「SSH」の記事 - Crieit

Raspberry Pi 5 に Ubuntu 24.04 LTS を入れて SSH するまで

2024-02-27T00:46:48+09:00

ついに日本でも、 Raspberry Pi 5 の技適対応モデルが発売された。

Raspberry Pi にインストールする OS と言えば、まずは Raspberry Pi OS (旧 Raspbian) だが、同じ Debian ベースの Ubuntu も Raspberry Pi 向けの公式イメージを出している。

但し、 Raspberry Pi 5 に対応しているのは、 Ubuntu 23.10 (コードネーム: mantic) 以降のみとなる。

現在リリース済みの 23.10 は「非LTS」バージョンとなり、サポートが 9ヶ月 (2024年6月まで) と短い。
常用するなら、サポートが 5年 (ESM なら 10年) と長い LTS バージョンが望ましいが、残念ながら 22.04 LTS Raspberry Pi 5 に非対応だ。

LTS バージョンの次回リリースは 24.04 LTS (コードネーム: noble / 2024年4月リリース予定) で、現在絶賛開発中だ。

そんな開発中の 24.04 LTS も、デイリースナップショットが手に入る。
そいつを使ってディスプレイやキーボードが無い状態で、インストールから SSH 接続までやってみよう。

Raspberry Pi 5 をターゲットに書いているが、 Raspberry Pi 3, 4, Raspberry Pi Zero 2 W でも同じ手順でできるはずだ。

なお、この記事は 24.04 LTS がリリースされたら、それに併せて内容に書き換えていくつもり。

TL;DR

microSD カードに Ubuntu の OS イメージを焼いたあと、 RasPi に挿す前に初回起動時の設定を書き換える
cloud-init の挙動を理解しよう
ディスプレイなし & 無線LAN Only だと少し工夫がいる
今回の記事の内容は、Raspberry Pi に Ubuntu を入れて SSH でログインするまでの A to B | Aqua Ware つぶやきブログの二番煎じ
- Ubuntu 24.04 LTS に合わせて内容はアップデートされている

準備するもの

Raspberry Pi 5
- Raspberry Pi 3, 4 でも同じ手順でいけるはず
4GB 以上の micorSD カード
- IOPS が高い、「アプリケーションパフォーマンスクラス」が A2 のものが良いだろう。値段や速度を考えると、実用上は 64GB 以上になるだろうか。
- 私は、ARCANITE 64GB microSDXCカード【A2】、UHS-I U3、V30、4K、C10 値段の割にパフォーマンスが良かったため、これを使った。
- 後述するが、最終的には NVMe SSD にした方が断然良い
microSD を書き込める PC (Win, Linux, mac)
インターネットに繋がる Wi-Fi またはイーサネットケーブル

以下もあると便利だが、今回の手順では無くても問題ない。

micro-HDMI で繋がるディスプレイ又は変換コネクタ
RasPi に繋げる USB キーボード

イメージファイルの取得

正式リリース前の Raspberry Pi 向けデイリースナップショットイメージは、以下のいずれかから手に入る。

今回は、サーバーOS的に SSH して使う事が目的なので、後者のサーバー版を利用する。

Raspberry Pi 向けデスクトップ版イメージ
- https://cdimage.ubuntu.com/daily-preinstalled/current/
Raspberry Pi や、汎用 64-bit ARM, RISC-V 向けサーバー版イメージ
- https://cdimage.ubuntu.com/ubuntu-server/daily-preinstalled/current/

リンク先から、 noble-preinstalled-server-arm64+raspi.img.xz を選択してダウンロードしよう。

24.04 LTS が正式リリースされれば、 Install Ubuntu on a Raspberry Pi | Ubuntu のページからダウンロードできるようになるはずだ。

ブータブル SD の焼き込み

ダウンロードしたイメージファイルを、ブート可能な状態で microSD に書き込む。
ダウンロードしたファイルをただ SD カードに保存するのではなく、専用のツールで書き込む必要があるぞ。

方法は色々あるのだが、今回は個人的にオススメな balenaEtcher を使った方法で紹介しよう。

microSD を SDカードスロットに挿す
balenaEtcher を DL & 起動する。
- DLする balenaEtcher は Portable 版で良い
前項でダウンロードするした ***.img.xz を選択して、書き込みを開始する
- ***.img.xz は、 ***.img ファイルを .xz 形式で圧縮したものなのだが、手動で解凍せず直接 balenaEtcher で選択してしまって問題ない。 balenaEtcher は書き込み時にオンザフライで解凍する。

なお、リリース済みの Ubuntu (や Raspberry Pi OS など) であれば、一般的に Raspberry Pi Imager というツールを使った方法がオススメされるのだが、DLが遅いからか、全体的に時間がかかるので私はあまりオススメしない。

system-boot パーティション内の cloud-init 等の設定を書き換える

作成した micorSD を早速 RasPi に挿す …前に 、初回セットアップ設定を書き換える。

一度書き込んだ microSD を再び PC に挿し直すと、 "system-boot" という 500MB 位の FAT32 パーティションが開けるはずだ。

ここには、 cloud-init という仕組みで初回起動時の設定を定義するファイルがいくつか含まれている。
これらを書き換えていく。

書き換え後のファイルはこちらの Gist に置いてあるので、結果だけ欲しい人はここから DL をば。

cloud-init の network-config

以下のように書き換える。
(元のファイルからの差分を diff のフォーマットで表示している。以降同様。)

--- network-config.org  
+++ network-config      
@@ -22,23 +22,11 @@
   ethernets:
     eth0:
       dhcp4: true
       optional: true

-#  wifis:
-#    wlan0:
-#      dhcp4: true
-#      optional: true
-#      access-points:
-#        myhomewifi:
-#          password: "S3kr1t"
-#        myworkwifi:
-#          password: "correct battery horse staple"
-#        workssid:
-#          auth:
-#            key-management: eap
-#            method: peap
-#            identity: "[email protected]"
-#            password: "passw0rd"
-#            ca-certificate: /etc/my_ca.pem
-
-#      regulatory-domain: GB
+  wifis:
+    wlan0:
+      dhcp4: true
+      access-points:
+        "SSID-of-myhomewifi":
+          password: "password-of-myhomewifi"

Ubuntu では Netplan を使ってネットワークが管理されるため、 Netplan の形式で記述する。

規定値では IPv4 の有線イーサネットのみ、 DHCP 自動取得で接続されるようになっている。
必要に応じて、上述のように Wi-Fi で接続する SSID 等の情報を追記したり、逆に有線LANを使わないなら ethernet: プロパティごと削除してしまってもよいだろう。

SSID やパスワードは、各自の環境のものに置き換えて書き換えてほしい。

コメントアウトされている wifi の記述例では、 wifis.wlan0.optional を true に設定しているが、もし Wi-Fi 単独でネットワークに接続するつもりならこの設定は行わないようにしよう。
さもないと、OS起動の度に2分も余計に時間かかる羽目になる。
これは、 systemd-networkd-wait-online.service デーモンが、(optional true を指定していない) 有効なネットワークの接続をタイムアウトするまで待機してしまうためだ。

network-config 自体のリファレンスはこちら。
https://cloudinit.readthedocs.io/en/23.4.1/reference/network-config.html

cloud-init の user-data

こちらは書き換え箇所が多いので、何箇所かに分けて説明していく。

まず最初はユーザー名まわり。

--- user-data.org
+++ user-data
@@ -17,13 +17,17 @@
 # Some additional examples are provided in comments below the default
 # configuration.

