SSH 接続

Tera Term の特徴とも言える SSH 接続について解説します。Tera Term は TTSSH プラグインを導入すると SSH 接続に対応します。

前提知識

SSH には SSH1、SSH2 の2種類のプロトコルがあります。SSH2 は SSH1 の上位互換ではないので注意が必要です。接続するホストに応じて適切に選択する必要があります。TTSSH は両方のバージョンに対応しています。

また、SSH の接続方法には

パスワード認証
公開鍵と秘密鍵（キー・ペア）による認証
SSH1 における rhosts 認証
challenge/response (SSH1), keyboard-interactive (SSH2) 認証

がありますが、ここでは需要が多いと思われるパスワード認証とキー・ペア認証について触れたいと思います。

接続の手順

Tera Term を起動すると、下図のようなダイアログによりログイン方法を選ぶことができます。

SSH で接続する場合、デフォルトから変更する箇所は「SSH version」です。接続先のサーバにあわせて選択してください。

接続すると、今度は認証方法を選択するダイアログが現れます。

ここで、パスワード認証を使用する場合は「Use plain password to log in」にチェックがついていることを確認し、ユーザ名とパスワードを入力します。これらが正しければ無事ログインできます。
キー・ペア認証を用いる場合は、上から2番目の「Use RSA/DSA key to log in」にチェックをつけ、「Private key file:」ボタンを押して秘密キーのファイルを指定します。その後ユーザ名と秘密キーのパスフレーズを入力してログインします。

セキュリティ警告

ssh_known_hosts ファイル

SSH 接続時には SSH サーバのホスト鍵をチェックし、一致する鍵が ssh_known_hosts にない場合には警告を表示します。
チェックの結果は以下のように分類されます。

ssh_known_hosts に接続中のホストの鍵が一つも登録されていない
ssh_known_hosts に接続中のホストの鍵が登録されているが、鍵の種類が違う
ssh_known_hosts に接続中のホストの鍵が登録されており、鍵の種類が同じだが、同一の鍵ではない
ssh_known_hosts に接続中のホストの鍵が登録されており、鍵の種類が同じで、同一の鍵である (警告は表示されない)

警告が表示された場合には、意図しないサーバに接続しているか中間者攻撃に遭っている可能性があります。
しかし、始めてサーバに接続するときや、サーバの再インストールなどにより SSH サーバのホスト鍵が変更された場合にもこの警告が表示されます。「警告ダイアログに表示されている、接続中の SSH サーバのホスト鍵の指紋」と「接続しようとしている SSH サーバのホスト鍵の正確な指紋」を比較してください。

OpenSSH の場合、サーバ管理者は以下のようなコマンドでサーバのホスト鍵の指紋を取得できます。

ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub

SSHFP RR

SSH 接続時に、RFC 4255 に規定されている SSHFP RR (Secure SHell FingerPrint Resource Record) による検証が可能ですが、現在のTera Termでは DNSSEC 認証ができないので参考程度の位置づけとなります。

ドメインの所有者であれば DNS の SSHFP レコードに SSH サーバホスト鍵の署名を登録することが可能です。クライアント(Tera Term)は SSHFP レコードを取得し、接続中のサーバホスト鍵と比較することで検証が可能です。
この機能は Windows リゾルバの制限により Windows 2000 以降でのみ有効です。

SSHFP に関して規定している RFC 4255 には「DNSSEC 認証されていない SSHFP RR を信頼してはならない」とあります。
Tera Termが利用しているWindows リゾルバは DNSSEC の署名が検証ができないため、常に DNSSEC 認証に失敗します。

キーの生成

ここで、キー・ペア認証に用いる公開鍵・秘密鍵の生成方法を説明します。鍵ファイルを生成するには [Setup] メニューから「SSH KeyGenerator...」を選択します。

選択すると、鍵の生成ダイアログが現れます。

「Key type」でキーの種類を選べますが、SSH1 プロトコルで使用する場合には「RSA1」を、SSH2 プロトコルで使用する場合には「RSA」または「DSA」を選択します。選択後、「Generate」ボタンを押すとパスフレーズの入力を催されますので、キーのパスフレーズ（パスワードのようなもの。ただし空白を含んでもいいし、一般にパスワードよりも長い物が指定可能）を入力します。入力した後は、「Save public key」ボタン、「Save private key」ボタンを押してキーを保存します。ファイル名は必要がなければデフォルトのままで構いません。保存が終わったら「Cancel」で終了します。

このキー・ファイルの使用方法ですが、デフォルトで保存した場合、拡張子が「pub」となっているファイル（「公開鍵」）の内容を、サーバの指定の場所に保管します。（一般的には (home dir)/.ssh/authorized_keys に内容を追加します。）また、拡張子が付いていないファイルは「秘密鍵」となり、ログイン時に指定する事となります。

注意：秘密鍵（private key）は第三者に絶対に知られてはいけないため、管理を厳重に行うようにしてください。また、誤ってサーバへ転送してしまわないようにしてください。