Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ssh (システムサービス)

構文

階層レベル

説明

リモート システムからの SSH 要求によるローカル デバイスへのアクセスを許可します。

オプション

authentication-order [method1 method2...

ユーザーの認証を試行するときに、ソフトウェアがさまざまなユーザー認証方法を試行する順序を設定します。ログインが試行されるたびに、ソフトウェアは認証方法を順に実行します。最初の方法からパスワードが一致するまで開始されます。

  • authentication-orderステートメントが含まれていない場合、ユーザーは構成されたパスワードに基づいて検証されます。

  • 構文一覧に示されている、1 つ以上の認証方法を、確認する必要がある順序で指定します。

    • ldaps—LDAP 認証サービスを使用します。

    • password— 階層レベルで ステートメントを使用してユーザー authentication に設定されたパスワード [edit system login user] を使用します。

    • radius—認証RADIUSを使用します。

    • tacplus—TACACS+ 認証サービスを使用します。

authorized-keys-command

ユーザーの公開キーを検索するために使用するコマンド文字列を指定します。

authorized-keys-command-user

承認済みキーコマンドが実行されるアカウントの下のユーザーを指定します。

ciphers [ cipher-1 cipher-2 cipher-3 ..]

SSH サーバーが暗号化および解読機能を実行するために使用する暗号セットを指定します。

注:

暗号はセットを表しています。SSH 暗号化を構成するにsetは、次の例に示すようにコマンドを使用します。

  • 指定以下の暗号を 1 つ以上指定します。

    • 3des-cbc—CBC(Cipher Block Chaining)モードの DES(トリプル データ暗号化規格)

    • aes128-cbc:CBC モードの 128 ビット AES(Advanced Encryption Standard)です。

    • aes128-ctr:カウンター モードの 128 ビット AES。

    • aes128-gcm@openssh.com:Galois/Counter Mode の 128 ビット AES。

    • aes192-cbc:CBC モードの 192 ビット AES。

    • aes192-ctr:カウンター モードの 192 ビット AES。

    • aes256-cbc:CBC モードの 256 ビット AES。

    • aes256-ctr:カウンター モードの 256 ビット AES。

    • aes256-gcm@openssh.com:Galois/Counter Mode の 256 ビット AES。

    • arcfour:CBC モードの 128 ビット RC4 ストリーム 暗号。

    • arcfour128:CBC モードの 128 ビット RC4 ストリーム 暗号。

    • arcfour256:CBC モードの 256 ビット RC4 ストリーム 暗号。

    • blowfish-cbc:CBC モードの 128 ビットのブローサイロ対称ブロック暗号。

    • cast128-cbc:CBC モードで 128 ビットキャストを実行します。

    • chacha20-poly1305@openssh.com—ChaCha20 ストリーム暗号および Poly1305 MAC。

client-alive-count-max

Sshd を使用せずに、クライアントからのメッセージを受信するクライアント起動メッセージ数を設定します。クライアントの起動メッセージの送信中にこのしきい値に達すると、sshd はクライアントを切断し、セッションを終了します。クライアント起動メッセージは、暗号化チャネルを介して送信されます。無応答のSSHクライアントを切断するには、client-alive-intervalステートメントと組み合わせて使用します。

  • 3メッセージ

  • 0~255 メッセージ

client-alive 間隔 (秒)

タイムアウト間隔を秒単位で設定します。その後、クライアントからデータが受信されなかった場合、sshd は暗号化されたチャネルを介してメッセージを送信し、クライアントからの応答を要求します。このオプションは、SSH プロトコルバージョン2のみに適用されます。無応答のSSHクライアントを切断するために、client-alive-count-maxステートメントと組み合わせて使用します。

  • 0秒

  • 1 ~ 65535 秒

フィンガープリント ハッシュ(md5 | sha2-256)

SSH サーバーが鍵フィンガープリントを表示する際に使用するハッシュ アルゴリズムを指定します。

注:

FIPS イメージは MD5 指紋の使用を許可していません。FIPS モードのシステムではsha2-256 、利用可能な唯一のオプションです。

  • 指定以下のいずれかを指定します。

    • md5 — MD5 アルゴリズムを使用する SSH サーバーを有効にします。

    • sha2-256 — SSH サーバーで sha2-256 アルゴリズムを使用できます。

  • sha2-256

log-key-changes log-key-changes

認証Junos OS SSHキーをログに記録する必要があります。ステートメントが設定およびコミットされると、Junos OSは各ユーザーに対して承認されたSSHキーのセットへの変更(追加または削除されたキーを含む) log-key-changes をログに記録します。Junos OSの設定後の違いを log-key-changes ログに記録します。ステートメントが log-key-changes 設定されていない場合は、認証Junos OS SSHキーをログに記録します。

  • Junos OS SSHキーをログに記録します。

macs [algorithm1 algorithm2..]

