今更ですが＠ssh-dssの脆弱性

２年近く大事なことを書き忘れていました。

固定ページサーバーのところのOPEN-SSHについてです。
SSH-DSS（DSA)を例にして書いていましたが、 →　こちら　←
実は２年ほど前にDSAの脆弱性が見つかり、現在は全てのサーバーで
RSAを使用しております。

やり方はdsaとほぼ一緒です。
ペアキーを作成します。（Linuxの場合）

# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 　*1
Enter passphrase (empty for no passphrase): 　　　*2
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:vR2csCon/sQmNxYS0uksYdbB9UJ1NiuRIrm7LgjJL78 root@**.**.jp
The key’s randomart image is:
+—[RSA 2048]—-+
| ..oo.o.+ |
| o++…+ o |
| = =o..+ . |
| o =.. o = . |
|.. . +.S o + |
|o. ..o o o . |
| … +.X . . |
| ……X . |
| oE.oo.. |
+—-[SHA256]—–+

*1　パスやファイル名を変更しなければそのままEnter
*2　パスフレーズが不要なときはそのままEnter
　　（自動バックアップ等の際にパスフレーズは邪魔）

これで/root/.ssh下にid_rsaと公開鍵であるid_rsa.pubが
作成されるので、ログインしたいサーバーの/root/.sshに
id_rsa.pubをコピーしてauthorized_keysのりネームするだけです。
その際644ではサーバーから600にしろ！と怒られます。（笑
サーバーでauthorized_keysを作成し、id_rsa.pubのから
コピペも同じことです。

ログインする（クライアント）側にid_rsa・ログインされる（サーバー）側に
authorized_keysがあればよいのですから、サーバー側で作成して
id_rsaをクライアント側にコピーしてもOKです。

注意　
拙生はrsyncをsshを通して自動バックアップをしているため
rootでのログインを許可したりパスフレーズをパスしていますが、
当然セキュリティは下がり別途対策が必要なので、通常は
rootのログインはさせない、パスフレーズの設定は行うほうが
よろしいかと。

セキュリティに関する記述は時間が経つとゴミになるので
古いやつは一度全部見返してみなきゃダメですね。