HOME / コンピュータTips / UNIXツール / ssh / RSA鍵認証のみにし、Password認証を無効化する

Date: 2016/04/13 |  このエントリーをはてなブックマークに追加  |  Tags: ssh, RSA, password

sshdでパスワード認証を無効にし、RSAの鍵認証のみにする方法

意外に覚えきれなくて、いつも忘れるので、メモついでに残しておきます。

PasswordAuthentication no
KbdInteractiveAuthentication no
ChallengeResponseAuthentication no

古いOpenSSHや、SunSSHの場合は、これも無効にします。

PAMAuthenticationViaKBDInt no

ざっくりした解説

ユーザ目線でのザックリとした説明を。OpenSSHではなく別のSSH実装も含めて考えているので、OpenSSHのソースをじっくり読んだわけではないため、間違ってたらすみません。

まず、Password認証を無効にする場合、PasswordAuthentication noだけで良い気もします。しかし、asswordAuthenticationというのは、「ユーザIDとPasswordを同時に送りつける認証」のことを意味してるので、それだけでは足りません。

ChallengeResponseAuthenticationが有効になっていると、クライアントは「先にID」を送り、状況に応じてサーバからパスワードを要求されます。ここで、PAMAuthenticationViaKBDIntが有効なシステムであればPAM認証キーボードから、KbdInteractiveAuthenticationが有効なシステムであればキーボードからの認証を許可、さらにUsePAMが有効であったりAuthenticationMethodsでPAMが有効であれば、事実上キーボードからパスワード入力を求められてしまうわけ。

ということで、この辺一通り設定しておけば、良いよと言う話だけれども、sshd_configにコメントアウトされてないものもあるので、いつも忘れるからメモなのです。

テスト方法

ついでなのでテスト方法も書いて置きます。

  1. sshd_configを治す
  2. sshdを再起動する
    • いまのシステムだとsshがこのとき落ちることは滅多にないんだけれど、昔はここでsshdが落ちてしまい、間違うと締め出しを食らったりしたので、コンソールからやっていたのです。シリアルコンソール重要・・・
  3. このターミナルは必ずログインしたままにしておく
  4. 別シェルを立ち上げてログインする。
    • 正常系テスト
      • RSA鍵認証が設定されているはずなので、そのまま行けるはず。→正常系テスト終わり
    • 異常系テスト
      • IDをわざとちがったものにする。
      • password認証が有効な場合、パスワードを求められる。 → 設定ミス有り
      • 何もできずPermission denied (publickey,...).がでる。 → 設定OK、
      • 上の...が、気になるならそれぞれをやっつけましょう。

Permission denied (publickey,gssapi-with-mic).のgssapiを無効に

sshd_configに下記の1行を追加します。

GSSAPIAuthentication no

GSSAPIAuthenticationってのは、OpenSSHのマニュアルをみると、

Specifies whether user authentication based on GSSAPI is allowed. The default is “no”.

Solarisだと、

      GSSAPIAuthentication
             Specifies   whether  user  authentication  based  on  GSSAPI  is
             allowed.  The default on Solaris is  ``yes''.   Note  that  this
             option applies to protocol version 2 only.

とかいているので、Solarisの場合は気になるなら無効にしてもいいでしょう。

GSSAPIを使った認証は、Generic Security Service Application Programming Interfaceのことで、よくKerberosと関連して利用される認証するAPI。シングルサインオン周りの話によく出てきますね。

別に悪いものではないのだけれども、使ってないから無効にしたいのであれば、それはそれで。


コンピュータTips/UNIXツール/ssh

Recent Updates

openjdk(SPARC)

SPARC用のJAVA。 最近は新しいバージョンがSPARCでリリースされず、苦労している人も多いのですが、SPARC Solarisの界隈人達がビルドして代わりに使われているものです。 Solaris 11 SPARC jdk builds
»続きを読む

Solaris11のCPU(Critical Patch Unit)の当て方

コンピュータTips/Solaris/Solaris11のCPU(Critical Patch Unit)の当て方

Solaris 11.4には4つのリビジョンがあります。 2024年4月現在、Solaris自体の開発はメンテナンスフェーズになったわけでもなく、SRU毎に、最新機能がモリモリ入っていきます。 GA(Release 版) 一応、無償のOTNライセンスの利用も可能 いわゆる、リリース時点のバージョンのことですが、現在は 利用しません 。 以前は、1〜2年に1度の頻度でリリ …
»続きを読む

Emacs.appで書類(Documents)がアクセス出来ないとき

コンピュータTips/MacOSX/Emacs.appで書類(Documents)がアクセス出来ないとき

Catalina以降の権限問題なので、システム設定のセキュリティとポリシーの中にあるプライバシー内のFull Disk Accessに、Emacs.appと/usr/bin/rubyを入れればすむ。 /usrフォルダを、プライバシーの+から入れるのは、ちょっと面倒なので、あらかじめFinderのお気に入りの中に入れておくと良いでしょう。   rubyが入るのは、Emac …
»続きを読む

SONY WH-1000XM3

自分用メモです。 ノイズキャンセラーの性能が良い。 WH-1000Xのころは、ノイズキャンセラーを有効すると、音は聞こえないのに妙な音圧があったが、それがかなり軽減。個人的には気にならなくなった。 また、WH-1000Xのころは、ノイズキャンセラーを無効にしても、なんか作られたような音が出ていたような気がしたが、割と普通に聞こえる。 USB-Cになったのも良い。飛行機でも使う …
»続きを読む

Catalina(10.15)

Catalina Beta を入れ始めたので、自分用のまとめ。 2019/10/8、Catalinaが振ってきたので製品版用に記載を変えました。 32bitアプリを確認すること。 Activity Monitorで32bitアプリがわかるので、そういうアプリがあるなら代替品を見つけておくこと。 /etc以下のいくつかのファイルをバックアップしておくこと。 /etc …
»続きを読む

ディスクの不良を確認する(iostat -EnのError等)

ディスク関係のスタックをざっくり書くと次の様になっています 例、SAS Expanderを使う場合、 例、AHCIなどを使う場合、 これらのエラーは、次の様なコマンドで知ることができます。 出力結果例 このなかで、 たとえば、SATAディスクを利用している際に負荷が上がってしまい、ディスクの応答が間に合わないシチュエーションでは、Transport Errorが一気に …
»続きを読む

2017年、新年明けまして、おめでとうございます。

日記/2017年、新年明けまして、おめでとうございます。

新年明けまして、おめでとうございます。今年もよろしくお願いします。 昨年中は、皆様にお世話になりました。 昨年は、コツコツと3年程前から行ってきた改革がある程度完成された年で、この先5年、10年を見据えて、次のフェーズへと進む為の土台が完成した年でもありました。 それにキャッチアップする形で、個々の従業員一同が、役割を自覚し、明確に動けた年であったかと考えています。 …
»続きを読む

RSA鍵認証のみにし、Password認証を無効化する

意外に覚えきれなくて、いつも忘れるので、メモついでに残しておきます。 古いOpenSSHや、SunSSHの場合は、これも無効にします。 ユーザ目線でのザックリとした説明を。OpenSSHではなく別のSSH実装も含めて考えているので、OpenSSHのソースをじっくり読んだわけではないため、間違ってたらすみません。 まず、Password認証を無効にする場合、 PasswordAut …
»続きを読む

最新  |  << 前ページ  |  次ページ >>  |  最初