Linux 秘密鍵 (ID/公開鍵)

Identity/Pubkey認証方式を使用し、LinuxサーバーまたはLinux OSを実行するVMにログオンできます。Identity/Pubkey認証方式は、キーロガーなどの悪意あるアプリケーションから保護し、セキュリティレベルを強化し、自動化されたタスクの起動を簡素化するのに役立ちます。

Identity/Pubkey認証方式を使用するには、パブリックキーとプライベートキーのキーペアを生成する必要があります。

  • パブリックキーは、バックアップサーバーから接続するLinuxサーバーに保存されます。パブリックキーは、パブリックキーのリストが含まれる特別なauthorized_keysファイルに保存されます。
  • プライベートキーは、クライアントマシンであるバックアップサーバーに保存されます。プライベートキーは、パスフレーズで保護されます。プライベートキーがインターセプトされた場合でも、キーを解除して使用するためには、盗聴者はパスフレーズを指定する必要があります。

Linuxサーバーでの認証では、クライアントはLinuxサーバーに保存されているパブリックキーと一致するプライベートキーを持っていることを証明する必要があります。そのために、クライアントはプライベートキーを使用して暗号文を生成し、この暗号文をLinuxサーバーに渡します。クライアントが暗号文に「適切な」プライベートキーを使用した場合、Linuxサーバーは一致するパブリックキーを使用して暗号文を容易に復号化できます。

Veeam Backup & Replicationには、Identity/Pubkey認証方式で次の制限事項があります。

  • Veeam Backup & Replicationでは、DER形式のファイルなど、バイナリ・データとして保存されているキーはサポートされません。
  • Veeam Backup & Replicationでは、PuTTYでサポートされるアルゴリズムでパスフレーズが暗号化されているキーのみサポートされます。
    • AES(Rijndael):128ビット、192ビット、および256ビットのCBCまたはCTR(SSH-2のみ)
    • Blowfish:128ビットのCBC
    • Triple-DES:168ビットのCBC
  • VMware VIX/vSphere Webサービスを使用する場合、Veeam Backup & Replicationは、Linuxゲストサーバー上でのゲスト処理用としてのパブリックキーの使用をサポートしません。

Identity/Pubkey認証方式を使用してログイン情報レコードを追加するには、次の手順を実行します。

  1. ssh-keygenなどのキー生成ユーティリティを使用してキーペアを生成します。
  2. パブリックキーをLinuxサーバーに配置します。そのために、パブリックキーをLinuxサーバーのホームディレクトリ内の.ssh/ディレクトリにあるauthorized_keysファイルに追加します。
  3. プライベートキーをバックアップサーバー上のフォルダまたはネットワーク共有フォルダに配置します。
  4. Veeam Backup & Replicationのメイン・メニューで、[Manage Credentials]を選択します。
  5. [Add] > [Linux private key]をクリックします。
  6. [Username]フィールドで、作成するログイン情報レコードのユーザー名を指定します。
  7. [Password]フィールドに、このユーザーアカウントのパスワードを入力します。このパスワードは、ルート、または/etc/sudoersNOPASSWD:ALL設定が有効化されたユーザーを使用する場合を除き、常に必要です。
  8. [Private key]フィールドにプライベートキーへのパスを入力するか、[Browse]をクリックしてプライベートキーを選択します。
  9. [Passphrase]フィールドで、バックアップサーバー上のプライベートキーのパスフレーズを指定します。入力したパスフレーズを表示するには、フィールドの右にある目のアイコンをクリックしたままにします。
  10. [SSH port]フィールドで、Linuxサーバーへの接続に使用するSSHポートの番号を指定します。デフォルトでは、ポート22が使用されます。
  11. Linuxサーバーへのルート権限がない非ルートアカウントのデータを指定する場合、[Non-root account]セクションを使用してこのアカウントにsudo権限を付与できます。
  1. 非ルートユーザーにルートアカウントの権限を付与するには、[Elevate specified account to root]チェックボックスを選択します。
  2. sudoersファイルにユーザーアカウントを追加するには、[Add account to the sudoers file automatically]チェックボックスを選択します。[Root password]フィールドに、ルートアカウントのパスワードを入力します。

このオプションを有効にしない場合は、sudoersファイルに手動でユーザーアカウントを追加する必要があります。

  1. Linuxサーバーを登録する場合、sudoコマンドが利用できないディストリビューションではsuコマンドを使用するようにフェイルオーバーするためのオプションがあります。

フェイルオーバーを有効にするには、[Use "su" if "sudo" fails]チェックボックスを選択し、[Root password]フィールドに、ルートアカウントのパスワードを入力します。

  1. [Description]フィールドに、作成するログイン情報の説明を入力します。類似するアカウント名(Rootなど)が多数存在する可能性があるため、リスト内で区別できるように、ログイン情報レコードに分かりやすい一意の説明を入力することを推奨します。説明は、ユーザー名の後に括弧に囲まれて表示されます。

Linuxプライベートキー(Identity/Pubkey)重要!

sudoを使用して、アカウントの権限を昇格させるためにルートのパスワードが必要になるようなケースは今後、サポートされません。

Linuxプライベートキー(Identity/Pubkey)