ssh

Other

ssh †

もっとsshd_configの中身を見直して見る †

用語
チャレンジ・レスポンス認証

• http://www.cool-r32.com/myserver/tips03.html

参考URL

• http://human.is.kyushu-u.ac.jp/~yosinori/ssh/index-j.html
• http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html

sshを鍵交換式にする †

1. 鍵を生成する

   ak@popowa:~$ ssh-keygen -t rsa
   Generating public/private rsa key pair.
   Enter file in which to save the key (/home/ak/.ssh/id_rsa):このファイル名でよ かったら、そのままEnterキーを押す
   Enter passphrase (empty for no passphrase):パスワードをいれる
   Enter same passphrase again:同じパスワードをいれる
   Your identification has been saved in /home/ak/.ssh/id_rsa.
   Your public key has been saved in /home/ak/.ssh/id_rsa.pub.
   The key fingerprint is:
   8c:6b:76:c9:87:9c:aa:f1:c2:a1:b2:34:af:cd:b5:ee ak@popowa

2. /home/ak/.ssh/id_rsa*をリモートサーバーの/home/ak/.ssh/に持って行く(scpとかなんかで)
3. *.pubを(authoriezd_keyファイルがなければ)mv id_rsa.pub authorized_keyにする
4. /etc/ssh/sshd_configを変更する

   # Lifetime and size of ephemeral version 1 server key
   KeyRegenerationInterval 3600
   ServerKeyBits 768
   # Logging
   SyslogFacility AUTH
   LogLevel INFO
   # Authentication:
   LoginGraceTime 600
   PermitRootLogin (yesをnoに変更)no
   StrictModes yes
   RSAAuthentication yes
   PubkeyAuthentication yes
   AuthorizedKeysFile     %h/.ssh/authorized_keys
   # Don't read the user's ~/.rhosts and ~/.shosts files
   IgnoreRhosts yes
   # For this to work you will also need host keys in /etc/ssh_known_hosts
   RhostsRSAAuthentication no
   # similar for protocol version 2
   HostbasedAuthentication no
   # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
   #IgnoreUserKnownHosts yes
   # To enable empty passwords, change to yes (NOT RECOMMENDED)
   PermitEmptyPasswords no
   # Change to no to disable s/key passwords
   ChallengeResponseAuthentication yes
   # Change to yes to enable tunnelled clear text passwords
   PasswordAuthentication yes[yesからnoに変更]
   # To change Kerberos options
   #KerberosAuthentication no
   #KerberosOrLocalPasswd yes
   #AFSTokenPassing no
   #KerberosTicketCleanup no
   # Kerberos TGT Passing does only work with the AFS kaserver
   #KerberosTgtPassing yes
   X11Forwarding no
   X11DisplayOffset 10
   PrintMotd no
   PrintLastLog yes
   KeepAlive yes
   UseLogin no
   #MaxStartups 10:30:60
   Banner /etc/issue.net[ログインしようとした際に表示させたいテキスト]
   Subsystem       sftp    /usr/lib/sftp-server
   UsePAM yes[yesをnoに]
   AllowUsers ak (shellアカウント名を載せる)

scp †

scponly †

scponlyといういかしたパッケージがある。

aptitude install scponly

で制限したいユーザーのshellを変える

chsh hoge-user
で
/usr/bin/scponly

としてエンターを押すとhoge-userはscpしかできなくなる。