📢 Webサイト閉鎖と移転のお知らせ
このWebサイトは2026年9月に閉鎖いたします。
新しい記事は移転先で追加しております。(旧サイトでは記事を追加しておりません)

編集の要約なし
 
75行目: 75行目:
{| class="wikitable" | style="background-color:#fefefe;"
{| class="wikitable" | style="background-color:#fefefe;"
|-
|-
! style="background-color:#66CCFF;" | 項目  
! 項目 !! 値 !! 説明
! style="background-color:#66CCFF;" | 値  
! style="background-color:#66CCFF;" | 説明
|-
|-
| Port || ポート番号<br><br>デフォルトは、22 || sshdが使用するポート番号
| Port || ポート番号<br><br>デフォルトは、22 || sshdが使用するポート番号
84行目: 82行目:
|-
|-
| ListenAddress || host<br>IPv4のIPアドレス または IPv4のIPアドレス:<ポート番号><br>IPv6のIPアドレス または IPv6のIPアドレス:<ポート番号><br><br>デフォルトは、以下の2つのアドレスである。<br>[::]:22<br>0.0.0.0:22 || sshdが接続を受け付けるローカルアドレスを指定する。<br>Portが未指定の場合は、[Port]項目で指定したポート番号に対してListenする。
| ListenAddress || host<br>IPv4のIPアドレス または IPv4のIPアドレス:<ポート番号><br>IPv6のIPアドレス または IPv6のIPアドレス:<ポート番号><br><br>デフォルトは、以下の2つのアドレスである。<br>[::]:22<br>0.0.0.0:22 || sshdが接続を受け付けるローカルアドレスを指定する。<br>Portが未指定の場合は、[Port]項目で指定したポート番号に対してListenする。
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| Protocol || 1<br>2<br>1,2 || sshdがサポートするSSHのプロトコルバージョン。<br>SSH1のみを使用する場合は1、SSH2のみを使用する場合は2、<br>両方使用する場合は"1,2"と設定する。<br><br><u>OpenSSH 7.4以降では、廃止された。</u>
| Protocol || 1<br>2<br>1,2 || sshdがサポートするSSHのプロトコルバージョン。<br>SSH1のみを使用する場合は1、SSH2のみを使用する場合は2、<br>両方使用する場合は"1,2"と設定する。<br><br><u>OpenSSH 7.4以降では、廃止された。</u>
|-
|-
90行目: 88行目:
|-
|-
| rekeylimit || 第1項目: 整数値(通信データ量)または<code>default</code><br>K、M、Gのサフィックスも使用可能<br><br>第2項目: 整数値または時間(週、日、時、分、秒)または<code>none</code><br>第2項目において、分で使用する場合は、<code>5m</code>等と記述する。(この場合は、5分)<br>時で使用する場合は、<code>1h</code>等と記述する。(この場合は、1時間)<br><br>その他、<code>s</code>、<code>S</code>、<code>m</code>、<code>M</code>、<code>h</code>、<code>H</code>、<code>d</code>、<code>D</code>、<code>w</code>、<code>W</code>が使用できる。<br>また、これらを組み合わせて使用することもできる。(<code>1h30m</code>等)<br><br>デフォルトは、第1項目は0、第2項目は0 || SSHは、通信を暗号化するためにホストとクライアント間でセッション鍵を交換している。<br>暗号化を堅牢に行うために都度鍵を変更している。<br><br>第1項目に<code>default</code>を指定する場合、1[GB]から4[GB]の間の適切なタイミングで再生成を行う。<br><br>第2項目の<code>0</code>は<code>none</code>と等価である。
| rekeylimit || 第1項目: 整数値(通信データ量)または<code>default</code><br>K、M、Gのサフィックスも使用可能<br><br>第2項目: 整数値または時間(週、日、時、分、秒)または<code>none</code><br>第2項目において、分で使用する場合は、<code>5m</code>等と記述する。(この場合は、5分)<br>時で使用する場合は、<code>1h</code>等と記述する。(この場合は、1時間)<br><br>その他、<code>s</code>、<code>S</code>、<code>m</code>、<code>M</code>、<code>h</code>、<code>H</code>、<code>d</code>、<code>D</code>、<code>w</code>、<code>W</code>が使用できる。<br>また、これらを組み合わせて使用することもできる。(<code>1h30m</code>等)<br><br>デフォルトは、第1項目は0、第2項目は0 || SSHは、通信を暗号化するためにホストとクライアント間でセッション鍵を交換している。<br>暗号化を堅牢に行うために都度鍵を変更している。<br><br>第1項目に<code>default</code>を指定する場合、1[GB]から4[GB]の間の適切なタイミングで再生成を行う。<br><br>第2項目の<code>0</code>は<code>none</code>と等価である。
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| KeyRegenerationInterval || 時間(秒) || SSH1では、サーバ鍵を指定した間隔ごとに自動的に再生成される。<br>その自動的に鍵を再生成する間隔を指定する。<br><br><u>OpenSSH 7.x以降では、廃止された。</u>
