SSH接続を可能にする完全ガイド

Network

目次

  1. SSHとは何か基本知識
  2. SSH接続エラーの確認
  3. SSHサービスの詳細確認
  4. OpenSSHサーバーのインストール手順
  5. SSHサービスの起動と有効化
  6. ファイアウォール設定の詳細
  7. SSH設定ファイルのカスタマイズ
  8. 接続テストと最終確認
  9. セキュリティ強化設定
  10. トラブルシューティング完全版

SSHとは何か基本知識

🔐 **SSH(Secure Shell)**は、ネットワーク越しに別のコンピューターに安全に接続して操作するためのプロトコルです。

SSHの仕組みと重要性

要素説明重要度
🔒 暗号化全ての通信が暗号化される⭐⭐⭐⭐⭐
🔑 認証パスワードや公開鍵で本人確認⭐⭐⭐⭐⭐
🖥️ リモート操作遠隔地からコマンド実行⭐⭐⭐⭐
📁 ファイル転送SCP/SFTPで安全にファイル送受信⭐⭐⭐⭐
🚇 ポートフォワード他のサービスを安全にトンネリング⭐⭐⭐

SSH接続の基本構造

クライアント側                     サーバー側
┌─────────────┐                ┌─────────────────┐
│ ssh client  │ ←─ 暗号化通信 ─→ │ sshd (daemon)   │
│ (例: Ubuntu)│     ポート22     │ (例: Ubuntu)    │
└─────────────┘                └─────────────────┘

💡 重要: SSHはクライアント・サーバーモデルです。接続される側(サーバー)にSSHデーモン(sshd)が動作している必要があります。

SSH接続エラーの確認

まず、実際にSSH接続を試行してエラーの詳細を確認しましょう。

基本的な接続コマンド

ssh ユーザー名@IPアドレス

実際の例:

ssh ubuntu@192.168.1.100

詳細な接続情報を表示するオプション

ssh -v ubuntu@192.168.1.100

-vオプションの効果:

  • 接続プロセスの詳細ログを表示
  • どの段階で失敗しているかが分かる
  • デバッグ情報が豊富に出力される

よくあるエラーパターンと意味

1. Connection refused(最も一般的)

ssh: connect to host 192.168.1.100 port 22: Connection refused

意味: SSHサービスが起動していない、またはポート22がブロックされている

2. Connection timed out

ssh: connect to host 192.168.1.100 port 22: Connection timed out

意味: ネットワーク的に到達できない(ファイアウォール、ネットワーク設定)

3. Permission denied

Permission denied (publickey).

意味: 認証に失敗(ユーザー名、パスワード、鍵の問題)

4. Host key verification failed

Host key verification failed.

意味: ホストキーが変更されている(セキュリティ警告)

SSHサービスの詳細確認

接続先マシンで、SSHサービスの詳細な状態を確認します。

systemctlコマンドによる状態確認

sudo systemctl status ssh

Ubuntu 20.04以降では:

sudo systemctl status ssh.service

CentOS/RHEL系では:

sudo systemctl status sshd.service

出力例の詳細解説

サービスが停止している場合:

● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)
     Active: inactive (dead)
       Docs: man:sshd(8)
             man:sshd_config(5)

各項目の意味:

  • Loaded: サービス定義ファイルの状態
  • Active: 現在の動作状態
  • inactive (dead): 停止状態
  • disabled: 自動起動が無効

プロセスとポートの確認

SSHプロセスの確認:

ps aux | grep sshd

ポート22の使用状況確認:

sudo ss -tlnp | grep :22

または

sudo netstat -tlnp | grep :22

期待される出力:

LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=1234,fd=3))

パッケージインストール状況の確認

Ubuntu/Debian:

dpkg -l | grep openssh

CentOS/RHEL:

rpm -qa | grep openssh

OpenSSHサーバーのインストール手順

SSHサーバーがインストールされていない場合の詳細な手順です。

Ubuntu/Debian系での詳細インストール

1. パッケージリストの更新(重要)

sudo apt update

なぜ必要?: 最新のパッケージ情報を取得するため

2. OpenSSHサーバーのインストール

sudo apt install openssh-server -y

-yオプション: 確認を求められた際に自動的に「yes」で回答

3. インストール確認

dpkg -l | grep openssh-server

期待される出力:

ii  openssh-server  1:8.9p1-3ubuntu0.1  amd64  secure shell (SSH) server, for secure access from remote machines

CentOS/RHEL系での詳細インストール

CentOS 7以前(yum使用):

sudo yum update -y
sudo yum install openssh-server -y

CentOS 8以降/RHEL 8以降(dnf使用):

sudo dnf update -y
sudo dnf install openssh-server -y

インストール後の初期設定確認

設定ファイルの存在確認:

ls -la /etc/ssh/sshd_config

デフォルト設定の確認:

sudo grep -E "^(Port|PasswordAuthentication|PermitRootLogin)" /etc/ssh/sshd_config

