aka:ssh

• 基本情報
  • aka:SSH Basics

• 運用方針
  • 秘密鍵のセキュリティを中心に考える。
  • 鍵の数をなるべく増やさないようにする。
  • 端末というか環境を二つの軸で四つに分類する。第一の軸は、個人環境（自分だけがルート権限を持つ）と共用環境（自分以外のものもルート権限を持つ）。第二の軸は、Internetから隔離された環境とそうでない環境（公衆WiFi、3G等のモバイル環境等）。

    |----------+----------------+--------------|
    |          | 個人(Personel) | 共用(Shared) |
    |----------+----------------+--------------|
    | Bastion  |                |              |
    |----------+----------------+--------------|
    | Isolated |                |              |
    |----------+----------------+--------------|
    

• この四つの環境間では、秘密鍵は使いまわさない。パスフレーズも異なるものとする。
• まずそれぞれの環境カテゴリにおける第一のファイル名はそれぞれ次のものとする。YYYYMMDDは作成年月日であり、HOSTNAMEは作成した環境が属するホストの名前とする。
  • ssh-userkey-personel.bastion-HOSTNAME-YYYYMMDD(.pub)
  • ssh-userkey-personel.isolated.LANNAME-HOSTNAME-YYYYMMDD(.pub)
  • ssh-userkey-shared.bastion-HOSTNAME-YYYYMMDD(.pub)
  • ssh-userkey-shared.isolated.LANNAME-HOSTNAME-YYYYMMDD(.pub)
• personel.bastionの鍵は単一のものを使い回すことを基本とする。
  • ただし、相手先の都合にて二つ以上の鍵が必要になった場合は作成し、運用する。
  • たとえば、Githubにて複数アカウントを使いたい場合、アカウント毎に異なる鍵が必要である。
  • そういった場合は複数鍵を作成して運用する。
  • それぞれの鍵の用途に関する説明は、.ssh/configに記述することとする。
• isolated用の鍵については共通化できるところは共通化する形でまとめる。
• personel.bastionを主に使う。他のものはセキュリティ的にどうしても必要なときに作成し、使用する。
• 公開鍵の公開に制限はないが、公開鍵の設置は必要最低限に留める。
• 鍵の暗号方式は、4096bitのRSAとする。
• 鍵を共有するときだけ、パスワード認証を開ける。
• 鍵の作成は'~/.ssh/key-factory/'内で行う。このディレクトリのmodeは.sshと同じ、700とする。
• '~/.ssh/config'のmodeは600とする。

• コマンド例と設定例
  • 鍵作成

    $ ssh-keygen -t rsa -b 4096 -f ssh-userkey-personel.bastion-XXXXXXX-20111230 -C "ssh-userkey-personel.bastion-XXXXXXX-20111230"
    

  • authorized_keysに公開鍵追加

    $ cat ~/.ssh/authorized_keys 
    [...]
    ssh-rsa AAAAB3NzJNJmw1jL670nMw2[ ... ]W/J/6pbhiG8l3x4GG8gDiDYVfmw== ssh-userkey-personel.bastion-XXXXXXX-20111230
    $ 
    

  • ssh_config 設定追加

    $ pwd
    /Users/aka/.ssh/
    $ cat config
    Host github
      HostName github.com
      User git
      PasswordAuthentication no
      ChallengeResponseAuthentication no
      PubkeyAuthentication yes
      RSAAuthentication yes
      # Identity for the default account
      IdentityFile ~/.ssh/ssh-userkey-personel.bastion-XXX-20111230
      # Identity for akacs account
      IdentityFile ~/.ssh/ssh-userkey-personel.bastion-XXX-20120128
      # I have two accounts on the github. The default account and akacs account.
      # I created the second 'personel.bastion' key pairs because the github doesn't allow to use same key for different accounts.
    
    Host *
      PasswordAuthentication no
      ChallengeResponseAuthentication no
      PubkeyAuthentication yes
      RSAAuthentication yes
      IdentityFile ~/.ssh/ssh-userkey-personel.bastion-XXX-20111230
    $
    

  • sshd_config 設定例

    $ cat /etc/sshd_config
    SyslogFacility AUTHPRIV
    RSAAuthentication yes
    PubkeyAuthentication yes
    AuthorizedKeysFile      .ssh/authorized_keys
    PasswordAuthentication no
    # PasswordAuthentication yes
    PermitEmptyPasswords no
    ChallengeResponseAuthentication no
    AcceptEnv LANG LC_*
    Subsystem       sftp    /usr/libexec/sftp-server
    $