UNIX/common/SSH鍵認証 の履歴(No.1)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• UNIX/common/SSH鍵認証 へ行く。
  • 1 (2011-01-04 (火) 12:25:30)
  • 2 (2011-01-05 (水) 01:54:18)
  • 3 (2012-01-04 (水) 06:48:35)
  • 4 (2013-07-08 (月) 09:25:22)
  • 5 (2013-12-02 (月) 11:26:48)
  • 6 (2014-01-12 (日) 00:38:26)
  • 7 (2014-01-22 (水) 08:16:28)
  • 8 (2014-05-24 (土) 09:28:05)
  • 9 (2015-02-02 (月) 06:37:09)
  • 10 (2015-03-11 (水) 02:17:21)
  • 11 (2015-04-08 (水) 00:34:11)
  • 12 (2015-04-27 (月) 05:56:56)
  • 13 (2015-12-15 (火) 01:54:48)
  • 14 (2015-12-21 (月) 09:08:36)
  • 15 (2016-06-06 (月) 15:03:52)
  • 16 (2016-09-24 (土) 08:52:11)

---

OpenSSHを利用した。SSH公開鍵認証ログイン、SSL証明書、S/MIMEによる暗号化手順のまとめ

公開鍵認証方式に切り替えるメリット†

1. パスワードログインを無効にすることができる（見知らぬIPからの総当り攻撃の９９％はこれで遮断できる）
2. 秘密鍵を適切に管理する限りにおいてはパスワード認証よりも安全

SSH鍵交換方式によるログイン†

• パスワードと違い秘密鍵とパスフレーズ併用でログインする。画像付詳細は@ITの記事などを参考にされたし

大まかな流れとしては

1. クライアント側で秘密鍵と公開鍵の生成
2. 公開鍵のみサーバーのauthorized_keysに追加する。

クライアントOSや利用しているターミナルソフトにより、作成方法が違います。WindowsからLinuxにアクセスする場合は鍵生成ツールがセットになっていて、シンプルなputtyがお勧め。

windows†

sshkeygen.exeをputtyのページから入手。
rsa2で、ビットの長さを768ビットにする(redhat,vine,debian,FreeBSDで確認）
作った公開鍵を.ssh/authorized_keysに一行でコピー(途中に改行が入らぬように！）
authorized_keysのパーミッションを600にする（これをしないと無効）

linux†

• 公開鍵認証でログインしたいユーザーのホームディレクトリで以下のコマンドを実行

ssh-keygen -t rsa

ユーザーディレクトリの.ssh/id_rsa(秘密鍵)と.ssh/id_rsa.pub(公開鍵)が作成される。公開鍵をログインしたいサーバーに送る

• ここからログインしたいサーバー側作業に移る。

公開鍵はログインさせたいユーザーの.ssh/authorized_keysに公開鍵を追記すればいい。

cat id_rsa.pub >> .ssh/authorized_keys

上記のコマンドでなければ新規作成、あれば追記される。なおこのauthorized_keysのパーミッションは600にしておかなければ公開鍵認証は失敗する。ssh2が使えるのであればrsaよりもdsaを使ったほうが暗号化強度が高い。かぎ作成時に-t rsaとあるところを-t dsaに変更する。

linuxで作った鍵をputtyで使う†

1. 上記手順で作成
2. puttygenでインポートする。パスフレーズとコメントは修正可能

sshで接続した時に警告が出て接続できない場合†

各ユーザーの.sshにホスト名とホストの公開鍵を保存している。再インストールなどを行ってホストの公開鍵が変更されると、今までのホストの公開鍵と違うのでsshクライアントはワーニングをだす。puttyなら続行できるがlinuxのsshクライアントは続行させてくれない。以下のメッセージが出る。

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

• 対処法としては公開鍵を消せばよい。

rm ~/.ssh/known_hosts

なお、再インストールもしていないのにこのメッセージが出る時は本当におかしいのでdnsの設定などを確かめるべし。

ホストベースの認証の設定†

• ユーザ単位ではなくアクセス元ホストベースで公開鍵認証を行うことができる。

クライアント側で秘密鍵を元に公開鍵を作成し、サーバー側でその公開鍵を登録するという流れは変わらない。

クライアント側作業†

• 公開鍵の作成

これから調べる!!!

HostbasedAuthentication yes

SSL証明書の作成†

• 秘密鍵を作成してそれを基に証明書を作成する。主にSSLやSMIMEの利用のため

証明書の作成（CSRを作成しない最短手順）†

openssl genrsa -out server.key -des3 1024
openssl req -new -x509 -days 365 -key server.key -out server.crt

秘密鍵のパスフレーズを除去する(Apacheの再起動時にパスフレーズありだと都合悪いので）†

openssl rsa -in server.key -out server.key

証明書にまつわるファイル†

Windowsで使えるようにPKCS12形式に変換†

cat test.key test.crt | openssl pkcs12 -export -out client.p12 -name "test"

OpenSSLをHTTPSクライアントとして利用†

openssl s_client -connect www3.coins.tsukuba.ac.jp:https -state

自己認証局の作成†

/usr/local/openssl/misc/CA.shを利用する。

S/MIME†

S/MIME暗号化とは†

証明書を利用してメールの本体を暗号化するものである。証明書はSSLのものとまったく同一フォーマットでよい。また暗号化解除には証明書作成時の秘密鍵が必要となる。メールに使わなくても可逆暗号化方式として覚えておくとよい。

http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/029openssl.html

OpenSSLコマンドでS/MIME暗号化をする†

• 証明書があれば下記で暗号化可能。入力ファイルの日本語のエンコードはiso-2022-jpに変換しておく(nkf -j 元ファイル > 元ファイル-iso-2022-jp)

openssl smime -encrypt -des3 -in original.txt -out enc.txt server.crt
openssl smime -decrypt -des3 -in enc.txt -out decode.txt -inkey server.key -recip server.crt

• メール送信のための情報付で暗号化する場合

openssl smime -encrypt -des3 -in hoge.txt -out enc.txt -subject test -to [email protected] -from [email protected] tu.crt

• 上記ファイルの送信方法

sendmail -t < enc.txt

JDK付属のkeytoolで作成†

SMIME暗号化†

対応メーラー†

• outlook,Thunderbird,Becky(プラグインの導入が必要)