+# Override the `default_user` configuration from `/etc/cloud/cloud.cfg`. The `user` dictionary keys supported for the default_user are the same as the `users` schema.
+user:
+  name: newusername
+
 # On first boot, set the (default) ubuntu user's password to "ubuntu" and
 # expire user passwords
 chpasswd:
   expire: true
   users:
-  - name: ubuntu
-    password: ubuntu
+  - name: newusername
+    password: newpassword
     type: text

 ## Set the system's hostname. Please note that, unless you have a local DNS

規定では、 cloud-init パッケージの /etc/cloud/cloud.cfg ファイルの定義によって、 "ubuntu" というユーザーが作成される。

しかし、既知のユーザー名をそのまま使うのはセキュリティ的にも若干不安があるし、作成後のユーザー名を書き換えるのは若干面倒なので、作成されるデフォルトのユーザー名自体を、他の名前 (上記例だと "newusername") に書き換えてしまおう。

また、 chpasswd による、初回アクセス時のパスワード変更対象とするユーザー名も、併せて変更しておく。

次にホスト名とキーボード周りの設定。

@@ -31,14 +35,14 @@
 ## setting the hostname here will not make the machine reachable by this name.
 ## You may also wish to install avahi-daemon (see the "packages:" key below)
 ## to make your machine reachable by the .local domain
-#hostname: ubuntu
+hostname: ubuntu-raspi5

 ## Set up the keyboard layout. See localectl(1), in particular the various
 ## list-x11-* sub-commands, to determine the available models, layouts,
 ## variants, and options
-#keyboard:
-#  model: pc105
-#  layout: gb
+keyboard:
+  model: pc105
+  layout: jp
 #  variant:
 #  options: ctrl:nocaps

ここはまぁ、見た通りなので追加での説明はいらないかな。

お次は SSH まわり。

@@ -53,6 +57,8 @@
 #ssh_import_id:
 #- lp:my_launchpad_username
 #- gh:my_github_username
+ssh_authorized_keys:
+- ssh-rsa AAAA<中略>== rsa-key-of-user1

 ## Add users and groups to the system, and import keys with the ssh-import-id
 ## utility

ssh_authorized_keys に直接指定するか、ssh_import_id: のところで自分の GitHub のユーザー名を指定してインポートすることにより、デフォルトのユーザー (上記例だと "newusername") に登録する公開鍵を指定する。

SSH に登録するパスワードログインは規定で禁止されているので、この設定をしておかないと SSH による遠隔からのアクセスができない。

タイムゾーンや起動後の処理まわり。

@@ -82,8 +88,13 @@
 #- python3-gpiozero
 #- [python3-serial, 3.5-1]

+# locale and timezone
+timezone: Asia/Tokyo
+
 ## Write arbitrary files to the file-system (including binaries!)
-#write_files:
+write_files:
+- path: /etc/cloud/cloud-init.disabled
+  defer: true
 #- path: /etc/default/console-setup
 #  content: |
 #    # Consult the console-setup(5) manual page.

とりあえずタイムゾーンは日本標準時にしておこう。

次に、 write_files: のほうだが、これは次回以降のブート時に cloud-init が余計に起動しないようにするための設定だ。

cloud-init の設定の大半は、初回ブート時にただ一度だけ実行されるのだが、 cloud-init サービス自体は基本的に毎回常に起動して、サービスとして常駐しっぱなしになっている。
Modules で、 Module frequency: per always となっているモジュールの実行などは、ブートする度に毎回実行される。
そうすると、場合によっては cloud-init の実行ログがログイン画面を覆ってしまうことが毎回の起動ごとに発生して鬱陶しい。
このため、 /etc/cloud/cloud-init.disabled という空ファイルを作成しておくことで、次回以降の起動時に cloud-init を無効にしている。

defer: true が指定されている部分についてだが、これは cloud-init の初期化処理が大きく分けて Network (cloud_init_modules), Config (cloud_config_modules), Final (cloud_final_modules) という 3ステージに分かれていることに関係する。
write_files: モジュールは Ubuntu の既定だと Network ステージに実行されてしまい、このタイミングで cloud-init.disabled ファイルが作成されてしまうと、 Config や Final ステージの処理が実行されなくなってしまう。
このため、 defer オプションを true にして Final ステージで cloud-init.disabled ファイルが作成されるよう調整しているのだ。

なお、どのモジュールがどのステージで実行されるかは、 /etc/cloud/cloud.cfg で定義されている。
（各ディストリビューション毎の cloud.cfg のテンプレートソースはこちら）

最後に、コマンドの実行。
以下の 192.168.0.2 の部分は、 ssh で RasPi に接続するゲスト PC の IPアドレスに書き換えてくれ。

@@ -106,7 +117,9 @@
 #  permissions: '0644'

 ## Run arbitrary commands at rc.local like time
-#runcmd:
+runcmd:
+# after wlan0 is connected, write the arp entry to target machine on background job
+- [ sh, -c, 'sleep 2; ping -c 4 192.168.0.2' ]
 #- [ ls, -l, / ]
 #- [ sh, -xc, "echo $(date) ': hello world!'" ]
 #- [ wget, "http://ubuntu.com", -O, /run/mydir/index.html ]

このコマンドは、仮に ssh ゲストの IP アドレスが 192.168.0.2 であると仮定して、そこへ向かって Ping を打っている。
なぜなら、ゲストPC から RaspPi の IP アドレスを ARP コマンドで確実に調べられるようにするためだ。

RasPi に繋げるディスプレイがないことを前提とすると、 SSH するために DHCP によって RasPi に割り当てられた IP アドレスをどうやって調べるのか、と言う問題に直面する。

RasPi の MAC アドレスの先頭 24bit は、 Raspberry 財団の所持する OUI から割り当てられるはずなので、以下のいずれかになるはずだ。

28:CD:C1
2C:CF:67
B8:27:EB
D8:3A:DD
DC:A6:32
E4:5F:01

通常、 RasPi がオンラインになったときに、 ARPリクエストがブロードキャストされるため、同一ネットワーク内の PC の ARP テーブルに RasPi のレコードが追加され、以下のような arp コマンドで対象の IP アドレスを調べることができるようになる。。。 多くの場合は。

while(1) { arp -a | ?{ $_ -match '\s(28-cd-c1|2c-cf-67|b8-27-eb|d8-3a-dd|dc-a6-32|e4-5f-01)' }; Start-Sleep -Seconds 1}

ところが、 RasPi が Wi-Fi で繋いでいる先が (単なるアクセスポイントではなく) ルーターだったりすると、 RasPi が同じサブネット内に ARPリクエストをブロードキャストしたのにも関わらず、ルーターが無駄に気を利かせて ARPリクエストを代替して投げてしまい、同じサブネットの別の端末の ARP テーブルには、 RasPi の MAC アドレスのレコードが記録されないことがある。

そこで、 RasPi 側から SSH のアクセス元となる PC を指定して ping を投げることで、その PC の ARP テーブルに確実に RasPi が載るようにしている。

ここまで書き換えたら、 SD カードを取り外して RasPi に挿し、いよいよ起動する。

cloud-init 周りの補足

system-boot パーティション内の中身について、もう少し細かい仕組み周りを深堀りして補足したい。
興味が無ければ、読み飛ばしてしまって次の章に進んでもらって問題ない。

system-boot パーティション直下にある README というファイルを開くと、このパーティションに存在するファイルの概要が簡単に書いてある。

==================
The Boot Partition
==================

This file belongs to the boot partition of the Ubuntu Server for Raspberry Pi.

...

