ServersMan@VPS(CentOS 5.4) ユーザー作成とSSH初期設定

ServersMan@VPS仮想専用サーバーサービス：ユビキタスプロバイダ DTI 
http://dream.jp/vps/

利用開始まで

申し込み: 2010/04/26 02:12
利用開始: 2010/05/13 16:21

GW挟みましたが、申し込みから利用開始まで約9営業日でした。んで放置気味でしたがようやく触ることに。

参考リンク

yamakawa.us - VPSサーバ(CentOS 5.4)の初期設定3：SSHサーバのログインを公開鍵認証方式に変更 
http://www.yamakawa.us/vpsserver/438.html

こちら非常に参考になりました(というかほぼコピーですが…＞＜)。

SSH ログイン

ssh root@xxx.xxx.xxx.xxx

ログイン元PCでのコマンド入力
- Macbook ターミナルからokでした

ユーザー作成

useradd user
passwd user

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

root以外の管理用ユーザーを作成
パスワードは2回入力

rootユーザーへのスイッチ許可

vim /etc/group

wheel::10:root,user

wheelグループに追加

鍵作成

su user
ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/user/.ssh/id_rsa):

Created directory '/home/user/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/user/.ssh/id_rsa.

Your public key has been saved in /home/user/.ssh/id_rsa.pub.

先程作成したユーザーにスイッチ
公開鍵と秘密鍵を作成
最初の入力は作成する鍵のファイル(の場所)
- そのままEnterだとデフォルトが適用
次の入力は鍵のパスフレーズ
- そのままEnterだとパスフレーズ無し

鍵の準備

cd /home/user/.ssh/
mv id_rsa.pub authorized_keys
cat id_rsa
exit

公開鍵をSSHの設定と同じ名前に変更
秘密鍵の内容を確認(コピーなどしてメモっておく)
rootユーザーに戻る

ssh設定変更

vim /etc/ssh/sshd_config

PermitRootLogin no
AuthorizedKeysFile      .ssh/authorized_keys
PermitEmptyPasswords no
PasswordAuthentication no
AllowUsers user

PermitRootLoginはroot ログインの可否
AuthorizedKeysFileは認証用公開鍵
PermitEmptyPasswordsは空パスワード可否
PasswordAuthenticationはパスワード認証可否
AllowUsersはssh ログイン許可ユーザー
AllowUsersは新たに追記、それ以外は存在する行の書き換え
編集の前にデフォルトの状態をcpして残しておくといいかもしれない
いったんパスワード認証可にしたままで鍵認証でのログインを確認するのが安全

sshd再起動

/etc/init.d/sshd restart
exit

Stopping sshd: [ OK ]

Starting sshd: [ OK ]

再起動したらいったんログアウト

管理用ユーザーでログイン

vim .ssh/serversman.key
chmod go-r .ssh/serversman.key
ssh -i .ssh/serversman.key user@xxx.xxx.xxx.xxx

ログイン元PCでのコマンド入力
先程確認した秘密鍵の内容でファイル作成
- (保存場所と拡張子は一般的にはどうなんでしょうか)
権限をオーナーのみ読み取り許可に変更
- これしないと「WARNING: UNPROTECTED PRIVATE KEY FILE!」と出てログイン不可
-iオプションに秘密鍵ファイルを指定して管理用ユーザーでログイン
鍵作成時のパスフレーズを入力
無事ログインできればok

留意点として、鍵認証にすると相当セキュアなのですが、万一ログインできなくなった場合の逃げ道(問い合わせ先等)を確認しておくこと、とインフラエンジニアさんに教わりました。404 Not Foundによると、ID/パスワード忘れの問い合わせは対応しているものの、サーバの初期化は検討中みたいです。おそらく対応してくれると思われますが、この辺はトレードオフでもあるためどう判断するかでしょうかね。

関連リンク

調べていて見つけたので追記でご紹介。

誰得UNIX-Blog: ServerMan@VPSでのOpenSSH設定 
http://daretoku-unix.blogspot.com/2010/04/servermanvpsopenssh.html

誰得UNIX-Blog: ServersMan@VPSでのiptables設定(state版) 
http://daretoku-unix.blogspot.com/2010/05/serversmanvpsiptablesstate.html

ServersMan@VPS 開通後にやっておくこと - VPS - CentOS5 - ServersMan@VPS - てもぐ 
http://temog.info/archives/vps/serversmanvps-%E9%96%8B%E9%80%9A%E5%BE%8C%E3%81%AB%E3%82%84%E3%81%A3%E3%81%A6%E3%81%8A%E3%81%8F%E3%81%93%E3%81%A8.html

ServersMan@VPSのCentOS 5で最初にする設定 | maeda.log 
http://maeda.farend.ne.jp/blog/2010/04/29/serversman-centos-initial-setup/