SSHにアクセス制限を掛ける。
rootのログインを制限する
/etc/ssh/sshd_config
#PermitRootLogin yes
PermitRootLogin no
#PermitEmptyPasswords no
PermitEmptyPasswords no
su で root に昇格できるユーザを限定する (wheelグループに属するユーザのみが、rootに昇格できる設定)
[root@localhost ~]# usermod -G wheel logon_user ← wheelグループに属させる
念のために、wheelグループに属しているユーザを確認する
/etc/group
wheel:x:10:root,logon_user ← rootはもとからwheelグループに属していた
su の設定ファイルを修正
/etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.
### modify 2008/01/19
#auth required pam_wheel.so use_uid
auth required pam_wheel.so use_uid ← コメントをはずす
ここまでの設定で、「ユーザ名」「パスワード」を用いたログオンが可能になる
さらに、RSA鍵による認証を使う設定に変更する
鍵の作成。 実際にログオンするユーザでログオンし、ホームディレクトリで作業する
[logon_user@localhost ~]$ cd
[logon_user@localhost ~]$ ssh-keygen -t rsa ← SSH2の場合、RSA鍵を作成する
Generating public/private rsa1 key pair.
Enter file in which to save the key (/home/logon_user/.ssh/id_rsa): ← デフォルトでOKのため、リターンキー
Created directory '/home/logon_user/.ssh'.
Enter passphrase (empty for no passphrase): ← ユーザのログオンパスワードと違ってもOK(そのほうが、セキュリティ高い?)
Enter same passphrase again:
Your identification has been saved in /home/logon_user/.ssh/id_rsa.
Your public key has been saved in /home/logon_user/.ssh/id_rsa.pub.
The key fingerprint is:
90:e6:7a:62:6d:c0:3f:a6:df:9a:07:44:e8:05:47:19 logon_user@localhost.localdomain
[logon_user@localhost ~]$ cd .ssh
[logon_user@localhost .ssh]$ cp id_rsa.pub authorized_keys ← 認証するキーとして登録
[logon_user@localhost .ssh]$ ll -a
合計 32
drwx------ 2 logon_user user-group 4096 2008-01-19 10:22 .
drwx------ 4 logon_user user-group 4096 2008-01-19 09:38 ..
-rw------- 1 logon_user user-group 411 2008-01-19 10:22 authorized_keys
-rw------- 1 logon_user user-group 1761 2008-01-19 10:21 id_rsa
-rw-r--r-- 1 logon_user user-group 411 2008-01-19 10:21 id_rsa.pub
秘密鍵(id_rsa)をクライアント マシンにコピーする。
Windows端末で、Tera Term Pro を起動して、次のように接続する
「SSH2接続」を選択する
「ユーザ名」と、「秘密鍵のパスワード」を入力して、「RSA秘密鍵ファイル」を指定する
接続に成功すれば、鍵方式以外で接続させたくない場合は、設定ファイルを書き換える
/etc/ssh/sshd_config
#PasswordAuthentication yes
PasswordAuthentication no ← パスワード認証を禁止
※ 秘密鍵のパスワード変更
[logon_user@localhost ~]$ ssh-keygen -p
※ telnet-server の削除
telnet-server は、SSHを使う上では必要ないので、削除するかデーモンの自動起動をしないように設定する。(Fedora 8 では telnet-server はデフォルトでインストールされていない)
