非対称鍵暗号（asymmetric key encryption）

Nexpose を利用して、SSH 公開鍵によりユーザーを認証するアセット上で、認証資格情報（credentials）を用いたスキャンを実行可能です。

この方法は非対称鍵暗号（asymmetric key encryption）とも呼ばれており、2つの関連キー（または大規模な乱数）の作成が行われます：

• 暗号化認証（encrypt authentication）の情報のため、あらゆるエンティティで使用可能なパブリックキー
• ぺアリングされたパブリックキーによる暗号化情報を解読するため、信頼できるエンティティでのみ使用可能なプライベートキー

キーペアを生成する場合、以下のガイドラインを念頭に置いて行います：

• 本アプリケーションは、SSHプロトコルバージョン2 RSAキーおよびDSAキーをサポートしています。
• キーは、オープンSSH対応かつPEMにコード化されていなければなりません。
• RSAキーは768～16384ビットの範囲内であることが必要です。
• DSAキーは1024ビットでなければなりません。

本トピックでは、アセットを設定してパブリックキー認証を受け入れる、一般ステップについて説明します。特定のステップについては、使用する特定システムに関する文書を参照してください。

SSH-keygenプロセスにより、パスフレーズを入力するオプションが提供されます。当該キーを他の場所で利用する予定がある場合、パスフレーズを利用してキーを保護することをお薦めします。

キーぺアを生成する

1. SSH-keygenコマンドを実行してキーぺアを作成し、新規ファイルを保存するセキュアなディレクトリを指定します。

この例では2048-bit RSAキーを利用して/tmpディレクトリを組み込みますが、信頼度の高いディレクトリを使用してファイルを保護するものとします。

ssh-keygen -t rsa -b 2048 -f /tmp/id_rsa

本コマンドにより、プライベートキーファイル、id_rsa、およびパブリックキーファイル、id_rsa.pubが生成されます。

2. パブリックキーをターゲットアセット上のアプリケーション向けに利用可能にします。
3. キーを生成するコンピュータに.sshディレクトリがあることを確認します。ない場合は、以下のmkdirコマンドを実行して作成してください：

mkdir /home/[username]/.ssh

4. ステップ1のコマンドを実行して作成した、パブリックキーのコンテンツをコピーします。当該ファイルは、/tmp/id_rsa.pubファイル内にあります。

注意: 一部のチェックにはルートアクセスが必要です。

/tmp/id_rsa.pub ファイルのターゲットアセット上のコンテンツを、ターゲット範囲完了に必要な適切なアクセスレベル許可を持つユーザーのホーム内の .ssh/authorized_keys ファイルに付加します。

cat /[directory]/id_rsa.pub >> /home/[username]/.ssh/authorized_keys

5. プライベートキーを提供します。

プライベートキー提供後に、SSH公開鍵認証を持つアプリケーションを提供しなければなりません。

SSH公開鍵認証を提供する

新規サイトの設定中に SSH 認証資格情報を追加する場合は、ホームページのサイトを作成ボタンをクリックします。
または
ページ上部の作成タブをクリックして、ドロップダウンリストからサイトを選択します。

既存のサイトに SSH 認証資格情報を追加するには、ホームページのサイト表でそのサイトの編集アイコンをクリックします。

1. サイト設定の認証タブをクリックします。
2. 認証資格情報を追加 をクリックします。
3. 認証資格情報を追加 フォームに、必要に応じて新しい認証資格情報セットの名前と説明を入力します。
4. 認証資格情報を追加 にある アカウント をクリックします。
5. サービス ドロップダウンリストから セキュアシェル（SSH）パブリックキー を選択します。

注意: ほとんどのオープンSSHおよびドロップダウンベースSSHのデーモンのデフォルトファイルは、ssh/authorized_keysです。Linuxディストリビューターのドキュメントを参照し、適切なファイルを確認してください。

この認証方法は、セキュアシェル（SSH）としてドロップダウンにリストされている方法とは異なります。後者の方法では、キーではなくパスワードが組み込まれます。

6. 適切なユーザー名を入力します。
7. （任意）キー生成時に使用したプライベートキーパスワードを入力します。
8. プライベートキーパスワードを確認します。
9. PEM形式プライベートキーテキストボックスに当該ファイルのコンテンツをコピーします。作成したプライベートキーは、ターゲットアセット上の /tmp/id_rsa ファイルです。
10. （任意）許可をsudoまたはsuに昇格します。

セキュアシェル（SSH）とセキュアシェル（SSH）公開鍵サービスの両方について権限昇格の実行が可能です。

11. （任意）適切なユーザー名を入力します。sudo認証資格情報（credentials）についてはユーザー名は空欄でも構いません。ユーザー名のないsu認証資格情報（credentials）を利用する場合、当該認証資格情報（credentials）はユーザー名としてルートへとデフォルトされます。

入力したSSH認証資格情報（credentials）がルート認証資格情報（credentials）、ユーザーID = 0である場合、ルートアカウントの名前が変更されていたとしても、許可昇格認証資格情報（credentials）は無視されます。本アプリケーションは、任意のアカウントやルート（root）や他の名前が付けられていても、ユーザーID=0であるアカウントの権限昇格を無視します。

12. 認証資格情報の設定が終了したら、新規セットである場合は 作成 をクリックします。または、以前に作成したセットである場合は 保存 をクリックします。

SSH パブリックキー設定

追加の任意ステップについては、以下のトピックをご覧ください：

• 認証資格情報（credentials）をテストする
• 1ページの認証資格情報（credentials）を単一アセットおよびポートに制限する認証資格情報（credentials）を単一アセットおよびポートに制限する
• 権限昇格（Elevating permissions）