SSH設定



SSH(Secure SHell)について

SSHとは

SSHとは、クライアント(ローカルマシン)から遠隔地のサーバ(リモートマシン)に接続(ログイン)して、サーバ操作やコマンド実行などを行うことができるプログラムです。SSHでは通信内容は暗号化され、通信内容を盗み見られても問題ないため、インターネット経由の接続などに用いられます。

SSHでは、リモートログイン以外に以下の機能が利用できます。


SSHの使い方

SSHでサーバに接続(ログイン)するコマンドの形式は以下の通りです。

接続するユーザ名と接続するサーバ(ホスト)名を指定します。

$ ssh username@hostname

SSHサーバ設定

SSH設定ファイル

SSHでは「sshd_config」という設定ファイルを編集する事により、アクセス制限や認証方法を変更する事ができます。


行頭の「#」は、その行がコメントアウトされている事を表します。

インストール時からコメントアウトされている設定は、すべてデフォルトの設定値であり、「何も記述しなかった場合の設定値」です。

客先に納品するような本番環境では、念のため明示的に指定した方がよいといえます。


sshd_configで頻繁に設定する項目は以下の通りです。

PermitRootLogin root のログイン制限(default:no)。デフォルトでrootがSSHでログインできる状態であり非常に危険なので、yesに設定すべきです。
PubkeyAuthentication 公開鍵認証の許可(default:yes)。
AuthorizedKeysFile 認証に使われる公開鍵のファイル(default:.ssh/authorized_keys)。デフォルトではユーザホームディレクトリ配下の「.ssh」に鍵を格納します。
PasswordAuthentication パスワード認証を許可(default:yes)。 パスワード認証を拒否したい場合には、noに設定します。
MaxStartups クライアントの接続可能数を「開始時:確立割合:最大数」のコロン区切りの形式で指定します。例えば、「2:70:5」と記述すると2つまでの接続要求を受け付け、これを超えると70%の確率で接続要求を拒否し、5つを超えるとすべて拒否するようになります。

SSHサーバ(SSHデーモン)の起動と停止

SSHのデーモンは「sshd」です。

sshdを起動するには下記コマンドを実行します。

# service sshd start

sshdを停止するには下記コマンドを実行します。

# service sshd stop

sshdを再起動するには下記コマンドを実行します。

# service sshd restart

設定ファイルを更新後、設定をsshdに反映させるには下記コマンドを実行します。

# service sshd reload

SSH 自動ログイン設定(パスワード入力せずに接続する)

sshでは、証明書を使ってリモートホストにログインすることが可能です。

パスフレーズを設定しない証明書を用意することで、パスワードを入力せずにログインできるようになります。


1. 自分の端末(クライアント)側で、秘密鍵と公開鍵を作成する。

ホームディレクトリに「.ssh」というディレクトリを作成します。

$ cd
$ mkdir .ssh
$ chmod 700 .ssh

公開鍵(.ssh/id_rsa)と秘密鍵(.ssh/id_rsa.pub)を作成します。

パスフレーズの入力で何も入力しなければ、パスワードなしログインができるようになります。

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user01/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/user01/.ssh/id_rsa.
Your public key has been saved in /home/user01/.ssh/id_rsa.pub.
The key fingerprint is:
9e:1d:dc:5a:04:be:4d:ef:38:f4:a0:64:b8:df:2f:52 user01@host

2. クライアントで作成した公開鍵をサーバに送信する。

scpコマンドで公開鍵「id_rsa.pub」ファイルをサーバに送信します。

ssh接続するユーザのホームディレクトリに送信します。

$ scp .ssh/id_rsa.pub user@server:

3. サーバに公開鍵をセットする

サーバ側ユーザのホームディレクトリにも「.ssh」ディレクトリを作成します。

$ cd
$ mkdir .ssh
$ chmod 700 .ssh 

公開鍵(id_dsa.pub)の内容を「authorized_keys」ファイルに加えます。

$ cat id_rsa.pub >> .ssh/authorized_keys
$ chmod 600 .ssh/authorized_keys
$ rm  id_rsa.pub

4. サーバ側で証明書を用いたログインを許可する。

サーバ側で、証明書でのログインを許す設定をSSH設定ファイル「/etc/ssh/sshd_config」に加えます。デフォルトではコメントアウトされており、許可する設定となっていますが、念のため明示的に指定します。(編集はroot権限が必要です。)

# vi /etc/ssh/sshd_config
...
PubkeyAuthentication yes
...

設定を反映させるために、sshを再起動します。

# service sshd restart

以上で設定は完了します。

接続できない場合にはパーミッションの設定ミスが多いです。



関連ページ



スポンサード リンク