Top / Network / ssh

sshって

サーバへのリモートログインは、データが平文で流れるTelnetよりもsshを使うのがよいです。またsshはパスワードによるログイン認証だけでなく、公開鍵暗号方式を用いたログイン認証もできて、よりセキュアです。

やってみる

実際にFedora7で、公開鍵暗号方式のsshログイン環境を作ってみます。

[hoge@www ~]$ ssh-keygen  -t rsa  <- RSA暗号方式のキーペア作成
Generating public/private rsa key pair.
Enter file in which to save the key (/home/hoge/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):  <-パスワード(パスフレーズ)を入力
Enter same passphrase again:
Your identification has been saved in /home/hoge/.ssh/id_rsa.
Your public key has been saved in /home/hoge/.ssh/id_rsa.pub.
The key fingerprint is:
xx:xx:xx:xx;............................... hoge@www.fuga.com

キーペアが作成されました。公開鍵の方(id_rsa.pub)はリネームしてサーバにおいておきます。秘密鍵の方は安全な方法でクライアントに持ってくることにします*1

[hoge@www ~]$ cat ~/.ssh/id_rsa.pub  >> ~/.ssh/authorized_keys
        ↑authorized_keysという名前にリネーム
[hoge@www ~]$ cd  ~/.ssh/
[hoge@www .ssh]$ ls -lrt
合計 16
-rw-r--r-- 1 hoge hoge  406 2008-04-04 00:37 id_rsa.pub
-rw------- 1 hoge hoge 1743 2008-04-04 00:37 id_rsa <-秘密鍵
-rw-rw-r-- 1 hoge hoge  406 2008-04-04 00:49 authorized_keys <-公開鍵
[hoge@www .ssh]$ chmod 600 authorized_keys
[hoge@www .ssh]$ rm id_rsa.pub
[hoge@www .ssh]$ ls -lrt
-rw------- 1 hoge hoge 1743 2008-04-04 00:37 id_rsa
-rw------- 1 hoge hoge  406 2008-04-04 00:49 authorized_keys
[hoge@www .ssh]$

クライアントに秘密鍵(id_rsa)を安全に転送したら、サーバ上のid_rsaは削除しておきます。

では実際にTeratermなどでつないでみます。通常はTeratermでID/PASSを入力していましたが、IDと先に指定したパスフレーズ、秘密鍵ファイルを指定してログインすればOKです。

pic.png

RSAによるログインが失敗する場合は /etc/ssh/sshd_config に

RSAAuthentication yes

を追加してみてください。また、ついでにパスワードによるログインをできないようにするには

PasswordAuthentication no

としておけばOKです。

TIPS集

sshでrootをログインできなくする

/etc/ssh/sshd_config に

PermitRootLogin no

を追加。で

/etc/init.d/sshd restart

でリスタート。

パスフレーズを変更する

 [hoge@www ~]$ ssh-keygen -p -f id_rsa

引数の-f以降を指定しない場合は、

 ~/.ssh/id_rsa

となります。

Macのターミナルで、id_rsaを明示的に指定する

ssh hogehoge@fugafuga.com -i ~/.ssh/id_rsafugafuga

などとして秘密鍵を明示的に指定することができます。


この記事は

選択肢 投票
おもしろかった 5  
そうでもない 0  
  • Macのターミナルの場合は、~/.ssh/id_rsa にあればよいようです -- きの? 2008-04-04 (金) 14:08:43
  • ssh-keygen -t rsa -b 4096 -C "masatomix@ki-no.org" いまだと強度を4096以上に。。 -- きの? 2017-05-27 (土) 20:12:34

Top / Network / ssh

現在のアクセス:5814


*1 本来の目的からすると、クライアントでキーペア作って、サーバに公開鍵を転送するのが正しいですね

添付ファイル: filepic.png 701件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-05-25 (金) 09:20:47 (450d)