DevOpsツールとベストプラクティスの習得 - DevOpsナレッジハブ DevOpsツールとベストプラクティスの習得 - DevOpsナレッジハブ

シームレスな認証のためのSSHエージェントとエージェントフォワーディングの習得

ssh-agentとエージェント転送を安全に使用して、パスフレーズ付きキー、踏み台ホスト、マルチホップSSHワークフローを実現する方法。

SSHエージェントとエージェント転送をマスターしてシームレスな認証を実現

Secure Shell(SSH)キー認証は再利用可能なパスワードよりも安全ですが、多くのホストに接続する際にパスフレーズがボトルネックになることがあります。ssh-agentは、ログインセッション中にロック解除されたキーを保持することでこの問題を解決し、エージェント転送を使用すると、信頼できる踏み台ホストを介してローカルキーを利用できます。適切に使用すれば、秘密鍵をサーバーにコピーすることなく、よりスムーズなSSHアクセスが可能になります。

SSHエージェントを理解する

ssh-agentは、秘密SSHキーをメモリ内に安全に保持し、復号化して使用可能な状態にしておくバックグラウンドプログラムです。リモートサーバーに接続するたびにパスフレーズを入力する必要がなく、エージェントにキーを追加するときに一度だけ入力すれば済みます。これにより、パスフレーズ保護によるセキュリティを犠牲にすることなく、ワークフローの効率が大幅に向上します。

SSHエージェントの起動と管理

エージェントを起動し、そのソケットをシェルセッションで利用可能にするプロセスは重要です。最新のLinuxやmacOSシステムでは、システムの初期化スクリプトやデスクトップ環境によってエージェントが自動的に起動されることがよくあります。

手動で起動する必要がある場合は、以下のコマンドシーケンスを使用します。これにより、必要な環境変数(SSH_AUTH_SOCKSSH_AGENT_PID)が現在のシェルセッションに正しく設定されます。

# エージェントを起動し、必要な環境変数を出力
評価 "$(ssh-agent -s)"

エージェントへのキー追加

エージェントが実行されたら、ssh-addコマンドを使用して秘密鍵をメモリにロードします。キーがパスフレーズで保護されている場合、ここで入力を求められます。

例:デフォルトキーの追加

ssh-add
# パスフレーズの入力を求められたら入力
# アイデンティティ追加: /home/user/.ssh/id_ed25519 (user@localbox)

例:特定のキーファイルの追加

ssh-add ~/.ssh/my_project_key

ロードされたキーの確認

エージェントが現在管理しているキーを確認するには、-lフラグを使用します。

ssh-add -l
# 出力例:
2048 SHA256:abcdef1234567890... user@localbox (RSA)

秘密鍵にはパスフレーズを使用してください。エージェントはセッション中の繰り返しの入力を省くだけで、保護されていない秘密鍵をディスク上で安全にするわけではありません。

SSHエージェント転送の解明

エージェント転送は強力な機能で、ローカルのssh-agentにロードされたキーを使用して、最初のリモートホストから接続する2番目のリモートホストへの認証を可能にします。

これは、ラップトップから踏み台ホストに接続し、さらにその踏み台ホストから内部サーバーに接続するようなマルチホップワークフローで便利です。

エージェント転送の仕組み

エージェント転送を有効にしてホストAに接続すると、SSHはホストA上に特別なUNIXドメインソケットを作成します。このソケットはプロキシとして機能します。ホストAからターゲットホストBにSSH接続しようとすると、ホストAのSSHクライアントは認証リクエストをこのプロキシソケットを介してローカルマシンで実行中のssh-agentに転送します。エージェントは保存された秘密鍵を使用して暗号化チャレンジを処理し、成功信号を返してホストBへの認証を完了します。

秘密鍵はローカルマシンから離れることはありません。リモートホストは一時的なエージェントソケットへのアクセスを受け取るだけで、キーファイル自体にはアクセスできません。

エージェント転送の有効化

リモートホストに接続する際にエージェント転送を有効にするには、sshコマンドに-Aフラグを使用します。

ssh -A user@bastion-host

また、信頼できるホストに対して~/.ssh/configで設定することもできます。

Host bastion-host
    Hostname 192.168.1.100
    User myuser
    ForwardAgent yes

エージェント転送のテスト

転送を有効にして踏み台ホストに正常に接続した後、リモートマシンでエージェントソケットが利用可能かどうかをテストします。SSH_AUTH_SOCK環境変数の存在を確認するか、リモートマシンでssh-add -lを使用します。

踏み台ホスト上で:

# キーが転送されているか確認(ローカルで実行中のエージェントが応答するはず)
ssh-add -l
# 成功した場合、ローカルエージェントが管理するキーが表示されます。

これで、踏み台ホストから内部ターゲットホストに秘密鍵ファイルを踏み台ホストに置くことなく、キー認証を使用してSSH接続できます。

踏み台ホスト上で:

ssh user@target-host
# 転送されたエージェントソケットを介してローカルキーを使用し、認証がシームレスに行われます。

セキュリティに関する考慮事項

エージェント転送は便利ですが、リスクプロファイルを変えます。

リモートホストで転送が有効になっている場合、そのホストでrootアクセスを持つユーザーは、SSHセッションが開いている間、転送されたエージェントソケットにアクセスできる可能性があります。エージェントから秘密鍵を読み取ることはできませんが、アクセス可能な他のサーバーに対する認証チャレンジに署名するようエージェントに要求できる場合があります。

緩和策

  1. デフォルトでは転送をオフにする: 特定のマルチホップタスクに必要な場合のみ-Aを使用します。
  2. ~/.ssh/configで転送を制限する: 信頼できる踏み台サーバーに対してのみ転送を有効にします。
    Host trusted-jump
    ForwardAgent yes
Host untrusted-server
    ForwardAgent no
  3. 機密キーには確認を要求する: ssh-add -c ~/.ssh/keynameは、エージェントがそのキーを使用する前に確認を求めます。これは、転送されたエージェントが管理しているが完全には信頼していないホストに公開される場合に役立ちます。
  4. 転送が不要な場合はProxyJumpを優先する: 踏み台を経由してプライベートホストに到達するだけが目的の場合、ssh -J user@bastion user@targetを使用すると、エージェントを踏み台に転送する必要がなくなります。

エージェントのライフサイクル管理

特に手動で行う場合、エージェントのライフサイクルを管理することは良い習慣です。ターミナルセッションを閉じても、エージェントがバックグラウンドで実行され続け、リソースを消費し、ソケットをアクティブなままにする可能性があります。

キーの削除

エージェントのメモリから特定のキーを削除するには:

ssh-add -d ~/.ssh/my_project_key

エージェントからすべてのキーを削除するには:

ssh-add -D

エージェントの停止

エージェントプロセスを終了し、メモリからすべてのロードされたキーをクリアするには:

ssh-agent -k

これにより、関連する環境変数を設定解除し、エージェントプロセスを強制終了するシェルコマンドが出力されます。eval "$(ssh-agent -s)"でエージェントを起動した場合は、eval "$(ssh-agent -k)"を実行して現在のシェルにクリーンアップを適用します。

重要なポイント

日常的なキー管理にはssh-agentを使用し、エージェント転送は本当に必要な信頼できる踏み台ホストに限定してください。単純な踏み台アクセスには、まずProxyJumpを試してください。転送されたエージェントを使用する場合は、セッションを短く保ち、不要になったキーはssh-add -dまたはssh-add -Dで削除してください。