このパーティションには、Raspberry Pi に於ける BIOS の代替となる config.txt といった H/W 設定用のファイルや、 cloud-init の構成ファイルなどが含まれていることがわかる。

このうち、cloud-init は Infrastructure as Code (IaC) の一種だ。
その名の通り、 AWS などのクラウド上の仮想マシンの初期設定を念頭においた仕組みだが、それに留まらず、一般的な Linux インスタンスの初期設定に活用される。
設定内容は、YAML形式の設定ファイルを使用して記述し、クラウドやディストリビューションの違いをある程度吸収して初期設定を行うことができる。
Ubuntu の OS のイメージ内には、事前に cloud-init のサービス（デーモン）が組み込まれており、OS の起動時に何らかの方法で指定された設定ファイルを読み取って、初回設定処理が実行される仕組みとなっている。

Raspberry Pi 用の Ubuntu Server イメージでは、この cloud-init 用の設定ファイルが上記の system-boot パーティションから取得される。
イメージ内のデフォルト値の定義と、system-boot パーティション内のユーザー定義が組み合わされ、初期設定が進められるワケだ。

たとえば、今回 microSD に書き込んだイメージをそのまま書き換えずに Ubuntu を起動すると、ユーザー認証が以下のように構成される。

ubuntu というユーザーID
ubuntu というパスワード
初回起動時にパスワードの変更を求める
SSH サーバーの起動

このうち、 (1), (4) は、OSに組み込まれた /etc/cloud/cloud.cfg の定義によるもの。
そして、 (2), (3) は system-boot パーティション内の user-data ファイル内の以下の部分の定義によるモノだ。

#cloud-config
chpasswd:
  expire: true
  users:
  - name: ubuntu
    password: ubuntu
    type: text

このデフォルトの構成だと流石にセキュリティ的にアレなので、書き換えを行っている… というのが、前項の設定の真相となる。

Raspberry Pi に割り当てられた IP アドレスを調べられるようにして起動

こんな感じでひととおりファイルを書き換えたら、いよいよ RasPi を起動する。

…と、その前に、 ssh でつなぐ予定のゲスト端末で、管理者権限で以下のコマンドを実行し、端末内の「arp テーブル」をリセットする。

arp -d *

その後、ようやくだが RasPi に microSD を挿して起動させよう。
初回ブート時の設定を適用しながら起動してくれる。

ssh でつなぐ予定のゲスト端末の PowerShell で、以下のような arp コマンドのループを実行し、ゲストPC から RasPi の IPアドレスを調べよう。
初回起動され安定しただろうところ（SDカードの I/O 性能によるが 1～5分？）で、 RasPi の IP アドレスがヒットしてくるようになるはずだ。

while(1) { arp -a | ?{ $_ -match '\s(28-cd-c1|2c-cf-67|b8-27-eb|d8-3a-dd|dc-a6-32|e4-5f-01)' }; Start-Sleep -Seconds 1}

公開鍵の登録が適切に行えれば、その IP アドレスに対し SSH できるはずだ。

初回アクセス時は、以下のようなパスワード変更を求められる。

WARNING: Your password has expired.
You must change your password now and login again!
Changing password for newusername.

古いパスワード ("newpassword") と変更後のパスワードを改めて入れる。

おわりに

一般的な1列端子の microSD で最速な UHS-I SDR104 のバスインターフェースに Raspberry Pi 5 が対応したことや、最近の安価な microSD の I/O 速度もだいぶ向上したのも相まって、 RasPi 4B が登場した頃と比べると、体感できる I/O 性能が大きく向上している。
おかげで、起動やパッケージのインストール、更新などが快適になった。

だいぶ高価になってしまった価格的な面からも、 Raspberry Pi の非Zero/Pico シリーズは「Linuxが動くマイコン」から「小型のLinuxマシン」という面がより強くなったと感じる。
（それはどうなんだという気もするけど。）

更に RasPi 5 では PCI Express (PCIe) にも対応しているため、 NVMe で繋いだ SSD からブートさせると、更に桁違いの高速化が臨める。

近いうちに、そちらも試してみようと思う。

…ただ、どうせ PCIe に対応するなら、microSD Express に対応してくれれば、 NVMe 用 HAT とか買い足さんで済むから良かったのにな～…と、思わんでもない。
しかし、2019年にSD7.1の規格として登場してから4年も経った2024年現在その製品が売られているとこを見たことないので、まぁ無理な相談か。

旅先でサーバ上のデータベースをメンテナンスする

2022-07-29T07:33:22+09:00

以前に投稿した記事「旅先でクラウド上のWindowsサーバにRDP接続」は、Androidセルフォンのアプリケーションで、SSHのポートフォワードを介して
WindowsサーバにRDP接続するというものでした。

旅先でクラウド上のWindowsサーバにRDP接続

この記事で紹介した、僕を助けてくれるアプリケーションのうちの1つがこれなんです。

これのポートフォワード設定を追加してあげると、セルフォンのアプリケーションから、サーバのデータベースのデータを参照したり更新したりすることができます。
皆さんもご存知のとおり、あたりまえのことなんですけどね。

ポートフォワード

ConnectBotのSSHに下図にようなポートフォワードを追加してあげます。この例は、SSHサーバのローカルで稼働するMySQLに接続する設定です。

RDPは以前に設定したものです。

データベースのデータを操作するアプリケーション

データベースのデータを操作するのに便利なアプリケーションがあります。僕の好みです。皆さんの評価など受け付けません。

MySQLへの接続はこんなふうにしてあげます。

デフォルトでSQLiteへの接続が見えますが、ここにSQLiteがいれば、おそらくつながるのでしょう。

MySQLをクリックすると、こんなふうにオブジェクトが見えるようになります。

旅先でクラウド上のWindowsサーバにRDP接続

2022-07-25T21:47:47+09:00

この記事には、目新しい技術は書かれていません。既成のアプリケーションの使い方のひとつが紹介されているだけです。

旅先でクラウド上のWindowsサーバにRDP接続したいな、という機会は、僕にはたくさんあります。PCを使える状況であればPCを使えば良いのですが、例えば電車の中などでPCを使えない、あるいはPCは使えるけどそれも面倒という場面も僕にはたくさんあります。
こんなときのために、僕にはセルフォンがあるのです。

外部からの接続

外部から目的のWindowsサーバにRDPで接続するには、間にSSHが配置され、このSSHがポートフォワードしてくれる、というのが前提です。当然ながら、SSH接続には鍵が必要というのも前提です。
つまり、何の変哲もない一般的な構成です。

僕を助けてくれるAndroidアプリ

こういった場面で僕を助けてくれるAndroidアプリは以下の2つです。どちらか1つというわけではなく、2つがタックで助けてくれます。

ConnectBot
Remote Desktop

これらはよく配慮された機能をもち、かつ余分な機能を持たないという、セルフォンのアプリケーションとして優れた特徴を持ったアプリケーションです。

使い方

ConnectBotの設定を事前に行っておくべきです。

ConnectBot

以下はConnectBotの設定です。

"Manage Pubkeys"を使って、サーバへのSSH接続を行うための鍵を登録します。

鍵を登録した状態です。

"Hosts"にSSHサーバを登録し接続します。鍵はここで使用します。SSHサーバへの登録と接続については、この記事では解説しません。難しくはないでしょう。

SSHでSSHサーバに接続したら、メニューから[Port Forward]を選択します。

WindowsサーバのRDPへのポート・フォワードを設定します。

Remote Desktop

僕は、マイクロソフト社純正のアプリケーションを使用しています。
ConnectBotによるSSH（= ポートフォワード）セッションを活かした状態で、RDPに接続します。

Dockerコンテナに SSHログインできるようにする(パスワード方式)

2021-12-10T23:34:08+09:00

経緯

Dockerコンテナでファイル永続化をすると便利ではあるのですが、 Windows-Linux間だと異なるファイルシステム間で整合性を保つ処理でもたつき、大量のファイルがある場合は体感的には加速度的に遅延がひどくなってしまいます。

