「【鍵なしは】ssh接続を認証鍵方式にしてみた【シャットアウト】」への11件のフィードバック

1. TS 2012年6月3日 1:00 AM

   お世話様です。
   現在DTIのVPSで使っております。
   くずのは様の
   「VPSパフォーマンス向上」
   「rootログイン禁止」
   「認証鍵方式」
   すべて上手くいった様なのですがsshd再起動のコマンドだけは何故か以下のエラーが出てしまいます。

   bash: service: command not found

   su化(root昇格)してもカレントディレクトリに移動しても同じです。
   「rootログイン禁止」のところで一旦一般ユーザをexitしrootにて直接ログインすると記事通り2つのOKが出ました…。
   「認証鍵方式」のところではそのまま放置していますがターミナルからリモート接続しようとするとMacのホップアップPass入力要請→ターミナルにてユーザPass入力要請となり問題なくログイン出来ております。
   とりあえずログイン出来ているとゆう事は大丈夫と思っていても構いませんかね…。
   ちなみに私のOSバージョンは10.6.8です。
   よろしくお願い申し上げます。

   返信 ↓
   1. 葛葉 キョウジ（管理人） 投稿作成者2012年6月3日 2:00 AM

      多分大丈夫じゃないです。
      認証鍵方式のログインになると、
      ターミナルに接続→鍵へのアクセスパスワード入力→VPSサーバーに接続と言う流れになるので、
      ターミナルでのパスワード入力はなくなります。

      DTIのVPSはserviceコマンド使えないのかな？
      /etc/rc.d/init.d/sshd restart
      で再起動しないですかね。

      返信 ↓
2. TS 2012年6月3日 3:07 AM

   ありがとうございます。
   レス記述のコマンドで無事再起動致しました。
   お手数おかけして申し訳ございません。

   その後、パスのキーチェーン登録ですんなりログインに至ったのには驚きました。w

   返信 ↓
   1. 葛葉 キョウジ（管理人） 投稿作成者2012年6月3日 2:34 PM

      キーチェーン登録しちゃうとVPSのパスワード入力がなくなるので、
      自分しか使わない端末であればいいですけど、
      モバイル機だとキーチェーン登録はやめたほうがいいかもしれませんね。

      返信 ↓
3. きんちゃん 2012年6月6日 8:06 AM

   お世話になります。きんちゃんです。
   いくつか気づいた点を述べさせて頂きます。

   (1)

   root （権限）になってから、

   [root@ ~]# chmod 700 /home/ユーザー名/.ssh/ 　エンターキー
   [root@ ~]# chmod 600 /home/ユーザー名/.ssh/authorized_keys　エンターキー

   されていますが、.ssh や .ssh/authorized_keys を作ったのは
   ホームディレクトリですから、ユーザー自身でも

   $ chmod 700 ~/.ssh
   $ chmod 600 ~/.ssh/authorized_keys

   と出来ます。root でやられたのは何か意図が有るのでしょうか？

   (2)

   公開鍵認証での接続設定が終了したら、今までのパスワード認証ログイン手続きでは
   ログインできないことを必ずチェックしておくのが良いでしょう。

   なお、sshd_config の編集において

   UsePam Yes

   として、接続ユーザーの制限などの設定をした場合に

   PasswordAuthentication no

   はしたけど、

   ChallengeResponseAuthentication no

   を忘れると、パスワード認証ログインが以前と同様に出来てしまうというのが、
   公開鍵認証を設定時の定番ミスです。
   今回の

   UsePam No

   設定では不要ですが、

   ChallengeResponseAuthentication no

   としておくのは転ばぬ先の杖になるかもしれません。

   (3)

