ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

2013年8月2日 2017年8月8日

ご利用のブラウザは、JavaScript が無効となっていませんか？
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない、検索ができないことがあります。

ConoHa VPS, お名前.com VPS では、SSH Private Key のダウンロードができます。
これは、以下の目的で使用できるものです。

SFTPでISOファイルをアップロードする場合
SSH接続経由でシリアルコンソールへ接続する場合

実は、VPSへのSSH接続用ではないことに注意する必要があります。
つまり、VPSアクセスにいつでも使えるという物ではないことに注意する必要があります。

目次
1. あえて ConoHa VPS, お名前.com VPSのSSH Private Keyを使ってSSH接続する方法
2. ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由
履歴

2013.8.2 初版

あえて ConoHa VPS, お名前.com VPSのSSH Private Keyを使ってSSH接続する方法

先に説明したように ConoHa VPS, お名前.com VPSでデフォルトで提供されている SSH Private Keyは、VPSへの接続のためではありません。

SFTPでISOファイルをアップロードする場合
SSH接続経由でシリアルコンソールへ接続する場合

上記のためです。
おまけとして、デフォルトOS(CentOS 6) がインストールされている環境では、 rootでのssh接続のセキュリティ強化のために同じ SSH Private Key が利用できるようにデフォルトで設定されています。

ConoHa VPS の SSH Private Key ダウンロード
お名前.com VPS の SSH Private Key ダウンロード

上記のようにいつでもダウンロードできて、非常に便利な感じがしますね。
ただ、先に書いたように、VPSとのSSH接続に用いる場合は、デフォルトOSのCentOS以外では、使えないことを忘れてはいけません。

使えないというのは、公開鍵がないためで、
もし、初期状態（デフォルトのCentOSが動作している状態）で、/root/.ssh/authorized_keys をダウンロードしておいたなら、その公開鍵(authorized_keys) とダウンロードした SSH Private Key を使ってSSH接続できるように設定できます。

あえてこの SSH Private Key を使ってSSH接続したいなら、先のあらかじめダウンロードした公開鍵(authorized_keys)を

カスタムOSで利用する場合は、

→ カスタムOSのユーザの /ホームディレクトリ/.ssh/authorized_keys へコピーしてあげればOKです。
新しいユーザを追加した場合は、

→ 同じようにそのユーザの /ホームディレクトリ/.ssh/authorized_keys へコピーしてあげればOKです。

もちろん、sshd の設定の確認も必要でしょう。最低限、以下の確認を行っておきます。

/etc/ssh/sshd_config

...
# プロトコルバージョンを２固定とします。
Protocol 2
...
# 公開鍵認証を可にします。
PubkeyAuthentication yes
# 公開鍵の設置場所をユーザディレクトリ配下の .ssh/authorized_keys にします。
AuthorizedKeysFile     .ssh/authorized_keys
...
# パスワード認証を不可とします。
PasswordAuthentication no
# 空パスワードを不可とします。不要なのでコメントアウトします。
# PermitEmptyPasswords no
...

設定を変更したら、リロード or リスタートします。これでOKのはずです。

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

ここまで、あえて ConoHa VPS, お名前.com VPS で提供される SSH Private Key を使うための方法などを簡単に解説しました。
しかし、個人的には、あえて提供されている SSH Private Key を使って SSH接続することは、全くおすすめしません。

その理由は、非常に単純で、以下の２点でしょう。

提供されている鍵は、パスフレーズが設定されていない

– つまりは、パスワード（パスフレーズ）の入力なしで、秘密鍵(Private Key) さえあれば、だれでも、ログインできるということです。
秘密鍵(Private Key)の管理をしっかりしないと、この秘密鍵(Private Key)でシリアルコンソールへもアクセスできてしまうので、注意が必要です。そのため、あえて同じ鍵を利用せず、それぞれの鍵を持つ方が、よりセキュアです。
鍵の作成は、手間がかからない

– そもそもSSH接続用の鍵を作成するのは、ssh-keygen コマンドで簡単に作成できます。(ssh-keygen コマンドでSSH鍵を作成参照)
あえてその手間を省く意味が、どれだけあるでしょう？セキュリティ強化を図るなら、間違いなく自前で ssh-keygen コマンドで鍵を作成すべきでしょう。