一時的な試験であれば、ファイル永続化を捨てるという選択肢を取ることができると思います。

そこで課題となるのは、ファイルをどうやってコンテナの中に持ち込むか。

そのための一つの方法として、 SFTP を採ることにしました。通常のサーバと同様に、 SFTP で接続してファイルをアップロードする、と。

であれば、 SSHログインできなければ話が成立しないので、 SSHログインできるようにしてみたいと思います。

コード

ベース: arm-band/docker_compose_ambergrease

例によって Ambergrease をベースに使います。

.env

# 略
WEB_HOST_PORTSSH=2222
WEB_CONTAINER_PORTSSH=22
WEB_SSH_USER=root
WEB_SSH_PASSWORD=Password-1234
# 略

今回はWebサーバのコンテナに SSHログインしたいので、必要なパラメータを追加します。

管理者権限ユーザもハードコーディングはしたくないので一緒に変数にしておきます。ただ、 Docker で一時的な試験環境なので SSH はパスワード認証方式で良いかな、と。

docker-compose.yml

  web:
    build:
      context: ./apache/docker
      dockerfile: Dockerfile
      args:
        # 略
        WEB_HOST_PORTSSH: $WEB_HOST_PORTSSH
        WEB_CONTAINER_PORTSSH: $WEB_CONTAINER_PORTSSH
        WEB_SSH_USER: $WEB_SSH_USER
        WEB_SSH_PASSWORD: $WEB_SSH_PASSWORD
      # 略
    volumes:
      # 略
      # apache virtual host
#      - ./apache/www:/var/www/$WEB_ROOT_DIRECTORY/web
      # 略
    ports:
      # 略
      - "$WEB_HOST_PORTSSH:$WEB_CONTAINER_PORTSSH"
    entrypoint: bash -c "bash /workspace/entrypoint_web.sh $WEB_ROOT_DIRECTORY $WEB_DOMAIN $WEB_HOST_PORTNUM $WEB_CONTAINER_PORTNUM $WEB_HOST_PORTSSL $WEB_CONTAINER_PORTSSL $WP_CLI $WEB_SSH_USER $WEB_SSH_PASSWORD && /bin/bash"
    # 略

主に変更した部分のみ掲載。

args: .env で追加したホスト・コンテナ双方のポート番号を引数に追加
volumes: 今回の本題。ファイル数が多いと激重になってしまうので仮想ホストのファイル永続化を切っています
ports: .env で追加したホスト・コンテナ双方のポート番号を紐付け
entrypoint: エントリポイントとして実行するシェルスクリプトに渡す引数に .env で追加した $WEB_SSH_USER, $WEB_SSH_PASSWORD (SSHログインユーザ名・パスワード)を追加

Dockerfile

# 略
# yum install
RUN yum -y update && yum -y install \
    # 略
    # network ss (instaed of netstat)
    iproute \
    # SSH
    openssh-server

# 略

# SSH
RUN mkdir /var/run/sshd

追加した項目は openssh-server のインストールと、ディレクトリ /var/run/sshd の作成のみ。それ以外の処理はエントリポイント側に投げました。

entrypoint_web.sh

# 略

# SSH
sed -ri 's/^#PermitRootLogin yes/PermitRootLogin yes/' /etc/ssh/sshd_config
echo "${8}:${9}" | chpasswd
ssh-keygen -t rsa -N "" -f /etc/ssh/ssh_host_rsa_key
/usr/sbin/sshd -D &

先程述べた通り、 SSHサーバについての主な処理はこちらに追加しました。

管理者権限のログインを有効化し
パスワードを上述の Docker Compose から引数で渡された .env の値に書き換え
使用しないものの存在しないとエラーになるので秘密鍵を生成
最後にフォアグラウンドで SSHサーバを起動

これで SSHサーバが起動し、 .env でアクセスできるようになりました。

なお、ポート番号は .env のホスト用のポートなので接続する際は注意。

参考

OCIやAWS上のサーバの環境構築

2021-10-20T03:32:37+09:00

1．公開鍵認証方式でssh接続

1-1．キーの作成(おまけ)

Windowsのコマンドプロンプトで，

＞ssh-keygen -b 4096

（4096は任意鍵長）と打つと，~/.sshに公開鍵と秘密鍵が作成される．例えばユーザー名がTanakaさんなら．C:\Users\Tanaka\.sshに作成される．
秘密鍵のファイル名がid_rsaで，公開鍵がid_rsa.pubとなる．

以降の話ではこの節はあまり関係ない．

1-2．OCIでインスタンス作成

sshキーにスポットをあてて話を進める．

1-2-1．キーペアを持っていない場合

[ SSHキーの追加 ]欄で，[キー・ペアを自動で生成 ]を選択し，
[公開キーの保存]→[秘密キーの保存]をクリックすることでキーペア取得できる．
この2つのファイルは大切に保管しましょう．(今後も使いまわせるので)

保存された2つのファイルは，
公開鍵が~.key.pub
秘密鍵が~.key
となっている．

この2つのファイルはどこか好きなディレクトリに格納しとこう．
例：C:\Users\Tanaka\Documents\Oracle

インスタンスを作成．

1-2-2．キーペアを持っている場合

OCIでインスタンスを作成する際，[sshキーの追加]欄がある．
ここで，[公開キー・ファイル(.pub)のアップロード]を選択し，
自身の公開鍵のファイル(~.key.pub)をドラッグ&ドロップでアップロード．
インスタンスを作成．

1-3．ssh接続

sshクライアントを起動してssh接続を試みる．

1-3-1．TeraTermの場合

TeraTermを起動させたら[ ホスト(T) ]にIPアドレスを書いて，
その下の[ TCPポート ]欄に「22」と書く※1．
[ ok ]ボタンを押す．

[ ユーザ名 ]に指定されたユーザ名を記入．
OCIのCentOSの初期ユーザ名は「opc」※2．

[ 認証方式 ]で，[ RSA/DSA/ECDSA/ED25119鍵を使う]を選択し，
1-1節で作成した秘密鍵のパスを指定．
例:

C:\Users\Tanaka\Documents\Oracle\~.key

これで接続できる．

※1：sshのデフォルトのport番号が22．これは後で利用できるport番号内で任意番号に変更可能
※2：AWSのRHEL8の場合は「ec2-user」

1-3-2．PowerShellの場合

これだけ．

> ssh -i [秘密鍵のパス] [ユーザ名]@[IPアドレス]

以上。

２. 環境設定

2-1．パスワード設定

ログインできたら，rootユーザとログインユーザ(今回であればopc)のPassを任意に設定しとく．
まずはroot

$sudo passwd root
(パスワード聞かれるので適当に打つ)
(切り替わるか確かめる)
$ su -

次は別のユーザ

#passwd opc

2-2．ssh接続のconfファイル書き換え

セキュリティの観点から，ssh接続のconfigファイルを書き換える．

$ sudo vi /etc/ssh/sshd_config

とやるといろいろ書き換えられる．
英語読めば何の設定なのか想像つくと思うのでてきとーにやっとく．

Port 11326  (←port番号を22から変更)
PermitRootLogin no (←Rootユーザでログインできないようにする)
PubkeyAuthentication yes  (←公開鍵認証方式）
PasswordAuthentication no (←パスワード認証を無効化)
などなど

これではまだ反映されないので，reloadしてメモリの設定を読み込ませる．
（restartじゃないよ)

$ sudo systemctl reload sshd.service

2-3．タイムゾーンを変更

タイムゾーンを東京に変更しとく．

$ sudo timedatectl set-timezone Asia/Tokyo

2-4．変更確かめ

Windows端末のPowerShellでPortして疎通確認．

> Test-NetConnection [ IPアドレス ] -Port [ Port番号 ]

3．yum

参考：https://access.redhat.com/ja/articles/3221791

/etc/yum.confと/etc/yum.repos.dの二つの領域に分かれる。
※rhel8からはyumは廃止されdnfに置き換わっている。使い方はほぼ同じ。
実際、/etc/をみてみると、

[root@publicpc1 etc]# ll|grep yum
drwxr-xr-x.  2 root               root                   57 Mar 24 12:32 yum
lrwxrwxrwx.  1 root               root                   12 Nov 12 00:18 yum.conf -> dnf/dnf.conf
drwxr-xr-x.  2 root               root                  217 Mar 24 12:39 yum.repos.d

[root@publicpc1 yum]# pwd
/etc/yum
[root@publicpc1 yum]# ll
total 0
lrwxrwxrwx. 1 root root 14 Nov 12 00:18 pluginconf.d -> ../dnf/plugins
lrwxrwxrwx. 1 root root 18 Nov 12 00:18 protected.d -> ../dnf/protected.d
lrwxrwxrwx. 1 root root 11 Nov 12 00:18 vars -> ../dnf/vars

