• ベストアンサー

SSHのパスワードログインの安全性

SSH(1)のssh_configで PasswordAuthentication を yes とすると、SSHログイン時に、plain passwordが使えますが、この場合、やはり普通にrloginするよりも安全なのでしょうか?それとも同じなのでしょうか。 御回答いただければ幸いです

  • sonoj
  • お礼率91% (11/12)

質問者が選んだベストアンサー

  • ベストアンサー
  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.2

こんにちは 確かにPlain_Passwordでのログインでも、コネクションは、暗号化されます。 全く見ず知らずの、悪意ある第三者からはJoeでも探られない限り、進入はされないでしょう。 しかし、例えば会社の同僚や、出入りしている業者さんなどに、万が一パスワードが漏れれば・・・ 入ってこられますね。 やはり、ここはRSAを利用した方がいいと思います。 また、RSAで秘密鍵(Private)を生成し(これもコンソール上が基本です)それをローカルホストに移すときも、できれば、FDD等の物理的手段を使いましょう。 DOSフォーマットのフロッピーで、win系のマシンに秘密鍵をコピーし、テラターム等でアクセスするのが基本だと思いますよ。

sonoj
質問者

お礼

回答ありがとうございます。 今はRSAでやっていて、何かの時のために、PasswordAuthenticationを許可しているのですが、ユーザが少し増えたら禁止にしようと思います。 物理手段が良いのはわかりましたが、レンタルしていて、どこか遠くにあるサーバの場合はやはりダメですよね?

その他の回答 (2)

  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.3

>物理手段が良いのはわかりましたが、レンタルしていて、どこか遠くにあるサーバの場合はやはりダメですよね? だめですね・・・・(^^; てっきり自主サーバーだと勝手に判断してしまいました。 すいません。 まあ、現在RSA接続をすでにしていると言う事で、問題ないと思います。 ただ、plaintaxtでの接続は、やはりnoにするべきですね。 それでは

sonoj
質問者

お礼

今回は借り物サーバなのでダメですが、自主サーバもありますので、そちらに設定するときにはFDでやってみようと思います。ありがとうございました。

  • selenity
  • ベストアンサー率41% (324/772)
回答No.1

sshdとの暗号化セッションが確立されなければ パスワードは聞いてきません。 sshがエラーを出力して、プロンプトに戻るはずです。 ですから、一応Plain passwordを入力しても SSHの暗号化セッションの中ですから安全と言えば 安全なのですが、過信が禁物です。 できれば「PasswordAuthentication」は使わず、 RSAAuthenticationのみにしましょう。

sonoj
質問者

お礼

早速の回答、ありがとうございます。 一応安全なのですね。 セッション確立後にパスワードを聞いてくるのであれば、一応一安心です。 でも今後はRSAでやろうと思います。 ありがとうございました。

関連するQ&A

  • rootでのsshログインを許可したいのですが、何故か出来ません。

    rootでのsshログインを許可したいのですが、何故か出来ません。 sshサーバ環境 CentOS release 5.5 (Final) OpenSSH_4.3p2 sshサーバの「/etc/ssh/sshd_config」の内容は以下の通りです。 #「/etc/ssh/sshd_config」 Protocol 2,1 ListenAddress 0.0.0.0 SyslogFacility AUTHPRIV PermitRootLogin yes RSAAuthentication yes PubkeyAuthentication yes IgnoreRhosts yes PermitEmptyPasswords no PasswordAuthentication yes ChallengeResponseAuthentication no GSSAPIAuthentication yes GSSAPICleanupCredentials yes UsePAM yes AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server #---------- なお、その他の項目はコメントアウトされています。 調べてみますと「PermitRootLogin」をyesにしてsshdを再起動(/etc/rc.d/init.d/sshd restart)すれば良いとありますが、それでもrootでsshログインが出来ません。なお、一般ユーザではsshでログイン可能です。 sshdサーバでの「/var/log/secure」では、以下のようにあります。 Aug 27 16:52:22 hogehoge sshd[2543]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.com user=root Aug 27 16:52:25 hogehoge sshd[2543]: Failed password for root from xxx.xxx.xxx.xxx port 37192 ssh2 原因として何が考えられますでしょうか。

  • RedHat6 SSH

    おそれいります。 RedHatEnterpriseにて、sshを開通させようとしているのですがうまくいきません。 ssh-keygen -t rsa ⇒ ssh-copy-idにてauthorized_keysを作成しました。 デーモンで立ち上げると接続できず、/usr/sbin/sshdで立ち上げると、クライアントからログインできるので、鍵のペアはとおっている模様です。 sshd_configの設定の問題なのか、様々試しましたがダメでした。 StrictModes yes PubkeyAuthentication yes RSAAuthentication yes PermitRootLogin no ChallengeResponseAuthentication no PermitEmptyPasswords no PasswordAuthentication no GSSAPIAuthentication yes GSSAPICleanupCredentials yes IgnoreRhosts yes IgnoreUserKnownHosts no PrintMotd yes StrictModes yes 以上のように設定しています。 よろしくお願いします。

  • sshdでパスワード認証を禁止できない

    sshdでパスワード認証を禁止したいのですが、できません。 現在は、公開鍵認証でログインでき、パスワード認証でもログインできてしまう状態です。 ■やっったこと サーバー側から、「/etc/ssh/ssh_config」を以下のように修正 コメントアウトを外して、yesをnoに変更 【変更前】 # PasswordAuthentication yes 【変更後】 PasswordAuthentication no sshdのリスタート linux:/ # /etc/init.d/sshd restart Shutting down SSH daemon done Starting SSH daemon done 以下は、パーミッション700で、そのユーザーがオーナーになってます。 /home/ユーザー/.ssh /home/ユーザー/.ssh/authorized_keys2 ■状況 ・秘密鍵を使用したパスフレーズでログインできます。 ・パスワードでもログインできてしまいます。 ・PuTTYとWinSCPの2つで試しました。 パスフレーズとパスワードは、別の文字です。8桁 ■環境 サーバー側 ・SuSE Linux9.3 クライアント側 ・Windows2000 SP4 ・PuTTY Release0.58-jp20050503 ・WinSCP バージョン3.8.0(ビルド312) 宜しくお願いします。

  • SSHサーバーとPAMについて

    現在SSHサーバーを立てて内部、外部からログインをして、sshd_configファイルをいじりながら勉強をしています。 一点ご質問がございます。 「sshd_configファイルにある、UsePAMの項目をNOにするとログイン可、YESにするとログイン不可になります。PAM認証についてインターネットで調べたのですが、どうして、UsePAMの項目をYESにするとログインが不可になるのかが理解できませんでした」 もし解る方がいましたら教えて頂けないでしょうか。 宜しくお願いします。

  • 特定ホストからのみSSHでのrootログインを許可

    2台のサーバ間でrootユーザー所有のファイルの同期を rsyncで行う為、ssh_configでrootログインを許可しています。 ココでセキュリティの関係上、sshでのrootログインを特定の ホストからのみ許可したいと思ってます。 /etc/security/access.confに以下を追記 -:root : ALL EXCEPT 192.168.**.**. /etc/pam.d/sshdに以下を追記 account required pam_access.so /etc/ssh/sshd_config UserPAM yes と言う設定をしましたが、これ以外に有効な方法はありますでしょうか? (この方法だと厳密には、「認証を通さない」設定になるかと思います) ありましたら、教えて頂きたいと思います。

  • パスワードなしで ssh のログインを行いたい

    http://www.okweb.ne.jp/kotaeru.php3?q=588282 の続きです いろいろ回答をいただいて問題点が少しはっきりしたので、質問の焦点を絞って再投稿します。 2台の Windows XP の PC に、Cygwinをいれ、OpenSSH サーバをたてています(サービスとして動かす)。  「パスワードなしで ssh のログインを行いたい」 のですが、うまくいきません。設定は、次のように行いました。 (1) クライアントPCで公開鍵をつくる   $ ssh-keygen -t rsa で(パスフレーズを空白にして)公開鍵を作成(identity.pub) (2) ホストPCに鍵をコピーして、   % cat identity.pub >> .ssh/authorized_keys のように、authorized_keys に鍵の内容を追加する。 Linux がホストの場合は、以上の手続きで「パスワードフリー」になったのですが、 Cygwin ではだめです。   $ssh -1 192.168.0.5 1   Permission denied.   $ ssh 192.168.0.5   Permission denied (publickey,keyboard-interactive). のようになって、失敗してしまいます。

  • ubuntu12.04上でのssh-addについて

    以前、ubuntu11.10上でgitを利用していたときは、一度、『ssh-add キーのパス』を入力しておけば、その後ログイン時に一度パスフレーズを入力すればよかったような気かするのですが、12.04上では、ログインの度に『ssh-add キーのパス』を入力しなければいけなくなってしまいました。 ~/.ssh/configも作成してキーの位置も指定しているのですが、うまくいきません。 『ssh-add』後は問題なく接続できています。 何か設定を忘れているのでしょうか? そもそも、configファイルを読み込んでいない気もします。 お手上げ状態です、よろしくお願いします。

