macOS Sierra（10.12）およびHigh Sierra（10.13）でのSSHキーの生成

• キーのタイプ
• 鍵の生成

このチュートリアルでは、macOS Sierra（10.12）およびmacOS High Sierra（10.13）でSSHキーを生成して保護する方法を示します。SSHキーを使用すると、パスワードなしでサーバーにログインできます。総当たり攻撃に対する耐性が大幅に高まるため、利便性とセキュリティが向上します。

SSH（Secure Shell）は、リモート管理やファイル転送に最もよく使用されるプロトコルで、sFTP（Secure File Transfer Protocol）と呼ばれることがよくあります。Vultr VPSなどのリモートサーバーにアクセスする場合は、PKE（公開鍵交換）でSSHを使用することをお勧めします。PKE（公開鍵交換）では、公開鍵がサーバーに提供され、秘密鍵がマシンに保存されている鍵ペアを使用します。

SSHキーは、Vultrコントロールパネルで公開キーを追加することにより、インストールプロセス中にサーバーに自動的に追加できます。このページで SSHキーを管理できます。これらは公開鍵のみであり（通常はで示される.pub）、秘密鍵を公開しないでください。

キーのタイプ

選択できるキーの種類はいくつかあります。-tなど、生成時に引数を使用しますssh-keygen -t ed25519。楕円曲線署名を使用するED25519鍵タイプは、DSAまたはECDSAよりも安全でパフォーマンスが高いです。最新のSSHソフトウェア（バージョン6.5以降のOpenSSHなど）はED25519鍵タイプをサポートしていますが、互換性のないソフトウェアを見つける場合があるため、デフォルトの鍵タイプはRSAのままです。

デフォルトのキータイプは2048ビットのRSAで、優れたセキュリティと互換性を提供します。より高いセキュリティのために、4096ビットのRSAキーペアを作成する-bなど、生成時の引数を使用してより大きなキーサイズを選択できますssh-keygen -b 4096。

鍵の生成

SSHキーを生成するにTerminal.appは、「アプリケーション>ユーティリティ>ターミナル」にあるopenを開く必要があります。

4096ビットのRSAキーペアを作成するには、次のように入力します。

ssh-keygen -b 4096

それからあなたは見るでしょう：

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Enter / Returnキーを押すと、新しいキーペアがこのデフォルトの場所に保存されます。次に、パスフレーズを作成するオプションがあります。パスフレーズは、キーを暗号化して、承認なしに使用できないようにします。パスフレーズを使用することもお勧めします。

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

この時点で、キーペアが作成され、に保存されてい~/.ssh/id_rsaます。システムでキーを使用できるようにして、システムのキーチェーンにパスフレーズを保存するには、いくつかの追加手順を実行する必要があります。これは、使用するたびにキーパスフレーズの入力を求められない場合にのみ必要です。

新しいキーペアをSSHエージェントに追加する

と入力しssh-add -K ~/.ssh/id_rsaます。次に、パスフレーズの入力を求められ、次のように表示されます。

Identity added: id_rsa ([email protected])

このSSHキーを使用して、作成済みのサーバーにログインする場合は、ssh-copy-idツールを使用して、アクセスするサーバーに公開キーを保存できます。

リモートサーバーに新しいキーを追加する

使用ssh-copy-id：

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

リモートサーバーはまだキーを認識していないため、コンソールはログインパスワードを要求します。以下が表示されます。

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

これでリモートサーバーへのログインを試みることができssh [email protected]、パスワードプロンプトなしで接続できるはずです。