2. SSH関連

2.1. root の直ログイン、空パスワードの禁止

# vi /etc/ssh/sshd_config
===
  #PermitRootLogin yes
  ↓
  PermitRootLogin no  # コメント解除し、no に変更。
  #PermitEmptyPasswords no
  ↓
  PermitEmptyPasswords no  # コメント解除。
===

2.2. 公開鍵認証に変更

2.2.1. Mac側で鍵ペアを生成

$ cd ~/.ssh
$ ssh-keygen -t rsa -f ~/.ssh/id_rsa.sakura
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/hoge/.ssh/id_rsa.sakura.
Your public key has been saved in /Users/hoge/.ssh/id_rsa.sakura.pub.
The key fingerprint is:
SHA256:********************* hoge@MacBook-Pro.local
The key's randomart image is:

2.2.2. 公開鍵をサーバーに転送

まずは、サーバー側にディレクトリを用意。（管理用の一般ユーザーでログイン）

$ cd ~
$ mkdir .ssh

ディレクトリを作成したら、Macのターミナルからscpコマンドでファイルを転送。

MacBook-Pro:~ hoge$ cd .ssh
MacBook-Pro:.ssh hoge$ scp id_rsa.sakura.pub hoge@xxx.xxx.xxx.xxx:.ssh/

2.2.3. サーバー側の設定変更

まずは、公開鍵ファイルのリネームや、パーミッションの設定。

$ cat id_rsa.sakura.pub >> authorized_keys
$ cd
$ chmod 700 .ssh
$ chmod 600 .ssh/authorized_keys
以下、rootで
# vi /etc/ssh/sshd_config
----
  PasswordAuthentication yes
  ↓
  PasswordAuthentication no
  PubkeyAuthentication yes  # コメント解除
----
# systemctl restart sshd

2.3. SSHのポート番号を変更

標準の22番のままにしておくのも不用心なので変更しておく。

あわせて、さくらVPSのコンパネで、パケットフィルタリングの設定を変更し、22番を閉じ、変更後のポート番号を開放する。

# vi /etc/ssh/sshd_config
----
  # Port 22
  ↓
  Port 99999  # コメント解除し、ポート番号を変更
----
# systemctl restart sshd

これで、Macのターミナルから、鍵ペアを使ってSSH接続ができた。

のちほど、Windows機からも鍵ペア生成を行い、SSH接続できるところまで確認した。

＊先にパスワード認証を切ってしまったので、ちょっと面倒くさい事になったが・・・やったことは下記の記事とほぼ同じ。

Windows機から直接SCP転送ができない状態なので、一旦MBPに公開鍵ファイルを転送してからSCP転送をして・・・という手順で公開鍵ファイルをアップし、authorized_keysファイルに追記した。

このあとは、LAMP環境、と行きたいところだが、その前にセキュリティ関連で色々設定見直しやらを行っていく。