OpenSSL/SSH2の設定の巻
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
*** SSHってなになの? [#weffa11c]
- サーバにアクセスする場合、いままでは telnet が主に使用...
- 最近では、フリーのLinuxは全てsshがデフォルトでインスト...
- ここでは、ssh の設定ファイル値のみ解説します。
*** sshの設定ファイル [#o1876e12]
- /etc/ssh/sshd_config
# ポート指定
Port 50000
# SSHプロトコルの指定
Protocol 2
# rootでのアクセス禁止
PermitRootLogin no
StrictModes yes
# RSA公開鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
# .rhostsおよび.shostsファイルを使用しない
RhostsRSAAuthentication no
# /etc/passwordによる認証の無効化、空パスワードの無効化
PasswordAuthentication no
PermitEmptyPasswords no
# hoge, hoge2 ユーザのみアクセスを有効にする
AllowUsers hoge hoge2
# 最大起動数(SSHピンポンダッシュ)
MaxStartups 10:30:60
# 公開鍵などを保管するディレクトリ等の属性が適切に設定さ...
StrictModes yes
# ~/.rhosts or ~/.shosts ファイルの無効化
IgnoreRhosts yes
# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no
# X11 port forwardingを無効化
X11Forwarding no
- 設定が終わったら sshd の再起動/自動起動設定を行います。
# /etc/init.d/sshd restart
-- Fedora16 の場合
% sudo systemctl restart sshd.service
% sudo systemctl enable sshd.service
** ssh鍵の生成 [#h968097e]
- Unix や Linux などの環境を持っている人は少ないので、こ...
- COLOR(RED){''作成した秘密鍵は自分を証明する物ですので他...
- puttygen.exe を実行します。
-- 初期の状態(生成する鍵のビット数は、2048にします)~
&ref(putty_key_01.png,center,wrap,nolink);
-- 「生成」ボタンを押下してマウスをグリグリします。~
&ref(putty_key_02.png,center,wrap,nolink);
-- 鍵が生成されたらパスフレーズを入力します、鍵のコメント...
&ref(putty_key_03.png,center,wrap,nolink);
-- 公開鍵と秘密鍵を保存します。拡張子は、「pub=公開鍵、pp...
-- PuTTYで作成された秘密鍵は、OpenSSHでは使用できないので...
** 公開鍵の登録 [#w81ad7af]
- 接続するサーバにPuTTYで作成した公開鍵を登録します。~
PuTTYで作成された公開鍵は、OpenSSH形式でないのでOpenSSH用...
- sshの設定と、OpenSSH用に変換する手順は以下の通りです。
++ ホームディレクトリ以下に .ssh ディレクトリを作成します。
% cd ~
% mkdir .ssh
% chmod 700 .ssh
++ PuTTYで作成された公開鍵をOpenSSH用に変換します。
% cd ~/.ssh
% ssh-keygen -i -f 公開鍵.pub > authorized_keys
% chmod 600 authorized_keys
** PuTTY から秘密鍵を使用してアクセスする [#s04f0e2d]
- ここらへんを参考に(汗
-- [[DebianGNULinux3.1SargeでSSH!>http://www.kozupon.com...
-- [[SSHを鍵認証方式に変更>http://www.zuk.jp/debian4/ssh-...
** sftp を使ってみる [#w18face8]
- セキュアなアクセスができたら次は、ファイル転送をやりた...
scpでもよいのですが、より高機能な sftp を使用してみます。
-- ここらへんが、sftp ってなに?というので詳しく書かれて...
- sftpを対応しているソフトで使いやすそうな、[[FileZilla>h...
-- FileZillaに秘密鍵を登録するには、「編集メニュー」から...
-- コメントはずす
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
** sftp と ChrootDirectory [#b97f3e3b]
- sftpをデフォルトで使用すると、管理者以外でもホームパス...
システムファイルは、root以外でアクセスすることができませ...
vsftpd で指定する「chroot_list_enable=YES」と同じようなこ...
- sftp でもパスワード認証で公開すると意味がないので、鍵認...
:COLOR(RED){注意点}|ChrootDirectory では、root 権限になる...
通常のユーザディレクトリと ChrootDirectory でのディレクト...
