SSH を使って、他の UNIX システムにリモートログインする場合、パスフレーズでの認証よりも RSA 証明書を使った公開鍵認証のほうがセキュリティ上好ましいとされています。
公開鍵認証での SSH 接続の方法は以下の手順が代表的です。
- SSH クライアント側で秘密鍵、公開鍵を作成
- SSH サーバ側にクライアント側で作成した公開鍵を外部に漏れない何らかの手段でコピー
- SSH サーバ側にて、正しいパーミッション設定で特定のディレクトリにコピーした公開鍵を保存
- SSH クライアント側からサーバ側に SSH 接続(鍵の作成の際に設定したパスフレーズを入力)
さて、Linux などには公開鍵をサーバ側にコピーし、正しいパーミッションを設定する ssh-copy-id という便利なコマンドがありますが、残念ながら Mac OS X にはデフォルトでは ssh-copy-id は用意されていません。しかし、ssh-copy-id コマンドの実態は単純なスクリプトのため、Mac OS X でも利用することができます。
1. RSA 秘密鍵、公開鍵を作成
まず、SSH 公開鍵認証に用いる、秘密鍵と公開鍵を作成します。デフォルトでは秘密鍵が ~/.ssh/id_rsa 、公開鍵が ~/.ssh/id_rsa.pub に作成されます。
下記コマンドを実行。
#RSA 秘密鍵、公開鍵を作成 ssh-keygen
鍵の保存先とパスフレーズを求められます。
Generating public/private rsa key pair. Enter file in which to save the key (/Users/user/.ssh/id_rsa): #鍵の保存先 Enter passphrase (empty for no passphrase): #パスフレーズ Enter same passphrase again: #パスフレーズの再確認 Your identification has been saved in /Users/dan/.ssh/id_rsa. Your public key has been saved in /Users/dan/.ssh/id_rsa.pub. The key fingerprint is: f9:f3:ad:1e:25:e1:99:4c:0e:2e:70:f8:17:d3:24:be dan@danmk-macbook-pro.local The key's randomart image is: +--[ RSA 2048]----+ | . . | | . . + | | o . + + | | + a X + | | S E a . | | + o | | o . | | o o | | .+.. | +-----------------+
保存先は空白のままだと、デフォルトの ~/.ssh/id_rsa に保存されます。
作成の際にパスフレーズを入力しない場合、鍵を使った SSH 接続ではパスフレーズを入力する必要がなくなりますが、セキュリティ面を考えると、クライアント側を利用された場合にパスなしにリモートホストに SSH 接続できるため、おすすめできません。ローカルで使用する分にはいいかもしれませんが、個人の好みです。
2. ssh-copy-id が利用できる UNIX システムから ssh-copy-id のスクリプトファイルを確認
ssh-copy-id が利用できる UNIX システムにログインして、ssh-copy-id のスクリプトファイル確認。今回は CentOS6 を利用しています。
ssh-copy-id のスクリプトファイルの保存先を確認
#ssh-copy-id の場所を確認 whereis ssh-copy-id
CentOS6では以下のように表示されました。
ssh-copy-id: /usr/bin/ssh-copy-id /usr/share/man/man1/ssh-copy-id.1.gz
確認した ssh-copy-id のスクリプトファイルの中身を確認して、Mac OS X で使えそうか判断します。
less /usr/bin/ssh-copy-id
CentOS6 の場合は以下のようになっていました。ざっとみたところ Mac OS X でも使えそうです。
#!/bin/sh # Shell script to install your public key on a remote machine # Takes the remote machine name as an argument. # Obviously, the remote machine must accept password authentication, # or one of the other keys in your ssh-agent, for this to work. ID_FILE="${HOME}/.ssh/id_rsa.pub" if [ "-i" = "$1" ]; then shift # check if we have 2 parameters left, if so the first is the new ID file if [ -n "$2" ]; then if expr "$1" : ".*.pub" > /dev/null ; then ID_FILE="$1" else ID_FILE="$1.pub" fi shift # and this should leave $1 as the target name fi else if [ x$SSH_AUTH_SOCK != x ] ; then GET_ID="$GET_ID ssh-add -L" fi fi if [ -z "`eval $GET_ID`" ] && [ -r "${ID_FILE}" ] ; then GET_ID="cat ${ID_FILE}" fi if [ -z "`eval $GET_ID`" ]; then echo "$0: ERROR: No identities found" >&2 exit 1 fi if [ "$#" -lt 1 ] || [ "$1" = "-h" ] || [ "$1" = "--help" ]; then echo "Usage: $0 [-i [identity_file]] [user@]machine" >&2 exit 1 fi { eval "$GET_ID" ; } | ssh $1 "umask 077; test -d ~/.ssh || mkdir ~/.ssh ; cat >> ~/.ssh/authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon ~/.ssh ~/.ssh/authorized_keys >/dev/null 2>&1 || true)" || exit 1 cat <<EOF Now try logging into the machine, with "ssh '$1'", and check in: .ssh/authorized_keys to make sure we haven't added extra keys that you weren't expecting. EOF
3. ssh-copy-id スクリプトファイルを Mac OS X にコピー
確認した ssh-copy-id のスクリプトが Mac OS X でも使えそうだったら、スクリプトファイルを Mac OS X にコピーします。scp を使ったり、直接中身をコピーして、Mac OS X 側で新たにファイルを作成してもよいでしょう。
#scp で UNIX システムの ssh-copy-id のスクリプトファイルをコピー scp user@192.168.111.1:/usr/bin/ssh-copy-id ~/ssh-copy-id
4. ssh-copy-id コマンドを利用できるようにスクリプトファイルを PATH が通った先に配置
ssh-copy-id のコマンドを使えるように、コピーしたスクリプトファイルをPATH が通っているディレクトリにコピーします。
#PATHが通っているディレクトリを確認 echo $PATH
私の環境では、以下のように表示されました。
/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin:/opt/X11/bin
ssh-copy-id をパスが通っているディレクトリにコピーする
#ssh-copy-id スクリプトファイルをパスが通ってるディレクトリにコピー cp ~/ssh-copy-id /usr/local/bin/ #実行権限を追加 chmod ugo+x /usr/local/bin/ssh-copy-id
また、alias に登録してコマンドを利用する方法もあります。
#.bash_profile を編集 emacs ~/.bash_profile
~/.bash_profileに下記を追加
alias ssh-copy-id='~/scripts/ssh-copy-id'
5. ssh-copy-id が使えるか確認
ssh-copy-id が使えるか確認する。下記コマンドを実行。
#user@192.168.111.10 に公開鍵を登録 ssh-copy-id -i ~/.ssh/id_rsa.pub user@192.168.111.1
以下のように表示されれば OK です。
user@192.168.111.1's password: Now try logging into the machine, with "ssh 'user@192.168.111.1'", and check in: .ssh/authorized_keys to make sure we haven't added extra keys that you weren't expecting.