ホスト認証

ホスト認証とは、接続先ホストの正当性を確かめる手段。これによってなりすましによる偽の SSHサーバに接続してしまうことを防ぐ。ホスト認証は、SSHサーバのホスト認証鍵を使って行われる。

ユーザー認証

ユーザー認証方法は複数用意されている。代表的なものは

• 公開鍵認証
• パスワード認証

公開鍵認証は公開鍵暗号方式を利用してユーザーを認証する。公開鍵認証を行うには、サーバ側にあらかじめ公開鍵を登録しておく必要がある。

1. あらかじめサーバに公開鍵を登録
2. 接続時にユーザーの鍵が利用できるか確認
3. ユーザーは、公開鍵やユーザー名からデータを作成し、秘密鍵による電子署名を行う
4. 上記データと電子署名をサーバに送る
5. サーバ側でデータと署名を検証
6. 検証に成功した場合ログインを許可する

OpenSSH を利用するのに必要なパッケージ

• openSSH
• openssh-server
• openssh-client
• openssl
• openssh-askpass （必須ではない）
• openssh-askpass-gnome （必須ではない）

SSHサーバの設定ファイル

• /etc/ssh/sshd_config

デフォルトのままでも利用可能。安全性をさらに高める、設定変更するとき用に

#Port 22

Protocol 2

#PermitRootLogin yes

#RSAAuthentication yes

#PubkeyAuthentication yes

#PermitEmptyPasswords no

PasswordAuthentication yes

ssh コマンド

SSHクライアントからSSHサーバへ接続する。基本的な書式

ssh ユーザー名@ホスト名 or IPアドレス

例）ホスト「host」に、ユーザー「hoge」としてログイン

ssh hoge@host

初回接続時、SSHサーバからホスト認証鍵が送られてくるので、受け入れる場合は「yes」と入力。次にパスワードを入力するとログインが完了する。ホスト認証鍵はユーザーの 「 ~/.ssh/known_hosts 」 ファイルに格納される。
※ ホスト認証鍵のバックアップなしでサーバを再インストールした場合、初回起動時にホスト認証鍵が自動的に生成される。新たなホスト認証鍵は以前のものとは異なるため、そのままでは警告が出る。このような場合、「 ~/.ssh/known_hosts 」 ファイル内の該当エントリを削除すれば解決する

SCP コマンド

SCPコマンドは、SSH の仕組みを使って安全にファイルをコピーするコマンド
基本的な書式

scp ユーザー名@コピー元ホスト:コピー元ファイル名 ユーザー名@コピー先ホスト:コピー先ファイル名

例) ローカルホストからリモートホストへのコピー

scp /etc/hosts host03:/tmp

例) リモートホストからローカルホストへのコピー

scp host03:etc/hosts .

例) ユーザーを指定してのコピー

scp /etc/hosts hoge@host03:/home/hoge

鍵ペアの作成

ssh-keygen オプション

公開鍵と秘密鍵は、SSH のバージョンと暗号化アルゴリズムによる複数の種類がある
SSH の鍵ファイル

例) バージョン2 (DSA) の鍵ペア作成

ssh-keygen -t dsa

1. 鍵ファイルの名前を指定
   通常はデフォルトでOKなのでそのまま [Enter] キーを押せばOK
2. パスフレーズの入力
   秘密鍵を使う時に求められるパスフレーズを2度入力する。パスワードよりも長い、空白を含めた文字列の指定が可能。 [Enter] キーのみを押すと空のパスフレーズが作成される。

鍵ペアは、「 ~/.ssh 」ディレクトリ以下に作成される

公開鍵のコピー

公開鍵ファイルを SSHサーバ内の ~/.ssh/authorized_keys ファイルに登録する。

scp .ssh/id_dsa.pub host03:

SSH 関連ファイルのパーミッション