serverapps:security:ssh
差分
このページの2つのバージョン間の差分を表示します。
両方とも前のリビジョン前のリビジョン次のリビジョン | 前のリビジョン | ||
serverapps:security:ssh [2017/05/02 08:28] – [rootログインの禁止] hayashi | serverapps:security:ssh [2024/02/02 03:28] (現在) – [パスワードログインを禁止] hayashi | ||
---|---|---|---|
行 1: | 行 1: | ||
====== SSH ====== | ====== SSH ====== | ||
+ | ===== ポートフォワード ===== | ||
+ | '' | ||
+ | < | ||
+ | Host __r_target_8080 | ||
+ | Hostname | ||
+ | User UserName | ||
+ | LocalForward | ||
+ | </ | ||
+ | |||
+ | これでssh接続をすると'' | ||
+ | その状態で'' | ||
+ | |||
+ | なお、'' | ||
+ | < | ||
+ | ProxyCommand | ||
+ | </ | ||
+ | |||
+ | ===== ssh-agent ===== | ||
+ | 通常は.bashrcなどに記述するが、tcshなども利用しているので以下のスクリプトを作成 | ||
+ | < | ||
+ | #!/bin/sh | ||
+ | # for ssh-agent | ||
+ | cd ~ | ||
+ | if [ -f ~/ | ||
+ | . ~/ | ||
+ | fi | ||
+ | if [ -z " | ||
+ | / | ||
+ | . ~/ | ||
+ | fi | ||
+ | ssh-add -l > /dev/null 2>&1 || ssh-add | ||
+ | </ | ||
+ | |||
===== rootログインの禁止 ===== | ===== rootログインの禁止 ===== | ||
CentOSなどはデフォルトで許可されているので注意 | CentOSなどはデフォルトで許可されているので注意 | ||
行 9: | 行 42: | ||
==== 認証用のKeyの作成 ==== | ==== 認証用のKeyの作成 ==== | ||
- | 認証用の秘密鍵と公開鍵のペアが作成される | + | 認証用の秘密鍵と公開鍵のペアが作成される\\ |
+ | **安全性からed25519を推奨します** 2017.05.22((ecdsaを非推奨とするため削除しました)) | ||
$ cd | $ cd | ||
+ | $ ssh-keygen -t ed25519 | ||
+ | OR | ||
$ ssh-keygen -t rsa -b 4096 | $ ssh-keygen -t rsa -b 4096 | ||
+ | OR | ||
+ | $ ssh-keygen -t rsa -b 4096 -N " | ||
+ | |||
+ | 利用可能な鍵証明書一覧 | ||
+ | $ ssh -Q key-cert | ||
+ | |||
+ | 利用可能な鍵一覧 | ||
+ | $ ssh -Q key | ||
+ | |||
+ | === 暗号強度の確認 === | ||
+ | |||
+ | $ ssh-keygen -l -f ~/ | ||
+ | 256 SHA256: | ||
+ | $ ssh-keygen -l -f ~/ | ||
+ | 384 SHA256: | ||
+ | $ ssh-keygen -l -f ~/ | ||
+ | 4096 SHA256:/ | ||
+ | |||
+ | |||
==== 公開鍵をリモートホストのauthorized_keysに追加 ==== | ==== 公開鍵をリモートホストのauthorized_keysに追加 ==== | ||
行 19: | 行 75: | ||
とかやってディレクトリを作っておく。 | とかやってディレクトリを作っておく。 | ||
- | CentOSならssh-copy-idが入っているのでそちらを使うも良し。FreeBSDはPortsのsecurity/ | + | CentOSならssh-copy-idが入っているのでそちらを使うも良し。\\ |
+ | FreeBSDにも入りました。((2017.05.22:10.3で確認))\\ | ||
+ | <del>FreeBSDはPortsのsecurity/ | ||
$ ssh-copy-id -i .ssh/ | $ ssh-copy-id -i .ssh/ | ||
なお、authorized_keysはPermissionを **600**にしておかないとLogin に失敗するので注意 | なお、authorized_keysはPermissionを **600**にしておかないとLogin に失敗するので注意 | ||
==== パスワードログインを禁止 ==== | ==== パスワードログインを禁止 ==== | ||
- | # cat /etc/ssh/ssh_config | + | # cat /etc/ssh/sshd_config |
...... | ...... | ||
PasswordAuthentication no | PasswordAuthentication no | ||
ChallengeResponseAuthentication no | ChallengeResponseAuthentication no | ||
- | UsePAM no | + | |
FreeBSDは標準でPasswordAuthentication を禁止しているがChallengeResponseAuthentication は許可されているのでこちらも必ず「No」にしておく。 | FreeBSDは標準でPasswordAuthentication を禁止しているがChallengeResponseAuthentication は許可されているのでこちらも必ず「No」にしておく。 | ||
+ | |||
+ | Ubuntuで「/ | ||
+ | |||
+ | <file / | ||
+ | # | ||
+ | PasswordAuthentication no | ||
+ | </ | ||
==== 公開鍵認証をON ==== | ==== 公開鍵認証をON ==== | ||
行 60: | 行 125: | ||
ssh-keygen -lf ~/ | ssh-keygen -lf ~/ | ||
+ | |||
+ | ===== knownhostの更新 ===== | ||
+ | |||
+ | host=" | ||
+ | ssh-keygen -R $host | ||
+ | ssh-keyscan -H $host >> ~/ |
serverapps/security/ssh.1493713730.txt.gz · 最終更新: 2017/05/02 08:28 by hayashi