CentOSインストール後すぐ使える。そのままだとあれなので、色々と変更。
[yebo blog]
OpenSSHのベスト・セキュリティ・プラクティス
http://yebo-blog.blogspot.com/2009/07/openssh.html
[SOURCEFORGE.JP]
SSHのセキュリティを高めるためのハウツー
http://sourceforge.jp/magazine/07/04/03/0148224
上記の一部実装
1.SSHプロトコル2のみ使用
sshdの設定による。
/etc/ssh/sshd_config
Protocol 2
2.rootログイン禁止、特定ユーザーのみ許可
sshdの設定によりPAM認証を行う。
/etc/ssh/sshd_config
UsePAM yes
/etc/pam.d/sshd
account required pam_access.so accessfile=/etc/security/access_sshd.conf
※設定は行頭から順に解釈されるため、行位置により挙動が変わる可能性あり。
/etc/security/access_sshd.conf
-:ALL EXCEPT 許可ユーザー名:ALL
3.アイドル・ログアウトの時間
sshdの設定による。
/etc/ssh/sshd_config
ClientAliveInterval 900
単位は秒。
4..rhostsを無効にする
sshdの設定による。
/etc/ssh/sshd_config
IgnoreRhosts yes
5.ホストベースの認証を無効にする
sshdの設定による。
/etc/ssh/sshd_config
HostbasedAuthentication no
6.パスワードによる認証は行わず、DSA鍵認証を利用する
sshdの設定とSSHクライアントの設定による。
1.クライアントにてDSA公開鍵、秘密鍵の生成
puttygen.exe 実行
パラメータ
生成する鍵の種類:SSH-2 DSA
生成する鍵のビット数:1024
行動
公開/秘密鍵ペアの生成:生成をクリック
マウスを空欄部分で動かす
鍵のコメント
ログイン時に表示されるの
鍵のパスフレーズ
ユーザーアカウント用パスワードとは別の物(半角スペースOK)
行動
生成した鍵の保存:公開鍵の保存をクリック
たとえば id_ssh_client_ユーザー名.pub
生成した鍵の保存:秘密鍵の保存
たとえば id_ssh_client_ユーザー名.ppk
puttygen.exe 閉じる
2.生成した公開鍵をサーバーにコピー(平文転送不可)
httpsなwebminを開く
その他:アップロードとダウンロード
サーバーへアップロード
Files to upload の参照をクリック
1で保存した公開鍵を指定
File or directory to upload to を /home/接続ユーザー名/.ssh に
Create directory if needed? を チェック
Owned by user を 接続ユーザー名 に
アップロードをクリック
3.SSH接続するユーザーのホームフォルダ/.ssh/authorized_keys の末尾に加える
サーバーへssh接続
ssh-keygen -i -f ~/.ssh/転送した公開鍵のファイル名 >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh/
4.sshd_config の修正
/etc/ssh/sshd_config
PubkeyAuthentication yes
PasswordAuthentication no
参考
[マイコミジャーナル]
セキュリティ高めSSH経由でブラウジングする方法
http://journal.mycom.co.jp/news/2010/03/30/009/index.html
[ITmedia エンタープライズ]
Linux Tips
sshでログイン可能なユーザーを限定させたい~PAM制御編~
http://www.itmedia.co.jp/help/tips/linux/l0412.html
[STACK*]
IT技術情報>システム/サーバ運用>PAM認証
7. PAMモジュール
http://www.stackasterisk.jp/tech/systemManagement/pam01_02.jsp
というメモ。