セキュア シェル バージョン 2 サポート

セキュア シェル バージョン 2 サポート機能で、セキュア シェル(SSH)バージョン 2 を設定できます(SSH バージョン 1 サポートは、以前のシスコ ソフトウェア リリースに実装されていました)。SSH は、信頼性の高いトランスポート層の上部で実行され、強力な認証機能と暗号化機能を提供します。SSH では、信頼できる転送として定義されているのは TCP のみです。SSH で、ネットワーク上の他のコンピュータに安全にアクセスしたり、コマンドを安全に実行できます。SSH とともに提供されるセキュア コピー プロトコル(SCP)機能で、ファイルを安全に転送できます。

セキュア シェル バージョン 2 サポートの前提条件

  • SSH を設定する前に、ご使用のデバイスに必要なイメージがロードされていることを確認します。SSH サーバーには、ご使用のリリースに応じた k9(Triple Data Encryption Standard [3DES])ソフトウェア イメージが必要です。

  • SSH バージョン 2 をサポートする SSH リモート デバイスを使用する必要があります。また、シスコ デバイスに接続する必要があります。

  • SCP は、認証、認可、およびアカウンティング(AAA)によって正しく機能します。そのため、SSH サーバーで Secure Copy Protocol が有効になるようにデバイスで AAA を設定する必要があります。


Note

SSH バージョン 2 サーバーと SSH バージョン 2 クライアントは、ご使用のリリースに応じてシスコ ソフトウェアでサポートされます(SSH クライアントは SSH バージョン 1 プロトコルと SSH バージョン 2 プロトコルの両方を実行します。SSH クライアントは、ご使用のリリースに応じて k8 および k9 イメージの両方でサポートされます)。

ソフトウェア イメージのダウンロードに関する情報については、『Cisco IOS Configuration Fundamentals コンフィギュレーション ガイド』を参照してください。

セキュア シェル バージョン 2 サポートの制約事項

  • Cisco IOS XE リリース 17.10 以降、セキュアシェルバージョン 1.99 はサポートされていません。

  • セキュア シェル(SSH)サーバーと SSH クライアントは、Triple Data Encryption Standard(3DES)ソフトウェア イメージでサポートされます。

  • サポートされるアプリケーションは、実行シェル、remote コマンドの実行、Secure Copy Protocol(SCP)のみです。

  • Rivest、Shamir、および Adleman(RSA)キー生成は SSH サーバー側の要件です。SSH クライアントとして動作するデバイスは、RSA キーを生成する必要がありません。

  • Cisco IOS XE リリース 17.10 以降、RSA キーペアの最小サイズは 2048 ビットである必要があります。

    Cisco IOS XE リリース 17.11 以降では、弱い RSA キーを引き続き使用する場合、crypto engine compliance shield disable コマンドを使用してデバイスで CSDL コンプライアンスを無効にし、再起動してください。

  • 次の機能はサポートされていません。

    • ポート フォワーディング。

    • Compression

セキュア シェル バージョン 2 サポートに関する情報

SSH バージョン 2

セキュア シェル バージョン 2 サポート機能で、SSH バージョン 2 を設定できます。

SSH バージョン 2 サーバの設定は、SSH バージョン 1 の設定と同様です。ip ssh version コマンドは、設定する SSH バージョンを定義します。このコマンドを設定しない場合、デフォルトで SSH は互換モードで実行されます。バージョン 1 とバージョン 2 両方の接続が利用できます。


Note

SSH バージョン 1 は、標準として定義されていないプロトコルです。未定義のプロトコル(バージョン 1)にデバイスがフォールバックしないようにするには、 ip ssh version コマンドを使用してバージョン 2 を指定する必要があります。

ip ssh rsa keypair-name コマンドを使用すると、設定した Rivest、Shamir、および Adleman(RSA)キーを使用して SSH 接続を実行できます。すでに、SSH は生成済みの最初の RSA キーにリンクされています(つまり、最初の RSA キー ペアが生成された時点で SSH はイネーブルになっています)。この動作は存在していますが、ip ssh rsa keypair-name コマンドを使用してこの動作を行わないようにすることができます。 ip ssh rsa keypair-name コマンドをキー ペアの名前を指定して設定すると、SSH は、キー ペアが存在する場合に有効になるか、キー ペアを後で作成する場合は後から有効になります。このコマンドを使用して SSH をイネーブルにする場合、Cisco ソフトウェアの SSH バージョン 1 では必要な、ホスト名とドメイン名を設定を設定する必要はありません。


Note

ログイン バナーは SSH バージョン 2 でサポートされますが、セキュア シェル バージョン 1 ではサポートされません。

セキュア シェル バージョン 2 の機能拡張

SSH バージョン 2 の機能拡張には、Virtual Routing and Forwarding(VRF)-Aware SSH、SSH デバッグ機能拡張、および Diffie-Hellman(DH)グループ交換のサポートなどの追加機能がいくつか含まれています。


Note

VRF-Aware SSH 機能は、ご使用のリリースに応じてサポートされます。

Cisco SSH 実装では従来、768 ビット絶対値が使用されていましたが、DH グループ 14(2048 ビット)およびグループ 16(4096 ビット)暗号化アプリケーションに対応するため、より大きなキー サイズの必要性が高まり、優先 DH グループを確立するクライアントとサーバー間のメッセージ交換が必要になっています。ip ssh dh min size コマンドは、SSH サーバー上のモジュラス サイズを設定します。これに加え、ssh コマンドが拡張され、SSH クライアント側のクライアントの VRF インスタンス名を IP アドレスとともに使用して、正しいルーティング テーブルを検索し、接続を確立する機能に、VRF 認識が追加されました。

