SSHキーが必要な理由
その昔、一般の人がインターネットをほとんど使っていなかった時代はrsh(リモートシェル)やTelnetとかのコマンドで他のサーバのシェルを操作していましたが、利用者が増えるに従ってセキュリティリスクが増え、暗号化の要件が出て来ました。
1990年代中頃までかなりセキュリティ関係はゆるゆるでUNIXのx端末はデフォルトでxhost +になっていました。
これは何を意味しているかというと、x端末から他のx端末の画面を見る事ができたり、他のx端末を操作したりできました。
当時、xjokeとかいうxアプリがあって授業中に友人のx端末の画面をぐるぐる渦巻き状に溶かしたりして遊んでいました・・・
rshやtelnetは暗号化せずに平文を送るため、スニファーでパケットキャプチャすると通信内容が丸見えです。
ハンドシェイクのsyn/ackとかも全て見れるので入力したパスワードもその気になれば全て見えてしまいます。
サービスが生きているかサービスのポートにSynパケットを送って応答を確認したりしていました。
そこで、暗号化キーを使って暗号化した内容で通信するプロトコルができSSHとなりました。
UNIX(Linux含む)系のOSのシェルにセキュアにログインするためにはSSHキーのパブリックキーをサーバ側に登録し、秘密鍵を用いてログインします。
SSHキー(ペア)の作り方
ここではWindowsでSSHキーを作る方法を説明します。
必要なアプリはTelnet時代から第一線で活躍しているTeratermです。
Teratermがインストールされている前提で説明します。
Teratermを起動すると「新しい接続」のウィンドウが開きますが、右上の「x」をクリックして閉じます。
次に「設定」メニューの中の「SSH鍵生成」を選択します。
デフォルトの
【鍵の種類】RSA
【ビット数】2048
の状態のまま「生成」ボタンを押下します。
数秒かかって鍵が生成されると「公開鍵の保存」と「秘密鍵の保存」ボタンが活性化されてコメント欄にはWindowsのログイン名とかが入力されると思います。
コメントは任意なので何でも大丈夫です。
ここで「公開鍵の保存」を押下するとファイル保存ダイアログが出てきて公開鍵を保存する事ができます。
「秘密鍵の保存」ですが、鍵のパスフレーズを入力するとログインの時に秘密鍵以外にパスフレーズが必要になりますが、空白でも生成できます。
今回は空白パスフレーズで生成してみます。
空白だと一応メッセージが出ますが「はい」を押して保存します。
鍵は必ず、公開鍵と秘密鍵がペアで必要になりますので両方忘れずに保存してください。
二つの鍵でワンセットなので「キーペア」と呼びます。
OCIでの使い方
SSHではサーバ側に公開鍵を設置します。
ネットワークを介さずにKVM等で直接サーバにアクセスできる場合はサーバを構築した後にサービスとしてSSHを設定して所定の場所に鍵を置く事でサーバ側の公開鍵を設置できますが、OCIの場合、必ずネットワークを通してのサーバアクセスになり、最初のアクセスからSSHでのアクセスが必要になります。
そのため、OCIの場合はインスタンス作成時に公開鍵を設定します。
具体的な方法は次回、サーバ構築説明を書こうと思いますのでそちらで説明させて頂きます。
ここでは既にキーペアの公開鍵がサーバに設置されているサーバへのアクセスを説明します。
サーバのIPアドレス(又はドメイン)、ユーザー名がわからない場合はOCIコンソールのインスタンスメニューの該当インスタンスの詳細を見ると右の方に書いてあります。
OracleLinuxの場合はユーザー名はopcになります。
Teratermを起動し、ホスト欄にサーバのIPアドレスを入力し、「OK」を押下します。
そのサーバに初めてアクセスする場合はセキュリティ警告がでますので「続行」を押下します。
ユーザー名にopcを入力し、RSA/DSA/ECDSA/ED25519鍵を使うのラジオボタンの選択します。
秘密鍵ボタンが活性化するので押下します。
ファイル選択ダイアログでキーペアの秘密鍵の方を選択して「開く」を押下します。
秘密鍵がセットされたのでこの状態で「OK」ボタンを押下するとサーバに接続できます。
キーペア生成時にパスフレーズを入力した場合はユーザー名欄の下のパスフレーズ欄に入力しないとエラーになります
無事に接続されるとシェルのプロンプトが表示されます。
以上、SSHキーの作り方、使い方でした。