Oba-Q's Free Space >  サーバーネットワーク > 今更ですが@ssh-dssの脆弱性

今更ですが@ssh-dssの脆弱性

2年近く大事なことを書き忘れていました。

固定ページサーバーのところのOPEN-SSHについてです。
SSH-DSS(DSA)を例にして書いていましたが、 → こちら ←
実は2年ほど前にDSAの脆弱性が見つかり、現在は全てのサーバーで
RSAを使用しております。

やり方はdsaとほぼ一緒です。
ペアキーを作成します。(Linuxの場合)

# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):  *1
Enter passphrase (empty for no passphrase):    *2
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:vR2csCon/sQmNxYS0uksYdbB9UJ1NiuRIrm7LgjJL78 root@**.**.jp
The key’s randomart image is:
+—[RSA 2048]—-+
| ..oo.o.+ |
| o++…+ o |
| = =o..+ . |
| o =.. o = . |
|.. . +.S o + |
|o. ..o o o . |
| … +.X . . |
| ……X . |
| oE.oo.. |
+—-[SHA256]—–+

*1 パスやファイル名を変更しなければそのままEnter
*2 パスフレーズが不要なときはそのままEnter
  (自動バックアップ等の際にパスフレーズは邪魔)

これで/root/.ssh下にid_rsaと公開鍵であるid_rsa.pubが
作成されるので、ログインしたいサーバーの/root/.sshに
id_rsa.pubをコピーしてauthorized_keysのりネームするだけです。
その際644ではサーバーから600にしろ!と怒られます。(笑
サーバーでauthorized_keysを作成し、id_rsa.pubのから
コピペも同じことです。

ログインする(クライアント)側にid_rsa・ログインされる(サーバー)側に
authorized_keysがあればよいのですから、サーバー側で作成して
id_rsaをクライアント側にコピーしてもOKです。

注意 
拙生はrsyncをsshを通して自動バックアップをしているため
rootでのログインを許可したりパスフレーズをパスしていますが、
当然セキュリティは下がり別途対策が必要なので、通常は
rootのログインはさせない、パスフレーズの設定は行うほうが
よろしいかと。

セキュリティに関する記述は時間が経つとゴミになるので
古いやつは一度全部見返してみなきゃダメですね。

This entry was posted in サーバーネットワーク. Bookmark the permalink.

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Posts that do not include Japanese are ignored, so please be careful. (Anti-Spam)
日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

This site uses Akismet to reduce spam. Learn how your comment data is processed.