Linux管理・運用の基本

システム管理者のための実践ガイド

🐧

⚙️

🖥️

📊

chmod 755

systemctl

crontab -e

top -p

df -h

Linux管理・運用の基本第49回

Linux管理・運用の基本：SSH公開鍵認証の「効率＆安全」活用術

Linuxシステム管理において、リモート接続は日常的なタスクです。しかし、従来のパスワード認証は、パスワードの使い回しによる情報漏洩や、辞書攻撃・総当たり攻撃といったセキュリティリスクを抱えています。SSH公開鍵認証は、これらのリスクに対して圧倒的に強く、より安全かつ効率的にリモート接続を行うための必須技術です。この記事では、公開鍵認証の基本から、鍵の安全な管理方法、複数サーバーでの効率的な運用、そして日常の作業を劇的に改善するssh-agentと~/.ssh/configの使い方まで、実践的なテクニックを網羅的に解説します。

この記事でわかること

SSH公開鍵認証の基本的な仕組みと、パスワード認証の不便さを解消する方法
ssh-agentとssh-addを使った鍵の管理とパスフレーズ入力の省略方法
~/.ssh/configファイルによるSSH接続設定の効率化
セキュアなネットワーク環境を構築するためのSSH踏み台サーバー（bastion host）の運用方法

1. 公開鍵認証の基本と鍵ペアの生成

この章では、公開鍵認証の基本的な仕組みと、鍵ペアの生成方法を解説します。公開鍵認証では、秘密鍵（クライアント側で厳重に保管）と公開鍵（接続先のサーバーに配置）というペアになった鍵を利用して認証を行います。暗号化されたデータが秘密鍵で正しく復号できるかを確認することで、本人であることを証明します。

鍵ペアの生成

鍵ペアはssh-keygenコマンドを実行して作成します。

$ ssh-keygen -t ed25519 -a 100 -C "your_comment"

-t ed25519: 鍵の種類を指定します。Ed25519は、最新かつ安全性の高いアルゴリズムとして推奨されます。なお、FIPSモードの環境では無効な場合があります。その際はRSAを代替として利用してください。
-a 100: パスフレーズのハッシュ反復回数を増やし、総当たり攻撃に対する耐性を強化します。このオプションはパスフレーズを設定した場合にのみ効果があります。
-C "your_comment": 鍵にコメントを追加します。誰の鍵か、何のための鍵かを明記しておくと管理がしやすくなります。

このコマンドを実行すると、秘密鍵（id_ed25519）と公開鍵（id_ed25519.pub）が~/.sshディレクトリに生成されます。

💡 秘密鍵の運用ベストプラクティス

秘密鍵は原則として端末ごとに生成し、サーバー側のauthorized_keysに公開鍵のみを追加しましょう。複数端末で同じ秘密鍵を使い回すのは避け、端末の管理性・セキュリティを高めることが重要です。

2. ssh-agentによる鍵管理とパスフレーズの省略

この章では、認証のたびにパスフレーズを入力する手間を省き、セキュリティと利便性を両立させるssh-agentの使い方を紹介します。SSHエージェント（ssh-agent）は、秘密鍵をメモリ上で管理し、一度パスフレーズを入力すれば、ターミナルセッション中は再入力を不要にするエージェントプログラムです。

使い方

ssh-agentの起動と鍵の登録 まず、以下のコマンドを実行します。
```
$ eval "$(ssh-agent -s)"
$ ssh-add ~/.ssh/id_ed25519
```
eval "$(ssh-agent -s)"は、現在のシェル環境にssh-agentの環境変数を設定するコマンドです。続いて、ssh-addで秘密鍵のパスフレーズを入力し、エージェントに鍵を登録します。
鍵の確認 登録済みの鍵の一覧は、以下のコマンドで確認できます。
```
$ ssh-add -l
```

💡 自動化のヒント

ssh-agentはログアウトすると停止します。シェルの起動時に自動で実行させたい場合は、~/.bash_profileや~/.zshrcに以下のコマンドを追加してください。
# .bash_profileや.zshrcの末尾に追加
eval "$(ssh-agent -s)"
macOSをご利用の場合は、~/.ssh/configにAddKeysToAgent yesとUseKeychain yesを追加すると、より便利に鍵を管理できます。

3. ~/.ssh/configによるSSH接続設定の効率化

この章では、複数サーバーへの接続を劇的に楽にする~/.ssh/configファイルの使い方を紹介します。このファイルを利用すれば、ホスト名、ユーザー名、ポート番号、鍵ファイルなどの情報を一元管理し、コマンドを簡潔にすることができます。

