スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

sshでデフォルトポート変更& ssh-keygenで鍵生成

まぁ公開してるわけじゃないし当面のところ公開する予定もないんだけど。
sshを設定変更してよりセキュアにするための設定。
デフォルトポートは22、デフォルトではパスワード認証方式、Rootログイン可になってるので、このへんをちょこちょこと。

何が危ないって、公開してる場合なんかにsshのデフォルトポート狙いで辞書攻撃でパスワードクラック、でroot権限取られて、って可能性。まぁ俺の現状ローカルネットワーク内で使ってるだけなので別にどうでも良いのですが、後学のためということで。

参考
SSHの公開鍵(publickey)設定
ssh,sloginコマンド
ぶっちゃけこれだけでよく分からず、教えてもらいながらやってますた/(^o^)\

クライアント側で鍵生成

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/tmin/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): ←好みのパスフレーズ
Enter same passphrase again:
Your identification has been saved in /home/tmin/.ssh/id_rsa.
Your public key has been saved in /home/tmin/.ssh/id_rsa.pub.
The key fingerprint is:


パスは入れても入れなくてもいいの・・・かな?とりあえず今回はEnterのみで。
この後ろになんか四角い絵みたいのが。この絵みたいの、初めてつないだ時にも出てたような気がするが、別物なんだろうか?まぁ別物なんだろう。たぶん。
そう。ここでこれにちょっと混乱していました。

~./ssh/にid_rsa id_rsa.pub known_hostsができてる。いや、known_hostsは前からあった、というか初めてサーバーに接続したときに生成されたものなので、id_rsa id_rsa.pubの2つが今回できたもの。
id_rsaが秘密鍵、id_rsa.pubが公開鍵。
権限変更して公開鍵はサーバーに送る。

$ chmod 600 .ssh/id_rsa


送る場合は

$ scp .ssh/id_rsa.pub サーバーIP


でいいのかな?
今回はサーバーに接続しながらやっていたので、リモートでファイル作ってコピペ。
つか、.sshがないのね。サーバー側に。

$ mkdir ~/.ssh
$ cd .ssh
$ touch authorized_keys
$ nano authorized_keys


この時点ではauthorized_keysはただの空ファイルなので、ここにクライアント側にあるid_rsa.pubの中身をコピペして保存。
で、権限変更。

$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys



次にサーバー側の設定ファイルいじる。

# nano /etc/ssh/sshd_config


# What ports, IPs and protocols we listen for
Port 22 ←ここでポート22になってるので任意のポートに変更
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes ←Rootログイン。noにしてRootでSSH接続不可にしておく
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes ←鍵交換方式に変えたのでnoにしてSSHログイン時のパスワード入力なしに。



ポート変えたのでファイアウォールの設定変えてssh再起動。

# ufw allow 指定したポート
# ufw delete allow 22
# /etc/init.d/ssh restart


で、一旦接続きってもう一度ssh接続を試みる・・・んだけど一応サーバーごと再起動してからやりました。
$ ssh サーバーIP -pポート番号
-pオプションでさっき書き換えたポートを指定。フツーにつけずに行こうとすると port 22: Connection refused と怒られます。
これで今までならログインパスワード求められるところ、パスワード無しで接続できればとりあえず成功。
で、ここでさっきの鍵生成時にパスフレーズいれてれば、それを入力して認証されれば成功、でいいのかな?たぶん。

一応外からの接続を試みるためにAndroidでConnectBot使ってみたら弾かれた。
ということは一応は成功なのかな?
うん。まぁ、一部よくわかってないけどポートも変更できたしいいだろう。

関連記事
From Windows To Ubuntu Server リモートデスクトップ(VNC&SSH)
From Ubuntu9.04 To Ubuntu Server リモートデスクトップ(VNC&SSH)
vsftpdでFTPサーバー
関連記事
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

コメントの投稿

管理者にだけ表示を許可する
ブログ内検索

カスタム検索

フリーエリア

クリックで救える命がある。

レンタルサーバー

さくらのマネージドサーバ
さくらインターネットのVPS
ConoHaのVPS
WebARENA VPSクラウド
99円レンタルサーバー
【CloudCore VPS】
GMOクラウドのレンタルサーバー
転送量無制限 ABLENET
@WAPPYレンタルサーバー
SPPDレンタルサーバー

カテゴリー+月別アーカイブ

 

アクセスカウンター

現在の閲覧者数:

プロフィール

Author:tmin
PCヲタ。ライト2ちゃんねら。
スロット好きのギャンブラー。(元
むしろ人生がギャンブルだが目下のところ負けっぱなし。
座右の銘は「結果オーライ」。故に基本適当。
トラブルもまた楽しみのひとつ

コメント、トラバ、相互リンク歓迎。お気軽にどうぞ。
当ブログについて
Twitterでこっちとあっちの更新情報流すことにしてみます。
http://twitter.com/t_min
Project Mikunchu♪Wikiできました。
Mikunchu200x40.png


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。