SSH debug コマンドが修正され、デバッグが拡張されました。debug ip ssh コマンドは、デバッグ プロセスを簡素化するために拡張されました。デバッグ プロセスを簡素化する前、このコマンドでは、明確に必要かどうかに関係なく SSH に関連するすべてのデバッグ メッセージが印刷されました。この動作は依然として存在しますが、 debug ip ssh コマンドをキーワードを指定して設定した場合、メッセージはキーワードで指定した情報に制限されます。

セキュア シェル バージョン 2 の RSA キーに関する機能拡張

Cisco SSH バージョン 2 は、キーボード インタラクティブ認証方式およびパスワード ベースの認証方式をサポートしています。RSA キーの SSH バージョン 2 拡張機能は、クライアントとサーバ向けの RSA ベースの公開キー認証もサポートしています。

ユーザ認証:RSA ベースのユーザ認証では、各ユーザに関連付けられている秘密キー/公開キーのペアを認証に使用します。ユーザは秘密キー/公開キーのペアをクライアントで生成し、公開キーを Cisco SSH サーバで設定して、認証を完了します。

クレデンシャルの確立を試行する SSH ユーザは、秘密キーを使用して暗号化された署名を提示します。署名とユーザの公開キーは、認証のために SSH サーバに送信されます。SSH サーバでは、ユーザから提示された公開キーに対してハッシュを計算します。ハッシュは、サーバに一致するエントリがあるかどうかを判断するために使用されます。一致が見つかった場合、RSA ベースのメッセージ検証が公開キーを使用して実行されます。その結果、暗号化されたシグニチャに基づいて、ユーザのアクセスは認証されるか拒否されます。

サーバ認証:SSH セッションの確立中に、Cisco SSH クライアントは、キー交換フェーズ中に使用できるサーバ ホスト キーを使用して、SSH サーバを認証します。SSH サーバ キーは、SSH サーバの識別に使用されます。これらのキーは SSH がイネーブルになるときに作成され、クライアント側で設定する必要があります。

サーバ認証の場合、Cisco SSH クライアントが各サーバにホスト キーを割り当てる必要があります。クライアントがサーバとの間で SSH セッションを確立しようとすると、クライアントはキー交換メッセージの一部として、サーバの署名を受信します。厳密なホスト キーのチェック フラグがクライアント側でイネーブルの場合、そのサーバに対応するホスト キー エントリがあるかどうかがクライアントで確認されます。一致が見つかると、クライアントはサーバ ホスト キーを使用して署名の検証を試行します。サーバの認証に成功すると、セッションの確立処理は続行します。失敗すると、処理は終了し、「Server Authentication Failed」というメッセージが表示されます。


Note

公開キーをサーバで格納する際、メモリを使用します。したがって、SSH サーバで設定できる公開キーの数は、1 ユーザに最大 2 つの公開キーを作成した場合 10 ユーザ分に限られます。


Note

シスコ サーバは RSA ベースのユーザ認証をサポートしていますが、シスコ クライアントは認証方式として公開キーを提案できません。RSA ベースの認証に対するオープンな SSH クライアントからの要求を Cisco サーバが受信した場合、サーバは認証要求を受け入れます。


Note

サーバ認証の場合、サーバの RSA 公開キーを手動で設定し、Cisco SSH クライアント側で ip ssh stricthostkeycheck コマンドを設定します。

SNMP トラップ生成

ご使用のリリースに応じて、簡易ネットワーク管理プロトコル(SNMP)トラップは、トラップが有効で SNMP デバッグがオンになっている場合、SSH セッションが終了した際に自動的に生成されます。SNMP トラップの有効化に関する情報については、『SNMP Configuration Guide』の「Configuring SNMP Support」モジュールを参照してください。


Note

snmp-server host コマンドを設定する場合、IP アドレスは、SSH(telnet)クライアントがあり、SSH サーバへの IP 接続が可能な PC のアドレスにする必要があります。

また、debug snmp packet コマンドを使用して SNMP デバッグを有効にし、トラップを表示する必要があります。トラップ情報には、送信バイト数や SSH セッションで使用されたプロトコルなどの情報が含まれます。

SSH キーボード インタラクティブ認証

SSH キーボード インタラクティブ認証機能は、SSH での汎用メッセージ認証とも呼ばれ、異なる種類の認証メカニズムを実装するために使用できる方式です。基本的に、現在サポートされている、ユーザの入力のみが必要な認証方式はすべて、この機能で実行することができます。この機能は自動的にイネーブルになります。

次の方式がサポートされています。

  • パスワード

  • サーバが送信するチャレンジ に応答する番号またはストリングを印刷する SecurID およびハードウェア トークン

  • プラグイン可能な認証モジュール(PAM)

  • S/KEY(およびその他の使い捨てキー)

自動的にイネーブルにされた SSH キーボードインタラクティブ認証機能のさまざまなシナリオの例については、例:SSH キーボード インタラクティブ認証 を参照してください。

セキュア シェル バージョン 2 サポートの設定方法

ホスト名およびドメイン名を使用した SSH バージョン 2 のデバイス設定

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. hostname name
  4. ip domain-name name
  5. crypto key generate rsa
  6. ip ssh [time-out seconds | authentication-retries integer ]
  7. ip ssh version [1 | 2 ]
  8. exit

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

hostname name

Example:


Device(config)# hostname cisco7200

デバイスのホスト名を設定します。

Step 4

ip domain-name name

Example:


cisco7200(config)# ip domain-name example.com

デバイスのドメイン名を設定します。

Step 5

crypto key generate rsa

Example:


cisco7200(config)# crypto key generate rsa

ローカルおよびリモート認証用に SSH サーバをイネーブルにします。

Step 6

ip ssh [time-out seconds | authentication-retries integer ]

Example:


cisco7200(config)# ip ssh time-out 120

(任意)デバイス上で SSH 制御変数を設定します。

Step 7

ip ssh version [1 | 2 ]

