「Linux」でSSH鍵認証をセットアップするには--ログインの安全性を高める

Jack Wallen (Special to ZDNET.com) 翻訳校正: 編集部

2022-11-04 07:45

 「Secure Shell」(SSH)は、リモートの「Linux」マシンにアクセスするためのデファクトスタンダードのプロトコルだ。SSHはずっと前にtelnetに取って代わっており、リモートログイン用の新たなセキュリティ層を追加した。これは、多くの人が強く求めていた機能だった。

 ただし、SSHのデフォルト設定は、自らのシステムのセキュリティについて深く懸念しているユーザーにとって、必ずしも最適なものではない。初期状態では、SSHは従来のユーザー名とパスワードによるログインを使用する。これでもtelnetを使用する場合に比べるとはるかに安全だが、インターネット上でパスワードを入力して送信することに変わりはない。

 何者かがそのパスワードを傍受した場合、あなたのマシンにアクセスすることが可能になる(ただし、あなたのユーザー名も知っている必要がある)。

 これよりもはるかに優れた方法がある。SSH鍵認証だ。鍵認証では、ユーザー名とパスワードによる認証ではなく、鍵ペアを使用する。これがなぜ重要なのだろうか。鍵認証によってセキュリティが強化される最大の理由は、一致する鍵ペアを持っていない限り、それらのサーバーにアクセスできないことだ(それらのサーバーで、SSH鍵認証が適切に設定されている必要がある)。

 SSH鍵認証の仕組みは、以下の通りだ。

  1. SSH鍵を生成する。
  2. 公開鍵をリモートサーバーにアップロードする。
  3. 鍵認証のみを許可するようにSSHを設定する。
  4. サーバー上の公開鍵と一致する秘密鍵が格納されたデスクトップからログインする。

 適切に設定した後は、一致する秘密鍵を持っていなければ、サーバーへのリモートアクセスが許可されなくなる。秘密鍵がなければ、アクセスできない。その秘密鍵を他者に知られない限り、安全を維持することが可能だ。

 では、どのように設定を実行すればいいのだろうか。本記事では、その手順を紹介する。

必要なもの

 SSH鍵認証のセットアップには、少なくとも2台のLinuxマシンが必要だ。1つはログイン先のマシンで、もう1つはログイン元のマシンだ。ここでは、デスクトップに「Pop!_OS」を、リモートサーバーに「Ubuntu Server」を使用して、説明を進める。とはいえ、この手順はほぼすべてのLinuxディストリビューションで同じように機能するはずだ。それらのマシンに加えて、sudo権限を持つユーザーも必要だ。さらに、ローカルマシンとリモートマシンの両方で同じユーザー名を使用している必要がある。

 必要なものは以上である。それでは、SSHのセットアップに移ろう。

LinuxでSSH鍵認証をセットアップしてログインの安全性を高める方法

1. ターミナルウィンドウを開く

 デスクトップOSで、ターミナルウィンドウを開く。

2. SSH鍵ペアを生成する

 ターミナルウィンドウで、以下のコマンドを実行してSSH鍵ペアを生成する。

ssh-keygen

 最初に、鍵を保存したい場所を尋ねられる。デフォルトの場所に保存するのが得策なので、プロンプトが表示されたら「Enter」キーを押してほしい。次に、鍵ペアのパスワードを入力して確認するよう求められる。このパスワードは強力で一意のものにする必要がある。空のパスワードは安全ではないので、使用しないでほしい。

3. 新しい公開鍵をリモートサーバーにコピーする。

 このステップは少し複雑だ。公開鍵をリモートサーバーに送信する必要がある。そのためには、サーバーのIPアドレスを知っている必要がある。サーバーにログインして、ip aコマンドを実行すると、そのサーバーのIPアドレスを取得できる。IPアドレスが表示されるはずだ。その情報を入手したら、デスクトップに戻って、以下のコマンドを実行し、公開鍵をサーバーに送信する。

ssh-copy-id SERVER

 SERVERはリモートサーバーのIPアドレスだ。

 リモートサーバーのユーザーのパスワードを入力するよう求められる。認証に成功すると、公開鍵がコピーされ、SSH鍵認証の準備が整う。これで、リモートサーバーへのログインを試みると、ユーザーパスワードではなく、SSH鍵パスワードの入力を求められるようになった。

SSH経由の接続だけを許可するようにリモートサーバーを設定する方法

 鍵をコピーしたら、リモートマシンにログインする。ここでは、SSH経由の接続だけを許可するようにSSHサーバーを設定する。これを実行する前に、注意しておくべきことがある。この設定が完了すると、マシン上でSSH鍵認証をセットアップしたユーザー以外は、アクセスを許可されなくなる。したがって、そのリモートサーバーへのログインに使用するすべてのデスクトップマシンからSSH鍵をコピーしておく必要がある。

 それが完了したら、以下のコマンドを実行して、リモートサーバー上のSSHデーモン設定ファイルを開く。

sudo nano /etc/ssh/sshd_config

 そのファイルで、以下の行を探す。

PasswordAuthentication yes

 その行を以下のように変更する。

PasswordAuthentication no

 ファイルを保存して閉じる。以下のコマンドでSSHを再起動する。

sudo systemctl restart sshd

 これで、SSH鍵認証以外の方法では、そのマシンにリモート接続できなくなった。一致する鍵ペアを持たないマシンは、アクセスを拒否される。

 おめでとう。Linuxサーバーに新たなセキュリティ層を追加する作業は、これで完了だ。

提供:Oscar Wong/Getty Images
提供:Oscar Wong/Getty Images

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]