昨日の記事<SSHでちょっとした設定TIPS - treedown’s Report>ではSFTPしかできないユーザを用意したいけどどうしよう、って時の設定方法をご報告しました。
なんでこんな設定をしなきゃいけなかったかといえば…
今日はその辺をご報告です。
もうかれこれ3年くらい前でしょうかしら…。
シェルユーザ頂戴と言われた
「設定やるからシェルユーザのIDとパスワードをください。」
そんな連絡を受け取った午後の昼下がり。
あー、いいですよ。じゃあうち鍵認証ですからこの鍵使ってくださいね。
アクセス情報はこれで、ポートはこれですわ。
数日後、
「pingは応答返しますけどSSHで接続できませんよ。ファイアウォールかなんか有効になっているんじゃないですか?」
勝ち誇ったような言い方で"キミの設定不備じゃないか?"って。
えーっと…、そう言うの全部テスト済みなんですけどね。何か抜けてませんか?
ポートはデフォルト22から変えていますからね。ポート指定ちゃんとやっています?
「SSHならポート22でしょう。」
いやいや、だから変えているんですって。
「じゃあ何番ですか?」
前も言いましたけど、あれですよ。
「では試してみます。」
――翌日。
「やっぱエラーになりますよ。やはりファイアウォールかなんか有効になってるんですって。」
勝ち誇ったような言い方で"キミの設定不備じゃないか?"って。おや、何かデジャヴー。
いや、ですから。そう言うの全部テスト済みなんですって。エラーってどういうことなんです?
「ログイン名を聞かれた後でエラーメッセージになります。」
…じゃあ、ファイアウォールじゃないじゃん。
そのエラー教えてくださいよ。
渋々出てきたエラーメッセージ。こんな感じだった。
---------------------------
login as: ユーザ名
Server refused our key
---------------------------
Disconnected: No supported authentication methods available (server sent: publickey)
---------------------------
思いっきり鍵認証できてませんがな…。
カギを追加するんですよ、鍵を。
「鍵は追加できません、ファイアウォールでないのなら正常に認証可能なIDとパスワードをご連絡ください。」
…。
もう、諦めた。
こうして、パスワード認証を例外的に許可することになった。
なぜって、
"ファイアウォールでないのなら正常に認証可能なIDとパスワードをご連絡ください。"
と言ってる、この言葉に
ログインできないんだからちゃんとログインできるIDとパスワードを連絡してきなさいよ。
という無言のプレッシャーを感じる、少なくとも感じた。
これは…ね。あれだ。そうそう、あれだ。人間はあきらめも肝心だよね、という人生の教訓が入っているに違いない。そうだ、そうに違いない。
私は苦笑しながら、例外設定をサーバに設定し、例外設定されたユーザIDとパスワードを再度連絡することにした。
相手側で「ほら!見たことか!」というリアクションがあったかどうかは定かではない。しかし何も言ってこないところを見ると、どうやらログインできるようになったらしい。
…。
「あの…、せっかく鍵認証を強制しているのに、パスワード認証を部分的とはいえ容認してしまうと、意味がなくなってしまうのではないでしょうか…?」
私の心の中の天使がこう言っていた。
しかし私の心の中の悪魔はこう反論した。
「あのさ、そもそもよ、Webサーバに関わる仕事やってて、SSHポートが分からないとか、鍵認証とはそもそも何かわからないとか、そんな状態だぞ。他社の社員に一から手取り足取り教えてやる義理がどこにある?」
悪魔の囁きはいつだって甘美なものなのだ。