  • sftpのパスワードなしでログイン

    sftpのパスワードなしで自動化をしたいと考えています。 シェル内で他の処理をして、その後sftpで他のサーバーへコピー(put)します。 シェル内にsftpの起動する内容を記載するのですが、どうしてもパスワードを聞かれてしまいます。 調べてみるとSSH公開鍵認証を使用してパスワードなしのログインが出来るとありました。 試してみたのですが、どうしてもうまくログインできません。 原因と対応策を教えて頂けませんでしょうか。 OS:AIX5.3 おこなった作業は以下です。 サーバー側(ファイルを受ける側) 1、ユーザーのホームディレクトリ上でssh-keygen -t rsa を実行 2、.sshにid_rsa、id_rsa.pubができるので、id_rsa.pubをauthorized_keysへ変更する。 3、authorized_keysをクライアントに送る。 4、id_rsa、authorized_keysのアクセス権を600にする。 5、sshd.confgを編集 <編集箇所> RSAAuthentication yes   →コメントアウト PubkeyAuthentication yes  →コメントアウト AuthorizedKeyFile .ssh/authorized_keys  →コメントアウト PasswordAuthentication no →コメントアウト、yesをnoに変更 PermitEmptyPasswords yes →コメントアウト、noをyesに変更 ChallengeResponseAuthentication no →コメントアウト、yesをnoに変更 6、保存してsshdを再起動 クライアント側(ファイルを送る側) 1、ホームディレクトリの.sshにauthorized_keysを配置する。 2、authorized_keysのアクセス権を600にする。 3、sshdを再起動 以上の作業の後にクライアントからsftpでログインしようとすると、 以下のメッセージが出てしまいます。 sshも同様です。 (ログインしてホームディレクトリにいるとします) $ sftp -i ./ssh/authorized_keys ユーザー名@ホスト名 Enter passphrase for key '.ssh/authorized_keys': Permission denied (publickey). Connection closed $ ssh -i .ssh/authorized_keys ユーザー名@ホスト名 Enter passphrase for key '.ssh/authorized_keys': Permission denied (publickey).

  • ssh の仕組み

    ssh の仕組みについて、よくわからない事があるので、よろしくお願いします。 (サーバの設定) ・/etc/ssh/sshd_config ファイルの編集をして、ルート権限ログインできないようにする。 ・デーモンを起動する。 (クライアントの設定) 1#ssh-keygen -t rsa 2#mv id_rsa.pub authorized_keys2 3#ssh hoge@192.168.x.x 4#rsa を入力 5#known_hostに関してのプロンプトに、yesで答える 6#パスワードを入力 上記の手順を踏んだとき、 まず、 (質問1:) 4のrsaを入力というのは、 相手側に自分の公開鍵を渡すと言う事でいいのでしょうか?? (質問2) これで、ログインした場合、サーバはその公開鍵を使って、暗号化→クライアントはそれを自分の秘密鍵(id_rsa)により、復号化。という解釈でいいのでしょうか? (質問3) 質問2の場合、クライアントから、サーバに送信するメッセージは暗号化されていないのでしょうか? (質問4) /etc/ssh/sshd_configの設定で、RSAAuthorized no にしてしまったら、 暗号化されないで、平分で、データが流れてしまうのでしょうか? (質問5) 結局のところ、SSHというものは、ユーザのパスワードを知っていたら、簡単に侵入ができるようなものなのでしょうか? (質問6) 上記の手順自体が全く間違っているのでしょうか? (質問7) ~/.ssh/known_hosts の中に入っているデータはいったいなんなんでしょうか??(相手の公開鍵??) /* 長くなりましたが、答えれる部分でいいので、よろしければお答えいただけないでしょうか。どうか、よろしくお願いします。

  • 公開鍵でのログイン設定について

    さくらのVPSサーバの設定をしています。 公開鍵を利用したログインの設定を、以下の手順で行いました。 ・PuTTY Key Generatorで鍵ペアの作成  SSH-2 RSA(1024byte)パスフレーズ付き ・private kyeをローカルに保存して、PuTTYで読み込みファイルとして設定 ・publick keyを ~/.ssh/authorized_keys へ保存 ・/etc/ssh/sshd_configを設定(以下、有効な行を抜き出します) Port 22 Protocol 2 ServerKeyBits 1024 SyslogFacility AUTHPRIV PermitRootLogin no RSAAuthentication yes PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no GSSAPIAuthentication yes GSSAPICleanupCredentials yes UsePAM yes AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server 上記でログイン時にパスフレーズを求められるので、 公開鍵方式でログインできているのだと思うのですが いろいろなサイトを見て、以下の行のコメントを外す必要があるんじゃないかと思っています。 #PubkeyAuthentication yes #AuthorizedKeysFile ~/.ssh/authorized_keys ただ、この2行を有効にするとログインできず、Server refused our keyと表示されてしまいます。 公開鍵の認証をコメントアウトして、鍵の場所すら設定していないのに 公開鍵でログインできるものなのでしょうか?