Setup *BSD environment/security

Last-modified:

SSH1 の設定

ssh1 はサーバ/クライアント間で 暗号化された TCP/IP 通信を行うプログラム群(およびプロトコル) の総称である．クライアントがサーバを介して別のホストへの通信も可能となっている．

1. sshd の設定

• ssh-1.2.27 を pkg でインストール
• /etc/services の port 22 を有効にする
• 実はほとんど設定不要

  	/etc/sshd_config	sshd 設定ファイル
  	/etc/ssh_config		ssh クライアント設定ファイル
  	/etc/ssh_host_key	(ホスト用秘密鍵)
  	/etc/ssh_host_key.pub	(ホスト用公開鍵)
  

• 念のため，RSA のみアクセス可能にするために sshd_config を修正．

  	RhostsAuthentication	no
  	RhostsRSAAuthentication	no	#(サーバベースのRSA用)
  	RSAAuthentication	yes	#(クライアントベースのRSA用)
  	PasswordAuthentication	no
  	PermitEmptyPasswords	no
  

• rc.d/sshd で sshd が起動することを確認

2. ssh クライアントの設定

• ssh-keygen1 でキーを作る(~/.ssh/identity, ~/.ssh/identity.pub)．

  % ssh-keygen1
  

  	identity	秘密鍵(クライアントが持つ)
  	identity.pub	公開鍵(サーバに置く)
  

• 出来た公開鍵をサーバに登録する．公開鍵は通常の転送で問題ない．

  % rcp ~/.ssh/identity.pub server:/home/user/.ssh/
  % rlogin server
  % cd ~/.ssh
  % cat identity.pub >> authorized_keys
  

3. local port のフォワーディング設定

• connect を /usr/local/bin/ にインストール(connect.c を入手)
• ~/.ssh/config を次のように設定(クライアント側として設定)

  	Host		(name)
  	HostName	(remotehost)
  	Port		22		#ssh port
  	User		(username)
  	ProxyCommand	(後述)
  	IdentityFile	~/.ssh/remote_key
  

• ssh を起動 (例えば irc-server で IRC の場合)

  	% ssh -L 6667:(irc-server):6667 (name)
  

• これで localhost:6667 への通信は irc-server:6667 への通信となる．

config の ProxyCommand は，ssh の通信を行う際に使用するプログラムを記述できる． このプログラムはフィルタの役目を果たし，ssh の標準入出力を受けることができる．

	ProxyCommand	/usr/local/bin/filter %h %p

この例では，鍵で暗号化された標準入力を /usr/local/bin/filter にて処理して sshd に送信する． %h は sshd の相手先ホスト名，%p は相手先ポート名に変換され，filter の引数として 渡すことができる．

ttssh(Tera Term Pro による SSH クライアント)

BSD とは関係ないが，Windows のターミナルアプリ Tera Term Pro を ssh に対応させる ttssh の設定方法を示す．
何も用意していなければクライアントである Windows 側で鍵を生成することは出来ないので， ここではサーバ(UNIX 側)で鍵を生成し，クライアントに持って行く方法を取ることにする．

1. ttssh の設定

• Windows にて ttermp23.zip, ttssh*.zip をインストール．
• サーバの ssh-keygen1 でキーを作る(~/.ssh/identity, ~/.ssh/identity.pub)．

  % ssh-keygen1
  

• 出来た公開鍵をサーバに登録する．

  % cd ~/.ssh
  % cp ./identity.pub ./authorized_keys (ユーザ側公開鍵)
  

• サーバ上の identity(秘密鍵) を Windows 側(例えば C:\Program Files\ttermpro\)に置く． サーバの identity は消去する．
  ※ 秘密鍵はネットワークを介して ftp などで転送しないこと． Password Authentication(鍵を使わない) でログインして転送するか，FD などで直接コピーする．
• Windows の ttssh を起動し，一度キャンセルして設定メニューで各種設定を行う．

  	SSH			ssh_known_hosts
  	SSH Authentication	User name を入力
  				Use RSA key to login は C:\Program Files\ttermpro\identity
  

• これで SSH とホスト名を選べば，ログインできるはずである．

2. ttssh のフォワーディング設定

• SSH Forwarding メニュー

  	Forward local port	8021
  	to remote machine	ftp接続先
  	port			21
  

• 設定を保存して ttssh を再起動し，ssh 接続する．
• localhost:8021 は ftp接続先:21 になるので，localhost:8021 への ftp で接続先への ftp が可能 (ftp は pasv が可能なクライアントを使うこと)

ssh2 の 設定

• ssh1 に比べて，セキュリティは強化されている．
• 法人化により ssh2 はライセンスが厳しくなっている．フリーで配布されているものは 「個人または教育機関」以外では使用を制限されているので注意が必要である．

1. sshd の設定

インストールして起動するだけで，通常使う分には設定は不要．

2. ssh client の設定(UNIX)

• ssh-keygen2 で キーを作る(id_dsa_1024_a,id_dsa_1024_a.pub ができる)．

  % ssh-keygen2
  

  	id_dsa_1024_a		秘密鍵(クライアントが持つ)
  	id_dsa_1024_a.pub	公開鍵(サーバに置く)
  

• ファイル名を変更しておく．

  % cd ~/.ssh2
  % mv id_dsa_1024_a     client_key
  % mv id_dsa_1024_a.pub client_key.pub
  

• クライアントの秘密鍵を登録する．

  % cd ~/.ssh2
  % echo "IdKey client_key" >> identification
  

• サーバに公開鍵を登録する．公開鍵は通常の転送で問題ない．

  % rcp ~/.ssh2/client_key.pub server:/home/user/.ssh2/
  % rlogin server
  % cd ~/.ssh2
  % echo "key   client_key.pub" >> authorization
  

TCP wrapper の 設定

• inetd.conf を tcpd を使うように変更

  	telnet stream tcp nowait root /usr/local/bin/tcpd in.telnetd
  	                              ^^^^^^^^^^^^^^^^^^^
  

• /etc/hosts.allow でアクセスを制限(以下の例はlocalhost と 10. のみ接続可)

  	in.telnetd,in.ftpd:127.0.0.1,10.:allow	# サービスを限定
  	ALL:127.0.0.1,10.:allow			# サービス全部
  	ALL:ALL:deny
  

• inetd と syslogd を再起動
• /var/spool/* にログが取られている．