Network SSH レコードを設定し、SSH2 認証形式を使用してネットワークデバイス(Cisco および Checkpoint Firewall など)を認証できるようにします。Network SSH 認証レコードは、Cisco および Checkpoint Firewall 認証レコードの代わりに使用できます。
レコードタイプによって VM および PC で承認されている、サポート対象の認証テクノロジとそのバージョンの最新リストについては、次の記事を参照してください。
|
考慮すべき事項 |
|
これは、実行するスキャンのタイプによって異なります。脆弱性スキャンのみを実行する場合は、特定のコマンドを実行できるアカウントを指定する必要があります。すべてのコンプライアンスチェックを評価するためにコンプライアンススキャンを実行する場合は、スーパーユーザ(root)権限が必要です。詳細 |
|
記事「*NIX Authenticated Scan Process and Commands(*NIX 認証済みのスキャンの処理とコマンド)」には、実行するコマンドの種類に関する説明があります。また、実行したコマンドの影響と範囲についても説明しています。この記事にあるコマンドリストは、スキャン中に、Qualys のサービスアカウントによって実行される可能性があります。毎回、すべてのコマンドが実行されるわけではありません。*nix ディストリビューションによって異なります。このリストは、実行されるコマンドを網羅したものではありません。また、更新も頻繁に行われません。 |
|
レコード設定について |
|
- 「Scans」->「Authentication」を選択します。 - ホストに対して Unix レコードを作成します。「New」->「Network and Security」->「Network SSH」を選択します。 |
|
ログイン資格情報に入力する内容ログイン資格情報に入力する内容 ログインで使用されるユーザ名とパスワードを指定する必要があります。アカウントに設定されている Vault からパスワードを取得するには、次のオプションがあります。 「Clear Text Password」 - 強力なパスワード暗号化をサポートしていないサービスへの接続時に平文でパスワードを送信する必要がある場合は、このオプションを選択します。詳細 Enable/Expert パスワード - 対象となるホストでの“ enable ”または“ expert ”コマンドの実行にパスワードが必要な場合は、レコードに enable または expert パスワードも入力する必要があります(注記: “ enable ”または“ expert ”コマンドの実行にパスワードが必要で、そのパスワードが指定されている場合、プールされた資格情報を使用する機能はサポートされません)。 Network SSH(SSH2)認証レコードの作成または更新時に対象のタイプを指定します。このフィールドでは、SSH2 認証レコードにシェルベース以外の対象タイプを定義できます。この場合、対象タイプは「Auto (default)」に設定されます。新しくサポートされた対象タイプは、「Target Type」メニューに追加されます。
|
|
認証のために複数の秘密鍵や証明書を使用することができます。秘密鍵(RSA、DSA、ECDSA、ED25519)と証明書(OpenSSH、X.509)を任意に組み合わせることが可能です。 秘密鍵認証は、ssh2 でのみサポートされています。 すべての秘密鍵は、パスフレーズを使用して暗号化または暗号化の解除を行うことができます。 ヒント - 複数の秘密鍵/証明書がある場合は、レコード内での順序をソートすることができます。秘密鍵/証明書は、ソートされた順に使用されます。 Vault から鍵情報を取得する方法は次のとおりです。 - 設定した Vault から秘密鍵を取得します。 - 設定した Vault から秘密鍵のパスフレーズを取得します。 その他の情報 |
|
秘密鍵/証明書を使用して認証を成功させるためのヒント秘密鍵/証明書を使用して認証を成功させるためのヒント すべての対象ホストに対して、ユーザのホームディレクトリにある「.ssh/authorized_keys2」ファイルに付加される公開鍵のほかに、ユーザアカウントを追加する必要があります。 重要 - スキャン中は、対象ホストへのフルアクセスが与えられている必要があります。「.ssh/authorized_keys2」ファイルに手動で追加されたオプション(no-pty など)によって、サービスがロックアウトされる可能性があり、この場合セキュリティテストが実行できなくなります。 トラブルシューティングのヒントスキャンが期待する結果を返さなかった理由を検証する場合は、「.ssh/authorized_keys2」ファイルにあるスキャンアカウントの公開鍵から手動で追加したオプションを削除した後、対象ホストを再度スキャンし、サービスがホストの認証とスキャンを実行できるかどうかを確認してください。 |
|
ヒント - 秘密鍵と証明書は別々に保管されるようになりました。ヒント - 秘密鍵と証明書は別々に保管されるようになりました。 これまでのリリースでは、UI の RSA/DSA 鍵フィールドを使用することで、鍵と証明書とを同じフィールドに入力することができました。リリース 8.9 以降では、これらの要素は UI 上で別になります。 リリース 8.9 未満で作成した Unix レコードの秘密鍵と証明書は、それぞれのフィールドに別個に表示されます。 |
|
レコードに追加する IP についてレコードに追加する IP について 認証を行うネットワークデバイスの IP を選択します。このレコードに追加する IP は、Unix、Cisco、または Checkpoint Firewall レコードには追加できません。 |
|
ユニットマネージャ向けの重要事項ユニットマネージャ向けの重要事項 レコードを編集する場合、ユニットマネージャにはパーミッションを持っているレコードの IP のみが表示されます。ユニットマネージャによって行われた変更は、すべてのホストがそのユーザのビジネスユニットに所属しているかどうかにかかわらず、レコードで定義されているすべてのホストに適用されます。レコードには、ユニットマネージャに表示されない IP が含まれている場合があります。 |