<h2 id="%E6%A6%82%E8%A6%81" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h2>
<p data-line="1" class="code-line">AWS IoT Greengrass V2の便利な機能である「セキュアトンネリング（Secure Tunneling）」を使おうとした際、AWSコンソール上では接続できているように見えるのに、ターミナル画面がローディングのまま進まない現象に遭遇しました。</p>
<p data-line="3" class="code-line">調査の結果、OS側のSSHサーバー（sshd）のセキュリティ強化による「鍵交換アルゴリズムの不一致」が原因でした。ログの追い方から解決策までを共有します。</p>
<h2 id="%E7%92%B0%E5%A2%83" data-line="5" class="code-line">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83" aria-hidden="true"></a> 環境</h2>
<ul data-line="7" class="code-line">
<li data-line="7" class="code-line">
<strong>Device:</strong> Raspberry Pi 5</li>
<li data-line="8" class="code-line">
<strong>OS:</strong> Raspberry Pi OS 64-bit (2025-11-24 Release) ※現時点で最新版</li>
<li data-line="9" class="code-line">
<strong>Middleware:</strong> AWS IoT Greengrass V2</li>
<li data-line="10" class="code-line">
<strong>Component:</strong> <code>aws.greengrass.SecureTunneling</code>
</li>
</ul>
<h2 id="%E4%BA%8B%E8%B1%A1" data-line="12" class="code-line">
<a class="header-anchor-link" href="#%E4%BA%8B%E8%B1%A1" aria-hidden="true"></a> 事象</h2>
<p data-line="14" class="code-line">AWSマネジメントコンソールの「MQTTテストクライアント」やGreengrassのメニューから「セキュアトンネリング」を開始。</p>
<ol data-line="16" class="code-line">
<li data-line="16" class="code-line">コンソール上では「接続済み」と表示される。</li>
<li data-line="17" class="code-line">コンソールのShell画面は <strong>ローディングアイコンが回り続けるだけで、プロンプトが表示されない。</strong>
</li>
</ol>
<h2 id="%E8%AA%BF%E6%9F%BB%E3%83%97%E3%83%AD%E3%82%BB%E3%82%B9" data-line="19" class="code-line">
<a class="header-anchor-link" href="#%E8%AA%BF%E6%9F%BB%E3%83%97%E3%83%AD%E3%82%BB%E3%82%B9" aria-hidden="true"></a> 調査プロセス</h2>
<h3 id="1.-greengrass%E3%82%B3%E3%83%B3%E3%83%9D%E3%83%BC%E3%83%8D%E3%83%B3%E3%83%88%E3%81%AE%E3%83%AD%E3%82%B0%E7%A2%BA%E8%AA%8D" data-line="21" class="code-line">
<a class="header-anchor-link" href="#1.-greengrass%E3%82%B3%E3%83%B3%E3%83%9D%E3%83%BC%E3%83%8D%E3%83%B3%E3%83%88%E3%81%AE%E3%83%AD%E3%82%B0%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 1. Greengrassコンポーネントのログ確認</h3>
<p data-line="23" class="code-line">まずはGreengrass側のログを確認しました。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="25"><span class="token function">sudo</span> <span class="token function">tail</span> <span class="token parameter variable">-f</span> /greengrass/v2/logs/aws.greengrass.SecureTunneling.log
</code></pre></div><p data-line="29" class="code-line">ログには以下のような警告が出ていました。</p>
<div class="code-block-container"><pre class="language-text"><code class="language-text code-line" data-line="31">[WARN] {FileUtils.cpp}: Permissions to given file/dir path '/tmp/' is not set to recommended value...
[WARN] {Config.cpp}: Path replace_with_root_ca_file_location to RootCA is invalid.
</code></pre></div><p data-line="36" class="code-line">当初はこれらが原因かと思われましたが、調査の結果、以下が判明しました。</p>
<ul data-line="38" class="code-line">
<li data-line="38" class="code-line">
<strong>/tmpの権限:</strong> <code>777</code>（誰でも書き込める）に対する「緩すぎる」という警告であり、書き込み自体はできているため動作に支障はない。</li>
<li data-line="39" class="code-line">
<strong>RootCA:</strong> 証明書設定のエラーが出ているが、<code>lsof</code> コマンド等で確認するとAWSへのHTTPSコネクション（443ポート）は <code>ESTABLISHED</code> になっており、トンネル自体は張れている。<a href="https://repost.aws/ja/questions/QUk3pAaUeTT56joFkTGW_TCw/secure-tunnelling-component-does-not-work-as-it-should?sc_ichannel=ha&amp;sc_ilang=en&amp;sc_isite=repost&amp;sc_iplace=hp&amp;sc_icontent=QUk3pAaUeTT56joFkTGW_TCw&amp;sc_ipos=7" target="_blank" rel="nofollow noopener noreferrer">フォーラム</a>でもこのメッセージが出力されてもSSH接続できているとのことだった。</li>
</ul>
<h3 id="2.-ssh%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%EF%BC%88sshd%EF%BC%89%E3%81%AE%E3%83%AD%E3%82%B0%E7%A2%BA%E8%AA%8D%EF%BC%88%E8%A7%A3%E6%B1%BA%E3%81%AE%E7%B3%B8%E5%8F%A3%EF%BC%89" data-line="41" class="code-line">
<a class="header-anchor-link" href="#2.-ssh%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%EF%BC%88sshd%EF%BC%89%E3%81%AE%E3%83%AD%E3%82%B0%E7%A2%BA%E8%AA%8D%EF%BC%88%E8%A7%A3%E6%B1%BA%E3%81%AE%E7%B3%B8%E5%8F%A3%EF%BC%89" aria-hidden="true"></a> 2. SSHサーバー（sshd）のログ確認（解決の糸口）</h3>
