自(己満足)宅サーバー

このページの最終更新日
2009”N08ŒŽ15“ú
| HOME | 新着情報 | リンク集 | 管理人へメール |
サイト内検索

SSH2鍵方式でログイン

ここまではPoderosaでログインする場合はSSH2のパスワード方式でログインしてましたが、
外部(インターネット側)から接続する場合はセキュリティーの面から心配です。
(パスワードを何らかの形で盗まれると誰でもrootで接続できてしまいます。)
そのためここでは鍵方式のログインの設定をします。

すでにパスワード方式でログイン出来ているのが前提です。

鍵ペアの作成

鍵には「公開鍵」と「秘密鍵」の2種類があり

公開鍵→サーバー機に設置します。
秘密鍵→接続するクライアント機(ここではWindows)に設置します。
(2つの鍵は対になっていて違う鍵同士ではログイン出来ません)

そしてログイン時にFedoraのSSHサーバーが鍵同士を照合します。
さらに鍵用のパスワードも求められます。
これを通過した場合のみログインできるという仕組みです。

まずはPoderosaで鍵ペアを作成します。
Poderosaを起動して「ツール」→「SSH鍵作成ウィザード」に進みます。

「パスフレーズ」と「確認入力」を入力します。
*鍵方式ログインに使います。
*パスワード方式のパスワードとは別物なので同じじゃなくていいです。

「次へ」

指示どうりにマウスを動かして「次へ」

「秘密鍵を名前をつけて保存」で任意の名前で保存します。

この鍵ファイルは大事です。他人に盗られたりしないよう注意しましょう。

「OpenSSH形式で公開鍵を名前をつけて保存」で任意の名前で保存します。

「完了」

公開鍵をFedoraへセットアップ

鍵方式でログイン出来る様にするユーザーでこれまでどうりパスワード方式でログインします。
ここでは仮に「testuser」としています。

[testuser@jintaro ~]$ 
[testuser@jintaro ~]$ mkdir -p /home/testuser/.ssh
[testuser@jintaro ~]$ chmod 700 /home/testuser/.ssh
[testuser@jintaro ~]$ vi /home/testuser/.ssh/authorized_keys



[testuser@jintaro ~]$ chmod 600 /home/testuser/.ssh/authorized_keys
[testuser@jintaro ~]$ exit
「testuser」でログインします
SSH公開鍵用ディレクトリ作成
ディレクトリのパーミッション変更
公開鍵ファイル作成
メモ帳などで先程作成した「公開鍵」の中身を開いて
コピー&ペーストして上書き保存

鍵ファイルのパーミッション変更
ログアウトする

Poderosaの新規接続で今度は

「認証方法」 → 「公開鍵」
「パスフレーズ」 → 「鍵作成ウィザード」で入力したパスワード
「鍵ファイル」 → 「鍵作成ウィザード」で作成した「秘密鍵」のファイルを指定

「OK」

これでログイン出来たら鍵方式ログインの成功です。

鍵方式ログインのみ許可する

とりあえず鍵方式でログイン出来るようになりましたがこのままではパスワード方式でもログイン出来てしまいますので
鍵方式以外ではログインできない様に設定します。

これ以降は鍵方式以外ではリモートでログインできなくなるので鍵の取り扱いには注意してください。
(秘密鍵を紛失するとまたモニタとキーボードをつなぐ羽目になります)

rootで作業します。

[root@jintaro ~]# vi /etc/ssh/sshd_config
(中略)
#PermitRootLogin yes
PermitRootLogin no

(中略)

#PermitEmptyPasswords no
PermitEmptyPasswords no

(中略)

#PasswordAuthentication yes
PasswordAuthentication no


[root@jintaro ~]# service sshd restart
sshd を停止中:             [  OK  ]
sshd を起動中:             [  OK  ]
SSHサーバーの設定ファイルを編集


←追加
rootでの直接ログインを禁止
(rootでのログインを禁止する場合)


←追加
パスワード無しでのログイン禁止


#でコメントアウト
←追加
パスワード方式でのログイン禁止

SSHサーバーを再起動

設定が有効になっているか以下を確かめましょう。

  • 鍵方式で「testuser」でログイン出来る。
  • パスワード方式で「testuser」でログイン出来ない。
  • 方式に関わらす「root」でログイン出来ない。

WAN(インターネット側)から接続

この段階まできたらルータの22番ポートをオープンしてWAN側から接続してもいいと思います。

  • 秘密鍵(クライアント側の鍵)の取り扱いには十分注意が必要です。
  • ルータの設定(ポートを空ける場合)は十分注意が必要です。
このページの上へ
HOMEへ
Copyright (C) 2007 じんたろう
全ページリンクフリーです