方法は全く同じなのですが下記のように公開鍵を追加してあげるだけ、今回の場合一部アカウントでログイン自体したことが無いものは.sshディレクトリさえなかったのでディレクトリ作成の必要はありました。
> cat id_dsa.pub >> ~/.ssh/authorized_keys
これは緊急時にどのネットからもアクセスできるようにしたいと思っているのですが、FW外すとなるとクライアント認証一本にしないと心配ですね…。
関連:SSHのクライアント認証
FreeBSD: 2007年4月アーカイブ
これは、非常に危険な設定なのでLANのテスト環境ぐらいに制限しておきたい。
とりあえず、私の場合は持ち歩いているBSDノートを臨時で開発サーバにする時につかいます。
IPアドレス制限では無理があるのでクライアント認証をしていますがrootログインを許可した上で、rootでログインさせるために一時的に認証キーを追加しています。
これの目的は単にrootとユーザのパスワードを教えたくない。(自分用なので教えると以後使えなくなるからね)
クライアント認証の追加はユーザの時と同じ方法を用いて、/etc/ssh/sshd_configに下記の設定を変更します。
# PermitRootLogin no
PermitRootLogin yes
上の行がデフォルトの設定です。これで使い捨てのクライアントキーを発行して接続させています。
rootを提供する以上、中のファイルぶっこ抜かれてもOS破壊されてもしょうがないので、最悪事態が発生しても無問題なPCでやりましょう。
多分Apache2.2以降だけだと思うが、ソースからインストールして起動する際に、
[warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter
と出ることがある。
だからと言って動作に問題は出ないのだが気になるので調べたところ、適正に設定を行えばソケットの最適化をやってくれるらしい。
具体的には、通常サーバに対してリクエストを送信するとまずApacheとのソケット通信を開始してデータを送ります。これをOS側でクライアントからのリクエストが完了するのを待って初めてApacheへ接続しApacheのコネクション数の節約を行うようです。
FreeBSDの場合、デフォルトでこのような機能を組み込んだいないため、カーネルにロードしてあげます。
対象モジュール:
/boot/kernel/accf_http.ko
カーネルにロード
# kldload accf_http.ko
起動時に読み込むようにloader.confに追加
# echo 'accf_http_load="YES"' >> /boot/loader.conf
早速、LAN内蔵したばかりのFreeBSDで無線APに繋ごうとしたら失敗の連続。。。
ESSIDだけのところではつながるのですがWEP掛けている場合の設定が失敗。
/etc/rc.confだけじゃダメっぽいですね。
調べてみると。無線インターフェースがwi0の場合は
/etc/start_if.wi0を作成してその中にESSIDやWEPの設定を入れればよいみたい。
いろいろ試して成功したのは以下の例です。
ifconfig wi0 up ssid "wifi" authmode shared wepkey 1:0x1234567890 wepmode on
ifconfig wi0 deftxkey 1
wifiはESSIDで認証モードをシェアードキー、WEPパスワードは1234567890の場合です。
ネットワークの再起動は/etc/rc.d/netif restart
/etc/rc.confの方はDHCPでも固定でもお好きなようにという感じです。
