トップ  > メモ一覧  > カテゴリ「putty」の絞り込み結果 : 3件

3件中 1 〜 3 表示  1 

No.2357 公開鍵暗号でSSHのセキュリティを高める

公開鍵暗号でSSHのセキュリティを高める

2005年2月13日 掲載
2006年1月16日 改訂

※このページでは公開鍵暗号をサーバー側で作成する方法を紹介していますが、Windowsマシンで公開鍵暗号を作る方法もあります。こちらの方が簡単にできるので、「TeraTermProで公開鍵認証を使う」の手順をおすすめします。

 SSHサーバーは特に何の設定をしなくても動作してくれるが、そのままで使うには少し不安がある。セキュリティを高めるための設定を行ってみよう。キーワードは「公開鍵暗号」だ。

公開鍵暗号とは

 公開鍵暗号というのは1970年代後半に考案されたもので、暗号化と解読に別のカギを使おうというもの。「公開鍵」「秘密鍵」という一対のカギを 用意しておく。そして、公開鍵で暗号化したものは秘密鍵でしか解読できない。反対に秘密鍵で暗号化すると公開鍵でしか解読できない。
これを利用するとパスワードを相手に知らせることなく、暗号化されたデータをやりとりできる。公開鍵を相手にしらせておき、データを受け取るときは公開鍵で暗号化してもらう。そのデータを解読できるのは秘密鍵を持っている自分だけだ。

公開鍵暗号でログインする仕組み

 SSHでのユーザー認証にもこの公開鍵暗号を使う。接続する側のパソコンに秘密鍵を保存しておき、サーバーの側に公開鍵を入れておく。ログインす るときにサーバーはクライアントに向けて、ユーザーの公開鍵で暗号化したメッセージを送信する。それを受け取ったクライアントではユーザーの秘密鍵でメッ セージを解読する。そのメッセージをサーバーに送り返し、暗号化する前のメッセージと一致すればログインを許可する。
サーバーが公開鍵で暗号化したものを解読できるのは、秘密鍵を持つユーザーだけ。この方式ならパスワードをネットワーク上で送ることなく確実にユーザーの認証ができるわけだ。

作業の手順

 安全性を高められる公開鍵暗号だが、実際の設定はけっこう面倒だ。整理すると次のようなステップになる。

  1. サーバー側でSSHサーバーの設定を変更し、公開鍵暗号でのログインを指定する
  2. サーバー側でユーザーの秘密鍵と公開鍵のペアを作成する
  3. できあがった秘密鍵をユーザーのパソコンへコピーする
  4. パソコンのSSHクライアントで公開鍵による認証を行うように設定する

1:SSHサーバーの設定変更

 SSHサーバーの設定を行うには「/etc/ssh/sshd_config」をviで開いて編集する。コマンドプロンプトから 「vi /etc/ssh/sshd_config」と入力すればいい。長いファイルだが設定変更は一カ所だけだ。 「PasswordAuthentication」をyesからnoに変更する。元のファイルで行頭に「#」が付いているのは、コメントとして無効にされ ているので、「#」を削除することを忘れないように。
同じフォルダに「/etc/ssh/ssh_config」というファイルもあるが、こちらはSSHクライアントの設定ファイルなので間違えてはいけない。

PasswordAuthentication no ←パスワードではなくカギでログインする

 ついでに以下のような項目もいっしょに設定しておこう。さらに安全性を高められる。

PermitRootLogin no ←rootでのログインを禁止する
PermitEmptyPassword no ←パスワードなしのログインは許可しない
AllowUsers ×× ←指定したユーザーのみログインを許可

 これらの設定が終わったらファイルを保存し、SSHサーバーを再起動して設定を有効にする。これで従来の方式でのログインはできなくなった。

/etc/rc.d/init.d/sshd restart

2:ユーザーのカギを作成する

 次にユーザーのカギを作成しよう。スーパーユーザーとしてroot権限で作業をしていたときは、いったんexitする。カギを作るときはログインするユーザーとして作業を行う必要がある。
途中でパスワードを入力するが、これはログインパスワードではない。秘密鍵にアクセスするためのパスワードである。このパスワードを入力しないと、たとえ秘密鍵が誰かに奪われたとしても使われることはない。二重の安全策がほどこされているわけだ。
また、SSHサーバーが認証の時に利用する公開鍵の名前は「authorized_keys」なので、作成されたカギの名前を変更しておく。

