Konfigurirajte SSH za dostop brez gesla

SSHali Secure Shell je varna lupina, ki se uporablja za oddaljen dostop vseh vrst naprav do strežnikov, skozi tuneliran kanal in zaščiten s šifriranjem, kar mu daje varnost, ki preprečuje ali vsaj otežuje, da lahko tretje osebe prestrežejo uporabniško ime ali geslo. V primeru * Nix imamo ta protokol na voljo prek OpenSSH, nabora rešitev odjemalca in strežnika, ki je na voljo v vseh distribucijah Linuxa in povezanih platformah, kot je * BSD.

Če nam SSH ponuja odlično raven varnosti, zakaj bi jo želeli uporabljati brez vnosa gesla? Razlogov je lahko več, toda eden, ki običajno izstopa kot generator, je potreba po oddaljeni prijavi prek skriptov in izvajanju nalog super uporabnikov, in kot je dobro znano, teh podatkov ni priporočljivo vnašati v noben skript. Za rešitev tega problema bomo še videli kako ustvariti ključe SSH, da se lahko prijavite na daljavo brez potrebe po geslu.

To nas zahteva ustvari javni in zasebni ključ: prvi bo shranjen na strežniku, do katerega bomo dostopali, in kot že ime pove, ga lahko pošljemo ali delimo, drugi pa na napravi (računalnik, pametni telefon, tablični računalnik), s katerega bomo šli dostopati do omenjenega strežnika in mora biti zelo skrbno in ga uporabljamo samo mi ali ljudje, ki jim zaupamo.

Zaradi omenjenega v prejšnjem odstavku je pomembno poudariti, da tovrstne rešitve zahtevajo zelo veliko odgovornost pri oskrbi naprav, iz katerih bomo vstopili v strežnik, in sicer, da ima vsakdo, ki ima dostop do lahko ga vnesejo, ne da bi morali vedeti geslo, kar je zelo veliko varnostno tveganje. S tem pojasnjenim, poglejmo, kako lahko začnemo, zato je prva stvar, da je na strežniku nameščen demon SSH:

# apt-get namestite openssh-strežnik

Zdaj moramo v uporabniškem imeniku ustvariti imenik .ssh:

# mkdir -p $ HOME / .ssh

# chmod 0700 $ DOMOV / .ssh

# dotaknite se $ HOME / .ssh / pooblaščene_ključke

Datoteko uredimo / etc / ssh / sshd_config in preverimo, ali so naslednje vrstice takšne, kot so:

PubkeyAuthentication da

Datoteka AuthorizedKeys% h / .ssh / pooblaščene_ključke

Zdaj gremo do stranke in izvedemo:

ssh -keygen -t rsa

Povedali nam bodo, da se ključ ustvarja, in morali bomo vnesti datoteko, v kateri bo shranjena (privzeto bo v našem domu, v mapi z imenom /.ssh/id_rsa). Pritisnemo lahko Enter, saj nam ta lokacija služi popolnoma, nato pa dvakrat, ko smo zahtevani, ponovno pritisnemo Enter vnesite geslo saj ne pozabite, vstopili bomo na daljavo, ne da bi vnesli kakršne koli podatke, zato tudi nobene fraze ne želimo.

Zdaj, ko imamo javni ključ, ga moramo deliti z računalniki, na katere se bomo povezali. Če predpostavimo, da ima strežnik, o katerem govorimo, naslov 192.168.1.100, morate storiti naslednje:

ssh-copy-id -i $ HOME / .ssh / id_rsa.pub root@192.168.1.100

Po kopiranju bomo povabljeni k izvedite oddaljeno prijavo za preizkus ključev, pri čemer je treba upoštevati, da v tem primeru koren To je račun, s katerim bomo dostopali do strežnika, zato, če želimo to storiti z drugim uporabnikom, moramo spremeniti root za uporabniški račun, s katerim bomo izvedli dostop prek SSH.

Zdaj moramo le še enkrat zagnati strežnik SSH, da bo prevzel novo konfiguracijo:

# /etc/init.d/ssh ponovni zagon

Če želimo odslej dostopati do drugega strežnika in to brez vnosa gesla, mu moramo preprosto poslati javni ključ, s katerim preprosto ponovimo zadnji korak in po potrebi spremenimo uporabnika in naslov IP:

ssh-copy-id -i $ HOME / .ssh / id_rsa.pub admin@192.168.1.228