Example:


cisco7200(config)# ip ssh version 1

(任意)デバイスで実行する SSH のバージョンを指定します。

Step 8

exit

Example:


cisco7200(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

  • デフォルト ホストに戻るには、 no hostname コマンドを使用します。

RSA キー ペアを使用した SSH バージョン 2 のデバイス設定

Procedure

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

ip ssh rsa keypair-name keypair-name

Example:


Device(config)# ip ssh rsa keypair-name sshkeys

SSH に使用する RSA キー ペアを指定します。

Note

 

シスコ デバイスには複数の RSA キー ペアを設定できます。

Step 4

crypto key generate rsa usage-keys label key-label modulus modulus-size

Example:


Device(config)# crypto key generate rsa usage-keys label sshkeys modulus 768

デバイスでローカルおよびリモート認証を行う SSH サーバを有効にします。

  • SSH バージョン 2 では、絶対サイズは 768 ビット以上である必要があります。

Note

 

RSA キー ペアを削除するには、crypto key zeroize rsa コマンドを使用します。RSA キー ペアを削除すると、SSH サーバは自動的に無効になります。

Step 5

ip ssh [time-out seconds | authentication-retries integer ]

Example:


Device(config)# ip ssh time-out 12

デバイス上で SSH 制御変数を設定します。

Step 6

ip ssh version 2

Example:


Device(config)# ip ssh version 2

デバイスで実行する SSH のバージョンを指定します。

Step 7

exit

Example:


Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

RSA ベースのユーザ認証を実行するための Cisco SSH サーバの設定

Procedure

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

hostname name

Example:


Device(config)# hostname host1

ホスト名を指定します。

Step 4

ip domain-name name

Example:


host1(config)# ip domain-name name1

Cisco ソフトウェアで使用するデフォルトのドメイン名を定義し、不完全なホスト名のドメインを補完します。

Step 5

crypto key generate rsa

Example:


host1(config)# crypto key generate rsa

RSA キー ペアを生成します。

Step 6

ip ssh pubkey-chain

Example:


host1(config)# ip ssh pubkey-chain

SSH サーバ上のユーザおよびサーバ認証用に SSH-RSA キーを設定し、公開キー コンフィギュレーション モードを開始します。

  • サーバに保存されている RSA 公開キーが、クライアントに保存されている公開キーと秘密キーのペアを使用して検証されると、ユーザ認証は成功です。

Step 7

username username

Example:


host1(conf-ssh-pubkey)# username user1

SSH ユーザ名を設定し、公開キー ユーザ コンフィギュレーション モードを開始します。

Step 8

key-string

Example:


host1(conf-ssh-pubkey-user)# key-string

リモート ピアの RSA 公開キーを指定し、公開キー データ コンフィギュレーション モードを開始します。

Note

 

オープン SSH クライアントから(言い換えると .ssh/id_rsa.pub ファイルから)公開キー値を取得できます。

Step 9

key-hash key-type key-name

Example:


host1(conf-ssh-pubkey-data)# key-hash ssh-rsa key1

(任意)SSH キー タイプとバージョンを指定します。

  • 秘密キー/公開キー ペアの設定では、キー タイプを ssh-rsa にする必要があります。

  • key-string コマンドが設定されている場合に限りこの手順は任意です。

  • key-string コマンドと key-hash コマンドのいずれかを設定する必要があります。

Note

 

公開キー ストリングのハッシュを計算するには、ハッシュ処理ソフトウェアを使用します。また、別のシスコ デバイスからハッシュ値をコピーすることもできます。初めて公開キー データを入力する場合、key-string コマンドを使用して公開キー データを入力することを推奨します。

Step 10

end

Example:


host1(conf-ssh-pubkey-data)# end

公開キー データ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

  • デフォルト ホストに戻るには、 no hostname コマンドを使用します。

RSA ベースのサーバ認証を実行するための Cisco IOS SSH サーバの設定

Procedure

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

hostname name

Example:


Device(config)# hostname host1

ホスト名を指定します。

Step 4

ip domain-name name

Example:


host1(config)# ip domain-name name1

Cisco ソフトウェアで使用するデフォルトのドメイン名を定義し、不完全なホスト名のドメインを補完します。

Step 5

crypto key generate rsa

Example:


host1(config)# crypto key generate rsa

RSA キー ペアを生成します。

Step 6

ip ssh pubkey-chain

Example:


host1(config)# ip ssh pubkey-chain

SSH サーバ上のユーザおよびサーバ認証用に SSH-RSA キーを設定し、公開キー コンフィギュレーション モードを開始します。

Step 7

server server-name

Example:


host1(conf-ssh-pubkey)# server server1

デバイスでの公開キー認証について SSH サーバを有効にし、公開キー サーバ コンフィギュレーション モードを開始します。

Step 8

key-string

Example:


host1(conf-ssh-pubkey-server)# key-string

リモート ピアの RSA 公開キーを指定し、公開キー データ コンフィギュレーション モードを開始します。

Note

 

オープン SSH クライアントから(言い換えると .ssh/id_rsa.pub ファイルから)公開キー値を取得できます。

Step 9

exit

Example:


host1(conf-ssh-pubkey-data)# exit

公開キー データ コンフィギュレーション モードを終了し、公開キー サーバ コンフィギュレーション モードを開始します。

Step 10

key-hash key-type key-name

Example:


host1(conf-ssh-pubkey-server)# key-hash ssh-rsa key1

(任意)SSH キー タイプとバージョンを指定します。

  • 秘密キー/公開キー ペアの設定では、キー タイプを ssh-rsa にする必要があります。

  • key-string コマンドが設定されている場合に限りこの手順は任意です。

  • key-string コマンドと key-hash コマンドのいずれかを設定する必要があります。

Note

 