+ sftponly グループに属しているユーザのみをsftpが使用でき...
+ sftponly グループを追加します。
# groupadd sftponly
++ sftpを使用したいユーザをsftponlyグループに追加します。...
sftponly:x:1002:hoge,hoge2
+ /etc/ssh/sshd_config を編集します。
# 内部のsftpを使うように指定する
#Subsystem sftp /usr/local/libexec/sftp-server
Subsystem sftp internal-sftp
# 認証されたユーザがsftponlyグループの場合、ChrootDirect...
Match group sftponly
ChrootDirectory /home2/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
+ sshd を再起動する
# /etc/init.d/sshd restart
-- Fedora16 の場合
% sudo systemctl restart sshd.service
+ 公開鍵(authorized_keys)を $HOME/.ssh に設定する
hoge -> /home/hoge/.ssh/authorized_keys
hoge2 -> /home/hoge2/.ssh/authorized_keys
++ hoge2 の設定
# cd /home
# mkdir hoge2
# cd hoge2
# mkdir .ssh
# chmod 700 .ssh
# .ssh
# cp /home/hoge/.ssh/authorized_keys .
+ ChrootDirectory での /home2 は root だけが書き込みでき...
# chmod 0700 /home2
+ ChrootDirectory で管理されるディレクトリを作成する(hoge...
# mkdir -p /home2/hoge
# chown root:root /home2/hoge
# chmod 766 /home2/hoge
+ hoge が書き込めるディレクトリを作成する(share でなくて...
# cd /home2/hoge
# mkdir share
# chown hoge:hoge share
# chmod 777 share
-- 参考にさせて頂いたサイト&br;
[[あるシステム管理者の日常>http://d.hatena.ne.jp/rouger...
[[CentOS の OpenSSH で chroot を設定する>https://blog.m...
[[【Linux】[ssh]sftp-serverとinternal-sftpの違い>https:...
[[Chrootなディレクトリの外へリンクしたシンボリックリン...
*** 参考にさせて頂いたサイト様 [#xc9a9553]
-- [[SSHでリモートログインを許可する (sshd)>http://www.ki...
終了行:
*** SSHってなになの? [#weffa11c]
- サーバにアクセスする場合、いままでは telnet が主に使用...
- 最近では、フリーのLinuxは全てsshがデフォルトでインスト...
- ここでは、ssh の設定ファイル値のみ解説します。
*** sshの設定ファイル [#o1876e12]
- /etc/ssh/sshd_config
# ポート指定
Port 50000
# SSHプロトコルの指定
Protocol 2
# rootでのアクセス禁止
PermitRootLogin no
StrictModes yes
# RSA公開鍵認証
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
# .rhostsおよび.shostsファイルを使用しない
RhostsRSAAuthentication no
# /etc/passwordによる認証の無効化、空パスワードの無効化
PasswordAuthentication no
PermitEmptyPasswords no
# hoge, hoge2 ユーザのみアクセスを有効にする
AllowUsers hoge hoge2
# 最大起動数(SSHピンポンダッシュ)
MaxStartups 10:30:60
# 公開鍵などを保管するディレクトリ等の属性が適切に設定さ...
StrictModes yes
# ~/.rhosts or ~/.shosts ファイルの無効化
IgnoreRhosts yes
# チャレンジ・レスポンス認証
ChallengeResponseAuthentication no
# X11 port forwardingを無効化
X11Forwarding no
- 設定が終わったら sshd の再起動/自動起動設定を行います。
# /etc/init.d/sshd restart
-- Fedora16 の場合
% sudo systemctl restart sshd.service
% sudo systemctl enable sshd.service
** ssh鍵の生成 [#h968097e]
- Unix や Linux などの環境を持っている人は少ないので、こ...
- COLOR(RED){''作成した秘密鍵は自分を証明する物ですので他...
- puttygen.exe を実行します。
-- 初期の状態(生成する鍵のビット数は、2048にします)~
&ref(putty_key_01.png,center,wrap,nolink);
-- 「生成」ボタンを押下してマウスをグリグリします。~
&ref(putty_key_02.png,center,wrap,nolink);
-- 鍵が生成されたらパスフレーズを入力します、鍵のコメント...
