2007年11月25日
FreeBSDへの SSH での 「パスワード認証」ログイン
最近、特にインターネット上にUNIX系のサーバーに対する ログインは、セキュリティーの関係から Telnetではなく、ssh が利用されるようになっている。 今回は、最もセキュリティー的には低いが、 ssh を始めるにあたって最も簡単な認証タイプである 「パスワード認証」と 「root ログイン許可」を設定してみる。まず、いつものお断りですが、 以下にあげた方法は、セキュリティーレベルを低くする方法なので、 その点を十分に注意してください。 私の場合、新規サーバーをインストールした直後等に この設定を行い、とりあえずリモートから root でログインできる体制にして、 各種の設定が終わった後に、元に戻すようにしています。
ssh での認証タイプには、
- ホストベースド認証 (host-based authentication)
- 公開鍵認証 (public key authentication)
- チャレンジレスポンス認証 (challenge-response authen tication)
- パスワード認証 (password authentication)
ssh からの接続を受け取るデーモンは「 sshd 」であり、 この「 sshd 」の設定ファイルは、「 /etc/ssh/sshd_config 」である。 パスワード認証 (password authentication) についての設定も、 この /etc/ssh/sshd_config ファイル内の 「 PasswordAuthentication 」設定でおこなうことになっており、 デフォルトでは「 PasswordAuthentication no 」 となっているので、
PasswordAuthentication yesと 書き換える必要がある。
また、ssh から root で ログインする必要がある場合は、 「 PermitRootLogin 」設定を行う必要がある。 これもデフォルトでは 「 PermitRootLogin no 」となっているので、
PermitRootLogin yesと 書き換える必要がある。
/etc/ssh/sshd_config を変更した後には sshd を再起動して、新しい sshd_config を読み込ませてやる必要がある。 これに関して、FreeBSDマニュアル 「FreeBSD Manual「sshd -- OpenSSH SSH デーモン」」 には
sshd はハングアップシグナル SIGHUP を受け取ると、 自分の設定ファイルを読み込みなおします。 これは自分自身を開始したときのパス名 /usr/sbin/sshd を exec することによっておこないます。とある。 よって、/etc/ssh/sshd_config を変更した後には、
# ps ax | grep sshd 651 ?? Is 0:00.00 /usr/sbin/sshd # kill -HUP 651のように、sshd のプロセス番号を「 ps ax 」コマンドで調べて そこで判明したプロセス番号に対して、 「 kill -HUP プロセス番号 」とするとよい。
【参考リンク】
カテゴリー: FreeBSD , SSL/SSH 22:38 | コメント (1) | トラックバック (0)
2005年4月11日
SSL CERTIFICATE の更新(1)
今日は、SSL CERTIFICATE の更新を行った。
SSLとは、インターネット上の銀行とかショップなどにアクセスする際に、ブラウザーに鍵をかけるためのもの。 つまり、安全なデータ通信を行うための電子的証明書。
更新ということで、簡単にできるかと思っていたら、結局、新規に取得するのと手間はほとんど変わらなかった。また、1年前に行ったときの作業ドキュメントがいい加減だったため、ちょっとてこずってしまった。
SSLとか、動き出してしまうと、ほとんど触ることがないので、1年もすればすっかり忘れてしまっている。そのため、今回は、ちょっと時間がかかったが、ほぼ全てのオペレーションを記録したので、次回はすこしだけ楽できるかな。
現在、SKYMERICA で使っているSSLの認証局はGeoTrust。 よくわからない方は、GeoTrust日本語サイトもあるので、そこをご覧ください。
実際は、直接GeoTrustから取得している訳ではなく、その販売代理店のようなところから取得している。 といっても、CERTIFICATE自身を発行しているのはGeoTrust自身なので、別にセキュリティーに問題があるわけでもない。 例えれば、保険の販売に良く似ている。世の中に保険の代理店は沢山あるが、実際の保険を発行しているのは大手の保険会社。
わざわざCERTIFICATEを代理店を通して購入している理由は、単に、その方は安いから。 同じGeoTrustの証明書発行でも、代理店によって値段はまちまち。
これから導入の方は、いくつかの代理店の値段を調査してみた方が良いでしょう。
SSLとかについて書き始めると、きりがないので、今日はこの辺で。
ねた切れした時にでも続きを書きましょう。
カテゴリー: SSL/SSH 19:37 | コメント (0) | トラックバック (0)