20.4. OpenSSH サーバーの設定
OpenSSH サーバーを実行するには、まず適切な RPM パッケージがインストールされている必要があります。
openssh-server パッケージが必要で、openssh パッケージに依存します。
OpenSSH デーモンは、設定ファイル
/etc/ssh/sshd_config を使用します。デフォルトの設定ファイルは、ほとんどの目的で十分です。デフォルトの sshd_config では提供されない方法で デーモンを設定する場合は、設定ファイルで定義できるキーワードの一覧については、sshd の man ページを参照してください。
OpenSSH サービスを起動するには、コマンド /sbin/service sshd start を使用します。OpenSSH サーバーを停止するには、コマンド /sbin/service sshd stop を使用します。システムの起動時にデーモンが自動的に起動するようにするには、18章 を参照してください。
再インストールすると、再インストールされたシステムは新しい ID キーのセットを作成します。再インストールの前にいずれかの OpenSSH ツールを使用してシステムに接続したクライアントには、以下のメッセージが表示されます。
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed.
システムに生成されたホストキーを保持する場合は、
/etc/ssh/ssh_host*key* ファイルをバックアップし、再インストール後に復元します。このプロセスはシステムのアイデンティティーを保持し、再インストール後にクライアントがシステムに接続しようとすると、警告メッセージを受信しません。
20.4.1. リモート接続に必要な SSH
SSH を本当の意味で有効なものにするには、Telnet や FTP などの安全ではない接続プロトコルを使用する必要があります。それ以外の場合は、ユーザーのパスワードが SSH を使用して 1 つのセッションで保護され、Telnet を使用したログイン時に後でキャプチャーされます。
無効にするサービスには以下が含まれます。
- telnet
- rsh
- rlogin
- vsftpd
システムに対するセキュアでない接続メソッドを無効にするには、コマンドラインプログラム chkconfig、ncurses ベースのプログラム /usr/sbin/ntsysv、または Services Configuration Tool (system-config-services)グラフィカルアプリケーションを使用します。これらのツールはすべて、ルートレベルのアクセスを必要とします。
chkconfig、/usr/sbin/ntsysv、および Services Configuration Tool を使用してランレベルとサービスを設定する方法の詳細は、18章 を参照してください。