&ref(putty_key_03.png,center,wrap,nolink);
-- 公開鍵と秘密鍵を保存します。拡張子は、「pub=公開鍵、pp...
-- PuTTYで作成された秘密鍵は、OpenSSHでは使用できないので...
** 公開鍵の登録 [#w81ad7af]
- 接続するサーバにPuTTYで作成した公開鍵を登録します。~
PuTTYで作成された公開鍵は、OpenSSH形式でないのでOpenSSH用...
- sshの設定と、OpenSSH用に変換する手順は以下の通りです。
++ ホームディレクトリ以下に .ssh ディレクトリを作成します。
% cd ~
% mkdir .ssh
% chmod 700 .ssh
++ PuTTYで作成された公開鍵をOpenSSH用に変換します。
% cd ~/.ssh
% ssh-keygen -i -f 公開鍵.pub > authorized_keys
% chmod 600 authorized_keys
** PuTTY から秘密鍵を使用してアクセスする [#s04f0e2d]
- ここらへんを参考に(汗
-- [[DebianGNULinux3.1SargeでSSH!>http://www.kozupon.com...
-- [[SSHを鍵認証方式に変更>http://www.zuk.jp/debian4/ssh-...
** sftp を使ってみる [#w18face8]
- セキュアなアクセスができたら次は、ファイル転送をやりた...
scpでもよいのですが、より高機能な sftp を使用してみます。
-- ここらへんが、sftp ってなに?というので詳しく書かれて...
- sftpを対応しているソフトで使いやすそうな、[[FileZilla>h...
-- FileZillaに秘密鍵を登録するには、「編集メニュー」から...
-- コメントはずす
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
** sftp と ChrootDirectory [#b97f3e3b]
- sftpをデフォルトで使用すると、管理者以外でもホームパス...
システムファイルは、root以外でアクセスすることができませ...
vsftpd で指定する「chroot_list_enable=YES」と同じようなこ...
- sftp でもパスワード認証で公開すると意味がないので、鍵認...
:COLOR(RED){注意点}|ChrootDirectory では、root 権限になる...
通常のユーザディレクトリと ChrootDirectory でのディレクト...
+ sftponly グループに属しているユーザのみをsftpが使用でき...
+ sftponly グループを追加します。
# groupadd sftponly
++ sftpを使用したいユーザをsftponlyグループに追加します。...
sftponly:x:1002:hoge,hoge2
+ /etc/ssh/sshd_config を編集します。
# 内部のsftpを使うように指定する
#Subsystem sftp /usr/local/libexec/sftp-server
Subsystem sftp internal-sftp
# 認証されたユーザがsftponlyグループの場合、ChrootDirect...
Match group sftponly
ChrootDirectory /home2/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
+ sshd を再起動する
# /etc/init.d/sshd restart
-- Fedora16 の場合
% sudo systemctl restart sshd.service
+ 公開鍵(authorized_keys)を $HOME/.ssh に設定する
hoge -> /home/hoge/.ssh/authorized_keys
hoge2 -> /home/hoge2/.ssh/authorized_keys
++ hoge2 の設定
# cd /home
# mkdir hoge2
# cd hoge2
# mkdir .ssh
# chmod 700 .ssh
# .ssh
# cp /home/hoge/.ssh/authorized_keys .
+ ChrootDirectory での /home2 は root だけが書き込みでき...
# chmod 0700 /home2
+ ChrootDirectory で管理されるディレクトリを作成する(hoge...
# mkdir -p /home2/hoge
# chown root:root /home2/hoge
# chmod 766 /home2/hoge
+ hoge が書き込めるディレクトリを作成する(share でなくて...
# cd /home2/hoge
# mkdir share
# chown hoge:hoge share
# chmod 777 share
-- 参考にさせて頂いたサイト&br;
[[あるシステム管理者の日常>http://d.hatena.ne.jp/rouger...
[[CentOS の OpenSSH で chroot を設定する>https://blog.m...
[[【Linux】[ssh]sftp-serverとinternal-sftpの違い>https:...
[[Chrootなディレクトリの外へリンクしたシンボリックリン...
*** 参考にさせて頂いたサイト様 [#xc9a9553]
-- [[SSHでリモートログインを許可する (sshd)>http://www.ki...
ページ名: