差分

このページの2つのバージョン間の差分を表示します。

--- centos:ssh [2014/04/15 02:00] – clownclown
+++ centos:ssh [2025/02/16 13:53] (現在) – 外部編集 127.0.0.1
@@ 行 1: / 行 1: @@
 ====== SSH  ======
-==== パスフレーズ無し鍵認証でサーバ間移動  ====
+===== 鍵認証 =====
-パスフレーズなしでSSH鍵を作成する
+ssh-keygenコマンドやPuTTYgenで鍵を作成すると、**秘密鍵（id_rsa）**と**公開鍵（id_rsa.pub）**が作成されます。
+公開鍵はログインしたいサーバの**公開鍵ファイル（authorized_keys）**に登録、クライアントは秘密鍵と作成時に指定した**パスフレーズ**でログイン、となります。
+==== 鍵作成と認証 =====
+=== 秘密鍵と公開鍵のペアを作成する ===
+以下の手順では、パスフレーズなしでSSH鍵が作成されます。
 <code>
 [root@lv-lvs01 ~]# ssh-keygen -t rsa
 Generating public/private rsa key pair.
 Enter file in which to save the key (/root/.ssh/id_rsa):
-Enter passphrase (empty for no passphrase):
+Enter passphrase (empty for no passphrase): 何も入力せずにEnter
-Enter same passphrase again:
+Enter same passphrase again: 何も入力せずにEnter
 Your identification has been saved in /root/.ssh/id_rsa.
 Your public key has been saved in /root/.ssh/id_rsa.pub.
@@ 行 29: / 行 35: @@
 dr-xr-x---.  4 root root 4096 Apr 11 06:58 .
 dr-xr-xr-x. 24 root root 4096 Apr 11 06:54 ..
--rw-------.  1 root root 1350 Jan  1  2013 anaconda-ks.cfg
+...
--rw-------   1 root root   12 Jan  1  2013 .bash_history
--rw-r--r--.  1 root root   18 May 20  2009 .bash_logout
--rw-r--r--.  1 root root  176 May 20  2009 .bash_profile
--rw-r--r--.  1 root root  176 Sep 23  2004 .bashrc
--rw-r--r--.  1 root root  100 Sep 23  2004 .cshrc
-drwxr-xr-x   3 root root 4096 Jan  1  2013 .gem
--rw-r--r--.  1 root root 9095 Jan  1  2013 install.log
--rw-r--r--.  1 root root 3120 Jan  1  2013 install.log.syslog
 drwx------   2 root root 4096 Apr 11 06:59 .ssh
--rw-r--r--.  1 root root  129 Dec  3  2004 .tcshrc
 [root@lv-lvs01 ~]# cd .ssh
 [root@lv-lvs01 .ssh]# ls -al
@@ 行 45: / 行 42: @@
 drwx------  2 root root 4096 Apr 11 06:59 .
 dr-xr-x---. 4 root root 4096 Apr 11 06:58 ..
--rw-------  1 root root 1675 Apr 11 06:59 id_rsa              <= 秘密鍵
+-rw-------  1 root root 1675 Apr 11 06:59 id_rsa     <= 秘密鍵
--rw-r--r--  1 root root  395 Apr 11 06:59 id_rsa.pub          <= 公開鍵
+-rw-r--r--  1 root root  395 Apr 11 06:59 id_rsa.pub <= 公開鍵
--rw-r--r--  1 root root  401 Apr 11 06:58 known_hosts
 </code>
-authorized_keysを作成する
+=== 公開鍵ファイルauthorized_keysを作成する ===
 <code>
 [root@lv-lvs01 .ssh]# mv id_rsa.pub authorized_keys
 [root@lv-lvs01 .ssh]# chmod 600 authorized_keys
 </code>
-鍵認証でログインしたいサーバに鍵をおくる
+=== 公開鍵認証を有効にする ===
+<code>
+[root@lv-lvs01 ~]# vi /etc/ssh/sshd_config
+PubkeyAuthentication no
+  ↓
+PubkeyAuthentication yes
+[root@lv-lvs01 ~]# /etc/init.d/sshd restart
+</code>
+=== クライアント（puttyやWinSCPなど）からログイン ===
+秘密鍵（プライベートキー）にid_rsaを指定する。
+<code>
+-----BEGIN RSA PRIVATE KEY-----
+～省略～
+-----END RSA PRIVATE KEY-----
+</code>
+=== パスワード認証を無効にする ===
+鍵認証でログインできることを確認したら、パスワード認証を無効にします。
+<code>
+[root@lv-lvs01 ~]# vi /etc/ssh/sshd_config
+PasswordAuthentication yes
+ChallengeResponseAuthentication yes
+  ↓
+PasswordAuthentication no
+ChallengeResponseAuthentication no
+[root@lv-lvs01 ~]# /etc/init.d/sshd restart
+</code>
+==== パスフレーズ無し鍵認証でサーバ間移動  ====
+鍵認証でログインしたいサーバに秘密鍵をおくる
 <code>
 [root@lv-lvs01 .ssh]# scp -r /root/.ssh ngx01:/root/
@@ 行 60: / 行 93: @@
 authorized_keys                                                                    100%  395     0.4KB/s   00:00
 id_rsa                                                                             100% 1675     1.6KB/s   00:00
-known_hosts                                                                        100%  401     0.4KB/s   00:00
 [root@lv-lvs01 .ssh]#
+</code>
+SSHログインを試してパスワードを要求される場合は、SELINUXを確認する
+<code>
+# getenforce
+Enforcing
+# setenforce 0
 </code>
@@ 行 130: / 行 169: @@
 </code>
 実態は、改行を省いているだけ。
+===== パスフレーズの解除  =====
+<code>
+# cd /root/.ssh/
+# vi id_rsa.org
+～.pemから張り付ける
+-----BEGIN RSA PRIVATE KEY-----
+～所略～
+-----END RSA PRIVATE KEY-----
+# openssl rsa -in id_rsa.org -out id_rsa
+# chmod 600 id_rsa*
+</code>
+===== コネクション数の制限・調整  =====
+<code>
+# vi /etc/ssh/sshd_config
+> MaxStartups 10:30:100
+> MaxStartups 開始数：確率：最大数
+接続までは受け付け、以降は30%の確率で拒否し、100接続を超えると以降は全て拒否。
+# /etc/init.d/sshd restart
+</code>