treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

SSHパスワード認証専用ユーザを用意した動機

昨日の記事<SSHでちょっとした設定TIPS - treedown’s Report>ではSFTPしかできないユーザを用意したいけどどうしよう、って時の設定方法をご報告しました。
なんでこんな設定をしなきゃいけなかったかといえば…
今日はその辺をご報告です。

もうかれこれ3年くらい前でしょうかしら…。

シェルユーザ頂戴と言われた

「設定やるからシェルユーザのIDとパスワードをください。」

そんな連絡を受け取った午後の昼下がり。
あー、いいですよ。じゃあうち鍵認証ですからこの鍵使ってくださいね。
アクセス情報はこれで、ポートはこれですわ。

数日後、

「pingは応答返しますけどSSHで接続できませんよ。ファイアウォールかなんか有効になっているんじゃないですか?」

勝ち誇ったような言い方で"キミの設定不備じゃないか?"って。

えーっと…、そう言うの全部テスト済みなんですけどね。何か抜けてませんか?
ポートはデフォルト22から変えていますからね。ポート指定ちゃんとやっています?

「SSHならポート22でしょう。」

いやいや、だから変えているんですって。

「じゃあ何番ですか?」

前も言いましたけど、あれですよ。

「では試してみます。」

――翌日。

「やっぱエラーになりますよ。やはりファイアウォールかなんか有効になってるんですって。」

勝ち誇ったような言い方で"キミの設定不備じゃないか?"って。おや、何かデジャヴー。
いや、ですから。そう言うの全部テスト済みなんですって。エラーってどういうことなんです?

「ログイン名を聞かれた後でエラーメッセージになります。」

…じゃあ、ファイアウォールじゃないじゃん。
そのエラー教えてくださいよ。

渋々出てきたエラーメッセージ。こんな感じだった。
---------------------------
login as: ユーザ名
Server refused our key
---------------------------
Disconnected: No supported authentication methods available (server sent: publickey)
---------------------------

思いっきり鍵認証できてませんがな…。

カギを追加するんですよ、鍵を。

「鍵は追加できません、ファイアウォールでないのなら正常に認証可能なIDとパスワードをご連絡ください。」

…。
もう、諦めた。
こうして、パスワード認証を例外的に許可することになった。

なぜって、
"ファイアウォールでないのなら正常に認証可能なIDとパスワードをご連絡ください。"
と言ってる、この言葉に
ログインできないんだからちゃんとログインできるIDとパスワードを連絡してきなさいよ。
という無言のプレッシャーを感じる、少なくとも感じた。

 

これは…ね。あれだ。そうそう、あれだ。人間はあきらめも肝心だよね、という人生の教訓が入っているに違いない。そうだ、そうに違いない。

 

私は苦笑しながら、例外設定をサーバに設定し、例外設定されたユーザIDとパスワードを再度連絡することにした。

相手側で「ほら!見たことか!」というリアクションがあったかどうかは定かではない。しかし何も言ってこないところを見ると、どうやらログインできるようになったらしい。

…。

「あの…、せっかく鍵認証を強制しているのに、パスワード認証を部分的とはいえ容認してしまうと、意味がなくなってしまうのではないでしょうか…?」

私の心の中の天使がこう言っていた。
しかし私の心の中の悪魔はこう反論した。

「あのさ、そもそもよ、Webサーバに関わる仕事やってて、SSHポートが分からないとか、鍵認証とはそもそも何かわからないとか、そんな状態だぞ。他社の社員に一から手取り足取り教えてやる義理がどこにある?」

悪魔の囁きはいつだって甘美なものなのだ。