Address Manager および DNS/DHCP サーバ v9.5.0 からは、SSH サービスを強化するためのスクリプトが Address Manager および DNS/DHCP サーバに追加されました。強化スクリプトを実行すると、SSH クライアントおよびデーモン構成から弱いアルゴリズムを削除することで、その使用が抑制されます。
重要: 強化スクリプトは、ユーザが SSH を強化するすべての v9.5.0 Address Manager および DNS/DHCP サーバで手動で実行する必要があります。新しい v9.5.0 サーバまたは v9.5.0 にアップグレードされたサーバでは、デフォルトで SSH は強化されていません。
重要: 信頼関係を構築するとき、Address Manager v9.4.x サーバ以前は、強化された SSH を有効にした状態では有効にならない SSH アルゴリズムを使用します。確立された信頼関係を維持している間、v9.5.0 にアップグレードされたサーバの場合、SSH 強化スクリプトを実行する前に信頼関係で SSH 鍵を更新する必要があります。これにより、信頼関係内のすべての Address Manager サーバ間において、強化された SSH (
ed25519) で有効な新しい鍵が生成され、転送されます。信頼関係での SSH 鍵の更新に関する詳細は、「信頼関係における Address Manager 鍵の更新」を参照してください。鍵を更新した後、下の説明通りに各 Address Manager サーバで個別に SSH 強化を実行してください。Address Manager または DNS/DHCP サーバで SSH を強化するには:
- Address Manager または DNS/DHCP サーバ管理コンソールにルートとしてログインします。注: ルート資格情報に関する詳細は、「ルート パスワードの設定」を参照してください。
harden_ssh.shスクリプトを実行します。スクリプトの保存場所は、Address Manager および DNS/DHCP サーバ アプライアンスの次の場所です:/usr/local/bluecat/harden_ssh.sh- コンソールにユーザへの警告が表示されます。
$ ./harden_ssh.sh *** WARNING *** Running this script results in a restart of the SSH daemon. Any active SSH connections will be terminated! Reconnect via SSH after completion of this script to verify that the contents of the following files are uncommented: - /etc/ssh/sshd_config.d/bluecat_hardened_ssh.conf - /etc/ssh/ssh_config.d/bluecat_hardened_ssh.conf Do you want to proceed? (y/n)yと入力して続行します。SSH からリモート接続する場合、セッションは終了します。 - SSH から接続済みの場合、Address Manager または DNS/DHCP サーバへの接続を再確立してください。次のファイルのコンテンツがコメントアウトされていないことを確認します:
/etc/ssh/sshd_config.d/bluecat_hardened_ssh.conf /etc/ssh/ssh_config.d/bluecat_hardened_ssh.conf
SSH の弱体化 (強化された SSH 変更の反転)
SSH 強化の変更は、
weaken_ssh.sh スクリプトを使用して上で説明したプロセスを実行することで簡単に反転できます。スクリプトの保存場所は、Address Manager および DNS/DHCP サーバ アプライアンスの次の場所です:/usr/local/bluecat/weaken_ssh.shy と入力してスクリプトを実行し、必要に応じてコンソールへの接続を再確立して、次のファイルのコンテンツがコメントアウトされていることを確認します:
/etc/ssh/sshd_config.d/bluecat_hardened_ssh.conf
/etc/ssh/ssh_config.d/bluecat_hardened_ssh.conf