BlogもどきのWeblog

# aptitude install openssh-server
とりあえずインストール

クライアントからの接続をプレインテキストでの認証にしておくと辞書攻撃とかが怖いのでdsaで鍵を作ってその鍵を持ってないと認証できないようにする。

作業を行っている途中でログイン不可能になるのを防ぐため、必ず接続状態のウインドウを開いた状態で作業を行う。


■鍵の作成

$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/silvia/.ssh/id_dsa):

ここでエンター押すとディレクトリが作成される

Created directory '/home/silvia/.ssh'.

パスワード入れる
Enter passphrase (empty for no passphrase):
Enter same passphrase again:

~/.ssh/以下に
id_dsa
id_dsa.pub
というファイルができる。
id_dsaが秘密鍵、id_dsa.pubが公開鍵

公開鍵をauthorized_keysに書き写す
これを鍵束として用いる(らしい。DSA以外の認証にも使用？)
$ cat id_dsa.pub >> authorized_keys


■Windows側の設定

UTF-8 Teraterm Proの使用を前提とする。

作った秘密鍵id_dsaをWindowsに持ってくる。
適当なディレクトリに配置。MyDocumentは怖いからだめだとか。

Teraterm起動する
メニューの設定→SSH認証を選択

「RSA/DSA鍵を使う」にチェック入れて、持ってきた秘密鍵を指定する。


■SSHサーバの設定

# vi /etc/ssh/sshd_config

ルートでのログイン禁止
PermitRootLogin no

公開鍵の格納ディレクトリを指定する
コメント取る
#AuthorizedKeysFile %h/.ssh/authorized_keys
↓
AuthorizedKeysFile %h/.ssh/authorized_keys

もっとセキュリティを上げたい場合、ログインできるユーザを限定
AllowUsers [ssh_user]

再起動
# /etc/init.d/ssh restart

Teraterm起動してサーバに接続、パスフレーズが通ればOK


パスが通ったので、プレインテキストでの認証を不許可にする。

# vi /etc/ssh/sshd_config

プレインテキストのパスワードでのログインを禁止
PasswordAuthentication no

再起動
# /etc/init.d/ssh restart

プレインテキストでログインできなくて、DSA鍵でのログインができればOK