Konfigūruokite SSH prieigai be slaptažodžių

sSH

SSHarba „Secure Shell“ yra saugus apvalkalas, naudojamas nuotolinė prieiga iš visų rūšių įrenginių į serverius, naudojant tunelinį kanalą ir apsaugotą šifravimu, tai suteikia saugumą, kuris apsaugo arba bent jau apsunkina tai, kad trečiosios šalys gali perimti vartotojo vardą ar slaptažodį. * „Nix“ atveju šį protokolą turime per „OpenSSH“ - kliento-serverio sprendimų rinkinį, prieinamą visuose „Linux“ paskirstymuose ir susijusiose platformose, tokiose kaip * BSD.

Dabar, jei SSH siūlo mums puikų saugumo lygį, kodėl mes norėtume jį naudoti nenurodydami slaptažodžio? Gali būti kelios priežastys, tačiau viena, kuri paprastai išskiriama kaip generatorius, yra būtinybė prisijungti nuotoliniu būdu per scenarijus ir atlikti supernaudotojo užduotis, ir tai yra tai, kad, kaip mes gerai žinome, nepatartina tų duomenų įdėti į jokį scenarijų. Norėdami išspręsti šią problemą, mes pamatysime kaip sugeneruoti SSH raktus, kad būtų galima prisijungti nuotoliniu būdu be slaptažodžio.

Tam reikia mūsų sugeneruoti viešąjį ir privatųjį raktą: pirmasis bus saugomas serveryje, į kurį ketiname prisijungti, ir, kaip rodo jo pavadinimas, galime jį siųsti ar bendrinti, o antrasis bus saugomas įrenginyje (kompiuteryje, išmaniajame telefone, planšetiniame kompiuteryje), iš kurio einame prieigą prie minėto serverio ir turi būti laikė labai atsargiai ir naudoja tik mes ar žmonės, kuriais pasitikime.

Atsižvelgiant į tai, kas paminėta ankstesnėje pastraipoje, svarbu pakomentuoti, kad tokio tipo sprendimas reikalauja labai didelės atsakomybės prižiūrint įrenginius, iš kurių mes ketiname įvesti serverį, t. Y. Kad kiekvienas, turintis prieigą prie jie gali jį įvesti nežinodami slaptažodžio, o tai kelia labai didelę saugumo riziką. Išsiaiškinę, pažiūrėkime, kaip mes galime pradėti, ir pirmiausia tai yra SSH deemonas, įdiegtas serveryje:

# apt-get install openssh-serverį

Dabar turime sukurti .ssh katalogą vartotojo kataloge:

# mkdir -p $ HOME / .ssh

# chmod 0700 $ NAMAI / .ssh

# palieskite $ HOME / .ssh / authorised_keys

Redaguojame failą / etc / ssh / sshd_config ir mes patikriname, ar šios eilutės yra tokios:

„PubkeyAuthentication“ taip

„AuthorisedKeysFile“% h / .ssh / Author_keys

Dabar einame pas klientą ir vykdome:

ssh -keygen -t rsa

Mums bus pasakyta, kad raktas yra kuriamas, ir mūsų bus paprašyta įvesti failą, kuriame jis bus saugomas (pagal nutylėjimą jis bus mūsų namuose, aplanke pavadinimu /.ssh/id_rsa). Mes galime paspausti „Enter“, nes ta vieta mums puikiai tarnauja, o tada dar kartą paspaudžiame „Enter“ du kartus, kai mūsų prašoma įveskite slaptafrazę kadangi, atminkite, mes ketiname įvesti nuotoliniu būdu, neįvesdami jokių duomenų, todėl nenorime jokių frazių.

Dabar, kai turime viešąjį raktą, turime juo dalytis su tais kompiuteriais, prie kurių ketiname prisijungti. Darant prielaidą, kad serveris, apie kurį kalbame, turi adresą 192.168.1.100, turite padaryti:

ssh-copy-id -i $ HOME / .ssh / id_rsa.pub root@192.168.1.100

Nukopijavę būsime pakviesti į atlikite nuotolinį prisijungimą, kad patikrintumėte raktus, ir reikia atsižvelgti į tai, kad šiuo atveju šaknis Tai yra paskyra, su kuria prisijungsime prie serverio, taigi, jei norime tai padaryti su kitu vartotoju, turime pakeisti vartotojo abonemento, su kuriuo ketiname atlikti, šaknį. prieiga per SSH.

Dabar turime tik iš naujo paleisti SSH serverį, kad jis atliktų naują konfigūraciją:

# /etc/init.d/ssh paleisti iš naujo

Nuo šiol, jei norime prisijungti prie antrojo serverio ir tai padaryti neįvedę slaptažodžio, tiesiog turime nusiųsti jam viešąjį raktą, kuriuo paprasčiausiai pakartojame paskutinį veiksmą, prireikus pakeisdami vartotoją ir IP adresą:

ssh-copy-id -i $ HOME / .ssh / id_rsa.pub admin@192.168.1.228


2 komentarai, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   sausiklis sakė

    Ačiū už informaciją, bet nieko ... niekaip negalima.
    Aš bandžiau visą rytą ir visada prašau mano slaptažodžio.
    Prieš kurį laiką bandžiau ir palikau tai neįmanoma dėl tos pačios priežasties.
    Aš sukuriu savo raktą savo „Macbook“, nukopijuoju jį į savo avietę aplanke ~ / .ssh / autorizuotasKeys
    Konfigūruoju „sshd.conf“ su viešu autentifikavimu ir patikrinu, ar raktų katalogas yra būtent ten, kur yra raktai. Paleidžiu iš naujo avietę ir ją jungdamas vėl paprašau slaptažodžio
    Kas gali nepavykti?

    1.    sausiklis sakė

      Po kelių valandų, išbandžiusi daugelį dalykų, atradau, kad su mano sukurtu vartotoju jis niekada neveikia, tačiau su numatytuoju vartotoju, vadinamu „ubuntu“, jis veikia pirmą kartą.
      Bet koks paaiškinimas, kodėl taip gali atsitikti?
      Y saludos Gracias