Hitelesítő szerver ssh kulcsokat
OpenSSH kivéve a jelszavakat támogatja több hitelesítési módszereket. Azt lehet beállítani, hogy a PAM módszerekkel (Pluggable Authentication Modules) protokoll Challenge / Response, Kerberos hitelesítés, megbízható állomások és az ilyen egzotikum a kulcsokat X509. De a legnépszerűbb a Identity / Publikus módszer.
Íme néhány a pozitív aspektusait ilyen típusú hitelesítés:
- Senki nem tud bejelentkezni a szerverre fiókjában, mert szükség van egy privát kulcsot és jelszót.
- A kiszolgáló rendszergazdája is távolítsa el a fiók jelszavát annak érdekében, hogy kizárják annak hitelét.
- Az ssh-agent, továbbá biztosítja a hitelesítési információkat az Ön számára.
- Beállíthatjuk bizonyos korlátozások, mint például a tiltó port forwarding, kivitelezés
Bizonyos programok stb
Ebben a cikkben megnézzük a módszer létrehozása és konfigurálása key account.
Létrehozása Identity / Publikus
Az eredeti végrehajtás SSHv1 létrehozhat Identity, ami egy pár RSA nyilvános és titkos kulcsokat. A méret ilyen SSHv2 kulcs módosításra került, acél támogatott RSA kulcsok és a DSA, és ez a hitelesítés lett nevezve Publikus. Az összefüggésben ezt a cikket, E jelölésekkel lesz felcserélhető a végrehajtási azonos funkciókat.
Használja az ssh-keygen segédprogram létrehozza a szükséges kulcsokat:
MyDesktop $ ssh-keygen -t rsa
Generálása nyilvános / magán RSA kulcspár.
Írja fájlt, amelybe menteni a kulcs (/home/xahria/.ssh/id_rsa):
Összetett jelszó megadása (üresen hagyva nem jelmondatot): (adja meg jelszót)
Írja ugyanazt a jelszót újra: (adja meg jelszót)
Az azonosítás mentett /home/xahria/.ssh/id_rsa.
A nyilvános kulcsot már mentett /home/xahria/.ssh/id_rsa.pub.
Az ujjlenyomat értéke:
2c: 3f: a4: legyen: 46: 23 47: 19: f7: dc: 74: 9b: 69: 24: 4a: 44 xahria @ MyDesktop
MyDesktop $ cd $ HOME / .ssh
MyDesktop $ ls -l
-rw ------- 1 xahria hatchclan 883 január 21 11:52 id_rsa
-rw-r - r-- 1 xahria hatchclan 223 január 21 11:52 id_rsa.pub
MyDesktop $ cat id_rsa
-----BEGIN RSA saját kulcs -----
MIICWgIBAAKBgQCc + 1oixZ / g84gpZH0NeI + CvVoY5O0FOCSpFCbhUGJigQ6VeKI5
gpOlDztpJ1Rc + KmfZ2qMaftwwnLmefhk1wPcvfZvvLjfdmHY5 / LFgDujLuL2Pv + F
7tBjlyX9e9JfXZau2o8uhBkMbb3ZqYlbUuuoCAnUtL5uZUiiHM0BAtnGAd6epAYE
gBHw1xnqsy + mzbuWdLEVF7crlUSsctwGapb6 / SEQgEXFm0RITQ3jCY808NjRS3hW
Z + uCCO8GGUsn2bZpcGXa5vZzACvZL8epJoMgQ4D0T50rAkEA0AvK4PsMF02Rzi4E
mXgzd1yCa030LYR / AkApG1KT // 9gju6QCXlWL6ckZg / QoyglW5myHmfPR8tbz + 54
/ Lj06BtBA9iag5 + x + caV7qKth1NPBbbUF8Sbs / WI5NYweNoG8dNY2e0JRzLamAUk
jK2TIwbHtE7GoP / Za3NTZJm2Ozviz8 + PHPIEyyt9 / kzT0 + yo3KmgsstlqwIBIwKB
XdBh42izEWsWpXf9t4So0upV1DEcjq8CQQDEKGAzNdgzOoIozE3Z3thIjrmkimXM
J / Y3xQJBAMEqZ6syYX / + URT + any1LADRebCq6UA076Sv1dmQ5HMfPbPuU9d3yOqV
j0Fn2H68bX8KkGBzGhhuLmbrgRqr3 + SPM / frUj3UyYxns5rnGspRkGB3AkALCbzH
9EAV8Uxn + Jhe5cgAC / hTPPdiwTJD7MpkNCpPuKRwrohytmNAmtIpKipAf0LS61np
wtq59ssjBG / a4ZXNn32n78DO0i6zVV5vwf8rv2sf
-----END RSA saját kulcs -----
MyDesktop $ cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAcMJy5nn4ZNcD3L32b7y433Zh2IEAnPt
aIsWf4POIKWR9DXiPgr1aGOTtBTgkqRQm4VBiYoEOlXiiOYKTpQ87aSdUXPipn
2dqjGn7OfyxYA7oy7i9j7 / hYytkyMGx7ROxqD / 2WtzU2SZtjs74s / PjxzyBMsr
ff5M09PsqNypoLLLZas = xahria @ MyDesktop
Megjegyezzük, hogy „ssh-rsa ... xahria @ MyDesktop” egyetlen sort, hanem több.