となっている。

3-1. yum.conf(dnf.conf)

[root@publicpc1 etc]# cat yum.conf
[main]
gpgcheck=1
installonly_limit=3
clean_requirements_on_remove=True
best=True
skip_if_unavailable=False

[main]はセクション名で、ここに記載されているのはyumのグローバルな設定。

gpgcheck

は署名チェック。1が有効で、0が無効。

3-2. yum.repos.d

[root@publicpc1 yum.repos.d]# ll
total 32
-rw-r--r--. 1 root root  495 May  5  2021 ksplice-ol8.repo
-rw-r--r--. 1 root root  759 Apr 13  2021 mysql-ol8.repo
-rw-r--r--. 1 root root  253 Mar 20  2021 oci-included-ol8.repo
-rw-r--r--. 1 root root  252 Mar 24 12:39 oracle-epel-ol8.repo
-rw-r--r--. 1 root root  694 Mar 24 12:39 oraclelinux-developer-ol8.repo
-rw-r--r--. 1 root root 2740 Mar 24 12:39 oracle-linux-ol8.repo
-rw-r--r--. 1 root root  470 Mar 11 01:09 uek-ol8.repo
-rw-r--r--. 1 root root  243 Mar 11 01:09 virt-ol8.repo

oracle-linux-ol8.repoの中身を見てみると、ダウンロードする際に参照するURLが記載されている。
ここが間違っていると適切にインストールできなくなる。
ただ、ここを編集することはなさそう。

もし社内にあるレポジトリサーバを利用したい場合、対応は２つある。
１つは、 yum.repos.d配下に~.repoファイルを追加する。
２つ目は、yum -y install ～で追加する方法。

１つ目の場合

# vim /etc/ yum.repos.d/test.repo
[test]
name=test
baseurl=http://xxx.xxx/xxx.xxx/xxx
gpgcheck=0

など。

4．踏み台サーバの準備

4-1．キーペアの準備

4-2．scpでファイル転送

4-3．公開鍵認証の読み込みパス指定

https://crieit.net/posts/OCI-CentOS

5. Port ForwardingでRDP接続

5.1 sshトンネリング

6．Pythonインストール

7．OCI CLIの利用方法

公式ドキュメントを参考に進めていくとインストールできる。

7.1 Oracle Linux8でオンラインインストール

参考
OCIのクイックインストール：https://docs.oracle.com/ja-jp/iaas/Content/API/SDKDocs/cliinstall.htm#InstallingCLI__linux_and_unix

7.1.1 dnfでインストール

dnfを使用してCLIをインストール

$ sudo dnf -y install oraclelinux-developer-release-el8
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for opc:
Ksplice for Oracle Linux 8 (x86_64)                             16 MB/s | 1.2 MB     00:00
MySQL 8.0 for Oracle Linux 8 (x86_64)                          9.1 MB/s | 2.4 MB     00:00
MySQL 8.0 Tools Community for Oracle Linux 8 (x86_64)          5.2 MB/s | 308 kB     00:00
MySQL 8.0 Connectors Community for Oracle Linux 8 (x86_64)     214 kB/s |  23 kB     00:00
Oracle Software for OCI users on Oracle Linux 8 (x86_64)        38 MB/s |  46 MB     00:01
Oracle Linux 8 BaseOS Latest (x86_64)                           62 MB/s |  49 MB     00:00
Oracle Linux 8 Application Stream (x86_64)                      48 MB/s |  37 MB     00:00
Oracle Linux 8 Addons (x86_64)                                  21 MB/s | 4.9 MB     00:00
Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linu  63 MB/s |  53 MB     00:00
Package oraclelinux-developer-release-el8-1.0-7.el8.x86_64 is already installed.
Dependencies resolved.
Nothing to do.
Complete!

続いて、cliをインストール

$ sudo dnf install python36-oci-cli
Last metadata expiration check: 0:00:34 ago on Sat 13 Aug 2022 03:23:12 PM GMT.
Dependencies resolved.
===============================================================================================
 Package                        Arch        Version                Repository             Size
===============================================================================================
Installing:
 python36-oci-cli               noarch      3.14.0-1.el8           ol8_oci_included       14 M
Upgrading:
 python36-oci-sdk               x86_64      2.78.0-1.el8           ol8_oci_included       23 M
Installing dependencies:
 python3-arrow                  noarch      1.1.1-1.el8            ol8_oci_included      119 k
 python3-jmespath               noarch      0.10.0-1.el8           ol8_oci_included       48 k
 python3-prompt-toolkit         noarch      3.0.29-1.0.2.el8       ol8_oci_included      669 k
 python3-terminaltables         noarch      3.1.0-1.0.1.el8        ol8_oci_included       31 k
 python3-typing-extensions      noarch      3.7.4.2-1.el8          ol8_oci_included       47 k
 python3-wcwidth                noarch      0.2.5-3.el8            ol8_oci_included       48 k

Transaction Summary
===============================================================================================
Install  7 Packages
Upgrade  1 Package

Total download size: 38 M
Is this ok [y/N]: y
Downloading Packages:
(1/8): python3-jmespath-0.10.0-1.el8.noarch.rpm                520 kB/s |  48 kB     00:00
(2/8): python3-prompt-toolkit-3.0.29-1.0.2.el8.noarch.rpm      4.2 MB/s | 669 kB     00:00
(3/8): python3-arrow-1.1.1-1.el8.noarch.rpm                    740 kB/s | 119 kB     00:00
(4/8): python3-terminaltables-3.1.0-1.0.1.el8.noarch.rpm       298 kB/s |  31 kB     00:00
(5/8): python3-typing-extensions-3.7.4.2-1.el8.noarch.rpm      739 kB/s |  47 kB     00:00
(6/8): python3-wcwidth-0.2.5-3.el8.noarch.rpm                  711 kB/s |  48 kB     00:00
(7/8): python36-oci-cli-3.14.0-1.el8.noarch.rpm                 46 MB/s |  14 MB     00:00
(8/8): python36-oci-sdk-2.78.0-1.el8.x86_64.rpm                 37 MB/s |  23 MB     00:00
-----------------------------------------------------------------------------------------------
Total                                                           45 MB/s |  38 MB     00:00
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                                       1/1
  Upgrading        : python36-oci-sdk-2.78.0-1.el8.x86_64                                  1/9
  Installing       : python3-wcwidth-0.2.5-3.el8.noarch                                    2/9
  Installing       : python3-prompt-toolkit-3.0.29-1.0.2.el8.noarch                        3/9
  Installing       : python3-typing-extensions-3.7.4.2-1.el8.noarch                        4/9
  Installing       : python3-arrow-1.1.1-1.el8.noarch                                      5/9
  Installing       : python3-terminaltables-3.1.0-1.0.1.el8.noarch                         6/9
  Installing       : python3-jmespath-0.10.0-1.el8.noarch                                  7/9
  Installing       : python36-oci-cli-3.14.0-1.el8.noarch                                  8/9
  Cleanup          : python36-oci-sdk-2.75.1-1.el8.x86_64                                  9/9
  Running scriptlet: python36-oci-sdk-2.75.1-1.el8.x86_64                                  9/9
  Verifying        : python3-arrow-1.1.1-1.el8.noarch                                      1/9
  Verifying        : python3-jmespath-0.10.0-1.el8.noarch                                  2/9
  Verifying        : python3-prompt-toolkit-3.0.29-1.0.2.el8.noarch                        3/9
  Verifying        : python3-terminaltables-3.1.0-1.0.1.el8.noarch                         4/9
  Verifying        : python3-typing-extensions-3.7.4.2-1.el8.noarch                        5/9
  Verifying        : python3-wcwidth-0.2.5-3.el8.noarch                                    6/9
  Verifying        : python36-oci-cli-3.14.0-1.el8.noarch                                  7/9
  Verifying        : python36-oci-sdk-2.78.0-1.el8.x86_64                                  8/9
  Verifying        : python36-oci-sdk-2.75.1-1.el8.x86_64                                  9/9

Upgraded:
  python36-oci-sdk-2.78.0-1.el8.x86_64
Installed:
  python3-arrow-1.1.1-1.el8.noarch               python3-jmespath-0.10.0-1.el8.noarch
  python3-prompt-toolkit-3.0.29-1.0.2.el8.noarch python3-terminaltables-3.1.0-1.0.1.el8.noarch
  python3-typing-extensions-3.7.4.2-1.el8.noarch python3-wcwidth-0.2.5-3.el8.noarch
  python36-oci-cli-3.14.0-1.el8.noarch

Complete!

