SSH - 設定
- Last Updated: October 19, 2022
- 13 minute read
- MOVEit Transfer
- Version 2022
- Documentation
MOVEit Transfer Configuration ユーティリティの [SSH] タブと [SSH Ciphers (SSH 暗号)] タブを使用して、SSH サーバーを設定します。[Start (スタート)] メニューショートカットの [MOVEit Transfer Config (MOVEit Transfer 設定)] を選択して設定プログラムを実行します。
サーバー設定シーケンス MOVEit Transfer SSH サーバーは、設定の変更をただちに適用します。変更は、新しい接続が次回確立されたときに有効になります。
例外: SSH ポートに変更が加えられた場合は、この変更を有効にするために、MOVEit Transfer SSH サービスを再起動する必要があります。
SSH タブ
MOVEit Transfer Config ユーティリティの [SSH] タブを使用すると、現在の MOVEit Transfer サーバーホストで実行されている SSH サーバーを表示および設定できます。
SSH タブ (デフォルトの SSH バージョンを表示)
SSH 設定
- [Server Key (サーバーキー)]:SSH セッションに使用される公開キー。このキーは内部で生成され、キーの MD5 ハッシュはここで参照目的でのみ表示されます。この値を編集するメカニズムはありません。SSH パブリックキー全体をエクスポート/表示するには、[MD5] フィールドの横にある [View (表示)] ボタンを使用します。
MOVEit Transfer SSH 公開キーをエクスポートするには、MOVEit Transfer Config ユーティリティの [SSH] タブで [View (表示)] ボタンをクリックします。ダイアログにキーが 2 つの異なる形式で表示されます。エクスポートする形式を表示しているウィンドウのすべてのテキストを選択して、CTRL+C キーを押してテキストをコピーし、目的のテキストファイルに保存します。
注: ヒント:MOVEit DMZ SSH サーバーキーは決して変更されないため、余分な時間をかけてでも、このダイアログを開いている間に同じ SSH サーバーキーの両方の形式をエクスポートしておくことをお勧めします。これらのキーを (内部サーバー上などに) 保存しておくと、[SSH] タブを再び使用する必要がなくなる可能性があります。 - [SSH Port (SSH ポート)]:リッスンする TCP ポート。デフォルトは 22 です。
- [Bind to IP Address (IP アドレスにバインド)]: 利用できるすべての IP アドレスにバインドするには、空白のままにします (デフォルト)。SSH サーバーを特定の IP アドレスにバインドするには、その IP アドレスを入力します。
[Server Keys (サーバーキー)]:
[Server Keys (サーバーキー)] ウィンドウには、内部で生成された RSA 2048 ビットサーバーキーの MD5 ハッシュが表示されます。このデフォルトのキーを編集または削除することはできません。
MOVEit Transfer に複数の組織が設定されている場合は、組織ごとに別々のサーバーキーを追加しておくことをお勧めします。こうすることにより、他の組織に影響を及ぼすことなく、単一の組織のサーバーキーを容易に変更できるようになります。
新しいサーバーキーを追加するには:
- [Add (追加)] をクリックして、目的のキーのタイプとサイズを選択します。
DSS キータイプは、デジタル署名を提供しますが、キーの交換または暗号化は提供しません。DSS では、署名の生成が署名の検証より高速になります。
RSA キータイプは、デジタル署名、キーの交換、暗号化を提供します。RSS では、署名の検証が署名の生成より高速になります。
キーのタイプとサイズの選択が完了すると、[Add SSH Server Key (SSH サーバーキーの追加)] ウィンドウが表示されます。
このウィンドウには、以下のようなキーの詳細が表示されます。
- フィンガープリント
- OpenSSH 形式
- SSH2 形式
- [Name (名前)] にキーの名前を入力して、[OK] をクリックします。
新しいキーが [Server Keys (サーバーキー)] ウィンドウに追加されます。
キーの名前を編集するには、キーを選択して [Edit (編集)] をクリックします。
キーを削除するには、キーを選択して [Remove (削除)] をクリックします。
キーをデフォルトの SSH サーバーキーにするには、キーを選択して [Default (デフォルト)] をクリックします。現在のデフォルトのキーの名前が「OldDefault-year-month-day_xxxxxx」に変更され、選択したキーの名前が「default」に変更されます。
- [Confirm SSH key rename (SSH キー名前変更の確認)] メッセージが表示されたら、[OK] をクリックします。
代替バインディング
お使いの MOVEit Transfer システムに複数の組織が設定されており、組織間でユーザー名の重複が許可されている場合は、代替バインディングを追加することにより、サインオン時にユーザーをそのユーザーに固有の組織の IP アドレスにダイレクトすることができます。また、一意のサーバーキーを特定の組織に割り当てて、そのサーバーキーに対する変更がその組織にしか影響しないようにすることもできます。
代替バインディングを使用すると、サーバー IP、サーバーキー、組織を関連付けることができます。
代替バインディングを追加するには:
- [Alternate Bindings (代替バインディング)] の [Add (追加)] をクリックします。
[Add SSH Alternative Binding (SSH 代替バインディングの追加)] ダイアログが表示されます。
- 以下の項目を入力します。
- [Server IP Address (サーバー IP アドレス)]:代替バインディングがまだない、重複のない IP アドレスを入力します。[Bind to IP Address (バインド先 IP アドレス)] のデフォルト値 (0.0.0.0.) は選択しないでください。
- [Server Key (サーバーキー)]:サーバーIPアドレスにバインドするサーバーキーをドロップダウンリストから選択します。ここには、[Server Keys (サーバーキー)] ウィンドウに既に追加されているサーバーキーしか表示されません。