Mint látható, az ssh-keygen létre két fájlt: id_rsa és id_rsa.pub. Az első privát kulcsot fájlban tárolt védi a jelszót, hogy adja meg, ha létrehoz, senki ne ásni ezt a fájlt. A második fájl - A nyilvános kulcsot, hogy nem tartalmaz semmilyen titkot, és elérhető bármely counter-kereszt. Elvesztése esetén is nyerhetjük a privát kulcsot.
Típusai SSH kulcsok
Amikor létrehozza a kulcsok rámutatott -t rsa opciót. Ez a paraméter azt határozza meg, hogy milyen típusú kulcsot létrehozni. Az is lehetséges, hogy hozzon létre rsa1 kulcsok, RSA vagy DSA. Tekintsük a különbség közöttük:
Meg lehet változtatni a fájl nevét a -f fájlnév opciót. Ha nem adja meg a fájl nevét, a kulcsokat a könyvtárban tárolt $ HOME / .ssh / a nevet vett alapértelmezés szerint az ilyen típusú kulcsot.
Identity Felbontás / Publikus hitelesítést a szerver
Miután létrehoztuk a kulcsokat, engedélyezni kell a hitelesítés típusát szerver SSH. Először határozza meg a hitelesítés típusát - Publikus vagy Identity, állítsa be a következőket sshd_config:
# Ha megengedjük Identity (SSH változat 1) hitelesítést?
RSAAuthentication igen
# Ha megengedjük Publikus (SSH 2-es verzió) hitelesítés?
PubkeyAuthentication igen
# Hol keressük az engedélyezett nyilvános kulcsokat?
# Ha nem indul el a perjel, akkor
# Relatív, hogy a felhasználó saját könyvtárát
AuthorizedKeysFile .ssh / authorized_keys
A fenti adatok hagyjuk Identity / Publikus hitelesítést SSH protokoll verziója az 1. és 2. és lekérdezi a rendelkezésre álló nyilvános kulcs a fájlban $ HOME / .ssh / authorized_keys.
Ellenőrizze a rendelkezésre álló ezeket a sorokat sshd_config konfigurációs fájlt (általában található az / etc / ssh /), adjuk hozzá, és indítsa újra a szolgáltatást, ha szükséges.
fájl tartalmát authorized_keys
# Most jelentkezzen be, és hozzon létre a authorized_keys fájl
MyDesktop $ ssh ssh-szerver
xahria @ ssh-szerver jelszót: (adja meg a jelszót)
# Létrehozása a .ssh dir, ha nem létezik
ssh-szerver $ mkdir .ssh
ssh-szerver $ chmod 700 .ssh
ssh-szerver $ cd .ssh
# Konkatenációja az RSA Publikus mi csak feltölteni
# A authorized_keys fájlt. (Ez létrehoz
# Ha ez nem létezik.)
ssh-szerver $ cat. /id_rsa_mydesktop.pub >> authorized_keys
# Nézzük meg a fájl
ssh-szerver $ cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAcMJy5nn4ZNcD3L32b7y433Zh2IEAnPt
aIsWf4POIKWR9DXiPgr1aGOTtBTgkqRQm4VBiYoEOlXiiOYKTpQ87aSdUXPipn
2dqjGn7OfyxYA7oy7i9j7 / hYytkyMGx7ROxqD / 2WtzU2SZtjs74s / PjxzyBMsr
ff5M09PsqNypoLLLZas = xahria @ MyDesktop
# Ellenőrizze engedélyek paranoid
ssh-szerver $ chmod 600 authorized_keys
# Kiváló, nézzük kijelentkezni.
ssh-szerver $ exit
A szabályok a következő műveleteket: másolja az RSA nyilvános kulcs a szerver segítségével scp vagy bármely más módszerrel. Készítsen authorized_keys fájlt, ha a .ssh nem létezik - hozzon létre. Hozzáadása az RSA nyilvános kulcsot az authorized_keys fájlban. Ellenőrizze, engedélyeket állíthat be és kilép.
[Ad name = »A Google Adsense»]
Itt az ideje, hogy nézd meg. mi navayal:
MyDesktop $ ssh ssh-szerver
Összetett jelszó megadása a legfontosabb „/home/xahria/.ssh/id_rsa”:
Az SSH kliens először próbálja átadni hitelesítés Publikus / Identity, meghibásodás esetén - jelszó hitelesítést. Ő fog keresni három megnevezett fájlokat, akkor az alapértelmezett, ha nem adja meg a kulcsot a fájl egyértelműen, és adja meg a szerver.
