この属性を設定すると、SCPサーバーからSSHホストキー情報を自動的に取得します。

  • ホストキーが本物であることを確認します。

  • セキュアな接続を受け入れます。この接続を受け入れることで、ホストキー情報がローカルホストキーデータベースに自動的に格納されます。設定階層にホストキー情報を格納することで、安全なハンドシェイクを自動化し、SCPを使用してバックグラウンドデータ転送を可能にします。

データの安全なコピーのためのSSHホストキーを設定するタスクは次のとおりです。

SSH既知のホストを設定する

SSH既知のホストを設定するには、 ステートメントを host 含め、 階層レベルで信頼できるサーバーのホスト名とホストキーオプションを [edit security ssh-known-hosts] 指定します。

ホストキーは、以下のいずれかです。

  • dsa-key keySSHバージョン2向けBase64エンコード済みデジタル署名アルゴリズム(DSA)キー。

  • ecdsa-sha2-nistp256-keykey-Base64エンコード済みECDSA-SHA2-NIST256キー。

  • ecdsa-sha2-nistp384-keykey-Base64エンコード済みECDSA-SHA2-NIST384キー。

  • ecdsa-sha2-nistp521-keykey-Base64エンコード済みECDSA-SHA2-NIST521キー。

  • ed25519-keykeyBase64エンコード済みED25519キー。

  • rsa-key keySSHバージョン1およびSSHバージョン2向けの暗号化とデジタル署名をサポートするBase64エンコード済み公開キーアルゴリズム。

  • rsa1-key keySSHバージョン1の暗号化とデジタル署名をサポートするBase64エンコード済みRSAパブリックキーアルゴリズム。

SCPファイル転送のサポートを設定する

バックグラウンドSCPファイル転送をサポートする既知のホストを設定するには、 階層レベルで ステートメントを[edit system archival configuration]含めますarchive-sites

メモ:

IPv6ホストアドレスを使用して Junos OS ステートメントでURLを指定する場合、URL全体を引用符(" ")で囲み、IPv6ホストアドレスを括弧([])で囲む必要があります。例えば 、「scp://username<:password>@[host]<:port>/url-path」。

ステートメントを archive-sites SCP URLを指すために設定すると、自動ホストキー取得がトリガーされます。この時点で、 Junos OS はSCPホストに接続してSSHパブリックキーを取得し、ホストキーメッセージダイジェストまたはフィンガープリントをコンソールへの出力として表示し、サーバーへの接続を終了します。

ホストキーが本物であることを確認するには、このフィンガープリントを、信頼できるソースを使用して同じホストから取得したフィンガープリントと比較します。フィンガープリントが同一の場合は、プロンプトで を入力してホスト キーを yes 受け入れます。その後、ホストキー情報はルーティングエンジン設定に保存され、SCPを使用してバックグラウンドデータ転送をサポートします。

SSHホストキー情報の更新

通常、 階層レベルで ステートメントを使用してSCPのURL属性を設定すると、SSHホストキー情報が archival configuration archive-sites 自動的に [edit system] 取得されます。ただし、ホストキーデータベースを手動で更新する必要がある場合は、次のいずれかの方法を使用します。

ホストキー情報を手動で取得する

SSHパブリックホストキー情報を手動で取得するには、 階層レベルで オプションを[edit security ssh-known-hosts]設定fetch-from-serverします。SSHパブリックキーを取得するホストを指定する必要があります。

ファイルからホストキー情報をインポートする

known_hostsファイルからSSHホストキー情報を手動でインポートするには、 階層レベルに オプションを[edit security ssh-known-hosts]load-key-fileめます。ホストキー情報をインポートするファイルへのパスを指定する必要があります。

リリース履歴テーブル
リリース
説明
18.3R1
Junos OSリリース18.3R1以降、後方互換性を確保し、 ssh-dss 設定を新しい設定に適合させる機会を提供するため、および ssh-dsa ホストキーアルゴリズムは、すぐに削除されるのではなく、非推奨となりました。