公開キー ストリングのハッシュを計算するには、ハッシュ処理ソフトウェアを使用します。また、別のシスコ デバイスからハッシュ値をコピーすることもできます。初めて公開キー データを入力する場合、key-string コマンドを使用して公開キー データを入力することを推奨します。

Step 11

end

Example:


host1(conf-ssh-pubkey-server)# end

公開キー サーバ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

Step 12

configure terminal

Example:


host1# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 13

ip ssh stricthostkeycheck

Example:


host1(config)# ip ssh stricthostkeycheck

サーバ認証が実行されることを確認します。

  • 障害が発生すると、接続は終了します。

  • デフォルト ホストに戻るには、 no hostname コマンドを使用します。

リモート デバイスとの暗号化セッションの開始


Note

接続するデバイスは、シスコ ソフトウェアでサポートされる暗号化アルゴリズムを備えたセキュア シェル(SSH)サーバをサポートしている必要があります。また、デバイスを有効にする必要はありません。SSH はディセーブル モードで実行できます。

Procedure

ssh [-v {1 | 2 } | -c {aes128-ctr | aes192-ctr | aes256-ctr | aes128-cbc | 3des | aes192-cbc | aes256-cbc } | -l user-id | -l user-id : vrf-name number ip-address ip-address | -l user-id : rotary number ip-address | -m {hmac-md5-128 | hmac-md5-96 | hmac-sha1-160 | hmac-sha1-96 } | -o numberofpasswordprompts n | -p port-num ] {ip-addr | hostname } [command | -vrf ]

Example:


Device# ssh -v 2 -c aes256-ctr -m hmac-sha1-96 -l user2 10.76.82.24

リモート ネットワーク デバイスとの暗号化されたセッションを開始します。

トラブルシューティングのヒント

ip ssh version コマンドは、SSH の設定のトラブルシューティングに使用できます。バージョンを変更することによって、問題がある SSH バージョンを特定できます。

SSH サーバでの Secure Copy Protocol のイネーブル化


Note

次のタスクでは、SCP のサーバ側機能を設定します。このタスクは、デバイスでリモートのワークステーションからファイルを安全にコピーできる一般的な設定を示しています。

Procedure

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

aaa new-model

Example:


Device(config)# aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

Step 4

aaa authentication login default local

Example:


Device(config)# aaa authentication login default local

認証時にローカルのユーザ名データベースを使用するように、ログイン時の AAA 認証を設定します。

Step 5

aaa authorization exec default local

Example:


Device(config)# aaa authorization exec default local

ユーザ アクセスを制限するパラメータをネットワークに設定します。許可を実行し、ユーザ ID で EXEC シェルの実行を許可するかどうかを定義します。その後、システムで許可にローカル データベースを使用する必要があることを指定します。

Step 6

username name privilege privilege-level password password

Example:


Device(config)# username samplename privilege 15 password password1

ユーザ名ベースの認証システムを確立し、ユーザ名、権限レベル、および非暗号化パスワードを指定します。

Note

 

privilege-level 引数の最小値は 15 です。権限レベルが 15 未満の場合、接続が切断されます。

Step 7

ip ssh time-out seconds

Example:


Device(config)# ip ssh time-out 120

デバイスが SSH クライアントの応答を待つ時間間隔を、秒単位で設定します。

Step 8

ip ssh authentication-retries 整数

Example:


Device(config)# ip ssh authentication-retries 3

インターフェイスのリセット後、認証を試行する回数を設定します。

Step 9

ip scpserverenable

Example:


Device(config)# ip scp server enable

デバイスで、リモート ワークステーションから安全にファイルをコピーできるようにします。

Step 10

exit

Example:


Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

Step 11

debug ip scp

Example:


Device# debug ip scp

(任意)SCP 認証の問題に関する診断情報を提供します。

セキュア シェル接続のステータスの確認

Procedure

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

show ssh

Example:


Device# show ssh

SSH サーバ接続のステータスを表示します。

Step 3

exit

Example:


Device# exit

特権 EXEC モードを終了し、ユーザ EXEC モードに戻ります。

次の show ssh コマンドの出力例には、バージョン 1 およびバージョン 2 接続の複数の SSH バージョン 1 およびバージョン 2 接続のステータスが表示されています。 


-----------------------------------------------------------------------
Device# show ssh

Connection      Version Encryption      State                   Username
 0              1.5     3DES            Session started         lab
Connection Version Mode Encryption  Hmac                State          
Username
1          2.0     IN   aes128-cbc  hmac-md5     Session started       lab
1          2.0     OUT  aes128-cbc  hmac-md5     Session started       lab
-------------------------------------------------------------------------

次の show ssh コマンドの出力例には、バージョン 2 接続(バージョン 1 接続なし)の複数の SSH バージョン 2 およびバージョン 1 接続のステータスが表示されています。 


-------------------------------------------------------------------------
Device# show ssh

Connection Version Mode Encryption  Hmac                State          
Username
1          2.0     IN   aes128-cbc  hmac-md5     Session started       lab
1          2.0     OUT  aes128-cbc  hmac-md5     Session started       lab
%No SSHv1 server connections running.
-------------------------------------------------------------------------

次の show ssh コマンドの出力例には、バージョン 2 接続(バージョン 1 接続なし)の複数の SSH バージョン 1 およびバージョン 2 接続のステータスが表示されています。 


-------------------------------------------------------------------------
Device# show ssh

Connection      Version Encryption      State                   Username
 0              1.5     3DES            Session started         lab
%No SSHv2 server connections running.
-------------------------------------------------------------------------

セキュア シェル ステータスの確認

Procedure

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

show ip ssh

Example:


Device# show ip ssh

SSH のバージョンおよび設定データを表示します。

Step 3

exit

Example:


Device# exit

特権 EXEC モードを終了し、ユーザ EXEC モードに戻ります。

次の show ip ssh コマンドの出力例には、有効な SSH のバージョン、認証タイムアウト値、およびバージョン 1 およびバージョン 2 接続の認証の再試行回数が表示されています。 


-----------------------------------------------------------------------
Device# show ip ssh

SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
-----------------------------------------------------------------------

次の show ip ssh コマンドの出力例には、有効な SSH のバージョン、認証タイムアウト値、およびバージョン 2 接続(バージョン 1 接続なし)の認証の再試行回数が表示されています。 


------------------------------------------------------------------------
Device# show ip ssh

SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
------------------------------------------------------------------------

次の show ip ssh コマンドの出力例には、有効な SSH のバージョン、認証タイムアウト値、およびバージョン 1 接続(バージョン 2 接続なし)の認証の再試行回数が表示されています。 


------------------------------------------------------------------------
Device# show ip ssh

3d06h: %SYS-5-CONFIG_I: Configured from console by console
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
------------------------------------------------------------------------

セキュア シェル バージョン 2 のモニタリングと維持

Procedure

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

debug ip ssh

Example:


Device# debug ip ssh

SSH のデバッグを有効にします。

Step 3

debug snmp packet

Example:


Device# debug snmp packet

デバイスによって送受信されたすべての SNMP パケットのデバッグを有効にします。

次の debug ip ssh コマンドの出力例は、接続が SSH バージョン 2 接続であることを示します。 


Device# debug ip ssh

00:33:55: SSH1: starting SSH control process
00:33:55: SSH1: sent protocol version id SSH-1.99-Cisco-1.25
00:33:55: SSH1: protocol version id is - SSH-2.0-OpenSSH_2.5.2p2
00:33:55: SSH2 1: send: len 280 (includes padlen 4)
00:33:55: SSH2 1: SSH2_MSG_KEXINIT sent
00:33:55: SSH2 1: ssh_receive: 536 bytes received
00:33:55: SSH2 1: input: packet len 632
00:33:55: SSH2 1: partial packet 8, need 624, maclen 0
00:33:55: SSH2 1: ssh_receive: 96 bytes received
00:33:55: SSH2 1: partial packet 8, need 624, maclen 0
00:33:55: SSH2 1: input: padlen 11
00:33:55: SSH2 1: received packet type 20
00:33:55: SSH2 1: SSH2_MSG_KEXINIT received
00:33:55: SSH2: kex: client->server aes128-cbc hmac-md5 none
00:33:55: SSH2: kex: server->client aes128-cbc hmac-md5 none
00:33:55: SSH2 1: expecting SSH2_MSG_KEXDH_INIT
00:33:55: SSH2 1: ssh_receive: 144 bytes received
00:33:55: SSH2 1: input: packet len 144
00:33:55: SSH2 1: partial packet 8, need 136, maclen 0
00:33:55: SSH2 1: input: padlen 5
00:33:55: SSH2 1: received packet type 30
00:33:55: SSH2 1: SSH2_MSG_KEXDH_INIT received
00:33:55: SSH2 1: signature length 111
00:33:55: SSH2 1: send: len 384 (includes padlen 7)
00:33:55: SSH2: kex_derive_keys complete
00:33:55: SSH2 1: send: len 16 (includes padlen 10)
00:33:55: SSH2 1: newkeys: mode 1
00:33:55: SSH2 1: SSH2_MSG_NEWKEYS sent
00:33:55: SSH2 1: waiting for SSH2_MSG_NEWKEYS
00:33:55: SSH2 1: ssh_receive: 16 bytes received
00:33:55: SSH2 1: input: packet len 16
00:33:55: SSH2 1: partial packet 8, need 8, maclen 0
00:33:55: SSH2 1: input: padlen 10
00:33:55: SSH2 1: newkeys: mode 0
00:33:55: SSH2 1: received packet type 2100:33:55: SSH2 1: SSH2_MSG_NEWKEYS received
00:33:56: SSH2 1: ssh_receive: 48 bytes received
00:33:56: SSH2 1: input: packet len 32
00:33:56: SSH2 1: partial packet 16, need 16, maclen 16
00:33:56: SSH2 1: MAC #3 ok
00:33:56: SSH2 1: input: padlen 10
00:33:56: SSH2 1: received packet type 5
00:33:56: SSH2 1: send: len 32 (includes padlen 10)
00:33:56: SSH2 1: done calc MAC out #3
00:33:56: SSH2 1: ssh_receive: 64 bytes received
00:33:56: SSH2 1: input: packet len 48
00:33:56: SSH2 1: partial packet 16, need 32, maclen 16
00:33:56: SSH2 1: MAC #4 ok
00:33:56: SSH2 1: input: padlen 9
00:33:56: SSH2 1: received packet type 50
00:33:56: SSH2 1: send: len 32 (includes padlen 13)
00:33:56: SSH2 1: done calc MAC out #4
00:34:04: SSH2 1: ssh_receive: 160 bytes received
00:34:04: SSH2 1: input: packet len 64
00:34:04: SSH2 1: partial packet 16, need 48, maclen 16
00:34:04: SSH2 1: MAC #5 ok
00:34:04: SSH2 1: input: padlen 13
00:34:04: SSH2 1: received packet type 50
00:34:04: SSH2 1: send: len 16 (includes padlen 10)
00:34:04: SSH2 1: done calc MAC out #5
00:34:04: SSH2 1: authentication successful for lab
00:34:04: SSH2 1: input: packet len 64
00:34:04: SSH2 1: partial packet 16, need 48, maclen 16
00:34:04: SSH2 1: MAC #6 ok
00:34:04: SSH2 1: input: padlen 6
00:34:04: SSH2 1: received packet type 2