SSH サーバーがメッセージの認証に使用できるメッセージ認証コード (MAC) アルゴリズムのセットを指定します。

注:

macs 設定ステートメントは、セットを表します。そのため、以下のように設定する必要があります。

  • 指定メッセージを認証するために、以下の MAC アルゴリズムの1つ以上を指定します。

    • hmac-md5—Message-Digest 5(MD5)を使用したハッシュベースの MAC

    • hmac-md5-96—MD5 を使用した 96 ビットのハッシュベース MAC

    • hmac-md5-96-etm@openssh.com—96 ビットのハッシュベース MD5 を使用した Encrypt-then-MAC

    • hmac-md5-etm@openssh.com—MMD5 を使用したハッシュベースの Encrypt-then-MAC

    • hmac-ripemd160—RIPEMD を使用したハッシュベース MAC

    • hmac-ripemd160-etm@openssh.com—RIPEMD を使用したハッシュベースの Encrypt-then-MAC

    • hmac-sha1—セキュアなハッシュ アルゴリズム-1 を使用したハッシュベースの MAC(SHA-1)

    • hmac-sha1-96—SHA-1 を使用した 96 ビットのハッシュベース MAC

    • hmac-sha1-96-etm@openssh.com—SHA-1 を使用した 96 ビットのハッシュベース Encrypt-then-MAC

    • hmac-sha1-etm@openssh.com—SHA-1 を使用したハッシュベースの Encrypt-then-MAC

    • hmac-sha2-256セキュアハッシュ アルゴリズム-2(SHA-2)を使用した 256 ビットのハッシュベース MAC

    • hmac-sha2-256-etm@openssh.com—SHA-2 を使用したハッシュベースの Encrypt-then-Mac

    • hmac-sha2-512—SHA-2 を使用した 512 ビットのハッシュベース MAC

    • hmac-sha2-512-etm@openssh.com—SHA-2 を使用したハッシュベースの Encrypt-then-Mac

    • umac-128-etm@openssh.com—RFC4418 で指定された UMAC-128 アルゴリズムを使用した Encrypt-then-MAC

    • umac-128@openssh.com—RFC4418 で指定された UMAC-128 アルゴリズム

    • umac-64-etm@openssh.com—RFC4418 で指定された UMAC-64 アルゴリズムを使用した Encrypt-then-MAC

    • umac-64@openssh.com—RFC4418 で指定された UMAC-64 アルゴリズム

最大事前認証パケット

ユーザー認証の前に SSH サーバーが受け入れる、認証前の SSH パケットの最大数を定義します。

  • 20~2147483647 パケット

  • 128 パケット

接続数あたりの最大 セッション数

1つの SSH 接続で許可される ssh セッションの最大数を指定します。

  • 1~6,5535 セッション

  • 10 セッション

課題への対応なし

SSH challenge-responseベースの認証方法を無効にします。

注:

階層の下でこのステートメントを [edit system services ssh] 設定すると、ログイン サービスと SSH over SSH サービスの両方 NETCONF に影響します。

パスワード認証なし

SSH パスワードベースの認証方法を無効にします。

注:

階層の下でこのステートメントを [edit system services ssh] 設定すると、ログイン サービスと SSH over SSH サービスの両方 NETCONF に影響します。

パスワードなし

SSH のパスワードベース認証とチャレンジレスポンスベース認証の両方を無効にします。

注:

階層の下でこのステートメントを [edit system services ssh] 設定すると、ログイン サービスと SSH over SSH サービスの両方 NETCONF に影響します。

公開鍵なし

パブリックキー認証システム全体を無効にします。 [edit system login user user-name authentication] 階層レベルで no-public-keys ステートメントを指定した場合、特定のユーザーに対する公開鍵認証を無効にします。

非 tcp 転送

ユーザーが SSH 経由でデバイスに送信CLI SSH トンネルを作成しからユーザーを防止します。このタイプのトンネルは、TCP トラフィックを転送し、すべてのファイアウォール フィルターや ACL を迂回して、デバイスを越えたリソースへのアクセスを可能にします。

注:

このステートメントは新しいSSHセッションにのみ適用され、既存のSSHセッションには影響しません。

ポート ポート番号

受信 SSH 接続を受け入れるポート番号を指定します。

  • 22

  • 1 ~ 65535

プロトコルバージョン [v2]

Secure Shell (SSH) プロトコルバージョンを指定します。

Junos OS リリース 19.3R1 および Junos OS リリース 18.3R3 から、すべての SRX シリーズ デバイスで、 [ ] 階層レベルからセキュリティ保護されていない SSH プロトコル バージョン 1 ( ) オプションを削除 v1edit system services ssh protocol-version しました。SSH プロトコルバージョン 2 (v2) をデフォルトのオプションとして使用して、システムとアプリケーションをリモートで管理することができます。このv1オプションが推奨されていない場合、Junos OS は OpenSSH 7.4 およびそれ以降のバージョンと互換性があります。

Junos OS以前のリリース19.3R1と18.3R3、システムとアプリケーションをリモートで管理するオプション v1 が引き続きサポートされます。

  • v2—SSH プロトコル バージョン 2 はデフォルトで、リリース 11.4 Junos OSで導入されました。

レート制限

アクセス サービス上で、プロトコルごとに 1 分あたりの接続試行回数(IPv6 または IPv4)を設定します。たとえば、レート制限10は、1分当たり10の IPv6 SSH セッション接続を許可し、1分間に10の IPv4 SSH セッション接続を試行します。

  • 1~250 接続

  • 150接続

再キー

セッション キーが再ネゴシエーションされる前に制限を指定します。

データ制限 バイト

セッション キーを再ネゴシエーションする前に、データ制限を指定します。

時間制限 時間(分)

セッション キーを再ネゴシエーションする前に、時間制限を指定します。

  • 1~1440分

root-login(許可|拒否|パスワード拒否)

SSH によるユーザーのアクセスを制御します。

  • 許可 — SSH から root としてデバイスにログインするユーザーを許可します。

  • 拒否 — SSH から root としてデバイスにログインするユーザーを無効にします。

  • 拒否パスワード — 認証方法(RSA 認証など)でパスワードが必要ない場合、SSH から root としてデバイスにログインできます。

  • deny-password はほとんどのシステムでデフォルトです。

    デフォルトのJunos ルーターの17.4R1 リリース MX シリーズで、root ログインのデフォルトは deny . 以前のリリースJunos OSでは、MX240、MX480、MX960、MX2010、MX2020のデフォルト設定は allow .

sftp サーバー

受信 SSH ファイル転送プロトコル (SFTP) 接続をグローバルに有効にします。ステートメントを設定 sftp-server すると、許可されたデバイスが SFTP を介してデバイスに接続できます。ステートメントが sftp-server 設定に存在しない場合、SFTP はグローバルで無効になり、SFTP を介してデバイスに接続できるデバイスはありません。

tcp フォワーディング

ユーザーが SSH を使用して、CLI セッション上での非集約型 Junos OS プラットフォームへの SSH トンネルを作成できるようにします。

残りのステートメントは個別に説明されています。詳細については、 CLI エクスプローラーで文を検索するか、「シンタックス」セクションでリンクされた文をクリックします。

必須の権限レベル

system — このステートメントを設定に表示するには。

system-control— このステートメントを設定に追加します。

リリース情報

Junos OS リリース7.4 の前に導入された文。

ciphershostkey-algorithm、、 key-exchangemacs 、および リリース 11.2 Junos OSステートメント。

max-sessions-per-connection ステートメント no-tcp-forwarding と、リリース11.4 Junos OSに示されています。

Junos OS リリース12.1 で導入された SHA-1 オプションについて説明します。

リリース リリース リリース で追加されたステートメント上の curve25519-sha256 key-exchange オプションJunos OSサポート12.1X47-D10。

client-alive-interval またclient-alive-count-max 、Junos OS リリース12.2 で導入された文もあります。

max-pre-authentication-packets ステートメントは、Junos OS リリース 12.3X48-D10で12.3X48-D10。

no-passwords文は Junos OS リリース13.3 で導入されました。

no-public-keys文は Junos OS リリース15.1 で導入されました。

tcp-forwardingJunos OS のリリース 15.1 X53-D50 で導入された文は、NFX250 ネットワーク・サービス・プラットフォームを対象としています。

fingerprint-hash文は Junos OS リリース16.1 で導入されました。

log-key-changesJunos OS リリース 17.4 R1 で導入された文。

sftp-serverJunos OS リリース 19.1 R1 で導入された文。

no-challenge-response および no-password-authentication リリースリリースで紹介Junos OSステートメント19.4R1。

リリース ldaps リリースでJunos OSオプション20.2R1。