macOSからVirtualBoxのCentOSに公開鍵認証でssh接続できるようにする

インストールや、パスワード認証でssh接続できるようにするまでの手順は、下記をご覧ください。

macOS High SierraにVirtualBoxでCentOSをインストールする 


環境は、macOS High Sierra バージョン 10.13.5、Virtualbox バージョン 5.2.12 r122591、CentOS-7 (1804)です。

公開鍵認証とは

公開鍵認証は、ssh接続の認証方式の一つです。パスワード認証とは区別されます。

接続するユーザーが鍵ペアー(秘密鍵ファイルと公開鍵ファイル)を作っておき、サーバー側で、接続を許可するユーザーの公開鍵を登録します。

すると、サーバーに登録された公開鍵に対応する秘密鍵をもったユーザー(PC)からのみ、接続が可能になります。

秘密鍵をもったユーザーのみに接続を制限できるので、一般的にパスワード認証より強固と言われます。

クライアント側で、秘密鍵と公開鍵を作成する

Mac側(sshクライアント側)で、下記のコマンドを打ち、鍵ペアーを作成します。
鍵のビット数については、manコマンドで-bオプションの説明を確認したところ、default is 2048 bitsとのことだったので、このままにした。

$ ssh-keygen -t rsa

対話的に、下記のように、いろいろ聞かれます。
Enter file in which to save the key (/Users/user/.ssh/id_rsa):は、鍵ペアーが作成される先のディレクトリーを指定する部分ですが、()内がデフォルトなので、そのままEnterしました。
Enter passphrase (empty for no passphrase):は、パスフレーズ(秘密鍵を使うためのパスワードのようなもの)を指定する部分です。
適当に設定して、Enterします。空はやめたほうがいいです。

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/user/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/user/.ssh/id_rsa.
Your public key has been saved in /Users/user/.ssh/id_rsa.pub.
The key fingerprint is:
...

上の例では、/Users/user/.ssh/直下に、秘密鍵(id_rsa)と公開鍵(id_rsa.pub)が作成されました。
lsコマンドで確認しました。

$ ls ~/.ssh/
id_rsa id_rsa.pub known_hosts

秘密鍵も、公開鍵も、実態はテキストファイルですので、catやlessで中身を見ることができます。

サーバー側に公開鍵を登録する

Mac側で下記コマンドを打ち、公開鍵をVirtualBox上のサーバー(CentOS)に転送します。
192.168.11.77は、筆者の環境の、CentOSのIPアドレスです。
~/を転送先ディレクトリーに指定したので、CentOSのユーザーuserのホームディレクトリーに転送されます。

$ scp ~/.ssh/id_rsa.pub user@192.168.11.77:~/

以下、CentOS側の作業。

CentOSに公開鍵が転送されましたので、CentOSにuserでログインします。

公開鍵の登録の実態は、~/.ssh/authorized_keysというテキストファイルに、公開鍵の文字列を、公開鍵ごとに1行1行記載していくだけです。
~/.sshディレクトリーも、authorized_keysファイルもまだありませんので、作成し、適切なパーミッションを付与しました。

$ mkdir ~/.ssh
$ touch ~/.ssh/authorized_keys
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

公開鍵を登録します。
viで編集してもいいですが、catで追記のリダイレクトをするのが簡単です。

$ cat id_rsa.pub >> ~/.ssh/authorized_keys

これで、公開鍵の登録が終わりました。
サーバー側に転送した公開鍵は、もう不要なので、削除しました。

$ rm id_rsa.pub

パスワード認証は不要なので、公開鍵認証のみとし、パスワード認証を無効にしました。
/etc/ssh/sshd_configのPasswordAuthentication(パスワード認証するか)とPubkeyAuthentication(公開鍵認証するか)の部分の設定を、下記のように編集しました。

PasswordAuthentication no
PubkeyAuthentication yes

suコマンドでrootユーザーになって、sshdを再起動すると、設定が反映されます。

# systemctl restart sshd

これで、Macから公開鍵認証で、CentOSにsshログインできるようになったはずです。

パスフレーズの入力を省略する

Macから公開鍵認証でssh接続する時、パスフレーズを入力すると思います。
毎回入力するのが面倒なので、ssh-agentを使います。

ssh-agentというプログラムに秘密鍵とパスフレーズを予め登録して記憶させておくことで、パスフレーズの入力を2回目以降省略できます。

ssh-addコマンドに秘密鍵へのパスを指定することで、ssh-agentに秘密鍵を登録できます。
パスフレーズを聞かれるので、入力します。

$ ssh-add ~/.ssh/id_rsa

これで、パスフレーズなしでsshログインできるようになったはずです。

$ ssh user@192.168.11.77

「パスフレーズ なし」「パスフレーズ 省略」とかで検索すると、パスフレーズを設定しない(パスフレーズ設定時に、空のままEnterする)例が出てくることがありますが、おすすめしません。

コメント

コメントを投稿

このブログの人気の投稿

PowerShell 6で、Shift_JISのCSVをImport-Csvで読み込んだら文字化けした

Follow @venividivici830 PowerShell 4で作ったShift_JIS(シフトJIS)のCSVを読み込むスクリプトを、PowerShell 6で動かしたら文字化けした話。 結論としては、下記のようにすればOK。 > Import-Csv -Encoding ([System.Text.Encoding]::GetEncoding(932)) path_to_csv_file 現象 PowerShell 4では、 このページ にあるように、Import-Csvコマンドレットのオプションとして、-Encoding defaultを付ければよかった。 ところが、PowerShell 6では上手くいかない。 例えば、下記のようなshift-jisのCSVがある。 名前,年齢 田中,20 山田,10 これを、-Encoding defaultオプションで読み込むと、 > Import-Csv -Encoding default ./test.csv                        O N ---- ---- c 20   Rc 10   このように文字化けする具合だ。 原因 まず、「default」がutf-8に変わったのが原因のようだ。 .NET Framework クラスライブラリーの、System.Text名前空間の、Encodingクラスの、Defaultプロパティーを確認した。 > [ System.Text.Encoding ]:: Default BodyName           : utf-8 EncodingName       : Unicode (UTF-8) HeaderName         : utf-8 WebName           : utf-8 WindowsCodePage   : 1200 IsBrowserDisplay   : True IsBrowserSave     : True IsMailNewsDisplay : True IsMailNewsSave     : Tru
続きを読む

Windowsで、特定のユーザーに特定のサービスの再起動を許可する

Follow @venividivici830 Windowsで、ユーザーごとに、サービスレベルで操作権限(サービスの開始、停止など)を与える話です。 流れとしては、 scコマンドで、サービスの随意アクセス制御リスト (DACL) に対し、セキュリティ記述子定義言語 (SDDL) 構文で、アクセス制御情報を追加する ことになります。 これにより、あるユーザーはOracleの再起動だけ許可、あるユーザーはTomcatの再起動だけ許可、など、細かい権限設定が可能です。 サーバーのマシン自体の再起動権限は与えられないけど、アプリケーションサーバープログラムや、DBサーバープログラムの再起動だけは許可したい、などのシチュエーションに使えます。 サービスのDACLは、名の通り、サービス単位で権限を制御するためのACLです。 SDDLは、ACLを文字列で記述するための構文です。 「;」で各フィールドを区切る形です。詳細については、 こちら 。に公式ドキュメントg サービスの操作権限をユーザーレベルで制御するには、最低限、下記のように3つのフィールドを設定すれば良いようです。 (許可 (A)/拒否 (D);;アクセス許可の文字列;;; SID ) ;;や;;;って何だよ、と最初見た時思いましたが、フィールドが空で、デリミター(;)だけが並んでいるだけですね。 許可 (A)/拒否 (D) には、サービスに対する特定の操作を 許可する場合はA、拒否する場合はD を設定します。 (許可または拒否する)サービスに対する特定の操作は、 アクセス許可の文字列 で設定します。 このページ に、 アクセス許可の文字列 に設定できる値が一覧されています。 再起動の場合は、RP(Start)とWP(Stop)の操作を許可すれば良いので、RPWP を指定すれば良いです。 SID は、ユーザーオブジェクトに固有のIDで、要はユーザーのIDです。権限を付与したいユーザーのSIDを指定します。 権限を付与したいユーザーで、 コマンドプロンプトからwhoamiコマンドをuserオプション付きで実行することにより、SIDを取得できます。 > whoami /user WIndowsにもwhoamiコマンドがあったんですね。知らなかった。 まと
続きを読む

PowerShellでイベントログを取得する時、「指定した選択条件に一致するイベントが見つかりませんでした。」が煩わしいのでcatchする

Follow @venividivici830 Windowsサーバーを点検する時など、イベントログをPowerShellで操作すると便利です。 Get-WinEventコマンドレットでイベントログを取得できますが、指定した条件に当てはまるイベントログがない場合、下記のエラーがスローされます。 Get-WinEvent : 指定した選択条件に一致するイベントが見つかりませんでした。 〜 NoMatchingEventsFound, 〜 NoMatchingEventsFoundが示すように、ただ指定した条件にマッチするイベントがなかっただけなので、条件としてエラーのレベルを「重大」や「エラー」にした場合は、特に問題ないことが多い。 エラーとして赤文字でコンソールに出力されるのは煩わしいので、catchする。 下記は、スクリプトの例。 $ErrorActionPreference = "Stop" $today = Get-Date $from = $today.AddMonths(-1) $filter = @{LogName="system"; Level=1; StartTime=$from} try { Get-WinEvent -FilterHashtable $filter } catch { $category = $Global:Error[0].CategoryInfo.Category.ToString() if ($category -eq "ObjectNotFound") { # 問題ない } else { # Error Handling } } 上の例では、過去1ヶ月分の、WIndowsログ→システムの、エラーレベルが「重大」のログを取得している。 下記の部分のsystemを「application」に変えれば、アプリケーションのログを取得できる。 また、Level=2、3とすることで、それぞれエラーレベルが「エラー」、「警告」のログを取得できる。 $filter = @{LogName="system"; Level=1; StartTime
続きを読む