00:34:04: SSH2 1: ssh_receive: 64 bytes received
00:34:04: SSH2 1: input: packet len 48
00:34:04: SSH2 1: partial packet 16, need 32, maclen 16
00:34:04: SSH2 1: MAC #7 ok
00:34:04: SSH2 1: input: padlen 19
00:34:04: SSH2 1: received packet type 90
00:34:04: SSH2 1: channel open request
00:34:04: SSH2 1: send: len 32 (includes padlen 10)
00:34:04: SSH2 1: done calc MAC out #6
00:34:04: SSH2 1: ssh_receive: 192 bytes received
00:34:04: SSH2 1: input: packet len 64
00:34:04: SSH2 1: partial packet 16, need 48, maclen 16
00:34:04: SSH2 1: MAC #8 ok
00:34:04: SSH2 1: input: padlen 13
00:34:04: SSH2 1: received packet type 98
00:34:04: SSH2 1: pty-req request
00:34:04: SSH2 1: setting TTY - requested: height 24, width 80; set: height 24, 
width 80
00:34:04: SSH2 1: input: packet len 96
00:34:04: SSH2 1: partial packet 16, need 80, maclen 16
00:34:04: SSH2 1: MAC #9 ok
00:34:04: SSH2 1: input: padlen 11
00:34:04: SSH2 1: received packet type 98
00:34:04: SSH2 1: x11-req request
00:34:04: SSH2 1: ssh_receive: 48 bytes received
00:34:04: SSH2 1: input: packet len 32
00:34:04: SSH2 1: partial packet 16, need 16, maclen 16
00:34:04: SSH2 1: MAC #10 ok
00:34:04: SSH2 1: input: padlen 12
00:34:04: SSH2 1: received packet type 98
00:34:04: SSH2 1: shell request
00:34:04: SSH2 1: shell message received
00:34:04: SSH2 1: starting shell for vty
00:34:04: SSH2 1: send: len 48 (includes padlen 18)
00:34:04: SSH2 1: done calc MAC out #7
00:34:07: SSH2 1: ssh_receive: 48 bytes received
00:34:07: SSH2 1: input: packet len 32
00:34:07: SSH2 1: partial packet 16, need 16, maclen 16
00:34:07: SSH2 1: MAC #11 ok
00:34:07: SSH2 1: input: padlen 17
00:34:07: SSH2 1: received packet type 94
00:34:07: SSH2 1: send: len 32 (includes padlen 17)
00:34:07: SSH2 1: done calc MAC out #8
00:34:07: SSH2 1: ssh_receive: 48 bytes received
00:34:07: SSH2 1: input: packet len 32
00:34:07: SSH2 1: partial packet 16, need 16, maclen 16
00:34:07: SSH2 1: MAC #12 ok
00:34:07: SSH2 1: input: padlen 17
00:34:07: SSH2 1: received packet type 94
00:34:07: SSH2 1: send: len 32 (includes padlen 17)
00:34:07: SSH2 1: done calc MAC out #9
00:34:07: SSH2 1: ssh_receive: 48 bytes received
00:34:07: SSH2 1: input: packet len 32
00:34:07: SSH2 1: partial packet 16, need 16, maclen 16
00:34:07: SSH2 1: MAC #13 ok
00:34:07: SSH2 1: input: padlen 17
00:34:07: SSH2 1: received packet type 94
00:34:07: SSH2 1: send: len 32 (includes padlen 17)
00:34:07: SSH2 1: done calc MAC out #10
00:34:08: SSH2 1: ssh_receive: 48 bytes received
00:34:08: SSH2 1: input: packet len 32
00:34:08: SSH2 1: partial packet 16, need 16, maclen 16
00:34:08: SSH2 1: MAC #14 ok
00:34:08: SSH2 1: input: padlen 17
00:34:08: SSH2 1: received packet type 94
00:34:08: SSH2 1: send: len 32 (includes padlen 17)
00:34:08: SSH2 1: done calc MAC out #11
00:34:08: SSH2 1: ssh_receive: 48 bytes received
00:34:08: SSH2 1: input: packet len 32
00:34:08: SSH2 1: partial packet 16, need 16, maclen 16
00:34:08: SSH2 1: MAC #15 ok
00:34:08: SSH2 1: input: padlen 17
00:34:08: SSH2 1: received packet type 94
00:34:08: SSH2 1: send: len 32 (includes padlen 16)
00:34:08: SSH2 1: done calc MAC out #12
00:34:08: SSH2 1: send: len 48 (includes padlen 18)
00:34:08: SSH2 1: done calc MAC out #13
00:34:08: SSH2 1: send: len 16 (includes padlen 6)
00:34:08: SSH2 1: done calc MAC out #14
00:34:08: SSH2 1: send: len 16 (includes padlen 6)
00:34:08: SSH2 1: done calc MAC out #15
00:34:08: SSH1: Session terminated normally

セキュア シェル バージョン 2 サポートの設定例

例:セキュア シェル バージョン 1 の設定


Device# configure terminal
Device(config)# ip ssh version 1ip ssh version 2

例:セキュア シェル バージョン 2 の設定


Device# configure terminal
Device(config)# ip ssh version 2

例:セキュア シェル バージョン 1 および 2 の設定


Device# configure terminal
Device(config)# no ip ssh version

例:リモート デバイスでの暗号化セッションの開始


Device# ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -l shaship 10.76.82.24

例:サーバ側 SCP の設定

次の例では、SCP のサーバ側機能の設定方法を示します。この例では、デバイスでの AAA 認証および許可も設定しています。この例では、ローカルに定義されたユーザ名とパスワードを使用します。 

Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa authentication login default local
Device(config)# aaa authorization exec default local
Device(config)# username samplename privilege 15 password password1
Device(config)# ip ssh time-out 120
Device(config)# ip ssh authentication-retries 3
Device(config)# ip scp server enable

