ssh プログラムを利用することで、リモートのシステムに ログインして対話的な作業を行なうことができるようになります。たとえば sun というホストに対して tux というユーザでログインしたい場合は、 下記のコマンドラインのうちのいずれかを入力します:

ssh tux@sun
ssh -l tux sun

接続元と接続先でユーザ名が同じである場合は、ユーザ名を省略することもできます (ssh sun) 。いずれの場合も、リモート側の ユーザに対するパスワード入力を求められます。 認証が成功すると、リモート側のコマンドラインや対話的なアプリケーション (たとえば YaST など) を利用した作業を行なうことができます。

さらに ssh では、 ssh ホスト コマンド のように入力することで、 対話機能を備えていないコマンドを実行することもできます。ただし、 コマンド には適切に引用符を付ける必要があり ます。また、シェルでの作業のように、複数のコマンドを繋げて実行することも できます。

ssh root@sun "dmesg | tail -n 25"
ssh root@sun "cat /etc/issue && uptime"

scp はローカル側のファイルをリモート側のマシンにコピー したり、逆にリモート側のマシンをローカルにコピーしたりすることができます。 jupiter 上のユーザが sun 上のユーザと異なる場合でも、 ユーザ名@ホスト の形式で指定することで解決できます。 リモート側のホームディレクトリ以外にファイルをコピーしたい場合は、 sun:ディレクトリ のように指定します。 下記の例では、ローカルからリモートに対するファイルコピーと、その逆を 行なっています。

# ローカル -> リモート
scp ~/MyLetter.tex tux@sun:/tmp
# リモート -> ローカル
scp tux@sun:/tmp/MyLetter.tex ~
  

	-l オプションについて
ssh コマンドでは -l オプションを利用する ことで、リモート側のユーザを指定することができます (ユーザ名@ホスト 形式での指定と同じ意味です) 。ですが、 scp での -l は、 scp で使用するネットワーク 帯域を制限する意味で使用します。

正しいパスワードを入力すると、 scp はデータ転送を開始します。開始と同時に進捗 状況が表示され、コピー対象のファイル転送が終了するまでの時間を表示します。 -q オプションを指定すると、これらの出力を省略することができます。

scp ではディレクトリ全体をコピーするための再帰コピー機能が用意されています:

scp -r src/ sun:backup/

上記を実行すると、 src ディレクトリとそのサブディレクトリ 内にある全ての内容を、 sun 内の ~/backup ディレクトリにコピーする意味になります。なお、サブディレクトリが存在しない 場合は、自動的に作成されます。

なお、 -p オプションを指定すると、ファイルのタイムスタンプを 維持するようになります。また、 -C オプションを指定すると、 データ転送時に圧縮機能を利用するようになります。この圧縮機能により転送すべき データ量を減らすことができますが、プロセッサに対してそれなりの負荷がかかります。

複数のプログラムを異なる場所にコピーするような場合は、 scp の代わりに sftp が便利です。これは通常の ftp コマンドの ように、対話的にコマンドを入力して実行するシェルとして動作します。利用可能な コマンドの一覧を表示するには、 sftp のシェルから help と入力してください。また、さらに詳しい説明は sftp (1) のマニュアルページに あります。

sftp sun
Enter passphrase for key '/home/tux/.ssh/id_rsa': 
Connected to sun.
sftp> help
Available commands:
bye                                Quit sftp
cd path                            Change remote directory to 'path'
[...]
  

ssh や cp のような SSH クライアントプログラムで作業を行なうためには、サーバ (SSH デーモン) が裏で動き、 TCP/IP ポート 22 で接続を 待ち受けていなければなりません。デーモンは初回の起動時に 3 種類の鍵対を 生成します。それぞれの鍵対は機密鍵と公開鍵から構成されるもので、一般には 公開鍵ベースの手順と呼ばれます。 SSH を介した通信の機密を保持するため、 機密鍵へのアクセスはシステム管理者に限定しておく必要があります。既定の インストールでは、それらのファイルパーミッションは自動的に適切な値が設定 されます。機密鍵は SSH デーモンのみが読み取れればよいものであるため、 SSH デーモン以外には読み取れないようになっていて、公開鍵 (.pub という拡張子になっています) は接続が開始された 時にクライアントに送信されるものであるため、すべてのユーザから読み取ること ができるようになっています。

