Introduction

KEKの計算機環境とSSH
富士通 SS研究会
2000/11/15
KEK
高エネルギー加速器研究機構
計算科学センター
八代茂夫
2000/11/15
1/17
[email protected]
KEKの主要な計算機システム
計算機システム
プロジェクト
性能
共通計算機
PS実験、その他
3123SPECint95
KEKB計算機 KEKB実験
12803
SPECint95
原子核計算機
835 SPECint95
原子核実験
スーパー計算機 理論物理、数値物理
2000/11/15
2/24
1200 Gflops
[email protected]
なぜ SSH を導入したのか

国内外の共同研究者に計算機環境を提
供する必要性
– リモートログイン, ファイル転送

パスワード通信を暗号化
– slogin, ssh <-- telnet, rlogin, rsh
– sftp <-- ftp
2000/11/15
3/24
[email protected]
SSHの機能

すべてのデータを暗号化
– 通信の内容を保護

暗号システムを使ったホスト認証
– IPアドレス偽装, IPソースルーチング, DNS偽装, といった
不正アクセスの攻撃を防ぐ.

Xのフォワーディング機能
– XクライアントをFW越えされることに利用可.

ポートフォワーディング機能
– proxy(中継サーバ)を作成して通信.
– ftp や pop などのセキュアでない通信と組み合わせて利用
2000/11/15
4/24
[email protected]
SSHのバージョン
フィンランドの Tatu Ylonen が開発
 現在

– SSH Communication Security社 (SSH社)
がプログラムの開発
– F-Secure Corporation が製品化
– 日本での販売は(株)山田洋行

SSHのプロトコルの標準化
– The Internet Engineering Task Force (IETF)
2000/11/15
5/24
[email protected]
フリーのSSH

OpenSSH
– OpenBSDのプロジェクトとして開発
– SSH 1.2.12 をベースとして開発
– 1999年後半に公開

LSH
– GNU ライセンス扱い

OSSH
– ライセンス記述が見当たらない.
– SSH 1.2.12 をベースとして開発
– 1999年後半に公開
2000/11/15
6/24
[email protected]
SSH プログラムのバージョン
最新バージョン
プロトコル
SSH 2.x
2.3.0
Version 2 (+1)
SSH 1.2.x
1.2.30
Version 1
OpenSSH
2.2.0 (2000/9/7)
Version 2 & 1
LSH
1.0.7 (2000/3/15)
Version 2
OSSH
1.5.6 (2000/7/5)
Version 1
2000/11/15
7/24
[email protected]
各プログラムの機能の比較
SSH2 SSH1 OpenSSH
X forward
LSH
OSSH
yes
yes
yes
no
?
-L, -R
-L, -R
-L
-L, -R
?
scp
yes
yes
no
?
yes
sftp
yes
no
no
?
no
Port forward
2000/11/15
8/24
[email protected]
PCクライアント
SSH2
TTSSH Win32SSH SSH-Mac NiftyTelnet
Win
Win
Win
Mac
Mac
ver. 2
ver. 1
ver. 1
1&2
ver. 1
User interface GUI, ssh2
GUI
ssh1
GUI
GUI
日本語
X forward
yes
Yes
yes
yes
no
yes
no
?
Available
Port forward
L, R
L, R
L, R
?
?
ファイル転送
scp2
no
scp1
GUI
GUI
Platform
protocol
2000/11/15
9/24
?
[email protected]
SSH の行なう認証

サーバホストの認証
– 公開鍵暗号システム

サーバホストによるユーザ認証
2000/11/15
10/24
[email protected]
サーバホストの認証 ( SSH1 )
クライアントホスト
サーバホスト
ログイン要求
Host-key(公開鍵)
を送る
Session-keyを
作成して
Host-keyで暗
号化
Private-key によ
りSession-keyを
復号化
サーバを認証
2000/11/15
11/24
[email protected]
ユーザ認証