- [Organization (組織)]: サーバーIPアドレスにバインドする組織をドロップダウンリストから選択します。お使いの MOVEit Transfer に設定されている組織に加え、以下の組織がドロップダウンリストに表示されます。
- [(default) ((デフォルト))]:任意の組織をデフォルトとして割り当てることができます。デフォルト組織の割り当て方法については、「Web インターフェイス - 設定 - システム - その他」を参照してください。
- [(System) ((システム))]:システム組織は、システム全体の設定を管理し、他の組織を作成および維持するために SysAdmin によって使用されます。システム組織の代替バインディングを作成することは、めったにありません。
- [OK] をクリックします。
新しいバインディングが [Alternate Bindings (代替バインディング)] ウィンドウに追加されます。
バインディングのサーバー IP、サーバーキー、組織を編集するには、バインディングを選択して [Edit (編集)] をクリックします。
バインディングを削除するには、バインディングを選択して [Remove (削除)] をクリックします。
デフォルトの SSH サービスバージョンコントロールの使用
レガシまたは標準 (デフォルト) SSH サービスを選択するためのコントロール
| サービスのコントロール | 説明 |
|---|---|
| レガシ SSH サービスに戻す | このコントロールが表示されている場合、標準 (デフォルト) SSH サービスが実行されていることを示します。これが優先する状態です (このコントロールを使用して MOVEit Transfer を元に戻し、古いレガシサービスを実行することは推奨されていません)。 |
| デフォルトの SSH ポリシーの使用 | このコントロールが表示されている場合、レガシ SSH サービスが実行されていることを示します (レガシサービスの使用は、ベストプラクティスではありません)。 |
診断ログ
MOVEit Transfer SSH サーバー診断ログ設定は、Configuration ユーティリティの [Status (ステータス)] タブで変更できます。このタブの詳細については、Configuration ユーティリティに関するドキュメントを参照してください。
[Paths (パス)] タブ
MOVEit Transfer SSH サーバーは、このタブで設定されているマシン URL を使用して MOVEit Transfer と通信します。このタブの詳細については、Configuration ユーティリティに関するドキュメントを参照してください。
[SSH Ciphers (SSH 暗号)] タブ
MOVEit Transfer SSH サーバーによって使用される暗号化およびハッシュアルゴリズムは、[SSH Ciphers (SSH 暗号)] タブで設定できます。(MOVEit Transfer SSL サーバーによって使用される暗号化およびハッシュアルゴリズム、つまり、HTTPS と FTPS のいずれも設定可能です。)
このタブでは、SSH 接続のセキュリティ保護に使用される暗号とハッシュ関数を選択できます。
FIPS および PCI コンプライアンスのため、弱い暗号の使用を避ける必要が生じる場合があります。たとえば、PCI 監査では、MD5 や MD5-96 などの暗号の使用がフラグ付けされる可能性があります。FIPS によって承認されている SSH 向け暗号方式には、(2015 年 9 月現在で) 3des-cbc、aes128-cbc、aes192-cbc、aes-256 の各暗号と、hmac-sha2-512、hmac-sha2-256、hmac-sha1、hmac-md5、hmac-sha1-96、hmac-md5-96 の各ハッシュ関数が含まれます。
SSH 暗号の選択
[SSH Ciphers (SSH 暗号)] セクションでは、許容可能な暗号とその優先順位を選択できます。デフォルトで、すべての暗号が有効化されます。
選択されているエントリを無効にする場合や、選択が解除されているエントリを有効にする場合は、[Enabled (有効)] チェックボックスを選択します。
リストの上部に近いエントリほど、下位のエントリよりも優先順位が高くなります。リスト内でエントリを上下に移動するには、矢印ボタンを使用します。弱い暗号またはハッシュを許可する必要がある場合でも、強い暗号とハッシュは常にリストの上部に配置してください。
SSH ハッシュ関数の選択
[SSH Hash Functions (SSH ハッシュ関数)] セクションでは、許容可能なハッシュ関数とその優先順位を選択できます。デフォルトで、すべてのハッシュ関数が有効化されます。
選択されているエントリを無効にする場合や、選択が解除されているエントリを有効にする場合は、[Enabled (有効)] チェックボックスを選択します。
リストの上部に近いエントリほど、下位のエントリよりも優先順位が高くなります。リスト内でエントリを上下に移動するには、矢印ボタンを使用します。
SSH によって使用されるアルゴリズム
MOVEit Transfer サーバーによってどのアルゴリズムがサポートされているかを知る必要のあるクライアントのために、このセクションには網羅的なリストを掲載してあります。
SSH プロトコルは、サーバーがサポートしているモードをリストするようサーバーに求めるため、多くの SSH クライアントは、接続するだけで MOVEit Transfer からこの情報を取得することもできます。セキュリティ上、この情報を非公開にすべき理由はありません。
SSH 暗号化アルゴリズム
MOVEit Transfer SSH サーバーは以下の暗号化アルゴリズムをサポートしています。
- aes256-ctr
- twofish256-ctr
- twofish-ctr
- aes128-ctr
- twofish128-ctr
- 3des-ctr
- cast128-ctr
- aes256-cbc
- twofish256-cbc
- twofish-cbc
- aes128-cbc
- twofish128-cbc
- blowfish-cbc
- 3des-cbc (別名「トリプル DES」)
- arcfour
- cast128-cbc
SSH ハッシュアルゴリズム
MOVEit Transfer SSH サーバーは以下の (キー付き)ハッシュアルゴリズムをサポートしています。
- HMAC-SHA2-512
- HMAC-SHA2-256
- HMAC-SHA1
- HMAC-MD5
- HMAC-SHA1-96
- HMAC-MD5-96
SSH 圧縮アルゴリズム
MOVEit Transfer SSH サーバーは以下の高速圧縮アルゴリズムをサポートしています。
- none
- zlib (別名「gzip」)