今までサーバー内に入ってgit pullしてデプロイメントをしていたんだけれど、とても21世紀とは思えないのでcapistranoを導入しました。ついでにロードバランサーを設けてアプリケーションサーバー2台の構成にしてみたんですがssh-key周りが気になりました。 これまでサーバ内でssh-keygenして公開鍵をgithubのdeploy_keyに置いていたんだけどこの方法だとサーバ台数が増える度にgithub上の公開鍵の数も増えていくし管理もクソもあったもんではないと思いググっていたらどうやらssh-agentという方法があるらしい。 ssh-agentを使用すると、capistranoコマンドを叩く開発者のssh-keyを使ってデプロイをしてくれる。 まずcapistranoのコードは以下のようになる。 server '○○○.×××.○○.××', user: "hogehoge
$ ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key.pub 1024 29:3f:e1:d7:12:9e:9b:47:07:77:6e:3d:98:87:ba:63 /etc/ssh/ssh_host_dsa_key.pub (DSA) $ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub 2048 31:3a:2d:90:c5:21:ef:bd:a9:d9:a3:f9:00:48:e0:fc /etc/ssh/ssh_host_rsa_key.pub (RSA) $ ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub 256 1a:b9:16:84:a7:86:0f:b3:e3:e8:42:3f:bc:55:c3:20 /etc/ssh/ssh_host_ecd
何番煎じかわからないが、 ssh-keygen 最近他の種類も生成すること多くなってきたので。 まあ、 Advent Calendar ネタということで。 よーし埋めるぞ。 RSA 1024bit 以下 絶対に使ってはいけません。 古い puttygen.exe とかだと 1024 ビット以下の鍵が生成されることがあるので注意が必要です。 無難に RSA 2048bit よく使われますが、最近は計算機性能も向上したためか、このビット長の暗号は推奨されないようです。 とはいえNISTによると、2031年以降、RSA 2,048bitをはじめ強度の低いアルゴリズムはほとんどが使用禁止扱いになる。 ECDSAがスタンダードになるのは時間の問題。 ECDSA鍵をGitHubで使う - Qiita
答えを見つけるのにかなり苦労した。 CentOsでchrootを設定しようと試行錯誤をしていたのだけど どういうわけかWinSCPでアクセスして、ファイル転送しようとすると Permissionセラーとなり、ファイルを転送できない。 ポートやカーネルなどなど 色々検討してみたが、結果的に改善できず、 思わずあきらめようかと思ったりもした。 でも、無事に転送ができるようになった。 そこでchroot設定について記載しておく。 ユーザ追加 useradd sftpuser passwd sftpuser usermod -d / sftpuser ディレクトリの設定 chmod 755 /home/sftpuser/ chown root:root /home/sftpuser/ mkdir /home/sftpuser/data/ chmod 755 /home/sftpuser/data/
vagrant upしたらSSH auth method: private keyで処理が止まってしまい、そのままタイムアウトしてしまったので、その時の対応をまとめました。 環境 使用したBOX: CentOS-6.8から作った自作Box ホストOS: OS X El Capitan 状況 自作のBoxの作成が終わって使えるかどうかを試そうとvagrant upをしたところ、SSH auth method: private keyで止まってしまい、そのままタイムアウトしてしまいました。 原因を探っているうちに以下のことがわかりました。 VM自体は無事に起動している ポートフォーワーディングの設定も適切である。 vagrantを使わずに、VMを起動した際sshの接続を行おうとしても繋がらない(boxの大元のvmではsshの接続が行えました) 原因 「vagrantを使わずに、VMを起動した際
public static void main(String args) { Session session = null; Channel channel = null; ChannelSftp channelSftp = null; try(InputStream input = fileService.loadFile("filePath") { JSch jsch = new JSch(); jsch.addIdentity("key_to_prv_key_path"); // 秘密鍵指定 jsch.setKnownHosts("~/.ssh/known_hosts"); // ←これ session = jsch.getSession(user, hostname, port); // このやりかたはなぜかうまくいかなかった // Properties config = new
sshでログインした時にこうならないために。 hoge@ababa:~$ ssh hoge@ugogo Could not chdir to home directory /home/hoge: No such file or directory hoge@ugogo:/$ logout # 仕方ないrootでログインして作り直そう…と思ってログアウト Connection to ugogo closed. hoge@ababa:~$ /etc/pam.d/sshdに以下を追記。 # Create home directory automatically. session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 するとこうなる Creating directory '/home/hoge'. Last login: Sat
複数サーバ間の設定ファイルを比較したいときはこうすればよいです。 ローカルファイルとリモートサーバのファイルを比較 $ ssh remotename cat /etc/hosts | diff /etc/hosts - こういう書き方もあります。 $ diff <(ssh remotename cat /etc/hosts) /etc/hosts リモートサーバ間のファイルを比較 $ diff <(ssh remote1 cat /etc/hosts) <(ssh remote2 cat /etc/hosts) 解説 ssh hostname cat /path/to/file "cat /path/to/file"というコマンドを別サーバ(hostname)上で実行させて、結果を自マシンの標準出力に出力します。 diff /path/to/file - diffで、ファイル名を指定する代
概要 Linuxサーバにリモート接続して操作する場合、TeraTerm(Windows)やsshコマンド(Linux)を使って接続するのが通例となっています。 接続の際にはSSH(Secure Shell)プロトコルが使用され、ネットワーク上の通信が暗号化されます。 RHELではこの機能を司るSSHサーバとしてOpenSSHが採用されています。 RHELのOpenSSHで構築したSSHサーバへリモート接続する際には、 初期状態ではユーザIDとパスワードによる認証が許可されていますが、 ユーザIDとパスワードさえ知っていれば、誰でも(どのPCからでも)接続できてしまうという問題があります。 また、SSHのサブセットとして提供されているSCPを使うとリモートホストとの間でファイルコピーを 実行することができます。この機能を利用して、リモートホストとのファイルコピーをシェルで自動化して 定期的に
こんにちは。今回のテーマは『VirtualBox上のLinuxにSSHで接続する』です。VirtualBoxにはクリップボードの共有化などのホストOSとゲストOSをつなぐ便利な機能がいろいろありますが、ssh接続でホストOSからゲストOSを操作してしまうというのも場合に酔っては操作性を向上させる一つの手段だと思います。今回はホストOS、ゲストOSともにLinuxという想定で書いていますが、内容自体はOSに関わらず応用が効くと思います。 【関連記事】 VirtualBox上のArch Linuxで共有フォルダ機能を使う [adsense02] 【目次】 ゲストOSにssh接続できると便利 ポートフォワーディングを活用する方法 ブリッジアダプタを使用する方法 ゲストOSにssh接続できると便利 本記事を呼んでる読者の方に説明は不要と思いますが、sshとは暗号や認証を用いてリモートコンピュータと
Server does not support diffie-hellman-group1-sha1 for keyexchangeWindowsSSH poderosaから接続できなかったので調査。 参考 0002804: [Seed] sshd起動時「/usr/sbin/sshd-keygen: No such file or directory」と、エラーが表示される。 - Vine Linux バグトラッキングシステム openssh-6.7から KexAlgorithms のデフォルトが変更されています。 diffie-hellman-group1-sha1 は現在の基準では弱い鍵交換アルゴリズム なためデフォルトでは無効になっています。 diffie-hellman-group1-sha1 しか使えない古いクライアントをお使い の場合は、クライアントを新しい近代的なものに変更す
Firewallなどで守られていない環境ならば、最低限、ポート番号の変更くらいは行いましょう。sshdのデフォルト設定が許されるのは小学生までだよねローカルPC上のVirtual Boxくらいです。 「ポート番号変更」はスキャンポートされたら効果のない対策ですが、泥棒が狙いやすい家があるのと同様に、狙われづらいサーバにするだけでも充分効果があります。(ちなみに、私はさくらVPSをport 22でsshをListenする状態にして放置したら、わずか24時間で侵入されました。) 最も手堅い対策は「パスワード認証の禁止」です。この対策も完全ではない事を頭の片隅に置いておきましょう。近年、「うっかり秘密鍵をGitHubに公開してしまった」のような流出事故が多発しております。 sshd (ssh server) の基本的な設定 – 認証種別の許可設定 sshdは様々な認証方式を備えています。よく使用
SSH (Secure Shell)を使ってリモートホストに接続する場合、いちいちパスワードを入れるのは面倒でもあり、また打ち間違いや漏洩の危険も増える。そこで、証明書を使って接続する方法を導入すると便利である。 このためには、次のような手順を踏むことになる。以下は端末で行った方がよいので、あらかじめGNOME端末を立ち上げておく。 まず、自分の端末側で、秘密鍵と公開鍵を作成する。 最初に、ディレクトリ .ssh を作成する。このディレクトリは自分だけが読み書きできるようになっている必要がある。 続いて、鍵を作成する。 最初に "Enter which ..." と聞かれている部分は、デフォルトであればそのままリターンでよい。 次にパスフレーズを入力する。このパスフレーズはできるだけ長い方がよい。 "-t dsa" を省略すると、RSA形式で鍵を作る。 test1:~> ssh-keyge
色んなPCでsshの鍵を共有している場合、単に鍵をコピーするだけでなくssh-addが必要。 PC Aでssh-keygenしたキーをPC Bにコピーして使ってたんだけど、毎回 enter passphrase for key って聞いてきて鍵登録してる意味ないやん、って思いながらパスをポチポチ打ってた。 けどどう考えても鍵コピーした手間に見合った効果得られてないしなんだか損してるって気付いたので重い腰を上げて設定してみた。 調べたところ、PC Aではssh-keygenしたからssh-agentに登録されてるけど、PC Bでは鍵がssh-agentに登録されてないのが原因ぽいことがわかった。 そこで $ eval `ssh-agent` $ ssh-add [keyのパス(デフォルトは~/.ssh/id_rsaだと思う)] することで鍵を登録した。 これでいろいろ捗るようになった。
rails、全然関係ないが。。。 僕の勤務先の会社では、インターネット接続に制限があります。 ファイルを勝手にダウンロードしたら怒られる。 15分おきにインターネット接続が強制切断され、そのたびに認証しなければいけない。 リクエスト全てが監視されており、社員が何を見ているのかを常にチェックしている。 URLフィルタリングによりいろいろなサイトが見れない。 はてなブログがガードされていて見れない。 はてなブログがガードされていて見れない。 はてなブログがガードされていて見れない。 22番ポートはノーガードなので、社外にプロキシ―サーバーを立ててSSH Port Forwardingすることにしました。 劣悪なインターネット環境とはおさらばだ!! プロキシサーバーを立てる 社外サーバーとしてAWS EC2を利用します。 AWSでVPC構築 - railsがんばる子 t2.microを選択すれば
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
