SSH (Secure Shell) je šifrovaný protokol, který slouží k bezpečné komunikaci mezi klientským systémem a serverem. Můžete provádět administrativní úlohy, připojovat se k systému vzdáleně a přistupovat k souborům. Je to velmi bezpečný způsob komunikace se serverem pomocí klíčů SSH, také pohodlný způsob než ověřování heslem.
Zde v LinuxAPT, jako součást našich služeb správy serveru, pravidelně pomáháme našim zákazníkům provádět související dotazy SSH.
V této souvislosti se podíváme na to, jak vytvořit klíče SSH v systému CentOS 7 a jak je různými způsoby zkopírovat na server.
Jak vytvořit klíče SSH na CentOS?
i. Než budete pokračovat v tomto konfiguračním postupu, ujistěte se, že používáte uživatele s právy sudo.
ii. Poté začněte vygenerováním páru klíčů na klientském systému pomocí níže uvedeného příkazu:
$ ssh-keygen
Ve výchozím nastavení ssh-keygen vygeneruje 2048bitový pár klíčů RSA.
iii. Můžete také vytvořit větší 4096bitový klíč pouhým předáním -b 4096 v příznaku, jak je uvedeno níže:
$ ssh-keygen -t rsa -b 4096
Zobrazí výstup jako níže:
Output
Generating public/private rsa key pair.
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
iv. Stisknutím klávesy Enter uložíte páry klíčů do adresáře ./ssh, což je výchozí umístění, nebo můžete umístění zadat podle svého výběru.
Poté budete vyzváni k zadání bezpečné přístupové fráze, jak je uvedeno níže. Nejlepším postupem je nastavit přístupovou frázi, která vašim klíčům přidá další vrstvu zabezpečení. Je to povinné, takže ho můžete přeskočit pouhým stisknutím klávesy Enter.
Output
Enter passphrase (empty for no passphrase):
Výstup bude generován následovně:
Your identification has been saved in /home/yourusername/.ssh/id_rsa.
Your public key has been saved in /home/yourusername/.ssh/id_rsa.pub.
Klíčový otisk je:
SHA256:Vh9pii66/e/md3LLJUuUILZuz37uGg8Yeokkdv7xwCE [email protected]
The key's randomart image is:
+---[RSA 4096]----+
| |
| . |
| + = |
| + * o . |
| o E = . o |
| . B * = . |
| . = X o o .|
| o . +.*o*++ |
| o....==o*OB. |
+----[SHA256]-----+
Vaše veřejné a soukromé klíče jsou připraveny k použití pro ověření s vaším serverem CentOS.
Můžete také ověřit, zda jsou vaše soubory generovány nebo ne, zadáním:
$ ls ~/.ssh/id_*
Zobrazí výstup takto:
/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub
Jak zkopírovat veřejný klíč na server CentOS?
Zde umístíme veřejný klíč k našemu serveru CentOS. Je to rychlý a jednoduchý způsob, jak zkopírovat public pomocí nástroje ssh-copy-id.
i. Proveďte níže uvedený příkaz:
$ ssh-copy-id username@server_ip_address
Budete vyzváni k zadání hesla pro vaše uživatelské jméno:
Output
username@server_ip_address's password:
Jakmile je ověření uživatele úspěšné, bude veřejný klíč připojen k souboru ~/.ssh/authorized_keys na vzdáleném uživateli a připojení bude odpojeno:
Output
Number of key(s) added: 1
ii. Nyní se můžete zkusit přihlásit ke svému počítači pomocí příkazu ssh username@server_ip_address a zkontrolovat, že byly přidány pouze klíče, které chcete přidat.
Pokud váš klientský systém nemá nainstalovaný nástroj ssh-copy-id, můžete použít následující příkaz ke zkopírování veřejného klíče:
$ cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
Ujistěte se, že máte přístup SSH na svůj server na základě hesla.
Jak se přihlásit k serveru pomocí klíčů SSH?
Nyní byste měli být schopni se přihlásit ke vzdálenému počítači bez hesla vzdáleného uživatele.
i. Zkuste se připojit pomocí příkazu SSH:
$ ssh username@server_ip_address
Pokud se pokoušíte přihlásit poprvé, může se zobrazit následující výzva.
ii. Napište ano a pokračujte stisknutím klávesy Enter:
Output
The authenticity of host '192.168.43.9 (192.168.43.9)' can't be established.
ECDSA key fingerprint is ed:ed:f4:g9:66:ge:53:48:e1:55:00:fd:6d:d7:22:fe.
Are you sure you want to continue connecting (yes/no)? yes
Nyní, pokud jste pro své klíče nenastavili přístupové heslo, budete okamžitě přihlášeni, aniž byste se na něj ptali. V opačném případě budete požádáni o zadání přístupové fráze. Po úspěšné autentizaci otevře nová shellová relace váš uživatelský účet na serveru CentOS.
Jak deaktivovat ověřování hesla SSH?
Pokud deaktivujete ověřování heslem pro SSH, přidá to další vrstvu zabezpečení. Před zahájením procesu se ujistěte, že se můžete autentizovat k vašemu serveru bez zadávání hesla a musíte mít uživatelský účet s povoleným sudo.
i. Zkuste se přihlásit na svůj server pomocí ssh:
$ ssh username@server_ip_address
ii. Nyní upravte konfigurační soubor SSH umístěný v /etc/ssh/sshd_config:
$ sudo nano /etc/ssh/sshd_config
Najděte direktivu PasswordAuthentication a pokud je řádek zakomentován, odkomentujte řádek a nastavte hodnotu na "no", jak je uvedeno níže:
PasswordAuthentication no
iii. Uložte a zavřete soubor.
iv. Musíte restartovat službu SSH pomocí níže uvedeného příkazu:
$ sudo systemctl restart sshd
Nyní je ověřování na základě hesla na vašem serveru CentOS zakázáno.