例:SNMP トラップの設定

次の例では、設定済みの SNMP トラップを示します。トラップ通知は、SSH セッションが終了すると自動的に生成されます。この例の a、b、c、d は SSH クライアントの IP アドレスです。SNMP トラップデバッグ出力の例については、「例:SNMP のデバッグ」を参照してください。 


snmp-server
snmp-server host a.b.c.d public tty

例:SSH キーボード インタラクティブ認証

例:クライアント側のデバッグの有効化

次の例では、クライアント側のデバッグがオンになっており、プロンプトの最大数が 6(SSH キーボード インタラクティブ認証方式のために 3 つ、パスワード認証方式のために 3 つ)になっています。 


Password:
Password:
Password:
Password:
Password:
Password: cisco123
Last login: Tue Dec 6 13:15:21 2005 from 10.76.248.213
user1@courier:~> exit
logout
[Connection to 10.76.248.200 closed by foreign host]
Device1# debug ip ssh client

SSH Client debugging is on

Device1# ssh -l lab 10.1.1.3

Password:
*Nov 17 12:50:53.199: SSH0: sent protocol version id SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.199: SSH CLIENT0: protocol version id is - SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.199: SSH CLIENT0: sent protocol version id SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.199: SSH CLIENT0: protocol version exchange successful
*Nov 17 12:50:53.203: SSH0: protocol version id is - SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.335: SSH CLIENT0: key exchange successful and encryption on
*Nov 17 12:50:53.335: SSH2 CLIENT 0: using method keyboard-interactive
Password:
Password:
Password:
*Nov 17 12:51:01.887: SSH2 CLIENT 0: using method password authentication
Password:
Password: lab
Device2>

*Nov 17 12:51:11.407: SSH2 CLIENT 0: SSH2_MSG_USERAUTH_SUCCESS message received
*Nov 17 12:51:11.407: SSH CLIENT0: user authenticated
*Nov 17 12:51:11.407: SSH2 CLIENT 0: pty-req request sent
*Nov 17 12:51:11.411: SSH2 CLIENT 0: shell request sent
*Nov 17 12:51:11.411: SSH CLIENT0: session open

例:ブランク パスワードの変更による ChPass の有効化

次の例では、ChPass 機能が有効になっており、SSH キーボード インタラクティブ認証方式を使用してブランク パスワードが変更されています。TACACS+ アクセス コントロール サーバ(ACS)は、バックエンド AAA サーバとして使用されています。 


Device1# ssh -l cisco 10.1.1.3

Password:
Old Password: cisco
New Password: cisco123
Re-enter New password: cisco123

Device2> exit

[Connection to 10.1.1.3 closed by foreign host]

例:ChPass の有効化および初回ログインでのパスワード変更

次の例では、ChPass 機能が有効になっており、TACACS+ ACS はバックエンド サーバとして使用されています。パスワードは、SSH キーボード インタラクティブ 認証方式を使用して最初のログインで変更されています。 


Device1# ssh -l cisco 10.1.1.3

Password: cisco
Your password has expired.
Enter a new one now.
New Password: cisco123
Re-enter New password: cisco123

Device2> exit

[Connection to 10.1.1.3 closed by foreign host]

Device1# ssh -l cisco 10.1.1.3
 
Password:cisco1
Your password has expired.
Enter a new one now.
New Password: cisco
Re-enter New password: cisco12
The New and Re-entered passwords have to be the same.
Try again.
New Password: cisco
Re-enter New password: cisco

Device2>

例:ChPass の有効化および 3 回ログインした後のパスワードの失効

次の例では、ChPass 機能が有効になっており、TACACS+ ACS はバックエンド AAA サーバとして使用されています。パスワードは、SSH キーボード インタラクティブ認証方式を使用して 3 回ログインした後に期限切れになります。 


Device# ssh -l cisco. 10.1.1.3

Password: cisco

Device2> exit

[Connection to 10.1.1.3 closed by foreign host]

Device1# ssh -l cisco 10.1.1.3

Password: cisco

Device2> exit

Device1# ssh -l cisco 10.1.1.3

Password: cisco

Device2> exit

[Connection to 10.1.1.3 closed by foreign host]

Device1# ssh -l cisco 10.1.1.3

Password: cisco
Your password has expired.
Enter a new one now.
New Password: cisco123
Re-enter New password: cisco123

Device2>

例:SNMP のデバッグ

次に、debug snmp packet コマンドの出力例を示します。出力には、SSH セッションの SNMP トラップ情報が含まれます。 


Device1# debug snmp packet

SNMP packet debugging is on
Device1# ssh -l lab 10.0.0.2
Password:

Device2# exit

[Connection to 10.0.0.2 closed by foreign host]
Device1#
*Jul 18 10:18:42.619: SNMP: Queuing packet to 10.0.0.2
*Jul 18 10:18:42.619: SNMP: V1 Trap, ent cisco, addr 10.0.0.1, gentrap 6, spectrap 1
local.9.3.1.1.2.1 = 6
tcpConnEntry.1.10.0.0.1.22.10.0.0.2.55246 = 4
ltcpConnEntry.5.10.0.0.1.22.10.0.0.2.55246 = 1015
ltcpConnEntry.1.10.0.0.1.22.10.0.0.2.55246 = 1056
ltcpConnEntry.2.10.0.0.1.22.10.0.0.2.55246 = 1392
local.9.2.1.18.2 = lab
*Jul 18 10:18:42.879: SNMP: Packet sent via UDP to 10.0.0.2

