ssh の設定

本ドキュメントは DNS サーバにおいて ssh を用いるための手引である.

[1.1] ssh を用いる理由

専攻サーバでは, ネットワークを利用した遠隔操作を行う場合, SSH を用いることを推奨している. それは, パスワードを含む全ての通信内容が暗号化されるからである. 特に, DNS サーバは管理者グループのみがログイン可能であり, 一般のユーザにはアカウントを作成していないため, telnet や ftp といったパスワードが平文でネットワーク上を流れてしまうようなサービスをする必要は無い. 原則的には, 全ての通信を ssh によって行うべきである.

また, もう一つの理由として, ユーザ/DNS 管理システムとして用いている gate-toroku-system が, そのデータベース転送において ssh を利用していることが挙げられる. gate-toroku-system が ssh を用いている理由は, 上記と同様である.

[1.2] ssh プロトコル 1, 2

Debian GNU/Linux 3.0 -woody- では, 旧来の SSH1 に加え, さらにセキュアになった SSH2 プロトコルが標準装備されるようになった. 2003年度以降の専攻サーバでは, OS のバージョンを 3.0 に挙げると共に SSH2 プロトコルをサポートすることにした. まだ SSH2 をサポートしていない OS も多々あるという理由でしばらくは旧来の SSH1 プロトコルもサポートしていたが, 2006年度以降は SSH2 プロトコルのみサポートする.

2. 設定

[2.1] パッケージのインストール

以下のパッケージをインストールする.

[2.1.1] パッケージ

パッケージ解説

ssh ssh を用いるためのパッケージ. これをインストールするだけで, クライアントとして ssh を用いることができるだけでなく. サーバとして sshd (ssh デーモン) を起動してリモートからのログインを受け付けることが可能になる.

パッケージ	解説
ssh	ssh を用いるためのパッケージ. これをインストールするだけで, クライアントとして ssh を用いることができるだけでなく. サーバとして sshd (ssh デーモン) を起動してリモートからのログインを受け付けることが可能になる.

[2.1.2] インストール中の質問

/usr/bin/ssh に s ビットを立てるかどうか?
gate-toroku-system で利用するにあたり, ssh には s ビットが立っている必要がある. よって Yes と答える. なお, うっかり No を答えてしまった場合は後で chmod コマンドを使用して s ビットを立てておくこと.
ssh2 のみを使用可能にするか?
Yes と答える. なお, No と答えてしまった場合は後で sshd の設定ファイルである /etc/ssh/sshd_config のしかるべき場所を設定しなおす必要がある.

[2.2] /etc/ssh/sshd_config の編集

sshd (ssh デーモン) の設定ファイルは /etc/ssh/sshd_config である. 以下では, この設定ファイルを編集する. なお, 詳しくは sshd_config(5) のマニュアルを参照して欲しい.

# vi /etc/ssh/sshd_config

[2.2.1] プロトコル 1, 2 の選択

SSH1 を用いるか SSH2 を用いるかは Protocol によって決められる.

Protocol 2

[2.2.2] X 転送許可

Debian GNU/Linux 3.0 -woody- からは ssh による X 転送がデフォルトでは禁止されるようになった. X 転送を許可するかどうかは設定ファイルの X11Forwarding で指定する. なお, これは管理者の好みなので自由にしてもらいたい.

X11Forwarding no

[2.2.3] root の遠隔ログイン禁止

ssh で不正にアクセスを試みた形跡があったので root に対して遠隔ログインを禁止する.

PermitRootLogin no

3. 使い方

以下では, ssh の使い方に関して簡単に説明する. 詳しくは ssh(8) のマニュアルを参照して欲しい.

$ ssh [ホスト名] -l [ユーザ名]

リモートのホストに ssh を用いてログインする. 当然リモートのホストには 1) [ユーザ名] のアカウントが作成されており, 2) sshd が動作している, 必要がある. 例) ssh www.ep.sci.hokudai.ac.jp -l hogehoge

$ ssh -X [ホスト名] -l [ユーザ名]

-X オプションを付けることにより, X 転送を可能にする. ログイン後, emacs や xeyes などを起動してみると効果がわかるだろう. なお, サーバ側はX 転送許可を与えておく必要がある.

リモートホストのファイルをローカルにコピー
# scp [ユーザ名]@[ホスト名]:[ファイル名]   [コピー先のパス] 

ローカルのファイルをリモートホストにコピー
# scp [ファイル名]   [ユーザ名]@[ホスト名]:[コピー先のパス]

ssh を用いて, ftp のようにファイルの転送を行うことも出来る. 上記のように scp コマンドを用いる.
例1) ssh hogehoge@www.ep.sci.hokudai.ac.jp:/home/gate/gate-toroku-system.tar.gz /home/hogehoge/
例2) ssh /home/hogehoge/test.pdf hogehoge@mail.ep.sci.hokudai.ac.jp:/home/hogehoge/


▲ Indexヘ	作成日：2003/02/10(森川靖大)	Copyright © 2003 EPnetFan