Tekintsük a csatlakozás folyamatát szétválasztás:
Mindez a felhasználó számára. Ha meg szeretné nézni a kapcsolat fázisban, majd a gombot -v:
MyDesktop $ ssh ssh-szerver
OpenSSH_3.8.1p2, SSH protokoll 1.5 / 2.0, OpenSSL 0x009060cf
.
debug1: identity fájl /home/xahria/.ssh/identity 0 típusú
debug1: identity fájl /home/xahria/.ssh/id_rsa 1-es típusú
debug1: Remote protokollverziót 1,99, távoli szoftververziót OpenSSH_3.7.1p2
.
debug1: SSH2_MSG_SERVICE_ACCEPT kapott
debug1: azonosítás ki, hogy továbbra is: publickey, jelszó, billentyűzet-interaktív
debug1: Következő hitelesítési módszer: publickey
debug1: felajánlása nyilvános kulcs: /home/xahria/.ssh/id_rsa
debug1: Szerver elfogadja kulcs: pkalg ssh-rsa Blen 149 lastkey 0x601d0 hint 1
debug1: PEM_read_PrivateKey sikertelen
debug1: olvasni PEM privát kulcs tenni: típus
Összetett jelszó megadása a legfontosabb „/home/xahria/.ssh/id_rsa” (Enter rossz jelmondat)
debug1: PEM_read_PrivateKey sikertelen
debug1: Következő hitelesítési módszer: billentyűzet-interaktív
debug1: azonosítás ki, hogy továbbra is: publickey, jelszó, billentyűzet-interaktív
debug1: Következő hitelesítési módszer: jelszó
xahria @ ssh-szerver jelszó: (Adja Unix jelszó)
Az érthetőség kedvéért ebben a példában bemutatjuk a rossz kódszót dekódolja a privát kulcsot. Néha előfordulhat, hogy a fájlok identitás és id_rsa találtak, bár lehet csak használni SSHv2.
Választott kulcsok
Ha van egy kulcs minden típusú, akkor a szabványos fájl nevét és ssh-ügyfél a saját és megtalálja a célra, de megtörténhet, hogy használja, hogy hitelesítse a különböző fájlokat:
Meghatározásához használt kulcsot akkor a -i private_key_file lehetőségek:
MyDesktop $ ssh -i
/.ssh/special_ssh_key ssh-szerver
Összetett jelszó megadása a legfontosabb „/home/xahria/.ssh/special_ssh_key”:
Következő lehetőség létrehoz a
/.ssh/config jelzés kijelzőn espolzuemogo kulcs:
MyDesktop $ cat
/.ssh/config
Host ssh-szerver
IdentityFile
MyDesktop $ ssh ssh-szerver
Összetett jelszó megadása a legfontosabb „/home/xahria/.ssh/special_ssh_key”:
Felhívjuk figyelmét, hogy a config változó értéke mindig IdentityFile, akár használt, vagy Publikus Identity.
Biztonsági jelszót
A privát kulcsokat lehet titkosítani és egy jelszót, mivel megvédi a legfontosabb sérüljön. Még ha meg a megfelelő hozzáférési jogokat, de nem védi meg a kulcsot jelszót, minden gond nélkül képes lesz, hogy megcsodálják a kulcs gyökér. Tehát ne feküdj a fékek ebben az ügyben.
authorized_keys2
OpenSSH régebbi verziói két különböző nyilvános kulcs a szerver eléréséhez - authorized_keys az azonosítókat (SSHv1) és authorized_keys2 az Pubkeys (SSHv2). Később úgy döntöttek, hogy ez hülyeség, és most használ egy fájl minden típusú kulcs, de nem a megfelelő kulcsot ellenőrizni fogják és authorized_keys2. Később változatai OpenSSH is megáll támogatja authorized_keys2 minden.
Nem gondolni ezt a korlátozást, hozzon létre egy hard link az authorized_keys2 authorized_keys fájlt.
ssh-szerver $ cd .ssh
ssh-szerver $ ls -l
-rw ------- 1 xahria hatchclan 883 január 21 11:52 authorized_keys
# Az egy hard link, így ugyanaz a fájl, csak más
# Fájlnevek.
ssh-szerver $ ln authorized_keys authorized_keys2
ssh-szerver $ ls -l
-rw ------- 2 xahria hatchclan 883 január 21 11:52 authorized_keys
-rw ------- 2 xahria hatchclan 883 január 21 11:52 authorized_keys2
Tehát igényeinek kielégítésére bármely változata OpenSSH.
[Ad name = »A Google Adsense»]