Simpline BlogOpenSSH鍵認証まとめ

opensshの鍵交換について意外にまとまっているページが無いのでまとめてみる。

鍵の種類

現在はほぼssh2かつrsaがデフォルト。

公開鍵と秘密鍵

接続元ユーザの秘密鍵（SSH client）⇔接続先ユーザの公開鍵（SSH server）のペアで認証される。キーペアはどこで作成したものかは問われない（鍵の中に作成したホスト、ユーザの情報は持っていない）。ファイルは暗号化されたテキストファイルの為、コピー＆ペーストで操作しても問題はないが、適切なパーミッション（秘密鍵は600、公開鍵は644で良さそう）が設定されていないと正しく動作しない。Linuxなら/var/log/secureあたりを確認してエラーが出ていないか確認する。

※OpenSSHのバージョンが古いものは、SSH2のみ”authorized_keys2″としていたが現在は統一されている

※公開鍵に複数指定が必要な場合は改行して追記することが可能

鍵変換

SSH関連ソフトウェアの鍵生成ツールにはOpenSSH変換機能がある。PuttyGenなら、”Conversions→Import  key/Export OpenSSH key”等の操作でssh-keygenで作成した秘密鍵⇔OpenSSH鍵を相互に変換することができる。不要に鍵ファイルを増やすことが無いよう注意。

設定ファイル（SSH server）

OpenSSH serverの設定ファイルは/etc/ssh/sshd_config。デフォルトで鍵認証は許されているはずなので、よりセキュアな設定とする為にはパスワード認証は許可しない等の設定を追加する。もちろんパスワード認証拒否は公開鍵認証での接続が確認できてから。

設定ファイル（SSH client）

OpenSSH clientのデフォルト設定は/etc/ssh/ssh_config。オプション指定なしの場合にデフォルトで利用される秘密鍵等もここで定義されているが、ユーザ単位で操作する場合には、同一書式で、~/.ssh/configに記載しておくことで細かいオプションをHost指定で設定できる。詳細はssh_configのmanを参照。

# 設定サンプル
Host cent70
　　　　Hostname 192.168.x.x
　　　　PubkeyAuthentication no
　　　　User root

Host 86sol11
    Hostname 192.168.x.x
    IdentityFile ~/.ssh/id_rsa
    Port 22222
    User XXXX

sshコマンドオプション

覚えておくべきsshコマンドのオプションはこのくらい。

known_hosts

初めてsshサーバに接続した際に、接続元ユーザの~/.ssh/known_hostsにサーバのホスト公開鍵が保存される（追記型）。サーバのホスト鍵は前項の”接続先ホスト”に指定した名前単位（config指定のHost、名前解決できる名前、IPアドレス）で管理され、同一の名前で接続した先のホスト鍵が異なると、接続に失敗するので、known_hostsから該当行を削除（またはコマンドにより削除可能）する必要がある。

# はじめての接続
$ ssh aaaaa
Are you sure you want to continue connecting (yes/no)? 

# 同じ名前で異なるホスト公開鍵だった場合
$ ssh aaaaa
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

# known_hostsから接続先ホストの公開鍵を削除
$ ssh-keygen -R aaaaa
/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old