さくらVPSにさらっと鍵認証設定

2010/09/03

さくらのVPSサーバに申し込んでみた。30分程度で開通案内が来たのは流石である。一般ユーザを相手にするならこの手の自動化は必須だなあと。 VPSサービスはSSH慣れしてる人前提のものなので、サーバの仕組み自体に詳しく無い方、企業さんとかは手を出し辛いというものがある。サーバ最小構成だしメールを正常に送受信させるまでにも経験が無いと時間がかかる。iptablesとかもまた、めんどくさいもんね(これは絶対に必要なものなのですよ)。それでもでもやっぱり安いから(月2000円1000円弱だし)、挑戦してみる価値は十二分にあると思うのですよ。

以下の設定をしてしまえば、とりあえずパス無しの鍵利用でWinSCPもできちゃう。 FTPとか小学生までだよね、ってのは『Gumblar』以前から定説(僕はちゃんと学ぶまではまったくの無関心だったけど。そもそも『Gumblar』的な攻撃って「FTPじゃなければ回避できる」って内容じゃない気がするし)。

鍵認証が上手く言ったら、鍵認証以外でのログインを禁止するのがよい。 パスワード認証でのログインを不可にする。

vi /etc/sshd/ssh_config

   PasswordAuthentication yes

   PasswordAuthentication no

にして、

/etc/init.d/sshd restart

でいいと思うんだけど、確認が必要。# /etc/init.d/sshd restart を実行した端末は閉じないでそのままにして、新しい端末で鍵認証による接続確認をしてみてください。

設定が上手く行かなかった時は、

  • ~USER/.ssh をファイル属性 700 に ( chmod 700 ~USER/.ssh )
  • ~USER/.ssh/authorizedkeys をファイル属性 600 に ( chmod 600 ~USER/.ssh/authorizedkeys )
    • (リンク先内容でいうと /home/nori/.ssh なら nori が USER になる)
  • /etc/ssh/sshd_config 設定変更と再起動とか含め全ての作業が終わるまで端末は複数同時に接続しておく(少なくともメインの端末は閉じない)
    • 1枚目. 設定変更をするメイン端末
    • 2枚目. 設定が正常に反映されているか接続確認するサブ端末
    • 3枚目以降.必要に応じて

つまり、新規接続がちゃんとできるまで、 端末は開いていいけど閉じるともしも上手くいっていなかった時大変だよ、ってことかな。もしも接続出来なくなったならVPSコンパネから端末使って、

  • /etc/sshd/ssh_config の設定内容
  • ~/USER/.ssh ディレクトリ属性確認
  • ~/USER/.ssh/authorized_keys ファイル属性確認

あたりをみて下さい。