パスワード認証
– パスワードは, 暗号化して通信
公開鍵暗号システムによる認証
 rhosts + 公開鍵暗号システム で認証

– セキュリティが弱くなりかねない

rhosts認証
– セキュリティが弱い
2000/11/15
12/24
[email protected]
公開鍵暗号システムによるユーザ認証

使用のための準備
– SSHクライアントホストで1組の公開鍵と秘密鍵
を作成
– 公開鍵をリモートホスト(SSHサーバ)に送る.
2000/11/15
13/24
[email protected]
公開鍵暗号システム RSA によるユーザ認証
クライアントホスト
サーバホスト
公開鍵を送る
乱数をユーザの
公開鍵で暗号化
暗号文を秘密
鍵で復号化,
MD5チェック
サムを送る
2000/11/15
MD5チェックサ
ムを確認して
ユーザを認証
14/24
[email protected]
X11フォワーディング
2000/11/15
15/24
[email protected]
TCP/IPポートフォワーディング
% ssh -L Y:HostB:K HostB
2000/11/15
16/24
[email protected]
Windowsでの使い方
TeraTerm(Pro) + TTSSH
 起動

– Windows のメニューバー → 「スタート」→
「プログラム(P)」→「Tera Term Pro」(フォルダ) →
「Tera Term Pro」(プログラム) → ttermpro を起動

X11フォワーディング
– Windows でXサーバが起動されていること
– TeraTerm を 起 動 → メ ニ ュ ー バ ー か ら 「 Setup 」
→
「
SSH
Forwarding
」
→ 「Display remote X application on local..」をチェック
2000/11/15
17/24
[email protected]
UNIXでの使い方 - ログイン

ログイン
lune % ssh soleil

公開鍵認証を使う場合には, 前準備が必要
lune % ssh-keygen
– パスフレーズは空白にしない. (危険!)
– private-key を登録する.
– public-key をSSHサーバに転送する.
2000/11/15
18/24
[email protected]
UNIXでの使い方 - ファイル転送

scp の例
lune % scp -p file1 soleil:~
lune % scp -p directory soleil:~
– 総称文字
lune % scp -p * soleil:~
– 軽い暗号システムの使用
lune % scp -p -c blowfish file1 soleil:~

sftp
lune % sftp soleil
2000/11/15
19/24
[email protected]
UNIXでの使い方 - ファイル転送

ポートフォワーディングの利用
– ポートの設定
lune% ssh -L 12345:soleil:21 soleil
– 別のウィンドウから
2000/11/15
lune% ftp localhost 12345
Connected to localhost.
220 soleil FTP server …...
Name (localhost:yashiro):
331 Password required for yashiro.
Password: my-PW
230 User yashiro logged in
ftp> passive
20/24
[email protected]
UNIX へのインストレーション

Configure
% ./configure --with-libwrap=/usr/ lib

Make
% make
# make install

Configuration
– TCP wrappers の hosts.allow
sshd:
LOCAL,
sshdfwd-X11:
sshdfwd-12345: LOCAL, hostname
2000/11/15
21/24
.kek.jp
LOCAL
[email protected]
SSH とtelnet
hostA
hostC
hostB
telnet=平文通信
2000/11/15
SSH=暗号通信
22/24
[email protected]
パスワード認証 vs 公開鍵認証
パスワード認証
公開鍵認証
パスワードが漏れたら
致命的
致命的
パスワードの保管
暗号化
非保存
パスワード検査
可能
不可能
複数のリモートホスト
のパスワード
異なる
同一
認証の主体ホスト
サーバ
クライアント
2000/11/15
23/24
[email protected]
F-Secure vs OpenSSH
SSH2
OpenSSH
価格
8万円/licence
フリー
インストレーション
容易
めんどう
公開鍵認証
DSA, RSA
DSA
PCクライアント
SSH社
SSH社
ファイル転送
Sftp, scp
Sftpを追加
2000/11/15
TTSSH, Nifty
24/24
TTSSH, Nifty?
[email protected]