SSHサービスの起動と有効化

OpenSSHサーバーをインストールしたら、適切にサービスを設定します。

サービスの起動

sudo systemctl start ssh

CentOS/RHEL系では:

sudo systemctl start sshd

自動起動の有効化(重要)

sudo systemctl enable ssh

なぜ重要?: システム再起動後も自動的にSSHサービスが開始される

設定の確認

sudo systemctl status ssh --no-pager -l

オプションの説明:

  • --no-pager: 出力を一画面に表示
  • -l: 長い行も切り捨てずに表示

正常な状態の出力例:

● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2025-05-26 10:00:00 JST; 2min 30s ago
       Docs: man:sshd(8)
             man:sshd_config(5)
    Process: 1234 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
   Main PID: 1235 (sshd)
      Tasks: 1 (limit: 4915)
     Memory: 1.2M
        CPU: 15ms
     CGroup: /system.slice/ssh.service
             └─1235 "sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups"

サービス設定の詳細確認

自動起動設定の確認:

sudo systemctl is-enabled ssh

期待される出力: enabled

サービスの動作確認:

sudo systemctl is-active ssh

期待される出力: active

ファイアウォール設定の詳細

SSHサービスが起動しても、ファイアウォールでブロックされている可能性があります。

UFW(Ubuntu Firewall)での設定

現在の状態確認:

sudo ufw status verbose

UFWが無効の場合の出力:

Status: inactive

UFWが有効で制限的な場合の出力:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

SSH接続を許可する方法(3つの方法):

方法1: サービス名で許可

sudo ufw allow ssh

方法2: ポート番号で許可

sudo ufw allow 22/tcp

方法3: 特定のIPからのみ許可(推奨)

sudo ufw allow from 192.168.1.0/24 to any port 22

設定の確認:

sudo ufw status numbered

iptablesでの詳細設定

現在のルール確認:

sudo iptables -L INPUT -v -n

SSH接続を許可:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

特定のネットワークからのみ許可:

sudo iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

設定の永続化(Ubuntu):

sudo apt install iptables-persistent -y
sudo netfilter-persistent save

firewalld(CentOS/RHEL)での設定

現在の状態確認:

sudo firewall-cmd --state

SSH接続を許可:

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

設定の確認:

sudo firewall-cmd --list-all

SSH設定ファイルのカスタマイズ

セキュリティと利便性を向上させるための設定変更です。

基本的な設定ファイルの編集

sudo nano /etc/ssh/sshd_config

または

sudo vim /etc/ssh/sshd_config

重要な設定項目の解説

1. ポート番号の変更(セキュリティ向上)

# デフォルト
#Port 22

# カスタム設定
Port 2222

2. rootログインの無効化(セキュリティ重要)

# デフォルト
#PermitRootLogin yes

# セキュア設定
PermitRootLogin no

3. パスワード認証の設定

# パスワード認証を許可
PasswordAuthentication yes

# パスワード認証を無効(鍵認証のみ)
PasswordAuthentication no

4. 接続試行回数の制限

MaxAuthTries 3

5. アイドルタイムアウトの設定

ClientAliveInterval 300
ClientAliveCountMax 2

意味: 5分間無通信で2回確認後、切断

6. 特定ユーザーのみ許可

AllowUsers ubuntu admin

7. X11フォワーディングの設定

X11Forwarding yes

設定ファイルの文法チェック

sudo sshd -t

エラーがない場合: 何も出力されない エラーがある場合: 詳細なエラーメッセージ

設定の反映

sudo systemctl reload ssh

または

sudo systemctl restart ssh

reload vs restart:

  • reload: 既存の接続を維持したまま設定を再読み込み
  • restart: 全ての接続を切断して再起動

接続テストと最終確認

全ての設定が完了したら、詳細な接続テストを実行します。

段階的な接続テスト

1. ローカルループバックでの接続テスト

ssh localhost

2. 同一ネットワーク内からの接続テスト

ssh -v ubuntu@192.168.1.100

3. カスタムポートでの接続テスト

ssh -p 2222 ubuntu@192.168.1.100

接続オプションの詳細

接続タイムアウトの設定:

ssh -o ConnectTimeout=10 ubuntu@192.168.1.100

厳密なホストキーチェックを無効:

ssh -o StrictHostKeyChecking=no ubuntu@192.168.1.100

⚠️ 注意: 本番環境ではStrictHostKeyChecking=noは使用しないでください。

接続成功後の確認項目

1. ログイン情報の確認

whoami
id

2. システム情報の確認

uname -a
cat /etc/os-release

3. 現在の接続情報

who
w

ログの確認

SSH接続ログの確認:

sudo journalctl -u ssh -f

認証ログの確認:

sudo tail -f /var/log/auth.log

CentOS/RHELの場合:

sudo tail -f /var/log/secure

セキュリティ強化設定

SSH接続をより安全にするための追加設定です。

公開鍵認証の設定

1. クライアント側での鍵ペア生成

ssh-keygen -t ed25519 -C "your_email@example.com"