| KeyRegenerationInterval || 時間(秒) || SSH1では、サーバ鍵を指定した間隔ごとに自動的に再生成される。<br>その自動的に鍵を再生成する間隔を指定する。<br><br><u>OpenSSH 7.x以降では、廃止された。</u>
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| ServerKeyBits || ビット数 || SSH1で使用されるサーバ鍵のビット数。(SSH2では無効)<br>最小値は512で、デフォルトは1024。<br>なお、ServerKeyBitsが対象としている鍵は、ephemeral keyである。(生成されたホスト鍵ではない)<br><br><u>現在のOpenSSHでは、廃止された。</u>
| ServerKeyBits || ビット数 || SSH1で使用されるサーバ鍵のビット数。(SSH2では無効)<br>最小値は512で、デフォルトは1024。<br>なお、ServerKeyBitsが対象としている鍵は、ephemeral keyである。(生成されたホスト鍵ではない)<br><br><u>現在のOpenSSHでは、廃止された。</u>
|-
|-
108行目: 106行目:
|-
|-
| MaxSessions || 整数値<br>デフォルトは、10 || 最大同時接続数
| MaxSessions || 整数値<br>デフォルトは、10 || 最大同時接続数
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| RSAAuthentication || yes<br>no || RSA認証を有効にする。<br>RSA認証は、SSH1のみ有効にすることができる。<br><br><u>現在のOpenSSHでは、廃止された。</u>
| RSAAuthentication || yes<br>no || RSA認証を有効にする。<br>RSA認証は、SSH1のみ有効にすることができる。<br><br><u>現在のOpenSSHでは、廃止された。</u>
|-
|-
120行目: 118行目:
|-
|-
| PubkeyAuthOptions || 1つまたは複数の公開鍵認証オプションを指定する。<br>none<br>touch-required<br>verify-required<br><br>デフォルトは、none || noneは、<code>authorized_keys</code>オプションで上書きされない限り、ユーザの存在を要求する。<br><br>touch-requiredオプションは、FIDO認証アルゴリズム(ecdsa-skまたはed25519-sk)を使用する公開鍵認証であり、<br>存在するユーザが明示的に認証を確認したことを証明する署名を常に要求する。<br>また、<code>authorized_keys</code>オプションでの上書きは無効になる。<br><br>verify-requiredオプションは、PIN等でユーザが認証されたことを証明するFIDO鍵の署名を要求する。<br><br>touch-requiredオプションおよびverify-requiredオプションは、他の非FIDO公開鍵タイプには効果がないことに注意する。
| PubkeyAuthOptions || 1つまたは複数の公開鍵認証オプションを指定する。<br>none<br>touch-required<br>verify-required<br><br>デフォルトは、none || noneは、<code>authorized_keys</code>オプションで上書きされない限り、ユーザの存在を要求する。<br><br>touch-requiredオプションは、FIDO認証アルゴリズム(ecdsa-skまたはed25519-sk)を使用する公開鍵認証であり、<br>存在するユーザが明示的に認証を確認したことを証明する署名を常に要求する。<br>また、<code>authorized_keys</code>オプションでの上書きは無効になる。<br><br>verify-requiredオプションは、PIN等でユーザが認証されたことを証明するFIDO鍵の署名を要求する。<br><br>touch-requiredオプションおよびverify-requiredオプションは、他の非FIDO公開鍵タイプには効果がないことに注意する。
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| RhostsRSAAuthentication || yes<br>no<br>デフォルトは、no || RSA認証が成功した時、rhostsや/etc/hosts.equivを使用した認証を許可する。<br>SSH1の場合のみ有効である。<br><br><u>現在のOpenSSHでは、廃止された。</u>
| RhostsRSAAuthentication || yes<br>no<br>デフォルトは、no || RSA認証が成功した時、rhostsや/etc/hosts.equivを使用した認証を許可する。<br>SSH1の場合のみ有効である。<br><br><u>現在のOpenSSHでは、廃止された。</u>
|-
|-
142行目: 140行目:
|-
|-
| KerberosTicketCleanup || yes<br>no<br>デフォルトは、yes || ログアウト時、ケルベロス認証用のキャッシュを自動的に削除する。
| KerberosTicketCleanup || yes<br>no<br>デフォルトは、yes || ログアウト時、ケルベロス認証用のキャッシュを自動的に削除する。
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| KerberosGetAFSToken || yes<br>no<br>デフォルトは、no || ケルベロス認証において、AFSが有効であり、ユーザがKerberos 5のTGTを持っている場合、<br>ユーザのホームディレクトリにアクセスする前に、AFSトークンの取得を試みる。<br><br><u>現在のOpenSSHでは、非推奨となっている。</u><br><u>代わりに、GSSAPIを使用することが推奨されている。<br>GSSAPIは、標準のセキュリティ技術を利用して、認証と暗号化を統合することができる。</u>
