社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 【IIJ 2024 TECHアドベントカレンダー 12/6の記事です】 今年のIIJアドベントカレンダーは「運用」がテーマということなので、運用に欠かせない必携ツール筆頭であるSSHを取り上げ、SSHの秘密鍵を安全に管理する方法について考えたいと思います。 たとえSSH秘密鍵が漏洩しても、安全を確保する方法 踏み台サーバにSSH秘密鍵を置かずに利用する方法 SSH秘密鍵の安全な置き場所を考える SSH秘密鍵は一般的に ~/.sshにファイルとして管理されていると思いますが、不安に感じることはありませんか? ノートPCに
はじめに つい先日、GitHubのRSA SSHホスト鍵が突如差し替えられるという一件がありました。 We updated our RSA SSH host key 詳細に関しては識者による解説に委ねますが、ちょうどタイムリーな話題だったので、SSHをより安全に利用するという観点でおすすめ設定についていくつか紹介します。 なお、クリアコードではSSH以外にもおすすめzsh設定やおすすめEmacs設定という記事も公開しているので参考にしてみてください。 2023年5月11日更新:StrictHostKeyCheckingをyesにする場合の安全なknown_hostsの更新方法について追記しました。 おすすめ設定について クリアコードでは、.ssh/configのおすすめ設定を https://gitlab.com/clear-code/ssh.d にて公開しています。 これは、社内で.ss
去年の12月に「Gitで複数アカウントのssh接続ができたー」みたいな記事を書いてましたが、最近また問題が勃発。各リポジトリのgitのconfigファイルで正しくssh接続名を指定しても、sshでユーザ切り替えをしようとしても、なぜかユーザーが切り替わりません。 自分の環境ではGitHubアカウントごとにssh接続用の秘密鍵を使い分けているのですが、どうしても片方の秘密鍵でログインされてしまいます。 おかしいなと思ってググったら、~/.ssh/configで複数アカウントを運用する上で重要な設定IdentitiesOnly yesが抜けていたことが判明しました。 問題点 gitのconfigファイルに接続先を正しく設定していても、なぜかpermission deniedになってしまう。 さらに、sshコマンドでアカウント切り替えをしようとしても、なぜかアカウントが切り替わらない。 例) $
何を言っているんだと思われるかもしれないですが、気軽にパスワードの1文字目に「~」を使わないほうがいいというお話です。 起こった問題 踏み台サーバー経由でサーバーAに接続して作業をしていた時の話です。 いわゆる多段 ssh 接続というもので、リモートワークになってからは結構使われる方も多いかと思います。 サーバーA上で root 権限になろうと sudo su - してパスワードを入力したら Connection to xxx.xxx.yyy.zzz closed. の文字とともにサーバーAから追い出されてしまいました。 なにかの間違いだろうと何度か挑戦していたのですが、結果はサーバーAから切断され踏み台サーバーに戻る羽目に。。。 そのときに入力していたパスワードが ~.xxxxxxxxxx のような ~ から始まるものでした。 調査 ~ って何か意味があったよなーと思ってどう調べようかと
About SSH key passphrases You can access and write data in repositories on GitHub using SSH (Secure Shell Protocol). When you connect via SSH, you authenticate using a private key file on your local machine. For more information, see About SSH. When you generate an SSH key, you can add a passphrase to further secure the key. Whenever you use the key, you must enter the passphrase. If your key has
どうしてこうなった。 何の話? WindowsでのSSH-AGENTとSSHの話です。 この記事での用語: SSHとssh, SSH-AGENTとssh-agent この記事では、SSH-AGENTと書いたときにはカテゴリとしてのSSHエージェントを意味します。 ssh-agentと書いたときには、実行プログラムとしてのssh-agentコマンドを意味します。 同様に、SSHと書いたときにはカテゴリとしてのSSHクライアントを意味します。 sshと書いたときには、実行プログラムとしてのsshコマンドを意味します。 SSH-AGENTって? SSH-AGENTは、秘密鍵での署名を代行1してくれるツールです。 SSH-AGENT に秘密鍵をロードしてしまえば、あとはパスワード(パスフレーズ)入力なしでSSH認証できる agent forward機能を使うことで、SSHした先でさらにSSHすると
GitHubやGitLab上のリポジトリへgitコマンドでファイルをpushする時に、上手く接続出来なかったのでSSH Keyの作成からやり直してみました。これはその作業ログなので自分用忘備録です。 [参考資料] Connecting to GitHub with SSH - GitHub Help 実行環境 macOS High Sierra 10.13.3 SSH Keyを作成する ターミナルを開いてSSH Keyを作成します。 # 以下のコマンドで4096ビットのRSA暗号キーを作成する $ ssh-keygen -t rsa -b 4096 -C "your_emai[email protected]" Generating public/private rsa key pair. # 何も入力せずにEnterキーを押下すると「id_rsa」といファイル名でprivateキーが作成される
こんにちは。今回のテーマは「Ubuntu18.04のSSHポートを変更する」です。サーバーを運用しているとSSHポートを変更したくなる時もあるかと思います。今回はUbuntuで変更する方法です。Deb系のDebianも同様の方法で対応可能です。Red Hat系のCentOSとはファイアーウォールのコマンドが異なる以外は同様の考え方です。 [adsense02] 【目次】 SSHのポートは変えたほうが良いのか? 大まかな変更の流れ sshdの新ポートを設定 ファイアーウォールで新ポートを公開 新ポートでログイン出来ることのテスト ファイアーウォールで旧ポートを閉鎖 SSHのポートは変えたほうが良いのか? ときどきネット上でSSHポート変更に関する議論を見かけます。変更無意味派はポートスキャンで分かるからセキュリティが向上したとは言えないという意見ですし、変更有意義派はポートを変更する知識も持
昨日のエントリーで macOS Sierra の SSH で、秘密鍵のパスフレーズが Keychain 保存されない問題の解決方法 を書いたのですが、調べ事をはじめたきっかけは昨日書いていた内容ではなくて、 .ssh/config 肥大化していく問題を、なんとか出いないかと調べ始めたのがきっかけでした。 調べていたところ、 OpenSSH 7.3 から include でファイル分割ができるようになっていたようなので、こちらもメモエントリー。 .ssh/config を include でファイル分割管理何か方法ないかなーと、 SSH の config のオプションをみていたところ、 include なる文字を発見。 include できるの?って思って年始早々に検索したところ 7.3 からできるようになっていたーって記事を発見。 待望の.ssh/configファイル分割がSSH 7.3か
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 背景 これを知っていたからと言って何かの役に立つかというと、そうでない人の方が多いとは思うのですが、いい加減、SSHの公開鍵認証の説明がデマばかりなので、少しはちゃんとした説明もあった方が良いかもな、ということで記事にしました。 SSHについて 皆さんご存知の通り、SSHはSecureSHellの略であり、暗号によって保護された通信を通じて遠隔操作を行う1アプリケーション、またはプロトコル2を指します。 Linux等のUNIX系OSの遠隔操作3、またはネットワーク機器の管理に広く使われており、その実装としてはOpenSSHが有
GitHubとBitbucketに公開鍵を登録してSSHを使えるようにする方法です。HTTPSのように毎回パスワードを入力する手間もなくなります。 秘密鍵と公開鍵を作成する まずはGitHubとBitbucket用の鍵を作ります。 $ ssh-keygen -f ~/.ssh/id_rsa_github ... $ ssh-keygen -f ~/.ssh/id_rsa_bitbucket ... 作成されました。 $ ls .ssh/ id_rsa_bitbucket id_rsa_bitbucket.pub id_rsa_github id_rsa_github.pub 鍵の作成について詳細は Macで秘密鍵と公開鍵を作成する (ssh-keygenの使い方) - TASK NOTES 参照 SSHの設定をする 複数の鍵を使い分けるために~/.ssh/configを作成します。とりあ
何番煎じかわからないが、 ssh-keygen 最近他の種類も生成すること多くなってきたので。 まあ、 Advent Calendar ネタということで。 よーし埋めるぞ。 RSA 1024bit 以下 絶対に使ってはいけません。 古い puttygen.exe とかだと 1024 ビット以下の鍵が生成されることがあるので注意が必要です。 無難に RSA 2048bit よく使われますが、最近は計算機性能も向上したためか、このビット長の暗号は推奨されないようです。 とはいえNISTによると、2031年以降、RSA 2,048bitをはじめ強度の低いアルゴリズムはほとんどが使用禁止扱いになる。 ECDSAがスタンダードになるのは時間の問題。 ECDSA鍵をGitHubで使う - Qiita
以上の特徴を踏まえた上で、それでは実際に秘密鍵、公開鍵の鍵ペアを作りましょう。 Macの場合の公開鍵認証のやり方 ターミナルを開いた状態では、現在のパスはユーザーのホームディレクトリ( /Users/(ユーザーID) )になっていると思います。 ls -a コマンドでファイルのリストを表示し、もし .ssh ディレクトリが無ければ作成してください。 ディレクトリのアクセス権限は本人しか読み書きできない権限(700)にします。 $ mkdir .ssh $ chmod 700 .ssh .ssh ディレクトリに移動し、ssh-keygenコマンドを実行して秘密鍵と公開鍵のペアを作ります。 パスフレーズは自分が決めた適当な文字列を使用してください。 $ cd .ssh $ ssh-keygen Generating public/private rsa key pair. Enter file
最近はクラウド上のサーバーを利用する事も多くなってきた。 サーバーの用意やネットワーク周りの設定はインフラ部門がやってくれるけど、アプリのデプロイ/設定は開発者がする事が多いので、開発メインでやってるエンジニアでも最低限SSHの知識は必要になる。 また、Vagrant等でローカル環境にVMを作成する事もあるので、ローカル環境内でSSHを使用するケースも増えてきた。 というわけでインフラエンジニアじゃなくてもSSHクライアントの知識は必須になってきているので、改めてSSHの再学習をしてみることにした。 SSHとは 暗号や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコル。 SSHでは以下の点で従来のTelnetより安全な通信が行える。1 パスワードやデータを暗号化して通信する。 クライアントがサーバーに接続する時に、接続先が意図しないサーバーに誘導されていないか厳密に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