Device1#

例:SSH のデバッグの強化

次に、debug ip ssh detail コマンドの出力例を示します。出力には、SSH プロトコルとチャネル要求に関するデバッグ情報が含まれます。 


Device# debug ip ssh detail

00:04:22: SSH0: starting SSH control process
00:04:22: SSH0: sent protocol version id SSH-1.99-Cisco-1.25
00:04:22: SSH0: protocol version id is - SSH-1.99-Cisco-1.25
00:04:22: SSH2 0: SSH2_MSG_KEXINIT sent
00:04:22: SSH2 0: SSH2_MSG_KEXINIT received
00:04:22: SSH2:kex: client->server enc:aes128-cbc mac:hmac-sha1 
00:04:22: SSH2:kex: server->client enc:aes128-cbc mac:hmac-sha1 
00:04:22: SSH2 0: expecting SSH2_MSG_KEXDH_INIT
00:04:22: SSH2 0: SSH2_MSG_KEXDH_INIT received
00:04:22: SSH2: kex_derive_keys complete
00:04:22: SSH2 0: SSH2_MSG_NEWKEYS sent
00:04:22: SSH2 0: waiting for SSH2_MSG_NEWKEYS
00:04:22: SSH2 0: SSH2_MSG_NEWKEYS received
00:04:24: SSH2 0: authentication successful for lab
00:04:24: SSH2 0: channel open request
00:04:24: SSH2 0: pty-req request
00:04:24: SSH2 0: setting TTY - requested: height 24, width 80; set: height 24, width 80
00:04:24: SSH2 0: shell request
00:04:24: SSH2 0: shell message received
00:04:24: SSH2 0: starting shell for vty
00:04:38: SSH0: Session terminated normally

次に、debug ip ssh packet コマンドの出力例を示します。出力には、SSH パケットに関するデバッグ情報が含まれます。 


Device# debug ip ssh packet 

00:05:43: SSH2 0: send:packet of  length 280 (length also includes padlen of 4)
00:05:43: SSH2 0: ssh_receive: 64 bytes received 
00:05:43: SSH2 0: input: total packet length of 280 bytes
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received 
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received 
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received 
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 24 bytes received 
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: input: padlength 4 bytes
00:05:43: SSH2 0: ssh_receive: 64 bytes received 
00:05:43: SSH2 0: input: total packet length of 144 bytes
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 136 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received 
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 136 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 16 bytes received 
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 136 bytes, maclen 0
00:05:43: SSH2 0: input: padlength 6 bytes
00:05:43: SSH2 0: signature length 143
00:05:43: SSH2 0: send:packet of  length 448 (length also includes padlen of 7)
00:05:43: SSH2 0: send:packet of  length 16 (length also includes padlen of 10)
00:05:43: SSH2 0: newkeys: mode 1
00:05:43: SSH2 0: ssh_receive: 16 bytes received 
00:05:43: SSH2 0: input: total packet length of 16 bytes
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 8 bytes, maclen 0
00:05:43: SSH2 0: input: padlength 10 bytes
00:05:43: SSH2 0: newkeys: mode 0
00:05:43: SSH2 0: ssh_receive: 52 bytes received 
00:05:43: SSH2 0: input: total packet length of 32 bytes
00:05:43: SSH2 0: partial packet length(block size)16 bytes,needed 16 bytes, maclen 20
00:05:43: SSH2 0: MAC compared for #3 :ok

セキュア シェル バージョン 2 サポートの追加情報

関連資料

関連項目

マニュアル タイトル

Cisco IOS コマンド

『Cisco IOS Master Command List, All Releases』

AAA

ホスト名およびホスト ドメインの設定タスク

セキュア シェルの設定タスク

『Security Configuration Guide:Securing User Services』

ソフトウェア イメージのダウンロード

設定の基礎

『Cisco IOS Configuration Fundamentals Configuration Guide』

IPsec の設定作業

『Security Configuration Guide:Secure Connectivity』

SNMP トラップの設定タスク

『SNMP Configuration Guide』

標準

標準

タイトル

IETF Secure Shell Version 2 Draft 規格

Internet Engineering Task Force の Web サイト

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

セキュア シェル バージョン 2 サポートの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. セキュア シェル バージョン 2 サポートの機能情報

機能名

リリース

機能情報

セキュア シェル バージョン 2 サポート

セキュア シェル バージョン 2 サポート機能を使用して、セキュア シェル(SSH)バージョン 2 を設定できます(SSH バージョン 1 のサポートは、以前の Cisco IOS ソフトウェア リリースで実装されていました)。SSH は、信頼性の高いトランスポート層の上部で実行され、強力な認証機能と暗号化機能を提供します。SSH バージョン 2 は、AES カウンタベース暗号化モードもサポートします。

次のコマンドが導入または変更されました:debug ip ssh ip ssh min dh size ip ssh rsa keypair-name ip ssh version ssh

セキュア シェル バージョン 2 クライアントおよびサーバー サポート

Cisco IOS イメージが、SSH セッション終了時に SNMP トラップを自動的に生成するよう更新されました。

SSH キーボード インタラクティブ認証

SSH キーボード インタラクティブ認証機能は、SSH での汎用メッセージ認証とも呼ばれ、異なる種類の認証メカニズムを実装するために使用できる方式です。基本的に、現在サポートされている、ユーザの入力のみが必要な認証方式はすべて、この機能で実行することができます。

セキュア シェル バージョン 2 の機能拡張

セキュア シェル バージョン 2 の機能拡張には、VRF aware SSH、SSH デバッグ機能拡張、および DH グループ 14 および 16 交換のサポートなどの、追加機能がいくつか含まれています。

次のコマンドが導入または変更されました:debug ip ssh ip ssh dh min size

セキュア シェル バージョン 2 の RSA キーに関する機能拡張

RSA キーのセキュア シェル バージョン 2 機能拡張には、SSH 向け RSA キー ベースのユーザー認証や、SSH サーバー ホスト キーの保存や検証のサポートなどの、追加機能がいくつか含まれています。

次のコマンドが導入または変更されました:ip ssh pubkey-chain ip ssh stricthostkeycheck