HOME / コンピュータTips / UNIXツール / ssh / RSA鍵認証のみにし、Password認証を無効化する

Date: 2016/04/13 |  このエントリーをはてなブックマークに追加  |  Tags: ssh, RSA, password

sshdでパスワード認証を無効にし、RSAの鍵認証のみにする方法

意外に覚えきれなくて、いつも忘れるので、メモついでに残しておきます。

PasswordAuthentication no
KbdInteractiveAuthentication no
ChallengeResponseAuthentication no

古いOpenSSHや、SunSSHの場合は、これも無効にします。

PAMAuthenticationViaKBDInt no

ざっくりした解説

ユーザ目線でのザックリとした説明を。OpenSSHではなく別のSSH実装も含めて考えているので、OpenSSHのソースをじっくり読んだわけではないため、間違ってたらすみません。

まず、Password認証を無効にする場合、PasswordAuthentication noだけで良い気もします。しかし、asswordAuthenticationというのは、「ユーザIDとPasswordを同時に送りつける認証」のことを意味してるので、それだけでは足りません。

ChallengeResponseAuthenticationが有効になっていると、クライアントは「先にID」を送り、状況に応じてサーバからパスワードを要求されます。ここで、PAMAuthenticationViaKBDIntが有効なシステムであればPAM認証キーボードから、KbdInteractiveAuthenticationが有効なシステムであればキーボードからの認証を許可、さらにUsePAMが有効であったりAuthenticationMethodsでPAMが有効であれば、事実上キーボードからパスワード入力を求められてしまうわけ。

ということで、この辺一通り設定しておけば、良いよと言う話だけれども、sshd_configにコメントアウトされてないものもあるので、いつも忘れるからメモなのです。

テスト方法

ついでなのでテスト方法も書いて置きます。

  1. sshd_configを治す
  2. sshdを再起動する
    • いまのシステムだとsshがこのとき落ちることは滅多にないんだけれど、昔はここでsshdが落ちてしまい、間違うと締め出しを食らったりしたので、コンソールからやっていたのです。シリアルコンソール重要・・・
  3. このターミナルは必ずログインしたままにしておく
  4. 別シェルを立ち上げてログインする。
    • 正常系テスト
      • RSA鍵認証が設定されているはずなので、そのまま行けるはず。→正常系テスト終わり
    • 異常系テスト
      • IDをわざとちがったものにする。
      • password認証が有効な場合、パスワードを求められる。 → 設定ミス有り
      • 何もできずPermission denied (publickey,...).がでる。 → 設定OK、
      • 上の...が、気になるならそれぞれをやっつけましょう。

Permission denied (publickey,gssapi-with-mic).のgssapiを無効に

sshd_configに下記の1行を追加します。

GSSAPIAuthentication no

GSSAPIAuthenticationってのは、OpenSSHのマニュアルをみると、

Specifies whether user authentication based on GSSAPI is allowed. The default is “no”.

Solarisだと、

      GSSAPIAuthentication
             Specifies   whether  user  authentication  based  on  GSSAPI  is
             allowed.  The default on Solaris is  ``yes''.   Note  that  this
             option applies to protocol version 2 only.

とかいているので、Solarisの場合は気になるなら無効にしてもいいでしょう。

GSSAPIを使った認証は、Generic Security Service Application Programming Interfaceのことで、よくKerberosと関連して利用される認証するAPI。シングルサインオン周りの話によく出てきますね。

別に悪いものではないのだけれども、使ってないから無効にしたいのであれば、それはそれで。


コンピュータTips/UNIXツール/ssh

Recent Updates

2017年、新年明けまして、おめでとうございます。

日記/2017年、新年明けまして、おめでとうございます。

新年明けまして、おめでとうございます。今年もよろしくお願いします。 昨年中は、皆様にお世話になりました。 昨年は、コツコツと3年程前から行ってきた改革がある程度完成された年で、この先5年、10年を見据えて、次のフェーズへと進む為の土台が完成した年でもありました。 それにキャッチアップする形で、個々の従業員一同が、役割を自覚し、明確に動けた年であったかと考えています。 …
»続きを読む

