A 回答 (2件)
- 最新から表示
- 回答順に表示
No.2
- 回答日時:
お互いが正しく通信する(なりすましを防ぐ)ためにはサーバ側もクライアント
側も認証されている必要があります。
サーバ側の秘密鍵はサーバの/etc/sshd の下あたりにあるはずです。クライアン
トが初めてサーバに接続したときに、サーバ鍵の公開鍵がクライアントに送られ
ます。これを受けて、クライアント側ではその鍵を受け入れるかどうかのポップ
アップが表示されるのが普通です。(本当はあらかじめ安全な方法でクライアン
ト側に送付しておき登録することが望ましいのですが・・・)
同じようにクライアント側も認証されなければなりません。(RSA 認証の場合)
クライアントを認証するために、クライアント側で(※)生成したキーペアのう
ち、公開鍵をサーバ側に送り、サーバ側のauthorized_keys2 ファイル(OpenSSH
の場合)にその内容を記録します。
※クライアント環境にキーペア生成ツールがない場合、便宜上サーバ上でキーペ
アを作成することもできます。
> どうしてクライアント側に秘密鍵をもたせるのでしょうか?
既にお分かりかもしれませんが、クライアント(利用者)を認証するためです。
クライアント側にパスワードを求めるアクションと同じと考えていただいて構いません。
> あと,サーバ1台に対して,クライアントが複数いる場合に
> 公開鍵と秘密鍵のペアはクライアントの人数分生成するのが適切なのでしょうか?
誰からの接続かをサーバ側で判別できないと意味がないので、そういうことにな
ります。クライアントの人数分生成するのが適切な運用です。
> (複数のサーバに1台のクライアントが接続する場合も,各サーバが1台のク
> ライアントに対して公開鍵・秘密鍵を生成するのが適切なのでしょうか?)
いいえ。使い回しできます。Aさんのサーバ1、2、3へのアクセスを許可した
いなら、Aさんの公開鍵をサーバ1、2、3で信用するように(authorized_keys2
ファイルに書く)すればよいのです。
ところで、クライアント=台数ではなく、クライアント=ユーザであるべきです。
すなわち、クライアント1台でもマルチユーザならクライアント数は1ではない
ということです。もちろん、誰もが同じ認証条件と言うことであれば1としてし
まっても問題ありません。
この回答への補足
公開鍵と暗号鍵のwebページを見ると、送信者の方に公開鍵がわたされています。
送信者=クライアントというイメージが強いため、今回のようなことになりました。
クライアントに秘密鍵を渡す理由としては、誰もがサーバにアクセスできるのを防ぐためという認識でよろしいでしょうか?
よろしくおねがいします。
No.1
- 回答日時:
秘密鍵・公開鍵の仕組みや役割をもう一回確認してみてください。
公開鍵で接続できるのなら、誰だって接続できてしまうのがおわかりになると思います。公開鍵=その気になれば誰でも入手可能なファイルです。
>公開鍵と秘密鍵のペアはクライアントの人数分生成するのが適切なのでしょうか?
本来秘密鍵はプライベートなものですから(ここ重要)、アカウントが異なれば違う鍵セットを使うのが原則です。
一人(1アカウント)が複数のクライアントを使用する場合は同じセットで構わないです。
同様に、一人(1アカウント)がひとつのクライアントから複数のサーバに接続する場合も1セットで構いません。(普通はそうする)
自分で秘密鍵の管理ができるなら、もちろんサーバごとのセットを使ったって構いません。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- UNIX・Linux OpenSSHのサーバー設定ファイルsshd_config内のHostKey行について 4 2023/05/02 09:53
- その他(データベース) AWSのcloud9で「 ls -l ~/.ssh/」のコマンドで公開鍵、 秘密鍵を知ろうとすると「 1 2023/07/09 02:10
- その他(教育・科学・学問) 公開鍵暗号方式は秘密鍵を利用者本人しかもたないため、相手を特定する方法として利用することができますが 3 2022/05/16 23:27
- セキュリティホール・脆弱性 電子署名について教えてください 電子署名は公開鍵暗号方式ですが公開鍵で最初に暗号化してから秘密鍵で相 3 2023/05/03 14:50
- UNIX・Linux Ubuntu20.04からUbuntu22.04にバージョンアップする際にssh-rsaが無効になっ 1 2022/11/25 00:08
- 政治 私が自転車の鍵の掛け忘れ防止で発明した、スマホで開け閉めする鍵を住宅にも付けるべきですね? 3 2023/02/13 12:56
- 弁護士・行政書士・司法書士・社会保険労務士 翻訳された契約書の難解な日本語 2 2023/08/09 23:41
- その他(暮らし・生活・行事) お世話になった人へのお礼についてです。 3日前、集合ポストの鍵をいたずらされ、鍵が開くなくなりました 2 2023/03/03 11:33
- PHP PHP でメールフォームを作成したい 1 2022/05/04 22:28
- サーバー FTPサーバについて詳しい方(アクセス権のないディレクトリを非表示にする方法) 4 2022/08/22 22:33
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
UltraVNCについて
-
SCPでパスワードを使う方法
-
TeraTermでsqlplusを利用した時...
-
LinuxでのDNSキャッシュ表示
-
Tera Termが接続できない
-
DNSの逆引き権限委譲
-
NFS接続+シンボリックリンクを...
-
スイッチの設定のTFTPサーバへ...
-
DHCPサーバでの、複数スコープ設定
-
windows server 2008で外字印刷
-
コマンドプロンプトでFTPできない
-
ワークステーション(デスクト...
-
ヨドバシカメラの採用ページが...
-
UNIXからWindowsへのファイル転送
-
Cactiサーバのデータ移行方法に...
-
よく使うサーバのデータ保存先
-
forwarderオンリーのDNSサーバ...
-
メールボックスの空き容量が不...
-
多段でsftpは使えない?
-
【Windows7】インターネットア...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Tera Termが接続できない
-
DHCPサーバのIPアドレスの確認方法
-
DNSの逆引き権限委譲
-
自作のウェブサイトを友人に見...
-
FTPの接続継続時間について
-
意味の違い ホスト名とサーバー名
-
Cactiサーバのデータ移行方法に...
-
UltraVNCについて
-
LinuxでのDNSキャッシュ表示
-
VNCの複数利用の方法
-
TeraTermでsqlplusを利用した時...
-
DBサーバをどこに置くのがよいか
-
tera termについて
-
WindowsServerで複数のDHCP
-
EDN0の設定方法について
-
rexecの有効化方法について
-
NFS接続+シンボリックリンクを...
-
コマンドプロンプトでFTPできない
-
ローカル環境でのNTPサーバ
-
NTPサーバアドレスについて
おすすめ情報