レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

C5 C6 S6

TeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる

2013年1月21日 2014年1月15日
sftp teraterm key

今回は、TeraTermで 公開鍵認証を使ってSSH 接続してみます。

SSH には、ユーザ認証機能として、以下の種類があります。

  • rhost認証

    – ~/.rhostsファイルや/etc/hosts.equivファイルによる認証方法で、パスワードなしでログインなどを可能にするもので危険であるため通常は利用されません。

  • パスワードによる認証

    – 非常に一般的に用いられてきた認証方法で、パスワードの文字数が短ければ非常に危険であるため最近ではパスワード文字数を12文字以上とすることが多いです。

  • RSA 認証

    – バージョン1による公開鍵、秘密鍵のペアによる認証方式で、バージョン1ではセキュアな認証方式です。

  • 公開鍵認証

    – バージョン2による公開鍵、秘密鍵のペアによる認証方式で、バージョン2ではセキュアな認証方式です。

上記以外にも rhost + RSA認証など組み合わせを含めてるとまだまだありますが、概ね手順でくくると上記の4つのパターンだと思います。 上記の順は、より危険な順でならべたつもりです。運用によっては、危険度も違うでしょうが、一般的には上記の順とされ、パスワードのみで管理することは危険とされています。

よりセキュアな方式として、RSA 認証、公開鍵認証があります。
RSA 認証も公開鍵認証も手順的には同じですが、鍵の作成方法が異なります。もちろんバージョンの違いも大きく、できればバージョン1は使いたくないところです。

そこで、今回は、公開鍵認証方式による鍵ファイル+パスフレーズ(パスワード)での認証について簡単に解説してみます。


TeraTermで 公開鍵認証を使ってSSH 接続してみる

  1. TeraTermを起動し、SSH鍵を作成します。

    TeraTermを起動し、
    メニュー の [ 操作 ] – [ SSH鍵作成… ] をクリックします。

    TeraTermメニュー操作SSH鍵作成

    鍵の種類 : RSA を選択し、ビット数 : 2048 でOKです。作成ボタンをクリックします。

    TeraTermメニュー操作SSH鍵作成2
    SSH2では、DSAとRSAの両方を利用できるように設計されています。

    DSAとRSAの違いは、
    DSAが、ユーザ認証しかカバーしないのに対して、
    RSAは、ユーザ認証、通信の暗号化をカバーする点です。

    そもそもRSAには特許があったため自由に使用できなかったので、DSAを使っていたという経緯があります。
    現在では、SSH2ではRSAを使うのが主流です。

    下記の鍵のパスフレーズ欄、パスフレーズの確認欄 が 、それぞれ入力可能な状態になります。
    ここでパスフレーズを入力します。両欄とも入力したら、公開鍵の保存秘密鍵の保存 にてファイルに保存します。

    TeraTermメニュー操作SSH鍵作成2
    ここでパスフレーズを何も入力しない場合は、以降に出てくるログイン時にパスフレーズ(パスワード)の設定は不要となります。 よく「パスワードなしでSSH接続する」などの記事を見かけますが、それは、このパスフレーズなしで公開鍵認証を行うパターンの記事です。

    ここでは、

    • 公開鍵 : id_rsa.pub
    • 秘密鍵 : id_rsa

    で保存したものとして、以降、解説します。

    ssh-keygen コマンドでも鍵を作成できます。
    ssh-keygen コマンドでの作成方法は、こちら を参照してください。

  2. 接続先SSHサーバー側に 公開鍵 を設定します。

    TeraTermで作成した公開鍵 を接続先SSHサーバー側にコピーします。
    設定するファイル名は、

    /ユーザホーム/.ssh/authorized_keys

    で作成します。
    ここでは、hoge という名前のユーザで解説してみます。

    /home/hoge/.ssh/authorized_keys

    ssh-rsa AA........PQ== hoge@windows

    公開鍵は、単純なテキストファイルなのでコピー&ペーストでファイルを作成してもOKです。また、SFTPなどでアップロードしてもOKです。
    コピーを終えたら、公開鍵の権限を所有者のみ読み込み可(400)とします。

    $ chown -R hoge. /home/hoge/.ssh/
    $ chmod 400 /home/hoge/.ssh/authorized_keys

  3. 接続先SSHサーバーの SSHの設定を変更します。

    接続先SSHサーバーの SSHの設定を 公開鍵認証を可とし、パスワードによる認証を不可とします。

    /etc/ssh/sshd_config

    ...
    # プロトコルバージョンを2固定とします。
    Protocol 2
    ...
    # rhost RSA認証を不可にします。
    RhostsRSAAuthentication no
    # host based 公開鍵認証を不可にします。
    HostbasedAuthentication no
    # /etc/ssh_known_hosts または ~/.ssh/known_hosts を無視します。
    IgnoreUserKnownHosts yes
    # rhost を無視します。
    IgnoreRhosts yes
    ...
    # RSA認証を不可にします。
    RSAAuthentication no
    # 公開鍵認証を可にします。
    PubkeyAuthentication yes
    # 公開鍵の設置場所をユーザディレクトリ配下の .ssh/authorized_keys にします。
    AuthorizedKeysFile     .ssh/authorized_keys
    # 公開認証時のコマンドは実行しません。
    AuthorizedKeysCommand none
    # 公開認証時のコマンド実行時のユーザは、nobodyとします。
    AuthorizedKeysCommandRunAs nobody
    ...
    # パスワード認証を不可とします。
    PasswordAuthentication no
    # 空パスワードを不可とします。
    PermitEmptyPasswords no
    ...

