OpenSSH : SSH 鍵ペアでの認証2024/04/25 |
クライアント用に SSH 秘密鍵、サーバー用に SSH 公開鍵を作成し、鍵ペアによる認証でログインできるようにします。
|
|
[1] | 鍵ペアはユーザー各々で作成します。よって、鍵ペアを作成するユーザーでサーバー側にログインして作業します。 |
# 鍵ペア作成 [fedora@dlp ~]$ ssh-keygen -t ecdsa Generating public/private ecdsa key pair. Enter file in which to save the key (/home/fedora/.ssh/id_ecdsa): # 変更の必要がなければ空 Enter Enter passphrase (empty for no passphrase): # パスフレーズ設定 (ノーパス設定にする場合は空 Enter) Enter same passphrase again: Your identification has been saved in /home/fedora/.ssh/id_ecdsa Your public key has been saved in /home/fedora/.ssh/id_ecdsa.pub The key fingerprint is: SHA256:JplBYWJv++klrHHHV6RACnEgMw8YcqJqpxWMQI3sS9c fedora@dlp.srv.world The key's randomart image is: ..... .....[fedora@dlp ~]$ ll ~/.ssh total 16 -rw-------. 1 fedora fedora 557 Apr 24 12:56 id_ecdsa -rw-r--r--. 1 fedora fedora 182 Apr 24 12:56 id_ecdsa.pub -rw-------. 1 fedora fedora 846 Apr 24 12:46 known_hosts -rw-r--r--. 1 fedora fedora 98 Apr 24 12:46 known_hosts.old[fedora@dlp ~]$ mv ~/.ssh/id_ecdsa.pub ~/.ssh/authorized_keys |
[2] | サーバー側で作成した SSH 秘密鍵をクライアント側にファイル転送すると、そのクライアントから対象サーバーに、鍵ペア認証でログイン出来るようになります。 |
# サーバーで作成した SSH 秘密鍵を転送 [fedora@node01 ~]$ scp fedora@dlp.srv.world:/home/fedora/.ssh/id_ecdsa ~/.ssh/ fedora@dlp.srv.world's password: id_ecdsa 100% 557 1.7MB/s 00:00[fedora@node01 ~]$ ssh fedora@dlp.srv.world
Enter passphrase for key '/home/fedora/.ssh/id_ecdsa': # 設定したパスフレーズ
Web console: https://dlp.srv.world:9090/ or https://10.0.0.30:9090/
Last login: Wed Apr 24 12:55:54 2024
[fedora@dlp ~]$ # ログインできた |
[3] | なお、鍵ペア認証にした場合、以下のように SSH サーバー側でパスワード認証を禁止すると、よりセキュアな環境とすることができます。 |
[root@dlp ~]#
vi /etc/ssh/sshd_config # 65, 69行目 : コメント解除してパスワード認証不可に変更 PasswordAuthentication no ..... ..... KbdInteractiveAuthentication no
systemctl restart sshd |
Windows クライアントからの SSH 鍵ペア認証 #1
|
[4] | Putty に同梱されている [Puttygen.exe] を実行します。([Putty.exe] と同じフォルダに保管) 同梱されていない場合は、公式サイト (www.chiark.greenend.org.uk/~sgtatham/putty/) より、[Puttygen.exe] をダウンロードして [Putty.exe] と同じフォルダに保管します。 [Puttygen.exe] 起動後、以下の画面で [Load] ボタンをクリックします。 |
[5] | 事前に SSH サーバーから転送しておいた SSH 秘密鍵を指定すると、パスフレーズを求められるので入力して応答します。(ノーパス設定の場合は不要) |
[6] | パスフレーズでの応答が完了すると以下の画面になります。[Save private key] ボタンをクリックして、任意のフォルダーに任意のファイル名で保存します。 |
[7] | Putty 本体を起動し、左メニューで [Connection] - [SSH] - [Auth] - [Credencials] と開き、下段のフィールドに、作成した [Private key] ファイルを選択します。 |
[8] | 左メニューの [Session] に戻り、接続するホストの名前または IP アドレスを入力して、接続します。 |
[9] | SSH 鍵ペアを作成したユーザーでログインしようとすると、以下のようにパスフレーズを求められ、設定したパスフレーズを入力するとログインできます。 |
Windows クライアントからの SSH 鍵ペア認証 #2
|
[10] | Windows 11 の場合は OpenSSH クライアントが標準搭載されているため、Putty 等の SSH クライアントソフトウェアを用意しなくとも、サーバー側で生成した鍵ペアの秘密鍵の方を Windows クライアントへ転送し、Windows 側でログオン中のユーザーディレクトリ配下の [.ssh] フォルダ内に秘密鍵を格納するのみで、SSH 鍵ペアでの認証が可能です。 |
Sponsored Link |