   今まで使っていた、パスワード認証ログインで使っていたパスワードと
   今回の公開鍵認証で使用するパスワードを区別するためにパスフレーズという名称が使われていますので意識して使い分けるのがベターと思います。
   また、内容を同じものにしても動作に支障はないのですが、意識を持って使用するために、また、セキュリティ向上にも寄与すると思いますので、パスワードとパスフレーズは別の物を設定されるのがより良いでしょう。
   何が言いたいかというと、パスワードとパスフレーズをきちんと区別しましょうって事です。

   (4)

   秘密鍵を無くす、パスフレーズを忘れてしまった他、どうしようも無くなった場合は、
   さくら VPS でしたら、コントロールパネルからリモートログインして復旧を試みることが出来る
   旨の記述もあっても良いかなと思いました。
   DTI さんや KDDI、お名前などの VPS ではリモートログインがどうなっているのか知りません。

   ちなみに、秘密鍵のパスフレーズをクラックする方法があります。
   かなり大雑把ですが、Core i7 のＰＣを使って秘密鍵のパスフレーズ解析すると。。。。。

   ５文字　１時間以内
   ７文字　１日以内
   ８文字　１ヶ月以内
   ９文字　一桁年単位
   １０文字　１００年以上

   程度でクラック出来ます。
   というわけで、秘密鍵を盗まれる事が前提ですが、万一それが起こった場合、上のデータから、７文字以内のパスフレーズは気休め程度にしかならないことは覚えておいて良いかもしれません。
   さて、あなたのパスフレーズは何文字ですか？:-)

   ではでは

   返信 ↓
   1. 葛葉 キョウジ（管理人） 投稿作成者2012年6月6日 2:20 PM

      絶対パスを指定しているのは、
      当ブログの読者はVPSの初心者も多いので、
      実際の場所を視覚的に理解してもらうためです。
      一般ユーザーでログインする場所がどこなのかわかるようにってことで。
      なのでrootでアクセス権を変更している事自体は特に意味はないです。

      ChallengeResponseAuthentication no
      は別にいいかなと思ったんですけど、やっておくと安心ですね。
      入れておきます。

      パスワードは16文字にしてたんですけど、それなら自分が死ぬまでは破られそうにないですねｗ

      返信 ↓
      1. 葛葉 キョウジ（管理人） 投稿作成者2012年6月6日 2:24 PM

         変更しようと思ったらさくらはデフォでChallengeResponseAuthentication noになってました。

         返信 ↓
         1. きんちゃん 2012年6月7日 5:20 AM

            くずのは様、お疲れ様です。

            １６文字とは、完璧ですね。私より多いです。:-)

            で、仮に、ムーアの法則が正しいとすると、５年で１０倍、２０年で１万倍、４０年で、１億倍　程度となり、集積度と計算速度が１対１で比例するなら４０年後には現在の１億倍の速度で計算できるわけで、、めちゃくちゃ大雑把ですが、１０文字パスフレーズ解析は１分程度で可能。でも、１６文字だと、やっぱり１０万年くらいはかかります。
            くずのは様が、あと８０年生きられると、１億の２乗（単位が分かりません orz）倍となりますので、、１６文字でも有意な時間内にクラックできるようになるかもしれません。:-)

            ではでは

            返信 ↓
            1. 葛葉 キョウジ（管理人） 投稿作成者2012年6月7日 3:00 PM

               普段、流失してもいいパスワード１と、ある程度重要なところに使うパスワード２を使っています。
               で、その二つは８文字なんですけど、最重要なところにはそれを２つつなげて使っていますｗ
               なので、長くても忘れることはありませんｗ

               クラックよりもiPhoneおっことすほうが怖いです(；´Д｀)ｗ
4. 通りすがり 2012年9月17日 8:50 PM

   自分のパスワード構成について詳しく書かないほうがいいんじゃないかなぁ、と。

   返信 ↓
   1. 葛葉 キョウジ（管理人） 投稿作成者2012年9月17日 9:33 PM

      ご心配ありがとうございます。
      ダミーなので大丈夫です。
      今は1Passwordで生成したパスワードにしています。

      返信 ↓