VPSサーバ(CentOS 5.4)の初期設定3：SSHサーバのログインを公開鍵認証方式に変更

日ごろにVPSサーバのメンテナンスにおいて、SSHでサーバにログインしてコマンドラインで作業することがメインだと思いますが、CentOS 5.4デフォルト設定だとrootでのログインはOK、パスワード認証OK、ポートは22番デフォルト・・とインターネット越しにログインするには非常にセキュリティ的に危ない状態です。

これだと、rootのパスワードがバレてしまうと、そのままサーバを乗っ取られてしまいます。まあ、LAN内で運用してたり、VPNを張ってアクセスすることだとそれほど危険性を考えなくても良いのですが、そうではないWEBKEEPERSのVPSサーバだと危険性満載です。

ここでは、少しでもセキュリティ性の高いSSHサーバの設定などをご紹介したいと思います。設定はそれほど難しいものではないので、これまでデフォルト設定で運用されていた方はぜひ参考にしてみてください。

デフォルト設定

CentOS 5,4のSSHサーバのデフォルト設定だと、

• rootログイン許可
• パスワード認証許可
• すべてのユーザのログイン許可
• ポート番号はデフォルト22番

という、インターネット上で運用するサーバとしてはちょっと問題ありそうな設定です。

今回設定する内容

今回は、上記デフォルト設定から以下のように設定変更します。

• rootアクセス禁止
• パスワード認証禁止
• 特定のユーザのみログイン許可
• ポート番号の変更
• ログインには公開鍵暗号方式を採用

これで万全か？と言うとそうではなく、少しでもセキュリティを高めただけのものですので安心してはいけません。

公開鍵・秘密鍵の準備

まず、ログインを許可するユーザが無ければ作成しておいてください。

私の環境では、「admin」と言うユーザだけにログイン許可を与えています。

次に、公開鍵・秘密鍵の作成です。これは、VPSサーバ側でも、操作しているPCのTeraTerm上でも作成できますが、今回はVPSサーバ上で作成することにします。

VPSサーバに、ログインを許可するユーザ「admin」でログインします。そして、コマンドラインで次のコマンドを実行して、公開鍵・秘密鍵のペアを作成します。

ssh-keygen -t rsa

すると、パスワードの入力が求められますが、これは秘密鍵にアクセスするためのパスフレーズなので、ログインパスワードとは別扱いです。

公開鍵・秘密鍵が、「.ssh/」配下に、「id_rsa.pub」、「id_rsa」という名前で作成されます。このうち、公開鍵「id_rsa.pub」を「authorized_keys」にリネームしておく必要があります。

cd .ssh/

mv id_rsa.pub authorized_keys

ls

authorized_keys  id_rsa

公開鍵の名前を「authorized_keys」に変更するのは、SSHサーバの設定ファイル「/etc/ssh/sshd_config」に公開鍵を「authorized_keys」としているからです。設定ファイルの名前を変えてしまえば「authorized_keys」じゃ無くても良いです。

そして、秘密鍵を操作しているPC上に持ってくるわけですが、id_rsaを開いて内容をそのままコピペしてもOKです。「c:id_rsa」などと言うところにファイルを作成すれば良いと思います。

SSHサーバの設定

最後に、SSHサーバの設定を変更します。設定ファイルは、「/etc/ssh/sshd_config」を書き換えます。

ファイルに書かれている設定を以下のとおりに変更してください。

Port 10022　　←好きなポート番号に変更

PermitRootLogin no　　←「yes」を「no」に変更

PasswordAuthentication no　　←「yes」を「no」に変更

PermitEmptyPasswords no　　←「yes」を「no」に変更

AllowUsers admin　　←新規追加（最終行でも書いてください。ログインを許可するユーザを設定します。）

設定が完了したら、

/etc/init.d/sshd restart

でSSHサーバを再起動します。

これで完了です。