接続は SSH クライアント側から行なわれます。接続が行なわれると、待ち受けて いた SSH デーモンが SSH クライアントの間でプロトコルやソフトウエア バージョンなどの識別情報を交換し、正しくないポートに接続してしまったような ことを防ぐようになっています。なお、 SSH デーモンから起動された子プロセスが リクエストに対する応答を行なうため、デーモン側では複数の SSH 接続を同時に 受け入れることができます。

SSH サーバとクライアントの間の通信では、 OpenSSH はバージョン 1 と 2 の SSH プロトコルに対応しています。既定ではバージョン 2 を使用するようになっています が、 -1 オプションを指定することでバージョン 1 に強制する こともできます。

SSH のバージョン 1 を使用する場合、サーバはまず公開鍵とサーバ鍵を送信します。 サーバ鍵は毎時生成される鍵で、これら 2 種類の鍵を利用し SSH クライアント 鍵が自由に設定し、サーバ側に送信するセッション鍵を暗号化できるようになって います。 SSH クライアントでは、使用する暗号化方法もサーバ側に送信します。 SSH プロトコルのバージョン 2 ではサーバ鍵を必要とせず、 Diffie-Hellman と 呼ばれるアルゴリズムを利用して鍵の交換を行ないます。

ホスト側の機密鍵とサーバ鍵は、いずれもセッション鍵の暗号を解除するのに絶対に 必要となるもので、公開鍵からは決して導き出すことのできないものです。これにより、 接続先の SSH デーモンだけが機密鍵を利用して、セッション鍵の暗号を解除できる 仕組みになっています。接続当初の通信のやりとりを見たい場合は、 SSH クライアント 側で -v オプションを指定し、デバッグモードを有効にしてください。

/etc/ssh/ 内に保存されている公開鍵と機密鍵については、 機密を保持できる外部媒体に保管しておくことをお勧めします。このようにすること で、鍵が改変されてもそれを検出することができるほか、新しくシステムをインストール した場合でも、元の鍵を使い続けることができるようになります。

	既存の SSH ホスト鍵について
既に何らかの Linux がインストールされているマシンに openSUSE を インストールした場合、インストール処理内でもっともアクセス日時の新しい SSH の鍵を自動的に取り込みます。

あるリモートのホストに対してはじめて SSH 接続を行なうと、クライアント側では そのホストの公開鍵を ~/.ssh/known_hosts ファイル内に 保存します。これにより、 man-in-the-middle 攻撃 (中間者攻撃) を防ぐことが できます。中間者攻撃とは、ホスト名や IP アドレスを偽って本来とは異なる偽の サーバに接続させる攻撃で、あらかじめ ~/.ssh/known_hosts 内に正しい公開鍵を登録していれば、鍵が変化したことによってこれを検知すること ができます。サーバ側でも、正しい公開鍵に対応する機密鍵を持っていないこと から、セッション情報を解読することができなくなり、クライアント側の機密を 維持することができます。

ホスト側の公開鍵が変更された場合 (このようなサーバに接続する際は、 あらかじめ何らかの方法でこれを確かめておく必要があります) は、 ssh-keygen -r ホスト名 で古いほうの鍵を削除することができます。

認証でもっとも単純な形態は、ユーザがログインする際にそのユーザの パスワードを入力させる形態です。しかしながら、リモートのマシン上に 登録されたユーザのパスワードだけでは保護が不十分です。また、 これらのパスワードは変更される場合があります。たとえば root のアクセスを許可するような場合、管理者は root のパスワードを 変更したりすることなく、より明示的に不正なアクセスを拒否する必要が あります。

ユーザのパスワードを入力せずにログインさせたいような場合は、ユーザ側で 生成した SSH 鍵対を利用して認証を実施します。ユーザ側で生成した鍵対は、 公開鍵 (id_rsa.pub または id_dsa.pub) と機密鍵 (id_rsa または id_dsa) が対になっています。