    ここでは、念のため不必要な認証は、すべて不可にしています。
    ここで最小限必要な項目は、以下のものです。

    • PubkeyAuthentication yes
    • AuthorizedKeysFile .ssh/authorized_keys
    • PasswordAuthentication no

    設定を終えたら、sshd の再読み込みか、再起動します。

    $ /etc/init.d/sshd restart
    sshd を停止中:                                             [  OK  ]
    sshd を起動中:                                             [  OK  ]

  4. TeraTermから接続してみます。

    ここまで設定を終えたら、TeraTermから接続してみます。

    TeraTermを起動します。

    TeraTermログイン1

    ホスト名 : ここではIPアドレスを単純に入力しています。ホスト名でも可です。
    TCPポート番号 : ここではデフォルトの22をそのまま使用します。SSH側で変更している場合は、そのポート番号に合わせます。
    サービス : SSH バージョンは、SSH2 とします。

    設定を終えたら、OKボタンをクリックします。

    TeraTermログイン2

    ユーザ名 : ここでは hoge とします。
    パスフレーズ : ここでは鍵を作成した時に入力したパスフレーズを入力します。
    RSA/DSA鍵を使う : 秘密鍵 に作成した秘密鍵ファイル名を入力します。

    設定を終えたら、OKボタンをクリックします。

    以下のようにログインできればOKです。

    TeraTermログイン3

    この状態で、ユーザ名、パスワードのみでログインしようとすると以下のようなエラーメッセージが表示されログインできないことも確認しておきましょう。
    TeraTermログインエラー
    [自動化するマクロ]
    TeraTermではマクロを使ってログインを自動化できます。
    以下に簡単ながらマクロファイルのイメージを載せておきます。
    ; SSH login
    ;  受信コード UTF-8/送信コード UTF-8 とします。
    callmenu 54013  ; [KanjiCode] Recv: UTF-8 
    callmenu 54113  ; [KanjiCode] Send: UTF-8 
    ;  接続します。
    connect '192.168.1.99:22 /ssh2 /auth=publickey /user=hoge /passwd=******** /keyfile=id_rsa'
    /passwd=******** の “*” 部分は、鍵作成時に設定したパスフレーズを記述します。

    このマクロファイルは、パスワードは平文で、秘密鍵のファイルの在りかも指定しますから、これが覗かれたら時のリスクを十分考慮した上で、自動化をしましょう。
    せめて、ログインユーザ以外は、参照できないくらいの設定は必要だと思います。

うまく接続できたでしょうか。
この設定により、ユーザ+パスワードのみ場合に比べて安全になることは間違いないです。セキュリティに関しては、やれることはやっておいて損はありませんから、是非、やっておきましょう。

また、おまけですが、お名前.com VPS(KVM)では、SSH Keyファイルをダウンロードできます。
お名前.com VPS(KVM)
  • SFTPでISOファイルをアップロードする場合
  • SSH接続経由でシリアルコンソールへ接続する場合
に使えます。また、デフォルトOSの場合は、VPSへの root による SSH接続 のためにも使用できます。(ConoHaでは、デフォルトでこの鍵認証になります)
但し、これって、デフォルトOS(CentOS)の場合のみ使用できる鍵ですから、注意しましょう。カスタムOSや、ISOアップロードで好きなOSをインストール場合は、使えません。
ちょっと参考まで。



ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

SSHコマンドで 公開鍵認証(鍵交換)を使ってSSH 接続してみる

以前に、TeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる でTeraTerm を使った公開鍵認証(鍵交換認証)を ...

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

ConoHa VPS, お名前.com VPS では、SSH Private Key のダウンロードができます。 これは、以下の目 ...

FreeBSDでSSHを使えるようにする

FreeBSD 8 をインストールしてみた でFreeBSDのインストールまで終わりました。 さて、ここから、サーバーの設定を始めて行くわ ...

SSHポートフォワード と VNC を使ってセキュアなリモートデスクトップを使ってみる

評判のさくらのVPSを使ってVNCを使ってリモートデスクトップの環境を設定してみる(CentOS編) では、さくらのVPSを使ってV ...

rsync + ssh でファイルの同期をとる

今回は、サーバー間でのファイルの同期についてです。 ウェブサーバーを複数立ち上げて分散化を図った場合、ページ更新するにしても、全ての立ち上 ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.6905 [s]