OpenSSH

◆方針

(1)sshのプロトコルにはバージョン1とバージョン2がありバージョン2は、バージョン1に比べてより安全。(データの途中改ざんを防ぐ機能とか。)
  また、ssh2でのみアクセスを受け付ける設定も可能。

(2)sshには [パスワード認証] [公開鍵認証] [ホストベース認証] などの認証方法があり、パスワード認証は使用しない方がベター。
  (パスワード総当り攻撃などによって不正侵入をゆるす可能性あり)

(3)リモートからのrootユーザのログインは許可しない方がより安全。
  (rootになる必要があるときは、他ユーザでログイン後にsuして再度rootとしての認証を行う。)

(4)公開鍵認証でパスフレーズなしの鍵を使用すれば自動運転も可能。(ファイルの自動バックアップとかに使えそう。)

(5)公開鍵での接続では、その鍵自体に行える操作を設定する事ができる。( (4)と組み合わせるとより安全に自動運転できそう。)

(6)SSH(scp,sftp)を使用してファイル転送も行う事ができる。

(7)Windowsで使用できるSSHクライアントでは putty、teraTermとかがあるらしい。scp等を使用する場合は WinScpが使える。
  。。。で puttyで作った鍵は WinScpでも使えるらしい

◆運用ルールの決定

(1)sshのプロトコルはバージョン2のみ使用する。

(2)認証方法には[公開鍵認証]を使用し[パスワード認証]は許可しない。

(3)rootでの認証を許可しない。

(4)クライアントソフトは putty&WinScpを使用する。

(5)自動運転時は鍵で操作を限定する。
 ※その鍵でできる操作を限定したり、ホストを制限したりできる。man 8 sshd とか入力してマニュアルを読むべし。 

◆鍵の作成と登録(putty版) ※クライアントにputtyをインストールしておく必要がある。

  (1)puttygen.exeを起動

putty1.jpg

  (2)パラメータを入力し[Generate]を押下後、
    乱数を生成する為にひたすらマウスを動かす!
    (ここでは鍵タイプ:[SSH2 RSA]、ビット数:[1024]とした。)

putty2.jpg

  (3)[パスフレーズ]と[パスフレーズ確認入力]を入力。

putty3.jpg

  (4)[Save private Key]で秘密鍵を保存。
    [Save public Key]で公開鍵も保存。
    ※秘密鍵は勝手に拡張子 ppk がつく。

putty4.jpg

  (5)保存した公開鍵をフロッピー等に保存してサーバへコピーする。
    また、puttygenで鍵を生成した場合は、公開鍵の形式が違うので
    変換をかましつつ、認可するキーとしてauthorized_keys に登録する。

mount /mnt/floppy  ・・・ (A)
mkdir ~/.ssh  ・・・ (B)
ssh-keygen -i -f /mnt/floppy/公開鍵ファイル名 >> ~/.ssh/authorized_keys  ・・・ (C)
chmod 600 ~/.ssh/authorized_keys    ・・・ (D)

    (A)フロッピードライブをマウント
    (B)自分のホームディレクトリに.sshディレクトリがなければ作成
    (C)変換しつつ、認可キーとしてauthorized_keysに登録
    (D)authorized_keysのパーミッションを600に設定
    ※あと自分のホームディレクトリ等のパーミッションが 755以下でないと後で怒られる。

◆クライアントの接続用設定(putty版)
  puttyを起動し、.曠好函↓▲檗璽(22)、プロトコル(SSH2)、ぅ罅璽玉勝↓ジ哀侫.ぅ襦癖歛犬靴身詭鍵ファイル)等を設定して[保存]。

putty5.jpg

putty6.jpg

putty7.jpg

◆設定ファイルの編集
  公開鍵認証で接続できるようになったら、設定ファイルを編集して[パスワード認証を無効化]しておく。

/etc/ssh/sshd_config

#Protocol 2,1

#PubkeyAuthentication yes

PasswordAuthentication yes

PermitRootLogin yes

PermitEmptyPasswords no

 => 


Protocol 2

PubkeyAuthentication yes

PasswordAuthentication no

PermitRootLogin no

PermitEmptyPasswords no

  設定が終わったら再起動しておく

  ・通常サービスとして起動している場合

/etc/init.d/sshd restart

  ・スーパーデーモンとして起動している場合

/etc/init.d/xinetd restart

添付ファイル: fileputty7.jpg 701件 [詳細] fileputty5.jpg 709件 [詳細] fileputty6.jpg 691件 [詳細] fileputty3.jpg 724件 [詳細] fileputty4.jpg 732件 [詳細] fileputty1.jpg 702件 [詳細] fileputty2.jpg 707件 [詳細]

トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2009-06-11 (木) 00:48:35 (3476d)