RSA鍵認証のみにし、Password認証を無効化する

意外に覚えきれなくて、いつも忘れるので、メモついでに残しておきます。 古いOpenSSHや、SunSSHの場合は、これも無効にします。 ユーザ目線でのザックリとした説明を。OpenSSHではなく別のSSH実装も含めて考えているので、OpenSSHのソースをじっくり読んだわけではないため、間違ってたらすみません。 まず、Password認証を無効にする場合、 PasswordAut …
»続きを読む

Nexus7 2013をMarshmallow(Android 6.0)化

OTAでない方法で。 だいたい ここに書いてある方法 なんだけど、adbなどが一式使えている状態で。 まずは自分の機種のものをダウンロードする。僕のは、 Android 6.0 Marshmallow for Nexus 7 2013 Wi-Fi 。tgzを展開し、zipも解いておく。 まずはboot loaderへ。 bootloader自体のアップデート。一式、updat …
»続きを読む

OS X 10.11 El Capitanで、phpのモジュールインストール

Yosemiteからのアップデートは割と簡単です。なぜならYosemite時に、すでにapache 2.4になり、php 5.5になっているから(笑 アップデート前に、まずはphp.iniとhttpd.confをバックアップしておきましょう きになるなら、hostsとかapache以下全てをバックアップしておいてもいいかも。 後はEl Capitanにアップデートする。 アッ …
»続きを読む

EasyAcc Powerbank PB4000CB

スマフォTips/モバイルバッテリー/モバイルバッテリー製品レビュー/EasyAcc Powerbank PB4000CB

薄型のモバイルバッテリーEasyAcc Powerbank PB4000CBです。 今や、モバイルバッテリーは大型のものが好まれるのか、隙間無く商品があります。20,000mAh越えで、「でけえ!」とか言ってますけど、大きいのを探せば、100Wh(27,000mAh)、200Wh当たり前、探せば500Wh(135,000mAh)とか、もっともっとあるのです。用途がどんどん異なっていくので …
»続きを読む

EC Technology Sports Headsets S10-JWH07B

デバイスTips/Bluetooth/EC Technology Sports Headsets S10-JWH07B

Bluetoothのスポーツヘッドセット、 S10-JWH07B について。 今までブログに記載することはなかったのですが、実は割とBluetoothと言うか無線型のヘッドフォンを沢山持っています。赤外線や独自物、Bluetoothなどいくつもストックを持っていたりします。普通の人からするとマニアです。でも、マニアからみるとそうでもないレベルです。 ただ「ヘッドフォンの音質」というの …
»続きを読む

静岡県内をVPNでつなぐ(割と特殊な例)

静岡というのはある意味特殊な土地で、ほとんどのインターネットプロバイダのPOIは静岡でつながれておらず、NTT西圏内のどこかで繋がっているので、大抵大阪折り返しになる。仮に静岡県内にPOIがあっても、だいたい静岡でルーティングしてないので、やっぱり東京折り返しになってたりする。例え 同じプロバイダを使っていたとしても 。 だから静岡←→静岡のVPNは、静岡←→東京や、静岡←→大阪よりも遅 …
»続きを読む

VMware Fusionの上のWindows10アップグレードでVMware SVGA 3D互換性問題を回避する

コンピュータTips/MacOSX/VMware Fusionの上のWindows10アップグレードでVMware SVGA 3D互換性問題を回避する

Windows 10がリリースされましたが、MacOSXのVMwareでは、SVGA 3Dの互換性問題がでて、アップデートができません。   これはアップデートが降ってくる前の状態 これはアップデートが降ってきた後の状態 解決方法を色々調べたんですが、結論を言うと、この方法のアップデートはいま(2015年7月)の段階では無理みたい。 まずはMSの …
»続きを読む

最新  |  << 前ページ  |  次ページ >>  |  最初