KEKの計算機環境とSSH 富士通 SS研究会 2000/11/15 KEK 高エネルギー加速器研究機構 計算科学センター 八代茂夫 2000/11/15 1/17 [email protected] KEKの主要な計算機システム 計算機システム プロジェクト 性能 共通計算機 PS実験、その他 3123SPECint95 KEKB計算機 KEKB実験 12803 SPECint95 原子核計算機 835 SPECint95 原子核実験 スーパー計算機 理論物理、数値物理 2000/11/15 2/24 1200 Gflops [email protected] なぜ SSH を導入したのか 国内外の共同研究者に計算機環境を提 供する必要性 – リモートログイン, ファイル転送 パスワード通信を暗号化 – slogin, ssh <-- telnet, rlogin, rsh – sftp <-- ftp 2000/11/15 3/24 [email protected] SSHの機能 すべてのデータを暗号化 – 通信の内容を保護 暗号システムを使ったホスト認証 – IPアドレス偽装, IPソースルーチング, DNS偽装, といった 不正アクセスの攻撃を防ぐ. Xのフォワーディング機能 – XクライアントをFW越えされることに利用可. ポートフォワーディング機能 – proxy(中継サーバ)を作成して通信. – ftp や pop などのセキュアでない通信と組み合わせて利用 2000/11/15 4/24 [email protected] SSHのバージョン フィンランドの Tatu Ylonen が開発 現在 – SSH Communication Security社 (SSH社) がプログラムの開発 – F-Secure Corporation が製品化 – 日本での販売は(株)山田洋行 SSHのプロトコルの標準化 – The Internet Engineering Task Force (IETF) 2000/11/15 5/24 [email protected] フリーのSSH OpenSSH – OpenBSDのプロジェクトとして開発 – SSH 1.2.12 をベースとして開発 – 1999年後半に公開 LSH – GNU ライセンス扱い OSSH – ライセンス記述が見当たらない. – SSH 1.2.12 をベースとして開発 – 1999年後半に公開 2000/11/15 6/24 [email protected] SSH プログラムのバージョン 最新バージョン プロトコル SSH 2.x 2.3.0 Version 2 (+1) SSH 1.2.x 1.2.30 Version 1 OpenSSH 2.2.0 (2000/9/7) Version 2 & 1 LSH 1.0.7 (2000/3/15) Version 2 OSSH 1.5.6 (2000/7/5) Version 1 2000/11/15 7/24 [email protected] 各プログラムの機能の比較 SSH2 SSH1 OpenSSH X forward LSH OSSH yes yes yes no ? -L, -R -L, -R -L -L, -R ? scp yes yes no ? yes sftp yes no no ? no Port forward 2000/11/15 8/24 [email protected] PCクライアント SSH2 TTSSH Win32SSH SSH-Mac NiftyTelnet Win Win Win Mac Mac ver. 2 ver. 1 ver. 1 1&2 ver. 1 User interface GUI, ssh2 GUI ssh1 GUI GUI 日本語 X forward yes Yes yes yes no yes no ? Available Port forward L, R L, R L, R ? ? ファイル転送 scp2 no scp1 GUI GUI Platform protocol 2000/11/15 9/24 ? [email protected] SSH の行なう認証 サーバホストの認証 – 公開鍵暗号システム サーバホストによるユーザ認証 2000/11/15 10/24 [email protected] サーバホストの認証 ( SSH1 ) クライアントホスト サーバホスト ログイン要求 Host-key(公開鍵) を送る Session-keyを 作成して Host-keyで暗 号化 Private-key によ りSession-keyを 復号化 サーバを認証 2000/11/15 11/24 [email protected] ユーザ認証 パスワード認証 – パスワードは, 暗号化して通信 公開鍵暗号システムによる認証 rhosts + 公開鍵暗号システム で認証 – セキュリティが弱くなりかねない rhosts認証 – セキュリティが弱い 2000/11/15 12/24 [email protected] 公開鍵暗号システムによるユーザ認証 使用のための準備 – SSHクライアントホストで1組の公開鍵と秘密鍵 を作成 – 公開鍵をリモートホスト(SSHサーバ)に送る. 2000/11/15 13/24 [email protected] 公開鍵暗号システム RSA によるユーザ認証 クライアントホスト サーバホスト 公開鍵を送る 乱数をユーザの 公開鍵で暗号化 暗号文を秘密 鍵で復号化, MD5チェック サムを送る 2000/11/15 MD5チェックサ ムを確認して ユーザを認証 14/24 [email protected] X11フォワーディング 2000/11/15 15/24 [email protected] TCP/IPポートフォワーディング % ssh -L Y:HostB:K HostB 2000/11/15 16/24 [email protected] Windowsでの使い方 TeraTerm(Pro) + TTSSH 起動 – Windows のメニューバー → 「スタート」→ 「プログラム(P)」→「Tera Term Pro」(フォルダ) → 「Tera Term Pro」(プログラム) → ttermpro を起動 X11フォワーディング – Windows でXサーバが起動されていること – TeraTerm を 起 動 → メ ニ ュ ー バ ー か ら 「 Setup 」 → 「 SSH Forwarding 」 → 「Display remote X application on local..」をチェック 2000/11/15 17/24 [email protected] UNIXでの使い方 - ログイン ログイン lune % ssh soleil 公開鍵認証を使う場合には, 前準備が必要 lune % ssh-keygen – パスフレーズは空白にしない. (危険!) – private-key を登録する. – public-key をSSHサーバに転送する. 2000/11/15 18/24 [email protected] UNIXでの使い方 - ファイル転送 scp の例 lune % scp -p file1 soleil:~ lune % scp -p directory soleil:~ – 総称文字 lune % scp -p * soleil:~ – 軽い暗号システムの使用 lune % scp -p -c blowfish file1 soleil:~ sftp lune % sftp soleil 2000/11/15 19/24 [email protected] UNIXでの使い方 - ファイル転送 ポートフォワーディングの利用 – ポートの設定 lune% ssh -L 12345:soleil:21 soleil – 別のウィンドウから 2000/11/15 lune% ftp localhost 12345 Connected to localhost. 220 soleil FTP server …... Name (localhost:yashiro): 331 Password required for yashiro. Password: my-PW 230 User yashiro logged in ftp> passive 20/24 [email protected] UNIX へのインストレーション Configure % ./configure --with-libwrap=/usr/ lib Make % make # make install Configuration – TCP wrappers の hosts.allow sshd: LOCAL, sshdfwd-X11: sshdfwd-12345: LOCAL, hostname 2000/11/15 21/24 .kek.jp LOCAL [email protected] SSH とtelnet hostA hostC hostB telnet=平文通信 2000/11/15 SSH=暗号通信 22/24 [email protected] パスワード認証 vs 公開鍵認証 パスワード認証 公開鍵認証 パスワードが漏れたら 致命的 致命的 パスワードの保管 暗号化 非保存 パスワード検査 可能 不可能 複数のリモートホスト のパスワード 異なる 同一 認証の主体ホスト サーバ クライアント 2000/11/15 23/24 [email protected] F-Secure vs OpenSSH SSH2 OpenSSH 価格 8万円/licence フリー インストレーション 容易 めんどう 公開鍵認証 DSA, RSA DSA PCクライアント SSH社 SSH社 ファイル転送 Sftp, scp Sftpを追加 2000/11/15 TTSSH, Nifty 24/24 TTSSH, Nifty? [email protected]
© Copyright 2024 ExpyDoc