SSHのパスワード無し認証（公開鍵暗号方式）

度々どうもありがとうございます！

なるほど、デーモンで動いているsshdとは別のsshdを別ポートで待機させて、そこに接続してあげるわけですか。Good idea ですね！

…が、ここまで親身に相談に乗って頂いているのに申し訳ないのですが、ホストVineと回線との間にファイアーウォールがありまして、これが一切の不要ポートを塞いでいるのです。

httpを止めて80番ポートを解放して、そこにsshdを待機させようかと考えましたが、さすがにそれはマズイです。なので、せっかく教えて頂いたにも関わらず、最後までテストすることが出来ませんでした。

それと、更に申し上げにくいのですが、実は先ほど、全く別の、とても初歩的な方法で解決してしまいました。

ホストVineとローカルVineにて、~/.ssh 以下のファイルを全部削除。ssh-keygenによる鍵作成も、authorized_keysやknown_hostsへの登録も、全てを一からやり直しました。すると、これまでの挙動不審が嘘のように、あっさりと鍵方式で接続できるではありませんか。何度やっても大丈夫なので、今度こそ…喜んで良いのだと思います。

ただ、解決したことは嬉しいのですが、回答者の皆さんの労力は何だったの？ということになりかねないので、とても複雑な心境です。すいません…。(´・ω・｀) せめてお礼を全員に差し上げたいのですが、システム上そうすることもできませんし。どうかお許し下さい。

少々時間をおいて、締め切らせて頂きます。m(__)m

複雑な環境を分かりにくく説明してしまって申し訳ありません。

本来の目的は、ローカルVine→ホストVineの公開鍵＆パスワード入力無しログインです。
ローカルVineで
$ ssh-keygen -t rsa -N ""
として鍵を作成。念のため、-t rsa1 と -t dsa も実行。出来上がった三つの公開鍵をホストVineにコピーして
$ cd ~/.ssh
$ cat identity.pub >> authorized_keys
$ cat id_rsa.pub >> authorized_keys
$ cat id_dsa.pub >> authorized_keys
と行って登録しました。

しかし、ローカルVineからホストVineにログインしようとすると、いつもLinuxのログインパスワードを求められてしまいます。

そこで、Windows上のputtygen.exeで鍵を作成し、ローカルVineとホストVineの両方のauthorized_keysに登録して、両者の動作の違いを確認してみることにしました。すると、ホストVineは相変わらずパスワード入力を求めてくるのに対し、ローカルVineには鍵だけですんなりと入れたのです。

つまり、
1.自宅Win(putty)→ローカルVine
2.自宅Win(putty)→ホストVine
3.ローカルVine→ホストVine
の三つとも行いました。
3が目的で、1と2はテストのために、です。

puttyで公開鍵を作ってOpenSSHで使う場合についてですが、「Export OpenSSH Key」ではなく、「save private key」というボタンを押して秘密鍵を作成し（拡張子がppkになる）、公開鍵は「Public key for pasting into OpenSSH authorized_keys file」という欄に表示された文字列を「全て選択」→「コピー」し、テキストエディタに貼り付け、「identity.pub」などの名前で保存していました。そうやって出来た公開鍵をローカルVineやホストVineにコピー＆登録し、秘密鍵をTeraTermから使って上記接続テストを行いました。

SSHをデバッグモードで動作させて接続ログを取る方法についてですが、ホストVineのsshdを停止させてデバッグモード動作させることは避けたいです。というのは、ホストVineは遠距離にあり、sshdを停止させるとこちらからのSSHによるコントロールが効かなくなる（ターミナルが落ちる）からです。これじゃ話にならないかも知れませんが…。

ローカルVineのsshdをデバッグモードにして試してみました。ここに載せきれないほどの長いログが出来ましたが、こちらのVineマシンには元々鍵でログインできるので、問題はありません。

バックアップ作業に奔走されて遅くなりました。普段はディスプレイ無しの自宅サーバマシンにディスプレイを繋いだらIOエラーメッセージが山のように表示されていました。HDDが故障する予兆らしい。(T_T)