<p data-line="43" class="code-line">「トンネルはAWSまで張れているのに、SSHの画面が出ない」ということは、<strong>デバイス内部での「トンネル出口」から「SSHポート（22）」への接続</strong>でコケているのではないか？と推測し、sshdのステータスを確認しました。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="45"><span class="token function">sudo</span> systemctl status <span class="token function">ssh</span>
</code></pre></div><p data-line="49" class="code-line">すると、以下のようなエラーが大量に出力されていました。</p>
<div class="code-block-container"><pre class="language-text"><code class="language-text code-line" data-line="51">Nov 30 21:14:36 rpi-c98d00 sshd-session[4169]: Unable to negotiate with 127.0.0.1 port 47884: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1...
</code></pre></div><h3 id="%E5%8E%9F%E5%9B%A0%EF%BC%9A%E9%8D%B5%E4%BA%A4%E6%8F%9B%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0%E3%81%AE%E4%B8%8D%E4%B8%80%E8%87%B4" data-line="55" class="code-line">
<a class="header-anchor-link" href="#%E5%8E%9F%E5%9B%A0%EF%BC%9A%E9%8D%B5%E4%BA%A4%E6%8F%9B%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0%E3%81%AE%E4%B8%8D%E4%B8%80%E8%87%B4" aria-hidden="true"></a> 原因：鍵交換アルゴリズムの不一致</h3>
<p data-line="57" class="code-line">エラーメッセージ <code>no matching key exchange method found</code> が決定的な証拠です。</p>
<ul data-line="59" class="code-line">
<li data-line="59" class="code-line">
<strong>Secure Tunnelingコンポーネント:</strong> 少し古い鍵交換アルゴリズム（<code>diffie-hellman-group-exchange-sha256</code> 等）を使ってlocalhostのSSHに接続しようとしている。</li>
<li data-line="60" class="code-line">
<strong>最新のRaspberry Pi OS（サーバー役）:</strong> セキュリティ強化のため、古いアルゴリズムをデフォルトで無効化している。</li>
</ul>
<p data-line="62" class="code-line">この不一致により、TCP接続はできてもSSHのハンドシェイク（ネゴシエーション）で拒否されていました。</p>
<h2 id="%E8%A7%A3%E6%B1%BA%E7%AD%96" data-line="64" class="code-line">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E7%AD%96" aria-hidden="true"></a> 解決策</h2>
<p data-line="66" class="code-line"><code>/etc/ssh/sshd_config</code> を編集し、Greengrassが使用するアルゴリズムを明示的に許可します。</p>
<h3 id="1.-%E8%A8%AD%E5%AE%9A%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E7%B7%A8%E9%9B%86" data-line="68" class="code-line">
<a class="header-anchor-link" href="#1.-%E8%A8%AD%E5%AE%9A%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E7%B7%A8%E9%9B%86" aria-hidden="true"></a> 1. 設定ファイルの編集</h3>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="70"><span class="token function">sudo</span> <span class="token function">nano</span> /etc/ssh/sshd_config
</code></pre></div><p data-line="74" class="code-line">ファイルの末尾に以下の行を追加します。既存の設定を上書きしないよう、<code>+</code> を付けてリストに追加する形式にします。</p>
<div class="code-block-container"><pre class="language-text"><code class="language-text code-line" data-line="76"># AWS Greengrass Secure Tunnelingのための互換性設定
KexAlgorithms +diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1
HostKeyAlgorithms +ssh-rsa
</code></pre></div><h3 id="2.-sshd%E3%81%AE%E5%86%8D%E8%B5%B7%E5%8B%95" data-line="82" class="code-line">
<a class="header-anchor-link" href="#2.-sshd%E3%81%AE%E5%86%8D%E8%B5%B7%E5%8B%95" aria-hidden="true"></a> 2. SSHDの再起動</h3>
<p data-line="84" class="code-line">設定を反映させます。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="86"><span class="token function">sudo</span> systemctl restart <span class="token function">ssh</span>
</code></pre></div><p data-line="90" class="code-line">これで再度AWSコンソールから接続を試したところ、無事にSSHログイン画面が表示されました！</p>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="92" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<p data-line="94" class="code-line">最新のOSを使う場合、AWSの提供するコンポーネント（特にJavaベースや古いライブラリを使っているもの）とOSのセキュリティポリシーが乖離することがあります。</p>
<p data-line="96" class="code-line">「繋がらない」となった時は、クライアント側（Greengrassログ）だけでなく、**受け入れ側（今回の場合はsshdログ）**を見ることで、真の原因にたどり着くことができました。</p>


【AWS Greengrass】Raspberry Pi OSでSecure TunnelingのSSHが繋がらない時の対処法

1. Greengrassコンポーネントのログ確認

2. SSHサーバー（sshd）のログ確認（解決の糸口）

原因：鍵交換アルゴリズムの不一致

Discussion