アクセラと+αな生活
アクセラとα350と共に過ごす気まぐれ日記です。
Firefox ブラウザ無料ダウンロード
2017年08月
≪07月  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  31    09月≫
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
VineLinux 4.2 で SSH 接続する
昨今はセキュリティの意識が高まってますね。

VineLinux 4.2 の標準ではセキュリティのため、SSH(暗号化での接続)が標準で使用できる状態となっており、TELNET(暗号化しない接続)は標準では使用できない設定となってます。

SSH が標準になっているとはいえ、セキュリティを考えると設定が不十分なので、暗号鍵を使用したSSH 接続を設定してみましょう。
(そろそろ、暗号鍵を変更しようと思ってたところなので、ついでに手順化してしまいますww)
【TELNET と SSH について】
TELNET も SSH も別コンピュータへ接続するユーティリティなのですが。。。
 TELNET は暗号化されていない生のデータがネットワーク間の通信で使用されるのに対し、SSH では暗号化されたデータで通信を行う点が大きくことなります。

つまり、TELNET だとパスワードなども暗号化されずに送信されます。。。
パスワードが生のデータで送信されるなんて、何か怖いですね。。。

その点、SSH であれば、「公開鍵」と「秘密鍵」と言われる一対のキーで暗号、復号を行います。

「公開鍵」で暗号化したデータは対になる「秘密鍵」でしか復号できませんし、逆に「秘密鍵」で暗号化したデータも対になる「公開鍵」でしか復号できないので、他からの解読は不可能となります。
万が一、「鍵」が流出しても、「鍵」を使用するにはパスワードが必要なため、「鍵」だけでデータを解読されることはありません。
また、SSHでは認証方法も暗号化された認証になります。

こんな書き方をすれば難しいですね。。。
簡単に言えば、「鍵を使ってデータを暗号化して通信ので安全w」ってことです。

<認証のイメージ図(あくまでイメージ図)>
ssh_001.jpg

では早速、SSH で鍵を使った暗号化の設定をしましょう。

【sshd_configの設定】
Vine ちゃんのデフォルト設定でも、暗号鍵は使用できる設定ですが、より、セキュリティの高い設定にしておきましょう。
SSH の設定は「/etc/ssh/sshd_config」なので、このファイルを vi で編集します。

※同じディレクトリに「ssh_config」がありますが、これは SSH クライアント設定ファイルなので、間違わないように注意ww
※ Webmin で変更する場合は「サーバ」-「SSH Server」-「認証」の画面で同じ設定変更が可能です。

○PermitRootLogin no
 root ユーザのログイン許可の設定、デフォルトの「no」のまま(root でログインできない)にします。
○#PubkeyAuthentication yes
 →PubkeyAuthentication yes

 「公開鍵」での認証許可の設定、デフォルトは「yes」なので、そのままでもいいのですけど、コメント(#)を外します。
○#PermitEmptyPasswords no
 →PermitEmptyPasswords no

 空パスワードの許可設定、デフォルト「no」なので、そのままでもいいですけど、コメント(#)を外します。
○PasswordAuthentication yes
 →PasswordAuthentication no

 パスワードでの認証許可の設定、「公開鍵」を使用すれば、通常のユーザ認証(TELNETなどと同じ認証方式)は使用しない設定にするため、「no」に変更します。
○UsePAM yes
 →UsePAM no

 PAM(Pluggable Authentication Modules)認証の許可設定、パスワードでの認証を使わないので、PAM もいらね~という設定に変更。

これで、保存(:wq)します。
設定変更を反映させるため、sshd を再起動します。

# /etc/rc.d/init.d/sshd restart


【秘密鍵、公開鍵の作成】
鍵を作らないといけません。
鍵はユーザ毎に作成する必要があるので、SSHで接続するユーザでログインして下さい。

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/<ユーザ>/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):<鍵のパスワードを入力>
Enter same passphrase again:<鍵のパスワードを入力>
Your identification has been saved in /home/<ユーザ>/.ssh/id_rsa.
Your public key has been saved in /home/<ユーザ>/.ssh/id_rsa.pub.
The key fingerprint is:
8f:da:e0:b4:3d:08:4e:10:98:59:9f:d6:d2:d6:a8:ca <ホスト>


入力した「鍵のパスワード」は鍵にアクセスするためのパスワードなので、忘れないようにして下さい。
これで、対象のユーザの home ディレクトリの配下に「.ssh」という隠しディレクトリが作成され、その配下に「id_rsa」(秘密鍵)と「id_rsa.pub」(公開鍵)というファイルが作成されます。
「id_rsa.pub」(公開鍵)は「authorized_keys」でないとSSHサーバから認識されないため、mv でリネームしておきます。

$ mv /home/<ユーザ>/.ssh/id_rsa.pub /home/<ユーザ>/.ssh/authorized_keys

「id_rsa」(秘密鍵)は SSHのクライアントで使用するので、FTP、sambaの共有ディレクトリなどを利用して、クライアントへダウンロードして下さい。

【SSH クライアントの設定】
SSH クライアントは「Tera Term」を使用することとします。

「パスフレーズ」は「鍵のパスワード」になります。
「RSA/DSA鍵を使う」にチェックし、「秘密鍵」にダウンロードした「秘密鍵」を指定すれば接続できます。
ssh_002.jpg

【注意点】
いくら強固なセキュリティを構築しても、運用次第で、もろく崩れてしまうものです。
SSH に関しては鍵、パスワードを定期的に変更する運用を行って下さい。
SSH は鍵とパスワードの二重の門があるとはいえ、絶対に破られない門ではありません。
門を定期的に変更する運用こそが、より強固な門であることをご認識下さい。

コメント
この記事へのコメント
URL :
コメント :
パスワード :
管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
Template designed by アクセラと+αな生活

Powered by .
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。