さて、ローカル（自宅サーバ）側で教えて頂いた通りに実行してみました。

[root@hoge root]# /usr/sbin/sshd -D -e -d -d -d -f /etc/ssh/sshd_config
debug2: load_server_config: filename /etc/ssh/sshd_config
debug2: load_server_config: done config len = 212
debug2: parse_server_config: config /etc/ssh/sshd_config len 212
debug1: sshd version OpenSSH_3.9p1
debug1: private host key: #0 type 0 RSA1
debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key.
debug1: read PEM private key done: type RSA
debug1: private host key: #1 type 1 RSA
debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key.
debug1: read PEM private key done: type DSA
debug1: private host key: #2 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-D'
debug1: rexec_argv[2]='-e'
debug1: rexec_argv[3]='-d'
debug1: rexec_argv[4]='-d'
debug1: rexec_argv[5]='-d'
debug1: rexec_argv[6]='-f'
debug1: rexec_argv[7]='/etc/ssh/sshd_config'
debug2: fd 3 setting O_NONBLOCK
debug1: Bind to port 22 on 0.0.0.0.
Server listening on 0.0.0.0 port 22.
socket: Address family not supported by protocol
Generating 768 bit RSA key.
RSA key generation complete.

この最後の「RSA key～」の後に止まってしまいます。プロンプトに戻りません。10分ほど待ちましたが反応がないので、[ctrl]+[C]で抜け出しました。

いえいえ、ありがとうございました。こちらこそ、Linux強制電源切断リセットのショックから、この部分に関して返信し忘れていました。(^_^;)

sshd_configのAuthorizedKeysFileは.ssh/authorized_keysとなっています。

$ cd /home/hikaly/ssh
$ cat id_rsa.pub >> authorized_keys
他の公開鍵も同様に追加して
$ chmod 600 authorized_keys

…とやりましたので、私の踏んだ手順に間違いはないと思うんですが…未だにパスワード無しのログインが出来ません。

ローカルマシンへはパスワード無しでログインできるのに、ホストに出来ないのはどーして？ 謎は深まるばかりです。

何はともあれ、ありがとうございました。

接続先（ホスト）のsshd_configでは
# PubkeyAuthentication yes
とコメントアウトされていました。
#を取って
PubkeyAuthentication yes
にしてsshdを再起動させてみましたが、ローカル側からの接続には変化はなく、相変わらず「パスワードを入れてね♪」と尋ねられます。

接続に使うキーがDSAでもRSAでもSSH1でもSSH2でも何でも良いのです。本来の目的は、rsync+sshのバックアップ作業をcronに登録して毎晩自動的に行わせることにあります。

で、ローカル側で
$ ssh-keygen -t dsa -N ""
$ ssh-keygen -t rsa -N ""
$ ssh-keygen -t rsa1 -N ""
を実行して出来た
id_dsa.pub
id_rsa.pub
identity.pub
の三つのファイルをホストの
/home/hikaly/.ssh にコピー。
$ cat id_dsa.pub >> authorized_keys2
$ cat id_rsa.pub >> authorized_keys2
$ cat identity.pub >> authorized_key
と立て続けに行いましたが、それでもローカル側からの接続時にパスワードを求められてしまいます。authorized_keyもauthorized_key2もパーミッションは600になっていますし…。

皆目見当が付かなくなってきました。この迷宮はクノッソス宮殿より深いんじゃないかという気がしてきています。(;´ρ`)

えーと、下記のお礼欄に書いたとおり、とりあえず試してみました。セキュリティとは別のところで恐ろしいことになりかけました。(^_^;) セキュリティ上も好ましくないようなので、noのままにしておきます。

