質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.51%

  • Linux

    4440questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • CentOS

    3146questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • SSH

    684questions

    SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

SFTPのパスワード認証の無効化について

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 203

a-chan0000

score 9

SSHとSFTPに詳しい方がいらっしゃいましたら教えていただけると助かります。

コンフィグファイル全体でパスワード認証を無効にしているのにも関わらず、
c-userでSFTPではパスワード認証をパスしてログインできてしまいます。
SFTPのパスワード認証を無効にしたいのですがどのようにすればよいのかご助力をお願いしたいです。

コンフィグファイルの関係のありそうなところのみ抜粋してみます。
SSHからのログイン認証だと問題なく設定が反映されており、
公開鍵認証でしかログインできないことを確認しています。

#RSAAuthentication yes
PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile      .ssh/authorized_keys

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no


# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

Protocol 2
PermitRootLogin no
AllowUsers  a-user b-user c-user

Match User a-user
       ChrootDirectory /var/www/public_html
       PasswordAuthentication no
       ForceCommand internal-sftp

Match User b-user
       ChrootDirectory /var/www/stage_html
       PasswordAuthentication no
       ForceCommand internal-sftp

Match User c-user
       PasswordAuthentication no
       AuthorizedKeysFile      .ssh/authorized_keys

この設定で、いずれのユーザは公開鍵認証でパスしてログインできます。

a-user、b-userはSFTP専用のユーザです。
c-userのみSSHでもSFTPでも公開鍵認証でログインできるようにしたいです。
ただし、パスワード認証は無効にしたいです。

以上、よろしくお願いいたします。

デバッグログの追加

皆さん、お忙しいところありがとうございます。
以下、ログを追記します。

sftp -v c-user@hostname

OpenSSH_for_Windows_7.6p1, LibreSSL 2.6.4
debug1: Connecting to 192.168.100.128 [192.168.100.128] port 22.
debug1: Connection established.
debug1: identity file C:\\Users\\TestTaro/.ssh/id_rsa type 0
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\TestTaro/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\TestTaro/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\TestTaro/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\TestTaro/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\TestTaro/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\TestTaro/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\TestTaro/.ssh/id_ed25519-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_for_Windows_7.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4
debug1: match: OpenSSH_7.4 pat OpenSSH* compat 0x04000000
debug1: Authenticating to 192.168.100.128:22 as 'c-user'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: rsa-sha2-512
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ssh-rsa SHA256:OoA7eSVUMLPCOHyRqEdghTPwIMY4ALeBkss3UL46yeH
debug1: Host '[192.168.100.128]:22' is known and matches the RSA host key.
debug1: Found key in C:\\Users\\TestTaro/.ssh/known_hosts:6
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey after 134217728 blocks
debug1: pubkey_prepare: ssh_get_authentication_socket: No such file or directory
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: RSA SHA256:EWO02bWTW3fDAwCyHYdcsWtYKsXtlOLVT6wISNM57tl C:\\Users\\TestTaro/.ssh/id_rsa
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Trying private key: C:\\Users\\TestTaro/.ssh/id_dsa
debug1: Trying private key: C:\\Users\\TestTaro/.ssh/id_ecdsa
debug1: Trying private key: C:\\Users\\TestTaro/.ssh/id_ed25519
debug1: Next authentication method: keyboard-interactive
debug1: read_passphrase: can't open /dev/tty: No such file or directory
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.100.128 ([192.168.100.128]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending subsystem: sftp
Connected to c-user@192.168.100.128.
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • yukky1201

    2019/05/09 23:43

    c-userがパスワード認証でログインできてしまっているのでしょうか。
    「オプション-iで秘密鍵ファイルを指定しなくてもログイン認証が成功します。」というのが、指定して稲野のでデフォルト保存場所の鍵(~/.ssh/id_rsaなど)を参照して鍵認証でログインできてたりしませんか。
    ログイン試行時のサーバ側のログ(/var/log/secure)も確認すると良いと思います。

    キャンセル

  • doda

    2019/05/14 11:23

    sftp -v c-user@hostname の結果を出す事が出来ますか?

    > ちなみに/etc/sshd_configの設定変更した後にsshdの再起動をするだけで、
    > sftpサーバにも反映されるものとの認識で問題ないでしょうか。

    はい、それで問題無いです。
    sftpコマンドは内部でsshコマンドを実行して接続するので、基本的には認証まではsshコマンドで接続した時と同じ動作になります。違いが出てくるのは認証の後になります。

    キャンセル

  • a-chan0000

    2019/05/16 17:02 編集

    >yukky1201様
    デフォルト保存場所の鍵(~/.ssh/id_rsaなど)もログでは参照しているようですが、次の認証処理に続いているのでデフォルト保存場所の鍵の影響ではなさそうです。

    > doda様
    ありがとうございます!!!
    sftp -v c-user@hostname の結果を、質問本文下部に追記しました。
    keyboard-interactiveモードのせいで、パスワード認証のようになっているような感じですかね・・・

    キャンセル

回答 1

checkベストアンサー

+1

ログを見ると、keyboard-interactive認証が使われていますね。
この認証方式はチャレンジ-レスポンス方式の認証などで使われますが、
設定によってはパスワード認証のようにも使えます。

この認証方式をユーザ毎に使えなくする事はできないので、止めるならばシステム全体で止める事になります。
それで問題なければ、以下の設定を sshd_config に追加してサービスを再起動してください。

ChallengeResponseAuthentication no

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/05/17 12:03

    パスワードが聞かれなり、公開鍵認証のみとなりました!
    大変助かりました!!!

    ありがとうございました><

    キャンセル

  • 2019/05/17 12:47

    セットアップ時に no にしている項目だな... うちの環境で再現しないわけだ。

    キャンセル

  • 2019/05/20 16:33

    この度はご助力いただきまして、本当にありがとうございました。

    キャンセル

同じタグがついた質問を見る

  • Linux

    4440questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • CentOS

    3146questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • SSH

    684questions

    SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。