$ whoami ←念のために現在のユーザー名を確認
yasu
$ ssh-keygen -t rsa ←カギを作成するコマンド
Generating public/private rsa key pair.
Enter file in which to save the key (/home/yasu/.ssh/id_rsa):
Created directory '/home/yasu/.ssh'.   ↑そのままEnterキーを押す
Enter passphrase (empty for no passphrase): ←パスワードを入力
Enter same passphrase again: ←もう一度パスワードを入力
Your identification has been saved in /home/yasu/.ssh/id_rsa.
Your public key has been saved in /home/yasu/.ssh/id_rsa.pub.
The key fingerprint is:
ff:8a:6b:d8:eb:ad:68:90:33:eb:2c:6c:d8:ea:98:41 yasu@localhost.localdomain
$ ls -la ~/.ssh ←カギができているか確認
合計 16
drwx------    2 yasu     yasu         4096 Feb  2 13:53 ./
drwx------   22 yasu     yasu         4096 Feb  2 13:53 ../
-rw-------    1 yasu     yasu          951 Feb  2 13:53 id_rsa     ←秘密鍵
-rw-r--r--    1 yasu     yasu          236 Feb  2 13:53 id_rsa.pub ←公開鍵
$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$      ↑公開鍵をauthorized_keysにリネーム

3:秘密鍵をパソコンにとりこむ

 できあがった秘密鍵「id_rsa」をパソコンへととりこむわけだが、どのようにとりこむかが問題になる。もしサーバーでFTPを起動しているな ら、クライアントのWindowsパソコンからFTPで接続してダウンロードすればいい。FTPソフトによっては隠しファイルや隠しフォルダが表示されな いことがあるので、そのときは「.ssh」と手動でフォルダ名を指定する必要がある。下の写真はFFFTPを使っているが、隠しフォルダが表示されなかっ たのでフォルダ名を手動で打ち込んだ。

 フロッピーディスクでとりこむという手もある。Linuxの場合、フロッピーやHDDにドライブ名が割り当てられるわけではなく、「/mnt」ディレクトリの中に位置付けられている。また、リムーバブルディスクを使うには、最初にマウントという操作を行う必要がある。
このあたりの詳細はLinuxの入門書を参照してもらうとして、とりあえずコピーしたいときは次のようにコマンドを打ち込んでいけばいい。

$ mount /mnt/floppy ←フロッピーをマウントする
$ mv ~/.ssh/id_rsa /mnt/floppy/ ←秘密鍵をフロッピーにコピー
$ umount /mnt/floppy ←フロッピーのマウントを解除する
$

4:SSHクライアントの設定を行う

 カギを使ってログインするようにPuTTYを設定しよう。コピーしてきた秘密鍵はそのままでは使うことができず、Windows上で形式を変換しなければならない。まずはこちらのページから「PuTTYgen」をダウンロードして実行する。
右のような画面が表示されるので、次の手順で変換を行う。

  1. 「Load」ボタンをクリックする
  2. コピーしてきた秘密鍵を選択する。「ファイルの種類」を「PuTTY private key」から「All」に変更しないと秘密鍵のファイルが見えないところに注意
  3. 「Enter Passphrase」という画面が表示される。サーバーでカギを作成したときに入力したパスワードを打ち込む
  4. 変換が完了した。「Save private key」ボタンをクリックする
  5. 適当な名前でPuTTYのフォルダに保存する

 カギの変換が終わったら、次はPuTTYの設定に入る。通常のログインと違うのは変換したカギのファイルを指定するところだ。
左のメニューで「接続」→「SSH」→「認証」とたどっていき、「認証のためのプライベートキーファイル」のところに変換した秘密鍵のファイルを指定する。
あとはセッションのページで接続先のサーバーのIPアドレスなりホスト名を入力するだけでいい。

 なお、PuTTYは自動で設定を保存しないので、このままでは接続のたびにIPアドレスを入力し、カギのファイルを指定しなければならない。
必要な設定をすべて終えたら、左側のメニューで「セッション」を選ぶ。「保存されたセッション」のところに何か名前を入力し、「保存」をクリックすると 現在の設定が保存される。次回からは設定のリストの中から名前を選んで「読込」をクリックするだけで、設定が読み込まれる。

引用元

更新:2010/04/27 10:35 カテゴリ: ソース・開発  > putty ▲トップ

No.1902 最速でSSHログインする方法

最速でSSHログインする方法

"C:\Program Files\PuTTY\putty.exe" USERNAME@DOMAIN みたいなショートカットを作り、launchyに登録。

ショートカット名を工夫したりすれば、数文字のタイプで目的のサーバをポイントできる。 鍵認証にすればさらに速い。

目次

[非表示]

