VPSにログインする時、今まで頑なに認証鍵方式を導入せずにパスワードでログインしていたんだけど、やっぱりセキュリティ的にちょいと不安なので導入してみた。

キーが無ければログイン出来ないってのはやっぱり安心だよね。

※注意

下記設定を終了してから行なって下さい。

VPSセキュリティ設定

【さくら】VPSサーバーのパフォーマンスを向上させる。【DTI】

【セキュリティ】sshでのrootログインを禁止する【乗っ取り対策】

認証鍵方式とは

読んで字のごとく、サーバーにログインするための鍵が必要になるログイン方式。

キーを持っている端末じゃないと一切ログイン出来なくなる。

恐ろしいほどセキュリティが強固になるが、逆に言うと鍵をなくすとログイン出来なくなるので注意が必要。

認証鍵を作る

とりあえず鍵を作らないと始まらない。

認証鍵を作る。

Macの場合

ターミナルを起動する。

起動したら下記コマンドを入力。

$ ssh-keygen　エンターキー

するとどこに鍵を作るか聞かれるので、そのままエンターを返す。

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/ユーザー名/.ssh/id_rsa):　エンターキー

パスワードを聞かれるので、パスワードを返す。

Enter passphrase (empty for no passphrase):　パスワードを入力

2度聞かれるので同じパスワードを返す。

これで鍵は作成された。

Finderを開いてCommand+Shift+Gを押し、フォルダの場所を入力：に

~/.ssh

と入力し、.sshフォルダに移動。

.sshフォルダは隠しフォルダのため、通常の設定だと見ることが出来ないのでこういう移動をする。

.sshフォルダを開いたら、フォルダ内のid_rsa.pub（公開鍵）をテキストエディタで開く。

中のテキストをコピーする。

Windows（TeraTerm）の場合

TeraTermを開き、設定→SSH鍵生成(N)…をクリック。

生成(G)をクリックし、鍵を作ったら鍵のパスフレーズ：とパスフレーズの確認：に同一のパスワードを入力し、公開鍵の保存、秘密鍵の保存をクリックして鍵を保存する。

鍵を保存する場所を聞かれるが、今回はドキュメント上に保存。

ドキュメントフォルダ内にあるid_rsa.pub（公開鍵）をテキストエディタで開き、中のテキストをコピーする。

VPSでの設定

公開鍵用ディレクトリの作成

ログインしてもrootにならず、まずディレクトリの作成。

[kuzunoha@ ~]$ mkdir .ssh　エンターキー

ディレクトリ.sshが作成された。

公開鍵の作成

先ほど生成した公開鍵をVPSにコピーする。

[kuzunoha@ ~]$ vi ~/.ssh/authorized_keys　エンターキー

まっさらなファイルが開くので、コピーした公開鍵のテキストをペーストする。

貼り付けたら:wqで保存。

必ず間違い無くコピーされているか確認すること！

間違っているとログイン出来ず、悲惨なことになる。

権限をrootに変更

【セキュリティ】sshでのrootログインを禁止する【乗っ取り対策】

での設定によりsshでのrootログインを禁止したので、スーパーユーザー（root）に権限を昇格させる。

[kuzunoha（ユーザー名）@ ~]$ su　エンターキー

rootバスワードを入力する。

[root@ kuzunoha]#

になればrootに変更された。

カレントディレクトリに移動。

[root@ kuzunoha]# cd エンターキー

カレントディレクトリに移動し、rootでログインした時と同じ

[root@ ~]#

になる。

パーミッションの変更

さっき作ったディレクトリと公開鍵のパーミッションを変更する。

[root@ ~]# chmod 700 /home/ユーザー名/.ssh/ 　エンターキー

[root@ ~]# chmod 600 /home/ユーザー名/.ssh/authorized_keys　エンターキー

これでパーミッションは変更された。

sshdの編集

sshdを認証鍵に対応させる。

[root@ ~]# vim /etc/ssh/sshd_config　エンターキー

42行目あたり

#PermitRootLogin no

#を削除し、

PermitRootLogin no

に変更。

47行目あたり

#RSAAuthentication yes

#を削除し、

RSAAuthentication yes

に変更。

48行目あたり

#PubkeyAuthentication yes

#を削除し、

PubkeyAuthentication yes

に変更。

49行目あたり

#AuthorizedKeysFile　.ssh/authorized_keys

#を削除し、

AuthorizedKeysFile　.ssh/authorized_keys

に変更。

64行目あたり

#PasswordAuthentication yes

#を削除してyesをnoに変更し

PasswordAuthentication no

に変更。

65行目あたり

#PermitEmptyPasswords no

#を削除し、

PermitEmptyPasswords no

に変更。

96行目あたり

#UsePAM no

#を削除し、

UsePAM no

に変更。

97行目あたり

UsePAM yes

に#をつけてコメントアウトし、

#UsePAM yes

に変更。

すべて変更したら:wqで保存。

sshdの再起動

変更を適用するため、sshdを再起動する。

[root@ ~]# service sshd restart　エンターキー

エラーも出ず再起動すればVPSの設定は終了。

まだターミナルのセッションは閉じず維持しておく事！

ログインしてみよう

Macの場合

コンソールでログインする場合は、いつもどおりログインする。

$ ssh -p 10022 ユーザー名@IPアドレス　エンターキー

Moshの場合、キーの場所をConfigに書き入れる必要がある。

$ vi ~/.ssh/config　エンターキー

開いたら下記のようにIdentityFile ~/.ssh/id_rsaを書き足す。

Host vps
HostName VPSのIPアドレス又はドメイン名
User VPSログインユーザー名
Port 10022
IdentityFile ~/.ssh/id_rsa

パスフレーズを聞かれるので、キーを作った時のパスワードを入力してログインする。

うまくログインできたら成功。

出来なかったら再度見直す。

そのために設定終了後も修正できるよう、セッションを閉じていない。

Windowsの場合

TeraTermでログインする時に、パスフレーズは認証鍵を作った時のパスワードを入力し、RSA/DSA鍵を使うにチェックを付け、秘密鍵の場所を指定する。

ドキュメントフォルダに保存していれば、秘密鍵(k):ボタンを押せば一発で出てくると思う。

ログイン出来れば成功。

短いパスワードの人はやっておいたほうがいい

VPSは常日頃から攻撃されているので、しょぼいパスワードにしているとクラックされる。

そんなことをされたら個人情報をたっぷり抜き取られるので、パスワードを長くするか、認証鍵方式でのログインをおすすめする。

でも、鍵は無くさないようにSDカードにでも保存して大事な物入れにでも入れておこう。

秘密鍵を別のMacでも使う場合は、認証鍵id_rsaを別のMacの~/.ssh/にコピーした後、

$ chmod 600 ~/.ssh/id_rsa　エンターキー

を行なってパーミッションの変更するのを忘れずに。

しないとログイン出来ない。