- ベストアンサー
TeraTarmでSSH接続設定について
- さくらインターネットさんのVPS初期設定で躓いております。TeraTarmでSSH接続設定する方法を教えてください。
- TeraTarmでのSSH接続設定方法を教えてください。さくらインターネットさんのVPS初期設定で困っています。
- さくらインターネットさんのVPS初期設定で問題が発生しております。TeraTarmを使用してSSH接続する方法を教えてください。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
>次にAllowUsersを設定した場合なんですが >少し僕の頭は混乱してるのかもしれません・・・ >sshd_configでPermitRootLogin noを設定していた場合は >どのようになるのでしょう(-_-;) PermitRootLogin noでrootユーザでのssh接続を禁止し、AllowUsers ×××で特定ユーザーでのssh接続を許可する。 ということになります。 AllowUsersで指定するユーザーがsuコマントでのrootユーザーへの切り替えを許可してあれば「rootでssh接続」をする必要は無いはずです。 で、sshブルートフォースでは、ユーザー名root/パスワードを辞書から…なんていう接続試行があります。 PermitRootLogin yesだった場合に、辞書に載っているようなパスワードを使っていた場合は、管理者権限をプレゼントすることになります。 ログインできてしまった時点で「なんでもアリ」な権限を持っていることになりますから。 PermitRootLogin noなら、rootユーザーでの認証はとにかく失敗するので安全性が増す。ということになります。 AllowUsersで指定するユーザー名が"test"とか、そんなのだったら意味ありませんけどね。 # その上パスワードが"12345"とかだったら、管理者権限プレゼントも時間の問題かも知れません。 # ローカルユーザーからの権限昇格なセキュリティホールが残っている可能性はあるかもしれませんし。
その他の回答 (4)
- Wr5
- ベストアンサー率53% (2173/4061)
>操作方法をひとつひとつ学習しながら進めております。 >少し時間が掛かるかもしれませんが >ご容赦下さい。 自分で調べながら…という姿勢はよろしいかと思います。 が…… >さくらインターネットさんのVPS とのことなので、少なくともsshを非標準ポートにする。 とか、AllowUsersでログインするユーザーを限定する。 とかしておかないと、さっくりとクラックされてしまう場合がありますのでそのあたりはご注意を。 http://anond.hatelabo.jp/20101027215137 http://d.hatena.ne.jp/MonteCut/20111112/1321075650 ちなみに…以前、実験的に自宅サーバで22番ポート開けたらさくらのVPSからと思われるSSHブルートフォースアタックを受けました。 VPSで動作していたサーバがクラックされて踏み台にされた可能性が高い…ということに。 # まぁ、韓国と中国だけで90%以上ありましたけどね。
お礼
Wr5 様 貴重なアドバイス有難うございます。 またセキュリティ面も皆様にご迷惑をお掛けしないよう しっかりと学習し設定したいと思います。 Port変更の重要性は理解いたしましたので 必ず設定するようにいたします。 次にAllowUsersを設定した場合なんですが 少し僕の頭は混乱してるのかもしれません・・・ sshd_configでPermitRootLogin noを設定していた場合は どのようになるのでしょう(-_-;) 試したいところですが、その環境も構築出来ない 自分が腹立たしいです(^^ゞ もう少し初歩的な部分を今から勉強してきます。 また進捗はご報告させて頂きますので よろしくお願いいたします。
- notnot
- ベストアンサー率47% (4900/10359)
デフォルトだと、.ssh と .ssh/authorized_keys のパーミッション変更が必要です。 chmod -R go-w .ssh と、書き込み権限を少なくとも落としておく必要があります。特に理由が無ければ、 chmod -R go-rwx .ssh と、読み込みも出来なくしておくといいかと。このことが書いてないページというのは他にも怪しいですね。 PermitEmptyPassword no は、パスワードでログイン可能な場合に空のパスワードを許さないと言うことで、 PasswordAuthentication no で、パスワードのログインを禁止しているので、無意味です。 AllowUsers ×× は、そういう行を追加すれば、××というユーザだけがsshログインできますが、 PasswordAuthentication no だと、.ssh の設定をしたユーザしかログインできないので、わざわざ指定する意味はほとんど無いと思います。 なお、sshd_configの設定次第では上記ファイルの書き込み権限チェックを無くすことも出来るようですが、普通は知らなくていいでしょう。わざわざセキュリティを弱める必要は無いので。
お礼
notnot 様 アドバイスからご丁寧なご説明まで頂き 心よりお礼申し上げます、有難うございますm(__)m アクセス権限について勉強しておりましたが 理解する前に回答を頂けたので早速試させて頂きました! しかし、他にもおかしい箇所があるのか結果は同じでした・・・ 教えて頂いたコマンドを入力した後に下記コマンドを 打ってみた結果は下記です。 chmod -R go-rwx .ssh ls -l .ssh -rw------- 1 root root 396 may 31 11:59 authorized_keys この部分の全体像は何となく見えてきたのですが どこか初歩的な間違いがあったのかもしれません。 もう一度、OS再インストールからやり直してみます。 また結果をご報告させて頂きますのでよろしくお願い致します。
- Wr5
- ベストアンサー率53% (2173/4061)
>・・・別ウィンドウなどは表示は無く >TeraTarmのユーザ名・パスフレーズを設定する画面のままです。 いえ、サーバ側のログ…なんですが…… 認証失敗ならそれなりの記録が残っているのではないかと。 # sshd_configで記録するログレベルを変えてみるとかいうのもアリかも知れません。
お礼
Wr5様 アドバイス有難うございます。 なるほど、ログですね・・・ 仰る意味はとてもよくわかります! しかし、恥ずかしながら僕が知識不足なので 操作方法をひとつひとつ学習しながら進めております。 少し時間が掛かるかもしれませんが ご容赦下さい。 また進捗がありましたらご報告させて頂きます。 有難うございました。
- Wr5
- ベストアンサー率53% (2173/4061)
>11、接続を試みると「認証に失敗しました、再試行して下さい」とエラー で、この時になにかログに記録されていませんか? >5、ディレクトリ作成 .ssh >6、viで.sshディレクトリ内にauthorized_keysを作成 オーナーやグループ、あと特にパーミッションはどうなっていますか? # .sshディレクトリが他ユーザーでも読める状態だったりすると蹴られたと思いますが…。
補足
Wr5様 アドバイス有難うございますm(__)m >で、この時になにかログに記録されていませんか? ・・・別ウィンドウなどは表示は無く TeraTarmのユーザ名・パスフレーズを設定する画面のままです。 左上に下記の表示はございます。 ログイン中:IPアドレス 認証に失敗しました.再試行して下さい. >オーナーやグループ、あと特にパーミッションはどうなっていますか? 何も変更しておりませんでした(^_^;) さっそくチャレンジしてみますが、変更方法も知らない初心者です。 変更方法も勉強なので調べてチャレンジしてみます! また結果が出ましたらご報告させて頂きます。 ありがとうございました。
お礼
お礼が遅くなり大変申し訳ございません。 また貴重なご説明とアドバイス有難うございました。 おかげ様で僕の知識としては少しずつ理解出来ておりますが 完全では無いようで未だ接続は出来ておりません。 その後、他のサイトで案内されている方法もいくつか試してみましたが 結果は全く同じで接続には至っておりません・・・ 何か根本的なところに原因があるのかもしれません。 もう少し原因について絞込めたら また改めてご質問させて頂きたいと思いますので 一旦ベストアンサーとさせて頂きます。 ご丁寧なアドバイス誠に有難うございましたm(__)m