設定ファイルの例

Host web-server
  HostName www.example.com
  User webadmin
  Port 2222
  IdentityFile ~/.ssh/id_ed25519_web

Host db-server
  HostName 192.168.1.100
  User dbuser
  IdentityFile ~/.ssh/id_ed25519_db

Host private-server
  HostName private-server.internal
  User youruser
  ProxyJump bastion

💡 公開鍵をサーバーに登録する便利なコマンド

公開鍵をサーバーのauthorized_keysに手動で登録するのは面倒です。ssh-copy-idコマンドを使えば、この作業を自動化できます。
$ ssh-copy-id -i ~/.ssh/id_ed25519.pub user@host

4. 踏み台サーバー運用とAgent Forwarding

この章では、SSH接続のセキュリティを飛躍的に高める踏み台サーバー（bastion host）の運用方法を解説します。これにより、内部サーバーのSSHポートを外部に公開することなく、安全に管理できます。

ProxyJumpによる多段接続

SSHクライアントの機能であるProxyJumpを使えば、設定ファイルに記述するだけで踏み台サーバーを経由した接続を自動化できます。この方式では、ローカルのSSHクライアントが踏み台と最終的なサーバーへの接続を同時に確立するため、踏み台上で鍵転送を行う必要はありません。

Host bastion
  HostName bastion.example.com
  User youruser

Host private-server
  HostName private-server.internal
  User youruser
  ProxyJump bastion

この設定後、ssh private-serverと実行するだけで、SSHクライアントが自動的に踏み台を経由して接続してくれます。

SSH Agent Forwarding (鍵転送)

ProxyJumpが使えない古い環境や、踏み台上でさらに別のサーバーへSSH接続する必要がある場合に、SSH Agent Forwarding（鍵転送）を使います。これは、ローカルのssh-agentに登録された鍵を、踏み台サーバーを経由してさらに先のサーバーまで転送し、認証に利用する機能です。

この機能を使うには、~/.ssh/configでForwardAgent yesを設定します。

Host bastion
  HostName bastion.example.com
  User youruser
  ForwardAgent yes

⚠️ セキュリティ上の注意点

ForwardAgent yesを設定すると、踏み台サーバーにログインしたユーザーが、あなたのローカルのSSHエージェント経由で、あなたにアクセス権のある他のサーバーにも接続できてしまうリスクがあります。信頼できる環境でのみ使用してください。

一般的なベストプラクティスとしては、ProxyJumpによる接続を基本とし、踏み台サーバー側のsshd_configでAllowAgentForwarding noを設定し、鍵転送によるリスクを低減することが推奨されます。

5. 困った時のトラブルシューティング

接続できない：ssh -v ホスト名で冗長なデバッグ出力を確認しましょう。さらに詳細なログが必要な場合は、-vを複数回重ねてssh -vvv ホスト名を実行すると、より詳細な情報が得られます。
パーミッションエラー：秘密鍵や設定ファイルのパーミッションが正しくない場合、認証に失敗します。以下のパーミッションを確認しましょう。また、サーバー側のホームディレクトリがgo-w（グループ・他者から書き込み不可）になっていない場合も認証を拒否されることがあります。
- chmod 700 ~/.ssh
- chmod 600 ~/.ssh/id_ed25519
- chmod 600 ~/.ssh/authorized_keys
- chmod go-w ~
known_hosts問題：サーバーのホスト鍵が変わった場合、WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!などのエラーになる場合があります。これは、以前接続した際のサーバーのホスト鍵情報と異なるために発生します。~/.ssh/known_hostsの該当行を削除することで対処できます。
- デフォルトポートの場合：ssh-keygen -R host.example.com
- 非デフォルトポートの場合：ssh-keygen -R '[host.example.com]:2222'（角括弧とポート番号をつけます）

まとめ

この記事では、SSH公開鍵認証の基本から、ssh-agent、~/.ssh/config、そして踏み台サーバーといった高度な活用方法を解説しました。これらの機能を使いこなせば、「セキュリティ強化」と「管理効率化」の両立が実現できます。

この記事が、SSH公開鍵認証の理解を深める一助となれば幸いです。次回は、シェルスクリプト応用（ログ監視・自動リカバリ・定期メンテ）について解説します。現場で役立つ自作スクリプト例集をお届けする予定ですので、ぜひご期待ください。

ご覧いただきありがとうございました。