インストール完了したらバージョン確認。

$ oci --version
3.14.0

7.1.2 構成ファイルの設定

$ oci setup config
    This command provides a walkthrough of creating a valid CLI config file.
    The following links explain where to find the information required by this
    script:
    User API Signing Key, OCID and Tenancy OCID:      https://docs.cloud.oracle.com/Content/API/Concepts/apisigningkey.htm#Other
    Region:
        https://docs.cloud.oracle.com/Content/General/Concepts/regions.htm
    General config documentation:
        https://docs.cloud.oracle.com/Content/API/Concepts/sdkconfig.htm

Enter a location for your config [/home/opc/.oci/config]:特に指定しなくてok
Enter a user OCID: OCIコンソールよりユーザのOCIDをコピペ
Enter a tenancy OCID: OCIコンソールよりコピペ
Enter a region by index or name(e.g.
1: af-johannesburg-1, 2: ap-chiyoda-1, 3: ap-chuncheon-1, 4: ap-dcc-canberra-1, 5: ap-hyderabad-1,
6: ap-ibaraki-1, 7: ap-melbourne-1, 8: ap-mumbai-1, 9: ap-osaka-1, 10: ap-seoul-1,
11: ap-singapore-1, 12: ap-sydney-1, 13: ap-tokyo-1, 14: ca-montreal-1, 15: ca-toronto-1,
16: eu-amsterdam-1, 17: eu-frankfurt-1, 18: eu-marseille-1, 19: eu-milan-1, 20: eu-paris-1,
21: eu-stockholm-1, 22: eu-zurich-1, 23: il-jerusalem-1, 24: me-abudhabi-1, 25: me-dcc-muscat-1,
26: me-dubai-1, 27: me-jeddah-1, 28: mx-queretaro-1, 29: sa-santiago-1, 30: sa-saopaulo-1,
31: sa-vinhedo-1, 32: uk-cardiff-1, 33: uk-gov-cardiff-1, 34: uk-gov-london-1, 35: uk-london-1,
36: us-ashburn-1, 37: us-gov-ashburn-1, 38: us-gov-chicago-1, 39: us-gov-phoenix-1, 40: us-langley-1,
41: us-luke-1, 42: us-phoenix-1, 43: us-sanjose-1): 13（OCIコンソールをブラウザで開いてURLを見るとわかる
Do you want to generate a new API Signing RSA key pair? (If you decline you will be asked to supply the path to an existing key.) [Y/n]: Y
Enter a directory for your keys to be created [/home/opc/.oci]:
Enter a name for your key [oci_api_key]:
Public key written to: /home/opc/.oci/oci_api_key_public.pem
Enter a passphrase for your private key (empty for no passphrase):
Private key written to: /home/opc/.oci/oci_api_key.pem
Fingerprint: ～なんか記載されている～
Config written to /home/opc/.oci/config

完了すると、~/.oci配下にoci_api_key_public.pemが作成されているはず。このキーをOCIコンソールで
アイデンティティ＞ユーザー＞ユーザーの詳細
に行くと、画面サブに「APIキー」があるのでクリックし、oci_api_key_public.pemの中身を張り付ける。

試しに実行してみる。

$ oci compute instance list --all
Usage: oci compute instance list [OPTIONS]
Error: Missing option(s) --compartment-id.

コンパートメントIDをオプションで追記しろとのこと。

$ oci compute instance list --compartment-id ＜OCID貼り付け＞
いっぱい表示された

ただ、毎回コンパートメントIDを打ち込むのは面倒なので、oci_cli_rcファイルに書き込むことでコマンド入力時にオプション付ける必要がないようにする。

$ vi ~/.oci/oci_cli_rc

[DEFAULT]
compartment-id=＜コンパートメントID＞

7.1.3 プライベートサブネットからOCI CLIを実行する方法

OCI CLIでコマンドを実行するとAPIエンドポイントと通信を行う。そのため、プライベートサブネットからAPIを発行してエンドポイントへ到達させるにはいくつかの設定が必要になる。方法は以下３つ。
①NATゲートウェイを利用してインターネットに出ていく。②サービスゲートウェイを使用して、OCI環境内に閉じた通信を行う。③プロキシを使用してインターネットへ出ていくルートを作る。

なずは何も設定しない状態でプライベートサブネットからコマンドを実行してみる。その際、APIの実行履歴を出力させるためにデバックオプション--debug(または-d）をつけて実行する。

$ oci compute instance list --all -d
~省略～
DEBUG:oci.base_client.140243454499864:Endpoint: https://iaas.ap-tokyo-1.oraclecloud.com/20160918
INFO:oci.base_client.140243454499864: 2022-08-14 15:05:12.072064: Request: GET https://iaas.ap-tokyo-1.oraclecloud.com/20160918/instances
INFO:oci.base_client.140243454499864: 2022-08-14 15:05:23.487363: Request: GET https://iaas.ap-tokyo-1.oraclecloud.com/20160918/instances
～つづく～

となり、エンドポイントへの接続を所定の回数試行して失敗すると、以下のようなエラーが返ってくる。

oci.exceptions.ConnectTimeout: (MaxRetryError("OCIConnectionPool(host='iaas.ap-tokyo-1.oraclecloud.com', port=443): Max retries exceeded with url: /20160918/instances?compartmentId=ocid1.compartment.oc1..aaaaaaaantybfae5pn7h77jmgcwgzg2hm27gv6whsiwhmo54ycefc3sxyiwa (Caused by ConnectTimeoutError(, 'Connection to iaas.ap-tokyo-1.oraclecloud.com timed out. (connect timeout=10.0)'))",), 'Request Endpoint: GET https://iaas.ap-tokyo-1.oraclecloud.com/20160918/instances See https://docs.oracle.com/en-us/iaas/Content/API/Concepts/sdk_troubleshooting.htm for help troubleshooting this error, or contact support and provide this full error message.')

実際、エンドポイント（iaas.ap-tokyo-1.oraclecloud.com）にpingを打っても返ってこない。

7.1.3.1 NATゲートウェイの利用

NATゲートウェイを作成して、プライベートサブネットのルート表に追加させる。

まずは、
ネットワーキング＞仮想クラウド・ネットワーク＞仮想クラウド・ネットワークの詳細＞NATゲートウェイ
から「NATゲートウェイの作成」を行う。作成したNATゲートウェイをルート表のルート・ルールに追加する。

追加できたら、まずはエンドポイント（iaas.ap-tokyo-1.oraclecloud.com）にpingを打つ。きっと返ってくるはずだ。
エンドポイントへの疎通が確認できたら、OCIコマンドを実行してみよう。

$ oci compute instance list --all -d

インスタンス情報が出力されたと思う。

7.1.3.2 サービスゲートウェイの利用

社内ルールで、むやみにインターネットに出ていける設定をしてはいけない場合もあるはず。そういった場合には、OCIのVCN内に閉じた環境でエンドポイントへの通信できるサービスゲートウェイを利用するといい。
ネットワーキング＞仮想クラウド・ネットワーク＞仮想クラウド・ネットワークの詳細＞サービス・ゲートウェイ
からサービスゲートウェイを作成する。

