<p>つい先日 Raspberry Pi 4 Model B (8GB) を購入し、別のマシンや外出先からリモートで SSH できるようにしようと思っていたところ Cloudflare Zero Trust の Cloudflare Tunnel というものを知人から知ったので使ってみることにした。</p>
<h1 id="%E5%89%8D%E6%8F%90%E6%9D%A1%E4%BB%B6">
<a class="header-anchor-link" href="#%E5%89%8D%E6%8F%90%E6%9D%A1%E4%BB%B6" aria-hidden="true"></a> 前提条件</h1>
<ul>
<li>ネームサーバーを Cloudflare にしていること</li>
</ul>
<h1 id="tunnel-%E3%82%92%E4%BD%9C%E3%82%8B">
<a class="header-anchor-link" href="#tunnel-%E3%82%92%E4%BD%9C%E3%82%8B" aria-hidden="true"></a> Tunnel を作る</h1>
<p>著者はダッシュボードを使う方法を使用したので、そちらだけ記事に書かせていただきます。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__de3a630e7d5b3" src="https://embed.zenn.studio/card#zenn-embedded__de3a630e7d5b3" data-content="https%3A%2F%2Fdevelopers.cloudflare.com%2Fcloudflare-one%2Fconnections%2Fconnect-apps%2Finstall-and-setup%2Ftunnel-guide%2Fremote%2F%23set-up-a-tunnel-remotely-dashboard-setup" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup/tunnel-guide/remote/#set-up-a-tunnel-remotely-dashboard-setup" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup/tunnel-guide/remote/#set-up-a-tunnel-remotely-dashboard-setup</a></p>
<p>コマンドラインだけで設定するには公式のドキュメントを読んでみてください。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__38c5b6a6ca6c1" src="https://embed.zenn.studio/card#zenn-embedded__38c5b6a6ca6c1" data-content="https%3A%2F%2Fdevelopers.cloudflare.com%2Fcloudflare-one%2Fconnections%2Fconnect-apps%2Finstall-and-setup%2Ftunnel-guide%2Flocal%2F%23set-up-a-tunnel-locally-cli-setup" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup/tunnel-guide/local/#set-up-a-tunnel-locally-cli-setup" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup/tunnel-guide/local/#set-up-a-tunnel-locally-cli-setup</a></p>
<ol>
<li>Cloudflare Zero Trust のダッシュボードへアクセスする</li>
<li>
<strong>Access &gt; Tunnels</strong>へ移動して、<strong>Create a tunnel</strong>をクリック</li>
<li>
<strong>Tunnel name</strong>に名前を入力</li>
<li>使っている OS とアーキテクチャを選択して、手順に従い<code>cloudflared</code>をサービス化する</li>
<li>
<strong>Route tunnel</strong>でドメインを設定し、<strong>Service</strong>を<strong>SSH</strong>、URL に<strong>localhost:22</strong>を設定</li>
</ol>
<h2 id="%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%92%E8%BF%BD%E5%8A%A0">
<a class="header-anchor-link" href="#%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%92%E8%BF%BD%E5%8A%A0" aria-hidden="true"></a> アプリケーションを追加</h2>
<ol>
<li>Cloudflare Zero Trust のダッシュボードへアクセスする</li>
<li>
<strong>Access &gt; Application</strong>へ移動して、<strong>Add an application</strong>をクリックし<strong>Self-hosted</strong>を選択</li>
<li>
<strong>Application domain</strong>には<strong>Route tunnel</strong>に設定したドメインと同じものを設定</li>
<li>
<strong>Next</strong>をクリックして、ポリシーやその他の設定を終えたら<strong>Add application</strong>をクリックして完了</li>
</ol>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p><strong>Browser rendering</strong>を<strong>SSH</strong>に設定すると、ブラウザから SSH できるようになります。</p>
</div></aside>
<aside class="msg alert"><span class="msg-symbol">!</span><div class="msg-content">
<p>2022 年 9 月 7 日現在、<strong>Cookie settings</strong>にて<strong>Enable Binding Cookie</strong>を ON にすると<code>ssh</code>コマンドで接続できなくなる原因となるため、<strong>SSH in Browser</strong>しかしないという場合以外は ON にしないこと</p>
</div></aside>
<h1 id="ssh-%E3%81%A7%E6%8E%A5%E7%B6%9A%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#ssh-%E3%81%A7%E6%8E%A5%E7%B6%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> SSH で接続する</h1>
<h2 id="%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E5%81%B4">
<a class="header-anchor-link" href="#%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E5%81%B4" aria-hidden="true"></a> サーバー側</h2>
<p>Cloudflare Tunnel を使うと<strong>SSH ポートを開放する必要がない</strong>ので、ファイヤーウォールの設定の設定とかは特に必要ありません。</p>
<p><code>root</code>でログインさせないとか、パスワード認証使えないようにするとか最低限の設定だけしておけば大丈夫</p>
<h3 id="browser-rendering-%E3%82%92%E4%BD%BF%E3%81%86%E5%A0%B4%E5%90%88">
<a class="header-anchor-link" href="#browser-rendering-%E3%82%92%E4%BD%BF%E3%81%86%E5%A0%B4%E5%90%88" aria-hidden="true"></a> Browser Rendering を使う場合</h3>
<p><strong>Short-lived certificates</strong>の公開鍵を登録しておかないと毎回開くたびに公開鍵をよこせと要求されてしまうので、<code>sshd_config</code>に<code>TrustedUserCA</code>として設定しておきましょう。</p>
<p>まずは公開鍵を作成して、入手します。</p>
<ul>
<li>Cloudflare Zero Trust のダッシュボードへ移動</li>
<li>
<strong>Access &gt; Service Auth &gt; SSH</strong>の順で移動</li>
<li>作成したアプリケーションを選択して、<strong>Generate certificate</strong>をクリック</li>
<li>公開鍵をコピーして、<code>/etc/ssh/ca.pub</code>に内容を貼り付けて作成</li>
</ul>
<p><code>sshd_config</code>には以下のように設定を追加する</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">sshd_config</span></div>
<pre class="diff-highlight "><code class="diff-highlight "><span class="token inserted-sign inserted"><span class="token prefix inserted">+</span>PubkeyAuthentication yes
<span class="token prefix inserted">+</span>TrustedUserCAKeys /etc/ssh/ca.pub
</span></code></pre>
</div><h2 id="%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E5%81%B4">
<a class="header-anchor-link" href="#%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E5%81%B4" aria-hidden="true"></a> クライアント側</h2>
<p><code>ssh-copy-id</code>等などの手段を用いてサーバーに公開鍵を登録しておきましょう。</p>
<p><strong>Short-lived certificates</strong>を用いれば鍵作って登録して～みたいなことすらせずに済むのですが、何故かうまくいかなかったので著者は自分で作った鍵を登録する形にしました。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__02cbbdc868362" src="https://embed.zenn.studio/card#zenn-embedded__02cbbdc868362" data-content="https%3A%2F%2Fdevelopers.cloudflare.com%2Fcloudflare-one%2Fidentity%2Fusers%2Fshort-lived-certificates" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://developers.cloudflare.com/cloudflare-one/identity/users/short-lived-certificates" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://developers.cloudflare.com/cloudflare-one/identity/users/short-lived-certificates</a></p>
<h3 id="~%2F.ssh%2Fconfig">
<a class="header-anchor-link" href="#~%2F.ssh%2Fconfig" aria-hidden="true"></a> <code>~/.ssh/config</code>
</h3>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">~/.ssh/config</span></div>
<pre class="diff-highlight "><code class="diff-highlight "><span class="token inserted-sign inserted"><span class="token prefix inserted">+</span>Host ssh.example.com
<span class="token prefix inserted">+</span>  User inkohx
<span class="token prefix inserted">+</span>  IdentityFile 秘密鍵のパス
<span class="token prefix inserted">+</span>  ProxyCommand cloudflared access ssh --hostname %h
</span></code></pre>
</div><p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__7df1968fff01c" src="https://embed.zenn.studio/card#zenn-embedded__7df1968fff01c" data-content="https%3A%2F%2Fdevelopers.cloudflare.com%2Fcloudflare-one%2Ftutorials%2Fssh%2F%23native-terminal" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://developers.cloudflare.com/cloudflare-one/tutorials/ssh/#native-terminal" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://developers.cloudflare.com/cloudflare-one/tutorials/ssh/#native-terminal</a></p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>ご存知かもしれませんが、ドキュメントに載っている方法だと使っているマシンのユーザーネームでアクセスしてしまうので<code>User</code>は設定したほうが良いでしょう。</p>
</div></aside>
<h3 id="%E6%8E%A5%E7%B6%9A">
<a class="header-anchor-link" href="#%E6%8E%A5%E7%B6%9A" aria-hidden="true"></a> 接続</h3>
<p><code>ssh ssh.example.com</code></p>
<h1 id="%E7%B5%82%E3%82%8F%E3%82%8A">
<a class="header-anchor-link" href="#%E7%B5%82%E3%82%8F%E3%82%8A" aria-hidden="true"></a> 終わり</h1>
<p>SSH in Browser できるのスマホからも操作できるしすごいけど、デスクトップからだとコピー＆ペーストをショートカットキーでできないの地味に不便だったりする。</p>


Cloudflare Tunnelを使ってSSHする

Discussion