Linux/CGP作業メモ

7月

26

公開鍵認証方式でsshを利用する

issy Linux 2010-07-26

公開鍵認証方式でsshを利用する■公開鍵認証方式でsshを利用する
　sshdは攻撃されやすいので、できるだけ標準状態からport及び設定を見直すことを推奨。ここではパスワードを使わず公開鍵でsshを利用する。ここではCentOS5サーバの初期状態から設定追加する状況を想定した手順を書いておく。

１）自マシンで鍵を作成する（MacOSXをクライアントとする）
　

1. $ ssh-keygen -t rsa -C "myaddress@example.com"

　パスワード入力時にエンターを押すことでパスワード不要の鍵が作成可能
　作成が完了すると以下に必要ファイルが作成される
　　~/.ssh/id_rsa（秘密鍵）
　　~/.ssh/id_rsa.pub（公開鍵）

　上記はRSA鍵の場合。DSA鍵を作成する時は以下。　
　DSAではid_dsa,id_dsa.pubのファイルが作成される。
　

1. $ ssh-keygen -t dsa -C "myaddress@example.com"

　自アドレスを入力するのは後からキーの持ち主を判別するため。
　実際に入力するテキストはなんでもOK。

２）公開鍵をサーバに送信する
　リモートサーバにid_rsa.pubを送っておく
　

1. $ scp ~/.ssh/id_rsa.pub root@xxx.xxx.xxx.xxx:/tmp

３）rootでサーバにログインしてsshdの設定を変更する
　

1. # vi /etc/ssh/sshd_config

　以下の３行を修正
　port 10022
　PermitEmptyPasswords no
　PasswordAuthentication no

４）ssh用アカウント「remoteuser」を作成して公開鍵を登録する
　

1. 　# adduser remoteuser
2. 　# passwd remoteuser　←パスワード設定する
3. 　# su remoteuser　←ユーザを変更する
4. 　$ cd ~
5. 　$ mkdir .ssh
6. 　$ cat /tmp/id_rsa.pub > .ssh/authorized_keys
7. 　$ chmod 0600 .ssh/authorized_keys
8. 　$ chmod 0700 .ssh
9. 　$ exit

５）iptablesを修正してsshdを再起動する
　

1. # vi /etc/sysconfig/iptables

　 -A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 10022 -j ACCEPT　行追加
　

1. 　# service iptables restart
2. 　# service sshd restart

６）クライアントからsshでアクセスして確認
　

1. $ ssh -p 10022 remoteuser@xxx.xxx.xxx.xxx

　うまくいかない時は -vを付けて確認
　

1. $ ssh -v -p 10022 remoteuser@xxx.xxx.xxx.xxx

　CentOS5では以下の行はコメントアウトのままで問題ないので外さなくてOK。
　#RSAAuthentication yes
　#PubkeyAuthentication yes
　#AuthorizedKeysFile .ssh/authorized_keys

---

関連性の高い記事 by YARPP：

1. Scientific Linux 5.6でrootkitチェック
2. 指定ユーザ以外suできない設定
3. endian UTM のアップデート方法メモ
4. RedHat5にeclipse 3.6.2をインストールするメモ
5. 高機能Web解析ツールmrliteのインストールメモ
6. カスタム版MyNETSとCentOS5で１万人規模のSNSを構築する
7. CentOSにAbyss Web Server X1をインストール
8. IceWarp Serverのインストール設定
9. MyNETSの日記検索高速化（Tritonn導入）
10. CentOS5 VPN設定

centos, security, ssh

(まだ評価されていません)

Loading...

Address: http://blog.isnext.net/issy/archives/330

Sorry, comments closed.

• ブログ内検索

• カテゴリ一覧

  • android (130)
  • Gadget (4)
  • Linux (148)
  • MacOSX (43)
  • Mobile (140)
  • other (16)
  • Windows (17)

• タグクラウド

  activesync AirPlayer android au centos communigate debian DLNA docomo emobile enterprise GalaxyTab ids iPad iphone LTE mail mp4 munin mynets mysql oldhatena omnia7 pc php review scientific security sip skip snmp sns softbank ssl tablet tips tritonn ubuntu untangle UTM viber voip whispercore wipe wp7

• 最新の10件

  • DriveDxでUSB HDDのSMART情報を読む
  • CentOS/ScientificLinux6でMyNETSを動かす
  • ARecX6をEl Capitanで使う
  • wordpressの管理ページの一部が開けない対処
  • PENTAX K-3 vs Nikon D600 星景撮影
  • PENTAX K-3 vs Nikon D7000 夜間撮影
  • PENTAX K-3 vs Nikon D7000 昼間撮影
  • PENTAX K-3 ブロガーイベント
  • FUSION SMARTalk インプレッション
  • EPSON EP-976A3 インプレッション

• 人気の記事

  • SIPpでSIP動作/負荷シナリオを作るメモ
  • 無償利用可能なLDAP管理ツール
  • pcap2sippでsippシナリオxmlを作成するメモ
  • Linuxで同時オープンされているファイルの数を確認する方法
  • 無償利用可能なUTM(Security Gateway)製品リスト【7/31追記】
  • Appleの使用IPアドレスはClass A（スパムチェック手法）
  • MySQLチューニングメモ
  • muninでグラフが作成されない時の対処メモ
  • HONDA N-ONE インプレッション
  • Ubuntu用DLNAクライアント動画再生比較検証

• 過去の記事

  • 2015年11月 (3)
  • 2014年4月 (1)
  • 2013年11月 (4)
  • 2013年9月 (2)
  • 2013年8月 (1)
  • 2013年6月 (1)
  • 2013年5月 (6)
  • 2013年4月 (2)
  • 2013年3月 (2)
  • 2013年2月 (1)
  • 2013年1月 (1)
  • 2012年12月 (2)
  • 2012年11月 (10)
  • 2012年7月 (2)
  • 2012年6月 (4)
  • 2012年5月 (1)
  • 2012年4月 (7)
  • 2012年3月 (7)
  • 2012年2月 (9)
  • 2012年1月 (4)
  • 2011年12月 (4)
  • 2011年11月 (4)
  • 2011年10月 (21)
  • 2011年9月 (18)
  • 2011年8月 (12)
  • 2011年7月 (5)
  • 2011年6月 (14)
  • 2011年5月 (15)
  • 2011年4月 (17)
  • 2011年3月 (18)
  • 2011年2月 (9)
  • 2011年1月 (18)
  • 2010年12月 (15)
  • 2010年11月 (15)
  • 2010年10月 (9)
  • 2010年9月 (5)
  • 2010年8月 (6)
  • 2010年7月 (10)
  • 2010年6月 (3)
  • 2010年5月 (9)
  • 2010年4月 (8)
  • 2010年3月 (56)

• カレンダー

  2022年6月

  月	火	水	木	金	土	日
  « 11月
  		1	2	3	4	5
  6	7	8	9	10	11	12
  13	14	15	16	17	18	19
  20	21	22	23	24	25	26
  27	28	29	30

• Twitter

  1. DriveDxでUSB HDDのSMART情報を読む https://t.co/vMlsvT0ixv #OSXTuesday, 11.17.15 08:15
  Follow @isnext_blog (91 followers)