鍵認証とか

1. ローカルでDSA キーの生成

local$ ssh-keygen -t dsa

出力するファイル名、パスフレーズの入力を求められますが 何も入力せずに全てEnteyキーを押下して下さい。

2. 公開キーをリモートホストにコピー

scp ~/.ssh/id_dsa.pub name@remort.host:

3. リモートホストにログインし、authorized_keys ファイルを生成

ssh name@remort.host
mkdir .ssh
chmod 700 .ssh/
cd .ssh/
touch authorized_keys
chmod 600 authorized_keys
cat ~/id_dsa.pub >>authorized_keys
rm ~/id_dsa.pub

4. 動作確認

remort$ logout
local$ ssh name@remort.host

5. puttyからログインしたい場合

PuTTYgenでdsaをppkに変換して、それを使う

引用元

http://public.kfs.uxu.jp/wiki/index.php?title=%E6%9C%80%E9%80%9F%E3%81%A7SSH%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95&oldid=805#.E9.8D.B5.E8.AA.8D.E8.A8.BC.E3.81.A8.E3.81.8B
http://public.kfs.uxu.jp/wiki/index.php?title=%E6%9C%80%E9%80%9F%E3%81%A7SSH%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95&oldid=805#1._.E3.83.AD.E3.83.BC.E3.82.AB.E3.83.AB.E3.81.A7DSA_.E3.82.AD.E3.83.BC.E3.81.AE.E7.94.9F.E6.88.90
http://public.kfs.uxu.jp/wiki/index.php?title=%E6%9C%80%E9%80%9F%E3%81%A7SSH%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95&oldid=805#2._.E5.85.AC.E9.96.8B.E3.82.AD.E3.83.BC.E3.82.92.E3.83.AA.E3.83.A2.E3.83.BC.E3.83.88.E3.83.9B.E3.82.B9.E3.83.88.E3.81.AB.E3.82.B3.E3.83.94.E3.83.BC
http://public.kfs.uxu.jp/wiki/index.php?title=%E6%9C%80%E9%80%9F%E3%81%A7SSH%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95&oldid=805#3._.E3.83.AA.E3.83.A2.E3.83.BC.E3.83.88.E3.83.9B.E3.82.B9.E3.83.88.E3.81.AB.E3.83.AD.E3.82.B0.E3.82.A4.E3.83.B3.E3.81.97.E3.80.81authorized_keys_.E3.83.95.E3.82.A1.E3.82.A4.E3.83.AB.E3.82.92.E7.94.9F.E6.88.90
http://public.kfs.uxu.jp/wiki/index.php?title=%E6%9C%80%E9%80%9F%E3%81%A7SSH%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95&oldid=805#4._.E5.8B.95.E4.BD.9C.E7.A2.BA.E8.AA.8D
http://public.kfs.uxu.jp/wiki/index.php?title=%E6%9C%80%E9%80%9F%E3%81%A7SSH%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95&oldid=805#5._putty.E3.81.8B.E3.82.89.E3.83.AD.E3.82.B0.E3.82.A4.E3.83.B3.E3.81.97.E3.81.9F.E3.81.84.E5.A0.B4.E5.90.88
更新:2009/12/21 10:27 カテゴリ: ソース・開発  > putty ▲トップ

No.1745 vim・putty:全角記号を入力すると半角に表示されてしまう。

全角記号を入力すると半角に表示されてしまう。 
サイズは半角でも、カーソル移動は全角なので、表示が乱れる。 

設定→ウィンドウ→変換「CJK用の文字幅を使用する」のチェック
更新:2009/11/18 12:06 カテゴリ: ソース・開発  > putty ▲トップ
3件中 1 〜 3 表示  1 

FuelPHP

Mac

web開発

プロマネ

マネタイズ

プレゼン

webサービス運用

webサービス

Linux

サーバ管理

MySQL

ソース・開発

svn・git

PHP

HTML・CSS

JavaScript

ツール, ライブラリ

ビジネス

テンプレート

負荷・チューニング

Windows

メール

メール・手紙文例

CodeIgniter

オブジェクト指向

UI・フロントエンド

cloud

マークアップ・テキスト

Flash

デザイン

DBその他

Ruby

PostgreSQL

ユーティリティ・ソフト

Firefox

ハードウェア

Google

symfony

OpenPNE全般

OpenPNE2

Hack(賢コツ)

OpenPNE3

リンク

個人開発

その他

未確認

KVS

ubuntu

Android

負荷試験

オープンソース

社会

便利ツール

マネー

Twig

食品宅配

WEB設計

オーディオ

一般常識

アプリ開発

サイトマップ

うずら技術ブログ

たませんSNS

rss2.0