おまけで、自前の鍵に変更する手順を以降に簡単に解説しておきます。

鍵を作成したいユーザでログインします。

ssh-keygen コマンドでSSH鍵を作成します。

# 2048ビットのRSA鍵ファイルを作成します。
$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
# ファイルの出力先、ファイル名ですが、ここではデフォルトのまま使用します。
Enter file in which to save the key (/home/hoge/.ssh/id_rsa): 
# パスフレーズを入力します。
Enter passphrase (empty for no passphrase): *********
# 再度、パスフレーズを入力します。
Enter same passphrase again: *********
Your identification has been saved in /home/hoge/.ssh/id_rsa.
Your public key has been saved in /home/hoge/.ssh/id_rsa.pub.
The key fingerprint is:
5c:42:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:e1:c8 hoge@example.com
The key's randomart image is:
+--[ RSA 2048]----+
|      ...    ..o+|
|       . . ...*.*|
|        . . .....|
|       . . .  ...|
|        . .     .|
|                 |
|                 |
|                 |
|                 |
+-----------------+

上記の例では、ユーザ hoge でログインし、hogeの /ホームディレクトリ/.ssh/ へ以下の各鍵ファイルが作成されています。

公開鍵 : id_rsa.pub
秘密鍵 : id_rsa

公開鍵のファイル名を変更します。

# 公開鍵のファイル名は、デフォルトで authorized_keys となっています。
$ cd ~/.ssh
[.ssh]$ mv id_rsa.pub authorized_keys

デフォルトOSでrootの場合は、既に authorized_keys が存在すると思います。その場合、とりあえず、既存のauthorized_keysの名前を変更しておくと良いでしょう。

$ cd ~/.ssh
[.ssh]$ mv authorized_keys authorized_keys.old
[.ssh]$ mv id_rsa.pub authorized_keys

秘密鍵をダウンロードします。

秘密鍵をダウンロードする際に、必ず、暗号化された環境下（sftp or scp or ftps など）でダウンロードします。

# 秘密鍵をダウンロードします。
$ sftp hoge@192.168.1.99
...
Connected to 192.168.1.99
sftp> pwd
Remote working directory: /home/hoge
sftp> cd .ssh
sftp> ls
authorized_keys           id_rsa                    id_rsa.pub
sftp> get id_rsa
Fetching /home/hoge/.ssh/id_rsa to id_rsa
/home/hoge/.ssh/id_rsa                        100% 1743     1.7KB/s   00:00
sftp> bye

上記の例では、サーバーのIPアドレスが 192.168.1.99 としています。

これで、同じように SSH接続できるようになります。
詳しくは、SSHコマンドで公開鍵認証(鍵交換)を使ってSSH 接続してみる、 TeraTermで公開鍵認証(鍵交換)を使ってSSH 接続してみるを参照してください。

そもそもこの記事を書くきっかけは、
個人的に、ConoHa VPS, お名前.com VPS でダウンロードできる SSH Private Key が、VPSの接続用ではないことをすっかり忘れていて、どのOSでも使えるものだと勘違いしていたので、「どうやってやっているのかな？」と調べてみたことにあります。

調べてみれば、なんのことはありません。

デフォルトOS(CentOS 6) がインストールされていて、rootでssh接続する場合のみ、この SSH Private Key が使えることがわかると、

「当たり前か」・・・と思ってしまいました。

ちゃんと、ダウンロードのページにも書いてあるのに読まない（読んでいない）のが悪いんですよね。

ちょっと余談になりましたが、いずれにせよ公開鍵認証(鍵交換)を使ってSSH 接続することは、それほど難しくありませんから、よりセキュアな設定を行うためにも、サーバーを守るためにも、是非、利用されることをおすすめします。

(amazon )	インフラエンジニア教本2――システム管理・構築技術解説 (SoftwareDesign別冊)に寄稿しました。「ログを読む技術」の再掲載になります。 8月号を見逃された方は、是非、ご一読くださいませ。
(amazon )	Software Design 8月号に寄稿しました。「ログを読む技術」について寄稿しました。興味のある方は、是非、ご一読くださいませ。
また、執筆や当サイトにおける広告のご依頼などございましたら、お問い合わせページよりご一報ください。

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

あえて ConoHa VPS, お名前.com VPSのSSH Private Keyを使ってSSH接続する方法

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

最近投稿の記事

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

あえて ConoHa VPS, お名前.com VPSのSSH Private Keyを使ってSSH接続する方法

ConoHa VPS, お名前.com VPS で提供される SSH Private Keyは、使わない方が良い理由

最近投稿の記事

さくらのVPS 全プラン リニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。