レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

ssh public key

ConoHa VPS, お名前.com VPS では、SSH Private Key のダウンロードができます。
これは、以下の目的で使用できるものです。

  • SFTPでISOファイルをアップロードする場合
  • SSH接続経由でシリアルコンソールへ接続する場合

実は、VPSへのSSH接続用ではないことに注意する必要があります。
つまり、VPSアクセスにいつでも使えるという物ではないことに注意する必要があります。

あえて ConoHa VPS, お名前.com VPSのSSH Private Keyを使ってSSH接続する方法

先に説明したように ConoHa VPS, お名前.com VPSでデフォルトで提供されている SSH Private Keyは、VPSへの接続のためではありません。

  • SFTPでISOファイルをアップロードする場合
  • SSH接続経由でシリアルコンソールへ接続する場合

上記のためです。
おまけとして、デフォルトOS(CentOS 6) がインストールされている環境では、 rootでのssh接続のセキュリティ強化のために同じ SSH Private Key が利用できるようにデフォルトで設定されています。

  • ConoHa VPS の SSH Private Key ダウンロード
    ConoHa VPS SSH Key Pair
  • お名前.com VPS の SSH Private Key ダウンロード
    お名前.com VPS(KVM)

上記のようにいつでもダウンロードできて、非常に便利な感じがしますね。
ただ、先に書いたように、VPSとのSSH接続に用いる場合は、デフォルトOSのCentOS以外では、使えないことを忘れてはいけません。

使えないというのは、公開鍵がないためで、
もし、初期状態(デフォルトのCentOSが動作している状態)で、/root/.ssh/authorized_keys をダウンロードしておいたなら、 その公開鍵(authorized_keys) と ダウンロードした SSH Private Key を使ってSSH接続できるように設定できます。

あえて この SSH Private Key を使ってSSH接続したいなら、先のあらかじめダウンロードした公開鍵(authorized_keys)を

  • カスタムOSで利用する場合は、

    → カスタムOSのユーザの /ホームディレクトリ/.ssh/authorized_keys へコピーしてあげればOKです。

  • 新しいユーザを追加した場合は、

    → 同じように そのユーザの /ホームディレクトリ/.ssh/authorized_keys へコピーしてあげればOKです。

もちろん、sshd の設定の確認も必要でしょう。最低限、以下の確認を行っておきます。


/etc/ssh/sshd_config

...
# プロトコルバージョンを2固定とします。
Protocol 2
...
# 公開鍵認証を可にします。
PubkeyAuthentication yes
# 公開鍵の設置場所をユーザディレクトリ配下の .ssh/authorized_keys にします。
AuthorizedKeysFile     .ssh/authorized_keys
...
# パスワード認証を不可とします。
PasswordAuthentication no
# 空パスワードを不可とします。不要なのでコメントアウトします。
# PermitEmptyPasswords no
...

設定を変更したら、リロード or リスタートします。これでOKのはずです。


ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

ここまで、あえて ConoHa VPS, お名前.com VPS で提供される SSH Private Key を使うための方法などを簡単に解説しました。
しかし、個人的には、あえて提供されている SSH Private Key を使って SSH接続することは、全くおすすめしません。

その理由は、非常に単純で、以下の2点でしょう。

  • 提供されている鍵は、パスフレーズが設定されていない

    – つまりは、パスワード(パスフレーズ)の入力なしで、秘密鍵(Private Key) さえあれば、だれでも、ログインできるということです。
    秘密鍵(Private Key)の管理をしっかりしないと、この秘密鍵(Private Key)でシリアルコンソールへもアクセスできてしまうので、注意が必要です。 そのため、あえて同じ鍵を利用せず、それぞれの鍵を持つ方が、よりセキュアです。

  • 鍵の作成は、手間がかからない

    – そもそもSSH接続用の鍵を作成するのは、ssh-keygen コマンド で簡単に作成できます。(ssh-keygen コマンドでSSH鍵を作成 参照)
    あえてその手間を省く意味が、どれだけあるでしょう?セキュリティ強化を図るなら、間違いなく自前で ssh-keygen コマンド で鍵を作成すべきでしょう。


おまけで、自前の鍵に変更する手順を 以降に簡単に解説しておきます。

  1. 鍵を作成したいユーザでログインします。
  2. ssh-keygen コマンドでSSH鍵を作成します。
    # 2048ビットのRSA鍵ファイルを作成します。
    $ ssh-keygen -t rsa -b 2048return
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/hoge/.ssh/id_rsa):return    # ファイルの出力先、ファイル名ですが、ここではデフォルトのまま使用します。
    Enter passphrase (empty for no passphrase):*********return    # パスフレーズを入力します。
    Enter same passphrase again:*********return    # 再度、パスフレーズを入力します。
    Your identification has been saved in /home/hoge/.ssh/id_rsa.
    Your public key has been saved in /home/hoge/.ssh/id_rsa.pub.
    The key fingerprint is:
    5c:42:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:e1:c8 hoge@example.com
    The key's randomart image is:
    +--[ RSA 2048]----+
    |      ...    ..o+|
    |       . . ...*.*|
    |        . . .....|
    |       . . .  ...|
    |        . .     .|
    |                 |
    |                 |
    |                 |
    |                 |
    +-----------------+
    上記の例では、ユーザ hoge でログインし、hogeの /ホームディレクトリ/.ssh/ へ以下の各鍵ファイルが作成されています。
    • 公開鍵 : id_rsa.pub
    • 秘密鍵 : id_rsa

  3. 公開鍵のファイル名を変更します。
    # 公開鍵のファイル名は、デフォルトで authorized_keys となっています。
    $ cd ~/.ssh
    [.ssh]$ mv id_rsa.pub authorized_keys
    デフォルトOSでrootの場合は、既に authorized_keys が存在すると思います。 その場合、とりあえず、既存のauthorized_keysの名前を変更しておくと良いでしょう。
    $ cd ~/.ssh
    [.ssh]$ mv authorized_keys authorized_keys.old
    [.ssh]$ mv id_rsa.pub authorized_keys

  4. 秘密鍵をダウンロードします。

    秘密鍵をダウンロードする際に、必ず、暗号化された環境下(sftp or scp or ftps など)でダウンロードします。

    # 秘密鍵をダウンロードします。
    $ sftp hoge@192.168.1.99
    ...
    Connected to 192.168.1.99
    sftp> pwd
    Remote working directory: /home/hoge
    sftp> cd .ssh
    sftp> ls
    authorized_keys           id_rsa                    id_rsa.pub
    sftp> get id_rsa
    Fetching /home/hoge/.ssh/id_rsa to id_rsa
    /home/hoge/.ssh/id_rsa                        100% 1743     1.7KB/s   00:00
    sftp> bye
    上記の例では、サーバーのIPアドレスが 192.168.1.99 としています。

これで、同じように SSH接続できるようになります。
詳しくは、SSHコマンドで 公開鍵認証(鍵交換)を使ってSSH 接続してみるTeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる を参照してください。


そもそも この記事を書くきっかけは、
個人的に、ConoHa VPS, お名前.com VPS でダウンロードできる SSH Private Key が、VPSの接続用ではないことをすっかり忘れていて、 どのOSでも使えるものだと勘違いしていたので、「どうやってやっているのかな?」と調べてみたことにあります。

調べてみれば、なんのことはありません。

デフォルトOS(CentOS 6) がインストールされていて、rootでssh接続する場合のみ、この SSH Private Key が使えることがわかると、

「当たり前か」・・・と思ってしまいました。

ちゃんと、ダウンロードのページにも書いてあるのに読まない(読んでいない)のが悪いんですよね。

ちょっと余談になりましたが、いずれにせよ 公開鍵認証(鍵交換)を使ってSSH 接続することは、それほど難しくありませんから、 よりセキュアな設定を行うためにも、サーバーを守るためにも、是非、利用されることをおすすめします。



ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

SSHコマンドで 公開鍵認証(鍵交換)を使ってSSH 接続してみる

以前に、TeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる でTeraTerm を使った公開鍵認証(鍵交換認証)を ...

TeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる

今回は、TeraTermで 公開鍵認証を使ってSSH 接続してみます。 SSH には、ユーザ認証機能として、以下の種類がありま ...

ConoHa VPS, お名前.com VPS で提供される SSH Private Key を使ってシリアルコンソールへ接続してみる

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由 では、SSH ...

rsync + ssh でファイルの同期をとる

今回は、サーバー間でのファイルの同期についてです。 ウェブサーバーを複数立ち上げて分散化を図った場合、ページ更新するにしても、全ての立ち上 ...

ConoHaにAndroid x86 をインストールしてみる

Android x86とは、 いわゆる Android のPC版OSです。 Android は、Googleによって開発されたス ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2180 [s]