実行してみました。以下のようなメッセージが返ってきました。
----ここから
[root@hoge ssh]# /usr/sbin/sshd -D -e -d -d -d -f /etc/ssh/sshd_config
debug2: load_server_config: filename /etc/ssh/sshd_config
debug2: load_server_config: done config len = 350
debug2: parse_server_config: config /etc/ssh/sshd_config len 350
debug1: sshd version OpenSSH_3.9p1
debug1: private host key: #0 type 0 RSA1
debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key.
debug1: read PEM private key done: type RSA
debug1: private host key: #1 type 1 RSA
debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key.
debug1: read PEM private key done: type DSA
debug1: private host key: #2 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-D'
debug1: rexec_argv[2]='-e'
debug1: rexec_argv[3]='-d'
debug1: rexec_argv[4]='-d'
debug1: rexec_argv[5]='-d'
debug1: rexec_argv[6]='-f'
debug1: rexec_argv[7]='/etc/ssh/sshd_config'
debug2: fd 3 setting O_NONBLOCK
debug1: Bind to port 22 on 0.0.0.0.
Server listening on 0.0.0.0 port 22.
socket: Address family not supported by protocol
Generating 768 bit RSA key.
RSA key generation complete.
----ここまで
/etc/ssh/ssh_host_dsa_key や /etc/ssh/ssh_host_rsa_key がRSA1の鍵じゃないよ！と怒られている気がします。

そこで、ググッて見つけたこのページを参考に鍵を作り直してみました。
http://www.tcn.zaq.ne.jp/gara_k/pc_unix/pc_unix_ …

/usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
/usr/bin/ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_rsa_key

しかし、これでも接続元から ssh 接続先IP すると、
hikaly@接続先IP's password:
とパスワードを求められることには変わりありませんでした。

うーん、何なんでしょう。パスワードログインは正常に出来るので、SSHが挙動不審な行動を取っているわけじゃないと思います。どこかに私の設定ミスがあると思うんですが…それが分からないのでもどかしいです。

返信ありがとうございます。

VineLinuxのsshd_configの在処も同じ場所です。
/etc/ssh/sshd_config

AuthorizedKeysFileの設定は
# .ssh/authorized_keys
とコメントアウトされていたので、#を除去し、更に$HOMEを付けて次のようにしました。
$HOME/.ssh/authorized_keys

/etc/rc.d/init.d/sshd restart
で再起動をしてみましたが、ローカル側からの接続時にパスワードを求められることに変化はありません。

#3のdaling_2004さんからPermitEmptyPasswordsはnoの方が良いというコメントがつきましたが、いちおうYesにしてみました。
/etc/rc.d/init.d/sshd restart で再起動。
ん？何やら [failed] という文字が返ってきて再起動に失敗したらしい。Yesは全部小文字でyesじゃないとダメなんだろうか？と再びsshd_configを書き換えて再起動…した次の瞬間、SSHのコネクションが切れてホストマシンへのログインが不可能に！！Σ(´Д｀lll)

実はホストマシンは遠いところにある某社のサーバで、こんな私がメンテナンス係をやっているんです。某社で働いているLinux門外漢の社員さんを電話で呼び出し、Linuxサーバ機（ホスト）はディスプレイが接続されていないマシンなので、電源ボタン長押しの強制リセットをしてもらいました。怖～。（＞＜）

ということで、私の書き方ミスなんですが、PermitEmptyPasswordsはnoに戻して触れないようにしました。(^_^;)

回答ありがとうございました！
早速check pointsを確認してみました

パーミッションについて、そうなっていなかったものは変更しました。
ホスト /home/hikaly/.ssh → 755
ホスト /home/hikaly/.ssh/authorized_keys → 600
ローカル /home/hikaly/.ssh/id_rsa → 600

ここまで行ってSSHログインを試してみました。
ローカル側で、
$ ssh ホストIPアドレス
hikaly@ホストIPアドレス's password:

やっぱりパスワードを求められるので、
$ ssh -i ~/.ssh/id_rsa ホストのIPアドレス
を実行してみましたが、結果は同じでした。

ホスト側の sshd_config に Protocol という項目があったので、これを 1, 2, 2.1, コメントアウトなどに変更してsshdを再起動させましたが、結果は同じ。

以前、ローカルマシンをRedHat8で動かしていたとき、同じ事をやろうとしてその時はすんなり動いたんですが…うーん、今回はわけがわかりません。(´・ω・｀)