SSH 暗号スイートの設定

[暗号化]ダイアログ ボックスのオプションでは、デバイスにアクセスするために使用される SSH 接続の暗号のサブセットを設定できます。
HID_ConfigCryptography
2
Internet Engineering Task Force (IETF)は、トランスポート レイヤ プロトコル[RFC 4253]、ユーザ認証プロトコル[RFC 4252]、および接続プロトコル[RFC 4254]の 3 つの主要コンポーネントで構成される SSH プロトコル[RFC 4251]を定めています。Privileged Access Manager Secure Shell (SSH)のデフォルトの暗号化は、NIST SP 800-131 のアルゴリズムに関する推奨事項および NIST SP 800-57pt3 の SSH 実装のガイダンスに従っています。
PAM に表示されるデフォルトのアルゴリズムは優先度順で、速度とセキュリティとのバランスを取っています。ただし、暗号化アルゴリズムの保護がまだ更新されていない、レガシー ターゲット システムの管理を容易にするために、[暗号化]ダイアログ ボックスには、以前の脆弱な KEX/Ciphers/HMAC のアルゴリズムを設定するオプションが用意されています。PAM SSH 暗号化をダウングレードするリスクは、組織内の適切な IT 管理者と協議する必要があります。このリスクは、潜在的な違反や、PCI DSS、FISMA などの標準および法律に準拠していないことが原因で発生します。
FIPS モードの PAM の場合、アルゴリズムの選択は SSH に対して自動的に制限されません。コンプライアンスを維持するには、引き続きデフォルトのアルゴリズムを使用します。
設定されたクラスタの[暗号化]ダイアログ ボックスで変更を行います。ネットワークの状態によっては、変更のレプリケートに 1 分またはそれ以上かかる場合があります。スタンドアロン ノードに変更を加えた後、新しいクラスタ メンバを追加しても、変更はレプリケートされません。
sftpsftpemb サービスを使用するようにポリシーが設定されている場合、SSH プロキシで、以下のいずれかのハッシュ アルゴリズムを有効にする必要があります: hmac-sha1、hmac-sha1-96、hmac-md5
SSH 暗号スイートを設定するには、以下の手順に従います。
  1. [設定]
    -
    [セキュリティ]
    -
    [暗号化]
    に移動します。
  2. お使いのシステムに適したセキュリティ アルゴリズムを決定します。デフォルトでは、
    [デフォルト]
    オプションが有効になっています。各カテゴリのデフォルト アルゴリズム(暗号化、ハッシュ、キー交換、圧縮、およびサーバ ホスト キー)では、SSH 接続に適切なセキュリティを提供することが考慮されています。使用するデバイスに応じて、セキュリティ保護されていないその他のアルゴリズムを定義する必要がある場合があります。
  3. デフォルト以外のアルゴリズムを選択するには、
    [デフォルト]
    オプションの選択を解除して、各テキスト ボックスの右にある目のアイコンを選択します。各カテゴリでサポートされているすべてのアルゴリズムを示すウィンドウが表示されます。テキスト ボックスに適切なアルゴリズムをコピーして貼り付けることができます。
  4. 選択が完了したら、
    [更新]
    を選択します。