作成したら、さきほどと同じようにプライベートサブネットのルート表のルート・ルールに追加する。

$ oci compute instance list --all -d

インスタンス情報が出力されたと思う。

7.1.3.3 プロキシを使用してインターネット経由のルーティング

https通信を行う際にプロキシ経由するように設定をするだけでよい。

$ export HTTPS_PROXY=http://10.1.1.45:3128

設定した後はOCI CLIコマンドを実行すると成功するはずだ。

7.1.4 インスタンスプリンシパルの設定

7.2 インスタンスプリンシパルの設定

さきほどまではAPIを用いてユーザ認証を実行してきた。それとは別に、インスタンスに対して実行権限を付与させる方法がある。それがインスタンスプリンシパル。プリンシパルは操作の実行主体を指す。

7.2.1 別ユーザで実行する

7.3 仮想環境の作成

システム全体にCLIをインストールするのは非推奨。

7.3.1 仮想環境を構成するディレクトリ作成

仮想環境を構成するディレクトリを作成する。
このディレクトリは、仮想環境をアクティブ化する際に打つパスになるので
よく考えてディレクトリ名はつけるように。

[root@publicpc oci]# pwd
/opt/oci

7.3.2 仮想環境作成

まずはPythonのバージョンを確認する。

[opc@publicpc ~]$ python --version
Python 3.6.8

バージョンに応じた仮想環境作成のコマンドを打つ。

python -m venv <仮想環境名>
[root@publicpc oci]# python3.6 -m venv venv1

/opt/oci配下にvenv1という仮想環境が作成される。

7.3.3 仮想環境をアクティブ化

OCI CLIのコマンドを打つときは、仮想環境をアクティブ化したうえで実行させる。
アクティブ化させるコマンドは以下の通り。

[root@publicpc oci]# source /opt/oci/venv1/bin/activate
(venv1) [root@publicpc oci]#

ちなみに、非アクティブ化は以下でできる。

(venv1) [root@publicpc oci]# deactivate
[root@publicpc oci]#

7.4 OCI-CLIのオフラインインストール

会社の社内規則などによってLinuxサーバがインターネット接続できない場合、自分がWindows端末にインストールファイルをダウンロードし、
そのファイルをLinuxサーバに配置して読み込ませることでCLIの実行環境を準備することができる。

Github(https://github.com/oracle/oci-cli/releases)から、oci-cli.zipをローカルにダウンロード。
oci-cli.zipを作Linuxサーバに配置し解凍する。

8．Ansibleのインストール

9．BlockVolumeのパーティション切りとマウント

10．コンテナ

リモートでルータなどのネットワーク機器を使用したい時に見るざっくりメモ（Cisco）

2021-06-07T20:47:39+09:00

初めに

リモートでネットワーク機器に接続する場合以下の2種類の方法がある。
1.コンソール接続
2.ネットワークを介してアクセス

1のコンソール接続とはCiscoデバイスにコンソールポートというポートがあり、そのポートからコンソールケーブルでPCと直接接続する方式

2のネットワークを介してアクセスとは遠隔操作用のプロトコルtelnet、sshを利用してネットワークを通じて接続する方式
ここでは後者である2のほうを解説していく

telnetとssh

どちらもリモートアクセスでの遠隔操作用のプロトコル
大きな違いとしてtelnetは暗号化されていない、sshは暗号化通信であること

telnetをもうちょい詳しく

TCPポート番号23
リモート接続にはVTY（Virtual Teletype）回線を使用
VTY回線は仮想的な回線で、利用するためには認証の設定が必要。
（機器によって5~16回線用意されている）さらに前提として、enableパスワード設定が必要。

sshをもうちょい詳しく

TCPポート番号22
sshを利用した通信は、telnet同様VTY回線を使用するが、暗号化されてるので、telnetを利用するよりセキュア。今回のメモで認証にはパスワード認証を利用し、その際には機器に設定したユーザーアカウントで認証を行う。

初期設定

enable（特権モード）のパスワード設定

セキュリティ的にまずこれはやらないとダメ

暗号化無し版

Router(config)#enable password パスワード

暗号化有り版

Router(config)#enable secret パスワード

telnetの設定（コマンド集）

①ラインコンフィギュレーションモードへ移動

Router(config)#line vty 開始ライン番号 終了ライン番号

②ログインパスワードの設定

Router(config-line)#password パスワード
Router(config-line)#login

※ホスト名も設定しておかないと、どの機器にリモート接続しているのかわからなくなってしまうのでできればhostnameコマンドで名前も付けたほうがいい

③リモート接続する（ルータから他のネットワーク機器にリモートアクセスする場合）

Router#telnet 対象機器のIPアドレス/ホスト名

④現在のTelnetログイン状況の確認
（操作しているデバイスに「＊」がついて表示）

Router#show users

sshの設定（コマンド集）

前提として必要な設定

①ユーザアカウントの設定（enableパスワードとは違う）

Router(config)#username ユーザ名 password パスワード

②ホスト名の設定

Router(config)#hostname ホスト名

③ドメイン名の設定

Router(config)#ip domain-name ドメイン名

sshに関する設定

①RSA暗号鍵の設定

RT1(config)#crypto key generate rsa
↓
暗号鍵のbit数を問われるのでbit数を打ち込む（デフォルトで512だが2048以上が普通）

②ローカル認証設定(設定したユーザアカウントで認証)

RT1(config)#line vty 開始ライン番号 終了ライン番号
RT1(config-line)#login local

③VTY回線での接続許可設定

RT1(config-line)#transport input all/telnet/ssh/none
※デフォルトでは「all」になっている
⇒ telnet、ssh、両方が許可されている

④リモート接続する（ルータから他のネットワーク機器にリモートアクセスする場合）

Router#ssh –l ユーザ名 対象機器のIPアドレス/ホスト名

⑤sshのログイン状況確認コマンド

RT1#show ssh

おまけ

コンソール接続にもパスワード設定できる（コマンド集）

①ラインコンフィギュレーションモードへ移動

Router(config)#line console 0

②ログインパスワードの設定

Router(config-line)#password パスワード
Router(config-line)#login

パスワードの暗号化設定

enableパスワード以外のパスワードを暗号化する場合、専用のコマンドがないので、まとめてパスワードを暗号化するコマンドを利用（Type７を使用して暗号化）

RT1(config)#service password-encryption

公開鍵認証でSSH接続しようとしたのにパスワードを求められた 2

2021-05-04T11:10:50+09:00

以前も似たような現象に遭遇しましたが、原因が少し異なっていたので書き留めておきます。

経緯・状況

前回の状況と同じ状況です。 Ansible でリモートサーバを操作しようとしましたが、公開鍵認証のはずなのにパスワードを求められてしまいました。

現象

# ansible-playbook -i /workspace/ansible/targets/hosts /workspace/ansible/main.yml -u REMOTE_USER --private-key="/root/.ssh/PRIVATE_KEY" -K

BECOME password:

PLAY [Settings vsftpd and httpd] **********************************************************************************
TASK [Gathering Facts] ********************************************************************************************The authenticity of host 'ssh.example.com (ssh.example.com)' can't be established.
ECDSA key fingerprint is SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
fatal: [ssh.example.com]: UNREACHABLE! => {"changed": false, "msg": "Failed to connect to the host via ssh: Warning: 
Permanently added 'ssh.example.com' (ECDSA) to the list of known hosts.\r\[email protected]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).", "unreachable": true}

PLAY RECAP ********************************************************************************************************ssh.example.com              : ok=0    changed=0    unreachable=1    failed=0    skipped=0    rescued=0    ignored=0

プレイブックを実行しようとすると Permission denied で怒られました。

# ssh -i ~/.ssh/PRIVATE_KEY [email protected]
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password:
Activate the web console with: systemctl enable --now cockpit.socket