| KerberosGetAFSToken || yes<br>no<br>デフォルトは、no || ケルベロス認証において、AFSが有効であり、ユーザがKerberos 5のTGTを持っている場合、<br>ユーザのホームディレクトリにアクセスする前に、AFSトークンの取得を試みる。<br><br><u>現在のOpenSSHでは、非推奨となっている。</u><br><u>代わりに、GSSAPIを使用することが推奨されている。<br>GSSAPIは、標準のセキュリティ技術を利用して、認証と暗号化を統合することができる。</u>
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| KerberosUseKuserok || yes<br>no<br>デフォルトは、yes || ケルベロス認証で、.k5loginファイルが存在する場合は使用する。<br><br><u>現在のOpenSSHでは、廃止された。</u>
| KerberosUseKuserok || yes<br>no<br>デフォルトは、yes || ケルベロス認証で、.k5loginファイルが存在する場合は使用する。<br><br><u>現在のOpenSSHでは、廃止された。</u>
|-
|-
184行目: 182行目:
|-
|-
| TCPKeepAlive || yes<br>no<br>デフォルトは、yes || TCPキープアライブメッセージを送信する。
| TCPKeepAlive || yes<br>no<br>デフォルトは、yes || TCPキープアライブメッセージを送信する。
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| UseLogin || yes<br>no<br>デフォルトは、no || ログインでloginプログラムを使用する。<br><br><u>現在のOpenSSHでは、廃止された。</u>
| UseLogin || yes<br>no<br>デフォルトは、no || ログインでloginプログラムを使用する。<br><br><u>現在のOpenSSHでは、廃止された。</u>
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| UsePrivilegeSeparation || yes<br>no<br>デフォルトは、yes || sshdがセッションを受け付けるネットワークトラフィックを処理するためにroot権限を分離する。<br><br><u>OpenSSH 7.8p1以降では、<code>UsePrivilegeSeparation</code>は、<code>sandbox</code>オプションが必須になったため、<br>設定は変更できない。
| UsePrivilegeSeparation || yes<br>no<br>デフォルトは、yes || sshdがセッションを受け付けるネットワークトラフィックを処理するためにroot権限を分離する。<br><br><u>OpenSSH 7.8p1以降では、<code>UsePrivilegeSeparation</code>は、<code>sandbox</code>オプションが必須になったため、<br>設定は変更できない。
|-
|-
196行目: 194行目:
|-
|-
| ClientAliveCountMax || 整数値<br>デフォルトは、3 || sshdがクライアントからメッセージを受信せずに送信できるクライアント生存確認メッセージの数を指定する。<br>クライアント生存確認メッセージの送信中にこの閾値に達した場合、sshdはクライアントを切断して、セッションを終了する。<br><br>クライアント生存確認メッセージの使用は、<code>TCPKeepAlive</code>と大きく異なることに注意する。<br><br>クライアント生存確認メッセージは、暗号化されたチャネルを介して送信されるため、なりすましはできない。<br><code>TCPKeepAlive</code>で有効なTCPkeepaliveオプションは、なりすましが可能である。<br>クライアント生存確認メカニズムは、クライアントまたはサーバが、接続が応答しなくなったときを知ることに依存している場合に価値がある。<br><br>例えば、<code>ClientAliveInterval</code>を15に設定し、<code>ClientAliveCountMax</code>をデフォルトのままにする場合、<br>無応答のクライアントは約 45秒後に切断される。<br><code>ClientAliveCountMax</code>を0に設定する場合、接続の終了が無効になる。
| ClientAliveCountMax || 整数値<br>デフォルトは、3 || sshdがクライアントからメッセージを受信せずに送信できるクライアント生存確認メッセージの数を指定する。<br>クライアント生存確認メッセージの送信中にこの閾値に達した場合、sshdはクライアントを切断して、セッションを終了する。<br><br>クライアント生存確認メッセージの使用は、<code>TCPKeepAlive</code>と大きく異なることに注意する。<br><br>クライアント生存確認メッセージは、暗号化されたチャネルを介して送信されるため、なりすましはできない。<br><code>TCPKeepAlive</code>で有効なTCPkeepaliveオプションは、なりすましが可能である。<br>クライアント生存確認メカニズムは、クライアントまたはサーバが、接続が応答しなくなったときを知ることに依存している場合に価値がある。<br><br>例えば、<code>ClientAliveInterval</code>を15に設定し、<code>ClientAliveCountMax</code>をデフォルトのままにする場合、<br>無応答のクライアントは約 45秒後に切断される。<br><code>ClientAliveCountMax</code>を0に設定する場合、接続の終了が無効になる。
|- style="background-color:#e0e0e0;"
|- class="row-disabled"
| ShowPatchLevel || yes<br>no<br>デフォルトは、no || セッション確立時にクライアントにOpenSSHのパッチレベルを通知する。<br><br><u>OpenSSH 8.0p1以降では、当オプションは無効になった。</u>
| ShowPatchLevel || yes<br>no<br>デフォルトは、no || セッション確立時にクライアントにOpenSSHのパッチレベルを通知する。<br><br><u>OpenSSH 8.0p1以降では、当オプションは無効になった。</u>
|-
|-