SSH キーを作成して使用する必要があるのはなぜですか?
クラウド環境や国際データ センターでは、サーバーへの安全で自動的なログインは、あらゆる DevOps 操作、Web ホスティング、レンダリング、AI、データベース管理の基礎となります。. SSHキー これらは標準的かつ安全でスクリプト化可能な認証方法であり、弱いパスワードに代わるものです。.
公開鍵/秘密鍵を使用すると、ブルートフォース攻撃のリスクが軽減され、よりきめ細かいアクセス制御の自動化と実装が容易になります。.
前提条件と基本概念
秘密鍵: 公開されるべきではない機密ファイル。.
公開鍵: サーバー上に配置されるファイル (authorized_keys)。.
一般的なアルゴリズム: ed25519 (推奨)、 RSA 4096.
ルート: ~/.ssh/id_* Linux/WSLおよび C:\ユーザー\ \.ssh Windowsの場合。.
アクセス: chmod 700 ~/.ssh そして chmod 600 秘密鍵用。.
Linux/macOS/WSLでSSHキーを作成する
推奨されるのは ed25519 互換性の理由で RSA が必要な場合を除き、使用してください。.
シェルでキーを生成および管理する手順
ssh-keygen -t ed25519 -C "[email protected]" -f ~/.ssh/id_ed25519 -o -a 100
ssh-keygen -t rsa -b 4096 -C "[email protected]" -f ~/.ssh/id_rsa -o -a 100
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519
ls -la ~/.ssh
cat ~/.ssh/id_ed25519.pub
ssh-copy-id -i ~/.ssh/id_ed25519.pub [email protected]
ssh-copy-id -i ~/.ssh/id_ed25519.pub -p 2222 [email protected]
chmod 400 my-aws-key.pem
ssh -i my-aws-key.pem [email protected]注: AWSでは、インスタンスを起動する際にキーを選択またはインポートすることがよくあります。PEMファイルがある場合は、それをアイデンティティとして使用してください。.
Windows で SSH キーを作成する (PowerShell / Windows OpenSSH)
Windows 10/11 には OpenSSH クライアントがあり、PuTTY/Puttygen を使用して PuTTY に接続することもできます。.
PowerShellコマンド
ssh-keygen -t ed25519 -C "[email protected]" -f $env:USERPROFILE\.ssh\id_ed25519
Start-Service ssh-agent
ssh-add $env:USERPROFILE\.ssh\id_ed25519ファイルパス:
C:\ユーザー\ \.ssh\id_ed25519C:\ユーザー\ \.ssh\id_ed25519.pub
PuTTYgenでPEMをPPKに変換する
一般的な手順:
PuTTYgen を開きます。.
ファイル > 秘密鍵とファイルの読み込み
my-aws-key.pemロード(すべてのファイルを表示)。.秘密鍵を次の名前で保存
my-aws-key.ppkPuTTY で使用します (接続 > SSH > 認証 > 秘密鍵ファイル)。.
AWS EC2 およびその他のクラウドパネルへの公開鍵のインポート
AWS コンソール: EC2 > キーペア > キーペアのインポート. ファイル名と内容 .。パブ 入力。.
インスタンスを作成する際に、既存のキーペアを選択できます。他のデータセンターでは、パネルにSSHキーのアップロード/インポートオプションが用意されていることがよくあります。.
公開鍵を追加するためのcloud-initの例
#cloud-config
ssh_authorized_keys:
- ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAI... [email protected]GitLab/GitHubにキーを追加してCIで使用する
GitLabの場合: ユーザー設定 > SSHキー 公開鍵を貼り付けます。プロジェクトに移動してキーをデプロイします。.
CI/CDでは、秘密鍵を保護された変数としてアップロードし、アクセス制限のあるファイルを作成してジョブで使用します(chmod 600).
キーのインストール後のサーバーとセキュリティ設定
ステップ 1: 権限を設定します。.
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
chmod 600 ~/.ssh/id_ed25519次に設定 /etc/ssh/sshd_config 確認して更新:
パスワード認証番号
PermitRootLogin番号
公開鍵認証はい
あなたはできる ユーザーを許可 ユーザーを制限するように設定します。.
DNS使用なし 必要に応じてポートを変更します。.
sudo systemctl restart sshdファイアウォール:
sudo ufw allow OpenSSH
sudo ufw enable
sudo ufw allow 2222/tcpブルートフォース攻撃を防ぐには、Fail2ban または CrowdSec を使用します。
sudo apt install fail2ban機密性の高いサーバーの場合は、要塞/ジャンプ ホストを使用してプライベート ネットワークへの直接アクセスを制限します。.
さまざまなアプリケーションのための実用的なヒント
トレーダー向け(取引用VPS)
場所を選択してください: ブローカーや取引所のサーバーに近いため、レイテンシーを最小限に抑えられます。世界85か所以上の拠点があり、お客様のターゲット市場に近いロケーションをご提供できます。.
SSH を静的 IP または VPN 経由のみに制限することをお勧めします。
sudo ufw allow from 203.0.113.5 to any port 22ゲーマー向け(ゲーミングVPS)
ゲームサーバーには、強力なピアリングと適切なCDN/BGPを備えたロケーションを使用してください。パスワードの代わりにSSHキーを使用し、要塞ホストを使用することで、攻撃対象領域を縮小します。.
AIとレンダリング用(GPUクラウド)
強力なキー (ed25519/RSA4096) を使用して GPU サーバーに接続し、プロジェクトごとに個別のユーザーとキーを割り当てます。.
rsync -avz -e "ssh -i ~/.ssh/id_ed25519 -p 2222" /local/path user@remote:/remote/pathホスティングとGitLabホスティング
アクセスが制限されたサーバー固有のキー (デプロイ キー) を使用して、サーバーのプライベート リポジトリに自動的にアクセスします。.
鍵の管理、ローテーション、標準
キーを定期的に(例:6~12 か月ごと)ローテーションします。.
古いキーを削除する
承認されたキーそしてクラウドパネルを削除します。.秘密鍵のパスフレーズを使用して、パスワード マネージャーに保存します。.
組織では、集中管理のために SSH 証明書と CA (OpenSSH CA) を使用します。.
追加のヒントとトラブルシューティング
エラーに直面したとき 権限が拒否されました(公開鍵) 公開鍵が ~/.ssh/承認キー 存在し、権限も正しいです。.
sudo journalctl -u sshd -e
sudo tail -f /var/log/auth.logProxyJump またはジャンプ ホストを使用している場合は、構成ファイルが役立ちます。
Host bastion
HostName bastion.example.com
User ubuntu
IdentityFile ~/.ssh/id_ed25519
Host internal-*
ProxyJump bastion
User deploy
IdentityFile ~/.ssh/id_deployから サーバーアライブ間隔 そして サーバーアライブカウント最大 突然のセッション切断を防ぐために ssh 設定で使用します。.
最終的なセキュリティ推奨事項
SSH アクセスを IP に制限すること、VPN またはプライベート ネットワークを使用すること、機密サーバーに DDoS 対策サービスを使用することも重要なポイントです。.
要約と推奨チェックリスト
キーの作成: ed25519(パスフレーズ付き)
ファイル保護:
chmod 700 ~/.ssh && chmod 600 秘密鍵SSHエージェントの有効化と鍵の追加
公開鍵をAWSパネルまたはデータセンターにアップロードするか、cloud-initを使用します。
パスワード認証とPermitRootLoginの無効化
ファイアウォール/UFWとFail2banまたはCrowdSec
機密性の高いアクセスには要塞、IP 制限、VPN を使用する
定期的なキーの複製とローテーション
