openssh
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
*OpenSSH Configuration Manula [#v27442b3]
RIGHT:OpenSSH最新バージョン
RIGHT:2005/2/11 現在
RIGHT:OpenSSH 4.0
RIGHT:putty 0.57
*目次 [#b511713d]
#contents
**sshd_configの設定 [#y8d27b96]
Port 22
Protocol 2
ListenAddress 192.168.100.1
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
PermitRootLogin no
#RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysFile .ssh/authorized_keys2
# rhosts authentication should not be used
RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts no
# For this to work you will also need host keys in /etc/...
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# To disable tunneled clear text passwords, change to no...
PasswordAuthentication no
PermitEmptyPasswords no
# Change to no to disable s/key passwords
ChallengeResponseAuthentication no
X11Forwarding no
Banner /some/path
#Subsystem sftp /usr/libexec/openssh/sftp-server
**OpenSSHのセキュリティ設定 [#yf1c599d]
***Windowsから公開鍵認証を用いてログイン [#hcb6a754]
はじめは、キーペアの作成を行う。
キーペアはPuTTYgenを用いて作成する~
&ref(http://www.hope-net.jp/pukiwiki/images/ssh01.gif);~
SSH2-DSAキーを選択し、キーサイズを2048ビットに設定。
Generateをクリックしキーペアが出来たら、秘密キーにパスフ...
公開キーは「key.pub」
秘密キーは「key.ppk」
として保存する。
キーが作成できたら公開キーをホスト側に転送しなければなら...
しかもPuTTYで作成したキーを使って、そのままの形でOpenSSH...
PuTTYのキー形式からOpenSSHの形式へ変換する必要がある。
ssh-keygen -f key.pub -i > ~/.ssh/authorized_keys
はじめは変換が必要だとは知らずにかなり手間取った。
ということで忘れずmemo!
あと一応パーミッションを確認。700でなければならないので。
chmod 700 ~/.ssh/
Windows側ではPuTTYを用いて作成した公開キーを指定してログ...
特に書くこともないだろう。
***ログインユーザの制限 [#f2611f72]
システムユーザの誰もがSSHアクセスできることを許可する必要...
アクセスできるユーザを制限したい場合は以下のような設定をs...
AllowUsers testuser
DenyUsers all
もし複数のユーザに許可を与えたい場合、特定のグループに所...
たとえばsshgroupというグループを作り、このグループに属し...
AllowGroups sshgroup
DenyGroups all
***スーパーユーザ(root)への昇格制限 [#h2f0f63a]
一般ユーザからスーパーユーザ(root)へ昇格できるユーザを...
まず例では"sample"というユーザのみに昇格権限を与えること...
# vigr
====================================
wheel:x:10:root,sample
====================================
次にsuの設定を変更
# vi /etc/pam.d/su
====================================
#auth sufficient pam_wheel.so trust use_...
====================================
ここのコメントを外すだけだと、rootへの昇格の際のパスワー...
# vi /etc/pam.d/su
====================================
#auth sufficient pam_wheel.so use_uid
====================================
こちらの行のコメントを削除すると、rootになる際にパスワー...
状況に応じて使い分ける。
**puttyを用いたSSH-VPNの構築 [#vd1821c6]
SSH-VPNとたいそうご丁寧に書いていますが、実はただのポート...
WindowsクライアントからSSHサーバへポートフォワードをさせ...
***PuTTYの設定 [#sc02838f]
PuTTYにはSSHクライアント以外での兄弟アプリとも言うべきも...
「PuTTYtel・PSCP・PSFTP・Plink・Pagent・PuTTYgen」
これらが一連のソフトであり、Windows環境におけるSSH通信を...
今回SSH-VPNを構築するために使用するのは「Plink・Pagent」...
PlinkはコマンドラインでSSHを使用するためのプログラム。
Pagentは秘密キーをPuTTYソフトウェア群で自動的に使えるよう...
まずはじめに、作業ディレクトリを作成する。
「C:\putty」というディレクトリを作成し、Plink・Pagent・作...
後はバッチファイルを作ればよい。
サンプルは以下のようである。
c:\putty\PAGEANT.EXE c:\putty\key.ppk
c:\putty\PLINK.EXE -ssh -2 -P 22 -l testuser -L 25:127.0...
「ssh-vpn.bat」という名前で保存すればよい。一番後ろのIPは...
また、pageantにキーを登録する際に秘密キーのパスワードを入...
&ref(http://www.hope-net.jp/pukiwiki/images/ssh03.gif);~
一度入力すれば、Pageantを終了させるまでキーの再入力をする...
ちなみにPageantが起動していなかった場合、Pageantが起動し...
Pageantはスタートアップにでも入れておけばこの問題は回避で...
起動しているかどうかは画面右下のタスクトレイを見ればすぐ...
&ref(http://www.hope-net.jp/pukiwiki/images/ssh02.gif);
***SSH-VPNを用いたメールの送受信 [#sf175ad7]
最後にSSH-VPNを用いた具体的使用法をmemoしていく。
メールの送受信を外部からやろうとするとPOPのパスワードが平...
送受信するメールの内容も盗聴することが可能になってしまう。
そこで、SSH-VPNを用いてクライアントからメールサーバまでの...
メールの送受信は25番ポートと110番ポートを転送すればいいの...
c:\putty\PLINK.EXE -ssh -2 -P 22 -l testuser -L 65025:12...
これで、クライアントマシン(127.0.0.1)の65025番で受け取っ...
さらに65110番で受け取ったパケットはサーバの110番ポートへ...
サーバとの通信はすべて暗号化されるのでパスワード等が盗聴...
また、MUAで新しくメールサーバの設定をして、外から受信する...
SMTP・POPサーバのIPを127.0.0.1にして、ポート番号をSMTPは6...
これで安心して外からメールの送受信が出来るというものであ...
***SOCKS Proxyを使う [#td85986d]
例えば内部のアドレスからはアクセスを許可するようなサーバ...
ポートフォワードで転送して、そこからさらにProxyを通すなど...
そんなことをしなくてもSSHを使えば直接アクセスすることがで...
SOCKS ProxyにPuTTYを使う場合、「接続」→「Proxy」に設定を...
しかーし、私はなぜかコマンドラインのほうが好きなので、Pli...
書式的には
plink.exe -D <ListenIP:>ListenPort DistnationIP -l user_...
具体的には
plink.exe -D 127.0.0.1:8080 192.168.100.1 -l testuser
ぐらいでしょうか。
後はブラウザのプロキシ設定を「127.0.0.1:8080」にして目的...
これで内部からしかアクセスを許さないサーバとかルータにも...
便利な世の中だねぇ~
*参考リンク [#lc035323]
>> [[openssh:http://www.openssh.com/ja/]]
>> [[putty:http://www.chiark.greenend.org.uk/~sgtatham/pu...
>> [[ARI's 資料館:http://www007.upp.so-net.ne.jp/bemax/ar...
終了行:
*OpenSSH Configuration Manula [#v27442b3]
RIGHT:OpenSSH最新バージョン
RIGHT:2005/2/11 現在
RIGHT:OpenSSH 4.0
RIGHT:putty 0.57
*目次 [#b511713d]
#contents
**sshd_configの設定 [#y8d27b96]
Port 22
Protocol 2
ListenAddress 192.168.100.1
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
PermitRootLogin no
#RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysFile .ssh/authorized_keys2
# rhosts authentication should not be used
RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts no
# For this to work you will also need host keys in /etc/...
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# To disable tunneled clear text passwords, change to no...
PasswordAuthentication no
PermitEmptyPasswords no
# Change to no to disable s/key passwords
ChallengeResponseAuthentication no
X11Forwarding no
Banner /some/path
#Subsystem sftp /usr/libexec/openssh/sftp-server
**OpenSSHのセキュリティ設定 [#yf1c599d]
***Windowsから公開鍵認証を用いてログイン [#hcb6a754]
はじめは、キーペアの作成を行う。
キーペアはPuTTYgenを用いて作成する~
&ref(http://www.hope-net.jp/pukiwiki/images/ssh01.gif);~
SSH2-DSAキーを選択し、キーサイズを2048ビットに設定。
Generateをクリックしキーペアが出来たら、秘密キーにパスフ...
公開キーは「key.pub」
秘密キーは「key.ppk」
として保存する。
キーが作成できたら公開キーをホスト側に転送しなければなら...
しかもPuTTYで作成したキーを使って、そのままの形でOpenSSH...
PuTTYのキー形式からOpenSSHの形式へ変換する必要がある。
ssh-keygen -f key.pub -i > ~/.ssh/authorized_keys
はじめは変換が必要だとは知らずにかなり手間取った。
ということで忘れずmemo!
あと一応パーミッションを確認。700でなければならないので。
chmod 700 ~/.ssh/
Windows側ではPuTTYを用いて作成した公開キーを指定してログ...
特に書くこともないだろう。
***ログインユーザの制限 [#f2611f72]
システムユーザの誰もがSSHアクセスできることを許可する必要...
アクセスできるユーザを制限したい場合は以下のような設定をs...
AllowUsers testuser
DenyUsers all
もし複数のユーザに許可を与えたい場合、特定のグループに所...
たとえばsshgroupというグループを作り、このグループに属し...
AllowGroups sshgroup
DenyGroups all
***スーパーユーザ(root)への昇格制限 [#h2f0f63a]
一般ユーザからスーパーユーザ(root)へ昇格できるユーザを...
まず例では"sample"というユーザのみに昇格権限を与えること...
# vigr
====================================
wheel:x:10:root,sample
====================================
次にsuの設定を変更
# vi /etc/pam.d/su
====================================
#auth sufficient pam_wheel.so trust use_...
====================================
ここのコメントを外すだけだと、rootへの昇格の際のパスワー...
# vi /etc/pam.d/su
====================================
#auth sufficient pam_wheel.so use_uid
====================================
こちらの行のコメントを削除すると、rootになる際にパスワー...
状況に応じて使い分ける。
**puttyを用いたSSH-VPNの構築 [#vd1821c6]
SSH-VPNとたいそうご丁寧に書いていますが、実はただのポート...
WindowsクライアントからSSHサーバへポートフォワードをさせ...
***PuTTYの設定 [#sc02838f]
PuTTYにはSSHクライアント以外での兄弟アプリとも言うべきも...
「PuTTYtel・PSCP・PSFTP・Plink・Pagent・PuTTYgen」
これらが一連のソフトであり、Windows環境におけるSSH通信を...
今回SSH-VPNを構築するために使用するのは「Plink・Pagent」...
PlinkはコマンドラインでSSHを使用するためのプログラム。
Pagentは秘密キーをPuTTYソフトウェア群で自動的に使えるよう...
まずはじめに、作業ディレクトリを作成する。
「C:\putty」というディレクトリを作成し、Plink・Pagent・作...
後はバッチファイルを作ればよい。
サンプルは以下のようである。
c:\putty\PAGEANT.EXE c:\putty\key.ppk
c:\putty\PLINK.EXE -ssh -2 -P 22 -l testuser -L 25:127.0...
「ssh-vpn.bat」という名前で保存すればよい。一番後ろのIPは...
また、pageantにキーを登録する際に秘密キーのパスワードを入...
&ref(http://www.hope-net.jp/pukiwiki/images/ssh03.gif);~
一度入力すれば、Pageantを終了させるまでキーの再入力をする...
ちなみにPageantが起動していなかった場合、Pageantが起動し...
Pageantはスタートアップにでも入れておけばこの問題は回避で...
起動しているかどうかは画面右下のタスクトレイを見ればすぐ...
&ref(http://www.hope-net.jp/pukiwiki/images/ssh02.gif);
***SSH-VPNを用いたメールの送受信 [#sf175ad7]
最後にSSH-VPNを用いた具体的使用法をmemoしていく。
メールの送受信を外部からやろうとするとPOPのパスワードが平...
送受信するメールの内容も盗聴することが可能になってしまう。
そこで、SSH-VPNを用いてクライアントからメールサーバまでの...
メールの送受信は25番ポートと110番ポートを転送すればいいの...
c:\putty\PLINK.EXE -ssh -2 -P 22 -l testuser -L 65025:12...
これで、クライアントマシン(127.0.0.1)の65025番で受け取っ...
さらに65110番で受け取ったパケットはサーバの110番ポートへ...
サーバとの通信はすべて暗号化されるのでパスワード等が盗聴...
また、MUAで新しくメールサーバの設定をして、外から受信する...
SMTP・POPサーバのIPを127.0.0.1にして、ポート番号をSMTPは6...
これで安心して外からメールの送受信が出来るというものであ...
***SOCKS Proxyを使う [#td85986d]
例えば内部のアドレスからはアクセスを許可するようなサーバ...
ポートフォワードで転送して、そこからさらにProxyを通すなど...
そんなことをしなくてもSSHを使えば直接アクセスすることがで...
SOCKS ProxyにPuTTYを使う場合、「接続」→「Proxy」に設定を...
しかーし、私はなぜかコマンドラインのほうが好きなので、Pli...
書式的には
plink.exe -D <ListenIP:>ListenPort DistnationIP -l user_...
具体的には
plink.exe -D 127.0.0.1:8080 192.168.100.1 -l testuser
ぐらいでしょうか。
後はブラウザのプロキシ設定を「127.0.0.1:8080」にして目的...
これで内部からしかアクセスを許さないサーバとかルータにも...
便利な世の中だねぇ~
*参考リンク [#lc035323]
>> [[openssh:http://www.openssh.com/ja/]]
>> [[putty:http://www.chiark.greenend.org.uk/~sgtatham/pu...
>> [[ARI's 資料館:http://www007.upp.so-net.ne.jp/bemax/ar...
ページ名: