OpenSSHの設定ファイル、鍵ファイルについてまとめました。
※目次をクリックすると目次の下部にコンテンツが表示されます。
システム全体の設定ファイル /etc/ssh/ディレクトリ
●/etc/ssh/moduli
・Diffie-Hellman鍵交換に使用されるDiffie-Hellmanグループが格納されている。
・SSHセッションの始めで鍵が交換される時、共有秘密値が作成されるが、どちらか一方の当事者だけでは決定できない。この値はホスト認証を行う場合に使用される。
●/etc/ssh/ssh_config
・デフォルトのSSHクライアント設定ファイル。
・~/.ssh/configが存在する場合には、これにより上書きされる点に注意する。
●/etc/ssh/sshd_config
・sshd デーモン用の設定ファイル。
●/etc/ssh/ssh_host_dsa_key
・sshdデーモンにより使用されるDSA秘密鍵。
●/etc/ssh/ssh_host_dsa_key.pub
・sshd デーモンにより使用されるDSA公開鍵。
●/etc/ssh/ssh_host_key
・sshdデーモンにより使用されるSSHプロトコルのバージョン1用のRSA秘密鍵。
●/etc/ssh/ssh_host_key.pub
・sshdデーモンにより使用されるSSHプロトコルのバージョン1用のRSA公開鍵。
●/etc/ssh/ssh_host_rsa_key
・sshdデーモンにより使用されるSSHプロトコルのバージョン2用のRSA秘密鍵。
●/etc/ssh/ssh_host_rsa_key.pub
・sshdデーモンにより使用されるSSHプロトコルのバージョン2用のRSA公開鍵。
・Diffie-Hellman鍵交換に使用されるDiffie-Hellmanグループが格納されている。
・SSHセッションの始めで鍵が交換される時、共有秘密値が作成されるが、どちらか一方の当事者だけでは決定できない。この値はホスト認証を行う場合に使用される。
●/etc/ssh/ssh_config
・デフォルトのSSHクライアント設定ファイル。
・~/.ssh/configが存在する場合には、これにより上書きされる点に注意する。
●/etc/ssh/sshd_config
・sshd デーモン用の設定ファイル。
●/etc/ssh/ssh_host_dsa_key
・sshdデーモンにより使用されるDSA秘密鍵。
●/etc/ssh/ssh_host_dsa_key.pub
・sshd デーモンにより使用されるDSA公開鍵。
●/etc/ssh/ssh_host_key
・sshdデーモンにより使用されるSSHプロトコルのバージョン1用のRSA秘密鍵。
●/etc/ssh/ssh_host_key.pub
・sshdデーモンにより使用されるSSHプロトコルのバージョン1用のRSA公開鍵。
●/etc/ssh/ssh_host_rsa_key
・sshdデーモンにより使用されるSSHプロトコルのバージョン2用のRSA秘密鍵。
●/etc/ssh/ssh_host_rsa_key.pub
・sshdデーモンにより使用されるSSHプロトコルのバージョン2用のRSA公開鍵。
ユーザー固有の設定ファイル
●~/.ssh/authorized_keys
・サーバー用の認証済み公開鍵の一覧が含まれている。
・クライアントがサーバーに接続する時、サーバーはこのファイル内に格納されている署名済み公開鍵を確認してクライアントを認証する。
●~/.ssh/id_dsa
・ユーザーのDSA秘密鍵が含まれている。
●~/.ssh/id_dsa.pub
・ユーザーのDSA公開鍵。
●~/.ssh/id_rsa
・sshにより使用されるSSHプロトコルのバージョン2用のRSA秘密鍵。
●~/.ssh/id_rsa.pub
・sshにより使用されるSSHプロトコルのバージョン2用のRSA公開鍵。
●~/.ssh/identity
・sshにより使用されるSSHプロトコルのバージョン1用のRSA秘密鍵。
●~/.ssh/identity.pub
・sshにより使用されるSSHプロトコルのバージョン1用のRSA公開鍵。
●~/.ssh/known_hosts
・ユーザーによりアクセスされるSSHサーバーのDSAホスト鍵が格納されている。
・SSHクライアントが正しいSSH サーバーに接続していることを確認するために非常に重要。
・サーバー用の認証済み公開鍵の一覧が含まれている。
・クライアントがサーバーに接続する時、サーバーはこのファイル内に格納されている署名済み公開鍵を確認してクライアントを認証する。
●~/.ssh/id_dsa
・ユーザーのDSA秘密鍵が含まれている。
●~/.ssh/id_dsa.pub
・ユーザーのDSA公開鍵。
●~/.ssh/id_rsa
・sshにより使用されるSSHプロトコルのバージョン2用のRSA秘密鍵。
●~/.ssh/id_rsa.pub
・sshにより使用されるSSHプロトコルのバージョン2用のRSA公開鍵。
●~/.ssh/identity
・sshにより使用されるSSHプロトコルのバージョン1用のRSA秘密鍵。
●~/.ssh/identity.pub
・sshにより使用されるSSHプロトコルのバージョン1用のRSA公開鍵。
●~/.ssh/known_hosts
・ユーザーによりアクセスされるSSHサーバーのDSAホスト鍵が格納されている。
・SSHクライアントが正しいSSH サーバーに接続していることを確認するために非常に重要。
-
OpenSSH
- レンタルサーバー(VPS)にSSHでログイン
- VPS(レンタル)サーバー上のssh初期設定確認
- SSH接続の仕組み
- OpenSSHの設定ファイル
- OpenSSHの設定をよりセキュアに
- CentOS Stream9のSSH設定(OpenSSH)
- WinSCPを使ってファイル転送
- iptablesを使ってCentOSのファイアウォール設定
- nmapでオープンしているポート番号とバージョンを確認
- CentOSで不要なサービスは起動しないようにする
- RPMパッケージのインテグリティチェック
- CentOSのumaskの設定
- cronで使用するファイルのパーミッション設定
- ユーザーホームディレクトリ内の権限設定をセキュアにする
- CentOSのパスワードファイルのパーミッション設定
- findコマンドでファイル書込権限をいっせいにチェック
- findコマンドでセットユーザ(グループ)IDが不要にセットされていないかチェック
- findコマンドで所有者、グループが存在しないファイルを抽出
- ログイン時などに表示されるシステムバナーを変更するには?
- CentOSのユーザーアカウントのパスワードポリシーを設定
- pam_cracklibモジュールでパスワードポリシーを設定
- pam_unix.soモジュールを使って過去のパスワード再使用を制限する
- システムコンソールでのrootログインを制限する方法
- suコマンドによるrootへのスイッチを制限する
- root権限でのコマンド実行、sudoだと監査ログが取得できる
- デーモン用アカウントなどに対しシェルを使用を無効にする
- パスワード認証を失敗時にアカウントをロックアウトする設定
- rootアカウントのPATH環境変数のセキュリティについて
- auditdを使ってシステム監査
- auditdのログ容量の設定
- auditd監査ルールの設定方法
- auditdで時間設定変更操作を監査する
- auditdでユーザー・グループ設定ファイル変更操作を監査する
- auditdでネットワーク関連の設定変更を監査する
- auditdでログイン記録のログファイルの変更を監査する
- auditdでファイル所有者や権限の変更に関するイベントを監査する
- auditdでsetuid、setgidプログラムの実行を監査する
- auditdでマウント操作を監査する
- auditdでファイル削除操作を監査する
- auditdでsudo設定ファイルに対する操作を監査する
- auditdでカーネルモジュールのロード、アンロードを監査する
- マシン再起動後にauditdの設定変更を有効にする設定
- ausearch、aureportで監査ログのサマリレポートを作成
- NTPのセキュリティを考慮した設定
- セキュリティを考慮してX Windowsを設定または削除する方法
- ファイルの改ざん対策用にTripwireを導入
- CentOSにホスト型侵入検知ソフトAIDE(Advanced Intrusion Detection Environment)を導入
- アイドルのシェルを自動で強制終了させるには?
- CentOSでコアダンプを無効にする方法
- Linuxのbash脆弱性CVE-2014-6271、Shellshockを修整
- CentOSでバッファーオーバーフロー脆弱性に対する防御機能が有効になっているか確認する
ネットワーク、ポート番号
rpmパッケージ、サービス
パーミッション
ログイン、認証、パスワード、アカウント制御
auditdでシステム監査
ツール
トラブルシューティング