パスワード無しでのログインを行なうには、生成した鍵対のうち公開鍵を、 SSH サーバの 「ユーザ」 のホームディレクトリ内、 ~/.ssh/authorized_keys ファイルに保存します。 このような方法を採ることで、ログインに関して完全な制御を実現することが できます。これは公開鍵を追加したり削除したりするには、そのユーザで (パスワードなどによる) ログインを行なう必要があるためです。

最大限のセキュリティを実現するため、これらの鍵はパスフレーズで保護して おくべきです。このパスフレーズは ssh, scp, sftp を利用するたびに入力 しなければならないもので、単純なパスワード認証に比べると、パスフレーズは 直接ユーザに紐付く情報ではなく独立した情報であるため、より安全性を 高めることに繋がります。

上述の鍵ベースの認証以外にも、 SSH ではホストベースの認証に対応しています。 ホストベースの認証を利用すると、一方のホストにいるユーザ (信頼される側) は 他方のホストにいるユーザ (信頼する側) としてログインすることができるように なります。これには両方のホストでその機能を有効にする必要があるほか、信頼 する側とされる側で同じユーザ名である必要があります。 openSUSE では 鍵ベースの認証が設定されているため、ホストベースの認証については、ここでは 説明していません。

	ホストベースの認証を利用する場合のファイルパーミッションについて
ホストベースの認証を使用する場合、 /usr/lib/ssh/ssh-keysign (32 ビットシステムの場合) または /usr/lib64/ssh/ssh-keysign (64 ビットシステムの場合) に対して、 setuid ビットを設定する必要があります。 これは openSUSE では既定で設定されない項目です。ホストベースの認証を 使用する場合は、ファイルのパーミッションを手作業で設定してください。 対応の際には、 /etc/permissions.local ファイルを使用すると、 openssh のセキュリティ更新が発生したような場合でも setuid ビットを保持し 続けることができます。

# ~/.ssh/id_rsa.pub
ssh-copy-id -i tux@sun

# ~/.ssh/id_dsa.pub
ssh-copy-id -i ~/.ssh/id_dsa.pub  tux@sun

# ~notme/.ssh/id_rsa.pub
ssh-copy-id -i ~notme/.ssh/id_rsa.pub  tux@sun

ssh-agent -s /bin/bash
eval $(ssh-agent)
    

ssh は TCP/IP 接続を転送する用途でも使用することができます。この機能は SSH トンネル とも呼ばれ、暗号化された通信経路を 介して、あるポート宛の通信を別のマシンに転送します。

上記のコマンドを実行すると、 jupiter のポート 25 (SMTP) に宛てた接続が、 暗号化された状態で sun の SMTP ポートに転送されるように なります。これは特に SMTP-AUTH や POP-before-SMTP の機能を持たない SMTP サーバを利用している場合に便利な仕組みです。接続を転送することで、 ネットワーク上離れた任意のホストからの接続を、 「自宅」 などの メールサーバに転送することができるためです。

ssh -L 25:sun:25 jupiter

同様に、 jupiter からの全 POP3 リクエスト (ポート 110) を sun 上の POP3 ポートに転送するには、下記のように実行します:

ssh -L 110:sun:110 jupiter

なお、いずれのコマンドとも root で実行しなければなりません。 これは特権ポートと呼ばれるポートを使用しているためです。また、電子メールは 通常のユーザからも SSH 接続を通して送受信することができます。メールソフト からは localhost に設定してお使いください。 上述のプログラムについて、追加情報はマニュアルページと /usr/share/doc/packages/openssh にある OpenSSH の ドキュメンテーションに記述されています。

YaST の SSHD 設定モジュールは、既定のインストールには含まれていません。 利用するには yast2-sshd パッケージを インストールしてください。

sshd サーバを YaST で設定するには、 YaST を起動して ネットワークサービス+SSHD の設定 を選択してから、下記の手順を行ないます: