差分

このページの2つのバージョン間の差分を表示します。

--- centos:ssh [2014/02/27 06:12] – clownclown
+++ centos:ssh [2025/02/16 13:53] (現在) – 外部編集 127.0.0.1
@@ 行 1: / 行 1: @@
 ====== SSH  ======
-==== XXXXX  ====
+===== 鍵認証 =====
+ssh-keygenコマンドやPuTTYgenで鍵を作成すると、**秘密鍵（id_rsa）**と**公開鍵（id_rsa.pub）**が作成されます。
+公開鍵はログインしたいサーバの**公開鍵ファイル（authorized_keys）**に登録、クライアントは秘密鍵と作成時に指定した**パスフレーズ**でログイン、となります。
+==== 鍵作成と認証 =====
+=== 秘密鍵と公開鍵のペアを作成する ===
+以下の手順では、パスフレーズなしでSSH鍵が作成されます。
 <code>
-[root@localhost ~]# useradd kodama
+[root@lv-lvs01 ~]# ssh-keygen -t rsa
-[root@localhost ~]# passwd kodama
-Changing password for user kodama.
-New UNIX password:
-Retype new UNIX password:
-passwd: all authentication tokens updated successfully.
-[root@localhost ~]# su - kodama
-[kodama@localhost ~]$ ssh-keygen -t rsa
 Generating public/private rsa key pair.
-Enter file in which to save the key (/home/kodama/.ssh/id_rsa):
+Enter file in which to save the key (/root/.ssh/id_rsa):
-Created directory '/home/kodama/.ssh'.
+Enter passphrase (empty for no passphrase): 何も入力せずにEnter
-Enter passphrase (empty for no passphrase):
+Enter same passphrase again: 何も入力せずにEnter
-Enter same passphrase again:
+Your identification has been saved in /root/.ssh/id_rsa.
-Your identification has been saved in /home/kodama/.ssh/id_rsa.
+Your public key has been saved in /root/.ssh/id_rsa.pub.
-Your public key has been saved in /home/kodama/.ssh/id_rsa.pub.
 The key fingerprint is:
-:cb:46:46:94:eb:73:93:f0:fd:e3:ea:7c:c5:27:e9 kodama@localhost.localdomain
+ee:47:27:16:77:4a:cc:c8:c7:8e:39:aa:23:e4:75:17 root@lv-lvs01
-[kodama@localhost ~]$ ls -al
+The key's randomart image is:
-合計 28
++--[ RSA 2048]----+
-drwx------ 3 kodama kodama 4096  2月 12 11:35 .
+|                 |
-drwxr-xr-x 5 root   root   4096  2月 12 11:35 ..
+|                 |
--rw-r--r-- 1 kodama kodama   33  2月 12 11:35 .bash_logout
+|         . =     |
--rw-r--r-- 1 kodama kodama  176  2月 12 11:35 .bash_profile
+|          E B .  |
--rw-r--r-- 1 kodama kodama  124  2月 12 11:35 .bashrc
+|        S  X o   |
-drwx------ 2 kodama kodama 4096  2月 12 11:35 .ssh
+|    . ... O +    |
-[kodama@localhost ~]$ cd ~/.ssh
+|   o . ..= +     |
-[kodama@localhost .ssh]$ mv id_rsa.pub authorized_keys
+|    o ... .      |
-[kodama@localhost .ssh]$ chmod 600 authorized_keys
+|     ..o..       |
++-----------------+
+[root@lv-lvs01 ~]# ls -al
+total 60
+dr-xr-x---.  4 root root 4096 Apr 11 06:58 .
+dr-xr-xr-x. 24 root root 4096 Apr 11 06:54 ..
+...
+drwx------   2 root root 4096 Apr 11 06:59 .ssh
+[root@lv-lvs01 ~]# cd .ssh
+[root@lv-lvs01 .ssh]# ls -al
+total 20
+drwx------  2 root root 4096 Apr 11 06:59 .
+dr-xr-x---. 4 root root 4096 Apr 11 06:58 ..
+-rw-------  1 root root 1675 Apr 11 06:59 id_rsa     <= 秘密鍵
+-rw-r--r--  1 root root  395 Apr 11 06:59 id_rsa.pub <= 公開鍵
 </code>
-==== XXXXX  ====
+=== 公開鍵ファイルauthorized_keysを作成する ===
+<code>
+[root@lv-lvs01 .ssh]# mv id_rsa.pub authorized_keys
+[root@lv-lvs01 .ssh]# chmod 600 authorized_keys
+</code>
-sshで公開鍵認証を接続先のサーバの「~/.ssh」以下に「authorized_keys」作る
+=== 公開鍵認証を有効にする ===
+<code>
+[root@lv-lvs01 ~]# vi /etc/ssh/sshd_config
+PubkeyAuthentication no
+  ↓
+PubkeyAuthentication yes
+[root@lv-lvs01 ~]# /etc/init.d/sshd restart
+</code>
+=== クライアント（puttyやWinSCPなど）からログイン ===
+秘密鍵（プライベートキー）にid_rsaを指定する。
+<code>
+-----BEGIN RSA PRIVATE KEY-----
+～省略～
+-----END RSA PRIVATE KEY-----
+</code>
+=== パスワード認証を無効にする ===
+鍵認証でログインできることを確認したら、パスワード認証を無効にします。
+<code>
+[root@lv-lvs01 ~]# vi /etc/ssh/sshd_config
+PasswordAuthentication yes
+ChallengeResponseAuthentication yes
+  ↓
+PasswordAuthentication no
+ChallengeResponseAuthentication no
+[root@lv-lvs01 ~]# /etc/init.d/sshd restart
+</code>
+==== パスフレーズ無し鍵認証でサーバ間移動  ====
+鍵認証でログインしたいサーバに秘密鍵をおくる
+<code>
+[root@lv-lvs01 .ssh]# scp -r /root/.ssh ngx01:/root/
+root@ngx01's password:
+authorized_keys                                                                    100%  395     0.4KB/s   00:00
+id_rsa                                                                             100% 1675     1.6KB/s   00:00
+[root@lv-lvs01 .ssh]#
+</code>
+SSHログインを試してパスワードを要求される場合は、SELINUXを確認する
+<code>
+# getenforce
+Enforcing
+# setenforce 0
+</code>
+==== 公開鍵をリモートホストに登録  ====
+公開鍵をリモートホストのauthorized_keysに追加
+<code>
 ssh-copy-id -i ~/.ssh/id_rsa.pub [[masuda@192.168.1.1]]
+</code>
 ===== 【memo】ssh / ssl  =====
@@ 行 78: / 行 148: @@
 </code>
+===== 公開鍵のフォーマット  =====
+SECSH 形式
+<code>
+---- BEGIN SSH2 PUBLIC KEY ----
+Comment: ""
+AAAAB3NzaC1yc2EAAAABJQAAAIEAnlSZPvo75cuGUKVVSky8BgLq01Ieplkgizfp
+zyMNA9i8BbjjLKAGgLOW00QAStbfx1Xjr6CHDxKMoaZoiJvzlPgYfQWM5KMKzn0
+A5pOq9oRhR9NsCKDSPwgYH+2d70yCgUi7fcZ/dZ9j3lC9cS9KFwZHe4d1KakEaaR
+bNqT2k=
+---- END SSH2 PUBLIC KEY ----
+</code>
+OpenSSH 形式
+<code>
+ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAnlSZPvo75cuGUKVVSky8BgLq01Ieplkgizfp5zyMNA9i8BbjjLKAGgLOW00QAStbfx1Xjr6CHDxKMoaZoiJvzlPgYfQWM5KMKzn0A5pOq9oRhR9NsCKDSPwgYH+2d70yCgUi7fcZ/dZ9j3lC9cS9KFwZHe4d1KakEaaR1bNqT2k=
+</code>
+型変換
+<code>
+$ ssh-keygen -i -f id_rsa.pub >> ~/.ssh/authorized_keys
+</code>
+実態は、改行を省いているだけ。
+===== パスフレーズの解除  =====
+<code>
+# cd /root/.ssh/
+# vi id_rsa.org
+～.pemから張り付ける
+-----BEGIN RSA PRIVATE KEY-----
+～所略～
+-----END RSA PRIVATE KEY-----
+# openssl rsa -in id_rsa.org -out id_rsa
+# chmod 600 id_rsa*
+</code>
+===== コネクション数の制限・調整  =====
+<code>
+# vi /etc/ssh/sshd_config
+> MaxStartups 10:30:100
+> MaxStartups 開始数：確率：最大数
+接続までは受け付け、以降は30%の確率で拒否し、100接続を超えると以降は全て拒否。
+# /etc/init.d/sshd restart
+</code>