差分

このページの2つのバージョン間の差分を表示します。

--- linux:open_ssh:server [2015/05/13 23:18] – [設定の反映] ともやん
+++ linux:open_ssh:server [2019/02/16 21:36] (現在) – 削除ともやん
@@ 行 1: / 行 1: @@
-====== ssh サーバーの設定 ======
-===== 基本設定 =====
-==== sshログインメッセージの設定 ====
-<code>
-$ sudo vi /etc/motd
-</code>
-<code>
-Tomoyan.net. Server 1号機
-</code>
-==== ssh サーバーの設定 ====
-以下のファイルの内容を編集する。<code>
-$ sudo vi /etc/ssh/sshd_config
-</code>
-==== 標準設定の port 22 の変更 ====
-<code>
-#Port 22
-Port 22022
-</code>
-==== root ユーザーのログインを禁止 ====
-<code>
-#PermitRootLogin yes
-PermitRootLogin no
-</code>
-==== パスワードではなく鍵によるログインに変更 ====
-<code>
-#PasswordAuthentication yes
-PasswordAuthentication no
-</code>
-==== 設定の反映 ====
-sshd サービスを再起動する。
-=== CentOS 6 ===
-<code>
-$ sudo service sshd restart
-sshd を停止中:                                             [  OK  ]
-sshd を起動中:                                             [  OK  ]
-</code>
-=== Fedora / CentOS 7 ===
-<code>
-$ sudo systemctl restart sshd
-</code>
-==== ファイヤーウォール設定 ====
-=== CentOS 6 以前 ===
-定義を追記する。
-<code>
-$ sudo vi /etc/sysconfig/iptables
-</code>
-<code>
--A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22022 -j ACCEPT
-</code>
-=== Fedora / CentOS 7 ===
-許可されているサービスの確認。
-<code>
-$ sudo firewall-cmd --list-services
-mdns dhcpv6-client ssh
-</code>
-ssh の許可を永続的に削除
-<code>
-$ sudo firewall-cmd --permanent --remove-service=ssh
-</code>
-代わりにポート 22022 を永続的に許可。
-<code>
-$ sudo firewall-cmd --permanent --add-port=22022/tcp
-</code>
-firewalld の状態を失わずにリロード。
-<code>
-$ sudo firewall-cmd --reload
-</code>
-\\
-許可されているサービスの確認。
-<code>
-$ sudo firewall-cmd --list-services
-mdns dhcpv6-client
-</code>
-許可されているポートの確認。
-<code>
-$ sudo firewall-cmd --list-ports
-/tcp
-</code>
-==== sudo の後もエージェントフォワードを引き継ぐ方法 ====
-<code>
-$ sudo visudo
-</code>
-<code autoconf>
-#
-# Adding HOME to env_keep may enable a user to run unrestricted
-# commands via sudo.
-#
-# Defaults   env_keep += "HOME"
-Defaults    env_keep += "SSH_AUTH_SOCK"
-</code>
-==== SSH chroot の設定 ====
-=== ユーザー作成 ===
-<code autoconf>
-$ sudo useradd [username]
-</code>
-=== SSHユーザーのルートディレクトリを作成 ===
-<code autoconf>
-$ sudo mkdir -p /var/ssh_root/[username]
-</code>
-=== SSH公開キーの設定 ===
-※SSHサーバーが公開鍵認証に設定されていることを前提とします。
-  - SSHの設定を保存するディレクトリを作成。<code>
-$ sudo mkdir /home/[username]/.ssh
-</code>
-  - SSHユーザーがオーナーになるように設定。<code autoconf>
-$ sudo chown [username].[username] /home/[username]/.ssh
-</code>
-  - オーナーのみアクセスを許可するようにパーミッションを設定。<code autoconf>
-$ sudo chmod 700 /home/[username]/.ssh
-</code>
-  - 認証を許可するユーザーの公開鍵(OpenSSH形式)を登録。<code autoconf>
-$ sudo vi /home/[username]/.ssh/authorized_keys
-</code><code>
-ssh-rsa AAAAB...
-</code>
-  - 公開鍵のオーナー/パーミッションを設定。(これを適切に行わないとssh/sftpの認証エラーが発生する。) <code autoconf>
-$ sudo chown [username].[username] /home/[username]/.ssh/authorized_keys
-$ sudo chmod 600 /home/[username]/.ssh/authorized_keys
-</code>
-=== sshdの設定 ===
-  - sshd設定ファイルを編集。<code>
-$ sudo vi /etc/ssh/sshd_config
-</code>
-  - sftp-server をコメントアウトして internal-sftp を利用するように変更。<code autoconf>
-# override default of no subsystems
-#Subsystem      sftp    /usr/libexec/openssh/sftp-server
-Subsystem       sftp    internal-sftp
-</code>
-  - ユーザー毎のchroot設定を追加。<code autoconf>
-Match User [username]
-        ChrootDirectory /var/ssh_root/[username]
-        X11Forwarding no
-        AllowTcpForwarding no
-        ForceCommand internal-sftp
-</code>
-=== sshdの設定を反映 ===
-== Fedora ==
-<code>
-$ sudo systemctl reload sshd.service
-</code>
-== CentOS ==
-<code>
-$ sudo service sshd reload
-</code>
-===== トラブルシューティング =====
-==== secure ログに subsystem request for sftp failed, subsystem not found が記録される =====
-sshd_config に internal-sftp の設定漏れ。
-<code>
-# override default of no subsystems
-#Subsystem      sftp    /usr/libexec/openssh/sftp-server
-Subsystem       sftp    internal-sftp
-</code>