2. 公開鍵をサーバーに転送

ssh-copy-id ubuntu@192.168.1.100

3. 手動での公開鍵設置

# サーバー側で実行
mkdir -p ~/.ssh
chmod 700 ~/.ssh
echo "公開鍵の内容" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

SSH設定の追加セキュリティ

設定ファイル(/etc/ssh/sshd_config)に追加:

# プロトコルバージョンの指定
Protocol 2

# 空のパスワードを禁止
PermitEmptyPasswords no

# TCPキープアライブを無効
TCPKeepAlive no

# DNS逆引きを無効(高速化)
UseDNS no

# バナーメッセージの設定
Banner /etc/issue.net

# 使用可能な暗号化アルゴリズムの制限
Ciphers aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr

# MAC(メッセージ認証コード)の制限
MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com

fail2banによる攻撃対策

fail2banのインストール:

sudo apt install fail2ban -y

設定ファイルの作成:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

SSH関連の設定:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 600
findtime = 600

トラブルシューティング完全版

よくある問題と解決法

❓ Q1: 「ssh: command not found」

原因: SSHクライアントがインストールされていない

解決法:

# Ubuntu/Debian
sudo apt install openssh-client

# CentOS/RHEL
sudo yum install openssh-clients

❓ Q2: 設定変更後に接続できない

原因: 設定ファイルの構文エラー

解決法:

# 設定ファイルの検証
sudo sshd -t

# 元の設定に戻す
sudo cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config
sudo systemctl restart ssh

❓ Q3: 「Too many authentication failures」

原因: 認証試行回数の上限に達した

解決法:

# 設定ファイルで上限を変更
MaxAuthTries 6

# または明示的に認証方法を指定
ssh -o PreferredAuthentications=password ubuntu@192.168.1.100

❓ Q4: X11フォワーディングが動作しない

解決法:

# サーバー側設定
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes

# クライアント側接続
ssh -X ubuntu@192.168.1.100

# または信頼されたX11フォワーディング
ssh -Y ubuntu@192.168.1.100

ログ分析による問題特定

詳細ログの有効化:

# /etc/ssh/sshd_config に追加
LogLevel VERBOSE

リアルタイムログ監視:

sudo journalctl -u ssh -f --no-pager

特定時間のログ確認:

sudo journalctl -u ssh --since "2025-05-26 10:00:00"

ネットワーク診断コマンド

基本的な接続確認:

# ping接続確認
ping -c 4 192.168.1.100

# ポート接続確認
telnet 192.168.1.100 22

# ncatを使用した接続確認
nc -zv 192.168.1.100 22

高度なネットワーク診断:

# traceroute(経路確認)
traceroute 192.168.1.100

# nmap(ポートスキャン)
nmap -p 22 192.168.1.100

# iptablesルールの詳細確認
sudo iptables -L -n -v --line-numbers

設定完了チェックリスト

SSH設定が完了したら、以下の項目を確認してください:

基本設定チェック

  • OpenSSHサーバーがインストールされている
  • SSHサービスが起動している
  • SSHサービスが自動起動に設定されている
  • ファイアウォールでSSHポートが開放されている
  • 設定ファイルの構文が正しい

セキュリティチェック

  • rootログインが無効化されている
  • 不要なユーザーのアクセスが制限されている
  • 強力な認証方法が設定されている
  • ログ監視が有効になっている
  • デフォルトポートから変更されている(推奨)

動作確認チェック

  • ローカルからSSH接続ができる
  • リモートからSSH接続ができる
  • ファイル転送(SCP/SFTP)が動作する
  • 設定変更後の接続が正常
  • ログに適切な記録が残っている

まとめ

SSH接続を確実に設定するための完全な手順を説明しました。重要なポイントをまとめると:

設定の順序(必須)

  1. エラー確認 - 問題の正確な特定
  2. サービス確認 - systemctlでの詳細状態確認
  3. インストール - OpenSSHサーバーの適切な導入
  4. サービス設定 - 起動と自動起動の確実な設定
  5. ファイアウォール - 適切なポート開放
  6. セキュリティ - 安全な設定への変更
  7. テスト - 段階的な動作確認

セキュリティの重要性

SSH接続はセキュリティが最優先です。便利さだけでなく、常に以下を意識してください:

  • 🔐 強力な認証: パスワード + 公開鍵認証
  • 🚫 アクセス制限: 必要最小限のユーザーのみ
  • 📊 ログ監視: 不正アクセスの早期発見
  • 🔄 定期更新: セキュリティパッチの適用

この手順に従えば、安全で確実なSSH接続環境を構築できます。何か問題が発生した場合は、ログを確認し、段階的にトラブルシューティングを行ってください!🔐✨