「サーバの管理」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
(ページの作成:「情報システムチーム > サーバの管理 __TOC__ == サーバの管理 == === Web サーバの管理 === 昨今では外部に公開したウェブサ...」)
 
3行目: 3行目:
 
__TOC__
 
__TOC__
  
== サーバの管理 ==
+
== 全般的なサーバの管理 ==
  
=== Web サーバの管理 ===
+
== 外部に公開する Web サーバの管理 ==
  
 
昨今では外部に公開したウェブサーバに起因するセキュリティ問題が増加しておりますので、ウェブサーバを外部に公開する場合には以下の情報を登録していただいております。
 
昨今では外部に公開したウェブサーバに起因するセキュリティ問題が増加しておりますので、ウェブサーバを外部に公開する場合には以下の情報を登録していただいております。
19行目: 19行目:
 
  9. 備考
 
  9. 備考
  
=== ssh サーバの管理 ===
+
== 外部に公開する ssh サーバの管理 ==
  
 
sshを外部に公開する場合は鍵認証でしかログインできない設定にしてください。
 
sshを外部に公開する場合は鍵認証でしかログインできない設定にしてください。
26行目: 26行目:
 
鍵認証でしかログインできない設定ではこういった問題は発生しません。
 
鍵認証でしかログインできない設定ではこういった問題は発生しません。
  
==== ユーザの設定 ====
+
=== ユーザの設定 ===
  
 
* ssh-keygen コマンドを実行します。
 
* ssh-keygen コマンドを実行します。
36行目: 36行目:
 
* .ssh ディレクトリに g や o の書き込み権限がたってないことを確認します
 
* .ssh ディレクトリに g や o の書き込み権限がたってないことを確認します
  
==== サーバの設定 ====
+
=== サーバの設定 ===
  
 
* /etc/ssh/sshd_config を編集してパスワード認証を禁止します
 
* /etc/ssh/sshd_config を編集してパスワード認証を禁止します
 
  PasswordAuthentication no
 
  PasswordAuthentication no
  
==== 運用に関する注意点 ====
+
=== 運用に関する注意点 ===
  
 
パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、
 
パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、

2014年2月3日 (月) 14:55時点における版

情報システムチーム > サーバの管理

1 全般的なサーバの管理

2 外部に公開する Web サーバの管理

昨今では外部に公開したウェブサーバに起因するセキュリティ問題が増加しておりますので、ウェブサーバを外部に公開する場合には以下の情報を登録していただいております。

1. 専攻施設
2. IPアドレス
3. FQDN
4. 管理者氏名
5. 管理者メールアドレス
6. 担当者氏名
7. 担当者メールアドレス
8. 用途
9. 備考

3 外部に公開する ssh サーバの管理

sshを外部に公開する場合は鍵認証でしかログインできない設定にしてください。 パスワードでログイン可能なsshサーバを適切に管理するには、サーバに存在する全てのアカウントが適切なパスワードを付けていることを確認する必要があります。 適切な状態を維持するのは大変で、一時的に作ったアカウントの消し忘れなどからsshで侵入される事例が発生しています。 鍵認証でしかログインできない設定ではこういった問題は発生しません。

3.1 ユーザの設定

  • ssh-keygen コマンドを実行します。
    • 質問にエンターを入力します(ファイルの場所はデフォルト、パスフレーズなし)
  • .ssh/id_rsa が秘密鍵、.ssh/id_rsa.pub が公開鍵です
  • サーバの .ssh/authorized_keys に公開鍵を追加します
    • サーバに id_rsa.pub をコピーしてから
cat id_rsa.pub >> .ssh/authorized_keys
  • .ssh ディレクトリに g や o の書き込み権限がたってないことを確認します

3.2 サーバの設定

  • /etc/ssh/sshd_config を編集してパスワード認証を禁止します
PasswordAuthentication no

3.3 運用に関する注意点

パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、 管理者がユーザの公開鍵をメールで送ってもらうなどして設定する必要があります。