++ Debian 5.0.7 SSHのインスト、Debian 5.0.7 SSHのインスト、Poderasaで鍵の生成・接続++
2010.12.26初版
Debian 5.0.7 SSHのインスト、Poderasaで鍵の生成・接続
注意: Debian の最小構成のインストではSSH はインストされない。
いくらネットワークを流れるパスワードの文字列を暗号化しようとも、そもそもそのパスワード自体が第三者に知られてしまったら、簡単に侵入されてしまう。
で、そのような「なりすまし」の危険性を回避するために、鍵を交換する仕組を作り、秘密鍵を持っているコンピュータでない限りログインできない仕掛けが公開鍵暗号方式を用いた認証方式である。
万一、パスフレーズが漏れたとしても、鍵をもってない他のコンピュータからはログインが不可能なので、安全性が飛躍的に向上する。
SSHというのはパスワードそのもので認証するのではなく,公開鍵をつかった認証方式である。
じつによく考えられている。
公開鍵というのは暗号文を作り出す鍵であり、秘密鍵は暗号を復号する鍵。
http://itpro.nikkeibp.co.jp/article/COLUMN/20071031/286010/から引用
●不思議な箱と不思議な鍵
この鍵ペアで操作できる宝箱があります。しかし普通の宝箱と違って,公開鍵で閉めるとそのペアである秘密鍵でなければ開きません。箱を閉めた公開鍵そのものでも,その箱を開けることはできないのです。
今度は秘密鍵で宝箱を閉めてみます。すると,今後はそのペアとなっている公開鍵でなければ箱は開きません。箱を閉めた秘密鍵を使っても箱は開かないのです。不思議な箱と不思議な鍵です。
【SSHのインストール】
# aptitude show ssh ・・・このコマンドで、sshパッケージの情報を知る。
Debian はsshをインストしないので手動でやるほかない。
# aptitude install ssh ・・・インストール
つぎに
【SSHサーバの設定】
/etc/ssh/sshd_config ファイルを編集する。
指定したユーザだけが、SSHサーバに接続できるように設定する。
PermitRootLogin no ・・・yes を NO に変更し、rootユーザは撥ねることにする。
AuthorizedKeysFile %h/.ssh/authorized_keys ・・・この行のコメントアウトを外し、ファイルが使えるようにする
ssh接続できるユーザを特定するために次の2行を追加
DenyUsers ALL
Allowusers tek
さらに他から入り込めないように
hosts.deny ファイルに追加する
sshd: ALL
hosts.allow ファイルにも追加
ALL: 127.0.0.1
sshd: 192.168.0.
再起動を掛ける。設定を反映させるために
# /etc/init.d/ssh restart
Restarting OpenBSD Secure Shell server: sshd.
設定どうりに動いているをチェック
sshd_config ファイルの設定変更が効いているかテストする。
たしかにroot は拒否され、所定のユーザ はOK。
ここまではパスワード認証で繋いでいたが、ここからは公開鍵を使った認証方式を設定する。
基本は二つの鍵をペアで作成し、公開鍵の方をSSHサーバに置いて、秘密鍵は手元のパソコンに置く。
下図のように、Poderasa で作成した公開鍵 openKey.pub を、SSHサーバのホームディレクトに一時的に置き、.ssh/authorized_keysファイルに書きこむ。
サーバーへ渡す方法はフロッピーなどか、FTPが可能であればそれでもいい。
事前に/mnt にfloppyディレクトをつくっておく。
# mkdir floppy
フロッピーをマウント
# mount -t vfat /dev/fd0 /mnt/floppy
マウントできたら、mv openKey.pub /home/XXX/.ssh/authorized_keys ・・・このようにしてコピーする。
すでに$HOME/.ssh/に authorized_keys ファイルがあれば、下記コマンドで追加する。authorized_keysのパーミッションを 600に変更。
$ cat openKey.pub >> $HOME/.ssh/authorized_keys
【Poderosa にて、公開鍵と秘密鍵を作る】
ツール→SSH鍵作成ウィザードを開く。
アルゴリズムはDSAも選択できるが、ここではRSA を選んだ。
ビット数は768、
1024、2048が選べるがもっとも堅牢になる2048を選んだ。鍵のファイルサイズは当然に大きくなる。
秘密鍵を名前を付けて保存。名前も保存場所も任意でOKだが、Poderosa がインストされているディレクトリC:\Program Files\Poderosaが分かりやすいだろう。公開鍵:openKey.pub、秘密鍵:secretKey とした。
余談だが、 puttygen.exeで作成した公開鍵はOpenSSHでは使用できないようで、使用できるように変換する必要がある。ssh-keygenコマンドで変換する。
$ ssh-keygen -i -f openkey.pub >> authorized_keys ・・・コマンド例
Poderosa ではこの変換操作は不要である。
※ ちなみに、
ssh_known_hosts ファイルが同じディレクトに作られ、IPアドレス、鍵が記録される。
■ Debian GNU/Linux 5.0.7インスト 富士通 FM/V ME3/507 こちら 2010.12.26
■ 非常用のサーバーをセットアップ 〜富士通 FM/V ME3/507にUbuntu --> こちら (ブログ)
■ Ubuntu Server 9.04 インスト --> こちら
■ 美しいものが生き残る 〜Ubuntu 9.04 Server --> こちら (ブログ)
■ 第二のご奉公 FM/V ME3/507が Linux で蘇る --> こちら (ブログ)