ssh_セキュリティ(key)

JITAKU_SVR_Wiki

sshを使用したサーバでの作業が当たり前になっているが、言い換えたら、誰でもサーバにログインできる状態になっている、ということ。
一番危険なポイント。

自分でサーバを公開し、messagesを見るときっと驚くと思う。

今回はteratermで鍵認証ログインをする方法。
※パスワードログインの禁止

sshd_config †

設定方法 †

まず、sshd_configでパスワードログインが出来ない様に設定し、次に鍵認証をするように設定をする。
また、他にもセキュリティ上必須な項目

設定箇所は以下。

#vim /etc/ssh/sshd_config

#PasswordAuthentication yes
            ↓
PasswordAuthentication no
パスワードログインの禁止


PermitEmptyPasswords no　
デフォルト設定(要確認)
パスワードなしでもログイン出来るという超危ないポイント


#PermitRootLogin yes
         ↓
PermitRootLogin no
基本rootでログイン出来ない様にさせる
(サーバの仕様によってはyesもありえる)

AuthorizedKeysFile .ssh/authorized_keys　←デフォルト
鍵の設置場所、鍵の名前の指定

上記が最低限編集、確認が必要な項目になる。

最後に設定ファイルを修正したので、

# /etc/init.d/sshd restart

teraterm、サーバ作業 †

teratermで鍵の作成 †

クライアント †

TeraTerm起動後
・「設定」→「SSH鍵生成」
・鍵の種類「RSA」(RSAは暗号の種類の一つ)
・ビット数「2048」(長いほど強力)
・生成
・(パスフレーズを入力する画面が出る)入力する
・もう一回入力する
・最後に「公開鍵」、「秘密鍵」を保存する場所を指定して完了

サーバ †

上記でteratermの「公開鍵」、「秘密鍵」を作成し、たのでその役割について少し。
・「秘密鍵」
名前の通り、とても大事なものなので、誰にも見られない様に管理しましょう。
・「公開鍵」
こちらも名前の通り、公開しても良い鍵なので、盗み見られてもOKな鍵。

サーバ側には「公開鍵」を置いてあげる。
WinSCPあたりを使用して、サーバに設置。
設置場所は、一般ユーザであれば、
/home/hogehoge/.ssh/authorized_keys
として保管する。

rootユーザであれば、
/root/.ssh/authorized_keys

このauthorized_keysという名前はsshd_configで自分で設定した名前にすること。

これで完了。
もう一度teratermを起動し、ユーザ名を入力し、秘密鍵を指定する。
この時に秘密鍵を作成したときのパスフレーズでログインする。

エラー †

authorized_keysは適切なpermissionにしてあげないと怒る。ログイン出来ない。

Permission denied (publickey,gssapi-with-mic)

こんな感じ。

色々考えられることがあるかも知れないが、大抵はpermissionの問題。
以下のことが考えられる。

・authorized_keysは使用するユーザのオーナになっているか？ →chownコマンドでユーザ、グループを正しく設定する。

# chown hogehoge:hogehoge ~/.ssh/authorized_keys

・権限は？
→.sshディレクトリは700、authorized_keysは600にする

# chmod 700 ~/.ssh

# chmod 600 ~/.ssh/authorized_keys

この辺りはノーパスフレーズでも同じことが起こる。

以上で完了。

こちらも参考に。

• ssh_sshd_config
  
• ssh_パスフレーズ解除