ssh の設定

メモ

• 2003 年度よりセキュリティの高い ssh2 をデフォルトで使用する.
  だたし, ssh1 のサポートも従来通り行う(mac, win のソフトが揃っていないため).
• ssh1,2 ともに nonpasslogin を可能にする. これは gate-toruku-system のみならず グループユーザにおける自動データ転送等に用いられる.
• ssh における x 転送を許可する.

X 転送許可

• sshd の設定ファイルを以下のように変更する

  # emacs /etc/ssh/sshd_config
  
  ---------------
  X11Forwarding yes
  ---------------
  

nonpasslogin 設定 (ssh する場合)

$ ls -l /usr/bin/ssh /usr/bin/ssh-keygen

-----
-rwsr-xr-x 1 root root 230248 Jul 12 19:52 /usr/bin/ssh
-rwsr-xr-x 1 root root 151496 Jun 20 01:23 /usr/bin/ssh-keygen 

# chmod 4755 /usr/bin/ssh /usr/bin/ssh-keygen

# emacs /etc/ssh/ssh_config



---------------
HostbasedAuthentication yes
PreferredAuthentications hostbased,publickey,password
---------------

nonpasslogin 設定 (ssh される場合)

# emacs /etc/ssh/sshd_config

---------------
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts no 
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication yes 
# similar for protocol version 2
HostbasedAuthentication yes 
# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication yes
---------------

# service ssh restart

nonpasslogin のテスト(ユーザレベルでの設定)

今回の場合, sango -> sango の nonpasslogin が行えればよい.
(別サーバへのテストを行う場合は, こちらを参照のこと)

mondo*@sango$ echo "sango.ep.sci.hokudai.ac.jp mondo*" > ~mondo*/.shosts

mondo*@sango$ chmod 600 ~mondo*/.shosts

mondo*@sango$ ssh sango.ep.sci.hokudai.ac.jp

The authenticity of host 'sango.ep.sci.hokudai.ac.jp (133.50.160.53)' can't be established.
RSA key fingerprint is ##:##:##:##:##:##:##:##:##:##:##:##:##:##:##:##.
Are you sure you want to continue connecting (yes/no)? yes
...
mondo*@sango$

ssh からのルートログインを禁止するように設定する

# emacs /etc/ssh/sshd_config

-----
 PermitRootLogin no