「ネットワークの管理」の版間の差分
| 47行目: | 47行目: | ||
PasswordAuthentication no | PasswordAuthentication no | ||
| + | === 運用に関する注意点 === | ||
| + | |||
| + | パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、 | ||
| + | 管理者がユーザの公開鍵をメールで送ってもらうなどして設定する必要があります。 | ||
[[Category:情報システムチーム]] | [[Category:情報システムチーム]] | ||
2011年5月20日 (金) 15:13時点における版
1 端末の管理
東京大学では学内のネットワークに接続する場合には申請を行うことが義務付けられています。
各専攻施設ごとにユーザに接続する機器の情報などを申請していただき、管理を行ってください。
各端末について IP を固定で割り振ったり、または申請された端末以外の接続を拒否するなどの技術的な制限は必須としません。
NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。
2 ウイルス対策
東京大学ではネットワークに接続する全ての端末でウイルス対策が義務付けられています。
大学としてウイルス対策を行う必要がある場合については、理学系研究科では一括してライセンス契約を行っておりますのでソフトウェアライセンスのページをご参照ください。
3 サーバの管理
sshを外部に公開する場合は鍵認証でしかログインできない設定にしてください。 パスワードでログイン可能なsshサーバを適切に管理するには、サーバに存在する全てのアカウントが適切なパスワードを付けていることを確認する必要があります。 適切な状態を維持するのは大変で、一時的に作ったアカウントの消し忘れなどからsshで侵入される事例が発生しています。 鍵認証でしかログインできない設定ではこういった問題は発生しません。
3.1 ユーザの設定
- ssh-keygen コマンドを実行します。
- 質問にエンターを入力します(ファイルの場所はデフォルト、パスフレーズなし)
- .ssh/id_rsa が秘密鍵、.ssh/id_rsa.pub が公開鍵です
- サーバの .ssh/authorized_keys に公開鍵を追加します
- サーバに id_rsa.pub をコピーしてから
cat id_rsa.pub >> .ssh/authorized_keys
- .ssh ディレクトリに g や o の書き込み権限がたってないことを確認します
3.2 サーバの設定
- /etc/ssh/sshd_config を編集してパスワード認証を禁止します
PasswordAuthentication no
3.3 運用に関する注意点
パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、 管理者がユーザの公開鍵をメールで送ってもらうなどして設定する必要があります。
