差分

このページの2つのバージョン間の差分を表示します。

--- serverapps:security:ssh [2017/08/17 06:47] – [認証用のKeyの作成] hayashi
+++ serverapps:security:ssh [2024/11/15 03:13] (現在) – [tmuxの場合] admin
@@ 行 1: / 行 1: @@
+====== SSH ======
+===== ポートフォワード =====
+''~/.ssh/config''
+<file>
+Host  __r_target_8080
+  Hostname      forwarder
+  User          UserName
+  LocalForward  8080  target:80
+</file>
+これでssh接続をすると''forwarder''に接続されます\\
+その状態で''localhost:8080''にアクセスすると ''target:80''にフォワードされます
+なお、''forwarder''のアクセスへ踏み台(basion)が必要な場合は普通に踏み台経由でssh接続するときと同じように記述すればOKです
+<file>
+ProxyCommand  ssh -W %h:%p basion
+</file>
+===== ssh-agent =====
+通常は.bashrcなどに記述するが、tcshなども利用しているので以下のスクリプトを作成
+<code>
+#!/bin/sh
+# for ssh-agent
+cd ~
+if [ -f ~/.ssh-agent ]; then
+    . ~/.ssh-agent
+fi
+if [ -z "$SSH_AGENT_PID" ] || ! kill -0 $SSH_AGENT_PID; then
+    /usr/bin/ssh-agent -s > ~/.ssh-agent
+    . ~/.ssh-agent
+fi
+ssh-add -l > /dev/null 2>&1 || ssh-add
+</code>
+==== tmuxの場合 ====
+ForwardAgent が有効な状態で、ssh ログインしなおすと、環境変数SSH_AUTH_SOCK が新しくなるが、リアタッチ((tmux attach))したtmux ではセッション上のシェルは以前の SSH_AUTH_SOCK の値を保持し続けているためうまく動かない
+=== 参考 ===
+  * [[serverapps:tmux:sshagent|]]
+===== rootログインの禁止 =====
+CentOSなどはデフォルトで許可されているので注意
+  # cat /etc/ssh/sshd_config | grep Permit
+  PermitRootLogin no
+===== パスワードログインを禁止して公開鍵認証 =====
+==== 認証用のKeyの作成 ====
+認証用の秘密鍵と公開鍵のペアが作成される\\
+**安全性からed25519を推奨します** 2017.05.22((ecdsaを非推奨とするため削除しました))
+  $ cd
+  $ ssh-keygen -t ed25519
+  OR
+  $ ssh-keygen -t rsa -b 4096
+  OR
+  $ ssh-keygen -t rsa -b 4096 -N "passphrase" -f /path/to/keyfile -C comment
+利用可能な鍵証明書一覧
+  $ ssh -Q key-cert
+利用可能な鍵一覧
+  $ ssh -Q key
+=== 暗号強度の確認 ===
+  $ ssh-keygen -l -f ~/.ssh/id_ed25519.pub
+SHA256:71.......................................nQ user@host (ED25519)
+  $ ssh-keygen -l -f ~/.ssh/id_ecdsa.pub
+SHA256:6z7QX....................................Ew user@host (ECDSA)
+  $ ssh-keygen -l -f ~/.ssh/id_rsa.pub
+SHA256:/p5W9....................................IQ user@host (RSA)
+==== 公開鍵をリモートホストのauthorized_keysに追加 ====
+  $ cat ./.ssh/id_rsa.pub | ssh user@remote_host "cat >> ./.ssh/authorized_keys"
+.sshディレクトリがないと失敗するのでその場合には
+  $ ssh user@remote_host "mkdir ./.ssh && chmod 700 ./.ssh"
+とかやってディレクトリを作っておく。
+CentOSならssh-copy-idが入っているのでそちらを使うも良し。\\
+FreeBSDにも入りました。((2017.05.22：10.3で確認))\\
+<del>FreeBSDはPortsのsecurity/ssh-copy-idでインストールしても良いのですがpkgngにはありません</del>。((2014/12/05現在))
+  $ ssh-copy-id -i .ssh/id_rsa.pub user@remote_host
+なお、authorized_keysはPermissionを **600**にしておかないとLogin に失敗するので注意
+==== パスワードログインを禁止 ====
+  # cat /etc/ssh/sshd_config
+  ......
+  PasswordAuthentication no
+  ChallengeResponseAuthentication no
+FreeBSDは標準でPasswordAuthentication を禁止しているがChallengeResponseAuthentication は許可されているのでこちらも必ず「No」にしておく。
+Ubuntuで「/etc/ssh/sshd_config.d/50-cloud-init.conf」に以下の設定があったためこちらも禁止にする
+<file /etc/ssh/sshd_config.d/50-cloud-init.conf>
+#PasswordAuthentication yes
+PasswordAuthentication no
+</file>
+==== 公開鍵認証をON ====
+  PubkeyAuthentication yes
+<del>AuthorizedKeysFile      .ssh/authorized_keys</del>
+AuthorizedKeysFileを指定すると、このマシンから他へssh接続する際に//**Bad configuration option: AuthorizedKeysFile**//と表示して落ちます。((昔は生きていたはずで、その為このオプションを指定するよう説明しているサイトや書籍多数です…))
+==== user's configuration file ====
+.ssh/configファイルで複数サーバーのSSH接続を管理
+<code>
+Host example
+  HostName     example.com
+  Port         10022
+  User         nanako
+  IdentityFile ~/.ssh/id_rsa.example
+</code>
+これで以下のようにアクセス可能
+  $ ssh example
+===== 秘密鍵から公開鍵を生成する =====
+  ssh-keygen -y -f ~/.ssh/id_rsa > ~/.ssh/id_rsa.pub
+===== 公開鍵からfinger printを生成する =====
+  ssh-keygen -lf ~/.ssh/id_rsa.pub
+===== knownhostの更新 =====
+  host="target-hostname"
+  ssh-keygen -R $host
+  ssh-keyscan -H $host >> ~/.ssh/known_hosts