Last login: DDD MMM dd hh:ii:ss yyyy from LOCAL_HOST
[REMOTE_USER@ssh ~]$

SSH接続では公開鍵認証のはずなのにパスワードを求められます。

対処

/var/log/secure を確認すると、 Authentication refused: bad ownership or modes for directory /home/REMOTE_USER/.ssh のエラーメッセージが記録されていました。

sshの公開鍵認証でServer refused our keyが出る問題について - Simple, Slowly

調べてみると、 .sshディレクトリの権限が誤った設定になっているとこのエラーが起きるとのこと。

.ssh/authorized_keys は 600 にしていましたが、ディレクトリの方は見落としていました。確認したところ、 775 でした。

これを chmod 755 /home/REMOTE_USER/.ssh で修正。

結果、公開鍵認証が成功するようになり、 Ansible のプレイブックも正常に動作するようになりました。

参考

sshの公開鍵認証でServer refused our keyが出る問題について - Simple, Slowly

コマンド操作　基本！

2021-01-15T17:04:20+09:00

最低限覚えておくべきコマンド９こ！

1. pwd
2. ls
3. mkdir
4. cd
5. touch
6. cp
7. mv
8. rm
9. less

＊Linuxのコマンドプロンプトは⼀般ユーザだと「$」で
管理権限を持つ root だと「#」という表⽰

① pwdコマンド

CLIでコマンドを実⾏するときは、どこかのディレクトリを起点とする。
これを「カレントディレクトリ」と呼び、pwdコマンドで確認できる。
pwd … print work directoryの略

$pwd

CentOS7の場合ログイン直後は、ログインユーザのホームディレクトリ
(/home/ユーザ名)　がカレントディレクトリになる

② lsコマンド(1)

カレントディレクトリにどんなディレクトリやファイルが存在するかを確認する　 ls…list segmentsの略

$ ls (オプション) ※オプションの前に半⾓スペースが必要︕

オプションを⼊れると、隠しファイルや詳細情報を表⽰できる。
使⽤例は以下の通り。

$ ls -l (エルエスハイフンエル。CentOSの場合ll(エルエル)でも同じ結果になります)

$ ls -la (エルエスハイフンエルエー)

② lsコマンド(2)

ls の後ろにディレクトリを指定すると、指定したディレクトリ内のディレクトリやファイルを確認することもできる

$ ls [ディレクトリ名] ※lsの後ろに半⾓スペースが必要︕

ls /(エルエススラッシュ)を実⾏するとルートディレクトリの中のディレクトリ
(第2階層)を⾒ることができる。

③ mkdirコマンド

ディレクトリを作成する mkdir…make directoryの略

$ mkdir [作成したいディレクトリ名] ※mkdirの後ろに半⾓スペースが必要︕

コマンドを実⾏してもエラーでは無い限り、何もメッセージは出ない。
実⾏後、lsやllコマンドでディレクトリが作られたかどうかを確認しよ！

④ cdコマンド(1)

カレントディレクトリを移動する
cd…change directoryの略

$ cd [移動先ディレクトリ名] ※cdの後ろに半⾓スペースが必要︕

コマンドを実⾏してもエラーでは無い限り、何もメッセージは出ない。
実⾏後、pwdコマンドでカレントディレクトリを確認しよ！

④ cdコマンド(2)

「 .. (ドットドット)」 を移動先ディレクトリへ指定すると、⼀階層上のディレクトリに移動することが可能。
また、cd ../.. のように複数回使⽤すると、2つ上のディレクトリに移動できる

⑤ touchコマンド

新規に空のファイルを作成する
ほかにも、指定したファイルやディレクトリのタイムスタンプを変更することも可能

$ touch [作成したいファイル名] ※touchの後ろに半⾓スペースが必要！

⑥ cpコマンド(1)

ファイルをコピーする cp…copyの略

$ cp [コピー元ファイル名] [コピー先ファイル名 or ディレクトリ]

※上記コマンドのコピー元ディレクトリとコピー先ディレクトリの間には半⾓スペースが必要︕
コマンドを実⾏してもエラーでは無い限り、何もメッセージは出ない。
lsかllコマンドでコピーしたファイルが存在することを確認しよ！

⑥ cpコマンド(2)

cpコマンドは、r オプションを使うとディレクトリもコピーできる。

$ cp -r [コピー元ディレクトリ名] [コピー先ディレクトリ名]

⑦ mvコマンド(1)

ファイルやディレクトリを移動する。
mv…moveの略

$ mv [対象ファイル or ディレクトリ名] [移動先のディレクトリ]

コマンドを実⾏してもエラーでは無い限り、何もメッセージは出ない。
mv実施後に、lsかllコマンドで移動したことを確認しよ！

⑦ mvコマンド(2)

mvコマンドはファイルやディレクトリ名の変更もできる。

$ mv [対象ファイル名] [変更後の名前]

⑧ rmコマンド(1)

ファイルを削除する。
rm…removeの略

$ rm [削除したいファイル名]

コマンドを実⾏してもエラーでは無い限り、何もメッセージは出ない。
Windowsのようなごみ箱の概念がないので⼀発で削除となります。
慎重にコマンドを実⾏しよう。

⑧ rmコマンド(2)

rmコマンドは r オプションを使うとディレクトリも削除できる。

$ rm -r [削除したいディレクトリ名]

ディレクトリ削除は対象を間違えると影響がとても⼤きい。
慎重にコマンドを実⾏しよう。

⑨ lessコマンド

テキストファイルの中⾝を閲覧する。
catやmoreコマンドと異なりqを⼊⼒するまで終了しないのが特徴。

$ less [閲覧したいファイル名]

less上の操作はカーソルキーで1⾏、スペースキーでページスクロール。
終了するときは「q」を⼊⼒する。

＊ここに随時追加予定

【SSH】「REMOTE HOST IDENTIFICATION HAS CHANGED!」が出てSSH接続できない場合の対処法

2020-10-22T17:07:15+09:00

機器のリプレイス等により、クライアントPCのknown_hostsに格納されているフィンガープリント
と接続先が一致しなくなると、以下の警告が出てSSHで接続できなくなる例のアレです。
ここ数年遭遇しなかったので、すっかりコマンド忘れてました。というわけで備忘メモメモ

動作確認した環境

OpenSSH_7.9p1, LibreSSL 2.7.3

事象例

以下の例では「192.168.1.2」がリプレイスした機器です、これにSSHしようとすると...

$ ssh [email protected]

こんな警告が出てしまいます

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:7pM8vhBE+NlnvD5tdDNU1OY9IWb16tHOtx20ILtIZ94.
Please contact your system administrator.
Add correct host key in /Users/arohajiro/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /Users/arohajiro/.ssh/known_hosts:4
ECDSA host key for 192.168.1.2 has changed and you have requested strict checking.
Host key verification failed.

対処方法

該当する機器「192.168.1.2」のフィンガープリントをssh-keygenコマンドで削除したら、対処完了です！

コマンド

$ ssh-keygen -R 192.168.1.2

出力例

# Host 192.168.1.2 found: line 4
/Users/arohajiro/.ssh/known_hosts updated.
Original contents retained as /Users/arohajiro/.ssh/known_hosts.old

「SSH」の記事 - Crieit

Raspberry Pi 5 に Ubuntu 24.04 LTS を入れて SSH するまで

旅先でサーバ上のデータベースをメンテナンスする

旅先でクラウド上のWindowsサーバにRDP接続

Dockerコンテナ に SSHログイン できるようにする(パスワード方式)

OCIやAWS上のサーバの環境構築

リモートでルータなどのネットワーク機器を使用したい時に見るざっくりメモ（Cisco）

公開鍵認証でSSH接続しようとしたのにパスワードを求められた 2

コマンド操作 基本！

【SSH】「REMOTE HOST IDENTIFICATION HAS CHANGED!」が出てSSH接続できない場合の対処法

Dockerコンテナに SSHログインできるようにする(パスワード方式)

コマンド操作　基本！